2010版GMP附录《计算机化系统》解读资料

1、2010版GMP附录计算机化系统解读2015年5月26日，国家食品药品监督管理总局（ CFDA正式发布了 2010版GMP的新 附录之一计算机化系统，并于2015年 12月 1 日起执行，引起了国内制药行业的广泛讨论和高度关注。一、 本附录出台的背景1、 与国际化接轨的要求。国内外GMP法规有许多差异，而对计算机化系统的要求差异尤为明显。CFDA所执行的2010版GMP法规内容与国际上其他法规机构的cGMP法规是对等的，如 FDA 21 CFR Part 21。1 但美国的制药企业除了执行21 CFR Part 211以外，同时还要遵守21 CFR Part 11法规；欧盟国家的制药企业除了执

2、行欧盟GMP以外，还要遵循 Ann ex 11法规。FDA的21 CFR Part 11与欧盟的Ann ex 11的内容是类似的， 都是针对于制药企业使用计算 机化系统的法规要求。 新颁布的 计算机化系统 法规附录是国内法规与国际接轨的重要一 步，填补了国内对于计算机化系统要求的法规空白， 是实现与国际法规监管机构之间相互认 可的前提条件之一。2、行业发展的要求。随着中国医药行业信息化的发展，计算机化系统在药品生产过程中的应用不断增多，制药企业和相关软件厂商运用信息技术和系统控制技术提升生产效率、 改进生产和质量管理成为医药行业计算机化系统应用的重要方向之一。因此，如何对计算机化系统进行有效地

3、验证就成为制药企业质量管理体系中的重要环节，CFDA在药品生产质量管理规范（2010年修订）（GMP中也将计算机化的仓库管理系统和其他相关计算机软件的变 更纳入变更控制范畴要求。3、 监督管理部门监管的需要。从认证检查中发现的问题来看，无菌制剂企业GMP认证 中检查缺陷主要分布在质量管理、质量控制与质量保证，机构与人员，厂房与设施，设备， 物料与产品等 11 个方面。非无菌制剂企业的跟踪检查中发现的典型问题则包括未定期对关 键系统完成再确认或再验证， 企业的质量管理体系运行存在问题等。 当前我国药品质量标准 不断提高， 各项法规政策不断完善， 从标准层面来说已经达到了较高的水准， 但是企业是否

4、 执行是一个大问题。 少数企业存在生产数据作假、 篡改、 删除等现象， 标准形同虚设。 过去， 国内药品GMP认证检查、跟踪检查中比较关注纸质文件、记录的真实性，而对于电子数据 的完整性和计算机化系统的验证等问题未给予足够关注。 因此， 计算机化系统附录发布后对 于打击生产过程中的数据作假，提升整个行业的诚信水平将会是一个有效的手段。、附录的核心要求计算机化系统法规附录究竟讲了哪些内容？其实，许多制药企业对它的内容并不陌生，因为这则法规于 2013年作为征求意见稿已经添加到新版GMP法规附录中。该附录内容并不多，全文共 24条要求、 6页，共计 2500字。计算机化系统附录结合了国际新的 趋势

5、及热点理念，比如基于风险 -质量风险管理要贯穿系统生命周期全过程；基于科学-对流程和产品充分理解；采用软件分级管理的策略；基于质量体系-有效质量体系下实施计算机化系统（及电子数据）管理；基于生命周期-在整个生命周期内保持计算机化系统验证受控状态等。其也包含了国际制药工程协会（ISPE） GAMP5良好自动化生产实践指南中的一些知识观点：如软件分级管理、供应商审计、物理的和逻辑的防护、权限管理、审计跟踪、电子 数据的备份与恢复、应急及突发事件管理等。核心要求概括如下：1、计算机化系统验证的要求 以往，法规对于设备、设施、仪器的确认是一直有要求的，但对计算机软件验证的要求不明确。 因而，大部分的制

6、药企业不对计算机系统进行验证，或仅进行最简单的确认。真 正按照新版GMP指南基于风险评估进行完整验证的企业不多，仅某些企业有国外业务、需 要通过FDA或欧盟审计时才会考虑。而这则法规发布以后，明确对所有的国内制药企业提 出进行计算机化系统验证的要求， 为计算机化系统验证提供了法规依据。 这里尤其值得注意 的是，法规附录里要求进行基于风险评估的计算机化系统验证，实际上就是指遵循GAMP5的验证方法学，即计算机化系统验证的形式应该是验证（Validation，通常所说的确认（Qualification IQ/OQ/PQ 是不够的。2、数据合规性要求法规明确了对数据输入的准确性和数据处理过程的正确性

7、要求，以保证数据的合规性。概括来说， 对计算机系统合规性的功能要求可以总结为： 访问控制、权限分配、审计追踪和 电子签名。访问控制：只有经许可的人员才能进入和使用系统。 权限分配：应当对进入和使用系统制订授权、取消和授权变更的操作规程。 审计追踪：用于记录数据的输入和修改以及系统的使用和变更。电子签名：明确了直接对电子数据进行电子签名是合规的，但电子签名需要符合相应法规。其中，电子签名是 “可以有 ”，而不是 “必须 ”，这取决于企业对于主数据的定义是电子数 据还是纸质数据。对于审计追踪记录的要求，是 “根据风险评估的结果，考虑在计算机化系 统中建立数据审计跟踪系统 ”，这可能是考虑到很多软件

