Escolar Documentos
Profissional Documentos
Cultura Documentos
Guiavscanvisafinal090420101 160519132355 PDF
Guiavscanvisafinal090420101 160519132355 PDF
de Vigilncia Sanitria
GUIA DE VALIDAO DE
SISTEMAS
COMPUTADORIZADOS
Pgina 2 de 86
ndice
1. Introduo ....................................................................................................................................................... 6
1.1 Objetivo ................................................................................................................................................. 6
1.2 Abrangncia .......................................................................................................................................... 6
2. Avaliao de Criticidade dos Sistemas Computadorizados ........................................................................... 7
3. Sistema Validvel ........................................................................................................................................... 9
3.1 Avaliao da Possibilidade de um Sistema ser Validado ...................................................................... 9
4. Ciclo de Vida................................................................................................................................................. 15
4.1 Fases do Ciclo de Vida........................................................................................................................ 17
4.1.1 Conceito ..................................................................................................................................... 17
4.1.3 Atividades de Suporte ..................................................................................................................... 20
4.1.5.1 Classificao 1 Componentes de Hardware Padres ............................................................. 24
4.1.5.2 Classificao 2 - Componentes de Hardware Customizados .................................................... 24
4.2 Operao ............................................................................................................................................. 24
4.3 Descontinuidade .................................................................................................................................. 24
5. Inventrio de Sistemas Computadorizados .................................................................................................. 25
6. Plano Mestre de Validao ........................................................................................................................... 26
6.1 Objetivo ............................................................................................................................................... 26
6.2 Escopo................................................................................................................................................. 26
6.3 Requerimentos para Reviso e Aprovao do Plano Mestre de Validao ........................................ 26
6.4 Poltica de Validao ........................................................................................................................... 26
6.5 Estratgia de Validao....................................................................................................................... 26
6.6 Controle de Mudanas ........................................................................................................................ 27
6.7 Responsabilidades .............................................................................................................................. 27
6.8 Atividades de Validao ...................................................................................................................... 29
7. Plano de Validao ....................................................................................................................................... 30
7.1 Estrutura do documento ...................................................................................................................... 30
7.2 Requerimentos para Reviso e Aprovao do Plano de Validao .................................................... 30
7.3 Estratgia de Validao....................................................................................................................... 31
7.4 Responsabilidades .............................................................................................................................. 31
8. Gerenciamento de Risco .............................................................................................................................. 32
8.1 Introduo ................................................................................................................................................... 32
8.2 Responsabilidades ...................................................................................................................................... 32
8.3 Abordagem para o Gerenciamento de Risco .............................................................................................. 33
8.4 Aplicao do Gerenciamento de Riscos nos Processos ............................................................................. 33
8.4.1Quais so os perigos? .......................................................................................................................... 34
8.4.2 Quais so os danos? ........................................................................................................................... 34
8.4.3 Qual o impacto? ............................................................................................................................... 34
8.4.4 Qual a probabilidade da falha?......................................................................................................... 35
8.4.5 Qual a detectabilidade da falha? ...................................................................................................... 35
8.4.6 Como ser o Controle de Gerenciamento de Risco? .......................................................................... 35
8.5 Gerenciamento de Risco ao Longo da Vida til do Sistema ..................................................................... 35
8.5.1Etapa 1 ................................................................................................................................................. 36
8.5.2 Etapa 2 ................................................................................................................................................ 37
8.5.3 Etapa 3 ................................................................................................................................................ 37
8.5.4 Etapa 4 ................................................................................................................................................ 37
8.5.5 Etapa 5 ................................................................................................................................................ 40
8.6 Metodologia para Anlise de Riscos ........................................................................................................... 41
8.7 Comunicao e Documentao do Risco ................................................................................................... 43
8.8 Viso geral do processo de anlise de riscos ............................................................................................. 44
9. Especificao de Requisitos do Usurio (ERU) ........................................................................................... 45
9.1 Contedo do Documento ..................................................................................................................... 45
9.1.1 Introduo................................................................................................................................... 45
9.1.2 Objetivo e Escopo ...................................................................................................................... 46
9.1.3 Consideraes Gerais ................................................................................................................ 46
9.1.4 Mapeamento dos Processos ...................................................................................................... 46
9.1.5 Requisitos Funcionais ................................................................................................................ 46
9.1.6 Classificao dos Requisitos do Usurio ................................................................................... 47
9.1.7 Ambiente Fsico .......................................................................................................................... 48
9.1.8 Requisitos No Operacionais ..................................................................................................... 48
10. Especificao Funcional ............................................................................................................................... 49
10.1 Introduo............................................................................................................................................ 49
Pgina 3 de 86
10.2 Requisitos Bsicos .............................................................................................................................. 49
10.3 Responsabilidades .............................................................................................................................. 49
10.4 Contedo da Especificao Funcional ................................................................................................ 49
10.4.1 Introduo................................................................................................................................... 49
10.4.2 Funes ...................................................................................................................................... 50
10.4.3 Dados ......................................................................................................................................... 50
10.4.4 Interfaces .................................................................................................................................... 51
10.4.5 Ambiente Operacional ................................................................................................................ 52
10.4.6 Restries................................................................................................................................... 52
10.4.7 Apndices ................................................................................................................................... 52
11. Desenho de Software (Software Design) ..................................................................................................... 53
11.1 Introduo............................................................................................................................................ 53
11.2 Diretrizes gerais ................................................................................................................................... 53
11.3 Especificao de Desenho .................................................................................................................. 53
11.3.1 Descrio do Sistema................................................................................................................. 53
11.3.2 Dados do sistema ....................................................................................................................... 54
11.3.3 Descrio dos mdulos .............................................................................................................. 54
12. Especificao Tcnica (Hardware Design) ................................................................................................... 55
12.1 Contedo do Documento .......................................................................................................................... 55
12.1.1 Introduo .......................................................................................................................................... 55
12.1.2 Requerimentos Tcnicos ................................................................................................................... 55
12.2 Especificaes de Hardware ..................................................................................................................... 56
12.2.1 Servidores ......................................................................................................................................... 56
12.2.2 Arquitetura de Rede .......................................................................................................................... 56
12.2.3 Estaes de Trabalho ........................................................................................................................ 56
12.2.4 Hardware de Automao ............................................................................................................ 56
13. Testes de Qualificao (QI, QO e QD) ......................................................................................................... 57
13.1 Protocolo de Qualificao de Instalao (QI) ............................................................................................ 57
13.1.1 Objetivo ............................................................................................................................................. 57
13.1.2 Alcance .............................................................................................................................................. 57
13.1.3 Qualificao de infraestrutura ............................................................................................................ 57
13.1.4 Descrio do Sistema ........................................................................................................................ 57
13.1.5 Procedimentos para a Execuo dos Testes .................................................................................... 58
13.1.6 Instrues Gerais .............................................................................................................................. 58
13.1.7 Contedo da Documentao ............................................................................................................. 58
13.1.8 Elaborao dos testes ....................................................................................................................... 58
13.1.9 Preenchimento e execuo dos testes .............................................................................................. 58
13.1.10 Controle de Mudanas .................................................................................................................... 59
13.1.11 Aprovao da Qualificao de Instalao ....................................................................................... 59
13.1.12 Consideraes Finais do Protocolo ................................................................................................. 59
13.1.13 Manuteno do Estado Validado ..................................................................................................... 59
13.2 Protocolo de Qualificao de Operao (QO) .......................................................................................... 60
13.2.1 Objetivo ............................................................................................................................................. 60
13.2.2 Alcance ....................................................................................................................................... 60
13.2.3 Descrio do Sistema................................................................................................................. 60
13.2.4 Procedimentos para a Execuo dos Testes ............................................................................. 60
