Läkemedelskongressen 8/11 2011 GMP-krav för datoriserade system – Eudralex Annex 11 och FDA 21 CFR Part 11 Introduktion och innehåll Tony Forsberg Introduktion Tony Forsberg [email protected] Bakgrund Arbetat med utveckling av datoriserade system i nästan 25 år Arbetat med validering av datoriserade system i nästan 20 år Tagit fram och implementerat kvalitetsledningssystem för framtagning, implementering, förvaltning och avveckling av datoriserade system Senior specialistkonsult Valideringsledare Kvalitetschef Programledare/Projektledare Linjechef för systemutvecklare och projektledare Quality Manager Service Manager Systemutvecklare Bakgrund Granskat genomförda kvalificeringar och valideringar för att förbättra effektivitet Utfört inspektioner av leverantörer av datoriserade system som inspektionsledare Innehåll 1. Översikt - regelverk, riktlinjer och praxis 2. Definition av ett datoriserat system 3. Annex 11 4. 21 CFR Part 11 5. Skillnader mellan Annex 11 och 21 CFR Part 11 6. Elektroniska signaturer (ES) och elektronisk information (ER) 7. Vad består en validering av 8. Daglig drift och förvaltning 9. Inför en inspektion Definition validering ”Upprättande av dokumenterade bevis, vilka med hög grad av säkerhet säkerställer att en specifik process konsekvent kommer att producera en produkt som uppnår sina förutbestämda specifikationer och kvalitativa egenskaper.” Ursprunglig definition, FDA i mitten på 1970-talet. Definition kvalificering “Aktiviteter som genomförs för att visa att utrustning, media och annat som används i processen är lämpade för respektive användningsområde, och fungerar som avsett.” Ref: Guidance for Industry Process Validation: General Principles and practices Översikt Regelverk och riktlinjer Ansvariga myndigheter Exempel på olika myndigheter USA − Europa − FDA – Food and Drug Administration EMA – European Medicines Agency Sverige − Medical Products Agency – Läkemedelsverket Myndigheters roll och inspektionsverksamhet Syfte Att skydda allmänheten Att utfärda regler Att godkänna nya produkter Att inspektera företagen för att kontrollera att regelverk efterlevs FDA - Regelverk US Code of Federal Regulations, Title 21, Food and Drugs 21 CF R11 Electronic Records, Electronic Signatures (Part 11) 21 CFR 58 Good Laboratory Practice for Nonclinical Laboratory Studies 21 CFR 210 Current Good Manufacturing Practice in Manufacturing, Processing, Packing, or Holding Of Drugs; General 21 CFR 211 Current Good Manufacturing Practice for Finished Pharmaceuticals 21 CFR 820 Quality System Regulations (Medical Device) FDA - Riktlinjer General Principles of Software Validation - Final Guidance for Industry and FDA Staff Pharmaceutical cGMPs for the 21st Century - A Risk-Based Approach Final Report Enforcement Policy: 21 CFR Part 11; Electronic Records; Electronic Signatures Guidance for Industry Part 11, Electronic Records; Electronic Signatures — Scope and Application Guidance for Industry - Computerized Systems in Clinical Trial EMA - regelverk EudraLex Volume 1 Legislation Human Volume 2 Notice to applicants Human Volume 3 Guidelines Human Volume 4 GMP Human & Veterinary Volume 5 Legislation Veterinary Volume 6 Notice to applicants Veterinary Volume 7 Medecinal Products Veterinary Volume 8 MRL Veterinary Volume 9 Pharmacovigiliance Human & Veterinary Volume 10 Clinical trials Human EudraLex Volume 4 GMP Part I - Basic requirements for Medicinal Products − Chapter 1 - Quality Management − Chapter 2 - Personnel − Chapter 3 - Premise and Equipment − Chapter 4 - Documentation − Chapter 5 - Production − Chapter 6 - Quality control − Chapter 7 - Contract Manufacture and Analysis − Chapter 8 - Complaints and Product Recall − Chapter 9 - Self Inspection Part II - Basic Requirements for Active Substances used as Starting Materials Part III – GMP related documents − Site Master File − Q9 Quality Risk Management − Q10 Note for Guidance on Pharmaceutical Quality System − MRA Batch Certificate Chapter 1 Europa – EudraLex Volume 4 GMP, Annexen − Annex 1 Manufacture of Sterile Medicinal Products − Annex 2 Manufacture of Biological Medicinal Products for Human Use − Annex 3 Manufacture of Radio Pharmaceuticals − Annex 4 Manufacture of Veterinary Medicinal Products other than immunological Veterinary Medicinal Products − Annex 5 Manufacture of Immunological Veterinary Medicinal Products − Annex 6 Manufacture of Medicinal Gases − Annex 7 Manufacture of Herbal Medicinal Products − Annex 8 Sampling of Starting and Packaging Materials − Annex 9 Manufacture of Liquids, Creams and Ointments − Annex 10 Manufacture of Pressurised Metered Dose Aerosol Preparations for Inhalation − Annex 11 Computerised Systems − Annex 12 Use of Ionising Radiation in the Manufacture of Medicinal Products − Annex 13 Manufacture of Investigational Medicinal Products − Annex 14 Manufacture of Products derived from Human Blood or Human Plasma − Annex 15 Qualification and validation − Annex 