第六篇 计算机化系统验证管理

1、第六篇计算机系统验证管理第一章概述第二章范畴第三章名词解释第四章英文缩写解释第五章计算机系统分类第六章计算机系统发展及验证生命周期第七章验证实施过程第一节可行性研究第二节工程计划第三节需求定义第四节系统设计第五节系统测试第六节系统验收及确认第七节系统使用及维护第八节系统引退第八章验证分工与职责第一节用户第二节供户第三节IT部门(或系统维护部门)第四节质量保证部门第九章计算机系统验证举例(PLC系统验证)第一节PLC系统简介第二节PLC系统验证实施第十章电子记录及电子签名第一节采用电子文件的优越性第二节电子记录及签名目前存在的问题第三节目前国际上相关法律法规对电子记录及电子签名的要求第四节电子记

2、录及电子签名定义及相关特性第五节电子签名要求第六节电子记录要求第七节电子签名与电子记录的链接第八节电子签名与电子记录系统的验证要求第六篇 计算机系统验证管理第一章概述本篇描述了与GMP相关的计算机系统的验证方法。计算机系统是用来执行一种特定功能或一组功能的硬件、系统和应用软件及有关外围设施的系统。与GMP相关的计算机系统包括以下过程中所使用的计算机系统。生产过程。生产环境。过程控制。质量决断过程。物料控制及管理。计算机系统验证是建立文件来证明计算机系统的开发符合质量工程的原则，能够提供满足用户需求的功能并且能够稳定长期工作的过程。计算机系统验证可借助于工艺验证的概念来理解。工艺验证中的“工艺”

3、相当于计算机的“输入”过程和“内部处理”过程(软件)，工艺中用到的设备相当于计算机主机、外围设备(硬件)以及与其相关的生产设备或质量控制设备，工艺的“产品”相当于计算机的“输出”或对另一台设备的控制等。计算机系统验证与工艺验证不足之处是：术语上的不同(如数据处理概念)和由于软件的特性，使一般用户对软件和软件的开发相对不熟悉。本篇将围绕计算机系统的验证，描述以下内容。验证范畴。名词解释。计算机系统分类。计算机系统发展生命周期。验证实施过程。第二章范畴本文所讨论的计算机系统验证，适用于制药企业被确定为与GXP相关的计算机系统，该系统包括以下内容。(1)物料控制及管理系统如BPCS、SAP系统等。(

4、2)实验室设备控制系统及信息管理系统如LIMS系统。(3)生产工艺及控制系统如PLC(可编程序逻辑控制器)等。(4)公用设施控制系统。在功能上，上述这些系统符合诸如下列GMP的某一属性。(1)自动控制工艺控制。环境控制。质量控制。自动清洗。在线灭菌等。(2)物料控制物料状态控制及隔离。先进先出(或先近效期先出)。批次追溯。物料平衡。发货查询。(3)基础数据控制生产处方。批生产文件。产品及包装形式信息。鉴别产品名称、编码、批号等信息。第三章名词解释1操作系统(Operationsystem)应实现管理(处理器、存储器/外部设备和信息)的要求而专门编制的一个规模较大的、能够协调和调度所有设备及各个

5、应用程序高效运行的程序。2可配置软件(Configurablesoftware)由供户开发的程序(主程序或子程序)，该软件可提供通用功能，使用户可按某种途径为自己设计程序。3应用软件(Applicationsoftware)针对用户的特殊需求，而开发、购买或修订的程序(主程序或子程序)，它可执行数据的收集、处理、报告、存档及过程控制。4系统软件(Systemsoftware)操作操作系统和通用功能的一套程序。在硬件及应用软件之间起接口的作用，且管理计算机的使用。厂家提供诊断性测试，即确认该软件。5实用程序(Utilityprogram)由操作系统的厂家频繁提供的特殊程序。具有通用功能，可执行诸

6、如程序备份、磁带到软盘的文件拷贝等。6软件配置控制程序(Softwareconfigurationcontrolprocedure)描述软件变更过程中，须遵循的评估、协调、审批或否决的文件规程。7计算机系统(Computersystem)由硬件、系统软件、应用软件以及相关外围设备组成的，可执行某一功能或一组功能的体系。8计算机化系统(Computerizedsystem)指受控系统、计算机控制系统以及人机接口的组合体系。计算机系统与计算机化系统两者的关系和区别见图61。可以说计算机系统是计算机化系统的一部分。如果计算机系统只是用于数据处理，则计算机系统本身就代表着待验证的全系统。9模块(Mod

7、ule)即实现某种特定功能的单元或程序段。在软件开发中常常将程序各个部分继续划分，直至最小的基层单位，称为模块。10源代码(Sourcecode)以人类可阅读的形式(编程语言)表示的初始的计算机程序，在计算机执行之前，须译成机器可阅读的形式(机器语言)。11伪代码(Pseudocode)也称软件设计描述语言(PDL)，用在详细设计阶段、用以表达程序的逻辑结构、它是以任意的代码形式写于程序语言语句中描写程序和子程序的普通语言(例如英语)，反过来也可以说它是计算机程序的英语翻译(表达)。12硬件(Hardware)由电子线路组成，受软件控制的实物装置。13软件(Software)指控制计算机系统或

