Einführung
Die Sicherstellung der Qualität und Zuverlässigkeit digitaler Systeme ist eine ständige Herausforderung in den Biowissenschaften, wo wir wissen, dass selbst der kleinste Fehltritt verheerende Folgen haben kann. Seit Jahrzehnten ist die Computersystemvalidierung (CSV) die bevorzugte Methode, um dieses Ziel zu erreichen. Sie ist wie ein stabiles Drahtseil, das mit großer Sorgfalt konstruiert wird, um sicherzustellen, dass ein System alle gesetzlichen Anforderungen erfüllt. Wir wissen jedoch auch, dass dieser traditionelle Ansatz zwar effektiv, aber auch schwerfällig und zeitaufwändig sein kann.
In der sich ständig verändernden Software- und Technologiebranche ist ein flexiblerer Ansatz für die Validierung erforderlich. Haben Sie schon von Computer Software Assurance (CSA) gehört? Dabei handelt es sich um eine moderne Methodik, die in der Biowissenschaftsbranche zunehmend an Bedeutung gewinnt. CSA kann man sich als Hightech-Seilschaft vorstellen, bei der fortschrittliche Risikomanagementtechniken eingesetzt werden, um den Validierungsprozess effizienter und sicherer zu gestalten. In diesem Blogbeitrag werden die wichtigsten Unterschiede zwischen CSV und CSA sowie die Vorteile und Rahmenbedingungen der CSA-Methodik erläutert.
CSV: Eine bewährte Methode, aber ist es Zeit für ein Upgrade?
Die CSV ist die Grundlage der Softwarevalidierung in der Biowissenschaftsbranche. Sie stellt sicher, dass ein System alle rechtlichen Anforderungen erfüllt, und zwar durch eine genau definierte Reihe von Verfahren. Dieser strenge Prozess umfasst in der Regel Folgendes:
Detaillierte Anforderungsanalyse:
CSV beginnt mit einer sorgfältigen Definition des Verwendungszwecks und der Funktionalitäten des Softwaresystems. Dadurch wird sichergestellt, dass die Validierungsaktivitäten auf den spezifischen Zweck des Systems zugeschnitten sind.
Umfassende Prüfung:
CSV legt Wert auf gründliche Tests aller Systemfunktionen, um mögliche Abweichungen oder Fehler zu erkennen. Diese Tests decken ein breites Spektrum von Szenarien ab und zielen darauf ab, nichts unversucht zu lassen.
Ausführliche Dokumentation:
Jeder Schritt des Validierungsprozesses wird akribisch und ausführlich dokumentiert. Diese Dokumentation dient als Nachweis für Aufsichtsbehörden und belegt die Konformität des Systems.
Weitere Informationen über CSV finden Sie unter Validierung von Computersystemen: Tipps für die korrekte Umsetzung.
Beschränkungen des CSV-Ansatzes
Der Wert von CSV ist unbestreitbar. Sie hat sich bei der Gewährleistung der Qualität und Zuverlässigkeit zahlreicher Softwaresysteme im Bereich der Biowissenschaften bewährt. Zu ihren wichtigsten Stärken gehören auch die Nachvollziehbarkeit, die Rückverfolgbarkeit und ihre breite Akzeptanz. Mit der rasanten Entwicklung der Software-Landschaft werden jedoch auch die Grenzen von CSV immer deutlicher:
Gründliche Tests und Dokumentation können ein langwieriger Prozess sein, der die Ressourcen belastet und die Systemeinführung verzögert.
Der starre, einheitliche Ansatz von CSV erschwert die Anpassung an die sich ständig ändernde Software und Technologie.
Die CSV ist zwar effektiv, aber ihre Grenzen machen deutlich, dass die CSA einen anpassungsfähigeren, effizienteren Ansatz verfolgen muss, bei dem das Risikomanagement Vorrang vor einer erschöpfenden Dokumentation hat.
