一、精选问答
1、问:GMP规定,使用完全计算机化仓储管理系统进行识别的,物料、产品等相关信息可不必以书面可读的方式标出。我公司使用的是ERP管理系统, 是否属于完全计算机化仓储管理系统?完全计算机化仓储管理系统是一个什么样的系统?
答:国内药厂所用的计算机管理系统通常是ERP或SAP系统,该类计算机系统一般由多个模块组成,与企业的仓储管理其他相关的硬件和软件紧密相关, 是否属于完全计算机化管理系统应通过企业对该系统的应用广度和深度来识别。
GMP的管理原则是防止混淆、差错、污染与交叉污染,这也适用于计算机化仓储管理系统下的物料管理过程。企业如果能够通过计算机自动管理手段(无纸化) 来确保物料不出现混淆、差错的可能,则可以被视为完全计算机化仓储管理系统。例如:仓储的货位管理并非依靠人工肉眼来检查,而完全靠计算机处理; 物料入库、出库的识别不是依靠操作人员肉眼进行识别, 而是依靠条码读取等方式进行的, 则基本上属于完全计算机化仓储管理系统。
2、问:计算机化系统附录中有否规定计算机化系统的基础设施,比如网络、数据中心等。第六条,应用软件的验证和基础架构的确认..... 这一块,基础架构的确认是否属于验证范畴?
答:基础设施的规定是有的,但是法规不会很具体的描述。比如:数据中心的服务器应该在安全,防静电,防水,恒温,防湿,防震等要求,数据中心必须有门禁系统。网络安全指的是Internet 和 internet 以及防火墙的控制等。具体到GMP范畴,这些内容都是必须验证的。“第六条,应用软件的验证和基础架构的确认..... ”这一条就比较复杂了,可以好好看看GAMP5 里面会根据软件的分类进行不同强度的验证。网络的安全性,稳定性是在同一个验证里进行的,不用分开做。"
3、问:所有的GMP相关系统都运行在一套虚拟化系统和数据存储的软件上。这套基础架构的软件一旦宕机,后果不堪设想。那么这套软件是否属于GMP验证的系统范畴?GAMP5 来说,属于一类,是否就什么都不用做了?关键系统和GMP相关系统,如何鉴定?
答:验证是以系统为单位的,独立的软件只是其一部分。1类软件需要确认按照需求采购了合适的软件,记录版本号,正确安装,有备份,遵循变更控制。基于风险分析进行分类,GxP关键性评估分出是否被监管;软件分类评估评定软件类别,验证的深度或强度;Part11评估确定其ERES 适用性;供应商评估甄别合适供应商并找到参与活动的平衡点。
所有在药企里面运行的软件大概除了财务软件部分可以简单验证以外,其他的软件都必须按照GAMP5进行验证。首先按照风险评估和GAMP5的要求进行分类,然后再确认什么样的验证合适。美国的药企规定:只要在药厂里运行的系统都必须验证。只是验证的强度不同而已。网络和虚拟化系统这一类必须验证。"
4、问:我们计算机系统上的每个工作流均需要被验证?
答:是的,工作流,例如电子主生产和控制记录(MPCR)的创建,是计算机系统的预期用途,需要通过验证检查(见 211.63,211.68(b)和 211.110(a))。如果你验证了计算机系统,但是没有验证其预期用途,你无法得知你的工作流是否正确运行。6 例如,确认制造执行系统(MES)平台(一种计算机系统),以确保其符合规格;然而没有证明由MES产生的给定的MPCR包含正确的计算。在这个例子中,验证工作流确保在MPCR中的预期步骤、规格和计算时准确的。这与MPCR在生产中实施之前审查纸质MPCR并确保所有支持性规程就位是相似的。(见 211.100,211.186,212.50(b),和《PET药品生产质量管理规范(CGMP)》行业指南)。
FDA建议采取适当的控制以管理与系统每个元素相关的风险。适当的设计以验证系统符合其预期用途的控制涉及软件、硬件、人员和文档。
5、问:如何限制对CGMP计算机系统的访问?
