新版GMP附錄的發布對應用于藥品生產相關的計算機系統的驗證有了明確的要求,雖然遲到了很多年,但對提高行業規范程度,進一步優化行業結構,降低飽為大眾所詬病的產品質量風險仍然具有十分重要的意義。與附錄晚到的相對應,我國制藥行業信息化程度整體上無論是與國外同行相比,還是在國內其他行業橫向對比,都具有十分明顯的差距。企業在信息化投入和人才儲備上都明顯不足。
新附錄強調了對計算機系統全生命周期質量與性能的評估與確認。計算機系統的生命周期包括了"需求","設計","開發","測試","運行"、"退役"全過程。其中測試還可以分為"單元測試"、"集成測試"、"系統測試"、"用戶測試"等四個步驟。在GMP對計算機系統的驗證提出要求之后,、驗證工作在當前的現實情況下很自然就落在QA部門頭上。
    對于非IT專業的QA人員來說,需求、用戶測試、和運行、退役還能把控,但對于"設計"、"開發"以及測試中的其他環節卻也無能為力。顯然,讓QA去具備讀懂代碼的能力和具有軟件工程的思維是一件過份且不實際的要求。但計算機系統驗證最重要的目的是為了防止將軟件的缺陷或問題帶到藥品的生產環境中,從而導致一系列的生命健康問題。從質量源于設計的角度的出發(對任何產品都是如此),設計,開發,測試大部分都不把控在自己手中,豈不是不受控,這樣的風險如何接受和處理呢?
    我們可以想想,藥廠的GMP生產車間肯定不是自己人蓋的。藥廠需要的是提出需求,由工程設計方設計出圖紙,由施工方建造,由監理方監管,最后由藥廠來驗收。土建中廠房結構要求由土木建筑技術人員去管理和控制、主要建筑材料由當地建設工程質量監督站的檢驗文件證明其質量。藥廠需要做工作的是找一家有GMP廠房建造經驗并具備相關資質的承建商。對于計算機系統來說,同樣如此,我們可以將計算機系統的供應商視作GMP廠房的建造商。一個合格的計算機系統供應商應該具備完善的內部質量控制系統,保證其輸出產品的合格性。
    在講述這個問題之前,我們先看看IT行業軟件開發生命周期(SDLC)與FDA/CFDA所要求的計算機系統驗證(CSV)之間的關系。只有明白兩者之間的關系,我們才能更好的定位自己的主要職責,以免越俎代庖。
    IT行業的V模型熟悉GAMP的人會了解GMP中計算機系統驗證的V模型。GAMP中的V模型描述了從概念提出、項目執行、系統運行、到系統退役的計算機系統生命周期全過程。但GAMP中的V模型并非憑空而生的,而是在現有的軟件開發模型上結合藥品生產行業的特點改造而來,其中包括的軟件需求、開發設計、測試、部署、應用這些環節在軟件工程中早有體現。
在計算機軟件開發行業,有一個著名的開發模型叫"瀑布模型",該模型雖然批評之聲甚多,但還是在軟件開發行業得到了廣泛應用。瀑布模型將軟件生命周期劃分為制定計劃、需求分析、軟件設計、程序編寫、軟件測試和運行維護等六個基本活動,并且規定了它們自上而下、相互銜接的固定次序,如同瀑布流水,逐級下落。瀑布模型的突出缺點是不適應用戶需求的變化。瀑布式方法在需求不明并且在項目進行過程中可能變化的情況下基本是不可行的。將傳統意義的瀑布模型稍加改造就可以得到下面常見的V模型。

上面提到的V模型將測試分為"單元測試"、"集成測試","系統測試"、"用戶測試",強調了在開發過程中每一個步驟中都采用不同的測試形式,包括屬于靜測試的代碼審查和代碼走查,以及實際程序運行的動態測試,從而避免將全部測試工作堆積到最后。
    對于GAMP中V模型,同樣是從需求的明確開始,制定用戶需求說明書(User Requirement Specification URS),功能規格說明書(Function Specification,FS),設計規格說明書(Design Specification,DS),系統開發,測試(單元測試、集成測試、系統測試),安裝驗證(IQ) ,操作驗證(OQ),性能驗證(PQ)、系統運行、退役。
    對于上述的軟件開發生命周期圖,如果我們將"系統設計"與"設計說明"等同,將"用戶接受度測試"與"性能測試"等同,則計算機系統驗證的CSV圖中左側多了FS,右側多了IQ、OQ。可以認為GMP下的計算機系統驗證在軟件行業的V型圖上擴展而成的,而且更注重終端用戶的參與。

 

計算機系統在GMP環境下的驗證流程既然是在軟件開發模型上擴充而來,那么回到我們原來的問題上,作為終端用戶到底要在整個流程中扮演什么角色?是需要成為一個無所不通的全才嗎?對比之前舉過的GMP廠房建設的例子,我們其實只需要做用戶該做的事,擅長的事。
    在上圖中,采用淺藍色底色的流程節點是需要終端用戶起到主要責任的,而深綠色底色的部分,則可以交給計算機系統的供應商去做,用戶需要做的是監督與審查。對于完全定制化的系統,由于風險較高,用戶可以在軟件開發的過程中介入得深一些,而一些商業化成熟化的產品則可以介入得少些。需要注意的是,這里所說的用戶的監督與審查,并不單指項目過程的監督和審查,還包括項目啟動之前的供應商選擇和產品選擇,在質量審計時應能出示翔實的供應商審計報告和產品選擇論證報告。總結CSV更多的是由用戶驅動的,應該由供應商,企業IT部門,QA部門和咨詢商協同工作的過程,而不是QA唱獨角戲。GMP新附錄也強調了"在人員配置方面"應當確保有適當的專業人員,對計算機化系統的設計、驗證、安裝和運行等方面進行培訓和指導。"

· 用戶必須編寫URS,作為計算機系統驗證的基礎。

· 供應商必須提供能滿足URS的FS,DS。

· 用戶需要介入驗證過程的每一步驟(對于定制化開發需要介入更深,對于已經商業化的軟件則可以淺一些,定制化程度越高,用戶方就要介入得越多)。

· 做了對新的計算機驗證,還要對舊的計算機系統進行回顧性驗證,對于有重大改動的要重新驗證。對于已經有的系統,如果沒有FS,DS,可以在現有系統基礎上通過反向工程的方式得到。

· 合規風險是評估驗證優先級的依據。

· 文檔準備,URS,VP(驗證計劃),PP(項目計劃),系統選型報告,供應商審計報告,FS,DS,供應商測試計劃與測試結果,跟蹤矩陣,風險分析報告,網絡與基礎設施鑒定,IQ腳本與驗證結果,OQ腳本與驗證結果,SOP(標準操作規程,培訓材料,培訓記錄),PQ腳本與驗證結果,驗證總結報告。

 


高新看點:GMP新附錄計算機系統驗證過程中用戶的作用

上一篇:

高新看點:消毒滅菌基礎知識
高新看點:設備管理的記錄

下一篇:

本網站由阿里云提供云計算及安全服務
足彩胜负彩投注