Модернизация и валидационные испытания программно-аппаратного комплекса этиленоксидной стерилизации

Постановка задачи  

Как известно, производство изделий, применяемых в медицинских целях, предъявляет высочайшие требования к безопасности выпускаемой продукции. Ключевое требование заключается в обеспечении стерильности продукции, для чего используются различные методы и технологии. Один из методов стерилизации медицинских изделий, применяемый компанией ЗАО «ПО ДЕЛЬРУС», – обработка газообразным стерилизующим агентом в специальных условиях. Важнейшее требование при эксплуатации оборудования для газовой стерилизации состоит в обязательном соответствии стандартам безопасности, установленным государственными и международными руководящими документами, такими как поколение стандартов ISO 11135. Актуальная российская версия данного документа изложена в ГОСТ ISO 11135-2012 «Медицинские изделия. Валидация и текущий контроль стерилизации оксидом этилена». Документ, в соответствии с которым изначально была разработана система, является аутентичным переводом международного стандарта ISO 11135:1994. Но за 20 лет в отрасли произошли значительные изменения, и новая актуальная международная версия стандарта ISO 11135:2014 “Sterilization of health-care products. Ethylene oxide. Requirements for the development, validation and routine control of a sterilization process for medical devices” предъявляет более высокие требования. Также в со-ответствии с постановлением Правительства Российской Федерации от 17.02.2011 № 91 «О федеральной целевой программе „Развитие фармацевтической и медицинской промышленности Российской Федерации на период до 2020 года и дальнейшую перспективу“» предприятиям медицинской промышленности поставлены задачи обеспечения технологического перевооружения производств с целью повышения безопасности, конкурентоспособности и экспортного потенциала отечественной медицинской промышленности.
Для реализации указанных целей и приведения существующего программно-аппаратного комплекса к современным стандартам, а также повышения безопасности компания «ПО ДЕЛЬРУС» поставила перед системным интегратором ООО «НОРВИКС-ТЕХНОЛОДЖИ» следующие задачи.

• Привести программно-аппаратный комплекс этиленоксидной стерилизации в соответствие с международным стандартом ISO 11135:2014, для этого разработать пакет валидационной и рабочей документации.
• Обеспечить миграцию использующейся SCADA-системы на современную программно-аппаратную платформу, реализовать «горячее» программно-аппаратное резервирование верхнего уровня комплекса, обеспечить возможность сохранности детальной информации о ранее проведённых технологических циклах в течение 6 лет.
• Провести валидационные испытания программно-аппаратного комплекса этиленоксидной стерилизации.

Валидация в контексте ISO 11135:2014  

В первую очередь необходимо ответить на вопрос, что такое валидационные испытания, или, как ещё их называют, валидация. Это процедура, обеспечивающая высокую степень уверенности в том, что система в целом и все этапы работы комплекса будут удовлетворять заранее заданным критериям приемлемости. Одним из важнейших требований валидации является документальное подтверждение того, что все аспекты работы программно-аппаратного комплекса этиленоксидной стерилизации были проверены и документированы. Успешное прохождение валидационных испытаний возможно при условии, что модернизация, подготовка проектной и валидационной документации проведены в рамках жизненного цикла, представленного V-моделью (рис. 1).

Основным достоинством данного метода является трассируемость и прозрачность всех реализуемых этапов. Успешным прохождением валидационных испытаний следует считать то, что все требования, предъявленные заказчиком, руководящими документами и стандартами, в полной мере выполнены, что должно быть подтверждено серией аттестационных испытаний, обеспечивающих такую проверку. 

Предпроектное обследование  

Первым этапом работы является предпроектное обследование. Данный этап – точка входа в жизненный цикл в соответствии с V-моделью. Предпроектное обследование необходимо для формирования чёткого понимания текущего состояния системы и дальнейшего плана действий по модернизации и валидации.
Предпроектное обследование показало, что управление этиленоксидным стерилизатором построено по стандартной трёхуровневой модели: нижний уровень – датчики и исполнительные механизмы, средний – программируемый логический контроллер и вспомогательное оборудование, верхний – программное обеспечение, автоматизированное рабочее место оператора.
Нижний уровень представлен широким перечнем исполнительных уст­ройств и датчиков. Следует отметить, что исполнительные механизмы и датчики были выбраны во взрывозащищённом исполнении, управление трубопроводной арматурой осуществляется сжатым воздухом. Сигнальные цепи от датчиков реализованы в соответствии с требованиями искробезопасности для использования во взрывоопасных газовых средах. Такой подход не случаен, так как в качестве стерилизующего агента используется чрезвычайно огне- и взрывоопасный газ – оксид этилена. Используемое на нижнем уровне оборудование можно разделить на группы в соответствии с его функциональным назначением и территориальным расположением.

