과학의 발달로 현재에는 의약품의 제조에도 컴퓨터가 필수적으로 사용되며 각 기기에는 인간의 노력을 줄이고 사고를 미연에 방지하며 실수를 줄일 수 있는 많은 프로그램들이 내재되어 있습니다. 하지만 아직까지는 컴퓨터 시스템 자체가 모든 것을 다 판단할 수는 없으므로 이러한 컴퓨터 시스템을 작동시키고 운영하는 것은 바로 작업원입니다. 작업원은 컴퓨터가 제대로 작동 할 수 있는 시스템의 운영을 위하여 컴퓨터 시스템밸리데이션을 단계별로 계획하고 잘 운영해야 합니다.
1. 컴퓨터 시스템 밸리데이션 관련 용어
컴퓨터 시스템 밸리데이션과 관련된 용어에 대해 알아 봅시다. “공정 책임자란 업무 공정을 책임지는 사람을 말합니다. “맞춤/주문형 컴퓨터화 시스템이란 특정 업무에 맞추어 개별적으로 설계된 컴퓨터화 시스템을 의미하며 “상용 소프트웨어”란 시판되는 소프트웨어로 넓은 범위의 사용자들에 의해 사용 적합성이 입증된 것을 말합니다.
시스템 책임자는 컴퓨터화 시스템의 가용성과 유지보수, 해당 시스템에 저장된 데이터 보안을 책임지는 사람이며 아이티 기반시설은 응용프로 그램이 제 기능을 수행할 수 있도록 하는 네트워킹 소프트웨어와 운영 시스템과 같은 하드웨어 및 소프트웨어를 의미합니다. 외부업체는 제조 및 수입업자 또는 각각에 의해 직접적으로 관리되지 않는 대상입니다. 응용 프로그램은 특정 기능을 수행하는 플랫폼/하드웨어에 설치된 소프트웨어이며 전주기란 디자인, 규격, 프로그래밍, 시험, 설치, 운영, 유지보수를 포함하여, 시스템의 초기 설치에서 제거까지의 시스템 수명의 모든 단계를 말합니다.
2. 컴퓨터 시스템 밸리데이션 원칙 및 일반사항
컴퓨터 시스템 밸리데이션의 대상은 의약품 제조 및 품질관리 기준 업무에 사용되는 모든 컴퓨터화 시스템을 대상으로 하며 이때, 컴퓨터화 시스템이라 함은 소프트웨어와 하드웨어의 조합으로서 특정 기능을 수행하는 것을 말합니다. 컴퓨터 시스템 밸리데이션의 원칙은 우선 컴퓨터 시스템에 사용되는 응용프로그램은 검증되어야 하고, 컴퓨터화 시스템 기반시설은 적격성 평가를 실시하여야 합니다. 그리고 컴퓨터화되지 않은 작업을 컴퓨터화 시스템으로 대체하는 경우에는
제품 품질, 공정 관리 및 품질 보증의 수준이 저하되어서는 안 되며 또한, 전체 공정에 위험이 가중되어서도 안됩니다.
컴퓨터 시스템 밸리데이션의 일반사항을 알아 볼까요? 먼저 위험관리입니다. 위험관리는 환자 안전, 데이터 완전성 및 제품 품질을 모두 고려하여 전주기 동안 적용되어야 합니다. 위험 관리 시스템의 일환으로, 밸리데이션과 데이터 완전성 관리의 범위는 컴퓨터화 시스템에 대한 타당성이 입증되고 문서화된 위험 평가를 기반으로 결정되어야 합니다. 작업원에 대한 사항으로는 공정 책임자, 시스템 책임자, 권한 있는 자, 컴퓨터화 시스템 등 모든 관련 작업원들 간의 긴밀한 협력이 필요합니다. 그리고 맡은 업무를 수행할 수 있도록 모든 작업원들에게 적절한 자격, 접근 권한 및 정해진 의무사항을 부여하여야 합니다.
