原文内容： 第七条：企业应当建立包含药品生产质量管理过程中涉 及的所有计算机化系统清单，标明与药品生产质量管理 相关的功能。清单应当及时更新。 原文解读： 第七条：这里提到了建立“计算机化系统清单”，这一 点很重要，但往往容易被企业所忽视，这也是很多药企 在GMP现场审核时，检查官开得最常见的一项主要缺陷 项。为什么这一条在检查官看来很重要呢？原因就在于， 作为CIO或IT部门负责人，你对你所管理的整个IT各个 系统要有很清晰的一张管理地图，哪些系统需做验证， 哪些系统不需做验证；需要做验证的系统，他们的硬件、 网络和软件配置如何，能否满足验证和使用的要求，这 些配置组件的更改有没有及时更新到清单上来。
第五章系统
14条
第六章术语
1条

该附录的核心思想体现为企业在采用计算机化系 统来替代手工操作时，对药品生产质量管理过程 中的一种风险控制。
从风险管理的角度来看，本附录内容可进行重新编 排为 1、风险识别（第一章 范围&第四章 验证 计算机化 系统范围的确定）： 2、风险评估（第二章 原则 需考虑患者安全、数据 完整性和产品质量） 3、风险控制（第五章 系统 基于系统的复杂度、新 颖性和类别确定验证方案） 4、风险跟踪（第三章 人员 明确人员职责和权限， 对风险控制措施效果跟踪）
ห้องสมุดไป่ตู้
• 根据软件级别的不同其测试程度也不同



原文内容： 第一条：本附录适用于在药品生产质量管理过程中应用 的计算机化系统，计算机化系统由一系列硬件和软件组 成，以满足特定的功能。 原文解读： 第一条：此附录描述了计算机化系统的适用范围，是在 药品生产质量过程中，这是其一；其二，什么是计算机 化系统，由一系列硬件和软件组成，从字面上来看，这 个定义和“计算机系统”没有本质区别，主要区别在于 后面这几个字“以满足特定的功能”。按照 PIC/SPI011-3指南的定义，计算机化系统 （Computerized System）由计算机系统 （Computer System）和被其控制的功能和流程组成。
计算机化系统
• 附录条款及解读
数据完整性
• 法规要求 • 常见问题
2010版GMP附录：计算机化系统共有6章24个条款， 其内容分布如下：
章 节
第一章范围 第二章原则 第三章人员 第四章验证
条款数
1条 3条 1条 4条
主 要 内 容
讲到什么样的计算机化系统才是需要 被验证的，以及计算机化系统的定义 和构成 讲到计算机化系统验证的目的、风险 控制以及对供应商的管理要求 讲到验证相关人员的职责、权限和培 训要求 再次强调验证范围、程度，要建立计 算机化系统清单，以及不同类别软件 的验证策略和数据迁移要求 从验证系统的安装、测试、使用、变 更、数据打印、系统故障应急预案、 系统的产品放行以及电子签名作出了 明确要求 涉及电子数据、系统生命周期、数据 审计跟踪和数据完整性等名词

目的
• 控制同GxP有关的计算机化系统的使用风险
范围
原则 方法 重点 策略
• 药企生产质量管理过程中涉及到的各类计算机化系统
• 系统替代手工不增加总体风险，风险管理贯穿系统的全生命周期
• 采用基于科学的风险评估，确定系统验证方案、执行验证活动
• 不光是验证的硬件、软件本身，更是验证系统所管控的流程




原文内容： 第六条：计算机化系统验证包括应用程序的验证和基础架构的确认， 其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计 算机化系统的使用范围和用途。 应当在计算机化系统生命周期中保持其验证状态。 原文解读： 第六条：这里对计算机化系统的验证范围或对象再次进行了明确， 同附录第一条是相呼应的。验证对象包括应用程序（就是软件）和 基础架构（包括硬件和网络）。验证的具体范围和程度如何确定呢？ 答案是基于科学的风险评估，那么风险评估又如何进行呢？答案是 要充分考虑该系统的使用范围和用途。举例来说，某个系统的使用 是否同GxP有关或对产品质量有影响，如果有，就需要进行风险评 估，同时还要考虑该系统使用范围大小，范围越大，影响越大，风 险越高。 此外，该条款特别强调了系统在整个生命周期中验证状态的保持， 这一点告诉我们验证工作其实是个常态的工作，而不是一项运动， 更不是一项阶段性的工作。




原文内容： 第二条：计算机化系统代替人工操作时，应当确保不对 产品的质量、过程控制和其质量保证水平造成负面影响， 不增加总体风险。 原文解读： 第二条：很显然，这一条主旨是说计算机化系统可以代 替人工操作，提高工作效率，但是需考虑这种替代或变 革随之带来的风险，这种风险可能是来自产品质量的、 过程控制的，也可能是整个质量保证体系的，需慎重、 全面考虑这种变革带来的诸多影响，原则上同过去手工 操作相比，不增加总体风险即可。这一条其实给整个附 录定了一个基调，就是凡是大到变革、小到变更，只要 有变化都要做好风险识别和风险评估工作，这是一切 “变”的前提和刚性要求。



原文内容： 第四条：企业应当针对计算机化系统供应商的管理制定 操作规程，供应商提供产品或服务时（如安装、配置、 集成、验证、维护、数据处理等），企业应当与供应商 签订正式协议，明确双方责任。企业应当基于风险评估 的结果，提供与供应商质量体系和审计信息相关的文件。 原文解读： 第四条：这一条其实是明确了对IT产品或服务供应商的 具体管理要求，包括供应商管理SOP,正式的协议或合同。 同时，企业应当基于对风险评估的结果，对供应商进行 相应的调查、评估，并有实施审计形成文件化的记录， 这一条其实还是在强调对供应商的风险管控，风险管理 也从内部延伸到了外部。



原文内容： 第三条：风险管理应当贯穿计算机化系统的生命周期全过程， 应当考虑患者安全、数据完整性和产品质量。作为质量风险 管理的一部分，应当根据书面的风险评估结果确定验证和数 据完整性控制的程度。 原文解读： 第三条：这一条承接上一条，对风险管理从二个维度提出了 具体要求。一个是时间维度，风险管理要求贯穿整个计算机 化系统全生命周期，包括概念提出、项目实施、系统运行直 到系统引退。另一个维度是潜在后果，即风险如果发生，可 能会导致的后果会是什么，人员伤亡、质量投诉、数据丢失 等，正是基于对这些后果的考虑，才有了风险管理的现实出 发点，即所有的系统设计、安装、使用以及变更，都需要充 分考虑患者安全、产品质量、数据完整性的影响。且根据风 险评估做出的影响分析，用来作为确定系统验证方案和系统 数据完整性控制的依据。