计算机化系统质量风险分析评估

计 算 机 化 系 统

质 量 风 险 分 析 评 估 报 告

风险编号： QRM-20-20151101

*************有限公司

质量风险管理小组组成 职务 组长 专员 组员 组员 组员 组员 组员 组员 组员 部门 质量管理部 质量管理部 生产技术部 生产技术部 生产技术部 工程设备部 质量管理部 质量管理部 物资采购部 计算机化系统质量风险分析评估人员会签表 岗位 经理 质量保证室主任 经理 固体制剂车间主任 外用药制剂车间 经理 质量控制室主任 QA 经理 姓名 ***** ***** ***** ***** ***** ***** ***** ***** ***** 评估日期：

起草（签名/日期）：

审核（签名/日期）：

批准（签名/日期）：

一、目的：

根据风险评估结果确定验证和数据完整性控制的范围和程度。 二、质量风险分析评估方法 1、质量风险分析评估模式

2、风险评估方法

2.1、风险确认：可能影响产品的质量、产量、工艺操作或数据完整性的风险；

2.2、风险判定：包括评估先前确认风险的后果，其建立在严重程度、可能性及可检测性上； 2.2.1 严重程度(S)：主要针对可能危害产品质量数据完整性的影响，严重程度分为四个等级： 严重程度(S) 关键(4) 描 述 直接影响产品质量要素或生产工艺与质量数据的可靠性、完整性或可跟踪性。此风险可导致产品不合格；直接影响GMP原则 高(3) 直接影响产品质量要素或生产工艺与质量数据的可靠性、完整性或可跟踪性。此风险可导致产品召回或退回；不符合GMP原则，可能引起检查或审计中产生偏差 中(2) 尽管不存在对产品质量要素的直接影响，但仍间接影响产品质量要素或生产工艺与质量数据的可靠性、完整性或可跟踪性；此风险可能造成资源的极度浪费或对企业形象产生较坏影响 低(1) 尽管此类风险不对产品质量要素产生最终影响，但对产品质量要素或生产工艺与质量数据的可靠性、完整性或可跟踪性仍产生较小影响 2.2.2 可能性程度(P)：测定风险产生的可能性，工艺/操作复杂性知识或小组提供的其他目标数据，可获得可能性的数值，为建立统一基线，建立以下等级： 可能性(L) 极高(4) 高(3) 描述 极易发生，如：复杂手工操作中的人为失误 偶尔发生，如：简单手工操作中因习惯造成的人为失误 中(2) 低(1) 很少发生，如：需要初始配置或调整的自动化操作失败 发生可能性极低，如：标准设备进行的自动化操作失败 2.2.3可检测性(D)：在潜在风险造成危害前，检测发现的可能性，定义如下： 可检测性(D) 极低(4) 低(3) 中(2) 高(1) 描述 不存在能够检测到错误的机制 通过周期性检查可检测到错误 通过应用于每批的常规检查或分析可检测到错误 自动控制装置到位，检测错误(例：警报)或错误明显(例：错误导致不能继续进入下一阶段工艺) 2.3 RPN（风险优先系数）计算：将各不同因素相乘；严重程度、可能性及可检测性，可获得风险系数( RPN = S×P×D )

2.3.1 RPN＞ 18或严重程度 = 4时：界定为高风险水平（此为不可接受风险），必须尽快采用控制措施，通过提高可检测性及降低风险产生的可能性来降低最终风险水平，并需通过实施验证相应项目来检查确认所采用控制措施有效性且持续执行。

严重程度为4时，导致的高风险水平，必须将其降低至RPN最大等于8

2.3.2 当18 ≥ RPN ≥ 8时：界定为中等风险水平，此风险要求采用控制措施，通过提高可检测性及（或）降低风险产生的可能性来降低最终风险水平，并至少需通过相应的检查确定所采用控制措施有效性且持续执行。

2 .6.3 当 RPN ≤ 7时：界定为低风险水平，此风险水平为可接受，无需采用额外的控制措施。 三、计算机化系统质量风险分析评估： 1、风险确认

根据计算机化系统咋操作过程中可能发生的风险，确定通过风险控制，避免危害发生。 2、风险分析

根据计算机化系统在操作过程中可能发生的风险，确定通过风险控制，避免危害发生，应用风险分析评估模式，从对影响产品质量的因素进行分析，对风险的严重性、可能性、可检测性进行分析确认。 3、风险评价

