吴海华
三生国健药业(上海)股份有限公司
上海 201203
摘 要:从用户需求说明,供应商审计与质量计划的审核,计算机化系统硬件和软件分类,风险评估,验证计划,设计说明与设计确认,安装、运行、性能确认等七个方面,阐述了计算机化系统验证的实施基础,以期能够根据不同的计算机化系统特点和要求,建立起各类计算机化系统科学、合理的验证模式或标准。
关键词:计算机化系统;验证;实施基础;GAMP5
0 引言
2015年5月26日,国家食品药品监督管理总局(CFDA)正式颁布了关于计算机化系统专项规范的附录,该附录要求自2015年12月1日起开始正式施行。《计算机化系统》附录明确了计算机化系统的范围、原则、人员、验证、系统等方面的要求。
计算机化系统验证是指持续地以文件形式来证明计算机化系统的开发符合预先设定的接受标准和质量属性原则,能够提供满足用户需求的功能并且能够稳定长期工作的过程。计算机化系统生命周期的验证,始于最初的用户需求,终于退出服务。其目的就是证明设备、系统、工艺过程是符合相关标准和法规指南的,根本目的是保证患者的用药安全,保证产品质量和数据完整性。
随着人们对GMP理解的不断深入与提高,国内制药行业与国际标准的逐渐接轨,计算机化系统验证问题阻碍了我国制药行业的自动化和信息化发展。鉴于此,本文将结合现有法规和实际工作经验,探讨如何真正深入理解第五版《良好自动化生产实践指南》(简称GAMP5)的相关概念和理论,根据不同的计算机化系统特点和要求,对计算机化系统验证工作的实施作一基础阐述。
1 用户需求说明
用户需求说明(简称URS)是由系统用户和项目专家制定的,用以详细说明计算机系统的业务需求、期望和性能指标,其包括但不限于以下内容:
1.1 系统描述
系统描述主要是描述系统能做到什么程度,如何关联不同模块、控制方法(例如:逻辑控制、分离控制、连锁控制、报警控制、位置控制、温度控制、压力控制、时间控制、计数和其他多级控制)、实施流程、操作员的端口和安全需求。
1.2 物理要求
物理要求包括有足够的空间、位置、周边环境等。
1.3 硬件文件标准
硬件文件标准包括图纸、原理图操作指南、备件清单等。
1.4 软件文件标准
软件文件标准包括程序编号和修改编号、输出接口程序和详细说明、软件的追加和保留条件、系统分程序图纸和配置清单等。
1.5 测试要求
测试要求测试项目和记录必须在系统的发展进程中进行,包括模块测试和集成分离测试。
1.6 对供应商的其他要求
对供应商的其他要求包括在发展进程中完成系统验证、质量控制和变更控制等。
2 供应商审计与质量计划的审核
2.1 供应商审计
对计算机化系统的潜在供应商的审计应尽早开始。供应商审计的目的是确认供应商有成熟的质量管理系统以及有能力交付按照预定规程开发和测试的系统,且符合所有预定要求。一般供应商优先采用GAMP5或类似的生命周期验证模型,以满足所有要求。
表1为供应商审计方式的建议,类别从1~5顺序的评价费用会越来越高,最终选择哪种评价方法应取决于风险评估结果。评价标准包括供应商风险与产品风险。
系统所有者应证明并记录归档选择的程序。系统所有者在QA人员和IT人员帮助下对供应商进行评估,并记录归档评估结果。供应商如果已经在其他项目中进行过审计,该审计结果可以被直接采用。
2.2 质量计划的审核
计算机化系统的每个供应商应提供项目质量计划(PQP),其应说明如何满足最终用户的需求,这些需求描述体现在URS、规程、VMP(验证总计划)中。
项目质量计划的重要作用是说明供应商如何满足本文中的生命周期验证模型,作为行动控制规程的参考文件。同时,PQP应按照建立的规程起草,并满足GAMP5需求。最终用户对PQP进行审核和批准。
3 计算机化系统的硬件和软件分类
