计算机化系统验证SOP.doc

1.目的本文件描述了计算机化系统验证工作应遵从的基本程序，使计算机化系统验证工作符合GMP法规要求，同时使验证工作有组织、有计划的顺利进行。2.范围 本SOP适用于我公司药品生产质量管理过程中应用的计算机化系统。3职责 3.1计算机化系统的使用部门负责提出需求计划。3.2计算机化系统的使用部门、采购部门、IT负责计算机化系统生命周期各阶段的所有业务。3.3质量部负责计算机化系统的验证方案及验证报告的起草及组织实施，IT管理员、使用部门及供应商提供验证支持。3.4计算机化系统的使用部门负责按要求使用、维护计算机化系统，并制定该计算机化系统的相关责任人。3.5 应该为特定的计算机化系统验证项目成立验证项目小组，小组成员来自于受特定系统影响的所有部门。至少由使用部门、QA 和 IT及采购部门、供应商（供应商可以是商业系统的经销商、软件开发合同公司、内部软件开发部门或上述三种的组合）代表组成。验证主管为计算机化系统验证项目小组组长。验证领导小组人员及职责参照验证总则，验证实施小组部门具体职责划分见下表：验证实施小组职责IT协助验证主导部门定义软件和计算机化系统技术指标协助系统使用部门识别并选择软件和计算机系统的供应商和型号建立并维护计算机化系统的硬件及软件清单确认 IT 基础架构提供相关项目系统测试及再验证程度和风险评估的技术经验审核网络基础架构相关的验证文件开发并维护安全控制措施质量部审核并批准规程及其他文件，确保其符合公司内部标准及法规要求为开发规程和其他文件提供模版和表格负责验证文件的归档提供质量保证及法规经验开发培训材料并加入法规和公司标准和系统使用部门一起审核计算机化系统，确认其符合法规要求采购部门负责计算机化系统生命周期各阶段的所有业务与供应商保持沟通以获得法规、指南以及相关解释的最准确的信息使用部门确保部门内所有软件和计算机化系统在清单上列出确保部门内所有系统按项目计划进行验证确保 QA 和 IT 在新系统采购前得到通知在创建和复核验证交付物中提供用户经验提供功能和性能测试资源确保 SOP 中包含了系统的使用、偶发事件的处理措施以及系统故障后的恢复措施按照适用的SOP对计算机化系统进行使用与维护供应商应协助用户进行需求收集、风险评估根据书面的用户需求开发软件和计算机化系统提供书面的证据以证明软件是在已认证的质量保证环境下进行开发必要情况下，允许用户审计开发和验证过程为协助用户指定、安装和验证系统提供服务，如系统的配置、测试、支持和维护等必要时为软件和计算机系统开发并提供功能标准，完成功能文件与其他规范文件的编写通告用户软件关键错误、临时解决方案和纠正措施计划代码的版本控制维护针对用户系统提供一切技术支持4.定义 计算机化系统验证为应用程序（应用软件）的验证和基础架构（计算机硬件和系统软件）的确认。4.1 计算机化系统：指受控系统、计算机控制系统以及人机接口的组合体系。4.2 应用软件：指针对用户的特殊需求而开发、购买或修订的程序（主程序或子程序），它可执行数据的收集、处理、报告、存档及过程控制。4.3 系统软件：操作系统和通用功能的一套程序。在硬件及应用软件之间起接口的作用，且管理计算机的使用。4.4 基础架构：为应用程序提供平台使其实现功能的一系列硬件和基础软件，如网络软件和操作系统；4.5 可配制软件：由供应商开发的程序(主程序或子程序)，该软件可提供通用功能，用户可自行设计工作程序或设定工作流程。5.内容5.1计算机化系统的分类5.1.1基于计算机化系统的用途和功能，基于硬件的复杂程度进行如下分类：类别方法标准硬件部件通过文件记录生产厂家或供应商的详情、序列号和版本号确认正确的安装使用配置管理和变更控制定制制造的硬件部件上述标准硬件部件内容设计说明验收测试适用配置和变更控制5.1.2基于计算机化系统的用途和功能，基于硬件的复杂程度进行如下分类：类别说明事例方法1、基础设施软件分层式软件用于管理操作环境的软件操作系统记录版本号验证正确的安装方式数据库引擎中间件编程语言电子制表软件网络监控工具3、非配置软件可以输入并储存运行参数，但不能对软件进行配置以适合业务流程基于固件的应用程序智能仪表等嵌入软件简化的生命周期法URS用户需求说明供应商审计/评估记录版本号验证正确的安装方式基于风险进行测试4、可配置软件可由用户进行配置以满足具体业务流程的特殊要求，软件的编码无法更改非定制工业控制软件非定制检验处理软件非定制管理类软件部分商业软件简化的生命周期法供应商审计/评估记录版本号验证正确的安装方式测试环境测试业务流程5、定制软件定制设计和编码以适用于业务流程的软件内部和外部开发的应用程序、工艺控制程序，定制的PLC控制软件及定制固件与第4类相同外加严格的供应商审计完整的生命周期设计和源代码输入输出测试（I/O测试）5.1.3 