制藥機械(設備)計算機化系統(tǒng)驗證指南 GB-Z 42344-2023

中華人民共和國國家標準化指導性技術文件制藥機械(設備)計算機化系統(tǒng)驗證指南2023-03-17發(fā)布國家標準化管理委員會GB/Z42344—2023前言 I 2規(guī)范性引用文件 3術語和定義 4總則 25驗證流程 36系統(tǒng)驗證方案 57人員培訓 8驗證文檔管理 附錄A(資料性)風險評估示例 附錄B(資料性)文檔清單示例 參考文獻 I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由全國制藥裝備標準化技術委員會(SAC/TC356)提出并歸口。技股份有限公司。1制藥機械(設備)計算機化系統(tǒng)驗證指南1范圍本文件提供了制藥機械(設備)計算機化系統(tǒng)驗證的指南，內(nèi)容包括總則、驗證流程、系統(tǒng)驗證方案、人員培訓和驗證文檔管理。本文件適用于制藥機械(設備)計算機化系統(tǒng)的驗證，藥品生產(chǎn)企業(yè)、制藥裝備的生產(chǎn)企業(yè)、第三方驗證機構(gòu)均可參照使用。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術語和定義下列術語和定義適用于本文件。制藥機械pharmaceuticalmachinery完成和輔助完成制藥工藝的生產(chǎn)設備。由一系列硬件和軟件組成，以滿足制藥機械(設備)在藥品生產(chǎn)質(zhì)量管理過程中特定功能的系統(tǒng)。注：以下簡稱系統(tǒng)。對驗證方案及已完成驗證試驗的結(jié)果、漏項及發(fā)生的偏差等進行回顧、審核并做出評估的文件。電子簽名electronicsignatures電子數(shù)據(jù)中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。電子數(shù)據(jù)electronicdata計算機化系統(tǒng)從提出用戶需求到終止使用的過程。注：系統(tǒng)的全生命周期包括設計、設定標準、編程、測試、安裝、運行、維護等階段，以下簡稱生命周期。24總則4.1基本目的4.1.1證明系統(tǒng)符合《藥品生產(chǎn)質(zhì)量管理規(guī)范(2010年修訂)》第七章的規(guī)定。4.1.2證明系統(tǒng)符合《藥品生產(chǎn)質(zhì)量管理規(guī)范(2010年修訂)》附錄1和附錄2的規(guī)定，以及用戶需求，4.1.3證明系統(tǒng)符合設計和藥品生產(chǎn)質(zhì)量要求。恢復手冊、備4.1.4證明系統(tǒng)具有完整性、成熟性、穩(wěn)定性、容錯性以及易恢復性功能。4.1.5證明系統(tǒng)數(shù)據(jù)的完整性、真實性和可追溯性。4.2驗證原則4.2.1系統(tǒng)驗證根據(jù)《藥品生產(chǎn)質(zhì)量管理規(guī)范(2010年修訂)》、制藥設備產(chǎn)品標準、用戶需求標準等要求制定驗證方案，驗證的每個階段都有各自的驗證方案。4.2.2系統(tǒng)驗證范圍根據(jù)《藥品生產(chǎn)質(zhì)量管理規(guī)范(2010年修訂)》要求確定，直接或間接影響藥品質(zhì)量的，與制藥工藝過程、質(zhì)量控制、清洗、消毒或滅菌等相關的制藥機械(設備)計算機化系統(tǒng)屬于必須驗證的范圍，其他不對藥品質(zhì)量產(chǎn)生影響的制藥機械(設備)計算機化系統(tǒng)可不列為驗證范圍。4.2.3系統(tǒng)驗證分為系統(tǒng)立項、系統(tǒng)實施、系統(tǒng)運行、系統(tǒng)退役等階段。4.2.4系統(tǒng)驗證方案按照預先確定并批準的方案實施，并有記錄。