Computer System Assurance (Garantía de Sistemas Informáticos)

CDRH Proposed Guidances for Fiscal Year 2020 (FY 2020) incluye las listas de las guías que el CDRH pretende publicar este año 2020. Las guías son documentos de orientación sobre productos sanitarios (Medical Devices) regulados. CDRH hace referencia a dispositivos médicos y productos emisores de radiación.

Computer Software Assurance for Manufacturing, Operations, and Quality System Software

Se espera que la FDA publique una nueva guía documento, “Computer Software Assurance for Manufacturing, Operations and Quality System Software,” alrededor de Septiembre de 2020. Esta nueva guía es muy esperada porque optimiza el proceso de validación de los sistemas informatizados. No obstante, es importante indicar que estas optimizaciones se centran en los productos sanitarios (Medical Devices) y sus sistemas de apoyo y no se aplicará al software del producto.

La FDA es partidaria del enfoque en argumentos a favor de la calidad (Case for Quality «CfQ») y menos énfasis en un enfoque de “cumplimiento para pasar auditorías” que permita a los fabricantes de productos sanitarios que se centren en mejorar la calidad del producto y seguridad del paciente.e.

Una serie de problemas han sido identificados por la FDA y que han impulsado su nuevo enfoque:

  1. La industria se retrasa en la aplicación de sistemas automatizados y nuevas tecnologías debido a la falta de claridad, anticuado enfoques de cumplimiento, y percibidos carga regulatoria.
  2. Las empresas a menudo tienen dificultades para comprender la causa fundamental de los problemas a fin de mejorar la calidad del producto. El Centro de Dispositivos y Salud Radiológica (CDRH) descubrió que una de las razones por la que los fabricantes de productos sanitarios (dispositivos médicos) no fueron buscando mejoras en la calidad adoptando automatización y nuevas tecnologías digitales era la carga de cumplimiento percibida y riesgo reglamentario de dicha innovación. En particular, la validación de los sistemas fue una barrera significativa para la adopción de nuevas tecnologías. La FDA señaló que otras industrias que utilizan la automatización han demostrado un beneficio sustancial en la mejora de la calidad y seguridad del producto, reduciendo así riesgo en comparación con la no automatización.

Para ayudar a las empresas a avanzar hacia automatización, la nueva orientación se centrará en utilizar metodologías basadas en el análisis de riesgo para justificar la cantidad y los tipos de pruebas que se requieren así como aprovechar las pruebas realizadas durante el Ciclo de Vida del Desarrollo de Software (SDLC) .Si bien se ha adoptado un enfoque basado en los riesgos desde hace bastante tiempo, las empresas han luchado por equilibrar el riesgo cuando se trata a los programas informáticos .

La nueva guía de la FDA aplicará un enfoque de validación basado en ese análisis del riesgo y se centra en la garantía, no la validación. ¿Qué significa esto realmente para ti? Bueno, si usas una aplicación de software que no afecta directamente a la seguridad del producto o calidad del producto, la carga validación puede ser reducir significativamente. Para el impacto no directo la FDA está recomendando el aprovechamiento de las actividades existentes, como calificaciones del proveedor, controles de procesos para mitigar el riesgo.

Además, la FDA tiene la intención de centrarse sólo en sistemas de impacto directo y parece que pretende revisar la validación de las herramientas de apoyo. Esto significa que los inspectores ya no pedirán ver la validación de sus sistemas de impacto indirecto. Antes de esta orientación, las empresas se centraban en actividades de documentación y pruebas.

El nuevo paradigma se centrará en el pensamiento crítico (basado en el riesgo), las necesidades de garantía, las actividades de testeo , y documentación, en este orden.

¿En que se debería centrar el pensamiento crítico en CSA?

EL pensamiento crítico se debería centrarse en las siguientes preguntas:

  • ¿Impacta este software en la seguridad del paciente?
  • ¿Impacta este software en la calidad del producto?
  • ¿Cómo afecta el software a la integridad de la calidad del sistema?

Aunque no se indica en detalle, sería muy importante documentar todas las justificaciones de riesgo para cada aplicación de software. Esto no significa que tenga que ser muy extenso, sino que siguiendo las mejores prácticas, se documentará y justificará la clase de riesgo. Es muy importante seguir siendo bien estructurados en la manera de evaluar el riesgo en relación al uso de las aplicaciones softwares.

¿Cuál es el riesgo para el paciente? ¿Cuál es el riesgo del producto? ¿Qué hace el software para su Sistema de Gestión de la Calidad?

Esa información junto con la manera en que se implementa el software, puede definir su nivel de riesgo y asentar las bases de sus métodos de aplicación. Como ejemplo del enfoque basado en el riesgo:

ejemplo del enfoque basado en el riesgo de Computer system assurance
escala de riesgo en garantía validación de sistemas (CSA) Computer System Assurance.

