本文旨在DCS系統(tǒng)驗(yàn)證交流,，多有不足之處請(qǐng)多指正，希望能起些拋磚引玉的作用,。

DCS定義：分散控制系統(tǒng)是以微處理器為基礎(chǔ),，采用控制功能分散、顯示操作集中,、兼顧分而自治和綜合協(xié)調(diào)的設(shè)計(jì)原則的新一代儀表控制系統(tǒng),。集散控制系統(tǒng)簡(jiǎn)稱DCS,，也可直譯為“分散控制系統(tǒng)”或“分布式計(jì)算機(jī)控制系統(tǒng)”。DCS自控系統(tǒng)在制藥行業(yè)的應(yīng)用主要包括但不限于合成,、發(fā)酵,、提取等生產(chǎn)過程,、HVAC等公用系統(tǒng),。

DCS主要結(jié)構(gòu)：上位機(jī)、下位機(jī),、現(xiàn)場(chǎng)控制單元,。上位機(jī):通常由上位機(jī)軟件、工程師站（也稱服務(wù)器,，主要用于賬戶配置,、組態(tài)編輯、數(shù)據(jù)存儲(chǔ)等）,、操作站組成,，更復(fù)雜的系統(tǒng)包含歷史服務(wù)器、域服務(wù)器,，我公司常用上位機(jī)軟件有霍尼韋爾PC,、PCS7、西門子WINCC,、誠益通CTNcontrol,，各種軟件各有特點(diǎn)，但都是為了實(shí)現(xiàn)遠(yuǎn)程監(jiān)控,、報(bào)警,、用戶權(quán)限、歷史曲線,、數(shù)據(jù)報(bào)表,、密碼復(fù)雜度、數(shù)據(jù)完整性,、審計(jì)追蹤,、電子簽名、備份恢復(fù)等GXP要求功能,。下位機(jī)：下位機(jī)接收上位機(jī)的指令按照既定的控制邏輯實(shí)現(xiàn)自動(dòng)化控制,，同時(shí)接收現(xiàn)場(chǎng)儀表反饋的電信號(hào)回傳給上位機(jī)轉(zhuǎn)換成具體量程（如溫度、壓力,、PH,、DO等參數(shù)）。現(xiàn)場(chǎng)控制單元：現(xiàn)場(chǎng)儀表（傳感器）,、閥門,、泵等,，根據(jù)上位機(jī)指令實(shí)現(xiàn)最終的現(xiàn)場(chǎng)控制和數(shù)據(jù)采集。

目前國(guó)際主流計(jì)算機(jī)系統(tǒng)驗(yàn)證在滿足GxP要求的前提下多依據(jù)GAMP5（自動(dòng)化指南第五版）,。DCS在ISPE發(fā)布的GAMP5軟件分類中為標(biāo)準(zhǔn)的類別四——可配置軟件產(chǎn)品,，該類軟件通常非常復(fù)雜，可以由用戶根據(jù)需求配置（組態(tài)）,，以滿足用戶具體業(yè)務(wù)流程的特殊需求,，該軟件編碼不能更改。結(jié)合實(shí)際驗(yàn)證經(jīng)驗(yàn)及SME（北京誠益通DCS軟件專家）的技術(shù)支持我公司DCS系統(tǒng)驗(yàn)證在GAMP5給出的類別四軟件驗(yàn)證指導(dǎo)的基礎(chǔ)上進(jìn)行,。

驗(yàn)證計(jì)劃：項(xiàng)目實(shí)施前應(yīng)制定簡(jiǎn)潔清晰的驗(yàn)證主計(jì)劃來描述如何實(shí)施一個(gè)具體系統(tǒng)的驗(yàn)證過程,，驗(yàn)證計(jì)劃應(yīng)至少包括但不限于：范圍、參考的相關(guān)政策,、組織結(jié)構(gòu),、系統(tǒng)概述、文件格式（用戶對(duì)于供應(yīng)商提供的驗(yàn)證服務(wù),，文件格式?jīng)]有強(qiáng)制性要求,，但對(duì)所有文件應(yīng)當(dāng)進(jìn)行審批）、計(jì)劃和進(jìn)度,、變更控制,、參考的現(xiàn)有文件。

