蒲公英 - 制药技术的传播者 GMP理论的实践者

搜索
查看: 18942|回复: 103
收起左侧

[石头968] 完整的《计算机系统确认与验证流程》

  [复制链接]
药师
发表于 2015-10-8 15:19:58 | 显示全部楼层 |阅读模式

欢迎您注册蒲公英

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
本帖最后由 石头968 于 2015-10-8 15:41 编辑

完整的计算机系统生命周期的验证流程
1、验证主计划(用户提供)
    计算机化系统的验证主计划可以作为《xxx企业验证主计划》或者《xxx项目验证主计划》的一个章节,说明计算机化系统的硬件、软件的分类原则、风险管理原则、确认与验证原则、确认与验证的控制策略,总之,规定好企业应该怎么开展计算机化系统的确认与验证工作。
    当然,也可以单独制定《计算机化系统的验证主计划》,不过计算机系统通常作为设备的不可分割的一部分(管理类计算机系统除外),或者作为电气自控设备的一种,单独对待的必要性,也有待于商榷,大家看着办就行了。
2、用户需求说明(URS)(用户提供)
    需要计算机帮我们做什么?(功能清单)
    每一个功能的控制方式,执行过程?(工艺流程图)
    每一个功能的传感器输入、执行信号输出(输入输出方式)
    操作人员对人机接口的操作要求?(人机接口输入输出方式)
    系统的安全性要求?(权限设置)
    安装空间、位置、所处的环境?
    硬件、软件的基本配置要求?
    测试、验证、培训、质量控制、变更控制、文件记录要求
    预算、货期、合约等商务要求
3、功能说明(供应商提供,用户审核)
    硬件及软件的系统供应商对企业URS的回复说明。
    硬件配置方框图与功能说明。
    软件流程方框图与功能说明。
4、设计说明(供应商提供,用户审核)
    供应商对自己系统的设计思路与开发计划
    硬件整体框架与系统结构图、配置清单
    软件整体框架、模块化系统结构图
    IO清单与详细的配置说明、功能说明
5、系统工程设计(供应商的工作)
    包含硬件设计、软件设计
    用户可以不参与
6、设计审核(供应商提供,用户审核)
    设计审核一般由用户技术人员与QA完成,通过比较URS与FS、DS的一致性,检查系统是否满足需求,针对不能满足的部分,需要和供应商进行协商,尤其是涉及到GMP要求的地方要更加注意。
    用户通常会审核到功能说明、设计说明、基本硬件配置清单、IO清单,但是通常不需要用户去审核更深入层次的硬件板卡、软件程序,当然你愿意做、有能力做,也可以去做审核。
    定制系统除外,定制系统是首次为您量身定做的还没有别的用户使用的系统,那你就要仔细吃螃蟹了。
7、风险评估(由用户来做,供应商可以参与)
    风险评估工作贯穿用户需求到设计回顾。
    主要考虑系统功能、系统安全性对生产工艺、产品质量的影响,实际上主要是计算机系统对产品质量的风险,再通俗地讲,就是计算机系统所控制的设备的动作、功能、性能……对于产品质量的影响风险。
    风险评估,主要是为了确定确认与验证的范围程度与深度,包括数据完整性管理的程度与深度,风险小的,当然可以降低硬件软件的配置要求、验证要求和管理要求。
8、系统工程制造和工程调试(用户可以不参与)
9、出厂测试(FAT,用户可以不参与,当然也可以参与其中的功能性测试)
