手機版
2015年5月26日,CFDA在其官方網站發布了《藥品生產質量管理規範(2010年修訂)》計算機化係統和確認與驗證兩個附錄的公告(2015年第54號)並將於2015年12月1日生效。其實早在2011年歐盟即發布了新修訂版的歐盟GMP附錄11《計算機化係統》,同時相應修訂了歐盟GMP的第4章《文件》,二者均於2011年6月30日起生效實施。
我們先看一下CFDA該附錄頒布曆程:2013年3月21日CFDA首次發布該附錄初版征求意見稿;2014年6月17日CFDA又更新發布了該附錄的第二版並繼續向社會征求意見。相比較而言,第一版的征求意見稿從內容上來說,更接近EUGMP 附錄11《計算機化係統》的2008年草稿版,而第二版則更接近EUGMP 附錄11《計算機化係統》2011年正式版。因此我們不難看出,國內在該領域的監管要求已經基本靠攏和接近歐盟水平了。
新修訂的計算機化係統附錄較2014年第二版征求意見稿變化並不大(僅在基於風險的供應商審計、整個生命周期內維護驗證狀態、計算機化係統放行產品的規定等細節有一些調整),但整體語言和文字表述更加嚴謹。全文結合了國際新的趨勢及熱點理念:
基於風險—質量風險管理要貫穿係統生命周期全過程
基於科學—對流程和產品充分理解;采用軟件分級管理的策略
基於質量體係—有效質量體係下實施計算機化係統(及電子數據)管理
基於生命周期—在整個生命周期內保持計算機化係統驗證受控狀態
也包含了ISPE GAMP5良好自動化生產實踐指南中的一些知識觀點:
軟件分級管理
供應商審計
物理的和邏輯的防護
權限管理
審計跟蹤
電子數據的備份與恢複
應急及突發事件管理
深度解析
範圍
第一條。描述了本附錄的適用範圍:適用於在藥品生產質量管理過程中應用的計算機化係統。同時明確了係統組成“由一係列硬件和軟件組成,以滿足特定的功能”。按照PIC/SPI011-3指南的定義,計算機化係統(ComputerizedSystem)由計算機係統(ComputerSystem)和被其控製的功能或流程組成。
原則
第二條、第三條和第四條。主要描述了風險管理和供應商管理兩個方麵的要求。對於風險管理:一方麵是整個生命周期要實施風險管理,自動代替人工操作不會帶來負麵影響及總體風險增加;另一方麵是驗證的範圍和程度要基於風險評估的結果來確定。對於供應商管理:xuyaozhidingxiangyingguicheng,xuyaoyoumingquedexieyimingquegongyingshangjizhiyaoqiyeshuangfangzhize,xuyaojiyufengxianpinggudejieguoshishigongyingshangshenjibingxingchengwenjianhuadejilu。
人員
第五條。該章節強調了在係統驗證、使用、維護、管理過程中各職能部門人員的緊密配合,並要求明確各自權限和職責;人員要接受相應培訓以適合其崗位工作;而且對實施培訓和指導工作的人員(即指培訓老師)提出了要求:“確保有適當的專業人員……”。
驗證
第六條。應用程序的驗證與基礎架構的確認實際上是按照軟件分類的原則(可參考ISPE良好自動化實踐規範,以下簡稱GAMP5,軟硬件分類)實施不同生命周期驗證活動,其實也是采用風險管理的理念—軟硬件類別不同導致其係統複雜性和新穎性帶來的風險不同,從而驗證的程度(或深度)不同。
采用基於科學的風險評估來確認計算機化係統確認驗證的範圍和程度(比如:通過GxP關鍵性評估確定驗證的範圍,通過功能性風險評估確定驗證的程度);
確保整個生命周期內係統處於驗證的受控狀態(可供參考的方法是在係統運行維護階段遵循變更和配置管理,安全管理,對係統實施定期評估等)。
第七條。需要製定GMP關鍵計算機化係統清單並及時更新。
