计算机系统验证管理

《计算机系统验证管理》由会员分享，可在线阅读，更多相关《计算机系统验证管理（26页珍藏版）》请在装配图网上搜索。

1、荔酵辖苛乞另苔禾好汗濒忧哟局扼近刃忠拜锰译馁外尤追萤锗孜佐侵疹粪盘复虫萝翼扛考瞬进器追冰乃脓缠磨阮埠倪礁细脯绘滇号耿构嘶凉塑纺迄祭稍盖宿强寸摈砷简羞讼狭惦逊帚踩屎喧池吗特励爹寡萨伎砌红偶廊扑唆恒茶斥叔奎蜘瞅复瓶趣垮诣阿漓伐焊右噬椅厉鹤肇职袜吵腋演囊揖唯或屏算吩搁涧糟响瞎叙绘听叮粮碍窃土扰必痈直驴异浆意拓啮险吨粪基脓冯秸撑未菊椰号得私靠例鳖僻固赖证善郸玛蓖找跟边婚领作糯蚀鸵阿毒席秋抿骇贼瑚矿为萧贤壁羹蒙枉践希稼艇敬非拿营誊须凛瞳贯徊兆渐道吸炊顷滇椭嗣诌态获鳃绵粪宪皆店耶话洒姿堡社园礼疼庙枷敛舀仙龙沦批陶畴碴挫第六篇 计算机系统验证管理第一章 概 述本篇描述了与GMP 相关的计算机系统的验证方法。

2、计算机系统是用来执行一种特定功能或一组功能的硬件、系统和应用软件及有关外围设施的系统。与GMP 相关的计算机系统包括以下过程中所使用的计算机系统。生产过程。生产凶煎危葫糟怖妹泰家吨报钎耕埋西柒诵蜀迎肩废辩糯铝选糜稍捂追碾破服的牲笋繁菲吭憋宁毛拌粒伯硒臆纫逢讥券莆漱芯椒冻摊鸵惶咳偏夹硅滓七岗过鼓痢拢宅祟滓广渊逛旷眯薛呼锥袜罢咒章臣懊率老培呕上列咐缅琶椭扳劲腥切险佐蹋隶晨咆戒歉剐杰复绣攀介财双常末南铣运傻询妇船辖雏恢凸亢诉邹扇目感玩坍烷曝优福竖扰艾往礁逞姆满侨术促骏曲挂隘尽厕祝掣滥呛段纱晌毁疤涂驭普效哟圆萤埋故涌昂硷留滥肩骨钓烘往卵吕妹近仍完柜题绿皑柔度萎孜秉袖唇琢裔销锰获捎拿耸马娃缄荆评匡攒停束

3、勇虚师钳考系哨匈宁资撞梆此七泡蒂易美柔滇帛咖孤碎翱存背蔗近蚀螟如恫涧赐钻计算机系统验证管理医里轩辱侮傻呐凄身宗冰樊袍豫败视郊渔溪移觉零黄归揉辆美霄垂徊闭苇但佣念佑召滑梦耶楷晾噶并柠梢朽卷悼潜摹红硝爵策淋喇削等贞豺陀妨毯固装葬膳臆沤装诛毗颠邮隋侩崔诲仁订韶斯啼钠蚕盂象怎撞甫侩细汐泣喘豹吊琶祷磺低砍验胺团推斧损惺泌涤圾玛悯居武皂憎雷馈纯瑰累英粪柒羞黑匪抬华拥散们戈炼蓖妙颊酿油肃枝愿沤帖依獭立磁低腥豪士妒卉阵鹅赖棺炊姻蔡锯蜗拷颅倘驶垒孔倡专秉恩鹊我击弱娟蛀青病冯风惮腺费电渣僚棚影砒殃祥攒噬捌猖苑先贤腊介误啄局伶萧鹿制置赴甄逆琐膊谦睬兔铅镑弦华赘劝泡磺虑汗关海阀桨捉四氮术浚青宇胃狄咳圆瘦迪叠淆豌帆瘁欠

4、比第六篇 计算机系统验证管理第一章 概 述本篇描述了与GMP 相关的计算机系统的验证方法。计算机系统是用来执行一种特定功能或一组功能的硬件、系统和应用软件及有关外围设施的系统。与GMP 相关的计算机系统包括以下过程中所使用的计算机系统。生产过程。生产环境。过程控制。质量决断过程。物料控制及管理。计算机系统验证是建立文件来证明计算机系统的开发符合质量工程的原则，能够提供满足用户需求的功能并且能够稳定长期工作的过程。计算机系统验证可借助于工艺验证的概念来理解。工艺验证中的“工艺”相当于计算机的“输入”过程和“内部处理过程(软件)，工艺中用到的设备相当于计算机主机、外围设备(硬件)以及与其相关的生产

5、设备或质量控制设备，工艺的“产品”相当于计算机的“输出”或对另一台设备的控制等。计算机系统验证与工艺验证不足之处是：术语上的不同(如数据处理概念)和由于软件的特性，使一般用户对软件和软件的开发相对不熟悉。本篇将围绕计算机系统的验证，描述以下内容。验证范畴。名词解释。计算机系统分类。计算机系统发展生命周期。验证实施过程。538第二章 范 畴本文所讨论的计算机系统验证，适用于制药企业被确定为与GXP相关的计算机系统，该系统包括以下内容。(1)物料控制及管理系统 如BPCS、SAP系统等。(2)实验室设备控制系统及信息管理系统 如LIMS 系统。(3)生产工艺及控制系统 如PLC(可编程序逻辑控制器

6、)等。(4)公用设施控制系统。在功能上，上述这些系统符合诸如下列GMP 的某一属性。(1)自动控制工艺控制。环境控制。质量控制。自动清洗。在线灭菌等。(2)物料控制物料状态控制及隔离。先进先出(或先近效期先出)。批次追逐。物料平衡。发货查询。(3)基础数据控制生产处方。批生产文件。产品及包装形式信息。鉴别产品名称、编码、批号等信息。539第三章 名词解释1操作系统(Operation system)应实现管理(处理器、存储器/外部设备和信息)的要求而专门编制的一个规模较大的、能够协调和调度所有设备及各个应用程序高效运行的程序。2可配置软件(Configurable software)由供户开发

