问题5：德国 AMWHV （Arzneimittel-und Wirkstoff-Herstellungs-Verordnung）要求根据制造商的授权，所有数据都存放在场所内。那么云解决方案是否可行？ 德国EFG（专家工作组）11将这个问题的法律依据解释为对“电子数据存储要求”的投票的一部分。 AMWHV第20条规定，文件必须“根据《德国药品法》第13条、第72条或第72c（4）条的规定，存放在许可证所涵盖的场所的适当区域”。 在制药环境中，数字化和用电子记录（电子记录）取代纸质文档的趋势正在稳步增长。与此同时，跨国公司正在全球引入计算机化系统作为客户端/服务器解决方案。这涉及企业资源规划（ERP）系统、制造执行系统（MES）、实验室信息和管理系统（LIMS），以及变更系统、CAPA和培训管理系统。近年来，将部分或全部IT和基于计算机的系统外包给第三方，转而采用各种云服务模式：基础设施即服务（IAAS）、平台即服务（PAAS）和软件即服务（SAAS），后者作为服务模式变得越来越普遍。 就电子文件而言，如果许可证所涵盖的房间内至少有一个终端（例如终端或PC加打印机），则满足根据《德国药品法》第13条、第72条或第72c（4）条将电子记录/文件存储在许可证所涵盖的房间内的要求，以便可以访问全部数据和元数据，可以在数据载体上生成可读的打印输出和副本。同样，（内部或外部）服务提供商必须满足IT基础设施（IAAS、PAAS）、应用程序验证（SAAS）和确保可用性、可读性和完整性的要求。 问题6：常见认证（例如 27000ff）是否可靠地证明云服务提供商是合适的，或者认证必须满足哪些要求才能在CSP的适用性中发挥作用？ 供应商和服务提供商必须拥有质量保证体系这一事实源自EU-GMP附录 11：3.4 应根据要求向检查员提供关于所用软件和系统的供应商或开发商的质量体系和审计信息。 从附录 11中无法确定它应该是什么样的质量体系。然而，德国EFG 11 在其Votum V1100202“保留电子数据的要求”中对此问题发表了评论。它指出：在下文中，制定了对CSP质量和数据完整性（针对动态和静态数据）的要求，这些要求在欧盟GMP指南中没有以这种方式明确发现，但从EFG 11的角度来看被认为是合理的： n处理机密数据或具有高可用性要求的数据的CSP必须具有经过认证的ISMS（例如，根据 DIN 27001）。然而，从法律角度来看，这是否可以执行还有待观察。 问题7：我们是否可以假设，如果实施了适当的QMS，并且CSP的行为符合该QMS（作为审计的结果），则根据规范提供的服务功能和操作控制按照CSP的内部程序进行？ 根据附录11，使用计算机化系统不会导致质量保证下降。对服务提供商的评估包括对其质量保证体系的评估。除了此初始评估外，第7章还要求RU（受监管用户）通过监督KPI来持续监控服务提供商。 在应用和适当的质量管理体系的情况下，可以假设将执行质量管理体系中定义的操作控制，并且不符合规范的结果将在偏差/OOS的含义内得到解决。 然而，RU（受监管用户）在实施QMS时需要持续评估合规性。《欧盟良好生产规范指南》第7章规定：“合同制定者最终负责确保流程到位，以确保对外包活动的控制”。类型和范围可以根据风险来定义，并且它们受到服务提供商持续监控的经验的影响。 问题8：服务提供者的变更控制必须涵盖哪些内容，必须以何种方式将合同人纳入该系统？ 尽管受监管公司对患者安全、产品质量和数据完整性的责任不能委托给云服务提供商（CSP），但CSP仍然发挥着重要作用，并接管了重要的任务，例如规范、验证和更改文档（除了实施之外），无论是在基础设施（IaaS）、平台（PaaS）、或应用程序（SaaS）本身。受监管公司的目标之一是维护系统的验证和合规状态。这需要相应的验证措施（影响分析、风险评估以及进一步的测试和文档活动，如果适用），这些措施通常需要了解CSP执行的更改或在CSP执行的更改。 因此，建议使用验证概念的以下元素： n受监管的公司验证CSP是否建立了高质量且合规的变更控制流程（例如通过审计）。 n服务水平协议（SLA）确保在必要的范围内按时获得有关计划和所需变更的信息（和文档），使受监管公司能够进行（风险）评估并酌情计划所需的措施。

德斯特DST老师近期在审计过程中，发现有些客户的取样工作由QA来负责，有些药厂则由QC进行取样，那么究竟由谁来取样，谁负责委托授权才合适呢？今天我们就来共同探讨取样的问题，让我们还是先从法规入手，看看有关的规定。 NMPA 2010年版GMP 第十二条 质量控制的基本要求： （三）由经授权的人员按照规定的方法对原辅料、包装材料、中间产品、待包装产品和成品取样。 NMPA 2010年版GMP 第二百二十二条 取样应当至少符合以下要求： （一）质量管理部门的人员有权进入生产区和仓储区进行取样及调查； （二）应当按照经批准的操作规程取样，操作规程应当详细规定： 1.经授权的取样人；...... FDA 21CFR Part211 Sec.211.42 Design and construction features. 设计和建造要求 (c)(1) Receipt, identification, storage, and withholding from use of components, drug product containers, closures, and labeling, pending the appropriate sampling, testing examination by the quality control unit before release for manufacturing or packaging. 在放行于生产或包装前，由质量控制部采用合适的取样方式、检测，对原辅料、药品容器、密封件及标签的接收、鉴别、贮存及禁用。 EU GMP： Quality Control 质量控制 1.9 Quality Control is that part of Good Manufacturing Practice which is concerned with sampling, specifications and testing, and with the organization, documentation and released for use, nor products released for sale or supply, until their quality has been judged to be satisfactory. The basic requirements of Quality Control are that:质量控制是GMP的一部分，涉及取样、质量标准、检验、同样也涉及组织机构、文件和放行规程，以保证切实执行了必要的相关检验，并且确保物料或产品被判定符合要求之前不被放行使用或销售。