制药机械(设备)计算机化系统验证指南 GB-Z 42344-2023

中华人民共和国国家标准化指导性技术文件制药机械(设备)计算机化系统验证指南2023-03-17发布国家标准化管理委员会GB/Z42344—2023前言 I 2规范性引用文件 3术语和定义 4总则 25验证流程 36系统验证方案 57人员培训 8验证文档管理 附录A(资料性)风险评估示例 附录B(资料性)文档清单示例 参考文献 I本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国制药装备标准化技术委员会(SAC/TC356)提出并归口。技股份有限公司。1制药机械(设备)计算机化系统验证指南1范围本文件提供了制药机械(设备)计算机化系统验证的指南，内容包括总则、验证流程、系统验证方案、人员培训和验证文档管理。本文件适用于制药机械(设备)计算机化系统的验证，药品生产企业、制药装备的生产企业、第三方验证机构均可参照使用。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。制药机械pharmaceuticalmachinery完成和辅助完成制药工艺的生产设备。由一系列硬件和软件组成，以满足制药机械(设备)在药品生产质量管理过程中特定功能的系统。注：以下简称系统。对验证方案及已完成验证试验的结果、漏项及发生的偏差等进行回顾、审核并做出评估的文件。电子签名electronicsignatures电子数据中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。电子数据electronicdata计算机化系统从提出用户需求到终止使用的过程。注：系统的全生命周期包括设计、设定标准、编程、测试、安装、运行、维护等阶段，以下简称生命周期。24总则4.1基本目的4.1.1证明系统符合《药品生产质量管理规范(2010年修订)》第七章的规定。4.1.2证明系统符合《药品生产质量管理规范(2010年修订)》附录1和附录2的规定，以及用户需求，4.1.3证明系统符合设计和药品生产质量要求。恢复手册、备4.1.4证明系统具有完整性、成熟性、稳定性、容错性以及易恢复性功能。4.1.5证明系统数据的完整性、真实性和可追溯性。4.2验证原则4.2.1系统验证根据《药品生产质量管理规范(2010年修订)》、制药设备产品标准、用户需求标准等要求制定验证方案，验证的每个阶段都有各自的验证方案。4.2.2系统验证范围根据《药品生产质量管理规范(2010年修订)》要求确定，直接或间接影响药品质量的，与制药工艺过程、质量控制、清洗、消毒或灭菌等相关的制药机械(设备)计算机化系统属于必须验证的范围，其他不对药品质量产生影响的制药机械(设备)计算机化系统可不列为验证范围。4.2.3系统验证分为系统立项、系统实施、系统运行、系统退役等阶段。4.2.4系统验证方案按照预先确定并批准的方案实施，并有记录。4.2.5系统验证工作完成后，宜写出确认或验证报告，并经审核、批准。当验证结果不符合预先设定的可接受标准时，需进行记录并分析原因。验证结果和结论(包括评价和建议)宜有记录并存档。4.2.6系统验证活动宜能真实体现实际情况，数据不宜增加、删除、修改，宜保持完整性。4.2.7系统验证活动可通过责任划分、记录标识和过程监督等方式满足追溯性要求。4.2.8在系统验证活动的生命周期实施风险分析及评估并实时监控风险，以实现全面、动态的管理，降低风险的不利影响。系统软件分类见表1,系统硬件分类见表2。表1系统软件分类软件类别内容说明示例第1类软件基础设施软件作为搭建应用程序的基础软件或用于管理操作环境的软件操作系统、数据库引擎、编程语言、电子制表软件、文字处理软件、版本控制工具、网络监控软件等第3类软件不可配置软件可以输入并储存运行参数，但是并不能对软件进行配置以适合特定的业务流程基于固件的应用程序、商用成品软件、设备结构及功能相对固定的控制系统等第4类软件可配置软件可进行配置或组态，以满足使用者具体业务流程的特殊需求；软件代码不能修改工业控制软件、检验仪器数据处理软件等第5类软件定制应用程序根据使用者业务流程要求进行和编制源代码的软件定制的工业控制软件、数据处理软件3表2系统硬件分类硬件类别内容说明示例第1类硬件标准硬件组件标准硬件组件包括制药机械(设备)制造商或供应商的详细信息以及版本号都需以文件形式存档。