完整的計算機化系統(tǒng)驗證2017

完整計算機化系統(tǒng)驗證,內(nèi)容要點,什么叫計算機化系統(tǒng),什么叫計算機化系統(tǒng),新版GMP藥品生產(chǎn)質(zhì)量管理規(guī)范（2010年修訂）附錄：附錄1計算機化系統(tǒng)第一章范圍第一條本附錄適用于在藥品生產(chǎn)質(zhì)量管理過程中應用的計算機化系統(tǒng)。計算機化系統(tǒng)由一系列硬件和軟件組成，以滿足特定的功能。第二章原則第二條計算機化系統(tǒng)代替人工操作時，應當確保不對產(chǎn)品的質(zhì)量、過程控制和其質(zhì)量保證水平造成負面影響，不增加總體風險。第三條風險管理應當貫穿計算機化系統(tǒng)的生命周期全過程，應當考慮患者安全、數(shù)據(jù)完整性和產(chǎn)品質(zhì)量。作為質(zhì)量風險管理的一部分，應當根據(jù)書面的風險評估結果確定驗證和數(shù)據(jù)完整性控制的程度。第四條企業(yè)應當針對計算機化系統(tǒng)供應商的管理制定操作規(guī)程。供應商提供產(chǎn)品或服務時（如安裝、配置、集成、驗證、維護、數(shù)據(jù)處理等），企業(yè)應當與供應商簽訂正式協(xié)議，明確雙方責任。企業(yè)應當基于風險評估的結果提供與供應商質(zhì)量體系和審計信息相關的文件。,什么叫計算機化系統(tǒng),第三章人員第五條計算機化系統(tǒng)生命周期中所涉及的各種活動，如驗證、使用、維護、管理等，需要各相關的職能部門人員之間的緊密合作。應當明確所有使用和管理計算機化系統(tǒng)人員的職責和權限，并接受相應的使用和管理培訓。應當確保有適當?shù)膶I(yè)人員，對計算機化系統(tǒng)的設計、驗證、安裝和運行等方面進行培訓和指導。第四章驗證第六條計算機化系統(tǒng)驗證包括應用程序的驗證和基礎架構的確認，其范圍與程度應當基于科學的風險評估。風險評估應當充分考慮計算機化系統(tǒng)的使用范圍和用途。應當在計算機化系統(tǒng)生命周期中保持其驗證狀態(tài)。第七條企業(yè)應當建立包含藥品生產(chǎn)質(zhì)量管理過程中涉及的所有計算機化系統(tǒng)清單，標明與藥品生產(chǎn)質(zhì)量管理相關的功能。清單應當及時更新。第八條企業(yè)應當指定專人對通用的商業(yè)化計算機軟件進行審核，確認其滿足用戶需求。在對定制的計算機化系統(tǒng)進行驗證時，企業(yè)應當建立相應的操作規(guī)程，確保在生命周期內(nèi)評估系統(tǒng)的質(zhì)量和性能。第九條數(shù)據(jù)轉換格式或遷移時，應當確認數(shù)據(jù)的數(shù)值及含義沒有改變。,什么叫計算機化系統(tǒng),第五章系統(tǒng)第十條系統(tǒng)應當安裝在適當?shù)奈恢?，以防止外來因素干擾。第十一條關鍵系統(tǒng)應當有詳細闡述的文件（必要時，要有圖紙），并須及時更新。此文件應當詳細描述系統(tǒng)的工作原理、目的、安全措施和適用范圍、計算機運行方式的主要特征，以及如何與其他系統(tǒng)和程序?qū)?。第十二條軟件是計算機化系統(tǒng)的重要組成部分。企業(yè)應當根據(jù)風險評估的結果，對所采用軟件進行分級管理（如針對軟件供應商的審計），評估供應商質(zhì)量保證系統(tǒng)，保證軟件符合企業(yè)需求。第十三條在計算機化系統(tǒng)使用之前，應當對系統(tǒng)進行全面測試，并確認系統(tǒng)可以獲得預期的結果。當計算機化系統(tǒng)替代某一人工系統(tǒng)時，可采用兩個系統(tǒng)（人工和計算機化）平行運行的方式作為測試和驗證內(nèi)容的一部分。第十四條只有經(jīng)許可的人員才能進入和使用系統(tǒng)。企業(yè)應當采取適當?shù)姆绞蕉沤^未經(jīng)許可的人員進入和使用系統(tǒng)。應當就進入和使用系統(tǒng)制訂授權、取消以及授權變更的操作規(guī)程。必要時，應當考慮系統(tǒng)能記錄未經(jīng)許可的人員試圖訪問系統(tǒng)的行為。