    供应商在系统出厂前进行相关测试,并记录测试项目和结果,判断是否符合标准(可以反复测试、反复修改,直至满足设计要求和用户需求)。
    模块测试(白盒法)集成测试(黑盒法)
    可以模拟测试输入、输出信号及相关程序运行的正确性,这个测试在开发环境和测试环境下做就可以了。
10、现场测试(SAT)(可以由供应商来做,用户参与,有能力的用户也可以自己来做)
    安装到企业时,也需要进行相关的测试,并记录测试项目和结果以及是否符合标准,更多的是计算机完成的功能测试。
    可以实际测试输入、输出信号及相关程序运行的正确性,这个测试在运行环境下做,也就是连接上所有的传感器、执行机构、被控制对象,在模拟实际生产状态下进行测试。
    主要关注传感器输入信号的正确性、执行机构动作的正确性、程序、功能、流程的正确性。
11、IQ阶段(应由用户来完成)
    确认硬件配置、软件版本,确认现场安装环境、安装条件、安装结果。确认供应商审计的文件报告、确认系统开发的技术文件和报告(审核开发过程、而不是审核每一条程序、指令的正确性)、确认仿真模拟与调试阶段的文件与报告(更多的是一种形式审核与确认)、确认安装后的各种测试、调试的文件、记录和报告(更多的是一种形式审核与确认)。确认各种技术资料、编程软件、应用软件备份、密码保存,确认输入输出(I/O)清单、电路图、接线图……硬件和软件手册,包括安装、操作、维修保养手册。
    补充:还应确认I/O输入输出的接线的正确性,包括所有的传感器、执行机构、外围部件……安装与接线的正确性,否则一送电整个系统烧毁了你还不知道为什么。
12、OQ阶段(应由用户来完成)
    按照操作SOP进行各种操作、测试,包括系统的安全性、三级密码、操作权限、IO输入输出的测试、人机接口、错误输入、报警、联锁、断电恢复……确认每一个正常的工作步骤、每一个操作部件(包含硬件操作部件和模拟操作部件)、每一个输入输出之间的动作关系、模拟运行的过程测试、全自动运行的过程测试确认。
    正常环境下,模拟生产环境。
    SOP,首先是开机前的全面检查、上电操作、权限设置、权限测试、各操作部件、操作画面的单步测试、然后,接着上面说的……
13、PQ阶段(应由用户来完成)
    确认系统运行过程的有效性和稳定性。
    测试项目依据对系统运行希望达到的整体效果而定,如对生产出的产品质量各项特性进行测试。
    测试应在正常生产环境下,也就是可以与工艺验证同步来做,相当于随着正常生产的工艺验证过程进行相关设备的控制系统的测试。
    计算机系统控制设备来完成一定的动作和功能,保证生产工艺参数的稳定运行,从而保证产品质量属性的持续实现,所以我们PQ阶段其实验证的应该是工艺参数的控制策略和质量属性的稳定实现。
14、风险管理矩阵
    从前期的风险评估,到贯穿于IQ,OQ,PQ的风险控制,最后需要对风险进行回顾,确认通过测试以及改进是否已经将风险降低到了可接受的水平。
    简单一点儿,就是风险识别、列出风险点清单、评估风险级别,然后制定和风险级别相适应的措施,采取措施后再评估,直至风险可以接受。
    主要还是考虑工艺风险和产品质量风险,其实计算机系统应该是间接……间接……通过设备……影响到了工艺参数和质量属性的稳定性。
15、最终验证报告
    总结整个验证过程是否都正确完成,没有未处理的偏差,正式批准系统投入运行。
16、持续的系统审核或周期性的系统审核及风险回顾。