4.2.5系統(tǒng)驗證工作完成后，宜寫出確認或驗證報告，并經(jīng)審核、批準。當驗證結(jié)果不符合預先設定的可接受標準時，需進行記錄并分析原因。驗證結(jié)果和結(jié)論(包括評價和建議)宜有記錄并存檔。4.2.6系統(tǒng)驗證活動宜能真實體現(xiàn)實際情況，數(shù)據(jù)不宜增加、刪除、修改，宜保持完整性。4.2.7系統(tǒng)驗證活動可通過責任劃分、記錄標識和過程監(jiān)督等方式滿足追溯性要求。4.2.8在系統(tǒng)驗證活動的生命周期實施風險分析及評估并實時監(jiān)控風險，以實現(xiàn)全面、動態(tài)的管理，降低風險的不利影響。系統(tǒng)軟件分類見表1,系統(tǒng)硬件分類見表2。表1系統(tǒng)軟件分類軟件類別內(nèi)容說明示例第1類軟件基礎設施軟件作為搭建應用程序的基礎軟件或用于管理操作環(huán)境的軟件操作系統(tǒng)、數(shù)據(jù)庫引擎、編程語言、電子制表軟件、文字處理軟件、版本控制工具、網(wǎng)絡監(jiān)控軟件等第3類軟件不可配置軟件可以輸入并儲存運行參數(shù)，但是并不能對軟件進行配置以適合特定的業(yè)務流程基于固件的應用程序、商用成品軟件、設備結(jié)構(gòu)及功能相對固定的控制系統(tǒng)等第4類軟件可配置軟件可進行配置或組態(tài)，以滿足使用者具體業(yè)務流程的特殊需求；軟件代碼不能修改工業(yè)控制軟件、檢驗儀器數(shù)據(jù)處理軟件等第5類軟件定制應用程序根據(jù)使用者業(yè)務流程要求進行和編制源代碼的軟件定制的工業(yè)控制軟件、數(shù)據(jù)處理軟件3表2系統(tǒng)硬件分類硬件類別內(nèi)容說明示例第1類硬件標準硬件組件標準硬件組件包括制藥機械(設備)制造商或供應商的詳細信息以及版本號都需以文件形式存檔。驗證組件的安裝和連接方式是否正確。預安裝組件的模塊、版本號和序列號(如果可以得到)都需記錄下來。預安裝硬件并不需要拆開。在這些情形下，硬件組件的詳細信息可以從硬件的數(shù)據(jù)表和其他規(guī)范材料中得到。對這類硬件進行配置管理和變更控制管理該系統(tǒng)的硬件包括標準硬件組件等第2類硬件定制內(nèi)置硬件組件這類硬件是對標準硬件組件的補充。定制硬件組件有設計規(guī)范(簡稱DS),并通過驗收測試。供應商評估采用基于風險的方法，并將該評估方法以文件形式存檔。在開發(fā)定制硬件時，通常都需要進行供應商審計。對使用不同來源的定制硬件組件的組裝系統(tǒng)宜進行驗證，以確保硬件組件的兼容性。所有硬件配置均需在設計文件中清晰界定，并驗證。對這類硬件進行配置管理和變更控制管理該系統(tǒng)的硬件包括定制硬件組件5驗證流程5.1概述系統(tǒng)的驗證程序依次是系統(tǒng)立項、系統(tǒng)實施、系統(tǒng)運行、系統(tǒng)退役。在系統(tǒng)實施各確認階段，均需形成階段性驗證報告；當出現(xiàn)關鍵性能偏差(如影響設備正常運行、安全及產(chǎn)品質(zhì)量)時不宜進行下階段的確認。驗證程序參考GB/T28671—2012中4.3的要求執(zhí)行。5.2系統(tǒng)影響性評估項目早期宜進行初步的系統(tǒng)影響性評估，根據(jù)系統(tǒng)是否對藥品的質(zhì)量參數(shù)有直接的影響，將系統(tǒng)分類為直接影響系統(tǒng)、間接影響系統(tǒng)和無影響系統(tǒng)。如有影響宜在設計、調(diào)試、確認和驗證過程中，執(zhí)行符合《藥品生產(chǎn)質(zhì)量管理規(guī)范(2010年修訂)》的計算機化系統(tǒng)驗證。5.3風險評估5.3.1風險識別旨在識別系統(tǒng)功能可能導致相關風險的風險事件，并確定事件所產(chǎn)生的影響程度。