质量控制的基本要求是： (ⅰ) Adequate facilities, trained personnel and approved procedures are available for sampling and testing starting materials, packaging materials, intermediate, bulk, and finished products, and where appropriate for monitoring environmental conditions for monitoring for GMP purposes; 有充足的设施设备、经过培训的人员及经过批准的规程用于起始物料、包装材料、中间体、半成品与成品取样和检验，以及GMP要求的环境监测； (ⅱ) Samples of starting materials, packaging materials,intermediate products, bulk products and finished products are taken by approved personnel and methods. 由经过批准的人员按经过批准的方法对起始物料、包装材料、中间产品、半成品、成品取样。 6.4 Quality Control personnel should have access to production areas for sampling and investigation as appropriate. 质量控制人员应当有权进入生产区域进行取样和调查。 PIC/S GMP 2.8 The head of Quality Control generally has the following responsibilities: 质量控制负责一般承担以下职责： (ⅲ) To ensure that all necessary testing is carried out and the associated records evaluated.批准质量标准、取样方法、检验方法和其他质量控制程序。 6.2 The Quality Control Department as a whole will also have other duties,such as to establish,validate and implement all quality control procedures,oversee the control of the reference and/or retention samples of materials and products when applicable,ensure the correct labeling of containers of materials and products,ensure the monitoring of the stability of the products,participate in the investigation of complaints related to the quality of the product, etc. All these operations should be carried out in accordance with written procedures and, where necessary, recorded. 整个质量控制部还将承担其他职责，如：建立、验证和实施所有质量控制程序，监督物料和产品的参考和/或留样的控制，确保物料和产品容器的正确标签，确保产品的稳定性考察，参与与产品质量相关的投诉调查等。 6.4 Quality Control personnel should have access to production areas for sampling and investigation as appropriate. 质量控制人员应能进入生产区域进行取样和调查。 WHO GMP 17.3 Each manufacturer should have a QC function. The QC function should be independent of other departments and under the authority of a person with appropriate qualification and experience. Adequate resources must be available to ensure that all the QC arrangements are effectively and reliably carried out. The basic requirements for QC are as follows: 每个生产商都应有质量控制部门。质量控制部门应当独立于其他部门，由具有适当资质和经验的人员管理。必须提供足够资源保证质量控制所有工作有效并可靠的实施。对质量控制部门的基本要求如下： (a)Adequate facilities, trained personnel and approved procedures must be available for sampling, inspecting, and testing materials, packaging materials, and intermediate, bulk, and finished products, and where appropriate for monitoring environmental conditions for GMP purposes; 应当配备足够的设施，经过培训的人员和批准的程序完成取样、审查和检测原材料、包装材料、中间体、待包装产品和成品，合适时还要监控环境条件，以符合GMP的要求； (b)Samples of starting materials, packaging materials, intermediate products, bulk products and finished products must be Quality Control departments approved personnel. 