計算機系統(tǒng)驗證管理規(guī)程

1、計算機系統(tǒng)驗證1. 目的 為了測試、評估計算機和PLC采取的URS、設(shè)計、采購、安裝、驗證、使用過程，確保計算機和PLC符合設(shè)計要求和使用要求，特制定本規(guī)程。2. 適用范圍本規(guī)程適用公司所有的計算機、PLC控制系統(tǒng)。3. 職責(zé)3.1 計算機系統(tǒng)的使用部門負(fù)責(zé)提出需求計劃。3.2 計算機系統(tǒng)使用部門、設(shè)備管理員、網(wǎng)絡(luò)管理員負(fù)責(zé)計算機系統(tǒng)開發(fā)階段的所有業(yè)務(wù)。3.3 計算機系統(tǒng)使用部門負(fù)責(zé)進(jìn)行計算機系統(tǒng)的驗證，網(wǎng)絡(luò)管理員、設(shè)備管理員及供應(yīng)商提供驗證支持。3.4 計算機系統(tǒng)使用部門負(fù)責(zé)按要求使用計算機系統(tǒng)，并指定本計算機系統(tǒng)的責(zé)任人。3.5 總經(jīng)理負(fù)責(zé)計算機系統(tǒng)廢棄的批準(zhǔn)。4. 概念4.1.1 計算機

2、系統(tǒng)（PCI/S定義）：l 計算機控制系統(tǒng)：包括硬件、軟件和其它固件l 受控功能和過程：包括操作規(guī)程、人員和設(shè)備 l 運行環(huán)境：其它聯(lián)網(wǎng)或獨立計算機化系統(tǒng)、其它系統(tǒng)、媒介、人員、設(shè)備和規(guī)程 。4.1.2 PLC programmable logic controller 可編程控制器4.1.3 計算機系統(tǒng)驗證：對用于藥品開發(fā)及生產(chǎn)的計算機系統(tǒng)，是否按照要求的規(guī)格進(jìn)行合理的開發(fā)，且在運用開始后是否進(jìn)行合理的管理，作出評估和確認(rèn)的行為稱為計算機系統(tǒng)驗證。4.1.4 軟件分為四類（GAMP5）：l 第1類軟件： 基礎(chǔ)結(jié)構(gòu)軟件 （Infrastructure Software )l 第3類軟件：不可配

3、置軟件 ( Non-Configured Products ) l 第4類軟件：可配置軟件 ( Configured Products ) l 第5類軟件：定制應(yīng)用軟件 (Custom Application) 4.1.5 硬件分為二類（GAMP5）：l 第1類硬件：標(biāo)準(zhǔn)硬件組件Standard Hardware Components，目前采用的大部分的都是這類硬件）l 第2類硬件：定加工硬件組件Custom Build Hardware Components，這類硬件是為了滿足特殊需要而開發(fā)的，是對標(biāo)準(zhǔn)硬件件組件的補充。5. 原則上，計算機體系的導(dǎo)入、變更、更新等藥按照變更管理的程序進(jìn)行。6

4、. 本文件規(guī)定了計算機體系的開發(fā)階段、驗證階段、運用階段的各個程序。開發(fā)階段和驗證階段的程序，根據(jù)文件不同，除了程序，也規(guī)定了輸出計劃及報告書的樣式內(nèi)容。階段活動內(nèi)容分類345提出可行性研究：從技術(shù)及經(jīng)濟等方面系統(tǒng)地研究并論證開發(fā)變更計算機系統(tǒng)的可行性，包括目的、概念定義、規(guī)模、風(fēng)險分析、投資分析等。其相關(guān)信息的收集被用來建立系統(tǒng)驗證規(guī)模及申請開發(fā)費用。開發(fā)階段1、開發(fā)計劃規(guī)劃所有工程及驗證活動，包括開發(fā)的目的、條件、各部門個人的職責(zé)、工程進(jìn)度表、文件交付、審核和批準(zhǔn)要求等。2、用戶需求標(biāo)準(zhǔn)（URS）URS由系統(tǒng)用戶和系統(tǒng)項目專家制定，詳細(xì)說明計算機系統(tǒng)的適用法規(guī)、基本業(yè)務(wù)需求、期望及性能指標(biāo)

