GAMP5软件分类及分类后不同的验证要求

基础设施软件工具:此种软件包括网络监测软件、批量工作安排工具、安全防护软件、防病毒软件和配置管理工具。然而，风险评估应该针对软件中具有潜在较大影响的方面来进行(比如密码管理或者安全防护管理等)，以确定是否需要额外的风险控制措施。

分层式软件并不需要专项功能验证，尽管它们的特性在应用程序的测试中得到了功能性测试和间接地质疑。操作系统和分层式软件的标识和版本号都应该以文件形式存档，并在安装过程中验证。

基础设施软件工具的可靠性通常是非常高的，它已经排除了所有对于患者安全有影响的危险因素。应该对所有的基础设施软件都进行控制和管理。见GAMP 良好实践指南: IT 基础设施控制和合规性的进一步指导。

类别2不可配置软件产品

这个类别包括用于商业目的的可直接使用的现货商用软件产品。它包括不能通过配置以适应具体业务流程的系统，或者是只可以使用默认配置的可配置系统。这两种情形下，配置的系统均可以在用户环境中运行(比如，用于打印机的设置)。应基于风险和复杂性来判断使用默认配置的系统归于类别3 还是归于类别4 。

类别3 的产品可以用一种简化的生命周期方法。供应商评估并不是必需的。对供应商评估的需求和评估的严格程度根据风险而定。用户需求是必要的，这些需求应该关注于用途的关键方面。虽然需要足够的规范来进行测试(通常涵盖在用户需求规范(简称URS) 及其他相关文件中) ，但是用户并不指望有功能和设计规范。验证通常只是在测试阶段完成。

所有软件变更都应该处于控制之下，包括供应商提供的补丁。应该建立系统使用和管理的标准操作规程(简称SOPs) ，并实施培训计划。

系统应采用配置管理。对于采用默认配置的系统，配置管理应表明正确选择了默认值。

类别4可配置软件产品

可配置软件产品提供了标准化的界面和功能，以使配置适合用户的具体业务流程。这通常会需要配置预先设定的软件模块。

很多和软件相关的风险都是由系统为符合客户具体业务流程要求所采用的配置决定的。采用新软件和软件升级都可能增加风险。

对于可配置产品而言，详细的URSs 是必要的。应该对供应商和可配置软件采用基于风险的评估方法，这一方法应以文件形式存档。

虽然用户可能没有功能规范(简称FSs) ，但是应该有适当的规范来保证可追溯性和足够的测试覆盖面。验证应该保证软件产品符合用户需求，且关注于可配置的业务流程。定制模块应该按类别5 中的组件处理。

生命周期方法中应该说明所涉及的软件的层次，以及各自所属的类别。处理方法中还应该反映出供应商评估的结果、GxP 风险、规模和复杂性。它应该确定策略来弥补在供应商开发过程中发现的缺点。

由于软件产品在用户流程中的每一种应用都是独特的，因此应该非常小心地管理对这些系统的支持措施。比如，当引入新版本的软件产品时，定制代码对软件产品特征的依赖程度可能发生改变，而这可能引起严重的问题。

用内部脚本语言开发的、用来满足特定用户商业需求的定制软件组件，比如宏，应该按照类别5 处理。

当缺少供应商质量管理体系(简称QMS) 时，应该鼓励供应商基于GAMP5所提倡的原则开发该系统。在这样环境中的软件应该作为类别5 考虑。被监管公司应负责保证软硬件的质量，以及当该计算机化系统被用于GxP 环境中时能符合预定目的。

类别5定制应用软件

这些系统和子系统的开发是为了满足被监管公司的特殊需要。定制软件的内在风险是非常高的。系统生命周期方法和推广决定都应该考虑到增加的风险，因为用户没有使用经验且缺乏系统可靠性的资料。

增加了如GAMP所示的设计之后，定制应用软件的生命周期方法和可配置产品是相似的。供应商评估的方法应该是基于风险的，并应以文件形式存档。为了对应用系统的开发和支持进行控制，供应商审计通常需要有一个合适的质量管理体系(简称QMS) 来管理。如果没有一个合适的质量管理体系，供应商可以根据本指南提供的指导来搭建应用系统开发和支持的管理基础。

这个方法中应该说明涉及的软件的层次以及它们各自所属的类别，还应该反映出对供应商评估的结果以及审计结果、GxP 风险、规模和复杂性。应确定策略来弥补在供应商开发过程中发现的缺点。

典型示例和方法基础设施类软件描述：分层式软件（作为搭建应用程序的基础）；用于管理操作环境的软件；

示例：

操作系统

数据库引擎

中间件

编程语言

统计包

电子制表软件

网络监控工具

时间进度安排工具

版本控制工具

方法：

记录版本号

按照所批准的安装规程验证正确的安装方式

见GAMP：IT基础设施控制和合规性

不可配置软件描述：可以输入并储存运行参数，但是并不能对软件进行配置以适合业务流程。

示例：

基于中间件的应用程序

COTS软件

仪器仪表

方法：

简化的生命周期管理

URS

基于风险的供应商管理

记录版本号，验证正确的安装方式

在根据使用要求的基础上进行风险测试(对于简单的系统，常规校准可能可以替代测试)

有用于保证系统合规、并符合预定用途的规程。

可配置软件描述：该软件通常非常复杂，可以由用户来进行配置(组态)以满足用户具体业务流程的特殊需求。该软件编码不能更改。

示例：

实验室信息管理系统(简称LIMS)

数据获取系统

管理控制与数据获取(简称SCADA)

企业资源规划(简称ERP)

生产资源规划(简称MRPII)

临床试验监控系统

分散的控制系统(简称DCS)

不良药物反应(简称ADR)报告

色谱法数据系统(简称CDS)

电子文件管理系统(简称EDMS)

构建管理系统

客户关系管理(简称CRM)

电子表格

简单的人机交互界面(简称HMI)

注意:以上某些系统可能包含重要的定制成分。

方法：

生命周期方法

基于风险的供应商评估方法

证明供应商有合适的质量控制体系(简称QMS)

某些生命周期文档可能只由供应商保留(如设计规范)

记录版本号，验证正确的安装方式

进行基于风险的测试，以表明应用软件在测试环境下按照设计要求运行

进行基于风险的测试，以表明应用软件在业务流程中按照设计要求运行

具有用于保证系统合规，并符合预定用途的规程。

定置软件描述：设计定制程序和编制源代码以使其适应用户业务流程的软件

示例（视情形改变，但通常包括）：

内部和外部开发的IT 应用程序

内部和外部开发的流程控制应用软件

定制梯级逻辑软件

定置固件

电子制表软件（宏）

方法（与可配置(组态)情形下相同，并且还包括）：

更严格的供应商评估，包括可能的供应商审计

贯穿整个生命周期的文档资料(功能规范(简称FS) ，设计规范(简称OS) ，结构测试等)

设计与源代码审查返回搜狐，查看更多