8、计算机化系统运行的程序、主程序或子程序的总称。14软件确认(Softwarequalification)包括结构(源程序)测试；功能(模块黑盒)测试、接口(结构与功能)测试、模块组装测试。15静态测试(Statictesting)在不具体执行某程序的条件下，评估程序的过程。16结构测试(Structuraltesting)保证程序编制符合特定的功能需求，程序能有效、简洁、可靠运行的技术性测试。17HIPO图(HIPOchart)用方便于编程人员与用户间联络的方式，定义和记载程序编制系统的一种软件图示法。HIPO是英文HierarchyPluslnpput-Process-Output的缩写。它

9、是1976年由IBM公司提出的。一开始只是作文件编写的格式要求，随后发展成为比较有名的软件设计手段。18外围设备(Peripheralequipment)指计算机系统的处理机、存贮机以外设备(如驱动器标绘器、打印机、终端等)。19黑盒测试(Blackboxtesting)将系统(软件和硬件)看作不能打开的黑盒，在不考虑系统内部结构和特性的情况下，测试者只依靠系统需求说明书，从可能的输入条件和输出条件中确定测试数据，也就是根据系统的功能或外部特性，设计测试用例(例如功能测试)。20白盒测试(Witeboxtesting)即结构测试或逻辑驱动测试。这种测试允许测试者考虑系统的内部结构，并根据系统内

10、部结构设计测试用例，而不考虑系统的功能。21安装确认(1nstallationqualification)确认系统的安装符合设计标准，并对所需要的软件及硬件的技术资料、图纸、操作手册等文件进行确认。22运行(操作)确认(Operationqualification)确认系统的各项运作功能符合用户需求标准。系统运行确认应在一个与正常工作环境隔离的测试环境下实施，但应模拟生产环境。23性能(工艺)确认(Performancequalification)确认系统运行过程的有效性和稳定性，应在正常生产环境下进行测试。测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试)，

11、测试应在正常生产环境下(相同条件下)重复三次以上。24电子记录(Electronicrecord)电子记录是指依靠计算机系统进行创建、修改、维护、存档、找回或发送的诸如文字、图表、数据、声音、图像及其他以电子(数字)形式存在的信息的任何组合。25电子签名(Electronicsignature)电子签名是指计算机对一些符号的执行、采用或者被授权的行为进行数字处理，这些行为是指在法律上完全等效于传统个人手工签名的一种个人行为。26封闭系统(Closedsystem)封闭系统是指系统通道处于一种能够被一定的人员所控制的环境，该人员有权限在系统上进行电子记录的操作，如被拥有者所使用的个人计算机。27

12、开放系统(Opensystem)开放系统是指系统通道处于一种不能够被有权限在系统上进行电子记录操作的人员所控制的环境，如电子信件(E-mail)、在因特网上发送信息等。第四章英文缩写解释GMP相关的计算机英文缩写解释见表6-1。表6-1GMP相关计算机英文缩写解释第五章计算机系统分类在实施计算机系统验证之前，应首先对计算机系统进行评估及分类，以便针对不同类型的计算机系统实施不同程度的验证。计算机系统其根据其标准化程度及用户自行设计的程度划分为表6-2中的5种类型。第六章计算机系统发展及验证生命周期计算机系统验证行为取决于系统发展的生命周期(Systemdevelopmentlifecycle)

13、。SDLC是一种模式，它定义了计算机系统由概念初始到结束这一全过程，这一生命周期对于硬件和软件都适用。应首先建立一个概念，计算机系统的验证不只局限于系统的使用过程，新系统的验证应始于系统初期的定义和设计阶段，终止于系统无使用价值阶段。验证生命周期(SVLC)应伴随着系统发展的整个生命周期(SDLC)。系统发展的生命周期可划分为以下8个阶段：可行性研究、工程计划、需求定义、系统设计、系统测试、系统验收及确认、使用和维护、系统引退。图6-2给出系统发展生命周期的瀑布模型。在实际应用中，还常把这些阶段粗分为计划、开发和维护3个阶段。应当注意，由于理解能力及环境变化等限制，每个阶段的工作不可能直线地顺

14、利执行，出现各阶段间的回复及重新复审是不可避免的。每个阶段都要按要求产生一定的文件交付给下一阶段，使下一阶段在所提供的文件的基础上继续开展工作。当然不是所有计算机系统均应进行全过程验证，评估和分类后，应根据其标准化程度及用户自行设计的程度来决定其所需要的验证行为。表6-3详细地列出了SDLC阶段不同类型的计算机系统所应交付的验证工作。表6-3SDLC阶段不同类型的计算机系统所应交付的验证工作第七章验证实施过程第一节可行性研究可行性研究阶段是SDLC的第一个阶段。此阶段要求从技术及经济等方面系统地研究并论证开发变更计算机系统的可行性，包括目的、概念定义、规模、风险分析、投资分析等。其相关信息的收

