Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie Een inleiding in de regelgeving
OVERZICHT De voedings- en geneesmiddelenindustrie gaat gebukt onder een woud aan normen en richtlijnen. Deze werpen nieuwe vragen op over de gebruikte hardware en software. Dit witboek bevat een algemene inleiding tot deze normen en beschrijft hoe de producten van Omron op de eisen kunnen worden afgestemd, met de nadruk op software en geautomatiseerde productie. Van de lezers van dit witboek wordt enige technische kennis van Omron-software en -hardware verwacht. Kennis van regelgeving voor de voedings- en geneesmiddelenindustrie wordt niet voorondersteld.
INHOUD Woord vooraf .............................................................................................................................................. 2 1
Inleiding ................................................................................................................................................. 3
2
Wat is 21 CFR Part 11?....................................................................................................... 4
3 4
Hoe zit het met de GMP-richtlijnen van de EU?....................... 5 Wie moeten zich aan de Europese en Amerikaanse regels en richtlijnen houden? .................................. 5
5
Omron-producten voor 21 CFR ........................................................................ 6
6
De weg vooruit ...................................................................................................................... 12
12 8 Bijlage 2 Eudralex GMP Annex 11 ............................................................. 17 Geautomatiseerde systemen ........................................................................................ 17 7
Bijlage 1 21 CFR Part 11............................................................................................
Direct Power Control | 1
WITBOEK
Woord vooraf Om ongevallen en letsel door besmetting en fouten tijdens de productie van voeding en geneesmiddelen te voorkomen, hanteren de meeste landen strenge regels voor fabrikanten. Fabrikanten die onveilige of besmette producten leveren voor consumptie, riskeren een forse boete. De Verenigde Staten hanteren de zogenaamde 21 CFR-regels. Dit zijn misschien wel de bekendste regels voor de farmaceutische industrie. Internationaal worden ze vaak als benchmark gebruikt, vooral wanneer de toeleveringsketen zich (deels) in de VS bevindt. In Europa gelden de GMP- en GAMP-richtlijnen voor producten voor de farmaceutische industrie. Deze richtlijnen zijn doorgevoerd in de wet- en regelgeving van de afzonderlijke EU-lidstaten. Het niet naleven van de lokale regels kan leiden tot het stilleggen van de productie, kostbare juridische procedures en kosten voor het terugroepen van potentieel gevaarlijke producten. Door zorgvuldig gegevens bij te houden, kunnen de gevolgen van problemen voor bedrijven worden beperkt. De normen en regels zijn niet van toepassing op afzonderlijke producten en leveranciers. Het is de eindoplossing die conform moet zijn en die wordt goedgekeurd op basis van het ontwikkelingsproces en de gemaakte designbesluiten. Dit witboek geeft een overzicht van de meest gebruikte normen en voorschriften en de gevolgen hiervan voor het gebruik van Omron-hardware en -software in de voedings- en geneesmiddelenindustrie.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 2
1 Inleiding Veruit de bekendste norm voor de voedings- en geneesmiddelenindustrie is de Amerikaanse 21 CFR-norm. Chapter 21 van de Code of Federal Regulations (Federaal Amerikaans Wetboek) bevat de regels die van toepassing zijn op producten voor menselijke consumptie. Deze regels worden opgesteld en bijgehouden door het Food and Drug Agency (FDA), het Amerikaans agentschap voor de controle van voeding en medicijnen. De regels gelden zowel in de Verenigde Staten als in andere landen waar producten voor de Amerikaanse markt worden gemaakt. De regels zijn van toepassing op voedsel, drank en geneesmiddelen, maar ook op kunstledematen, medicijnenonderzoek, huidtransplantaties en zelfs op de marketing van producten. Meer dan ooit wordt van leveranciers van automatiseringsoplossingen voor de voedings- en geneesmiddelenindustrie verwacht dat ze op de hoogte zijn van de 21 CFR-regels en dat ze deze naleven. Dit geldt met name voor producten die ze aan de VS leveren. Maar deze regels, evenals vergelijkbare normen van andere instanties, worden ook elders in de wereld gehanteerd en niet alleen in de voedings- en geneesmiddelenindustrie. '21 CFR Part 11' is het deel van de FDA-specificatie dat betrekking heeft op de opslag en beveiliging van elektronische gegevens die tijdens het productieproces worden aangemaakt. De regels betreffen in het bijzonder de veiligheid en betrouwbaarheid van de gegevens. In andere delen van de 21 CFR wordt nauwkeurig beschreven welke gegevens voor een product moeten worden opgeslagen. In Part 11 wordt beschreven hoe dit op een veilige manier kan worden gedaan. In de Europese Unie gelden de zogenaamde EudraLex-regels. Deze regels zijn, samen met andere toepasselijke voorschriften, doorgevoerd in de wetten van de lidstaten. De EU-regels overlappen de Amerikaanse CFR-regels grotendeels, maar de regels kunnen per land verschillen. De regels die van toepassing zijn op computersystemen voor farmaceutisch en veterinair gebruik zijn te vinden in EudraLex GMP (Good Manufacturing Practice) Volume 4 Annex 11 (Zie Bijlage 2 Eudralex GMP Annex 11). In dit document zullen we ons bezighouden met FDA 21 CFR Part 11. Deze regels hebben sinds hun invoering tot veel onduidelijkheid geleid. Als leverancier aan de farmaceutische industrie hoopt Omron haar klanten te kunnen helpen om aan Part 11 te voldoen. In dit document wordt uitgelegd wat 21 CFR Part 11 inhoudt, wat de consequenties zijn voor eindgebruikers, OEM's en leveranciers van oplossingen, en welke specifieke producten Omron kan leveren om systeemontwerpers te helpen om systemen te maken die voldoen aan de 21 CFR-regels. De volledige tekst van 21 CFR Part 11 is opgenomen in Bijlage 1 21 CFR Part 11. De regelgeving is vrij beknopt en bevat geen duidelijke informatie over de precieze toepassing ervan. En dan zijn er ook nog de Europese farmarichtlijnen voor klanten van Omron die gevestigd zijn in Europa – de richtlijnen voor computersystemen zijn opgenomen in Bijlage 2 Eudralex GMP Annex 11. Als leverancier is het onze taak om de regelgeving waaraan onze (potentiële) klanten moeten voldoen te begrijpen. Zo kunnen we waar mogelijk advies geven en een luisterend oor bieden en kunnen we producten leveren waarmee onze klanten kunnen voldoen aan de regelgeving.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 3
2 Wat is 21 CFR Part 11? 21 CFR Part 11 is een verzameling regels (CFR: Code of Federal Regulations) die van toepassing is op de elektronische gegevensopslag tijdens de productie van voeding en geneesmiddelen. De titel ervan wordt op verschillende manieren geschreven, zoals CFR 21 11 en CFR 21 Part 11. In dit document zullen we de titel '21 CFR Part 11' gebruiken. Deze regels zijn voornamelijk opgesteld om de veiligheid en betrouwbaarheid te waarborgen van gegevens die worden opgeslagen tijdens een productieproces. Voorheen waren fabrikanten voor de traceerbaarheid van het productieproces aangewezen op het bijhouden van omvangrijke papieren dossiers met handtekeningen. Door de automatisering van deze processen en de ruimere digitale opslagmogelijkheden ontstond de behoefte aan een nieuwe norm. 21 CFR Part 11 regelt niet welke gegevens elektronisch moeten worden opgeslagen, maar hoe veilig en betrouwbaar (eventuele) elektronische logbestanden moeten zijn. Welke informatie moet worden opgeslagen en gearchiveerd, staat beschreven in de delen van 21 CFR die van toepassing zijn op de specifieke producten die worden geproduceerd. Zo bevat 21 CFR Part 211 de regels voor de productie van 'Finished Drugs' (Geneesmiddelen) waarvoor, onder meer, een audit-trail van belangrijke gegevens moet worden bijgehouden. Applicaties voor het elektronisch bijhouden van een audit-trail moeten voldoen aan Part 11. De fabrikant moet erop toezien dat de juiste regels worden nageleefd. De volledige naleving van de 21 CFR wordt via spot checks gecontroleerd door het FDA. Bij afwijkingen wordt de fabrikant in de gelegenheid gesteld om het probleem te verhelpen of feedback te geven. In ernstige gevallen wordt de productie stilgelegd en kunnen producten worden teruggeroepen. De meeste delen van 21 CFR vereisen een zogenaamde audit-trail. Een audit-trail bevat gedocumenteerd bewijs van belangrijke wijzigingen in een machine of machineconfiguratie of belangrijke informatie over afzonderlijk vervaardigde producten. Bij een probleem kan het bedrijf of een inspectie-instantie de gegevens van de audit-trail controleren, zodat de juiste productbatches kunnen worden teruggeroepen en zodat een verantwoordelijke voor het probleem kan worden aangewezen, die eventueel opnieuw moet worden getraind. Aangezien de gegevens die zijn opgeslagen in audit-trails belangrijke aanwijzingen kunnen bevatten voor het terugroepen van producten of andere belangrijke veiligheidsinformatie, is het essentieel dat deze gegevens niet kunnen worden gewijzigd. De integriteit van de gegevens is cruciaal. Elektronisch opgeslagen gegevens zijn kwetsbaar voor opzettelijke en onbedoelde wijzigingen, vooral als het om belastende informatie gaat. 21 CFR Part 11 heeft tot doel om elektronische gegevens en handtekeningen even betrouwbaar te maken als gegevens op papier, die achteraf vrijwel niet meer ongemerkt kunnen worden gewijzigd. De regels van 21 CFR Part 11 kunnen deels worden omzeild door papieren kopieën te maken van elektronische logbestanden. Maar aangezien de 'originele' versie van het computersysteem ook elektronische logbestanden opslaat, wordt het up-to-date houden van papieren kopieën steeds moeilijker. 21 CFR Part 11 vereist dat alle gegevens die belangrijk zijn voor de traceerbaarheid van een systeem worden opgeslagen in een bestand dat na het aanmaken van de log niet meer kan worden gewijzigd. Hiervoor kan meestal een database of, in sommige systemen, een speciaal versleuteld bestand worden gebruikt. 21 CFR Part 11 is grotendeels aan deze vereisten gewijd. Zie hiervoor Bijlage 1 21 CFR Part 11Subpart B—Elektronische gegevens (in het bijzonder 11.10 e).