컴퓨터화 시스템이나 관련 서비스 또는 데이터 처리를 제공하거나 설치, 구성, 통합, 밸리데이션, 유지보수(예: 원격 접근), 수정 또는 보존 등을 위해 외부업체를 이용할 수 있습니다. 이 경우 제조업자와 외부업체간의 공식적인 계약서가 반드시 있어야 하며, 해당 계약서에는 외부업체의 의무사항에 대하여 명확히 기재해야 합니다. 또 컴퓨터화 시스템 부서에도 외부업체와 유사하게 적용되어야 합니다. 다음은 제품이나 서비스 제공자를 선별할 때 주의사항입니다. 공급업체의 능력과 신뢰도를 주요 요인으로 고려하고 공급업체 평가의 필요성은 위험 평가를 토대로 결정합니다.
3. 컴퓨터 시스템 밸리데이션 단계
컴퓨터 시스템 밸리데이션의 계획단계입니다. 밸리데이션 문서와 보고서는 전주기의 관련 단계에 적용되어야 하고 제조업자는 해당 단계에 대한 위험 평가를 기반으로 하여 기준, 프로토콜, 허용 기준, 절차 및 기록을 뒷받침 할 수 있어야 합니다. 또한 밸리데이션 문서는 해당되는 경우 변경 관리 기록과 밸리데이션 공정 중 인지한 모든 일탈에 대한 보고서를 포함합니다. 모든 관련 시스템과 해당 시스템의 의약품 제조 및 품질관리 기준과 관련된 기능에 대한 최신 목록이 구비되어 있어야 합니다. 중요 시스템의 경우, 물리적, 논리적 배치, 기타 시스템 혹은 공정과의 데이터 흐름 및 인터페이스, 하드웨어 및 소프트웨어 전제 조건, 보안 절차 등에 대한 상세 사항이 기재되어 있는 최신 시스템 설명서가 있어야 합니다.
사용자 요구사항 규격서에는 컴퓨터화 시스템에서 필요한 기능이 설명되어 있어야 합니다. 문서화된 위험 평가와 의약품 제조 및 품질관리 기준에 미치는 영향을 기반으로 작성되어야 하고 사용자 요구사항은 전주기 동안 추적가능 해야 합니다. 지정된 사용자는 해당 시스템이 적절한 품질관리 시스템에 따라 개발되었는지를 확인하기 위하여 필요한 모든 단계의 조치를 취하여야 한다. 공급업체에 대한 적절한 평가도 실시해야 하겠습니다.
맞춤 또는 주문 제작된 컴퓨터화 시스템 밸리데이션의 경우, 해당 시스템의 전주기 단계의 품질 및 성능 측정에 대한 보고와 공식적인 평가를 할 수 있는 절차를 마련하여야 합니다. 그리고 시험 방법 및 시험 계획은 적절하게 증명되어야 하는데, 특히, 시스템(공정)변수 한계기준, 데이터 한계기준, 오류 처리에 대해 고려해야 하며 자동화된 시험방법 및 시험 환경에 대한 적절성을 평가하고 이를 문서화해야 합니다.
마지막으로 데이터를 다른 데이터 형식이나 시스템으로 전송할 때 그 과정에서 데이터 및 의미 또는 각각이 변경되지 않았는지에 대한 확인 과정이 밸리데이션에 포함되어야 합니다. 사용 단계를 살펴 보겠습니다. 컴퓨터 시스템 밸리데이션에서 데이터는 매우 중요합니다. 다른 시스템과 전자적으로 데이터를 교환하는 컴퓨터화 시스템은 위험을 최소화 할 수 있도록 정확하고 안전한 데이터 입력 및 처리를 확인하는 적절한 내장기능을 포함하고 있어야 합니다.
만약 중요 데이터를 직접 입력한 경우, 데이터의 정확성을 추가적으로 확인해야 합니다. 이 확인은 또 다른 작업원 또는 검증된 전자적 방법으로 수행될 수 있는데 실수로 혹은 부정확하게 시스템에 입력된 데이터로 인한 위험성 및 잠재적 영향은 위험관리를 통해 확인해야 합니다.
