计算机化系统验证和工艺验证如何保持一致?设备上自身的 PLCQ/HM|等可以在设备中进行确认,隶属于计算机化系统的BMS/SCADA等应按照GAMP5的要求单独进行一系列的文件。GAMP 5是ISPE基准指南对于自控系统的延伸,对于基本概念都是一致的,只是部分叫法可能不一样,理解GAMP5对于自控系统和机械系统的要求来讲,需要重点关注比机械系统多做的那些工作。具体执行过程中,法规明确要求的文件(如欧盟GMP附录11,3.4章节明确要求需要有供应商审计),要和业主明确说明必须制定,其他文件可以沟通后按照业主要求的形式操作,但内容上应和风险评估的结果与GAMP5指南一致,不应有遗漏项。计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。Quality system and audit information
relating to suppliers or developers of software and implemented systems should
be made available to inspectors on request.NMPA 药品生产质量管理规范GMP附录-计算机化系统
1:历史遗留下来的DCS系统设计确认吗?(之前做了硬件设计标准)答:对于遗留计算机化系统建议首先进行系统的差距分析,如满足当前法规的监管要求,无需再回头去做DQ;若系统存在硬件或功能缺陷,需要升级改造的,需要对升级改造部分进行DQ等一系列再验证活动。EU GMP附录11:条款4:应编写详细的系统描述(包括恰当的图表)并保持更新。应描述系统的原理、目的、安全措施和系统范围,计算机使用方式的主要特性,以及该系统与其他系统或规程的联系。中国GMP附录计算机化系统
第十七条 计算机化系统的变更应当根据预定的操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定。计算机化系统的变更,应经过该部分计算机化系统相关责任人员的同意,变更情况应有记录。2:如果计算机主要硬件发生了变化,是否需要重新做计算机化验证。我个人希望强控一下,希望做验证,否则容易导致车间的人自行拿出去维修答:中国GMP计算机化系统附录中:计算机化系统的变更应当根据预定的操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定。计算机化系统的变更,应经过该部分计算机化系统相关责任人员的同意,变更情况应有记录。替换计算机主要部件如主板、硬盘、运存是应走相关变更流程,维修走相关报修流程,批准后进行更换或维修。若是替换,应对替换部分的影响性进行评估,根据评估结果执行相关验证。3:Empower3要增加几台客户端 只需要做安装确认是吧? 安装确认的内容主要包含计算机硬件 以及通讯测试完就OK 发报告就可以用了吗?答:按照GXP系统做评估,计算机化系统的验证是根据风险评估来定验证项目。增加客户端需要走变更,变更后基于评估进行确认,后续的确认在您说的基础上考虑下计算机软件基础软件如操作系统,是否对应用程序的运行有影响。中国GMP附录计算机化系统
第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。4:计算机和软件工作站的验证是否需要定期进行?有无明确法规要求?答:需确保验证状态为受控的,形式可采用定期确认的方式,周期自己进行评估。中国GMP附录计算机化系统
第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。5:中国制药企业只针对原辅材料供应商进行供应商审计或评估。对于提供计算机化系统服务的供应商,是否必须供应商审计?答:CFDA《计算机化系统》附录—第四条
