Недоліки в системах управління обладнанням високого рівня ізоляції зазвичай не виявляються на етапі закупівлі — вони виявляються під час SAT, коли функціональне випробування в присутності свідків показує, що логіка ПЛК для умови блокування ніколи офіційно не була визначена, схема пріоритетів сигналів тривоги існує лише в нотатках програміста, а перелік сигналів системи управління будівлею (BMS) не збігається з технічними кресленнями, за якими працює команда з валідації. Наслідком цього є стислі терміни, доопрацювання документації, яку мав надати постачальник, та заходи з кваліфікації, які неможливо завершити без доказів, що не вимагалися на етапі запиту на пропозицію (RFQ). Рішення, яке запобігає цьому, полягає не в більш ретельному огляді під час введення в експлуатацію, а в структурованій специфікації засобів контролю на етапі запиту на пропозицію (RFQ), яка класифікує кожну функцію за рівнем критичності та визначає метод приймання ще до того, як постачальник розпочне проектування. Замовники, які приймають таке рішення на ранньому етапі, змушують постачальників відповідати за визначений набір доказів; ті ж, хто цього не робить, отримують прогалини в документації, які зберігаються протягом етапів IQ, OQ та й надалі.
Послідовності керування, які необхідно вказати
Вказання засобів управління як “ПЛК/HMI з виходами сигналізації” є типовим для запитів на пропозицію щодо обладнання для локалізації аварій і майже завжди є недостатнім. Основна проблема полягає в тому, що без чітко визначеної логіки послідовності дій у обсязі робіт постачальника програма ПЛК фактично стає технічною специфікацією — і якщо цю програму не перевірити до проведення заводських приймальних випробувань, замовник не матиме базових показників, за якими можна проводити випробування.
Кожен із наведених нижче елементів несе певний ризик збою, якщо його залишити на розсуд постачальника. Звичайні робочі послідовності необхідно описувати поетапно, щоб обладнання виконувало дії у передбачуваному порядку, який розуміють як оператори, так і інженери з валідації ще до проведення SAT. Для станів тривоги потрібно визначити умови, текст повідомлень та рівні пріоритету, щоб тривоги давали підстави для дій та відповідали програмі навчання операторів. Умови блокування вимагають чіткої логіки — зв’язку між станами процесу та відповідними заходами безпеки — оскільки прогалини в проектуванні блокування створюють ризики для локалізації або цілісності процесу, які важко виявити під час рутинних випробувань. Тригери сигналів системи управління об’єктом (BMS) повинні визначати конкретні точки та час, щоб інтеграція об’єкта відбувалася паралельно з кваліфікацією обладнання, а не після неї.
| Елемент управління | Що потрібно вказати | Ризик, якщо незрозуміло |
|---|---|---|
| Послідовність дій | Покрокова схема нормальної роботи | Обладнання може працювати не так, як передбачалося |
| Стани тривоги | Умови спрацьовування сигналу тривоги, повідомлення та рівні пріоритету | Сигнали тривоги можуть бути неоднозначними або відсутніми |
| Умови блокування | Логіка, що пов’язує стани процесу та функції безпеки | Прогалини в безпеці або цілісності технологічного процесу |
| Тригери сигналу BMS | Критерії та терміни заміни системи управління будівлею | Інтеграція не завершена або затримується |
| Налаштування рівнів доступу | Хто може виконувати кожну дію та як здійснюється контроль доступу | Ризик несанкціонованого доступу |
| Поведінка при створенні резервної копії/переході на резервний варіант | Реакція на відключення електроенергії, втрату зв’язку або збій системи | Некontrolований стан під час відновлення |
Налаштування рівня доступу та порядок дій під час резервного копіювання часто розглядаються як деталі реалізації, а не як чітко визначені функції, і саме тут неоднозначність стає проблемою життєвого циклу. Якщо порядок дій під час резервного копіювання у разі відключення електроенергії або збою зв’язку не визначено в запиті на пропозицію (RFQ), стандартні налаштування постачальника можуть не відповідати стратегії локалізації ризиків — це особливо актуально для Умови рівня BSL-3 де випадок порушення герметичності під час відновлення роботи після збою електропостачання може мати серйозні наслідки. Включення цих елементів до запиту на пропозицію (RFQ) не є надмірним ускладненням тендерної документації; це робиться з метою створення основи для перевірки ще до початку виготовлення обладнання.
