Mit Künstlicher Intelligenz zur Computer System Validierung (CSV)
Unternehmen in regulierten Branchen müssen für Softwaresysteme in kritischen Geschäftsbereichen den dokumentierten Nachweis erbringen, dass diese den vordefinierten Spezifikationen entsprechen und das Anforderungsprofil im Betrieb erfüllen. Dieser Nachweis wird durch eine Computer System Validierung (CSV) nach vorgegebenen Industriestandards – FDA-Guidelines, GxP-Richtlinien, IEC 62304 – erbracht.
CSV – notwendig, aber herausfordernd
Die Computer System Validation (CSV) ist aufwändig, aber notwendig. Dabei müssen zu jedem Zeitpunkt der Zustand einer Software im Einsatzkontext genau getestet, dokumentiert und validiert werden. Es ist zwingend erforderlich, dass Softwaresysteme sich immer in einem validierten Zustand befinden, das heißt, sie müssen nachweislich die spezifizierten Funktionalitäten erfüllen und entsprechend funktionieren. (Konfigurations-) Änderungen müssen zudem innerhalb formalisierter und nachvollziehbarer Change-Prozesse durchgeführt werden. Weiterhin ist es wichtig, die „Traceability“ zu gewährleisten, also die Zuordnung einzelner Prozesse, Tests, technischer Bausteine und Risiken untereinander sicherzustellen.
Diese Anforderungen sind risikobehaftet, fehleranfällig, mit hohem Aufwand verbunden und damit kostspielig. Erfahrungswerte zeigen, dass die zusätzlichen Kosten für CSV bei ungefähr 30% der Kosten für die Software-Einführung liegen. Die CSV-Aufwände sind noch höher bei Änderungen (Changes) an bestehenden Systemen und übersteigen häufig die Kosten für die eigentliche Änderung. Insbesondere entstehen Kosten vor allem am rechten Ast des V-Modells – etwa 50% der Aufwände bei Tests und Operational Qualification/ Performance Qualification (OQ/PQ), 20% bei Risikoanalyse und Training sowie 15% bei Change-Prozessen. Daher versuchen regulierte Unternehmen nicht selten, Software-Änderungen und -Modernisierungen zu vermeiden oder die Bedeutung von Änderungen zu minimieren. Beides jedoch gefährdet die IT-Compliance.
Zentrale Herausforderungen bei der CSV
Einhalten gesetzlicher Vorschriften
- Das Verständnis und die Auslegung komplexer gesetzlicher Anforderungen und Richtlinien kann zu Fehlinterpretationen oder Unstimmigkeiten bei der Umsetzung führen.
- Es ist nicht einfach, mit der Weiterentwicklung von Vorschriften Schritt zu halten und sie während des gesamten Lebenszyklus eines Systems immer einzuhalten.
Risikomanagement
- Die Identifizierung und Bewertung potenzieller Risiken im Zusammenhang mit computergestützten Systemen und deren Auswirkungen auf die Patientensicherheit, die Produktqualität und die Datenintegrität erfordern Fachwissen und ein gründliches Verständnis der Prozesse.
- Ein akzeptables Risikoniveau muss durch wirksame Strategien zur Risikominderung erreicht werden; geeignete Kontrollen, Sicherheitsvorkehrungen und Notfallpläne müssen implementiert sein.
Datenintegrität und Sicherheit
- Integrität, Genauigkeit und Vollständigkeit von Daten, die von computergestützten Systemen erzeugt oder verarbeitet werden, aber auch von Prüfpfaden und elektronischen Aufzeichnungen müssen gewährleistet sein.
- Computergestützte Systeme müssen vor Bedrohungen der Cybersicherheit geschützt sein; dazu gehört auch der Schutz vor unbefugtem Zugriff, Datenverletzungen und Systemkompromittierungen. Das erfordert robuste Sicherheitsmaßnahmen und eine kontinuierliche Überwachung.
