GMP计算机系统附录知识培训(CFDA-GMP计算机化系统附录、EUGMP附录11、21PART11

GMP计算机系统附录知识培训（CFDAGMP计算机化系统附录、EUGMP附录11、21PART11、GAMP5）质量管理部梁强2015.10引言：主题说明随着GMP意识的深入与提高，国内制药与国际的接轨，越来越多的审计检查对制药企业使用计算机系统有了更高、更为深入和更加专业的检查，也逐渐变为了行业监管的重点和缺陷整改项易发区域。2015.05.26，CFDA正式颁布了作为GMP配套文件—对计算机化系统专项规范的附录。该附录要求自2015.12.01起施行。《计算机化系统》附录明确了计算机化系统的范围、原则、人员、验证、系统等要求。本次培训还将结合国内外对计算机化系统诸如EUGMP附录11，21CFRpart11，GAMP5，MHRA数据完整性指南等国际上有影响力，有权威性的法规要求、行业标准及参考指南进行对比介绍由于能力、经验、水平的欠缺，一些不合理甚至错误理解和解读的内容希望在座诸位提出宝贵意见和建议，共同探讨合理的解决方案，以待提高共同认知水平。计算机化系统GMP法规要求1基于风险评估计算机化系统验证3计算机化系统及数据完整性解析2常见问题及讨论41.1计算机化系统相关法规和指南总览1.2CFDA《计算机化系统》附录、EUGMP附录11、联邦法规21章第11款电子记录；电子签名框架结构1.3《计算机化系统》附录特点介绍1.4《计算机化系统》关键词1.5MHRA数据完整性定义和指南简介计算机化系统GMP法规要求1操作环境我们需要讨论的范畴计算机化系统GMP法规要求1计算机化系统计算机系统控制功能或流程软件设备操作程序、员工硬件(CFDA)2010年版GMP附录《计算机化系统》(EU)欧盟药事法规第4卷GMP，附录11《计算机化系统》(USFDA)21CFRPart11美国联邦法规21篇第11部分电子记录与电子签名(ISPE)GAMP5良好自动化生产实践指南，遵从GxP计算机化系统监管的风险管理方法(EU)欧盟药事法规第4卷GMP，第4章《文件管理》Q7a原料药的优良制造规范指南(UKMHRA)MHRA的GMP数据完整性定义和行业指南（2015.01）计算机化系统GMP法规要求11.1相关法规和指南总览(USFDA)工业指南11部分电子记录与电子签名‐范围和应用(USFDA)联邦法规第21篇第210211部分，成品药的现行生产质量管理规范(ISPE)GAMPGPG良好实践指南，GAMP架构下的系列良好实践指南(PIC/S)GMP指南，药用产品良好生产实践指南(TGA)GMP，药用产品良好生产实践指南(WHO)GMP2003,Annex4(WHOTechnicalReportSeries,No.908)(CFDA)GSP附录二附录三《药品经营企业计算机系统》《温湿度自动监测》(USFDA)药品生产中计算机处理系统的验证指南（February1983）计算机化系统GMP法规要求11.2CFDA《计算机化系统》附录明细第一章范围：规定了附录的应用范围第二章原则：提出了风险管理应当贯穿计算机化系统的生命周期全过程第三章人员：使用和管理计算机化系统人员的职责和权限第四章验证：针对计算机化系统的特殊性提出了对于验证的原则要求第五章系统：针对计算机化系统安装、使用、变更、备份等提出要求第六章术语：对附录中出现的术语进行说明计算机化系统GMP法规要求1EUGMP附录11目录一、原则：适用范围，系统应当验证，不增加风险二、总则1.风险管理2.人员3.供应商与服务商三、项目阶段4.验证四、运行阶段5.数据6.准确性检査7.数据贮存8.打印输出计算机化系统GMP法规要求19.审计追踪（査账索引）10.变更控制与配置管理11.定期评价12.安全性13.突发事件管理14.电子签名15.批放行16.业务连续性17.