對于系統(tǒng)自身缺陷，無法實現(xiàn)人員控制的，必須具有書面程序、相關記錄本及相關物理隔離手段，保證只有經(jīng)許可的人員方能進行操作。,什么叫計算機化系統(tǒng),第十五條當人工輸入關鍵數(shù)據(jù)時，應當復核輸入記錄以確保其準確性。這個復核可以由另外的操作人員完成，或采用經(jīng)驗證的電子方式。必要時，系統(tǒng)應當設置復核功能，確保數(shù)據(jù)輸入的準確性和數(shù)據(jù)處理過程的正確性。第十六條計算機化系統(tǒng)應當記錄輸入或確認關鍵數(shù)據(jù)人員的身份。只有經(jīng)授權人員，方可修改已輸入的數(shù)據(jù)。每次修改已輸入的關鍵數(shù)據(jù)均應當經(jīng)過批準，并應當記錄更改數(shù)據(jù)的理由。應當根據(jù)風險評估的結果，考慮在計算機化系統(tǒng)中建立數(shù)據(jù)審計跟蹤系統(tǒng)，用于記錄數(shù)據(jù)的輸入和修改以及系統(tǒng)的使用和變更。第十七條計算機化系統(tǒng)的變更應當根據(jù)預定的操作規(guī)程進行，操作規(guī)程應當包括評估、驗證、審核、批準和實施變更等規(guī)定。計算機化系統(tǒng)的變更，應經(jīng)過該部分計算機化系統(tǒng)相關責任人員的同意，變更情況應有記錄。第十八條對于電子數(shù)據(jù)和紙質(zhì)打印文稿同時存在的情況，應當有文件明確規(guī)定以電子數(shù)據(jù)為主數(shù)據(jù)還是以紙質(zhì)打印文稿為主數(shù)據(jù)。,什么叫計算機化系統(tǒng),第十九條以電子數(shù)據(jù)為主數(shù)據(jù)時，應當滿足以下要求：（一）為滿足質(zhì)量審計的目的，存儲的電子數(shù)據(jù)應當能夠打印成清晰易懂的文件。（二）必須采用物理或者電子方法保證數(shù)據(jù)的安全，以防止故意或意外的損害。日常運行維護和系統(tǒng)發(fā)生變更（如計算機設備或其程序）時，應當檢查所存儲數(shù)據(jù)的可訪問性及數(shù)據(jù)完整性。（三）應當建立數(shù)據(jù)備份與恢復的操作規(guī)程，定期對數(shù)據(jù)備份，以保護存儲的數(shù)據(jù)供將來調(diào)用。備份數(shù)據(jù)應當儲存在另一個單獨的、安全的地點，保存時間應當至少滿足本規(guī)范中關于文件、記錄保存時限的要求。第二十條企業(yè)應當建立應急方案，以便系統(tǒng)出現(xiàn)損壞時啟用。應急方案啟用的及時性應當與需要使用該方案的緊急程度相關。例如，影響召回產(chǎn)品的相關信息應當能夠及時獲得。第二十一條應當建立系統(tǒng)出現(xiàn)故障或損壞時進行處理的操作規(guī)程，必要時對該操作規(guī)程的相關內(nèi)容進行驗證。包括系統(tǒng)故障和數(shù)據(jù)錯誤在內(nèi)的所有事故都應當被記錄和評估。重大的事故應當進行徹底調(diào)查，識別其根本原因，并采取相應的糾正措施和預防措施。第二十二條當采用計算機化系統(tǒng)放行產(chǎn)品時，計算機化系統(tǒng)應當能明示和記錄放行產(chǎn)品人員的身份。第二十三條電子數(shù)據(jù)可以采用電子簽名的方式，電子簽名應當遵循相應法律法規(guī)的要求。,內(nèi)容要點,計算機化系統(tǒng)驗證步驟,新版GMP藥品生產(chǎn)質(zhì)量管理規(guī)范（2010年修訂）附錄：附錄2確認與驗證第一章范圍第一條本附錄適用于在藥品生產(chǎn)質(zhì)量管理過程中涉及的所有確認與驗證活動。第二章原則第二條企業(yè)應當確定需要進行的確認或驗證工作，以證明有關操作的關鍵要素能夠得到有效控制。確認和驗證的范圍和程度應根據(jù)風險評估的結果確認。確認與驗證應當貫穿于產(chǎn)品生命周期的全過程。,計算機化系統(tǒng)驗證步驟,第三章驗證總計劃第三條所有的確認與驗證活動都應當事先計劃。確認與驗證的關鍵要素都應在驗證總計劃或同類文件中詳細說明。