原材料、包装材料、中间体、待包装产品和成品的取样必须由质量控制部门批准的人员按规定的取样方法完成。 综上所述，除中国2010版GMP规定是由质量管理部门（QA或QC）取样外，其它主要监管机构的法规更多是将取样职责由质量控制部门来完成的，包括环境监测的取样。 从 QA 的角度来看，QA 人员负责整个质量管理体系的监督和维护。QA 取样可以更好地确保取样过程符合既定的程序和规范，保证取样的代表性和公正性。QA 对取样的整体规划和协调具有优势，能够从宏观层面把握取样的时机、频率和方法，以保障后续质量评估的准确性。他们更注重流程的合规性和对质量体系的保障作用。 然而，QC 人员在取样方面也有着独特的专业性。QC 主要专注于对样品进行具体的检测和分析，他们对取样技术和要求有着深入的了解和掌握。QC 取样能够根据检测目的和方法，精准地获取所需的样本，确保检测结果的可靠性。QC 在取样的细节操作和针对特定检测项目的针对性方面表现出色。 实际上，无论是 QA 取样还是 QC 取样，其目标都是为了满足 GMP 的严格要求。理想情况下，两者应紧密配合，形成协同作用。QA 确保取样的规范性和全面性，而 QC 则保障取样的专业性和准确性。 在一个完善的制药企业质量管理体系中，应明确界定 QA 和 QC 在取样工作中的职责和权限，建立清晰的工作流程和沟通机制。只有这样，才能在保证取样符合 GMP 要求的同时，最大程度地提升产品质量的可靠性和稳定性。

最近上线的一篇关于写好偏差调查的文章，收到部分读者反馈还想了解一些关于偏差事件的定义、管理及流程，那么本次先讲讲偏差管理和流程。 调查要管理好，除了需要有一套好的管理流程之外，还需要学习如何有效管理，以下是DST团队的一些见解。 偏差的定义： 首先如何定义偏差，怎样的情况下才算是偏差，有效的偏差管理是建立在有效的、足以控制生产过程和药品质量的程序或标准的基础上。没有预先定义规则，就不会有偏差。 例如某企业对偏差的定义：偏差是指偏离已批准的程序（指导文件）或标准的任何情况。包括任何与产品质量有关的异常情况，如物料、产品存储异常、设备故障、校验结果超标、环境监测结果超标、分析方法验证或确认结果超标或异常、客户投诉等，以及与药品相关的法律法规或已批准的标准、规程、指令不相符的意外或偏离事件。 偏差的识别： 有了偏差的定义为基础，那么识别就偏差处理活动的起点。识别能力就得靠所有药品生产质量相关人员，而那些人员都需要经过相应的偏差管理的培训，理解偏差概念并具备识别偏差的能力，这都跟平时的培训、经验的积累和个人的能力挂钩。 偏差的记录和报告主管： 当人员识别到偏差或者发生异常情况时，要及时在相关记录上填写，所以GMP记录的设计（如批生产记录、日志文件等）应能留有一定记录各种偏差或异常情况的位置，保证相关人员能方便对生产质量活动中的任何偏差进行及时记录，保证偏差调查处理过程的可追溯性。 填写记录的同时也应立即向上级主管报告，说明时间、地点、人物、什么事情或工序等。上级主管根据报告人员的描述并判断是否需采取紧急措施，以防止偏差继续扩大或恶化。 常见的紧急措施包括： 暂停生产； 物料或产品隔离； 设备暂停使用； 紧急避险等。 执行的所有紧急措施都必须在偏差记录中进行及时完整的记录。 报告给质量管理部门； 发生偏差后，发生部门的主管或其受权人员应立即向质量管理部门提供真实全面的偏差信息。对于是否立即报告给质量管理部门，是质量管理部门能否有效进行偏差分类和会同其他部门进行偏差调查的前提。 偏差的分类和评估： 根据偏差的性质、范围和对产品质量的潜在影响进行分类（如重大、中等、微小偏差）。对于重大偏差，该类偏差可能对产品质量、安全性或有效性及产品形象，产品有效期等产生严重的后果，或可能导致产品报废、成品收回，还需考虑是否需要额外的检验。该类偏差必须进行深入调查，查明根本原因，除必须采取纠正措施外，还必须建立长期的预防性措施，并对涉及重大偏差的产品进行稳定性考察。 偏差的调查和处理： 应按照规定程序进行调查和分析，找出偏差的根本原因，常见的根本原因分析方法包括头脑风暴法、鱼骨头法、5Why法等，并制定纠正预防措施CAPA，原则上制定的CAPA需要由质量部门经批准后才能执行并整改，偏差调查报告需由质量管理部门审核并签字关闭。 偏差的纠正和预防CAPA： 应执行针对偏差制定的纠正和预防措施CAPA，确保措施合理、有效、及时。若制定的CAPA是持续性或短期内无法完成的，在保证产品质量不受影响的前提下，可以先将偏差关闭，但需要有额外记录进行跟踪和定期回顾。对于没有在规定时限内关闭的偏差，应起草阶段性报告说明调查进度，制定必要的短期行动，评估潜在的风险，申请并得到质量部门的批准方可延期。 偏差的回顾和评价： 企业应定期进行偏差的回顾和评价，特别是在回顾中要注意是否存在重复出现同一类偏差的情况，这可能导致偏差系统失效，需要制定有效的预防措施。 偏差记录归档： 相关记录和报告应及时归档保存，企业应明确规定偏差调查、处理文件和记录保存的职责、方式和保存期限。保存方式应保证与相关产品的可追溯性、易于查找并能在内外部审计中迅速提供。 敲黑板： 偏差管理主要关注点如下： 已建立的偏差管理程序，是否有明确各部门和人员在偏差处理过程中的职责和权限; 生产质量活动相关人员是否接受偏差管理程序培训，理解偏差概念并具备识别偏差的能力; 发生偏差需要立即报告主管人员及质量管理部门，那么偏差程序中是否明确规定什么是“立即”，所规定的时限是否合理; 偏差分类标准是否合理，是否由质量管理部门进行偏差分类，具体偏差的分类判断是否恰当; 偏差的根本原因调查是否及时全面彻底，重大偏差的调查处理是否由质量管理部门会同其他部门进行调查，无法查明根本原因的情况是否常见，识别出的根本原因是否合理; 偏差影响评估，包括对产品质量影响和对质量管理体系影响的评估是否恰当产品处置是否能保证药品的安全性、有效性和质量可控; 偏差的纠正措施是否有效执行和跟踪; 针对类似偏差的纠正预防措施是否有效执行和跟踪; 相同或相似偏差是否反复发生。 以上流程确保了偏差得到适当的管理，并防止了未来的偏差发生。 大家还有什么想了解、疑问或建议欢迎在下面评论区留言。

