Computer System Validation segundo a FDA: guia atualizado

O que mudou com o draft guidance Computer Software Assurance (CSA) e como isso afeta seu plano de validação.

Por décadas, "CSV" — Computer System Validation — foi o termo padrão pra validação de sistemas computadorizados em farma. Em 2022, a FDA publicou draft guidance introduzindo "CSA" — Computer Software Assurance — pra software de produção e qualidade. Não é só rebranding: é mudança de filosofia, alinhada com GAMP 5 (2ª ed.) e com o pensamento moderno sobre desenvolvimento de software. Esse artigo cobre o que mudou e o que isso significa pra quem implementa eQMS.

CSV tradicional vs. CSA: a diferença filosófica

CSV tradicional tendia a tratar validação como exercício documental exaustivo — toda funcionalidade testada de forma scripted, cada cenário documentado em prosa, evidência em screenshot anexada, assinaturas em todas as páginas. O overhead crescia com o tamanho do sistema, e muito esforço ia pra documentar o óbvio.

CSA reorienta o foco: pensamento crítico, abordagem baseada em risco, e foco na garantia (assurance) de que o software faz o que deveria fazer pro paciente e pro produto. Permite teste sem script (exploratory testing), automação de testes, e proporcionalidade ao risco. Reduz overhead onde o risco é baixo, aumenta onde é alto.

Os 5 princípios da CSA

1. Critical thinking first: antes de testar, pense — o que é o risco real? Qual o impacto se falhar?
2. Risk-based: esforço proporcional ao risco. Funcionalidade de alto risco recebe teste profundo; de baixo risco, teste mais leve.
3. Unscripted testing aceito: exploratory testing é válido quando documentado. Não tudo precisa ser script formal.
4. Test automation aceita: testes automatizados (unitários, integração, e2e) são evidência válida. Não precisa repetir manualmente.
5. Vendor work reuse: trabalho do fornecedor (testes que ele já fez) pode ser aproveitado, se documentado.

O que isso muda pra eQMS na prática

Pra cliente que adota eQMS validado de fábrica (como NOAH OS), CSA é especialmente favorável. O fornecedor entrega:

• URS template + análise de risco GAMP 5 cat 4
• Testes automatizados executados (unitários + integração + e2e)
• IQ executado no ambiente de referência
• OQ documentado com evidência de execução
• Pacote pronto pra o cliente reaproveitar (segundo CSA, princípio 5)

O cliente foca em:

• PQ específico do seu ambiente (porque esse é único de você)
• Casos de uso específicos do seu processo
• Treinamento e qualificação de pessoal
• VSR que consolida tudo

Resultado: validação que antes levava 6-9 meses cabe em 30-60 dias, com cobertura equivalente — e justificável sob CSA.

O que NÃO mudou

CSA não é "pode pular validação". Continua sendo necessário:

• URS documentada
• Análise de risco formal (Q9)
• Evidência de teste pra funcionalidade crítica
• Pacote consolidado declarando estado validado
• Controle de mudança mantendo o estado validado

O que mudou é como você produz cada um — com mais pensamento e menos burocracia.

CSA aplicado a sistemas legados

Pra empresas com sistema legado já validado sob CSV tradicional: CSA é oportunidade pra modernizar. Próxima revalidação periódica ou próxima mudança significativa pode ser oportunidade pra adotar abordagem CSA-aligned, reduzindo overhead nas revalidações seguintes.