CSV到CSA：制药与医疗器械企业计算机化系统验证的风险导向转型实操指南

2026年2月3日，FDA发布了更新版的《Computer Software Assurance for Production and Quality Management System Software》最终指南，将CSA（计算机软件保证）的期望与新的质量管理体系法规（QMSR）对齐。这份文件标志着从传统文档驱动的CSV（计算机化系统验证）向风险导向的CSA的正式过渡。

对于制药和医疗器械出海企业来说，这既是一个减轻合规负担的机会，也是一个需要重新审视验证策略的信号。

从CSV到CSA：范式转变的本质

传统CSV的痛点

传统的计算机化系统验证方法在过去二十多年中形成了一套高度文档化的实践。一台LIMS（实验室信息管理系统）、一套MES（制造执行系统）或一个eQMS（电子质量管理系统）的验证，可能产生数千页的验证文档：从验证计划（VP）到用户需求规格（URS），从功能规格（FS）到设计规格（DS），从IQ（安装确认）到OQ（运行确认）到PQ（性能确认），每个步骤都需要详细的测试脚本和记录。

这套方法的根本问题在于"一刀切"。不管是高风险的批次放行系统还是低风险的文档存档工具，都按照同样的深度进行验证。结果是企业花费大量资源在低风险功能的验证上，而真正影响产品质量和患者安全的高风险功能反而得不到与其重要性相匹配的关注。

CSA的核心原则

FDA的CSA指南提出了几个关键原则：

以预期用途和风险为核心。 验证的范围和深度应该基于软件功能的预期用途和相关过程的风险。一个功能的验证力度应该与其对患者安全、产品质量和数据完整性的潜在影响成正比。

善用供应商的测试和文档。 对于商业化软件（尤其是SaaS产品），企业不需要从零开始重复供应商已经完成的测试。FDA明确认可利用供应商文档作为验证证据的一部分，前提是企业对供应商进行了适当的评估和质量协议安排。

测试方法的灵活选择。 CSA允许根据风险等级选择不同的测试方法。高风险功能可以采用脚本化测试（Scripted Testing），中低风险功能可以采用非脚本化测试（Unscripted Testing）或基于真实世界使用证据的确认。

文档量与风险匹配。 验证文档的详细程度应该与风险等级相称。FDA明确表示不希望看到"文档驱动的合规"——堆砌大量文档并不等同于更好的合规。

CSV与CSA的对照

维度	传统CSV	风险导向CSA
验证范围	整个系统统一验证	聚焦高风险功能
测试方法	全部手动测试脚本	高风险用脚本化测试，低风险用非脚本化测试
供应商文档	通常不利用或有限利用	适当利用作为验证证据的一部分
升级后验证	全系统重新验证	基于风险的定向回归测试
文档量	大量文档	与风险相称的精简文档
典型周期	数月	适当规划下可缩短至数周

GAMP 5分类与风险导向策略

软件分类框架

ISPE的GAMP 5指南（2022年第二版）将软件分为五个类别，这个分类框架是确定验证策略的基础：

GAMP类别	描述	典型系统	验证策略
类别1	基础设施软件	操作系统、数据库、网络	记录版本信息，有限验证
类别2	固化固件	不可编程的仪器控制器	记录版本，确认功能
类别3	不可配置软件	商业化非配置软件	基于风险的确认，非脚本化测试可接受
类别4	可配置软件	LIMS、MES、ERP	验证配置和定制功能，高风险部分用脚本化测试
类别5	定制应用软件	自行开发的质量管理系统	全面验证，包括代码审查和脚本化测试

注意： GAMP 5第二版（2022年发布）明确向风险导向方法转型，与FDA CSA指南的思路高度一致。两个框架可以配合使用：GAMP 5提供分类和生命周期管理框架，CSA提供具体的验证执行策略。

风险评估的实操方法

风险导向的验证策略核心是功能级别的风险评估。具体步骤如下：

第一步：列出所有软件功能。 基于URS和功能规格，建立完整的功能清单。

第二步：对每个功能进行风险评估。 评估该功能的失效对患者安全、产品质量和数据完整性的影响。使用 severity × probability 的矩阵来判定风险等级。

