本帖最后由 tooseven 于 2014-6-5 23:27 编辑
听坛主说吴老师有大作赶紧来提点意见:
第53与54页的系统分类,与前面GAMP5的分类不符,应该删除2a,2b,并修改3的描述,3类软件直译的描述是不可配置软件。,针对第60页和61页的意见如下:
1,第60,61页中也应该删除2a,2b。
2,此外这两页中对第一类软件进行了过多的验证要求,会误导政府官员和企业,他们会增加很多不必要的工作,要知道对windows(1类软件)进行测试,基本上是企业不可能做到的事情。因此对基础软件比如windows,office word的验证是不需要的,这也是GAMP为什么对软件进行分类的的原因,基本上1类软件是不需要验证,只需要工厂有基本的IT管理就好了,就是good IT practice。
3,源代码和配置不是一个类型的质量管理,源代码是需要审核的,配置:分为配置标准(文件记录)和配置管理(结合变更管理进行)。此外对于3类和4类软件通常是不需要源代码审核的,通常这些软件的代码是不对客户公开的,比如一个压片机的PLC的程序或者LIMS的核心程序,供应商怎么舍得给你看!因此企业很难向供应商要到代码。对于这两类软件要解决这个问题,是需要进行供应商评估的,如果很有实力口碑很好的供应商并且软件是成熟产品,基本上不要做供应商审计,基本上评估就可以了。如果这套系统(4类)是新开发的软件,并且业内使用的很少,或者识别出这套系统GxP的风险很高,需要考虑进行适当的供应商审计,确认供应商的软件开发能力和质量管理能力。
对于源代码审核,国内制药行业普遍不了解这一点,一直认为这是一个难点,实际上这个并没有那么高的风险。这就跟药厂去做原料药供应商的供应商审计一样,药厂需要知道他们的原料药制造过程的反应原理吗?你去做审计的通常是去看它有没有有效的质量管理和供应能力,能不能持续稳定的为你供货。对于源代码审核的要求,是独立的有能力的人审核,并没有强调必须是药企的人(用户),如果用户没有能力可以请第三方能有力的人帮助,也可以是供应商自己的人(因为国内的软件企业,通常害怕盗版,担心知识产权),参见国外业内人士的回复,我觉得很有道理:
我的问问题是:谁是正确的来进行源代码审核的人,审核源代码的人需要有什么的资质?
他回答:
Your own company conducts source code review. Ideally, this should be conducted against an accepted industry standard, which may be extended for your own specific use regarding e.g. naming conventions.
你们公司自己执行源代码审核,理想的情况是,源代码审核需要依据行业标准来执行,并且标准可以扩展到你们特定的要求,例如:命名规范。
You should use your design / technical / specifications as input to any review i.e. what are you trying to acheive with the code
你需要将你们自己的设计/技术/标准作为输入来进行审核,也就是说:你想用这些代码来实现什么?
Source coude review can be scaled based on risk. e.g.
源代码的审核可以按照风险的等级进行:例如:
- For high risk code, conduct a code walkthrough with the developer and a couple of reviewers all walking through the code, sitting in a room together. Document any comments or findings to ensure that they are all fixed
高风险,开发人员和另外两个人员对代码坐在一起,进行排查,记录下所有的意见和发现以确保问题被整改。
- For medium risk code, ask an independent developer to review the code and also document any comments or findings to ensure that they are all fixed
中等风险:找另外一个与此程序开发无关的开发人员来审核这些代码,记录下所有的意见和发现以确保问题被整改。
- For low risk code, ask an independent developer to review the code and ask them to put any comments in an e-mail (no formal record)
低风险,找另外一个与此程序开发无关的开发人员来审核这些代码,告诉他们你的意见(无需正式记录)。
4,对于测试环节的单元测试,对于5类以下的软件是药企无法实现的,并且对于供应商也是无需向客户展示的。因为单元测试是软件开发过程中最基础的测试,是在开发过程中完成的,通常这个过程客户是无法参与的。3,4类软件通常是成熟软件,因此供应商无需重新测试,药企如果不放心,可以进行第供应商审计。5类软件是定制软件,说白了就是专门为您开发的,因此你需要保证它的质量,因此最基本的单元测试是需要的。但是这些活动通常由供应商来做。药企需要保证的是,供应商按照了正确的软件开发流程执行了测试.
5,整个验证的交付物中没有涉及权限的管理,这也是计算机系统与其它系统最大的一个区别,权限管理也是GMP强调的一个关键点,也是计算机系统的一个基础管理。道理很简单,如果你让一个不懂系统管理的操作工拥有了系统管理员的权限,结果直接把系统搞乱了,会出现什么结果?
最后一条建议就是:就是要想做好计算机系统验证,必须要了解IT行业的“软件生命周期”的管理,因为制药行业的计算机系统验证就是适用于制药行业的计算机系统的质量管理体系。其所有质量管理活动的目的就是把计算机系统也当成一个“产品”,在这个“产品”的整个生命周期内采用合适的管理体系将其管好,进而安全有效的为药品开发、生产、测试、发运过程服务以确保:患者安全,产品质量和法规记录的完整性。
提出的意见,不当之处还请海涵!
更多信息可参见我的帖子:
https://www.ouryao.com/thread-218427-1-1.html | 
[复制链接]
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 增值电信业务经营许可证编号:京B2-20243455 互联网药品信息服务资格证书编号:(京)-非经营性-2024-0033
发表于 2014-6-5 22:11:03
楼主
