Läkemedelskongressen 8/11 2011 GMP-krav för datoriserade system

Läkemedelskongressen 8/11 2011GMP-krav för datoriserade system –Eudralex Annex 11 och FDA 21 CFR Part 11Introduktion och innehållTony Forsberg

IntroduktionTony Forsbergtony.forsberg@plantvision.seBakgrundArbetat med utveckling avdatoriserade system i nästan 25 årArbetat med validering avdatoriserade system i nästan 20 årTagit fram och implementeratkvalitetsledningssystem förframtagning, implementering,förvaltning och avveckling avdatoriserade systemBakgrundGranskat genomförda kvalificeringaroch valideringar för att förbättraeffektivitetSenior specialistkonsultValideringsledareKvalitetschefProgramledare/ProjektledareLinjechef för systemutvecklareoch projektledareQuality ManagerService ManagerUtfört inspektioner av leverantörer avdatoriserade system som inspektionsledareSystemutvecklare

Innehåll1. Översikt - regelverk, riktlinjer och praxis2. Definition av ett datoriserat system3. Annex 114. 21 CFR Part 115. Skillnader mellan Annex 11 och 21 CFR Part 116. Elektroniska signaturer (ES) och elektronisk information (ER)7. Vad består en validering av8. Daglig drift och förvaltning9. Inför en inspektion

Definition validering”Upprättande av dokumenterade bevis, vilka med hög grad avsäkerhet säkerställer att en specifik process konsekventkommer att producera en produkt som uppnår sinaförutbestämda specifikationer och kvalitativa egenskaper.”Ursprunglig definition, FDA i mitten på 1970-talet.

Definition kvalificering“Aktiviteter som genomförs för att visa att utrustning,media och annat som används i processen är lämpade förrespektive användningsområde, och fungerar som avsett.”Ref: Guidance for Industry Process Validation: General Principles and practices

ÖversiktRegelverk och riktlinjer

Ansvariga myndigheterExempel på olika myndigheterUSA− FDA – Food and Drug AdministrationEuropa− EMA – European Medicines AgencySverige− Medical Products Agency – Läkemedelsverket

Myndigheters roll och inspektionsverksamhetSyfteAtt skydda allmänhetenAtt utfärda reglerAtt godkänna nya produkterAtt inspektera företagen för att kontrollera attregelverk efterlevs

FDA - RegelverkUS Code of Federal Regulations, Title 21, Food and Drugs 21 CF R11 Electronic Records, Electronic Signatures (Part 11) 21 CFR 58 21 CFR 210 21 CFR 211 21 CFR 820Good Laboratory Practice for Nonclinical LaboratoryStudiesCurrent Good Manufacturing Practice in Manufacturing,Processing, Packing, or Holding Of Drugs; GeneralCurrent Good Manufacturing Practice for FinishedPharmaceuticalsQuality System Regulations (Medical Device)

EMA - regelverkEudraLex Volume 1 Legislation Human Volume 2 Notice to applicants Human Volume 3 Guidelines Human Volume 4 GMP Human & Veterinary Volume 5 Legislation Veterinary Volume 6 Notice to applicants Veterinary Volume 7 Medecinal Products Veterinary Volume 8 MRL Veterinary Volume 9 Pharmacovigiliance Human & Veterinary Volume 10 Clinical trials Human

EudraLex Volume 4 GMPPart I - Basic requirements for Medicinal Products−−−−−−−−−Chapter 1 - Quality ManagementChapter 2 - PersonnelChapter 3 - Premise and EquipmentChapter 4 - DocumentationChapter 5 - ProductionChapter 6 - Quality controlChapter 7 - Contract Manufacture and AnalysisChapter 8 - Complaints and Product RecallChapter 9 - Self InspectionPart II - Basic Requirements for Active Substances used as Starting MaterialsPart III – GMP related documents− Site Master File− Q9 Quality Risk Management− Q10 Note for Guidance on Pharmaceutical Quality System− MRA Batch Certificate Chapter 1

Europa – EudraLex Volume 4 GMP, Annexen− Annex 1 Manufacture of Sterile Medicinal Products− Annex 2 Manufacture of Biological Medicinal Products for Human Use− Annex 3 Manufacture of Radio Pharmaceuticals− Annex 4 Manufacture of Veterinary Medicinal Products other than immunological Veterinary Medicinal Products− Annex 5 Manufacture of Immunological Veterinary Medicinal Products− Annex 6 Manufacture of Medicinal Gases− Annex 7 Manufacture of Herbal Medicinal Products− Annex 8 Sampling of Starting and Packaging Materials− Annex 9 Manufacture of Liquids, Creams and Ointments− Annex 10 Manufacture of Pressurised Metered Dose Aerosol Preparations for Inhalation− Annex 11 Computerised Systems− Annex 12 Use of Ionising Radiation in the Manufacture of Medicinal Products− Annex 13 Manufacture of Investigational Medicinal Products− Annex 14 Manufacture of Products derived from Human Blood or Human Plasma− Annex 15 Qualification and validation− Annex 16 Certification by a Qualified person and Batch Release− Annex 17 Parametric Release− Annex 18 Good manufacturing practice for active pharmaceutical ingredients− Annex 19 Reference and Retention Samples

