En este artículo, analizamos las categorías de hardware y software para sistemas informatizados según las GAMP 5

GAMP 5

La versión 5 de la guía GAMP (Good Automated Manufacturing Practice) -publicada por el ISPE International Society for Pharmaceutical Engineering- introduce como uno de los principales cambios la clasificación del software.

Analizamos los cambios en GAMP 5 respecto a las categorías de hardware y software para sistemas informatizados.

Categorías de software y hardware de las GAMP

Las categorías GAMP se introdujeron originalmente para proporcionar una evaluación inicial en cuanto a los requisitos / entregables de validación.

En GAMP 4 había cinco categorías de software. Estas han sido revisados en GAMP 5 a cuatro categorías:

  • Categoría 1: software de infraestructura que incluye sistemas operativos, administradores de bases de datos, etc.
  • Categoría 3: software no configurable, software comercial disponible, instrumentos / software de laboratorio.
  • Categoría 4: software configurado que incluye, LIMS, SCADA, DCS, CDS, etc.
  • Categoría 5: software a medida.

En la siguiente tabla, puedes ver una comparativa de las categorías de software en GAMP 4 y GAMP 5:

GAMP 4 Categorías de SoftwareGAMP 5 Categorías de Software
Categoría 1: Sistemas Operativos.

• Sólo sistemas operativos.

Categoría 1: Software de Infraestructura.

Amplio alcance para cubrir:

  • Software en capas establecido o disponible comercialmente, incluidos sistemas operativos, bases de datos, aplicaciones de oficina, etc.
  • Herramientas de software de infraestructura que incluyen antivirus, herramientas de administración de red, etc.
Categoría 2: Firmware.

  • Firmware configurable y no configurable.
  • El firmware personalizado es de categoría 5.
Categoría 2: Firmware.

  • Eliminado: el firmware ahora se trata como categoría 3, 4 ó 5.
Categoría 3: Paquetes de software estándar.

  • Paquetes de software estándar disponibles comercialmente.
  • Configuración limitada al establecimiento del entorno de ejecución.
Categoría 3: Productos no configurados.

  • Productos listos para usar que no pueden modificarse para cumplir con los procesos de negocio.
  • También puede incluir productos que son configurables, pero sólo se utiliza la configuración predeterminada.
Categoría 4: Paquetes de software configurables.

  • Los paquetes de software configurables proporcionan interfaces y funciones estándar que permiten la configuración de negocio o procesos de fabricación específicos del usuario.
Categoría 4: Productos configurados.

  • Los productos configurados proporcionan interfaces y funciones estándar que permiten la configuración de la aplicación para cumplir con los procesos de negocio específicos del usuario.
  • La configuración con un lenguaje de escritura proporcionado por el proveedor debe manejarse como componentes personalizados (categoría 5).
Categoría 5: Software personalizado (a medida).

  • Estos sistemas están desarrollados para satisfacer las necesidades específicas de la empresa usuaria.
Categoría 5: Aplicaciones Personalizadas.

  • Estas aplicaciones se desarrollan para satisfacer las necesidades específicas de la empresa regulada.
  • Implícitamente incluye marcadores de aplicaciones internas, personalizaciones de lenguaje LIMS, macros de hojas de cálculo.
  • Alto riesgo inherente con este tipo de software.

¿Por qué clasificar software?

Si nos fijamos en la tabla de arriba, hay una evaluación de riesgos integrada. El software con menor riesgo y más ampliamente disponible está en la categoría 1 (sistemas operativos, bases de datos, software de oficina y otro software ampliamente disponible). Este es un software ampliamente disponible que puede ser utilizado por cualquier persona y en cualquier industria. A medida que avanzamos hacia abajo en las categorías, como se muestra en la tabla, generalmente el software se especializa más en su función (desde una aplicación de oficina general hasta un software que puede controlar un espectrómetro para adquirir y procesar datos y luego informar los resultados). A medida que avanzamos en la lista, aumenta la capacidad de los usuarios para cambiar el funcionamiento del software y procesar los resultados hasta que alcancemos la categoría 5. En la categoría 5 es una solución única que está concebida, especificada, escrita, probada y mantenida por los usuarios o la organización, aquí está el mayor riesgo.