    无论哪一种自动化控制系统,包括各种计算机化系统,他们都是厂房、设施、设备、系统等硬件正常运行的一种工具,代替人的手工操作,或者部分代替人的计算、思考、判断,或者部分代替人的复杂的管理活动。
    我们的关注点不应该放在工具本身上,而在于关注这个工具能够为我们做什么,为我们带来什么结果。
    也就是关注自动化系统代替人的操作、实现的流程控制和功能结果,适合于其预期用途,而且运行正常。

总之,该谁做什么,谁擅长做什么,谁就该做什么,不要一揽子由用户来做,也不需要事后完全依靠第三方来做,因为很简单的事情,谁该做的谁来做就可以了。


本帖被以下淘专辑推荐:

回复

使用道具 举报

药徒
发表于 2015-10-8 21:07:57 | 显示全部楼层
石头968 发表于 2015-10-8 21:06
审计追踪,只是保证数据完整性的手段之一,是计算机化系统验证的一个很小很小的微不足道的一个“点儿”:l ...

那你觉得应该属于什么流程之一?

审计追踪的有效性靠什么来体现?
回复

使用道具 举报

药士
发表于 2015-10-8 15:20:37 | 显示全部楼层
矩阵如何进行评分呢?
回复

使用道具 举报

药徒
发表于 2015-10-8 15:22:32 | 显示全部楼层
一步一步走,从无到有
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 15:27:19 | 显示全部楼层
红茶. 发表于 2015-10-8 15:20
矩阵如何进行评分呢?

设备怎么做,设备的控制系统(计算机系统)也怎么做吧,反正单独列出计算机系统来进行风险评估,我觉得没有意义
回复

使用道具 举报

药士
发表于 2015-10-8 15:30:21 | 显示全部楼层
石头968 发表于 2015-10-8 15:27
设备怎么做,设备的控制系统(计算机系统)也怎么做吧,反正单独列出计算机系统来进行风险评估,我觉得没 ...

有时候就是打分这个步骤纠结的要死,多一分手震,少一分心慌。
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 15:43:29 | 显示全部楼层
红茶. 发表于 2015-10-8 15:30
有时候就是打分这个步骤纠结的要死,多一分手震,少一分心慌。

本来风险评估就是科学与经验的乘积还有所处的环境因素。
所以大小也无所谓了,都是相对的。
回复

使用道具 举报

发表于 2015-10-8 15:45:51 | 显示全部楼层
学习了。但是目前我们的IQOQ都是有供应商完成的,是否不对啊
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 15:50:08 | 显示全部楼层
kicoo2862 发表于 2015-10-8 15:45
学习了。但是目前我们的IQOQ都是有供应商完成的,是否不对啊

应该你们自己确认
你让别人做了确认,你还是要确认一下别人的确认过程是否符合预期要求
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 15:50:49 | 显示全部楼层
kicoo2862 发表于 2015-10-8 15:45
学习了。但是目前我们的IQOQ都是有供应商完成的,是否不对啊

小学生作业,家长检查,老师只检查家长签名……
回复

使用道具 举报

药徒
发表于 2015-10-8 16:03:11 | 显示全部楼层
最基本的audit trail居然都给漏了
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 21:06:19 | 显示全部楼层
Sword 发表于 2015-10-8 16:03
最基本的audit trail居然都给漏了

审计追踪,只是保证数据完整性的手段之一,是计算机化系统验证的一个很小很小的微不足道的一个“点儿”它并不计算机系统的确认与验证的流程之一。
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 21:08:47 | 显示全部楼层
Sword 发表于 2015-10-8 16:03
最基本的audit trail居然都给漏了

也是计算机系统安全性的保证手段之一
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 21:11:57 | 显示全部楼层
Sword 发表于 2015-10-8 21:07
那你觉得应该属于什么流程之一?

审计追踪的有效性靠什么来体现?

审计追踪,只是保证数据不被任意修改和删除的手段,是一种计算机操作活动可追溯的记录手段
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 21:14:43 | 显示全部楼层
Sword 发表于 2015-10-8 21:07
那你觉得应该属于什么流程之一?

审计追踪的有效性靠什么来体现?