Riktlinjer och praxis PIC/S - Pharmaceutical Inspection Cooperation Scheme−PI 011 Guidance on Good Practices for Computerized Systems inRegulated ―GxP‖ Environments ASTM International−E2500 Standard Guide for Specification, Design, And Verificationof Pharmaceutical and Biopharmaceutical Manufacturing Systemsand Equipment ISO - International Organization for Standardization−−ISO 9001 KvalitetsledningssystemSS-ISO IEC 90003 Programvaruutveckling – Krav− SS-ISO IEC 12207 System- och programvarukvalitet –Livscykelprocesser för programvara

Riktlinjer och praxisISPE GAMP 5: A risk-based approach to Compliant GxPComputerized Systems GAMP Good Practice Guides− Validation of Process Control System− IT Infrastructure Control and Compliance− A risk-based approach to Compliant Electronic Records andSignatures− Validation of Laboratory Computerized Systems− Testing of GxP systems− Manufacturing Execution Systems – A Strategic and ProgramManagement Approach

ICH – International Conference on HarmonisationSamlar ansvariga myndigheter och läkemedelsindustrinfrån Europa, Japan och USALäkemedelsbranschen mer internationell än någonsin ökat behov av harmoniseringSyftet är att utveckla och registrera säkra och effektivaläkemedel av hög kvalitet på det mest resurseffektivasättet

PIC/S - Pharmaceutical Inspection Convention The Pharmaceutical Inspection Convention och PharmaceuticalInspection Co-operation Scheme (tillsammans kallade PIC/S) Samarbete mellan 39 internationella myndigheter som ansvararför inspektioner inom GMP-området Leda den internationella utvecklingen, implementeringen ochunderhållet av harmoniserade GMP-standarder och inspektionerinom läkemedelsindustrin t.ex. genom………………en enhetlig syn på inspektionerharmonisering av GMP-kravenhetliga system för inspektionerutbildning av inspektörerutbyte av information

ASTM InternationalTar fram internationella standarder på frivillig basisUngefär 12 000 standarder för att…… förbättra produktkvalitet… höja säkerheten… underlätta handel… skapa kundförtroendeDrivs av medlemmar30 000 medlemmar som arbetar inom branschen ochrepresenterar 135 länder

ISO - International Organization for Standardization Världens största organisation inom utveckling ochpublicering av internationella standarder Nätverk av nationella institut från 162 länder Kopplar samman offentlig- och privat sektor för att nåkonsensus mellan krav från industrin och behoven isamhället

ISPE - International Society for Pharmaceutical EngineeringEn organisation för personer som arbetar medtillverkning av läkemedel och relaterade produkterForum för att diskutera praktisk tillämpning av teknologi isyfte att främja ―best practices‖22 000 medlemmar i 90 länderHålla yrkesverksamma personer uppdaterade inom desenaste regulatoriska och teknologiska trenderna

Användbara länkarFDA-dokument:http://www.fda.gov/Drugs/GuidanceComplianceRegulatoryInformation/Guidances/default.htmPIC/S-dokument:http://www.picscheme.org/publication.phpEMA-dokument:http://ec.europa.eu/health/documents/eudralex/vol-4/index_en.htmASTM:http://www.astm.org/ISPE:http://www.ispe.org/

Vad är ett datoriserat system

DatorsystemComputer system (ANSI)A functional unit, consisting of one or more computers andassociated peripheral input and output devices, andassociated software, that uses common storage for all or partof a program and also for all or part of the data necessary forthe execution of the program.−−Executes user-written or user-designated programsPerforms user-designated data manipulation, includingarithmetic operations and logic operationA computer system may be a stand-alone unit or may consistof several interconnected units.ANSI = American National Standards Institute

Datoriserat systemComputerized system (FDA)Includes hardware, software, peripheral devices, personnel,and documentation; e.g., manuals and Standard OperatingProcedures.FDA = Food and Drug Administration

Datoriserat systemMJUKVARAFÖRESKRIFTERPERSONALMASKINVARAUTRUSTNINGDATORSYSTEMPROCESS ELLERFUNKTIONDATORISERAT SYSTEMDRIFTSMILJÖ(omfattar angränsande system, andra system, media, personal, utrustning och föreskrifter)PIC/S Guidance on Good Practices for Computerized Systems in Regulated ―GxP‖ Environments

Annex 11

Annex 11Tidigare versionen gällde under nästan 20 årReviderades på grund av ökad användning av datoriseradesystem inom läkemedelsindustrin och mer komplexadatoriserade systemFörsta utkastet släpptes i april2008, slutgiltiga dokumentetpublicerades i januari 2011 ochträdde i kraft 30 juni 2011

Annex 11 – Skillnader från tidigare upplagaNya Annex 11 är mer omfattande och innehåller mer detaljer änden tidigare upplagan. Riskhantering Levarantörer och support Livscykel- och projekthantering Validering Elektroniska signaturer Utskrifter Loggning (Audit Trail) Periodvisa utvärderingar Ökat fokus på dataintegritet

