|
首页
>
资讯
>
欧盟发布关于修订《GMP附录11计算机化系统》指南的概念文件
出自识林
欧盟发布关于修订《GMP附录11计算机化系统》指南的概念文件
2022-11-18
欧盟《GMP附录11计算机化系统》现行版本指南于2011年发布,至今已施行十余年,期间新理念和新技术均取得广泛发展,指南在新旧领域将不能提供足够的指导和监管期望。2022年11月16日,欧盟发布关于修订该指南的概念文件,于2022/11/16/ ~ 2023/01/16期间向业界征求意见。并拟议在2024年12月发布指南草案,于2026年3月起逐步采纳。
概念文件中英文版本可点击阅览。
概念文件中给出了33条修改原因/意见,5条为新增,28条为原有内容修订。
拟议新增的内容主要体现在对行业新技术方面的监管期望和指导,包括人工智能(AI)、机器学习(ML)、数字化转型、强化的/集成控制支持的数据可靠性解决方案等。拟议新增内容具体为:
- [新]更新该文件以替换EMA网站GMP问答中与附录11和数据可靠性相关的问答。
- [新]关于数据可靠性,附录11将包括对“动态数据”和“静态数据”(备份、归档和处置)的要求。配置强化和集成控制有望支持和保护数据可靠性;技术解决方案和自动化优于手动控制。
- [新]将考虑对“数字化转型”和类似新概念的监管期望。
- [新]随着行业已经在实施人工智能(AI)和机器学习(ML)模型在关键GMP应用中的使用,迫切需要监管指导和期望。重点应放在用于检验这些模型的数据的相关性、充分性和可靠性,以及此类检验的结果(指标),更确切地说就是选择、训练和优化模型的过程。
原有条款内容中的修订/更新,主要涉及的章节条款包括:原则,通则(1.风险管理、3.供应商和服务提供商),项目阶段(4.验证),运行阶段(6.准确性检查、7.数据存储、8.打印输出、9.审计追踪、11.定期评价、12.安全、17.归档)。简要内容如下:
- [原则] 计算机化系统“替代人工操作”将修改为“替代另一个系统或人工操作”。
- [3] 供应商和服务提供商:提出“云”相关服务,并指出对这种由服务商提供验证和/或运行的关键系统的期望,不应局限于“必须签订正式协议”的要求。企业应能获得系统验证和安全运行的完整文件,并能够在监管检查期间提供这些文件。另外,将细化“商业现货(COTS)”术语。
- [4] 验证:将澄清“验证”/“确认”的含义,强调该活动都包括对URS中需求和具体功能的验证,应当基于风险的方法,特别对用于GMP决策的系统的关键部分进行挑战,比如确保产品质量和数据可靠性以及专门设计和定制的部分。另外,指出“URS应在整个生命周期内可追溯”表达不完善,应指出URS应在整个生命周期中保持更新且与实施中的系统保持一致。并应了解并适应当今软件开发模式。
- [6] 准确性检查:将增加“关键数据和关键系统的分类”。
- [7] 数据存储:将包括保护数据有意和无意的数据可靠性损失的物理和电子措施的示例。指出仅“定期测试从备份恢复系统数据的能力”仍不充分;重要的是应基于经验证的程序(如加速测试),验证存储介质在给定的时间段内是否可读。另外,指出缺少对备份过程的重要期望,例如备份所涵盖的内容(例如,仅数据或数据和应用程序),进行哪些类型的备份(例如,增量或完整),进行备份的频率(所有类型) )、备份保留多长时间、使用哪种介质进行备份以及备份保存在哪里(例如物理分离)。
- [8] 打印输出:应当考虑电子格式数据的情况,可重新考虑能够打印数据的要求。
- [9] 审计追踪:将强制要求审计追踪功能(过渡期已过),并细化强化功能上的要求,如完整记录更改操作和理由,如不应支持对审计追踪数据的编辑和修改(或职权分离)。完善审计追踪审查的概念和目的,侧重审核更改的可靠性;并将提供可接受的审计追踪审查频率,如基于风险的方法,关键参数的审计追踪审查应作为批放行的一部分。另外,审计追踪功能应获取足够详细和实时的数据条目,以记录完整的事件,并避免与系统警报和事件数据的混淆。
