别再指责法规了：卓越的软件如何满足合规性

作为生命科学领域的技术领导者，您的利益相关者期望您掌握生成式人工智能，实施下一代测序平台，为临床试验部署数字双胞胎，同时加快创新、提高交付速度和管理成本。当然，您必须与现有团队一起做这件事。只是不要忘记保持完美的系统正常运行时间并解决日常运营问题。除此之外，您的工作很容易——对吧？

在这些不断增加的压力中，技术可能不是阻碍您前进的因素。真正的障碍可能是对监管要求的误解。

许多生命科学组织对合规要求的解释过于谨慎。生命科学公司浪费了数百万美元的市场机会，因为它们制定了监管机构未强制执行的复杂审批流程。他们将药物验证方法应用于软件开发，声称 GxP 要求证明签名和批准的需求是合理的。

IT 团队经常听到："我们需要 21 CFR 第 11 部分的签名。"但是，不直接属于 GxP 监管流程的工具不需要与直接影响产品质量或患者安全的系统相同级别的验证（ISPE GAMP 5 指南，第二版）。FDA 的计算机软件保障（CSA）指南实际上强调"批判性思维"而不是文档，"重要的测试"而不是全面的测试脚本。当您阅读实际法规时，您会发现比行业惯例更具灵活性。

当然，在更改合规实践之前，您应该咨询您的法律和合规团队。本指南仅作为一种资源，而不是明确的指导。

真正的损害发生在合规思维超越 IT 部门对技术创造的关注时。质量部门提出异议，例如"我们如何才能确保在没有正式批准的情况下进行适当的审查？"但是正式批准会减缓 IT 组织的步伐。监管机构需要受控软件开发的证据，但他们不决定如何生产。现代开发工具可以在团队快速工作的同时生成所需的文档，从而解决创新与合规性之间的假定冲突。

根本性转变：通过 IT 专业知识实现自然合规

软件开发人员花费数年时间掌握工程实践，从而提高质量和一致性。技术领导者应该尊重团队的专业知识，而不是削弱他们的专业知识。通过向团队传授 GxP 术语并要求他们填写合规模板来强迫他们成为监管专家浪费了他们的才能。

顺其自然。允许技术团队遵循自然符合合规目标的软件工程优秀实践。

现代软件测试实践确保了比传统手动验证更高的质量。在正式测试阶段，持续集成可以在数小时而不是数月内发现缺陷。每次代码更改后，自动测试套件都会运行数千个场景，提供比手动测试脚本更全面的覆盖范围。单元测试验证各个组件；集成测试确认系统交互；自动回归测试确保新更改不会破坏现有功能。这种持续测试方法可创建更可靠的系统，同时自动记录测试结果以确保合规性。

与传统的需求文档相比，使用用户故事管理需求可提供更清晰的可追溯性。传统方法将需求与开发分开，这可能会导致漫长的审查周期。另一方面，用户故事将验收标准直接整合到开发过程中。每个故事都链接到特定的代码变更、自动化测试和部署记录，从而形成了从需求到实施的完整证据链。版本控制系统根据利益相关者的反馈自动跟踪需求的演变，从而无需单独设立变更控制委员会，同时提供卓越的审计跟踪。

开发工具在工程过程中生成大量的合规文档。版本控制系统使用开发者归因和时间戳来维护每一次代码变更的完整历史记录。持续集成管道以机器可读的格式捕获测试结果，这些格式比手动屏幕截图提供更好的证据。部署自动化以完全可追溯的方式记录从开发到生产的每一次变更。这些工具通过保留软件的实际演变而不是在时间点快照上收集签名来创建更丰富的合规文档。

利益相关者演示和数字批准可验证系统是否比单独的验证阶段更有效地按预期运行。当用户参与冲刺审查并根据验收标准批准功能时，他们会创建系统功能的客观证据。录制的演示准确记录了功能的工作原理，而数字批准工作流程则记录了利益相关者的接受程度。这减少甚至消除了对测试阶段的需求，同时为审计人员提供了系统满足用户需求的直接证据，从而解决了验证要求的核心目的。

这些现代做法无需额外开销即可满足监管要求。开发工具通过认证登录和带时间戳的审计记录，与 FDA 21 CFR 第 11 部分保持一致。自动化测试和持续集成符合欧盟 GMP 附录 11 的系统验证要求。用户故事的可追溯性直接映射到 ISO 13485:2016 的设计控制要求。即使是 GAMP 5 类别也能在敏捷构件中找到自然的相似之处。通过遵循软件工程优秀实践，团队自然会提供监管机构所需的证据，从而使质量专业人员腾出时间专注于风险评估，而不是追逐签名。

开启转型之旅

实施这些现代实践需要技术专长和组织变革。首先，将您的开发过程与行业优秀实践进行比较，并确定监管较松的行业中您的实践与高质量标准之间的差距。

从一个有意义但内容有限的小型试点项目开始。从第一天起就让监管团队参与进来（如果咨询这些专家太晚，许多转型工作就会失败）。成立一个包含 IT、质量和监管事务的工作组，将合规性要求与 IT 控制和开发工件对应起来。当监管专业人员帮助设计方法时，他们成为盟友而不是看门人。

查看您的质量管理体系，确定增加文档但不增加质量的要求。寻找机会将基于文档的证据替换为仍然符合控制目标的基于数据的证据，并正式记录这些协议，以确保审计期间的一致性。这项批判性审查通常会揭示为满足过时的法规解释而创建的遗留流程。

您可能会遇到阻力。质量专业人员可能会担心监管风险，而 IT 团队可能会拒绝改变既定做法。通过强调这种方法可以提供更好的证据，而不是更少的证据，来解决这些问题。展示现代工具如何创建比手动流程更全面的审计记录。美国食品和药物管理局的 CSA 指导方针承认，过多的文件实际上会分散用于实质性测试的资源，从而降低质量。

通过强调对领导层至关重要的业务成果，同时解决利益相关者的担忧，从而获得高管支持。将与怀疑论者的对话集中在共同的目标上：每个人都希望向患者高效提供安全、有效的产品。在满足监管要求的同时，展示更快的交付、更高的质量和更好的审计准备等具体优势。对于需要在扩展方法之前看到可衡量的改进的高管来说，试点项目的成功指标尤其具有说服力。

将卓越软件作为合规战略

监管框架的存在是为了保护患者。此处描述的方法尊重了这一使命，同时认识到质量的证据来自软件的构建方式，而不仅仅是记录方式。开发工具可以捕获比手动文档更完整、更准确的系统变更信息。这样可以更好地了解系统的实际状态，提高合规性和安全性。

公司经常将监管要求描述为创新的障碍。事实并非如此。此处描述的实践展示了生命科学组织如何在履行监管义务的同时采用现代发展方法。当卓越的软件推动合规策略时，每个人都会获胜，尤其是患者。

免责声明：在更改合规做法之前，请务必咨询您的法律和合规团队。本指南仅作为一种资源，而不是明确的指导。

汤姆·戈登和伊恩·萨特克利夫

Tom Godden

汤姆·戈登是亚马逊云科技的企业策略师和宣传员。在加入亚马逊云科技之前，Tom 曾担任 Foundation Medicine 的首席信息官，他帮助建立了世界领先的、受 FDA 监管的癌症基因组学诊断、研究和患者预后平台，以改善疗效并为下一代精准医疗提供信息。此前，Tom 曾在荷兰莱茵河畔阿尔芬的威科集团担任过多个高级技术领导职务，在医疗保健和生命科学行业拥有超过 17 年的经验。Tom 拥有亚利桑那州立大学的学士学位。