Надлежащая производственная практика — Приложение 11: компьютеризированные системы

Good Manufacturing Practice — Annex 11: Computerised Systems

Основные принципы

Настоящее приложение применяется ко всем формам компьютеризированных систем, используемых в рамках регулируемой GMP деятельности. Компьютеризированная система представляет собой набор программных и аппаратных компонентов, которые вместе выполняют определенные функции.

Приложение должно пройти валидацию; ИТ-инфраструктура должна пройти квалификацию.

Там, где компьютеризированная система заменяет ручными операциями, не должно быть никакого результирующего снижения качества продукции, управления технологическими процессами или контроля качества. Также не должно быть увеличения общего риска процесса.

Общие указания

1. Управление рисками

Управление рисками должно применяться в течение всего жизненного цикла автоматизированной системы с учетом безопасности пациентов, целостности данных и качества продукта. В рамках системы управления рисками, решения по расширению валидации и контролю целостности данных должны быть основаны на обоснованной и задокументированной оценке риска компьютеризированной системы.

2. Персонал

Должно быть тесное сотрудничество между всем соответствующим персоналом: лицом ответственным за процесс, лицом ответственным за систему, квалифицированным персоналом и ИТ-персоналом. Весь персонал должен иметь соответствующую квалификацию, уровень доступа и определенные обязательства для выполнения возложенных на них обязанностей.

3. Поставщики и провайдеры услуг

3.1 Когда используются третьи стороны (например, поставщики, провайдеры услуг), например, для проведения установки, настройки, интеграции, валидации, поддержки (например, через удаленный доступ), изменения или сохранения компьютеризированной системы или связанные с ними услуги, или для обработки данных, должно существовать официальное соглашение между производителем и любыми третьими сторонами, а также эти соглашения должны включать четкое изложение обязанностей третьих сторон. IT-департаменты должны рассматриваться аналогично.

3.2 Компетентность и надежность поставщика являются ключевыми факторами при выборе продукта или провайдера услуг. Необходимость аудита должна быть основана на оценке риска.

3.3 Документация, прилагаемая к коммерчески готовому продукту должна быть рассмотрена ответственными пользователями для проверки того, выполняются ли требования пользователей.

3.4 Система контроля качества и информация по аудиту соответствующих поставщиков и разработчиков программного обеспечения и внедряемых систем должны быть предоставлены в распоряжение инспекторов по запросу.

Фазы проекта

4. Валидация

4.1 Валидация документации и отчетов должна охватывать соответствующие этапы жизненного цикла. Производители должны быть в состоянии обосновать свои стандарты, протоколы, критерии приемлемости, процедуры и записи, основываясь на оценке их рисков.

4.2 Валидация документации должна включать в себя контроль за изменением записей (если применимо) и описывать любые отклонения наблюдаемые в процессе валидации.

4.3 Должен быть доступен актуальный список всех соответствующих систем и их GMP функциональности (опись).

Для критически важных систем должно быть доступным актуальное детальное описание системы, физических и логических механизмов, потоков данных и интерфейсов с другими системами и процессами, необходимые условия для любого оборудования и программного обеспечения, а также меры безопасности.

4.4 Спецификации требований пользователя должны описывать необходимые функции автоматизированной системы и основываться на документальной оценке рисков и воздействием GMP. Требования пользователей должны быть трассируемыми на протяжении всего жизненного цикла.

4.5 Ответственный пользователь должен предпринимать все возможные меры и следить за тем, чтобы система была разработана в соответствии с надлежащей системой управления качеством. Поставщик соответствующим образом должен быть оценен.

4.6 При валидации написанных под заказ или настроенных под требования заказчика компьютеризированных систем, должен иметь место процесс, который обеспечивает формальную оценку и предоставление информации о качестве и показателям эффективности, всех этапов жизненного цикла системы.

4.7 Должны быть продемонстрированы доказательства пригодности методик и сценария проведения испытаний. В частности, должны быть рассмотрены: лимитирующие параметры системы (процесса), защита памяти и обработки ошибок. Автоматизированные инструменты тестирования и условия тестирования должны иметь документированные оценки их адекватности.

4.8 Если данные передаются в другой формат данных или систему, валидация должна включать проверку того, что числовое и/или смысловое значение данных не изменилось в течение этого процесса миграции.

Этап использования

5. Данные

Компьютерные системы обменивающиеся данными в электронном виде с другими системами, должны включать соответствующие встроенные проверки на правильность и безопасность введения и обработки данных, с целью минимизации рисков.

6. Проверка правильности

Для критически важных данных, вводимых вручную, должны существовать дополнительная проверка на правильность данных. Эта проверка может быть сделана вторым оператором или валидированными электронными способами. Критичность и потенциальные последствия ошибочных или неправильно введенных данных в систему должны быть предусмотренны в управлении рисками.

7. Хранение данных

7.1 Данные должны быть защищены от повреждений как физическими так и электронными средствами. Сохраненные данные должны быть проверены на доступность, читабельность и правильность. Доступ к данным должен быть обеспечен в течении всего срока хранения.

