第六篇 计算机系统验证管理
第一章 概 述
本篇描述了与GMP 相关的计算机系统的验证方法。计算机系统是用来执行一种特定功能或一组功能的硬件、系统和应用软件及有关外围设施的系统。与GMP 相关的计算机系统包括以下过程中所使用的计算机系统。
①生产过程。
②生产环境。
③过程控制。
④质量决断过程。
⑤物料控制及管理。
计算机系统验证是建立文件来证明计算机系统的开发符合质量工程的原则,能够提供满足用户需求的功能并且能够稳定长期工作的过程。计算机系统验证可借助于工艺验证的概念来理解。工艺验证中的“工艺”相当于计算机的“输入”过程和“内部处理’’过程(软件),工艺中用到的设备相当于计算机主机、外围设备(硬件)以及与其相关的生产设备或质量控制设备,工艺的“产品”相当于计算机的“输出”或对另一台设备的控制等。计算机系统验证与工艺验证不足之处是:术语上的不同(如数据处理概念)和由于软件的特性,使一般用户对软件和软件的开发相对不熟悉。本篇将围绕计算机系统的验证,描述以下内容。
①验证范畴。
②名词解释。
③计算机系统分类。
④计算机系统发展生命周期。
⑤验证实施过程。
538
第二章 范 畴
本文所讨论的计算机系统验证,适用于制药企业被确定为与GXP相关的计算机系统,该系统包括以下内容。
(1)物料控制及管理系统 如BPCS、SAP系统等。
(2)实验室设备控制系统及信息管理系统 如LIMS 系统。
(3)生产工艺及控制系统 如PLC(可编程序逻辑控制器)等。
(4)公用设施控制系统。
在功能上,上述这些系统符合诸如下列GMP 的某一属性。
(1)自动控制
①工艺控制。
②环境控制。
③质量控制。
④自动清洗。
⑤在线灭菌等。
(2)物料控制
①物料状态控制及隔离。
②先进先出(或先近效期先出)。
③批次追逐。
④物料平衡。
⑤发货查询。
(3)基础数据控制
①生产处方。
②批生产文件。
③产品及包装形式信息。
④鉴别产品名称、编码、批号等信息。
539
第三章 名词解释
1.操作系统(Operation system)
应实现管理(处理器、存储器/外部设备和信息)的要求而专门编制的一个规模较大的、能够协调和调度所有设备及各个应用程序高效运行的程序。
2.可配置软件(Configurable software)
由供户开发的程序(主程序或子程序),该软件可提供通用功能,使用户可按某种途径为自己设计程序。
3.应用软件(Application software)
针对用户的特殊需求,而开发、购买或修订的程序(主程序或子程序),它可执行数据的收集、处理、报告、存档及过程控制。
4.系统软件(System software)
操作操作系统和通用功能的一套程序。在硬件及应用软件之间起接口的作用,且管理计算机的使用。厂家提供诊断性测试,即确认该软件。
5.实用程序(Utility program)
由操作系统的厂家频繁提供的特殊程序。具有通用功能,可执行诸如程序备份、磁带到软盘的文件拷贝等。
6.软件配置控制程序(Software configuration control procedure)
描述软件变更过程中,须遵循的评估、协调、审批或否决的文件规程。
7.计算机系统(Computer system)
由硬件、系统软件、应用软件以及相关外围设备组成的,可执行某一功能或一组功能的体系。
8 . 计算机化系统
(Computerized system)
指受控系统、计算机控制系统以及人机接口的组合体系。可以说计算机系统是计算机化系统的一部分。如果计算机系统只是用于数据处理,则计算机系统本身就代表着待验证的全系统。
9.模块(Module)
即实现某种特定功能的单元或程序段。在软件开发中常常将程序各个部分继续划分,直至最小的基层单位,称为模块。
10.源代码(Source code)
以人类可阅读的形式(编程语言)表示的初始的计算机程序,在计算机执行之前,须译成机器可阅读的形式(机器语言)。
11.伪代码(Pseudocode)
也称软件设计描述语言(PDL),用在详细设计阶段、用以表达程序的逻辑结构、它是以任意的代码形式写于程序语言语句中描写程序和子程序的普通语言(例如英语),反过来也可以说它是计算机程序的英语翻译(表达)。
540
12.硬件(Hardware)
由电子线路组成,受软件控制的实物装置。
13.软件(Software)
指控制计算机系统或计算机化系统运行的程序、主程序或子程序的总称。
14.软件确认(Software qualification)
包括结构(源程序)测试;功能(模块黑盒)测试、接口(结构与功能)测试、模块组装测试。
15.静态测试(Static testing)
在不具体执行某程序的条件下,评估程序的过程。
16.结构测试(Structural testing)
保证程序编制符合特定的功能需求,程序能有效、简洁、可靠运行的技术性测试。
17.HIPO 图(HIPO chart)
用方便于编程人员与用户间联络的方式,定义和记载程序编制系统的一种软件图示法。HIPO 是英文Hierarchy Pluslnpput-Process-Output 的缩写。它是1976 年由IBM 公司提出的。一开始只是作文件编写的格式要求,随后发展成为比较有名的软件设计手段。
18.外围设备(Peripheral equipment)
指计算机系统的处理机、存贮机以外设备(如驱动器、标绘器、打印机、终端等)。
19.黑盒测试(Black box testing)
将系统(软件和硬件)看作不能打开的黑盒,在不考虑系统内部结构和特性的情况下,测试者只依靠系统需求说明书,从可能的输入条件和输出条件中确定测试数据,也就是根据系统的功能或外部特性,设计测试用例(例如功能测试)。
20.白盒测试(Wite box testing)
即结构测试或逻辑驱动测试。这种测试允许测试者考虑系统的内部结构,并根据系统内部结构设计测试用例,而不考虑系统的功能。
