F&A-Video aus unserem Webinar zu „Part 11/Annex 11“ Life-Science Willkommen zu einem weiteren F&A-Video aus unserem neuesten Webinar zu 21 CFR Part 11 und Annex 11 und deren Anwendung auf Umgebungsüberwachungssysteme. In diesem Video beantwortet Paul Daniel, unser Senior GxP Regulatory Expert, Fragen (auf Englisch), für die wir während des Webinars keine Zeit mehr hatten. Kontinuierliches Überwachungssystem für Compliance mit Part 11 und Annex 11: Einfacher als gedacht Im Folgenden finden Sie zwei neue Anwendungshinweise zu 21 CFR Part 11 und Annex 11 sowie einen Link zu einem Webinar über Cybersicherheit in GxP-Systemen. Wenn Sie weitere Fragen haben, geben Sie diese einfach im Kommentarbereich unterhalb des Videotranskripts ein. Frage: Warum sind in einem Überwachungssystem keine Genauigkeitsüberprüfungen erforderlich? Antwort: Im Rahmen dieses Webinars wird die Anforderung an Genauigkeitsüberprüfungen in Annex 11 genau definiert, und zwar wie folgt: „Bei kritischen Daten, die manuell eingegeben werden, sollte die Genauigkeit der Daten zusätzlich überprüft werden. Diese Überprüfung kann von einem zweiten Benutzenden oder auf validierten elektronischen Wegen durchgeführt werden. Die Kritikalität und die möglichen Folgen fehlerhafter oder falsch eingegebener Daten in einem System sollten durch das Risikomanagement abgedeckt werden.“ In einem Überwachungssystem würde ich argumentieren, dass keine kritischen Daten manuell eingegeben werden. Da kritische Daten nicht manuell eingegeben werden, gelten Genauigkeitsüberprüfungen gemäß Annex 11 nicht. Wenn wir nun „Genauigkeitsüberprüfungen“ allgemeiner in Erwägung ziehen, klingt es nach einer vernünftigen Idee, die Genauigkeit von Daten zu überprüfen. Ein Überwachungssystem wie viewLinc bietet verschiedene Möglichkeiten, Daten automatisch auf ihre Genauigkeit zu überprüfen. Zunächst werden alle Sensoren kalibriert. Zweitens werden bei der Übertragung von Daten in das System die Datenpakete auf Vollständigkeit überprüft, um sicherzustellen, dass sie während der Übermittlung nicht verändert wurden. Drittens werden Daten wie Parameter oder Schwellenwerte bei manueller Eingabe in viewLinc in Bezug auf das Format überprüft. Zum Beispiel muss eine E-Mail ein @-Zeichen aufweisen und mit einem .com oder .net oder einem anderen gültigen Suffix enden. Ferner müssen alle Schwellenwerte numerische Daten sein. Das sind zwei Beispiele. Es handelt sich jedoch nicht unbedingt um kritische Daten, obwohl sie manuell eingegeben werden. Es ist hinsichtlich Annex 11 kontraintuitiv, aber das ist es, was die Richtlinie vorschreibt. Wir könnten ein komplettes Webinar über die Punkte abhalten, die in Part 11 und Annex 11 fehlen. Frage: Audit Trails müssen verfügbar und in eine allgemein verständliche Form konvertierbar sein sowie regelmäßig überprüft werden. Haben Sie Erfahrungen mit dem, was Behörden als „regelmäßig“ betrachten? Beispielsweise jährlich vor Chargenfreigabe? Antwort: Der Audit Trail sollte in einem sinnvollen Intervall überprüft werden. Normalerweise ist dies kein Zeitraum, sondern ein Zeitfenster, das mit einem Überprüfungs- oder Genehmigungsereignis zusammenfällt, das die betreffenden Daten umfasst. Beispiel: Wenn ich einen Herstellungsprozessschritt genehmige, der eine zu wartende Fertigungsanlage zwischen 10 und 25 °C erfordert, ist dies ein guter Zeitpunkt, um den Audit Trail zu überprüfen und sicherzustellen, dass niemand die Daten geändert hat. Wenn ich ein Jahr warte, bevor ich die Daten überprüfe, ist diese Produktcharge längst ausgeliefert, und es bleibt nichts anderes übrig, als mit dem Testen meiner Muster zu beginnen oder vielleicht sogar die Charge zurückzurufen. Vielleicht wäre ein LIMS-System, das Daten von einem Chromatographen erfasst, ein besseres Beispiel. Chromatographendaten müssen angepasst und manipuliert werden, um verstanden und ausgewertet zu werden. Wenn ich Teil einer Qualitätskontrolle wäre und gerade eine Probe mit einem Chromatographen getestet hätte, sollten die entsprechenden Audit-Trail-Aufzeichnungen