数据完整性与计算机化系统

2018年8月22日 星期三
 汇报内容
 一、计算机化系统管理
 二、数据完整性检查及典型案例（国内）
 三、 FDA 案例分析
 四、 QC 试验室的基本要求
 计算机系统化管理
 计算机化系统特殊性及其风险控制
 计算机化系统基本管理要求与原则
 计算机化系统附录解读
 相关法规指南
• 中国法规的要求
—— 药品生产质量管理规范（ 2010 年版）
——GMP 附录
• 美国 FDA 的要求
——21CFR Part211 ，药品制剂 cGMP
——21CFR Part11 ，电子记录和电子签名
• 欧盟法规的要求
—— 欧盟 GMP 附录 11 ，计算机化系统
• 澳大利亚法规的要求
——TGA GMP 附录 11
• 日本法规的要求
—— 厚生省，药品生产中计算机化系统控制指南
• ISPE GAMP5( 自动化指南 )
• MHRA( 英国药监机构 ) 指南
计算机系统特殊性及其风险控制
 计算机化系统的软件特点
 软件是一种逻辑实体，不是具体的物理实
体
 软件的开发没有明显的制造过程
 软件的实效模式与硬件不同
 软件的开放与运行受计算机系统限制
 软件本身的复杂性
计算机系统特殊性及其风险控制
 药品生产企业如何控制计算机化系统的灾害
 我们它干什么（公司业务要求）
 要什么样的流程（系统要求）怎么用好它（项目管理）
 用不好会有什么后果（风险）
 怎么控制
- 建立计算机化系统相关管理流程（采购控制、 IT 供应商
管理、 IT 系统操作与维护授权管理、数据备份、系统数
据维护、系统日常维护管理、应急灾难控制等）
- 系统验证管理与系统测试（系统的 URS 、 DQ 、 IQ 、 O
Q 、 PQ ）
- 培训
- IT 的基础管理 - 变更控制、 IT 审计、偏差管理
计算机系统特殊性及其风险控制
应用层次 系统软件技术平台 系统质量特性 系统设计 控制方法

项目管理体系
可靠性：系统成熟性、容错、易恢复 人员与资格评定
可维护性：系统稳定、易测试 阶段性评审与测试
系统开发层内 版本控制
可移植性：系统适应性、易安装、共存性 售后服务

设备开发管理
可靠性：系统成熟性、容错、易恢复
人员培训与资格评定
工程应用层 易用性：易掌握、易学
供应商选择与评定
可维护性：稳定、易测试
系统设计
可移植性：适应性、易安装、共存性
代码测试
效率：时间特征、资源利用
系统测试

