La nuova edizione della linea guida ISPE GAMP 5

A Luglio 2022 è stata pubblicata la seconda edizione della linea guida ISPE GAMP 5 A Risk-Based Approach to Compliant GxP Computerized Systems che, pur mantenendo i principi e il quadro di riferimento della prima edizione, è stata aggiornata per recepire alcune novità tra cui:

  • Accresciuta importanza dei fornitori di servizi
  • Evoluzione degli approcci di software development (es. Agile)
  • Uso esteso di strumenti software e tool
  • Importanza del critical thinking
  • Recepimento delle indicazioni della data integrity

Argomenti nuovi e in evoluzione nel settore life science – tra cui blockchain, intelligenza artificiale (AI/ML), cloud computing, software open source (OSS) – sono stati inclusi nelle Appendix della guida, aggiornate come evidenziato in questo elenco:

  • Appendix M11 – IT Infrastructure NEW
  • Appendix M12 – Critical Thinking NEW
  • Appendix D1 – Specifying Requirements UPDATED
  • Appendix D2 – RETIRED
  • Appendix D8 – Agile Software Development NEW
  • Appendix D9 – Software Tools NEW
  • Appendix D10 – Distributed Ledger Systems (Blockchain) NEW
  • Appendix D11 – Artificial Intelligence and Machine Learning (AI/ML) NEW
  • Appendix O7 – RETIRED
  • Appendix S2 – Electronic Production Records UPDATED
  • Appendix S5 – RETIRED

CRITICAL THINKING

La nuova linea guida ISPE GAMP 5 promuove il critical thinking, cioè un processo decisionale informato utile a definire qual è l’approccio più appropriato per circostanze specifiche.

Il “pensiero critico” permette di comprendere e valutare dove il processo aziendale e il flusso dei dati può potenzialmente influire sulla sicurezza del paziente, sulla qualità del prodotto e sull’integrità dei dati, sia introducendo nuovi fattori di rischio sia mitigando rischi già presenti.

Il critical thinking funge quindi da supporto nelle decisioni di Qualità e conformità per i sistemi informatici. Ad esempio, l’applicazione del critical thinking permette di valutare l’estensione e la profondità dei test e della documentazione a supporto, ma anche la definizione delle attività della fase di mantenimento come la frequenza della periodic review.

AGILE

Un’altra novità delle GAMP 5 è la metodologia Agile per lo sviluppo del software, caratterizzata da un approccio iterativo e incrementale. Proprio per questo motivo il ciclo di vita dei software, e in particolare la fase di Project, possono essere rappresentati sia dal tradizionale modello a V (lineare) sia con l’andamento circolare tipico dei software sviluppati in Agile.

Un’altra conseguenza è l’utilizzo di tool a supporto di ogni fase del ciclo di vita del software, tool nei quali le informazioni e le evidenze sono mantenute in forma di record piuttosto che in forma di documenti cartacei.

Questi tool, inoltre, non richiedono convalida, ma un assessment per adeguatezza, oltre che l’utilizzo da parte di personale istruito e qualificato anche su tematiche GxP, la tenuta sotto controllo e la supervisione da parte dell’Assicurazione Qualità.

FORNITORI DI SERVIZI

L’aggiornamento delle GAMP 5 dà maggiore importanza al ruolo dei fornitori di servizi, in particolare in caso di sistemi cloud. Questo si rispecchia nell’importanza data agli audit e ai contratti stipulati tra fornitori e azienda regolata come strumenti di selezione e controllo dei fornitori e di riduzione dei rischi, sia durante la convalida iniziale che poi nella definizione dei processi della fase di mantenimento. É infatti necessario ricordare che la responsabilità ultima della conformità rimane dell’azienda regolata, anche quando una o più delle attività del ciclo di vita vengono delegate a un provider esterno.

Parlando di fornitori è stato sottolineato, inoltre, come questi non siano direttamente soggetti alle GXP e come sia necessario fare ricorso ad altri standard, ad esempio le ITIL, a complemento delle linee guida GAMP 5.

