差距分析法检查GMP附录生效前计算机化系统的合规性

附件1计算机化系统第一章范围第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。

计算机化系统由一系列硬件和软件组成，以满足特定的功能。

第二章原则第二条计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

第三条风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

第四条企业应当针对计算机化系统供应商的管理制定操作规程。

供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

第三章人员第五条计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。

应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。

应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。

第四章验证第六条计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。

风险评估应当充分考虑计算机化系统的使用范围和用途。

应当在计算机化系统生命周期中保持其验证状态。

第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。

清单应当及时更新。

第八条企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。

在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。

第九条数据转换格式或迁移时，应当确认数据的数值及含义没有改变。

第五章系统第十条系统应当安装在适当的位置，以防止外来因素干扰。

第十一条关键系统应当有详细阐述的文件（必要时，要有图纸），并须及时更新。

附件1计算机化系统第一章范围第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。

计算机化系统由一系列硬件和软件组成，以满足特定的功能。

第二章原则第二条计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

第三条风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

第四条企业应当针对计算机化系统供应商的管理制定操作规程。

供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

—3—企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

第三章人员第五条计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。

应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。

应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。

第四章验证第六条计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。

风险评估应当充分考虑计算机化系统的使用范围和用途。

应当在计算机化系统生命周期中保持其验证状态。

第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。

清单应当及时更新。

第八条企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。

—4—在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。

第九条数据转换格式或迁移时，应当确认数据的数值及含义没有改变。

第五章系统第十条系统应当安装在适当的位置，以防止外来因素干扰。

第十一条关键系统应当有详细阐述的文件（必要时，要有图纸），并须及时更新。

计算机化系统和数据完整性相关问题和解答1、问题：对于物料管理，很多企业采用电脑系统管理（ERP/SAP)，对于这点在2010年版GMP中没有明确的指导？答：原则是一样的。

计算机系统应经过验证。

点评：计算机系统验证应证实软件的准确性、完整性、可靠性、安全性以及可追溯性。

2、问题：请解释“完全计算机化仓储管理系统”的定义，“完全”是否指“ERP”等管理系统？答：“ERP”管理系统可以实现“完全”。

“完全计算机化仓储管理系统”指的是物流状态、信息采集、采购、入库、检验、验收、放行、领用、质量信息、追溯信息全部采用封闭的计算机系统管理的系统。

3、问题：物料及产品的出入库记录可以在电脑上用电子表格进行吗（定期打印纸质文本归档保存)？答：如果是计算机化的系统这样做是可以的，否则不行。

点评：电子表格要经过验证证实其真实性和受控性以及权限控制。

对于删除功能应严格控制并需在程序中明确批准，任何更改均需要有明确的可追溯记录。

4、问题：如何体现计算机记录的真实性和可靠性？在质量记录中直接使用Word和Excel可以吗？电子记录可以替代纸质打印记录吗？答：《药品生产质量管理规范（2010年修订）》第一百六十三条规定：如使用电子数据处理系统、照相技术或其他可靠方式记录数据资料，应当有所用系统的操作规程；记录的准确性应当经过核对。

使用电子数据处理系统的，只有经授权的人员方可输入或更改数据，更改和删除情况应当有记录；应当使用密码或其他方式来控制系统的登录；关键数据输入后，应当由他人独立进行复核。

企业除应根据上述要求确保计算机记录的真实性和可靠性外，另外还要满足《中华人民共和国电子签名法》中的相关要求。

如果在电脑中直接使用Word和Excel软件记录各种质量记录，则必须制定相应的电子文件管理操作规程，未经授权的人不应进入计算机管理系统，确保记录真实、及时，并能够真实记录数据的修订历史，确保数据的可追溯性。