16 Certification by a Qualified person and Batch Release − Annex 17 Parametric Release − Annex 18 Good manufacturing practice for active pharmaceutical ingredients − Annex 19 Reference and Retention Samples Riktlinjer och praxis PIC/S - Pharmaceutical Inspection Cooperation Scheme − PI 011 Guidance on Good Practices for Computerized Systems in Regulated ―GxP‖ Environments ASTM International − E2500 Standard Guide for Specification, Design, And Verification of Pharmaceutical and Biopharmaceutical Manufacturing Systems and Equipment ISO - International Organization for Standardization − ISO 9001 Kvalitetsledningssystem − SS-ISO IEC 90003 Programvaruutveckling – Krav − SS-ISO IEC 12207 System- och programvarukvalitet – Livscykelprocesser för programvara Riktlinjer och praxis ISPE GAMP 5: A risk-based approach to Compliant GxP Computerized Systems GAMP Good Practice Guides − Validation of Process Control System − IT Infrastructure Control and Compliance − A risk-based approach to Compliant Electronic Records and Signatures − Validation of Laboratory Computerized Systems − Testing of GxP systems − Manufacturing Execution Systems – A Strategic and Program Management Approach ICH – International Conference on Harmonisation Samlar ansvariga myndigheter och läkemedelsindustrin från Europa, Japan och USA Läkemedelsbranschen mer internationell än någonsin ökat behov av harmonisering Syftet är att utveckla och registrera säkra och effektiva läkemedel av hög kvalitet på det mest resurseffektiva sättet PIC/S - Pharmaceutical Inspection Convention The Pharmaceutical Inspection Convention och Pharmaceutical Inspection Co-operation Scheme (tillsammans kallade PIC/S) Samarbete mellan 39 internationella myndigheter som ansvarar för inspektioner inom GMP-området Leda den internationella utvecklingen, implementeringen och underhållet av harmoniserade GMP-standarder och inspektioner inom läkemedelsindustrin t.ex. genom… … … … … … en enhetlig syn på inspektioner harmonisering av GMP-krav enhetliga system för inspektioner utbildning av inspektörer utbyte av information ASTM International Tar fram internationella standarder på frivillig basis Ungefär 12 000 standarder för att… … förbättra produktkvalitet … höja säkerheten … underlätta handel … skapa kundförtroende Drivs av medlemmar 30 000 medlemmar som arbetar inom branschen och representerar 135 länder ISO - International Organization for Standardization Världens största organisation inom utveckling och publicering av internationella standarder Nätverk av nationella institut från 162 länder Kopplar samman offentlig- och privat sektor för att nå konsensus mellan krav från industrin och behoven i samhället ISPE - International Society for Pharmaceutical Engineering En organisation för personer som arbetar med tillverkning av läkemedel och relaterade produkter Forum för att diskutera praktisk tillämpning av teknologi i syfte att främja ―best practices‖ 22 000 medlemmar i 90 länder Hålla yrkesverksamma personer uppdaterade inom de senaste regulatoriska och teknologiska trenderna Användbara länkar FDA-dokument: http://www.fda.gov/Drugs/GuidanceComplianceRegulatoryInformation/Guidances /default.htm PIC/S-dokument: http://www.picscheme.org/publication.php EMA-dokument: http://ec.europa.eu/health/documents/eudralex/vol-4/index_en.htm ASTM: http://www.astm.org/ ISPE: http://www.ispe.org/ Vad är ett datoriserat system Datorsystem Computer system (ANSI) A functional unit, consisting of one or more computers and associated peripheral input and output devices, and associated software, that uses common storage for all or part of a program and also for all or part of the data necessary for the execution of the program. − Executes user-written or user-designated programs − Performs user-designated data manipulation, including arithmetic operations and logic operation A computer system may be a stand-alone unit or may consist of several interconnected units. ANSI = American National Standards Institute Datoriserat system Computerized system (FDA) Includes hardware, software, peripheral devices, personnel, and documentation; e.g., manuals and Standard Operating Procedures. FDA = Food and Drug Administration Datoriserat system MJUKVARA FÖRESKRIFTER PERSONAL MASKINVARA UTRUSTNING DATORSYSTEM PROCESS ELLER FUNKTION DATORISERAT SYSTEM DRIFTSMILJÖ (omfattar angränsande system, andra system, media, personal, utrustning och föreskrifter) PIC/S Guidance on Good Practices for Computerized Systems in Regulated ―GxP‖ Environments Annex 11 Annex 11 Tidigare versionen gällde under nästan 20 år Reviderades på grund av ökad användning av datoriserade system inom läkemedelsindustrin och mer komplexa datoriserade system Första utkastet släpptes i april 2008, slutgiltiga dokumentet publicerades i januari 2011 och trädde i kraft 30 juni 2011 Annex 11 – Skillnader från tidigare upplaga Nya Annex 11 är mer omfattande och innehåller mer detaljer än den tidigare