Annex 11 – Skillnader från tidigare upplagaVad som saknas… Retrospektiv validering Parallella system− Manuellt system− Elektroniskt

Annex 11 - Syfte Att säkra att datoriserade system kan användasinom tillverkningen av medicinska produkterutan negativ inverkan på kvalitet, effektiviteteller patientsäkerhet Att tillhandahålla kriterier för effektivimplementering, kontroll och användning avdatoriserade system

Annex 11 - Områden som behandlasPrincipRiskhantering Personal Leverantörer och supportProjektfasDriftfas (förvaltning)−Validering−−−−−−−−−−−−−DataKontroll av inmatad informationLagring av dataUtskrifterLoggning (Audit Trail)Ändrings- och konfigurationsPeriodisk granskningSäkerhetIncidenthanteringElektroniska signaturerFrisläppning av batcherKontinuitetsplaneringArkivering

Annex 11 - PrincipGäller alla datoriserade system som används inom GMPregleradeområden−Planeringssystem, styrsystem, LIMS, kalkylarkDatoriserade system ska validerasInfrastruktur ska kvalificerasOm systemet ersätter en manuellprocedur får inte försämringar skeinom…………ProduktkvalitetProcesskontrollKvalitetssäkring

Annex 11 - PrincipValidering och kvalificeringEn validering består av flera kvalificeringar, t.ex.designkvalificering, installationskvalificering (IQ)och test (OQ/PQ)Kvalificering av infrastruktur är en av dessa, vilkeninnebär att t.ex. de servrar som används ska kvalificeras−−I detta ingår att dokumentera installationen samt attservern fungerar som avsettÄndring av kvalificerad infrastruktur ska dokumenterasIQ = Installation Qualification OQ = Operational Qualification PQ = Performance Qualification

Annex 11 - Områden som behandlasPrincipRiskhantering Personal Leverantörer och supportProjektfasDriftfas (förvaltning)−Validering−−−−−−−−−−−−−DataKontroll av inmatad informationLagring av dataUtskrifterLoggning (Audit Trail)Ändrings- och konfigurationsPeriodisk granskningSäkerhetIncidenthanteringElektroniska signaturerFrisläppning av batcherKontinuitetsplaneringArkivering

Annex 11 - ÖvergripandeRiskhantering Omfattar systemets hela livscykel− Patientsäkerhet, dataintegritet och produktkvalitet Validering och kontroller av dataintegritet ska baseras pådokumenterade riskutvärderingar

Annex 11 - ÖvergripandePersonal Definitioner− Systemägare− Processägare− (Systemförvaltare) Nära samarbete mellan all relevant personal såsomprocessägare, systemägare, kvalificerade medarbetareoch IT Personalen ska ha lämpliga kvalifikationer, endast tillgångtill relevant data och definierade ansvarsområden

Annex 11 - ÖvergripandeLeverantörer och support Formella överrenskommelser mellan tillverkare och tredjepart− Ska tydligt redogöra för leverantörens ansvar ochskyldigheter− IT-avdelningar bör beaktas på samma vis

Annex 11 - Områden som behandlasPrincipRiskhantering Personal Leverantörer och supportProjektfasDriftfas (förvaltning)−Validering−−−−−−−−−−−−−DataKontroll av inmatad informationLagring av dataUtskrifterLoggning (Audit Trail)Ändrings- och konfigurationsPeriodisk granskningSäkerhetIncidenthanteringElektroniska signaturerFrisläppning av batcherKontinuitetsplaneringArkivering

Annex 11 - Projektfasen Ska täcka samtliga relevanta steg i livscykeln−Standarder, protokoll, acceptanskriterier, tillvägagångssätt ochdokument ska baseras på riskutvärdering Dokumentation för förändringar och avvikelser Inventeringslista över relevanta system−Systembeskrivningar för kritiska system Kravspecifikation−Spårbarhet under systemets livscykel

Projektfasen – Validering Utveckling enligt lämpligt kvalitetsledningssystem Process för utvärdering och rapportering av kvalitet ochprestanda för kundanpassade system Bevis för att relevanta testmetoder och testscenarion haranvänts Validering vid överföring av data

Annex 11 - Områden som behandlasPrincipRiskhantering Personal Leverantörer och supportProjektfasDriftfas (förvaltning)−Validering−−−−−−−−−−−−−DataKontroll av inmatad informationLagring av dataUtskrifterLoggning (Audit Trail)Ändrings- och konfigurationsPeriodisk granskningSäkerhetIncidenthanteringElektroniska signaturerFrisläppning av batcherKontinuitetsplaneringArkivering

Annex 11 – Driftfas (förvaltning) Data− Inbyggda kontroller för att minimera risker Kontroll av inmatad information− Manuellt inlagd data ska kontrolleras Lagring av data− Lämpligt skydd (fysiskt ochelektroniskt)− Tillgänglighet, läsbarhet ochriktighet ska kontrolleras− Back-up Utskrifter− Elektronisk data− Vid frisläpp av batch ska ändringarframgå

