某知名制药外企计算机化系统验证(CSV)管理程序

计算机化系统验证管理程序Page CS定期回顾汇总回顾类型频率事故日志与用户账户回顾至少每1年一次(若回顾期内发生过重复性（数量≥2）或未解决的事故，回顾频率需增加为每6个月一次，下一周期内无重复性或未解决事故发生时则回顾周期可恢复为每1年一次)（备注：对于新增系统建议起始回顾周期为6个月。）技术性审计追踪回顾每1年一次年度回顾每1年一次再评估每3年一次*1：如果再评估在年度内已完成或将要完成，定期回顾(如果回顾周期为每年的)可不进行。各定期回顾应在±30日历日内完成，默认的完成期限设在当月的月末。如果在±30天内完成，下次回顾的日期应保持不变。如果早于原期限30天完成（例如由事故触发的回顾），则下次回顾日期需相应更新至新的月度。如果晚于原期限30天完成（即，逾期），需要有经批准的说明与风险评估。可以通过偏差或有QA批准的QE中实现。特别的，对于再评估的逾期，必须产生偏差。下次的定期回顾日期可以维持原日期，也可以基于风险评估的结果调整至新的月份。CSV年度行动计划，用于汇总将在该年度执行的各级定期回顾活动。该行动计划由电子合规QA基于上一次回顾以及CS清单中的信息在每年初（即，在01月31日前）制定。批准后的清单应沟通至回顾的负责人（例如通过分配行动，或发送一份已批准清单的复制件）。将创建行动日志用于追溯该年度的行动。对集团计算机系统的定期回顾可以基于相关集团支持中心所提供的系统报告（例如审计追踪报告，用户清单，事故日志等）进行。部分GMP相关的集团计算机系统，对运作执行定期回顾，这些系统在CSV系统目录中有说明。服务水平管理如由第三方提供系统的运行和维护服务，则需要一份服务品质协议。该协议确保了服务（不论是内部还是外部的）进行了规定和管理。文档管理验证文件，包括供应商所提供的硬件设备或软件的说明书是计算机系统的技术文件的一部分，这类文件也按照“GMP文件与记录管理”和“GMP文件与记录的存档管理”进行管理。业务和终端用户文档业务需求所使用的系统维护规程，在系统验证阶段由系统所有者负责编写和后期的维护。终端用户所使用的系统操作规程，在系统验证阶段由系统所有者或业务流程所有者(BPO)负责编写及后期规程的维护。终端用户使用的业务流程规程(非系统层面)，由业务流程所有者（BPO）负责编写及后期规程的维护。文档的管理参见3.3.11小节，这部分文档培训参见3.1.1小节。退役退役目的是对一个计算机系统进行停运。当一个计算机系统退役时，需要确保从这个退役时间点开始不能再向计算机系统增加数据。所有用户权限和界面都被废除，除非系统需要对数据进行只读操作。如果要求只读操作所有用户的权限都要设为只读并且如果技术上可行，界面必须废除输入流。系统的退役需发起变更申请，具体要求如下：应评估关于退役所导致的风险，风险评估文档应至少包含以下项目：风险评估，尤其是与其他系统的关联数据迁移、归档或销毁备用计划更新后的配置清单需要归档或销毁的系统相关文件的清单如果系统的停运是与一个新系统的启用与验证同步进行的，则新系统的验证方案或报告中应有对相应系统停用的引用。交付结果：退役计划：退役计划描述了系统中的数据和元数据将被如何处理以符合法规的要求，且能确保GMP记录与数据的完整性和可用性（以可以理解的形式），并考虑数据格式变化可能带来的风险。其包括例如数据转移，数据存档，系统停运，废止SOP，文件归档例如日志文件和系统说明书。退役报告：退役报告包括：保留期间的定义，退役决定，批准的交付和执行的活动的清单，包括偏差和跟进措施在内的决定和结论。其他信息职责角色职责业务管理团队根据工厂的组织架构，业务管理团队是指各部门的部门/职能负责人。对于特定的计算机化系统，业务管理团队必须来自其用户部门。业务管理团队的责任：确保计算机化系统的开发、实施和运行符合内部和外部要求；确保计算机化系统合规活动成为常规流程，并提供足够的资源(如预算、有资质的人员、计算机系统、设施、培训和工具)来执行这些活动；确保为每个计算机化系统指定必要的角色(如系统所有者、业务流程所有者、系统管理员等)。对于集团系统，本地业务流程负责人是业务流程本地部分的代表，而系统负责人不是强制性的；提供足够的资源(人员和财务)来支持验证工作；建立和支持本地计算机验证委员会；批准验证主计划；批准新系统的验证放行(即“验证报告”或“质量报告”)以供生产使用。业务流程所有者业务流程所有者为其业务的最终负责者；负责确保支持业务的计算机化系统和质量系统，符合公司的各要求并及其预期使用目的。