记录的格式应尽量避免直接使用Word或Excel格式。

附件1计算机化系统第一章范围第一条本附录适用于在药品生产质量管理过程中应用(de)计算机化系统.计算机化系统由一系列硬件和软件组成,以满足特定(de)功能.第二章原则第二条计算机化系统代替人工操作时,应当确保不对产品(de)质量、过程控制和其质量保证水平造成负面影响,不增加总体风险.第三条风险管理应当贯穿计算机化系统(de)生命周期全过程,应当考虑患者安全、数据完整性和产品质量.作为质量风险管理(de)一部分,应当根据书面(de)风险评估结果确定验证和数据完整性控制(de)程度.第四条企业应当针对计算机化系统供应商(de)管理制定操作规程.供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等）,企业应当与供应商签订正式协议,明确双方责任.企业应当基于风险评估(de)结果提供与供应商质量体系和审计信息相关(de)文件.第三章人员第五条计算机化系统生命周期中所涉及(de)各种活动,如验证、使用、维护、管理等,需要各相关(de)职能部门人员之间(de)紧密合作.应当明确所有使用和管理计算机化系统人员(de)职责和权限,并接受相应(de)使用和管理培训.应当确保有适当(de)专业人员,对计算机化系统(de)设计、验证、安装和运行等方面进行培训和指导.第四章验证第六条计算机化系统验证包括应用程序(de)验证和基础架构(de)确认,其范围与程度应当基于科学(de)风险评估.风险评估应当充分考虑计算机化系统(de)使用范围和用途.应当在计算机化系统生命周期中保持其验证状态.第七条企业应当建立包含药品生产质量管理过程中涉及(de)所有计算机化系统清单,标明与药品生产质量管理相关(de)功能.清单应当及时更新.第八条企业应当指定专人对通用(de)商业化计算机软件进行审核,确认其满足用户需求.在对定制(de)计算机化系统进行验证时,企业应当建立相应(de)操作规程,确保在生命周期内评估系统(de)质量和性能.第九条数据转换格式或迁移时,应当确认数据(de)数值及含义没有改变.第五章系统第十条系统应当安装在适当(de)位置,以防止外来因素干扰.第十一条关键系统应当有详细阐述(de)文件（必要时,要有图纸）,并须及时更新.此文件应当详细描述系统(de)工作原理、目(de)、安全措施和适用范围、计算机运行方式(de)主要特征,以及如何与其他系统和程序对接.第十二条软件是计算机化系统(de)重要组成部分.企业应当根据风险评估(de)结果,对所采用软件进行分级管理（如针对软件供应商(de)审计）,评估供应商质量保证系统,保证软件符合企业需求.第十三条在计算机化系统使用之前,应当对系统进行全面测试,并确认系统可以获得预期(de)结果.当计算机化系统替代某一人工系统时,可采用两个系统（人工和计算机化）平行运行(de)方式作为测试和验证内容(de)一部分.第十四条只有经许可(de)人员才能进入和使用系统.企业应当采取适当(de)方式杜绝未经许可(de)人员进入和使用系统.应当就进入和使用系统制订授权、取消以及授权变更(de)操作规程.必要时,应当考虑系统能记录未经许可(de)人员试图访问系统(de)行为.对于系统自身缺陷,无法实现人员控制(de),必须具有书面程序、相关记录本及相关物理隔离手段,保证只有经许可(de)人员方能进行操作.第十五条当人工输入关键数据时,应当复核输入记录以确保其准确性.这个复核可以由另外(de)操作人员完成,或采用经验证(de)电子方式.必要时,系统应当设置复核功能,确保数据输入(de)准确性和数据处理过程(de)正确性.第十六条计算机化系统应当记录输入或确认关键数据人员(de)身份.只有经授权人员,方可修改已输入(de)数据.每次修改已输入(de)关键数据均应当经过批准,并应当记录更改数据(de)理由.应当根据风险评估(de)结果,考虑在计算机化系统中建立数据审计跟踪系统,用于记录数据(de)输入和修改以及系统(de)使用和变更.第十七条计算机化系统(de)变更应当根据预定(de)操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定.计算机化系统(de)变更,应经过该部分计算机化系统相关责任人员(de)同意,变更情况应有记录.第十八条对于电子数据和纸质打印文稿同时存在(de)情况,应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据.第十九条以电子数据为主数据时,应当满足以下要求：（一）为满足质量审计(de)目(de),存储(de)电子数据应当能够打印成清晰易懂(de)文件.（二）必须采用物理或者电子方法保证数据(de)安全,以防止故意或意外(de)损害.日常运行维护和系统发生变更（如计算机设备或其程序）时,应当检查所存储数据(de)可访问性及数据完整性.（三）应当建立数据备份与恢复(de)操作规程,定期对数据备份,以保护存储(de)数据供将来调用.备份数据应当储存在另一个单独(de)、安全(de)地点,保存时间应当至少满足本规范中关于文件、记录保存时限(de)要求.第二十条企业应当建立应急方案,以便系统出现损坏时启用.应急方案启用(de)及时性应当与需要使用该方案(de)紧急程度相关.例如,影响召回产品(de)相关信息应当能够及时获得.第二十一条应当建立系统出现故障或损坏时进行处理(de)操作规程,必要时对该操作规程(de)相关内容进行验证.包括系统故障和数据错误在内(de)所有事故都应当被记录和评估.重大(de)事故应当进行彻底调查,识别其根本原因,并采取相应(de)纠正措施和预防措施.第二十二条当采用计算机化系统放行产品时,计算机化系统应当能明示和记录放行产品人员(de)身份.第二十三条电子数据可以采用电子签名(de)方式,电子签名应当遵循相应法律法规(de)要求.第六章术语第二十四条下列术语含义是：（一）电子签名：是指电子数据中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容(de)数据.（二）电子数据：也称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存(de)信息.（三）基础架构：为应用程序提供平台使其实现功能(de)一系列硬件和基础软件,如网络软件和操作系统.（四）计算机化系统生命周期：计算机化系统从提出用户需求到终止使用(de)过程,包括设计、设定标准、编程、测试、安装、运行、维护等阶段.（五）数据审计跟踪：是一系列有关计算机操作系统、应用程序及用户操作等事件(de)记录,用以帮助从原始数据追踪到有关(de)记录、报告或事件,或从记录、报告、事件追溯到原始数据.（六）数据完整性：是指数据(de)准确性和可靠性,用于描述存储(de)所有数据值均处于客观真实(de)状态.（七）应用程序：安装在既定(de)平台/硬件上,提供特定功能(de)软件.。

