ולידציה ווריפיקציה לתוכנה ומערכות בקרה ממוחשבות בתעשיות התרופות, האמ”ר והביוטק

ולידציה ווריפיקציה לתוכנה ומערכות בקרה ממוחשבות בתעשיות התרופות, האמ"ר והביוטק

בתעשיות התרופות, המדיקל, הקוסמטיקה והמזון נעשה שימוש רב במערכות ממוחשבות ומערכות בקרה אשר להן עשויה להיות השפעה על תהליכי הייצור, על בטיחותו ואיכותו של המוצר הסופי וכפועל יוצא על בריאותו של הפציינט/הצרכן.

היות ומערכות ממוחשבות מטבען, עלולות להכיל פגמים, ליקויים, כשלים (באגים) שונים ישנן דרישות רגולטוריות אשר כוללות שלבי וריפיקציה וולידציה שונים. ווריפיקציה למערכת ממוחשבת/בקרה הנה הוכחה מתועדת ברמת וודאות גבוהה כי המערכת תוכננה ופועלת בהתאם לדרישות התכנון והשימוש.

ולידציה למערכת ממוחשבת/בקרה הנה הוכחה מתועדת ברמת וודאות גבוהה כי המערכת מותקנת ומתפקדת כנדרש הן על סמך התכנות/התכנון שלה והן בהתאם לדרישות המשתמש והדרישות הרגולטוריות הרלוונטיות, כל זאת באופן הדיר אשר יאפשר רמות גבוהות של אמינות הנתונים המעובדים ומופקים ע”י המערכת.

המאמר עוסק בדרישות הרגולטוריות הנדרשות עבור מערכות ממוחשבות ומערכות בקרה, מהן הדרישות המקדמיות לביצוע ולידציה למערכות ממוחשבות? ומהם השלבים בולידציה למערכות בקרה ומערכות ממוחשבות?

 

הקדמה

לכל מערכת ממוחשבת ומערכת בקרה בה משתמשים בתעשיות התרופות, המדיקל, הקוסמטיקה וגם המזון עשויה להיות השפעה על תהליכי הייצור, על איכותו של המוצר וכפועל יוצא על בריאותו של הפציינט/הצרכן. על כן, על מערכות ממוחשבות/בקרה לעמוד בסטנדרטים והעקרונות של ה- GMP (Good Manufacturing Practices) וה- GAP (Good Automated Manufacturing Practices).

מערכת ממוחשבת מטבעה, עלולה להכיל פגמים, ליקויים, כשלים (באגים) אשר יתגלו בשלבי הבחינה והולידציה השונים. הדרישות עבור ולידציה של מערכות ממוחשבות לשוק האמריקני מפורטות ב- 21CFR part 11 של ה-FDA וב-Annex 11 במדינות אירופה.

רצוי לבצע תהליך הערכת סיכונים בשלבים ההתחלתיים של תכנות המערכת הממוחשבת, זאת במטרה לקבוע את רמות הסיכון, לאתר את הרכיבים והפרמטרים הקריטיים שלה וכפועל יוצא את ההיקף של הולידציה שיש לבצע עבור המערכת, אם בכלל.

 

מהי ולידציה למערכת ממוחשבת?

הוכחה מתועדת ברמת וודאות גבוהה כי המערכת הממוחשבת/בקרה מותקנת ומתפקדת על סמך התכנות/התכנון שלה ודרישות המשתמש ובאופן קונסיסטנטי. מטרת הולידציה של המערכת הממוחשבת/בקרה הנה לוודא כי המערכת פועלת בהתאם לדרישות המשתמש, כפי שהוגדר בתכנון ועומדת בדרישות הרגולטוריות הרלוונטיות.

 

דרישות ממערכות ממוחשבות ומערכות בקרה

על כל מערכת בקרה ו/או מערכת ממוחשבת בתעשיות המדיקל, הפארמה, הקוסמטיקה והמזון לעמוד בדרישות שונות הקשורות לתחומים הבאים:

