19 Apr GAMP5 Second Edition – Appendices Teil 1

Die Second Edition der Guideline GAMP5: „A Risk-Based Approach to Compliant GxP Computerized Systems“ wurde im Juni 2022 veröffentlicht. In unserem letzten Blogpost haben wir uns mit den Änderungen im Hauptteil des Leitfadens beschäftigt. In diesem Beitrag geht es nun um die Inhalte, der neu hinzugefügten Anhänge.

Insgesamt wurden acht neue Anhänge beigefügt. Vier von diesen Anhängen haben wir in diesem Blogpost kurz und knapp für Sie zusammengefasst. Dabei handelt es sich um zwei neue Kapitel unter den Managementanhängen (M11, M12) und um Ergänzungen in den Anhängen, die den Entwicklungsteil und den Special-Interest-Teil betreffen (D1, S2).

Anhang M11 – IT-Infrastruktur

Anhang M11 soll dem Leser einen Überblick über die Infrastrukturqualifizierung verschaffen und stellt dieser schließlich die Validierung von Software-Anwendungen gegenüber.

Im Allgemeinen ist die IT-Infrastruktur eine Kombination vieler einzelner Elemente und Standard-Komponenten. Die IT-Infrastruktur-Elemente können als Standard Basis-Konfigurationen qualifiziert werden. Der Anhang weist besonders darauf hin, dass für die Minimierung von Fehlern bei dem Bereitstellen von Infrastruktur auf die Möglichkeit der Infrastruktur-Automatisierung mit Überprüfung via „Review by Exception“ zurückgegriffen werden kann. Außerdem soll bei der Nutzung von Cloud-Ressourcen eine effektive Lieferantenbewertung, insbesondere im Hinblick auf die Datenintegrität durchgeführt werden.

Insgesamt legt der Fokus des Anhangs M11 auf IT-Risiken bei der System-Verfügbarkeit, der Leistung und der Informationssicherheit. Zwischen IT-Risiken und der Einhaltung von GxP-Konformität existieren viele Korrelationen: Die Anwendung ist verfügbar, wenn benötigt, sie arbeitet gut und die Datenintegrität ist gewährleistet. Durch ordnungsgemäß gemanagte Infrastruktur können GxP-Risiken, die potenziell durch die IT-Infrastruktur induziert werden könnten, relativ geringgehalten werden.  Übergeordnet sollte zwischen der Qualitätseinheit eines Unternehmens und der IT eine Vereinbarung über das IT-Qualitäts-Gerüst getroffen werden. Es bietet sich an, eine interne IT-Qualitätseinheit zu etablieren. Die Aufgaben und Verantwortlichkeiten sollten entsprechend risikobasiert definiert und von der Qualitätseinheit des Unternehmens abgenommen werden. 

Anhang M12 – Critical Thinking

Appendix M12 fordert zur Nutzung kritischen Denkens auf. Damit soll Zeitverschwendung bei nicht wertschöpfenden Aktivitäten vermieden werden. Während des gesamten Geschäftsprozesses soll kritisches Denken angewandt werden. Dies Umfasst auch die Rolle von Geräten, System- und Datenlebenszyklen, menschlichen Faktoren und Abhängigkeiten von Lieferanten. Die Implementierung eines geeigneten QMS und einer Validierungsstrategie erleichtert die Anwendung des Konzepts.

In Bezug auf computergestützte Systeme ist das kritische Denken auch bei der Risikoanalyse, der Konfiguration und Anpassung, der Reaktion auf Fehler sowie der Bewertung von Lieferanten anzuwenden. Ferner betont der Anhang den Einsatz kritischen Denkens für effektive Installationsqualifizierung, Konfigurationsmanagement, Änderungsmanagement, periodische Überprüfungen, Stilllegungen von Systemen, Datenmigrationen und der Qualitätssicherung im Allgemeinen. Die Anwendung kritischen Denkens im Unternehmen erfordert eine unterstützende Kultur und offene Diskussion zwischen Stakeholdern.

Anhang D1 – Specifying Requirements

Anhänge D1 und D2 des GAMP 5 First Edition wurden aktualisiert und in der zweiten Ausgabe des GAMP 5 zu einem einzigen Anhang D1 zusammengeführt. Der neue Anhang D1 „Spezifikation von Anforderungen“ bietet eine allgemeine Richtlinie für die Entwicklung von Anforderungen und unterstützt speziell bei den typischen Inhalten einer Anforderungsspezifikation.