5.3.2風險分析針對不同的風險項目可選擇不同的風險評估工具或方法。宜通過定性或定量地評估確定風險的可能性、易發(fā)現(xiàn)程度和嚴重性。風險評估的結(jié)果可以表示為總體的風險值，例如：定量的表示為具體的數(shù)45.3.2.2常用的風險分析方法常用的風險分析方法包括：查列表等；b)風險排列和過濾(RRF):將風險因素進行排列和比較，對每種風險因素做多重的定量和定性評價，權(quán)衡因素并確定風險得分；c)事先危害分析(PHA):用于在事情發(fā)生前應用經(jīng)驗和知識對危害和失敗進行分析，以確定將來可能發(fā)生的危害或失敗；d)危害分析及主要控制點(HACCP):可用于保證產(chǎn)品質(zhì)量、可靠性和安全性，是一個系統(tǒng)的、前e)過失樹分析(FTA):鑒別假設可能會發(fā)生過失的原因分析方法；FTA結(jié)合過失產(chǎn)生原因的多種可能假設，基于對過程的認識做出正確的判斷；f)失敗模式效果分析(FMEA):評估潛在的失敗模式和因此對產(chǎn)品性能或結(jié)果產(chǎn)生的影響，具體方法可以給出相應數(shù)值，如I、Ⅱ、Ⅲ。其發(fā)生概率采用客觀概率估計，即根據(jù)歷史數(shù)據(jù)或大量的試驗來推定其概率；根據(jù)風險的易發(fā)現(xiàn)程度來確定風險的優(yōu)先級，并給出相應數(shù)值；根據(jù)風險事件對產(chǎn)品質(zhì)量最終的影響程度進行劃分，并給出其相應的數(shù)值；將以上三種分數(shù)相乘，即可得出總體風險分數(shù)，最終根據(jù)總體風險分數(shù)將所有風險歸類劃分；以失敗模式效果分析法的風險分析示例可參考附錄A。根據(jù)系統(tǒng)風險分析等級采取適當控制措施，在引入風險控制措施后，重新進行風險評價，以確定能夠使風險等級降低到預期標準以下且不會引入新的風險。風險管理過程中宜編制風險追蹤矩陣，參見表3,確保能夠準確、全面地反映整個風險管理過程。表3風險追蹤矩陣示例風險編號潛在風險源潛在風險分析嚴重性可能性可檢測性風險等級值風險等級風險控制措施嚴重性可能性可檢測性風險等級值風險等級5.4系統(tǒng)驗證活動簡述可按照軟件系統(tǒng)類別，對照不同驗證階段，并參照表4組織驗證活動。5表4各階段實施驗證活動系統(tǒng)驗證階段階段細分實施驗證活動軟件類別系統(tǒng)立項——開展可行性分析適用適用適用適用系統(tǒng)實施計劃階段制定驗證計劃適用適用適用適用制定實施計劃適用適用適用適用開展供應商評估———適用適用設計階段用戶需求說明適用適用適用適用系統(tǒng)設計說明適用適用測試階段源代碼編程/測試—適用工廠驗收測試適用適用現(xiàn)場驗收測試———適用適用確認階段設計確認——適用適用安裝確認適用適用適用適用運行確認適用適用性能確認——適用適用適用系統(tǒng)運行—問題報告適用適用適用適用變更控制適用適用適用適用系統(tǒng)管理適用適用適用適用系統(tǒng)退役編制退役報告適用適用適用適用注：“—”表示“無”。6系統(tǒng)驗證方案6.1系統(tǒng)驗證模型在進行系統(tǒng)驗證時宜遵循生命周期V模型(參照GAMP5良好自動化生產(chǎn)實踐指南),根據(jù)表4組織具體驗證活動。在整個驗證活動過程執(zhí)行風險評估，并采用適宜手段管理整個風險過程。6.2系統(tǒng)立項系統(tǒng)立項的活動主要取決于驗證方提出并確認系統(tǒng)啟動的方案，并開展可行性分析。通常，在這個階段提出初始需求并考慮可能的解決方案。通過對系統(tǒng)驗證范圍、成本和收益的初步評估決定是否需6.3系統(tǒng)實施驗證計劃宜包含系統(tǒng)描述、法律法規(guī)、驗證的組織結(jié)構(gòu)及職責分配、驗證方案、驗證的范圍和技術要6求，以及項目交付物等文件。