6.3.5.1 上线后运行
背景介绍
本节对计算化系统上线后开始正常运行和使用阶段进行阐述。运行阶段是最长的阶段,旨在确保系统始终处于已验证状态并能持续满足业务需求。
运行阶段包括针对日常管理(包括但不限于账户管理、数据管理等活动),各个软硬件系统运行维护活动,以及这个阶段中需要进行的可能事件/偏差/变更/阶段性回顾/安全性事件处置等活动。如计算机化系统的维护管理涉及供应商,应对供应商进行评估或审计,从而确保系统始终处于受控状态;系统服务器所在的机房设施和设备也应定期维护,包括机房环境检查、机房空调系统定期维护、安全补丁的更新等;系统的安全,例如接口存在安全漏洞等,同样需要关注。健全计算机化系统安全管理制度、安全运行制度,设立和完善安全管理组织结构,定期对用户进行安全培训,并可以在供应商提供的运维服务范围内与其展开合作等。
本节内容主要针对系统维护、变更管理、定期审查等运行阶段需要交付的内容展开描述,同时也对这个过程中涉及的备份和恢复进行描述。
A. 系统维护
在运行阶段,将根据批准的程序对系统进行监控,并根据需要进行变更,以符合不断变化的业务和法规要求。
系统维护通常通过程序/规程来进行。一些程序可以合并为一个程序文件,如用户管理可合并在系统管理程序中;也可将多个系统的要求合并为一个程序文件,例如一份公司层面的用户管理程序适用于所有计算机化系统的用户管理。
通常的系统维护程序(如适用),包括但不限于以下内容。
• 定期审查:通过定期审查活动,也是周期性评估的一种方式,为可能需要的再确认、再验证活动提供依据和基础。
•系统操作:详细描述系统的操作步骤,为有权限的最终用户使用系统进行指导。
•系统管理:详细描述系统管理员可执行的操作过程,也可将一些系统管理的要求,如用户管理(包括密码管理、电子签名管理等)、时间和时区管理、系统备份、审计跟踪管理以及问题汇报等合并在此程序中。
• 系统性能监控和警报:描述系统性能监测的方法和频率,警报的解除要求和调查过程。监控活动的需求和监控的范围应根据系统对于患者安全、产品质量与数据可靠性的风险大小来制定。
•问题/事件报告:描述系统发生问题时的汇报、调查、解决和记录的流程,以及系统问题的分级原则。按照公司偏差要求,如果系统事件满足了开启偏差的条件,应开启偏差。此程序一般具有通用性,可适用于公司的所有系统。
• 备份和恢复:
•灾难恢复计划(DRP):灾难恢复计划应包含系统及支持系统运行所需要的所有基础架构的恢复流程,该计划应经过验证;
•业务连续性计划(BCP):业务连续性计划应提供系统故障期间可用的替代规程或流程,以替换缺失的系统功能,并保持业务的持续性。业务连续性计划所要求的相应替代流程应以文件形式存在,并应对相关人员进行培训。
•用户管理:描述用户管理的流程,包括用户的创建、权限修改、禁用、用户变更管理等。用户在系统中的权限应与实际工作中的权限一致。
B. 变更管理
• 变更管理适用于计算机化系统的硬件、软件、相关系统文档以及系统内的记录/数据。此程序一般具有通用性,可适用于公司的所有系统。IT基础架构的变更可以参考本章节基础架构描述中变更部分的内容。
• 计算机化系统变更管理中需要根据变更内容和受影响的系统,考虑是否对于原先的验证范围(比如功能增减、适用范围变化等)有影响,来评估是否需要进行再验证,以及再验证需要进行的范围;一般在没有功能性变化的情况下,可以考虑不进行再验证行动,而是通过评估方式进行呈现。
• 应制定变更管理程序,对变更进行评估和管理,以确保所有影响产品质量的变更被评估、审核、批准和实施,变更过程应有文件记录。
• 应评估变更对于产品质量、患者安全及法规符合性的影响。可依据变更影响的大小制定不同的管理策略。
•主数据维护可以作为日常操作的一部分通过系统操作 SOP 进行管理,通过系统变更申请表进行管理,如LIMS 中产品标准、分析方法的维护等。系统升级或系统中流程的变更,应按质量体系变更流程执行。
C.定期审查
•应基于适用的法规和程序要求,以及系统风险的高低来确定定期审查的频率,评估过程应有文件化的记录。此程序一般具有通用性,可适用于公司的所有系统。
• 定期审查(periodic review )的过程应有文件记录,审查内容一般应包括:
•上一次审查的结果及行动措施;
•审查期间发生的已关闭的与系统相关的变更;
•审查期间发生的已关闭的与系统相关的偏差、CAPA:
•系统 SOP;
•用户账号;
•系统性能及问题;
•系统验证文件;
•系统备份情况;
•业务连续性划(BCP)。
•定期审查的输出一般包括以下内容,【实例 10】提供了案例模板供参考,可以根据需要进行调整。
•最低输出应为系统可被继续使用的声明文件。可能有必要制定一个经各方讨论一致的计划,以执行后续的纠正预防措施。
•对于复杂或关键系统,应编制一份总结报告,包括:
•审查结果;
•发现的偏差或问题;
•所需的纠正预防措施;
•总结报告中确定的行动应在结束前完成并获得批准。下文实例分析中有定期审查报告模板供参考。
