Computersystemvalidierung – von der Anforderung zum qualifizierten System
Was ist überhaupt ein Computersystem?
Ein Computersystem kann sich verschieden zusammensetzen. Essentielle Bestandteile sind hierbei die Hardware, wie etwa ein Computer mit Bildschirm, die Software, die Eingaben des Benutzers verarbeitet, die Übertragungsmittel wie etwa Kabel oder Netzwerke, sowie die Speicherkomponenten wie z.B. Datenbanken oder Server. All diese Bestandteile werden zur IT (Informationstechnik)-Infrastruktur zusammengefasst. Die IT-Infrastruktur kann z.B. auch Laborgeräte und deren automatische Aufzeichnung von Daten enthalten, beispielsweise bei Spektren in der Infrarotspektroskopie. Vor dem Einkauf einer IT-Infrastruktur ist es wichtig, seine eigenen Anforderungen zu kennen (User Requirements). Diese sollten so allgemein wie möglich und so spezifisch wie nötig im Lastenheft verfasst werden. Dadurch wird vermieden, dass bestimmte Möglichkeiten von Beginn an ausgeschlossen werden. Z. B. ist es für bestimmte Anwendungen wichtig, den Anwenderkreis zu beschränken, etwa über die Verwendung von Passwörtern. Allerdings könnte man dies auch durch den Einsatz von biometrischen Scans oder die Verwendung von Security-tokens erreichen. Eine zu frühe Festlegung blendet daher nicht nur potentiell bessere Lösungen aus, sondern reduziert auch die Anzahl möglicher Lieferanten. Die Erarbeitung der User Requirements ist auch der Zeitpunkt, sich über Teststrategien Gedanken zu machen. Diese müssen definiert werden, bevor das System installiert ist. Insbesondere gehört hierzu die Grenzen des Systems zu testen, also etwa System-/Prozessparameter, Datengrenzen und die Fehlerbehandlung. So kann es sein, dass mehr Personen im laufenden Betrieb auf das System zugreifen, als während der Validierung. Wird ein solches Szenario durch geeignetes Spezifizieren und Testen bereits im Vorfeld betrachtet, lassen sich später Zeit- und Wertverluste vermeiden.
Wann validiert oder qualifiziert man ein Computersystem?
Auch, wenn der Begriff der CSV bekannter ist, so kann keine Validierung gelingen, wenn das System nicht auch qualifiziert ist. Die Qualifizierung einer Anlage, in diesem Fall der IT-Infrastruktur, dient der Bestimmung, ob die Anlage auch die Anforderungen erfüllen kann. Hierunter fallen klassischerweise die Installation und Konfiguration sowie die Durchführung von Funktions- und Leistungstests. Bei unserem Beispiel von oben wäre dies zum Beispiel die Überprüfung, ob eine Tastatur für die Passworteingabe, ein biometrischer Scanner oder ein Lesegerät für den Security-token vorhanden ist und vom System auch gelesen werden kann. Das Ergebnis dieser Tests muss, wie auch in anderen GMP-Bereichen, ordnungsgemäß dokumentiert werden.
Qualifizierung und Validierung bei CSV gleichzeitig
Wie auch in anderen Bereichen des GMP-Leitfadens bezieht sich die Qualifizierung auf Anlagen, die Validierung auf Prozesse. Diese Schritte geschehen dabei gleichzeitig und nicht nacheinander. Daher beginnt die Validierung mit der Erstellung des Validierungsmasterplans und beinhaltet anschließend die Erstellung der User Requirements, die gleichzeitig Bestandteil der Qualifizierung sind. Die Qualifizierung ist daher ein Teilbereich der Validierung, der zu Beginn und in gemäß den Validierungsunterlagen festgelegten Abständen zu überprüfen ist.
Worauf achten Inspektionen bei CSV?
Das AIM aus Deutschland gibt wertvolle Hinweise für die Durchführung von Inspektionen. Zielgruppe sind Behörden, die sich auf computergestützte Systeme im Rahmen der Inspektionen konzentrieren. Für die inspizierten Unternehmen gibt dieses sehr ausführliche Dokumente Hinweise auf mögliche Fragen bei Audits und Inspektionen. Hier finden Sie das Dokument.