一、CSV验证活动概述
在进行CSV验证活动叙述之前,我们先要了解什么是CSV?
通俗点来说CSV就是计算机化系统验证(Computerized Systems Validation,简称CSV),其目的是确保计算机化系统的稳定性、可靠性和合规性,确保系统能够有效地支持关键业务流程,并满足相关法规和标准的要求,同时也可以为企业节约成本,提高效益。
这套理念是国外先开始提出的,目前国内对于计算机化系统验证还是处于追随的阶段,近年来NMPA(原CFDA)在进行现场审计的过程中也开始逐步增强对CSV这一块内容的关注。但目前来说由于国内CSV方面从业人员多是从以下几个方向转型而来:
1、IT行业,多是IT工程师出生,转型进入CSV行业,占有较高比重;
2、仪器分析人员出生,在日常仪器使用过程中学习和扩展了相关管理职责,这类人员相对较少;
3、质量管理兼顾系统支持的人员,对审计及风险把控方面具有较为专业知识的人员。
因此目前CSV市场规范程度还拥有进一步提高的空间,在实际审计过程中不像FDA那样进行审计的时候会有一个负责CSV的专人来查你的各种验证资料,以及人员权限分配是否合理,执行逻辑是否正确并且提出各种问题等,一般来说当下大多所关注的还是有无的问题。
①计算机化系统的概念
想要掌握CSV,首先需要对计算机化系统有一个初步的概念。计算机化系统不是我们所简单理解的软件和硬件,这也就是为何部分IT工程师转型做CSV工程师后会发现两眼一抹黑,好像是IT行业。。。但好像还有GXP体系?好像涉及了服务器,但是对OpenLab CDS2数据库又是两眼一抹黑。。。好像涉及到了数据备份、灾难恢复,但是七七八八加在一起貌似自己又什么都不会了!
那么我们制药行业一般所认为的计算机化系统究竟包含了哪些呢?
计算机化系统一般由两个部分构成,其分别是计算机系统控制部分(通常IT所熟悉的部分)和受控的功能、模块部分,计算机控制部分包括控制软件和硬件、系统固件和有关扩展组件所构成,受控部分包括仪器设备和人员、SOP 程序、组织培训、流程溯源等。而带入到我们药物体系的工厂或者是第三方试验机构来看,计算机化系统主要有实验室所应用的理化设备、大型检测仪器、软件操作程序(LIMS、产品流转系统、临床数据管理系统、自动化设备系统等)、网络版软件服务器、IT基础设施(NAS存储备份服务器、主设备服务器、交换机等机房设备等)、数据处理及计算模块、生产单元等。
▲图1-计算机化系统示意图(图片源于GAMP5)
②计算机化系统分类
GAMP5指南中对于实验室内的计算机系统进行了如下的分类:
▲表1-药品研发生产体系常见的计算机化系统示例
我们日常工作过程中所接触到的计算机化系统如下:
基础平台类的系统有:
1、个人电脑、操作系统(DOS、UNIX、Windows、Linux)
2、常用的工具、专业的软件(ChemDraw、worksoft、杀毒软件、UG等)
3、常规的办公软件(Office、Photoshop、Acobat)
标准设备、微控制器、灵敏仪器:
见示例。
不可配置系统:
1、固件程序(固件升级需要厂方硬件工程师采用授权的专用软件进行刷新升级,用户无法直接读取修改)
2、商用成品软件,如SPSS/SAS等数据分析软件,质谱仪器设备等;
3、智能仪表等嵌入式系统软件(大多数是固件程序)如电子天平、pH计、溶氧仪、压力/流量计等
可配置系统:(一般为非定制的数据软件、控制软件、管理软件)
1、实验室管理系统(LIMS)
2、数据采集与监控系统(SCADA)
3、色谱数据系统(CDS)
4、集散控制系统(DCS)
5、楼宇管理系统(BMS)
6、人机界面系统(HMI)
7、企业资源管理系统(ERP)
8、质量体系管理系统(GXP)
客户定制化系统:
1、定制的工业控制软件、数据处理软件,如专用PLC控制系统、专用DCS和BMS等
2、专用计算表格(带宏控制)
③计算机化系统生命周期
所谓生命周期就是需要以系统化的方式来定义与实施活动,包括从计算机化系统概念提出、项目阶段、运行一直到系统退役。
整个完整的计算机化系统验证过程,也是遵循系统整个生命周期全过程来进行的。具体可根据系统特性、系统关键程度、系统用途综合分析系统存在的风险,选择合适的验证策略,以确保系统合规及符合预定用途。完整的计算机化系统生命周期示意图如图2中所示。
▲图2-完整的计算机化系统生命周期示意图
▲图3-适用于制药生产和设备的规范、设计与验证流程(引自ASTM)
二、CSV验证步骤及有关事项
2.1 CSV验证具体步骤
①验证计划(Validation Plan)
②用户需求说明(URS)
● 功能清单:计算机化系统功能、需要系统做什么?
