# Audit-Trail / ChangeRequest / ChangeControl / ChangeReport



## AJ67 (22 Juni 2011)

Hallo!

Im GxP regulierten Bereichen wird die Protokollierung von Änderungen an Anlagenparametern, Systemparametern oder Programmständen verlangt.

Hier spielen bei uns die Punkte Audit-Trail / ChangeRequest / ChangeControl / ChangeReport eine wichtige Rolle.

Etwas schwammig ist noch was alles z.B. im Audit- Trail protokolliert werden muss. Meines Erachtens nach betrifft der Audit- Trail nur die Anlagenparameter die ich im Prozess verstellen kann und nicht Änderungen am Programm selbst. Für diese Bereiche gibt es die anderen Punkte. (ChangeRequest / ChangeControl / ChangeReport)

Der nächste Punkt ist, dass man sich durch diese "Mechanismen" natürlich in seiner Flexibilität und Reaktionsfähigkeit stark einschränkt. Die Frage ist einfach, wie kann ich Regelungen bzw. Anweisungen (SOPs / VAs) schaffen die kleine Änderungen ohne grosses ChangeControl- Verfahren zulassen. Änderungen die z.B. nicht den Herstellungsprozess beeinfussen wie etwa eine zusätzliche Fehlermeldung oder eine weitere Abfrage in der Grundstellung...

Wie sind eure Erfahrungen in diesen Bereichen? Habt ihr oder kennt ihr entsprechende SOPs / VAs oder Formulare die diese Bereiche betreffen. 

Was wird bei euch im Audit-Trail mitgeschrieben und wie?

Wie sieht es aus mit Versionierung (nutzt ihr Versiondog oder Versionworks)

Über einen Informationsaustausch zu diesen Themen wäre ich sehr dankbar.

Ich hoffe das ich hier die richtige Stelle gewählt habe und keinen mit meinen Fragen erschlagen habe. 

Bis denn dann...
AJ


----------



## bike (22 Juni 2011)

AJ67 schrieb:


> Wie sieht es aus mit Versionierung (nutzt ihr Versiondog oder Versionworks)




Nein, wir verwenden SVN, nicht nur für Siemens, aber auch.


bike


----------



## Tommi (23 Juni 2011)

AJ67 schrieb:


> GxP  Audit-Trail / ChangeRequest / ChangeControl / ChangeReport  Audit- Trail (SOPs / VAs)




Hallo, das Thema Protokollierung von Prozessparametern interessiert mich grundsätzlich auch.

Wir werden in Zukunft auch mehr auditiert werden.

Vielleicht kannst Du die Begriffe vor einer Diskussion etwas näher erläutern, wäre super...;-)

Wenn es nur um die softwaremäßige Umsetzung mit Vorkenntnissen geht,
kann ich leider nicht mithalten.

Bitte um Info...:s12:

Gruß
Tommi


----------



## AJ67 (29 Juni 2011)

*Ich versuch es mal*

Hallo!
Vielen Dank schon mal für die Antworten!

Ich hatte ein paar Tage frei und konnte aus diesem Grund nicht antworten.

Ich versuche mal zu beschreiben was ich unter den verschiedenen Begrifflichkeiten verstehe bzw. was mich interessiert:

GxP: Gute Arbeitspraxis: Ein Muss in der Pharma und Lebensmittelindustrie
http://de.wikipedia.org/wiki/GxP

ChangeRequest: Ein Antrag auf eine Änderung. Z.B. eine Programmänderung oder -Erweiterung aufgrund eines neuen Produkt welches auf einer Produktionsanlage gefahren werden soll. Hier suche ich Beispielabläufe bzw. Formulare die einen in diesem Bereich Unterstützen
http://de.wikipedia.org/wiki/Änderungsanforderung
http://de.wikipedia.org/wiki/Change_Management_(ITIL) 

ChangeControl: Die Dokumentation des Änderungsverfahrens. Mit Entscheidungen ob eine Qualifizierung oder Validierung durchgeführt werden muss oder ob ein Testplan für die Funktionsänderung ausreicht. Evtl. sogar der Möglichkeit, dass kein Test notwendig ist sondern lediglich die Änderungsdokumentation ausreicht.
http://en.wikipedia.org/wiki/Change_Control

ChangeReport: Als Ergebniss des ChangeControl- Verfahren soll ein Report erstellt werden (mit Versionsnummer und Kommentaren). Der an entsprechender Stelle abgelegt bzw. an die zuständige Qualitätsabteilung weitergeleitet wird.

Audit-Trail: Protokoll über Benutzeraktivitäten und Parameteränderungen welches vom System automatisch erstellt wird. Welche Daten werden bei euch mitgeloggt und wie? Was passiert mit den Daten?
http://en.wikipedia.org/wiki/Audit_trail
http://www.computerwissen-online.de/?page=lexika&action=view&content=2593

Wie gesagt, ich bin auf der Suche nach Beispielen oder Vorgehensweisen und würde mich sehr freuen wenn wir hier einen regen Erfahrungs- Informationsaustausch hinbekommen würden.

Gruß AJ


----------



## MariusW (29 Juni 2011)

Hallo,

also mit konkreten Beispielen siehts im Netz leider mau aus. 

Aus erfahrung kann ich sagen, das alle Produktqualitätsrelevanten Parameter im Audit Trail erfasst werden müssen/ sollen. Bei uns im Haus läuft das mit Siemens. Wie genau weiß ich net, bin kein Programmierer.

Diese Daten werden veränderungssicher gespeichert und müssen aufbewahrt werden. 

Sollten Änderungen z.B.: in laufender Produktion gemacht werden, müssen diese dann auch im Herstellerprotokoll aufgeführt werden.