您是不是想到了计算机系统的数据完整性的“持续审核与回顾”
16、持续的系统审核或周期性的系统审核及风险回顾。算不算?
回复

使用道具 举报

药徒
发表于 2015-10-8 21:59:41 | 显示全部楼层
石头968 发表于 2015-10-8 21:11
审计追踪,只是保证数据不被任意修改和删除的手段,是一种计算机操作活动可追溯的记录手段

如何证明能够保证?如何证明所有的操作活动均可被记录?
回复

使用道具 举报

药徒
发表于 2015-10-8 22:00:32 | 显示全部楼层
石头968 发表于 2015-10-8 21:14
您是不是想到了计算机系统的数据完整性的“持续审核与回顾”
16、持续的系统审核或周期性的系统审核及风 ...

当然不算

我还从来没见过CSV不做审计追踪的

错了就是错了,死要面子没意思的
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 22:08:40 | 显示全部楼层
Sword 发表于 2015-10-8 21:59
如何证明能够保证?如何证明所有的操作活动均可被记录?

我一再说,审计追踪是保证数据完整性的手段之一,当然是要验证的了,谁说过不做验证吗?
当然也没必要单列出来啊,作为计算机化系统的几百上千个功能之一来做就是了
回复

使用道具 举报

药师
 楼主| 发表于 2015-10-8 22:26:46 | 显示全部楼层
Sword 发表于 2015-10-8 22:00
当然不算

我还从来没见过CSV不做审计追踪的

    风险评估,主要是为了确定确认与验证的范围程度与深度,包括数据完整性管理的程度与深度,风险小的,当然可以降低硬件软件的配置要求、验证要求和管理要求。
    实际上审计追踪功能,完全是依靠权限设置、权限识别、所有权限人员的系统活动的记录,与数据产生、处理、修改和删除等相关的活动都可以追溯到相关的操作人员。
    计算机系统有N多个功能(其中包含审计追踪功能),都需要在用户需求、功能说明、设计说明、设计审核、风险评估、FAT/SAT、3Q、持续的系统审核中……得到确认和证明。
    真的没必要非把这一项功能单独拿来说事儿,虽然他很重要,难道比计算机系统代替人的操作、代替人的逻辑判断、代替人对设备的工作程序控制、工艺参数控制……更重要吗?那些不都没有单独拿出来说事儿吗?
    就算是我的正文中没明说必须做这一项,功能清单里肯定会有的,也肯定是要确认的!
   
回复

使用道具 举报

发表于 2015-10-9 08:14:30 | 显示全部楼层
石头968 发表于 2015-10-8 15:50
小学生作业,家长检查,老师只检查家长签名……

签名倒是有,质量受权人封面签名。但是仔细看,供应商做的确认并没有涵盖所有的预期。
自己做又没有能力,这样的话,只有通过合同商管理来控制?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

×发帖声明
1、本站为技术交流论坛,发帖的内容具有互动属性。您在本站发布的内容:
①在无人回复的情况下,可以通过自助删帖功能随时删除(自助删帖功能关闭期间,可以联系管理员微信:8542508 处理。)
②在有人回复和讨论的情况下,主题帖和回复内容已构成一个不可分割的整体,您将不能直接删除该帖。
2、禁止发布任何涉政、涉黄赌毒及其他违反国家相关法律、法规、及本站版规的内容,详情请参阅《蒲公英论坛总版规》。
3、您在本站发表、转载的任何作品仅代表您个人观点,不代表本站观点。不要盗用有版权要求的作品,转贴请注明来源,否则文责自负。
4、请认真阅读上述条款,您发帖即代表接受上述条款。

QQ|手机版|蒲公英|ouryao|蒲公英 ( (京)-非经营性-2014-0058 京ICP证150354号 京ICP备14042168号-1 )

GMT+8, 2024-3-29 16:30

Powered by Discuz! X3.4运维单位:苏州豚鼠科技有限公司

Copyright © 2001-2020, Tencent Cloud.

声明:蒲公英网站所涉及的原创文章、文字内容、视频图片及首发资料,版权归作者及蒲公英网站所有,转载要在显著位置标明来源“蒲公英”;禁止任何形式的商业用途。违反上述声明的,本站及作者将追究法律责任。
快速回复 返回顶部 返回列表