1、2010 版 GMP 附录计算机化系统解读2015 年 5 月 26 日,国家食品药品监督管理总局( CFDA)正式发布了 2010 版 GMP 的新附录之一计算机化系统,并于 2015 年 12 月 1 日起执行,引起了国内制药行业的广泛讨论和高度关注。 一、本附录出台的背景1、与国际化接轨的要求。国内外 GMP 法规有许多差异,而对计算机化系统的要求差异尤为明显。CFDA 所执行的 2010 版 GMP 法规内容与国际上其他法规机构的 cGMP 法规是对等的,如 FDA 21 CFR Part 211。但美国的制药企业除了执行 21 CFR Part 211 以外,同时还要遵守 21 CF
2、R Part 11 法规;欧盟国家的制药企业除了执行欧盟 GMP 以外,还要遵循 Annex 11 法规。FDA 的 21 CFR Part 11 与欧盟的 Annex 11 的内容是类似的,都是针对于制药企业使用计算机化系统的法规要求。新颁布的计算机化系统法规附录是国内法规与国际接轨的重要一步,填补了国内对于计算机化系统要求的法规空白,是实现与国际法规监管机构之间相互认可的前提条件之一。 2、行业发展的要求。随着中国医药行业信息化的发展,计算机化系统在药品生产过程中的应用不断增多,制药企业和相关软件厂商运用信息技术和系统控制技术提升生产效率、改进生产和质量管理成为医药行业计算机化系统应用的重
3、要方向之一。因此,如何对计算机化系统进行有效地验证就成为制药企业质量管理体系中的重要环节,CFDA 在药品生产质量管理规范(2010 年修订) (GMP) 中也将计算机化的仓库管理系统和其他相关计算机软件的变更纳入变更控制范畴要求。3、监督管理部门监管的需要。从认证检查中发现的问题来看,无菌制剂企业 GMP 认证中检查缺陷主要分布在质量管理、质量控制与质量保证,机构与人员,厂房与设施,设备,物料与产品等 11 个方面。非无菌制剂企业的跟踪检查中发现的典型问题则包括未定期对关键系统完成再确认或再验证,企业的质量管理体系运行存在问题等。当前我国药品质量标准不断提高,各项法规政策不断完善,从标准层面
4、来说已经达到了较高的水准,但是企业是否执行是一个大问题。少数企业存在生产数据作假、篡改、删除等现象,标准形同虚设。过去,国内药品 GMP 认证检查、跟踪检查中比较关注纸质文件、记录的真实性,而对于电子数据的完整性和计算机化系统的验证等问题未给予足够关注。因此,计算机化系统附录发布后对于打击生产过程中的数据作假,提升整个行业的诚信水平将会是一个有效的手段。二、附录的核心要求计算机化系统法规附录究竟讲了哪些内容?其实,许多制药企业对它的内容并不陌生,因为这则法规于 2013 年作为征求意见稿已经添加到新版 GMP 法规附录中。该附录内容并不多,全文共 24 条要求、6 页,共计 2500 字。 计
5、算机化系统附录结合了国际新的趋势及热点理念,比如基于风险-质量风险管理要贯穿系统生命周期全过程;基于科学-对流程和产品充分理解;采用软件分级管理的策略;基于质量体系-有效质量体系下实施计算机化系统(及电子数据)管理;基于生命周期-在整个生命周期内保持计算机化系统验证受控状态等。其也包含了国际制药工程协会(ISPE)GAMP5 良好自动化生产实践指南中的一些知识观点:如软件分级管理、供应商审计、物理的和逻辑的防护、权限管理、审计跟踪、电子数据的备份与恢复、应急及突发事件管理等。核心要求概括如下:1、计算机化系统验证的要求以往,法规对于设备、设施、仪器的确认是一直有要求的,但对计算机软件验证的要求
6、不明确。因而,大部分的制药企业不对计算机系统进行验证,或仅进行最简单的确认。真正按照新版 GMP 指南基于风险评估进行完整验证的企业不多,仅某些企业有国外业务、需要通过 FDA 或欧盟审计时才会考虑。而这则法规发布以后,明确对所有的国内制药企业提出进行计算机化系统验证的要求,为计算机化系统验证提供了法规依据。这里尤其值得注意的是,法规附录里要求进行基于风险评估的计算机化系统验证,实际上就是指遵循GAMP5 的验证方法学,即计算机化系统验证的形式应该是验证(Validation),通常所说的确认(Qualification,IQ/OQ/PQ)是不够的。2、数据合规性要求法规明确了对数据输入的准确
