Läkemedelskongressen 8/11 2011 GMP

Läkemedelskongressen 8/11 2011
GMP-krav för datoriserade system –
Eudralex Annex 11 och FDA 21 CFR Part 11
Introduktion och innehåll
Tony Forsberg
Introduktion
Tony Forsberg
[email protected]
Bakgrund

Arbetat med utveckling av
datoriserade system i nästan 25 år

Arbetat med validering av
datoriserade system i nästan 20 år



Tagit fram och implementerat
kvalitetsledningssystem för
framtagning, implementering,
förvaltning och avveckling av
datoriserade system

Senior specialistkonsult

Valideringsledare

Kvalitetschef

Programledare/Projektledare

Linjechef för systemutvecklare
och projektledare

Quality Manager

Service Manager

Systemutvecklare
Bakgrund
Granskat genomförda kvalificeringar
och valideringar för att förbättra
effektivitet
Utfört inspektioner av leverantörer av
datoriserade system som inspektionsledare
Innehåll
1.
Översikt - regelverk, riktlinjer och praxis
2.
Definition av ett datoriserat system
3.
Annex 11
4.
21 CFR Part 11
5.
Skillnader mellan Annex 11 och 21 CFR Part 11
6.
Elektroniska signaturer (ES) och elektronisk information (ER)
7.
Vad består en validering av
8.
Daglig drift och förvaltning
9.
Inför en inspektion
Definition validering
”Upprättande av dokumenterade bevis, vilka med hög grad av
säkerhet säkerställer att en specifik process konsekvent
kommer att producera en produkt som uppnår sina
förutbestämda specifikationer och kvalitativa egenskaper.”
Ursprunglig definition, FDA i mitten på 1970-talet.
Definition kvalificering
“Aktiviteter som genomförs för att visa att utrustning,
media och annat som används i processen är lämpade för
respektive användningsområde, och fungerar som avsett.”
Ref: Guidance for Industry Process Validation: General Principles and practices
Översikt
Regelverk och riktlinjer
Ansvariga myndigheter
Exempel på olika myndigheter

USA
−

Europa
−

FDA – Food and Drug Administration
EMA – European Medicines Agency
Sverige
−
Medical Products Agency – Läkemedelsverket
Myndigheters roll och inspektionsverksamhet
Syfte

Att skydda allmänheten

Att utfärda regler

Att godkänna nya produkter

Att inspektera företagen för att kontrollera att
regelverk efterlevs
FDA - Regelverk
US Code of Federal Regulations, Title 21, Food and Drugs
 21 CF R11
Electronic Records, Electronic Signatures (Part 11)
 21 CFR 58
Good Laboratory Practice for Nonclinical Laboratory
Studies
 21 CFR 210
Current Good Manufacturing Practice in Manufacturing,
Processing, Packing, or Holding Of Drugs; General
 21 CFR 211
Current Good Manufacturing Practice for Finished
Pharmaceuticals
 21 CFR 820
Quality System Regulations (Medical Device)
FDA - Riktlinjer
 General Principles of Software Validation - Final Guidance
for Industry and FDA Staff
 Pharmaceutical cGMPs for the 21st Century - A Risk-Based
Approach Final Report
 Enforcement Policy: 21 CFR Part 11; Electronic Records;
Electronic Signatures
 Guidance for Industry Part 11, Electronic Records;
Electronic Signatures — Scope and Application
 Guidance for Industry - Computerized Systems in Clinical
Trial
EMA - regelverk
EudraLex
 Volume 1
Legislation
Human
 Volume 2
Notice to applicants
Human
 Volume 3
Guidelines
Human
 Volume 4
GMP
Human & Veterinary
 Volume 5
Legislation
Veterinary
 Volume 6
Notice to applicants
Veterinary
 Volume 7
Medecinal Products
Veterinary
 Volume 8
MRL
Veterinary
 Volume 9
Pharmacovigiliance
Human & Veterinary
 Volume 10
Clinical trials
Human
EudraLex Volume 4 GMP

Part I - Basic requirements for Medicinal Products
−
Chapter 1 - Quality Management
−
Chapter 2 - Personnel
−
Chapter 3 - Premise and Equipment
−
Chapter 4 - Documentation
−
Chapter 5 - Production
−
Chapter 6 - Quality control
−
Chapter 7 - Contract Manufacture and Analysis
−
Chapter 8 - Complaints and Product Recall
−
Chapter 9 - Self Inspection