答:你必须采取适当的控制以确保对计算机化MPCR或其它记录的更改,或将实验室数据输入计算机化记录,仅能由授权人员执行( 211.68(b))。FDA建议,如果可能,通过技术手段限制更改规格、工艺参数、或制造或检验方法的能力(例如,通过限制更改设置或数据的权限)。FDA建议系统管理员的角色,包括任何改变文件和设置的权利,分配给独立于负责记录内容的人员。为帮助控制访问,FDA建议维护一个授权人员名单以及他们对每个在使用的CGMP计算机系统的访问权限。
如果这些独立的安全角色分配不适合少数员工的小规模操作或设施,例如PET或医用气体设施,FDA建议采用交替控制策略。7 例如 , 在极少数情况下,相同的人员具有系统管理员角色 , 并对记录内容负责,FDA建议由第二人审查配置和内容。如果第二人审查无法实现,FDA建议由该人复核配置和他/她自己的工作。
6、问:为什么FDA关注计算机系统共用登录账户的使用?
答:企业必须采取适当的控制以确保仅授权人员可以更改计算机化的MPCR或其它记录,或将实验室数据输入计算机化记录,你必须执行文档控制以确保这些行动归属于特定个人(见 211.68(b),211.188(b)(11),211.194(a)(7)和(8),以及 212.50(c)(10))。当登录凭证是共用的 , 无法通过登录识别唯一的个体 , 该系统因而不符合211和212部分的CGMP要求。FDA要求系统控制,包括文档控制 , 被设计为遵循CGMP以保证产品质量(例如 , 211.100和212.50)。
7、问:第11部分法规和“既定法规要求”(21CFR 211中)如何应用于药品生产和检测中使用的实验室计算机控制系统产生的电子记录及相应的打印图谱?
答:行业里有些人误解了“行业指南-Part 11部分,电子记录;电子签名-范围与应用”(Part 11指南;164至171页)中下述文字,以为在所有情况下电子记录的纸质打印都符合21 CFR的211部分的原始规定要求。
“根据Part 11范围中的狭义解释,关于既定法规要求保存或提交给FDA的记录,当人员选择使用电子形式的记录来代替纸质版式时, 第 11部分将适用。换句话说,当人员使用计算机生成的电子记录的纸质打印件时时,这些纸质记录符合适用的既定法规所有要求,而人员依靠纸质记录进行其监管活动时,FDA将通常不会认为人员按照11.2(a)和11.2(b)“使用电子记录代替纸质记录”。在这些情况下,使用计算机化系统生成纸质记录不会涉及第11部分。
第11部分(150-152行)也注明:
“…人员必须遵守适用的既定法规,要求保存或提交的记录必须按照既定法规保持安全可靠”。
对于高效液相色谱(High Performance Liquid Chromatography,HPLC)和气相色谱(Gas Chromatography,GC)系统(和涉及用户输入、输出、审计追踪等的其它计算机化系统),既定法规如21 CFR 211.68和21 CFR 211.180(d),要求电子记录本身按照那些法规进行保留和维护。21 CFR 211.180(d)要求,记录“可作为原始记录或真实副本,例如影印、缩微胶卷、单片缩微胶片或原始记录的其它准确复制”。21 CFR 211.68进一步说明:“为确保备份数据完整准确,免于被篡改、不慎擦除或丢失,应保存包括副本、磁带或缩微胶卷在内的复印件或其它方式”(增加重点)。根据21 CFR 211.180(d)要求,图谱的纸质打印件不作为用于创建图谱的整个电子原始数据的“真实副本”。根据21 CFR 211.68的要求,打印图谱也不作为用于生成图谱的电子原始数据的“准确和完整”副本。图谱通常不包括,例如用于生成图谱或与其有效性相关的进样序列、仪器方法、积分法或审计追踪。因此,用于药品生产和检测的打印图谱不满足21 CFR Part 211中既定法规的要求。实验室计算机化系统产生的电子记录必须按照这些要求予以保存。
FDA认识到,有些是适合在实验室内部使用打印图谱对检测结果进行审核的情况。同样,也可接受在监管检查或申报审核时提供打印图谱。然而,电子记录必须保存,易于供例如QC/QA职员或FDA检查员审核。
总之,关于如何为计算机系统保存记录的决定应基于原始规定要求。FDA建议这些决定应得到合理的风险评估的支撑。
8、问:用于药品生产操作的计算机化系统必须具备哪些功能?只保留操作功能,没有审计追踪和历史数据存储功能可以么?
