SoftMax Pro GxP 软件的 GxP 评估问卷

质量管理体系

软件的开发和生产是否符合质量管理体系？

是，符合 ISO 9001:2015 质量管理体系。

是否使用了统一的或公司内部的软件开发指南、手册或程序模型（例如编程或文件记录指南）？

质量管理体系手册 (QMSM) 以及 QMS 流程和工作说明已准备就绪，可提供编程、开发和文件记录指南。

软件是否由 Molecular Devices 独家开发？如果不是，分包商是否经过认证或审核？

根据 Molecular Devices 的开发流程，对外部分包商进行审核和培训。

软件或系统的开发人员是否接受过适当的、有据可查的教育和培训，以完成分配的任务？

根据确定的工作说明聘用和培训开发人员。

是否对软件开发流程进行任何内部审计？

定期进行软件开发流程的内部审计，任何不合规之处都会根据纠正和预防措施 (CAPA) 中的各项给予提示。

系统开发生命周期 (SDLC)

Molecular Devices 是否有系统开发生命周期流程？

Molecular Devices 产品开发流程可管理 Molecular Devices 的所有产品开发。

生命周期模型中单个软件开发阶段的结果是否经过充分测试（审查阶段结果）？

Molecular Devices 产品开发流程要求审查开发阶段的结果和成就以及所有成就，包括需要获得完整性批准的结果。

软件要求是否经过正式定义、审核和批准？

市场要求规范文档中确定了指定产品的高级别软件要求。详细的要求记录在子系统要求文档中。要求经过审核和批准。在 Agile 实践中，于市场要求规范文档中记录了高级别要求，并在称为情景测试的可执行规范测试中定义了详细功能。

软件设计和实施

是否在软件开发期间进行技术审查？

在软件开发期间进行关键设计审查。

您是否使用既定的标准软件开发生命周期？如果是，使用哪一种？

Molecular Devices 使用 Agile 软件开发流程。

增强功能的发布流程是否包括新功能的完整文件记录？

对于主要和次要软件版本，所有新功能均记录在发布说明中，并取决于版本的类型和范围，同时还记录在用户指南中。

所购产品的评估实践是否可保证不受病毒感染？

操作系统和办公套件等现货软件均购自合适的零售商。用于软件开发的所有产品均在开发系统中进行评估，公司计算机需要使用能够识别任何已知病毒的已确定的防病毒软件。

来源列表是否符合书面标准（例如良好编程规范）？

编程标准记录在 Molecular Devices 质量体系中。所有开发人员在操作软件产品之前均接受过标准培训。

软件设计和源代码是否经过审查？

设计规范由合格的软件开发人员创建和审查。

审查源代码以确保符合编程标准。

在 Agile 实践中，会不断审查设计和代码，以作为结对编程和重构实践的一部分。

无需进行单独的正式代码审查，因为所有代码在初始开发期间都已经过审查，并在开展重构活动时接受二次审查。

如果不使用结对编程，则需要进行单独的代码审查，以作为代码签入和构建流程的一部分。

开发流程是否通过规定的技术要求和评估产品是否符合特定要求，来提供采购产品和服务的正式评估？

如果总产品使用的组件是一个采购产品，则对采购产品进行评估以确认其适合预期用途。在发布前对整体产品进行评估。

是否有证据表明软件开发方法通过工作流程和可交付成果实施，以实现以下目的：定义并记录软件要求？设计软件？构建软件？集成软件组件？测试组件和集成产品？发布和支持产品？

对以上各点的回答均为“是”。

软件测试

进行哪种类型的软件测试？

软件开发部负责单元和集成测试。产品测试人员负责软件的系统测试，测试范围说明见软件验证计划。测试方案和官方测试记录仅在具有保密协议的现场审计期间才可供客户审查。

软件产品的其他测试可由产品应用人员或指定的 β 测试场地客户完成。

通过 Agile 的测试驱动开发实践，在情景测试创建中完善了高级别要求，以创建一个可执行的功能规范，从而测试正在开发的要求。在编写出满足要求的代码之前，测试最初都会失败。客户团队成员（产品管理代表、领域专家、验证和信息开发代表等）为情景测试提供意见。由验证小组和客户团队的其他成员完成探索性和图形用户界面 (GUI) 测试形式的额外测试。