13.2.5 Instrues Gerais ....................................................................................................................... 61
13.2.6 Contedo da Documentao ...................................................................................................... 61
13.2.7 Preenchimento e execuo dos testes....................................................................................... 61
13.2.8 Controle de Mudanas ............................................................................................................... 62
13.2.9 Aprovao da Qualificao de Operao ................................................................................... 62
13.2.10 Consideraes Finais do Protocolo ....................................................................................... 62
13.2.11 Manuteno do Estado Validado ........................................................................................... 62
13.3 Protocolo de Qualificao de Desempenho (QD) ..................................................................................... 63
13.3.1Objetivo .............................................................................................................................................. 63
13.3.2 Alcance .............................................................................................................................................. 63
13.3.3 Descrio do Sistema ........................................................................................................................ 63
13.3.4 Procedimentos para a Execuo dos Testes .................................................................................... 63
13.3.5 Instrues Gerais .............................................................................................................................. 64
13.3.6 Contedo da Documentao ............................................................................................................. 64
13.3.7 Controle de Mudanas ...................................................................................................................... 65
13.3.8 Aprovao da Qualificao de Desempenho .................................................................................... 65
13.3.9 Consideraes Finais do Protocolo ................................................................................................... 65
13.3.10 Manuteno de Estado Validado ..................................................................................................... 65
14. Matriz de Rastreabilidade ............................................................................................................................. 66
14.1 Introduo............................................................................................................................................ 66
Pgina 4 de 86
14.2 Princpios ............................................................................................................................................. 66
14.3 Mtodos para buscar a rastreabilidade ............................................................................................... 66
14.4 Opes adicionais ............................................................................................................................... 66
15. Relatrio Final de Validao ......................................................................................................................... 68
15.1 Introduo............................................................................................................................................ 68
15.2 Documentao e atividades geradas durante a validao .................................................................. 68
15.3 Concluso............................................................................................................................................ 68
16. Operao ...................................................................................................................................................... 69
16.1 Controle de Mudanas ........................................................................................................................ 69
16.2 Administrao do Sistema ................................................................................................................... 69
16.3 Administrao da Segurana .............................................................................................................. 69
16.4 Treinamento ........................................................................................................................................ 70
16.5 Gerenciamento de Desvios ................................................................................................................. 70
16.6 Backup e Restaurao ........................................................................................................................ 71
16.7 Recuperao de Desastre ................................................................................................................... 72
16.8 Reviso Peridica................................................................................................................................ 72
16.9 Manuteno do Sistema Computadorizado ........................................................................................ 73
16.10 Arquivamento da Documentao de Validao .............................................................................. 73
17. Particularidades de Validao por Tipo de Sistema ..................................................................................... 74
17.1 Particularidades de Validao para sistemas de gesto ..................................................................... 74
17.1.1 Sistemas do tipo ERP................................................................................................................. 74
17.1.2 Sistemas do Tipo CRM............................................................................................................... 75
17.1.3 Sistemas de Pesquisa Clnica .................................................................................................... 75
17.1.4 Sistemas do Tipo WMS .............................................................................................................. 75
17.1.5 Sistemas do tipo GED ................................................................................................................ 75
17.1.6 Sistemas Globais........................................................................................................................ 75
18. Particularidades de validao para sistemas de controle e execuo ......................................................... 76
18.1 Sistemas do tipo MES ......................................................................................................................... 76
18.2 Sistemas do tipo LIMS......................................................................................................................... 76
18.3 Gerenciamento de Dados .................................................................................................................... 77
19. Sistemas de cho de fbrica ........................................................................................................................ 78
19.1 Introduo............................................................................................................................................ 78
19.2 Tipos de Sistemas de Controle de Processos..................................................................................... 78
19.3 Detalhamento da documentao de Projeto ....................................................................................... 79
19.4 Testes de Aceitao ............................................................................................................................ 79
19.5 Inspeo dos instrumentos e calibrao ............................................................................................. 79
19.6 Componentes da arquitetura de automao ....................................................................................... 79
20. Descontinuidade ........................................................................................................................................... 80
20.1 Introduo............................................................................................................................................ 80
20.2 Plano de Descontinuidade................................................................................................................... 80
21. Tratamento de Registros Eletrnicos, assinaturas eletrnicas e Controle de Acesso ................................. 81
21.1 Controle de Acesso ............................................................................................................................. 81
21.2 Assinaturas Eletrnicas ....................................................................................................................... 82
21.3 Registros Eletrnicos com impacto em BPx ........................................................................................ 83
21.4 Customizao do sistema ................................................................................................................... 83
22. Glossrio / Siglrio........................................................................................................................................ 84
23. Referncias Bibliogrficas ............................................................................................................................ 86
23.1 Guias ................................................................................................................................................... 86
23.2 Norma .................................................................................................................................................. 86
23.3 Regulamento ....................................................................................................................................... 86
Pgina 5 de 86
1. Introduo
Este guia foi elaborado para auxiliar no gerenciamento e validao de sistemas computadorizados que
tenham impacto em BPx. A exatido e a integridade dos registros de dados so essenciais para o ciclo de
vida do produto, desde a rea de pesquisa, passando por estudos pr-clnicos e clnicos, produo e
controle de qualidade at a rea de armazenamento e distribuio.
Este guia no deve ser adotado como regulamento, portanto, o seu cumprimento no de carter
compulsrio pelo setor regulado. Cada empresa dever avaliar o contedo do guia e verificar sua
aplicabilidade. A Vigilncia Sanitria tampouco dever exigir o cumprimento do contedo do guia por parte
das empresas. A interpretao do contedo deste documento de inteira responsabilidade das empresas
que o utilizarem.
1.1 Objetivo
1.2 Abrangncia
Este guia se aplica a sistemas computadorizados utilizados em empresas que executem atividades de
fabricar insumos farmacuticos e medicamentos observando o cumprimento do preconizado nas Boas
Prticas de Fabricao e Boas Prticas de Laboratrio. Este guia tambm pode ser aplicado a empresas
distribuidoras de medicamentos e insumos farmacuticos, no contexto das Boas Prticas de Distribuio.
A utilizao de funes padro dos sistemas recomendvel, uma vez que quanto maior o nvel de
customizao, maiores sero os esforos de validao.
Nem todas as atividades definidas neste guia so aplicveis a todos os tipos de sistemas
computadorizados. A abordagem pode variar, de acordo com sua criticidade e complexidade. A deciso
deve ser tomada pela empresa baseando-se no conhecimento dos riscos envolvidos na utilizao de
sistema computadorizados.
Pgina 6 de 86
2. Avaliao de Criticidade dos Sistemas Computadorizados
A empresa deve possuir uma lista contendo todos os sistemas computadorizados instalados e suas
respectivas avaliaes de criticidade. A necessidade de validao deve ser estabelecida de acordo com
os critrios abaixo.
Caso qualquer resposta s questes abaixo seja "SIM", o sistema deve ser validado por ter impacto em
BPx.
O sistema gerencia:
recebimento de materiais (ex. nmero de lotes, plano de amostragem, condies fsicas, registro
de avarias, etc.)?
Pgina 7 de 86
equipamentos (ex. plano e execuo de manuteno, plano e execuo de calibrao, plano e
execuo de qualificao, etc.)?
Pgina 8 de 86
3. Sistema Validvel
Sistemas novos:
necessria uma avaliao formal do sistema, de forma a assegurar a qualidade e garantir que o mesmo
seja validvel desde o seu desenvolvimento.
Sistemas legados:
necessria uma avaliao formal para identificar se o sistema validvel ou no. Caso no exista
documentao necessria para comprovao da adeso s BPx, dever ser verificada a viabilidade de
desenvolvimento desta documentao.
Todo sistema que substituir operaes manuais e que tenha sido classificado como relevante em relao
s BPx deve atender, no mnimo, aos seguintes requisitos para ser considerado como validvel:
descrio do sistema;
Todo sistema que substituir registros manuais ou impressos e que tenha sido classificado como
relevante em relao s BPx deve atender, no mnimo, aos seguintes requisitos para ser considerado
como validvel:
controle para que entradas e modificaes de dados sejam realizadas apenas por pessoas
autorizadas (devem ser utilizadas medidas de segurana, tais como utilizao de senhas, cdigo
pessoal, chaves ou acesso restrito aos terminais);
Pgina 9 de 86
manuteno dos registros de todas as entradas e alteraes quando houver alterao de dados;
Se algum item acima no for atendido pelo sistema legado a ser validado, este dever passar pelo
processo de mitigao. Caso a mitigao ou upgrade no seja possvel, a troca do sistema deve ser
considerada.
Pgina 10 de 86
As figuras 001 e 002 apresentam exemplos de fluxogramas pra validao de sistemas legados e
sistemas novos, respectivamente.
Incio
Necessidade de
validar um sistema
existente
Atualizar inventrio de
Executar avaliao Possui impacto No sistemas
BPx BPx? computadorizados
Sim
Elaborar
Plano de Validao
Elaborar Especificao
de Requerimentos /
Funcional
Elaborar
Anlise de Riscos
Elaborar Especificaes
Hardware / Software
Qualificao de Instalao
Figura 001
Pgina 11 de 86
1
Qualificao de
Operao
Qualificao de
Desempenho
No
Atualizar o status no
Inventrio de Sistemas
Computadorizados
Pgina 12 de 86
Figura 002: Fluxograma de processo de validao de sistemas novos.
Incio
Necessidade de
aquisio de novo
sistema
No Atualizar Inventrio
Possui impacto
Sistema Computadorizado
BPx?
Sim
Elaborar especificao de
Requerimentos do
Usurio
Avaliao No
aprovada?
Sim
Elaborar Plano de
Validao
Elaborar Especificao
Funcional
11
Figura 002
Pgina 13 de 86
1
Elaborar Anlise de
Riscos
Elaborar Especificao
ElaborarTcnica
especificaes
Hardware / Software
Qualificao de
Instalao
Qualificao de
Operao
Qualificao de
Desempenho
Sim
Existem Processo Registro e
Desvios? Tratamento de Desvios
No
Atualizar o status no
Inventrio de Sistemas
Computadorizados
Pgina 14 de 86
4. Ciclo de Vida
A abordagem do ciclo de vida detalha e define atividades de uma maneira sistemtica desde concepo,
atendimento aos requisitos, incluindo o desenvolvimento, liberao e uso, at sua retirada de operao
(descontinuidade).
Figura 003
conceito;
projeto;
operao;
descontinuidade.
Pgina 15 de 86
O ciclo de vida ilutrado atravs da figura abaixo:
Figura 004
A fase de conceito pode ser utilizada para se rever, aprimorar e automatizar um ou mais processos,
baseando-se nas necessidades e benefcios. Nesta fase, so desenvolvidos os requisitos iniciais e
consideradas as potenciais solues. A partir do entendimento do escopo, dos custos e benefcios,
tomada deciso quanto continuidade do projeto.
A fase do projeto envolve planejamento, avaliao e seleo de fornecedor, bem como especificaes,
desenho, configurao, testes de aceitao e liberao para operao.
A fase de operao do sistema a fase mais longa e deve ser gerenciada por procedimentos
operacionais. Nesta fase primordial o gerenciamento de mudanas e o controle da manuteno do
estado de validado.