CATEGORIE DEL SOFTWARE

Le categorie del software non sono più da considerarsi come divisioni nette, ma come un continuum: infatti i software possono essere composti da elementi di categorie differenti. Per questo nella nuova edizione delle GAMP 5 si parla di componenti piuttosto che di prodotti.

La categoria di appartenenza del software non è poi l’unico fattore di definizione dello sforzo di test o del formalismo della documentazione, ma vanno prese in considerazione l’analisi dei rischi, la valutazione del fornitore, la novelty e la complessità del sistema, nonché il già citato critical thinking. La categoria rappresenta anche un criterio per la valutazione dei fornitori.

Un’altra importante novità è data dall’estensione della categoria 1, ora meglio dettagliata in Sistemi Operativi, software tool non GxP critici (es. tool IT) e software tool GxP critici (cioè che impattano direttamente un processo GxP o dati GxP critici).

LA CONVALIDA DEI SISTEMI COMPUTERIZZATI

Per quanto riguarda la convalida iniziale dei sistemi, le novità principali risiedono nella definizione dei requisiti e nella attività di testing.

SPECIFYING REQUIREMENTS (Appendice D1)

Una delle più grandi novità della nuova linea guida ISPE GAMP 5 è l’accorpamento di User Requirements e Functional Specification negli Specifying Requirements. Questi ultimi:

  • sono responsabilità dell’azienda regolata, ma possono essere raccolti da una terza parte (es. il Product Owner di un progetto Agile);
  • definiscono l’intended use e le funzioni attese del software nel suo contesto operativo;
  • possono essere in forma di documento o di record/informazioni in un tool.

L’Appendice D1 parla di Specifying Requirements prendendo in considerazione sistemi di categoria 4 o 5, mentre per sistemi a basso rischio e/o complessità (es. categoria 3) può essere applicato il critical thinking per determinare l’approccio più appropriato per definire i requisiti.

TESTING (Appendice D5)

Lo scopo principale dei test è identificare i difetti, ridurre il rischio di failure, dimostrare che il sistema soddisfi l’uso atteso e i requisiti regolatori, e assicurare che le misure di riduzione del rischio siano efficaci. Cambia quindi il focus delle attività di test con una conseguente disincentivazione alla produzione eccessiva di evidenze documentali.

Le GAMP 5 introducono inoltre il concetto di unscripted test, che si differenziano dagli scripted test per il fatto che non necessitano di azioni di test step-by-step, ma si basano sull’intuizione e l’esperienza dei tester per individuare i difetti del sistema ed esplorano le sue funzionalità al di là delle specifiche e dei manuali – per questo motivo sono dinamici e scarsamente riproducibili. Unscripted test non significa però “non documentato”, infatti è comunque necessario indicare cosa è stato testato, da chi, quando, con quali obiettivi e che risultati ha prodotto.

Tra gli uscripted test troviamo:

  • Test ad-hoc
  • Error guessing
  • Exploratory
  • Day in the life

Anche nel caso di testing, è incentivato l’uso di tool automatici al posto dei test «classici» se le informazioni fornite sono complete, accurate, disponibili e adeguate.

MANTENIMENTO DELLO STATO DI CONVALIDA DEI SISTEMI COMPUTERIZZATI

Per quanto riguarda la fase di mantenimento, le principali novità riguardano – oltre ai già citati tool e all’utilizzo del critical thinking – una migliore descrizione dei processi e la creazione di link tra questi, nonché riferimenti allo stato dell’arte tecnologico (ad esempio, per le soluzioni di backup e di archiviazione) e considerazioni sui servizi erogati da provider esterni.

BACKUP E RESTORE (Appendice 09) e BUSINESS CONTINUITY MANAGEMENT (Appendice O10)

Nella nuova versione delle GAMP 5 questi due processi, pur rimanendo descritti in appendici diverse, presentano una trattazione parallela a partire dall’analisi dei rischi e dalla definizione di RTO (Recovery Time Objective) e RPO (Recovery Point Objective).

