手機版
2015年5月26日,CFDA在其官方網站發布了《藥品生產質量管理規范(2010年修訂)》計算機化系統和確認與驗證兩個附錄的公告(2015年第54號)并將于2015年12月1日生效。其實早在2011年歐盟即發布了新修訂版的歐盟GMP附錄11《計算機化系統》,同時相應修訂了歐盟GMP的第4章《文件》,二者均于2011年6月30日起生效實施。
我們先看一下CFDA該附錄頒布歷程:2013年3月21日CFDA首次發布該附錄初版征求意見稿;2014年6月17日CFDA又更新發布了該附錄的第二版并繼續向社會征求意見。相比較而言,第一版的征求意見稿從內容上來說,更接近EUGMP 附錄11《計算機化系統》的2008年草稿版,而第二版則更接近EUGMP 附錄11《計算機化系統》2011年正式版。因此我們不難看出,國內在該領域的監管要求已經基本靠攏和接近歐盟水平了。
新修訂的計算機化系統附錄較2014年第二版征求意見稿變化并不大(僅在基于風險的供應商審計、整個生命周期內維護驗證狀態、計算機化系統放行產品的規定等細節有一些調整),但整體語言和文字表述更加嚴謹。全文結合了國際新的趨勢及熱點理念:
基于風險—質量風險管理要貫穿系統生命周期全過程
基于科學—對流程和產品充分理解;采用軟件分級管理的策略
基于質量體系—有效質量體系下實施計算機化系統(及電子數據)管理
基于生命周期—在整個生命周期內保持計算機化系統驗證受控狀態
也包含了ISPE GAMP5良好自動化生產實踐指南中的一些知識觀點:
軟件分級管理
供應商審計
物理的和邏輯的防護
權限管理
審計跟蹤
電子數據的備份與恢復
應急及突發事件管理
深度解析
范圍
第一條。描述了本附錄的適用范圍:適用于在藥品生產質量管理過程中應用的計算機化系統。同時明確了系統組成“由一系列硬件和軟件組成,以滿足特定的功能”。按照PIC/SPI011-3指南的定義,計算機化系統(ComputerizedSystem)由計算機系統(ComputerSystem)和被其控制的功能或流程組成。
原則
第二條、第三條和第四條。主要描述了風險管理和供應商管理兩個方面的要求。對于風險管理:一方面是整個生命周期要實施風險管理,自動代替人工操作不會帶來負面影響及總體風險增加;另一方面是驗證的范圍和程度要基于風險評估的結果來確定。對于供應商管理:需要制定相應規程,需要有明確的協議明確供應商及制藥企業雙方職責,需要基于風險評估的結果實施供應商審計并形成文件化的記錄。
人員
第五條。該章節強調了在系統驗證、使用、維護、管理過程中各職能部門人員的緊密配合,并要求明確各自權限和職責;人員要接受相應培訓以適合其崗位工作;而且對實施培訓和指導工作的人員(即指培訓老師)提出了要求:“確保有適當的專業人員……”。
驗證
第六條。應用程序的驗證與基礎架構的確認實際上是按照軟件分類的原則(可參考ISPE良好自動化實踐規范,以下簡稱GAMP5,軟硬件分類)實施不同生命周期驗證活動,其實也是采用風險管理的理念—軟硬件類別不同導致其系統復雜性和新穎性帶來的風險不同,從而驗證的程度(或深度)不同。
采用基于科學的風險評估來確認計算機化系統確認驗證的范圍和程度(比如:通過GxP關鍵性評估確定驗證的范圍,通過功能性風險評估確定驗證的程度);
確保整個生命周期內系統處于驗證的受控狀態(可供參考的方法是在系統運行維護階段遵循變更和配置管理,安全管理,對系統實施定期評估等)。
第七條。需要制定GMP關鍵計算機化系統清單并及時更新。
第八條。需要對通用商用軟件進行審核確保滿足用戶需求(即實施設計確認時需對通用商用軟件進行確認);需要制定針對定制系統(即5類軟件系統)驗證實施規程。
第九條。在確認驗證過程中,對于系統數據出現轉換及遷移情況需確認數據的值及意義沒有改變(舉例比如:發酵罐PLC設備將罐壓數據通過通訊協議轉移至DCS系統,則在DCS系統的OQ檢查時需要確認二者數值一致性;信號轉換的I/O測試)。
系統
第十條。對安裝計算機化系統的物理環境做出規定,制藥企業制定URS和進行系統設計時需要考慮進去,IQ中對系統的安裝位置進行確認,保證系統的安裝環境是不受外來因素干擾的。
第十一條。對關鍵系統的技術資料提出需求(比如功能說明、硬件設計說明、軟件設計說明、電路圖、網絡結構圖等),這些技術資料要及時更新保證和實際狀態一致。
第十二條。軟件分級管理與供應商審計(同上所述)。
第十三條。針對軟件的全面測試,根據軟件級別的不同其測試的程度也將不同(比如:針對五類軟件系統的源代碼審核和模塊測試,針對四類軟件系統的配置測試,然后是基于“黑盒”的功能測試、需求測試,以及包括結合實際工藝或流程的性能測試)。