• Бойлерная включает оборудование для поддержания параметров температуры и влажности в стерилизационной камере и оборудование для обеспечения заданных температурных параметров стерилизующего агента при впуске в камеру.
• Весовая содержит оборудование для контроля веса стерилизующего агента при впуске в стерилизационную камеру.
• Насосная включает оборудование для вакуумирования стерилизационной камеры.
• Факельная установка обеспечивает сжигание отработавшего стерилизующего агента.
• Помещение стерилизации состоит из стерилизационной камеры со смонтированным оборудованием в виде исполнительных механизмов запорных устройств дверей, датчиков температуры, влажности, давления, контура циркуляции с циркуляционным вентилятором.
• Компрессорная содержит компрессор сжатого воздуха для управления исполнительными механизмами трубной арматуры, газораспределительную панель и щит управления факельной установкой. 

Базовым компонентом среднего уровня является программируемый логический контроллер Modicon TSX Micro (Schneider Electric), осуществляющий управление исполнительными механизмами и обработку информации, поступающей от датчиков нижнего уровня и цепей обратной связи.
При исследовании имеющегося программного проекта ПЛК был обнаружен ряд проблем. Концепция разработки программного проекта предусматривала, что вся необходимая информация должна быть полностью подготовлена на среднем уровне, однако большинство значений параметров, поступающих в SCADA, было представлено в виде разнородных данных, среди которых следующие:

• значение аналогового входа ПЛК в инженерных единицах, 
• приведённое значение параметра в физических единицах, 
• значение параметра с коэффициентом для отображения на графике. 

Такое количество данных избыточно для дальнейшего использования. Кроме того, был обнаружен недостаток в алгоритме обработки сигнала, поступающего от кнопки аварийной остановки, который мог оказать влияние на безопасность эксплуатации системы.
Верхний уровень представлен автоматизированным рабочим местом, выполняющим функции SCADA-системы и OPC-сервера. Связь с ПЛК осуществлялась по интерфейсу RS-232. Пользовательский интерфейс был представлен в виде мнемосхемы, работающей в среде WinCC (рис. 2).

Система обеспечивала возможности диспетчерского контроля технологического процесса, запуска технологического цикла стерилизации, отображения параметров цикла и аварийных событий, но не  сохраняла информацию о ранее проведённых технологических процессах стерилизации.

Спецификация требований пользователя  

После проведения предпроектного обследования стояла задача совместно с заказчиком сформировать спецификацию требований пользователя (User requirement specification, URS), которая по своей форме аналогична документу «Техническое задание на создание автоматизированной системы», разрабатываемому в соответствии с ГОСТ 34.602-89. Однако существуют и принципиальные отличия. Каждому условию, содержащемуся в документе URS, присваивается категория, определяющая обязательность его выполнения. Минимально используются три категории: обязательное, специфицируемое разработчиком и желательное требование. 
Кроме того, документ содержит только описание результатов работ, без указания того, как именно они должны быть выполнены. В него включается ряд обязательных требований, специфицированных стандартом ISO 11135:2014. Излагается, как должна выглядеть система в результате модернизации. Также на данном этапе необходимо описать уже имеющийся функционал системы, который не будет затронут модернизацией.

