QSR820QSIT质量体系检查指南.docx
《QSR820QSIT质量体系检查指南.docx》由会员分享,可在线阅读,更多相关《QSR820QSIT质量体系检查指南.docx(41页珍藏版)》请在冰点文库上搜索。
QSR820QSIT质量体系检查指南
质量体系检查指南(QSIT)
1999.08
前言
此文件可作为FDA领域的工作人员在进行一项新的检查过程时的指南。
这一项新的检查过程被称作“质量体系检查技术”或“QSIT”,它可用来评估医疗器械制造商是否符合质量体系和相应法规的要求。
使用这个指南能帮助检查人员将检查焦点集中在一个公司的质量体系中的关键要素,从而使检查工作有效地和高效率地进行。
注意:
此手册是调查者和其它FDA职员的参考资料,文件不约束FDA,也不对任何个人进行授权、获益和豁免。
1.执行子系统检查
质量体系检查指南为医疗器械质量体系/GMP检查的执行提供了使用说明,它与授权检查医疗器械制造商的符合性程序结合使用(7382.845),它是由食品和药品管理局(FDA)法规事务办公室(ORA)和设备与辐射健康中心(CDRH)制定的,它为检查医疗器械制造商是否违背质量体系法规(21CFRPart820)和相关的法规提供指南。
执行子系统检查过程基于一个“自上而下”的检查方法,此方法的设计是为检查者提供关键的检查目标,从而有助于确定一个公司的符合性状态。
该检查过程的设计考虑到了执行现场质量体系检查的审核员的时间约束问题。
如果将精力集中在公司质量体系的主要要素上,就可以高效率和有效地对其的质量体系进行评估。
当你开始检查时,看到了一个或多个质量问题,例如不规范的设计报告,然后返回到对公司整个质量体系的评估,那么你所作的是一个“自下而上”的检查。
这个方法有助于准确找出特定的质量问题并评估公司对这些问题的处理。
但是通过“自上而下”的检查方法,我们可以在实际关注特定的质量问题之前,把公司的质量体系浏览一遍。
在“自上而下”的检查方法中,我们可以通过对记录进行抽样,而不是用预览记录的方法到达每个子系统的“底部”。
“自上而下”的检查方法首先要对各个子系统进行了解,以评价公司是否通过制定适宜的程序并形成文件,其中是否包含了该子系统的基本要求,然后分析公司是否执行了子系统要求。
本书前封面的插图显示了七个子系统和相应的辅助程序。
基于设备生产企业和代理商之间的讨论,我们已经选择了四个主要的子系统,这四个子系统构成公司质量体系的基本,它们是:
管理控制、纠正和预防措施(CAPA)(具有辅助的医疗器械报告系统、纠正和移除系统、医疗器械记录系统)、设计控制、生产和过程控制(P&PC)(具有辅助的灭菌过程控制系统)。
我们为这四个子系统中每一个子系统的检查提供建设性的检查方法,同时我们也提供了辅助程序检查的建设性检查要求。
由于辅助程序在相关子系统检查过程中的相互关系,所以QSIT也包含了这些内容。
例如:
CAPA子系统是一个逻辑“开始”点,在对医疗器械报告、纠正和移除系统,与公司售后活动相关的医疗器械追溯程序进行检查时,都是从这个“开始”点开始进行的。
在对CAPA子系统进行检查时,如果包含了辅助程序,那么检查时间表就需要增加大约半天的时间。
在子系统检查中不应该对公司质量体系的各个方面都进行检查,而应该把焦点放在那些在满足质量体系法规要求上最重要的要素上。
这些要素也是质量体系法规中关键质量的体现。
通过提供6-15个检查目标,以了解每一个子系统,了解包括一个(广泛的)公司是否有适宜的程序、是否满足要求,也包括密切地(详细地)查看一些记录来验证这些要求是否在实际生产、设计和日常质量保证中执行。
“自上而下”和“自下而上”检查方法的一个相似之处是记录的查看,每一种方法都要求查看原始数据或单独记录。