企业应当针对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。第十二条 软件是计算机化系统的重要组成部分。企业应当根据风险评估的结果,对所采用软件进行分级管理(如针对软件供应商的审计),评估供应商质量保证系统,保证软件符合企业需求。欧盟GMP附录11 3.1 -3.4当检查员要求看与供应商或软件和系统设计商相关的质量体系和审计信息时,这些信息应当可以提供。建议:无论是对中国GMP,还是欧盟、美国等GMP,对于计算机化系统供应商审计的必要性非常高。6:ERP系统,验证时在测试环境中进行,测试完成后,测试数据是否需要保留?答:验证时产生的测试数据属于验证文件的一部分,应按照验证文件的管理要求进行管理,因此测试数据应保留。对于在测试环境进行测试的系统,可在在测试前把测试环境进行复制,测试完成没有问题则复制环境作为正式环境上线使用,此时验证数据则留在测试环境,正式环境只有系统正式上线后的数据,但测试环境中的数据仍应归档管理,保留时间应与验证文件一致。在其后的审查和检验中,测试结果应该是容易得到的。需要保存的信息包括:通过的测试、失败的测试、测试失败记录、测试报告和所有测试所需要的支持性文件(如,打印输出件、屏幕截图、备忘录和照片等)。7:对现有计算机系统做验证。以前录入的数据如何处理好,另外就是整个系统只验证其中部分要使用的模块其他模块暂时不验证可否仅使用验证后的模块功能?答:需要对之前录入的数据的准确性以及完整性进行确认;对于是否只需要对使用的功能模块进行验证确认,需要基于风险评估,即并不是不使用的模块就不需要进行验证,如果通过风险评估分析该功能的风险可控则可以不验证,对于不使用的但存在中高风险的功能模块也需要采用风险控制措施。CFDA 药品数据管理规范(第3次征求意见稿):电子数据的归档应当确保安全并可以重现。可以通过创建真实副本或从一个系统转移到其他系统的方式进行归档,其转移过程应当被确证并记录,应当以动态格式保存全部内容。中国GMP附录计算机化系统
第三条 风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证和数据完整性控制的程度。8:我们一台灭菌柜的电脑死机了,重新安装了电脑系统,灭菌程序系统没有变化。现在打算重新做一下计算机化系统验证,请问需要做的内容包括哪些?除了电脑系统检查以外,灭菌程序和它控制的阀门、信号传输等需要做吗?答:原则来说需要评估重新安装电脑操作系统的操作对应用程序有哪些影响,对于有可能产生影响的关键功能或部件要进行确认,比如操作系统的安装路径及安装位置、应用程序与操作系统的兼容性确认等,如果重新安装的操作系统与原装操作系统不一致,则有必要对所有的应用程序功能进行确认。中国GMP附录计算机化系统
第十七条 计算机化系统的变更应当根据预定的操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定。计算机化系统的变更,应经过该部分计算机化系统相关责任人员的同意,变更情况应有记录。9:原子吸收仪器数据存储路径工程师做验证时候设置直放到c盘项下。现在满了,我们想在d盘从新设置个存储路径,这个需要做哪些验证工作? 答:首先建议对C盘的数据进行迁移,C盘的数据过多影响系统运行且易丢失,对迁移的数据的完整性和可恢复性进行确认;同时更新数据路径后对系统的数据存储、数据备份恢复进行确认。中国GMP计算机化系统附录中:计算机化系统的变更应当根据预定的操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定。计算机化系统的变更,应经过该部分计算机化系统相关责任人员的同意,变更情况应有记录。替换计算机主要部件如主板、硬盘、运存是应走相关变更流程,维修走相关报修流程,批准后进行更换或维修。若是替换,应对替换部分的影响性进行评估,根据评估结果执行相关验证。答:先做风险评估,确定哪些功能是GXP模块;然后针对GXP模块做验证。ERP一般会涉及到库房管理,成品和物料的出入库,状态的改变等等都与GXP有关,都需要进行验证。中国GMP附录计算机化系统
第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。11:我有一个计算机化系统,是关键系统,目前在用状态,但是没有做验证,前期的信息可能也不全,如何处理? 答:对于在用的受GxP监管的系统,没有经过验证的,需要按照遗留计算机化系统处理,首先需要对系统进行差距分析,根据差距分析的结果进行判断选择,对系统进行整改或是新建新系统来代替目前系统。GMP附录9计算机化系统第十一条关键系统应当有详细阐述的文件(必要时,要有图纸),并须及时更新。此文件应当详细描述系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征,以及如何与其他系统和程序对接。GMP附录9计算机化系统第十四条对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录本及相关物理隔离手段,保证只有经许可的人员方能进行操作。