版GMP附录《计算机化系统》解读汇报.docx

1、版GMP附录计算机化系统解读汇报2010版GMP附录计算机化系统解读 2015年5月26日，国家食品药品监督管理总局（CFDA）正式发布了2010版GMP的新附录之一计算机化系统，并于2015年12月1日起执行，引起了国内制药行业的广泛讨论和高度关注。一、本附录出台的背景1、与国际化接轨的要求。国内外GMP法规有许多差异，而对计算机化系统的要求差异尤为明显。CFDA所执行的2010版GMP法规内容与国际上其他法规机构的cGMP法规是对等的，如FDA 21 CFR Part 211。但美国的制药企业除了执行 21 CFR Part 211以外，同时还要遵守21 CFR Part 11法规；欧盟国

2、家的制药企业除了执行欧盟GMP以外，还要遵循Annex 11法规。FDA的21 CFR Part 11与欧盟的Annex 11的内容是类似的，都是针对于制药企业使用计算机化系统的法规要求。新颁布的计算机化系统法规附录是国内法规与国际接轨的重要一步，填补了国内对于计算机化系统要求的法规空白，是实现与国际法规监管机构之间相互认可的前提条件之一。2、行业发展的要求。随着中国医药行业信息化的发展，计算机化系统在药品生产过程中的应用不断增多，制药企业和相关软件厂商运用信息技术和系统控制技术提升生产效率、改进生产和质量管理成为医药行业计算机化系统应用的重要方向之一。因此，如何对计算机化系统进行有效地验证就

3、成为制药企业质量管理体系中的重要环节，CFDA在药品生产质量管理规范(2010年修订)(GMP)中也将计算机化的仓库管理系统和其他相关计算机软件的变更纳入变更控制范畴要求。3、监督管理部门监管的需要。从认证检查中发现的问题来看，无菌制剂企业GMP认证中检查缺陷主要分布在质量管理、质量控制与质量保证，机构与人员，厂房与设施，设备，物料与产品等11个方面。非无菌制剂企业的跟踪检查中发现的典型问题则包括未定期对关键系统完成再确认或再验证，企业的质量管理体系运行存在问题等。当前我国药品质量标准不断提高，各项法规政策不断完善，从标准层面来说已经达到了较高的水准，但是企业是否执行是一个大问题。少数企业存在

4、生产数据作假、篡改、删除等现象，标准形同虚设。过去，国内药品GMP认证检查、跟踪检查中比较关注纸质文件、记录的真实性，而对于电子数据的完整性和计算机化系统的验证等问题未给予足够关注。因此，计算机化系统附录发布后对于打击生产过程中的数据作假，提升整个行业的诚信水平将会是一个有效的手段。二、附录的核心要求计算机化系统法规附录究竟讲了哪些内容？其实，许多制药企业对它的内容并不陌生，因为这则法规于2013年作为征求意见稿已经添加到新版GMP法规附录中。该附录内容并不多，全文共24条要求、6页，共计2500字。计算机化系统附录结合了国际新的趋势及热点理念，比如基于风险-质量风险管理要贯穿系统生命周期全过

5、程；基于科学-对流程和产品充分理解；采用软件分级管理的策略；基于质量体系-有效质量体系下实施计算机化系统（及电子数据）管理；基于生命周期-在整个生命周期内保持计算机化系统验证受控状态等。其也包含了国际制药工程协会（ISPE）GAMP5良好自动化生产实践指南中的一些知识观点：如软件分级管理、供应商审计、物理的和逻辑的防护、权限管理、审计跟踪、电子数据的备份与恢复、应急及突发事件管理等。核心要求概括如下： 1、计算机化系统验证的要求 以往，法规对于设备、设施、仪器的确认是一直有要求的，但对计算机软件验证的要求不明确。因而，大部分的制药企业不对计算机系统进行验证，或仅进行最简单的确认。真正按照新版G