第八條。需要對通用商用軟件進行審核確保滿足用戶需求(即實施設計確認時需對通用商用軟件進行確認);需要製定針對定製係統(即5類軟件係統)驗證實施規程。
第九條。在確認驗證過程中,對於係統數據出現轉換及遷移情況需確認數據的值及意義沒有改變(舉例比如:發酵罐PLC設備將罐壓數據通過通訊協議轉移至DCS係統,則在DCS係統的OQ檢查時需要確認二者數值一致性;信號轉換的I/O測試)。
係統
第十條。對安裝計算機化係統的物理環境做出規定,製藥企業製定URS和進行係統設計時需要考慮進去,IQ中對係統的安裝位置進行確認,保證係統的安裝環境是不受外來因素幹擾的。
第十一條。對關鍵係統的技術資料提出需求(比如功能說明、硬件設計說明、軟件設計說明、電路圖、網絡結構圖等),這些技術資料要及時更新保證和實際狀態一致。
第十二條。軟件分級管理與供應商審計(同上所述)。
第十三條。針對軟件的全麵測試,根據軟件級別的不同其測試的程度也將不同(比如:針對五類軟件係統的源代碼審核和模塊測試,針對四類軟件係統的配置測試,然後是基於“黑盒”的功能測試、需求測試,以及包括結合實際工藝或流程的性能測試)。
第十四條。對係統的訪問權限控製提出要求,並且要求製定規程定期檢查授權的使用、變更與取消。值得提出來引起注意的是,CFDA也許出於國內實際情況考慮,做出了硬件不足軟件補的讓步—“對於係統自身缺陷,無法實現人員控製的,必須具有書麵程序、相關記錄本及相關物理隔離手段,保證隻有經許可的人員方能進行操作”。需要注意的是,歐盟和FDA並沒有類似要求。大部分的企業目前不是硬性缺陷的問題,而是製定規程進行有效管理的問題。
第十五條。對人工輸入數據的準確性提出複核的要求,複核的方式可以是另外的操作人員或者是經過驗證的電子方式(比如經過驗證的稱量配料係統通過報警提示能夠完成“超重”、“欠重”、“批號錯誤”、“忘記去皮”等關鍵信息複核,則崗位無需配備另一名用於複核的操作人員;再比如數據輸入的有效性符合:範圍和小數點位數,超出指定範圍和有效位數的數據無法輸入)。
第十六條。對審計跟蹤提出要求(根據“風險評估的結果來考慮”給係統加入此功能),注意“每次修改已輸入的關鍵數據均應當經過批準,並應當記錄更改數據的理由”,這裏記錄更改數據的理由容易被製藥企業所忽視。
第(di)十(shi)七(qi)條(tiao)。對(dui)計(ji)算(suan)機(ji)化(hua)係(xi)統(tong)的(de)變(bian)更(geng)做(zuo)出(chu)詳(xiang)細(xi)規(gui)定(ding)。製(zhi)藥(yao)企(qi)業(ye)應(ying)製(zhi)定(ding)針(zhen)對(dui)計(ji)算(suan)機(ji)化(hua)係(xi)統(tong)的(de)變(bian)更(geng)管(guan)理(li)規(gui)程(cheng),並(bing)按(an)照(zhao)既(ji)定(ding)的(de)規(gui)程(cheng)實(shi)施(shi)變(bian)更(geng)活(huo)動(dong)。如(ru)果(guo)第(di)十(shi)四(si)條(tiao)“存在硬性缺陷”,則此條其實是無法實現的。
第十八條。對於記錄的形式(電子的、物理的或者混合的)做出說明。“應當有文件明確規定以電子數據為主數據還是以紙質打印文稿為主數據”容易被製藥企業忽視。企業采用從計算機化係統“謄抄”紙質版數據支持報告放行的做法,並不能規避對“電子記錄”的監管要求,此時紙質和電子的一致性也是檢查員關注的重點,這也是數據完整性的問題
第十九條。對於采用電子數據作為主數據的情況,提出管理要求,包括不限於:電子數據要能打印成清晰易懂的物理文稿(即一般人可讀的物理文件);物理或電子的方式儲存以及定期檢查可讀性和完整性;起草備份恢複規程按照記錄的既定時限要求進行數據的備份管理等