Annex 11 – Driftfas (förvaltning) Loggning (Audit Trail)− Dokumentation över GMP-relevanta förändringar Ändrings- och konfigurationshantering− Enligt definierade procedurer Periodisk granskning Säkerhet− Beror på hur kritiskt systemet är− Spårbarhet (vem och hur) Incidenthantering− Ska rapporteras och utvärderas

Annex 11 – Driftfas (förvaltning) Elektroniska signaturer− Permanenta och inkludera tid och datum Frisläppning av batcher− Kvalificerad personal ska frisläppa batchen med enelektronisk signatur Kontinuitetsplanering− Support och alternativ vid fel och avbrott Arkivering− Tillgänglighet, läsbarhet, integritet och spårbarhet

Kapitel 4 Dokumentation - PrincipUppdaterad på grund av ökad användning av elektroniskadokument (data)God dokumentationssed är en viktig del ikvalitetsledningssystemetDokument kan vara i pappersformat eller elektronisktformatDet finns två typer av dokument: styrande dokument(t.ex. föreskrifter) och resultatdokument/redovisandedokument (t.ex. testprotokoll)Kontroller ska vara implementerade föratt säkerställa att dokument är korrektaoch tillgängliga

21 CFR Part 11

21 CFR Part 11 Trädde i kraft 20 augusti 1997 Omfattar alla FDA-reglerade verksamheter Ställer krav på att system ska valideras

SyfteAtt tillåta användningen av elektroniska dokument (data)i så stor utsträckning som möjligt och samtidigt skyddaallmänhetenElektroniska dokument (data) och signaturer ska varatillförlitliga

Omfattande kritik mot 21 Part 11Begränsar användningen av elektroniska dokument(data)Högre kostnader för att anpassa system änberäknat−Gäller alla system inom en FDA-reglerad verksamhet−−Inte riskbaserad full validering av alla systemInnefattar äldre system full valideringMotverkar innovation utan att bidra till ökadpatientsäkerhet

Kritik mot Part 11 För att möta kritiken publicerades en guide i augusti 2003−Part 11, Electronic Records; Electronic Signatures — Scope andApplication’ guidanceGuiden beskriver ett antal områden där FDA tillämpar lättnader(enforcement discretion)Områden som berörs (under specifika villkor) är−−−−−Validering - riskLoggning (Audit Trail) – närGamla system (innan augusti 1997) – i drift innan och uppfyllerdåvarande och gällande kravKopiering av data – läsbart och standardiserat formatÅtkomst av data och arkiveringKrav på elektronisk signering och vilka elektroniska data somska finnas ska stämmas av mot gällande regelverk

Del B – Elektroniska dokument (data)Stängda system - Öppna system - Signaturer - Koppling signatur/dokument Validering Korrekta och fullständiga dokument ska finnas tillgängliga Skydd av data under hela arkiveringsperioden Tillgång till systemet begränsat till behörig personal Loggning (Audit Trail) Kontroll av systemet i drift

Del B – Elektroniska dokument (data)Stängda system - Öppna system - Signaturer - Koppling signatur/dokument Behörighetskontroll – vem har tillgång? Kontroll av utrustning All personal som arbetar med berörda system ska harelevant utbildning Policy för ansvar vid underskrift Kontroll av systemdokumentation− Tillgång, distribuering, och användning av dokument− Revisioner och hantering av förändringar

Del B – Elektroniska dokument (Data)Stängda system - Öppna system - Signaturer - Koppling signatur/dokumentSignerade elektroniska dokument (data) ska innehålla Fullständigt namn Datum och tidpunkt Signaturens syfte (mening)Samma kontroller som för elektroniska dokument (data)

Del B – Elektroniska dokumentStängda system - Öppna system - Signaturer - Koppling signatur/dokumentLänk ska finnas mellan signatur och dokument(data) för att säkerställa att en signatur inte kan…… bli borttagen… kopieras… eller på annat sätt överföras i förfalskningssyfte

Annex 11 och 21 CR Part 11En jämförelse

TillämpningAnnex 11Datoriserade system som delav GMP-reglerade aktiviteter21 CFR Part 11Elektroniska dokument(data) och elektroniskasignaturer som användsinom samtliga aktiviteterreglerade av FDA

FokuseringAnnex 11Riskbaserad hantering avdatoriserade system med fokuspå kvalitet21 CFR Part 11Användandet av elektroniskadokument och signaturer iöppna och stängdadatorsystem

SyfteAnnex 1121 CFR Part 11Att säkra att datoriseradesystem kan användas inomtillverkningen av medicinskaprodukter utan negativaeffekter på kvalitet,effektivitet eller patientsäkerhet.Att tillhandahålla kriterierför effektiv implementering,kontroll och användning avdatoriserade system.Att tillåta användningen avelektroniska dokument(data) i så stor utsträckningsom möjligt och samtidigtskydda allmänheten.Kriterier för vad som krävsför att elektroniskadokument (data) ska anseslika tillförlitliga sompappersdokument ochhandskrivna signaturer.

