计算机系统验证管理规程

计算机系统验证管理规程题目计算机化系统验证管理规程第1页共6页编码SMP-09-版次01起草部门审核QA审核批准起草日期审核日期审核日期批准日期颁发部门质量部颁发数量份生效日期分发单位总经理、公司各部门目的为了测试、评估计算机和PLC采取的URS、设计、采购、安装、验证、使用过程，确保计算机和PLC符合设计要求和使用要求，特制定本规程。适用范围本规程适用公司所有的计算机、PLC控制系统。职责计算机系统的使用部门负责提出需求计划。计算机系统使用部门、设备管理员、网络管理员负责计算机系统开发阶段的所有业务。计算机系统使用部门负责进行计算机系统的验证，网络管理员、设备管理员及供应商提供验证支持。计算机系统使用部门负责按要求使用计算机系统，并指定本计算机系统的责任人。总经理负责计算机系统废弃的批准。概念计算机化系统（PCI/S定义）：计算机控制系统：包括硬件、软件和其它固件受控功能和过程：包括操作规程、人员和设备运行环境：其它联网或独立计算机化系统、其它系统、媒介、人员、设备和规程。PLCprogrammablelogiccontroller可编程控制器计算机系统验证：对用于药品开发及生产的计算机系统，是否按照要求的规格进行合理的开发，且在运用开始后是否进行合理的管理，作出评估和确认的行为称为计算机系统验证。软件分为四类（GAMP5）：第1类软件：基础结构软件（InfrastructureSoftware)第3类软件：不可配置软件(Non-ConfiguredProducts)第4类软件：可配置软件(ConfiguredProducts)第5类软件：定制应用软件(CustomApplication)硬件分为二类（GAMP5）：第1类硬件：标准硬件组件StandardHardwareComponents，目前采用的大部分的都是这类硬件）

第2类硬件：定加工硬件组件CustomBuildHardwareComponents，这类硬件是为了满足特殊需要而开发的，是对标准硬件件组件的补充。原则上，计算机体系的导入、变更、更新等药按照变更管理的程序进行。设计确认（DQ）DQ是以书面的形式确认该设备的设计能够满足URS，需要质量受权人批准，批准后如果有什么变化是需要按照变更流程管理的，提出变更申请。系统测试（FAT、SAT）

FAT是要求供应商作成测试程序并在供应商处实施测试，在FAT过程出现的偏差要进行记录和整改。购买人员最好到现场确认测试程序及测试结果。SAT是在接收产品后在本公司进行实验，确认体系的性能是否满足要求。实验方法及结果应得到批准。

FAT和SAT是否需要做是企业根据自己控制风险的能力进行的，要尽量减少设备到场后发现不符合的现象和问题。该阶段的主要任务是发现并排除在分析、设计、编程各阶段中产生的各种类型的错误，以得到可运行的计算机系统。一、单元测试

单元测试是对系统的每一个模块进行独立测试，其目的是找出与模块的内部逻辑有关的错误。单元测试一般以白盒法为主。

二、集成测试

集成测试根据系统设计中各功能模块的说明及制定的组装测试计划，将经过单元测试的模块逐步进行组装和测试。每并人一个模块，都要找出由此产生的错误。集成测试一般以黑盒法为主。验证阶段①安装确认（IQ）安装确认的目的是保证系统的安装符合设计标准，并保证所需技术资料俱全。具体确认内容包括如下。

(1)各种标准清单，包括使用者要求、功能性要求、物理要求、系统标准。

(2)各种标准操作程序(SOP)，包括硬件和软件的操作、预防维修、备份和数据存档、灾难(断电、硬软件损坏等)恢复及系统退役。

(3)配置图，配置图是控制系统的概图，包括以下内容。

①整个系统概图。

②各个中央处理器(CPUS)包括插件指定的配置图。

③输入／输出装置接线图。

④控制回路图。

⑤状态转变图。

⑥网络接线图。

⑦硬件驱动／网络驱动指示树，可包括逻辑的和物理的驱动指定。

(4)硬件和软件手册，包括安装、操作、维修保养手册。

(5)硬件配置清单，包括已安装系统的所有组成部分，对于芯片、微处理器或EPROM，应记录其修订版号。

(6)软件清单和源代码的复制件

①列出与系统有关的所有软件和软件版本，并保证所有软件的复制件都归入档案，安全存放。

②应存放以下几种软件。源代码产生器或编辑器、源代码(包括初级排序、功能和报告的产生)、操作系统、诊断程序、存档／备份程序。

(7)输入／输出(I／O)清单及连续性检查。连续性检查是保证信号可从控制系统发至装置并又可从装置返回至控制系统。

(8)环境和公用工程测试

①确认并记录系统安装的环境，包括清洁度、射频／电磁干扰、振动、物理安全性、噪声、照明。

②记录关键公用工程系统的情况，并确认公用工程系统的关键性质与功能说明书相符。包括火警通告／抑制、冷却系统、电力及调节、不间断供电、WAN连接、LAN连接、灾难恢复接线、电话数码／模拟。

③确认并记录系统符合安全及人机工程的要求。

(9)结构测试(白盒法)，主要指源代码的结构测试。对以下各项进行确认。

①遵循模块化程序设计。

②无无效代码。

③按照标准进行识别、修订、注解和评论。

④算法／公式和计算准确。

⑤模块排序准确。

⑥关键上属性、报警等锁存准确。

⑦保持惟一的逻辑输入／输出。

⑧数据贮存寄存器是惟一的。

⑨定时器和定序器设定准确。

(10)确认整个安装过程符合操作手册要求。②运行确认（OQ）运行确认的目的是保证系统和运作符合需求标准。运行确认应在一个与正常工作环境隔离的测试环境下实施，但应模拟生产环境。具体包括如下。

