经验分享|GMP《计算机化系统》附录解析

薛定谔的龙猫
薛定谔的龙猫 这家伙很懒,还没有设置简介

1 人点赞了该文章 · 5811 浏览

 

新修订《计算机化系统》附录于5月26日发布。该附录更接近欧盟(EU)GMP附录11《计算机化系统》2011年正式版了。不难看出,国内在该领域的监管要求已经靠拢和接近EU水平。
  新修订《计算机化系统》附录结合了国际新的趋势及热点理念,比如基于风险-质量风险管理要贯穿系统生命周期全过程;基于科学-对流程和产品充分理解;采用软件分级管理的策略;基于质量体系-有效质量体系下实施计算机化系统(及电子数据)管理;基于生命周期-在整个生命周期内保持计算机化系统验证受控状态等。其也包含了国际制药工程协会(ISPE)GAMP5良好自动化生产实践指南中的一些知识观点:软件分级管理、供应商审计、物理的和逻辑的防护、权限管理、审计跟踪、电子数据的备份与恢复、应急及突发事件管理等。以下笔者对新修订《计算机化系统》附录主要部分进行解析。
  内容解析
  范围 第一条。描述了本附录的适用范围:适用于在药品生产质量管理过程中应用的计算机化系统,同时明确了系统“由一系列硬件和软件组成,以满足特定的功能”。按照国际药品认证合作组织(PIC/S)在GxP环境下的计算机化系统合规实践指南(PI011-3指南)的定义,计算机化系统由计算机系统和被其控制的功能或流程组成。
  原则 第二条、第三条和第四条。主要描述了对于风险管理和供应商管理两个方面的要求。
  对于风险管理,一方面是整个生命周期要实施风险管理;另一方面是验证的范围和程度要基于风险评估的结果来确定。
  对于供应商管理,需要制定相应规程,要有明确的协议来明确供应商及制药企业双方职责,以及需要基于风险评估的结果开展供应商审计并形成文件化的记录。
  人员 第五条。该章节强调了在系统验证、使用、维护、管理过程中各职能部门人员的紧密配合,并要求明确各自权限和职责;人员要接受相应培训以适合其岗位工作,且对实施培训和指导工作的人员提出了要求:“确保有适当的专业人员……”
  验证 第六条。应用程序的验证与基础架构的确认实际上是按照软件分类的原则(可参考ISPE GAMP5)实施不同生命周期验证活动。其实也是采用风险管理的理念,即软硬件类别不同导致其系统复杂性和新颖性带来的风险不同,使得验证的程度(或深度)不同——采用基于科学的风险评估来确认计算机化系统确认验证的范围和程度(比如通过GxP关键性评估确定验证的范围,通过功能性风险评估确定验证的程度);确保整个生命周期内系统处于验证的受控状态(可供参考的方法是在系统运行维护阶段遵循变更和配置管理,以及安全管理、对系统实施定期评估等)。
  第九条。确认验证过程中,在系统数据出现转换及迁移情况时需确认数据的值及意义没有改变(比如发酵罐PLC设备将罐压数据通过通讯协议转移至集散控制系统DCS,则在对DCS系统进行OQ检查时需要确认二者数值的一致性)。
  系统 第十条。对安装计算机化系统的物理环境作出规定,制药企业制定清洁确证和用户需求说明(URS)和进行系统设计时需要将其考虑进去,安装确认(IQ)中要对系统的安装位置进行确认,保证系统的安装环境是不受外来因素干扰的。
  第十一条。对关键系统的技术资料提出需求(比如功能说明、硬件设计说明、软件设计说明、电路图、网络结构图等),这些技术资料要及时更新,保证和实际状态一致。
  第十三条。针对软件的全面测试,根据软件级别的不同,其测试程度也不同(比如针对五类软件系统的源代码审核和模块测试,针对四类软件系统的配置测试,然后是基于“黑盒”的功能测试、需求测试,以及包括结合实际工艺或流程的性能测试程度都不同)。
  第十四条。对系统的访问权限控制提出要求,并且要求制定规程定期检查授权的使用、变更与取消。值得一提的是,也许出于国内实际情况考虑,新修订《计算机化系统》附录做出了硬件不足软件补的让步——“对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录及相关物理隔离手段,保证只有经许可的人员方能进行操作”。需要注意的是,EU和FDA并没有类似要求。并且大部分企业目前不存在由于硬性缺陷问题而面临制定规程进行有效管理的问题。