15、集被用来建立系统验证规模及申请开发费用。第二节工程计划一、工程计划工程计划用于规划所有工程及验证活动，包括计算机化工程的组织结构、各部门个人的职责、工程进度表(包括所有SDLC阶段和相应的SVLC阶段)、文件交付、审核和批准要求等。二、供户评估应对计算机系统供户进行评价，以确保其系统能力及所提供的产品满足计算机系统验证要求。供户评价包括以下内容。(1)根据系统概念定义及判断选择供户，注意评估外部资料对标准要求的符合化及与系统要求文件的一致程度。(2)对供户质量体系进行审计，审计内容包括系统开发者的内部质量管理程序。技术能力评估。软件开发标准及软件测试能力。程序编制人员的资格审定。硬件开发及制造

16、能力。变更控制。售后服务。系统安全性。供户审计报告应纳入验证档案。三、验证计划验证计划伴随着工程计划一起，用于指导整个计算机系统验证活动。验证计划包括(1)系统描述构造(2)适用的政策、程序及指导方针(3)责任(4)供户评价审计(5)设想/排除局限性(6)文件系统、技术和操作(7)验证文件的保持(8)测试程序(9)可接受标准(10)偏差处理(11)变更控制(12)安全线(13)备份存档灾难恢复(14)人员培训(15)验证草案和报告(IQ、OQ及PQ)四、费用申请:费用申请为整个工程及验证活动提供充足的资源和预算。第三节需求定义需求定义阶段提供新的改变的计算机系统所期望达到的详细的、可衡量的需求

17、，所有需求将用来确定系统设计标准。需求定义阶段主要是提供用户需求说明(URS)。用户需求说明由系统用户和系统项目专家制定，详细说明计算机系统的基本业务需求、期望及性能指标。包括如下内容。一、系统说明说明全系统要做什么，模块间怎样连接及相互作用，控制方式，执行的过程，操作人员对接口的要求及安全性要求等。二、物理要求物理要求包括有效空间、位置、所处的环境等。三、硬件文件标准硬件文件标准包括图纸、流程图、手册、部件清单等。四、软件文件标准软件文件标准包括程序编号及修订号、打印出的程序及详细解释、复制件的提供及贮存条件、系统框图及配置清单。五、测试要求系统开发过程中所要求进行的测试项目及记录。包括单独

18、模块测试及集成测试等。六、其他其他提供给供户的要求。包括对已完成的系统的验证要求、关于在设计开发过程中的质量控制和变更控制要求等。用户需求说明中的所有条款将直接作为制定IQ、OQ及PQ草案的依据。第四节系统设计一、系统设计所有的需求被转化为计算机系统硬件和软件的技术设计。具体包括如下。硬件设计标准将定义如标准仪器、微控制器、可编程序逻辑控制器(PLC)等。软件设计标准将定义系统的整体框架、计算机语言、界面、屏幕设计、数据流程图、报告设计、图表设计、运算法则、安全测试、系统结构图、IO图、工程制图、流程图解、程序体系图解、详细说明和一个数据字典。二、源代码和配置必须根据已定义的标准编写、维护和使

19、用源代码。源代码包括所有组成系统的目标、变量、逻辑及配置程序，源代码被用于软件开发过程中的技术查阅及系统使用后的维护活动。三、系统设计文件系统设计文件一般由供户制订，但必须经过用户审核及认可后方可实施。第五节系统测试该阶段的主要任务是发现并排除在分析、设计、编程各阶段中产生的各种类型的错误，以得到可运行的计算机系统。系统测试和确认过程与系统的需求定义、设计及编程阶段相对应，如图6-3所示。单元测试及组装测试一般在供户处进行。一、单元测试单元测试是对系统的每一个模块进行独立测试，其目的是找出与模块的内部逻辑有关的错误。单元测试一般以白盒法为主。二、集成测试集成测试根据系统设计中各功能模块的说明及

20、制定的组装测试计划，将经过单元测试的模块逐步进行组装和测试。每个人一个模块，都要找出由此产生的错误。集成测试一般以黑盒法为主。注：测试的难点在于如何选择测试用例，选择一个好的测试用例，可以最大限度的发现系统中所存在的错误，以对重要数据结构的正确性进行全面检查。白盒法一般根据程序内部结构设计测试用例，亦称逻辑覆盖法，包括语句覆盖(使每一个语句至少执行一次)、判定覆盖(使程序中的每一个判定至少出现一次“真值”和一次“假值”)、条件覆盖(使每一个判定中的每一个条件都取得各种可能的结果)等。黑盒法则是根据系统功能需求来构造测试用例，常用如下4种方法：等价划分法(将系统的输入区域划分为若干等价类，用每个

21、等价类中的一个具有代表性的数据作为测试数据)、边界值分析法(尽可能选取边界值作为测试数据)、因果图法(在系统功能说明中找出各种因果关系，设计测试用例)、错误推测法(推测系统容易发生的各种错误，设计能检查出这些错误的测试用例)。第六节系统验收及确认当最终的计算机系统及相关的文件发至用户，其被安装在用户环境中并评价其功能的正确性。确认测试(安装确认、运行确认及性能确认)是计算机系统付之实际使用之前的既完整又系统的测试，它直接影响到计算机系统的使用质量。也就是说，确认测试是计算机系统质量保证的最后一个环节。尽管确认测试的某些部分是在单元测试和组装测试相同的条件下进行的，而且所用的数据相同，但确认测试