根据法规要求需要搜集或联系供应商来完善遗留系统相关文件例如FS(功能说明文件),对于应用程序软件无法实现的功能,应该制定相关的纸质文件管理规程满足法规要求;例如审计跟踪需要制定用户操作日志。通过差距分析和风险评估确定验证的范围,对遗留系统进行验证来满足CxP监管要求。造成遗留计算机化系统的原因有很多,需要通过合理的判断来决定系统的处理,来满足GxP的监管要求。12:我进行了I/O测试,是否可以不用环路校准?或者说,我做了环路校准,是否不用做I/O测试?答:GMP附录10确认与验证第十四条 企业应当根据用户需求和设计确认中的技术要求对厂房、设施、设备进行验收并记录。安装确认至少包括以下方面:(一)根据最新的工程图纸和技术要求,检查设备、管道、公用设施和仪器的安装是否符合设计标准;(二)收集及整理(归档)由供应商提供的操作指南、维护保养手册;I/O测试的目的是为了证明系统的输入输出按照工程图纸和技术要求安装的正确性,为后续运行测试做的必要准备。环路校准是为了确定系统示值误差的操作,并可确定是否在预期的允差范围之内。将传感器、显示仪表或控制装置在线进行同步的校准,也可以叫做在线校准,如果误差较大可以通过回路补偿来满足需求。综上所述,I/O测试也是环路校准的前提,并不能代替环路校准;如果系统进行了环路校准能够说明系统的模块输入输出正确,那进行I/O测试的必要性就相对小一些。I/O测试的目的是证明信号传输准确(未包括终端)。环路校准是为证明整个环路信号传输准确。13:计算机化系统验证(遵循GAMP5指南方法)和一般工艺设备验证在流程上和策略上是不同的,虽然我们可以在VMP中去定义各自的策略,然后按照各自定义策略实施。但某些药企可能不愿意求同存异,也可能不清楚GAMP5,希望整合成同工艺设备验证一致的方式,这样从管理和QMS角度出发方便他们操作。对于这样的事情如何把握尺度?答:设备上自身的PLC/HMI等可以在设备中进行确认,隶属于计算机化系统的BMS/SCADA等应按照GAMP5的要求单独进行一系列的文件。GAMP 5是ISPE基准指南对于自控系统的延伸,对于基本概念都是一致的,只是部分叫法可能不一样,理解GAMP5对于自控系统和机械系统的要求来讲,需要重点关注比机械系统多做的那些工作。具体执行过程中,法规明确要求的文件(如欧盟GMP附录11,3.4章节明确要求需要有供应商审计),要和业主明确说明必须制定;其他文件可以沟通后按照业主要求的形式操作,但内容上应和风险评估的结果与GAMP5指南一致,不应有遗漏项。计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。Quality system and audit
information relating to suppliers or developers of software and implemented
systems should be made available to inspectors on request.NMPA药品生产质量管理规范GMP附录-计算机化系统答:为了保持技术中立,各国监管机构均没有指定必须使用的硬件种类及品牌。任何供应商美其名曰的FDA指定产品,通过FDA认证的品牌,通过GAMP5的产品(GAMP5是方法,不是法规)的声明都是不正确的。通过供应商审核筛选出合格的供应商,选用的硬件性能及参数能满足使用需求、通用性需求及未来的扩展性需求,硬件即满足验证要求。GAMP文件只是指南而非标准。被监管公司的职责是制定政策与规程来满足适用的法规要求。因此,任何供应商或产品宣称'己通过GAMP认证'、'已获得GAMP批准'及'符合GAMP要求'之类的说法都是不适当的。企业应当针对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。NMPA药品生产质量管理规范GMP附录-计算机化系统15:计算机系统软件升级或者系统软件重装需要做哪些工作?需要重新做软件功能方面的验证吗?答:需要评估系统升级的内容是否影响软件的关键运行功能,并做记录,对于影响关键功能或增加关键功能的升级,则需要对升级部分进行验证确认;重装系统如果之前做过应用程序的备份恢复确认则不需要再进行验证确认,如果没有应用程序的备份恢复确认,则建议重装后进行关键功能的确认。计算机化系统的变更应当根据预定的操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定。