URS（用戶需求）：用戶（藥企）根據(jù)生產(chǎn)需求,、法規(guī)要求,、工程設(shè)備、EHS等角度提出詳細(xì)的使用需求,，詳細(xì)的描述系統(tǒng)在當(dāng)前和期望狀態(tài)下的整體目標(biāo),。應(yīng)該特別關(guān)注關(guān)鍵GxP需求，對(duì)于這些需求應(yīng)該進(jìn)行清晰地界定,。眾所周知,，質(zhì)量源于設(shè)計(jì)，詳細(xì)且清晰地URS是后續(xù)計(jì)算機(jī)系統(tǒng)設(shè)計(jì)的基準(zhǔn),，為系統(tǒng)設(shè)計(jì)提供詳細(xì)依據(jù),、避免設(shè)計(jì)上出現(xiàn)的缺陷影響2藥品生產(chǎn)質(zhì)量。

DQ（設(shè)計(jì)確認(rèn),，GAMP5中定義為設(shè)計(jì)審查）：當(dāng)URS得到響應(yīng),、所有需求確認(rèn)可以滿足后供應(yīng)商依據(jù)URS及法規(guī)符合性進(jìn)行系統(tǒng)設(shè)計(jì)，在設(shè)計(jì)階段供應(yīng)商編寫設(shè)計(jì)規(guī)范,，包括詳細(xì)的FS（功能設(shè)計(jì)說明）,、SDS（軟件設(shè)計(jì)說明）、HDS（硬件設(shè)計(jì)說明），并進(jìn)行DQ（設(shè)計(jì)確認(rèn)）,，設(shè)計(jì)確認(rèn)應(yīng)由供應(yīng)商和URS需求部門對(duì)URS所有需求項(xiàng)進(jìn)行確認(rèn),，以證明所有需求在設(shè)計(jì)規(guī)范中已進(jìn)行詳細(xì)的設(shè)計(jì)或定義，DQ批準(zhǔn)后正式授權(quán)相關(guān)的設(shè)計(jì)文件得以批準(zhǔn)并發(fā)布,，以用于系統(tǒng)的制造,，同時(shí)設(shè)計(jì)確認(rèn)也將提供有用的信息或必要的建議，以利于系統(tǒng)的制造,、安裝和驗(yàn)證,。

RA（風(fēng)險(xiǎn)評(píng)估）：首先是GxP相關(guān)性評(píng)估，如若DCS系統(tǒng)是與GXP相關(guān)的關(guān)鍵系統(tǒng),、需要接受GMP的監(jiān)管,，則需要進(jìn)行詳細(xì)的功能性風(fēng)險(xiǎn)評(píng)估,，從患者安全,、產(chǎn)品質(zhì)量和數(shù)據(jù)完整性三方面進(jìn)行風(fēng)險(xiǎn)識(shí)別，采用FMEA工具確定風(fēng)險(xiǎn),、制定測(cè)試項(xiàng)目（GAMP5不對(duì)DQ,、IQ、OQ,、PQ邊界進(jìn)行定義,，本文采用傳統(tǒng)的4Q確認(rèn)階段進(jìn)行討論以便理解），以確認(rèn)系統(tǒng)風(fēng)險(xiǎn)在驗(yàn)證中得到有效控制,。

FAT,、SAT（出廠驗(yàn)收測(cè)試、現(xiàn)場(chǎng)驗(yàn)收測(cè)試）：IQ,、OQ確認(rèn)內(nèi)容與SAT多有重疊,，按照ISPE調(diào)試和確認(rèn)第二版指導(dǎo)思想，在SAT中確認(rèn)過的項(xiàng)目在后續(xù)IQ,、OQ中不必再做重復(fù)確認(rèn),，可以直接引用GEP、SAT測(cè)試結(jié)果,，所以SAT（FAT）測(cè)試內(nèi)容放在IQ,、OQ部分進(jìn)行討論。