第十四條。對系統的訪問權限控制提出要求,并且要求制定規程定期檢查授權的使用、變更與取消。值得提出來引起注意的是,CFDA也許出于國內實際情況考慮,做出了硬件不足軟件補的讓步—“對于系統自身缺陷,無法實現人員控制的,必須具有書面程序、相關記錄本及相關物理隔離手段,保證只有經許可的人員方能進行操作”。需要注意的是,歐盟和FDA并沒有類似要求。大部分的企業目前不是硬性缺陷的問題,而是制定規程進行有效管理的問題。
第十五條。對人工輸入數據的準確性提出復核的要求,復核的方式可以是另外的操作人員或者是經過驗證的電子方式(比如經過驗證的稱量配料系統通過報警提示能夠完成“超重”、“欠重”、“批號錯誤”、“忘記去皮”等關鍵信息復核,則崗位無需配備另一名用于復核的操作人員;再比如數據輸入的有效性符合:范圍和小數點位數,超出指定范圍和有效位數的數據無法輸入)。
第十六條。對審計跟蹤提出要求(根據“風險評估的結果來考慮”給系統加入此功能),注意“每次修改已輸入的關鍵數據均應當經過批準,并應當記錄更改數據的理由”,這里記錄更改數據的理由容易被制藥企業所忽視。
第十七條。對計算機化系統的變更做出詳細規定。制藥企業應制定針對計算機化系統的變更管理規程,并按照既定的規程實施變更活動。如果第十四條“存在硬性缺陷”,則此條其實是無法實現的。
第十八條。對于記錄的形式(電子的、物理的或者混合的)做出說明。“應當有文件明確規定以電子數據為主數據還是以紙質打印文稿為主數據”容易被制藥企業忽視。企業采用從計算機化系統“謄抄”紙質版數據支持報告放行的做法,并不能規避對“電子記錄”的監管要求,此時紙質和電子的一致性也是檢查員關注的重點,這也是數據完整性的問題
第十九條。對于采用電子數據作為主數據的情況,提出管理要求,包括不限于:電子數據要能打印成清晰易懂的物理文稿(即一般人可讀的物理文件);物理或電子的方式儲存以及定期檢查可讀性和完整性;起草備份恢復規程按照記錄的既定時限要求進行數據的備份管理等
第二十條和第二十一條。對制定應急方案、制定故障處理規程、實施糾正預防措施提出要求。可參考ISPEGAMP5的附錄O4“突發事件管理”和附錄O10“業務連續性管理”。
第二十二條。對采用計算機化系統進行產品放行的情形作出明確規定。這其實就是前面提及的“審計跟蹤”在產品放行環節的一個特定應用而已。對比EUGMP 附錄11的第15條:當計算機化系統被用于記錄認證和批放行時,系統應僅僅允許質量受權人來對該批次進行放行,同時應明確識別和記錄放行批次的人。此過程應通過使用電子簽名來實現。歐盟比中國要求要嚴格。
第二十三條。對電子數據可采用電子簽名的做法及其要求作出說明,“電子簽名應當遵循相應法律法規的要求”。對于制藥領域可供借鑒的相關法規,一般均采用USFDA的21CFRPart11美國聯邦法規第21篇第11條款,此標準之下FDA將認為電子記錄、電子簽名、和在電子記錄上的手簽名是可信賴的、可靠的并且通常等同于紙質記錄和在紙上的手寫簽名。
術語
第二十四條。對電子簽名、電子數據、數據審計追蹤、數據完整性等七個專用術語進行了詮釋。
新修訂附錄帶來的影響
眾所周知,科學技術是不斷向前發展進步的,隨著工業自動化、信息化在制藥領域的發展,越來越多的制藥企業開始嘗試采用DCS(集散控制系統)、ERP(企業資源計劃)、MES(生產執行系統)、LIMS(實驗室信息管理系統)等工藝控制、數據管理或流程管理系統進行企業資源、流程、數據的高效整合和優化,實現“少人化”、“無紙化”生產、辦公及管理。如何有效管理這些計算機化系統,使其在給制藥企業帶來便利的同時,又不會引入對患者安全、產品質量和數據完整性的GMP風險,在此之前的中國GMP法規沒有任何的約束或指導。
本附錄的正式頒布及實施,將填補國內GMP對計算機化系統的監管空白。由于國內制藥領域(不管從監管層還是制藥企業)對計算機化系統管理認知相對起步較晚,因此該附錄的正式頒布并實施,一方面將整體提升和加強國內制藥企業對于計算機化系統(以及電子數據)的管理水平,降低計算機化系統導致的GMP風險,但另一方面對于大部分之前沒有國際認證經驗的制藥企業來說全新的監管要求也勢必會帶來非常嚴峻的挑戰。
面臨挑戰
監管機構及制藥企業(包括供應商)將面臨如下挑戰:
某些老舊的計算機化系統存在硬性缺陷導致無法合規且合用,系統升級改造困難(或根本找不到原來的軟件商來實施升級改造);
檢查員、制藥企業人員、供應商(或第三方)的知識、能力、經驗及技能水平不能適應新的法規需求,去實施其職責范圍的活動(如實施GMP檢查、實施GMP生產或檢驗活動、實施計算機化系統的設計建造及確認驗證活動);
如何有效搭建計算機化系統(及數據完整性)管理體系,更進一步的,如何按照既定的管理規程在整個系統生命周期內去有效地實施管理也將是制藥企業質量管理人員所面臨的困難;
采用基于科學和風險的方法有效實施計算機化系統驗證,以及在系統使用過程中維護其驗證的受控狀態,多數制藥企業也將顯得捉襟見肘。 