DST：对于EU GMP 取样关于逐件物料取样鉴别对于企业来说成本较高，且不易管控，那么实际执行过程中如何进行控制才能满足对于物料的取样要求： EudraLex - Volume 4 - Good Manufacturing Practice (GMP) guidelinesChapter 5 - Production EudraLex-第4卷-良好生产规范（GMP）指南第5章-生产 5.35 Manufacturers of finished products are responsible for any testing of starting materials2 as described in the marketing authorisation dossier. They can utilise partial or full test results from the approved starting material manufacturer but must, as a minimum, perform identification testing3 of each batch according to Annex 8. 5.35成品制造商负责对上市许可档案中描述的起始物料进行任何测试。他们可以利用经批准的起始物料制造商的部分或全部测试结果，但至少必须根据附录8对每批进行鉴定测试。 EudraLex - Volume 4 - Good Manufacturing Practice (GMP) guidelines ANNEX 8 SAMPLING OF STARTING AND PACKAGING MATERIALS EudraLex-第4卷-良好生产规范（GMP）指南 附录8起始物料和包装材料的抽样 Starting materials 起始物料 2.The identity of a complete batch of starting materials can normally only be ensured if individual samples are taken from all the containers and an identity test performed on each sample. It is permissible to sample only a proportion of the containers where a validated procedure has been established to ensure that no single container of starting material has been incorrectly labelled. 通常，只有从所有容器中采集单个样品并对每个样品进行身份测试，才能确保完整批次起始物料的身份。允许仅对已建立有验证程序的一部分容器进行取样，以确保没有单个容器的起始物料标签错误。 DST：这里提到了验证程序，难道物料供应商也需要验证？我们看看该验证有什么要求： 3.This validation should take account of at least the following aspects: 该验证应至少考虑以下方面： — the nature and status of the manufacturer and of the supplier and their understanding of the GMP requirements of the Pharmaceutical Industry; 制造商和供应商的性质和地位，以及他们对制药行业GMP要求的理解； — the Quality Assurance system of the manufacturer of the starting material;起始物料制造商的质量保证体系； — the manufacturing conditions under which the starting material is produced and controlled;生产和控制起始物料的制造条件； — the nature of the starting material and the medicinal products in which it will be used.起始物料的性质及其将要使用的医药产品的性质。 Under such a system, it is possible that a validated procedure exempting identity testing of each incoming container of starting material could be accepted for:在这样的系统下，可以接受一个经过验证的程序，免除每个原料容器的身份测试，用于： — starting materials coming from a single product manufacturer or plant; 来自单一产品制造商或工厂的起始物料； — starting materials coming directly from a manufacturer or in the manufacturer’s sealed container where there is a history of reliability and regular audits of the manufacturer’s Quality Assurance system are conducted by the purchaser (the manufacturer of the medicinal product) or by an officially accredited body.直接来自制造商的起始物料或制造商具有可靠性历史的密封容器，由买方（药品制造商）或官方认可机构对制造商的质量保证体系进行定期审计。 It is improbable that a procedure could be satisfactorily validated for:程序不太可能在以下方面得到令人满意的验证： — starting materials supplied by intermediaries such as brokers where the source of manufacture is unknown or not audited;由中间人（如经纪人）提供的起始物料，其制造来源未知或未经审计 — starting materials for use in parenteral products.用于注射产品的起始物料。 针对以上内容可总结出根据EudraLex第4卷关于GMP的指南，对于起始物料的取样和鉴别有以下要求： 1.对于每个原料容器的内容物，应制定适当的程序或措施，以确保其身份。从散装容器中取样后，应予以标识。 2.成品制造商负责对起始物料进行测试，可以利用批准的起始物料制造商的部分或全部测试结果，但至少必须对每批进行鉴定测试。 3.针对起始物料的取样程序应经过验证，验证应考虑制造商和供应商的性质和地位、质量保证体系、生产条件，以及起始物料的性质和将要使用的药品产品的性质。 4.对于来自单一产品制造商或工厂的起始物料，或来自制造商直接提供并具有可靠性历史的起始物料，可以通过验证程序免除每个原料容器的身份测试。 5.对于由经纪人提供的起始物料或用于注射产品的起始物料，程序不太可能得到令人满意的验证。 DST：除注射剂的起始物料外，我们是可以通过附录8提供的验证程序对自己的起始物料供应商制定不同的取样策略，如果供应商满足该验证程序要求则可不必进行逐件取样。

