夜雨聆风计算机软件系统确认与验证控制程序
1. 目的
为规范本企业计算机软件系统的确认与验证(以下简称CSV)活动,确保计算机化系统符合规范要求,保障系统运行稳定、数据真实完整可追溯,有效控制产品质量风险,特制定本程序。
2. 范围
本程序适用于本企业所有与医疗器械生产质量管理相关的计算机软件系统,包括但不限于:
(1)生产制造类系统:MES(制造执行系统)、SCADA(数据采集与监控系统)、PLC控制系统、自动化生产设备配套软件等;
(2)质量管理类系统:QMS(质量管理系统)、LIMS(实验室信息管理系统)、电子批记录系统、偏差/变更/CAPA管理系统等;
(3)供应链管理类系统:ERP(企业资源计划系统)、WMS(仓储管理系统)、UDI(唯一标识)管理系统、供应商管理系统等;
(4)基础设施类系统:服务器操作系统、数据库系统、网络安全系统、数据备份与恢复系统等;
(5)其他影响产品质量、数据完整性的计算机软件系统。
3. 参考依据
《医疗器械生产质量管理规范》
《医疗器械生产质量管理规范附录独立软件》
4. 职责分工
4.1 质量部
(1)负责本程序的制定、修订与监督执行;
(2)负责验证方案、验证报告的审核与批准;
(3)负责监督验证活动的实施,参与偏差调查与变更审批;
(4)负责验证文件的归档管理与验证状态台账的维护;
(5)负责计算机化系统的定期合规性审核与审计。
4.2 系统使用部门
(1)负责提出用户需求说明书(URS),参与验证方案的制定;
(2)负责组织实施安装确认(IQ)、运行确认(OQ)、性能确认(PQ);
(3)负责系统日常操作、维护与变更申请;
(4)参与验证偏差调查与系统培训工作。
4.3 IT部
(1)负责计算机化系统的技术支持、基础设施建设与安全管理;
(2)参与URS、验证方案的制定,提供技术支持;
(3)负责系统权限管理、数据备份与恢复、灾难恢复演练;
(4)参与供应商评估与系统变更技术审核。
4.4 采购部
(1)负责计算机化系统供应商的初步筛选与商务谈判;
(2)参与供应商评估,签订质量协议与服务级别协议(SLA)。
4.5 管理者代表
负责验证主计划、重大验证方案与报告的最终批准,保障验证活动所需资源。
5. 验证原则
(1)生命周期原则:验证活动贯穿计算机化系统的全生命周期,包括需求定义、设计、开发、实施、运行、维护直至退役的各个阶段。
(2)基于风险原则:验证活动的范围与程度应基于科学的风险评估结果,重点关注对患者安全、产品质量、数据完整性有直接影响的系统与功能。
(3)文件化原则:所有验证活动均应有明确的方案与记录,验证结果应形成正式报告并归档。
(4)持续验证原则:系统验证不是一次性活动,应通过定期审核、变更控制、偏差管理等方式保持系统持续处于验证状态。
6. 系统分类与验证策略
按照GAMP5分类标准,结合系统对产品质量的影响程度,将计算机软件系统分为以下五类,并采用对应的验证策略:
系统分类 | 定义与示例 | 验证策略 |
1类:基础软件 | 商用标准化基础软件,如操作系统、数据库管理系统、办公软件、防病毒软件等 | 确认软件名称、版本号,验证正确安装,配置管理与变更控制 |
2类:不可配置软件 | 商用非定制标准化软件,如仪器设备配套软件、简单统计分析软件等 | 制定URS,确认版本号,验证正确安装,基于风险进行功能测试,建立操作与维护规程 |
3类:可配置软件 | 可进行业务流程配置的商用软件,如ERP、WMS、LIMS、QMS等 | 完整生命周期验证,包括URS、DQ、IQ、OQ、PQ,供应商评估,基于风险的测试,建立完整的运维规程 |
4类:定制开发软件 | 根据企业特定需求定制开发的软件,如定制MES系统、个性化数据采集系统等 | 全生命周期严格验证,包括详细的需求分析、设计审核、FAT/SAT、完整的IQ/OQ/PQ,源代码评审,供应商全面审计,完善的变更控制 |