Die Richtlinie betrachtet treibende Kräfte und verschiedene Methoden zur Entwicklung von Anforderungen, gute Anforderungspraktiken und kritische Qualitätsanforderungen. Die typischen Inhalte einer Anforderungsspezifikation werden in thematischen Blöcken präsentiert, wobei für jeden Block Informationen und zusätzliche Überlegungen aufgeführt werden. Der umfangreichste Block, der sich den operativen Anforderungen widmet, ist in Untergruppen wie Funktionen, Daten, technische Anforderungen, Schnittstellen, nicht-funktionale Attribute und Umgebung unterteilt.

In Anhang D1 wird besonders betont, dass der Prozess der Erfassung von Anforderungen zwar zeitaufwendig aber auch entscheidend für die Qualität des Systems ist und daher die Ernennung einer geeigneten und erfahrenen Person für diese Aufgabe notwendig ist.

Verschiedene Methoden zur Erfassung von Anforderungen werden kurz vorgestellt, wie z.B. Diskussionen, Interviews, Beobachtungen, Workflow-Analyse und Workshops.

Appendix S2 – Electronic Production Records

Anhang S2 beschreibt die Best Practice für die Vorgehensweise bei der Implementierung von Electronic Production Records (#EPR). Als EPR wird ein Datensatz bezeichnet, der Daten aus produktionsbezogenen Aktivitäten speichert, die von einem System nach automatischer oder manueller Eingabe, typischerweise während der Ausführung von Kontrollberichten, zusammengestellt wurden. Dabei wird hervorgehoben, dass zu beachten ist, dass es einen klaren Unterschied zwischen EPRs und den Berichten gibt, die aus diesen erstellt werden (z.B. für einen Review). Der Begriff EPR wird auch abgegrenzt zu dem Begriff Electronic Batch Record (#EBR). Dieser ist eine Variante des EPR, bei dem Daten für einen Batch- oder einen kontinuierlichen Prozess gespeichert werden.

Ein Abschnitt des Anhangs beschäftigt sich ausführlich mit der Terminologie bezüglich. AuditTrails. Hier findet sich u.a. eine ausführliche Definition. In der Kurzform zeichnet ein AuditTrail Nutzeraktionen auf, die die Erstellung, Veränderung oder Löschung von GMP-Aufzeichnungen während der normalen Verwendung betreffen (Was – Wer – Wann – Warum).

Bei EPRs sollte durch Design- und Review-Zyklen festgelegt werden, welche Daten relevant sind für dessen Intended-Use sind. Wenn GxP-unterstützende Systeme diese Daten verwalten, sollten die entsprechenden GxP-unterstützenden Systeme verifiziert werden.

Natürlich gilt auch für EPR-Daten der Grundsatz, dass die Daten, die erhoben und gemanagte werden, auch „verstanden“ werden müssen. Ebenso müssen auch bei EPR-Daten die ALCOA⁺-Prinzipien Anwendung finden. Relevante EPR-Datentypen sind zum Beispiel Elektronische Aufzeichnungen, Audit Trails, Masterdaten und Metadaten.

EPRs können für die Erstellung aller möglichen Arten von Berichten für unterschiedliche Interessensgruppen herangezogen werden. Solche Berichte sollen einer Gesamtprüfung unterzogen werden. Dazu werden zwei Herangehensweisen zur Vereinfachung der Gesamtprüfung vorgeschlagen:

• Der Review by Exception (Focused Review oder Limited Review).
  Dieser zeichnet sich durch die Eliminierung der Überprüfung der In-Toleranz Daten und Trendwerte etc. aus. An deren Stelle tritt stattdessen eine Überprüfung kritischer Prozess Abweichungen.
• Gesamtprüfung durch Real-Time Disposition. Durch Automatisierung, werden gezielt nur noch die Stellen ausgewählt und zur Überprüfung angezeigt, die menschliche Entscheidungen erforderlich machen.
  
  

Haben wir Ihr Interesse geweckt? In unserem nächste Blogpost fassen wir die vier neuen Entwicklungsanhängen des GAMP5 Second Edition zusammen.
Viel Spaß beim Lesen!

Autorin: Anna