最近铁拐刘参加了广东省南药高峰论坛，有幸听取了药监领导的演讲，了解到广东省的药品生产许可证B证，现在已经有160+家以上了。新版《药品管理法》的推进确实增加了各种机构去取得药品生产许可证B证的积极性，貌似作为一家研发机构如果不获得一个B证，都有一种脸上无光的感觉。最近也越来越多的企业，也包括药品销售企业也在蠢蠢欲动。作为B证的拥有者，确实存在很大的优势，通过机构获得批文，在找个生产企业报价制造药品，整个过程简单完美，即可享受集采的快速通道，获得一个巨大的市场机会。真正出问题的时候，B证企业是轻资产，对于投资老板来说几乎是“零风险”。 现在药监部门对于委托生产MAH管理也开始逐渐显现出焦虑了，对于这么多的MAH企业，和具备C证的企业，真正一旦出问题，究竟该怎么管理和控制。省局许可处也透露出难色，确实这些B证的企业就像一个个的游击队，他们甚至没有自己的拥有的场所（大部分都是租赁），他们对于产品的放行及监管能力与传统的A证或C证企业存在落差。有些企业为了获得证书，选择的质量受权人、生产负责人、药物警戒负责人因为企业的成本等各种原因，有些不能全职，有些能力不足，通过简历优化的方式进行经验的“美化处理”等等，都将对药品最终的质量监管产生风险。 最近获得的一些新的消息也显示，药监部门将严格控制B证的数量，同时，控制C证的发放。C证是一个可以委托的证书，但拥有C证的企业也可以自行生产。如果一个C证的企业没有A证的经验，产品本来在中试阶段的，“出厂放行”给B证企业用于中试或临床，B证企业的团队缺乏能力或迫于“其他因素”放行到市场的话，这个管理确实会带来极大的风险。 另外一个监管风险是B证与C证企业往往不在同一个省，铁拐刘目前做的几个案例情况也存在这样的情况，几乎都是跨省的合作。甚至遇到的一个B证项目同时对多个C证的企业，但这些企业不在同一个省，那么这时，作为监管方也是非常头痛的。无论是C证当地的监管，还是B证当地的监管。 和尚在一方，庙在另一方。和尚还不归这个庙管，所以，你抓住庙也抓不住和尚。抓住和尚，庙也不一定赔偿您。因为和尚没钱，庙不负责这个游僧在外闯出的问题。 对于法规的发展方向，铁拐刘认为：B证将会越来越难，C证也不是每个企业想做CDMO 就可以CDMO的，或者CMO的。CMDO或CMO的企业拥有A证的经验将是一个必然的趋势。 下面是A证、B证、C证的介绍，感兴趣的伙伴免费收藏。 《药品生产监督管理办法》第七十七条，大写字母用于归类药品上市许可持有人和产品类型：A代表自行生产的药品上市许可持有人、B代表委托生产的药品上市许可持有人、C代表接受委托的药品生产企业、D代表原料药生产企业；小写字母用于区分制剂属性：h代表化学药、z代表中成药、s代表生物制品、d代表按药品管理的体外诊断试剂、y代表中药饮片、q代表医用气体、t代表特殊药品、x代表其他。 药品生产许可A证：A代表自行生产的药品上市许可持有人，批文拥有者和生产企业相同。从事药品生产活动，应当经所在地省、自治区、直辖市人民政府药品监督管理部门批准，取得药品生产许可证。无药品生产许可证的，不得生产药品。 药品生产许可B证：B代表委托生产的药品上市许可持有人。B证企业和药品生产的企业不同，自身不从事药品生产，需要进行委托生产。上市许可持有人(MAH)也应当按照规定申请办理药品生产许可证B证。 药品生产许可证C证：药品生产许可证C证代表接受药品批文拥有者（即药品上市许可持有人）的委托，生产该品种药品的企业。生产企业无论有没有取得A证，在接受委托生产活动时，需要取得C证，A证无法代替。 药品生产许可证D证：原料药的生产企业，在从事原料药生产之前需取得D证，从四证平行的角度上看似乎拒绝了之前一直存在争议的原料药的MAH制度。

相信任何药企都不会希望收到FDA发出的Warning Letter，德斯特团队的同事们根据以往的FDA检查经验及翻阅历年的FDA警告信总结出了以下的警告信重点内容供各位制药同仁参考，从FDA警告信的重点内容可以看出FDA检查过程中容易出现的缺陷，便于各位制药同仁在工作中避免出现同样的错误。

客户的2023年11月FDA PAI检查也是铁拐刘今年做的项目的第三次FDA检查了，在9月铁拐刘也经历了一次FDA PAI检查，那次FDA检查针对的是原料药项目。此次检查涉及到的难度更大，检查涉及到产线包括：无菌原料药生产车间+无菌制剂（非最终灭菌）B+A的产品生产车间，且产品为高活的产品。 铁拐刘是历来是喜欢接受挑战的检查，尤其是涉及到高难度的非最终灭菌注射剂的检查。德斯特DST在2021年、2022年已经多次帮助四川的这家企业做整体的质量体系的审核，及验证的审核，涉及到FDA的六大体系基本的常规的坑都已经磨平。在2022年，客户曾经把总裁办公室腾出来作为会议室给德斯特DST的团队作为专门的FDA检查的会议室，会议室中饮料、零食什么都提供很齐全。在这里也再次感谢客户上下团队为我们提供完美的现场办公条件。 依稀还记得检查前的三天，我跟他们的验证的负责人还有生产的小伙伴做到凌晨2：00多，帮助他们把一个关键的验证给做出来。结果在检查官的第一天检查中就获得了检查官的认可。在2022年7月的时候，完成了完美的一战。最后仅仅两条小缺陷，检查官甚至在Ending Meeting直接宣布in my opinion,你们是可以通过的。不过，最终等EIR报告等了几个月，不过一切是Perfect。在此检查期间，铁拐刘也与检查官成了朋友。我们本来约了11月在北京聚会，但铁拐刘因为脚受伤，只能遗憾推迟了，DST团队也得到了检查官和客户的认可。 2023年，友好的合作使我们开启了新的合作。我们安排了相关的资深专家对客户的QC、这个产品相关的工艺、清洁、生产全部过程进行了系统的诊断，帮助客户把关键风险都拔出来了，即使解决不了的风险也提前让我们的小伙伴有一定的预防。具体细节不方便在此细讲（保密协议相关）。 实际上，铁拐刘是有点啰嗦的。估计是腿受伤了后，变得啰嗦了。我们做国际项目--产品出海对铁拐刘最大的好处是，我们做对了，国外的检查官会认可，会表扬，会让我们的客户通过。这一点，是铁拐刘坚持咨询这个行业最大的动力。企业不需要太过的拼人际关系，花很多的费用或太多的精力去处理政府关系。这点也可以见下文趣事一。 现在跟大家分享在FDA检查期间的各个趣事。 