GMP计算机化系统条款解读

附件1计算机化系统第一章范围第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。

计算机化系统由一系列硬件和软件组成，以满足特定的功能。

第二章原则第二条计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

第三条风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

第四条企业应当针对计算机化系统供应商的管理制定操作规程。

供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

—3—企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

第三章人员第五条计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。

应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。

应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。

第四章验证第六条计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。

风险评估应当充分考虑计算机化系统的使用范围和用途。

应当在计算机化系统生命周期中保持其验证状态。

第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。

清单应当及时更新。

第八条企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。

—4—在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。

第九条数据转换格式或迁移时，应当确认数据的数值及含义没有改变。

第五章系统第十条系统应当安装在适当的位置，以防止外来因素干扰。

第十一条关键系统应当有详细阐述的文件（必要时，要有图纸），并须及时更新。

附件1计算机化系统第一章范围第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。

计算机化系统由一系列硬件和软件组成，以满足特定的功能。

第二章原则第二条计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

第三条风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

第四条企业应当针对计算机化系统供应商的管理制定操作规程。

供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

—3—企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

第三章人员第五条计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。

应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。

应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。

第四章验证第六条计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。

风险评估应当充分考虑计算机化系统的使用范围和用途。

应当在计算机化系统生命周期中保持其验证状态。

第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。

清单应当及时更新。

第八条企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。

—4—在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。

第九条数据转换格式或迁移时，应当确认数据的数值及含义没有改变。

第五章系统第十条系统应当安装在适当的位置，以防止外来因素干扰。

第十一条关键系统应当有详细阐述的文件（必要时，要有图纸），并须及时更新。

附件1计算机化系统第一章范围第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。

计算机化系统由一系列硬件和软件组成，以满足特定的功能。

第二章原则第二条计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

第三条风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

第四条企业应当针对计算机化系统供应商的管理制定操作规程。

供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

第三章人员第五条计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。

应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。

应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。

第四章验证第六条计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。

风险评估应当充分考虑计算机化系统的使用范围和用途。

应当在计算机化系统生命周期中保持其验证状态。

第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。

清单应当及时更新。

第八条企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。

在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。

第九条数据转换格式或迁移时，应当确认数据的数值及含义没有改变。

第五章系统第十条系统应当安装在适当的位置，以防止外来因素干扰。

第十一条关键系统应当有详细阐述的文件（必要时，要有图纸），并须及时更新。

《2023年版GMP指南中的信息化与计算机化系统》目录：1. 介绍2. 信息化与计算机化系统在GMP指南中的重要性3. 信息化与计算机化系统的基本要求4. 信息化与计算机化系统在药品生产中的应用5. 我对信息化与计算机化系统的个人观点和理解### 1. 介绍GMP（Good Manufacturing Practice）指南是药品生产领域的一项重要标准，旨在确保药品的质量和安全。

信息化与计算机化系统作为现代药品生产的重要组成部分，也被纳入了GMP指南之中。

### 2. 信息化与计算机化系统在GMP指南中的重要性信息化与计算机化系统在GMP指南中扮演着至关重要的角色。

随着科技的发展和药品生产流程的复杂化，传统的手工操作已经无法满足生产的需求。

信息化与计算机化系统能够有效地提高生产效率，优化生产流程，并且对药品的质量和安全起到重要保障作用。

### 3. 信息化与计算机化系统的基本要求根据2023年版的GMP指南，对于信息化与计算机化系统的要求主要包括但不限于以下几个方面：1. 系统的稳定性和可靠性；2. 数据的准确性和一致性；3. 系统的合规性和安全性；4. 关键数据的备份和恢复机制。

### 4. 信息化与计算机化系统在药品生产中的应用在药品生产中，信息化与计算机化系统广泛应用于原料药生产、药品包装、质量控制等各个环节。

通过建立先进的生产信息管理系统，生产企业能够实现生产过程全程控制、数据实时监测、流程自动化管理等功能，从而提高药品的生产质量和生产效率。

### 5. 我对信息化与计算机化系统的个人观点和理解作为一名从事药品生产行业多年的人士，我深刻理解信息化与计算机化系统在GMP指南中的重要性。

随着科技的不断进步，信息化与计算机化系统必将成为未来药品生产的趋势。

然而，我们也要意识到信息化与计算机化系统所面临的挑战与风险，比如数据安全、系统稳定性等问题，需要引起重视和解决。

总结：通过对2023年版GMP指南中的信息化与计算机化系统进行分析和解读，我们深刻认识到了其在药品生产中的重要作用。

2010版GMP附录《计算机化系统》解读2015年5月26日，国家食品药品监督管理总局（CFDA）正式发布了2010版GMP的新附录之一《计算机化系统》，并于2015年12月1日起执行，引起了国内制药行业的广泛讨论和高度关注。