但是,在“自上而下”的方法中,我们要求采用抽样的方法来查看记录,要在许多子系统的记录中进行抽样已验证公司是否符合。
换句话说,要对原始数据进行了解,就像在过去所作的那样,但是必须已以受控程度更高的方式进行。
我们可以为审核员提供抽样表格以帮助其确定需要查看多少记录,以及在这种盛行的观察方法下审核员具有多少信心。
在“自上而下”的检查方法中,一个新的特点是在检查过程中利用检查目的和流程图来引导审核员。
我们四个主要的子系统中提供了有用的检查目的和流程图,其中流程图可使你快速了解子系统的检查应如何进行。
除了检查目标和流程图以外我们还提供了一个解说描述,它描述了如何执行每一个子系统的检查,检查不必按解说描述中的每一句话进行,而应在头脑中形成一个引导。
质量体系法规(21CFR820.3(k))定义“建立”的涵义,为“规定、形成文件(纸质或电子记录)、执行”。
质量体系检查方法利用了“建立”进行检查实施。
对每一个子系统,首先通过观察公司的程序和方针来确定公司是否已经规定了要求并形成文件(CAPA、设计等),然后查看原始资料并在适当的地方用抽样表格进行记录,确定公司是否满足了他们的程序和方针,他们执行要求的程序是否充分。
检查的持续时间与检查的深度有关。
应该记住子系统方法提供给你的主要检查目标,可以帮助你确定公司的符合性状态,同时,该指南的设计是为了在大约一周时间内完成对所有四个系统的全面审查。
虽然你检查的所需时间会发生变化,但利用主要检查目标可确保你在检查中抓住公司质量体系中最重要的要素。
大多数设备公司被检查超过一次,通过每次检查不同的子系统、设备、程序,FDA最终能覆盖公司质量体系的大多数内容。
不要求每次审查覆盖公司和叙述的所有内容,而是以有效且集中的方式,评估公司的质量体系。
这样审核员应该限制覆盖的深度以满足建议的时间表。
使用本文前面提到的“自上而下”的方法,一天时间就能充分覆盖每一个子系统。
实际上,你会发现检查一个特定的子系统需要一整天的时间。
通过引导注意力到公司质量体系的主要区域上,审核员能更好地判断公司的质量体系是否受控。
使用子系统的方法,你会发现偏离质量体系法规的机会比以前少,但是有可能更严重地(系统地)偏离法规。
2.检查前通知(PreannouncedInspections)
ORA医疗器械行业启动程序包括医疗器械检查前通知、FDA483注释和检查后通告。
对检查前通知(包括决定通告时间的标准)、FDA483注释和检查后通知的指令是由1996年4月3日的联邦注册通知提供(第61卷,第65号),要获得更多的信息可参考调查手册(IOM)。
当与要进行QSIT检查通知的公司接触时,检查者应向公司索要质量方针、高层次的质量体系程序(包括管理评审程序)、质量手册、质量计划或其他等同意义文件的副本进行检查前预览,公司并非必须提供这些文件。
检查者应告诉公司对这些文件的预览有助于检查的进行。
在检查的时候这些文件应该归还公司,如果发现公司这些文件总存在不足之处,应该在检查后要求要原始文件的拷贝。
3.开始(GettingStarted)
建立和保持一个适合于特定医疗器械和满足质量体系法规要求的质量体系,对于一个公司满足质量体系法规来说是必要的。
管理者代表有责任保证质量体系法规要求能被有效地建立和保持。
在查看子系统之前审核员应该先会见管理者代表(指派者)。
与管理者代表会见的目的是对子系统进行观察和了解,此活动一个重要的连接是管理控制(820.20管理职责)。
4.管理控制子系统(ManagementControlsSubsystem)
4.1检查目的
1)验证质量方针、管理评审、质量审核程序、质量计划、质量体系程序和指导书是否被规定并形成文件。
2)验证质量方针和质量目标是否执行。
3)查看公司建立的组织结构,确认其是否包括职责、权限和必须资源的规定。