6、MP指南基于风险评估进行完整验证的企业不多，仅某些企业有国外业务、需要通过FDA或欧盟审计时才会考虑。而这则法规发布以后，明确对所有的国内制药企业提出进行计算机化系统验证的要求，为计算机化系统验证提供了法规依据。这里尤其值得注意的是，法规附录里要求进行基于风险评估的计算机化系统验证，实际上就是指遵循GAMP5的验证方法学，即计算机化系统验证的形式应该是验证（Validation），通常所说的确认（Qualification，IQ/OQ/PQ）是不够的。 2、数据合规性要求 法规明确了对数据输入的准确性和数据处理过程的正确性要求，以保证数据的合规性。概括来说，对计算机系统合规性的功能要求可以总结

7、为：访问控制、权限分配、审计追踪和电子签名。 访问控制：只有经许可的人员才能进入和使用系统。 权限分配：应当对进入和使用系统制订授权、取消和授权变更的操作规程。 审计追踪：用于记录数据的输入和修改以及系统的使用和变更。 电子签名：明确了直接对电子数据进行电子签名是合规的，但电子签名需要符合相应法规。 其中，电子签名是“可以有”，而不是“必须”，这取决于企业对于主数据的定义是电子数据还是纸质数据。对于审计追踪记录的要求，是“根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统”，这可能是考虑到很多软件自身功能设计上无法实现的情况。然而，对于色谱数据系统这样的关键原始数据系统来说，审计追踪

8、肯定是必然的要求。 3、 电子数据安全性要求 电子数据安全性一般分为逻辑安全性和物理安全性。逻辑安全性即是通过软件自身的权限控制对数据的访问、录入、修改和删除等操作，确保不被人为误操作或有意的篡改行为而影响数据安全。而物理安全性，即是对数据存储的介质（如硬盘、光盘、服务器等）进行保护，确保系统本身不会因为物理介质的损坏或故障造成数据丢失。 4、数据备份要求 关于电子数据的备份要求不算是新的法规要求，GMP法规也一直要求数据备份以保证原始数据的安全性。国内制药企业通常也都制定了数据备份策略，但我们发现通常只是一个月甚至半年才做一次数据备份，真正发生故障时原始数据还是会严重丢失。这样的数据备份归档

9、，其形式意义大过于实际意义；而即使是这样的一个备份频率，企业都已经觉得数据备份的工作任务很重。其根本原因是缺乏良好的解决方案。计算机化系统单独列出这条要求，将提高制药企业对数据备份的重视，进而采纳更先进的解决方案。 三、新修订GMP计算机化系统附录详析1、范围 第一条。描述了本附录的适用范围：适用于在药品生产质量管理过程中应用的所有计算机化系统，同时明确了系统“由一系列硬件和软件组成，以满足特定的功能”。按照国际药品认证合作组织（PIC/S）在GxP环境下的计算机化系统合规实践指南（PI011-3指南）的定义，计算机化系统由计算机系统和被其控制的功能或流程组成。2、原则 第二条、第三条和第四条

10、。主要描述了对于风险管理和供应商管理两个方面的要求。对于风险管理，一方面是整个生命周期要实施风险管理；另一方面是验证的范围和程度要基于风险评估的结果来确定。对于供应商管理，需要制定相应规程，要有明确的协议来明确供应商及制药企业双方职责，以及需要基于风险评估的结果开展供应商审计并形成文件化的记录。3、人员 第五条。该章节强调了在系统验证、使用、维护、管理过程中各职能部门人员的紧密配合，并要求明确各自权限和职责；人员要接受相应培训以适合其岗位工作，且对实施培训和指导工作的人员（即指培训老师）提出了要求。4、验证 本章共4条。对计算机系统的验证提出具体要求。第六条。应用程序的验证与基础架构的确认实际

11、上是按照软件分类的原则（可参考ISPE GAMP5）实施不同生命周期验证活动。其实也是采用风险管理的理念，即软硬件类别不同导致其系统复杂性和新颖性带来的风险不同，使得验证的程度（或深度）不同采用基于科学的风险评估来确认计算机化系统确认验证的范围和程度（比如通过GxP关键性评估确定验证的范围，通过功能性风险评估确定验证的程度）；确保整个生命周期内系统处于验证的受控状态（可供参考的方法是在系统运行维护阶段遵循变更和配置管理，以及安全管理、对系统实施定期评估等）。第七、八条。对制定计算机化系统的系统清单应包括的内容提出要求，核心是与药品生产质量管理相关并及时更新。一个企业计算机系统可能覆盖企业管理的