验证组件的安装和连接方式是否正确。预安装组件的模块、版本号和序列号(如果可以得到)都需记录下来。预安装硬件并不需要拆开。在这些情形下，硬件组件的详细信息可以从硬件的数据表和其他规范材料中得到。对这类硬件进行配置管理和变更控制管理该系统的硬件包括标准硬件组件等第2类硬件定制内置硬件组件这类硬件是对标准硬件组件的补充。定制硬件组件有设计规范(简称DS),并通过验收测试。供应商评估采用基于风险的方法，并将该评估方法以文件形式存档。在开发定制硬件时，通常都需要进行供应商审计。对使用不同来源的定制硬件组件的组装系统宜进行验证，以确保硬件组件的兼容性。所有硬件配置均需在设计文件中清晰界定，并验证。对这类硬件进行配置管理和变更控制管理该系统的硬件包括定制硬件组件5验证流程5.1概述系统的验证程序依次是系统立项、系统实施、系统运行、系统退役。在系统实施各确认阶段，均需形成阶段性验证报告；当出现关键性能偏差(如影响设备正常运行、安全及产品质量)时不宜进行下阶段的确认。验证程序参考GB/T28671—2012中4.3的要求执行。5.2系统影响性评估项目早期宜进行初步的系统影响性评估，根据系统是否对药品的质量参数有直接的影响，将系统分类为直接影响系统、间接影响系统和无影响系统。如有影响宜在设计、调试、确认和验证过程中，执行符合《药品生产质量管理规范(2010年修订)》的计算机化系统验证。5.3风险评估5.3.1风险识别旨在识别系统功能可能导致相关风险的风险事件，并确定事件所产生的影响程度。5.3.2风险分析针对不同的风险项目可选择不同的风险评估工具或方法。宜通过定性或定量地评估确定风险的可能性、易发现程度和严重性。风险评估的结果可以表示为总体的风险值，例如：定量的表示为具体的数45.3.2.2常用的风险分析方法常用的风险分析方法包括：查列表等；b)风险排列和过滤(RRF):将风险因素进行排列和比较，对每种风险因素做多重的定量和定性评价，权衡因素并确定风险得分；c)事先危害分析(PHA):用于在事情发生前应用经验和知识对危害和失败进行分析，以确定将来可能发生的危害或失败；d)危害分析及主要控制点(HACCP):可用于保证产品质量、可靠性和安全性，是一个系统的、前e)过失树分析(FTA):鉴别假设可能会发生过失的原因分析方法；FTA结合过失产生原因的多种可能假设，基于对过程的认识做出正确的判断；f)失败模式效果分析(FMEA):评估潜在的失败模式和因此对产品性能或结果产生的影响，具体方法可以给出相应数值，如I、Ⅱ、Ⅲ。其发生概率采用客观概率估计，即根据历史数据或大量的试验来推定其概率；根据风险的易发现程度来确定风险的优先级，并给出相应数值；根据风险事件对产品质量最终的影响程度进行划分，并给出其相应的数值；将以上三种分数相乘，即可得出总体风险分数，最终根据总体风险分数将所有风险归类划分；以失败模式效果分析法的风险分析示例可参考附录A。根据系统风险分析等级采取适当控制措施，在引入风险控制措施后，重新进行风险评价，以确定能够使风险等级降低到预期标准以下且不会引入新的风险。风险管理过程中宜编制风险追踪矩阵，参见表3,确保能够准确、全面地反映整个风险管理过程。表3风险追踪矩阵示例风险编号潜在风险源潜在风险分析严重性可能性可检测性风险等级值风险等级风险控制措施严重性可能性可检测性风险等级值风险等级5.4系统验证活动简述可按照软件系统类别，对照不同验证阶段，并参照表4组织验证活动。5表4各阶段实施验证活动系统验证阶段阶段细分实施验证活动软件类别系统立项——开展可行性分析适用适用适用适用系统实施计划阶段制定验证计划适用适用适用适用制定实施计划适用适用适用适用开展供应商评估———适用适用设计阶段用户需求说明适用适用适用适用系统设计说明适用适用测试阶段源代码编程/测试—适用工厂验收测试适用适用现场验收测试———适用适用确认阶段设计确认——适用适用安装确认适用适用适用适用运行确认适用适用性能确认——适用适用适用系统运行—问题报告适用适用适用适用变更控制适用适用适用适用系统管理适用适用适用适用系统退役编制退役报告适用适用适用适用注：“—”表示“无”。