导图社区药品GMP数据完整性

药品GMP数据完整性

药品GMP数据完整性思维导图，本图是GMP认证过程，研发、数据风险管理方法、法规、生产IT数据完整性验证，一起来看吧！

编辑于2023-05-31 08:46:10 北京市

药品 GMP 验证软件
GMP认证过程

劍盧主人

他的近期作品查看更多>>

《红楼梦》人物关系图
这是一个北京高考名著红楼梦的人物关系图。精心绘制出了大观园中众多角色的血缘纽带、情感纠葛与命运交织。
高考英语语法-句子类型
这是一篇关于语法-句子类型的思维导图，内容覆盖了英语句子结构的基础和进阶知识。从简单句开始，介绍了句子的基本构成，如主语+谓语（及物动词/不及物动词）结构，并通过例句“The man walks in the park.”和“They stopped to take a short test.”等进行了说明。详细列出了主+谓、主+谓+宾、主+谓+间接宾语+直接宾语等多种句型，并通过例句和动词短语进一步解释。最后，还讨论了系动词和表语的结构，以及如何通过不同的连系动词（如be、look、sound等）来表达感官类和状态类的内容。为学习者提供了一套全面、系统的英语语法知识体系，通过具体的例句和短语，帮助学习者更好地理解和掌握英语句子的构成和用法。
人教版初中道法八年级下
人教版初中道法八年级下，整理了走进社会生活、遵守社会规则、维护国家利益、承担社会责任的内容，适用于预习复习做参照。

药品GMP数据完整性

社区模板帮助中心，点此进入>>

劍盧主人

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 34.2k
- 927
- 2.4k
- 393
MindMaster
组织架构-单商户商城webAPP 思维导图。
- 14.7k
- 3
- 185
- 9
Kacyun
域控上线
- 1.6k
- 163
- 11
- 4
jackrao
python思维导图
- 5.4k
- 531
- 242
- 7
(*^▽^*)
css
- 1.2k
- 1
- 43
- 3
A张舫
CSS
- 3.3k
- 262
- 188
- 33
journey
小儿常见病的辩证与护理
- 9.8k
- 6
- 70
- 6
中医名家
蛋白质
- 6.3k
- 401
- 148
- 33
little V
计算机操作系统思维导图
- 4.2k
- 339
- 204
- 18
journey
计算机组成原理
- 1.5k
- 98
- 70
- 8
journey

1. 法规

PDA

PDA TR80

制药实验室数据完整性管理体系

2018年

FDA

数据完整性及其CGMP符合性行业指南

2016年草案

MHRA

MHRA英国药品监督管理局

GXP数据可靠性指南及定义

2018年3月最终版

EDQM

计算机化系统的验证核心文件

OMCL 药品控制实验室实验室

2018年8月

附件

附件1 Excel电子表格的验证

附件2 复杂计算机化系统的验证

PIC/S指南

国际药品监察合作计划（组织）

GMP/GDP监管环境下数据管理和完整性优良规范

2016年8月（草案）

WHO

WHO数据完整性指南：良好的数据和记录规范

2. ALCOA+

PIC/S

ALCOA

attributable 可追溯性

应该可以识别出实施了记录的任务的个人。记录下谁实施了任务/职责的需求是证明该职责是由经过培训有资质的人员实施的一部分。这也适用于对记录进行修正时：修正、删除、变更等。

legible 清晰

所有记录均应清晰---信息必须可以读出以便任何用途。这适用于要求完整的所有信息，包括所有原始记录或输入。如果电子数据的“动态”属性（能够搜索、查询、做趋势分析等）对于记录的内容和含义很重要，则使用适当的软件与数据互动的能力对于记录的“可获得性”就很重要。

contemporaneous 同步

动作、事件或决策的证据应在其发生时记录。此记录应作为做了什么、决定了什么以及为什么的准确证明，即在当时是什么影响了决策。

original 原始

原始记录可以在信息首次被捕获时描述，可以是记录在纸上（静态），也可以是电子的（通常是动态的，取决于系统的复杂性）。原始以动态状态捕获的信息应保持在该状态可获得。

accurate 准确

通过稳健的药物质量管理体系许多元素来保证结果和记录是准确的。这可以包括：

-与设备相关的因素，如确认、校正维护和计算机验证 -控制措施和行为的方针和程序，包括数据审核程序用以核查是否符合程序要求 -偏差管理，包括根本原因分析，影响分析和CAPA -受过培训的有资质的人员了解遵守既定程序和记录其活动和决策的重要性这些要素一起保证信息的准确性，包括用于做出关于产品质量关键决策的科学数据。

complete 完整

当试图了解一件事情时，所有在还原该事件时关键的信息都是重要的。一个信息需要考虑成为完成时所需的详细程度取决于信息的关键程度（参见第5.4部分数据关键程度）。一个由电子方式产生的数据的完整记录包括相关的元数据。

consistent 一致

优良文件记录规范应适用于所有过程，没有例外，包括在过程中发生的偏差。这包括了捕获对数据所做的所有变更。

enduring 持久

保证记录可以获得的一部分内容是确保其在可能需要的整个时间段都存在。这表示他们需要用为一份清晰/持久的记录保持完好无损并且可以获取。

available 可获得

记录必须在其所要求的保存期间随时可以获得用于审核，负责其日常放行决策、调查、趋势分析、年报、审核或检查中审核的所有适合的人员都能可读格式获得。

MHRA

ALCOA

A-attributable to the person generating the data

可归属于产生数据的人员

L- legible and permanent

清晰可辨并永久

C- contemporaneous

及时记录

O- original record (or certified true copy)

原始记录（或确证的真实副本）

A- accurate

准确的

完整的--数据必须是全部的，完全的组

一贯的--数据必须前后一致

耐久的--在整个数据生命周期中保持耐久

可用的--随时可用于审核或检查

WHO

ALCOA

可追溯的

至产生数据的人

清晰的

数据是易读的、可以理解的，并要求记录中的步骤或事件有一个清楚的顺序以便执行的所有GxP活动都能被审核这些记录的人员在适用的GxP设定的记录保留期限内的某个时间点完全重现。

说什么毛呢

同步的

数据在它产生或被观察到时记录的数据。

原始的

原始数据包括为了完全重现进行的GxP活动所需的第一时间或从源头获取的数据或信息和所有后续的数据。

要求

1)应该审核原始数据；

2)应该保存原始数据和/或保持了原始数据的内容和意思的经核实无误的和经过确认的副本；

3)同样地，原始记录应该在整个记录保持期间都是完整的、持久的和容易查阅和阅读的。

准确的

数据是正确的、真实的、有效的和可靠的。

完整

一致

持久

可用

例子

对纸质及电子的不同要求

奥星

东富龙

要求

用户登录，电子签名（姓名、时间戳等）

强制保存；不得覆盖；不得删除；审计追踪；备份及存档。

数据输入后应立即保存记录；锁定系统时间/日期戳访问权限；服务器时间。

认证副本：与原始电子数据集进行比较，以确信所有元数据均在副本电子数据中。

记录必须准确。通过下列质量管理体系实现记录的准确性：设备确认、校准、维护;计算机化系统验证;质量审核及检验;数据审核规范;偏差、纠正与预防措施等

3. 数据风险管理方法

PIC/S

使用ICH Q9原则承担责任

数据管理的工作和资源应与产品质量风险相称

如果需要采取长期措施，以达到想要的控制状态

应实施临时措施来缓解风险，并监测有效性

如果需要采取临时措施或提高风险优先度

则应与高层沟通所残留的数据完整性风险，保持审核

从自动化/计算机化转化为纸质系统不能解除对数据管理的需求

增加行政负担和数据风险

并阻止了持续改进

退步

评估方法

数据关键程度

对决策的影响

例如，当作出批放行决策时，确定符合关键质量属性的数据比仓库清洁记录要重要。

产品质量或安全的影响

例如，对于口服片剂，活性物质含量数据一般要比脆碎度数据对药品质量和安全影响更大。

数据篡改和删除的可能、几率

评估数据流及数据产生方法，不仅评估IT系统功能和复杂性

工艺复杂性

数据生成、贮存和退役的方法及其包括数据准确、清晰、不能消除的能力

产生、修改

电子系统数据

经验证计算机化系统

低

人工记录数据

高

工艺一致性和自动/人工程度

复杂的不一致的工艺

批内批间的稳定性差

高

定义明确、客观、一致的简单任务

低

结果的主观性

工艺是开放式的

高

明确定义的

低

发现/可见的可检测性

是否复核

是否日常数据核查

是否定期审核数据控制措施

培训是否到位

输入一致性审核

如计算机化系统数据通过经验证的“异常报告”方式进行日常审核，则对计算机化系统日志/审计追踪基于风险抽样

“异常报告”是一种经过验证的搜索工具，它识别出并记录下预定为“异常”的数据或行为，这些数据和行为需要数据审核人员进行进一步关注或调查。

如定期报告审计跟踪记录下的事件

MHRA

建立数据关键性及其固有可靠性风险

重要性

数据对于决策的质量、安全性和效力的重要程度

可能性

数据被删除、修改或未经授权的排除的可能性，及发现上述活动和事件的可能性来决定。

主观结果的数据风险可能更高

如果数据产生的流程只允许高级别权限或必须通过其它专用软件/知识才能进行修改，那么该数据对产品、病患和环境影响较低，可通过论证减少其控制措施的程度和/或频率。

PDA

7.0 风险评估

原则

数据完整性的控制应当基于ICHQ9中的质量风险管理原理，也就是说，数据的控制、确认和日常监督的水平应当和数据与患者安全的相关性，以及与数据的准确度、完好度、伪造或篡改的风险相匹配

对象

纸质数据

生成、审查和归档的过程、系统、控制和实践

真实性

追溯性

复核要求

电子数据

生成、审查和归档的过程、系统、控制和实践

更改

阻止或追踪数据的更改

包括任何角色或使用任何原理对数据所进行的修改、覆盖、未保存或删除。

风险评估

结合检验的关键性、质量体系的成熟度和降低风险的技术，可以建立风险矩阵。

可以根据测试是否为关键质量属性(CQA)(如无菌检查)来确定数据的关键性，关键工艺控制(CPC)，如环境监测试验；

或者过程控制/其他测试，如非无菌产品的环境监测。

例子

说明

下图显示了应用于数据完整性的风险矩阵。在本例中，矩阵用于确定在批准测试结果之前，哪些微生物测试需要第二人复核。

情况

目前，在微生物实验室进行的测试中有很大一部分是观察性的，也就是说，结果(例如菌落计数)是在纸质文件或计算机记录中查看和手动记录的。由于缺乏一种简单、可靠的方法来确认所记录的数据，一些实验室要求微生物实验员进行第二人复核(如主管)，通过对培养皿进行菌落检查。此外，第二人复核可以作为数据批准前的强化步骤，也可以与数据批准步骤结合进行。

微生物数据的收集、控制和确认的风险因素通过计算机接口技术得到了降低，例如自动菌落计数器或快速生成电子记录的方法，这些电子记录可检索、相对不会被篡改或具有数字时间和日期戳的摄影设备。这可以包括自动化和使用先进的方法，通过验证数据记录(例如ATP生物发光平台)系统和审计跟踪功能。如若目前还没有技术解决方案，应有强大的制药质量体系(PQS)，包括有效的现场审计计划、实验室监督和质量部门的存在，以及对文档系统的定期审查，以降低数据完整性风险。另一方面，薄弱的PQS会增加数据完整性风险。

分析

矩阵图

例子

丁胜

1.记录识别

2.影响评估

严重性

关键性

3.风险评估

4.控制措施

技术和流程

5.跟踪控制的有效性

4. 定义

GXP

MHRA

良好的X 实践，X 代表以下可能的情况： GDP-Distribution 药品流通 GCP-Clinical 临床 GLP-Laboratory 实验室 GMP-Manufacturing 生产 GPvP-Pharmacovigilance 药物警戒

