丁恩峰 高海燕

（1.英国施达化学集团公司中国代表处，河北石家庄 050031；2. 北京赛铭医药科技有限公司，河北石家庄 050031）

EU GMP附录11计算机系统是关于制药行业计算机系统管理和验证的权威指南。在修订以后，国际制药工程协会（ISPE）组织相关专家对这个附录进行了详细研究并逐条进行了注释和阐释。随着新版GMP的实施，计算机系统的管理和验证越来越被制药行业所关注和研究。这份技术注释文件不仅对研究EU GMP很有帮助，也必将对制药行业产生深远影响。

为了便于阅读和理解，本文采用表格形式。左侧表格内容是EU GMP附录11计算机系统文本；右侧表格是ISPE专家组的注释内容。另外，为了便于行文流畅，部分内容做了适当调整。

注释[2]原则附录11条文部分[1]这个附录适用于作为GMP规范活动一部分的各类计算机化系统。计算机化系统就是一套软件和硬件组件，一起实现某种功能。这个条款在目的上和PIC/S Good Practices for Computerised Systems in Regulated “GXP” Environments’ (PI 011)很类似，但是不完全相同；PIC指南关于计算机化系统定义还包括控制功能和相关文件。定义被解释为和GAMP5术语和用途是一致的，其中计算机化系统包括硬件、软件和网路组件，还包括控制功能和相关文件。

计算机化系统的应用应该被验证，IT基础结构应该被确认。这条和GAMP5关于验证GXP规范应用的方法是一致的，并确保控制策略和基础结构的符合性。（详细内容参考GAMP5指南关于分类1组件内容，和GAMP良好规范指南：IT基础结构控制和符合性指南）。GAMP5定义计算机化系统验证为：-通过以下手段，取得并维护对采用的GXP法规的符合性，并适合于目的用途；-在验证计划和报告的框架内，采用原则、方法和生命周期活动；-在系统整个生命周期中，应用恰当的操作控制。GXP应用的符合性和验证状态取决于一个潜在的IT基础结构，而这个基础结构的可控性和法规符合性是可以展示的。基础结构应该通过计划的确认流程来引入到最初符合规范公司确定的标准中，而确认流程是建立在公认的良好IT规范基础上的。一旦被证实是一致的，应该通过确定的流程和质量保证活动来维护这个状态，应该定期核实有效性。当使用计算机化系统取代人工操作时，不应该在产品质量、工艺控制和质量保证方面发生必定出现的下降情况。工艺总体风险不应该出现上升的情况。这个条款大体上和以前的版本是类似的。这个条款强调风险。这和GAMP5和ICH Q9采用的基于风险的方法是一致的。一般要求1. 风险管理风险管理应该在计算机化系统的整个生命周期中应用，要考虑患者安全，数据完整和产品质量。作为风险管理系统的一部分，对验证和数据完整性控制决定实施的程度，应该基于对计算机化系统的论证的和书面的风险评估。这是一个明显受欢迎的新条款。这和GAMP5和ICH Q9采用的基于风险的方法是一致的。2. 人员所有相关人员应该密切配合，例如：工艺所有者，系统所有者，受权人和IT。所有人员应该具有恰当的资质，入选的水平和确定的责任来履行他们指定的责任。