归档五、术语表计算机化系统GMP法规要求1分章A一般规定11.1适用范围11.2履行11.3定义分章B电子记录11.10封闭系统的控制11.30开放系统的控制11.50签名的验证11.70签名/记录连接联邦法规21章第11款电子记录；电子签名(ERES)计算机化系统GMP法规要求1分章C电子签名11.100一般要求11.200电子签名的构成及控制11.300识别代码和密码的控制。《联邦行政法典》第21篇第211部分-制剂成品的现行良好制造规范J子部-记录和报告根据本部分要求保存的以及所有与批药品相关的生产、控制和销售的记录，至少应保存至该批有效期限后1年计算机化系统GMP法规要求1数据要求完整、准确，是动态药品生产管路规范CGMP的要求211.180（d）：可保留原始数据或“准确副本”，如微缩胶卷，复印件或其它“准确复制品”211.68：“备份数据要准确，完整”，并且要安全、不被篡改、不易被删除或丢失211.188和211.194：“信息要完整”，“数据要完整并经过各项测试”，“要完整记录所有数据”ERES对保证性提出了三个要求：1.安全性。如访问控制；2.完整性。如变更控制；3.可追溯性。如审计追踪计算机化系统GMP法规要求1《计算机化系统》附录；欧盟附录11；21CFRpart11异同随着中国与国际市场的进一步接轨，中国GMP的法规也逐步向欧盟GMP靠拢。CFDA计算机化系统附录与欧盟附录11有着诸多相似甚至相同的地方，但是在局部细节会结合国情与现状有所调整。FDA的21CFRpart11所关注的更多是要求电子记录与纸质记录具有同等效力；电子记录的保护以及允许使用电子签名的要求等。记录的要求在211,J子部简言之，两个附录是指导我们进行计算机化系统管理的要求与准则。Part11是我们进行电子记录和签名的执行准则计算机化系统GMP法规要求11.3《计算机化系统》附录起草背景科技发展，自动化越来越高专业属性强，风险识别困难数据完整性越来越被重视多个国家、组织已发布附录或指南是《药品生产管理规范（2010年修订）》的整体框架组成部分它的法律效率等同与GMP通则计算机化系统GMP法规要求1药品生产企业种可能的计算机化系统pH计、天平、过滤器完整性测试仪、PLC、UV光谱仪、HPLC系统、GC系统、LIMS系统、ERP系统、FT-IR系统、DCS系统等关注其数据完整性的内在风险。打印数据作为“原始数据”的相关性（MHRA）根据简单仪器与复杂计算机化系统的图谱，及打印数据作为“原始数据”的相关性有所不同。《计算机化系统》附录应用范围计算机化系统GMP法规要求1《计算机化系统》附录的特点引入了风险管理和生命周期的概念提出了对计算机化系统供应商的要求（EUGMP附录11有更多要求）增加了部分相关专业的条款对计算机化系统部分术语进行解释计算机化系统GMP法规要求11.4《计算机化系统》关键词1.4.1生命周期：生命周期四个阶段1.4.2风险评估：风险管理应当贯穿计算机生命全周期1.4.3操作规程：保证日常计算机系统规范运行1.4.4用户需求：正式被提及且提出具体要求1.4.5数据：信息的正确记载并保存1.4.6变更：任何的变化、权限的内容、系统的更新、数据的修改都要受到变更管控1.4.7人员及权限：使用计算机的人及其权限需培训和严格受控计算机化系统GMP法规要求11.4.1《计算机化系统》关于“生命周期”要求计算机化系统生命周期定义：计算机化系统从提出用户需求到终止使用的过程，包括设计、设定标准、编程、测试、安装、运行、维护等阶段。1.风险管理应当贯穿计算机化系统的生命周期全过程2.计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等3.应当在计算机化系统生命周期中保持其验证状态。4.在对定制的计算机化系统进行验证时……确保在生命周期内评估系统的质量和性能。计算机化系统GMP法规要求1计算机化系统生命周期四个阶段概念提出系统运行项目实施系统运行系统退役1可行性研究→2工程计划→3需求定义→4系统设计→5系统测试→6系统验收及确认→7使用及维护→8系统引退计算机化系统GMP法规要求1计算机化系统生命周期四个阶段计算机化系统GMP法规要求11.4.2《计算机化系统》关于“风险评估”要求GMP附录风险和评估提到了9处之多，它贯穿计算机化系统全部生命周期1.