다음으로 데이터 저장방법으로 데이터는 손상에 대비하여 물리적 및 전자적 수단을 이용하여 보호되어야 하고 저장된 데이터의 접근성, 가독성, 정확성을 확인해야 합니다. 또한 데이터 보관 기간 동안에는 데이터에 접근할 수 있어야 하고 관련 데이터 전체를 정기적으로 백업합니다.
그리고 밸리데이션을 진행하면서 백업 데이터의 완전성, 정확성 및 데이터 복구 능력을 확인하고 이를 정기적으로 점검합니다. 인쇄의 경우에 전자 방식으로 저장된 데이터의 경우 선명하게 인쇄할 수 있어야 하고 제조단위의 출하 관련 기록의 경우, 최초 입력 시점 이후 데이터의 변경 여부를 확인할 수 있는 인쇄물을 만들 수 있어야 합니다.
위험 평가를 기반으로 하여, 의약품 제조 및 품질관리 기준 관련 변경 또는 삭제 기록을 시스템에 입력할 때는 주의를 기울여야 합니다. 그리고 의약품 제조 및 품질관리 기준 관련 데이터를 변경하거나 삭제할 때는 그에 대한 사유를 문서화하여야 합니다. 또한, 점검기록은 일반적으로 이해할 수 있는 형식으로 전환 가능해야 하며 해당 형식으로 구비하고, 정기적으로 검토되어야 합니다. 컴퓨터 시스템 밸리데이션에서 변경 및 구성 관리에서는 시스템 구성을 포함하여 컴퓨터화 시스템에 발생하는 변경은 정해진 절차에 따른 관리 하에서만 이루어져야 합니다.
컴퓨터화 시스템을 정기적으로 평가하여 유효한 상태인지, 의약품 제조 및 품질관리 기준을 준수하고 있는지 확증해야 합니다. 현재 시스템의 기능 범위, 일탈 기록, 사건, 문제점, 개선 내역, 성능, 신뢰도, 보안, 밸리데이션 상태 보고서가 평가에 적절하게 포함되어야 합니다.
다음은 보안에 관련된 내용입니다. 물리적 및 논리제어 또는 각각을 마련하여 권한 있는 작업원에게만 컴퓨터화 시스템의 접근을 허용합니다. 허가되지 않은 출입을 방지할 수 있는 적절한 방법에는 열쇠, 출입카드, 개인 비밀번호, 생체 인증, 컴퓨터 장비 및 데이터 보관 구역 접근 제한 등이 있습니다. 이때, 보안 관리의 정도는 컴퓨터화 시스템의 중요도에 따라 다릅니다.
또한 접근 권한의 생성, 변경 및 삭제는 기록되어야 하고 데이터 또는 문서 관리 시스템은 일시를 포함하여 자료 입력, 변경, 확인, 삭제하는 작업원의 신원을 기록할 수 있도록 설계하여야 합니다. 만약 사건이 일어나면 사건의 관리는 시스템 장애 및 데이터 오류뿐만 아니라 모든 사건을 보고하고 평가하여야 합니다. 그리고 중요 사건의 근본 원인을 규명하고, 시정 및 예방 조치의 기반을마련합니다. 전자 기록은 전자 형태로 서명될 수 있으며 전자 서명은 회사 내에서는 손으로 한 서명과 같은 효력을 지닙니다. 전자 서명은 해당 전자 서명과 관련된 기록에 영구적으로 연계되는데 이때, 전자 서명이 적용된 일시도 포함되어야 합니다.
