你知道什么是21 CFR Part 11吗？

质谱讲堂：

如何更换质谱离子源加热器

什么是21 CFR Part 11?

21 CFR Part 11对制药等行业的自动化系统有明确规定。美国FDA于1997年颁布21 CFR Part 11，并于2003年颁布相关行业指南来细化有关规则。在Part11规定中，电子记录被认为具有与书面记录和手写签名同等的效力。尤其是要向美国出口的药品，必须符合FDA认证标准，如果因对Part 11标准不熟悉而违反法规将导致不良结果。

新版中国药品生产质量管理规范（2010版GMP）在第一百六十三条也对电子数据处理系统登陆、使用和数据储存新增一些规定。色谱质谱仪器在制药行业广泛应用，其分析数据作为FDA审查重点，检测结果又大量依据计算机处理积分数据，审计官无疑更倾向于使用电子记录和电子签名，以保证数据真实性、完整性、可追溯性。

对中国制药企业来说，困扰他们的问题不仅在于系统是否适用于21CFR规定，还在于如何建立这套系统并对系统进行验证，其中验证问题更是电子记录实施GMP管理一大瓶颈。

21 CFR Part 11是一个“大工程”！

作为美国的法律，被美国的生物医药企业、医院、研究所和实验室广泛接受和遵照执行，美国作为全球生物医药产业最主要组成部分影响力巨大，当你的药物、生物医药相关设备或者信息系统需要销售给美国的制药企业和研究人员都应该符合21 CFR Part 11的规定。如违反，FDA能够根据规定剥夺出口到美国的权利。

21 CFR Part 11从1997年颁布以来已被推广至全球，虽然没有强制性，但被欧洲、亚洲等地图和国家普遍接受和使用。其他国家对电子记录和电子签名也有类似问题，会以21 CFR Part 11的相关规定为指导原则，来制定本国的相关法规。

随着SFDA的发展，陆续推出了我国的良好实验室操作规范（GLP）、良好临床试验操作规范（GCP）和良好生产操作规范（GMP），但我国国内暂无像21 CFR Part 11这样在生物医药领域针对电子记录和电子签名的规范或标准。我国在2005年开始实施了《中华人民共和国电子签名法》，但这主要针对容易引起法律纠纷如合同、协议等的电子签名有效性的规定。

另外，21 CFR Part 11的规定是完全符合质量管理中关于记录控制的要求的。

21CFR = Food and Drugs

21CFR58 = GLP

21CFR210 = GMP, Drugs (General)

21CFR211 = GMP, Drugs (Finished Pharmaceuticals)

21CFR312 = Inv. New drug Application (GCP)

21CFR314 = FDA Approval of new drug (GCP)

21CFR6xx = GMP, biologics

21CFR820 = GMP, Devices

21CFR … = Food, nutrients and cosmetics

21CFR11 = Electronic Records; Electronic Signatures

共有1499个部分！

应用范围

这是从欧洲一个研讨会的PPT中摘录的一张图，讲的是21CFR Part 11在生物医学领域实验、研究到生产环节中质量管理体系中的应用。

实验室的良好实验室操作规范（GLP）中涉及的数据获取、实验室信息管理系统（LIMS）、实验室自动化设备都可以遵守21 CFR Part 11的规定。

临床研究的良好临床试验操作规范（GCP）的中心实验室建设、数据获取和报告、远程数据输入、CFR系统、临床数据管理和统计分析。

生产的良好生产操作规范（GMP）的设备管理系统、ERP系统、供应链管理系统等等。

21 CFR Part 11的内容

美国21 CFR Part 11的法律读本一共38页，除去1页封面，其中只有2页半是法规本身，其余34页半都是FDA从企业反馈中整理出来的绪论。我们今天主要讲的是法规本身正文内容，也会涉及到一些绪论部分讲述的关键内容和问题。

