Einleitung: Die Validierung von Computersystemen (CSV) ist ein Verfahren, mit dem getestet, validiert und formell dokumentiert wird, dass ein reguliertes computergestütztes System genau das tut, wofür es konzipiert wurde, und zwar auf konsistente und genaue Weise, die sicher, zuverlässig und rückverfolgbar ist.
In diesen Sektoren werden Computersysteme für den Betrieb und die Aufzeichnung einer Reihe von Prozessen und Aktivitäten eingesetzt, z. B. für klinische Versuche, Herstellung, Produkttests, Vertrieb, Lagerung, Logistik usw. Daher ist es von entscheidender Bedeutung, dass man sich auf diese Systeme verlassen kann, wenn es darum geht, Daten genau und konsistent zu erzeugen, eine unauslöschliche elektronische Datenspur zu erstellen, die transparent, rückverfolgbar und fälschungssicher ist, diese elektronischen Datensätze so zu speichern, dass sie sicher sind und dem Test der Zeit standhalten, und dass die Standardarbeitsanweisungen (SOPs) und -prozesse für die Verwaltung dieser Systeme eingerichtet werden.
Darüber hinaus wird das CSV-Verfahren eingesetzt, wenn Papierunterlagen und handschriftliche Unterschriften durch elektronische Datensätze und elektronische Unterschriften in stark regulierten Umgebungen ersetzt werden, die sich auf die öffentliche Gesundheit und Sicherheit auswirken, wie z. B. in der pharmazeutischen und medizintechnischen Industrie.
Was sind computergestützte Systeme?
Nach dem oben Gesagten können wir Computersysteme als eine Kombination von Hardware und Software definieren, die Funktionen für den Prozess, dem sie dienen, ausführen (wobei Prozess bedeutet, alle konstituierenden Elemente davon, wie Personal, Ausrüstung, Aktivitäten, Input- und Output-Elemente, zugehörige Dokumentation, unter anderem).
Gxp-reguliertes computergestütztes System: Computergestützte Systeme, die den GxP-Vorschriften unterworfen sind. Das beaufsichtigte Unternehmen muss sicherstellen, dass diese Systeme den entsprechenden Vorschriften entsprechen.
Sie benötigen fachkundige Beratung bei von CSV Projects ?
Was ist die Validierung von computergestützten Systemen?
Die Validierung computergestützter Systeme ist ein dokumentierter Prozess, mit dem sichergestellt werden soll, dass ein computergestütztes System genau das tut, wofür es konzipiert wurde, und zwar auf konsistente und reproduzierbare Weise (Gebrauchstauglichkeit), wobei die Integrität und Sicherheit der Datenverarbeitung, die Produktqualität und die Einhaltung der geltenden GxP-Vorschriften gewährleistet werden. Der robuste und dokumentierte Nachweis zeigt, dass das System für den vorgesehenen Zweck geeignet ist und das tut, wofür es konzipiert wurde, mit der Gewissheit, dass das Ergebnis oder das Endprodukt die erwartete Qualität hat.
Die Validierung eines Computersystems ist erforderlich, wenn ein neues System konfiguriert oder eine Änderung an einem validierten System vorgenommen wird (Upgrades, Patches, Erweiterungen usw.).
Warum ist CSV so wichtig?
Regulierungsbehörden wie die U.S. Food and Drug Administration (FDA), die European Medicines Agency (EMA) und andere verlangen von Pharmaunternehmen die Validierung von Computersystemen, die in GxP-Umgebungen (Good x Practice) eingesetzt werden. Die Einhaltung der gesetzlichen Vorschriften und die Eignung für den vorgesehenen Verwendungszweck können durch die Anwendung eines Lebenszykluskonzepts erreicht werden, das den in der GAMP 5-Leitlinie erläuterten bewährten Verfahren folgt.
CSV stellt sicher, dass die von Computersystemen erzeugten und verarbeiteten Daten genau, zuverlässig und konsistent sind, und trägt so zur Wahrung der Datenintegrität bei.
Viele Computersysteme in der pharmazeutischen Industrie steuern kritische Prozesse, die sich direkt auf die Patientensicherheit auswirken. Die Gewährleistung des ordnungsgemäßen Funktionierens dieser Systeme ist unerlässlich, um Fehler zu vermeiden, die zu unerwünschten Ereignissen führen könnten.
CSV hilft dabei, Risiken im Zusammenhang mit Computersystemen zu erkennen und zu mindern, um sicherzustellen, dass potenzielle Schwachstellen behoben werden, bevor sie die Produktqualität beeinträchtigen.
