药企计算机系统风险评估

概述：

我公司用于在药品生产质量管理过程中使用的计算机化系统。主要包括化验室的HPLC工作站、GC工作站等数据采集处理分析系统以及IPC计算机控制系统等，多数为不可配置的计算机化系统。为确保将风险管理贯穿到计算机化系统，尤其是软件产品，的整个生命周期过程，需要从患者安全、数据完整性和产品质量的角度考虑，对本公司的所有计算机化系统进行风险评估，通过识别风险并将其消除或降低到一个可接受的水平，并以此作为后续的验证和数据完整性、评估纠偏措施或变更的有效性、确定定期审查的频率以及供应商审计方式等各系统选择适合生命周期活动的基础。 目的

本次风险评估的目的，是在理解业务流程与业务风险评估、用户需求、法规要求与已知功能领域的基础上，对GMP相关活动中使用的所有类型的计算机化系统进行的最初的风险评估，并确定系统的影响。根据不同系统的风险性、复杂性与新颖性，如进行的五步骤风险管理流程中的后续风险管理活动，均是以本风险评估的输出内容为基础进行的。正常情况下，该输出内容是一直有效并可在其他情况下适当利用。

本评估方案是在目前所有**套计算机化系统中进行的，对以后新增的计算机系统，应在制定用户需求同时或在其后，按照本报告的模式进行确认和评价，根据评估的结果，来确定后续的该系统生命周期内的活动方式和管理方式，包括使用供应商评估的结果来帮助制定计划以使系统符合法规和预定用途，包括决定是否需要供应商的参与。

人员组织

风险评估由公司成立计算机系统初步评估小组，小组人员的组成和所负职责如下：

组长：由质量负责人担任，负责组织成立评估小组，确定部门成员，参与风险评估，对评估过程的总体协调和评估结果的批准工作。

副组长：由质量保证部部长担任，负责对评估过程的组织协调，参与风险评估，风险的回顾与评价，并形成风险评估报告并进行审核。

QA：参与识别、分析、评估风险，确定法规的符合性，确保满足公司产品的质量标准以及相关SOP的规定。

小组成员：由生产部、质量控制各部部长和相关技术人员组成，具体人员由各部门部长指定，负责和参与各自业务范围以内的风险识别和分析、评价等，确保符合公司生产技术等相关规定的要求。各部门部长负责审核风险评估报告。 计算机化系统情况说明

本次评估涉及的计算机系统和其相关信息：

GMP关键性评估

按照ISPE GAMP5（良好自动化生产实践指南），系统确定后，应对系统是否受GMP的监管，对系统进行GMP关键性评估后，再对关键系统实施GMP影响分级。故该步骤首先对重要的风险进行评估，如GMP和业务流程所面临的风险，而不是具体的功能和技术风险。按照以下问题以此进行说明和评估： 1. GMP监管与否的决定：是否在GMP要求的范围以内？

确定该系统是否接受GMP的监管，如是，应列出具体的法规条例，并说明系统的哪些部分受监管。

2. 系统的影响评估

根据流程的复杂性、系统的复杂性新颖性和用途，对上述确定应接受GMP监管的系统，确定该系统对患者安全、产品质量和数据完整性的总体影响。通常，系统带来的重大影响包括但不止于以下部分：

根据计算机系统在GMP系统中所处的作用，结合系统的分类对所有计算机化系统依次检查是否具有上述影 响，判断过程应有合理的依据，若有任何一条满足要求，该系统即可判定为关键影响系统；若上述影响全未涉及，其业务流程也无其他与系统有关的影响，则判断为非关键系统，并说明判断依据。结论见下表。

根据上述评估，确定属于关键影响系统还需进行进一步的功能性的风险评估，以识别具体面临的风险，以及制定降低风险的控制措施。

风险分级评估的流程和定义

风险管理的目标是为了制定控制措施，以使故障的严重性、可能性和可检测性的结合降低到一个可接受的范围。根据上述评估，对每一个关键系统的功能或业务流程进行风险的识别、分析和判断，并根据风险级别给出风险控制所应采取的措施。 对每一功能所识别的危险分步骤进行识别和评估，具体方法：

