LOGFILE Leitartikel 27/2019 – Computergestützte Systeme: Grundsätze des Lebenszyklus und Zuweisung von Rollen

 16.07.2019

Computergestützte Systeme: Grundsätze des Lebenszyklus und Zuweisung von Rollen

Ein Auszug aus der SOP 517 Life Cycle computergestützter Systeme

5 Min. Lesezeit

von Cornelia Wawretschek

Grundsätze

Der Lebenszyklus eines computergestützten Systems (CS) ist in Anlage 3 dieser SOP beschrieben und umfasst:

  • Phase 1: Anstoß und Planung eines Projektes
  • Phase 2: Entwicklung und Beschaffung
  • Phase 3: Installation, Umsetzung und Genehmigung
  • Phase 4: Betrieb, Wartung und Instandhaltung
  • Phase 5: Stilllegung und Außerbetriebnahme

Alle Phasen des Life Cycle unterliegen den GMP-Prinzipien und werden im Rahmen des QRM-Prozesses betrachtet.

Die gesamte IT-Infrastruktur und alle Hardware- und Softwarekomponenten sowie die für die GMP-relevanten Prozesse benötigten Anlagen und Geräte müssen qualifiziert werden. Anwendungen und Prozesse werden validiert und über den Lebenszyklus im validierten Zustand gehalten.

Für jedes Computersystem (CS) ist die GMP-Relevanz zu ermitteln; jedes CS wird in einer Inventarliste geführt.


Zur Validierung computergestützter Systeme wird als Referenzmodell das sogenannte V-Modell herangezogen. Mit Hilfe des V-Modells lassen sich die Zusammenhänge zwischen Vorgabedokumenten (Lastenheft (URS), Pflichtenheft (FS), technischen Spezifikationen (Design) und den entsprechenden Systemtests (Integrationstest, Funktionstest etc.) darstellen. Sollte ein anderes Modell Anwendung finden, so ist dieses im Validierungsplan festzulegen. Der Umfang der notwendigen Validierungsmaßnahmen wird in Form einer Risikobetrachtung festgelegt und die zum CS zugehörige Hard- und Software klassifiziert. Bei automatisierten Anlagen in Betrieben werden die notwendigen Tests zum Computersystem normalerweise in der Anlagenqualifizierung mit abgehandelt.


Sämtliche Aktivitäten sowie durchgeführte Maßnahmen erfolgen auf Basis und in Übereinstimmung mit schriftlichen Anweisungen (z. B. SOPs).

Über den gesamten Lebenszyklus ist sicherzustellen, dass alle Projektbeteiligten (Benutzer, interne und externe Betreuer) ausreichend qualifiziert und in regelmäßigen Abständen geschult werden.

Für die Verlagerung zu beauftragten Dienstleistern gelten die Vorgaben der SOP-102 „Lieferantenqualifizierung einschl. Dienstleister – Outsourced Activities“; mit diesen werden Verträge, z. B. sogenannte SLA, Service Level Agreements, geschlossen.


Abbildung 1V-Modell in der Computersystemvalidierung

Zuweisung von Rollen

Für jedes System werden Personen folgende Rollen zugewiesen und die Verantwortlichen benannt:

  • Prozesseigner, Process Owner (PO), ist verantwortlich für den gesamten Geschäftsprozess, für welchen das Computersystem eingesetzt wird

Die Rolle des Prozesseigners, Process Owner (PO) wird meist von einem Mitarbeiter mit pharmazeutisch-technischer Fachkenntnis in leitender Funktion ausgefüllt.

Beispiel bei Maas & Peither Pharma GmbH für eine lokal genutzte Tablettenpresse: Leiter der Herstellung


  • Verantwortlicher Benutzer, Responsible User (RU), repräsentiert die Benutzer und ist verantwortlich für die standardmäßige Nutzung des CS nach SOP.

Meist nehmen Mitarbeiter mit pharmazeutisch-technischer Fachkenntnis in leitender Funktion die Rolle des Verantwortlichen Benutzers, Responsible User (RU) ein. Die Rolle wird auch Key User genannt.

Beispiel bei Maas & Peither Pharma GmbH für eine lokal genutzte Tablettenpresse: Leiter der Herstellung Solida.


  • Systemeigner, System Owner (SO), ist für das von ihm betreute computergestützte System verantwortlich und trägt Sorge dafür, dass das System richtig verwaltet und gewartet wird. Er kann sich zur Durchführung Unterstützung durch Dritte (z. B. Administrator, Dienstleister oder interne Automatisierungsexperten) holen.