● 工艺流程图:每一个功能的控制方式,执行过程及运行逻辑?
● 输入输出方式:每一个功能的传感器输入、执行信号输出方式;
● 人机接口输入输出方式:操作人员对人机接口的操作是否具有相关要求?
● 权限设置:人员权限分配、人员管控及授权等,系统的安全性需求;
● 安装空间、位置、所处的环境确认,是否符合要求、预期及是否具有冗余?
● 硬件、软件的基本配置要求是否满足?
● 测试、验证、培训、质量控制、变更控制、文件记录要求?
● 预算、货期、合约等商务要求。
③功能说明(Function Specification)
● 系统供应商对企业URS的回复说明;
● 硬件配置方框图与功能说明;
● 软件流程方框图与功能说明;
④设计说明(Design Specification)
● 供应商对自己系统的设计思路与计划 ;
● 硬件整体框架与系统结构图 ;
● 软件整体框架、模块化系统结构图;
● lIO清单与详细说明 ;
⑤系统工程设计
用户可以选择性参与,也可以不参与。
⑥设计审核(Design Review)
设计审核一般由用户技术人员与QA部门协同完成,通过比较URS与FS、DS的一致性,检查系统是否满足需求, 针对不能满足的部分,需要和供应商进行协商,尤其 是涉及到GMP要求的地方要更加注意。
⑦风险评估(Risk Assessment)
风险评估工作贯穿用户需求到设计回顾,主要考虑系统功能、系统安全性对生产工艺、产品质量的影响。
⑧系统工程制造和工程调试
用户可以选择性参与,也可以不参与。
⑨出厂测试(FAT)
供应商在系统出厂前进行相关测试,并记录测试项目和结果,判断是否符合标准(可以反复测试)。模块测试(白盒法)集成测试(黑盒法)。
⑩现场测试(SAT)
安装到企业时,也需要进行相关的测试,并记录测试项目和结果以及是否符合标准,更多的是计算机完成的功能测试。
⑪IQ阶段
确认硬件配置、软件版本,确认现场安装环境、安装条件、安装结果。确认供应商审计的文件报告、确认系统开发的技术文件和报告(审核开发过程、而不是审核每一 条程序、指令的正确性)、确认仿真模拟与调试阶段的文件与报告(更多的是一种形式审核与确认)、确认安装后的各种测试、调试的文件、记录和报告(更多的是一种形式审核与确认)。确认各种技术资料、编程软件、应用软件备份、 密码保存,确认输入输出(I/O)清单、电路图、接线图……硬 件和软件手册,包括安装、操作、维修保养手册。
⑫OQ阶段
按照操作SOP进行各种操作、测试,包括系统的安全性、三级密码、操作权限、人员分配及管理、IO输入 输出的测试、人机接口、错误输入、报警、联锁、 断电恢复……
确认每一个正常的工作步骤、每一个操作部件(包含硬件操作部件和模拟操作部件)、每一个输入输出之间的动作关系、模拟运行的过程测试、全自动运行的过程测试确认。正常环境下,模拟生产环境。
⑬PQ阶段
确认系统运行过程的有效性、稳定性、可靠性。
测试项目依据对系统运行希望达到的整体效果而定如对生产出的产品质量各项特性进行测试。 测试应在正常生产环境下。相当于随着正常生产的工艺验证过程进行测试。
例:大型检测仪器(GC-MS/MS)需要验证仪器基线是否稳定、特定浓度标准品重复性是否达标、标准测试溶液响应是否合格等。
⑭风险管理矩阵(Risk Management Matrix)
从前期的风险评估,到贯穿于IQ,OQ,PQ的风险控制,最后需要对风险进行回顾,确认通过测试以及修改是否已经将 风险降低到了可接受的水平。
⑮最终验证报告(Final Validation Report)
总结整个验证过程,是否都正确完成,没有未处理的偏差。正式批准系统投入运行。
⑯周期性的系统检查及风险回顾。
无论哪一种计算机化系统,他们都是环境、设施、设备、系统等硬件正常运行的一种工具,代替人的手工操作,或者部分代替人的计算、思考、判断,或者部分代替人的复杂的管理活动;
我们的关注点不应该放在工具本身上,而在于关注这个工具能够为我们做什么,为我们带来什么结果;
也就是关注自动化系统代替人的操作、实现的流程控制和功能结果,适合于其预期用途,而且运行正常;
▲表2-4Q验证活动描述表
2.2 CSV验证有关事项
计算机系统的验证生命周期(SVLC)不只局限于系统的使用过程,新系统的验证应始于系统初期的定义和设计阶段,终止于系统无使用价值阶段。验证生命周期应伴随着系统发展的整个生命周期(SDLC),具体阶段可参考图2中所示。