A fase final a descontinuidade do sistema. Envolve deciso sobre reteno de dados, migrao,
destruio e o gerenciamento destes processos.
O gerenciamento de riscos deve ser aplicado em todas as fases para remover ou reduzir os riscos a um
nvel aceitvel.
O ciclo de vida de sistemas computadorizados descrito nesta seo no deve ser confundido com a
necessidade de se definir abordagem ou mtodo para desenvolvimento de software pelo fornecedor.
Pgina 16 de 86
A figura a seguir mostra a abordagem geral do ciclo de vida de sistemas computadorizados.
Figura 005
4.1.1 Conceito
As atividades desta fase dependem da estrutura organizacional. Cada empresa tem um processo distinto
de gerenciamento de projetos. Geralmente, estas atividades esto fora do escopo de validao de
sistemas, entretanto, quanto mais formalizada for esta fase, mais recursos apropriados existiro para
suportar todas as fases do ciclo de vida do sistema.
4.1.2 Projeto
planejamento;
verificao;
Pgina 17 de 86
A figura abaixo mostra como estes estgios de projeto e suas atividades de suporte so parte do ciclo de
vida do sistema computadorizado. Possveis mudanas podero desencadear um novo ciclo de vida.
Figura 006
4.1.2.1 Planejamento
Durante as atividades de planejamento, deve ser considerada a avaliao de impacto em BPx. Em casos
de utilizao de documentao de fornecedor, a anlise desta documentao deve ser prevista no
planejamento. Toda documentao, independente da origem, deve estar disponvel a qualquer momento.
A extenso e detalhamento dos requisitos e especificaes devem ser suficientes para dar suporte ao
gerenciamento de riscos, desenvolvimento e verificaes do sistema.
Pgina 18 de 86
4.1.2.2 Especificao, Configurao e Codificao
4.1.2.3 Verificao
A extenso dos testes proporcional aos riscos e complexidade do sistema. Existe uma gama de
diferentes tipos de testes possveis, incluindo:
caso normal (positivo) desafio das funes que o sistema deve executar de acordo com o
especificado;
caso invlido (negativo) desafio das funes que o sistema no deve executar de acordo com o
especificado;
repetibilidade;
desempenho;
carga/migrao de dados.
Os testes podem ser definidos em uma ou mais especificaes de teste para abranger hardware, software,
configurao e aceitao.
A estratgia para os testes deve definir os tipos, nmero e propsito. Ela deve ser revisada e aprovada por
especialistas.
Pgina 19 de 86
4.1.2.4 Relatrio e Liberao Para Uso
O sistema deve ser aceito e liberado para uso em um ambiente operacional em conformidade com um
processo controlado e documentado. A aceitao e liberao de um sistema com impacto em BPx requer
a aprovao do dono do processo, dono do sistema e representante da unidade da qualidade.
No final do projeto, o relatrio de validao do sistema computadorizado deve ser elaborado. Recomenda-
se que o relatrio contemple resumo das atividades realizadas, desvios encontrados, eventos inesperados,
aes corretivas e a comprovao da conformidade aos requisitos especificados e ao uso pretendido para
o sistema.
Reviso de Desenho ou Qualificao do Projeto: deve ser realizada na fase do projeto a fim de avaliar
a aderncia aos requisitos, especificaes, riscos e testes. recomendvel que o resultado desta
atividade gere uma Matriz de Rastreabilidade.
A classificao de software pode ser usada juntamente com a avaliao de risco e avaliao do fornecedor
para determinar uma estratgia adequada para o ciclo de vida. Geralmente os riscos de falhas ou defeitos
aumentam com a customizao do software. Neste contexto, a classificao pode ajudar a focar os
esforos nos pontos onde os riscos so maiores.
avaliao do sistema como um todo: a classificao do componente principal define a abordagem para
a avaliao do fornecedor e definio do ciclo de vida.
avaliao detalhada dos componentes: para sistemas contendo mltiplos componentes, dependendo
da complexidade e do tamanho do sistema, cada nvel de componente classificado. A classificao
de cada componente de software utilizada para definir as atividades do ciclo de vida.
Pgina 20 de 86
A classificao do software composta por:
sistemas operacionais;
linguagens de programao;
programas estatsticos;
antivrus;
Para esta classificao de software geralmente so realizados registros do nmero da verso, verificao
da correta instalao conforme procedimentos de instalao aprovados.
Figura 007
Pgina 21 de 86
Para sistema com classificao 2, deve ser elaborado no mnimo o protocolo de testes e matriz de
rastreabilidade com referncia ao requisito do usurio.
Classificao 3 - Produtos Configurveis ou Customizados: consiste por softwares com funes que
so configurveis, desenvolvidos e/ou customizados para usos especficos. Esta classificao geralmente
envolve a abordagem de ciclo de vida e avaliao de fornecedores.
Figura 008
Requisito do Usurio;
Anlise de riscos;
Plano de Validao;
Especificao Funcional;
Software Design;
Matriz de Rastreabilidade;
Recomenda-se que seja elaborado um Plano de Qualidade e Projeto pelo fornecedor anterior ao incio da
validao do sistema.
Pgina 22 de 86
O Plano de Qualidade e Projeto o documento que descreve o ciclo de vida do sistema, contm a forma
de atendimento aos requisitos regulatrios do usurio pelo fornecedor do sistema. O documento pode
incluir:
gerenciamento da documentao;
subcontratados;
equipe envolvida;
relatrios de progresso.
Pgina 23 de 86
4.1.5 Classificao de Hardware
4.2 Operao
Uma vez que o sistema tenha sido aceito e liberado necessrio manter a conformidade e a adequao
ao uso. Isto possvel atravs de procedimentos para atualizao de dados, treinamento, manuteno e
gerenciamento.
4.3 Descontinuidade
Pgina 24 de 86
5. Inventrio de Sistemas Computadorizados
O objetivo de um Inventrio de Sistemas Computadorizados identificar todos os sistemas existentes na
empresa. Durante o processo de levantamento dos sistemas, todas as reas devem identificar se
possuem ou no sistemas.
Deve ser identificada tambm a existncia de planilhas eletrnicas que controlem informaes
relacionadas s BPx e as mesmas devem fazer parte do inventrio. O inventrio deve ser revisado
periodicamente ou sempre que ocorra adio ou retirada de sistemas, incluindo aprovao formal.
estaes de usurios;
impressoras;
componentes de rede;
geradores e No-Break.
Desta forma, um sistema a ser validado, dever estar no inventrio, assim como seus componentes.
Com base no inventrio deve-se proceder, atravs de uma anlise de riscos, priorizao da validao
dos sistemas que possuam impacto na qualidade dos produtos e ainda no tenham sido validados.
Atravs desta anlise de riscos, deve-se estabelecer uma escala de valores de forma a priorizar a ordem
em que os sistemas sero validados. Ou seja, quanto maior o impacto, mais alta a prioridade.
Pgina 25 de 86
6. Plano Mestre de Validao
Recomenda-se que o Plano Mestre de Validao contenha a abordagem que ser aplicada para a
realizao da validao de sistemas computadorizados. Esse Plano Mestre poder ser geral ou especfico
para sistemas, dependendo da estrutura documental da empresa.
6.1 Objetivo
Descrio do objetivo da empresa, perante a validao de sistemas computadorizados, visando o que ela
pretende alcanar com a sua implementao.
6.2 Escopo
Descrio de quais sistemas sero validados, de maneira que os projetos sejam referenciados e atrelados
ao Plano Mestre de Validao.
Descrio das regras para reviso deste plano, quando necessrio, visto que a empresa pode mudar o
escopo com o decorrer do tempo, havendo assim a necessidade de uma reviso do plano. Recomenda-se
que os proprietrios/donos dos sistemas sejam envolvidos nesta etapa, tanto na criao quanto na
reviso.
Descrio da estratgia de validao a ser seguida para novos sistemas e tambm para sistemas j
existentes na empresa, contemplando sistemas automatizados com impacto em BPx (sistemas de
informao, laboratrio, automao, etc.).
Pgina 26 de 86
6.6 Controle de Mudanas
Descrio do programa de controle de mudanas para assegurar que o estado validado dos sistemas seja
mantido. essencial assegurar que as mudanas nos sistemas no afetem o seu estado validado. Se uma
mudana feita em um sistema validado, uma avaliao do impacto deve ser feita, de forma a determinar
a necessidade de revalidao ou quais so as atividades necessrias para manter o estado validado do
mesmo.
6.7 Responsabilidades
garantir que os dados / registros sejam mantidos seguros durante o perodo de reteno;
informar a rea de validao sempre que um sistema for adquirido, desativado ou alterado para
atualizao do inventrio de sistemas;
gerenciar para que o sistema seja retirado de uso de acordo com procedimentos aprovados.
