欢迎朋友们给我的计算机验证培训课件提意见

tooseven

听坛主说吴老师有大作赶紧来提点意见：
第53与54页的系统分类，与前面GAMP5的分类不符，应该删除2a,2b,并修改3的描述，3类软件直译的描述是不可配置软件。,针对第60页和61页的意见如下：
1，第60,61页中也应该删除2a,2b。
2，此外这两页中对第一类软件进行了过多的验证要求，会误导政府官员和企业，他们会增加很多不必要的工作，要知道对windows（1类软件）进行测试，基本上是企业不可能做到的事情。因此对基础软件比如windows，office word的验证是不需要的，这也是GAMP为什么对软件进行分类的的原因，基本上1类软件是不需要验证，只需要工厂有基本的IT管理就好了，就是good IT practice。
3，源代码和配置不是一个类型的质量管理，源代码是需要审核的，配置：分为配置标准（文件记录）和配置管理（结合变更管理进行）。此外对于3类和4类软件通常是不需要源代码审核的，通常这些软件的代码是不对客户公开的，比如一个压片机的PLC的程序或者LIMS的核心程序，供应商怎么舍得给你看！因此企业很难向供应商要到代码。对于这两类软件要解决这个问题，是需要进行供应商评估的，如果很有实力口碑很好的供应商并且软件是成熟产品，基本上不要做供应商审计，基本上评估就可以了。如果这套系统（4类）是新开发的软件，并且业内使用的很少，或者识别出这套系统GxP的风险很高，需要考虑进行适当的供应商审计，确认供应商的软件开发能力和质量管理能力。
对于源代码审核，国内制药行业普遍不了解这一点，一直认为这是一个难点，实际上这个并没有那么高的风险。这就跟药厂去做原料药供应商的供应商审计一样，药厂需要知道他们的原料药制造过程的反应原理吗？你去做审计的通常是去看它有没有有效的质量管理和供应能力，能不能持续稳定的为你供货。对于源代码审核的要求，是独立的有能力的人审核，并没有强调必须是药企的人（用户），如果用户没有能力可以请第三方能有力的人帮助,也可以是供应商自己的人（因为国内的软件企业，通常害怕盗版，担心知识产权），参见国外业内人士的回复，我觉得很有道理：
我的问问题是：谁是正确的来进行源代码审核的人，审核源代码的人需要有什么的资质？
他回答：

Your own company conducts source code review. Ideally, this should be conducted against an accepted industry standard, which may be extended for your own specific use regarding e.g. naming conventions.
你们公司自己执行源代码审核，理想的情况是，源代码审核需要依据行业标准来执行，并且标准可以扩展到你们特定的要求，例如：命名规范。
You should use your design / technical / specifications as input to any review i.e. what are you trying to acheive with the code
你需要将你们自己的设计/技术/标准作为输入来进行审核，也就是说：你想用这些代码来实现什么？
Source coude review can be scaled based on risk. e.g.
源代码的审核可以按照风险的等级进行：例如：
- For high risk code, conduct a code walkthrough with the developer and a couple of reviewers all walking through the code, sitting in a room together. Document any comments or findings to ensure that they are all fixed
高风险，开发人员和另外两个人员对代码坐在一起，进行排查，记录下所有的意见和发现以确保问题被整改。
- For medium risk code, ask an independent developer to review the code and also document any comments or findings to ensure that they are all fixed
中等风险：找另外一个与此程序开发无关的开发人员来审核这些代码，记录下所有的意见和发现以确保问题被整改。
- For low risk code, ask an independent developer to review the code and ask them to put any comments in an e-mail (no formal record)
低风险，找另外一个与此程序开发无关的开发人员来审核这些代码，告诉他们你的意见（无需正式记录）。

4，对于测试环节的单元测试，对于5类以下的软件是药企无法实现的，并且对于供应商也是无需向客户展示的。因为单元测试是软件开发过程中最基础的测试，是在开发过程中完成的，通常这个过程客户是无法参与的。3,4类软件通常是成熟软件，因此供应商无需重新测试，药企如果不放心，可以进行第供应商审计。5类软件是定制软件，说白了就是专门为您开发的，因此你需要保证它的质量，因此最基本的单元测试是需要的。但是这些活动通常由供应商来做。药企需要保证的是，供应商按照了正确的软件开发流程执行了测试.
5，整个验证的交付物中没有涉及权限的管理，这也是计算机系统与其它系统最大的一个区别，权限管理也是GMP强调的一个关键点，也是计算机系统的一个基础管理。道理很简单，如果你让一个不懂系统管理的操作工拥有了系统管理员的权限，结果直接把系统搞乱了，会出现什么结果？