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 4
Om de veiligheid van het systeem te waarborgen, vereisen de regels bovendien dat het onmogelijk moet zijn om logbestanden te wijzigen of te verwijderen. Dit betekent dat gebruikers alleen dat mogen doen wat ze moeten doen. Iedere gebruiker heeft slechts toegang tot een bepaald functionaliteitsniveau en niet tot de andere delen van het systeem en tot de computer die het proces uitvoert. Gebruikers moeten op het computersysteem inloggen met veilige wachtwoorden die beperkt geldig zijn en die op een bepaald moment moeten worden gereset (Zie Bijlage 1 21 CFR Part 11 -11.10 Controlemaatregelen voor gesloten systemen (g en i) en Subpart C—Elektronische handtekeningen - 11.300 Controlemaatregelen voor de identificatie van codes/wachtwoorden). Pc's en vergelijkbare apparaten met een besturingssysteem (zoals Windows) waarmee gebruikers ongezien wijzigingen kunnen aanbrengen in machines, moeten goed worden beveiligd. Zo kan het in Windows noodzakelijk zijn om alle snelkoppelingen en taakbalken van het besturingssysteem uit te schakelen, zodat de gewone gebruiker alleen de software op de voorgrond voor het productieproces kan gebruiken. Zie Bijlage 1 21 CFR Part 11 -11.10 Controlemaatregelen voor gesloten systemen (d, g en i). 3 Hoe zit het met de GMP-richtlijnen van de EU? Ook de EU hanteert richtlijnen voor computers die worden gebruikt voor productiedoeleinden. Deze zijn vergelijkbaar met de 21 CFR Part 11-norm, maar de FDA-regels zijn veel explicieter dan de regels van de EU (Zie Bijlage 2 voor de EU GMP-richtlijnen Volume 4 Annex 11 voor computersystemen). Part 10 van de EU-richtlijnen beschrijft de noodzaak van een audit-trail voor systeemwijzigingen. In Part 13 is bepaald dat opgeslagen gegevens niet opzettelijk en onbedoeld mogen worden gewijzigd. Part 8 van de Annex schrijft voor dat alleen bevoegde gebruikers met een systeem mogen werken. Deze regels komen allemaal overeen met de regels van 21 CFR Part 11. Maar in tegenstelling tot de 21 CFR-documenten, die 'voorschriften' zijn, zijn de EU-documenten 'richtlijnen' die door de lidstaten worden omgezet in wetgeving. Dit kan worden afgelezen aan woorden als 'dienen' in de EU-richtlijnen. 4 Wie moeten zich aan de Europese en Amerikaanse regels en richtlijnen houden? Fabrikanten van voeding en geneesmiddelen in de VS zijn wettelijk verplicht om de betreffende delen van de 21 CFR, waaronder Part 11, indien van toepassing, na te leven. De 21 CFR is ook verplicht voor fabrikanten van voeding en geneesmiddelen buiten de VS die actief zijn in de VS of producten verkopen in de VS. Wereldwijd houden steeds meer fabrikanten van voeding en geneesmiddelen zich aan deze regels, zelfs als dit niet verplicht is op grond van de Amerikaanse wetgeving. In de EU moeten fabrikanten de regels van de lidstaat naleven waar ze actief zijn of producten verkopen. Soms zijn de regels van een lidstaat strenger dan de EU GMP-richtlijnen. Fabrikanten moeten dus goed opletten welke regels van toepassing zijn. Met steeds meer klanten in de farmaceutische industrie wordt het voor ons steeds belangrijker om de richtlijnen en regels te begrijpen en na te leven. Als leverancier aan OEM's moet Omron producten leveren waarmee OEM's systemen kunnen maken die voldoen aan de geldende regels. Daarnaast moet Omron OEM's kunnen uitleggen hoe ze deze systemen kunnen maken. Ten slotte moet Omron klanten informeren over onze kwaliteitssystemen, wanneer behoefte is aan een audit.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 5
Bedrijven die machines gebruiken en onderhouden voor het maken van producten die onder deze regels vallen, zijn verantwoordelijk voor de naleving van deze regels. Deze bedrijven zijn vaak eindgebruikers van Omron. Als leverancier van deze klanten moeten we op de hoogte blijven van de regels die deze klanten moeten naleven. Net als in andere sectoren, richt Omron zich primair op de samenwerking met OEM's die leveren aan eindgebruikers. Een deel van de naleving valt dan ook niet onder de verantwoordelijkheid van Omron. Ook buiten de voedings- en geneesmiddelenindustrie worden traceerbaarheid en betrouwbare gegevens steeds belangrijker. In het bijzonder wanneer de veiligheid, de winstgevendheid en het vermogen van derden in het geding zijn. Historische gegevens kunnen ook worden gebruikt voor het verbeteren van productieprocessen en het uitlichten van problemen. Dit kan zowel fysiek, in het proces, als door het trainen of verbeteren van werknemers op bepaalde vlakken. 5 Omron-producten voor de 21 CFR Iedere applicatie die wordt gemaakt, moet voldoen aan de 21 CFR-regels, waaronder Part 11, indien van toepassing. Het is niet mogelijk om afzonderlijke software- of hardware-onderdelen te certificeren als 'conform'. Er bestaan namelijk geen normen voor hardware of software die moeten worden nageleefd, tenzij een klant zelf bepaalde normen hanteert of wanneer een machine in een 'cleanroom' moet worden gebruikt. Omron levert over het algemeen producten en geen complete applicaties aan klanten. Het gaat dus om het leveren van functionaliteit in producten waarmee onze klanten of OEM's kunnen voldoen aan de 21 CFR-regels voor hun eindtoepassingen. Wat hardware betreft, beperken we ons meestal tot het ondersteunen van klanten, zodat ze zelf hun applicatie kunnen maken – 21 CFR Part 11 is zelden van toepassing binnen een PLC of de programma's ervan. Wij moeten ons altijd bewust zijn van de regelgeving waaraan onze klanten moeten voldoen. Een onschuldige firmware-upgrade of een kleine wijziging in een PLC-programma kan al een hoop papierwerk en risicoanalyses met zich meebrengen, puur en alleen om de wijziging te beheren. Nalatigheid kan strafrechtelijke procedures tot gevolg hebben, niet alleen voor onze klant, maar ook voor Omron! 5.1 CX-Supervisor v3.1 CX-Supervisor, software voor machinevisualisatie, beschikt vanaf versie 3.1 over functies waarmee eindapplicaties kunnen voldoen aan 21 CFR Part 11. Deze versie is beschikbaar als gratis upgrade voor gebruikers van versie 3.0. Deze functionaliteit is beschikbaar in drie modules die afzonderlijk kunnen worden gebruikt, al naar gelang de vereisten van de applicatie. Om te voldoen aan 21 CFR Part 11 moeten applicaties echter wel zorgvuldig worden ontwikkeld en is een goede planning van belang. Het gebruik van een geschikt softwarepakket wil nog niet zeggen dat de uiteindelijke applicatie conform is. 5.1.1 Audit-trail naar database Het is nu mogelijk om met CX-Supervisor een gedetailleerde audit-trail te realiseren naar een veilige database. Dit kan met Microsoft Access of met een SQL-database. De keuze van de database is afhankelijk van de voorkeur van de applicatieontwikkelaar en van de werking van gerelateerde systemen. Veel systemen die conform 21 CFR Part 11 zijn, gebruiken SQL voor de opslag van de audit-trail. Microsoft Access is echter veel makkelijker te installeren en te configureren. Microsoft Access-bestanden worden automatisch door CX-Supervisor beveiligd met een wachtwoord dat alleen door de meest kwaadwillige aanvallen kan worden gekraakt.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 6