21.安装确认(1nstallation qualification)
确认系统的安装符合设计标准,并对所需要的软件及硬件的技术资料、图纸、操作手册等文件进行确认。
22.运行(操作)确认(Operation qualification)
确认系统的各项运作功能符合用户需求标准。系统运行确认应在一个与正常工作环境隔离的测试环境下实施,但应模拟生产环境。
23.性能(工艺)确认(Performance qualification)
确认系统运行过程的有效性和稳定性,应在正常生产环境下进行测试。测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试),测试应在正常生产环境下(相同条件下)重复三次以上。
24.电子记录(Electronic record)
电子记录是指依靠计算机系统进行创建、修改、维护、存档、找回或发送的诸如文字、图表、数据、声音、图像及其他以电子(数字)形式存在的信息的任何组合。
25.电子签名(Electronic signature)
电子签名是指计算机对一些符号的执行、采用或者被授权的行为进行数字处理,这些行为是指在法律上完全等效于传统个人手工签名的一种个人行为。
26.封闭系统(Closed system)
封闭系统是指系统通道处于一种能够被一定的人员所控制的环境,该人员有权限在系统上进行电子记录的操作,如被拥有者所使用的个人计算机。
27.开放系统(Open system)
开放系统是指系统通道处于一种不能够被有权限在系统上进行电子记录操作的人员所控制的环境,如电子信件(E-mail)、在因特网上发送信息等。
541
第四章 英文缩写解释
GMP相关的计算机英文缩写解释见表6-1。
表6-1 GMP相关计算机英文缩写解释
英 文 缩 写 中 文 解 释
BPCS(Business planning & contro1 system) 业务
计划
项目进度计划表范例计划下载计划下载计划下载课程教学计划下载
及控制系统
FAT(Factory acceptance testing) 工厂(供户处)可接受试验
IQ(Installation qualification) 安装确认
LAN(Local area network) 局域网
LIMS(Laboratory information management system) 实验室信息管理系统
MRP(Materials requirements planning) 材料需求计划系统
OQ(Operation qualification) 运行(操作)确认
PID(Process and instrument diagram) 过程及仪器装备图
PLC(Programmable 1ogic contro11er) 可编程序逻辑控制器
PQ(Performance qualification) 性能(工艺)确认
SAP(Systems,application and products in data processing) 系统、应用及产品数据处理系统,一种具有材料控制系统,产品成本核算及需求管理功能的计算机控制系统
SAT(Site acceptance testing) 现场(用户处)可接受试验
SCADA(Supervision,control and date acquisition) 管理、控制及数据获得系统
SDLC(System development 1ife cycle) 计算机系统发展生命周期
SVLC(System validation life cycle) 计算机系统验证生命周期
WAN(Wide area network) 广域网
URS(User requirement specification) 用户需求说明
542
第五章 计算机系统分类
在实施计算机系统验证之前,应首先对计算机系统进行评估及分类,以便针对不同类型的计算机系统实施不同程度的验证。计算机系统其根据其标准化程度及用户自行设计的程度划分为表6-2中的5种类型。
表6-2 计算机系统分类
分 类
描 述
验证方法
操作系统、网络
已建立的商业可利用性网络和操作系统,如:DOS、UNIX、Novell、WindoWS 95/98NT
确认名称及版本号
标准设备、微控制器、灵敏仪器
这些系统是由非用户设计的固件驱动的,此固件可以插入在一个应用软件特定集成电路(ASIC)中、只读存贮器(ROM)、短暂存贮器或有时在可编程逻辑控制器(PLC)中。如条形码解调器、单循环控制器、填充器、检重仪、温度控制器等
确认构造及配置
标准软件包
商业现成的软件包(COTS),如电子制表软件、标准化学分析软件等
验证应用过程
可配置软件包
该系统允许用户通过配置预先确定的软件模块及开发新的应用软件模块来发展他们自己的应用软件,如人—机对话接口(HMl)、管理控制及数据获得系统(SCADA)、实验室自动控制系统(LAS)、实验室信息管理系统、物料需求计划系统(MRP)、系统/应用及产品数据处理系统(SAP)、部分可编程序逻辑控制器(PLC)等
供户审核、验证应用过程和一些预定码
客户自设计系统
该系统是根据客户的需求进行修改或开发的
实施计算机系统验证的全过程
543
第六章 计算机系统发展及验证生命周期
计算机系统验证行为取决于系统发展的生命周期(System development life cycle)。 SDLC是一种模式,它定义了计算机系统由概念初始到结束这一全过程,这一生命周期对于硬件和软件都适用。
应首先建立一个概念,计算机系统的验证不只局限于系统的使用过程,新系统的验证应始于系统初期的定义和设计阶段,终止于系统无使用价值阶段。验证生命周期(SVLC)应伴随着系统发展的整个生命周期(SDLC)。
