GMP认证计算机化系统验证管理规程完整.docx

名称计算机化系统验证管理规程编号SMP-QA-XX版本号！XX制定人/日期部门审核人/日期QA审核人/日期批准人/日期生效日期"QA经理/日期颁发部门质量管理部分发部门各职能部门1.目的：本规程是对与GMP相关的计算机控制系统的用户需求及其设计、安装、运行的正确性稳定 性以及工艺适应性的测试和评估，以证实该计算机控制系统能达到设计要求及规定的技术指标，且 能够长期稳定工作2. 范围：本规程适用于被确定为与GMP相关的计算机控制系统的验证管理，此类计算机控制系统主 要用于物料控制及管理、实验室设备控制及信息管理、生产工艺及控制、生产工艺设备控制、公用 设施控制3. 职责【质量保证部：负责验证方案及报告的审核批准，并确保按照验证方案实施，参与验证偏差调查及变 更审批，并负责将验证报告归档保存，组织供应商审计使用部门：负责制订用户需求和验证方案，参与系统的验收、安装及组织并落实安装确认、运行确 认、性能确认，参与验证偏差调查及变更审核，参与供应商审计物料部：负责筛选供应商并参与供应商审计工程部信息管理岗：参与URS和验证方案的制定，参与验证偏差调查及变更审核，参与供应商审计4. 内容，定义计算机控制系统：由硬件、系统软件、应用软件以及相关外围设备组成的，可执行某一功能或一组 功能的体系。

本文计算机控制系统包括PLC控制系统源代码：以人类可阅读的形式（编程语言）表示的初始的计算机程序，在计算机执行之前，需译成 机器可阅读的形式（机器语言）验证流程图：见附录验证内容；验证小组的组成及职责 验证小组的组成由供应商、质量保证部、设备工程部、IT及使用部门所组成系统验证各实施部门职责使用部门：负责制订用户需求和验证方案，参与系统的验收、安装及组织和落实安装确认、运行确 认、性能确认，参与验证偏差调查及变更审核质量保证部：负责验证方案及报告的审核批准，并确保按照验证方案实施，参与验证偏差调查及变 更审批，并负责将验证报告归档保存，组织供应商审计采供贮运部：负责筛选供应商并参与供应商审计工程部信息管理岗：参与URS和验证方案的制定，参与验证偏差调查及变更审核，参与供应商审计计算机软件分类GAMP根据系统的风险性、复杂性和创新性，对计算机系统进行分类，通过对系统进行分类来协助确定验证活动和文件范围，软件分类如下:分类描述验证方法I.基础软件已建有的商业可利用性网络和操作系统，如：Windows XP/7， Linux， Mac OS基础软件工具，包括网络监控软 件、批处理作业计划工具、安全 软件、防病毒软件、配置管理工 具。

确认名称及版本号，按照所批准的安装 规程验证正确的安装方式III.非配置软件包括业务中使用的非定制商业 产品其中既包括不可被配置的 系统，又包括虽可配置但只使用 默认配置的系统如：基于中间 件的应用程序，COTS软件，仪表 仪器简化的生命周期方法；URS；记录版本号验证正确安装方式；基于风险的供应商评估；记录版本号，验证正确的安装方式；基于风险进行测试；有用于维持系统符合性的规程IV.可配置软件可配置的软件产品提供配置用户特定业务流程的标准界面和 功能其中包括配置预先设计的 软件如企业资源计划系统（ERP）、实验室信息系统 （LIMS）生命周期法；基于风险的供应商评估，证明供应商有合适的质量控制体系；记录版本号，验证正确的安装方式；进行基于风险的测试；有用于维持系统符合性的规程V用户定制软件这些系统或子系统是为了满足 公司特定的需求而开发的客户 定制开发包括一个完整的系统 或对现有系统进行延伸此类软 件也包括可配置的客户软件与上相同，加上更严格的供应商评估审计；贯穿于整个生命周期的文档资料计算机硬件分类:分类描述验证方法I.标准硬件标准硬件包括输入、输出设备， 如标准个人计算机，打印机、条 码扫描仪、程序控制系统（PLC、 SCADA系统）、服务器、网络硬 件以及有标准硬件组成的设备。

通过文件记录下生产厂家或供应商的 详情、序列号和版本号；IQ安装确认；适用配置管理和变更控制II.客户定制组件按照用户需求特殊设计并生产 的硬件包括上述内容；DS设计说明；验收测试;基于风险的评估对供应商进 行审计部分结构较复杂的计算机控制系统，不能简单的划分为某一类，应根据其每一个模块开发程度进行 分类验证过程确定计算机控制系统的验证不只局限于系统的使用过程，应始于系统初期的定义和设计阶段，终止于系 统无使用价值，伴随着系统发展的整个生命周期计算机控制系统的验证一般涵盖以下几个过程， 根据计算机控制系统的具体情况进行具体确定使用部门确定要验证的计算机控制系统所属分类按软硬件的分类选择要进行的验证过程验证内容根据设备的具体情况确定，下述项目可以省略、 合并，并根据具体的设备或系统进行适当调整表1计算机验证清单分类软件硬件ImIVVIn用户需求URSVVVVXX设计确认DQXXVVXV风险评估XVVVXV供应商选择和评估X（V）VVXV工厂验收测试FATXXVVXX安装确认IQVVVVVV运行确认OQXXVVXX性能确认PQXVVVXX回顾验证VVVVVV系统引退报告VVVVVV验证实施用户需求URS用户需求由使用部门和工程部人员制定，详细说明计算机控制系统的基本业务需求、期望及性 能指标，用来确定系统的设计标准。

