Skip links

Perkembangan transisi FDA dari CSV ke CSA, Dari mana asal Computer Software Assurance (CSA)?

Program Case for Quality dari US FDA Centre for Devices and Radiological Health (CDRH) mendorong pendekatan terhadap sistem komputer yang berbasis risiko, berfokus pada kualitas produk, dan berorientasi pada pasien. Inisiatif ini mendorong pemikiran kritis berdasarkan pengetahuan produk dan proses serta manajemen risiko mutu, daripada pendekatan berbasis dokumentasi yang bersifat preskriptif.

Selama enam tahun terakhir, FDA tengah membahas CSA bersama industri-industri dan para konsultan. Detail dan perkembangan pedoman tersebut sangat dinantikan, seperti yang secara teratur dikomunikasikan oleh mereka yang tergabung dalam kelompok kerja yang menawarkan “pergeseran paradigma” untuk seluruh industri, dan akan menjadi konfrontasi antara CSA vs CSV, ini secara implisit merujuk pada metode yang didefinisikan dalam ISPE GAMP. Namun dibalik keramaian itu, terdapat sedikit konten yang dirilis selama proses perancangan pedoman berlangsung yang membantu pihak eksternal memahami pemikiran FDA dan sejauh mana CSA dapat mendorong inovasi yang diperlukan dalam kualifikasi dan validasi software.

Pada September 2022, FDA menerbitkan draf berjudul “Computer Software Assurance for Manufacturing, Operations, and Quality System Software” Artikel yang merangkum konten utama dan mempertimbangkan penerapan CSA sebagai cara baru dalam memvalidasi software dalam aplikasi GxP, serta kesesuaiannya dengan pendekatan Computer System Validation (CSV) yang lebih mapan.

Apakah CSA mewakili pergeseran paradigma dalam validasi software?

Draf pedoman yang diterbitkan terkait CSA dinyatakan relevan untuk “komputer dan sistem pemrosesan data otomatis yang digunakan sebagai bagian dari produksi alat kesehatan”. Penting untuk diperhatikan bahwa pedoman tersebut masih berupa draf dan cakupannya hanya untuk alat kesehatan. Alat kesehatan merupakan sektor signifikan yang sangat bergantung pada software, baik dalam proses produksinya maupun sebagai software yang disematkan sebagai bagian dari produk, atau dalam beberapa kasus, merupakan keseluruhan produk itu sendiri. Namun, karena dampak dan ruang lingkup CSA hanya terbatas pada sektor ini, CSA tidak berlaku untuk industri farmasi secara luas, setidaknya untuk saat ini. Mungkin saja ini merupakan langkah awal FDA untuk membawa pengaruh praktik CSV yang lebih luas di masa depan (seperti spekulasi banyak orang), namun saat ini masih di luar dari ruang lingkup CSA..

Konten draf tersebut disebutkan awalnya diciptakan di atas “General Principles of Software Validation” FDA tahun 2002, sehingga pada intinya CSA merupakan perluasan dari pedoman yang sudah ada selama 20 tahun, bukan  pendekatan yang benar-benar baru. Hal ini merupakan keterbatasan lain yang tidak diharapkan dari komunikasi awal kelompok tersebut, yang mengharapkan perubahan dasar dan pergeseran paradigma.

General Principles of Software Validation tahun 2002, berisi pernyataan penting tentang ‘pendekatan yang paling tidak memberatkan’, yang merupakan dukungan FDA untuk mendorong cara-cara efisien dalam software assurance. Pedoman baru ini merupakan perluasan dari pemikiran yang sama untuk mengoptimalkan metode tanpa menurunkan kualitas produk dan integritas data, tetapi praktik CSV dalam industri telah mengadopsi konsep ini sejak lama, telah mapan, dan dijelaskan dengan baik dalam best practices. Hal menarik yang patut dicatat sejak draf dirilis yaitu anggota inisiatif CSA kini tengah aktif terlibat bersama GAMP dalam Special Interest Group khusus, yang akan mengurangi risiko ketidakselarasan pendekatan CSV di masa depan dan memungkinkan pendekatan kolaboratif antara CSA dan GAMP. Dengan demikian, yang pada awalnya CSA vs CSV, sekarang telah digantikan dengan pemahaman bersama bahwa CSA secara keseluruhan selaras dengan praktik CSV yang telah berkembang sejak awal tahun 1990-an, dan oleh karena itu CSA saat ini bukan merupakan metodologi yang benar-benar baru secara signifikan.

