GMP范畴计算机软件合规性要求更新
从新版GMP到QMSR,从CSV到CSA
引言:计算机系统全面纳入GMP管理
随着中、美、欧陆续对GMP及其他医疗器械相关法规进行修订,新时期下全球医疗器械生产监管要求已清晰呈现。这些法规对GMP相关软件提出的要求,成为GMP软件选型及实施过程中必须着重研究的课题。本文旨在解读GMP等相关法规,剖析对软件系统的要求,分析常见不合规场景,为行业合规实践提供参考。
2025版《医疗器械生产质量管理规范》(2026年11月1日施行)正式发布,相较于2014版,凸显信息化系统对全生命周期合规的支撑作用,明确系统建设需满足“追溯、风险管控、验证”三大核心需求。规范全面引入数据完整性(ALCOA+)概念,要求电子记录真实、准确、完整、及时且可追溯,标志着我国医疗器械行业信息化系统合规建设进入高质量发展阶段。其核心监管要求如下:
1.1. 软件验证:聚焦“产品质量影响性”,对产品质量有影响的软件均需确认
条款来源:第七十七条【软件确认】
核心要求:对影响产品质量的软件实施强制确认与再确认,首次使用前需验证功能,重大升级、改造或变更时应开展影响性评估并执行再验证;确认文档需留存方案、报告、测试记录,并与产品技术要求、生产工艺绑定,证明系统持续满足质量控制需求。
条款来源:第四十五条【记录控制程序】、第四十六条【信息化管理方式的电子记录要求】
核心要求:电子记录需满足真实、准确、防篡改要求,建立分级用户权限(如操作员录入、质量人员审核不可改),数据修改需保留原数据、修改人、时间及理由,并执行定期备份;电子签名需符合相关法律法规要求;支持关联原材料批次、生产记录、检验结果、销售信息,实现从原材料入库到患者使用的全链条追溯,保障数据完整性。
条款来源:第三十三条【信息化系统】
核心要求:配置与业务规模及复杂性相匹配的硬件(服务器、网络设备)和基础软件(操作系统、数据库),确保性能、容量与架构满足系统长期稳定运行需求;建立持续有效的防护体系,通过网络安全策略、访问控制、数据加密备份等技术与管理手段,防御病毒、黑客攻击、断电等意外因素干扰,保障业务连续性与数据安全。
QMSR是FDA对医疗器械质量体系法规(21 CFR Part 820)的重大修订,将于2026年正式生效,替代1997年发布的旧版QSR。其核心变化是将ISO 13485:2016纳入监管框架,要求信息化系统适配“国际标准+FDA特殊要求”双重合规,深刻影响全球医疗器械供应链布局与市场竞争格局。
核心要求:系统需覆盖ISO 13485文件控制(4.2)、生产控制(7.5)、记录控制(4.2.5)等条款,电子记录支持版本追溯、审批留痕,生产系统实时记录工艺参数(如注塑压力、灭菌时间)并联动质量记录;额外对接FDA专项法规,如关联21 CFR 803(不良事件),投诉系统自动识别需上报事件并留存轨迹;对接21 CFR 830(UDI),系统具备UDI生成、赋码及数据上传功能,确保每批产品UDI可查。
条款来源:§820.35(a,b)(Control of Records)、ISO 13485-2016-Clause 4.2.5(Control of records)、5.6.1(Management review - General)、Clause 8.2.4(Internal audit)
核心要求:记录全链条数据,包括投诉记录(投诉人、处理结果)、服务记录(维修数据)等,确保数据可及性(readily identifiable and retrievable);取消“管理评审/审计报告豁免”,需留存所有审计、管理评审数据,FDA检查时可直接调取,不得隐瞒。
条款来源:§820.10(a,b)(Requirements for a quality management system)、§820.35(Control of records;V.H.1(Conforming Amendments and FDA Response)Comment 78 Response)