7.2 Необходимо делать регулярные резервные копии всех соответствующих данных. Целостность и правильность резервных копий данных, а также возможность восстановить эти данные, должны быть проверены во время валидации и периодически контролироваться.

8. Распечатки

8.1 Должна быть возможность получать чистовые печатные копии данных хранящихся в электронном виде.

8.2 Для записей обеспечивающих выпуск серии должна существовать возможность генерировать информационные распечатки, если какие-либо данные были изменены с момента их первоначального ввода.

9. Аудит

Следует уделить внимание, основываясь на оценке рисков, вопросу создания в системе возможности записи всех, соответствующих GMP, изменений и удалений данных (сгенерированный системой «журнал аудита»). Причина изменения или удаления, соответствующих GMP, данных, должна быть задокументирована. Журналы аудита должны быть доступны и конвертируемы в общепонятную форму и регулярно просматриваться.

10. Изменение и управление конфигурацией

Любые изменения в компьютеризированной системе, включая конфигурацию системы, должны быть сделаны только в управляемом режиме в соответствии с установленной процедурой.

11. Периодическая оценка

Компьютерные системы должны периодически оцениваться, для подтверждения того, что они остаются в корректном состоянии и соответствуют требованиям GMP. Такие оценки должны включать, по необходимости, текущий диапазон функциональных возможностей, отклонения записей, инциденты, проблемы, историю модернизации, производительность, надежность, безопасность и отчеты проверки состояния.

12. Безопасность

12.1 Физические и/или логические элементы управления должны находиться в месте с ограниченным доступом к компьютеризированной системе, только для уполномоченных лиц. Подходящие методы предотвращения несанкционированного доступа к системе могут включать в себя использование ключей, карт-паролей, персональных кодов с паролями, биометрии, ограниченного доступа к компьютерному оборудованию и области хранения данных.

12.2 Степень контроля безопасности зависит от критичности компьютеризированной системы.

12.3 Создание, изменение и отмена авторизации в системе должны записываться.

12.4 Системы управления данными и документами должны быть спроектированны с возможностью записи подлинности операторов ввода, изменения, подтверждения или удаления данных, включая дату и время.

13. Управление инцидентами

Все инциденты, а не только системные сбои и ошибки данных, должны быть сообщены и оценены. Должна быть выявлена основная причина критического инцидента, которая должна лечь в основу корректирующих и предупреждающих действий.

14. Электронная подпись

Электронные документы могут быть подписаны электронной подписью. Электронные подписи, должны:
a. иметь такое же влияние, как и рукописные подписи в пределах компании,
b. быть неизменно связанными с соответствующими им записями,
c. включать в себя время и дату, когда они были применены.

15. Выпуск серии

Когда компьютерная система используется для записи сертификации и при выпуске серии, она должна позволять только уполномоченным лицам сертифицировать выпуск серии, а также должна четко определять и записывать человека, который проводит выпуск или сертификацию серии. Это должно выполнятся с использованием электронной подписи.

16. Непрерывность бизнеса

Для способности компьютеризированных систем выдерживать критические процессы, необходимо принимать меры для обеспечения непрерывности поддержки таких процессов в случае выхода системы из строя (например, использование ручной или альтернативной системы). Время, необходимое для введение в действие альтернативных механизмов, должно быть основано на риске и соответствовать конкретной системе и бизнес-процессу, который она поддерживает. Эти меры должны быть надлежащим образом задокументированы и протестированы.

17. Архивирование

Данные могут архивироваться. Такие данные должны быть проверены на доступность, читаемость и целостность. Если должны быть внесены соответствующие изменения в систему (например, компьютерное оборудование или программное обеспечение), то должна быть обеспечена и протестирована возможность восстановления данных.

Глоссарий

Приложение — программное обеспечение, установленное на определенную платформу/аппаратное обеспечение для выполнения определенных функций.

Созданное под заказ/настроенная по требованиям заказчика компьютеризированная система — компьютеризированная система спроектированная в соответствии с индивидуальными требованиями заказчика под конкретный бизнес-процесс.

Коммерческое программное обеспечение присутствующее на рынке — коммерческое программное обеспечение, пригодность для использования, которого, доказана широким кругом пользователей.

ИТ-инфраструктура — аппаратное и программное обеспечение, такое как сетевое программное обеспечение и операционные системы, которые позволяют приложению выполнять свои функции.

Жизненный цикл — все этапы в жизни системы от первоначальных требований до вывода из эксплуатации, включая проектирование, спецификацию, программирование, тестирование, установку, эксплуатацию и техническое обслуживание.

Владелец процесса — лицо, ответственное за бизнес-процесс.

Владелец системы — лицо, ответственное за доступность и поддержание компьютерной системы в рабочем состоянии, а также обеспечение безопасности данных, находящихся в этой системе.

Третья сторона (прим. пер. — в законодательстве некоторых стран — лицо) — участники не состоящие под непосредственным управлением владельца производства и/или разрешения на импорт.

Подписывайтесь на каналы PHARM COMMUNITY:

   
Поделитесь с коллегами:

Оставьте комментарий