21 CFR Μέρος 11

Αυτός ο όρος του γλωσσαρίου αποτελεί μέρος του SG Systems Global βιβλιοθήκη οδηγών κανονισμών και λειτουργίας.

Ενημερώθηκε τον Ιανουάριο του 2026 • 21 CFR Μέρος 11, ηλεκτρονικά αρχεία, ηλεκτρονικές υπογραφές, ετοιμότητα Μέρους 11, διαδρομές ελέγχου, ALCOA+, μοναδικά αναγνωριστικά χρήστη, έλεγχος πρόσβασης, διαχωρισμός καθηκόντων, σημασία υπογραφής, διατήρηση αρχείων, αποδεικτικά στοιχεία επικύρωσης, πρόληψη παράκαμψης ενσωμάτωσης • Βιομηχανίες που ρυθμίζονται από τον FDA (Φαρμακευτικές, Βιοτεχνολογικές, Ιατρικές Συσκευές, Τρόφιμα, Συμπληρώματα Διατροφής, Καλλυντικά, Κλινικές)

21 CFR Μέρος 11 είναι ο κανονισμός του FDA που ορίζει πότε ηλεκτρονικά αρχεία ηλεκτρονικές υπογραφές είναι αποδεκτά αντί των έντυπων αρχείων και των χειρόγραφων υπογραφών για τα αρχεία που απαιτούνται από τους «κανόνες προκαταρκτικών κανόνων» του FDA. Το Μέρος 11 δεν είναι μια ετικέτα επωνυμίας που τοποθετείτε σε ένα σύστημα. Είναι ένα μοντέλο ελέγχου: τα στοιχεία ταυτότητας, εξουσίας, ελεγξιμότητας, διατήρησης και επικύρωσης πρέπει να είναι αρκετά ισχυρά ώστε το ηλεκτρονικό αρχείο να μπορεί να αντέξει σε έλεγχο χωρίς ανακατασκευή ή «επιδιόρθωση ιστορίας».

Στη σύγχρονη κατασκευή, η συμμόρφωση με το Μέρος 11 είναι άρρηκτα συνδεδεμένη με την ακεραιότητα της εκτέλεσης. Εάν ΜΕΣ επιτρέπει κοινές συνδέσεις, επιτρέπει ανεξέλεγκτες παρακάμψεις ή επιτρέπει την επεξεργασία αρχείων χωρίς ασφαλές ίχνος ελέγχου, δεν έχετε ηλεκτρονικά αρχεία που μπορείτε να εμπιστευτείτε—έχετε ταχύτερη γραφειοκρατία. Το Μέρος 11 υπάρχει επειδή οι τρόποι αποτυχίας είναι προβλέψιμοι: κενά απόδοσης, σιωπηλές επεξεργασίες, ασαφείς εγκρίσεις και αρχεία που δεν μπορούν να ανακτηθούν αξιόπιστα χρόνια αργότερα.

Το Μέρος 11 επιβάλλει επίσης σαφήνεια σχετικά με το τι σημαίνει «εντός πεδίου εφαρμογής». Κανόνες κατηγορήματος (π.χ., 21 CFR Μέρος 211, 21 CFR Μέρος 820, 21 CFR Μέρος 111) σας ενημερώνουν για το ποια αρχεία απαιτούνται και διατηρούνται. Το Μέρος 11 σας ενημερώνει για το πώς πρέπει να συμπεριφέρεται η ηλεκτρονική έκδοση. Γι' αυτό το Μέρος 11 συνδέεται στενά με Κανόνας κατηγορήματος, Ακεραιότητα δεδομένων, ALCOA / ALCOA+και Διαδρομή Ελέγχου (GxP).

Από λειτουργικής άποψης, η συμμόρφωση με το Μέρος 11 εξαρτάται από έννοιες ελέγχου επιπέδου εκτέλεσης, όπως Έλεγχος εκτέλεσης βάσει διαπιστευτηρίων, Διαχωρισμός Καθηκόντων στο MES, Λειτουργίες Παραγωγής Διπλού Ελέγχουκαι Πίνακας Εξουσιοδότησης ΧειριστήΑυτά δεν είναι χαρακτηριστικά που είναι «καλό να τα έχεις». Είναι ο τρόπος με τον οποίο αποτρέπετε την εύκολη απάτη και την τυχαία κακή χρήση σε πραγματικά φυτά.

«Το Μέρος 11 δεν αφορά την έλλειψη χαρτιού. Αφορά την αδυναμία να ξαναγραφτεί ήσυχα η ιστορία.»

1) Τι είναι στην πραγματικότητα το Μέρος 11 (και γιατί υπάρχει)

Το Μέρος 11 υπάρχει επειδή τα ηλεκτρονικά συστήματα μπορούν να δημιουργήσουν όμορφα αρχεία που είναι επικίνδυνα εύκολο να χειραγωγηθούν εάν οι έλεγχοι είναι αδύναμοι. Το χαρτί έχει τριβές: είναι δύσκολο να αλλάξει χωρίς ορατά στοιχεία. Τα ηλεκτρονικά αρχεία εξαλείφουν αυτές τις τριβές, κάτι που είναι εξαιρετικό για την ταχύτητα αλλά τρομερό για την ακεραιότητα, εκτός αν αντικαταστήσετε την «τριβή παραβίασης» του χαρτιού με ψηφιακούς ελέγχους: μοναδική ταυτότητα, όρια εξουσίας, ίχνη ελέγχου και επικυρωμένη συμπεριφορά.

