GAMP 5 Second Edition: Pharma Bilgisayarlı Sistem Validasyonunda V-Model ve Risk Bazlı Yaklaşım

GAMP (Good Automated Manufacturing Practice) ilk olarak 1991'de UK Pharmaceutical Industry Computer Systems Validation Forum tarafından yayımlandı. 2001'de ISPE (International Society for Pharmaceutical Engineering) sahipliğinde 4. baskı, 2008'de GAMP 5 First Edition çıktı — 'risk-based approach' devrim niteliğindeydi. 2022 Temmuz'da GAMP 5 Second Edition yayımlandı; agile development, DevOps, cloud, AI/ML ve data integrity konuları derinleştirildi. Düzenleyici tarafta resmi 'standart' değil, ancak FDA ve EMA müfettişleri GAMP referans alır — 'industry best practice' statüsü. ICH Q9 (Quality Risk Management) ve ICH Q10 (Pharmaceutical Quality System) ile uyumludur.

GAMP 5 yazılımı 5 kategoriye ayırır (Kategori 2 First Edition'da kaldırıldı). (1) Kategori 1 — Infrastructure Software: işletim sistemi, veritabanı motoru, antivirüs, ağ yazılımı. Validation effort: konfigürasyon kayıt + IQ. (2) Kategori 3 — Non-Configured Products: 'out-of-the-box' kullanılan COTS — Microsoft Excel, basit Word, kromatograf data system'ler standart konfig. Validation: konfigürasyon kayıt + minimal OQ. (3) Kategori 4 — Configured Products: kullanıcı tarafından yapılandırılan COTS — LIMS, ERP, MES, BMS (Building Management System). Validation: konfigürasyon dokümantasyon + tam OQ + PQ. (4) Kategori 5 — Custom Applications: özel kod (in-house geliştirme, custom macro, custom script). Validation: tam V-model — URS, FS, DS, code review, tüm testler. Risk skoru ve effort kategoriden kategoriye artar.

GAMP 5'in operasyonel iskeleti V-Model'dir. Sol kol (yukarıdan aşağıya): URS (User Requirements Specification — ne istiyoruz?), FS (Functional Specification — ne yapacak?), DS (Design Specification — nasıl yapacak?), Build (yazılım/yapılandırma). Sağ kol (aşağıdan yukarıya): IQ (Installation Qualification — doğru kurulu mu?), OQ (Operational Qualification — fonksiyonlar tasarımda olduğu gibi mi?), PQ (Performance Qualification — kullanım koşullarında çalışıyor mu?), UAT (User Acceptance Test — son kullanıcı kabul). Her sol-yan döküman bir sağ-yan teste karşılık gelir — URS karşılığı PQ, FS karşılığı OQ, DS karşılığı IQ. Test edilmemiş gereksinim olamaz; yazılı olmayan gereksinim test edilemez. Traceability matrix tüm gereksinim-test eşleşmesini gösterir.

GAMP 5 'tüm sistemleri eşit valide et' anlayışını terk eder. Yerine 4 adımlı risk değerlendirmesi: (1) System Risk Assessment — sistem GxP-critical mi (hasta güvenliği, ürün kalitesi, veri bütünlüğü etkili mi)? (2) Functional Risk Assessment — sistemin hangi fonksiyonları kritik? (3) Process Risk Assessment — fonksiyon başarısız olursa süreç nasıl etkilenir? (4) Risk Control — hangi fonksiyonel testler hangi derinlikte yapılacak. Yüksek risk + Kategori 5 = tam tasarım review + kod review + comprehensive OQ/PQ. Düşük risk + Kategori 3 = vendor IQ raporu yeterli, ek minimal test. Risk kayıt formu tüm karar gerekçelerini saklar.

FDA 21 CFR Part 11 (1997) bilgisayarlı sistemlerde elektronik kayıt ve imza için kuralları tanımlar. GAMP 5 Part 11 uyumunu V-model içine entegre eder. Anahtar kurallar: (1) closed system güvenlik (kullanıcı erişimi, MFA), (2) audit trail otomatik (kim, ne zaman, neyi değiştirdi), (3) elektronik imza biyometrik veya iki-faktör (password + token), (4) sistem validasyonu (GAMP 5 ile), (5) elektronik kayıt insan-okunabilir ve sistem-bağımsız (PDF/A, XML export). 2003 FDA 'Scope and Application' draft guidance Part 11'i 'predicate rule'a bağlı yorumladı — sadece GxP-kritik kayıtlar için tam Part 11 uyumu zorunlu, diğerleri için lighter approach kabul edilebilir. KaliteJet QMS modülü 21 CFR Part 11 uyumlu audit trail ve electronic signature destekler.