这个条款和以前版本的条款大体相同。采用了GAMP5中的工艺所有者和系统所有者。培训应该确保负责研发、维护和使用计算机化系统的人员具有教育背景、培训经历和经验来履行他们分配的工作。3. 供应商和服务提供商3.1当采用第三方（例如：供应商、服务提供商）服务，例如：提供、安装、配置、整合、验证、维护（例如：通过远程关口）、修改或者保持计算机化系统或者相关服务或者数据处理，必须具有制造商和任何第三方的正式协议；这些协议应该包括：第三方责任声明。IT部门应该可以被视为类似的第三方。修订稿增加要求来澄清需要什么，但是没有增加超越现有良好规范的新概念。ICH Q10制药质量体系提出的关于“外购活动和采购物料管理”的具体指南是相关的，应该被考虑。该条款反应了如下趋势：在系统整个生命周期中，计算机化系统相关服务的集中化和外购趋势。当这种趋势引入了额外的GXP风险，这些风险应该被由明确定义的授权责任方和质量标准所控制，并由评估和定期审核来支持。对于内部提供者，例如：IT部门，一个建成的QMS，其中包括：正式政策，规程和支持性审计是满足要求的有效手段，在这种情况下，正式合同，和外部服务提供者之间很典型的合同，是不需要的。对于内部服务供应商协议，例如：在信息技术结构图书馆（ITIL）中描述的服务水平协议（SLA）和运行水平协议（OLA）是有用的良好规范，但是不是强制的。3.2 当选择一个产品或者一项服务提供者时，供应商能力和可靠性是关键因素。应该基于风险评估来确定是否需要审计。这条和以前的版本内容大体一致，也和GAMP5以及ICH Q10关于供应商评估的方法一致。在合同确定之前，规范公司应该核实，供应商应该有足够经验和资源来支持用户需求和期望。最常见的手段就是供应商评估，应该基于风险，复杂性和新颖性来决定是否审计。3.3和商业化成熟产品一起提供的文件应该由规范用户审核，来检查URS是否被满足。这条大体上和以前版本内容一致，也和GAMP5关于供应商评估，追溯和设计审核的方法一致。商业化成熟产品应该被评估和核实，是否能够满足用户和GXP要求。基于产品和工艺理解，还有恰当追溯和核实，这条清楚的提出明确的要求。3.4和供应商或者软件研发商的质量系统和审计信息，以及实施的系统，应该应检查者要求，可以提供。这是一条很明显的新条款。就像上面的条款3.2，这和规范的公司责任相关，就是要确认供应商具有足够的专业经验和资源来支持用户要求和期望。恰当的评估流程的证据和随后供应商适应性的判断，包括GMP相关的观察和结果，应该应法规方要求可以提供。评估发现的某些详细方面，尤其是和供应商相关知识产品和技术方面，应该在规范公司和供应商之间的保密协议中所包括。如果一个法规方要求获得供应商信息，这个要求应该传递给供应商，而且如果有必要，需要对保密协议进行进一步讨论。对于高风险流程的服务供应商，合同应该注明，他们责任包括直接被检查和随时被要求检查他们的质量管理系统，如果在法规方检查期间需要时。还需要注明，一般生命周期和验证文件-包括验证计划、验证报告和确认文件-也可展示来证明系统符合预期用途。对于IT服务供应商，规范公司有责任评估供应商的质量管理系统是否符合目的，并监控系统的实际效果。

