3.4制药机械(设备)计算机化系统
pharmaceutical machinery(equipment)computerized system
由一系列硬件和软件组成,以满足制药机械(设备)在药品生产过程中质量管理的系统。
注:以下简称系统。
3.5系统的生命周期
life cycle of system
系统从立项到退役的整个生命历程,通常分为四个主要阶段:系统立项、系统实施、系统运行、系统退役,示意图见图1。
图 1 生命周期示意图
4 总则
4.1 基本目的
4.1.1 证明系统符合《药品生产质量管理规范(2010 年修订)》系统验证概述。
4.1.2证明系统符合《药品生产质量管理规范(2010 年修订)附录:计算机化系统》和《药品生产质量管理规范(2010 年修订)附录:确认与验证》,以及用户需求,达到规定的计算机化系统效果。
4.1.3 证明系统符合设计和药品生产工艺要求。
4.1.4 证明系统具有成熟性、容错性、易恢复性、稳定性以及功能的完整性。
4.1.5 证明系统数据的完整性、真实性和可追溯性。
4.2 验证原则
4.2.1系统验证宜根据《药品生产质量管理规范(2010 年修订)》,制药设备产品标准、用户需求标准和制药工艺等要求制定验证方案,验证的每个阶段都宜有各自的验证方案。
4.2.2系统验证范围的确定宜根据《药品生产质量管理规范(2010 年修订)》和制药工艺要求而定,直接或间接影响药品质量的,与制药工艺过程、质量控制、清洗、消毒或灭菌等方面相关的制药机械(设备)计算机化系统属于必须验证的范围,其他辅助作用或不对药品质量产生影响的制药机械(设备)计算机化系统可不列为验证范围。
4.2.3 系统验证分为系统立项、系统实施、系统运行、和系统退役等各阶段。
4.2.4 系统验证方案按照预先确定和批准的方案实施,并宜有记录。
4.2.5 系统验证工作完成后,宜写出验证报告,并经审核、批准。验证结果和结论(包括评价和建议)宜有记录并存档。
4.2.6 系统验证活动能真实体现实际情况,数据不宜增加、删除、修改及不完整。
4.2.7 系统验证活动可通过责任划分、记录标识和过程监督等方式,满足追溯性要求。
4.2.8在系统验证活动的全生命周期实施风险分析及评估并实时监控风险,以实现全面、动态的管理过程,降低风险的不利影响。
4.3 系统软、硬件分类
系统软件分类见表1,系统硬件分类见表2。
表 1 系统软件分类
表 2系统硬件分类
5 验证流程
5.1 概述
系统的验证程序依次是系统立项、系统实施(计划、测试、确认)、系统运行、系统退役。在系统实施各确认阶段,均宜形成阶段性验证报告,出现关键性能偏差(如影响设备正常运行、或安全、或产品质量的)时不宜进行下阶段的确认。验证程序参考GB/T 28671-2012 中 4.3 的要求执行。
5.2 系统评估
根据《药品生产质量管理规范(2010年修订)》关键性评估和系统的定义,宜按下列内容对计算机化系统进行评估:
系统是否直接或间接对产品质量产生影响;
系统是否组件直接和产品接触;
系统是否产生或处理和《药品生产质量管理规范(2010 年修订)》相关的数据(例如批次报告、分析结果、监控数据等);
系统是否控制临床前、临床、开发或生产相关关键参数和数据;
系统是否控制或提供有关产品放行的数据或信息;
系统是否控制与产品召回相关要求的数据或信息;
系统是否控制不良事件或投诉的记录或报告;
系统是否支持药物安全监视;
若符合上述任意一条,在设计、调试、确认和验证过程中,宜执行符合《药品生产质量管理规范(2010 年修订)》的计算机化系统验证。
5.3 风险评估
5.3.1 风险识别
旨在识别系统功能可能导致相关风险的风险事件,并确定事件所产生的影响程度。
5.3.2 风险分析
5.3.2.1 概述