一、本附录出台的背景1、与国际化接轨的要求。

国内外GMP法规有许多差异，而对计算机化系统的要求差异尤为明显。

CFDA所执行的2010版GMP法规内容与国际上其他法规机构的cGMP法规是对等的，如FDA 21 CFR Part 211。

但美国的制药企业除了执行 21 CFR Part 211以外，同时还要遵守21 CFR Part 11法规；欧盟国家的制药企业除了执行欧盟GMP以外，还要遵循Annex 11法规。

FDA的21 CFR Part 11与欧盟的Annex 11的内容是类似的，都是针对于制药企业使用计算机化系统的法规要求。

新颁布的《计算机化系统》法规附录是国内法规与国际接轨的重要一步，填补了国内对于计算机化系统要求的法规空白，是实现与国际法规监管机构之间相互认可的前提条件之一。

2、行业发展的要求。

随着中国医药行业信息化的发展，计算机化系统在药品生产过程中的应用不断增多，制药企业和相关软件厂商运用信息技术和系统控制技术提升生产效率、改进生产和质量管理成为医药行业计算机化系统应用的重要方向之一。

因此，如何对计算机化系统进行有效地验证就成为制药企业质量管理体系中的重要环节，CFDA在《药品生产质量管理规范(2010年修订)》(GMP)中也将计算机化的仓库管理系统和其他相关计算机软件的变更纳入变更控制范畴要求。

3、监督管理部门监管的需要。

从认证检查中发现的问题来看，无菌制剂企业GMP认证中检查缺陷主要分布在质量管理、质量控制与质量保证，机构与人员，厂房与设施，设备，物料与产品等11个方面。

非无菌制剂企业的跟踪检查中发现的典型问题则包括未定期对关键系统完成再确认或再验证，企业的质量管理体系运行存在问题等。

2010版GMP附录《计算机化系统》解读2015年5月26日，国家食品药品监督管理总局（CFDA）正式发布了2010版GMP的新附录之一《计算机化系统》，并于2015年12月1日起执行，引起了国内制药行业的广泛讨论和高度关注。

一、本附录出台的背景1、与国际化接轨的要求。

国内外GMP法规有许多差异，而对计算机化系统的要求差异尤为明显。

CFDA所执行的2010版GMP法规内容与国际上其他法规机构的cGMP法规是对等的，如FDA 21 CFR Part 211。

但美国的制药企业除了执行 21 CFR Part 211以外，同时还要遵守21 CFR Part 11法规；欧盟国家的制药企业除了执行欧盟GMP以外，还要遵循Annex 11法规。

FDA的21 CFR Part 11与欧盟的Annex 11的内容是类似的，都是针对于制药企业使用计算机化系统的法规要求。

新颁布的《计算机化系统》法规附录是国内法规与国际接轨的重要一步，填补了国内对于计算机化系统要求的法规空白，是实现与国际法规监管机构之间相互认可的前提条件之一。

2、行业发展的要求。

随着中国医药行业信息化的发展，计算机化系统在药品生产过程中的应用不断增多，制药企业和相关软件厂商运用信息技术和系统控制技术提升生产效率、改进生产和质量管理成为医药行业计算机化系统应用的重要方向之一。

因此，如何对计算机化系统进行有效地验证就成为制药企业质量管理体系中的重要环节，CFDA在《药品生产质量管理规范(2010年修订)》(GMP)中也将计算机化的仓库管理系统和其他相关计算机软件的变更纳入变更控制范畴要求。

3、监督管理部门监管的需要。

从认证检查中发现的问题来看，无菌制剂企业GMP认证中检查缺陷主要分布在质量管理、质量控制与质量保证，机构与人员，厂房与设施，设备，物料与产品等11个方面。

非无菌制剂企业的跟踪检查中发现的典型问题则包括未定期对关键系统完成再确认或再验证，企业的质量管理体系运行存在问题等。

2010年GMP附录10：计算机系统计算机化系统第一章范围第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。

计算机化系统由一系列硬件和软件组成，以满足特定的功能。

第二章原则第二条计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

第三条风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

第四条企业应当针对计算机化系统供应商的管理制定操作规程。

供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

第三章人员第五条计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。

应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。

应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。

第四章验证第六条计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。

风险评估应当充分考虑计算机化系统的使用范围和用途。

应当在计算机化系统生命周期中保持其验证状态。

第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。

清单应当及时更新。

第八条企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。

在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。

第九条数据转换格式或迁移时，应当确认数据的数值及含义没有改变。

第五章系统第十条系统应当安装在适当的位置，以防止外来因素干扰。

新修订GMP《计算机化系统》附录解析新修订《计算机化系统》附录于5月26日发布。

该附录更接近欧盟（EU）GMP附录11《计算机化系统》2011年正式版了。

不难看出，国内在该领域的监管要求已经靠拢和接近EU水平。

新修订《计算机化系统》附录结合了国际新的趋势及热点理念，比如基于风险-质量风险管理要贯穿系统生命周期全过程；基于科学-对流程和产品充分理解；采用软件分级管理的策略；基于质量体系-有效质量体系下实施计算机化系统（及电子数据）管理；基于生命周期-在整个生命周期内保持计算机化系统验证受控状态等。