包括如下内容：系统说明：说明系统要做什么，各单元之间如何连接及相互作用关系，控制方式（如逻辑控制、 分选控制、互锁控制、报警控制、位置控制、速度控制、温度控制、压力控制、时间控制、计 数和其它多极控制等），执行的过程，操作人员对接口的要求及安全性要求等物理要求一包括有效空间、位置、所处的环境等硬件文件标准一包括图纸、流程图、手册、部件清单等软件文件标准一包括程序编号及修订号、输出程序及详细解释、复制件的提供及贮存条件、系 统框图及配置清单测试要求一系统开发过程中所要求进行的测试项目及记录，包括单独模块测试及集成测试等 对供应商的其他要求一包括对已完成的系统验证要求、关于在设计开发过程中的质量控制和变 更控制要求等风险评估.1计算机风险管理流程步骤一：实施初步风险评估并确认系统影响步骤二：确认对患者安全、产品质量和数据完整性有影响 的功能步骤三：实施功能性影响评估并识别控制措施步骤四：实施并核实合适的控制措施步骤五：审查风险与监控控制措施.2计算机风险识别等级划分详见《质量风险管理规程》（SMP-QA-042）中的《危险分级与筛选图》 （SMP-QA-042-03）2实施初步风险评估并确认系统影响计算机化系统的初步风险评估应当基于对所涉及工艺或商业流程的理解。

用户需求标准:URS）、相关 法规与指南要求、设计标准、操作程序以及职能范围等是实现这一理解的来源初步风险评估应当 包括对系统是否受GMP规制的判断以及系统影响的初步评估初步风险评估将决定后续管理工作的 程度，因而非常关键此外，由于该阶段涉及对工艺或商业流程的理解，因此系统的用户必须参与 初步风险评估，与系统供应商共同完成评估，并对最终评估结果进行确认计算机化系统的初步风险评估一般先进行GxP关键性评估（表2）表2系统GxP关键性评估表2系统GxP关键性评估问题回答系统是否生成、处理和控制用于支持法规安全性和功效提交文件的数据是□/否口系统是否控制临床前、临床、开发或生产相关关键参数和数据是□/否口系统是否控制或提供有关产品放行的数据或信息是□/否口系统是否控制与产品召回相关要求的数据或信息是□/否口系统是否控制不良事件或投诉的记录或报告是□/否口系统是否支持药物安全监视是□/否口 是否是GxP关键系统（上述回答一个"是”即为GxP关键系统）是□/否口.3进行评估之后再实施GMP影响分级（表3）表3系统GxP影响分级影响情况级别分类参考标准（可根据具体流程需要进行调整）对患者安全的影响高=可能造成严重伤害或死亡中=可能造成轻微伤害低=不会造成危害对产品质量的影响高=可能使导致患者受到严重伤害的产品被放行中=可能使导致患者受到轻微伤害的产品被放行低=可能会导致不会被放行的低质量产品或是产生不会对患者造成伤害的低质量产品对数据完整性的影响高=数据完整性丧失导致不能召回产品，或导致能够对患者造成严重伤害的产品被放行中=数据完整性丧失导致使能够对患者造成轻微伤害的产品被放行低=数据完整性丧失导致产品作废，或数据记录不能充分支持产品放行影响级别高口/中口/低口原则：可能有多个原因，采取"就高不就低”原则.4确定对患者安全、产品质量和数据完整性有影响的功能根据系统所要实现的功能，从系统关键性评估和影响分级两个层面进行判断和分析（表4），确定并 识别系统对患者安全、产品质量和数据完整性有影响的功能。

表4系统功能影响识别表4系统功能影响识别功能GMP关键否影响级别功能1是□/否口高口/中口/低口功能2是□/否口高口/中口/低口功能3是□/否口高口/中口/低口功能4是□/否口高口/中口/低口 是□/否口高口/中口/低口.5实施功能性风险评估并识别控制措施表5功能性风险评估矩阵示例表5功能性风险评估矩阵示例功能风险和可预测故障后果严重性可能性可检测性风险等级控制措施.6实施并核实合适的控制措施风险评估过程目的是采用合适的控制（表6 ）；依据所辨识出的风险级别可通过一组选项实现控制，这些选项包括（但不限于）以下：表6实施并核实风险措施表6实施并核实风险措施功能风险等级控制措施措施处理人处理时间措施核实供应商的选择和评估.1系统所有者将选择的供应商的规格标准和自己的系统需求标准对比，作为供应商选择的依据，选 择并评估系统需求标准最符合的供应商，系统所有者和QA及IT 一起明确对供应商的评估流程序号评估方式建议1通过自身经验评估供应商可以来自购买相同产品的经验也可以是其他产品的经验，关键点在于：产品的质量（故障率）；出现故障后的保障情况（、现场访问、故障修复）2通过公司外的参考意见评价供应商适用于本公司无与该供应商接触的经历时，关键点：供应商的市场地位；供应商作为软件供应者的形象；产品的质量声誉。

3.调查表-信函审核可以使用公司内部的调查表，或通过PDA等 公共组织进行，或用私人提供调查表4通过第三方审核进行评价进行质量体系和/或产品开发的独立评审5通过用户所在的公司进行供应商审核能故对供应商质量。