WHO

管理被监管的药品、生物制品和医疗器械产品临床前、临床、生产和上市后活动的良好规范指南的集合的缩略词，比如良好实验室规范（GLP）、良好临床规范（GCP）、良好制造规范（GMP）和良好销售规范（GDP）。

GAMP

GMP

药品生产质量管理规范

GCP

良好临床试验管理规范

GLP

良好实验室质量管理规范

GDP

良好配送质量管理规范

医疗器械法规（医疗器械内置的软件除外）

以上诸项统称GXP法规

数据生命周期

PIC/S

指数据产生、处理、报告、检查、用于决策、存贮和在保存期结束后最终废弃。

与一个药品或工艺相关的数据可能在其生命周期内会穿越不同边界。这可能包括手工和IT系统之间的数据转移，不同公司界限之间的数据转移，内部（例如生产、QC和QA之间）和外部（例如，服务提供商或合同发包方和接受方之间）的数据转移。

数据（包括原始数据）生命中所有阶段，从最初产生和记录到处理（包括转化或迁移）、使用、数据保存、归档、恢复和销毁。

MHRA

数据生命中的所有阶段，从产生和记录，到处理（包括分析，转移或迁移），使用，数据保存，归档/检索，销毁。

PDA

数据生命周期涵盖数据保留,存档/检索和销毁。

需建立控制措施，从数据收集到GxP报告的使用和存档，涵盖数据整个生命周期。

WHO

数据产生、处理、回顾、分析和报告、传递、储存和恢复及持续监控直至销毁的过程的所有阶段。应该有一个有计划的方法来评估、监控和管理数据和在某种程度上与患者安全、产品质量的潜在影响和/或贯穿于数据生命周期的所有阶段做的决策的可靠性相适应的那些数据的风险。

确保和增强产品安全性、有效性和质量的持续改进需要一个数据管理方法来确保在贯穿数据创建、记录、处理、传播、审核、报告、保留、归档和恢复以及此管理过程提交定期审核的过程的所有阶段的数据完整性风险的管理。为了确保数据的组织、同化和分析成有助于基于证据和可靠的决策的信息，数据管理应该为生命周期的数据处理和风险管理规定数据的所有权和职责。

数据生命周期

数据生成和获取

数据传输

数据处理

数据审核

数据报告，包括无效和非典型数据的处理

数据保存和归档

数据销毁

例子

奥星

数据管理

PIC/S

保证数据（不管其格式如何、如何生成）的记录、处理、保存和使用过程的一系列安排的总和，用以确保整个数据生命周期中其完整性、一致性和准确性。

数据管理系统应整合于PIC/S GMP/GDP所述的药物质量体系中。它应该说明数据在其生命周期中的所有者身份，考虑对过程/系统进行设计、运行和监测，以符合数据完整性原则，包括对有意和无意修改和删除信息的控制。

数据管理是为数据完整性提供保障的所有安排的总和。

这些安排保证数据，不管其产生、记录、处理、保存、恢复和使用的过程、格式或技术如何，均能在数据的整个生命周期中保证完整、一致和准确的记录。

MHRA

是用于保证数据，无论其产生时的格式，在生命周期中被记录、处理、保存和使用的一系列措施。

要求

指明数据所有者和责任人

要求对流程/系统的设计、运行和监控

控制对数据的有意或无意的修改

培训

包含人员在数据可靠性保证重要性方面的培训，并营造一个积极鼓励员工报告错误，疏忽和不良结果的工作环境。

高级管理层责任

高级管理层应负责实施体系和规程，将数据可靠性风险降到最低，并使用风险管理工具，如ICH Q9 中的原则，识别残余风险。

委托方

合约委托方应确保在与任何第三方的合同/技术协议中，涵盖了关于数据所有者，治理和可访问性的要求。合约委托方还应实施数据治理回顾，作为其供应商保证项目的一部分

WHO

不论这些数据产生形式如何，为确保在整个生命周期内数据的记录、处理、保留和使用均完整、一致和准确所采取措施的总和。

数据完整性

PIC/S

所有数据在其生命周期内的完整、一致和准确程度。

PDA

FDA

FDA：指数据的完整性、一致性和准确性。完整、一致和准确的数据应：归属明确、清晰易读、同步产生、原始记录或真实副本、以及准确（简称ALCOA）。

FDA 2016草案也一样的描述

完整数据

FDA

FDA要求实验室记录中数据的完整性，包括来自实验室仪器的原始数据、图表、光谱和相关元数据。（法规211.194(a)和212.60(g)(3)）。对每次检验的所有数据的完整记录均进行保护，包括进行检验的日期和时间，和来自实验室仪器的所有图表和光谱（显示特定的成分、药品容器、密闭性、中间过程物料、或药品和批检验）。

MHRA

MHRA：数据的完整、一致、准确、可信、可靠程度，且上述数据特性将存在于数据的整个生命周期。数据应以安全的方式收集并保存，使其归属明确、清晰易读、同步记录、原始或真实的复件、以及准确。确保数据完整性，需要适当的质量和风险管理系统，包括对相关科学准则和良好的文件规范（GDP）的遵守。

WHO

WHO：数据的完整、一致、准确、可信、可靠程度，且上述数据特性将存在于数据的整个生命周期。数据应以安全的方式收集并保存，使其归属明确、清晰易读、同步记录、原始或真实的复件、以及准确。确保数据完整性，需要适当的质量和风险管理系统，包括对相关科学准则和良好的文件规范（GDP）的遵守。

WHO

数据完整性是数据的收集在数据生命周期内完整、一致、准确、值得信赖和可靠以及数据特性被维护的程度。数据应该以一种安全的方式收集和维护以确保它们是可追溯的、清晰的、同步记录的、原始或其真实的副本和准确的。保证数据完整性需要适当的质量和风险管理系统，包括坚持合理的科学原则和良好文件规范。

2010GMP附录《计算机化系统》第二十四条（六）

（六）数据完整性：是指数据的准确性和可靠性，用于描述存储的所有数据值均处于客观真实的状态。

数据可靠性

MHRA

数据可靠性是数据完整、一致、可信、可靠以及这些特性在整个数据生命周期中得以维护的程度。数据应通过一个安全的方式收集和保存，确保数据是可归属的、清晰可辨的、及时记录的、原始的（或真实副本）和准确的。保证数据可靠性需要质量体系和风险管理体系，包括遵循科学合理的原则和良好的记录规范。

数据可靠性原则

公司对“所使用的系统及其产生的数据”负责

很多没详细列出

要求

应考虑使用现有技术，恰当地配置以减少数据可靠性风险。

简单电子系统，无配置软件，无电子数据存储，如pH计，天平和温度计，可能只需要校验，而复杂系统需要“验证符合预期用途“。

CGMP记录

FDA

为满足CGMP要求，所有数据均会成为CGMP记录。必须当场记录、或保存，以符合CGMP要求——包括但不限于法规221.100（b）和211.160（a）。 FDA希望流程会设计成质量数据的产生和保存是不会被修改的。

FDA 2016草案

电子拷贝作为纸质或电子记录的真实副本

前提：该拷贝保存了原始数据的内容和内涵，包括元数据以及原始记录的静态或动态属性

特殊的动态数据

某些类型的实验室仪器产生的电子记录是动态记录，而打印记录或静态记录无法以动态格式保存，动态格式又是完整原始记录的一部分。

例如，FT-IR（傅里叶变换红外光谱法）产生的光谱文件可进行后处理，但是静态记录或打印输出的记录是固定不变的，这就不能满足CGMP对于保存原始数据或真实副本的要求（(§211.180(d))）。而且，如果没有显示全波段光谱，污染物的光谱可能会被排除在外。

控制

确保原始实验室记录（纸质和电子记录）由他人进行审核，从而确认报告了所有检测结果

要求

防止被修改的程序

临时数据不被允许

将数据记录在纸片上，随后誊抄到永久实验记录本上并将纸片丢弃的行为是不允许的（参考§§211.100(b)，211.160(a)，和315211.180(d)）。

同样地，在创建永久记录前，以允许处理的方式在临时存储器中保存电子数据的行为也是不允许的。自动保存到临时存储器中的数据不符合CGMP对文档和保存的要求。

满足

每条数据录入即保存

数据

定义

PIC/S

所收集用于参考或分析的事实、数值和统计结果。

MHRA

用于参考或分析所收集在一起的事实、数字和统计数据。包括在GXP活动发生时所有原始记录及其真实副本，包括源数据和元数据以及所有这些数据后续的转换和报告，被记录，并允许完整地彻底地重现和评估GXP活动

WHO

WHO：数据是指所有原始记录和原始记录的真实副本，包括源数据和元数据，以及在GXP活动时生成或记录的所有后续转换和报告，并用于对GXP活动进行完整的追溯和评估。应在活动进行时采用永久性手段准确记录数据。数据可包含在纸质记录（如工作表和日志）、电子记录和审计跟踪、照片、缩微胶片或缩微胶片、音频或视频文件或记录与GXP活动相关信息的任何其他媒体中（3）。

分类

原始数据（源数据）

MHRA

原始数据同原始记录即第一手获取的的或源头的数据或信息

如人工观察得到的原始纸质记录，或计算机化系统的电子源数据文档，以及后续转换和报告

原始数据必须允许完全重现所发生的活动。

原始记录可以是静态的或者动态的。

如果原始数据是电子化生成的并以动态的方式被获取，那么纸质记录无法作为其“原始数据”。

对于一些简单设备不能存储电子数据，或只能提供打印的数据（如天平或pH计），那么这些打印的数据组成了原始数据。如果某些简单设备不能永久储存电子数据，在保存一定容量的数据后被覆盖，那么这些数据应被定期审核，并在必要时对比与纸质记录的一致性，以及在设备支持的情况下，定期将电子数据提取出来。

分类

静态记录

静态记录，如纸质记录或电子记录，是一种固定的，几乎不允许或完全不允许用户与记录内容发生交互的记录格式。例如一旦打印出来或转变为静态电子格式，色谱图记录就失去了再处理的能力或无法再被仔细的观察基线。

动态记录

动态格式的记录，如电子记录，允许用户与记录内容之间的交互关系。例如，数据库格式的电子记录，允许用户追踪和查询数据，以及对数据做趋势；以电子记录格式保存的色谱图记录允许具有适当权限的用户或复核人对数据进行再处理和放大基线以便更清楚地观察积分情况。

要求

当保存源数据的初始副本无法实现或不具可执行性时，（如MRI扫描，数据来源的设备不在检验发起方的控制内，检验员只提供总结性统计数据），应记录其中的风险和采取的减缓风险的措施。

当数据的获取需要人员观察的方式来记录（例如手动滴定的结果，环境监测培养皿的目视判读），该过程应经过风险评估，并基于其关键性，评判是否需要第二人的实时复核确认，或考察是否可以通过其它的方式获得结果。

PDA

4.1 原始记录

定义

原始记录包括源数据和所有元数据需要“完整”并允许完全重建GXP活动

包括

源电子数据

纸质打印输出

静态图像

例子

杨博

原始记录的认定

元数据

MHRA

描述其它数据属性和为其它数据提供语境和意义的数据。典型地，元数据是那些描述数据的结构、数据元素、内部关系和其它特性的数据，如审计追踪。元数据同时也使数据可以归属至某个人员（或者，如果数据是自动生成的，那么归属至数据来源）。

