FDA 21 CFR Part 11 uyumlu klinik sistemlerin doğrulanması için risk tabanlı CSV (Bilgisayar Sistemi Doğrulama) yaklaşımı, GAMP 5 kılavuzlarıyla uyumlu olarak gerekmektedir. Test eden kişi, kullanıcı gereksinimlerini ALCOA+ (Attributable, Legible, Contemporaneous, Original, Accurate, Comprehensive, Consistent, Enduring, Available) ilkelerini kapsayan test senaryoları ile bağlayan bir izlenebilirlik matrisini kurmalıdır. Eşzamanlı erişim doğrulaması için, farklı araştırmacı rolleri, zaman dilimi farkları ve ağ gecikmesi koşullarını birleştiren çift yönlü test matrisleri uygulayarak iyimser kilitleme mekanizmalarındaki yarış durumlarını tespit edin. Elektronik imza doğrulaması, iptal edilen sertifikalar, süresi dolmuş LDAP kimlik bilgileri ve Charles Proxy veya Fiddler gibi araçlar kullanarak araya girme proxy müdahalesi ile negatif test uygulamaları gerektirir. Çevrimdışı senkronizasyon testleri, olumsuz olay verileri girişi sırasında uçağın modunu değiştirerek, ardından kontrol edilen bir şekilde yeniden bağlanarak çakışma çözümleme algoritmalarını ve denetim izi sürekliğini doğrulamak için gereklidir.
40 siteyi ve 12 zaman dilimini kapsayan bir Aşama III onkoloji denemesi için bir EDC sisteminin doğrulaması sırasında, esas araştırmacılar ve klinik araştırma koordinatörleri aynı eCRF vakıf defterine eşzamanlı olarak eriştiklerinde kritik hatalar ortaya çıktı. Sistem, JST (Japon Standart Saati) zaman dilimindeki bir koordinatörün yaptığı hayati veri girişlerinin, EST (Doğu Standart Saati) zaman dilimindeki araştırmacının değişikliklerini üst üste yazmasıyla sessiz veri silmeleri sergiledi; oysa denetim izi her iki değişikliği koordinatöre yanlış bir şekilde atfetti çünkü LDAP senkronizasyon gecikmesi yaşandı. Ayrıca, ağ istikrarsızlığı sırasında uygulanan elektronik imzalar, uygun PKI sertifika doğrulama zincirleri olmadan yetim kayıtlar oluşturdu ve düzenleyici başvuru bütünlüğünü tehlikeye attı.
Çözüm 1: Selenium Grid ile otomatik eşzamanlı test
Bu yaklaşım, eşzamanlı erişim senaryolarını tekrarlamak için dağıtılmış düğümler arasında eş zamanlı kullanıcı oturumlarını betimleyecektir. Artıları, yüksek tekrar edilebilirlik ve yüzlerce kombinasyonu hızlı bir şekilde yürütme yeteneğidir. Eksileri arasında olumsuz olay değerlendirmesi sırasında insan karar gecikmeleri gibi gerçek dünya klinik iş akışı ayrıntılarını simüle edememek ve düzenleyici ajansların özellikle 21 CFR Part 11 doğrulama paketleri için belgelenmiş manuel test kanıtı talep etmesi nedeniyle tamamen otomasyonun uyumluluk için yetersiz kalması sayılabilir.
Çözüm 2: Alan uzmanları ile ad-hoc keşif testleri
Klinik araştırma asistanları, benzer CTMS platformlarındaki deneyimlerine dayanarak plansız testler yapacaktır. Artıları arasında gerçekçi kullanılabilirlik sorunlarının ve alan spesifik kenar durumlarının keşfi yer alır. Eksileri arasında sistematik kapsama eksikliği, düzenleyici denetçiler için hataların tutarlı bir şekilde yeniden üretilme yeteneğinin olmaması ve imza doğrulama akışındaki kritik güvenlik sınır koşullarının gözden kaçırılma riski bulunur.
Çözüm 3: Zorunlu çevresel manipülasyon ile yapılandırılmış manuel matris testi
Üç kullanıcı rolünü (Başlıca Araştırmacı, Alt Araştırmacı, Koordinatör), dört zaman dilimi yapılandırmasını, iki ağ durumunu (istikrarlı, kesintili) ve üç imza durumunu (geçerli, süresi dolmuş, iptal edilmiş) birleştiren kapsamlı bir test matrisinin uygulanmasıdır. Artıları, FDA denetimleri için tam izlenebilirlik, sınır koşullarının sistematik kapsamı ve denetim izi davranışının ekran görüntüsü kanıtını yakalama yeteneği yer alır. Eksileri arasında yaklaşık 120 saatlik manuel yürütme gerektiren önemli bir zaman yatırımı ve özel PKI test altyapısı gereksinimi yer alır.
Düzeni, sistematik test kanıtları ile belgelenmiş kanıt gerektirdiğinden, Çözüm 3'ü seçtik. Metodoloji, IEEE 829 test belgeleri standartlarıyla uyumlu olup, FDA denetim hazır olabilmesi için gerekli denetim izi kanıtını sağlamaktadır. Keşif yaklaşımlarına göre daha fazla zaman alıcı olsa da, bu sistematik kapsam, sistemin tüm eşzamanlı erişim senaryolarında ALCOA+ veri bütünlüğü gereksinimlerini karşıladığını kanıtlamak için esastır. Ayrıca, sistematik kapsama temelini oluşturduktan sonra yalnızca hataları tespit etmek için hedefli keşif oturumlarıyla destekledik; bu sayede uyumluluk dokümantasyon standartlarını koruduk.
