引言: 这是一份项目计划书,主要借鉴了APIC基于风险的数据完整性管理操作实践的思路,其中谈到了基于工艺流或业务流进行分析是一个理想的状态,但这个时代,多少还是要有一些理想的。 日期:2020 年 01 月 09 日 版本:1.0 目 录 1. 目的 2. 工作参考指南 3. 项目实施 1. 目的 对XX公司的计算机化系统(包括已到货和未到货的)前期的验证进行审计,找出数据管理方面(如数据类型、数据备份、存储位置、存储容量、系统权限、审计追踪、时间同步等)的问题,对发现的此类问题进行汇总整理,同时给出整改建议,确保通过合规有效的整改以达到合规目的。 同时,还应对计算机化管理体系文件进行审核,找出差距,提出整改建议。整改建议包括但不限于:仅仅建议文件如何修订、提供 SOP 模板、对修订后 SOP 进行审核等内容,确保修订后的计算机化管理体系能合规高效的指导公司的计算机化系统管理相关的工作。 2. 工作参考指南 实施的工作准则是依据 (但并不限于) 如下的法规原则: · 药品数据管理规范(征求意见稿) · 欧盟委员会第 91/356/EEC 和第 91/412/EEC 号指令: 有关药品生产质量管理规范原则和指导方针 · 欧盟药品控制条例第四卷:药品生产质量管理规范(2011 年) · 欧盟药品控制条例第四卷:药品生产质量管理规范指南附录 1、附录 11、附录 13、附录 15…… · 美国联邦法规第 21 篇,第 11 部分:电子记录和电子签名 · 美国联邦法规第 21 篇,第 201、211 部分:美国药品 cGMP · 药品生产中有关计算机系统检查的 FDA 指南(1983 年 2 月) · 对于制药生产中自动化系统验证的良好自动化生产指南(5.0 版) ·APIC基于风险的数据完整性管理操作实践(2019年3月) · …… 3. 项目实施 阶段 1 :系统清单建立和 GxP评估 项目初始阶段需要形成完整的公司 GxP 清单; 建立 GxP 评估相关的 SOP 和记录表格模板; 对已有清单进行 GxP 影响评估; 形成评估后的 GxP 系统清单。 阶段 2 :系统分类 按下图对阶段 1 形成的 GxP 范畴计算机化系统清单按其生成 GxP 数据的不同方式把系统分为 6 类: 更新 GxP 系统清单,加上一列单独记录以上系统分类结果的列来对清单进行更新。 阶段 3 :系统数据梳理 对标有系统分类结果的 GxP 系统清单中的第 4、5、6 类系统进行数据梳理。 注: 其中 2,3 类系统如有条件可进行时间设定控制和定期时间核对活动并记录此活动,确保时间准确性,但并不需要进行审计追踪管理。 数据梳理的内容可包括,但不限于如下方面: 1)系统访问控制(物理安全和逻辑安全控制策略); 2)用户分组情况(几级、每级用户的权限内容等); 3)审计追踪及其审核(是否有审计追踪、如没有是否有相应的程序控制、审计追踪的具体内容,以及对设计最终审核的频率设定等); 4)时间同步(时间基准、校准方式、频率、时间误差要求等); 5)报警清单(报警清单、报警分类、不同类型报警的处理措施与 GMP 合规要求的一致性); 6)数据类型(文件、何种类型的数据库文件); 7)数据位置(数据储存位置); 8)文件大小(24 小时/7 天数据产生量、数据产生频率、本地缓存大小等); 9)备份/归档/恢复(备份频率、备份方式、备份介质、恢复方式、归档管理流程和硬件设施水平)。 阶段 4 :数据缺陷影响分类 对以上计算机化系统的数据失效缺陷影响制定 GxP 影响分类原则,可按关键缺陷、主要缺陷和其他缺陷来分类,分类原则可参考以下原则(同时程序化不同类型缺陷的标准处理流程): 1)关键数据缺陷:直接影响产品质量和患者安全的 GXP 数据,如批生产和检验记录中的 CPP 和产品判定项目的检验结果; 2)主要数据缺陷:具有 GXP 相关性但不直接直接影响产品质量和患者安全的 GXP 数据,如非 CPP 记录,实验室 GxP 辅助记录等; 3)一般数据缺陷:对产品没有影响;失败证据有限的其它缺陷。 注: 按 APIC 指南的做法是现进行工艺流的梳理,然后勾勒出在工艺流中流动的信息流,再对信息流所归属的系统进行识别,同时对信息的 GxP 影响程度进行分类,然后制定出相应的管理和系统控制策略。 这是理想状态,也是基于工艺,围绕工艺考虑的信息梳理的科学正确做法。但考虑到项目实际情况,有可能在前期并未将工艺需求识别完整,也未对供应商提出相应工艺需求,或者说购买的大部分是标准设备,基于工艺的个性化需求可能也得不到供应商的积极响应。 如果先从工艺关键性出发,项目可能一开始就无法实施下去,故在本方案中先以系统为出发点(先不代入工艺内容),先把系统的情况进行摸底,形成系统调研统计结果表。这已经非常有意义了。 此时,再在程序上制定数据缺陷分类大原则和处理流程策略,那么将来遇到数据缺陷时也可以根据以上原则和流程对具体案例进行具体评判(这时就可以灵活考虑工艺关键性了),也是行之有效的处理方式。 前期自下而上的数据梳理工作完成后,如果条件具备了,可以再用自上而下的方法(从工艺关键性出发),来评估和更加细化每个系统中不同类型数据的管理和控制水平。 阶段 5 :工艺关键性差距分析 建立对系统中不同类型数据及其 GxP 关键程度分类标准和控制控制管理等级矩阵表(可参考 APIC 指南)。 示例如下,长按扫码可查询: 列出相关的工艺流程,对工艺流程中涉及到的各 GxP 范畴计算机化系统的当前管理和验证水平是否满足要求进行差距分析。如满足则通过,并记录相关证据和理由,如不满足则需要说明不满足的具体细节。同时对此发现项的数据完整性应进行风险分级并同时给出初步的整改建议。 阶段 X :计算机化系统管理体系优化和培训 在项目进展过程中同时进行计算机化系统管理体系的优化和数据完整性、计算机化系统、数据治理等相关内容的培训,确保优化后的管理体系达到更好的合规水平。