针对不同的风险项目或数据可选择不同的风险评估工具或方法。应用定性或定量的评估过程确定风险的可能性和严重性。风险评估的结果可以表示为总体的风险值,例如:定量的表示为具体的数字,如0到100;或定性的表示为风险的范围,如高,中,低。
5.3.2.2 常用的风险分析方法
常用的风险分析方法包括:
一般的常用统计工具:用于收集或组织数据、构建项目管理等,如流程图、图形分析、鱼骨图、检查列表等;
风险排列和过滤(Risk Ranking and Filtering:RRF):将风险因素进行排列和比较,对每种风险因素做多重的定量和定性的评价,权衡因素并确定风险得分;
事先危害分析(Preliminary Hazard:Analysis PHA):用于在事情发生前应用经验和知识对危害和失败进行分析,以确定将来可能发生的危害或失败;
失败模式效果分析(FMEA):评估潜在的失败模式和因此对产品性能或结果产生的影响。一旦失败模式被确定,可应用风险降低来消除、减少或控制潜在的失败;
危害分析及主要控制点(Hazard Analysis and Critical Control Points: HACCP);
过失树分析(Fault Tree Analysis: FTA):鉴别假设可能会发生过失的原因分析方法。FAT结合过失产生原因的多种可能假设,基于对过程的认识做出正确的判断;
以失败模式效果分析法:可以给出相应分数(0~10)。其概率的估计采用客观概率估计,即根据历史数据或大量的试验来推定其概率(0~10)。根据风险的易发现程度来确定风险的优先级,并给出相应分数(0~10)。根据风险事件对产品质量最终的影响程度进行划分,并给出其相应的分数(0~10),将以上三种分数相乘,即可得出总体风险分数,风险总体分数=发生概率×易发现程度×影响程度,最终根据总体风险分数将所有风险归类划分。
以失败模式效果分析法的风险评估示例参见附录A。
5.3.3 风险控制
根据系统风险分析等级采取适当控制措施,在引入风险控制措施后,宜重新进行风险评估,以确定能够使风险等级降低到预期标准以下且不会引入新的风险,风险管理过程中宜制定风险追踪表,确保能够准确,全面地反映整个风险管理过程。
5.4 系统验证活动简述
按照软件系统类别,对照不同验证阶段,可参照表3组织验证活动。
表 3各阶段实施验证活动
6 系统验证方案
6.1 系统验证模型
在进行计算机化系统验证时宜遵循生命周期V模型,见图2,根据表3组织具体验证活动。
图 2 计算机化系统生命周期 V 模型
6.2 系统立项
系统立项的活动主要取决于验证方提出并确认系统启动的方案。通常,在这个阶段宜提出初始需求并考虑可能的解决方案。通过对系统验证范围、成本和收益的初步评估,来决定是否需要进入到系统实施阶段。
6.3 系统实施
6.3.1 计划阶段
6.3.1.1 制定验证计划
验证计划宜包含系统描述、法律法规、验证的组织结构及职责分配、验证方案、验证的范围和技术要求以及项目交付物等文件。
6.3.1.2 制定实施计划
制定系统实施进度表,确定系统实施各阶段工作的内容及要求,确保系统在预定期限内交付,宜包含项目实施进度表等相关文件。
6.3.1.3开展供应商评估
宜对供应商的供应体系或服务及其质量体系进行评估并记录。该评估的范围和程度需基于风险管理原则,提供供应商评估相关文件。
6.3.2 设计阶段
6.3.2.1用户需求说明(URS)
设备供应商在合理范围内尽量满足用户需求,比如硬件设备的型号、品牌,软件系统功能、数据追溯、数据存储备份、电子签名以及报警触发机制和处理方式等内容。通过需求追溯矩阵(RTM)确认是否满足用户需求,宜提供需求追溯矩阵等相关文件。
6.3.2.2 系统设计说明
6.3.2.2.1 硬件设计说明(HDS)
硬件设计说明是指与系统相关硬件设备的设计,主要内容宜包含:
硬件说明:说明系统包含的硬件设备,提供系统控制模型和电器硬件清单以及PLC 和温度压力传感器等模块的技术参数;