Computer System Assurance(CSA) proviene de una colaboración de varios años entre la FDA y la industria. Identifica puntos de dificultad comunes: El pensamiento actual de la FDA pone la seguridad y la calidad de los productos en el centro del proceso de evaluación de riesgos

1. El riesgo se basa en el impacto en la seguridad del paciente y la calidad del producto comparado con la complejidad de los requisitos
2. Requiere el criterio de documentación menos pesado…
3. Reduce el papeleo en un 80% con pruebas no escritas y específicas…  
4. Resulta en menos problemas encontrados durante la producción
 5. Apoyado por la FDA y el ISPE

Las empresas deben identificar el uso previsto de la aplicación del software, determinar su riesgo (basado en la funcionalidad), los «bottle neck» de las actividades existentes, según proceda, para cada uno de los sistemas y determinar los registros necesarios.

Garantía de Sistemas Informáticos (Computer System Assurance CSA)

Como implementar CSA, Cisco Vincenty FDA case fo Quality Program Manager.JPG
  • Identificar el uso previsto. ( Identify Intended Use): ¿La característica, el funcionamiento o la operación afectan directamente a la seguridad de los dispositivos, a la calidad de los mismos o a la integridad del sistema de calidad?
  • Determinar el enfoque basado en el riesgo (Determine Risk-Based Approach): Identificar las características, operaciones o funciones de automatización que afectan directamente a la seguridad o calidad del dispositivo. Determinar cuándo un fallo de estas características, operaciones o funciones de automatización identificadas para que funcionen de manera fiable como se pretende, provocará un riesgo directo en la seguridad del paciente. Establecer actividades apropiadas de garantía basadas en el riesgo que se diseñen para asegurar que las características, operaciones o funciones de alto riesgo identificadas de la automatización se realicen de forma fiable según lo previsto.
  • Métodos y actividades (Methods and Activities):
    • Aprovechar las actividades disponibles y los datos de los proveedores.
    • Aprovechar el empleo de los controles de procesos para mitigar el riesgo.
    • Uso de herramientas de validación de sistemas informáticos para automatizar las actividades de aseguramiento o calidad.
    • Utilizar métodos de prueba «Agile» y pruebas abiertas (donde la persona que hace la prueba no está forzada a llegar al resultado por un vía predefinida) , según corresponda.
    • Utilizar la captura de datos electrónicos y la creación de registros.
    • Aprovechar los datos e información continua para la monitorización y la garantía.
  • Registro adecuado (Appropriate Record): Elaborar un registro menos complejo de actividades de garantía que contemple el uso deseado; lo que debe garantizarse; la determinación del impacto y el nivel de riesgo de la característica, operación o función; las necesidades de garantía identificadas; y las pruebas obtenidas para demostrar la aceptación de los resultadosEl registro debe ser de valor para la organización, no para el auditor
CSV versus CSA. 80% del tiempo se dedica al testeo y el resto a la documentación

Seguramente las cualificaciones de los proveedores nos ofrecen una buena confianza, ¿verdad?. Pero, ¿qué significa una buena cualificación de los proveedores? ¿Cómo se aplica el pensamiento crítico a la cualificación de las actividades del proveedor para que puedas confiar y reducir las actividades para recabar evidencias?

Las empresas solían tener mucho más control sobre el desarrollo de las soluciones software. Ahora, están cediendo parte de tu control a los Data Center y a los proveedores de Software SaaS (Software As a Service).

Un proveedor sin certificación ISO, o que ha estado en el mercado sólo unos pocos años, es presumible que tenga un proceso SDLC (Software Development Life Cycle ) inmaduro, etc., requeriría una mayor esfuerzo de validación que un proveedor con un largo historial y un proceso transparente de SDLC.

Así que, ahora la selección de los proveedores se convierte en mucho más importante tanto para la gestión de riesgos como gestión de costes.

Hemos visto muchos casos donde nuestros clientes escogen la solución más barata, dedicando una parte importante del presupuesto a esfuerzos de validación, ya que el proveedor carecía de la experiencia, el conocimiento y la documentación de GxP para cumplir los requisitos necesarios..

**Es importante señalar que este artículo está basado en nuestra interpretación y que esperamos que la actualización de a luz en septiembre de 2020.

Podemos ayudar a tu empresa a implementar CSA

El Grupo QbD tiene la experiencia en la implementación de CSA como garantía de sistemas informáticos. Hemos validado soluciones de inteligencia artificial, sistemas SaaS, estrategias de cualificación de proveedores aplicando garantía de sistemas informáticos o CSA.

QBD Important newsflash

¡INSCRÍBETE PARA RECIBIR NUESTRO BOLETÍN TRIMESTRAL!

Reciba más información sobre los servicios del grupo QbD, nuestros hitos, nuestra ruta pionera en ATMP y productos sanitarios, ¡y mucho más!

¡No te perdas nada y regístrate ahora!

  • Este campo es un campo de validación y debe quedar sin cambios.