Letzte Aktualisierung am 15.08.2024
Einführung
Die Sicherstellung der Qualität und Zuverlässigkeit digitaler Systeme ist eine ständige Herausforderung in den Life Sciences, da selbst kleinste Fehler verheerende Folgen haben können. Seit Jahrzehnten ist die Computersystemvalidierung (CSV) die bevorzugte Methode, um dieses Ziel zu erreichen. Sie gleicht einem sorgfältig konstruierten Drahtseil, das sicherstellt, dass ein System alle regulatorischen Anforderungen erfüllt. Dennoch kann dieser traditionelle Ansatz zeitaufwändig und umständlich sein.
Angesichts der sich ständig verändernden Software- und Technologiebranche ist ein flexiblerer Ansatz zur Validierung erforderlich. Haben Sie schon von Computer Software Assurance (CSA) gehört? Es handelt sich um eine moderne Methodik, die in der Life-Science-Industrie an Bedeutung gewinnt. CSA kann als Hightech-Drahtseil betrachtet werden, das mithilfe fortschrittlicher Risikomanagementtechniken den Validierungsprozess effizienter und sicherer gestaltet. In diesem Blogbeitrag werden wir die wesentlichen Unterschiede zwischen CSV und CSA sowie die Vorteile und das Rahmenwerk der CSA-Methodik beleuchten.
CSV: Eine bewährte Methode, aber ist es Zeit für ein Upgrade?
CSV ist das Fundament der Softwarevalidierung in der Life-Science-Industrie. Es stellt sicher, dass ein System alle regulatorischen Anforderungen durch einen klar definierten Satz von Verfahren erfüllt. Dieser strenge Prozess umfasst typischerweise:
Detaillierte Anforderungsanalyse:
CSV beginnt mit einer sorgfältigen Definition des beabsichtigten Verwendungszwecks und der Funktionalitäten des Softwaresystems. Dadurch wird sichergestellt, dass die Validierungsaktivitäten auf den spezifischen Zweck des Systems zugeschnitten sind.
Umfassende Prüfung:
Es wird besonderer Wert auf eine gründliche Prüfung aller Systemfunktionen gelegt, um mögliche Abweichungen oder Fehler zu identifizieren. Diese Tests decken ein breites Spektrum an Szenarien ab.
Ausführliche Dokumentation:
Jeder Schritt des Validierungsprozesses wird akribisch und ausführlich dokumentiert. Diese Dokumentation dient als Nachweis für Aufsichtsbehörden und belegt die Konformität des Systems.
Weitere Informationen über CSV finden Sie unter Validierung von Computersystemen: Tipps für die korrekte Umsetzung.
Einschränkungen des CSV-Ansatzes
Der Wert von CSV ist unbestreitbar. Sie hat sich bei der Gewährleistung der Qualität und Zuverlässigkeit zahlreicher Softwaresysteme im Bereich der Life Sciences bewährt. Zu ihren Stärken zählen unter anderem die Prüfbarkeit, Nachverfolgbarkeit und die breite Akzeptanz. Doch mit der rasanten Entwicklung der Softwarelandschaft werden die Einschränkungen der CSV immer deutlicher:
Gründliche Tests und Dokumentation können ein langwieriger Prozess sein, der die Ressourcen belastet und die Systemeinführung verzögert.
Der starre, einheitliche Ansatz von CSV erschwert die Anpassung an die sich ständig ändernde Software und Technologie.
Die CSV ist zwar effektiv, aber ihre Grenzen machen deutlich, dass die CSA einen anpassungsfähigeren, effizienteren Ansatz verfolgen muss, bei dem das Risikomanagement Vorrang vor einer erschöpfenden Dokumentation hat.
Bringen Sie Ihr Pharma-Geschäft auf die nächste Ebene
Das Aufkommen der CSA
Der Übergang der Food and Drug Administration (FDA) von CSV zu CSA stellt einen bedeutenden Wandel in der Life-Sciences-Branche dar und unterstreicht einen effizienteren Ansatz zur Softwarevalidierung. Diese Änderung wird durch den Entwurf der FDA-Leitlinien zur „Computer Software Assurance for Production and Quality System Software“ unterstützt.
CSA priorisiert kritische Funktionen und nutzt einen risikobasierten Ansatz, um den Validierungsprozess zu optimieren. Zudem werden häufige Herausforderungen der traditionellen CSV, wie Automatisierungshemmnisse und redundante Tests, adressiert. Im Folgenden werden die wesentlichen Prinzipien erläutert, die CSA auszeichnen:
Risikomanagement an vorderster Front
CSA setzt Prioritäten bei der Bewertung von Validierungsrisiken und konzentriert sich auf kritische Funktionen, die sich auf die Patientensicherheit und Datenintegrität auswirken. Dieser gezielte Ansatz stellt sicher, dass sich die Validierungsbemühungen auf die Bereiche mit den größten Auswirkungen konzentrieren.