元数据是原始记录中的一部分。如果没有元数据所提供的语境，数据将失去意义。

例子

3.5

无任何意义

1.氯化钠批号1234，3.5mg. J Smith 2014 年7 月1 日

提供语境和意义

2.供试品 A123，样品编号 X789，采样时间 2014 年6 月30 日14 点56 分，3.5mg。分析员 J Smith 2014 年7 月1 日

提供语境和意义

元数据（如用户名、日期和时间）在用户保存事务至持久保存之前，不被抓取到系统审计追踪中。在计算机化系统中，可能需要电子签名来永久性的保存记录。

PIC/S

描述其它数据属性，提供环境和含义的数据。

FDA 2016草案

元数据是理解数据所需要的语境信息。如果没有数据相关的附加信息，数值本身是没有意义的。元数据经常被描述为关于数据的数据。元数据是描述、解释数据或者使数据检测、应用、管理更容易的结构化信息。

例如

不带有元数据的数字“23”（单位mg）是没有意义的

某一特定的数据的元数据还包含获得数据的日期/时间、检验或分析得到该数据的用户ID、采集数据的仪器ID、审计追踪等

数据保存期间应与所有相关的可用于重建CGMP活动的元我回家一起保存。数据及其元数据之间的关系应以安全且可追溯的方式保存。

WHO

元数据是提供需要理解那些数据的语境信息的数据。这些包括结构性和描述性元数据。这些是描述数据结构、数据要素、相互关系和其他数据特性的数据。它们也允许数据可追溯到个人。需要去评估数据意思的元数据应该安全地连接到数据并有足够的审核。例如在称量中数字8没有元数据比如单位mg就没有意义。元数据其他的例子可能包括活动的时间/日期标记、执行活动人员的操作者ID、使用的仪器ID、工艺参数、序列文件、审计追踪和其他需要理解数据和重现活动的数据。

例子

元数据

关于数据的数据

提供理解数据上下文背景信息的数据

一次色谱分析进样所产生的元数据

分析人员

仪器ID

进样时间

进样序号

样品名称

样品编号

存储路径

文件大小

分析方法名称（仪器运行过程控制参数、积分参数，响应因子、校正数据）

文件名

丁胜

混合数据

WHO

指的是在原始电子记录和纸质记录包括应该审核和保留的全部记录集组合使用的地方使用计算机化系统。混合方法的一个例子是在使用计算机化仪器系统的实验室分析的地方产生原始的电子记录然后打印出结果的汇总。混合方法需要一个在记录保留周期内所有包括纸质和电子记录类型之间的安全链接。在混合方法使用的地方，应该有对电子文件，比如模板，可能打印的表格和主文件的适当控制。

PDA TR80

电子和纸质文档相结合的仪器

例如，分析天平，自动滴定仪，旋光仪，溶出仪和pH计，都是由纸质记录的固件管理的仪器。根据MHRA，不带软件的天平和pH计被认为是简单系统（5）。为了符合法规要求，公司必须确保所生成的原始数据得到保存和/或存档的记录能够代表数据的真实副本（2）。

格式

动态格式记录

WHO

动态格式的记录，比如电子记录，允许在用户和记录内容之间建立互动的关系。例如，在数据库格式中的电子记录允许用户去追踪、分析趋势和查询数据；作为电子记录保持的色谱记录允许用户再处理这些数据和放大基线以便更清晰地查看积分。

静态格式记录

WHO

一个静态的记录格式比如纸质或PDF记录，是一个固定的和在用户和记录内容之间允许少量或没有互动的格式。例如，一旦打印或转换成静态PDF，色谱记录就失去再处理或查看更多基线细节信息的能力。

损坏（数据）

PDA TR80

FFIEC：计算机数据在书写、读取、保存、转移或处理时出现的错误，导致对原始数据非有意的更改。

5. 纸质数据

PIC/S

原则

ALCOA

记录控制的重要性

活动实施的证据；

符合GMP要求和公司方针、程序和工作指令的证据；

药物QMS有效性；

可追溯性；

工艺真实性和一致性；

所生产的药品具有优良质量属性的证据；以及

如果有客户投诉，记录可以用于调查。

SOP内容包括

主记录和程序如何创建、审核和批准使用；

用于记录数据的模板的生成、发放和控制（主文件、日志等）；

记录恢复和灾难恢复过程；

生成日常使用的工作记录的流程，具体强调保证文件的副本，例如，SOP和空白表格应使用受控和可追溯方式发放和平衡数量；

纸质文件填写指南，说明各操作人员如何识别记录，说明数据输入格式以及如何增补更正文件；

填写完成的记录日常如何审核其准确性、可信性和完整性；

记录的填写、恢复、保存、归档和废弃流程；

在整个数据的生命周期维护数据完整性

PDA TR80

旧系统，以纸质为主的

复核纸质记录、签名确认

一旦打印的数据被审核过，原始电子数据应该仅用于参考，不可更改。

对批准的数据的任何修改都需要证明（原因、审批、记录）。

复核电子数据

生命周期管理

PIC/S

产生

模板

使用风险管理方式实施

记录

产生

所有文件均应有唯一的识别号（包括版本号），应进行检查、批准、签名并签署日期。应通过程序禁止使用非受控文件。应禁止使用临时记录的做法，例如刮擦纸张。

非受控文件记录增加了关键数据丢失或忽略的可能性，因为这些文件记录的设计不利于正确记录关键数据。伪造非受控的记录可能会更容易一点。如果没有版本控制和发放控制，则会产生使用失效的格式的风险。

MHRA

空白纸质模板管理

收发台账

或使用带有每页编码的受控本的方式防止对空白记录的非授权复制。可能存在例外的情况，如病历本（GCP），上述方式不具可执行性。

记录设计应留出足够的空白让员工书写数据。

手书记录可能会不清楚，无法阅读。

如果给记录附加了页，使得员工可以写完记录内容，则每页应该加编号和索引号，并记录在主记录页中，并在加页上签字。

文件设计时应写清楚在输入中要提供什么数据。

指令不清可能会导致数据记录不一致/不正确。保证书写内容清楚、同步、可读/持久及完整。

文件记录存贮方式应保证受到恰当的版本控制。主文件（软复本）应保护不会被未经授权或不经意地修改。例如，对于以电子方式存贮的模板式记录，应有以下注意事项： -应控制接触模板母本的权限 -版本创建和更新过程控制应清楚，并实际可操作/核查 -主文件存贮方式应能防止未经授权的修改

不恰当的存贮条件可能会发生未经授权的修改、使用过期的和/或草稿文件或导致主文件丢失。实施流程和有效沟通与文件一样重要。主件应有清楚标识，与副本相区别，例如，使用有颜色的纸张或墨水，这样防止不经意误用。

分发和控制

更新后的版本应及时分发。过期母版文件记录应归档，接受它们的权限应进行限制。所有已发放但未使用的纸质文件应相应收回和销毁。

如果过期版本能够被拿到，则有被误用的风险。

应有书面程序控制记录分发，包括以下控制：

-使用工作区域无法获得的安全保存的印章或有色纸，或者使用其它合适的系统 -保证只能获得批准的现行版本供使用 -为发放的每份空白记录给定一个唯一识别标志，并在登记册上记录每份文件的发放 -为每个分发的副本编号（例如，副本2，共有2），对装订成册的记录每页均给定连续编号 -如果需要多次发放空白模板副本，则应遵守多次发放的受控程序。所有发放的副本均应维护，需要额外副本的时应说明和批准并记录，例如“原模板记录受损”。 -所有发放的记录在使用后应计数平衡，以保证记录的准确性和完整性。

如果不使用安全措施，则会存在影印或扫描模板记录（当发给用户一个模板使用时）后重新书写或伪造数据的见险。过期版本可能会被有意或无意使用。填写好的记录如果有反常数据输入，可能会被使用新的重写过的模板替换。所有未使用的表格均应计数，要么划掉并销毁，要么退回安全归档。

MHRA

受控打印件

台帐

空白表格

范围

不局限于工作表、实验室记录本、生产和检验主记录

应受控

空白表格可计数发放，在填写完成后核对数量。相似的措施还有：装订成册的有页码的，由文件控制小组正式发放或盖章的记录本，以此可以发现非正式的记录本，以及记录本页数是否有问题。

QA部门应维护一份所有模板记录的清单。

此索引清单应至少提到各类模板记录中的以下信息：标题、索引号包括版本号、位置（例如，文件记录数据库）、有效日期、下次审核日期等。

记录填写

填写

手书记录必须是执行任务的人书写。文件中未经使用的空白格应划掉、签名并书写日期。手书记录应清晰可读。日期格式应按工厂要求填写完整，例如：2位日+2位月+4位年，或者是2位月+2位日+4位年

检查同一员工填写的记录笔迹一致。检查书写内容清晰可读（即，没有不清楚，不包括使用未知符合/缩写，例如使用表示重复内容的两点。检查所记录数据是否完整。检查记录页编号是否正确，是否无缺失页。

操作内容的填写必须同步。

核查记录是否在其使用区域可以获得，即，检查员应要求在操作现场就地完成记录。如果在使用点找不到记录，则操作员不可能在操作同时填写记录。

MHRA

时间

在使用点，访问具备恰当控制的/同步的时钟，用于记录含时间信息的事件，以保证重现性和可追溯性。如果数据用于多个工厂，应知晓并指明时区。

地点

在活动发生的地方可进行记录，避免非正式的记录以及后续转录到正式记录的行为

记录应可读。

检查书写内容是否用墨水写就，应不可擦除和/或模糊褪色（在保存期间）。检查记录是否在用铅笔书写之前用铅笔写过（套写）。注意一些从系统里打印的纸质打印件可能会在一定时长后褪色，例如热敏纸。

记录的签名和日期应有唯一的识别标志，可以追溯到书写人。

检查是否有签名和首字母名清单。清单应该受控并且是现行的，它证明使用了唯一的样子，而不只是标准化印刷的字母。保证所有关键的书写内容都有签字和日期，尤其是如果步骤发生在一定时长内，即不止是在页尾和/或工艺结束时签字。应该有一份清单，在其中显示个人及其名鉴之间的可追溯性。使用个人名鉴必须要有日期（持有人书写），这样是可以接受的。

第二人代表操作员进行记录

记录活动会让产品或活动处于风险之中，例如，记录无菌操作人员对生产线的人工干预情况

适应文化或员工文化水平/语言限制，例如，一个操作工实施活动，主管或管理员在现场查看并记录。在两种情形下，监管式记录都必须与所实施的任务同步，必须写明完成该任务和完成记录的人员姓名。实施所观察任务的人员应在可能时就对记录进行会签，这时的会签是回顾式的，是可以接受的。监管（记录）记录完成的过程应一个批准的程序中描述，还应该制定该程序适用的活动

MHRA

可采用情况，并需论证

实时记录的行为不利于产品或操作，如无菌操作员记录对生产线的干预的操作

解剖（GLP）

迫于文化上的或文字/语言能力的限制，比如由一个操作员实施的活动，由第二人目击并记录。

简化

可访问性

可用性

位置

个人观点：避免繁琐，并且要很容易让使用者用起来

要求

同步

追溯、会签

谁操作的

谁记录的

sop

在sop中描述，并指明适用活动

更正

用单删除线划掉要更正的部分。适当时必须清楚记下更正的理由，关键的话还要核查。更正人签名首字母和日期。

检查原始记录是否被遮盖，是否仍可读（例如，没有使用修正液遮盖，不允许重叠书写）。如果是对关键数据进行更正，则要核查是否记录了有效的更正理由，以及是否有支持变更的证据。检查记录中没有解释的符合或内容。

更正必须采用不可擦除的墨水。

检查书写是否使用的墨水，是否不能擦除和/或模糊或褪色（在存贮期间）。检查记录填写是否在用铅笔之前用铅笔打底（套写）。

核查（第二人检查）

A-关键工艺步骤的批生产记录应： - 由指定人员（例如生产主管）在操作发生时进行审核/现场查看；并且 -由生产部门内经过授权的人员在将记录送交QC部门前进行审核，并且由QA部门（例如授权人/QP）进行审核和批准，然后放行或销售所生产的批次 B-非关键工艺步骤的批生产记录通常由生产部人员根据批准的程序进行审核。此核查必须在生产相关任务和活动实施之后再执行。此核查必须由适当的人员签字或签首写字母并签署日期。必须有SOP描述书面文件记录的审核流程。

核查生产区域内处理生产记录的程序以保证正确的人员在实施记录相关操作时可以很容易获取该记录。核查是否在工艺期间由适当资质和独立的人员，例如生产主管或QA进行第二人检查。检查文件记录是否在操作活动完成之后由生产部审核，然后由质量人员审核。

检查是否所有空格都使用现行（批准的）模板填写完整正确，相比于可接受标准此数据是否关键。检查第8.5部分的项目1、2、3和第8.6部分的项目1和2.