- [11] 定期评价:将增加配置回顾(configuration review)的概念。与其基于系统的升级历史,不如基于对硬件和软件基准随时间的比较。
- [12] 安全:除应关注个人授权问题,根据ISO27001,还应重点关注系统和数据的机密性、可靠性和可用性。在限制访问方面,有必要更具体并列出一些预期的控制措施,如多重身份验证、防火墙、平台管理、安全补丁、病毒扫描和入侵检查/预防,对于关键系统的身份认证应更加严格。在系统访问权限方面,将添加对系统访问权限的重要期望:职权分离和最小权限原则;并指出在管理授权上,应持续管理系统访问和角色,进行定期审查,确保不应有的访问,如离职人员。
- [17] 归档:仅对“归档数据重新主动检查确认”仍不充分(参考[7]数据存储),应依赖经验证的程序,并根据所用的存储介质,验证其是否可以在一段时间后可读取。
另外,概念文件中还给出了该指南修订时间计划表、所需资源、预期影响评估、利益关系方以及所参考资料。详细内容请查看概念文件原文。
作者:识林-枍
识林®版权所有,未经许可不得转载。
适用岗位必读: - QA:确保计算机化系统的质量保证措施符合GMP要求。
- IT:负责计算机化系统的基础设施验证和数据安全。
- 研发:在系统开发和验证阶段,确保用户需求与GMP影响相符合。
- 生产:在操作阶段,确保数据的准确性和完整性。
适用范围:
本文适用于GMP监管活动中使用的所有形式的计算机化系统,包括化学药、生物制品等。适用于Biotech、大型药企、跨国药企等,由特定国家或地区的监管机构发布。 要点总结: 风险管理: 计算机化系统应在整个生命周期中应用风险管理,确保患者安全、数据完整性和产品质量。 人员合作: 需要流程所有者、系统所有者、合格人员和IT人员之间的密切合作,明确职责和访问级别。 供应商和服务提供商: 使用第三方服务时,必须有正式协议明确责任,评估供应商的能力和可靠性。 系统验证: 验证文档应涵盖生命周期的相关步骤,包括变更控制记录和偏差报告。 操作阶段要求: 包括数据交换的准确性检查、数据存储的安全性、审计追踪的建立、变更和配置管理、定期评估、安全性、事件管理、电子签名、批放行、业务连续性和归档。
以上仅为部分要点,请阅读原文,深入理解监管要求。 法规指南解读:EMA Concept Paper on the revision of Annex 11 适用岗位(必读): - QA(质量保证部门):需密切关注计算机化系统在GMP环境下的合规性更新。
- IT(信息技术部门):负责确保计算机化系统的数据完整性和安全性。
- 生产:需要理解计算机化系统在生产过程中的应用和监管要求。
工作建议: - QA:评估现有计算机化系统是否符合新指南要求,准备必要的更新或改进措施。
- IT:更新数据管理策略,确保数据在传输和存储过程中的完整性和安全性。
- 生产:与IT部门合作,确保生产过程中使用的计算机化系统符合最新的GMP要求。
文件适用范围:
本文适用于欧盟/欧洲经济区成员国及药品检查合作计划(PIC/S)参与机构的药品GMP附录11计算机化系统的修订。涉及化学药、生物制品等药品类型,包括创新药、仿制药、原料药等注册分类,由EMA和PIC/S发布,适用于Biotech、大型药企、跨国药企等企业类别。 要点总结: - 数据完整性要求:新增对“数据在运动中”和“数据静止状态”(备份、归档和处置)的要求,强调配置硬化和集成控制以支持和保护数据完整性。
- 数字转型适应性:考虑更新文件以符合数字转型等新概念的监管期望。
- 系统验证和确认:明确验证(和确认)的意义,强调基于风险的方法,特别挑战系统的关键部分。
- 用户需求规范:用户需求应可追溯,且应作为系统验证的基础,需求规范应与实施的系统保持更新和一致。
- 审计追踪功能:强调审计追踪功能的必要性,包括用户识别、变更内容、时间戳和变更理由的记录。
以上仅为部分要点,请阅读原文,深入理解监管要求。 必读岗位: - QA(质量保证):应关注数据完整性、系统验证和审计追踪的要求,确保质量管理体系符合更新后的附录11。
- IT(信息技术):需更新IT基础设施,以支持动态数据和静态数据的保护,以及云服务等新技术的集成。
