PM-CONTROL Konformitätserklärung 21 CFR Part 11
Transcription
PM-CONTROL Konformitätserklärung 21 CFR Part 11
PM-CONTROL Konformitätserklärung 21 CFR Part 11 PM-CONTROL Konformitätserklärung 21 CFR Part 11 Siemens AG Dezember 2005 Copyright © Siemens AG 2005 All rights reserved Stand: 16.06.2005 Seite 1 von 9 PM-CONTROL Konformitätserklärung 21 CFR Part 11 Inhalt: 1. Einleitung................................................................................................................ 4 2. Die Regeln zu 21 CFR Part 11 ............................................................................... 5 3. Wie lautet die Antwort von PM-CONTROL auf 21 CFR Part 11 ........................ 7 3.1 Zugangsverwaltung mit SIMATIC Logon........................................................... 7 3.2 Änderungskontrolle ........................................................................................... 7 3.2.1 Konfigurationsdaten.................................................................................... 7 3.2.2 Rezepte ...................................................................................................... 7 3.3 Elektronische Signaturen .................................................................................. 8 3.3.1 Rezepte ...................................................................................................... 8 3.3.2 Chargendaten............................................................................................. 8 4. Support ................................................................................................................... 9 Copyright © Siemens AG 2005 All rights reserved Stand: 16.06.2005 Seite 2 von 9 PM-CONTROL Konformitätserklärung 21 CFR Part 11 Verwendete Abkürzungen: FDA CFR ER/ES SOP GAMP SCADA OEM HTML PDF MOD CD-ROM Food and Drug Administration Code of Federal Regulations Electronic Records and Electronic Signatures Standard Operating Procedure Good Automated Manufacturing Practice Supervisory Control And Data Acquisition Original Equipment Manufacturer Hypertext Markup Language Portable Document Format Magneto Optical Disc Compact Disc Read Only Memory SIMATIC WinCC ist eine Marke der Siemens AG. Die übrigen Bezeichnungen in diesem Dokument können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen können. Copyright © Siemens AG 2005 All rights reserved Stand: 16.06.2005 Seite 3 von 9 PM-CONTROL Konformitätserklärung 21 CFR Part 11 1. Einleitung Am 20. August 1997 wurden die Regeln der 21 CFR Part 11 zu "Elektronische Records und Elektronische Signaturen ER/ES" von der US-Lebensmittel und Gesundheitsbehörde FDA (Food and Drug Administration) herausgegeben. Die Implementierung dieser Regeln, die in Richtlinien-Dokumenten der FDA und durch das Validierungsteam "GAMP special interest group" interpretiert werden, sind zwar nicht erforderlich, aber erlaubt. Die herkömmlichen Dokumente in Papierform und eigenhändige Unterschriften können weiter benutzt werden, aber auch eine Mischung aus beiden. Wenn jedoch die elektronischen Records und Signaturen eingeführt werden, müssen die Vorschriften befolgt werden, damit sie mit den Papieraufzeichnungen und Unterschriften übereinstimmen. Durch die Inspektionen, die im Hinblick auf die Erfüllung der ER/ES Anforderungen durchgeführt wurden, sahen sich viele Firmen veranlasst, den Einsatz von elektronischen Werkzeugen zur Erstellung, Änderung, Wartung, Archivierung, Wiederauffindung (Retrieval) und Übertragung dieser elektronischen Records zu überprüfen. Als Hilfe für unsere Kunden hat Siemens, als Hersteller und Vertreiber von PM-CONTROL sein System anhand dieser Regeln evaluiert. In diesem Papier werden die Bewertungsergebnisse des Produktes „PM-CONTROL“ veröffentlicht. Die Entwicklung von PM-CONTROL erfolgt gemäß einem zertifizierten QM-System nach DIN EN 9001. Es ist ein Werkzeug, mit dessen Hilfe Systeme realisiert werden können, die den FDA Anforderungen genügen. Die Validierung erfolgt jedoch für jedes realisierte System individuell. Kein Softwarehersteller kann ein FDA validiertes Software Produkt anbieten. In Verbindung mit SIMATIC WinCC, SIMATIC Logon und zusätzlichen schriftlichen Verfahrensanweisungen des Kunden, erfüllt PM-CONTROL die Regeln der 21 CFR Part 11. Für die Erstellung