8、自身功能设计上无法实现的情况。 然而，对于色谱数据系统这样的关键原始数据系统来说，审计追踪肯定是必然的要求。3、电子数据安全性要求电子数据安全性一般分为逻辑安全性和物理安全性。 逻辑安全性即是通过软件自身的权 限控制对数据的访问、 录入、 修改和删除等操作， 确保不被人为误操作或有意的篡改行为而 影响数据安全。而物理安全性，即是对数据存储的介质（如硬盘、光盘、服务器等）进行保 护，确保系统本身不会因为物理介质的损坏或故障造成数据丢失。4、数据备份要求关于电子数据的备份要求不算是新的法规要求，GMP法规也一直要求数据备份以保证原始数据的安全性。 国内制药企业通常也都制定了数据备份策略， 但我们发

9、现通常只是一个月 甚至半年才做一次数据备份， 真正发生故障时原始数据还是会严重丢失。 这样的数据备份归 档，其形式意义大过于实际意义； 而即使是这样的一个备份频率， 企业都已经觉得数据备份 的工作任务很重。 其根本原因是缺乏良好的解决方案。 计算机化系统 单独列出这条要求， 将提高制药企业对数据备份的重视，进而采纳更先进的解决方案。三、新修订GMP计算机化系统附录详析1、范围 第一条。 描述了本附录的适用范围： 适用于在药品生产质量管理过程中应用的 所有计算机化系统，同时明确了系统“由一系列硬件和软件组成，以满足特定的功能”。按照国际药品认证合作组织（PIC/S在GxP环境下的计算机化系统合规

10、实践指南（PI011-3指南）的定义，计算机化系统由计算机系统和被其控制的功能或流程组成。2、原则 第二条、 第三条和第四条。 主要描述了对于风险管理和供应商管理两个方面的 要求。对于风险管理， 一方面是整个生命周期要实施风险管理； 另一方面是验证的范围和程度 要基于风险评估的结果来确定。对于供应商管理， 需要制定相应规程， 要有明确的协议来明确供应商及制药企业双方职 责，以及需要基于风险评估的结果开展供应商审计并形成文件化的记录。3、人员 第五条。该章节强调了在系统验证、使用、维护、管理过程中各职能部门人员 的紧密配合， 并要求明确各自权限和职责； 人员要接受相应培训以适合其岗位工作， 且对

11、实 施培训和指导工作的人员（即指培训老师）提出了要求。4、验证 本章共 4 条。对计算机系统的验证提出具体要求。第六条。应用程序的验证与基础架构的确认实际上是按照软件分类的原则（可参考ISPE GAMP5实施不同生命周期验证活动。 其实也是采用风险管理的理念，即软硬件类别不同导致其系统复杂性和新颖性带来的风险不同，使得验证的程度（或深度）不同 采用基于科学的风险评估来确认计算机化系统确认验证的范围和程度（比如通过GxP 关键性评估确定验证的范围，通过功能性风险评估确定验证的程度） ；确保整个生命周期内系统处于验证的受控状态 （可供参考的方法是 在系统运行维护阶段遵循变更和配置管理，以及安全管理

12、、对系统实施定期评估等）。第七、 八条。 对制定计算机化系统的系统清单应包括的内容提出要求， 核心是与药品生 产质量管理相关并及时更新。 一 个企业计算机系统可能覆盖企业管理的各个方面， 但作为药 品 GMP 实施过程中涉及计算机系统的验证， 要求是在药品生产质量管理过程中所涉及的全 部且对于通用的商业化计算机软件于丹指定专人进行审核。第八条。 需要对通用商用软件进行审核确保满足用户需求 （即实施设计确认时需对通用 商用软件进行确认）；需要制定针对定制系统（即 5 类软件）验证实施规程。第九条。确认验证过程中，在系统数据出现转换及迁移情况时需确认数据的值及意义没 有改变（比如发酵罐 PLC设备

13、将罐压数据通过通讯协议转移至集散控制系统DCS,则在对DCS系统进行0Q检查时需要确认二者数值的一致性；信号转换的I/O测试）。5、系统 第十条。 对安装计算机化系统的物理环境作出规定,制药企业制定清洁确证和用户需求说明（URS）和进行系统设计时需要将其考虑进去，安装确认（ IQ）中要对系统的 安装位置进行确认,保证系统的安装环境是不受外来因素干扰的。第十一条。对关键系统的技术资料提出要求 （比如功能说明、硬件设计说明、软件设计 说明、电路图、网络结构图等）,这些技术资料要及时更新,保证和实际状态一致。第十二条。 由于不同的计算机系统用于不同的目的, 其风险自然有不同的级别。 软件是 计算机化

14、系统的重要组成部分, 因此本条要求企业应当根据风险评估的结果, 对所采用软件 进行分级管理,采取不同的管理要求和措施。第十三条。针对软件的全面测试, 根据软件级别的不同,其测试程度也不同（比如针对 五类软件系统的源代码审核和模块测试, 针对四类软件系统的配置测试, 然后是基于 “黑盒” 的功能测试、需求测试,以及包括结合实际工艺或流程的性能测试程度都不同）。第十四条。对系统的访问权限控制提出要求,并且要求制定规程定期检查授权的使用、 变更与取消。值得一提的是,也许出于国内实际情况考虑,新修订计算机化系统附录做 出了硬件不足软件补的让步 “对于系统自身缺陷,无法实现人员控制的,必须具有书面 程序