核心要求:软件升级需评估对ISO 13485及FDA要求(如821设备追踪)的影响,变更记录含风险评估报告、验证结果;支持MDSAP审计,数据需适配跨境审计需求。
CSA是FDA针对医疗器械生产与质量系统软件发布的指南,2022年9月发布草案,2025年9月23日正式施行。该指南替代原CSV指南(即《软件验证一般原则》第6节),核心围绕“计算机软件保证(CSA)”建立风险导向的监管框架,明确信息化系统建设的合规要求,自2026年2月2日起整合ISO 13485:2016。
条款来源:V-A“Computer Software Assurance Risk Framework”
核心要求:区分“直接用于生产/质量系统”(如生产MES、质量系统)和“支持性系统”(如培训管理系统TMS),前者直接影响产品质量/患者安全,需高强度保证,后者可简化管控(如供应商评估+安装配置确认);风险等级分为高过程风险(故障致质量问题并危害患者安全)和非高过程风险(故障不影响患者安全,仅影响流程效率或记录完整性)。
条款来源:V-B Considerations for Electronic Records Requirements
核心要求:电子记录需符合21 CFR Part 11要求,确保可追溯、不可篡改,记录操作人、时间、修改内容,审计日志长期留存;21 CFR Part 11的适用与否不能豁免QMSR要求下对计算机化系统的验证要求,无论是否使用电子签名,相关系统均需验证合规。
条款来源:V.A.(5) Additional Considerations for Assurance Activities
核心要求:供应商评估需穿透至软件开发生命周期(SDLC),审核供应商QMS认证(如ISO 13485)、网络安全文档(SBOM、威胁建模)等,协议中明确数据所有权、变更通知义务;系统需维持“持续验证状态”,变更(如软件升级、功能新增)需先做风险评估,高风险变更需重新执行脚本化测试;对SaaS类供应商,额外审查基础设施支持能力(可用性、可靠性),并在服务协议中明确安全、数据完整性等条款。
条款来源:V.A“Computer Software Assurance Risk Framework”
核心要求:按风险选择测试方式,高风险功能采取强化测试,支持脚本化测试(预设用例、可追溯可重复)和非脚本化测试(场景测试、探索性测试);测试证据需可追溯,包含测试目标、执行人员、日期、问题整改结果,且与软件版本、生产批次关联,便于监管审计。
条款来源:V. Computer Software Assurance” “B. Considerations for Electronic Records Requirements
核心要求:计算机化系统软件是否需要开展验证活动,应当严格遵循21CFR Part 820 70i条款下的规定,不能以是否采用电子签名而豁免相应的验证要求。即GMP相关的计算机化系统软件都应当根据法规开展与之相适应的验证和确认活动,以确保软件系统的合规性。
影响范围 | 与医疗器械生产质量管控相关的计算机软件 |
核心目标 | 保障患者安全,确保符合医疗器械专属法规要求 |
追溯粒度 | “原材料-生产-检验”全链路内,均需内置完备的审计追踪功能 |
风险管理 | 与生产/检验功能深度绑定,随产品风险调整功能逻辑和管理强度 |
验证要求 | 上线前强制验证,全生命周期多频次确认,验证深度与产品风险匹配 电子签名的使用与否,不能豁免与生产质量相关的计算机化系统验证要求 |
行业场景适配 | 匹配法规强制的精准权限管控、账户控制策略、具备全面的审计追踪并确保功能不可关闭,支持可靠的电子签名 |
供应商管理 | 穿透式审查SDLC、QMS认证、网络安全能力及数据完整性能力等,留存评估证据 |
中国法规:《医疗器械生产质量管理规范》第七十七条,要求对影响产品质量的计算机软件进行验证或确认。
美国法规:FDA 21 CFR Part 820.70i,规定计算机或自动数据处理系统作为产品或质量体系组成部分时,需按规定方法确认软件功能,软件更改批准发布前需确认并记录。
