Professional Documents
Culture Documents
医薬品製造にかかわるコンピュータ化システム向けの
FMEA を用いた運用リスクマネジメント手法の提案
高 橋 正 和∗ ・難 波 礼 治∗∗ ・福 江 義 則∗∗∗
A Proposal of Operational Risk Management Method Using FMEA for Drug Manufacturing
Computerized System
This paper proposes operational Risk Management (RM) method using Failure Mode and Effects Analysis
(FMEA) for drug manufacturing computerlized system (DMCS). The quality of drug must not be influenced by
failures and operational mistakes of DMCS. To avoid such situation, DMCS has to be conducted enough risk
assessment and taken precautions. We propose operational RM method using FMEA for DMCS. To propose the
method, we gathered and compared the FMEA results of DMCS, and develop a list that contains failure modes,
failures and countermeasures. To apply this list, we can conduct RM in design phase, find failures, and conduct
countermeasures efficiently. Additionally, we can find some failures that have not been found yet.
Key Words: risk management, failure mode and effects analysis, computerized system validation, GAMP, GMP
め,開発ライフサイクルの各段階で,リスクアセスメントとリ
1. は じ め に
スク低減策を実施すること(これらを併せてリスクマネジメン
に悪影響を与えることが問題となっている.そのため,米国食 差異が生じ,実施が困難となっている.加えて,各段階で実
品医薬局,日本国厚生労働省などの監督機関は,医薬品製造会 施されるリスクマネジメント結果の連携が困難となっている.
たは電子データによる証拠で立証することを義務付けた 1), 2)
. 能な FMEA を用いたリスクマネジメント手法を提案する.
Practice (GAMP5) 3)
が国際標準となっている. 提案手法では,既存 DMCS の FMEA 結果を収集,分析して
2. 2 FMEA
Fig. 1 Procedure of computerized system validation
はじめに FMEA の定義を述べる.FMEA は適切な機能を
有していた機器が,断線・短絡・特性の劣化などにより,機
成する 7), 8) .構成/プログラミング段階では,DMCS の種類
能を失う事象の原因や対策を検討する手法である.このとき,
に応じて,パラメータ設定,部品構成の決定,プログラムの製
断線,短絡,特性の劣化などの変化のこと(故障状態の形式
作を行なう.検証段階では,DMCS に対して Requirement
による分類)を故障モード,機能を失うことを故障と呼ぶ.
Test (RT),Functional Test (FT),Integration Test (IT),
二番目にソフトウェアに対する FMEA に関する先行研究
Configuration Test (CT),Module Test (MT) を行ない,機
について述べる.森田 10) は対象ソフトウェアをブロックに分
能と性能が適切であることを立証する.報告段階では,バリ
割し,それごとに故障モードと推定原因を列挙してバグを発見
デーション結果を報告する.運用段階では,改修が生じた場
した.丹羽 11) は対象ソフトウェアの外部設計単位で故障モー
合,変更と構成の管理を行なう.リタイヤメント段階では,
ドを列挙して信頼性向上対策を行なった.高井 12) や山科 13)
DMCS の保持,移行,破棄を決定し,データの保管や引渡し
は大規模ソフトウェアに対して構成要素単位で故障モードを
を行なう.
列挙して対策を行ない信頼性を向上させた.これらの方法は,
GAMP5 で実施されるリスクマネジメント活動を Fig. 1 の
故障モードの抽出が作業者の能力に依存しており,故障モー
R1∼R7 に示す 9) .R1 と R2 は計画策定段階で実施される.
ドを漏れなく列挙できるとは限らないため,網羅的な対策を
R1 では,開発する DMCS が CSV 対象になるか判定し影響 14), 15) 16)
施すことが難しい.Goddard や Snooke はコード
度を判定する.R2 では,サプライヤの評価と DMCS のカテ
レベルの FMEA を提案した.Goddard は命令レベルでの故
ゴリ分類を行なう.ここでカテゴリ 1 は OS などの市販ソフ
障モードを定義して FMEA を実施した.Snooke はソフト
トウェア,カテゴリ 3 はパラメータを与えて使用する市販ソ
ウェアを等価な回路に変換して FMEA を実施した.これら
フトウェア,カテゴリ 4 は構成を設定して使用する市販ソフ
は,GAMP5 で要求される機能レベルの FMEA には適用で
トウェア,カテゴリ 5 は個別開発のソフトウェアである(カ
きない.
