Валидация КС по GMP
Стандарт GMP — надлежащая производственная практика
Стандарт GMP (англ. Good Manufacturing Practice — система норм, правил и указаний в отношении производства:
- лекарственных средств
- медицинских устройств
- изделий диагностического назначения
- продуктов питания
- пищевых добавок
- активных ингредиентов
Для Компьютеризированных систем есть приложение №11.
Скачать ПРИКАЗ МИНПРОМТОРГА РФ № 916 ОТ 14.06.13
I. Принцип
- Настоящее Приложение применяется ко всем типам компьютеризированных систем, используемых в рамках деятельности, регулируемой требованиями настоящих Правил.
- Компьютеризированная система представляет собой набор программных и аппаратных компонентов, которые совместно выполняют определенные функции.
- Применение компьютеризированной системы должно быть валидировано, информационно-технологическая инфраструктура должна пройти квалификацию.
- Если компьютеризированная система заменяет ручное управление, это не должно приводить к снижению качества продукции, технологического контроля или обеспечения качества. Общие риски процесса не должны возрастать.
II. Общие требования
Управление рисками (1)
5. Управление рисками должно применяться в течение жизненного цикла компьютеризированной системы в целях обеспечения безопасности пациентов, целостности данных и качества продукции. В рамках системы управления рисками решения по объему валидационных испытаний и проведению контролей целостности данных должны основываться на обоснованной и документально оформленной оценке рисков компьютеризированной системы.
Персонал (2)
6. Необходимо поддерживать тесное сотрудничество между всем значимым персоналом, вовлеченным в данный процесс, таким как владелец процесса, владелец системы, уполномоченные лица и технический персонал. Весь персонал должен иметь необходимую квалификацию, уровень доступа и определенные полномочия для выполнения возложенных на него обязанностей.
Поставщики и провайдеры услуг (3)
7. (3.1) В случае если для поставки, установки, настройки, задания конфигурации, интегрирования, валидации, технического обслуживания (в том числе через удаленный доступ), модификации или поддержания компьютеризированных систем, оказания связанных с ними услуг или обработки данных привлекаются третьи лица (в частности, поставщики, провайдеры услуг), то между производителем и указанными третьими лицами заключаются договоры. Такими договорами рекомендуется устанавливать ответственность третьих лиц за надлежащее исполнение своих обязанностей.
8. (3.2) Компетентность и надежность поставщиков являются ключевыми условиями выбора поставщика программного продукта или услуг. Необходимость оценки поставщика должна быть основана на оценке рисков.
9. (3.3) Документация, прилагаемая к коммерчески выпускаемым готовым для использования программным продуктам, должна быть рассмотрена уполномоченными работниками производителя на предмет соответствия требованиям производителя.
10. (3.4) Информация о системе качества и оценках поставщиков или разработчиков программного обеспечения и установленных компьютеризированных систем должна быть доступна для предоставления лицам, осуществляющим проверку, по их требованию.
III. Стадия проекта
Валидация (4)
11. (4.1) Валидационная документация и отчеты должны охватывать соответствующие стадии жизненного цикла компьютеризированной системы. Производитель должен обосновать свои стандарты, протоколы, критерии приемлемости, процедуры и записи на основе оценки рисков.
12. (4.2) Валидационная документация должна включать записи контроля изменений (если применимо) и отчеты о любых отклонениях, выявленных в ходе процесса валидации.
13. (4.3) Должен быть в наличии текущий перечень (реестр) всех используемых компьютеризированных систем с указанием их функциональности, подпадающей под требования настоящих Правил.
14. Для критических компьютеризированных систем должны быть в наличии подробное текущее описание физических и логических взаимосвязей, потоков данных и интерфейсов с другими системами или процессами, требуемые ресурсы всего компьютерного оборудования и программного обеспечения, доступные меры безопасности.
15. (4.4) Спецификации требований пользователя должны описывать необходимые функции компьютеризированной системы на основе документально оформленной оценки рисков и влияния с точки зрения соблюдения настоящих Правил. Требования пользователя должны прослеживаться на протяжении всего жизненного цикла компьютеризированной системы.
16. (4.5) Производитель должен предпринять все меры, гарантирующие, что компьютеризированная система разработана в соответствии с надлежащей системой управления качеством. Поставщик должен быть оценен соответствующим образом.
17. (4.6) С целью валидации компьютеризированных систем, изготовленных по индивидуальному заказу или модифицированных в соответствии с требованиями заказчика, необходимо разработать документированную процедуру оценки качества и эксплуатационных характеристик компьютеризированной системы на всех этапах ее жизненного цикла с оформлением соответствующих отчетов.
18. (4.7) Необходимо представить доказательства соответствия методов и схем тестирования компьютеризированной системы. В частности, должны быть рассмотрены пределы параметров системы (процесса), границы данных и обработка ошибок. Необходимо документально оформить оценку соответствия применения автоматизированных средств тестирования и режимов их работы.
19. (4.8) Если данные переводятся в другой формат или систему данных, валидация должна включать проверку неизменности значения и смысла данных в процессе их миграции.
IV. Стадия эксплуатации
Данные (5)
20. Компьютеризированные системы, осуществляющие электронный обмен данных с другими системами, должны включать соответствующие встроенные средства контроля правильного и безопасного ввода и обработки данных с целью минимизации рисков.
Контроль точности (6)
21. Для критических данных, вводимых вручную, необходимо предусмотреть дополнительный контроль точности ввода данных. Этот контроль может осуществляться вторым оператором или с помощью валидированных электронных средств. Критичность и потенциальные последствия ошибочного или неправильного ввода данных в систему должны охватываться системой управления рисками.