Функциональная спецификация  

После разработки URS и его утверждения ЗАО «ПО ДЕЛЬРУС» компанией «НОРВИКС-ТЕХНОЛОДЖИ» была разработана функциональная спецификация (Functional specification, FS), которая даёт ответ на вопрос: «Каким образом будут реализованы требования, приведённые в URS?». Документ содержит в себе функциональные требования, как со стороны заказчика, так и со стороны исполнителя, определяет, что система будет делать, не давая ответа на вопрос, как именно. Основная задача создания функциональной спецификации состоит в том, чтобы удостовериться, что заказчик и исполнитель имеют согласованное представление о желаемом результате. В случае необходимости внесения дополнительных функциональных возможностей на данном этапе они обязательно должны быть прописаны в URS. Информация, приводимая в спецификации, организуется так, что каждому пункту URS соответствует один или более пунктов документа FS, содержащего общее описание будущих функций комплекса. Сложность данного этапа заключается в том, что необходимо определить функционал той части, которую не затронет модернизация. К этому этапу следует подходить с особенной осторожностью, ввиду того что допущенные на нём ошибки могут негативно отразиться на итоге работы.

Рабочая документация  

Залогом успешной эксплуатации любой системы является наличие рабочей документации. Зачастую некорректная или недостоверная информация, приведённая в рабочей документации, при возникновении отказа в процессе эксплуатации может привести к перерыву в функционировании системы в течение значительного промежутка времени. Наличие актуальной и точной информации, содержащейся в рабочей документации, является одним из факторов, способных значительно сократить время восстановления работоспособности системы, таким образом, существенно снижаются издержки при отказах программно-технических средств.
Ввиду того что поставляемая в базовом комплекте документация разработана в соответствии с европейскими стандартами, было принято решение произвести её актуализацию и перевыпуск в базисе стандартов Российской Федерации. В результате был подготовлен комплект документации в соответствии с ГОСТ 34.201-89 «Виды, комплектность и обозначения документов при создании автоматизированных систем», который отражал актуальное состояние комплекса с учётом проведения модернизации и давал полное представление обо всех аспектах функционирования.

Модернизация системы  

Архитектура  

Одной из задач, поставленных перед компанией «НОРВИКС-ТЕХНОЛОДЖИ», был перенос SCADA-системы на современную программно-аппаратную платформу, в качестве которой был использован программный пакет ICONICS GENESIS64. Для обеспечения всех требуемых функциональных возможностей и сохранности данных была принята новая архитектура верхнего уровня:

• резервированная серверная пара в качестве носителя SCADA-системы;
• промышленный компьютер как OPC-сервер;
• настольный компьютер для автоматизированного рабочего места. 

В качестве OPC-сервера использовался промышленный компьютер Advantech.
Автоматизированное рабочее место представлено настольным компьютером, состоящим из широкоформатного монитора и системного блока, ключевой особенностью которого является наличие высокопроизводительной видеокарты, обеспечивающей плавное отображение графических экранных форм. Обмен информацией между компонентами верхнего уровня осуществляется по локальной вычислительной сети.
На всех компонентах верхнего уровня (кроме ОРС-сервера) установлена 64-битовая операционная система Microsoft Windows 8.1 pro. Для обеспечения максимальной надёжности и гибкости операционные системы серверов развёрнуты в виртуальной среде (рис. 3). 

Программный проект ПЛК  

Как было сказано ранее, ПЛК предоставлял на верхний уровень данные со значительной избыточностью. В процессе модернизации передаваемые данные были приведены к единому формату – значению параметров в физических единицах, благодаря этому снизилась нагрузка на канал передачи данных. Также была проведена оптимизация параметров, передаваемых на верхний уровень. Выполненные доработки позволили существенно уменьшить используемый объём памяти ПЛК. Дополнительно удалось оптимизировать код программного проекта, в результате чего значительно улучшилась его надёжность и читаемость. Однако дальнейшее расширение как системы в целом, так и функциональных возможностей программного проекта возможно при условии замены имеющегося ПЛК на более современный. В случае необходимости расширения системы или её тиражирования целесообразно произвести замену Modicon TSX Micro на современный программируемый логический контроллер, например, контроллер российского производства из серии FASTWEL I/O, что обеспечит минимальные затраты при переносе программного проекта и создаст потенциал расширения системы и её функционала.
По согласованию с заказчиком были внедрены дополнительные меры безопасности: добавлен алгоритм, обеспечивающий безопасность системы при потере питания ПЛК, преднамеренной или непреднамеренной перезагрузке. В случае потери питания и последующего включения или перезагрузки заложенные алгоритмы осуществляют проверку обжатия концевых выключателей дверей стерилизационной камеры и состояния датчика-реле сигнализации наличия давления в прокладках дверей камеры. Соблюдение всех указанных условий является сигналом о том, что потеря питания ПЛК наступила во время выполнения технологического цикла стерилизации. Усовершенствованный алгоритм позволяет открыть двери стерилизационной камеры только после выполнения технологического цикла промывки камеры, обеспечивая безопасность работы персонала.
Были обновлены алгоритмы остановки оборудования по нажатию кнопки аварийного отключения питания. Для устранения возможности непредсказуемой реакции в ПЛК была заведена обратная связь от кнопки аварийного отключения питания и изменён алгоритм обработки: если стерилизующий агент присутствовал в камере, то включается блокировка, которая, аналогично предыдущей мере защиты, не позволяет открыть камеру без выполнения цикла «Промывка». А если агент в камере отсутствует, то выполняется ожидание подачи питания на исполнительные механизмы, после чего давление в камере выравнивается до атмосферного, снимается давление с прокладок и ожидаются подтверждающие действия оператора.