4)确认管理者代表已被任命,并对管理者代表的职责权限进行评估。
5)验证进行了管理评审,包括对质量体系的适宜性和有效性的评审。
6)验证进行了质量体系的质量审核,包括不完善部分的重新审核。
在检查结束时:
7)评估具有执行职责的管理层,是否能确保建立和保持一个充分适宜和有效的质量体系。
4.2决策流程图
4.3解释
✓1.验证质量方针、管理评审和质量审核程序、质量计划、质量体系程序和作业指导已经被规定并形成文件。
在开始检查之前,最好在检查前通知时(如果进行通知),要求公司提供全面的(或高级别的)质量体系方针、目标和程序,其中应该包括其管理评审程序、质量方针、和质量计划。
如果在开始检查之前没有收到这些文件,需要在开始检查时对这些文件进行查阅。
质量方针和目标
公司必须有一个书面的质量方针,质量方针的定义是由质量体系法规(QSR)规定的。
质量方针意味着组织在关于质量方面的总意图和方向,公司有责任建立一个具有可完成的明确的质量方针,并要把目标转换成精确的方法和程序。
具有行政责任管理者(也就是具有建立和改变公司质量方针权利的人)必须确保方针和目标被公司的各个层次人员所理解和执行。
公司人员不要求能背诵方针,但他们必须熟悉方针和知道在什么地方获得方针。
管理评审和质量审核程序
管理评审和质量审核是一个良好质量体系的基础,确保制造商已经制定出书面的管理评审和质量审核的程序,并已经定好执行他们的时间间隔。
公司的质量审核必须检查有关质量体系的活动,以证明管理评审和质量审核的程序对完成质量目标是合适的,并且这些程序已经被执行。
公司程序的成功执行能导致公司实现质量方针和其他相关目标。
质量方针和目标是否适宜,将在检查期间变成评估其他子系统的一个证据。
质量计划
公司必须制定出一个书面的质量计划,确定将要设计和生产的器械的相关质量规范、方法和活动,制造商需要写出一个程序描述如何满足质量要求。
对于生产器械和其他产品的公司,必须有一个和生产的器械相关的质量计划。
质量计划的大部分应该能在公司质量体系如质量手册、设备主要记录、生产程序中找到。
因此计划本身应该是公司质量体系的一个路标,计划需要包括可适用质量体系文件的参考文件,和如何使这些文件应用到相关器械的内容。
质量计划可以是一个医疗器械专用的,也可以广泛适用于公司产生的所有医疗器械。
质量计划也可以针对于过程或整个体系。
质量体系程序和作业指导书
所有医疗器械制造商都需要建立和执行一个适合于设备生产的质量体系。
每一个制造商都必须制定和执行所有的活动,这些活动包括但不受限于质量体系法规的应用要求。
质量体系法规的应用要求在确保成品机械、设计过程、生产过程和所有相关活动满足批准的规范上是必要的。
质量体系法规指定的术语“质量体系”包含以前提到的“质量保证”中的所有活动。
“质量保证”对于确保生产后的产品符合预先确定的设计规格是必要的,这些活动包括:
确保生产过程受控且对于产品预期用途是适宜的;确保文件管理被控制和维护;确保设备被校准、检查和测试等。
一些制造商可能使用“质量控制”或“GMP控制”或“质量保证”来代替质量体系。
只要质量体系的概念被理解和执行,使用哪个术语是不重要的。
写出书面质量体系程序和作业文件是必要的。
任何关于质量体系程序的FDA483观察资料必须是明确的,并且能从中辨识出缺失的或被认为是不充分的控制。
✓2.确认质量方针和目标已经被执行。
检查公司人员是否熟悉质量方针的方法之一是直接向公司职员提问,但是当公司职员正在从事工作时,不应进行提问,应当在其休息时或完成了目前的工作而没有开始另一个工作时,进行提问。
你也可以观察管理者是如何利用这些质量方针的,例如:
他们的质量手册或所写的程序中的其他部分是否能包含有质量方针?
质量方针是否能被张贴在建筑物上?