答:根据《药品生产质量管理规范(2010年修订)》第三百一十条发布的《计算机化系统》附录:
第二条:用计算机化系统代替人工操作时,应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响,不增加总体风险;
第三条:风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证和数据完整性控制的程度。
首先我们在使用计算机化系统前通过书面风险管理将风险降为零或者可接受范围,并通过验证,保证数据完整性。
附录后面的每一节都有我们值得注意的功能模块。建议好好读读,随时沟通。
功能要求:权限,安全配置,审计追踪等等。
9、问:如何体现计算机记录的真实性和可靠性?
答:《药品生产质量管理规范(2010年修订)》第一百六十三条规定:如使用电子数据处理系统、照相技术或其他可靠方式记录数据资料,应当有所用系统的操作规程;记录的准确性应当经过核对。使用电子数据处理系统的,只有经授权的人员方可输入或更改数据,更改和删除情况应当有记录;应当使用密码或其他方式来控制系统的登录;关键数据输入后,应当由他人独立进行复核。
企业除应根据上述要求确保计算机记录的真实性和可靠性外,另外还要满足《中华人民共和国电子签名法》中的相关要求。
如果在电脑中直接使用Word和Excel软件记录各种质量记录,则必须制定相应的电子文件管理操作规程,未经授权的人不应进入计算机管理系统,确保记录真实、及时,并能够真实记录数据的修订历史,确保数据的可追溯性。记录的格式应尽量避免直接使用Word或Excel格式。因为这些格式容易被修改且不易察觉。应将文档格式转换为PDF等不易修改的格式。
电子记录可以替代纸质打印记录,但应当满足纸质打印记录的相关属性,如:不可随意修改、能够显示记录历史、具有符合法规要求的电子签名等,并应当有电子记录管理的操作规程。
10、问:Empower3要增加几台客户端 只需要做安装确认是吧? 安装确认的内容主要包含计算机硬件 以及通讯测试完就OK 发报告就可以用了吗?
答:按照GXP系统做评估,计算机化系统的验证是根据风险评估来定验证项目。增加客户端需要走变更,变更后基于评估进行确认,后续的确认在您说的基础上考虑下计算机软件基础软件如操作系统,是否对应用程序的运行有影响。
中国GMP附录计算机化系统 第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。
应当在计算机化系统生命周期中保持其验证状态。
11、问:计算机和软件工作站的验证是否需要定期进行?有无明确法规要求?
答:需确保验证状态为受控的,形式可采用定期确认的方式,周期自己进行评估。
中国GMP附录计算机化系统 第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。
应当在计算机化系统生命周期中保持其验证状态。
12、问:中国制药企业只针对原辅材料供应商进行供应商审计或评估。对于提供计算机化系统服务的供应商,是否必须供应商审计?
答:CFDA《计算机化系统》附录—第四条 企业应当针对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。
第十二条 软件是计算机化系统的重要组成部分。企业应当根据风险评估的结果,对所采用软件进行分级管理(如针对软件供应商的审计),评估供应商质量保证系统,保证软件符合企业需求。
欧盟GMP附录11 3.1 -3.4当检查员要求看与供应商或软件和系统设计商相关的质量体系和审计信息时,这些信息应当可以提供。
建议:无论是对中国GMP,还是欧盟、美国等GMP,对于计算机化系统供应商审计的必要性非常高。
二、建议阅读
2.1 文章
大咖文章专栏↓
Pharm4.0&CSV的知识专栏
https://www.bopuyun.com/pc/column/35歪演绎:实验室计算机化系统验证
https://www.bopuyun.com/pc/column/1172.2 优秀资源专栏
确认与验证必备——计算机系统验证及数据完整性
https://www.bopuyun.com/pc/subject/55计算机化系统相关期刊论文
https://www.bopuyun.com/pc/subject/662.3 高下载量资源
2.4 优秀课程
从法规到应用,掌握CSV正确方法
https://www.bopuyun.com/pc/college/128每天15分钟修炼CSV+数据可靠性独家内功心法
https://www.bopuyun.com/pc/college/114计算机系统验证专题
https://www.bopuyun.com/pc/college/22