检查员应审核公司审核人工数据的程序以确定程序的充分性。检查对数据是否有第二人审核，包括对所用计算方法的核查。查看原始数据（如可能）以确认转抄用于计算的数据是正确的。

维护

公司应定义并实施记录存贮和恢复系统。所有记录必须存贮在指定的位置，可以追踪并可以获得。系统应确保所有GMP/GDP相关记录存贮时长符合GMP/GDP要求的时长。

检查记录存贮方式是否有序，易于识别。

所有记录应受到保证，不会受到以下操作或毁坏： -火 -液体（例如，水、溶剂和缓冲液） -啮齿动物 -湿度测定等 -未经授权的人员进入，该人可能试图修改、损毁或替换记录

检查是否存在有系统保护记录（例如，虫鼠控制和自动喷淋灭火装置）。注：如果自动喷淋系统是设计来保护文件的，例如，文件是防水的（例如，文件已用塑料膜覆盖），则可以实施自动喷淋系统

灾难恢复策略

检查是否具备灾难情形下恢复记录的系统

电子系统直接打印出的打印件

从不存贮数据的非常简单的电子系统，如天平、pH计或简单工艺设备中产生的纸质记录，其通过对数据进行再处理、改变电子日期/时间戳的方式影响数据呈现的机会受到限制，则可以由生成记录的人对原始记录签名日期，并将原始记录附入批处理记录。

真实备份

电子方式的原始数据

纸质方式

有书面方法来核查打印记录是准确的

PDF格式

签发和受控审核时要素

签发者

要求

纸的

-获得要备份的文件原件 -对原始文件进行影印，确保没有遗漏原件上任何信息 -核对复印件的真实性，在复印件上签名/日期，将新的复印件作为“真实备份”

“真实备份”现在可以发送给接收方。

电子的

创建一份电子文件的“真实备份”。电子记录的“真实备份”应采用电子方式创建（电子文件备份），包括所有所需的元数据。不鼓励创建电子数据的PDF版本，因为这等于从电子系统打印出一份打印件，这时有丢失元数据的风险。

“真实备份”现在可以发送给接受方。

要维护所有签发的“真实备份”（软备份/硬备份）的发放清单

要素

核查真实备份的生成流程。检查所签发的真实备份是否与原始记录相同（完整准确）。备份记录应和原始文件记录对比检查，确认没有篡改扫描影像。检查扫描或保存的记录受到保护，能保证数据完整性。在扫描了纸质记录和核对“真实备份”的创建后，可以允许销毁已经扫描创建过“真实备份”的原始文件。此销毁过程应有书面批准的程序。

接收者

要求

纸质版本、扫描备份或电子文件应根据优良文件记录管理流程进行审核和存档。文件记录应清楚显示其是真实备份，而不是原始记录。

要素

检查所收到的记录是否经过适当的检查和保存。应该有一个系统核对“真实备份”的正确性，例如，通过验证其正确签名。

应有质量协议说明“真实备份”产生和转移的纸质以及数据完整性控制

汇总报告

对汇总报告中数据进行远程审核通常是必须的

数据汇总报告通常会在物料距离上比较远的生产场所、上市许可持有人和其他利益相关方之间传递

从根本上来说受限于其特性

数据汇总报告通常并不包括关键支持性数据和元数据，因此无法对原始数据进行审核

因此有必要仅将审核汇总报告作为数据转移过程中的一个环节

通过现场检查对供应商的质量系统和数据完整性原则符合性进行评估

包括对用来产生和分发汇总数据和报告体制的审核

文件记录保存

时长

保存时长应符合GMP/GDP中制定的时长

考虑其它的当地或国家法规

哪保存

内部保存

外部保存

要签质量协议

应有一个系统描述归档记录的不同步骤（档案盒识别、盒中记录清单、保存期限、存档位置等）。

检查归档记录恢复实施系统是否有效和可追踪。检查归档文件接触权限是否仅限于被授权的人员，能确保所存贮记录的完整性。所用保存方法应能在必要时对文件进行有效恢复。

所有纸质质量记录应存档在： - 安全的位置，防止损坏或物超所值 - 其保存方式应易于恢复； - 确保记录能持久保存达到其生命周期。

检查外包操作是否有质量协议，是否对存放位置进行了审核。确保有一些评估，保证文件在整个归档周期都清晰.可以获得。检查归档文件的进入权限是否仅限于被授权的人员，能确保所存贮记录的完整性。所用存贮方法应能保证必要时有效恢复文件。

应进行风险评估证明保存系统/设施/服务是适当的

了解残留风险

原始记录废弃

记录废弃处理应有书面程序

确保销毁的是超过既定保留时长的正确的原始记录。系统应保证现行记录不会被错误销毁，历史记录不会阴差阳错回到现行记录流（例如，历史记录与现有记录混淆/混合）。

能提供记录/登记册证明对退役的记录进行了适当及时的销毁

删除文件权限限制给很少数人

打印件不是永久的（例如热敏纸）

保存经过验证（真实）的副本

可以废弃非永久性记录原件

如“真实备份”的原则有进行说明

则可以采用扫描件替代纸质文件来保存

FDA 2016草案

备份数据准确、完整，并且确保数据不会被更改、误删或丢失

存储防止退化或丢失

执行时当场记录，实验室控制是科学合理的

记录应为原始记录、真实副本，或原始记录的准确复制

完整信息，所有测试的完整数据，所有数据的完整记录以及所有测试的完整记录

数据复核

对于小型运营或工厂，例如正电子发射成像药物（PET）医用气体厂家，人员数量很少，这种独立的安全角色分配不能实施时，FDA建议改变控制策略。举例来说，在极少数情况下同一人员担任系统管理员并且负责记录的内容时，FDA建议由第二人审核设置和输入的内容。如果第二人审核无法实现，建议操作者本人再次检查自己的设置和数据输入。

空白记录管理

表格应由质量部门控制，或使用其他方法控制。例如，对空白表格进行编号后发放，并在发放完成后进行数量平衡确认。填写不完整和错误的表格应做为永久记录的一部分，和进行替换的书面原因一起保存（见§211.192,211.194,212.50(a),and212.70(f)(1)(vi)）。

类似的，装订起来带有页码的记录本，如果由文件控制组盖章后用于正式用途，就能够区分非授权记录本，和记录本缺页。

预进针及系统适用性

预进针

FDA禁止为实现特定结果或避免不可接受的结果而进行取样和测试（例如检测不同的样品直到获得满意的结果）。这种做法，也被称为检测至合格（testing into compliance），是不符合CGMP的（参考《对药品生产中出现超标（OOS）检验结果进行调查的行业指南》）。

系统适用性

在某些情况下，使用实际样品来进行系统适用性测试已被作为检测至合格的一种方式。

我们认为在测试、预运行或平衡运行中使用实际样品作为掩盖检测至合格的手段是一种违规行为。

根据美国药典的要求，系统适用性测试应进行标准试剂或其他标准溶液的重复进样，以确定是否满足精密度要求（参见美国药典通则<621>色谱法）。系统适用性测试，包括待进样溶液的鉴别和选择依据，应根据企业已建立的书面规程和已批准的申请或适用的药典专论来实施。（§§211.160 和212.60）

如果在系统适用性测试中使用实际样品，实际样品应当是经过适当鉴定的工作标准品，应建立并遵守书面规程，样品应来自于与待检样品不同的批次。（§§211.160，211.165，和212.60）。除有书面的科学论证而排除的数据外，所有数据应保留记录并接受审核。

奥星

手工记录原始数据

6. 电子数据

生命周期管理

产生

PIC/S

QMD结构和控制

需全面评估和控制所有的计算机化系统，根据GMP和GDP要求进行管理

评估描述每个系统

用途

功能

数据完整性风险

或易被篡改的弱点

确定数据弱点和风险时，重要的一点是在业务流程内其使用环境下考虑计算机化系统

例子

一个有计算机化界面的分析方法的数据完整性会受到样品制备、将样品重要输入计算机化系统、使用计算机化系统产生数据，以及使用这些数据处理/记录最终结果的影响。

确定计算机化系统及相关数据，在药品质量方面的关键程度

MHRA

产生途径

纸质

人工观测、手动记录在纸上，

如果数据风险评估或其它要求认定有必要的话，可能需要独立的确认。应考虑实施旨在降低风险的监管措施。

电子

电子的，使用设备，从简单机器到复杂的高可配置的计算机化系统，或

设备和计算机化系统相关的数据可靠性的固有风险，会基于产生或使用数据的系统的可配置程度，和数据在其生命周期中在不同计算机化系统之间传输时被操纵的可能性，而不同。

混合

使用混合系统，纸质和电子记录一起组成原始记录，或

当使用混合系统时，应清楚地确定组成完整数据组的所有数据，所有数据组定义的记录都应被审核和留存。混合系统应被设计为可以保证其满足预期目的。

其他

其它方式，如摄影、成像、色谱板等

当产生的数据通过一个摄像机或成像仪（或其它媒介）所捕获，该格式的数据在生命周期中的储存要求与其它格式一致，并考虑该格式特殊的额外控制措施。如果初始的格式由于老化问题不能被保存，可考虑其它保存机制（如摄像或数字化）以及后续存储，并记录选择的原因（例如，薄层色谱）。

系统和流程的设计

访问权限

应具备用户访问权限防止未授权的数据修改（或具备审计追踪，如果不能防止）。使用外部设备或系统接口的方式消除手动数据输入和人为对计算机化系统的干涉，例如条码扫描器、ID读卡器，或打印机。

