2025年下半年,FDA在六个月内发出了327封警告信,同比增幅达到73%。数据完整性缺陷、生产记录不完整、电子系统访问控制缺失——这些是其中被引用频次最高的几类问题。而这些问题的根源,几乎都指向同一部法规:21 CFR Part 11。
对于正在布局美国市场的中国药企和医疗器械公司来说,Part 11不是一份可以"以后再说"的文件。你的LIMS、ERP、QMS、EDC,只要涉及FDA法规要求的记录,就要满足Part 11的标准。从我们在实际项目中的观察来看,很多企业在系统选型阶段就没把Part 11纳入考量,等FDA检查员来了才发现差距,修复成本远高于早期规划。
Part 11是什么,管什么
1997年,FDA发布21 CFR Part 11,确立了电子记录和电子签名与纸质记录、手写签名具有同等法律效力的框架。简单讲:如果你用电子系统来创建、修改、维护或传输FDA法规要求的记录,那这些系统就得满足Part 11的要求。
Part 11的适用范围覆盖所有FDA监管行业:药品(包括原料药和制剂)、医疗器械、生物制品、CRO等。它不要求企业必须使用电子系统——你可以继续用纸。但一旦选择了电子化,就得按规矩来。
法规分三个子部分:
- Subpart A(总则)——定义核心概念,明确适用范围
- Subpart B(电子记录)——系统验证、审计追踪、访问控制、记录留存等操作层面要求
- Subpart C(电子签名)——电子签名的类型、组件、唯一性及身份验证
有一点需要说明。2003年FDA发布了Scope and Application guidance,明确了"窄解释"原则:Part 11仅适用于根据predicate rule(底层法规)必须保存的、且以电子形式维护的记录。如果你的纸质记录被扫描成PDF存档,但原始记录仍是纸质——这不算Part 11记录。但如果你的批记录完全电子化,不再有纸质原件,那整个系统就落入Part 11管辖。
这个判断需要企业自己做,并且要把判断逻辑记录在案。
电子记录的核心要求
Part 11 Subpart B是实务操作中最常被引用的部分,尤其§11.10列出了封闭系统的完整控制清单。以下是几个关键点。
系统验证(§11.10(a))
系统必须经过验证,确保其能够准确、可靠地执行预期功能,并且具备记录留痕能力。验证的深度取决于系统风险——这也是FDA在2025年9月发布的CSA(Computer Software Assurance)终稿 guidance 所强调的思路:用风险分级来决定验证力度,而不是对每个功能都做全套IQ/OQ/PQ。
2025年9月24日,FDA正式发布了"Computer Software Assurance for Production and Quality System Software"终稿指南。与2022年草案相比,终稿将"ad hoc testing"更名为"scenario-based testing",正式承认非脚本化测试和探索性测试方法的合法性。它还加入了Cloud/IaaS/PaaS/SaaS的正式定义,允许企业在合理条件下利用供应商的验证资料,而不是事事自己做。2026年2月,FDA又发布了针对药品质量系统的CSA终稿,将这一思路扩展到药品领域。
这并不是放松要求,而是让企业把有限的资源集中在真正影响产品质量和患者安全的功能上。
审计追踪(§11.10(e))
审计追踪是Part 11中最容易被检查员盯上的环节。法规要求系统必须提供安全的、带有时间戳的审计追踪,记录操作人员输入或确认的每一条记录的日期和时间,且审计追踪本身不能被修改或禁用。
FDA的期望很明确:审计追踪要覆盖"谁、做了什么、什么时间、为什么"四个维度。2024年的一封警告信指出,实验室人员使用共享密码登录分析软件,导致无法追溯数据修改的责任人。另一封警告信中,检查员在计算机回收站中发现了被删除的数据文件——说明结果可以被删除而不留任何审计追踪记录。
就实践经验而言,审计追踪的常见缺陷集中在三方面:未启用(系统有功能但没开)、不完整(只记录修改不记录删除)、没人定期审查。FDA不只看有没有审计追踪,还看你有没有SOP规定审计追踪的审核频率和流程。
访问控制与权限管理
