ACCUEIL DU BLOGUE

  • Assurance logiciels informatiques

19 janvier 2023

En septembre 2022, la FDA a publié projet de lignes directrices sur l'assurance des systèmes informatiques (CSA) Clarification des exigences de validation des logiciels pour les fabricants de dispositifs médicaux. Ces directives réduisent considérablement la charge de validation pesant sur les fabricants et créent un potentiel accru pour accélérer l'adoption des technologies numériques.

Les orientations de la CSA s'appuient sur 21 CFR partie 820, qui réglemente largement les logiciels utilisés dans les systèmes de production et de qualité. C'est pourquoi nous examinons les différences entre la CSA et la validation des logiciels informatiques (CSV) et le contenu de ces nouvelles directives.

Qu'est-ce que l'assurance des logiciels informatiques (CSA) ?

Selon la définition de la FDA, la CSA est « une approche basée sur les risques pour établir et maintenir la confiance que le logiciel est adapté à l’usage prévu ».

De plus, l'approche CSA prend en compte les risques pour la sécurité et/ou la qualité des appareils si le logiciel ne fonctionne pas comme prévu. Par conséquent, le niveau d'assurance et les activités connexes utilisées pour établir la confiance dans le logiciel sont basés sur ces risques. approche la moins contraignanteLes activités d’assurance constituent la quantité minimale d’informations nécessaires pour faire face au risque.

En fin de compte, les lignes directrices de la CSA sur les systèmes de qualité visent à réduire les obstacles inutiles qui pourraient retarder la commercialisation des dispositifs médicaux afin de garantir aux patients un accès rapide aux produits.

Où s'intègre la nouvelle orientation

À l’heure actuelle, Règlement sur le système qualité 21 CFR 820.70(i) exige que les fabricants valident les logiciels utilisés dans le cadre du système de production ou de qualité. Cela inclut les logiciels de système de gestion de la qualité (SMQ).

Depuis la publication de la norme 21 CFR 820.70(i), la FDA a participé à plusieurs documents d'orientation relatifs à la validation des logiciels. Parmi ceux-ci, on compte : Principes généraux de validation des logiciels (GPSV) et la Société internationale d'ingénierie pharmaceutique (ISPE) Approche basée sur les risques pour les systèmes informatisés conformes aux BPF (BPF 5).

Les directives de la CSA complètent le GPSV, remplaçant uniquement la section 6. Elles sont basées sur les Cadre GAMP 5, qui reconnaît les différents niveaux de risque associés aux différents types de logiciels.

Comprendre les lignes directrices de la CSA pour l'approche des systèmes qualité

Depuis des décennies, les fabricants appliquent les principes de validation logicielle à chaque logiciel utilisé, quel que soit le risque pour la sécurité. Cependant, le GPSV recommande une assurance qualité logicielle pour prévenir les défauts de développement, notamment une approche basée sur les risques pour démontrer le bon fonctionnement du logiciel.

Les nouvelles lignes directrices de la CSA pour l'assurance logicielle couvrent les recommandations relatives aux ordinateurs ou aux logiciels utilisés dans les systèmes de production ou de qualité. Elles s'appliquent donc aux logiciels SMQ.

Heureusement, la CSA permet une plus grande flexibilité dans la conformité à la norme 21 CFR 820.70(i) en permettant aux fabricants de tirer parti d'activités telles que :

  • Tests basés sur les risques – analyser les risques en fonction de la complexité du logiciel, de la criticité de l’entreprise, de la fréquence d’utilisation et des zones de défauts probables
  • Tests non scénarisés – moins chronophage que les scripts de test traditionnels ; réservé aux fonctionnalités et systèmes à risque faible à moyen
  • Suivi continu des performances – le processus d’évaluation continue des performances du logiciel par rapport aux attentes
  • Surveillance des données – identifier clairement comment la qualité des données répondra aux objectifs fixés
  • Activités de validation – tel que réalisé par d’autres parties telles que des fournisseurs de logiciels

Cadre de gestion des risques des lignes directrices des ACVM

Le cadre de gestion des risques de la CSA se concentre sur quatre étapes distinctes :

