规范行业的软件验证最佳实践

软件验证，又称“计算机系统验证”，是确认某一软件是为其预期目的而设计并满足其预期目的的过程。它包括软件开发或选择期间的审查，以及部署期间的系统安装过程和测试。与软件验证一样，验证是软件质量控制的一个基本部分。在软件验证中，根据一组预定的规格来检查软件。

对于在严格管制的行业中使用的软件——例如，制造自动化、过程控制或环境监控——验证应该遵循aIQ / OQ / PQ质量保证框架（安装，运行和性能鉴定）。这提供了一步一步的办法，以确保验证没有重要的方面被错过。我们将进入软件验证以后怎么在这篇文章中涉及到IQ / OQ / PQ的具体细节。

软件验证礼物相对于质量管理等各方面独特的挑战。其一，软件验证项目的范围可能不清楚，难以管理，因为广泛的潜在用户，潜在的功能多样性，软件会在使用环境的不可预测性的。另外，软件更新和变化必须考虑持续验证的一部分。在这篇文章中，我们将讨论有关应对这些挑战，重点是高度管制的行业，如医药制造和销售，医疗器械，航空航天和最佳实践。bob体育外网下载

软件如何调节

在美国，制药和医疗器械行业使用的软件由FDA通过列于21 CFR标题。一般来说，用于电子记录和电子签名的软件，适用于质量管理体系，包括21 CFR 11。该条款明确规定，需要验证“以确保准确性、可靠性、一致的预期性能，以及识别无效或更改记录的能力”。

医疗器械相关软件的验证规定更为详细。具体来说，21 CFR 820.30(g)涵盖了用于医疗器械的软件的设计验证，“在适当的情况下，应包括软件验证和风险分析。”21 CFR 820.70进一步规范了用于制造和质量控制的软件系统。软件验证也是全球医疗设备质量标准的一部分ISO 13485，其类似于21 CFR 820并且还用于由FDA。软件验证也在21 CFR 1271中详细讨论了涉及人体细胞、组织和基于细胞和组织的产品的操作。bob逃生游戏下载

在欧盟，类似的法规覆盖附件11的检查，与协调的检查欧洲药品管理局(EMA)。

在航空航天工业生产和质量管理中使用的软件AS9100，以及其他通用的制造环境，例如那些使用更通用的ISO 9001标准的环境，也应该通过IQ/OQ/PQ和风险分析过程进行验证。请注意，用于关键任务航空航天应用的软件是由一个单独的标准覆盖的，DO-178C。

在一般情况下，这里列出的法律和标准，是相当非特异性，和什么活动应在软件验证的方法来进行留给监管实体。为了填补一些空白，可用于进一步的指导。

这方面的一个例子是ISPE GAMP 5指南:以风险为基础的方法符合良好规范计算机系统”，由国际制药工程协会出版。该指南和辅助良好的实践指南，也由ISPE出版，提供了一种更详细的软件验证方法良好规范。第二个例子是ISO / TR 80002-2：2017年涵盖与医疗器械相关的质量体系中使用的软件的验证文件。在这个领域还有其他一些综合指南，例如软件工程知识体系(SWEBOK），但是这个指导更普遍的所有软件开发和测试。

由于这是一种相当常见的情况，这些管理机构为使用来自第三方供应商的商用现货(COTS)软件提供了具体的指导。我们将在本文后面更详细地讨论这个问题。

值得注意的是，在美国食品药品监督管理局监管的行业中，软件验证的前景在未来几年可能会发生变化。食品和药物管理局将会宣布修订的指导方针为2020年的软件验证，它将更多地关注一种称为“计算机软件保证”的方法。更新后的规则应该允许更精简的过程，不太强调详尽的文档和严格的验证实践，并更好地反映现代软件和自动化。

为什么软件验证是非常重要的

软件验证的过程是高度注重细节的，可能是劳动密集型的，但是有很多原因可以说明为什么它对组织是重要的和有益的:

• • 它提供了一个测试，一步一步的过程，以确保软件的正确选择和部署，以便有以后需要纠正的问题更少
  • 它鼓励设计师或软件购买者和最终用户之间的对位
  • 作为流程的一部分，会生成大量的记录，这使得稍后对问题的诊断和故障排除更加简单
  • 在某些行业中，遵循验证程序是符合法规要求的。在下一节中，我们将更详细地介绍它们
  • 验证提供了一个系统来确保软件升级和补丁的实施不会影响产品质量

需要进行软件验证的行业

以下行业经常需要软件验证:

• 医疗设备。FDA的规定将医疗设备中使用的软件划分为两组:用于设备本身(或作为设备)的软件，以及用于制造或质量控制的软件。在这两种情况下，法律都要求验证，因为软件质量问题有可能传播到危及设备有效性或患者安全的问题。
  
  具体地说,21 CFR 820涵盖了方法，设备，以及用于控制“的设计，制造，包装，标签，储存，安装，和所有的成品设备的维修供人使用”。一个软件系统，需要验证在这方面的一个例子是用于制造线的统计过程控制系统中。
  