Невизначена поведінка резервного варіанту стає проектним рішенням щодо обмеження, яке приймається за замовчуванням, а не на основі інженерних міркувань.
Включення ПЛК та HMI до переліку постачальників
У запиті на пропозицію (RFQ) слід передбачити конкретні результати, що підпадають під сферу контролю постачальника, а не лише функціональну систему. Це розрізнення має важливе значення, оскільки те, що постачальник вважає стандартною документацією для ПЛК/HMI — схеми підключення, переліки входів/виходів та резервну копію програмного забезпечення — рідко відповідає вимогам щодо підтверджувальних даних для SAT, кваліфікації за GMP або перевірки блокувань, критично важливих для біобезпеки.
Як мінімум, обсяг робіт постачальника повинен включати функціональну проектну специфікацію (FDS), яка документує передбачену логіку для кожного режиму роботи, сигналу тривоги та блокування ще до початку програмування. Цей документ створює контрольну точку перевірки, яка дозволяє команді замовника та, у відповідних випадках, команді валідації підтвердити, що логіка відповідає заданому задуму ще до її кодування. Без цього перевірки проекту проводяться на основі діючої програми, а не на основі специфікації, що перекладає тягар кваліфікації на наступні етапи та підриває простежуваність цілісності даних, як це розуміється в рамках комп’ютеризованих систем, таких як Додаток 11 до EudraLex.
У рамках HMI слід заздалегідь, до проведення FAT, визначити структуру екранів, ієрархію навігації та конфігурацію рівнів доступу. Виявлення під час FAT того, що HMI відображає сигнали тривоги без розрізнення за пріоритетом або що рівні доступу не забезпечують дотримання обмежень, визначених у URS, призводить до необхідності доопрацювання, що затримує як завершення FAT, так і подальші етапи кваліфікації. Вимога до постачальника надати пакет документів з перегляду проекту HMI як результат роботи до проведення FAT, а не як документ після поставки, перетворює типове виявлення під час FAT на контрольований етап перегляду.
До переліку практичних доказів, які необхідно включити до сфери контролю, входять: FDS з історією редагувань, перелік входів/виходів із позначками сигналів, що мають перехресні посилання на схеми P&ID, реєстр сигналів тривоги з зазначенням причини та заданого значення для кожного сигналу, матриця рівнів доступу, що відображає дозволені дії для кожної ролі користувача, а також запис про версію програмного забезпечення, який буде зберігатися під час FAT і порівнюватися під час SAT. Кожен із цих документів повинен бути зазначений як договірний результат, що надається постачальником, із визначеним терміном подання — його не слід розглядати як необов’язковий довідковий матеріал.
Список входів/виходів без відповідного регістра сигналізації є сферою контролю, а не пакетом доказів контролю.
Документація щодо сигналів та тривог системи BMS
Інтеграція систем управління обладнанням високого рівня біологічної безпеки з системою управління будівлею (BMS) зазвичай є одним із останніх питань, що вирішуються в проектах з високим рівнем біологічної безпеки, проте документація, необхідна для правильної інтеграції, має бути підготовлена задовго до відвантаження обладнання. Коли документація щодо сигналів BMS розглядається як діяльність на етапі введення в експлуатацію, інтеграція часто здійснюється на основі неформального обміну інформацією між інженером з систем управління постачальника обладнання та підрядником, що відповідає за систему управління будівлею (BMS), у результаті чого створюються «один-до-одного» відповідності, які фіксуються в електронних листах, а не в офіційних документах.