Επομένως, το Μέρος 11 γίνεται καλύτερα κατανοητό ως μια ελάχιστη αρχιτεκτονική ακεραιότητας για ηλεκτρονικά αποδεικτικά στοιχεία. Αναμένει από εσάς να ελέγχετε ποιος έκανε τι, πότε το έκανε, τι άλλαξε και εάν το αρχείο προστατεύεται από επεξεργασίες ευκολίας. Αναμένει επίσης από εσάς να αποδείξετε ότι το σύστημα λειτουργεί με συνέπεια όπως προβλέπεται. Γι' αυτό το Μέρος 11 είναι άρρηκτα συνδεδεμένο με Επικύρωση Συστήματος Υπολογιστή (CSV) και δομημένη διακυβέρνηση ποιότητας.

Σε περιβάλλοντα με μεγάλο όγκο εκτέλεσης, το Μέρος 11 καθίσταται λειτουργικό όταν το «σύστημα καταγραφής» είναι το σύστημα που εκτελεί την εργασία και όχι ένα υπολογιστικό φύλλο ή μια σύνοψη στο τέλος της βάρδιας. Αυτή ακριβώς είναι η στάση πίσω από αυτό. Ακεραιότητα Εκτέλεσης Παραγωγής Επιβολή Συμμόρφωσης κατά τη Διαδικασία: συλλέγουν αποδεικτικά στοιχεία κατά την εκτέλεση και καθιστούν δύσκολες ή αδύνατες τις άκυρες ενέργειες.

2) Τι δεν είναι το Μέρος 11: οι μύθοι που δημιουργούν τα ευρήματα του ελέγχου

3) Πεδίο εφαρμογής: κανόνες κατηγορήματος, «απαιτούμενες εγγραφές» και τι ενεργοποιεί το Μέρος 11

Το Μέρος 11 ισχύει όταν δημιουργείτε, τροποποιείτε, διατηρείτε, αρχειοθετείτε, ανακτάτε ή μεταδίδετε ηλεκτρονικά αρχεία που απαιτούνται από τους κανόνες προκαταρκτικών στοιχείων του FDA. Οι κανόνες προκαταρκτικών στοιχείων είναι οι πραγματικοί κανονισμοί «πρέπει να διατηρείτε αυτό το αρχείο». Το Μέρος 11 είναι η επικάλυψη «αν είναι ηλεκτρονικό, πρέπει να είναι αξιόπιστο». Ξεκινήστε το πεδίο εφαρμογής με Κανόνας κατηγορήματος χαρτογράφηση, όχι με απογραφή λογισμικού.

Μια πρακτική μέθοδος προσδιορισμού του πεδίου εφαρμογής: προσδιορίστε τα αρχεία που καθοδηγούν τις αποφάσεις για την ποιότητα, την κυκλοφορία, την επισήμανση, την ασφάλεια ή τις κανονιστικές αποφάσεις· χαρτογραφήστε πού δημιουργούνται και εγκρίνονται αυτά τα αρχεία· στη συνέχεια, χαρτογραφήστε τα συστήματα (και τα «σκιώδη συστήματα») που τα αφορούν. Εάν ένα υπολογιστικό φύλλο αλλάξει μια απόφαση κυκλοφορίας, εμπίπτει λειτουργικά στο πεδίο εφαρμογής ως ηλεκτρονική διαδικασία εγγραφής, είτε το ονομάζετε σύστημα είτε όχι.

Το πεδίο εφαρμογής του Μέρους 11 εξελίσσεται επίσης. Νέες ενσωματώσεις, νέες τοποθεσίες, νέες ροές εργασίας και μετεγκαταστάσεις συστημάτων αλλάζουν τα όρια ελέγχου. Γι' αυτό Έλεγχος αλλαγής Έλεγχος Εγγράφων πρέπει να αντιμετωπίζει τη διαμόρφωση και τη ροή εργασίας ως μέρος του επικυρωμένου συστήματος.

4) Ηλεκτρονικά αρχεία: τι πρέπει να ελέγχεται (και συνηθισμένα παραδείγματα)

Τα ηλεκτρονικά αρχεία που είναι ευθυγραμμισμένα με το Μέρος 11 πρέπει να είναι αξιόπιστα και αξιόπιστα. Αυτό απαιτεί τον έλεγχο της δημιουργίας, της τροποποίησης, της αναθεώρησης, της έγκρισης και της ανάκτησης αρχείων. Ο όρος «εγγραφή» είναι ευρύτερος από ένα PDF. Περιλαμβάνει τα δομημένα δεδομένα και το πλαίσιο που τους δίνει νόημα: ποιος εκτέλεσε την ενέργεια, το πλαίσιο εξοπλισμού/γραμμής, την ισχύουσα έκδοση των οδηγιών και την διαδρομή ελέγχου των αλλαγών.

Στην εκτέλεση της παραγωγής, η ακεραιότητα των αρχείων εξαρτάται από τα συστήματα εκτέλεσης που καταγράφουν την πραγματικότητα σε πραγματικό χρόνο—ειδικά υπό πίεση. Αυτός είναι ο λόγος για τον οποίο έννοιες εκτέλεσης όπως Εκτέλεση σε πραγματικό χρόνο στο χώρο του καταστήματος Εκτέλεση Παραγωγής με γνώμονα τα γεγονότα θέμα: μειώνετε την εξάρτηση από μεταγενέστερη μεταγραφή και μειώνετε την ευκαιρία να «βελτιώσετε την ιστορία» εκ των υστέρων.

