计算机科学专业 基于GAMP 5的计算机化系统生命周期管理实践

基于GAMP5的计算机化系统生命周期管理实践摘要装订装订线本文结合国内外制药行业计算机化系统相关规范和指南，从计算机化系统全生命周期管理的角度详细探讨了在计算机系统各生命周期的管理办法及控制措施，为制药企业真正实现计算机化系统管理和数据可靠性的落实提供参考。本文将从计算机化系统的概念的提出、项目实施、系统运行和系统退役生命周期四个阶段来具体阐述如何对计算机化系统进行全生命周期管理，并保证数据的完整性于真实性。关键词：计算机化系统生命周期管理数据完整性电子签名

目录TOC\o"1-2"\h\z\u一、 计算机化系统的相关定义 11. 计算机化系统 12. 计算机软件、硬件 13. 基础架构 14. 集成式控制系统 25. 独立系统 26. 电子数据与电子签名 27. 数据审计追踪 2二、 计算机化系统质量风险管理 2三、 计算机化系统的分类及其验证方法 3四、 计算机化系统生命周期管理 44.1 供应商的管理 44.2 计算机化系统移交管理 54.3 计算机化系统安全管理 64.4 系统备份和恢复的管理 74.5 计算机化系统定期审查管理 84.6 计算机化系统退役管理 8六、 旧系统计算机化系统的管控 82/2装装订线引言国家食品药品监督管理总局于2015年5月26日发布了《药品生产质量管理规范（2010年修订）》附录《计算机化系统》，并于2015年12月1日正式开始执行，附录的实施进一步的规范了制药行业计算机化管理及数据的管控，使用自控系统生产的药品具有更好的一致性和可靠性，使药品质量更加稳定和可靠。附录虽然对药品生产质量管理中的计算机化系统有了基本的要求，但并未对各阶段如何进行具体实施进行描述，尤其是大多数企业存在大量老旧设备如何实现计算机化系统管理、对具有计算机化系统功能设备的供应商如何管理等问题没有明确的指导，使得大部分企业比较迷茫。本文结合国际制药工程协会（ISPE）的GAMP5、美国联邦法规全书（CFR）-第21篇-食品药品等指南和规范，结合国内制药行业的基本现状，详细阐述了全生命周期的计算机化系统管理方法，能够指导药企在能够满足GMP的《计算机化系统》附录的同时，也能够与国际先进理念接轨。计算机化系统的相关定义计算机化系统由计算机系统和被其控制的功能或程序组成。计算机系统由所有的计算机硬件、固件、安装的设备驱动和控制计算机运行的软件组成，被控制的功能可以包括被控制设备、实现设备功能的操作程序。计算机软件、硬件计算机软件简称软件，是指挥计算机执行特定操作的指令集合。由与计算机系统运行相联系的整套程序、程序库以及在线文档、数字媒体等不可执行数据组成；计算机硬件指计算机系统中由电子、机械和光电元件等组成的各种有形物理装置的总称。基础架构为应用程序提供平台使其实现功能的一系列硬件和基础软件，如网络软件和操作系统。集成式控制系统指可编程逻辑控制器（PLC）、个人电脑、单片机，或其它专有控制系统等控制单台设备或单个系统，与设备集成在一起的计算机系统，包括生产设备、公用工程设备、QC设备自带的计算机化系统和QC仪器工作站等。独立系统指分散式控制系统（DCS）、楼宇管理系统（BMS）、数据采集与监控系统（SCADA）等连接或控制多台设备或多个系统的计算机系统。这类控制系统独立于仪器、设备、系统之外，用于系统控制、信号传输与控制、数据采集与存储等目的。电子数据与电子签名电子数据也称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息；电子签名是指电子数据中以电子形式所含、所附，用于识别签名人身份并表明签名人认可其中内容的数据。