18 年

白金会员

已认证

连载 | 激光粒度仪在药品GMP中的应用实践之三:合规性的计算机化系统要求和审核

image.png

沈兴志

珠海欧美克仪器有限公司产品经理,主要负责粒度检测技术产品的应用和技术支持工作。对于粒度粒形表征基础理论、测量原理和应用技术积累了丰富、深入的实战经验,能够从粉体质量和行业要求等多个维度来分析颗粒检测与表征,为客户提供科学、独到的解决方案。

计算机系统验证问题已经成为目前我国制药行业的自动化与信息化发展的最大阻力,探索如何真正理解GMP的理论和概念,根据不同的计算机系统的特点和要求,分门别类建立对各类计算机系统进行真正科学、合理的验证模式或标准,已是我国医药工业自动化、信息化工作和药品质量管理工作的一个关键性课题。2015年5月26日,CFDA正式发布了2010版GMP法规的新附录之一《计算机化系统》。现在,它已作为正式的法规于2015年12月1日起执行。


国内外GMP法规有许多差异,而对计算机化系统的要求差异尤为明显。CFDA所执行的2010版GMP法规内容与国际上其他法规机构的cGMP法规是对等的,如FDA 21 CFR Part 211。但美国的制药企业除了执行21 CFR Part 211以外,同时还要遵守21CFR Part 11法规;欧盟国家的制药企业除了执行欧盟GMP以外,还要遵循Annex 11法规。FDA的21 CFR Part 11与欧盟的Annex 11的内容是类似的,都是针对于制药企业使用计算机化系统的法规要求。


新颁布的《计算机化系统》法规附录是国内法规与国际接轨的重要一步,将填补国内对于计算机化系统要求的法规空白,是实现与国际法规监管机构之间相互认可的前提条件之一。

image.png

近几年国家药监局不断开展飞检,涵盖QC实验室,开出的缺陷项必有一项涉及到数据完整性方面,内容不外乎数据造假、恶意篡改或删除数据、预进样、数据未有效备份或无效电子签名等等,制药企业已经将计算机化系统确认与验证作为一个日常工作。在制药企业信息化过程中,应该把计算机系统验证作为一个重要工作,纳入项目交付的规划和执行中。


《计算机化系统》法规附录主要包含的核心内容概述


1计算机化系统验证的要求


以往,法规对于仪器的确认是一直有要求的,但对计算机软件验证的要求不明确。因而,大部分的制药企业不对计算机系统进行验证,或仅进行最简单的确认。这则法规发布以后,明确对所有的国内制药企业提出进行计算机化系统验证的要求,为计算机化系统验证提供了法规依据。


2数据合规性要求


法规明确了对数据输入的准确性和数据处理过程的正确性要求,以保证数据的合规性。概括来说,对计算机系统合规性的功能要求可以总结为:访问控制、权限分配、数据完整性、审计追踪和电子签名。

image.png

▲  OMEC集成激光粒度分析仪控制软件的合规功能管理界面


访问控制:只有经许可的人员才能进入和使用系统。

权限设置:应当对进入和使用系统的用户制订授权、取消和授权变更的操作规程。

image.png

▲  OMEC集成激光粒度分析仪控制软件的用户权限分级设置


数据完整性:是指数据的准确性和可靠性,用于描述存储的所有数据值均处于客观真实的状态。

审计追踪:是一系列有关计算机操作系统、应用程序及用户操作等事件的记录,用以帮助从原始数据追踪到有关的记录、报告或事件,或从记录、报告、事件追溯到原始数据。

image.png

▲ OMEC集成激光粒度分析仪控制软件的事件追踪记录


电子签名:是指电子数据中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。


其中,电子签名是“可以有”,而不是“必须”,这取决于企业对于主数据的定义是电子数据还是纸质数据。这与21 CFR Part 11和Annex 11是一致的。对于审计追踪记录的要求,是“根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统”,亦取决于制药企业本身的实际情况。


3电子数据安全性要求


电子数据安全性一般分为逻辑安全性和物理安全性。逻辑安全性即是通过软件自身的权限控制对数据的访问、录入、修改和删除等操作,确保不被人为误操作或有意的篡改行为而影响数据安全。而物理安全性,即是对数据存储的介质(如硬盘、光盘、服务器等)进行保护,确保系统本身不会因为物理介质的损坏或故障造成数据丢失。


数据完整性必须通过同时使用具有法规遵循能力的方案和用户自己规定的标准操作规范(SOP)来实现。对于系统的监控只有在供应商提供技术控制的基础上,加上使用者的控制才能落实到位。也就是说,在软件满足GMP 构架要求基础上,最终使用的用户必须建立起相应的机制和制度来保障数据的真实性、完整性、可追溯性(审计追踪)。