GMP法规新附录《计算机化系统》将为制药企业带来的影响2015年5月26日，CFDA正式发布了2010版GMP法规的新附录之一《计算机化系统》，引起了国内制药行业的广泛讨论和高度关注。

其实许多制药企业对它的内容并不陌生，因为这则法规于2013年作为征求意见稿已经添加到新版GMP法规附录中。

而现在，它将作为正式的法规于2015年12月1日起执行。

这则法规附录将给国内制药企业带来什么新的挑战？从近两年来CFDA的一系列举措（频繁的飞行检查，2014年至今已取消近100家药企的GMP证书）来看，国内GMP的监管力度是显著增强的。

所以届时如果企业不能满足《计算机化系统》法规的要求，将可能面临十分严重的后果。

CFDA为何要发布这则法规？国内外GMP法规有许多差异，而对计算机化系统的要求差异尤为明显。

CFDA所执行的2010版GMP法规内容与国际上其他法规机构的cGMP法规是对等的，如FDA 21 CFR Part 211。

但美国的制药企业除了执行 21 CFR Part 211以外，同时还要遵守21 CFR Part 11法规；欧盟国家的制药企业除了执行欧盟GMP以外，还要遵循Annex 11法规。

FDA的21 CFR Part 11与欧盟的Annex 11的内容是类似的，都是针对于制药企业使用计算机化系统的法规要求。

新颁布的《计算机化系统》法规附录是国内法规与国际接轨的重要一步，将填补国内对于计算机化系统要求的法规空白，是实现与国际法规监管机构之间相互认可的前提条件之一。

·法规到底讲了些什么？《计算机化系统》法规附录究竟讲了哪些内容？其实，我们发现内容并不多，全文共24条要求、6页，共计2500字。

我们尝试对这些法规条文作了初步的解读，把所理解的核心内容概括如下：1. CFDA明确提出进行计算机化系统验证的要求以往，法规对于仪器的确认是一直有要求的，但对计算机软件验证的要求不明确。