22、仍是必要的。确认测试一般由用户执行。一、安装确认(IQ)安装确认的目的是保证系统的安装符合设计标准，并保证所需技术资料俱全。具体确认内容包括如下。(1)各种标准清单，包括使用者要求、功能性要求、物理要求、系统标准。(2)各种标准操作程序(SOP)，包括硬件和软件的操作、预防维修、备份和数据存档、灾难(断电、硬软件损坏等)恢复及系统退役。(3)配置图，配置图是控制系统的概图，包括以下内容。整个系统概图。各个中央处理器(CPUS)包括插件指定的配置图。输入输出装置接线图。控制回路图。状态转变图。网络接线图。硬件驱动网络驱动指示树，可包括逻辑的和物理的驱动指定。(4)硬件和软件手册，包括安装、操作、

23、维修保养手册。(5)硬件配置清单，包括已安装系统的所有组成部分，对于芯片、微处理器或EPROM，应记录其修订版号。(6)软件清单和源代码的复制件列出与系统有关的所有软件和软件版本，并保证所有软件的复制件都归入档案，安全存放。应存放以下几种软件。源代码产生器或编辑器、源代码(包括初级排序、功能和报告的产生)、操作系统、诊断程序、存档备份程序。(7)输入输出(IO)清单及连续性检查。连续性检查是保证信号可从控制系统发至装置并又可从装置返回至控制系统。(8)环境和公用工程测试确认并记录系统安装的环境，包括清洁度、射频电磁干扰、振动、物理安全性、噪声、照明。记录关键公用工程系统的情况，并确认公用工程系

24、统的关键性质与功能说明书相符。包括火警通告抑制、冷却系统、电力及调节、不间断供电、WAN连接、LAN连接、灾难恢复接线、电话数码模拟。确认并记录系统符合安全及人机工程的要求。(9)结构测试(白盒法)，主要指源代码的结构测试。对以下各项进行确认。遵循模块化程序设计。无无效代码。按照标准进行识别、修订、注解和评论。算法公式和计算准确。模块排序准确。关键上属性、报警等锁存准确。保持惟一的逻辑输入输出。数据贮存寄存器是惟一的。定时器和定序器设定准确。(10)确认整个安装过程符合操作手册要求。二、运行确认(OQ)系统运行确认的目的是保证系统和运作符合需求标准。系统运行确认应在一个与正常工作环境隔离的测试

25、环境下实施，但应模拟生产环境。具体包括如下。(1)系统安全性测试挑战所有逻辑系统，诸如各工作层的使用权限，证明各安全层面的允许权限未经授权的操作得到禁止。确认系统外围的安全性，诸如IO总线卡，操作人员接口终端等。(2)操作人员接口测试，确认操作人员接口系统的功能。(3)报警、互锁功能测试。(4)数据的采集及存贮，确认系统的数据采集及存贮功能如下。准确的采集、贮存和检索数据；确认数据的输出长度、进位及空值、零及负值的处理能力；自动将数据存档并保存至指定时期。(5)确认数据处理能力，包括算法、统计、利用查表数值及报告的产生等。(6)定时器和定序器测试。(7)功能性测试(黑盒法)，根据系统定义中所提

26、供的各种要求文件、标准(最好有一张包括运作分支在内的功能图)对系统各功能和各决断通路进行测试。测试应在最高特定条件下进行(如最高通讯负载，大型数据文件的处理等)。(8)断电修复测试复查断电之前，期间和之后的数据采集状况证明数据没有破坏或丢失。测试后备供电、不间断供电和动力调节器、发电机功能恢复是否正常。(9)灾难恢复测试，制造一起系统失效现象，按照灾难恢复程序一步步确认以下各项。现有的数据未被破坏。保证对系统的数据备份有效。(10)制定系统标准操作程序运行确认结果合格后，证明系统具备了能够在正式生产环境下使用的条件，可以在正常生产环境下进行进一步确认。三、性能确认性能确认(PQ)是为了确认系统

27、运行过程的有效性和稳定性，应在正常生产环境下进行测试。测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试)，测试应在正常生产环境下(相同条件下)重复3次以上。注：当计算机系统取代人工系统时，可以进行平行的验证试验。四、人员培训系统在正式投入使用之前，应对所有相关人员，包括操作人员、维修人员等进行培训，确认其能够按要求正确操作。五、释放通知当确认所有的验证结果符合预先设定的可接受标准，验证报告已得到相关人员审批并完成人员培训后，计算机系统可被投入正式使用。注：在系统的测试、验收及确认过程中，由于理解能力及环境变化等限制，不可避免地会出现结果与预先所设定的可接受标准

28、之间产生偏差的现象。这时必须查清偏差产生的根本原因，采取有效纠正措施进行处理(有时可能会涉及到部分修订系统设计标准)。当每一偏差都得到有效处理后，验证方可进入下一阶段。偏差产生的原因、处理过程及结果均在相应文件中进行记录。第七节系统使用及维护在发布系统释放通知后计算机系统进入使用及维护阶段。实践表明，任何一个计算机系统在通过各项测试被使用后，随着时间的推移，某些隐藏的问题会逐渐暴露出来；另外随着环境的变化及新的需求的产生，用户需要对系统进行完善。因此在此阶段计算机系统应按以下方法实施监控和修改以确保系统始终保持已验证状态并满足用户需求。该阶段应一直持续到系统引退。一、问题报告计算机系统在使用过