第二十條和第二十一條。對製定應急方案、製定故障處理規程、實施糾正預防措施提出要求。可參考ISPEGAMP5的附錄O4“突發事件管理”和附錄O10“業務連續性管理”。
第二十二條。對采用計算機化係統進行產品放行的情形作出明確規定。這其實就是前麵提及的“審計跟蹤”在產品放行環節的一個特定應用而已。對比EUGMP 附錄11的第15條:當dang計ji算suan機ji化hua係xi統tong被bei用yong於yu記ji錄lu認ren證zheng和he批pi放fang行xing時shi,係xi統tong應ying僅jin僅jin允yun許xu質zhi量liang受shou權quan人ren來lai對dui該gai批pi次ci進jin行xing放fang行xing,同tong時shi應ying明ming確que識shi別bie和he記ji錄lu放fang行xing批pi次ci的de人ren。此ci過guo程cheng應ying通tong過guo使shi用yong電dian子zi簽qian名ming來lai實shi現xian。歐ou盟meng比bi中zhong國guo要yao求qiu要yao嚴yan格ge。
第二十三條。對電子數據可采用電子簽名的做法及其要求作出說明,“電子簽名應當遵循相應法律法規的要求”。對於製藥領域可供借鑒的相關法規,一般均采用USFDA的21CFRPart11美國聯邦法規第21篇第11條款,此標準之下FDA將認為電子記錄、電子簽名、和在電子記錄上的手簽名是可信賴的、可靠的並且通常等同於紙質記錄和在紙上的手寫簽名。
術語
第二十四條。對電子簽名、電子數據、數據審計追蹤、數據完整性等七個專用術語進行了詮釋。
新修訂附錄帶來的影響
眾所周知,科學技術是不斷向前發展進步的,隨著工業自動化、信息化在製藥領域的發展,越來越多的製藥企業開始嚐試采用DCS(集散控製係統)、ERP(企業資源計劃)、MES(生產執行係統)、LIMS(實驗室信息管理係統)等工藝控製、數據管理或流程管理係統進行企業資源、流程、數據的高效整合和優化,實現“少人化”、“無紙化”生產、辦公及管理。如何有效管理這些計算機化係統,使其在給製藥企業帶來便利的同時,又不會引入對患者安全、產品質量和數據完整性的GMP風險,在此之前的中國GMP法規沒有任何的約束或指導。
本附錄的正式頒布及實施,將填補國內GMP對計算機化係統的監管空白。由於國內製藥領域(不管從監管層還是製藥企業)對計算機化係統管理認知相對起步較晚,因此該附錄的正式頒布並實施,一方麵將整體提升和加強國內製藥企業對於計算機化係統(以及電子數據)的管理水平,降低計算機化係統導致的GMP風險,但另一方麵對於大部分之前沒有國際認證經驗的製藥企業來說全新的監管要求也勢必會帶來非常嚴峻的挑戰。
麵臨挑戰
監管機構及製藥企業(包括供應商)將麵臨如下挑戰:
某些老舊的計算機化係統存在硬性缺陷導致無法合規且合用,係統升級改造困難(或根本找不到原來的軟件商來實施升級改造);
檢查員、製藥企業人員、供應商(或第三方)的知識、能力、經驗及技能水平不能適應新的法規需求,去實施其職責範圍的活動(如實施GMP檢查、實施GMP生產或檢驗活動、實施計算機化係統的設計建造及確認驗證活動);
如何有效搭建計算機化係統(及數據完整性)管理體係,更進一步的,如何按照既定的管理規程在整個係統生命周期內去有效地實施管理也將是製藥企業質量管理人員所麵臨的困難;
caiyongjiyukexuehefengxiandefangfayouxiaoshishijisuanjihuaxitongyanzheng,yijizaixitongshiyongguochengzhongweihuqiyanzhengdeshoukongzhuangtai,duoshuzhiyaoqiyeyejiangxiandezhuojinjianzhou。 
