关于CSV、制药工业4.0、QIT体系，一站式培训

吸血的豆芽菜

我本是软件工程专业毕业的学生，在生命科学行业制药领域做过甲方IT管理也做过乙方信息化质量咨询和搭建及验证，基本上制药企业的IT方向我感觉没什么空缺。

不说服务过食品和化妆品的信息，我就只单单去聊一下制药企业的事儿。

接下来我会分享CSV、QIT、制药工业4.0的内容，可能我会码字，可能我会发视频，只要是评论区有价值的问题我都会回复。

行业的乱想太多了，然后我就内心很暴躁，说话可能不太好听，随缘听吧。

吸血的豆芽菜

先他妈来讲验证，我不会去和你扯什么条款法规法案，这些玩意儿都发烂了，搞来搞去就他妈这么点儿东西，看了你也不知道怎么思考问题，遇到具体的情况你也不知道怎么办，不如你他妈就听我BB就完事儿了。

我就按照思维逻辑框架画了这么个图，你也不需要保存，重要的是思维理解，听我讲比看图重要，你会发现我手画的图和GAMP5的图有出入，同样的你收到各种厂家系统的CSV文件策略图都不一样，很简单，对于他妈的验证其实最重要的就是DIOP，其他的都是基于风险质量管理所增添的内容。
好我继续来讲思路，通常验证活动之前，肯定是有个项目计划启动内容URS，这个逼玩意儿说实话，甲方写不出来，有多少项目是甲方自己写出来，甲乙双方我他妈干了六七年就没见过几个好的URS是甲方自己写出来的，很简单的道理，我的需求实现在系统功能上，鬼你妈知道你这个系统能做什么，无非就是前期调研一下，然后乙方做一个URS然后甲方拿去抄一遍再GDP一下，写的都他妈丑死了，还把非功能性需求和功能需求夹杂在一起，需不需要验证也不考虑全他妈都是Q，一些逼老的QA还在拿GEP思维写，一个逼信息化项目还要设备圆滑无死角，我无你妈啊。最好就是各类拆分开，硬件（写的别他妈太细了，写这么细能验证吗？妈的最重要的东西写出来就行了啊）、软件功能（一定要他妈的写的详细一点，一定要他妈的拆分开来写，不如你遇到系统交付之后的不好用，都是你他妈自己问题，你以为你写的URS给谁看？那帮他妈的开发基本都不懂这个行业，项目经理一样的，人家售前吹完牛逼拿钱就走了，谁他妈管理功能实现）、项目需求都分开写清楚（前提是你妈的这个URS就是用来签合同的，不是用来签合同的就老老实实一个面向质量URS一个商务合同的）就行了。

yuansoul

你 貌似 xxx 的 。。。打 魔兽世界服？

吸血的豆芽菜

好，我继续讲接下来流程，SIA系统影响性评估，哎哟，说起这个就更搞笑了，好多QA没有这个逼意识知道吧，这个逼玩意儿顾名思义就是一个初期评估，他就只干一件事儿，就是识别GxP风险，我们经常说什么几类软件，做什么策略的验证，都是这个过程之后的产物。不是他妈的张嘴就来，哦一来就是做什么验证，做你妈啊。
你他妈不得评估一下系统是不是GxP影响，这才知道做不做验证，然后站在技术层面看看这个逼软件的分类，大致确定验证策略（就是你们都知道的1345类）方式。完了做的好一点的呢，会把业务系统面向相关的法规条款逐一进行条目评估，就是美国part11欧盟附录11还中国内的那个逼附录，逐一评估就是说白了，面向数据完整性在乎的功能，你他妈软件系统有没有覆盖，没有覆盖要通过程序（就是他妈的SOP）去进行管控。

好多企业都不做，欸，我是不知道等着谁来做，有一些比较负责的乙方呢，会把这里面的部分内容丢在VP里，那也还说的过去，那有的就完全没有啊，卧槽。

吸血的豆芽菜

好，继续说他妈ERES评估，电子签名电子数据评估，这就更搞笑了，我基本上见到大多数厂家就是一句话评估，或者是夹杂在SIA里面，好好好，你说你不是复杂系统，而且是公知很高的系统，可以可以。但是你他妈国内一些小厂系统，自由度那么高德系统，不拆开做评估，呵呵。反正我看了，这个行业就是他妈的无所叼谓。嘴上说的面向风险，我面你妈，只要干了就成。

吸血的豆芽菜

ok，继续说VP，老实说这个没什么好说的，无非是根据前面的评估结果细化一下验证策略（最他妈烦的就是QA不懂瞎几把指挥，每个项目不同还有系统复杂度不同，在些许阶段都叫法不一样，少BB，少拿你C&Q第二版思维指挥，人家第二版范围里面都说了不适用于GAMP5的验证活动。操），然后写的好的，就是乙方做的好的会把工程信息都写清楚，什么逼验证组织架构啊，项目进度啊，包括整个上现状态前的质量管理都写好。写的烂的就你妈一个验证策略图一摆，哦，结束。你说错吧，又不是什么大错，哎。