最后一条建议就是：就是要想做好计算机系统验证，必须要了解IT行业的“软件生命周期”的管理，因为制药行业的计算机系统验证就是适用于制药行业的计算机系统的质量管理体系。其所有质量管理活动的目的就是把计算机系统也当成一个“产品”，在这个“产品”的整个生命周期内采用合适的管理体系将其管好，进而安全有效的为药品开发、生产、测试、发运过程服务以确保：患者安全，产品质量和法规记录的完整性。

提出的意见，不当之处还请海涵！
更多信息可参见我的帖子：
https://www.ouryao.com/thread-218427-1-1.html

tooseven

过路客 发表于 2014-6-6 11:11
谢谢这位蒲友的意见！关于你所提的几个问题我是这样理解的：
1）关于分级中2a、2b分级的解释，我是想通过 ...

2）关于1级的系统验证的要求，关于系统操作软件是否进行验证？我的观点是否看是否与GMP有关，如果进行网络异地备份、SAPR3 异地网络，这个网络系统软件肯定需要验证，但这个验证会与网络调试与测试一并进行，并不是专门的GMP验证。
“网络异地备份、SAPR3 异地网络”如果这样，这个整个的系统需要考虑是否4类软件，就是可配置软件（俗话说就是可以攒的系统）因此需要测试。但是通常不需要做非常基础的“单元测试”，需要特别关注的是，可配置软件之间的“链接”，是否是属于“5”类的定制软件，就是说，虽然系统可配置，但是很多可配置系统连在一起，是采用了标准的链接方式，还是要根据实际情况编写一些特定的代码程序来实现。如果需要特定的代码，这些代码应该视为5类软件。
举例来说，大家都用过Execel，如果你使用excel里面现成的公式去编辑，做GxP的数据处理，那么这个系统的风险就相对低一些，但是如果你使用Excel的宏语言，进行编写代码程序去实现你的数据数据处理功能，那么，风险就高。因为这些新的代码程序是定制的，就是5类。

3）关于源代码和配置的问题。这是一个较为复杂的技术问题，不同的公司由于技术人员专业力量、公司要求不仅相同，这个项目验证的深度确实是一个需要探讨的问题，关于这个问题，我下来在与一些专业从事计算机验证的专业人士进行讨论。

4）对于测试环节。这个项目的验证，我的观点具体情况具体分析，也是要看系统的用途、开发的成熟度而定，有些肯能通过供应商审计、设计文件的审查、第三方的测试报告，可可能需要一定的技术测试。

通常的做法是供应商评估是必须的，但是如果风险高，信心又不足的时候，需要做供应商审计。说白了就是基于风险的控制策略。就跟药品一样，GMP要求跟药品直接相关的原辅料需要进行供应商审计，但是对其它的物料并没有要求一定进行供应商审计，比如生产设备。其实这种做法很符合常理，就是说我们再做一些事情之前，我们会自己在心里掂量掂量，靠谱吗？（评估），最后觉得不靠谱，走，去看看吧！（审计）。对于计算机系统的审计，不是法规的强制要求。属于好的做法！其实这些做法，就是基于常理，至于有些常理变成了法规（GxP），那就是众多事实证明了，这么做可以很好的规避质量风险，因此法规部门进行了立法！因此就可以理解，为什么GMP不是法，而是Goog Practice（好的做法）。

5）关于权限管理的要求。不知道我的理解是否正确，这个项目应该是做为计算机系统的URS具体项目中的一个对待。
URS中应该提出系统应该能够实现这个功能，但是作为质量管理，工厂应该有权限管理的要求，就是什么样的人应该有什么样的权限应该有一个规定。这应该是好的系统的管理的基本要求，也是GMP的通用要求，以欧盟为例：
EU GMP Annex 11 Computerized Systems 欧盟GMP附录11 计算机系统
There should be close cooperation between all relevant personnel such as Process Owner, System Owner, Qualified Persons and IT. All personnel should have appropriate qualifications, level of access and defined responsibilities to carry out their assigned duties.
相关人员之间应有紧密合作，例如业务所有者，系统所有者，QP和IT人员。所有人员应具备适当的资质，权限和确定的职责去执行分配给他们的任务
Physical and/or logical controls should be in place to restrict access to computerised system to authorised persons. Suitable methods of preventing unauthorised entry to the system may include the use of keys, pass cards, personal codes with passwords, biometrics,restricted access to computer equipment and data storage areas.
应有物理上的或者逻辑上的控制去限制被授予权限的人的计算机系统的访问。有适当的方法阻止未经授权的人访问系统。可能包括须使用钥匙，门禁卡，个人密码，生物技术特征的密码才能进入计算机系统和数据区域。
这里逻辑上的控制就是指的权限管理。