  1. Identifier l'utilisation prévue de la fonctionnalité ou de la fonction du logiciel
  2. Déterminer l'approche fondée sur les risques
  3. Déterminer les activités d'assurance correspondantes qui doivent être réalisées
  4. Créer le dossier approprié documentant QUOI

1. Identification de l'utilisation prévue

La section 21 CFR 820.70(i) exige des fabricants qu'ils valident les logiciels intégrés aux systèmes de production ou de qualité pour leur utilisation prévue. Cela inclut les logiciels d'automatisation des processus qualité, de collecte et de traitement des données qualité ou de tenue de registres qualité.

Parfois, les logiciels utilisés dans les systèmes de production ou de qualité peuvent comporter plusieurs fonctionnalités, fonctions et opérations ayant une ou plusieurs utilisations prévues. Dans ce cas, la FDA recommande d'examiner les utilisations prévues de chaque fonctionnalité et fonction afin de déterminer les activités d'assurance appropriées.

Par exemple, un logiciel commercial standard (COTS) est utilisé pour documenter les données de temps et de température d'un processus de séchage. Comme ce logiciel prend en charge la tenue de registres qualité, le maintien d'un état validé peut ne pas nécessiter d'autres activités d'assurance que :

  • Ce que le développeur a déjà fait en termes de validation
  • Réalisation d'une évaluation des fournisseurs
  • Installation et configuration du logiciel

À l’inverse, si une formule personnalisée calcule des statistiques pour surveiller le processus de durcissement, une validation supplémentaire peut être nécessaire.

2. Déterminer l'approche fondée sur les risques

Après avoir déterminé que le logiciel fait partie intégrante des systèmes de production ou de qualité, l'étape suivante consiste à réaliser une analyse des risques afin de déterminer les activités d'assurance. Cette approche comprend :

  • Identifier les défaillances logicielles raisonnablement prévisibles
  • Déterminer si chaque défaillance présente un risque de processus élevé
  • Sélectionner et réaliser des activités d'assurance proportionnelles au risque lié au dispositif médical ou au processus, selon le cas

En outre, l’analyse basée sur les risques doit examiner les facteurs qui peuvent empêcher le logiciel de fonctionner comme prévu, notamment :

  • Configuration ou gestion du système
  • La sécurité du système
  • Stockage et transfert de données
  • Erreur de l'opérateur

Pour les défaillances raisonnablement prévisibles, cette analyse doit examiner le risque qui en résulte, notamment (1) le risque lié au procédé et (2) le risque lié au dispositif médical. La FDA définit ces risques comme suit :

  • Risque de processus:Potentiel de compromettre la production ou le système qualité
  • Risques liés aux dispositifs médicaux:Potentiel de nuire au patient

Un risque de processus élevé survient lorsqu'une défaillance logicielle peut entraîner un problème de qualité susceptible d'accroître le risque pour le dispositif médical. À l'inverse, une défaillance logicielle ne présentant pas de risque pour le dispositif médical n'est pas considérée comme un risque de processus élevé. Par conséquent, les fonctions du SMQ, telles que gestion des réclamations, le contrôle des changements et la gestion des documents ne sont pas considérés comme présentant un risque élevé.

Les directives de la FDA indiquent que l'agence est « principalement concernée par l'examen et l'assurance des fonctionnalités, fonctions et opérations logicielles qui présentent un risque de processus élevé, car une défaillance présente également un risque pour le dispositif médical ».

Dans la pratique, de nombreux fabricants utilisent la gestion des risques Outils couvrant une gamme de risques intermédiaires. Dans ce cas, la FDA n'examinant que les risques élevés ou non élevés, les risques intermédiaires sont également considérés comme non élevés. Pour les risques liés aux procédés à haut risque, l'étape logique suivante consiste à évaluer le risque lié aux dispositifs médicaux.

3. Déterminer les activités d'assurance appropriées

Les directives de la CSA recommandent que, pour les problèmes de qualité présentant un risque de processus élevé, les activités d'assurance soient corrélées au risque lié au dispositif médical. En revanche, lorsqu'un problème de qualité n'est pas considéré comme présentant un risque de processus élevé, le niveau des activités d'assurance doit correspondre au risque de processus.