依据以上分类原则，建立我公司包含药品生产质量管理过程中涉及的所有计算机化系统清单，清单应详细标明与药品生产质量管理相关的功能，见附件1，计算机化系统清单应当及时更新，有新增或报废等情况应及时进行添加或删除。5.2 计算机化系统的生命周期及管理 计算机化系统生命周期的每一个阶段，供应商与公司（客户）部门/人员应有明确的职责，公司外部人员需有相应的资质，公司内部人员需参加相关培训并经相关资质确认。具体阶段分类如下：5.2.1 计划和需求阶段（准备阶段）：功能需求的提出，功能规范的制定，如目标系统的性能规范，系统的可靠性、可维护性，系统的运行环境、系统与外部生产过程、环境、人员等的接口关系等。5.2.2 设计阶段：系统总体描述，硬件/软件总体设计，技术途径的选择与实现。设计的方法采用黑箱设计法，做出系统结构设计，体现方块之间的信号输入输出关系和功能要求。5.2.3 模拟与调试阶段：软件仿真模拟和硬件调试。5.2.4 现场安装调试、确认与验证阶段：硬件、软件安装后的系统联合调试。5.2.5 投入运行和日常硬件、软件维护阶段：适宜的变更控制、必要的再验证以及保持验证状态的预防性维护、计量校准等。5.2.6 硬件更新与软件升级直至最后的报废。5.3 计算机化系统的验证文件需求 结合计算机化系统软件分类，针对计算机化系统的生命周期，确认各类型的计算机化系统需起草的验证文件表，如下：验证阶段验证文件类别基础设施软件非配置软件可配置软件定制软件计划和需求阶段用户需求标标准验证方案系统描述××法规符合性判定供应商审计/评估××设计阶段功能要求×××设计要求×××设计确认系统构建×××代码回顾×××开发测试阶段开发测试×××验证/确认阶段安装确认运行确认×性能确认×××验证报告使用阶段标准操作规程偏差管理变更管理周期性回顾报废阶段报废方案/报告5.4计算机化系统的风险评估5.4.1 每一个计算机化系统的选型或设计阶段需充分考虑风险因素，在确认/验证阶段进行评估，并与人工操作的风险进行对比，风险因可接受，并在后续确认/验证过程中跟踪风险管理。5.4.2 在生产工艺的风险评估中，把计算机系统替代人工操作的主要和关键的工艺参数进行风险评估，并评估计算机化系统的错误或失效对于这些被控关键工艺参数的影响风险，风险应可接受。5.4.3 除以上特殊规定外，计算机化系统的风险评估原则上按照质量风险评估管理规程进行。5.5 计算机化系统的供应商管理 供应商提供计算机化系统的产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。对于计算机化系统的供应商进行评估并进行分级管理，评估/审计的方式方法、范围和程度取决于计算机化系统的风险程度，即对供应商进行分级管理，从高到低依次为“定制软件、可配置软件、非配置软件、基础设施软件”。 结合计算机化系统软件分类，针对计算机化系统的供应商等级，确认各类型的计算机化系统需对供应商进行的评估内容，如下： 评估/审计内容基础设施软件非配置软件可配置软件定制软件网上搜索及市场调研情况售后服务系统安全性×硬件开发及制造能力××软件开发标准及软件测试能力××技术能力评估××质量管理系统的有效性及应用××程序编制人员的资格审定××对维护/进一步开发的支持性××供应商的商业拓展能力×××现场审计×××5.6 计算机化系统的验证 在计算机化系统使用之前，应当对系统进行全面测试，即对计算机化系统进行全面的安装确认（IQ）、运行确认（OQ）及性能确认（PQ）。