1 范围

本文件提供了制药机械(设备)计算机化系统验证的指南，内容包括总则、验证流程、系统验证方案、人员培训和验证文档管理。

本文件适用于制药机械(设备)计算机化系统的验证,药品生产企业、制药装备的生产企业、第三方验证机构均可参照使用。

2 规范性引用文件

本文件没有规范性引用文件。

3 术语和定义

下列术语和定义适用于本文件：

3.1

制药机械pharmaceutical machinery

完成和辅助完成制药工艺的生产设备。「来源:GB/T15692-2008,2.17

3.2

制药机械(设备)计算机化系统computerized system of pharmaceutical machinery(equipment)

由一系列硬件和软件组成,以满足制药机械(设备)在药品生产质量管理过程中特定功能的系统。注:以下简称系统。

3.3

验证报告validation report

对验证方案及已完成验证试验的结果、漏项及发生的偏差等进行回顾、审核并做出评估的文件。[来源:GB/T28671-20123.9]

3.4

电子签名electronic signatures

电子数据中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。

3.5

电子数据electronic data

以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。

3.6

系统的全生命周期life cycle of system

计算机化系统从提出用户需求到终止使用的过程。

注:系统的全生命周期包括设计、设定标准、编程、测试、安装、运行、维护等阶段，以下简称生命周期。

4 总则

4.1 基本目的

4.1.1证明系统符合《药品生产质量管理规范(2010年修订))第七章的规定。

4.1.2证明系统符合《药品生产质量管理规范(2010年修)》附录和附录2的规定，以及用户需求，达到规定的系统效果。

4.1.3 证明系统符合设计和药品生产质量要求。

4.1.4 证明系统具有完整性、成熟性、稳定性、容错性以及易恢复性功能。

4.1.5 证明系统数据的完整性、真实性和可追溯性。

4.2 验证原则

4.2.1系统验证根据《药品生产质量管理规范(2010年修订)》、制药设备产品标准、用户需求标准等要求制定验证方案，验证的每个阶段都有各自的验证方案。

4.22系统验证范围根据(药品生产质量管理规范(2010年修)》要求确定，直接或间接影响药品质量的，与制药工艺过程、质量控制、清洗、消毒或灭菌等相关的制药机械(设备)计算机化系统属于必须验证的范围,其他不对药品质量产生影响的制药机械(设备)计算机化系统可不列为验证范围。

4.2.3 系统验证分为系统立项,系统实施、系统运行，系统退役等阶段。

4.2.4 系统验证方案按照预先确定并批准的方案实施，并有记录。

4.2.5系统验证工作完成后，官写出确认或验证报告，并经审核、批准。当验证结果不符合预先设定的可接受标准时，需进行记录并分析原因。验证结果和结论(包括评价和建议)宜有记录并存档。

4.2.6系统验证活动宜能真实体现实际情况，数据不宜增加、删除、修改，宜保持完整性。

4.2.7 系统验证活动可通过责任划分记录标识和过程监督等方式满足追潮性要求。

4.2.8 在系统验证活动的生命周期实施风险分析及评估并实时监控风险，以实现全面、动态的管理，隆低风险的不利影响。

4.3系统软、硬件分类

系统软件分类见表 1.系统硬件分类见表2。

5 验证流程

5.1 概述

系统的验证程序依次是系统立项、系统实施、系统运行、系统退役。在系统宅施各确认阶段，均需形成阶段性验证报告;当出现关键性能偏差(如影响设备正常运行、安全及产品质量)时不宜进行下阶段的确认。验证程序参考GB/T28671-2012中4.3的要求执行。

5.2系统影响性评估

项目星期官进行初步的系统影响性评估，相据系结是否对药品的质量参数有吉接的影响，将系统分类为直接影响系统、间接影响系统和无影响系统。如有影响宜在设计、调试、确认和验证过程中,执行符合《药品生产质量管理规范(2010年修订)》的计算机化系统验证。