其也包含了国际制药工程协会（ISPE）GAMP5良好自动化生产实践指南中的一些知识观点：软件分级管理、供应商审计、物理的和逻辑的防护、权限管理、审计跟踪、电子数据的备份与恢复、应急及突发事件管理等。

以下笔者对新修订《计算机化系统》附录主要部分进行解析。

内容解析范围第一条。

描述了本附录的适用范围：适用于在药品生产质量管理过程中应用的计算机化系统，同时明确了系统“由一系列硬件和软件组成，以满足特定的功能”。

按照国际药品认证合作组织（PIC/S）在GxP环境下的计算机化系统合规实践指南（PI011-3指南）的定义，计算机化系统由计算机系统和被其控制的功能或流程组成。

原则第二条、第三条和第四条。

主要描述了对于风险管理和供应商管理两个方面的要求。

对于风险管理，一方面是整个生命周期要实施风险管理；另一方面是验证的范围和程度要基于风险评估的结果来确定。

对于供应商管理，需要制定相应规程，要有明确的协议来明确供应商及制药企业双方职责，以及需要基于风险评估的结果开展供应商审计并形成文件化的记录。

人员第五条。

该章节强调了在系统验证、使用、维护、管理过程中各职能部门人员的紧密配合，并要求明确各自权限和职责；人员要接受相应培训以适合其岗位工作，且对实施培训和指导工作的人员提出了要求：“确保有适当的专业人员……”验证第六条。