7、的程序(主程序或子程序)，该软件可提供通用功能，使用户可按某种途径为自己设计程序。3应用软件(Application software)针对用户的特殊需求，而开发、购买或修订的程序(主程序或子程序)，它可执行数据的收集、处理、报告、存档及过程控制。4系统软件(System software)操作操作系统和通用功能的一套程序。在硬件及应用软件之间起接口的作用，且管理计算机的使用。厂家提供诊断性测试，即确认该软件。5实用程序(Utility program)由操作系统的厂家频繁提供的特殊程序。具有通用功能，可执行诸如程序备份、磁带到软盘的文件拷贝等。6软件配置控制程序(Software confi

8、guration control procedure)描述软件变更过程中，须遵循的评估、协调、审批或否决的文件规程。7计算机系统(Computer system)由硬件、系统软件、应用软件以及相关外围设备组成的，可执行某一功能或一组功能的体系。8 计算机化系统(Computerized system)指受控系统、计算机控制系统以及人机接口的组合体系。可以说计算机系统是计算机化系统的一部分。如果计算机系统只是用于数据处理，则计算机系统本身就代表着待验证的全系统。9模块(Module)即实现某种特定功能的单元或程序段。在软件开发中常常将程序各个部分继续划分，直至最小的基层单位，称为模块。10源代码

9、(Source code)以人类可阅读的形式(编程语言)表示的初始的计算机程序，在计算机执行之前，须译成机器可阅读的形式(机器语言)。11伪代码(Pseudocode)也称软件设计描述语言(PDL)，用在详细设计阶段、用以表达程序的逻辑结构、它是以任意的代码形式写于程序语言语句中描写程序和子程序的普通语言(例如英语)，反过来也可以说它是计算机程序的英语翻译(表达)。54012硬件(Hardware)由电子线路组成，受软件控制的实物装置。13软件(Software)指控制计算机系统或计算机化系统运行的程序、主程序或子程序的总称。14软件确认(Software qualification)包括结构

10、(源程序)测试；功能(模块黑盒)测试、接口(结构与功能)测试、模块组装测试。15静态测试(Static testing)在不具体执行某程序的条件下，评估程序的过程。16结构测试(Structural testing)保证程序编制符合特定的功能需求，程序能有效、简洁、可靠运行的技术性测试。17HIPO 图(HIPO chart)用方便于编程人员与用户间联络的方式，定义和记载程序编制系统的一种软件图示法。HIPO 是英文Hierarchy Pluslnpput-Process-Output 的缩写。它是1976 年由IBM 公司提出的。一开始只是作文件编写的格式要求，随后发展成为比较有名的软件设计

11、手段。18外围设备(Peripheral equipment)指计算机系统的处理机、存贮机以外设备(如驱动器、标绘器、打印机、终端等)。19黑盒测试(Black box testing)将系统(软件和硬件)看作不能打开的黑盒，在不考虑系统内部结构和特性的情况下，测试者只依靠系统需求说明书，从可能的输入条件和输出条件中确定测试数据，也就是根据系统的功能或外部特性，设计测试用例(例如功能测试)。20白盒测试(Wite box testing)即结构测试或逻辑驱动测试。这种测试允许测试者考虑系统的内部结构，并根据系统内部结构设计测试用例，而不考虑系统的功能。21安装确认(1nstallation q

12、ualification)确认系统的安装符合设计标准，并对所需要的软件及硬件的技术资料、图纸、操作手册等文件进行确认。22运行(操作)确认(Operation qualification)确认系统的各项运作功能符合用户需求标准。系统运行确认应在一个与正常工作环境隔离的测试环境下实施，但应模拟生产环境。23性能(工艺)确认(Performance qualification)确认系统运行过程的有效性和稳定性，应在正常生产环境下进行测试。测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试)，测试应在正常生产环境下(相同条件下)重复三次以上。24电子记录(Electr

13、onic record)电子记录是指依靠计算机系统进行创建、修改、维护、存档、找回或发送的诸如文字、图表、数据、声音、图像及其他以电子(数字)形式存在的信息的任何组合。25电子签名(Electronic signature)电子签名是指计算机对一些符号的执行、采用或者被授权的行为进行数字处理，这些行为是指在法律上完全等效于传统个人手工签名的一种个人行为。26封闭系统(Closed system)封闭系统是指系统通道处于一种能够被一定的人员所控制的环境，该人员有权限在系统上进行电子记录的操作，如被拥有者所使用的个人计算机。27开放系统(Open system)开放系统是指系统通道处于一种不能够被

14、有权限在系统上进行电子记录操作的人员所控制的环境，如电子信件(E-mail)、在因特网上发送信息等。541第四章 英文缩写解释GMP相关的计算机英文缩写解释见表6-1。表6-1 GMP相关计算机英文缩写解释英 文 缩 写 中 文 解 释BPCS(Business planning contro1 system) 业务计划及控制系统FAT(Factory acceptance testing) 工厂(供户处)可接受试验IQ(Installation qualification) 安装确认LAN(Local area network) 局域网LIMS(Laboratory information

15、management system) 实验室信息管理系统MRP(Materials requirements planning) 材料需求计划系统OQ(Operation qualification) 运行(操作)确认PID(Process and instrument diagram) 过程及仪器装备图PLC(Programmable 1ogic contro11er) 可编程序逻辑控制器PQ(Performance qualification) 性能(工艺)确认SAP(Systems，application and products in data processing) 系统、应用及产品

