ПРИЛОЖЕНИЕ № 4 к Правилам надлежащей лабораторной практики Евразийского экономического союза в сфере обращения лекарственных средств
Table of Contents
Порядок применения Правил надлежащей лабораторной практики Евразийского экономического союза в сфере обращения лекарственных средств к компьютеризированным системам
-
Общие положения
Компьютеризированные системы (далее – системы), использующиеся при проведении исследований, отчеты о результатах которых представляются в уполномоченные органы государств – членов Евразийского экономического союза (далее – государства-члены) в составе регистрационного досье лекарственного препарата, должны иметь соответствующую конструкцию, достаточную мощность и быть пригодными для целей исследования, в которых они применяются. Системы должны разрабатываться, валидироваться и эксплуатироваться в соответствии с принципами правил надлежащей лабораторной практики Евразийского экономического союза, утверждаемых Евразийской экономической комиссией (далее – правила), кроме того, должны быть установлены соответствующие процедуры контроля и технического обслуживания данных систем.
Под валидацией системы понимают проверку и документальное подтверждение пригодности систем своему предназначению.
Процесс валидации необходим для обеспечения гарантии соответствия систем заранее заданным техническим требованиям. Валидация должна осуществляться до начала эксплуатации системы и проводиться надлежащим образом только в соответствии с разработанным планом валидации.
2. Принципы надлежащей лабораторной практики и компьютеризированные системы
При применении принципов надлежащей лабораторной практики к вышеописанным системам следует принимать во внимание требования пунктов 52, 60, 66, 109, 116, 118 правил.
-
Обязанности и ответственность
Руководство испытательной лаборатории несет ответственность за соблюдение требований правил, включая назначение на должность и эффективную организацию достаточного числа квалифицированных и опытных сотрудников, работающих с системами, а также обязано обеспечивать, чтобы помещения, оборудование и процедуры обработки данных в системах соответствовали уровню технических требований систем и целям исследований, в которых применяются системы.
Руководство испытательной лаборатории несет ответственность за обеспечение соответствия систем предполагаемому назначению. Руководство испытательной лаборатории должно установить в виде принятого письменного документа принципы организации и выполняемые в области автоматизации процедуры, гарантирующие разработку, валидацию, эксплуатацию и обслуживание систем в соответствии с принципами надлежащей лабораторной практики.
Руководство испытательной лаборатории должно обеспечивать, ясность и соблюдение персоналом лаборатории принципов организации и выполняемых в области автоматизации процедур, а также эффективный контроль соблюдения данных принципов и выполнения данных процедур.
Руководство испытательной лаборатории должно назначать выделенных сотрудников, а также установить для них ответственность за разработку, валидацию, эксплуатацию и обслуживание систем. Данный персонал должен иметь соответствующую квалификацию, опыт и достаточную подготовку для выполнения своих обязанностей в соответствии с требованиями правил.
Руководители исследования согласно требованиям правил несут ответственность за общее проведение исследований.
Если при проведении исследований будут использоваться системы, руководству испытательной лаборатории необходимо обеспечить, чтобы руководители исследования в полной мере их использовали в исследовании для достижения поставленной в исследовании цели.
Ответственность руководителя исследования в отношении обращения с данными, полученными в электронном виде, идентична ответственности при работе с данными, хранящимися на бумажном носителе. В исследованиях, заявляемых как соответствующие требованиям правил следует использовать только системы, прошедшие процедуру валидации.
-
Персонал
Персонал, использующий системы, несет ответственность за эксплуатацию данных систем в соответствии с требованиями правил.
Персонал, который разрабатывает, валидирует, эксплуатирует и обслуживает системы, несет ответственность за выполнение вышеперечисленных мероприятий в соответствии с требованиями правил и установленными техническими нормами.
Обязательства и ответственность службы обеспечения качества (далее – СОК) в отношении оценки систем должны быть определены руководством испытательной лаборатории и внесены в служебные инструкции и стандартными операционными процедурами (далее – СОП). Программа обеспечения качества должна включать в себя процедуры и методы, гарантирующие соответствие всех этапов валидации, эксплуатации и технического обслуживания компьютеризированных систем установленным стандартам. Кроме того, программа обеспечения качества должна включать в себя процедуры и методы установки приобретенных систем и процесс разработки систем внутренними силами организации.