数据审计追踪是一系列有关计算机操作系统、应用程序及用户操作等事件的记录，用以帮助从原始数据追踪到有关的记录、报告或事件，或从记录、报告、事件追溯到原始数据。在进行计算机化系统管理之前，将相关定义首先搞清楚是非常必要的，否则会造成概念上的不清与混淆，造成管理的混乱与资源的浪费，如有些药企将移动硬盘等存储设备、封口机等纯机械设备全部定义为计算机化系统，这就造成了对此类设备进行了不必要的管控及资源投入的浪费。计算机化系统质量风险管理计算机化系统质量风险管理是一个贯穿产品生命周期的对其质量风险进行评估、控制、沟通和审核的系统化过程。基于风险的决策方法应贯穿于计算机系统整个生命周期。无论是否需要正式的风险评估，都要把基于风险的决策以文件形式存档。计算机化系统的分类及其验证方法计算机化系统的软件按照ISPEGAMP分类标准分为1类、3类、4类和5类四个等级。1类为基础设施软件，主要有作为搭建应用程序基础的分层式软件和用于管理操作环境的软件，例如Windows操作系统、数据库引擎、电子制表软件等，1类软件验证方式主要是记录软件版本号，按照所批准的安装程序确认安装方式的准确性。3类为不可配置软件，可以输入并储存运行参数，但是并不能对软件进行配置以适应业务流程，例如内嵌式的集成控制系统、QC设备自带的计算机化系统和QC仪器工作站等，典型的验证方式为简化的生命周期法、用户需求说明确认、基于风险的供应商评估方法、记录版本号并验证正确的安装方式、在根据使用要求的基础上进行风险测试（对于简单的系统，常规校准可能可以代替测试）、有用于维持系统符合性的规程。4类为可配置软件，该软件通常非常复杂，可以由用户进行配置以满足其业务流程的特殊需求，该软件编码不能更改，例如实验室信息管理系统（LIMS）、数据获取系统、管理控制与数据获取系统（SCADA）、企业资源规划系统（ERP）等，其验证方式为生命周期法、基于风险的供应商评估方法、证证明供应商有合适的质量控制体系（QMS）、某些生命周期文档可能只由供应商保留（如设计规范）、记录版本号并验证正确的安装方式、在测试环境中根据风险进行测试、在业务流程中根据风险进行测试、具有维持符合性的规程。5类为定制软件，是以定制设计和编制源代码以使其适应用户业务流程的软件，如内部和外部开发的IT应用程序、内部和外部开发的流程控制应用软件等，其验证方法除需满足4类验证需求外，还应包括更严格的供应商评估，包括供应商审计，贯穿整个生命周期的文档资料功能规范、设计规范、结构测试等，设计与源代码审核。计算机化系统的硬件按照定制与否分为标准硬件组件和定制硬件组件2类。其中标准硬件组件是按型号、用途、规格等要求能够直接供应商处采购得到的硬件设备，如标准元器件、标准模块等，其验证方法是以文件记录的形式记录并存档标准硬件组件的制造商/供应商的详细信息、序列号和版本号，确认正确的安装，适用配制管理和变更控制。定制硬件组件是根据用户需求进行自定制的硬件设备，其验证方式是以文件记录并存档定制硬件组件的供应商/供应商信息。计算机化系统生命周期管理计算机化系统代替人工操作时，应当确保不对产品的质量，过程控制和其质量保证水平造成负面影响，不增加总体风险，应当考虑来自患者安全、数据完整性和产品质量等方面的风险，作为质量风险管理的一部分，集成的计算机化系统依照设备管理规定实施风险评估，独立的计算机化系统依照单独系统实施风险评估，根据书面的评估结果确定验证和数据完整性控制的程度，风险管理过程中始终关注关键质量属性（CQA）和关键工艺参数（CPP）。计算机控制系统作为设备的一部分，针对其实施的管理活动也应遵守设备管理文件中的相关要求，包括针对设备生命周期中的设备选型、采购、进厂验收和发放、安装调试、验证、使用、变更及报废管理等各个环节的管理要求。