1.传统的GxP环境下CSV验证
1.1 GxP合规要求的定义
生命科学行业客户按照其行业特性与阶段,被监管部门按照以下不同标准进行管理,包括Good Laboratory【良好实验室规范】, Clinical【良好临床规范】, Manufacturing【良好制造规划】 ,Distribution【良好分销规范】 and Usage 【良好使用规范】practices,以上这些法规规范被统称为GxP合规要求。
图1. GxP的要求是监管对于药品不同阶段的业务与数据管理要求
1.2 GxP CSV要求的定义与来源
而在GxP合规要求下,传统意义上的计算机化系统【Computerized System】被定义为:由计算机的硬件、基础设施层软件、应用层软件和相应的管理文件(例如:用户使用手册和标准流程手册SOP)所组合形成的系统来在GxP业务中创建,修改,保存,归档,恢复及转化电子信息 。因此我们可以理解为如果一个计算机化系统被用于实验室、临床或制造的业务,管理其业务中产生的数据和记录,那么这些计算机化系统就被纳入了GxP监管范畴。
图2. 以FDA Part11适用范围为例,使用在药品特定阶段(如GLP,GCP,GMP)的业务中的计算机化系统、仪器或设备需要按GxP要求管理
1.3 CSV需要确认(Qualification)与验证(Validation)的对象
在这种情况下,计算机化系统的实施与管理过程,传统上意味着GxP药企购买并安装物理硬件、基础设施软件(操作系统、数据库环境、应用程序堆栈等)和GxP应用程序,或者将上述这些活动的一部分或全部外包给第三方。当这些计算机化的系统组件被安装在GxP监管的组织设施内时,它们被称为“On-Premises就地管理”,当它们被安装在其他人的设施中并被远程访问时,它们被称为“共同管理Co-located”或“外部托管Externally Hosted”。
IT Infrastructure Qualification
物理计算机硬件和基础设施软件(“Infrastructure”)通常由购买的商业现货(COTS)产品和服务组成;由于基础设施通常是在商业市场上大量销售的通用IT商品,因此它通常被认为是计算机化系统中风险较低的组成部分,即使考虑到信息安全的风险与基础设施相关。完成基础设施的安装后,GxP组织需要进行配置和测试,并生产相应的文件,这就是GxP要求中对于IT infrastructure qualification的要求。
Software Validation
安装在合格基础设施上的GxP应用程序可以是COTS或自定义软件,其计算机化系统验证(Computerized System Validation)级别通常取决于应用程序的预期用途和基于风险的方法。GxP应用程序安装在合格的基础设施上,针对特定的GxP流程和过程进行配置,然后进行测试,以确保实现预期的用途和需求;这通常被称为软件验证。
GxP CSV验证的要求:自下而上包括,搭建基础设施,基础设施确认,软件验证,GxP业务流程验证。
1.4 服务器与虚拟化
在20世纪90年代中期硬件虚拟化普及之前,运行安装在基础设施上的应用程序的基本场景一直是GxP计算机化系统中的主要方法。虚拟化最初是在20世纪60年代作为支持大型机分时的一种方式而发展起来的,它允许单个计算机硬件(即服务器)操作一个或多个独立且安全运行的虚拟机。这提供了对物理硬件的更有效的使用,以及在每个虚拟机中运行不同软件程序和安全组的更大灵活性。使虚拟化成为可能的基础设施组件称为虚拟机管理器(“hypervisor”)。
| 传统实体服务器的劣势 | 现代虚拟化超融合的优势 |
|---|---|
| CPU、内存、磁盘;资源利用率不高 | 动态资源分配,提升资源利用率 |
| 存在多处单点故障风险,没有冗余,系统不具有高可用 | 主机冗余,数据多副本,业务高可用 |
| 运维管理复杂,涉及多领域技能 | 系统部署上线周期快,管理简单(虚机快速部署) |
