这两年，越来越多医疗器械企业在质量体系建设过程中发现：审核老师开始频繁关注企业的信息化系统。
MES、LIMS、WMS、电子批记录、温湿度监控、UDI赋码系统……
这些原本被当作“IT工具”的软件，正在成为GMP检查的重点对象。

尤其在2025版《医疗器械生产质量管理规范》中，明确提出：
对产品质量有影响的计算机软件，必须进行确认，并保留记录和结论。

这也意味着：
“软件确认”，已经成为企业必须完成的一项合规工作。


什么是“计算机软件确认”？

简单来说：
软件确认，就是证明企业用的软件，真的适合干这件事，而且不会影响产品质量。

比如，企业会：

1. 用MES生成电子批记录
2. 用LIMS出具检验报告
3. 用WMS管理批号和库存
4. 用系统做放行判定

那么相应的，监管关注的就会是：

1. 数据会不会被随意修改？
2. 关键数据有没有记录修改痕迹？
3. 权限是不是乱给？
4. 系统出故障，会不会导致数据丢失？
5. 系统升级后，数据还准不准？

软件确认，本质就是想解决这些风险。

那么为什么2025版GMP要重点管软件呢？其实主要也是因为现在越来越多的质量数据已经不在纸上，而是在系统里；如果一家企业的系统不受控，带来的风险往往远比纸质记录出错更大。
因此，2025版GMP在多个条款中，对软件确认、电子记录、数据完整性、系统环境提出了明确要求。


法规到底怎么要求？抓住这3点就够了

在2025版GMP中，企业需要重点关注的要求其实就这三点：

第77条 —— 软件必须确认
法规要求：对质量有影响的软件应确认；首次使用前确认；更改后必要再确认；活动与风险相适应。
企业可理解为：
只要这个软件影响质量决策、质量记录或放行结论，就必须做确认；上线前要确认，升级变更后要再确认。

第46条 —— 电子记录必须真实、可追溯
法规要求：电子记录/数据真实准确完整及时可追溯；权限控制；更改/删除留痕；备份；电子签名合规。
企业要确定这几个点：

1. 谁能改数据？
2. 改了有没有痕迹？
3. 能不能查到历史版本？
4. 数据丢了能不能恢复？

第33条 —— 运行环境必须可靠
法规要求：信息化系统硬件设施与运行环境满足预定用途；采取措施防干扰。
可简单理解为：
服务器要稳定，网络要安全；
做好防病毒、防黑客、防断电措施


公司所有软件都要做确认吗？

答案当然是否定的。
监管关注的不是“你用了多少系统”，
而是这些系统，会不会影响产品质量？
只要系统中的数据，可能参与质量判定、生产控制、检验放行或产品追溯，就必须纳入软件确认范围。反之，自然不必确认。

例如：

1. 生产过程中的MES、电子批记录系统，会直接决定产品是否按工艺要求执行；
2. 检验环节使用的LIMS、检测设备控制软件，会直接决定检验结果是否真实可靠；
3. 仓储环节的WMS、温湿度监控系统，也关系到物料和成品储存条件是否受控；
4. UDI赋码与追溯系统，亦决定产品是否可追溯、可召回。

类似上述软件，会直接涉及到产品质量，就需要被纳入软件确认范围。

并且实际上，监管真正关注的核心只有几个方面：

1. 系统上线前，有没有确认过：功能是否正常、数据是否准确、权限是否受控？
2. 系统运行中，有没有确保：数据不能随意修改、修改有记录、数据能备份、能恢复？
3. 系统升级或配置变更后，有没有重新评估：是否还会影响原有质量控制？

换句话说，软件确认不是为了做一大堆文件，而是为了证明：这个系统，在实际使用中是可靠的、可控的、可追溯的。
只要企业围绕“系统是否可靠 + 数据是否真实 + 过程可否追溯”这三点展开，那么整体工作量其实是可控的，也是可落地的。


总体来看，2025版GMP的实施，正在推动医疗器械企业从“纸质管理”向“数字化合规管理”转型。如何在合规前提下，高效、可控地使用这些系统，已经成为企业质量管理的新课题。
科学开展软件确认，不仅是满足法规要求，更是帮助企业建立稳定、可靠、可追溯的数据管理体系。这将直接提升企业迎检通过率，也有助于长期质量能力建设。