Änderungskontrolle
- Effektive Änderungskontrollprozesse müssen implementiert sein, damit System-Upgrades, Patches, Konfigurationsänderungen oder andere Änderungen, die sich auf die Systemfunktionalität oder die Einhaltung von Vorschriften auswirken können, sicher und regulatorisch konform durchgeführt werden können.
- Auswirkungen von Änderungen auf den validierten Zustand des Systems müssen mit Blick auf eine notwendige Re-Validierung analysiert und bewertet werden.
- Bei Änderungen müssen Re-Validierungsaktivitäten geplant und umgesetzt werden, was auch Regressionstests einschließt, wenn Änderungen an validierten Systemen vorgenommen werden.
Dokumentation und Rückverfolgbarkeit
- Die Erstellung und Verwaltung einer umfangreichen Dokumentation, einschließlich Validierungsplänen, Protokollen, Berichten und Änderungskontrollunterlagen, ist zeitaufwändig und fehleranfällig.
- Die Rückverfolgbarkeit von Systemkomponenten, Anforderungen, Design, Tests und Änderungen ist komplex. Dies gilt v.a. für große Systeme, was Audits erschwert.
Systemkomplexität
- Die Validierung integrierter Systeme oder von Systemen mit komplexen Schnittstellen kann schwierig sein, vor allem, wenn man es mit mehreren Anbietern zu tun hat und eine nahtlose Integration und Interoperabilität gewährleistet sein muss.
- Die Validierung von Systemen, die in hohem Maße anpassbar oder konfigurierbar sind, ist aufwändig; alle Änderungen und Aktualisierungen haben Auswirkungen auf die Konformität und den Validierungsstatus des Systems und müssen geprüft und ggf. nachvalidiert werden.
Kompetenz des Validierungsteams
- Ein kompetente Validierungsteams mit ausreichenden technischen Kenntnissen, Erfahrungen und Schulungen muss vorhanden sein; das ist nicht einfach, wenn sich Systeme und IT-Landschaften schnell entwickeln und verändern.
- Zwischen notwendigen Validierungsaktivitäten einerseits und Anforderungen aus dem laufenden Betrieb (System-Upgrades, Wartung etc.) andererseits besteht ein Spannungsverhältnis, organisatorisch, budgetär und zeitlich.
Prozessautomatisierung macht CSV einfacher
validAIte entwickelt AI– bzw. KI-basierte Lösungen zur (Teil-)Automatisierung von CSV (Validation Automation). Durch Einsatz von Künstlicher Intelligenz soll CSV einfacher, verlässlicher, kostengünstiger und effizienter werden. Zum Einsatz kommen Methoden des Process Mining, Desktop Activity Mining, Robotic Process Automation und Process Prediction.
Das Projekt validAIte wird gefördert vom Bundesministerium für Bildung und Forschung (BMBF) im Rahmen des Programms „KI4KMU – Erforschung, Entwicklung und Nutzung von Methoden der Künstlichen Intelligenz in KMU“ (FKZ 01IS21044A).
Validation Automation
Process Mining
Process Mining ist eine datenbasierte Methode zur Analyse von Geschäftsprozessen. Sie verwendet Ereignisprotokolle aus IT-Systemen, um den tatsächlichen Ablauf von Prozessen zu rekonstruieren, zu überwachen und zu verbessern.
Process Prediction
Process Prediction verwendet Algorithmen und Modelle auf Basis von Daten aus dem Process Mining; Ereignisse und Abläufe in Geschäftsprozessen in IT-Systemen werden vorhergesagt. Dazu werden historische Prozessdaten und Verhaltensmuster genutzt, um Wahrscheinlichkeiten für den nächsten Schritt oder das Auftreten bestimmter Ereignisse in einem Prozess zu ermitteln. Mittels Prozessvorhersage können Engpässe und Verzögerungen frühzeitig erkannt, Ressourcen besser geplant und die Prozessleistung insgesamt optimiert werden.
