ANALYTISK KEMI Kvalitetssikring af laboratoriernes edb-teknik

Transkript

1 ANALYTISK KEMI Kvalitetssikring af laboratoriernes edb-teknik Edb-funktionernes omfang og betydning for laboratoriernes resultater har medført, at der må stilles særlige krav til kvalitetssikring af denne del af laboratoriernes tekniske kompetence. Men hvordan gøres det bedst muligt? Af cand.scient. Henrik Berg, Taika ApS og systemkonsulent Bahman Kolahi, PC System Teknik A/S Intet moderne laboratorium kan fungere uden brug af den edb-teknik, der i dag er integreret i alle laboratoriers arbejdsområder. Edb anvendes til styring af instrumenter, dataopsamling, beregninger, kontrol, uddannelse, administration, rapportering og arkivering. Det er mere end 25 år siden, at de første mikroprocessorer blev brugt i laboratorieinstrumenter. Chips, pc er og andet computergrej, der bruges sammen med laboratoriets instrumenter, er generelt blevet betragtet på linje med andre elektroniske og mekaniske komponenter. Disse edb-funktioner er i hovedsagen blevet kvalitetssikret indirekte ved test og vurderinger i sammenhæng med instrumenternes samlede funktion. Analyseinstrumenter afprøves, valideres og kontrolleres løbende ved vurderinger af resultaterne, og er disse gode nok, vurderes det, at instrumenterne og de hertil knyttede edb-funktioner er i orden. Krav til edb-teknik Fordi edb benyttes til stadig flere af laboratoriernes arbejdsopgaver, som f.eks. opsamling, lagring af data, transmission af resultater til klienter og arkivering, er der opstået behov for særlige procedurer for kvalitetssikring af edb-funktionerne. Det har fundet udtryk i de standarder, der bruges til kvalitetsstyring af laboratorierne og i rekommandationer og vejledninger fra internationale organer og nationale myndigheder, der i sidste ende skal godkende laboratoriernes resultater. Både i GLP-reglerne og ISO-standarderne (17025 og 15189) er der særlige afsnit om edb i laboratorierne, og DANAK (dansk akkreditering) har udarbejdet dokumentet RL 10, der giver detaljerede retningslinjer for brug af computere til teknisk prøvning. Laboratorier, der ønsker akkreditering ved DANAK, skal opfylde alle krav i RL 10. Udviklingen i kravene til kvalitetssikring af laboratoriernes edb-funktioner er international, og her har især USA s myndigheder ved FDA haft betydning. FDA har udarbejdet regelsættet CFR 21 part 11, der stiller krav til medicinalindustrien, ved brug af edb i arbejdet med afprøvning, produktion og godkendelse af medicinalprodukter. Populært sagt er det regler, der skal sikre, at der ikke fuskes ved anvendelse af elektronisk dokumentation frem for pen og papir. Det er også de amerikanske krav, der har dannet skole for de danske regler. Hermed er laboratorierne stillet over for en række problemer, de endnu ikke har megen erfaring med. Løsninger Der er dog hjælp at hente. Nordtest, det gamle nordiske samarbejdsorgan for udarbejdelse af fællesnordiske prøvningsstandarder, har udarbejdet en teknisk rapport, hvor alle aspekter af arbejde gennemgås. Der er præcise forslag til løsning af problemerne, og et eksempel på hvordan en rapport over arbejdet kan udarbejdes. Nordtests rapport kan især anbefales til de laboratorier, der er akkrediterede ved DANAK. En række konsulentfirmaer har løsninger, der er afprøvet med tilfredsstillende resultater og med myndighedernes godkendelse i henhold til GMP-reglerne. Langt hen ad vejen følger kravene i RL 10 (og øvrige regelsæt) de generelle krav, der findes i standarderne. Det vanskelige i opgaven med kvalitetssikring af edb ligger i at identificere de problemer, der er særlige for edb-funktionerne. I det følgende beskrives, hvordan dette arbejde kan gennemføres, så løsningerne tilgodeser laboratoriernes egne behov for sikker anvendelse