EDC供应商21 CFR Part 11验证包尽调：首例入组前必须拿到的文件清单

一家上海的biotech启动了一个在美国和欧洲五国开展的Phase II肿瘤试验。CRO选了Medidata Rave作为EDC平台。FPFV（首例入组）前两周，sponsor的QA团队向CRO索要EDC的Part 11验证文档——结果收到的只有一份vendor自己出具的两页纸"合规声明函"。QA问CRO："IQ/OQ/PQ报告呢？Validation Summary Report呢？"CRO的回复是："Medidata的系统验证文档需要单独申请，审批周期6-8周。"

FPFV被推迟了一个月。

这个场景在过去几年里反复出现。2025年FDA的最终CSA（Computer Software Assurance）指导原则虽然引入了基于风险的验证方法，允许 sponsors 在某些场景下依赖vendor的测试，但它并没有降低对验证文档完整性的要求。FDA在2024年10月发布的临床试验电子系统Q&A指导文件中明确重申：一旦数据被录入申办方的记录系统，Part 11的合规要求就适用——不管数据是通过什么设备或平台采集的。

对于中国申办方来说，这个问题更尖锐。很多中国biotech是第一次在海外做临床试验，对FDA的BIMO（Bioresearch Monitoring）检查准备不足。而BIMO检查中，EDC系统的验证状态是必查项。如果验证包有缺失，检查员会直接在483表上记录观察项。

EDC验证包应该包含什么

FDA 21 CFR Part 11并没有规定一份"标准验证包"的精确格式，但行业实践（基于GAMP 5指南和ISPE的CSV框架）形成了一套基本共识。GoValidation 2026年的分析总结了FDA 483中与系统验证相关的六大高频缺陷：缺少Part 11 OQ测试用例、追溯矩阵不完整、变更后未重新确认、缺少验证总结报告、风险记录不足以及人员培训记录缺失。

一份完整的EDC验证包至少应该包含以下文件：

验证计划和摘要报告

Validation Plan（VP）：定义验证的范围、方法、接受标准和职责分工。VP应该明确说明系统的GxP影响评估结果和GAMP分类（EDC系统通常是Category 4——可配置产品）。

Validation Summary Report（VSR）：所有测试执行完成后的总结文件。VSR必须能够追溯到VP中定义的每一项验证活动，记录偏差和偏差处理结论。FDA在BIMO检查中通常首先索要VSR——如果VSR不存在或不完整，检查员会进一步深挖整个验证包。

Viedoc 2026年发布的EDC平台对比报告指出，enterprise级EDC平台（如Medidata Rave、Oracle Clinical One）通常把验证文档作为定制交付物处理，需要专业服务介入，这会延长study build时间。而best-in-class的EDC供应商会把结构化的验证文档作为标准交付物提供，不需要额外的专业服务费用。

安装确认（IQ）

Installation Qualification Protocol and Report：验证系统是否按照规范正确安装。对于SaaS部署的EDC系统，IQ的重点不在于物理服务器安装，而在于：

应用程序版本和补丁级别确认
网络架构和数据流图
服务器环境配置（操作系统、数据库、中间件）
备份和灾难恢复机制验证
接口系统清单（EDC与CTMS、eTMF、safety database的集成点）

Certivo 2026年的Part 11合规指南强调，SaaS系统的IQ有其特殊性——sponsor无法直接验证云服务提供商的物理基础设施，但可以通过审查供应商的SOC 2 Type II报告、ISO 27001证书和云服务提供商（如AWS、Azure）的合规认证来间接确认。FDA的CSA指导原则正式认可了这种间接确认方式。

运行确认（OQ）

Operational Qualification Protocol and Report：这是Part 11验证中信息密度最高、也是最容易出问题的部分。OQ必须验证系统的所有Part 11相关功能：

审计追踪（Audit Trail）：每一个数据变更是否都记录了操作者、时间戳、原始值和新值？审计追踪是否不可修改、不可删除？能否在审查时方便地检索和导出？
电子签名（Electronic Signature）：签名的组成部分是否满足Part 11的要求（签署者姓名、签名日期和时间、签名含义如"审核"或"批准"）？签名是否与对应的电子记录永久关联？
访问控制（Access Control）：系统是否支持基于角色的权限分配？密码策略是否符合要求（复杂度、有效期、锁定机制）？是否禁止共享账号？
数据完整性控制（Data Integrity Controls）：系统是否防止未经授权的数据修改？修改是否必须提供理由？是否有edit check和validation rule的功能验证？

