计算机化系统验证“分解”

  

学而知 知而行 行而远

小编最近参考WHO新发布的验证指南QAS/16.667Rev.1，对“计算机化系统验证”进行分解、梳理，希望能给大家一些启发，也希望小伙伴们给小编留言提出宝贵意见。

1.验证范围

计算机化系统应根据质量风险管理原则进行验证, 验证水平应与确定的风险、复杂性和预期用途相称。本文提供的通用方法可以酌情扩展到所有GXP活动中使用的计算机化系统。

2.验证目的

确认计算机化系统符合用户的需求, 并通过检查、文件记录、客观的证据，证明特定的需求能够持续地得到满足。验证应建立对系统性能的准确性、可靠性和一致性的信心, 同时还应确保执行了所有必要的技术和控制程序,以确认对系统生成的电子数据的可靠性。

3.验证要素

计算机硬件和软件，相关设备和网络组件，操作系统环境、程序，系统文档等。

4.系统分类

如过程控制系统 (分布式控制系统 (DCS), 可编程的逻辑控制器 (PLC), 监控和数据采集 (SCADA)), 实验室信息管理系统(LIMS)、实验室仪器控制系统和业务系统等。

5.用户需求（URS）

5.1 应针对用户需求、功能或操作需求、性能需求进行编写。

5.2 经批准的URS文件应描述计算机化系统的预期用途，定义关键数据和数据生命周期控制，以确保在数据的创建、处理、传输、审查、报告、存储、检索以及最终处理的整个过程中都能提供一致和可靠的数据。

5.3 应指明的其他方面包括但不限于：

• 系统输入、处理、报告、储存和检索的数据，包括被认为对系统控制和数据输出最关键的任何主数据和其他数据;

• 数据的在系统中的流程和数据从系统到其他系统或网络组件的物理传输；

• 时间/日期的同步和安全控制；

• 应用软件以及操作系统的控制，以确保只有经授权的人才能访问数据；

• 备份和从备份恢复系统和数据的能力；

• 输入/输出检查，包括执行审查原始电子数据的程序，例如审计跟踪；

• 控制确保创建、修改或删除电子数据的所有步骤都将以独立的、计算机生成的审计线索或其他记录的替代文件记录；

• 电子签名的控制；

• 显示警报条件以及无效和更改数据的警报和标志，以便利对这些事件的检测和审查；

• 系统文件，包括系统规格文件、用户手册和系统操作程序、数据审查和系统管理程序；

• 系统容量和数量要求；

5.4 要求的范围和细节应与计算机化系统的操作风险和复杂性相称。用户的要求应该是具体的，并以支持其在计算机系统范围内的测试或验证的方式表述。

6.系统设计及配置

6.1 根据用户和功能要求制定系统设计和配置文件（DQ）。

6.2 提供系统描述以及对系统物理和逻辑结构的概述。

6.3 软件应用参数的开发和配置，例如安全配置文件、审计跟踪配置、数据库和其他可配置元素。

6.4 硬件设计及其配置以及任何支持网络基础设施的配置。

6.5 包括安全、受保护、独立的计算机生成的审计线索，以跟踪系统关键设置的配置变化。

6.6 应进行设计审查，以核实系统设计和配置是否适合其预期目的，并符合所有适用的用户和功能需求。

7.安装确认（IQ）

7.1 安装确认，也称为安装验证测试，提供书面证据，证明计算机化系统（包括软件和相关硬件），在预定的系统测试或生产环境中安装和配置正确。

7.2 确认安装软件应用程序的计算机硬件是否具有适当的固件和操作系统，所有组件都已存在并处于正确的状态，以及每个组件是按照制造商或开发人员的说明安装的。

7.3 确认是否按说明设置系统的可配置元素。在适当的情况下，也可以在运行确认（OQ）期间完成。

8.运行确认（OQ）

8.1 确认系统的运行与用户要求一致，运行确认应在模拟生产环境的条件下实施。

8.2 运行确认中需要确认的内容包括但不限于：

• 系统安全性测试，即使用权限测试，证明未经授权的操作得到禁止；

• 确认系统数据备份流程、断电/恢复数据有效性；
  

• 确认系统的数据采集及存储功能；

• 确认数据处理能力，包括计算，数据查询等；

• 功能性测试，即对系统各功能进行测试。测试应该在最高特定条件下（如最高负载，大型数据文件的处理等）进行；
  

• 功能测试应包括（基于风险）：适当程度的挑战测试（例如边界、范围、限制、无意义的输入测试），以验证系统是否适当地处理错误的输入或错误使用。确认警报是根据警报条件发出的。
  

8.3 标准程序及培训

8.3.1 在执行性能确认(PQ)和计算机系统开始使用前，应制定充分的书面程序文件以及培训方案，确定系统的使用和控制。这些可能包括供应商提供的用户手册以及内部开发的SOP和培训方案等。

8.3.2 应制订的程序和培训方案包括但不一定限于：

• 系统使用程序：

• 在预定的业务流程中对系统进行例行操作和使用；

• 审查电子数据和相关元数据（如审计线索），以及源电子记录如何与打印输（如果有的话）保持一致；

• 在授予系统访问权之前，系统培训要求；

• 系统管理程序：

• 授予和禁用用户访问和维护安全控制、备份/恢复、存档/检索、灾难恢复和业务连续性、变更管理、事件和问题管理、系统维护。

9.性能确认（PQ）

9.1 确认系统在正常生产环境下运行过程的有效性和稳定性。

9.2 PQ应在生产环境中进行，或在与整体软硬件配置方面相等的测试环境中进行。

9.3 PQ测试还应根据生产环境中预期的系统使用和性能要求，包括适当程度的压力/负载/容量测试。

9.4 核查在计算机化系统内生成和处理有效数据的能力，包括有效审查电子数据和元数据的能力，例如审计线索。

9.5 对系统进行适当程度的回归测试，以验证当系统组件集成到部署在生产环境中的配置完全的系统中时，系统的性能是可靠的。

以上就是小编分解的“计算机化系统验证”，如您同样对“计算机化系统验证”感兴趣，请联系小编，我们共同探讨。

雷老师，北京睿知而行科技有限公司资深高级顾问，曾任职于西安杨森、诺华制药，担任QA，具备7年以上外资制药企业QC、QA及数据完整性管理经验；对于计算机化系统验证十分精通，有着独到见解，曾参与无锡药明康德、上海复宏汉霖、南京圣和、北京健能隆等多家药企及研发公司的数据完整性审计及计算机化系统验证工作。