6系统验证方案6.1系统验证模型在进行系统验证时宜遵循生命周期V模型(参照GAMP5良好自动化生产实践指南),根据表4组织具体验证活动。在整个验证活动过程执行风险评估，并采用适宜手段管理整个风险过程。6.2系统立项系统立项的活动主要取决于验证方提出并确认系统启动的方案，并开展可行性分析。通常，在这个阶段提出初始需求并考虑可能的解决方案。通过对系统验证范围、成本和收益的初步评估决定是否需6.3系统实施验证计划宜包含系统描述、法律法规、验证的组织结构及职责分配、验证方案、验证的范围和技术要6求，以及项目交付物等文件。制定系统实施进度表，确定系统实施各阶段工作的内容及要求，确保系统在预定期限内交付，宜包含项目实施进度表等相关文件。宜对供应商的供应体系或服务及其质量体系进行评估并记录。该评估的范围和程度需基于风险管理原则提供供应商评估相关文件。在合理范围内满足用户需求，比如硬件设备的型号、品牌，软件系统功能、数据追溯、数据存储备份、电子签名以及报警触发机制和处理方式等内容。宜通过需求追溯矩阵确认其是否满足用户需求。功能说明是描述设备的性能和技术参数，主要内容宜包括：a)设备设计参考标准；b)主要硬件配置和软件配置列表及功能描述；c)控制系统输入/输出功能设计说明；d)控制系统的报警功能设计说明；e)控制系统的联锁功能；f)设备操作功能描述。硬件设计说明是指与系统相关硬件设备的设计，主要内容宜包含：a)硬件说明：说明系统包含的硬件设备，提供系统控制模型和电器硬件清单以及PLC和温度压力传感器等模块的技术参数；b)硬件工作环境要求：说明硬件工作的环境要求，包括温度、湿度以及辐射和电磁干扰范围等。c)电力供应说明：说明正常运行所需要的电力要求；d)相关输入输出点位说明：说明系统设计的输入输出信号及备用点位，并提供相应清单。软件设计说明(SDS)包括与系统相关的上位机和下位机程序的设计，主要内容宜包含：a)系统模块程序设计：系统的功能设计，断电恢复功能、程序流程描述以及遵循的开发标准；b)报警联锁设计：提供系统报警清单，并对报警触发的条件进行说明，以及当报警触发时需要进行的操作；c)系统权限设计：说明系统的权限设计和划分，以及对应权限的人员可以进行的操作；d)系统电子数据生成和管理：对系统运行所产生的电子数据存储路径、存储格式、存储介质进行说明，数据迁移备份需要进行何种操作，采取何种方法来确保电子数据的完整性等。7源代码编程宜以用户需求规范为基准，确保实现的功能与预期结果一致。宜提供代码开发标准文旨在确保设备组装调试完成后能正常运行并能满足功能设计需求，需要时制定针对设备系统的工厂验收测试计划，对系统相关的设备硬件和软件的功能进行逐一确认。如用户方无法到现场进行相关测试，可以委托实施方进行测试，记录测试结果并编制测试报告。旨在确认设备在运输过程中相关设备是否完好，控制系统是否能正常工作，现场验收测试的内容与工厂验收测试内容基本一致，并包括在工厂不具备测试条件的内容，可从以下几方面实施验证活动。a)系统软件版本记录：确认并记录控制系统软件版本号，便于软件版本控制，当系统遇到宕机等情况可进行系统恢复，测试过程需注意：1)检查设备的标识是否与要求一致；2)检查软件版本，并进行记录；3)在测试中发现问题，记录问题，形成文档；4)如果达到可接受标准，记录测试通过。b)I/O输入输出测试，模拟量信号测试：确保PLC及相关模块功能完好，测试过程中需注意，1)测试按钮或者开关，或者是制定场景满足一定条件检测相应点位，确认PLC显示正确的2)用模拟量测试仪器进行模拟量测试，输出结果需在误差允许范围内；3)在测试中发现问题，记录问题，形成文档；4)如果达到可接受标准，记录测试通过。c)软件功能确认：对系统功能逐一确认，是否符合用户需求规范。测试过程中需注意：1)点击每一个设定的画面功能，确认弹出正确的设定画面和实际结果；2)在测试中发现问题，记录问题，形成文档；3)如果达到可接受标准，记录测试通过。d)报警联锁测试：对系统设定的报警逐一测试并记录，确认报警和联锁能否正常触发。