业务流程所有者代表了业务部门，其分配应更多考虑其对流程的知识而非其在组织内的职位。该角色属于业务部门。业务流程所有者也是这些系统中数据和记录的所有者，并负责确保他们按照规定的要求保存。系统所有者系统所有者为该系统的最终负责者；负责确保系统的资源、可用性、支持和维护，并与信息安全的负责人合作，负责该系统所存储数据的安全性。系统所有者负责确保系统的验证，以及维持其处在经验证的状态。定义系统允许的最长停机时间（系统有效性）以及允许最大数据丢失（从上一次备份算起）。审核并批准计算机化验证相关的文件批准计算机系统变更。确保用户已培训。定期回顾系统和服务品质协议（至少一年一次）。除了系统释放到生产用途的文件之外，系统所有人可以对验证文件的审核和批准进行委派系统管理员负责计算机系统的持续运作。管理用户登陆权限和用户授权文件。负责定期回顾并采取必要的纠正预防措施。用户利用授予其的登录权限使用系统。记录事故。项目经理/一线经理项目经理或者一线经理负责执行验证活动。他/她在验证计划中有定义。负责建立和批准计算机化系统验证文件。质量保证业务相关的QA法规符合人员为计算机化系统的验证和确保系统符合法规要求及预期用途提供质量保证方面的支持。QA电子法规符合人员QA电子法规符合人员属于QA但有CSV技能和/或者接受过CSV的专业培训。在CSV项目阶段提供支持，例如确认概念的开发、风险评估、确认测试方案的编写等。在CSV生命周期阶段提供支持，例如定期回顾、变更控制、事故处理等。在质量管理活动方面支持业务相关的QA法规符合人员。这两个角色可以分配给同一人。这两个角色向质量部门汇报。话题专家（SME）SME提供来自其专业领域的意见，以支持CSV活动。例如:在系统设计过程中，可能会就信息安全要求咨询集团信息安全部，或者可能会咨询质量控制技术员，以提供实验室系统相关的URS。计算机验证委员会(CVC)计算机验证委员会(CVC)开发和协调计算机系统验证的本地方法和流程。CVC将包括本地质量保证(质量保证专家担任主席)、信息技术经理、本地技术合规专家或代表信息技术、信息技术基础设施、过程自动化和实验室系统的确认人员，CVC将向当地质量保证管理部门汇报。CVC的责任:及时了解国内外相关CSV话题；协调CSV相关程序和任何其他被认为必要的类似文件的跨部门实施；确保责任方了解近期的执法监管趋势；协调全球法规和要求的本地实施；传播从监管机构或其他特殊利益集团获得的对计算机验证有影响的信息(如GAMP)；作为当地CSV培训的潜在资源；确保审核或批准验证主计划，如有需要，更新验证主计划。验证团队验证团队可以是项目团队的一部分。验证团队的责任：组织、执行和/或监督实际的验证工作，包括准备与相关标准操作程序相对应的测试协议、规范和报告；发起相关GxP文件的审核及批准；系统验证状态再评估；通过审查变更文档来发现验证状态的潜在变更。信息技术（IT）团队信息技术团队为工厂所有部门的技术运营和质量业务提供集团和本地信息技术解决方案。信息技术团队有责任:维护其拥有的基础设施(如服务器、打印机、局域网等)及全厂性的GxP相关的标准计算机化的系统的验证状态以确保这些设施和系统符合GxP的要求；为计算机化系统提供信息技术方面的支持；在其专业领域提供技术支持。文件批准职责下表（4-1）定义了负责计算机系统验证文件批准的最少责任人。表4-1：文件批准责任人L–主要起草人A–批准人系统所有者/程序所有者业务流程所有者主题专家QA电子合规QA法规符合用户需求标准（URS）验证方案/报告(VP/VR)再评估LAAAA功能/设计规范(FS/DS)LA供应商预评估表/调查问卷/审计报告LA功能风险评估(FRA)LAAAA测试方案/结果LAAA追溯矩阵LA服务品质协议AA退役计划/报告LAAA定期回顾（除再评估）LAA备注：表中“L”角色的职责，可以委派给与原“L”在同一部门的有合适培训与知识的人员，在此情况下原“L”则需要作为该文件的批准人之一。对于特定的计算机系统，若有上表没有提及的文件批准或者批准人和上表不同，需要记录在验证方案中并批准。非GMP系统，QA仅批准初始的风险评估。单机版GMP计算机系统的管理单机版GMP计算机系统的验证参考本SOP,如有需要时其管理的基准线可以根据风险评估进行合理调整。需要指出的是以下类型系统或设备不属于单机版计算机系统：连接到集中式服务器的计算机系统(例如Chromeleon、Empower)；具有环形存储器存储的设备(如硬度计、数字口径)；不保留数据的简单设备(例如天平、滴定仪)。