这是CSV胡大侠专栏文章第2篇,欢迎大家多多关注支持
1.结论(强推先精读2011版EU附录11与2015中国GMP计算机化附录)
1.1 计算机化系统验证CSV包括应用程序的验证(Validation)基础架构的确认(Qualification)
1.2 CSV中qualification针对总是对于单独的具体的实物可以量化而直接确认
1.3 CSV中Validation的目标体总是整体连续的工艺、方法或规程难以量化且无法直接确认
1.4 Validation是一个动态长期管理生命周期中保持其验证状态静态即时测试基础和一部分
1.5 CSV的理解和范围:供应商提供的PQ for 仪器、设备或系统PQ for 生产、检验工艺
2.法规与指南
2.1 中国NMPA
A.(2015 中国GMP计算机化系统附录)
第四章 验证
第六条 计算机化系统验证包括应用程序的验证基础架构的确认风险评估使用范围和用途
应当在计算机化系统生命周期中保持其验证状态
B.(2020 NMPA 药品记录与数据管理要求试行)
第二十三条 采用电子记录的计算机(化)系统验证项目应当根据系统的基础架构、系统功能与业务功能系统成熟程度复杂程度
2.2 美国FDA
A.(21 CFR Part11 ,211,820 ,General Principles of Software Validation等法规 ):
计算机化系统的验证(System Validation)应该保障1.系统工作的准确性,可靠性,可重复性;2.系统产生的记录有效、真实、且不能被篡改;
软件的验证(Software validation):1. 软件特性(specification)符合用户需求;2.软件的表现能稳定的正常工作(consistently fulfilled)
l 21 CFR Part11.10(a): Validation of systems to ensureaccuracy, reliability, consistent intendedperformance, and the ability todiscern invalid or altered records. (US FDA)
l 21 CFR Part211.68(a): Automatic, mechanical, or electronic equipment orother types of
l 21 CFR Part 820 and61 FR 52602: Software validation is a requirementof the quality system regulation. (US FDA)
l General Principles of Software Validation; Final Guidance forIndustry and FDA Staff Software validationand that the particular requirements implemented through software can be consistently fulfilled.(US FDA)
2.3 欧盟EU GMP
A.(EU GMP Annex 11 Computerized System–基本和2015 中国GMP计算机化系统附录相似要求):
计算机化系统的验证(System Validation)应该证明:使用计算机化系统取代人工操作 – 1.不减少质量保障,过程控制;2.不增加过程风险
Principle
Wherea computerised system replaces a manual operation,there should be no resultant decrease in productquality, process control or quality assuranceriskprocess
1. RiskManagement
Risk managementshould be applied throughout the lifecycle of the computerised system takinginto account patient safety, data integrity and product quality. As part of arisk management system, decisions on the extent ofvalidation and data integrity controls should be based on a justifiedand documented risk assessment of the computerised system.
3. 应用案例:
核心关注法规要求-:The applicationshould be validated; IT infrastructure should bequalified. 计算机化系统验证包括应用程序的验证基础架构的确认
Qualification
来自于Qualify,一直被公认翻译为"确认"。其原意是指"to pass an exam or meet the standards of something", 即"达到了一定的标准,从而能够做某种事情"。设备的Qualification是其原意的延伸,即某个设备达到了一定的标准,可以被用来做某个预定的生产步骤。Qualification的过程一定要有"预定的标准"。计算机化系统中Qualification也是同样的道理。计算机化系统的URS和性能指标(functional specifications)决定了系统的标准,确认就是通过实际操作、测试或试验,来收集证据,证明该系统已经达到了这些标准。
所以理解CSV中IT 基础设施的确认qualification,应涵盖两个部分:1. IT 基础设施硬件确认;2. IT 基础服务确认。
IT 基础设施硬件包括以下内容: ü 终端设备(例如,台式机/笔记本电脑/移动设备,操作系统,客户端软件,和其它部件) ü 网络组件(包括网络安全相关组件) ü 后端(服务器,操作系统,存储设备,外围设备,和其它实用软件 )ü 平台组件(例如,数据库软件 ,应用软件,Web服务器) ü 其他(例如,代理,守护进程等)
关于IT基础服务管理流程(由ITIL和ISPE GAMP定义),以下流程被确定为和GMP相关: ü 事件管理 ü 访问管理 ü 服务水平管理 ü 变更管理 ü 供应商管理 ü 信息安全 ü 服务连续性管理 ü 资产、配置和确认管理
综上,在“IT infrastructure should be qualified”的过程中一定要先有"预定的标准",而在这个标准已经在之前URS或设计文件FS得到量化(比如CPU是i5还是i7, 内存要8G还是16G),但是基于IT infrastructure的IT技术专业性,qualification确认过程也会比较简单 – 选择靠谱通用的供应商标准化产品,然后核对其specification是否符合需求即可。
与其同时,在“The application should be validated”的过程中也会有对标准化software function的确认,比如一个CSV OQ中确认其扫描功能
在此注意,CSV中部分验证工作运用Qualification手段仅仅证明了正常工作ValidationPQ和CSV周期性验证状态回顾需要完成的
Validation
它来自于validate,意思是“toprove that something is right, true or correct,证明某个东西是对的”。请注意qualification中使用的验证手段则是Verification,意思是“to find out a fact orstatements…etc. is true”。英语里“to prove”和“to find out”是有区别的:前者Validation是要建立事实事实verify
Computerized system Validation需要对已Qualified的设备,材料,人员,环境等等的因素进行整体的测试
Qualification vs Validation在CSV工作中的区别
Qualification总是对于具体的实物或者可以量化而直接确认的软件功能而言:通常包括厂房(facilities)、设施(utilities)仪器(Device)和设备(equipment)。比如IQ和OQ中可以去确认:
ü 系统硬件服务器、客户端、网络路由器等
ü 或下属控制的一台HPLC,一台天平,一台打印机,纯水系统ToC探头;
ü 也可以去确认一个单独的software function – 比如密码强度,密码自动过期,自动锁屏,权限分配,打印功能等。
在对这些目标物进行Qualification之前一定会有一套预先设定的各自的标准(URS或性能指标)。而Qualification工作往往都是通过一系列的Verification活动(测试、试验、核实等等)来检查目标物是否达到了预先设定的要求。通常来说,Qualification就是一系列的Verification工作。
Validation的目标体总是工艺、方法或规程或者难以量化且无法直接确认软件功能(因为它们的结果通常不能被verify)。比方CIP自动清洁功能的验证,如果想Verify其清洁的结果,就要打开设备,取样,检测。这同样会破坏设备的清洁状态。所以这些过程(灭菌,清洁等等)只能通过验证来确保这些过程的结果是有效的。
又比方验证Empower CDS图谱生成及处理流程“符合数据可靠性”管理要求,符合性的结果难以量化,就只能通过流程风险评估来验证以确保这些过程的结果是有效的。
