CSA y Critical Thinking: El nuevo paradigma en la validación de sistemas.
La nueva guía FDA “Computer Software Assurance (CSA) for Manufacturing, Operations, and Quality System Software” está prevista para finales de 2020 y viene a cambiar lo que durante 20 años hemos conocido como CSV o Computer System Validation.
Necesidad de cambio
El cambio viene motivado por la necesidad de renovar la metodología de validación de sistemas, ante los cambios tecnológicos que se están produciendo a una velocidad probablemente mayor a la esperada.
La introducción de sistemas en cloud, herramientas de inteligencia artificial y niveles de automatización cada vez mayores requieren que validar su funcionamiento vuelva a centrarse en la esencia: el sistema funciona como previsto y los riesgos para la calidad del producto y para la seguridad del paciente son asumibles y están bajo control.
Lo anterior parece obvio, no obstante, y en muchos casos, los ejercicios de validación de sistemas se convierten en la aplicación de unas plantillas de test predefinidas a los diferentes sistemas y generar papel, mucho papel, con un propósito más regulatorio – que la documentación “pase” las auditorías- que de reto real al funcionamiento del sistema.
La propia metodología de validación actual está orientada a describir con detalle cada test de validación, como si lo importante fuera la validación y su documentación en si misma, y no el resultado o garantía de que el sistema funciona correctamente.
CSV y los obstáculos para el avance tecnológico
Algunos puntos en los que la actual metodología CSV supone un obstáculo para el avance tecnológico pueden ser:
- Complejidad y elevados recursos necesarios para validar soluciones de automatización industrial
- Elevados volúmenes de documentación para compliance regulatorio y auditorías
- Esfuerzos de documentación de validación de proveedores no reconocidos/integrados en la documentación del cliente
- Evaluaciones de riesgos complejas y que consumen gran cantidad de recursos y tiempo
- El error humano es el responsable del 80% de las desviaciones
- Problemas posteriores a la puesta en marcha
¿Cuál es la propuesta de la iniciativa CSA de la FDA a estos obstáculos?
- La automatización es bienvenida. Ayuda a reducir errores humanos y finalmente a reducir riesgos para la calidad y el paciente además de aumentar la eficiencia de las operaciones.
- Utilización del CRITICAL THINKING volviendo a la esencia que son los riesgos para el paciente. Simplificación y reducción de documentación.
- La documentación / partes del ciclo de validaciones realizados por el proveedor no deben ser repetidos/reproducidos por el cliente sino que se integran, una vez revisados, y por supuesto una vez se realizan las verificaciones adicionales en las instalaciones del cliente. En CSA la selección de proveedores confiables para que hagan su parte va a ser un factor clave de competitividad.
- La FDA requiere validar SOLO para el uso previsto. Una aplicación SAAS solo se validarán las funcionalidades utilizadas.
- CSA recomienda un proceso de evaluación de riesgos simplificado con dos variables: impacto potencial en la seguridad del paciente / calidad del producto y funcionalidad. Métodos de RA como FMEA no serían los más apropiados.
- Los escenarios de test se simplifican. No es necesaria una descripción detallada del test, el foco de traslada al requisito a cumplir y al resultado con la consiguiente reducción de documentación.
¿Qué viene ahora?
Evidentemente estamos a la expectativa de la publicación de la Guía a finales de 2020.
Ante este importante cambio vale la pena ser proactivo y empezar a desarrollar una estrategia para la transición de CSV a CSA que se centre, mediante el pensamiento crítico, en la garantía de calidad, la seguridad del paciente y del producto, y la integridad de datos.
Una actividad en que ya se puede avanzar es ajustar la metodología de análisis de riesgos al Critical Thinking. Esto será clave para justificar la cantidad y los tipos de pruebas requeridas, así como para aprovechar las pruebas realizadas durante el ciclo de vida del desarrollo de software (SDLC).