趣事一：“简单的接待”，“拒人于千里”，就餐不是一件容易的事情。 对于接待其实永远不简单，尤其是对于关系企业生死命运的检查。我们担心我们做的不好，让检查官在鸡蛋里挑骨头，说的那句话是什么来的？“你让我不愉快，我也给你不痛快”。在国外检查这点倒是没有那么多的幺蛾子。这次的检查官是为女士，其实在9月份检查时候也是位女士，可能这次都撞上了吧。对于这次接待真真来说，不算顺利。检查官来自美国南部城市，在那里的气候如同广东、福建，哪个城市大家去猜哈。但是检查官反倒是非常怕热。其实检查期间的当地的天气是真的蛮好的，大概在18-25℃的样子。接到检查官的下午，室外也就是在22℃的样子，对于这样的情况下，因为天气已经转冷了。对于内地的星级酒店（检查官自己选的酒店）不提供中央空调的制冷也可理解。结果检查官住的为顶楼，进去觉得热（估计体质不同），只能调换一层。但结果更为糟糕的事情是，第二天、第三天检查官发现地面漏水，真是无妄之灾，关键后面都无法解决。这件突发的意外，让检查官很不开心，但已经搬了一次家了，检查官确实不想再搬家，因为也不知道再搬家的结局会不会有其他“幺蛾子”。每次出现地面漏水后，只能有清洁大姐进行处理。在两天到第三天的样子，经过不懈沟通后，酒店决定开启了制冷。但是，检查官确实只能郁闷了。再到后面几天的时候，终于降温了！虽然，住的不如意，但是检查官并没有把这摊气撒在企业身上。这点我们很为老外的公务员的敬业竖起大拇指！ 另外，对于企业安排的简单的活动或外出，包括住宿、吃饭，全部AA，甚至是送检查官的小礼物（仅仅作为友好的手信），检查官一一拒绝。检查官在当地待了10天时间，除了中间正式跟大家吃过一顿晚餐外，其他晚餐都是自己搞定。对此，我们还有点担心。但这段时间一直铁拐刘有幸一直陪着检查官7天的午餐+这次大餐。对于这次检查，心里刚开始也是有点担心，尤其是过程中有几个发现项，被认为有比较大的风险。铁拐刘与客户一起在检查期间就做出了整改方案，期间检查官说，有些缺陷无论如何都是记下来的，当时，还确实有很大担心。心想检查官这是住不好，吃不好，请吃大餐也不参加。不知道会怎么样，看来是大家担心多余了。因为在12月中旬，准确来说上周五的时候，收到邮件已经通过了! 不容易的就餐。 检查官不太愿意与多人就餐，除了第一天老板还有各个大头+铁拐刘7人陪餐外，其余几天都是我还有另外两位伙伴陪同。对于吃什么，没有关系，最大的关系跟谁吃。中国人很多不太喜欢幽默。其实，我也不擅长。但是博红尘一笑，还是需要的。 每天吃饭前，我会想很多个Topic，对于女检查官，其实我更有压力，本身这位大姐就不太话多。所以，一个好的话题，往往是很重要的。不然，大家就大眼瞪小眼了。所幸，这块铁拐刘有点经验，基本每天跟我们的两个配饭达人都能逗着这位话不多的检查官开心。 甚至这位之前检查其他企业据说不太愿意拍照的美国银发大姐(头发全白了）跟我们合照了。 而且，铁拐刘发现期间是美国的感恩节，咱们也为检查老师准备了一个简单的感恩节午餐，客户的行政很不错。我凭着对美国文化不太懂的情况下给行政做了些建议。在感恩节期间，虽然不豪华，但是在异国他乡能有人与自己度过民族内的一个大节日，我相信也是值得记忆的一件事，这次难得也让这位检查老师喝下咱们的white wine（白酒）。 趣事二：“武装到牙齿的保密”。 检查期间，检查官对自己保密得非常严格，甚至是超过了我们的想象。在铁拐刘获得一些新的信息，美国与中国的关系不太好，不排除在医药行业对中国更加严格的“手段”。这是外面一直在传的消息，我相信不排除这样的可能性。比如，在这次的检查貌似也体现了这点。2022年的FDA检查，我也是陪同专家。检查官可以让我们去拍照他的笔记本的内容，用于查找资料，这次完全不可以。甚至如果有人在她侧面，她都会故意把本子放在更偏的位置，让想偷看的人脖子等弯成“鸭脖”，至少也是一只长颈鹿了吧！如果这时候本检查官逮住，那就是大写的一个尴尬！关于保密的趣事，这里举两个例子，检查官在办公室检查或在现场检查，检查官永远把本子带在自己的身边。以致于在办公室，上厕所的时候，我都见着她随手把本子带着进入了洗手间。 中午吃饭，去现场的时候，她会把自己的东西都收起来，并且，使用带锁的拉链把背包的每个拉链能锁的都锁起来！ 检查官只要打开电脑，在开机前先放上防偷拍膜！ （铁拐刘不敢直接拍，担心被赶出来。但是，在某宝上还真有这个东西！） 趣事三：检查官“搅乱节奏”，“声东击西”！让您永远不知道她的下一步动作是什么，无法准备。 检查官完全不按照套路来检查，比如，她要了一大堆文件。好吧，你打算按照顺序来，先提供一些自己非常有把握的文件资料。提供过去的，她都不看。先说明哈，这些文件是她自己比如早上要的内容。所以呢，只有她点兵点将。 其实，从检查策略来说，这点确实比欧盟的检查要高明很多，也要让被检查的人头痛很多。不光是你的文件来不及很好的规划顺序，对于被检查的SME专家来说，也就成了没有心里准备的冒险。貌似你就是睡得很死的时候，对方突然砍你一刀。你没有任何心里准备。 甚至到后面，我们对作战室的小伙伴开玩笑说，你就送你准备不那么充分的资料给检查官看吧！有几个资料，你还别说真是有用的哈！ 对于这样的策略，我们只有稳住阵脚，速度快而不乱，SME专家必须就近，否则不能及时赶到，造成检查官等的情况。 趣事四：检查官“口是心非”，企业要坚定不移！ 检查官在检查期间几乎念叨了几次，有些整改我是不接受的。当时心里都是很拔凉拔凉的，我们都知道美国FDA的检查，不仅仅是现场的这位“爷”的事情。他们把资料给到检查评审中心，还会来个“秋后算账”。这是最为恐怖的事情，给你列了这些缺陷不告诉你级别，你自己看着办吧！ 所以，FDA给的483缺陷项，对我们企业的整改策略是没有小缺陷。企业最低按照Major缺陷等级进行处理，否则，您心里会踏实的吗？哈哈，铁拐刘给大家来个“灵魂的拷问”，有请做企业负责人、董事长、生产负责人和质量负责人思考哈。 在检查中，检查官强调了即使我们整改了，有的缺陷仍然会记录。但是，其实只要我们做的整改项足够有说服力，很多Finding还是会放掉的。所以，您的检查官要是这么说，您还是坚持该整改的，在检查期间做整改，当然，整改的CAPA要是有效的哈！ 趣事五：“弱水三千，只取一瓢饮”。 还是铁拐刘经常打的那个比方，我们国外的检查跟国内的最大不同是，他们很客观，只求达到的深度。不求检查的广度，不求面面俱到。检查检查到都快最后一天了，发现还有N多的东西没有看，包括前面好几天的文件，甚至差点整个QC的文件都没有来记得及看。 但是，这里需要我们每天提醒，时时提醒检查官：我们的文件都准备好了，您随时方便检查，在现场对文件的准备确实需要相关的人员打起精神。 最后检查官仍然会给出对检查结果的评价。 考虑到内容较多，铁拐刘更新到这里，下期继续更新.....