  第十五条。对人工输入数据的准确性提出复核要求,复核的方式可以是另外的操作人员或者是经过验证的电子方式(比如经过验证的称量配料系统通过报警提示能够完成“超重”、“欠重”、“批号错误”、“忘记去皮”等关键信息复核,则岗位无需配备另一名用于复核的操作人员;再比如数据输入的有效性符合如下要求:对范围和小数点位数进行限制,超出指定范围和有效位数的数据无法输入)。
  第十六条。对审计跟踪提出要求(根据“风险评估的结果来考虑”给系统加入此功能),注意“每次修改已输入的关键数据均应当经过批准,并应当记录更改数据的理由”,其中记录更改数据的理由容易被制药企业忽视。
  第十七条。对计算机化系统的变更做出详细规定。制药企业应制定针对计算机化系统的变更管理规程,并按照既定的规程实施变更活动。如果第十四条“存在硬性缺陷”,则此条其实是无法实现的。
  第十八条。对于记录的形式(电子的、物理的或者混合的)做出说明。其中,“应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据”易被药企忽视。需要注意的是,企业采用从计算机化系统“誊抄”纸质版数据支持报告放行的做法,并不能规避对“电子记录”的监管要求,此时纸质数据和电子数据的一致性也是检查员关注的重点,这也涉及数据完整问题。
  第十九条。对于采用电子数据作为主数据的情况提出管理要求,包括不限于:电子数据要能打印成清晰易懂的物理文稿(即一般人可读的物理文件);物理或电子的方式储存以及定期检查可读性和完整性;起草备份恢复规程按照记录的既定时限要求进行数据的备份管理等。
  第二十条和第二十一条。对制定应急方案、制定故障处理规程、实施纠正预防措施提出要求。可参考ISPE GAMP5的附录O4“突发事件管理”和附录O10“业务连续性管理”。
  第二十二条。对采用计算机化系统进行产品放行的情形作出明确规定。这其实就是前面提及的“审计跟踪”在产品放行环节的一个特定应用而已。此过程应通过使用电子签名来实现。而在此方面EU比我国要求要严格。
  第二十三条。对电子数据可采用电子签名的做法及其要求作出说明,“电子签名应当遵循相应法律法规的要求”。对于制药领域可供借鉴的相关法规,一般均采用美国联邦法规第21篇第11条款(21CFR Part11),此标准之下FDA将认为电子记录、电子签名和在电子记录上的手签名是可信赖的、可靠的且通常等同于纸质记录和在纸上的手写签名。
  术语 第二十四条。对电子签名、电子数据、数据审计追踪、数据完整性等七个专用术语进行了诠释。
  影响
  随着工业自动化、信息化在制药领域的发展,越来越多的企业开始尝试采用DCS、企业资源计划(ERP)、生产执行系统(MES)、实验室信息管理系统(LIMS)等工艺控制、数据管理或流程管理系统进行企业资源、流程、数据的高效整合和优化,实现“少人化”、“无纸化”生产、办公及管理。对于如何有效管理这些计算机化系统,使其在给药企带来便利的同时,又不会引起对患者安全、产品质量和数据完整性的GMP风险,在此之前的中国GMP法规中并没有有效的约束或指导。
  新修订《计算机化系统》附录的正式颁布及实施,将填补国内GMP对计算机化系统的监管空白。由于国内制药领域(不管是监管层还是制药企业)对计算机化系统管理认知起步相对较晚,因此该附录的正式颁布并实施将整体提升和加强国内制药企业对于计算机化系统(以及电子数据)的管理水平,降低计算机化系统导致的质量管理风险。但同时,对于监管机构以及大部分之前没有国际认证经验的药企来说,全新的监管要求势必带来以下挑战:
  某些老旧的计算机化系统存在硬性缺陷导致无法合规合用,系统升级改造困难(或根本找不到原来的软件商来实施升级改造);
  检查员、药企人员、供应商(或第三方)的知识、能力、经验及技能水平不能适应新的法规需求,无法进行其职责范围的活动(如实施GMP检查、实施GMP生产或检验活动、实施计算机化系统的设计建造及确认验证活动);
  如何有效搭建计算机化系统(及数据完整性)管理体系,如何按照既定的管理规程在整个系统生命周期内去有效地实施管理,也将是制药企业质量管理人员所面临的困难;
  对于采用基于科学和风险的方法有效实施计算机化系统验证,以及在系统使用过程中维护其验证的受控状态,多数制药企业也会显得捉襟见肘。
  综上,面对技术不断革新、监管趋严、质量意识不断提升,国内制药企业的计算机化系统管理还有很长的路要走。