为执行数据审核活动的人员提供访问原始数据的权限。

培训

为所有适用范围内的员工提供充足的数据可靠性原则的培训（包括高级管理层）。

风险评估

流程中引入主题专家

管理层监控数据管理相关的质量量度

WHO

做记录的方法和系统设计

例子

1)限制修改用于记录时间事件的任何时钟的能力，例如，电子系统和工艺仪器仪表的系统时钟；

2)确保用于记录GXP数据（如纸质批记录、纸质事件报告表和试验工作表）的受控表格在活动发生的地点，活动发生的时间可得，以便临时数据记录和之后转录没有必要；

3)控制GXP活动的数据记录的空白记录模板的发放以便所有打印形式都能够一致和计算数量。

4)限制自动化系统的用户访问权限以避免（或审计追踪）数据修改；

5)确保附有自动化数据获取器或打印机并与设备连接，比如天平，以确保独立和及时记录数据；

6)确保打印机与相关活动临近；

7)确保取样点的位置易于访问（比如水系统的取样点）允许操作人员容易和高效的取样并因此最小化走捷径或伪造样品的诱惑；

8)确保执行数据检查活动的员工有权限访问原始电子数据。

例子

奥星

记录

PIC/S

数据输入/捕获

要求

不管手动还是自动方式获得，系统应能正确捕获数据

人工输入

数据应仅由经过授权的人员输入，系统应记录输入的细节，人员在输入时系统即行记录。

数据输入应有指定格式，格式受到软件控制。验证活动应核查是否无效数据格式不会被系统接受。

所有人工数据输入均应进行核对，可以是由第二个操作人员核对，也可以是由经过验证的计算机化方式。

对输入的修改应被审计追踪捕捉，并由适当授权的独立人员进行审核。

自动捕获

产生数据的系统、数据获取和记录的系统之间的界面应经过验证，确保数据的准确性。

由系统捕获的数据应存贮在记忆存储内，其格式应不易伪造、丢失或修改。

系统软件应包括经过验证的检查，以确保所获得的数据，以及与数据相关的所有元数据的完整性。

检查要点

人工

确保人工输入的会经过第二次核对

验证

检查验证文件

要求

对数据的修改必须根据批准的程序进行授权和控制

例如，手动积分和处理化验室结果必须以批准和受控的方式进行。公司的质量部门必须建立措施，确保对数据的修改只在必要时并且由指定的人员实施。

所有对原始数据修改必须全部记录

至少由一个经过适当培训具备资质的人员进行审核和批准

检查要点

检查是否有对数据修改和再处理进行控制的程序

MHRA

当电子系统允许动态数据储存时，选择保存静态（打印/手动记录）数据而非动态（电子）数据，是不合适的。

由于数据需要用于完全重现所开展的活动，因此收集到的数据的数量和分辨率（详细程度）应经过论证。

GAMP

电子生产记录EPR

适用电子系统与混合系统

异常状况审查

定义

从生产相关的运行中得到的数据进行筛选，用于编制审查与事务处理（例如：发布、隔离、拒绝）报告的方法，REB 既包括对关键工艺异常的审核，也包括减少或取消对可接受数据和趋势的审查。

方法

为批记录历史报告或设备历史报告过滤生产数据

包括所有重要的流程异常或偏差审查

接受正常的操作数据、事件或警报（不用于支持重要异常），通常这些内容不包含在事务处理报告中

适用于己经充分理解的工艺或工艺的一部分

在电子系统或混合系统中实施

实施

清楚地定义系统的功能、准确度与可靠性

非RBE 类型的报告中，数据需要人工审查，要对数据进行保留，并且可以在保留期内用可读的方式来呈现该数据

计算机化的审查方法至少要与人工审查同样的全面与准确

对RBE功能进行了恰当说明、检验与定期审查

应在RBE 报告中，或者以审查者可获得的其他方式注明那些可能会导致重要异常事件漏报的沟通问题，或者其他系统错误。

当操作过程中没有发生重要的异常事件时，相关的异常报告应表明操作己正确完成

管理

电子记录

定义：电子记录

21 CFR Part 11

用于药品行业监管要求目的，由计算机系统创建、修改、维护、保存、检索或传播的数字化信息，包括文本、图表、数据、音频、图片等。

FDA 21 CFR Part11核心要求

相关机构只能使用经过验证确认后的计算机系统

对电子记录进行安全的保存并能快速查找定位

不依赖用户，由计算机产生的，带时间戳的审计跟踪记录

通过限制性访问措施保证系统和数据的安全性，数据的完整性。

对封闭系统和开放系统适用的安全电子签名

适用于开放系统的数字签名

系统操作和维护文档的分发、获取和使用得到有效控制

确定开发、维护或使用电子记录/电子签名系统的人员应具备与执行他们被指派的任务相应的教育、培训和经验。

2010GMP附录《计算机化系统》

第二十四条（二）电子数据：也称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。

要求

第二十三条电子数据可以采用电子签名的方式，电子签名应当遵循相应法律法规的要求。

第十五条当人工输入关键数据时，应当复核输入记录以确保其准确性。这个复核可以由另外的操作人员完成，或采用经验证的电子方式。必要时，系统应当设置复核功能，确保数据输入的准确性和数据处理过程的正确性。

电子记录包括

元数据

结果数据（二次数据，三次数据）

审计跟踪记录

电子记录与原始记录图示

要求

人工输入关键数据，要复核

判断人工输入的哪些是关键数据

如方法录入需复核

电子数据和纸质数据

谁为主数据

2010GMP附录《计算机化系统》第十八条

第十八条对于电子数据和纸质打印文稿同时存在的情况，应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。

要求

同时存在

规定谁是主数据

可写在文件中，或风险评估中

电子数据为主

法规

2010GMP附录《计算机化系统》第十九条

第十九条以电子数据为主数据时，应当满足以下要求：（一）为满足质量审计的目的，存储的电子数据应当能够打印成清晰易懂的文件。（二）必须采用物理或者电子方法保证数据的安全，以防止故意或意外的损害。日常运行维护和系统发生变更（如计算机设备或其程序）时，应当检查所存储数据的可访问性及数据完整性。（三）应当建立数据备份与恢复的操作规程，定期对数据备份，以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点，保存时间应当至少满足本规范中关于文件、记录保存时限的要求。

要求

能打印，看得懂的

安全

防未经授权人员接触

日常运行维护和/或变更时

可访问性

可访问无需特殊检查，能读取即可访问

数据完整性

看审计跟踪无删除

回收站

隐藏回收站

无删除文件

无法清空

隐藏我的电脑

锁定删除权限

不建议，可能导致无法创建或重命名

备份

建立备份与恢复操作程序

定期备份

备份介质选择

备份介质管理要求

至少应当在另一栋建筑内保存备份介质，以避免因火灾等事故导致所有数据均被损坏。备份介质存放场所应当是物理安全的，并且能防火、防水和其他危害。

根据供应商推荐的条件保存备份介质，通常需要防止氧化/分解、消磁、避免暴晒和物理损坏。

需要定期检查以确认介质在可用状态。

基于风险考虑，确认是否需要保存远程副本。

在备份介质上需标明系统名称、软件/数据标志、版本和/或软件/固件版本号（如果适用）、创建日期、第一次使用的日期、当前序号（可能有多个备份）、备份的日期、备份的原因。

软件备份

目的

确保在失效或开发、运行过程中修改后，能有最新的和正确的版本并且能在无差错的情况下快速恢复。

备份对象

• 操作系统

• 分层软件和工具

• 基准产品

• 自定义代码

• 配置和数据

备份时间点

• 正式测试前

• 移交前

• 变更后

备份日志

• 创建日期

• 系统名称

• 软件名称

• 版本和/或软件/ 固体版本号

• 当前备份序号

• 备份原因

• 备份日期

• 备份人员

数据备份

备份类型

备份类型：全备份，增量备份

备份频率

备份频率（根据系统的重要程度）

每日

每周

每月

每季

每年

非循环备份（永久保存）

备份保存

独立备份的数量

电子记录的特点

Ø 容易拷贝、复制品可以同源数据一模一样

Ø 快速传播

Ø 易于归档和取回

ü 容易修改

v 环境友好

完整性与真实性

例子

吴军

电子签名

2010GMP附录《计算机化系统》

第二十四条（一）电子签名：是指电子数据中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。

EDQM

如果使用电子签名，则必须提供关于电子签名与手写签名或类似法律声明的等同声明。

MHRA

定义

电子形式的、代表了签名者的签名（生物计量或非生物计量）。在法律意义上，电子签名与手写签名等同。

要求

签名怎么归属到个人

“签名“的行为怎么在系统内被记录，并且在签名或记录状态不失效的情况下，不能被修改或操纵。

签名记录怎样与所做的输入绑定，以及怎么确认是否绑定。

电子签名的安全性，如怎么确保只能被签名“所有人“使用。

当制作一份电子签名文件的纸质或pdf复件时，电子签名相关联的元数据应与签名关联的文件一起保存。

电子签名的使用应符合国际标准的要求。当风险评估要求时，应考虑使用高级电子签名作为确认的方式。电子签名或电子签名系统必须提供“签名外观“，如使用可见的记录显示是谁签的，签名人的头衔，以及日期（和时间，如果时间很重要的话），以及签名的意义（如确认或批准）。

电子签名文件的打印附件，参见真实副本

关于告知同意书相关的电子签名的要求，已经涵盖在其它指南中（MHRA/HRA 关于使用电子同意书的指南）。

验证

要求系统关联的电子签名过程经过恰当验证，证明其适宜性，以及对签名的记录的控制。

使用插入的签名图片或脚注的方式显示该文件已经被电子签名（由于不是通过验证的电子签名过程的方式输入的）是不充分的。当文件被电子签名后，签名相关元数据应被保存。

PDA

建议符合21 CFR Part 11要求并包含日期和时间戳

FDA 2016草案

电子签名替代手写签名

识别责任人

受控

自己使用自己的电子签名

PIC/S

要求

手书签名的地方如使用电子签名则必须有适当的控制，确保其真实性和可追溯至对记录进行电子签名的特定个人。使用先进的电子签名形式已经越来越普遍，例如，公司使用生物特征识别越来越流行。应鼓励使用先进的电子签名。

检查要点

检查电子签名是否经过适当验证，分发给员工的过程是否受控，电子签名在所有时间都易于追溯到个人。数据进行电子签名之后，对其进行的所有变更会让签名失效，直到数据经过重新审核重新签名。

例子

与传统手写签字具有同等法律效力

电子签名有如下形式：

-至少两个元素构成（如用户名和密码）

-生物特性（如指纹）

-ID卡和密码

密码管理

-长度

-复杂度

-定期更换

放行

法规

2010GMP附录《计算机化系统》二十二条

第二十二条当采用计算机化系统放行产品时，计算机化系统应当能明示和记录放行产品人员的身份。

要求

涉及

记录放行人员身份

我公司不涉及

退役

系统退役关键步骤

旧系统退出

电子记录和文档归档

迁移到适合的替代系统

旧系统报废

系统退役后数据如何处理

保留运行老系统

在新软硬件环境下模拟老系统

将老系统迁入新环境

将数据保存为行业标准格式

打印纸质版

系统归档的选择

继续在旧系统中保留原来的记录

– 备份整个系统用于失败时的应急保护

– 将用户访问权限缩减至“只读”，同步修改SOP，并进行验证

– 保留在供应商支持的硬件环境下恢复程序、数据和操作环境的能力

– 只有在需要时才运行系统

– 确保可表明已应用电子签名的记录的完整性

– 确认与GxP过程记录的可检索性

在新的硬件/软件上模仿旧系统

– 备份整个系统用于失败时的应急保护

– 确保检索和分类、查询报告的功能可用

– 确保可表明已应用电子签名的记录的完整性

– 确认与GxP相关记录的可取回

将电子记录迁移到新系统

– 备份整个系统用于失败时的应急保护

– 将遗留数据的数据结构映射到新系统中去

– 验证数据迁移，包括任何使用过的支持性程序

– 确保检索、分类报告的功能可用

– 确保已应用电子签名的记录的完整性

– 确认新系统与GxP相关记录可取回

使用、处理

PIC/S

应可以打印出计算机化系统产生的所有数据（包括元数据）的清晰有含义的记录

如果对记录进行了修订，应可以打印出修订内容

检查要点

检查验证文件

核查打印件样本

数据审核

电子数据审核

要求

受法规约束的用户应建立一个SOP，详细描述

用户应实施风险评估，以识别所有由计算机化系统产生的GMP/GDP相关的电子数据。

关键数据应由用户进行审订并核查，确定在电子记录里的原始信息是否经过任何修改（修订、删除或改写）。所有变更都应经过适当授权。对数据相关的审计追踪进行的审核应该是批准流程中日常数据审核的一部分。