テゴリ 2 は存在しない.また,カテゴリ 1 に該当する DMCS
三番目に提案する FMEA の方法について述べる.DMCS
はないので,以降記述しない)
.カテゴリの数字が大きい程,
は制御装置に搭載されて,Standard Operation Procedure
厳密な開発文書の作成と検証の実施が要求される.R3 は仕
(SOP) に則って運用されるので,ハードウェア,ソフトウェ
様作成と構成/プログラミングの段階で実施される.仕様作
ア,運用について FMEA が必要となる.ハードウェアの場
成段階では,はじめに URS の内容にもとづいて,CSV 対象
合,分析対象を構成要素に分割し,それごとに故障モードを列
機能を絞り込む.二番目に,Fig. 2 のリスク評価行列を用い
挙して,分析対象の故障の検討,対応策の検討を行なう.こ
て CSV 対象機能の重要性,障害発生確率,検出確率からリス
の方法はすでに確立されているので,本論文では扱わない 4) .
ク優先度を求める.三番目に,リスク優先度の高い順番にリ
ソフトウェアの場合,故障の多くは,テスト段階で除去できな
スク低減策を検討していく.四番目にリスク低減策を反映さ
かった誤りが,顕在化したものである.誤りはソフトウェア
せた URS の設計審査を行なう.そして,構成/プログラミン
の変化を伴わないので故障モードではない.誤りは適切な設
グ段階では,決定したリスク低減策を DMCS の設計の中に
計とテストにより除去するものであり,故障モードは FMEA
作り込んでいく.R4 では,R2 と R3 の結果をもとに検証の
で分析・対策をするものである.したがって,本論文で扱う
範囲と厳密さを決定する.R5 では,変更管理,構成管理など
リスクマネジメントでは,誤りは対象外とする.一方,悪意
の方法を決定する.R6 では,運用に伴う改修に対して R2 か
をもつソフトウェアの侵入など,外部の脅威により,ソフト
ら R4 のリスクマネジメントを実施する.そして,R7 では,
ウェアが書き換えられ,正常に動作しなくなる事例が発生し
データの保持,移行などの方法を決定する.
ている.これらはソフトウェアの変化を伴い,故障モードと
考えられるので対象とする.運用については,SOP に則った
計測自動制御学会論文集 第 48 巻 第 5 号 2012 年 5 月 287
Fig. 3 Procedure of CSV and risk management tasks Fig. 4 DB structure of design and verification information
した.発生確率は,1/100 回程度の発生を「高」
,1/1000 回
程度の発生を「中」
,それ以下を「低」とした.検出確率は,
,2 回に 1 回程度検出できる場合
毎回検出できる場合は「高」
は「中」
,それ以下の場合は「低」とした.
5. 1 カテゴリ 3 の DMCS への適用と評価
提案手法を赤外分光光度計へ適用した.この DMCS は,物
質から放射されるスペクトルを解析するメーカー標準品であ
る.試料データ入力,スペクトル解析,解析データ出力の機
能を有し,すべて CSV 対象機能となっている.これらの機
能はボタン押下により起動される.データ記憶装置とネット
ワーク接続はない.試料データ入力機能に対して実施したリ
Fig. 5 Data sharing between FMEA スクマネジメント結果を以下に記述する.
作業者が SOP やものを見間違う CFMD が生じると不適
きるようにした 20) .この DB で本論文で扱うリスクマネジ 切な医薬品が製造されるので,影響を検討した.重要性は高,
メント情報を追加した.Fig. 4 に DB の構造を示す. 発生確率は中,検出確率は高とした.したがって,Fig. 2 よ
カテゴリ 5 の DMCS を例に,リスクマネジメント結果の りリスク優先度は中となった.RRM は Table 2 から,SOP
DB への反映方法を述べる.はじめに,Fig. 5(i) に示すよう の二重確認と入力時の試料データ二重確認を採用した.その
に R3-0 で抽出した CSV 対象機能の RRM に関する設計情 結果,発生確率が低となり,リスク優先度は低となった.
報を URS テーブルに記入する.つぎに,(ii) に示すように 校正を行なう間隔が長い CFMD が生じると提出データ不
URS を複数個の FS に展開し,URS と FS との間の対応関 備が生じるので,影響を検討した.重要性は高,発生確率は
係を DB に設定する.そして,選択した RRM に関する設計 中,検出確率は高なので,リスク優先度は中となった.RRM
情報を FS テーブルに記入する.以降,(iii),(iv) に示すよう は Table 2 から,使用前の校正実施を採用した.その結果,
に FS と DS,DS と MS との対応関係,設計情報,RRM に 発生確率が低となり,リスク優先度は低となった.
関する情報を DB に設定する.三番目に,(v) に示すように 作業員の資格間違い CFMD が生じると不適切な医薬品が
MS の内容に従ってモジュールを製作し,その設計情報をモ 製造されるので,影響を検討した.重要性は高,発生確率は
ジュールテーブルに記入する.四番目に,(vi) に示すようにモ 低,検出確率は高なので,リスク優先度は低となった.RRM
ジュールを確認するための MT を設計し,MT テーブルに入力 は Table 2 から作業前後の作業員の資格確認を採用した.こ
し,モジュールと MT との対応関係を DB に設定する.以降, の結果,リスク優先度は変わらないが,発生確率が低下した.