Ieder punt in CX-Supervisor kan worden geconfigureerd voor het maken van een audit-trail. Wanneer de waarde van een punt verandert, wordt deze informatie gelogd samen met de oude en nieuwe waarden, de ingelogde gebruiker, de datum en tijd van de wijziging en een ID die verwijst naar een batchnummer of vergelijkbaar nummer. De zorgvuldige selectie van punten voor een audit-trail in een project geeft een goed beeld van wat er in een systeem gebeurt. De ontwikkelaar moet er goed op letten dat de punten voor de audit-trail niet te vaak worden gewijzigd. Wanneer een grote hoeveelheid informatie wordt gelogd, kan het systeem traag worden en kan de informatie onoverzichtelijk worden. Uiteraard moeten deze beslissingen worden genomen op basis van de vereisten voor het project en conform het betreffende deel van de 21 CFR. Er kunnen alarmmeldingen worden geconfigureerd die naar de database van de audit-trail worden gelogd en naar de standaardlog van alarmmeldingen. De alarmmeldingen die naar de audit-trail worden gelogd, kunnen afzonderlijk worden geselecteerd of de ontwikkelaar kan ervoor kiezen om alle alarmmeldingen naar de audit-trail te loggen. Dit is belangrijk om een beeld te geven van de gebeurtenissen in een systeem. Auditors van het FDA verlangen van eindgebruikers dat zij kunnen aantonen dat ze rekening hebben gehouden met alle bekende risico's die van invloed kunnen zijn op de audit-trail. Deze risico's omvatten kwaadwillende en onbedoelde wijzigingen van gegevens. Iedere pc heeft inherente beveiligingsproblemen, waardoor het voor vastberaden personen met kwaad in de zin mogelijk wordt om gegevens te wijzigen. Het is de taak van de eindgebruiker om deze risico's te herkennen en tot een niveau te beperken dat acceptabel is voor het systeem. Het voordeel van de Microsoft Access-oplossing is dat niemand het wachtwoord kent voor het wijzigen van de gegevens. Desondanks bestaat het risico dat gebruikers met geavanceerde tools de database kunnen wijzigen en met voldoende toegangsrechten de volledige database kunnen wissen. Om dit risico te beperken, is het van belang dat alleen betrouwbare gebruikers toegang hebben tot het bestand en dat er geschikte back-upprocedures worden geïmplementeerd en gedocumenteerd. 5.1.2 Inloggen met Windows-referenties Via het wachtwoordbeheer van Microsoft Windows kunnen gebruikers regels toevoegen voor de geldigheidsduur en de complexiteit van wachtwoorden. Deze regels kunnen in de computersystemen van een organisatie worden toegepast met unieke gebruikers-ID's. Dit is niet mogelijk met een standalone wachtwoordmanager. Dit is essentieel voor de naleving van de 21 CFR Part 11-regels (Zie Bijlage 1 21 CFR Part 11 - 11.300 Controlemaatregelen voor de identificatie van codes/wachtwoorden). Via CX-Supervisor is het nu mogelijk om gebruikers hun wachtwoord te laten verifiëren aan de hand van Microsoft Windows-wachtwoorden. Zo kan zelfs de applicatie-ontwikkelaar het wachtwoord niet zien en worden de beleidsregels van de organisatie ten aanzien van wachtwoorden gebruikt in CX-Supervisor. CX-Supervisor heeft altijd met verschillende gebruikersniveaus gewerkt. Zo kan een bepaald type gebruiker dingen doen die een andere gebruiker niet kan doen. Deze gebruikersniveaus kunnen worden toegepast in de applicatie om functies zoals projectpagina's of knoppen in en uit te schakelen. 5.1.3 Ervoor zorgen dat gebruikers alleen doen wat ze moeten doen Zie Bijlage 1 21 CFR Part 11-11.10 Controlemaatregelen voor gesloten systemen (d, g en i). Met een touchscreen zonder muis en toetsenbord kan veel gemakkelijker worden voorkomen dat gebruikers toegang krijgen tot de achtergrond van de computer. CX-Supervisor kan als volledig-schermapplicatie worden gebruikt. Alleen door af te sluiten (dat kan worden uitgeschakeld) kan een gebruiker toegang krijgen tot het besturingssysteem en mogelijk schade toebrengen aan de logs van de audit-trail.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 7
Bij gebruik van een toetsenbord moeten meer punten in overweging worden genomen. Met de meeste toetsenborden is het immers mogelijk om het Windows 'Start'-menu of het Ctrl-Alt-Del-menu op te roepen. De verschillende Windows-snelkoppelingen/sneltoetsen kunnen worden uitgeschakeld via diverse registratiewijzigingen en via wijzigingen in het beleid van de lokale machine. Afhankelijk van de eisen is het zelfs mogelijk om CX-Supervisor in plaats van Windows Explorer te starten met Windows. 5.1.4 Speciale overwegingen voor het maken van een audit-trail met CX-Supervisor De hoeveelheid data die wordt gegenereerd door een audit-trail is afhankelijk van de handelingen die worden gelogd en van de productiesnelheid van de machine. Een machine die 10 flessen per seconde vult, genereert mogelijk audits met een snelheid van meerdere auditpunten per 100 ms. Gegevenscommunicatie met een dergelijke snelheid wordt door geen enkel netwerktype ondersteund, met uitzondering van netwerken op basis van ethernet. Maar zelfs met ethernet moet overbelasting van het systeem in de gaten worden gehouden op basis van datadoorvoer en cyclustijd van de PLC. Meer informatie over dit onderwerp vindt u in de gebruikershandleiding van CX-Supervisor. De systeemontwerper moet ervoor zorgen dat het genereren van de audit-trail geen negatieve gevolgen heeft voor de stabiliteit van het systeem en de netwerkdoorvoer. Het is raadzaam om de volgende richtlijnen in acht te nemen: • Audit alleen wat u op een bepaald moment nodig heeft – beperk het frequent auditen van items tot een absoluut minimum. • Bewaar de punten van een ‘audit’ opeenvolgend in het geheugen - Bijvoorbeeld bij meerdere audits van een item slaat u de audits op in d1-10 – of, nog beter, als een array. • Houd de updatesnelheid van de punten van de audit zo laag mogelijk, zodat alle gegevens worden gelogd en het systeem niet wordt overbelast • Overweeg om meerdere audits in de PLC op te slaan en een trigger te sturen naar CX-Supervisor om de audits in één bericht te downloaden en te verwerken. • Overweeg het gebruik van de SPU wanneer een hoge snelheid en nauwkeurigheid vereist zijn die niet door een ethernet-netwerk kunnen worden ondersteund. (Zie Hoofdstuk 5.3 SPU voor meer informatie) 5.2 Xpectia Xpectia, het vision-systeem van Omron, heeft een ingebouwde functionaliteit die ervoor zorgt dat eindsystemen voldoen aan 21 CFR Part 11. De volgende items worden naar een log geschreven en kunnen op een later moment worden opgehaald: • Configuratiegegevens - Configuratiegegevens met een wijzigingsgeschiedenis kunnen een beeld geven van de inspectiemethode op een bepaald moment. • Logafbeelding - De afbeelding die wordt gemaakt door het vision-systeem wordt opgeslagen met een tijdstempel en toont het uiterlijk van de afzonderlijke producten. • Loggegevens - Loggegevens met een tijdstempel tonen het inspectieresultaat van de afzonderlijke producten. Xpectia kan alleen worden geconfigureerd door een bevoegd gebruiker en de configuratiebestanden zijn beveiligd tegen onbedoelde en opzettelijke wijzigingen. Wijzigingen in de configuratie worden gelogd met een tijdstempel en de vorige revisie wordt bewaard. Het revisienummer van de configuratie wordt weergegeven. Xpectia ondersteunt ook batchrapportage van het volgende: • Batch/Partij-nr. • Startdatum- en tijd • Gebruikers-ID van starter • Einddatum en -tijd • Gebruikers-ID van afsluiter • PASS/FAIL-tellingen per camera • Configuratiegegevens industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 8