upplagan. Riskhantering Levarantörer och support Livscykel- och projekthantering Validering Elektroniska signaturer Utskrifter Loggning (Audit Trail) Periodvisa utvärderingar Ökat fokus på dataintegritet Annex 11 – Skillnader från tidigare upplaga Vad som saknas… Retrospektiv validering Parallella system − Manuellt system − Elektroniskt Annex 11 - Syfte Att säkra att datoriserade system kan användas inom tillverkningen av medicinska produkter utan negativ inverkan på kvalitet, effektivitet eller patientsäkerhet Att tillhandahålla kriterier för effektiv implementering, kontroll och användning av datoriserade system Annex 11 - Områden som behandlas Princip Riskhantering Personal Leverantörer och support Projektfas Driftfas (förvaltning) − − − − − − − − − − − − − − Validering Data Kontroll av inmatad information Lagring av data Utskrifter Loggning (Audit Trail) Ändrings- och konfigurations Periodisk granskning Säkerhet Incidenthantering Elektroniska signaturer Frisläppning av batcher Kontinuitetsplanering Arkivering Annex 11 - Princip Gäller alla datoriserade system som används inom GMPreglerade områden − Planeringssystem, styrsystem, LIMS, kalkylark Datoriserade system ska valideras Infrastruktur ska kvalificeras Om systemet ersätter en manuell procedur får inte försämringar ske inom… … Produktkvalitet … Processkontroll … Kvalitetssäkring Annex 11 - Princip Validering och kvalificering En validering består av flera kvalificeringar, t.ex. designkvalificering, installationskvalificering (IQ) och test (OQ/PQ) Kvalificering av infrastruktur är en av dessa, vilken innebär att t.ex. de servrar som används ska kvalificeras − I detta ingår att dokumentera installationen samt att servern fungerar som avsett − Ändring av kvalificerad infrastruktur ska dokumenteras IQ = Installation Qualification OQ = Operational Qualification PQ = Performance Qualification Annex 11 - Områden som behandlas Princip Riskhantering Personal Leverantörer och support Projektfas Driftfas (förvaltning) − − − − − − − − − − − − − − Validering Data Kontroll av inmatad information Lagring av data Utskrifter Loggning (Audit Trail) Ändrings- och konfigurations Periodisk granskning Säkerhet Incidenthantering Elektroniska signaturer Frisläppning av batcher Kontinuitetsplanering Arkivering Annex 11 - Övergripande Riskhantering Omfattar systemets hela livscykel − Patientsäkerhet, dataintegritet och produktkvalitet Validering och kontroller av dataintegritet ska baseras på dokumenterade riskutvärderingar Annex 11 - Övergripande Personal Definitioner − Systemägare − Processägare − (Systemförvaltare) Nära samarbete mellan all relevant personal såsom processägare, systemägare, kvalificerade medarbetare och IT Personalen ska ha lämpliga kvalifikationer, endast tillgång till relevant data och definierade ansvarsområden Annex 11 - Övergripande Leverantörer och support Formella överrenskommelser mellan tillverkare och tredje part − Ska tydligt redogöra för leverantörens ansvar och skyldigheter − IT-avdelningar bör beaktas på samma vis Annex 11 - Områden som behandlas Princip Riskhantering Personal Leverantörer och support Projektfas Driftfas (förvaltning) − − − − − − − − − − − − − − Validering Data Kontroll av inmatad information Lagring av data Utskrifter Loggning (Audit Trail) Ändrings- och konfigurations Periodisk granskning Säkerhet Incidenthantering Elektroniska signaturer Frisläppning av batcher Kontinuitetsplanering Arkivering Annex 11 - Projektfasen Ska täcka samtliga relevanta steg i livscykeln − Standarder, protokoll, acceptanskriterier, tillvägagångssätt och dokument ska baseras på riskutvärdering Dokumentation för förändringar och avvikelser Inventeringslista över relevanta system − Systembeskrivningar för kritiska system Kravspecifikation − Spårbarhet under systemets livscykel Projektfasen – Validering Utveckling enligt lämpligt kvalitetsledningssystem Process för utvärdering och rapportering av kvalitet och prestanda för kundanpassade system Bevis för att relevanta testmetoder och testscenarion har använts Validering vid överföring av data Annex 11 - Områden som behandlas Princip Riskhantering Personal Leverantörer och support Projektfas Driftfas (förvaltning) − − − − − − − − − − − − − − Validering Data Kontroll av inmatad information Lagring av data Utskrifter Loggning (Audit Trail) Ändrings- och konfigurations Periodisk granskning Säkerhet Incidenthantering Elektroniska signaturer Frisläppning av batcher Kontinuitetsplanering Arkivering Annex 11 – Driftfas (förvaltning) Data − Inbyggda kontroller för att minimera risker Kontroll av inmatad information − Manuellt inlagd data ska kontrolleras Lagring av data − Lämpligt skydd (fysiskt och elektroniskt) − Tillgänglighet, läsbarhet och riktighet ska kontrolleras − Back-up Utskrifter − Elektronisk data − Vid frisläpp av batch ska ändringar framgå Annex 11 – Driftfas (förvaltning) Loggning (Audit Trail) − Dokumentation över GMP-relevanta