计算机化系统CSV验证问答.docVIP

计算机化系统CSV验证问答 Q1：什么是计算机化系统？ 由计算机系统控制部分和受控的功能和模块构成，计算机控制部分包括控制软件和硬件(如电脑、固件等) ，受控部分包括仪器设备和人员、SOP 程序、组织、培训等。在制药工厂中，计算机化系统主要有实验室仪器设备、应用程序、IT基础设施和生产单元等。 Q2: 全球哪些监管法规重点要求了计算机化系统验证？ 美国、欧盟、中国都有相关的法规 美国 FDA 21 CFR Part 11：电子记录/签名 欧盟 Annex 11：计算机化系统 欧盟 EMA：发布计算机化系统验证-核心文件，Annex2：复杂计算机化系统验证2018年4月发布， 2018年8月1日强制实施 中国 CFDA：2010版GMP附录-计算机化系统 确认与验证；2015年12月 中国CFDA ：药物非临床研究质量管理规范 新版GLP，第十六条 强调计算机化系统验证 2017年9月1日生效 ISPE GAMP5（指南基于风险的验证策略/V 模型文档 PIC/s PI-011（指南）在法规监管GxP环境下计算机化系统验证良好规范 《药品数据管理规范》（征求意见稿， 2018 年 1 月）是数据可靠性的法规文件，明确地规定了对计算机系统需要有验证，且对验证要求都做出了明确的规定 Q3：一个完整的 CSV 验证需要考虑哪些？—— CSV 实施框架 V Model GAMP5 V 模型的核心是风险分析与控制， V 模型左边主要是需求规格，V 模型底部是系统的安装/调试/配置，V 模型右边主要是确认与测试，以证明需求是否得到满足。 具体而言，V 模型左边包括验证计划 VP、系统影响性评估 SIA 或法规风险分析、URS 用户需求说明、FRS 功能规格说明、以及根据这些功能需求所做出详细风险分析，即功能风险分析 FRA、DS/CS设计/配置规格。 另外，还包括系统供应商评估，这个也是验证前期需要做的重要环节。 系统经过安装/调试/配置后，然后进行 IQ/OQ 确认测试，需要准备相关 SOPs 和进行员工培训，再进行 PQ 确认测试，RTM 需求追踪矩阵，验证总结报告 VSR。 Q4：CSV 验证主要交付文档有哪些？ 包括：验证计划（VP）、风险评估（RA）、用户需求规范（URS）、功能需求规范（FRS）、设计/配置规范（DS/CS）；安装确认（IQ）、运行确认（OQ）、性能验证（PQ）、需求追踪矩阵(RTM）、验证报告（VSR）。 从合规方面主要考虑的关键点：电子记录安全性、审计追踪、数据备份与恢复、灾难恢复、登陆/密码安全性、电子签名、数据完整性 Data Integrity 等。 Q5：GAMP 5 软件系统包含哪几类？ 其实有 5 类，但是主要是 3 个大类： 第一类: ?操作系统，如 Windows 等，验证策略是不推荐做十分详细的验证，记录版本。 第二类：可配置软件包，如 OpenLAB ECM, LIMS, CSD 软件，需要做确认针对于用户需求的操作和供应商评估确认。 第三类：完全定制化软件，需要审计供应商和验证整个系统，通常制药实验室不常见。 Q6：IT基础设施在 CSV 验证中地位与作用 应用程序例如软件系统等，是搭建在IT基础网络设施，应以合适的方式进行适当的确认和记录应存档 Q7：验证计划（ VP ）主要包括哪些内容？ 包括的内容如下： 系统概述与验证目标系统与项目的范围验证项目的人员角色与职责定义/缩写/参考资料验证原理/依据 和策略法规风险分析结果交付项目进度供应商管理可接受标准 与系统释放培训要求文档管理 Q8：如何进行供应商评估确认？ GMP 相关性和对系统供应商进行合适的潜在风险的确认和评估是必要的，一般进行问卷调查，如果做得严格些，可以进行供应商现场审计。 Q9：国内外的法规风险评估（ RA ）有什么区别？ 从法规上来分析系统风险级别高低，国内通常选择系统影响性评估（ SIA ），是一种简化的法规风险评估（ RA ）。相比于国外法规RA分析，国内的风险评估是相对简化的。 Q10：URS （用户需求说明）和 FRS （功能需求说明）是写在一起还是分开写？ URS 定义系统必须满足什么样的商业化需求和合规上需求，FRS 主要是说明系统如何在技术上符合 URS，主要是针对自定义的软件，在大多数时候，URS/FRS 两个需求是可以写在一起的 UFRS。 Q11：如何做详细风险分析 FMEA（失效模式与影响分析）让合规风险降至最小化？ 使用合理的风险分析定制验证/确认活动的内容或规则，测试范围和深度可以在风险中定义，做 CSV 验证的目的就是让系统风险控制在可接受的范围而不是让风险为零。 Q12：DS 设计规格 / CS 设计规格有什么区别？如何做？ CS 通常用于商业化软件，DS 用于定制