系统发展的生命周期可划分为以下8 个阶段:可行性研究、工程计划、需求定义、系统设计、系统测试、系统验收及确认、使用和维护、系统引退。图6-2 给出系统发展生命周期的瀑布模型。在实际应用中,还常把这些阶段粗分为计划、开发和维护3 个阶段。应当注意,由于理解能力及环境变化等限制,每个阶段的工作不可能直线地顺利执行,出现各阶段间的回复及重新复审是不可避免的。
每个阶段都要按要求产生一定的文件交付给下一阶段,使下一阶段在所提供的文件的基础上继续开展工作。当然不是所有计算机系统均应进行全过程验证,评估和分类后,应根据其标准化程度及用户自行设计的程度来决定其所需要的验证行为。表6-3 详细地列出了SDLC 阶段不同类型的计算机系统所应交付的验证工作。
表6-3 SDLC阶段不同类型的计算机系统所应交付的验证工作
第七章 验证实施过程
第一节 可行性研究
可行性研究阶段是SDLC 的第一个阶段。此阶段要求从技术及经济等方面系统地研究并论证开发/变更计算机系统的可行性,包括目的、概念定义、规模、风险分析、投资分析等。
其相关信息的收集被用来建立系统验证规模及申请开发费用。
第二节 工程计划
一、工程计划
工程计划用于规划所有工程及验证活动,包括计算机化工程的组织结构、各部门/个人的职责、工程进度表(包括所有SDLC 阶段和相应的SVLC 阶段)、文件交付、审核和批准要求等。
二、供户评估
应对计算机系统供户进行评价,以确保其系统能力及所提供的产品满足计算机系统验证要求。供户评价包括以下内容。
(1)根据系统概念定义及判断选择供户,注意评估外部资料对标准要求的符合化及与系统要求文件的一致程度。
(2)对供户质量体系进行审计,审计内容包括
①系统开发者的内部质量管理程序。
②技术能力评估。
③软件开发标准及软件测试能力。
④程序编制人员的资格审定。
⑤硬件开发及制造能力。
⑥变更控制。
⑦售后服务。
⑧系统安全性。
供户审计报告应纳入验证档案。
三、验证计划
验证计划伴随着工程计划一起,用于指导整个计算机系统验证活动。验证计划包括
(1)系统描述/构造
(2)适用的政策、程序及指导方针
(3)责任
(4)供户评价/审计
(5)设想/排除/局限性
(6)文件—系统、技术和操作
(7)验证文件的保持
(8)测试程序
(9)可接受标准
(10)偏差处理
(11)变更控制
(12)安全线
546
(13)备份/存档/灾难恢复
(14)人员培训
(15)验证草案和报告(IQ、OQ 及PQ)
四、费用申请
费用申请为整个工程及验证活动提供充足的资源和预算。
第三节 需求定义
需求定义阶段提供新的/改变的计算机系统所期望达到的详细的、可衡量的需求,所有需求将用来确定系统设计标准。需求定义阶段主要是提供用户需求说明(URS)。用户需求说明由系统用户和系统项目专家制定,详细说明计算机系统的基本业务需求、期望及性能指标。
包括如下内容。
一、系统说明
说明全系统要做什么,模块间怎样连接及相互作用,控制方式,执行的过程,操作人员对接口的要求及安全性要求等。
二、物理要求
物理要求包括有效空间、位置、所处的环境等。
三、硬件文件标准
硬件文件标准包括图纸、流程图、手册、部件清单等。
四、软件文件标准
软件文件标准包括程序编号及修订号、打印出的程序及详细解释、复制件的提供及贮存条件、系统框图及配置清单。
五、测试要求
系统开发过程中所要求进行的测试项目及记录。包括单独模块测试及集成测试等。
六、其他
其他提供给供户的要求。包括对已完成的系统的验证要求、关于在设计开发过程中的质量控制和变更控制要求等。
用户需求说明中的所有条款将直接作为制定IQ、OQ 及PQ 草案的依据。
第四节 系统设计
一、系统设计
所有的需求被转化为计算机系统硬件和软件的技术设计。具体包括如下。
①硬件设计标准将定义如标准仪器、微控制器、可编程序逻辑控制器(PLC)等。
②软件设计标准将定义系统的整体框架、计算机语言、界面、屏幕设计、数据流程图、报告设计、图表设计、运算法则、安全测试、系统结构图、I/O 图、工程制图、流程图解、程序体系图解、详细说明和一个数据字典。
二、源代码和配置
必须根据已定义的标准编写、维护和使用源代码。源代码包括所有组成系统的目标、变量、逻辑及配置程序,源代码被用于软件开发过程中的技术查阅及系统使用后的维护活动。
三、系统设计文件
系统设计文件一般由供户制订,但必须经过用户审核及认可后方可实施。
547
第五节 系统测试
该阶段的主要任务是发现并排除在分析、设计、编程各阶段中产生的各种类型的错误,以得到可运行的计算机系统。系统测试和确认过程与系统的需求定义、设计及编程阶段相对应,如图6-3 所示。单元测试及组装测试一般在供户处进行。
一、单元测试
单元测试是对系统的每一个模块进行独立测试,其目的是找出与模块的内部逻辑有关的错误。单元测试一般以白盒法为主。
二、集成测试
集成测试根据系统设计中各功能模块的说明及制定的组装测试计划,将经过单元测试的模块逐步进行组装和测试。每并人一个模块,都要找出由此产生的错误。集成测试一般以黑盒法为主。
注:测试的难点在于如何选择测试用例,选择一个好的测试用例,可以最大限度的发现系统中所存在的错误,以对重要数据结构的正确性进行全面检查。白盒法一般根据程序内部结构设计测试用例,亦称逻辑覆盖法,包括语句覆盖(使每一个语句至少执行一次)、判定覆盖(使程序中的每一个判定至少出现一次“真值”和一次“假值”)、条件覆盖(使每一个判定中的每一个条件都取得各种可能的结果)等。黑盒法则是根据系统功能需求来构造测试用例,常用如下4 种方法:等价划分法(将系统的输入区域划分为若干等价类,用每个等价类中的一个具有代表性的数据作为测试数据)、边界值分析法(尽可能选取边界值作为测试数据)、因果图法(在系统功能说明中找出各种因果关系,设计测试用例)、错误推测法(推测系统容易发生的各种错误,设计能检查出这些错误的测试用例)。
第六节 系统验收及确认
当最终的计算机系统及相关的文件发至用户,其被安装在用户环境中并评价其功能的正确性。确认测试(安装确认、运行确认及性能确认)是计算机系统付之实际使用之前的既完整又系统的测试,它直接影响到计算机系统的使用质量。也就是说,确认测试是计算机系统质量保证的最后一个环节。尽管确认测试的某些部分是在单元测试和组装测试相同的条件下进行的,而且所用的数据相同,但确认测试仍是必要的。确认测试一般由用户执行。