Pgina 27 de 86
dar suporte aps o encerramento do projeto de validao, avaliando, por exemplo, solicitaes de
mudanas de sistemas validados;
elaborar / revisar os documentos tcnicos gerados durante o projeto para assegurar que so
compatveis com a realidade / necessidade da empresa;
preparar infra-estrutura para execuo dos testes (em ambiente de testes e/ou produtivo);
Pgina 28 de 86
6.8 Atividades de Validao
O Plano Mestre de Validao deve descrever as diretrizes para todas as atividades relacionadas
validao de sistemas computadorizados. No mnimo, os seguintes itens devem ser contemplados, de
forma geral, apoiados por procedimentos operacionais padres:
plano de validao;
anlise de riscos;
matriz de rastreabilidade;
calibrao;
relatrios de validao;
descontinuao do sistema;
treinamentos;
gerenciamento de desvios;
Pgina 29 de 86
7. Plano de Validao
O Plano de Validao o documento que descreve qual abordagem ser aplicada para a realizao da
validao de cada sistema computadorizado. Dependendo da estrutura de documentao da empresa o
Plano de Validao pode ser o prprio PMV ou estar contido neste.
introduo e escopo;
estrutura organizacional;
estratgia de validao
relao dos documentos que compe cada etapa da validao e o que se espera de cada etapa do
processo de validao;
critrios de aceitao;
cronograma;
glossrio.
Descrio das regras para reviso deste plano, quando necessrio, visto que a empresa pode alterar o
sistema (ex. upgrade) e com isso haver a necessidade de uma reviso. Recomenda-se que os
proprietrios/donos do sistema sejam envolvidos nesta etapa, tanto na criao quanto na reviso.
Pgina 30 de 86
7.3 Estratgia de Validao
avaliao de riscos;
avaliao de fornecedor.
matriz de rastreabilidade;
tratamento de desvios.
7.4 Responsabilidades
As responsabilidades devem ser descritas para cada uma das atividades a serem desenvolvidas ao longo
do processo de validao.
Devero ser definidas responsabilidades de aprovao para toda a documentao gerada ao longo de
processo de validao.
Pgina 31 de 86
8. Gerenciamento de Risco
8.1 Introduo
Este captulo tem por objetivo introduzir o conceito bsico para o gerenciamento de riscos durante todo o
ciclo de vida dos sistemas computadorizados novos e existentes.
Basicamente, este gerenciamento est associado s metodologias de anlise de riscos visando definir,
identificar e eliminar as possveis falhas, problemas ou riscos potenciais que estejam envolvidos nos
processos relacionados aos sistemas computadorizados.
8.2 Responsabilidades
Pgina 32 de 86
8.3 Abordagem para o Gerenciamento de Risco
Este guia descreve uma abordagem recomendvel para um gerenciamento de riscos com qualidade e
confiabilidade. Desta forma, seguem abaixo dois pontos relevantes a serem considerados na qualidade de
um gerenciamento de riscos:
uma avaliao de riscos com qualidade deve basear-se nos conhecimentos cientficos e na relao
desses com a segurana do paciente;
Com o objetivo de aplicar um gerenciamento de risco com qualidade necessrio ter um profundo
conhecimento dos processos envolvidos em um sistema computadorizado, considerando os potenciais
impactos na segurana do paciente, qualidade do produto e integridade dos dados. Os seguintes aspectos
devem ser considerados durante sua aplicao:
Dano: danos para a sade, incluindo danos que podem ocorrer devido a uma perda de qualidade do
produto ou de sua disponibilidade.
Pgina 33 de 86
8.4.1Quais so os perigos?
Os danos potenciais devem ser baseados na identificao dos perigos. Alguns exemplos de danos
potenciais incluem:
Deve se avaliar o impacto na segurana do paciente, qualidade do produto e na integridade dos dados,
visando estimar suas possveis conseqncias.
Pgina 34 de 86
8.4.4 Qual a probabilidade da falha?
Um risco pode ser eliminado, totalmente reduzido ou reduzido a nveis aceitveis atravs da aplicao de
medidas de controle para a reduo de sua probabilidade de ocorrncia ou aumentando-se a sua
detectabilidade. Esses controles podem ser automatizados, manuais ou uma combinao dessas duas
formas.
O fluxograma abaixo descreve basicamente cinco passos fundamentais e importantes para serem
considerados durante a realizao do gerenciamento de riscos:
Pgina 35 de 86
8.5.1Etapa 1
A Etapa 1 composta pela realizao da avaliao inicial de riscos e determinao dos impactos do
sistemas.
A avaliao inicial de riscos tem o objetivo de detectar se o sistema no geral tem impacto em BPx. Nesta
fase, a avaliao no considera o detalhamento dos processos e particularidades de cada funo. Os
cenrios de riscos so levantados de maneira genrica.
Exemplo para ERP: anlise para a identificao dos mdulos que possuem impacto em BPx.
Todas as avaliaes iniciais podem contribuir para o projeto. Os pr-requisitos importantes para a
realizao desta atividade devem abranger:
funo principal do sistema computadorizado para suporte e apoio aos processos envolvidos;
requerimentos claramente definidos (o desenvolvimento dos requerimentos pode ser alterado pela
avaliao de riscos).
identificao antecipada dos pontos-chaves que requerem uma ateno durante as fases do projeto,
incluindo atributos de qualidade e parmetros crticos dos processos, quando aplicvel;
gerao, manipulao ou controles de dados que visam suportar requisitos regulatrios, segurana e
eficcia das operaes envolvidas;
Pgina 36 de 86
8.5.2 Etapa 2
A Etapa 2 composta pela identificao das funes ou processos que tm impacto em BPx para o
sistema ou mdulos que foram detectados na Etapa 1.
Para a definio dos processos fundamental que seja realizado um levantamento ou mapeamento
visando identificao das principais funcionalidades e atividades crticas que esto envolvidas no
sistema computadorizado.
Durante a definio dos processos importante salientar que estes so muito mais do que um simples
retrato da lgica de entradas e sadas entre usurios e funcionalidades. uma atividade de anlise e
avaliao cujo resultado deve retratar claramente como ocorrem os trmites internos no sistema/processo,
quais so os seus pontos fracos, onde esto os riscos, como ocorrem os fluxos das informaes, quais
so as responsabilidades por cada etapa e, principalmente, quais so os resultados efetivos que
constituem todos os processos relacionados ao sistema computadorizado. recomendvel a utilizao de
fluxogramas ou quaisquer outras ferramentas visuais.
Como princpio fundamental para um levantamento eficaz de riscos dos processos em um sistema
computadorizado, necessrio entender as diferenas entre tarefas, atividades, funcionalidades,
interfaces, sub-processos, processos e macro-processos (todos contemplando as diferentes reas
envolvidas).Aps definio dos principais processos, o gerenciamento de riscos visa demonstrar a
complexidade e dimenso de cada funo critica relacionada a uma funcionalidade.
8.5.3 Etapa 3
A Etapa 3 composta pela avaliao detalhada dos riscos das funcionalidades do sistema identificadas
durante o mapeamento dos processos.
Avaliaes de riscos adicionais podem ser necessrias quando novos mtodos ou requerimentos so
solicitados durante o ciclo de vida.
8.5.4 Etapa 4
Esta etapa inclui a identificao, implementao e verificao dos controles para eliminao ou reduo do
risco.
Controles so basicamente medidas implementadas para reduzir um risco a um nvel aceitvel. Esses
controles podem fazer parte de uma funcionalidade do sistema computadorizado, com procedimentos
manuais em paralelo ou podem ser uma combinao e integrao de ambos.
Pgina 37 de 86
reduo dos riscos atravs de implementao de outros processos que detectem a falha;
plano de contingncia;
recuperao de desastre;
segurana do sistema;
controle de mudanas;
revises peridicas.
Controles adicionais podem ser includos posteriormente a avaliao dos riscos das funcionalidades.
Recomenda-se realizar uma reviso da concluso da avaliao de riscos, uma vez que estes novos
controles podem resultar em processos e testes mais simplificados.
Pgina 38 de 86
Exemplos de controles para reduo de riscos:
Alguns controles de processos podem estar integrados a um sistema, tais como, alarmes, controle de
acesso e/ou avisos de verificao. Alternativamente estes controles tambm podem estar disponveis de
forma independente em processos externos ao sistema, tais como, anlises qumicas, fsicas ou
verificao pelo usurio.
Controles Estratgicos
Meios que permitam identificar a entrada de dados pelo usurio aumentando a deteco
de erros (Trilha de auditoria).
Pgina 39 de 86
Se os controles selecionados no forem adequados para um nvel de aceitao, amplas estratgias de
controle podem ser consideradas e adotadas. Seguem abaixo alguns exemplos de abordagens mais
amplas para o controle de riscos:
Alterar a documentao aprovada incluindo ou retirando informaes que refletem nos riscos j
apontados.
Preveno de Riscos
8.5.5 Etapa 5
Esta etapa deve prever a reviso e o monitoramento dos controles adotados na Etapa 4, tarefa que pode
ser realizada na reviso peridica para manuteno do estado validado ou durante a avaliao dos riscos
desencadeada por um controle de mudanas.
Pgina 40 de 86
8.6 Metodologia para Anlise de Riscos
A anlise de riscos tem como propsito estabelecer uma maneira de combinao da severidade,
probabilidade de ocorrncia e detectabilidade de falhas, reduzindo estas a um nvel aceitvel. Severidade
refere-se s possveis conseqncias de um risco.
A metodologia apresentada neste documento fornece ferramentas simplificadas a serem utilizadas durante
a elaborao de uma anlise de riscos. Esta metodologia no obrigatria, podendo ser utilizadas outras
aplicveis para este tipo de atividade.
Cada risco identificado em uma funcionalidade do sistema pode ser analisado considerando-se dois
estgios importantes:
Severidade do impacto em BPx relacionado probabilidade dessa falha ocorrer, determinando assim a
classificao do risco.
A classificao do risco est ligada determinao da probabilidade do risco ser detectado antes de
ocorrer danos, determinando assim a prioridade de um risco.
