什麼是計算機化系統？

由計算機系統控制部分和受控的功能和模塊構成，計算機控制部分包括控制軟件和硬件(如電腦、固件等) ，受控部分包括儀器設備和人員、SOP 程序、組織、培訓等。在制藥工廠中，計算機化系統主要有實驗室儀器設備、應用程序、IT基礎設施和生產單元等。

Q2: 全球哪些監管法規重點要求瞭計算機化系統驗證？

美國、歐盟、中國都有相關的法規

美國 FDA 21 CFR Part 11：電子記錄/簽名

歐盟 Annex 11：計算機化系統

歐盟 EMA：發佈計算機化系統驗證-核心文件，Annex2：復雜計算機化系統驗證2018年4月發佈， 2018年8月1日強制實施

中國 CFDA：2010版GMP附錄- ；2015年12月

中國CFDA ： 新版GLP，第十六條 強調計算機化系統驗證 2017年9月1日生效

ISPE GAMP5(指南基於風險的驗證策略/V 模型文檔

PIC/s PI-011(指南)在法規監管GxP環境下計算機化系統驗證良好規范

《藥品數據管理規范》(征求意見稿， 2018 年 1 月)是數據可靠性的法規文件，明確地規定瞭對計算機系統需要有驗證，且對驗證要求都做出瞭明確的規定

Q3：一個完整的 CSV 驗證需要考慮哪些？—— CSV 實施框架 V Model

Q4：CSV 驗證主要交付文檔有哪些？

包括：驗證計劃(VP)、風險評估(RA)、用戶需求規范(URS)、功能需求規范(FRS)、設計/配置規范(DS/CS)；安裝確認(IQ)、運行確認(OQ)、性能驗證(PQ)、需求追蹤矩陣(RTM)、驗證報告(VSR)。

從合規方面主要考慮的關鍵點：電子記錄安全性、審計追蹤、數據備份與恢復、災難恢復、登陸/密碼安全性、電子簽名、數據完整性 Data Integrity 等。

Q5：GAMP 5 軟件系統包含哪幾類？

其實有 5 類，但是主要是 3 個大類：

類: ?操作系統，如 Windows 等，驗證策略是不推薦做十分詳細的驗證，記錄版本。

第二類：可配置軟件包，如 OpenLAB ECM, LIMS, CSD 軟件，需要做確認針對於用戶需求的操作和供應商評估確認。

第三類：完全定制化軟件，需要審計供應商和驗證整個系統，通常制藥實驗室不常見。

Q6：IT基礎設施在 CSV 驗證中地位與作用

應用程序例如軟件系統等，是搭建在IT基礎網絡設施，應以合適的方式進行適當的確認和記錄應存檔

Q7：驗證計劃( VP )主要包括哪些內容？

包括的內容如下：

系統概述與驗證目標系統與項目的范圍驗證項目的人員角色與職責定義/縮寫/參考資料驗證原理/依據 和策略法規風險分析結果交付項目進度供應商管理可接受標準 與系統釋放培訓要求文檔管理

Q8：如何進行供應商評估確認？

GMP 相關性和對系統供應商進行合適的潛在風險的確認和評估是必要的，一般進行問卷調查，如果做得嚴格些，可以進行供應商現場審計。

Q9：國內外的法規風險評估( RA )有什麼區別？

從法規上來分析系統風險級別高低，國內通常選擇系統影響性評估( SIA )，是一種簡化的法規風險評估( RA )。相比於國外法規RA分析，國內的風險評估是相對簡化的。

Q10：URS (用戶需求說明)和 FRS (功能需求說明)是寫在一起還是分開寫？

URS 定義系統必須滿足什麼樣的商業化需求和合規上需求，FRS 主要是說明系統如何在技術上符合 URS，主要是針對自定義的軟件，在大多數時候，URS/FRS 兩個需求是可以寫在一起的 UFRS。

Q11：如何做詳細風險分析 FMEA(失效模式與影響分析)讓合規風險降至小化？

使用合理的風險分析定制驗證/確認活動的內容或規則，測試范圍和深度可以在風險中定義，做 CSV 驗證的目的就是讓系統風險控制在可接受的范圍而不是讓風險為零。

Q12：DS 設計規格 / CS 設計規格有什麼區別？如何做？

CS 通常用於商業化軟件，D

GAMP5 V 模型的核心是風險分析與控制， V 模型左邊主要是需求規格，V 模型底部是系統的安裝/調試/配置，V 模型右邊主要是確認與測試，以證明需求是否得到滿足。

具體而言，V 模型左邊包括驗證計劃 VP、系統影響性評估 SIA 或法規風險分析、URS 用戶需求說明、FRS 功能規格說明、以及根據這些功能需求所做出詳細風險分析，即功能風險分析 FRA、DS/CS設計/配置規格。 另外，還包括系統供應商評估，這個也是驗證前期需要做的重要環節。

系統經過安裝/調試/配置後，然後進行 IQ/OQ 確認測試，需要準備相關 SOPs 和進行員工培訓，再進行 PQ 確認測試，RTM 需求追蹤矩陣，驗證總結報告 VSR。