《2018企业数字化能力调研报告》及企业自测工具发布
《计算机系统质量控制与验证》课程互动问答
2017-12-08  来源:CIO发展中心

问:系统管理章程由谁哪种角色起草合规?用户?IT?QA?

答:依SOP的内容而定, 如果是有关验证的SOP, 应由IT QA manager起草,而IT 灾难恢复应该由IT 起草。 一个系统的用户手册应由用户部门起草。 

问:关于审计追踪的颗粒度,比如WMS系统中有很多功能,如系统管理模块、出库模块、入库模块,是否系统每个功能均需增加审计追踪

答:审计追踪适用于含有“动态数据或隐含信息”数据的“可配置系统”。 GMP管理类计算机、ERP管理类计算机、仓储物料管理类计算机、应该全部是电子数据保存,纸质打印,并且所有产生的数据记录,不能直接作为原始记录。 这些产生数据的行为应并具有审计追踪功能。并不是所有功能都需要审计追踪, 比如系统的登录与退出。

问:已经实施的erp系统,原来的功能设计文档比较简单,需要去补充完善嘛?

答:依照更新或更改的范围, 如果小的范围或低风险, 用变更管理。 如果范围大和高风险, 系统需要重新验证。

问:ERP里的采购、销售模块需要验证吗?

答:需要做QA 或GMP 评估, 如果和产品质量和病人有直接或者间接的关系, 就需要做验证。 比如采购会和LIMS系统有接口, 涉及原材料的质量和成分, 应该是质量系统, 就需要做验证。 销售这一块如有产品召回,也涉及到质量, 就需要做验证。

问:计算机化系统范围如何界定?是否有软件、固件的系统都是计算机化系统?是否都需要根据计算机化系统验证文件的要求进行?

答:有软件、固件的系统不都是计算机化系统,比如门禁系统应归为设备。关键看的是装在设备里的软件是否有数据处理和储存功能(data processing/storage element)。

问:如果有软件、固件的系统都根据计算机化系统验证文件要求进行,那么设备、设施、仪器验证文件几乎没有适合的范围了。因为目前基础上所有的设备、仪器都带软件控制了。

答:GXP系统/流程分6种:

1. 不包含设备的计算机系统

2. 包含工业设备的计算机系统

3. 包含仪器的计算机系统

4. 没有计算机系统的设备。

5. 没有计算机系统的仪器

6. 操作流程,比如,消毒,清洁..

如果企业从以上4,5,设备或仪器更新升级到2,3。那都需要做验证和新的SOP的制定。

问:对于已经过验证的软件,如果重新安装,那么是否要按照首次验证的内容再验证一次?

答:如果重新安装的是相同的版本,不需要再对系统做完整的验证。 首先保证新的硬件和基础软件的验证,然后对重装的软件进行简单的verification。 开启、关闭、 录入, 一个或几个核心的业务流程, 并检查接口的数据的接受或传出的正确性。

问:系统无审计追踪功能,是否必须升级?

答:如果是质量系统, 而且储存数据是动态的,系统里有隐含的信息, 这样的系统需要审计追踪功能.

问:大型ERP包含多个业务模块,其中有和药品安全及质量直接或间接关系,必须要验证,另外一部分是企业管理或BI业务相关模块,是否必须验证?

答:企业管理或BI业务相关模块没有和质量有关, 就不需要做验证, 当然这些模块上线之前, 也要做测试。不过不需要那些验证文件。

问:纸质培训记录贮藏间的防火措施是否有相应防火等级要求

答:关键记录的存储必须在安全的地方,只允许授权人员访问。关于这一点,21CFR 211.180(d)规定:“......这些记录或副本...... 使用复印或其他复制手段可以用于审计提交,可通过计算机或其他电子手段立即从另一地点调出记录应视为符合本款的要求。”储存地点必须确保有足够的保护,防止丢失,破坏或伪造,以及由于火灾,水灾和其他灾害造成的损坏。对符合法规要求或支持基本业务活动至关重要的记录必纸张复印,缩微胶卷或电子文件上复制,并存放在与原件分开的独立建筑内的独立安全位置。

问:IT基础设施确认中有操作系统的确认,操作系统的确认需要关注哪些方面,还是仅仅记录下来操作系统的版本即可?