Conformance Checking
Conformance Checking vergleicht den tatsächlichen Ablauf eines Geschäftsprozesses mit einem Soll-Modell oder einer Prozessbeschreibung. Dabei werden die Ereignisprotokolle aus den IT-Systemen mit dem erwarteten Prozessablauf abgeglichen; Abweichungen, Anomalien oder Nichtübereinstimmungen werden identifiziert. Ziel ist, Unregelmäßigkeiten zu erkennen, die auf Fehler, ineffiziente Praktiken oder Nichtbeachtung von Richtlinien hindeuten könnten; so werden Verbesserungspotenziale in den Prozessen identifiziert.
Process Discovery
Process Discovery ist die automatische oder halbautomatische Extraktion und Rekonstruktion von Geschäftsprozessen aus vorhandenen Ereignisprotokollen oder Datensätzen. Process Discovery identifiziert den tatsächlichen Ablauf eines Prozesses ohne vorherige Kenntnisse über die Prozessstruktur. So gewinnt man Einblicke in tatsächliche Prozessabläufe; Prozessvarianten, Engpässe und ineffiziente Schritte werden erkannt. Dies ermöglicht eine datengetriebene Analyse von Geschäftsprozessen und dient als Grundlage für Prozessverbesserungen.
Task Mining
Task Mining ist ein Teilbereich des Process Mining; es erfasst, analysiert und optimiert menschliche Arbeitsabläufe in Geschäftsprozessen. Beim Task Mining werden digitale Daten über die Interaktionen von Benutzern mit IT-Systemen und Anwendungen gesammelt und ausgewertet; es ergibt sich ein detaillierter Einblick in die tatsächlichen Handlungen und Arbeitsweisen von Nutzern. Daten können zur Prozessanalyse und -verbesserung verwendet werden. Task Mining identifiziert Engpässe und mögliche Fehlerquellen und zielt auf höhere Produktivität sowie auf bessere Effizienz und Qualität von Prozessen.
Robotic Process Automation (RPA)
Die automatisierte Ausführung von Prozessen, die validiert werden müssen, erfolgt mittels Robotic Process Automation (RPA). Dies sind Werkzeuge und Technologien, die auf der Oberfläche von IT-Systemen agieren und Nutzerverhalten ohne Eingriffe in das System imitieren. RPA in der CSV bietet eine erhöhte Effizienz und Genauigkeit durch schnelle und fehlerfreie Ausführung von Aufgaben. Eine Prüfspur-Funktion ermöglicht umfassende Aufzeichnungen, während die automatisierte Dokumentation den Validierungsprozesses erleichtert. RPA entlastet von manuellen Aktionen, führt zu Ressourceneinsparungen und ermöglicht eine Konzentration auf komplexere Aspekte der Validierung.
Vorteile der Prozess- und Test-Automatisierung für CSV
Durch den Einsatz von KI zur Prozess- und Test-Automatisierung können Unternehmen Validierungsherausforderungen effektiver bewältigen und die Integrität, Zuverlässigkeit und Konformität von Computersystemen in regulierten Umgebungen aufrechterhalten:
- KI-Algorithmen können Daten analysieren, um potenzielle Risiken und Anomalien zu identifizieren. So können Unternehmen proaktiv agieren und ihre IT-Systeme in einem validierten Zustand halten.
- KI kann die Datenintegrität überwachen, indem sie Inkonsistenzen oder unbefugte Änderungen erkennt und so die Genauigkeit und Zuverlässigkeit der Systemdaten sicherstellt.
- KI kann abnormales Systemverhalten oder Abweichungen von erwarteten Mustern erkennen und so frühzeitig Probleme aufdecken, die eine erneute Überprüfung oder Korrekturmaßnahmen erforderlich machen.
- Testautomatisierung ermöglicht es, vordefinierte Testfälle und Validierungsprotokolle konsistent und effizient auszuführen, was menschliche Fehler reduziert und Zeit spart.
