隨着信息化進程的不斷加快����,製藥行業的研發����、生產及管理也正向自動化信息化方向轉型����,企業紛紛引入計算機化系統來替代人工操作��,以減少人為差錯���,降本增效。但是在引入計算機化系統的過程中���,可能會同時引入與產品質量����、患者安全和數據完整性相關的合規風險����,因此對計算機化系統進行質量風險管理就顯得尤為重要。NMPA GMP(2010版)附錄10計算機化系統中就明確提出了計算機化系統質量風險管理的要求。
一��、什麼是計算機化質量風險管理?
質量風險管理是對風險進行評估���、控制����、溝通與審查的系統化過程。它是一個重複的流程����,貫穿於整個計算機化系統的生命周期。通常計算機化系統的生命周期包括計劃階段����、運行階段和退役階段的所有活動。
圖1��:計算機啟用風險管理過程
二����、計算機化質量風險管理中供應商的重要性?
ISPE GAMP5第二版相較第一版的重大變化是���,自動化系統與服務供應商的重要性增加����,鼓勵受監管公司最大限度地利用供應商���,充分利用供應商的知識����、經驗和文件。
當前越來越多的應用程式是基於雲的SaaS服務����,如何充分利用雲帶來的益處是受監管公司需要重點考慮的。GAMP5第二版中重點關注了利用雲計算SaaS平台來提供IT基礎設施或應用軟件服務。相較於本地和私有雲部署����,由於SaaS部署可以大大簡化需求調研����、安裝��、配置等環節��,同時供應商會在放行SaaS部署的系統前按照GxP相關要求執行DQ���、IQ和OQ����,因此引入SaaS部署系統的企業只需基於供應商執行完成的文件補充部分驗證活動(PQ)����,從而能夠將驗證周期縮短75%���!如果供應商在發佈產品前���,已按照GxP相關法規要求執行了驗證(如基於「驗證雲」部署的產品)���,那麼就可以在保證合規性相關風險可控的前提下大幅加快系統上線進度����、降低成本。
此外���,GAMP5中對供應商評估與其參與程度的描述和要求���,還包括在生命周期階段���,明確了項目階段涉及的多種活動����,包含了供應商的評估且生命周期活動的調整應考慮供應商評估結果(供應商能力);驗證過程中���,可以根據評估結果使用供應商審查與測試的文件;對項目階段中的風險管理��,應確定供應商審計的需要����,並作為供應商評估的一部分;在供應商的良好行為中列出了適用於產品和應用程式開發���、支持和服務提供的良好實踐活動等等。
三���、供應商如何協助受監管公司執行質量風險管理?
下文以計算機化系統生命周期的計劃階段為例���,詳細說明計算機化系統質量風險管理執行過程中供應商的活動參與。
1���、用戶需求規範
在計劃階段應協助客戶制定用戶需求規範��,從而定義計算機化系統的用戶需求。在這些用戶需求中需描述計算機化系統的預定用途和數據完整性相關的需求。供應商所提供的計算機化系統產品需滿足可配置程度高��,可滿足客戶絕大多數的實際應用場景����,同時產品本身能滿足國內外對於數據完整性相關的要求��,如系統具備權限管理����、審計追蹤����、電子簽名等功能。
2����、初步風險評估
在計劃階段應協助客戶進行初步風險評估��,從而確定系統是否受GxP監管����、系統的影響如何以及是否需要進一步的評估。對於不受GxP監管的系統���,僅進行GEP調試即可;對於受GxP監管的系統����,需進行系統組件評估和供應商評估����,以制定進一步的控制措施。
3����、系統組件評估
根據系統的構建或配置方式���,使用GAMP 5第二版中軟硬件類別作為指導來確定所需要的活動。
4���、驗證計劃
基於初步風險評估和系統組件評估的結果��,制定驗證計劃。在驗證計劃中����,詳細說明各項目組成員的職責���,驗證活動的範圍和執行策略��,以及最終交付文檔。
5����、功能規範
起草單獨的功能規範文件記錄計算機化系統的功能����,並提交客戶審核��,以確定系統的相關功能是滿足用戶需求規範。
6��、配置規範
基於用戶需求規範配置計算機化系統��,包括系統的軟件產品配置��,及定義所有可設置項和參數。配置完成後會起草單獨的配置規範��,提交客戶審核����,以確定系統的配置是滿足用戶需求規範。
7��、關鍵功能評估
對患者安全��、產品質量以及數據完整性產生影響的功能進行識別����、評估和確定。根據評估結果確認需要執行功能風險評估的關鍵功能點。
8����、功能風險評估
實施功能風險評估����,對其控制的關鍵功能點進行評估���,並制定合適的控制措施。
9���、設計審核/確認
協助客戶執行系統的設計審核/確認。根據用戶需求規範來評估交付的系統��,識別問題並建議所需的糾正措施。
10���、安裝確認
起草安裝確認方案��,並依據方案執行系統的安裝確認��,檢查系統的軟件版本��、硬件信息��、端口配置等內容����,從而證明軟件和硬件安裝和配置的正確性。
11���、運行確認
起草運行確認方案���,並依據方案執行系統的運行確認��,用來證明功能的正確運行能夠支持所有規定運行範圍內的具體業務流程。
12����、性能確認
協助客戶執行性能確認����,以確認系統符合預定用途����,並允許按照所規定要求進行系統驗收。
13����、驗證計劃總結
在計算機化系統發佈前����,協助客戶對以上流程執行結果進行審查和驗收���,確認相關風險是否降低至可接受程度��,以做出將該系統發佈至正式環境的決定。
供應商所提供的驗證服務���,應包含風險控制和審查部分的所有內容���,如下圖所示。
圖2��:基於風險的計算機化系統驗證V模型
附���:相關監管法規與指南
(1)NMPA GMP(2010版) 附錄10計算機化系統
第二條 計算機化系統代替人工操作時���,應當確保不對產品的質量����、過程控制和其質量保證水平造成負面影響����,不增加總體風險。
第三條 質量風險管理應當貫穿計算機化系統的生命周期全過程���,應當考慮患者安全����、數據完整性和產品質量。作為質量風險管理的一部分����,應當確定驗證和數據完整性控制的程度。
第四條 企業應當針對計算機化系統供應商的管理制度操作規程��,供應商提供產品或服務時(如安裝���、配置��、集成��、驗證���、維護����、數據處理等)��,企業應當與供應商簽訂正式協議���,明確雙方責任。
企業應當基於風險評估的結果提供與供應商質量體系和審計信息相關的文件。
(2)EU GMP Annex 11 (revision 1) Annex 11: Computerised Systems
Risk management should be applied throughout the lifecycle of the computerised system taking into account patient safety, data integrity and product quality. As part of a risk management system, decisions on the extent of validation and data integrity controls should be based on a justified and documented risk assessment of the computerised system.
考慮到患者安全��、數據完整性和產品質量����,風險管理應在計算機系統的整個生命周期中被應用。作為風險管理系統的一部分��,驗證範圍和數據完整性相關控制措施的決定應基於合理且被記錄的風險評估。
(3)GAMP 5 第二版
(4)ICH Q9 IEC 60812