Персонал СОК должен контролировать соответствие систем принципам надлежащей лабораторной практики и должен пройти обучение необходимым специальным (профильным) техническим навыкам. Персонал СОК должен быть знаком с системами в достаточной степени, чтобы иметь возможность вынести в отношении качества их валидации их объективные замечания; в некоторых случаях может потребоваться назначение профильного аудитора.
Для обзора данных персонал СОК должен иметь непосредственный доступ с правами пользователя «только для чтения» к данным, хранящимся в системе.
-
Обучение
Правила устанавливают, чтобы в испытательной лаборатории имелся квалифицированный и опытный персонал надлежащего уровня, документированные учебные программы по работе с системами как для обучения на рабочем месте, так и, при необходимости, на внешних учебных курсах. Записи о подобном обучении должны быть сохранены.
Вышеуказанное положение распространяется на весь персонал, использующий в своей работе системы.
3. Помещения и оборудование
Для проведения исследований в соответствии с требованиями Правил требуется наличие соответствующих помещений и оборудования для обеспечения функционирования систем. Кроме того, к системам предъявляются следующие специальные требования.
-
Помещения
Необходимо обеспечить физическое расположение компьютерного аппаратного обеспечения, периферийных компонентов, коммуникационного оборудования и электронных носителей информации для надлежащего функционирования системы. Следует избегать воздействия на системы экстремальных температур и влажности, пыли, электромагнитных помех и близкого расположения систем к кабелям высокого напряжения, кроме случаев, когда оборудование специально предназначено для работы в подобных условиях.
Также необходимо обеспечить надлежащее электропитание компьютерного оборудования и, при необходимости, резервное копирование или бесперебойное питание систем, неисправность которых может повлиять на результаты исследования.
Необходимо иметь соответствующие помещения для безопасного хранения электронных носителей информации;
-
Оборудование
Аппаратное и программное обеспечение
Система является группой аппаратных компонентов и соответствующего программного обеспечения, разработанных и собранных для выполнения определенной функции или группы функций.
К аппаратному обеспечению относятся материальные компоненты системы, состоящие из компьютера и периферийных компонентов.
Программное обеспечение представляет собой компьютерные программы, управляющие функционированием системы.
Все требования Правил, применяемые к оборудованию, в равной степени применимы к аппаратному, и программному обеспечению.
Коммуникации
Коммуникации, относящиеся к системам, делятся на 2 основные категории:
- коммуникации между компьютерами;
- коммуникации между компьютерами и периферийными компонентами.
Все коммуникационные линии являются потенциальными источниками возникновения ошибок, которые могут привести к потере или повреждению данных. Для обеспечения безопасности и целостности системы должен быть обеспечен соответствующий контроль процессов
разработки, валидации, эксплуатации и технического обслуживания систем.
4. Техническое обслуживание и аварийное восстановление
Все системы следует устанавливать и обслуживать таким образом, чтобы обеспечивать непрерывность их работы.
-
Техническое обслуживание
Должны быть в наличии, принятые в виде письменного документа процедуры, охватывающие как плановое профилактическое обслуживание, так и устранение неисправностей систем. Эти процедуры должны четко определять роль и ответственность вовлеченного в процесс технического обслуживания систем персонала. В случаях когда такие операции по обслуживанию требуют изменений аппаратного и (или) программного обеспечения, может возникнуть необходимость повторной валидации систем. Во время рутинной работы систем должна записываться информация о любых проблемах и несоответствиях в системах, а также любые предпринятые персоналом действия по исправлению возникших проблем и несоответствий.
-
Аварийное восстановление
Должны быть в наличии, принятые в виде письменного документа процедуры, описывающие меры, которые необходимо предпринять в случае частичного или полного отказа компьютеризированной системы. Меры могут варьироваться от запланированного сокращения аппаратного оборудования системы до отказа от использования системы и перехода на работу с бумажными носителями информации. Все планы действия в аварийных ситуациях должны быть тщательно документированы и валидированы; они должны обеспечивать сохранение непрерывной целостности данных и не должны каким-либо образом угрожать исследованию. Персонал, участвующий в проведении исследования в соответствии с требованиями Правил, должен быть осведомлен о наличии данных планов действия в аварийных ситуациях.
Процедуры восстановления системы должны зависеть от степени критичности системы. Необходимо иметь в наличии резервные копии всех программ. Если процедуры восстановления вызывают изменение аппаратного или программного обеспечения, может потребоваться повторная валидация системы.