从21 CFR Part 11的目录看整个法规分为3章，分别是：

分章A 一般规定

11.1适用范围 （21 CFR Part 11的适用范围，什么情况下的电子记录和电子签名是适用于21 CFR Part 11的）

11.2 执行 （在什么情况下可以去应用本法规）

11.3 定义 （一些重要的定义，帮助理解本法规）

分章B 电子记录

11.10 封闭系统的控制 （只有相关权限的人才能进入并读取电子记录内容的系统）

11.30 开放系统的控制 （进入时不受控制的系统，比封闭系统多了进入后安全性的要求）

11.50 签名的显示 （电子签名应显示的内容）

11.70 签名/记录连接 （电子签名与电子记录的连接）

分章C 电子签名

11.100 一般要求 （电子签名的基本要求，如唯一性和排他性）

11.200 电子签名的构成及控制 （电子签名的成分和应用）

11.300 识别代码和密码的控制 （电子签名的识别和密码管理）

21 CFR Part 11对系统的安全要求

主要是防止未授权的人进入系统接触电子记录，更改和删除电子记录和电子签名。

因此要求有系统安全进入的机制，包括物理手段和逻辑手段，传统的物理手段是制定程序阻止未授权人员出入，但在实际情况中很难做到，现在较多的则是采取逻辑手段，即计算机系统控制的方式，包括用户ID、授权、用户配置文件的角色，密码策略、密码的安全性，合法用户的权限，共享桌面、远程登录等等，在后面详细讲述。

另外一点重要的系统评价，应定期评估和验证系统是否符合21 CFR Part 11的要求。

“许可”机制

“许可”机制确保用户能修改自己的纪录，但只能读（不能修改）其他用户的记录，通过管理个人文件和目录来实现。

“许可”机制可以通过用户配置文件来实现，在共享数据的同时，为数据提供保密性和完整性。

每个用户根据分配给其不同的权限被设定成一个特定的用户角色（如管理员、主管、技术员、操作员等），也就说定义角色时含分配权限。

可信赖记录

可信赖记录的先决条件，除了数据安全性外，就是可追溯性。 “没有写下来的东西就是谣言”在FDA检查过程中，审计员将查阅实验室日志来检查分析过程。

日志的内容将不能够用普通的方法被修改或删除。要注意到包含了很多条日志信息的审核跟踪将变得难以管理，如前面提到的要定义好那些要记录，不能使日志数据冗余。

审核跟踪是确保所有的数据都具有清晰完整的记录，而不是对人员进行控制或衡量工作效率。帮助记录人和复合人理解当时为何要执行特定的操作。

设备控制和数据采集

那些控制实验仪器但不获得数据的计算机是否需要符合21 CFR Part 11的要求？

级别1：使用一起本身的控制面板和键盘来进行手工参数设定，通过数模转化起记录信号，设定参数难以打印，必须手工记录。

级别2：通过逆向工程来实施仪器控制，通过分析其他供货商的最终产品来摸索出所使用通讯协议的设计方法。如果特定的供货商没有正式公开控制代码，想要得到厂家的正式技术支持非常困难，另外对于这样的系统还要进行操作认证和其他相关验证。一起固件的升级也可能会导致与数据系统的通讯失灵。无错误处理能力和日志。

级别3：创建完整的原始数据和元数据以及正确的文件变得很容易，这一级别中，错误报告与处理很完善，很容易确认分析是否在顺利完成，出现技术错误时，很容易进行诊断。

一些厂商能够实施另外一种级别的仪器控制，即由数据系统控制仪器，数据系统可以进行仪器详细全面的诊断和一些其它功能。这种控制还可以对一起进行预防性维护和早期维护反馈（EMF），能够进行完善的仪器序列号和固件的修订追踪。这种信息在做固定资产审查时非常有用。同时可以执行21 CFR Part 11所要求的功能检查。

级别4：通过握手协议来进行，一个握手协议需要接收者在收到数据后，要想发送者发确认已表明数据收到。可以防止控制着认为它已经发出指令给设备，但设备实际上没有执行。

AB SCIEX公司的质谱系统控制软件：

Analyst—控制串联四极杆的软件

Analyst TF--控制Triple TOF的软件

在全球都依从美国21 CFR Part 11

所以用AB SCIEX的仪器产生的数据，方法，结果，审记跟踪，数据溯源等都符合这个法规。

了解更多信息，请访问AB SCIEX公司官网www.absciex.com.cn