dieses Dokuments gelten folgende allgemeine Prämissen: 21 CFR Part 11 gilt nur für die Records, die geführt werden, um den Vorschriften der FDA zu entsprechen oder die einer Prüfung durch die FDA unterzogen werden sollen. Die Systemanwender werden die Vorschläge von Siemens im Hinblick auf Systemauslegung, Aufbau und Konfiguration erfüllen, um den Anforderungen besser nachkommen zu können. Die Regeln sind frei auslegbar, weshalb sich die angegliederten Unterlagen nach der allgemeingültigen Interpretation richten. Da diese sich erwartungsgemäß im Laufe der Zeit ändern wird, sind diese Änderungen in einer Neuauflage dieser Konformitätskriterien festzuhalten. Wenn die Interpretation einer Regel, die bei einer einzelnen Firma implementiert wurde, von denen in dieser Anlage abweicht, wenden Sie sich bitte für nähere Informationen an das Siemens WinCC Competence Center Mannheim. Dieses Papier besteht aus zwei Teilen. Der erste Teil erklärt die Regeln, der zweite enthält die Antworten auf den Forderungskatalog der FDA. Copyright © Siemens AG 2005 All rights reserved Stand: 16.06.2005 Seite 4 von 9 PM-CONTROL Konformitätserklärung 21 CFR Part 11 2. Die Regeln zu 21 CFR Part 11 Die Regeln müssen befolgt werden, weil die Gefahr der Fälschung, Falschinterpretation und nicht nachweisbaren Veränderung bei elektronischen Records / Signaturen größer ist als bei herkömmlichen Papieraufzeichnungen und Unterschriften. Pannen und Missbrauch sollen auf diese Weise verhindert und ausgeschlossen werden. Verantwortlich hierfür und für die Erfüllung der Regeln zu 21 CFR Part 11 sind diejenigen, die für den Inhalt des elektronischen Records verantwortlich zeichnen. Die Definition für einen elektronischen Record ist sehr allgemein: "Ein elektronischer Record ist eine Kombination von Texten, Grafiken, Daten, akustischen, bildlichen oder sonstigen Darstellungen von Informationen in digitaler Form, der durch ein komplexes Rechnersystem erzeugt, modifiziert, gewartet, archiviert, wiederaufgefunden oder verteilt wird." "Die elektronische Signatur ist die rechnergestützte Erfassung jener Symbole oder Symbolserien, die von einer Einzelperson ausgeführt, übernommen oder freigegeben werden, um den gleichen rechtsverbindlichen Charakter zu erlangen, wie die handschriftliche Unterschrift". Die elektronischen Records und Signaturen sind sicher aufzubewahren. Der Zugriff auf die elektronischen Records soll durch eine Zugangsverwaltung gesteuert und unterstützt werden. Bei der Erstellung, Änderung oder Löschung von elektronischen Records soll ein Audit Trail mit folgenden Informationen aufgezeichnet werden: Wer hat wann, warum geändert, der veränderte Zustand / Wert und der neue Zustand / Wert. Nur befugte Personen können elektronische Records freigeben, indem sie elektronische Signaturen benutzen (Zugangsverwaltung.) Bei der elektronischen Signaturenkontrolle kommen mindestens zwei verschiedene Komponenten zum Einsatz, wie der Identifikationscode und das Passwort. Nach Unterzeichnung der Information müssen die Angaben "Wann, wo, warum" gespeichert werden. Eine elektronische Signatur muss eindeutig der Person zuzuordnen sein, die unterzeichnet und kann auch nur von dem wahren Inhaber benutzt werden. Die elektronischen Signaturen müssen mit dem entsprechenden elektronischen Record verknüpft werden. Das Fälschen, Kopieren (Ausschneiden) und nachträgliche Einfügen von elektronischen Signaturen soll auf diese Weise verhindert werden. Die elektronischen Records und deren zugeordnete Signaturen müssen auch zu einem weitaus späteren Zeitpunkt für Inspektionszwecke in einer lesbaren Form archiviert und wiedergewonnen werden können. Betriebliche Systemüberprüfungen müssen gegebenenfalls für die zulässige Sequenz von Schritten und Ereignissen sorgen. Geräteüberprüfungen bestimmen die Gültigkeit der Quelle der Dateneingabe oder der betrieblichen Anweisungen. Diese Anforderungen haben zum Ziel, eine sichere, lesbare, ungefälschte Rückverfolgung der Produktionsdaten sicherzustellen. Copyright © Siemens AG 2005 All rights reserved Stand: 16.06.2005 Seite 5 von 9 PM-CONTROL Konformitätserklärung 21 CFR Part 11 Zur Feststellung der Eignung (Qualifizierung) beschränken sich die Inspektionen nicht nur auf die resultierenden Records und Signaturen, sondern erstrecken