  • אבטחת מידע (Information security) – מה יקרה אם לכל גורם בארגון תהיה גישה לכל סוג מידע הקיים במערכת?
    מטרת אבטחת מידע היא למנוע מצב בו המידע שלנו יהיה פרוץ לכולם. למערכת הממוחשבת צריכות להיות “הגבלות” על מנת למנוע כניסה וגישה לנתונים של אנשים לא מורשים. הגבלות אלה צריכות להשמר באופן סיסטמטי ולהבחן בשלבי הולידציה השונים.
    בנוסף, רצוי כי מערכות בקרה המוגדרות כקריטיות תהיינה מותקנות על רשתות נפרדות אשר מנותקת מהרשת האדמיניסטרטיבית אליה מחובר הארגון. יש להשתמש בהגנה באמצעות ססמאות והגבלות אחרות וזאת על כל הפעולות הקשורות בשינוי פרמטרים תהליכיים המוגדרים כקריטיים, על ביצוע “עקיפות” לשלבים בתהליך, על שינויים בסדר הפעולות ועל גישה למידע המוגדר כמסווג או רגיש.
    ססמאות הניתנות לעובדים, צריכות להיות אינדיבידואליות ותואמות את רמת ההרשאה הרשמית המוגדרת עבור אותו עובד. עבור כל רמת הרשאה תוגדר רשימת פעילויות מסודרת המאושרת לביצוע ע”י העובד ומאידך תכיל פעילויות אשר העובד אינו ראשי לבצען במסגרת הרשאותיו הקיימות.
    ססמאות יוגדרו בהתאם לרמת המורכבות הנדרשת (מס’ תווים, סוגי תווים) ותוחלפנה בתדירות מוגדרת מראש. לאחר מס’ ניסיונות כושלים להכנס באמצעות ססמא, על המערכת להנעל בכדי למנוע כניסת גורמים לא מורשים למערכת. מומלץ מאוד להשתמש בתוכנות אנטי – וירוס מתאימות וכמו כן לעדכן את הגרסאות שלהן באופן תקופתי על מנת לשמר את יכולת ההגנה. כל רמות האבטחה יבחנו לעומק במסגרת הולידציה של המערכת הממוחשבת.
  • גיבוי נתונים (Information backup) – מה יקרה אם מידע חשוב עמו אנו עובדים או שנחוץ לנו, אינו מגובה כלל או לחילופין מגובה באופן לא תקין או בתדירות שאינה מספקת?
    על הרשומות האלקטרוניות והנתונים להיות מגובים באופן תקופתי ובתדירות מספקת על מנת למנוע אובדן מידע חיוני. חשוב כי המידע המגובה יהיה מאובטח ונגיש רק לגורמים מורשים בארגון. לעיתים עדיף לנהל את נושא הגיבויים בארגון באמצעות חברות חיצוניות מנוסות המספקות שירותים מסוג זה.
  • שחזור נתונים (Information restore) – מה יקרה כאשר אנו מעוניינים לאחזר נתונים מהגיבוי אבל לא מצליחים? מה קורה אם הקבצים אותם שחזרנו מתגלים כפגומים בעת ניסיון האחזור? מה קורה אם לא מצליחים לפתוח אותם? מה קורה אם המדיה עליה מבוצע הגיבוי תקולה?
    לבצע גיבוי נתונים זה הכרחי אך לא מספיק. אחזור נתונים מהגיבוי צריך להיות תהליך “חלק” וללא תקלות. על הגיבוי להבדק באופן תקופתי על מנת לוודא כי התוכן המגובה נגיש והקבצים תקינים
  • השבת נתונים במקרים של “Disaster” (Information recovery) – מה יקרה אם כל מערכות המידע בארגון נופלות?
    בימנו, מירב העבודה המבוצעת בארגון מושתתת על עבודה דרך מערכות מידע אלו ואחרות. רוב עובדי הארגון משתמשים במערכות ממוחשבות לשם ביצוע עבודתם היומיומית, החל ממחסנים, יצור, אריזה, איכות וכלה ברכש, לוגיסטיקה, שיווק והנהלה. נפילה של מערכות מידע ארגונית הנה דבר אשר עשוי להשבית את היכולת לבצע עבודה לפרקי זמן ארוכים, אלא אם החברה ערוכה ומנוסה בתהליכי Disaster recovery.
    על כל מחלקת IT בארגון לשאול את עצמה האם הארגון ערוך לפעולה מהירה ואפקטיבית למקרה שכזה? האם ניתן תוך זמן סביר לחזור לעבוד? האם בוצעה סימולציה מתאימה על מנת לבחון את יכולת ההתמודדות של הארגון עם מצבים שכאלה?
  • אמינות נתונים (Data Integrity) – מה יקרה אם נקבל נתונים לא מדויקים או נכונים ממערכות ממוחשבות עמן אנו עובדים?
    ישנם פרמטרים תהליכיים קריטיים ונתונים אחרים אשר להם השפעה על איכות המוצר וכפועל יוצא על בריאותו של הצרכן/הפציינט. יש לעבוד עם מערכות ממוחשבות ומערכות בקרה המספקות מידע שאמינותו גבוהה ואינה מוטלת בספק. נקבל מהמערכות נתונים שאנו יכולים “לסמוך עליהם” ולעבוד אתם ללא כל חשש.
    רשומות אלקטרוניות ונתונים המתקבלים ממערכות ממוחשבות צריכים להיות מדויקים, אמינים, מבוקרים, שלמים, ללא שינויים וזאת באופן קונסיסטנטי ובהתאמה מלאה לנתוני המקור וזאת לאורך כל מחזור החיים של הנתונים/המידע.
  • תחזוקה תקופתית – האם עבודה עם מערכות ממוחשבות אשר יש להן נטייה לתקלות באופן תדיר מקובלת על הארגון? האם לא עדיף לעבוד עם מערכות מתוחזקות כיאות ואשר מתפקדות ופעולתן יציבה לפרקי זמן ארוכים?
    כמו כל מערכת, גם על כל מערכות ממוחשבות ומערכות בקרה לעבור בדיקות תקופתיות וככל שנדרש יש לבצע בהן אחזקה תקופתית, זאת לשם הקטנת תדירות התקלות וקיצור זמני ההשבתה.

