然后陆老师建议我说说CSV,说实话GAMP5我就看过标题。里面的内容看的云里雾里,这几天恶补相关的知识,还是觉得很绕,毕竟虽然做了多少年的验证,但是关于验证从来没有全局的视角,只是从QC的角度重复的去做。幸好在网上发现了国家局在2014年6月17日发的文,叫做关于再次征求《药品生产质量管理规范(2010年修订)》确认与验证和计算机化系统2个附录意见的函 。里面的计算机化系统写的很实际,对于QC以及验证部都很有指导意义。我来分析一下和我相关的内容,和大家一起分享一下。
第三条 风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证的范围和数据完整性控制的程度。
所有的验证都说到一个名词,那就是生命周期,说的很玄乎,其实简单的说,就是从你用这个软件开始一直到软件废弃,都要定期进行验证。这句话其实说的和我们其他的仪器是一样的。
第四条 企业应当注重计算机化系统供应商的管理,制定相应的操作规程。供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。企业应当能够提供与供应商质量体系和审计信息相关的文件。
我们很多购买的仪器如液相、气相、拉曼、TOC等都有供应商赠送的3Q,并且很多供应商现在都有在做软件的确认。现在FDA审计是要求企业自己做的软件确认。
第五条 计算机化系统的“生命周期”中所涉及的各种活动,如验证、维护、管理等,需要各相关的职能部门人员之间的紧密合作。在职责中涉及使用和管理计算机化系统的人员,应当接受相应的使用和管理培训。确保有适当的专业人员,对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。
计算机系统的使用之前是需要培训的,培训考核合格后才能使用以及管理相关的计算机系统。
第七条 企业应当建立包含所有计算机化系统的清单,标明与药品生产质量管理相关的功能。清单应当及时更新。
这一点我们单位已经做到了,每次审计前都要重新核一下有哪些电脑连接工作站。
第十二条 软件是计算机化系统的重要组成部分。软件的使用者应当根据风险评估的结果,对于所采用软件进行分级管理(如针对软件供应商的审计),保证软件的编制过程符合质量保证系统的要求。
GAMP5中将软件分为基础设施软件(1类)、不可配置软件(3类)、可配置软件(4类)和定制应用软件(5类)这4个类别。而我们要根据不同的类别来决定如何管理,比如1类软件是完全不需要审计的,只要能出具购买的正版的证明就可以。而LIMS系统就需要对软件供应商进行审计了。像4类软件只要进行验证就可以了。
第十四条 数据的输入或修改只能由经许可的人员进行。杜绝未经许可的人员输入数据的手段有:使用钥匙、密码卡、个人密码和限制对计算机终端的访问。应当就输入和修改数据制订一个授权、取消、授权变更,以及改变个人密码的规程。必要时,应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷,无法实现人员控制的,必须具有书面程序,相关记录本及相关物理隔离手段,保证只有经许可的人员方能进行操作。
个人认为这一条很重要了,我之前的文章也写过,台山制药就是因为这一条 没有做好,欧盟审计没有通过。
我们有专门的文件要求,离开有工作站的电脑前必须锁屏。并且每个使用者都有电脑账号及工作站账号,账号密码包括数字字母和符号。三个月更换一次。使用者的权限和管理者的权限是有分别的。但是目前也存在有一些工作站没有用户管理以及权限管理功能,我们只能在windows上设置用户和密码。但是这样无法对修改数据进行有效的管理,所以建议大家以后购买有工作站的仪器的时候一定要问清楚是否有权限管理,数据追踪,用户管理等功能。
第十五条 当人工输入关键数据时(例如在称重过程中输入物料的重量和批号),应当复核输入记录以确保其准确性。这个复核可以由另外一个操作人员完成,或采用经验证的电子方式。必要时,系统应当设置复核功能,确保数据输入的准确性和数据处理过程的正确性。
我用过的软件目前没有遇到能电子验证数据的功能的。所以对于这一条我们只能采用人工复核的方法了。
第十六条 计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员,方可修改已输入的数据。每次修改一个已输入的关键数据均应当经过批准,并应当记录更改数据的理由。应当根据风险评估的结果,考虑在计算机化系统中建立一个数据审计跟踪系统,用于记录数据的输入和修改。
这一条就讲到了我刚才所说的数据审计跟踪的功能。
第十八条 对于电子数据和纸质打印文稿同时存在的情况,应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。
这一条逼得我们还要新起草一份文件,或者变更已有的计算机系统管理文件。
第十九条 以电子数据为主数据时,应当满足以下要求:
(一)为满足质量审计的目的,存储的电子数据应当能够打印成清晰易懂的文件。
(二)必须采用物理或者电子方法保证数据的安全,以防止故意或意外的损害。日常运行维护和系统发生变更(如计算机设备或其程序)时,应当检查所存储数据的可访问性及数据完整性。
(三)应当建立数据备份与恢复的操作规程,定期对数据备份,以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点,保存时间应当至少满足本规范中关于文件、记录保存时限的要求。
这里面就讲到了数据备份的要求,我记不得哪个法规里面要求的,要求数据双备份,并且还不存在一个楼里面。我们实际上是这么做的。一个是电脑服务器每天定期备份。另外一个就是电脑本身的备份。
整个文章写完之后发现我写的跑题了,大部分写的是对计算机系统的管理要求,计算机系统验证写的还是很少的。其实我们没必要把计算机系统验证看的很复杂,所有的验证都是通的。风险评估、生命周期管理等都是必须的。唯一的区别就是计算机系统的验证是要求数据格式转换或者迁移时数据的数值和含义没有变化需要确认。还有计算机的清单需要及时更新。
最后欢迎大家关注我的公众微信GMP-qc,一起交流讨论。