Παραδείγματα κατηγοριών αρχείων που αμφισβητούνται συχνά στις επιθεωρήσεις περιλαμβάνουν:

• Αρχεία εκτέλεσης: ολοκλήρωση βημάτων, εγκρίσεις χειριστών, εκχωρήσεις εξοπλισμού, επιβεβαιώσεις παραμέτρων και χειρισμός εξαιρέσεων σε ΜΕΣ.
• Αποφάσεις ποιότητας: αποκλίσεις, έρευνες, διατάξεις, αποφάσεις CAPA (συχνά στο QMS).
• Κύρια δεδομένα και οδηγίες: συνταγές, προδιαγραφές, πρωτότυπα ετικετών, ελεγχόμενα έγγραφα που διέπονται από Έλεγχος αναθεώρησης Έλεγχος κύριων δεδομένων.
• Αποδεικτικά στοιχεία έγκρισης: ηλεκτρονικές εγκρίσεις, έλεγχος υπογραφών και εξουσιοδότηση έκδοσης.
• Εξαγωγές δεδομένων: Οι αναφορές που χρησιμοποιούνται ως αποδεικτικά στοιχεία πρέπει να είναι αναπαραγώγιμες, συνεπείς και ανιχνεύσιμες σε αρχεία πηγών.

5) Ηλεκτρονικές υπογραφές: σημασία, εκδηλώσεις και σύνδεση

Οι ηλεκτρονικές υπογραφές του Μέρους 11 δεν είναι «ένα κλικ». Είναι μια ελεγχόμενη βεβαίωση που πρέπει να αποδίδεται σε ένα μοναδικό άτομο και πρέπει να έχει νόημα: αναθεώρηση, έγκριση, συγγραφή ή ευθύνη. Εάν το περιβάλλον χρήστη σας έχει ένα γενικό κουμπί «Υπογραφή» που χρησιμοποιείται για τα πάντα, δημιουργείτε ασάφεια υπογραφής—κάτι που ακριβώς καθιστά τις υπογραφές λιγότερο υπερασπίσιμες.

Οι προσδοκίες για υπογραφές περιλαμβάνουν επίσης τη δέσμευση: η υπογραφή πρέπει να συνδέεται με το συγκεκριμένο αρχείο έτσι ώστε να μην μπορεί να αφαιρεθεί, να αντιγραφεί ή να μεταφερθεί για την παραποίηση άλλων αρχείων. Γι' αυτό οι υπογραφές πρέπει να συνδέονται με ίχνη ελέγχου και με ένα μοντέλο αρχείων που διατηρεί τη σύνδεση μέσω εξαγωγής και διατήρησης.

Εάν θέλετε πρακτική καθοδήγηση εφαρμογής, συνδυάστε τις απαιτήσεις του κανονισμού με πρακτικές ετοιμότητας στο Μέρος 11 Ετοιμότητα και τα πρότυπα υλοποίησης σε Ηλεκτρονικές Υπογραφές (Μέρος 11).

6) Κλειστά έναντι ανοιχτών συστημάτων: οριακός κίνδυνος χωρίς χειροκίνητη κίνηση

Το Μέρος 11 διακρίνει τα «κλειστά συστήματα» (όπου ο οργανισμός ελέγχει την πρόσβαση και τη λειτουργία) από τα «ανοιχτά συστήματα» (όπου το περιβάλλον εγγραφής ή η διαδρομή μετάδοσης δεν ελέγχεται πλήρως). Στις σύγχρονες αρχιτεκτονικές, τα περισσότερα περιβάλλοντα είναι μικτά: η εσωτερική εκτέλεση μπορεί να είναι κλειστή, ενώ η φιλοξενία cloud, η πρόσβαση προμηθευτών και οι εξωτερικές πύλες εισάγουν χαρακτηριστικά ανοιχτού συστήματος.

Αντί να αμφισβητείτε τις ετικέτες, αντιμετωπίστε το ως ανάλυση ορίων: πού θα μπορούσε το αρχείο να υποκλαπεί, να τροποποιηθεί, να δρομολογηθεί λανθασμένα ή να αποδοθεί λανθασμένα; ​​Αυτά είναι τα σημεία όπου πρέπει να αυξήσετε τις διασφαλίσεις και τα αποδεικτικά στοιχεία. Εάν τα όρια του συστήματος είναι ασαφή, οι επιθεωρητές θα πιέσουν μέχρι να γίνουν σαφή - και συνήθως θα βρουν την αδύναμη ραφή.