Das Aufkommen der CSA
Der Übergang der Food and Drug Administration (FDA) von CSV zu CSA stellt einen bedeutenden Wandel in der Biowissenschaftsbranche dar, der einen effizienteren Ansatz zur Softwarevalidierung hervorhebt. Diese Änderung wird durch den Entwurf der FDA-Leitlinien zur „Computer Software Assurance for Production and Quality System Software“ unterstützt.
CSA priorisiert kritische Funktionalitäten und nutzt einen risikobasierten Ansatz, um den Validierungsprozess zu rationalisieren. Sie geht auch auf die üblichen Herausforderungen ein, die mit der traditionellen CSV verbunden sind, wie z. B. Automatisierungsblockaden und redundante Tests. Hier ein genauerer Blick auf die Kernprinzipien, die CSA auszeichnen:
Risikomanagement an vorderster Front
CSA setzt Prioritäten bei der Bewertung von Validierungsrisiken und konzentriert sich auf kritische Funktionen, die sich auf die Patientensicherheit und Datenintegrität auswirken. Dieser gezielte Ansatz stellt sicher, dass sich die Validierungsbemühungen auf die Bereiche mit den größten Auswirkungen konzentrieren.
Konzentration auf Ergebnisse, nicht nur auf Aktivitäten
Die CSA geht über das einfache Testen aller Funktionen hinaus, da sie darauf abzielt, die beabsichtigten Ergebnisse zu validieren. Sie strafft den Prozess, indem sie sich auf den Nachweis konzentriert, dass das System wie geplant funktioniert und die Datenintegrität gewährleistet, wodurch unnötige Tests reduziert werden.
Anpassungsfähigkeit an ein dynamisches Umfeld
Die Biowissenschaftsbranche entwickelt sich ständig weiter, und Software ist da keine Ausnahme. Der risikobasierte Ansatz von CSA lässt sich problemlos an diese Veränderungen anpassen. Wenn neue Funktionen hinzugefügt oder Technologien aktualisiert werden, kann eine neue Risikobewertung durchgeführt werden, um die Wirksamkeit des Systems zu gewährleisten. Durch diese Flexibilität wird sichergestellt, dass der Validierungsprozess angesichts der ständigen Innovation relevant bleibt.
Rationalisierte Dokumentation
Dieser Ansatz zielt darauf ab, die aufwändige Dokumentation und den Papierkram zu reduzieren, die Methodik des agilen Softwareentwicklungszyklus (SDLC) zu unterstützen und die Dokumentation und Tests der Anbieter zu nutzen.
Benötigen Sie fachkundige Beratung zu CSV/CSA?
Einen Termin vereinbarenHauptunterschiede zwischen CSV und CSA
| CSV | CSA |
Schwerpunkt und Ansatz | Ein linearer Ansatz, der sicherstellt, dass der vorgesehene Einsatz erfüllt wird und dass computergestützte Systeme den relevanten Vorschriften entsprechen. | Verfolgt denselben Zweck wie CSV, jedoch mit einem dynamischeren, risikobasierten Ansatz, der kritisches Denken und gezieltes Testen nutzt; konzentriert sich auf den Prozess und den Patienten statt auf softwarezentrierte Risiken. |
Dokumentation und Effizienz | Erhebliche Menge an Papierkram; zeit- und ressourcenaufwändig. | Weniger erstellte Dokumente ohne Abstriche bei der Qualität oder der Einhaltung von Vorschriften. |
Risikobewertung und -prüfung | Obwohl risikobasiert, umfasst es eine umfassendere Abdeckung und detailliert dokumentierte Tests. | Die Sicherheitsmaßnahmen basieren auf dem Risiko, das von den Softwarefunktionen ausgeht; ermöglicht mehr Flexibilität und verkürzt die Gesamtzeit für Tests in Bereichen mit geringem Risiko (durch unskriptierte Testoptionen). |
Die wichtigsten Schritte des CSA-Rahmens
1. Bestimmen Sie den Verwendungszweck
Der erste Schritt besteht darin, die Grundlage für die gesamte risikobasierte Strategie zu schaffen. Hier definieren die Hersteller sorgfältig die Rolle der einzelnen Softwareprogramme innerhalb des Produktions- oder Qualitätssystems. Dazu gehört das Verständnis, wie die Software mit anderen Systemen interagiert, welche Daten sie verarbeitet und welche Auswirkungen sie letztlich auf das fertige Medizinprodukt hat.