À titre d'exemple, la FDA utilise une fonctionnalité qui enregistre les données de processus à des fins d'examen, ce qui présente un risque moindre. Cependant, le risque est plus élevé lorsque les données de processus contribuent à déterminer l'acceptabilité du produit avant l'examen.

Les fonctionnalités logicielles à haut risque nécessitent généralement des activités d'assurance plus rigoureuses, telles que des tests scriptés ou des tests scriptés limités. En revanche, un processus à faible risque implique généralement moins de preuves objectives. Par exemple, les activités d'assurance à faible risque de processus peuvent inclure des méthodes de test non scriptées (tests ad hoc, tests de prédiction d'erreurs ou tests exploratoires).

Outre les fonctionnalités logicielles, les fabricants d’appareils doivent examiner d’autres contrôles au sein du système qualité, en s’appuyant sur des travaux tels que :

  • Activités de contrôle de la production, y compris les procédures d'intégrité des données
  • Processus de sélection des fournisseurs
  • Travaux de validation déjà effectués par le fournisseur du logiciel
  • Données de surveillance continue pour détecter les problèmes de performances des logiciels
  • Outils CSV comme le suivi des bogues et les tests automatisés

Bien que les outils utilisés puissent varier, l’important est que le fabricant s’assure que le logiciel conserve un état validé.

4. Création de l'enregistrement

Les directives de la FDA stipulent que les fabricants doivent créer un registre des activités d'assurance. Pour chaque logiciel présenté, ce registre doit inclure l'utilisation prévue, la détermination des risques et la documentation des activités d'assurance réalisées, notamment :

  • Description du test
  • Problèmes détectés et mesures prises pour les résoudre
  • Conclusion affirmant l'acceptabilité des résultats
  • Date du test et personne qui l'a effectué
  • Signature et date de la personne examinant le dossier

Le lien entre le système de gestion de la qualité et les directives CSV

Solution SMQ Les logiciels de catégorie 4 ou 5, selon les directives GAMP 5, sont généralement classés, selon l'ajout ou non de fonctionnalités personnalisées. La catégorie 4 est la plus couramment utilisée dans le secteur. Comparée à l'utilisation de logiciels prêts à l'emploi, elle fournit des outils validés pour configurer le logiciel sans codage afin de répondre aux exigences métier. À la différence des logiciels de catégorie 5, qui présentent des niveaux de personnalisation supplémentaires nécessitant des modifications de code.

Le Approche CSA Cela réduit considérablement les besoins de validation lorsque l'éditeur a déjà réalisé une validation complète. Pour certaines fonctionnalités, les entreprises peuvent simplement s'appuyer sur la documentation de l'éditeur, démontrant ainsi le fonctionnement du logiciel dans un scénario de test complet. Les entreprises doivent évaluer la documentation technique de l'éditeur, ainsi que les modèles de validation des fonctionnalités SMQ configurées.

Conclusion

Le passage de la validation des systèmes informatiques à la CSA peut réduire considérablement le temps et les coûts associés à la mise en œuvre de logiciels automatisés. D'ailleurs, le Forum 2020 sur la qualité du Medical Device Innovation Consortium (MDIC) constate une réduction de 50 % ou plus du temps de validation grâce à cette approche.

S'appuyant sur les réglementations et directives existantes, la norme CSA simplifie le maintien des logiciels à un état validé. Pour les fabricants, elle réduit les obstacles à l'adoption de nouvelles technologies susceptibles d'améliorer la sécurité des patients, notamment les logiciels SMQ. Grâce à ce changement, les entreprises peuvent gagner du temps et de l'argent tout en augmentant leur productivité et leur efficacité.

À propos de l’auteur

Stéphanie Ojeda Stéphanie est directrice de la gestion des produits pour le secteur des sciences de la vie chez AssurX. Elle possède plus de 15 ans d'expérience en assurance qualité dans divers secteurs, notamment l'industrie pharmaceutique, la biotechnologie, les dispositifs médicaux, l'agroalimentaire et la fabrication.