GAMP5 einfach erklärt

Der Fokus von GMP, Good Manufacturing Practice, liegt auf den Aspekten der Produktion und Qualitätssicherung.

GAMP 5 hingegen legt den Fokus darauf, computergestützte Systeme zu validieren und zu managen. Das „A“ in „GAMP 5“ steht für „automated“.

GAMP 5 spielt eine grundlegende Rolle dabei, die Zuverlässigkeit und Integrität automatisierter Systeme in der Produktion der Pharmaindustrie sicherzustellen. Dafür stellt GAMP 5 einen strukturierten Rahmen für die Validierung und Wartung solcher Lösungen zur Verfügung und hilft, regulatorischen Anforderungen gerecht zu werden sowie die betrieblichen Abläufe zu optimieren.

Risikobasierter Ansatz

Der risikobasierte Ansatz erkennt an, dass nicht jedes System im gleichen Maß riskant ist, um den Einsatz der Validierung nach GAMP 5 auf die kritischen Bereiche fokussieren zu können.

Dokumentation und Qualitätssicherung

Das Prinzip der Dokumentation und Aufzeichnung fordert, dass alle Aspekte automatisierter Systeme gründlich dokumentiert werden. Es stellt so sicher, dass erforderliche Nachweise gegenüber Behörden jederzeit erbracht werden können.

Änderungskontrolle

GAMP 5 stellt die Fokussierung auf effektive Verfahren zur Änderungskontrolle in den Mittelpunkt. So wird sichergestellt, dass die Integrität und Compliance automatisierter Systeme nicht beeinträchtigt werden.

Lebenszyklus-Ansatz

Der Lebenszyklus-Ansatz nach GAMP 5 berücksichtigt alle Phasen, die ein System durchläuft. Er stellt sicher, dass Systeme kontrolliert entwickelt, implementiert und gewartet werden. Zudem legt er die kontinuierliche Überwachung und Überprüfung fest.

Kontinuierliche Verbesserung

GAMP 5 unterstützt auch die kontinuierliche Verbesserung in Bezug auf Validierung und den Betrieb computergestützter Systeme. Darunter fallen die Überprüfung und Aktualisierung von Systemen und Prozessen. So wird sichergestellt, dass Veränderungen mit Bezug unter anderem auf Technologien und Vorschriften berücksichtigt werden.

Miteinbezug von Lieferanten und Dienstleistern

Besonders mit Blick auf die Entwicklung und Implementierung von Computersystemen erkennt GAMP 5 die Wichtigkeit der Kooperation mit Lieferanten und Dienstleistern an.

Skalierbare Validierung

Bei der skalierbaren Validierung werden Aufwand und Dokumentation so angepasst, dass sie der Komplexität und dem Risiko des Systems entsprechen. Die Validierungsaktivitäten erfolgen angemessen und effizient.

Kategorisierung von Software

Nach GAMP wird Software in verschiedene Klassen eingeordnet. Auf dieser Grundlage werden die Validierungsanforderungen definiert.

Der Leitfaden GAMP 5 kategorisiert Software basierend auf ihrem Risikoprofil und der Art der Anwendung, um Computersysteme bewerten und entsprechend validieren zu können.

Folgende fünf Kategorien werden unterschieden:

Kategorie 1: Infrastruktur-Software

Diese Kategorie bezieht sich zum Beispiel auf Betriebs­systeme, Datenbanken, Netzwerk- und weitere Basissysteme. Sie unterstützen Anwendungen, enthalten aber keine benutzer­definierte Logik. Beispiele sind Betriebssysteme und Datenbank-Management-Systeme.

Kategorie 2: Wird nicht mehr verwendet

Kategorie 2 ist veraltet und findet unter GAMP 5 keine Anwendung mehr. Sie war Teil von GAMP 4. Sie umfasste Firmware oder fest programmierte Systeme und wurde verwendet, um solche Hardwarekomponenten zu klassi­fizieren, bei denen Software nicht geändert werden kann.

Kategorie 3: Standard-Software

Kategorie 3 umfasst Lösungen, die ohne Anpassungen oder Konfigurationen eingesetzt werden können. Dazu zählen Microsoft Word und Excel.

Kategorie 4: Konfigurierte Software

Konfigurierte Software meint Systeme, die nach der Installation vom Benutzer konfiguriert werden. Sie lässt sich so an spezifische Bedürfnisse anpassen, Quell­code muss dafür jedoch nicht geändert werden. Beispiele sind Labor-Informations- und Manage­ment-Systeme, LIMS, und Enterprise-Resource-Planning-Systeme.

Kategorie 5: Benutzerdefinierte Software

Benutzerdefiniert ist Software dann, wenn sie gezielt für einen bestimmten Anwendungsfall entwickelt wurde und maß­ge­schnei­derten Code enthält. Beispiele sind Software zur Steuerung von Produktionsmaschinen.