IQ：安裝確認(rèn)內(nèi)容主要包括軟硬件配置是否與設(shè)計(jì)一致,、安裝是否符合安裝要求,，該部分確認(rèn)與傳統(tǒng)的設(shè)備安裝確認(rèn)一樣，本文不再做詳細(xì)討論,。源代碼審核：主要指邏輯代碼,，包括算術(shù)運(yùn)算模塊、邏輯運(yùn)算模塊、PID控制模塊,、變型PID模塊,、手自動(dòng)切換模塊、非線性處理模塊,、執(zhí)行器控制模塊等,，自動(dòng)控制邏輯在下位機(jī)組態(tài)軟件中寫入后，應(yīng)進(jìn)行審核,，確?？刂七壿嫷恼_性，從源頭保證自動(dòng)控制功能的正確性,；I/O通訊測(cè)試：AI（模擬量輸入,，如溫度、壓力,、PH,、DO等參數(shù)的采集）、AO（模擬量輸出,，調(diào)節(jié)閥的控制開度,、泵的頻率設(shè)定等參數(shù)的控制指令）、DI（數(shù)字量輸入,，如開關(guān)閥的開關(guān)狀態(tài),、泵的啟停狀態(tài)反饋）、DO（數(shù)字量輸出,，如開關(guān)閥的開關(guān)指令,、泵的啟停指令）單點(diǎn)通訊測(cè)試，AI點(diǎn)的測(cè)試采用信號(hào)發(fā)生器在現(xiàn)場(chǎng)儀表終端給出模擬電流（通常為4-20mA）,、電壓信號(hào),，觀察上位機(jī)（人機(jī)界面）的數(shù)據(jù)顯示值來測(cè)試AI點(diǎn)的通訊誤差，確認(rèn)從現(xiàn)場(chǎng)傳感器到上位機(jī)人機(jī)界面中的數(shù)據(jù)采集準(zhǔn)確（當(dāng)現(xiàn)場(chǎng)傳感器經(jīng)過校準(zhǔn)后）,，AO點(diǎn)的測(cè)試則是在上位機(jī)人機(jī)畫面中（以調(diào)節(jié)閥為例）給出閥門開度指令,，如0%、50%,、100%,，則現(xiàn)場(chǎng)閥門終端前電流信號(hào)應(yīng)3該為對(duì)應(yīng)的4mA、12mA,、20mA,，當(dāng)電流信號(hào)在誤差允許范圍內(nèi)，則可以確認(rèn)該點(diǎn)通訊數(shù)據(jù)傳輸?shù)臏?zhǔn)確性,；冗余功能確認(rèn)：為確保系統(tǒng)在主要部件故障后的正常運(yùn)行,，通常為CPU電源,、CPU、服務(wù)器配置冗余功能,，達(dá)到雙重保險(xiǎn)的目的,，冗余功能的測(cè)試采用模擬故障法，比如CPU的冗余功能測(cè)試,，將CPUA斷網(wǎng)后,，觀察CPUB是否正常工作，同理將CPUB斷網(wǎng)后觀察CPUA是否正常工作,。