7) Ταυτότητα, πρόσβαση και εξουσία: UAM, RBAC και SoD

Το Μέρος 11 απαιτεί απόδοση. Η απόδοση απαιτεί μοναδικούς χρήστες. Οι μοναδικοί χρήστες απαιτούν πραγματική διακυβέρνηση πρόσβασης, όχι άτυπη κοινή χρήση σημάτων. Η βασική στοίβα ελέγχου περιλαμβάνει:

• Μοναδικά διαπιστευτήρια διέπεται από Διαχείριση Πρόσβασης Χρηστών (UAM) και παρέχεται μέσω Παροχή πρόσβασης.
• Ελάχιστη προνομιακή εξουσία υλοποιήθηκε με Πρόσβαση βάσει ρόλου και επαληθεύεται με περιοδική αναθεώρηση.
• Επιβολή πιστοποιητικών εκτέλεσης ευθυγραμμισμένο με Έλεγχος εκτέλεσης βάσει διαπιστευτηρίων.
• Διαχωρισμός καθηκόντων επιβάλλεται εκ σχεδιασμού (όχι μόνο βάσει πολιτικής) ανά Διαχωρισμός Καθηκόντων στο MES.

Σε πολλές μονάδες, το κενό ακεραιότητας με τον υψηλότερο κίνδυνο είναι οι υπερβολικά προνομιούχοι ρόλοι (όλοι μπορούν να παρακάμψουν) και η πρόσβαση "σπασίματος γυαλιού" που χρησιμοποιείται ως κανονική λειτουργία. Εάν οι επόπτες εγκρίνουν τη δική τους εργασία ή οι χειριστές μπορούν να επεξεργαστούν τα κύρια δεδομένα, η αμυνσιμότητα του Μέρους 11 καθίσταται γρήγορα εύθραυστη.

Τα περιβάλλοντα εκτέλεσης επωφελούνται από σαφή μοντέλα εξουσιοδότησης, όπως ένα Πίνακας Εξουσιοδότησης Χειριστή και περιορισμένη συμπεριφορά χρόνου εκτέλεσης μέσω Εκτέλεση με περιορισμούς ρόλουΓια ενέργειες υψηλού κινδύνου, μια στάση διπλού ελέγχου (έλεγχος από δύο άτομα) ενισχύει την ακεραιότητα όταν εφαρμόζεται σωστά (βλ. Λειτουργίες Παραγωγής Διπλού Ελέγχου).

8) Διαδρομές ελέγχου: σχεδιασμός, προστασία και πειθαρχία αναθεώρησης

Τα ίχνη ελέγχου είναι το σημείο όπου το Μέρος 11 παύει να είναι πολιτική και γίνεται επιθεωρήσιμη συμπεριφορά συστήματος. Ένα Μέρος 11-ευθυγραμμισμένο Διαδρομή Ελέγχου (GxP) πρέπει να είναι ασφαλές, με χρονική σήμανση και να δημιουργείται από υπολογιστή, καταγράφοντας τη δημιουργία, την τροποποίηση, τις εγκρίσεις/υπογραφές και (όπου επιτρέπονται) τις διαγραφές. Πρέπει επίσης να προστατεύεται από αλλοίωση από κανονικούς χρήστες και να διατηρείται για την περίοδο διατήρησης του αρχείου.

Ο σχεδιασμός έχει σημασία. Ένα αρχείο καταγραφής που αναφέρει «αλλαγή πεδίου» χωρίς να δείχνει τις τιμές πριν/μετά αποτελεί αδύναμη απόδειξη. Ένα αρχείο καταγραφής που καταγράφει ποιος άλλαξε τι, από ποια τιμή σε ποια τιμή, πότε και γιατί (λόγος αλλαγής) αποτελεί απόδειξη βαθμού ελέγχου. Το «γιατί» δεν είναι η γραφειοκρατία. είναι ο τρόπος με τον οποίο διακρίνετε την ελεγχόμενη διόρθωση από τη χειραγώγηση.

Η αναθεώρηση έχει επίσης σημασία. Πολλοί οργανισμοί εφαρμόζουν ελεγκτικές διαδρομές και δεν τις αναθεωρούν ποτέ. Αυτό είναι το θέατρο ελέγχου. Τα προγράμματα Mature Part 11 καθιερώνουν πρακτικές αναθεώρησης ελεγκτικών διαδρομών βάσει κινδύνου και μπορούν να τις επιδείξουν υπό πίεση. Τα πρακτικά πρότυπα εφαρμογής καλύπτονται στο Λογισμικό ιχνηλασιμότητας ελέγχου και κόμβοι διακυβέρνησης ακεραιότητας όπως Ακεραιότητα Δεδομένων, Μέρος 11, Παράρτημα 11 & Διαδρομές Ελέγχου.

9) Ακεραιότητα κύκλου ζωής εγγραφής: διορθώσεις, έλεγχος αναθεωρήσεων και κύρια δεδομένα

Οι περισσότερες αποτυχίες του Μέρους 11 δεν αφορούν την αρχική καταχώρηση. Αφορούν το τι συμβαίνει μετά: διορθώσεις, παρακάμψεις και αλλαγές στους «κανόνες του παιχνιδιού». Ένα συμβατό σύστημα πρέπει να υποστηρίζει ελεγχόμενες διορθώσεις χωρίς να καταστρέφει την αρχική αλήθεια. Αυτό σημαίνει: η αρχική καταχώρηση παραμένει ορατή, η διόρθωση είναι αποδοτέα και χρονικά σφραγισμένη, και ο λόγος της αλλαγής καταγράφεται όπου απαιτείται.