7、性和数据处理过程的正确性要求,以保证数据的合规性。概括来说,对计算机系统合规性的功能要求可以总结为:访问控制、权限分配、审计追踪和电子签名。访问控制:只有经许可的人员才能进入和使用系统。权限分配:应当对进入和使用系统制订授权、取消和授权变更的操作规程。审计追踪:用于记录数据的输入和修改以及系统的使用和变更。电子签名:明确了直接对电子数据进行电子签名是合规的,但电子签名需要符合相应法规。其中,电子签名是“可以有”,而不是“必须”,这取决于企业对于主数据的定义是电子数据还是纸质数据。对于审计追踪记录的要求,是“根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统”,这可能是考虑到很多软件自
8、身功能设计上无法实现的情况。然而,对于色谱数据系统这样的关键原始数据系统来说,审计追踪肯定是必然的要求。3、 电子数据安全性要求电子数据安全性一般分为逻辑安全性和物理安全性。逻辑安全性即是通过软件自身的权限控制对数据的访问、录入、修改和删除等操作,确保不被人为误操作或有意的篡改行为而影响数据安全。而物理安全性,即是对数据存储的介质(如硬盘、光盘、服务器等)进行保护,确保系统本身不会因为物理介质的损坏或故障造成数据丢失。 4、数据备份要求关于电子数据的备份要求不算是新的法规要求,GMP 法规也一直要求数据备份以保证原始数据的安全性。国内制药企业通常也都制定了数据备份策略,但我们发现通常只是一个月
9、甚至半年才做一次数据备份,真正发生故障时原始数据还是会严重丢失。这样的数据备份归档,其形式意义大过于实际意义;而即使是这样的一个备份频率,企业都已经觉得数据备份的工作任务很重。其根本原因是缺乏良好的解决方案。计算机化系统单独列出这条要求,将提高制药企业对数据备份的重视,进而采纳更先进的解决方案。三、新修订 GMP计算机化系统附录详析1、范围 第一条。描述了本附录的适用范围:适用于在药品生产质量管理过程中应用的所有计算机化系统,同时明确了系统“由一系列硬件和软件组成,以满足特定的功能”。按照国际药品认证合作组织(PIC/S)在 GxP 环境下的计算机化系统合规实践指南(PI011-3指南)的定义
10、,计算机化系统由计算机系统和被其控制的功能或流程组成。2、原则 第二条、第三条和第四条。主要描述了对于风险管理和供应商管理两个方面的要求。对于风险管理,一方面是整个生命周期要实施风险管理;另一方面是验证的范围和程度要基于风险评估的结果来确定。对于供应商管理,需要制定相应规程,要有明确的协议来明确供应商及制药企业双方职责,以及需要基于风险评估的结果开展供应商审计并形成文件化的记录。3、人员 第五条。该章节强调了在系统验证、使用、维护、管理过程中各职能部门人员的紧密配合,并要求明确各自权限和职责;人员要接受相应培训以适合其岗位工作,且对实施培训和指导工作的人员(即指培训老师)提出了要求。4、验证
11、本章共 4 条。对计算机系统的验证提出具体要求。第六条。应用程序的验证与基础架构的确认实际上是按照软件分类的原则(可参考 ISPE GAMP5)实施不同生命周期验证活动。其实也是采用风险管理的理念,即软硬件类别不同导致其系统复杂性和新颖性带来的风险不同,使得验证的程度(或深度)不同采用基于科学的风险评估来确认计算机化系统确认验证的范围和程度(比如通过 GxP 关键性评估确定验证的范围,通过功能性风险评估确定验证的程度);确保整个生命周期内系统处于验证的受控状态(可供参考的方法是在系统运行维护阶段遵循变更和配置管理,以及安全管理、对系统实施定期评估等)。第七、八条。对制定计算机化系统的系统清单应
12、包括的内容提出要求,核心是与药品生产质量管理相关并及时更新。一个企业计算机系统可能覆盖企业管理的各个方面,但作为药品 GMP 实施过程中涉及计算机系统的验证,要求是在药品生产质量管理过程中所涉及的全部且对于通用的商业化计算机软件于丹指定专人进行审核。第八条。需要对通用商用软件进行审核确保满足用户需求(即实施设计确认时需对通用商用软件进行确认);需要制定针对定制系统(即 5 类软件)验证实施规程。第九条。确认验证过程中,在系统数据出现转换及迁移情况时需确认数据的值及意义没有改变(比如发酵罐 PLC 设备将罐压数据通过通讯协议转移至集散控制系统 DCS,则在对DCS 系统进行 OQ 检查时需要确认