Konzentration auf Ergebnisse, nicht nur auf Aktivitäten
Die CSA geht über das einfache Testen aller Funktionen hinaus, da sie darauf abzielt, die beabsichtigten Ergebnisse zu validieren. Es optimiert den Prozess, indem es sich auf den Nachweis konzentriert, dass das System wie geplant funktioniert und die Datenintegrität gewährleistet, wodurch unnötige Tests reduziert werden.
Anpassungsfähigkeit an ein dynamisches Umfeld
Die Life-Sciences-Branche entwickelt sich ständig weiter, und das gilt auch für Software. Der risikobasierte Ansatz von CSA passt sich diesen Veränderungen flexibel an. Wenn neue Funktionen hinzugefügt oder Technologien aktualisiert werden, kann eine neue Risikobewertung durchgeführt werden, um die kontinuierliche Effektivität des Systems zu gewährleisten. Durch diese Flexibilität wird sichergestellt, dass der Validierungsprozess angesichts ständiger Innovationen relevant bleibt.
Optimierte Dokumentation
Dieser Ansatz zielt darauf ab, die belastende Dokumentation und den Papieraufwand zu reduzieren, die Methodik des agilen Softwareentwicklungszyklus (SDLC) zu unterstützen und die Dokumentation und Tests der Anbieter zu nutzen.
Benötigen Sie fachkundige Beratung zu CSV/CSA?
Einen Termin vereinbarenHauptunterschiede zwischen CSV und CSA
| CSV | CSA |
Schwerpunkt und Ansatz | Ein linearer, risikobasierter Ansatz, der sicherstellt, dass der vorgesehene Einsatz erfüllt wird und dass computergestützte Systeme den relevanten Vorschriften entsprechen. | Verfolgt denselben Zweck wie CSV, jedoch mit einem dynamischeren, risikobasierten Ansatz, der kritisches Denken und gezielte Tests nutzt; konzentriert sich auf den Prozess und den Patienten anstelle von softwarezentrierten Risiken. |
Dokumentation und Effizienz | Erhebliche Menge an Papieraufwand; zeit- und ressourcenintensiv. | Weniger erstellte Dokumente ohne Abstriche bei der Qualität oder der Einhaltung von Vorschriften. |
Risikobewertung und -prüfung | Obwohl risikobasiert, umfasst es eine umfassendere Abdeckung und detailliert dokumentierte Tests. | Die Sicherheitsmaßnahmen basieren auf dem Risiko, das von den Softwarefunktionen ausgeht; ermöglicht mehr Flexibilität und verkürzt die Gesamtzeit für Tests in Bereichen mit geringem Risiko (durch nicht skriptierte Testoptionen). |
Die wichtigsten Schritte des CSA-Rahmens
1. Bestimmen Sie den Verwendungszweck
Der erste Schritt besteht darin, die Grundlage für die gesamte risikobasierte Strategie zu schaffen. Hier definieren die Hersteller sorgfältig die Rolle der einzelnen Softwareprogramme innerhalb des Produktions- oder Qualitätssystems. Dazu gehört das Verständnis, wie die Software mit anderen Systemen interagiert, welche Daten sie verarbeitet und welche Auswirkungen sie letztlich auf das fertige Medizinprodukt hat.
Stellen Sie sich vor, ein Hersteller medizinischer Geräte verwendet zwei Softwareprogramme:
Programm A: Verwaltet die grundlegende Bestandskontrolle für Rohmaterialien.
Programm B: Steuert die kritischen Algorithmen, die bei der Sterilisation von Geräten verwendet werden.
Programm A hat nur minimale Auswirkungen auf das Endprodukt, während Programm B einen direkten Einfluss auf die Patientensicherheit hat. Anhand des Zwecks der einzelnen Programme kann der Hersteller den Grad des Risikos einstufen.
2. Bestimmen Sie eine risikobasierte Strategie
Dieser Schritt beinhaltet eine gründliche Bewertung der mit der Software/Funktion/Betrieb verbundenen potenziellen Risiken. Hier sind einige Faktoren zu berücksichtigen:
Auswirkungen auf die Gerätefunktionalität:
Hat die Software einen direkten Einfluss auf die Leistung oder die Sicherheitsmerkmale des Geräts? So würde beispielsweise eine Software, die die Dosierung in einer Medikamentenpumpe steuert, eine strengere Bewertung erfordern als ein Programm, das die Versandlogistik verwaltet.