Interessanti sono, inoltre, l’introduzione dei test di integrità delle copie di backup e l’estensione di BCP (Business Continuity Plan) e DR (Disaster Recovery) alla perdita di infrastruttura IT, service provider, accesso ai locali, connettività, attacchi di cybersecurity, pandemia, in aggiunta alla perdita dell’applicativo software.


COSA POSSIAMO FARE PER VOI

Adeodata può darti una mano con attività di consulenza e di supporto a tutte le attività del ciclo di vita dei software (convalida iniziale, attività di mantenimento, redazione di SOP, dismissione dei sistemi,…) .

Se ti interessa approfondire le nuove GAMP 5, l’8 Novembre è in programma il seminario Convalida dei sistemi informatizzati e conformità all’Annex 11 e 21 CFR Parte 11.
Inoltre, è possibile richiedere un corso di approfondimento sulle novità della nuova edizione delle GAMP5 o, più in generale, sulla convalida dei sistemi computerizzati nella modalità di corso in house.

Articolo a cura di:
Alice Germani, Marketing Specialist di Adeodata
Laura Monti, GxP Compliance Expert di Adeodata

Nuova linea guida FDA sulla computer software assurance per dispositivi medici

FDA ha recentemente pubblicato una nuova linea guida per la computer software assurance per i computer e i sistemi di elaborazione automatica dei dati utilizzati nella produzione di dispositivi medici o del sistema di qualità allo scopo di migliorare la qualità dei prodotti e la salute dei pazienti.

Lo scopo del documento è descrivere la “computer software assurance” come un approccio basato sul rischio per aumentare la confidenza nell’automazione utilizzata per la produzione o i sistemi di qualità, e identificare i casi in cui può essere appropriato un ulteriore controllo.
Inoltre la linea guida descrive vari metodi e attività di test che possono essere applicati per determinare la sicurezza del software informatico e fornire prove oggettive per soddisfare i requisiti normativi quali i requisiti di convalida di cui al 21 CFR parte 820 (Parte 820).

Una volta finalizzate, queste raccomandazioni sostituiranno la linea guida FDA sulla convalida per i software as medical device e per i software nei dispositivi medici.

Background

Tradizionalmente, la convalida del software viene realizzata tramite test e attività di verifica condotte in ogni fase del ciclo di vita dello sviluppo del software. Tuttavia, come spiegato nella linea guida General Principles of Software Validation (2002), il solo test del software è spesso insufficiente a stabilire la certezza che il software sia adatto all’uso previsto.
Invece la “computer software assurance” si concentra sulla prevenzione dell’introduzione di difetti nel processo di sviluppo del software e incoraggia l’uso di un approccio basato sul rischio per stabilire la certezza che il software sia adatto all’uso previsto.

FDA ritiene che l’applicazione di un approccio basato sul rischio ai software informatici utilizzati nell’ambito della produzione o del sistema di qualità consentirebbe ai produttori di concentrarsi meglio sulle attività di assurance per contribuire a garantire la qualità dei prodotti e a soddisfare i requisiti di convalida di cui al 21 CFR 820.70(i).

FDA’s computer software assurance risk framework

Computer software assurance is a risk-based approach for establishing and maintaining confidence that software is fit for its intended use. This approach considers the risk of compromised safety and/or quality of the device (should the software fail to perform as intended) to determine the level of assurance effort and activities appropriate to establish confidence in the software.

Computer Software Assurance for Production and Quality System Software -Draft Guidance for Industry and Food and Drug Administration Staff (2022)

Secondo la linea guida, i framework per la computer software assurance dovrebbero consentire ai produttori di dispositivi di dimostrare che il loro software è adatto all’uso previsto e che il software utilizzato per la produzione o la gestione della qualità rimane in uno stato convalidato per tutto il suo ciclo di vita.

FDA raccomanda di seguire gli step seguenti:

  • Identificare l’uso previsto del software
  • Determinare un adeguato approccio risk-based per essere in grado di identificare i guasti prevedibili del software; determinare se tali guasti comportano elevati rischi di processo e quindi stabilire processi di assurance per gestirli.
  • Determinare attività di assurance appropriate, quali test unscripted e/o scripted, adeguati a gestire e/o mitigare i rischi prevedibili del dispositivo o del processo.
  • Stabilire registri appropriati per acquisire prove oggettive che dimostrino che le caratteristiche e le funzioni del software funzionano come previsto; i registri devono identificare i metodi di test, eventuali problemi riscontrati, la data del test e i relativi dettagli.