Stellen Sie sich vor, ein Hersteller medizinischer Geräte verwendet zwei Softwareprogramme:
Programm A: Verwaltet die grundlegende Bestandskontrolle für Rohmaterialien.
Programm B: Steuert die kritischen Algorithmen, die bei der Sterilisation von Geräten verwendet werden.
Programm A hat nur minimale Auswirkungen auf das Endprodukt, während Programm B einen direkten Einfluss auf die Patientensicherheit hat. Anhand des Zwecks der einzelnen Programme kann der Hersteller den Grad des Risikos einstufen.
2. Bestimmen Sie eine risikobasierte Strategie
Dieser Schritt beinhaltet eine gründliche Bewertung der mit der Software/Funktion/Betrieb verbundenen potenziellen Risiken. Hier sind einige Faktoren zu berücksichtigen:
Auswirkungen auf die Gerätefunktionalität:
Hat die Software einen direkten Einfluss auf die Leistung oder die Sicherheitsmerkmale des Geräts? So würde beispielsweise eine Software, die die Dosierung in einer Medikamentenpumpe steuert, eine strengere Bewertung erfordern als ein Programm, das die Versandlogistik verwaltet.
Integrität der Daten:
Kann die Software Daten im Zusammenhang mit der Produktion oder Qualitätskontrolle manipulieren oder beeinträchtigen? Wenn die Software Patientendaten oder Sterilisationsaufzeichnungen verwaltet, könnte eine Datenverletzung schwerwiegende Folgen haben. Die Risikobewertung würde den Bedarf an robusten Sicherheitsmaßnahmen hervorheben.
Sicherheitsschwachstellen:
Ist die Software anfällig für Hackerangriffe oder Cyberattacken, die den Betrieb stören könnten? Software, die mit dem Internet verbunden ist oder mit sensiblen Daten umgeht, erfordert eine gründliche Bewertung potenzieller Sicherheitsschwachstellen.
Unter Berücksichtigung dieser Faktoren kann der Hersteller jedem Softwareprogramm eine Risikostufe (hoch, mittel, niedrig) zuweisen. Diese Risikostratifizierung bildet die Grundlage für die Auswahl der am besten geeigneten Validierungsmaßnahmen.
3. Geeignete Assurance-Aktivitäten auswählen
Basierend auf dem zugewiesenen Risikolevel wählt der Hersteller die am besten geeigneten Sicherheitsmaßnahmen aus (einschließlich skriptgesteuertem und unskriptgesteuertem Testen). Nachstehend eine Aufschlüsselung der möglichen Aktivitäten für die verschiedenen Risikokategorien:
Hochriskante Software:
Diese Software erfordert die strengsten Validierungsmethoden. Beispiele hierfür sind Code-Reviews, umfangreiche Unit-Tests, Integrationstests und Penetrationstests zur Ermittlung von Sicherheitslücken.
Software mit mittlerem Risiko:
Validierung in dieser Kategorie kann eine Kombination aus Code-Reviews, selektiven Unit-Tests und funktionalen Tests umfassen, um sicherzustellen, dass die Software wie beabsichtigt funktioniert.
Software mit geringem Risiko:
Für Software mit geringem Risiko können einfachere Validierungsmethoden wie die Benutzerakzeptanzprüfung (die bestätigt, dass die Software den Anforderungen der Benutzer entspricht) ausreichend sein.
