En septiembre de 2022, la FDA (CDRH) publicó su guía preliminar Computer Software Assurance for Production and Quality System Software como referente evolucionado al proceso de validación de sistemas informáticos. Este enfoque sirve de orientación y guía no solo al sector de productos sanitarios, sino también al sector farmacéutico. A su vez, la guía ISPE ® GAMP5 2nd Edition adoptó esta nueva aproximación bajo el concepto del pensamiento crítico para dar una mejor respuesta a las actividades de control a lo largo del ciclo de vida de los sistemas informáticos.
Aproximación basada en el riesgo
Este nuevo modelo de CSA/pensamiento crítico representa el siguiente paso evolutivo dentro de la gestión y validación de los sistemas informáticos dentro del sector Life Sciences. En el siguiente artículo vamos a remarcar cinco aspectos clave en su aplicación.
Búsqueda del beneficio óptimo
La garantía de calidad del software de la guía CSA es un enfoque basado en el riesgo para establecer y mantener la confianza conforme el software es adecuado a su uso previsto. A este respecto, el esfuerzo de las actividades de garantía de calidad debe estar respaldado por el pensamiento crítico, siguiendo un enfoque de mínima carga, donde el peso de las actividades de garantía no ha de ser mayor al necesario.
Se trata de dar una respuesta equilibrada y bien razonada a la estrategia de garantía y control de los sistemas informáticos a lo largo de su ciclo de vida.
El objetivo es la búsqueda del beneficio óptimo, al identificar dónde puede ser apropiado realizar un rigor adicional dentro de nuestras actividades de garantía de calidad. Este cambio de modelo, se apoya en el uso eficiente de los recursos para establecer y mantener una mejor confianza de nuestros sistemas informáticos, y en consecuencia en la calidad del producto.
Por otro lado, la actividad de garantía de calidad se debe plantear en múltiples capas, con el grado de detalle requerido según el riesgo observado para asegurar el uso previsto del sistema informático. A su vez, es importante aplicar una visión holística a lo largo de todo el proceso de negocio soportado por el sistema, ya que un mismo proceso puede estar soportado por múltiples sistemas informáticos. En este punto, el uso de mapas de proceso y diagramas de flujo de datos para conocer el uso previsto del sistema informático, así como la naturaleza/tipología de sus datos (incluyendo la criticidad de los datos regulados), e interdependencias con otros sistemas, es un tema primordial para conseguir una visión integral del proceso de negocio.
Es importante subrayar que este nuevo enfoque va alineado con los nuevos cambios del Concept Paper del anexo 11 de las EU GMPs para alcanzar un mejor enfoque del ciclo de vida del sistema informático basado en el riesgo, así como de la guía ICH Q9 (R1) sobre gestión de riesgos para la calidad, para el logro de un proceso de toma de decisión basado en el riesgo más objetivo y claro. En consecuencia, debemos conocer para su mayor nivel de aseguramiento y validación, qué características, partes y/o funcionalidades del sistema son las utilizadas para la toma de decisiones reguladoras, garantizan la calidad del producto, o la integridad de los datos, así como cuales han sido específicamente diseñadas o poseen algún grado de personalización. El propósito es dotar de mayor consenso y solidez, al nivel de rigor y extensión de los controles, así como de formalidad necesarios para demostrar la confianza del sistema informático. Ver figura 1.
Foco en seguridad paciente, calidad producto, e integridad de los datos
El foco en la seguridad del paciente, la calidad del producto, así como la integridad de los datos es otro de los aspectos clave de esta nueva aproximación, y debe aplicarse en todas las actividades de garantía de calidad según el riesgo, examinando para ello, las características, funciones y operaciones individuales del software.
Por ello, es crucial aplicar este foco en todas las etapas del marco CSA (mostradas a continuación):
- Identificación del uso previsto. La FDA realiza una distinción en la guía entre el software que es parte directa del proceso de producción y el software que respalda el sistema de calidad. Se reconoce además que el software puede tener más de un uso previsto, lo que puede conllevar diferentes riesgos según sus características, funciones y operaciones dentro del proceso de producción o del sistema de calidad.
- Determinación enfoque basado en el riesgo. Una vez identificado el uso previsto, deben identificarse de forma sistemática (ej.: uso de metodología ISO 14971 o ICH Q9 según corresponda) los fallos razonablemente previsibles, y determinar si el fallo representa un riesgo alto para el proceso.
- Determinación actividades de garantía del SW. Una vez determinados los riesgos deben identificarse las actividades de garantía proporcionales al riesgo.
