Computergestützte Systeme: Grundsätze des Lebenszyklus und Zuweisung von Rollen

• Phase 1: Anstoß und Planung eines Projektes
• Phase 2: Entwicklung und Beschaffung
• Phase 3: Installation, Umsetzung und Genehmigung
• Phase 4: Betrieb, Wartung und Instandhaltung
• Phase 5: Stilllegung und Außerbetriebnahme

Alle Phasen des Life Cycle unterliegen den GMP-Prinzipien und werden im Rahmen des QRM-Prozesses betrachtet.

Die gesamte IT-Infrastruktur und alle Hardware- und Softwarekomponenten sowie die für die GMP-relevanten Prozesse benötigten Anlagen und Geräte müssen qualifiziert werden. Anwendungen und Prozesse werden validiert und über den Lebenszyklus im validierten Zustand gehalten.

Für jedes Computersystem (CS) ist die GMP-Relevanz zu ermitteln; jedes CS wird in einer Inventarliste geführt.

Zur Validierung computergestützter Systeme wird als Referenzmodell das sogenannte V-Modell herangezogen. Mit Hilfe des V-Modells lassen sich die Zusammenhänge zwischen Vorgabedokumenten (Lastenheft (URS), Pflichtenheft (FS), technischen Spezifikationen (Design) und den entsprechenden Systemtests (Integrationstest, Funktionstest etc.) darstellen. Sollte ein anderes Modell Anwendung finden, so ist dieses im Validierungsplan festzulegen. Der Umfang der notwendigen Validierungsmaßnahmen wird in Form einer Risikobetrachtung festgelegt und die zum CS zugehörige Hard- und Software klassifiziert. Bei automatisierten Anlagen in Betrieben werden die notwendigen Tests zum Computersystem normalerweise in der Anlagenqualifizierung mit abgehandelt.

Sämtliche Aktivitäten sowie durchgeführte Maßnahmen erfolgen auf Basis und in Übereinstimmung mit schriftlichen Anweisungen (z. B. SOPs).

Über den gesamten Lebenszyklus ist sicherzustellen, dass alle Projektbeteiligten (Benutzer, interne und externe Betreuer) ausreichend qualifiziert und in regelmäßigen Abständen geschult werden.

Für die Verlagerung zu beauftragten Dienstleistern gelten die Vorgaben der SOP-102 „Lieferantenqualifizierung einschl. Dienstleister – Outsourced Activities“; mit diesen werden Verträge, z. B. sogenannte SLA, Service Level Agreements, geschlossen.

Abbildung 1V-Modell in der Computersystemvalidierung

Zuweisung von Rollen

Für jedes System werden Personen folgende Rollen zugewiesen und die Verantwortlichen benannt:

• Prozesseigner, Process Owner (PO), ist verantwortlich für den gesamten Geschäftsprozess, für welchen das Computersystem eingesetzt wird

Die Rolle des Prozesseigners, Process Owner (PO) wird meist von einem Mitarbeiter mit pharmazeutisch-technischer Fachkenntnis in leitender Funktion ausgefüllt.

Beispiel bei Maas & Peither Pharma GmbH für eine lokal genutzte Tablettenpresse: Leiter der Herstellung

• Verantwortlicher Benutzer, Responsible User (RU), repräsentiert die Benutzer und ist verantwortlich für die standardmäßige Nutzung des CS nach SOP.

Meist nehmen Mitarbeiter mit pharmazeutisch-technischer Fachkenntnis in leitender Funktion die Rolle des Verantwortlichen Benutzers, Responsible User (RU) ein. Die Rolle wird auch Key User genannt.

Beispiel bei Maas & Peither Pharma GmbH für eine lokal genutzte Tablettenpresse: Leiter der Herstellung Solida.

• Systemeigner, System Owner (SO), ist für das von ihm betreute computergestützte System verantwortlich und trägt Sorge dafür, dass das System richtig verwaltet und gewartet wird. Er kann sich zur Durchführung Unterstützung durch Dritte (z. B. Administrator, Dienstleister oder interne Automatisierungsexperten) holen.

Handelt es sich um computergestützte Systeme, die nur von einer Abteilung genutzt werden, sollte die Verantwortung des System Owners nicht an andere Abteilungen vergeben werden. Die Aktivitäten, die im Rahmen von Wartung und Administration anfallen, können jedoch durchaus an Dritte gegeben werden. Speziell für die Benutzerverwaltung ist dies sogar sinnvoll.

Im Falle von bereichsübergreifenden Systemen (z. B. ERP) ist der System Owner häufig bei der IT-Abteilung angesiedelt.

Beispiel bei Maas & Peither Pharma GmbH für eine lokal genutzte Tablettenpresse: Abteilungsleiter Tablettierung.

• Administrator unterstützt den SO und ist für die technische Einrichtung der Systeme, insbesondere für die Benutzeradministration d. h. für die Einrichtung der Systemrechte der einzelnen User zuständig.

Meist handelt es sich um einen Mitarbeiter mit IT-Fachkenntnis. Zur Vermeidung von Interessenskonflikten ist es ratsam, eine personelle und organisatorische Unabhängigkeit von PO und RU zu gewährleisten (beispielsweise jemand aus der IT-Abteilung).

• Lieferant oder Dienstleister, System Supplier (SS) ist derjenige, der das System in Form- von Hard- oder Software liefert und bereitstellt (also programmiert). Er kann auch als Dienstleister Wartungen oder Änderungen übernehmen (muss über eine Bestellung / Service Level Agreement geregelt werden).
• Qualitätssicherung; sie hat beratende, koordinierende und freigebende Aufgaben (siehe auch RACI-Matrix in nachfolgender Tabelle).

Nachfolgend sind die einzelnen Verantwortlichkeiten der Beteiligten in einer RACI-Matrix beispielhaft dargestellt. Es ist möglich, dass diese Verantwortlichkeiten abteilungsspezifisch unterschiedlich festgelegt werden.

Tabelle 1: Beispiel RACI-Matrix zur Festlegung der Verantwortlichkeiten (Responsible, Accountable, Consulted, Informed, Sign-Off); in manchen Fällen beinhaltet „Consulted“ nur eine Prüfung, in anderen eine Genehmigung.

Mit Ausnahme der Qualitätssicherung können mehrere Rollen durch eine Person wahrgenommen werden (z. B. der Leiter der Herstellung übernimmt zugleich die Rolle des Prozesseigners (Process Owner, PO) und des Verantwortlichen Benutzers (RU)).