af edb og DANAK s krav til laboratorierne ved akkreditering. Principperne kan dog bruges af alle laboratorier, der er certificerede, akkrediterede eller fungerer under GMP-krav. Nøgleordet i arbejdet med kvalitetssikring af laboratoriernes edb-funktioner er validering. I RL 10 afsnit 5.4 skriver DANAK: Ethvert system, udstyr og metode skal verificeres og valideres i sin sammenhæng i laboratoriet. Der skal overordnet foretages en dokumenteret bevisførelse, der giver en høj grad af sikkerhed for, at en specifik proces fører til et konsistent resultat, som er i overensstemmelse med de forudbestemte specifikationer og kvalitetsegenskaber. De beskrevne principper og metoder, for hvordan et valideringsprojekt skal udføres, svarer til beskrivelserne i guiden GAMP 4, der er udarbejdet af ISPE. Planlægning af valideringsprocessen I alle laboratorier er et antal edb-systemer, fra de metodespecifikke til de helt standardiserede systemer som tekstbehandling og regneark. Der er ikke krav til særskilt validering af standardiserede systemer som f.eks. Word og Excel, men man skal dog være opmærksom på, at hvis de bruges i forbindelse med specielle systemer, kan kravene til validering udstrækkes til også at omfatte standardsystemerne. Indledningsvis skal man derfor identificere de systemer, der er kritiske for laboratoriets arbejdsprocesser. Derefter skal man vurdere på hvilket niveau, man vil tilrettelægge valideringsprocessen. Det gøres ved at gennemgå interne krav til funktion og sikkerhed og eksterne (myndigheders) krav til systemet. dansk kemi, 85, nr. 9,

2 21 dansk kemi, 85, nr. 9, 2004

3 ANALYTISK KEMI Retrospektiv validering Systemer, der er i drift, skal også valideres, selv om man erfaringsmæssigt er tilfreds med disses funktion. Det sker dog efter en forenklet metodik, der betegnes som retrospektiv validering. Retrospektiv validering beskrives i RL10 afsnit som følger: Laboratoriet skal verificere og validere sine eksisterende systemer (såkaldt»retrospektiv«validering). Interessenters behov og krav om pålidelige resultater skal vurderes inden store og bekostelige valideringer initieres. Man bør huske på, at meget af»bevisførelsen«kan ligge i den omstændighed, at et system har genereret pålidelige resultater igennem et længere stykke tid. DANAK s krav Alle krav til ledelsesfunktionerne i ISO skal være opfyldt for laboratoriets edb-funktioner. Laboratoriet skal have en edb-politik, men den kan være udformet inden for rammerne af den overordnede kvalitetspolitik. Der skal være en klar beskrivelse af ledelse og ansvar for edb, og almindeligvis udpeges en person med ansvar for edb-funktionerne. Hvis der er flere om dette arbejde, skal ansvarsfordelingen mellem disse være beskrevet. Der skal være procedurer, der beskriver ansvarsfordeling og arbejdsmetoder for alle laboratoriets kritiske edb-systemer. Det skal desuden sikres, at personalet er uddannet til at betjene det udstyr, de benytter i deres arbejde på laboratoriet, og at uddannelsen er godkendt og registreret (jobbeskrivelser) af de ansvarlige for systemet. Personalets brugerrettigheder skal sikres på de niveauer medarbejderen kan benytte og betjene systemet, udstyret og metoden, f.eks. som bruger, superbruger, udvikler og administrator. For alle edb-funktioner er der en række forhold af edbteknisk art, der skal være taget forholdsregler for i form af passende regler og procedurer. Fra RL 10 skal her nævnes: Sikkerhedspolitik Oprette logs for edb-systemets nøglefunktioner Beredskab ved nedbrud Back-up Læsbarhed af back-up også efter systemets udfasning Begrænset adgang til netværk Firewall Virusbeskyttelse Transmission af data på»sikker«linje Risikovurdering og konsekvensanalyse Sikkerhed Konsekvenser af fravalg og tilvalg Livscyklus Indbrud på laboratoriet: Kan man se, at noget mangler eller er kopieret Anvendelse af log ved brug af edb-netværk Daglig gennemgang af log for brug af edb-netværk Videreførelse af data ved udskiftning af system Afvikling og skrotning af edb Det er meget vigtigt at sikre laboratoriets edb-systemer mod indtrængning (hackere) og tekniske sammenbrud. Laboratoriet skal have passende tekniske foranstaltninger (firewalls), og det skal kunne dokumenteres, at adgangen til det samlede edb-system er under kontrol, såvel fysisk adgangskontrol som tilgang til installationer og netværk. Laboratoriet skal have passende systemer til backup af alle elektronisk lagrede data samt et beredskab ved nedbrud. Det skal dokumenteres ved regelmæssig afprøvning, at backupsystemet fungerer (restore). Edb-udstyr skal anskaffes og anvendes efter retningslinjer, der kan være de samme, som gælder for andet teknisk udstyr, når disse opfylder kravene i ISO Det må dog anbefales, at der føres særlige lister over edb-udstyr (hardware og software), og at afprøvning og godkendelse er samlet hos de/ den medarbejder, der har ansvaret for laboratoriets edbudstyr. Laboratoriet skal have diagrammer og beskrivelser, der viser opbygningen af laboratoriets interne edb-netværk. Hvis laboratoriets netværk er integreret i et større netværk, skal det være beskrevet, hvem der har ansvar for laboratoriets anvendelse af dette. Laboratoriet bør udforme retningslinjer for personalets anvendelse af Klinisk Laboratoriums IT-udstyr til private og personlige formål. Valideringsdokumenter Ved en valideringsproces skrives en række dokumenter, der beskriver, hvordan laboratoriet imødekommer de krav til ledelse og teknik, som det ved sin edb-politik har valgt at følge. Desuden afhænger det af, hvilke typer af systemer det drejer sig om, om det er nyindkøbt eller systemer, der allerede er i brug på laboratoriet, og i sidstnævnte tilfælde, hvad der foreligger af dokumentation for systemet. Nedenstående beskrives nogle af de dokumenter, der er nødvendige ved en retrospektiv validering, der vil være en hyppigt forekommende opgave for akkrediterede laboratorier. Risikoanalyse (RA) I RL 10 afsnit 3.9 står: En risikoanalyse er en analyse, der klarlægger, hvilken indflydelse en potentiel fejl i et system vil have for systemets interessenter. Risikoanalysen indebærer, at forskellige risici/ potentielle fejl (og sandsynligheden for deres optræden) gennemgås, og påvirkningen vurderes. Ved risikoanalysen sammenfattes og vurderes de påvirkninger potentielle fejl i edb-systemer kan give laboratoriet og dets klienter. Krav- og systemtestspecifikationer (URS User Requirement Specification) I RL 10 Bilag 4. afsnit 3.1 står: Grundlaget for validering af software er krav- og systemtestspecifikationer, som beskriver de krav, der skal være opfyldt, f.eks. krav til funktion, betjening, dokumentation og systemtest. Der vil altid kunne udarbejdes en kravspecifikation. Ved»retrospektiv«validering, hvor man ikke skal igennem en udviklingsfase, vil man kunne udarbejde en kravspecifikation, der beskriver, hvordan programmet rent faktisk fungerer. Der udarbejdes en URS, der beskriver alle systemets funktioner. Dette dokument udgør basis for den videre validering. Alle test, der siden foretages, vil referere til URS-dokumentet. Valideringsplan (VP) I RL 10 bilag 2 står: Valideringsplanen er et sammenfattende dokument - udarbejdet af laboratoriet, der definerer aktiviteterne, fremgangsmåden og ansvaret for at etablere en passende virkemåde for systemet. I valideringsplanen beskrives valideringen af hvert enkelt system trin for trin. dansk kemi, 85, nr. 9,