测试过程中需注意：1)根据报警联锁清单，模拟现场程序达到报警条件，确认报警和联锁控制是否正确产生，如有必要可把报警测试历史数据附在文档后；2)测试中发现问题，记录问题，形成文档；3)如果达到可接受标准，记录测试通过。e)用户登录测试，权限测试，审计追踪测试，数据备份测试。f)最后制定验收测试总结报告，对测试结果进行分析，报告需适当的解决验证中发现的问题。8旨在确认系统设计和相关配置是否符合用户需求规范中功能需求，主要确认内容宜包含以下两部分：a)确认硬件设计说明(HDS)和软件设计说明(SDS)是否已完成；b)确认系统功能设计是否符合用户需求说明(URS),比较用户需求说明(URS)与设计文件，检查系统是否满足要求，若不满足要求且无其他明确规定，可以与供应商协商解决。设计确认完成后，制定设计确认总结报告，总结设计确认测试结果是否已达到验收标准，对于不能满足的项目进行偏差处理。旨在确认系统相关的软硬件设备已经安装到位，并且硬件设备型号和软件组态版本符合用户需求，可从以下几方面开展验证活动：a)测试前提条件确认：确认安装确认的前提条件已满足，并且软件的版本已根据批准的配置管理文件进行版本控制；b)硬件设备品牌、型号、数量和安装位置确认：根据硬件清单逐一确认，确认是否已经正确安装；c)软件组态安装版本和位置确认：根据供应商提供的组态软件版本进行确认，方便后期系统升级维护和故障的处理；d)在测试中发现问题，记录问题，形成文档；e)如果达到可接受标准，记录测试通过；f)最后制定安装确认总结报告，对安装确认过程中的结果进行分析，对应不满足批准的测试项目进行汇总并给出处理结果，安装确认总结报告需经审核和批准后才能进行下一阶段测试。旨在确认系统功能是否符合预期要求，能在预期范围内正常运行并可正确执行相应的操作，确认内容宜包含以下内容：a)软件版本记录：便于系统版本控制；b)系统功能测试：1)确认系统功能可以正常使用，比如程序是否可以正常执行；2)参数设置可以适当程度地进行挑战性测试(如边界、范围、限制、无效输入测试等),以确认系统可以处理不正确的输入或规避不正确的使用导致的风险；3)在执行程序的过程中出现异常时，是否有相关提示或解决办法。c)数据完整性测试：1)用户管理确认：确认系统最高权限用户可以新增、删除用户和密码修改等功能；2)用户自动退出测试确认，确认根据用户设定的用户注销时间，用户登录后在规定时间不操作系统自动退出；3)电子签名确认：测试系统在进行重要操作时是否有电子签名功能；4)系统权限确认：确认系统权限分级，并对每一级权限用户进行的具体操作进行确认；5)审计追踪数据确认：确认系统是否有审计追踪功能，确认系统的数据备份和恢复功能以及9系统的审计追踪功能，确认审计追踪数据是否涵盖了全部操作记录；6)系统安全性确认：确认当程序执行过程中设备断电时，设备是否可以正常关闭，且确认断电前后设置的参数是否一致，数据是否丢失，系统是否有断电恢复的功能等；7)电子记录一致性确认：确认设备打印数据和电子数据一致性；8)时钟确认：确认系统时钟的精度符合要求；9)系统备份/恢复测试，确认系统具有备份和恢复功能，当系统崩溃时可进行系统恢复操作；10)数据不可更改。d)运行确认结束后，对当前阶段进行总结，给出结论，对于不符合要求的项目进行汇总整理，并给出解决方案和解决时间，总结报告宜签批认可。旨在确认系统运行过程的可控性、稳定性和有效性是否满足标准要求。性能确认方案可从以下几方面开展验证活动：a)负载运行条件下，对药品生产过程及设备要求的适应性；b)生产能力；c)药品生产质量相关指标；d)运行结果的重复性；e)控制精度准确性；f)安全性能；g)负载运行的可靠性试验；h)其他所需的挑战性试验；i)也可参考GB/T28671—2012中4.4的内容进行。系统使用过程中出现对产品质量或数据完整性等产生影响的事件，宜评估事件的影响，并根据情况制定处理方法。对问题进行记录，编制问题报告。变更管理是保持系统和流程合规的基础。变更申请宜经过审查，基于风险评估来确定变更的可实施性、变更的范围以及变更的影响。实施和审核变更所需的活动进行详细的描述，变更产生的影响需考虑是否进一步风险评估。审查、风险评估、执行变更决定或拒绝变更决定的理由以及所要求的行为都需形成相关记录，并且作为系统验证文件的一部分进行归档。