29、程中所遇到的任何问题及缺陷均应进行记录和报告，以便对其运行效果及变更控制结果进行评价。二、变更控制计算机系统经过验证后，保持已验证状态。如果系统发生变更，此种状态将会被破坏。变更类型包括：硬件变更、软件变更及数据库中关键参数的变更。为了维持系统始终处于已验证状态，应对其变更实施控制，具体要求如下。(1)使用部门提出书面申请，包括变更理由、依据、内容及实施方案。(2)由专业技术人员、相关部门领导及质量保证部门对变更进行评估及审批。(3)根据变更影响的范围决定是否应实施再验证。如变更已导致计算机系统的已验证状态发生偏移(如增加了某些功能等)，系统必须针对变更部分实施再验证。决定实施再验证后，计算机

30、系统将开始生命周期的另一循环。如经过评估确认不实施再验证，应有充分的依据作支持。见图6-4。(4)所有变更必须经过相关人员批准后方可实施，不允许自行改变系统任何部分。(5)变更应充分考虑是否对其他相关系统产生影响，需针对其他受影响系统进行评价，必要时会对其他系统实施再验证。(6)所有的变更申请、评估、审批及再验证活动均应有文件记录，以使之具有可追踪性。表6-4给大家推荐了一种变更审批表的形式。三、系统管理系统管理的执行将确保对计算机系统实施合适的维护，并保持系统数据的完整性。四、安全程序必须定义控制计算机系统物理及逻辑通道的安全程序，例如必须清楚定义增加或移动用户的安全程序，保证使未授权的或漫

31、不经心的操作得到控制。安全程序涉及如下范畴。1系统软件及应用软件安全性。2硬件安全性。3建筑安全性。五、备份存档灾难恢复必须制定和审批相应文件以控制系统备份计划、恢复程序、存档需求、非定点媒体贮存及出现系统丢失事件时的灾难恢复程序偶发事件计划。六、维护日志维护日志应记录所有计划的及非计划的维修活动。系统维护和变更控制是保证系统在受控及已验证状态卜运行的两大关键。七、周期性回顾系统的变化一般可分为两种。一种为已知的、有形的变化，这种变化应按照以上所述的变更控制要求执行。而另一种变化是系统在长期频繁使用中，由于时间的变化、环境的变化、人员的变化、硬件的磨损等诸因素，而导致的一种未知的、无形的变化。

32、对于这种变化，需要对系统进行周期性回顾(回顾周期一般建议为3年)，以确保：(1)系统运行始终处于已验证状态；(2)系统维护严格按相关程序执行；(3)系统文件及时而准确地反映了现行计算机系统的运行情况。如果通过回顾，发现计算机系统的已验证状态已发生偏移，系统必须实施再验证(图64)。系统回顾的范围、方法及结论均应有文件记录，以使之具有可追踪性。八、培训人员培训是一个持续过程，应确保所有使用、维护及开发计算机系统的人员均得到堵训。第八节系统引退当一个计算机系统的现行功能实施不再适用，或执行一个新系统替代现有系统的功能时，该系统就从实际使用中引退。此阶段是SDIC的最后一个阶段，其目标是要消除对原系

33、统的依赖并提供一个如何从原系统中取回相关数据的方法。一、工程计划(引退系统)制定一个I程计划以确定引退工作的步骤、鉴别将要替代原有系统的新系统、引退过程的期限及相关责任。确定原系统数据是否应按照一定的格式存档。如果原系统被另一个系统替代，存档的数据应该被装载在替代系统中，数据成功转移的确认是新系统验证的一部分。系统引退时，应通知到所有受影响的用户，并完成以下工作。撤销系统特殊的程序。切断系统通道。整理系统所有逻辑值、符号和菜单参考。删除所有软件和工作环境下存档的电子记录。二、系统引退报告统引退报告用于总结整个系统引退工作的实际执行结果，确认是否按要求正确实施引退活动。第八章验证分工与职责执行计

34、算机系统的验证最重要的是组织好验证和作好文件编制。而组织好验证，进行合理分工，落实各自的责任，提供人力资源，是有效进行验证工作的最根本的保证。应该注意，计算机系统验证实际上不是某一个单独部门的工作，而是应该由一个跨部门的验证小组来实施。在该小组内，来自各部门的人员既有明确分工，又要相互合作。下面描述的是参与计算机系统验证各方的分工与职责。第一节用户用户是计算机系统的直接使用者，最了解系统使用的需求、容易产生的问题、系统的适用性等，因此其应担当如下的职责。一、确定系统需求用户要保证需求定义中正确定义系统需求，并准确地反映功能需求。二、计算机系统验收及确认用户是计算机系统验收及确认的主要实施者。包