例如,规定员工之间不得分享软件登录帐户和密码,对于帐户的建立和删除、权限变更均建立相应的标准操作规程,并给予记录。对于离职员工的帐户及时删除或冻结,防止帐户再次被启用。规定当操作人员离开计算机之前必须关闭自己的帐户等。

image.png

▲ OMEC集成激光粒度分析仪测试软件的SOP测量


OMEC粒度集成测试软件一方面可以进行权限设置,所有报告保存于指定受控目录中。各级别的用户都无权限在软件中删除任何文件,结合用户的Windows文件目录权限管理,以确保数据的完整性。OMEC粒度集成测试软件另一方面具有用于文件管理系统或数据存储服务器快速接口,可以让使用者快速根据实际情况和企业习惯快速进行数据完整性的部署。


即便如此,用户需要通过软件定期对仪器计算机内容进行备份(例如每个月),并确保所备份数据足以完全恢复至故障前的所有记录。为保证数据的安全性,数据以加密形式存在,无法通过外部软件编辑,无法篡改数据和伪造数据。

4数据备份要求


关于电子数据的备份要求不算是新的法规要求,GMP法规也一直要求数据备份以保证原始数据的安全性。《计算机化系统》单独列出这条要求,将提高制药企业对数据备份的重视,进而采纳更先进的解决方案。


基于以上内容的总结和分析,《计算机化系统》法规附录内与激光粒度仪测试有关的主要是数据合规性的要求,具体而言,包括访问控制,权限设置,数据完整性和审计追踪。


软件数据合规性功能验证、系统评估及审核员检查


对于粒度仪作为质控关键设备的情形,其软件数据合规性体系需要进行验证,可以通过确认和测试记录的表格文档进行管控。在日常操作中,应该可以轻松访问此文档,在检查期间,快速访问此类文件是关键。


很多时候,GMP审核员会出于计算机系统验证(CSV) 计划以外的原因来检查您的设施。但是,由于我们的许多业务流程都由电子系统管理,因此在检查过程中不可避免地会出现软件验证的问题。由于GMP审核员的增加,审核员能够检查更多设施并深入挖掘计算机系统验证等领域。您的组织准备好检查您的软件验证程序了吗?如何准备检查您的计算机系统验证 (CSV) 程序? 


您应该确保的是管理标准操作程序 (SOP),出于合规和运营目的以及检查目的,您应该制定以下 SOP。


1计算机系统验证 SOP


该 SOP 应概述和详细说明验证生命周期。它应包括质量目的的要求,例如预期用途、验证总体规划、用户和功能要求规范、系统设计规范、可追溯性矩阵、安装资格、操作资格、性能资格、验证总结报告和系统发布备忘录。调查人员希望看到您详细说明了验证生命周期中所有可交付成果的要求。此外,他们将寻求确保可交付成果具有正确的依赖关系并按正确的顺序排列。


2软件开发生命周期 (SDLC) SOP


此 SOP 应概述为自定义应用程序执行 SDLC 所需的步骤,并应与计算机系统验证 SOP 握手。


3变更控制 SOP


变更控制 SOP 应描述在生产环境中控制软件和硬件的过程。此外,SOP 应要求变更控制委员会负责审查和批准所有变更。


当制造商增加新功能并更正已知缺陷,仪器的软硬件变更成为无可避免的事情。当仪器硬件或软件发生变更时,使用者采纳他们认为有用或必须的变更时,应该评价变更的效果,以确定是否需要以及需要什么样的再确认,可以采用变更控制程序做这些工作,并进行记录和审核。


在欧美克激光粒度仪的软件升级中,会随新版本软件附带SUN用户文档,文档中会记录软件发生的变更,并对软件升级是否会改变既往或未来的测试结果进行说明,粒度仪使用组织可以通过建立一种SOP机制来处理这种情况下,作为修复既往错误或问题的软件变化是否需要被验证。值得注意的是,越来越多的 GMP不符合项是针对未能对其各自系统进行变更控制和执行计算机系统验证的公司。


作为检查的另一个重要方面的SOP 是良好文档规范 SOP。有一个结构来记录您的验证活动证据是非常重要的。部署良好的文档实践有助于确保您的计算机系统验证和变更控制文档的完整性。调查人员在审查文档时会迅速指出文档错误,因此,谨慎的做法是制定完善的良好文档实践 SOP。请记住,在计算机系统验证方面有大量的文档。


