蒲公英 - 制药技术的传播者 GMP理论的实践者

搜索
查看: 2500|回复: 14
收起左侧

【梅特勒-托利多】行业遐想之 CSV合规的矫枉过正

[复制链接]
药徒
发表于 2019-12-16 20:06:59 | 显示全部楼层 |阅读模式

欢迎您注册蒲公英

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
【梅特勒-托利多】行业遐想之 CSV合规的矫枉过正-探讨GMP第三方、IT开发部门直接参与GMP业务的可行性方法背景和结论
曾几何时,当Killer Parker用一封又一封警告性教育了中国和印度医药企业CSV的重要性之后,药企突然发现自己要给全世界科普起什么是GMP,想想你有没有遇到过这样的场景:
1.      请软件公司为自己配置权限– 100多个权限,6个用户等级;工程师按照用户需求勾选好了权限,但是验证工程师却要求将所有权限都测试一次,甚至是正向反向,外加挑战性测试。别的行业一本标准实施方案报告,药企就能整出十本的厚度;理由还是基于风险,必需挑战系统功能的可靠性?
2.      考虑集团公司GMP管理更合规高效,将培训搬到线上,将数据云存储但是面临检查的时候,检查官却挑战数据存在公司之外,不满足数据可靠性标准,GMP法规也未规定允许这样做;可是GMP法规确实未能明文规定,但是也并没有明文禁止;而且考虑到数据安全与业务连续性,不可否认GMP数据存在阿里巴巴云端服务器的安全性远远高过一般药企的简陋IT机房,哪一个数据可靠性风险大?
总之这篇文章探讨的一个话题–GMP环境中,CSV - Computerized System Validation计算机化系统的合规不应该被特殊化,如果我们引入其他行业的先进技术(如IT信息化,工程自动化)来提升医药GMP生产和管理水平,不应该一味要求药企按照GMP验证套路,重新论证一次对方的技术和系统,而应该思考对方行业中原有的管理体系中是否有和质量管理一脉相承的体系可以直接引用(如软件开发生命周期管理ISO27001等)。重复工作意味着额外无效成本,这显然和国家4+7政策导向想违背的;更遑论既然非专业的药企,真的可以通过学习(套用)GMP CSV,去检验专业的软件公司,IT企业开发的系统的可靠性吗?
化工厂专业生产化工品,药企主导审计来评估其是否适合提供医药原料;IT公司专业提供计算机化系统(如ERP、自动仓等)和服务(云存储,灾难恢复等),药企也应该可以依靠审计来判断是否满足自身GMP业务需求。
正文
随着“自动化和信息化-两化融合”,“工业4.0智能制造”和“CSV”等这些趋势在制药行业的兴起,越来越多的GxP信息化系统(如ERPLIMSMESEDMS)以及自动化系统(如SCADAPCSDCS)等电子管理系统开始在GMP合规上担当越来越重要的角色(如图一)。
1.jpg
                              
图一。中国葵花药业数字化转型,逐渐向GMP生产延伸
与此同时,作为推动这一行业趋势变化的主力之一,IT部门或外部第三方技术公司,越来越多地参与到药品GMP生产过程中同时(如图二),也越发受到监管部门重视,甚至像之前API供应商一样要求制药企业将这些技术部门纳入GMP管理范畴以满足GMP合规要求。而事与愿违,某些时候培训IT或者第三方技术服务商GMP知识,使之合规非常不易!
2.jpg
图二。从制造生产到实验室检验,计算机化系统无处不在
本文也将就“GxP系统服务供应商管理”这个需求进行讨论,分析如何跨越行业差异(自由多变的IT技术行业与严格监管的医药行业),探讨非GMP技术部门参与GMP业务的可行性方法。
3.png
图三。传统GMP药厂组织架构中,IT信息部一般直属于总部,不属于GMP部门
国外法规要求
参考EU GMP 附录11 计算机化系统–Chapter 3 Supplier and Service Provider
  
法规原文
  
  
关键词
  
  
3.1   When third parties (e.g. suppliers, service providers) are used e.g.  to provide, install, configure, integrate, validate,  maintain (e.g. via remote access), modify or retain a computerised  system or related service or for data processing, formal agreements must  exist between the manufacturer and any third parties, and these agreements  should include clear statements of the responsibilities of the third party. IT-departments should be considered analogous.
  