Η συμπεριφορά διόρθωσης πρέπει να ευθυγραμμίζεται με την πειθαρχία τεκμηρίωσης. Εάν η διαδικασία διόρθωσης που ακολουθείτε είναι «επεξεργασία του πεδίου μέχρι να φαίνεται σωστό», έχετε δημιουργήσει τον ακριβή κίνδυνο ακεραιότητας που αποσκοπεί στην αποτροπή του Μέρους 11. Η πειθαρχία της λειτουργικής διόρθωσης ενισχύεται από Καλές Πρακτικές Τεκμηρίωσης και πρακτικό χειρισμό διόρθωσης μέσω Διορθώσεις Εγγραφών Παρτίδας.

Η ακεραιότητα των εγγραφών εξαρτάται επίσης από τον έλεγχο των ορισμών που βρίσκονται σε προηγούμενο στάδιο: προδιαγραφές, συνταγές, οδηγίες και κύρια αρχεία ετικετών. Γι' αυτό το λόγο Έλεγχος αναθεώρησης, Έλεγχος κύριων δεδομένωνκαι ελεγχόμενο Έλεγχος Εγγράφων αποτελούν μέρος της πραγματικότητας του Μέρους 11, όχι «ξεχωριστά θέματα ποιότητας». Εάν μπορείτε να αλλάξετε την προδιαγραφή χωρίς διακυβέρνηση, η σημασία της εγγραφής μπορεί να τροποποιηθεί αναδρομικά.

10) Αποδεικτικά στοιχεία επικύρωσης: CSV, δοκιμές βάσει κινδύνου και «δοκιμές απόδειξης»

Το Μέρος 11 αναμένει στοιχεία που να αποδεικνύουν ότι το σύστημα λειτουργεί όπως προβλέπεται και με συνέπεια. Αυτό ονομάζεται επικύρωση. Σε ρυθμιζόμενα περιβάλλοντα, αυτό συνήθως διαχειρίζεται μέσω CSV προσεγγίσεις που ευθυγραμμίζονται με πλαίσια όπως GAMP 5Το κλειδί είναι ο κίνδυνος: επικυρώστε τι έχει μεγαλύτερη σημασία για την ποιότητα του προϊόντος, την ασφάλεια των ασθενών/καταναλωτών και την ακεραιότητα των δεδομένων.

Η επικύρωση που ελέγχει μόνο τις ροές εργασίας happy-path είναι αδύναμη. Οι πραγματικές αποτυχίες ακεραιότητας συμβαίνουν υπό συνθήκες στρες: εξαιρέσεις, παρακάμψεις, διορθώσεις, κακή χρήση ρόλων και προσπάθειες παράκαμψης ενσωμάτωσης. Αυτός είναι ο λόγος για τον οποίο τα προγράμματα ετοιμότητας θα πρέπει να εκτελούν «δοκιμές απόδειξης» που καταδεικνύουν συμπεριφορά άρνησης, πληρότητα της διαδρομής ελέγχου και σύνδεση υπογραφών. Ένα πρακτικό εγχειρίδιο καλύπτεται στο Επικύρωση συστήματος και συχνά αξιολογείται σε Μέρος 11 Ετοιμότητα.

11) Χρόνος, χρονικές σημάνσεις και απόδοση: κάνοντας το «πότε» υπερασπίσιμο

Τα αρχεία του Μέρους 11 πρέπει να φέρουν χρονική σήμανση με δικαιολογημένο τρόπο. Το «πότε» δεν είναι μια αισθητική λεπτομέρεια. Είναι αποδεικτικό στοιχείο. Εάν τα ρολόγια του συστήματος αποκλίνουν, οι ζώνες ώρας είναι ασυνεπείς ή οι χρήστες μπορούν να χειραγωγήσουν τις χρονικές σημάνσεις, η διαδρομή ελέγχου σας καθίσταται αμφισβητήσιμη. Στις έρευνες, η ακολουθία έχει σημασία: τι συνέβη πρώτα, τι συνέβη μετά και για πόσο καιρό παρέμεινε μια συνθήκη.

Ένα εύχρηστο μοντέλο χρόνου συνήθως περιλαμβάνει κεντρικό συγχρονισμό ώρας, συνεπή χειρισμό ζώνης ώρας και ίχνη ελέγχου που καταγράφουν χρονικές σημάνσεις συμβάντων σε ένα συνεπές σύστημα ώρας. Εάν εκτελείτε λειτουργίες σε πολλαπλές τοποθεσίες, η ακεραιότητα του χρόνου καθίσταται ακόμη πιο κρίσιμη, επειδή οι άνθρωποι θα συγκρίνουν συμβάντα σε διάφορα συστήματα και τοποθεσίες.

Πείτε το όπως είναι: αν δεν μπορείτε να απαντήσετε με αξιοπιστία στο ερώτημα «ποιος έκανε τι πότε», τότε δεν μπορείτε να υπερασπιστείτε με αξιοπιστία το αρχείο. Το σύστημα μπορεί να συνεχίσει να εκτελεί την παραγωγή, αλλά δεν θα σταθεί ως απόδειξη συμμόρφωσης όταν η πίεση ασκηθεί.