OQ：DCS系統(tǒng)的運(yùn)行確認(rèn)通常包括創(chuàng)建和配置賬戶測(cè)試,、用戶登錄登出測(cè)試、用戶訪問權(quán)限測(cè)試（確認(rèn)用戶權(quán)限與要求一致,、防止未經(jīng)授權(quán)人員更改關(guān)鍵參數(shù),、設(shè)置）、非法嘗試鎖定和復(fù)位測(cè)試,、密碼策略測(cè)試（包括密碼復(fù)雜度,、密碼有效期）、人機(jī)界面確認(rèn),、系統(tǒng)啟停測(cè)試,、控制功能測(cè)試、歷史曲線確認(rèn),、數(shù)據(jù)報(bào)表確認(rèn)、電子簽名確認(rèn),、數(shù)據(jù)完整性確認(rèn)（確認(rèn)現(xiàn)場(chǎng)傳感器顯示值與人機(jī)界面數(shù)據(jù)顯示值,、歷史曲線、數(shù)據(jù)報(bào)表一致,，電子記錄符合美國(guó)聯(lián)邦法規(guī)（CFR）第21章第11款-電子記錄）,、報(bào)警功能確認(rèn)、打印功能測(cè)試（確保紙質(zhì)記錄的準(zhǔn)確,、可讀性）,、審計(jì)追蹤確認(rèn)（所有重要事件的時(shí)間、人員,、類型等詳細(xì)信息被審計(jì)追蹤記錄,，且審計(jì)追蹤記錄不能被更改）、UPS電源測(cè)試（通常DCS系統(tǒng)配備UPS,，已確保在斷電的情況下系統(tǒng)可以運(yùn)行至少30分鐘,，給出充裕的準(zhǔn)備時(shí)間、以防突然斷電造成的服務(wù)器斷電導(dǎo)致數(shù)據(jù)丟失）,、備份和恢復(fù)測(cè)試（確認(rèn)程序,、歷史數(shù)據(jù)的備份、恢復(fù)功能，以防不可控因素造成程序,、歷史數(shù)據(jù)被破壞）等,。

PQ：由于DCS系統(tǒng)的特殊性，對(duì)于PQ邊界不太容易有準(zhǔn)確的界定,，通常情況下OQ中已經(jīng)涵蓋PQ內(nèi)容,。

VSR（驗(yàn)證總結(jié)報(bào)告）：對(duì)驗(yàn)證計(jì)劃中描述的驗(yàn)證執(zhí)行工作的結(jié)果進(jìn)行總結(jié)，主要目的是為了確保系統(tǒng)的驗(yàn)證活動(dòng)滿足URS,、NMPAGMP,、FDA軟件驗(yàn)證的基本原則、EMEAGMP等各國(guó)法規(guī)的要求,。

TM（可追溯矩陣）：是對(duì)DCS系統(tǒng)用戶需求說明,、設(shè)計(jì)文件和測(cè)試文件內(nèi)容關(guān)聯(lián)性的總結(jié)，以文件形式記錄用戶需求說明和設(shè)計(jì)成分之間的可追溯性,、以及這些成分與相應(yīng)測(cè)試之間的可追溯性的流程,。可追溯矩陣證明在整個(gè)生命周活動(dòng)中用戶需求說明提出的功能要求均已完成了定義或測(cè)試,。

參考文件：

國(guó)家藥品監(jiān)督管理局（NMPA）

藥品生產(chǎn)質(zhì)量管理規(guī)范（2010年修訂）

藥品生產(chǎn)質(zhì)量管理規(guī)范（2010年修訂）附錄：計(jì)算機(jī)化系統(tǒng)

美國(guó)食品藥品監(jiān)督管理局（FDA）

軟件驗(yàn)證的基本原則：企業(yè)和FDA人員的最終指南

美國(guó)聯(lián)邦法規(guī)全書（CFR）-第21篇-食品和藥品

第11部分：電子記錄和電子簽名

第210部分：生產(chǎn),，加工，包裝或保存藥品的現(xiàn)行藥品生產(chǎn)質(zhì)量管理規(guī)范

第211部分：藥物成品的現(xiàn)行藥品生產(chǎn)質(zhì)量管理規(guī)范

歐洲藥品管理局（EMEA）

歐盟GMP附錄11：計(jì)算機(jī)化系統(tǒng)

歐盟GMP附錄15：確認(rèn)和驗(yàn)證

國(guó)際制藥工程協(xié)會(huì)（ISPE）

GAMP5：符合GxP法規(guī)要求的計(jì)算機(jī)化系統(tǒng)的風(fēng)險(xiǎn)管理方法

ISPE調(diào)試與確認(rèn)第二版

藥品檢查合作組織（PIC/S）

在GxP監(jiān)管環(huán)境下的計(jì)算機(jī)化系統(tǒng)規(guī)范

人用藥品注冊(cè)技術(shù)要求國(guó)際協(xié)調(diào)會(huì)議（ICH）

Q9：質(zhì)量風(fēng)險(xiǎn)管理

本文作者：博普智庫作者-北京誠益通李艷軍