3.1当第三方(如供应商、服务提供商)使用如提供、安装、配置、集成、验证、维护(例如通过远程访问),修改或保留一个计算机化的系统或相关服务或数据处理,厂商之间的正式协议必须存在和任何第三方,和这些协议应包括明确的说明责任的第三方。公司内部IT部门也不例外。
  
  
formal agreements – 正式的合约,一般是Service Level  Agreement 服务水平协议;
  
  
定义第三方的服务内容及标准(如提供、安装、配置、集成、验证、维护);
  
  
注意同一个公司的IT部门也适用这个条例;
  
  
3.2 The competence and reliability of a supplier are  key factors when selecting a product or service provider. The need for an  audit should be based on a risk assessment.
  
3.2供应商的能力和可靠性是选择产品或服务供应商的关键因素。审计的需要应以风险评估为基础。
  
  
an audit – 必要的审计检查,即通过正式的审查来判断评估技术部门的能力和可靠性是否满足GMP业务需求;
  
  
3.3 Documentation supplied with  commercial off-the-shelf products should be reviewed by regulated users to  check that user requirements are fulfilled.   
  
3.3 相应GMP用户应审查随商业现货产品提供的证明文件,以检查用户要求是否得到满足。
  
  
Reviewed ….to check that  user requirements are fulfilled. – 回顾审核供应商或者服务商随计算机化系统提供的技术文件(用户手册,安装确认方案报告),来确认系统是否满足需求;
  
  
3.4 Quality system and audit information  relating to suppliers or developers of software and implemented systems  should be made available to inspectors on request.
  
供应商或者软件系统开发商的QMS和审计信息,应该可以作为证据提供给检查官
  
  
Quality system and audit  information …available to inspectors on request – 如果GMP检查有需要,需要提供服务提供商相关资料(质量系统Quality System和审计报告)
  