制定系統(tǒng)實施進度表，確定系統(tǒng)實施各階段工作的內(nèi)容及要求，確保系統(tǒng)在預定期限內(nèi)交付，宜包含項目實施進度表等相關文件。宜對供應商的供應體系或服務及其質(zhì)量體系進行評估并記錄。該評估的范圍和程度需基于風險管理原則提供供應商評估相關文件。在合理范圍內(nèi)滿足用戶需求，比如硬件設備的型號、品牌，軟件系統(tǒng)功能、數(shù)據(jù)追溯、數(shù)據(jù)存儲備份、電子簽名以及報警觸發(fā)機制和處理方式等內(nèi)容。宜通過需求追溯矩陣確認其是否滿足用戶需求。功能說明是描述設備的性能和技術參數(shù)，主要內(nèi)容宜包括：a)設備設計參考標準；b)主要硬件配置和軟件配置列表及功能描述；c)控制系統(tǒng)輸入/輸出功能設計說明；d)控制系統(tǒng)的報警功能設計說明；e)控制系統(tǒng)的聯(lián)鎖功能；f)設備操作功能描述。硬件設計說明是指與系統(tǒng)相關硬件設備的設計，主要內(nèi)容宜包含：a)硬件說明：說明系統(tǒng)包含的硬件設備，提供系統(tǒng)控制模型和電器硬件清單以及PLC和溫度壓力傳感器等模塊的技術參數(shù)；b)硬件工作環(huán)境要求：說明硬件工作的環(huán)境要求，包括溫度、濕度以及輻射和電磁干擾范圍等。c)電力供應說明：說明正常運行所需要的電力要求；d)相關輸入輸出點位說明：說明系統(tǒng)設計的輸入輸出信號及備用點位，并提供相應清單。軟件設計說明(SDS)包括與系統(tǒng)相關的上位機和下位機程序的設計，主要內(nèi)容宜包含：a)系統(tǒng)模塊程序設計：系統(tǒng)的功能設計，斷電恢復功能、程序流程描述以及遵循的開發(fā)標準；b)報警聯(lián)鎖設計：提供系統(tǒng)報警清單，并對報警觸發(fā)的條件進行說明，以及當報警觸發(fā)時需要進行的操作；c)系統(tǒng)權(quán)限設計：說明系統(tǒng)的權(quán)限設計和劃分，以及對應權(quán)限的人員可以進行的操作；d)系統(tǒng)電子數(shù)據(jù)生成和管理：對系統(tǒng)運行所產(chǎn)生的電子數(shù)據(jù)存儲路徑、存儲格式、存儲介質(zhì)進行說明，數(shù)據(jù)遷移備份需要進行何種操作，采取何種方法來確保電子數(shù)據(jù)的完整性等。7源代碼編程宜以用戶需求規(guī)范為基準，確保實現(xiàn)的功能與預期結(jié)果一致。宜提供代碼開發(fā)標準文旨在確保設備組裝調(diào)試完成后能正常運行并能滿足功能設計需求，需要時制定針對設備系統(tǒng)的工廠驗收測試計劃，對系統(tǒng)相關的設備硬件和軟件的功能進行逐一確認。如用戶方無法到現(xiàn)場進行相關測試，可以委托實施方進行測試，記錄測試結(jié)果并編制測試報告。旨在確認設備在運輸過程中相關設備是否完好，控制系統(tǒng)是否能正常工作，現(xiàn)場驗收測試的內(nèi)容與工廠驗收測試內(nèi)容基本一致，并包括在工廠不具備測試條件的內(nèi)容，可從以下幾方面實施驗證活動。a)系統(tǒng)軟件版本記錄：確認并記錄控制系統(tǒng)軟件版本號，便于軟件版本控制，當系統(tǒng)遇到宕機等情況可進行系統(tǒng)恢復，測試過程需注意：1)檢查設備的標識是否與要求一致；2)檢查軟件版本，并進行記錄；3)在測試中發(fā)現(xiàn)問題，記錄問題，形成文檔；4)如果達到可接受標準，記錄測試通過。b)I/O輸入輸出測試，模擬量信號測試：確保PLC及相關模塊功能完好，測試過程中需注意，1)測試按鈕或者開關，或者是制定場景滿足一定條件檢測相應點位，確認PLC顯示正確的2)用模擬量測試儀器進行模擬量測試，輸出結(jié)果需在誤差允許范圍內(nèi)；3)在測試中發(fā)現(xiàn)問題，記錄問題，形成文檔；4)如果達到可接受標準，記錄測試通過。