5类:AI/机器学习软件 | 采用人工智能、机器学习算法的系统,如质量预测模型、智能缺陷检测系统等 | 全生命周期验证,包括算法有效性验证、数据集管理、模型可解释性评估、持续监控与再训练管理,严格的变更控制 |
7. 验证实施流程
7.1 验证启动
(1)系统立项或升级时,由使用部门提出验证需求,质量部审核后成立跨部门验证小组,明确各成员职责。
(2)验证小组负责制定验证计划,明确验证范围、方法、进度安排与资源需求,报管理者代表批准后实施。
7.2 用户需求说明(URS)编制
(1)由使用部门牵头,IT部、质量部参与编制URS,明确系统的功能需求、性能需求、安全需求、合规需求、接口需求等。
(2)URS内容应包括但不限于:系统功能描述、性能指标、数据完整性要求、权限管理要求、审计追踪要求、备份与恢复要求、可扩展性要求等。
(3)URS经质量部审核、管理者代表批准后生效,作为后续验证活动的依据。
7.3 风险评估
(1)验证小组应在验证实施前开展初步风险评估,识别系统可能存在的质量风险、数据完整性风险、安全风险等。
(2)采用FMEA(失效模式与影响分析)等方法对风险进行分析与评估,确定风险等级,制定相应的风险控制措施。
(3)风险评估结果应作为确定验证范围、验证项目与接受标准的依据。
7.4 设计确认(DQ)
(1)对于3类及以上系统,应开展设计确认,审核系统设计方案是否符合URS与法规要求。
(2)DQ内容包括:系统架构设计审核、功能设计审核、数据流程设计审核、安全设计审核、接口设计审核等。
(3)DQ结果应形成记录,所有设计不符合项整改完成后方可进入下一阶段。
7.5 工厂验收测试(FAT)
(1)对于定制开发或复杂系统,应在供应商工厂开展FAT,验证系统是否符合设计要求。
(2)FAT内容包括:功能测试、性能测试、接口测试、安全性测试等。
(3)FAT测试通过后形成验收报告,方可发货到企业现场。
7.6 安装确认(IQ)
(1)系统安装完成后,验证小组开展IQ,确认系统安装符合设计要求与运行环境要求。
(2)IQ内容包括:硬件配置核查、软件版本核查、安装环境核查、网络配置核查、文档完整性核查等。
(3)IQ所有项目符合接受标准后,方可进入运行确认阶段。
7.7 运行确认(OQ)
(1)IQ通过后,开展OQ,验证系统所有功能在预期运行范围内均可正常运行。
(2)OQ内容包括:功能模块测试、权限管理测试、审计追踪测试、数据录入/修改/删除测试、报表输出测试、异常场景测试、接口测试等。
(3)OQ测试过程中发现的偏差应调查并整改完成,方可进入性能确认阶段。
7.8 性能确认(PQ)
(1)OQ通过后,开展PQ,验证系统在实际生产/业务场景下能够持续稳定地满足需求。
(2)PQ内容包括:连续运行测试、负载压力测试、业务流程端到端测试、数据准确性验证、与现有系统兼容性验证等。
(3)PQ测试周期应根据系统复杂度确定,一般不少于3个完整的业务周期。
7.9 验证报告编制与批准
(1)所有验证活动完成后,验证小组编制验证报告,总结验证结果,评估是否所有接受标准均已满足。
(2)验证报告应包括:验证概述、验证实施情况、偏差处理情况、验证结果分析、验证结论、建议与后续要求等。
(3)验证报告经质量部审核、管理者代表批准后,系统方可正式投入使用。
8. 验证状态维持
8.1 验证状态台账管理
(1)质量管理部应建立计算机化系统验证状态台账,记录所有系统的验证状态、验证日期、有效期、再验证触发条件等信息。
(2)台账应及时更新,确保所有系统的验证状态清晰可查。
8.2 定期审核
(1)所有已验证的系统应定期开展合规性审核,审核频率根据系统风险等级确定:高风险系统每年至少1次,中风险系统每2年至少1次,低风险系统每3年至少1次。
(2)审核内容包括:系统运行情况、偏差记录、变更记录、数据完整性情况、备份与恢复情况、人员培训情况等。
