根据计算机化系统的复杂性、新颖性和风险性,将系统分为不同的类别,以确定合适的验证策略。
主要以软件进行分类,如下:
1类:基础架构软件、工具和IT服务;
这一类的软件包括:
Ø既定的或公开的分层软件,如操作系统、数据库和编程语言;
Ø基础设施软件工具,如网络监控软件、安全软件、防病毒和配置管理工具等。
3类:标准系统组件(不可配置软件),运行时参数可以被输入和存储,但软件不能被配置以适应业务流程,如COTS软件、不可配置的PLC等。
4类:配置的组件(可配置软件),通常非常复杂,可由用户进行配置,以满足用户业务流程的具体需要,但代码不被改变,如LIMS、SCADA、DCS、ERP、CDS等。
5类:客制化应用和组件(定制软件),根据业务流程定制设计和编码的软件,包括系统间的定制接口、内部或外部开发的应用程序和定制固件等。
不同类别系统基于风险的验证策略(V模型):
3类系统:
测试通常包括:
u正确的安装→IQ
u证明适用于预定用途的测试,并允许根据需求验收系统(对应简单的系统,校准可以代替测试)→URS、OQ
u作为风险和供应商评估的结果的任何进一步测试→RA、SA
u交付物可有:IRA(初始风险评估)、URS(用户需求)、VP(验证计划)、RA(风险评估)、IQ(安装确认)、OQ(运行确认)、TM(追溯矩阵)、VR(验证报告),可增减,根据系统的复杂程度来决定验证的深度。
4类系统:
测试通常包括:
u正确的安装→IQ
u系统的配置→CS
u支持基于风险和供应商评估的特定业务流程的功能,作为风险和供应商评估的结果的任何进一步测试→RA、SA
u证明适用于预定用途的测试,并允许根据需求验收系统→URS、OQ
供应商的活动通常包括:
Ø根据需求,提供相关文件,如FAT、UAT或SAT、FS;
Ø在配置和测试期间提供支持;
Ø用户指导文件,如说明书和操作手册;
Ø用户培训;
Ø支持和维护活动。
u根据既定的需求(如功能或业务流程),确认系统运行的有效及稳定性→PQ
u交付物可有:IRA(初始风险评估)、URS(用户需求)、VP(验证计划)、RA(风险评估)或FRA(功能风险评估)、CS(配置规范)、FS(功能规范)、IQ(安装确认)、OQ(运行确认)、PQ(性能确认)、TM(追溯矩阵)、VR(验证报告),可增减,根据系统的复杂程度来决定验证的深度。
5类系统:
测试通常包括:
u正确的安装→IQ
u功能和设计→FS和DS
u证明适用于预定用途的测试,并允许根据需求验收系统→URS、OQ
u作为风险和供应商评估的结果的任何进一步测试→RA、SA
供应商的活动通常包括:
Ø根据需求,提供相关文件,如FAT、UAT或SAT、FS和DS,以及开发的源代码审核(CR);
Ø在配置和测试期间提供支持;
Ø用户指导文件,如说明书和操作手册;
Ø用户培训;
Ø支持和维护活动;
Ø复杂的系统还包括CS、HDS和SDS。
u根据既定的需求(如功能或业务流程),确认系统运行的有效及稳定性→PQ
u交付物可有:IRA(初始风险评估)、URS(用户需求)、VP(验证计划)、RA(风险评估)或FRA(功能风险评估)、CS(配置规范)、FS(功能规范)、DS(设计规范):可再分为HDS(硬件设计规范)和SDS(软件设计规范)、DQ(设计确认)、CR(代码审核)、IQ(安装确认)、OQ(运行确认)、PQ(性能确认)、TM(追溯矩阵)、VR(验证报告),可增减,根据系统的复杂程度来决定验证的深度。