实施路径
4.png
如上图所示:
1.1   明确管理责任:正如ICH Q10 中对外包服务的监管要求规定Even where tasks are partly contracted out to external companies,the regulated user is ultimately responsible for ensuring the suitability andoperability of the computer systems.”如果制药公司某些GMP部门将其GxP系统的设计、验证和运维外包给第三方(或者集团总部IT部门),对于GxP系统的合规性和可用性的最终责任还是归属GMP用户部门本身,而这些部门也必需有义务,同时有方法去保障GxP系统和其数据的可靠性。
1.2   定义外包需求:制药公司可以通过签署正式合约或者内部备忘录的方式来管理第三方服务商的业务支持行为,双方应该在这份文件中明确各自的责任义务的同时,也应定义清楚外包需求(如系统运维,数据备份,用户管理,灾难恢复,审计支持等),确保对各自工作范围清晰无异议。
5.jpg
2.1 审计评估第三方QMS:无论是实体设备仪器,还是无纸化信息系统,其良好质量保障都少不了背后相关的开发、测试、上线以及运维文件的支持。如同PIC/S要求, ”Compliance with a recognized Quality Management System (QMS)provides the regulated user and regulatory agencies or competent authority withthe desired confidence in the structural integrity, operational reliability,and ongoing support for system, software product, or software service utilizedin the system.[ii]”没有一个运行良好的QMS的背书,监管方很难认可其软件稳定性或者服务质量。
2.2 审计评估第三方技术能力:基于ISO12207建议[iii],在正式外包重要系统的某些日常业务之前,受监管公司应从以下这些方面评估重要GxP系统某些业务外包给第三方这一行为是否适应:
l  外包系统基于病人安全和数据完整性潜在影响
l  供应商的质量管理体系
l  外包服务运行可靠性
l  系统的新奇性或复杂性
l  软件工程实践 Software Engineering Practice
l  第三方提供类似服务的历史和经验
l  对软件和硬件产品的持续支持能力
2.3 正式审计评估报告结合上述要求,审计过程发现和对应缺陷项的后续追踪应形成正式文件,签字批准留档供将来官方检查(EU GMP Annex 11-3.4)。正式的GxP服务供应商审计报告至少应包括以下内容:
l  确定受监管公司的目前GxP系统管理水平
l  确定由于外包某些GxP系统业务员而给项目带来的潜在风险
l  确定第三方外包服务商的质量管理体系的缺陷
l  确定是否使用第三方的文件,以支持GxP系统验证与运维的合规性*
l  建立共同的质量理解/伙伴关系
*如果确认需要直接引用第三方文件,来满足GMP合规要求(如备份SOP,灾备方案的技术资料),QA和相关业务流程所有者需审核并签批第三方文件(ASTM E2500-13)。
3.1 周期性检查PerformanceReview – 如果由第三方(外部供应商或内部IT)为GxP系统的某些业务提供服务(如系统运维,数据备份,用户管理,灾难恢复等),那么制药公司应该定期地回顾其提供服务的质量与及时性,以确保不会对患者安全,产品质量和数据可靠性产生不可挽回的影响。周期性回顾的频率可以通过风险评估,基于系统的重要性来进行评估。
综上所述,对于GxP系统的服务供应商合规性的管理,除了可以考虑将培训IT人员,将IT部门纳入GMP领域(如用户管理,偏差异常处理等);也可以因地制宜,通过SLAAuditPerformance Review的方式,指引非GMP部门的第三方(如运维ERPHR软件的总部IT,云服务供应商等)为GMP业务提供技术支持的同时,可以满足GxP系统的强监管要求,经得起官方检查的挑战!
以上见解属于笔者(蒲公英论坛-CSV胡大侠)个人见解,如有任何建议或者意见,欢迎来信邮件dawei_daily@163.com讨论.
参考文献


ICH Q10, Pharmaceutical Quality Systems, June 2008, Section 2.7,Management of Outsourced Activities and Purchased Materials.

[ii] PI 011-3. “Good Practices for Computerised Systems in Regulated‘GXP’ Environments,” Pharmaceutical Inspection Cooperation Scheme (PIC/S),September 2007.

[iii] Evaluation—a systematic determination of the extent to which anentity meets its specified criteria (ISO 12207:1995). (Note: The 1995 revisionis not the most recent version.)




回复

使用道具 举报

药徒
发表于 2019-12-17 09:10:39 | 显示全部楼层
胡大侠CSV 发表于 2019-12-17 08:53
就我个人经历而言,现在内地企业走2个极端:
1.追求保险派 - 购买任何设备,先问供应商能不能做CSV,软 ...

企业自己做好计算机化系统清单,根据风险评估来决定是否需要做CSV,做到什么程度,没必要做到一刀切,个人认为还是要根据风险来的。还有就是Audit也一样,决定是否什么系统都要上。
回复

使用道具 举报

大师
发表于 2019-12-16 21:56:23 | 显示全部楼层
你这个有点狠了啊,我都看不全,不能全理解,没那个耐心啊!
回复

使用道具 举报

大师
发表于 2019-12-16 21:57:17 | 显示全部楼层
我觉得开头非常棒,后面太专业了,作为科普文章,没太大必要,可以等业务实施过程中再慢慢沟通。
回复

使用道具 举报

药徒
发表于 2019-12-17 08:36:29 | 显示全部楼层
上面提到的方法什么的,估计国内很多厂家都是这么做的吧
回复

使用道具 举报

药徒
 楼主| 发表于 2019-12-17 08:37:00 | 显示全部楼层
山顶洞人 发表于 2019-12-16 21:57
我觉得开头非常棒,后面太专业了,作为科普文章,没太大必要,可以等业务实施过程中再慢慢沟通。