Tijdens een batch accepteert Xpectia een triggersignaal om een inspectie uit te voeren. Aan het einde van de batch kan de gebruiker het batchrapport exporteren. De loggegevens en de afbeeldingen worden voor de volledigheid ook aan het rapport toegevoegd. De integriteit van de opgeslagen gegevens wordt gewaarborgd doordat export en import alleen mogelijk zijn via een versleuteld bestand dat kan worden weergegeven en afgedrukt via een Data Viewer-applicatie op een pc. Niets kan de gegevens wijzigen. 5.3 SPU Soms zijn de capaciteit van CX-Supervisor en die van het netwerk met de PLC niet toereikend voor de hoeveelheid gegevens en de nauwkeurigheid waarmee de gegevens binnen een bepaalde tijd moeten worden gelogd. Voor deze gevallen heeft Omron een CJ PLC-module, die SPU (Storage and Processing Unit) wordt genoemd. De SPU is een hogesnelheidsapparaat dat fysiek is verbonden met de PLC. De SPU kan met extreem hoge snelheid gegevens loggen naar een geheugenkaart in de SPU. Afzonderlijke software, EDMS genoemd, kan de SPU-opslag lezen en de gegevens overdragen naar een veilige SQL-database – Het is mogelijk om dezelfde SQL-database te gebruiken die wordt gebruikt door CX-Supervisor wanneer zowel het loggen van gedetailleerde afbeeldingen als het met hoge snelheid loggen op PLCniveau is vereist. 5.3.1 Hoe werkt de SPU? Met de SPU kunnen PLC-geheugenzones of -punten worden gelogd met regelmatige tussenpozen (maximaal iedere 7 ms) of na het ontvangen van een trigger. Deze geheugenzones kunnen waarden zijn die de PLC heeft gemeten of items die een gebruiker heeft ingesteld in een visualisatiepakket zoals CX-Supervisor of op een HMI zoals een NSbedieningsterminal. De SPU wordt fysiek verbonden met de PLC, zodat geen netwerkproblemen ontstaan wanneer rechtstreeks gegevens uit het PLC-geheugen worden opgehaald. De gegevens zijn onmiddellijk beschikbaar. De SPU wordt compleet met ethernet-poort geleverd, zodat een externe PLC de informatie kan ophalen uit het SPUgeheugen en kan verwerken. Met EDMS-software kan dit automatisch worden uitgevoerd. 5.3.2 SPU-beveiliging De SPU bevat een aantal functies waarmee u de interne geheugenkaart kunt doorzoeken en de logbestanden kunt weergeven en eventueel bewerken die via een normale Windows pc worden gemaakt. Deze functie kan een probleem zijn voor gebruikers die de SPU willen gebruiken voor een 21 CFR Part 11-applicatie, omdat dit een veiligheidsrisico vormt. De SPU kan zodanig worden geconfigureerd, dat deze functie wordt uitgeschakeld, waardoor het via deze methode niet meer mogelijk is om de SPU te doorzoeken en om naar de SPU te schrijven. Voor het in- en uitschakelen van deze functie is echter geen wachtwoord vereist. Om risico's te beperken is het in situaties die een hoge mate van gegevensintegriteit en -veiligheid vereisen (bijv. gegevens voor de farmaceutische industrie, met name wanneer 21 CFR Part 11 moet worden nageleefd) raadzaam om de volgende maatregelen te nemen: • Zorg ervoor dat de SPU en de PLC zich in een afgesloten kast bevinden. - De Compact Flash-kaart in de SPU bevat gegevens die kunnen worden bewerkt en moet daarom worden beveiligd. • Gebruik EDMS om de gegevens van de SPU over te zetten naar een veilige SQL-database bij een zo hoog mogelijke snelheid die acceptabel is voor de gegevens. - Wanneer de gegevens zich in de SQL bevinden, worden ze beheerd en beschermd tegen opzettelijke en onbedoelde wijzigingen. De tijdsduur tussen het verzamelen van de gegevens en de opslag in de SQL vormt een risico voor de integriteit. •
Schakel de functie uit om in het interne geheugen van de SPU te browsen. - Dit kunt u doen door de browse-functie uit te schakelen.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 9
• • •
Voor nog meer veiligheid moeten de SPU en de EDMS-software zich in een gesloten netwerk bevinden, zodat browsen en wijzigen niet mogelijk zijn. Het hulpprogramma SPU Console is niet beveiligd met een wachtwoord. Dit betekent dat de SPU kan worden gewijzigd als toegang tot het netwerk kan worden verkregen. De pc met EDMS kan 2 netwerkkaarten hebben: één voor de SPU en één voor het normale netwerk. Zo kan de pc de gegevens verzamelen van het gesloten netwerk en naar een veilige SQL-server elders loggen. - Als de SPU en de pc met EDMS zich op dezelfde veilige plek bevinden, wordt het onbedoeld of opzettelijk aanbrengen van wijzigingen vrijwel onmogelijk.
5.4 NJ met databaseverbindingsservice NJ-machinecontrollers gebruiken geen uitbreidingsmodule voor hogesnelheidstoegang tot databases. Er zijn NJmodellen die rechtstreekse hogesnelheidscommunicatie met Oracle- of MS SQL Server-databases ondersteunen vanuit de controller. Deze NJ-modellen zijn de 1320, 1420 en 1520. De NJ met databaseverbindingsservice gebruikt functieblokken die beschikbaar zijn in Sysmac Studio voor communicatie met de database. Sysmac Studio biedt de mogelijkheid om de database-instellingen te configureren. De aanschaf van extra software is niet nodig. 5.4.1 Hoe NJ met databaseverbindingsservice werkt Met de juiste controllerversie met databaseverbindingsfuncties heeft Sysmac Studio een extra configuratiegedeelte voor het configureren van een databaseverbinding. Na het invoeren en overdragen naar de controller, kan de verbinding worden getest. Sysmac Studio biedt de ontwikkelaar een set functieblokken die in het project kunnen worden gebruikt. Hiermee is het mogelijk om verbinding te maken met, te schrijven naar en te lezen in de geconfigureerde database. Deze functies kunnen overal in het programma worden opgeroepen. Voor een project dat moet voldoen aan 21 CFR Part 11 bestaat het databasegebruik meestal grotendeels uit schrijfbewerkingen (bijv. voor een audit-trail). Wanneer de database niet beschikbaar is of als het netwerk de schrijfbewerkingen niet kan bijhouden, schrijft de NJ de SQL-commando's naar een spool in het niet-volatiele geheugen, dat naar de database schrijft zodra de database beschikbaar is. Het aantal SQL-commando's dat kan worden gespoold is afhankelijk van de lengte van het SQLcommando. Voor dit doel is 1 MB geheugenruimte gereserveerd in een intern geheugen in de NJ. Het verwijderen van de SD-kaart heeft geen gevolgen voor dit geheugen. 5.4.2 NJ met beveiligde databaseverbindingsservice Nadat uw project is gesynchroniseerd met de NJ, moet u ervoor zorgen dat onbevoegde gebruikers het project en (nog belangrijker) de database-instellingen en wachtwoordgegevens niet kunnen uploaden van de controller. Hiermee zouden gebruikers hun eigen NJ-programma kunnen maken en belastende informatie van de database kunnen wissen. Om dit te voorkomen, kunt u via Operation Authority de bevoegdheden configureren op de NJ-controller, zodat alleen gebruikers met een hogere bevoegdheid dan 'Operator' of 'Observer' toestemming hebben. (Zie Hoofdstuk 8.3 van de gebruikershandleiding van Sysmac Studio). Dankzij de configuratie van Operation Authority is de controller geen zwakke schakel. Gebruikers die toegang hebben tot het apparaat vormen geen bedreiging omdat de gegevens niet kunnen worden gewijzigd. De betrouwbaarheid van de NJ-controller is belangrijk voor de integriteit van het systeem. Het is dan ook raadzaam om de controller achter slot en grendel te houden!