12) Διατήρηση και ανάκτηση: ανθεκτικά αρχεία σε πολυετή ορίζοντα

Η διατήρηση είναι το σημείο όπου τα έργα «χωρίς χαρτί» καταλήγουν να πεθαίνουν. Το πρώτο έτος φαίνεται υπέροχο. Το πέμπτο έτος, δεν μπορείτε να ανακτήσετε αρχεία, οι εξαγωγές δεν περιλαμβάνουν ίχνη ελέγχου ή η μετεγκατάσταση συστήματος διέκοψε τη σύνδεση υπογραφής. Το Μέρος 11 απαιτεί τα αρχεία να παραμένουν διαθέσιμα, αναγνώσιμα και ανακτήσιμα για ολόκληρη την περίοδο διατήρησης που απαιτείται από τον κανόνα κατηγόρημα.

Τα ισχυρά προγράμματα διατήρησης δεν περιορίζονται απλώς στην αποθήκευση. Περιλαμβάνουν επαληθευμένη δημιουργία αντιγράφων ασφαλείας/επαναφορά, δοκιμασμένες διαδικασίες ανάκτησης, τεκμηριωμένες περιόδους διατήρησης και ελεγχόμενες μετεγκαταστάσεις που διατηρούν το νόημα των αρχείων. Αυτή η στάση υποστηρίζεται από Διατήρηση Αρχείων – Ακεραιότητα Δεδομένων & Αρχειοθέτηση και τέθηκε σε λειτουργία μέσω Πολιτική Διατήρησης Αρχείων.

Ένα πρακτικό πρότυπο: θα πρέπει να μπορείτε να ανακτήσετε γρήγορα ένα αρχείο, να εμφανίσετε τις εκδηλώσεις υπογραφής και να εμφανίσετε τις σχετικές καταχωρήσεις της διαδρομής ελέγχου χωρίς να χρειάζεστε έναν «ιστορικό συστήματος» που θυμάται τις παλαιότερες διαμορφώσεις. Εάν η ανάκτηση απαιτεί γνώση φυλών, δεν αποτελεί έλεγχο - είναι μια ευπάθεια.

13) Ενσωματώσεις: διακοπή των διαδρομών παράκαμψης και των διαιρεμένων αληθειών

Οι σύγχρονες στοίβες ενσωματώνονται ERP, WMS, MES, QMS, LIMS, συσκευές και συστήματα αναφοράς. Οι ενσωματώσεις δημιουργούν τον μεγαλύτερο κίνδυνο του Μέρους 11: παράκαμψη διαδρομών. Εάν ένα εξωτερικό σύστημα μπορεί να τροποποιήσει την αλήθεια της εγγραφής χωρίς να περάσει από τους ίδιους κανόνες και τη λογική της διαδρομής ελέγχου, το μοντέλο ελέγχου σας καταρρέει.

Παραδείγματα αποτυχιών ακεραιότητας που οφείλονται στην ενσωμάτωση:

• Εισαγωγές ή API που ενημερώνουν τα αποτελέσματα χωρίς να δημιουργούν ισοδύναμες καταχωρίσεις ιχνηλασιμότητας ελέγχου.
• Συναλλαγές ERP που «διορθώνουν» την κατανάλωση παραγωγής εκ των υστέρων χωρίς ελεγχόμενη διορθωτική συμπεριφορά.
• Εξωτερικές διαδρομές εκτύπωσης ετικετών που μπορούν να εκτυπώσουν αντικατασταθείσες αναθεωρήσεις εκτός ελεγχόμενων εγκρίσεων.

Η αρχιτεκτονική που είναι ευθυγραμμισμένη με το Μέρος 11 απαιτεί ένα ενιαίο σύνολο κανόνων με έγκυρη ισχύ και ισοδύναμη εφαρμογή ανεξάρτητα από τη διαδρομή εισόδου (UI, API, εισαγωγή). Τα πρότυπα ενσωμάτωσης και η διακυβέρνηση αντιμετωπίζονται συνήθως στο Ενσωμάτωση ERP και ευρύτερη αρχιτεκτονική καθοδήγηση όπως Κόμβος Αρχιτεκτονικής MES, WMS, QMS, ERP.

14) Διαδικασίες που καθιστούν το Μέρος 11 πραγματικότητα: ΑΕΠ, εκπαίδευση, περιοδική αναθεώρηση

Το Μέρος 11 δεν είναι ποτέ μόνο τεχνικό. Χρειάζεστε διαδικαστική διακυβέρνηση που να αποτρέπει την υποβάθμιση των ελέγχων: κύκλος ζωής πρόσβασης, εκπαίδευση, πρακτικές αναθεώρησης, ελεγχόμενες διορθώσεις και έλεγχος αλλαγών. Εάν δεν έχετε SOP που να ταιριάζουν με την πραγματική συμπεριφορά, το σύστημα θα περιέλθει σε «ό,τι κάνει τη δουλειά», κάτι που ακριβώς κάνει τις κοινές συνδέσεις και τις άτυπες παρακάμψεις να ομαλοποιούνται.

Οι διαδικασίες που φέρουν δυσανάλογο βάρος βάσει του Μέρους 11 περιλαμβάνουν:

• Διαχείριση πρόσβασης: αίτημα/έγκριση/παροχή/κατάργηση παροχής (βλ. Παροχή πρόσβασης).
• Πεδίο τεκμηρίωσης: σωστές καταχωρήσεις χωρίς να σβηστεί η αλήθεια (βλ. ΑΕΠ).
• Πειθαρχία στη διόρθωση: βεβαιωθείτε ότι η ελεγχόμενη διόρθωση είναι φυσιολογική (βλ. Διορθώσεις Εγγραφών Παρτίδας).
• Περιοδική αναθεώρηση: αξιολογήσεις πρόσβασης, δειγματοληψία αξιολόγησης διαδρομής ελέγχου και παρακολούθηση ελέγχου της διάβρωσης.