▲表3-SDLC阶段不同类型的计算机系统所应交付的验证工作
|
SDLC阶段 |
交付阶段 |
风险评估分类(1~5类) |
|
|
1 |
2 |
3 |
4 |
5 |
|
|
计划 |
可行性研究 |
可行性研究报告 |
√ |
√ |
√ |
√ |
√ |
|
工程计划 |
工程计划 |
√ |
√ |
√ |
√ |
√ |
|
供户评估 |
|
|
|
√ |
√ |
|
验证计划 |
√ |
√ |
√ |
√ |
√ |
|
费用申请 |
√ |
√ |
√ |
√ |
√ |
|
设计 |
需求定义系统设计 |
用户需求说明(URS) |
√ |
√ |
√ |
√ |
√ |
|
系统设定 |
|
|
|
√ |
√ |
|
源代码和配置 |
|
√ |
|
√ |
√ |
|
系统测试 |
单体测试(白盒测试) |
|
|
|
|
√ |
|
集成测试(黑盒测试) |
|
|
|
√ |
√ |
|
接收 |
系统验收及确认 |
可行性研究报告安装确认(IQ)方案和报告 |
√ |
√ |
√ |
√ |
√ |
|
运行确认(OQ)方案和报告 |
|
|
|
√ |
√ |
|
工艺/性能确认(PQ)方案和报告 |
|
√ |
√ |
√ |
√ |
|
人员培训 |
√ |
√ |
√ |
√ |
√ |
|
发布/释放通知 |
√ |
√ |
√ |
√ |
√ |
|
使用和维护 |
使用和维护 |
问题报告 |
√ |
√ |
√ |
√ |
√ |
|
变更控制 |
√ |
√ |
√ |
√ |
√ |
|
系统管理 |
√ |
√ |
√ |
√ |
√ |
|
安全程序 |
√ |
√ |
√ |
√ |
√ |
|
备份/存档/灾难恢复 |
√ |
√ |
√ |
√ |
√ |
|
维护日志 |
√ |
√ |
√ |
√ |
√ |
|
周期性回顾 |
√ |
√ |
√ |
√ |
√ |
|
人员持续培训 |
√ |
√ |
√ |
√ |
√ |
|
系统退役 |
系统引退 |
工程计划(引退系统) |
√ |
√ |
√ |
√ |
√ |
|
系统引退报告 |
√ |
√ |
√ |
√ |
√ |
|
备注:风险1~5由小到大分别为:用户提出新需求(1):用户需要增加功能,系统无问题;改进(2):新功能;小风险(3):可下次升级时解决的问题;中风险(4):有规避方法的一类问题;高风险(5):会引起系统停机无法使用的问题。 |
▲表4-计算机化系统合规性验证文件
IQ关键内容:
▲图 4 安装确认(IQ)文件准备示意
安装确认(IQ)包含系统配置清单、电气配置清单、输入输出清单、报警清单备件清单、易损件清单说明书、操作手册、维护手册软件安装备份、系统及安装环境备份供应商提供的各阶段测试报告等。
● 确认系统配置及运行环境是否符合设计要求;
● lI/O输入输出测试;
● 确认软件被正确安装;
● 监控安装过程是否出现异常;
● 确认关键数据文件不能被安装在系统盘中;
● 记录软件版本号;
● 灾难恢复时确认安装软件版本号与已验证软件版本号一致;
● 打印安装结果或是全流程摄影记录操作并存档;
OQ关键内容:
● 用户密码确认
—有无密码保护(无密码或错误密码是否能进入系统);
—密码是否可更改;
—密码长度确认;
—密码更新周期及其相关策略核查;
—是否可添加用户、最大用户数量确认;
—密码复杂程度(是否易破解)策略确认;
● 用户权限确认
—操作员权限
开机、基本操作、数据查看、数据记录、方法调用等。
—检测员权限
数据输入、数据修改、数据采集、关键数据的输入、方法模板另存等。
—研究员权限
数据输入、数据修改、数据采集、关键数据的输入、方法策略修改、软件参数修改等。
—实验室经理权限
全系统管理及数据审计权限。
—QA权限
数据调阅、审计追踪记录权限等。
—管理员权限(部分实验室有QA部门的IT专员管理)
超级管理员权限、授权、授权变化、取消授权、时间修改、数据记录及报警信息删除、审计追踪功能配置等。
—维修员权限
故障处理、系统调试等。
—低级用户是否能使用高级用户权限。
● 人机界面及控制功能确认