förändringar Ändrings- och konfigurationshantering − Enligt definierade procedurer Periodisk granskning Säkerhet − Beror på hur kritiskt systemet är − Spårbarhet (vem och hur) Incidenthantering − Ska rapporteras och utvärderas Annex 11 – Driftfas (förvaltning) Elektroniska signaturer − Permanenta och inkludera tid och datum Frisläppning av batcher − Kvalificerad personal ska frisläppa batchen med en elektronisk signatur Kontinuitetsplanering − Support och alternativ vid fel och avbrott Arkivering − Tillgänglighet, läsbarhet, integritet och spårbarhet Kapitel 4 Dokumentation - Områden som behandlas Princip Styrande dokument Resultatdokument (redovisande) Innehåll − − − − − − Framtagning och kontroll av dokument God dokumentationssed Åtkomst av dokument Specifikationer Recept för tillverkning och instruktioner för tillverkning Styrande dokument och resultatdokument Kapitel 4 Dokumentation - Princip Uppdaterad på grund av ökad användning av elektroniska dokument (data) God dokumentationssed är en viktig del i kvalitetsledningssystemet Dokument kan vara i pappersformat eller elektroniskt format Det finns två typer av dokument: styrande dokument (t.ex. föreskrifter) och resultatdokument/redovisande dokument (t.ex. testprotokoll) Kontroller ska vara implementerade för att säkerställa att dokument är korrekta och tillgängliga 21 CFR Part 11 21 CFR Part 11 Trädde i kraft 20 augusti 1997 Omfattar alla FDA-reglerade verksamheter Ställer krav på att system ska valideras Syfte Att tillåta användningen av elektroniska dokument (data) i så stor utsträckning som möjligt och samtidigt skydda allmänheten Elektroniska dokument (data) och signaturer ska vara tillförlitliga Omfattande kritik mot 21 Part 11 Begränsar användningen av elektroniska dokument (data) Högre kostnader för att anpassa system än beräknat − Gäller alla system inom en FDA-reglerad verksamhet − Inte riskbaserad full validering av alla system − Innefattar äldre system full validering Motverkar innovation utan att bidra till ökad patientsäkerhet Kritik mot Part 11 För att möta kritiken publicerades en guide i augusti 2003 − Part 11, Electronic Records; Electronic Signatures — Scope and Application’ guidance Guiden beskriver ett antal områden där FDA tillämpar lättnader (enforcement discretion) Områden som berörs (under specifika villkor) är − Validering - risk − Loggning (Audit Trail) – när − Gamla system (innan augusti 1997) – i drift innan och uppfyller dåvarande och gällande krav − Kopiering av data – läsbart och standardiserat format − Åtkomst av data och arkivering Krav på elektronisk signering och vilka elektroniska data som ska finnas ska stämmas av mot gällande regelverk Del B – Elektroniska dokument (data) Stängda system - Öppna system - Signaturer - Koppling signatur/dokument Validering Korrekta och fullständiga dokument ska finnas tillgängliga Skydd av data under hela arkiveringsperioden Tillgång till systemet begränsat till behörig personal Loggning (Audit Trail) Kontroll av systemet i drift Del B – Elektroniska dokument (data) Stängda system - Öppna system - Signaturer - Koppling signatur/dokument Behörighetskontroll – vem har tillgång? Kontroll av utrustning All personal som arbetar med berörda system ska ha relevant utbildning Policy för ansvar vid underskrift Kontroll av systemdokumentation − Tillgång, distribuering, och användning av dokument − Revisioner och hantering av förändringar Del B – Elektroniska dokument (Data) Stängda system - Öppna system - Signaturer - Koppling signatur/dokument Signerade elektroniska dokument (data) ska innehålla Fullständigt namn Datum och tidpunkt Signaturens syfte (mening) Samma kontroller som för elektroniska dokument (data) Del B – Elektroniska dokument Stängda system - Öppna system - Signaturer - Koppling signatur/dokument Länk ska finnas mellan signatur och dokument (data) för att säkerställa att en signatur inte kan… … bli borttagen … kopieras … eller på annat sätt överföras i förfalskningssyfte Annex 11 och 21 CR Part 11 En jämförelse Tillämpning Annex 11 21 CFR Part 11 Datoriserade system som del av GMP-reglerade aktiviteter Elektroniska dokument (data) och elektroniska signaturer som används inom samtliga aktiviteter reglerade av FDA Fokusering Annex 11 21 CFR Part 11 Riskbaserad hantering av datoriserade system med fokus på kvalitet Användandet av elektroniska dokument och signaturer i öppna och stängda datorsystem Syfte Annex 11 Att säkra att datoriserade system kan användas inom tillverkningen av medicinska produkter utan negativa effekter på kvalitet, effektivitet eller patientsäkerhet. Att tillhandahålla kriterier för effektiv implementering, kontroll och användning av datoriserade system. 21 CFR Part 11 Att tillåta användningen av elektroniska dokument (data) i så stor utsträckning som möjligt och samtidigt skydda allmänheten. Kriterier för vad som krävs för att elektroniska dokument (data) ska anses lika tillförlitliga som pappersdokument och handskrivna signaturer. 