I. CSV概念回顾:
CSV流程以GAMP V的内容为方法学,严格按照V模型的流程执行验证工作,如下图内容
II. CSV痛点分析:
- 被部分企业认为是推动自动化的阻碍
- 旨在为审计官呈现验证执行证据
- 重复性地进行供应商已测试过的项目(尤其是开箱即用功能)
- 风险评估结果与业务情况不符,如认为所有功能均有风险并进行冗余验证,或遗漏了高风险功能的验证
- 偏差多由测试脚本及测试人员误操作导致,系统缺陷导致的偏差较少
- 很多问题上线后才暴露
III. CSA概念介绍(Computer Software Assurance):
概念来源于FDA的待发行指南 ,是一种风险基础方法,用于评估系统和软件对于产品质量和患者安全的影响。CSA旨在于验证活动中引入批判性思维(Critical Thinking),提供一种减少文件工作,针对风险评估结果进行充分测试的方法学。该主旨与 FDA在< General Principles of Software Validation; Final Guidance for Industry and FDA Staff >中希望的 “The Least Burdensome Approach” (最小负担原则)一致。
然而CSA概念的提出与GAMP 5中提及的CSV方法学并不冲突,也不作为一种替代的方法学。相反,CSA是对GAMP 5中关键内容的强调和重申,包括对产品和流程的理解,质量风险管理,以及供应商行为的管理。在基于风险的测试执行基础上,将文件交付也进行风险管理。
CSA并非FDA对数据完整性或自动化实施项目的新法规要求,与GAMP V相比,CSA流程的风险评估基于对患者安全和产品质量的影响,为不同复杂性的需求而制定风险等级;而不是仅处于合规性考虑,将验证的重心放在重复执行大量的开箱即用功能,并生成大量验证文件(一般审计官不会查看,多用于内部审计)。
IV. 测试执行策略
相较于传统的GAMP V的验证策略,CSA在按部就班的脚本测试(Scripted Testing)外,引入了IT软件测试中的集中测试方法:随机测试(Ad-hoc Testing),和非脚本测试(Unscripted Testing)
对于系统功能的实现方式进行分类,如下:
- 开箱即用(Out of Box,即OOB):软件安装完成后即用,或通过加入必要的主数据后即可使用的功能(e.g. BOM)
- 通过配置实现(Configuration,即Config.):通过设置软件参数以实现该功能,且不对软件代码进行修改
- 通过开发实现(Customization,即Custom.):通过重新编程,或原软件代码的变更以实现特定功能
则对应的测试执行方式如下