L i v s c y k e l k o n c e p tS p e c i f i k h a n t e r i n gKonceptAnnex 11Generella bestämmelser• Riskhantering• Personal• Leverantörer och supportProjektfas• ValideringDriftfas (förvaltning)• Data• Kontroll av inmatning• Arkivering• Utskrifter• Loggning (Audit Trail)• Ändrings- och konfigurationshantering• Periodvisa granskningar• Säkerhet• Incidenthantering• Elektroniska signaturer• Frisläppning av batcher• Kontinuitetsplanering• Arkivering21 CFR Part 11Generella bestämmelser• Omfattning• Implementering• DefinitionerElektroniska dokument (data)• Kontroller av stängda system• Kontroller av öppna system• Signaturer• Koppling mellan signatur ochdokumentElektroniska signaturer• Generella krav• Elektroniska signaturersutformning och kontroller• Hantering av användaridentiteteroch lösenord

ÖversiktAnnex 11 21 CFR Part 11Infallsvinkel Hur? Vad?TillämpningGMP-reglerade aktiviteterAktiviteter reglerade avFDAFokusRisk och kvalitetElektroniska dokument(data) och signaturerSyfteProduktkvalitet ochkvalitetssäkringTillförlitliga elektroniskadokument (data)Omfattning Fler områden behandlas Snävare fokusKoncept Livscykelkoncept Specifik hantering

Exempel på ER och ES

Definiera ER och ESUtgående från gällande regelverk definiera vilka elektroniskasigneringar (ES) som behöver utföras och vilka elektroniskadata (ER) som ska hanterasBestäm om ett elektroniskt data ska signeras mednamnteckning eller med signatur (initialer)Tänk på hur det brukar göras på pappersdokumentSker signering med fullständig namnteckning medför dettaelektronisk signering med t.ex. användaridentitet och lösenordJämför med godkännande av ett dokumentSker signering med datum och signatur (initialer) kan dettamedföra att ingen signering behöver utföras utan det räckermed att detta sparas i systemets loggning (Audit Trail)Jämför signering av en utförd aktivitet i ett batchprotokoll

Definiera ER och ES Verifiera på lämpligt sätt dokumenteradeelektroniska signeringar (ES) och elektroniskadata (ER)−Ett sätt kan var att använda en spårbarhetsmatris(RTM)ESochERTesterSpårbarhetsmatris

Exempel på elektroniska signaturer (ES)Dokumenthanteringssystem− Godkännande av dokumentLaboratory Information Management System− Fullständig signatur• Godkännande av produktspecifikation• Frisläppande av batcher− Datum och signatur (initialer)• Rapportering av analysresultat

Exempel på elektroniska data (ER)Dokumenthanteringssystem− Godkända dokumentversioner• Varje enskilt metadata är inte ett ER− AnvändarkontonLaboratory Information Management System− Godkända analysversioner− Godkända produktspecifikationsversioner− Loggade och godkända batcher− Testresultat− Användarkonton

När blir det ett elektronisk data (ER)?En riktlinje är att det blir elektronisk data (ER) när data sparas− Vid rapportering av ett resultat där systemetkontrollerar om värdet är korrekt är inteinmatningen ett ER− Det blir ett ER när operatören väljer attspara informationenElektronisk data utskriven på papper− Viktigt att dokumentera vad som används för GMP-beslut− Innehåller dokumentet beräknade resultat eller diagram kan det varanödvändigt att spara data som använts för framtagning av dessaberäkningar eller diagram− Det ska finnas en tydlig koppling mellan utskriven data och data i systemet

Kort bensträckare på två minuter

Vad består en validering av

Ett systems livscykelKravFrisläppningÄndringarBorttag ocharkiveringFaser:Koncept Projekt Drift och förvaltning Avveckling

Ett systems livscykel Koncept− Utveckling av krav och potentiella lösningar− Kostnader och fördelar för att besluta om ett projekt ska initieras Projekt− Planering, leverantörsbedömning och val av leverantör− Konfigurering och verifiering Drift och förvaltning− Den längsta fasen− Systemet används och förvaltas Avveckling− Avveckling av programvara och maskinvara− Arkivering av information

Validering – En översiktPlaneringRapporteringSpecificeringVerifieringTillverkning

Validering – DetaljerValideringsplanValideringsrapportKravspecifikationTest av kravFunktionsspecifikationFunktionstestDesignspecifikationIntegrationstestModulspecifikationModultestKonfigureringoch/eller kodningStödprocesserRiskhantering, designgranskning, ändrings- och konfigurationshantering,spårbarhet och dokumenthantering

Hur kan det gå till?För att ge en uppfattning omhur en validering kan planeras(omfattning) och genomföraskommer LIMS att användassom ett genomgående exempelLIMS är ett system som mångakan förstå och relatera till

Bakgrund LIMSEtt LIMS kan vara ett komplext systemEtt LIMS kan innehålla allt från provtagning tillfrisläppning av batcher−Inklusive all statisk data som behövs, t.ex. analyser,provtagningsplaner och specifikationerEtt LIMS kan integreras med system för mottagning avmaterial, planeringssystem och lagersystem−Frisläppning av batcher kan ske i LIMS eller i annat systemEtt LIMS kan integreras med analysinstrument

