La validación de sistemas en la industria farmacéutica es un proceso crucial para garantizar que los sistemas informatizados son aptos para el uso previsto y cumplen los requisitos normativos vigentes. Se trata de un requisito obligatorio de las cGMP (Buenas Prácticas de Fabricación vigentes) y es esencial para gestionar la calidad de los productos fabricados. Cualquier sistema informatizado que pueda afectar a la seguridad del paciente, la calidad del producto y la integridad de los datos debe ser validado adecuadamente.
Siga leyendo o escuche nuestro podcast sobre IA:
El objetivo de la validación es aprovechar las buenas prácticas existentes en la industria de manera eficiente y eficaz. Implica demostrar mediante pruebas documentadas que cada sistema informatizado produzca sistemáticamente los resultados esperados. Entre los principales requisitos normativos y directrices que informan la validación en este sector se incluyen las normativas GxP (Buenas Prácticas), EudraLex Volumen 4, Anexo 11 sobre Sistemas Informatizados, la norma 21 CFR Parte 11 de la FDA de EE.UU. sobre Registros Electrónicos y Firmas Electrónicas, y la Guía GAMP de la ISPE: A Risk-Based Approach to Complaint GxP Computerized Systems (GAMP 5). GAMP 5, por ejemplo, ofrece orientaciones prácticas, establece un lenguaje común y promueve un enfoque del ciclo de vida del sistema basado en las buenas prácticas.
En este contexto, un sistema informático, como los sistemas MES o EBR de Accevo, es un conjunto de componentes de software y hardware que juntos cumplen determinadas funcionalidades. El software de aplicación debe estar validado, mientras que la infraestructura informática subyacente debe estar cualificada. Si un sistema informatizado sustituye a una operación manual, no debe disminuir la calidad del producto, el control del proceso o la garantía de calidad, ni aumentar el riesgo global del proceso.
El modelo V en la validación de sistemas
El enfoque general para validar un sistema informatizado como MES o EBR integra las actividades de validación con la implementación del sistema, normalmente siguiendo un Ciclo de vida del sistema. Este ciclo de vida suele incluir fases como Planificación y Especificación, Diseño y Desarrollo, Verificación, Operación y Retirada. El nivel de esfuerzo de validación es proporcional a la complejidad del sistema (categorización) y al riesgo asociado a su uso previsto especificado (criticidad cGxP). El proceso de validación suele representarse mediante una Modelo V.
Las actividades típicas de validación y la documentación asociada incluyen:
- Plan Maestro de Validación (PMV): Documento fundacional que proporciona una visión general de las actividades de validación y cualificación previstas, definiendo el alcance, el marco, las normas del sistema de calidad, las funciones y responsabilidades, el enfoque y los resultados de la validación.
- Plan de Validación (PV): Describe las actividades específicas y los resultados requeridos para implantar y hacer funcionar el sistema, proporcionando una planificación detallada, definiendo las responsabilidades y enumerando la documentación necesaria. Demuestra que las actividades de validación serán sistemáticas y controladas.
- Especificación de Requisitos de Usuario (URS): Documenta las necesidades y requisitos empresariales para los procesos controlados por el sistema. Especifica qué debe hacer el sistema. La URS incluye requisitos generales, requisitos normativos (como los relativos a la integridad de los datos, la pista de auditoría y la seguridad) y requisitos funcionales y de proceso. Debe incluir una lista de los lugares en los que se utilizan registros y firmas electrónicas y que tienen un impacto normativo. Los requisitos son identificables de forma única.
- Análisis de riesgos (AR): Un proceso sistemático, que a menudo utiliza métodos como el AMFE simplificado (Análisis Modal de Fallos y Efectos) basado en las recomendaciones GAMP 5, para evaluar, controlar, comunicar y revisar el riesgo a lo largo del ciclo de vida del sistema. Evalúa la relevancia GxP del sistema, la integridad de los datos y el impacto en los procesos de calidad, incluyendo la definición de acciones correctivas. Las actividades de validación suelen basarse en las conclusiones del análisis de riesgos.
- Especificación funcional (FS) y especificaciones de diseño de software y hardware (DS): El FS describe las funciones y módulos del sistema utilizados para cumplir los requisitos definidos en el URS. El DS documenta cómo se construye un sistema, incluyendo estructura, algoritmos, lógica, formatos de datos y descripciones de interfaz. El DS también incluye especificaciones de configuración y diseño HW/SW. El FS se crea a partir de la URS y cualquier documento de propuesta, y constituye la base de las pruebas de funcionalidad. La cualificación del diseño (DQ) consiste en evaluar la documentación del proyecto para determinar si el sistema se ha diseñado conforme a las normas GMP/GAMP.
- Cualificación de proveedores (SQ): Evalúa si el proveedor puede suministrar un producto o servicio de alta calidad, cumplir los requisitos normativos, disponer de procedimientos de calidad adecuados y gestionar la implantación, el soporte y las actualizaciones.