13、二者数值的一致性;信号转换的 I/O 测试)。5、系统 第十条。对安装计算机化系统的物理环境作出规定,制药企业制定清洁确证和用户需求说明(URS)和进行系统设计时需要将其考虑进去,安装确认( IQ)中要对系统的安装位置进行确认,保证系统的安装环境是不受外来因素干扰的。第十一条。对关键系统的技术资料提出要求(比如功能说明、硬件设计说明、软件设计说明、电路图、网络结构图等),这些技术资料要及时更新,保证和实际状态一致。第十二条。由于不同的计算机系统用于不同的目的,其风险自然有不同的级别。软件是计算机化系统的重要组成部分,因此本条要求企业应当根据风险评估的结果,对所采用软件进行分级管理,采取不同的管
14、理要求和措施。第十三条。针对软件的全面测试,根据软件级别的不同,其测试程度也不同(比如针对五类软件系统的源代码审核和模块测试,针对四类软件系统的配置测试,然后是基于“黑盒”的功能测试、需求测试,以及包括结合实际工艺或流程的性能测试程度都不同)。第十四条。对系统的访问权限控制提出要求,并且要求制定规程定期检查授权的使用、变更与取消。值得一提的是,也许出于国内实际情况考虑,新修订计算机化系统附录做出了硬件不足软件补的让步“对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录及相关物理隔离手段,保证只有经许可的人员方能进行操作”。需要注意的是,EU 和 FDA 并没有类似要求。并且大部分
15、企业目前不存在由于硬性缺陷问题而面临制定规程进行有效管理的问题。第十五条。对人工输入数据的准确性提出复核要求,复核的方式可以是另外的操作人员或者是经过验证的电子方式(比如经过验证的称量配料系统通过报警提示能够完成“超重”、“欠重”、“批号错误”、“忘记去皮”等关键信息复核,则岗位无需配备另一名用于复核的操作人员;再比如数据输入的有效性符合如下要求:对范围和小数点位数进行限制,超出指定范围和有效位数的数据无法输入)。第十六条。对审计跟踪提出要求(根据“风险评估的结果来考虑”给系统加入此功能),注意“每次修改已输入的关键数据均应当经过批准,并应当记录更改数据的理由”,其中记录更改数据的理由容易被制
16、药企业忽视。第十七条。对计算机化系统的变更做出详细规定。制药企业应制定针对计算机化系统的变更管理规程,并按照既定的规程实施变更活动。如果第十四条“存在硬性缺陷”,则此条其实是无法实现的。第十八条。对于记录的形式(电子的、物理的或者混合的)做出说明。其中,“应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据”易被药企忽视。需要注意的是,企业采用从计算机化系统“誊抄”纸质版数据支持报告放行的做法,并不能规避对“电子记录”的监管要求,此时纸质数据和电子数据的一致性也是检查员关注的重点,这也涉及数据完整问题。第十九条。对于采用电子数据作为主数据的情况提出管理要求,包括不限于:电子数据要能打
17、印成清晰易懂的物理文稿(即一般人可读的物理文件);物理或电子的方式储存以及定期检查可读性和完整性;起草备份恢复规程按照记录的既定时限要求进行数据的备份管理等。第二十条和第二十一条。对制定应急方案、制定故障处理规程、实施纠正预防措施提出要求。可参考 ISPE GAMP5 的附录 O4“突发事件管理”和附录 O10“业务连续性管理”。第二十二条。对采用计算机化系统进行产品放行的情形做出明确规定。这其实就是前面提及的“审计跟踪”在产品放行环节的一个特定应用而已。此过程应通过使用电子签名来实现。而在此方面 EU 比我国要求要严格。第二十三条。对电子数据可采用电子签名的做法及其要求做出说明,“电子签名应
18、当遵循相应法律法规的要求”。对于制药领域可供借鉴的相关法规,一般均采用美国联邦法规第 21 篇第 11 条款(21CFR Part11),此标准之下 FDA 将认为电子记录、电子签名和在电子记录上的手签名是可信赖的、可靠的且通常等同于纸质记录和在纸上的手写签名。6、术语 第二十四条。对电子签名、电子数据、数据审计追踪、数据完整性等七个专用术语进行了诠释。四、附录对行业可能产生的影响随着工业自动化、信息化在制药领域的发展,越来越多的企业开始尝试采用 DCS、企业资源计划 (ERP)、生产执行系统(MES)、实验室信息管理系统( LIMS)等工艺控制、数据管理或流程管理系统进行企业资源、流程、数据
