计算机系统介绍

具(jù)有(yǒu)特定功能(néng)的计算机系统是

由1台或数台计算机、外围输出输入设备以及软件构成；

全部或部分(fēn)程序及运行程序所需的全部或部分(fēn)数据使用(yòng)共同的存储器；

运行用(yòng)户编写的程序或用(yòng)户指定的程序；

根据用(yòng)户的指定模式进行数据处理(lǐ)，如数值运算或逻辑运算；运行过程中(zhōng)可(kě)以自我修正程序；

计算机系统可(kě)以是独立的单机，也可(kě)以是由几台单机联机组成；

计算机系统的理(lǐ)解

计算机系统验证是建立文(wén)件来证明计算机系统的开发符合质(zhì)量工(gōng)程的原则，能(néng)够提供满足用(yòng)户需求的功能(néng)并且能(néng)够稳定長(cháng)期工(gōng)作(zuò)的过程。

工(gōng)艺验证中(zhōng)的“工(gōng)艺”相当于计算机的“输入”过程和“内部处理(lǐ)’’过程(软件)，工(gōng)艺中(zhōng)用(yòng)到的设备相当于计算机主机、外围设备(硬件)以及与其相关的生产(chǎn)设备或质(zhì)量控制设备，工(gōng)艺的“产(chǎn)品”相当于计算机的“输出”或对另一台设备的控制等 。

计算机系统验证与工(gōng)艺验证不同之处是：术语上的不同(如数据处理(lǐ)概念)和由于软件的特性，使一般用(yòng)户对软件和软件的开发相对不熟悉。

验证生命周期(SVLC)

计算机系统的验证不只局限于系统的使用(yòng)过程，新(xīn)系统的验证应始于系统初期的定义和设计阶段，终止于系统无使用(yòng)价值阶段。验证生命周期应伴随着系统发展的整个生命周期(SDLC)。

