作为生命科学行业25年以上的质量顾问和质量体系主题专家,我曾为许多大大小小的制药公司工作,并为许多制药、生物技术和医疗设备行业的客户提供咨询。这些客户在软件验证方面拥有广泛的经验——从那些拥有内部资源的人,他们非常熟悉软件验证的监管要求,到那些需要更多支持和外部专业知识的小公司。不管专业知识如何,验证都有缺陷和挑战,而且是资源密集型的。
FDA联邦法规代码(CFR),特别是21CFR11,不仅提供了验证和测试的指导,而且还提供了其他重要的标准,如记录保护和保留、系统访问限制、操作系统和权限检查、人员资格、系统文档和审计跟踪。这项规定非常宽泛,可以用几种方式来解释。这可能导致执行的验证多于所需的。为此,优良自动化制造规范,简称GAMP®,是一个行业指南,为符合GxP的计算机化系统提供了基于风险的方法。在制药和生物技术等受监管行业,大多数验证人员都遵循GAMP 5。GAMP 5不仅为计算机系统、电子签名和软件开发生命周期提供了丰富的信息资源,而且还为所有验证问题提供了基于风险的方法和指导。
计算机系统的生命周期由生命周期阶段中的不同子项目组成:在Concept中,完成了评估,开发了验证计划,编写了脚本,并形式化了治理过程。一旦发布到Operation,系统将被监视,通过系统退休使用变更控制应用任何变更。
资料来源:GAMP 5-A符合GxP计算机系统的基于风险的方法。
GAMP 5的一个更重要的特点是,它是以前的GAMP版本所独有的,它允许您与供应商“合作”,反过来,利用供应商的参与。这减少了公司的一些验证负担,因为他们现在可以与供应商合作,利用他们的知识、经验和验证文档。
供应商质量操作
依赖供应商的经验可以减少客户“重新测试”软件核心功能的需要。然而,审计供应商的过程和软件开发生命周期是标准的,以确保它符合您公司的质量标准。你需要根据你的期望和任何正式的审核程序来评估他们的质量管理过程。
根据供应商的风险,例如,他们的质量实践有多好,如果他们的实践是可靠的,可以每2到3年进行1天的审计。如果供应商的流程不够健壮,或者有自己的系统,那么可以每年进行一次审计,以确保他们与质量实践保持一致。超过这个时间轴的合格供应商,例如每5年,应该只考虑在受监管的行业空间标准使用的供应商。在这种情况下,供应商审核应该在你们的验证计划中引用,以证明为什么没有执行完整的iqq。同样重要的是,在进行审计时,供应商能够提供帮助,以便在出现与文档相关的任何问题时提供帮助。注意,供应商应该在系统的整个生命周期中都得到认证。
供应商应该遵守高质量的标准,在审核供应商时,有许多事情你应该评估:他们使用什么类型的方法?是否使用标准编码术语和人员资格证书?他们如何管理文件和程序?他们使用什么方法进行审查和批准?
制定审核计划和活动范围,概述将要评审的文件和将要评估的活动。供应商应该能够在软件开发生命周期(SDLC)方法、项目计划、设计和编程标准、配置管理、测试标准和过程等方面交付非常健壮和严格的文档控制。一个典型的审计评估他们的质量体系,包括培训计划、客户支持、数据中心和计算环境。
挑战#1:内部验证与基于saas的验证
由于软件安装在内部服务器上,内部验证需要对基础设施和服务器进行全面的功能测试,即安装确认、运行确认和性能确认(IQ、OQ和PQ)。
正在进行安装和系统测试的供应商将有他们自己的标准操作程序(sop),并已经完成了完整的功能OQ。一旦您对它们进行了审计,并且确信它们在软件开发生命周期和功能规范上实现了健壮的过程,那么您需要执行的验证数量就会少得多。这节省了资源和成本。
有时候,谁负责“软件即服务”(SaaS)验证并不清楚。对计算机系统来说,所有的验证都是客户的责任,而不是供应商的责任。即使客户端依赖于供应商的验证文档,客户端也要负责维护系统处于验证状态。任何系统结构的变更都需要经过影响评估和变更控制。至少,需要为系统管理SOP编写标准操作规程,以说明哪些需要变更控制,哪些不需要变更控制。确保一个健全的合格体系将减少对日常业务运作的干扰。
挑战#2:验证会给内部资源带来负担
行业中另一个常见的挑战是,验证可能会对内部资源造成很大的负担。为了克服这个挑战,确保验证是组织内的共享责任,而不是IT的唯一责任,而验证是耗时的。验证应该与供应商(驱动系统质量)、QA(审查和批准文档)、IT(文档审查、批准和PC用户设置)、业务所有者(文档作者)和系统管理员建立伙伴关系。总的来说,团队对预期的业务用途有一个清晰的理解。简而言之,通过以下方式将负担降到最低:(1)利用供应商的专业知识,(2)购买验证包,或(3)引入有行业经验的验证顾问。