Чотири пункти документації, які повинні бути передбачені в запиті на пропозицію, стосуються різних видів відмов під час інтеграції та кваліфікації.
| Пункт документації | Що охоплює ця програма | Ризик у разі відсутності |
|---|---|---|
| Перелік сигнальних точок | Усі дискретні та аналогові сигнали, що підлягають обміну | Моменти, які було пропущено під час інтеграції |
| Сигналізація раціоналізації | Причина, задане значення та реакція для кожної сигналізації | Сигнали тривоги, що не потребують втручання або не підтверджені |
| Відображення «точка-точка» | Відповідність між міткою обладнання, міткою BMS та описом | Невідповідність сигналів або неповне зіставлення |
| Стани відмовостійкого сигналу | Поведінка сигналу під час втрати зв’язку | Система BMS отримує неправильну інформацію про стан |
Перелік сигнальних точок визначає сукупність дискретних та аналогових обмінів. Раціоналізація сигналів тривоги пов’язує кожен сигнал тривоги з визначеною причиною, заданим значенням та очікуваною реакцією — якщо цей документ відсутній, сигнали тривоги неможливо систематично кваліфікувати відповідно до вимог Додатка 11 щодо цілісності даних та аудиторського сліду. «Точка-точка»-мапування — це робочий документ, який підрядники, що встановлюють систему управління будівлею (BMS), використовують під час інтеграції; без нього сигнали зазвичай пропускаються або призначаються неправильним адресам. Стани сигналів, що забезпечують відмовостійкість, — це елемент, який найчастіше пропускають: коли втрачається зв’язок між контролером захисного контейнера та системою управління будівлею (BMS), система управління будівлею повинна отримувати визначений статус — а не неоднозначний або відсутній вхідний сигнал — щоб реакції на рівні об’єкта були адекватними та не ґрунтувалися на застарілих або неправильних даних.
Включення цих документів до запиту на пропозицію (RFQ) як матеріалів, що мають бути надані постачальником, означає, що вони існують як основа для перевірки ще до початку інтеграції. Якщо ж розглядати їх як результати введення в експлуатацію, це означає, що вони створюються реактивно, під тиском термінів і часто без офіційної перевірки.
Поведінка системи блокування в ненормальних станах
Випробування блокувальних пристроїв — це одна з областей, де найчастіше виявляються спостереження SAT, якщо початкова специфікація була недостатньо чіткою. Причина цього лежить у самій структурі: випробування блокувальних пристроїв зазвичай проводяться шляхом відтворення ненормальних умов, які навмисно створюються — втрата перепаду тиску, несправність ущільнення дверцят, несправність витяжного вентилятора, вичерпання реагенту в цикл дезактивації—а якщо очікуваний результат ніколи офіційно не визначався, тест не має критерію прийнятності, з яким можна було б порівняти результат.
У запиті на пропозицію слід визначити не лише, які саме блокувальні пристрої існують, а й те, як саме обладнання має реагувати в кожному стані спрацьовування. Щодо блокувальних пристроїв, критично важливих для забезпечення герметичності, — таких як ті, що регулюють стан замка дверцят доступу Що стосується каскаду тиску або реакції на відмову витяжного вентилятора в умовах BSL-3 — слід чітко визначити очікуване спрацьовування блокувального механізму, будь-які часові затримки, будь-які сигнали тривоги, які повинні супроводжувати це спрацьовування, а також послідовність відновлення роботи після усунення ненормального стану. Це проектні рішення, засновані на оцінці ризиків, які випливають з аналізу біобезпеки та технологічних ризиків; якщо розглядати їх як вибір постачальника щодо реалізації, а не як поведінку, визначену замовником, це створює прогалину у верифікації.
Що стосується конкретно поведінки блокування при втраті зв’язку або живлення, у технічних умовах слід визначити стан, який обладнання приймає у разі втрати (безпечний режим або режим роботи при відмові), як інтерфейс людини-машини (HMI) відображає цей стан, чи допускається автоматичне відновлення або чи потрібне ручне втручання, а також які записи формуються. ASTM E2500-25 підтримує підхід, заснований на оцінці ризиків, для визначення того, які функції є настільки критичними, що потребують такого рівня деталізації, та Додаток 15 до EudraLex підкреслює необхідність перевірки та документування реакцій на ненормальні стани в рамках кваліфікації. Жоден із стандартів не встановлює конкретних дій систем блокування для окремих типів обладнання — це визначається в ході аналізу небезпек у рамках проекту.
Блокувальний механізм без визначеної послідовності відновлення передає право прийняття рішення щодо утримання того, хто саме перебуває в приміщенні в цей момент.