计算机化系统的生命周期分为4个阶段：概念提出、项目实施、系统运行和系统的退役。在概念的提出阶段，系统的使用部门和公司管理层根据业务需求和收益来考虑是否需要实现流程的自动化，决定进入项目实施阶段之前，由需求小组负责编制用户需求说明，并经使用部门高层负责人和质量部审核通过。集成式控制系统与设备成为一个整体，不能相互独立存在，其用户需求条款包括在整台设备的需求说明中，独立系统需要单独起草用户需求说明。用户需求可包括操作要求、功能要求、数据要求、界面要求、权限管理要求、审计追踪需求、电子记录和电子签名的要求、技术服务要求、环境要求、安全防护要求、维护需求等内容，需求内容应清晰、具体、可测试、可实现。在项目实施阶段，涉及到供应商的管理、验证的管理以及计算机系统实施结束后移交给使用部门的计算机系统移交管理，在项目运行阶段，要考虑到安全的管理、电子记录和电子签名的管理、系统备份和恢复的管理和定期审查的管理，在项目退役阶段需考虑计算机化系统退役的管理风险，在计算机化系统生命周期内所有突发事件和纠正预防措施也需要进行管理，下面将几大方面对计算机化系统生命周期内的管理措施及要求进行详细阐述。供应商的管理对现有或新业务流程的计算机化系统进行可行性研究时，除了其他业务需求、利益和风险之外，必须考虑质量和法规要求。对于计算机化系统的选择及其供应商的选择，项目组要参与评估。对于定制的系统，软件开发工作必须评估供应商的能力及该计算机化系统适用用户要求的能力。为了管控风险，并最大程度地利用供应商活动，供应商评估必须在选择过程中完成，而不是选定供应商之后。计算机化系统的供应商应具备国家法规、国家有关部门、相应行业或运营中心要求必须取得的质量、安全、环保评审以及其他生产、供应经营许可或资质；供应商具有行业内良好的商业信誉，近三年经营活动中无违法记录和重大法律纠纷；供应商具备完善的质量保证体系，近三年在国家、行业以及地方政府质量监督检查中无不合格情况。具有履行合同的能力、良好的财务状况、良好的经营业绩和售后服务能力。依据ISPEGAMP5软件分类标准，相应的计算机化系统供应商分为3类，1类供应商对应软件类别为1、3类的计算机化系统供应商。相应的供应商评估流程包括：确定计算机化系统→基础评估→最终评价与批准；2类供应商：对应软件类别为4类的计算机化系统供应商。相应的供应商评估流程包括：确定计算机化系统→基础评估→问卷调查→最终评价；3类供应商：对应软件类别为5的计算机化系统供应商。相应的供应商评估流程包括：确定计算机化系统→基础评估→问卷调查→现场审计→最终评价。供应商评估的类型包括基础评估、问卷调查和现场审计，基础评估指的是采购人员通过供应商提供的宣传材料或其他渠道进行供应商相关信息资料的收集，了解每一个供应商的基本情况。问卷调查适用于2、3类供应商，是指将计算机化系统供应商调查问卷以邮政快递或电子邮件的方式提供给供应商，由供应商自行填写并提供，供应商应保证提供的信息完整、真实、有效，当调查问卷返回至公司后，由质量保证部负责审核提供的信息，并决定此供应商在提供的信息下能否被接受（2类供应商）或是需要进一步的现场审计（3类供应商）。对于3类供应商，应由IT、质量部、使用部门及其他相关组成审计小组，通过面谈、查阅文件和现场查看的方式收集证据，以比较实际操作与规定要求是否相符，最后形成审计报告。计算机化系统移交管理计算机系统移交之前，由项目组负责收集整理系统交付资料，包括如竣工版图纸、部件清单等工程报告，验证计划、验收测试、安装运行确认等验证文件以及系统操作手册等随机资料，在对验证文件以及验证过程中的偏差/变更进行审核、批准、归档后，使用部门依据移交清单对计算机化系统进行接收。