19、的高效整合和优化,实现“少人化”、“无纸化”生产、办公及管理。对于如何有效管理这些计算机化系统,使其在给药企带来便利的同时,又不会引起对患者安全、产品质量和数据完整性的 GMP 风险,在此之前的中国 GMP 法规中并没有有效的约束或指导。新修订计算机化系统附录的正式颁布及实施,填补了国内 GMP 对计算机化系统的监管空白,但由于国内制药领域(不管是监管层还是制药企业)对计算机化系统管理认知起步相对较晚,因此该附录的正式颁布并实施将整体提升和加强国内制药企业对于计算机化系统(以及电子数据)的管理水平,降低计算机化系统导致的质量管理风险。同时,对于监管机构以及大部分之前没有国际认证经验的药企来说,
20、全新的监管要求势必带来以下挑战:某些老旧的计算机化系统存在硬性缺陷导致无法合规合用,系统升级改造困难(或根本找不到原来的软件商来实施升级改造);检查员、药企人员、供应商(或第三方)的知识、能力、经验及技能水平一时难以适应新的法规需求,无法进行其职责范围的活动(如实施 GMP 检查、实施 GMP 生产或检验活动、实施计算机化系统的设计建造及确认验证活动);如何有效搭建计算机化系统(及数据完整性)管理体系,如何按照既定的管理规程在整个系统生命周期内去有效地实施管理,也将是制药企业质量管理人员所面临的困难;对于采用基于科学和风险的方法有效实施计算机化系统验证,以及在系统使用过程中维护其验证的受控状态
21、,多数制药企业也会显得捉襟见肘。综上,面对技术不断革新、监管趋严、质量意识不断提升,国内制药企业的计算机化系统管理还有很长的路要走。五、关于计算机系统验证管理计算机系统是用来执行一 种特定功能或一组功能的硬件、系统和应用软件及有关外围设施的系统。与 GMP 相关的计算机系统包括以下过程中所使用的计算机系统。 生产过程。 生产环境。 过程控制。 质量决断过程。 物料控制及管理。 计算机系统验证是建立文件来证明计算机系统的开发符合质量工程的原则,能够提供满足用户需求的功能并且能够稳定长期工作的过程。计算机系统验证可借助于工艺验证的概念来理解。工艺验证中的“ 工艺 ”相当于计算机的 “输入”过程和“
22、内部处理”过程(软件),工艺中用到的设备相当于计算机主机、 外围设备(硬件)以及与其相关的生产设备或质量控制设备,工艺的“产品” 相当于计算机的“输出”或对另一台设备的控制等。本节所讨论的计算机系统验证,适用于制药企业被确定为与 GXP 相关的计算机系统,该系统包括以下内容。 (1)物料控制及管理系统 如 BPCS、SAP 系统等。 (2)实验室设备控制系统及信息管理系统 如 LIMS 系统。 (3)生产工艺及控制系统 如 PLC(可编程序逻辑控制器)等。 (4)公用设施控制系统。 在功能上,上述这些系统符合诸如下列 GMP 的某一属性。(1)自动控制 工艺控制。 环境控制。 质量控制。 自动
23、清洗。 在线灭菌等。 (2)物料控制 物料状态控制及隔离。 先进先出(或先近效期先出)。 批次追逐。 物料平衡。 发货查询。 (3)基础数据控制 生产处方。 批生产文件。 产品及包装形式信息。 鉴别产品名称、编码、批号等信息。计算机系统验证与工艺验证不同之处是:术语上的不同( 如数据处理概念)和由于软件的特性,使一般用户对软件和软件的开发相对不熟悉。(一)计算机软件的确认与验证原则(A)、基础软件验证:1、确认名称及版本号。2、确认被正确的安装在了计算机中的指定文件夹中的位置。3、确认可以正常运行。(B)、不可配置软件1、用户需求(根据系统复杂程度和质量影响风险决定内容)。2、供应商评估(根据
24、系统复杂程度和质量影响风险决定内容)。3、确认名称及版本号。4、确认被正确的安装在了计算机中的指定文件夹中的位置(嵌入式软件不需要做这一项)。5、基于风险的必要的功能测试(带有输入/输出信号的、带有控制功能的系统需要做这一项)。6、维持系统符合性的 SOP。7、校准。简单的不带控制功能的智能仪表只做校准,带控制功能的智能仪表需要校准和必要的功能测试。关键和主要的智能化检验仪器、智能化工具,需要经过评估决定确认验证的范围和程度。(C)、商用成品软件1、确认名称及版本号。2、确认被正确的安装在了计算机中的指定文件夹中的位置。3、确认可以正常运行。(D)、可配置软件验证1、用户需求(根据系统复杂程度
25、和质量影响风险决定内容)2、供应商评估(根据系统复杂程度和质量影响风险决定内容)3、供应商质量体系评估(根据系统复杂程度和质量影响风险决定内容)4、设计说明与功能描述5、确认名称及版本号6、确认被正确的安装在了计算机中的指定文件夹中的位置。7、测试环境下基于风险的必要的 I/O 测试8、工艺流程中基于风险的必要的功能测试9、维持系统符合性的 SOP(F)、定制软件验证(在“可配置软件”的基础上增加以下两项)1、设计审核2、源代码审核首次为用户单独开发的软件,才是定制软件,很少有企业存在这种情况,当然也不排除有些企业定制。至于是做 DQ、IQ、OQ 、PQ 中的哪几项?怎么做?文件形式并不重要,