35、括起草确认测试(安装确认、运行确认及性能确认)方案、执行确认测试、参与偏差处理及评价确认结果、起草确认测试报告等。三、系统使用用户必须保证系统专用，包括保证系统由合格的、接受过培训的人员操纵。四、培训用户有责任对使用人员(特别是新人员)提供专门培训，包括开展并执行培训计划、准备培训材料等。五、标准操作规程对系统的使用，用户需建立并遵循系统的标准操作规程。六、系统安全性用户应保证各工作层使用权限，禁止未经授权的操作得到执行。另外，用户在数据存贮、处理、检索中对保证安全的数据环境负有责任。七、变更控制当使用过程中发现有不便之处时，可对系统的变更提出书面申请。所有变更必须经过相关人员批准后方可实施，

36、不允许用户自行改变系统任何部分。八、系统周期性回顾参与对系统进行周期性回顾，并形成文件记录。第二节供户供户是计算机系统的设计者与开发者，有责任保证所开发的计算机系统满足供户提供的系统需求定义及说明。其担当的职责如下。一、系统设计及开发充分了解用户需求，严格按用户需求说明(URS)设计和开发计算机系统。如果在开发过程中发现有需要修改的内容，必须与用户取得联系，征得用户同意后方可进行修改。二、接受供户质量体系审计当用户提出要进行供户审计时，供户需通力合作。准备相应的文件资料，并提供现场审计条件，以向用户证明自己的计算机系统开发能力及质量保证水平。三、系统测试在供户处完成系统测试，包括单元测试及组装

37、测试。有责任设计较为完善的测试用例，最大限度的发现系统中所存在的错误，以对系统运行的正确性进行全面检查。必要时，可邀请用户一起参与系统测试工作，以便及时发现问题及时处理问题，避免产生无法挽回的设计缺陷。四、系统安装及调试供户有责任帮助用户完成计算机系统的安装及调试工作，必要时可与用户一起完成系统的确认测试工作，以便确认系统是否完全满足用户需求。五、提供培训供户应为用户提供一定的技术培训，使用户能够掌握操作和维护计算机系统的技术技能。六、售后服务计算机系统在使用和维护过程中，供户有责任为用户提供系统售后服务，包括：硬件的修复与更换、软件版本升级、系统运行故障修复等。第三节IT部门(或系统维护部门

38、)IT部门在计算机系统的开发、使用及维护过程中提供技术支持。其承担如下职责。一、系统管理规程建立任何一个计算机系统从需求定义、设计、组装、测试、验收到使用及维护整个系统生命周期内所必须遵循的标准和管理规程要求，并控制其实施过程。二、系统需求定义帮助用户建立系统需求定义，审核用户需求说明书(URS)。三、供户审计从技术角度完成供户审计工作，包括供户技术能力评估、软件开发标准及软件测试能力审核、程序编制人员的资格审定、硬件开发及制造能力评估等。四、系统测试提供系统测试计划，建立测试环境，完成或帮助用户完成系统的测试工作，以保证系统的功能性。包括与供户一起完成部分单元测试和组装测试，与用户一起完成系

39、统的确认测试(安装确认、运行确认和性能确认)，起草或审核测试方案及测试报告，完成测试工作中的偏差处理等工作。五、变更控制从技术角度对计算机系统的变更实施控制，包括对变更申请的评估、审核，变更过程的控制、测试以及版本升级的管理等。六、系统维护完成计算机系统软硬件的部分维护工作，如硬件的定期预防维护、故障维修、备品备件的更换、软件备份存档灾难恢复、保持系统数据的完整性等。七、周期性回顾参与对系统进行周期性回顾，以对系统进行定期评价。第四节质量保证部门质量保证部门(QA)从GMP的角度对计算机系统的整个验证工作实施控制及监督。起主要职责如下。一、建立验证管理规程根据GMP要求，建立计算机系统从开发、

40、验收、到使用及维护整个生命周期内所应该实施的验证要求，确保验证过程及已验证的计算机系统运行效果符合GMP规范要求。二、审批验证文件对所有的验证文件，从GMP角度进行审核及审批、包括：用户需求说明书(URS)，安装确认、运行确认和性能确认方案及报告等。三、供户审计从GMP角度完成供户审计工作，包括系统开发者的内部质量管理体系审核、变更控制、文件管理等。四、验证实施控制对所有验证实施过程进行控制，包括人员是否培训、是否严格按验证方案实施、结果是否符合预先设定的可接受标准、偏差是否得到有效处理等。五、变更控制从GMP角度对计算机系统的变更实施控制，包括对变更申请的评估、审批，变更过程的控制及对最终实

41、施效果的确认等。六、系统周期性回顾对已验证过的所有系统进行汇总并列出一个总清单，定期组织相关部门(用户、IT部门等)对已验证过的计算机系统进行周期性回顾，以确保其始终有效运行。七、验证文件管理所有的验证文件原件均在QA处存档，这些资料构成每一个计算机系统整个生命周期的重要档案，具有原始的可追踪性。验证文件包括：用户需求说明书(URS)；系统设计文件；在供户处进行的单体测试及组装测试报告；安装确认方案及报告；运行确认方案及报告；性能工艺确认方案及报告；供户审计报告；变更审批表；偏差处理表；系统再验证方案及报告；11系统周期性回顾报告。第九章计算机系统验证举例(PLC系统验证)第一节PLC系统简介

