L’industrie recherche la clarté, l’alignement ICH Q9 dans les directives du logiciel de production d’appareils de la FDA
Le projet de directives détaille une approche basée sur les risques pour « établir la confiance dans l’automatisation utilisée pour les systèmes de production ou de qualité, et identifier les cas où une rigueur supplémentaire peut être appropriée », ainsi que les étapes de validation du logiciel et de son utilisation appropriée. Une fois mis en œuvre, la FDA a déclaré que le cadre aidera à répondre aux exigences du 21 CFR 820.70 (i), qui dicte les exigences du calendrier de maintenance des équipements médicaux. (EN RELATION: La FDA rédige des directives sur la production d’appareils et l’assurance logicielle du système qualité, Orientation réglementaire 12 septembre 2022)
Le guide, une fois finalisé, est destiné à remplacer la section 6 du guide final « General Principles of Software Validation » (GPSV) publié en janvier 2002 sur la validation des équipements de processus automatisés et des logiciels de système qualité.
Adopter le langage des directives ICH Q9
Les parties prenantes commentant le projet de directives de la FDA ont généralement bien accueilli l’approche flexible et basée sur les risques de l’agence en matière d’assurance des logiciels informatiques (CSA) de production et de système qualité.
« L’approche flexible de ce projet de directives est une amélioration bienvenue par rapport aux approches historiquement rigides et sans valeur ajoutée des validations de systèmes informatiques (CSV) adoptées dans une grande partie des industries des dispositifs médicaux, pharmaceutiques et des sciences de la vie », a écrit la société de biotechnologie 23andMe. dans leur commentaire.
Plusieurs commentateurs ont noté que l’agence devrait adopter la terminologie et les principes de gestion des risques liés à la qualité, comme indiqué dans les récentes directives ICH Q9 (révision), plutôt que le langage utilisé dans le projet de directives. (EN RELATION: L’ICH publie la directive Q9 révisée pour améliorer les évaluations des risques, Orientation réglementaire 03 janvier 2022)
« L’utilisation de la terminologie et des principes de l’ICH devrait conduire à une interprétation plus cohérente par l’industrie et les régulateurs et faciliter la compréhension et l’acceptation potentielle par d’autres organismes de réglementation », a écrit l’International Society for Pharmaceutical Engineering (ISPE) dans son commentaire.
CSA contre CSV
En particulier, plusieurs commentateurs se sont dits préoccupés par l’utilisation du terme ACVM dans le titre et le corps du document dans le projet d’orientation et par son potentiel d’être mal compris par l’industrie. « Si les orientations doivent avoir un impact en dehors du secteur des dispositifs médicaux, le titre des orientations doit être reconsidéré car il contredit la définition d’un » système informatisé « basée sur PIC/S PI 011-3, section 6.2 », l’Académie européenne de conformité a écrit.
« CSV ne couvre pas uniquement la qualité des logiciels, mais adopte une approche holistique incluant, outre l’ordinateur, le processus contrôlé, les procédures associées et le personnel. Ces éléments ne sont pas ou très peu abordés dans le guide, ce qui peut causer de la confusion chez les lecteurs », ont-ils expliqué. Dans certains cas, la conformité ne peut être réduite au seul logiciel informatique, ont-ils noté, car de nombreux équipements de fabrication et de laboratoire actuels sont contrôlés par ordinateur.
« Le contenu actuel des orientations pourrait être [misunderstood] par l’industrie, provoquant une baisse de la conformité et une perte de contrôle des systèmes informatiques de production et de qualité », ont-ils déclaré.
Alors que 23andMe interprétait l’utilisation du terme CSA comme un écart par rapport au sens traditionnel de la validation, ils ont demandé à la FDA d’«être plus définitif en déclarant que ces méthodes d’assurance logicielle (c’est-à-dire les tests non scénarisés) remplissent réellement les exigences de validation et ne font pas que ‘aider à remplir les exigences de validation.’”
La cyber-sécurité
Les commentateurs ont observé que la cybersécurité est une composante du risque pour la sécurité des dispositifs médicaux et qu’elle était absente du projet de directives.