项目管理
操作应用层 IQ 、 OQ 、 PQ
功能的适合、准确、互操作、安全性 供应商评估
易恢复、数据追溯、数据备份 变更控制

功能实现 功能操作
计算机系统特殊性及其风险控制
 药品生产企业计算机系统的用途
 系统是否用于产品工艺控制、监测、检测
 是否用于物料与产品放行与控制
 是否进行相关药品生产记录采集、记录、保存于
备份
 是否用于药品生产工艺过程的条件的监测与控制
，如 HAVC 、制药用水系统
计算机系统特殊性及其风险控制
 计算机化系统：
是建立、修改、维护、归档、检索和传
送数字信息的计算机硬件、软件、和相关
文件（用户手册）的集合。
 计算机系统的组成：
硬件、软件、外围设备、操作人员、相
关文件资料如操作手册、 SOP 等。
计算机系统特殊性及其风险控制
 计算机系统的优点：
• 判断
• 存储
• 精确
• 快速
• 通用
• 易用
• 联网
计算机系统特殊性及其风险控制
 计算机化系统的目的
 提高效率
 改进质量
 减少人的负担和风险
 达到使用技术以无人干涉的控制一个过程
• 技术 = 机械的、气动的、电动的、电子的 / 数字的、
计算机
• 控制 = 基本控制（闭路控制）、程序控制（顺序控制
、逻辑控制）、协调控制
• 过程 = 离散过程、批过程、连续过程
计算机系统特殊性及其风险控制
 计算机化系统可能带来的问题
 在操作人员不知晓的情况下控制失控
 操作不方便
 信息丢失
 非法操作
 黑客侵犯
 停电
 程序繁琐，处理周期长
 软件升级的困惑
 计算机化基本管理要求与原则
 计算机化系统的要求
 系统的功能性：满足产品工艺控制、质量检测的
适合性、准确性、互操作性、保密安全性
 系统的可靠性：系统的成熟性、容错性、易恢复
性
 系统的追溯性：信息的输入、无效信息识别、信
息更改控制、备份
 文件的完整性、证实性
 GMP 法规的要求
• 国家食品药品监督管理总局关于发布《药品生产质量管理
规范（ 2010 年修订）》计算机化系统和确认与验证两个
附录的公告（ 2015 年第 54 号）
根据《药品生产质量管理规范（ 2010 年修订）》
第三百一十条规定，现发布《计算机化系统》和《确认与
验证》两个附录，作为《药品生产质量管理规范（ 2010
年修订）》配套文件，自 2015 年 12 月 1 日起施行。
特此公告。
附件： 1. 计算机化系统
　 2. 确认与验证　　　　　　　　　　　　　　　　
　　　　　　　　　　　　　　　 食品药品监管
总局
　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　　　 2015 年 5 月 26 日
 GMP 附录解读
 附录的基本情况
 附录的解读
第一章 范围
第二章 原则
第三章 人员
第四章 验证
第五章 系统
 附录的基本情况
 计算计算机化系统附录的起草背景
 科技发展，自动化程度越来越高
 专业属性强，风险识别困难
 数据完整性越来越被重视
 多个国家 / 组织已将其作为单独附录发布
 是 GMP （ 2010 年修订）的计划组成部分
 附录的基本情况
 药品生产企业中可能存在的计算机化系统
 文件管理系统
 自动化生产设备系统
 自动化实验室设备系统
 ERP
 实验室信息管理系统（ LIMS ）
 BMS/EMS
 仓储配送系统
 电子批生产记录
 ……
 附录的基本情况
 修订的特点
 引入了风险管理和生命周期的概念
 提出了对计算机化系统供应商管理的要求
 对计算机化系统的术语进行了解释
 附录的基本情况
 附录概要
 第一章 范围，规定了附录计算机化系统应用范围
 第二章 原则，提出了风险管理应当贯穿计算机化
系统的生命周期全过程。
 第三章 人员，对计算机化系统的人员提出了应当
接受相应的使用和管理培训的要求。
 第四章 验证，针对计算机化系统的特殊性提出了
也验证的特殊要求及原则。
 第五章 系统，针对计算机化系统关键控制点如系
统运行和变更的要求，关键数据及其修改、电子
数据和电子签名等提出了相关的管理要求。
 附录的基本情况
 七个术语
 数据审计跟踪：是一系列有关计算机操作系统、应用程序
及用户操作等事件的记录，用以帮助从原始数据追踪到有
关的记录、报告或事件，或从记录、报告、事件追溯到原
始数据。
 数据完整性：是指数据的准确性和可靠性，用于描述存储
的所有数据值均处于客观真实的状态。
 电子签名：是指电子数据中以电子形式所含、所附用于识
别签名人身份并表明签名人认可其中内容的数据。
 电子数据：也称数据电文，是指以电子、光学、磁或者类
似手段生成、发送、接收或者储存的信息。
 附录的基本情况
 七个术语
 计算机化系统生命周期：计算机化系统从提出用户需求到
终止使用的过程，包括设计、设定标准、编程、测试、安
装、运行、维护等阶段。
 基础架构：为应用程序提供平台使其实现功能的一系列硬
件和基础软件，如网络软件和操作系统。
 应用程序：安装在既定的平台 / 硬件上，提供特定功能的
软件。
 附录的基本情况
 修订的主要内容
 对于专属性强的部分，强调了供应商的管理：
 企业应当基于风险评估的结果提供与供应商质量
体系和审计信息相关的文件。
 软件是计算机化系统的重要组成部分。企业应当
根据风险评估的结果，对于所采用软件进行分级
管理，评估供应商质量保证体系，保证软件符合
企业要求。
 附录的基本情况
 修订的主要内容
 对不同计算机化系统提出不同的要求：
 企业应当建立包含药品生产质量管理过程中涉及
的所有计算机化系统清单，标明与药品生产质量
管理相关的功能，清单应及时更新。
 企业应当制定专人对通用的商业化计算机软件进
行审核，确认满足用户需求。
 在对定制的计算机化系统进行验证时，企业应当
建立相应的操作规程，确保在生命周期内评估系
统的质量和性能。
 附录的基本情况
 修订的主要内容
 对进入和使用系统的人员进行了规定：
 只用经过许可得人员才能进入和使用系统。企业
应当采取适当的方式杜绝未经许可的人员进入和
使用系统。
 应当就进入和使用系统制定授权、取消以及授权
变更的操作规程。必要时，应当考虑系统能记录
未经许可的人员试图访问系统的行为。对于系统
自身缺陷，无法实现人员控制的，必须具有书面