挑战#3:验证需要很长时间
当实现需要安装和确认数据中心、备份和恢复过程、服务器和应用程序安装的本地系统时,这可能特别令人生畏。采用基于风险的方法进行验证将有助于减少测试的数量和所需的资源。检查高风险系统组件的安全性,如对患者数据的风险。用于分析患者数据和在提交给监管机构的档案中使用的软件,无论国家如何,都需要强有力的检测,以确保始终获得准确的输入、输出和报告。
挑战4:验证是昂贵的
验证可能是昂贵的。但在系统实施过程中,合同供应商和/或咨询顾问应提供一次性帮助;维护经过验证的状态可以使用内部资源。为了最小化验证费用,确保系统治理程序已经正确建立。虽然耗时,但从长远来看,与供应商和/或顾问合作是控制验证成本的最佳方法。GAMP 5解释了如何使用基于风险的方法来确保您在必要的程度上对所有内容进行了限定,以及如何避免进行过度的验证。受监管的公司应通过执行验收测试来验证用户需求,并可根据风险、复杂性和新颖性确定其他所需测试。
那么,多少验证才足够呢?在法规要求的基础上保持最新的行业标准始终是良好的做法。大多数公司采取适度的方法进行验证,并做足够的工作来满足内部质量需求,例如,测试系统的高风险特性、预期的业务使用、工作流、电子签名和遵从性需求,如果供应商有健壮的质量系统,则消除完整的OQ功能测试。
系统治理和发布的最佳实践指南
公司的一个误解是,一旦验证完成,他们就认为已经完成了。然而,验证是一个持续的过程,它需要系统治理,也就是说,向前推进,以确定如何规范系统。需要为变更控制、系统管理和维护制定适当的程序,并对管理系统发布进行监视,以确保验证得到维护。此外,与供应商相关的项目,例如,新功能发布的频率,会影响您的业务,在编写系统治理时应该考虑到。系统发行版的最佳实践是在购买系统之前了解供应商的发行版实践——最低限度30到60天的通知是即将发行版的标准。供应商的“如何”产品发布指南应该由用户、QA和IT进行审查,然后评估对业务的影响:发布是否需要培训,它是否改变了用户界面,等等。
监管机构专注于数据完整性和保护
最后,了解FDA和欧盟对数据完整性和保护的要求。FDA关注的是数据完整性和共享登录账户的问题。内部用户应接受当前和未来质量要求的培训,特别是与数据完整性相关的质量要求,以确保他们遵循FDA (21CFR11)要求的文件控制标准操作,以满足cgmp要求。欧盟引入了《通用数据保护条例》(GDPR),概述了确保数据保护所需的步骤;如果系统处于SaaS中,供应商需要保护系统中的数据。
验证菲尼克斯软件:菲尼克斯技术服务和验证套件菲尼克斯WinNonlin
凤凰科技服务提供验证服务为凤凰WinNonlin®以及Phoenix知识库系统(PKS),利用Certara内部的IQ和OQ文档验证专家。我们可以消除客户内部项目团队的负担,以满足计算机系统验证的法规遵从要求。凤凰WinNonlin验证套件,集成到Phoenix 8.1中,在30分钟内提供软件验证,包含结果链接的锁定PDF报告。更新的验证模板文件与最新的法规指导计算机系统验证(如ICH E6良好临床实践(GCP) R2)一致,并可随时修改以适应个人用户/组织的政策和程序。
参考文献
欧洲委员会。(2018年1月9日)。欧盟内外个人资料保护规则。从检索https://ec.europa.eu/info/law/law-topic/data-protection_en
国际制药工程学会。(2008年2月)。GAMP 5指南:符合GxP计算机化系统的基于风险的方法。从检索https://ispe.org/publications/guidance-documents/gamp-5
国际制药工程学会。(2018年6月13日)。GAMP 5:过去、现在和未来。(博客)。从检索https://ispe.org/ispeak/gamp-past-present-future
QACV咨询。(2017).的网站。从检索http://www.qacvconsulting.com/
美国卫生和公众服务部,食品和药物管理局。(2003年8月)。行业指南第11部分,电子记录;电子签名的范围和应用。从检索https://www.fda.gov/downloads/RegulatoryInformation/Guidances/ucm125125.pdf
想了解更多关于如何使验证更简单的信息吗?一定要参加最近的网络研讨会。
