一. 软件合规

在制药企业的合规运营与GxP（含GMP、GCP、GLP、GDP等）场景管控中，ELN（电子实验记录本）、LIMS（实验室信息管理系统）、MES（制造执行系统）、PLM（产品生命周期管理系统）、SDMS（科学数据管理系统）、ERP（企业资源计划系统）、SCADA（数据采集与监控系统）等计算机化系统已成为核心支撑工具。2010年以来，我国医药行业正在不断建立详细而严格的合规标准，GxP场景下的计算机化系统验证规范也正在完善。

针对这些系统在GxP场景的验证，一大疑问在于：不同类型软件应适用3Q验证（安装确认IQ、运行确认OQ、性能确认PQ）还是4Q验证（额外增加设计确认DQ）？

其判定逻辑可明确如下：大多数ELN、LIMS、SDMS等非定制的标准化通用软件，通常执行3Q验证即合规；而MES、SCADA、定制化ERP功能模块等面向特定业务场景开发的定制化软件，需按法规要求完成4Q验证，确保设计、安装、运行及性能全环节符合预定用途与合规标准。

二. 什么是定制软件、什么是非定制软件？

根据国际制药工程学（协）会（ISPE）发布的《GAMP 4、5》指南以及国际药品检查公约与合作计划组织（PIC/S）《GxP环境中计算机化系统良好规范》的定义，定制软件（Customized/Bespoke Software）指：为适应特定业务而单独设计的计算机化系统，如按企业流程开发的MES，它们归为Category 5#类。

其余则为非定制软件（COTS，Commercial - Off - The - Shelf Software），包类——操作系统、标准软件、可配置软件（如通用电子实验记录本ELN）。

上图：PIC/S 2007指南的软件分类

三. 什么是4Q

4Q即DQ、IQ、OQ、PQ，其含义、作用、形式如下表——

四. 什么是3Q

4Q中排除DQ（设计确认），即为3Q。

关键区别：

※ 定制软件—— 必须走完4Q！因为设计阶段存在高风险，需证明“设计本身合规”。

※ 非定制软件—— 仅需3Q（IQ、OQ、PQ）！即只需验证“安装与运行是否符合要求”。

一句话记住：

“自己设计的，要验设计；买现成的，只验安装和运行。”

为了深刻理解3Q与4Q的监管背景，需要学习以下国内外对电子记录及计算机化系统的官方/权威文件。

五. 中国NMPA对3Q/4Q的定义

机构： NMPA国家药品监督管理局

文件：《药品生产质量管理规范（2010年版》和2015年附录《计算机化系统》

原文部分截图：

中国GMP规范及附录对定制和非定制软件进行区别性管理——定制软件的验证包括设计确认（DQ）在内的全生命周期，而通用商业软件一般完成IQ、OQ、PQ即可。

六. 欧盟EMA对3Q/4Q的定义

机构： EMA欧洲药品管理局

文件：《EU GMP Annex 11 - Computerised Systems（附录11 - 计算机化系统）》

原文部分截图：

欧洲EMA GMP规范及附录对定制软件有更严格要求——对于定制计算机化系统的验证，应建立相应流程，以确保对系统全生命周期各阶段的质量与性能指标进行正式评估并形成报告；这个周期包括设计、规范、编程、测试、安装、运行和维护。

七. 美国FDA对3Q/4Q的定义

美国FDA相关规范未明确区分3Q、4Q验证，其核心是药企需符合21 CFR Part 11及相关要求，以ALCOA+数据原则与质量保证（QA）为核心。制药企业只需实质合规，如具备单人单账号、审计追踪、备份还原等功能，确保数据真实、准确、完整、可追溯，即可顺利通过检查。

八. 国际ISPE对3Q/4Q的定义

机构： ISPE国际制药工程学（协）会

文件：《ISPE GAMP® 5：A RiskBased Approach to Compliant GxP Computerized Systems, 2022 Second Edition》（全球医药行业软件验证的实践参考手册和“圣经”）

