Walidacja systemów skomputeryzowanych to zbiór działań mających na celu dostarczenie udokumentowanego dowodu, który zapewni nas, że system rzeczywiście prowadzi do zaplanowanych wyników i działa zgodnie z wcześniejszymi założeniami.
Proces walidacji jest szczególnie istotny dla branż, których ze względów bezpieczeństwa dotyczą rygorystyczne regulacje i normy. Z tego względu szczególnie istotne znaczenie walidacja systemów komputerowych ma dla farmacji czy finansów. Pamiętajmy jednak, że również w innych branżach pozwoli ona uniknąć błędów i zapobiec kosztownym awariom. Daje ona również pewność, że system informatyczny spełnia wymagania techniczne, a także te dotyczące niezawodności i wysokiej jakości.
Walidacja systemów komputerowych i oprogramowania w 5 krokach
Krok 1 – Sporządzenie listy wymagań
Implementacja systemu IT ma na celu wsparcie, automatyzację bądź optymalizację realizacji procesu biznesowego. Zwykle więc organizacja wie jaki proces chce wspierać i ma na to jakiś podgląd. Pierwszym krokiem jest więc spisanie listy wymagań obejmujących zakres walidacji. Wymagania użytkownika (User Requirements) dzielimy na:
- wymagania funkcjonalne – bezpośrednio związane ze wspieranym procesem biznesowym, czyli konkretne zadania, które ma wykonywać system;
- wymagania niefunkcjonalne – odnoszące się między innymi do bezpieczeństwa, wydajności czy interfejsu systemu np. szybkość działania, obsługiwane obciążenie, rodzaje autoryzacji użytkownika, procedury awaryjne.
Tworząc listę wymagań dla systemów wspierających branżę farmaceutyczną, należy również pamiętać o specyficznych wymaganiach prawnych tzw. regułach compliance, obejmujących:
- produkcją i stosowaniem leków i produktów leczniczych;
- sposób prowadzenia badań klinicznych;
- procedury w zakresie tzw. crisis management, podatkowe, w zakresie ochrony danych osobowych i dawn raids, czyli procedur wprowadzanych na wypadek kontroli.
Krok 2 – Walidacja systemu
Walidacja systemów informatycznych jest procesem oceny i dokumentowania, czy dany system działa zgodnie z zasadami np. Dobrej Praktyki Wytwarzania (GMP) oraz spełniając obowiązujące przepisy prawne i wymagania biznesowe.
Gdy wiemy już, co system ma wspierać, należy zastanowić się nad jego krytycznością, czyli stopniem wpływu systemu na jakość i bezpieczeństwo produktu. W przypadku branży farmaceutycznej warto odnieść się do regulacji GxP (Good Practices – dobre praktyki wytwarzania), które regulują procesy produkcyjne, kontrolę jakości, dystrybucję i praktyki laboratoryjne. Na tym etapie powinniśmy móc ocenić czy system jest krytyczny z punktu widzenia GxP i czy należy go walidować.
O co tutaj chodzi? Kluczem jest ocena czy system wspiera elementy procesu biznesowego mogące mieć wpływ na:
- Zdrowie pacjenta
- Jakość produktu leczniczego
- Integralność danych
Jeśli widzimy korelację, odpowiedź jest prosta – trzeba walidować!
Krok 3 – Specyfikacja funkcjonalności systemu
Poszczególne funkcje systemu lub elementy konfiguracji wspierają odpowiednie wymagania. W kolejnym etapie należy wypisać funkcje, elementy konfiguracji systemu i rozszerzenia oraz połączyć je z odpowiadającymi im wymaganiami. Celem jest dostarczenie systemu, który spełnia wymagania użytkownika, wobec tego musimy jednoznacznie móc określić, które funkcje odpowiadają poszczególnym wymaganiom oraz zapewnić, że wszystkie wymagania zostaną pokryte i zrealizowane w systemie.
Oczywiście poza typową specyfikacją funkcjonalności systemu należy przygotować specyfikację techniczną, czyli dokumentu, który szczegółowo, jasno i precyzyjnie określa wymagania, które musi spełniać system, jego architekturę, sposoby integracji i zarządzania danymi, opis użytkowania i dostępności, a także wszystkie funkcjonalności. Specyfikacja techniczna może stanowić podstawę do przeprowadzenia testów.
Krok 4 – Analiza ryzyka i działań ograniczających
Z poszczególnymi funkcjami systemu wiążą się ryzyka. Należy je zidentyfikować i ocenić. W przypadku branży farmaceutycznej każde ryzyko oceniamy pod kątem jego wpływu na: zdrowie pacjenta, jakość produktu leczniczego, integralność danych, prawdopodobieństwa wystąpienia oraz możliwości detekcji. Następnie należy ocenić, które ryzyka możemy zaakceptować, a które wymagają od nas działań ograniczających. Metod analizy ryzyka jest wiele i często dojrzałe organizacje mają swoje wypracowane i sprawdzone schematy. Wśród najpopularniejszych możemy wymienić metodę analizy ryzyka zaprezentowaną wg GAMP 5 oraz metodę FMEA.
Wśród działań ograniczających najczęściej spotykane to: dodatkowe testy, procedury, instrukcje użytkownika, szkolenia oraz tzw. przebudowanie funkcji – czasem „zabezpieczenia” możemy „wbudować” w daną funkcję systemu.