Selanjutnya kita akan meninjau pedoman tersebut dan merangkum hal-hal penting, di mana terdapat dua poin utama dari pedoman CSA.

  1. Mengklasifikasikan sistem dan fungsi sebagai hal yang memiliki dampak langsung/tidak langsung untuk menentukan kebutuhan tingkat tinggi dan kedalaman validasi.
  2. Mendorong penggunaan unscripted testing dan scripted testing berdasarkan risk assessment/maturity assessment dari fungsi software.

Fokus awal CSA adalah pada dampak dan jenis pengujian

Tujuan CSA adalah untuk mengurangi dokumentasi yang berlebihan dan tidak diperlukan sambil tetap memastikan bahwa software dapat digunakan dan risiko yang terkait diminimalkan. Topik-topik yang disebutkan dalam pedoman yang relevan untuk hal ini adalah:

  • Intended use dan dampak terhadap Keselamatan Pasien, Kualitas Produk, dan Integritas Data

Dalam kegiatan produksi yang diregulasi oleh FDA, keselamatan pasien selalu menjadi prioritas utama. Pedoman CSA menyebutkan contoh-contoh sistem yang dianggap mempunyai intended use yang berhubungan langsung dengan produk dan kualitasnya, seperti software yang digunakan dalam otomatisasi produksi. Pedoman ini juga mencakup contoh-contoh yang tidak berdampak langsung, namun memiliki peran pendukung. Pada sistem dengan dampak langsung, langkah-langkah dan bukti yang lebih detail, termasuk pengujian, diharapkan dapat menunjukkan bahwa sistem tersebut memenuhi peruntukannya. Pertimbangan dampak dari sistem untuk menjustifikasi tingkat kebutuhan validasi bukan merupakan hal baru, hal tersebut telah disebutkan dalam pedoman awal tahun 2002 dan telah menjadi aspek mendasar dari GAMP sejak versi awalnya. Namun dalam pedoman CSA, hal tersebut disampaikan dengan baik dan dimaksudkan untuk mengarahkan kembali dan mengingatkan perusahaan-perusahaan untuk menggunakan pemikiran kritis sejak awal dalam memutuskan di mana dan bagaimana menerapkan CSV.

Salah satu contoh yang diberikan, menunjukkan bahwa sistem yang “mengumpulkan dan mencatat data dari proses untuk tujuan pemantauan dan peninjauan (kemungkinan) tidak memiliki dampak langsung pada produksi atau kinerja proses”, sehingga pemikiran berbasis risiko harus sangat mempertimbangkan intended use dari sistem dan datanya, dan tidak menyederhanakan hubungan antara peran sistem dengan tingkat upaya validasi yang diperlukan.

Menarik untuk dicatat bahwa dalam pedoman CSA, terdapat sedikit referensi yang berkaitan langsung dengan integritas data. Pedoman tersebut menyinggung integritas sebuah rekaman dalam sistem IT, namun tidak ada koneksi dengan inisiatif Integritas Data secara luas, seperti yang dimasukkan ke dalam pedoman-pedoman GAMP terbaru. Pedoman tersebut juga tidak menjelaskan secara gamblang tentang bagaimana menangani risiko Integritas Data, seperti yang banyak direkomendasikan saat ini karena tingginya sorotan dari auditor global terkait topik tersebut.