第三步：确定验证策略。 根据风险等级分配验证资源：

高风险功能： 脚本化测试，详细记录测试步骤、预期结果和实际结果。需要独立的测试人员执行。
中风险功能： 非脚本化测试或供应商文档引用，记录测试活动但不需要逐步骤脚本。
低风险功能： 可以基于供应商文档、真实使用记录或简单的功能确认。

第四步：记录风险决策。 风险评估的过程和结论需要形成记录，作为验证文件的一部分。FDA在检查时会关注企业的风险评估是否合理，而非简单地检查文档的数量。

21 CFR Part 11与电子记录合规

Part 11的核心要求

CSA不改变21 CFR Part 11的合规要求。无论采用CSV还是CSA方法，涉及电子记录和电子签名的系统都必须满足Part 11的核心控制：

审计追踪： 所有电子记录的创建、修改和删除都必须被自动记录，且审计追踪不能被修改或删除
电子签名： 必须包含签名者的全名、签名日期和时间、签名的含义（如"审批"、"审核"）
访问控制： 基于角色的权限管理，确保只有授权人员可以执行相应操作
记录完整性： 确保电子记录在整个保留期间内完整、可读、可检索

CSA对Part 11合规的影响

CSA改变了的是"如何证明合规"，而非"合规什么"。在传统CSV方法下，企业可能为每个Part 11控制点编写详细的测试脚本。在CSA方法下，对于成熟的商业化系统（如已通过供应商验证的SaaS eQMS），企业可以：

引用供应商的验证报告和功能声明作为Part 11合规的部分证据
通过非脚本化的使用记录确认Part 11功能在实际使用中的正确运行
将脚本化测试集中用于企业自定义的Part 11配置和集成点

ALCOA+原则

数据完整性要求遵循ALCOA+原则，这在CSA和CSV框架下都适用：

Attributable（可归属）： 每条记录可以追溯到创建者
Legible（可读）： 记录在整个保留期内可读
Contemporaneous（同时性）： 记录在操作发生时创建
Original（原始性）： 保留原始记录或经认证的副本
Accurate（准确性）： 记录准确反映实际操作
Complete（完整性）： 包括所有数据，含重复测试和失败结果
Consistent（一致性）： 数据要素在逻辑上一致
Enduring（持久性）： 记录在整个保留期间内保存
Available（可用性）： 记录在需要时可以被检索

EU GMP Annex 11与MDR/ISO 13485的协调

EU GMP Annex 11的核心要求

EU GMP Annex 11规定了制药企业计算机化系统的要求，其核心原则与CSA高度一致：

风险导向： 基于风险评估确定验证范围和深度
供应商依赖： 认可供应商文档和验证作为合规证据
生命周期管理： 覆盖从开发到退役的全生命周期

Annex 11对电子签名和审计追踪的要求与Part 11基本对齐，但在某些细节上有差异。对于同时在美国和欧盟运营的企业，需要确保同时满足两个体系的要求。

MDR/ISO 13485对软件验证的要求

对于医疗器械企业，ISO 13485:2016条款7.5.6要求对用于产品实现和质量管理的软件进行确认。2026年2月生效的QMSR将ISO 13485纳入了美国器械质量体系法规，这意味着FDA和EU MDR在软件验证要求上的协调度进一步提高。

FDA的CSA指南明确适用于"用于器械生产或质量管理系统的软件"。这包括MES、LIMS、eQMS、CAPA系统、文件管理系统等。但CSA不适用于器械本身的软件功能（SiMD和SaMD），后者仍需遵循器械软件验证的专门指南。

对中国企业的意义

中国出海企业如果同时面对美国和欧盟市场，需要构建一个能同时满足三个体系要求的验证框架。好消息是，CSA、Annex 11和ISO 13485的风险导向原则是高度一致的。一个基于风险的统一验证策略可以在三个体系下被接受。

NMPA对计算机化系统的要求正在向国际标准靠拢。《药品生产质量管理规范（2010年修订）》附录《计算机化系统》已经引入了风险导向和生命周期管理的概念。虽然执行细节与FDA和EMA的期望还有差异，但底层逻辑是一致的。

