PLC 系统验证

1、PLC 系统验证PLC 是可编程序逻辑控制器(programmable logic controller)的缩写，是一种数字运算操作的电子系统，专为在工业环境下应用而设计。它采用可编程序的存贮器，用来在其内部存贮执行逻辑运算、顺序控制、定时、计算和数字运算等操作的指令，并通过数字式、模拟式的输入和输出，控制各种类型机械或生产过程。PLC 系统在制药企业常被应用于以下4 个方面: - 生产设备的过程控制- 检验仪器的控制- 水处理系统的运行控制- 空气净化系统的运行控制PLC 作为设备或公用设施的一部分被安装在设备或公用设施上，因此在实施拥有PLC的设备或公用设施验

2、证时，应进行机械及计算机两部分验证。本文仅依据前面所述的计算机系统验证规范要求，对PLC 系统的一些重要的、特殊的验证行为进行如下阐述。 需求定义(URS)PLC 系统需求定义对其设计、开发、测试及验收都起着关键性的作用，用户必须进行详细、全面、准确的定义。在编写PLC 系统需求定义说明时，除了包括前面上述的计算机系统需求定义所要求的内容外，应对其控制方式进行详细的定义和要求，如以下控制方式要求。 逻辑控制要求(顺序控制) 如加料顺序、物料存放与提取等 分选控制(检测与剔除) 如漏片检测与剔除等 互锁控制 报警控制 位置控制 速度控制 温度控制 压力控制 时间控制 计数 其他多极控制

3、等 系统设计1控制系统配置图设计 系统的PID 图。 IO(输入输出)接线图。 控制器件排列图等。 2硬件设计 所有的IO(输入输出)接口模板及型号。 选择CPU。 通讯模板。 人机界面控制器。 选择显示屏。 中间继电器。 存贮器。 打印机。 辅助电源。 电子元件、电线、电缆。 其他器件等。 在进行硬件设计与选择时，如果有可能与产品接触的部分，其材质及接触表面应符合,GMP 要求。如不与产品产生反应、耐腐蚀、表面光洁、易清洗等。 3软件设计 PLC 所要求的功能被转化成软件，再通过所选择的硬件来实现。软件设计包括以下3 部分 (1)系统软件 选择后作为分类1，在安装确认(IQ)时仅鉴

4、别并记录其版本号即可 (2)应用软件 根据需求定义中所要求的各种控制方式来设计应用软件，其可以被集成或重新开发，可作为分类4 或5 来实施验证 (3)数据 一个PLC 系统可以产生大量的数据，有一些数据需要存贮在一个独立的系统中以便查询和追踪。为了保证数据的完整性，必须设计数据的传送流程及存贮地址。 安装确认(IQ)1文件确认 用户技术指南 标准操作程序 培训计划 售后服务协议 安全程序 设备台账 硬件确认 软件确认 包括安装程序、系统软件清单、应用软件清单、数据流程图及数据字典，注意进行版本确认及记录 程序原代码 仪器仪表清单 技术标准及图纸 仪器仪表校验程序 PID 图 控制回路

5、图 IO(输人输出)清单及接线图 备品备件清单 预防维修程序 2安装过程确认 整个安装过程符合PID 图及安装程序要求3环境和公用工程确认 (1)确认并记录系统安装的环境 包括清洁度、射频电磁干扰、振动、物理安全性、温度及湿度等 (2)确认并记录关键公用工程系统的情况 包括：电源供应、压缩空气等4系统测试及确认 (1)首先确认供户提供的FAT 测试报告 包括：单元测试及集成测试报告 (2)在现场操作环境下，对系统进行一些必要的测试(SAT)，主要内容包括如下: 仪器仪表校验或确认 IO(输入输出)信号测试 控制回路测试 数据采集、传送、存贮信号测试 其他测试 运行确认(OQ)在现场操

