数据完整性

本文档解释了以下 Thermo Scientific™ 软件如何帮助您满足 21 CFR Part 11¹ 中有关电子记录和电子签名法规的要求。

表1.Thermo Scientific 软件应用程序符合 21 CFR Part 11 合规性要求

¹ 21 CFR Part 11 电子记录；电子签名；最终规则，《联邦公报》第62卷第54期 (1997)：13430-13556。万维网地址 http:/www.fda.gov。

历史

21 CFR Part 11（美国联邦法规第21篇——食品与药品）是由美国食品药品监督管理局 (FDA) 发布的文件，概述了 FDA 接受电子记录和签名的标准。21 CFR Part 11 最终版本中的法规于1997年8月20日生效。受 FDA 监管的所有行业、公司和组织使用电子记录时都必须遵守这些法规。

1991年，FDA 与制药行业代表会晤，以确定如何根据现行药品生产质量管理规范 (cGMP) 的指导原则建立电子记录系统，即“无纸化”记录系统。FDA 的主要关切是保持电子记录的可信度、可靠性和完整性，并确保电子记录与纸质记录等效。制定 21 CFR Part 11 法规是为了防止在电子记录的生成和签署过程中发生欺诈。

定义

要成功实施 21 CFR Part 11 中的法规，了解以下条款至关重要。这些定义直接取自 21 CFR Part 11，将是我们讨论 Thermo Scientific 软件是否符合法规的起点。

封闭系统—系统访问受系统上的电子记录内容负责人控制的一种环境。

开放系统—系统访问不受系统上的电子记录内容负责人控制的一种环境。

数字签名 (DS)—基于发信方身份验证的加密方法的电子签名，它使用一组规则和一组参数进行计算，以便验证签名者的身份和数据的完整性。

电子记录—由计算机系统创建、修改、维护、存档、检索或分发的文本、图形、数据、音频、图片或以数字形式显示的其他信息的任意组合。

电子签名—由个人执行、采用或授权的任何符号或系列符号的计算机数据汇编，其法律约束力等同于个人的手写签名。

软件应用程序模板文件—可能包括参数文件、定量方法和宏指令。

Part 11 的关键子部分：电子记录；电子签名

• 21 CFR Part 11 分为三个子部分。
• 子部分 A 定义了法规的范围和实施，并在文档中定义了关键术语。
• 子部分 B 介绍了电子记录的要求，包括封闭系统和开放系统的数据生成、与电子签名有关的信息以及关联签名与记录的信息的控制。
• 子部分 C 详细说明了电子签名的要求、组成和控制。

软件

每一个 Thermo Scientific 安全软件包的设计都是在位于威斯康星州麦迪逊的开发和生产基地中进行的，并严格遵照 Thermo Fisher Scientific 通过 ISO 9001 认证的产品开发流程的指导准则。来自工厂各职能部门的成员经过充分培训，严格遵守涵盖开发工作所有方面的质量准则。每个软件开发项目的出发点都是根据客户的需求定制规格。软件设计以面向对象的模块化架构为基础。软件开发实践遵循我们的产品开发流程，其中包括变更控制、源代码控制系统和缺陷管理。我们为每个项目创建完整的用户文档。根据项目测试计划对软件进行密集的验证和回归测试。可以使用确认软件包来验证分光光度计的操作与规定的限值相比是否一致和准确。

21 CFR Part 11 合规性声明

安装软件应用程序后，以下工具将帮助您在实验室环境中符合 21 CFR Part 11 的要求：

• 系统登录和密码
• 在易于使用的界面中实现对软件功能的完全访问控制
• 一套广泛的软件策略，可实现对程序、文件或数据记录操作的控制
• 内置光谱历史记录追踪，包括用户信息、分光光度计参数以及在文件或数据记录整个生命周期内产生的任何数据处理信息
• 使用自定义日志记录完整的软件使用和事件审计追踪，即使在软件未运行时也是如此
• 对报告、数据、宏指令、配置、TQ Analyst 定量和定性方法以及实验文件进行数字签名

