Основным документом в области валидации компьютеризированных систем является Рекомендация Коллегии ЕЭК от 19.09.2023 № 25 «О Руководстве по обеспечению целостности данных и валидации компьютеризированных систем» (https://www.alta.ru/tamdoc/23rk0025/). Документ разработан специально для фармацевтических компаний (по тексту — “регулируемые компании”), которые должны соответствовать правилам GxP документов в сфере обращения лекарственных средств. Рекомендация №25 говорит фармацевтическим компания (ДРУ и контрактным площадкам), какие процедуры и иные документы им нужно разработать самим или потребовать у IT-подрядчика в зависимости от типа компьютеризированной системы.
Основная идея валидации — это прослеживаемость между тем, чтобы было задумано, и тем, как это было реализовано.
Например, у компании есть какая-то бизнес-потребность (учет спонтанных сообщений), она хочет управлять своими данными, при этом не хочет потерять их, хочет хранить в определенном формате и пр. Формулируя свои потребности, компания формирует требования. Эти требования становятся Спецификацией пользовательских требований (User Requirements Specification, URS).
Далее компания продумывает, как она планирует реализовать свои потребности: какое программное обеспечение она выберет, будет ли она его сама разрабатывать или отдаст IT-подрядчикам на аутсорсинг, как сотрудники будут его использовать, по какой процедуре и т.д, а также как она планирует проверять, что ее потребности реализованы в полной мере. На основании этого формируются технические задания в различной форме (Проектные Спецификации, Конфигурационные спецификации или иные другие документы), а также План валидации.
Совместно с разработкой Плана валидации проводится оценка рисков, связанная с разработкой и/или внедрением компьютеризованной системы, для того, чтобы понять, на что в первую очередь нужно обратить внимание при тестировании (квалификации). На основании этих документов разрабатываются Протоколы квалификации, по которым будет проводится тестирование разработанной / купленной компьютеризированной системы и процессов, связанных с ее внедрением. Протоколы тестирования включают в себя тест-кейсы и чек-листы, которые специалист по тестированию будет выполнять.
Последовательность этапов квалификации
- Квалификация проекта (DQ): задача данного этапа составить матрицу прослеживаемости (иными словами, таблицу соответствия) между пользовательскими требованиями, их реализацией и тестами для того, чтобы удостовериться, что для каждого требования продумана реализация и тестирование. Этот этап не связан непосредственно с программным обеспечением, его целью является прослеживаемость в документации, на основании которой будет проводится непосредственно разработка программного обеспечения и его тестирование.
- Квалификация инсталляции (или монтажа, IQ): задача данного этапа убедиться, что программное обеспечение установлено корректно в соответствии с требованиями.
- Квалификации функционирования (OQ): задача данного этапа убедиться, что программное обеспечение работает.
- Квалификация эксплуатации (PQ): задача данного этапа убедиться, что внедренное программное обеспечение удовлетворяет изначальным потребностям фармацевтической компании и, соответственно, пользовательским требованиям.
Результатом успешного прохождения всех этапов квалификации является Отчет о валидации, который подтверждает валидированный статус компьютеризированной системы и выполнение Плана валидации.
Чаще всего, фармацевтические компании предпочитают выбирать готовые IT-решения, а не разрабатывать их самостоятельно, потому что это дорого, сложно, требует большого штата IT-специалистов и навыков организации и культуры IT-разработки.
Виды IT-услуг для фармацевтических компаний
- программное обеспечение как услуга (Software-as-a-Service, SaaS). Это готовое программное обеспечение, как правило, предоставляется по подписке, за обслуживание и поддержание которого полностью отвечает IT-поставщик.
- платформа как услуга (Platform-as-a-Service, PaaS). В этом случае фармацевтические компании используют IT-инфраструктуру, размещенную поставщиком IT-услуг, для запуска приложений, созданных с использованием операционных систем, языков программирования и инструментов, поддерживаемых поставщиком IT-услуг.
- инфраструктура как услуга (Infrastructure-as-a-Service, IaaS). Владелец использует основные вычислительные ресурсы, такие как обработка, хранение, сети, где клиент может развертывать и запускать произвольное программное обеспечение, которое может включать операционные системы и приложения.
Конечно, не являясь разработчиком компьютеризированной системы, фармацевтическая компания не сможет создать полный валидационный пакет сама, поэтому в соответствии с Рекомендацией фармацевтическая компания может воспользоваться документами IT-подрядчика. При этом акцент валидации со стороны фармацевтической компании будет больше смещен на оценку самого поставщика и его документов.
Важно отметить, что в данном случае фармацевтическая компания все равно обязана разработать свой собственный План валидации и Протокол квалификации эксплуатации (PQ), потому что именно она ответственна на внедрение компьютеризированной системы.
Но об этом мы поговорим в следующих статьях.