Part II - Basic Requirements for Active Substances used as Starting Materials

Part III – GMP related documents
−
Site Master File
−
Q9 Quality Risk Management
−
Q10 Note for Guidance on Pharmaceutical Quality System
−
MRA Batch Certificate Chapter 1
Europa – EudraLex Volume 4 GMP, Annexen
−
Annex 1
Manufacture of Sterile Medicinal Products
−
Annex 2
Manufacture of Biological Medicinal Products for Human Use
−
Annex 3
Manufacture of Radio Pharmaceuticals
−
Annex 4
Manufacture of Veterinary Medicinal Products other than immunological Veterinary Medicinal Products
−
Annex 5
Manufacture of Immunological Veterinary Medicinal Products
−
Annex 6
Manufacture of Medicinal Gases
−
Annex 7
Manufacture of Herbal Medicinal Products
−
Annex 8
Sampling of Starting and Packaging Materials
−
Annex 9
Manufacture of Liquids, Creams and Ointments
−
Annex 10
Manufacture of Pressurised Metered Dose Aerosol Preparations for Inhalation
−
Annex 11
Computerised Systems
−
Annex 12
Use of Ionising Radiation in the Manufacture of Medicinal Products
−
Annex 13
Manufacture of Investigational Medicinal Products
−
Annex 14
Manufacture of Products derived from Human Blood or Human Plasma
−
Annex 15
Qualification and validation
−
Annex 16
Certification by a Qualified person and Batch Release
−
Annex 17
Parametric Release
−
Annex 18
Good manufacturing practice for active pharmaceutical ingredients
−
Annex 19
Reference and Retention Samples
Riktlinjer och praxis
 PIC/S - Pharmaceutical Inspection Cooperation Scheme
− PI 011 Guidance on Good Practices for Computerized Systems in
Regulated ―GxP‖ Environments
 ASTM International
− E2500 Standard Guide for Specification, Design, And Verification
of Pharmaceutical and Biopharmaceutical Manufacturing Systems
and Equipment
 ISO - International Organization for Standardization
− ISO 9001 Kvalitetsledningssystem
− SS-ISO IEC 90003 Programvaruutveckling – Krav
− SS-ISO IEC 12207 System- och programvarukvalitet –
Livscykelprocesser för programvara
Riktlinjer och praxis
ISPE
 GAMP 5: A risk-based approach to Compliant GxP
Computerized Systems
 GAMP Good Practice Guides
− Validation of Process Control System
− IT Infrastructure Control and Compliance
− A risk-based approach to Compliant Electronic Records and
Signatures
− Validation of Laboratory Computerized Systems
− Testing of GxP systems
− Manufacturing Execution Systems – A Strategic and Program
Management Approach
ICH – International Conference on Harmonisation

Samlar ansvariga myndigheter och läkemedelsindustrin
från Europa, Japan och USA

Läkemedelsbranschen mer internationell än någonsin 
ökat behov av harmonisering

Syftet är att utveckla och registrera säkra och effektiva
läkemedel av hög kvalitet på det mest resurseffektiva
sättet
PIC/S - Pharmaceutical Inspection Convention
 The Pharmaceutical Inspection Convention och Pharmaceutical
Inspection Co-operation Scheme (tillsammans kallade PIC/S)
 Samarbete mellan 39 internationella myndigheter som ansvarar
för inspektioner inom GMP-området
 Leda den internationella utvecklingen, implementeringen och
underhållet av harmoniserade GMP-standarder och inspektioner
inom läkemedelsindustrin t.ex. genom…
…
…
…
…
…
en enhetlig syn på inspektioner
harmonisering av GMP-krav
enhetliga system för inspektioner
utbildning av inspektörer
utbyte av information
ASTM International

Tar fram internationella standarder på frivillig basis

Ungefär 12 000 standarder för att…
… förbättra produktkvalitet
… höja säkerheten
… underlätta handel
… skapa kundförtroende

Drivs av medlemmar

30 000 medlemmar som arbetar inom branschen och
representerar 135 länder
ISO - International Organization for Standardization
 Världens största organisation inom utveckling och
publicering av internationella standarder
 Nätverk av nationella institut från 162 länder
 Kopplar samman offentlig- och privat sektor för att nå
konsensus mellan krav från industrin och behoven i
samhället
ISPE - International Society for Pharmaceutical Engineering

En organisation för personer som arbetar med
tillverkning av läkemedel och relaterade produkter

Forum för att diskutera praktisk tillämpning av teknologi i
syfte att främja ―best practices‖

22 000 medlemmar i 90 länder

Hålla yrkesverksamma personer uppdaterade inom de
senaste regulatoriska och teknologiska trenderna
Användbara länkar

FDA-dokument:
http://www.fda.gov/Drugs/GuidanceComplianceRegulatoryInformation/Guidances
/default.htm

PIC/S-dokument:
http://www.picscheme.org/publication.php

EMA-dokument:
http://ec.europa.eu/health/documents/eudralex/vol-4/index_en.htm

ASTM:
http://www.astm.org/

ISPE:
http://www.ispe.org/
Vad är ett datoriserat system
Datorsystem
Computer system (ANSI)
 A functional unit, consisting of one or more computers and
associated peripheral input and output devices, and
associated software, that uses common storage for all or part
of a program and also for all or part of the data necessary for
the execution of the program.
− Executes user-written or user-designated programs
− Performs user-designated data manipulation, including
arithmetic operations and logic operation
 A computer system may be a stand-alone unit or may consist
of several interconnected units.
ANSI = American National Standards Institute
Datoriserat system
Computerized system (FDA)
 Includes hardware, software, peripheral devices, personnel,
and documentation; e.g., manuals and Standard Operating
Procedures.
FDA = Food and Drug Administration
Datoriserat system
MJUKVARA
FÖRESKRIFTER
PERSONAL
MASKINVARA
UTRUSTNING
DATORSYSTEM
PROCESS ELLER
FUNKTION
DATORISERAT SYSTEM
DRIFTSMILJÖ
(omfattar angränsande system, andra system, media, personal, utrustning och föreskrifter)
PIC/S Guidance on Good Practices for Computerized Systems in Regulated ―GxP‖ Environments
Annex 11
Annex 11

Tidigare versionen gällde under nästan 20 år

Reviderades på grund av ökad användning av datoriserade
system inom läkemedelsindustrin och mer komplexa
datoriserade system

Första utkastet släpptes i april
2008, slutgiltiga dokumentet
publicerades i januari 2011 och
trädde i kraft 30 juni 2011
Annex 11 – Skillnader från tidigare upplaga
Nya Annex 11 är mer omfattande och innehåller mer detaljer än
den tidigare upplagan.
 Riskhantering