实践建议:优先选用配置化为主的软件产品,其验证过程便捷、成本低;若标准软件产品已开展完备的出厂CSV验证,可大幅降低实施风险与验证工作量。
条款来源:NMPA《医疗器械生产质量管理规范现场检查指导原则》第五章 文件管理
核心要求:记录文件应采用预先制订的正式表格,包含标题、标识号、修订状态(版本)和日期;电子记录需保持原有文件记录格式的延续性,具备记录模板直接导入功能,确保记录作为质量活动证据的有效性与可追溯性。
条款来源:NMPA《医疗器械生产质量管理规范现场检查指导原则》第五章 文件管理
核心要求:电子批记录(如领料单、生产流转单、检验记录、包装记录、灭菌记录、放行记录等)需以树形目录组织显示,科学系统编目;电子记录需采取安全有效的备份方式,确保检索和查阅便捷高效,与原有质量管理体系兼容。
合规要求:根据CSA指南,21 CFR Part 11的适用与否不能豁免QMSR要求下对计算机化系统的验证要求,无论软件是否替代纸质记录,均需进行基于风险评估的计算机软件验证。
不合规说明:认为“仅辅助记录、不替代纸质”即可豁免验证的认知错误,此类软件若涉及生产质量相关数据处理,仍需满足合规要求。
合规要求:在QMSR及CSA的数据完整性框架下,对医疗器械生产和质量有影响的计算机软件,验证必须包含审计追踪、权限控制、数据安全性等基础合规要求,纳入GMP验证管理的计算机化系统需确保全面合规。
不合规说明:忽视非替代型软件的CSV要求,将导致数据完整性与系统安全性失控,不符合GMP合规底线。
合规要求:《中华人民共和国电子签名法》《FDA 21 CFR Part 11》《EU GMP Annex 11》等法规明确,计算机化系统需采用可靠电子签名技术,确保其与手写签名具有同等法律效力。
不合规后果:电子签名功能设计或应用不符合法规要求,属于严重不合规项,直接影响软件系统的GMP符合性。
合规要求:采用基于角色的权限设计(RBAC),实现角色与权限严格分离,按预定义角色(管理员、操作员、审计员)分配最小必要权限;权限粒度需细化至功能模块、数据字段及操作类型(增删改查)等层面,支持功能级、数据级、操作级权限控制,防范未授权访问与数据篡改。
不合规后果:权限控制缺失或粗放,存在数据泄露、误操作、越权篡改等风险,直接影响GMP符合性。
合规要求:审计追踪需覆盖七大核心场景:数据修改(如检测结果、处方调整)、系统访问(登录/登出、权限变更)、审批流程(电子签名、复核记录)、配置变更(参数设置、系统升级)、数据删除(记录原因及审批)、报警事件(系统异常、数据超限)、系统集成(接口连接、外部交互)。
不合规后果:审计追踪功能缺失或覆盖场景不全,无法实现数据全生命周期追溯,不符合数据完整性要求。
合规要求:数据需在生成、记录、存储、传输、检索及销毁全生命周期中,满足ALCOA+原则(准确性、完整性、一致性、可追溯性、不可篡改性)。
不合规后果:电子数据存在篡改、缺失、不一致等问题,企业可能面临停产整顿、市场禁止进入等严厉监管处罚。
合规要求:Excel若用于关键生产质量数据(如工艺参数记录、检验结果统计、批次追溯数据管理等)的记录和处理,属于“对产品质量有影响的计算机软件”,需按《医疗器械生产质量管理规范(2025)》第七十七条要求开展风险评估、验证确认(如数据录入权限控制、公式准确性验证、数据防篡改措施等),留存验证记录与审计追踪证据。
不合规说明:认为Excel是通用办公软件可豁免合规要求的认知错误,其用于关键生产质量数据处理时,必须满足GMP软件的合规性与验证要求。
合规要求:通用ERP系统若涉及生产计划下达、原材料采购验收、质量检验记录、产品放行管理等生产质量相关业务,无论是否启用电子签名,均需按《医疗器械生产质量管理规范(2025)》第三十三条、第四十五条、第四十六条及第七十七条要求开展合规保障与验证,包括权限分级管控、数据审计追踪、系统变更控制、数据备份与恢复验证等核心环节。
不合规说明:以“未使用电子签名”“系统为通用型”为由规避合规验证,将导致生产质量数据的完整性、安全性无法保障,(参见前述1、2项不合规描述)不符合国内外相关法规对于计算机化系统的风险管控要求。