5.6.1 计划和需求阶段 计算机化系统计划和需求阶，用户应该为供应商提供详细的预期性能指标，计算机化和PLC控制系统可以用来决定系统设计标准，内容如下：5.6.1.1 操作需求：应包括功能、数据、技术需求、界面、环境，可适当的包括流程描述或流程图： 功能：计算、安全性、系统安全防护（包括访问控制等）、审计追踪等； 数据：数据输入和编辑、备份和恢复、存档需求、数据安全防护以及完整性； 技术需求：系统运行中的变更、灾难恢复、发生故障时采取的措施、容量需求、访问速度需求、硬件需求、效率及可配置性（登陆速度、刷新速度及生成报告的速度）； 界面：相应的角色（比如三级管理）、和其它系统的接口界面、和设备的接口界面（比如传感器、执行器，定制软件建议包含控制系统的输入输出清单）； 环境：布局（比如长距离连接、空间限制）、物理条件（温度、湿度、外部干扰、防护、污渍、灰尘或高震动环境等）、电源需求如UPS等、任何特殊的物理或逻辑需求；5.6.1.2限制条件：应对计算机化系统的限制条件做出需求说明，如兼容性、长期支持、预期的使用寿命、可能的提高空间及扩展能力。5.6.1.3生命周期需求：开发需求（通过供应商的方法达到的最低标准、项目管理和质量保证的规程、特殊测试需求、测试数据、负荷测试、要求的仿真测试、工厂测试、培训课程以及产品验收后的支持和维护）。5.6.1.4对供应商的其他要求：如在发展进程中完成系统验证、质量控制和变更控制等。5.6.2 设计阶段系统设计应该由系统配置图、硬件设计和软件设计组成。在供应商准备的系统设计被用户评估和检验后，可配置的系统图纸设计应该完成，包括系统PID, I/O (输入/输出)连接图、连接原理图。5.6.2.1硬件设计：包括所有I/O (输入/输出)连接模板和类型，CPU选型，通信模板、人机界面控制器，屏幕查看选择、中继电器、记忆存储器、打印机、辅助动力装置，电子部件/电线/电缆、其他元件等。5.6.2.2软件：包括系统软件、应用和数据。5.6.3 安装确认阶段确认计算机化系统及其相关的设备硬件安装，例如在控制系统中电源线的检查、界面接口的检查等，确认安装了正确版本的软件，并记录安装过程任何突发的或者不符合接受标准的事件及其解决方法。安装确认（IQ）阶段，至少应包含但不局限于以下项目：确认硬件配置、软件版本；确认现场安装环境、安装条件、安装结果；确认供应商审计的文件报告；确认系统开发的技术文件和报告（审核开发过程、而不是审核每一条程序、指令的正确性）；确认仿真模拟与调试阶段的文件与报告（形式审核与确认）；确认安装后的各种测试、调试的文件、记录和报告（形式审核与确认）。确认各种技术资料、编程软件、应用软件备份、密码保存等；确认输入输出(IO)清单、电路图、接线图硬件和软件手册，包括安装、操作、维修保养手册；直接（或主要间接）影响产品质量的设备/系统、用于直接影响产品放行的检验仪器、用于GMP体系生产质量管理的计算机化系统还应当对以下内容进行确认： 序号名称1工作原理描述2硬件、软件结构简述3使用目的、适用范围4功能描述5安全措施6操作、运行、维护说明7硬件、软件与其他外部设备、其他系统的接口关系8硬件原理图、软件功能方框图9控制系统图10输入、输出（I/O）接线图其他测试；安装确认合格后，方可进入运行确认阶段；5.6.4 运行确认阶段运行确认的目的是进行所有功能运行情况方面的测试以确保系统和运行符合设计标准。系统运行确认应在一个与正常工作环境隔离的测试环境下实施，但应模拟生产/检验环境。运行确认（OQ）阶段，至少应包含但不局限于以下项目：确认按照操作SOP进行各种操作、测试，包括系统的安全性、三级密码、操作权限、IO输入输出的测试、人机接口、错误输入、报警、联锁、断电恢复等； 确认每一个正常的工作步骤、每一个操作部件（包含硬件操作部件和模拟操作部件）、每一个输入输出之间的动作关系、模拟运行的过程测试、全自动运行的过程测试确认；测试系统安全：“最坏情况”的系统逻辑应该进行测试，如使用不同权限以便确认未经授权运行是否被禁止；系统使用部门应在 IT 部门的支持下对每一个系统开发安全计划。安全策略基于系统和系统功能的关键性。策略决定必须基于风险评估并且应具有合理性及有文件证明。