5. Данные
В соответствии с требованиями Правил первичными данными являются оригиналы записей и документации, включая данные, которые напрямую введены в компьютер через интерфейс прибора, которые являются результатами оригинальных экспериментальных наблюдений и действий в ходе исследования и необходимы для формирования и оценки отчета о данном исследовании.
Системы, работающие в соответствии с требованиями Правил, могут быть связаны с первичными данными с использованием различных носителей информации (например, электронных носителей информации, распечаток с компьютера или приборов, а также копий микрофильмов (микрофиш)). Необходимо, чтобы вид носителей информации для первичных данных был определен для каждой системы.
Если системы используются для сбора, обработки, представления или хранения первичных данных в электронном виде, то конфигурация системы всегда должна обеспечивать сохранение аудиторских данных в полном объеме, чтобы была возможность проследить все изменения данных, в том числе и первичных данных. Должна быть возможность идентификации всех внесенных изменений данных с лицами, которые внесли эти изменения при помощи (электронной) подписи с указанием времени и даты внесения изменений. Причины внесения изменений должны быть указаны.
Если первичные данные хранятся на электронных носителях информации, то необходимо обеспечить выполнение требований по их долгосрочному хранению в зависимости от типа хранимых данных и ожидаемого срока службы системы. При изменении в системе аппаратного и программного обеспечения должен быть сохранен доступ к первичным данным старой конфигурации системы и их безопасное хранение для гарантирования целостности данных. Такая вспомогательная информация, как журналы обслуживания оборудования и протоколы калибровки, которая необходима для подтверждения достоверности первичных данных или которая позволяет восстановить отдельный эксперимент или все исследование, должна быть сохранена в архивах.
СОП для обеспечения работы системы также должны описывать альтернативные процедуры сбора данных, которым необходимо следовать в случае сбоя системы. При таких обстоятельствах любые вручную записанные первичные данные, и в дальнейшем вводимые в систему, должны быть четко обозначены в качестве такого вида собранных данных и сохранены в качестве первичных записей. Процедуры по резервированию данных, проводимые при помощи альтернативных процедур (например, ручных записей), должны свести к минимуму риск потери данных и гарантировать сохранение таких записей.
В случае устаревания системы необходимо перевести электронные первичные данные из одной системы в другую, при этом данный процесс должен быть документирован надлежащим образом, а целостность данных подтверждена. В случае, если подобный перенос данных не осуществим практически, первичные данные должны быть перенесены на другой носитель информации и их точное копирование должно быть подтверждено до начала удаления оригинальных электронных записей.
6. Компьютерная безопасность
Для защиты аппаратного оборудования, программного обеспечения и самих данных от повреждения, несанкционированного изменения или потери данных должны быть приняты в виде письменного документа процедуры обеспечения безопасности.
В данном контексте «безопасность» означает предотвращение несанкционированного доступа к данным или предотвращение изменений как системы в целом, так и изменений данных, хранящихся в ней. Следует учитывать возможность повреждения данных вирусами или другими программами-агентами. Должны быть приняты меры безопасности, обеспечивающие целостность данных при краткосрочных и долгосрочных сбоях системы.
-
Физическая безопасность
В целях ограничения доступа к компьютерному и коммуникационному оборудованию, периферийным компонентам и электронным носителям информации и его предоставления только уполномоченному персоналу, необходимо применять физические меры безопасности.
К оборудованию, которое не расположено в специальных «компьютерных помещениях» (например, персональным компьютерам и терминалам), должны применяться как минимум стандартные процедуры контроля доступа, имеющиеся в испытательной лаборатории.
В тех испытательных лабораториях, где такое оборудование располагается удаленно (например, при использовании портативные компонентов и линий модемной связи), должны быть приняты дополнительные меры обеспечения физической безопасности.
-
Логическая безопасность
Чтобы предотвратить несанкционированный доступ к системе, программным приложениям и данным, необходимо обеспечить меры логической безопасности для каждой системы или ее программного приложения. Необходимо обеспечивать использование только утвержденных версий и валидированного программного обеспечения. Логическая безопасность включает в себя необходимость введения уникального идентификатора пользователя с соответствующим паролем для входа в систему. Любой ввод данных или установку программного обеспечения из внешних источников следует контролировать. Такие элементы контроля могут обеспечиваться с помощью программного обеспечения операционной системы компьютера, специальных программ безопасности, встроенных в приложения процедур, или комбинаций всего вышеперечисленного.