컴퓨터화 시스템을 사용하여 제조단위 출하 및 증명을 기록하는 경우에도 권한 있는 자만이 제조단위 출하를 승인해야 합니다. 해당 시스템은 제조단위를 출하하거나 승인하는 사람의 신원을 명확히 확인하고 기록하여야 합니다. 이러한 경우 전자 서명을 사용해야 합니다. 컴퓨터시스템 밸리데이션 사용단계에서 중요 공정을 지원하는 컴퓨터화 시스템은 고장이 발생한 경우 해당 공정을 지속적으로 지원할 수 있도록 대체 방안을 마련해야 하는데요. 대체 방안을 실제로 활용할 수 있기까지 걸리는 시간은 위험성을 기반으로 정하며, 해당 방안이 적용되는 특정 시스템과 업무에 적합하여야 합니다. 이러한 대체 방안은 적절하게 문서화되고 시험되어야 합니다. 기록 보관의 경우 보관되는 데이터의 접근성, 가독성, 완전성을 확인하여야 합니다. 시스템에 변경 사항이 생긴 경우, 데이터를 해당 시스템으로부터 복구할 수 있어야 하며 이에 대한 시험도 이루어져야 합니다.
4. 컴퓨터 시스템 밸리데이션 분류 및 특징
이제 컴퓨터 시스템 밸리데이션에서 가장 중요한 자동화장치의 카테고리를 분류해보겠습니다. 카테고리를 분류하는 이유는 다음과 같습니다. 표준 소프트웨어/하드웨어에서 맞춤형 소프트웨어/ 하드웨어로 갈수록, 결함이나 이상 발생 리스크가 커지는데 그 이유는 더 복잡하고 사용자 경험이 적기 때문에 그렇습니다. 이때, 리스크 평가 및 공급업체 평가 결과와 함께 카테고리 분류 결과를 활용하면, 효과적인 품질 리스크 관리에 도움이 될 수 있습니다. 대다수 시스템은 운영 시
스템, 비구성 컴포넌트, 구성 또는 맞춤 컴포넌트 같이 복잡성 수준이 다양한 여러 컴포넌트로 구성되며, 다음 순서에 따라 활동 수준을 강화해야 합니다.
세부사항으로 소프트웨어카테고리를 분류해 보도록 하겠습니다. 소프트웨어카테고리는 크게 5가지로 분류됩니다.
먼저 카테고리 1인 인프라스트럭처 소프트웨어입니다. 인프라스트럭처 요소는 서로 연결되어 각종 애플리케이션과 서비스의 운영 및 지원을 위한 통합 환경을 형성하며 두 종류가 있습니다. 고정된 또는 판매용으로 확보 가능한 레이어드 소프트웨어입니다. 이러한 소프트웨어의 제어 상태에서 작동되는 애플리케이션이 있는데 그 예로는 운영체계, 데이터베이스 매니저, 프로그래밍 언어, 미들웨어, LLI, 통계적 프로그래밍 도구, 스프레드시트 패키지가 이에 해당됩니다.
둘째로, 인프라스트럭처 소프트웨어 도구입니다. 네트워크 모니터 소프트웨어, 일괄 작업 스케줄링 도구, 보안 소프트웨어, 바이러스 백신, 구성 관리 도구 등이 이에 해당됩니다. 하지만 패스워드 관리나 보안 관리 같이 파급 영향이 큰 도구는 리스크 평가를 실시하여 추가적인 관리가 필요한지 결정합니다.
카테고리 2는 더 이상 적용하지 않습니다. 카테고리 3는 비구성 제품은 비즈니스 목적으로 사용되는 OTS 제품이 이에 해당됩니다. 비즈니스 프로세스에 맞게 구성할 수 없는 시스템과 구성이 가능하지만 기본 구성만을 사용할 수 있는 시스템을 모두 포함하는데 두 경우 모두 사용자 환경에서 작동될 수 있게 구성하는 것이 가능합니다. 또한 리스크 및 복잡성에 근거하여, 기본 구성만으로 사용하는 시스템이 카테고리 3이나 카테고리 4 가운데 어디에 해당되는지 결정합니다.
