应用gamp5验证ERP系统

编者按:本文最初发表于2010年11月/ 12月号制药工程的正式出版哲学(www.ispe.org)。一般情况下，此内容仅供社会成员使用，但经特殊安排，此处以删节形式再版。全文，包括所有相关参考资料，可在网上查阅。ISPE将于2011年2月21-24日在坦帕举行会议:www.ispe.org/2011tampaconference。

正如ICH Q9(国际协调会议)质量风险管理所反映的那样，制药行业的风险管理概念正在成熟和协调。GAMP 5(良好自动化制造规范5)为在计算机化系统的开发、实施和维护中应用这些概念提供了方向。对患者的风险和产品质量仍然是主要关注的领域。本文展示了如何将这种基于风险的方法有效地应用于ERP验证和遵从性。

通常，商业现货软件(COTS)包，包括那些用于大多数ERP实现的基础，在商业发布之前将由供应商仔细测试。因此，在这种情况下，尝试测试每一次鼠标点击或每一个子菜单并没有内在价值，这也不是监管要求。重点应该放在确保产品的配置是定义好的、整体的(根据GxP1、2和第113部分的遵从性)，遵循实际的业务流程，并且经过验证适合预期的用途。

受监管公司应专注于管理患者安全和产品质量的潜在风险，并确保符合相关GxP法规，包括21 CFR Part 11。此外，他们还应该考虑对整个业务流程的影响。

GAMP 5将计算机化系统定义为:“计算机化系统包括硬件、软件和网络组件，以及受控功能和相关文档。”基于这个定义，在ERP系统的实施中使用了一个整体的方法，如下所述。

案例研究概述

本文中讨论的ERP系统SAP是一个遗留系统。该系统以前没有用于GMP目的。因此，围绕该系统的文档基本上不存在，因为它几乎没有支持在规范环境中使用该系统。

在购买计算机产品或服务时，一个重要的因素是供应商评估，这可能包括供应商审核。然而，在这种情况下，虽然该系统对GMP制造工厂来说是新的，但它已经使用了15年。结果，一个决定被做出，证明，并记录了为什么审计不会发生的理由。该组织承认该供应商是一个已建立并得到认可的业务解决方案提供商，在行业中拥有大量用户基础。项目小组在风险评估中定义并包括相关的预期用途风险。

验证策略

创建计算机化的系统验证计划是任何验证项目的基本组成部分，因为它概述了整个项目的策略。但是，请记住，每个系统、实现、组织和站点都是不同的，因此，与其关注“验证计划中包含哪些内容”，不如关注基于ERP系统遗留历史而存在的各种文档组件，以确定基本原理，以及用于概述测试策略的方法。此策略可以合并到任何验证计划或等效计划中。

基于GAMP 5的风险评估

为了本案例研究的目的，风险被分解为以下三个部分:

1.系统风险;
2.用户需求的关键性;和
3.GMP t码(交易码)。

系统中的每个功能都有一个相关联的代码。使用事务代码可以更快地访问系统中的任何任务。

系统风险

在这个项目的早期，在URS(用户需求规范)编写之前，已经准备了一个系统风险评估(RA)。项目团队就期望ERP系统控制的具体高级别风险和功能达成一致是至关重要的。项目团队使用SAP白皮书“符合US FDA Title 21 CFR Part 11 for Life Sciences Industry”作为团队深入了解SAP功能的起点。白皮书中的概念很容易被非sap专业业务部门转换，然后过滤以适用于我们的业务模型。在需求创建时，利用供应商提供的ERP系统细节是非常有益的。

成立了风险评估讲习班，并在今后与业务单位有关的职能范围内讨论了风险。参加研讨会的代表包括制造、生产计划、质量保证、质量控制、分销、销售、客户服务、IT和验证。

最后，在制定可能的补救行动时，重复了以下四个主题:

1.确保配置定义良好;
2.确保配置经过充分测试;
3.确保配置在上线后得到管理;和
4.确保用户接受了上述配置的培训。

该公司能够将这四个主题应用到自己的商业模式中，从而开发出以下内容:

