计算机系统验证可分为几类(浅谈计算机化系统验证)
计算机系统验证可分为几类(浅谈计算机化系统验证)一、为什么要做验证?“对应用在药品生产及质量管理过程中的计算机化系统,是否按照要求的规格进行合理开发,且在运用开始后是够进行合理的管理,做出评估和确认的行为。”首先了解一下计算机化系统验证官方的定义:计算机化系统验证(Computerized System Validation)简称CSV “执行验证原则、验证策略及验证计划和报告的生命周期活动;在系统的整个生命周期中采取适当的操作控制以达到并维持相关GXP法规且达到预期使用目的行动”。用通俗易懂的话来描述,就是:
前言
随着国家监管部门对制药企业合规性及数据完整性的要求越来越高,计算机化系统验证这个名词,似乎离我们很近却又显得神秘深奥而触不可及。其实我们换个角度去看去理解CSV,也就没有那么的神秘了,或许还会有豁然开朗的感觉。
今天把自己的几次计算机化系统验证的亲身经历,以及自己对计算机化系统验证的一些理解整理下。也结合GAMP5,FDA等相关法规,和IT行业计算机软件开发的角度去理解所谓的“计算机化系统验证”。希望对大家有一定的帮助和启发,当然对于一些大家觉得不正确的见解,欢迎一起讨论。
本文围绕“为什么做、什么时候做、怎么做、谁来做”的思路来一一阐述。
首先了解一下计算机化系统验证官方的定义:
计算机化系统验证(Computerized System Validation)简称CSV “执行验证原则、验证策略及验证计划和报告的生命周期活动;在系统的整个生命周期中采取适当的操作控制以达到并维持相关GXP法规且达到预期使用目的行动”。
用通俗易懂的话来描述,就是:
“对应用在药品生产及质量管理过程中的计算机化系统,是否按照要求的规格进行合理开发,且在运用开始后是够进行合理的管理,做出评估和确认的行为。”
一、为什么要做验证?
或许大家都会说是法规的要求,其实换个角度,我们做验证的目的是什么,是为了确保使用于产品生产或质量活动相关的系统或设备仪器,经验证确认安装使用以及通过长时间的运行之后,仍然满足公司最开始的法规要求、规格要求以及性能要求。
二、什么时候做?
单单从计算机化系统验证“V模型”定义来看,验证的整个过程包含了计划、规格、配置和开发、验证、报告,同时整个过程都应在系统中留下相应的痕迹从而证明其验证的有效性。我们可以得出验证的整个活动过程其实就是一次项目管理的过程。
计算机化验证V模型
如果我们仔细研读法规的要求和定义,“在计算机化系统生命周期中保持其验证状态”。也就是说,计算机化系统经过初次验证,放行到生产环境交付使用后,系统的变更、偏差直到最终的退役,都要在验证和再验证体系中体现。即,CSV验证活动是贯穿于计算机化系统的整个生命周期的。
计算机化系统生命周期
三、 怎么做?
在制药行业中,计算机系统指的不只是计算机硬件和软件,也包括了连接到计算机系统上的设备和仪器,同时还包含了操作系统的人员,标准操作流程(SOP)和系统使用者手册。
系统验证的进行,需要企业内部相关SOP的支持,以确保验证的合法合规性。这些SOP应明确规定如何进行验证,验证的原则是什么,验证的流程是什么等等。
任何计算机化系统都是支持流程的,还应建立相应的计算机化系统的运行相关的SOP文件,确保用户经过培训后按照操作规程正确使用系统。同时,系统的变更管理,配置管理等也需要有相应SOP的规范和约束,以确保系统时刻维持验证状态和合规性。
系统验证SOP框图
对于GAMP5中4类和5类计算机化系统,系统的复杂性和可配置性及客户定制化需求越来越高。CSV验证相关的法规指南也在与时俱进。ISPE(国际制药工程协会)在2020年发布的-《Data Integrity By Design》附录S2 –计算机软件保证的指南内容,提出了软件测试环节的重要性,并强调了软件供应商在软件开发配置阶段测试的关键性。
由此可见,有效落实供应商评审,以及后续指导和规范供应商以法规合规性和行业规范要求执行必要的测试并能提供足够的测试证据来支撑开发的功能符合既定的要求。显得尤为关键和重要!
四、谁来做
目前,制药行业计算机化系统的验证活动大部分通过以下三种方式执行:
1.设备/系统供应商提供配套的验证服务:这种验证方式价格合理,甚至会”半卖半送“,由于验证的执行方为供应商,会有意无意的以验证通过为目的,需要使用方的QA合规部门重点关注验证过程的合规性和执行的规范性。
2.第三方验证服务供应商提供验证服务:验证成本最高,由于验证方是代表使用者执行验证活动,验证合规性和验证的效果最好。
3.甲方自己做验证:验证成本最低,但需要人力资源的投入,且团队对法规知识的了解以及数据完整性理解程度直接影响验证结果的效果。另外,由于验证团队是各职能部门抽调人员临时搭建的,其日常的本职工作也会影响验证活动的按时开展。如果前期职责没定义清晰,也会带来后续验证工作分工不清带来的扯皮和推脱等现象,导致验证无法按时完成甚至失败。
以上三种验证方式各有利弊,需要各自权衡后选择适合自己公司实际情况的验证方式。
总之,不管采用哪种验证方式,或由谁主导验证,我们要始终秉承计算机化系统验证的初衷:
• 使计算机化系统符合适用的GxP法规要求及符合预定用途
• 确保“数据完整性”的法规要求,保护“产品质量”和“患者安全”
在最后,与各位分享计算机化系统验证的几个误区或误解。
Q1:计算机系统供应商提供了IQ/OQ验证文件/证书,是否意味着系统经过了验证,不需要再验证了?
不能,IQ/OQ仅仅是完成计算机系统验证(CSV)的一部分,还需要结合企业内部的需求和环境特性,进行进一步的验证,使之符合公司的规格要求和性能要求。
Q2: 一旦验证完成,上线使用,系统是否就合规了?
前面提到过,CSV验证活动是贯穿于计算机化系统的整个生命周期的。系统运行期间,通过变更控制和配置管理情况下对验证系统进行维护。此外,法规还要求定期对系统进行审查或回顾性验证,并记录结果,以确保系统保持验证状态与合规性。
Q3:验证是质量部的事,与业务部门或系统管理部门无关。
错!计算机化验证活动是各相关职能部门共同参与的一项活动,在验证活动执行期间明确分工,各司其职,分工合作,来确保系统能按照既定的要求交付使用,并在验证和使用期间符合法规要求。