程序、相关记录本及相关物理隔离手段，保证只
有经许可的人员方能进行操作。
 附录的基本情况
 修订的主要内容
 对数据完整性提出详细的要求：
 计算机化系统应当记录输入或确认关键数据人员
的身份。只有经授权人员，方可修改已输入的数
据。每次修改已输入的关键数据均应当经过批准
，并应当记录更改数据的理由。应当根据风险评
估的结果，考虑在计算机化系统中建立数据审计
跟踪系统，用于记录数据的输入和修改以及系统
的使用和变更。
 附录的基本情况
 修订的主要内容
 对数据完整性提出详细的要求：
 当人工输入关键数据时，应当复核输入记录以确
保其准确性。这个复核可以由另外的操作人员完
成，或采用经验证的电子方式。必要时，系统应
当设置复核功能，确保数据输入的准确性和数据
处理过程的正确性。
 对于电子数据和纸质打印文稿同时存在的情况，
应当有文件明确规定以电子数据为主数据还是以
纸质打印文稿为主数据。
 附录的基本情况
 修订的主要内容
 对数据完整性提出详细的要求：
• 以电子数据为主数据时，应当满足以下要求：
• （一）为满足质量审计的目的，存储的电子数据应当能够
打印成清晰易懂的文件。
• （二）必须采用物理或者电子方法保证数据的安全，以防
止故意或意外的损害。日常运行维护和系统发生变更（如
计算机设备或其程序）时，应当检查所存储数据的可访问
性及数据完整性。
• （三）应当建立数据备份与恢复的操作规程，定期对数据
备份，以保护存储的数据供将来调用。备份数据应当储存
在另一个单独的、安全的地点，保存时间应当至少满足本
规范中关于文件、记录保存时限的要求。
 附录的解读
 第一章 范围
 GMP ，软件 + 硬件，分类
 附录的解读
 第一章 范围
 举例
企业资源计划系统 ERP
实验室信息管理系统 LIMS
制造执行系统 MES
楼宇管理系统 BMS
环境监控系统 EMS
仓储与配送系统 WMS
文件管理系统 DMS
PLC
高效液相色谱仪 HPLC
 附录的解读
 第一章 范围
 审计要点
是否建立计算机化系统管理流程
是否建立计算机化系统清单
易被忽略的系统
-Excel
-ERP
 附录的解读
 第二章 原则
 关键词：风险，供应商
 附录的解读
 第二章 原则
 计算机化系统代替人工操作时，应当确保
不对产品的质量、过程控制和其质量保证
水平造成负面影响，不增加总体风险。
 风险管理应当贯穿计算机化系统的生命周
期全过程，应当考虑患者安全、数据完整
性和产品质量。作为质量风险管理的一部
分，应当根据书面的风险评估结果确定验
证和数据完整性控制的程度。
 附录的解读
 第二章 原则
 企业应当针对计算机化系统供应商的管理
制定操作规程。供应商提供产品或服务时
（如安装、配置、集成、验证、维护、数
据处理等），企业应当与供应商签订正式
协议，明确双方责任。
 企业应当基于风险评估的结果提供与供应
商质量体系和审计信息相关的文件。
 附录的解读
 第二章 原则
 合同中应该包含的内容
 交付内容及费用
 承诺的交付日期
 提供文档 \ 修补程序 \ 升级 \ 新版本通知和培训
 数据迁移
 交付内容不包括源代码时，可考虑第三方托管协议（五类软件）
 安装 \ 定制期间的支持
 用户验收 \ 验收测试期
 变更
 维护
 其他：付款计划 \ 保密条款
 附录的解读
 第二章 原则
 审计要点
 供应商管理应针对 IT 供应商的特殊性，建立相应的流
程和评估方法。
 供应商应定期进行评估
 附录的解读
 第三章 人员
 关键词：权限、资质
 附录的解读
 第三章 人员
 计算机化系统生命周期中所涉及的各种活
动，如验证、使用、维护、管理等，需要
各相关的职能部门人员之间的紧密合作。
应当明确所有使用和管理计算机化系统人
员的职责和权限，并接受相应的使用和管
理培训。
 应当确保有适当的专业人员，对计算机化
系统的设计、验证、安装和运行等方面进
行培训和指导。
 附录的解读
 第三章 人员
 访问权限的原则
按需授权
最小特权
职责分离
 附录的解读
 第三章 人员
 强制和自主访问控制
 强制访问控制（ MAC ）：只有管理员可以根据政策进
行相关更改。同时没有人可以授予访问控制政策中明确
禁止的访问权限。 MAC 起禁止作用，将禁止所有为获
得明确许可的行为。
 自主访问权（ DAC ）：可由数据所有者自行激活和修
改的保护。例如，在数据所有者定义的共享信息资源中
，数据所有者可以选择谁能够访问他的资源，以及相应
访问的安全等级。 DAC 无法覆盖 MAC ， DAC 将作为
附加过滤器，使用相同的排除原则禁止访问更多。
 附录的解读
 第三章 人员
 用户识别和身份认证最佳实践
 对默认的账户进行重命名。
 如果登录 ID 在经过一段时间后为未被使用，则应该将
其禁用，以免出现被勿用的情况。这可以有系统自动
完成或有安全管理员手动完成。
 如果在一段时间内未执行任何活动，系统应自动断开
登录会话。这可以减少勿用当前登录会话的风险，因
为当前登录会话可能因为用户吃饭、开会忘记注销等
而处于无人监视状态。这通常称为会话超时。重新获
得访问权限时，应该要求重新输入身份认证方法、密
码等。
 附录的解读
 第三章 人员
 用户识别和身份认证最佳实践
密码语法规则包括：
理想情况下，密码至少应包含八个字符。密码长度有
时取决于要保护的系统和数据敏感性以及所用系统的
能力
密码应至少应该是以下任意三种字符的组合：字母数
字、大小写和特殊字符。
密码不应采用能够识别出用户的内容（如名字、姓
氏）
系统应强制要求一定间隔时间定期更改密码一次，并
且以前的密码在更改至少一年内不得使用。
 附录的解读
 第三章 人员
 审计要点
可以从系统中导出权限列表，根据权限列表来
要求企业提供职责说明，应遵循最小权限原则
职责分离
培训记录、资质证明
资源是否足够
 附录的解读
 第四章 验证
 关键词：确认与验证，通用与定制，验证
状态维护。
 附录的解读
 第四章 验证
 计算机化系统验证包括应用程序的验证和
基础架构的确认，其范围与程度应当基于
科学的风险评估。风险评估应当充分考虑
计算机化系统的使用范围和用途。
 应当在计算机化系统生命周期中保持其验
证状态。
 附录的解读
 第四章 验证