4. Umfassende Aufzeichnungen erstellen
Der CSA-Rahmen stützt sich auf umfassende Aufzeichnungen. Diese Aufzeichnungen dokumentieren den gesamten Software-Sicherheitsprozess, sorgen für Transparenz und erleichtern Audits. Automatisierungswerkzeuge können zur Rationalisierung von Test- und Dokumentationsprozessen eingesetzt werden. Hier sind einige der wichtigsten Informationen, die in der Dokumentation festgehalten werden:
Zweck der Nutzung:
Eine klare Beschreibung der Rolle der Software im System, einschließlich ihrer Aufgaben, Dateninteraktion und Integration.
Risikobewertung:
Dokumentation des Risikobewertungsprozesses mit detaillierten Informationen über die ermittelten Gefahren, die zugewiesenen Risikostufen und die entsprechenden Begründungen.
Validierungsaktivitäten:
Aufzeichnungen über die für jedes Softwareprogramm gewählten Validierungsmethoden, die ihre Auswahl auf der Grundlage des Risikoniveaus begründen, mit Einzelheiten zu den Testplänen und -verfahren.
Ergebnisse der Validierung:
Erfasst den Status „bestanden/nicht bestanden“ für jeden Test sowie alle Diskrepanzen, Abweichungen und Korrekturmaßnahmen.
Matrix der Rückverfolgbarkeit:
Eine Verbindung zwischen den identifizierten Risiken, den ausgewählten Validierungsaktivitäten und ihren Ergebnissen, aus der hervorgeht, wie die einzelnen Risiken gemindert werden.
Diese Aufzeichnungen werden während des gesamten Lebenszyklus der Software geführt, mit Aktualisierungen bei Änderungen, regelmäßigen Überprüfungen und fortlaufender Einhaltung der Risikobewertung. Umfassende Aufzeichnungen sind die Grundlage für eine erfolgreiche CSA-Rahmenimplementierung, die das Vertrauen in die FDA stärkt und die Patientensicherheit in den Vordergrund stellt.
Herausforderungen und Überlegungen bei der Umsetzung
Bei der Umstellung von der Gemeinsamen Wertschöpfung auf die Gemeinsame Wertschöpfung ergeben sich mehrere Herausforderungen und Überlegungen zur Umsetzung. Deren effektive Bewältigung ist entscheidend für einen reibungslosen Übergang:
Compliance-Mentalität
Angst vor Veränderungen aufgrund einer tief verwurzelten Mentalität der Einhaltung von Vorschriften, die Checklisten und Dokumentationen Vorrang vor praktischen, bedarfsorientierten Maßnahmen einräumt.
Digitaler Übergang
Die Herausforderung der Umstellung von papiergestützten auf digitale CSA-Prinzipien, insbesondere für Unternehmen, die in traditionellen Prozessen verhaftet sind.
Unterstützung der Führung
Eine erfolgreiche Umstellung auf CSA-Prozesse erfordert eine hochrangige Führungspersönlichkeit, die sich für die Sache einsetzt, die Denkweise über die Einhaltung der Vorschriften durchbricht und sich für den kulturellen Wandel hin zu einem effizienteren, risikobasierten Ansatz einsetzt.
Technologie umarmen
Die Implementierung von Cloud-basierten Technologien (welches bereits an Bedeutung gewonnen hat) und automatisierten Arbeitsabläufen kann die Effizienz erheblich steigern, manuelle Fehler reduzieren und den Echtzeit-Zugriff auf Daten verbessern.
Einhaltung von Vorschriften
Investitionen in moderne Plattformen für regulatorische Informationen und automatisierte Qualitätsmanagementsysteme (eQMS) gewährleisten die Einhaltung strenger Standards, die von Regulierungsbehörden wie der FDA und der Europäischen Arzneimittelagentur (EMA) festgelegt wurden.
Qualitätsmanagement
Die Entwicklung eines risikobasierten Ansatzes für das QMS konzentriert die Bemühungen auf Bereiche mit hohem Risiko, optimiert die Ressourcenzuweisung und gewährleistet Produktqualität und Patientensicherheit.