变更的记录宜包含以下内容：——变更的分类：软件或硬件变更；——变更管理：变更都宜处于控制下，并以文件形式存档。系统正式使用后宜对系统进行合理管理，以确保设备可正常持续运行，宜包含以下内容：——人员持续培训：定期对操作人员进行培训，以确保可熟练使用设备；——系统管理手册：制定系统使用说明，以及系统备份/存档/灾难恢复操作等；——系统维护日志：当对系统进行升级或其他改动时有维护日志，说明原因；——周期性回顾：确保设备性能始终保持初始验证状态，且能满足使用需求。6.5退役阶段该阶段决定是否保留记录、迁移或销毁，并对该过程进行管理，包含以下内容：a)制定退役计划：一旦不再需要系统或其组件时，系统或组件按照已建立经批准的程序退役；批准的规程包括变更控制程序和正式的退役计划；b)记录保存：尽管退役，仍需保持在整个所要求的记录保存期间，确保记录的可读性，并保持原电子记录的内容和含义；c)制定退役报告：退役活动的结果，包括数据和系统的可追溯性，宜呈现在报告中。7人员培训人员培训宜贯穿于整个验证过程，在系统发布之前对相关操作人员进行培训，并界定系统的使用和控制，使相关人员正确理解系统逻辑和功能，培训文件宜包括供应商提供的用户手册以及内部开发的标准操作规程和培训计划等，培训活动宜参照以下几个方面：a)确定必要的培训需求，制定培训方案，按需求提供培训；b)评估培训的有效性；c)确保相关人员理解培训的重要性和相关性；d)进行适当的培训记录；e)确保培训是最新的。8验证文档管理8.1验证文档基本内容验证文档内容可参照GB/T28671—2012中4.4.2、4.4.3、4.4.4的要求。8.2文档编号文档编号是系统唯一文件名的标识，宜制定文档编号规则，并按照规则进行编号。8.3版本控制列举的项目文档和图纸按照标准操作程序进行版本控制。任何发布的受控文档的版本号宜具备唯一的标识，受控文档的版本说明参见表5。表5受控文档的版本说明修订版本描述A初始版本；供内部审查及附加意见使用经内部审查版本；供使用方审查及附加意见使用0至0x(x=a,b,c…)根据制药企业意见修订版本；供用户批准使用8.4验证文档的存档与管理验证文档需以电子版或纸质版存档，宜有明确的存档位置，验证文档清单可参见附录B。宜安排专人负责验证文档的编写、修改、发布、保存和归档。(资料性)风险评估示例A.1风险评估工具A.1.1风险等级值(RPN)评估原则风险等级值(RPN)评估原则三个数值各自独立发生。A.1.2风险等级值(RPN)计算公式风险等级值(RPN)按公式(A.1)计算。式中：RPN——风险等级值(RiskPriorityNumber);D——易发现程度(degreeofdiscovery);I——影响程度(degreeofinfluence)。A.1.3发生概率(O)发生概率的评估值选取见表A.1。表A.1发生概率(O)的评估值概率等级发生概率概述评估值低能够确定很少发生或几乎不发生I中有时发生或无法确定能否发生Ⅱ高时常发生ⅢA.1.4易发现程度(D)易发现程度的评估值选取见表A.2。表A.2易发现程度(D)的评估值易发现程度高低易发现程度概述评估值低完全可以通过监测系统随时监测，自动控制调节I中可以通过人工监测手动调节或监测系统自动报警Ⅱ高人工和设备都不易监测事件发生Ⅲ影响程度的评估值选取见表A.3。影响程度影响程度概述评估值低影响结果为不对产品质量有影响或停产或产品报废I中影响结果为可能对产品质量有影响或停产或产品报废Ⅱ高影响结果为对产品质量有影响或停产或产品报废ⅢA.2.1风险严重等级值参考表A.4确定。表A.4风险严重等级值风险严重等级值发生概率(O)IⅡⅢ影响程度IⅢ369Ⅱ246I123A.2.2风险等级值参考表A.5确定。表A.5风险等级值风险等级值易发现性(D)IⅡⅢ风险严重等级值9966448336922461123A.2.3风险等级值(RPN)在1～27之间，依据风险等级值将风险划分为低风险、中风险、高风险，具体A.3关于风险评估的说明A.3.1分析潜在风险源后，如果出现中高风险，在通过控制措施后根据计算的风险等级值(RPN)确认是否降到低风险。A.3.2风