2010版GMP附录：计算机化系统 整体及条款解读.doc

2010版GMP附录：计算机化系统 整体及条款解读一、整体解读 通读全文，该附录共有6章24个条款，笔者对其内容分布整理如下： 从上述总结的内容分布来看，笔者认为该附录的核心思想体现为企业在采用计算机化系统来替代手工操作时，对药品生产质量管理过程中的一种风险控制。本质上是药企对自身生产经营风险的管控，从风险管理的角度来看，本附录内容可进行重新编排为 1、风险识别（第一章范围 第四章验证??计算机化系统范围的确定）： 2、风险评估（第二章原则需考虑患者安全、数据完整性和产品质量） 3、风险控制（第五章系统??基于系统的复杂度、新颖性和类别确定验证方案） 4、风险跟踪（第三章人员??明确人员职责和权限，对风险控制措施效果跟踪） 从流程管理的角度来看，该附录可以从另外一个视角来进行重新解读 1、目的：控制同GxP有关的计算机化系统的使用风险 2、范围；药企生产质量管理过程中涉及到的各类计算机化系统 3、原则：系统替代手工不增加总体风险，风险管理贯穿系统的全生命周期 4、方法：采用基于科学的风险评估，确定系统验证方案、执行验证活动 5、重点：不光是验证的硬件、软件本身，更是验证系统所管控的流程； 不光确保某一个阶段系统验证合格，更要确保整个生命周期内系统处于验证的受控状态，例如在系统运行阶段采用变更和配置管理，安全管理和再验证等。 6、策略：根据软件级别的不同其测试程度也不同，比如针对第5类软件系统的源代码审核和功能测试；针对第4类软件系统的配置测试，然后是基于黑盒的功能测试、需求测试以及结合实际工艺和流程的性能测试等。 二、条款解读 原文内容： 第一条：本附录适用于在药品生产质量管理过程中应用的计算机化系统，计算机化系统由一系列硬件和软件组成，以满足特定的功能。 原文解读： 第一条：此附录描述了计算机化系统的适用范围，是在药品生产质量过程中，这是其一；其二，什么是计算机化系统，由一系列硬件和软件组成，从字面上来看，这个定义和“计算机系统”没有本质区别，主要区别在于后面这几个字“以满足特定的功能”。按照PIC/S PI011-3指南的定义，计算机化系统（Computerized System）由计算机系统（Computer System）和被其控制的功能和流程组成。 原文内容： 第二条：计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。 原文解读： 第二条：很显然，这一条主旨是说计算机化系统可以代替人工操作，提高工作效率，但是需考虑这种替代或变革随之带来的风险，这种风险可能是来自产品质量的、过程控制的，也可能是整个质量保证体系的，需慎重、全面考虑这种变革带来的诸多影响，原则上同过去手工操作相比，不增加总体风险即可。这一条其实给整个附录定了一个基调，就是凡是大到变革、小到变更，只要有变化都要做好风险识别和风险评估工作，这是一切“变”的前提和刚性要求。 原文内容： 第三条：风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。 原文解读： 第三条：这一条承接上一条，对风险管理从二个维度提出了具体要求。一个是时间维度，风险管理要求贯穿整个计算机化系统全生命周期，包括概念提出、项目实施、系统运行直到系统引退。这种风险意识其实也正好契合了企业家们的危机意识，当今以任正非为代表的中国企业家们，每天思考的其实不是如何成功，而是怎么避免失败，企业能活下去其实就是成功；另一个维度是潜在后果，即风险如果发生，可能会导致的后果会是什么，人员伤亡、质量投诉、数据丢失等，正是基于对这些后果的考虑，才有了风险管理的现实出发点，即所有的系统设计、安装、使用以及变更，都需要充分患者安全、产品质量、数据完整性的影响。且根据风险评估做出的影响分析，用来作为确定系统验证方案和系统数据完整性控制的依据。 原文内容： 第四条：企业应当针对计算机化系统供应商的管理制定操作规程，供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。企业应当基于风险评估的结果，提供与供应商质量体系和审计信息相关的文件。 原文解读： 第四条：这一条其实是明确了对IT产品或服务供应商的具体管理要求，包括供应商管理SOP,正式的协议或合同。同时，企业应当基于对风险评估的结果，对供应商进行相应的调查、评估，并有实施审计形成文件化的记录，这一条其实还是在强调对供应商的风险管控，风险管理也从内部延伸到了外部。风险管理的影子无处不在，真的是深入到IT合规管理的骨髓了。 原文内容： 第五条：计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之