CSA实施路径：分步指南

第一步：系统清单与分类

建立所有GxP相关计算机化系统的完整清单。对每个系统进行GAMP 5分类，初步确定其验证要求。清单应包含：

系统名称和版本
系统用途和功能概述
GxP相关功能列表
GAMP类别
供应商信息
当前验证状态

第二步：功能级风险评估

对每个系统的GxP相关功能进行风险评估。可以采用简化版的FMEA方法：

风险因素	评分标准（1-3分）
严重度（Severity）	1=无直接GxP影响；2=间接影响产品质量或数据完整性；3=直接影响患者安全或批次放行
发生概率（Probability）	1=极少发生故障；2=偶尔发生；3=频繁发生
可检测性（Detectability）	1=故障容易被发现；2=需要特定检查才能发现；3=难以发现

风险优先级数（RPN）= S × P × D，根据RPN值划分验证深度。

第三步：制定验证策略文档

基于风险评估结果，为每个系统编写验证策略文档。与传统验证计划不同，CSA下的策略文档更简洁，重点描述：

系统的预期用途
风险评估的方法和结论
各功能的验证方法选择（脚本化、非脚本化、供应商文档引用）
测试环境的描述
可接受标准的定义

第四步：执行验证活动

按照验证策略执行测试活动：

脚本化测试： 用于高风险功能。编写详细的测试步骤，记录预期结果和实际结果。测试应由独立于配置人员的人员执行。典型的高风险功能包括：

批次放行决策逻辑
电子签名功能
审计追踪的完整性和不可修改性
权限控制的正确性
关键计算公式（如有效期计算、含量计算）

非脚本化测试： 用于中低风险功能。记录测试活动（如截图、操作记录），但不需要逐步骤的测试脚本。典型场景包括：

界面导航和基本功能
报表生成和格式
数据导出功能
通知和提醒功能

供应商文档引用： 对于SaaS产品和成熟商业软件，可以在风险评估的基础上引用供应商的验证文件。引用供应商文档时需要：

评估供应商的质量体系
确认供应商验证覆盖了企业使用的功能
建立质量协议明确双方责任

第五步：持续合规管理

验证不是一次性活动。CSA框架下的持续合规包括：

变更控制： 系统的任何变更（升级、配置修改、接口变更）都需要经过变更控制流程，评估变更的影响并确定需要的再验证范围
周期性审核： 定期审核系统的运行状态、投诉记录和审计追踪，确认系统持续处于验证状态
退役管理： 系统退役时需要确保数据的迁移和保存符合法规要求

常见系统类型的验证策略

MES（制造执行系统）

MES直接参与产品制造过程，通常属于GAMP类别4。关键验证点包括：

批次配方和执行逻辑
电子批记录的完整性
与ERP和LIMS的接口
数据采集的准确性
报警和异常处理流程

CSA策略： 批次执行逻辑和电子批记录用脚本化测试。数据采集的准确性可以通过供应商文档加有限的非脚本化确认。报表功能用非脚本化测试。

LIMS（实验室信息管理系统）

LIMS管理实验室数据和结果，直接影响产品质量决策。关键验证点包括：

样品管理和追溯链
检验方法的配置和计算公式
OOS/OOT结果的处理流程
审计追踪的完整性
COA（检验报告）的生成

CSA策略： 计算公式和OOS处理流程用脚本化测试。审计追踪功能结合供应商文档和非脚本化测试。样品管理和报表功能用非脚本化测试。

eQMS（电子质量管理系统）

eQMS管理质量事件、CAPA、变更控制、投诉等质量流程。关键验证点包括：

CAPA和投诉的审批工作流
电子签名功能
权限和角色管理
文件控制版本管理
审计追踪

CSA策略： 审批工作流和电子签名用脚本化测试。权限管理结合供应商文档和脚本化测试。文件控制和其他功能可以用非脚本化测试。

对中国出海企业的具体建议

评估现有验证实践的差距

很多中国企业的验证实践仍然停留在"文档驱动"阶段——验证文档的目的是应付检查而非确保系统适合其预期用途。出海之前，需要对照CSA和Annex 11的要求评估现有实践的差距：

是否有功能级的风险评估？
验证范围是否基于风险？
是否利用了供应商的测试文档？
测试方法是否与风险等级匹配？
变更控制是否包含影响评估和再验证决策？

构建统一的全球验证框架

与其为不同市场维护不同的验证体系，不如构建一个能满足所有目标市场要求的统一框架：

以GAMP 5分类为基础
以功能级风险评估为核心
以CSA的风险导向执行策略为操作指南
以Part 11和Annex 11为电子记录合规基准
以ISO 13485和QMSR为医疗器械质量体系框架