Risco Classe 1
Risco Classe 2
Risco Classe 3
Severidade = Impacto na segurana do paciente, qualidade do produto e integridade dos dados (ou outro risco).
Pgina 41 de 86
Risco de Probabilidade Alta
A prioridade do risco visa disponibilizar auxlio para focar a ateno em reas regulamentadas da
empresa, cujos processos esto mais expostos aos riscos. Isto pode ser considerado no relacionamento
da tolerncia do risco, que varia de empresa para empresa baseando-se na variedade dos processos e
requisitos regulatrios aplicveis.
A aplicao de uma metodologia eficaz depende da capacidade de definir com clareza os parmetros
estabelecidos para a classificao alto, mdio e baixo de cada item a ser avaliado. Isso pode ser
considerado especificamente no contexto de cada projeto do sistema.
Pgina 42 de 86
8.7 Comunicao e Documentao do Risco
Esta comunicao e compartilhamento de riscos deve ser adotada durante todo o processo de
gerenciamento dos riscos, principalmente quando envolve eventuais mudanas ou adaptaes dos
processos, posteriormente contribuindo para uma otimizao e melhorias do mapeamento e gesto de
processos.
Pgina 43 de 86
8.8 Viso geral do processo de anlise de riscos
Identificao do
Processo
No
Documentar
Risco Validao do sistema no
avaliao BPx
BPx? necessria
Sim
Identificar cenrio do
risco
Avaliar probabilidade
de falha
Avaliar severidade do
impacto
Determinar o grau do
Descrio do Risco
risco
Relevncia BPx
Probabilidade de deteco
Severidade do Impacto
Classificao do risco
Gerenciamento dos
Controles
Figura 012
Pgina 44 de 86
9. Especificao de Requisitos do Usurio (ERU)
A Especificao de Requisitos (ou Requerimentos) do Usurio define de forma clara e objetiva todos os
requisitos necessrios que um sistema computadorizado deve atender e pode ser utilizado como um
documento contratual.
Geralmente elaborado pelo usurio, porm pode ser elaborado em conjunto com o fornecedor, sendo
revisado e aprovado pelos usurios envolvidos, incluindo a Garantia da Qualidade. Quando se trata de
sistemas computadorizados j implementados na empresa (legados), este documento poder ser
elaborado no formato de uma Especificao Funcional de forma a integrar os requisitos dos usurios,
conforme histrico de sua operao do sistema.
Durante a elaborao deste documento devem ser estabelecidas todas as necessidades da empresa em
relao instalao, operao e desempenho do sistema, inclusive equipamentos e utilidades que o
suportam. Tambm devem ser consideradas todas as necessidades do usurio em termos de capacidade
tecnolgica, segurana dos dados e informaes, requisitos de engenharia, interfaces, manuteno e
atendimento s BPx.
A ERU tem um papel muito importante para validao dos sistemas computadorizados, pois dependendo
da estratgia e requisitos apontados neste documento, possvel mudar totalmente o custo e o escopo de
um projeto. recomendvel que a elaborao deste documento seja realizada por uma equipe
multidisciplinar para que todas as necessidades (por exemplo: hardware, software, infraestrutura,
particularidades do projeto, etc.), sejam devidamente identificadas e descritas.
Segue abaixo a relao dos principais itens que podero ser considerados durante a elaborao de uma
ERU:
9.1.1 Introduo
Pgina 45 de 86
9.1.2 Objetivo e Escopo
Este item deve descrever de forma resumida o objetivo e escopo dos itens requeridos para um
determinado projeto, orientando o fornecedor sobre o que o sistema dever contemplar.
objetivos-chave;
benefcios;
Este item descreve ou referencia o mapeamento de processos e/ou sub-processos relacionado ao sistema
computadorizado a ser requerido ou implementado. Este item poder ser elaborado atravs da descrio
dos processos envolvidos ou atravs de fluxogramas que demonstrem uma viso geral de todas as
atividades, processos, sub-processos, tomadas de deciso, resultados e interfaces do respectivo sistema.
O mapeamento de processos tambm se aplica a sistemas legados e pode ser elaborado separadamente
ERU.
Este item deve descrever todas as funcionalidades requeridas no sistema pelos usurios. Cada requisito
deve ter um nico nmero de referncia, para facilitar a rastreabilidade e a referncia cruzada com outros
documentos. Basicamente esta estrutura deve conter para cada item o nmero e a descrio do requisito.
Durante o levantamento dos requisitos funcionais, os seguintes parmetros podem ser considerados:
funes de clculos;
requisitos da Interface com o usurio (por exemplo: layout, consultas, alarmes, relatrios, linguagem
utilizada, etc.);
Pgina 46 de 86
requisitos de hardware, sistemas operacionais e base de dados (por exemplo, no caso de sistema
operacional, descrever a especificao mnima e verso);
requisitos de segurana de usurio incluindo nveis de acesso (por exemplo: usurio do sistema,
administrador de dados, etc.);
disponibilidade de recursos;
recomendvel realizar a classificao dos itens requeridos pelos usurios, pois este processo contribui
para a identificao dos possveis riscos s BPx que um sistema computadorizado pode possuir.
Seguem abaixo alguns dos principais itens a serem contemplados no processo de classificao dos
requisitos do usurio:
Informativo: no exatamente um requisito e sim uma informao que ser dada aos fornecedores para
auxili-los na elaborao de suas propostas comerciais;
Regulatrio e/ou Mandatrio: requisito que obrigatoriamente dever ser considerado durante o
desenvolvimento do sistema/equipamento e obrigatoriamente ser avaliado durante o processo de
validao do sistema por ter impacto em BPx;
Pgina 47 de 86
9.1.7 Ambiente Fsico
Esta seo ir definir o ambiente fsico no qual o sistema dever operar, podendo conter os seguintes
tpicos:
layout: layout fsico das instalaes ou outros locais de trabalho que possam ter impacto no sistema,
como por exemplo, links para outros sistemas remotos ou limitao de espao;
condies atmosfricas: se o sistema ir trabalhar num ambiente com gases inflamveis, solues
cido-bsicas, etc.;
treinamentos;
documentao exigida;
manuteno do sistema;
Pgina 48 de 86
10. Especificao Funcional
10.1 Introduo
A especificao funcional deve definir clara e completamente o que o sistema computadorizado faz e quais
funes e instalaes so fornecidas para atender as necessidades descritas nos Requisitos do Usurio. A
especificao funcional tipicamente produzida por um fornecedor, seja ele interno ou externo empresa
e deve ser revisada e aprovada pelo contratante, podendo ser considerado um documento contratual.
detalhes dos aspectos funcionais e de dados do sistema que atendero aos Requisitos do Usurio, em
uma linguagem clara e compreensvel para os usurios;
A Especificao Funcional dever ser clara, para que em caso de consulta possa ser entendida, devendo
ser preparada e organizada de uma maneira que permita rastreabilidade entre os requisitos do usurio e
as funcionalidades.
10.3 Responsabilidades
elaborar o documento;
revisar e aprovar o documento no que se refere parte tcnica, validao e requisitos regulatrios;
10.4.1 Introduo
Esta seo poder conter uma viso geral do sistema, descrevendo as funcionalidades e suas interfaces.
Nesta parte da documentao podem-se inserir referncias s regulamentaes relevantes, assim como,
quaisquer divergncias entre a funcionalidade fornecida pelo sistema e o respectivo requisito do usurio,
caso existam.
Pgina 49 de 86
10.4.2 Funes
Esta seo prope conter as descries constantes no Requisito do Usurio, devendo ser desdobradas
para um nvel de funes individuais. Poder descrever as funes e instalaes a serem fornecidas,
juntas com modos especficos de operao.
objetivo de cada funo ou instalao, e os detalhes de seu uso, incluindo interface com outras partes
do sistema. Entradas, sadas, clculos crticos, lgicas de funcionamento, e impactos em outras
funes e/ou outros sistemas e/ou o ambiente devem ser o foco;
segurana: este tpico deve incluir ao em caso de falhas do software selecionado ou falhas no
hardware, checagens automticas, checagem de valores de entrada, redundncia, restries de
acesso e recuperao de dados;
10.4.3 Dados
campos requeridos;
Pgina 50 de 86
relacionamentos de dados;
10.4.4 Interfaces
As interfaces do sistema devem ser descritas, definindo com quais os sistemas ou subsistemas interage, o
que eles fornecem independentemente, e o que eles requerem. Para sistemas regulados pelas BPx, a
segurana da interface importante. Os seguintes assuntos devem ser descritos:
interfaces com usurios: isto deve ser definido em termos de regras, por exemplo, operador,
administrador, auxiliar, ou administrador do sistema - considerar tipos de perifricos, formato geral de
telas e relatrios, manuseio de erros e relatrios de segurana;
os modos para entrada do usurio tambm devem ser definidos, por exemplo, teclado e mouse, tela
sensvel ao toque, etc.;
interface com outros sistemas: abrangendo o modo, mtodos, tempo e regras de interao.
temporizao;
protocolo de comunicao;
acesso e segurana.
Pgina 51 de 86
10.4.5 Ambiente Operacional
Esta seo deve definir qualquer requerimento lgico ou fsico no qual o sistema ir trabalhar, por
exemplo: infraestrutura de comunicao (rede local, rede remota), condies ambientais (ambiente com
p, corrosivo), especificaes de hardware (velocidade de processador, espao em disco), espao fsico,
utilidades, etc.