- Cualificación de la instalación (IQ): Verifica la instalación y configuración documentadas de todos los componentes del sistema, tanto de hardware como de software, de acuerdo con las especificaciones. Incluye la verificación de la instalación y configuración correctas.
- Cualificación operativa (OQ): Confirma que el sistema funciona tal y como se describe en la especificación funcional. La OQ comprueba las funciones más críticas del sistema, especialmente las que gestionan datos críticos, e incluye resultados positivos y negativos de las pruebas. Debe incluir la comprobación de los requisitos normativos en materia de registros y firmas electrónicas. La OQ suele realizarse en un entorno de validación.
- Calificación del rendimiento (PQ): Verifica y documenta que se cumplen los requisitos del usuario. PQ comprueba el proceso global gestionado por el sistema tal y como se define en el URS. Las pruebas PQ suelen realizarse en el entorno de producción utilizando datos reales.
- Matriz de trazabilidad (TM): Asigna todos los requisitos técnicos de la URS a las secciones correspondientes de los documentos de diseño y los procedimientos de prueba (IQ/OQ/PQ). Su objetivo es verificar que el sistema cumple todos los requisitos definidos en la URS. Demuestra la relación entre los requisitos de usuario y las pruebas ejecutadas con éxito.
- Informe resumido de validación (VSR): Documento emitido al final del proceso de validación en el que se resumen todas las actividades y resultados previstos. Analiza los datos recopilados, informa de los resultados de las pruebas (incluidas las no conformidades), confirma que las actividades se han realizado según lo previsto, evalúa los resultados de las pruebas con respecto a los criterios de aceptación y proporciona una declaración clara de que el sistema está verificado y liberado para su uso operativo. La matriz de trazabilidad suele incluirse como anexo.
¿Quién valida?
La validación la llevan a cabo varias funciones, entre ellas el Responsable del proceso (responsable del proceso de la empresa, revisión de los documentos de validación, gestión de cambios), Propietario del sistema (responsable de las cuestiones técnicas, la infraestructura y las fases de aprobación), Unidad de calidad (responsable de cuestiones de calidad, revisión/aprobación de entregas específicas, garantía de cumplimiento), Jefe de proyecto (responsabilidad general de la entrega de la solución, revisión de los entregables), y el Proveedor (proporciona implantación de sistemas, servicios de consultoría, pruebas).
Mantenimiento de la validación a lo largo del ciclo de vida del sistema
La validación no es sólo una actividad puntual en el momento de la implantación. El mantenimiento de la estado validado durante la vida operativa del sistema y a través de su fase de retirada también es crucial. Las actividades en estas fases incluyen el traspaso, la gestión del soporte, la supervisión del rendimiento, la gestión de incidentes, CAPA, la gestión del cambio, la reparación, la revisión periódica, la copia de seguridad y la restauración, la continuidad del negocio, la gestión de la seguridad, la administración del sistema, la migración de datos y la retirada/eliminación del sistema.
En este contexto, un sistema informático es un conjunto de componentes de software y hardware que juntos cumplen determinadas funcionalidades. El software de aplicación debe estar validado, mientras que la infraestructura informática subyacente debe estar cualificada. Si un sistema informatizado sustituye a una operación manual, no debe disminuir la calidad del producto, el control del proceso o la garantía de calidad, ni aumentar el riesgo global del proceso.
El enfoque general para validar un sistema informatizado integra las actividades de validación con la implantación del sistema, siguiendo normalmente un Ciclo de Vida del Sistema. Este ciclo de vida suele incluir fases como la planificación y la especificación, el diseño y el desarrollo, la verificación, el funcionamiento y la retirada. El nivel de esfuerzo de validación es proporcional a la complejidad del sistema (categorización) y al riesgo asociado con su uso previsto especificado (criticidad cGxP). El proceso de validación suele representarse mediante un modelo V.
Las actividades típicas de validación y la documentación asociada incluyen:
- Plan Maestro de Validación (PMV): Documento fundacional que proporciona una visión general de las actividades de validación y cualificación previstas, definiendo el alcance, el marco, las normas del sistema de calidad, las funciones y responsabilidades, el enfoque y los resultados de la validación.
- Plan de Validación (PV): Describe las actividades específicas y los resultados requeridos para implantar y hacer funcionar el sistema, proporcionando una planificación detallada, definiendo las responsabilidades y enumerando la documentación necesaria. Demuestra que las actividades de validación serán sistemáticas y controladas.
- Especificación de Requisitos de Usuario (URS): Documenta las necesidades y requisitos empresariales para los procesos controlados por el sistema. Especifica qué debe hacer el sistema. La URS incluye requisitos generales, requisitos normativos (como los relativos a la integridad de los datos, la pista de auditoría y la seguridad) y requisitos funcionales y de proceso. Debe incluir una lista de los lugares en los que se utilizan registros y firmas electrónicas y que tienen un impacto normativo. Los requisitos son identificables de forma única.