15、、 相关记录及相关物理隔离手段,保证只有经许可的人员方能进行操作”。需要注意的 是，EU和FDA并没有类似要求。并且大部分企业目前不存在由于硬性缺陷问题而面临制定 规程进行有效管理的问题。第十五条。 对人工输入数据的准确性提出复核要求， 复核的方式可以是另外的操作人员或者是经过验证的电子方式 （比如经过验证的称量配料系统通过报警提示能够完成“超重” 、“欠重”、 “批号错误”、“忘记去皮”等关键信息复核，则岗位无需配备另一名用于复核 的操作人员； 再比如数据输入的有效性符合如下要求： 对范围和小数点位数进行限制， 超出 指定范围和有效位数的数据无法输入）。第十六条。 对审计跟踪提出要求 （根据

16、 “风险评估的结果来考虑” 给系统加入此功能） ， 注意“每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由” ，其中记 录更改数据的理由容易被制药企业忽视。第十七条。 对计算机化系统的变更做出详细规定。 制药企业应制定针对计算机化系统的 变更管理规程，并按照既定的规程实施变更活动。如果第十四条“存在硬性缺陷”，则此条 其实是无法实现的。第十八条。对于记录的形式（电子的、物理的或者混合的）做出说明。其中， “应当有 文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据” 易被药企忽视。 需要注意 的是，企业采用从计算机化系统 “誊抄” 纸质版数据支持报告放行的做法， 并不能规

17、避对 “电 子记录” 的监管要求， 此时纸质数据和电子数据的一致性也是检查员关注的重点， 这也涉及 数据完整问题。第十九条。 对于采用电子数据作为主数据的情况提出管理要求， 包括不限于： 电子数据 要能打印成清晰易懂的物理文稿 （即一般人可读的物理文件） ；物理或电子的方式储存以及 定期检查可读性和完整性； 起草备份恢复规程按照记录的既定时限要求进行数据的备份管理 等。第二十条和第二十一条。 对制定应急方案、 制定故障处理规程、 实施纠正预防措施提出 要求。可参考ISPE GAMP5的附录04 “突发事件管理”和附录 010 “业务连续性管理”。第二十二条。 对采用计算机化系统进行产品放行的情

18、形做出明确规定。这其实就是前面提及的 “审计跟踪” 在产品放行环节的一个特定应用而已。 此过程应通过使用电子签名来实 现。而在此方面 EU 比我国要求要严格。第二十三条。 对电子数据可采用电子签名的做法及其要求做出说明， “电子签名应当遵 循相应法律法规的要求” 。对于制药领域可供借鉴的相关法规， 一般均采用美国联邦法规第 21篇第11条款（21CFR Parti 1，此标准之下FDA将认为电子记录、电子签名和在电子记录 上的手签名是可信赖的、可靠的且通常等同于纸质记录和在纸上的手写签名。6、术语 第二十四条。对电子签名、电子数据、数据审计追踪、数据完整性等七个专用 术语进行了诠释。四、附录对

19、行业可能产生的影响随着工业自动化、 信息化在制药领域的发展，越来越多的企业开始尝试采用 DCS企业资源计划 （ERP、生产执行系统（MES）、实验室信息管理系统（LIMS）等工艺控制、数 据管理或流程管理系统进行企业资源、 流程、 数据的高效整合和优化， 实现“少人化” 、“无 纸化” 生产、办公及管理。 对于如何有效管理这些计算机化系统，使其在给药企带来便利的 同时，又不会引起对患者安全、产品质量和数据完整性的GMP风险，在此之前的中国 GMP法规中并没有有效的约束或指导。新修订计算机化系统附录的正式颁布及实施，填补了国内GMP对计算机化系统的监管空白， 但由于国内制药领域 （不管是监管层还

20、是制药企业） 对计算机化系统管理认知 起步相对较晚， 因此该附录的正式颁布并实施将整体提升和加强国内制药企业对于计算机化 系统（以及电子数据）的管理水平，降低计算机化系统导致的质量管理风险。同时，对于监 管机构以及大部分之前没有国际认证经验的药企来说，全新的监管要求势必带来以下挑战：某些老旧的计算机化系统存在硬性缺陷导致无法合规合用，系统升级改造困难 （或根本找不到原来的软件商来实施升级改造）；检查员、药企人员、供应商（或第三方）的知识、能力、经验及技能水平一时难以适应新的法规需求，无法进行其职责范围的活动 （如实施GMP检查、实施GMP生产或检验活动、 实施计算机化系统的设计建造及确认验证活

21、动）；如何有效搭建计算机化系统 （及数据完整性） 管理体系， 如何按照既定的管理规程在整 个系统生命周期内去有效地实施管理，也将是制药企业质量管理人员所面临的困难；对于采用基于科学和风险的方法有效实施计算机化系统验证，以及在系统使用过程中维护其验证的受控状态，多数制药企业也会显得捉襟见肘。综上，面对技术不断革新、监管趋严、 质量意识不断提升， 国内制药企业的计算机化系 统管理还有很长的路要走。五、关于计算机系统验证管理计算机系统是用来执行一 种特定功能或一组功能的硬件、系统和应用软件及有关外围 设施的系统。与 GMP 相关的计算机系统包括以下过程中所使用的计算机系统。生产过程。 生产环境。 过