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 10
De veiligheid van de databaseconfiguratie is afhankelijk van de veiligheid van de gebruikersnamen en wachtwoorden die toegang hebben tot de gegevens. In Microsoft SQL Server kan de beheerder de gebruikersnamen configureren en moeten wachtwoorden voldoen aan criteria als geldigheidsduur en complexiteit. Wanneer een wachtwoord na een bepaalde geldigheidsduur moet worden gewijzigd, dan moet ook het programma van de NJ-controller worden bijgewerkt om de database te kunnen blijven gebruiken. Gebruikers van databasegegevens mogen alleen leestoegang hebben tot de gegevens, zodat niets kan worden gewijzigd. 5.5 Combineren van producten en audit-trails Bij het maken van een totaaloplossing met meerdere onderdelen moeten bepaalde locaties mogelijk voldoen aan 21 CFR Part 11 of andere normen. Het is belangrijk om deze overlappingen tijdens de ontwerpfase te signaleren en na te denken over de gevolgen voor zaken als audit-trails. Een aantal aandachtspunten: • Kloktijd - Bij het gebruik van meerdere onderdelen in een systeem zoals CX-Supervisor, NS, PLC's, machinecontrollers, Xpectia of een SPU waarbij vanaf al deze bronnen gegevens worden gelogd, is het belangrijk dat de klokken van de verschillende apparaten zijn gesynchroniseerd, zodat de auditlogs met elkaar kunnen worden gekoppeld. Sommige apparaten, zoals de SPU, synchroniseren automatisch met de PLC-klok. Het is belangrijk om te weten hoe en wanneer dit moet worden gedaan (Zie Bijlage G van de gebruikershandleiding van SPU Console voor meer informatie over het synchroniseren van de SPU) • Opslagmedium - CX-Supervisor beschikt over een optie om naar een Access- of SQL-database te schrijven. Het schrijven naar een Access-database is vergrendeld en alleen CX-Supervisor is bekend. Wanneer meerdere gegevensbronnen moeten worden geaudit naar dezelfde database, is het belangrijk om een veilige database te kiezen die schrijven toestaat vanaf alle onderdelen die moeten worden geaudit. • Beveiliging - Een systeem is zo veilig als zijn meest zwakke onderdeel. Wanneer CX-Supervisor helemaal veilig is, maar een ander, niet goed beveiligde component een gevaar vormt voor een pc of ander onderdeel, dan wordt het hele systeem kwetsbaar. - Netwerkkabels tussen apparaten vormen altijd een risico. De meest veilige oplossing is een beveiligde kast. Voor het toevoegen van een extra apparaat aan het systeem (bijv. een laptop compleet met Omron configuratiesoftware) is een risicoanalyse noodzakelijk en moeten de juiste maatregelen worden genomen.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 11
6 De weg vooruit Omron is niet in staat om 'conforme' hardware of software te maken die voldoet aan alle regelgeving. Wat wij kunnen doen, is klanten helpen om oplossingen te maken die voldoen aan de regels die zij moeten naleven. Allereerst kan Omron inzichtelijk maken welke regelgeving de klant moet naleven voor zijn specifieke activiteiten. Met deze kennis kunnen we vervolgens laten zien dat we iets te bieden hebben en dat we ons onderscheiden van andere aanbieders. Omron heeft zo ook meer inzicht in de gevolgen van onze manier van werken voor die van de klant. Denk bijvoorbeeld aan het beheer van wijzigingen of aan het kunnen beantwoorden van vragen over onze kwaliteitscontrole wanneer een klant daarnaar vraagt. De farmaceutische en medische klanten en potentiële klanten van Omron gaan gebukt onder een woud aan regelgeving. Dit is iets waarbij wij, als leverancier, kunnen helpen. 7 Bijlage 1 21 CFR Part 11 Deze bijlage bevat de volledige tekst van 21 CFR Part 11. De andere delen van de 21 CFR-regelgeving, evenals aanvullende informatie, kunt u vinden op de website van het FDA: http://www.fda.gov/ Wettekst: 21 U.S.C. 321–393; 42 U.S.C. 262. Bron: 62 FR 13464, Mar. 20, 1997, tenzij anders aangegeven. Subpart A— Algemene bepalingen • 11.1 Reikwijdte. • 11.2 Implementatie. • 11.3 Definities. Subpart B—Elektronische gegevens • 11.10 Controlemaatregelen voor gesloten systemen. • 11.30 Controlemaatregelen voor open systemen. • 11.50 Wijze van ondertekenen. • 11.70 Koppelen van handtekeningen/gegevens. Subpart C—Elektronische handtekeningen • 11.100 Algemene vereisten. • 11.200 Elektronische handtekeningen: onderdelen en controlemaatregelen. • 11.300 Controlemaatregelen voor de identificatie van codes/wachtwoorden. Subpart A— Algemene bepalingen 11.1 Reikwijdte (a) De regels in dit deel betreffen de criteria die het agentschap hanteert om te beoordelen of elektronische gegevens, elektronische handtekeningen en handgeschreven handtekeningen op elektronische gegevens veilig, betrouwbaar en min of meer gelijk zijn aan gegevens op papier voorzien van handgeschreven handtekeningen. (b) Dit deel is van toepassing op gegevens in elektronisch formaat die worden aangemaakt, gewijzigd, bijgewerkt, gearchiveerd, opgehaald of verzonden conform de eisen ten aanzien van gegevens zoals bepaald in de voorschriften van het agentschap. Dit deel is ook van toepassing op elektronische gegevens die aan het agentschap worden verstrekt op grond van de Federal Food, Drug, and Cosmetic Act [Amerikaanse federale wet op voeding, geneesmiddelen en cosmetica] en de Public Health Service Act [Amerikaanse wet op de volksgezondheid], ook wanneer de verstrekte gegevens niet uitdrukkelijk worden genoemd in de voorschriften van het agentschap. Dit deel is niet van toepassing op gegevens op papier die langs elektronische weg zijn of worden verzonden. industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 12
(c) Elektronische handtekeningen en de bijbehorende elektronische gegevens die voldoen aan de eisen van dit deel, worden door het agentschap beschouwd als handgeschreven handtekeningen, initialen en andere ondertekeningen zoals voorgeschreven door het agentschap, tenzij anders bepaald in voorschriften die op of na 20 augustus 1997 in werking zijn getreden. (d) Elektronische gegevens die voldoen aan de eisen van dit deel kunnen in plaats van gegevens op papier worden gebruikt, overeenkomstig 11.2, tenzij gegevens op papier uitdrukkelijk zijn vereist. (e) Computersystemen (waaronder hardware en software), controlemaatregelen en verwante documentatie die wordt bijgehouden op grond van dit deel dienen te allen tijde beschikbaar te zijn voor controles door het FDA. (f ) Dit deel is niet van toepassing op gegevens die moeten worden aangemaakt en bijgehouden op grond van 1.326 t/m 1.368 van dit hoofdstuk. Op gegevens die voldoen aan de eisen van Part 1, subpart J van dit hoofdstuk, waarop tevens andere wettelijke bepalingen of voorschriften van toepassing zijn, blijft dit deel van toepassing. [62 FR 13464, 20 maart 1997, gewijzigd op 69 FR 71655, 9 december 2004] 11.2 Implementatie (a) Gegevens die moeten worden bijgehouden, maar die niet aan het agentschap hoeven te worden verstrekt, kunnen, deels of volledig, in elektronisch formaat in plaats van op papier en met elektronische handtekeningen in plaats van handgeschreven handtekeningen worden bijgehouden, mits de bepalingen van dit deel in acht worden genomen. (b) Gegevens die aan het agentschap worden verstrekt, kunnen, deels of volledig, in elektronisch formaat in plaats van op papier en met elektronische handtekeningen in plaats van handgeschreven handtekeningen worden ingediend, mits: (1) De bepalingen van dit deel in acht worden genomen; en (2) Het document of delen ervan die moeten worden verstrekt, op grond van public docket 92S–0251 voldoen aan het type gegevens dat het agentschap in elektronische vorm accepteert. Dit docket bepaalt in het bijzonder de geadresseerde afdelingen van het agentschap (bijv., specifiek centrum, kantoor, divisie, afdeling) en de typen documenten of delen van documenten die geschikt zijn om in elektronisch formaat en zonder papieren kopieën in te dienen. Documenten die worden ingediend bij afdelingen van het agentschap die niet in het docket worden vermeld, worden niet als officiële documenten beschouwd die in elektronisch formaat kunnen worden ingediend; elektronische gegevens moeten in dit geval worden vergezeld van een papieren versie van de gegevens. Vóór het indienen van gegevens wordt u geacht om contact op te nemen met de betreffende afdeling van het agentschap voor meer informatie over de methode (bijv. verzendmethode, media, bestandsindeling en technische protocollen) en de mogelijkheden voor het indienen van gegevens in elektronisch formaat. 