A origem do conceito Computer Software Assurance – CSA ou Garantia de Software Computadorizado
Em 2011 a agência reguladora americana FDA (Food and Drugs Administration) lançou o programa Case for Quality com o objetivo de identificar as práticas adotadas por fabricantes de equipamentos médicos para atender as leis e regulamentos publicados pela agência. O intuito do programa era ajudar outras empresas reguladas a elevarem o nível de qualidade e identificar oportunidades de melhoria na atuação da agência.
Como resultado desse programa foram divulgadas diversas oportunidades baseadas inclusive em boas práticas adotadas por indústrias de outros setores. Por exemplo, no caso de validação de sistemas computadorizados (VSC) foi identificada a possibilidade da utilização de um sistema formal de desenvolvimento, incluindo casos de garantia de operação segura em caso de falha do software, conceito já utilizado pelo setor aeroespacial.
A evolução da Validação de Sistemas Computadorizados (VSC)
O FDA identificou que a necessidade de validar sistemas computadorizados (VSC) desestimula empresas de menor porte a realizarem investimentos na atualização ou substituição de sistemas e essa falta de investimentos na melhoria de sistemas reflete no pouco aproveitamento da tecnologia como forma de melhorar a qualidade. Desde então o FDA tem se posicionado de forma a promover o uso de tecnologia combinada a análise crítica da validação.
O novo conceito de Garantia do Sistema Computadorizado (Computer Software Assurance – CSA), representa uma evolução da validação de sistemas computadorizados (VSC), colocando a análise crítica no centro do processo.
A abordagem de Garantia do Sistema Computadorizado (Computer Software Assurance – CSA) se concentra em sistemas de impacto direto e não em sistemas indiretos. A mudança permite que os fabricantes concentrem o rigor dos testes em áreas que afetam diretamente a segurança do usuário e a qualidade do produto como:
• Software com impacto direto: é um sistema que afeta diretamente a qualidade do produto ou a segurança do usuário que por exemplo inspeciona e descarta um produto. Esses sistemas exigirão testes com base no risco e os resultados esperados são proporcionais ao risco, o que exige maior quantidade de testes e documentação.
• Software com impacto indireto: é um sistema que não afeta diretamente a qualidade do produto ou a segurança do usuário, entretanto tem impacto no sistema de qualidade como por exemplo um software de controle de documentos ou de gerenciamento de reclamações. O mesmo rigor não é necessário para a garantia desses tipos de sistemas, portanto menos documentos são necessários.
Tabela 1: Comparação de abordagem CSV x CSA
Benefícios da Garantia de Sistema Computadorizado (Computer Software Assurance – CSA):
• Validação focada nos sistemas com risco à segurança do usuário e qualidade do produto
• Maior participação dos stakeholders garantindo a qualidade já na etapa conceitual
• Aproveitamento de testes já executados pelo fornecedor ou na fase de projeto
• Utilização de ferramentas ágeis na gestão da validação de sistemas
• Redução nos tempos de criação, revisão e aprovação de teste
• Redução nos tempos de execução dos testes
• Redução no número de documentos gerados
• Melhor uso da qualificação do fornecedor
• Uso maximizado dos recursos do projeto
• Incentivo à automação
Lembre-se sempre:
• Se não está documentado, não aconteceu.
• A rastreabilidade é fundamental em todas as etapas.
• O fornecedor é o principal parceiro do regulado por isso é fundamental basear a escolha de um fornecedor por meio de uma auditoria robusta, ou todo o trabalho posterior a escolha pode não ser sustentável no longo prazo.
Teste com roteiro (scripted) e sem roteiro (unscripted): qual é a diferença?
Tradicionalmente, cada roteiro de teste é escrito com grande detalhamento, independentemente de o sistema ter impacto direto ou indireto. Portanto, o mesmo nível de esforço está sendo colocado na criação de documentação de teste para sistemas de baixo risco e sistemas de alto risco.
• Teste com roteiro (scripted): Os testes com roteiro geralmente contêm, no mínimo, um objetivo de teste para o roteiro de teste, um procedimento de teste passo a passo, resultados esperados e aprovação ou reprovação.
O teste com roteiro deve ser usado para testar sistemas ou itens classificados com prioridade de risco média ou alta, pois o risco avaliado tem impacto direto na qualidade do produto, segurança do usuário ou integridade dos dados.
• Teste sem roteiro (unscripted): é o teste realizado sem o uso de roteiro de teste detalhados. O teste sem roteiro deve ser usado para testar sistemas (com impacto indireto), pois o software não afeta diretamente o produto ou a segurança do paciente, mas afeta o sistema da qualidade.
Detalhes e disposições sobre quaisquer falhas ou desvios durante a execução de testes com e sem roteiro ainda precisarão ser registrados para garantir que sejam documentados desde a descoberta até a implementação da ação corretiva.
Evolução de VSC para CSA
• Mudança de uma cultura de conformidade para cultura de qualidade e melhoria continua.
• Fortalecimento das relações com fornecedores de software e auditorias de fornecedores.
• Considere o uso de ferramentas para automatizar as atividades de validação (exemplos, possíveis utilizações de softwares para revisão automática de audit trail e de execução de testes)
• Análise crítica de todo processo e operações realizados pelo sistema computadorizado.
• Conhecimento profundo do uso pretendido de seu sistema computadorizado.
• Atualização das políticas atuais com a abordagem CSA.
CSA não se trata de uma nova legislação, é um conceito que se baseia no entendimento dos processos e planejamento dos recursos. Entendendo seu negócio, processos, utilização de recursos, lacunas e áreas que precisam de melhorias, você pode se concentrar no que é mais importante: qualidade do produto, segurança do usuário e integridade dos dados.
O FDA está se preparando para lançar o guia “Computer Software Assurance for Manufacturing and Quality System Software” este ano e a BPx Consultoria está pronta para ajuda-los a encontrar o caminho da excelência operacional. E-mail contato@bpxconsultoria.com.br