tooseven

药仙 发表于 2014-6-6 12:54
拿一个死板的理论去建议另一个死板的理论更改，有用么？

不要灰心，你慢慢会懂的！

tooseven

过路客 发表于 2014-6-6 10:53
接地气，也是需要按照教学大纲进行教学，学习需要一步步来，知识不能只能看PPT，你帮我想想，三个小时里， ...

建议吴老师，找IT业内规范的企业，去了解一下IT行业的质量管理，中国有那么多强大的IT企业，QQ,taobao，他们一定要控制其质量风险，并且有些行业的风险并不比制药行业低，比如飞行控制，汽车安全，铁路运营，金融系统。
仔细考虑一下taobao的流程和一个企业的IT系统有多大区别，整个平台：你需要进货，建做归类展示，提供信息，价格……，客户选购，下单付款（跟银行链接）。很复杂的，但是无论系统多大，多复杂其管理手段基本上市相同的。

tooseven

药仙 发表于 2014-6-6 14:14
没有直接参加计算机系统安装和调试以及文件组织怎么能讲呢？空洞的理论会害死人的

还没讲，你怎么就知道空洞呢！

tooseven

过路客 发表于 2014-6-6 15:14
我10年前就接触过航空、航天、自动武器指挥系统等领域，感觉那个领域的软件系统自行开发工作量巨大，技术 ...

事实确实如你所说，制药行业的自动化水平相对较低，而且认识比较低。关键的问题是与IT行业的共同语言太少。但是如果有了共同语言，其实我们国内的IT的水平足以满足测试了！我们不清楚的是如何使用制药行业的质量管理体系的方法论去管理计算机化系统。这就要求我们了解计算机化系统的生命周期，了解GxP的要求的含义。我们把这个系统当成一个设备来看，药企需要知道压片机是怎么开发出来的吗？药企需要知道HPLC是怎么开发出来的吗？显然不需要！但药企需要了解他们的功能吗？毫无疑问，需要。因此药企我们不需要知道怎么开发，但我们需要知道他们开发过程的质量管理。就是行业的标准是这么做的，我们就应该怎么要求！至于怎么验证的流程就是当前的流程，计划，方案，接受标准，记录证据，结果判定，报告就好了。我们不懂怎么测试，可以让供应商做，并给我们讲清楚怎么用！写好操作指导，管理程序就可以用了。我们的问题是不知道怎么整合GMP的期望和计算机系统的专业管理要求。比如电子记录电子签名，所谓的电子记录和电子签名就是电子形式的记录和签名。手机里的短信，银行卡里的钱数都是电子记录。GMP对记录的期望是什么？清楚,真实，完整。改了要签名，并且能看到改之前的内容改以后的内容和修改原因。很复杂吗？非常简单。其实我们每个人都用过电子记录电子签名，只是你不在意而已。最简单的就是银行取钱，把卡（代表你的身份ID）给工作人员（登录计算机系统），告诉他取多少，他让你输密码(身份确认），给你钱。好了，结束。之前卡上有多少钱，系统能查到，取后还有多少钱，系统也能查到。谁取的，用了你的卡和密码的那个人（系统只认帐号和密码，这代表了你的身份，由此凸现权限管理的作用）。什么时间取的，系统有记录。一个符合GMP要求的银行IT系统的电子记录和签名活动就完成了！很简单：），作为测试就很容易了，就是正确ID和密码能取钱，不正确的就不能取，错误3三次，帐号锁定，所有操作的记录和变化可追溯。无非就是现实中的那个银行的工作人员和取钱的你就是在药企工作中的你（合二为一）！我现在的理解就是，所谓GMP的期望就是希望制药企业在一个比较好的基础上起步（认证后才能生产，保证基本的药品质量，基本不允许摸索着干，在不停的试错的过程中成长，会死人的！），然后PDCA，持续改进的一个循环。
因此计算机系统也不例外，要求我们一开始就要清楚，我们用它干什么（公司业务要求），要什么样的系统（系统要求，服务要求）怎么建好它（项目管理），用不好会有什么后果（风险），怎么控制（建立质量管理-验证测试，培训，SOP,IT的基础管理-变更，偏差，配置管理）。就是将质量管理的工具贯穿至系统整个生命周期内。做到这一步，基本上就能比较好的控制一个计算机系统。
很多时候，我们不了解是因为行业之间没有共同语言，制药不懂IT，IT不懂GMP。这个时候就麻烦了！