21 CFR Part 11 Generella bestämmelser Generella bestämmelser • • • • • • Riskhantering Personal Leverantörer och support Projektfas • Validering Driftfas (förvaltning) • • • • • • • • • • • • • Data Kontroll av inmatning Arkivering Utskrifter Loggning (Audit Trail) Ändrings- och konfigurationshantering Periodvisa granskningar Säkerhet Incidenthantering Elektroniska signaturer Frisläppning av batcher Kontinuitetsplanering Arkivering hantering Annex 11 Specifik Livscykelkoncept Koncept Omfattning Implementering Definitioner Elektroniska dokument (data) • • • • Kontroller av stängda system Kontroller av öppna system Signaturer Koppling mellan signatur och dokument Elektroniska signaturer • • • Generella krav Elektroniska signaturers utformning och kontroller Hantering av användaridentiteter och lösenord Översikt Annex 11 21 CFR Part 11 Infallsvinkel Hur? Vad? Tillämpning GMP-reglerade aktiviteter Aktiviteter reglerade av FDA Fokus Risk och kvalitet Elektroniska dokument (data) och signaturer Syfte Produktkvalitet och kvalitetssäkring Tillförlitliga elektroniska dokument (data) Omfattning Fler områden behandlas Snävare fokus Koncept Livscykelkoncept Specifik hantering Exempel på ER och ES Definiera ER och ES Utgående från gällande regelverk definiera vilka elektroniska signeringar (ES) som behöver utföras och vilka elektroniska data (ER) som ska hanteras Bestäm om ett elektroniskt data ska signeras med namnteckning eller med signatur (initialer) Tänk på hur det brukar göras på pappersdokument Sker signering med fullständig namnteckning medför detta elektronisk signering med t.ex. användaridentitet och lösenord Jämför med godkännande av ett dokument Sker signering med datum och signatur (initialer) kan detta medföra att ingen signering behöver utföras utan det räcker med att detta sparas i systemets loggning (Audit Trail) Jämför signering av en utförd aktivitet i ett batchprotokoll Definiera ER och ES Verifiera på lämpligt sätt dokumenterade elektroniska signeringar (ES) och elektroniska data (ER) − Ett sätt kan var att använda en spårbarhetsmatris (RTM) ES och ER Tester Spårbarhetsmatris Exempel på elektroniska signaturer (ES) Dokumenthanteringssystem − Godkännande av dokument Laboratory Information Management System − Fullständig signatur • Godkännande av produktspecifikation • Frisläppande av batcher − Datum och signatur (initialer) • Rapportering av analysresultat Exempel på elektroniska data (ER) Dokumenthanteringssystem − Godkända dokumentversioner • Varje enskilt metadata är inte ett ER − Användarkonton Laboratory Information Management System − Godkända analysversioner − Godkända produktspecifikationsversioner − Loggade och godkända batcher − Testresultat − Användarkonton När blir det ett elektronisk data (ER)? En riktlinje är att det blir elektronisk data (ER) när data sparas − Vid rapportering av ett resultat där systemet kontrollerar om värdet är korrekt är inte inmatningen ett ER − Det blir ett ER när operatören väljer att spara informationen Elektronisk data utskriven på papper − Viktigt att dokumentera vad som används för GMP-beslut − Innehåller dokumentet beräknade resultat eller diagram kan det vara nödvändigt att spara data som använts för framtagning av dessa beräkningar eller diagram − Det ska finnas en tydlig koppling mellan utskriven data och data i systemet Kort bensträckare på två minuter Vad består en validering av Ett systems livscykel Krav Faser: Koncept Frisläppning Projekt Ändringar Drift och förvaltning Borttag och arkivering Avveckling Ett systems livscykel Koncept − Utveckling av krav och potentiella lösningar − Kostnader och fördelar för att besluta om ett projekt ska initieras Projekt − Planering, leverantörsbedömning och val av leverantör − Konfigurering och verifiering Drift och förvaltning − Den längsta fasen − Systemet används och förvaltas Avveckling − Avveckling av programvara och maskinvara − Arkivering av information Validering – En översikt Planering Rapportering Specificering Verifiering Tillverkning Validering – Detaljer Valideringsrapport Valideringsplan Kravspecifikation Test av krav Funktionsspecifikation Funktionstest Designspecifikation Integrationstest Modulspecifikation Modultest Konfigurering och/eller kodning Stödprocesser Riskhantering, designgranskning, ändrings- och konfigurationshantering, spårbarhet och dokumenthantering Hur kan det gå till? För att ge en uppfattning om hur en validering kan planeras (omfattning) och genomföras kommer LIMS att användas som ett genomgående exempel LIMS är ett system som många kan förstå och relatera till Bakgrund LIMS Ett LIMS kan vara ett komplext system Ett LIMS kan innehålla allt från provtagning till frisläppning av batcher − Inklusive all statisk data som behövs, t.ex. analyser, provtagningsplaner och specifikationer Ett LIMS kan integreras med system för mottagning av material, planeringssystem och lagersystem − Frisläppning av