• 使用 Windows® 软件实现网络和本地安全
• 数据记录覆写保护
• 可以通过加密的数字签名来检测变更或数据篡改

将 Windows 安全嵌入到软件结构中，并通过 Windows 安全功能进行设置。您可以结合使用这些功能与软件访问权限来控制对仪器的访问。创建电子记录时，Windows 登录和密码用于验证用户身份。负责维护系统记录的人员必须采取措施，以确保软件在封闭系统中运行。

以下章节将说明如何使用上面列出的软件工具来帮助您满足 21 CFR Part 11 法规的每一项要求。该法规某些章节的要求完全是系统所有者的责任；我们无法直接提供工具来帮助您符合这些具体章节的要求。需要注意的是，遵守 21 CFR Part 11 的要求不仅限于软件实施，而且还需要通过实验室和计算机程序来控制电子记录创建和管理的所有阶段。

Part 11：电子记录；电子签名

本节涵盖 21 CFR Part 11 子部分 B 和 C。

子部分 B：电子记录

11.10 封闭系统的控制

使用封闭系统创建、修改、维护或传输电子记录的人员应采用相应的程序和控制，旨在确保电子记录的真实性、完整性和保密性（适当时），以保证签名者不能轻易地否认已经签署的记录是不真实的。此类程序和控制应包括以下内容：

• (a) “系统验证，确保准确性、可靠性、一致的预期性能，以及识别无效记录或被更改的记录的能力。”

系统所有者必须开发验证系统的协议。我们提供了一系列用于实验室确认的产品和服务。这些产品和服务为您提供了工具、文档和认证服务，使系统确认工作得以顺利进行。

检测无效或被篡改的记录的能力是通过使用软件中的数字签名选项来控制的。借助数字签名功能，可以对结果数据、应用程序模板文件和确认测试文件进行数字签名，确保记录的有效性。软件通过检查是否存在正确的数字签名，可以检测无效记录或被更改的记录。

• (b) “审查确保产生人们易读的和适合 FDA 检查、审查、和拷贝的电子形式的准确的、完整的记录副本。当人们怀疑 FDA 执行这样的电子记录审查和拷贝的能力时，应该联络 FDA。”

收集数据时，关于实验、仪器和附件的详细信息存储在不可编辑的文件嵌入式光谱历史记录中。如果以任何方式对数据进行后处理，则有关处理操作的详细信息将记录在数据历史记录中。同时还会存储系统用户和数字签名相关信息。如有需要，您可以随时查看和打印数据文件及其历史记录。系统所有者负责确定用于保存数据的格式。

OMNIC Paradigm 软件还可提供要在数据库中存储的详细信息的记录。该数据库包括上面列出的所有数据记录信息，并且可以使用 Audit Manager 软件随时查看和打印数据记录和历史记录。

• (c) “保护记录，以便能够在整个记录保留期内进行准确和即时的检索。”

您可以将软件创建的数据直接存储到安全服务器。系统所有者或 IT 小组必须确定文件存档方式以及有权访问这些记录的人员。OMNIC Paradigm 软件可将数据直接储存至安全服务器上的数据库。所有其他应用程序都可直接将数据文件安全存储至安全数据库。

• (d) “通过授权个人用户以限制系统的登录。”

控制对系统的访问需要使用 Windows 安全登录。该软件必须安装在有支持的 Windows 操作系统的计算机上，可使用安全管理程序配置 Windows 用户和组以访问软件。

Windows 软件的登录功能使系统管理员可以仅限制授权用户访问系统。要访问软件，用户必须使用其用户名和密码登录 Windows 软件。启动软件时必须重新输入 Windows 密码。为确保完全安全，必须为用户提供唯一的用户名和私人密码。

系统管理员可以配置用户的配置文件，以将其软件访问权限仅限于所需程序。必须为 Windows 系统配置安全文件系统，以便授予用户进行个人读取、写入和删除的访问权限。安全管理软件用于设置对数据记录、功能、安全策略和签名含义的访问权限。控制在计算机上软件应用程序外部执行的文件操作是系统所有者的责任。