  • Pendekatan berbasis risiko

Penggunaan penilaian risiko dalam validasi software untuk menentukan ruang lingkup dan kedalaman kegiatan verifikasi (pengujian) juga bukan merupakan hal baru dalam praktik CSV. Sejak GAMP4 dan GAMP5, serta dengan rilis terbaru GAMP5 Versi 2, hal ini merupakan aspek dasar yang digunakan untuk menentukan apa yang mungkin salah pada software dan menghubungkan kontrol yang diperlukan dengan pengujian fungsional. Tujuan penilaian risiko dalam CSV adalah untuk menunjukkan bahwa potensi kegagalan telah dimitigasi dan sistem beroperasi sesuai dengan intended use (lihat di atas). Dalam pedoman CSA, disebutkan bahwa peran penilaian risiko adalah untuk “memperkirakan kegagalan secara wajar, menentukan apakah kegagalan tersebut memiliki risiko proses yang tinggi, dan secara sistematis memilih dan melakukan aktivitas pemastian yang sesuai dengan risiko alat kesehatan atau proses”.

Pedoman CSA dibangun dari penilaian risiko untuk menjelaskan secara detail dan mengklasifikasikan fungsi-fungsinya untuk menentukan a) kebutuhan akan aktivitas pengujian, dan b) jenis pengujian (lihat di bawah) yang dapat diterapkan. Bagian selanjutnya berisi konten yang paling berguna dan praktis dari pedoman tersebut.

  • Mendorong penggunaan jenis pengujian yang lebih luas seperti unscripted testing dan tools

Pedoman CSA mengklasifikasikan dua jenis pengujian utama yaitu ‘scripted’ dan ‘unscripted’, di mana unscripted test lebih ringan untuk dilakukan karena penggunaan daftar periksa pengujian yang sederhana, dibandingkan dengan instruksi pengujian yang sangat rinci dan spesifik pada scripted test. Pedoman utama dalam draf tentang bagaimana menerapkan jenis pengujian yaitu “Untuk fitur, fungsi, dan operasional software yang berisiko tinggi, para produsen dapat mempertimbangkan untuk menggunakan scripted testing atau limited scripted testing”. Pedoman tersebut juga menyebutkan secara spesifik tentang penggunaan “Computer System Validation tools (seperti pelacak bug dan pengujian otomatis) untuk pemastian software” dan merekomendasikan agar mempertimbangkan penggunaannya sebagai “bagian dari sistem mutu, bila memungkinkan”. Ini merupakan poin-poin yang berguna, dan kami menganjurkan perusahaan-perusahaan untuk mempertimbangkan bagaimana mengadopsi pendekatan pengujian yang fleksibel dalam praktik CSV mereka.

Example: scaling test activities and type of testing

Contoh: Menyesuaikan skala aktivitas pengujian dan jenis pengujian

Topik non-CSA lainnya yang penting dalam konteks cara baru melakukan CSV:

Bersamaan dengan inisiatif CSA, terdapat beberapa topik terkait GxP yang akan berdampak pada bagaimana kita memvalidasi sistem dan perlu dipertimbangkan saat menjalankan dan membentuk praktik CSV:

  • Data Governance yang Efektif untuk Mencapai dan Memelihara Kepatuhan GxP

Pengelolaan data dan IT yang baik sangat penting untuk mencapai dan memelihara kepatuhan terhadap persyaratan GxP. GxP mencakup berbagai kegiatan, termasuk namun tidak terbatas pada: pemastian mutu, pengawasan mutu, manufaktur, distribusi, dan penyimpanan, serta yang pada saat ini banyak catatan penting dan data yang disimpan dalam sistem IT. Untuk memastikan kepatuhan terhadap GxP, suatu perusahaan harus memiliki kebijakan dan prosedur yang kuat untuk IT, baik untuk sistem maupun pengelolaan data. Hal yang sangat penting yaitu peran keamanan informasi dan perlindungan aset IT dan data dari kerusakan, intrusi, dan kejahatan siber. Terkait dengan CSV, direkomendasikan bahwa praktik-praktik pengelolaan IT dan data saat ini harus dimasukkan ke dalam prosedur, menjadi tanggung jawab di level perusahaan, terus diperbaharui dan digunakan untuk menjelaskan dalam audit bagaimana pengelolaan IT dan data berdampak pada CSV dan diterapkan dalam sistem dan proyek.