42、PLC是可编程序逻辑控制器(programmablelogiccontroller)的缩写，是一种数字运算操作的电子系统，专为在工业环境下应用而设计。它采用可编程序的存贮器，用来在其内部存贮执行逻辑运算、顺序控制、定时、计算和数字运算等操作的指令，并通过数字式、模拟式的输入和输出，控制各种类型机械或生产过程。PLC系统在制药企业常被应用于以下4个方面。生产设备的过程控制。检验仪器的控制。水处理系统的运行控制。空气净化系统的运行控制。第二节PLC系统验证实施PLC作为设备或公用设施的一部分被安装在设备或公用设施上，因此在实施拥有PLC的设备或公用设施验证时，应进行机械及计算机两部分验证。本文仅依

43、据前面所述的计算机系统验证规范要求，对PLC系统的一些重要的、特殊的验证行为进行如下阐述。一、需求定义(URS)PLC系统需求定义对其设计、开发、测试及验收都起着关键性的作用，用户必须进行详细、全面、准确的定义。在编写PLC系统需求定义说明时，除了包括前面上述的计算机系统需求定义所要求的内容外，应对其控制方式进行详细的定义和要求，如以下控制方式要求。(1)逻辑控制要求(顺序控制)如加料顺序、物料存放与提取等。(2)分选控制(检测与剔除)如漏片检测与剔除等。(3)互锁控制。(4)报警控制。(5)位置控制。6)速度控制。(7)温度控制。(8)压力控制。(9)时间控制。(10)计数。(11)其他多极

44、控制等。二、系统设计1控制系统配置图设计(1)系统的PID图。(2)IO(输入输出)接线图。(3)控制器件排列图等。2硬件设计其中包括以下主要内容。(1)所有的IO(输入输出)接口模板及型号。(2)选择CPU。(3)通讯模板。(4)人机界面控制器。(5)选择显示屏。(6)中间继电器。(7)存贮器。(8)打印机。(9)辅助电源。(10)电子元件、电线、电缆。(11)其他器件等。注：在进行硬件设计与选择时，如果有可能与产品接触的部分，其材质及接触表面应符合GMP要求。如不与产品产生反应、耐腐蚀、表面光洁、易清洗等。3软件设计PLC所要求的功能被转化成软件，再通过所选择的硬件来实现。软件设计包括以下

45、3部分。(1)系统软件选择后作为分类1，在安装确认(IQ)时仅鉴别并记录其版本号即可。(2)应用软件根据需求定义中所要求的各种控制方式来设计应用软件，其可以被集成或重新开发，可作为分类4或5来实施验证。(3)数据一个PLC系统可以产生大量的数据，有一些数据需要存贮在一个独立的系统中以便查询和追踪。为了保证数据的完整性，必须设计数据的传送流程及存贮地址。三、安装确认(IQ)1文件确认(1)用户技术指南。(2)标准操作程序。(3)培训计划。(4)售后服务协议。(5)安全程序。(6)设备台账。(7)硬件确认。(8)软件确认包括安装程序、系统软件清单、应用软件清单、数据流程图及数据字典，注意进行版本确

46、认及记录。(9)程序原代码。(10)仪器仪表清单。(11)技术标准及图纸。(12)仪器仪表校验程序。(13)PID图。(14)控制回路图。(15)IO(输人输出)清单及接线图。(16)备品备件清单。(17)预防维修程序。2安装过程确认整个安装过程符合PID图及安装程序要求。3环境和公用工程确认(1)确认并记录系统安装的环境包括清洁度、射频电磁干扰、振动、物理安全性、温度及湿度等。(2)确认并记录关键公用工程系统的情况包括：电源供应、压缩空气等。4系统测试及确认(1)首先确认供户提供的FAT测试报告包括：单元测试及集成测试报告。(2)在现场操作环境下，对系统进行一些必要的测试(SAT)，主要内容

47、包括如下。仪器仪表校验或确认。IO(输入输出)信号测试。控制回路测试。数据采集、传送、存贮信号测试。其他测试。四、运行确认(OQ)在现场操作环境下，对系统的所有功能进行确认测试。OQ测试亦是SAT测试的一部分，只是侧重于系统安装后的所有功能性测试。应将系统运行分别置于正常条件下、边界条件下及警告条件进行测试，以便对系统进行全面评估。运行确认主要内容包括如下。(1)系统安全性测试，如编程器的使用权限等。(2)系统需求定义(URS)中所要求的各种过程控制功能测试。(3)报警功能测试。(4)互锁功能测试。(5)数据处理、存贮准确性测试。(6)断点恢复功能测试。(7)其他功能测试。注：在FAT中所测试

48、的项目没有必要在IQ或OQ中全部重复进行测试，对一些关键性的项目及容易受到安装、操作环境影响的项目(如：控制回路等)，应该在IQ或OQ中进行重复测试；表6-5、表6-6以生产用水制备系统PLC控制为例，列出了其运行确认方案及报告格式、编写方法，供大家参考。安装确认及性能确认方案及报告的内容也可以参照其编写方式。五、性能确认(PQ)性能确认是为了确认PLC系统在正常生产环境下，其运行过程的有效性和稳定性。测试项目依据对系统运行希望达到的整体效果而定，并应该进行重复确认。1对于批生产的设备，应对生产出的产品质量特性进行检验，以确定其各种过程控制功能的有效性，如含量检验、包装质量检验等。应该在相同生