Όταν εκτελούνται σωστά, οι διαδικασίες δεν επιβραδύνουν τις επιχειρήσεις—αποτρέπουν τον εγκληματολογικό καθαρισμό σε προχωρημένο στάδιο και μειώνουν τη συχνότητα των ερευνών που οφείλονται σε αδύναμα αποδεικτικά στοιχεία.

15) Ετοιμότητα επιθεώρησης: τι διερευνούν οι ελεγκτές και πώς να αποδείξουν τον έλεγχο

Οι επιθεωρητές σπάνια ξεκινούν ζητώντας ένα «ντοσιέ Μέρους 11». Ξεκινούν με ένα αρχείο που έχει σημασία: μια απόφαση παρτίδας, μια διάταξη απόκλισης, μια έγκριση ετικέτας ή ένα κρίσιμο αποτέλεσμα δοκιμής. Στη συνέχεια, κάνουν μια αναδρομή: ποιος το δημιούργησε, τι άλλαξε, ποιος ενέκρινε, τι σημαίνει η υπογραφή και μπορεί το σύστημα να αποτρέψει την απάτη.

Μια πρακτική ρουτίνα ετοιμότητας επιθεώρησης είναι η εκτέλεση ελεγχόμενων επιδείξεων που επιβάλλουν συνθήκες βλάβης. Μην εμφανίζετε πίνακες ελέγχου. Εμφανίζετε χειριστήρια. Ένα εγχειρίδιο ετοιμότητας υποστηρίζεται από Ετοιμότητα ελέγχου και ενισχύεται από προγράμματα όπως Μέρος 11 Ετοιμότητα.

16) Συνήθεις τρόποι αστοχίας: όπου το Μέρος 11 καταρρέει σε πραγματικές εγκαταστάσεις

• Κοινόχρηστες συνδέσεις: Η ευκολία υπερισχύει της συμμόρφωσης· η απόδοση ευθύνης καταστρέφεται.
• Διαχειριστής-ως-λειτουργίες: Η προνομιακή πρόσβαση γίνεται η προεπιλεγμένη διαδρομή ροής εργασίας.
• Διαδρομές ελέγχου χωρίς τιμές πριν/μετά: Τα αρχεία καταγραφής υπάρχουν αλλά δεν αποδεικνύουν την ακεραιότητα.
• Μη ελεγμένες διαδρομές ελέγχου: Η «κάμερα» είναι εγκατεστημένη αλλά κανείς δεν την κοιτάζει.
• Ασαφείς υπογραφές: Η λέξη «σημάδι» δεν έχει καθορισμένη σημασία· οι εγκρίσεις γίνονται ασαφείς.
• Ανεξέλεγκτες διορθώσεις: Οι επεξεργασίες αντικαθιστούν την αλήθεια αντί να διατηρούν την ιστορία.
• Παράκαμψη ολοκλήρωσης: Τα εξωτερικά συστήματα μπορούν να μεταλλάξουν αρχεία χωρίς ισοδύναμο έλεγχο.
• Αδύναμη διατήρηση: Τα αρχεία δεν μπορούν να ανακτηθούν χρόνια αργότερα με το πλήρες πλαίσιο.
• Επικύρωση που αγνοεί τις εξαιρέσεις: Μόνο η ευτυχής διαδρομή δοκιμάζεται. Οι πραγματικές αποτυχίες συμβαίνουν σε ακραίες περιπτώσεις.

17) Πώς αυτό αντιστοιχίζεται στην V5 μέσω SG Systems Global

V5 Υποστηρίζει λειτουργίες ευθυγραμμισμένες με το Μέρος 11 επιβάλλοντας τις συμπεριφορές που απαιτεί το Μέρος 11: αποδοτέες ενέργειες (μοναδικοί χρήστες), εξουσιοδότηση βάσει ρόλων, διαχωρισμός καθηκόντων, ασφαλή ίχνη ελέγχου, ελεγχόμενες ηλεκτρονικές υπογραφές με νόημα, ρυθμιζόμενες διορθώσεις και αρχεία έτοιμα για διατήρηση. Ο στόχος δεν είναι η δημιουργία πιο όμορφων αρχείων. Είναι να γίνουν τα αρχεία δύσκολα στην αμφισβήτηση, επειδή το σύστημα αποτρέπει την εύκολη μυθοπλασία.

• Αποδεικτικά στοιχεία εκτέλεσης κατασκευής: Σύστημα Εκτέλεσης Παραγωγής V5 (MES) υποστηρίζει ελεγχόμενες ροές εργασίας εκτέλεσης και σύγχρονη καταγραφή αποδεικτικών στοιχείων.
• Διαχείριση ποιότητας και εγκρίσεις: Σύστημα Διαχείρισης Ποιότητας (ΣΔΠ) V5 υποστηρίζει ρυθμιζόμενες αποφάσεις, εγκρίσεις, διατάξεις και ροές εργασίας έτοιμες για έλεγχο.
• Ακεραιότητα κατάστασης αποθέματος: Σύστημα Διαχείρισης Αποθήκης V5 (WMS) Υποστηρίζει ελεγχόμενες καταστάσεις αποθέματος που πρέπει να ευθυγραμμίζονται με την κατάσταση εκτέλεσης και ποιότητας.
• Ενσωμάτωση χωρίς παράκαμψη: API σύνδεσης V5 Υποστηρίζει δομημένη συνδεσιμότητα, έτσι ώστε τα εξωτερικά συστήματα να μην παρακάμπτουν το σύνολο κανόνων που είναι έγκυρος.
• Προβολή πλατφόρμας: Επισκόπηση λύσης V5.

