计算机系统验证介绍
计算机系统介绍
具有特定功能的计算机系统是
由1台或数台计算机、外围输出输入设备以及软件构成;
全部或部分程序及运行程序所需的全部或部分数据使用共同的存储器;
运行用户编写的程序或用户指定的程序;
根据用户的指定模式进行数据处理,如数值运算或逻辑运算;运行过程中可以自我修正程序;
计算机系统可以是独立的单机,也可以是由几台单机联机组成;
计算机系统的理解
计算机系统验证是建立文件来证明计算机系统的开发符合质量工程的原则,能够提供满足用户需求的功能并且能够稳定长期工作的过程。
工艺验证中的“工艺”相当于计算机的“输入”过程和“内部处理’’过程(软件),工艺中用到的设备相当于计算机主机、外围设备(硬件)以及与其相关的生产设备或质量控制设备,工艺的“产品”相当于计算机的“输出”或对另一台设备的控制等 。
计算机系统验证与工艺验证不同之处是:术语上的不同(如数据处理概念)和由于软件的特性,使一般用户对软件和软件的开发相对不熟悉。
验证生命周期(SVLC)
计算机系统的验证不只局限于系统的使用过程,新系统的验证应始于系统初期的定义和设计阶段,终止于系统无使用价值阶段。验证生命周期应伴随着系统发展的整个生命周期(SDLC)。
系统发展的生命周期可划分为以下8 个阶段
可行性研究
工程计划
需求定义
系统设计
系统测试
系统验收及确认
使用和维护
系统引退
计算机系统验证的法规要求
中国GMP计算机系统验证
2015年 5 月 26 日,正式发布了 2010 版 GMP 法规的新附录之一《计算机化系统》,引起了国内制药行业的广泛讨论和高度关注。其实许多制药企业对它的内容并不陌生,因为这则法规于 2013 年作为征求意见稿已经添加到新版GMP法规附录中。而现在,它将作为正式的法规于 2015 年 12 月 1 日起执行。这则法规附录将给国内制药企业带来什么新的挑战?从近两年来 的一系列举措(频繁的飞行检查,2014 年至今已取消近 100 家药企的 GMP 证书)来看,国内 GMP 的监管力度是显著增强的。所以届时如果企业不能满足《计算机化系统》法规的要求,将可能面临十分严重的后果。
为何要发布这则法规?
国内外 GMP 法规有许多差异,而对计算机化系统的要求差异尤为明显。CFDA 所执行的 2010 版 GMP 法规内容与国际上其他法规机构的 cGMP 法规是对等的,如 FDA 21 CFR Part 211。但美国的制药企业除了执行 21 CFR Part 211 以外,同时还要遵守 21 CFR Part 11 法规;欧盟国家的制药企业除了执行欧盟 GMP 以外,还要遵循 Annex 11 法规。FDA 的 21 CFR Part 11 与欧盟的Annex 11 的内容是类似的,都是针对于制药企业使用计算机化系统的法规要求。新颁布的《计算机化系统》法规附录是国内法规与国际接轨的重要一步,将填补国内对于计算 机化系统要求的法规空白,是实现与国际法规监管机构之间相互认可的前提条件之一。
法规到底讲了些什么?
《计算机化系统》法规附录究竟讲了哪些内容?其实,我们发现内容并不多,全文共24条要求、6页,共计2500字。我们尝试对这些法规条文作了初步的解读,把所理解的核心内容概括如下:
1.明确提出进行计算机化系统验证的要求
以往,法规对于仪器的确认是一直有要求的,但对计算机软件验证的要求不明确。因而,大部分的制药企业不对计算机系统进行验证,或仅进行最简单的确认。真正按 照 GAMP5 指南基于风险评估进行完整验证的企业不多,仅某些企业有国外业务、需要通过FDA 或欧盟审计时才会考虑。而这则法规发布以后,明确对所有的国内制药企业提出进行计算机化系统验证的要求,为计算机化系统验证提供了法规依据。这里尤其值得 注意的是,法规附录里要求进行基于风险评估的计算机化系统验证,实际上就是指遵循GAMP5 的验证方法学,即计算机化系统验证的形式应该是验证(Validation),通常所说的确认(Qualification,IQ/OQ/PQ)是不足够的。
2.数据合规性要求
法规明确了对数据输入的准确性和数据处理过程的正确性要求,以保证数据的合规性。概括来说,对计算机系统合规性的功能要求可以总结为:访问控制、权限分配、审计追踪和电子签名。
访问控制:只有经许可的人员才能进入和使用系统。
权限分配:应当对进入和使用系统制订授权、取消和授权变更的操作规程。
审计追踪:用于记录数据的输入和修改以及系统的使用和变更。
电子签名:明确了直接对电子数据进行电子签名是合规的,但电子签名需要符合相应法规。
其 中,电子签名是“可以有”,而不是“必须”,这取决于企业对于主数据的定义是电子数据还是纸质数据。这与 21 CFR Part 11 和Annex 11 是一致的。对于审计追踪记录的要求,是“根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统”,这可能是考虑到很多软件自身功能设计上无法实 现的情况。然而,对于色谱数据系统这样的关键原始数据系统来说,审计追踪肯定是必然的要求。
3.电子数据安全性要求
电子数据安全 性一般分为逻辑安全性和物理安全性。逻辑安全性即是通过软件自身的权限控制对数据的访问、录入、修改和删除等操作,确保不被人为误操作或有意的篡改行为而 影响数据安全。而物理安全性,即是对数据存储的介质(如硬盘、光盘、服务器等)进行保护,确保系统本身不会因为物理介质的损坏或故障造成数据丢失。
4.数据备份要求
关于电子数据的备份要求不算是新的法规要求,GMP 法规也一直要求数据备份以保证原始数据的安全性。国内制药企业通常也都制定了数据备份策略,但我们发现通常只是一个月甚至半年才做一次数据备份,真正发生 故障时原始数据还是会严重丢失。这样的数据备份归档,其形式意义大过于实际意义;而即使是这样的一个备份频率,企业都已经觉得数据备份的工作任务很重。其 根本原因是缺乏良好的解决方案。《计算机化系统》单独列出这条要求,将提高制药企业对数据备份的重视,进而采纳更先进的解决方案。