应用程序的验证与基础架构的确认实际上是按照软件分类的原则（可参考ISPE GAMP5）实施不同生命周期验证活动。

从上述总结的内容分布来看,笔者认为该附录的核心思想体现为企业在采用计算机化系统来替代手工操作时,对药品生产质量管理过程中的一种风险控制;本质上是药企对自身生产经营风险的管控,从风险管理的角度来看,本附录内容可进行重新编排为1、风险识别第一章范围&第四章验证计算机化系统范围的确定：2、风险评估第二章原则需考虑患者安全、数据完整性和产品质量3、风险控制第五章系统基于系统的复杂度、新颖性和类别确定验证方案4、风险跟踪第三章人员明确人员职责和权限,对风险控制措施效果跟踪从的角度来看,该附录可以从另外一个视角来进行重新解读1、目的：控制同GxP有关的计算机化系统的使用风险2、范围；药企生产质量管理过程中涉及到的各类计算机化系统3、原则：系统替代手工不增加总体风险,风险管理贯穿系统的全生命周期4、方法：采用基于科学的风险评估,确定系统验证方案、执行验证活动5、重点：不光是验证的硬件、软件本身,更是验证系统所管控的流程；不光确保某一个阶段系统验证合格,更要确保整个生命周期内系统处于验证的受控状态,例如在系统运行阶段采用变更和配置管理,安全管理和再验证等;6、策略：根据软件级别的不同其测试程度也不同,比如针对第5类软件系统的源代码审核和功能测试；针对第4类软件系统的配置测试,然后是基于黑盒的功能测试、需求测试以及结合实际工艺和流程的性能测试等;二、条款解读原文内容：第一条：本附录适用于在药品生产质量管理过程中应用的计算机化系统,计算机化系统由一系列硬件和软件组成,以满足特定的功能;原文解读：第一条：此附录描述了计算机化系统的适用范围,是在药品生产质量过程中,这是其一；其二,什么是计算机化系统,由一系列硬件和软件组成,从字面上来看,这个定义和“计算机系统”没有本质区别,主要区别在于后面这几个字“以满足特定的功能”;按照PIC/SPI011-3指南的定义,计算机化系统ComputerizedSystem由计算机系统ComputerSystem和被其控制的功能和流程组成;那么,在制药企业计算机化系统究竟包括哪些呢下图举例来说明,大家就一目了然了,清楚多了;第二条：计算机化系统代替人工操作时,应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响,不增加总体风险;原文解读：第二条：很显然,这一条主旨是说计算机化系统可以代替人工操作,提高工作效率,但是需考虑这种替代或变革随之带来的风险,这种风险可能是来自产品质量的、过程控制的,也可能是整个质量保证体系的,需慎重、全面考虑这种变革带来的诸多影响,原则上同过去手工操作相比,不增加总体风险即可;这一条其实给整个附录定了一个基调,就是凡是大到变革、小到变更,只要有变化都要做好风险识别和风险评估工作,这是一切“变”的前提和刚性要求;原文内容：第三条：风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量;作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证和数据完整性控制的程度;原文解读：第三条：这一条承接上一条,对风险管理从二个维度提出了具体要求;一个是时间维度,风险管理要求贯穿整个计算机化系统全生命周期,包括概念提出、项目实施、系统运行直到系统引退;这种风险意识其实也正好契合了企业家们的危机意识,当今以任正非为代表的中国企业家们,每天思考的其实不是如何成功,而是怎么避免失败,企业能活下去其实就是成功；另一个维度是潜在后果,即风险如果发生,可能会导致的后果会是什么,人员伤亡、质量投诉、数据丢失等,正是基于对这些后果的考虑,才有了风险管理的现实出发点,即所有的系统设计、安装、使用以及变更,都需要充分考虑患者安全、产品质量、数据完整性的影响;且根据风险评估做出的影响分析,用来作为确定系统验证方案和系统数据完整性控制的依据;原文内容：第四条：企业应当针对计算机化系统供应商的管理制定操作规程,供应商提供产品或服务时如安装、配置、集成、验证、维护、数据处理等,企业应当与供应商签订正式协议,明确双方责任;企业应当基于风险评估的结果,提供与供应商质量体系和审计信息相关的文件;原文解读：第四条：这一条其实是明确了对IT产品或服务供应商的具体管理要求,包括供应商管理SOP,正式的协议或合同;同时,企业应当基于对风险评估的结果,对供应商进行相应的调查、评估,并有实施审计形成文件化的记录,这一条其实还是在强调对供应商的风险管控,风险管理也从内部延伸到了外部;风险管理的影子无处不在,真的是深入到IT合规管理的骨髓了;第五条：计算机化系统生命周期中所涉及的各种活动,如验证、使用、维护、管理等,需要各相关的职能部门人员之间的紧密合作;应当明确所有使用和管理计算机化系统人员的职责和权限,并接受相应的使用和培训管理;应当确保有适当的专业人员,对计算机化系统的设计、验证、安装和运行等方面进行培训和指导;原文解读：第五条：该条款特别强调在进行计算机化系统验证整个生命周期当中,一定要事先明确所有使用和管理这些系统人员的职责和权限,这一点很重要,如果事先不能很清晰地界定清楚大家的分工和职责,将会造成验证工作的混乱,相互扯皮、甚至会造成某些环节在管理上的真空;关于这一点,通常要在验证主计划中写明白、写清楚;大伙除了清楚各自干什么还不够,你有没有能力把很专业的工作干好、做到位,这一点很关键,对于能力达不到的人员,培训就显得尤为重要;培训涉及到接受培训的人员和执行培训的老师二个角色,条款中用了一个词,叫“适当”,其实就是告诉我们对培训人员和培训老师要有适当的要求,包括课程设计、现场指导等;说完对人员的要求,接下来再和大家说一说验证的整体框架性要求;原文内容：第六条：计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估;风险评估应当充分考虑计算机化系统的使用范围和用途