- Automatisierte Test-Frameworks können ein breiteres Spektrum von Testszenarien abdecken; so wird eine umfassende Validierung gewährleistet und das Risiko verringert, dass kritische Bereiche übersehen werden.
- Automatisierte Testskripte können leicht geändert und ausgeführt werden, was die zeitnahe Validierung von Systemänderungen oder Upgrades erleichtert.
- Testautomatisierung rationalisiert die Validierungsaktivitäten und ermöglicht die schnelle Testdurchführung sowie eine bessere Nutzung von Ressourcen.
- Mit Tools zur Testautomatisierung lässt sich eine umfassende Dokumentation mit Testergebnissen und Nachweisen erstellen, die eine ordnungsgemäße Aufzeichnung für Compliance-Zwecke gewährleistet.
Wie Process Mining CSV unterstützen kann
Process Mining bietet eine datengesteuerte, ganzheitliche Echtzeitperspektive auf den Systembetrieb. Dies führt zu einer verbesserten Prozesstransparenz, einer proaktiven Problemerkennung und einem tieferen Verständnis der Systemleistung unter realen Bedingungen. Der integrierte Ansatz ermöglicht es Unternehmen, die Zuverlässigkeit, Konformität und Effizienz ihrer computergestützten Systeme zu verbessern und gleichzeitig sicherzustellen, dass Prozessvarianten effektiv und angemessen behandelt werden.
Mit Process Mining können die Grenzen klassischer Validierungsansätze überwunden werden – bei der präventiven wie auch bei der kontinuierlichen Validierung sowie bei der Erkennung von Varianten in der Prozessausführung:
Vorbeugende Validierung
Process Mining kann proaktiv während der Entwicklungs- und Implementierungsphase eingesetzt werden, um Prozessmodelle zu analysieren, potenzielle Engpässe zu identifizieren und die Einhaltung von Vorschriften zu bewerten. Durch die frühzeitige Anwendung von Process Mining können Probleme von vornherein vermieden werden; Zuverlässigkeit und Effizienz des Systems werden besser.
Kontinuierliche Validierung
Process Mining in Verbindung mit kontinuierlicher Validierung ermöglicht die Echtzeitüberwachung von Systemaktivitäten sowie Systemereignissen. Durch die Analyse von Ereignisprotokollen in Echtzeit werden Abweichungen, Fehler oder Konformitätsverstöße sofort erkannt und angezeigt. Korrekturmaßnahmen werden direkt möglich; der validierte Zustand bleibt über den gesamten Prozess erhalten.
Erkennung von Prozessvarianten
Process Mining kann verschiedene Prozessvarianten aufdecken, die aufgrund von Abweichungen im Benutzerverhalten oder sonstigen Umgebungsfaktoren auftreten. Durch die Analyse von Ereignisprotokollen aus der kontinuierlichen Validierung lässt sich mit Process Mining die Häufigkeit verschiedener Prozessvarianten identifizieren. So lassen sich Prozesse optimieren und die Compliance verbessern.
Objektorientiertes Process Mining
Eine besondere Herausforderung für CSV: Die Folgen von Änderungen im IT-System – etwa durch Updates und Patches – vorherzusehen, hinsichtlich ihrer Auswirkungen zu bewerten und den validierten Zustand auch nach Implementierung von Änderungen sicherzustellen. Möglich wird das durch Object-Centric Process Mining (OCPM). OCPM eröffnet neue Wege zur Verbesserung von Compliance, Effizienz und Zuverlässigkeit in einer IT-Landschaft, die sich schnell verändert.
Was ist OCPM?
OCPM ist eine innovative KI-Technologie, die Process Mining mit objektorientierten Modellierungsprinzipien verbindet. OCPM zielt darauf ab, Wissen aus Ereignisprotokollen zu extrahieren und in Form von objektorientierten Modellen darzustellen. So wird ein umfassendes Verständnis des Systemverhaltens möglich. OCPM bietet einen systematischen Ansatz zur Analyse, Vorhersage und Optimierung von Prozessen, wobei die Beziehungen zwischen Objekten und den von ihnen ausgeführten Aktivitäten berücksichtigt werden.