您是否有定义测试流程的程序？

是，有测试软件要求的书面程序。

测试结果是否经过审核和批准？

软件质量保证部门审查测试结果，以确定其是否涵盖所有软件要求。

是否存在以下测试的测试文件：单元级测试？集成级测试？系统级测试？结构和功能测试？

是测试深度因目标产品而异。

是否保留原始测试文档和记录并将其用于回归测试目的？

保留原始测试套件并将其用于回归测试目的。保留原始测试记录，且仅将其用于与之前测试的结果相比较。

项目是否使用了充分的软件验证和确认流程（测试计划、测试用例确定、测试数据生成、测试性能、测试分析、测试记录）？如果是，是否提供测试方案和测试报告总结？

在适当的开发阶段，需要提供并批准验证和确认计划及报告。

测试计划和报告已存档并且可用。

由谁进行验证和确认？是否有独立的小组负责这项工作？

由软件测试人员和应用科学家进行验证和确认。软件测试人员属于软件测试组。

谁授权测试计划、测试方案、测试报告？

由项目经理、产品经理、软件质量保证负责人和软件负责人授权测试文档。

对测试环境（测试工具、测试数据）和测试文件记录的访问是否能得到保证？

测试工具、数据和文档被归档到一个适合所有软件项目的中央存储库中，并且受版本控制。

安全控制

公司是否有用于建立和维护软件文件记录的标准或指南？

所有项目文档都有一个中央存储库。

对软件开发文件记录的访问是否能得到保证？

访问需要对存档系统进行授权。

对源代码的访问是否能得到保证（如有必要）？

访问和许可由源代码管理系统强制执行。

缺陷报告

公司是否有用于建立和维护软件文件记录的标准或指南？

所有项目文档都有一个中央存储库。

是否有正式的报告流程？

缺陷跟踪系统已到位。

如何接收和处理错误报告以及纠正和改进建议？

将所报告的错误输入缺陷跟踪系统中，并根据跟踪系统中定义的工作流程进行处理。

如何告知客户处理状态？

客户可根据要求了解处理状态。

每个软件版本都会随附发布说明，其中包括已解决问题的列表。

变更控制

谁批准软件变更？

由项目组合管理团队批准会影响项目进度的软件变更。

是否提供备有文件证明的变更控制或版本管理程序？

变更控制程序就绪后，质量管理体系要求的所有项目文档均存档在版本控制系统中。

如何培训客户使用 Molecular Devices 系统？

随仪器一起提供培训。培训级别和时长视产品而定。培训由现场应用科学家、技术支持专家或销售代表进行，具体视产品而定。

Molecular Devices 支持指定软件或硬件版本的时间有多长？

Molecular Devices 通常在最后生产日期后 5 年内提供硬件和软件支持。

您如何通知客户有新版本？

向客户提供相应的设置信息以及随系统提供的文件记录。将关键操作更新转发给注册其产品的客户。不会向最终用户发布正常更新和后续工程变更。

客户如何报告问题（例如软件漏洞和仪器问题）？

support.moleculardevices.com

如何记录和管理客户投诉？

所有投诉均作为案例记录在我们的客户关系管理 (CRM) 系统中。我们通过电子邮件和电话进行沟通，且在客户同意问题得到解决之前，不会结案。

系统操作

在手动管理测序时，系统是否会对可预定义的事件进行强制测序，例如在批次序列管理中？

是SoftMax Pro GxP 软件数据文件可与第三方工具集成，但系统设置由最终用户负责。

系统是否通过检查来查询操作命令的来源，以确保只有经授权的工作站、终端或设备发出命令？

不适用于此应用。系统设置由客户负责。但自动化命令需要电子签到。

记录完整性和备份

如何以及何时将记录存储到持久媒介中？

如果您使用“自动保存”，则会根据命令或在读取完成后手动保存记录。可通过机器人或自动命令实现命令自动化。软件每五分钟就会将所有打开的文档保存到数据库中，以便进行数据恢复，软件关闭时临时备份会被删除。