c)軟件功能確認：對系統(tǒng)功能逐一確認，是否符合用戶需求規(guī)范。測試過程中需注意：1)點擊每一個設定的畫面功能，確認彈出正確的設定畫面和實際結(jié)果；2)在測試中發(fā)現(xiàn)問題，記錄問題，形成文檔；3)如果達到可接受標準，記錄測試通過。d)報警聯(lián)鎖測試：對系統(tǒng)設定的報警逐一測試并記錄，確認報警和聯(lián)鎖能否正常觸發(fā)。測試過程中需注意：1)根據(jù)報警聯(lián)鎖清單，模擬現(xiàn)場程序達到報警條件，確認報警和聯(lián)鎖控制是否正確產(chǎn)生，如有必要可把報警測試歷史數(shù)據(jù)附在文檔后；2)測試中發(fā)現(xiàn)問題，記錄問題，形成文檔；3)如果達到可接受標準，記錄測試通過。e)用戶登錄測試，權(quán)限測試，審計追蹤測試，數(shù)據(jù)備份測試。f)最后制定驗收測試總結(jié)報告，對測試結(jié)果進行分析，報告需適當?shù)慕鉀Q驗證中發(fā)現(xiàn)的問題。8旨在確認系統(tǒng)設計和相關配置是否符合用戶需求規(guī)范中功能需求，主要確認內(nèi)容宜包含以下兩部分：a)確認硬件設計說明(HDS)和軟件設計說明(SDS)是否已完成；b)確認系統(tǒng)功能設計是否符合用戶需求說明(URS),比較用戶需求說明(URS)與設計文件，檢查系統(tǒng)是否滿足要求，若不滿足要求且無其他明確規(guī)定，可以與供應商協(xié)商解決。設計確認完成后，制定設計確認總結(jié)報告，總結(jié)設計確認測試結(jié)果是否已達到驗收標準，對于不能滿足的項目進行偏差處理。旨在確認系統(tǒng)相關的軟硬件設備已經(jīng)安裝到位，并且硬件設備型號和軟件組態(tài)版本符合用戶需求，可從以下幾方面開展驗證活動：a)測試前提條件確認：確認安裝確認的前提條件已滿足，并且軟件的版本已根據(jù)批準的配置管理文件進行版本控制；b)硬件設備品牌、型號、數(shù)量和安裝位置確認：根據(jù)硬件清單逐一確認，確認是否已經(jīng)正確安裝；c)軟件組態(tài)安裝版本和位置確認：根據(jù)供應商提供的組態(tài)軟件版本進行確認，方便后期系統(tǒng)升級維護和故障的處理；d)在測試中發(fā)現(xiàn)問題，記錄問題，形成文檔；e)如果達到可接受標準，記錄測試通過；f)最后制定安裝確認總結(jié)報告，對安裝確認過程中的結(jié)果進行分析，對應不滿足批準的測試項目進行匯總并給出處理結(jié)果，安裝確認總結(jié)報告需經(jīng)審核和批準后才能進行下一階段測試。旨在確認系統(tǒng)功能是否符合預期要求，能在預期范圍內(nèi)正常運行并可正確執(zhí)行相應的操作，確認內(nèi)容宜包含以下內(nèi)容：a)軟件版本記錄：便于系統(tǒng)版本控制；b)系統(tǒng)功能測試：1)確認系統(tǒng)功能可以正常使用，比如程序是否可以正常執(zhí)行；2)參數(shù)設置可以適當程度地進行挑戰(zhàn)性測試(如邊界、范圍、限制、無效輸入測試等),以確認系統(tǒng)可以處理不正確的輸入或規(guī)避不正確的使用導致的風險；3)在執(zhí)行程序的過程中出現(xiàn)異常時，是否有相關提示或解決辦法。