Пользовательский интерфейс SCADA  

Доступ к данным разработанной SCADA осуществляется пользователем с автоматизированного рабочего места при помощи встроенного в операционную систему Web-браузера. После ввода аутентификационных данных происходит загрузка главной экранной формы (рис. 4).

Для удобства восприятия технологического процесса главная форма поделена на зоны. Элементы, входящие в ту или иную зону, сгруппированы по территориальному расположению и важности предоставляемой информации. Адаптивные элементы формы указывают на состояние компонентов системы, например, состояние блока, положение клапана, направление движения среды внутри трубопровода. Наглядное представление о состоянии основных параметров технологического процесса стерилизации даёт зона «Диаграммы текущих значений». Информация в ней выводится в виде диаграмм следующих параметров:

• вес баллонов оксида этилена;
• температура в камере (датчик № 1);
• температура в камере (датчик № 2);
• давление в камере;
• влажность в камере. 

Для обеспечения требуемой детализации может быть выбран требуемый временной интервал представления диаграмм.
Все происходящие события отображаются в зоне «Текущие события» и в обязательном порядке заносятся в архив. В данной зоне представлены события, которые можно классифицировать по следующим признакам:

• информационные события (запуск технологического цикла, его завершение);
• предупредительные события (значение параметра перешло в критический диапазон);
• аварийное событие (выход из строя какого-либо блока, переход значения параметра в аварийный диапазон, срабатывание той или иной защитной функции);
• отмена предупредительного события (возвращение параметра в нормальный диапазон); 

Любое аварийное событие требует обязательного квитирования со стороны пользователя.
Все аварийные и предупредительные события, кроме отображения в зоне «Текущие события», сопровождаются звуковыми оповещениями и отображаются непосредственно на требующем внимания блоке (рис. 5).

Такой подход обеспечивает сокращение времени реакции оператора на возникающее событие. 
В верхней части главной формы расположены элементы: «Диаграммы», «Аварийные сообщения» и «Управление». 
Нажатие на элемент «Управление» приводит к вызову формы, предоставляющей пользователю возможность выбрать параметры технологического цикла из ранее созданных рецептов. Пользователи, обладающие некоторыми ролями, имеют возможность создания новых рецептов. Процесс создания сводится к выбору значений параметров технологического рецепта, а именно: указывается значение веса впускаемого стерилизующего агента, время воздействия агента, температура в камере и количество промывок. Используя форму «Управление», можно произвести запуск основного технологического цикла стерилизации и выполнить его прерывание при штатной работе. Эта же форма позволяет осуществить технологический цикл «Промывка», обеспечивающий удаление стерилизующего агента из камеры (рис. 6). 

Элемент «Аварийные сообщения» вызывает форму, содержащую перечень аварий и предупредительных сообщений, произошедших в последнее время. Эта форма предоставляет пользователю возможность отыскать архивные аварийные и предупредительные события, произошедшие во время выполнения ранее проведённых технологических циклов стерилизации (рис. 7). 

Элемент главной формы «Диаграммы» осуществляет вызов формы, предоставляющей пользователю развёрнутую информацию о ключевых параметрах технологического цикла стерилизации в виде диаграмм. Данная форма даёт возможность просмотра диаграмм за определённые свободно выбираемые периоды времени и за интервалы ранее проведённых технологических циклов стерилизации. Пользователю необходимо указать номер ранее проведённой стерилизации, и в форму подставляются требуемые временныˆе интервалы и отображаются нужные участки диаграммы (рис. 8). 