• (e) “使用安全的、由计算机生成且带时间标记的审计追踪，以独立记录创建、修改或删除电子记录的操作员条目和操作的日期和时间。记录更改不会掩盖以前记录的信息。此类审计追踪文档的保留时间应至少达到该主题电子记录所要求的期限，并应可供 FDA 审查和复制。”

收集数据时，关于日期和时间、操作员、实验、仪器和附件的详细信息保存在不可编辑的文件或数据库嵌入式光谱历史记录中。（除了光谱历史记录，OMNIC Paradigm 软件也在其数据库中存储该信息。）测试文件用于进行仪器确认。这些测试文件包含用于确认的事件序列，并在工厂进行签名。

历史记录提供了创建任何给定数据文件之后所有数据操作的内部记录。此外，Thermo Scientific 审计日志服务记录了赛默飞世尔科技 (TFS) 软件应用程序内外的所有文件操作。因此，安全套件将记录任何在系统上创建、修改或删除任何 TFS 记录的尝试。

• (f) “必要时，使用操作系统检查以酌情加强进程和事件的排序。”

该软件可以为数据收集、处理和归档的各个方面加强进程和事件排序。可在软件中创建经过排序的进程文件。这些文件可以指定整个过程并对其进行排序：参数收集、数据收集、最终格式、后处理操作和数据存档。可以对软件进行配置，以便用户只能访问特定文件。

Windows 用户访问权限可扩展到应用程序和安全管理软件中。系统组中的成员资格可以控制每个用户的软件访问范围。系统管理员或 IT 小组必须建立访问失败标准，并且由 Windows 管理员负责设置这些安全功能，以确保只有授权的用户才能访问系统。如果测试文件中的顺序发生了更改，软件会通知用户签名无效，并且测试将不会运行。

• (g) “使用权限检查，以确保只有授权的用户才能使用系统、以电子方式签署记录、访问操作系统或计算机系统输入或输出设备、更改记录或执行现有的操作。”

系统管理员或 IT 小组必须建立访问失败标准，并且由 Windows 管理员负责设置这些安全功能，以确保只有授权的用户才能访问系统和系统上的文件。

• (h) “必要时，使用设备（如终端）检查，以酌情确定数据输入或操作指令的有效性。”

系统固件和软件应用程序模板文件决定了仪器输入或操作指令的有效性。该系统固件是一款符合 IQ 要求的仪器标准组件，只能由经培训和认证的 Thermo Scientific 服务代表进行更新。由系统管理员设置的用户访问策略来控制对软件应用程序模板文件的更改。管理员可以将软件应用程序模板文件保存在安全的 Windows 文件系统中，以防止未经授权的用户更改系统的操作参数。

• (i)“确定开发、维护或使用电子记录/电子签名系统的人员接受了执行其指定任务所需的教育和培训并具有相关经验。”

我们根据内部培训程序对系统开发人员进行培训，并维护培训记录。为每个开发人员保存一个培训矩阵以及个别的培训记录。赛默飞世尔科技通过了 ISO 9001 认证，并在开发所有产品时均遵循这些指南。

我们的服务代表必须接受培训才能维护和维修我们的仪器和软件。服务代表接受有关确认和安全软件的培训，且每两年必须重新认证一次。还为我们的服务代表保存了培训矩阵。

系统所有者负责确定开发、维护或使用电子记录/电子签名系统的人员接受了执行其指定任务所需的教育和培训并具有相关经验。

• (j) “制定并遵守书面策略，使个人对根据其电子签名发起的行动负责并承担责任，以防止伪造记录和签名。”

为防止伪造或欺诈，系统所有者必须制定书面策略，使个人对在其电子签名下发起的操作负责。

• (k1) 对系统文档采取适当的控制，包括：对系统操作和维护文档的分发、访问和使用进行充分的控制。”

软件随附了仪器和软件操作及维护相关文档。您可以使用文档中的信息创建标准操作规程 (SOP)。系统所有者负责控制系统文档。

• (k2) 对系统文档采取适当的控制，包括：修订和改变控制程序，以保持一个以时间顺序产生和修改的系统文件的审核跟踪”

我们的文档包含的版本信息可以纳入系统所有者的文档控制系统中。您可以通过在 Help（帮助）菜单中选择“About”（关于）来获取有关软件和固件版本号的信息。系统所有者必须为系统文档实施变更控制协议。

