Wie ERP-Softwarehersteller die Anwender bei der Validierung unterstützen können
Computer System Validierung (CSV) am Beispiel von ERP-Systemen im Medizintechnikumfeld
Validierung – Sinn und Zweck
Fehlerfreie Software – Als Anwender einer Software erwarten Sie, dass die eingesetzte Software zu jeder Zeit fehlerfrei arbeitet und die gewünschten Anforderungen bestmöglich abdeckt. In der Praxis gestaltet es sich meist schwierig nachzuweisen, dass die Software genau diese Eigenschaften aufweist. Ein solcher Nachweis wird im regulierten Umfeld, wie z.B. der Medizintechnik, durch bestimmte Normen (ISO 9001 bzw. ISO 13485) obligatorisch. Um diesen Nachweis zu erbringen, wird von einer durchzuführenden Computer System Validierung (CSV) gesprochen.
Diese Validierung liefert den Nachweis, dass ein Computersystem die Anforderungen für eine vordefinierte beabsichtige Verwendung erfüllt. Auf ein ERP-System bezogen bedeutet dies: Es wird nachgewiesen, dass die Software das macht, was sie machen soll.
Nicht jede im Unternehmen eingesetzte Software unterliegt dieser Validierungspflicht. Deshalb wird empfohlen, zunächst ein Verzeichnis aller eingesetzten Softwareprodukte anzulegen und für jede Software folgende Sachverhalte zu klären:
Beeinflusst die Software (oder einzelne Bereiche davon) die Qualität meiner Dienstleistungen oder Produkte?
Können im Extremfall durch Software-Fehlfunktionen Personen zu Schaden kommen?
Diese Fragen sollen anhand folgenden Beispiels beantwortet werden: Einsatz eines ERP-Systems in einem Medizintechnikunternehmen
Mit dem Einsatz einer ERP-Software werden Warenwirtschafts-, Logistik- und Finanzbuchhaltungsfunktionen sowie Funktionen im Bereich der Produktion oder Qualitätssicherung abgebildet und unterstützt. Die Notwendigkeit, bestimmte Teilbereiche der Software zu validieren, kann durch zwei einfache Anwendungsfälle verdeutlicht werden:
- Wird ein Angebot fehlerhaft ausgedruckt, kann das einen wirtschaftlichen Schaden verursachen. Die Qualität der hergestellten Produkte wird dadurch jedoch nicht beeinflusst und die Patientensicherheit wird nicht gefährdet. Somit ist diese Funktionalität als unkritisch einzustufen.
- Eine mittlerweile typische, nahezu branchenübergreifend essenzielle Funktion, ist die Rückverfolgung von Chargen- bzw. Seriennummern über die komplette Lieferkette hinweg. Sollte beispielsweise aufgrund falsch gehärteter Rohware ein Instrument gebrochen und dadurch ein Patient bei einer Operation verletzt worden sein, kann dies eine Rückrufaktion auslösen. Das ERP-System muss hierbei in der Lage sein, alle mit dieser Rohwarencharge hergestellten Produkte oder bereits erfolgte Lieferungen an Kunden zu ermitteln. Man spricht in diesem Fall von einer kritischen Funktion, für die eine Validierung erforderlich ist.
Wenn eine Software keinerlei kritische Funktionalität aufweist, muss diese nicht validiert werden. Das betrifft typischerweise Lohn- und Finanzbuchhaltungs- oder die reine Anwesenheitszeiterfassungssoftware.
Generell lässt sich sagen, dass ein in der Medizintechnikbranche eingesetztes ERP-System der Validierungspflicht unterliegt. Oft erwarten Anwender, dass der Softwarehersteller diese Validierung in Form eines Zertifikates bescheinigt und kein Aufwand für den Anwender entsteht. Dies ist in der Regel bei individualisierbarer Software nicht möglich, da der Einsatz anwenderspezifisch erfolgt. Das geschieht, indem z. B. Report-, Masken- oder Parameteranpassungen bis hin zu anwenderspezifischen Programmierungen vorgenommen wurden. Ferner ist die Umgebung, in der die Software eingesetzt wird, sehr individuell (Serverhardware, Server-Betriebssystemversionen, Festplattenlaufwerke, Cloud, Clientbetriebssysteme, eingesetzte Drucker, eingesetzte Datensicherung, verwendete Firewalls und Virenscanner uvm.). Die Validierung muss aus diesen Gründen in der Umgebung des Anwenders stattfinden. Dabei kann der Softwarehersteller mit gewissen Tools dazu beitragen, die Erst- und Revalidierung zu vereinfachen. Eine Revalidierung ist dann notwendig, wenn ein Update installiert werden soll, welches potenziell die kritischen Prozesse beeinträchtigen kann.
Um dem Anwender die Validierung zu erleichtern, sollten Softwarehersteller notwendige Informationen offenlegen. Dazu zählt der detaillierte Funktionsumfang der Software sowie Informationen zu Änderungen der Funktionalitäten durch ein Update. So wissen Sie stets, welche konkreten Funktionen von einem Update berührt werden und können dadurch gezielt revalidieren bzw. eine Komplettvalidierung vermeiden.