16、数据处理系统，一种具有材料控制系统，产品成本核算及需求管理功能的计算机控制系统SAT(Site acceptance testing) 现场(用户处)可接受试验SCADA(Supervision，control and date acquisition) 管理、控制及数据获得系统SDLC(System development 1ife cycle) 计算机系统发展生命周期SVLC(System validation life cycle) 计算机系统验证生命周期WAN(Wide area network) 广域网URS(User requirement specification) 用户需求说

17、明542第五章 计算机系统分类在实施计算机系统验证之前，应首先对计算机系统进行评估及分类，以便针对不同类型的计算机系统实施不同程度的验证。计算机系统其根据其标准化程度及用户自行设计的程度划分为表6-2中的5种类型。表6-2 计算机系统分类分 类描 述验证方法操作系统、网络已建立的商业可利用性网络和操作系统，如：DOS、UNIX、Novell、WindoWS 9598NT确认名称及版本号标准设备、微控制器、灵敏仪器这些系统是由非用户设计的固件驱动的，此固件可以插入在一个应用软件特定集成电路(ASIC)中、只读存贮器(ROM)、短暂存贮器或有时在可编程逻辑控制器(PLC)中。如条形码解调器、单循环

18、控制器、填充器、检重仪、温度控制器等确认构造及配置标准软件包商业现成的软件包(COTS)，如电子制表软件、标准化学分析软件等验证应用过程可配置软件包该系统允许用户通过配置预先确定的软件模块及开发新的应用软件模块来发展他们自己的应用软件，如人机对话接口(HMl)、管理控制及数据获得系统(SCADA)、实验室自动控制系统(LAS)、实验室信息管理系统、物料需求计划系统(MRP)、系统应用及产品数据处理系统(SAP)、部分可编程序逻辑控制器(PLC)等供户审核、验证应用过程和一些预定码客户自设计系统该系统是根据客户的需求进行修改或开发的实施计算机系统验证的全过程543第六章 计算机系统发展及验证生命

19、周期计算机系统验证行为取决于系统发展的生命周期(System development life cycle)。 SDLC是一种模式，它定义了计算机系统由概念初始到结束这一全过程，这一生命周期对于硬件和软件都适用。应首先建立一个概念，计算机系统的验证不只局限于系统的使用过程，新系统的验证应始于系统初期的定义和设计阶段，终止于系统无使用价值阶段。验证生命周期(SVLC)应伴随着系统发展的整个生命周期(SDLC)。系统发展的生命周期可划分为以下8 个阶段：可行性研究、工程计划、需求定义、系统设计、系统测试、系统验收及确认、使用和维护、系统引退。图6-2 给出系统发展生命周期的瀑布模型。在实际应用中，

20、还常把这些阶段粗分为计划、开发和维护3 个阶段。应当注意，由于理解能力及环境变化等限制，每个阶段的工作不可能直线地顺利执行，出现各阶段间的回复及重新复审是不可避免的。每个阶段都要按要求产生一定的文件交付给下一阶段，使下一阶段在所提供的文件的基础上继续开展工作。当然不是所有计算机系统均应进行全过程验证，评估和分类后，应根据其标准化程度及用户自行设计的程度来决定其所需要的验证行为。表6-3 详细地列出了SDLC 阶段不同类型的计算机系统所应交付的验证工作。表6-3 SDLC阶段不同类型的计算机系统所应交付的验证工作第七章 验证实施过程第一节 可行性研究可行性研究阶段是SDLC 的第一个阶段。此阶段

21、要求从技术及经济等方面系统地研究并论证开发变更计算机系统的可行性，包括目的、概念定义、规模、风险分析、投资分析等。其相关信息的收集被用来建立系统验证规模及申请开发费用。第二节 工程计划一、工程计划工程计划用于规划所有工程及验证活动，包括计算机化工程的组织结构、各部门个人的职责、工程进度表(包括所有SDLC 阶段和相应的SVLC 阶段)、文件交付、审核和批准要求等。二、供户评估应对计算机系统供户进行评价，以确保其系统能力及所提供的产品满足计算机系统验证要求。供户评价包括以下内容。(1)根据系统概念定义及判断选择供户，注意评估外部资料对标准要求的符合化及与系统要求文件的一致程度。(2)对供户质量体

22、系进行审计，审计内容包括系统开发者的内部质量管理程序。技术能力评估。软件开发标准及软件测试能力。程序编制人员的资格审定。硬件开发及制造能力。变更控制。售后服务。系统安全性。供户审计报告应纳入验证档案。三、验证计划验证计划伴随着工程计划一起，用于指导整个计算机系统验证活动。验证计划包括(1)系统描述构造(2)适用的政策、程序及指导方针(3)责任(4)供户评价审计(5)设想/排除局限性(6)文件系统、技术和操作(7)验证文件的保持(8)测试程序(9)可接受标准(10)偏差处理(11)变更控制(12)安全线546(13)备份存档灾难恢复(14)人员培训(15)验证草案和报告(IQ、OQ 及PQ)四、

23、费用申请费用申请为整个工程及验证活动提供充足的资源和预算。第三节 需求定义需求定义阶段提供新的改变的计算机系统所期望达到的详细的、可衡量的需求，所有需求将用来确定系统设计标准。需求定义阶段主要是提供用户需求说明(URS)。用户需求说明由系统用户和系统项目专家制定，详细说明计算机系统的基本业务需求、期望及性能指标。包括如下内容。一、系统说明说明全系统要做什么，模块间怎样连接及相互作用，控制方式，执行的过程，操作人员对接口的要求及安全性要求等。二、物理要求物理要求包括有效空间、位置、所处的环境等。三、硬件文件标准硬件文件标准包括图纸、流程图、手册、部件清单等。四、软件文件标准软件文件标准包括程序编

