根据EU GMP 附录11《计算机化系统》的修订计划，将于本月发布新版EU GMP附录11《计算机化系统》草案，新的文件包含如下变化：

 

更新文件以包含EMA GMP网站上的附录11问答和数据完整性问答的相关部分。

 

关于数据完整性，新的附录11将包括对“动态数据”和“静态数据”（备份、存档和处置）的要求。

 

将考虑更新文件对“数字化转型”和类似的新概念提出监管要求。

 

调整“适用范围”，不仅包括计算机化系统“代替手动操作”的情况，还涵盖用以代替“另一个系统或手动过程”的情况。

 

将包含对服务器的监管，例如“云”服务（常见的云服务包括电子监管码等）。

 

对于由服务提供商验证和/或运营的关键系统（例如“云”服务），要求应不仅仅是“必须有正式协议”。受监管的用户应可以访问完整的文档，以对系统进行验证和安全运行，并能够在监管检查期间出示这些文档，例如在服务提供商的帮助下。

 

概念文件表示，“商用现货产品”（COTS）一词的定义并不充分，而且很容易理解得过于宽泛。关键的 COTS 产品，即使是“广泛用户”使用的产品，也应由供应商或受监管用户进行确认，并且应提供相关文档以供检查。应澄清该术语的使用以及对此类（例如“云”）系统的确认、验证和安全操作的要求。

 

需要澄清“验证”（和“确认”）一词的含义。应该强调的是，这两项活动都包括对用户需求规范 （URS） 或类似内容中所述的必需和指定功能的确认。

 

文件表示，计算机化系统确认和验证应特别挑战用于做出GMP决策的系统的关键部分，确保产品质量和数据完整性的部分以及专门设计或定制的部分。

 

文件指出，关于“用户需求应在整个生命周期中可追溯”这句话的含义还不够清楚。用户需求规范或类似内容，描述所有需要实施和必需的GMP关键自动化功能，并且受监管用户所依赖，应成为系统任何确认或验证的基础，无论是由受监管用户还是由供应商执行。用户需求规范应在整个系统生命周期中保持更新并与实施的系统保持一致，并且用户需求、任何底层功能规范和测试用例之间应有书面的可追溯性。

 

文件将包含对敏捷开发过程的指导和关键数据和关键系统的分类指南。

 

关于备份，文件指出，对易失性介质的长期备份（或存档）应基于经过验证的程序（例如，通过“加速测试”）。在这种情况下，测试不应侧重于备份是否仍可读，而应验证备份在给定时间段内是否可读。

 

文件中缺少对备份过程的重要要求，例如备份涵盖的内容（例如，仅数据还是数据和应用程序），进行哪些类型的备份（例如增量或完整），进行备份的频率（所有类型），备份保留多长时间，备份使用哪种介质以及备份的保存位置（例如物理分离）。

 

文件指出，在用户，数据或设置可以手动更改的情况下，审计追踪功能应被视为强制性的，该功能可自动记录GMP关键系统上的所有手动交互；不仅仅是“基于风险评估考虑”。在没有审计追踪功能的情况下控制流程或捕获、保存或传输此类系统中的电子数据是不可接受的；此方面内的任何宽限期早已过期。

 

审计追踪审查的概念和目的描述不充分。这一过程应侧重于审查对系统进行的人工更改的完整性，例如核实更改的原因以及更改是否在不寻常的日期、时间以及由不寻常的用户进行。

 

应提供可接受的审计追踪审查频率指南。对于关键参数的审计追踪，例如在BMS系统中设置报警以对无菌灌装相关的压差发出警报，审计追踪审查应成为批放行的一部分，遵循基于风险的方法。

 

文件指出，许多系统生成了大量的警报和事件数据，并且这些数据经常与审计追踪条目混淆。虽然警报和事件可能需要自己的日志、确认和审查，但这不应与手动系统交互的审计追踪审查相混淆。因此，至少应该能够对这些进行排序。

 

应增加配置审查的概念。配置审查不应增加系统上已知变更的数量（升级历史记录），而应基于一段时间内硬件和软件基准的比较。这应包括对任何差异的说明以及对再确认/验证需求的评估。

 

根据ISO 27001，关于IT安全的部分应包括对系统和数据的机密性，完整性和可用性的关注。

 

应该明确指出，关键系统上的身份验证应高度确定地识别受监管的用户。因此，仅通过“通行卡”进行身份验证可能是不够的，因为它可能会被丢失并随后被任何人发现。

 

应定期审查系统访问和角色，以确保删除被遗忘和不需要的访问。

 

由于工业界已经在实施这项技术，因此在关键的GMP应用中使用人工智能（AI）和机器学习（ML）模型方面迫切需要监管指导和期望。主要关注点应放在用于测试这些模型的数据的相关性、充分性和完整性以及此类测试的结果（指标）上，而不是选择、训练和优化模型的过程。

 

指南将考虑关于计算机软件保证（CSA）方面的内容。

 

此外，也有消息称新版的文件将完全不接受遗留系统，并指出将完全不接受那些没有权限控制和审计追踪等功能系统。

 

此前，EMA已发布了关于修订GMP 附录11– 《计算机化系统》的概念文件。并提出新文件的发布时间表：

 

Deadline for comments on the concept paper: 16 November 2023. 

概念文件征求意见：2023年11月16日前

Publication and commenting of a draft of the new Annex 11: March 2025. 

新版附录11草案的发布和征求意见：2025年3月。

Approval and publication by the European Commission: summer 2026.

欧盟委员会批准和正式发布：2026年夏季

来源：GMP办公室

关键词： GMP 计算机化系统