Levarantörer och support
Livscykel- och projekthantering
Validering
Elektroniska signaturer
Utskrifter
Loggning (Audit Trail)
Periodvisa utvärderingar
Ökat fokus på dataintegritet
Annex 11 – Skillnader från tidigare upplaga
Vad som saknas…
 Retrospektiv validering
 Parallella system
− Manuellt system
− Elektroniskt
Annex 11 - Syfte
 Att säkra att datoriserade system kan användas
inom tillverkningen av medicinska produkter
utan negativ inverkan på kvalitet, effektivitet
eller patientsäkerhet
 Att tillhandahålla kriterier för effektiv
implementering, kontroll och användning av
datoriserade system
Annex 11 - Områden som behandlas
Princip
Riskhantering
Personal
Leverantörer och support
Projektfas
Driftfas (förvaltning)
−
−
−
−
−
−
−
−
−
−
−
−
−
−
Validering
Data
Kontroll av inmatad information
Lagring av data
Utskrifter
Loggning (Audit Trail)
Ändrings- och konfigurations
Periodisk granskning
Säkerhet
Incidenthantering
Elektroniska signaturer
Frisläppning av batcher
Kontinuitetsplanering
Arkivering
Annex 11 - Princip

Gäller alla datoriserade system som används inom GMPreglerade områden
−
Planeringssystem, styrsystem, LIMS, kalkylark

Datoriserade system ska valideras
Infrastruktur ska kvalificeras

Om systemet ersätter en manuell
procedur får inte försämringar ske
inom…
…
Produktkvalitet
…
Processkontroll
…
Kvalitetssäkring
Annex 11 - Princip
Validering och kvalificering

En validering består av flera kvalificeringar, t.ex.
designkvalificering, installationskvalificering (IQ)
och test (OQ/PQ)

Kvalificering av infrastruktur är en av dessa, vilken
innebär att t.ex. de servrar som används ska kvalificeras
−
I detta ingår att dokumentera installationen samt att
servern fungerar som avsett
−
Ändring av kvalificerad infrastruktur ska dokumenteras
IQ = Installation Qualification
OQ = Operational Qualification
PQ = Performance Qualification
Annex 11 - Områden som behandlas
Princip
Riskhantering
Personal
Leverantörer och support
Projektfas
Driftfas (förvaltning)
−
−
−
−
−
−
−
−
−
−
−
−
−
−
Validering
Data
Kontroll av inmatad information
Lagring av data
Utskrifter
Loggning (Audit Trail)
Ändrings- och konfigurations
Periodisk granskning
Säkerhet
Incidenthantering
Elektroniska signaturer
Frisläppning av batcher
Kontinuitetsplanering
Arkivering
Annex 11 - Övergripande
Riskhantering
 Omfattar systemets hela livscykel
− Patientsäkerhet, dataintegritet och produktkvalitet
 Validering och kontroller av dataintegritet ska baseras på
dokumenterade riskutvärderingar
Annex 11 - Övergripande
Personal
 Definitioner
− Systemägare
− Processägare
− (Systemförvaltare)
 Nära samarbete mellan all relevant personal såsom
processägare, systemägare, kvalificerade medarbetare
och IT
 Personalen ska ha lämpliga kvalifikationer, endast tillgång
till relevant data och definierade ansvarsområden
Annex 11 - Övergripande
Leverantörer och support
 Formella överrenskommelser mellan tillverkare och tredje
part
− Ska tydligt redogöra för leverantörens ansvar och
skyldigheter
− IT-avdelningar bör beaktas på samma vis
Annex 11 - Områden som behandlas
Princip
Riskhantering
Personal
Leverantörer och support
Projektfas
Driftfas (förvaltning)
−
−
−
−
−
−
−
−
−
−
−
−
−
−
Validering
Data
Kontroll av inmatad information
Lagring av data
Utskrifter
Loggning (Audit Trail)
Ändrings- och konfigurations
Periodisk granskning
Säkerhet
Incidenthantering
Elektroniska signaturer
Frisläppning av batcher
Kontinuitetsplanering
Arkivering
Annex 11 - Projektfasen
 Ska täcka samtliga relevanta steg i livscykeln
− Standarder, protokoll, acceptanskriterier, tillvägagångssätt och
dokument ska baseras på riskutvärdering
 Dokumentation för förändringar och avvikelser
 Inventeringslista över relevanta system
− Systembeskrivningar för kritiska system
 Kravspecifikation
− Spårbarhet under systemets livscykel
Projektfasen – Validering
 Utveckling enligt lämpligt kvalitetsledningssystem
 Process för utvärdering och rapportering av kvalitet och
prestanda för kundanpassade system
 Bevis för att relevanta testmetoder och testscenarion har
använts
 Validering vid överföring av data
Annex 11 - Områden som behandlas
Princip
Riskhantering
Personal
Leverantörer och support
Projektfas
Driftfas (förvaltning)
−
−
−
−
−
−
−
−
−
−
−
−
−
−
Validering
Data
Kontroll av inmatad information
Lagring av data
Utskrifter
Loggning (Audit Trail)
Ändrings- och konfigurations
Periodisk granskning
Säkerhet
Incidenthantering
Elektroniska signaturer
Frisläppning av batcher
Kontinuitetsplanering
Arkivering
Annex 11 – Driftfas (förvaltning)
 Data
− Inbyggda kontroller för att minimera risker
 Kontroll av inmatad information
− Manuellt inlagd data ska kontrolleras
 Lagring av data
− Lämpligt skydd (fysiskt och
elektroniskt)
− Tillgänglighet, läsbarhet och
riktighet ska kontrolleras
− Back-up
 Utskrifter
− Elektronisk data
− Vid frisläpp av batch ska ändringar
framgå
Annex 11 – Driftfas (förvaltning)
 Loggning (Audit Trail)
− Dokumentation över GMP-relevanta förändringar
 Ändrings- och konfigurationshantering
− Enligt definierade procedurer
 Periodisk granskning
 Säkerhet
− Beror på hur kritiskt systemet är
− Spårbarhet (vem och hur)
 Incidenthantering
− Ska rapporteras och utvärderas
Annex 11 – Driftfas (förvaltning)
 Elektroniska signaturer
− Permanenta och inkludera tid och datum
 Frisläppning av batcher
− Kvalificerad personal ska frisläppa batchen med en
elektronisk signatur
 Kontinuitetsplanering
− Support och alternativ vid fel och avbrott
 Arkivering
− Tillgänglighet, läsbarhet, integritet och spårbarhet
Kapitel 4 Dokumentation - Områden som behandlas
Princip
Styrande dokument
Resultatdokument (redovisande)
Innehåll
−
−
−
−
−
−
Framtagning och kontroll av dokument
God dokumentationssed
Åtkomst av dokument
Specifikationer
Recept för tillverkning och instruktioner för tillverkning
Styrande dokument och resultatdokument
Kapitel 4 Dokumentation - Princip