Pamiętajmy, żeby po przeprowadzeniu działań ograniczających powtórnie zweryfikować analizę ryzyka!
Krok 5 – Testy systemu
Gdy system jest już gotowy, należy sprawdzić, czy rzeczywiście działa on tak, jak powinien poprzez przeprowadzenie walidacji i kwalifikacji. Na samym początku przeprowadzamy testy na poziomie kodu, np. testy integracyjne czy code review. Następnie sprawdzamy, czy wszystkie komponenty są poprawnie zainstalowane (kwalifikacja instalacyjna „IQ”), czy system działa tak, jak powinien (kwalifikacja operacyjna „OQ”, według wymagań funkcjonalnych). Jeśli te testy przejdą poprawnie, pora na testy ostateczne „PQ” realizowane zwykle przez użytkowników końcowych, którzy sprawdzą, czy system wspiera realizowany proces biznesowy i potwierdzą, że zamierzony cel został osiągnięty – system spełnia zamierzony cel (ang. Intended use). Jeśli na którymś etapie zidentyfikowane zostaną błędy działania systemu, analizujemy je, poprawiamy oraz powtarzamy testy (te dotknięte błędem lub te, na które błąd mógł wpłynąć, należy prowadzić do otrzymania wyników spełniających określone kryteria akceptacji).
Oczywiście wszystkie testy przeprowadzamy w sposób formalny, odpowiednio je dokumentując i pamiętając o dowodach na to, że testy przebiegły pomyślnie. W końcu musimy udowodnić, że metoda lub system działa poprawnie.
Walidacja oprogramowania podsumowanie
Gdy system jest już w stanie zwalidowanym, należy przeszkolić użytkowników oraz przygotować dla nich instrukcje stanowiskowe jeszcze przed oficjalnym startem. Spełnienie powyższych założeń i prawidłowa instalacja systemu w środowisku produkcyjnym pozwala na podsumowanie całości działań i zwolnienie systemu do użytku.
Z formalnego punktu widzenia tworzymy raport walidacji zawierający podsumowanie wszystkich działań, które przeprowadziliśmy. Raport powinien zawierać wszelkie odstępstwa od planu pierwotnego wraz z krótkim uzasadnieniem. Jeśli zidentyfikowane zostały akcje, które nie zostały zrealizowane w terminie, ale nie są krytyczne z punktu widzenia walidacji systemu, należy je wymienić oraz opisać, w jaki sposób ich realizacja będzie śledzona.
Oczywiście w fazie operacyjnej cały czas pamiętamy, że należy utrzymać zwalidowany status systemu i w odpowiedni sposób realizować i kontrolować takie aspekty jak: zarządzanie zmianą, zarządzanie incydentami i problemami, zarządzanie użytkownikami i dostępami, procedurę backup, procedurę odzyskiwania danych i wiele innych, by w sposób ciągły wysoki stopień pewności bezpieczeństwa.
FAQ
Czym jest walidacja systemów skomputeryzowanych?
Walidacja systemów skomputeryzowanych to kompleksowe działanie, obejmujące ocenę systemów komputerowych i procesów z nimi związanych, które ma na celu w udokumentowany sposób potwierdzić, że spełniają one określone wymagania i realizują wyznaczone cele. Przeprowadzenie walidacji zapewnia bezpieczne, efektywne i niezawodne działanie systemu.
Dlaczego i kiedy warto walidować systemy informatyczne?
Należy nieustannie monitorować kondycję systemów w firmie. Szczególnie przeprowadzenie walidacji zaleca się w przypadku:
- wdrożenia nowego systemu informatycznego,
- migracji lub aktualizacji już istniejącego w organizacji systemu,
- zmian w przepisach,
- rozszerzanie i development systemu.
Częściej walidowane powinny być systemy przechowujące dane poufne oraz takie, które obsługują infrastrukturę krytyczną lub wpływają na zdrowie oraz bezpieczeństwo ludzi.
Jakie są korzyści z walidacji systemów komputerowych?
Walidacja systemów komputerowych przede wszystkim zmniejsza ryzyko błędów i luk, a tym samym minimalizuje możliwość wystąpienia kosztownych awarii, co prowadzi bezpośrednio do zwiększenia zaufania zarówno klientów, jak i użytkowników systemu. Pozwala ona również nie tylko uzyskać zgodność z wymogami, ale również znaleźć sposoby na ulepszenie oprogramowania i podniesienie jakości.
W jakich branżach walidacja systemów komputerowych ma szczególnie istotne znaczenie?
Niezawodne i działające bez błędów systemy są szczególnie ważne w kluczowych branżach, które mają bezpośredni wpływ na zdrowie, bezpieczeństwo lub dobro ludzi, do takich zaliczyć możemy:
- medycynę i opiekę zdrowotną,
- przemysł farmaceutyczny,
- finanse i bankowość,
- przemysł spożywczy,
- lotnictwo.
Gdzie mogę zlecić walidację systemów skomputeryzowanych?
Działania związane z walidacją systemów w organizacji najlepiej zlecić wiarygodnym specjalistom (np. firmom konsultingowym, laboratoriom czy ekspertom IT), którzy zagwarantują bezpieczeństwo, zgodność z obowiązującymi przepisami oraz zapewnią bezawaryjne działanie oprogramowania. W Hicron posiadamy odpowiednie kwalifikacje, certyfikacje i referencje, a nasi eksperci mają bogate doświadczenie w obsłudze różnych branż w Polsce i za granicą.