11.30 开放系统的控制

“使用开放系统创建、修改、保持或传输电子记录的人员应采用相应的程序和控制，旨在确保从创建时间点到接收时间点之间的电子记录的真实性、完整性和保密性（如适用时）。此类程序和控制应酌情包括11.10中确定的程序和控制以及其他措施，如文档加密和使用适当的数字签名标准，以根据情况需要确保记录的真实性、完整性和保密性。”

软件实施需要使用封闭系统，因为我们没有对数据文件采用数据加密。Windows 安全已嵌入到软件结构中，并通过 Windows 安全功能设置了安全性。结合 Windows 登录和密码与用户启动软件时所需的密码重新验证，提供了一种控制软件和仪器访问的方式。遵循本文中的指南，您可以实现符合 21 CFR Part 11 的要求，因其与封闭系统有关。

虽然未使用数据加密，但是系统管理员可以选择将数据存储在安全服务器上（建议），以便仅授权用户可以根据其权限访问数据。这些权限必须通过唯一的用户名和密码组合进行控制。

如果需要在开放系统中满足合规性要求，负责维护系统记录的人员必须采取适当措施，确保软件符合要求。

11.50 签名形式

• (a) “签署的电子记录应包括签署相关的信息，明确指明如下内容：
  • (1) 用印刷体书写出签名者的名字；
  • (2) 签名生效的的日期和时间；以及
  • (3) 与签名相关的含义（如评审、批准、职责或作者身份）。”

除了签名之外，软件生成的所有数字签名还包含法规指定的信息。

• (b) “在本节的 (a)(1)、(a)(2) 和 (a)(3) 段落中确定的项目也应执行与电子记录相同的控制，并应包含在任何人们易读的电子记录中（如电子显示或打印）。”

由于软件中实施的数字签名已嵌入电子记录，这些签名应执行与电子记录相同的控制。该签名包含在人们易读的印刷形式的电子记录中。

11.70 签名/记录关联

“在电子记录上执行的电子签名和手写签名应与各自的电子记录建立关联，以确保签名不能通过通常手段删除、复制或转移来伪造电子记录。”

数字签名存储在已签名的同一数据文件或报告中。由于签名与电子记录存储在相同的文件中，因此软件中生成的所有数字签名都将直接关联至电子记录。检查电子记录可发现无效的电子记录。

子部分 C：电子签名

11.100 电子签名通用要求

• (a) “每个电子签名对于每个人应是唯一的，不能够被其他任何人再次使用或分配。”

系统所有者分配 Windows 用户 ID 和密码的策略必须符合此要求，这可以通过为每个用户分配唯一的用户名来实现，而不是再次使用或重新分配任何用户名。如果用户名对所有有权访问系统的个人都是唯一的，则软件生成的数字签名将是唯一的。

• (b) “在组织建立、分配、认证或批准个人的电子签名或此签名的任何元素之前，组织应验证该个人的身份。”

系统所有者必须采取适当措施，确保所有可能参与将电子签名应用于记录的个人的身份。

• (c) “签名者使用电子签名前或使用时应向 FDA 证明，从1997年8月20日起及以后在他们系统上的电子签名，与传统的手写签名有同等的法律效力。”
  • (1) 证明应以纸质形式递交地方运营办公室 (HFC-100), 5600 Fishers Lane, Rockville, MD 20857，并签署传统的手写签名。
  • (2) 使用电子签名的人员根据机构要求，应提供额外的证明或证据以证明特定的电子签名与签署人的手写签名具有同等法律约束力。”

为了拥有电子签名，使用签名的组织必须通过向 FDA 递交一份信函和表格，使其具有法律约束力。

11.200 电子签名的组成和控制

• (a) “不依据生物测定学的电子签名应该：
  • (1) 采用至少两种独特的识别部分，如一个标识码和密码。
    • (i) 当个人在一个独立的持续受控的系统登录期间内签署了一系列的签名，签署的第一个签名将使用所有的电子签名成分。后续签署的签名应使用至少一种的电子签名组成部分。该组成部分只能由个人签署，并且设计只能由个人来使用。
    • (ii) 当个人不在一个独立的持续受控的系统登录期间内签署一个或多个签名时，每个签名都应使用所有的电子签名组成部分。
  • (2) 仅供其真正的所有者使用；以及
  • (3) 通过适当的管理和执行，以确保真正所有者之外的任何其他人尝试使用个人的电子签名时，需要两个或多个人的协助。”