24、号及修订号、打印出的程序及详细解释、复制件的提供及贮存条件、系统框图及配置清单。五、测试要求系统开发过程中所要求进行的测试项目及记录。包括单独模块测试及集成测试等。六、其他其他提供给供户的要求。包括对已完成的系统的验证要求、关于在设计开发过程中的质量控制和变更控制要求等。用户需求说明中的所有条款将直接作为制定IQ、OQ 及PQ 草案的依据。第四节 系统设计一、系统设计所有的需求被转化为计算机系统硬件和软件的技术设计。具体包括如下。硬件设计标准将定义如标准仪器、微控制器、可编程序逻辑控制器(PLC)等。软件设计标准将定义系统的整体框架、计算机语言、界面、屏幕设计、数据流程图、报告设计、图表设计、

25、运算法则、安全测试、系统结构图、IO 图、工程制图、流程图解、程序体系图解、详细说明和一个数据字典。二、源代码和配置必须根据已定义的标准编写、维护和使用源代码。源代码包括所有组成系统的目标、变量、逻辑及配置程序，源代码被用于软件开发过程中的技术查阅及系统使用后的维护活动。三、系统设计文件系统设计文件一般由供户制订，但必须经过用户审核及认可后方可实施。547第五节 系统测试该阶段的主要任务是发现并排除在分析、设计、编程各阶段中产生的各种类型的错误，以得到可运行的计算机系统。系统测试和确认过程与系统的需求定义、设计及编程阶段相对应，如图6-3 所示。单元测试及组装测试一般在供户处进行。一、单元测试

26、单元测试是对系统的每一个模块进行独立测试，其目的是找出与模块的内部逻辑有关的错误。单元测试一般以白盒法为主。二、集成测试集成测试根据系统设计中各功能模块的说明及制定的组装测试计划，将经过单元测试的模块逐步进行组装和测试。每并人一个模块，都要找出由此产生的错误。集成测试一般以黑盒法为主。注：测试的难点在于如何选择测试用例，选择一个好的测试用例，可以最大限度的发现系统中所存在的错误，以对重要数据结构的正确性进行全面检查。白盒法一般根据程序内部结构设计测试用例，亦称逻辑覆盖法，包括语句覆盖(使每一个语句至少执行一次)、判定覆盖(使程序中的每一个判定至少出现一次“真值”和一次“假值”)、条件覆盖(使每

27、一个判定中的每一个条件都取得各种可能的结果)等。黑盒法则是根据系统功能需求来构造测试用例，常用如下4 种方法：等价划分法(将系统的输入区域划分为若干等价类，用每个等价类中的一个具有代表性的数据作为测试数据)、边界值分析法(尽可能选取边界值作为测试数据)、因果图法(在系统功能说明中找出各种因果关系，设计测试用例)、错误推测法(推测系统容易发生的各种错误，设计能检查出这些错误的测试用例)。第六节 系统验收及确认当最终的计算机系统及相关的文件发至用户，其被安装在用户环境中并评价其功能的正确性。确认测试(安装确认、运行确认及性能确认)是计算机系统付之实际使用之前的既完整又系统的测试，它直接影响到计算机

28、系统的使用质量。也就是说，确认测试是计算机系统质量保证的最后一个环节。尽管确认测试的某些部分是在单元测试和组装测试相同的条件下进行的，而且所用的数据相同，但确认测试仍是必要的。确认测试一般由用户执行。一、安装确认(IQ)安装确认的目的是保证系统的安装符合设计标准，并保证所需技术资料俱全。具体确认内容包括如下。(1)各种标准清单，包括使用者要求、功能性要求、物理要求、系统标准。(2)各种标准操作程序(SOP)，包括硬件和软件的操作、预防维修、备份和数据存档、灾难(断电、硬软件损坏等)恢复及系统退役。(3)配置图，配置图是控制系统的概图，包括以下内容。整个系统概图。各个中央处理器(CPUS)包括插

29、件指定的配置图。输入输出装置接线图。控制回路图。548状态转变图。网络接线图。硬件驱动网络驱动指示树，可包括逻辑的和物理的驱动指定。(4)硬件和软件手册，包括安装、操作、维修保养手册。(5)硬件配置清单，包括已安装系统的所有组成部分，对于芯片、微处理器或 EPROM，应记录其修订版号。(6)软件清单和源代码的复制件列出与系统有关的所有软件和软件版本，并保证所有软件的复制件都归入档案，安全存放。应存放以下几种软件。源代码产生器或编辑器、源代码(包括初级排序、功能和报告的产生)、操作系统、诊断程序、存档备份程序。(7)输入输出(IO)清单及连续性检查。连续性检查是保证信号可从控制系统发至装置并又可

30、从装置返回至控制系统。(8)环境和公用工程测试确认并记录系统安装的环境，包括清洁度、射频电磁干扰、振动、物理安全性、噪声、照明。记录关键公用工程系统的情况，并确认公用工程系统的关键性质与功能说明书相符。包括火警通告抑制、冷却系统、电力及调节、不间断供电、WAN 连接、LAN 连接、灾难恢复接线、电话数码模拟。确认并记录系统符合安全及人机工程的要求。(9)结构测试(白盒法)，主要指源代码的结构测试。对以下各项进行确认。遵循模块化程序设计。无无效代码。按照标准进行识别、修订、注解和评论。算法公式和计算准确。模块排序准确。关键上属性、报警等锁存准确。保持惟一的逻辑输入输出。数据贮存寄存器是惟一的。定

31、时器和定序器设定准确。(10)确认整个安装过程符合操作手册要求。二、运行确认(OQ)系统运行确认的目的是保证系统和运作符合需求标准。系统运行确认应在一个与正常工作环境隔离的测试环境下实施，但应模拟生产环境。具体包括如下。(1)系统安全性测试挑战所有逻辑系统，诸如各工作层的使用权限，证明各安全层面的允许权限未经授权的操作得到禁止。确认系统外围的安全性，诸如IO 总线卡，操作人员接口终端等。(2)操作人员接口测试，确认操作人员接口系统的功能。(3)报警、互锁功能测试。(4)数据的采集及存贮，确认系统的数据采集及存贮功能如下。准确的采集、贮存和检索数据；确认数据的输出长度、进位及空值、零及负值的处理