6、作环境下，对系统的所有功能进行确认测试。OQ 测试亦是SAT 测试的一部分，只是侧重于系统安装后的所有功能性测试。应将系统运行分别置于正常条件下、边界条件下及警告条件进行测试，以便对系统进行全面评估。运行确认主要内容包括如下: 系统安全性测试，如编程器的使用权限等。 系统需求定义(URS)中所要求的各种过程控制功能测试。 报警功能测试。 互锁功能测试。 数据处理、存贮准确性测试。 断点恢复功能测试。 其他功能测试。 性能确认(PQ)性能确认是为了确认PLC 系统在正常生产环境下，其运行过程的有效性和稳定性。测试项目依据对系统运行希望达到的整体效果而定，并应该进行重复确认。由于PLC

7、系统是安装在生产设备或公用实施中，是设备(设施)的一部分，同其他部分(如机械部分)一起共同实现设备功能。因此PLC 系统的工艺性能确认可以同该设备(设施)的工艺性能确认结合在一起完成。1对于批生产的设备，应对生产出的产品质量特性进行检验，以确定其各种过程控制功能的有效性，如含量检验、包装质量检验等。应该在相同生产条件下连续重复3 次以上。 2对于连续过程处理的设备，如空气净化系统，应在一定时期内对尘埃离子、微生物、温湿度、空气流向、压差、换气次数等指标进行监测。水处理系统，在一定时期内对微生物、总有机炭、化学指标、电导率、温度等指标进行监测。MySAP ERP 如何符合21CFR Part11

8、要求的各个方面: PART 11 CLAUSECOMMENTS11.10(a)所有在mySAP ERP里的电子数据都能提供充足的具信息回看功能的查账索引。mySAP ERP系统保护这些数据免受未经授权存取的威胁。11.10（b）所有在mySAP ERP里形成的电子数据都是精确、完整、以让你易读的格式呈现出来的。11.10（b）mySAP ERP里的电子数据都能打印或是输出成多种具行业标准的格式，如Adobe PDF 和XML。11.10（c）所有的电子数据都能在有效的数据库中得到维护或着即使在软件无法更新的时候也能存档。使用标准的SAP授权描述文件，这些数据的存取是十分安全的。另外，

9、mySAP ERP维护已执行的电子签名和存档后的电子数据之间的联系。11.10（d）健全的安全管理和授权描述文件保证了系统存取的安全性。mySAP ERP系统会记录安全模式中变更操作。11.10（e）mySAP ERP 能自动形成生成、修改或数据删除的电子数据。这些数据是注明日期和时间的，并且包括登陆系统并执行操作者的ID。电子记录还能维护新老价值变更数据和形成数据的操作。11.10（e）补充11.10（c）中的需求，所有的电子数据都能在有效的数据库中得到维护以及在所有情况下进行存档。另外，mySAP ERP维护已执行的电子签名和电子数据之间的联系。11.10（f）在制造业使用的PI表格包括一

10、连串视情况而定的连续执行规定（运转核对），来规定这一系列的步骤和事件。11.10（g）结合系统本身健全的安全管理和授权描述文件，mySAP ERP所执行的授权核对保证了只有授权的个人才能进入系统、进行电子签名及进入或执行手上的操作。mySAP ERP能记录在授权描述文件中的所有更改。11.10（h）例如终端、测量设备、过程控制系统等输入设备，以及远程登陆都能通过相同的SAP安全管理系统和授权描述文件来连接上mySAP ERP。此外，设备核对例如设备分类（比如一个专业范围的重量规模）、设备状态（比如校准）都能通过mySAP ERP的特征分类来管理控制，从而确定信息来源的有效性。11.10（i）质

