随着信息化进程的不断加快,制药行业的研发、生产及管理也正向自动化信息化方向转型,企业纷纷引入计算机化系统来替代人工操作,以减少人为差错,降本增效。但是在引入计算机化系统的过程中,可能会同时引入与产品质量、患者安全和数据完整性相关的合规风险,因此对计算机化系统进行质量风险管理就显得尤为重要。NMPA GMP(2010版)附录10计算机化系统中就明确提出了计算机化系统质量风险管理的要求。
一、什么是计算机化质量风险管理?
质量风险管理是对风险进行评估、控制、沟通与审查的系统化过程。它是一个重复的流程,贯穿于整个计算机化系统的生命周期。通常计算机化系统的生命周期包括计划阶段、运行阶段和退役阶段的所有活动。
图1:计算机启用风险管理过程
二、计算机化质量风险管理中供应商的重要性?
ISPE GAMP5第二版相较第一版的重大变化是,自动化系统与服务供应商的重要性增加,鼓励受监管公司最大限度地利用供应商,充分利用供应商的知识、经验和文件。
当前越来越多的应用程序是基于云的SaaS服务,如何充分利用云带来的益处是受监管公司需要重点考虑的。GAMP5第二版中重点关注了利用云计算SaaS平台来提供IT基础设施或应用软件服务。相较于本地和私有云部署,由于SaaS部署可以大大简化需求调研、安装、配置等环节,同时供应商会在放行SaaS部署的系统前按照GxP相关要求执行DQ、IQ和OQ,因此引入SaaS部署系统的企业只需基于供应商执行完成的文件补充部分验证活动(PQ),从而能够将验证周期缩短75%!如果供应商在发布产品前,已按照GxP相关法规要求执行了验证(如基于“验证云”部署的产品),那么就可以在保证合规性相关风险可控的前提下大幅加快系统上线进度、降低成本。
此外,GAMP5中对供应商评估与其参与程度的描述和要求,还包括在生命周期阶段,明确了项目阶段涉及的多种活动,包含了供应商的评估且生命周期活动的调整应考虑供应商评估结果(供应商能力);验证过程中,可以根据评估结果使用供应商审查与测试的文件;对项目阶段中的风险管理,应确定供应商审计的需要,并作为供应商评估的一部分;在供应商的良好行为中列出了适用于产品和应用程序开发、支持和服务提供的良好实践活动等等。
三、供应商如何协助受监管公司执行质量风险管理?
下文以计算机化系统生命周期的计划阶段为例,详细说明计算机化系统质量风险管理执行过程中供应商的活动参与。
1、用户需求规范
在计划阶段应协助客户制定用户需求规范,从而定义计算机化系统的用户需求。在这些用户需求中需描述计算机化系统的预定用途和数据完整性相关的需求。供应商所提供的计算机化系统产品需满足可配置程度高,可满足客户绝大多数的实际应用场景,同时产品本身能满足国内外对于数据完整性相关的要求,如系统具备权限管理、审计追踪、电子签名等功能。
2、初步风险评估
在计划阶段应协助客户进行初步风险评估,从而确定系统是否受GxP监管、系统的影响如何以及是否需要进一步的评估。对于不受GxP监管的系统,仅进行GEP调试即可;对于受GxP监管的系统,需进行系统组件评估和供应商评估,以制定进一步的控制措施。
3、系统组件评估
根据系统的构建或配置方式,使用GAMP 5第二版中软硬件类别作为指导来确定所需要的活动。
4、验证计划
基于初步风险评估和系统组件评估的结果,制定验证计划。在验证计划中,详细说明各项目组成员的职责,验证活动的范围和执行策略,以及最终交付文档。
5、功能规范
起草单独的功能规范文件记录计算机化系统的功能,并提交客户审核,以确定系统的相关功能是满足用户需求规范。
6、配置规范
基于用户需求规范配置计算机化系统,包括系统的软件产品配置,及定义所有可设置项和参数。配置完成后会起草单独的配置规范,提交客户审核,以确定系统的配置是满足用户需求规范。
7、关键功能评估
对患者安全、产品质量以及数据完整性产生影响的功能进行识别、评估和确定。根据评估结果确认需要执行功能风险评估的关键功能点。
8、功能风险评估
实施功能风险评估,对其控制的关键功能点进行评估,并制定合适的控制措施。
9、设计审核/确认
协助客户执行系统的设计审核/确认。根据用户需求规范来评估交付的系统,识别问题并建议所需的纠正措施。
10、安装确认
起草安装确认方案,并依据方案执行系统的安装确认,检查系统的软件版本、硬件信息、端口配置等内容,从而证明软件和硬件安装和配置的正确性。
11、运行确认
起草运行确认方案,并依据方案执行系统的运行确认,用来证明功能的正确运行能够支持所有规定运行范围内的具体业务流程。
12、性能确认
协助客户执行性能确认,以确认系统符合预定用途,并允许按照所规定要求进行系统验收。
13、验证计划总结
在计算机化系统发布前,协助客户对以上流程执行结果进行审查和验收,确认相关风险是否降低至可接受程度,以做出将该系统发布至正式环境的决定。
供应商所提供的验证服务,应包含风险控制和审查部分的所有内容,如下图所示。
图2:基于风险的计算机化系统验证V模型
附:相关监管法规与指南
(1)NMPA GMP(2010版) 附录10计算机化系统
第二条 计算机化系统代替人工操作时,应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响,不增加总体风险。
第三条 质量风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当确定验证和数据完整性控制的程度。
第四条 企业应当针对计算机化系统供应商的管理制度操作规程,供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。
企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。
(2)EU GMP Annex 11 (revision 1) Annex 11: Computerised Systems
Risk management should be applied throughout the lifecycle of the computerised system taking into account patient safety, data integrity and product quality. As part of a risk management system, decisions on the extent of validation and data integrity controls should be based on a justified and documented risk assessment of the computerised system.
考虑到患者安全、数据完整性和产品质量,风险管理应在计算机系统的整个生命周期中被应用。作为风险管理系统的一部分,验证范围和数据完整性相关控制措施的决定应基于合理且被记录的风险评估。
(3)GAMP 5 第二版
(4)ICH Q9 IEC 60812