 

דרישות מקדמיות לביצוע ולידציה למערכות ממוחשבות

במסמך מדיניות הולידציה של החברה, יפורט אילו פעילויות וריפיקציה ו/או ולידציה יש לבצע עבור מערכות ממוחשבות ומערכות בקרה ואוטומציה בחברה בכלל ובמחלקות יצור מסוימות בפרט.
הצורך בולידציה, תכולת הולידציה, הקדימויות וההשפעה על איכות המוצר יפורטו במסמך ה-Validation Master Plan.
הצורך ותכולת הולידציה יוגדרו בהסתמך על שיקולים כגון:

  • האם למערכת הממוחשבת ישנה השפעה על תהליך הייצור ו/או איכות/בטיחות המוצר ואם כן, האם השפעה זו היא ישירה או עקיפה?
  • האם המערכת הממוחשבת מבקרת תהליך אשר מוגדר כקריטי?
  • האם המערכת מכילה רשומות אלקטרוניות? האם כל הנתונים הרלוונטיים ממערכת המחשוב נותרים במערכת או מודפסים על נייר? האם הם נבדקים ומאושרים ע”י גורם נוסף?

 

מיד לאחר קבלת ההחלטה לרכוש מערכת ממוחשבת חדשה, יש להגדיר את דרישות המשתמש במסמך URS, על מנת לוודא כי מה שמתכוונים לרכוש אכן עונה על כל צרכי החברה והמשתמשים ברצפת הייצור או במחלקות הרלוונטיות האחרות.

את ה-URS יש לבחון אל מול מסמכי התכנון של המערכת על מנת לוודא כי כל הדרישות אשר הוגדרו ע”י הלקוח, אכן קיבלו מענה כחלק מתכנון המערכת. שלב זה יכול להתבצע במסגרת Design Review ו/או Design Qualification.

על יצרן/ספק המערכת הממוחשבת להגדיר את הספסיפיקציות הפונקציונליות של המערכת (functional specifications) ולהעביר אותן כמסמך רשמי אשר יבדק ויאושר ע”י החברה המזמינה. מסמך זה יהווה כבסיס לבדיקות המערכת אשר תבוצענה כחלק מה- OQ (Operational Qualification).

לפני שמתחילים בתהליך ביצוע הולידציה, מומלץ לבצע בדיקות של המערכת הממוחשבת “בסביבת ייצור” בכדי לאתר תקלות ולטפל בהן מבעוד מועד.