11、量管理手册是为了发展SAP，这需要每个员工都对发展和维护mySAP ERP尽责，他们需要培训并且熟练的操作手上的工作。大范围的学习、提供培训和定期的培训绩效评估，才能保证使用SAP的员工不断地发展和支持所有SAP软件。11.10（j）这项条款是为用户在程序上的需求而设的，和MySAP ERP的功能、性能不相关。11.10（k）mySAP ERP文件管理中的mySAP PLM部分，能控制分布、存取及文件的操作和维护。另外，mySAP ERP能维护电子数据（查账索引）的修改和如11.10（e）中的变更控制。使用SAP在线程序说明书和知识仓储性能需要客户进行程序控制来确保符合这项条款。11.30对于

12、开放系统来说，mySAP ERP支持与提供密码的互补软件方接口，如PKI 技术。11.50（a）mySAP ERP里的电子签名记录主要包括以下信息：- 签署者的印刷版签名- 签名执行的日期和时间，当涉及到多时区时，会包括签署者所在地区的当地日期和时间（见Part 11导言的注解101）- 与签名有联系的内容（例如检查、审批、职责或作者身份）mySAP ERP会自动记录在标准签名执行要求下（例如检查大量的审批、经营成果记录等等）的有关内容。另外，用户可以使用注解来使签名内容得到扩展和清晰化。 11.50（b）电子签名可与电子记录以同样的方式进行可读格式的显

13、示或打印。11.70电子签名可永久地与电子数据保持连接。但这一连接不能移动、复制或是转移到其他篡改的电子数据。和先前规定的一样，这一连接在电子数据能存档后依然存在。11.100（a）mySAP ERP中的用户安全管理功能，提供健全的系统核对及安全配置程序，以此来建立和维护每个用户特有的签名。包括防止使用过的电子签名和已删除的有关信息再次使用。11.100（b）这项条款是为用户在程序上的需求而设的，和MySAP ERP的功能、性能不相关。11.200（a）（1）mySAP ERP登陆需要两个部分：用户ID和密码，来操作每个电子签名。在我们的精心设计之下，mySAP ERP不支持每个单独的部分在第

14、一次签署之后连续不断的使用。 不支持那些在制造业（PP-PI）以外的个人用户在当前用户空间登陆。当执行签名时，用户ID被删除或被另一用户代替，mySAP ERP需要用户ID和与此相一致的密码来确认用户身份。成功执行签名操作的用户会记录在电子签名数据中。程序控制是适合管理这一相应进程的。 11.200（a）（2）这项条款是为用户在程序上的需求而设的，和MySAP ERP的功能、性能不相关。11.200（a）（3）mySAP ERP 中的用户安全管理功能确保免除了两人或者更多人尝试使用同一个的电子签名的隐患。11.200（b）mySAP ERP提供连接生物计量设备的认证，比如指纹和视网膜

15、扫描设备，搜索出在SAP CSP中受认可的卖方。11.300（a）mySAP ERP用户安全管理功能提供了确保没有二个用户使用同一个ID和密码的必要控制。11.300（b）mySAP ERP可以设置强制用户在不同的时间段更改密码，同时提供系统核对来保护用户远离重复密码或是在密码中使用在用户ID中已包括的文字数字混合字符。用户ID可作废，例如在员工离职时。11.300（c）这项条款是为用户在程序上的需求而设的，和MySAP ERP的功能、性能不相关。11.300（d）mySAP ERP提供以下满足11.300（d）的特性：- 当（每次登陆或签名）失败，超过可尝试次数，mySAP ERP

16、将保护用户远离更进一步进入没有安全干预的管理。注意：登录失败可尝试的次数是可以设置的。- mySAP ERP在SAP Office中形成快件并且将其发送到规定的分配列表中来通知安全管理系统“处在紧急状态下”。另外，任何符合MAPI的消息传递系统都能连接上MySAP ERP，以此发送外部信息给e-mail系统如Microsoft Exchange 或者传呼系统。- 所有（每次登陆或签名）失败可尝试次数都会被记录为电子数据，并且在安全审计记录中得到维护。mySAP ERP也能为加密和未加密的用户形成电子数据记录。11.300（e）这项条款是为用户在程序上的需求而设的，和MySA