Проблемою для багатьох команд власників є те, що детальні технічні вимоги до систем блокування вимагають від них провести ідентифікацію небезпек ще до опублікування запиту на пропозицію (RFQ), що створює додаткову роботу на попередніх етапах. Альтернативний варіант — отримання обладнання зі стандартною логікою блокування, встановленою постачальником, а потім переробка критеріїв приймання з урахуванням того, що було поставлено, — є значно дорожчим рішенням.
GxP проти заходів контролю, критично важливих для об’єкта
Не всі функції контролю передбачають однаковий обсяг документації, і розглядати кожен вихід ПЛК як такий, що вимагає однакового обсягу документації, є настільки ж проблематичним, як і вважати їх усі однаково низькопріоритетними. Практична складність у запитах на пропозицію щодо обладнання для ізоляції полягає в тому, що заходи контролю GxP, заходи, критичні для біобезпеки, та заходи, критичні для об’єкта, часто використовують один і той самий фізичний контролер — проте обсяг робіт постачальника, рівень деталізації документації та суворість приймальних випробувань, необхідні для кожної категорії, суттєво відрізняються.
Ця система є інструментом планування, призначеним для визначення вимог до документації в запиті на пропозицію (RFQ), а не набором нормативних класифікацій із фіксованими визначеннями. Її цінність полягає в тому, що вона змушує команду замовника приймати рішення щодо ступеня важливості ще до визначення обсягу документації, яку має надати постачальник.
| Категорія контролю | Характерна ознака | Запит на пропозицію / Наслідки для доказів |
|---|---|---|
| Контрольні заходи GxP | Впливає на якість продукції або цілісність даних | Потрібні підтверджені дані про спрацювання сигналізації, журнал контролю та документація відповідно до GMP |
| Контрольні заходи, критично важливі для біобезпеки | Запобігати витоку з ізолятора або контакту персоналу з небезпечними речовинами | Необхідно провести випробування блокувальних пристроїв та перевірку цілісності системи безпеки |
| Елементи управління, критично важливі для функціонування об’єкта | Забезпечення працездатності обладнання (не пов’язане з GxP та безпекою) | Потрібно провести функціональне тестування, але вимоги до документації менш суворі |
Контрольні заходи GxP — ті, що впливають на якість продукції або цілісність даних — вимагають наявності функції аудиторського сліду, підтверджених даних про спрацювання сигналізації та Документація щодо GMP організована таким чином, щоб забезпечувати відповідність вимогам. Наприклад, запис температури в інкубаторі, розташованому в ізольованій кімнаті, підпадає під вимоги щодо аудиторського сліду згідно з Додатком 11, чого не можна сказати про датчик положення дверей, який передає дані лише до точки системи управління будівлею (BMS). Контрольні заходи, критично важливі для біобезпеки, які регулюють цілісність захисних оболонок та захист операторів, вимагають проведення випробувань блокувальних систем та перевірки цілісності безпеки як умови допуску до експлуатації — однак, залежно від моделі валідації об’єкта, можуть не потребувати повної інфраструктури аудиторського сліду, необхідної для засобів контролю GxP. Засоби контролю, критично важливі для об’єкта, потребують функціонального тестування та задокументованих доказів правильної роботи, але рівень деталізації документації може бути пропорційним операційному ризику.
Наслідком відсутності таких розмежувань у запиті на пропозицію (RFQ) є те, що постачальники, як правило, визначають обсяг документації щодо контрольних заходів однаково — зазвичай на рівні, критичному для об’єкта, — оскільки це найнижчий спільний знаменник. Це означає, що контрольні заходи, критичні для GxP та біобезпеки, надаються з недостатнім рівнем документації порівняно з тим, що вимагатиме кваліфікація, і команда замовника змушена самостійно готувати відсутні докази після поставки, замість того щоб отримати їх у складі результатів роботи постачальника.
Метод затвердження для кожної критичної контрольної функції
Кожна критична контрольна функція, зазначена в запиті на пропозицію (RFQ), повинна мати визначений метод приймання та конкретний документ, що підтверджує виконання. Це не просто дотримання процедурної ретельності — це єдиний спосіб запобігти відриву специфікації контрольних заходів від кваліфікаційних заходів, які її завершать.