软件使用的数字签名基于用户的登录 ID 和 Windows 密码。Windows 软件用于在软件中生成数字签名，并且只要满足 11.100 (a) 中的要求，签名组成部分的组合对每个用户都是唯一的。软件中的所有签名都需要输入使用系统时登录到 Windows 会话的人员的密码。系统所有者和管理人员必须执行一项符合 (2) 和 (3) 所述要求的电子签名使用协议。

• (b) “依据生物测定学的电子签名应被设计成能确保他们不能被真正所有者之外的其他人使用。”

此要求不适用于我们的软件，因为我们使用基于用户名和密码组合而不是生物识别的数字签名。

11.300 识别代码/密码的管理

“使用基于识别代码和密码组合的电子签名的人员应采取适当的控制，以确保其安全性和完整性。此类控制应包括：

• (a) “维持每个识别代码和密码组合的唯一性，这样就不会有两个人拥有相同的识别代码和密码组合。”

系统管理员或 IT 小组必须确保每个人的 ID 代码和密码组合是唯一的。这可以通过向每位用户颁发唯一的登录标识来轻松实现。

• (b) “确保定期检查、召回或修改识别代码和密码的发放（例如包括如密码老化这样的事件）”。
• (c) “遵守遗失管理程序，为丢失、被盗、找不到或受到潜在影响的记号、卡片和其他拥有和生成标识码和密码信息的设备以电子方式取消授权，并根据适当和严格的控制发放临时或永久的替代物。”
• (d) “使用交易安全保障措施防止未经授权使用密码和/或识别代码，即时探测未经授权使用系统安全单元的任何尝试，并紧急报告给组织管理层。”

Windows 安全功能简化了定期检查、召回和修改登录和密码的过程。在 Windows 操作系统中也提供了防止未经授权访问系统的交易安全保障措施。

限制登录尝试失败次数和为老旧程序创建密码是限制和记录登录尝试失败次数的常见安全保障措施。有关激活系统安全保障措施的详细信息，请查阅 Windows 文档。系统管理员必须建立一项检查 ID 代码和密码以及遗失管理的程序。

• (e) “对设备进行初始和定期测试，如对拥有和生成识别代码和密码信息的记号或卡片的测试，以确保这些设备功能正常，并且不会以未经授权的方式更改。”

由于我们的软件不使用卡片或记号来生成识别代码，因此不适用此要求。

总结

本文档根据赛默飞世尔科技对法规的解释并咨询该领域的专家编制而成。根据符合 FDA 要求的流程，带有数字签名选项的软件可以配合客户制定的适当程序和控制一起使用。

关于 21 CFR Part 11 的更多信息

有关 21 CFR Part 11 要求的更多信息，请访问 www.fda.gov。

我们致力于与客户合作，尽可能满足他们的监管需求。如欲获得更多信息，请联系：www.thermofisher.com

您的 Thermo Scientific™ Nicolet™ Summit FTIR 光谱仪随附可用于验证其操作的标准测试和测试样本。我们将这一过程称为“仪器确认”，无论是正式或非正式地进行，它通常都是仪器安装时的一项重要要求。

仪器确认可证明光谱仪“适用”、得到了妥善维护和校准，可达到国家或国际标准以及公布的测试限值。最终可确保您使用光谱仪采集的所有数据的完整性。

如果您购买了“经确认的”安装，我们将在工厂进行初始确认，并将打印的确认测试结果与光谱仪一起发运。经认证的服务人员将光谱仪安装在客户指定的位置，重新运行工厂确认测试并对安装进行认证。服务人员提供一份签名的安装步骤日志、测试标准认证证书、测试结果确认和其他文档。如果您购买了“重新认证”，服务人员会定期返回以重复进行确认，并对仪器进行重新认证。