11.3 Definities. (a) De definities in hoofdstuk 201 van de wet zijn van toepassing op de termen die in dit deel worden gebruikt. (b) De volgende termen en definities zijn ook van toepassing op dit deel: (1) Met 'Wet' wordt verwezen naar de Federal Food, Drug, and Cosmetic Act (deel 201–903 (21 U.S.C. 321–393)). (2) Met 'Agentschap' wordt verwezen naar de Food and Drug Administration. (3) Biometrie is een methode voor het controleren van de identiteit van een persoon op basis van de meting van individuele fysieke kenmerken of herhaalde gedragingen, wanneer deze kenmerken en/of gedragingen beide uniek en meetbaar zijn voor de persoon in kwestie. (4) Een gesloten systeem is een omgeving waarvan de systeemtoegang wordt beheerd door personen die verantwoordelijk zijn voor de inhoud van de elektronische gegevens in het systeem. (5) Een digitale handtekening is een elektronische handtekening waarvan de ondertekenaar wordt geverifieerd aan de hand van cryptografische methoden. De identiteit van de ondertekenaar en de integriteit van de gegevens worden geverifieerd door berekening van een aantal regels en parameters.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 13
(6) Elektronische gegevens zijn een willekeurige combinatie van tekst, graphics, data, audio, afbeeldingen of andere gegevens in digitaal formaat die worden aangemaakt, gewijzigd, bijgehouden, opgehaald of verspreid via een computersysteem. (7) Een elektronische handtekening is een compilatie van computerdata bestaande uit symbolen of een serie symbolen die wordt uitgevoerd, gebruikt of toegestaan als rechtsgeldig equivalent van de handgeschreven handtekening van een persoon. (8) Een handgeschreven handtekening is de naam of het officiële merk van een persoon die door de betreffende persoon met de hand is geschreven en die wordt uitgevoerd en gebruikt met de intentie om een geschreven tekst in een permanent formaat voor echt te verklaren. De ondertekening wordt uitgevoerd met een schrijf- of markeerinstrument zoals een pen of stylus. De handgeschreven naam of het merk wordt over het algemeen op papier geschreven maar kan ook op andere media worden aangebracht. (9) Een open systeem is een omgeving waarvan de systeemtoegang niet wordt beheerd door personen die verantwoordelijk zijn voor de inhoud van de elektronische gegevens in het systeem. Subpart B—Elektronische gegevens 11.10 Controlemaatregelen voor gesloten systemen Personen die gesloten systemen gebruiken voor het aanmaken, wijzigen, onderhouden of verzenden van elektronische gegevens dienen procedures en controlemaatregelen te hanteren om de verificatie, integriteit en, indien nodig, de vertrouwelijkheid van elektronische gegevens te waarborgen, en om ervoor te zorgen dat de ondertekenaar de ondertekende gegevens niet zomaar als niet echt kan verwerpen. Dergelijke procedures en controlemaatregelen moeten het volgende omvatten: (a) Valideren van systemen voor het waarborgen van de nauwkeurigheid, betrouwbaarheid en consistente prestaties, en om ongeldige of gewijzigde gegevens te kunnen opsporen. (b) De mogelijkheid om nauwkeurige en volledige kopieën te genereren in een leesbaar en elektronisch formaat dat geschikt is voor inspectie, evaluatie en het maken van kopieën door het agentschap. Voor vragen over de mogelijkheid van het agentschap om dergelijke evaluaties uit te voeren en elektronische gegevens te kopiëren, kunt u contact opnemen met het agentschap. (c) De beveiliging van gegevens met het oog op een nauwkeurige en snelle raadpleging gedurende de opslagduur van de gegevens. (d) Het beperken van de toegang tot het systeem tot bevoegde personen. (e) Gebruik van veilige, door de computer gegenereerde audit-trails met een tijdstempel voor de onafhankelijke registratie van de datum en tijd van bewerkingen en handelingen voor het aanmaken, wijzigen of wissen van elektronische gegevens. Wijzigingen van gegevens mogen eerder opgeslagen informatie niet verhullen. Dergelijke audit- trailinformatie moet zolang als vereist voor de betreffende elektronische gegevens worden bewaard en moet te allen tijde beschikbaar zijn voor evaluaties en kopieën door het agentschap. (f ) Systeemcontroles tijdens bedrijf om zo nodig toe te zien op de toegestane stappen en gebeurtenissen. (g) Bevoegdheidcontroles om ervoor te zorgen dat alleen bevoegde personen het systeem kunnen gebruiken, gegevens elektronisch kunnen ondertekenen, toegang hebben tot het gebruik of de informatie van het computersysteem of uitgangsapparaat, of de bewerking handmatig kunnen uitvoeren. (h) Controles van het gebruik van het apparaat (bijv. terminal) om indien nodig de geldigheid van de bron van gegevensinvoer of de bedieningsinstructies te controleren. (i) Nagaan of de personen die elektronische gegevens/elektronische handtekeningen maken, onderhouden of gebruiken over de juiste opleiding, training en ervaring beschikken om de toegewezen taken te kunnen uitvoeren.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 14
(j) Het opstellen en naleven van geschreven beleidsregels, zodat personen rekenschap moeten afleggen van de handelingen die zij verrichten met hun elektronische handtekeningen, om vervalsing van gegevens en handtekeningen te voorkomen. (k) Controlemaatregelen voor systeemdocumentatie waaronder: (1) Geschikte controlemaatregelen voor de verspreiding van, de toegang tot en het gebruik van documentatie voor de bediening en het onderhoud van het systeem. (2) Controleprocedures voor revisies en wijzigingen om een audit-trail te waarborgen die de chronologische ontwikkelingen en wijzigingen van systeemdocumentatie vastlegt. 11.30 Controlemaatregelen voor open systemen Personen die open systemen gebruiken voor het aanmaken, wijzigen, onderhouden of verzenden van elektronische gegevens dienen procedures en controlemaatregelen te hanteren om de verificatie, integriteit en, indien nodig, de vertrouwelijkheid van elektronische gegevens te waarborgen, vanaf het moment dat de gegevens worden aangemaakt tot aan de ontvangst. Dergelijke procedures en controlemaatregelen moeten, zo nodig, de maatregelen omvatten die zijn genoemd bij 11.10, evenals extra maatregelen zoals de versleuteling van documenten en het gebruik van de juiste normen voor digitale handtekeningen om de verificatie, integriteit en, indien nodig, de vertrouwelijkheid van elektronische gegevens te waarborgen, zoals vereist in de betreffende omstandigheden. 