硬件工作环境要求:说明硬件工作的环境要求,包括温度、湿度以及辐射和电磁干扰范围等。
电力供应说明:说明正常运行所需要的电力要求。
相关输入输出点位说明:对于系统设计的输入输出信号进行说明,及备用点位说明,并提供相应清单。
6.3.2.2.2 软件设计说明(SDS)
软件设计说明(SDS)包括与计算机化系统相关的上位机和下位机程序的设计,主要内容宜包含:
系统模块程序设计:系统的功能设计,断电恢复功能、程序流程描述以及遵循的开发标准等;报警联锁设计:宜提供系统报警清单,并对报警触发的条件进行说明,以及当报警触发时需要进行的操作;
系统权限设计:说明系统的权限设计和划分计算机有风险提示是什么原因,以及对应权限的人员可以进行的操作;
系统电子数据生成和管理:对系统运行所产生的电子数据存储路径、存储格式、存储介质进行说明,数据迁移备份需要进行何种操作,采取何种方法来确保电子数据的完整性等。
6.3.3 测试阶段
6.3.3.1源代码编程/测试
源代码编程阶段宜以用户需求规范为基准,确保实现的功能与预期结果一致,宜提供代码开发标准文件、说明测试方法,宜进行单元测试、集成测试,不断进行回归测试等。
6.3.3.2 工厂验收测试(FAT)
旨在确保设备组装调试完成后能正常运行并能满足功能设计需求,宜制定针对设备计算机化系统的工厂验收测试计划,对计算机化系统相关的设备硬件和控制系统的功能进行逐一确认,如用户方无法到现场进行相关测试,可以委托实施方进行测试,记录测试结果并编制测试报告。
6.3.3.3 现场验收测试(SAT)
旨在确认设备在运输过程中相关设备是否完好,控制系统是否能正常工作,现场验收测试的内容与工厂验收测试内容基本一致,并包括在工厂不具备测试条件的内容,主要细分为以下几方面:
系统软件版本记录:确认并记录控制系统软件版本号,便于软件版本控制,当系统遇到宕机等情况可以进行系统恢复,测试过程需注意以下内容:
1) 检查设备的标识是否与要求一致;
2) 检查软件版本,并进行记录;
3) 在测试中发现问题,宜记录问题,形成文档;
4) 如果达到可接受标准,记录测试通过。
I/O输入输出测试,模拟量信号测试:确保 PLC 及相关模块功能完好,测试过程中需注意以下内容:
1) 测试按钮或者开关,或者是制定场景满足一定条件检测相应点位,确认 PLC 显示正确的输入、输出结果;
2) 用模拟量测试仪器进行模拟量测试,输出结果需在误差允许范围内;
3) 在测试中发现问题,宜记录问题,形成文档;
4) 如果达到可接受标准,记录测试通过。
软件功能确认:对系统功能逐一确认,确认功能设计是否符合制药企业预期。测试过程中注意以下内容:
1) 点击每一个设定的画面功能,确认弹出正确的设定画面和实际结果;
2) 在测试中发现问题,宜记录问题,形成文档;
3) 如果达到可接受标准,记录测试通过。
报警联锁测试:对系统设定的报警逐一进行测试并记录,确认报警和联锁能否正常触发。测试过程中注意以下内容:
1) 根据供应商提供的报警联锁清单,模拟现场程序达到报警条件,确认报警和联锁控制正确产生,如有必要可把报警测试历史数据附在文档后做参考;
2) 在测试中发现问题,宜记录问题,形成文档;
3) 如果达到可接受标准,记录测试通过。
用户登录测试,权限测试,审计追踪测试,数据备份测试;
最后制定验收测试总结报告,对测试结果进行分析,报告需适当的解决验证中发现的问题。
6.3.4 确认阶段
6.3.4.1设计确认(DQ)
旨在确认供应商所提供的计算机化系统设计和相关配置是否符合制药企业预期要求和功能需求,主要确认内容宜包含以下三部分:
确认硬件设计说明(HDS)和软件设计说明(SDS)是否已完成;
确认系统功能设计是否符合 URS 要求,通过比较 URS 与设计文件的一致性,检查系统是否满足要求,对于不能满足要求的地方若相关法规无明确要求的可以与供应商协商解决,对于不能满足法规要求的内容,宜要求供应商整改。