OMNIC Paradigm 软件包括除了您最有可能认可的标准行业范围的资格测试（例如欧洲药典、日本药典等）外，还包括工厂确认测试。仪器内随附任何必需的确认参考标准品，并由 OMNIC Paradigm 软件进行控制。

无论您购买的是正式确认还是重新认证，您都可自行轻松运行确认测试。我们建议您将测试结果存放在一个常用位置，以便在一段时间后验证和追踪仪器性能。也可在 OMNIC Paradigm 软件上随时查看确认测试结果。

何时进行确认

安装光谱仪后，我们建议您选择并运行 OMNIC Paradigm 软件提供的标准确认测试，然后按需定期重复该测试，以验证光谱仪的运行。在下列情况下，您应立即重复确认：

• 如果您将光谱仪移动到新位置
• 如果您更换了光源
• 如果您更改了光谱仪中安装的样本室窗口的类型（例如从溴化钾 (KBr) 更改为硒化锌 (ZnSe) 或相反）
• 如果您更新了光谱仪的固件

有哪些测试可供选择？

OMNIC Paradigm 软件包括以下性能和确认测试。所有这些测试均基于国际公认的 FTIR 光谱仪性能测试方法。

表1.OMNIC Paradigm 软件随附的性能和确认测试

表1.OMNIC Paradigm 软件随附的性能和确认测试

表 2.Nicolet 系列 FTIR 光谱仪使用的确认标准品

^a 美国国家标准和技术研究所

如何运行测试

使用随光谱仪提供的 OMNIC Paradigm 软件运行性能和确认测试。运行其中一项测试前，请确保光谱仪已通电至少1小时。

如欲进行性能或确认测试

1. 打开 OMNIC Paradigm 软件。
2. 在 OMNIC Paradigm 主窗口中，双击该软件提供的性能或确认工作流程。

所提供的性能和确认工作流程如下所示。您可能需要滚动浏览列表才能找到它们。

工作流程将在 Play Workflow（播放工作流程）窗口中打开。

单击箭头按钮继续，然后按照屏幕上的指示完成工作流程。

工作流程完成后，结果将显示在标准报告中。示例如下：

报告以及采集的光谱将自动保存在 OMNIC Paradigm 数据库中。如果需要打印报告，请使用 Print（打印）按钮。
如果报告中的一项或多项测试显示结果为“Fail”（失败），请参阅我们网站上的故障排除信息，或与当地技术支持代表联系，以获得解决问题的帮助。一旦问题得到解决，请重新运行确认测试。

关于测试结果

性能和确认测试结果包括测试类型、操作员名称、日期、光谱仪的序列号和使用的任何采样附件，以及各项测试的描述、其上限和下限、测量结果以及结果是否在规定限值内（“是”表示通过测试，“否”表示测试失败）。

报告将与采集的光谱一起自动保存。我们建议您保存每份测试报告，并将其与该光谱仪之前的任何运行报告一起存储在大家都知道的位置。

采用以下信息标记确认测试光谱：

表3.用于 OQ 光谱的搜索标记

要查找并打开单个光谱，请使用中间窗格中的日期选择框来查找光谱，或者在 Search（搜索）框中输入上表中的一个标记。双击列表中的光谱将其打开。

为了确保数据安全性和完整性，并帮助您的实验室符合 21 CFR Part 11或其他法规的要求，请搭配使用 OMNIC™ Paradigm 软件和 Thermo Scientific 安全套件软件。

安全套件是一个全面的数据安全工具集，可让您执行以下任务：

• 限制和控制访问 OMNIC Paradigm 软件以及其他仪器应用程序中的功能和工具。
• 设置和管理安全策略以确保正确的数据处理。
• 自定义和实施数字签名以确定责任。
• 记录并查看安全事件。

您可以购买安全套件软件以用于管理单个系统或管理网络上分布的多台仪器。安装后，只需很短的时间即可配置 OMNIC Paradigm 应用程序的安全功能。

有关安全套件软件如何帮助您符合 21 CFR Part 11 要求的讨论，请参见 21 CFR Part 11 合规性。