Evaluación de riesgo del software A continuación se realiza una evaluación del software del equipo; de acuerdo a su categoría de software e impacto en la calidad y/o integridad de datos GxP, con la finalidad de determinar el rigor de las pruebas de la calificación. Las variables que fueron evaluadas para realizar el análisis de riesgo fueron:
Severidad Alta: El software cuenta con funciones para crear, actualizar o procesar datos; y/o con funciones que o controlan actividades de transporte / transformación y/o mantenimiento de las características del producto / proceso; tienen impacto directo en la integridad de datos y/o en la eficiencia, integridad o pureza del producto (por ejemplo software que interviene en procesos de: esterilización/despirogenización/sanitización/limpieza; preparación, filtración, envase o tableteado de producto; generación/almacenamiento/distribución de servicios críticos; termoformado/sellado/cerrado/taponado de envase primario; ). o Media: El software cuenta con funciones usadas para crear, actualizar o procesar datos; y/o con funciones que controlan actividades de transporte / transformación y/o mantenimiento de las características del producto / proceso; tienen impacto en la trazabilidad t razabilidad de datos, periodo d e retención (cuarentena) / liberación de producto, procesos más largos, atrasos en producción etc (por ejemplo software que interviene en procesos de: verificación de peso de producto; empaque en contenedor secundario/terciario u otro; identificación de producto terminado; ). Baja: El software cuenta con funciones usadas para crear, actualizar o procesar datos; y/o con funciones que o controlan actividades de transporte / transformación y /o mantenimiento de las características del producto / proceso y no tienen impacto en los datos y/o calidad del producto. Probabilidad de falla (con base a la categoría de software) Alta: categoría 5 Custom; software diseñado y programado con base a las necesidades del proceso de la o empresa (ejemplos de este tipo de software son; desarrollos internos y externos de aplicaciones para el control de procesos, lógica de programación en escalera custom, firmware custom, o macros en hojas de cálculo). Media: categoría 4 Configurable; software que puede ser configurado por el usuario para cubrir necesidades o específicas del proceso en la empresa, donde el código de programación no es alterado (ejemplos de este tipo de software son; LIMS (sistema de administración de información información de laboratorio), SCADA, ERP, BMS, DCS (sistema de control distribuido), HMI, hojas de cálculo, o sistemas de adquisición de datos). o Baja: categoría 3 No configurable; software que puede requerir la entrada y almacenamiento de parámetros de arranque, pero que no puede ser configurado para cubrir las necesidades específicas del proceso de la empresa (ejemplos de este tipo de software son; aplicaciones basadas en firmware, OTS Out-the-Shelf, o instrumentos).
El rigor de la calificación es una combinación de las variables evaluadas y está determinado de acuerdo a la siguiente tabla: Probabilidad de falla (con base a la categoría de software) Severidad
Alta Categoría 5
Media Categoría 4
Baja Categoría 3
Alta
Intensivo
Intensivo
Normal
Media
Intensivo
Normal
Mínimo
Baja
Normal
Mínimo
Mínimo
De acuerdo al rigor de la calificación se han determinado; las directrices a seguir para llevar a cabo la ejecución de las pruebas de calificación y mitigar el riesgo de falla del soft ware, dichas directrices son:
Intensivo: Actividades de prueba en condiciones normales de operación y con retos (donde sea apropiado), detalle alto en evidencias requeridas (por ejemplo fotografías de componentes mecánicos/hardware críticos; captura de pantallas en secuencia de operación, reportes, seguridad, valores límite y/o frontera, además de prueba exhaustiva de alarmas). Normal: Actividades de prueba en condiciones normales de operación, detalle normal en evidencias requeridas (por ejemplo fotografías de componentes mayores; captura de pantallas en secuencia de operación y prueba de alarmas). Mínimo: Actividades de prueba mínimas, detalle de evidencia mínimo (por ejemplo fotografía de placa de identificación del equipo; sí aplica captura de pantalla en secuencia de operación).
De acuerdo a la “ISPE, GAMP5 Good Automated Manufacturing Practice 5: Guide a Risk -Based Approach to Compliant GxP Computerized Systems” el sistema de control del equipo es considerado dentro de la categoría # de software, y los componentes físicos del equipo son considerados dentro de la categoría # de hardware. La severidad de las funciones del software es considera como Alta/Media/Baja debido a que … Por lo anterior el rigor de la calificación fue determinado como Intensivo/Normal/Minímo.
