【原创】计算机化系统管理文件体系需要单独建立吗？

石头968

    前面几则微信，主要讲了《计算机化系统的清单包含哪些》、《计算机化系统硬件的确认与验证原则》、《计算机化系统软件的分类与验证原则》，今天说一下《计算机化系统管理文件体系的建立》。

    前几天，有些人一直在问我计算机化系统到底怎么样验证，管理文件怎么弄，他们觉得计算机化系统是如此的另类，必须有单独的《计算机化系统管理规程》、《计算机化系统验证主计划》、《计算机化系统验证SOP》、《计算机化系统变更管理规程》、《计算机化系统偏差管理规程》、《计算机化系统操作管理规程》、《计算机化系统维护管理规程》……，反正，只要别的设备有的，计算机化系统也要有，恨不得为“计算机化系统”另外建立一套完整的GMP体系文件，这真是一个庞大的世纪工程！

    前面的几期微信中，我一直在说，“计算机硬件”其实就是普通的电气设备、或者主设备和主系统的一个组成部分，我们把它理解为设备的一个关键部件也可以，那么“计算机软件”就是写给计算机系统进行运行的“操作SOP”，计算机硬件按照软件指令进行工作，那么“软件”就和写给人的操作SOP文件没有本质区别。

    如果把计算机比作人也可以，我们没必要去研究人的五脏六腑、七情六欲，只要经过适当的培训，他能够按照SOP进行正常的操作，就OK了！

如果真的要为计算机化系统建立一些管理规程，我觉得也没必要全部都特别单独建立。

1、质量风险管理

    计算机系统作为一台设备或者设备的一个部件进行风险管理就可以了，没必要单独写一份计算机化系统的质量风险管理文件，计算机化系统代替人工操作，不应增加风险，风险主要来自于计算机执行的动作和实现的功能对产品质量的影响。而且风险管理应当贯穿设备的生命周期，当然包括计算机化系统，作为质量风险管理的一部分，就可以了。

2、验证主计划

    如果非想单独写一份计算机化系统的验证主计划，也可以，随便吧。制药项目实施阶段可以有项目验证主计划，也可以分车间和QC，当然也可以分计算机和非计算机，正常运行阶段有公司的验证主计划，当然也可以把计算机系统单列，不过我认为没必要。   

3、计算机化系统分类清单

    台账登记，可以把嵌入式计算机系统（比如智能仪表）不单独登记，但是它们肯定也是计算机系统。

    分类方式两种，一种是按照用途，一类是按照软件性质，也可以混合分类。

    前面的微信说的比较清楚了。

4、计算机系统的验证SOP

    附录要求我们对计算机化系统的验证建立相应的操作规程，我倒是觉得有没有单独的SOP，都无所谓，可以把验证的原则、流程、操作SOP，都写在验证主计划中，当然也包括定制计算机化系统，通用商品和定制化商品的验证策略也都可以写进验证主计划。

5、确认与验证文件（URS/FAT/DQ/IQ/OQ/PQ）

    既然把计算机系统作为设备管理，那么每一台关键和主要的影响产品质量的计算机系统，就都要进行确认和验证，确认和验证的程度和范围要经过风险评估确定，这与普通的设备没有区别，那么该写什么文件，还是自己去评估的好。

6、操作SOP、维护SOP

    计算机系统作为设备或者设备的一部分，软件作为写给计算机硬件的操作SOP，但是计算机本身还是需要人的操作介入，那么也要写给人一份对计算机系统的操作SOP，当然是设备就需要进行维修维护，那么维护SOP，也必不可少。

7、预防性维护计划

    有维护就要有维护SOP，有预防性维护指令、维护记录和预防性维护记录，有月度预防性维护报告。

8、计算机化系统变更操作SOP

    附录要求我们有计算机化系统变更操作SOP，但是我不认为它就需要单独的变更SOP，变更控制，是对产品有质量影响的关键因素的改变进行控制的一种手段，计算机系统的变更，和其它“人机料法测环”的变更，有区别吗？计算机化系统，本身就是“人机料法测环”的一小小部分而已。

9、供应商管理SOP

     我们本来有原辅料或者物料包材等的供应商管理，也应该有设备系统、备品备件的供应商管理，还应该有第三方维护、第三方校准机构的供应商管理，那么计算机系统，不就是设备和系统嘛，凭什么它就要单独写供应商管理SOP，就要有单独的供应商审计和质量审计的流程？

10、人员岗位职责与资质确认文件

    计算机系统的操作算一个特殊的岗位吗，如果算，那么每一个岗位都和别的岗位不一样，也都有其特殊性，写不同的岗位职责、不同的培训内容、不同的考核内容，但是管理流程是一样的，没有必要另起炉灶去管理。

