Ciclo de vida de sistemas informatizados en el sector farmacéutico
La gestión de los sistemas informatizados se debe entender como parte del sistema de calidad de las empresas, cuya actividad esté regulada por las GxP. Dentro de este contexto regulado debemos asegurar que los sistemas informatizados están funcionando según su uso previsto. El enfoque de ciclo de vida contempla realizar la validación en todas las etapas por las que pasa un sistema informatizado. Establecer este tipo de enfoque facilita y asegura el cumplimiento normativo, así como la adecuación del sistema sobre el proceso que debe gestionar.
El proceso que nos ayuda a entender, controlar y monitorizar los riesgos de la utilización de sistemas informatizados es el proceso de validación.
La validación no es un proyecto finito en el tiempo que equivale a obtener un certificado que acredita que se ha comprobado el sistema con éxito, si no debe ser entendido como parte de la gestión de calidad que controla la concepción del sistema (identificando y detallando los requisitos que se debe de cumplir), pasando por su implantación, desarrollo, verificación y liberación, controlando todo el tiempo de uso y finalizando con su proceso de retirada.
El principal objetivo del presente artículo es clarificar el concepto de ciclo de vida contemplando la casuística y riesgos propios del proceso de fabricación del sector farmacéutico, en concreto la gestión de un sistema informatizado MES.
Sistemas informatizados asociados al proceso de fabricación farmacéutico
Especialidades Sistemas Informatizados
Existen diferentes tipos de sistemas informatizados relacionados con la actividad de fabricación, desde los sistemas que interactúan al más bajo nivel integrándose con las señales de planta a los que permiten analizar de forma agrupada los datos de la organización permitiendo tomar decisiones y realizar predicciones.
Los tipos de sistemas que podemos observar en la gestión de la fabricación son los siguientes:
- Sistemas que permiten la integración con los equipos de planta. Estos sistemas permiten interpretar las señales del equipamiento físico de planta. Por ejemplo: sensores y PLCs.
- Sistemas de control industrial. Permiten gobernar el equipamiento físico de planta y gestionar la intervención de los usuarios en el proceso. Por ejemplo, los sistemas SCADA.
- Sistemas de gestión de las operaciones. Permiten gestionar procesos definidos y regulados, teniendo en cuenta la intervención de los usuarios, automatizando y controlando procesos, integrándose con equipos y generando datos fiables de los procesos. Por ejemplo: sistemas MES (gestión de la fabricación), SGA (gestión del almacén), GMAO (gestión de mantenimiento) o LIMS (gestión de las actividades de control de calidad).
- Sistema de gestión del negocio. Permiten planificar los recursos empresariales teniendo en cuenta las múltiples operaciones de la compañía. Por ejemplo: sistemas ERP o planificadores.
- Sistemas de tratamiento de datos. Permiten la explotación de la información, dándole significado y permitiendo la toma de decisiones en la organización. Por ejemplo: sistemas de business intelligence.
Flujo de proceso e información sistemas MES
Un sistema MES (por sus siglas en inglés, Manufacturing Execution System) o sistema de control de producción es un sistema informatizado diseñado para organizar, controlar y monitorizar procesos de fabricación garantizando la trazabilidad y seguridad de los procesos y la información.
Los sistemas MES disponen de las funcionalidades para interactuar con las señales de planta (de forma electrónica y/o mecánica) y los operarios para gestionar las operaciones de fabricación. Así como optimizan las operaciones, administran datos y controlan el proceso y flujo de información.
El siguiente mapa de procesos representa la gestión habitual de los sistemas MES:
Estrategia
El sistema MES es un claro ejemplo de un sistema de gestión de una actividad regulada por las GxP, por su impacto en la elaboración del producto y su trazabilidad. Por tanto, debe ser gestionado dentro del sistema de garantía de calidad desde su concepción (definición de requisitos de usuario). Su diseño e implantación se debe realizar desde la comprensión profunda del proceso que debe gestionar y con un enfoque basado en riesgos, involucrando al personal clave de la organización en los procesos de calidad, logística, producción y mantenimiento y con el soporte del proveedor tecnológico que lo suministra.
La implantación de un sistema MES se debe planificar y gestionar de manera adecuada, contemplando su implementación como parte de la estrategia de negocio, teniendo en cuenta las siguientes particularidades de la compañía que desea implantarlo:
- Definición de requisitos globales o por instalación en caso de que se disponga de diferentes plantas.