他们是如何宣传质量方针是并不重要的,只要公司员工知道有质量方针和在什么地方能阅读质量方针就可以了。
对公司职员培训记录查阅,会了解到公司是否能对职员进行关于质量方针和质量目标的培训,特别是那些在关键的工作岗位上的职员更应该接受质量方针和目标的培训。
✓3.查阅公司建立的组织结构以确认其包括对职责、权限和必须资源的规定。
根据质量体系法规,公司的组织结构必须有利于确保产品的设计和制造,组织结构必须确保影响产品的技术、管理和人员因素的功能得到控制。
这些功能涉及到软件、硬件、流程性材料和服务,所有的控制都应该向减少、消除和预防质量问题的方向发展。
通过询问职责和权限的问题来检查公司的组织是何种结构,询问职责和权限是任何一个FDA检查的开始,查询公司的组织结构图表。
公司的程序应该描述在执行特定任务时的功能区域和人员职责,这个特定任务是受质量体系控制的,程序也应该包括对资源的提供和任命管理人员的职责。
检查涉及在管理、生产和评估工作中的人员是否具有必要的独立性和权利以完成他们的任务,组织的自由和独立不是要求组织是一个孤立的团体,而是职责、权利和独立性在公司完成质量目标的过程中应该得到充分的支持。
在公司完成制定的质量目标的过程中,获得充分资源是必要的,资源包括:
财务、供应品、人员等,一个能确保充分资源的方法是向管理者代表询问资源是如何获得和如何被分配的。
✓4.确认管理者代表已被任命,评估管理者代表的权限。
公司必须任命一个管理者代表,他对确保质量体系有效地建立和维护负责,他向具有行政责任的管理者汇报他的执行成绩。
管理者代表的任命必须有文件证明。
判断是否具有关于管理者代表的文件,查阅公司组织结构图表或质量手册。
判断被任命的管理者代表是否事实上具有公司程序或组织结构授予他的权利和职责。
完成这个判断方法包括:
管理者代表是否具有文件管理更改、过程更改、产品设计更改的最终权利;执行质量审核的人员是否向其汇报或提供执行的结果;记录其是如何处理纠正和预防活动、相关的设计控制命令发布、申诉、MDRs;生产中的产品和成品的缺陷问题等。
换句话说,管理者代表的职责和权利应在对其他子系统的审核过程中显露出来。
确认管理者代表向具有行政责任的管理者汇报质量体系的执行情况,汇报的内容应该是有关管理评审的内容,或者最少要提供出这些评审的框架结构。
✓5.确保管理评审,包括对质量体系的有效性和适合性的审核被执行。
管理评审必须要把公司的质量体系与质量体系法规,与公司质量方针中制定的质量目标相比较。
管理评审必须用文件证明,在执行管理管理评审时必须要制定出书面的程序,这些程序必须能够被检查。
如果需要的话,公司能够用书面的形式做出证明公司已经按照质量体系法规的要求去做了。
通过审核公司的管理评审记录表,以证实公司的管理评审达到了足够的频率。
管理评审必须有足够的频率才能使管理者了解正在进行的有关质量问题的发布。
在对CAPA子系统的审核中,如果审核员发现管理者不知道有关质量问题的发布,就说明公司的管理评审没有达到一定的频率。
对管理者评审的日期和评审的结果需要用文件记录下来,以显示管理评审被执行的时间,和具有行政职责的管理者是否参加了审核。
FDA检查者不允许审核公司实际的管理评审记录,但是,公司应该出示管理评审是如何被文件记录的。
管理评审程序或指令应该包括一个要求,即每次的管理评审都应该用文件记录并标注日期。
✓6.验证进行了质量体系的质量审核,包括不完善部分的重新审核。
查阅公司的质量审核进度表,以确认公司的质量审核是否达到足够的频率。
建议两次质量审核的时间间隔不要超过12个月。
如果已经知道公司存在着严重的质量体系法规问题,建议提高进行质量审核频率。
质量审核应该在形式和计划上对质量体系所有要素进行检查,而不是产品审核。
质量审核必须按照书面制定的详细程序,由经过适当培训过的人员进行。
正确地执行质量审核,能够发现体系的缺陷,并把有可能导致有缺陷产品的因素分离出来,起到防止生产不安全产品和不合格产品的作用。
没有有效的质量审核功能的质量体系是不完全的,也不能确保制造商持续地处于受控状态。
如果没有使用书面的质量审核报告,那么就存在着没有充分的审核证据,这个证据也可以通过将审核程序与其他子程序系统中观察到的缺陷联系起来而获得。
如果在公司的最后一次自我审核之前和审核之后都存在着显著的质量体系问题,就应该批判性的查阅公司的书面审核程序。
审核程序应该覆盖每一个质量体系。
审核员必须经过适当的、充分的培训。
如果有可能或必须面见审核员,可以向他提出审核如何被执行、检查了哪些文件、审核花费了多长的时间等问题。
审核应该由那些对被审核的事物没有直接责任的人执行,个体公司或小公司必须建立一个独立的审核,甚至雇佣外部审核员进行审核。
因为如果没有独立的审核员,审核将是无效的。
如果存在重要的FDA483观察项,但在执行了独立的审核后,审核员没有观察到比较明显的缺陷,那么这次审核就是不充分的审核,且应该被包含在FDA483中。
检查由上级管理者指定的纠正措施是否被采纳,审核员可能问到在他们的先前审核中是否观察到存在着一些质量体系法规缺陷(质量法规缺陷也能通过审核以前的FDA483识别出)。
如果回答是“是的”,检查书面记录的审核进度表;如果进度表有效,检查是否将对缺陷区进行审核列入进度表;检查书面的审核程序和上级管理者对审核审核所作的指示,例如:
需要质量审核的程序是否被包含在管理评审中?