batcher kan ske i LIMS eller i annat system Ett LIMS kan integreras med analysinstrument Bakgrund LIMS-validering Traditionellt verifieras alla funktioner lika mycket, allt från enkla funktioner för uppdatering av statisk data till komplicerade provtagningsplaner och integration med andra system Kan innebära att verifiering av kritiska funktioner underskattas och att verifiering av enklare funktioner överarbetas Det är viktigt att förstå den eller de processer som systemet ska stödja och att fokusera på de kritiska processerna Angreppssätt För att få rätt omfattning på en validering kan följande genomföras 1. Kategorisera system 2. Använda ett skalbart angreppssätt 3. Fokusera på kritiska funktioner och risker 4. Använda leverantörens arbete på ett effektivt sätt Angreppssätt Fyra metoder för effektivisering av LIMS-validering: 1. Kategorisera system 2. Använda ett skalbart angreppssätt 3. Fokusera på kritiska funktioner och risker 4. Använda leverantörens arbete på ett effektivt sätt Kategorisering av system Generellt ökar risken för fel vid användande av kundanpassade eller skräddarsydda komponenter istället för standardkomponenter Den ökade risken kommer sig av större komplexitet och minskad användarerfarenhet Kategorisering av system De flesta system består av flera komponenter av varierande komplexitet, som exempelvis − Operativsystem − Standardkomponenter − Konfigurerade komponenter − Kundspecifika komponenter Arbetsinsatserna bör fördelas enligt följande: Kundspecifik Konfigurerad Standard Infrastruktur Hög insats Låg insats Kategorisering av programvara GAMP- kategori 1 3 4 5 Beskrivning Exempel Programvara på vilken applikationer byggs och programvara som används för att hantera infrastrukturen. Operativsystem Databashanterare Programspråk Statistikprogramvara Planeringsverktyg Versionshanteringsverktyg Ej konfigurerad programvara Vissa parametrar kan anges och lagras, men programvaran kan inte konfigureras för att passa affärsprocesserna. Kommersiellt tillgängliga standardprogram som t.ex. finns i analysoch laboratorieinstrument som pH-meter och HPLC eCTD Management System Konfigurerad programvara Programvara, ofta komplex, som kan konfigureras för att uppfylla affärsprocesskrav. Programvarukod ändras inte. LIMS Datainsamlingssystem SCADA ERP Kalkylark Anpassat (kodning) system för att uppfylla specifika kundkrav. Internt och externt utvecklade system Kalkylark (makro, avancerade beräkningar eller liknande som kräver användning av makron och som kräver verifiering) Programvara för infrastruktur Kundspecifik programvara Kategorisering av programvara HPLC = High-performance Liquid Chromatography eCTD = Electronic Common Technical Document LIMS = Laboratory Information Management System SCADA = Supervisory Control And Data Acquisition ERP = Enterprise Resource Planning Kategorisering av maskinvara Kategori 1 2 Beskrivning Exempel Standard Standardkomponenter som är spridda Standardserver till ett stort antal användare. Kundspecifik Kundspecifik maskinvara som inte är spridd till ett stort antal användare. Specialbyggd server för ett visst ändamål Angreppssätt Fyra metoder för effektivisering av LIMS-validering: 1. Kategorisera system 2. Använda ett skalbart angreppssätt 3. Fokusera på kritiska funktioner och risker 4. Använda leverantörens arbete på ett effektivt sätt Kategori 5 - kundspecifik programvara Valideringsrapport Valideringsplan Kravspecifikation Test av krav Funktionsspecifikation Funktionstest Designspecifikation Integrationstest Modulspecifikation Modultest Konfigurering och/eller kodning Stödprocesser Riskhantering, designgranskning, ändrings- och konfigurationshantering, spårbarhet och dokumenthantering Kategori 4 - konfigurerad programvara Valideringsrapport Valideringsplan Kravspecifikation Test av krav Funktionsspecifikation Funktionstest Konfigurationsspecifikation Konfigurationstest Konfigurering och/eller kodning Stödprocesser Riskhantering, designgranskning, ändrings- och konfigurationshantering, spårbarhet och dokumenthantering Kategori 3 - ej konfigurerad programvara Valideringsrapport Valideringsplan Kravspecifikation Test av krav Konfigurering och/eller kodning Stödprocesser Riskhantering, designgranskning, ändrings- och konfigurationshantering, spårbarhet och dokumenthantering Testning (verifiering) kan innefatta Designgranskning Kategori 5 Kategori 4 Test av funktionalitet Verifiering av installation Test av att systemet fungerar enligt avsett ändamål Kategori 3 Leverantörens aktiviteter Tillverkning (kodning) Kategori 5 Test av moduler Kategori 4 Framtagning av specifikationer Test av funktioner och system Leverans av system Leverans av systemdokumentation Utbildning Support och underhåll Kategori 3 Angreppssätt Fyra metoder för effektivisering av LIMS-validering: 1. Kategorisera system 2. Använda ett skalbart angreppssätt 3. Fokusera på kritiska funktioner och risker 4. Använda leverantörens arbete på ett effektivt