12、各个方面，但作为药品GMP实施过程中涉及计算机系统的验证，要求是在药品生产质量管理过程中所涉及的全部且对于通用的商业化计算机软件于丹指定专人进行审核。第八条。需要对通用商用软件进行审核确保满足用户需求（即实施设计确认时需对通用商用软件进行确认）；需要制定针对定制系统（即5类软件）验证实施规程。第九条。确认验证过程中，在系统数据出现转换及迁移情况时需确认数据的值及意义没有改变（比如发酵罐PLC设备将罐压数据通过通讯协议转移至集散控制系统DCS，则在对DCS系统进行OQ检查时需要确认二者数值的一致性；信号转换的I/O测试）。5、系统 第十条。对安装计算机化系统的物理环境作出规定，制药企业制定清洁确

13、证和用户需求说明（URS）和进行系统设计时需要将其考虑进去，安装确认（IQ）中要对系统的安装位置进行确认，保证系统的安装环境是不受外来因素干扰的。第十一条。对关键系统的技术资料提出要求（比如功能说明、硬件设计说明、软件设计说明、电路图、网络结构图等），这些技术资料要及时更新，保证和实际状态一致。第十二条。由于不同的计算机系统用于不同的目的，其风险自然有不同的级别。软件是计算机化系统的重要组成部分，因此本条要求企业应当根据风险评估的结果，对所采用软件进行分级管理，采取不同的管理要求和措施。第十三条。针对软件的全面测试，根据软件级别的不同，其测试程度也不同（比如针对五类软件系统的源代码审核和模块测

14、试，针对四类软件系统的配置测试，然后是基于“黑盒”的功能测试、需求测试，以及包括结合实际工艺或流程的性能测试程度都不同）。第十四条。对系统的访问权限控制提出要求，并且要求制定规程定期检查授权的使用、变更与取消。值得一提的是，也许出于国内实际情况考虑，新修订计算机化系统附录做出了硬件不足软件补的让步“对于系统自身缺陷，无法实现人员控制的，必须具有书面程序、相关记录及相关物理隔离手段，保证只有经许可的人员方能进行操作”。需要注意的是，EU和FDA并没有类似要求。并且大部分企业目前不存在由于硬性缺陷问题而面临制定规程进行有效管理的问题。第十五条。对人工输入数据的准确性提出复核要求，复核的方式可以是另

15、外的操作人员或者是经过验证的电子方式（比如经过验证的称量配料系统通过报警提示能够完成“超重”、“欠重”、“批号错误”、“忘记去皮”等关键信息复核，则岗位无需配备另一名用于复核的操作人员；再比如数据输入的有效性符合如下要求：对范围和小数点位数进行限制，超出指定范围和有效位数的数据无法输入）。第十六条。对审计跟踪提出要求（根据“风险评估的结果来考虑”给系统加入此功能），注意“每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由”，其中记录更改数据的理由容易被制药企业忽视。第十七条。对计算机化系统的变更做出详细规定。制药企业应制定针对计算机化系统的变更管理规程，并按照既定的规程实施变更活

16、动。如果第十四条“存在硬性缺陷”，则此条其实是无法实现的。第十八条。对于记录的形式（电子的、物理的或者混合的）做出说明。其中，“应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据”易被药企忽视。需要注意的是，企业采用从计算机化系统“誊抄”纸质版数据支持报告放行的做法，并不能规避对“电子记录”的监管要求，此时纸质数据和电子数据的一致性也是检查员关注的重点，这也涉及数据完整问题。第十九条。对于采用电子数据作为主数据的情况提出管理要求，包括不限于：电子数据要能打印成清晰易懂的物理文稿（即一般人可读的物理文件）；物理或电子的方式储存以及定期检查可读性和完整性；起草备份恢复规程按照记录的既定