Uppdaterad på grund av ökad användning av elektroniska
dokument (data)

God dokumentationssed är en viktig del i
kvalitetsledningssystemet

Dokument kan vara i pappersformat eller elektroniskt
format

Det finns två typer av dokument: styrande dokument
(t.ex. föreskrifter) och resultatdokument/redovisande
dokument (t.ex. testprotokoll)

Kontroller ska vara implementerade för
att säkerställa att dokument är korrekta
och tillgängliga
21 CFR Part 11
21 CFR Part 11
 Trädde i kraft 20 augusti 1997
 Omfattar alla FDA-reglerade verksamheter
 Ställer krav på att system ska valideras
Syfte

Att tillåta användningen av elektroniska dokument (data)
i så stor utsträckning som möjligt och samtidigt skydda
allmänheten

Elektroniska dokument (data) och signaturer ska vara
tillförlitliga
Omfattande kritik mot 21 Part 11
 Begränsar användningen av elektroniska dokument
(data)
 Högre kostnader för att anpassa system än
beräknat
−
Gäller alla system inom en FDA-reglerad verksamhet
−
Inte riskbaserad  full validering av alla system
−
Innefattar äldre system  full validering
 Motverkar innovation utan att bidra till ökad
patientsäkerhet
Kritik mot Part 11

För att möta kritiken publicerades en guide i augusti 2003
− Part 11, Electronic Records; Electronic Signatures — Scope and
Application’ guidance

Guiden beskriver ett antal områden där FDA tillämpar lättnader
(enforcement discretion)

Områden som berörs (under specifika villkor) är
− Validering - risk
− Loggning (Audit Trail) – när
− Gamla system (innan augusti 1997) – i drift innan och uppfyller
dåvarande och gällande krav
− Kopiering av data – läsbart och standardiserat format
− Åtkomst av data och arkivering

Krav på elektronisk signering och vilka elektroniska data som
ska finnas ska stämmas av mot gällande regelverk
Del B – Elektroniska dokument (data)
Stängda system - Öppna system - Signaturer - Koppling signatur/dokument
 Validering
 Korrekta och fullständiga dokument ska finnas tillgängliga
 Skydd av data under hela arkiveringsperioden
 Tillgång till systemet begränsat till behörig personal
 Loggning (Audit Trail)
 Kontroll av systemet i drift
Del B – Elektroniska dokument (data)
Stängda system - Öppna system - Signaturer - Koppling signatur/dokument
 Behörighetskontroll – vem har tillgång?
 Kontroll av utrustning
 All personal som arbetar med berörda system ska ha
relevant utbildning
 Policy för ansvar vid underskrift
 Kontroll av systemdokumentation
− Tillgång, distribuering, och användning av dokument
− Revisioner och hantering av förändringar
Del B – Elektroniska dokument (Data)
Stängda system - Öppna system - Signaturer - Koppling signatur/dokument
Signerade elektroniska dokument (data) ska innehålla
 Fullständigt namn
 Datum och tidpunkt
 Signaturens syfte (mening)
Samma kontroller som för elektroniska dokument (data)
Del B – Elektroniska dokument
Stängda system - Öppna system - Signaturer - Koppling signatur/dokument
Länk ska finnas mellan signatur och dokument
(data) för att säkerställa att en signatur inte kan…
… bli borttagen
… kopieras
… eller på annat sätt överföras i förfalskningssyfte
Annex 11 och 21 CR Part 11
En jämförelse
Tillämpning
Annex 11
21 CFR Part 11
Datoriserade system som del
av GMP-reglerade aktiviteter
Elektroniska dokument
(data) och elektroniska
signaturer som används
inom samtliga aktiviteter
reglerade av FDA
Fokusering
Annex 11
21 CFR Part 11
Riskbaserad hantering av
datoriserade system med fokus
på kvalitet
Användandet av elektroniska
dokument och signaturer i
öppna och stängda
datorsystem
Syfte
Annex 11


Att säkra att datoriserade
system kan användas inom
tillverkningen av medicinska
produkter utan negativa
effekter på kvalitet,
effektivitet eller patientsäkerhet.
Att tillhandahålla kriterier
för effektiv implementering,
kontroll och användning av
datoriserade system.
21 CFR Part 11

Att tillåta användningen av
elektroniska dokument
(data) i så stor utsträckning
som möjligt och samtidigt
skydda allmänheten.