原文部分截图：

ISPE GAMP 5.2推荐——定制软件（第5类）的验证包括设计确认（DQ）在内的全生命周期。相对而言，可配置软件（第4类）完成IQ、OQ、PQ即可。

九. 3Q/4Q验证的大场景

无论3Q、4Q，都是计算机化系统验证的代表，根据监管要求与行业实践，可分三类场景来规定其必要性：

9.1 GxP场景：必须3Q/4Q验证

在涉及GxP活动的软件（生产、临床、非临床实验）中，计算机化系统通常需要满足监管要求验证其数据完整性与功能合规性。

9.2 申报材料递交场景：建议做验证（3Q/4Q有备无患）

在向NMPA或FDA递交申报材料（如IND、NDA）过程中，实验/临床数据往往作为重要证据提交，其数据出处、完整性与合法性直接影响审评结果。因此建议对用于生成申报数据的软件进行3Q/4Q验证。

9.3 研发内部使用场景（非GxP、非申报数据）

在纯研发阶段（如化学合成、小分子筛选、机制研究），如果软件仅用于内部知识管理或不涉及提交监管的数据，不强制要求3Q/4Q验证。过度验证会增加成本和时间，而合规性风险相对较低（不直接影响产品质量/安全评估）。

结语：精益验证，合规致远

合规从来不是单次确认或验证即可一劳永逸，而是贯穿系统全生命周期的持续坚守与动态保障；所以应摒弃“为验证而验证”的思维。

由于定制软件往往缺少参考案例与充分迭代，加上DQ确认过程繁琐，会存在一定系统性风险，所以无论大小药企，通常都优先选择通用可配置软件，进行IQ、OQ、PQ来满足合规，从而快速、可靠地管理研发和生产活动。

3Q、4Q等验证并非终点，而是制药企业计算机化系统合规的起点与实现路径之一。其核心要义，始终以国际通行的ALCOA+原则为锚点，筑牢数据真实、准确、完整、可追溯的合规基石。

翻阅美国FDA数千封公开警告信可见，从未因企业未提供CSV或3Q、4Q验证报告而被警告，反倒是记录书写、签名合规、时间戳有效性、审计追踪完整性、数据不可篡改性等方面的细节缺陷，屡屡成为通报焦点。

总之，我们当以“第一性原理”为指引，锚定真正合规与效能提升的核心目标，推进医药信息化，摒弃形式主义，回归合规本质，共同助力中国医药产业迈向全球舞台中央！

参考资料：

[1] 新药研发数据的质量体系建设与管理实践.

[2] QA应该如何检查电子实验记录本.

[3] 盘点：药物研发中最好用的16款电子实验记录本ELN.

[4] 谁是国内电子实验记录本老大？

[5] 计算机化系统验证（CSV）的前世今生.

[6] 3Q认证的前世今生.

[7] NMPA. 关于发布《药品生产质量管理规范（2010年修订）》计算机化系统和确认与验证两个附录的公告（2015年第54号）.

[8] NMPA.《药物非临床研究质量管理规范》（2017年第44号公告发布）.

[9] NMPA.《药物临床试验质量管理规范》（2020年第57号公告）.

[10] NMPA.《药品记录与数据管理要求（试行）》（2020年）.

[11] NMPA CFDI. 药品注册核查要点与判定原则（试行，2021年第30号，药理毒理学研究、药物临床试验、药学研制和生产现场）.

[12] NMPA CFDI. 《药物临床试验生物样品分析实验室管理指南，2025》.

[13] NMPA CFDI. 《生物等效性试验电子化记录技术指南（试行，2025）》.

[14] NMPA CFDI. 药物Ⅰ期临床试验管理指导原则（试行）.

[15] NMPA CFDI. 药物临床试验计算机化系统和电子数据指导原则（征求意见稿）.

[16] NMPA CDE. ICH指导原则中文版.

[17] FDA. eCFR :: 21 CFR Part 11 -- Electronic Records; Electronic Signatures.

[18] FDA. eCFR :: 21 CFR Part 58 -- Nonclinical Laboratories Inspected under Good Laboratory Practices.

[19] FDA. Data Integrity and Compliance With CGMP： Questions and Answers (2018).

[20] EMA. EudraLex Volume 4 – EU Guidelines for GMP – Annex 11: Computerised Systems (EU GMP).

[21] EU GMP Annex 15- Qualification and Validation.

[22] PIC/S. PI 011-3-Good Practices for Computerised Systems in Regulated “GXP” Environments, 2003.

[23] ISPE. GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems.

[24] WHO Technical Report Series No. 1019, Annex 3- GMPs- guidelines on validation.

[25] GMP中计算机化系统验证（CSV）的理解与实施.

[26] 信息化和计算机化系统.

[27] 最全！计算机化系统（官方机构、FDA、WHO等）法规指南.

[28] Warning Letters | FDA.

PhDTool，2025.12