EU GMP Annex 11 'Computerised Systems' (revize 2011) Avrupa tarafında bilgisayarlı sistemler için referans. FDA Part 11'den daha geniş kapsamlı (sadece electronic records değil, sistem yaşam döngüsünün tamamı). 17 maddesinde: risk yönetimi, personel, tedarikçiler, validasyon, veri, doğruluk kontrolü, veri saklama, çıktılar, audit trail, değişiklik kontrolü, electronic signature, sistem güvenliği, incident management, iş sürekliliği, archiving. Türkiye İlaç ve Tıbbi Cihaz Kurumu (TİTCK) 'İyi İmalat Uygulamaları Kılavuzu' EU GMP'yi referans alır — Annex 11 doğrudan uygulanır. Pharma firmaları FDA ve EU GMP ikisini birlikte karşılamak için her iki standardın kesişimini implement eder.

GAMP 5 Second Edition (2022) en büyük yenilik agile development ve DevOps ortamlarında GxP validation. Geleneksel V-model 'big-bang' deployment modeline uygundur ama 2 haftalık sprint + CI/CD pipeline'a uymaz. Çözüm: 'Critical Thinking + Risk Assessment' her sprint başında, sprint sonunda 'validation evidence' otomatik üretim (test sonuçları, build log, deployment log). DevOps tarafında: infrastructure-as-code (Terraform, Ansible) → CI pipeline test (unit, integration) → CD pipeline release (validation evidence package) → ortam değişiklikleri otomatik audit. Microservice mimari her servis için kendi validation paketi. AI/ML modeller için ek konular: training data validation, model versioning, drift monitoring.

GAMP 5 Second Edition veri bütünlüğüne özel ek detay verir. ALCOA+ prensipleri (Attributable, Legible, Contemporaneous, Original, Accurate + Complete, Consistent, Enduring, Available) doğrudan validation testlerine yansıtılır. Örneğin: audit trail testi — kullanıcı 100 değişiklik yaparsa 100 audit log oluşmalı (Complete); zamansal sıralama korunmalı (Contemporaneous); ham veri silinemediği kanıtlanmalı (Original + Enduring). Detay: ALCOA+ veri bütünlüğü rehberi. MHRA, FDA, EMA son yıllarda veri bütünlüğü ihlali sebebiyle çok sayıda warning letter yayımladı — pharma firmaları için en kritik denetim risk alanı.

GAMP 5 Madde 'Supplier Assessment' bölümünde tedarikçi yönetimini detaylandırır. CSV süreci dış tedarikçilerden gelen sistemler için: (1) Tedarikçi audit — tedarikçinin geliştirme süreçleri (ISO/IEC 12207, SDLC) standart mı; (2) tedarikçi documentation — ne tür validation evidence sağlanıyor (IQ paketi, FAT raporu, source code escrow); (3) leveraging — tedarikçi testlerinden ne kadarı tekrar yapılmadan kullanılabilir; (4) tedarikçi onayı sonrası supplier change notification süreci (yazılım güncellemesi geldiğinde re-validation gerekli mi). Cloud LIMS tedarikçileri için ek konular: ISO 27001 sertifika, SOC 2 Type II, veri yerelleşmesi, multi-tenancy izolasyonu, exit/migration desteği.

KaliteJet QMS modülü GAMP 5 Second Edition uyumlu çerçeve sunar. Modüller: (1) URS/FS/DS dokümantasyon templates with traceability matrix, (2) Risk assessment formu (System + Functional + Process risk), (3) Test execution: IQ/OQ/PQ planları, test scripts, evidence collection, (4) 21 CFR Part 11 audit trail otomatik kayıt, (5) electronic signature MFA tabanlı, (6) deviation/CAPA workflow change control ile entegre, (7) supplier qualification dashboard, (8) data integrity check otomatik ALCOA+ kontrolleri. Periyodik review (yıllık) ve change control workflow ile sistem ömrü boyunca compliance korunur. Detay için demo: kontroljet.com/demo veya 0850 307 87 48.