17、时限要求进行数据的备份管理等。第二十条和第二十一条。对制定应急方案、制定故障处理规程、实施纠正预防措施提出要求。可参考ISPE GAMP5的附录O4“突发事件管理”和附录O10“业务连续性管理”。第二十二条。对采用计算机化系统进行产品放行的情形做出明确规定。这其实就是前面提及的“审计跟踪”在产品放行环节的一个特定应用而已。此过程应通过使用电子签名来实现。而在此方面EU比我国要求要严格。第二十三条。对电子数据可采用电子签名的做法及其要求做出说明，“电子签名应当遵循相应法律法规的要求”。对于制药领域可供借鉴的相关法规，一般均采用美国联邦法规第21篇第11条款（21CFR Part11），此标准之下

18、FDA将认为电子记录、电子签名和在电子记录上的手签名是可信赖的、可靠的且通常等同于纸质记录和在纸上的手写签名。6、术语 第二十四条。对电子签名、电子数据、数据审计追踪、数据完整性等七个专用术语进行了诠释。四、附录对行业可能产生的影响随着工业自动化、信息化在制药领域的发展，越来越多的企业开始尝试采用DCS、企业资源计划 （ERP）、生产执行系统（MES）、实验室信息管理系统（LIMS）等工艺控制、数据管理或流程管理系统进行企业资源、流程、数据的高效整合和优化，实现“少人化”、“无纸化”生产、办公及管理。对于如何有效管理这些计算机化系统，使其在给药企带来便利的同时，又不会引起对患者安全、产品质量和

19、数据完整性的GMP风险，在此之前的中国GMP法规中并没有有效的约束或指导。新修订计算机化系统附录的正式颁布及实施，填补了国内GMP对计算机化系统的监管空白，但由于国内制药领域（不管是监管层还是制药企业）对计算机化系统管理认知起步相对较晚，因此该附录的正式颁布并实施将整体提升和加强国内制药企业对于计算机化系统（以及电子数据）的管理水平，降低计算机化系统导致的质量管理风险。同时，对于监管机构以及大部分之前没有国际认证经验的药企来说，全新的监管要求势必带来以下挑战：某些老旧的计算机化系统存在硬性缺陷导致无法合规合用，系统升级改造困难（或根本找不到原来的软件商来实施升级改造）；检查员、药企人员、供应商

20、（或第三方）的知识、能力、经验及技能水平一时难以适应新的法规需求，无法进行其职责范围的活动（如实施GMP检查、实施GMP生产或检验活动、实施计算机化系统的设计建造及确认验证活动）；如何有效搭建计算机化系统（及数据完整性）管理体系，如何按照既定的管理规程在整个系统生命周期内去有效地实施管理，也将是制药企业质量管理人员所面临的困难；对于采用基于科学和风险的方法有效实施计算机化系统验证，以及在系统使用过程中维护其验证的受控状态，多数制药企业也会显得捉襟见肘。综上，面对技术不断革新、监管趋严、质量意识不断提升，国内制药企业的计算机化系统管理还有很长的路要走。 五、关于计算机系统验证管理计算机系统是用来

21、执行一 种特定功能或一组功能的硬件、系统和应用软件及有关外围设施的系统。与 GMP 相关的计算机系统包括以下过程中所使用的计算机系统。 生产过程。 生产环境。 过程控制。 质量决断过程。 物料控制及管理。 计算机系统验证是建立文件来证明计算机系统的开发符合质量工程的原则，能够提供满足用户需求的功能并且能够稳定长期工作的过程。计算机系统验证可借助于工艺验证的概念来理解。工艺验证中的“工艺”相当于计算机的“输入”过程和“内部处理”过程(软件)，工艺中用到的设备相当于计算机主机、 外围设备(硬件)以及与其相关的生产设备或质量控制设备，工艺的“产品”相当于计算机的“输出”或对另一台设备的控制等。本节所

22、讨论的计算机系统验证，适用于制药企业被确定为与GXP相关的计算机系统，该系统包括以下内容。 (1)物料控制及管理系统 如BPCS、SAP系统等。 (2)实验室设备控制系统及信息管理系统 如LIMS 系统。 (3)生产工艺及控制系统 如PLC(可编程序逻辑控制器)等。 (4)公用设施控制系统。 在功能上，上述这些系统符合诸如下列GMP 的某一属性。 (1)自动控制 工艺控制。 环境控制。 质量控制。 自动清洗。 在线灭菌等。 (2)物料控制 物料状态控制及隔离。 先进先出(或先近效期先出)。 批次追逐。 物料平衡。 发货查询。 (3)基础数据控制 生产处方。 批生产文件。 产品及包装形式信息。

