News

Thema Validierung: gelassene Stimmung trügt

13.11.2011 -

Die gelassene Stimmung beim Thema Validierung trügt. Die Abkürzungen GMP, FDA und Qualifizierung (IQ, OQ, PQ) galten lange als Synonym für Papierkrieg, überzogene Anforderungen und Kostentreiber. Gemessen an der Aufregung rund um die Veröffentlichung des berüchtigten FDA 21 CFR Part 11 und dessen Interpretationen, gibt man sich in Fachkreisen heute vergleichsweise abgeklärt: Keine „Aufreger“ durch überzogene Forderungen der Behörden, keine Inspektionsberichte mit spektakulären „Warning Letters“. Ist jetzt „alles Palletti“ oder erleben wir die Ruhe vor dem Sturm? Neue Regelwerke schaffen Lösungen und Herausforderungen zugleich. Was ändert sich? Und was ist für die Verantwortlichen zu tun?

Herstellungsprozesse von kritischen Produkten (z. B. Arzneimitteln oder Blutprodukten) werden mit Hilfe der IT automatisiert und elektronisch dokumentiert. Internet, Wireless, vertikale und horizontale Integration haben in den Betrieben Einzug gehalten. Die Technologie hat sich verändert. Industrie und Behörden spielen nach wie vor die ihnen zugedachte Rolle und vertreten ihre – ab und an sehr unterschiedlichen – Positionen. Insbesondere der von ISPE herausgegebene GAMP4 hat jedoch durch seine Rolle als praktikables und allgemein akzeptiertes Regelwerk stark zur Versachlichung der Diskussionen beigetragen.

Durch Bewusstseinsbildung, Schulungen und gemeinsame Initiativen hat sich industrieweit eine einheitliche Sichtweise über die Angemessenheit der Anforderungen zur Computervalidierung und deren Umsetzung in die betriebliche Praxis entwickelt. In Bezug auf Effizienz bei der Umsetzung wurden wesentliche Fortschritte gemacht. Auf dieser soliden Basis reifte der GAMP zur aktuellen Version GAMP5, der vom interessierten Publikum mit Interesse aber gleichzeitig großer Gelassenheit aufgenommen wurde. Ist diese Gelassenheit wirklich angebracht? Es hat sich nämlich einiges geändert und nicht nur im GAMP5!

Was ist neu im GAMP5?

Unter dem Motto „ein risikobasierter Ansatz“ wurden die starren Anforderungen des GAMP4 durch flexiblere – risikobasierte – Regelungen ersetzt. In diesem Zusammenhang erwähnenswert ist insbesondere die Abschaffung des Begriffes Qualifizierung und damit zusammenhängend die Begriffe Installationsqualifizierung (IQ), Funktionsqualifizierung (OQ) und Leistungsqualifizierung (PQ), sowie die entsprechende Weiterentwicklung des V-Modells (siehe Abb. 1). Gemäß GAMP5 wird nicht mehr „qualifiziert“ sondern „verifiziert“.

Unter Verifikation ist die Überprüfung der Einhaltung einer Spezifikation zu verstehen. Aus welchen und wie vielen Spezifikations- und Verifizierungsschritten ein Projekt bis zur Freigabe zur produktiven Nutzung des Systems besteht, hängt von der Komplexität und Neuheit / Innovationsgrad (dem Risiko) des Systems ab. Der Anwender verfügt damit über mehr Freiheit bei gleichzeitig höherer Verantwortung bei der Gestaltung der Projektplanung, der Anforderungen an den Dokumentationsumfang und des erforderlichen Testumfangs. Für erfahrene Validierer ist das eine sehr gute Nachricht, da durch die Konzentration auf das Wesentliche Validierungskosten in erheblichem Umfang eingespart werden können. Eine wesentliche Effizienzverbesserung wird von einer stärkeren Einbeziehung der Lieferanten erhofft. z. B. können bereits vorhandene Testdokumente als Verifizierungsdokumente herangezogen werden.

EU Gesetz wird derzeit angepasst

Sowohl das europäische Gesetz (EU GMP Annex 11) als auch der US Code of Federal Regulations (21 CFR P11 und andere) entstammen den neunziger Jahren. Die Gesetzgeber verfolgten zunächst das Ziel, dass ein computergestützter Herstellprozess nicht „schlechter“ sein soll als ein papiergestützter. Papier galt als das Maß der Dinge und – vereinfacht gesagt – der Computer als „moderne Schreibmaschine“.