Практична перевірка є простою: якщо в запиті на пропозицію (RFQ) вказано функцію контролю, але не визначено, як її буде прийнято та які докази будуть надані, команда замовника зіткнеться з необхідністю визначити це під час приймальних випробувань на місці (FAT) або приймальних випробувань у замовника (SAT) в умовах часового тиску. Виконання цієї роботи на етапі закупівлі, коли постачальник може підтвердити здійсненність та включити відповідні докази до обсягу постачання, запобігає накопиченню зауважень на етапі кваліфікації.
| Критична контрольна функція | Метод прийняття | Документ, що підлягає наданню |
|---|---|---|
| Увімкнення та вимкнення сигналу тривоги | Було проведено функціональне випробування в модельованих умовах | Звіт про перевірку роботи сигналізації з підтвердженням часу |
| Запуск блокування | Перевірити кожну умову блокування та перевірити реакцію | Перелік питань для перевірки системи блокування |
| Забезпечення дотримання рівнів доступу | Спробуйте виконати кожну дію з обмеженим доступом на різних рівнях доступу | Журнал тестування рівнів доступу |
| Послідовність операцій | Виконати повну послідовність у модельованих умовах | Запис про перевірку послідовності |
| Обмін сигналами BMS | Моделювання сигналів та перевірка їх отримання системою управління батареєю (BMS) | Звіт про підтвердження картографування сигналу |
| Поведінка при створенні резервної копії/переході на резервний варіант | Створити умови відключення електропостачання або зв’язку та зафіксувати процес відновлення | Підсумок тестування резервних варіантів |
Деякі з цих методів приймання мають конкретні наслідки, на які варто звернути увагу. Тестування спрацьовування сигналізації вимагає створення штучних умов — а не перегляду коду ПЛК — оскільки кваліфікація перевіряє саме поведінку системи в реальних умовах експлуатації. Дати та час у наданому звіті про випробування забезпечують простежуваність відповідно до вимог до аудиторського сліду, викладених у Додатку 11. Випробування спрацьовування блокування повинні перевіряти кожну умову окремо, а не в рамках комбінованої послідовності, щоб кожна реакція блокування перевірялася індивідуально. Випробування дотримання рівнів доступу мають полягати у спробах виконання обмежених дій на неправильних рівнях доступу та фіксації реакції, а не просто у підтвердженні того, що облікові записи користувачів налаштовані.
Випробування на роботу в аварійному режимі часто виключають із FAT і переносять на об’єкт, частково через те, що імітація відсутності електропостачання або зв’язку на об’єкті постачальника вимагає координації. Коли його відкладають без визначеного протоколу SAT, воно часто взагалі не проводиться як офіційне випробування — його неформально спостерігають під час введення в експлуатацію і ніколи не документують. Це створює розбіжність між тим, що було зафіксовано на місці, і тим, що можна надати як доказ під час інспекції.
Випробування засобів контролю, проведене у присутності свідка без визначених критеріїв прийнятності, є лише спостереженням, а не протоколом про відповідність вимогам.
Найбільшу цінність це зіставлення набуває ще до того, як буде розроблено протокол FAT, коли постачальник ще має можливість створити інфраструктуру для тестування та зібрати необхідні докази. Вимога щодо цього на етапі запиту на пропозицію (RFQ) і дозволяє зберегти цю можливість.
Постійною причиною невдач у процесі закупівлі засобів контролю обладнання системи локалізації є не брак можливостей контролю, а брак точності технічних умов на тому етапі, коли прийняття рішень щодо критичності ще не вимагає значних витрат. До того моменту, коли під час SAT виявляється, що документи щодо раціоналізації сигналів тривоги відсутні, що перелік сигналів системи управління будівлею (BMS) не відповідає наданій конфігурації входів/виходів або що під час FAT не було проведено офіційного тестування блокування, витрати на усунення недоліків несе команда замовника, а не постачальник.
Перед оприлюдненням запиту на пропозиції щодо засобів контролю для обладнання високого рівня ізоляції команда замовника повинна підтвердити: які функції є GxP, критичними для біобезпеки та критичними для об’єкта; якою має бути очікувана поведінка в кожному ненормальному стані, включаючи відключення електроенергії та збій зв’язку; які сигнали системи управління будівлею (BMS) необхідно задокументувати до початку інтеграції; та який підтверджувальний документ закриватиме кожну критичну функцію контролю під час приймання. Ці чотири рішення, прийняті на етапі закупівлі, визначають різницю між комплексом засобів контролю, який підтримує процес кваліфікації, та тим, що вимагає реконструкції під час нього.