5.3 风险评估

5.31 风险识别

旨在识别系统功能可能导致相关风险的风险事件，并确定事件所产生的影响程度。

5.3.2风险分析

5.3.2.1 概述

针对不同的风险项目可选择不同的风险评估工具或方法。宜通过定性或定量地评估确定风险的可能性、易发现程度和严重性。风险评估的结果可以表示为总体的风险值，例如:定量的表示为具体的数字,如1.2.3:或定性的表示为风险的范围，如高、中、低。

5.3.2.2 常用的风险分析方法

常用的风险分析方法包括:

a) 一般的常用统计工具:用于收集或组织数据、构建项目管理等，如流程图、图形分析、鱼骨图、检查列表等;

b)风险排列和过滤(RRF)，将风险因素进行排列和比较，对每种风险因素微多重的定量和定性评价.权衡因素并确定风险得分；

c)先危害分析(PHA);用于在事情发生前应用经验和知识对危害和失败进行分析，以确定将

来可能发生的危害或失败；

d) 危害分析及主要控制点(HACCP);可用于保证产品质量、可靠性和安全性，是一个系统的、前瞻的、预防性的工具;

e) 过失树分析(FTA):鉴别假设可能会发生过失的原因分析方法;FTA结合过失产生原因的多

种可能假设，基干对过程的认识做出正确的判断;

失败模式效果分析(FMEA);评估潜在的失败模式和因此对产品性能或结果产生的影响，具体方法可以给出相应数值，如工、。其发生概率采用客观概率估计，即根据历史数据或大量的试验来推定其概率;根据风险的易发现程度来确定风险的优先级，并给出相应数值;根据风险事件对产品质量最终的影响程度进行划分，并给出其相应的数值;将以上三种分数相乘，即可得出总体风险分数,最终根据总体风险分数将所有风险归类划分;以失败模式效果分析法的风险分析示例可参考附录A。

5.3.3 风险评价

根据系统风险分析等级采取适当控制措施，在引入风险控制措施后，重新进行风险评价，以确定能够使风险等级降低到预期标准以下且不会引人新的风险。风险管理过程中宜编制风险追踪矩阵，参见表3,确保能够准确、全面地反映整个风险管理过程。

5.4 系统验证活动简述

可按照软件系统类别，对照不同验证阶段，并参照表4组织验证活动。

6系统验证方案

6.1 系统验证模型

在进行系统验证时宜遵循生命周期V模型(参照GAMP5良好自动化生产宅践指南)根据表4组织具体验证活动。在整个脸证活动过程执行风险评估，并采用适宜手段管理整个风险过程。

6.2 系统立项

系统立项的活动主要收决干验证方提出并确认系统启动的方案，并开展可行性分析，通常，在这个阶段提出初始需求并考虑可能的解决方案，通过对系统验证范围，成本和收益的机步评估决定是否需要进入系统实施阶段。

6.3 系统实施

6.3.1 计划阶段

6.3.1.1 制定验证计划

验证计划宜包含系统描述、法律法规、验证的组织结构及职责分配、验证方案、验证的范围和技术要求，以及项目交付物等文件。

6.3.1.2 制定实施计划

制定系统实施进度表，确定系统实施各阶段工作的内容及要求，确保系统在预定期限内交付，宜包含项目实施进度表等相关文件。

6.3.1.3开展供应商评估

宜对供应商的供应体系或服务及其质量体系进行评估并记录。该评估的范围和程度需基干风险管理原则提供供应商评估相关文件。

6.3.2 设计阶段

6.3.2.1用户需求说明(URS)

在合理范围内满足用户需求，比如硬件设备的型号、品牌，软件系统功能、数据追溯、数据存储备份、电子签名以及报警触发机制和处理方式等内容。宜通过需求追溯矩阵确认其是否满足用户需求。

6.3.2.2系统设计说明

63.2.2.1 功能说明(FS)