10.4.6 Restries
10.4.7 Apndices
Quando apropriado, por exemplo, em pequenos sistemas, os apndices podem ser fornecidos para definir
especificaes de hardware e software.
Pgina 52 de 86
11. Desenho de Software (Software Design)
11.1 Introduo
A especificao de desenho fornece detalhe tcnico do sistema sendo uma expanso da especificao
funcional. A especificao de desenho descreve como o sistema atender cada uma das funes definidas
na especificao funcional.
O uso de diagramas e tabelas para ilustrar o sistema e configuraes altamente recomendvel. Caso
esses diagramas e tabelas sejam produzidos separadamente ou em outro documento, eles devem ser
referenciados na especificao de desenho.
Diagramas podem ajudar no desenho do software para esclarecer e explicar o fluxo de dados, a lgica do
sistema, a estrutura de dados e interfaces.
aceitvel a produo de mais de uma Especificao de Desenho para uma nica Especificao
Funcional. Neste caso, cada Especificao de Desenho dever ser rastrevel e referenciada na
Especificao Funcional.
recomendvel que todo o sistema computadorizado tenha uma especificao de desenho. Seu
fornecimento empresa depender do resultado de anlise de riscos levando em conta sua complexidade
e criticidade.
Os mdulos ou as partes que compem o sistema, quando aplicvel, devem ser descritos individualmente
de forma resumida. A lista de todas as interfaces entre os mdulos e tambm as interfaces com sistemas
externos deve ser includa. Um diagrama de dados do sistema recomendvel.
Pgina 53 de 86
11.3.2 Dados do sistema
Os dados e objetos do sistema devem ser definidos. Eles devem estar caracterizados de forma hierrquica
sendo que esses objetos podem incluir:
banco de dados;
pacotes de arquivos;
registros.
algoritmos;
descrio ou exemplos de todas as telas do sistema (isto pode ser uma referncia para a
documentao do usurio ou manual de operao);
dados (contedo).
Pgina 54 de 86
12. Especificao Tcnica (Hardware Design)
A Especificao Tcnica deve detalhar o desenho e os requisitos relacionados aos componentes de
infraestrutura tecnolgica na qual o sistema computadorizado ser instalado para uso.
A Especificao Tcnica baseada nos requisitos tcnicos necessrios para a instalao e configurao
de um sistema computadorizado de forma a garantir sua integridade, segurana e desempenho em seu
ambiente de teste e operacional.
Este documento deve ser referenciado nos demais documentos que envolvem o projeto de validao,
conforme a estratgia e metodologia adotada pela empresa.
Segue abaixo a relao dos principais itens que podem ser considerados durante a elaborao de uma
Especificao Tcnica:
12.1.1 Introduo
Este item deve descrever de forma resumida o objetivo e escopo dos itens tcnicos utilizados ou
necessrios para o sistema, bem como a descrio das responsabilidades e a lista de referncias
cruzadas (relacionamento com outros documentos).
Este item deve descrever todos os requisitos tcnicos, considerando hardware e software, para um
determinado sistema computadorizado. Durante a avaliao e/ ou levantamento dos requerimentos
tcnicos os seguintes parmetros podem ser considerados:
interferncias externas;
segurana fsica.
Pgina 55 de 86
12.2 Especificaes de Hardware
Esta especificao deve prever descrio dos itens abaixo, quando aplicvel, mas no limitados a:
12.2.1 Servidores
Esta seo deve prever a descrio dos itens relacionados automao, como por exemplo:
detalhar os componentes do hardware de automao e/ou controle como PLC, DCS e interfaces como
IHM e supervisrio, incluindo CPU, cartes de entradas e sadas, switches industriais, fontes, painis,
cartes de interface, etc.;
detalhar elementos finais de atuao e instrumentao, tais como: sensores, vlvulas, etc.;
Pgina 56 de 86
13. Testes de Qualificao (QI, QO e QD)
Recomenda-se que o Protocolo de Qualificao de Instalao contemple a abordagem a ser aplicada para
a realizao desta etapa da validao do sistema computadorizado.
13.1.1 Objetivo
13.1.2 Alcance
backup e recuperao;
controle de mudanas;
desvios de qualidade;
plano de contingncia;
Existente: Quando a qualificao de infraestrutura for existente, esta deve ser referenciada no protocolo
de QI e este deve contemplar a estratgia de instalao do sistema a ser qualificado.
Pgina 57 de 86
13.1.5 Procedimentos para a Execuo dos Testes
Recomenda-se que os documentos que forneam a base para elaborao do protocolo de testes sejam:
Plano de Validao;
Requisitos do Usurio;
Especificao Tcnica;
Manuais do Sistema/Equipamentos.
As verificaes devem ser assinadas e datadas pelo executante e pelo conferente. Quando houver
comprovao dos resultados do teste, facultativa a assinatura do conferente.
Este item trata da descrio, clara e objetiva, da metodologia e estrutura adotada para a elaborao dos
testes.
data de emisso;
Pgina 58 de 86
resultado final de todos os passos do teste executado (aprovado/reprovado);
cpia de tela, relatrios emitidos pelo sistema ou outra forma de comprovao de todos os resultados
dos testes;
Descrio das aes a serem tomadas para execuo de uma alterao ou correo do sistema validado
durante ou aps o trmino da Qualificao de Instalao.
O encerramento da Qualificao de Instalao deve estar relacionado a uma concluso que poder ter a
forma de relatrio ou de um item do prprio protocolo.
Pgina 59 de 86
13.2 Protocolo de Qualificao de Operao (QO)
13.2.1 Objetivo
A Qualificao de Operao (QO) tem com objetivo referenciar, verificar e documentar as condies de
operao do Sistema e se este cumpre satisfatoriamente com os requisitos pr-definidos para sua
operao. Quando possvel, o protocolo deve ser executado em ambiente de testes, sendo este cpia fiel
do ambiente que ser usado em produo.
13.2.2 Alcance
Possibilitar a verificao de conformidade com as normas de BPx e outras normas tcnicas aplicveis;
Este tpico contempla a descrio do objetivo, das atividades envolvidas e funcionalidades do sistema a
ser validado.
Recomenda-se que os documentos que forneam a base para elaborao do protocolo de testes sejam:
Especificao Funcional;
anlise de riscos;
manuais do sistema/equipamento.
Pgina 60 de 86
13.2.5 Instrues Gerais
O incio dos testes desta fase est condicionado concluso satisfatria da etapa anterior
(Qualificao de Instalao);
as verificaes devem ser assinadas e datadas pelo executante e conferente. Quando houver
comprovao dos resultados do teste, facultativa a assinatura do conferente;
descrio de forma clara e objetiva da metodologia e estrutura adotada para desenvolvimento dos
testes.
data de emisso;
cpia de tela, relatrios emitidos pelo sistema ou outra forma de comprovao dos resultados dos
testes;
Pgina 61 de 86
13.2.8 Controle de Mudanas
Descrio das aes a serem tomadas para execuo de uma alterao ou correo do sistema validado
durante ou aps o trmino da Qualificao de Operao.
O encerramento da Qualificao de Operao deve estar relacionado a uma concluso que poder ter a
forma de relatrio ou de um item do prprio protocolo.
Pgina 62 de 86
13.3 Protocolo de Qualificao de Desempenho (QD)
13.3.1Objetivo
A Qualificao de Desempenho (QD) tem como objetivo referenciar, verificar e documentar que o sistema
computadorizado, aps ser instalado no ambiente de produo e estar adequadamente parametrizado,
cumpre satisfatoriamente com os requisitos pr-definidos pela Especificao de Requerimentos do Usurio
e/ou Especificao Funcional.
13.3.2 Alcance
possibilitar a verificao de conformidade com as normas de BPx e outras normas tcnicas aplicveis;
Recomenda-se que os documentos que forneam a base para elaborao do protocolo de testes sejam:
anlise de riscos;
manuais do sistema/equipamento.
Pgina 63 de 86
13.3.5 Instrues Gerais
O incio dos testes desta fase est condicionado concluso satisfatria da etapa anterior
(Qualificao de Operao);
as verificaes devem ser assinadas e datadas pelo executante e pelo conferente. Quando houver
comprovao dos resultados do teste, facultativa a assinatura do conferente;
descrio de forma clara e objetiva da metodologia e estrutura adotada para desenvolvimento dos
testes.
data de emisso;
cpia de tela, relatrios emitidos pelo sistema ou outra forma de comprovao dos resultados dos
testes;
Pgina 64 de 86
13.3.7 Controle de Mudanas
Descrio das aes a serem tomadas aps uma alterao ou correo do sistema validado durante ou
aps o trmino da Qualificao de Desempenho.
O encerramento da Qualificao de Desempenho deve estar relacionado a uma concluso que poder ter
a forma de relatrio ou inclusa no prprio protocolo.
Pgina 65 de 86
14. Matriz de Rastreabilidade
14.1 Introduo
14.2 Princpios
A Matriz de Rastreabilidade estabelece a relao entre dois ou mais documentos que so desenvolvidos
durante o processo de validao. A Matriz assegura que:
requisitos sejam atendidos e possam ser rastreados s respectivas configuraes e/ou elementos
de desenho do sistema;
requisitos sejam verificados e possam ser rastreados para testar ou verificar atividades que
demonstram que os requisitos foram atendidos.
A Matriz de Rastreabilidade deve ser aprovada e deve ser integrada ao ciclo de vida do sistema.
