le 26 juillet, 2022
La validation des logiciels est historiquement l’une des activités de conformité les plus difficiles pour les entreprises des sciences de la vie. Il s’agit également de la dépense la plus importante pour de nombreuses entreprises lorsqu’elles automatisent ou mettent à niveau leurs systèmes de gestion de la qualité (SGQ).
Bien que les réglementations et les documents d'orientation définissent les composantes de la validation des systèmes informatiques, ils ne précisent pas comment la mener. Il existe de nombreuses écoles de pensée sur la validation des SMQ. L'approche dominante consiste à tester toutes les fonctionnalités du système et à documenter chaque détail de l'effort. Pour de nombreuses entreprises, cette approche traditionnelle est intenable.
Dans cet article, nous verrons comment réduire considérablement le temps, les coûts et les efforts de validation. Autrement dit, comment adopter une approche de validation durable et applicable à chaque mise à niveau de votre système.
Validation du SMQ : réglementations et directives
Pour comprendre la validation, il faut commencer par examiner les réglementations et les documents d'orientation qui constituent le fondement de la qualité et de la sécurité des produits. La partie 21 du titre 11 du CFR de la FDA établit les critères d'utilisation des enregistrements et des signatures électroniques. En vertu de cette partie 11, les entreprises réglementées par la FDA qui utilisent des systèmes informatiques pour « créer, modifier, conserver ou transmettre des enregistrements électroniques » doivent mettre en place des contrôles garantissant l'intégrité de ces enregistrements. Ces contrôles incluent la validation des logiciels.
En plus de la partie 11, 21 CFR partie 820 La norme pour les fabricants de dispositifs médicaux souligne l'importance de la validation des systèmes informatiques. Elle exige des fabricants qu'ils valident les logiciels pour leur utilisation prévue, conformément à un protocole établi. Dans les parties 11 et 820, la validation vise à garantir que le logiciel fonctionne comme prévu.
Les documents d’orientation suivants de la FDA fournissent l’interprétation de base de la réglementation en ce qui concerne la validation du SMQ :
- Principes généraux de validation des logiciels ; guide final à l'intention de l'industrie et du personnel de la FDA.
- Conseils pour l'industrie, Partie 11 Enregistrements électroniques ; Signatures électroniques – Portée et application.
- La FDA a également adopté ICH (Conférence internationale sur l'harmonisation) Q9 pour les entreprises pharmaceutiques et biologiques, ce qui nécessite une gestion des risques pour les systèmes informatiques.
La FDA n’est pas la seule agence qui exige une validation. « Annexe 11 : Systèmes informatisés » de l'Union européenne Ce document fait partie des directives des Bonnes Pratiques de Fabrication (BPF) de l'industrie pharmaceutique. À l'instar de la partie 11 de la FDA, il porte sur l'intégrité des dossiers électroniques et la validation des logiciels.
De même, ISO 13485, une norme de qualité internationale pour les entreprises de dispositifs médicaux et leurs fournisseurs, spécifie la nécessité d'une validation des logiciels.
5 conseils pour une validation durable
Par le passé, les entreprises réglementées validaient tout par crainte de non-conformité. C'est devenu la norme, même si les documents d'orientation existants déconseillent les tests inutiles.
La FDA affirme clairement dans ses directives de validation des logiciels qu'elle privilégie « l'approche la moins contraignante » en matière de conformité. L'agence devrait publier un nouveau document d'orientation cette année. Assurance des logiciels informatiques pour les logiciels de production et de système qualité, qui incarne l’approche.
Sur la base de la stratégie privilégiée par la FDA, voici cinq méthodes qui peuvent vous aider à développer une stratégie de validation de système informatique durable.
#1 Suivre une approche basée sur les risques dans la validation du SMQ.
La clé de l'approche la moins contraignante réside dans la validation basée sur les risques, un concept souvent mal compris. Les directives de la FDA relatives à la Partie 11 et à la validation des logiciels soulignent toutes deux l'importance d'une validation proportionnelle aux risques d'un système. Autrement dit, plus le processus est risqué, plus il nécessite de tests et de validations.
Voici un conseil de bonne pratique : évaluez la configuration et l'utilisation de votre SMQ pour une validation basée sur les risques. Validez uniquement les fonctionnalités que vous utilisez.