11.50 Wijze van ondertekenen. (a) Ondertekende elektronische gegevens dienen uitdrukkelijk de volgende informatie met betrekking tot de ondertekening te bevatten: (1) De gedrukte naam van de ondertekenaar; (2) De datum en tijd van ondertekening; en (3) Het doel van de handtekening (bijvoorbeeld evaluatie, goedkeuring, verantwoordelijke of auteur). (b) Voor de items die zijn beschreven in paragraaf (a)(1), (a)(2), en (a)(3) van dit hoofdstuk gelden dezelfde controlemaatregelen als voor elektronische gegevens. Deze moeten worden toegevoegd aan alle leesbare versies van elektronische gegevens (zoals weergave op een beeldscherm of afdruk). 11.70 Koppelen van handtekeningen/gegevens Elektronische en handgeschreven handtekeningen van elektronische gegevens moeten worden gekoppeld aan de bijbehorende elektronische gegevens om te voorkomen dat de handtekeningen worden verwijderd, gekopieerd of anderszins worden verplaatst voor het vervalsen van elektronische gegevens. Subpart C—Elektronische handtekeningen 11.100 Algemene vereisten (a) Een elektronische handtekening moet uniek zijn voor een persoon en mag niet door iemand anders worden gebruikt of aan iemand anders worden toegewezen. (b) Voordat een organisatie een elektronische handtekening, of een deel ervan, aanmaakt, toewijst, goedkeurt of bestraft, dient de organisatie de identiteit van de betreffende persoon te controleren. (c) Personen die elektronische handtekeningen gebruiken, dienen, voorafgaand aan of tijdens het gebruik ervan, aan het agentschap te bevestigen dat de elektronische handtekeningen in hun systeem, die sinds 20 augustus 1997 worden gebruikt, zijn bedoeld als rechtsgeldig equivalent van handgeschreven handtekeningen. (1) Deze verklaring dient schriftelijk en voorzien van een gewone handgeschreven handtekening te worden ingediend bij de Office of Regional Operations (HFC–100), 5600 Fishers Lane, Rockville, MD 20857, Verenigde Staten. (2) Personen die elektronische handtekeningen gebruiken, dienen op verzoek aanvullend bewijs te verstrekken om aan te tonen dat een bepaalde elektronische handtekening de rechtsgeldige equivalent is van de handgeschreven handtekening van de betreffende persoon. industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 15
11.200 Elektronische handtekeningen: onderdelen en controlemaatregelen (a) Elektronische handtekeningen die niet zijn gebaseerd op biometrie moeten: (1) Uit ten minste twee verschillende identificatie-onderdelen bestaan, zoals een identificatiecode en een wachtwoord. (i) Wanneer een persoon tijdens dezelfde ononderbroken gecontroleerde systeemsessie meerdere handtekeningen uitvoert, dan moet de eerste handtekening worden uitgevoerd met alle onderdelen van de elektronische handtekening; voor de volgende handtekeningen moet ten minste één onderdeel van de elektronische handtekening worden gebruikt die alleen kan worden uitgevoerd en gebruikt door de betreffende persoon. (ii) Wanneer een persoon één of meerdere handtekeningen uitvoert tijdens meerdere onderbroken gecontroleerde systeemsessies, dan moet iedere handtekening steeds worden uitgevoerd met alle onderdelen van de elektronische handtekening. (2) Uitsluitend worden gebruikt door hun rechtmatige eigenaar; en (3) Zodanig worden toegewezen en uitgevoerd, dat pogingen om de elektronische handtekening van een ander te gebruiken de samenwerking van twee of meer personen vereist. (b) Elektronische handtekeningen die zijn gebaseerd op biometrie moeten zodanig worden ontworpen, dat ze slechts kunnen worden gebruikt door hun rechtmatige eigenaar. 11.300 Controlemaatregelen voor de identificatie van codes/wachtwoorden Personen die elektronische handtekeningen gebruiken op basis van identificatiecodes in combinatie met wachtwoorden moeten controlemaatregelen gebruiken om de veiligheid en integriteit te waarborgen. Dergelijke maatregelen moeten: (a) Het unieke karakter van iedere combinatie van identificatiecode en wachtwoord waarborgen, zodat iedere combinatie van identificatiecode en wachtwoord slechts door één persoon wordt gebruikt. (b) Ervoor zorgen dat afgegeven identificatiecodes en wachtwoorden periodiek worden gecontroleerd, worden teruggeroepen en worden herzien (bijv. om verouderde wachtwoorden te voorkomen). (c) De procedures voor verliesmanagement volgen om elektronisch de bevoegdheid in te trekken van verloren, gestolen, ontbrekende of anderszins beschadigde tokens, kaarten en andere media die identificatiecodes of wachtwoorden dragen of genereren, en om tijdelijk of permanent vervangers af te gegeven met gebruik van strenge controlemaatregelen. (d) Transacties beveiligen om ongeoorloofd gebruik van wachtwoorden en/of identificatiecodes te voorkomen en onmiddellijk pogingen tot ongeoorloofd gebruik te herkennen en te melden aan de beveiligingsafdeling en, indien nodig, aan het management van de organisatie. (e) Initiële en periodieke tests omvatten van apparaten zoals tokens en kaarten die identificatiecodes of wachtwoorden dragen of genereren, om de juiste werking ervan te waarborgen en om te voorkomen dat ze niet op ongeoorloofde wijze worden gewijzigd.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 16
8 Bijlage 2 Eudralex GMP Annex 11 Deze bijlage bevat de EU EudraLex GMP-richtlijnen Volume 4 Annex 11 voor computersystemen. De andere delen van de Eudralex-richtlijnen, evenals aanvullende informatie, kunt u vinden op de Volksgezondheid-website van de Europese Unie: http://ec.europa.eu/health/documents/eudralex/vol-4/index_en.htm Volume 4 van "De regels ten aanzien van medicinale producten in de Europese Unie" bevat aanknopingspunten voor de interpretatie van de uitgangspunten en richtlijnen voor Good Manufacturing Practices voor medicinale producten voor menselijk en veterinair gebruik die zijn vastgelegd in de Commissierichtlijn 91/356/EEG, die respectievelijk is gewijzigd door de Richtlijnen 2003/94/EG en 91/412/EEG. COMPUTERSYSTEMEN Uitgangspunt De invoering van computersystemen in productiesystemen, waaronder systemen voor opslag, distributie en kwaliteitscontrole, heeft geen gevolgen voor de naleving van de uitgangspunten die elders in de richtlijnen zijn bepaald. Wanneer een computersysteem een menselijke handeling vervangt, mag dit geen negatieve gevolgen hebben voor de productkwaliteit en de kwaliteitsgarantie. Het risico dat aspecten van het oude systeem verloren gaan door het verdwijnen van de betrokkenheid van personeel moet serieus worden genomen. Personeel 1. Een nauwe samenwerking tussen het belangrijkste personeel en het personeel dat is betrokken bij de computersystemen is essentieel. Leidinggevenden moeten de juiste training volgen voor het managen en gebruiken van systemen die onder hun verantwoordelijkheid vallen en die gebruik maken van computersystemen. Dit betekent onder meer dat de juiste expertise moet worden aangewend om advies te geven over het ontwerp, de validatie, de installatie en de bediening van computersystemen. Validatie 2. De benodigde mate van validatie is afhankelijk van meerdere factoren, zoals de toepassing van het systeem, het prospectieve of retrospectieve karakter van de validatie en het gebruik van nieuwe elementen. Validatie moet worden uitgevoerd als onderdeel van de complete levenscyclus van een computersysteem. Deze cyclus omvat de planning, specificatie, programmering, tests, ingebruikname, documentatie, bediening, bewaking en wijziging. Systeem 3. Er dient aandacht te worden besteed aan de locatie van de installatie. Externe factoren mogen het systeem niet verstoren. 4. Er moet een gedetailleerde beschrijving van het systeem worden gemaakt (eventueel met schema's) en up-to-date worden gehouden. Hierin moeten de uitgangspunten, doelstellingen, veiligheidsmaatregelen, het toepassingsgebied van het systeem en de belangrijkste eigenschappen van het gebruik van het systeem en van de interactie met andere systemen en procedures worden beschreven. 5. De software is een kritiek onderdeel van een computersysteem. De gebruiker van deze software moet alle nodige maatregelen nemen om ervoor te zorgen dat de software volgens een systeem voor kwaliteitscontrole is gemaakt. 6. Het systeem moet waar nodig zijn voorzien van ingebouwde controles van de juiste invoer en verwerking van gegevens.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 17