22、程控制。 质量决断过程。 物料控制及管理。 计算机系统验 证是建立文件来证明计算机系统的开发符合质量工程的原则，能够提供满足用户需求的功能并且能够稳定长期工作的过程。 计算机系统验证可借助于工艺验证的概念来理解。 工艺验证 中的 “工艺 ”相当于计算机的“输入”过程和“内部处理”过程（软件），工艺中用到的设备相当于计算机主机、 外围设备 （硬件 ）以及与其相关的生产设备或质量控制设备，工艺的“产品 ”相当于计算机的 “输出 ”或对另一台设备的控制等。本节所讨论的计算机系统验证，适用于制药企业被确定为与GXP相关的计算机系统，该系统包括以下内容。物料控制及管理系统 如BPCS SAP系统等。（2

23、实验室设备控制系统及信息管理系统 如LIMS系统。（3）生产工艺及控制系统 如PLC（可编程序逻辑控制器） 等。 （4）公用设施控制系统。在功能上， 上述这些系统符合诸如下列 GMP 的某一属性。 （1）自动控制 工艺控制。 环境控制。 质量控制。 自动清洗。 在线灭菌等。 （2） 物料控制 物料状态控制及隔离。先进先出 （或先近效期先出 ）。 批次追逐。 物料平衡。 发货查询。（3）基础数据控制 生产处方。 批生产文件。 产品及包装形式信息。 鉴别产品名称、编码、批号等信息。计算机系统验证与工艺验证不同之处是：术 语上的不同 （如数据处理概念 ）和由于软件的特性，使一般用户对软件和软件的开发

24、相对不熟 悉。一）计算机软件的确认与验证原则（A）、基础软件验证：1 、确认名称及版本号。2、确认被正确的安装在了计算机中的指定文件夹中的位置。3、确认可以正常运行。（B）、不可配置软件1、用户需求（根据系统复杂程度和质量影响风险决定内容）。2、供应商评估（根据系统复杂程度和质量影响风险决定内容）。3、确认名称及版本号。4、确认被正确的安装在了计算机中的指定文件夹中的位置（嵌入式软件不需要做这一 项）。5、 基于风险的必要的功能测试（带有输入/输出信号的、带有控制功能的系统需要做这 一项）。6、维持系统符合性的 SOP。7、校准。简单的不带控制功能的智能仪表只做校准，带控制功能的智能仪表需要校

25、准和必要的功 能测试。关键和主要的智能化检验仪器、 智能化工具， 需要经过评估决定确认验证的范围和程度。（C）、商用成品软件1、确认名称及版本号。2、确认被正确的安装在了计算机中的指定文件夹中的位置。3、确认可以正常运行。（D）、可配置软件验证1、用户需求（根据系统复杂程度和质量影响风险决定内容）2、供应商评估（根据系统复杂程度和质量影响风险决定内容）3、供应商质量体系评估（根据系统复杂程度和质量影响风险决定内容）4、设计说明与功能描述5、确认名称及版本号6、确认被正确的安装在了计算机中的指定文件夹中的位置。7、测试环境下基于风险的必要的 I/O 测试8、工艺流程中基于风险的必要的功能测试9、

26、维持系统符合性的 SOP（F）、定制软件验证（在 可配置软件”的基础上增加以下两项）1、设计审核2、源代码审核 首次为用户单独开发的软件，才是定制软件，很少有企业存在这种情况，当然也不排除 有些企业定制。至于是做 DQ、 IQ、 OQ、 PQ 中的哪几项？怎么做？文件形式并不重要，重 要的是，以上内容都关注了、确认了。（二）、 计算机系统验证举例PLC 系统验证PLC 系统在制药企业常被1、PLC系统简介 PLC是可编程序逻辑控制器 （programmable logic con troll的缩写，是一 种数字 运算操作的电子系统，专为在工业环境下应用而设计。它采用可编程序的存贮器， 用来在其

27、内部存贮执行逻辑运算、顺序控制、 定时、 计算和数字运算等操作的指令， 并通过 数字式、模拟式的输入和输出，控制各种类型机械或生产过程。应用于以下4个方面。生产设备的过程控制。检验仪器的控制。水处理系统的运行控制。 空气净化系统的运行控制。2、PLC 系统验证实施PLC 作为设备或公用设施的一部分被安装在设备或公用设施上，因此在实施拥有 PLC的设备或公用设施验证时，应进行机械及计算机两部分验证。本 文仅依据前面所述的计算机系统验证规范要求， 对 PLC 系统的一些重要的、 特殊的验 证行 为进行如下阐述：A、需求定义(URS) PLC系统需求定义对其设计、开发、测试及验收都起着关键性的作 用

28、，用户必须进行详细、全面、准确的定义。在编写 PLC 系统需求定义说明时，除了包括 前面上述的计算机系统需求定义所要求的内容外，应对其控制方式进行详细的定义和要求， 如以下控制方式要求：(1)逻辑控制要求 (顺序控制 ) 如加料顺序、物料存放与提取等。 (2)分选控制 (检测与剔除 ) 如漏片检测与剔除等。(3)互锁控制。 (4)报警控制。 (5)位置控制。 (6)速度控制。(7)温度控制。(8)压力控制。(9)时间控制。(10)计数。 (11)其他多极控制等。B、 系统设计1.控制系统配置图设计 (1)系统的PID图。 1/ 0(输入/输出)接线图。 (3)控制器件排列图等。 2硬件设计 其