GoValidation 2026年的分析指出，FDA 483中与Part 11相关的OQ缺陷中，最常见的问题是"没有针对Part 11审计追踪完整性的专项OQ测试用例"。很多EDC供应商的OQ测试只验证了功能正确性（"edit check能正确触发"），但没有专门测试Part 11合规性（"审计追踪完整记录了edit check的触发和操作者行为"）。

性能确认（PQ）

Performance Qualification Protocol and Report：验证系统在实际使用条件下（真实用户、真实工作流）的表现。PQ通常通过User Acceptance Testing（UAT）来实现，使用与实际研究协议相匹配的eCRF构建。

PQ的关键是测试场景必须反映真实的使用模式。如果PQ只测试了一个简化版的study build，而实际运行的是一个复杂的Phase III方案，FDA可能认为PQ的覆盖范围不足。

需求追溯矩阵（RTM）

Requirements Traceability Matrix：将用户需求（URS）映射到功能规格（FS），再映射到具体的测试用例和测试结果。RTM是验证包中最重要的交叉引用文件——它证明每一项需求都经过了测试验证。

2025年FDA 483观察项中，追溯矩阵不完整被列为高频缺陷之一。具体表现为：URS中定义了某些需求（比如"系统应支持多语言数据录入"），但RTM中没有对应的测试用例，或者测试用例存在但测试结果无法追溯到原始需求。

供应商提供的验证文档 vs. sponsor需要做的验证

这里有一个重要的区分：供应商的系统级验证和sponsor的实例级验证是两回事。

供应商（如Medidata、Veeva、Viedoc）对其EDC产品本身进行系统级验证——这覆盖了平台的核心功能、安全架构和Part 11合规性。但每次使用平台构建一个新的研究数据库（study build），sponsor还需要对这个特定实例进行配置验证——确认eCRF的设计、edit check的逻辑、用户权限的设置等都是正确的。

FDA的CSA指导原则（2025年9月最终版）引入了一个重要的变化：对于低风险的标准化系统，允许sponsor更多地依赖供应商的测试记录，而不是重复做完整的IQ/OQ/PQ。但这有一个前提条件——sponsor必须对供应商的验证实践进行充分评估。

IntuitionLabs 2026年的分析指出，FDA的CSA指导原则正式认可了"vendor/supplier evaluation results可以被积极利用"，承认对于云服务来说，要求用户自己验证一切是不现实的。但这并不意味着sponsor可以拿到一份vendor的"合规证书"就完事。CSA要求的是基于风险的、有记录的评估过程。

中国申办方应该向EDC供应商索要什么

在评估和选择EDC供应商时，sponsor应该要求供应商提供以下文件：

系统验证摘要（System Validation Summary）：供应商对其EDC平台进行的系统级验证的总结报告
Part 11合规声明（Part 11 Compliance Statement）：详细说明平台的哪些功能满足Part 11的哪些具体要求
变更控制日志（Change Control Log）：最近12-24个月的系统变更记录，包括变更描述、影响评估和重新测试结果
SOC 2 Type II报告或等效认证：证明供应商的IT基础设施和安全控制经过独立审计
UAT模板和指南：供应商是否提供标准化的PQ/UAT模板，还是需要sponsor自己从头编写

如果供应商只愿意提供一份笼统的"合规声明函"而不提供具体的验证报告，这就是一个红旗信号。Viedoc的做法值得参考——他们提供VIRP（Viedoc Inspection Readiness Packet），作为结构化的检查就绪文档，让小型QA团队也能快速启动CSV和监管提交准备。

常见问题和高风险场景

Scenario 1：EDC在study build过程中做了重大配置变更

CRO在study build完成后发现protocol有修订，需要对eCRF做重大修改。修改完成后，原来的UAT结果是否还有效？

从合规角度讲，任何影响数据采集完整性的配置变更都需要进行影响评估和可能的重新测试。变更控制记录必须反映变更的内容、影响评估结论和重新测试的范围。如果CRO在eCRF修改后没有更新PQ记录，BIMO检查时这个缺口会被抓住。