A rastreabilidade pode ser demonstrada de diversas formas, tais como, Matriz de Rastreabilidade,
ferramentas automticas de softwares ou referncias diretamente inseridas nos documentos.
A Matriz de Rastreabilidade pode ser aperfeioada com a utilizao de colunas adicionais, tais como:
Pgina 66 de 86
breve descrio do requisito;
nvel de criticidade;
referncia a procedimento;
nvel de teste;
Pgina 67 de 86
15. Relatrio Final de Validao
O Relatrio de Validao deve conter no mnimo os seguintes itens:
15.1 Introduo
Este item deve indicar a qual projeto se refere o relatrio final de validao, bem como descrever seu
escopo e objetivo.
Mencionar, com suas respectivas identificaes e descries, todos os documentos gerados durante o
projeto, tais como:
anlise de riscos;
protocolos de testes;
desvios;
controles de mudanas;
Matriz de Rastreabilidade;
15.3 Concluso
Devem ser considerados ainda os requisitos para atendimento s normas regulatrias aplicveis,
conforme estratgia estabelecida no Plano de Validao.
A partir da data de aprovao do relatrio final de validao, o sistema deve estar sujeito a controle de
mudanas para quaisquer modificaes ou implementaes que porventura se faam necessrias.
Pgina 68 de 86
16. Operao
Este captulo trata dos itens da manuteno do estado de validao e administrao e segurana do
sistema.
Controles de mudanas devem fornecer um mecanismo eficaz e confivel para a rpida implementao de
tecnologias e melhorias nos sistemas computadorizados, abordando especificaes, desenvolvimento e
verificaes mencionadas no ciclo de vida.
As mudanas necessrias em um sistema computadorizado validado devem ser aprovadas por equipe
multidisciplinar que envolva a Garantia de Qualidade.
Em caso de mudanas emergenciais, estas devem ser registradas e, ainda assim, analisadas quanto ao
seu impacto e posteriormente analisadas e aprovadas pela Garantia de Qualidade. Os casos considerados
emergenciais devem estar previstos no procedimento de controle de mudanas da empresa.
Para manter um sistema computadorizado em estado validado, deve ser considerado o gerenciamento das
atividades crticas de sua administrao.
Deve haver um responsvel por assegurar o planejamento, superviso e/ou execuo de todas as
atividades administrativas do sistema. Este colaborador deve possuir conhecimento ou receber um suporte
em questes relacionadas s BPx, a fim de poder avaliar, em tempo adequado, os possveis efeitos das
atividades de manuteno.
Devem ser implementadas medidas que assegurem que o sistema e seus dados estejam protegidos
adequadamente contra perdas, danos intencionais ou acidentais, ou alteraes no autorizadas. Tais
medidas devem assegurar o controle contnuo, integridade, disponibilidade e a confidencialidade de dados
vinculados a atividades regulatrias.
Pgina 69 de 86
Deve ser definido um procedimento ou poltica para a administrao da segurana dos sistemas, levando
em considerao os seguintes tpicos:
log-out automtico: deve ser implementado um dispositivo que assegure que usurios no autorizados
no possam acessar as estaes de trabalho que sejam deixadas ligadas e disponveis, tal como
software aplicativo ou sistema operacional programados para interromper automaticamente.
16.4 Treinamento
Periodicamente, os usurios e o pessoal de suporte devem ser treinados. Deve ser mantido registro dos
treinamentos realizados.
Quaisquer desvios encontrados no sistema durante o ciclo de vida devem ser investigados e
documentados.
Pgina 70 de 86
16.6 Backup e Restaurao
Devem existir procedimentos que assegurem o processo de backup, restaurao e manuteno dos
registros.
Para a guarda do backup deve ser escolhida uma mdia adequada, levando-se em considerao: vida til,
condies de armazenamento da mdia e requisitos de verificao, atualizao e regravao.
O processo de backup deve ser documentado e testado. A documentao do backup deve abranger:
nmero de gravaes;
identificao da mdia;
descrio das medidas a serem tomadas em caso dos dados armazenados no poderem mais ser
lidos devido a mudanas de software e/ou hardware.
Pgina 71 de 86
16.7 Recuperao de Desastre
A recuperao de desastre tem por objetivo planejar as aes a serem adotadas para que sistemas
computadorizados validados voltem a operar em ambiente de produo.
planos de contingncia;
responsabilidades;
A reviso peridica de sistemas computadorizados deve ser realizada com o objetivo de garantir que
possveis mudanas de processo, de componentes do sistema ou de manutenes, por exemplo, no
tenham impactado no seu estado validado.
Deve ser determinado um cronograma de revises para todos os sistemas. A freqncia de reviso para
sistemas especficos deve ser baseada na sua criticidade. A reviso deve levar em considerao os
seguintes aspectos:
desvios ocorridos;
procedimentos operacionais;
Caso seja encontrado algum problema no sistema, um plano de ao deve ser estabelecido.
Pgina 72 de 86
16.9 Manuteno do Sistema Computadorizado
A manuteno deve ser conduzida regularmente, seguindo um plano de manuteno que deve
contemplar, quando aplicvel:
calibraes de rotina;
manutenes preventivas;
no-breaks.
Tem por objetivo assegurar que toda a documentao envolvida no ciclo de vida de um sistema
computadorizado validado seja devidamente arquivada, estando disponvel a qualquer momento.
Pgina 73 de 86
17. Particularidades de Validao por Tipo de Sistema
Devido complexidade dos sistemas computadorizados, existe uma padronizao global que visa
classific-los conforme sua atuao, facilitando o entendimento de sua aplicao.
Figura 014
ERP (Enterprise Resource Planning) ou SIGE (Sistema Integrado de Gesto Empresarial) so sistemas
computadorizados que integram um grande nmero de dados e processos de uma organizao em um
nico sistema. A integrao pode ser entre qualidade, finanas, contabilidade, recursos humanos,
fabricao, marketing, vendas, compras, etc.
Quando se trata da validao de um novo ERP recomendvel seguir todo o ciclo de vida para sistemas
computadorizados. Nestes casos fundamental que na estratgia de validao seja contemplado o
processo de migrao dos dados, pois na maioria dos casos existe a necessidade de migrar para o novo
sistema as informaes gerenciadas pelo sistema a ser desativado ou gerenciar por um determinado
perodo a consulta dos dados antigos.
As interfaces com o ERP tambm devem estar devidamente identificadas e ser consideradas na estratgia
de validao.
Pgina 74 de 86
17.1.2 Sistemas do Tipo CRM
Quando se trata da validao de um CRM recomendvel seguir todo o ciclo de vida para sistemas.
Nestes casos fundamental na estratgia de validao contemplar os processos relevantes s BPx.
Sistema de Pesquisa Clnica pode estar inserido no PLM (Product Lifecycle Management). Sistemas do
tipo PLM so aqueles que tratam do processo de desenvolvimento e estudos clnicos.
Quando se trata da validao deste tipo de sistema deve-se considerar todo o fluxo de materiais e
produtos, inventrio de estoques, gerenciamento e controle das movimentaes, rastreabilidade e
interfaces com o sistema.
So sistemas corporativos acessados remotamente por unidades locais visando assegurar a total
integridade e globalizao das informaes da empresa.
Para estes tipos de sistemas recomendvel verificar os requisitos e riscos globais e locais contemplados
no sistema, elaborando uma documentao local que identifique de forma geral os riscos envolvidos nos
principais processos relacionados ao sistema.
Pgina 75 de 86
18. Particularidades de validao para sistemas de controle e
execuo
Sistemas do tipo MES (Manufacturing Execution System) so aqueles que integram desde a automao
no cho-de-fbrica at o gerenciamento de informao, potencializando as informaes de controle de
processo, para anlise e interao, entre as diversas reas da indstria.
Quando se trata da validao de um sistema deste tipo recomendvel considerar durante a estratgia de
validao todos os controles, instrumentos e equipamentos que interagem com o mesmo, verificando os
possveis impactos nos processos produtivos e na qualidade final do produto.
Geralmente o MES um sistema com menos funcionalidades que o ERP, porm de alta complexidade
levando-se em considerao as interfaces com equipamentos e outros sistemas envolvidos na
manufatura, entre eles, o prprio ERP, LIMS (Laboratory Information Management System), GED
(Gerenciamento Eletrnico de Documentos) ou EDMS (Electronic Documents Management System),
supervisrios, etc.
So funcionalidades clssicas dos sistemas tipo MES: sistemas de controle e gerenciamento de etapas de
fabricao (pesagem, produo e embalagem); rastreabilidade de processo produtivo; documentao
eletrnica de lote, controle e execuo de receitas de fabricao eletrnica.
Podem possuir interfaces com sistemas de dados cromatogrficos, instrumentos analticos, relatrios,
outros sistemas, etc.
importante ressaltar que frmulas e decises algortmicas do sistema LIMS devem ser documentadas e
verificadas durante a validao.
Pgina 76 de 86
18.3 Gerenciamento de Dados
Devido natureza critica dos dados arquivados no LIMS, deve-se assegurar a integridade destes. Os
pontos crticos incluem, mas no se limitam a:
produto/lote;
cdigo do produto;
estabilidade;
resultado analtico;
especificao do material;
nmero da amostra;
data da amostra;
horrio da amostragem;
status da amostra;
metodologia de teste;
data de reteste/validade.