  • Quality by Design (QbD)

Quality by Design (QbD) adalah pendekatan sistematis untuk pengawasan mutu yang menjadi semakin populer dalam industri manufaktur. QbD berdasarkan pada prinsip bahwa kualitas seharusnya didesain ke dalam produk sejak awal, daripada diinspeksi dan diuji setelahnya. QbD sebagai sebuah konsep luas masih berkembang dalam contoh nyata, namun dalam pengawasan mutu dan validasi, QbD telah diterapkan di beberapa sektor industri dengan menggunakan Process Analytical Technology untuk mengadaptasi operasional secara real-time, terutama di bidang Biotech dan Cell & Gene, ini diperlukan dan baik regulasi maupun pedoman prosedur harus menemukan cara praktis untuk memungkinkan fleksibilitas dalam Ruang Desain.

Terkait dengan software dan sistem komputer, penerapan QbD dapat memiliki beberapa aspek, salah satunya adalah sistem yang menjalankan kemampuan kontrol canggih seperti QbD/PAT di atas, namun konsep yang sama dapat diterapkan di tempat lain seperti penggunaan pemantauan ancaman secara real-time yang disediakan oleh Penyedia Layanan Cloud. Alih-alih bereaksi terhadap insiden yang memengaruhi ketersediaan sistem IT, semakin banyak penyedia layanan cloud menawarkan lingkungan yang sangat redundant dan aktif untuk menjamin keandalan dan keamanan. Kontrol-kontrol ini dapat dianggap sebagai aplikasi QbD yang mengurangi risiko terhadap integritas data secara inheren, dibandingkan dengan bergantung pada prosedur administratif manual dan rutin.

Menariknya, dalam pedoman CSA, contoh yang relevan untuk QbD disebutkan untuk MES “yang digunakan untuk secara otomatis mengontrol dan menyesuaikan parameter produksi kritis yang telah ditetapkan. Perubahan pada sistem ini yang menjadi berdampak langsung, mungkin merupakan perubahan pada prosedur manufaktur yang memengaruhi keamanan atau efektivitas perangkat. Jika demikian, perubahan yang memengaruhi operasional khusus ini akan memerlukan notifikasi 30 hari sebelumnya”. Dalam pernyataan ini, Regulator mengindikasikan perlunya persetujuan pra-perubahan, yang diperlukan secara berkala pada suatu batch terkait QbD/PAT, dan oleh karena itu pembahasan lebih lanjut mengenai regulasi diperlukan untuk memungkinkan perusahaan beralih ke pemikiran berbasis ruang desain untuk produksi.

  • Continuous Improvement dalam QMS

Dalam Sistem Manajemen Mutu (QMS), selalu ada ruang untuk perbaikan berkesinambungan. Tidak peduli seberapa efektif QMS Anda, selalu ada cara untuk membuatnya lebih baik dengan cara melakukan audit secara reguler, baik internal maupun eksternal. Anda juga dapat meminta umpan balik dari karyawan dan pelanggan Anda, dan terkait pedoman seperti CSA disarankan untuk meninjau metode kerja baru dan mempertimbangkan untuk mengintegrasikannya ke dalam QMS Anda guna memperbaiki proses dan prosedur. Pedoman CSA tentang unscripted testing dan otomatisasi merupakan alasan yang bagus untuk memulai dan meninjau SOP Anda untuk menentukan pendekatan CSV yang lebih optimal di perusahaan Anda.

  • Configurable Systems dan Model Pengembangan

Configurable system dan model pengembangan memungkinkan tim untuk memilih tools, proses, dan alur kerja yang paling sesuai dengan kebutuhan mereka. Fleksibilitas ini memungkinkan tim untuk mengoptimalkan alur kerja mereka untuk kecepatan, kualitas, dan efisiensi.

