Приложение 11. Правила GMP EC 2019 (Компьютеризированные системы)

Приложение 11. Правила GMP EC 2019 (143 КБ)

Содержание

1 Основные принципы
2 Общие положения
3 Стадия разработки
4 Стадия эксплуатации
5 Термины и определения

Основные принципы

Данное приложение применяется ко всем типам компьютеризированных систем, используемых в области применения настоящего стандарта. Компьютеризированная система представляет собой набор программных компьютерное оборудование, которые совместно выполняют определенные функции.

Применение компьютеризированной системы и информационно-технологическая инфраструктура должны быть аттестованы.

Если компьютеризированная система заменяет ручное управление, это не должно приводить к снижению качества продукции, технологического контроля или обеспечения качества. Общий риск процесса не должен возрастать.

Общие положения

1 Анализ рисков

Анализ рисков должен выполняться в течение жизненного цикла компьютеризированной системы в целях обеспечения безопасности пациентов, целостности данных и качества продукции. Решения по объему испытаний и контролю целостности данных должны основываться на обоснованной и документально оформленной оценке рисков компьютеризированной системы.

2 Персонал

Следует организовать взаимодействие между всеми лицами, имеющими отношение к данному процесс, включая владельцев процесса и системы, уполномоченных лиц и информационнотехнологический персонал. Весь персонал должен иметь необходимую квалификацию, уровень доступа и нести ответственность за выполнение своих обязанностей.

3 Поставщики продукции и услуг

Если для поставки, установки, наладки, задания конфигурации, интегрирования, аттестации, технического обслуживания (в том числе через удаленный доступ), модификации или поддержания компьютеризированных систем, оказания связанных с ними услуг или обработки данных привлекаются третьи лица (в частности, поставщики продукции и услуг), то между производителем и указанными третьими лицами заключаются договоры. Такие договоры должны предусматривать ответственность третьих лиц за выполнение своих обязанностей. Аналогичные требования предъявляются к информационно-технологическим подразделениям.
Основными требованиями к поставщикам продукции или услуг являются их компетентность и надежность. Необходимость в аудите рекомендуется определять с использованием оценки рисков.
Документация, прилагаемая к коммерчески доступным готовым для использования программным продуктам, должна быть рассмотрена пользователями, которые подлежат контролю, на предмет соответствия требованиям производителя.
Информация о системе качества и аудитах поставщиков или разработчиков программного обеспечения и установленных систем должна быть доступна для предоставления лицам, осуществляющим контроль, по их требованию.

Стадия разработки

4 Аттестация

Документация аттестации я и отчеты должны охватывать соответствующие стадии жизненного цикла компьютеризированной системы. Производитель должен обосновать свои стандарты, протоколы, критерии приемлемости, инструкции и записи на основе оценки рисков.
Документация по аттестации должна включать протоколы контроля изменений (если требуется) и отчеты о любых отклонениях, выявленных при аттестации.
Следует иметь действующий перечень (реестр) всех используемых компьютеризированных систем с указанием их функций в рамках области применения настоящего стандарта.

Для критических систем следует иметь подробное действующее описание физических и логических взаимосвязей, потоков данных и интерфейсов с другими системами или процессами, данные о всем компьютерном оборудовании и программном обеспечении и мер безопасности.

Спецификации требований пользователя (задание на разработку) должны описывать необходимые функции системы на основе документально оформленной оценки рисков и соблюдения настоящего стандарта. Требования пользователя должны прослеживаться в течении всего жизненного цикла системы.

Правила GMP EC 2019

Пользователь должен предпринять все меры, гарантирующие, что компьютеризированная система разработана в соответствии с системой обеспечения качества. Поставщик должен быть оценен соответствующим образом.
Для аттестации компьютеризированных систем, разработанных по индивидуальному заказу или модифицированных в соответствии с требованиями заказчика, необходимо разработать методику оценки качества и эксплуатационных характеристик системы на всех этапах ее жизненного цикла с оформлением соответствующих отчетов.
Следует предоставить свидетельства соответствия методик контроля и тестирования. В частности, следует пределы параметров системы (процесса), границы данных и действия в случае ошибок. Необходимо документально оформить оценку соответствия автоматизированных средств тестирования и режимов их работы.
Если данные переводятся в другой формат или систему данных, то аттестация должна включать проверку неизменности значения и/или смысла данных в процессе их переноса.

Стадия эксплуатации

5 Данные

Компьютеризированные системы, осуществляющие электронный обмен данных с другими системами, должны иметь соответствующие встроенные средства контроля правильного и безопасного ввода и обработки данных с целью минимизации рисков.

6 Контроль точности

Для критических данных, вводимых вручную, необходимо предусмотреть дополнительный контроль точности ввода данных. Этот контроль может осуществляться вторым оператором или с помощью аттестованных электронных средств. Критичность и возможные последствия ошибок или неправильного ввода данных в систему должны быть учтены при анализе рисков.

7 Хранение данных

Следует защищать от искажений как физическими, так и электронными мерами. Следует проверять доступность, читаемость и точность сохраненных данных. Доступ к данным должен быть обеспечен на протяжении всего периода их хранения.
Следует выполнять регулярное резервное копирование всех необходимых данных. Сохранность и точность резервных копий, а также возможность восстановления данных должны быть проверены в процессе аттестации и периодически контролироваться.