29、中包括以下主要内容。(1)所有的1/0(输入/输出)接口模板及型号。 (2)选择 CPU。 (3)通讯模板。 (4)人机界面控制器。 (5)选择显示屏。 (6) 中间继电器。 (7)存贮器。 (8)打印机。 (9)辅助电源。 (10)电子元件、电线、电缆。(11)其他器件等。注：在进行硬件设计与选择时，如果有可能与产品接触的部分，其材质及接触表面应符合GMP 要求。如不与产品产生反应、耐腐蚀、表面光洁、易清洗等。3.软件设计 PLC 所要求的功能被转化成软件，再通过所选择的硬件来实现。软件设计包括以下 3 部分。(1)系统软件选择后作为分类1,在安装确认(IQ时仅鉴别并记录其版本号即可。(2)

30、应用软件根据需求定义中所要求的各种控制方式来设计应用软件，其可以被集成或重新开发，可作为分类 4 或 5 来实施验证。(3)数据 一个 PLC 系统可以产生大量的数据,有一些数据需要存贮在一个独立的系统中以便查询和追踪。 为了保证数据的完整性, 必须设计数据的传送流程 及存贮地址。C、 安装确认(IQ) 1.文件确认 用户技术指南。(2)标准操作程序。(3)培训计划。售后服务协议。(5)安全程序。(6)设备台账。(7)硬件确认。(8)软件确认 包括安装程序、系统软件清单、应用软件清单、数据流程图及数 据字典,注意进行版本确认及记录。 (9) 程序原代码。 (10)仪器仪表清单。 (11)技术标

31、准及图纸。 (12)仪器仪表校验程序。 (13)PID 图。 (14腔制回路图。(15)1/0(输人/输出)清单及接线图。(16)备品备件清单。(17)预防维修程 序。 2安装过程确认 整个安装过程符合 PID 图及安装程序要求。3环境和公用工程确认 (1)确认并记录系统安装的环境包括清洁度、射频/电磁干扰、振动、物理安 全性、温度及湿度等。 (2)确认并记录关键公用工程系统的情况包括： 电源供应、 压缩空气等。 4系统测试及确认 (1)首先确认供户提供的 FAT 测试报告 包括： 单元测试及集成测试报告。 (2) 在现场操作环境下，对系统进行一些必要的测试(SAT),主要内容包括如 下。仪器

32、仪表校验或确认。I/O输入/输出)信号测试。控制回路测试。数据采集、传送、存贮信号测试。 其他测试。D、 运行确认(OQ)在现场操作环境下，对系统的所有功能进行确认测试。OQ测试亦是 SAT 测试 的一部分， 只是侧重于系统安装后的所有功能性测试。 应将系统运行分别置于 正常条件下、边界条件下及警告条件进行测试,以便对系统进行全面评估。运行确认主要内容包括如下。(1)系统安全性测试，如编程器的使用权限等。(2)系统需求定义(URS中所要求的各种过程控制功能测试。(3)报警功能测试。(4)互锁功能测试。(5)数据处理、存贮准确性测试。(6)断点/恢复功能测试。(7)其他功能测试。注：在 FAT

33、中所测试的项目没有必要在 IQ 或 OQ 中全部重复进行测试,对一些关键性 的项目及容易受到安装、操作环 境影响的项目 (如：控制回路等 ),应该在 IQ 或 OQ 中进行 重复测试；E、性能确认(PQ)性能确认是为了确认 PLC系统在正常生产环境下，其运行过程的有效性和稳定 性。测试项目依据对系统运行希望达到的整体效果而定, 并应该进行重复确 认。 1对于批生产的设备, 应对生产出的产品质量特性进行检验, 以确定其各种过 程控制功能 的有效性, 如含量检验、 包装质量检验等。 应该在相同生产条件下 连续重复 3 次以上。 2对 于连续过程处理的设备, 如空气净化系统,应在一定时期内对尘埃离子

34、、微生物、 温湿度、空气流向、压差、换气次数等指标进行监测。水处理系统,在一定时期内对微生物、总有机 炭、化学指标、电导率、温度等指标进行监测。注：由于 PLC 系统是安装在生产设备或公 用实施中,是设备 (设施 )的一部分,同其他部分 (如机械部分 )一起共同实现设备功能。因此 PLC 系统的工艺/性能确认可以同该设备(设 施)的工艺/性能确认结合在一起完成。生产用水制备系统 PLC 控制运行确认方案与报告A、验证对象描述及验证目的。 生产用水制备系统整个运行过程采用PLC自动控制模式。该控制系统是制造厂商预先按用户要求(URS开发编程的，PLC根据操作人员指令及外部实际工作状态,通过相应

35、输入信号的检测,在内部经过运行程序逻辑判断、运算、把结果通 过输出口去控制外部相 应执行机构动作,从而完成生产用水制备系统整个运行过程自动控 制功能。通过该 PLC 系 统可以控制以下过程及操作： 1系统正常运行操作 (启动、停止 等) 2系统升温灭菌 3清洁蒸汽吹扫灭菌 4电导超限报警 5通过本次验证,确认该 PLC 系统的运行能够满足使用者的功能要求及设计标准, 其控制功能有效、 可靠,符合 GMP 要求。B、验证项目、实施方法及可接受标准1.系统安全性确认 确认方法：先由无编程权限的一般操作人员打开应用程序进行编程，然后再由有编程权限 的系统维护人员持编程器进 行编程及修改参数。 可接受