确认程序包含对存在缺陷区域进行重新审核的准备。
未有效执行追溯纠正行为,包括对有缺陷的事物的重新审核可能被作为质量体系法规的缺陷列在FDA483中。
✓7.评估具有行政职责的管理者是否确保了一个充分的、有效的质量体系被建立和保持。
在QSIT的这一部分,不需要对管理系统评审,而可以通过评估其他子系统持续你的检查。
当在评估其他子系统时,应考虑:
什么是需要寻找的,其是否能指示出管理者正确地执行检查质量体系以确定和解决问题的职责。
从对其他子系统的检查中,审核员对以下问题将会有一个比较好的了解:
管理者代表是否具有适当的权利和责任,组织结构是否适当,质量审核和管理评审是否充分,质量方针是否被切实地执行,对员工的培训是否是足够的。
在完成对其他子系统的评估后,需要对其审核发现进行评估。
需要确定管理者代表和具有行政责任的管理者是否确保了质量体系的充分性和有效性,和质量体系在公司中是否被充分地执行。
如果在对管理和其他子系统的审核中发现重大不符合项(参考第五部分,符合性程序中的定义),意味着具有行政责任的管理者没有能够确保建立和保持充分的质量体系。
审核员可以在FDA483中引证这个缺陷。
这个引证不能被正式使用,但是可以在以下形式下使用:
质量体系的主要部分没有被建立和保持、或者整体的质量体系都是缺乏的。
当判断并完成FDA483,或决定不需要FDA483时,审核员可以进行与管理者最后的讨论,或者与公司进行最后的官方会议。
5.设计控制(DesignControls)
5.1检查目的
1)选择单独的设计方案
✓注意:
在对公司的设计控制子系统进行评估时,如果选择的方案涉及到包含软件的设备,应考虑到对软件有效性是否得到证实进行了解。
2)选择设计方案后,应以文件证明符合820.30部分的设计控制程序的要求。
3)了解被选择方案的设计计划,以理解设计规则和开发活动,包括设计责任和设计接口。
✓注意:
在对公司的设计控制系统进行评估时,要对公司开展风险分析进行评估。
4)确认已经建立设计输入。
5)确认设计输出被识别,此设计输出对特定的设备功能是必不可少的。
6)确保接收准则的建立在验证和确认活动之前进行。
7)确定设计的验证活动能否确保设计输出满足设计输入的要求。
8)确认设计的确认数据能显示出满足预期用户和购买用户对设计要求。
9)确保完成设计后不会留下任何遗留问题。
10)如果设备包含软件,确保软件被确认过。
11)确保风险分析已被执行。
12)使用最初的设备或其等效物验证设计确认是否完成。
13)确保设计更改被控制,包括确认或经过适当验证的地方。
14)确定设计评审是否已执行。
15)确定设计是否经过正确转换。
5.2决策流程图
5.3解释
✓1.选择单独的设计项目
注:
如果项目中的设计的设备包含有软件,注意对公司的设计控制系统进行评估时要检查软件确认有效性证明。
820.30节中的设计控制要求适用ClassⅡ和ClassⅢ医疗设备,以及一些特定的ClassⅠ设备。
法规有关设计控制的条款是灵活的。
设计控制系统和一些操作的详细程度由各个公司按照有关设备复杂度和风险决定。
如果设计控制的要求对公司的运作是可行的,可选择一个设计项目。
只要检查没有特定指向一个特别的设计项目,就应该选择一个对公司设计控制系统最具有挑战性的项目。
这个项目可用来评估公司建立起的为满足设计控制要求的过程、方法和程序。
不要在设计控制要求的影响下去检查设备以确定设计是否合适和安全。
这个在法案的第520(f)
(1)(A)中是被排除在外的。
