시스템 범주와 밸리데이션 수준
검증은 다 하는 게 아니다. 정확히 할 수 있어야 한다.
새 시스템이 도입되면 늘 따라붙는 질문.
“이건 어디까지 검증해야 하죠?”
경험 많은 사람도 헷갈린다.
기능이 단순하면 안 해도 되는 걸까?
기록만 저장하면 리스크는 낮은 걸까?
이건 직감으로 판단할 수 있는 문제가 아니다.
GAMP5는 이 혼란을 풀기 위해
‘범주 분류(Category)’와 ‘리스크 기반 접근(Risk-based Approach)’이라는
두 가지 키워드를 제시한다.
시스템이 어떤 구조인지
그리고 어떤 목적(Intended Use)으로 사용되는지를 기준으로
검증의 범위와 깊이를 결정하라는 것.
같은 BMS 시스템이라도,
단순히 온도만 보여주는 경우와
그 기록이 배치 승인에 반영되는 경우는
검증 수준이 완전히 달라야 한다.
기능이 아니라
그 기능이 GMP에 어떤 영향을 주는지
즉, “위험”이 기준이다.
GAMP5는 말한다.
“검증 범위는 정당화된 리스크 평가에 기반해야 한다.”
단지 Category 3라고 써 있으면 끝나는 게 아니라
왜 그렇게 분류했는지,
그 판단이 GMP 프로세스와 어떻게 연결되는지를
문서로 설명할 수 있어야 한다.
그 문서를 누가 검토하느냐.
바로 QA다.
공급업체는 최소한만 하려 하고
개발자는 기술적 기준만 본다.
그 사이에서 규제의 기준을 적용하고,
프로세스 전체를 품질의 관점에서 판단하는 사람이 필요하다.
검증은 많이 하는 게 아니라
명확하게 판단하고,
그 판단을 문서화할 수 있는가가 핵심이다.
범주 분류와 리스크 기반 접근은,
검증을 납득 가능하게 만드는 가장 기초적인 논리다.
그리고 이 논리를 이해하는 사람이
실무에서 흔들리지 않는 사람이다.