Kriterier för vad som krävs
för att elektroniska
dokument (data) ska anses
lika tillförlitliga som
pappersdokument och
handskrivna signaturer.
21 CFR Part 11
Generella bestämmelser
Generella bestämmelser
•
•
•
•
•
•
Riskhantering
Personal
Leverantörer och support
Projektfas
•
Validering
Driftfas (förvaltning)
•
•
•
•
•
•
•
•
•
•
•
•
•
Data
Kontroll av inmatning
Arkivering
Utskrifter
Loggning (Audit Trail)
Ändrings- och konfigurationshantering
Periodvisa granskningar
Säkerhet
Incidenthantering
Elektroniska signaturer
Frisläppning av batcher
Kontinuitetsplanering
Arkivering
hantering
Annex 11
Specifik
Livscykelkoncept
Koncept
Omfattning
Implementering
Definitioner
Elektroniska dokument (data)
•
•
•
•
Kontroller av stängda system
Kontroller av öppna system
Signaturer
Koppling mellan signatur och
dokument
Elektroniska signaturer
•
•
•
Generella krav
Elektroniska signaturers
utformning och kontroller
Hantering av användaridentiteter och lösenord
Översikt
Annex 11
21 CFR Part 11
Infallsvinkel
Hur?
Vad?
Tillämpning
GMP-reglerade aktiviteter
Aktiviteter reglerade av
FDA
Fokus
Risk och kvalitet
Elektroniska dokument
(data) och signaturer
Syfte
Produktkvalitet och
kvalitetssäkring
Tillförlitliga elektroniska
dokument (data)
Omfattning
Fler områden behandlas
Snävare fokus
Koncept
Livscykelkoncept
Specifik hantering
Exempel på ER och ES
Definiera ER och ES

Utgående från gällande regelverk definiera vilka elektroniska
signeringar (ES) som behöver utföras och vilka elektroniska
data (ER) som ska hanteras

Bestäm om ett elektroniskt data ska signeras med
namnteckning eller med signatur (initialer)
Tänk på hur det brukar göras på pappersdokument
Sker signering med fullständig namnteckning medför detta
elektronisk signering med t.ex. användaridentitet och lösenord
Jämför med godkännande av ett dokument
Sker signering med datum och signatur (initialer) kan detta
medföra att ingen signering behöver utföras utan det räcker
med att detta sparas i systemets loggning (Audit Trail)
Jämför signering av en utförd aktivitet i ett batchprotokoll
Definiera ER och ES
 Verifiera på lämpligt sätt dokumenterade
elektroniska signeringar (ES) och elektroniska
data (ER)
− Ett sätt kan var att använda en spårbarhetsmatris
(RTM)
ES
och
ER
Tester
Spårbarhetsmatris
Exempel på elektroniska signaturer (ES)

Dokumenthanteringssystem
− Godkännande av dokument

Laboratory Information Management System
− Fullständig signatur
• Godkännande av produktspecifikation
• Frisläppande av batcher
− Datum och signatur (initialer)
• Rapportering av analysresultat
Exempel på elektroniska data (ER)

Dokumenthanteringssystem
− Godkända dokumentversioner
• Varje enskilt metadata är inte ett ER
− Användarkonton

Laboratory Information Management System
− Godkända analysversioner
− Godkända produktspecifikationsversioner
− Loggade och godkända batcher
− Testresultat
− Användarkonton
När blir det ett elektronisk data (ER)?

En riktlinje är att det blir elektronisk data (ER) när data sparas
− Vid rapportering av ett resultat där systemet
kontrollerar om värdet är korrekt är inte
inmatningen ett ER
− Det blir ett ER när operatören väljer att
spara informationen

Elektronisk data utskriven på papper
− Viktigt att dokumentera vad som används för GMP-beslut
− Innehåller dokumentet beräknade resultat eller diagram kan det vara
nödvändigt att spara data som använts för framtagning av dessa
beräkningar eller diagram
− Det ska finnas en tydlig koppling mellan utskriven data och data i systemet
 Kort bensträckare på två minuter
Vad består en validering av
Ett systems livscykel
Krav
Faser:
Koncept
Frisläppning
Projekt
Ändringar
Drift och förvaltning
Borttag och
arkivering
Avveckling
Ett systems livscykel
 Koncept
− Utveckling av krav och potentiella lösningar
− Kostnader och fördelar för att besluta om ett projekt ska initieras
 Projekt
− Planering, leverantörsbedömning och val av leverantör
− Konfigurering och verifiering
 Drift och förvaltning
− Den längsta fasen
− Systemet används och förvaltas
 Avveckling
− Avveckling av programvara och maskinvara
− Arkivering av information
Validering – En översikt
Planering
Rapportering
Specificering
Verifiering
Tillverkning
Validering – Detaljer
Valideringsrapport
Valideringsplan
Kravspecifikation
Test av krav
Funktionsspecifikation
Funktionstest
Designspecifikation
Integrationstest
Modulspecifikation
Modultest
Konfigurering
och/eller kodning
Stödprocesser
Riskhantering, designgranskning, ändrings- och konfigurationshantering,
spårbarhet och dokumenthantering
Hur kan det gå till?