但是,如果根据对一个公司的设计控制进行评估时,得到设备是不安全和效率低的结论,那么应该将这些结果列入EIR报告中。
法规第820.30(g)设计确认一节中,包含了软件确认的要求。
因为,当一个选中的项目涉及的设备包含软件时,要求在对公司的设计控制系统进行评估时,审查软件的有效性证明。
如果公司尚未完成一个设计项目,也没有正在进行中或计划中的设计项目,或者没有做设计变更,继续目标2进行陈述性讨论,而且将你对设计控制的审查局限在目标2的规程中。
✓2.对于选中的设计项目,验证体系法规中第820.30节要求的设计控制的程序是否被严格定义和文件化。
设计简单设备的公司、小的企业和工厂,遵循规则的第820.30节的要求,必须以书面或电子媒体的形式,确定和归档体现这些规则要求的设计控制程序。
在这些程序的基础上将建立起公司的设计控制系统。
但是,如果公司尚未完成一个设计项目,也没有正在进行中或计划中大的设计项目,或者没有作设计变更,那么将只要求具备一个的明确的和文件化的设计变更程序。
审查公司的设计控制程序,并验证他们对法规中特定要求的表述。
比如,判断设计输入程序是否包含有一个辨明残缺、模糊和矛盾要求的机制;设计输出程序应确保识别出为设备发挥正常功能所需要的设计输出;设计评审程序应确保每一个设计评审,包括与该评审没有直接责任的个人。
为了弄清楚公司的设计控制程序是否得到了落实,可以选择一个设计项目来运行该公司的程序,以期达到以下的目标。
✓3.审查选定项目的设计计划,以理解设计和实施机构的布局,包括责任和接口管理。
注:
在对公司的设计控制程序系统进行评估的同时,要对公司的风险管理进行评价。
公司观念的形成和可行性研究不受法规中设计控制要求的约束。
但是,一旦公司决定要展开一项设计,必须建立设计计划,公司要确定什么时候开始实施设计控制。
而且设计控制最迟不得晚于公司认可首次设计输入的时间。
可以利用公司的设计计划,作为选中设计项目的路线图。
计划包括主要的设计任务、项目阶段标志、关键决策点。
没有必要在计划里明确所涵盖活动的开始和完成的日期,计划会由于项目的复杂程度不同及设备有关的风险差异而不同。
对于相对简单的设计,计划可以采取简单流程图表的形式;对于比较大的项目可以用计划评价和审查技术(PERT),或以甘特(Gantt)图的形式来表述计划。
但计划必须严格确定完成设计和实施机构的职责、划分和表述清楚不同小组和机构的相互关系。
法规第820.30(g)设计确认一节中,对风险管理做了要求。
公司不能等到他们开始做设计有效性结论时才进行分析,风险分析应列入设计计划。
在整个过程中要考虑风险,必须在设计有效性进行论证中完成风险分析。
当进行风险分析时,公司应该区分与设计有关的正常和故障条件情况下的可能的危害,包括由于使用者的错误造成危害产生的风险,也应该按正常和故障条件分别计算。
如果风险被认定为不可接受,要通过合适的方式降低这种风险达到可接受的水平,比如重新设计或设置警示。
要注意风险分析中的一个中重要问题:
任何为降低和减少危害而作的变更不能引发新的危害。
公司用来进行风险分析的通用工具有:
故障分析法FTA,故障模式和效应分析FMEA.
✓4.证实建立了设计输入
输入是对于设备是必要的,要将设计输入文件化。
评估生成输入的来源,看是否涵盖了相关的方方面面。
相关举例有:
预期的用途,技术特性,风险,生物兼容性,与预期用途相关的环境兼容性问题(包括电磁兼容性),人的因素,自愿标准及无菌问题。
✓5.验证是否已识别出了设计输出是对于设备产生适合的功能所必不可少的。
设计输
升级会员 