4 ANALYTISK KEMI Installations/funktions-test (IQ & OQ Installation and Operation Qualification) I RL 10 bilag 4 afsnit 3.3 står: Før software kan testes, skal der udarbejdes en testplan. Testplanen bygger på krav- og systemtestspecifikationer og skal helst udarbejdes af andre personer end dem, der har udviklet programmet. Test som led i»retrospektiv«validering af programmer, hvor koden ikke er kendt, adskiller sig således ikke fra test af nyudviklet software. IQ og OQ protokollen kan i de fleste tilfælde sammenfattes i et enkelt dokument, hvor alle test beskrives trin for trin. Alle test refererer til URS-dokumentet. Hver test vil indeholde tre trin: 1) Beskrivelse af testen og reference til URS-dokumentet. 2) Acceptkriterier for alle test, med anvisninger for hvornår testresultaterne kan anses for godkendte. 3) De faktiske resultater af de udførte test, uanset godkendelse eller underkendelse. Hvis testresultaterne ikke kan godkendes udarbejdes en afvigerapport. Her beskrives hvorfor testresultaterne ikke kunne godkendes, og hvilke foranstaltninger der skal gøres for afhjælpning af de konstaterede mangler. Valideringsrapporten I RL 10 Bilag 2 punkt 9 står: Valideringsrapporten er en sammenfattende rapport, der udarbejdes af laboratoriet. Rapporten sammenfatter resultaterne af det udførte arbejde og den udarbejdede dokumentation samt de udførte test i henhold til valideringsplanen. Rapporten godtgør, at laboratoriet har ført»passende«bevis for det nye systems virkemåde. Dette dokument sammenfatter alle valideringsaktiviteter og indeholder konklusionen på, om de validerede edb-systemer er blevet godkendt til anvendelse i laboratoriet, og om de opfylder de krav, DANAK stiller til akkrediterede laboratorier. Nyt om... en ulykke med knaldgas Et klassisk demonstrationsforsøg består i at fylde en ballon med en blanding af dihydrogen (brint) og dioxygen (ilt). Blandingen er lettere end atmosfærisk luft, og ballonen vil derfor stige til vejrs. Demonstrator har med tape fastgjort et julelys til en pind. Med denne anordning kan der sættes ild i ballonen med knaldgas. Der lyder et skarpt knald. I luften ser man den brændende ballon. Det er oplevelser, som mange kan lide. Der er også dem, der mener, at man ved at demonstrere sådanne forsøg kan få flere unge mennesker til at studere kemi. G. Garrett har berettet om en forfærdelig ulykke ved udførelsen af dette forsøg. Demonstrator havde forberedt sig ved at fylde adskillige balloner med knaldgas. Demonstrator fik meget smertelige brandsår og permanent nedsat hørelse. Bos G. Garrett 2003: Hydrogen-Oxygen Balloon Hazards. Journal of Chemical Education 80: 743 Konklusion Validering af laboratoriernes edb-funktioner er en forudsætning for akkreditering og myndighedsgodkendelse af laboratoriets kvalitetsstyring. Validering af edb-funktionerne kan gennemføres efter faste planer, og det anbefales, at der anvendes planer, der er konkrete erfaringer med. Arbejdet bør styres stramt, og det må sikres, at det udføres med reference til laboratoriets samlede kvalitetssikringsaktiviteter, så man undgår dobbeltarbejde og sikrer, at alle procedurer for kvalitetssikring er overensstemmende. -adresse: Henrik Berg: taika@taika.dk Kilder: DS/EN ISO Generelle krav til prøvnings- og kalibreringslaboratoriers kompetence. DS/EN ISO Medicinske Laboratorier Særlige krav til kvalitet og kompetence. DANAK Retningslinie RL 10 Anvendelse af edb i akkrediterede laboratorier Food & Drug Agency US; CFR 21 part 11 Gamp Guide 4 Nordtest Teknisk Rapport nr. 535 Method for Software Validation Specialister i - Automatiseret Fastfaseoprensning Gilson ASPEC XL, ASPEC XLi, ASPEC XL4. - Automatisering af væskehåndtering. - HPLC, LC, SFC kromatografi. - ERWEKA Dissolution systemer. - Avancerede systemer til tabletkontrol. - Salg og kalibrering af Gilson pipetter. Biolab A/S Sindalsvej 29 DK-8240 Risskov Telefon Telefax biolab@biolab.dk 23 dansk kemi, 85, nr. 9, 2004

5