;应当在计算机化系统生命周期中保持其验证状态;原文解读：第六条：这里对计算机化系统的验证范围或对象再次进行了明确,同附录第一条是相呼应的;验证对象包括应用程序就是软件和基础架构包括硬件和网络;验证的具体范围和程度如何确定呢答案是基于科学的风险评估,那么风险评估又如何进行呢答案是要充分考虑该系统的使用范围和用途;这么说有点抽象哈,举例来说,某个系统的使用是否同GxP有关或对产品质量有影响,如果有,就需要进行风险评估,同时还要考虑该系统使用范围大小,范围越大,影响越大,风险越高;此外,该条款特别强调了系统在整个生命周期中验证状态的保持,这一点告诉我们验证工作其实是个常态的工作,而不是一项运动,更不是一项阶段性的工作,需要我们终身坚持不懈地做下去,“不忘初心,方得始终”原文内容：第七条：企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单,标明与药品生产质量管理相关的功能;清单应当及时更新;原文解读：第七条：这里提到了建立“计算机化系统清单”,这一点很重要,但往往容易被企业所忽视,这也是很多药企在GMP现场审核时,检查官开得最常见的一项主要缺陷项;为什么这一条在检查官看来很重要呢原因就在于,作为或IT部门负责人,你对你所管理的整个IT各个系统要有很清晰的一张管理地图,哪些系统需做验证,哪些系统不需做验证；需要做验证的系统,他们的硬件、网络和软件配置如何,能否满足验证和使用的要求,这些配置组件的更改有没有及时更新到清单上来,如果连这一点都做不到,我是检查官的话,我也会判缺陷项的,甚至是严重缺陷项这一点,请CIO们务必重视起来;原文内容：第八条：企业应当指定专人对通用的商业化计算机软件进行审核,确认其满足用户需求;在对定制的计算机化系统进行验证时,企业应当建立相应的操作规程,确保在生命周期内评估系统的质量和性能;原文解读：第八条：这一条说的其实是对需要做验证的系统或软件进行一个分类,即商业化软件无需定制开发和定制开发软件这二大类;显然,这二大类的软件本身的技术复杂程度,我们无法评估,我们要考虑的其实是使用这些系统所带来的风险,前者成熟稳定,经过了长时间市场和时间的检验；后者新颖独创,很多潜在的Bug尚未被发现,需要经过实际的使用和时间的检验才能被证明是否稳定、可靠;所以,前者仅需做审核、确认就够了,而后者则需建立严格的操作规程,严格的测试,验证其系统的稳定性和产品的健壮性,二者验证的所要求的程度是不一样;原文内容：第九条：数据转换格式或迁移时,应当确认数据的数值及含义没有改变;原文解读：第九条：这一条很好理解,举例来说在做系统升级时,升级后的系统迁移过来的数据的数值和含义必须是同升级前系统的数据保持一致;这是最基本的要求,否则系统升级就是不成功的;原文内容：第十条：系统应当安装在适当的位置,以防止外来因素干扰;原文解读：第十条：该条款首先从环境和安全的角度,提出了系统安装的位置,以防止外来因素的干扰;这其实是说系统对机房或其他办公环境的要求,包括室内的温度、湿度、防尘、防潮、防盗等要求,所以,企业应首先建立机房管理规程,保障机房、机房内软硬件及相关附属设备安全、稳定运行;原文内容：第十一条：关键系统应当有详细阐述的文件必要时,要有图纸,并需及时更新;此文件应当详细描述系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征,以及如何与其他系统和程序对接;原文解读：第十一条：该条款对关键系统的技术资料提出了具体要求,比如功能说明书、硬件设计说明、系统概要设计和详细设计,目的是要表述清楚整个系统的工作原理、安全措施、运行方式以及与外部系统的接口等,为后续系统的升级、维护提供技术交底材料;原文内容：第十二条：软件是计算机化系统的重要组成部分;企业应当根据风险评估的结果,对所采用软件进行分级管理如针对软件供应商的审计,评估供应商质量保证系统,保证软件符合企业需求;原文解读：第十二条：该条款是在强调对软件的分级管理,为何要做分级管理呢根本原因还是要做软件的风险管控;如果软件是向供应商购买的或委托供应商定制开发的,基于风险评估结果,必要时企业需对该软件供应商进行审计,评估供应商的质量保证体系,确保软件功能可靠、性能稳定、数据完整,满足企业使用需求;原文内容：第十三条：在计算机化系统使用之前,应当对系统进行全面测试,并确认系统可以获得预期的结果;当计算机化系统替代某一人工系统时,可采用两个系统人工和计算机化平行运行的方式作为测试和验证内容的一部分;原文解读：第十三条：这里强调了系统正式使用前,应该经过充分而全面的测试,并最终测试合格,通过验收;至于需要做哪些类型的测试以及测试做到什么程度,取决于上一条款提到的风险评估结果和软件分级管理;最常见的测试类型,包括模块单元测试、系统集成测试以及用户接受测试等;条款提到的人工和计算机化系统平行运行的方式,其实是系统切换上线后,有一个试运行阶段,该阶段结束后,将试运行期间人工记录数据和系统运行数据进行比对,根据比对后的结果,做最终的验证结论,本质上也是验证系统是否可靠的一种手段;原文内容：第十四条：只有经许可的人员才能进入和使用系统;企业应当采取适当的方式杜绝未经许可的人员进入和使用系统;应当就进入和使用系统制订授权,取消以及授权变更的操作规程;必要时,应当考虑系统能记录未经许可的人员试图访问系统的行为;对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录以及相关物理隔离手段,保证只有经许可的人员方能进行操作;原文解读：第十四条：该条款对系统的权限管理,提出了二个方面的管控：一个是进入系统,另一个是使用系统;前者只是浏览系统,获取信息,比如相关人员和领导；后者则要实实在在要在系统中进行业务操作;这是需要考虑的权限控制范围,具体该如何进行权限控制的操作呢条款明确指出要制定系统权限管理SOP,内容包括授权、取消授权以及权限变更流程;同时,在系统设计时,需具备记录未经许可的人员试图访问系统行为的功能;