对药品生产有直接影响的计算机化系统的软件和硬件应进行分类,以制定适当的验证策略和范围。在设计阶段,当供应商已经确定、设计文件可供使用时,应尽早进行计算机化系统软件和硬件的分类。
最终用户应按照硬件和软件的GAMP5要求进行分类,其类别如表2、表3所示。在表格中记录分类结果,同时定义生命周期验证模型中需要哪些活动及其责任人(供应商/最终用户)。
注:原类别2在GAMP5中不再使用。
4 风险评估
风险评估应被应用到所有的计算机化系统验证活动中。基于风险的验证应得到管理机构的支持,可以帮助降低验证费用。
风险评估的原则是风险能在发生前被识别并被缓解。系统的风险水平取决于系统生成和/或处理记录的数量和危险程度。典型的风险水平一般分为高、中、低三个水平。系统所有者在各验证步骤中都需要运用风险管理方法。
5 验证计划
为保证计算机化系统验证的正确实施,需要制定一个验证计划(VP)。验证计划需要描述所有活动,例如:URS的审核、开发计划的审核(设计)、测试策略、数据移植的确认、验证文件的审核和整个系统的可接受标准。
验证计划包括日期、每个审核和测试的责任人可接受标准,至少在这些测试上有一个索引。
验证计划应在开始验证前得到一个责任人的批准。
6 设计说明与设计确认
6.1 设计说明
供应商应提供功能和设计说明文件,清楚、完整地描述如何满足URS要求,系统如何运作,如何设计硬件和软件架构。其中,文件命名、编号取决于供应商规程,但内容应符合GAMP5要求,以确认计算机化系统URS中的所有需求在设计中得到体现,供应商应使用最终用户提供的RTM(需求追踪矩阵)或同等内部格式的RTM。
6.1.1 功能说明
供应商应提供计算机化系统的功能说明(FS)。
FS应描述系统怎么工作,其详细程度应满足后续文件的设计和功能测试的要求。功能说明应详述系统功能和界面、计算、安全和配置等。同时,能溯源到URS的具体要求。
6.1.2 硬件设计说明
供应商应提供计算机化系统的硬件设计说明(HDS)。
HDS定义了硬件的架构和配置,包括控制器、I/O卡、计算机和界面部件等。
对于相对简单的系统,硬件设计说明可以整合到功能设计说明中。
6.1.3 软件设计说明
供应商应提供计算机化系统的软件设计说明(SDS)。
SDS基于功能设计说明,对内容进行拆解,对系统使用以及软件架构的控制流程进行定义。例如,定义软件是否基于模块建立以及明确各模块之间的界面。
对于相对简单的系统,软件设计说明可以整合到功能设计说明中。
6.1.4 软件模块设计说明
供应商应提供计算机化系统每个软件模块的设计说明(SMDS)。
SMDS基于软件设计说明,对内容进行拆解,详细介绍单独软件模块的运行模式。
在软件和硬件分类时,应明确供应商是否需要提供说明给最终用户,取决于应用的软件类型,包括标准模块和客户定制模块。其中,客户定制模块一般需提供SMDS;PLC系统应用一般由标准模块和客户定制模块组成。
供应商有每个标准模块的SMDS,模块在开发测试阶段应按照说明进行测试(模块验证后,如项目未进行变更,无需再进行测试)。用户定制的模块都应编写SMDS,作为开发测试阶段的参考文件,通常需要提供给最终用户。
系统相对简单的软件模块设计说明可以整合到功能说明和/或软件设计说明中。
6.2 设计确认
设计确认(DQ)应基于供应商的设计说明,确认所有系统设计符合URS中的所有要求。
DQ更多情况下是对URS的本地化响应,逐条确认计算机化系统的URS软件以及硬件要求是不是在设计的时候得到了响应与满足。
7 安装、运行、性能确认
7.1 安装确认(IQ)
IQ是文件化地确认系统已按照编写的并预先批准的标准进行了安装。
IQ执行应确保该系统安装符合设计标准,需要提供所有的的技术数据,确认内容应包括但不限于:
7.1.1 文件确认