26、重要的是,以上内容都关注了、确认了。(二)、计算机系统验证举例PLC 系统验证1、 PLC 系统简介 PLC 是可编程序逻辑控制器 (programmable logic controller)的缩写,是一种数字 运算操作的电子系统,专为在工业环境下应用而设计。它采用可编程序的存贮器,用来在其内部存贮执行逻辑运算、顺序控制、定时、计算和数字运算等操作的指令,并通过数字式、模拟式的输入和输出,控制各种类型机械或生产过程。PLC 系统在制药企业常被应用于以下 4 个方面。 生产设备的过程控制。检验仪器的控制。 水处理系统的运行控制。 空气净化系统的运行控制。2、 PLC 系统验证实施 PLC 作为
27、设备或公用设施的一部分被安装在设备或公用设施上,因此在实施拥有 PLC 的设备或公用设施验证时,应进行机械及计算机两部分验证。本文仅依据前面所述的计算机系统验证规范要求,对 PLC 系统的一些重要的、特殊的验 证行为进行如下阐述:A、需求定义(URS) PLC 系统需求定义对其设计、开发、测试及验收都起着关键性的作用,用户必须进行详细、全面、准确的定义。在编写 PLC 系统需求定义说明时,除了包括前面上述的计算机系统需求定义所要求的内容外,应对其控制方式进行详细的定义和要求,如以下控制方式要求: (1)逻辑控制要求(顺序控制) 如加料顺序、物料存放与提取等。 (2)分选控制( 检测与剔除) 如
28、漏片检测与剔除等。 (3)互锁控制。 (4)报警控制。 (5)位置控制。 (6)速度控制。 (7)温度控制。 (8)压力控制。 (9)时间控制。 (10)计数。 (11)其他多极控制等。B、系统设计 1控制系统配置图设计 (1)系统的 PID 图。 (2)IO( 输入输出)接线图。(3)控制器件排列图等。 2硬件设计 其中包括以下主要内容。 (1)所有的 IO(输入输出)接口模板及型号。 (2)选择 CPU。 (3)通讯模板。 (4)人机界面控制器。 (5)选择显示屏。 (6)中间继电器。 (7)存贮器。 (8)打印机。 (9)辅助电源。 (10)电子元件、电线、电缆。 (11)其他器件等。注
29、:在进行硬件设计与选择时,如果有可能与产品接触的部分,其材质及接触表面应符合 GMP 要求。如不与产品产生反应、耐腐蚀、表面光洁、易清洗等。3软件设计 PLC 所要求的功能被转化成软件,再通过所选择的硬件来实现。软件设计包括 以下 3 部分。 (1)系统软件 选择后作为分类 1,在安装确认(IQ)时仅鉴别并记录其版本号即 可。 (2)应用软件 根据需求定义中所要求的各种控制方式来设计应用软件,其可以 被集成或重新开发,可作为分类 4 或 5 来实施验证。 (3)数据 一个 PLC 系统可以产生大量的数据,有一些数据需要存贮在一个独立的系统中以便查询和追踪。为了保证数据的完整性,必须设计数据的传
30、送流程及存贮地址。C、安装确认(IQ) 1文件确认 (1)用户技术指南。(2) 标准操作程序。 (3)培训计划。 (4)售后服务协议。 (5)安全程序。 (6)设备台账。 (7)硬件确认。 (8)软件确认 包括安装程序、系统软件清单、应用软件清单、数据流程图及数 据字典,注意进行版本确认及记录。 (9)程序原代码。 (10)仪器仪表清单。 (11)技术标准及图纸。 (12)仪器仪表校验程序。 (13)PID 图。 (14)控制回路图。 (15)IO(输人输出) 清单及接线图。 (16)备品备件清单。 (17)预防维修程序。 2安装过程确认 整个安装过程符合 PID 图及安装程序要求。 3环境和
31、公用工程确认 (1)确认并记录系统安装的环境 包括清洁度、射频电磁干扰、振动、物理安 全性、温度及湿度等。 (2)确认并记录关键公用工程系统的情况 包括:电源供应、压缩空气等。 4系统测试及确认 (1)首先确认供户提供的 FAT 测试报告 包括:单元测试及集成测试报告。 (2)在现场操作环境下,对系统进行一些必要的测试(SAT),主要内容包括如 下。 仪器仪表校验或确认。 IO(输入输出)信号测试。控制回路测试。 数据采集、传送、存贮信号测试。 其他测试。D、运行确认(OQ) 在现场操作环境下,对系统的所有功能进行确认测试。OQ 测试亦是 SAT 测试 的一部分,只是侧重于系统安装后的所有功能