- 生产:应确保生产过程中使用的计算机化系统符合新的验证和数据保护要求。
适用范围:
本文适用于欧盟/欧洲经济区成员国及PIC/S参与机构的药品生产企业,包括化学药、生物制品等,涉及创新药、仿制药及原料药等注册分类。 要点总结: - 数据完整性:强调了对动态数据和静态数据的保护要求,包括备份、归档和处置流程。
- 技术进步:提出了对数字化转型和新技术应用的监管期望,以适应技术发展。
- 系统验证:明确了系统验证和确认的范围,应涵盖所有替代人工操作或系统的计算机化系统。
- 审计追踪:要求审计追踪功能应能自动记录所有关键系统的手动交互,且不可编辑或停用。
- 人工智能与机器学习:提出了对AI和ML在关键GMP应用中的使用进行监管指导的需求。
以上仅为部分要点,请阅读原文,深入理解监管要求。 岗位必读建议- QA(质量保证):应深入理解计算机软件保证的风险框架,确保生产和质量体系软件的合规性。
- 研发:需要了解软件保证活动,以确保研发过程中软件的质量和合规性。
- 生产:应熟悉软件在生产过程中的作用,以及如何维护软件的验证状态。
- 注册:在提交相关文件时,需确保包含软件保证活动的证据。
工作建议- QA:制定和维护标准操作程序(SOPs),确保软件保证活动符合FDA指南。
- 研发:在设计阶段考虑软件的预期用途和风险,选择合适的保证活动。
- 生产:监控软件性能,确保生产过程的连续性和数据的准确性。
- 注册:在注册文件中包含关于软件保证的详细描述和证据。
文件适用范围本文适用于医疗器械生产商使用的计算机软件,包括化学药、生物制品、原料药等。适用于美国FDA监管的药品和医疗器械,包括创新药、仿制药、生物类似药等。主要针对大型药企、跨国药企、Biotech公司以及CRO和CDMO等企业。 文件要点总结- 计算机软件保证定义:强调了基于风险的方法来确保生产或质量体系中使用的自动化软件的可靠性,并在必要时增加严格性。
- 风险框架:提出了一个风险框架,包括识别预期用途、基于风险的方法、确定适当的保证活动和建立适当记录。
- 风险分析:区分了高工艺风险和非高工艺风险的软件特性、功能或操作,并要求根据风险水平确定保证活动。
- 保证活动:描述了包括脚本化测试、无脚本测试、探索性测试等在内的不同保证活动,以及如何根据风险选择合适的测试方法。
- 记录建立:强调了建立足够客观证据记录的重要性,以证明软件特性、功能或操作已评估并按预期执行。
以上仅为部分要点,请阅读原文,深入理解监管要求。 岗位必读建议: - QA(质量保证):深入理解质量风险管理原则,确保质量体系的合规性。
- 注册:掌握质量风险管理在药品注册过程中的应用,为注册策略提供支持。
- 研发:在药品开发阶段运用质量风险管理,优化产品设计和工艺。
- 生产:利用质量风险管理工具,提高生产过程的质量和效率。
- 市场:了解质量风险管理对市场策略的影响,确保产品信息的准确性。
文件适用范围:
本文适用于化学药、生物制品及生物技术产品的质量风险管理,包括原料药、创新药、仿制药和生物类似药等。适用于全球范围内的Biotech、大型药企、跨国药企、CRO和CDMO等各类企业,由国际药品监管机构ICH发布。 文件要点总结: - 质量风险管理定义与重要性:强调质量风险管理是评估、控制、沟通和审查药品质量风险的系统过程,对保护患者和提高产品质量至关重要。
- 风险管理过程:明确了质量风险管理的一般过程,包括责任分配、启动风险管理过程、风险评估、风险控制、风险沟通和风险审查。
- 风险管理方法论:提供了风险管理方法和工具的指导,如FMEA、FMECA、FTA等,以及如何将这些工具应用于药品质量和风险管理。
- 质量风险管理的整合应用:讨论了如何将质量风险管理整合到行业和监管操作中,包括开发、生产、设施设备、材料管理、实验室控制等各个方面。
- 监管要求与沟通:指出质量风险管理有助于满足监管要求,改善行业与监管机构之间的沟通,并可能影响监管监督的程度和级别。
以上仅为部分要点,请阅读原文,深入理解监管要求。 |