第四條驗證總計劃應當至少包含以下信息：（一）確認與驗證的基本原則；（二）確認與驗證活動的組織機構及職責；（三）待確認或驗證項目的概述；（四）確認或驗證方案、報告的基本要求；（五）總體計劃和日程安排；（六）在確認與驗證中偏差處理和變更控制的管理；（七）保持持續(xù)驗證狀態(tài)的策略，包括必要的再確認和再驗證；（八）所引用的文件、文獻。第五條對于大型和復雜的項目，可制訂單獨的項目驗證總計劃。,計算機化系統(tǒng)驗證步驟,第四章文件第六條確認與驗證方案應當經(jīng)過審核和批準。確認與驗證方案應當詳述關鍵要素和可接受標準。第七條供應商或第三方提供驗證服務的，企業(yè)應當對其提供的確認與驗證的方案、數(shù)據(jù)或報告的適用性和符合性進行審核、批準。第八條確認或驗證活動結束后，應當及時匯總分析獲得的數(shù)據(jù)和結果，撰寫確認或驗證報告。企業(yè)應當在報告中對確認與驗證過程中出現(xiàn)的偏差進行評估，必要時進行徹底調(diào)查，并采取相應的糾正措施和預防措施；變更已批準的確認與驗證方案，應當進行評估并采取相應的控制措施。確認或驗證報告應當經(jīng)過書面審核、批準。第九條當確認或驗證分階段進行時，只有當上一階段的確認或驗證報告得到批準，或者確認或驗證活動符合預定目標并經(jīng)批準后，方可進行下一階段的確認或驗證活動。上一階段的確認或驗證活動中不能滿足某項預先設定標準或偏差處理未完成，經(jīng)評估對下一階段的確認或驗證活動無重大影響，企業(yè)可對上一階段的確認或驗證活動進行有條件的批準。第十條當驗證結果不符合預先設定的可接受標準時，應當進行記錄并分析原因。企業(yè)如對原先設定的可接受標準進行調(diào)整，需進行科學評估，得出最終的驗證結論。,計算機化系統(tǒng)驗證步驟,第五章確認第一節(jié)設計確認第十一條企業(yè)應當對新的或改造的廠房、設施、設備按照預定用途和本規(guī)范及相關法律法規(guī)要求制定用戶需求，并經(jīng)審核、批準。第十二條設計確認應當證明設計符合用戶需求，并有相應的文件。第二節(jié)安裝確認第十三條新的或改造的廠房、設施、設備需進行安裝確認。第十四條企業(yè)應當根據(jù)用戶需求和設計確認中的技術要求對廠房、設施、設備進行驗收并記錄。安裝確認至少包括以下方面：（一）根據(jù)最新的工程圖紙和技術要求，檢查設備、管道、公用設施和儀器的安裝是否符合設計標準；（二）收集及整理（歸檔）由供應商提供的操作指南、維護保養(yǎng)手冊；（三）相應的儀器儀表應進行必要的校準。,計算機化系統(tǒng)驗證步驟,第三節(jié)運行確認第十五條企業(yè)應當證明廠房、設施、設備的運行符合設計標準。運行確認至少包括以下方面：（一）根據(jù)設施、設備的設計標準制定運行測試項目。（二）試驗/測試應在一種或一組運行條件之下進行，包括設備運行的上下限，必要時選擇“最差條件”。第十六條運行確認完成后，應當建立必要的操作、清潔、校準和預防性維護保養(yǎng)的操作規(guī)程，并對相關人員培訓。第四節(jié)性能確認第十七條安裝和運行確認完成并符合要求后，方可進行性能確認。在某些情況下，性能確認可與運行確認或工藝驗證結合進行。第十八條應當根據(jù)已有的生產(chǎn)工藝、設施和設備的相關知識制定性能確認方案，使用生產(chǎn)物料、適當?shù)奶娲坊蛘吣M產(chǎn)品來進行試驗/測試；應當評估測試過程中所需的取樣頻率。,計算機化系統(tǒng)驗證步驟,GAMP5中文版：,計算機化系統(tǒng)驗證步驟,計算機化系統(tǒng)驗證步驟,計算機化系統(tǒng)驗證步驟,完整的計算機化系統(tǒng)生命周期的驗證1、驗證計劃（ValidationPlan）2、用戶需求說明（URS）需要計算機幫我們做什么？（功能清單）每一個功能的控制方式，執(zhí)行過程？（工藝流程圖）每一個功能的傳感器輸入、執(zhí)行信號輸出（輸入輸出方式）操作人員對人機接口的操作要求？（人機接口輸入輸出方式）系統(tǒng)的安全性要求？（權限設置）安裝空間、位置、所處的環(huán)境？硬件、軟件的基本配置要求？測試、驗證、培訓、質(zhì)量控制、變更控制、文件記錄要求預算、貨期、合約等商務要求3、功能說明（FunctionSpecification）系統(tǒng)供應商對企業(yè)URS的回復說明。