吸血的豆芽菜

ok，继续RA，这个风险评估就是功能性风险评估了，这个文件到位不到位就还是我说那个逼URS的问题，你他妈URS写好了，这个地方少一万个问题，写细一点，写的深入一点，写的贴合实际使用流程和场景一点。这个就非常好评估。

还有一个头疼的是什么嘞，就还是你妈的QA，还在GEP思维用评估设备的思维来做评估表，哎哟，你他妈软件和系统的风险都是未知的，基于FAMA模型人家是基于技术工程师对软件系统的了解和对需求功能的应用说判定的风险，你最多就只能挑战风险的影响程度，少给些傻逼模板和条条框框，你肚子里有没有水，专门搞CSV的还不清楚吗?不懂就多看多学，少指挥。

再一个，我们说风险是贯穿整个CSV流程的，其实体现就是URS、RA、RTM对其风险、需求、验证测试活动。

吸血的豆芽菜

好，以我画的图为例，整个DQ环节我把它包起来了，你会发现所有不同厂家和系统，在DQ环节给你的东西都不一样，各种他妈的叫法，我给QA说清楚，叫什么，无所谓，少他妈BB这些，傻不傻逼啊？你只要知道，这些逼玩意儿只要在DQ环节做好需求对应的风险响应就完了，这些功能有没有在设计阶段被涉及就行，你管他叫什么名字嘞。

唯一不同的就是，有时候是官方系统标准的白皮书，也有可能是单独输出的设计文件，除了他们的五类软件，是额外开发的必须单独复杂的写一个文件，描述清楚什么具体的功能是本没有的，现在设计的逻辑和接口都是什么情况就行，也要在DQ环节做响应，然后后面做开发测试和代码审核，确认就结束了，哎哟。

vonapk

思路很好，就是含妈量极高，但是不妨碍我学习

吸血的豆芽菜

好，流程继续，从DQ出来，无非就是两个路线，一个是五类，一个是非五类。五类就多开发配置代码审核，其他的和一三四一样的跑后续流程，当然了一三类是不需要跑PQ的，但是说是这么说，但是有些系统及使用场景涉及，那还是要功能性跟着测，跑不掉的，实际情况实际分析。

那情况多出来的这个CR代码审核阶段的文件标准就要考虑是第三方审计和乙方公司安全团队（不能是交付团队本身角色），哦对了，如果是五类验证，还需要供应商审计，供应商审计这个就复杂性就看是行政在负责还是QA在负责，我这么说肯定是我见到公司都有分工的，说不清楚的。

吸血的豆芽菜

好继续说他妈的FAT和SAT，两个逼玩意儿本来就是GEP的东西，很多QA非他妈要拉进来，如果是他妈的工艺自控内的系统还好（为什么说还好呢？因为这种底层PLC组态DCS控制的大工艺自控系统，包含大量的设备相关内容，你把他拆分一下，让流程更情绪了），信息化的项目那就纯傻逼，不想多说。
反正你非要加这GEP的阶段，后面标准的IOQ就肯定是在不重复验证的情况下内容引用，不需要再测试了。PQ除外啊。

完了测试又还是因为系统复杂性要考虑单元测试和集成测试，因为有的复杂系统也是模块化的，可能是模块内功能和多模块交互。

五类的开发代码要CR之后才能参与测试，切记！

在OQ这个阶段，可以将数据完整性关联大的功能集中测试掉，例如权限，时间，数据备份恢复，等。涉及场景和流程的权限相关，那就不光OQ了。这个要具体问题具体分析。

吸血的豆芽菜

PQ也没什么好说的，最好就是按照真实生产或场景流程进行测试，要是想做的好一点，可以把异常流程也测试一下，如果可以模拟的话。

准圣级药老

你这个含，妈量，是多么的痛彻心扉啊。

暮雨青诗

我是计算机科学与技术专业，药厂QA呆了3年，把ERES单独起草一个纲领性文件，把所有法规列出来，CSV数据合规性URS、验证单独列出来，SIA\ERES评估，IOPQ都不管具体测试项目名称了，干了能追溯就好，风险能控制就好了，管你叫什么名字。对接用户需求、IT技术支持、体系风险评估、服务供应商文件审核，我也想说一句”TMD“，现在还要对技术负责，都玩上单片机、PLC、还要设计Excel编程；对需求ERES负责、IT体系文件负责，教服务供应商写文件。

chenqiang179

学习，学习。
感谢分享。

吸血的豆芽菜

做的更好一点的话，如果企业IT资源可以达到的话，一般我们建议在做项目的时候建立三个环境：开发环境、验证环境、生产环境，但是很少有企业能做到，真的是很多企业现在IT资源都没上超融合或虚拟化，哎哟，干什么都是大成本，畏手畏脚。