但如果系统之前的设计和功能存在缺陷,不能对人员的权限进行控制的话,则必须制定书面程序,线下做好相关的记录和手续,做到人员在物理上进入和使用系统的控制;原文内容：第十五条：当人工输入关键数据时,应当复核输入记录以确保其准确性;这个复核可以由另外的操作人员完成,或采用经验证的电子方式;必要时,系统应当设置复核功能,确保数据输入的准确性和数据处理过程的正确性;原文解读：第十五条：该条款强调关键数据的输入,需要有人复核,本质上还是防止差错;具体的做法有二种：一种方式是让另外的操作的人员完成复核,这种方式绝大多数药企都是这样做的；另一种方式,就是采用经验证的电子方式即系统自带的功能,比如经过验证的称重配料系统,通过系统报警提示“超重”或“欠重”,又比如系统中录入检验数据时,系统会自动校验长度和小数位数,以保证数据输入的准确性和处理的正确性;个人认为,的做法是将人工复核和系统校验二者结合起来,宁可在数据入口多做检查,也比后面发现错误去处理,无论从时间上还是成本上来说,都更为划算;原文内容：第十六条：计算机化系统应当记录输入或确认关键数据人员的身份;只有经授权人员,方可修改已输入的数据;每次修改已输入的关键数据均应当经过批准,并应当记录更改数据的理由;应当根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统,用于记录数据的输入和修改以及系统的使用和变更;一句话总结“系统权限的合规管理需从用户进入系统-录入数据-更改数据-审计追踪进行完整管控才行,任何环节的管理缺失,都将带来质量风险;原文解读：第十六条：上一条说到数据的输入,这里提到了数据的更改,其实都是在强调对人员权限的控制,而修改则更为严格,特别是关键数据的修改需经过批准,并记录更改数据的理由这一点,很多企业在操作过程中执行得不是很好,甚至无缘无故就把数据给改了,这样做既不合规,又埋下了风险隐患;此外,应当根据风险评估结果,建立系统数据审计跟踪系统,对原始数据的输入和修改能够通过系统日志进行查询,这一点很重要,事实上很多的业务系统设计不是很完善,修改后的数据直接覆盖了原始录入的数据,这其实是违规的原文内容：第十七条：计算机化系统的变更应当根据预定的操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定;计算机化系统的变更,应经过该部分计算机化系统相关责任人员的同意,变更情况应有记录;原文解读：第十七条：该条款对系统变更作出了明确要求,需建立变更操作规程;并依据该操作规程进行变更评估、验证、审核、批准和实施,并最终形成变更记录;原文内容：第十八条：对于电子数据和纸质打印文稿同时存在的情况,应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据;原文解读：第十八条：对于此条款,在我看来纸质记录和电子数据其实没有主次之分,只有先后之分;原因在于如果电子数据比如图谱直接由系统生成,那么可以在提供电子数据的同时,将该电子数据打印出来进行存档、备查;而如果之前是现场的纸质记录的话,那么也可以将该纸质记录数据扫描后,上传到文档进行集中存储;这里需要强调的就一点,不管先有电子数据还是先有纸质记录,二者的版本号和数据必须保持一致,这也是数据完整性的要求;原文内容：第十九条：以电子数据为主数据时,应当满足以下要求：一为满足质量审计的目的,存储的电子数据应当能够打印成清晰易懂的文件;二必须采用物理或电子方法保证数据的安全,以防止故意或意外的损害;日常运行维护和系统发生变更如计算机设备或其程序时,应当检查所存储数据的可访问性及数据完整性;三应当建立数据备份与恢复的操作规程,定期对数据备份,以保存存储的数据供将来调用;备份数据应当存储在另一个单独的、安全的地点,保存时间应当至少满足本规范中关于文件、记录保存时限的要求;原文解读：第十九条：这里对电子数据提出三个方面的合规要求,一是能够将电子数据打印出清晰易懂的纸质文档；二是需采取物理或者电子的方式,保证其数据的安全；同时,还应在日常运维和系统变更时,检查存储数据的可访问性和数据完整性；三是需建立数据备份和恢复SOP,包括本地备份和远程备份,以确保数据安全和调用;原文内容：第二十条：企业应当建立应急方案,以便系统出现损坏时启用;应急方案启用的及时性应当与需要使用该方案的紧急程度相关;例如,影响召回产品的相关信息应当能够及时获得;原文解读：第二十条：“凡事预则立,不预则废”,该条款明确提出对系统可能出现各种的损坏提前考虑,包括当遇到自然灾害、意外事故、崩溃、数据库错误等原因造成SAP系统无法正常运行,导致公司业务无法正常运转且用常规修复方法无法修复时,将启用灾难应急预案;应急方案启用的及时性应当与需要使用该方案的紧急程度相关,包括立即启用、24小时启用等;原文内容：第二十一条：应当建立系统出现故障或损坏时进行处理的操作规程,必要时对该操作规程的相关内容进行验证;包括系统故障和数据错误在内的所有事故都应当被记录和评估;重大的事故应当进行彻底调查,识别其根本原因,并采取相应的纠正措施和预防措施;原文解读：第二十一条：企业除了需建立突发情况下的系统应急方案外,条款还提出要建立日常情况下的故障或损坏处理的操作规程,以保证业务的连续性;系统故障和数据错误应当作为事件被记录和评估,根据需要完成相应的CAPA流程,直至问题处理闭环;原文内容：第二十二条：当采用计算机化系统放行产品时,计算机化系统应当能明示和记录放行产品人员的身份;原文解读：第二十二条：在系统中做放行产品时,系统应当能明示和记录放行产品人员的身份,比如质量受权人,此过程可以通过电子签名来实现;原文内容：第二十三条：电子数据可以采用电子签名的方式,电子签名应当遵循相应法律法规要求;原文解读：第二十三条：电子数据即系统生成的所有电子文档,可以采用电子签名的方式,包括用户系统二次密码验证、第三方媒介如U盾签名或确认等;不管哪种方式都必须遵循中华人民共和国电子签名法的规定要求;注：第二十四条术语解读略。

