计算机化系统验证基本原则

1.范围：该指南是适用于药品控制实验室使用的计算化系统验证的基本原则，这种验证的目的是保证计算机化系统获取、处理、报告或存储的实验室数据的可靠性。经过验证的系统确保了精确的结果，并减少了数据完整性的风险。

该指南将计算机化系统根据其功能分为基本系统、简单系统、复杂系统，主要介绍了简单系统和复杂系统的验证。

2.介绍：该指南概述了计算机化系统验证的一般原则，与ISO/IEC 17025要求一致。定义了不同类型系统验证的最小要求；其验证应基于风险评估，考虑系统测试结果的正确性、可追溯性。

3.定义：

计算机系统：包含一个或多个计算机和相关软件的系统。

计算机化的系统：计算机化的系统包括硬件、软件和网络组件，以及控制功能和相关文件。

商业（不可配置，即3类软件；可配置的，即4类软件）计算机化的系统：根据市场需要开发的，使用的软件被广泛的商业用户所证明。

内部开发的（定制的，即5类软件）计算机化的系统：为客户生产的系统，专门用于订购，以满足在用户需求规格中设定的一组明确的用户需求。

黑盒验证：它的源代码或设计对用户来说是未知的。从计算机系统或计算机系统用户的角度进行验证。

黑盒测试：黑盒测试检查系统的功能，而不需要查看它的内部结构或工作原理。

基本系统：无校准功能，框架或分层软件。如计算器、显微镜、微波炉、Windows系统、网络软件、数据库软件；这类系统不需要验证；

简单软件：部分软件，限制定制。如：酸碱计，恒温器，热湿表/湿度计紫外线/vis光谱仪等。这类系统进行简单的验证，如控制功能、校验。

复杂系统：带扩展功能的软件。如：LIMS,ERP,自动样品处理系统、液相色谱仪(LC,高效液相色谱法),气相色谱仪(GC)等。这类系统需要根据其功能进行验证。

1.计算机化系统的一般要求：

<!--/OL-->

a）清单：应提供所有计算机化系统的清单，清单内容包括：

名称&版本

使用目的或用途

验证状态

计算机化系统和相关文件的存储位置或地址

b）验证：

在使用之前，计算机化的系统应被验证，目的是为了确认计算机化的系统规范符合用户的需要和意图。验证的程度取决于被验证的计算机化系统的复杂性和预期用途。

由供应商提供的验证：由软件供应商执行的验证文件和测试结果可以合并到验证文件中，不需要再次重复。供应商必须接受供应商评估。

验证计划：为验证正常规范实施所指定的计划，应包括所有验证需执行的活动。

c）日志：

d）变更控制：

e）定期检查：

f）安全和环境：

g）审计追踪：

h）电子签名：

i）备份：

j）计算机化系统版本升级记录及备份：

k）培训：

l）文件：

ANNEX 1复杂计算机化系统验证

附件1主要是借助excel的验证，介绍了excel的流程

ANNEX 2复杂计算机化系统验证

2.用户需求

对新软件的选择和购买，应基于对计算机系统的预期使用的要求。用户需求规范（用户需求规范）应该描述计算机系统的功能和技术需求，基本可以包括如下要求：

a）使用的软件的描述，包括版本;

b）对硬件部件和操作系统的要求;

c)功能描述;

d）对数据属性的描述;

e）术语;

f）数据库设计，包括字段和数据类型，以及数据关系结构图。

g）宏、公式和控制命令的要求;

h）数据输入的要求（例如：格式、小数点、单位）;

i）对数据的强制性字段的说明;

j）字段保护、工作表格及应用程序的描述;

k）数据迁移的规划，如果适用;

l）数据录入、修改的审计追踪。

3.安装确认

计算机化系统安装后，应当进行文件化的测试。详细的安装程序应该由经培训的人员来进行。且应具有预定义安装步骤和验收标准的文件，确保系统的正确安装和安装的可追溯性。

在大多数情况下，计算机系统被连接到一个计算机网络，并与其他软件（其他应用程序）和硬件（计算机设备或实验室设备）连接。必须确保系统正确地集成，并且所有的组件都是有效的。

安装确认通常包括：

A）对硬件（服务器和客户端）的系统资源（存储空间、版本、型号等）的检查。

b）关于系统组件的文件;

c）用户权限测试;

d）集成及通讯测试。

4.运行确认

通过关键功能的测试检查软件的运行情况，理想情况下，可以使用右供应商提供的原始数据集来确定运行结果，然后与预期值进行比较。

如果没有这样的数据集，可以通过运行典型的示例来获取原始数据集。处理的原始数据集的结果应该通过使用标准（例如，电子表格）软件重新计算关键参数验证。

在安装了新的软件模块、新的软件版本、新的服务包、补丁更新或计算机软件结构的重大改变之后（如新的反病毒软件）之后，应该在基于风险的方法中进行运行确认。

5.性能确认

性能确认的目的是为了证明一个计算机化的系统适合于其在用户自己的环境中所定义的目标。用户需求应该在PQ阶段测试，以覆盖系统在日常工作中的总体业务使用。

PQ通常包括:

a）功能的测试（例如，使用一个数据集来确保应用程序的每个特征都被测试）;

b）挑战性测试;

c）报警测试;

d）未经授权的数据输入测试;

e）异常数据的测试（例如，数据输入错误的数据格式）;

f）备份系统和恢复测试; 

g）数据迁移的验证，如适用;

h）符合数据保护要求的测试;

i）整个系统的验收测试黑盒测试。

每一个测试场景都应该能够追踪到测试人，并且应该描述预期的结果、验收标准和所观察到的结果。