计算机化系统CSV验证问答

计算机化系统CSV验证问答Q1：什么是计算机化系统？由计算机系统控制部分和受控的功能和模块构成，计算机控制部分包括控制软件和硬件(如电脑、固件等)，受控部分包括仪器设备和人员、SOP程序、组织、培训等。在制药工厂中，计算机化系统主要有实验室仪器设备、应用程序、IT基础设施和生产单元等。Q2:全球哪些监管法规重点要求了计算机化系统验证？美国、欧盟、中国都有相关的法规美国FDA21CFRPart11：电子记录/签名欧盟Annex11：计算机化系统欧盟EMA：发布计算机化系统验证-核心文件，Annex2：复杂计算机化系统验证2018年4月发布，2018年8月1日强制实施中国CFDA：2010版GMP附录-计算机化系统确认与验证；2015年12月中国CFDA：药物非临床研究质量管理规范新版GLP，第十六条强调计算机化系统验证2017年9月1日生效ISPEGAMP5（指南基于风险的验证策略/V模型文档PIC/sPI-011（指南）在法规监管GxP环境下计算机化系统验证良好规范《药品数据管理规范》（征求意见稿，2018年1月）是数据可靠性的法规文件，明确地规定了对计算机系统需要有验证，且对验证要求都做出了明确的规定Q3：一个完整的CSV验证需要考虑哪些？——CSV实施框架VModelGAMP5V模型的核心是风险分析与控制，V模型左边主要是需求规格，V模型底部是系统的安装/调试/配置，V模型右边主要是确认与测试，以证明需求是否得到满足。具体而言，V模型左边包括验证计划VP、系统影响性评估SIA或法规风险分析、URS用户需求说明、FRS功能规格说明、以及根据这些功能需求所做出详细风险分析，即功能风险分析FRA、DS/CS设计/配置规格。另外，还包括系统供应商评估，这个也是验证前期需要做的重要环节。系统经过安装/调试/配置后，然后进行IQ/OQ确认测试，需要准备相关SOPs和进行员工培训，再进行PQ确认测试，RTM需求追踪矩阵，验证总结报告VSR。Q4：CSV验证主要交付文档有哪些？包括：验证计划（VP）、风险评估（RA）、用户需求规范（URS）、功能需求规范（FRS）、设计/配置规范（DS/CS）；安装确认（IQ）、运行确认（OQ）、性能验证（PQ）、需求追踪矩阵(RTM）、验证报告（VSR）。从合规方面主要考虑的关键点：电子记录安全性、审计追踪、数据备份与恢复、灾难恢复、登陆/密码安全性、电子签名、数据完整性DataIntegrity等。Q5：GAMP5软件系统包含哪几类？其实有5类，但是主要是3个大类：第一类:操作系统，如Windows等，验证策略是不推荐做十分详细的验证，记录版本。第二类：可配置软件包，如OpenLABECM,LIMS,CSD软件，需要做确认针对于用户需求的操作和供应商评估确认。第三类：完全定制化软件，需要审计供应商和验证整个系统，通常制药实验室不常见。Q6：IT基础设施在CSV验证中地位与作用应用程序例如软件系统等，是搭建在IT基础网络设施，应以合适的方式进行适当的确认和记录应存档Q7：验证计划（VP）主要包括哪些内容？包括的内容如下：系统概述与验证目标系统与项目的范围验证项目的人员角色与职责定义/缩写/参考资料验证原理/依据和策略法规风险分析结果交付项目进度供应商管理可接受标准与系统释放培训要求文档管理Q8：如何进行供应商评估确认？GMP相关性和对系统供应商进行合适的潜在风险的确认和评估是必要的，一般进行问卷调查，如果做得严格些，可以进行供应商现场审计。Q9：国内外的法规风险评估（RA）有什么区别？从法规上来分析系统风险级别高低，国内通常选择系统影响性评估（SIA），是一种简化的法规风险评估（RA）。相比于国外法规RA分析，国内的风险评估是相对简化的。Q10：URS（用户需求说明）和FRS（功能需求说明）是写在一起还是分开写？