(vii)∼(ix) に示すように DS と IT,FS と FT,URS と RT ウィルスが付着したデータを授受する CFMD が生じると
との対応関係とテストの情報を DB に設定する.なお,カテゴ 機能や計測結果が不適切となり,不適切な医薬品の製造,提出
リ 3 と 4 の場合は,必要のない文書と検証の情報を省略する. データ不備が生じるので,影響を検討した.重要性は高,発
生確率は低,検出確率は高なので,リスク優先度は低となっ
5. 提案手法の適用と評価
た.RRM は Table 2 から入力に用いる記憶媒体の事前ウィ
カテゴリ 3,4,5 の DMCS に対して,Table 2 と 4. 2 節 ルスチェックを採用した.この結果,リスク優先度は変わら
の適用方針に従ってリスクマネジメントを行ない,提案手法 ないが,発生確率が低下した.
を評価した.評価方法は,5 件の CSV の経験を有する技術者 上記リスク低減策を実現するために,Fig. 4 のカテゴリ 3
A が提案手法で,20 件以上の CSV の経験を有する技術者 B の手順に従い,URS と SOP の修正と RT を実施した.ほか
が経験的手順(DMCS 開発時に実施)で,リスクマネジメン の機能についても,同様に検討を行なった.
トを実施して,結果を比較することとした.経験的な手順で A と B の結果を比較した結果,B はウィルスが付着した
は,CSV 対象機能に対する CFMD の列挙と RRM の開発文 データを授受する CFMD の検討がなかった.これは,FMEA
書への反映を経験に基づいて行なう.それ以外は同様である. 実施時に制御機器に感染するウィルスが現れていなかったた
なお,リスクマネジメントを実施するに当たり,機能の重 めである.それ以外は同様の対策がとられていた.これらの
要性,発生確率,検出確率は以下の基準で決定した.重要度 結果より,4. 2(1) の方針に従えば,カテゴリ 3 の DMCS に
は (a) 最終製品の品質を損ねるか,(b) 患者および消費者の 対して適切なリスクマネジメントができることがわかった.
安全性を損ねるか,(c) 規制当局に提出するデータを不確実に 5. 2 カテゴリ 4 の DMCS への適用と評価
するか,(d) 最終製品の製造を遅延する原因となるか,の観 電子文書管理 DMCS への適用を行なった.この DMCS は
点で評価した.各観点には,複数のリスクに関する質問があ 構成を設定して使用する市販ソフトウェアであり,機能の取
る.(a) から (c) は,1 つでもリスクがあれば,重要性を「高」 捨選択は可能であるが,機能の改造はできない.この DMCS
とした.(d) は,リスクがあれば「中」
,ない場合は「低」と は電子データの登録,承認,検索,取出し,バックアップ,
計測自動制御学会論文集 第 48 巻 第 5 号 2012 年 5 月 293
印刷などの機能を有している.その中で文書の登録,承認, 指図データを読み込み,所要量を算出し,手計量し,計量結果
検索,取出し,バックアップの機能が CSV 対象となってい を印刷する機能を有している.手計量以外が CSV 対象機能
る.この DMCS は HMI の操作で上記機能を起動する.こ である.この DMCS はデータ蓄積機能を有しているが,ネッ
の DMCS はデータ蓄積機能を有しているが,ネットワーク トワークには未接続である.製造指図データ読み込み機能に
は未接続である.文書の登録機能に対して実施したリスクマ 対して実施したリスクマネジメント結果を以下に記述する.
ネジメント結果を以下に記述する. 起動と停止の操作に関する CFMD が生じると,作業が遅
SOP,HMI,ものを見間違う CFMD が生じると不適切な 延・中断するので,影響を検討した.重要度は中,発生確率は
医薬品が製造されるので,影響を検討した.重要性は高,発 中,検出確率は高なので,リスク優先度は低となった.RRM
生確率は中,検出確率は高なので,リスク優先度は中となっ は Table 2 から機動と停止の条件の確認を採用した.この結
た.RRM は Table 2 から SOP,HMI,文書データの二重確 果,リスク優先度は変わらないが,停滞する時間が短縮された.
認を採用した.この結果,発生確率が低となり,リスク優先 SOP,HMI,ものを見間違う CFMD が生じると,医薬品の
度が低となった. 品質に影響を与えるので,影響を検討した.重要性は高,発生
校正を行なう間隔が長い CFMD が生じると,作成時刻が 確率は中,検出確率は高なので,リスク優先度は中となった.