一、安装确认(IQ)
安装确认的目的是保证系统的安装符合设计标准,并保证所需技术资料俱全。具体确认
内容包括如下。
(1)各种标准清单,包括使用者要求、功能性要求、物理要求、系统标准。
(2)各种标准操作程序(SOP),包括硬件和软件的操作、预防维修、备份和数据存档、灾难(断电、硬软件损坏等)恢复及系统退役。
(3)配置图,配置图是控制系统的概图,包括以下内容。
①整个系统概图。
②各个中央处理器(CPUS)包括插件指定的配置图。
③输入/输出装置接线图。
④控制回路图。
548
⑤状态转变图。
⑥网络接线图。
⑦硬件驱动/网络驱动指示树,可包括逻辑的和物理的驱动指定。
(4)硬件和软件手册,包括安装、操作、维修保养手册。
(5)硬件配置清单,包括已安装系统的所有组成部分,对于芯片、微处理器或 EPROM,应记录其修订版号。
(6)软件清单和源代码的复制件
①列出与系统有关的所有软件和软件版本,并保证所有软件的复制件都归入档案,安全存放。
②应存放以下几种软件。源代码产生器或编辑器、源代码(包括初级排序、功能和报告的产生)、操作系统、诊断程序、存档/备份程序。
(7)输入/输出(I/O)清单及连续性检查。连续性检查是保证信号可从控制系统发至装置并又可从装置返回至控制系统。
(8)环境和公用工程测试
①确认并记录系统安装的环境,包括清洁度、射频/电磁干扰、振动、物理安全性、噪声、照明。
②记录关键公用工程系统的情况,并确认公用工程系统的关键性质与功能说明书相符。包括火警通告/抑制、冷却系统、电力及调节、不间断供电、WAN 连接、LAN 连接、灾难恢复接线、电话数码/模拟。
③确认并记录系统符合安全及人机工程的要求。
(9)结构测试(白盒法),主要指源代码的结构测试。对以下各项进行确认。
①遵循模块化程序设计。
②无无效代码。
③按照标准进行识别、修订、注解和评论。
④算法/公式和计算准确。
⑤模块排序准确。
⑥关键上属性、报警等锁存准确。
⑦保持惟一的逻辑输入/输出。
⑧数据贮存寄存器是惟一的。
⑨定时器和定序器设定准确。
(10)确认整个安装过程符合操作手册要求。
二、运行确认(OQ)
系统运行确认的目的是保证系统和运作符合需求标准。系统运行确认应在一个与正常工作环境隔离的测试环境下实施,但应模拟生产环境。具体包括如下。
(1)系统安全性测试
①挑战所有逻辑系统,诸如各工作层的使用权限,证明各安全层面的允许权限未经授权的操作得到禁止。
②确认系统外围的安全性,诸如I/O 总线卡,操作人员接口终端等。
(2)操作人员接口测试,确认操作人员接口系统的功能。
(3)报警、互锁功能测试。
(4)数据的采集及存贮,确认系统的数据采集及存贮功能如下。
①准确的采集、贮存和检索数据;
②确认数据的输出长度、进位及空值、零及负值的处理能力;
③自动将数据存档并保存至指定时期。
(5)确认数据处理能力,包括算法、统计、利用查表数值及报告的产生等。
(6)定时器和定序器测试。
549
(7)功能性测试(黑盒法),根据系统定义中所提供的各种要求文件、标准(最好有一张包括运作分支在内的功能图)对系统各功能和各决断通路进行测试。测试应在最高特定条件下进行(如最高通讯负载,大型数据文件的处理等)。
(8)断电/修复测试
①复查断电之前,期间和之后的数据采集状况证明数据没有破坏或丢失。
②测试后备供电、不间断供电和动力调节器、发电机功能恢复是否正常。
(9)灾难恢复测试,制造一起系统失效现象,按照灾难恢复程序一步步确认以下各项。
①现有的数据未被破坏。
②保证对系统的数据备份有效。
(10)制定系统标准操作程序
运行确认结果合格后,证明系统具备了能够在正式生产环境下使用的条件,可以在正常生产环境下进行进一步确认。
三、性能确认
性能确认(PQ)是为了确认系统运行过程的有效性和稳定性,应在正常生产环境下进行测试。测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试),测试应在正常生产环境下(相同条件下)重复3 次以上。注:当计算机系统取代人工系统时,可以进行平行的验证试验。
四、人员培训
系统在正式投入使用之前,应对所有相关人员,包括操作人员、维修人员等进行培训,确认其能够按要求正确操作。
五、释放通知
当确认所有的验证结果符合预先设定的可接受标准,验证报告已得到相关人员审批并完成人员培训后,计算机系统可被投入正式使用。
注:在系统的测试、验收及确认过程中,由于理解能力及环境变化等限制,不可避免地会出现结果与预先所设定的可接受标准之间产生偏差的现象。这时必须查清偏差产生的根本原因,采取有效纠正措施进行处理(有时可能会涉及到部分修订系统设计标准)。当每一偏差都得到有效处理后,验证方可进入下一阶段。偏差产生的原因、处理过程及结果均在相应文件中进行记录。
第七节 系统使用及维护
在发布系统释放通知后计算机系统进入使用及维护阶段。实践表明,任何一个计算机系统在通过各项测试被使用后,随着时间的推移,某些隐藏的问题会逐渐暴露出来;另外随着环境的变化及新的需求的产生,用户需要对系统进行完善。因此在此阶段计算机系统应按以下方法实施监控和修改以确保系统始终保持已验证状态并满足用户需求。该阶段应一直持续到系统引退。
一、问题报告
计算机系统在使用过程中所遇到的任何问题及缺陷均应进行记录和报告,以便对其运行效果及变更控制结果进行评价。
二、变更控制
计算机系统经过验证后,保持已验证状态。如果系统发生变更,此种状态将会被破坏。
变更类型包括:硬件变更、软件变更及数据库中关键参数的变更。为了维持系统始终处于已验证状态,应对其变更实施控制,具体要求如下。
(1)使用部门提出书面申请,包括变更理由、依据、内容及实施
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