记录存储在持久媒介中后，操作员能否修改其内容？

不能，无法修改原始数据。通过审计跟踪来追踪还原和分析设置变更。

操作员能否删除已存储在持久媒介中的记录？

由系统管理员或标准操作程序 (SOP) 来限制这些功能。所有记录都可以使用“自动保存”偏好进行保存。

记录存储在持久媒介中后，管理员能否修改其内容？

不能，无法修改原始数据。通过审计跟踪来追踪还原和分析设置变更。

管理员能否删除已存储在持久媒介中的记录？

由系统管理员或标准操作程序 (SOP) 来限制这些功能。

系统是否配备存档工具和实用程序，以在持久媒介中创建电子记录的备份？

由系统管理员或标准操作程序 (SOP) 确定备份和存档功能。

是否可以通过选择标准来选择特定记录进行存档？

不可以。文件存档后，文件记录将无法删除。

记录复制和检索

以何种格式和文件类型电子存储记录？

原始数据以二进制格式存储。

如何从存档媒介中检索记录并将其加载到操作环境中？

记录在打开文件后创建。

系统能否以电子方式检索和显示任何记录或在任何电子记录上生成硬拷贝报告？

是

是否可以选择性检索和显示记录以供检查？

是

系统是否提供可修改的标准报告格式，以满足特定的监管报告要求？

是可打印自定义数据摘要，即注释部分和组表。

系统是否生成诸如原始数据、元数据、审计跟踪、用户帐户活动、安全配置和电子签名定义等记录？

所有这些记录都可以作为报告进行审查或生成。

系统是否也会自动存储元数据，这些元数据可定义或以其他方式限制所收集的原始数据？

是

系统能否报告以下安全活动：添加用户？删除用户？用户登录活动？

是所有列出的活动均在 GxP 管理门户软件系统审计跟踪中报告。

还在 SoftMax Pro GxP 软件数据文件审计跟踪中报告用户登录活动

系统能否报告以下全局安全参数：应用配置？功能配置（例如安全配置报告）？

是仪器设置和分析参数记录在审计跟踪中。可针对每位用户生成权限级别报告。

电子记录

系统是否提供电子签名功能以取代书面记录上具有法律约束力的手写签名？

是这可以在 GxP 管理门户软件中进行配置。我们的电子签名功能根据 CFR 第 21 篇第 11 部分的要求进行设计：

§11.3 定义
(b) 以下术语定义也适用于此部分：

(5) 数字签名是指基于发起者身份验证的加密方法的电子签名，通过使用一组规则和一组参数进行计算，以便验证签名者身份和数据完整性。

(7) 电子签名是指由个人执行、采用或授权的任何符号或符号系列的计算机数据汇编，与个人手写签名具有同等法律约束力。

签名表现是否以人类可读的形式清晰明确地识别签名者？

是我们的电子签名功能根据 CFR 第 21 篇第 11 部分的要求进行设计：
§11.10 封闭系统的控制

(b) 能够生成人类可读和电子形式的准确完整记录副本（适用于机构检查、审查和复制）。

电子签名作为电子记录的一部分，是否以人类可读或电子形式表明以下信息：签名者姓名？签名事件的时间和日期？签名行为的含义（批准、审查、认证等）？

是我们的电子签名功能根据 CFR 第 21 篇第 11 部分的要求进行设计：

§11.50 签名表现

(a) 签名的电子记录应包含与签名有关的信息，并清楚地表明以下所有内容：
1. 签名者的正楷姓名；
2。签名的日期和时间；以及
3。与签名有关的含义（如审查、批准、责任或署名权）。