因而，大部分的制药企业不对计算机系统进行验证，或仅进行最简单的确认。

EUGMP问答-11附录11计算机化系统10问201102EUGMP guide annexes: Supplementary requirements: Annex 11: Computerised systemsEU GMP指南附录：补充要求：附录11：计算机化系统1.Appropriate controls for electronic documents such as templates should beimplemented. Are there any specific requirements for templates of spreadsheets?H+V February 2011 对于电子文件，例如模板要进行适当的控制。

这里对于数据表是否有什么特定的要求？H+V 2011年2月Templates ofspreadsheets help to avoid erroneous calculations from data remaining fromprevious calculations. They should be suitably checked for accuracy andreliability (annex 11 p7.1). They should be stored in a manner which ensuresappropriate version control (chapter 4 p4.1).数据表的模板帮助避免之前计算保留数据导致的错误计算。

针对数据表，要检查其准确性和可靠性（附录11页7.1）。

数据表存贮方式要能保证适当的版本控制（第4章页4.1）。

2. What typeof accuracy checks (annex 11 p 6) are expected for the use of spreadsheets? H+VFebruary 2011使用数据表格时，要进行哪些准确度检查（附录11页5）？H+V 2011年1月Data integrityshould be ensured by suitably implemented and risk-assessed controls. Thecalculations and the files should be secured in such a way that formulationsare not accidentally overwritten. Accidental input of an inappropriate datatype should be prevented or result in an error message (e.g. text in a numericfield or a decimal format into an integer field). So-called 'boundary checks'are encouraged.应通过适当实施的和基于风险的控制来保证数据完整性。

摘要：目的：探索科学合理的计算机化系统验证方法，以确保制药行业的各类智能化装备和信息化系统符合GMP要求。

方法：通过解读最新的国内外法规和指南中关于计算机化系统验证的要求，结合制药企业在数据完整性、计算机化系统验证方面的常见缺陷，提出了计算机化系统验证的基本要求和思路。

结论：结合目前国内制药行业计算机化系统的应用现状及法规要求，只要能合理运用基本的计算机化系统验证方法，就可以满足GMP要求。

关键词：计算机化系统验证；GAMP 5；数据完整性；合规性0引言当前，我国制药行业的工业自动化和信息化水平，相对于其他领域仍比较低下，制药行业的特殊性是其中一个重要的影响因素。

制药行业生产的是药品，而药品作为一种特殊的商品在药品的整个生命周期各阶段，从研发、临床、生产到配送、经营等环节都需要遵守相应的质量管理规范（通称为GxP），严格的法规监管导致一些新型的创新技术难以在制药行业中得到有效推广。

随着2015年我国政府发布的《中国制造2025》战略规划的出台，制造业向智能化方向转型升级，即智能制造将作为信息化与工业化深度融合的主攻方向。

因此，近年来智能装备和分析仪器、自动化和信息化系统等在制药行业内快速发展，相关的计算机化系统在法规符合性方面的问题也日益突出。

虽然国家食品药品监督管理总局已于2015年发布公告，自2015年12月1日起实施GMP附录《计算机化系统》，为制药行业的计算机化系统提供了法规依据，且药品生产企业在计算机化系统的运用和验证等方面也有了极大的提升。

但是，相对于欧美发达国家而言，我国的相关法规还不完善，落实到具体的实施层面上时，还存在对法规理解不一致、验证方法不明确等情况。

因此，有必要结合当前国内外最新的法规要求和发展趋势，提出科学合理的计算机化系统验证方法，以保障国内制药行业在合规的前提下，提升智能制造的发展水平。

1 计算机化系统的合规性要求目前，国内适用于计算机化系统的现行法规是2010版GMP附录《计算机化系统》，其第一条明确了适用范围和定义：“本附录适用于在药品生产质量管理过程中应用的计算机化系统。