。
(2)由专业技术人员、相关部门领导及质量保证部门对变更进行评估及审批。
(3)根据变更影响的范围决定是否应实施再验证。如变更已导致计算机系统的已验证状态发生偏移(如增加了某些功能等),系统必须针对变更部分实施再验证。决定实施再验证后,计算机系统将开始生命周期的另一循环。如经过评估确认不实施再验证,应有充分的依据作支持。
(4)所有变更必须经过相关人员批准后方可实施,不允许自行改变系统任何部分。
(5)变更应充分考虑是否对其他相关系统产生影响,需针对其他受影响系统进行评价,必要时会对其他系统实施再验证。
(6)所有的变更申请、评估、审批及再验证活动均应有文件记录,以使之具有可追踪性。
表6-4 给大家推荐了一种变更审批表的形式。
三、系统管理
系统管理的执行将确保对计算机系统实施合适的维护,并保持系统数据的完整性。
四、安全程序
必须定义控制计算机系统物理及逻辑通道的安全程序,例如必须清楚定义增加或移动用户的安全程序,保证使未授权的或漫不经心的操作得到控制。安全程序涉及如下范畴。
1.系统软件及应用软件安全性。
2.硬件安全性。
3.建筑安全性。
五、备份/存档/灾难恢复
必须制定和审批相应文件以控制系统备份计划、恢复程序、存档需求、非定点媒体贮存及出现系统丢失事件时的灾难恢复程序/偶发事件计划。
六、维护日志
维护日志应记录所有计划的及非计划的维修活动。系统维护和变更控制是保证系统在受控及已验证状态卜运行的两大关键。
七、周期性回顾
系统的变化一般可分为两种。一种为已知的、有形的变化,这种变化应按照以上所述的变更控制要求执行。而另一种变化是系统在长期频繁使用中,由于时间的变化、环境的变化、人员的变化、硬件的磨损等诸因素,而导致的一种未知的、无形的变化。对于这种变化,需要对系统进行周期性回顾(回顾周期一般建议为3 年),以确保:
(1)系统运行始终处于已验证状态;
(2)系统维护严格按相关程序执行;
(3)系统文件及时而准确地反映了现行计算机系统的运行情况。
如果通过回顾,发现计算机系统的已验证状态已发生偏移,系统必须实施再验证(图 6-4)。系统回顾的范围、方法及结论均应有文件记录,以使之具有可追踪性。
八、培训
人员培训是一个持续过程,应确保所有使用、维护及开发计算机系统的人员均得到堵训。
第八节 系统引退
当一个计算机系统的现行功能实施不再适用,或执行一个新系统替代现有系统的功能时,该系统就从实际使用中引退。此阶段是SDIC 的最后一个阶段,其目标是要消除对原系统的依赖并提供一个如何从原系统中取回相关数据的方法。
一、 工程计划(引退系统)
制定一个工程计划以确定引退工作的步骤、鉴别将要替代原有系统的新系统、引退过程的期限及相关责任。确定原系统数据是否应按照一定的格式存档。如果原系统被另一个系统替代,存档的数据应该被装载在替代系统中,数据成功转移的确认是新系统验证的一部分。系统引退时,应通知到所有受影响的用户,并完成以下工作。
①撤销系统特殊的程序。
②切断系统通道。
③整理系统所有逻辑值、符号和菜单参考。
④删除所有软件和工作环境下存档的电子记录。
二、系统引退报告
统引退报告用于总结整个系统引退工作的实际执行结果,确认是否按要求正确实施引退活动。
第八章 验证分工与职责
执行计算机系统的验证最重要的是组织好验证和作好文件编制。而组织好验证,进行合理分工,落实各自的责任,提供人力资源,是有效进行验证工作的最根本的保证。应该注意,计算机系统验证实际上不是某一个单独部门的工作,而是应该由一个跨部门的验证小组来实施。在该小组内,来自各部门的人员既有明确分工,又要相互合作。下面描述的是参与计算机系统验证各方的分工与职责。
第一节 用 户
用户是计算机系统的直接使用者,最了解系统使用的需求、容易产生的问题、系统的适用性等,因此其应担当如下的职责。
一、确定系统需求
用户要保证需求定义中正确定义系统需求,并准确地反映功能需求。
二、计算机系统验收及确认
用户是计算机系统验收及确认的主要实施者。包括起草确认测试(安装确认、运行确认及性能确认)方案、执行确认测试、参与偏差处理及评价确认结果、起草确认测试报告等。
三、系统使用
用户必须保证系统专用,包括保证系统由合格的、接受过培训的人员操纵。
四、培训
用户有责任对使用人员(特别是新人员)提供专门培训,包括开展并执行培训计划、准备培训材料等。
五、标准
操作规程
操作规程下载怎么下载操作规程眼科护理技术滚筒筛操作规程中医护理技术操作规程
对系统的使用,用户需建立并遵循系统的标准操作规程。
六、系统安全性
用户应保证各工作层使用权限,禁止未经授权的操作得到执行。另外,用户在数据存贮、处理、检索中对保证安全的数据环境负有责任。
七、变更控制
当使用过程中发现有不便之处时,可对系统的变更提出书面申请。所有变更必须经过相关人员批准后方可实施,不允许用户自行改变系统任何部分。
八、系统周期性回顾
参与对系统进行周期性回顾,并形成文件记录。
第二节 供 户
供户是计算机系统的设计者与开发者,有责任保证所开发的计算机系统满足供户提供的系统需求定义及说明。其担当的职责如下。
一、系统设计及开发
充分了解用户需求,严格按用户需求说明(URS)设计和开发计算机系统。如果在开发过程中发现有需要修改的内容,必须与用户取得联系,征得用户同意后方可进行修改。
二、接受供户质量体系审计
当用户提出要进行供户审计时,供户需通力合作。准备相应的文件资料,并提供现场审计条件,以向用户证明自己的计算机系统开发能力及质量保证水平。
三、系统测试
在供户处完成系统测试,包括单元测试及组装测试。有责任设计较为完善的测试用例,最大限度的发现系统中所存在的错误,以对系统运行的正确性进行全面检查。必要时,可邀请用户一起参与系统测试工作,以便及时发现问题及时处理问题,避免产生无法挽回的设计缺陷。
四、系统安装及调试
供户有责任帮助用户完成计算机系统的安装及调试工作,必要时可与用户一起完成系统的确认测试工作,以便确认系统是否完全满足用户需求。