问题1：Iaas/PaaS/SaaS/XaaS是什么意思？ IaaS、PaaS和SaaS是各种云服务提供商（CSP）产品的缩写和不同等级（或服务模型）。“aaS”始终代表“即服务”。在XaaS中，X是I、P或S的占位符，表示基础架构、平台或软件。有时，XaaS也被称为“Anything as a Service”或“Everything as a Service”，可以具有非常具体的特征，例如“高性能计算即服务（HPCaaS）”或“人工智能即服务（AIaaS）”。 CSP根据基本服务模型提供各种服务和优势，要执行的任务可能会相应变化，见下表： n对于传统上在本地运行的计算机化系统或应用程序，受监管的公司（或其IT部门或IT服务提供商，如果外包）负责与计算机化系统验证（CSV）相关的所有任务。 nIaaS：如果基础结构由CSP提供和管理，则该模型称为IaaS。在这里，受监管公司的任务和职责从操作系统的安装开始。 n在下一个级别，CSP接管基础结构和操作系统的安装和运营。受监管的公司介入运行时环境的配置。 nSaaS：对于此模型，CSP在基础结构和操作系统之上提供和操作运行时环境和应用程序的配置。 换句话说，活动从用户（作为客户的受监管公司）转移到云服务提供商（供应商）。但是，应用程序的验证和操作以及所有相关主题（如数据完整性、数据隐私、数据安全等）的责任仍由受监管的公司承担。 问题 2：有哪些云模型，它们在GxP环境中的哪些应用？ 基本上，云模型的分类没有统一的规范。NIST（美国国家标准与技术研究院）制定了所谓的“部署模型”，它描述了一种广泛使用的分类（The NIST Definition of Cloud Computing，Special Publication 800-145，Sept.2011）： n私有云：在私有云中，云基础架构仅供一个机构运行。它可以由机构本身或第三方组织和管理，可以位于机构本身的数据中心或第三方机构中。 n公有云：如果服务可以被公众或大型群体（例如整个行业部门）使用，我们称之为公有云；这些服务由相应的云服务提供商在其设施/数据中心提供。 n社区云：在社区云中，云基础设施由具有相似兴趣（例如，在安全性、合规性方面）的多个机构共享。这样的云可以由这些机构之一或第三方运营。 n混合云：如果通过标准化接口共享多个相互独立的云基础架构，则称为混合云。 在私有云中，提供商和用户通常是相同的，用户可以完全控制所使用的服务，而在公共云中，用户将控制权转移给云服务提供商。但是，上述定义并未涵盖云服务的所有变体，因此需要进一步定义，例如“虚拟私有云”等。云模型的另一个常见区别是按“服务模型”（SaaS、PaaS、IaaS）分类 - 请参阅问题 1。 基本上，所有“部署模型”或“服务模型”也用于GxP监管的行业。在这里，云模型的选择主要基于云服务支持的GxP流程的关键性以及流程中处理的数据。例如，支持培训过程的工具，即所谓的学习管理系统（LMS），通常作为公共云获得许可。相比之下，非常关键的应用程序（例如试用主文件的管理）最多在社区云服务的框架内运行。 无论流程和数据的重要性如何，受支持流程的特定特征都支持使用社区或私有云产品：流程越专业化（例如，维护跟踪主文件），潜在订阅者群体就越小、越专业。 问题 3：选择特定云模式（私有云、社区云、公有云）的原因是什么？ 除了商业原因（在GxP监管的应用程序上下文中不再进一步讨论）之外，实际原因通常在云模型的选择中起作用。特别是，IT资源相对有限的小公司倾向于使用云服务，而这些服务是他们无法用自己的资源提供的。这可能是因为他们没有足够的人力资源来提供所需的所有主题，或者因为他们根本没有必要的专业知识（与流程相关的技术、数据安全）。 在GCP领域，那里普遍存在的特殊条件也出于非常实际的原因促进了云服务的使用：临床试验与许多方（医院、医生、CMO、申办者）共享，通常是全球性的。此外，有关各方的组成不是一个固定的群体，但可能会发生变化。云服务通过互联网普遍可访问，支持这种工作方式，并且由于其国际化定位而专为24x7全天候操作而设计。 另一个需要考虑的因素，尤其是在选择云服务时，是系统支持的GxP流程的安全要求。在附件11中，明确要求制药公司将所需的安全措施与风险保持一致（欧盟GMP附录11[12.2]：“安全控制的程度取决于计算机化系统的关键程度）”。 这可能意味着，出于GxP数据完整性的原因，通常不应在公共云中处理特别敏感的数据。这种决策需要所有专业学科（IT、流程所有者、QA）的合作，以实现经过深思熟虑、技术上合理的风险评估。这尤其需要深入的IT专业知识，因为“数据安全”的主题可能非常复杂（云服务的嵌套、跨多个数据中心的冗余、使用的身份验证提供商等），并且可能会发生永久性变化。 如果基于计算机的系统所支持的业务流程对数据和功能的可用性提出了很高的要求，这可能会对基于云的服务的适用性产生直接影响： n无论是对互联网连接的额外依赖，还是主张可以通过LAN访问的“本地”实现； n虽然跨多个区域的高度冗余设计以及易于水平扩展对于使用云服务至关重要，而不是安装在本地网络上。 特别是在GCP领域，数据保护要求（例如，临床试验中的个人数据）起着至关重要的作用。因此，数据保护决定了是否考虑了所需的云服务，如果是，则使用的数据中心必须位于哪个国家/地区。 即使这不是基于GxP要求，对敏感数据（例如，来自临床研究或产品开发的数据）的机密性的高要求也可以决定是否考虑云服务或限制云服务。 问题 4：SaaS封闭系统是否符合21 CFR PART 11？ SaaS和“封闭系统”这两个术语并不相关，即一个既不暗示也不排除另一个。首先，SaaS是一种服务模型，用于由云服务提供商（CSP）在云中（即通过互联网）提供软件应用程序。这要求数据至少暂时传输到云中，并在云中存储和处理数据，通常是永久性的。 另一方面“开放”和“封闭”系统的定义并不是指提供数据或应用程序的方式，而是定义了预期的控制级别。这种对数据和应用程序的控制主要通过与访问保护、用户身份和权限管理以及加密相关的操作和技术措施来实现。因此，控制级别并不独立于SaaS，而是代表了不同的维度。 在§11.3（b）（4）中，21 CFR PART 11将封闭系统定义为“系统访问由负责系统上电子记录内容的人员控制的环境”。相比之下，§11.3（b）（9）将开放系统定义为缺乏这种控制的系统。因此，封闭和开放系统的验证、数据隐私等措施有很大不同，分别在第§11.10和§11.30段中进行了详细定义。 因此，每个SaaS提供的应用程序可能是一个开放系统，但通常作为封闭系统运行，尤其是在处理关键、敏感或可信数据（通常：值得保护的数据）时。

With the improvement of today's medical level, society has increasingly attached importance and demand to drug safety. In order to provide accurate and objective feedback on the quality of drug safety production in drug production, pharmaceutical companies have also widely applied microbial identification technology. 伴随当今医疗水平的提升，社会更加提升了对药品安全的重视度与需求度。为了在药品生产中精准且客观反馈出药品安全生产的质量，医药企业对微生物鉴定技术的应用也相当的广泛。 The application of microbial identification technology has strengthened the traceability analysis of microorganisms. Traceability analysis is the process of confirming the source of pollution by comparing contaminated microorganisms and related monitoring microorganisms based on the degree of homology differences. 微生物鉴定技术的应用，加强了微生物的溯源分析，溯源分析是通过对污染微生物和相关环节监控微生物进行比对，以同源性的差异程度为依据，确认污染来源的过程。 The identification of strain level is very important in the pollution investigation process, especially when the microbial quantity in the product is high and meets the standard requirements or when abnormally high microbial detection occurs. The identification of bacterial strains is also important in aseptic processes. In the event of positive results in aseptic tests or failure in simulated processes such as medium filling, the detected microorganisms should be evaluated. 