2015年5月26日,CFDA在其官方網(wǎng)站發(fā)布了《藥品生產(chǎn)質(zhì)量管理規(guī)范(2010年修訂)》計算機化系統(tǒng)和確認與驗證兩個附錄的公告(2015年第54號)并將于2015年12月1日生效。其實早在2011年歐盟即發(fā)布了新修訂版的歐盟GMP附錄11《計算機化系統(tǒng)》,同時相應(yīng)修訂了歐盟GMP的第4章《文件》,二者均于2011年6月30日起生效實施。
我們先看一下CFDA該附錄頒布歷程:2013年3月21日CFDA首次發(fā)布該附錄初版征求意見稿;2014年6月17日CFDA又更新發(fā)布了該附錄的第二版并繼續(xù)向社會征求意見。相比較而言,第一版的征求意見稿從內(nèi)容上來說,更接近EUGMP 附錄11《計算機化系統(tǒng)》的2008年草稿版,而第二版則更接近EUGMP 附錄11《計算機化系統(tǒng)》2011年正式版。因此我們不難看出,國內(nèi)在該領(lǐng)域的監(jiān)管要求已經(jīng)基本靠攏和接近歐盟水平了。
新修訂的計算機化系統(tǒng)附錄較2014年第二版征求意見稿變化并不大(僅在基于風(fēng)險的供應(yīng)商審計、整個生命周期內(nèi)維護驗證狀態(tài)、計算機化系統(tǒng)放行產(chǎn)品的規(guī)定等細節(jié)有一些調(diào)整),但整體語言和文字表述更加嚴謹。全文結(jié)合了國際新的趨勢及熱點理念:
基于風(fēng)險—質(zhì)量風(fēng)險管理要貫穿系統(tǒng)生命周期全過程
基于科學(xué)—對流程和產(chǎn)品充分理解;采用軟件分級管理的策略
基于質(zhì)量體系—有效質(zhì)量體系下實施計算機化系統(tǒng)(及電子數(shù)據(jù))管理
基于生命周期—在整個生命周期內(nèi)保持計算機化系統(tǒng)驗證受控狀態(tài)
也包含了ISPE GAMP5良好自動化生產(chǎn)實踐指南中的一些知識觀點:
軟件分級管理
供應(yīng)商審計
物理的和邏輯的防護
權(quán)限管理
審計跟蹤
電子數(shù)據(jù)的備份與恢復(fù)
應(yīng)急及突發(fā)事件管理
深度解析
范圍
第一條。描述了本附錄的適用范圍:適用于在藥品生產(chǎn)質(zhì)量管理過程中應(yīng)用的計算機化系統(tǒng)。同時明確了系統(tǒng)組成“由一系列硬件和軟件組成,以滿足特定的功能”。按照PIC/SPI011-3指南的定義,計算機化系統(tǒng)(ComputerizedSystem)由計算機系統(tǒng)(ComputerSystem)和被其控制的功能或流程組成。
原則
第二條、第三條和第四條。主要描述了風(fēng)險管理和供應(yīng)商管理兩個方面的要求。對于風(fēng)險管理:一方面是整個生命周期要實施風(fēng)險管理,自動代替人工操作不會帶來負面影響及總體風(fēng)險增加;另一方面是驗證的范圍和程度要基于風(fēng)險評估的結(jié)果來確定。對于供應(yīng)商管理:需要制定相應(yīng)規(guī)程,需要有明確的協(xié)議明確供應(yīng)商及制藥企業(yè)雙方職責(zé),需要基于風(fēng)險評估的結(jié)果實施供應(yīng)商審計并形成文件化的記錄。
人員
第五條。該章節(jié)強調(diào)了在系統(tǒng)驗證、使用、維護、管理過程中各職能部門人員的緊密配合,并要求明確各自權(quán)限和職責(zé);人員要接受相應(yīng)培訓(xùn)以適合其崗位工作;而且對實施培訓(xùn)和指導(dǎo)工作的人員(即指培訓(xùn)老師)提出了要求:“確保有適當?shù)膶I(yè)人員……”。
驗證
第六條。應(yīng)用程序的驗證與基礎(chǔ)架構(gòu)的確認實際上是按照軟件分類的原則(可參考ISPE良好自動化實踐規(guī)范,以下簡稱GAMP5,軟硬件分類)實施不同生命周期驗證活動,其實也是采用風(fēng)險管理的理念—軟硬件類別不同導(dǎo)致其系統(tǒng)復(fù)雜性和新穎性帶來的風(fēng)險不同,從而驗證的程度(或深度)不同。
采用基于科學(xué)的風(fēng)險評估來確認計算機化系統(tǒng)確認驗證的范圍和程度(比如:通過GxP關(guān)鍵性評估確定驗證的范圍,通過功能性風(fēng)險評估確定驗證的程度);
確保整個生命周期內(nèi)系統(tǒng)處于驗證的受控狀態(tài)(可供參考的方法是在系統(tǒng)運行維護階段遵循變更和配置管理,安全管理,對系統(tǒng)實施定期評估等)。