17、P ERP的功能、性能不相关。 什么是 21 CFR Part 11？什么是 21 CFR Part 11？21 CFR Part 11 联邦法规21章第11款 主要规定内容涉及电子记录和电子签名 适用范围(a) 本条款的规则提供了标准，在此标准之下FDA将认为电子记录、电子签名、和在电子记录上的手签名是可信赖的、可靠的并且通常等同于纸制记录和在纸上的手写签名。(b) 本条款适用于在FDA规则中阐明的在任何记录的要求下，以电子表格形式建立、修改、维护、归档、检索或传送的记录。本条款同样适用于在联邦食品、药品和化妆品法案和公众健康服务法案要求下的呈送给FDA的电子记录，即使该

18、记录没有在FDA规则下明确识别。然而，本条款不适用于现在和已经以电子的手段传送的纸制记录。(c) 一旦电子签名和与它相关的电子记录符合本条款的要求，FDA将会认为电子签名等同于完全手签名、缩写签名、和其他的FDA规则所求的一般签名。除非被从1997年8月20日起（包括该日）生效后的规则明确地排除在外。(d) 依照本条款11.2，除非纸制记录有特殊的要求，符合本条款要求的电子记录可以代替纸制记录使用。(e) 在本条款下维护计算机系统（包括硬件和软件）、控制权、和随附的文件应便于被FDA用到，和服从于FDA的监管。 履行(a) 需要维护，但不提交给FDA的记录，如果符合本条款的要求,人们

19、可以使用全部或部分电子记录代替纸制记录或用电子签名代替传统签名。(b) 提交给FDA的电子记录，人们可以使用全部或部分电子记录代替纸制记录或电子签名代替传统签名（手签名）假如：(1) 符合条款的要求(2) 提交的文件或部分文件，作为FDA以电子形式接收的提交物的类型已经被编号为92S-0251公共摘要识别出来。这个摘要将明确地识别出，何种类型文件或部分文件在没有纸制记录和FDA接收单位(举例来说，特定的中心，办公室，部门、分支机构)时的电子形式提交物是可接受的。如果没有在公共摘要上明确出来，他们以电子形式提交给FDA接收单位的文件将不被认为是正式的；这种文件的书面形式将被认为是正式的但必须伴有

20、电子记录。人们期望与未来的FDA接收单位就详细的（举例来说，传送的方法、媒体、文件格式和技术协议）怎样和是否进行电子的提交物进行协商。 定义(a) 包含于法案201部分中术语的定义和翻译同样适用于那些在本条款中使用到的术语。(b) 下列术语的定义同样适用于本条款(1)法案是指联邦食品、药品、化妆品法案(2)机构是指美国食品和药品管理局（FDA）(3) 生物测定学是指一种基于个人的身体特征及重复行为（这些特征和行为对个人来说是唯一的和可以测量的）的测量来校验个人身份的方法。(4)封闭的系统是指一种环境，在此环境中系统的登录是被那些对系统上电子记录 的内容负责的人们所控制。(5)数字签名

21、是指一种基于发信方鉴别加密的方法，使用一套规则和一系列参数计算以使签名者的身份和数据的完整性能被校验。(6)电子记录是指任何文本、图表、数据、声音、图示的或其他的以电子形式表现的信息的混合，它的建立、修改、维护、归档、检索或分发是由计算机系统来完成的。(7) 电子签名是指一种由一个人执行、采用或批准成为与其个人的手写签名具有相同的法律效力的计算机数据的任意符号或一系列符号的编译。(8)手签名是指个人的手迹签名或合法的标志，以永久的形式书写真实意图所采纳的个人签名或合法标志。用书写及标志工具（例如一支钢笔或尖笔）的签字行为是被保存的。手写签名或合法的标志当约定俗成地适用于书面上，也可以适用于其它