sich auch auf die Umgebung, wie beispielsweise auf die Tools, mit denen die elektronischen Records und Signaturen erzeugt, gewartet und archiviert werden oder auf die Wartungs- und Betriebsanleitungen SOPs (Standard Operating Procedures), die die Handhabung der ER/ES regeln. Kommentar des Validierungsteams "GAMP special interest group": Die Überprüfung der resultierenden Records alleine genügt bei weitem nicht !!! Die FDA überprüft auch die Hardware und Software, die für die Erstellung und Wartung der elektronischen Records verwendet wurde. Die Rechnersysteme (Hardware und Software), Kontrollen und Begleitdokumentation sollen der FDA für Prüfungszwecke bereitgestellt werden. So wird das gesamte System und dessen Umgebung geprüft: Sind die Verfahren und Kontrollen so konzipiert, dass sie die Echtheit, Vollständigkeit und gegebenenfalls Vertraulichkeit der elektronischen Records sicherstellen und dass der Unterzeichner nicht einfach den von ihm unterzeichneten Record als unecht ablehnen kann? Gibt es Verfahren, die definieren, wer welchen Record unterzeichnen darf? Wurde die Identität der Person verifiziert, die elektronisch unterzeichnet? Ist sich der Unterzeichner darüber im Klaren, dass seine Signatur rechtsverbindlich ist? Wird dies der FDA mitgeteilt? Werden die elektronischen Signaturen regelmäßig überprüft, wieder aufgerufen oder revidiert? Gibt es eine Verlustverwaltung (loss management)? Bestehen angemessene Kontrollen für die Verteilung, den Zugang und die Benutzung von Dokumentationsunterlagen zur Systembetreibung und Wartung? Gibt es Änderungskontrollverfahren und Audit Trails für den Fall, dass die Systemdokumentation geändert wird? Um all diese Anforderungen zu erfüllen, ist es notwendig, dass Lieferant und Kunde zusammen arbeiten. In der Lösung soll ausgearbeitet werden, welche Anforderungen vom System unterstützt werden sollen und welche Anforderungen von den schriftlichen Standard Operating Procedures zu erfüllen sind, damit allen FDA-Anforderungen zu 21 CFR Part 11 entsprochen wird. Wenn der Kunde eine umfassende Kontrolle über das Zugangssystem zu den elektronischen Records hat (geschlossenes System), sind für die Regelung keine weiteren Maßnahmen notwendig, wie die Verschlüsselung eines Dokuments und die Benutzung von entsprechenden digitalen Signaturenstandards (Verschlüsselung). Im nächsten Kapitel werden die spezifischen Eigenschaften des Produktes PM-CONTROL von Siemens beschrieben. Es wird davon ausgegangen, dass das System in Verbindung mit SIMATIC WinCC und SIMATIC Logon als "geschlossenes System" installiert und gehandhabt wird. Copyright © Siemens AG 2005 All rights reserved Stand: 16.06.2005 Seite 6 von 9 PM-CONTROL Konformitätserklärung 21 CFR Part 11 3. Wie lautet die Antwort von PM-CONTROL auf 21 CFR Part 11 Alle Anforderungen, die von Systemfunktionen erfüllt werden können, lassen sich in drei Gruppen zusammenfassen: - Zugangsverwaltung - Änderungskontrolle - Elektronische Signatur 3.1 Zugangsverwaltung mit SIMATIC Logon Für SIMATIC WinCC gibt es das Optionspaket SIMATIC Logon, um alle Anforderungen der Zugangsverwaltung zu erfüllen. Die einzelnen Funktionen dieses Moduls sind in der Konformitätserklärung von SIMATIC WinCC erläutert und werden daher hier nicht behandelt. 3.2 Änderungskontrolle In vielen Fällen kann ein elektronischer Record (ER) ohne Änderung / Ergänzung gespeichert und archiviert werden. Für eine Änderung der Applikations- oder der Systemsoftware sind jedoch Funktionen aus der Änderungsverwaltung (ChangeManagement) notwendig, wie beispielsweise Versionierung oder Deltavergleich. Wir unterscheiden zwischen Änderungen der Konfigurationsdaten während der Offline- / Engineering-Phase, Änderungen der Rezepte und Änderungen während der Produktions- / Runtime-Phase des Systems. 3.2.1 Konfigurationsdaten In der Offline-Phase müssen alle Änderungen an den WinCC- und PM-CONTROLKonfigurationsdaten zurückverfolgbar sein. Hierfür empfehlen wir die Verwendung von Versionierungstools wie z.B. Microsoft Visual Source Safe. Die Archivierung der WinCC Projektierung, z.B. mit Microsoft Visual Source Safe, umfasst auch die Konfigurationsdaten von PM-CONTROL. 