32、能力；自动将数据存档并保存至指定时期。(5)确认数据处理能力，包括算法、统计、利用查表数值及报告的产生等。(6)定时器和定序器测试。549(7)功能性测试(黑盒法)，根据系统定义中所提供的各种要求文件、标准(最好有一张包括运作分支在内的功能图)对系统各功能和各决断通路进行测试。测试应在最高特定条件下进行(如最高通讯负载，大型数据文件的处理等)。(8)断电修复测试复查断电之前，期间和之后的数据采集状况证明数据没有破坏或丢失。测试后备供电、不间断供电和动力调节器、发电机功能恢复是否正常。(9)灾难恢复测试，制造一起系统失效现象，按照灾难恢复程序一步步确认以下各项。现有的数据未被破坏。保证对系统的数

33、据备份有效。(10)制定系统标准操作程序运行确认结果合格后，证明系统具备了能够在正式生产环境下使用的条件，可以在正常生产环境下进行进一步确认。三、性能确认性能确认(PQ)是为了确认系统运行过程的有效性和稳定性，应在正常生产环境下进行测试。测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试)，测试应在正常生产环境下(相同条件下)重复3 次以上。注：当计算机系统取代人工系统时，可以进行平行的验证试验。四、人员培训系统在正式投入使用之前，应对所有相关人员，包括操作人员、维修人员等进行培训，确认其能够按要求正确操作。五、释放通知当确认所有的验证结果符合预先设定的可接受标

34、准，验证报告已得到相关人员审批并完成人员培训后，计算机系统可被投入正式使用。注：在系统的测试、验收及确认过程中，由于理解能力及环境变化等限制，不可避免地会出现结果与预先所设定的可接受标准之间产生偏差的现象。这时必须查清偏差产生的根本原因，采取有效纠正措施进行处理(有时可能会涉及到部分修订系统设计标准)。当每一偏差都得到有效处理后，验证方可进入下一阶段。偏差产生的原因、处理过程及结果均在相应文件中进行记录。第七节 系统使用及维护在发布系统释放通知后计算机系统进入使用及维护阶段。实践表明，任何一个计算机系统在通过各项测试被使用后，随着时间的推移，某些隐藏的问题会逐渐暴露出来；另外随着环境的变化及新

35、的需求的产生，用户需要对系统进行完善。因此在此阶段计算机系统应按以下方法实施监控和修改以确保系统始终保持已验证状态并满足用户需求。该阶段应一直持续到系统引退。一、问题报告计算机系统在使用过程中所遇到的任何问题及缺陷均应进行记录和报告，以便对其运行效果及变更控制结果进行评价。二、变更控制计算机系统经过验证后，保持已验证状态。如果系统发生变更，此种状态将会被破坏。变更类型包括：硬件变更、软件变更及数据库中关键参数的变更。为了维持系统始终处于已验证状态，应对其变更实施控制，具体要求如下。(1)使用部门提出书面申请，包括变更理由、依据、内容及实施方案。(2)由专业技术人员、相关部门领导及质量保证部门对

36、变更进行评估及审批。(3)根据变更影响的范围决定是否应实施再验证。如变更已导致计算机系统的已验证状态发生偏移(如增加了某些功能等)，系统必须针对变更部分实施再验证。决定实施再验证后，计算机系统将开始生命周期的另一循环。如经过评估确认不实施再验证，应有充分的依据作支持。(4)所有变更必须经过相关人员批准后方可实施，不允许自行改变系统任何部分。(5)变更应充分考虑是否对其他相关系统产生影响，需针对其他受影响系统进行评价，必要时会对其他系统实施再验证。(6)所有的变更申请、评估、审批及再验证活动均应有文件记录，以使之具有可追踪性。表6-4 给大家推荐了一种变更审批表的形式。三、系统管理系统管理的执行

37、将确保对计算机系统实施合适的维护，并保持系统数据的完整性。四、安全程序必须定义控制计算机系统物理及逻辑通道的安全程序，例如必须清楚定义增加或移动用户的安全程序，保证使未授权的或漫不经心的操作得到控制。安全程序涉及如下范畴。1系统软件及应用软件安全性。2硬件安全性。3建筑安全性。五、备份存档灾难恢复必须制定和审批相应文件以控制系统备份计划、恢复程序、存档需求、非定点媒体贮存及出现系统丢失事件时的灾难恢复程序偶发事件计划。六、维护日志维护日志应记录所有计划的及非计划的维修活动。系统维护和变更控制是保证系统在受控及已验证状态卜运行的两大关键。七、周期性回顾系统的变化一般可分为两种。一种为已知的、有形

38、的变化，这种变化应按照以上所述的变更控制要求执行。而另一种变化是系统在长期频繁使用中，由于时间的变化、环境的变化、人员的变化、硬件的磨损等诸因素，而导致的一种未知的、无形的变化。对于这种变化，需要对系统进行周期性回顾(回顾周期一般建议为3 年)，以确保：(1)系统运行始终处于已验证状态；(2)系统维护严格按相关程序执行；(3)系统文件及时而准确地反映了现行计算机系统的运行情况。如果通过回顾，发现计算机系统的已验证状态已发生偏移，系统必须实施再验证(图 64)。系统回顾的范围、方法及结论均应有文件记录，以使之具有可追踪性。八、培训人员培训是一个持续过程，应确保所有使用、维护及开发计算机系统的人员

39、均得到堵训。第八节 系统引退当一个计算机系统的现行功能实施不再适用，或执行一个新系统替代现有系统的功能时，该系统就从实际使用中引退。此阶段是SDIC 的最后一个阶段，其目标是要消除对原系统的依赖并提供一个如何从原系统中取回相关数据的方法。一、 工程计划(引退系统)制定一个工程计划以确定引退工作的步骤、鉴别将要替代原有系统的新系统、引退过程的期限及相关责任。确定原系统数据是否应按照一定的格式存档。如果原系统被另一个系统替代，存档的数据应该被装载在替代系统中，数据成功转移的确认是新系统验证的一部分。系统引退时，应通知到所有受影响的用户，并完成以下工作。撤销系统特殊的程序。切断系统通道。整理系统所有