-
Целостность данных
Поддержание целостности данных является одним из главных требований Правил, необходимо, чтобы весь персонал, связанный с системой, был ознакомлен и понимал необходимость применения мер безопасности. Руководство испытательной лаборатории должно гарантировать, чтобы персонал был ознакомлен с важностью обеспечения безопасности данных, применяемых процедурах и особенностях системы, которые позволяют обеспечить надлежащую ее безопасность, а также осведомлен о последствиях несоблюдения мер безопасности.
Функции системы, обеспечивающие целостность данных могут включать плановое наблюдение за доступом к системе, внедрение программ верификации файлов и отчетов об исключениях и (или) правилах.
-
Резервное копирование
Резервное копирование программного обеспечения и данных является стандартной практикой при работе с системой, которая позволяет восстановить систему после любых неполадок (например, повреждения диска), ставящих под угрозу целостность системы. В данном случае допускается возможность перевода резервной копии в первичные данные, после чего они должны рассматриваться как первичные данные.
7. Валидация компьютеризированных систем Системы должны быть пригодны для предусмотренного назначения.
-
Приемочные испытания
Компьютеризированные системы должны быть спроектированы так, чтобы соответствовать требованиям Правил. Они должны быть установлены в соответствии с предварительно разработанным планом. При этом необходимо наличие соответствующей документации, подтверждающей, что каждая система была разработана под соответствующим контролем и (предпочтительно) в соответствии с общепризнанными стандартами качества и техническими стандартами (например, ИСО 9001). Должны быть также предоставлены доказательства того, что система была надлежащим образом протестирована испытательной лабораторией на соответствие критериям приемки до введения в рутинное использование.
Процедура официального приемочного испытания требует проведения испытаний в соответствии с заранее установленным планом и сохранения документированного свидетельства, содержащего следующую информацию:
- процедуры испытания;
- данные проведенного испытания;
- результаты испытаний;
- официальная сводка об испытании;
- записи о приемке результатов испытания.
Допустимо, чтобы большая часть документации, относящаяся к установленным производителем системам и созданная в процессе разработки систем, хранилась на сайте производителя. В этом случае, данные официальной оценки и (или) аудита производителя должны быть в наличии в испытательной лаборатории.
-
Ретроспективная оценка
Если для уже использованной системы необходимость соблюдения требований Правил не была предусмотрена или указана, должно быть в наличии документальное обоснование возможности использования такой системы, которое должно включать в себя ретроспективную оценку, используемую для валидации (определения пригодности) системы. Ретроспективная оценка включает: сбор всех архивных записей, связанных с системой; рассмотрение и собственно оценку записей; составление письменной сводки.
В письменной сводке ретроспективной оценки необходимо указывать, какие доказательства валидации доступны, а также, какие шаги следует предпринять в будущем для обеспечения валидации такой систем.
-
Контроль изменений
Контроль изменений как вид валидации системы означает утверждение и документирование любого изменения системы в течение срока ее эксплуатации. Контроль изменений необходим в случаях, когда изменения могут повлиять на статус валидации системы. Процедуры контроля изменений должны применяться сразу после подтверждения готовности системы к эксплуатации.
В процедуре контроля изменений должен быть описан метод оценки, позволяющий определять объем повторного испытания, необходимого для поддержания системы в валидированном состоянии. В рамках выполнения процедур контроля изменений должны быть определены лица, ответственные за определение необходимости проведения контроля изменений и его одобрение.
Независимо от источника происхождения изменения (поставленная владельцем программного обеспечения система или система собственной разработки) соответствующая информация должна быть представлена как часть процесса контроля изменений. Процедуры контроля изменений должны гарантировать целостность данных.
-
Механизм поддержки
Для обеспечения соответствия системы предусмотренному назначению должны быть созданы механизмы поддержки, обеспечивающие корректное функционирование и использование системы. Они могут включать в себя систему управления, обучение, обслуживание, техническую поддержку, аудит и (или) оценку эксплуатационных показателей. Оценка эксплуатационных показателей означает номинальный осмотр системы через определенные промежутки времени с целью подтверждения соответствия системы установленным критериям функционирования (например, надежности, чувствительности, производственной мощности).
8. Документирование
Перечисленные ниже подразделы представляют требования по созданию минимальной документации необходимой для разработки, валидации, эксплуатации и техническому обслуживанию систем.