Sistematik yaklaşım, imzaların otomatik kaydetme aralığı penceresinde (yaklaşık 300ms) uygulandığında uygulamanın iyimser kilitleme mekanizmasında kritik bir yarış koşulunu açığa çıkardı. Bu keşif, imzalı kayıtlar için karamsar kilitlemenin uygulandığı bir yamanın yapılmasını sağladı ve sessiz veri kaybı senaryosunu önledi. Tam izlenebilirlik matrisleri ve kanıt ekran görüntüleri içeren doğrulama paketi, sponsorun kalite güvencesi denetiminden geçti ve daha sonra FDA tarafından ön onay denetiminde kabul edildi; bu, Yeni İlaç Başvuru zaman çizelgesinde olası gecikmeleri önledi.
Denetim izi değişmezliğini doğrudan veritabanı sorgu erişimi veya sunucu günlükleri olmadan nasıl doğrulayabilirsiniz?
Adaylar genellikle denetim izlerini doğrudan veritabanı tablolarını inceleyerek doğrulamaları gerektiğini yanlış şekilde varsayıyorlar. Düzenlenmiş ortamlarda, testçiler sistemi siyah kutu olarak ele almalı ve UI üzerinden denetim izinin değişmezliğini doğrulamalıdır; bu, denetim meta verilerini içeren gizli form alanlarını değiştirmek veya istemci tarafı sistem saatlerini manipüle ederek geriye dönük tarihli kayıtların kabul edilip edilmediğini test etmek gibi yasaklanan eylemler denemek anlamına gelir. Doğru yaklaşım, başlangıç durumunu kaydetmek, elektronik imza uygulamak gibi düzenlemelere tabi bir eylem gerçekleştirmek ve ardından kaydı hem standart UI akışları hem de Postman veya Burp Suite gibi araçlar kullanarak API müdahalesi ile silmeye veya değiştirmeye çalışmak için kontrol edilen test senaryolarını yürütmektir. Değişmezliğin doğrulanması, sistemin uygun hata mesajları ile değişiklik girişimlerini reddettiğini veya orijinal girdiyi koruyarak yeni değişiklik kayıtları oluşturduğunu doğrulamakla mümkündür ve görünür denetim izi raporunda eksiksiz öncesi-sonrası değer çiftleri sağlanmalıdır.
FDA düzenlemeleri kapsamında doğrulama testi ile rutin kalite güvencesi testi arasındaki fark nedir?
Birçok aday bu kavramları karıştırır ve standart işlevsel testlerin klinik sistemler için yeterli olduğunu öne sürer. Doğrulama testi özel olarak sistemin, çalıştığı ortamda beklenildiği gibi çalıştığını belgelemeyi gerektirmektedir, belirli bir IQ/OQ/PQ (Kurulum Nitelendirmesi/Operasyonel Nitelendirme/Performans Nitelendirmesi) protokolüne uyar. Rutin QA'dan farklı olarak, önceden onaylanmış beklenen sonuçlarla test senaryolarını yürütmeli, gereksinimlere bağlı test belgelerini versiyon kontrolü altında tutmalı ve kullanıcı ihtiyaçlarından test yürütmeye kadar izlenebilirliği sağlamalısınız. Anahtar ayrım, doğrulamanın sistemin "belirtilen kullanım için uygun olduğunu" kanıtlamasıdır, yalnızca hatasız olmasını değil. Bu, işlevselliğin yanı sıra afet kurtarma prosedürlerini, yedekleme geri yükleme bütünlüğünü ve güvenlik erişim kontrollerini test etmek anlamına gelir ve kalite güvencesi, sistem sahipleri ve genellikle dış denetçiler tarafından imzalanmış resmi bir doğrulama özet raporu ile tamamlanmalıdır.
Fiziksel olarak farklı konumlara seyahat etmeden küresel klinik denemelerde zaman dilimi işlemlerini nasıl test edersiniz?
Adaylar genellikle sistematik zaman dilimi testini göz ardı eder veya dizüstü bilgisayar saatlerini düzensiz bir şekilde değiştirmeyi önerir. Profesyonel metodoloji, belirli bölgesel ayarlarla yapılandırılmış izole test ortamları oluşturmayı ve NTP (Ağ Zaman Protokolü) devre dışı bırakılmış sanal makineleri kullanarak hedef zaman dilimlerini simüle etmeyi içerir. Zaman dilimindeki sınır koşullarını test etmelisiniz; örneğin, AEST (Avustralya Doğu Standart Saati) ve EST zaman dilimindeki deneme siteleri arasında farklı değişim tarihleri olduğunda yaz saati uygulaması geçişlerine dikkat edin; bu, denetim izlerinde bir saatlik örtüşmelere veya boşluklara neden olabilir. Ayrıca, NZST (Yeni Zelanda Standart Saati) zaman diliminde bir koordinatör, "önümüzdeki gün" olarak veri girişi yaptığında sistemin yerel giriş zamanını zaman dilimi farkıyla birlikte yakalayıp yakalamadığını doğrulayın; bu, verilerin sunucu zamanına yanlış bir şekilde dönüştürülmesini önler. Bu, ALCOA+ ilkeleri altında zamana uygun veri toplama gereklilikleri ile ilgili düzenleyici bulguları önler.