Clasificación del software y su impacto en el laboratorio

Categoría 1

La Categoría 1 ha sufrido un cambio y expansión radical de los sistemas operativos simples, que habían sido constantes en las versiones 1 a 4 de GAMP, al software de infraestructura. Esta categoría se divide en dos subcategorías:

  • Software en capas establecido o disponible comercialmente y
  • Herramientas de software de infraestructura.

La intención es que el software de infraestructura en esta categoría proporcione el entorno informático para ejecutar aplicaciones reguladas y no reguladas dentro de una organización. Todo el software en esta categoría debe estar controlado y calificado en una organización para que el departamento de TI no aplique estándares duales, lo que puede cuestionar el estado de las aplicaciones validadas si no se realiza.

El software en la subcategoría de software en capas establecido o disponible comercialmente se ha ampliado abarcando:

  • bases de datos,
  • lenguajes de programación,
  • middleware,
  • software de oficina,
  • herramientas de programación estadística y paquetes de hojas de cálculo.

Hay que tener en cuenta que muchas de estas herramientas de software son los productos básicos para las aplicaciones utilizadas en el laboratorio o son la capa base bajo las que operan las aplicaciones de laboratorio. La categoría 1 también incluye software de oficina como aplicaciones de procesamiento de textos, hojas de cálculo, bases de datos y presentaciones. De forma que, antes de apresurarse a pensar que no es necesario validar las hojas de Excel hay que saber que la guía indica que las “aplicaciones desarrolladas con estos paquetes” están excluidas de la categoría 1 y que pueden ser de categoría 3, 4 o 5. respectivamente, dependiendo de su complejidad.

La segunda subcategoría es la de herramientas de software de infraestructura que comprenden una amplia variedad de software, como:

  • software de monitoreo de red,
  • anti-virus,
  • backup,
  • soporte,
  • herramientas de gestión de configuración de TI y otro software de red.

Esto le brinda al grupo de TI las herramientas para establecer, proteger, monitorear y administrar su entorno de computación y redes, y el lugar donde almacena sus datos de laboratorio y registros electrónicos. Sin embargo, se debe tener cuidado con las aplicaciones en esta subcategoría, ya que el uso de la aplicación podría cambiar drásticamente la categoría a la que está asignada. Si no hay datos regulatorios en estas herramientas, entonces son de categoría 1, pero si son las únicas herramientas para la gestión de problemas o los procesos de control de cambios para las aplicaciones reguladas, esto cambia la categoría y el grupo de validación avanza hacia las siguientes categorías.

Desde las perspectivas de laboratorio, auditoría e inspección, lo que se requiere es el control de las aplicaciones que conforman el grupo 1. Algunos de los controles típicos serán

  • identificación del software (nombre, versión y proveedor),
  • dónde está instalado, incluida la ruta al servidor: servidor virtual,
  • configuración para operar en su entorno,
  • demostración de que el software ha sido instalado correctamente, y
  • una simple demostración de que el software funciona.

Todo debe hacerse independientemente de donde se origine el software: software de código abierto o comercial. Además, el control de cambios y la gestión de la configuración son elementos esenciales del control tanto en la categoría 1 como en las demás categorías de software. Así que calificamos estos elementos de software, no los validamos. En cambio, validamos el software en las categorías 3, 4 y 5.

Categoría 2

La categoría 2 de GAMP 4 ha sido eliminada. Esta categoría estaba relacionada con el firmware. El motivo es, que el firmware puede variar de software simple a personalizado por lo que puede incluirse en las otras categorías según su naturaleza.

En su forma original, el firmware era un conjunto de instrucciones de funcionamiento para un instrumento integrado en un chip de memoria de solo lectura (ROM) o utilizado para iniciar programas más complicados en un instrumento o dispositivo.