c)數(shù)據(jù)完整性測試：1)用戶管理確認：確認系統(tǒng)最高權(quán)限用戶可以新增、刪除用戶和密碼修改等功能；2)用戶自動退出測試確認，確認根據(jù)用戶設定的用戶注銷時間，用戶登錄后在規(guī)定時間不操作系統(tǒng)自動退出；3)電子簽名確認：測試系統(tǒng)在進行重要操作時是否有電子簽名功能；4)系統(tǒng)權(quán)限確認：確認系統(tǒng)權(quán)限分級，并對每一級權(quán)限用戶進行的具體操作進行確認；5)審計追蹤數(shù)據(jù)確認：確認系統(tǒng)是否有審計追蹤功能，確認系統(tǒng)的數(shù)據(jù)備份和恢復功能以及9系統(tǒng)的審計追蹤功能，確認審計追蹤數(shù)據(jù)是否涵蓋了全部操作記錄；6)系統(tǒng)安全性確認：確認當程序執(zhí)行過程中設備斷電時，設備是否可以正常關閉，且確認斷電前后設置的參數(shù)是否一致，數(shù)據(jù)是否丟失，系統(tǒng)是否有斷電恢復的功能等；7)電子記錄一致性確認：確認設備打印數(shù)據(jù)和電子數(shù)據(jù)一致性；8)時鐘確認：確認系統(tǒng)時鐘的精度符合要求；9)系統(tǒng)備份/恢復測試，確認系統(tǒng)具有備份和恢復功能，當系統(tǒng)崩潰時可進行系統(tǒng)恢復操作；10)數(shù)據(jù)不可更改。d)運行確認結(jié)束后，對當前階段進行總結(jié)，給出結(jié)論，對于不符合要求的項目進行匯總整理，并給出解決方案和解決時間，總結(jié)報告宜簽批認可。旨在確認系統(tǒng)運行過程的可控性、穩(wěn)定性和有效性是否滿足標準要求。性能確認方案可從以下幾方面開展驗證活動：a)負載運行條件下，對藥品生產(chǎn)過程及設備要求的適應性；b)生產(chǎn)能力；c)藥品生產(chǎn)質(zhì)量相關指標；d)運行結(jié)果的重復性；e)控制精度準確性；f)安全性能；g)負載運行的可靠性試驗；h)其他所需的挑戰(zhàn)性試驗；i)也可參考GB/T28671—2012中4.4的內(nèi)容進行。系統(tǒng)使用過程中出現(xiàn)對產(chǎn)品質(zhì)量或數(shù)據(jù)完整性等產(chǎn)生影響的事件，宜評估事件的影響，并根據(jù)情況制定處理方法。對問題進行記錄，編制問題報告。變更管理是保持系統(tǒng)和流程合規(guī)的基礎。變更申請宜經(jīng)過審查，基于風險評估來確定變更的可實施性、變更的范圍以及變更的影響。實施和審核變更所需的活動進行詳細的描述，變更產(chǎn)生的影響需考慮是否進一步風險評估。審查、風險評估、執(zhí)行變更決定或拒絕變更決定的理由以及所要求的行為都需形成相關記錄，并且作為系統(tǒng)驗證文件的一部分進行歸檔。變更的記錄宜包含以下內(nèi)容：——變更的分類：軟件或硬件變更；——變更管理：變更都宜處于控制下，并以文件形式存檔。系統(tǒng)正式使用后宜對系統(tǒng)進行合理管理，以確保設備可正常持續(xù)運行，宜包含以下內(nèi)容：——人員持續(xù)培訓：定期對操作人員進行培訓，以確?？墒炀毷褂迷O備；——系統(tǒng)管理手冊：制定系統(tǒng)使用說明，以及系統(tǒng)備份/存檔/災難恢復操作等；——系統(tǒng)維護日志：當對系統(tǒng)進行升級或其他改動時有維護日志，說明原因；——周期性回顧：確保設備性能始終保持初始驗證狀態(tài)，且能滿足使用需求。6.5退役階段該階段決定是否保留記錄、遷移或銷毀，并對該過程進行管理，包含以下內(nèi)容：a)制定退役計劃：一旦不再需要系統(tǒng)或其組件時，系統(tǒng)或組件按照已建立經(jīng)批準的程序退役；批準的規(guī)程包括變更控制程序和正式的退役計劃；b)記錄保存：盡管退役，仍需保持在整個所要求的記錄保存期間，確保記錄的可讀性，并保持原電子記錄的內(nèi)容和含義；c)制定退役報告：退役活動的結(jié)果，包括數(shù)據(jù)和系統(tǒng)的可追溯性，宜呈現(xiàn)在報告中。