23、鉴别产品名称、编码、批号等信息。计算机系统验证与工艺验证不同之处是：术语上的不同(如数据处理概念)和由于软件的特性，使一般用户对软件和软件的开发相对不熟悉。（一）计算机软件的确认与验证原则（A）、基础软件验证：1、确认名称及版本号。2、确认被正确的安装在了计算机中的指定文件夹中的位置。3、确认可以正常运行。（B）、不可配置软件1、用户需求（根据系统复杂程度和质量影响风险决定内容）。2、供应商评估（根据系统复杂程度和质量影响风险决定内容）。3、确认名称及版本号。4、确认被正确的安装在了计算机中的指定文件夹中的位置（嵌入式软件不需要做这一项）。5、基于风险的必要的功能测试（带有输入/输出信号的、带

24、有控制功能的系统需要做这一项）。6、维持系统符合性的SOP。7、校准。简单的不带控制功能的智能仪表只做校准，带控制功能的智能仪表需要校准和必要的功能测试。关键和主要的智能化检验仪器、智能化工具，需要经过评估决定确认验证的范围和程度。（C）、商用成品软件1、确认名称及版本号。2、确认被正确的安装在了计算机中的指定文件夹中的位置。3、确认可以正常运行。（D）、可配置软件验证1、用户需求（根据系统复杂程度和质量影响风险决定内容）2、供应商评估（根据系统复杂程度和质量影响风险决定内容）3、供应商质量体系评估（根据系统复杂程度和质量影响风险决定内容）4、设计说明与功能描述5、确认名称及版本号6、确认被正

25、确的安装在了计算机中的指定文件夹中的位置。7、测试环境下基于风险的必要的I/O测试8、工艺流程中基于风险的必要的功能测试9、维持系统符合性的SOP（F）、定制软件验证（在“可配置软件”的基础上增加以下两项）1、设计审核2、源代码审核 首次为用户单独开发的软件，才是定制软件，很少有企业存在这种情况，当然也不排除有些企业定制。至于是做DQ、IQ、OQ、PQ中的哪几项？怎么做？文件形式并不重要，重要的是，以上内容都关注了、确认了。（二）、计算机系统验证举例 PLC 系统验证1、 PLC 系统简介 PLC 是可编程序逻辑控制器(programmable logic controller)的缩写，是一种

26、数字 运算操作的电子系统，专为在工业环境下应用而设计。它采用可编程序的存贮器，用来在其内部存贮执行逻辑运算、顺序控制、定时、计算和数字运算等操作的指令，并通过数字式、模拟式的输入和输出，控制各种类型机械或生产过程。PLC 系统在制药企业常被应用于以下4 个方面。 生产设备的过程控制。检验仪器的控制。 水处理系统的运行控制。 空气净化系统的运行控制。2、 PLC 系统验证实施 PLC 作为设备或公用设施的一部分被安装在设备或公用设施上，因此在实施拥有PLC的设备或公用设施验证时，应进行机械及计算机两部分验证。本文仅依据前面所述的计算机系统验证规范要求，对PLC 系统的一些重要的、特殊的验 证行为

27、进行如下阐述：A、需求定义(URS) PLC 系统需求定义对其设计、开发、测试及验收都起着关键性的作用，用户必须进行详细、全面、准确的定义。在编写PLC 系统需求定义说明时，除了包括前面上述的计算机系统需求定义所要求的内容外，应对其控制方式进行详细的定义和要求，如以下控制方式要求： (1)逻辑控制要求(顺序控制) 如加料顺序、物料存放与提取等。 (2)分选控制(检测与剔除) 如漏片检测与剔除等。 (3)互锁控制。 (4)报警控制。 (5)位置控制。 (6)速度控制。 (7)温度控制。 (8)压力控制。 (9)时间控制。 (10)计数。 (11)其他多极控制等。 B、系统设计 1控制系统配置图设