(1)系统安全性测试

①挑战所有逻辑系统，诸如各工作层的使用权限，证明各安全层面的允许权限未经授权的操作得到禁止。

②确认系统外围的安全性，诸如I／O总线卡，操作人员接口终端等。

(2)操作人员接口测试，确认操作人员接口系统的功能。

(3)报警、互锁功能测试。

(4)数据的采集及存贮，确认系统的数据采集及存贮功能如下。

①准确的采集、贮存和检索数据；

②确认数据的输出长度、进位及空值、零及负值的处理能力；

③自动将数据存档并保存至指定时期。

(5)确认数据处理能力，包括算法、统计、利用查表数值及报告的产生等。

(6)定时器和定序器测试。

(7)功能性测试(黑盒法)，根据系统定义中所提供的各种要求文件、标准(最好有一张包括运作分支在内的功能图)对系统各功能和各决断通路进行测试。测试应在最高特定条件下进行(如最高通讯负载，大型数据文件的处理等)。

(8)断电／修复测试

①复查断电之前，期间和之后的数据采集状况证明数据没有破坏或丢失。

②测试后备供电、不间断供电和动力调节器、发电机功能恢复是否正常。

(9)灾难恢复测试，制造一起系统失效现象，按照灾难恢复程序一步步确认以下各项。

①现有的数据未被破坏。

②保证对系统的数据备份有效。

(10)制定系统标准操作程序

运行确认结果合格后，证明系统具备了能够在正式生产环境下使用的条件，可以在正常生产环境下进行进一步确认。③性能确认（PQ）性能确认是为了确认系统运行过程的有效性和稳定性，应在正常生产环境下进行测试。测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试)，测试应在正常生产环境下(相同条件下)重复3次以上。注：当计算机系统取代人工系统时，可以进行平行的验证试验。④验证完成当确认所有的验证结果符合预先设定的可接受标准，验证报告已得到相关人员审批，视为验证结束。变更完成报告书（全体报告）运用阶段①计算机系统台账更新/管理作为管理对象的计算机体系，全部要更新到计算机系统台账中。质量部负责的管理该台账。②计算机系统操作规程对每类/台计算机系统要建立标准操作规程，包括：操作事项，维修保养点检，安全管理等。人员培训是一个持续过程，应确保所有使用、维护及开发计算机系统的人员均得到堵训。③维护·保养点检每年进行1次自我点检，确认点检结果和管理是否没有问题④安全管理必须定义控制计算机系统物理及逻辑通道的安全程序，例如必须清楚定义增加或移动用户的安全程序，保证使未授权的或漫不经心的操作得到控制。安全程序涉及如下范畴。

1．系统软件及应用软件安全性。

2．硬件安全性。

3．建筑安全性。⑤备份·还原必须制定和审批相应文件以控制系统备份计划、恢复程序、存档需求、非定点媒体贮存及出现系统丢失事件时的灾难恢复程序／偶发事件计划。根据需要定期进行体系及数据的备份。6、问题报告

计算机系统在使用过程中所遇到的任何问题及缺陷均应进行记录和报告，以便对其运行效果及变更控制结果进行评价。7、变更控制

计算机系统经过验证后，保持已验证状态。如果系统发生变更，此种状态将会被破坏。

变更类型包括：硬件变更、软件变更及数据库中关键参数的变更。为了维持系统始终处于已验证状态，应对其变更实施控制，具体要求如下。

(1)使用部门提出书面申请，包括变更理由、依据、内容及实施方案。

(2)由专业技术人员、相关部门领导及质量保证部门对变更进行评估及审批。

(3)根据变更影响的范围决定是否应实施再验证。如变更已导致计算机系统的已验证状态发生偏移(如增加了某些功能等)，系统必须针对变更部分实施再验证。决定实施再验证后，计算机系统将开始生命周期的另一循环。如经过评估确认不实施再验证，应有充分的依据作支持。

(4)所有变更必须经过相关人员批准后方可实施，不允许自行改变系统任何部分。

(5)变更应充分考虑是否对其他相关系统产生影响，需针对其他受影响系统进行评价，必要时会对其他系统实施再验证。

(6)所有的变更申请、评估、审批及再验证活动均应有文件记录，以使之具有可追踪性。8、周期性回顾

系统的变化一般可分为两种。一种为已知的、有形的变化，这种变化应按照以上所述的变更控制要求执行。而另一种变化是系统在长期频繁使用中，由于时间的变化、环境的变化、人员的变化、硬件的磨损等诸因素，而导致的一种未知的、无形的变化。对于这种变化，需要对系统进行周期性回顾(回顾周期一般建议为3年)，以确保：

(1)系统运行始终处于已验证状态；

(2)系统维护严格按相关程序执行；

(3)系统文件及时而准确地反映了现行计算机系统的运行情况。

如果通过回顾，发现计算机系统的已验证状态已发生偏移，系统必须实施再验证(图6－4)。系统回顾的范围、方法及结论均应有文件记录，以使之具有可追踪性。废弃当一个计算机系统的现行功能实施不再适用，或执行一个新系统替代现有系统的功能时，该系统就从实际使用中引退。此阶段目标是要消除对原系统的依赖并提供一个如何从原系统中取回相关数据的方法。

一、工程计划(引退系统)

制定一个工程计划以确定引退工作的步骤、鉴别将要替