Kysymykset ja vastaukset video CFR 21 -säädöskokoelman osaa 11 ja liitettä 11 käsittelevästä webinaaristamme

CFR 21 ‑säädöskokoelman osaa 11 ja liitettä 11 koskevia kysymyksiä ja vastauksia
Life Science
Tervetuloa katsomaan uusi video, jossa vastaamme kysymyksiin CFR 21 -säädöskokoelman osasta 11 ja liitteestä 11 sekä siitä, miten ne vaikuttavat olosuhdevalvontajärjestelmiin. Tässä videossa GxP-säädösten asiantuntijamme Paul Daniel vastaa kysymyksiin, joihin emme ehtineet vastata webinaarimme aikana. Jatkuvan valvontajärjestelmän yhteensopivuus osan 11 ja liitteen 11 kanssa: Helpompaa kuin luulet 
Jäljempänä on kaksi uutta 21 CFR -säädöskokoelman osaa 11 ja liitettä 11 käsittelevää sovelluskuvausta sekä linkki GxP-järjestelmien kyberturvallisuutta käsittelevään webinaariin.
 
Jos sinulla on lisää kysyttävää, kirjoita kysymyksesi kommenttiosioon videon suomennoksen alapuolella.
Kysymys:
Miksi valvontajärjestelmässä ei tarvita tarkkuustarkistuksia?
Vastaus:
Tämän webinaarin yhteydessä käytetään tarkkuustarkistusten vaatimuksena seuraavaa kapeaa liitteen 11 määritelmää:

”Manuaalisesti syötetyille kriittisille tiedoille tulisi tehdä ylimääräinen tietojen tarkkuuden tarkistus. Tämän tarkistuksen voi tehdä toinen käyttäjä, tai tarkistuksen voi tehdä sähköisesti. Virheellisten tai virheellisesti syötettyjen tietojen kriittisyys ja mahdolliset seuraukset tulisi kattaa riskienhallinnalla.”

Väittäisin, että valvontajärjestelmässä mitään kriittisiä tietoja ei syötetä manuaalisesti. Tämän vuoksi liitteessä 11 määritellyt tarkkuustarkistukset eivät koske valvontajärjestelmää.

Jos laajennamme hieman ”tarkkuustarkistusten” käsitettä, vaikuttaisi järkevältä ajatukselta tarkistaa tietojen tarkkuus. Ja tietenkin viewLincin kaltaisessa valvontajärjestelmässä on useita tapoja tarkistaa tietojen tarkkuus automaattisesti. Ensinnäkin kaikki anturit kalibroidaan. Toiseksi, kun tiedot lähetetään järjestelmään, tietopakettien eheys tarkistetaan sen varmistamiseksi, että ne eivät ole muuttuneet lähetyksen aikana. Kolmanneksi, kun tietoja, kuten parametreja ja raja-arvoja, syötetään viewLinciin manuaalisesti, niiden muoto tarkistetaan. Esimerkiksi sähköpostiosoitteessa on oltava @-merkki ja sen on päätyttävä päätteeseen .com tai .net tai muuhun hyväksyttävään päätteeseen. Lisäksi kaikkien raja-arvojen on oltava numeerisia tietoja. Tässä oli kaksi esimerkkiä. Nämä eivät kuitenkaan välttämättä ole kriittisiä tietoja, vaikka ne syötetään manuaalisesti. Tämä on liitteessä 11 epäintuitiivista, mutta niin ohjeissa määritetään. Voisimme pitää kokonaisen webinaarin asioista, jotka puuttuvat osasta 11 ja liitteestä 11.
 
Kysymys:
Kirjausketjujen on oltava saatavilla ja muunnettavissa yleisesti ymmärrettävään muotoon, ja ne on tarkastettava säännöllisesti. Mitä viranomaiset oman kokemuksesi mukaan pitävät ”säännöllisenä”? Esimerkiksi vuosittain tai ennen erän vapautusta?
Vastaus:
Kirjausketju tulisi tarkastaa järkevin aikavälein. Yleensä tämä ei ole mikään tarkka ajanjakso, vaan aikaväli, johon osuu kyseisiin tietoihin liittyvä tarkastus- tai hyväksyntätapahtuma.

Jos olen esimerkiksi hyväksymässä valmistusprosessin vaihetta, jossa edellytetään lämpötilan pitämistä välillä 10–25 °C, tämä olisi hyvä aika tarkistaa kirjausketju ja varmistaa, ettei kukaan ole muuttanut tietoja. Jos odottaisin vuoden ennen tietojen tarkistamista, tuote-erä olisi kauan sitten lähtenyt enkä voisi tehdä muuta kuin alkaa testata säilytettyjä näytteitä tai jopa vetää tuote-erän takaisin.