项目阶段4.验证4.1验证文件和报告应该覆盖生命周期的相关阶段。制造商应该能够基于他们的风险评估来论证他们的标准、方案、接受标准、规程和记录。这段和GAMP5和ICH Q9中采用的以风险为基础的总体方法是一致的。这段强调了以风险为基础方法和需要对文件论证采用生命周期方法。4.2验证文件应该包括变更控制记录（如果适用的话）以及任何在验证过程中观察到的偏差报告。这是现行的良好规范，和GAMP5保持一致。应该采用项目变更控制和兼容性管理。一份计算机化系统验证报告应该形成于对如下内容的概括：进行的活动、和计划相比的任何偏差、任何突出的和纠正性的活动、和提供一份系统满足预期用途的声明。参见GAMP5附录M7来获得更多详细内容。4.3应该具备最新的所有相关系统的目录，包括他们具备的GMP功能（索引）。对于关键系统，一份最新的系统描述应该详细描述布置、数据流、和其他系统或者流程的界面、软件先决条件和应该具备的安全措施。具备系统清单或者索引是现行的良好规范，也和EU GMP附录15条款4c相一致。也可以参见GAMP5的6.1.5部分系统索引的维护。对系统描述的需求和以前的版本大体上是类似的条款。对于所有的GXP规范的系统，现行的工业良好规范是具备一个系统描述（或者等效要求-参见下面的要求）。这可能被URS或者FS所包含，或者编制一份单独的文件来报告。针对对于产品质量或者患者安全具有低风险的系统，可能没有必要编写一份详细的系统描述。文件详细程度应该和系统的风险和复杂程度相一致。参见GAMP5附录D6系统描述。4.4URS应该描述计算机化系统的要求功能，并基于风险评估的文件和GMP的影响。用户要求应该在整个生命周期阶段都可以追溯。这段大体上和以前版本的条款类似，但是增加了关于风险和GMP影响的书面评估的关注。这段也强调了需求定义和风险评估活动的内部关系。需求应该基于产品和工艺理解，以及相关的法规要求。需求标准应该关注和产品质量以及患者安全相关的高风险方面。追溯性就是一个流程可以确保如下：-需求可以说明并追溯到恰当的功能和标准的审计元素。-需求可以追溯到恰当的确认。追溯性应该关注和产品质量以及患者安全相关的高更显的需求。参见GAMP5附录M5来获得进一步关于追溯性的指南。4.5规范用户应该采取全部合理的步骤，来确保系统已经根据恰当的质量管理系统来研发。供应商应该被评估。这段和以前版本的条款类似。参见上面关于其他供应商评估和管理要求的评价。4.6对于要求的或者客户化的计算机化系统的验证，应该存在一个流程来确保在全部生命周期阶段，对系统的质量和性能措施，进行正式评估和报告。这段反应了针对要求的或者客户化的应用，增加的生命周期活动，以及受控生命周期的用途和清楚定义的阶段或者周期。这样的生命周期活动应该基于风险、复杂性和新颖性来规范。在对项目作出结论时，应该编写一份计算机化系统验证报告来概括进行的活动、针对计划的任何偏差、任何突出的和纠正行动，并提供一份系统符合预期用途的声明。4.7恰当测试方法的证据和测试细节应该被展示。特别的，应该考虑系统（流程）参数限度，数据限度和错误处理。应该有书面评估资料证明自动化测试工具和测试环境是足够的。这条很受欢迎，显示出增加了针对测试策略仔细选择的关注，包括负面测试或者挑战测试，目的是确认缺陷。核实工作要确认已满足标准。这可能包括多阶段的审核和测试，取决于系统类型，应用的研发方法和系统用途。对计算机化系统的测试是一个基础性核实工作。规范的公司应该准备来证明他们核实工作是足够的。测试和确认缺陷相关，以便缺陷可以纠正，并显示系统符合要求。测试通常在几个水平上进行，这取决于系统的风险，复杂性和新颖性。一个水平的测试对于简单和低风险的系统可能是恰当的。这条反应了自动化测试方法的可接受性和用途的增加。采用阶段书面评估其足够性和GAMP类别1方法是一致的。评估的类型和水平应该和潜在风险相匹配。一般情况下，测试工具和测试环境不需要验证。基于风险，如果这样的工具用于维护规范的记录，特定控制和核实可能是恰当的。4.8如果数据被转换为其他数据形式或者系统，验证应该包括如下检查：在迁移过程中，数据没有发生数值和/或者意义方面的改变。这是一个新条款，目的主要是关注数据迁移和存档。这条和US FDApart11范围和应用指南关于GXP记录在复制或者迁移过程中内容和意义保存的要求声明是一致的。这条也和GAMP良好规范指南中的方法是一致的，就是A Risk-Based Approach to Compliant Electronic Records and Signatures。如下情况可能需要数据迁移：存在的系统被新的系统替代，操作系统经历一个大的变更，系统使用范围发生变更。迁移过程应该准确，完整并经核实。GAMP5附录D7数据迁移和GAMP良好规范指南：Electronic Data Archiving可以提供细致的指南意见。运行阶段5.数据计算机化系统和其他系统进行电子方式的数据交换，应该包括恰当的内部检查，来核实正确性和访问的安全性，以及数据的处理过程，目的是降低风险。这是一个针对系统界面设计的新条款，反映了在系统建立标准、设计和确认过程中，由于系统内部链接的增加，系统接口的增加，相对增加的关注恰当风险控制措施的需要。