36、标准： (1)无编程权限的一般操作人员无法打开应用程序； (2) 有编程权限的系统维护人员持编程器可以打开应用程序进行编程及修改参数。2.系统正常启动控制 确认方法：当确定外部电源、气源、运行参数都在规定的范围内，在人机界面选 择生产用 水制备及分配画面， 然后在控制盘面上选择运行功能键。 可接受标准： 系统打开 运行电机，紫外灭菌灯电源，并根据自身运行状态(液位、温度、电导等 )自动调节冷冻水、蒸汽调节阀、流量调节阀、及管路开关阀。待各个动作机构的反馈信号在规定的时间范围内产生并正确无误后，系统进入正常的运行状态。3.电导超限报警控制 确认方法：用外接的模拟电流信号模拟去离子水电导超标现象，

37、观察系统运行情况。可接受标准：系统自动停机，并有报警信号产生。 4.断电恢复功能 确认方法：在运行中，断开供电电源， 观察 PLC 系统及整个系统运行情况， PLC 程序、 设置的参数及时实数据保存情况。 然后再 恢复电源， 观察系统恢复情况。 可接受标准： (1)断开供电电源后， PLC 控制系统停止运行， 同时整个系统运行停止； (2)断开供电电源后，因 PLC 内部有备用电池及 EPROM 存贮器支 持，程序、设置的参数及 时实数据被保存起来，没有丢失。(3)恢复电源后，系统恢复停电前的状态。 5.其它需描述的内容或要求。C、 运行确认所需相关技术支持文件1.用户需求说明书(URS) 2

38、 PLC系统设计标准3. 控制系统PID图4. 1/0输入/输出)接线图5.供户提供的FAT测试报告6 .用户技 术指南 7标准操作程序 8其它需描述的内容或要求。D、生产用水制备系统 PLC控制运行确认报告1、 运行确认执行情况概述。本次运行确认以生产用水制备系统PLC控制运行确认方案 (编号：xxxxx为依据，按方案 中所规定的 确认项目及方法进行确认并记录，执行过程 中未出现过变更及偏差。2、运行确认结果。A、系统安全性确认。含确认方法、可接受标准、确认结果。无编程权限的一般操作人员打开应用程序进行编程OR无编程权限的一般操作人员无法打开应用程序。结论(不符合 OR符合要求)有编程权限的

39、系统维护人员持编程器进行编程及修改参数OR无编程权限的系统维护人员持编程器可以打开应用程序进行编程及修改参数。结论(符合OR不符合要求)确认人：xxx日期：x年x月x日复核人：xxxB期：x年x月x日系统打开运行电机，紫外灭菌灯电源 符合要求 根据自身运行状态（液位、温度、电导 等） 自动调节冷冻水、蒸汽调节阀、流量调节阀、及管路开关阀。结论（符合或不符合要求）当确定外部电源、气源、运行参数都在规定的范围内，在人机界面选择生产用水 制备 及分配画面，然后在控制盘面上选择 运行功能键 各个动作机构的反馈信号在规定的时间范 围内产生并正确无误后，系统进入正常的运行状态。结论（符合或不符合要求）。确

40、认人：xxxB期：x年x月x日复核人：xxxB期：x年x月x日C、电导超限报警控制。确认方法、可接受标准、确认结果。系统自动停机 用外接的模拟电流信号模拟去离子水。结论（符合或不符合要求）电导超标现象，观察系统运行情况有报警信号产生。结论（符合或不符合要求）确认人：xxx日期：x年x月x日复核人：xxx日期：x年x月x日D断电/恢复功能。确认方法、可接受标准、确认结果。PLC控制系统停止运行， 同时整个系统 运行停止 断开供电电源，观察PLC系统及整 个系统。结论（符合或不符合要求）系统运行情况。PLC程序、设置的参数及时实数据保存情况程序、设置的参数及时实数据被保存起来，没有丢失。结论（符合

41、或不符合要求）；恢复电源，观察系统恢复情况系统恢复停电前的状态 符合要求3、运行确认结论。 通过运行确认结果可以看出， 生产用水制备 PLC控制系统的运行能 够满足使用者的功能要求及设计标准。 控制功能的符合性及有效性得到了证明， 系统具备了 能够在正式生产环境下使用的条件。六、关于电子记录及电子签名第一一 、采用电子文件的优越性目前，随着电子计算机技术的发展，越来越多重要的电子文件（非纸张文件）应用于制药企业的生产及产品的开发研究过程中，如批生产记录、临床研究报告等。电子文件的使用与 纸张文件比较，具有如下的优越性。（1瘠易存取信息。（2传送速度快，提高工作效率。（3）搜索能力强。（4）数据

42、容易进行统计及分析。（5）可由多人同时进行存取。（6）节约纸张，具有良好的环保效益。第二、电子记录及签名目前存在的问题目前大部分制药企业都有着良好的管理纸张记录及传统签名的经验，GMP对此也有着严格的要求及规定。但是对于电子记录及签名的管理，与纸张记录及传统签名比较，从GMP的符合性来讲还存在一些问题。例：如果要使电子记录及签名的管理符合GMP中的文件管理要求，就应该将纸张记录及签名的特性应用于电子记录及签名特性中去，使得电子记录及签名必须像纸张记录及签名一样可信赖和可靠。而目前许多企业的计算机系统设计及管理还不能完全保证满足此种需求。 如何使电子记录及签名在发挥其优越性的同时符合GMP要求，

43、这给计算机系统的开发、设计及验证提出了更高的要求。第三、目前国际上相关法律法规对电子记录及电子签名的要求为了保证制药企业的电子记录及电子签名完全等效于纸张记录及传统签名的可靠性，确保其符合GMP要求，FDA美国药品和食品管理局）早在1997年就在 美国联邦法规相关条 款（21CFRPARTII中对电子记录及电子签名进行了明确规定。其中内容包括：对电子签名与电 子记录进行了明确定义、电子签名要求及控制、电子记录要求及控制（封闭系统及开放系统卜 电子签名与电子记录的链接、识别码与密码的控制等。本文正是在此基础上，对电子签名与 电子记录的管理以及如何进行验证进行了较为详细的探讨。第四 电子记录及电子