22、的获取名字及标志的设备。(9)开放系统是指一种环境，在此环境中系统的登录不是被那些对系统上电子记录的内 容负责的人所控制。 实际应用实际应用常以 符合FDA 21 CFR Part 11 方式表达。食品、医药制造行业多遵照此标准。只用遵照此标准，其厂商生产的产品才可以正常销往国外市场，并且遵照此标准而保留的数据才可以作为通过检验或者今后追溯的有效数据来源。现在很多大型自动化控制系统已经符合此标准规定。此法规确保了电子数据的有效性和可靠性。 计算机系统验证(CSV)定义及验证范畴Part1 概念计算机系统是用来执行一种特定功能或一组功能的硬件、系统和应用软件及有关外围设施的系

23、统。与GMP 相关的计算机系统包括以下过程中所使用的计算机系统。生产过程。生产环境。过程控制。质量决断过程。物料控制及管理。计算机系统验证是建立文件来证明计算机系统的开发符合质量工程的原则，能够提供满足用户需求的功能并且能够稳定长期工作的过程。计算机系统验证可借助于工艺验证的概念来理解。工艺验证中的“工艺”相当于计算机的“输入”过程和“内部处理过程(软件)，工艺中用到的设备相当于计算机主机、外围设备(硬件)以及与其相关的生产设备或质量控制设备，工艺的“产品”相当于计算机的“输出”或对另一台设备的控制等。计算机系统验证与工艺验证不足之处是：术语上的不同(如数据处理概念)和由于软件的特性，使一般用

24、户对软件和软件的开发相对不熟悉。验证范畴。名词解释。计算机系统分类。计算机系统发展生命周期。验证实施过程。Part2 范 畴本文所讨论的计算机系统验证，适用于制药企业被确定为与GXP相关的计算机系统，该系统包括以下内容。(1)物料控制及管理系统 如BPCS、SAP系统等。(2)实验室设备控制系统及信息管理系统 如LIMS 系统。(3)生产工艺及控制系统 如PLC(可编程序逻辑控制器)等。(4)公用设施控制系统。在功能上，上述这些系统符合诸如下列GMP 的某一属性。(1)自动控制工艺控制。环境控制。质量控制。自动清洗。在线灭菌等。(2)物料控制物料状态控制及隔离。先进先出(或先近效期先出)。批次

25、追逐。物料平衡。发货查询。(3)基础数据控制生产处方。批生产文件。产品及包装形式信息。鉴别产品名称、编码、批号等信息。Part3 术语1操作系统(Operation system)应实现管理(处理器、存储器/外部设备和信息)的要求而专门编制的一个规模较大的、能够协调和调度所有设备及各个应用程序高效运行的程序。2可配置软件(Configurable software)由供户开发的程序(主程序或子程序)，该软件可提供通用功能，使用户可按某种途径为自己设计程序。3应用软件(Application software)针对用户的特殊需求，而开发、购买或修订的程序(主程序或子程序)，它可执行数据的收集、处

26、理、报告、存档及过程控制。4系统软件(System software)操作操作系统和通用功能的一套程序。在硬件及应用软件之间起接口的作用，且管理计算机的使用。厂家提供诊断性测试，即确认该软件。5实用程序(Utility program)由操作系统的厂家频繁提供的特殊程序。具有通用功能，可执行诸如程序备份、磁带到软盘的文件拷贝等。6软件配置控制程序(Software configuration control procedure)描述软件变更过程中，须遵循的评估、协调、审批或否决的文件规程。7计算机系统(Computer system)由硬件、系统软件、应用软件以及相关外围设备组成的，可执行某一