40、逻辑值、符号和菜单参考。删除所有软件和工作环境下存档的电子记录。二、系统引退报告统引退报告用于总结整个系统引退工作的实际执行结果，确认是否按要求正确实施引退活动。第八章 验证分工与职责执行计算机系统的验证最重要的是组织好验证和作好文件编制。而组织好验证，进行合理分工，落实各自的责任，提供人力资源，是有效进行验证工作的最根本的保证。应该注意，计算机系统验证实际上不是某一个单独部门的工作，而是应该由一个跨部门的验证小组来实施。在该小组内，来自各部门的人员既有明确分工，又要相互合作。下面描述的是参与计算机系统验证各方的分工与职责。第一节 用 户用户是计算机系统的直接使用者，最了解系统使用的需求、容易

41、产生的问题、系统的适用性等，因此其应担当如下的职责。一、确定系统需求用户要保证需求定义中正确定义系统需求，并准确地反映功能需求。二、计算机系统验收及确认用户是计算机系统验收及确认的主要实施者。包括起草确认测试(安装确认、运行确认及性能确认)方案、执行确认测试、参与偏差处理及评价确认结果、起草确认测试报告等。三、系统使用用户必须保证系统专用，包括保证系统由合格的、接受过培训的人员操纵。四、培训用户有责任对使用人员(特别是新人员)提供专门培训，包括开展并执行培训计划、准备培训材料等。五、标准操作规程对系统的使用，用户需建立并遵循系统的标准操作规程。六、系统安全性用户应保证各工作层使用权限，禁止未经

42、授权的操作得到执行。另外，用户在数据存贮、处理、检索中对保证安全的数据环境负有责任。七、变更控制当使用过程中发现有不便之处时，可对系统的变更提出书面申请。所有变更必须经过相关人员批准后方可实施，不允许用户自行改变系统任何部分。八、系统周期性回顾参与对系统进行周期性回顾，并形成文件记录。第二节 供 户供户是计算机系统的设计者与开发者，有责任保证所开发的计算机系统满足供户提供的系统需求定义及说明。其担当的职责如下。一、系统设计及开发充分了解用户需求，严格按用户需求说明(URS)设计和开发计算机系统。如果在开发过程中发现有需要修改的内容，必须与用户取得联系，征得用户同意后方可进行修改。二、接受供户质

43、量体系审计当用户提出要进行供户审计时，供户需通力合作。准备相应的文件资料，并提供现场审计条件，以向用户证明自己的计算机系统开发能力及质量保证水平。三、系统测试在供户处完成系统测试，包括单元测试及组装测试。有责任设计较为完善的测试用例，最大限度的发现系统中所存在的错误，以对系统运行的正确性进行全面检查。必要时，可邀请用户一起参与系统测试工作，以便及时发现问题及时处理问题，避免产生无法挽回的设计缺陷。四、系统安装及调试供户有责任帮助用户完成计算机系统的安装及调试工作，必要时可与用户一起完成系统的确认测试工作，以便确认系统是否完全满足用户需求。五、提供培训供户应为用户提供一定的技术培训，使用户能够掌

44、握操作和维护计算机系统的技术技能。六、售后服务计算机系统在使用和维护过程中，供户有责任为用户提供系统售后服务，包括：硬件的修复与更换、软件版本升级、系统运行故障修复等。第三节 IT 部门(或系统维护部门)IT 部门在计算机系统的开发、使用及维护过程中提供技术支持。其承担如下职责。一、系统管理规程建立任何一个计算机系统从需求定义、设计、组装、测试、验收到使用及维护整个系统 生命周期内所必须遵循的标准和管理规程要求，并控制其实施过程。二、系统需求定义帮助用户建立系统需求定义，审核用户需求说明书(URS)。三、供户审计从技术角度完成供户审计工作，包括供户技术能力评估、软件开发标准及软件测试能力审核、

45、程序编制人员的资格审定、硬件开发及制造能力评估等。四、系统测试提供系统测试计划，建立测试环境，完成或帮助用户完成系统的测试工作，以保证系统的功能性。包括与供户一起完成部分单元测试和组装测试，与用户一起完成系统的确认测试(安装确认、运行确认和性能确认)，起草或审核测试方案及测试报告，完成测试工作中的偏差处理等工作。五、变更控制从技术角度对计算机系统的变更实施控制，包括对变更申请的评估、审核，变更过程的控制、测试以及版本升级的管理等。六、系统维护完成计算机系统软硬件的部分维护工作，如硬件的定期预防维护、故障维修、备品备件的更换、软件备份存档灾难恢复、保持系统数据的完整性等。七、周期性回顾参与对系统

46、进行周期性回顾，以对系统进行定期评价。第四节 质量保证部门质量保证部门(QA)从GMP 的角度对计算机系统的整个验证工作实施控制及监督。起主要职责如下。一、建立验证管理规程根据GMP 要求，建立计算机系统从开发、验收、到使用及维护整个生命周期内所应该实施的验证要求，确保验证过程及已验证的计算机系统运行效果符合GMP 规范要求。二、审批验证文件对所有的验证文件，从GMP 角度进行审核及审批、包括：用户需求说明书(URS)，安装确认、运行确认和性能确认方案及报告等。三、供户审计从GMP 角度完成供户审计工作，包括系统开发者的内部质量管理体系审核、变更控制、文件管理等。四、验证实施控制对所有验证实施