Integrität der Daten:
Kann die Software Daten im Zusammenhang mit der Produktion oder Qualitätskontrolle manipulieren oder beeinträchtigen? Wenn die Software Patientendaten oder Sterilisationsaufzeichnungen verwaltet, könnte eine Datenverletzung schwerwiegende Folgen haben. Die Risikobewertung würde den Bedarf an robusten Sicherheitsmaßnahmen hervorheben.
Sicherheitsschwachstellen:
Ist die Software anfällig für Hackerangriffe oder Cyberattacken, die den Betrieb stören könnten? Software, die mit dem Internet verbunden ist oder mit sensiblen Daten umgeht, erfordert eine gründliche Bewertung potenzieller Sicherheitsschwachstellen.
Unter Berücksichtigung dieser Faktoren kann der Hersteller jedem Softwareprogramm eine Risikostufe (hoch, mittel, niedrig) zuweisen. Diese Risikostratifizierung bildet die Grundlage für die Auswahl der am besten geeigneten Validierungsmaßnahmen.
3. Geeignete Assurance-Aktivitäten auswählen
Basierend auf dem zugewiesenen Risikolevel wählt der Hersteller die am besten geeigneten Sicherheitsmaßnahmen aus (einschließlich skriptgesteuertem und unskriptgesteuertem Testen). Nachstehend eine Aufschlüsselung der möglichen Aktivitäten für die verschiedenen Risikokategorien:
Hochriskante Software:
Diese Software erfordert die strengsten Validierungsmethoden. Beispiele hierfür sind Code-Reviews, umfangreiche Unit-Tests, Integrationstests und Penetrationstests zur Ermittlung von Sicherheitslücken.
Software mit mittlerem Risiko:
Validierung in dieser Kategorie kann eine Kombination aus Code-Reviews, selektiven Unit-Tests und funktionalen Tests umfassen, um sicherzustellen, dass die Software wie beabsichtigt funktioniert.
Software mit geringem Risiko:
Für Software mit geringem Risiko können einfachere Validierungsmethoden wie die Benutzerakzeptanzprüfung (die bestätigt, dass die Software den Anforderungen der Benutzer entspricht) ausreichend sein.
4. Umfassende Aufzeichnungen erstellen
Der CSA-Rahmen stützt sich auf umfassende Aufzeichnungen. Diese Aufzeichnungen dokumentieren den gesamten Software-Sicherheitsprozess, sorgen für Transparenz und erleichtern Audits. Automatisierungswerkzeuge können zur Rationalisierung von Test- und Dokumentationsprozessen eingesetzt werden. Hier sind einige der wichtigsten Informationen, die in der Dokumentation festgehalten werden:
Zweck der Nutzung:
Eine klare Beschreibung der Rolle der Software im System, einschließlich ihrer Aufgaben, Dateninteraktion und Integration.
Risikobewertung:
Dokumentation des Risikobewertungsprozesses mit detaillierten Informationen über die ermittelten Gefahren, die zugewiesenen Risikostufen und die entsprechenden Begründungen.
Validierungsaktivitäten:
Aufzeichnungen über die für jedes Softwareprogramm gewählten Validierungsmethoden, die ihre Auswahl auf der Grundlage des Risikoniveaus begründen, mit Einzelheiten zu den Testplänen und -verfahren.
Ergebnisse der Validierung:
Erfasst den Status „bestanden/nicht bestanden“ für jeden Test sowie alle Diskrepanzen, Abweichungen und Korrekturmaßnahmen.
Matrix der Rückverfolgbarkeit:
Eine Verbindung zwischen den identifizierten Risiken, den ausgewählten Validierungsaktivitäten und ihren Ergebnissen, aus der hervorgeht, wie die einzelnen Risiken gemindert werden.
Diese Aufzeichnungen werden während des gesamten Lebenszyklus der Software geführt, mit Aktualisierungen bei Änderungen, regelmäßigen Überprüfungen und fortlaufender Einhaltung der Risikobewertung. Umfassende Aufzeichnungen sind die Grundlage für eine erfolgreiche CSA-Rahmenimplementierung, die das Vertrauen in die FDA stärkt und die Patientensicherheit in den Vordergrund stellt.
Herausforderungen bei der Umsetzung und Aspekte der CSA
Compliance-Mentalität
Die Angst vor Veränderung aufgrund eines tief verwurzelten Compliance-Denkens, bei dem Checklisten und Dokumentationen Vorrang vor praktischen, bedarfsorientierten Maßnahmen haben.
Digitaler Übergang
Die Herausforderung der Umstellung von papiergestützten auf digitale CSA-Prinzipien, insbesondere für Unternehmen, die in traditionellen Prozessen tief verwurzelt sind.
Unterstützung der Führung
Der erfolgreiche Übergang zu CSA-Prozessen erfordert eine starke Führung auf höchster Ebene, um das Thema voranzutreiben, das Compliance-Denken aufzubrechen und für den kulturellen Wandel hin zu einem effizienteren, risikobasierten Ansatz zu werben.