可以选择物理安全或逻辑安全以限制访问系统。系统使用部门在 IT 的帮助下决定登陆程序。例如使用单个或不同的用户账号和密码登陆系统以及应用程序软件包。系统使用部门应定义访问记录类型以及数据管理活动的权限。比如，不允许访问、只读访问或可读写访问，或创建和删除记录的权限。控制访问权限的功能应被验证；测试环境：系统的测试环境应尽可能接近日常使用环境。如果因为持续动态应用程序的中断是不现实而导致无法得到一个动态的环境，那么测试应在一个能够反映动态环境的测试环境下进行。由系统使用部门在项目小组的帮助下决定采用哪种测试环境。这种决定应基于风险评估并且应合理并记录归档；相同配置的系统：且使用方式相同的系统不需要对所有软件功能或所有系统进行测试。完全相同配置和使用方式是非常重要的，这包括完全相同的计算机硬件和固件、相同的操作系统及应用软件且配置设置完全相同。任何不同点都必须记录并且测试每一个系统。例如。不同的客户端的 IP 地址不会相同，所以需要对每一个系统进行连接测试。系统所有者在验证小组的帮助下决定可以不需要测试所有功能，这种决定应当基于风险分析且应合理并记录归档；测试的可追溯性：测试应和系统需求标准关联。一般来说一项测试对应一条标准。当然一项测试也可以对应两个或更多的标准或者一条标准对应多个测试。没有测试的功能的省略原因应被记录，例如“供应商已经测试该项功能且该功能不会对用户环境造成影响”。对于较大的项目，可采用电子文件管理系统，它的范围可以是简单的 Word 表格或数据库以及针对管理追踪矩阵而专门开发的软件；根据系统要求进行的各种各样的过程控制功能的测试：“最坏情况”(例如最大通信承载、过程相当大的数据文件等)试验检查系统和决策程序的功能，应根据系统不同的要求和标准提供的定义（提供功能图表包括所有出现的偏差）；检测报警及连锁：程序连锁应根据报警条件及系统连锁操作手册进行测试；定时器和定序器测试：根据系统的操作手册设置时间和系统产生相应的功能以确认系统有效时间或程序命令；测试数据处理和记忆：正确的数据记忆，准确的数据采集和系统的自我搜索的确认；数据处理的输出长度、承载和空载的确认；数据保存到相应文件夹的功能确认关机/恢复测试，在系统关闭之前和之后检查数据采集的情况,确保数据没有损坏或丢失；检查备用电源的供应、不间断电源供应器、电力调节器和电力发电机；系统故障和失败的时候，能够根据系统的操作手册提供系统备份；其他功能测试；运行确认合格后，方可进入性能确认阶段；5.6.5 性能确认阶段确认系统运行过程的有效性和稳定性，应在正常生产环境下进行测试。性能确认测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试)。测试应在正常生产/检验环境下(相同条件下)重复三次以上。当一个人工系统被电脑，PLC控制系统取代时，两者需要平行运行。如果系统是生产，实验室或公共设施系统的一部分，系统的PQ必须根据设备的PQ进行完整性测试性能确认（PQ）阶段，至少应包含但不局限于以下项目：确认系统运行过程的有效性和稳定性；测试项目依据对系统运行希望达到的整体效果而定如对生产出的产品质量各项特性进行测试；测试应在正常生产/检验环境下，相当于随着正常生产的工艺验证过程或正常检验的操作验证过程进行测试；其他功能测试；性能确认合格后，方可投入运行（使用阶段）；5.6.6 使用阶段 验证的系统和所有相关的文件必须在变更控制和周期性回顾下进行维护，以维持系统的验证状态。 使用阶段需执行以下流程： 偏差管理 变更控制 文件（标准操作规程）管理 周期性的评估控制/逻辑和物理安全性 培训 备份/保存和恢复5.6.7 报废阶段5.6.7.1报废阶段需保证有计划按顺序的将计算机化系统从GMP区域移除，报废时需考虑不再需要的标准操作规程的移出，关于数据转移等数据保存的方法的有效性与完整性，以及保证在合适的保存期间内数据可以被查到的方法，证明保存的数据是安全的、可查的等测试方法需经过验证。5.6.7.2应起草开发关键数据迁移至新系统的计划，确认数据可以在系统上以原有的方式进行检索，记录归档最新的配置设置，并从现存系统硬盘上删除所有数据，系统方可退出服务。