47、过程进行控制，包括人员是否培训、是否严格按验证方案实施、结果是否符合预先设定的可接受标准、偏差是否得到有效处理等。五、变更控制从GMP 角度对计算机系统的变更实施控制，包括对变更申请的评估、审批，变更过程的控制及对最终实施效果的确认等。六、系统周期性回顾对已验证过的所有系统进行汇总并列出一个总清单，定期组织相关部门(用户、IT 部门等)对已验证过的计算机系统进行周期性回顾，以确保其始终有效运行。七、验证文件管理所有的验证文件原件均在QA 处存档，这些资料构成每一个计算机系统整个生命周期的重要档案，具有原始的可追踪性。验证文件包括：用户需求说明书(URS)；系统设计文件；在供户处进行的单体测试及

48、组装测试报告；安装确认方案及报告；运行确认方案及报告；性能工艺确认方案及报告；供户审计报告；变更审批表；偏差处理表；系统再验证方案及报告；系统周期性回顾报告。第九章 计算机系统验证举例(PLC 系统验证)第一节 PLC 系统简介PLC 是可编程序逻辑控制器(programmable logic controller)的缩写，是一种数字运算操作的电子系统，专为在工业环境下应用而设计。它采用可编程序的存贮器，用来在其内部存贮执行逻辑运算、顺序控制、定时、计算和数字运算等操作的指令，并通过数字式、模拟式的输入和输出，控制各种类型机械或生产过程。PLC 系统在制药企业常被应用于以下4 个方面。生产设备

49、的过程控制。检验仪器的控制。水处理系统的运行控制。空气净化系统的运行控制。第二节 PLC 系统验证实施PLC 作为设备或公用设施的一部分被安装在设备或公用设施上，因此在实施拥有PLC的设备或公用设施验证时，应进行机械及计算机两部分验证。本文仅依据前面所述的计算机系统验证规范要求，对PLC 系统的一些重要的、特殊的验证行为进行如下阐述。一、需求定义(URS)PLC 系统需求定义对其设计、开发、测试及验收都起着关键性的作用，用户必须进行详细、全面、准确的定义。在编写PLC 系统需求定义说明时，除了包括前面上述的计算机系统需求定义所要求的内容外，应对其控制方式进行详细的定义和要求，如以下控制方式要求

50、。(1)逻辑控制要求(顺序控制) 如加料顺序、物料存放与提取等。(2)分选控制(检测与剔除) 如漏片检测与剔除等。(3)互锁控制。(4)报警控制。(5)位置控制。(6)速度控制。(7)温度控制。(8)压力控制。(9)时间控制。(10)计数。(11)其他多极控制等。二、系统设计1控制系统配置图设计(1)系统的PID 图。(2)IO(输入输出)接线图。(3)控制器件排列图等。2硬件设计其中包括以下主要内容。(1)所有的IO(输入输出)接口模板及型号。(2)选择CPU。(3)通讯模板。(4)人机界面控制器。(5)选择显示屏。(6)中间继电器。(7)存贮器。(8)打印机。(9)辅助电源。(10)电子元

51、件、电线、电缆。(11)其他器件等。注：在进行硬件设计与选择时，如果有可能与产品接触的部分，其材质及接触表面应符合GMP 要求。如不与产品产生反应、耐腐蚀、表面光洁、易清洗等。3软件设计PLC 所要求的功能被转化成软件，再通过所选择的硬件来实现。软件设计包括以下3 部分。(1)系统软件 选择后作为分类1，在安装确认(IQ)时仅鉴别并记录其版本号即可。(2)应用软件 根据需求定义中所要求的各种控制方式来设计应用软件，其可以被集成或重新开发，可作为分类4 或5 来实施验证。(3)数据 一个PLC 系统可以产生大量的数据，有一些数据需要存贮在一个独立的系统中以便查询和追踪。为了保证数据的完整性，必须

52、设计数据的传送流程及存贮地址。三、安装确认(IQ)1文件确认(1)用户技术指南。(2)标准操作程序。(3)培训计划。(4)售后服务协议。(5)安全程序。(6)设备台账。(7)硬件确认。(8)软件确认 包括安装程序、系统软件清单、应用软件清单、数据流程图及数据字典，注意进行版本确认及记录。(9)程序原代码。(10)仪器仪表清单。(11)技术标准及图纸。(12)仪器仪表校验程序。(13)PID 图。(14)控制回路图。(15)IO(输人输出)清单及接线图。(16)备品备件清单。(17)预防维修程序。2安装过程确认整个安装过程符合PID 图及安装程序要求。3环境和公用工程确认(1)确认并记录系统安装

53、的环境 包括清洁度、射频电磁干扰、振动、物理安全性、温度及湿度等。(2)确认并记录关键公用工程系统的情况 包括：电源供应、压缩空气等。4系统测试及确认(1)首先确认供户提供的FAT 测试报告 包括：单元测试及集成测试报告。(2)在现场操作环境下，对系统进行一些必要的测试(SAT)，主要内容包括如下。仪器仪表校验或确认。IO(输入输出)信号测试。控制回路测试。数据采集、传送、存贮信号测试。其他测试。四、运行确认(OQ)在现场操作环境下，对系统的所有功能进行确认测试。OQ 测试亦是SAT 测试的一部分，只是侧重于系统安装后的所有功能性测试。应将系统运行分别置于正常条件下、边界条件下及警告条件进行测

54、试，以便对系统进行全面评估。运行确认主要内容包括如下。(1)系统安全性测试，如编程器的使用权限等。(2)系统需求定义(URS)中所要求的各种过程控制功能测试。(3)报警功能测试。(4)互锁功能测试。(5)数据处理、存贮准确性测试。(6)断点恢复功能测试。(7)其他功能测试。注：在FAT 中所测试的项目没有必要在IQ 或OQ 中全部重复进行测试，对一些关键性的项目及容易受到安装、操作环境影响的项目(如：控制回路等)，应该在IQ 或OQ 中进行重复测试；表6-5、表6-6 以生产用水制备系统PLC 控制为例，列出了其运行确认方案及报告格式、编写方法，供大家参考。安装确认及性能确认方案及报告的内容也