从风险的严重性、可能性、可检测性确定各步骤失败影响，通过计算RPN确定各因素的风险等级水平，将高水平的风险确定为关键点和控制点。 4、计算机化系统风险评估

序号 1 2 3 4 5 识别出的风险 计算机化系统供应商 操作人员不够专业 计算机化系统操作规程 数据转换或迁移 系统的安装位置 计算机化系统的档案资料不全 计算机化系统的操作软件、工作站 计算机化系统使用之前的测试 权限设置 计算机化系统的变更 电子数据和纸质打印文稿同时存在的情况 数据的可访问性及数据完整性 应急预案 系统出现故障或损坏 风险分析 供应商提供产品或服务不能满足公司要求 操作人员不是专业人员，不能正确完成对计算机化系统的设计、验证、安装和运行工作 未建立计算机化系统操作规程 数据转换或迁移时，不能确认数据的数值及含义没有改变 未安装在适当的位置，不能防止外来因素的干扰 操作人员无法掌握系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接 未对所采用软件进行确认，无法保证软件的正确有效的使用 未对系统进行全面测试，未确认系统是否可以获得预期的记过 未对系统进行权限设置，无法保证系统合理合规使用 无预定的操作规程，变更不被控制 文件未明确规定以电子数据为主，还是以纸质打印文稿为主，无法保证有效追溯 未定期对数据备份，无法规避突发事件的风险影响 未建立应急预案 未建立系统出现故障或损坏时进行处理的操作规程 风险评价 S 4 3 3 4 3 P 3 3 3 3 3 D 2 1 1 2 1 RPN 24 9 9 24 9 风险水平 高 中 中 高 中 6 3 3 1 9 中 7 8 9 10 11 12 13 14 4 4 4 4 4 4 4 4 3 3 3 2 3 3 3 3 1 1 1 1 1 1 1 1 12 12 12 12 12 12 12 12 高 高 高 高 高 高 高 高 5、风险控制

根据风险分析评估得分，对风险等级高和中的风险需要追加风险控制措施来降低风险等级水平，对风险等级水平为低的根据现行的措施评价，视为可接受风险。采取风险控制措施后，重新对风险点进行分析评估，评估其控制后风险的风险等级水平，以确定最终的风险评估的结论。 序号 识别出的风险 风险分析 拟采取的措施 制定供应商管理规定，对1 计算机化系统供应商 供应商提供产品或服务不能满足公司要求 操作人员不是专业人员，不能正确完成对计算机化系统的设计、验证、安装和运行工作 供应商提供产品或服务进行审计确认 2 操作人员不够专业 规定操作人员岗位要求，加强培训考核 3 4 5 计算机化系统操作规程 数据转换或迁移 系统的安装位置 计算机化系统的档案资料不全 计算机化系统的操作软件、工作站 计算机化系统使用之前的测试 权限设置 未建立计算机化系统操作规程 数据转换或迁移时，不能确认数据的数值及含义没有改变 未安装在适当的位置，不能防止外来因素的干扰 操作人员无法掌握系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接 未对所采用软件进行确认，无法保证软件的正确有效的使用 未对系统进行全面测试，未确认系统是否可以获得预期的记过 未对系统进行权限设置，无法保证系统合理合规使用 无预定的操作规程，变更不被控制 文件未明确规定以电子数据为主，还是以纸质打印文稿为主，无法保证有效追溯 未定期对数据备份，无法规避突发事件的风险影响 未建立应急预案 未建立系统出现故障或损坏时进行处理的操作规程 建立相关管理标准或工作标准 在调试时进行确认 对安装位置进行确认 检查计算机化系统档案资料 对软件进行确认 进行安装、运行确认 对权限设置进行确认 在变更管理标准文件中6 7 8 9 10 计算机化系统的变更 电子数据和纸质打印文稿同时存在的情况 数据的可访问性及数据完整性 应急预案 系统出现故障或损坏 加入计算机化系统变更管理的相关内容 11 12 13 14 在文件中明确规定 在文件中规定数据备份的管理和操作要求 制定应急预案 建立系统出现故障或损坏时进行处理的规定 6、风险接受（风险再分析评价） 序号 1 2 3 4 5 6 7 8 识别出的风险 风险控制措施 制定供应商管理规定，对供应商提供产品或服务进行审计确认 规定操作人员岗位要求，加强培训考核 建立相关管理标准或工作标准 在调试时进行确认 对安装位置进行确认 检查计算机化系统档案资料 对软件进行确认 进行安装、运行确认 风险评价 S 计算机化系统供应商 操作人员不够专业 计算机化系统操作规程 数据转换或迁移 系统的安装位置 计算机化系统的档案资料不全 计算机化系统的操作软件、工作站 计算机化系统使用之前的测试 4 3 3 4 3 3 4 4 P 2 2 1 1 1 2 1 1 D 1 1 1 1 1 1 1 1 8 6 3 4 3 6 4 4 RPN 是否接受 是 是 是 是 是 是 是 是 9 10 11 12 13 14 权限设置 计算机化系统的变更 电子数据和纸质打印文稿同时存在的情况 数据的可访问性及数据完整性 应急预案 系统出现故障或损坏 对权限设置进行确认 在变更管理标准文件中加入计算机化系统变更管理的相关内容 在文件中明确规定 在文件中规定数据备份的管理和操作要求 制定应急预案 建立系统出现故障或损坏时进行处理的规定 4 4 4 4 4 4 2 1 1 1 1 1 1 1 1 1 1 1 8 4 4 4 4 4 是 是 是 是 是 是 7、风险沟通

涉及风险控制措施的文件已经批准，采取的追加控制措施及文件、风险报告已经批准，完成说有参与操作的人员培训及考核，确保在以后的操作中，将识别出的风险点进行重点控制。风险管理小组需要对风险分析评估过程中提出的追加措施进行跟踪确认，并将检查结果形成文件。 8、风险分析评估结论

通过对风险项目进行识别，对14项风险点进行了分析评估、拟控制措施及再评价，其中高等级水平风险10项，中等级水平风险4项。针对这14项中高等级水平风险项目，风险管理小组逐一制订了控制措施，并在日常管理和员工培训上加强力度，通过相应的控制措施有效执行，将能够有效降低计算机化系统使用过程中的质量风险，规避其对产品质量产生的风险。