Validierte Computersysteme arbeiten mit größerer Wahrscheinlichkeit effektiv und minimieren Ausfallzeiten und Unterbrechungen der Produktionsprozesse.
Computersysteme müssen geprüft werden, um zu bestätigen, dass das System in allen Situationen funktioniert. Außerdem müssen alle Validierungsaktivitäten und Testergebnisse dokumentiert werden.
Was sind Beispiele für Vorschriften zur Validierung von Computersystemen?
Die Food and Drug Administration (FDA) betrachtet Computersysteme als Ausrüstung 21 CFR 211.68 und muss daher validiert werden. Außerdem sind im Code of Federal Regulations (CFR) unter FDA 21 CFR 11 detaillierte Kontrollen für elektronische Aufzeichnungen und elektronische Signaturen vorgesehen. Teil 11 schreibt vor, dass elektronische Aufzeichnungen und Unterschriften genau, zuverlässig, leicht auffindbar und sicher sein müssen und dass sie Papieraufzeichnungen und handschriftliche Unterschriften rechtlich ersetzen können. Dieses Gesetz gilt für Hersteller von (bio)pharmazeutischen und medizinischen Geräten, Biotechnologieunternehmen und andere von der FDA regulierte Branchen.
Die FDA verlangt von den Herstellern medizinischer Geräte, dass sie die bei der Herstellung medizinischer Geräte verwendete Software und Systeme gemäß 21 CFR 820 validieren.
In der EU enthält EudraLex – Band 4 – Gute Herstellungspraxis (GMP) einen Leitfaden für die Validierung computergestützter Systeme gemäß Anhang 11: Computergestützte Systeme.
Das Pharmaceutical Inspection Co-Operation Scheme (PICs) bietet mit seinem Dokument über gute Praktiken für computergestützte Systeme in regulierten GxP-Umgebungen eine Anleitung. Die Validierung computergestützter Systeme ist auch in der ISO 13485-Norm 2016 – für Medizinprodukte – vorgeschrieben.
Einige Beispiele für die erforderlichen Kontrollen sind:
- Daten sollten in elektronischem Format gespeichert werden und archivierbar sein. Elektronische Aufzeichnungen sollten genauso vertrauenswürdig sein wie Papieraufzeichnungen.
- Das System muss sicherstellen, dass elektronische Unterschriften genauso vertrauenswürdig und sicher sind wie handschriftliche Unterschriften. Die Kontrollen elektronischer Signaturen sollten den Namen des singenden Benutzers, den Tag/die Uhrzeit der Unterschrift und die Bedeutung der Unterschrift
- Signierte Datensätze können von den Benutzern nicht geändert werden. Das System kann feststellen, wann ein Datensatz von einem Benutzer des Systems erstellt, geändert oder gelöscht wurde.
- Das System sollte über die Möglichkeit verfügen, Passwörter zu maskieren.
- Die Komplexität des Passworts sollte vorgeschrieben sein, d. h. das Passwort sollte eine Mindestlänge von Zeichen haben usw. Frühere Passwörter können nicht wiederverwendet werden.
- Die Bildschirmsperre sollte nach einer bestimmten Zeitspanne ausgelöst werden.
- Nur autorisierte Personen können das System benutzen.
- Das System sollte je nach Kritikalität des Systems verschiedene Zugriffsebenen haben.
- Das System muss in der Lage sein, einen Prüfpfad zu erstellen, d. h. jede Aktivität sollte im System gespeichert werden, z. B. wer, wann, was usw.
Bewährte Praktiken für die Validierung von Computersystemen
Bevor Sie mit dem Validierungsprozess beginnen, müssen Sie unbedingt definieren, was Sie erreichen wollen. Durch die Festlegung klarer, spezifischer Ziele wird sichergestellt, dass der Validierungsprozess sowohl auf die gesetzlichen Anforderungen als auch auf die geschäftlichen Bedürfnisse abgestimmt ist. Ein Pharmaunternehmen könnte sich beispielsweise das Ziel setzen, ein neues Laborinformationsmanagementsystem (LIMS) zu validieren, um die FDA-Vorschriften 21 CFR Part 11 zu erfüllen.
Wie jedes technische Unterfangen sollten auch CSV-Prozesse von einem guten Plan geleitet werden, der vor Projektbeginn erstellt wird. In diesem Plan werden die Ziele der Validierung und der Ansatz für die Aufrechterhaltung des Validierungsstatus während des gesamten SDLC festgelegt, und er erfüllt alle behördlichen Richtlinien und bewährten Verfahren der Branche (z. B. GAMP 5). Der Validierungsplan wird von Personen erstellt, die sich mit der betreffenden Technologie gut auskennen (d. h. Informatiksysteme, Instrumente, Geräte usw.) und dazu dienen, die Auswirkungen des Projekts auf die alltäglichen Laborprozesse zu minimieren.