6.准确性检查对于手工输入的关键数据，应该针对数据准确性进行额外的检查。这项检查可以由第二个操作者进行，也可以由验证的电子方式来进行。数据错误或者数据不正确输入对系统的关键性和潜在后果，应该在风险管理中包括进来。这条大体上和以前版本内容一致。这段文本中“关键数据”术语被解释为对于产品质量或者患者安全具有较高影响的有意义的数据。7.数据储存7.1应该确保数据在物理方面和电子方面都是安全的，避免损坏。应该检查储存的数据以确保具有访问能力，易读性和准确性。应该确保在整个保存期内都可以访问数据。这条大体上和以前版本内容一致。这条和US FDApart11范围和应用指南关于记录保存要求的声明是一致的。GAMP5的附录O11安全管理为数据安全提供了具体指南。7.2应该定期备份所有相关数据。在验证过程中和定期监控时，应该检查备份数据的完整性和准确性，以及数据的可恢复性。这条大体上和以前版本内容一致，但是增加了以下内容：强调对备份和储存流程的核实，还有对流程定期监控的要求（例如，包括介质期限）备份是记录、数据和软件复制的过程，以避免原件完整性和可获得性损坏的情况。储存是记录、数据或者软件随后根据需要储存的过程。Applicable GAMP 5 guidance on the topic includes Appendix O9 on Backup and Restore。GAMP5指南关于此话题包括附录O9备份和恢复。在很多例子中，备份和储存能力将由IT基础结构部分来提供，正如上面讨论的那样（参见原则部分的讨论），应该处于受控状态并符合规范。在这个例子中，应说明、配置和核实单个系统备份和储存需求。8.输出8.1应该可以获得清楚的电子储存数据的打印件。这条和以前版本内容基本一致。规范公司必须向检查官提供合理的和有用的访问GMP记录的途径。这条和US FDApart11范围和应用指南的声明一致，关于可以获得人们易读复件的数据，目的是在检查时，向检查官提供合理的和有用的访问记录的途径。参见GAMP良好规范指南：A Risk Based Approach to Compliant Electronic Records and Signatures。8.2对于支持批次放行的记录，应该可以产生打印件，证明自从最原始输入以后，任何数据的变更都可以展示出来。这条和以前版本内容一致，但是有显著增加。增加内容显示，对于支持批次放行的记录，高度控制的重要性，和变更透明性的重要性。应基于论证和书面风险评估，以及流程的分析来选择合适的方法。术语printout解释为显示一种合适的人们易读的形式。9.审计追踪基于风险评估，应该考虑到，所有和GMP相关变更记录的创建和删除都在系统内部创建（就是系统产生审计追踪）。对于变更或者删除GMP相关的数据，应该记录原因。应该具有审计追踪功能，并且可以转化为一般意义上易于理解的形式，便于定期审核。这条和以前版本内容大体一致。任何审计追踪功能的需要，包括类型和程度，应该基于书面的和论证的风险评估。这和US FDA part11范围和应用指南中的关于审计追踪的声明是一致的。也可以参见GAMP规范指南：A Risk Based Approach to Compliant Electronic Records and Signatures。审计追踪审核的需求应该基于书面的和论证的风险评估，考虑如下要素：-审计追踪功能的最初确认和变更管理期间的随后确认（如果合适的话）；-职责的有效区分和以相关功能为基础的安全性；-为系统使用，管理和变更管理建立有效规程。任何认为是必要的审计追踪的审核应该关注核实是否可行和是否有效。对于高风险记录，应该具有合适的记录安全控制措施，并且恰当的职责分离使之加强（例如，不会存在具有冲突利益的人有特权允许修改数据，或者修改审计追踪配置）。审计追踪应该被视为仅仅是广泛控制措施、流程和规程框架中的一个元素，这个框架目的是确保记录和数据完整性处于可以接受的水平。审计追踪应该主要被视为一种调查工具，当需要时就使用，而不是持续例行审核。不要求例行审核所有审计追踪内容，这和基于风险的方法也不一致。任何可能的利益也不能说明这样做的成本和努力程度。10.变更和配置管理任何针对计算机化系统包括系统配置的变更应该仅仅采用控制方式来进行，并和确定规程一致。这条和以前版本内容基本一致。变更控制是变更生命周期的控制流程，确保进行有益的变更，而没有违反规定的工艺或者记录。配置管理包括那些必要的活动，这些活动可以准确地在计算机系统生命周期的任何时间点都定义系统，从研发的开始阶段到退役阶段。在实施之前，应该审核、风险评估、授权、记录、测试和批准任何变更。应该记录下来这些活动。参见GAMP5附录O6运行变更和配置管理来获得更多信息。11.定期评估计算机化系统应该被定期评估来确认系统处于有效状态并符合GMP。这样评估应该包括，如果合适的话，目前功能的范围，偏差记录，事故，问题，升级历史，性能，可靠性，安全性和验证状态报告。这是新条款，但是和GAMP5中描述的目前行业良好规范保持一致。参见EU GMP附录O8定期审核。也和附录15的23条和45条保持一致。在计算机化系统运行生命周期的全过程中，都使用定期审核来确认系统保持符合法规要求的状态，满足目的用途，满足公司政策和规程。审核应该证实，对于系统的所有部分，已经建立了需要的支持和维护流程和期望的法规控制（计划、规程和记录），并且在使用中。

?

[1] EMA EU GMP annex11 .

[2] ISPE < GAMP CoP Annex 11 Interpretation>.