7. Voordat een systeem met een computer in gebruik wordt genomen, moet het grondig worden getest en moet worden nagegaan of het in staat is om de gewenste resultaten te boeken. Wanneer een handmatig systeem wordt vervangen, moeten beide systemen enige tijd naast elkaar worden gebruikt als onderdeel van de test- en validatiefase. 8. Gegevens mogen uitsluitend worden ingevoerd en gewijzigd door bevoegde personen. Geschikte methodes voor het weigeren van ongeoorloofde data-invoer zijn het gebruik van sleutels, pass-kaarten en persoonlijke codes, en het beperken van toegang tot computerterminals. Er moet een duidelijke procedure worden gehanteerd voor het toekennen, intrekken en wijzigen van bevoegdheden om gegevens in te voeren en te wijzigen, waaronder het wijzigen van persoonlijke wachtwoorden. Systemen voor de registratie van toegangspogingen door onbevoegde personen dienen in overweging te worden genomen. 9. Wanneer kritieke gegevens handmatig worden ingevoerd (bijvoorbeeld het gewicht en het batchnummer van een ingrediënt tijdens het doseren), moet een extra controle worden uitgevoerd van de nauwkeurigheid van de aangemaakte gegevens. Deze controle kan worden uitgevoerd door een tweede operator of langs elektronische weg. 10. Het systeem moet de identiteit registreren van operators die kritieke data invoeren en controleren. De bevoegdheid om ingevoerde gegevens te wijzigen moet worden beperkt tot aangewezen personen. Voor het wijzigen van ingevoerde gegevens moet toestemming worden verleend en wijzigingen moeten samen met de reden van de wijziging worden opgeslagen. Het in het systeem inbouwen van een functie voor het aanmaken van een compleet record van alle ingevoerde en gewijzigde gegevens (een "audit-trail") moet in overweging worden genomen. 11. Wijzigingen aan een systeem of computerprogramma mogen alleen worden uitgevoerd volgens een duidelijke procedure die voorziet in de validatie, controle, goedkeuring en implementatie van de wijzigingen. Dergelijke wijzigingen mogen uitsluitend worden doorgevoerd na goedkeuring van de persoon die verantwoordelijk is voor het betreffende onderdeel van de machine. Bovendien moeten wijzigingen worden opgeslagen. Iedere wijziging van betekenis moet worden gevalideerd. 12. Ten behoeve van kwaliteitsaudits moeten duidelijke versies van elektronisch opgeslagen gegevens kunnen worden afgedrukt. 13. Gegevens moeten fysiek of elektronisch worden beveiligd tegen opzettelijke of onbedoelde schade, zoals bepaald in punt 4.9 van de Richtlijn. Van opgeslagen gegevens moeten de toegankelijkheid, duur en nauwkeurigheid worden gecontroleerd. Wanneer wijzigingen worden voorgesteld aan de computerapparatuur of aan programma's, moeten bovengenoemde controles worden uitgevoerd met een frequentie die geschikt is voor het gebruikte opslagmedium. 14. Gegevens moeten worden beschermd door middel van regelmatige back-ups. Back-upgegevens moeten zo lang mogelijk worden bewaard op een afzonderlijke, veilige locatie. 15. Er moeten adequate alternatieve oplossingen zijn voor systemen die bij een storing moeten worden ingezet. De tijd die nodig is om de alternatieve oplossing in gebruik te nemen moet worden afgewogen tegen de noodzaak om deze oplossingen te gebruiken. Informatie die nodig is om producten terug te roepen moet bijvoorbeeld snel beschikbaar zijn. 16. Er moeten procedures worden opgesteld en gevalideerd die moeten worden gevolgd bij een systeemstoring. Alle storingen en correctieve maatregelen moeten worden opgeslagen. 17. Er moet een procedure worden opgesteld voor het registreren en analyseren van fouten die het mogelijk maakt om correctieve maatregelen te nemen. 18. Wanneer met externen wordt gewerkt voor het leveren van computerdiensten, moet er een formele overeenkomst zijn waarin de taken en verantwoordelijkheden van de leverancier duidelijk zijn bepaald (zie Hoofdstuk 7). 19. Wanneer batches door een computersysteem worden vrijgegeven voor de verkoop of levering, mag alleen een bevoegd persoon de batches vrijgeven en moet deze persoon duidelijk in het systeem zijn aangewezen.
industrial.omron.nl/packaging
Geautomatiseerde productie in de voedings- en geneesmiddelenindustrie | 18
Omron Corporation • 80 jaar ervaring in detectie en besturing • Meer dan 39.000 werknemers wereldwijd • Ondersteuning in elk Europees land • Meer dan 1500 werknemers in 22 Europese landen • 800 technische specialisten in Europa • 6% van de omzet wordt geïnvesteerd in R&D • Meer dan 200.000 producten • Meer dan 12.650 verleende en ingediende patenten
industrial.omron.nl/packaging
Omron Industrial Automation Het hoofdkantoor van OMRON Corporation is gevestigd in Kyoto in Japan. Wereldwijd is Omron een leider op het gebied van automatisering. De onderneming is opgericht in 1933 en telt thans ruim 39.000 werknemers op 210 locaties wereldwijd. Omron levert producten en diensten voor uiteenlopende bedrijfstakken, waaronder de fabrieks-, proces- en machineautomatisering, de maakindustrie en de gezondheidszorg. Het bedrijf is onderverdeeld in vijf regio's en de hoofdkantoren zijn gevestigd in Japan (Kyoto), Azië/Pacific (Singapore), China (Hongkong), Europa (Hoofddorp) en de Verenigde Staten (Chicago). De Europese organisatie beschikt over eigen ontwikkelings- en productievestigingen, terwijl in heel Europa lokale servicefaciliteiten beschikbaar zijn. Ga voor meer informatie naar de website van Omron op industrial.omron.eu.
AUTEUR Andy Avery Product Engineer Software • Omron Europe B.V. Afdeling Product Marketing Automation • Fareham Verenigd Koninkrijk • Tel. +44 (0)1489 563 804 •
[email protected] • industrial.omron.nl
industrial.omron.nl/packaging
Andy Avery is sinds 2005 in dienst bij Omron en heeft ruime ervaring als software-engineer op het gebied van visualisatiesoftware zoals CXSupervisor. Sinds 2007 is Andy productspecialist en houdt hij zich naast visualisatiesoftware ook bezig met HMI-hardware en IPC's. De rol van software in de automatisering is enorm en wordt alleen maar groter. Dit was voor Andy de aanleiding om zijn ervaring in te zetten en onderzoek te doen naar sectoren die meer aandacht vereisen, zoals de farmaceutische industrie. In nauwe samenwerking met een aantal belangrijke farmaceutische klanten heeft Andy oplossingen ontwikkeld die voldoen aan de huidige regelgeving. Om aan de specifieke eisen van deze industrie te voldoen, heeft Andy bovendien, samen met de ontwikkelingsteams van Omron, gewerkt aan de verbetering van de visualisatiesoftware van Omron. Dit witboek is een samenvatting van zijn onderzoek en beschrijft de gevolgen voor de huidige en toekomstige hardware en software voor deze veeleisende industrie.