5、，對供應(yīng)商的要求要清楚傳達(dá)。包括如下內(nèi)容。一、系統(tǒng)說明說明全系統(tǒng)要做什么，模塊間怎樣連接及相互作用，控制方式，執(zhí)行的過程，操作人員對接口的要求及安全性要求等。二、物理要求物理要求包括有效空間、位置、所處的環(huán)境等。三、硬件文件標(biāo)準(zhǔn)硬件文件標(biāo)準(zhǔn)包括圖紙、流程圖、手冊、部件清單等。四、軟件文件標(biāo)準(zhǔn)軟件文件標(biāo)準(zhǔn)包括程序編號及修訂號、打印出的程序及詳細(xì)解釋、復(fù)制件的提供及貯存條件、系統(tǒng)框圖及配置清單。五、測試要求系統(tǒng)開發(fā)過程中所要求進(jìn)行的測試項目及記錄。包括單獨模塊測試及集成測試等。六、其他其他提供給供戶的要求。包括對已完成的系統(tǒng)的驗證要求、關(guān)于在設(shè)計開發(fā)過程中的質(zhì)量控制和變更控制要求等。用戶需求說明中

6、的所有條款將直接作為制定IQ、OQ 及PQ 草案的依據(jù)3、體系評價-1軟件分類判斷為對象計算機體系的，根據(jù)分類表進(jìn)行分類，判斷必要活動。將分類計入體系臺賬。3、體系評價-2風(fēng)險評估關(guān)于對產(chǎn)品品質(zhì)的影響，進(jìn)行風(fēng)險分析，風(fēng)險評價，報告。不僅僅是開發(fā)計劃書，根據(jù)必要性，URS和FS也應(yīng)進(jìn)行適當(dāng)?shù)娘L(fēng)險評估。3、體系評價-3供應(yīng)商審計/評估應(yīng)對計算機系統(tǒng)的供應(yīng)商進(jìn)行評價，以確保其系統(tǒng)能力及所提供的產(chǎn)品滿足計算機系統(tǒng)驗證要求。供戶評價包括以下內(nèi)容。(1)根據(jù)系統(tǒng)概念定義及判斷選擇供戶，注意評估外部資料對標(biāo)準(zhǔn)要求的符合化及與系統(tǒng)要求文件的一致程度。(2)對供戶質(zhì)量體系進(jìn)行審計，審計內(nèi)容包括系統(tǒng)開發(fā)者的內(nèi)部質(zhì)

7、量管理程序。技術(shù)能力評估。軟件開發(fā)標(biāo)準(zhǔn)及軟件測試能力。程序編制人員的資格審定。硬件開發(fā)及制造能力。變更控制。售后服務(wù)。系統(tǒng)安全性。供戶審計報告應(yīng)納入驗證檔案。4、 功能標(biāo)準(zhǔn)（FS）FS是供應(yīng)商在不考慮如何滿足URS的前提下對設(shè)備功能進(jìn)行的說明和描述，有助于用戶和供應(yīng)商熟悉設(shè)備的功能。通常FS由供應(yīng)商提供，用戶進(jìn)行批準(zhǔn)。5、 設(shè)計標(biāo)準(zhǔn)(DS)DS是要用詳細(xì)的技術(shù)語言來描述如何開發(fā)設(shè)備才能提供用戶需要的功能。也是需要供應(yīng)商提供，用戶來進(jìn)行批準(zhǔn)。對于商業(yè)化的標(biāo)準(zhǔn)化的設(shè)備不需要這個文件。具體包括如下。硬件設(shè)計標(biāo)準(zhǔn)將定義如標(biāo)準(zhǔn)儀器、微控制器、可編程序邏輯控制器(PLC)等。軟件設(shè)計標(biāo)準(zhǔn)將定義系統(tǒng)的整體框

8、架、計算機語言、界面、屏幕設(shè)計、數(shù)據(jù)流程圖、報告設(shè)計、圖表設(shè)計、運算法則、安全測試、系統(tǒng)結(jié)構(gòu)圖、IO 圖、工程制圖、流程圖解、程序體系圖解、詳細(xì)說明和一個數(shù)據(jù)字典6、 設(shè)計確認(rèn)（DQ）DQ是以書面的形式確認(rèn)該設(shè)備的設(shè)計能夠滿足URS，需要質(zhì)量受權(quán)人批準(zhǔn)，批準(zhǔn)后如果有什么變化是需要按照變更流程管理的，提出變更申請。7、 系統(tǒng)測試（FAT、SAT）FAT是要求供應(yīng)商作成測試程序并在供應(yīng)商處實施測試，在FAT過程出現(xiàn)的偏差要進(jìn)行記錄和整改。購買人員最好到現(xiàn)場確認(rèn)測試程序及測試結(jié)果。SAT是在接收產(chǎn)品后在本公司進(jìn)行實驗，確認(rèn)體系的性能是否滿足要求。實驗方法及結(jié)果應(yīng)得到批準(zhǔn)。FAT和SAT是否需要做是企