计划 报告

标准 确认

配置

风险管理
 附录的解读（软件类别）
类别 描述 示例 典型方法
1 分层式软件 操作系统 记录版本号，按照所批准的安装规
基础设施 用于管理操作 版本控制工具 程验证正确的安装方式
软件 环境的软件
3 可以输入并储存 基于固定的应 简化的生命周期法
非配置软 运行参数，但是 用程序 URS 用户需求说明
件 并不能对软件进 COTS
行配置以适合业 基于风险的供应商评估
务流程 记录版本号，验证正确的安装方式
基于风险进行测试

4 这种软件通常比 ERP 、 LIMS 生命周期法

可配置软 较复杂，可以由 、 DCS 、 ED 基于风险的供应商评估法
件 用户来进行配置 MS 、 BMS 、
以满足用户具体 供应商的质量管理系统
业务流程的特殊 CRS 、 HMI 记录版本号，验证正确的安装方式
要求，这种软件 在测试环境中根据风险进行测试
的编码不能更改 在业务流程中根据风险进行测试
。
具有维持复合型的规程

5 定制设计和编码 VB or C 与第 4 类相同，在加上
定制软件 以适用于业务流
程的软件 Java 更严格的公用设施评估，包括肯能
Spreadsheets 进行供应商审计
完整生命周期
 附录的解读
 第四章 验证
 企业应当建立包含药品生产质量管理过程中涉及
的所有计算机化系统清单，标明与药品生产质量
管理相关的功能。清单应当及时更新。应当在计
算机化系统生命周期中保持其验证状态。
 企业应当指定专人对通用的商业化计算机软件进
行审核，确认其满足用户需求。
 在对定制的计算机化系统进行验证时，企业应当
建立相应的操作规程，确保在生命周期内评估系
统的质量和性能。
 附录的解读
 第四章 验证
计算机化系统清单