8 Распечатки

Следует иметь возможность получения четких печатных копий данных, хранящихся в электронном виде.
Для записей, сопровождающих разрешение на выпуск серии, должна быть предусмотрена возможность получения распечаток, указывающих, изменялись ли какие-либо данные с момента их первоначального ввода.

9 Контрольные следы

Следует предусмотреть внесение в систему записей всех существенных изменений и удалений, связанных с применением настоящего стандарта (система, создающая «контрольные следы»), прибегая к анализу рисков. Следует таких документально оформлять причины изменений или удалений Контрольные следы должны быть доступными, должна быть возможность их преобразования в понятную для пользователей форму, их следует регулярно рассматривать.

10 Внесение изменений и изменение конфигурации

Любые изменения в компьютеризированной системе, включая конфигурацию системы, должны проводиться только контролируемым способом в соответствии с инструкцией.

11 Периодическая оценка

Следует периодически оценивать компьютеризированные системы ля подтверждения того, что они соответствуют результатам и настоящему стандарту. При этом следует, где требуется, оценивать текущие функциональные возможности, данные об отклонениях, сбоях, проблемах, истории обновлении, отчеты об эксплуатации, надежности, защищенности и о проведении аттестации.

12 Безопасность

Следует предусмотреть физические и логические средства защиты для ограничения доступа к компьютеризированной системе только лиц, имеющими на это право. Средства для предотвращения несанкционированного доступа к системе могут включать в себя использование ключей, карточек доступа, персональных кодов с паролями, биометрических данных, ограничения доступа к компьютерному оборудованию и зонам хранения данных.
Степень защиты зависит от критичности компьютеризированной системы.
Создание, изменение и аннулирование прав доступа должно быть оформлено документально.

Правила GMP EC 2019

Следует разработать систему контроля данных и документов для идентификации операторов, которые входят в систему, и для регистрации изменения, подтверждения или удаления данных, включая дату и время.

13 Действия при сбоях в работе

Следует регистрировать и анализировать все сбои в работе, включая системные сбои и ошибки данных. Необходимо установить основную причину критических сбоев и использовать эту информацию в качестве основы корректирующих и предупреждающих действий.

14 Электронная подпись

Документы в электронной форме могут быть заверены электронной подписью. Электронные подписи должны:

а) в рамках организации иметь ту же силу, что и подписи от руки;

b) быть неразрывно связанными с соответствующими документами; с) включать время и дату, когда они были поставлены.

15 Выпуск серии

В случаях, когда выпуск серии продукции осуществляется с использованием компьютеризированной системы, она должна предоставлять доступ для выпуска серии только уполномоченному лицу и четко идентифицировать и регистрировать уполномоченное лицо, которое одобрило и выпустило серию. Эти действия должны осуществляться с использованием электронной подписи.

16 Непрерывность работы

С целью обеспечения работоспособности компьютеризированных систем, сопровождающих критические процессы, необходимо принять меры предосторожности для гарантии непрерывности поддержки этих процессов в случае выхода системы из строя (например, с использованием ручной или дублирующей системы). Время, необходимое для введения в действие дублирующих средств, должно учитывать риски и соответствовать конкретной компьютеризированной системе и сопровождаемому процессу. Эти меры должны быть надлежащим образом оформлены документально и проверены.

17 Архивирование данных

В случае необходимости архивирования данные следует проверять на доступность, удобство чтения и целостность. Если в компьютеризированной системе необходимо провести существенные изменения (например, компьютерного оборудования или программного обеспечения), следует обеспечить и проверить возможность восстановления данных.

Термины и определения

Владелец процесса (process owner): лицо, ответственное за рабочий процесс;

Владелец системы (system owner): лицо, ответственное за доступ и техническое обслуживание компьютеризированной системы и безопасности данных, находящихся в этой системе;

Жизненный цикл (life cycle): все стадии существования компьютеризированной системы от постановки задачи до прекращения эксплуатации, включая задание исходных требований разработку, программирование, тестирование, установку, пользование и обслуживание;

Информационно-технологическая инфраструктура (IT Infrastructure): компьютерное оборудование и программное обеспечение, такое как сетевые и операционные системы, которые позволяют применять их для выполнения определенных функций;

Компьютеризированная система, изготовленная по индивидуальному заказу (bespoke/customized computerized system): индивидуально разработанная компьютеризированная система для обеспечения конкретного процесса;

Приложение (application): программное обеспечение, установленное на определенной платформе или компьютерном оборудовании и выполняющее специальные функции;

Серийное программное обеспечение (commercial off the shelf software): коммерчески доступное программное обеспечение, пригодность которого для использования продемонстрирована большим количеством пользователей.

Обучение стандартам GMP

Обучение проводится совместно с Ассоциацией инженеров по контролю микрозагрязнений.

Мы проводим семинары в Москве, в том числе с выездом на предприятия по следующим темам:

Правила GMP (общий курс);
Специальные разделы правил GMP (система качества, очистка оборудования, обоснование выпуска разной продукции на одном оборудовании, производство субстанций, склады);
Чистые помещения, с выдачей международного сертификата ICCCS.
Занятия проводят специалисты с многолетним практическим опытом работы в стране и за рубежом.

Подробнее

Понедельник - Пятница	9:00 - 17:30
Суббота - Воскресенье	Выходной