Der Validierungsplan sollte folgende Punkte enthalten:
Projektumfang – umreißt die Teile des Systems, die validiert werden sollen, zusammen mit den Ergebnissen/Dokumentation für das Projekt. Die Validierungsaktivitäten werden nur auf die Aspekte des Systems angewandt, die vom Unternehmen genutzt werden sollen.
Testansatz – Definiert die Datentypen, die für den Test verwendet werden sollen, sowie die Art der zu testenden Szenarien.
Testteam und Zuständigkeiten – Listet die Mitglieder des Validierungsteams mit ihren Rollen und Zuständigkeiten im Validierungsprozess auf.
Akzeptanzkriterien – Definiert die Anforderungen, die erfüllt werden müssen, bevor das System als geeignet für den Einsatz in regulierten Tätigkeiten angesehen wird.
Jede Branche hat ihre eigenen Vorschriften für die Validierung von Computersystemen. Es ist wichtig, dass Sie sich mit diesen Anforderungen vertraut machen. Unternehmen in der Pharmabranche müssen sich beispielsweise an die FDA-Richtlinien halten, während Unternehmen in Europa die EMA-Vorschriften einhalten müssen. Mit diesem Wissen können Sie Ihre Validierungsstrategie gestalten und sicherstellen, dass sie alle rechtlichen und qualitativen Standards erfüllt.
Ein risikobasierter Ansatz für die CSV priorisiert die Aktivitäten auf der Grundlage der potenziellen Auswirkungen auf die Produktqualität und die Patientensicherheit. Durch die frühzeitige Identifizierung und Bewertung von Risiken können Sie Ressourcen effektiver zuweisen. Die Durchführung von CSV erfordert viel Zeit und IT-Ressourcen. Daher ist es ratsam, einen flexiblen GAMP-5-Ansatz zu verfolgen, der eine risikobasierte Bewertung des Systems nutzt, um die erforderlichen Testfälle und den optimalen Testumfang für jeden einzelnen zu bestimmen. Die CSV-Anstrengungen sollten sich auf das konzentrieren, was für die kritischen Elemente des Systems, die sich auf die Qualitätssicherung und die Einhaltung gesetzlicher Vorschriften auswirken, praktikabel und realisierbar ist. Zu den Vorteilen dieses risikobasierten Ansatzes für die CSV gehören geringere Kosten, ein geringeres Geschäftsrisiko und eine kürzere Dauer der Validierungsarbeiten.
CSV ist nicht nur eine IT-Aufgabe, sondern erfordert die Zusammenarbeit zwischen verschiedenen Abteilungen, einschließlich Qualitätssicherung, Zulassungsangelegenheiten und Betrieb. Ein funktionsübergreifendes Team bringt unterschiedliche Perspektiven und Fachkenntnisse ein und gewährleistet so eine umfassende Validierung. Stellen Sie sich ein Szenario vor, in dem die IT-Abteilung, das Qualitätssicherungsteam und das Laborpersonal gemeinsam an der Validierung einer neuen Softwareanwendung für Qualitätskontrolltests arbeiten.
Die Dokumentation ist das Rückgrat der CSV. Sie liefert den Nachweis, dass die Systeme ordnungsgemäß validiert wurden und für den vorgesehenen Einsatz geeignet sind. Dazu gehört alles, von Validierungsplänen und Testprotokollen bis hin zu Testergebnissen und Abschlussberichten. Stellen Sie sich die Dokumentation wie ein detailliertes Tagebuch vor, das jeden Schritt des Validierungsprozesses aufzeichnet und den Prüfern der Aufsichtsbehörden einen klaren Prüfpfad bietet.
Das Testen ist das Herzstück von CSV. Dabei wird überprüft, ob das System unter verschiedenen Bedingungen wie vorgesehen funktioniert. Wirksame Tests umfassen unter anderem die funktionale Leistung, die Sicherheit und die Benutzerakzeptanz. So würde beispielsweise ein Gesundheitsdienstleister, der ein elektronisches Patientendatensystem (EHR) validiert, Stresstests durchführen, um sicherzustellen, dass das System eine große Anzahl gleichzeitiger Benutzer ohne Leistungseinbußen bewältigen kann. Vermeiden Sie zweideutige Testskripte. Genaue Anforderungen führen zu präzisen Validierungstests, die bestätigen, dass das System den vorgesehenen Zweck erfüllt. Darüber hinaus validieren die Testskripte der Anbieter in der Regel nur die grundlegenden Systemanforderungen und reichen nicht aus, um die Einhaltung der Vorschriften zu gewährleisten.