审订追踪记录至少含有以下信息：

- 修改数据的人员姓名； - 修改描述； - 修改时间和日期； - 修改论证； - 授权修改的人员姓名。

审计追踪审核的频次、人员和职责根据风险评估确定。

例如，对药品质量有直接影响的电子数据的修订应该在每次和每个数据生产的时候进行审核。

审计跟踪SOP

如何审核审计追踪、流程、记录。

记录应与其它GMP/GDP相关文件一起维护。

应有一个程序描述当审订追踪审核发现可能对药品质量有影响的严重问题时要采取的措施。

发现严重偏离预期结果的变化均应进行全面调查和记录。

公司的质量部门也应在日常自检中抽样审核审计追踪记录。

检查要点

检查现场程序是否能确保电子数据根据其关键程度（对产品质量和/或决策的影响）受到审核。每次审核的证据应记录，并可以提供给检查。如果数据摘要用于内部或外部报告，应有证据用以证明此类摘要根据原始数据进行了核查。

EDQM

问题的记录

应记录用户发现的问题以及采取的措施。

MHRA

数据处理

定义

对数据所开展的一系列操作，以既定格式提取、呈现或获取信息。可能的例子有：对单个病人的数据进行趋势分析，或由一原始电子信号转变至一张谱图，后续经过计算再转变成一个数字结果。

要求

可追溯性

在对原始数据进行数据处理活动中，任何用户自定义的参数都应具备充分的可追溯性，包括可归属到谁进行的这项活动。

审计跟踪

审计追踪以及所保存的记录应允许所有数据处理活动的可重现性，不管处理的结果是用于后续报告还是其它监管或商业用途。如果进一步修改处理参数后重复处理过程，那么修改过程应可见，保证不是为了获得一个更想要的结果而操纵处理参数。

数据的排除

不适用

注：不适用于GPvP（英国的药物警戒管理规范）；关于GPvP，参考药物警戒法（包括GVP模块），其中提供了必要的要求和法律指导。

原则

只有通过有效的科学的论证，证明数据不能代表所测量的、采样的或采集的准确值时，数据才可能被排除。

在所有情况下，论证过程应被记录并在数据审核和报告中被考虑。所有数据（即使时排除了的）应以原始数据组进行保存，并以一种能够允许确认数据排除决策正确性的方式保存并可用于审核。

数据审核与批准

风险

对具体记录的审核方法，如关键数据和元数据，划掉的信息（纸质记录）和审计追踪（电子记录），应满足所有适用法规要求并基于风险。

SOP

有流程

应具备规程描述数据的审核和批准流程。数据审核时还应基于风险，包含对相关元数据的审核，如相关审计追踪记录。数据审核应被记录，且该记录应包含一份确切的声明，说明是否发现问题，以及审核人员的签名和审核的日期。

发现错误时措施

应具备规程描述在数据审核发现错误或疏漏时应采取的措施。该规程应使数据可以被改正或澄清，并应用ALCOA原则（见“数据”的定义），使原始记录和修改过程的可追溯性可见。

委托审核

当数据审核不是由产生数据的企业执行时，数据审核的职责必须文件化并由双方同意。数据总结报告常被用于企业（合约委托方和受托方）之间的交流。必须了解的是，总结报告是有限的，可能并不包含所有关键的支持性数据和元数据。

当总结报告由其它企业提供，在使用其提供的信息之前，数据的接收方和使用方应评估数据提供者的数据可靠性控制措施和流程：

日常数据审核应考虑单个数据组的可靠性，如该数据组是否是所开展的活动所产生的唯一的数据？数据产生和保存是否正确？是否有未授权修改的迹象？

周期性的数据审计（围绕电子生成的数据的审核和更广泛的企业审核）可以确认已有控制措施的有效性以及考察在所有接口上的发生未授权活动的可能性，如是否在审核后有来自IT的要求修改某些数据？是否有系统维护相关的活动且是否评估这些活动的影响？

定制化报告功能

验证

锁定

防止修改

PDA TR80

电子数据为主

复核人审核后进行电子签名，并锁定签名文件

变更

每当实验室发生手动仪器变更为混合和/或电子仪器的变更、数据采集程序的变更、实验室工作流程的变更时，都应重新评估数据生命周期的风险以及减轻风险控制措施的适当性。

保存

PIC/S

贮存

包括

原始数据

元数据

包括审计追踪

使用经过验证的安全程序

备份、复制、副本也要控制

防止未经授权进入、修改、替换和删除数据

例如，一个公司将数据备份发到移动硬盘上，则必须禁用该硬盘的数据删除功能。

额外考虑包括

可以制作动态电子记录的真实副本，要求保存全部的内容（即包括所有数据和元数据）和原始记录的含义。

读取数据备份和副本所需的适当的软件和硬件应易于获取。

日常备份副本应存贮在一个较远的位置（物理隔离）以防灾难。

备份数据应在界定的法规保存期限内可以读取，即使软件更新为新版本，或者被具有更好性能的其它软件所取代。

检查要点

检查数据存贮、备份和归档系统是否包含所有原始数据和元数据

应经验证和核查

记录保存程序必须包括元数据保留条款。这样使得将来查询或调查时能够重新构建所发生与批次相关的活动。

MHRA

不被故意的或非故意修改或丢失。

安全

防止修改或删除防止意外损坏如火灾或虫害

适宜情况下经过验证见数据转移/迁移

备份

定义

PIC/S

现行（可编辑）数据、元数据和系统参数设置（例如，与分析运行有关的可变设置）为保证灾难后恢复而保存的副本。

FDA

记录保留期间、安全的原始数据，或真实有效副本。备份文档应包含数据（包括元数据），用数据原始格式，或与原始格式兼容的格式保存。

FDA 2016草案也一样的描述

应不与在正常计算机使用过程中产生并暂时保存的用于灾难恢复的备份副本所混淆这种临时备份不满足211.68中关于保留备份数据的要求

MHRA

当前数据、元数据和系统配置设定的副本（可编辑），将会被保存，用于复原包括事故复原。

目的

灾难恢复

一份现有（可编辑）数据、元数据和系统配置设定的副本，用于包括灾难恢复在内的数据恢复。

WHO

一个或多个电子文档的复件，作为替代，以防原始数据或系统丢失或无法使用。备份与存档不同，电子记录的备份复件，通常只是临时储存，用于故障恢复，且可能会定期重写。这种临时备份复件的机制，不应该用于存档。

EDQM

必须确保从原始数据到测试结果的可追溯性。如果与结果相关的质量参数全部或部分可追溯性仅以电子形式提供，则必须实施备份，以允许在损坏其完整性后恢复系统。备份频率取决于数据的关键程度、存储的数据量以及生成数据的频率。

基于风险评估并考虑对计算机化系统的依赖性， OMCL应制定一套政策和程序来确保备份的完整性（安全存储位置，与主存储位置充分隔离，保留时间等），这可以作为“灾难恢复计划”的一部分。

为了验证合适的完整性、电子记录的可读性和数据的准确性，也应制定备份数据的常规测试程序。这种恢复测试也可以纳入到系统的定期审核中。

要求

MHRA

真实副本

定义

原始记录的一个副本（无论使用什么类型的介质），经确认（如通过一个伴有日期的签名，或者该副本是通过一个已验证的程序生成的）与原始的记录具备同样的信息，包括描述语境、内容和结构的数据。

要求

格式要求

真实副本可以在需要时保存于另一种与原始记录不同的电子文档格式，但必须保留有元数据和审计追踪记录，确保其保存了数据的全部意义，并能重现数据历史。

完整

原始记录和真实副本必须保留记录的完整性。原始记录的真实副本可以代替原始记录进行保存（如纸质记录的扫描件），前提是具备一个文件化的体系确认和记录该副本的完整性。企业应考虑到销毁原始记录相关的任何风险。

包括

应可以创建电子数据的真实副本，包括其相关的元数据，用于审核、备份和归档。检定真实副本所需的准确和完整的复件应包含数据的意义（如数据格式、语境、分布、电子签名和授权）和完整的GXP审计追踪。应在整个保存期间考察一个“真实副本”的动态功能性（见“归档”）。

保存要求

当数据的动态属性对于其可靠性或后续确认非常关键时，数据应以动态形式保存。

如果某计算机化系统无法被保留，例如不再支持该系统，那么记录应根据文件化的归档策略，在系统退役前进行归档。

可以理解的是，对于某些通过电子方式产生的数据，可以以一个可接受的纸质或电子格式进行保存，只要经过论证证明所保存的静态记录维持了原始数据的完整性。

然而，数据保存过程必须证明其包含了所有原始数据、元数据、相关审计追踪和结果文档、每个记录对应的系统/软件配置设置的变化、以及所有运行的数据处理过程（包括方法和审计追踪）的经确认的复件，用于重现任一给定的原始数据组。

同时还应通过一个文件化的方式确认打印的记录可准确代表原始数据。对于GXP合规的记录，上述方法很有可能难以实施。

手动誊抄

应由第二人或已验证的系统进行确认。

数据转移/迁移

定义

数据转移

数据转移是数据在不同数据储存类型、格式或计算机化系统之间的转移过程。

数据转移是数据和元数据在不同介质类型或计算机化系统之间的转移过程

数据迁移

数据迁移是数据从一个固定储存位置搬迁至另一个位置的过程。该过程可能包括数据格式的改变，但数据内容和意义不变。

数据迁移在必要时可能改变数据格式，使得其在另一个计算机化系统中可用或可读。

要求

SOP

阐明基本原理

就是定义

要设计和验证

数据在转移到工作表或其它应用过程中或转移后，都不应被改变。数据转移过程应具备审计追踪。应遵循恰当的质量程序，处理操作过程中数据转移的错误。任何对中层软件的变更都应纳入质量管理体系。

考虑

数据格式的理解

数据产生、转移和后续储存每个阶段可能的篡改

电子表格版本控制

如纸质文件一样，任何变更都应记录/确认

WHO

真实副本

真实副本是数据的原始记录的副本，已经被证明可以确认它是一个额外和完整的副本可以代表原始记录的全部的内容和意思，包括如果是电子记录适用的所有的元数据和原始记录格式。

PDA

范围

内

所有生成电子数据的分析设备

外

混合系统具有可被覆盖（例如，pH计上的校准曲线）的临时电子存储器; 其打印/发布的记录是主要数据源。其电子信息不会备份或长期保存。

数据管理手册

要求及满足方法

所有实验室设备的详细信息

台帐

所有设备软件的详细信息，包括版本信息

台帐

实验室设备规程编号

台帐

数据处理程序，需要发布或审核的的审计追踪列表，捕获的每个原始数据信息

SOP

软件的所有用户列表及其角色

台帐或记录

FDA 2016草案

你必须使用合适的控制措施保证只有授权的人员才能对计算机化主生产和检验记录（MPCR）、其他记录或计算机化记录的实验室数据输入进行修改，并且你必须施行文件控制保证操作行为能追溯到指定的个体（见§211.68(b),211.188(b)(11),211.194(a)(7)/(8),和212.50(c)(10)）。

如果登录账户公用，特定的个体不能通过登录被识别，则计算机系统不符合CGMP§211和212的要求。 FDA要求系统控制，包括文件控制的设计应符合CGMP，以确保产品的质量（例如，§211.100和212.50

服务器详细信息

台帐或SOP

数据备份频率

台帐或SOP

风险分析和解决计划

风险评估

关键人员和供应商的名字和联系方式

台帐/SOP/验证文件/设备档案中

图示

数据备份及储存

方法

复制到光盘上（移动硬盘）

建议不同的2份，如2块硬盘，而不是1块硬盘上2处

检查复制到光盘上的数据的完整性和准确性。

任何基于云的存储服务都应符合GXP标准（5）。

周期

在可能的情况下，应计划基于风险的冷备份（无需任何人工干预的计划性备份），以避免意外和监管困难。

自动，全备份，很难，本身也需要验证

日常检查

图示

分仪器举例

滴定仪：存储在内部存储器中的数据 VS 仪器日志中的记录数量

高效液相色谱法：进样次数与日志条目数或结果数

紫外、红外：数据文件数 VS 日志条目数

以电子格式提交审计和检验要求的数据

审计员和卫生当局检查员会要求将电子数据复制到便携式媒体（例如USB或便携式硬盘驱动器）上或复制为可读格式（例如PDF，MicrosofitExcel或TxT）复制作为其检查证据。