נושאים נוספים שיש לבחון לפני שמתחילים בכתיבת פרוטוקולי הולידציה של המערכת הממוחשבות:

  • מערכת פתוחה/סגורה – מערכת פתוחה הנה סביבת עבודה בה הגישה לתוכנה אינה מבוקרת ע”י האנשים אשר אחראים לתוכן שמופיע ברשומות האלקטרוניות שלה. במערכת פתוחה יהיה צורך גם בהצפנה ובקידוד מסמכים תוך הקפדה על אמינות וסודיות המידע. לעומתה, מערכת סגורה הנה סביבת עבודה בה הגישה לתוכנה מבוקרת ע”י האנשים אשר אחראים לתוכן שמופיע ברשומות האלקטרוניות.
  • חתימה אלקטרונית/דיגיטלית/ביומטרית – חתימה אלקטרונית הנה רצף אותיות או סימנים אשר אמורה להיות אקוויוולנטית לחתימה “ידנית” של המשתמש. לרוב חתימה אלקטרונית תכיל קוד זיהוי וסיסמא. בחתימה דיגיטלית קיים רכיב נוסף אשר מאפשר לזהות את המשתמש. חתימה ביומטרית הנה חתימה אלקטרונית המשלבת זהות החותם באמצעי פיזיולוגי כגון תביעת אצבע.
  • Audit trial – תיעוד ומעקב אחר כניסות וביצוע פעילויות ע”י משתמשי המערכת.

 

השלבים השונים בולידציה למערכות בקרה ומערכות ממוחשבות

  • Installation Qualification – הוכחה מתועדת כי המערכת הממוחשבת עומדת בכל מפרטי הקבלה, מותקנת כנדרש (הן ברמת התוכנה והן ברמת החומרה) ותנאי השטח והסביבה הרצויים אכן סופקו לשם התקנתה. במסגרת ה – IQ נוודא כי כל רכיבי המערכת הנדרשים להפעלה תקינה של המערכת מותקנים וכי כל מסמכי המתכנן והיצרן התקבלו בשלמותם.
  • Operational Qualification – הוכחה מתועדת כי כל האספקטים הקשורים בהפעלת המערכת הממוחשבת מתפקדים כנדרש ובהתאם לצרכי המשתמש והדרישות הרגולטוריות הרלוונטיות.
  • Performance Qualification – הוכחה מתועדת כי המערכת מתפקדת כנדרש ובאופן קונסיסטנטי לאורך פרקי הזמן הנדרשים בפועל בחברה, תואמת את דרישות המשתמש ואת הפעילות המתבצעת בחברה. ב – PQ יש נבצע “הרצה חיה” של המערכת והתוכנה על מנת לבחון אותה ב – “חיים האמיתיים” ו – “בזמן אמיתי” בסביבת הייצור.
  • User Acceptance Test – בדיקה מתועדת של משתמשי הקצה של המערכת אשר תבוצע ע”י הלקוח לפני אישור המערכת לשימוש שוטף בייצור.
  • Traceability Matrix – ולידציה למערכות ממוחשבת מטבעה כוללת מסמכים רבים הקשורים לתכנון, תכנות, מפרטים, הגדרות ואסמכתאות לביצוע מבחנים ובדיקות שונות. מומלץ מאוד לעקוב אחד תהליך הולידציה של המערכת באמצעות Traceability Matrix.
  • ניהול ובקרת שינויים לאחר סיום שלב הולידציה – במדה ויש צורך לבצע שינויים/שיפורים/שדרוגים למערכת הממוחשבת, הן מבחינת תוכנה והן מבחינת חומרה, יש לתעד אותם, לבקר אותם ולנהל אותם לפני אישור וביצוע. יש לבצע הערכת סיכונים מחודשת עבור השינויים המוצעים וכפועל יוצא להגדיר האם ניתן לאשר ביצוע שינויים אלה, ואם כן, מהם בדיקות הולידציה והוריפיקציה הנדרשות כפועל יוצא מן השינוי.

 

כחלק מהולידציה של המערכת הממוחשבת, יש לבצע סימולציות למצבי worst case ו-Challenging בכדי לאתגר את גבולות המערכת ולבחון את הרובוסטיות (חוסן) שלה.

במסגרת ביצוע הולידציה ניתן לבצע בדיקות וסימולציות רבות כגון שימוש בערכים לא תקינים, אתגור חסמים הקיימים במערכת, בדיקת הודעות שגיאה, בדיקת אמינות נתונים, בדיקות של הלוגיקה לפיה נבנתה המערכת, בחינת רמות האבטחה של המערכת, בדיקות גיבוי ואחזור נתונים ועוד.

תוכן עניינים

שתפו את המאמר