För att ge en uppfattning om
hur en validering kan planeras
(omfattning) och genomföras
kommer LIMS att användas
som ett genomgående exempel

LIMS är ett system som många
kan förstå och relatera till
Bakgrund LIMS

Ett LIMS kan vara ett komplext system

Ett LIMS kan innehålla allt från provtagning till
frisläppning av batcher
−
Inklusive all statisk data som behövs, t.ex. analyser,
provtagningsplaner och specifikationer

Ett LIMS kan integreras med system för mottagning av
material, planeringssystem och lagersystem
−

Frisläppning av batcher kan ske i LIMS eller i annat system
Ett LIMS kan integreras med analysinstrument
Bakgrund LIMS-validering

Traditionellt verifieras alla funktioner lika mycket, allt
från enkla funktioner för uppdatering av statisk data till
komplicerade provtagningsplaner och integration med
andra system

Kan innebära att verifiering av kritiska funktioner
underskattas och att verifiering av enklare funktioner
överarbetas

Det är viktigt att förstå den eller de processer som
systemet ska stödja och att fokusera på de kritiska
processerna
Angreppssätt
För att få rätt omfattning på en validering kan följande
genomföras
1.
Kategorisera system
2.
Använda ett skalbart angreppssätt
3.
Fokusera på kritiska funktioner och risker
4.
Använda leverantörens arbete på ett effektivt sätt
Angreppssätt
Fyra metoder för effektivisering av LIMS-validering:
1.
Kategorisera system
2.
Använda ett skalbart angreppssätt
3.
Fokusera på kritiska funktioner och risker
4.
Använda leverantörens arbete på ett effektivt sätt
Kategorisering av system

Generellt ökar risken för fel vid användande av
kundanpassade eller skräddarsydda
komponenter istället för standardkomponenter

Den ökade risken kommer sig av större
komplexitet och minskad användarerfarenhet
Kategorisering av system

De flesta system består av flera komponenter av
varierande komplexitet, som exempelvis
− Operativsystem
− Standardkomponenter
− Konfigurerade komponenter
− Kundspecifika komponenter

Arbetsinsatserna bör fördelas enligt följande:
Kundspecifik  Konfigurerad  Standard  Infrastruktur
Hög
insats
Låg
insats
Kategorisering av programvara
GAMP- kategori
1
3
4
5
Beskrivning
Exempel
Programvara på vilken applikationer
byggs och programvara som används
för att hantera infrastrukturen.
Operativsystem
Databashanterare
Programspråk
Statistikprogramvara
Planeringsverktyg
Versionshanteringsverktyg
Ej konfigurerad
programvara
Vissa parametrar kan anges och lagras,
men programvaran kan inte konfigureras
för att passa affärsprocesserna.
Kommersiellt tillgängliga standardprogram som t.ex. finns i analysoch laboratorieinstrument som
pH-meter och HPLC
eCTD Management System
Konfigurerad
programvara
Programvara, ofta komplex, som kan
konfigureras för att uppfylla affärsprocesskrav. Programvarukod ändras
inte.
LIMS
Datainsamlingssystem
SCADA
ERP
Kalkylark
Anpassat (kodning) system för att
uppfylla specifika kundkrav.
Internt och externt utvecklade
system
Kalkylark (makro, avancerade
beräkningar eller liknande som
kräver användning av makron och
som kräver verifiering)
Programvara
för infrastruktur
Kundspecifik
programvara
Kategorisering av programvara
HPLC
= High-performance Liquid Chromatography
eCTD
= Electronic Common Technical Document
LIMS
= Laboratory Information Management System
SCADA = Supervisory Control And Data Acquisition
ERP
= Enterprise Resource Planning
Kategorisering av maskinvara
Kategori
1
2
Beskrivning
Exempel
Standard
Standardkomponenter som är spridda
Standardserver
till ett stort antal användare.
Kundspecifik
Kundspecifik maskinvara som inte är
spridd till ett stort antal användare.
Specialbyggd
server för ett visst
ändamål
Angreppssätt
Fyra metoder för effektivisering av LIMS-validering:
1.
Kategorisera system
2.
Använda ett skalbart angreppssätt
3.
Fokusera på kritiska funktioner och risker
4.
Använda leverantörens arbete på ett effektivt sätt
Kategori 5 - kundspecifik programvara
Valideringsrapport
Valideringsplan
Kravspecifikation
Test av krav
Funktionsspecifikation
Funktionstest
Designspecifikation
Integrationstest
Modulspecifikation
Modultest
Konfigurering
och/eller kodning
Stödprocesser
Riskhantering, designgranskning, ändrings- och konfigurationshantering,
spårbarhet och dokumenthantering
Kategori 4 - konfigurerad programvara
Valideringsrapport
Valideringsplan
Kravspecifikation
Test av krav
Funktionsspecifikation
Funktionstest
Konfigurationsspecifikation
Konfigurationstest
Konfigurering
och/eller kodning
Stödprocesser
Riskhantering, designgranskning, ändrings- och konfigurationshantering,
spårbarhet och dokumenthantering
Kategori 3 - ej konfigurerad programvara
Valideringsrapport
Valideringsplan
Kravspecifikation
Test av krav
Konfigurering
och/eller kodning
Stödprocesser
Riskhantering, designgranskning, ändrings- och konfigurationshantering,
spårbarhet och dokumenthantering
Testning (verifiering) kan innefatta
 Designgranskning
Kategori 5
Kategori 4
 Test av funktionalitet
 Verifiering av installation
 Test av att systemet fungerar enligt
avsett ändamål
Kategori 3
Leverantörens aktiviteter
 Tillverkning (kodning)
Kategori 5
 Test av moduler
Kategori 4
 Framtagning av specifikationer
 Test av funktioner och system
 Leverans av system
 Leverans av systemdokumentation
 Utbildning
 Support och underhåll
Kategori 3
Angreppssätt
Fyra metoder för effektivisering av LIMS-validering:
1.
Kategorisera system
2.
Använda ett skalbart angreppssätt
3.
Fokusera på kritiska funktioner och risker
4.
Använda leverantörens arbete på ett effektivt sätt
Identifiera risker
Riskanalys
 Systemkategorisering och identifiering av kritiska funktioner
används som underlag i riskbedömningen
Riskhantering och påverkan
 Syftet med riskhantering är att använda all den kunskap och
information som finns samlad inom verksamheten till att göra
väl underbyggda beslut om vilka aktiviteter som ska prioriteras
för att uppnå ställda krav på ett effektivt sätt
 Syftet kan även sägas vara att man ska uppnå en högre kvalitet
och mer tillförlitliga system med mindre ansträngning och
byråkrati
 Följande ska beaktas
−
Patientsäkerhet
−
Produktkvalitet
−
Dataintegritet
Identifiering av kritiska funktioner
Vilka funktioner kan vara kritiska i det direkt påverkande systemet?
Patientsäkerhet
 Frisläppande av batch
 Överföring av dispositionsbeslut till annat system
Produktkvalitet
 Godkännande av analysresultat
 Beräkningar av analysresultat
Dataintegritet
 Behörighetshantering
 Loggning
Identifiering av kritiska funktioner
Vilka funktioner är kritiska i det icke-påverkande systemet?
 För ett system, där systemet eller dess funktion inte har
någon påverkan, finns inga GxP-kritiska funktioner!
Riskhantering
 Ett relativt enkel sätt att göra en riskanalys är att identifiera
risker och beakta följande parametrar:
−
Sannolikhet att något inträffar
−
Påverkan om det inträffar
−
Går det att upptäck om det har hänt
 Dessa parametrar vägs sedan samman och ett riskvärde fås
fram, t.ex.:
−
Lågt riskvärde
−
Medelriskvärd
−
Högt riskvärde
 Fortsatta arbetet fokuserar sedan på risker med högt riskvärde,
dvs. hur ska dessa risker minimeras (undvikas)
En riskbedömningsmetod
 Påverkan
På patientsäkerhet, produktkvalitet och/eller dataintegritet (eller annan
tänkbar påverkan)
 Sannolikhet för att fel inträffar
 Riskklass: Påverkan x Sannolikhet för fel
 Sannolikhet för upptäckt
Att fel upptäcks innan det inträffar
 Prioritet: Riskklass x Sannolikhet för upptäckt
Identifiering av risker
Funktionstestning utifrån erhållen riskprioritering
Ett exempel:
Funktion
Låg risk
Medelhög risk
Hög risk
Inmatning av
analysresultat med
acceptansgränser
på 10,0 respektive.
20,0
Verifiera att
data inom
gränserna
accepteras
Gränstestning: ett
värde under 10, ett
värde inom
gränserna, ett värde
över 20
Gränstestning: 9,9;
10,0; 10,1; 19,9;
20,0; 20,1
Utmana nollvärdet
Utmana nollvärdet
Kontrollera inkorrekt
kommatering
Kontrollera att endast
siffervärden
accepteras
Angreppssätt
Fyra metoder för effektivisering av LIMS-validering:
1.
Kategorisera system
2.
Använda ett skalbart angreppssätt
3.
Fokusera på kritiska funktioner och risker
4.
Använda leverantörens arbete på ett effektivt sätt
Leverantörssamarbete
Använda leverantören
 Beställaren bör försöka att maximera användningen av
leverantören under systems hela livscykel
Leverantörssamarbete
Leverantörsbedömning