  这是FDA审计过程中经常遇到的问题。从2015年到2019年,超过150引文由于不符合21 CFR 820规定而引起的软件验证问题，由FDA检查员发布。
  
  
• 药品制造、储存和分发。与医疗设备类似，软件验证也需要确保产品质量和安全。在这一领域，重点是用于制造的软件以及产品和中间材料的质量控制。在这方面需要验证的软件类型的一个例子是用于监测和控制存放对温度或湿度敏感药物的区域的环境条件的计算机系统。
  
  
• 从事医疗设备和药品的研究、开发或测试的实验室。在这里，软件系统应该进行验证以确保记录准确和完整，对有关药物试验示例记录。验证此处需要，因为这些记录将通过调节器下试或生产确定的材料的安全性和有效性来使用。
  
  
• 航空制造，维修和分配。这一领域由AS9100、AS9110和AS9120标准所涵盖，其总体目标是飞机及其相关系统的可靠性和安全性。与其他受监管的行业一样，这里的软件验证应该以基于风险的分析为指导。
  
  
• 一般制造环境。即使在法律不要求这样做的行业，软件验证也可能是有益的，这取决于所涉及的风险水平。例如，用于计算和过程控制的内部软件的验证是ISO 9001标准的一部分。
  
  

软件验证的最佳实践

软件验证过程的细节取决于该软件将要使用的环境和所涉及的风险。不过，也有一些做法可以帮助验证项目的顺利越好。

1. 用一个基于风险途径在制定软件验证计划时。换句话说，对软件进行更多的强调和更严格的要求，如果软件不能正确地执行，就会给产品带来最大的风险。这有利于关注软件最关键的方面和特性。
   
   
2. 花时间开发一套全面的需求对于软件，确保它们覆盖所有可能的情况和用户/涉众。使用这组需求作为软件开发、选择和测试的基础将简化认证过程。这有时被称为“设计确认”或DQ阶段，需求被称为用户需求规范或URS。
   
   根据不同的情况，它也可能是有用的发展在运营鉴定阶段一些测试情况下使用。这是其与软件测试或验证经验的供应商咨询可以帮助一个点。
   
   
3. 软件应该使用IQ / OQ / PQ框架典型的GxP验证
   
   
   • 智商(安装确认)。对硬件系统进行检查，确认其满足最低要求，软件按照软件供应商或内部设计团队给出的程序进行安装和配置。这个阶段的另一个重要组成部分是记录关于软件系统的任何信息，包括相关的硬件，例如序列号、版本或发布日期。用户手册也应收集和归档。
     
     
   • OQ（操作鉴定）。该软件的功能是对功能规格（FS）测试。这可以采取几种不同类型的测试的形式，就像每个单独的模块的功能测试，或集成软件系统的测试。测试计划应适应特定的软件系统，这就是为什么它是部署前仔细计划和有关的重要。
     
     
   • PQ（性能鉴定）。PQ测试是针对在URS列出的要求进行测试。在实际使用环境中的完整的软件系统的操作。这涉及到使用软件的最终用户，在条件内具有代表性，并测试配置的软件中内置独特的业务流程。
     
     
   • 贯穿这三个阶段的主题是文档。所有验证活动应该用完全记录美国铝业的指导方针（归属，清晰易读，同时记录原件或复印件真实，准确）
     
     
4. 是否有启动软件重新验证或持续验证的计划作为整体质量管理体系的一部分。触发事件的一个例子是新软件版本或补丁的发布，或新功能的添加。触发事件的标准应该使用基于风险的分析来选择。
   
   
5. 保持最新与不断发展的法规以及关于软件验证的指导。正如本文前面所讨论的，FDA在这一领域的方法将在未来一年进行更改。
   
   
6. 管理这些活动的范围和成本，考虑和有经验的供应商一起工作实现COTS软件。这有两个潜在的好处:

• 1. 供应商将通过设计软件和考虑验证的测试计划来完成大部分工作
  2. 有经验的供应商将能够协助进行风险评估、审计和其他验证活动

关于最后一点，FDA已经在那里监管公司将使用由第三方提供的软件，例如预期的情况下，DicksonOne基于云的环境监测系统。在这种情况下，验证软件的最终责任仍由受监管的公司承担。但是，验证过程可以通过以下方法大大简化:

• • 只验证您将使用的第三方软件的特定部分
    
    
  • 依赖供应商提供的文档作为验证的起点。例如，通过将软件的规格说明和功能与您个人的需求进行比较。这也可能包括对软件供应商的审计
    
    
  • 显然，商定各方的责任

这些建议在FDA文件软件验证的一般原则中进行了讨论，6.3节,在附件11《幸福》第4卷。如果供应商不能提供完整的生命周期文档，或者不可能进行审计，则需要测试额外的功能。这可以由受监管的公司或独立的检测实验室进行。

结论

软件验证是实施计算机系统控制的一个重要部分，在制造业、环境监测或任何其他系统，可以影响产品质量的高度管制行业，或产品质量是一个关键的客户要求的行业。它是一个注重细节的流程，但是如果处理得当，它可以提高法规遵从性、客户满意度和操作效率。

软件验证遵循IQ/OQ/PQ框架，这是那些熟悉GxP的人所熟知的。不过，预计在今后几年内，它将随着制造和质量系统中软件使用的变化而发展。在许多情况下，与有经验的供应商合作提供软件和验证帮助是有益的。

关于作者:在来到Dickson之前，服务总监Antoine Nguyen在制药和医疗器械行业从事质量和验证工作超过18年。