是否作验证也是要经过评估来决定的。答:在中国及欧盟等相关法规中并没有明确规定计算机化系统再验证周期,而是要求确保系统的受控状态。在WHO TRS 937 Annex4中提出:在初始验证后,还需要进行周期性(或连续)评估。应有书面程序定义系统周期性再验证。对于计算机化系统,我们要对系统进行风险评估,即对系统进行周期性审核,包括系统变更、权限分级、数据备份恢复等,然后根据结果采取相关措施。对设施、设备和工艺,包括清洁方法应当进行定期评估,以确认它们持续保持验证状态。应当采用质量风险管理方法评估变更对产品质量、质量管理体系、文件、验证、法规符合性、校准、维护和其他系统的潜在影响,必要时,进行再确认或再验证。风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证和数据完整性控制的程度。计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。中国药品生产质量管理规范 2010版—附录:计算机化系统;17:关于计算机化系统的验证,如网络版色谱系统,我们通过截图体现了验证的过程,作为验证实施的原始证据,对于截图,有什么要求吗?如,是否要包含时间戳。有些系统无法采用电脑截屏功能,用相机拍照可以吗?答:验证测试截图的管理,应遵循基本的数据管理要求:数据归属,数据清晰可溯,数据同步,数据原始一致,数据准确真实。无法使用电脑截屏功能(触摸屏)和不易获得电脑截屏图片(访问局域网服务器)的时候,可以使用相机拍照作为测试记录,但需要在拍照的图片上显示测试日期(拍照时整个屏幕都拍摄);如果拍摄个别界面时,整个界面都没有显示时间,那么需要使用QA规定的拍摄软硬件,通过软件注明测试日期。中国药品生产质量管理规范 2010版—附录:计算机化系统;答:相关设备应进行系统评估,确定为关键系统的应进行计算机化系统验证。根据系统影响程度(考虑患者安全、数据完整性和产品质量)、复杂性和新颖性、供应商审计的结果决定验证的程度。再基于设备需求和相关供应商资料对关键功能进行评估,确定验证的范围(包括应用程序和基础架构)。基于不同设备/系统类型,可能包括的测试项目为:硬件安装检查、软件安装检查,界面检查,权限控制检查、逻辑控制功能检查,数据准确性检查(校准证书、环路校准),数据保存、查询及打印检查,报警检查,审计追踪功能检查,数据备份及恢复检查,断电等意外情况检查等。在中国GMP计算机化系统附录中第三条要求:风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证和数据完整性控制的程度。在中国GMP计算机化系统附录中第六条要求:计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。GAMP 5中介绍了计算化系统风险管理的流程及方法,同时对不同软件分类的系统的不同的验证V模型进行了说明。19:针对新建生物制品工厂,如单抗,怎样考虑工厂级自动化系统的配置需求?如果未来考虑上MES系统,对目前设备的软硬件要求如何?答:需要根据公司的生产工艺进行针对性的设计,一般自动化程度高的设计均会考虑工艺设备的集中监控管理,包括DCS/SCADA/PMS/EMS/BMS/MES等。如果将来考虑上MES系统,在系统建造初期应该对供应商进行审,并在系统建造前期调研确认设备是否能够与MES进行正常的通讯,不一样的MES厂家要求也不一致。中国GMP附录《计算机化系统》第四条 企业应当针对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。中国GMP附录《计算机化系统》第十一条关键系统应当有详细阐述的文件(必要时,要有图纸),并须及时更新。此文件应当详细描述系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征,以及如何与其他系统和程序对接。答:对于制药行业,由硬件、软件组成的实现特定功能的系统,经过系统影响性评估后那些对产品质量或数据完整性有一定影响的GMP关键系统均需要进行计算机化系统验证。验证的形式一般分为两种:具有一定复杂性的独立计算机化系统如集散控制系统等,需要制定单独的验证计划及验证方案;与设备集成到一起的如PLC设备,则计算机化系统的验证可以与设备验证一起进行,不需进行单独的验证方案。应用程序的验证与基础架构的确认实际上是按照软件分类的原则(可参考ISPE GAMP5软硬件分类)实施不同生命周期验证活动,其实也是采用风险管理的理念—软硬件类别不同导致其系统复杂性和新颖性带来的风险不同,从而验证的程度(或深度)不同