카테고리 3 제품에는 약식 라이프사이클 접근 방식을 적용할 수 있으며 공급업체 평가는 필요하지 않을 수 있습니다. 공급업체 평가의 필요성과 정도는 리스크를 감안하여 정합니다. 사용자 요구 기준이 필요한데 이때는 주요 사용 측면에 중점을 두고 기능 규격과 디자인 규격은 기대되지 않지만 테스트에 필요한 정도의 충분한 규격은 있어야 합니다.
카테고리 4는 구성 제품으로 구성 가능 소프트웨어 제품은 표준 인터페이스와 기능을 제공하여, 사용자 특이적인 비즈니스 프로세스를 구성할 수 있게 하고 일반적으로 미리 규정된 소프트웨어 모듈을 구성합니다. 이때, 상세한 URS가 필요하고 구성 가능 제품과 공급업체의 평가 방식은 리스크를 감안해 정하며, 그 내용을 문서화해야 합니다. 구성 대상 비즈니스 프로세스에 특히 중점을 두어, 소프트웨어 제품이 사용자 요구 기준을 충족시키는지 확인하는 베리피케이션을 실시합니다.
카테고리 5는 맞춤 애플리케이션으로서 규제 대상 업체의 특이적인 요구에 맞춰 이런 시스템 또는 서브시스템이 개발됩니다. 맞춤 시스템에 내재된 리스크는 매우 높은데 사용자 경험이나 시스템 신뢰성 정보가 거의 없으므로, 이런 높은 리스크를 감안하여 라이프사이클 접근 방식을 결정합니다. 라이프 사이클 접근 방식은 구성제품(카테고리4)과 유사하지만, 디자인 부분이 추가된 것이 카테고리5입니다. 리스크를 감안하여 공급업체 평가 방식을 정하고, 그 내용을 문서화하고 QMS를 적절하게 구축하여 애플리케이션의 개발과 지속적 지원이 가능한지 확인하기 위해서는 공급업체 감사가 필요합니다.
다음으로 하드웨어 카테고리의 분류입니다. 다음과 같이 표준 하드웨어 컴포넌트와 맞춤 제작 하드웨어 컴포넌트로 나눌 수 있습니다. 먼저 하드웨어 카테고리 1은 표준 하드웨어 컴포넌트로 규제 대상 업체가 사용하는 대다수 하드웨어가 이 카테고리에 속합니다. 표준 하드웨어 컴포넌트인 경우에는 제작업체 또는 공급업체 정보와 버전 번호를 포함하여 관련 정보를 문서화하고 컴포넌트의 올바른 설치와 연결을 베리피케이션합니다. 조립 하드웨어의 모델, 버전 번호, 그리고 가능한 경우에는 일련 번호를 기록합니다.
다음으로 하드웨어 카테고리 2의 맞춤 제작 하드웨어 컴포넌트는 맞춤 하드웨어 부분에 대한 DS가 있어야 하며, 수용 테스트를 실시합니다. 그리고 리스크에 기반하여 공급업체 평가 방식을 정하며, 그 내용을 문서화합니다. 또한 맞춤 하드웨어 개발에 중점을 둔 공급업체 감사를 실시하고 여러 곳에서 확보한 맞춤 하드웨어로 조립한 시스템은 서로 연결된 하드웨어 컴포넌트의 호환성을 확인하는 베리피케이션이 필요합니다. 그리고 모든 하드웨어 구성을 디자인 문서에 규정하고, 이를 베리피케이션 합니다.
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | GMP란 무엇인가?
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 시설 및 환경의 관리
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | GMP 조직의 구성과 역할
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | GMP 4대 기준서에 대한 이해
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | GMP 문서작성 및 관리 방법
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 공정 밸리데이션
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 시험 방법 밸리데이션
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 세척 밸리데이션
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 제조지원 밸리데이션
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 시험관리 및 안정성 시험
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 연간 품질평가
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 의약품 제조 공정관리
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 의약품 제조 위생관리
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 원자재 및 제품관리 등
[보건의료/GMP 규정 및 품질관리 개론] - GMP 의약품 제조 품질관리 | 자율점검 및 교육훈련, 실태조사 방법
댓글