2015年5月26日,国家食品药品监督管理总局(CFDA)正式发布了2010版GMP的新附录之一《计算机化系统》,并于2015年12月1日起执行,引起了国内制药行业的广泛讨论和高度关注。
一、本附录出台的背景
1、与国际化接轨的要求。国内外GMP氢氧化钙生产
法规有许多差异,而对计算机化系统的要求差异尤为明显。CFDA所执行的2010版GMP法规内容与国际上其他法规机构的cGMP法规是对等的,如FDA 21 CFR Part 211。但美国的制药企业除了执行 21 CFR Part 211以外,同时还要遵守21 CFR Part 11法规;欧盟国家的制药企业除了执行欧盟GMP以外,还要遵循Annex 11法规。FDA的21 CFR Part 11与欧盟的Annex 11的内容是类似的,都是针对于制药企业使用计算机化系统的法规要求。新颁布的《计算机化系统》法规附录是国内法规与国际接轨的重要一步,填补了国内对于计算机化系统要求的法规空白,是实现与国际法规监管机构之间相互认可的前提条件之一。
2、行业发展的要求。随着中国医药行业信息化的发展,计算机化系统在药品生产过程中的应用不断增多,制药企业和相关软件厂商运用信息技术和系统控制技术提升生产效率、改进生产和质量管理成为医药行业计算机化系统应用的重要方向之一。因此,如何对计算机化系统进行有效地验证就成为制药企业质量管理体系中的重要环节,CFDA在《药品生产质量管理规范(2010年修订)》(GMP)中也将计算机化的仓库管理系统和其他相关计算机软件的变更纳入变更控制范畴要求。
3、监督管理部门监管的需要。从认证检查中发现的问题来看,无菌制剂企业GMP认证中检查缺陷主要分布在质量管理、质量控制与质量保证,机构与人员,厂房与设施,设备,物料与产品等11个方面。非无菌制剂企业的跟踪检查中发现的典型问题则包括未定期对关键系统完成再确认或再验证,企业的质量管理体系运行存在问题等。当前我国药品质量标准不断提高,各项法规政策不断完善,从标准层面来说已经达到了较高的水准,但是企业是否执行是一个大问题。少数企业存在生产数据作假、篡改、删除等现象,标准形同虚设。过去,国内药品GMP认证检查、跟踪检查中比较关注纸质文件、记录的真实性,而对于电子数据的完整性和计算机化系统的验证等问题未给予足够关注。因此,计算机化系统附录发布后对于打击生产过程中的数据作假,提升整个行业的诚信水平将会是一个有效的 手段。
二、附录的核心要求
《计算机化系统》法规附录究竟讲了哪些内容?其实,许多制药企业对它的内容并不陌生,因为这则法规于2013年作为征求意见稿已经添加到新版GMP法规附录中。该附录内容并不多,全文共24条要求、6页,共计2500字。《计算机化系统》附录结合了国际新的趋势及热点理念,比如基于风险-质量风险管理要贯穿系统生命周期全过程;基于科学-对流程和产品充分理解;采用软件分级管理的策略;基于质量体系-有效质量体系下实施计算机化系统(及电子数据)管理;基于生命周期-在整个生命周期内保持计算机化系统验证受控状态等。其也包含了国际制药工程协会(ISPE)GAMP5良好自动化生产实践指南中的一些知识观点:如软件分级管理、供应商审计、物理的和逻辑的防护、权限管理、审计跟踪、电子数据的备份与恢复、应急及突发事件管理等。核心要求概括如下:
1、计算机化系统验证的要求
以往,法规对于设备、设施、仪器的确认是一直有要求的,但对计算机软件验证的要
求不明确。因而,大部分的制药企业不对计算机系统进行验证,或仅进行最简单的确认。真正按照新版GMP指南基于风险评估进行完整验证的企业不多,仅某些企业有国外业务、需要通过FDA或欧盟审计时才会考虑。而这则法规发布以后,明确对所有的国内制药企业提出进行计算机化系统验证的要求,为计算机化系统验证提供了法规依据。这里尤其值得注意的是,法规附录里要求进行基于风险评估的计算机化系统验证,实际上就是指遵循GAMP5的验证方法学,即计算机化系统验证的形式应该是验证(Validation),通常所说的确认(Qualificationabs082,IQ/OQ/PQ)是不够的。
2、数据合规性要求
法规明确了对数据输入的准确性和数据处理过程的正确性要求,以保证数据的合规性。概括来说,对计算机系统合规性的功能要求可以总结为:访问控制、权限分配、审计追踪和电子签名。
访问控制:只有经许可的人员才能进入和使用系统。
权限分配:应当对进入和使用系统制订授权、取消和授权变更的操作规程。
审计追踪:用于记录数据的输入和修改以及系统的使用和变更。
电子签名:明确了直接对电子数据进行电子签名是合规的,但电子签名需要符合相应法规。
其中,电子签名是提升装置“可以有”,而不是“必须”,这取决于企业对于主数据的定义是电子数据还是纸质数据。对于审计追踪记录的要求,是“根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统”,这可能是考虑到很多软件自身功能设计上无法实现的情况。然而,对于谱数据系统这样的关键原始数据系统来说,审计追踪肯定是必然的要求。
原子菲 3、 电子数据安全性要求
电子数据安全性一般分为逻辑安全性和物理安全性。逻辑安全性即是通过软件自身的权限控制对数据的访问、录入、修改和删除等操作,确保不被人为误操作或有意的篡改行为而影响数据安全。而物理安全性,即是对数据存储的介质(如硬盘、光盘、服务器等)进行保护,确保系统本身不会因为物理介质的损坏或故障造成数据丢失。