设计确认完成后,宜制定设计确认总结报告,总结设计确认测试结果是否已达到验收标准,对于不能满足的项目宜进行偏差处理。
6.3.4.2安装确认(IQ)
旨在确认计算机化系统相关的软硬件设备已经安装到位,并且硬件设备型号和软件组态版本符合用户需求,主要确认内容宜包含:
测试前提条件确认,确认安装确认的前提条件已经满足,并且软件的版本已根据批准的配置管理文件进行版本控制;
硬件设备品牌、型号、数量和安装位置确认,根据供应商提供的硬件清单逐一确认,确认是否已经正确安装;
软件组态安装版本和位置确认,根据供应商提供的组态软件版本进行确认,方便后期系统升级维护和故障的处理;
在测试中发现问题,宜记录问题,形成文档;
如果达到可接受标准,记录测试通过;
最后制定安装确认总结报告,对安装确认过程中的结果进行分析,对应不满足批准的测试项目进行汇总并给出处理结果,安装确认总结报告需审核和批准后才能进行下一阶段测试。
6.3.4.3运行确认(OQ)
旨在确认系统功能是否符合预期要求,能在预期范围内正常运行并可正确执行相应的操作,确认内容宜包含以下内容:
软件版本记录:便于系统版本控制;
系统功能测试:
1) 确认系统功能可以正常使用,比如程序是否可以正常执行;
2) 参数设置可以适当程度的进行挑战性测试(如边界,范围,限制,无效输入测试),以确认系统可以处理不正确的输入或规避不正确的使用导致的风险;
3) 当在执行程序的过程中出现异常是否有相关提示或解决办法等。
数据完整性测试:
1) 用户管理确认计算机有风险提示是什么原因,确认系统最高权限用户可以新增、删除用户和密码修改等功能;
2) 用户注销确认,确认系统是否有用户注销功能;
3) 电子签名确认,测试系统在进行重要操作时是否有电子签名功能;
4) 系统权限确认,确认系统权限分级,并对每一级权限用户进行的具体操作进行确认;
5) 审计追踪数据确认,确认系统是否有审计追踪功能,确认系统的数据备份和恢复功能以及系统的审计追踪功能,确认审计追踪数据是否涵盖了全部操作记录;
6) 系统安全性确认,确认当程序执行过程中设备断电时,设备是否可以正常关闭,且确认断电前后设置的参数是否一致,数据是否丢失,系统是否有断电恢复的功能等;
7) 电子记录一致性确认,确认设备打印数据和电子数据一致性;
8) 时钟确认,确认系统时钟的精度符合要求;
9) 系统备份/恢复测试,确认系统具有备份和恢复功能,当系统崩溃时可进行系统恢复操作;
10) 数据不可更改。
运行确认结束后,宜对当前阶段进行总结,对于不符合要求的项目进行汇总整理,并给出解决方案,总结报告宜签批认可。
6.3.4.4 人员培训
在系统发布之前宜对相关操作人员进行培训,并界定系统的使用和控制,使相关人员正确理解系统逻辑和功能,宜包括供应商提供的用户手册以及内部开发的标准操作规程和培训计划:
建立必要的培训需求,制定培训方案;
根据需求提供培训;
评估培训的有效性;
确保相关人员理解培训的重要性和相关性;
维护适当的培训记录;
确保培训是最新的。
6.3.4.5性能确认(PQ)
旨在确认系统运行过程的可控性、稳定性和有效性是否满足期望。性能确认方案宜包括以下内容:
在负载运行条件下,对药品生产要求的适应性;
生产能力;
药品生产质量相关指标;
运行结果的重复性;
控制精度准确性;
安全性能;
负载运行的可靠性试验;
其它所需的挑战性试验;
也可参考GB/T 28671-2012中4.4的内容进行。
6.4 系统运行
6.4.1 问题报告
系统使用过程中出现对产品质量或数据完整性等产生影响的事件,宜评估事件的影响,并根据情况制定处理方法。对问题进行记录,编制问题报告。
6.4.2 变更控制
