计算机系统 CSV 法规对制药企业至关重要，美国 FDA、欧盟 Annex 11、欧盟 EMA、中国 CFDA 等都对计算机化系统验证做了重点要求，但是众多药厂在 CSV 合规验证方面依然存在一些误区，所以针对计算机化系统 CSV 法规我们为您准备了足够多的干货，只发一次请收好。答题有好礼奉送！

Q1：什么是计算机化系统？

由计算机系统控制部分和受控的功能和模块构成，计算机控制部分包括控制软件和硬件(如电脑、固件等) ，受控部分包括仪器设备和人员、SOP 程序、组织、培训等。在制药工厂中，计算机化系统主要有实验室仪器设备、应用程序、IT基础设施和生产单元等。

Q2: 全球哪些监管法规重点要求了计算机化系统验证？

美国、欧盟、中国都有相关的法规

• 美国 FDA 21 CFR Part 11：电子记录/签名

• 欧盟 Annex 11：计算机化系统

• 欧盟 EMA：发布计算机化系统验证-核心文件，Annex2：复杂计算机化系统验证2018年4月发布， 2018年8月1日强制实施

• 中国 CFDA：2010版GMP附录-<计算机化系统> <确认与验证>；2015年12月

• 中国CFDA ：<药物非临床研究质量管理规范> 新版GLP，第十六条 强调计算机化系统验证 2017年9月1日生效

• ISPE GAMP5（指南基于风险的验证策略/V 模型文档

• PIC/s PI-011（指南）在法规监管GxP环境下计算机化系统验证良好规范

• 《药品数据管理规范》（征求意见稿， 2018 年 1 月）是数据可靠性的法规文件，明确地规定了对计算机系统需要有验证，且对验证要求都做出了明确的规定

Q3：一个完整的 CSV 验证需要考虑哪些？—— CSV 实施框架 V Model

GAMP5 V 模型的核心是风险分析与控制， V 模型左边主要是需求规格，V 模型底部是系统的安装/调试/配置，V 模型右边主要是确认与测试，以证明需求是否得到满足。

具体而言，V 模型左边包括验证计划 VP、系统影响性评估 SIA 或法规风险分析、URS 用户需求说明、FRS 功能规格说明、以及根据这些功能需求所做出详细风险分析，即功能风险分析 FRA、DS/CS设计/配置规格。 另外，还包括系统供应商评估，这个也是验证前期需要做的重要环节。

系统经过安装/调试/配置后，然后进行 IQ/OQ 确认测试，需要准备相关 SOPs 和进行员工培训，再进行 PQ 确认测试，RTM 需求追踪矩阵，验证总结报告 VSR。

Q4：CSV 验证主要交付文档有哪些？

包括：验证计划（VP）、风险评估（RA）、用户需求规范（URS）、功能需求规范（FRS）、设计/配置规范（DS/CS）；安装确认（IQ）、运行确认（OQ）、性能验证（PQ）、需求追踪矩阵(RTM）、验证报告（VSR）。

从合规方面主要考虑的关键点：电子记录安全性、审计追踪、数据备份与恢复、灾难恢复、登陆/密码安全性、电子签名、数据完整性 Data Integrity 等。

Q5：GAMP 5 软件系统包含哪几类？

其实有 5 类，但是主要是 3 个大类：

• 第一类:  操作系统，如 Windows 等，验证策略是不推荐做十分详细的验证，记录版本。

• 第二类：可配置软件包，如 OpenLAB ECM, LIMS, CSD 软件，需要做确认针对于用户需求的操作和供应商评估确认。
  

• 第三类：完全定制化软件，需要审计供应商和验证整个系统，通常制药实验室不常见。

Q6：IT基础设施在 CSV 验证中地位与作用

应用程序例如软件系统等，是搭建在IT基础网络设施，应以合适的方式进行适当的确认和记录应存档

Q7：验证计划（ VP ）主要包括哪些内容？

包括的内容如下：

• 系统概述与验证目标

• 系统与项目的范围

• 验证项目的人员角色与职责

• 定义/缩写/参考资料

• 验证原理/依据 和策略

• 法规风险分析结果

• 交付

• 项目进度

• 供应商管理

• 可接受标准 与系统释放

• 培训要求

• 文档管理

Q8：如何进行供应商评估确认？

GMP 相关性和对系统供应商进行合适的潜在风险的确认和评估是必要的，一般进行问卷调查，如果做得严格些，可以进行供应商现场审计。

Q9：国内外的法规风险评估（ RA ）有什么区别？

从法规上来分析系统风险级别高低，国内通常选择系统影响性评估（ SIA ），是一种简化的法规风险评估（ RA ）。相比于国外法规RA分析，国内的风险评估是相对简化的。