在移交的过程中，需注意移交应符合数据可靠性的要求，对于移交时未完成的偏差/变更，由项目组负责继续解决直至关闭。计算机化系统安全管理主要从系统物理和环境安全、软件安全和电子记录和电子签名安全三个方面进行考虑。物理和环境安全方面，应确保服务器和其他设备在供电故障后依然可以持续运行，如使用在线UPS，对计算机化系统基础架构的组件或设备（如服务器、交换机、路由器等）的安装区域采取控制措施控制人员进出。对于需要访问外部链接的系统需要得到相关负责人的批准。移动存储设备不能用于存储系统GMP相关的原始数据，只能用于备份和存档，应指定专人对移动存储设备进行管理，未经授权的移动存储设备不能直接连接系统，如果系统需要直接连接移动存储设备，必须在相关的标准操作程序中明确使用流程。存储设备报废时，需由变更申请，存储设备报废时要确保保密数据不被泄露，如对其进行安全格式化，当如软盘，CD，DVD等存储媒介报废时，相应的所有者应该将其粉碎，以确保保密数据不被泄露。系统软件安全管理，权限账户管理的目的是为了确保授权操作系统的人被分配了适当的权限，这样既能保护公司内的商业机密，也避免了操作不合规的行为。系统管理员权限只限于授权给不操作业务数据的人员，系统权限/帐户管理必须涵盖所有访问系统的人员，为系统指定一个账户管理员负责系统账户管理，账户管理涵盖账户生命周期的所有阶段，即从最初注册直至最终注销，依据系统各账户具体的需求，明确各账户权限的内容，确保系统操作等级的账户不能具有管理和配置系统的权利，明确创建和删除系统账户的操作流程，由账户管理员按照既定的操作流程执行授权和撤销，确保用户经过培训后才能申请账户。依据供应商定期的针对安全上弱点的更新（如年度病毒报告、月度漏洞报告等），IT部门从技术层面评估是否需要安装安全补丁，系统安全补丁安装后，应重新对系统进行确认。应根据业务风险因素，对于提供敏感服务信息的系统主机应该采用网络手段进行隔离，对于LAN设备（路由器，交换机）的访问要有访问控制（如：使用密码），远程访问系统时的授权码，拨号程序和登录脚本应该受保护，避免信息泄露。无需使用的功能应该被禁用。对于产生GMP相关电子记录的系统，若电子记录中包含日期或时间，则系统时钟必须受到保护，应对修改系统日期及时间的权限进行控制，防止未经授权的修改，通过监控确保其准确性。系统应安装杀毒软件，保护信息和软件不被恶意代码损坏。电子记录和电子签名管理，系统产生的电子记录必须可以追溯到人，且不允许使用公共账号，若系统无法提供唯一的用户账户，则必须采取一种替代的方法（如：操作日志加手写签名），并在系统标准操作规程中进行说明，为了支持检查，如果在技术上可行的话，电子记录的格式必须至少满足：产生的记录副本可以用于普通打印机、使用系统已有的方式自动转换或导出成常见格式的副本（如PDF、XML）、为了支持现场的检查、复核，将采用清晰、易懂、可读的形式建立并处理记录、电子记录最终的存储格式在其保存周期内自始至终都应该是可读的。使用部门要确保计算机化系统生成的电子记录真实、准确、完整。例如系统自动采集到的数据，应确认它在生成、传输、存储环节中不失真；对于关键数据的手工录入（如投料量），应该由另外一个操作者或使用经过验证的电子的方式来进行检查。在以下两种情况下，系统必须具有审计追踪功能，生产地和出口国家相关的法规要求系统必须具有审计追踪功能，系统具有可以创建、修改或删除GxP或法规相关的操作、运行记录的功能，审计追踪应系统自动生成，审计追踪不能被关闭。