gleichzeitig mit dem Chromatographenbericht überprüft werden, damit Genehmiger*innen überprüfen können, ob die richtigen Änderungen vorgenommen wurden. Angesichts der beiden Möglichkeiten in Ihrer Frage, die jährlich (was einen Zeitraum beschreibt) oder bei Chargenfreigabe (ein definiertes Ereignis) ansprechen, würde ich das definierte Ereignis wählen. Aber welches definierte Ereignis angemessen ist, hängt von dem computergestützten System ab, mit dem Sie es zu tun haben. Ein gut konzipiertes System sollte sicherstellen, dass Datensatzprüfer*innen und -genehmiger*innen problemlos auf den Audit Trail für das definierte Ereignis zugreifen können, das überprüft wird. Frage: Überwacht viewLinc Daten, wenn das System offline ist, und informiert es Benutzer*innen, wenn es wieder online ist? Antwort: Das viewLinc-System ist so konzipiert, dass es immer online ist. Der viewLinc-Server und die darauf ausgeführten viewLinc-Dienste sollten rund um die Uhr ausgeführt werden. Wenn der viewLinc-Server aus irgendeinem Grund offline ist und wieder online geschaltet wird, treten die folgenden Ereignisse auf: Das Ereignisprotokoll zeichnet die Wiederherstellung des Systems auf. Beim nächsten System-Scan-Ereignis führt das System eine Rückspeicherung aller Daten durch, die von den Datenloggern erfasst, jedoch nicht an viewLinc übertragen wurden, während das System offline war. Frage: Beschränken Sie einen Validierungsprozess nur auf ein System, oder erweitern Sie ihn auf die gesamte Anlage? Antwort: Ja. Beides. Ich denke, 21 CFR Part 11 richtet sich direkt an die Validierung eines einzelnen Systems. Bevor wir jedoch wirklich mit der Validierung einzelner Systeme beginnen können, sollten wir über einen Validierungsmasterplan verfügen, der die Systeme definiert, die validiert werden müssen. Der Plan enthält Kritikalität oder Prioritätsreihenfolge, in der Systeme validiert werden. Wir sollten auch Validierungsverfahren einrichten, die definieren, wie wir Validierungen in unserer Anlage durchführen. Der Nebeneffekt davon ist, dass wir ein einzelnes System ohne Validierungsstrategie für die Anlage nicht wirklich validieren können. Es ist, als würde man eine Wand errichten, indem man jeweils eine Reihe von Ziegeln mauert. Die Validierung eines Systems gemäß 21 CFR Part 11 ist wie ein Ziegelstein in der vierten Reihe, der oben auf dem Verfahren, den Richtlinien und den Planungsbausteinen darunter sitzt. Part 11 konzentriert sich nur auf das System, muss jedoch implizit die gesamte Anlage in gewissem Umfang umfassen. Dies würde notwendigerweise die zugehörigen Systeme wie Netzwerkinfrastruktur und IT-Sicherungsprozesse einschließen. Annex 11 drückt dies alles direkter aus. Die Erwartungen hinsichtlich der Validierung sind jedoch sowohl in Part 11 als auch in Annex 11 ähnlich. 21 CFR Part 11 compliance for environmental monitoring: Software functions Vs. operating procedures808.45 KB Annex 11 Compliance and Environmental Monitoring Systems1.09 MB
21 CFR Part 11 compliance for environmental monitoring: Software functions Vs. operating procedures808.45 KB
Neues Webinar Cybersicherheit in Ihrem GxP-Überwachungssystem Cybersicherheit ist ein zunehmendes Problem in GxP-regulierten Anwendungen, in denen computergestützte Systeme eingesetzt werden. In diesem Webinar besprechen wir, wie im kontinuierlichen Überwachungssystem Vaisala viewLinc (CMS) erweiterte Sicherheitsfunktionen verwendet werden, um die Ausnutzbarkeit des Systems zu verringern. Wir untersuchen gängige Schwachstellen in Bezug auf Software, Netzwerk und Benutzer*innen sowie Bedrohungen für die Datenintegrität. Erfahren Sie, wie Sie sicherstellen, dass Ihre Systeme über Kontrollen und Verfahren verfügen, mit denen Ihre computergestützten Systeme geschützt werden. Lernziele: Sicherheitsmaßnahmen Schwachstellen in Transport Layer Security (TLS) Cyberangriffsarten: Replay, Man-in-the-Middle, SSL, JavaScript, Brute Force usw. IT-Support und Anbieterentwicklung Softwaresicherheitsfunktionen Mehr erfahren und registrieren