Handelt es sich um computergestützte Systeme, die nur von einer Abteilung genutzt werden, sollte die Verantwortung des System Owners nicht an andere Abteilungen vergeben werden. Die Aktivitäten, die im Rahmen von Wartung und Administration anfallen, können jedoch durchaus an Dritte gegeben werden. Speziell für die Benutzerverwaltung ist dies sogar sinnvoll.

Im Falle von bereichsübergreifenden Systemen (z. B. ERP) ist der System Owner häufig bei der IT-Abteilung angesiedelt.

Beispiel bei Maas & Peither Pharma GmbH für eine lokal genutzte Tablettenpresse: Abteilungsleiter Tablettierung.


  • Administrator unterstützt den SO und ist für die technische Einrichtung der Systeme, insbesondere für die Benutzeradministration d. h. für die Einrichtung der Systemrechte der einzelnen User zuständig.

Meist handelt es sich um einen Mitarbeiter mit IT-Fachkenntnis. Zur Vermeidung von Interessenskonflikten ist es ratsam, eine personelle und organisatorische Unabhängigkeit von PO und RU zu gewährleisten (beispielsweise jemand aus der IT-Abteilung).


  • Lieferant oder Dienstleister, System Supplier (SS) ist derjenige, der das System in Form- von Hard- oder Software liefert und bereitstellt (also programmiert). Er kann auch als Dienstleister Wartungen oder Änderungen übernehmen (muss über eine Bestellung / Service Level Agreement geregelt werden).
  • Qualitätssicherung; sie hat beratende, koordinierende und freigebende Aufgaben (siehe auch RACI-Matrix in nachfolgender Tabelle).

Nachfolgend sind die einzelnen Verantwortlichkeiten der Beteiligten in einer RACI-Matrix beispielhaft dargestellt. Es ist möglich, dass diese Verantwortlichkeiten abteilungsspezifisch unterschiedlich festgelegt werden.

Tabelle 1: Beispiel RACI-Matrix zur Festlegung der Verantwortlichkeiten (Responsible, Accountable, Consulted, Informed, Sign-Off); in manchen Fällen beinhaltet „Consulted“ nur eine Prüfung, in anderen eine Genehmigung.

Mit Ausnahme der Qualitätssicherung können mehrere Rollen durch eine Person wahrgenommen werden (z. B. der Leiter der Herstellung übernimmt zugleich die Rolle des Prozesseigners (Process Owner, PO) und des Verantwortlichen Benutzers (RU)).

LOGFILE Leitartikel 27/2019 – Computergestützte Systeme: Grundsätze des Lebenszyklus und Zuweisung von Rollen

Autorin:

Cornelia Wawretschek
GxP-Beraterin
GxP-Services Cornelia Wawretschek, Berlin
E-Mail: cornelia.wawretschek@gxp-services.de


Dieser Text ist ein Auszug aus der SOP 517 Life Cycle computergestützter Systeme

Kennen Sie den „neuen“ Ansatz des Life-Cycle-Konzepts für computergestützte Systeme? Wie prüfen Sie die GMP-Relevanz Ihrer Computersysteme? Was erwarten Inspektoren zum Thema Computervalidierung? Antworten auf Ihre Fragen erhalten Sie in der Muster-SOP zum Life Cycle computergestützter Systeme (CS).

Mit dieser SOP legen Sie fest,

  • was unter dem Begriff computergestütztes System zu verstehen ist
  • welche Anforderungen an GMP-relevante Computersysteme gestellt werden
  • welche Anforderungen an eigenes Personal, Lieferanten und Dienstleister gestellt werden
  • wer aus fachlicher und aus regulatorischer Sicht verantwortlich ist
  • welche fünf Lebenszyklus-Phasen ein computergestütztes System durchläuft
  • wie diese Anforderungen umgesetzt werden können
  • wie entsprechende Tests aufzusetzen sind, um die Eignung des Systems nachzuweisen
  • wie neues Equipment oder ein Prozess aufgesetzt werden kann
  • wie Übergabe, Normalbetrieb, Wartung und Instandhaltung standardisiert und kontrolliert verlaufen
  • wie im Falle von Änderungen am System vorzugehen ist
  • wann Review und Revalidierung erforderlich werden
  • was für Stilllegung und Außerbetriebnahme zu beachten ist