功能说明是描述设备的性能和技术参数，主要内容宜包括: a)设备设计参考标准;b) 主要硬件配置和软件配置列表及功能描述; c) 控制系统输入/输出功能设计说明; d) 控制系统的报警功能设计说明 e) 控制系统的联锁功能; f) 设备操作功能描述。

63.2.2.2硬件设计说明(HDS)

硬件设计说明是指与系统相关硬件设备的设计，主要内容宜包含:

a)硬件说明:说明系统包含的硬件设备，提供系统控制模型和电器硬件清单以及PLC和温度压力传感器等模块的技术参数；

b)硬件工作环境要求:说明硬件工作的环境要求，包括温度、湿度以及辐射和电磁干扰范围等；

c)电力供应说明:说明正常运行所需要的电力要求;

d)相关输入输出点位说明:说明系统设计的输入输出信号及备用点位，并提供相应清单。

6.3.2.2.3 软件设计说明(SDS)

软件设计说明(SDS)包括与系统相关的上位机和下位机程序的设计，主要内容宜包含:

a)系统模块程序设计:系统的功能设计，断电恢复功能、程序流程描述以及遵循的开发标准;

b)报警联锁设计:提供系统报警清单，并对报警触发的条件进行说明，以及当报警触发时需要进行的操作;

c) 系统权限设计:说明系统的权限设计和划分，以及对应权限的人员可以进行的操作;

d)系统电子数据生成和管理:对系统运行所产生的电子数据存储路径、存储格式、存储介质进行说明,数据迁移备份需要进行何种操作，采取何种方法来确保电子数据的完整性等。

6.3.3测试阶段

63.31源代码编程/测试

源代码编程宜以用户需求规范为基准，确保实现的功能与预期结果一致。宜提供代码开发标准文件、说明测试方法，进行单元测试、集成测试，不断进行回归测试等。

6.3.3.2工厂验收测试(FAT)

旨在确保设备组装调试完成后能正常运行并能满足功能设计需求，需要时制定针对设备系统的工厂验收测试计划,对系统相关的设备硬件和软件的功能进行逐一确认。如用户方无法到现场进行相关测试，可以委托实施方进行测试，记录测试结果并编制测试报告。

6.3.3.3现场验收测试(SAT)

旨在确认设备在运输过程中相关设备是否完好，控制系统是否能正常工作，现场验收测试的内容与工厂验收测试内容基本一致，并包括在工厂不具备测试条件的内容，可从以下几方面实旅验证活动。

a) 系统软件版本记录:确认并记录控制系统软件版本号，便于软件版本控制，当系统遇到宕机等情况可进行系统恢复，测试过程需注意1) 检查设备的标识是否与要求一致;2) 检查软件版本，并进行记录;3) 在测试中发现问题，记录问题，形成文档;4) 如果达到可接受标准，记录测试通过。

b)I/O输入输出测试，模拟量信号测试:确保 PLC 及相关模块功能完好，测试过程中需注意:

1)测试按钮或者开关，或者是制定场景满足一定条件检测相应点位，确认PI.C显示正确的输入、输出结果;2) 用模拟量测试仪器进行模拟量测试，输出结果需在误差允许范围内;3) 在测试中发现问题，记录问题，形成文档;4) 如果达到可接受标准，记录测试通过。

c)软件功能确认:对系统功能逐一确认，是否符合用户需求规范。测试过程中需注意:1) 点击每一个设定的画面功能,确认弹出正确的设定画面和实际结果;2) 在测试中发现问题，记录问题，形成文档:3) 如果达到可接受标准，记录测试通过。

d) 报警联锁测试:对系统设定的报警逐一测试并记录，确认报警和联锁能否正常触发。测试过程中需注意:1)根据报警联锁清单,模拟现场程序达到报警条件,确认报警和联锁控制是否正确产生，如有必要可把报警测试历史数据附在文档后:2) 测试中发现问题，记录问题，形成文档;3) 如果达到可接受标准。记录测试通过。

e) 用户登录测试,权限测试,审计追踪测试，数据备份测试。

f)最后制定验收测试总结报告，对测试结果进行分析，报告需适当的解决验证中发现的问题。

6.3.4 确认阶段

6.3.4.1设计确认(DO)

