计算机系统 CSV 法规对制药企业至关重要,美国 FDA、欧盟 Annex 11、欧盟 EMA、中国 CFDA 等都对计算机化系统验证做了重点要求,但是众多药厂在 CSV 合规验证方面依然存在一些误区,所以针对计算机化系统 CSV 法规我们为您准备了足够多的干货,只发一次请收好。答题有好礼奉送!
Q1:什么是计算机化系统?
由计算机系统控制部分和受控的功能和模块构成,计算机控制部分包括控制软件和硬件(如电脑、固件等) ,受控部分包括仪器设备和人员、SOP 程序、组织、培训等。在制药工厂中,计算机化系统主要有实验室仪器设备、应用程序、IT基础设施和生产单元等。
Q2: 全球哪些监管法规重点要求了计算机化系统验证?
美国、欧盟、中国都有相关的法规
美国 FDA 21 CFR Part 11:电子记录/签名
欧盟 Annex 11:计算机化系统
欧盟 EMA:发布计算机化系统验证-核心文件,Annex2:复杂计算机化系统验证2018年4月发布, 2018年8月1日强制实施
中国 CFDA:2010版GMP附录-<计算机化系统> <确认与验证>;2015年12月
中国CFDA :<药物非临床研究质量管理规范> 新版GLP,第十六条 强调计算机化系统验证 2017年9月1日生效
ISPE GAMP5(指南基于风险的验证策略/V 模型文档
PIC/s PI-011(指南)在法规监管GxP环境下计算机化系统验证良好规范
《药品数据管理规范》(征求意见稿, 2018 年 1 月)是数据可靠性的法规文件,明确地规定了对计算机系统需要有验证,且对验证要求都做出了明确的规定
Q3:一个完整的 CSV 验证需要考虑哪些?—— CSV 实施框架 V Model
GAMP5 V 模型的核心是风险分析与控制, V 模型左边主要是需求规格,V 模型底部是系统的安装/调试/配置,V 模型右边主要是确认与测试,以证明需求是否得到满足。
具体而言,V 模型左边包括验证计划 VP、系统影响性评估 SIA 或法规风险分析、URS 用户需求说明、FRS 功能规格说明、以及根据这些功能需求所做出详细风险分析,即功能风险分析 FRA、DS/CS设计/配置规格。 另外,还包括系统供应商评估,这个也是验证前期需要做的重要环节。
系统经过安装/调试/配置后,然后进行 IQ/OQ 确认测试,需要准备相关 SOPs 和进行员工培训,再进行 PQ 确认测试,RTM 需求追踪矩阵,验证总结报告 VSR。
Q4:CSV 验证主要交付文档有哪些?
包括:验证计划(VP)、风险评估(RA)、用户需求规范(URS)、功能需求规范(FRS)、设计/配置规范(DS/CS);安装确认(IQ)、运行确认(OQ)、性能验证(PQ)、需求追踪矩阵(RTM)、验证报告(VSR)。
从合规方面主要考虑的关键点:电子记录安全性、审计追踪、数据备份与恢复、灾难恢复、登陆/密码安全性、电子签名、数据完整性 Data Integrity 等。
Q5:GAMP 5 软件系统包含哪几类?
其实有 5 类,但是主要是 3 个大类:
第一类: 操作系统,如 Windows 等,验证策略是不推荐做十分详细的验证,记录版本。
第二类:可配置软件包,如 OpenLAB ECM, LIMS, CSD 软件,需要做确认针对于用户需求的操作和供应商评估确认。
第三类:完全定制化软件,需要审计供应商和验证整个系统,通常制药实验室不常见。
Q6:IT基础设施在 CSV 验证中地位与作用
应用程序例如软件系统等,是搭建在IT基础网络设施,应以合适的方式进行适当的确认和记录应存档
Q7:验证计划( VP )主要包括哪些内容?
包括的内容如下:
系统概述与验证目标
系统与项目的范围
验证项目的人员角色与职责
定义/缩写/参考资料
验证原理/依据 和策略
法规风险分析结果
交付
项目进度
供应商管理
可接受标准 与系统释放
培训要求
文档管理
Q8:如何进行供应商评估确认?
GMP 相关性和对系统供应商进行合适的潜在风险的确认和评估是必要的,一般进行问卷调查,如果做得严格些,可以进行供应商现场审计。
Q9:国内外的法规风险评估( RA )有什么区别?
从法规上来分析系统风险级别高低,国内通常选择系统影响性评估( SIA ),是一种简化的法规风险评估( RA )。相比于国外法规RA分析,国内的风险评估是相对简化的。
Q10:URS (用户需求说明)和 FRS (功能需求说明)是写在一起还是分开写?