Zum Thema Changes:
alles was Produktqualitätsrelevant ist.

Für detailiertere INfos schick mir bitte kurz ne PN. Hab auf der Arbeit net ganz so viel zeit.


----------



## thomas_1975 (29 Juni 2011)

Hallo AJ,

ich denke das Zauberwort lautet zunächst einmal FMEA, eine produktbezogene Risikobeurteilung durchzuführen ist zunächst einmal
der wichtigste Punkt. Selbstverständlich haben wir Formblätter und Arbeitsanweisungen, nur weiß ich nicht ob ich diese anderen so einfach zugänglich machen darf.
Eine Frage die ich noch habe, welche Position begleitest du, anhand deiner Fragestellungen tippe ich auf QA  :sb6: :sb6: ( nur Spaß ).

Der Punkt mit dem Audit Trail ist finde ich ein extrem heißes Eisen,
relevante Prozesswerte werden auf jeden Fall mitgeloggt, allerdings nicht personenbezogen ( mit der Siemenssoft Audit Trail bestandteil von Flex ).


 gruß Thomas


----------



## MariusW (30 Juni 2011)

Dem stimme ich zu, zuerst benötigst du eine produktbezogene Risikobeurteilung. 

Beim Punkt Audit Trail, sollten die Daten hingegen schon Benutzer/ Personenbezogen mitgeschrieben werden. Ansonsten kann eine lücke in der Nachverfolgbarkeit entstehen. 

Ein weiterer Punkt der dazu kommt ist dann die "Softwarevalidierung"! :sw19:

Was mich noch mehr interessiert ist für welchen Bereich benötigst du das? Maschinenbauer oder Hersteller, Pharma oder Lebensmittel?


----------



## AJ67 (7 Juli 2011)

*Hallo!*

Hallo, da bin ich wieder. War ein paar Tage raus aus dem Thema aber jetzt gehts weiter!

Zu erst zu meinem Aufgabenbereich: Ich bin SPS- Programmierer bei einem Pharma- Hersteller. Aber naturlich arbeiten wir eng mit unserer QM- Abteilung zusammen.
Um Abläufe sicherer zu machen, Reaktionszeiten zu optimieren und unsere Dokumentation zu verbessern möchte ich z.B. gerne neue oder optimierte Formulare erstellen.

Klar ist, der Weg geht nur über eine Risikobewertung. Aber es wäre doch schön wenn ich auf einem Formular z.B. einer Changeanfrage sofort eine Risikobewertung mit einfliessen lassen könnte. Z.B. das erzeugen oder ändern einer Störmeldung hat keinen Einfluss auf das Produkt. Entsprechend der Risikobewertung wird dann festgelegt ob ich nach einem Testplan verfahren muss, eine Qualifizierung bzw. Validierung notwendig ist oder ob ggf. auch nur die Dokumentation der Softwareänderung ausreicht.

Die entstehenden Reports und Protokolle werden dann an die entsprechenden Entscheidungsträger weiter geleitet bzw. abgelegt.

Der Ursprungsüberlegung ist z.B. auch folgende:
Wenn ich z.B. an einem Pneumatikzylinder einen Endschalter verstelle oder an einen Lichttaster neu "einteache" kann dies evtl. viel grössere Auswirkungen haben als eine kleine Softwareänderung.
Wie wird z.B. mit solchen Änderungen oder Reparaturen bei euch verfahren. Wer wird darüber informiert? Wie wird es dokumentiert? 

Ich weiss dies ist ein RIESEN Thema!!!

Also denn....

Gruß AJ


----------



## Tommi (7 Juli 2011)

AJ67 schrieb:


> Wenn ich z.B. an einem Pneumatikzylinder einen Endschalter verstelle oder an einen Lichttaster neu "einteache" kann dies evtl. viel grössere Auswirkungen haben als eine kleine Softwareänderung.
> Wie wird z.B. mit solchen Änderungen oder Reparaturen bei euch verfahren. Wer wird darüber informiert? Wie wird es dokumentiert?
> 
> Ich weiss dies ist ein RIESEN Thema!!!
> ...


 
Hallo,

ich bin mir nicht sicher, ob ich Dich richtig verstehe, aber vielleicht
ist das etwas für Dich.

http://www.zuwis.de/

Gruß
Tommi


----------



## AJ67 (11 Juli 2011)

*Hi!*

Naja, das hilft mir nicht wirklich.

Für Instandhaltungen und Wartungen haben entsprechende Vorgehensweisen oder Wartungspläne. Diese werden auch dokumentiert und abgeheftet. Es gibt also einen Nachweis z.B. wer hat wann welche Wartung gemacht oder im Maschinenbuch wird eingetragen: Endschalter def. / Endschalter durch ... gewechselt.
Die oben genannten Punkte sind ja keine Änderungen an der Anlage.
Mir geht es hauptsächlich um Änderungen (egal ob elektrisch, mechanisch oder Software). Hier soll geschaut werden wie gravierend die Änderung ist und welches Verfahren für eine Umsetzung und ggf. Qualifizierung angebracht ist.

Gruß AJ


----------



## Tommi (11 Juli 2011)

Schade,

kennst Du Softwarevalidierung nach V-Modell (DIN EN ISO 13849-1)?
Das ist zwar für Software von Sicherheitssteuerungen gedacht, aber
geht bestimmt auch für Prozeßsoftware. (siehe Anhang).

Wenn Du alle Tätigkeiten dokumentieren musst, ist das vielleicht was.

Im Bereich Medizinprodukte mögen die Auditoren sowas.

Gruß
Tommi


----------