旨在确认系统设计和相关配置是否符合用户需求规范中功能需求，主要确认内容宜包含以下两部分:

a)确认硬件设计说明(HDS)和软件设计说明(SDS)是否已完成;

b)确认系统功能设计是否符合用户需求说明(URS)，比较用户需求说明(URS)与设计文件，检查系统是否满足要求，若不满足要求且无其他明确规定，可以与供应商协商解决。

设计确认完成后,制定设计确认总结报告，总结设计确认测试结果是否已达到验收标准，对于不能满足的项目进行偏差处理。

6.3.4.2安装确认(IQ)

旨在确认系统相关的软硬件设备已经安装到位，并且硬件设备型号和软件组态版本符合用户需求，可从以下几方面开展验证活动:

a)测试前提条件确认:确认安装确认的前提条件已满足，并且软件的版本已根据批准的配置管理文件进行版本控制;

b)硬件设备品牌、型号、数量和安装位置确认:根据硬件清单逐一确认，确认是否已经正确安装:

c)软件组态安装版本和位置确认:根据供应商提供的组态软件版本进行确认，方便后期系统升级维护和故障的处理;

d)在测试中发现问题，记录问题，形成文档; e)如果达到可接受标准，记录测试通过;

f)最后制定安装确认总结报告，对安装确认过程中的结果进行分析，对应不满足批准的测试项目进行汇总并给出处理结果，安装确认总结报告需经审核和批准后才能进行下一阶段测试

6.3.4.3运行确认(Q)

旨在确认系统功能是否符合预期要求，能在预期范围内正常运行并可正确执行相应的操作，确认内容宜包含以下内容:

a) 软件版本记录:便于系统版本控制；

b) 系统功能测试:1) 确认系统功能可以正常使用.比如程序是否可以正常执行:2)参数设置可以适当程度地进行挑战性测试(如边界、范围、限制、无效输入测试等)，以确认系经可以外理不正确的输人或提避不正确的使用导致的风险:3) 在执行程序的过程中出现异常时，是否有相关提示或解决办法。

c) 数据完整性测试:1) 用户管理确认:确认系统最高权限用户可以新增、删除用户和密码修改等功能;2) 用户自动退出测试确认，确认根据用户设定的用户注销时间，用户登录后在规定时间不操作系统自动退出；3)电子签名确认:测试系统在进行重要操作时是否有电子签名功能；4) 系统权限确认:确认系统权限分级，并对每一级权限用户进行的具体操作进行确认;5)审计追踪数据确认，确认系统是否有审计追踪功能，确认系统的数据备份和恢复功能以及系统的审计追踪功能，确认审计追踪数据是否涵盖了全部操作记录;6) 系统安全性确认:确认当程序执行过程中设备电时，设备是否可以正常关闭，且确认断电前后设置的参数是否一致，数据是否丢失，系统是否有断电恢复的功能等;7) 电子记录一致性确认;确认设备打印数据和电子数据一致性;8) 时钟确认:确认系统时钟的精度符合要求;9)系统备份/恢复测试,确认系统具有备份和恢复功能，当系统崩溃时可进行系统恢复操作:10) 数据不可更改。

d) 运行确认结束后，对当前阶段进行总结，给出结论，对于不符合要求的项目进行汇总整理，并给出解决方案和解决时间，总结报告宜签批认可。

6.3.4.4 性能确认(PQ)