9、業(yè)根據(jù)自己控制風(fēng)險的能力進(jìn)行的，要盡量減少設(shè)備到場后發(fā)現(xiàn)不符合的現(xiàn)象和問題。該階段的主要任務(wù)是發(fā)現(xiàn)并排除在分析、設(shè)計、編程各階段中產(chǎn)生的各種類型的錯誤，以得到可運行的計算機系統(tǒng)。一、單元測試單元測試是對系統(tǒng)的每一個模塊進(jìn)行獨立測試，其目的是找出與模塊的內(nèi)部邏輯有關(guān)的錯誤。單元測試一般以白盒法為主。二、集成測試集成測試根據(jù)系統(tǒng)設(shè)計中各功能模塊的說明及制定的組裝測試計劃，將經(jīng)過單元測試的模塊逐步進(jìn)行組裝和測試。每并人一個模塊，都要找出由此產(chǎn)生的錯誤。集成測試一般以黑盒法為主。驗證階段安裝確認(rèn)（IQ）安裝確認(rèn)的目的是保證系統(tǒng)的安裝符合設(shè)計標(biāo)準(zhǔn)，并保證所需技術(shù)資料俱全。具體確認(rèn)內(nèi)容包括如下。(1)各種

10、標(biāo)準(zhǔn)清單，包括使用者要求、功能性要求、物理要求、系統(tǒng)標(biāo)準(zhǔn)。(2)各種標(biāo)準(zhǔn)操作程序(SOP)，包括硬件和軟件的操作、預(yù)防維修、備份和數(shù)據(jù)存檔、災(zāi)難(斷電、硬軟件損壞等)恢復(fù)及系統(tǒng)退役。(3)配置圖，配置圖是控制系統(tǒng)的概圖，包括以下內(nèi)容。整個系統(tǒng)概圖。各個中央處理器(CPUS)包括插件指定的配置圖。輸入輸出裝置接線圖?？刂苹芈穲D。狀態(tài)轉(zhuǎn)變圖。網(wǎng)絡(luò)接線圖。硬件驅(qū)動網(wǎng)絡(luò)驅(qū)動指示樹，可包括邏輯的和物理的驅(qū)動指定。(4)硬件和軟件手冊，包括安裝、操作、維修保養(yǎng)手冊。(5)硬件配置清單，包括已安裝系統(tǒng)的所有組成部分，對于芯片、微處理器或 EPROM，應(yīng)記錄其修訂版號。(6)軟件清單和源代碼的復(fù)制件列出與系統(tǒng)

11、有關(guān)的所有軟件和軟件版本，并保證所有軟件的復(fù)制件都?xì)w入檔案，安全存放。應(yīng)存放以下幾種軟件。源代碼產(chǎn)生器或編輯器、源代碼(包括初級排序、功能和報告的產(chǎn)生)、操作系統(tǒng)、診斷程序、存檔備份程序。(7)輸入輸出(IO)清單及連續(xù)性檢查。連續(xù)性檢查是保證信號可從控制系統(tǒng)發(fā)至裝置并又可從裝置返回至控制系統(tǒng)。(8)環(huán)境和公用工程測試確認(rèn)并記錄系統(tǒng)安裝的環(huán)境，包括清潔度、射頻電磁干擾、振動、物理安全性、噪聲、照明。記錄關(guān)鍵公用工程系統(tǒng)的情況，并確認(rèn)公用工程系統(tǒng)的關(guān)鍵性質(zhì)與功能說明書相符。包括火警通告抑制、冷卻系統(tǒng)、電力及調(diào)節(jié)、不間斷供電、WAN 連接、LAN 連接、災(zāi)難恢復(fù)接線、電話數(shù)碼模擬。確認(rèn)并記錄系統(tǒng)符