话说回来，如果有不同环境，那就有DM数据迁移，可能有的叫上线切换测试，无非就是不同环境的切换数据。然后我做的比较多的就是使用数据迁移方式（也是法规指南有所提及的）控制，指定数据迁移计划、数据迁移规范、记录过程、数据迁移报告。迁移计划要说清楚这个项目中的所有环境及系统数据逻辑关系，迁移标准及校对方式及可接受标准。每一次环境间的切换，都要根据不同的迁移规范完成记录并在校对合格后出具报告。

最终上线前可能还要包含BOM主数据维护，可能根据数据及系统复杂程度，主数据的维护种类会很多，上线前的数据校对是最难的。

吸血的豆芽菜

最后我说一下RTM和VSR，RTM我前面就说了，你把URS写好了这个逼玩意儿就很好做，拿着直接追所有阶段的测试内容就行，建议不要追的太细，因为妈的文件也是给人看的，质量人员我管你妈的具体内容啊。但是这个文件我建议不仅仅追需求，把风险也追一遍是最好的，虽然内容是一样的，但是表格写法不一样，看文件的人身份角色不一样，你给他的感觉就不一样，尤其是这个文件要是中英双语，给EU的检察官看，那就很好，因为一般国外检察官看CSV文件是倒着看的，他会先看RTM。

CSR就更不用多说，直接对着VP写是最傻逼但是效率最高的。写的好的就会更详细一些，我平常中英双语写下来九十多页吧。这他妈一下子说不清，懒得说。

Yang1234567

写的太他妈得好了

吸血的豆芽菜

okk，我做一下信息切割，再聊一下制药工业4.0。在聊这个之前，我想说人家他妈的ISPE都还在探索制药工业5.0，妈的我们国内都已经在DeepSeek的爆发下都在投资干这个了，这个我后面来说这个傻逼问题啊。

好先说制药工业4.0，这他妈的你就记住ISA-88和ISA95就行，甚至于ISA-88你不需要考虑这个逼玩意儿，因为市面上做得到供应商都是这个标准，这个就是涉及的你们那些PLC和DCS面向生产底层数据和控制的标准模型，哎现在都很标准化，根本不需要你们去考虑。

但是他妈的这个傻逼ISA-95就难搞了，以前是4层，现在ISA把他更新到5层了，你也不需要去管到底有集成，你他妈就听我说，一个制药企业（我说实话这就是他妈的传统制造业，面向于精细化工）你一定要从下至上，依次信息化的干，哦除了有一点（就是面向企业管理的系统，例如企业资源管理系统你可以先上，但是后期也会再次升级打通），不要跳跃着来，不然你就会发现，妈的基层员工人家干的好好的，你没有给人家减少负担，反而在增添他的工作流程，还他妈产生GMP数据副本，质量管理也搞不好。

最好的方式是什么呢？ERP我们先不考虑他的进度，这个发展和企业资源和行政流程去推进。你就先把生产工艺自动化搞好，先把传统人为控制的生产流程标准化，然后减少人为可能带来的风险，并让生产工艺数据电子化，以便后续的信息系统上线。好，你把工艺自动化做完了，一线生产操作过就从现场大量的释放出来了，当然，过程前的人操作该有的还是有，除非你做的设备路线从仓库直接联动生产线，其实这个是最完美的，但是很难搞，尤其是后期改造，新建区块还好。

吸血的豆芽菜

我继续说，等你吧生产工艺自动化做完了，你就要做大数据层，就是我们说的SCADA，在这个层级蛮多人就是觉得搞个WinCC把下面数据采集一下。。。。。。
我采你妈采，你他妈生产自动化不都已经相当于是采了吗？还加个中间体干嘛啊？多余。数据采集和采集数据两个概念不同，搞清楚好吧，这个地方你就直接上PI或者ICONICS这些类似的IoT中间系统，就他妈只干两个方向！！！！！！！！！

划重点！！！
不要听乙方忽悠SCADA能做什么报表展示和别的细枝末节，听我的，不需要浪费这个钱！！！
这个阶段你就他妈的干两件事儿！
一、数据全采集！包括生产工艺设备所有数据、其他设备或电子系统所有数据（可能包含空调啊、水电气啊等等吧）。
二、数据筛选标准化！！！一定要做好标准化！！！
你他妈就把这两个事儿干好，其他复杂功能都不要，信我，上层系统有更好的方法，更低的价格，你在这儿就做好这两件事儿就行，后续也更好维护，如果有新的数据点进来。