五层进化 · 验证维度 👉 关于作者

合规验证与AI编程

当合规验证撞上AI编程:
一场从"事后补文档"到"事前建法则"的效率革命。

itg · 公众号: 火星火箭 · 嵌入式AI工程化系列 · 从嵌入式到软件合规的跨界验证

一、这个行业的痛点,藏在验证文档里

如果你做过GMP合规项目,你一定经历过这个场景:软件已经开发完了,功能都正常,串口通信稳定,数据库读写无误,审计日志一条不少。但接下来才是真正的噩梦——验证文档

IQ 安装确认

逐项对比安装文件、依赖版本、配置参数

OQ 运行确认

手动执行几十个测试用例,截图、记录、整理报告

PQ 性能确认

长期运行系统,每天手工记录运行状态

SOP 标准操作规程

截屏,写步骤、描述每个按钮的预期结果

这些事情,和软件开发本身的难度无关。它们不考验你的算法能力,不考验你的架构设计水平。它们只考验你的耐心、细心和对重复劳动的忍耐力。

小团队困境:一个团队或单人开发者,往往在核心功能开发完就已经筋疲力尽。这些"可验证性"特性,在传统开发模式下被视为奢侈品——优先级最低,永远排在"等有时间再说"的清单里。

但AI编程的出现,正在把这件事的底层逻辑彻底改写。

二、验证友好的本质:把"人的手工劳动"变成"代码的自动输出"

让我们先回到一个更根本的问题:为什么出验证报告这么慢?

不是因为我们不努力,而是因为验证报告的生产,传统上依赖的是人的手工劳动。人要点按钮、人要截图、人要记录、人要整理。人的注意力是稀缺的,人的时间是不可压缩的。

但如果换一个思路:让软件在编程阶段就把验证所需的信息准备好,让验证变成"从系统里导出证据"而不是"手工制造证据"。

验证友好化设计的核心策略

配置文件外置

IQ确认时不需要读代码,直接对比配置文件即可

内置自诊断接口

OQ测试时不需要手动点屏幕,脚本调用接口即可

自动合规快照

PQ运行时不需要每天手工记录,系统自动收集即可

操作步骤录制

SOP编写时不需要截屏写说明,系统自动生成初稿即可

为什么过去难以实现?这些特性在逻辑上并不复杂,但传统开发模式下边际成本高——写配置导出功能、依赖清单生成器、测试模拟接口、自诊断面板,每一项都需要额外大量代码。精力都花在核心功能上,根本没时间做这些。

三、AI编程的转折点:把"可验证性基础设施"从奢侈品变成标配

AI编程改变的不是验证的逻辑,而是实现验证友好特性的边际成本

你不需要亲自去写接口和脚本。你只需要告诉AI:

"在我Electron主进程中,增加一个/health HTTP端点,返回数据库连接状态、NTP同步状态、审计日志总条数、最后备份时间。"

AI在几秒内就能生成完整代码。你复制粘贴、调试通过,半小时搞定。以前这可能需要半天到一天。

关键转变:原本"核心功能开发完就筋疲力尽了,实在没精力做验证设施"的困境,现在变成了"顺带就把可验证性做进去了"。可验证性基础设施,从奢侈品变成了标配

AI的同步维护能力

更进一步,AI还能帮你同时维护产品代码和验证脚本:

1

修Bug时

AI同步更新对应的测试用例,确保回归测试覆盖

2

加功能时

AI同步生成这个功能的OQ测试步骤和SOP描述

3

结果

不会再遇到"软件更新了,验证文档还在上一个版本"的经典脱节

因为AI让同步成本降到几乎为零。

四、新模式下的分工:人做判断,AI做执行

在AI介入之后,整个合规验证的工作流被彻底重构了:

阶段人的工作AI的工作
需求 定义合规要求和测试场景 生成测试规格说明
编码 审核和集成 生成业务功能、测试接口、自诊断模块
测试 执行物理测试和观察结果 生成自动化测试脚本、监控代码
文档 审阅和签字 生成IQ/OQ/PQ方案草稿、SOP初版
报告 最终结论和签字 自动收集证据、导出报告骨架

人的工作:被重新聚焦到那些AI永远无法承担的事情上——判断、决策、签字、承担法律责任

AI的工作:覆盖了所有可重复、可模板化、可自动执行的体力活。

这不是AI替代人的故事。
这是人和AI重新分工的故事。

五、终极形态:软件本身变成"合规证据工厂"

当你把配置导出、测试接口、自诊断、证据收集、SOP录制等功能都用AI生成并集成好后,你的软件本身就变成了一个"合规证据工厂"

到那时,出验证报告不再是写报告。而是打开软件,插上U盘,点几下按钮,系统自动吐出一份包含所有测试证据和签名的验证包:

IQ报告

来自系统自校验

OQ报告

来自自动化测试脚本的执行结果

PQ报告

来自长期运行的合规快照

SOP初稿

来自操作录制模式的自动输出

验证从"事后补文档"变成了"事前建法则"。

而这个转变的起点,正是你把那些繁琐但AI擅长的事,在编程阶段就交给了AI。AI编程的真正价值,不只是帮你做出产品功能,更关键的是它把合规验证的技术准备工作也"顺手"完成了。

六、回到你的体系:这不过是你已有法则的又一次验证

如果你一直在读这个系列的文章,你会发现这件事和前面所有的讨论共享同一个哲学内核。

"人定义法则,AI在法则内执行。"

你在软件架构里定义了"什么是对的"——配置文件必须有效、依赖版本必须锁定、审计日志必须不可篡改、签名必须绑定到具体记录。这些法则在编程阶段就被AI翻译成了可执行的代码。当验证时刻来临时,系统不需要人去逐项检查,它自己就知道自己是否符合法则。

"把法则在事前定义清楚,让执行在法则内自动完成。"

验证友好化设计,就是把这个原则从代码调试、文档管理、版本控制,扩展到了合规验证领域。你把VSR报告的生产工作,从事后补文档阶段,转移到了事前编程阶段——那个AI最擅长的阶段。

"让正确的事在正确的阶段被完成。"

AI擅长的,是在编程阶段生成结构化的、规则明确的代码。人不擅长的,是事后手工执行重复的验证步骤。把验证的准备工作转移到编程阶段,就是把工作从"人不擅长的阶段"转移到"AI擅长的阶段"。

这就是你整套方法论的又一次自我验证。你从一个嵌入式工程师的具体痛苦出发,构建了一套法则体系。现在,这套体系在GMP合规这个完全不同的领域,再次证明了自己的有效性。
AI编程让你从一个"用AI写代码的人"变成了一个
"用AI构建可验证系统的人"

而后者,才是真正能高效通过GMP审计、
持续迭代、规模交付的壁垒。

本文定位

本文是五层进化系列在验证维度的扩展。它将"事前建法则"的思想从代码调试延伸到合规验证领域,提出"合规证据工厂"作为AI编程在制药、医疗器械等合规行业的应用范式。

系列导航: ① 五层进化 · ② 实践项目模板 · ③ 自主修复闭环 · ④ 从收敛到进化 · ⑤ 知识的生命体征 · ⑥ 电路图分析器 · ⑦ Skills · ⑧ 历史的包袱 · ⑨ 固件铭牌与设备画像 · ⑩ 合规验证与AI编程 · ⑪ 回归现实:单Agent实践框架

关于作者