計算機化系統驗證包括應用程序的驗證和基礎架構的確認,其範圍與程度應當基於科學的風險評估。風險評估應當充分考慮計算機化系統的使用範圍和用途。應當在計算機化系統生命週期中保持其驗證狀態。
這一法條,提及了計算機學科內的幾個基本的概念:應用程序(程式)、計算機基礎框架,我們先看看這兩個概念。
一、應用程序(程式)
這是電腦軟體的主要分類之一,是指爲針對使用者的某種應用目的所撰寫的“軟體”。
應用程序是指爲了完成某項或某幾項特定任務而被開發運行於操作系統之上的計算機程序。
應用程序與應用軟件的概念不同,但我們在計算機化系統驗證中常常因爲概念相似而被混淆。軟件指程序與其相關文檔或其他從屬物的集合。一般,我們視程序爲軟件的一個組成部分。
例如:一個視頻應用軟件中包括程序(*.exe)和其他圖片(*.bmp等)、音效(*等)等附件,那麼這個程序(*)通常被稱作“應用程序”,而它與其他文件(圖片、音效等)在一起合稱“軟件”。
因此,應用程序的驗證主要側重於功能和應用的實現,而如果進行軟件驗證則還需要增加對軟件結構和模塊的確認與驗證(類似於GAMP5中5類軟件的驗證)。
軟件的驗證更側重於軟件行業和計算機專業內的問題,所以GMP該條款只提及了應用“程序的驗證”,而非“軟件的驗證”,這也給了我們一個驗證和確認的方向,畢竟多數製藥企業中並沒有配備專業的軟件工程師和程序員。
而在某種程度上,應用程序是一個包含在“軟件”範疇內的一個廣泛的概念,甚至可以包括基礎構架,但本法條中的“應用程序”,更傾向於對於基礎構架而言的計算機系統的“應用構架”,他們之間的區分只是其“相對性”的不同。
二、計算機基礎架構
這是一個相對的、綜合的概念。
相對性:
現階段,許多製藥企業要實施先進的信息化戰略來提高其信息反應速度,就要部署一系列的信息化軟件,比如OA系統、ERP系統、網站系統等,這些系列軟件就構成了IT應用架構(類似上面說到的應用程序),這些應用架構必須在一定的基礎架構上面才能運行。所以基礎架構是相對於應用架構而言,是個相對概念。
綜合性:
爲了確保應用架構的可靠運行,基礎架構必須包含網絡、服務器、操作系統,還有一些中間件。一個基礎架構可能包含了異構網絡、不同的服務器及操作系統,有了這些基礎架構,應用架構才能運行並提供信息服務。所以基礎架構是一個綜合的概念。 因此,上述法條在一定程度上首先爲計算機化系統驗證進行了第一步驗證範圍的風險評估,即:在計算機化系統驗證中應用程序(應用架構)被認爲是驗證的主要對象,而基礎架構則是以確認爲主,只是基本信息的確認,不會包括一些功能和結構的驗證。
其範圍與程度應當基於科學的風險評估。風險評估應當充分考慮計算機化系統的使用範圍和用途
針對該法條中的這兩句描述,應該有整體考量,比如驗證範圍評估、驗證深度程度評估,我們逐一看看。
驗證範圍評估:
計算機化系統驗證程度深度評估:
經過上述兩個主要階段的評估後,所有計算機化系統均可以明確其驗證的基本策略,明確了計算機化系統驗證的範圍和深度,在第一階段的評估中也充分考慮到了計算機化系統的具體用途,並且在第二階段對計算機化系統進行了幾個不同方面的深入評估,確定了其驗證的具體技術內容以及不同的驗證生命週期,經過上述評估後基本可以確定計算機化系統驗證的流程和範圍。
但也不排除可以使用其他方法進行風險評估,如:法規、使用習慣、企業內部管理、技術分類、最新的技術變革等,但無論如何進行評估,其目的最終都是需要將計算機化系統進行合理的分類,使接下來的驗證工作流程更加明確、驗證內容更加具有說服力和適用性。
應當在計算機化系統生命週期中保持其驗證狀態。
該法條中還有上面這麼一句描述,在介紹完計算機化系統驗證的評估後還增加了對驗證結束後的管理基本要求,即驗證狀態的保持。
我們知道,在其他系統、設備的驗證中維持系統驗證狀態的方法和工具有很多,如再驗證、QMS體系、計量校準體系、預防性維護體系、供應商管理體系及文件管理體系等等,都可以證明最初的'驗證狀態是否得到了良好的保持。
同樣,在計算機化系統的整個生命週期中,其驗證狀態的保持也應該與普通系統和設備的驗證狀態的維持手段是一致的。
但要注意的是“生命週期”的概念,也就是GAMP5中提到的計算機化系統經過初次驗證後,然後經過交付使用,系統的變更、偏差以及最終的退役等,都應該在驗證和再驗證體系中。
此外,QMS體系中的變更管理、偏差管理、CAPA管理、產品年度質量回顧等手段都是對於計算機化系統驗證狀態保持具有重要幫助的一些工具。
具體保持計算機化系統驗證狀態的方法和內容,我後續還會介紹,本部分只是強調,風險評估和驗證只是計算機化系統驗證工作的開始,後續還應該將其落實,並且始終在一個可控的“驗證狀態”下運行該計算機化系統,能夠更好執行風險評估和驗證提到的內容。
科技進步給製藥行業帶來勞動力的解放和更加便利的工作方式,但並不意味着紙質記錄時代的一些規定和習慣在網絡時代就並不適用了,相反,很多原則還應該更加嚴格,流程性應該更強,GMP審計形式也更加多樣化,對人員的控制、記錄真實性、及時性、可追溯性的控制都提出了更加嚴格的要求。
因此,計算機化系統驗證的風險評估和驗證只是開始,共同提高製藥行業自動化控制水平和質量管理水平,能夠使每位患者吃上安全、放心的藥,是GMP法規的最終目的。