Bei unserem letzten Webinar „GxP-Datenintegrität: Was Sie nicht wissen, kann zur Nichtkonformität führen“ hatten wir über 480 Anmeldungen. Aufgrund des großen Interesses an Datenintegrität für GxP-Überwachungsanwendungen erhielten wir sowohl während des Webinars als auch danach viele Fragen. Vaisala leitender Experte für GxP-Regulierung, Paul Daniel, war damit beschäftigt, jede Frage per E-Mail zu beantworten, und nun freuen wir uns, diese Fragen und Antworten in Blog-Form mit Ihnen zu teilen. 

In seinem Blog konzentrieren wir uns auf die Fragen zum Thema: Wie plant man regelmäßige Überprüfungen von Audit-Trails des Überwachungssystems.  Gerne können Sie die Antworten weiter unten kommentieren. 

Frage: Welches ist die empfohlene Zeitplanung für die regelmäßige Überprüfung [von Audit-Trails] in computergestützten Systemen?

Antwort:
Die Zeitpunkte für die regelmäßige Überprüfung hängen von der Art des Systems ab.  Nach unserer Erfahrung mit Kunden, die das kontinuierliche Überwachungssystem viewLinc verwenden, führen viele eine Audit-Trail-Überprüfung gleichzeitig mit der normalen Datenüberprüfung durch.  Bei einem Fertigungssystem würde dies also für jede Charge überprüft werden.  Bei einem Überwachungssystem, das in einem Lagerhaus verwendet wird, kann dies wöchentlich oder monatlich sein.  

Idealerweise verfügt ein Computersystem über eine Möglichkeit, den Prüfpfad zu filtern, sodass Sie den Umfang der Überprüfung auf die Daten für die relevanten Sensoren und über den gewünschten Zeitraum begrenzen können.  Ohne diese Möglichkeiten, nach Sensoren und Zeiträumen zu filtern, erfordert die Prüfung mehr Zeit.  Eine zeitraubende Aufgabe wird oft aufgeschoben. Wenn dann Fehler gefunden werden, erfordert es viel mehr Aufwand, die Auswirkungen zu bewerten.  Audit-Trail-Überprüfungen sind ein normaler Bestandteil jeder Datenüberprüfung in einem computergestützten System.  Wenn es einen Bericht gibt, sollten Sie den Prüfpfad auf alle für diesen Bericht relevanten Daten überprüfen.

Frage: Was ist, wenn der Sensor neu kalibriert wurde und festgestellt wurde, dass er außerhalb der Toleranz liegt? Müssen wir das gesamte Material verwerfen, oder gibt es eine andere Lösung? 

Antwort: 
Meistens gibt es einen anderen Ausweg. Folgendes Szenario tritt ein: Der Sensor wird beim Kalibrierlabor eingeschickt, und die vorgefundenen Werte liegen außerhalb der Toleranz.  Dies bedeutet nicht das Ende der Welt.  Natürlich müssen Sie eine Untersuchung einleiten, aber das Ergebnis einer Untersuchung könnte auch sein, dass alles in Ordnung ist.  Hier sind einige grundlegende Schritte: 

1.    Lassen Sie den Sensorhersteller den Sensor untersuchen und herausfinden, warum er außerhalb der Toleranz lag.  Wenn der Sensor schlichtweg defekt ist, haben wir möglicherweise ein Problem.  Der Hersteller kann Ihnen jedoch möglicherweise einige Informationen darüber geben, warum der Sensor außerhalb der Toleranz liegt und vor allem, in welche Richtung und um welche Beträge die Daten durch die Abweichung verändert wurden.  

Nehmen wir zum Beispiel an, dass der Temperatursensor außerhalb der Toleranz (±0,5 °C) liegt und 2 °C zu niedrig anzeigt. Der Hersteller könnte nun nachweisen, dass dies auf eine physische Beschädigung des Sensors zurückzuführen ist, aufgrund welcher das Messergebnis die ganze Zeit zu niedrig war.  Zumindest können wir nun unsere historischen Daten analysieren, um zu sehen, ob sie noch in der Toleranz wären, wenn wir die tatsächlichen Daten um 2 °C anpassen.  Wenn wir sicher sind, dass der Sensorfehler nur in einer Richtung aufgetreten ist und unsere angepassten Daten den Spezifikationen entsprechen, gibt es kein Problem. 

2.    Auf Reservesensoren prüfen. Zum Beispiel gab es eventuell einen nicht kalibrierten HLK-Sensor im zu messenden Umfeld, den Sie als Referenzstandard gegenprüfen und vergleichen können. Jener Sensor kann für eine Backup-Messung verwendet werden.  Wenn die Daten eindeutig gut sind, könnte dies ein Lösungsweg sein.  

3.    Analysieren Sie die Temperaturdaten des ausgefallenen Sensors und prüfen Sie, ob es ein auffälliges Ereignis oder einen erkennbaren Zeitpunkt gab, an dem sich der Messwert plötzlich geändert hat.  Dies könnte ein mögliches Ausfalldatum liefern. Mit diesem bekannten Datum können Sie möglicherweise die Menge des zu verwerfenden Materials reduzieren.  