§11.10(d)要求系统必须有权限控制,确保只有经过授权的人才能操作电子记录或电子签名。每个用户必须有独立账户,共享登录账号是Part 11检查中的高频缺陷项。
权限设计应该遵循最小权限原则:操作员只能看到和操作与自己职能相关的数据和功能。管理员权限要严格控制,不能人人都是admin。
记录留存与可检索性
Part 11要求在整个留存期内,电子记录必须可读、可检索、可复制。留存期限由predicate rule决定:
- 药品批记录:有效期后至少1年(21 CFR 211.180)
- 医疗器械质量记录:器械寿命加2年(21 CFR 820.180)
- 临床试验记录:上市申请批准后2年(21 CFR 312.62)
这里有一个容易被忽略的点:不只是最终记录,审计追踪也要在同一留存期内完整保存。如果系统升级或迁移,你需要证明迁移后数据的完整性没有受损。
电子签名怎么做才算合规
Part 11 Subpart C规定,电子签名必须与签署者一一对应,不可重复分配或转借。在分配电子签名之前,企业必须验证签署者的身份。
电子签名分为两种类型:
- 生物识别型(Biometric)——基于指纹、虹膜等生物特征,每个签名组件都是唯一的
- 非生物识别型(Non-biometric)——至少需要两个不同的组件,比如ID+密码
签署时必须显示三个信息(§11.50):签署者姓名、签名执行的日期和时间、签名的含义(审核、批准、复核等)。这些信息必须作为电子记录的一部分被同等保护,并且在任何可读形式(屏幕显示或打印)中都包含。
§11.70还有一个硬性要求:电子签名必须与对应的电子记录关联,不能被切断、复制或转移到其他记录上。换句话说,你不能把一个人的签名"贴"到另一份文件上。
实操中的建议:电子签名的实施需要配套的SOP、培训记录和系统验证报告。如果使用SaaS供应商的签名功能,你需要确认供应商是否提供Part 11合规声明(如Validation Pack、Audit Trail功能说明),并且把这些文件纳入自己的合规档案。
ALCOA+:数据完整性的底层逻辑
ALCOA+原则虽然不直接出自Part 11条文,但它是FDA、EMA、WHO等监管机构评价数据完整性的通用框架。理解ALCOA+,有助于把Part 11的条文要求转化成具体的操作措施。
ALCOA五个字母分别代表:
- Attributable(可归因)——每条记录都能追溯到具体的操作者
- Legible(可读)——记录在整个留存期内保持可读
- Contemporaneous(同期性)——记录在操作发生时即刻生成
- Original(原始性)——保留原始数据或经过验证的真实副本
- Accurate(准确性)——记录真实反映实际操作和观察结果
后面又补充了四个:
- Complete(完整性)——所有数据都被保留,包括失败和重复的实验
- Consistent(一致性)——数据之间不矛盾,时间顺序合理
- Enduring(持久性)——记录在留存期内不会退化或丢失
- Available(可用性)——记录在审核或检查时可被调取
FDA 2024年的警告信中有大量ALCOA+违规案例。比如一家API生产企业,微生物检测平板没有在读取时同步记录结果——这直接违反了Contemporaneous原则。FDA在信中措辞严厉:这一缺失"引起了对贵公司实验室检测记录有效性和完整性的严重关切"。
Part 11与EU Annex 11对比
很多企业同时面对美国和欧盟市场,需要理解Part 11和EU GMP Annex 11之间的异同。
两者在核心原则上一致:都要求系统验证、审计追踪、权限控制和数据完整性。但侧重点和细节要求存在差异。
| 维度 | 21 CFR Part 11 | EU GMP Annex 11 |
|---|---|---|
| 法律性质 | 联邦法规(binding) | GMP指南(对EU成员国具有约束力) |
| 适用范围 | 所有FDA监管行业 | 药品GMP(原则可延伸至GxP) |
| 签名类型 | 生物识别型 / 非生物识别型 | 未明确区分类型 |
| 审计追踪 | 要求安全、带时间戳 | 要求"基于风险评估"的审计追踪 |
| 供应商管理 | 要求但不详尽 | 对供应商和服务商有更详细的期望 |