12、合安全及人機工程的要求。(9)結(jié)構(gòu)測試(白盒法)，主要指源代碼的結(jié)構(gòu)測試。對以下各項進(jìn)行確認(rèn)。遵循模塊化程序設(shè)計。無無效代碼。按照標(biāo)準(zhǔn)進(jìn)行識別、修訂、注解和評論。算法公式和計算準(zhǔn)確。模塊排序準(zhǔn)確。關(guān)鍵上屬性、報警等鎖存準(zhǔn)確。保持惟一的邏輯輸入輸出。數(shù)據(jù)貯存寄存器是惟一的。定時器和定序器設(shè)定準(zhǔn)確。(10)確認(rèn)整個安裝過程符合操作手冊要求。運行確認(rèn)（OQ）運行確認(rèn)的目的是保證系統(tǒng)和運作符合需求標(biāo)準(zhǔn)。運行確認(rèn)應(yīng)在一個與正常工作環(huán)境隔離的測試環(huán)境下實施，但應(yīng)模擬生產(chǎn)環(huán)境。具體包括如下。(1)系統(tǒng)安全性測試挑戰(zhàn)所有邏輯系統(tǒng)，諸如各工作層的使用權(quán)限，證明各安全層面的允許權(quán)限未經(jīng)授權(quán)的操作得到禁止。確認(rèn)系統(tǒng)

13、外圍的安全性，諸如IO 總線卡，操作人員接口終端等。(2)操作人員接口測試，確認(rèn)操作人員接口系統(tǒng)的功能。(3)報警、互鎖功能測試。(4)數(shù)據(jù)的采集及存貯，確認(rèn)系統(tǒng)的數(shù)據(jù)采集及存貯功能如下。準(zhǔn)確的采集、貯存和檢索數(shù)據(jù)；確認(rèn)數(shù)據(jù)的輸出長度、進(jìn)位及空值、零及負(fù)值的處理能力；自動將數(shù)據(jù)存檔并保存至指定時期。(5)確認(rèn)數(shù)據(jù)處理能力，包括算法、統(tǒng)計、利用查表數(shù)值及報告的產(chǎn)生等。(6)定時器和定序器測試。(7)功能性測試(黑盒法)，根據(jù)系統(tǒng)定義中所提供的各種要求文件、標(biāo)準(zhǔn)(最好有一張包括運作分支在內(nèi)的功能圖)對系統(tǒng)各功能和各決斷通路進(jìn)行測試。測試應(yīng)在最高特定條件下進(jìn)行(如最高通訊負(fù)載，大型數(shù)據(jù)文件的處理等)

14、。(8)斷電修復(fù)測試復(fù)查斷電之前，期間和之后的數(shù)據(jù)采集狀況證明數(shù)據(jù)沒有破壞或丟失。測試后備供電、不間斷供電和動力調(diào)節(jié)器、發(fā)電機功能恢復(fù)是否正常。(9)災(zāi)難恢復(fù)測試，制造一起系統(tǒng)失效現(xiàn)象，按照災(zāi)難恢復(fù)程序一步步確認(rèn)以下各項。現(xiàn)有的數(shù)據(jù)未被破壞。保證對系統(tǒng)的數(shù)據(jù)備份有效。(10)制定系統(tǒng)標(biāo)準(zhǔn)操作程序運行確認(rèn)結(jié)果合格后，證明系統(tǒng)具備了能夠在正式生產(chǎn)環(huán)境下使用的條件，可以在正常生產(chǎn)環(huán)境下進(jìn)行進(jìn)一步確認(rèn)。性能確認(rèn)（PQ）性能確認(rèn)是為了確認(rèn)系統(tǒng)運行過程的有效性和穩(wěn)定性，應(yīng)在正常生產(chǎn)環(huán)境下進(jìn)行測試。測試項目依據(jù)對系統(tǒng)運行希望達(dá)到的整體效果而定(如對生產(chǎn)出的產(chǎn)品質(zhì)量各項特性進(jìn)行測試)，測試應(yīng)在正常生產(chǎn)環(huán)境下(

15、相同條件下)重復(fù)3 次以上。注：當(dāng)計算機系統(tǒng)取代人工系統(tǒng)時，可以進(jìn)行平行的驗證試驗。驗證完成當(dāng)確認(rèn)所有的驗證結(jié)果符合預(yù)先設(shè)定的可接受標(biāo)準(zhǔn)，驗證報告已得到相關(guān)人員審批，視為驗證結(jié)束。變更完成報告書（全體報告）運用階段計算機系統(tǒng)臺賬更新/管理作為管理對象的計算機體系，全部要更新到計算機系統(tǒng)臺賬中。質(zhì)量部負(fù)責(zé)的管理該臺賬。計算機系統(tǒng)操作規(guī)程對每類/臺計算機系統(tǒng)要建立標(biāo)準(zhǔn)操作規(guī)程，包括：操作事項，維修保養(yǎng)點檢，安全管理等。人員培訓(xùn)是一個持續(xù)過程，應(yīng)確保所有使用、維護(hù)及開發(fā)計算機系統(tǒng)的人員均得到堵訓(xùn)。維護(hù)保養(yǎng)點檢每年進(jìn)行1次自我點檢，確認(rèn)點檢結(jié)果和管理是否沒有問題安全管理 必須定義控制計算機系統(tǒng)物理及邏

