Computervalidierung im Wandel der Zeit

Part 11 hat auch den Blick der deutschen Inspektoren auf Computervalidierung (CSV) gelenkt. Auch innerhalb der FDA hat das schon 1983 publizierte Blue Book der FDA „Guide to Inspections of Computerized Systems in Drug Processing“ nicht diese starken Reaktionen hervorgerufen, wie es beim Part 11 der Fall war. Weit bekannt wurde die Computervalidierung seit dem Jahr 2000, als die FDA begann, in Europa stärker auf den Part 11 hin zu inspizieren. Heute sind Fragen zum computergestützten Anteil in Systemen der Produktion, des Labors und der IT fester Bestandteil von Inspektionen.

Wo stehen wir heute?

Trotz der Ankündigung der FDA Ende 2003, den 21 CFR Part 11 zu ändern, wissen wir immer noch nicht, wann konkret mit der Part-11-Novelle zu rechnen ist. Der GAMP 4 wurde Ende 2001 veröffentlicht, die Version 5 dieser Industrierichtlinie wird nach heutigen Planungen voraussichtlich im Frühsommer 2008 erscheinen. Der GAMP 5 favorisiert unverändert das V-Modell, lediglich einige Anhänge werden erweitert und der risikobasierte Ansatz besser integriert. Der Annex 11 des EU-GMP-Leitfadens ist zurzeit ebenfalls in Überarbeitung, ein Datum der Veröffentlichung ist jedoch noch nicht bekannt. Auf der Seite der Gesetze und der Guidelines sind also die Neuerungen kalkulierbar.

Wenn weniger an neuen Gesetzen und Vorgaben gearbeitet wird, so ist Zeit, Bestehendes zu konsolidieren. Dabei wurde Folgendes erreicht: Die Anforderungen an die Validierung von computergestützten Systemen wurden weltweit harmonisiert. Da nun die USA die Aufnahme in die PIC/S beantragt hat, ist eine Unterscheidung zwischen FDA- und europäischen Anforderungen bei der Computervalidierung nicht mehr hilfreich. Beigetragen zur Harmonisierung hat maßgeblich die Neuinterpretation des Part 11 im Februar 2003 durch die Veröffentlichung der FDA-Guidance „Scope and Application“, die einige Forderungen entschärfte. Ein weiterer Schritt in Richtung Harmonisierung war die „Anerkennung“ der Version 4 des GAMP durch die FDA, dessen ältere Versionen eher europäische Wurzeln haben und entsprechend vorher auch in Europa beachtet wurden.
Auf der Vorgabeseite ist also wenig in Bewegung, dafür werden Regelwerke konsolidiert, und es gibt klare Fortschritte bei der Einbeziehung der CSV in die alltägliche Inspektionspraxis.
Da die QS-Abteilungen sich durch Part-11-Anforderungen stärker mit automatisierten Systemen auseinander setzen mussten, wurde auch die Kenntnis über Computervalidierung zum Alltagsgeschäft in QS-Abteilungen. Waren dort vor fünf Jahren noch wenige Mitarbeiter mit CSV-Kenntnissen tätig, so sind dort heute zunehmend Mitarbeiter mit IT-Hintergrund vertreten. Parallel zum (IT-)Know-how-Aufbau in QS-Abteilungen wurde in den IT-Abteilungen das GxP-Know-how erweitert. Beide Funktionen ergänzen sich heute. Vorangetrieben unter anderem durch geänderte Finanzgesetze ist „Compliance“ für IT-Abteilungen heute kein Fremdwort mehr.

Welche Entwicklungenwurden durch CSV vorangetrieben?

Die Anforderungen an Hersteller und Lieferanten von Systemen sind gestiegen, unabhängig davon, ob Produktionsanlagen, Lagerverwaltungssysteme, Labor- oder Computersysteme eingekauft werden. Ein reguliertes Unternehmen erwartet heute, dass der Hersteller dieser Systeme neben der funktionierenden Technik auch Dokumente mitliefert, die für die Validierung möglichst 1:1 verwendet werden können. Das regulierte Unternehmen möchte in die Herstellung dieser Dokumente wenig Arbeit investieren. Erwartet werden Dokumente wie Pflichtenheft, IQ- und OQ-Testpläne. Aber auch die Unterstützung beim Erstellen des Lastenhefts und die eigentliche Testdurchführung sind gewünscht. Ein pharmazeutisches bzw. medizintechnisches Unternehmen akzeptiert immer weniger, dass ein Lieferant zu Projektbeginn erst einmal in die GxP-Anforderungen eingearbeitet werden muss.