4.    Führen Sie Qualitätstests am Material durch und prüfen Sie, ob es bekannte Qualitätsmerkmale erfüllt, obwohl es für unbestimmte Zeit bei falschen Temperaturen gelagert wurde. 

All diese Schritte brauchen natürlich Zeit, aber sie können bei einer Untersuchung Optionen eröffnen.  Falls Ihre Untersuchung ergibt, dass Sie die Schäden am Material nicht beseitigen können und es verwerfen müssen, kennen Sie jetzt zumindest ein potenzielles Risiko und können zukünftige Maßnahmen einleiten oder planen, um das erneute Auftreten des Problems zu vermeiden.  Wir haben viele Kunden, die grundsätzlich redundante Backups anfertigen und/oder häufiger kalibrieren, um sich gegen diese Möglichkeit abzusichern. 

Frage: Haben Sie eine Audit-Trail-Überprüfung nach jeder Charge vorgeschlagen? Wir produzieren drei Chargen täglich! Dafür bräuchten wir einen zusätzlichen Mitarbeiter …

Antwort: 
Entschuldigung, ich hätte deutlicher sein sollen: Ein Audit-Trail muss regelmäßig überprüft werden.  Das ist eine Forderung, die im Reglement steht. Beispielsweise heißt es in Anhang 11 des EU-GMP-Leitfadens: 9 Audit Trails:  „Auf der Grundlage einer Risikobewertung sollte in Erwägung gezogen werden, die Erstellung von Aufzeichnungen aller GMP-relevanten Änderungen und Löschungen in das System einzubauen (ein vom System generierter „Audit-Trail“). Bei Änderung oder Löschung von GMP-relevanten Daten ist der Grund zu dokumentieren. Audit Trails müssen verfügbar und in eine allgemein verständliche Form umwandelbar sein und regelmäßig überprüft werden.“  

Die Fragen lauten dann: 
•    Wann führen wir diese Überprüfung durch?
•    Wie erkennen wir ein Problem? 
•    Welche Maßnahmen ergreifen wir, wenn wir ein Problem finden? 

Aus Prozesssicht ist es sinnvoll, eine Audit-Trail-Überprüfung gleichzeitig mit einer Datenüberprüfung durchzuführen.  Handelt es sich bei dem überwachten Bereich um eine Lagerhalle oder einen Lagerbereich, in dem die Daten wöchentlich überprüft werden, dann ist eine Audit-Trail-Überprüfung zu diesem Zeitpunkt sinnvoll. Wenn es sich bei dem überwachten Bereich um eine Produktionsanlage handelt, müssten wir prüfen, wann und wo die Überwachungsdaten für jede Charge überprüft werden.  

Nach meiner Erfahrung werden Überwachungsdaten oft als Schritt während der Herstellung überprüft. Dies geschieht, um zu überprüfen, ob die Überwachungsdaten während der Verarbeitung der Charge innerhalb der Spezifikation lagen.  Daher erfolgt eine Datenüberprüfung auf ganz natürliche Weise.  Es ist sinnvoll, eine Prüfung des Audit Trails als Teil der normalen Datenprüfung einzubeziehen.  

Beim viewLinc Continuous Monitoring System ist dies relativ einfach.  Filtern Sie einfach den Audit-Trail nach dem Zeitraum und den am Prozess beteiligten Sensoren und suchen Sie nach unerwarteten Änderungen.  Das wahrscheinlichste Ergebnis ist, dass in den wenigen Stunden der Herstellung der Charge keine Änderungen erfolgten, die sich auf die Art und Weise auswirken, wie die Datenlogger Daten sammeln oder wie die Alarme funktionieren.  Dies kann etwas mehr Zeit in Anspruch nehmen, aber die Alternative bestünde darin, nur den Audit-Trail regelmäßig zu überprüfen.  

Angenommen, wir überprüfen den Audit-Trail für die Produktionsanlage einmal im Monat.  Wenn es ein Problem gibt, falls zum Beispiel jemand die Abtastrate eines Datenloggers vor 21 Tagen geändert hat, gibt es jetzt ein möglicherweise großes Problem: 20 Tage Herstellung von drei Chargen pro Tag, und wir müssen untersuchen, ob die Änderungen am Datenlogger eine oder mehrere dieser 60 Chargen betraf.  

Der Schlüssel liegt darin, Ihre Audit-Trail-Überprüfungen zu einer kleinen inkrementellen Aufgabe und nicht zu einer großen regelmäßigen Aufgabe zu machen. Die Audit-Trail-Überprüfung, die sich nur auf die Sensoren und den Zeitraum konzentriert, die an einem bestimmten Prozess beteiligt sind, wird weniger Zeit in Anspruch nehmen, insbesondere dann, wenn die Überprüfung einfach nach den betreffenden Sensoren und dem betreffenden Zeitraum durchsucht und gefiltert werden kann.