四类可配置软件包含定制开发的功能该如何做验证?

医药公司在进行计算机化系统的选型时，有时候找不到完全匹配需求的计算机化系统，因此很多时候在选择好了可配置的软件后，常常需要供应商针对特殊需求部分进行定制开发，这时候很多小伙伴对这款系统的验证策略就拿不定注意了，这款系统到底算四类可配置软件还是五类定制开发软件，验证V模型到底是用四类的还是五类的，或者为了省事干脆算成四类可配置软件，不承认有定制部分算了（别找事哈！）。下面我们就在合规的基础上讲讲可配置软件带定制开发功能的系统该如何验证，文章最后会附上四类、五类软件验证文件的清单，仅供参考！

首先第一点要明确的就是，这类混合分类的系统并不是全部按照可配置软件或定制开发软件验证策略进行验证，可配置部分按照四类软件验证，定制开发部分按照五类软件验证即可。

可配置部分（正常验证）

– 系统标准模块、参数配置、工作流

– 内置报表、权限、审计追踪

– 标准接口 

定制开发部分（按5类加强） 

– 新增代码、脚本（VBA、Python、.NET、存储过程）

– 定制插件、外部程序、定制接口

– 客户化算法、特殊业务逻辑

– 定制报表/电子签名/审批流程

明确了上述验证策略后，下面我们详细讲讲该如何对混合分类系统进行验证：

1. 初步风险评估（初步风险评估内容见2026-03-27发布的文章：基于GAMP5的计算机化系统全生命周期管理办法）

– 进行初始风险评估–软硬件分类时识别出可配置部分与定制开发部分功能

– 明确：4类可配置部分：验证配置正确性，按照四类软件V模型进行验证；定制开发部分：按照5类软件V模型进行验证（DS+代码审核+单元测试+集成测试）

2.供应商/开发方评估

针对不同类别软件进行的供应商审计策略见2024-01-23发布的文章：计算机化系统供应商审计。在此基础上各位按照各自公司供应商审计的SOP进行即可。

– 4类：评估公司概况、原厂资质、质量管理体系、版本、合规性等

– 5类：4类基础上+开发能力、人员资质、代码规范、测试能力等

– 要求提供：设计文档、单元测试报告、代码审查记录、集成测试文档

3. 配置与开发阶段 

4类：–配置规范（CS）→ 配置记录 → 配置复核

定制部分（强制）：

– 单元测试（UT）：开发自测

– 集成测试（IT）：与标准模块联调

– 代码审核（可选但推荐）：高风险逻辑必查

4. 确认测试（IQ/OQ/PQ）

（1）IQ 安装确认

4类：版本、组件、安装路径、依赖

定制部分：

– 定制脚本/插件/接口 完整清单+版本

– 部署路径、权限、依赖库

– 安装/部署规程

（2）OQ 运行确认（重点区分）

4类：配置参数正确性、标准功能、流程、权限、审计

定制部分（加严）：

– 定制功能全量测试

– 边界、异常、压力、并发

– 数据完整性（ALCOA）、电子签名、审计追踪

– 接口双向数据流、容错、异常处理

– 可追溯：每个定制需求 → 测试用例 → 结果

（3）PQ 性能确认

4类：典型业务场景

定制部分：

– 含定制功能的完整业务流程

– 长期稳定性、数据准确性、合规性

交付文件（混合包）

在可配置软件验证文档基础上增加：

– 定制需求/设计规范DS

– 代码审核、单元测试、集成测试

– 代码清单、版本记录、部署说明

四类可配置软件验证文件清单：

五类可配置软件验证文件清单：