Wurden vor Part 11 die Produktions- und Laborsysteme kaum auf ihren computerisierten Anteil hin untersucht, so gehört es heute zum Standard, dass ein solches System über ein konfigurierbares Benutzerberechtigungskonzept verfügt, das es ermöglicht, mit individuellen Benutzerkonten zu arbeiten. Im Rahmen der Part-11-Projekte entstanden Checklisten, die aus den Paragraphen entwickelt wurden. Mit diesen Checklisten ermitteln pharmazeutische und medizintechnische Kunden, ob die technisch-regulatorischen Anforderungen abgedeckt werden. Beide Seiten sind heute mit den Anforderungen vertraut. Bei der Einführung einer neuen Produktionslinie oder eines Laborsystems wird nun nahezu standardmäßig überlegt „Was sind unsere Electronic Records in diesem System?“ Biometrie – als ein von der FDA frühzeitig aufgegriffenes Thema – hat noch keinen nennenswerten Einzug in die industrielle Praxis pharmazeutischer bzw. medizintechnischer Unternehmen gefunden. Das wird sicherlich auch noch eine ganze Zeit so bleiben; der technische Reifegrad und die notwendige Akzeptanz auf Betreiberseite sprechen derzeit gegen den Einsatz biometrischer Verfahren.

Harmonisierung von CSV für Produktionsanlagen und Computersysteme

Eine Harmonisierung erfolgte nicht nur auf der Seite der Guidelines und der Inspektionspraxis, sondern auch zwischen Produktionsanlagen und „reinen“ Computersystemen. Da durch Part 11 die steuerungstechnischen Funktionen der Produktionsanlagen in den Fokus rückten, begannen einige Unternehmen neben der lange etablierten Anlagenqualifizierung, einen zusätzlichen CSV-Vorgang zu etablieren. Es entstanden neben den Qualifizierungsvorgaben parallele SOP-Sätze zur CSV von Produktions- und Laborsystemen. Nun stellte sich in jedem Projekt die Frage „Was gehört wo hin?“, „Was ist CSV, was Qualifizierung?“ oder es liefen Dinge einfach doppelt. Diese Doppelspur wird nun glücklicherweise wieder zusammengeführt, indem der CSV-Anteil in den Qualifizierungsablauf integriert wird; schließlich kann man die programmierten Funktionen nicht von der Anlagen- oder Geräteseite trennen. Einen positiven Effekt hatte aber dieser Umweg, denn das V-Modell – vorher nur bekannt im CSV-Umfeld – wurde in die Anlagen- und Laborgerätequalifizierung integriert. War dort früher lediglich von der DQ die Rede, unter der alle Entwurfsdokumente subsumiert wurden, so unterscheiden heute die Qualifizierer wie die Validierer zwischen Lastenheft (URS), Pflichtenheft (FS) und Design (DS) oder technischer Spezifikation.

Wo haben CSV-Forderungen dietechnische Entwicklung gebremst?

Eine Hürde stellt immer noch die Umsetzung der elektronischen Unterschrift dar. Pharmazeutische Unternehmen, die diese gern nutzen würden, schrecken vor den Anforderungen des Part 11 zurück. Hier sollten wir aber Entwarnung geben. Technisch ist die Umsetzung der elektronischen Unterschrift in vielen der heute verkauften Systeme kein Problem mehr, unabhängig davon, ob es sich um Laborgeräte oder Produktionsanlagen handelt. Die Hersteller solcher Systeme haben ihre Hausaufgaben gemacht. Da die technische Lösung aber um einige organisatorische Sicherheitsaspekte, wie die regelmäßige Prüfung der Accounts sowie das Monitoring und die Auswertung unberechtigter Zugriffe, ergänzt werden muss und diese Aufgaben beim pharmazeutischen Unternehmen liegen, scheuen diese den Aufwand und meiden das Verwenden der elektronischen Unterschrift.