| 风险管理 | 2003年guidance提到风险理念 | 明确要求QRM原则贯穿系统全生命周期 |
2025年7月7日,欧盟委员会和PIC/S联合发布了三份关联文件的征求意见稿:修订版Annex 11(计算机化系统)、修订版Chapter 4(文件管理)和新Annex 22(人工智能)。修订版Annex 11从原来的5页扩展到19页,新增了对ALCOA+的正式引用、云架构和SaaS的合规要求、定期评审制度、以及更严格的审计追踪标准。公众咨询已于2025年10月结束,最终版本预计2026年年中发布,实施可能会有12-18个月的过渡期。
2026年2月,EMA和PIC/S还联合启动了关于数据管理和完整性概念文件的公众咨询(咨询期至2026年4月11日),这预示着数据完整性将在GMP检查中被赋予更高的权重。
对于中国出海企业,如果同时申请美国和欧盟市场,建议以更严格的那个标准为基准来建设体系。目前来看,修订版Annex 11在云架构治理、供应商监督、AI系统管控方面的要求可能比Part 11更具体,企业可以提前对齐。
2026年的几个关键动向
除了前述的CSA终稿和Annex 11修订,还有几件事值得关注。
QMSR与Part 11的交叉。2026年2月2日,FDA的Quality Management System Regulation(QMSR)正式生效,取代了原来的21 CFR Part 820。QMSR将ISO 13485:2016纳入引用。由于ISO 13485本身不包含电子签名要求,QMSR记录理论上不触发Part 11的签名条款——但电子记录控制仍然适用。同时经营药品和器械的企业需要仔细评估QMSR对现有Part 11合规方案的影响。
AI/ML带来的新挑战。2026年1月,FDA和EMA联合发布了"Guiding Principles of Good AI Practice in Drug Development"。当AI系统参与生成或处理GxP记录时,传统的审计追踪和验证方法是否充分?这是一个开放问题。欧盟新提出的Annex 22专门针对AI在制药中的应用,这说明监管层已经意识到现有框架需要适配。
执法力度持续加强。2024财年FDA发出111封警告信,其中约79%涉及数据完整性相关内容。FDA已公开声明数据完整性是执法重点,2024年10月发布的Part 11临床试验指南终稿将监管范围扩展到电子健康记录和可穿戴设备数据进入申办方系统后的场景。检查策略更加数据驱动——有Part 11前科的企业面临更高的复查概率。
FDA检查中的高频缺陷
从近几年警告信和483观察项来看,以下几类问题反复出现:
共享登录凭证。这是最经典的。多人共用一个账号操作分析仪器或数据系统,导致无法将具体操作追溯到个人。对应法条:§11.10(d)、§11.100、§11.200。
审计追踪缺失或无效。系统未启用审计追踪功能,或审计追踪被管理员权限修改/删除。有的企业甚至不知道自己的系统有审计追踪功能。
非受控的电子表格。Excel被广泛用于GxP记录,但没有版本控制、没有锁定公式、没有修改追踪。FDA 2024年就曾因企业使用可覆盖历史记录的Excel公式而发出警告信。
电子签名不合规。签名组件不够(只用密码没有ID)、签名与记录未绑定、签名含义未标注。
记录留存不完整。系统迁移后数据丢失,或旧系统的电子记录无法在新环境中打开。
2024年一封发给多米尼加制药企业的警告信比较典型:检查员发现该企业HPLC系统的电子数据管理存在严重缺陷——无法确保数据的增删改得到授权和记录,也没有采取临时保护措施。FDA判定企业的回复不充分,因为"缺乏有效的 interim measure 来保护患者"。
中国企业的实施路径
就我们接触的案例来看,中国出海企业在Part 11合规上的差距主要集中在三个方面:一是系统选型时没把合规要求纳入采购标准;二是有了合规系统但SOP和培训没跟上;三是审计追踪开着但没人定期审查。
如果从零开始建立Part 11合规体系,建议按以下顺序推进:
第一步:记录盘点与分类。梳理所有涉及FDA predicate rule要求的记录,判断哪些以电子形式维护。对每类记录做出"是否属于Part 11记录"的判断,并书面记录判断依据。这是整个体系的起点——FDA在检查时会要求看这份清单。