Scenario 2：EDC系统在研究期间进行了版本升级

这是中国申办方经常忽视的问题。SaaS EDC平台会定期发布版本更新——有些是小补丁，有些是功能升级。每次版本更新都可能影响已验证的功能。

供应商通常会在发布说明中标注哪些功能受到了影响。sponsor的QA团队需要评估每个版本更新对当前研究的影响，并决定是否需要重新执行部分OQ测试。如果供应商的变更控制流程是健全的（每个变更都做了影响评估和回归测试），sponsor可以依赖供应商的变更测试记录。但这需要sponsor在最初选择供应商时就评估了供应商的变更控制质量。

Scenario 3：BIMO检查中检查员要求现场演示审计追踪功能

FDA检查员可能不会只看文档——他们会要求现场演示。比如："请给我看这条数据变更的完整审计追踪"或者"请演示电子签名的工作流程"。

如果sponsor的团队（包括CRO的data management团队）不能熟练地操作EDC的审计追踪查询功能，或者审计追踪的导出格式不符合检查员的期望（比如缺少时间戳或操作者信息），这会引发更多的追问。

SimplerQMS 2026年的Part 11检查准备建议包括：在检查前测试审计追踪的访问和导出功能、指定能够解释系统验证和合规方案的人员、进行模拟检查。

中国申办方的特殊考量

中国biotech在海外做临床试验时面临的EDC验证挑战有其特殊性：

CRO驱动的EDC选择：很多中国biotech将临床运营完全外包给CRO，EDC平台由CRO选定。这意味着sponsor可能对EDC的验证状态完全没有把控。在CRO合同中应该明确要求：CRO在选择EDC供应商时需要获得sponsor的QA审评批准，且CRO应负责确保EDC的Part 11验证文档在FPFV前完整齐备。

语言和时区障碍：验证文档通常是英文的，而sponsor的QA团队可能需要中文支持。BIMO检查在美国现场进行时，需要有人能用英文向FDA检查员解释验证方案和结果。

ICH E6(R3)的更新：2025年发布的ICH E6(R3) GCP修订版加强了对计算机化系统验证的要求，要求申办方确保所有用于临床数据管理的计算机系统都经过验证。Section 5.5.3专门涉及计算机化系统的验证。对于同时在中美欧开展试验的中国biotech来说，EDC系统需要同时满足FDA Part 11和EU Annex 11的要求。

FDA CSA的新框架：2025年9月最终确定的CSA指导原则改变了验证的方法论——从"什么都自己测"转向"基于风险，善用供应商测试"。这对于资源有限的中国biotech来说是一个利好，但也要求sponsor具备评估供应商验证实践的能力。如果sponsor的QA团队没有CSV经验，可能需要聘请外部顾问来评估供应商的验证包。

FPFV前的检查清单

在我们看来，中国申办方在首例入组前应该完成以下验证相关的确认：

确认EDC供应商已提供：系统验证摘要报告、Part 11合规声明、变更控制记录（最近12个月）、第三方审计报告（SOC 2 Type II或等效）。

确认study-specific验证已完成：UAT协议和报告（PQ）、数据迁移测试（如果有从其他系统导入的历史数据）、用户培训记录（所有在EDC中录入数据的人员都需要有培训记录）、SOP覆盖（数据录入、查询管理、数据库锁定的SOP）。

确认验证文件的保管责任：验证文件是存放在sponsor的TMF中还是CRO的TMF中？如果CRO负责保管，sponsor是否有完整的副本？这些文件在TMF中的哪个位置？BIMO检查时能在30分钟内调出吗？

确认版本管理机制：系统版本升级时的通知机制是什么？谁负责评估升级对当前研究的影响？重新测试的决策流程是什么？

验证文档的完备性不是FPFV的障碍——它是FPFV的前提。如果验证包有缺口，晚入组一个月远好过在BIMO检查中拿到483观察项后再补。

参考资源

FDA 21 CFR Part 11: Electronic Records; Electronic Signatures — FDA关于电子记录和电子签名的法规原文
FDA CSA Guidance 2025: Computer Software Assurance for Production and Quality System Software — FDA最终确定的CSA指导原则，引入基于风险的软件验证方法
FDA Clinical Investigations Electronic Systems Q&A 2024 — FDA关于临床试验中电子系统和Part 12适用性的Q&A
Viedoc: EDC Platforms Inspection Readiness Comparison 2026 — EDC平台检查就绪能力对比，含CSV文档交付方式分析
GoValidation: IQ OQ PQ Validation Guide 2026 — GxP系统验证完整指南，含FDA 483高频缺陷分析
Certivo: FDA 21 CFR Part 11 Compliance Guide 2026 — Part 11合规步骤指南，含验证文件检查清单