4安全 SOP


该 SOP 应解决对建筑物和数据中心、网络和密码的物理访问。GMP审核员正在检查建筑物的安全性;数据中心,和网络更频繁。他们还在寻求在安全 SOP 中包含密码策略或独立密码策略。此外,他们正在深入挖掘数据中心。例如,他们询问有关服务器的问题,以及它们是否在受监管和不受监管的系统之间共享。调查人员希望看到受监管系统的专用服务器;因此,无论是否使用虚拟环境,在为多个系统使用同一服务器时都要小心谨慎。


欧美克激光粒度仪的分析软件具有多种数据保存、数据管理系统或服务器对接的功能,用户可以根据实际情况选择配置,并具有软件内的文件权限的授权管理。此外,欧美克粒度仪分析软件具有用户分群及数据分群授权相关功能,对于在一套检测分析仪器下同时运行多个项目企业的合规化管理可以提供相应的辅助。


5供应商审核 SOP


GMP审核员对软件供应商及其各自质量体系的完整性提出了越来越多的问题。此外,调查人员要求查看审计的客观证据,因此记录所有审计以及任何后续纠正措施非常重要。正在审查软件供应商的培训记录,因为GMP审核员知道具有适当经验和教育程度的人参与了软件应用程序的开发和实施。


供应商审核 SOP 应包括一份清单作为 SOP 本身的附录。清单应该是用于评估软件供应商的项目列表。这些项目包括但不限于以下内容:21 CFR 第 11 部分要求、安全、托管、软件开发生命周期 (SDLC)、培训、组织结构图和人员职责。


在您的供应商审核 SOP 中包含以下内容很重要:审核频率、审核团队职责、纠正措施详细信息和时间表,当然还有审核清单,它应该是 SOP 的附录。还有其他 SOP 被认为是任何计算机系统验证程序的重要组成部分。这些 SOP 包括:灾难恢复、备份和恢复、偏差和文档管理。


检查前要查看的另一个重要文件是您的可追溯性矩阵。调查人员现在正在审查可追溯性矩阵,以确保根据系统要求对系统进行有效确认。可以在您的验证工作结束期间以及在批准可追溯性矩阵之前仔细检查您的跟踪矩阵。


在粒度仪的数据完整性和追溯管理中,所有出具的数据报告都应该可以快速追溯其由测试系统产生的原始数据,以及这些数据是否经过编辑及编辑人和编辑的理由等等。在欧美克激光粒度仪软件权限管理的日志文件中,提供了相应的追溯记录。这些日志文件对于仪器上的用户登录、测量方法、方法的编辑、数据的产生,结果的编辑,及各种编辑修改的原因都进行了记录,并提供快速的导出和检索功能。


即便如此,粒度仪使用组织依然需要有具体的可追溯性矩阵文档进行管理,针对一些偶发事件提供及时有效的修补,例如针对测试过程中异常崩溃导致数据丢失的管理等。欧美克粒度仪软件最新版本具有使用中的测试文档双重加密拷贝,异常丢失复原的功能,虽然这一般不会发生,但在偶然的意外场合提供了使用组织更易达成的完善的合规要求。


检查前要查看的最后一个文件是您的系统发布备忘录。系统发布备忘录表示系统已发布到生产中。这里要检查的一些重要点是日期。确保您的系统发布备忘录的签名日期在您的验证摘要报告的签名日期之后是有利的。像这样的小项目经常被公司忽视,因为通常会急于将系统发布到生产环境中,有时会发生在文档完成之前。对于此类错误没有任何解释,因为它表明您没有遵循您的 SOP,如果调查员发现此类错误,这将是GMP缺陷观察的性质。


image.png

总之,您的软件验证计划有很多需要考虑的地方 在检查之前。请记住准备好系统库存清单、适当的 SOP,并在GMP审核员检查之前检查您的关键系统及其文件。因此,无论您是否预见到检查,评估您的计算机验证程序都是谨慎的做法。实施高效的计算机系统验证程序有助于确保您的电子记录的完整性,更有效地分配资源,因此可以为您的公司带来长期的成本节约和预防潜在的风险。


连载说明OMEC

《激光粒度仪在药品生产质量管理规范(GMP)中的应用实践》系列连载文章已在“欧美克仪器”微信公众号完成更新!

欧美克  2023-03-13  |  阅读:1653
最新动态
更多  
欧美克数据上传助力工业智造
应用实例
2024-11-05
推荐产品 供应产品

分类

虚拟号将在 秒后失效

立即拨打

为了保证隐私安全,平台已启用虚拟电话,请放心拨打
(暂不支持短信)

×
是否已沟通完成
您还可以选择留下联系电话,等待商家与您联系

需求描述

单位名称

联系人

联系电话

已与商家取得联系
同意发送给商家
留言咨询

留言类型

需求简述

联系信息

联系人

单位名称

电子邮箱

手机号

图形验证码

点击提交代表您同意《用户服务协议》《隐私协议》