旨在确认系统运行过程的可控性、稳定性和有效性是否满足标准要求。性能确认方案可从以下几方面开展验证活动:

a)负裁运行条件下,对药品生产过程及设备要求的适应性；

b) 生产能力;

c)药品产质量相关指标;

d) 运行结果的重复性;

e)控制精度准确性;

f) 安全性能;

g) 负载运行的可靠性试验; h) 其他所需的挑战性试验:

i)也可参考GB/T28671-2012中44的内容进行。

6.4 系统运行

6.4.1 问题报告

系统使用过程中出现对产品质量或数据完整性等产生影响的事件，宜评估事件的影响，并根据情况制定处理方法。对问题进行记录，编制问题报告。

6.4.2 变更控制

变重管理是保持系统和流程合规的基础。变事申请宜经过审查，基于风险评估来确定变重的可家旅性、变更的范围以及变更的影响。

实施和审核变更所需的活动进行详细的描述，变更产生的影响需考虑是否进一步风险评估。

审查、风险评估、执行变更决定或拒绝变更决定的理由以及所要求的行为都需形成相关记录，并目作为系统验证文件的一部分进行归档。变更的记录宜包含以下内容:

• 变更的分类:软件或硬件变更;

• 变更的职责划分:包括变更起草、评估、审核、批准;

• 变更管理:变更都宜处于控制下，并以文件形式存档。

注:验证文件包括总计划、验证计划、验证方案，验证报告和验证总结及验证过程中形成的其他相关文档或资料。

6.4.3 系统管理

系统正式使用后宜对系统进行合理管理,以确保设备可正常持续运行，宜包含以下内容:

• 人员持续培训:定期对操作人员进行培训，以确保可熟练使用设备:

• 系统管理手册:制定系统使用说明，以及系统备份/存档/灾难恢复操作等;

• 系统维护日志:当对系统进行升级或其他改动时有维护日志，说明原因:

• 周期性回顾.确保设备性能始终保持初始验证状态，日能满足使用需求

6.5 退役阶段

该阶段决定是否保留记录、迁移或销毁，并对该过程进行管理，包含以下内容:

a)制定役计划，一日不再需要系统或其组件时，系统或组件按照已建立经批准的程序退役:批

准的规程包括变更控制程序和正式的退役计划:

b) 记录保存:尽管退役，仍需保持在整个所要求的记录保存期间，确保记录的可读性，并保持原电子记录的内容和含义;

c)制定退役报告:退役活动的结果，包括数据和系统的可追溯性，宜呈现在报告中。

7 人员培训

人员培训宜贯穿于整个验证过程，在系统发布之前对相关操作人员进行培训，并界定系统的使用和控制,使相关人员正确理解系统逻辑和功能，培训文件官包括供应商提供的用户手册以及内部开发的标准操作规程和培训计划等，培训活动宜参照以下几个方面:

a)确定必要的培训需求，制定培训方案，按需求提供培训;

b) 评估培训的有效性;

c) 确保相关人员理解培训的重要性和相关性:

d) 进行适当的培训记录;

e) 确保培训是最新的。

8验证文档管理

8.1 验证文档基本内容

验证文档内容可参照GB/T 28671-2012中4.4.2、4.4.3、4.4.4 的要求。

8.2文档编号

文档编号是系统唯一文件名的标识，宜制定文档编号规则，并按照规则进行编号。

8.3 版本控制

列举的项目文档和图纸按照标准操作程序进行版本控制。任何发布的受控文档的版本号宜具备唯一的标识，受控文档的版本说明参见表5。

8.4.1存档

验证文档需以电子版或纸质版存档，宜有明确的存档位置，验证文档清单可参见附录 B

8.4.2 管理

宜安排专人负责验证文档的编写、修改、发布、保存和归档。

附录A

(资料性)

风险评估示例

A.1 风险评估工具

A11风险等级值(RPN)评估原则

风险等级值(RPN)评估原则三个数值各自独立发生。

A.1.2风险等级值(RPN)计算公式

风险等级值(RPN)按公式(A.1)计算。

A.1.3 发生概率(O)

发生概率的评估值选取见表A.1

A.1.4 易发现程度(D)

易发现程度的评估值选取见表 A.2。

A.1.5 影响程度(1)

影响程度的评估值选取见表 A.3。

表A.3影响程度(1)的评估值

A.2风险等级值(RPN)评估

A.2.1 风险严重等级值参考表A.4确定。

A.2.2风险等级值参考表A.5确定。