28、计 (1)系统的PID 图。 (2)IO(输入输出)接线图。(3)控制器件排列图等。 2硬件设计 其中包括以下主要内容。 (1)所有的IO(输入输出)接口模板及型号。 (2)选择CPU。 (3)通讯模板。 (4)人机界面控制器。 (5)选择显示屏。 (6)中间继电器。 (7)存贮器。 (8)打印机。 (9)辅助电源。 (10)电子元件、电线、电缆。 (11)其他器件等。注：在进行硬件设计与选择时，如果有可能与产品接触的部分，其材质及接触表面应符合 GMP 要求。如不与产品产生反应、耐腐蚀、表面光洁、易清洗等。3软件设计 PLC 所要求的功能被转化成软件，再通过所选择的硬件来实现。软件设计包括

29、以下3 部分。 (1)系统软件 选择后作为分类1，在安装确认(IQ)时仅鉴别并记录其版本号即 可。 (2)应用软件 根据需求定义中所要求的各种控制方式来设计应用软件，其可以 被集成或重新开发，可作为分类4 或5 来实施验证。 (3)数据 一个PLC 系统可以产生大量的数据，有一些数据需要存贮在一个独立的系统中以便查询和追踪。为了保证数据的完整性，必须设计数据的传送流程及存贮地址。 C、安装确认(IQ) 1文件确认 (1)用户技术指南。(2)标准操作程序。 (3)培训计划。 (4)售后服务协议。 (5)安全程序。 (6)设备台账。 (7)硬件确认。 (8)软件确认 包括安装程序、系统软件清单、应

30、用软件清单、数据流程图及数 据字典，注意进行版本确认及记录。 (9)程序原代码。 (10)仪器仪表清单。 (11)技术标准及图纸。 (12)仪器仪表校验程序。 (13)PID 图。 (14)控制回路图。 (15)IO(输人输出)清单及接线图。 (16)备品备件清单。 (17)预防维修程序。 2安装过程确认 整个安装过程符合PID 图及安装程序要求。 3环境和公用工程确认 (1)确认并记录系统安装的环境 包括清洁度、射频电磁干扰、振动、物理安 全性、温度及湿度等。 (2)确认并记录关键公用工程系统的情况 包括：电源供应、压缩空气等。 4系统测试及确认 (1)首先确认供户提供的FAT 测试报告 包

31、括：单元测试及集成测试报告。 (2)在现场操作环境下，对系统进行一些必要的测试(SAT)，主要内容包括如 下。 仪器仪表校验或确认。 IO(输入输出)信号测试。控制回路测试。 数据采集、传送、存贮信号测试。 其他测试。 D、运行确认(OQ) 在现场操作环境下，对系统的所有功能进行确认测试。OQ 测试亦是SAT 测试 的一部分，只是侧重于系统安装后的所有功能性测试。应将系统运行分别置于 正常条件下、边界条件下及警告条件进行测试，以便对系统进行全面评估。运 行确认主要内容包括如下。 (1)系统安全性测试，如编程器的使用权限等。 (2)系统需求定义(URS)中所要求的各种过程控制功能测试。 (3)报

32、警功能测试。 (4)互锁功能测试。 (5)数据处理、存贮准确性测试。 (6)断点恢复功能测试。 (7)其他功能测试。注：在FAT 中所测试的项目没有必要在IQ 或OQ 中全部重复进行测试，对一些关键性 的项目及容易受到安装、操作环境影响的项目(如：控制回路等)，应该在IQ 或OQ 中进行 重复测试； E、性能确认(PQ) 性能确认是为了确认PLC 系统在正常生产环境下，其运行过程的有效性和稳定 性。测试项目依据对系统运行希望达到的整体效果而定，并应该进行重复确 认。 1对于批生产的设备，应对生产出的产品质量特性进行检验，以确定其各种过 程控制功能的有效性，如含量检验、包装质量检验等。应该在相同生产条件下 连续重复3 次以上。 2对于连续过程处理的设备，如空气净化系统，应在一定时期内对尘埃