- Análisis de riesgos (AR): Un proceso sistemático, que a menudo utiliza métodos como el AMFE simplificado (Análisis Modal de Fallos y Efectos) basado en las recomendaciones GAMP 5, para evaluar, controlar, comunicar y revisar el riesgo a lo largo del ciclo de vida del sistema. Evalúa la relevancia GxP del sistema, la integridad de los datos y el impacto en los procesos de calidad, incluyendo la definición de acciones correctivas. Las actividades de validación suelen basarse en las conclusiones del análisis de riesgos.
- Especificación funcional (FS) y especificaciones de diseño de software y hardware (DS): El FS describe las funciones y módulos del sistema utilizados para cumplir los requisitos definidos en el URS. El DS documenta cómo se construye un sistema, incluyendo estructura, algoritmos, lógica, formatos de datos y descripciones de interfaz. El DS también incluye especificaciones de configuración y diseño HW/SW. El FS se crea a partir de la URS y cualquier documento de propuesta, y constituye la base de las pruebas de funcionalidad. La cualificación del diseño (DQ) consiste en evaluar la documentación del proyecto para determinar si el sistema se ha diseñado conforme a las normas GMP/GAMP.
- Cualificación de proveedores (SQ): Evalúa si el proveedor puede suministrar un producto o servicio de alta calidad, cumplir los requisitos normativos, disponer de procedimientos de calidad adecuados y gestionar la implantación, el soporte y las actualizaciones.
- Cualificación de la instalación (IQ): Verifica la instalación y configuración documentadas de todos los componentes del sistema, tanto de hardware como de software, de acuerdo con las especificaciones. Incluye la verificación de la instalación y configuración correctas.
- Cualificación operativa (OQ): Confirma que el sistema funciona tal y como se describe en la especificación funcional. La OQ comprueba las funciones más críticas del sistema, especialmente las que gestionan datos críticos, e incluye resultados positivos y negativos de las pruebas. Debe incluir la comprobación de los requisitos normativos en materia de registros y firmas electrónicas. La OQ suele realizarse en un entorno de validación.
- Calificación del rendimiento (PQ): Verifica y documenta que se cumplen los requisitos del usuario. PQ comprueba el proceso global gestionado por el sistema tal y como se define en el URS. Las pruebas PQ suelen realizarse en el entorno de producción utilizando datos reales.
- Matriz de trazabilidad (TM): Asigna todos los requisitos técnicos de la URS a las secciones correspondientes de los documentos de diseño y los procedimientos de prueba (IQ/OQ/PQ). Su objetivo es verificar que el sistema cumple todos los requisitos definidos en la URS. Demuestra la relación entre los requisitos de usuario y las pruebas ejecutadas con éxito.
- Informe resumido de validación (VSR): Documento emitido al final del proceso de validación en el que se resumen todas las actividades y resultados previstos. Analiza los datos recopilados, informa de los resultados de las pruebas (incluidas las no conformidades), confirma que las actividades se han realizado según lo previsto, evalúa los resultados de las pruebas con respecto a los criterios de aceptación y proporciona una declaración clara de que el sistema está verificado y liberado para su uso operativo. La matriz de trazabilidad suele incluirse como anexo.
Lo esencial
La validación corre a cargo de varias personas: el propietario del proceso (responsable del proceso de la empresa, revisión de los documentos de validación, gestión de cambios), el propietario del sistema (responsable de las cuestiones técnicas, infraestructura, aprobación de las fases), la unidad de calidad (responsable de las cuestiones de calidad, revisión/aprobación de entregables específicos, garantía de cumplimiento), el director de proyecto (responsabilidad general de la entrega de la solución, revisión de los entregables) y el proveedor (proporciona la implantación del sistema, servicios de consultoría, pruebas).
La validación no es sólo una actividad puntual en el momento de la implantación. También es crucial mantener el estado validado durante la vida operativa del sistema y en la fase de retirada. Las actividades en estas fases incluyen el traspaso, la gestión del soporte, la supervisión del rendimiento, la gestión de incidentes, CAPA, la gestión de cambios, la reparación, la revisión periódica, la copia de seguridad y la restauración, la continuidad del negocio, la gestión de la seguridad, la administración del sistema, la migración de datos y la retirada/eliminación del sistema.
¡Vale la pena saber! Existe la posibilidad de implementar un sistema informatizado como OEE en la industria farmacéutica sin validación para apoyar el sistema local no crítico, lea más aquí: ¿Cómo implantar un sistema de seguimiento de la OEE sin validación en 3 meses? - Caso práctico.
Compruébelo también:
MES Pharma. Software para la fabricación de productos farmacéuticos.