7人員培訓人員培訓宜貫穿于整個驗證過程，在系統(tǒng)發(fā)布之前對相關操作人員進行培訓，并界定系統(tǒng)的使用和控制，使相關人員正確理解系統(tǒng)邏輯和功能，培訓文件宜包括供應商提供的用戶手冊以及內(nèi)部開發(fā)的標準操作規(guī)程和培訓計劃等，培訓活動宜參照以下幾個方面：a)確定必要的培訓需求，制定培訓方案，按需求提供培訓；b)評估培訓的有效性；c)確保相關人員理解培訓的重要性和相關性；d)進行適當?shù)呐嘤栍涗洠籩)確保培訓是最新的。8驗證文檔管理8.1驗證文檔基本內(nèi)容驗證文檔內(nèi)容可參照GB/T28671—2012中4.4.2、4.4.3、4.4.4的要求。8.2文檔編號文檔編號是系統(tǒng)唯一文件名的標識，宜制定文檔編號規(guī)則，并按照規(guī)則進行編號。8.3版本控制列舉的項目文檔和圖紙按照標準操作程序進行版本控制。任何發(fā)布的受控文檔的版本號宜具備唯一的標識，受控文檔的版本說明參見表5。表5受控文檔的版本說明修訂版本描述A初始版本；供內(nèi)部審查及附加意見使用經(jīng)內(nèi)部審查版本；供使用方審查及附加意見使用0至0x(x=a,b,c…)根據(jù)制藥企業(yè)意見修訂版本；供用戶批準使用8.4驗證文檔的存檔與管理驗證文檔需以電子版或紙質(zhì)版存檔，宜有明確的存檔位置，驗證文檔清單可參見附錄B。宜安排專人負責驗證文檔的編寫、修改、發(fā)布、保存和歸檔。(資料性)風險評估示例A.1風險評估工具A.1.1風險等級值(RPN)評估原則風險等級值(RPN)評估原則三個數(shù)值各自獨立發(fā)生。A.1.2風險等級值(RPN)計算公式風險等級值(RPN)按公式(A.1)計算。式中：RPN——風險等級值(RiskPriorityNumber);D——易發(fā)現(xiàn)程度(degreeofdiscovery);I——影響程度(degreeofinfluence)。A.1.3發(fā)生概率(O)發(fā)生概率的評估值選取見表A.1。表A.1發(fā)生概率(O)的評估值概率等級發(fā)生概率概述評估值低能夠確定很少發(fā)生或幾乎不發(fā)生I中有時發(fā)生或無法確定能否發(fā)生Ⅱ高時常發(fā)生ⅢA.1.4易發(fā)現(xiàn)程度(D)易發(fā)現(xiàn)程度的評估值選取見表A.2。表A.2易發(fā)現(xiàn)程度(D)的評估值易發(fā)現(xiàn)程度高低易發(fā)現(xiàn)程度概述評估值低完全可以通過監(jiān)測系統(tǒng)隨時監(jiān)測，自動控制調(diào)節(jié)I中可以通過人工監(jiān)測手動調(diào)節(jié)或監(jiān)測系統(tǒng)自動報警Ⅱ高人工和設備都不易監(jiān)測事件發(fā)生Ⅲ影響程度的評估值選取見表A.3。影響程度影響程度概述評估值低影響結(jié)果為不對產(chǎn)品質(zhì)量有影響或停產(chǎn)或產(chǎn)品報廢I中影響結(jié)果為可能對產(chǎn)品質(zhì)量有影響或停產(chǎn)或產(chǎn)品報廢Ⅱ高影響結(jié)果為對產(chǎn)品質(zhì)量有影響或停產(chǎn)或產(chǎn)品報廢ⅢA.2.1風險嚴重等級值參考表A.4確定。表A.4風險嚴重等級值風險嚴重等級值發(fā)生概率(O)IⅡⅢ影響程度IⅢ369Ⅱ246I123A.2.2風險等級值參考表A.5確定。表A.5風險等級值風險等級值易發(fā)現(xiàn)性(D)IⅡⅢ風險嚴重等級值9966448336922461123A.2.3風險等級值(RPN)在1～27之間，依據(jù)風險等級值將風險劃分為低風險、中風險、高風險，具體A.3關于風險評估的說明A.3.1分析潛在風險源后，如果出現(xiàn)中高風險，在通過控制措施后根據(jù)計算的風險等級值(RPN)確認是否降到低風險。A.3.2風