Güncellenen ISO 13485 standardının 2016 revizyonunda, Yazılım Validasyonu zorunluluğu kritik değişikliklerin başında gelmektedir. Tıbbi cihaz üreticileri için yeni karşılaştıkları Yazılım Validasyonu kavramı konusunda kısa bir bilgilendirme yapmanın yararlı olacağını düşünerek bu yazımızda Yazılım Validasyonu’na yer verdik.
YAZILIM VALİDASYONU NEDEN GEREKLİDİR?
Üreticilerin mevcut yasalara uyumu; sürekli olarak gelişime açık ve proaktif şekilde işleyen bir sorumluluğun benimsenmesi ile gerçekleşir.
Süreç ve ürünlerinizin kurallara uygunluğu ise mevcut sisteminizin belirlenen kriterleri sağladığını ve bu doğrultuda çıktılar ürettiğini doğrulayan validasyon prosedürleri ile sağlanır. Doğal olarak üretiminizde kullandığınız bilişim sistemleri, süreçlerinize veri sağlaması ve üretim kararlarınızda ciddi etken oluşturması sebebiyle, ürünlerinizin kalitesini ve güvenliğini doğrudan etkilemektedir. Bu doğrultuda, kullandığınız yazılımların doğru sonuçlar ürettiği Yazılım Validasyonu ile test edilmelidir.
Diğer validasyon süreçlerinde olduğu üzere yazılım validasyonu ile gerçekleştirilen kontrollerle; ürünlerinizde sağlayacağınız performans ve güvenlik artışı sayesinde hata oranınız ve geri çağırmalardan kaynaklı finansal / marka değeri kayıplarınız düşecek orta vadede büyük maliyet avantajı sağlayacaksınız. Bundan da önemlisi hastalara ve kullanıcılara yansıyacak olumsuz etkiler minimuma indirilecektir.
YAZILIM VALİDASYONU NEDİR?
ISO 13485:2016'nın 4.1.6 bölümünde belirtildiği üzere; ürettiğiniz medikal cihazların bir parçası olan donanım yazılımınıza ek olarak; tasarım, üretim ve satış sonrası takip sürecini kapsayan, hatta sistem bakımında kullanılanlar da dahil olmak üzere bilgisayar yazılım sistemlerinin belirlenen kriterleri sağladığını ve bu kriterlere uygun çıktılar ürettiğini ispat etmek gerekir. Yazılım Validasyonu da temel olarak bunu sağlar.
Örnek vermek gerekirse Kurumsal Kaynak Planlama (ERP), elektronik Kalite Yönetim Sistemleri (e-KYS), Market Sonrası İzleme (PMS) çalışmalarında kullanılan yazılımlar ve laboratuvar yönetim yazılımları yazılım validasyonu için ilk adaylardır.
Yazılım validasyonunda gerçekleştirilen test ve kontrollerle, ürettiğiniz cihazlarda çalışan yazılımlarınızın da hedeflediğiniz kalitede olduğunu ve belirlediğiniz doğrultuda çalıştığını belgeleyebilirsiniz.
YAZILIM VALİDASYONU NASIL YAPILIR?
Yazılım Validasyonu yeni bir kavram olması ve çalışanlarınızın pratiğinin bulunmaması sebebiyle üreticiler için zorlayıcı olabilmektedir. Büyük ölçekli global üreticiler, yazılım validasyonunun sorumluluğunu ve uygulamasını, bünyelerinde yer alan validasyon ekiplerinin altında sadece bu işle görevlendirilmiş bir takım oluşturarak yazılım validasyonlarını gerçekleştirmektedirler. Bu tip olanaklara sahip olmayan birçok firma ise doğrudan sorumlu oldukları ve artık regülatif olarak dikkatle incelenecek olan bu karmaşık validasyon sürecini, tecrübeli bir ekipten tedarik ederek basit ve hızlı yoldan çözmektedir.