44、签名定义及相关特性1、电子记录 电子记录是指依靠计算机系统进行创建、修改、维护、存档、找回或发 送的诸如文字、图表、数据、声音、图像及其他以电子（数字）形式存在的信息的任何组合。其具有如下的特性。当数字数据存人磁盘、磁带或其他一些持久性的电子媒介时，电子记录就产生了。当仪器将数据写入磁盘文件时，产生的就是电子记录的原件。当这些信息打印到纸上时，产生的将是电子记录原件的纸张复印件。这与原始的记录原件及复印件 的概念有所不同。原始记录是第一个电子记录，在纸张复印件上签字并不能使这个纸张复印件成为原件。二、电子签名电子签名是指计算机对一些符号的执行、采用或者被授权的行为进行数字处理，这些行为是指在法

45、律上完全等效于传统个人手工签名的一种个人行 为。电子签名有两种形式。A.无生物特征的电子签名 如用户识别码和密码，其随时间的流失具有惟一性。B.具有生物特征的电子签名如指纹、视网膜扫描、发声等，这些特征在体现个人独有性方面是可测量的。第五电子签名要求1基本要求 每个电子签名对每个人来讲应该是独有的，不能被任何其他人再使用 或再分配。在组织成立之前，必须先对具有电子签名资格的个人身份进行分配、批准并 确认其一致性。每次签名应具有时间的印记。签名应同时代表其含意，如起草、审核、批准等。签名应限制于其相关文件中，以防止未授权的复制及改变。签名应充分体现在电子记录的复印件中。2、电子签名的组成及控制A

46、.无生物特征的电子签名 至少使用两个截然不同的识别组分，如识别码和密码。当签名是在单独的、一段连续的控制系统中多次进行时，第一次签名应使用所有的电子签名组分（识别码加密码）；在随后的签名中应至少使用一个个人的 惟一识别组分（如识别码）。在非连续的控制系统中进行签名时，必须使用所有的电子签名组 分。电子签名只能被真正的拥有者使用。应对除了拥有者之外的需要协助拥有者签名的其他个人的电子签名进行管理和确认。系统管理者不应该知道用户密码，也不能够将密码透露给其他人（防止伪造记 录）。B .具有生物特征的电子签名其设计应确保除了真正拥 有者之外，其他人无法使用。3、识别码及密码控制 使用识别码及密码进行

47、电子签名的人必须实施以下控制，以确保其安全性及完整性。识别码及密码应大于或等于6个字母/数字。保持每一个识别码和密码的单一性，如在识别码和密码的组成中不能出现两个相同的元素，不能再分配。 定期检查、变更及撤除（人员离开时）识别码及密码。当出现诸如权限丢失、被窃或其他 危及安全的事件发生时，相关程序应能够保证使用卡或其他设施具有或产生识别码或密码信 息，并确保正确置换（暂时/ 永久）。建立安全防护措施， 防止识别码及密码被非法使用。 检测、跟踪那些未授权限企图进入系统的行为，发现问题立即报告。初始并定期检测那些能够具有或产生识别码或密码信息的装置，如卡等，以确保其功能运行正常并不能够被以未授权的

48、方式改变。第六电子记录要求1基本要求真实的，可信赖的。安全的（密码控制/限制通路/正确存储）。可随时调出查 阅。应符合相关法律法规要求（如GMP等）。2、封闭系统中对电子记录的要求封闭系统是指系统通道处于一种能够被一定的人员所控制的环境，该人员有权限在系统上进行电子记录的操作，如被拥有者所使用的个人计算机。使用封闭系统进行电子记录的生成、修改、维护、发送等活动的人员，应建立相关的管理及控制程序及确保电子记录的真实性、完整性及保密性（需要时）。管理及控制程序内容应包括以下内容。对系统进行验证以确保其精确性、真实性、一致性以及能够识别无效或被改变的记录。系统应能够生成准确而完整的复制件包括人工可阅

49、读的形式及能够接受检查 的电子形式。保护记录，使其在保存期内可被随时调出查阅。限制通道，只能被有权限的人使用。 采用计算机系统生成的时间印记追踪功能（time-stamped audit trails）如：a.何人、何时、作了何事（记录生成、修改、删除、发送等 ）;b.由计算机自动记录（非纸张），按 时间顺序存储，并在其保存期内可被随时调出查阅；c.记录的更改不能够遮盖原始的记录信息。 对于具有按一定顺序进行的过程（如电子批记录等），必须检查其操作的步骤顺序，确保其按一定的顺序记录。对使用者的资格权限进行确认，以确保只有有权限的人才能进入系统、完成某些操作（读、写、删除、修改等）、变更记录、电

50、子签名等。对硬件设施（如终端等）功能进行检查，以确认功能运行及源数据输入的有效性。确认开发、维护、或者使用电子签名/电子记录系统的人员有一定的教育背景，接受过培训并有一定的经验完成他们的工作 建立一定的管理规程，要求操作人员有责任保证记录，签名的原始性，防止 记录和签名被仿造。还有就是对系统文件进行控制，包括充分控制文件的发放及使用，变更控制（软硬件开发，版本控制）等，以便使其具有可追踪性。3、开放系统中对电子记录的要求开放系统是指系统通道处于一种不能够被有权限在系统上进行电子记录操作的人员所控制的环境，如电子信件（Email）在因特网上发送信息等。封闭系统中对电子记录的要求完全适合于开放系统

