驗證文件關於文檔的要求

這兩天繼續來分享一下OECD的46~50條，關於驗證過程中的文檔的要求。

這四條內容其實闡述了兩個方面的內容，一方面是通常情況下需要哪些管理規程，產生哪些驗證文件，另一方面是具體的文件中應該有哪些細節的內容。

我們先來看看驗證需要哪些文件，概括出來有兩類：

管理規程性質的文件

支持特定系統驗證生命周期的文件

管理規程性質的文件在OECD中的叫法是Further Management and Validation Procedure，比如如何進行生命周期的風險管理；如何與供應商簽訂服務協議；如何寫驗證計劃；如何寫用戶需求標準；設計標準；如何寫安裝測試腳本；系統投入使用的流程；系統可追溯的流程；異常事件管理流程；配置管理流程；記錄管理流程；驗證過程中的職責和人員要求；文檔管理流程等。

第二類文件比如，特定系統的操作規程（包括軟體和硬體）以及系統運維階段的人員的職責；對於特定系統的安全管理措施以防止非授權的訪問以及對數據的修改的安全管理規程；特定系統發生變更時產生的變更相關的記錄，比如變更的授權、變更的測試，軟體和硬體的變更記錄；如何去進行定期回顧的指導性文件；系統的預防性維護和維修的規程；如何進行特定系統軟體開發、接收測試以及其他相關測試的指導文件；特定系統的備份和業務持續規程；如何對特定系統進行數據的歸檔以及數據/系統的retrieval，包括軟體的版本，系統的配置等；如何對系統進行日常的監控與管理；如何對系統進行退役。

第一類管理性質的文件提要求What is the Requirement，然後第二類的文件根據第一類管理性質的文件，產生輸出，體現出How the System is Validated。

對於這些規程和記錄，OECD的要求是要足夠詳細，這實際上體現的也是基於風險的驗證的理念，寫文件的本質不在於長篇大論，而在於將法規要求的每個點用最簡潔的話說明白。

對於特定系統的驗證而言，以下的內容或者說要建議包括的（Typically Covering）:

1）系統及系統部件的軟體版本信息，比如軟體名，版本號，識別號（設備的序列號）等 ；

2）對於系統預期用途的描述；

3）系統的硬體及部件的信息；

4）系統的操作系統信息以及相關的系統工具信息，比如資料庫工具；

5）系統的編程語言，如適用；

6）系統的類型以及數據流，詳細可以參見之前的文章，COTS軟體的四個分類以及COTS系統的驗證要求；

7）系統產生的數據架構（電子記錄的兩種形式）

8）系統的報警信息；

9）配置以及模塊之間的通信情況等；

對於記錄，OECD用了一個片語叫may comprise but are not limited to，到底需要多少文件，在驗證計劃或者變更中一定要寫明白，任何事情對於驗證而言都不是絕對的。

最後再來看一看驗證文件保留的時間要求，OECD明確要求，驗證文件保留的時限與系統所產生的數據歸檔的時限要求一致。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！