五、提供培训
供户应为用户提供一定的技术培训,使用户能够掌握操作和维护计算机系统的技术技能。
六、售后服务
计算机系统在使用和维护过程中,供户有责任为用户提供系统售后服务,包括:硬件的修复与更换、软件版本升级、系统运行故障修复等。
第三节 IT 部门(或系统维护部门)
IT 部门在计算机系统的开发、使用及维护过程中提供技术支持。其承担如下职责。一、系统管理规程
建立任何一个计算机系统从需求定义、设计、组装、测试、验收到使用及维护整个系统 生命周期内所必须遵循的标准和管理规程要求,并控制其实施过程。
二、系统需求定义
帮助用户建立系统需求定义,审核用户需求说明书(URS)。
三、供户审计
从技术角度完成供户审计工作,包括供户技术能力评估、软件开发标准及软件测试能力审核、程序编制人员的资格审定、硬件开发及制造能力评估等。
四、系统测试
提供系统测试计划,建立测试环境,完成或帮助用户完成系统的测试工作,以保证系统的功能性。包括与供户一起完成部分单元测试和组装测试,与用户一起完成系统的确认测试(安装确认、运行确认和性能确认),起草或审核测试方案及测试报告,完成测试工作中的偏差处理等工作。
五、变更控制
从技术角度对计算机系统的变更实施控制,包括对变更申请的评估、审核,变更过程的控制、测试以及版本升级的管理等。
六、系统维护
完成计算机系统软硬件的部分维护工作,如硬件的定期预防维护、故障维修、备品备件的更换、软件备份/存档/灾难恢复、保持系统数据的完整性等。
七、周期性回顾
参与对系统进行周期性回顾,以对系统进行定期评价。
第四节 质量保证部门
质量保证部门(QA)从GMP 的角度对计算机系统的整个验证工作实施控制及监督。起主要职责如下。
一、建立验证管理规程
根据GMP 要求,建立计算机系统从开发、验收、到使用及维护整个生命周期内所应该实施的验证要求,确保验证过程及已验证的计算机系统运行效果符合GMP 规范要求。
二、审批验证文件
对所有的验证文件,从GMP 角度进行审核及审批、包括:用户需求说明书(URS),安装确认、运行确认和性能确认方案及报告等。
三、供户审计
从GMP 角度完成供户审计工作,包括系统开发者的内部质量管理体系审核、变更控制、文件管理等。
四、验证实施控制
对所有验证实施过程进行控制,包括人员是否培训、是否严格按验证方案实施、结果是否符合预先设定的可接受标准、偏差是否得到有效处理等。
五、变更控制
从GMP 角度对计算机系统的变更实施控制,包括对变更申请的评估、审批,变更过程的控制及对最终实施效果的确认等。
六、系统周期性回顾
对已验证过的所有系统进行汇总并列出一个总清单,定期组织相关部门(用户、IT 部门等)对已验证过的计算机系统进行周期性回顾,以确保其始终有效运行。
七、验证文件管理
所有的验证文件原件均在QA 处存档,这些资料构成每一个计算机系统整个生命周期的重要档案,具有原始的可追踪性。验证文件包括:
①用户需求说明书(URS);
②系统设计文件;
③在供户处进行的单体测试及组装测试报告;
④安装确认方案及报告;
⑤运行确认方案及报告;
⑥性能/工艺确认方案及报告;
⑦供户审计报告;
⑧变更审批表;
⑨偏差处理表;
⑩系统再验证方案及报告;系统周期性回顾报告。
第九章 计算机系统验证举例(PLC 系统验证)
第一节 PLC 系统简介
PLC 是可编程序逻辑控制器(programmable logic controller)的缩写,是一种数字运算操作的电子系统,专为在工业环境下应用而设计。它采用可编程序的存贮器,用来在其内部存贮执行逻辑运算、顺序控制、定时、计算和数字运算等操作的指令,并通过数字式、模拟式的输入和输出,控制各种类型机械或生产过程。PLC 系统在制药企业常被应用于以下4 个方面。
①生产设备的过程控制。
②检验仪器的控制。
③水处理系统的运行控制。
④空气净化系统的运行控制。
第二节 PLC 系统验证实施
PLC 作为设备或公用设施的一部分被安装在设备或公用设施上,因此在实施拥有PLC的设备或公用设施验证时,应进行机械及计算机两部分验证。本文仅依据前面所述的计算机系统验证规范要求,对PLC 系统的一些重要的、特殊的验证行为进行如下阐述。
一、需求定义(URS)
PLC 系统需求定义对其设计、开发、测试及验收都起着关键性的作用,用户必须进行详细、全面、准确的定义。在编写PLC 系统需求定义说明时,除了包括前面上述的计算机系统需求定义所要求的内容外,应对其控制方式进行详细的定义和要求,如以下控制方式要求。
(1)逻辑控制要求(顺序控制) 如加料顺序、物料存放与提取等。
(2)分选控制(检测与剔除) 如漏片检测与剔除等。
(3)互锁控制。
(4)报警控制。
(5)位置控制。
(6)速度控制。
(7)温度控制。
(8)压力控制。
(9)时间控制。
(10)计数。
(11)其他多极控制等。
二、系统设计
1.控制系统配置图设计
(1)系统的PID 图。
(2)I/O(输入/输出)接线图。
(3)控制器件排列图等。
2.硬件设计
其中包括以下主要内容。
(1)所有的I/O(输入/输出)接口模板及型号。
(2)选择CPU。
(3)通讯模板。
(4)人机界面控制器。
(5)选择显示屏。
(6)中间继电器。
(7)存贮器。
(8)打印机。
(9)辅助电源。
(10)电子元件、电线、电缆。
(11)其他器件等。
注:在进行硬件设计与选择时,如果有可能与产品接触的部分,其材质及接触表面应符合
GMP 要求。如不与产品产生反应、耐腐蚀、表面光洁、易清洗等。
3.软件设计
PLC 所要求的功能被转化成软件,再通过所选择的硬件来实现。软件设计包括以下3 部分。
(1)系统软件 选择后作为分类1,在安装确认(IQ)时仅鉴别并记录其版本号即可。
(2)应用软件 根据需求定义中所要求的各种控制方式来设计应用软件,其可以被集成或重新开发,可作为分类4 或5 来实施验证。