Bakgrund LIMS-valideringTraditionellt verifieras alla funktioner lika mycket, alltfrån enkla funktioner för uppdatering av statisk data tillkomplicerade provtagningsplaner och integration medandra systemKan innebära att verifiering av kritiska funktionerunderskattas och att verifiering av enklare funktioneröverarbetasDet är viktigt att förstå den eller de processer somsystemet ska stödja och att fokusera på de kritiskaprocesserna

AngreppssättFör att få rätt omfattning på en validering kan följandegenomföras1. Kategorisera system2. Använda ett skalbart angreppssätt3. Fokusera på kritiska funktioner och risker4. Använda leverantörens arbete på ett effektivt sätt

AngreppssättFyra metoder för effektivisering av LIMS-validering:1. Kategorisera system2. Använda ett skalbart angreppssätt3. Fokusera på kritiska funktioner och risker4. Använda leverantörens arbete på ett effektivt sätt

Kategorisering av systemGenerellt ökar risken för fel vid användande avkundanpassade eller skräddarsyddakomponenter istället för standardkomponenterDen ökade risken kommer sig av störrekomplexitet och minskad användarerfarenhet

Kategorisering av systemDe flesta system består av flera komponenter avvarierande komplexitet, som exempelvis− Operativsystem− Standardkomponenter− Konfigurerade komponenter− Kundspecifika komponenterArbetsinsatserna bör fördelas enligt följande:Kundspecifik Konfigurerad Standard InfrastrukturHöginsatsLåginsats

Kategorisering av programvaraGAMP- kategori Beskrivning Exempel1345Programvaraför infrastrukturEj konfigureradprogramvaraKonfigureradprogramvaraKundspecifikprogramvaraProgramvara på vilken applikationerbyggs och programvara som användsför att hantera infrastrukturen.Vissa parametrar kan anges och lagras,men programvaran kan inte konfigurerasför att passa affärsprocesserna.Programvara, ofta komplex, som kankonfigureras för att uppfylla affärsprocesskrav.Programvarukod ändrasinte.Anpassat (kodning) system för attuppfylla specifika kundkrav.OperativsystemDatabashanterareProgramspråkStatistikprogramvaraPlaneringsverktygVersionshanteringsverktygKommersiellt tillgängliga standardprogramsom t.ex. finns i analysochlaboratorieinstrument sompH-meter och HPLCeCTD Management SystemLIMSDatainsamlingssystemSCADAERPKalkylarkInternt och externt utveckladesystemKalkylark (makro, avanceradeberäkningar eller liknande somkräver användning av makron ochsom kräver verifiering)

Kategorisering av programvaraHPLC= High-performance Liquid ChromatographyeCTD= Electronic Common Technical DocumentLIMS= Laboratory Information Management SystemSCADA = Supervisory Control And Data AcquisitionERP= Enterprise Resource Planning

Kategorisering av maskinvaraKategori Beskrivning Exempel1 StandardStandardkomponenter som är spriddatill ett stort antal användare.Standardserver2 KundspecifikKundspecifik maskinvara som inte ärspridd till ett stort antal användare.Specialbyggdserver för ett visständamål

AngreppssättFyra metoder för effektivisering av LIMS-validering:1. Kategorisera system2. Använda ett skalbart angreppssätt3. Fokusera på kritiska funktioner och risker4. Använda leverantörens arbete på ett effektivt sätt

Kategori 5 - kundspecifik programvaraValideringsplanValideringsrapportKravspecifikationTest av kravFunktionsspecifikationFunktionstestDesignspecifikationIntegrationstestModulspecifikationModultestKonfigureringoch/eller kodningStödprocesserRiskhantering, designgranskning, ändrings- och konfigurationshantering,spårbarhet och dokumenthantering

Kategori 4 - konfigurerad programvaraValideringsplanValideringsrapportKravspecifikationTest av kravFunktionsspecifikationFunktionstestKonfigurationsspecifikationKonfigurationstestKonfigureringoch/eller kodningStödprocesserRiskhantering, designgranskning, ändrings- och konfigurationshantering,spårbarhet och dokumenthantering

Kategori 3 - ej konfigurerad programvaraValideringsplanValideringsrapportKravspecifikationTest av kravKonfigureringoch/eller kodningStödprocesserRiskhantering, designgranskning, ändrings- och konfigurationshantering,spårbarhet och dokumenthantering

Testning (verifiering) kan innefatta Designgranskning Test av funktionalitetKategori 5Kategori 4Kategori 3 Verifiering av installation Test av att systemet fungerar enligtavsett ändamål

Leverantörens aktiviteter Tillverkning (kodning) Test av moduler Framtagning av specifikationerKategori 5Kategori 4Kategori 3 Test av funktioner och system Leverans av system Leverans av systemdokumentation Utbildning Support och underhåll

AngreppssättFyra metoder för effektivisering av LIMS-validering:1. Kategorisera system2. Använda ett skalbart angreppssätt3. Fokusera på kritiska funktioner och risker4. Använda leverantörens arbete på ett effektivt sätt

Identifiera riskerRiskanalys Systemkategorisering och identifiering av kritiska funktioneranvänds som underlag i riskbedömningen