系统 位置 GMP 功能 负责人 其他信息

百万分之一 车间化验室 高 张三 德国赛托利斯

电子天平
百分之一天 车间化验室 中 李四 北京赛托利斯 CP
平 A225D
高效液相色 车间化验室 高 赵五 安捷伦 1260
谱仪
 附录的解读
 第四章 验证
 验证方案要点
 在 URS 完成前制定验证计划
 流程所有者和质量部门批准
 需要哪些活动
 如何实施
 谁来负责
 活动的结果
 系统被接受应符合哪些要求
 系统生命周期中应如何维持合规性
 附录的解读
 第四章 验证
 验证方案
1 介绍
2 范围
3 系统简介
4 验证方法
5 角色和职责
6 验证文档
文档签字审批
文档保存
 附录的解读
 第四章 验证
 验证方案
7 验证工作计划
用户需求和功能设计
配置文档
IQ 、 OQ 、 PQ
验证结果评估
8 变更控制
9 培训
10 检验状态定期审查
11 词汇表
12 附件
 附录的解读
 第四章 验证
 可配置系统
验证方案 风险分析 验证报告

用户需求 需求测试

功能设计 功能测试

配置设计 配置测试

设计审查
配置产品
 附录的解读
 第四章 验证
 风险评估模板

功能组成 风险评估
风险 风险
风险
编号 需求 需求 可能 导致 严重 可能 风险 发现 处置
严重
编号 描述 故障 结果 级别 性 级别 几率 程度
 附录的解读
 第四章 验证
 数据转换格式或迁移时，应当确认数据的数值及含义没有
改变。
 数据迁移
 迁移的完整性
 数据的完整性
 提前备份
 一致性
 连续性
 回退策略
 并行
 分阶段分模块
 一次性转换
 附录的解读
 第四章 验证
 验证文件的审计
• 三类软件：是否涵盖软件部分，如软件版
本、安装位置，软件特有的功能，故障或
特殊情况的验证
• 四类 / 五类软件：按照 V 字形的相关要求进
行验证，并要看验证时间、验证结果等关
键点
• 验证维护：是否有流程、是否有审核
 附录的解读
 第五章 系统
 关键词：数据完整性
 附录的解读
 第五章 系统
• 系统应当安装在适当的位置，以防止外来
因素干扰。
• 键系统应当有详细阐述的文件（必要时，
要有图纸），并须及时更新。此文件应当
详细描述系统的工作原理、目的、安全措
施和适用范围、计算机运行方式的主要特
征，以及如何与其他系统和程序对接。
 附录的解读
 第五章 系统
• 软件是计算机化系统的重要组成部分。企业应当根据风险
评估的结果，对所采用软件进行分级管理（如针对软件供
应商的审计），评估供应商质量保证系统，保证软件符合
企业需求。
类型 GAMP4 GAMP5
1 操作系统 基础结构软件
2 固件 不再使用
3 标准软件包 不可配置产品
4 可配置软件包 可配置产品
5 定制（预定）软件 定制程序
 附录的解读
 第五章 系统
• 在计算机化系统使用之前，应当对系统进行全
面测试，并确认系统可以获得预期的结果。当
计算机化系统替代某一人工系统时，可采用两
个系统（人工和计算机化）平行运行的方式作
为测试和验证内容的一部分。
 附录的解读
 第五章 系统
 测试类型举例
• 常规案例测试：做应该做的
• 无效案例测试：没有不该做的
• 可重复性测试：重复完成预期工作
• 性能测试：速度和效率
• 容量 / 负载测试：压力
• 回归测试：针对调整是否完成预期工作，是否
造成负面影响
 附录的解读
 第五章 系统
• 只有经许可的人员才能进入和使用系统。企业
应当采取适当的方式杜绝未经许可的人员进入
和使用系统。
• 应当就进入和使用系统制订授权、取消以及授
权变更的操作规程。必要时，应当考虑系统能
记录未经许可的人员试图访问系统的行为。对
于系统自身缺陷，无法实现人员控制的，必须
具有书面程序、相关记录本及相关物理隔离手
段，保证只有经许可的人员方能进行操作。
 附录的解读
 第五章 系统
 审计要点
• 是否建立授权流程
• 将权限申请记录与系统实际使用记录进行比对
• 对于单机版的系统，是否只是使用开机密码进行
权限管理，这种方式无法达到授权的管控目的
• 权限应当定期审核，转岗、离职的人员应尽快撤
销权限
 附录的解读
 第五章 系统
• 当人工输入关键数据时，应当复核输入记录以确保其准
确性。这个复核可以由另外的操作人员完成，或采用经
验证的电子方式。必要时，系统应当设置复核功能，确
保数据输入的准确性和数据处理过程的正确性。
• 计算机化系统应当记录输入或确认关键数据人员的身份。
只有经授权人员，方可修改已输入的数据。每次修改已
输入的关键数据均应当经过批准，并应当记录更改数据
的理由。应当根据风险评估的结果，考虑在计算机化系
统中建立数据审计跟踪系统，用于记录数据的输入和修
改以及系统的使用和变更。
 附录的解读
 第五章 系统
 审计追踪方面常见问题
• 有审计追踪功能但不使用
• 审计追踪可更改
• 操作人员可删除审计追踪功能
• 审计追踪作为元数据没有经过审核和备份
 附录的解读
 第五章 系统
 审查要点
• 系统是否有审计追踪功能
• 如果有，是否开启了审计追踪功能
• 如果没有，有什么其他的控制手段
• 审计追踪是否定期审核
 附录的解读
 第五章 系统
 计算机化系统的变更应当根据预定的操作规程
进行，操作规程应当包括评估、验证、审核、
批准和实施变更等规定。计算机化系统的变更
，应经过该部分计算机化系统相关责任人员的
同意，变更情况应有记录。
 附录的解读
 第五章 系统
 变更管理
• 变更应经过授权
• 文件形式存档
• 经过测试切得到批准
• 更新文件是变更的组成部分之一
• 培训和沟通
• 紧急变更
 附录的解读
 第五章 系统
 变更常见问题
• IT 系统的变更管理没有纳入到 GMP 范围内
• 变更没有经过评估、批准和验证
• 变更没有按照计划进行
 审计要点
• 是否有计算机化系统变更的管理流程
• 是否按照流程进行计算机化系统的变更，如打
补丁，升级功能，重新安装。
 附录的解读
 第五章 系统
 对于电子数据和纸质打印文稿同时存在的情况
，应当有文件明确规定以电子数据为主数据还
是以纸质打印文稿为主数据。
• 审计中有时出现与声明不符的情况
 文件管理系统
 放行时间不一定与纸质记录一致
 批次总计文件
 附录的解读
 第五章 系统
 审计要点
• 按流程追踪时否有仅适用电子数据的情况，但
声明以纸质记录为主数据，如文档管理系统
• 根据数据完整性的要求，有些复杂的系统打印
输出不能完全代表系统电子数据的情况。
 附录的解读
 第五章 系统
 以电子数据为主数据时，应当满足以下要求：
• （一）为满足质量审计的目的，存储的电子数据应当能
够打印成清晰易懂的文件。
• （二）必须采用物理或者电子方法保证数据的安全，以
防止故意或意外的损害。日常运行维护和系统发生变更
（如计算机设备或其程序）时，应当检查所存储数据的
可访问性及数据完整性。
• （三）应当建立数据备份与恢复的操作规程，定期对数
据备份，以保护存储的数据供将来调用。备份数据应当
储存在另一个单独的、安全的地点，保存时间应当至少
满足本规范中关于文件、记录保存时限的要求。
 附录的解读
 第五章 系统
 目前药厂普遍适用不安全的备份方法和介质
• USB 、移动硬盘、电脑硬盘（没有备份）、 S
D卡
• 有些备份数据是可更改的格式，如 excell
• 如有条件，应尽早采用服务器备份
• 备份的运送和保存应符合安全原则
 附录的解读
 第五章 系统
 审计要点
• 是否有备份的操作规程
• 是否按照备份计划进行备份
• 备份是否有确认
• 备份文件如何保管
• 是否选用不安全的介质保管备份数据
• 是否定期恢复测试
• 备份能否满足数据完整性的要求
 附录的解读
 第五章 系统
 企业应当建立应急方案，以便系统出现损坏时
启用。应急方案启用的及时性应当与需要使用
该方案的紧急程度相关。例如，影响召回产品
的相关信息应当能够及时获得。是否有备份的
操作规程。
 审计要点
• 是否有应急方案
• 应急方案是否经过测试，是否可行
 附录的解读
 第五章 系统
 应当建立系统出现故障或损坏时进行处理的操
作规程，必要时对该操作规程的相关内容进行
验证。
 包括系统故障和数据错误在内的所有事故都应
当被记录和评估。重大的事故应当进行彻底调
查，识别其根本原因，并采取相应的纠正措施
和预防措施。
 附录的解读
 第五章 系统
 故障处理容易引发变更
• 应关注故障处理记录
• 供应商权限过高，为消除故障可能对系统做出
不符合 GMP 的变更
 审计要点
• 故障处理流程是否建立
• 是否有相同故障反复出现
• 故障记录检查，有些故障会与变更相关联
 附录的解读
 第五章 系统
 当采用计算机化系统放行产品时，计算机化系
统应当能明示和记录放行产品人员的身份。
 电子数据可以采用电子签名的方式，电子签名
应当遵循相应法律法规的要求。
 附录的解读
 第五章 系统
 电子签名控制点
• 必须采用如下形式之一
1 用户名 + 密码
2 生物识别
• 明确签名的含义
• 签名必须是独特的，能追溯到个人的
• 错误输入用户名后密码能够被系统拒绝
• 签名与所签的电子记录必须永久连接，不可被
系统标准功能所消除后重签
 附录的解读
 第五章 系统
 电子签名控制点
• 计算机化系统应该能够显示：
1 该记录已被签字
2 签名人的名字
3 日期和时间
4 签名的含义
• 需要考虑的安全措施
1 对设备进行初始化检测并定期检测
2 要有流程规定当用户忘记密码或丢失设备时如何处理，
包括将设备设为失活状态以及重置密码等措施
 附录的解读
 第五章 系统
 移交
• 有文档，双方认可
• 项目经理→流程所有者 / 系统所有者
• 特别关注没有达到满意标准的事项
• 回退策略
 附录的解读
 第五章 系统
 系统退役
• 系统撤销
• 系统退出使用
• 系统销毁
• 数据迁移
• 识别受影响的范围：包括接口的系统、设备
• 验证
• 更新相关文档：流程、支持维护合同、灾难恢
复计划、业务连续性计划、用户管理
 附录的解读
 数据完整性调研发现的主要问题
• 只用开机密码，没有用户名
• 有审计追踪功能但没有开
• 没有备份流程
• 没有安全防护措施
• Excell 表位做验证
• 系统时间可以更改
 附录的解读
 附录中提到的书面文件
• 书面的风险评估
• 计算机化系统供应商的管理操作规程
• 正式协议
• 供应商质量体系和审计相关的文件
• 计算机化系统清单
• 关键系统详细阐述的文件
• 授权、取消以及授权变更的操作规程
• 变更操作规程
• 变更记录
• 主数据说明
• 数据备份与恢复的操作规程
• 应急方案
• 故障或损坏时进行处理的操作规程
 附录的解读
 验证文件
• 验证状态维护文件
• 权限与职责列表
• 培训记录
• 资质证明
• 权限审批记录
• 备份恢复测试记录
• 故障记录
数据完整性检查及典型案例
数据完整性的意义
 诚信缺失无法保证药品安全、功效和质量
 打破了法规部门对药品企业的信任
 影响公司的业务和名誉
 数据完整性是药品质量体系的基本要求
 数据管理系统提供的努力和资源应与产品质
量风险相对应
 数据管理应与公司其他质量保证资源相平衡
 数据完整性检查及典型案例
• 数据完整性（ data integrity ）：是
指数据的准确性和可靠性，用于描述存
储的所有数据值均处于客观真实的状态
。
– 并不是计算机化系统实施后才出现的
– 适用于电子数据和手工（纸质）数据
– 企业应当处于一种基于数据完整性风险
的可接受控制状态
数据完整性检查及典型案例
• 数据
人工观察填写的纸质记录
仪器、设备通过复杂的计算机化系统
产生的图谱或电子记录。
 数据完整性检查及典型案例
• 数据的属性
• A （ attributable ）—可溯源
• L （ legible ）—清晰
• C （ contemporaneous ）—同步
• O （ original or true copy ）—原始或真
实复制
• A （ accurate ）—准确
 数据完整性检查及典型案例
• 不同仪器设备产生原始数据情况
 数据完整性检查及典型案例
• 仪器分类
分类 采集原理
简单的、不可配置的“仪器仪表、在线传感器、测试工具”直接测
A 量或显示数据，人工读取记录到纸质介质上，形成纸质的记录，可
以直接作为原始记录存档。