定义-创建用户、配置、功能和设计规范;
•测试—构建验证脚本;
管理-创建ERP友好的sop;和
•培训——教业务人员如何使用系统。

风险评估包括关键GMP风险和其他业务风险，包括与萨班斯-奥克斯利(SOX)相关的风险。评估了所有的风险因素，并在适用的情况下，根据临界性确定了补救措施。每个被识别的风险都被明确指定为GMP或其他。随着项目的进展，风险评估被重新审查了两次;一次是在用户需求定义之后，一次是在业务蓝图或功能规范编写之后。

任何风险评估过程的挑战之一是H/M/L(高/中/低)的分配，以及证明一种风险高于其他风险之间的依赖关系。GAMP 5提供了以下错误发生的事务:100 = L;1000 = m;GAMP 5建议采用科学的风险评估方法。经过多次辩论后，商定的方法是依靠讲习班小组的知识和集体经验为H/M/L分配创建一个基线，然后将其始终应用于系统。

该评估还用于提供补救的优先级目标，结果如下:105高/ 84中/ 57低优先级的补救。最终，在项目结束时重新审查了RA，以确保无论优先级如何，所有补救行动都得到了追踪。

基于风险的用户需求临界性

下面的七步过程描述了团队如何利用法规和利用现有的系统文档来帮助构建用户需求。这个过程有助于执行项目所需的风险分析和测试。

步骤1:法规—许多法规明确适用于这种情况，包括:21 CFR第11部分，第210部分，第211部分，第820部分和欧盟第4卷附录11。

ERP系统几乎嵌入到业务流程的每个部分。项目团队审查了系统的功能，评估了功能，并通过主GMP (Part 820)进行了筛选。这个早期的实践使得开发非常低级的以gmp为中心的用户需求成为可能，系统必须遵循这些需求才能实现兼容。该活动由验证团队在用户需求研讨会之前在内部完成。这就创造了一个“必须具备”的第一关，即企业可以围绕GMP合规构建系统。

第二步:回收——大多数GMP规范的运营公司已经有了ERP或类似的系统。如果一个公司已经被监管了一段时间，可能已经有一个来自以前系统的验证包可以回收，并且可能有许多变更控制包可以使用。在这个案例研究中，使用高级别风险评估系统，公司能够辨别我们原始URS(系统中立的)的哪些部分适用于当前的业务流程。

第三步:业务需求/用户需求研讨会——为了使过程尽可能集中，用户需求研讨会由不同的功能组组成。在第一次研讨会前两周，所有用户组都得到了URS骨架，并被鼓励进行添加、减去、编辑和评论。注释的urs被合并，最终产生了超过3000个用户需求，有些重复，有些模糊，有些奇怪。

接下来，每周安排三个半天的研讨会，为期四周，每个URS都被审查，并捕获一个用于可追溯性的唯一标识符(如PP-164或OH-23)。每个URS都有一个与其对gmp和第11部分的影响直接相关的临界值。这些都是:

强制URS被列为“1”- GMP或GMP和业务关键;
有益URS被列为“2”——非gmp，但业务关键;和
“很高兴”URS被列为“3”——非gmp，非商业关键。

在四周结束时，收集了以下用户需求:

•396级1;
•1157级2;和
•198级3。

这种方法实现了两个关键目标。首先，通过风险和关键性过程，GMP测试负担减少到略少于400个需求，其次，现在有一个需求文档可供ERP分析人员进行构建。本文件由包括QA在内的所有关键干系人开发。

步骤4:蓝图打印——为了将中立的用户需求转换为以erp为中心的功能需求，创建了一套pdd(过程设计文档或功能规范)。pdd的目标是以分析师和业务人员都能理解的方式定义系统。每个PDD可追溯到多达30个urs，所有业务流程都使用MS Visio图形化定义。

集成到pdd中的流程流逐渐形成了系统上线后的样子，并且将ERP集成到我们的业务流程中的使用开始成形。后来，这些流被用作PQ的基础，而pdd被绑定到新的sop，然后反过来形成了过程变更控制的基线。