- Identificación del hardware, software e infraestructura informática necesaria.
- Idiomas y zonas geográficas requeridas.
- Requisitos normativos de las diferentes zonas geográficas aplicables.
- Arquitectura del sistema (global o local) y gestión de los datos.
- Gestión del proceso y los procedimientos asociados.
- Enfoque de validación.
- Gestión del soporte del sistema durante su tiempo de uso.
- Proveedores involucrados.
Contando con las personas
Con el fin de contemplar todos los riesgos del proceso de diseño, configuración, verificación y puesta en marcha del sistema, se debe formar un equipo multidisciplinar que lidere el proyecto que cuente con la experiencia y conocimiento en las áreas de IT, calidad, logística, producción e ingeniería y mantenimiento.
Cabe destacar que la implantación de esta clase de sistemas impacta directamente en las operaciones de la compañía (forma de trabajar) y registro de información crítica (trazabilidad). Por tanto, este tipo de cambio puede generar rechazo por parte del personal de la organización, tanto a nivel de, operarios, supervisores o garantía de calidad. En consecuencia es de vital importancia implicar al personal de la organización en todo el proceso, desde la toma y aprobación de los requerimientos del sistema, desarrollo, pruebas, formación, implantación, mantenimiento y retirada.
Ciclo de vida sistema MES
Se entiende como ciclo de vida de un sistema informatizado la gestión completa desde su concepción hasta la finalización de su uso. Una posible división de las etapas que forman el ciclo de vida es la siguiente:
- Planificación
- Requerimientos
- Selección de soluciones informatizadas y su proveedor tecnológico
- Especificaciones funcionales y de diseño
- Configuración y desarrollo
- Implementación y verificaciones
- Migración de datos
- Liberación
- Mantenimiento del estado de control
A continuación analizamos cada una de las etapas.
Planificación
Todas las actividades del proyecto deben estar perfectamente coordinadas, estableciendo los objetivos concretos, responsables, prerrequisitos y metodología de cada actividad, así como la documentación y registros para generar todas las evidencias y métodos de trabajo requeridos.
Los factores a tener en cuenta en la definición de esta estrategia (plan de validación) son los siguientes:
- Definición del alcance de la Validación. No se debe verificar toda la aplicación ni con la misma extensión, se debe realizar una evaluación de riesgos inicial para identificar las áreas o funcionalidades reguladas y la normativa aplicable.
- Identificación de los elementos hardware y software del sistema y clasificación según GAMP5. Aplicable a una o varias instalaciones.
- Evaluación del proveedor. Se establece la criticidad según el producto y/o servicio previsto. La utilización de documentación generada por el proveedor debe seguir un proceso de evaluación donde se tenga en cuenta las actividades y contenido sean adecuados, precisos y completos.
- Se debe definir el enfoque de la validación en caso de que el MES se implante en varias instalaciones. Podría definirse una validación global o por instalación, pueden ser válidas las dos opciones.
- Definición del equipo de validación multidisciplinar.
- Identificación de los entornos de pruebas requeridos. Uno o varios para simular el hardware, software e integraciones. Debe evidenciarse la adecuación del entorno de pruebas como equivalente al entorno productivo.
Requerimientos
Deben definir, de forma clara y precisa, lo que la compañía regulada requiere del sistema. El llamado “uso previsto”. Deben ir asociados al proceso de negocio y ser independientes de la solución a utilizar. Este documento es esencial para el proceso de validación.
La extensión y el detalle de la recopilación y especificación de los requisitos deben ser suficientes para apoyar la evaluación de riesgos, la especificación posterior y el desarrollo de un sistema, así como la verificación.
En el caso del sistema MES es imprescindible comprender el proceso a gestionar y los requisitos normativos aplicables. El MES debe cumplir con el sistema de gestión de calidad de la organización. Los requisitos específicos del proceso del producto y sus parámetros críticos deben abordarse, teniendo en cuenta las especificaciones de la receta, más que desde el diseño del sistema.
Se debe tener en cuenta que la gestión del MES no se compone de un único sistema, es el conjunto de elementos industriales, hardware y software. También debemos definir con un enfoque de procesos (teniendo en cuenta todo el software, hardware y las integraciones), así se tiene en cuenta todos los riesgos.
