跳转至

实验室信息学架构(05)合规与验证:21 CFR Part 11 / Annex 11 与 CSV/CSA

合规不是“上线后再补文档”,而是系统设计的一部分。本篇给出关键控制点与验证落地清单。

1. 数据完整性(ALCOA+)到控制点映射

  • Attributable 可归属 → 身份与权限、审计、责任人
  • Legible 清晰可读 → 记录格式、版本/签名、水印
  • Contemporaneous 同步 → 时间戳/时区、自动记录
  • Original 原始 → 原始文件与指纹、只读保留
  • Accurate 准确 → 校验规则、双录入对比、计算校验
  • +(完整、持久、可用)

2. 21 CFR Part 11 / Annex 11 关键条款要点

  • 电子签名:唯一性、两因素/双签、证据保留
  • 审计追踪:不可编辑、内容全面、时钟可信
  • 记录生命周期:创建→修改→复核→归档/保留/销毁
  • 系统控制:访问控制、会话、权限矩阵、配置受控
  • 供应商评估与变更:版本变更评估、补丁/漏洞管理

3. CSV/CSA 实践(风险为纲)

  • 从“全部测试”转为“风险导向测试”,把精力花在高风险功能
  • V 形或 V&V:需求→设计→实现→测试→上线→运行证据
  • 工件矩阵:URS/FRS/DS、RA、TM、IQ/OQ/PQ、SOP、培训记录

4. 验证证据自动化

  • 构建可重放测试与环境、自动收集运行证据(日志、审计、截图/报告)
  • 追溯矩阵自动生成(需求→测试→证据链接)

5. 上线后活动

  • 变更控制(小变更/大变更/紧急变更)
  • 周期复核与回归测试
  • 供应商管理与 SLA/KPI

6. 检查清单(片段)

[ ] 角色-权限矩阵已评审并最小化
[ ] 审计追踪字段完整(谁/何时/何因/前后值)
[ ] 电子签名双因子与签核链配置
[ ] 方法/规格/脚本版本化与受控
[ ] 原始数据指纹/清单与保留策略
[ ] 验证工件齐备并可追溯

—— 系列第 05 篇,下一篇:集成架构与平台工程(API 网关/事件驱动/编排)。