谢谢山顶洞人的建议,哈哈,投稿的时候,总想着你的签名“专业度,专业度”,给洗脑了,结果越写越多哈哈
下次我写个大纲,少写一点具体实施方法。

点评

嗯,注意读者接受度,大致科普就好,有人专门询问,再根据程度分别回复吗。 SCV啊,我是见过,用的不好,还不如不用的  详情 回复 发表于 2019-12-17 10:12
回复

使用道具 举报

药徒
 楼主| 发表于 2019-12-17 08:53:26 | 显示全部楼层
wangziyuan 发表于 2019-12-17 08:36
上面提到的方法什么的,估计国内很多厂家都是这么做的吧

就我个人经历而言,现在内地企业走2个极端:
1.追求保险派 - 购买任何设备,先问供应商能不能做CSV,软件有没有Part 11审计追踪(为什么审计追踪不是必要功能,我下一篇文章会另外说)等等 - 这导致结果是,要么花了超贵价格(带审计追踪的电子称?)或者CSV升级改造做不下去(设备工厂和软件公司说不懂GMP,没法保证一定满足CSV)

2.灰色地带派 - 公司发展快了,各种各样的CSV系统、ERP、LIMS、MES都投入了公司GMP运营;但是购买新设备和系统舍得花钱,不代表同样会理解日常运维系统同样需要关注和投入(感觉是全世界制造业的通病) - 这导致的结果,要么让GMP用户自生自灭式地管理Empower、MES(当然还是会声明用户没有管理员权限),要么忧心忡忡地安排非GMP的IT和第三方介入CSV系统的运维,但是又担心检查官问起。
回复

使用道具 举报

药徒
 楼主| 发表于 2019-12-17 09:12:16 | 显示全部楼层
统一回复一下
将IT部门也纳入工厂GMP管理,让IT做系统管理员,当然没问题,而且也是最符合目前检查官期望的一种解决方法!
但实际实施有以下几个现实问题:

1.IT做了某个GMP CSV系统管理员,那么IT部门是不是属于GMP部门范畴了?是不是要重新建立一套SOP体系?
2.IT做了某个GMP CSV系统管理员,那么这个GMP系统涉及的SOP升版了,是不是要把IT叫过去培训?
3.同工厂在一起的IT部门还好说,但是SAP这种集团统一运营的,工厂的QA想指挥总部IT,建立GMP SOP体系,日常参加GMP培训,可行性大不大?


就我个人经历而言,现在内地企业走2个极端:

1.追求保险派 - 不管IT懂不懂,一定要IT参加GMP培训;购买任何设备,先问供应商能不能做CSV,软件有没有Part 11审计追踪(为什么审计追踪不是必要功能,我下一篇文章会另外说)等等 - 这导致结果是,要么花了超贵价格(带审计追踪的电子称?)或者CSV升级改造做不下去(设备工厂和软件公司说不懂GMP,没法保证一定满足CSV)

2.灰色地带派 - 公司发展快了,各种各样的CSV系统、ERP、LIMS、MES都投入了公司GMP运营;但是购买新设备和系统舍得花钱,不代表同样会理解日常运维系统同样需要关注和投入(感觉是全世界制造业的通病) - 这导致的结果,要么让GMP用户自生自灭式地管理Empower、MES(当然还是会声明用户没有管理员权限),要么忧心忡忡地安排非GMP的IT和第三方介入CSV系统的运维,同时发现很难实现这些IT人员(不在工厂,在总部)和第三方的技术人员的GMP培训和SOP的建立;只能祈祷检查官不要问起这个问题。
回复

使用道具 举报

大师
发表于 2019-12-17 10:12:14 | 显示全部楼层
胡大侠CSV 发表于 2019-12-17 08:37
谢谢山顶洞人的建议,哈哈,投稿的时候,总想着你的签名“专业度,专业度”,给洗脑了,结果越写越多哈哈 ...