Fallstudie: Risikobasierte Assurance für ein Learning Management System
Angenommen, ein Hersteller implementiert ein handelsübliches Lernmanagementsystem (LMS), um das Management, die Aufzeichnung, Verfolgung und Berichterstattung von Schulungen gemäß den regulatorischen Anforderungen zu automatisieren ( 21 CFR 820.25 ). Die wichtigsten Funktionen des Systems umfassen die Benutzeranmeldung, die Zuweisung von Schulungen, den Nachweis der Schulungsteilnahme, Benachrichtigungen über die Zuweisung und den Abschluss von Schulungen sowie die Erstellung von Schulungsberichten.
Verwendungszweck: Alle Funktionen zielen darauf ab, die Einhaltung der Schulungsanforderungen zu automatisieren und sicherzustellen.
Risikoanalyse: Die Bewertung ergab, dass ein Ausfall der Systemfunktionen zwar die Integrität der Aufzeichnungen des Qualitätssystems beeinträchtigen, aber die Sicherheit nicht direkt gefährden würde. Daher wurde das Prozessrisiko als gering eingestuft.
- Durchführung einer gründlichen Beurteilung der Systemfähigkeit und Bewertung der Lieferanten.
- Durchgeführte Installationsprüfungen.
- Durchführung von Tests ohne Skript, bei denen Techniken zur Fehlersuche eingesetzt werden, um die Robustheit des Systems in Frage zu stellen (z. B. der Versuch, Prüfpfade zu löschen).
- Dokumentiert den Verwendungszweck des Systems und das Ergebnis der Risikoanalyse.
- Zusammenfassung der getesteten Fehlerarten, der identifizierten Probleme und der Lösungen.
- Enthielt eine abschließende Erklärung über die betriebliche Akzeptanz, das Testdatum und die Identität des Testers.
Der Hersteller wandte eine risikobasierte Sicherheitsstrategie an, um das LMS effizient zu validieren. Indem er sich auf kritische Funktionen konzentrierte und gezielte Testmethoden einsetzte, stellte der Hersteller die Integrität und Konformität des Systems sicher und dokumentierte gleichzeitig die wesentlichen Validierungen und Ergebnisse. Dieser Ansatz strafft den Prüfprozess, ohne Kompromisse bei der Gründlichkeit oder den gesetzlichen Verpflichtungen einzugehen.
Schlussfolgerung
Der Übergang von CSV zu CSA markiert einen entscheidenden Wandel hin zu Effizienz und eine weitere Betonung des risikobasierten Ansatzes im Bereich der Biowissenschaften, bei dem die Sicherheit der Patienten und die Produktqualität im Vordergrund stehen. Diese Änderung geht über die umfangreiche Dokumentation hinaus und stellt einen tiefgreifenden Wandel in der Denkweise der Branche hin zu Agilität und kritischem Denken bei der Einhaltung von Vorschriften dar. Trotz der Herausforderungen bei der Einführung unterstreichen die Vorteile – verbesserte betriebliche Effizienz, Ressourcenoptimierung und Innovation – die entscheidende Rolle von CSA bei der Verbesserung von Qualitätsmanagementsystemen. Dies wird nicht nur die betriebliche Effizienz verbessern, sondern auch die Entwicklung zuverlässiger und sicherer biowissenschaftlicher Produkte und damit eine neue Ära der patientenzentrierten Gesundheitstechnologie einläuten.
Referenzen
- https://www.fda.gov/regulatory-information/search-fda-guidance-documents/computer-software-assurance-production-and-quality-system-software
- https://ispe.org/gamp-5
- https://www.greenlight.guru/blog/csa-vs-csv
- https://www.scilife.io/blog/csv-csa-main-differences
- https://qbdgroup.com/en/blog/computer-software-assurance-in-pharma-industry/
- https://www.criticalmanufacturing.com/blog/csa-vs-csv-fda-new-guidance-for-software-assurance/
- https://www.drugdiscoverytrends.com/the-importance-of-computer-software-assurance-in-the-life-sciences-industry/
- https://us.nttdata.com/en/blog/2023/november/overcoming-csa-roadblocks-for-life-sciences-companies
Nirekshana Krishnasagar
Computer Systems Validation Specialist