La linea guida presenta anche un’appendice con 3 esempi di possibile applicazione dei principi a vari casi di software assurance.

FDA crede che queste raccomandazioni aiuteranno una più rapida adozione di tecnologie innovative che promuoveranno l’accesso a dispositivi di alta qualità da parte dei pazienti e aiuteranno i produttori a gestire il dinamico panorama tecnologico in compliance con le normative.

La bozza sarà disponibile per i commenti fino al 14 novembre 2022.


Fonte

Computer Software Assurance for Production and Quality System Software – Draft Guidance for Industry and Food and Drug Administration Staff

Advanced data integrity

Sconto del 15% per iscrizioni anticipate
(entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il corso è pensato per coloro che desiderano approfondire i requisiti e le aspettative per le infrastrutture IT al fine di sviluppare e migliorare un efficace programma di Data Integrity.
Gli argomenti risulteranno accessibili ed interessanti anche per tutti i QA che desiderano monitorare meglio il sistema di gestione dei dati GMP.

Programma

Dopo una breve introduzione alla data integrity che prende in esame anche le responsabilità del management, verranno affrontati diversi aspetti della data integrity tra cui le infrastrutture IT a supporto e l’approccio alla data integrity proposto dal PDA Technical Report 84.

A partire da alcune considerazioni sulla data integrity nel cloud, verranno infine introdotti gli audit di data integrity sia per provider di sistemi e servizi IT, sia per fornitori della supply chain e CMO.

Obiettivi

  • Conoscere le infrastrutture indispensabili a supporto del Data Integrity e le loro criticità.
  • Familiarizzare con l’audit trail e la sua applicazione.

Principali argomenti in agenda

  • Introduzione alla data integrity e le responsabilità del management
  • Le infrastrutture IT a supporto della data integrity
  • PDA Technical Report 84
  • Data integrity e cloud
  • Introduzione all’audit di data integrity
  • Domande e risposte

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento


POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

promemoria

La convalida del software as Medical Device – CONFERMATO

A chi si rivolge

Il corso è rivolto in particolare agli addetti allo sviluppo del software medicale, oltre che al personale di regulatory affairs, qualità e alla direzione tecnica.

Programma

Il seminario ha lo scopo di illustrare le regole per la gestione e conduzione di un progetto di convalida di un software as medical device o di un dispositivo medico contenente un software programmabile.

Dopo un inquadramento normativo che consentirà ai partecipanti di comprendere i requisiti per la convalida del software e le linee guida correlate, si affronteranno tutte le fasi necessarie alla corretta convalida: dal Validation Plan fino alla stesura del report di convalida.

Obiettivi

  • Comprendere il quadro normativo di riferimento per la convalida dei software as MD e le linee guida correlate.
  • Approfondire il ciclo di vita del software secondo la IEC 62304.
  • Apprendere gli step fondamentali del processo di convalida del software grazie alla trattazione approfondita e agli esempi applicativi.

Principali argomenti in agenda:

  • Definizioni
  • Il quadro normativo di riferimento
  • Standard e linee guida per la convalida del software
  • Qualifiche che compongono l’attività di convalida
  • Il ciclo di vita del software
    • Modelli di possibili cicli di vita del software
    • Cenni sulla IEC 62304 per i Dispositivi medici
    • Descrizione delle varie fasi del ciclo di vita sulla base della IEC 62304
  • La convalida del software
    • Individuazione delle applicazioni software da validare
    • Validation Plan
    • Design Qualification
    • Installation Qualification
    • Operational Qualification
    • Performance Qualification
    • Maintenance Qualification
    • Component Qualification
    • Validation Report
  • Dalla convalida all’assicurazione del software: l’evoluzione della convalida secondo FDA