計算機系統介紹

具(jù)有(yǒu)特定功能(néng)的計算機系統是

由1台或數台計算機、外圍輸出輸入設備以及軟件構成；

全部或部分(fēn)程序及運行程序所需的全部或部分(fēn)數據使用(yòng)共同的存儲器；

運行用(yòng)戶編寫的程序或用(yòng)戶指定的程序；

根據用(yòng)戶的指定模式進行數據處理(lǐ)，如數值運算或邏輯運算；運行過程中(zhōng)可(kě)以自我修正程序；

計算機系統可(kě)以是獨立的單機，也可(kě)以是由幾台單機聯機組成；

計算機系統的理(lǐ)解

計算機系統驗證是建立文(wén)件來證明計算機系統的開發符合質(zhì)量工(gōng)程的原則，能(néng)夠提供滿足用(yòng)戶需求的功能(néng)并且能(néng)夠穩定長(cháng)期工(gōng)作(zuò)的過程。

工(gōng)藝驗證中(zhōng)的“工(gōng)藝”相當于計算機的“輸入”過程和“内部處理(lǐ)’’過程(軟件)，工(gōng)藝中(zhōng)用(yòng)到的設備相當于計算機主機、外圍設備(硬件)以及與其相關的生産(chǎn)設備或質(zhì)量控制設備，工(gōng)藝的“産(chǎn)品”相當于計算機的“輸出”或對另一台設備的控制等 。

計算機系統驗證與工(gōng)藝驗證不同之處是：術語上的不同(如數據處理(lǐ)概念)和由于軟件的特性，使一般用(yòng)戶對軟件和軟件的開發相對不熟悉。

驗證生命周期(SVLC)

計算機系統的驗證不隻局限于系統的使用(yòng)過程，新(xīn)系統的驗證應始于系統初期的定義和設計階段，終止于系統無使用(yòng)價值階段。驗證生命周期應伴随着系統發展的整個生命周期(SDLC)。