Con el tiempo, los chips de firmware se han vuelto más grandes para permitir la entrada de más instrucciones y la ROM se puede reemplazar con una ROM flash. Entonces, en lugar de un simple conjunto de instrucciones, ahora los usuarios pueden cambiar la forma en que funciona el instrumento.

Por lo tanto, la razón para la interrupción en GAMP 5 es que el software que se encuentra en el firmware se puede clasificar en las categorías de software restantes. Al hacerlo, debería eliminar el impacto de los programas definidos por el usuario que son posibles con el tipo más complejo de sistemas de firmware.

Categoría 3

La Categoría 3 en GAMP 5 ha sido renombrada de Software estándar a Producto no configurado para agudizar la diferencia entre este software y el de categoría 4.

En esta categoría se incluye software que se utiliza como instalado y puede también incluir el software que es configurable (categoría 4) pero que se utiliza sin configurar o con los valores predeterminados estándar proporcionados por el proveedor del software.

A pesar del nombre de la categoría (Productos no configurados), el software de categoría 3 también está configurado, pero para el entorno configuración en tiempo de ejecución (esto distingue la categoría 3 del software de la categoría 4). Es decir:

  • Al instalar una aplicación de categoría 3, el software es capaz de operar y automatizar el proceso de negocios sin ninguna modificación.
  • La configuración para el entorno de ejecución es sólo la definición de los elementos en el software para permitir que el sistema funcione dentro del entorno instalado. Algunos parámetros típicos de configuración del tiempo de ejecución son la definición de usuarios y tipos de usuarios para personas autorizadas, la entrada del departamento o el nombre de la empresa en los encabezados de informes, la selección de unidades para presentar o informar datos, la ubicación de almacenamiento de datos predeterminada (ya sea un directorio local o de red) , y la impresora por defecto.

Categoría 4

El nombre de esta categoría ha cambiado para ayudar a refinar y redefinir las categorías de software; La guía ha pasado de definir el software como “paquete” en GAMP versión 4 a “producto” en GAMP versión 5.

La principal diferencia entre el software de categoría 3 y 4, es la capacidad de modificar la función del software para que coincida con un proceso empresarial. El usuario tiene los medios y el conocimiento para cambiar la funcionalidad del dispositivo de una manera que cambia los resultados generados por el dispositivo. Como consecuencia directa, esto desencadena un mayor esfuerzo de validación.

Y comprender la delgada línea que parece separar “configurar” (categoría 4) de “customizar/personalizar” (categoría 5) es clave para administrar el software y el riesgo de validación.

Categoría 5

No ha cambiado mucho en GAMP 5 a partir de esto, aparte del cambio de nombre de software personalizado a aplicación personalizada. Este es el software de mayor riesgo, ya que puede ser único y no estar sujeto a los mismos rigores de especificación y prueba que los productos comerciales, ya que podría realizarse internamente o subcontratarse a una empresa de software comercial.

Esta categoría de software incluye implícitamente macros escritas, por ejemplo, dentro de una aplicación de espectrómetro para producir un atajo para procesar o manipular datos; Estas macros son softwares personalizados y no una aplicación en sí. Cada macro debe validarse y controlarse para garantizar que haga lo que se supone que debe hacer. Además, tenemos en esta categoría de software los programas definidos por el usuario escritos en instrumentos de categoría 2; de nuevo cada uno será validado.

Por lo tanto, cada aplicación, módulo, programa definido por el usuario o macro debe especificarse, controlarse la versión, construirse y probarse (incluidas las pruebas de integración con la aplicación comercial, según corresponda) como mínimo para garantizar la calidad del software. Además, los módulos de código personalizados deberán tener su código fuente administrado y respaldado para evitar la sobrescritura o la pérdida, respectivamente.

En Oqotech, trabajamos día a día en validación y eficiencia de procesos acompañando a nuestros clientes desde la informatización hasta la validación de sistemas informatizados, el mantenimiento del entorno validado y la formación GxP al equipo interno.

Contacta con nuestro equipo de consultores expertos.



Guía práctica para la informatización de procesos de negocio

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies

Pin It on Pinterest

Share This