Ein Treiber für IT-Compliance waren sicher die umfangreichen Jahr-2000-Aktivitäten. Dabei kamen Desaster-Recovery-Pläne für IT-gestützte Systeme in die Diskussion, und es wurden Inventarlisten erstellt. Als dann in den Part-11-Projekten Inventarlisten angefordert wurden, konnten die Unternehmen auf den aktuellen Bestandslisten der Y2K-Projekte aufsetzen.
IT-Compliance ist durch Gesetze im Finanzbereich wie dem Sarbanes Oxley Act (SOX) (Gesetz für an der amerikanischen Börse notierte Unternehmen zur Vermeidung von Bilanzfälschungen) oder GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) zum Schlagwort in den IT-Zeitschriften geworden. Betraf Validierung nur die regulierten Unternehmen und damit nur einen kleinen Kreis, so sind die Finanzgesetze von einem deutlich größeren Kreis von Unternehmen zu befolgen. Unternehmen der Pharmaindustrie, die auch an der amerikanischen Börse notiert sind, haben heute ihre Vorgehensweise bei der Dokumentation, dem Test und der Administration GxP-kritischer und Finanzfunktionen (SOX) vereinheitlicht.

Wie geht es weiter?

Bei der Validierung aller Systeme – unabhängig davon, ob sie computergestützt sind oder konventionell – tritt der risikobasierte Ansatz in den Vordergrund. Auch wenn heute nahezu jedes regulierte Unternehmen Risikoanalysen durchführt, fehlt bislang oft der Mut, konsequent unkritische Funktionen entsprechend „unvalidiert“ zu lassen.

Der Bedarf an elektronisch vernetzten Dokumentenflüssen nimmt zu. Es gibt immer noch zu viele Medienbrüche zwischen Papierausdrucken, die unterschrieben werden, und dem Folgesystem, das diese Daten elektronisch weiter verarbeitet. Erst mit dem konsequenten Einsatz der elektronischen Unterschrift werden die Unternehmen papierreduzierte und damit beschleunigte Geschäftsprozesse etablieren können.
Bei den Pharmaunternehmen und den in die USA liefernden Herstellern von Medizinprodukten ist die Validierung von computergestützten Systemen heute Standard. Bei Unternehmen, die Medizinprodukte bisher nur für den europäischen Markt und nicht für die USA herstellen, wird CSV zunehmend gefordert. Das liegt daran, dass die „benannte Stelle“ (Notified Bodies) erst in den letzten Jahren auch die Computervalidierung in den Blick nimmt. Wenn das betreffende Medizinprodukt selbst kritische, gegebenenfalls sogar unmittelbar lebenswichtige Software enthält, zum Beispiel bei Dialysegeräten, Herzschrittmachern etc., war diese Software praktisch immer „validiert“, auch wenn die Dokumentation vielleicht formal noch verbessert werden kann, um voll verteidigbar zu sein. Ähnliches gilt, wenn der Produktionsprozess stark automatisiert ist oder die Chargenfreigabe über ein Computersystem erfolgt.
Fazit: Wenig Entwicklung bei den Gesetzen und Guidelines ließ Zeit für Vereinheitlichung: sowohl systemübergreifend zwischen reinen IT-Systemen und automatisierten Anlagen als auch in der länderübergreifenden Inspektionspraxis.

IT-Compliance ist heute im Alltag von Herstellern und IT-Abteilungen angekommen, unabhängig davon, um welche Industrie es sich handelt. Dies ist besonders in der Übereinstimmung von Forderungen des Sarbanes Oxley Act mit CSV zu erkennen. Wir stellen fest, dass pharmazeutische Unternehmen, die SOX unterliegen, ihre IT-Prozesse hinsichtlich Dokumentation (Prozessbeschreibung, Risikoanalysen, Testpläne) und Sicherheit (Berechtigungskonzept) vereinheitlicht haben. Durch die 8. EU-Richtlinie wird die Dokumentationspflicht der IT-gestützten Prozesse auch auf europäische börsennotierte Unternehmen ausgedehnt. Damit hat die Dokumentationsweise der Computervalidierung Standards für IT-Compliance gesetzt.

Die Anforderungen an die Validierung von computergestützten Systemen (CSV) wurden weltweit harmonisiert
Technisch ist die Umsetzung der elektronischen Unterschrift in vielen der heute verkauften Systeme kein Problem mehr
Bei der Validierung aller Systeme – computergestützt oder konventionell – tritt der risikobasierte Ansatz in den Vordergrund