每一个正常的工作步骤、每一个操作部件(包含硬件操作部件和模拟操作部件)、每一个输入输出之间的动作关系、模拟运行的过程测试、全自动运行的过程测试确认。
—人机界面视图与设计一致;
—按钮灵敏度高;
—各控制功能工作正常(黑盒测试);
—各模块工作正常(白盒测试);
—输入的最大输入字符数确认;
—参数上下限限制确认。
● 断电及灾难恢复
● 系统运行过程中突然关闭电源(模拟突然断电)或拔掉网络传输线(模拟网络连接中断)
● 重新安装操作系统及控制软件(模拟灾难恢复)
—断电后操控对象状态不能影响产品质量及人员安全;
—断电后备用电源工作状态及维持时间;
—断电前后系统参数对比(部分参数可能长时间断电丢失);
—断电恢复后操控对象应能正常工作(部分危险项目需确认后人为启动);
—重新安装系统或软件后,各数据完整性及系统运行情况正常。
● 数据采集、贮存、打印、备份、恢复
—设定的采集频率是否有效;
—数据计算结果是否正确(转换格式时其值不会改变);
—图表显示内容是否正确(x、y轴单位);
—数据筛选查找功能是否正常;
—数据贮存文件是否可修改;
—打印文档是否清晰(边界数据丢失);
—数据能否备份(制定操作规程规范备份周期、存放位置)
—备份文件恢复后数据是否完整。
● 系统安全(联锁、报警)
—根据报警列表模拟每一项报警条件观察是否产生报警;
● 人员培训
—确认岗位工作人员均经过培训并通过考核
● 审计功能
—关键操作步骤(用户登录、采集数据、修改数据、删除数据等)应能够追踪(用户名、时间);
—审计功能不能被最高级别以下用户关闭;
—审计追踪列表不能被最高级别以下用户清除。
PQ关键内容:
—确认系统在真实的操作环境下运行状态
—生产设备以连续三批以上(通常5批次)设备生产作为性能确认,检验设备可以以系统适应性测试、常规检验等方式进行性能测试;
—当计算机化系统代替人工时,可以进行平行的验证试验,计算机化系统不应增加风险(自动计数器等)。
计算机化系统日常运行过程中的管理与维护(仅作参考)
1.制定计算机化系统清单
—序号*系统名称*基本配置*软件版本*用途*范围*管理者
—标明与药品生产质量管理相关的功能
—及时更新
2.人员培训(操作人员、维护人员、验证人员、管理人员)
3.安全管理:实验室设施安全,硬件安全,软件安全等
—门禁、监控、硬、软件锁、密码权限、UPS、EPS电源等
4.使用过程发现的问题及缺陷及时记录和处理报告
5.制定应急预案、偶发故障恢复、灾难恢复程序等
—完善并演练灾难恢复操作规程。
6.硬件变更、软件变更及数据库中关键参数的变更控制
7.定期备份、打印、存档、记录(电子数据与纸质数据)
—建立数据备份与恢复的操作规程,定期对数据备份
8.报警日志(报警的处理记录)
—报警日志打印保存
9.预防性维护计划、维护记录、维护报告。
—杀毒、清灰、维护记录等
10.现场仪表定期进行校准
11.备品备件耗材管理
—建立耗材库,并设立良性预警机制。
12.数据完整性审核
13.偏差处理
14.变更控制
15.定期回顾
计算机化系统日常安全与权限要求
1.不允许安装无关软件
2.不允许使用个人U盘和无关外设
3.专人备份到指定目录、指定位置或指定电脑
4.权限密码要定期更换
5.权限改变要填写申请表经批准、登记
6.数据备份要编号登记(体现备份日期)
7.可配置参数设置变化要填写申请表经批准、登记
(Ps.上述小结仅为日常CSV中关键的3Q内容,如需了解详细CSV有关VP、DS、DR、RA、URS、PHA、FAT、SAT等详细内容可与作者联系。)
三、CSV验证意义
制药行业日益严峻的监管环境,对药品生产安全性和质量重要性要求也在不断提高,药企进行计算机化系统验证具有如下意义:
1、法规及合规性要求:
遵从GXP的计算机化系统验证能够向客户和监管机构提供可靠的数据和证据,证明产品符合质量标准和法规要求。
2、数据完整性、可靠性保障:
计算机化系统验证通过测试数据审计追踪、用户权限、电子签名等功能,可防止数据造假、篡改或丢失。
3、风险管理和问题预防:
识别和修复潜在的问题和缺陷,确保系统能够正确地执行预期的功能,避免或减少由于系统故障或错误导致的产品缺陷或不合格。
四、日常问题简答
众多客户在进行CSV系统咨询的过程中往往存在一些趋同的问题,本环节简单汇总几个突出问题进行解答。
问1:计算机化验证时对硬件品牌型号是否需要注明具体的要求?
