Processus documenté visant à s’assurer qu’un système informatisé est adapté à l’usage prévu et fonctionne de manière constante dans des environnements réglementés.
La validation des systèmes informatisés (CSV) est le processus documenté visant à démontrer qu’un système informatisé est adapté à son utilisation prévue et fonctionne de manière constante conformément aux spécifications, dans le cadre d’un cycle de vie défini et maîtrisé. Elle est le plus souvent appliquée dans des industries réglementées telles que la pharmacie, les dispositifs médicaux et la fabrication agroalimentaire.
La CSV couvre à la fois le logiciel et son utilisation configurée dans un processus spécifique. Elle comprend généralement les exigences, la conception, l’évaluation des risques, les essais, la documentation et les activités de maîtrise des changements, afin de fournir des preuves objectives que le système fonctionne de manière fiable et reproductible.
Dans les environnements industriels et de fabrication, la validation des systèmes informatisés s’applique couramment à :
– Systèmes d’exécution de la fabrication (MES)
– Systèmes de gestion de l’information de laboratoire (LIMS)
– Modules de planification des ressources de l’entreprise (ERP) utilisés pour des activités pertinentes au regard des GxP
– Historisateurs, systèmes de dossiers de lot et journaux électroniques
– Systèmes d’automatisation et de contrôle lorsqu’ils ont une incidence sur les données réglementées ou la qualité produit
Les activités de CSV comprennent souvent :
– La définition de l’utilisation prévue et de l’impact réglementaire
– La capture des exigences utilisateur et fonctionnelles
– La vérification de la configuration du système et des points d’intégration
– L’exécution des essais de qualification d’installation, opérationnelle et de performance (souvent désignés IQ/OQ/PQ)
– L’établissement de procédures documentées pour l’exploitation, la maintenance, la sauvegarde et la sécurité
– La gestion des changements dans le cadre d’une maîtrise formelle des changements et d’une revue périodique
La CSV se concentre sur le système informatisé tel qu’il est mis en œuvre dans un environnement spécifique, et non uniquement sur le produit logiciel commercial lui-même.
Validation des systèmes informatisés :
– **Inclut** : les logiciels, le matériel, les éléments d’infrastructure (le cas échéant), la configuration, les interfaces et les flux de données qui affectent les processus réglementés, les enregistrements ou la qualité du produit.
– **Exclut** : les évaluations générales d’achats IT, les tests d’acceptation utilisateur réalisés sans cadre formel de validation, et les travaux de renforcement de cybersécurité pris isolément (même si la sécurité est un élément à prendre en compte dans la CSV).
La CSV se distingue de :
– **Tests logiciels généraux** : les tests peuvent faire partie de la CSV, mais la CSV exige également une documentation du cycle de vie, une traçabilité par rapport aux exigences, une justification fondée sur les risques et une maintenance maîtrisée.
– **Qualification d’équipement uniquement** : valider un système informatisé va au-delà de la vérification de l’équipement physique et inclut la logique logicielle, les flux de travail et les contrôles d’intégrité des données.
La validation des systèmes informatisés est souvent comparée à, ou confondue avec :
– **Computer Software Assurance (CSA)** : une approche plus récente fondée sur les risques et l’esprit critique, souvent présentée comme une perspective complémentaire ou évolutive par rapport à la CSV traditionnelle. CSV reste le terme largement utilisé dans de nombreuses organisations.
– **Validation de procédé** : elle vise à démontrer qu’un procédé de fabrication produit de manière constante un résultat conforme aux critères spécifiés ; la CSV porte sur le système informatisé qui soutient ou enregistre ce procédé.
– **Qualification** : désigne généralement la vérification de l’installation et du fonctionnement d’équipements ou d’environnements (p. ex., IQ/OQ/PQ). Ces activités peuvent constituer des composants d’un effort CSV plus large, mais ne sont pas équivalentes à la CSV à elles seules.
En pratique, les travaux de CSV sont menés dans le cadre de la gestion du cycle de vie du système, impliquant généralement :
– Des équipes pluridisciplinaires (IT/OT, QA, validation, ingénierie et utilisateurs métier)
– Une documentation formelle telle que des plans de validation, des spécifications d’exigences, des protocoles de test, des matrices de traçabilité et des rapports de validation
– Des activités continues telles que les évaluations d’impact des changements, les revues périodiques, le traitement des incidents et des écarts, ainsi que la revalidation documentée lorsque nécessaire
Pour les environnements OT et MES, la CSV s’étend souvent jusqu’aux interfaces d’atelier, aux couches d’automatisation et aux historiseurs de données lorsque ces composants influencent des enregistrements ou des décisions réglementés.
Lorsque les alertes MES sont intégrées à d’autres systèmes de l’usine (par ex., panneaux Andon, serveurs de messagerie, systèmes de maintenance ou autres outils OT/IT), la validation des systèmes informatisés couvre généralement :
– Le fait que la logique et les règles d’alerte se comportent comme spécifié et soient traçables aux exigences
– Le fait que les interfaces et les transferts de données soient maîtrisés, exacts et fiables
– Le fait que les défaillances ou pertes de communication soient détectées et traitées selon une manière définie et documentée
– Le fait que les modifications des configurations d’intégration suivent une maîtrise formelle des changements, avec évaluation d’impact et, si nécessaire, nouveaux tests
Dans ce contexte, la CSV ne se limite pas à l’application MES seule ; elle peut également couvrir les composants et interfaces connectés lorsqu’ils contribuent à des enregistrements réglementés, à des décisions ou à la qualité produit.