Parempi esimerkki voisi ehkä olla LIMS-järjestelmä, joka kerää tietoja kromatografista. Kromatografin tiedot on muunnettava ymmärrettävään muotoon ja arvioitava. Jos työskentelisin laadunvalvonnassa ja olisin juuri testannut näytteen kromatografilla, asianomaiset kirjausketjutietueet tarkastettaisiin samalla kertaa kromatografin raportin kanssa, jotta hyväksyjä voi tarkistaa, että on tehty oikeat muutokset.
 
Jos siis ajatellaan kahta kysymyksesi sisältämää vaihtoehtoa eli vuosittain (siis ajanjakson mukaan) tai erän vapautuksen (määritetyn tapahtuman) yhteydessä, valitsisin määritetyn tapahtuman. Se, millainen määritetty tapahtuma sitten on oikeanlainen, määräytyy käytettävän tietokonejärjestelmän mukaan. Hyvin suunnitellussa järjestelmässä tulisi olla tapa varmistaa, että tietueiden tarkastajat ja hyväksyjät pääsevät helposti katsomaan tarkasteltavan määritetyn tapahtuman kirjausketjun.
 
Kysymys:
Valvooko viewLinc tietoja, kun järjestelmä on offline-tilassa, ja ilmoittaako se käyttäjille, kun järjestelmä palaa online-tilaan?
Vastaus:
ViewLinc-järjestelmä on suunniteltu olemaan jatkuvasti online-tilassa. ViewLinc-palvelimen tulisi olla käynnissä ympärivuorokautisesti, ja viewLinc-palvelujen tulisi olla käynnissä palvelimessa koko ajan.
Jos viewLinc-palvelin jostain syystä joutuu offline-tilaan ja palautuu sitten online-tilaan, järjestelmässä tapahtuvat seuraavat asiat:
 
  • Järjestelmän palautuminen kirjataan tapahtumalokiin.
  • Seuraavan järjestelmän skannaustapahtuman yhteydessä järjestelmä täyttää tiedoissa olevat aukot, jotka ovat jääneet, kun dataloggerien keräämiä tietoja ei ole voitu lähettää viewLinciin sen oltua offline-tilassa.
 
Kysymys:
Koskeeko validointiprosessinne pelkästään omaa järjestelmäänne vai kattaako se koko laitoksen?
Vastaus:
Se koskee molempia. Uskoisin, että CFR 21 ‑säädöskokoelman osa 11 käsittelee suoraan yksittäisen järjestelmän validointia. Ennen kuin voimme kuitenkaan alkaa validoida yksittäisiä järjestelmiä, miellä pitäisi olla validoinnin pääsuunnitelma, joka määrittelee validoitavat järjestelmät. Tähän suunnitelmaan sisältyy prioriteettijärjestys, jossa järjestelmät validoidaan. Meillä tulisi olla myös validointimenettelyt, jotka määrittelevät, miten suoritamme validoinnit laitoksessamme.
 
Tämän sivutuloksena seuraa, ettemme voi oikeastaan validoida yksittäistä järjestelmää ilman, että meillä olisi validointistrategia koko laitokselle. Tämä on kuin muurin rakentamista – yksi rivi tiiliä kerrallaan. Järjestelmän validointi CFR 21:n osan 11 mukaan kuin neljännellä rivillä oleva tiili, joka lepää alla olevien menettelyn, käytännön ja suunnittelun tiilien päällä. Osa 11 keskittyy vain järjestelmään, mutta sen on epäsuorasti otettava jossain määrin huomioon koko laitos. Tähän taas sisältyvät välttämättä asiaan liittyvät järjestelmät, kuten verkon infrastruktuuri ja IT-varmuuskopiointiprosessit. Liitteessä 11 tämä kaikki on vain sanottu suorempaan. Validoinnin suhteen odotusarvot ovat kuitenkin samankaltaiset osassa 11 ja liitteessä 11.
 
 
 
 

Uusi webinaari

GxP-valvontajärjestelmän kyberturvallisuus

Kyberturvallisuus on kasvava huolenaihe tietokoneistettuja järjestelmiä käyttävissä GxP-säädellyissä sovelluksissa. Tässä webinaarissa keskustelemme siitä, miten Vaisalan viewLinc-olosuhdevalvontajärjestelmän haavoittuvuutta vähennetään kehittyneiden suojausominaisuuksien avulla. Tarkastelemme yleisiä haavoittuvuuksia ohjelmiston, verkon ja käyttäjän tasolla sekä uhkia tietojen eheydelle. Opi, miten voit suojata tietokonejärjestelmäsi ottamalla käyttöön oikeat hallintamekanismit ja menettelytavat.
 
Oppimistavoitteet:

  • Tietoturvamenettelyt
  • Kuljetuskerroksen tietoturvan (TLS, Transport Layer Security) haavoittuvuudet
  • Hyökkäystavat: toistohyökkäys, mies välissä -hyökkäys, SSL, JavaScript, raaka voima jne.
  • IT-tuki ja toimittajien kehitys
  • Ohjelmiston suojausominaisuudet

Lue lisää ja rekisteröidy

Kirjoita kommentti