32、性测试。应将系统运行分别置于 正常条件下、边界条件下及警告条件进行测试,以便对系统进行全面评估。运 行确认主要内容包括如下。 (1)系统安全性测试,如编程器的使用权限等。 (2)系统需求定义(URS)中所要求的各种过程控制功能测试。 (3)报警功能测试。 (4)互锁功能测试。 (5)数据处理、存贮准确性测试。 (6)断点恢复功能测试。 (7)其他功能测试。注:在 FAT 中所测试的项目没有必要在 IQ 或 OQ 中全部重复进行测试,对一些关键性 的项目及容易受到安装、操作环境影响的项目(如:控制回路等),应该在 IQ 或 OQ 中进行 重复测试;E、性能确认(PQ) 性能确认是为了确认 PLC
33、 系统在正常生产环境下,其运行过程的有效性和稳定 性。测试项目依据对系统运行希望达到的整体效果而定,并应该进行重复确 认。 1对于批生产的设备,应对生产出的产品质量特性进行检验,以确定其各种过 程控制功能的有效性,如含量检验、包装质量检验等。应该在相同生产条件下 连续重复 3 次以上。 2对于连续过程处理的设备,如空气净化系统,应在一定时期内对尘埃离子、 微生物、温湿度、空气流向、压差、换气次数等指标进行监测。水处理系统,在一定时期内对微生物、总有机炭、化学指标、电导率、温度等指标进行监测。注:由于 PLC 系统是安装在生产设备或公用实施中,是设备(设施)的一部分,同其他部分 (如机械部分)一
34、起共同实现设备功能。因此 PLC 系统的工艺性能确认可以同该设备(设 施)的工艺性能确认结合在一起完成。生产用水制备系统 PLC 控制运行确认方案与报告A、验证对象描述及验证目的。生产用水制备系统整个运行过程采用 PLC 自动控制模式。该控制系统是制造厂商预 先按用户要求(URS) 开发编程的, PLC 根据操作人员指令及外部实际工作状态,通过相应 输入信号的检测,在内部经过运行程序逻辑判断、运算、把结果通过输出口去控制外部相 应执行机构动作,从而完成生产用水制备系统整个运行过程自动控制功能。通过该 PLC 系 统可以控制以下过程及操作: 1系统正常运行操作(启动、停止等) 2系统升温灭菌 3
35、清洁蒸汽吹扫灭菌 4电导超限报警 5通过本次验证,确认该 PLC 系统的运行能够满足使用者的功能要求及设计标准,其控制功能有效、可靠,符合 GMP 要求。 B、验证项目、实施方法及可接受标准 1系统安全性确认 确认方法:先由无编程权限的一般操作人员打开应用程序进行编程,然后再由有编程权限 的系统维护人员持编程器进行编程及修改参数。 可接受标准:(1)无编程权限的一般操作人员无法打开应用程序; (2)有编程权限的系统维护人员持编程器可以打开应用程序进行编程及修改参数。 2系统正常启动控制 确认方法:当确定外部电源、气源、运行参数都在规定的范围内,在人机界面选择生产用 水制备及分配画面,然后在控制
36、盘面上选择运行功能键。 可接受标准:系统打开运行电机,紫外灭菌灯电源,并根据自身运行状态(液位、温度、电导等)自动调节冷冻水、蒸汽调节阀、流量调节阀、及管路开关阀。待各个动作机构的反馈 信号在规定的时间范围内产生并正确无误后,系统进入正常的运行状态。 3电导超限报警控制 确认方法:用外接的模拟电流信号模拟去离子水电导超标现象,观察系统运行情况。 可接受标准:系统自动停机,并有报警信号产生。 4断电恢复功能 确认方法:在运行中,断开供电电源,观察 PLC 系统及整个系统运行情况,PLC 程序、 设置的参数及时实数据保存情况。然后再恢复电源,观察系统恢复情况。 可接受标准:(1)断开供电电源后,P
37、LC 控制系统停止运行,同时整个系统运行停止; (2)断开供电电源后,因 PLC 内部有备用电池及EPROM 存贮器支持,程序、设置的参数及 时实数据被保存起来,没有丢失。 (3)恢复电源后,系统恢复停电前的状态。 5其它需描述的内容或要求。C、运行确认所需相关技术支持文件 1用户需求说明书(URS) 2PLC 系统设计标准 3控制系统 PID 图 4IO( 输入输出)接线图 5供户提供的 FAT 测试报告 6用户技术指南 7标准操作程序 8其它需描述的内容或要求。D、生产用水制备系统 PLC 控制运行确认报告1、运行确认执行情况概述。本次运行确认以生产用水制备系统 PLC 控制运行确认方案(
