法规解读07丨Openlab Chemstation，现场审计都看些什么？

 

由于CFDA在《计算机化系统》这份文件中的语焉不详，

只要求进行计算机化验证，却没有明确验证的细节。

使得网络上产生了各式解读，

关于CSV计算机化验证要不要单独做，要怎么做，

争执的不可开交。

与此同时，

知名药企扬子江、康缘药业、正大天晴却早已先行一步，

纷纷做完CSV。

在8月份，

药明康德也刚刚完成了液相色谱网络版的全套计算机化验证。

他们是怎么做的呢？

是自己做还是请顾问公司来做呢？

重点和难点到底在哪里呢？

这一期，我们来聊聊CSV。

CFDA《计算机化系统》第十三条规定，

在计算机化系统使用之前，

应当对系统进行全面测试，

并确认系统可以获得预期的结果。

以往，法规只对仪器硬件确认有明确要求，

新的法规附录里要求进行基于风险评估的计算机化系统验证，

也就是对计算机、操作系统、应用软件和基础架构提出了新的验证要求。

只进行硬件的IQ/OQ/PQ是不够的，

还需要进行CSV 计算机化系统的验证

（CSV Computerized System Validation）。

在上一集中，我们提到软件升级实现合规的过程有点像房屋装修，

通过改造水电、防火设备来符合法规的要求。

对于会产生重大影响的房屋，

比如学校，医院，

在投入使用之前要请专业的机构来进行整体安全验收，

出具系统的文件，

这些文件将和其它的评估文件一起，

共同决定新的校区是否可以投入使用。

 

软件合规也是一样，

改造完毕之后，如何证明整套系统是合规的呢？

如何证明系统有着完善的审计追踪功能呢？

这就需要进行验证。

计算机化验证跟其它硬件的验证过程一样，

一方面需要设计验证的内容，

另一方面要整理验证的文件。

目的是通过纸质化的文件来证明计算机化系统符合法规的要求。

最主要的文件包括验证计划VP（Validation Plan），

用户需求规范URS（User Requirement Specification），

系统的风险评估报告，供应商审计报告，

IQ/OQ/PQ报告，一系列的管理规程和操作规程，

最后还要出具一个总的验证报告。

 

通常是先写验证计划VP，相当于总纲。

然后根据本身的需求来写用户需求规范URS。

不同的实验室，由于网络架构的差别，验证计划也会不同。

有些实验室是仪器厂商提供的网络版色谱软件，

管理的都是色谱仪器的数据。

还有些使用的是单机网络版，

利用实验室管理软件，来管理所有的数据。

在这样的网络架构中，

除了色谱的数据，还包括紫外、红外这些光谱数据，

验证的内容就会更多一些。

每台计算机的功能可能是有差别的，

用户需求规范URS应该单独写。

包括使用的功能性需求，对系统安全、权限管理的需求。

基于URS，要进行系统的风险评估。

根据软件的分类，还需进行对应的供应商审计。

色谱系统属于商业化程度比较高的系统，

一般进行邮政审计就好。

 

接下来是最为复杂的IQ/OQ/PQ的验证。

具体要验证哪些内容呢？

以审计追踪为例，验证内容包括：

1. 审计跟踪的信息是不是完整，

是否记录了修改时间，修改人，修改内容

2. 审计跟踪的记录是不是方便可查找，可导出

3. 数据变更的时候是不是都有记录变更理由

4. 验证审计跟踪的安全性，是不是不可删除，不可修改

5. 审计的动作是不是一旦开启，就不能关闭，是不是自动运行

6. 审计跟踪和原始记录的关联性是不是紧密

 

总之，与数据完整性有关的内容，是计算机化验证的重点。

也只有通过完整的CSV验证，

才能用文件的形式证明系统的合规。

要做好计算机系统验证，

首先要对于计算机系统熟悉和理解，了解网络架构，

还要理解法规要求，熟悉软件的结构和操作。

如果同学们还有什么疑问，欢迎给我们留言！

版权声明：本文版权属于色谱学堂（chromclass.com）所有，未经允许，禁止转载和摘编。如有需要，请联系market@chromclass.com 。

关于教员