11、计算机化系统操作权限管理SOP

    这个，可能要单独起草一份文件了，权限授予与收回、密码设置、各权限下的人员清单、各权限对应的操作功能。

12、纸质数据与电子数据管理SOP

    附录要求我们规定清楚，生产质量活动是以纸质数据为主还是以电子数据为主，如果以电子数据为主，就要遵守附录第十九条 ，反之则不需要遵守，哈哈！

13、计算机化系统应急处理方案和操作SOP

    这个文件肯定需要单独建立了。出现故障或损坏时，尤其是影响到产品质量时，应急处理尤为重要。

14、计算机化系统放行产品SOP

    如果你用它来放行产品，就要有相关规定，可以在产品放行的文件中规定，没必要单独制定该文件。

15、电子数据与电子签名SOP

如果企业以电子数据为主，那么除了需要遵守附录第十九条外，还要遵守电子签名法。这个法大家还是自己去学习一下吧。

其他需要的文件，如果大家认为还有必要，可以跟帖列出来！

欢迎继续关注，并提出问题，一起讨论！

欢迎关注微信公众平台

戏梦人生

不错不错，一起下载这几篇。不过，头大，头大，啥也开始搞验证了。郁闷呀，累死千军呀？石头啥时候有了培训资料给共享一下，也给小伙伴们培训培训

yuansoul

戏梦人生 发表于 2015-7-22 09:59
不错不错，一起下载这几篇。不过，头大，头大，啥也开始搞验证了。郁闷呀，累死千军呀？石头啥时候有了培训 ...

应该去 格式化 煎茶员。格式化小盆友 木有用。

孙艳红

基本赞同石头老师意见，但第三条单独分类建立台账比较好

aflyfish

石头老师说的很详细，其实大家对照着读读GMP规范附录—计算机系统，收益应该更多。

aflyfish

1、老师，你应该细化“审核审计追踪”，包括频率和做法，我相信大家对这块应该很感兴趣。
2、目前QC的计算机系统基本上按照这样来做，但是对于生产辅助系统，很多还没有做到，或至少FDA或欧盟不太关注这块，老师，我想听听你这块的意见。

87牛

老师，关于审计追踪的相关文件如何定位啊？

87牛

老师，关于审计追踪的相关文件如何

石头968

戏梦人生 发表于 2015-7-22 09:59
不错不错，一起下载这几篇。不过，头大，头大，啥也开始搞验证了。郁闷呀，累死千军呀？石头啥时候有了培训 ...

【济南培训课件】计算机化系统与数据完整性
https://www.ouryao.com/forum.php? ... 5&fromuid=19880

石头968

意林枫 发表于 2015-7-22 10:08
基本赞同石头老师意见，但第三条单独分类建立台账比较好

本来就是单独建立分类台账

石头968

aflyfish 发表于 2015-7-22 10:16
石头老师说的很详细，其实大家对照着读读GMP规范附录—计算机系统，收益应该更多。

对，我也是学习附录来着

石头968

aflyfish 发表于 2015-7-22 10:16
石头老师说的很详细，其实大家对照着读读GMP规范附录—计算机系统，收益应该更多。

附录不够简明扼要

石头968

aflyfish 发表于 2015-7-22 10:21
1、老师，你应该细化“审核审计追踪”，包括频率和做法，我相信大家对这块应该很感兴趣。
2、目前QC的计算 ...

审计跟踪（audit trail），是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查审计跟踪记录、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持职能的实现。审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程，审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。
不需要频率。
生产辅助系统，如果不以其电子数据为管理依据和记录依据，就叫辅助系统，大家都不关心。所以，审计检查的时候，大家都说不以计算机数据为主，只是辅助管理，及时形成纸质记录，及时签名确认，检查官就不查了。
以后就难说了。

石头968

87牛 发表于 2015-7-22 10:25
老师，关于审计追踪的相关文件如何

审计跟踪（audit trail），是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查审计跟踪记录、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持职能的实现。审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程，审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。
审计追踪的相关文件，我也没有见过。

aflyfish

石头968 发表于 2015-7-22 10:36
审计跟踪（audit trail），是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查审计跟踪记录、审 ...

按照你的理解，审计追踪是计算机系统的功能，想看就看，故QA不需要去审计“审计追踪不需要频率”？是这样的吗？

华重楼

石头哥，太复杂了，看不懂

石头968

aflyfish 发表于 2015-7-22 10:54
按照你的理解，审计追踪是计算机系统的功能，想看就看，故QA不需要去审计“审计追踪不需要频率”？是这样 ...

这个功能，很多系统会设置“开”与“不开”，当然还是应该打开这个功能，很多活动才具有可追溯性。
QA审计，对于这个功能的审计，只是对系统审计的极小一部分内容，没必要特别审计它。
我觉得QA定期看这个追踪记录意义也不大，毕竟数据庞大，除非是发现有异常、偏差、OOS……才会“有目的”的去追查吧。
个人了理解。

石头968

华重楼 发表于 2015-7-22 10:56
石头哥，太复杂了，看不懂

哪里复杂了，这不是在简单化嘛

wangjiguoqu119

总结的太好了。

aflyfish

石头968 发表于 2015-7-22 11:16
这个功能，很多系统会设置“开”与“不开”，当然还是应该打开这个功能，很多活动才具有可追溯性。
QA审 ...

我觉得有必要，但我的理解不一定对：
1、需要对数据与元数据的生命周期进行控制。
2、确认是否对数据进行了客观的处理，并采取措施避免或发现“结果导向的检验，或选择性报告“，同时制定审核清单。

有没有这种情况：进样中断、预测、培训，复检没有体现或说明，失败删除的呢，是否和相应的记录能够对应起来呢？