En leverantörsbedömning utförs för att säkerställa att
leverantören motsvarar ställda krav utgående från
gällande regelverk

Det finns tre huvudtyper av leverantörsbedömningar
1.
Grundläggande utvärdering utgående från tillgänglig
information
2.
Utvärdering med hjälp av översänt frågeformulär
3.
Inspektion på plats hos leverantören (audit)
Slutsats

Kategorisering och ett skalbart arbetssätt ger en
vägledning om vilken dokumentation och verifiering som
krävs för de olika kategorier som identifierats

Identifiering av risker och kritiska funktioner ger en
möjlighet att fokusera arbetet på det som är kritiskt i
systemet

En leverantörsbedömning ger stöd för att utnyttja
leverantörens dokumentation och verifiering för att
reducera det egna arbetet

Utföra bara det som är nödvändigt, undvik att upprepa
det som en leverantör redan gjort
Rekommendationer - exempel
Registrering av instrument

Kategori 3 – Ej konfigurerad programvara

Inte en kritisk funktion

Låg risk

Verifiering
− Enkel test mot krav alternativt referera till att funktionen
testats av leverantören
Rekommendationer - exempel
Beräkning av analysresultat

Kategori 4 – Konfigurerad programvara

Kritisk funktion

Hög risk

Verifiering
− Kontroll och test av konfigurering
− Ytterligare test för att verifiera det som bedömts som
riskfyllt
Rekommendationer - exempel
Provtagningsplan

Kategori 4 – Konfigurerad programvara

Inte en kritisk funktion

Låg risk

Verifiering
− Enklare test för att verifiera kraven
Rekommendationer - exempel
Integration med förrådssystem