。采用基于科学的风险评估来确认计算机化系统确认验证的范围和程度(比如:通过GxP关键性评估确定验证的范围,通过功能性风险评估确定验证的程度);21:我们液相计算机化系统已经经过岛津公司进行计算机化系统验证,现在我们关于安全策略的变更,还需要重新进行计算机化系统验证吗?还是走个变更流程就可以了?就是密码安全策略,还有具体角色权限的变更,那安全策略调整呢?答:如果是增加安全策略,需要变更并验证,如果是调整安全策略,没必要进行。具体人员权限的变更按照公司授权变更的操作规程进行即可。在中国GMP第二百四十一条:应当建立操作规程,规定原辅料、包装材料、质量标准、检验方法、操作规程、厂房、设施、设备、仪器、生产工艺和计算机软件变更的申请、评估、审核、批准和实施。增加安全策略属于软件的变更,应执行变更程序,经评估后进行验证。而安全策略的变更,基于管理文件中对安全策略的规定执行即可,没有必要再走变更并验证。在中国GMP计算机化系统附录中第十四条:应当就进入和使用系统制订授权、取消以及授权变更的操作规程。一般而言,角色权限的变更只需重新进行授权,并说明理由即可。22:计算机化验证的再验证周期需要定吗?周期性审核的内容,是指南上面有这些内容,还是通常的做法?答:中国GMP附录《计算机化系统》第六条要求:应当在计算机化系统生命周期中保持其验证状态。欧盟GMP附录《计算机化系统》“Periodic Evaluation”定期评价要求:应定期评价计算机化系统,以证实其仍处于有效状态并符合GMP要求。WHO补充验证指南中提到了再验证:核查确认和再验证。当新系统运行了一段时间后,应对它单独审查,并将它的运行情况与系统规范和功能技术规范进行比较。同时提到了初次验证过后,应定期(或持续)评估以及在发生重大变更后执行再验证。因此在中国和欧盟法规中无再验证的概念,WHO也重点体现的定期审查,定期审核的周期应基于系统的功能用途经评估后确定,对于变更的系统需基于变更的内容确定是否进行再验证。欧盟GMP附录《计算机化系统》中提到:此类评价应包括当前的功能范围、偏差记录、突发事件
、问题、升级历史、性能、可靠性、安全性以及验证状态报告。。欧盟GMP附录《计算机化系统》Periodic Evaluation”定期评价WHO补充验证指南“Verifi cation and revalidation” 核查确认和再验证。23:计算机化系统验证可以采用同步验证吗?如色谱系统,要有检验过程才能实现确认,即IQ和OQ结束后,计算机化系统验证和样品的检测同步做,是否可以?可能会存在什么合规风险?补充:考虑PQ需要带产品进行,我们使用的是药典方法,分析方法确认和PQ同时,或者说分析方法确认的同时另一个序列做了产品的正常检测,样品放行在系统功能验证结论后。这样是否合理?计算机化系统验证应该在哪个阶段开展?新系统是不先做3Q再做计算机化系统验证?答:计算机化系统的验证可以同仪器/设备的验证同步开展或合并执行。计算机化系统验证不能同样品的检测同步执行。分析方法的验证应在仪器(包括计算机化系统验证)完成后进行。中国GMP中定义计算机化系统由一系列硬件和软件组成,仪器本身可属于计算机化系统的硬件,硬件的确认也离不开软件功能的支持。在ISPE指南:调试与确认中11.5节计算机化系统验证中提到对于控制单一设备的计算机化系统应该合并到设备验证中。分析仪器确认(包括计算机化系统验证)是方法验证前提,即仪器确认是数据质量的基础,然后才进行方法确认,检验方法验证完成后才可以进行样品的检测。24:对于计算机系统的验证,不同的系统(比如MES\DMS\QMS等等),因为不同的应用需求而有不同的URS,从而有不同的功能方面的验证。但他们都是计算机系统,对于验证,也因此会有相同的方面的吧?比如数据备份(可能不同的系统有不同的备份方案,但验证其结果应该是类似的吧),那除了像数据备份这样在计算机系统方面是通用的要对其验证的之外,还有哪些功能或性能,我是需要进行验证的呢? 答:中国数据管理规范(征求意见稿)中对验证的范围描述:计算机化系统应当按相应GXP要求进行验证,并至少确认以下内容:(一)应用程序和操作系统中保障数据可靠性的设计和配置(如审计追踪)已启用并有效运行(二)登录控制、权限设置及系统配置符合数据可靠性要求;(三)应当控制日期和时间、产品标准、工艺参数、分析方法的更改。