Ein Computersystem durchläuft nach GAMP 5 folgende Hauptphasen:

1. Konzeptphase/Concept Phase: Die grund­legenden Anfor­derungen und Zwecke des Computer­systems werden fest­gelegt und eine erste Idee ent­wickelt, auf welche Art es die Geschäfts­ziele unter­stützen soll.
2. Projektplanung/Project Planning: Nun wird ein Projekt­plan erstellt. Er umfasst benötigte Aktivi­täten, Ressour­cen und das Timing für die Ent­wicklung und Ein­führung der Soft­ware.
3. Anforderungsdefinition/Requirements Definition: Nun werden die Benutzer­anfor­derungen in einer User Require­ments Specifi­cation (URS) definiert. Die URS dient als Basis für das Design und die Vali­dierung des Computer­systems nach GAMP 5.
4. Funktionsspezifikation/Functional Specification: Auf Basis der fest­gelegten Benutzer­anforde­rungen erfolgt die Er­stel­lung einer Funktions­spezifi­kation. Sie beschreibt, wie das Computer­system die zuvor defi­nierten Anfor­derungen erfül­len soll.
5. Designphase/Design Phase: In der Design­phase wird das Design der Soft­ware samt techni­scher Spezifi­kationen fest­gelegt. Es geht sowohl um das Design der Hard- als auch der Soft­ware.
6. Bauphase/Build Phase: Nun wird das Computer­system ent­sprechend der zuvor fest­gelegten Vorgaben ent­wickelt.
7. Test- und Qualifizierungsphase/Test and Qualification Phase: Das System wird getes­tet hin­sicht­lich Installations-, Betriebs- und Leis­tungs­qualifi­kation.
8. Implementierung und Inbetriebnahme/Implementation and Release: Nun wird das System eingeführt und in Betrieb genommen. Nutzer­innen und Nutzer werden geschult.
9. Betriebsphase/Operational Phase: Der Betrieb startet. Es folgen Über­wachungen und Wartungen, damit das System die Anfor­der­ungen dauer­haft erfüllt. Änderungs­manage­ment und die Ver­waltung von Vor­fällen sind inbe­grif­fen.
10. Stilllegung/Retirement Phase: Die letzte Phase des Lebens­zyklus ist die Still­legung des Systems, es wird außer Betrieb genommen. Hier sind Planung und Durch­führung der Still­legung enthalten. Das stellt sicher, dass es keine negativen Aus­wirkungen auf andere Systeme oder Daten gibt.

Computersystemvalidierung verläuft meist nach dem V-Modell in einer sequenziellen, strukturieren Art. Die linke Seite des "V" stellt dabei die Spezifikation (von der Anforderungsdefinition bis zum Detailentwurf) dar. Die rechte Seite ist für die Verifikation und Validierung (von der Modul- bis zur Systemabnahmeprüfung) zuständig.

Es werden folgende Schritte durchlaufen:

1. Anforderungserhebung: Im Zuge der Anforderungserhebung werden die Benutzeranforderungen erstellt, die User Requirements Specification (URS). Sie legen fest, was das System leisten muss, um den Anforderungen des Unternehmens sowie den Auflagen gerecht zu werden.
2. Projektinitialisierung: Während der Projektinitialisierung wird das Validierungsprojekt geplant. Es entstehen der Validierungsplan und der Projektplan.
3. Risikobewertung: Während der Risikobewertung werden die kritischen Systemaspekte identifiziert und so festgelegt, in welchen Punkten die Validierung besonders intensiv erfolgen muss.
4. Spezifikation: Auf Basis der URS werden die funktionalen Spezifikationen erstellt. Sie legen fest, wie das System die Anforderungen technisch umsetzen kann.
5. Auswahl und Bewertung von Lieferanten: Bei der Wahl der Lieferanten wird deren Eignung geprüft, sodass sie den Anforderungen für das angestrebte System gerecht werden. Die eingesetzten Lieferanten werden regelmäßig hinterfragt und bewertet.
6. Entwicklung und Konfiguration: In dieser Phase wird das System entwickelt und bei Bedarf konfiguriert.
7. Verifizierung und Test: Nun wird sichergestellt, dass das System den spezifizierten Anforderungen gerecht wird. Dafür werden nacheinander eine Installations-, eine Funktions- und eine Leistungsqualifizierung durchgeführt.
8. Berichterstellung und Freigabe: Ist die Verifizierung abgeschlossen, erfolgen Tests. Werden diese erfolgreich bestanden, kann der Echtbetrieb eingeleitet werden.
9. Schulung und Implementierung: Nun werden die Nutzerinnen und Nutzer mit dem System vertraut gemacht und es wird im Alltag eingesetzt.
10. Betrieb und Wartung: Während des Betriebs wird regelmäßig geprüft, ob alle Mechanismen ihr Ziel erfüllen. Bei Bedarf kommt es zu Anpassungen über das Änderungsmanagement.
11. Stilllegung: Soll ein System nicht länger genutzt werden, wird es nach einem Stilllegungsplan deaktiviert.

GAMP 4 ist die Vorgängerversion zu GAMP 5. Darin wurden Benutzeranforderungen als Eingaben für den Validierungsprozess betrachtet. Sie mussten detailliert, spezifisch und testbar sein.

GAMP 5 hingegen betrachtet Benutzeranforderungen als Ergebnis eines Validierungsprozesses. Sie können allgemeiner, hochrangiger und geschäftsorientierter sein.
 

Die zweite Edition ist die aktuelle Version von GAMP 5 und wurde im Juli 2022 veröffentlicht. Sie wird als „GAMP 5 Second Edition“ bzw. GAMP 5 2nd edition bezeichnet und baut auf den Prinzipien der ersten Ausgabe auf.

Folgende Änderungen wurden vorgenommen:

• Die Second Edition unterstützt iterative und inkrementelle Methoden, während sich die erste Version auf lineare Methoden fokussiert hatte. 
• Kritisches Denken durch erfahrene Experten wird vermehrt gefordert. Bislang standen standardisierte Ansätze im Fokus.
• Es sind neue Anhänge enthalten, zum Beispiel zu den Themen Blockchain, Künstliche Intelligenz und Cloud Computing.
• Neue Richtlinien ergänzen das Werk und berücksichtigen damit die zunehmende Bedeutung von Software und Automatisierung.