- Apropiado reporte (evidencias necesarias). Debe establecerse el nivel de reporte suficiente como evidencia objetiva conforme el sistema ha sido evaluado y funciona según lo previsto (plan de pruebas, resultados, registros).
Promoción de prácticas óptimas de calidad en las pruebas
Tanto la guía CSA de la FDA, como la guía ISPE ® GAMP5 2nd Edition (en su apéndice D5 sobre Testing of computerized systems) describen métodos y actividades más óptimos de prueba para establecer la garantía del software informático proporcionando evidencia objetiva para cumplir con los requisitos regulatorios. La finalidad es promover una mayor dedicación a la verificación activa del sistema informático para la búsqueda de defectos y una menor dedicación a la generación de especificaciones por adelantado.
Es más importante eliminar errores y mejorar procesos, que recopilar documentación con fines de inspección o revisión. Esto no quiere decir que haya una reducción en el número de pruebas, sino que se fomenta su incremento, pero con el rigor documental mínimo necesario. Debe haber por ello, un cambio de mentalidad y cultura para que los esfuerzos tomados estén dirigidos a proporcionar valor añadido siempre que la documentación disponible sea suficiente para confirmar la seguridad del paciente, la calidad del producto y los requisitos de integridad de los datos. De esta manera se focalizan los esfuerzos en la mejora de la calidad, y un mayor grado de cumplimiento de nuestros procesos de negocio.
En relación a las actividades de prueba, el nuevo enfoque establece enfoques con guion (Scripted Testing) y sin guion (Unscripted Testing), en donde la carga de la validación no es más de la necesaria para abordar el riesgo, y en donde solo la funcionalidad de alto riesgo requiere de pruebas con guion tradicionales. A continuación, se muestran las principales características y aplicaciones de cada una de estas pruebas:
- Pruebas con guion (Scripted Testing): Más apropiadas para características y/o funciones de mayor riesgo, siendo por lo tanto pruebas de mayor rigor. Son pruebas contra especificaciones para confirmar la idoneidad del uso previsto (comportamientos esperados de usuario/sistema). Son, por tanto, comprobaciones de funcionalidades conocidas de una naturaleza más rígida.
- Pruebas sin guion (Unscripted Testing): Más apropiadas para características y/o funciones de menor riesgo. Son pruebas de menor carga documental, menos planificadas, y de una naturaleza por ello más dinámica, muy útiles para explorar comportamientos de usuario/sistema tanto esperados como inesperados, así como en búsqueda de defectos. Se basan en la intuición, el conocimiento y la experiencia del tester. Pueden complementar a las pruebas con guion en pasos previos de especificación a lo largo del desarrollo del software. Ej.: pruebas ad-hoc, adivinación de errores, pruebas exploratorias (o una combinación de las mismas).
Nueva relevancia del proveedor
La figura del proveedor tecnológico juega un rol importante en orden de aprovechar los conocimientos y recursos. Se insta por ello, a una colaboración más estrecha y exitosa con el proveedor para el incremento del cumplimiento del sistema informático con las perspectivas reguladoras mediante la definición de un modelo de ciclo de vida experimentado, y con el uso del pensamiento crítico como eje central, para determinar la tecnología, metodología, así como estrategias y marcos de especificación y prueba más adecuados. A su vez, cuanto más complejo sea el sistema informático, y mayor impacto tenga en nuestros procesos de negocio, mayor relevancia debe cobrar la figura del proveedor. Por todo lo anterior, la competencia y la fiabilidad del proveedor son factores claves a la hora de seleccionar una solución o proveedor.
Por todo lo anterior, la evaluación del proveedor es un factor importante, y su correcto estado de auditoría debe ser revisado periódicamente. En este particular, la evaluación debe ser llevada a cabo para confirmar los estándares adecuados del sistema de gestión de calidad del proveedor. Esto aplica tanto para el suministro, instalación, configuración, integración, validación, mantenimiento, modificación o conservación del sistema informático o servicio relacionado con IT. Es por ello, esencial disponer de procedimientos específicos para evaluar a los proveedores tecnológicos, de manera que podamos determinar si estos proveedores son capaces de satisfacer nuestros requisitos comerciales, regulatorios y de integridad de datos. Ver figura 2.