Το Μέρος 11 είναι πιο αποτελεσματικό όταν υλοποιείται ως στοίβα ακεραιότητας σε όλη την εκτέλεση, την ποιότητα και το απόθεμα—όχι ως πλαίσιο ελέγχου IT. Αυτή η στοίβα είναι σχετική σε όλους τους ρυθμιζόμενους κλάδους, συμπεριλαμβανομένων των Φαρμακευτική Βιομηχανία, Κατασκευή Ιατρικών Συσκευώνκαι Παραγωγή Συμπληρωμάτων Διατροφής.

18) Εκτεταμένες Συχνές Ερωτήσεις

Ε1. Τι είναι το 21 CFR Μέρος 11;
Το Μέρος 11 του 21 CFR ορίζει τα κριτήρια βάσει των οποίων τα ηλεκτρονικά αρχεία και οι ηλεκτρονικές υπογραφές θεωρούνται αξιόπιστα και αποδεκτά αντί των έντυπων αρχείων και των χειρόγραφων υπογραφών για τα αρχεία που απαιτούνται από τους κανόνες του FDA.

Ε2. Πότε εφαρμόζεται το Μέρος 11;
Το Μέρος 11 ισχύει όταν δημιουργείτε ή διατηρείτε ηλεκτρονικά αρχεία που απαιτούνται από κανόνες κατηγορήματος (βλ. Κανόνας κατηγορήματος) ή/και χρησιμοποιούν ηλεκτρονικές υπογραφές για την έγκριση ή την υπογραφή αυτών των αρχείων.

Ε3. Ποιο είναι το μεγαλύτερο προειδοποιητικό σημάδι για το Μέρος 11;
Κοινόχρηστες συνδέσεις και ρόλοι με υπερβολικά προνόμια. Εάν δεν μπορείτε να αποδείξετε μοναδικά όρια απόδοσης και εξουσιοδότησης, η ακεραιότητα των εγγραφών καταρρέει ανεξάρτητα από το πόσο κομψό φαίνεται το περιβάλλον χρήστη.

Ε4. Έχουν σημασία τα ίχνη ελέγχου εάν η Διασφάλιση Ποιότητας (QA) εξετάζει τα πάντα;
Ναι. Η αναθεώρηση δεν αντικαθιστά την ιχνηλασιμότητα. Μια ασφαλής διαδρομή ελέγχου είναι ο τρόπος με τον οποίο αποδεικνύετε τι άλλαξε και γιατί, ειδικά κατά τη διάρκεια ερευνών και επιθεωρήσεων.

Ε5. Ποιος είναι ο ταχύτερος τρόπος για να ελέγξω εάν ένα σύστημα είναι έτοιμο για το Μέρος 11;
Εκτέλεση «δοκιμών απόδειξης»: προσπάθεια μη εξουσιοδοτημένων ενεργειών, προσπάθεια επεξεργασίας μετά την έγκριση, εκτέλεση ελεγχόμενων διορθώσεων, επικύρωση της σημασίας της υπογραφής και δοκιμή διαδρομών ενσωμάτωσης. Ένα πραγματικό πρόγραμμα μπλοκάρει, καταγράφει και διατηρεί αποδεικτικά στοιχεία (βλ. Μέρος 11 Ετοιμότητα).

Ε6. Πώς σχετίζονται μεταξύ τους το Μέρος 11 και το Παράρτημα 11;
Είναι διαφορετικά πλαίσια, αλλά μοιράζονται τα ίδια ζητήματα ακεραιότητας: επικυρωμένα συστήματα, ελεγχόμενη πρόσβαση, ίχνη ελέγχου και υπερασπίσιμα αρχεία. Βλ. Παράρτημα 11 για τις προσδοκίες της ΕΕ.

Σχετική ανάγνωση
• Γλωσσάρι Διασυνδέσεις: Κανόνας κατηγορήματος | Ακεραιότητα δεδομένων | ALCOA / ALCOA+ | Διαδρομή Ελέγχου (GxP) | Ηλεκτρονικές υπογραφές | Διαχείριση Πρόσβασης Χρηστών (UAM) | Διαχωρισμός Καθηκόντων στο MES | Επικύρωση Συστήματος Υπολογιστή (CSV) | GAMP 5 | Παράρτημα 11 | 21 CFR Μέρος 211
• Οδηγοί Υλοποίησης: Μέρος 11 Ετοιμότητα | Ηλεκτρονικές Υπογραφές (Μέρος 11) | Λογισμικό ιχνηλασιμότητας ελέγχου | Επικύρωση συστήματος | Καλές Πρακτικές Τεκμηρίωσης | Διορθώσεις Εγγραφών Παρτίδας | Πολιτική Διατήρησης Αρχείων | Ετοιμότητα ελέγχου | Ενσωμάτωση ERP | Κέντρο Αρχιτεκτονικής MES/WMS/QMS/ERP