如果可能，应避免将符合2ICFRPart11或EUGMP附录11的经过验证的系统中的数据复制到介质或复制为可读格式而不保存其原始元数据。

不受控制地使用复制粘贴功能可能容易出错，并给人以原始数据被改变或伪造的印象。

如果数据传输到媒体或转为可读格式，建议验证数据和元数据是否为真实副本。

建议建立一个SOP来管理如何从实验室系统复制和保存数据。

SOP应描述可为审计和检查目的生成的标准查询和报告, 以及为确保非常规报告的准确性而制定的控制措施。

在某些色谱软件中,可能无法轻易打印或导出带有所有详细信息 (如进样时间和样品名称) 的进样日志。

与色谱软件供应商沟通

要求

由于仪器软件可能具有某些特殊行为

应记录与软件供应商的通信，以澄清/修复错误信息，警告信息，软件BUG 以及可能在审计追踪中识别的其他问题，或其他需要供应商支持的操作。

方法

记录沟通信息

通过电话或电子邮件传达的这些问题应记录在案，并作为程序修订或启动采取新的控制的基础。

供应商呼叫中心或技术支持部门通常会分配可以引用的票号或标签号。

供应商的通知

此外，软件中可能存在问题或限制，供应商可识别并通过网站通知或电子邮件通知所有用户。

公司应评估和记录如何评估这些信息以及如何确定对GMP操作的影响。

定期检查

建议定期检查审计追踪的记录情况和其他关键数据以更好地控制和理解软件问题。

如果发现任何异常，应立即调查，如果怀疑它们是软件问题，则应将其传达给供应商，以便进行下一步的调查。

归档

定义

PIC/S

完整数据和相关元数据以其最终可以重新构建过程和活动的形式被长期永久保存。

MHRA

存档：指定的安全区域或设施（如：柜子、房间、建筑或计算机化系统），用于工艺流程或活动确认的数据和元数据的长期保存。

WHO

为避免数据被篡改或删除，在要求的保存期间，记录由独立的数据管理人员存储控制。

应包含归档记录，如关联的元数据和电子签名

要求

PIC/S

书面程序定期归档

归档副本有物理安全保护措施，如放在一个独立的较远的位置，远离备份数据贮存的位置

数据在归档期内可读取，并保持完整性

有程序说明如果需要进行调查应如何恢复归档数据

恢复归档数据的程序定期进行测试

如归档程序需要一个场所，则实施特定的环境控制，只有经授权人员才可进入

如必须退役，则应确保归档数据的持续可读性

例如转移数据至另一系统

检查要点

当应用软件更新或替换，需核查是否还能对已归档数据读取

如使用外部或第三方

应对服务商进行评估，在质量协议中记录所有职责

检查其是否尽职

MHRA

原始记录或真实副本

以纸质形式生成的数据（或真实副本）可以通过使用经验证的扫描程序进行保存，只要具备文件化的程序保证扫描得到的结果是一份真实副本。

扫描另一人复核

归档措施应被设计为能够允许数据和元数据在整个所要求的储存周期内都可被恢复或读取。当归档电子数据时，该过程应被验证。对于老系统，应确认定期查看数据的能力（如确认老的计算机化系统的持续支持）。当储存混合记录时，应保留物理的和电子的记录之间的交叉索引，以保证在留存期间完全地审核确认所发生的事件的可能性。

老系统

当老系统不再被支持，应考虑保存软件用于数据可访问性（保存时间取决于具体的留存要求）。可以通过将软件保存在虚拟环境中来实现。

当老数据越来越老时，可能有必要将数据迁移到另一种文件格式，尽可能多的保留其“真实副本”的属性。当技术上不能实现迁移所有原始数据时，应基于风险和该数据在未来的重要性。选择迁移文件格式时应平衡长期的可访问性和降低动态数据能力（如数据质询，趋势分析，再处理等）可能性之间的风险。保留可访问性的需求可能需要迁移至一种文件格式，损失一些特性和/或动态数据能力（另见“数据迁移”）。

EDQM

以往版本的归档

根据OMCL指南“文档和记录的管理”，如果需要访问历史数据，则应将以前的软件版本以可检索的形式归档。对于商业集成软件，归档以前软件版本的义务可以在供应商合同中规定。

例子

备份与归档

销毁

PIC/S

描述电子贮存数据销毁流程，指明保存期限

检查要点

检查程序中是否清楚规定数据销毁条件

MHRA

数据销毁的程序应考虑数据关键性，和必要时考虑法律上的保留要求。

PDA

8.0 补救数据完整性缺陷

8.1 发现问题

报告

对影响数据完整性既定程序的任何偏离都应通过质量体系来进行报告

数据审查

监管调查

8.3 系统综合性评估

数据要点

覆盖的时间段和产品

指定要检查的数据类型的详细信息（HPLC进针预计数、微生物鉴定平台类型）

评估中包括的部门（研发部、稳定性实验室、微生物学实验室）

要评估的设备（HPLC、GC、NIR、FTIR、自动微生物空气取样器、单机设备）

注：实验室外的系统可能需要包括在内

范围

评估进厂物料检验数据、中间体检测、稳定性和成品检测；

评估用于注册申请的数据

以确定是否有任何不合规行为或对注册申请产生负面影响；

评估对生产产品的研发/放大/验证的影响；

这项数据的审查非常重要，因为调查结果可能需要报告给当地监管机构，并可用于决定对上市产品采取纠正措施、是否撤回或批准申请的通知

若是故意行为，破坏数据完整性

要求评估这些员工产生的所有测试结果

建议

员工的独立访谈

在不担心被报复的情况下，可以考虑使用员工的独立访谈，以确保充分理解数据完整性问题的起因和做法。

就是很难

制定详细的方案和方法，

总结所有实验室、生产操作和覆盖的系统，以及排除任何相关操作的理由。

识别出遗漏、变更、删除、记录销毁和非同步记录等。

在适当的情况下，对测试数据完整性的缺陷性质进行回顾性评估。

在确定此类审查的范围时，应考虑数据完整性差距，是否有证据表明差距已发现，以及对产品质量有潜在影响。

评估失效对产品放行和患者的相关风险和潜在影响。

第三方产品检测可视为额外验证的一部分。

8.4 纠正和预防

产品影响评估（例如，评估患者安全风险和潜在市场行为）

创建匿名报告机制，以便在它们变成系统性问题之前及早处理数据完整性问题

SOP变更

人员变更

计算机化系统访问变更

升级到具有更符合功能需求设备的资本投资

质量监督职能的变化（重新评估角色和职责、QA 审核流程、公司质量/合规性将如何监督）

改进系统使员工能够报告可疑的不合规做法，而不担心被报复

差距分析提供明确的缺陷，防止可疑的做法再次发生

潜在市场行为的评估

影响其他市场类似做法的评估（面向国际市场的产品）

与其他监管机构沟通并报告调查结果

制定全面的持续培训计划和培训效果评估

内审程序的变更

确保丢失数据、删除数据以及更改时间和日期戳等事件已经停止，并已采取措施防止重复发生

可验证软件变更以确保无法更改电子数据

管理战略，包括全球纠正措施计划，可确定问题是否仅限于某一特定地点或贯穿整个公司，以及如何防止问题发生

制定一个详细计划来说明公司如何确保所生产的数据和/或提交给监管机构的注册申请或DMF文件的可靠性、准确性和完整性

此外，还应考虑向监管机构和赞助商提供有关评估每项申请的通知与更新的机制。

7. 见计算机化系统的

确认和验证

系统安全

8. 其他

缺陷

-试针及重测试的电子文件即未被保存未报告

-没有运行序列，没有处理方法及在没有有效规程的情况下进行重积分

-审计过程中发现色谱系统的审计追踪功能被禁用

-独立运行的HPLC中的审计追踪证据中显示数据被删除；没有记录删除事件的解释说明； SOP中没有包括电子原始记录保存时间的说明

-实验室检测数据没有HPLC分析使用到的积分参数记录

-分析方法验证活动的原始数据不完整

-没有试针的SOP或理由

PDA TR80

未能执行所要求的检测

未执行所需的取样、培养和/或检测，却生成记录，且体现取样或检测已经完成。

关键数据造假

为取样和/或未培养而直接伪造结果，以及将不合格结果报告为合格结果。

删除数据

删除色谱进样或关键检测数据信息。

偏差报告与数据完整性问题调查缺陷

根本原因不充分（例如，未解决数据篡改和造假问题）、未能扩展调查范围以评估数据完整性违规对其它领域的潜在影响，缺乏行动计划描述公司管理层与质量部如何防止数据篡改，缺乏对所有产品的全面评估，缺乏支持应用的数据。

CGMP记录造假

CGMP记录造假证据，包括修改记录、删除记录或报告不准确结果。

未能确保实验室记录的完整性

未能保存与测试产品有关的关键检测结果数据（其中可能包括进厂原料、中控检测、放行检测结果、稳定性结果或申报批次检测期间生成的数据）。 OOS检测结果被排除、未报告或未调查。色谱数据缺失或删除而无解释。不经论证亦无解释的重复检测。

未能对计算机化系统进行数据安全与控制要求的参数设置

未经授权的系统访问，删除电子和打印原数据（包括与非预期或不合格结果有关的信息），和/或未能对审计追踪进行参数设置和/或激活审计追踪。例如，化验室执行“预分析、样品试针、未经授权或非正式”HPLC或GC进样，以及修改或变更“正式样品”的计算机时间日期戳，使得看起来好像“正式样品”是在预分析、样品试针、未经授权或非正式进样的时间发生的。样品试分析是绝对不能接受的。系统平衡或系统确认时可能需要进样标准、空白和空白基底。这些分析必须进行适当标示，包括数据系列对应的样品，使得其可以与样品分析进行区别。

可能质量部门并未发现这些修改或变更。一个常见的根本原因可能是质量部门并无足够的程序、培训，以及并不理解如何审核原始电子数据和元数据，如追踪这些动作的审计追踪。对计算机系统参数设置不当包括但不仅限于，实验室员工或经理可能具备有管理者级别权限，使得他们可以清除不合格、异常和不满意的结果，改变峰面积，改变系统设置（例如，日期、时间等），或清除进样序列。为确保数据安全而进行的系统参数设置应在系统验证期间进行挑战。

未能同步记录实验室记录和/或刻意伪造手动记录

实验室文件记录与电子数据文件比对不一致（例如，样品接受记录中记录的日期与HPLC色谱图中日期戳对不上），以及未能记录样品/重量、稀释情况、标准批号等（21）。

执行未经报告的样品检测进样

未经授权的质量体系外色谱样品检测。试分析与删除数据往往紧密相连，特别是删除数据或未能对系统进行能发现数据删除的参数设置。

21CFR11.10(f)要求系统对步骤与事件均有顺序规定，即，每步应在下一步骤或下一事件发生之前进行记录。符合此要求的系统设计（技术和/或程序）会要求用户记录该步骤数据（例如，处理实验室数据）然后再进入下一步骤（例如，再次处理实验室数据，获得第二个结果）。虽然有些规定，但顾问们发现有案例是在临时内存中进行数据处理，或者是数据被放在缓存中进行“净化”之后再有选择性地发送至数据库成为“永久记录”，例如：