答:为了保持技术中立,各国监管机构均没有指定必须使用的硬件种类及品牌。任何供应商美其名曰的FDA指定产品,EMA专用产品等的声明都是不正确的。
GAMP文件只是指南而非标准。被监管公司的职责是制定政策与规程来满足适用的法规要求。因此,任何供应商或产品宣称"己通过GAMP认证"、"已获得GAMP批准"及"符合GAMP要求"之类的说法都是不适当的。
企业应当针对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。
通过供应商审核筛选出合格的供应商,选用的硬件性能及参数能满足使用需求、通用性需求及未来的扩展性需求,硬件即满足验证要求。
问2:计算机系统验证是否具有参考周期?如有多久需要进行一次验证?
答:在中国及欧盟等相关法规中并没有明确规定计算机化系统再验证周期,而是要求确保系统的受控状态。在WHO TRS 937 Annex4中提出:在初始验证后,还需要进行周期性(或连续)评估。应有书面程序定义系统周期性再验证。对于计算机化系统,我们要对系统进行风险评估,即对系统进行周期性审核,包括系统变更、权限分级、数据备份恢复等,然后根据结果采取相关措施。
风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证和数据完整性控制的程度。计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。
对设施、设备和工艺,包括清洁验证等应当进行定期评估,以确认它们持续保持验证状态。
应当采用质量风险管理方法评估变更对产品质量、质量管理体系、文件、验证、法规符合性、校准、维护和其他系统的潜在影响,必要时,进行再确认或再验证。
应当在计算机化系统生命周期中保持其验证状态,因此在实际执行过程中倘若进行首次CSV验证后,为进行任何的权限及部件变动,系统能够正常运行即可认为其处于已验证状态。但在实际执行过程中人员流动等不可控因素的变化难免会出现权限的变动和人员帐号的变动,则需要分情况进行讨论。
问3:关于CSV时是网络版色谱系统(CDS2),通过截图体现了验证的过程,作为验证实施的原始凭据,有什么具体要求吗?如,是否要包含时间戳。有些系统无法采用电脑截屏功能,是否可以通过相机拍照功能替代?
答:验证测试截图的管理,应遵循基本的数据管理要求:数据归属,数据清晰可溯,数据同步,数据原始一致,数据准确真实。
无法使用电脑截屏功能的计算机,可以通过质量控制文件规定特定含有时间戳的拍照系统(APP)使用手机的相机拍照作为测试记录(需要有控制文件明确实验室内部哪些计算机化系统无法截图并形成定向操作流),需要在拍照的图片上显示测试日期(拍照时整个屏幕都拍摄)。尽可能不拍摄部分画面,如遇特殊情况需要现场QA二次复核确认。
问4:制剂设备(中试/工艺)计算机化验证内容包括哪些?
答:相关设备应进行系统评估,确定为关键系统的应进行计算机化系统验证。根据系统影响程度(考虑患者安全、数据完整性和产品质量)、复杂性和新颖性、供应商审计的结果决定验证的程度。再基于设备需求和相关供应商资料对关键功能进行评估,确定验证的范围(包括应用程序和基础架构)。基于不同设备/系统类型,可能包括的测试项目为:硬件安装检查、软件安装检查,界面检查,权限控制检查、逻辑控制功能检查,数据准确性检查(校准证书、环路校准),数据保存、查询及打印检查,报警检查,审计追踪功能检查,数据备份及恢复检查,断电等意外情况检查等。
工艺设备需要根据公司的生产工艺进行针对性的设计,一般自动化程度高的设计均会考虑工艺设备的集中监控管理,包括DCS/SCADA/PMS/EMS/BMS/MES等。
如果将来考虑上MES系统,在系统建造初期应该对供应商进行审,并在系统建造前期调研确认设备是否能够与MES进行正常的通讯,不一样的MES厂家要求也不一致。