URS定义系统必须满足什么样的商业化需求和合规上需求，FRS主要是说明系统如何在技术上符合URS，主要是针对自定义的软件，在大多数时候，URS/FRS两个需求是可以写在一起的UFRS。Q11：如何做详细风险分析FMEA（失效模式与影响分析）让合规风险降至最小化？使用合理的风险分析定制验证/确认活动的内容或规则，测试范围和深度可以在风险中定义，做CSV验证的目的就是让系统风险控制在可接受的范围而不是让风险为零。Q12：DS设计规格/CS设计规格有什么区别？如何做？CS通常用于商业化软件，DS用于定制化软件。DS/CS的最低要求包括：系统架构SystemTopology整个系统的数据流DataFlow最低的/必要的硬件和软件组件Components仪器通讯/控制配置(如需要)Communication/ControlConfiguration时间/日起设置和安全性Time/DatesettingandSecurity登陆与安全设置(Physical物理的andVirtual虚拟的)–操作系统与应用软件登陆参数Loginparameters用户特权与许可Userprivileges/permissions数据管理DataManagement审计追踪设置AuditTrailsettings任何其它为了软件满足用户需求UFRS而做的可配置设置等(i.e.数据备份,系统恢复,启动与关闭等)Q13：IQ/OQ/PQ测试脚本是否可以描述为“符合预期”之类测试脚本测试的要求可能是数据可靠性或者是其它功能方面的，FDA不接受“满足预期”这样的描述，建议写出具体结果。Q14：验证总结报告VSR批准意味着什么VP陈述项目应该完成什么，VSR阐述项目确实完成了什么，VSR批准意味着系统可以放行用于GMP生产运行。Q15：系统相关SOPs是否有必要准备？什么阶段开始准备？SOPs是有必要起草的，在PQ之前就应当具有相关SOPs，或至少有草稿版本，且用户可以得到合适的培训。系统相关的SOPs包括：系统使用与操作——数据采集与加工处理，数据审核与批准，审计追踪审核等用户培训系统的管理与维护Databackup数据备份/Archival归档/Retrieval恢复还原同时建议具有更高层面的SOPs，包括：变更管理，验证生命周期，登陆/安全，业务持续与灾难恢复，记录控制与保留政策，电子签名的使用，反欺诈监控。Q16：整个验证完成需要多长时间具体要看是什么样的系统，简单的系统验证，几周至几个月，复杂的系统验证半年至1年，甚至更长时间都是有可能的。Q17：请问反欺诈是什么要如何执行？对数据我们要求周期性的审核，有每日、每周、每月的审核，建议企业有一个这样的流程来确保数据是真实可靠的，如果发现数据作假要及时举报，制定相关的应急机制。Q18：实验室如果在CSV方面缺失会面临哪些法规风险违规的风险很高罚款、坐牢、部分或全面商业关闭客户信任度受损并很难修复产品拒绝/放行后退货(QC)影响研发药品申报进度和成败(R&D)Q19：供应商在CSV验证上可以为客户到哪些？我们在不同阶段都可以为您提供不同的帮助1）项目计划阶段：帮助您一起做好计划2）需求沟通阶段：验证计划VP，系统GxP影响性评估或法规风险分析，用户功能需求规范（URS/FRS），风险评估报告（RA）3）系统安装配置阶段：系统配置规范CS4）系统验证阶段：安装确认IQ，运行确认OQ，性能确认PQ，需求追踪矩阵RTM，验证总结报告VSR5）项目交付阶段：项目验收报告Q20：供应商CSV验证可以为客户带来哪些利益？供应商的服务：帮助发现系统的缺陷，从而即时整改，以达到符合DI相关法规要求使得客户QC/QA/IT等人员，在验证过程中，可获得CSV验证相关培训客户建立起相关SOPs，便于系统放行后的运行和监控加速了客户CSV验证的进程总之，可以大大降低了客户CSV法规风险，且加速了整个验证过程。