菌株水平的鉴定在污染调查过程中非常重要，尤其适用于产品中的微生物数量较高且符合标准要求时或出现异常高的微生物检出时。菌株水平的鉴定在无菌工艺中也很重要，在无菌试验结果阳性和培养基灌装等模拟工艺失败时，应对检出的微生物进行评估。 The phenotypic and genotypic characteristics of the same type of bacteria in the same location are basically the same. The phenotypic characteristics of the same type of bacteria in different locations may be basically the same, but there may be certain differences in the genetic characteristics of conservative and variable regions. Therefore, pollution investigations should mainly focus on genotype identification, with phenotype identification as a supplement. 同一地点的同种菌，其表型特征和基因型特征是基本一致的，不同地点的同种菌，表型特征可能基本一致，但保守及可变区域的基因特征会有一定的差异性。因此，污染调查等应以基因型特征鉴定为主，表型特征鉴定为辅。 In addition to sterile products that require microbial identification, it is also recommended to increase the means of microbial identification for other types of products and establish a bacterial strain library for the enterprise. The appropriate level of identification of microorganisms collected in controlled environments can help predict common microbial communities and evaluate the effectiveness of cleaning or disinfection procedures, methods, cleaning or disinfectants, and microbial monitoring methods. Especially when monitoring limits are exceeded, microbial identification information can aid in investigating the source of pollution. Colonies isolated from critical areas should be identified before non critical areas. 除了无菌产品需要进行微生物鉴定外，其他类型的产品也建议增加微生物鉴定的手段，并建立企业的菌种库。对受控环境收集到的微生物进行适当水平的鉴定，微生物菌群信息有助于预期常见菌群，并有助于评估清洁或消毒规程、方法、清洁剂或消毒剂及微生物监测方法的有效性，尤其当超过监测限度时，微生物鉴定信息有助于污染源的调查。关键区域分离到的菌落应先于非关键区域进行鉴定。 Method microbial identification must be carried out before the application of microbial identification methods. The confirmation of microbial identification methods should include accuracy, specificity, reproducibility, sensitivity, positive predictive value (PPV), and negative predictive value (NPV). The confirmation test of the microbial identification system shall be carried out using one of the following methods: 微生物鉴定方法的运用前必须进行方法确认。微生物的鉴定方法的确认应包括准确度、专属性、重现性、灵敏度、阳性预测值（PPV）、阴性预测值（NPV）。微生物鉴定系统的确认试验按下述方法之一进行： Parallel identification experiments were conducted on approximately 50 strains of microorganisms isolated in daily testing using existing and unconfirmed methods. Differences in identification results can be determined using arbitration methods. 采用现有方法和待确认方法对日常检验中分离的微生物约50株进行平行鉴定试验，鉴定结果的差异可使用仲裁方法判定。 Conduct a total of 50 identification experiments using 12-15 known reserve strains that can represent the commonly isolated microorganisms. 使用12-15种已知的能代表常规分离到的微生物的储备菌种，共进行50次鉴定试验。 The method to be confirmed is to identify 20-50 microbial strains (including 15-20 different species), and the results should be consistent with the identification results of the reference laboratory. 待确认方法对20-50株微生物（包括15-20个不同的种）进行鉴定，结果应与参照实验室的鉴定结果一致。 Evaluate the identification results of the microbial identification system used, while also considering its consistency level. 对所用的微生物鉴定系统的鉴定结果进行评估，同时还应考虑其一致性水平。

近日，DST德斯特专家前往安徽合肥知名生物疫苗企业，对该企业进行为期4天的疫苗产品现场检查审计，此前DST德斯特已为该药企提供了多次GMP相关咨询服务，此次疫苗产品审计主要集中与质量系统、设施与设备系统、物料系统、生产系统、包装与标签系统、实验室控制系统等模块整体的提升和完善，帮助该企业发现质量体系及生产体系的问题与不足，提高GMP整体水平。 此次审计德斯特DST安排了4位资深的生物及无菌产品的专家到现场进行疫苗产品的注册核查协助监测，4位专家对该药企的疫苗产品生产线的质量系统、设施与设备系统、物料系统、生产系统、包装与标签系统、实验室控制系统等模块进行了全面细致的审计，并提交审计报告辅导企业解决审计过程中发现的问题与不足，确保其GMP合规性。 近年来，DST德斯特的专家团队经历多次国际GMP认证检查，在应对GMP认证检查方面经验丰富，能够帮助药企在应该GMP认证检查时从全方面进行整体的提升，确保GMP认证检查的顺利开展及通过。同时，DST德斯特质量体系搭建、模拟审计、GMP认证等方面也有着丰富经验和多个成功案例，帮助多家药企通过GMP认证，近期全程辅导四川汇宇制药、成都圣诺生物通过美国FDA认证，此外DST德斯特的专家团队大多曾就职于行业内知名外企或曾在国外药企工作学习，经验丰富、思路和理念新颖、专业技术扎实，能够为客户带去更好的客户体验及成果。 自DST德斯特成立以来，DST德斯特以让更多的医药企业达到国际顶尖质量管理水平为使命，客户第一为理念，自身专业为硬实力，专注服务国际GMP咨询工作，包括FDA、EU-GMP、TGA、PIC/S、QP等认证、审计及验证等工作。先后为丽珠制药、白云山药业、华润三九、华北制药、康泰生物、百济生物、龙沙生物、国药中生等企业提供国际GMP服务，得到了客户的认可。已经多次运用模拟检查和审计的方式帮助药企通过国际认证审计及检查，先后帮助汇宇制药、华润三九、国药中生、汉腾生物、莱福士制药等多家药企通过国际认证审计及检查。