Поширені запитання
Питання: Що робити, якщо наша команда не має достатніх знань у галузі інженерії систем управління, щоб розробити послідовності та провести оцінку критичності до того, як буде розіслано запит на пропозицію?
В: Залучіть зовнішнього консультанта з питань контролю або найміть спеціаліста з автоматизації на етапі закупівлі. Структура статті передбачає, що замовник має на ранньому етапі визначити ступінь критичності, але якщо таких знань бракує, альтернативним варіантом є включення цих визначень у платне попереднє проектне дослідження, яке проводиться разом із постачальником, що увійшов до короткого списку, — таким чином технічні умови розробляються спільно до укладення договору, а не залишаються повністю на розсуд постачальника.
Питання: Після того як постачальник надасть пакет документації щодо засобів контролю, що першим ділом має зробити наша команда з валідації?
В: Проведіть перевірку простежуваності, яка пов’язує кожен результат роботи (FDS, реєстр сигналізації, перелік входів/виходів, матрицю доступу) з критичними функціями управління, визначеними в URS, та зазначеними вами методами приймання. Мета полягає в тому, щоб ще до проведення FAT підтвердити, що документація охоплює кожну критичну функцію з відповідним записом про приймання — усунути виявлені тут прогалини набагато дешевше, ніж під час SAT, коли обладнання вже знаходиться на об’єкті.
Питання: При якому обсязі проєкту або рівні ризику такий рівень деталізації запиту на пропозицію (RFQ) стає обов’язковим, а не просто бажаним?
В: Пороговим критерієм є будь-яке обладнання для ізоляції, яке взаємодіє з процесом GxP, є критичним бар’єром біобезпеки або інтегрується з системою управління об’єктом (BMS), що вимагатиме підтвердження відповідності для введення в експлуатацію. Для автономної морозильної камери класу BSL-2, яка не впливає на GxP і не підключена до системи управління будівлею (BMS), може бути достатньо спрощених технічних вимог. Однак якщо блокувальні механізми обладнання захищають каскад тиску або його дані надходять до аудиторських слідів згідно з Додатком 11, детальне зазначення вимог у запиті на пропозицію є обов’язковим, а не факультативним.
Питання: Як цей підхід, що передбачає значну кількість запитів на пропозицію (RFQ), відрізняється від контракту «під ключ», за яким постачальник розробляє, створює та проводить атестацію всієї системи?
В: У разі справжньої реалізації за принципом «під ключ» із гарантіями продуктивності та кваліфікацією, що проводиться постачальником, замовник все одно повинен визначити критичні функції контролю та критерії приймання — інакше постачальник візьме за основу власне тлумачення, і ви будете змушені прийняти те, що він надасть. Підхід, викладений у статті, сумісний із реалізацією за принципом «під ключ», але він переносить визначення доказів у документи про закупівлю, завдяки чому проектні та випробувальні плани постачальника розробляються з урахуванням вашої системи управління ризиками, а не його стандартного варіанту з найнижчою вартістю.
Питання: Чи справді виправдані додаткові початкові зусилля, пов’язані з визначенням заходів контролю на такому рівні, для окремого приладу, такого як прохідна камера VHP?
В: Так, якщо цикл деконтамінації цього обладнання, логіка роботи ущільнювачів дверей або записи сигналізації можуть спричинити затримку випуску партії або затвердження біобезпеки. Навіть для окремого пристрою вартість відновлення документації після SAT зазвичай перевищує вартість визначення вимог до доказів у запиті на пропозицію (RFQ). Логіка статті поширюється й на менші масштаби: ви все одно вирішуєте, які функції є критичними для GxP або безпеки — і для прохідної камери з високочастотним паром (VHP) це можуть бути лише три блокування та дві сигналізації, що вимагає набагато простішої, але все ж чітко визначеної специфікації.





















