根据GMP(特别是欧盟GMP附录11和FDA 21 CFR Part 11)以及GAMP 5等相关指南要求,对于一个基于WinCC的计算机化系统进行硬件更换/增加、软件版本升级(即使项目程序不变),其确认/验证工作绝不能仅限于被直接更改的部分。 系统的变更可能产生意料之外的深远影响,因此必须基于风险评估,执行一个完整的确认生命周期活动。
您提到的情况(硬件更换、操作系统/WinCC软件升级、项目程序不变)是一个典型的“重大变更”,由于它改变了系统的运行基础环境。以下是系统升级完成后,确认工作应该包括的范围和核心考量:
一、 确认工作的核心原则
基于风险的验证(RBV):这是GMP的基本要求。您需要对此次变更进行正式的风险评估,识别所有可能影响“系统适用性”和“数据完整性”的潜在风险点。评估结果将直接决定确认工作的范围和深度。
确认整个系统的“适用性”:目标不是仅仅证明“新硬件能运行”或“新软件能安装”,而是要证明整个升级后的计算机化系统(包括硬件、软件、以及与之交互的流程)始终如一地满足其预定用途,并持续符合GMP与数据完整性要求。
“不变更的部分”也需要确认:即使您的项目程序(画面、脚本、归档配置等)没有主动修改,在新的操作系统、新版本的WinCC运行时,它们的行为可能已经发生了改变。因此,关键功能的再确认是必不可少的。
二、 确认工作的范围(应包含但不限于以下内容)
第1阶段:规划与风险评估
制定验证主计划(VMP)或验证方案:明确验证策略、职责、可接受标准和交付物。
执行正式的风险评估:评估变更对产品质量、数据完整性和患者安全的影响。识别高风险区域(如审计追踪、数据存储与检索、关键工艺参数控制等)。
第2阶段:规格与设计确认
用户需求说明(URS)回顾与更新:确认现有URS是否依旧完全适用,是否需要根据新功能或新环境进行更新。
功能说明(FS)与设计说明(DS)更新:更新文档以反映新的硬件规格、软件版本和系统架构。
供应商评估:评估西门子针对新版本WinCC提供的支持、已知问题及补丁情况。
第3阶段:安装确认(IQ)
硬件安装确认:记录新/更换硬件(主机、硬盘、服务器、网络设备等)的型号、序列号、安装位置、网络配置等。
软件安装确认:记录全新安装的操作系统版本、WinCC软件版本(7.1 -> 10.1)、所有必要的补丁、授权、以及依赖的软件组件(如SQL Server版本)的准确信息。确保安装过程符合设计说明。
项目程序部署确认:确认您的“不变”项目程序被正确、完整地部署到新环境中,并验证所有相关的配置文件、归档设置等。
基础设施与环境确认:确认电源、网络、备份系统、灾难恢复计划等支持系统已就位。
第4阶段:运行确认(OQ)– 这是您问题的核心,必须全面进行
OQ必须证明系统在预期的操作范围内功能正常。这绝对包括您提到的以及其他所有关键GMP功能,无论其源代码是否被修改:
基本功能测试:画面导航、数据显示、趋势显示、报表生成等。
报警管理测试:报警产生、报警显示、报警优先级、报警记录、报警确认功能。
审计追踪功能测试:这是重中之重!
验证审计追踪功能是否被正确启用。
验证所有GxP相关操作(如登录/注销、参数修改、手动控制操作等)是否被完整、准确、及时地记录。
验证审计追踪记录本身是否被保护,防止修改或删除。
验证审计追踪的查看、筛选和导出功能。
访问控制与权限测试:
验证用户角色和权限分配在新环境下是否正常工作。
测试不同权限用户(如操作员、维护员、管理员)的访问限制是否符合要求。
测试密码策略、账户锁定等功能。
电子签名测试(如果适用):验证电子签名流程符合21 CFR Part 11要求。
数据完整性测试:
数据采集、存储、处理、归档和检索的准确性、一致性和可靠性。
确认历史数据(从旧系统迁移或保留的)在新环境下能够被正确访问、显示和解释。
测试数据备份与恢复流程。
与其他系统的接口测试(如与PLC、MES、LIMS等):验证所有接口在新的基础环境下通信正常,数据传输准确。
性能与压力测试:验证新系统在最大负载下的响应时间和稳定性,确保能满足生产需求。
灾难恢复测试:验证备份数据可以在备用系统上成功恢复并运行。
第5阶段:性能确认(PQ)
模拟实际生产流程:在接近真实生产的环境下,运行一个具有代表性的工艺过程或时间段,证明系统能够长期稳定地支持其预定用途。这可以结合工艺验证或模拟批次进行。
第6阶段:报告与释放
生成验证总结报告:总结所有活动、偏差、变更控制,并最终给出系统是否被批准投入GMP使用的结论。
系统发布:正式将系统移交给运营部门,并更新所有相关文件(如SOP、培训记录)。
三、 总结与直接回答您的问题
问:除了改造相关的硬件、软件部分,其他的一些软件功能,如报警、审计追踪、访问控制、权限等还要进行确认吗?
答:必须进行确认,而且是确认工作的重中之重。
理由如下:
版本差异:WinCC 7.1 到 8.1 是一个巨大的跨越,底层架构(如 .NET框架)、安全模型、数据库组件等都可能发生重大变化。西门子可能在这些版本间修改了审计追踪的实现机制、权限管理模块或报警引擎。即使您的项目文件没变,这些底层服务的改变也可能影响其行为。
环境依赖:这些功能高度依赖于操作系统(如Windows Server版本)和运行时库。硬件和操作系统的改变,可能导致原有功能出现兼容性问题。
GMP法规的强制性要求:审计追踪、访问控制是数据完整性的核心要素,是国内外GMP检查的焦点。任何可能影响这些功能的变更,都必须通过测试来提供书面的证据,证明其功能在升级后持续有效。
“黑盒”效应:对于最终用户而言,系统的整体输出是一个“黑盒”。您必须通过全面的OQ测试来证明这个“黑盒”在输入(用户操作、工艺信号)不变的情况下,输出(正确的控制、完整的数据记录)依旧是符合预期的。
结论:
本次升级的确认工作应是一个完整的、基于生命周期的再验证过程。绝不能只做硬件IQ和软件安装测试。必须通过风险评估,制定详细的OQ测试方案,对所有关键的GMP功能,特别是报警、审计追踪、访问控制、权限、数据完整性等核心数据可靠性相关功能,进行严格的重新测试,并提供客观证据,确保升级后的系统整体符合预定用途和法规要求。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