38、编号: )为依据,按方案 中所规定的 确认项目及方法进行确认并记录,执行过程中未出现过变更及偏差。 2、运行确认结果。A、系统安全性确认。 含确认方法、 可接受标准、 确认结果。无编程权限的一般操作人员打开应用程序进行编程 OR 无编程权限的一般操作人员无法打开应用程序。结论(不符合 OR 符合要求) 有编程权限的系统维护人员持编程器进行编程及修改参数 OR 无编程权限的系统维护人员持编程器可以打开应用程序进行编程及修改参数。结论(符合 OR 不符合要求)确认人: 日期: 年 月 日 复核人: 日期: 年 月 日B、系统正常启动控制。 确认方法、可接受标准、确认结果。 系统打开运行电机,紫外灭
39、菌灯电源 符合要求 根据自身运行状态(液位、温度、电导 等)自动调节冷冻水、蒸汽调节阀、流量 调节阀、及管路开关阀。结论(符合或不符合要求)当确定外部电源、气源、运行参数都在 规定的范围内,在人机界面选择生产用水 制备及分配画面,然后在控制盘面上选择 运行功能键 各个动作机构的反馈信号在规定的时间范围内产生并正确无误后,系统进入正常的运行状态。结论(符合或不符合要求)。确认人: 日期: 年 月 日 复核人: 日期: 年 月 日C、电导超限报警控制。确认方法、可接受标准、确认结果。系统自动停机 用外接的模拟电流信号模拟去离子水。结论(符合或不符合要求)电导超标现象,观察系统运行情况 有报警信号产
40、生。结论(符合或不符合要求) 确认人: 日期: 年 月 日 复核人: 日期: 年 月 日 D、断电恢复功能。 确认方法、可接受标准、确认结果。PLC 控制系统停止运行,同时整个系统 运行停止 断开供电电源,观察 PLC 系统及整个系统。结论(符合或不符合要求) 系统运行情况。PLC 程序、设置的参数及时实数据保存情况 程序、设置的参数及时实数据被保存起来,没有丢失。结论(符合或不符合要求);恢复电源,观察系统恢复情况 系统恢复停电前的状态 符合要求3、运行确认结论。 通过运行确认结果可以看出,生产用水制备 PLC 控制系统的运行能够满足使用者的功能要求及设计标准。控制功能的符合性及有效性得到了
41、证明,系统具备了能够在正式生产环境下使用的条件。六、关于电子记录及电子签名第一 、采用电子文件的优越性目前,随着电子计算机技术的发展,越来越多重要的电子文件(非纸张文件)应用于制药企业的生产及产品的开发研究过程中,如批生产记录、临床研究报告等。电子文件的使用与纸张文件比较,具有如下的优越性。 (1)容易存取信息。 (2)传送速度快,提高工作效率。 (3)搜索能力强。 (4)数据容易进行统计及分析。 (5)可由多人同时进行存取。 (6)节约纸张,具有良好的环保效益。第二、电子记录及签名目前存在的问题目前大部分制药企业都有着良好的管理纸张记录及传统签名的经验,GMP 对此也有着严格的要求及规定。但
42、是对于电子记录及签名的管理,与纸张记录及传统签名比较,从 GMP 的符合性来讲还存在一些问题。例:如果要使电子记录及签名的管理符合 GMP 中的文件管理要求,就应该将纸张记录及签名的特性应用于电子记录及签名特性中去,使得电子记录及签名必须像纸张记录及签名一样可信赖和可靠。而目前许多企业的计算机系统设计及管理还不能完全保证满足此种需求。如何使电子记录及签名在发挥其优越性的同时符合 GMP 要求,这给计算机系统的开发、设计及验证提出了更高的要求。第三、 目前国际上相关法律法规对电子记录及电子签名的要求为了保证制药企业的电子记录及电子签名完全等效于纸张记录及传统签名的可靠性,确保其符合 GMP 要求
43、,FDA(美国药品和食品管理局)早在 1997 年就在 美国联邦法规相关条款(21CFRPARTll)中对电子记录及电子签名进行了明确规定。其中内容包括:对电子签名与电子记录进行了明确定义、电子签名要求及控制、电子记录要求及控制(封闭系统及开放系统) 、电子签名与电子记录的链接、识别码与密码的控制等。本文正是在此基础上,对电子签名与电子记录的管理以及如何进行验证进行了较为详细的探讨。第四 电子记录及电子签名定义及相关特性1、电子记录 电子记录是指依靠计算机系统进行创建、修改、维护、存档、找回或发送的诸如文字、图表、数据、声音、图像及其他以电子(数字)形式存在的信息的任何组合。其具有如下的特性。