Technologie annehmen
Die Implementierung von cloudbasierten Technologien (die bereits an Bedeutung gewonnen haben) und automatisierten Workflows kann die Effizienz erheblich steigern, manuelle Fehler reduzieren und die Echtzeitverfügbarkeit von Daten verbessern.
Einhaltung von Vorschriften
Investitionen in moderne Plattformen für regulatorische Informationen und automatisierte Qualitätsmanagementsysteme (eQMS) gewährleisten die Einhaltung strenger Standards, die von Regulierungsbehörden wie der FDA und der Europäischen Arzneimittelagentur (EMA) festgelegt wurden.
Qualitätsmanagement
Die Entwicklung eines risikobasierten Ansatzes für das QMS konzentriert die Bemühungen auf Bereiche mit hohem Risiko, optimiert die Ressourcenzuweisung und gewährleistet Produktqualität und Patientensicherheit.
Fallstudie: Risikobasierte Assurance für ein Learning Management System
Hypothetisch führt ein Hersteller ein COTS Learning Management System (LMS) ein, um das Trainingsmanagement, die Aufzeichnung, Nachverfolgung und Berichterstattung in Übereinstimmung mit den regulatorischen Anforderungen (21 CFR 820.25) zu automatisieren. Die Hauptfunktionen des Systems umfassen Benutzer-Login, Zuweisung von Trainings, Nachweis der Trainingsabschlüsse, Benachrichtigungen über Trainingszuweisungen und -abschlüsse sowie die Erstellung von Trainingsberichten.
Verwendungszweck: Alle Funktionen zielen darauf ab, die Einhaltung der Schulungsanforderungen zu automatisieren und sicherzustellen.
Risikoanalyse: Die Bewertung ergab, dass ein Ausfall der Systemfunktionen zwar die Integrität der Aufzeichnungen des Qualitätssystems beeinträchtigen, aber die Sicherheit nicht direkt gefährden würde. Daher wurde das Prozessrisiko als gering eingestuft.
- Durchführung einer gründlichen Beurteilung der Systemfähigkeit und Bewertung der Lieferanten.
- Durchgeführte Installationsprüfungen.
- Ungeplante Tests wurden durchgeführt, bei denen Fehlervermutungstechniken angewendet wurden, um die Robustheit des Systems herauszufordern (z. B. durch den Versuch, Audit-Trails zu löschen).
- Dokumentiert den Verwendungszweck des Systems und das Ergebnis der Risikoanalyse.
- Zusammenfassung der getesteten Fehlerarten, der identifizierten Probleme und der Lösungen.
- Eine abschließende Erklärung zur betrieblichen Akzeptanz, das Testdatum und die Identität des Testers wurden ebenfalls aufgenommen.
Der Hersteller wandte eine risikobasierte Sicherheitsstrategie an, um das LMS effizient zu validieren. Indem er sich auf kritische Funktionen konzentrierte und gezielte Testmethoden einsetzte, stellte der Hersteller die Integrität und Konformität des Systems sicher und dokumentierte gleichzeitig die wesentlichen Validierungen und Ergebnisse. Dieser Ansatz strafft den Prüfprozess, ohne Kompromisse bei der Gründlichkeit oder den gesetzlichen Verpflichtungen einzugehen.
Schlussfolgerung
Referenzen
- https://www.fda.gov/regulatory-information/search-fda-guidance-documents/computer-software-assurance-production-and-quality-system-software
- https://ispe.org/gamp-5
- https://www.greenlight.guru/blog/csa-vs-csv
- https://www.scilife.io/blog/csv-csa-main-differences
- https://qbdgroup.com/en/blog/computer-software-assurance-in-pharma-industry/
- https://www.criticalmanufacturing.com/blog/csa-vs-csv-fda-new-guidance-for-software-assurance/
- https://www.drugdiscoverytrends.com/the-importance-of-computer-software-assurance-in-the-life-sciences-industry/
- https://us.nttdata.com/en/blog/2023/november/overcoming-csa-roadblocks-for-life-sciences-companies
Nirekshana Krishnasagar
Nirekshana Krishnasagar, a Computer Systems Validation Specialist at Zamann Pharma Support, brings over 4 years of experience in the global Bio-pharma industry. Specializing in validation of GxP Computerized systems, Nirekshana has successfully handled initial implementation and upgrade projects for the validation of Laboratory Information Management systems, Electronic Lab Notebooks and Document Management systems. She is currently focused on Audit management and enhancing Zamann service portfolio in computer system validation (CSV). Outside of work, she enjoys badminton, cycling and cooking. Connect with Nirekshana on LinkedIn for insights into CSV, GAMP 5 and data integrity.