系统是否提供设置选项以指定构成持续受控系统访问期间的时长？

是这可以在 GxP 管理门户软件中进行配置。

软件是否将电子签名与电子记录相关联，并确保签名不能被删除、复制或否决？

是我们的电子签名功能根据 CFR 第 21 篇第 11 部分的要求进行设计：
§11.70 签名/记录链接

应将电子记录的电子签名和手写签名链接到相应的电子记录，以确保签名不能被删除、复制或以其他方式进行转移，从而通过普通方式伪造电子记录。

系统是否允许用户覆盖其真实所有者以外的人为特定签名保留的操作权限？

是在最终用户数据完整性风险评估后，可将“撤销签名”权限配置为 GxP 管理门户中的角色。

在指定时间过后，系统是否再次要求提供所有密码组件？
系统是否在单个连续的受控系统访问期间处理一个人的多个电子签名，具体如下：初次签名（签名行为需要所有电子签名组件）？后续签名（需要至少一个电子签名组件；如果需要，哪个组件）？

我们的电子签名功能根据 CFR 第 21 篇第 11 部分的要求进行设计：

§11.200 电子签名组件和控制

(a) 并非基于生物特征识别的电子签名应：

(1) 使用至少两个不同的识别组件，如识别码和密码。
(i) 当个人在单个连续的受控系统访问期间执行一系列签名时，应使用所有电子签名组件执行第一次签名；后续签名应使用至少一个只能由该个人执行和使用的电子签名组件执行。
(ii) 当个人执行一个或多个未在单个连续的受控系统访问期间执行的签名时，应使用所有电子签名组件执行每个签名。

安全

非生物特征识别登录是否使用至少两个不同的组件，如一个识别码（用户 ID）和一个密码？

是

密码功能是否要求使用足够的字符和内容，以防密码被猜出？

有多个密码强度选项，且可在 GxP 管理门户中进行配置。

安全系统是否检查系统中每个用户 ID 和密码组合的唯一性并拒绝重复？

是，它会检查用户 ID 是否唯一并拒绝重复。

系统是否需要唯一用户 ID 和一个密码的组合才能访问应用或执行功能？

是所有用户都需要一个唯一的用户名和密码。

包含密码的文件是否加密，致使管理员无法读取密码内容？

是

安全系统是否将所有安全管理和受控访问事件记录到历史记录中，而无论事件成功与否？

是GxP 管理软件系统审计跟踪可记录应用活动，包括文件创建、修改和删除事件，SoftMax Pro GxP 软件则可记录文档特定活动。

系统是否支持密码过期功能，并限制重复使用之前的密码？

是

是否可以同时有多个操作员登录到系统？

是，适用于多计算机（单服务器）环境。

否，适用于单计算机环境。

系统在非活动期间是否支持自动超时？

是这可以在 GxP 管理门户软件中进行配置。

是否可设置超时时间？

是这可以在 GxP 管理门户软件中进行配置。

超时后重新激活系统需要哪些步骤，特别是在处理期间超时的情况下？

用户必须输入密码才能登录系统。超时后，仪器活动继续，但在输入授权用户密码前，会阻止操作员进行干预。

审计跟踪

系统是否自动生成带时间戳的审计跟踪，以记录创建、删除或修改电子记录的处理？

是我们的系统审计跟踪功能根据 CFR 第 21 篇第 11 部分的要求进行设计：

§11.10 封闭系统的控制

(e) 使用由计算机生成且带时间戳的安全审计跟踪，单独记录操作员条目的日期和时间以及创建、修改或删除电子记录的操作。记录变更不应掩盖之前记录的信息。此类审计跟踪文件记录的保存期限应至少与受试者电子记录要求的期限一样长，并且可供机构审查和复制。

审计跟踪是否记录以下信息：处理的时间和日期？用户/操作员的身份？已执行的用户/操作员操作（已创建、已删除、已修改）？

记录在打开文件后创建。

审计跟踪是否为原始记录的一部分？

是

审计跟踪是否为单独的电子记录？

否。

审计跟踪是否可防止有意和无意的用户干预，包括“超级用户”活动？

是

在身份验证记录被修改或删除后，系统是否保留所有先前版本的身份验证记录？

否。客户必须实施 SOP 才能存档连续的文档版本。审计跟踪可追踪特定文件的变更。SoftMax Pro GxP 软件不能覆写现有文档。

是否有任何限制会阻止在记录有效期内保留审计跟踪？

否。

系统是否检索并显示人类可读和电子形式的准确且完整的审计跟踪（电子记录）副本（适用于检查、审查和复制为“带走”格式）？

是