GMP附录计算机化系统整体及条款解读GMP附录是指《药品生产质量管理规范》（Good Manufacturing Practice）中的附录部分，用于对一些特定的业务进行进一步的补充和解释。

计算机化系统是指在药品生产质量管理过程中所使用的计算机系统。

整体解读：GMP附录计算机化系统主要是为了规范药品生产过程中使用的计算机系统，确保它们能够满足药品质量管理的要求。

计算机化系统应该能够有效地管理和控制药品生产过程中的各个环节，包括原材料采购、生产过程控制、质量检测和数据分析等环节。

通过使用计算机化系统，可以提高药品生产的效率和准确性，减少人为错误的可能性，确保药品的质量和安全性。

条款解读：2.生产过程控制：计算机化系统应能够实时监测和控制药品生产过程中的各个环节，包括药品配方、生产设备的运行状态、生产参数的设置等。

系统应具备报警功能，及时发现和处理生产过程中的异常情况。

3.质量检测：计算机化系统应能够对药品进行质量检测，并记录检测结果。

系统可以自动计算检测数据，并与标准要求进行比对，以判断药品的合格与否。

同时，系统还应能够生成质量检测报告和相关的记录文件。

4.数据分析：计算机化系统应能够对生产过程和质量检测的数据进行分析，以发现潜在的问题和改进的机会。

系统可以生成数据统计图表和报表，帮助管理人员进行决策和监督。

5.系统验证和维护：计算机化系统应经过验证，确保其能够满足GMP 的要求和药品生产的需要。

系统应定期进行维护和更新，以确保其稳定性和安全性。

相关的技术文档和培训资料也应得到妥善管理和保存。

6.安全和保密性：计算机化系统应具备一定的安全措施，以防止未经授权的人员访问和操作。

系统中的数据应得到妥善的保密和备份，以防止数据丢失或泄露。

总之，GMP附录计算机化系统的整体要求是确保计算机系统能够有效地管理和控制药品生产过程，并且满足GMP的质量管理要求。

各个条款则具体规定了计算机化系统在不同环节中的功能和要求，以确保药品质量和安全的最终实现。

EUGMP附录11：计算机化系统-中文原则本附录适用于作为《药品生产质量管理规范》活动的一部分所有形式的计算机系统。

计算机化系统是一套软件与硬件组合，以便实现某些特定的功能。

该应用程序应进行验证;信息技术基础设施应该是检定的。

计算机系统代替手工操作，应该降低对产品质量，工艺过程控制和质量保证的影响。

不应该有增加在此过程的整体风险。

总则1、风险管理风险管理应用在计算机系统的整个生命周期内，应该考虑患者安全、数据可靠性和产品质量。

作为一个风险管理系统的一部分,应基于合理的和记录风险评估的计算机系统，决定验证的程度和数据可靠性控制。

2、人员应该有所有相关人员，如流程所有人，系统所有人，质量受权人和IT之间的密切合作。

所有人员应具备相应的资格，访问级别和明确责任，以履行其指定的职责。

3、供应商与服务商3.1 当第三方（如供应商，服务供应商）使用，例如提供，安装，配置，集成，验证，维护（例如，通过远程访问），修改或保留一个计算机系统或相关服务或进行数据处理，必须在制造商和任何第三方之间存在正式的协议，而且这些协议应包括对第三方的责任明确的声明。