Q10：URS （用户需求说明）和 FRS （功能需求说明）是写在一起还是分开写？

URS 定义系统必须满足什么样的商业化需求和合规上需求，FRS 主要是说明系统如何在技术上符合 URS，主要是针对自定义的软件，在大多数时候，URS/FRS 两个需求是可以写在一起的 UFRS。

Q11：如何做详细风险分析 FMEA（失效模式与影响分析）让合规风险降至最小化？

使用合理的风险分析定制验证/确认活动的努力或工作，测试范围和深度可以在风险中定义，做 CSV 验证的目的就是让系统风险控制在可接受的范围而不是让风险为零。

Q12：DS 设计规格 / CS 设计规格有什么区别？如何做？

CS 通常用于商业化软件，DS 用于定制化软件。

DS/CS 的最低要求包括：

• 系统架构 System Topology

• 整个系统的数据流 Data Flow

• 最低的/必要的硬件和软件组件 Components  

• 仪器通讯/控制配置(如需要)  Communication/Control Configuration

• 时间/日起设置和安全性  Time/Date setting and Security

• 登陆与安全设置  (Physical 物理的 and Virtual 虚拟的) – 操作系统与应用软件

• 登陆参数 Login parameters

• 用户特权与许可 User privileges/permissions

• 数据管理 Data Management

• 审计追踪设置 Audit Trail settings

• 任何其它为了软件满足用户需求UFRS而做的可配置设置等(i.e. 数据备份, 系统恢复, 启动与关闭等)

Q13： IQ/OQ/PQ 测试脚本是否可以描述为“符合预期”之类

测试脚本测试的要求可能是数据可靠性或者是其它功能方面的， FDA不接受“满足预期”这样的描述，建议写出具体结果。

Q14：验证总结报告 VSR 批准意味着什么

VP 陈述项目应该完成什么，VSR阐述项目确实完成了什么，VSR 批准意味着系统可以放行用于GMP生产运行。

Q15：系统相关 SOPs 是否有必要准备？什么阶段开始准备？

SOP s是有必要起草的，在 PQ 之前就应当具有相关 SOPs，或至少有草稿版本，且用户可以得到合适的培训。

系统相关的 SOPs包括：

• 系统使用与操作——数据采集与加工处理，数据审核与批准，审计追踪审核等

• 用户培训

• 系统的管理与维护

• Data backup 数据备份/ Archival 归档/ Retrieval 恢复还原

同时建议具有更高层面的 SOPs，包括：变更管理，验证生命周期，登陆/安全，业务持续与灾难恢复，记录控制与保留政策，电子签名的使用，反欺诈监控。

Q16：整个验证完成需要多长时间

具体要看是什么样的系统，简单的系统验证，几周至几个月，复杂的系统验证半年至1年，甚至更长时间都是有可能的。

一般而言，安捷伦网络版 Open LAB CDS 2.X，大概控制 8-10 台仪器是在 1-2 个月内完成验证，单机版软件 Open LAB CDS 2.X，可能 2-3 周即可完成验证。

Q17：请问反欺诈是什么要如何执行？

对数据我们要求周期性的审核，有每日、每周、每月的审核，建议企业有一个这样的流程来确保数据是真实可靠的，如果发现数据作假要及时举报，制定相关的应急机制。

Q18：实验室如果在 CSV 方面缺失会面临哪些法规风险

违规的风险很高

• 罚款、坐牢、部分或全面商业关闭，

• 客户信任度受损并很难修复

• 产品拒绝/放行后退货 ( QC )

• 影响研发药品申报进度和成败( R&D )

Q19：安捷伦在 CSV 验证上可以为客户到哪些？

我们在不同阶段都可以为您提供不同的帮助

1）项目计划计划：帮助您一起做好计划

2）需求沟通阶段：验证计划 VP，系统 GxP 影响性评估或法规风险分析，用户功能需求规范（ URS/FRS ），风险评估报告（ RA ）

3）系统安装配置阶段：系统配置规范 CS

4）系统验证阶段：安装确认 IQ，运行确认 OQ，性能确认 PQ，需求追踪矩阵 RTM，验证总结报告 VSR

5）项目交付阶段：项目验收报告

Q20：安捷伦 CSV 验证可以为客户实验室带来哪些利益？

安捷伦的服务：

• 帮助发现系统的缺陷，从而即时整改，以达到符合 DI 相关法规要求

• 使得客户 QC/QA/IT 等人员，在验证过程中，可获得 CSV 验证相关培训

• 客户建立起相关 SOPs，便于系统放行后的运行和监控

• 加速了客户 CSV 验证的进程

总之，大大降低了客户 CSV 法规风险，且加速了整个验证过程！