(3)审核发现的问题应记录并限期整改。
8.3 再验证
(1)当发生以下情况时,应开展再验证:
① 系统发生重大变更,可能影响系统功能或数据完整性时;
② 发生严重系统偏差或数据完整性事件时;
③ 定期审核发现系统存在严重不符合项时;
④ 法规要求发生重大变化时;
⑤ 系统使用满规定的再验证周期时。
(2)再验证的范围与程度应基于风险评估结果确定,可采用全验证或部分验证的方式。
8.4 变更控制
(1)计算机化系统的所有变更均应严格执行变更控制程序,未经批准不得擅自变更。
(2)变更实施前应开展风险评估,确定是否需要进行补充验证。
(3)变更实施后应进行效果确认,确保变更未对系统功能与数据完整性产生不良影响。
9. 数据完整性与安全管理
9.1 权限管理
(1)系统应建立基于角色的权限管理体系,遵循"最小权限"原则,每个用户的权限应与其岗位职责相匹配。
(2)禁止共享账号,特殊情况下只读权限的共享账号应经批准并严格管控。
(3)密码策略应符合法规要求,包括密码复杂度要求、定期更换要求、登录失败锁定要求等。
9.2 审计追踪
(1)所有影响产品质量与数据完整性的操作均应生成审计追踪记录,包括但不限于:数据创建、修改、删除、参数调整、权限变更、登录/登出等。
(2)审计追踪记录应包括:操作人、操作时间、操作内容、操作前值、操作后值、操作原因等信息。
(3)审计追踪记录应不可删除、不可篡改,保存期限与产品生命周期相适应,至少保存至产品有效期后2年。
9.3 数据备份与恢复
(1)应建立数据备份策略,根据数据重要性确定备份频率与保留期限。关键业务数据应至少每天备份,异地存储。
(2)定期开展数据恢复测试,每年至少1次,确保备份数据可完整恢复。
(3)备份介质应安全存储,定期检查介质完整性。
9.4 电子签名
(1)电子签名的使用应符合《中华人民共和国电子签名法》要求,与手写签名具有同等法律效力。
(2)电子签名应包含:签名人身份信息、签名时间、签名含义(如起草、审核、批准)等信息。
(3)电子签名应不可复制、不可篡改,签名操作应由签名人独立完成,不得代签。
10. 供应商管理
(1)计算机化系统供应商应经过严格的评估与审计,评估内容包括:供应商资质、行业经验、质量体系、技术能力、售后服务能力等。
(2)应与供应商签订正式的采购协议与质量协议,明确双方责任、服务内容、响应时间、数据安全责任、保密义务等。
(3)对关键系统供应商应定期开展复评,每年至少1次,评估供应商服务质量与持续合规能力。
11. 人员培训
(1)所有使用与管理计算机化系统的人员均应经过相关培训,考核合格后方可上岗。
(2)培训内容包括:系统操作培训、本程序培训、数据完整性要求培训、应急处理流程培训等。
(3)系统发生重大变更或升级后,应及时组织相关人员进行再培训。
12. 应急管理
(1)应制定计算机化系统应急处理预案,明确系统故障、数据损坏、网络攻击等紧急情况的处理流程与责任分工。
(2)定期开展应急演练,每年至少1次,检验预案的有效性与人员的应急处置能力。
(3)应急事件处理完成后,应开展根本原因分析,制定纠正预防措施,避免类似事件再次发生。
13. 系统退役
(1)系统不再使用时,应执行退役流程,制定退役方案,明确数据迁移、存档要求。
(2)退役前应完成所有历史数据的备份与归档,确保数据可检索、可追溯,满足法规保存期限要求。
(3)系统退役后应及时更新验证状态台账,停止相关的维护与验证活动。
14. 记录管理
(1)所有与计算机软件系统确认与验证相关的记录均应按照《记录控制程序》要求进行管理,确保记录真实、完整、可追溯。
(2)验证文件的保存期限应至少保存至系统退役后5年,或符合相关法规要求的更长期限。
15. 相关文件
15.1 《记录控制程序》
15.2 《变更控制程序》
15.3 《偏差控制程序》