URS 定义系统必须满足什么样的商业化需求和合规上需求,FRS 主要是说明系统如何在技术上符合 URS,主要是针对自定义的软件,在大多数时候,URS/FRS 两个需求是可以写在一起的 UFRS。
Q11:如何做详细风险分析 FMEA(失效模式与影响分析)让合规风险降至最小化?
使用合理的风险分析定制验证/确认活动的努力或工作,测试范围和深度可以在风险中定义,做 CSV 验证的目的就是让系统风险控制在可接受的范围而不是让风险为零。
Q12:DS 设计规格 / CS 设计规格有什么区别?如何做?
CS 通常用于商业化软件,DS 用于定制化软件。
DS/CS 的最低要求包括:
系统架构 System Topology
整个系统的数据流 Data Flow
最低的/必要的硬件和软件组件 Components
仪器通讯/控制配置(如需要) Communication/Control Configuration
时间/日起设置和安全性 Time/Date setting and Security
登陆与安全设置 (Physical 物理的 and Virtual 虚拟的) – 操作系统与应用软件
登陆参数 Login parameters
用户特权与许可 User privileges/permissions
数据管理 Data Management
审计追踪设置 Audit Trail settings
任何其它为了软件满足用户需求UFRS而做的可配置设置等(i.e. 数据备份, 系统恢复, 启动与关闭等)
Q13: IQ/OQ/PQ 测试脚本是否可以描述为“符合预期”之类
测试脚本测试的要求可能是数据可靠性或者是其它功能方面的, FDA不接受“满足预期”这样的描述,建议写出具体结果。
Q14:验证总结报告 VSR 批准意味着什么
VP 陈述项目应该完成什么,VSR阐述项目确实完成了什么,VSR 批准意味着系统可以放行用于GMP生产运行。
Q15:系统相关 SOPs 是否有必要准备?什么阶段开始准备?
SOP s是有必要起草的,在 PQ 之前就应当具有相关 SOPs,或至少有草稿版本,且用户可以得到合适的培训。
系统相关的 SOPs包括:
系统使用与操作——数据采集与加工处理,数据审核与批准,审计追踪审核等
用户培训
系统的管理与维护
Data backup 数据备份/ Archival 归档/ Retrieval 恢复还原
同时建议具有更高层面的 SOPs,包括:变更管理,验证生命周期,登陆/安全,业务持续与灾难恢复,记录控制与保留政策,电子签名的使用,反欺诈监控。
Q16:整个验证完成需要多长时间
具体要看是什么样的系统,简单的系统验证,几周至几个月,复杂的系统验证半年至1年,甚至更长时间都是有可能的。
一般而言,安捷伦网络版 Open LAB CDS 2.X,大概控制 8-10 台仪器是在 1-2 个月内完成验证,单机版软件 Open LAB CDS 2.X,可能 2-3 周即可完成验证。
Q17:请问反欺诈是什么要如何执行?
对数据我们要求周期性的审核,有每日、每周、每月的审核,建议企业有一个这样的流程来确保数据是真实可靠的,如果发现数据作假要及时举报,制定相关的应急机制。
Q18:实验室如果在 CSV 方面缺失会面临哪些法规风险
违规的风险很高
罚款、坐牢、部分或全面商业关闭,
客户信任度受损并很难修复
产品拒绝/放行后退货 ( QC )
影响研发药品申报进度和成败( R&D )
Q19:安捷伦在 CSV 验证上可以为客户到哪些?
我们在不同阶段都可以为您提供不同的帮助
1)项目计划计划:帮助您一起做好计划
2)需求沟通阶段:验证计划 VP,系统 GxP 影响性评估或法规风险分析,用户功能需求规范( URS/FRS ),风险评估报告( RA )
3)系统安装配置阶段:系统配置规范 CS
4)系统验证阶段:安装确认 IQ,运行确认 OQ,性能确认 PQ,需求追踪矩阵 RTM,验证总结报告 VSR
5)项目交付阶段:项目验收报告
Q20:安捷伦 CSV 验证可以为客户实验室带来哪些利益?
安捷伦的服务:
帮助发现系统的缺陷,从而即时整改,以达到符合 DI 相关法规要求
使得客户 QC/QA/IT 等人员,在验证过程中,可获得 CSV 验证相关培训
客户建立起相关 SOPs,便于系统放行后的运行和监控
加速了客户 CSV 验证的进程
总之,大大降低了客户 CSV 法规风险,且加速了整个验证过程!
本文使用权归安捷伦科技(中国)有限公司所有,未经授权请勿转载至其他公众号,如需转载,请与工作人员联系,并注明出处。
长按识别二维码, 关注安捷伦视界