51、，另外还应再增加一些措施如文件（数据）加密、数字签名等，以确保电子记录信息的真实性、完整性及保密性。第七电子签名与电子记录的链接1、电子签名在电子记录上的表现附加在电子记录上的电子签名应能够明确显示如下信息：a.签名者打印的名字；b.签名的日期和时间；c.签名的意义（如审核、批准、责任、原作等）。电子签名应作为电子记录的一部分受到相同控制，并且是人可阅读的形 式，如电子显示或可被打印出，以便于查阅。2、电子签名与电子记录的链接。电子签名的实施应该能够像手工签名一样完全链接在 其相关的电子记录上，以确保签名不能够被删除、复制或转移到其他伪造的记录上。第八电子签名与电子记录系统的验证要求1验证范围

52、 涉及到以下因素的电子签名及电子记录系统均应实施验证（但并不仅限于此）。涉及到产品的质量、安全性及有效性的系统。涉及到数据的完整性、真实性及保密性的系统。2、验证实施电子签名及电子记录系统验证方法从原则上来讲基本可按照前面所述的计算机系统验证实施过程总体要求实施，包括系统需求定义（见电子记录及电子签名要求 卜系统开发及设计（按照系统需求标准实施）、系统安装、系统测试（设计测试条件，对所要求功 能的有效性及可靠性予以确认 卜系统维护（变更控制、定期回顾、再验证等 ）。3、应特殊考虑的问题 A.商业用的现成软件 商业用的现成软件用于电子记录及电子签 名系统时，必须同用户开发（或委托开发）的系统一样

53、实施验证。因为对这些市场上销售的软件，并无足够的证据证明其能够满足以上所述的电子记录及电子签名系统要求。当然，用户对商业用软件的验证有可能与开发的软件的验证有一些不同，如有时不易得到源代码及开发文件等。用户应该有能力对商业用现成软件实施以下验证。按照以上所述的电子记录及电子签名系统要求制定用户需求标准，用户需求标准可能与软件开发标准不同，可能时可索取软件开发标准进行比较。软件结构完整性确认。用户如果无法得到源代码，应按以下方法推断软件结构的完整性。a.调查软件程序使用历史，如程序已知的局限性、评价其他用户的使用经验、鉴别软件存在的问题及解决的方法等。b 评价供户软件开发活动，以确定其是否与现行

54、标准相一致。这种评价最好来自于对供户的审计（用户或有能力的第三方进行）。c.软件的功能测试，测试的项目应覆盖用户将使用的所有功能。当用户无法直接得到 程序的源代码及开发文件时，功能测试的广度及深度应更加全面及严格以确保关键数据的完 整性及真实性。这里请注意，如果仅靠功能测试结果来确认软件的适用性还是不充分的。B.因特网 目前我们已经认识到， 在开放系统中，越来越多重要的记录如临床研究报告、 批生产（释放）记录等可以通过因特网进行传送。要对因特网向对计算机系统一样实施验证是 非常难的，因为其配置是动态的。例如，当一份记录从始发地传至目的地时，记录的许多不同部分可能会独自通过完全不同的路径被传送，

55、而无论是发送者还是接收者事先都无法定义或知道具体的路线。但是如果我们通过一些在线测量的手段确认电子记录（数据）从始发地到目的地能够被准确地、完全地、及时地传送，并且对始发地及目的地的计算机系统（包括两个通讯线路的终端）进行验证，电子记录通过因特网进行传送还是可以信赖的。测量的手段 可包括（并不仅限于次）以下内容。采用数字式签名技术来确认电子记录传送后不会被改变 并确定发送者的身份。进行交付确认，如通过收据或采用除因特网之外的其他确认方式（如传真、录音电话等）。七、实验室数据的完整性（可靠性）数据完整性是制药质量体系确保药品质量的基石。手工（纸质） 数据和电子数据在数据完整性方面的要求是一致的。

56、生产者和分析实验室要意识到，从自动化/ 电脑系统回归到手工（纸质） 记录的做法，并不能减少对数据完整性进行控制的要求。 此次颁布的附录中对数 据完整性（ Data Integrity ）的定义是指数据的精确性（Accuracy） 和可靠性（ Reliability ）。但在目前国内外 GMP 检查中反映出的缺陷描述则多明显侧重于数据的真实性、关联性和可 追溯性。因此，许多检查人员对数据的完整性检查的实践更倾向于在GMP 中关注数据的可靠性。实验室中的数据就当前的仪器设施水平来讲， 大多是通过各类计算机系统来进行记录 和存储的， 一些结果性数据则多采用输出的纸质记录形式进行保存。 因此实验室中各类计算 机系统的验证是一项十分重要的工作， 同样也由于实验数据与药品的有效性、 安全性关联紧 密，数据的完整性逐渐成为了实验室工作对于GXP 合规性的监管重点。（一）、数据完整性标准（ALCOA+CCE原则）ALCOA原则是：Attributable A 可追溯的 记录可追溯（可归因性）：可鉴别采集信息的来源，如受 试者、输入者、外源数据等；Legible L 清晰的，可见的 清晰可见（易读性）：采集的数据可被他人阅读和理解； Contemporaneous C 同步的 与操作同步生成 / 录入（同时性）：数