缩写及定义缩写缩写描述BPOBusinessProcessOwner业务流程所有者CFRCodeofFederalRegulations联邦法规COTSCommerciallyOverTheShelf市售商业软件CRChangeRequest变更申请CSComputerizedSystem计算机化系统CSIComputerizedSystemInventory计算机化系统清单CSVComputerizedSystemsValidation计算机化系统验证CPLCompliance合规CVCComputerValidationCommittee计算机验证委员会DMSDocumentManagementSystem文件管理系统EMEAEuropeanMedicinesAgency欧洲药品管理局ERESElectronicRecordsandElectronicSignature电子记录与电子签名ERPEnterpriseResourcePlanning企业资源计划ESOPSElectronicSOPSystem电子SOP系统EUEuropeanUnion欧盟FDAFoodandDrugAdministration食品药品监督管理局FRAFunctionalRiskAssessment功能风险评估FRMForm表单GAMPGoodAutomationManagementPractice良好自动化管理规范GCGasChromatography气相色谱GLPGoodLaboratoryPractice良好实验室规范GMPGoodManufacturingPractice药品生产质量管理规范GOPGlobalOperationProcedure全球操作规程GPEGlobalPharmaEngineering全球制药工程GMPGoodManufacturingPractice药品生产质量管理规范HLRAHighLevelRiskAssessment关键性风险评估HPLCHighPressureLiquidChromatography高效液相色谱HSEHealthSafetyandEnvironment健康安全和环境ICEIQPCrystalExcellence(ITCSVmethodology)IT计算机验证的方法IGMInformationGovernanceandManagement信息监管与治理IQInstallationQualification安装确认ITInformationTechnology信息技术LANLocalAreaNetwork局域网LIMSLaboratoryInformationSystem实验室信息系统MESManufacturingExecutionSystem生产实行系统OSOperatingSystem操作系统OQOperationQualification运行确认PASProcessAutomationSystem过程自动化系统PCSProcessControlSystem过程控制系统PLCProgrammablelogicController可编程逻辑控制器PQPerformanceQualification性能确认QAQualityAssurance质量保证QNAQualificationNeedAssessment确认需求评估QPQualificationProtocol确认方案QRQualificationReport确认报告SCADASupervisoryControlAndDataAcquisition监控与数据采集系统SOPStandardOperationProcedure标准操作规程SWSoftware软件TRDTechnicalResearchandDevelopment技术研究与开发URSUserRequirementSpecification用户需求规范VMPValidationMasterPlan验证主计划WANWideAreaNetwork广域网定义项目定义恢复将系统恢复到其原始或早期状态所需的一组进程计算机系统包括硬件、软件和外围设备计算机化系统计算机化系统由硬件、软件和网络组件以及受控功能和相关文档组成。[GAMP5]:缺陷描述在测试软件应用程序或产品时，实际测试结果与预期结果不同的情况。偏差未经计划地偏离批准指令、既定的标准或意外的观察结果。这适用于运营阶段。