F&A-Video aus unserem Webinar zu „Part 11/Annex 11“

Willkommen zu einem weiteren F&A-Video aus unserem neuesten Webinar zu 21 CFR Part 11 und Annex 11 und deren Anwendung auf Umgebungsüberwachungssysteme. In diesem Video beantwortet Paul Daniel, unser Senior GxP Regulatory Expert, Fragen (auf Englisch), für die wir während des Webinars keine Zeit mehr hatten. Kontinuierliches Überwachungssystem für Compliance mit Part 11 und Annex 11: Einfacher als gedacht 

Im  Folgenden finden Sie zwei neue Anwendungshinweise zu 21 CFR Part 11 und Annex 11 sowie einen Link zu einem Webinar über Cybersicherheit in GxP-Systemen.

 

Wenn Sie weitere Fragen haben, geben Sie diese einfach im Kommentarbereich unterhalb des Videotranskripts ein.

Antwort:
Im Rahmen dieses Webinars wird die Anforderung an Genauigkeitsüberprüfungen in Annex 11 genau definiert, und zwar wie folgt:

„Bei kritischen Daten, die manuell eingegeben werden, sollte die Genauigkeit der Daten zusätzlich überprüft werden. Diese Überprüfung kann von einem zweiten Benutzenden oder auf validierten elektronischen Wegen durchgeführt werden. Die Kritikalität und die möglichen Folgen fehlerhafter oder falsch eingegebener Daten in einem System sollten durch das Risikomanagement abgedeckt werden.“

In einem Überwachungssystem würde ich argumentieren, dass keine kritischen Daten manuell eingegeben werden.  Da kritische Daten nicht manuell eingegeben werden, gelten Genauigkeitsüberprüfungen gemäß Annex 11 nicht.

Wenn wir nun „Genauigkeitsüberprüfungen“ allgemeiner in Erwägung ziehen, klingt es nach einer vernünftigen Idee, die Genauigkeit von Daten zu überprüfen. Ein  Überwachungssystem wie viewLinc bietet verschiedene Möglichkeiten, Daten automatisch auf ihre Genauigkeit zu überprüfen.  Zunächst werden alle Sensoren kalibriert.  Zweitens werden bei der Übertragung von Daten in das System die Datenpakete auf Vollständigkeit überprüft, um sicherzustellen,  dass sie während der Übermittlung  nicht verändert wurden.  Drittens werden Daten wie Parameter oder Schwellenwerte bei manueller Eingabe in viewLinc in Bezug auf das Format überprüft.  Zum Beispiel muss eine  E-Mail ein @-Zeichen aufweisen und mit einem .com oder .net oder einem anderen gültigen Suffix enden.  Ferner müssen alle Schwellenwerte numerische Daten sein. Das sind zwei Beispiele.  Es handelt sich jedoch nicht unbedingt um kritische Daten,  obwohl sie manuell eingegeben werden. Es ist hinsichtlich Annex 11 kontraintuitiv,  aber  das ist es, was die Richtlinie vorschreibt. Wir könnten  ein komplettes  Webinar über  die Punkte abhalten, die  in Part 11 und Annex 11  fehlen.

 

Der Audit Trail sollte in einem sinnvollen Intervall überprüft werden.  Normalerweise ist dies kein Zeitraum, sondern ein Zeitfenster, das mit einem Überprüfungs- oder Genehmigungsereignis zusammenfällt, das die betreffenden Daten  umfasst.

Beispiel: Wenn ich einen Herstellungsprozessschritt genehmige, der  eine  zu wartende Fertigungsanlage  zwischen 10 und 25 °C erfordert, ist dies ein guter Zeitpunkt, um den Audit Trail zu überprüfen und sicherzustellen, dass niemand die Daten geändert hat.  Wenn ich ein Jahr warte, bevor ich die Daten überprüfe, ist diese Produktcharge längst ausgeliefert, und es bleibt nichts anderes übrig, als mit dem Testen meiner Muster zu beginnen oder vielleicht sogar die Charge  zurückzurufen.

Vielleicht wäre ein LIMS-System, das Daten von einem Chromatographen erfasst, ein besseres Beispiel. Chromatographendaten müssen angepasst und manipuliert werden, um verstanden und ausgewertet zu werden.  Wenn ich Teil einer Qualitätskontrolle  wäre und gerade eine Probe mit einem Chromatographen getestet hätte, sollten die entsprechenden Audit-Trail-Aufzeichnungen gleichzeitig mit dem Chromatographenbericht überprüft werden, damit Genehmiger*innen überprüfen können, ob die richtigen Änderungen vorgenommen wurden.

 
Angesichts der beiden Möglichkeiten in Ihrer Frage,  die   jährlich (was einen Zeitraum beschreibt)  oder bei Chargenfreigabe (ein definiertes Ereignis) ansprechen, würde ich das definierte Ereignis wählen.  Aber welches definierte Ereignis  angemessen ist,  hängt von dem computergestützten System ab, mit dem Sie es zu tun haben.  Ein gut konzipiertes System sollte sicherstellen, dass Datensatzprüfer*innen und -genehmiger*innen problemlos auf den Audit Trail für das definierte Ereignis zugreifen können, das überprüft wird.

 

Das viewLinc-System ist so konzipiert, dass es immer online ist.  Der viewLinc-Server und die darauf ausgeführten viewLinc-Dienste sollten rund um die Uhr ausgeführt werden.
Wenn der viewLinc-Server aus irgendeinem Grund offline ist und wieder online geschaltet wird, treten die folgenden Ereignisse auf:

 

 

Ja.  Beides. Ich denke, 21 CFR  Part 11 richtet sich direkt an die Validierung  eines einzelnen Systems.  Bevor wir jedoch wirklich mit der Validierung einzelner Systeme beginnen können, sollten  wir über einen Validierungsmasterplan verfügen, der die Systeme definiert, die validiert werden müssen. Der Plan enthält  Kritikalität oder Prioritätsreihenfolge, in der Systeme validiert werden.  Wir sollten auch Validierungsverfahren einrichten, die definieren, wie wir  Validierungen in unserer Anlage durchführen. 

 

Der Nebeneffekt davon ist, dass wir  ein einzelnes System ohne Validierungsstrategie für die Anlage nicht wirklich validieren können. Es ist, als würde man eine Wand errichten, indem man jeweils eine Reihe von Ziegeln mauert.  Die Validierung eines Systems  gemäß 21 CFR Part 11 ist wie ein Ziegelstein in der vierten Reihe, der oben auf dem Verfahren, den Richtlinien und den Planungsbausteinen darunter sitzt.  Part 11 konzentriert sich nur auf das System, muss jedoch implizit die gesamte Anlage in gewissem Umfang umfassen.  Dies würde notwendigerweise die zugehörigen Systeme wie Netzwerkinfrastruktur und IT-Sicherungsprozesse einschließen. Annex 11 drückt dies alles direkter aus.  Die Erwartungen hinsichtlich der Validierung sind jedoch sowohl in Part 11 als auch in Annex 11 ähnlich.