硬件配置方框圖與功能說明。軟件流程方框圖與功能說明。,計算機化系統(tǒng)驗證步驟,4、設計說明（DesignSpecification）供應商對自己系統(tǒng)的設計思路與計劃硬件整體框架與系統(tǒng)結構圖軟件整體框架、模塊化系統(tǒng)結構圖IO清單與詳細說明5、系統(tǒng)工程設計用戶可以不參與6、設計審核（DesignReview）設計審核一般由用戶技術人員與QA完成，通過比較URS與FS、DS的一致性，檢查系統(tǒng)是否滿足需求，針對不能滿足的部分，需要和供應商進行協(xié)商，尤其是涉及到GMP要求的地方要更加注意。7、風險評估（RiskAssessment）風險評估工作貫穿用戶需求到設計回顧。主要考慮系統(tǒng)功能、系統(tǒng)安全性對生產(chǎn)工藝、產(chǎn)品質(zhì)量的影響。8、系統(tǒng)工程制造和工程調(diào)試（用戶可以不參與）,計算機化系統(tǒng)驗證步驟,9、出廠測試（FAT）供應商在系統(tǒng)出廠前進行相關測試，并記錄測試項目和結果，判斷是否符合標準（可以反復測試）。模塊測試（白盒法）集成測試（黑盒法）10、現(xiàn)場測試（SAT）安裝到企業(yè)時，也需要進行相關的測試，并記錄測試項目和結果以及是否符合標準，更多的是計算機完成的功能測試。11、IQ階段確認硬件配置、軟件版本，確認現(xiàn)場安裝環(huán)境、安裝條件、安裝結果。確認供應商審計的文件報告、確認系統(tǒng)開發(fā)的技術文件和報告（審核開發(fā)過程、而不是審核每一條程序、指令的正確性）、確認仿真模擬與調(diào)試階段的文件與報告（更多的是一種形式審核與確認）、確認安裝后的各種測試、調(diào)試的文件、記錄和報告（更多的是一種形式審核與確認）。確認各種技術資料、編程軟件、應用軟件備份、密碼保存，確認輸入輸出(IO)清單、電路圖、接線圖硬件和軟件手冊，包括安裝、操作、維修保養(yǎng)手冊。12、OQ階段按照操作SOP進行各種操作、測試，包括系統(tǒng)的安全性、三級密碼、操作權限、IO輸入輸出的測試、人機接口、錯誤輸入、報警、聯(lián)鎖、斷電恢復確認每一個正常的工作步驟、每一個操作部件（包含硬件操作部件和模擬操作部件）、每一個輸入輸出之間的動作關系、模擬運行的過程測試、全自動運行的過程測試確認。正常環(huán)境下，模擬生產(chǎn)環(huán)境。,計算機化系統(tǒng)驗證步驟,13、PQ階段確認系統(tǒng)運行過程的有效性和穩(wěn)定性。測試項目依據(jù)對系統(tǒng)運行希望達到的整體效果而定如對生產(chǎn)出的產(chǎn)品質(zhì)量各項特性進行測試。測試應在正常生產(chǎn)環(huán)境下。相當于隨著正常生產(chǎn)的工藝驗證過程進行測試。14、風險管理矩陣（RiskManagementMatrix）從前期的風險評估，到貫穿于IQ,OQ,PQ的風險控制，最后需要對風險進行回顧，確認通過測試以及修改是否已經(jīng)將風險降低到了可接受的水平。15、最終驗證報告（FinalValidationReport）總結整個驗證過程，是否都正確完成，沒有未處理的偏差。正式批準系統(tǒng)投入運行。16、周期性的系統(tǒng)檢查及風險回顧。自動化控制系統(tǒng)無論哪一種自動化控制系統(tǒng)，包括各種計算機化系統(tǒng)，他們都是廠房、設施、設備、系統(tǒng)等硬件正常運行的一種工具，代替人的手工操作，或者部分代替人的計算、思考、判斷，或者部分代替人的復雜的管理活動。我們的關注點不應該放在工具本身上，而在于關注這個工具能夠為我們做什么，為我們帶來什么結果。也就是關注自動化系統(tǒng)代替人的操作、實現(xiàn)的流程控制和功能結果，適合于其預期用途，而且運行正常。,計算機化系統(tǒng)驗證步驟,計算機化系統(tǒng)的確認與驗證策略：1、對于嵌入式計算機和HMI+PLC控制系統(tǒng)（單機控制）作為設備、系統(tǒng)的一個操作部件或者一個組成部分，進行必要的評估、確認、操作、