Heute jedoch steuert die IT den Geschäfts- und teilweise Produktionsprozess und übernimmt Teile der Dokumentation. Die Behörde hat gehandelt und arbeitet aktuell an der Revision des EU GMP Guides. Insgesamt ist damit zu rechnen, dass das neue Gesetz den aktuellen Anforderungen gerecht wird, da auch die Erkenntnisse aus der behördlichen Inspektionspraxis (PIC/S PI 011) in den neuen Gesetzesentwurf einfließen sollen. Im ersten Entwurf findet man aber immer noch den Hinweis: „Wo eine manuelle Aktivität durch ein computerisiertes System ersetzt wird, soll das nicht in einer Verschlechterung der Produktqualität resultieren“. Papier bleibt damit noch das Maß der Dinge?

Berührungspunkte mit anderen Regelwerken

Abseits der Vorschriften zum Thema Patientensicherheit, haben sich in den letzten Jahren weitere Regelungen etabliert, die Anforderungen an die Erstellung und den Betrieb von betrieblich genutzten Computersystemen enthalten. An oberster Stelle können hier die revidierte Norm zu Qualitätsmanagementsystemen (ISO9001), die Informationssicherheit (ISO 27000, ISA99, etc.) und das IT-Service Management (ISO 20000, ITIL) genannt werden. Auch im Bereich der Funktionalen Sicherheit entstanden mit IEC61508/61511/62061 neue Regelwerke.

Vergleicht man die in den Normen geregelten Aspekte, dann werden große inhaltliche Überschneidungen erkennbar. Nicht nur das risikobasierte Vorgehen und die Errichtung eines Management Systems, auch viel konkretere Regelungen überschneiden sich (Abb. 2). Das ist zunächst sehr positiv. Die Überschneidungen der Standards zeugen von einem fortgeschrittenen Reifegrad derselben und bieten durchaus Synergie-Potential. Ein ganzheitlicher Ansatz wäre die Errichtung eines Integrierten Management Systems (IMS), welches sämtliche Anforderungen (z. B. ISO9000/14000/20000/27000, GAMP5 etc.), in sich vereint. Anstatt der Vereinheitlichung auf Management-System-Ebene, kann dies auch auf der Ebene von Arbeitsanweisungen getan werden.

Zum Beispiel kann die Regelung für den Zugriff auf ein Computersystem einmal aufgestellt werden, um dann den verschiedensten Anforderungen zu genügen. Das Ergebnis wird dann sowohl dem GMP-interessierten Inspektor präsentiert, als auch bei einem Audit eines Wirtschaftsprüfers, der seiner Pflicht im Sinne des Kontroll- und Transparenzgesetzes nachkommt usw.. An dieser Stelle sei jedoch gleich die Warnung angebracht. Trivial ist dies auch auf der Ebene der Arbeitsanweisungen nicht.

Im Detail betrachtet sind die Perspektiven und Interessen der einzelnen Regelungen doch sehr konträr. So wäre der GMP-Inspektor primär daran interessiert, dass keine qualitätsrelevanten Daten modifiziert werden während der Wirtschaftsprüfer eher Geschäftsrisiken (z. B. durch Spionage) überprüfen will. Auch die betriebsinterne Organisation steht vor einer Herausforderung: Qualitätsmanagement, IT, Finanz- Rechnungswesen und ggf. noch andere Organisationsteile müssen zusammenspielen, um die möglichen Synergien zu heben.

Fazit

Die Gelassenheit in der Branche ist ein oberflächliches Phänomen. Unter der Oberfläche wird daran gearbeitet, die Computervalidierung über risikobasierte Methoden effizienter zu machen. Parallel dazu steht die Integration mit Management-Systemen für z. B. Service-, Sicherheit- und Qualität an. Das (Qualitäts-)Rad dreht sich weiter.

Kontakt:
Erwin Kruschitz, Vorstand
Anapur AG, Ludwigshafen
Tel.: 0621/62900-432
e.kruschitz@anapur.de
www.anapur.de