系統發展的生命周期可(kě)劃分(fēn)為(wèi)以下8 個階段

可(kě)行性研究

工(gōng)程計劃

需求定義

系統設計

系統測試

系統驗收及确認

使用(yòng)和維護

系統引退

計算機系統驗證的法規要求

中(zhōng)國(guó)GMP計算機系統驗證

2015年 5 月 26 日，正式發布了 2010 版 GMP 法規的新(xīn)附錄之一《計算機化系統》，引起了國(guó)内制藥行業的廣泛讨論和高度關注。其實許多(duō)制藥企業對它的内容并不陌生，因為(wèi)這則法規于 2013 年作(zuò)為(wèi)征求意見稿已經添加到新(xīn)版GMP法規附錄中(zhōng)。而現在，它将作(zuò)為(wèi)正式的法規于 2015 年 12 月 1 日起執行。這則法規附錄将給國(guó)内制藥企業帶來什麽新(xīn)的挑戰？從近兩年來  的一系列舉措（頻繁的飛行檢查，2014 年至今已取消近 100 家藥企的 GMP 證書）來看，國(guó)内 GMP 的監管力度是顯著增強的。所以屆時如果企業不能(néng)滿足《計算機化系統》法規的要求，将可(kě)能(néng)面臨十分(fēn)嚴重的後果。
為(wèi)何要發布這則法規？
國(guó)内外 GMP 法規有(yǒu)許多(duō)差異，而對計算機化系統的要求差異尤為(wèi)明顯。CFDA 所執行的 2010 版 GMP 法規内容與國(guó)際上其他(tā)法規機構的 cGMP 法規是對等的，如 FDA 21 CFR Part 211。但美國(guó)的制藥企業除了執行 21 CFR Part 211 以外，同時還要遵守 21 CFR Part 11 法規；歐盟國(guó)家的制藥企業除了執行歐盟 GMP 以外，還要遵循 Annex 11 法規。FDA 的 21 CFR Part 11 與歐盟的Annex 11 的内容是類似的，都是針對于制藥企業使用(yòng)計算機化系統的法規要求。新(xīn)頒布的《計算機化系統》法規附錄是國(guó)内法規與國(guó)際接軌的重要一步，将填補國(guó)内對于計算 機化系統要求的法規空白，是實現與國(guó)際法規監管機構之間相互認可(kě)的前提條件之一。
 法規到底講了些什麽？
《計算機化系統》法規附錄究竟講了哪些内容？其實，我們發現内容并不多(duō)，全文(wén)共24條要求、6頁(yè)，共計2500字。我們嘗試對這些法規條文(wén)作(zuò)了初步的解讀，把所理(lǐ)解的核心内容概括如下：
1.明确提出進行計算機化系統驗證的要求
以往，法規對于儀器的确認是一直有(yǒu)要求的，但對計算機軟件驗證的要求不明确。因而，大部分(fēn)的制藥企業不對計算機系統進行驗證，或僅進行最簡單的确認。真正按 照 GAMP5 指南基于風險評估進行完整驗證的企業不多(duō)，僅某些企業有(yǒu)國(guó)外業務(wù)、需要通過FDA 或歐盟審計時才會考慮。而這則法規發布以後，明确對所有(yǒu)的國(guó)内制藥企業提出進行計算機化系統驗證的要求，為(wèi)計算機化系統驗證提供了法規依據。這裏尤其值得 注意的是，法規附錄裏要求進行基于風險評估的計算機化系統驗證，實際上就是指遵循GAMP5 的驗證方法學(xué)，即計算機化系統驗證的形式應該是驗證（Validation），通常所說的确認（Qualification，IQ/OQ/PQ）是不足夠的。
2.數據合規性要求
法規明确了對數據輸入的準确性和數據處理(lǐ)過程的正确性要求，以保證數據的合規性。概括來說，對計算機系統合規性的功能(néng)要求可(kě)以總結為(wèi)：訪問控制、權限分(fēn)配、審計追蹤和電(diàn)子簽名(míng)。
訪問控制：隻有(yǒu)經許可(kě)的人員才能(néng)進入和使用(yòng)系統。
權限分(fēn)配：應當對進入和使用(yòng)系統制訂授權、取消和授權變更的操作(zuò)規程。
審計追蹤：用(yòng)于記錄數據的輸入和修改以及系統的使用(yòng)和變更。
電(diàn)子簽名(míng)：明确了直接對電(diàn)子數據進行電(diàn)子簽名(míng)是合規的，但電(diàn)子簽名(míng)需要符合相應法規。
其 中(zhōng)，電(diàn)子簽名(míng)是“可(kě)以有(yǒu)”，而不是“必須”，這取決于企業對于主數據的定義是電(diàn)子數據還是紙質(zhì)數據。這與 21 CFR Part 11 和Annex 11 是一緻的。對于審計追蹤記錄的要求，是“根據風險評估的結果，考慮在計算機化系統中(zhōng)建立數據審計跟蹤系統”，這可(kě)能(néng)是考慮到很(hěn)多(duō)軟件自身功能(néng)設計上無法實 現的情況。然而，對于色譜數據系統這樣的關鍵原始數據系統來說，審計追蹤肯定是必然的要求。

3.電(diàn)子數據安(ān)全性要求
電(diàn)子數據安(ān)全 性一般分(fēn)為(wèi)邏輯安(ān)全性和物(wù)理(lǐ)安(ān)全性。邏輯安(ān)全性即是通過軟件自身的權限控制對數據的訪問、錄入、修改和删除等操作(zuò)，确保不被人為(wèi)誤操作(zuò)或有(yǒu)意的篡改行為(wèi)而 影響數據安(ān)全。而物(wù)理(lǐ)安(ān)全性，即是對數據存儲的介質(zhì)（如硬盤、光盤、服務(wù)器等）進行保護，确保系統本身不會因為(wèi)物(wù)理(lǐ)介質(zhì)的損壞或故障造成數據丢失。
4.數據備份要求
關于電(diàn)子數據的備份要求不算是新(xīn)的法規要求，GMP 法規也一直要求數據備份以保證原始數據的安(ān)全性。國(guó)内制藥企業通常也都制定了數據備份策略，但我們發現通常隻是一個月甚至半年才做一次數據備份，真正發生 故障時原始數據還是會嚴重丢失。這樣的數據備份歸檔，其形式意義大過于實際意義；而即使是這樣的一個備份頻率，企業都已經覺得數據備份的工(gōng)作(zuò)任務(wù)很(hěn)重。其 根本原因是缺乏良好的解決方案。《計算機化系統》單獨列出這條要求，将提高制藥企業對數據備份的重視，進而采納更先進的解決方案。