变更管理是一个关键的活动,是保持系统和流程合规的基础。变更申请宜经过审查,宜基于风险评估来确定此项变更的可实施性,实施和审核变更所需的活动进行详细的描述,变更的范围以及此项变更受影响的控制项目,建议变更所产生的影响和是否需要进一步的风险评估。审查、风险评估、执行变更决定或拒绝变更决定的理由以及所要求的行为都需形成相关记录,并且作为计算机化系统验证文件的一部分进行归档。变更的记录宜包含以下内容:
6.4.3 系统管理
系统正式使用后宜对系统进行合理管理,以确保设备可正常持续运行,宜包含以下内容:
6.5 退役阶段
系统退役是生命周期的一部分,该阶段决定是对数据进行保留、迁移还是销毁,宜对这些过程进行管理,包含以下内容:
制定退役计划:一旦不再需要计算机化系统或其组件时,系统或组件宜按照已建立经批准的程序进行退役。批准的规程包括变更控制程序和一份正式的退役计划;
记录保存:尽管退役,仍需保持在整个所要求的记录保存期间,确保记录的可读性,并保持原电子记录的内容和含义;
制定退役报告:退役活动的结果,包括数据和计算机化系统的可追溯性,宜呈现在报告中。
7 验证文档管理
7.1 验证文档基本内容
验证文档宜参照GB/T 28671-2012中4.4.2、4.4.3、4.4.4的要求。
7.2 文档编号
文档编号是系统唯一文件名的标识,宜制定文档编号规则,并按照规则进行编号。
7.3 版本控制
列举的项目文档和图纸宜按照标准操作程序进行版本控制。任何发布的受控文档的版本号宜具备唯一的标识,参考示例见表4。
表 4受控文档的版本说明
7.4验证文档管理
7.4.1验证文档存档
验证文档宜留有存档,电子版、纸质版均可,验证文档宜有明确的存档位置,验证文档清单可参考附录B。
7.4.2 文档管理人员
宜安排专人负责验证文档的管理,文档管理人员宜负责编写、修改和及时发布、保存和归档验证文档。
附 录 A(资料性)
以失败模式效果分析法的风险评估示例
A.1 风险评估工具
A.1.1风险等级(RPN) 评估原则
风险等级(RPN) 评估原则三个数值各自独立发生。
A.1.3 发生概率(O)
发生概率的评估值选取见表A.1。
表 A.1 评估发生概率(O)
A.1.4 易发现程度(D)
易发现程度估值选取见表A.2。
表 A.2 易发现程度(D)
A.1.5 影响程度(I)
影响程度估值选取见表A.3。
表 A.3 影响程度(I)
A.2 RPN 值评估
A.2.1 风险严重等级参考表A.4确定。
表 A.4 风险严重等级
A.2.2 风险优先顺序参考表A.5确定。
表 A.5 风险优先顺序
A.2.3 RPN值在1~27之间, 依据风险等级值将风险划分为低风险、中风险、高风险(O,I,D 中任何一项出现数值3即视为高风险),具体如下:
A.3 关于风险评估的说明
A.3.1 O、I、D中任何一项出现数值3即视为高风险,此风险值应单独计算。
A.3.2潜在风险源分析后如果出现中高风险,在通过控制措施后根据计算的RPN值确认是否降低到低风险。
A.3.3 风险分析宜列出对工艺的影响,如无影响则可略过。
附 录 B(资料性)
文档清单示例
文档清单示例参见表B.1。
表 B.1 文档清单示例
参考文献
[1] 药品生产质量管理规范(2010 年修订)
[2] GB/T20984 信息安全技术信息安全风险评估规范
[3] 国际制药工程协会(ISPE).遵从 GXP 计算机化系统监管的 风险管理方法(GAMP5)[Z].2008
[4]欧洲药品生产管理规范,卷4,人与兽用医药产品的使用:良好的生产管理规范附录11:计算机系统[Z].2011
[5] GAMP5(GoodAutomated Manufacturing Practice -Rev5) 良好自动化生产实践指南
[6] GB/T15692—2008 制药机械 术语
公众号
GMP办公室
版权声明
本文仅代表作者观点。
本文系作者授权发表,未经许可,不得转载。
发表评论