tooseven

石头968 发表于 2014-6-6 21:35
找到计算机系统和制药工艺的交集，去验证，我觉得就行了，去做计算机专业上的验证，去研究硬件组成、芯片 ...

略微有些偏颇，法规部门的要求是 基于风险的计算机验证。如果有些公司很NB，不想整合自己的业务流程（卖软件的，通常是提供商务解决方案），非要开发一套自己的系统，也未尝不可！这个时候这些NB公司还真的需要做专业上的测试和验证。

tooseven

过路客 发表于 2014-6-6 14:54
悲催的GMP专业老师：你讲具体操作方法，他说你理论功底不够；你讲理论基础概念，他说你没有实践经验；你讲 ...

有些话没有必要去较真，无视是最好的处理！

tooseven

石头968 发表于 2014-6-6 21:50
是，任何计算机系统，都需要做专业上的测试和验证。
制药行业，买回来的，或者根据URS定制的系统，更需要 ...

同意！同意！

tooseven

石头968 发表于 2014-6-6 22:02
我们把这个系统当成一个设备来看，药企需要知道压片机是怎么开发出来的吗？药企需要知道HPLC是怎么开发出 ...

同意同意！改的好！

tooseven

石头968 发表于 2014-6-7 10:32
谁是谁的马甲，不要乱怀疑，tooseven老师上海会议参加过讨论的。
扑风捉影的事儿，还是少说了。

石头老哥，老师不敢当，就一后生罢了！

tooseven

石头968 发表于 2014-6-7 10:32
谁是谁的马甲，不要乱怀疑，tooseven老师上海会议参加过讨论的。
扑风捉影的事儿，还是少说了。

石头老哥，老师不敢当，就一后生罢了！

tooseven

icymagma 发表于 2014-6-8 14:10
就我看ppt来说，你确实还是CSV实践不够，还是偏重讲法规，说实话，能把法规讲透就已经很不错了，人无完人 ...

有点跑题了！吴老师是让大家来提建议的，不是来评论个人能力的！

tooseven

icymagma 发表于 2014-6-8 14:14
CSV其实很简单，只是你没做过不熟悉，产生畏难心理而已，真正界定了项目执行方案，测试内容和测试流程，其 ...

理解的有点简单了，验证测试是很简单，但是能和GMP的质量管理体系融合在一起就有点难度了!不知道你是干哪行的？

tooseven

icymagma 发表于 2014-6-8 14:51
我专做制药控制系统设计和CSV的，在上海这边混日子，说实话，国内真懂CSV的没几个人，但是会做CSV的人一堆 ...

你说的对！做具体的测试很容易的！CSV的难点是将计算机系统的生命周期和GMP的管理理念融合在一起。如果不嫌麻烦，所有的测试统统来一遍。也未尝不可！
其实很多药厂都在或多或少的做一些CSV的工作，只是，除了一些外企，其管理系统还不怎么完整。

tooseven

过路客 发表于 2014-6-8 15:55
谢谢你的意见，还替我解释！
这次把这个PPT拿出晒晒，其本身就希望蒲友能够用批评的眼光看问题，说实话， ...

好！吴老师请喝酒得打飞的去啊！

tooseven

icymagma 发表于 2014-6-8 23:10
1)软件的分类，并非是仅仅是对系统软件的分类，更多是对基于成熟软件做二次开发的时候，产生的实际程序的 ...

除了专业技术的什么S88，S95……我不懂,其余的都同意！

tooseven

过路客 发表于 2014-6-8 19:04
哈！你不是在上海吗？

吴老师，应该看看我的主页的地址介绍！你会吃一惊！

tooseven

过路客 发表于 2014-6-8 16:26
谢谢这位蒲友！你的意见非常正确！
   我刚才看了你的几个帖子，你说的非常全面和深入，看来你也是对CVS ...