ずれて,提出データ不備となるので,影響を検討した.重要 RRM は Table 2 から入出力画面に表示された製造指図の二
性は高,発生確率は中,検出確率は高なので,リスク優先度 重確認,入力製造指図の二重確認を採用した.この結果,発
は低となった.RRM は Table 2 から,使用前の時刻校正実 生確率が低となり,リスク優先度が低となった.入出力デー
施を採用した.この結果,リスク優先度は変わらないが,発 タを誤る共通故障モードは,医薬品の品質に影響を与えるの
生確率が低下した. で,影響を検討した.重要性は高,発生確率は中,検出確率
作業員の資格間違い CFMD は,カテゴリ 3 と同様の理由 は高なので,リスク優先度は中となった.RRM は Table 2
で検討した.リスクマネジメント内容も同様とした. から入力製造指図の二重確認,計量結果に印刷された製造指
バックアップの不備 CFMD が生じると,登録データが損 図と元の製造指図との二重確認を採用した.この結果,発生
失して,提出データ不備となるので,影響を検討した.重要 確率が低となり,リスク優先度が低となった.
性は高,発生確率は低,検出確率は高なので,リスク優先度 校正を行なう間隔が長い,作業員の資格間違い CFMD は,
は低となった.RRM は Table 2 からバックアップを行なう カテゴリ 3,4 と同様の理由で,検討した.リスクマネジメン
モジュールの追加を採用した. ト内容も同様とした.
データへのアクセス制限がない CFMD が生じると,不適 バックアップ操作の不備 CFMD が生じると,提出データ
切な者が入手する可能性があるので,影響を検討した.重要 不備となるので,影響を検討した.重要性は高,発生確率は
性は高,発生確率は低,検出確率は高なので,リスク優先度は 低,検出確率は高なので,リスク優先度は低となった.RRM
低となった.RRM は Table 2 から使用権限の設定を採用し は Table 2 から製造指図データ読み込み直後のバックアップ
た.この結果,リスク優先度は変わらないが,発生確率が低 を採用した.この結果,リスク優先度は変わらないが,発生
下した.データの書き換えができる CFMD が生じると,文 確率が低下した.
書の改ざんにより提出データ不備となるので,影響を検討し 想定以上のデータ更新発生,想定以上の大量データ受付,
た.重要性は高,発生確率は低,検出確率は高なので,リスク 想定以上の CPU 負荷の発生 CFMD は,DMCS はスタンド
優先度は低となった.RRM は Table 2 から電子署名とタイ アロンで,記憶媒体経由のデータ手入力なので,影響を検討
ムスタンプの追加を採用した.この結果,リスク優先度は変 しなかった.想定以上の割り込み発生は,割り込みを使用し
わらないが,発生確率が低下した.ウィルスが付着したデー ていないので,検討しなかった.計算範囲の上下限オーバー,
タを授受する CFMD は,カテゴリ 3 と同様の理由で検討し ゼロ割の CFMD が生じると,作業の遅延・中断,医薬品の品
た.リスクマネジメント内容も同様とした. 質に影響が生じるので,影響を検討した.重要度は中,発生
上記のリスク低減策のうち,バックアップモジュール追加 確率は低,検出確率は高なので,リスク優先度は低となった.
は,Fig. 4 のカテゴリ 4 の手順に従い,URS,FS,CS,SOP 計算範囲の上限と下限のオーバーに対する RRM は Table 2
の修正と CT,FT,RT を実施した.それ以外は,カテゴリ から倍精度型変数の使用を採用した.ゼロ割に対する RRM
3 の手順に従い,URS と SOP の修正と RT を実施した.ほ は除数が小さい場合の警告機能を採用した.それぞれ,リス
かの機能についても,同様に検討を行なった. ク優先度は変わらないが,検出確率が向上した.
A の結果と B の結果を比較したところ,同様の対策がとら データへのアクセス制限がない CFMD は,カテゴリ 4 と
れていた.これらの結果より,4. 2(2) の方針に従えば,カテ 同様の理由で検討した.リスクマネジメント内容も同様とし
ゴリ 4 の DMCS に対して適切なリスクマネジメントができ た.ウィルスが付着したデータを授受する CFMD は,医薬
ることがわかった. 品の品質に影響を与えるので,影響を検討した.重要度は高,
5. 3 カテゴリ 5 の DMCS への適用と評価 発生確率は低,検出確率は高とし,リスク優先度は低となっ
計量装置の DMCS への適用を行なった.この装置は製造 た.RRM は Table 2 から入力データの事前ウィルスチェッ
294 T. SICE Vol.48 No.5 May 2012