文件确认应该包括对用户技术指南、SOP、培训计划、售后服务协议、设备库存、安全程序、硬件说明、软件说明、源代码、仪器清单、仪器校准程序、PID、控制回路图、I/O设备清单和连接图、备件清单和维护规程等文件的确认。
7.1.2 安装过程确认
确认系统安装符合PID和操作手册的要求。
7.1.3 环境和公共设施确认
(1)系统安装环境的检验和记录,例如洁净水平、射频/电磁干扰、物理保护、温度、湿度、声音、照明等。
(2)记录关键设施以及条件,确认公共设施应该跟说明一致,包括消防报警公告、预防系统、冷却系统、持续供电、大面积网络连接、本地区域网络连接、灾难恢复、模拟等。
7.1.4 系统测试确认
(1)报告项目FAT的验收测试应该完全由供应商提供,且适用于设计标准。
(2)应该对系统运行情况开展必要的测试,基本内容包括:1)所有仪器仪表应该被校准和标注过期日,校准应该有明确的标准及应提供相应的检查证件;2)I/O信号试验应确保信号可以在控制系统设备间进行传输和反馈;3)数据采集、传送和信号记忆测试。
7.1.5 软件安装确认与其他测试
最终用户负责安装确认。如供应商有支持IQ的确认执行方案和服务,最终用户的IQ方案可以整合或引用那些测试。
7.2 运行确认(OQ)
OQ是文件化地确认系统能按照编写的并预先批准的标准运行,包括所有特定的运行范围。运行确认测试按照预先批准的方案实施。
7.2.1 测试系统安全
所有逻辑系统的“最坏情况”都应该进行测试,例如使用不同权限进行测试,以便确认未经授权操作是否能被禁止。
7.2.2 控制功能的测试
根据系统要求进行各种各样的过程控制功能的测试。通过测试“最坏情况”(例如最大通信负荷、过程相当大的数据文件等),检查系统和决策程序的功能,应根据系统URS的对应标准进行测试。
7.2.3 测试报警及连锁功能
根据系统操作手册,需要在系统报警和连锁的条件下测试相应程序的功能。
7.2.4 测试定时器和定序器
根据系统操作手册配置相关功能,测试系统定时、定序功能是否符合预定要求。
7.2.5 测试数据处理和存储
(1)对正确的数据存储、准确的数据采集和系统的自我搜索的确认;
(2)确认数据输出长度、运载和空载的处理能力;
(3)数据保存到相应文件夹的功能确认。
7.2.6 关机/恢复测试
(1)在系统关闭之前和之后检查数据采集的情况,确保数据没有损坏或丢失;
(2)检查备用电源的供应、不间断电源的供应、电力调节器和电力发电机;
(3)系统故障或失败时,能够根据系统的操作手册提供系统备份。
7.2.7 其他功能测试
最终用户负责运行确认。如供应商有支持OQ的确认执行方案和服务,最终用户的OQ方案可以整合或引用那些测试。
7.3 性能确认(PQ)
PQ是确认系统运行过程中的有效性和稳定性方面的情况。
当一个人工系统被计算机或PLC控制系统取代时,两者需要平行运行。
计算机化系统如果是生产系统、实验室或者公用设施的一部分时,计算机化系统可根据设施、设备的PQ进行性能确认。对于生产设备,要进行产品规格测试,如化验、包装规格测试等,确保所有的过程控制功能都是有效的,应当在相同的生产条件下进行至少3个连续批次的测试。
当系统或子系统任何性能随时间的变化有恶化的迹象时,应进行额外测试。
8 结语
《计算机化系统》附录从正式发布至今已经有三年时间,很多国内同行普遍认为在这方面的硬件、意识、培训不足,存在较大的法规风险。同时,设备供应商在调试设备或者实施软件系统时,由于对计算机化系统验证的理解不够,使得设备、软件系统不能完全符合计算机化系统验证的要求,特别是在面对FDA、EMEA、CFDA的现场检查时,常常出现各种问题。因此,真正深入理解GAMP5的相关概念和理论,根据不同的计算机化系统特点和要求,建立起各类计算机化系统科学、合理的验证模式或标准,将是未来一个关键性的课题。
作者简介:
吴海华(1981—),男,上海人,工程师,从事制药企业质量管理工作。