(3)数据 一个PLC 系统可以产生大量的数据,有一些数据需要存贮在一个独立的系统中以便查询和追踪。为了保证数据的完整性,必须设计数据的传送流程及存贮地址。
三、安装确认(IQ)
1.文件确认
(1)用户技术
指南
验证指南下载验证指南下载验证指南下载星度指南下载审查指南PDF
。
(2)标准操作程序。
(3)培训计划。
(4)售后服务
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
。
(5)安全程序。
(6)设备台账。
(7)硬件确认。
(8)软件确认 包括安装程序、系统软件清单、应用软件清单、数据流程图及数据字典,注意进行版本确认及记录。
(9)程序原代码。
(10)仪器仪表清单。
(11)技术标准及图纸。
(12)仪器仪表校验程序。
(13)PID 图。
(14)控制回路图。
(15)I/O(输人/输出)清单及接线图。
(16)备品备件清单。
(17)预防维修程序。
2.安装过程确认
整个安装过程符合PID 图及安装程序要求。
3.环境和公用工程确认
(1)确认并记录系统安装的环境 包括清洁度、射频/电磁干扰、振动、物理安全性、温度及湿度等。
(2)确认并记录关键公用工程系统的情况 包括:电源供应、压缩空气等。
4.系统测试及确认
(1)首先确认供户提供的FAT 测试报告 包括:单元测试及集成测试报告。
(2)在现场操作环境下,对系统进行一些必要的测试(SAT),主要内容包括如下。
①仪器仪表校验或确认。
②I/O(输入/输出)信号测试。
③控制回路测试。
④数据采集、传送、存贮信号测试。
⑤其他测试。
四、运行确认(OQ)
在现场操作环境下,对系统的所有功能进行确认测试。OQ 测试亦是SAT 测试的一部分,只是侧重于系统安装后的所有功能性测试。应将系统运行分别置于正常条件下、边界条件下及警告条件进行测试,以便对系统进行全面评估。运行确认主要内容包括如下。
(1)系统安全性测试,如编程器的使用权限等。
(2)系统需求定义(URS)中所要求的各种过程控制功能测试。
(3)报警功能测试。
(4)互锁功能测试。
(5)数据处理、存贮准确性测试。
(6)断点/恢复功能测试。
(7)其他功能测试。
注:①在FAT 中所测试的项目没有必要在IQ 或OQ 中全部重复进行测试,对一些关键性的项目及容易受到安装、操作环境影响的项目(如:控制回路等),应该在IQ 或OQ 中进行重复测试;
②表6-5、表6-6 以生产用水制备系统PLC 控制为例,列出了其运行确认方案及报告格式、编写方法,供大家参考。安装确认及性能确认方案及报告的内容也可以参照其编写方式。
五、性能确认(PQ)
性能确认是为了确认PLC 系统在正常生产环境下,其运行过程的有效性和稳定性。测试项目依据对系统运行希望达到的整体效果而定,并应该进行重复确认。
1.对于批生产的设备,应对生产出的产品质量特性进行检验,以确定其各种过程控制功能的有效性,如含量检验、包装质量检验等。应该在相同生产条件下连续重复3 次以上。
2.对于连续过程处理的设备,如空气净化系统,应在一定时期内对尘埃离子、微生物、温湿度、空气流向、压差、换气次数等指标进行监测。水处理系统,在一定时期内对微生物、总有机炭、化学指标、电导率、温度等指标进行监测。
注:由于PLC 系统是安装在生产设备或公用实施中,是设备(设施)的一部分,同其他部分(如机械部分)一起共同实现设备功能。因此PLC 系统的工艺/性能确认可以同该设备(设施)的工艺/性能确认结合在一起完成。
表6-5 生产用水制备系统PLC 控制运行确认方案
一、验证对象描述及验证目的
我公司生产用水制备系统整个运行过程采用PLC 自动控制模式。该控制系统是制造厂商预先按用户要求(URS)开发编程的,PLC 根据操作人员指令及外部实际工作状态,通过相应输入信号的检测,在内部经过运行程序逻辑判断、运算、把结果通过输出口去控制外部相应执行机构动作,从而完成生产用水制备系统整个运行过程自动控制功能。通过该PLC 系统可以控制以下过程及操作:
1.系统正常运行操作(启动、停止等)
2.系统升温灭菌
3.清洁蒸汽吹扫灭菌
4.电导超限报警
5.⋯⋯
通过本次验证,确认该PLC 系统的运行能够满足使用者的功能要求及设计标准,其控制功能有效、可靠,符合 GMP 要求。
二、验证项目、实施方法及可接受标准
1.系统安全性确认
确认方法:先由无编程权限的一般操作人员打开应用程序进行编程,然后再由有编程权限的系统维护人员持编程器进行编程及修改参数。
可接受标准:(1)无编程权限的一般操作人员无法打开应用程序;
(2)有编程权限的系统维护人员持编程器可以打开应用程序进行编程及修改参数。
2.系统正常启动控制
确认方法:当确定外部电源、气源、运行参数都在规定的范围内,在人机界面选择生产用水制备及分配画面,然后在控制盘面上选择运行功能键。
可接受标准:系统打开运行电机,紫外灭菌灯电源,并根据自身运行状态(液位、温度、电导等)自动调节冷冻水、蒸汽调节阀、流量调节阀、及管路开关阀。待各个动作机构的反馈信号在规定的时间范围内产生并正确无误后,系统进入正常的运行状态。
3.电导超限报警控制
确认方法:用外接的模拟电流信号模拟去离子水电导超标现象,观察系统运行情况。
可接受标准:系统自动停机,并有报警信号产生。
4.断电/恢复功能
确认方法:在运行中,断开供电电源,观察PLC 系统及整个系统运行情况,PLC 程序、设置的参数及时实数据保存情况。然后再恢复电源,观察系统恢复情况。
可接受标准:(1)断开供电电源后,PLC 控制系统停止运行,同时整个系统运行停止;
(2)断开供电电源后,因PLC 内部有备用电池及EPROM 存贮器支持,程序、设置的参数及时实数据被保存起来,没有丢失。
(3)恢复电源后,系统恢复停电前的状态。
5.⋯⋯
⋯⋯
三、运行确认所需相关技术支持文件
1.用户需求说明书(URS)
2.PLC 系统设计标准
3.控制系统PID 图
4.I/O(输入/输出)接线图
5.供户提供的FAT 测试报告
