释义

1. For the validation of computerised systems there should be a system in place that assures the formal assessment and reporting of quality and performance measures for all the life-cycle stages of software and system development, its implementation, qualification and acceptance, operation, modification, requalification, maintenance and retirement23. This should enable both the regulated user, and competent authority, to have a high level of confidence in the integrity of both the processes executed within the controlling computer system(s) and in those processes controlled by and/or linked to the computer system(s), within the prescribed operating environment(s)

验证的计算机系统应该有一个系统,保证了正式的评估和报告质量和性能的措施,所有的软件和系统发的生命周期阶段,它的实现,资格和验收、操作,修改,requalification、维护和retirement23。这应该让用户、管和主管机关,有高水平的信心的进程内执行的完整性控制计算机系统(s)和在这些过程控制和/或与计算机系统(s),在约定的操作环境(s)

释义出处：GOOD PRACTICES FOR COMPUTERISED SYSTEMS IN REGULATED “GXP” ENVIRONMENTS

2. 计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。应当在计算机化系统生命周期中保持其验证状态。

释义出处：国家食品药品监督管理总局关于发布《药品生产质量管理规范（2010年修订）》计算机化系统和确认与验证两个附录的公告（2015年第54号）

基本信息

英文名称	Validation of Computerised Systems

计算机系统化验证的4个核心

流程：任何计算机化系统都是基于业务流程而设计|配置的，有什么样的流程方面的需求，系统就会设计|配置成什么样子，所以，稍微复杂一些的系统，如果需要起草用户需求，往往是需要来源于业务流程的分析：包括当前Existing Business Process以及所谓的将来的“To-Be” Business Process。

数据：数据，如果为法规所明确要求，又是以电子形式存在，那就是所谓的电子记录。数据存在的形式是多样的，包括电子形式，纸质和混合的形式。判断数据以哪种形式支持法规活动，也需要结合业务流程去考虑，比如，这台 TOC 分析仪，是以打印出的纸质报告为主数据，还是数据会以电子的形式存储于服务器或者 LIMS 系统，就是不同的业务流程引起的不同的关于主数据形式的判定。数据完整性不仅仅局限于电子形式的数据或法规要求的电子记录，也包括纸质的记录和表单设计

风险：除了系统的风险之外，针对记录也会有类似的风险管理流程，包括识别出哪些场景需要电子签名，系统会产生哪些电子记录，这些电子记录对于 SISPQ 的影响程度，采取哪些控制措施比较合适，相应的控制和管理措施是否有效等等。

生命周期：再来一张图，体现的是不同生命周期的数据，访问的频率的高低，数据从不同的维度去理解，有电子数据|纸质数据|混合数据的分法，也有所谓的静态数据和动态数据的分法，或者就是下图的活跃数据|半活跃数据|非活跃数据，不同的阶段，可能界限没那么清晰，也有可能会有一定的Overlap

系统分类

系统软件分类：

类别1——基础设施软件

基础设施中的元件组合在一起，形成一个运行与支持应用程序和服务的完整环境，这个类别中有两种软件：建成的或者市场上可以买到的分层式软件；基础设施软件工具

类别3——不可配置软件产品

这个类别包括用于商业目的的可直接使用的现货软件商品。它包括不能通过配置以适应具体业务流程的系统，或者是只可以使用默认配置的可配置系统。这种情形下，配置的系统均可以在用户环境中运行，应基于风险和复杂性来判断使用默认配置的系统归于类别3还是类别4

类别4——可配置软件产品

可配置软件产品提供了标准化的界面和功能，以使配置适合用户的具体业务流程，这通常会需要配置预先设定的软件模块

类别5——定制应用软件

这些系统和子系统的开发是为了满足被监管公司的特殊需要。定制软件的内在风险是非常高的。系统生命周期方法和推广决定都应该考虑到增加的风险，因为用户没有使用经验且缺乏系统可靠性的资料

典型示例和方法

系统硬件分类：

硬件类别1——标准硬件组件

被监管公司所使用的大部分硬件组件都属于本类别。标准硬件组件包括其制造商或者供应商的详细信息以及版本号都应该以文件的形式存档。应验证组件的安装和链接方式是否正确。原装组件的模块、版本号和序列号（如果可以得到）都应该记录下来。

硬件类别2——定制的内置硬件组件

这类硬件是对标准硬件组件的补充。定制的硬件组件应该有设计规范，并通过验收测试。供应商评估应该采用基于风险的方法，并将该评估方法以文件形式存档。在开发定制硬件时，通常都需要进行供应商审计。对使用不同来源的定制硬件组件的组装系统应该进行验证，以确保硬件组件的兼容性。所有硬件配置都应该在设计文件中清晰界定，并验证。