49、产条件下连续重复3次以上。2对于连续过程处理的设备，如空气净化系统，应在一定时期内对尘埃离子、微生物、温湿度、空气流向、压差、换气次数等指标进行监测。水处理系统，在一定时期内对微生物、总有机炭、化学指标、电导率、温度等指标进行监测。注：由于PLC系统是安装在生产设备或公用实施中，是设备(设施)的一部分，同其他部分(如机械部分)一起共同实现设备功能。因此PLC系统的工艺性能确认可以同该设备(设施)的工艺性能确认结合在一起完成。表6-5生产用水制备系统PLC控制运行确认方案表66生产用水制备系统PLC控制运行确认报告三、运行确认结论通过运行确认结果可以看出，我公司生产用水制备PLC控制系统的运行能

50、够满足使用者的功能要求及设计标准。控制功能的符合性及有效性得到了证明，系统具备了能够在正式生产环境下使用的条件。第十章电子记录及电子签名第一节采用电子文件的优越性目前，随着电子计算机技术的发展，越来越多重要的电子文件(非纸张文件)应用于制药企业的生产及产品的开发研究过程中，如批生产记录及其释放、临床研究报告等。电子文件的使用与纸张文件比较，具有如下的优越性。(1)容易存取信息。(2)传送速度快，提高工作效率。(3)搜索能力强。(4)数据容易进行统计及分析。(5)可由多人同时进行存取。(6)节约纸张，具有良好的环保效益。第二节电子记录及签名目前存在的问题目前大部分制药企业都有着良好的管理纸张记录

51、及传统签名的经验，GMP对此也有着严格的要求及规定。但是对于电子记录及签名的管理，与纸张记录及传统签名比较，从GMP的符合性来讲还存在以下问题(见表67、表68)。从以上的比较可以看出，如果要使电子记录及签名的管理符合GMP中的文件管理要求，就应该将纸张记录及签名的特性应用于电子记录及签名特性中去，使得电子记录及签名必须像纸张记录及签名一样可信赖和可靠。而目前许多企业的计算机系统设计及管理还不能完全保证满足此种需求。如何使电子记录及签名在发挥其优越性的同时符合GMP要求，这给计算机系统的开发、设计及验证提出了更高的要求。第三节目前国际上相关法律法规对电子记录及电子签名的要求为了保证制药企业的电

52、子记录及电子签名完全等效于纸张记录及传统签名的可靠性，确保其符合GMP要求，FDA(美国药品和食品管理局)早在1997年就在美国联邦法规相关条款(21CFRPARTll)中对电子记录及电子签名进行了明确规定。其中内容包括：对电子签名与电子记录进行了明确定义、电子签名要求及控制、电子记录要求及控制(封闭系统及开放系统)、电子签名与电子记录的链接、识别码与密码的控制等。本文正是在此基础上，对电子签名与电子记录的管理以及如何进行验证进行了较为详细的探讨。第四节电子记录及电子签名定义及相关特性一、电子记录电子记录是指依靠计算机系统进行创建、修改、维护、存档、找回或发送的诸如文字、图表、数据、声音、图像

53、及其他以电子(数字)形式存在的信息的任何组合。其具有如下的特性。当数字数据存人磁盘、磁带或其他一些持久性的电子媒介时，电子记录就产生了。当仪器将数据写入磁盘文件时，产生的就是电子记录的原件。当这些信息打印到纸上时，产生的将是电子记录原件的纸张复印件。这与原始的记录原件及复印件的概念有所不同。原始记录是第一个电子记录，在纸张复印件上签字并不能使这个纸张复印件成为原件。二、电子签名电子签名是指计算机对一些符号的执行、采用或者被授权的行为进行数字处理，这些行为是指在法律上完全等效于传统个人手工签名的一种个人行为。电子签名有两种形式。1无生物特征的电子签名如用户识别码和密码，其随时间的流失具有惟一性。

54、2具有生物特征的电子签名如指纹、视网膜扫描、发声等，这些特征在体现个人独有性方面是可测量的。第五节电子-签名要求一、基本要求每个电子签名对每个人来讲应该是独有的，不能被任何其他人再使用或再分配。在组织成立之前，必须先对具有电子签名资格的个人身份进行分配、批准并确认其一致性。每次签名应具有时间的印记。签名应同时代表其含意，如起草、审核、批准等。签名应限制于其相关文件中，以防止未授权的复制及改变。签名应充分体现在电子记录的复印件中。二、电子签名的组成及控制1无生物特征的电子签名至少使用两个截然不同的识别组分，如识别码和密码。当签名是在单独的、一段连续的控制系统中多次进行时，第一次签名应使用所有的电子签名组分(识别码加密码)；在随后的签名中应至少使用一个个人的惟一识别组分(如识别码)。在非连续的控制系统中进行签名时，必须使用所有的电子签名组分。电子签名只能被真正的拥有者使用。应对除了拥有者之外的需要协助拥有者签名的其他个人的电子签名进行管理和确认。系统管理者不应该知道用户密码，也不能够将密码透露给其他人(防止伪造记录)。2具有生物特征的电子签名其设计应确保除了真