 新修订GMP《确认与验证》附录解析

  新修订药品GMP附录《确认与验证》(简称新修订《确认与验证》附录)于5月26日发布,并将于2015年12月1日正式生效实施。在新修订《确认与验证》附录中,频频出现的“风险评估”、“生命周期”、“持续监控”等热点词汇,均响应了国际GMP相关法规指南的最新理念及要求。以下,笔者针对新修订《确认与验证》附录主要章节的内容及其对企业产生的影响进行分析,以帮助企业加深认识,推动其贯彻实施。
  内容分析
  第一章范围 本章中提到的新修订《确认与验证》附录的范围是“药品生产质量管理过程中”的所有确认与验证活动。按照国际人用药协调委员会(ICH)Q10 制药质量体系模型图来说,GMP的范围涵盖了技术转移、商业化生产和产品退市三个阶段,本附录的范围也涵盖了产品生命周期中的技术转移、商业化生产和产品退市三个阶段。
  本章中提到的“所有确认与验证活动”,包含了新修订药品GMP第七章确认与验证中提及的“厂房、设施、设备、检验仪器、生产工艺、操作规程和检验方法”等确认与验证活动。
  第二章原则 本章中提到的“确认和验证的范围和程度应根据风险评估的结果确认”的说法,在新修订药品GMP第138条中有相关描述,国内药企已有较好的风险意识和一定的认识基础。当然,对于时刻变化的风险,需持续监控与评估。
  药企应重点关注本章中的“确认与验证应当贯穿于产品生命周期的全过程”的要求。产品的生命周期包括产品开发、技术转移、商业化生产与产品退市。如何将确认与验证活动贯穿于产品的生命周期,将是企业面临的重大挑战。企业在执行这部分内容时,可分别考虑各系统生命周期中的确认和验证活动,如设备确认、公用工程验证、工艺验证、清洁验证等。
  第三章验证总计划 验证总计划(VMP)是公司验证体系的纲领性文件,它要对整个验证程序、组织结构、内容和计划进行全面安排。
  本章要求,“大型和复杂的项目,可制订单独的项目验证总计划”。如果是大型项目,如建造多个新厂房等,最好的办法是为每个新厂房单独编写一份验证总计划。因为一个大型项目包含若干建筑,由于工程进度、厂房功能不同,只编制一份验证总计划不能清晰描述出所有验证活动,可能会导致验证活动缺乏针对性和指导性。对于小型项目,可以编制一份验证总计划,将所有验证活动整合在一起。
  第四章文件 本章提到“供应商或第三方提供验证服务的,企业应当对其提供的确认与验证的方案、数据或报告的适用性和符合性进行审核、批准”。这部分内容在新修订药品GMP中没有相关描述。目前制药企业和第三方进行合作的现象非常普遍——近几年国际制药法规进入快速发展期,很多药企选择和第三方公司合作,全面提升自身质量体系。需要注意的是,供应商或第三方执行确认与验证活动,需要开展其工作职能所需的教育和培训。
  第五章确认 本章提到企业应当提供满足用户需求的“新的或改造的厂房、设施、设备”。
  设计确认 设计确认(DQ)是供应商设计文件和用户需求说明的对比。
  安装确认 安装确认(IQ)针对“新的或改造的厂房、设施、设备”,在实施过程中需要同时根据用户需求和设计确认中的技术要求对相关系统进行确认。
  运行确认 运行确认(OQ)应考虑设备运行的上下限,必要时选择“最差条件”。另外,应该在OQ完成后建立操作、清洁、维护等操作规程。
  性能确认 性能确认(PQ)应在安装确认和运行确认成功完成之后进行。在某些情况下,可考虑将性能确认和运行确认或工艺验证结合进行。如果制药企业选择这种方法,应有充分的说明。另外,性能确认过程的取样频率需要评估,也应引起企业的重视。
  第六章工艺验证 本章着重强调了关键质量属性、关键工艺参数、质量风险管理、持续工艺确认、统计工具及产品和工艺知识的理解及更新。
  本章提到“企业应当有书面文件确定产品的关键质量属性、关键工艺参数、常规生产和工艺控制中的关键工艺参数范围,并根据对产品和工艺知识的理解进行更新”,这些规定是新修订药品GMP中没有的内容,而如何确定产品的关键质量属性和关键工艺参数对药企同样重要。可能影响产品质量的关键质量属性可以从鉴别、物化性质、性状、含量、纯度、粒度、微生物限度、晶型等方面考虑。工艺参数分为关键参数、非关键参数、重要参数以及非重要参数,企业应分级管理。
  本章强调了知识管理在制药企业的应用,因此企业同样面临知识管理带来的挑战。
  持续工艺确认 持续工艺确认是新的概念,是指在产品生命周期理论下,在商业化生产阶段开展的确保工艺始终处于受控状态的活动。持续改进知识系统的概念对于生命周期工艺验证计划很重要。