计算机化系统代替人工操作时……不增加总体风险。（如果人工替代计算机呢？）2.风险管理应当贯穿计算机化系统的生命周期全过程。3.作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。4.企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件计算机化系统GMP法规要求15.计算机化系统验证……范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。6.对定制的计算机化系统进行验证时……确保在生命周期内评估系统的质量和性能。7.企业应当根据风险评估的结果，对所采用软件进行分级管理（如针对软件供应商的审计），评估供应商质量保证系统，保证软件符合企业需求。8.应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改以及系统的使用和变更。9.包括系统故障和数据错误在内的所有事故都应当被记录和评估。计算机化系统GMP法规要求1计算机化系统的风险评估流程计算机化系统GMP法规要求1计算机化系统质量风险管理要求计算机化系统的质量风险管理是一项非常重要而且有益的工作，它将贯穿于系统从初始概念提出直至最终系统退役的全过程。计算机化系统的风险管理是应用于系统整个生命周期，并针对患者安全、产品质量和数据完整性。关于风险的要求，将在后续进行更为详细的解读和举例说明计算机化系统GMP法规要求1风险评估的内容具体分类要求计算机化系统GMP法规要求1不适合进行风险评估的情况1.支持不适当或未能遵从CGMP的要求和管理规定（生产标准）的操作或为其寻找合理理由2.替代科学和数据3.当问题已经很明显，必须进行纠正时4.作为一种延迟做出决定的手段5.为某一件事先决定的结论找寻合理理由6.使变通的方法合理化（可能会破坏数据完整性）计算机化系统GMP法规要求11.4.3《计算机化系统》中要求的“操作规程”计算机化系统GMP法规要求11.企业应当针对计算机化系统供应商的管理制定操作规程2.在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程3.应当就进入和使用系统制订授权、取消以及授权变更的操作规程4.计算机化系统的变更应当根据预定的操作规程进行，操作规程应当包括评估、验证、审核、批准和实施变更等规定。5.应当建立数据备份与恢复的操作规程6.应当建立系统出现故障或损坏时进行处理的操作规程，必要时对该操作规程的相关内容进行验证先泰公司计算机化系统相关文件列表（规划）管理办法：《计算机化系统全生命周期管理办法》（已生成）SOP：《计算机化系统风险评估及验证》《计算机化系统访问权限及安全》《计算机化系统偏差及变更》《**系统计算机系统操作》（各车间各系统）《**系统计算机系统备份维护》（各车间各系统）《计算机化系统备份及归档》《计算机化系统连续性及灾难恢复》《计算机化系统数据追踪、维护升级及引退》《计算机化系统供应商及软件硬件审核》计算机化系统GMP法规要求1生命周期的概念是从提出需求开始的，最终的工作还是需要回到满足需求的目的上去1.企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。2.企业应当根据风险评估的结果，对所采用软件进行分级管理（如针对软件供应商的审计），评估供应商质量保证系统，保证软件符合企业需求。1.4.4《计算机化系统》中的“用户需求”《确认与验证》附录中的用户需求第十一条企业应当对新的或改造的厂房、设施、设备按照预定用途和本规范及相关法律法规要求制定用户需求，并经审核、批准。第十二条设计确认应当证明设计符合用户需求，并有相应