嗯,注意读者接受度,大致科普就好,有人专门询问,再根据程度分别回复吗。
CSV啊,我是见过,用的不好,还不如不用的
回复

使用道具 举报

药士
发表于 2019-12-17 12:24:31 | 显示全部楼层
回复

使用道具 举报

药徒
发表于 2019-12-17 13:29:39 | 显示全部楼层
哎!专业度高的一塌糊涂,看了半天人都浮躁了!
我看你的组织架构图里面质检部居然被生产副总管辖,这个是什么东东的架构?这样不合规吧?
仅仅是讨论哈!
回复

使用道具 举报

药徒
 楼主| 发表于 2019-12-17 13:54:47 | 显示全部楼层
秦歌 发表于 2019-12-17 13:29
哎!专业度高的一塌糊涂,看了半天人都浮躁了!
我看你的组织架构图里面质检部居然被生产副总管辖,这个是 ...

这个问题非常好,这是我百度检索出来的一张集团架构图,当时我也有这个疑问:
以一个工厂为例,如果画组织架构图,一般是

厂长(首层)-》 【功能模块】生产,物控,共用工程,QP(下面再分开QC和QA);
我们即便有质量副总,也不会把工厂QP直接画一条线连到工厂外的质量副总;

所以我觉得这个画线而已,不一定是report line
回复

使用道具 举报

药徒
 楼主| 发表于 2019-12-18 13:19:08 | 显示全部楼层
欢迎大家的意见
回复

使用道具 举报

发表于 2019-12-19 16:36:19 | 显示全部楼层
胡大侠又出好文了!!赞!赞!一直迷惑如何搞定CS的供应商或服务商,这篇文章给了非常清晰的思路以及技术上指导。同时,也非常赞同其中的一段话“CSV - Computerized System Validation计算机化系统的合规不应该被特殊化,”现在见到CS有种草木皆兵的感觉,在GMP中对CS做到科学和合理管理程度,是非常值得讨论的,防止矫枉过正,浪费资源!希望大侠能够继续延伸好文!!
回复

使用道具 举报

药徒
 楼主| 发表于 2019-12-23 08:40:32 | 显示全部楼层
feixue0316 发表于 2019-12-19 16:36
胡大侠又出好文了!!赞!赞!一直迷惑如何搞定CS的供应商或服务商,这篇文章给了非常清晰的思路以及技术上 ...

谢谢赞扬,有空一起多讨论啦
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

×发帖声明
1、本站为技术交流论坛,发帖的内容具有互动属性。您在本站发布的内容:
①在无人回复的情况下,可以通过自助删帖功能随时删除(自助删帖功能关闭期间,可以联系管理员微信:8542508 处理。)
②在有人回复和讨论的情况下,主题帖和回复内容已构成一个不可分割的整体,您将不能直接删除该帖。
2、禁止发布任何涉政、涉黄赌毒及其他违反国家相关法律、法规、及本站版规的内容,详情请参阅《蒲公英论坛总版规》。
3、您在本站发表、转载的任何作品仅代表您个人观点,不代表本站观点。不要盗用有版权要求的作品,转贴请注明来源,否则文责自负。
4、请认真阅读上述条款,您发帖即代表接受上述条款。

QQ|手机版|蒲公英|ouryao|蒲公英 ( (京)-非经营性-2014-0058 京ICP证150354号 京ICP备14042168号-1 )

GMT+8, 2024-3-29 23:09

Powered by Discuz! X3.4运维单位:苏州豚鼠科技有限公司

Copyright © 2001-2020, Tencent Cloud.

声明:蒲公英网站所涉及的原创文章、文字内容、视频图片及首发资料,版权归作者及蒲公英网站所有,转载要在显著位置标明来源“蒲公英”;禁止任何形式的商业用途。违反上述声明的,本站及作者将追究法律责任。
快速回复 返回顶部 返回列表