Eine ordnungsgemäße Schulung stellt sicher, dass alle am CSV-Prozess Beteiligten ihre Aufgaben und Verantwortlichkeiten sowie die einzuhaltenden Vorschriften verstehen. Die Schulungen sollten auf die spezifischen Bedürfnisse des Teams zugeschnitten sein und regelmäßig aktualisiert werden, um Änderungen der Technologie oder der Vorschriften zu berücksichtigen. Stellen Sie sich ein Szenario vor, in dem ein Fertigungsunternehmen regelmäßige CSV-Schulungen für seine Mitarbeiter durchführt, die sich auf die neuesten Branchenrichtlinien und bewährten Verfahren konzentrieren.
Die technologische und gesetzliche Landschaft entwickelt sich ständig weiter. Die regelmäßige Überprüfung und Aktualisierung Ihrer CSV-Aktivitäten stellt sicher, dass Ihre Systeme konform bleiben. Dies kann eine erneute Validierung der Systeme als Reaktion auf Software-Updates oder Änderungen der gesetzlichen Anforderungen beinhalten. CSV ist kein einmaliges Ereignis, sondern ein kontinuierlicher Prozess der Überwachung, Überprüfung und Verbesserung. Die Einstellung zur kontinuierlichen Verbesserung hilft dabei, Möglichkeiten zur Verbesserung der Systemleistung, Effizienz und Konformität zu erkennen. Beispielsweise könnte ein Unternehmen nach der erfolgreichen Validierung eines neuen Datenmanagementsystems den Prozess überprüfen, um Folgendes zu ermitteln.
Schlussfolgerung
Die Komplexität der Computersystemvalidierung kann entmutigend erscheinen, aber durch die Einhaltung dieser Best Practices können Unternehmen sicherstellen, dass ihre Systeme den Vorschriften entsprechen, effizient sind und den Herausforderungen des digitalen Zeitalters gewachsen sind. Denken Sie daran, dass das Ziel der CSV nicht nur die Erfüllung gesetzlicher Vorschriften ist, sondern auch die Sicherstellung, dass computergestützte Systeme zuverlässige und effektive Werkzeuge zur Erreichung von Geschäftszielen und zur Gewährleistung von Produktqualität und Patientensicherheit sind. Mit der richtigen Herangehensweise wird CSV zu einem wertvollen Bestandteil Ihres Qualitätsmanagement-Arsenals, das Innovation und Spitzenleistungen in allen Bereichen Ihres Unternehmens fördert.
In der schnelllebigen Welt der Technologien und Vorschriften ist es wichtig, informiert und anpassungsfähig zu bleiben. Unabhängig davon, ob Sie gerade erst mit der CSV beginnen oder Ihre Prozesse verfeinern wollen, bieten diese Best Practices einen Fahrplan zum Erfolg. Lassen Sie sich auf die Reise ein, und beobachten Sie, wie Ihre Systeme – und Ihr Unternehmen – florieren
Brauchen Sie Hilfe?
Benötigen Sie fachkundige Anleitung zu CSV?
Ist Ihr Team auf der Suche nach spezialisierten, motivierten Mitarbeitern für eine effektive Validierung? Wir unterstützen Sie bei der Implementierung robuster, konformer Systeme, die auf Ihre spezifischen Anforderungen zugeschnitten sind.
Nehmen Sie noch heute Kontakt mit uns auf, um Ihren Ansatz für CSV gemeinsam abzustimmen. Mit der richtigen Strategie wird die Validierung von Computersystemen für Sie zur Nebensache.
Nützliche Links
- S. Food and Drug Administration.General Principles of Software Validation; Final Guidance for Industry and FDA Staff; U.S. Department of Health and Human Services: Rockville, Md., 2002. Available at https://www.fda.gov/regulatory-information/search-fda-guidance-documents/general-principles-software-validation.
- https://health.ec.europa.eu/system/files/2016-11/annex11_01-2011_en_0.pdf
- https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application
- http://www.picscheme.org GOOD PRACTICES FOR COMPUTERISED SYSTEMS IN REGULATED “GXP” ENVIRONMENTS
- https://ispe.org/publications/guidance-documents/gamp-5-guide-2nd-edition
Sagar Pawar
Computer System Validation Specialist