« Les risques de sécurité (par exemple, l’exposition d’informations privées) posent un risque potentiel pour la sécurité qui n’est pas associé à un dispositif médical spécifique. Impliquer que les risques de processus élevés sont limités aux seuls « dispositifs médicaux » et non aux données médicales peut créer une exécution inadéquate de la validation des scénarios de risque », a écrit Siemens Healthineers dans son commentaire.
Boston Scientific a demandé à la FDA de créer une invite dans les directives à l’intention du personnel de l’industrie et des agences pour prendre en compte les exigences en matière de cybersécurité, notant que la cybersécurité est « un élément essentiel pour garantir que les systèmes de production et de qualité respectent et maintiennent leur utilisation prévue ».
Les outils de cycle de vie du système ne relèvent pas du 21 CFR 820.70(i)
On s’est également demandé si les outils du cycle de vie du système devaient être pris en compte dans les orientations, car ils ne sont pas inclus dans d’autres orientations similaires telles que les BPF de l’UE, l’annexe 11, les systèmes informatisés et l’ISPE GAMP 5.
« Sur la base de la justification donnée ci-dessous, et pour s’harmoniser avec [other guidances]il est recommandé que les directives finales considèrent les outils de cycle de vie du système comme n’étant pas considérés comme faisant partie de la production ou du système qualité et, par conséquent, non validés en vertu du 21 CFR 820.70 (i) », a écrit l’ISPE dans son commentaire.
Un autre endroit où les directives de la FDA divergent des GAMP 5 et de l’UE, l’annexe 11 concerne la manière dont elles caractérisent la validation des logiciels de support, alors que les autres directives exigent simplement la démonstration de l’adéquation, plutôt que la validation. « L’application du concept de » validation « à de tels outils soulève un obstacle potentiel et un découragement à leur utilisation, ainsi qu’une augmentation potentielle des coûts sans avantages supplémentaires en termes de qualité et de sécurité, en fonction de l’interprétation de la » validation « dans l’entreprise réglementée », a expliqué l’ISPE. .
Boston Scientific a également soulevé un problème avec les données collectées et si elles relèvent toutes du champ d’application de 820.70 (i). «La façon dont les directives sont rédigées suggère que toutes les données de production capturées relèvent du 820.70 (i). Ce n’est pas le cas car la plupart des données recueillies sont liées à la ferraille, au rendement, etc. », a écrit Boston Scientific. « Faire, construire [it] clair que seuls la collecte et le traitement des données requises par le système qualité doivent être dans le champ d’application de 820.70 (i).
Applicabilité aux industries non médicales
La société technologique Medidata a écrit dans son commentaire exprimant sa préoccupation quant à l’applicabilité des directives en dehors des dispositifs médicaux. « Si l’agence a collaboré dans plusieurs branches et souhaite que ces directives soient applicables au-delà des dispositifs médicaux, elle doit clarifier l’applicabilité dans la section Introduction et portée. Veuillez préciser que CSA ne remplace pas CSV », ont-ils déclaré.
L’European Compliance Academy a mis en garde la FDA contre l’utilisation de ces directives également dans les industries des dispositifs non médicaux. « Comparer des dispositifs médicaux réglementés avec des secteurs industriels moins réglementés peut être très dangereux. Les attentes en matière de sécurité ne sont pas similaires. L’expérience passée a montré que le transfert des pratiques de l’industrie de secteurs moins réglementés vers des secteurs réglementés plus stricts (avions, soins de santé) peut conduire à des catastrophes en matière de sécurité », ont-ils déclaré.
L’Académie européenne de la conformité a également remis en question la nécessité d’une nouvelle orientation supplémentaire pour le GPSV, suggérant que l’agence devrait plutôt mettre à jour le GPSV plutôt que de créer une nouvelle orientation avec une portée limitée.
« La [chosen] L’approche visant à modifier le GPSV en remplaçant la section 6 et en la remplaçant par les directives de la CSA est très regrettable car elle sème la confusion chez les lecteurs », ont-ils écrit. « Il serait plus clair et préférable de publier une nouvelle version du GPSV avec un contenu révisé, y compris une éventuelle extension formelle du champ d’application. »
Projet d’orientation