简单的、不可配置的“仪器仪表、在线传感器、测试工具”直接测
B 量或显示数据，连接打印机将数据打印在纸质介质上，形成纸质的
记录，可以直接作为原始记录存档。

一般的、可配置系统的“仪器仪表、测试工具、计算机系统”通过
C “仪器参数的设置、软件程序的计算”生成可显示的数据，并直接
打印在纸质介质上，形成纸质的记录，可以作为原始记录存档。

复杂的、可配置系统的“仪器仪表、测试工具、计算机系统”通过
“复杂的参数设置、程序计算、数据处理”后得到的具有一系列
“动态数据或隐含信息”的数据，直接打印出来的图谱或曲线，失
D 去了被再处理的能力，也不能对其动态数据或隐含的信息进行审核
或检查。 。
 数据完整性检查及典型案例
• 仪器适用范围
分类 适用范围
“ 简单的、不可配置系统”的“非连续数据”的人工读取、
人工记录。一次性读取、一次性记录，或者定时周期性读取
A 和记录。比如“天平、台称、温度、湿度、手持式工具…
…”等的数据记录。

“ 简单的、不可配置系统”的“连续数据”的自动化记录和
B 打印，比如“连续的在线监测数据（洁净室温湿度记录、水
系统在线记录、灭菌温度压力的记录……）。
适用于大部分“可配置系统”的不含“动态数据或隐含信
C 息”数据的自动化获取、自动化打印记录。比如大部分生产
过程控制设备、大部分检验检测设备。