sätt Identifiera risker Riskanalys Systemkategorisering och identifiering av kritiska funktioner används som underlag i riskbedömningen Riskhantering och påverkan Syftet med riskhantering är att använda all den kunskap och information som finns samlad inom verksamheten till att göra väl underbyggda beslut om vilka aktiviteter som ska prioriteras för att uppnå ställda krav på ett effektivt sätt Syftet kan även sägas vara att man ska uppnå en högre kvalitet och mer tillförlitliga system med mindre ansträngning och byråkrati Följande ska beaktas − Patientsäkerhet − Produktkvalitet − Dataintegritet Identifiering av kritiska funktioner Vilka funktioner kan vara kritiska i det direkt påverkande systemet? Patientsäkerhet Frisläppande av batch Överföring av dispositionsbeslut till annat system Produktkvalitet Godkännande av analysresultat Beräkningar av analysresultat Dataintegritet Behörighetshantering Loggning Identifiering av kritiska funktioner Vilka funktioner är kritiska i det icke-påverkande systemet? För ett system, där systemet eller dess funktion inte har någon påverkan, finns inga GxP-kritiska funktioner! Riskhantering Ett relativt enkel sätt att göra en riskanalys är att identifiera risker och beakta följande parametrar: − Sannolikhet att något inträffar − Påverkan om det inträffar − Går det att upptäck om det har hänt Dessa parametrar vägs sedan samman och ett riskvärde fås fram, t.ex.: − Lågt riskvärde − Medelriskvärd − Högt riskvärde Fortsatta arbetet fokuserar sedan på risker med högt riskvärde, dvs. hur ska dessa risker minimeras (undvikas) En riskbedömningsmetod Påverkan På patientsäkerhet, produktkvalitet och/eller dataintegritet (eller annan tänkbar påverkan) Sannolikhet för att fel inträffar Riskklass: Påverkan x Sannolikhet för fel Sannolikhet för upptäckt Att fel upptäcks innan det inträffar Prioritet: Riskklass x Sannolikhet för upptäckt Identifiering av risker Funktionstestning utifrån erhållen riskprioritering Ett exempel: Funktion Låg risk Medelhög risk Hög risk Inmatning av analysresultat med acceptansgränser på 10,0 respektive. 20,0 Verifiera att data inom gränserna accepteras Gränstestning: ett värde under 10, ett värde inom gränserna, ett värde över 20 Gränstestning: 9,9; 10,0; 10,1; 19,9; 20,0; 20,1 Utmana nollvärdet Utmana nollvärdet Kontrollera inkorrekt kommatering Kontrollera att endast siffervärden accepteras Angreppssätt Fyra metoder för effektivisering av LIMS-validering: 1. Kategorisera system 2. Använda ett skalbart angreppssätt 3. Fokusera på kritiska funktioner och risker 4. Använda leverantörens arbete på ett effektivt sätt Leverantörssamarbete Använda leverantören Beställaren bör försöka att maximera användningen av leverantören under systems hela livscykel Leverantörssamarbete Leverantörsbedömning En leverantörsbedömning utförs för att säkerställa att leverantören motsvarar ställda krav utgående från gällande regelverk Det finns tre huvudtyper av leverantörsbedömningar 1. Grundläggande utvärdering utgående från tillgänglig information 2. Utvärdering med hjälp av översänt frågeformulär 3. Inspektion på plats hos leverantören (audit) Slutsats Kategorisering och ett skalbart arbetssätt ger en vägledning om vilken dokumentation och verifiering som krävs för de olika kategorier som identifierats Identifiering av risker och kritiska funktioner ger en möjlighet att fokusera arbetet på det som är kritiskt i systemet En leverantörsbedömning ger stöd för att utnyttja leverantörens dokumentation och verifiering för att reducera det egna arbetet Utföra bara det som är nödvändigt, undvik att upprepa det som en leverantör redan gjort Rekommendationer - exempel Registrering av instrument Kategori 3 – Ej konfigurerad programvara Inte en kritisk funktion Låg risk Verifiering − Enkel test mot krav alternativt referera till att funktionen testats av leverantören Rekommendationer - exempel Beräkning av analysresultat Kategori 4 – Konfigurerad programvara Kritisk funktion Hög risk Verifiering − Kontroll och test av konfigurering − Ytterligare test för att verifiera det som bedömts som riskfyllt Rekommendationer - exempel Provtagningsplan Kategori 4 – Konfigurerad programvara Inte en kritisk funktion Låg risk Verifiering − Enklare test för att verifiera kraven Rekommendationer - exempel Integration med förrådssystem Kategori 5 – Kundspecifik programvara Kritisk funktion Hög risk Verifiering − Modultest mot designspecifikation − Systemtest mot funktionsspecifikation − Test mot kravspecifikation Drift och förvaltning Ett systems livscykel Krav Faser: Koncept Frisläppning Projekt Ändringar Drift och förvaltning Borttag och arkivering Avveckling Drift- och förvaltningsfasen Övertagande Support, underhåll och övervakning Avvikelsehantering Ändringshantering Periodisk granskning Kontinuitetsplanering Säkerhet Hantering av data Systembeskrivning Drift- och förvaltningsfasen Övertagande Process för överlämning från projekt till förvaltning