44、 当数字数据存人磁盘、磁带或其他一些持久性的电子媒介时,电子记录就产生了。 当仪器将数据写入磁盘文件时,产生的就是电子记录的原件。当这些信息打 印到纸上时,产生的将是电子记录原件的纸张复印件。这与原始的记录原件及复印件的概念有所不同。 原始记录是第一个电子记录,在纸张复印件上签字并不能使这个纸张复印件成为原件。 二、电子签名 电子签名是指计算机对一些符号的执行、采用或者被授权的行为进行数字处理,这些行为是指在法律上完全等效于传统个人手工签名的一种个人行为。电子签名有两种形式。 A无生物特征的电子签名 如用户识别码和密码,其随时间的流失具有惟一性。 B具有生物特征的电子签名 如指纹、视网膜扫描、
45、发声等,这些特征在体现个人独有性方面是可测量的。第五 电子签名要求1、基本要求 每个电子签名对每个人来讲应该是独有的,不能被任何其他人再使用或再分配。 在组织成立之前,必须先对具有电子签名资格的个人身份进行分配、批准并 确认其一致性。 每次签名应具有时间的印记。 签名应同时代表其含意,如起草、审核、批准等。 签名应限制于其相关文件中,以防止未授权的复制及改变。 签名应充分体现在电子记录的复印件中。2、电子签名的组成及控制 A无生物特征的电子签名 至少使用两个截然不同的识别组分,如识别码和密码。当签名是在单独的、 一段连续的控制系统中多次进行时,第一次签名应使用所有的电子签名组分(识别码加密码)
46、;在随后的签名中应至少使用一个个人的惟一识别组分( 如识别码) 。在非连续的控制系统中进行签名时,必须使用所有的电子签名组分。 电子签名只能被真正的拥有者使用。应对除了拥有者之外的需要协助拥有者 签名的其他个人的电子签名进行管理和确认。 系统管理者不应该知道用户密码,也不能够将密码透露给其他人(防止伪造记 录)。 B 具有生物特征的电子签名其设计应确保除了真正拥有者之外,其他人无法使用。3、识别码及密码控制 使用识别码及密码进行电子签名的人必须实施以下控制,以确保其安全性及完整性。 识别码及密码应大于或等于 6 个字母数字。 保持每一个识别码和密码的单一性,如在识别码和密码的组成中不能出现两个
47、相同的元素,不能再分配。 定期检查、变更及撤除(人员离开时)识别码及密码。当出现诸如权限丢失、被窃或其他危及安全的事件发生时,相关程序应能够保证使用卡或其他设施具有或产生识别码或密码信息,并确保正确置换(暂时 永久)。 建立安全防护措施,防止识别码及密码被非法使用。检测、跟踪那些未授权限企图进入系统的行为,发现问题立即报告。 初始并定期检测那些能够具有或产生识别码或密码信息的装置,如卡等,以确保其功能运行正常并不能够被以未授权的方式改变。第六 电子记录要求1、 基本要求真实的,可信赖的。 安全的(密码控制限制通路正确存储)。 可随时调出查阅。 应符合相关法律法规要求(如 GMP 等) 。 2、
48、封闭系统中对电子记录的要求 封闭系统是指系统通道处于一种能够被一定的人员所控制的环境,该人员有权限在系统上进行电子记录的操作,如被拥有者所使用的个人计算机。使用封闭系统进行电子记录的生成、修改、维护、发送等活动的人员,应建立相关的管理及控制程序及确保电子记录的真实性、完整性及保密性(需要时)。管理及控制程序内容应包括以下内容。 对系统进行验证以确保其精确性、真实性、一致性以及能够识别无效或被改变的记录。 系统应能够生成准确而完整的复制件包括人工可阅读的形式及能够接受检查的电子形式。 保护记录,使其在保存期内可被随时调出查阅。 限制通道,只能被有权限的人使用。 采用计算机系统生成的时间印记追踪功
49、能(time-stamped audit trails),如: a何人、何时、作了何事 (记录生成、修改、删除、发送等); b由计算机自动记录( 非纸张 ),按时间顺序存储,并在其保存期内可被随时调出查阅; c记录的更改不能够遮盖原始的记录信息。 对于具有按一定顺序进行的过程(如电子批记录等),必须检查其操作的步骤顺序,确保其按一定的顺序记录。 对使用者的资格权限进行确认,以确保只有有权限的人才能进入系统、完成某些操作(读、写、删除、修改等)、变更记录、电子签名等。 对硬件设施(如终端等)功能进行检查,以确认功能运行及源数据输入的有效性。确认开发、维护、或者使用电子签名电子记录系统的人员有一定的教育背景,接受过培训并有一定的经验完成他们的工作 建立一定的管理规程,要求操作人员有责任保证记录,签名的原始性,防止记录和签名被仿造。还有就是对系统文件进行控制,包括充分控制文件的发放及使用,变更