3.2.2 Rezepte Jede Änderung eines Rezepts wird beim Speichervorgang mit Zeitstempel und dem Namen des angemeldeten Benutzers im Audit Trail aufgezeichnet. Dabei wird der Inhalt des Rezepts vor der Änderung und nach der Änderung festgehalten. Die Einträge im Audit Trail können mit einer Marke, einem Label, gekennzeichnet werden. Ein Label markiert somit den Zustand eines Rezepts nach einer Reihe von Änderungen, die in den Spalten Vorher und Nachher des Audit Trails nachvollziehbar sind. Auf Grund der detaillierten Protokollierung und des Setzens von Labeln besteht die Möglichkeit der Wiederherstellung von vorherigen Rezeptversionen. Damit kann der Zustand eines Rezepts zu einem früheren Zeitpunkt, der im Audit Trail mit einem Label markiert Copyright © Siemens AG 2005 All rights reserved Stand: 16.06.2005 Seite 7 von 9 PM-CONTROL Konformitätserklärung 21 CFR Part 11 wurde, wiederhergestellt werden d.h. zwischenzeitlich vorgenommene Änderungen an einem Rezept können zurückgenommen werden. 3.2.3 Runtime Daten Die Änderungen während der Produktionsphase, die über das SCADA-System WinCC durchgeführt werden, werden in Meldearchiven aufgezeichnet. Hier wird ein kompletter Audit Trail erstellt, in dem alle Änderungen registriert sind. Änderungen an den Parametern einer Charge in der Auftragssteuerung von PM-CONTROL werden in einem Audit Trail mit Zeitstempel, eingeloggtem Benutzer, den Werten vor und nach der Änderung protokolliert, so dass nachvollziehbar ist, welche Änderungen an Parametern einer Charge seit Erzeugung vorgenommen wurden. Neben der Modifikation der Parameter einer Charge umfasst das Audit Trail Ladevorgänge, wobei aufgezeichnet wird, welcher Parameter zu welchem Zeitpunkt mit welchem Wert an das Automatisierungsgerät übertragen wurde. Der Einfluss von Parameteränderungen auf den Produktionsprozess kann auf diese Weise überprüft werden. Optimal ergänzt wird PM-CONTROL durch die Funktionalitäten von PM-QUALITY: Dieses WinCC Add-on archiviert und protokolliert alle Prozessdaten, Stör-/Betriebsmeldungen, Bedienmeldungen und Handeingabewerte während der Chargenlaufzeit. 3.3 Elektronische Signaturen 3.3.1 Rezepte PM-CONTROL unterstützt in Verbindung mit SIMATIC Logon und WinCC die elektronische Signatur der eingegebenen Rezept -/Produktdaten. Der Datensatz für ein Rezept, kann in verschiedene Teilbereiche wie z.B. Rezeptkopfdaten, Parameterwerte u.a. gegliedert werden. Für jeden dieser Teilbereiche kann eine eigene Signaturpflicht festgelegt werden. Damit erfordert jede Änderung, die einen Teilbereich mit Signaturpflicht betrifft, eine erneute Signierung des Rezepts. Eine elektronische Unterschrift beinhaltet den Namen des angemeldeten Benutzers und das zugehörige Passwort. Mit einer Signatur wird die korrekte Eingabe und der einwandfreie Zustand der Rezept-/ Produktdaten bestätigt. Die Signatur wird untrennbar mit dem Rezept abgelegt. Es besteht auch die Möglichkeit zwei Signaturen von jeweils verschiedenen Personen zur Bestätigung der Richtigkeit eines Rezepts zu fordern. 3.3.2 Chargendaten PM-CONTROL unterstützt elektronische Signaturen für Chargendatensätze. Mit der elektronischen Unterschrift erklärt der Unterzeichner, dass die Charge mit ihren aktuellen Parameterwerten in Ordnung ist und zur Produktion freigegeben ist. Wird die Charge vor der Übertragung an ein Automatisierungsgerät verändert, ist ein erneutes Signieren erforderlich. Die Signatur einer Charge wird untrennbar mit der Charge abgelegt und bei Anzeige, Druck oder Export der Charge mit dargestellt. Copyright © Siemens AG 2005 All rights reserved Stand: 16.06.2005 Seite 8 von 9 PM-CONTROL Konformitätserklärung 21 CFR Part 11 4. Support Ein wichtiger Faktor bei der Realisierung und dem Betrieb von validierten Anlagen ist der kompetente Umgang mit den benutzten Werkzeugen. Siemens bietet Ihnen alles, was Sie zur Qualifizierung des Personals benötigen: Schulungen für das Engineering Personal Unterstützung beim Engineering Schulungen für das Bedienpersonal Außerdem unterstützt Siemens Sie bei der Planung und Pflichtenhefterstellung. Damit stellen Sie sicher, dass Projekte, die FDA Auflagen erfüllen müssen, möglichst effektiv und kostengünstig abgewickelt werden können. Weitere Informationen erhalten Sie beim Siemens WinCC Competence Center Mannheim unter http://www.siemens.com/pm-control Copyright © Siemens AG 2005 All rights reserved Stand: 16.06.2005 Seite 9 von 9