除了流程流之外，ERP实施团队还将URS转换为按功能、数据或接口分解的功能流程。

第5步:功能——将每个URSs集合转换为ERP中相应的功能集;这里捕获了所有输入、输出、计算、配置或安全考虑因素。

第6步:数据——数据部分主要关注作用域内函数集正确执行所必需考虑的数据元素。在SAP中，主数据扮演着非常重要的角色，如果没有正确格式化或定义，可能会导致严重的系统问题。在可能的情况下，本节将包括对主数据的考虑。

步骤7:接口——除了条形码系统之外，ERP实例没有任何主要的外围接口;由于组建子团队的性质(通过ERP模块);然而，任何特定的功能集都涉及或可能影响ERP模块。在开发跨职能流程时，这促进了子团队的沟通。

基于GAMP 5的系统配置

这是一个挑战，因为遗留的ERP系统已经到位。如前所述，该体系已用于非gmp目的;因此，已经创建的文档虽然对ERP团队有价值，但不容易转换到规范的上下文中。

配置定义过程分为两个部分。对于服务器、操作系统和核心ERP构建，创建了系统配置规范(核心SCS)。这允许验证同时发生，从而限定硬件和核心软件，而ERP分析人员正在转换用户需求。对于ERP的实际配置或定制，决定使用遗留系统作为基线，利用额外的配置文档(CFD)记录由我们的遵从性需求所必需的所有更改。

第1部分-硬件和核心软件SCS16

GAMP 5附录D3提供了SCS内容的检查列表。此外，团队还使用了“IT基础设施控制和遵从指南”。根据组织中定义的角色和职责，可以通过分配给公司内每个业务单元的定义良好的角色和职责来有效地管理文档。对于这个项目，分离配置文档允许团队在组件级别上使用完全独立的资源池，并构建系统的原理图。我们选择了《能力标准说明》的特定部分，以强调收集和记录的一些关键信息。

ERP基础设施硬件配置

服务器设置被认为是标准的，由以下四个环境组成:
1.发展;
2.沙盒;
3.质量(测试);和
4.生产。

请注意，该供应商建议将应用程序服务器和中央数据库服务器安装在不同的机器上，并将它们放置在不同的子网中。向供应商寻求关于安装要求的肯定和支持信息是有益的。

ERP基础设施环境条件

捕获和验证环境条件似乎是多余的，特别是考虑到服务器已经用于支持应用程序。但是，如果不能确保您的服务器有一个温和和持续的环境，可能会对业务产生重大影响。

物理安全性——所有的物理安全性属性都被定义，并在后来正式验证了全球各个数据中心的安全性。

数据库安全配置文件——对于任何客户端/服务器系统来说，一个重要且容易被忽视的组件是数据库安全，即谁可以访问您的后端表。通常，应用程序安全性不会解决从应用程序外部访问服务器的问题。针对该ERP系统，定义了管理员帐户、管理员角色、角色映射、数据交换帐户和Unix访问权限。同样，“桶”并不像内容和谁可以访问数据那么重要。重要的是要了解谁可以做什么、定义它以及控制对数据的访问。

网络拓扑结构

传输管理——应该管理从沙箱到开发，从开发到QA，然后最终进入生产的传输过程流。确定和控制运输方式和流量是很重要的。这应该被纳入变更控制系统。

外围系统接口——在核心SCS中要讨论的最后一个关键元素是外围系统。重要的是要理解输入到ERP的数据、数据源以及围绕该数据源的控制。同样，必须了解ERP输出数据被发送到哪个系统使用。这些接口和相关系统应仔细评估，以确定GMP使用和随后的验证状态。该实现的示例包括条形码系统、LIMS和标签系统。

全文包括对：
•定制应用程序和配置文档;
•认证过程的策略;
•图表和图形;和
•相关参考资料。

完整的GAMP 5文档可从ISPE在线获得。

Stephen Ferrell是一名认证信息系统审核员，拥有超过12年的渐进IT经验，强调计算机系统和软件合规性，QA审计和质量战略。他目前是GAMP北美指导委员会的成员，并担任GAMP IT基础设施团体的主席。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。