Dalam pedoman CSA terdapat pernyataan yang kuat untuk mendorong adopsi teknologi, “Kemajuan dalam teknologi manufaktur, termasuk adopsi otomatisasi, robotika, simulasi, dan kemampuan digital lainnya, telah memungkinkan produsen untuk mengurangi sumber kesalahan, mengoptimalkan sumber daya, dan mengurangi risiko pada pasien. FDA mengakui potensi teknologi ini untuk memberikan manfaat signifikan dalam meningkatkan kualitas, ketersediaan, dan keamanan dalam alat kesehatan, serta telah melakukan beberapa upaya untuk membantu mendorong adopsi dan penggunaan teknologi tersebut”.

Aspek yang paling berguna dari pedoman CSA mungkin bukanlah konten detail itu sendiri, tetapi bahwa FDA terus melanjutkan perannya untuk menyelaraskan dan menggalakkan inisiatif yang mendorong digitalisasi dan modernisasi dari praktik kepatuhan. Hal ini patut diapresiasi, dan walaupun CSA mungkin tidak benar-benar mewakili perubahan besar dalam praktik CSV, sekarang merupakan saat yang tepat untuk mempertanyakan bagaimana CSV telah diterapkan dan mendorong pemikiran kritis dengan dukungan langsung dari regulator paling berpengaruh di dunia.

  • Penggunaan dokumentasi yang ada dan hubungan efektif dengan pemasok

Sejak awal CSV, peran penting pemasok telah menjadi dasar dan aspek kunci dari metodologi GAMP. Karena sejumlah besar pekerjaan dilakukan oleh pemasok untuk memverifikasi solusi mereka dan mendokumentasikan aktivitas-aktivitas ini sebelum mereka mengerjakan suatu proyek, regulated company berusaha memanfaatkan hal ini untuk menghindari pekerjaan berulang dan mengurangi tugas validasi dan pengujian mereka sendiri.

Pedoman CSA menegaskan dengan sangat jelas pentingnya integrasi ini dan manfaat dari bekerja sama dengan pemasok yang sesuai: “Produsen dapat menggabungkan praktik, aktivitas validasi, dan informasi elektronik yang telah dilakukan oleh pengembang software sebagai titik awal dan menentukan aktivitas tambahan apa yang mungkin diperlukan. Untuk beberapa fitur, fungsi, dan operasi software yang memiliki risiko lebih rendah, hal ini mungkin saja merupakan semua jaminan yang diperlukan produsen.”

Pernyataan tersebut mendorong pendekatan yang lebih pragmatis untuk memanfaatkan pekerjaan yang sudah ada dari pemasok dan juga hubungan dengan pemasok. Terutama untuk solusi cloud modern di mana tanggung jawab yang signifikan dipegang oleh pemasok dan mitra infrastruktur/layanan mereka, berbeda dengan implementasi on-premise tradisional. Oleh karena itu, akan sangat membantu jika Badan Regulator aktif dalam mendorong kolaborasi antara pemasok dan pelanggan untuk memenuhi ekspektasi dasar CSV.

Bagaimana kami dapat membantu?

Factorytalk memiliki banyak pengalaman dalam CSV mulai sejak awal GAMP dan telah melakukan validasi pada semua jenis dan berbagai kompleksitas sistem yang digunakan dalam Industri Farmasi, kami juga secara berkala memperbaharui praktik-praktik dan rekomendasi kami dan dapat membantu Anda memahami apa itu CSA, versi terbaru dari GAMP5 Rilis 2, dan untuk menemukan cara yang praktis, patuh, dan bernilai tambah untuk menjalankan CSV.

Metode kami yang kami gunakan menggabungkan GAMP5R2, CSA, dan bagaimana membawa Integritas Data ke dalam penilaian dan operasional sistem IT Anda. Kami dapat membantu dalam pelatihan dan pengetahuan Anda, konsultasi hingga seluruh pekerjaan CSV untuk pabrik berbasis digital. Hubungi kami untuk informasi lebih lanjut.

Referensi

ISPE. “Why ISPE GAMP® Supports the FDA CDRH: Case for Quality Program” Published December 2019.

Tags:

Leave a comment