系统发展的生命周期可(kě)划分(fēn)為(wèi)以下8 个阶段

可(kě)行性研究

工(gōng)程计划

需求定义

系统设计

系统测试

系统验收及确认

使用(yòng)和维护

系统引退

计算机系统验证的法规要求

中(zhōng)國(guó)GMP计算机系统验证

2015年 5 月 26 日，正式发布了 2010 版 GMP 法规的新(xīn)附录之一《计算机化系统》，引起了國(guó)内制药行业的广泛讨论和高度关注。其实许多(duō)制药企业对它的内容并不陌生，因為(wèi)这则法规于 2013 年作(zuò)為(wèi)征求意见稿已经添加到新(xīn)版GMP法规附录中(zhōng)。而现在，它将作(zuò)為(wèi)正式的法规于 2015 年 12 月 1 日起执行。这则法规附录将给國(guó)内制药企业带来什么新(xīn)的挑战？从近两年来  的一系列举措（频繁的飞行检查，2014 年至今已取消近 100 家药企的 GMP 证书）来看，國(guó)内 GMP 的监管力度是显著增强的。所以届时如果企业不能(néng)满足《计算机化系统》法规的要求，将可(kě)能(néng)面临十分(fēn)严重的后果。
為(wèi)何要发布这则法规？
國(guó)内外 GMP 法规有(yǒu)许多(duō)差异，而对计算机化系统的要求差异尤為(wèi)明显。CFDA 所执行的 2010 版 GMP 法规内容与國(guó)际上其他(tā)法规机构的 cGMP 法规是对等的，如 FDA 21 CFR Part 211。但美國(guó)的制药企业除了执行 21 CFR Part 211 以外，同时还要遵守 21 CFR Part 11 法规；欧盟國(guó)家的制药企业除了执行欧盟 GMP 以外，还要遵循 Annex 11 法规。FDA 的 21 CFR Part 11 与欧盟的Annex 11 的内容是类似的，都是针对于制药企业使用(yòng)计算机化系统的法规要求。新(xīn)颁布的《计算机化系统》法规附录是國(guó)内法规与國(guó)际接轨的重要一步，将填补國(guó)内对于计算 机化系统要求的法规空白，是实现与國(guó)际法规监管机构之间相互认可(kě)的前提条件之一。
 法规到底讲了些什么？
《计算机化系统》法规附录究竟讲了哪些内容？其实，我们发现内容并不多(duō)，全文(wén)共24条要求、6页(yè)，共计2500字。我们尝试对这些法规条文(wén)作(zuò)了初步的解读，把所理(lǐ)解的核心内容概括如下：
1.明确提出进行计算机化系统验证的要求
以往，法规对于仪器的确认是一直有(yǒu)要求的，但对计算机软件验证的要求不明确。因而，大部分(fēn)的制药企业不对计算机系统进行验证，或仅进行最简单的确认。真正按 照 GAMP5 指南基于风险评估进行完整验证的企业不多(duō)，仅某些企业有(yǒu)國(guó)外业務(wù)、需要通过FDA 或欧盟审计时才会考虑。而这则法规发布以后，明确对所有(yǒu)的國(guó)内制药企业提出进行计算机化系统验证的要求，為(wèi)计算机化系统验证提供了法规依据。这里尤其值得 注意的是，法规附录里要求进行基于风险评估的计算机化系统验证，实际上就是指遵循GAMP5 的验证方法學(xué)，即计算机化系统验证的形式应该是验证（Validation），通常所说的确认（Qualification，IQ/OQ/PQ）是不足够的。
2.数据合规性要求
法规明确了对数据输入的准确性和数据处理(lǐ)过程的正确性要求，以保证数据的合规性。概括来说，对计算机系统合规性的功能(néng)要求可(kě)以总结為(wèi)：访问控制、权限分(fēn)配、审计追踪和電(diàn)子签名(míng)。
访问控制：只有(yǒu)经许可(kě)的人员才能(néng)进入和使用(yòng)系统。
权限分(fēn)配：应当对进入和使用(yòng)系统制订授权、取消和授权变更的操作(zuò)规程。
审计追踪：用(yòng)于记录数据的输入和修改以及系统的使用(yòng)和变更。
電(diàn)子签名(míng)：明确了直接对電(diàn)子数据进行電(diàn)子签名(míng)是合规的，但電(diàn)子签名(míng)需要符合相应法规。
其 中(zhōng)，電(diàn)子签名(míng)是“可(kě)以有(yǒu)”，而不是“必须”，这取决于企业对于主数据的定义是電(diàn)子数据还是纸质(zhì)数据。这与 21 CFR Part 11 和Annex 11 是一致的。对于审计追踪记录的要求，是“根据风险评估的结果，考虑在计算机化系统中(zhōng)建立数据审计跟踪系统”，这可(kě)能(néng)是考虑到很(hěn)多(duō)软件自身功能(néng)设计上无法实 现的情况。然而，对于色谱数据系统这样的关键原始数据系统来说，审计追踪肯定是必然的要求。

3.電(diàn)子数据安(ān)全性要求
電(diàn)子数据安(ān)全 性一般分(fēn)為(wèi)逻辑安(ān)全性和物(wù)理(lǐ)安(ān)全性。逻辑安(ān)全性即是通过软件自身的权限控制对数据的访问、录入、修改和删除等操作(zuò)，确保不被人為(wèi)误操作(zuò)或有(yǒu)意的篡改行為(wèi)而 影响数据安(ān)全。而物(wù)理(lǐ)安(ān)全性，即是对数据存储的介质(zhì)（如硬盘、光盘、服務(wù)器等）进行保护，确保系统本身不会因為(wèi)物(wù)理(lǐ)介质(zhì)的损坏或故障造成数据丢失。
4.数据备份要求
关于電(diàn)子数据的备份要求不算是新(xīn)的法规要求，GMP 法规也一直要求数据备份以保证原始数据的安(ān)全性。國(guó)内制药企业通常也都制定了数据备份策略，但我们发现通常只是一个月甚至半年才做一次数据备份，真正发生 故障时原始数据还是会严重丢失。这样的数据备份归档，其形式意义大过于实际意义；而即使是这样的一个备份频率，企业都已经觉得数据备份的工(gōng)作(zuò)任務(wù)很(hěn)重。其 根本原因是缺乏良好的解决方案。《计算机化系统》单独列出这条要求，将提高制药企业对数据备份的重视，进而采纳更先进的解决方案。