시스템 검증 범위 설정의 핵심
검증은 많이가 아니라, 타당하게 해야 한다
“이 시스템은 어디까지 검증하죠?”
CSV 실무를 하다 보면 가장 자주 듣는 질문이다.
온도만 보여주는 시스템이건,
알람 기능이 포함된 시스템이건
기능만 보고 판단할 수 없다.
GAMP5는 검증 범위를
‘시스템 범주(Category)’와
‘리스크 기반 접근(Risk-based Approach)’이라는
두 개의 축으로 판단하라고 말한다.
같은 BMS 시스템이라도
그 기록이 단지 참고용인지,
아니면 GMP 품질 기준에 포함되는지에 따라
검증 수준은 완전히 달라진다.
단순한 기능이지만
환자 안전, 배치 승인, 품질 결정에 영향을 준다면
검증 강도는 당연히 높아져야 한다.
밸리데이션은 많이 하라는 게 아니다.
정확히, 타당하게 하라는 것이다.
Category 3으로 분류했으면
왜 그렇게 판단했는지 문서화돼 있어야 하고,
리스크가 낮다고 주장했다면
그 이유가 근거로 남아야 한다.
“리스크는 낮아요.”
“그건 원래 그렇게 해왔어요.”
이런 말은 문서가 될 수 없다.
실무자라면 알아야 한다.
범주는 검증 전략의 시작이고,
리스크는 설득의 근거다.
그리고 그 두 가지를 바탕으로
문서 수준이 결정된다.
하지만 여기서 한 가지 빠지면 안 되는 게 있다.
검증은 결국 요구사항에서 출발한다.
“왜 이 테스트를 하는가?”
“이게 어떤 요구사항에서 나왔는가?”
그 질문에 답할 수 없다면
범주도, 리스크도, 아무 소용이 없다.
검증의 근거는, 요구의 구조에서 시작되기 때문이다.
다음 글에서는
그 출발점인 URS(User Requirements Specification)을 살펴볼 예정이다.
검토자는 결국 ‘요구’를 이해해야 판단할 수 있다.
그 요구는 누구의 것인지, 왜 정의돼야 하는지를.