Kategori 5 – Kundspecifik programvara

Kritisk funktion

Hög risk

Verifiering
− Modultest mot designspecifikation
− Systemtest mot funktionsspecifikation
− Test mot kravspecifikation
Drift och förvaltning
Ett systems livscykel
Krav
Faser:
Koncept
Frisläppning
Projekt
Ändringar
Drift och förvaltning
Borttag och
arkivering
Avveckling
Drift- och förvaltningsfasen
 Övertagande
 Support, underhåll och övervakning
 Avvikelsehantering
 Ändringshantering
 Periodisk granskning
 Kontinuitetsplanering
 Säkerhet
 Hantering av data
 Systembeskrivning
Drift- och förvaltningsfasen
Övertagande
 Process för överlämning från
projekt till förvaltning
 Involverar vanligen projektgrupp,
processägare, systemägare och
kvalitetsavdelning
Exempel på en förvaltningsorganisation
System A
Systemägare
Systemförvaltare
Processägare
Systemägare
Systemförvaltare
Expertanvändare
Slutanvändare
Helpdesk
Drift
Expertanvändare
Slutanvändare
System B
Drift- och förvaltningsfasen
Support, underhåll och övervakning
 Support kan tillhandahållas internt eller av externa resurser
 Supportavtal, underhållsplaner och underhållsrutiner ska
finnas
 Beroende på hur kritiskt ett system är kan det behöva
övervakas för att tidigt upptäcka eventuella problem
Drift- och förvaltningsfasen
Avvikelsehantering
 Det ska finnas rutiner för hur avvikelser hanteras
 Avvikelser ska utredas med avseende på om de påverkar
patientsäkerhet, produktkvalitet eller dataintegritet
 Avvikelsehanteringen ska omfatta både korrigerande och
förebyggande åtgärder
Drift- och förvaltningsfasen
Ändringshantering
 Alla ändringar i programvara, maskinvara, infrastruktur eller
användning av ett datoriserat system ska behandlas genom
formell ändringshantering
 Rutiner för ändringshantering ska beskriva hur ändringar ska
dokumenteras, verifieras, godkännas och avslutas
 Rutiner för ändringshantering ska beskriva vilken påverkan
och risk ändringen innebär
 När ändringar innefattar kodning eller konfigurering ska
rutiner för konfigurationshantering tillämpas
 Reparation och byte av komponenter, inkl. maskinvara, ska
utföras enligt en fastställd process
Drift- och förvaltningsfasen
Periodisk granskning
 Periodisk granskning utförs under hela förvaltningsfasen
 Verifierar att systemet uppfyller regulatoriska krav, är
ändamålsenligt och uppfyller företagets policy och rutiner
 Frekvensen för granskning ska bero på systemets påverkan
och erfarenhet av systemet samt baseras på riskbedömning
 Rutiner för periodisk granskning ska beskriva hur eventuella
åtgärder ska dokumenteras
Drift- och förvaltningsfasen
Kontinuitetsplanering
 Det ska finnas rutiner för säkerhetskopiering och
återskapande av programvara och lagrad data
 Det ska finnas en plan för att minimera effekten av
störningar vid oplanerade och planerade avbrott i driften
− Katastrofhanteringsplan
− Kontinuitetsplan
Drift- och förvaltningsfasen
Säkerhet
 Det ska finnas rutiner för
behörighetshantering,
lösenordshantering och viruskontroll
 Behörighetshanteringen ska om
möjligt vara rollbaserad
 Alla användarkategorier ska omfattas
av rutiner för behörighetshantering
Drift- och förvaltningsfasen
Hantering av data
 Det ska finnas rutiner för
bevarande av data som
omfattas av regulatoriska
krav
 Arkivering av data genom
flytt till annan plats eller
annat system görs ofta i
syfte att skydda dem från
förändringar
Drift- och förvaltningsfasen
Systembeskrivning
 Det ska finnas en dokumenterad beskrivning av systemet
− Sammanfattande systembeskrivning
− Regulatorisk påverkan
− Arkitektur, dvs. infrastruktur, användargränssnitt, integration
med andra system och integration med instrument
− Säkerhet, dvs. fysisk och logisk access till systemet
− Elektroniska signaturer och elektroniska data
 En systembeskrivning kan vara ett separat dokument eller
bestå av flera dokument
Inför en inspektion
Att tänka på
Systembeskrivning
 Ta fram en tydlig beskrivning av systemet (presentation)
−
Beskriv vad systemet gör och vad som är syftet med systemet
−
Beskriv förvaltningsorganisationen
−
Utgår från systembeskrivning eller motsvarande
Samla ihop lämplig dokumentation
 Valideringsdokument
 Genomförda och pågående ändringar
−
Inklusive en förteckning med status per ändring
 Utredda och pågående avvikelser
−
Inklusive en förteckning med status per ändring
 Periodiska granskningar
 Systembehörigheter, inklusive historik
Att tänka på
 Validering och verifiering
− Tydliga och godkända planer och rapporter
•
Planerade aktiviteter genomförda och dokumenterade
•
Avvikelser förklarade
•
‖Inga lösa trådar‖
•
Undvik att i rapporter skriva att åtgärder ska genomföras under
förvaltning, ta hellre fram ändringsärenden eller CAPA och hänvisa
till dessa
− Dokument godkända i rätt ordning och av
rätt personer
− Uppfyller kraven på god dokumentationssed
Att tänka på
 Genomförda ändringar utförda och
dokumenterade enligt godkänd rutin
 Avvikelser dokumenterade,
utvärderade och beslutade åtgärder
genomförda enligt godkänd rutin
 Periodisk granskning utförd och
dokumenterad enligt godkänd rutin
Att tänka på
 Nödvändiga rutiner godkända och implementerade
 Användarbehörigheter under kontroll
− Användare som inte längre är användare av systemet är
inaktiverade
− Användare som bytt roll (arbetsuppgifter) har en
systembehörighet som motsvarar detta
 Användare av systemet är utbildade
− Utbildning dokumenterad
− Användarbehörighet motsvarar
utbildning och befattning
Slutsats
 Nyckelordet är kontroll
− Visa på ett bra sätt att systemet
är under kontroll
− Visa att systemet används som det är
avsett
− Visa att systemet granskats periodiskt
och att upptäckta problem har
åtgärdats