Bu konuda işe, dışarıdan temin ettiğiniz ve üretim operasyonlarının parçası olan laboratuvar yazılımları, e-KYS ve ERP sistemleri gibi kritik yazılımlarınızın, yazılım validasyonuna sahip olup olmadığını satın aldığınız firmalardan öğrenerek başlayabilirsiniz.
Sonraki adımda, kullandığınız her yazılımın sizin üretim döngünüzdeki kullanım amacına uygun olarak valide edilmesi gerektiğinden; her sistem için değişen “Yazılım Validasyon Protokolünü” oluşturarak başlayabilirsiniz. Böylece hangi yazılımların validasyon gerektirdiğini, yeni yazılım alımında nelere dikkat edeceğini, valide edilen yazılımlarınızın hangi durumda tekrar valide edilmesi gerektiğini netleştirmiş olursunuz.
Tıbbi cihazların da performansı ve güvenliğini yükseltmek açısından, üretim aşamasında ve Kalite Yönetim Sisteminde kullanılan yazılım içeren sistemlerin değerlendirilmesi gerekir. Bu amaçla EN ISO 13485:2016, IEC 62304:2006+AMD1:2015, IEC/TR 80002-1:2009, ISO TR 80002-2:2017, IEC TR 80002-3:2014, IEC 82304-1:2016, FDA’in 21 CFR Part 11, GMP gibi standart ve regülasyonları bize rehberlik eder.
Süreç parameterlerinin izlenebilirliği bir zorunluluk olduğu için, donanımsal kalifikasyonları tamamlanmış bir süreç, bağlı olduğu yazılım valide edilmedikçe kalite standartlarını bir bütün olarak yerine getirmiş sayılamaz. Aynı şekilde veri bütünlüğü kapsamında, kullanıcı yönetimi, yetkilendirilmesi, verinin depolanması, transferi ve saklanması da kalite yönetim sistemi için gereklidir.
Yazılım validasyonu; fonksiyonel ve tasarım spesifikasyonları, kullanıcı talep dokümanları ve senaryo listeleri, sistem mimarisi, yazılım tasarım dokümanı, sistemin ihtiyaç duyduğu girdiler, parametre limitleri, uyarı, alarm ve sistemin verdiği kullanıcı mesajları, yazılımın çalışacağı donanım özellikleri, kodlardaki değişiklik ve yükleme akışları, test metotları ve izlenebilirliği sağlayan kontroller dokümante edilerek sağlanabilir.
Üretim süreçlerinde doğrudan kullanılmasa da, ürün kalitesini ve güvenliğini etkileyen, izlenebilirliğin sağlanması açısından kritik amaçlarla kullanılan ERP, CRM, lojistik, bina yönetimi, ürün izleme, veri ambarı vb. yönetimsel yazılımlar da ISO 80002, ISO 13485, GMP, FDA v.b. gibi standart ve regülasyonları kapsamında valide edilir.
Yukarıda belirtilen sistemlerin dışında, medikal cihazın bir parçası olan yazılımların; istenen kullanım amacını tam olarak yerine getirdiğinin, son kullanıcı için güvenli ve doğru çalıştığının; IEC 62304 standardı doğrultusunda valide edilerek kanıtlanması beklenir.
Yazılım dışarıdan alınıyorsa satın alımdan, kendiniz geliştiriyorsanız tasarımdan başlayarak, planlanma, kodlama ve testleri; Yazılım Geliştirme Yaşam Döngüsü süreçlerindeki adımların kullanılarak belgelendirilmesi yoluyla gerçekleştirilebilir.
Söz konusu sistem ne olursa olsun, hastalar ve kullanıcılara güvenli ürünler üretmek için sistem kullanıcılarının ihtiyaçları çerçevesinde belirlenmiş istekler, fonksiyonel ve tasarım spesifikasyonları, veri güvenliği, ürünün operasyonel, fonksiyonel, çevresel özellikleri, kullanıcı arayüzleri, alarmlar ve mesajlar ele alınırken, her konu risk bazlı yaklaşım gözetilerek ele alınmalıdır.