Unterstützung bei der Validierung durch den Softwarehersteller
1. Bereitstellung eines Funktionskataloges
Nur wenn der Anwender die Funktionalitäten seiner Software kennt, kann sichergestellt werden, dass kritische Funktionen identifiziert werden. Idealerweise liefert der Hersteller einen elektronischen Funktionskatalog mit eindeutigen Funktionskatalognummern.
2. Aufstellung der installierten Funktionen
Der Anwender muss darüber informiert sein, welche der Funktionen auf seinem System installiert sind und bei ihm genutzt werden können. Funktionskatalognummern zu nicht installierten Modulen sind für Anwender nicht relevant. Auch ungenutzte Funktionen müssen nicht validiert werden.
3. Auswertung der genutzten Funktionalitäten
Idealerweise werden ungenutzte Funktionen im System gesperrt oder ausgeblendet. Um den Anwender zu unterstützen, nicht genutzte Funktionalitäten zu identifizieren, können Protokolldateien und passende Auswertungen helfen.
Zu beachten ist, dass sowohl die installierten Funktionen als auch die genutzten Funktionen einem ständigen Wandel unterzogen sind und deshalb immer wieder überprüft werden müssen.
4. Bestimmung der Kritikalität von Funktionen
Der Hersteller kann, basierend auf Erfahrungswerten, eine unverbindliche Vor-Einstufung aller Funktionen hinsichtlich der Kritikalität vornehmen. Wird zum Beispiel eine Chargenrückverfolgung vom ERP-System angeboten, ist diese zumeist als „kritisch“ einzustufen. Arbeitet hingegen ein Anwender ohne Lagerverwaltung und damit auch ohne Chargenrückverfolgung, wird der Anwender diese Funktion als „unkritisch“ bzw. „nicht benutzt“ einstufen.
5. Bereitstellung von Change-Logs
Softwarehersteller sollten Änderungsprotokolle bereitstellen, damit transparent nachvollziehbar ist, welche Änderungen von Version X zu Version Y vorgenommen wurden. Dadurch kann ein Anwender herausfinden, ob diese Änderungen kritische Funktionalitäten betreffen (Revalidierung erforderlich) oder nicht (keine Revalidierung erforderlich). Idealerweise liegen die Change-Logs nicht als Fließtext, sondern auch elektronisch vor und referenzieren auf die Funktionskatalognummern (siehe Punkt 1).
6. Bereitstellung von Muster-Test-Protokollen
Häufig wird die Entwicklung eines Funktionstests zur Herausforderung für den Anwender, da die Anforderungen an Funktionen oft nicht eindeutig sind. In einem Testprotokoll werden umfangreiche Informationen dokumentiert. Dazu gehören üblicherweise
– die Vorbereitung des Tests
– die Durchführung des Tests
– die Akzeptanzkriterien des Tests
– die testdurchführenden Personen
– das Datum der Testdurchführung
– sowie das Testergebnis.
Ein Softwarehersteller kann die Anwender unterstützen, indem er für die wichtigsten kritischen Funktionen Muster-Testprotokolle bereitstellt.
7. Bereitstellung eines Muster-Validierungshandbuches
Damit die Validierung eine bei Auditoren anerkannte Form hat, kann der Softwarehersteller einige Dokumente bereitstellen, die der Anwender nach Bedarf anpassen kann. Nützliche Musterdokumente sind etwa:
– Validierungs-Masterplan
– User Requirements
– Risikoanalyse
– Design Qualification
– Installation Qualification
– Operational Qualification
– Performance Qualification.
Problematik der Revalidierung
Stellt der Softwarehersteller dem Anwender die oben erwähnten Tools zur Verfügung, wird der Revalidierungsaufwand vor der Installation eines Updates stark minimiert. Der Anwender kann in kurzer Zeit herausfinden, ob bei einem Update kritische Funktionen betroffen sind und welche Tests in einer Testumgebung durchzuführen sind, bevor das Update in der Live-Umgebung installiert wird. Wenn alle Tests durchgeführt und bestanden sind, kann das Update zur Installation freigegeben werden. Im Idealfall wurden durch ein Update keinerlei kritischen Funktionen geändert und eine Revalidierung kann entfallen.
Nach Erfahrungen des Autors werden in der Praxis durch viele Softwarehersteller nur unzureichend Tools bereitgestellt. Dadurch sind Anwender zumeist nicht in der Lage, eine effiziente Revalidierung durchzuführen. Das führt dazu, dass nach erfolgreicher Erstvalidierung oft über mehrere Jahre hinweg keine Updates installiert werden und Anwender mit einem veralteten Softwarestand arbeiten, welche teilweise zu gravierenden Sicherheitslücken führen kann. Daraus resultiert oft eine zeit- und kostenaufwendige Revalidierung.
Fazit
Aus Kostengründen keine Software-Updates zu installieren, schadet langfristig der IT-Infrastruktur des Unternehmens. Relevante Sicherheitsfeatures sowie Anpassungen an regulatorische Anforderungen durch Updates können essenziell für den Anwender sein. Hersteller können maßgeblich dazu beitragen, den (Re-)Validierungsprozess für Anwender zu erleichtern, indem erforderliche Dokumente und idealerweise softwarebasierte Tools zur Verfügung gestellt werden.
Mit der Branchenlösung Majesty steht ein Modul mit allen diesen Tools zur Verfügung. Informieren Sie sich jetzt unter Majesty Validierung.
Autor
Uwe Bader
majesty GmbH