Хранение данных (7)
22. (7.1) Данные должны быть защищены от повреждений как физическими, так и электронными мерами. Сохраненные данные должны проверяться на доступность, читаемость и точность. Доступ к данным должен быть обеспечен на протяжении всего периода их хранения.
23. (7.2) Необходимо выполнять регулярное резервное копирование всех необходимых данных. Сохранность и точность резервных копий, а также возможность восстановления данных должны быть проверены в процессе валидации и периодически контролироваться.
Распечатки (8)
24. (8.1) Необходимо иметь возможность получения четких печатных копий данных, хранящихся в электронном виде.
25. (8.2) Для записей, сопровождающих разрешение на выпуск серии, должна быть предусмотрена возможность получения распечаток, указывающих, изменялись ли какие-либо данные с момента их первоначального ввода.
Контрольные следы (9)
26. На основе оценки рисков необходимо уделить внимание встраиванию в систему возможности создания записей всех существенных изменений и удалений, связанных с областью действия настоящих Правил (система, создающая "контрольные следы"). Причины таких связанных с настоящими Правилами изменений или удалений данных должны быть оформлены документально. Контрольные следы должны быть доступными, иметь возможность их преобразования в понятную для пользователей форму, регулярно проверяться.
Управление изменениями и конфигурацией (10)
27. Любые изменения в компьютеризированной системе, включая конфигурацию системы, должны проводиться только контролируемым способом в соответствии с установленной процедурой.
Периодическая оценка (11)
28. Компьютеризированные системы должны периодически оцениваться для подтверждения того, что они остаются в валидированном состоянии и соответствуют требованиям настоящих Правил. Такие оценки должны включать, в случае необходимости, оценку текущего диапазона функциональных возможностей, записей отклонений, сбоев, проблем, истории обновлении, отчеты об эксплуатации, надежности, защищенности и о валидационном статусе.
Защита (12)
29. (12.1) Для обеспечения доступа к компьютеризированной системе только лицами, имеющими на это право, необходимо использовать физические и (или) логические элементы контроля. Соответствующие способы предотвращения несанкционированного доступа к системе могут включать в себя использование ключей, карточек доступа, персональных кодов с паролями, биометрических данных, ограничения доступа к компьютерному оборудованию и зонам хранения данных.
30. (12.2) Степень защиты зависит от критичности компьютеризированной системы.
31. (12.3) Создание, изменение и аннулирование прав доступа должно быть зарегистрировано.
32. (12.4) Должна быть разработана система управления данными и документами для идентификации операторов, осуществляющих вход, а также для регистрации изменения, подтверждения или удаления данных, включая дату и время.
Управление инцидентами (13)
33. Все инциденты (непредвиденные случаи), включая системные сбои и ошибки данных, должны быть записаны и оценены. Необходимо установить основную причину критических сбоев и использовать эту информацию в качестве основы корректирующих и предупреждающих действий.
Электронная подпись (14)
34. Электронные записи могут быть подписаны в электронном виде. Электронные подписи должны:
а) (а) в рамках организации иметь такое же значение, как рукописные подписи;
б) (b) быть неразрывно связанными с соответствующими записями;
в) (с) включать время и дату, когда они были поставлены.
Выпуск серии (15)
35. Если для регистрации процедуры одобрения и выпуска серии используется компьютеризированная система, она должна предоставлять доступ для выпуска серии только уполномоченному лицу, а также должна четко идентифицировать и регистрировать уполномоченное лицо, которое одобрило и выпустило серию. Эти действия должны осуществляться с использованием электронной подписи.
Непрерывность работы (16)
36. С целью обеспечения работоспособности компьютеризированных систем, сопровождающих критические процессы, необходимо принять меры предосторожности для гарантии непрерывности поддержки этих процессов в случае выхода системы из строя (например, с использованием ручной или альтернативной системы). Время, необходимое для введения в действие альтернативных средств, должно учитывать риски и соответствовать конкретной компьютеризированной системе и сопровождаемому рабочему процессу. Эти меры должны быть надлежащим образом оформлены документально и проверены.
Архивирование (17)
37. Данные могут архивироваться. Эти данные должны проверяться на доступность, удобство чтения и целостность. Если в компьютеризированной системе необходимо провести существенные изменения (например, компьютерного оборудования или программного обеспечения), должна быть обеспечена и проверена возможность восстановления данных.
V. Термины и определения
38. Для целей настоящего Приложения кроме терминов и определений, предусмотренных главой II настоящих Правил, используются также следующие основные понятия:
владелец процесса - лицо, ответственное за рабочий процесс;
владелец системы - лицо, ответственное за доступность и техническое обслуживание компьютеризированной системы и безопасность данных, находящихся в этой системе;
жизненный цикл - все стадии существования компьютеризированной системы от формирования первоначальных требований до прекращения эксплуатации, включая проектирование, определение технических требований, программирование, тестирование, установку, работу и обслуживание;
информационно-технологическая инфраструктура – компьютерное оборудование и программное обеспечение, такое как сетевое программное обеспечение и операционные системы, которые позволяют применить их для выполнения определенных функций;
компьютеризированная система, изготовленная по индивидуальному заказу - индивидуально спроектированная компьютеризированная система для обеспечения конкретного рабочего процесса;
приложение - программное обеспечение, установленное на определенной платформе или компьютерном оборудовании и предоставляющее специальные функциональные возможности;
серийное программное обеспечение - коммерчески доступное программное обеспечение, пригодность которого для использования продемонстрирована большим количеством пользователей.