Promoción de nuevas tecnologías y herramientas
La implementación de tecnologías digitales y emergentes puede fortalecer y flexibilizar los procesos de fabricación, ayudando a mejorar y asegurar la calidad constante de los productos. Asimismo, la nueva guía ISPE ® GAMP5 2nd Edition fomenta su aplicación y uso adecuado, dedicando además nuevos apéndices específicos a varias tecnologías. Un ejemplo, es el uso de la inteligencia artificial (AI) y el aprendizaje automático (ML). Pero la llegada de nuevas tecnologías supone nuevos retos, en donde la industria debe adoptar un enfoque progresivo y holístico, basado en el uso del pensamiento crítico para su transformación adecuada utilizando nuevas herramientas, habilidades y sistemáticas. Esto implica una transformación gradual y global de la organización y de las personas.
En consecuencia, el uso de nuevas herramientas, así como el uso de metodologías más adecuadas en el desarrollo de software son cuestiones relevantes. Por ello, la nueva aproximación CSA fomenta el uso de enfoques ágiles e iterativos a lo largo del desarrollo del software, así como el uso de herramientas digitales de validación y verificación (ej.: bug tracker, automated testing). A su vez, la guía ISPE ® GAMP5 2nd Edition dedica un apéndice específico también a la metodología de desarrollo de software Agile.
Agile es una metodología de desarrollo de software ampliamente adoptada en la industria que está centrada en la colaboración constante, la flexibilidad y la entrega rápida de pequeños incrementos de funcionalidad (entrega continua de valor). Debido a su naturaleza dinámica e iterativa, es ideal para el desarrollo de aplicaciones altamente configuradas y personalizadas con un alto nivel de incertidumbre, en donde se van ajustando y redefiniendo los requerimientos a lo largo del proyecto. Al estar Agile basado en la teoría del proceso empírico con una mentalidad de descubrimiento y exploración, es por ello, la herramienta de elección en el desarrollo de sistemas complejos, y/o con componentes de aprendizaje automático embebido (rama de la inteligencia artificial cada vez más demandada y extendida dentro del sector Life Sciences).
Agile aborda la alta incertidumbre de los proyectos dividiendo el trabajo en pequeñas etapas planificables, llamadas incrementos o iteraciones (sprints), que se revisan continuamente (ciclos de planificación, ejecución, revisión, retrospectiva). Por ello, el enfoque Agile permite gestionar mejor la complejidad y mejorar la calidad del producto y los procesos, a diferencia de los métodos tradicionales como waterfall. Ver figura 3.
Por otro lado, como parte de la tecnología y los procesos de transformación digital actuales, el uso de herramientas de software a lo largo de los procesos de desarrollo, soporte y mantenimiento de los procesos del ciclo de vida del sistema informático / infraestructura IT, es otro aspecto a promover ya que su adopción permite una mayor calidad, y conformidad de los procesos de IT. El uso de herramientas de software Agile, así como de verificación, y validación permiten la trazabilidad y actualización en continuo de las actividades de desarrollo y prueba. Estas herramientas deben estar gestionadas dentro de un marco de gestión de calidad IT adecuado (ej.: aplicación de buenas prácticas de IT, como ITIL) para su correcta instalación, uso y estado de control, tal y como define la guía ISPE ® GAMP5 2nd Edition (apéndice D9 sobre Software Tools).
Conclusión
Las empresas reguladas deben desarrollar una estrategia proactiva para la transición al enfoque CSA, priorizando la seguridad del paciente, la calidad del producto y la integridad de los datos. Esta estrategia debe estar basada en el pensamiento crítico de un equipo de expertos, centrado en actividades y metódicas prácticas, flexibles y exploratorias que agreguen valor.
Los beneficios incluyen la reducción de tiempos y los costes de desarrollo del software, así como la disponibilidad de sistemas informáticos más eficientes, confiables y de alta calidad.
Es crucial que la industria se actualice tecnológicamente para adaptarse al creciente uso de las nuevas tecnologías existentes, con el respaldo de los datos durante auditorías o inspecciones.
CSA, al priorizar el pensamiento crítico sobre la documentación, garantiza la calidad y seguridad del paciente para generar la documentación solo necesaria. Por ello, se requiere una planificación cuidadosa en esta nueva transición y un cambio de mentalidad.
Notas
- Food and Drug Administration
- Center for Devices and Radiological Health
- Good Manufacturing Practices
- ICH guideline Q9 (R1) on quality risk management
- Information Technology
- Artificial Intelligence
- Machine Learning
- Information Technology Infrastructure Library
Descarga sugerida:
Artículo escrito por:
Mar Diaz
Resposable Técnica Validaciones
,Trescal Life Sciences