培训验证团队

CSA的实施需要验证团队思维方式的转变。从"测试所有东西、记录所有细节"转向"基于风险思考、聚焦关键功能"。这需要系统的培训，覆盖：

CSA指南的具体要求和FDA的期望
风险评估方法（简化FMEA或其他适用方法）
非脚本化测试的记录方法
供应商评估和质量协议的最佳实践
FDA检查中验证相关的常见缺陷项

与供应商建立质量协议

对于使用SaaS和商业软件的企业，供应商文档的利用是CSA的核心优势之一。但要有效利用供应商文档，需要：

审查供应商的质量体系认证（如ISO 9001、SOC 2 Type II）
建立覆盖验证责任的质量协议
确保供应商的变更通知流程能满足企业的变更控制要求
定期审核供应商的验证文档更新

FAQ

CSA是否替代了CSV？

不是替代，是演进。CSA改变了验证活动的执行方式——从文档驱动转向风险导向——但合规目标没有变。FDA在CSA指南中明确指出，验证的目的是"建立和保持软件适合其预期用途的合理信心"。CSV中的核心概念（用户需求、功能规格、测试记录）在CSA中仍然存在，只是执行的深度和文档量根据风险进行了调整。简单来说：CSA是更聪明的CSV，而不是更少的CSV。

CSA适用于哪些系统？

FDA的CSA指南适用于"用于器械生产或质量管理系统的软件"，包括MES、LIMS、eQMS、CAPA系统、文件管理系统、自动化实验室仪器等。2026年2月的更新版同时适用于医疗器械和制药企业。CSA不适用于器械本身的软件功能（SiMD和SaMD），这些仍需遵循FDA的器械软件验证指南。对于制药企业，21 CFR Part 11的要求（电子记录和电子签名）在CSA框架下仍然完全适用。

非脚本化测试如何记录？

非脚本化测试不需要逐步骤的测试脚本，但仍然需要记录测试活动。典型的记录方式包括：测试活动的描述（如"验证了用户登录和密码重置功能"）、操作截图或录屏、测试结论和日期/签名。关键是要记录"做了什么"和"结论是什么"，而不是"每一步怎么做的"。FDA在检查时关注的是测试覆盖了哪些功能、结论是否有依据，而非测试记录的长度。

供应商文档可以作为验证证据吗？

可以，但有条件。FDA在CSA指南中明确认可利用供应商文档作为验证证据的一部分。但企业需要：评估供应商的质量体系是否可靠，确认供应商的验证范围覆盖了企业使用的功能，评估企业自身的配置和定制是否引入了额外风险，并在质量协议中明确双方在验证方面的责任。对于SaaS产品，还需要确认供应商的变更管理流程能否满足企业的变更控制要求。

中国NMPA对计算机化系统验证有什么要求？

中国2015年实施的GMP附录《计算机化系统》引入了风险导向和生命周期管理的概念，与PIC/S和EU GMP Annex 11的基本框架一致。但在执行层面，国内检查的期望和FDA/EMA的期望存在差异。国内检查有时更关注文档的完整性，而国际检查更关注验证活动的实质。对于出海企业，建议在满足国内要求的基础上，按照CSA和Annex 11的标准构建验证体系，这样可以在全球范围内保持一致。

QMSR对软件验证有什么影响？

2026年2月2日生效的QMSR将21 CFR Part 820与ISO 13485:2016对齐。对于软件验证，主要影响是：ISO 13485条款7.5.6的软件确认要求现在成为美国法规框架的一部分。FDA的CSA指南（2026年2月更新版）已经与QMSR/ISO 13485框架对齐。对于器械企业来说，这意味着美国的软件验证要求与ISO 13485的要求更加一致，减少了在多个体系间协调的工作量。

参考资源

FDA: Computer Software Assurance for Production and Quality Management System Software (Final Guidance, Feb 2026) — FDA CSA最终指南
ISPE GAMP 5 Guide, Second Edition (2022) — GAMP 5第二版，风险导向的计算机化系统合规框架
21 CFR Part 11: Electronic Records; Electronic Signatures — 电子记录和电子签名的法规要求
EU GMP Annex 11: Computerised Systems — 欧盟制药GMP计算机化系统附录
PSC Software: FDA Computer Software Assurance 2026 — CSA 2026更新版解读
Qualio: Complete Guide to Computer System Validation 2026 — 2026年CSV/CSA完整指南