  企业应加强统计工具、趋势分析等方面的培训,并建立持续工艺确认文件、持续工艺确认策略并周期性地审核确认范围和频率。
  同步验证 本章节说明“在极个别情况下,允许进行同步验证”,并提到了“如因药物短缺可能增加患者健康风险、因产品的市场需求量极小而无法连续进行验证批次的生产”。这需要制药企业必须和药监部门讨论,获得允许后才能同步验证。这是专指工艺的。
  第七章运输确认 运输确认是新的要求。企业应该考虑是否存在需要进行运输确认的产品。药品的运输方法应基于风险,同时根据业务需求,包括产品稳定性、药政法规以及存储要求来制定。其他可能影响运输方法的因素还包括质量体系、预防性维护与校准需求,以及可能提供另外的保护性包装等。
  第八章清洁验证 本章对清洁验证的要求相对新修订药品GMP来说有较大的变化,如活性成分限度的计算在新修订《确认与验证》附录中借鉴了欧盟的有关要求,引入了考虑活性成分毒理试验数据或毒理学文件资料对限度进行评估、计算的考虑。毒理方法的应用可以参考其他的法规和指南,比如欧盟在2014年11月发布的《在共用设施生产不同药品使用风险辨识建立健康暴露限度指南》。
  清洁验证的执行次数和工艺验证类似,若前期清洁方法过程中有大量的数据和知识积累,经过风险评估,可适当减少清洁验证的次数。在进行工艺和产品设计时,要充分考虑清洁的要求,采用污染物排放量少的工艺技术和设备。生产设备的设计应便于彻底清洁,清洁工艺的设计要便于达到预期的目的,尽可能降低污染和交叉污染的风险。
  第九章再确认和再验证 再确认和再验证应充分考虑质量风险管理的应用。再确认和再验证实施前应首先设定需求标准,经过差距分析找出设备或系统的差距,如果设备或系统不再符合现有要求,可以在设备或系统的改造后进行变更性再验证;如果设备或系统没有异常情况,可以进行周期性再确认或再验证。
  第十章术语 本章对11个术语进行了说明,包含了对关键质量属性、工艺验证、模拟产品、清洁验证、最差条件等的解释。
  挑战来临
  总体来说,新修订《确认与验证》附录的颁布对我国制药行业提出了更高的要求,主要体现在:
  1.将确认和验证的范围扩展至产品全生命周期,需要企业在产品生命周期内建立确认和验证体系。
  2.对制药质量体系提出更高的要求。本附录涉及了知识管理、人员培训、变更、偏差、纠正和预防措施等诸多关键质量要素。
  3.强调质量风险管理在确认和验证中的有效应用。质量风险管理对制药行业来说已不算陌生,但如何有效应用仍是一个需要企业认真对待的问题。
  4.强调验证体系文件的完整性。确认和验证文件不是独立存在的,制药企业应形成完善的验证体系和验证体系,以保证相关的确认和验证文件的完整性。
  5.在生命周期内维护验证状态也至关重要,尤其是涉及影响产品质量的设施、设备、工艺、方法等。
  综上,新修订《确认与验证》附录的颁布,显示了中国正在通过法规拉近国内制药企业同欧美等发达国家和地区的差距。GMP对确认和验证的要求将越来越严格,势必将带来新一轮的确认和验证高潮。已经通过GMP认证的企业同样需要完善其验证体系,尤其是生命周期理念的引入。工艺验证、清洁验证、运输确认等几个变化较大的地方需要引起重视。如今距离CFDA确认和验证附录实施还有不到6个月的时间,充分利用这段时间来切实提升企业对确认和验证的认识,是制药企业应该重视并落实的重要工作。
  相关链接
  新修订《确认与验证》与欧盟GMP相关附录的主要区别
  新修订《确认与验证》附录参考了欧盟GMP附录,但是又有不同。新修订《确认与验证》附录相比欧盟GMP附录15《确认与验证》来说没有和其他法规进行交叉引用及参考。比如欧盟参考了ICH Q8、ICH Q9、ICH Q10、ICH Q11、《在共用设施生产不同药品使用风险辨识建立健康暴露限度指南》等多个文献;新修订《确认与验证》附录相比欧盟附录来说没有明确提到确认与验证过程中的数据完整性问题;同时,新修订《确认与验证》附录没有提到工厂验收测试(FAT)、现场验收测试(SAT);新修订《确认与验证》附录没有分析方法验证和包装验证。

【本文来源:中国医药报】

发布于 2019-07-25 09:43

免责声明:

本文由 薛定谔的龙猫 发布于 质量人 ,著作权归作者所有。

登录一下,更多精彩内容等你发现,贡献精彩回答,参与评论互动

登录! 还没有账号?去注册

暂无评论