Se tiene que tener en cuenta, del mismo modo, los requisitos de que el MES esté presente en varias instalaciones. Debe elaborarse un flujo de datos que indique la propiedad de los datos y los requisitos de acceso y transferencia.
Selección de la solución informatizada y su proveedor tecnológico
A partir de la definición de estos requerimientos, se puede asegurar la selección del sistema (teniendo en cuenta que cumpla al máximo posible los requisitos establecidos), la correcta instalación (cumpliendo las especificaciones técnicas e informáticas), la configuración del sistema (para adaptar las funcionalidades a las características de los procesos de la organización), la operación del sistema (con el fin de alcanzar el funcionamiento previsto), la seguridad requerida (a nivel de administración, control de procesos y auditoría del sistema) y cumplimiento de la normativa aplicable.
En el proceso de selección se debe tener en cuenta el sistema de calidad del proveedor tecnológico con el fin de asegurar que su gestión y trazabilidad interna esté alineada con los requisitos normativos de la organización.
Especificaciones funcionales y de diseño
Ya que el sistema MES se compondrá de diferentes elementos hardware, software y de integración es una buena práctica generar un mapa funcional para poder asignar los riesgos a las funciones requeridas y a los distintos sistemas.
De forma habitual las responsabilidades entre sistemas informatizados se plantean de la siguiente manera:
- El ERP es el punto de partida de todos los procesos, centraliza en parte la configuración de los principales datos maestros, estructura y define las actividades, centraliza la información del proceso de forma global y maneja datos económicos.
- El MES dispone de datos concretos y específicos de los equipos, materias y procesos, gestiona la operativa del proceso y flujo de información y registra datos de fabricación en planta.
- Los SCADA y/o PLCs gestionan al más bajo nivel los procesos y señales de la planta.
Es posible generar unas especificaciones globales y otras específicas para el software del MES.
Las especificaciones globales determinan una funcionalidad común, como el intercambio electrónico de datos. Las especificaciones individuales del sistema MES se centran en la gestión, registro y seguridad del proceso.
La documentación de diseño para el MES debe relacionar la aplicación del hardware y el software con la fabricación. Las especificaciones de diseño y configuración detallan cómo se construye y configura el sistema para su uso en cada lugar.
Configuración y Desarrollo
Comprendida la forma en la que se requiere informatizar el proceso (plasmada en los requerimientos) y establecido el sistema informatizado que va a gestionar las operaciones y su registro, se debe determinar la configuración o desarrollo a aplicar al sistema para adaptarlo a los procesos concretos de la compañía para que pueda cumplir con su propósito de la forma que se espera.
La configuración puede consistir en:
- Habilitar o deshabilitar áreas/módulos del sistema.
- Configuración avanzada del sistema.
- Configuración de la integración con otros sistemas
- Integración con elementos de planta o equipos de proceso.
- Configuración de las funcionalidades del sistema.
Es posible que sean requeridos desarrollos a medida para cumplir con requerimientos funcionales o de seguridad específicos que el sistema, de forma estándar, no cumple. La alteración del funcionamiento estándar del software y/o hardware del sistema implica un aumento del riesgo.
La evaluación de los riesgos del sistema desarrollado debe determinar el impacto de forma global en la producción. Así como, la empresa o área responsable de implementar los desarrollos debe contar con unas normas de implementación técnica del desarrollo para, en la medida de lo posible, estandarizar esta actividad y disminuir los riesgos (como dependencia de desarrolladores, ilegibilidad del código o riesgos de trazabilidad).
Implementación
El enfoque de implantación del sistema MES por parte de la empresa integradora afecta directamente a la validación. Preferentemente se debe aprobar un plan general que muestre las actividades y su duración estimada, prerrequisito por actividad, documentación a generar por las partes y responsabilidades (de la organización, equipo implantador y equipo validador).
Se debe determinar las responsabilidades de instalación, configuración, documentación, testeo y mantenimiento del sistema MES. Incluyendo todos los entornos disponibles del sistema.
Se debe tener en cuenta, para sistemas que vayan a ser implementados en varias instalaciones, la arquitectura del sistema y el enfoque de la validación, requisitos para la simulación de casos para el testeo y migración de datos requerida.