GMP附录计算机化系统计算机化系统在药品生产过程中的应用越来越广泛，其目的是提高药品生产的效率、质量和可靠性。

下面是一些GMP附录中涉及到的计算机化系统应用的例子：1.生产过程控制系统：药品生产过程中的自动化控制系统，如生产设备的监控和调节、温度、压力和流量的控制等。

这些系统需要进行合适的验证和验证记录，以确保其性能和稳定性。

2.质量控制系统：质量控制实验室使用的数据管理系统，用于管理样品的测试结果、分析方法、标准曲线等。

这些系统需要确保准确性、完整性和可追溯性。

3.记录和报告系统：用于记录和报告整个药品生产过程中各个步骤的数据和结果的系统。

这些数据和结果可以用于验证和审计目的。

4.计算机辅助制造执行系统（MES）：用于管理和控制药品生产过程中的各个步骤和任务的系统。

MES可以帮助优化制造流程、减少人为错误，并提供实时的生产数据。

为了确保计算机化系统的有效性和合规性，GMP附录强调了以下几点：1.管理体系：制造厂商需要建立和维护计算机化系统的质量管理体系，包括标准操作程序（SOPs）、培训计划、变更管理等。

2.验证和验证：制造厂商需要对计算机化系统进行验证，以确保其符合预期的性能要求。

验证应覆盖系统的硬件、软件和操作，涵盖系统的安装、操作和维护过程。

3.安全性和完整性：制造厂商需要采取适当的安全措施，包括访问控制、数据备份和恢复、数据完整性检查等，以确保数据的安全性和完整性。

4.文档管理：制造厂商需要对计算机化系统相关的文件进行有效的管理，包括文件的创建、修改、审核、批准和存储等。

5.变更管理：制造厂商需要建立适当的变更管理流程，以确保计算机化系统的任何变更都经过审查、记录和验证。

EUGMP附录11：计算机化系统-中文原则本附录适用于作为《药品生产质量管理规范》活动的一部分所有形式的计算机系统。

计算机化系统是一套软件与硬件组合，以便实现某些特定的功能。

该应用程序应进行验证;信息技术基础设施应该是检定的。

计算机系统代替手工操作，应该降低对产品质量，工艺过程控制和质量保证的影响。

不应该有增加在此过程的整体风险。

总则1、风险管理风险管理应用在计算机系统的整个生命周期内，应该考虑患者安全、数据可靠性和产品质量。

作为一个风险管理系统的一部分,应基于合理的和记录风险评估的计算机系统，决定验证的程度和数据可靠性控制。

2、人员应该有所有相关人员，如流程所有人，系统所有人，质量受权人和IT之间的密切合作。

所有人员应具备相应的资格，访问级别和明确责任，以履行其指定的职责。

3、供应商与服务商3.1 当第三方（如供应商，服务供应商）使用，例如提供，安装，配置，集成，验证，维护（例如，通过远程访问），修改或保留一个计算机系统或相关服务或进行数据处理，必须在制造商和任何第三方之间存在正式的协议，而且这些协议应包括对第三方的责任明确的声明。

信息技术部门应做类似考虑。

3.2 当选择产品或服务提供商的时候，供应商的能力和可靠性是关键因素。

应以风险评估为基础，确定是否需要审计。

3.3 监管的用户应审查所提供现货产品提供的文件，以确认用户的需求得到满足。

3.4 应根据检查员的要求提供质量体系和审核相关的软件和实施系统的供应商或开发人员的相关信息。

项目阶段4、验证4.1 验证文件和报告应涵盖整个生命周期的相关步骤。

生产企业应该能够根据风险评估，以证明他们的标准，协议，可接受标准，程序和记录的适用性。

4.2 验证文件应包括变更控制记录（如有）和验证过程中对任何观察到的偏差报告。

4.3 最新的清单的所有相关系统和GMP功能(目录)应该可用。

对于关键系统的一个最新的系统描述，以详述的物理和逻辑的安排、数据流和接口与其他系统或过程，任何硬件和软件的前提条件，和安全措施。