В процессе модернизации и разработки документации специалистами компании «НОРВИКС-ТЕХНОЛОДЖИ» были подготовлены аттестационные протоколы, необходимые при проведении валидационных испытаний в соответствии с требованиями, приведёнными в ISO 11135:2014. Данные документы выполнены в виде методик тестирования с подробным описанием последовательности действий и ожидаемого результата.

Аттестация монтажа  

В первую очередь была произведена разработка протокола аттестации монтажа (Installation qualification, IQ). В протокол вошли методики проверки, которые позволяют документально зафиксировать, что оборудование комплекса смонтировано правильно и находится на предусмотренных рабочим проектом местах. IQ содержит методики проверки корректности подключения цепей обратной связи и исполнительных устройств нижнего уровня и линии связи от среднего уровня к верхнему. Проводится проверка работы оборудования верхнего уровня и функционирования локальной вычислительной сети.

Аттестация функционирования  

Вслед за протоколом аттестации монтажа была произведена разработка протокола аттестации функционирования (Operational qualification, OQ). Протокол содержит методики, выполнение которых обеспечивает документальное подтверждение того, что комплекс функционирует в соответствии с предъявленными к нему требованиями во всех предусмотренных режимах. В процессе выполнения аттестации функционирования проводится проверка соответствия функций требованиям, предъявленным в функциональной спецификации. 
Все используемые методики максимально приближены к реальным условиям эксплуатации. Особое внимание обращается на функции, обеспечивающие безопасность эксплуатации. Проводится проверка выполнения всех алгоритмов обработки аварийных событий путём моделирования реальных воздействий. OQ обеспечивает проверку работы основного технологического цикла при различных комбинациях исходных параметров. Проверяется работоспособность пользовательского интерфейса, реакция на действия персонала, в том числе и заведомо неверные. Подтверждение выполнения методик выводится в качестве скриншотов, которые прикладываются к протоколу.

Аттестация эксплуатации  

После завершения разработки протокола аттестации функционирования был подготовлен протокол аттестации эксплуатации (Perfomance qualification, PQ), который является заключительным этапом валидационных испытаний и содержит методики проверок. Они позволяют провести проверку обязательных требований в соответствии с руководящими документами и стандартами, а также требованиями, приведёнными в URS. Стоит отметить, что выполнение аттестации эксплуатации допускается только после успешного прохождения аттестации монтажа и аттестации функционирования.
Методики, приведённые в протоколе PQ, дают возможность проверить реализацию требований по ограничению доступа к автоматизированному рабочему месту и серверам, проверить функционал, обеспечивающий сохранность информации о выполненных технологических циклах. Моделируется ситуация наихудшего случая, при которой имитируется последовательный отказ компонентов верхнего уровня с описанием реакции комплекса. 
Успешное выполнение протокола аттестации эксплуатации говорит о готовности комплекса к промышленной эксплуатации.

Заключение  

Специалистами компании «НОРВИКС-ТЕХНОЛОДЖИ» была произведена модернизация верхнего и среднего уровней программно-аппаратного комплекса этиленоксидной стерилизации ЗАО «ПО ДЕЛЬРУС». Проведён выпуск актуальной рабочей документации в соответствии со стандартами Российской Федерации. Разработан пакет документации и осуществлены валидационные испытания комплекса, обеспечивающие детальную проверку и документальное подтверждение соответствия системы предъявленным требованиям, что дало возможность выполнения всех поставленных перед ООО «НОРВИКС-ТЕХНОЛОДЖИ» целей в соответствии с федеральной программой «Развитие фармацевтической и медицинской промышленности Российской Федерации на период до 2020 года и дальнейшую перспективу». В результате работ программно-аппаратный комплекс этиленоксидной стерилизации приведён в соответствие с новейшим международным стандартом ISO 11135:2014. ● 

Автор – сотрудник фирмы
«НОРВИКС-ТЕХНОЛОДЖИ»
Телефон: (495) 232-1817
E-mail: info@norvix.ru