可配置系统”的含有“动态数据或隐含信息”数据的存储管
D 理。
 数据完整性检查及典型案例
• “ 审计追踪功能”并不是用来“控制”数据的“采集、录入、
存储、备份、转移、检索、恢复、计算、处理、输出、引用、
失效、修改、删除……”等过程的。
• 审计追踪功能只是对“数据事件”的一种记录，能够对“违法
犯罪行为”进行“追踪”，能够快速锁定“犯罪分子”，能够
还原“历史真相”，但是并不能有效“控制”和“降低”有
“犯罪动机”的“犯罪行为”的发生，也不能降低“犯罪行
为”对“社会”的危害！
• 广义的审计追踪是能够追踪数据的采集、录入、存储、备份、
转移、检索、恢复、计算、处理、输出、引用、失效、修改、
删除……”等过程
数据完整性检查及典型案例
• 纸质记录
对文件和记录版本（变更）进行控制
对原始空白记录进行控制
对空白记录的发放进行控制
对已填写记录的变更进行控制
 数据完整性检查及典型案例
• 图谱或电子记录
 电子方式产生的原始数据采用纸质或 PDF 格式保存应当显
示数据的留存过程，以包括所有原始数据信息、相关审计
跟踪和结果文件、每一分析运行过程中软件 / 系统设置标
准
 一个给定的原始数据系列重建所需的所有数据处理运行情
况（包括方法和审计跟踪），经过确认的复本。
 一旦打印或转换成静态 PDF ，图谱记录则失去了其被再处
理的能力，不能对基线或隐藏区域进行更详细的审核或检
查。
 以数据库格式存在的动态电子记录则可以进行追踪、趋势
分析和查询、查看隐藏区域，放大基线以将积分情况查看
的更清楚。
 数据完整性检查及典型案例
• 数据审计跟踪
 数据审计跟踪（ audit trial ）：是一系列有关
计算机操作系统、应用程序及用户操作等事件的
记录，用以帮助从原始数据追踪到有关的记录、
报告或事件，或从记录、报告、事件追溯到原始
数据。
 如果计算机系统用于电子捕获、处理、报告或存
贮原始数据，系统设计应能保持提供全面审计追
踪的保存，能够显示对数据进行的所有更改。
 随对数据的所有更改，应可以显示做这些更改的
人，更改均应有时间记录，并给出理由。
 用户不应具备修订或关闭审计追踪的能力
 数据完整性检查及典型案例
• 数据审计跟踪
 不需要包括每个系统活动（例如，用户登
录 / 退出，键盘敲击等）
 通过对经过设计和验证的系统报告进行审
核来达到目的
 必须是商业电子管理系统吗？
 只要能够达到 GMP 的要求，纸质追踪和半
纸质半电子系统也能被接受。
 行业发展，将来…
 检查案例
主要集中以下几点：
 不能追踪原始数据，真实性存疑
 数据安全性不足，不能采取有效措施确保未经授权人员
对生产、质量控制等相关记录进行变更或删除，不开启
 不能确保所保存的实验室记录包括所有的原始试验记录
 删除数据覆盖数据
 测试至合格
 改变积分参数
 测试小试 / 试样
 系统管理员权限
 检查案例
 某设备操作需要通过人机界面登入 PLC ，但该车
间有多个操作员均可登入，所有操作人员使用系
统管理员用户名和密码登录。
 公司未能保证实验室数据的完整性
多次进行样品“试针”测试、忽略部分检验结果
，例如：某产品正式放行数据未知杂质报告为符
合质量标准，但是色谱数据显示该批有进针数据
的未知杂质不符合质量标准。某批片剂稳定性试
验正式 HPLC 杂质数据只包括了多次测试中最好的
结果。
 公司未能对计算机或相关系统进行适当的控制，
不能保证只有经过授权的人才能对生产工艺参数
和检测记录或其它记录进行修改。
 检查案例
 检查电子记录表明，企业在杂质检测中进行了手
动改变积分参数的活动，但没有相应的说明；经
常进行手动积分，但未形成书面程序。
 工艺验证的样品存在真实性问题
– 发文要求重新进行工艺验证
– 复核检查发现：存放于仓库的样品外观、颜色
异常
– 现场检验：耐酸力、溶出度、含量不合格
– 核实：掺入其他样品顶替工艺验证样品
 检查案例
 修改 HPLC/UV 工作站的系统时间
– 将 HPLC/UV 的电脑时间修改到稳定性考察的日期，进行测定
– 电脑时间多次更改，甚至出现 9 月某日的操作记录
– 补写相关仪器使用记录，补写的使用时间与实际不符
 UV 工作站电脑不在现场
– 存有重要数据（含量，溶出度），包括工艺验证批、动态生
产批成品检验，和部分稳定性考察
– 称电脑一个月前损坏
– 未能提供备份的电子数据
 红外图谱：峰形、波数、强度等指标完全
一致。
 检查案例
• 现场无法提供原始批生产记录
– 药审中心发补后，提高质量标准
– 企业生产三批样品，采用新标准进行稳
定性考察
– 现场检查期间，无法提供该三批样品的
原始生产记录
– 员工根据原辅料出库记录等，现场回忆
书写记录
 检查案例
 检查组在对 xx 公司生产的 xx 凝胶产品进行检查， xx 凝
胶（批号： 100301 ）批生产记录显示，灌装时间为 2010
年 3 月 26 日 8 ： 30 到 12 ： 30 ，灌装机号为 DG35A 。同
时发现在维 A 酸乳膏（批号： 100301 ）批生产记录显示
，灌装时间也为 2010 年 3 月 26 日 8 ： 15 到 11 ： 00 ，
灌装机号也为 DG35A 。
 某冻干产品灌装压塞工序生产记录（注射用 XXXX ，批号
： 130907 ）和培养基模拟灌装生产记录（ 10ml ）显示：
9 月 26 日，张某某（唯一操作人）在老车间灌装压塞、
装箱、出箱岗位操作人处有此人签名，操作时间： 12:35-
17:20 ， 18:50-22:00 ；发现此人在同一时间段在新建车
间培养基模拟灌装试验操作人处签名也进行了签名：操作
时间： 13:20-21:00
 检查案例
 检查组在对 xx 公司生产的 xx 凝胶产品进行检查， xx 凝
胶（批号： 100301 ）批生产记录显示，灌装时间为 2010
年 3 月 26 日 8 ： 30 到 12 ： 30 ，灌装机号为 DG35A 。同
时发现在维 A 酸乳膏（批号： 100301 ）批生产记录显示
，灌装时间也为 2010 年 3 月 26 日 8 ： 15 到 11 ： 00 ，
灌装机号也为 DG35A 。
 某冻干产品灌装压塞工序生产记录（注射用 XXXX ，批号
： 130907 ）和培养基模拟灌装生产记录（ 10ml ）显示：
9 月 26 日，张某某（唯一操作人）在老车间灌装压塞、
装箱、出箱岗位操作人处有此人签名，操作时间： 12:35-
17:20 ， 18:50-22:00 ；发现此人在同一时间段在新建车
间培养基模拟灌装试验操作人处签名也进行了签名：操作
时间： 13:20-21:00
 数据完整性检查
• 基于风险，判断重点
• 深入调查，不蜻蜓点水
• 有疑问的数据一定要证实客观真实性
• 追踪最原始的数据
• QC 实验室，尤其是稳定性试验的数据
• 物料发放流转的数据
• 各项记录的发放和填写
• 企业质量管理体系对数据完整性的覆盖
• 数据完整性直接表现企业的质量管理水平
 源于设计管理要求
• 系统设计来保证数据质量和完整性 （技术保证）：
• 记录事件时间的时钟进入权限（时间操作员不能改时间）
• 让批记录等确保在活动现场，避免临时数据记录然后转
抄到正式记录
• 数据记录所用的空白纸质模板控制
• 用户权限能防止或审计追踪数据修改
• 仪器如天平需要附带自动获取或打印数据设施
• 取样点进入权限如水系统
• 员工数据复核检查时进入原始数据的权限
• 使用专人记录来代替另一个操作人记录实施活动只有在例
外下考虑：
– 记录行为会使产品或活动产生风险，如一些无菌操作
– 陪同人员的语音 / 文字受限，由其他管理人员进行证明和记录
 审计跟踪
• 计算机系统用于捕获、处理、报告或存储原始数据，系统
设计应能保持提供全面审计追踪功能，能显示保持之前和
原始数据与对数据进行的所有更改，能显示做这些更改的
人、时间和理由等记录。
• 用户不应具备修订或关闭审计追踪的能力。
• 审计追踪审核应是日常数据审核 / 批准过程的一部分，通
常由生产数据的操作区域（如实验室）来实施，公司需要
相应的管理制度要求，审核重点为 GMP 相关性如关于数
据创建、处理、修正和删除等。
• QA 也应抽查审核相关审计追踪、原始数据和元数据，作
为自检的一部分，来保证与数据管理方针 / 程序的现行符
合性。
• 对于没有审计追踪系统软件，只要能达到 EU GMP 指南
附录 11 要求，可以用纸质追踪记录来证明到达同样目的
，否则在 2017 年底前要升级软件系统达到规定要求。
 计算机用户权限管理
• 应全面使用进入权限控制的功能，并保证人员
只具有与完成其工作职能相当的操作权限。
• 有不同的个人权限登录层级，并保证获得关于
用户进入级别的历史信息。
• 不能接受采用相同登录名和密码。（密码专人
专用、定期更换、长度和复杂程度符合要求、
超时管理、不能复制粘贴）
• 系统管理员权限应根据组织机构的规模和属性
而限于最少人数。系统管理员一些权限如数据
删除、数据库修正或系统参数修改不能被赋予
对数据有直接利益的个人。
 数据审核
• 需要一个描述对数据，包括原始数据的审
核和批准的程序，并有规定：
• 数据审核必须包括对相关元数据的审核，
包括审计追踪。
• 数据审核必须进行书面记录。
• 如果数据审核发现错误或遗漏时应采取的
措施，对数据的修正或澄清应符合 GMP
方式进行，使用 ALCOA 原则，提供修
正所涉及的原始记录的可见性和审计追踪
的追溯性。
 数据保留
• 由纸质形式生产的原始数据 ( 或真实复制本）可
以采用如扫描方式保留，但需保证该复制的完整
性并经过确认。
• 数据和记录保留应保证能保护记录被蓄意或无意
篡改或丢失。
• 必须有安全控制来保证记录在整个保留期间的数
据完整性，并在适当时进行验证。
• 数据 / 记录存档应严格控制（落锁），保证其不
能在未被察觉和审计跟踪的情况下被篡改或删除。
记录在整个保留期间内可以被恢复和读取。
 数据完整性总结
 数据完整性实施程度的基本原则
• 根据对产品质量属性的影响程度、对关键工艺参数的影响
程度，进行风险评估确定。
• 投入到数据管理的精力和资源应与其产品的风险等级相适
应。
• 对数据生命周期中各要素的组织性控制和技术性控制的程
度及投入的资源，要与该数据对产品属性的影响程度相适
应。
• 应当根据“科学和技术发展的状况”，采用“普遍被接受
的科学的方法”进行药品生产和检验。
• 应当考虑“风险、成本、收益”的相适应！
 数据完整性总结
 实验室仪器能确保分析员产生数据的可追溯性。 --- 仪器需
要升级
仪器上的审计追踪功能，或完善手工审计追踪功能；
实验员的权限控制
确保实验室分析员 / 管理人员无法删除、覆盖、复制、改
变、注释或其他数据操作（除非允许被审计功能跟踪的方
法修改。）
确保每个分析员独立的用户和密码。
 单机设备（未联网）有明确挑战应确保关键的评估确保符合
标准。
数据完整性基本要求：审计追踪、仪器记录本（ logboo
k) 、样品包括标准品配制记录、图谱必须完全对应一致。
 FDA 案件分析
FDA 检查发现事实 :
 未及时记录
 倒签日期
 没有原始记录或记录造假
 复制历史数据作为新数据
 重复进样和预检测
 丢弃数据（无效数据未说明）
 FDA 案件分析
FDA 检查发现事实 :
 没有原始数据 :
• 标准品配制
• 样品称重
• 样品溶液准备和样品稀释
没有这些信息，无法计算结果
 FDA 案件分析
FDA 检查发现事实 :
 分析方法没有很好执行
调整 HPLC 的积分参数
• 重新进样直到结果符合
• 重新计算直到结果符合
• 测试时间和记录报告不匹配
• 审计追踪功能没有启用或没有审核
 FDA 案件分析
FDA 检查发现事实 :
 QC 实验室数据