Pgina 77 de 86
19. Sistemas de cho de fbrica
19.1 Introduo
Os sistemas de controle de processos podem ser divididos em dois: sistemas embarcados (embedded) e
sistemas individuais (stand alone).
autoclaves;
drageadoras;
liofilizadores;
encartuchadoras.
monitoramento ambiental.
A estrutura das atividades do ciclo de vida e documentao so as mesmas j descritas neste guia. Alguns
detalhes especficos para os sistemas de automao sero descritos a seguir.
Pgina 78 de 86
19.3 Detalhamento da documentao de Projeto
Estes testes so efetuados para provar a correta operao do software, hardware e instrumentao como
definido pelos requerimentos do usurio. Estes testes devem ser baseados em uma especificao de teste
de aceitao do sistema revisado e aprovado.
Os testes nas dependncias do fornecedor que so efetuados antes da entrega para o usurio so
denominados Teste de Aceitao de Fabrica(Factory Aceptance Test FAT), estes testes so efetuados
para que se possam identificar problemas antes de se entregar o projeto ao usurio. Para sistemas
independentes, devem ser realizados testes no fornecedor simulando situaes reais.
O Teste de Aceitao Local (Site Acceptance Test SAT) executado para determinar que o sistema e
quaisquer equipamentos associados no tenham sido danificados e as funes estejam corretas em seu
ambiente de operao. O SAT normalmente constitui a repetio do FAT no ambiente de operao
compreendendo os testes crticos envolvendo o processo, instrumentao de campo, interfaces e
conexes estabelecidas.
Neste tipo de arquitetura, importante ressaltar que todos os componentes que so fontes de interface
com a operao, IHM, supervisrio e outros devem atender requisitos de segurana descritos neste guia,
relativos assinatura eletrnica, registro eletrnico e controle de acesso. Todos os componentes da
arquitetura devem estar contemplados na validao, mesmo que fisicamente no estejam conectados.
Pgina 79 de 86
20. Descontinuidade
20.1 Introduo
A migrao dos dados pode ser necessria quando um sistema existente substitudo por um novo
sistema, quando um sistema operacional passa por uma mudana significativa ou quando o escopo de uso
do sistema sofre uma modificao significativa. O processo de migrao deve ser exato e completo. Deve
haver verificao do processo de migrao.
tratamento de registros com impacto em BPx (registros que devem ser mantidos, perodo de reteno
e quais registros podem ser destrudos);
introduo;
Responsabilidades;
Pgina 80 de 86
21. Tratamento de Registros Eletrnicos, assinaturas eletrnicas e
Controle de Acesso
O controle de acesso uma das partes mais importantes do processo de validao de sistemas
computadorizados.
Deve ser entendido que nenhum sistema estar devidamente habilitado se o controle de acesso for feito
de forma inadequada.
Todos os sistemas com impacto em BPx devem ter um rigoroso controle de acesso que dever contar no
mnimo com os requisitos abaixo:
fluxo de aprovao envolvendo tanto as reas solicitantes dos acessos, quanto as reas envolvidas ou
afetadas pela utilizao das funcionalidades atribudas aos solicitantes, com avaliao sob a tica das
BPx;
acessos individualizados por nome, de forma a se identificar inequivocamente o usurio que executou
uma determinada ao no sistema;
Durante o processo de validao do sistema, devero ser desenvolvidos testes e desafios comprovando
que as transaes crticas em termos de BPx estejam exclusivamente associadas a usurios aptos e
responsveis por elas.
Pgina 81 de 86
21.2 Assinaturas Eletrnicas
A assinatura eletrnica uma forma de assinatura que substitui a manuscrita, desde que tenha a sua
veracidade e validao devidamente executada, assegurando inequivocamente que seja inviolvel,
intransfervel e adequadamente segura. Em nenhuma hiptese deve ser permitida a utilizao de nomes
de usurios e senhas coletivas, pois implicam em perda total da rastreabilidade.
Todo o processo de utilizao de assinaturas eletrnicas dever ser descrito em procedimento operacional
padro, independentemente do seu tipo.
registro do nome do usurio (por digitao, cartes de identificao, chip eletrnico, etc.) e a
respectiva senha individual e secreta;
leitura biomtrica (digital, ris, timbre de voz, palma das mos, etc.).
Recomenda-se que as senhas individuais e secretas utilizadas em conjunto com o nome do usurio sejam
compostas por letras, nmeros e caracteres especiais, devendo ser renovadas periodicamente.
Senhas expiradas devero impedir o acesso dos usurios, obrigando-os a substitu-las antes do acesso ao
sistema.
Aps um determinado nmero de tentativas frustradas de acesso, o sistema deve bloquear o acesso do
usurio e registrar estas tentativas.
As senhas devem ser armazenadas no banco de dados de forma encriptada. Adicionalmente, no momento
de sua digitao pelo usurio, a senha no deve ser legvel, podendo ser representada visualmente por
asteriscos, por exemplo.
O sistema computadorizado dever exigir a assinatura eletrnica para toda e qualquer funcionalidade
crtica de BPx, de forma a garantir que o registro tenha sido autenticado no momento da concluso pela
pessoa autorizada, evitando-se, por exemplo, que o usurio tenha deixado seu posto de trabalho com o
sistema aberto, e outro venha a executar e registrar uma operao em seu nome. Outra forma de se evitar
o uso indevido de senhas incluir no sistema computadorizado a funo de desconexo automtica do
usurio aps determinado tempo de inatividade.
Ao cadastrar um novo usurio no sistema, o Administrador dever atribuir-lhe uma senha provisria de
forma que este usurio seja obrigado a substitu-la no primeiro acesso.
Pgina 82 de 86
21.3 Registros Eletrnicos com impacto em BPx
O Registro eletrnico a forma que permite a substituio dos registros impressos por registros
eletrnicos, desde que validado.
Todo o processo de utilizao de registros eletrnicos dever ser descrito em procedimento operacional
padro.
garantia de recuperao de informaes registradas ao menos pelo perodo de reteno, mesmo aps
a descontinuidade do sistema;
segurana e inviolabilidade dos dados contidos nos bancos de dados do sistema, que no dever ser
acessvel para modificaes, mesmo que a impresso dos dados seja aplicvel;
Trilha de auditoria a capacidade do sistema de detectar e registrar qualquer alterao nos dados,
especificando seu contedo, incluindo data, hora, usurio, campo alterado, parmetro original, parmetro
novo e identificao do ponto de acesso do qual foi realizada a modificao.
Pgina 83 de 86
22. Glossrio / Siglrio
As definies mencionadas abaixo tm aplicao exclusiva neste guia, independente de aparecerem em
outros documentos.
Sigla Descrio
Aplicativo Sistema informatizado.
Backup Cpia de uma base de dados ou do software efetuado
em uma mdia externa capaz de garantir a restaurao
posterior quando necessrio.
BMS Building Management System: Sistema de controle que
inclui monitoramento centralizado de equipamentos
relacionado parte predial e utilidades, como ar
condicionado, ventilao, monitoramento ambiental de
salas limpas, controle de acesso, combate incndio,
estao de tratamento de efluentes, gua purificada,
gua para injetveis, vapor puro, etc.
BPx Sigla de Boas Prticas, onde x entende-se por
Fabricao, Laboratrio, Distribuio, etc.
Ciclo de Vida Perodo compreendido entre a concepo do sistema e
sua descontinuidade.
CLP Controlador Lgico Programvel.
Cdigo-Fonte Cdigo do sistema em linguagem de programao
utilizada para o desenvolvimento de aplicativos.
CPU Unidade Central de Processamento.
CRM Customer Relationship Management
DCS Distributed Control System = Sistema de Controle
Distribudo.
Descomissionamento Corresponde s atividades para controlar a retirada do
sistema.
Desenho Modelagem e arquitetura do sistema.
Desvios Qualquer evento no planejado, que ocorra em sistemas
computadorizados, podendo colocar em risco a
qualidade e/ou a segurana de um produto ou dado.
Disposio Dados, documentao, software e hardware podem ser
destrudos em diferentes perodos. Os dados e
documentao no podem ser descartados at que
atinjam o perodo de reteno do registro conforme
especificado nas BPx aplicvel.
EDMS Electronic Documents Management System
Pgina 84 de 86
HPLC High Performance Liquid Chromatography
Pgina 85 de 86
Trilha de auditoria (Audit Trail) Capacidade do sistema em detectar e registrar qualquer
alterao nos dados, especificando seu contedo,
incluindo data, hora, usurio, campo alterado, parmetro
original, parmetro novo e identificao do ponto de
acesso do qual foi realizada a modificao.
Utilidades Recursos utilizados direta ou indiretamente na produo
que podero ou no fazer parte dos produtos, como por
exemplo, energia eltrica, gua, vapor, ar comprimido,
etc.
Validao/qualificao concorrente Processo de validao executado em sistemas legados.
Validao/qualificao prospectiva Processo de validao executado em sistemas durante a
de sistemas implementao do sistema.
WMS Warehouse Management System
23.1 Guias
PIC/S Guidance on Good Practices for Computarized Systems in Regulated GxP Environments
(PI 011-3) September 2007;
Good Manufacturing Practice Guide for Active Pharmaceutical Ingredients Q7, International
Conference on Harmonisation of Technical Requirements for Registration of Pharmaceuticals for
Human Use (ICH);
FDA Guidance for Industry Part11, Electronic Records; Electronic Signatures Scope and
Application (August 2003);
23.2 Norma
23.3 Regulamento
Pgina 86 de 86