电子记录的备份和恢复，与GMP相关的电子记录应进行异地备份，可以采用磁带、缩微胶卷、纸质副本或其他方法进行异地备份，备份文件存储部门应确保备份记录安全，且数据资料在保存期内便于查阅，验证过程中应对电子记录备份及恢复方法进行确认，确保备份数据的完整性、准确性和恢复数据的能力，在遭遇断电或其他突发事故后，记录的内容能够立即恢复并且不失真。电子签名，若系统具有电子签名功能，且根据业务需求，需开通该功能，则由申请人向系统管理员提出功能开通申请，系统管理员接受到申请后，以管理员权限登录系统，对权限配置列表中的电子签名（如电子形式的提交、审核以及批准）功能进行配置，系统管理员需对电子签名功能进行流程确认，并对系统使用者进行培训。电子签名应能够清晰显示以下信息：签名生效日期和时间，和签名相关的含意（例如审核、批准、职责、或原创作者），电子签名必须可以链接到相关的电子记录，并且可以保证电子签名不能够被删去、拷贝或者转移到其他地方，以至于系统操作人员可以轻易的伪造一个电子记录，每一电子签名应是唯一对应单独一个人，并且不能被再使用、或再分配给其他任何人，任何电子签名均不能被复制、更改或者转移到另一个记录中，如果在已签过名的电子记录上做了新的更改，相应的更改必须能被所有用户或者查阅者看到，必要时要重新签名，对于非生物识别的电子签名，系统必须在用户停止使用一段时间（不超过3分钟）后将其锁定，可以通过自动登出功能、密码保护的屏幕保护程序或其他适当的技术进行控制。如果密码是电子签名的一个组成部分，用于签名的密码必须定期进行改变，密码的组成应是数字与英文字母（区分大小写）的组合，密码应具有一定长度，应不少于6位，且密码应定期进行更换。系统备份和恢复的管理应对由计算机化系统本身产生的所有与患者安全、产品质量和数据完整性相关的系统记录、数据进行备份，另外，还应该包括系统要求的所有软件组件（如，操作系统、分层式软件和工具、基础产品、定制代码、配置与数据），以确保整个系统都能够恢复。备份所用的媒介（如U盘、移动硬盘）应当进行编号且应由专人管理，存放于安全的位置，存放位置应有出入控制措施。系统原始记录、数据的备份周期依据系统影响性的程度（产品质量、患者安全和数据完整性）划分，系统影响性高的系统，依据数据备份操作的难易程度进行每日、每周或每月备份；系统影响性中的系统，依据数据备份操作的难易程度进行月度或季度备份；系统影响性低的系统，进行年度备份。系统恢复由系统相关技术部门（如工程设备部、IT）负责实施，在系统恢复时应将系统备份数据尽可能的恢复到不同的目录，以避免覆盖系统现有数据。计算机化系统定期审查管理计算机化系统应定期进行审查，审查周期据重要程度和风险评估而定，但最长建议不超过一年，在因系统原因发生重大的质量事故、出现严重的质量投诉、受到国家食品药品监督管理部门的警告等、重大法规环境变化、因系统原因发生了数据可靠性的重大偏差等情况，也要启动审查。应从偏差、变更、验证、账户权限管理、审计追踪、系统日志、数据备份等方面进行审查。计算机化系统退役管理当一个计算机化系统的现行功能不再适用，或使用一个新系统替代现有系统时，该系统就从实际使用中退役。对即将退役的计算机化系统重新进行风险评估及验证，确保系统在退役前一验证周期内持续地维持在一个受控的状态，退役系统的验证应重点关注影响产品关键质量属性的功能或影响关键工艺参数的功能。系统的数据和记录应当进行存档，如果原系统被另一个系统所取代，旧系统数据和记录应尽可能的装载在替代系统中，并在替代系统验证时确认数据是否成功转移。系统记录、数据转移完毕后，终止计算机系统的维护于支持，如切断通道，修改/终止所有的内部/外部计算机化系统支持合同，从功能使用的角度评估原有系统的设备备件，并对其进行处理。应及时更新计算机化系统清单、系统相关标准操作规程等文件。旧系统计算机化系统的管控对于大部分国内制药企业，存在厂房生产年限已久，工艺设备、