第七條。需要制定GMP關(guān)鍵計算機化系統(tǒng)清單并及時更新。
第八條。需要對通用商用軟件進行審核確保滿足用戶需求(即實施設(shè)計確認時需對通用商用軟件進行確認);需要制定針對定制系統(tǒng)(即5類軟件系統(tǒng))驗證實施規(guī)程。
第九條。在確認驗證過程中,對于系統(tǒng)數(shù)據(jù)出現(xiàn)轉(zhuǎn)換及遷移情況需確認數(shù)據(jù)的值及意義沒有改變(舉例比如:發(fā)酵罐PLC設(shè)備將罐壓數(shù)據(jù)通過通訊協(xié)議轉(zhuǎn)移至DCS系統(tǒng),則在DCS系統(tǒng)的OQ檢查時需要確認二者數(shù)值一致性;信號轉(zhuǎn)換的I/O測試)。
系統(tǒng)
第十條。對安裝計算機化系統(tǒng)的物理環(huán)境做出規(guī)定,制藥企業(yè)制定URS和進行系統(tǒng)設(shè)計時需要考慮進去,IQ中對系統(tǒng)的安裝位置進行確認,保證系統(tǒng)的安裝環(huán)境是不受外來因素干擾的。
第十一條。對關(guān)鍵系統(tǒng)的技術(shù)資料提出需求(比如功能說明、硬件設(shè)計說明、軟件設(shè)計說明、電路圖、網(wǎng)絡(luò)結(jié)構(gòu)圖等),這些技術(shù)資料要及時更新保證和實際狀態(tài)一致。
第十二條。軟件分級管理與供應(yīng)商審計(同上所述)。
第十三條。針對軟件的全面測試,根據(jù)軟件級別的不同其測試的程度也將不同(比如:針對五類軟件系統(tǒng)的源代碼審核和模塊測試,針對四類軟件系統(tǒng)的配置測試,然后是基于“黑盒”的功能測試、需求測試,以及包括結(jié)合實際工藝或流程的性能測試)。
第十四條。對系統(tǒng)的訪問權(quán)限控制提出要求,并且要求制定規(guī)程定期檢查授權(quán)的使用、變更與取消。值得提出來引起注意的是,CFDA也許出于國內(nèi)實際情況考慮,做出了硬件不足軟件補的讓步—“對于系統(tǒng)自身缺陷,無法實現(xiàn)人員控制的,必須具有書面程序、相關(guān)記錄本及相關(guān)物理隔離手段,保證只有經(jīng)許可的人員方能進行操作”。需要注意的是,歐盟和FDA并沒有類似要求。大部分的企業(yè)目前不是硬性缺陷的問題,而是制定規(guī)程進行有效管理的問題。
第十五條。對人工輸入數(shù)據(jù)的準確性提出復(fù)核的要求,復(fù)核的方式可以是另外的操作人員或者是經(jīng)過驗證的電子方式(比如經(jīng)過驗證的稱量配料系統(tǒng)通過報警提示能夠完成“超重”、“欠重”、“批號錯誤”、“忘記去皮”等關(guān)鍵信息復(fù)核,則崗位無需配備另一名用于復(fù)核的操作人員;再比如數(shù)據(jù)輸入的有效性符合:范圍和小數(shù)點位數(shù),超出指定范圍和有效位數(shù)的數(shù)據(jù)無法輸入)。
第十六條。對審計跟蹤提出要求(根據(jù)“風(fēng)險評估的結(jié)果來考慮”給系統(tǒng)加入此功能),注意“每次修改已輸入的關(guān)鍵數(shù)據(jù)均應(yīng)當經(jīng)過批準,并應(yīng)當記錄更改數(shù)據(jù)的理由”,這里記錄更改數(shù)據(jù)的理由容易被制藥企業(yè)所忽視。
第十七條。對計算機化系統(tǒng)的變更做出詳細規(guī)定。制藥企業(yè)應(yīng)制定針對計算機化系統(tǒng)的變更管理規(guī)程,并按照既定的規(guī)程實施變更活動。如果第十四條“存在硬性缺陷”,則此條其實是無法實現(xiàn)的。
第十八條。對于記錄的形式(電子的、物理的或者混合的)做出說明。“應(yīng)當有文件明確規(guī)定以電子數(shù)據(jù)為主數(shù)據(jù)還是以紙質(zhì)打印文稿為主數(shù)據(jù)”容易被制藥企業(yè)忽視。企業(yè)采用從計算機化系統(tǒng)“謄抄”紙質(zhì)版數(shù)據(jù)支持報告放行的做法,并不能規(guī)避對“電子記錄”的監(jiān)管要求,此時紙質(zhì)和電子的一致性也是檢查員關(guān)注的重點,這也是數(shù)據(jù)完整性的問題
第十九條。對于采用電子數(shù)據(jù)作為主數(shù)據(jù)的情況,提出管理要求,包括不限于:電子數(shù)據(jù)要能打印成清晰易懂的物理文稿(即一般人可讀的物理文件);物理或電子的方式儲存以及定期檢查可讀性和完整性;起草備份恢復(fù)規(guī)程按照記錄的既定時限要求進行數(shù)據(jù)的備份管理等