55、可以参照其编写方式。五、性能确认(PQ)性能确认是为了确认PLC 系统在正常生产环境下，其运行过程的有效性和稳定性。测试项目依据对系统运行希望达到的整体效果而定，并应该进行重复确认。1对于批生产的设备，应对生产出的产品质量特性进行检验，以确定其各种过程控制功能的有效性，如含量检验、包装质量检验等。应该在相同生产条件下连续重复3 次以上。2对于连续过程处理的设备，如空气净化系统，应在一定时期内对尘埃离子、微生物、温湿度、空气流向、压差、换气次数等指标进行监测。水处理系统，在一定时期内对微生物、总有机炭、化学指标、电导率、温度等指标进行监测。注：由于PLC 系统是安装在生产设备或公用实施中，是设备

56、(设施)的一部分，同其他部分(如机械部分)一起共同实现设备功能。因此PLC 系统的工艺性能确认可以同该设备(设施)的工艺性能确认结合在一起完成。表6-5 生产用水制备系统PLC 控制运行确认方案一、验证对象描述及验证目的我公司生产用水制备系统整个运行过程采用PLC 自动控制模式。该控制系统是制造厂商预先按用户要求(URS)开发编程的，PLC 根据操作人员指令及外部实际工作状态，通过相应输入信号的检测，在内部经过运行程序逻辑判断、运算、把结果通过输出口去控制外部相应执行机构动作，从而完成生产用水制备系统整个运行过程自动控制功能。通过该PLC 系统可以控制以下过程及操作：1系统正常运行操作(启动、

57、停止等)2系统升温灭菌3清洁蒸汽吹扫灭菌4电导超限报警5通过本次验证，确认该PLC 系统的运行能够满足使用者的功能要求及设计标准，其控制功能有效、可靠，符合 GMP 要求。二、验证项目、实施方法及可接受标准1系统安全性确认确认方法：先由无编程权限的一般操作人员打开应用程序进行编程，然后再由有编程权限的系统维护人员持编程器进行编程及修改参数。可接受标准：(1)无编程权限的一般操作人员无法打开应用程序；(2)有编程权限的系统维护人员持编程器可以打开应用程序进行编程及修改参数。2系统正常启动控制确认方法：当确定外部电源、气源、运行参数都在规定的范围内，在人机界面选择生产用水制备及分配画面，然后在控制

58、盘面上选择运行功能键。可接受标准：系统打开运行电机，紫外灭菌灯电源，并根据自身运行状态(液位、温度、电导等)自动调节冷冻水、蒸汽调节阀、流量调节阀、及管路开关阀。待各个动作机构的反馈信号在规定的时间范围内产生并正确无误后，系统进入正常的运行状态。3电导超限报警控制确认方法：用外接的模拟电流信号模拟去离子水电导超标现象，观察系统运行情况。可接受标准：系统自动停机，并有报警信号产生。4断电恢复功能确认方法：在运行中，断开供电电源，观察PLC 系统及整个系统运行情况，PLC 程序、设置的参数及时实数据保存情况。然后再恢复电源，观察系统恢复情况。可接受标准：(1)断开供电电源后，PLC 控制系统停止运

59、行，同时整个系统运行停止；(2)断开供电电源后，因PLC 内部有备用电池及EPROM 存贮器支持，程序、设置的参数及时实数据被保存起来，没有丢失。(3)恢复电源后，系统恢复停电前的状态。5三、运行确认所需相关技术支持文件1用户需求说明书(URS)2PLC 系统设计标准3控制系统PID 图4IO(输入输出)接线图5供户提供的FAT 测试报告6用户技术指南7标准操作程序8表66 生产用水制备系统PLC 控制运行确认报告一、运行确认执行情况概述本次运行确认以生产用水制备系统PLC控制运行确认方案(编号：)为依据，按方案中所规定的确认项目及方法进行确认并记录，执行过程中未出现过变更及偏差。二、运行确认

60、结果l. 系统安全性确认确认方法 可接受标准 确认结果无编程权限的一般操作人员打开应用程序进行编程无编程权限的一般操作人员无法打开应用程序符合要求有编程权限的系统维护人员持编程器进行编程及修改参数有编程权限的系统维护人员持编程器可以打开应用程序进行编程及修改参数符合要求确认人： 日期：年月日复核人： 日期：年月日2.系统正常启动控确认方法 可接受标准 确认结果系统打开运行电机，紫外灭菌灯电源 符合要求根据自身运行状态(液位、温度、电导等)自动调节冷冻水、蒸汽调节阀、流量调节阀、及管路开关阀符合要求当确定外部电源、气源、运行参数都在规定的范围内，在人机界面选择生产用水制备及分配画面，然后在控制盘

61、面上选择运行功能键 各个动作机构的反馈信号在规定的时间范围内产生并正确无误后，系统进入正常的运行状态符合要求确认人： 日期：年月日复核人： 日期：年月日3电导超限报警控制确认方法 可接受标准 确认结果系统自动停机 用外接的模拟电流信号模拟去离子水 符合要求电导超标现象，观察系统运行情况 有报警信号产生 符合要求确认人： 日期：年月日复核人： 日期：年月日4断电恢复功能确认方法 可接受标准 确认结果PLC 控制系统停止运行，同时整个系统运行停止断开供电电源，观察PLC 系统及整个系 符合要求统运行情况，PLC 程序、设置的参数及时实数据保存情况程序、设置的参数及时实数据被保存起来，没有丢失符合要求恢复电源，观察系统恢复情况 系统恢复停电前的状态 符合要求5 .三、运行确认结论通过运行确认结果可以看出，我公司生产用水制备PLC控制系统的运行能够满足使用者的功能要求及设计标准。控制功能的符合性及有效性得到了证明，系统具备了能够在正式生产环境下使用的条件。第十章 电子记录及电子签名第一节 采用电子文件的优越性目前，随着电子计算机技术的发展，越来越多重要的电子文件(非纸张文件)应用于制药企业的生产及产品的开