信息技术部门应做类似考虑。

3.2 当选择产品或服务提供商的时候，供应商的能力和可靠性是关键因素。

应以风险评估为基础，确定是否需要审计。

3.3 监管的用户应审查所提供现货产品提供的文件，以确认用户的需求得到满足。

3.4 应根据检查员的要求提供质量体系和审核相关的软件和实施系统的供应商或开发人员的相关信息。

项目阶段4、验证4.1 验证文件和报告应涵盖整个生命周期的相关步骤。

生产企业应该能够根据风险评估，以证明他们的标准，协议，可接受标准，程序和记录的适用性。

4.2 验证文件应包括变更控制记录（如有）和验证过程中对任何观察到的偏差报告。

4.3 最新的清单的所有相关系统和GMP功能(目录)应该可用。

对于关键系统的一个最新的系统描述，以详述的物理和逻辑的安排、数据流和接口与其他系统或过程，任何硬件和软件的前提条件，和安全措施。

附录：10计算机化系统第一章范围第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。

计算机化系统由一系列硬件和软件组成，以满足特定的功能。

第二章原则第二条计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

第三条风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

第四条企业应当针对计算机化系统供应商的管理制定操作规程。

供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

第三章人员第五条计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。

应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。

应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。

第四章验证第六条计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。

风险评估应当充分考虑计算机化系统的使用范围和用途。

应当在计算机化系统生命周期中保持其验证状态。

第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。

清单应当及时更新。

第八条企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。

在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。

第九条数据转换格式或迁移时，应当确认数据的数值及含义没有改变。

—3 —第五章系统第十条系统应当安装在适当的位置，以防止外来因素干扰。

第十一条关键系统应当有详细阐述的文件（必要时，要有图纸），并须及时更新。

第一条：本附录适用于在药品生产质量管理过程中应用的计算机化系统，计算机化系统由一系列硬件和软件组成，以满足特定的功能。

解读：1、本规范仅适用于与GMP质量管理相关的计算机化系统；2、计算机化系统的定义，包括硬件和软件，并满足特定功能；和“计算机系统”的区别在于“满足特定功能”上；第二条：计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

解读：1、允许用计算机化系统代替人工操作，因为一切事物的发展都是以新技术的应用作为表现形式，不断的提高社会生产率，降低成本；2、提出一个基本的底线就是新技术的应用，和过去的操作方式相比不能增加整体的风险，所以也就说我们使用新技术和新方法的时，要小心谨慎，并且要有一套科学的程序证明风险可控；3、明确风险的范围，可能是来自最终产品的质量，或者产品生产过程，抑或产品的质量保证体系等；第三条：风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

解读：1、计算机化系统的管理引入风险管理的理念与GMP质量风险管理一脉相承；2、风险管理要求贯穿整个计算机化系统全生命周期，按照时间顺序包括方案规划、项目实施、系统运行、系统升级、系统退役；3、风险管理的目标靶点即风险如果发生可能会导致的后果是什么？应充分考虑的风险包括使用产品的患者安全风险，药品生产质量数据的丢失的风险，产品设计、生产以及最终产品质量风险等；4、计算机化系统风险管理是质量风险管理一部分，应根据风险评估设计系统验证方案和作为系统数据可靠性的依据；第四条：企业应当针对计算机化系统供应商的管理制定操作规程，供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

企业应当基于风险评估的结果，提供与供应商质量体系和审计信息相关的文件。

实用标准文案附件1计算机化系统第一章范围第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。

计算机化系统由一系列硬件和软件组成，以满足特定的功能。

第二章原则第二条计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。

第三条风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。

第四条企业应当针对计算机化系统供应商的管理制定操作规程。

供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。

企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

第三章人员第五条计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。

应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。

应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。

第四章验证第六条计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。

风险评估应当充分考虑计算机化系统的使用范围和用途。

应当在计算机化系统生命周期中保持其验证状态。

第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。

清单应当及时更新。

第八条企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。

—4—实用标准文案在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。

第九条数据转换格式或迁移时，应当确认数据的数值及含义没有改变。

第五章系统第十条系统应当安装在适当的位置，以防止外来因素干扰。

计算机化系统的清单——计算机化验证条款系列解读（7）2015年GMP附录《计算机化系统》第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。

清单应当及时更新。

“药品生产质量管理”过程中的计算机化系统的清单，也就是说这个清单应该是在GXP评估之后才形成的，并且在这之前应该有一份更加详细的计算机化系统清单，无论是GXP相关的还是无关的都应该纳入其中。

然后通过上一条款讲到的办法进行GXP评估，最后将评估为GXP 系统的关键计算机化系统列到下面清单中，而清单的主要目的是便于下一步的风险评估以及日常的计算机化系统的管理与维护。

至于清单中的内容，可以有很多形式进行描述，但主要的信息，如软件名称、供应商、版本、安装位置及安装时间等应包含在清单内，以保证在今后系统升级或变更后可以追溯，并在系统的评估和验证过程中可以做到对应。

其实对于计算机化系统验证清单的描述，我个人认为可以和我们的GMP文件清单类似，同样是“软件”系统，我们可以把已经比较成熟的GMP文件管理系统应用于计算机化系统的清单建立和管理中去。

如表格1，这是GMP文件系统清单与计算机化系统清单关键信息对比表。

表1备注：也可以将GMP文件原件存放处，或者是软件的原版备份光盘（U盘）的存放信息增加进去，以及GMP文件受控印章管理模式和计算机化系统密码和身份识别等管理模式进行比较等等，总之，可以根据需要进行相应的删减，以确保信息的准确性、及时性和可追溯性。

因此，根据上面的模式我们也会比较容易列出计算机化系统清单的关键重要内容，虽然内容略有差异，但我认为完全可以作为初期创立计算机化系统清单的一个思路，可以更加快捷地将我们比较陌生的计算机化系统进行初步的统计和管理，那么按照上述做法，我们很快就能形成一张完善的计算机化系统清单表格，如表格2。

表2：计算机化系统清单示例备注：1、HMI的系统程序（框架程序）一般为Microsoft® Windows Version 6.00软件，是该类触摸屏硬件预装的操作系统，属于典型的1类软件并且偏向“固件”是与硬件分割不开的，所以在统计中并未把它统计进去。