计算机化系统验证的范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。比如:通过GxP关键性评估确定验证的范围,通过功能性风险评估确定验证的程度25:中药饮片小包装设备是通过一台电脑控制,包括输入打印信息、控制启动、称量校准等。请问,这台设备应该从何入手做计算机化系统验证呢?是否与qc检验设备计算机系统一样的做?还是说要求相对低一些呢?答:首先经过评估确定系统是否为GMP关键系统,对于关键系统从系统复杂性、新颖性、系统影响性(对患者、产品质量、数据完整性的影响)参考GAMP5 制定验证V模型实施验证。然后对系统功能进行风险评估,确定验证的范围实施确认。26:EQC的色谱网络版软件采集的数据,FDA和MHRA是否强制要求异地备份?这个异地怎么理解,是同一幢楼不同房间还是不同楼幢?答:EU GMP附录11:数据应通过规律性的间隔备份进行保护。备份数据应存储尽可能长时间,并且存放在独立的安全位置。GAMP5:附录O9-4.4.2 数据各份-应在所界定保留时间内安全地维护GxP 监管下的电子数据。可以在系统内短期地保留其他数据,以便进行评估和处理。因为数据经常采用冗余原则存储在硬盘上,或者存储在镜像盘上,其他GxP 监管下的数据备份就成了在出现故障时避免发生数据丢失的关键部分。应该保证短时间内数据可以恢复并无错,为了避免由于在一个位置出现问题(比如火灾)而导致数据丢失,应该对数据进行远程储存。应根据风险来确定所要求的备份类型和频率。FDA及MHRA法规没有明确强制异地备份,对于数据的备份要求是确保灾难发生后备份数据能够恢复,对于归档数据的要求是需要长期保存,所以一般的做法是对于归档的数据由专门人员归档在其他受控环境进行管理。27:我已经定好供应商了,并且已经开始设计建造了。因为要通过FDA,是否需要后补做供应商审计?有意义吗?答:我们应该考虑对每一受GXP监管的计算机化系统和服务的供应商进行正式的供应商审计。2.审计供应商的质量体系、设计施工能力、合规能力,找到合适的工作参与平衡点,为充分利用供应商的活动和文件提供依据和支持。进行了很好的供应商审计之后,我们可以在系统的整个生命周期内更好地利用供应商的参与以充分利用其知识、经验和文件。因此,虽然已经定好了供应商和进行了系统初期活动,但不管从合规角度考虑,还是从工作质量的角度考虑,都是有必要做供应商审计的。仍是有意义的。被监管公司应该评估计算机化系统和服务供应商的质量和可靠性。被监管公司应要求有文件化的证明该计算机化系统如所预期的那样持续运行,并确保软件结构和功能的完整性。被监管公司考虑对每一受GXP监管的计算机化系统和服务的供应商进行正式的供应商审计。答:为了满足数据可靠性数据准确的要求,计算机化系统的关键数据计算功能可在系统OQ中进行确认,确认的方式为至少有3组数据手动计算后与计算机化系统计算结果进行对比。系统验证应当包括:按照准确性与可靠性要求保证数据完整性的机制。系统应该包括,自动检验正确性、输入安全性与数据处理。29:怎么说服别人做软件的备份和灾难恢复验证(包括数据和软件)是必须的,我们跟供应商签的URS写的不是很明确,要求法规是需要符合GAMP5、EU、FDA等法规,但供应商现在拿着法规说这些规定是should属于nice to have 不是must。答:中国GMP附录计算机化系统:第二十条 企业应当建立应急方案,以便系统出现损坏时启用。应急方案启用的及时性应当与需要使用该方案的紧急程度相关。例如,影响召回产品的相关信息应当能够及时获得。第二十一条应当建立系统出现故障或损坏时进行处理的操作规程,必要时对该操作规程的相关内容进行验证。包括系统故障和数据错误在内的所有事故都应当被记录和评估。重大的事故应当进行彻底调查,识别其根本原因,并采取相应的纠正措施和预防措施。欧盟GMP附录11中:应定期备份所有相关数据。在验证与定期监控过程中,应检查备份数据的完整性和准确性,以及数据的恢复能力;针对软件的备份及恢复及灾难恢复,在欧盟GMP附录11中:对于支持关键过程的计算机化系统的可利用性,应有规 定 ,一旦出现系统故障时,确保对这些过程连续 性 的 支 持 ( 例 如 ,人工或替代系统)。应根据风险及某一适用系统及其支持的任务过程,选择替代方法的引入时间。这些安排应充分记录并经过测试。在GAMP5中附录O9专门提到备份及恢复(软件及数据),因此无论是基于法规和指南,备份恢复及灾难恢复的验证均是必须的。
|