#2 Concentrez-vous sur la validation de vos processus métier critiques (également appelés fonctions métier critiques).
Les CBP sont des fonctions essentielles qui ne peuvent être interrompues au-delà d'une certaine durée sans compromettre vos opérations. Concentrez-vous sur l'identification et la définition de vos CBP, car ce sont les processus que vous devez valider en priorité. De plus, si vous êtes tenté de valider un élément qui ne figure pas sur votre liste CBP, refusez.
#3 Tirez parti de la documentation de validation de votre fournisseur de logiciels.
La FDA encourage les entreprises à utiliser la documentation et les ressources de validation de leur fournisseur de logiciels. Si votre fournisseur fournit un package de validation completExploitez-le. Les documents doivent inclure une évaluation des risques, un plan de validation, un protocole de test, un QI/QO, des matrices de traçabilité et un rapport de synthèse de validation.
Ne réinventez pas la roue ; inutile de reproduire les efforts de votre fournisseur de logiciels. Concentrez-vous plutôt sur votre configuration actuelle, les aspects du logiciel que vous utilisez et la façon dont vous les utilisez.
#4 Tirez parti des meilleures configurations de votre fournisseur de logiciels.
La plupart des éditeurs de logiciels recommandent des configurations conçues pour une utilisation simplifiée. Plus vous vous en tenez aux configurations recommandées, moins vous consacrerez de temps et d'efforts à l'implémentation et à la validation du logiciel. Cependant, les meilleures pratiques en matière de workflows dépendront en fin de compte de ce qui convient le mieux à votre entreprise. Discutez avec votre éditeur à l'avance de l'impact de la configuration sur la validation. Plus important encore, validez dès le départ pour garantir une validation plus durable.
#5 Utilisez une méthodologie de contrôle des modifications pour valider les mises à niveau.
Les logiciels nécessitent des mises à jour et donc une revalidation périodiques. De nombreuses entreprises qui valident leur SMQ avec succès dès la première fois rencontrent des difficultés lors de la revalidation sans une stratégie adéquate. Pour pérenniser vos efforts de validation, concentrez-vous sur les changements importants. Utilisez une méthode de contrôle des modifications pour capturer les informations de validation pertinentes à chaque mise à jour. Collaborez avec votre fournisseur pour évaluer les risques et l'impact potentiels de la mise à jour. Souvent, une revalidation complète n'est pas nécessaire pour les mises à jour mineures.
Une validation plus rapide et plus facile est l’un des plus grands avantages de un SMQ d'entreprise basé sur le cloudDe plus, la nature même de la technologie cloud la rend adaptée à la revalidation. Avec un EQMS cloud, les mises à jour sont régulières, mais moins importantes. De même, la revalidation devient routinière. Pour réduire considérablement la charge et les coûts de validation, choisissez un EQMS avec un service de validation prenant en charge l'essentiel des tâches de QI, de QO et de QP.
Conclusion
La validation des systèmes informatiques est l'un des aspects les plus mal compris de la conformité réglementaire. Cette idée reçue selon laquelle la validation est une tâche complexe, coûteuse et chronophage découle de l'approche manuelle et traditionnelle consistant à tester chaque fonctionnalité d'un système.
Heureusement, la pratique a évolué au cours des deux dernières décennies. L'accent est désormais mis sur une assurance basée sur les risques, c'est-à-dire l'application d'un niveau de rigueur adapté au niveau de risque pour la qualité et la sécurité des produits. Les autorités réglementaires souhaitent que vous vous concentriez sur la validation de vos CBP, et non sur les centaines de fonctionnalités non critiques de votre système. Il est temps d'abandonner le concept « traditionnel » de validation et d'adopter une nouvelle stratégie, basée sur les risques, pour une conformité durable.
À propos de l’auteur
Stéphanie Ojeda Stéphanie est directrice de la gestion des produits pour le secteur des sciences de la vie chez AssurX. Elle possède plus de 15 ans d'expérience en assurance qualité dans divers secteurs, notamment l'industrie pharmaceutique, la biotechnologie, les dispositifs médicaux, l'agroalimentaire et la fabrication.
Lecture connexe: Assurance des systèmes informatiques : la transition de la validation des systèmes informatiques