第二十條和第二十一條。對制定應(yīng)急方案、制定故障處理規(guī)程、實施糾正預(yù)防措施提出要求?蓞⒖糏SPEGAMP5的附錄O4“突發(fā)事件管理”和附錄O10“業(yè)務(wù)連續(xù)性管理”。
第二十二條。對采用計算機化系統(tǒng)進行產(chǎn)品放行的情形作出明確規(guī)定。這其實就是前面提及的“審計跟蹤”在產(chǎn)品放行環(huán)節(jié)的一個特定應(yīng)用而已。對比EUGMP 附錄11的第15條:當計算機化系統(tǒng)被用于記錄認證和批放行時,系統(tǒng)應(yīng)僅僅允許質(zhì)量受權(quán)人來對該批次進行放行,同時應(yīng)明確識別和記錄放行批次的人。此過程應(yīng)通過使用電子簽名來實現(xiàn)。歐盟比中國要求要嚴格。
第二十三條。對電子數(shù)據(jù)可采用電子簽名的做法及其要求作出說明,“電子簽名應(yīng)當遵循相應(yīng)法律法規(guī)的要求”。對于制藥領(lǐng)域可供借鑒的相關(guān)法規(guī),一般均采用USFDA的21CFRPart11美國聯(lián)邦法規(guī)第21篇第11條款,此標準之下FDA將認為電子記錄、電子簽名、和在電子記錄上的手簽名是可信賴的、可靠的并且通常等同于紙質(zhì)記錄和在紙上的手寫簽名。
術(shù)語
第二十四條。對電子簽名、電子數(shù)據(jù)、數(shù)據(jù)審計追蹤、數(shù)據(jù)完整性等七個專用術(shù)語進行了詮釋。
新修訂附錄帶來的影響
眾所周知,科學(xué)技術(shù)是不斷向前發(fā)展進步的,隨著工業(yè)自動化、信息化在制藥領(lǐng)域的發(fā)展,越來越多的制藥企業(yè)開始嘗試采用DCS(集散控制系統(tǒng))、ERP(企業(yè)資源計劃)、MES(生產(chǎn)執(zhí)行系統(tǒng))、LIMS(實驗室信息管理系統(tǒng))等工藝控制、數(shù)據(jù)管理或流程管理系統(tǒng)進行企業(yè)資源、流程、數(shù)據(jù)的高效整合和優(yōu)化,實現(xiàn)“少人化”、“無紙化”生產(chǎn)、辦公及管理。如何有效管理這些計算機化系統(tǒng),使其在給制藥企業(yè)帶來便利的同時,又不會引入對患者安全、產(chǎn)品質(zhì)量和數(shù)據(jù)完整性的GMP風(fēng)險,在此之前的中國GMP法規(guī)沒有任何的約束或指導(dǎo)。
本附錄的正式頒布及實施,將填補國內(nèi)GMP對計算機化系統(tǒng)的監(jiān)管空白。由于國內(nèi)制藥領(lǐng)域(不管從監(jiān)管層還是制藥企業(yè))對計算機化系統(tǒng)管理認知相對起步較晚,因此該附錄的正式頒布并實施,一方面將整體提升和加強國內(nèi)制藥企業(yè)對于計算機化系統(tǒng)(以及電子數(shù)據(jù))的管理水平,降低計算機化系統(tǒng)導(dǎo)致的GMP風(fēng)險,但另一方面對于大部分之前沒有國際認證經(jīng)驗的制藥企業(yè)來說全新的監(jiān)管要求也勢必會帶來非常嚴峻的挑戰(zhàn)。
面臨挑戰(zhàn)
監(jiān)管機構(gòu)及制藥企業(yè)(包括供應(yīng)商)將面臨如下挑戰(zhàn):
某些老舊的計算機化系統(tǒng)存在硬性缺陷導(dǎo)致無法合規(guī)且合用,系統(tǒng)升級改造困難(或根本找不到原來的軟件商來實施升級改造);
檢查員、制藥企業(yè)人員、供應(yīng)商(或第三方)的知識、能力、經(jīng)驗及技能水平不能適應(yīng)新的法規(guī)需求,去實施其職責(zé)范圍的活動(如實施GMP檢查、實施GMP生產(chǎn)或檢驗活動、實施計算機化系統(tǒng)的設(shè)計建造及確認驗證活動);
如何有效搭建計算機化系統(tǒng)(及數(shù)據(jù)完整性)管理體系,更進一步的,如何按照既定的管理規(guī)程在整個系統(tǒng)生命周期內(nèi)去有效地實施管理也將是制藥企業(yè)質(zhì)量管理人員所面臨的困難;
采用基于科學(xué)和風(fēng)險的方法有效實施計算機化系統(tǒng)驗證,以及在系統(tǒng)使用過程中維護其驗證的受控狀態(tài),多數(shù)制藥企業(yè)也將顯得捉襟見肘。