1）首先药品生产企业及咨询、工程公司从事CVS验证管理的人首先要清楚，药品生产企业的计算机（化）系统都是操作应用系统，与工程应用层（设备制造厂、自动化工程公司）、系统开发层（微软、SAP、西门子等提供系统软件、标准自动化产品）所关注的验证目标、验证范围与方式截然不同，不要用软件的生命周期套用药品生产企业的验证步骤，其含义、目的、手段不尽相同。更应该关注使用中的功能要求与其对应的控制结果，不必关注其系统架构、源代码与代码分配等计算机专业技术。

吴老师真乃神人，这么快就有这么高的领悟！
   2）编制好一个CVS验证程序，根据GMAP5的原则，规定好计算机（化）系统的分类（四类）、验证步骤（项目启动－需求确定－设计开发－测试－接收与验证－使用与维护－退出）每一个阶段具体工作内容。作为公司实施CVS验证的标准，避免风险评估漫天飞的局面发生。

我的理解是：不是编制好一个CSV的验证程序，而是一套质量管理体系。当前大部分法规中提到验证无非就是4Q，清洁验证，方法学验证等。但是最新的验证理念全部是向生命周期的方向发展，就是全过程的质量管理。以前的验证概念是生产使用前的文件证明，好像只要验证通过，产品（设备，系统）就不会出问题！事实证明并非如此！我给它的叫法是，基于风险的从生到死的质量管理体系！
   3）其次是要识别计算机（化）系统是否用于产品工艺控制、监测、检测？是否用于物料与产品放行与控制？是否进行相关药品生产质量记录采集、记录、保存与备份？是否用与药品生产工艺过程的条件的监测与控制？如HVAC、制药用水系统等。根据系统与药品的直接与间接关系，并根据计算机系统的复杂程度和新颖性分别制定计算机系统的质量控制策略与验证范围。

我的理解是：制药企业把计算机系统当成一个有生命的产品，就像我们原来管理生产设备一样，有前期的URS，影响评估，验证计划，供应商评估（审计），设计确认，IQ,OQ,PQ,验证报告，然后日常使用时，要有SOP，培训，校准，预防维护，变更、偏差管理，周期性回顾或者再确认，直到最后退出！计算机系统理应也有这样的周期内的质量管理，只不过再起周期内多了一些IT行业特殊的管理，比如配置管理，权限管理，GAMP5中特别强调了供应商的作用，主要的考虑就是毕竟我们是制药，不是搞IT，因此从其管理上来说还要有一系列的服务协议！因此应该是从生到死的质量管理，另外风评也是不能少的
  4）对不同的类型、级别的计算机化系统在URS阶段，重点关注计算机系统特殊性的要求：1）权限、2）数据录入、保存与更改 3）备份  4）系统功能  5）数据备份  6）灾难性回复   7）软件版本与备份等要求。

高手啊！

5）对于具体测试手段，我个人认为制药企业很少有五级系统，就是有五级系统也是一个很小的系统，绝不会有歼十飞机上独立的操作系统、数据传输系统那么复杂。我想跟设备验证IQ、OQ进行同步测试即可，只是要根据CVS要求增加的特殊项目做黑盒测试。如果有五级系统的CVS验证，重点还是放在对供应商对管理上（评估、流程控制、阶段性验收）等方面，如果企业本身有实力（人员、资金）另当别论。

单纯的5级系统基本很少，很少有软件企业，专门为一个制药公司打造定制的软件，除非是新的基础系统下，一些供应商可能需要做一些开发。比如Windows 8下面的HPLC（不知道有没有），作为最开始使用的企业，肯定要谨慎一些！作为制药企业，可以讲一个大的系统分成若干个模块，3类，4类，5类分别对待。   

6）企业可以对典型的系统，如PLC控制系统及设备、检测仪器与控制软件、公用系统监测与控制系统、ERP（涉及物料产品放行、相关物料记录）、电子表格（工艺控制与检测结果判断分析）等常见的系统，有针对性的确定一些验证项目和方法，必要时做几个模版，这样统一验证的思路、方法，可以减少风险评估、技术讨论的麻烦。
同意！

tooseven

药仙 发表于 2014-6-9 08:59
别光说，拿一个案例，比如水系统的自控案例谈谈，理论网上有的是，不用你在这空谈

刚做了一个水系统，老牌企业，斯蒂莫斯的。感觉还不错，运行挺稳定的！这算案例吗？