• 某批次的结果数据应用于其他批次的放行
电子版本与打印版本不一致
 FDA 案件分析
FDA 检查发现事实 :
 QC 实验室数据 转抄数据（从小纸片上转抄到
实验室记录本中）
 首次记录的数据为原始数据，因此丢弃了原始
数据
增加了转抄的风险
转抄错误从不会发现并组织调查
同样数据先用铅笔填写，随后抹去 , 然后进入
使用永久性墨水稍后提供虚假印象按时记录。
 FDA 案件分析
FDA 检查发现事实 :
 QC 实验室数据
• 在系统适应性运行前预检测 ,
非正式样品使用不同的名字，例如“测试 / 小
试、演示、培训等”
其中部分检测结果不符合标准
• 所有没有存在网络计算机中而存在个人电脑
（办公室）中的数据。
 FDA 案件分析
FDA 检查发现事实 :
 进入仪器 / 计算机系统没有适当控制
• 不同分析员共享密码（同用户名和密码都不
行）
• 审计追踪功能没有启用或没有审核
 QC 试验室的基本要求
 实验室记录 / 表格控制
工作表格和记录本应该控制。应该有实验员
的工作表单和记录本的控制机制，计算工作
表及记录本的使用、返回及销毁平衡。表格
应按年代预先编号，或类似流程。
原始记录的复印件应该与原始件应确保一致
 QC 试验室的基本要求
 HPLC / GC System
 不允许样品或标准品试进样；不允许与样
品图谱相近的试样。与 SOP 操作一致性，不
允许 SOP 没有规定的操作。
标准品和样品应使用始终如一的积分参数，
并附在色图谱中，另外，有程序规定使用，
控制及手动积分参数。
 以前批次的色谱图不得复印重、命名为当
前批次。
 QC 试验室的基本要求
 数据应该在员工完成操作后及时记录在 GMP 记录上，
所有的 GMP 数据应该规范保持。使用零散的记录，转
抄数据，粘贴注释等均不符合 GMP 规范。
 COA 上的所有数据应该链接工厂（或合同实验室）产
生的原始数据来源。
 标准品的配置、溶解、流动相等数据记录和维护应确保
可追溯使用的具体的物料、称量、混合时间等，包括发
生的日期、时间及操作人员。
 必须关注所有决定成品放行的样品数据。不符合标准的
数据应该正式调查，根本原因确定数据的无效性。
 结束语
 中共中央总书记习近平在主持学习时强调，要牢
固树立安全发展理念，努力为人民安居乐业、社
会安定有序、国家长治久安编织全方位、立体化
的公共安全网。用最严谨的标准、最严格的监管
、最严厉的处罚、最严肃的问责，加快建立科学
完善的食品药品安全治理体系。
 世界范围内的药品监管系统一直依赖于组织机构
的药品研发、生产与包装、检验、发运与监测知
识。评估和审评过程所隐含的是监管者和被监管
者间的相互信任，这种信任是基于记录中所提交
的及日常决策中使用的信息是全面、完整、且可
信赖的。
谢谢！