4、数据备份要求
关于电子数据的备份要求不算是新的法规要求,GMP法规也一直要求数据备份以保证原始数据的安全性。国内制药企业通常也都制定了数据备份策略,但我们发现通常只是一个月甚至半年才做一次数据备份,真正发生故障时原始数据还是会严重丢失。这样的数据备份归档,其形式意义大过于实际意义;而即使是这样的一个备份频率,企业都已经觉得数据备份的工作任务很重。其根本原因是缺乏良好的解决方案。《计算机化系统》单独列出这条要求,将提高制药企业对数据备份的重视,进而采纳更先进的解决方案。
三、新修订GMP《计算机化系统》附录详析
1、范围 第一条。描述了本附录的适用范围:适用于在药品生产质量管理过程中应用的所有计算机化系统,同时明确了系统“由一系列硬件和软件组成,以满足特定的功能”。按照国际药品认证合作组织(PIC/S)在GxP环境下的计算机化系统合规实践指南(PI011-3指南)的定义,计算机化系统由计算机系统和被其控制的功能或流程组成。
暗访设备 2、原则 第二条、第三条和第四条。主要描述了对于风险管理和供应商管理两个方面的要求。
对于风险管理,一方面是整个生命周期要实施风险管理;另一方面是验证的范围和程度要基于风险评估的结果来确定。
对于供应商管理,需要制定相应规程,要有明确的协议来明确供应商及制药企业双方职责,以及需要基于风险评估的结果开展供应商审计并形成文件化的记录。
3、人员 第五条。该章节强调了在系统验证、使用、维护、管理过程中各职能部门人员的紧密配合,并要求明确各自权限和职责;人员要接受相应培训以适合其岗位工作,且对实施培训和指导工作的人员(即指培训老师)提出了要求。
4、验证 本章共4条。对计算机系统的验证提出具体要求。第六条。应用程序的验证与基础架构的确认实际上是按照软件分类的原则(可参考ISPE GAMP5)实施不同生命周期验证活动。其实也是采用风险管理的理念,即软硬件类别不同导致其系统复杂性和新颖性带来的风险不同,使得验证的程度(或深度)不同——采用基于科学的风险评估来确认计算机化系统确认验证的范围和程度(比如通过GxP关键性评估确定验证的范围,通过功能性风险评估确定验证的程度);确保整个生命周期内系统处于验证的受控状态(可供参考的方法是在系统运行维护阶段遵循变更和配置管理,以及安全管理、对系统实施定期评估等)
。
第七、八条。对制定计算机化系统的系统清单应包括的内容提出要求,核心是与药品生产质量管理相关并及时更新。一个企业计算机系统可能覆盖企业管理的各个方面,但作为药品GMP实施过程中涉及计算机系统的验证,要求是在药品生产质量管理过程中所涉及的全部且对于通用的商业化计算机软件于丹指定专人进行审核。
第八条。需要对通用商用软件进行审核确保满足用户需求(即实施设计确认时需对通用商用软件进行确认);需要制定针对定制系统(即5类软件)验证实施规程。
第九条。确认验证过程中,在系统数据出现转换及迁移情况时需确认数据的值及意义没有改变(比如发酵罐PLC设备将罐压数据通过通讯协议转移至集散控制系统DCS,则在对DCS系统进行OQ检查时需要确认二者数值的一致性;信号转换的I/O测试)。
5、系统 第十条。对安装计算机化系统的物理环境作出规定,制药企业制定清洁确证和用户需求说明(URS)和进行系统设计时需要将其考虑进去,安装确认(IQ)中要对系统的安装位置进行确认,保证系统的安装环境是不受外来因素干扰的。
第十一条。对关键系统的技术资料提出要求(比如功能说明、硬件设计说明、软件设计说明、电路图、网络结构图等),这些技术资料要及时更新,保证和实际状态一致。
第十二条。由于不同的计算机系统用于不同的目的,其风险自然有不同的级别。软件是计算机化系统的重要组成部分,因此本条要求企业应当根据风险评估的结果,对所采用软件进行分级管理,采取不同的管理要求和措施。
第十三条。针对软件的全面测试,根据软件级别的不同,其测试程度也不同(比如针对五类软件系统的源代码审核和模块测试,针对四类软件系统的配置测试,然后是基于“黑盒”的功能测试、需求测试,以及包括结合实际工艺或流程的性能测试程度都不同)。
第十四条。对系统的访问权限控制提出要求,并且要求制定规程定期检查授权的使用、变更与取消。值得一提的是,也许出于国内实际情况考虑,新修订《计算机化系统》附录做出了硬件不足软件补的让步——“对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录及相关物理隔离手段,保证只有经许可的人员方能进行操作”。需要注意的是,EU和FDA并没有类似要求。并且大部分企业目前不存在由于硬性缺陷问题而面临制定规程进行有效管理的问题。
汽车水箱除垢剂
第十五条。对人工输入数据的准确性提出复核要求,复核的方式可以是另外的操作人员或者是经过验证的电子方式(比如经过验证的称量配料系统通过报警提示能够完成“超重”、“欠重”、“批号错误”、“忘记去皮”等关键信息复核,则岗位无需配备另一名用于复核的操作人员;再比如数据输入的有效性符合如下要求:对范围和小数点位数进行限制,超出指定范围和有效位数的数据无法输入)。
第十六条。对审计跟踪提出要求(根据“风险评估的结果来考虑”给系统加入此功能),注意“每次修改已输入的关键数据均应当经过批准,并应当记录更改数据的理由”,其中记录更改数据的理由容易被制药企业忽视。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议