例子

有些单机版仪器（即连接至一台本地计算机但未接入网络的仪器），有时亦称为就地管理实验室仪器系统，允许对一个样品进行完整分析，直到在临时内存中生成结果，然后再进行记录（即将数据保存至永久存储）。激活审计追踪（系统与方法审计追踪）应能发现这些问题，在第6.4部分对此有详细讨论。

多重输入至LIMS的一些数据流（例如，来自天平的称重、KF水分读数等）设计不正确，被录入临时存贮中，用户可以在将数据导入LIMS数据库之前对值进行编辑。例如，这样会允许人员修改重量值，从而修改水分结果。如果没有同步支持的源数据，如天平和KF的打印件，就无法发现此数据完整性问题。因此数据流设计应强制在称重时在LIMS中同步记录重量值，然后再进入下一步生成水分读数等。在第6.2部分对此有详细讨论。

数据完整性自查

杨博

原始数据

-是否对“原始数据”的意义有清晰的理解

-是否保留遗留文件（旧文档/旧系统）

-对于数据处理，变更管理，记录保存和良好文件管理规范，OOS/OOE/OOT，是否有相应的SOP

-是否所有数据都可以追溯到原始数据？

-是否有程序规范电子和纸质原始数据的存档

组织机构和职责

-是否有规定的并且独立的QA复核？

-是否所有GMP数据都进行了二级复核（四眼原则）

-是否有系统管理员（可以生成，更改或删除数据）还拥有额外的操作权限进行数据复核和放行

-组织结构和人员是否足以支撑业务运营

记录完整性

-是否已规定了文件管理程序

-是否已规定了相关人员的角色，职责和进入系统的权限

-人员是否已经经过培训并且已经对“良好文件管理规范”有足够的认识

◦例如，记录应包括签名和日期，不能使用铅笔，不能在活页纸或便笺纸上记录，如果需要进行抄写应附有原始结果

-参数数据来源是否完整（如批号，参照品/标准品数据）

-如何确保记录数据的时间顺序（正确的时间戳次序）

-如何进行正确编排文件页码（用于检查文件完整性），是否有页码？

-进行实验或检查实验记录的员工当时是否在场？

控制--电子记录

-数据是否被保护以防丢失，损坏或重写？

-是否只能由被授权人的人进入系统？包括使用个人的用户帐户和密码（检查离职人员，职位变更人员）

-审计跟踪功能是否已经开启

-是否进行了数据备份，是否进行了恢复确认？

-是否进行了关键数据的独立检查（包括对审计追踪数据的审核）？

-安全的数据存储，例如：设定正确的文件系统，数据库保护

-时钟设定是否被保护

单机版合规

杨博

确保数据文件之间的关系不被破坏

禁止修改计算机的时间；

工作站用户组的权限分配，QC不应掌握管理员权限；

样品名称、样品批号输入到液相序列中，以防试验后人为修改数据文件名

审计追踪功能的启用；

如果有可能尽量在SOP内规定积分参数、何时允许重积分、报告模板格式等；（有条件可以建立手动积分的程序）

必要时可以规定数据的存盘路径和试针图谱的存放。

如实记录偏差，及时处理。

制订一个合理的色谱数据真实性，完整性和可溯源性的SOP

样品名称、样品批号输入到液相序列中，以防试验后人为修改数据文件名

液相图谱数据所在的文件夹一旦创建，不得进行名称修改、移动。

对于一个序列，数据应该是用批处理的。（一针一针处理，有修改积分方法的嫌疑）

色谱图谱头信息应该包括：实验者、实验内容、进样时间、运行时间等，进样时间精确到秒。

色谱数据输出图谱规范要求：色谱峰参数应有保留时间（保留到小数点后三位）、峰高、峰面积、定量结果、积分标记线、理论板数等。

评估性进样（试针）

色谱系统在正式进样之前是需要平衡的，也需要做SST

配制单独的被测样品的标准溶液作为试针样品，不能拿待测样品进行评估

试针图谱路径最好和正式序列一致，在同一个数据库或数据文件夹内

试针STD和SS，原则上不得超过2针，符合SST标准则可正常进行分析

不推荐单独试针，最好放在正式序列的最前面作为序列的一部分，并在序列中做出明显标识。

SOP规定可以试针、试针样品种类，命名方法及结果处理和序列终止条件

系统适用性不通过，临时终止序列是允许的，但需记录并说明原因。

分析结束后记录评估性进样的次数并作为分析报告的一部分

国际上的QC实验室信息系统架构

杨博

奥星

分析天平

数据完整性控制

使用天平流程

近红外光谱仪（混合模式）

数据完整性问题

电子和纸质记录

其他关联

色谱系统

数据完整性问题

数据完整性控制

色谱系统数据分析

生命周期阶段

数据获取

数据处理报告

数据特性

系统准备就绪-进样评价

色谱峰积分

质量子系统模型

PDA TR80

5.0 微生物实验室数据完整性

5.1 一般原则及风险

与测试员面谈

先审核接收标准

后询问曾有过修改数据或偏离实验室SOP规定操作的分析员或技术员

现场及取样审核

取样

举例

内毒素取样

用不合适的容器收集中控产品或水样品会结合（或去除）样品中的内毒素，导致检测出的内毒素水平低于真实值。

取样前在取样点大量使用消毒剂会导致消毒剂进入样瓶，降低样品初始染菌量。从取样点取样过程中应模拟日常生产操作中实际情况。

在使用线上取样取生产中间阶段的产品样品时，集合管在热灭菌后应冷却，这样则不会杀死实验室应检测到的微生物。

样品收集袋在储存仓内不应直接暴露于UV光照射区域。在暴露于UV光照射过程中将导致会在样品收集袋送去实验室检测之前，微生物被杀死。

微生物样品收集袋不应被储存在冰箱或温度很低的冷藏库，会损伤或抑制已有微生物。微生物样品需被放置在受控的环境内，此环境将不会对样品造成不利影响。另，检测应尽可能快地进行。

容器

保残留消毒溶液不会改变样品结果的完整性

物料跟踪

菌种

试剂

记录审核

可能查的方向

（a）实验量过大至一个分析员难以完成的实验报告（b）月末时审核和通过太多积累的样品工作记录表（c）由当天不在实验室的员工完成的工作记录表格（d）由除了授权复核人之外的员工审核及批准的工作记录表（e）手写记录及签名的涂改（f）实验记录的涂改（如1CFU被改为0）（g）刚好符合质量标准的实验结果（j）在通过促生长实验之前培养基的使用（h）OOS结果报告频率的变化（i）完美的工作记录表，可能会是另外誊抄的副本（j）依据记录编号顺序缺失的工作记录表（l）调查报告与工作记录表不符处（m）同一批产品有两次记录

委外检验实验室

签订协议前

（a）确认外包实验室符合CGMP规定的，实验室是否具有能所需的药典规定的微生物及细菌内毒素实验的资质(30,32-34) （b）进行现场审计（c）提供样本批进行测试，来确认实验室检验能力及数据完整性。企业可以提供一份会产生OOS结果的盲审的测试样品。实验室须有对产生的记录作出合理解释的资质，特别是数据复核专家，或需对可疑样品进行检测调查的实验室管理人员。

外包检验结果

包含所有实验的数据分析表（例，原材料，中控过程中间产品，环境检测样品，水，成品）。所有的原始数据（包括计算过程）以及所有正调控（促生长结果）和负调控实验步骤等与最终产品分析数据同样重要的信息，也应包含在反馈报告中。整个调差过程中任何OOS信息都要提供。

分析证书只提供分析结果总结，不提供能复核样品检验数据或满足监管机构审计的所有所需信息。

审计建议

（a）源数据的监控，包括电子数据和元数据（b）签订协议，确保实验室不拖延、否认、拒绝、限制企业监控源数据。据富有经验咨询人员观察，有些外包实验室只允许企业审核打印出的结果，拒绝提供电子数据以及元数据等源数据来源。基于风险的关键源数据和元数据审核，以及源数据与实验报告的相一致，对数据完整性审核非常关键。

风险

伪造数据以及篡改报告

菌种基因和表型不同，导致分析生产环境监测污染源困难

设备仪器审核

仪器没有进行校正或不恰当的使用方法，导致仪器得出错误的分析结果。

例子

当水活性装置没有经过校正或适当维修，得到的分析数据将引起质疑。例如，在检测样品前没有清洗感应头，不管错误的原因是什么，放行或检验的最终产品分析值将大不相同。无论含量数据被故意或无意篡改，分析结果已经被破坏，导致可能影响产品（好的或坏的）。需要一个彻底的调查来决定潜在影响。

实验室自动分析微生物装置（例：VitekII®,Biolog）通常存储所有识别出的产品或环境微生物种属数据。这种识别平台有能追溯产品批记录、LIMS、OOS、相似资料中出现的微生物种属的可追溯编号。当有任何数据透明度问题时，这些记录可以用来复核纸质记录。

当仪器由于需要维修或校正时，会无法保存台账或电子表格实验日期。比较无法正常工作的或缺失的实验仪器记录，可以追溯到潜在数据完整性问题。当工作量大，或者当最后期限很紧的时候，使用未校准或无法正常工作的仪器风险最大。表面看来，可能会是质量控制问题，然而，根据所用仪器失修或校准的程度以及对分析结果的最终影响而定，它可能最终会引起数据完整性问题。

5.2 环境监测装置、无菌环境细菌内毒素检测

环境监测装置

环境监测装置（EM）

EM设备的疏忽或误操作可能导致被监测房间关于微生物存在（生物负荷）的误导或不正确的分析结果

空气取样装置

空气取样装置需要将一个培养皿或特殊设计的含有营养琼脂的塑料条放在装置中；打开装置以吸取特定体积的空气与琼脂表面接触。空气取样停留时间结束时，将培养基或塑料条连同捕获的微生物一起从装置中转移至培养箱中。随后，将培养基上生长的微生物进行计数。空气取样装置可能出现数据可靠性问题的示例包括：

问题

培养皿的可视化

由于空气直接被吸入到装置中的琼脂表面上，琼脂冲击和/或在琼脂培养基中生长的菌落的迹象应该是可见的，确保初始房间安装时或其他适当的时间琼脂培养皿被放在空气处置装置中。

取样器堵塞

随着时间的推移，将空气直接漏向转动的培养皿的EM取样器狭窄开口会被堵塞，本质上阻挡全部体积的空气冲击琼脂表面。虽然是维护或操作异常，但这直接影响关键工作区域的微生物评估的数据可靠性。装置狭窄开口的常规清洁对于该设备的数据可靠性至关重要。

质量控制日志

与其他实验室设备一样，若任一空气取样装置故障或停止运行时在日志中记录是至关重要的。设备的一部分被列为“停止运行”的日期没能在样品批记录中被发现

沉降皿

当沉降皿用于被动监测生产或实验室环境时，在监测期间表面直接暴露于UV的位置附近放置的板子可能不合适。 UV可能会杀死可空降，导致可疑结果。暴露太久的沉降皿会变干燥，并且在过氧化氢（VHP）或其他消毒步骤期间暴露在隔离器中的打开的沉降皿变得无法支持生长。在任一情况下，在暴露期间可能无法复苏潜在可空降微生物污染。

最终计数

在没有合理科学理由的情况下对最终微生物计数进行任何操作或调整，例如减去培养皿边缘附近的菌落计数或空气取样初期出现的细菌菌落数量，是数据可靠性问题（下图）。

表面和人员监测设备

取样前不应使用消毒剂

无菌检验

运用药典规程前的产品适用性试验

例子

产品容器过度消毒

培养基量少

转移过程粘黏内壁

细菌内毒素

转移过程

形成胶束，或粘在胶塞表面

最大稀释倍数计算不正确

或操纵