什么是 FDA 21 CFR Part 11？

iLabService法规解析系列

· 数据完整性,FDA,监控

美国FDA于1997年颁布21 CFRPart 11，并于2003年颁布相关行业指南来细化有关规则。在Part11规定中，电子记录被认为具有与书面记录和手写签名同等的效力。21CFRPart 11被美国的生物医药企业、医院、研究所和实验室广泛接受和遵照执行。自颁布以来已被推广至全球，虽然没有强制性，但被欧洲、亚洲等地图和国家普遍接受和使用。美国作为全球生物医药产业最主要组成部分影响力巨大，当你的药物、生物医药相关设备或者信息系统需要销售给美国的制药企业和研究人员都应该符合21 CFR Part 11的规定。如违反，FDA能够根据规定剥夺出口到美国的权利。

其他国家对电子记录和电子签名也有类似要求，会以21 CFRPart 11的相关规定为指导原则，来制定本国的相关法规。我国目前暂无像21CFR Part 11这样在生物医药领域针对电子记录和电子签名的规范或标准。我国在2005年开始实施了《中华人民共和国电子签名法》，但这主要针对容易引起法律纠纷如合同、协议等的电子签名有效性的规定。

当前在GxP领域对中国来说，困扰的问题不仅在于你选择应用的信息系统是否适用于21CFR规定及是否验证，还在于如何建立一套较完善的实施GxP电子记录管理体系和电子签名有效性管理规范何时落地。

一、21 CFR Part 11涉及领域广泛(共1499个部分)

21CFR=Food and Drugs
21CFR58=GLP
21CFR210=GMP, Drugs (General)
21CFR211=GMP, Drugs (Finished Pharmaceuticals)
21CFR312=Inv. New drug Application (GCP)
21CFR314=FDA Approval of new drug (GCP)
21CFR6xx=GMP, biologics
21CFR820=GMP, Devices
21CFR„= Food, nutrients and cosmetics
21CFR11=Electronic Records; Electronic Signatures

二、21 CFR Part 11的主要内容

美国21 CFR Part 11的法律读本一共38页，除去1页封面，其中只有2页半是法规本身，其余34页半都是FDA从企业反馈中整理出来的绪论。这里主要是法规本身正文内容。

从21 CFR Part11的目录看整个法规分为3章，分别是：

A章节—一般规定

11.1 适用范围（21 CFR Part 11的适用范围，什么情况下的电子记录和电子签名是适用于21CFR Part 11的）
11.2 执行（在什么情况下可以去应用本法规）
11.3 定义（一些重要的定义，帮助理解本法规）

B章节—电子记录

11.10 封闭系统的控制（只有相关权限的人才能进入并读取电子记录内容的系统）
11.30 开放系统的控制（进入时不受控制的系统，比封闭系统多了进入后安全性的要求）
11.50 签名的显示（电子签名应显示的内容）
11.70 签名/记录连接（电子签名与电子记录的连接）

C章节—电子签名

11.100 一般要求（电子签名的基本要求，如唯一性和排他性）
11.200 电子签名的构成及控制（电子签名的成分和应用）
11.300 识别代码和密码的控制（电子签名的识别和密码管理）

三、21 CFR Part 11对系统的安全要求

1.安防措施

21CFRPart 11对系统的安全要求主要是防止未授权的人进入系统接触电子记录，更改和删除电子记录和电子签名。因此要求有系统安全进入的机制，包括物理手段和逻辑手段。传统的物理手段是制定程序阻止未授权人员出入，但在实际情况中很难做到，现在较多的则是采取逻辑手段，即计算机系统控制的方式，包括用户ID、授权、用户配置文件的角色，密码策略、密码的安全性，合法用户的权限，共享桌面、远程登录等等。另外一点重要的系统评价，应定期评估和验证系统是否符合21CFR Part 11的要求。

2.“许可”机制

“许可”机制确保用户能修改自己的纪录，但只能读（不能修改）其他用户的记录，通过管理个人文件和目录来实现。 “许可”机制可以通过用户配置文件来实现，在共享数据的同时，为数据提供保密性和完整性。每个用户根据分配给其不同的权限被设定成一个特定的用户角色（如管理员、主管、技术员、操作员等），也就说定义角色时含分配权限。

3.可信赖记录

可信赖记录的先决条件，除了数据安全性外，就是可追溯性。“没有写下来的东西就是谣言”在FDA检查过程中，审计员将查阅实验室日志来检查分析过程。日志的内容将不能够用普通的方法被修改或删除。要注意到包含了很多条日志信息的审核跟踪将变得难以管理，如前面提到的要定义好那些要记录，不能使日志数据冗余。审核跟踪是确保所有的数据都具有清晰完整的记录，而不是对人员进行控制或衡量工作效率。帮助记录人和复合人理解当时为何要执行特定的操作。

4.设备控制和数据采集

那些控制实验仪器但不获得数据的计算机是否需要符合21CFR Part 11的要求？共有四个级别。

级别1：使用仪器本身的控制面板和键盘来进行手工参数设定，通过数模转化起记录信号，设定参数难以打印，必须手工记录。
级别2：通过逆向工程来实施仪器控制，通过分析其他供货商的最终产品来摸索出所使用通讯协议的设计方法。如果特定的供货商没有正式公开控制代码，想要得到厂家的正式技术支持非常困难，另外对于这样的系统还要进行操作认证和其他相关验证。仪器固件的升级也可能会导致与数据系统的通讯失灵。无错误处理能力和日志。
级别3：创建完整的原始数据和元数据以及正确的文件变得很容易。这一级别中，错误报告与处理很完善，很容易确认分析是否在顺利完成，出现技术错误时，很容易进行诊断。一些厂商能够实施另外一种级别的仪器控制，即由数据系统控制仪器，数据系统可以进行仪器详细全面的诊断和一些其它功能。这种控制还可以对一起进行预防性维护和早期维护反馈（EMF），能够进行完善的仪器序列号和固件的修订追踪。这种信息在做固定资产审查时非常有用。同时可以执行21 CFR Part 11所要求的功能检查。
级别4：通过握手协议来进行，一个握手协议需要接收者在收到数据后，要想发送者发确认已表明数据收到。可以防止控制着认为它已经发出指令给设备，但设备实际上没有执行。

iLabService INTELAB

基于Microsoft Azure的iLabService INTELAB实验室监控系列产品，从底层的Microsoft Azure公有云数据存储，到硬件的Microsoft Azure认证，到软件系统的IQ/OQ认证，均符合FDA CFR 21 part 11的相关规定，可以为您的实验室提供最安全、最合规的服务！

欲了解更多详情，请联系我们：

电话：15900751966

Email：ils@iLabService.com

关注我们的微信服务号定期获取更多干货咨询！