Verificación
La verificación confirma que se han cumplido las especificaciones y que los sistemas son adecuados para el uso previsto.
El sistema MES suele componerse de software de categoría 4 (configurado) y hardware de categoría 1 (estándar). Las pruebas deben centrarse en:
- Pruebas de instalación: las pruebas deben verificar y documentar que los componentes del sistema están combinados e instalados de acuerdo con las especificaciones, la documentación del proveedor y los requisitos locales y globales (si aplica).
- Pruebas de configuración: las pruebas deben verificar que el sistema se ha configurado de acuerdo con la especificación correspondiente. Las pruebas pueden adoptar la forma de inspecciones o de comprobación de la documentación del proveedor.
- Pruebas funcionales: funcionalidad que apoya el proceso empresarial específico basado en las evaluaciones de riesgo y del proveedor (este es un ámbito en el que se puede aprovechar la documentación del proveedor).
- Pruebas de requisitos que demuestran la idoneidad para el uso previsto. Esto puede incluir la comprobación de la funcionalidad del sistema con respecto a los requisitos en función del riesgo.
Migración de datos
El proceso de migración de datos entre sistemas informatizados es de vital importancia para mantener la trazabilidad de datos históricos, así como continuar con las tareas de registro de la trazabilidad en un nuevo sistema informatizado.
Informe de liberación
El informe de aceptación y liberación resume el proyecto de validación declarando el personal participante, las actividades realizadas, los resultados obtenidos, la documentación generada, las desviaciones del plan, las acciones de mejora y correctivas, y proporciona una declaración de adecuación del sistema informatizado sobre propósito establecido.
Para dar por liberado el sistema informatizado debe cumplir los siguientes requisitos:
- Todas las actividades identificadas y definidas en la metodología de validación son ejecutadas, se comprueban los criterios de aceptación definidos por cada una de las actividades y que los resultados obtenidos no presenten desviaciones críticas.
- En caso de que se detecte alguna desviación en las verificaciones realizadas, debe realizarse un análisis para identificar la causa raíz de la desviación y establecer su criticidad. En caso de que la desviación se considere crítica deben realizarse las actuaciones oportunas para que la desviación quede subsanada.
Procedimientos de gestión
Con el fin de mantener el entorno validado de forma permanente, es necesario determinar los procedimientos que quedarán implantados en la organización, haciendo predecible su gestión de forma periódica o puntual a realizar ante ciertos eventos.
Dichos procedimientos deben reflejar las actividades a realizar, momento de la ejecución y periodicidad, registro requerido, revisiones programadas, así como determinar los responsables.
Los procedimientos de mantenimiento del estado de control se listan a continuación:
- Control de cambios.
- Gestión de la configuración.
- Seguridad.
- Monitorización.
- Copias de seguridad y restauración del software y datos.
- Conservación, archivo y recuperación de registros.
- Plan de continuidad de negocio.
- Revisiones periódicas. Auditorías.
Conclusiones
- La gestión de los sistemas informatizados se debe entender como parte del sistema de calidad de las empresas cuya actividad esté regulada por las GxP
- El enfoque de ciclo de vida contempla realizar la validación en todas las etapas por las que pasa un sistema informatizado. Establecer este tipo de enfoque facilita y asegura el cumplimiento normativo, así como la adecuación del sistema sobre el proceso que debe gestionar.
- La implantación de un sistema MES se debe planificar y gestionar de manera adecuada, contemplando su implementación como parte de la estrategia de negocio.
- Es de vital importancia implicar al personal de la organización en todo el proceso (tanto a nivel de operarios, responsables o garantía de calidad), desde la toma y aprobación de los requerimientos del sistema, desarrollo, pruebas, formación, implantación, mantenimiento, hasta su retirada.
- Todas las actividades del proyecto deben estar perfectamente coordinadas, estableciendo los objetivos concretos, responsables, prerrequisitos y metodología de cada actividad, así como la documentación y registros para generar todas las evidencias y métodos de trabajo requeridos.
Artículo originalmente publicado en la revista de Pharmatech, en el número 60 de Septiembre-Octubre de 2021.
¿Necesitas asesoramiento personalizado para tu empresa? Contacta con nuestros consultores, sin compromiso, a través de nuestro correo info@oqotech.com o colombia@oqotech.com. Estaremos encantados de poder ayudarte.