16、輯通道的安全程序，例如必須清楚定義增加或移動用戶的安全程序，保證使未授權(quán)的或漫不經(jīng)心的操作得到控制。安全程序涉及如下范疇。1系統(tǒng)軟件及應(yīng)用軟件安全性。2硬件安全性。3建筑安全性。備份還原必須制定和審批相應(yīng)文件以控制系統(tǒng)備份計劃、恢復(fù)程序、存檔需求、非定點媒體貯存及出現(xiàn)系統(tǒng)丟失事件時的災(zāi)難恢復(fù)程序偶發(fā)事件計劃。根據(jù)需要定期進(jìn)行體系及數(shù)據(jù)的備份。6、問題報告計算機系統(tǒng)在使用過程中所遇到的任何問題及缺陷均應(yīng)進(jìn)行記錄和報告，以便對其運行效果及變更控制結(jié)果進(jìn)行評價。7、變更控制計算機系統(tǒng)經(jīng)過驗證后，保持已驗證狀態(tài)。如果系統(tǒng)發(fā)生變更，此種狀態(tài)將會被破壞。變更類型包括：硬件變更、軟件變更及數(shù)據(jù)庫中關(guān)鍵參數(shù)的

17、變更。為了維持系統(tǒng)始終處于已驗證狀態(tài)，應(yīng)對其變更實施控制，具體要求如下。(1)使用部門提出書面申請，包括變更理由、依據(jù)、內(nèi)容及實施方案。(2)由專業(yè)技術(shù)人員、相關(guān)部門領(lǐng)導(dǎo)及質(zhì)量保證部門對變更進(jìn)行評估及審批。(3)根據(jù)變更影響的范圍決定是否應(yīng)實施再驗證。如變更已導(dǎo)致計算機系統(tǒng)的已驗證狀態(tài)發(fā)生偏移(如增加了某些功能等)，系統(tǒng)必須針對變更部分實施再驗證。決定實施再驗證后，計算機系統(tǒng)將開始生命周期的另一循環(huán)。如經(jīng)過評估確認(rèn)不實施再驗證，應(yīng)有充分的依據(jù)作支持。(4)所有變更必須經(jīng)過相關(guān)人員批準(zhǔn)后方可實施，不允許自行改變系統(tǒng)任何部分。(5)變更應(yīng)充分考慮是否對其他相關(guān)系統(tǒng)產(chǎn)生影響，需針對其他受影響系統(tǒng)進(jìn)行

18、評價，必要時會對其他系統(tǒng)實施再驗證。(6)所有的變更申請、評估、審批及再驗證活動均應(yīng)有文件記錄，以使之具有可追蹤性。8、周期性回顧系統(tǒng)的變化一般可分為兩種。一種為已知的、有形的變化，這種變化應(yīng)按照以上所述的變更控制要求執(zhí)行。而另一種變化是系統(tǒng)在長期頻繁使用中，由于時間的變化、環(huán)境的變化、人員的變化、硬件的磨損等諸因素，而導(dǎo)致的一種未知的、無形的變化。對于這種變化，需要對系統(tǒng)進(jìn)行周期性回顧(回顧周期一般建議為3 年)，以確保：(1)系統(tǒng)運行始終處于已驗證狀態(tài)；(2)系統(tǒng)維護(hù)嚴(yán)格按相關(guān)程序執(zhí)行；(3)系統(tǒng)文件及時而準(zhǔn)確地反映了現(xiàn)行計算機系統(tǒng)的運行情況。如果通過回顧，發(fā)現(xiàn)計算機系統(tǒng)的已驗證狀態(tài)已發(fā)生偏移，系統(tǒng)必須實施再驗證(圖 64)。系統(tǒng)回顧的范圍、方法及結(jié)論均應(yīng)有文件記錄，以使之具有可追蹤性。廢棄當(dāng)一個計算機系統(tǒng)的現(xiàn)行功能實施不再適用，或執(zhí)行一個新系統(tǒng)替代現(xiàn)有系統(tǒng)的功能時，該系統(tǒng)就從實際使用中引退。此階段目標(biāo)是要消除對