6.用户技术指南
7.标准操作程序
8.⋯⋯
表6-6 生产用水制备系统PLC 控制运行确认报告
一、运行确认执行情况概述
本次运行确认以生产用水制备系统PLC控制运行确认方案(编号:××××××)为依据,按方案中所规定的
确认项目及方法进行确认并记录,执行过程中未出现过变更及偏差。
二、运行确认结果
l. 系统安全性确认
确认方法 可接受标准 确认结果
无编程权限的一般操作人员打开应用程
序进行编程
无编程权限的一般操作人员无法打开应
用程序
符合要求
有编程权限的系统维护人员持编程器进
行编程及修改参数
有编程权限的系统维护人员持编程器可
以打开应用程序进行编程及修改参数
符合要求
确认人:××× 日期:×年×月×日
复核人:××× 日期:×年×月×日
2.系统正常启动控
确认方法 可接受标准 确认结果
系统打开运行电机,紫外灭菌灯电源 符合要求
根据自身运行状态(液位、温度、电导
等)自动调节冷冻水、蒸汽调节阀、流量
调节阀、及管路开关阀
符合要求
当确定外部电源、气源、运行参数都在
规定的范围内,在人机界面选择生产用水
制备及分配画面,然后在控制盘面上选择
运行功能键 各个动作机构的反馈信号在规定的时
间范围内产生并正确无误后,系统进入正
常的运行状态
符合要求
确认人:××× 日期:×年×月×日
复核人:××× 日期:×年×月×日
3.电导超限报警控制
确认方法 可接受标准 确认结果
系统自动停机 用外接的模拟电流信号模拟去离子水 符合要求
电导超标现象,观察系统运行情况 有报警信号产生 符合要求
确认人:××× 日期:×年×月×日
复核人:××× 日期:×年×月×日
4.断电/恢复功能
确认方法 可接受标准 确认结果
PLC 控制系统停止运行,同时整个系统
运行停止
断开供电电源,观察PLC 系统及整个系 符合要求
统运行情况,PLC 程序、设置的参数及时
实数据保存情况
程序、设置的参数及时实数据被保存起
来,没有丢失
符合要求
恢复电源,观察系统恢复情况 系统恢复停电前的状态 符合要求
5. ........
三、运行确认结论
通过运行确认结果可以看出,我公司生产用水制备PLC控制系统的运行能够满足使用者的功能要求及设
计标准。控制功能的符合性及有效性得到了证明,系统具备了能够在正式生产环境下使用的条件。
第十章 电子记录及电子签名
第一节 采用电子文件的优越性
目前,随着电子计算机技术的发展,越来越多重要的电子文件(非纸张文件)应用于制药企业的生产及产品的开发研究过程中,如批生产记录及其释放、临床研究报告等。电子文件的使用与纸张文件比较,具有如下的优越性。
(1)容易存取信息。
(2)传送速度快,提高工作效率。
(3)搜索能力强。
(4)数据容易进行统计及分析。
(5)可由多人同时进行存取。
(6)节约纸张,具有良好的环保效益。
第二节 电子记录及签名目前存在的问题
目前大部分制药企业都有着良好的管理纸张记录及传统签名的经验,GMP 对此也有着严格的要求及规定。但是对于电子记录及签名的管理,与纸张记录及传统签名比较,从 GMP的符合性来讲还存在以下问题(见表6-7、表6-8)。
表6-7 电子记录与纸张记录的特性比较表
6-8 电子签名与传统签名的特性比较
从以上的比较可以看出,如果要使电子记录及签名的管理符合GMP 中的文件管理要求,就应该将纸张记录及签名的特性应用于电子记录及签名特性中去,使得电子记录及签名必须像纸张记录及签名一样可信赖和可靠。
而目前许多企业的计算机系统设计及管理还不能完全保证满足此种需求。如何使电子记录及签名在发挥其优越性的同时符合GMP 要求,这给计算机系统的开发、设计及验证提出了更高的要求。
第三节 目前国际上相关法律法规对电子记录及电子签名的要求
为了保证制药企业的电子记录及电子签名完全等效于纸张记录及传统签名的可靠性,确保其符合GMP 要求,FDA(美国药品和食品管理局)早在1997 年就在美国联邦法规相关条款(21CFRPARTll)中对电子记录及电子签名进行了明确规定。其中内容包括:对电子签名与电子记录进行了明确定义、电子签名要求及控制、电子记录要求及控制(封闭系统及开放系统)、电子签名与电子记录的链接、识别码与密码的控制等。本文正是在此基础上,对电子签名与电子记录的管理以及如何进行验证进行了较为详细的探讨。
第四节 电子记录及电子签名定义及相关特性
一、电子记录
电子记录是指依靠计算机系统进行创建、修改、维护、存档、找回或发送的诸如文字、图表、数据、声音、图像及其他以电子(数字)形式存在的信息的任何组合。其具有如下的特性。
①当数字数据存人磁盘、磁带或其他一些持久性的电子媒介时,电子记录就产生了。
②当仪器将数据写入磁盘文件时,产生的就是电子记录的原件。当这些信息打印到纸上时,产生的将是电子记录原件的纸张复印件。这与原始的记录原件及复印件的概念有所不同。
③原始记录是第一个电子记录,在纸张复印件上签字并不能使这个纸张复印件成为原件。
二、电子签名
电子签名是指计算机对一些符号的执行、采用或者被授权的行为进行数字处理,这些行为是指在法律上完全等效于传统个人手工签名的一种个人行为。电子签名有两种形式。
1.无生物特征的电子签名
如用户识别码和密码,其随时间的流失具有惟一性。
2.具有生物特征的电子签名
如指纹、视网膜扫描、发声等,这些特征在体现个人独有性方面是可测量的。
第五节 电子签名要求
一、基本要求
①每个电子签名对每个人来讲应该是独有的,不能被任何其他人再使用或再分配。
②在组织成立之前,必须先对具有电子签名资格的个人身份进行分配、批准并确认其一致性。
③每次签名应具有时间的印记。
④签名应同时代表其含意,如起草、审核、批准等。
⑤签名应限制于其相关文件中,以防止未授权的复制及改变。
⑥签名应充分体现在电子记录的复印件中。
二、电子签名的组成及控制
1.无生物特征的电子签名
①至少使用两个截然不同的识别组分,如识别码和密码。当签名是在单独
浙公网安备 33021202002483