Riskhantering och påverkanSyftet med riskhantering är att använda all den kunskap ochinformation som finns samlad inom verksamheten till att göraväl underbyggda beslut om vilka aktiviteter som ska prioriterasför att uppnå ställda krav på ett effektivt sättSyftet kan även sägas vara att man ska uppnå en högre kvalitetoch mer tillförlitliga system med mindre ansträngning ochbyråkratiFöljande ska beaktas−−−PatientsäkerhetProduktkvalitetDataintegritet

Identifiering av kritiska funktionerVilka funktioner kan vara kritiska i det direkt påverkande systemet?Patientsäkerhet Frisläppande av batch Överföring av dispositionsbeslut till annat systemProduktkvalitet Godkännande av analysresultat Beräkningar av analysresultatDataintegritet Behörighetshantering Loggning

Identifiering av kritiska funktionerVilka funktioner är kritiska i det icke-påverkande systemet? För ett system, där systemet eller dess funktion inte harnågon påverkan, finns inga GxP-kritiska funktioner!

RiskhanteringEtt relativt enkel sätt att göra en riskanalys är att identifierarisker och beakta följande parametrar:−−−Sannolikhet att något inträffarPåverkan om det inträffarGår det att upptäck om det har häntDessa parametrar vägs sedan samman och ett riskvärde fåsfram, t.ex.:−−−Lågt riskvärdeMedelriskvärdHögt riskvärdeFortsatta arbetet fokuserar sedan på risker med högt riskvärde,dvs. hur ska dessa risker minimeras (undvikas)

En riskbedömningsmetodPåverkanPå patientsäkerhet, produktkvalitet och/eller dataintegritet (eller annantänkbar påverkan)Sannolikhet för att fel inträffar Riskklass: Påverkan x Sannolikhet för felSannolikhet för upptäcktAtt fel upptäcks innan det inträffar Prioritet: Riskklass x Sannolikhet för upptäckt

Identifiering av riskerFunktionstestning utifrån erhållen riskprioriteringEtt exempel:Funktion Låg risk Medelhög risk Hög riskInmatning avanalysresultat medacceptansgränserpå 10,0 respektive.20,0Verifiera attdata inomgränsernaaccepterasGränstestning: ettvärde under 10, ettvärde inomgränserna, ett värdeöver 20Utmana nollvärdetGränstestning: 9,9;10,0; 10,1; 19,9;20,0; 20,1Utmana nollvärdetKontrollera inkorrektkommateringKontrollera att endastsiffervärdenaccepteras

AngreppssättFyra metoder för effektivisering av LIMS-validering:1. Kategorisera system2. Använda ett skalbart angreppssätt3. Fokusera på kritiska funktioner och risker4. Använda leverantörens arbete på ett effektivt sätt

LeverantörssamarbeteAnvända leverantören Beställaren bör försöka att maximera användningen avleverantören under systems hela livscykel

LeverantörssamarbeteLeverantörsbedömningEn leverantörsbedömning utförs för att säkerställa attleverantören motsvarar ställda krav utgående frångällande regelverkDet finns tre huvudtyper av leverantörsbedömningar1. Grundläggande utvärdering utgående från tillgängliginformation2. Utvärdering med hjälp av översänt frågeformulär3. Inspektion på plats hos leverantören (audit)

SlutsatsKategorisering och ett skalbart arbetssätt ger envägledning om vilken dokumentation och verifiering somkrävs för de olika kategorier som identifieratsIdentifiering av risker och kritiska funktioner ger enmöjlighet att fokusera arbetet på det som är kritiskt isystemetEn leverantörsbedömning ger stöd för att utnyttjaleverantörens dokumentation och verifiering för attreducera det egna arbetetUtföra bara det som är nödvändigt, undvik att upprepadet som en leverantör redan gjort

Rekommendationer - exempelRegistrering av instrumentKategori 3 – Ej konfigurerad programvaraInte en kritisk funktionLåg riskVerifiering− Enkel test mot krav alternativt referera till att funktionentestats av leverantören

Rekommendationer - exempelBeräkning av analysresultatKategori 4 – Konfigurerad programvaraKritisk funktionHög riskVerifiering− Kontroll och test av konfigurering− Ytterligare test för att verifiera det som bedömts somriskfyllt

Rekommendationer - exempelProvtagningsplanKategori 4 – Konfigurerad programvaraInte en kritisk funktionLåg riskVerifiering− Enklare test för att verifiera kraven

Rekommendationer - exempelIntegration med förrådssystemKategori 5 – Kundspecifik programvaraKritisk funktionHög riskVerifiering− Modultest mot designspecifikation− Systemtest mot funktionsspecifikation− Test mot kravspecifikation

Drift och förvaltning

Ett systems livscykelKravFrisläppningÄndringarBorttag ocharkiveringFaser:Koncept Projekt Drift och förvaltning Avveckling

Drift- och förvaltningsfasen Övertagande Support, underhåll och övervakning Avvikelsehantering Ändringshantering Periodisk granskning Kontinuitetsplanering Säkerhet Hantering av data Systembeskrivning

Drift- och förvaltningsfasenÖvertagande Process för överlämning frånprojekt till förvaltning Involverar vanligen projektgrupp,processägare, systemägare ochkvalitetsavdelning