第二步:系统评估与差距分析。对每个管理Part 11记录的系统做评估:是否经过验证?审计追踪是否启用?权限控制是否到位?电子签名是否合规?差距分析的结果决定了后续的修复优先级。
第三步:风险分级的验证策略。参考FDA 2025年CSA guidance的思路,按照风险等级制定验证计划。高过程风险的软件功能用脚本化测试(scripted testing),低风险的用场景化测试(scenario-based testing)或供应商评估资料。不要对所有系统都做同样深度的验证——那是老思路。
第四步:SOP与培训体系。制定电子记录管理、电子签名使用、审计追踪审核、系统变更控制、应急响应等SOP。确保所有相关人员完成培训并留有记录。培训不是一次性的——系统升级或SOP修订时要重新培训。
第五步:定期审查与持续维护。Part 11合规不是一劳永逸的。定期(至少每年)对系统做回顾:审计追踪是否正常运作、是否有未授权的变更、用户权限是否需要更新、系统版本是否需要升级。修订版Annex 11草案明确要求对计算机化系统做定期评审,这个思路值得提前采纳。
还有一个实际建议:如果使用SaaS或云系统,在合同谈判阶段就明确供应商的责任边界——谁负责验证、谁负责数据备份、谁负责审计追踪的完整性。FDA和EU都承认企业可以利用供应商的合规资料,但前提是供应商经过正式评估,且有书面协议约束。
参考资源
- 21 CFR Part 11 — Electronic Records; Electronic Signatures (eCFR) — 法规原文,可作为合规判断的权威依据
- Part 11, Electronic Records; Electronic Signatures — Scope and Application (FDA Guidance) — 2003年发布的窄解释指南,明确Part 11适用边界
- Computer Software Assurance for Production and Quality System Software (FDA, 2025) — CSA终稿,风险分级的系统验证思路
- Part 11 Compliance for Electronic Records and Signatures in Clinical Investigations (FDA, 2024) — 临床试验场景下的Part 11 Q&A终稿
- Guiding Principles of Good AI Practice in Drug Development (FDA/EMA, 2026) — FDA与EMA联合发布的AI药品开发指导原则
- EU GMP Annex 11 Draft Revision (2025) — PIC/S Public Consultation — 修订版Annex 11、Chapter 4和Annex 22的公众咨询页面
- PIC/S Data Management and Integrity Concept Paper Consultation (2026) — 数据管理和完整性概念文件公众咨询
- ISPE GAMP 5, 2nd Edition (2022) — 计算机化系统合规的行业参考标准
相关文章
eCTD电子通用技术文档提交完全指南:2026年v4.0升级与中国药企出海实操
eCTD电子通用技术文档全球提交完全指南:五大模块结构详解、v3.2.2到v4.0升级要点、FDA/EMA/NMPA各国要求对比、中国药企eCTD出版最佳实践,覆盖IND/NDA/BLA/ANDA全流程。
IQ/OQ/PQ设备验证确认完全指南:医疗器械与制药行业验证实操
IQ/OQ/PQ(安装确认/运行确认/性能确认)是FDA cGMP、欧盟GMP与ISO 13485对医疗器械及制药设备的核心验证要求。本文详解三阶段验证流程、方案模板、偏差处理、CSV计算机化系统验证及中国企业出海实战经验。
FDA警告信与483观察项全解析:中国医药企业出海合规必读
深度解读FDA检查中的483观察项与警告信机制,涵盖检查类型、常见缺陷项分析、中国企业典型案例、整改策略与预防措施,助力医药出海企业建立FDA合规体系。