1. 分析有何危险：根据经验和相关知识判断和理解可能出现的问题、面临的危险，包括系统故障和使用错误

2. 分析有何损害：基于面临的危险来识别可能带来的损害，潜在损害包括：产生不合格产品、得到不准确的测定结果等等 3. 判断有何影响：基于面临的危险，从患者的安全、产品的质量以及数据完整性的角度可能带来的后果

4. 判断发生故障或危险的概率有多大：对其进行了解，有助于选择适当的控制措施来控制已识别的风险，但是在某些软件

故障中难以对概率赋值的情况需特殊考虑

5. 判断发生故障或危险的可检测性：对其进行了解，有助于选择适当的控制措施来控制已确定的风险，该措施应是在故障

发生前进行检测的才是有效的。

6. 以患者的安全、产品质量和数据完整性影响的严重性为纵轴，以故障发生的概率为横轴，进行标示，并据此给予一个风

险等级。

7. 将风险等级作为纵轴，故障发生前的可检测性作为横轴，进行标示，并据此给出风险优先级（RPN）。 风险级别的判定原则：

严重性=对患者安全、产品质量与数据完整性的影响 概 率=故障发生的可能性 风险等级（1 ,2 ,3）=严重性×概率

可检测性=在危害产生前发生故障的可能性 风险优先级=风险等级×可检测性 风险程度的相关描述和鉴定 1. 影响程度的描述和鉴定

注：若存在多个影响，影响程度以最高者计。 2. 风险发生概率描述和鉴定

3. 可检测性描述和鉴定 风险的控制原则

1. 与软件分类相关的验证和管理方法： 2. 基于不同风险需考虑的控制措施

根据对各识别出的风险的判断，结合上述个各级别软件的管理方法，应考虑采取以下控制措施，来进一步降低风险。

风险等级 供应商评估方式 不需要或进验证的范围与程度 日常管理 是否需要进一步评估及何时评估 低 行简单的基础评估 需要基础评估，并根据基础及评估 必要时制定简单的URS，购买后调试，必要时做IQOQ 必要时简单记录 必要时的校准 需要授权，并记录使用应做URS、 DQ、IQ、OQ，必要时进行功能标准（FS）、配置标准（CS）、配置测试（CT）、功能测试（FT）等 过程。包括对数据完整性的控制程度、备份频率、灾难计划的制定等。必要时应有审计追踪系统 严格受控和记录，包括全面的验证，出上述以外，还包括设计标准（DS）、模块（单元）标准、集合测试等 对数据完整性的控制、备份频率、灾难计划的制定等。必要时应有审计追踪系统 在制定验证方案前对功能和业务流程进行进一步的功能性风险评估 在制定验证方案前对功能和业务流程进行进一步的功能性风险评估 中 的结果和系统的复杂性，进行问卷调查 需要进行现高 场审计在内的全面供应商审计

七、关键计算机化系统风险评估（FMECA）  风险的识别、分析与评估 1. 风险等级的判定

可能的危险 (失败事件) 系统名称 安装位置 功能 发生的损害 影响 影响程度 概率 风险等级 打印 根据打印数打印内据进行计容与显算，计算结示内容果与真实值不一致 偏离 不合格产品放行 中 中 2

2. 风险级别（风险优先级）的判定

系统名称 打印 打印内容与显示内容不一致 安装位置 功能 可能的危险 (失败事件) 发生的损害 根据打印数据进行计算，计算结果与真实值偏离 影响 风险等级 可检测性 风险优先级RPN 不合格产品放行 2 中 中

 风险的降低与接受

对上述经评估为中等风险的和高风险的系统及其功能，需要采取控制措施以降低其发生的概率或可检测性，并在采取控制措施后，考虑遗留风险，必要时需考虑进一步采取适当措施，以最终使将风险降低到可接受的范围以内。

采取措施后风险等级 采取可能的危险 风险优先级 的措施 风险优是否可接受 先级RPN 系统名称 安装位置 功能 影可响概检程率 测度 性

八、风险评估结论

通过对上述计算机系统的评估，对涉及到的各项因素的潜在影响进行识别风险并进行了风险分析和风险控制，对于各计算机系统需要采取的措施如下：

系统名称 安装位置 功能 采取的措施