Exempel på en förvaltningsorganisationSystem ASystemägare Systemförvaltare Expertanvändare SlutanvändareProcessägareHelpdeskDriftSystemägare Systemförvaltare Expertanvändare SlutanvändareSystem B

Drift- och förvaltningsfasenSupport, underhåll och övervakning Support kan tillhandahållas internt eller av externa resurser Supportavtal, underhållsplaner och underhållsrutiner skafinnas Beroende på hur kritiskt ett system är kan det behövaövervakas för att tidigt upptäcka eventuella problem

Drift- och förvaltningsfasenAvvikelsehantering Det ska finnas rutiner för hur avvikelser hanteras Avvikelser ska utredas med avseende på om de påverkarpatientsäkerhet, produktkvalitet eller dataintegritet Avvikelsehanteringen ska omfatta både korrigerande ochförebyggande åtgärder

Drift- och förvaltningsfasenÄndringshantering Alla ändringar i programvara, maskinvara, infrastruktur elleranvändning av ett datoriserat system ska behandlas genomformell ändringshantering Rutiner för ändringshantering ska beskriva hur ändringar skadokumenteras, verifieras, godkännas och avslutas Rutiner för ändringshantering ska beskriva vilken påverkanoch risk ändringen innebär När ändringar innefattar kodning eller konfigurering skarutiner för konfigurationshantering tillämpas Reparation och byte av komponenter, inkl. maskinvara, skautföras enligt en fastställd process

Drift- och förvaltningsfasenPeriodisk granskning Periodisk granskning utförs under hela förvaltningsfasen Verifierar att systemet uppfyller regulatoriska krav, ärändamålsenligt och uppfyller företagets policy och rutiner Frekvensen för granskning ska bero på systemets påverkanoch erfarenhet av systemet samt baseras på riskbedömning Rutiner för periodisk granskning ska beskriva hur eventuellaåtgärder ska dokumenteras

Drift- och förvaltningsfasenKontinuitetsplanering Det ska finnas rutiner för säkerhetskopiering ochåterskapande av programvara och lagrad data Det ska finnas en plan för att minimera effekten avstörningar vid oplanerade och planerade avbrott i driften− Katastrofhanteringsplan− Kontinuitetsplan

Drift- och förvaltningsfasenSäkerhet Det ska finnas rutiner förbehörighetshantering,lösenordshantering och viruskontroll Behörighetshanteringen ska ommöjligt vara rollbaserad Alla användarkategorier ska omfattasav rutiner för behörighetshantering

Drift- och förvaltningsfasenHantering av data Det ska finnas rutiner förbevarande av data somomfattas av regulatoriskakrav Arkivering av data genomflytt till annan plats ellerannat system görs ofta isyfte att skydda dem frånförändringar

Drift- och förvaltningsfasenSystembeskrivning Det ska finnas en dokumenterad beskrivning av systemet− Sammanfattande systembeskrivning− Regulatorisk påverkan− Arkitektur, dvs. infrastruktur, användargränssnitt, integrationmed andra system och integration med instrument− Säkerhet, dvs. fysisk och logisk access till systemet− Elektroniska signaturer och elektroniska data En systembeskrivning kan vara ett separat dokument ellerbestå av flera dokument

Inför en inspektion

Att tänka påSystembeskrivningTa fram en tydlig beskrivning av systemet (presentation)−−−Beskriv vad systemet gör och vad som är syftet med systemetBeskriv förvaltningsorganisationenUtgår från systembeskrivning eller motsvarandeSamla ihop lämplig dokumentationValideringsdokumentGenomförda och pågående ändringar−Inklusive en förteckning med status per ändringUtredda och pågående avvikelser−Inklusive en förteckning med status per ändringPeriodiska granskningarSystembehörigheter, inklusive historik

Att tänka på Validering och verifiering− Tydliga och godkända planer och rapporter• Planerade aktiviteter genomförda och dokumenterade• Avvikelser förklarade• ‖Inga lösa trådar‖• Undvik att i rapporter skriva att åtgärder ska genomföras underförvaltning, ta hellre fram ändringsärenden eller CAPA och hänvisatill dessa− Dokument godkända i rätt ordning och avrätt personer− Uppfyller kraven på god dokumentationssed

Att tänka på Genomförda ändringar utförda ochdokumenterade enligt godkänd rutin Avvikelser dokumenterade,utvärderade och beslutade åtgärdergenomförda enligt godkänd rutin Periodisk granskning utförd ochdokumenterad enligt godkänd rutin

Att tänka på Nödvändiga rutiner godkända och implementerade Användarbehörigheter under kontroll−−Användare som inte längre är användare av systemet ärinaktiveradeAnvändare som bytt roll (arbetsuppgifter) har ensystembehörighet som motsvarar detta Användare av systemet är utbildade−−Utbildning dokumenteradAnvändarbehörighet motsvararutbildning och befattning

Slutsats Nyckelordet är kontroll− Visa på ett bra sätt att systemetär under kontroll− Visa att systemet används som det äravsett− Visa att systemet granskats periodisktoch att upptäckta problem haråtgärdats