Involverar vanligen projektgrupp, processägare, systemägare och kvalitetsavdelning Exempel på en förvaltningsorganisation System A Systemägare Systemförvaltare Processägare Systemägare Systemförvaltare Expertanvändare Slutanvändare Helpdesk Drift Expertanvändare Slutanvändare System B Drift- och förvaltningsfasen Support, underhåll och övervakning Support kan tillhandahållas internt eller av externa resurser Supportavtal, underhållsplaner och underhållsrutiner ska finnas Beroende på hur kritiskt ett system är kan det behöva övervakas för att tidigt upptäcka eventuella problem Drift- och förvaltningsfasen Avvikelsehantering Det ska finnas rutiner för hur avvikelser hanteras Avvikelser ska utredas med avseende på om de påverkar patientsäkerhet, produktkvalitet eller dataintegritet Avvikelsehanteringen ska omfatta både korrigerande och förebyggande åtgärder Drift- och förvaltningsfasen Ändringshantering Alla ändringar i programvara, maskinvara, infrastruktur eller användning av ett datoriserat system ska behandlas genom formell ändringshantering Rutiner för ändringshantering ska beskriva hur ändringar ska dokumenteras, verifieras, godkännas och avslutas Rutiner för ändringshantering ska beskriva vilken påverkan och risk ändringen innebär När ändringar innefattar kodning eller konfigurering ska rutiner för konfigurationshantering tillämpas Reparation och byte av komponenter, inkl. maskinvara, ska utföras enligt en fastställd process Drift- och förvaltningsfasen Periodisk granskning Periodisk granskning utförs under hela förvaltningsfasen Verifierar att systemet uppfyller regulatoriska krav, är ändamålsenligt och uppfyller företagets policy och rutiner Frekvensen för granskning ska bero på systemets påverkan och erfarenhet av systemet samt baseras på riskbedömning Rutiner för periodisk granskning ska beskriva hur eventuella åtgärder ska dokumenteras Drift- och förvaltningsfasen Kontinuitetsplanering Det ska finnas rutiner för säkerhetskopiering och återskapande av programvara och lagrad data Det ska finnas en plan för att minimera effekten av störningar vid oplanerade och planerade avbrott i driften − Katastrofhanteringsplan − Kontinuitetsplan Drift- och förvaltningsfasen Säkerhet Det ska finnas rutiner för behörighetshantering, lösenordshantering och viruskontroll Behörighetshanteringen ska om möjligt vara rollbaserad Alla användarkategorier ska omfattas av rutiner för behörighetshantering Drift- och förvaltningsfasen Hantering av data Det ska finnas rutiner för bevarande av data som omfattas av regulatoriska krav Arkivering av data genom flytt till annan plats eller annat system görs ofta i syfte att skydda dem från förändringar Drift- och förvaltningsfasen Systembeskrivning Det ska finnas en dokumenterad beskrivning av systemet − Sammanfattande systembeskrivning − Regulatorisk påverkan − Arkitektur, dvs. infrastruktur, användargränssnitt, integration med andra system och integration med instrument − Säkerhet, dvs. fysisk och logisk access till systemet − Elektroniska signaturer och elektroniska data En systembeskrivning kan vara ett separat dokument eller bestå av flera dokument Inför en inspektion Att tänka på Systembeskrivning Ta fram en tydlig beskrivning av systemet (presentation) − Beskriv vad systemet gör och vad som är syftet med systemet − Beskriv förvaltningsorganisationen − Utgår från systembeskrivning eller motsvarande Samla ihop lämplig dokumentation Valideringsdokument Genomförda och pågående ändringar − Inklusive en förteckning med status per ändring Utredda och pågående avvikelser − Inklusive en förteckning med status per ändring Periodiska granskningar Systembehörigheter, inklusive historik Att tänka på Validering och verifiering − Tydliga och godkända planer och rapporter • Planerade aktiviteter genomförda och dokumenterade • Avvikelser förklarade • ‖Inga lösa trådar‖ • Undvik att i rapporter skriva att åtgärder ska genomföras under förvaltning, ta hellre fram ändringsärenden eller CAPA och hänvisa till dessa − Dokument godkända i rätt ordning och av rätt personer − Uppfyller kraven på god dokumentationssed Att tänka på Genomförda ändringar utförda och dokumenterade enligt godkänd rutin Avvikelser dokumenterade, utvärderade och beslutade åtgärder genomförda enligt godkänd rutin Periodisk granskning utförd och dokumenterad enligt godkänd rutin Att tänka på Nödvändiga rutiner godkända och implementerade Användarbehörigheter under kontroll − Användare som inte längre är användare av systemet är inaktiverade − Användare som bytt roll (arbetsuppgifter) har en systembehörighet som motsvarar detta Användare av systemet är utbildade − Utbildning dokumenterad − Användarbehörighet motsvarar utbildning och befattning Slutsats Nyckelordet är kontroll − Visa på ett bra sätt att systemet är under kontroll − Visa att systemet används som det är avsett − Visa att systemet granskats periodiskt och att upptäckta problem har åtgärdats
© Copyright 2024