答:依照IT基础设施设计文件, 记录版本, 参数(保证在设计文件规范内)。

问:有很多设备上的操作系统是供应商专门的系统,在该操作系统上已经安装了相应的应用程序,这些设备上的硬件和操作系统是否也属于IT基础设施,如果属于,是哪些硬件属于,因为设备上用作供操作系统使用的硬件太多, 一部分是设备,一部分是供数据传递,有的甚至两种功能都包含?

答:还是要看装在设备里的软件是否有数据处理和储存功能。(data processing/storage element)如果有, 装在设备里这样质量软件应归类为质量计算机系统, 并作验证。

问:计算机的质量控制体系文件中,一级文件是单独写一份,还是只要公司的整体质量体系里含有这部分内容就可以了。

答:公司的质量体系一般分四级。 一级是公司的整体质量体系, 二级是计算机的质量控制体系文件, 需要单独写一份。

问:关于单机版的Agilent1260(软件版本为 OpenLAB Chemstation CDS C.01.05)属于三类软件还是四类软件,如何界定可配置软件的定义?

答:可配置软件(3类 简单型):电子天平、PH计等,市售成品,用户买来后只管用。不可配置软件(3类 复杂型):单机版HPLC、GC等,市售成品,用户使用功能都在供应商已设定功能内。

可配置软件(4类 非定制型):CDS网络版等, ERP,LIMS市售成品,部分功能定制,供应商按用户需求配置,配置情况在供应商已设定框架内选择,用户在使用时,在网络框架内调用各仪器,形成一控多。

可配置软件(5类 定制型):自己定制的,供应商按用户要求配置,大多数功能根据客户具体流程配置功能,复杂程度高。

如果Agilent的工作软件,样品检测后可以通过调节积分参数,影响报告结果,比如通过调节最小峰面积,让小于某一定数值的峰无法显现;调节积分基线,让杂质峰变小等。那这个Agilent的工作软件 就是4类

问:流程风险评估和URS明细风险评估都必须做吗?

答:有两层的风险评估。 第一层是系统整体风险, 第二层是流程风险评估或者叫URS明细风险评估, 如果第一层评估为高风险, 就必须做第二层的明细风险评估。

问:对windows自带的审计功能的几点疑问:在日常迎检过程中,尤其是qc数据完整性,经常会看到检查老师查看日志,①是否有对Windows日志的法规要求?②同样的,是否有对Windows注册表的相关要求?③更换计算机的数据迁移过程中,具有审计追踪的系统(如hplc)是不是无需备份Windows日志和注册表等c:\Windows下文件?

答:1) windows日志记录的不仅仅是电脑的开关机,还有其他的一些信息(比于错误,警告信息),我们了解了相关的windows日志,对于电脑故障的排查是很有帮助的。我理解检查老师审查window日志, 帮助他们进一步问企业的问题。

2)如果Window系统上装有质量系统, Windows日志和Windows注册表则按GMP 规定不可以删除和修改。

3)不用

问:由于软件升级要求操作系统由XP换为win7,需要重新验证,那么是对整个系统重新验证么?对所新购买的系统软件,是否需要对微软进行供应商审计?是否需要微软提供资质、3q报告等资料?

答:如果重新安装的是相同的版本,不需要再对系统做完整的验证。 首先的win7安装验证,然后对重装的软件进行简单的verification。 开启, 关闭, 录入, 一个或几个核心的业务流程, 并检查接口的数据的接受或传出的正确性。

问:压片机以前按设备验证的SOP做的,是否需要重新按计算机验证的要求重新验证一遍,另外压片机以前是登记到设备台帐里,是否也同时登记到计算机清单里。

答:如果以前的压片机里带电脑系统,电脑系统如过去随设备一起做过验证,那我们就不需要重新做验证了。

把压片机的3类软件放在计算机清单里,记录下来随设备一起做的验证文档。