Objektorientiertes Process Mining für CSV
- OCPM ermöglicht ein tiefes Verständnis des Systemverhaltens und möglicher Abhängigkeiten von Objekten. Auswirkungen von Änderungen und Abweichungen auf Systemobjekte können vorhergesagt werden, was die Bewertung von Auswirkungen auf die Gesamtsystemleistung und -konformität erleichtert.
- OCPM macht es möglich, Prozesse und das Benutzerverhalten innerhalb eines IT-Systems zu verfolgen und zu analysieren. Ereignisse und Interaktionen im Rahmen der Systemnutzung werden erfasst, potenzielle Problembereiche oder Verstöße gegen Vorschriften erkannt.
- OCPM kann bei der Vorhersage von Fehlern helfen, die durch falsches Benutzerverhalten oder durch Systemfehler verursacht werden. Durch die Analyse von Mustern und Abweichungen werden potenzielle Fehler proaktiv erkannt; vorbeugende Maßnahmen zur Fehlerbehebung sind möglich. So wird das Risiko von Systemausfällen oder Compliance-Verstößen verringert.
- OCPM erlaubt es, Beziehungen zwischen Objekten und Aktivitäten zu modellieren. So lassen sich Vorhersagen treffen über mögliche Konsequenzen von Änderungen in Software-Systemen; Maßnahmen zur Minimierung von Störungen und zum Erhalt der Systemintegrität können geplant und eingeleitet werden.
Vorteile von objektorientiertem Process Mining bei CSV:
Verbessertes Systemverständnis
OCPM ermöglicht einen umfassenden Überblick über das Systemverhalten und unterstützt die Entscheidungsfindung und Risikobewertung.
Verbessertes Änderungsmanagement
OCPM ermöglicht es Unternehmen, die Folgen von Änderungen, Aktualisierungen und Fehlern zu bewerten, was zu einem effektiven Änderungsmanagement beiträgt und den Aufwand für Revalidierungen verringert.
Früherkennung von Fehlern
Durch die Nutzung der Vorhersagefähigkeiten von OCPM können Fehler im Voraus erkannt und potenzielle Auswirkungen auf die Einhaltung von Vorschriften und die Systemleistung abgemildert werden.
Proaktive Einhaltung der Vorschriften
OCPM hilft dabei, einen ständig validierten Systemzustand aufrechtzuerhalten und so die kontinuierliche Einhaltung von Vorschriften und Standards zu gewährleisten.
InnoLAB – Transformation von Innovation in Produkte
innoLAB steht für innovative Technologien, neue Entwicklungen, frisches Denken und anwendungsorientierte Lösungen. Gemeinsam mit internationalen Forschungseinrichtungen und Anwendungspartnern erproben wir die nächste Generation von Technologieszenarien im Qualitäts- und Compliance Management. Dabei erfolgt der Transfer von Forschungsergebnissen unmittelbar in anwendbare Prozesse, Produkte oder Plattformen.
Wissenswertes | News | Aktuelles
Digitale Transformation des Qualitätsmanagement beim Blutspendedienst des Bayerischen Roten Kreuzes mit DHC VISION
Der Blutspendedienst des Bayerischen Roten Kreuzes (BSD) hat 2023 erfolgreich die Softwarelösung DHC VISION eingeführt, um seine...
RegTech Insights: DHC VISION eTMF: Mit dem digitalen Prüfarztordner (eISF) Patientendaten sicher verwalten
Das Managementsystem DHC VISION unterstützt klinische Studien mit einem digitalen Trial Master File (eTMF). Jetzt wurde die Lösung um den...
Die Kliniken Maria Hilf setzen für die Informationssicherheit und den Datenschutz auf die Branchen- und Lösungskompetenz der DHC
Die Kliniken Maria Hilf setzen für die Informationssicherheit und den Datenschutz auf die Branchen- und Lösungskompetenz der DHC Business...