-
Порядок действий
Необходимо утверждение принятых в форме письменного документа принципов административного управления, описывающих в том числе процесс приобретения, требования к системе, проектирование системы, ее валидацию, испытание, установку, эксплуатацию, техническое обслуживание, подбор персонала для работы с системой, контроль, аудит, мониторинг и изъятие из обращения систем.
-
Описание приложения (прикладного программного обеспечения)
Каждое приложение должно сопровождаться документацией, в которой подробно описываются:
- наименование приложения (прикладного программного обеспечения) или идентификационного кода и подробное и четкое описание целей приложения;
- аппаратное обеспечение (с номерами моделей аппаратов), на которое установлено приложение;
- программное обеспечение операционной и другой системы (например, инструментов), используемое в сочетании с приложением (прикладным программным обеспечением);
- используемые языки программирования для приложения и (или) инструментов базы данных;
- основные функции, выполняемые приложением; обзор типов и потоков данных (дизайна баз данных), связанных с приложением;
- структуры файлов, сообщения об ошибках и авариях, а также алгоритмы, связанные с приложением,
- компоненты приложения (прикладного программного обеспечения) с указанием номеров версий;
- конфигурация и коммуникационные связи между модулями приложения (прикладного программного обеспечения), а также между оборудованием и другими системами.
-
Стандартные операционные процедуры
Большая часть документации, связанной с использованием систем, должна быть представлена в форме СОП. Данные СОП должны включать в том числе следующие виды работ:
- процедуры по работе с системами (аппаратные средства (программное обеспечение)) и обязанности (ответственность) вовлеченного в работу с системой персонала;
- процедуры по обеспечению мер безопасности, применяющихся для обнаружения и предотвращения несанкционированного доступа к программе и внесения в нее изменений;
- процедуры по внесению изменений в программу, авторизации таких изменений и их записи;
- процедуры по внесению изменений в оборудование (аппаратные средства (программное обеспечение)) и авторизации таких изменений, в том числе, при необходимости проведение испытаний перед использованием оборудования;
- процедуры по проведению периодического испытания надлежащего функционирования всей системы или ее составных частей и записи данных испытаний;
- процедуры обслуживания компьютеризированных систем и любого сопутствующего оборудования;
- процедуры разработки программного обеспечения и приемочных испытаний, а также процедуры записи всех приемочных испытаний;
- процедуры по резервному копированию всех хранимых данных, а также планы действия в случае поломки;
- процедуры архивирования и извлечения всех документов, программного обеспечения и компьютерных данных;
- процедуры мониторинга и аудита компьютеризированных систем.
9. Архивы
Требования Правил по архивированию данных следует применять последовательно ко всем типам данных. Необходимо, чтобы электронные данные хранились на том же уровне контроля доступа к ним, индексирования и соответствующего извлечения, как и другие типы данных.
Если электронные данные о нескольких исследованиях хранятся на одном носителе информации (например, диске или магнитной ленте), требуется создание подробного указателя расположения таких данных.
Может быть необходимым обеспечение испытательных лабораторий средствами контроля окружающей среды, чтобы гарантировать целостность хранимых электронных данных. Если существует необходимость в создании дополнительных архивных помещений, то руководство испытательной лаборатории должно обеспечить, чтобы уполномоченный персонал, ответственный за управление архивами, был соответствующим образом идентифицирован, и доступ к архиву был возможен только для данного уполномоченного персонала. Также необходимо внедрить процедуры, гарантирующие, что целостность данных хранящихся в электронном виде в течение длительного времени не будет нарушена.
Необходимо разработать и принять в виде письменного документа процедуры, обеспечивающие непрерывную считываемость данных в случаях, когда предполагается возникновение проблем с долгосрочным доступом к данным или возникает необходимость изъятия систем из обращения. Такими процедурами могут быть, например, производство твердых копий в форме распечатки с принтера или перенос данных в другую систему.
Хранящиеся в электронном виде данные не следует уничтожать без разрешения руководства испытательной лаборатории и без соответствующего документирования факта уничтожения. Другие хранящиеся в лаборатории для поддержания функционирования систем такие данные, как исходный код и записи о разработке, валидации, эксплуатации, обслуживании и мониторинге систем, следует хранить по крайней мере в течение того же срока, что и записи об исследовании, связанные с данными системами.