5.7 计算机化系统的变更 每项变更申请均应经过审查（必要时协调供应商参与），应基于风险评估来确定此项变更的可实施性，如实施此项变更，应对说明，实施和核实变更所需的活动进行详细描述，包含变更的范围以及受影响的控制项（如文件等），建议变更所产生的影响和是否需要进一步的风向评估，必要的验证活动以及变更失败时的支持性计划。 审查、风险评估、执行变更决定或拒绝变更决定的理由以及所要求的行为都应形成相关记录，并且作为计算机化系统验证文件的一部分进行保存归档。5.7.1 变更的分类：变更是由硬件变更和软件变更组成。5.7.2 变更的职责划分：5.7.2.1 计算机化系统使用部门负责起草书面申请，包括变更原因，证据，内容和实施方案，负责变更的实施及跟踪。5.7.2.2 验证主管，相关部门经理负责变更的评估、审查。5.7.2.3 当变更已实施，相关文件已修订并且经相应的验证后，变更由质量总监负责批准及终止。5.7.3 除以上特殊规定外，计算机化系统的变更原则上按照变更控制管理规程进行。5.8 计算机化系统的再验证计算机化系统应进行再验证以在其整个生命周期里维持验证状态。再验证取决于以下情形：5.8.1 基于时间：计算机系统应定期进行再验证。再验证的类型和频率取决于系统的关键性和稳定性。5.8.1.1如果用于高关键水平的应用，则系统应每年进行一次完整的再验证，测试程序可以和第一次验证时相同。5.8.1.2如果用于中等关键水平的应用，则系统需要对实际配置的合规性进行回顾。回顾方式可以通过按照测试计划进行的长期持续的测试以及审核文件材料进行。如果评估结果符合可接受标准，那么再验证就不再需要。5.8.1.3如果用于低关键水平的应用，则系统不需要再验证；5.8.1.4当系统因其他原因，比如变更后已实施再验证，则基于原时间的再验证可以省略。5.8.2 基于事件驱动：由事件驱动的再验证一般是由硬件、软件或附属程序引起的。系统的任何变动均应由风险评估决定进行再验证的范围和程度。5.8.2.1当系统软件升级到新版本后应进行再验证。新的功能或变动的功能应进行再验证。5.8.2.2系统使用部门应在供应商或IT 部门的帮助下进行再验证类型及范围的详细评估和最终定论。再验证的方式以及内容应基于风险评估并且是合理的并有文件证明的。再验证范围的可接受标准为系统的关键点和变更的类型。5.9 计算机化系统验证文件的管理5.9.1 验证文件的编号要求编号格式：AB.CS.CDE.FG AB 代表验证文件性质，为两位英文大写字母，方案用VP，报告用VR； CS为验证文件类别的缩写（Computer System）； CDE代表该验证文件的流水号，为三位阿拉伯数字；FG代表该验证文件的版本号，首次验证为00，第一再验证为01，第二再验证为02，以次类推；5.9.2举例说明VP.CS.001.00 为001号计算机化系统验证方案，为首次验证文件。VR.CS.002.01为002号计算机化系统验证报告，为第一次再验证文件。5.9.3验证文件的归档计算机化系统验证文件由质量部整理验证方案及验证原始记录，检验记录等内容，完善验证总结报告，完成后将纸质版及电子版验证资料一并归档保存。验证文件应永久保存。5.9.4 除以上特殊规定外，计算机化系统验证文件其余具体要求参照验证文件的编写程序。5.10 计算机化系统意外事故规划和灾难性恢复 灾难性恢复程序意外事故和灾难性恢复策略应由系统使用部门制定。这基于风险评估并且应是合理的并有文件证明的，应作为系统初始和后续的验证程序的一部分被验证。5.11 计算机化系统的沟通与培训5.11.1 计算机化系统验证相关的活动应在公司内进行交流沟通，计算机化系统使用部门和验证人员应明确其指定分配的任务。在验证过程中，验证成果和任何成果都应相互分享，所有参与验证活动的员工都应得到很好的培训以确保较高的验证活动成功率。所有计算机系统的用户都应对其进行培训以确保使用计算机的人员都是有资质的并且用户有足够的知识以最高效率的方式操作计算机系统。5.11.2 培训参与者至少应包括但不限于以下人员：系统开发员（计算机化系统供应商）最终用户（计算机化系使用部门）IT人员QA内部审计员验证人员文件管理员6. 培训 所有部门