27、功能或一组功能的体系。8计算机化系统(Computerized system)指受控系统、计算机控制系统以及人机接口的组合体系。可以说计算机系统是计算机化系统的一部分。如果计算机系统只是用于数据处理，则计算机系统本身就代表着待验证的全系统。9模块(Module)即实现某种特定功能的单元或程序段。在软件开发中常常将程序各个部分继续划分，直至最小的基层单位，称为模块。10源代码(Source code)以人类可阅读的形式(编程语言)表示的初始的计算机程序，在计算机执行之前，须译成机器可阅读的形式(机器语言)。11伪代码(Pseudocode)也称软件设计描述语言(PDL)，用在详细设计阶段、用以表

28、达程序的逻辑结构、它是以任意的代码形式写于程序语言语句中描写程序和子程序的普通语言(例如英语)，反过来也可以说它是计算机程序的英语翻译(表达)。12硬件(Hardware)由电子线路组成，受软件控制的实物装置。13软件(Software)指控制计算机系统或计算机化系统运行的程序、主程序或子程序的总称。14软件确认(Software qualification)包括结构(源程序)测试；功能(模块黑盒)测试、接口(结构与功能)测试、模块组装测试。15静态测试(Static testing)在不具体执行某程序的条件下，评估程序的过程。16结构测试(Structural testing)保证程序编制符

29、合特定的功能需求，程序能有效、简洁、可靠运行的技术性测试。17HIPO 图(HIPO chart)用方便于编程人员与用户间联络的方式，定义和记载程序编制系统的一种软件图示法。HIPO 是英文Hierarchy Pluslnpput-Process-Output 的缩写。它是1976 年由IBM 公司提出的。一开始只是作文件编写的格式要求，随后发展成为比较有名的软件设计手段。18外围设备(Peripheral equipment)指计算机系统的处理机、存贮机以外设备(如驱动器、标绘器、打印机、终端等)。19黑盒测试(Black box testing)将系统(软件和硬件)看作不能打开的黑盒，在不

30、考虑系统内部结构和特性的情况下，测试者只依靠系统需求说明书，从可能的输入条件和输出条件中确定测试数据，也就是根据系统的功能或外部特性，设计测试用例(例如功能测试)。20白盒测试(Wite box testing)即结构测试或逻辑驱动测试。这种测试允许测试者考虑系统的内部结构，并根据系统内部结构设计测试用例，而不考虑系统的功能。21安装确认(1nstallation qualification)确认系统的安装符合设计标准，并对所需要的软件及硬件的技术资料、图纸、操作手册等文件进行确认。22运行(操作)确认(Operation qualification)确认系统的各项运作功能符合用户需求标准。系

31、统运行确认应在一个与正常工作环境隔离的测试环境下实施，但应模拟生产环境。23性能(工艺)确认(Performance qualification)确认系统运行过程的有效性和稳定性，应在正常生产环境下进行测试。测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试)，测试应在正常生产环境下(相同条件下)重复三次以上。24电子记录(Electronic record)电子记录是指依靠计算机系统进行创建、修改、维护、存档、找回或发送的诸如文字、图表、数据、声音、图像及其他以电子(数字)形式存在的信息的任何组合。25电子签名(Electronic signature)电子签

32、名是指计算机对一些符号的执行、采用或者被授权的行为进行数字处理，这些行为是指在法律上完全等效于传统个人手工签名的一种个人行为。26封闭系统(Closed system)封闭系统是指系统通道处于一种能够被一定的人员所控制的环境，该人员有权限在系统上进行电子记录的操作，如被拥有者所使用的个人计算机。27开放系统(Open system)开放系统是指系统通道处于一种不能够被有权限在系统上进行电子记录操作的人员所控制的环境，如电子信件(E-mail)、在因特网上发送信息等。Part4  英文缩写cGMP相关计算机英文缩写解释BPCS(Business planning contro1 system)业务计划及控制系统FAT(Factory acceptance testing)工厂(供户处)可接受试验IQ(Installation qualification)安装确认LAN(Local area network)局域网LIMS(Laboratory information management system)实验室信息管理系统MRP(Materials requirements planning)材料需求计划系统OQ(Ope