聯系我們contact
電話(huà):027-59760188-801
地址:武漢市東湖高(gāo)新開發區(qū)光(guāng)谷大(dà)道120号現代森林(lín)小鎮A座609室
Excel電子表格的(de)合規與驗證技術
發布時(shí)間:2024-02-04 浏覽次數:868次
從電子表格誕生以來(lái),其應用(yòng)領域便不斷擴展,以至于如今任何需要用(yòng)到計算(suàn)機的(de)職業和(hé)行業都離不開電子表格。制藥行業概莫能外,而且成爲電子表格的(de)重度使用(yòng)者。雖然如今随著(zhe)各種大(dà)型軟件的(de)興起和(hé)完善,不斷地蠶食Excel的(de)用(yòng)武之地,甚至在講述其軟件的(de)優勢時(shí),必然時(shí)時(shí)列舉電子表格的(de)劣勢做(zuò)對(duì)比,給人(rén)的(de)印象似乎還(hái)在大(dà)量使用(yòng)Excel電子表格就是落後的(de)表現,但事實上國内制藥企業在電子表格的(de)使用(yòng)方面整體上仍然處于十分(fēn)基礎的(de)水(shuǐ)平,遠(yuǎn)沒有發揮出Excel作爲生産力工具的(de)作用(yòng)。相比而言,二十年前,當各種專業化(huà)大(dà)型軟件都缺乏或不成熟的(de)時(shí)候,電子表格在歐美(měi)藥企的(de)數據自動化(huà)處理(lǐ)以及信息化(huà)方面起了(le)十分(fēn)重要的(de)作用(yòng)。可(kě)以說歐美(měi)企業經曆了(le)一段以電子表格爲重要手段的(de)信息化(huà)時(shí)期。這(zhè)段電子表格的(de)階段并非如我們所認識的(de)是走彎路,因爲其廣泛的(de)使用(yòng)規範了(le)數據和(hé)流程,爲後來(lái)上一些大(dà)型軟件打下(xià)了(le)堅實的(de)基礎。如今,電子表格仍然作爲十分(fēn)重要的(de)工具活躍在一線。
當然,制藥行業是受法規監管的(de)行業,電子表格作爲計算(suàn)機化(huà)系統的(de)一種,必然也(yě)需要符合相關的(de)法規要求,本文将從電子表格的(de)曆史,合規控制,驗證方面逐一進行探討(tǎo)。
◉ 電子表格簡史
世界上第一個(gè)稱得(de)上電子表格軟件的(de)是1978 年誕生于美(měi)國的(de)VisiCalc。VisiCalc始于一名名叫丹尼爾·布萊克林(lín)(Daniel Bricklin)的(de)哈佛商學院學生在其案例研究報告中有電子表格的(de)類似需求。在其麻省理(lǐ)工學院(MIT)的(de)熟人(rén)和(hé)另外一名創始人(rén)弗蘭克斯頓(Bob Frankston)的(de)幫助下(xià),第一個(gè)電子數據表軟件 VisiCalc 于 1978 年秋天誕生。盡管VisiCalc功能有限,但自1979年已經銷售了(le)一百多(duō)萬份。1983年,IBM推出了(le) Lotus 1-2-3 軟件包,并逐漸成爲了(le)電子數據表标準的(de)領導者。Lotus 1-2-3 添加了(le)完整的(de)制圖、繪圖和(hé)數據庫功能,增強了(le)電子表格的(de)功能以及易用(yòng)性。用(yòng)戶也(yě)對(duì)軟件在處理(lǐ)複雜(zá)計算(suàn)方面的(de)能力非常滿意。最重要的(de)是,Lotus 1-2-3 引入了(le)命名單元格、單元格範圍和(hé)宏的(de)概念,這(zhè)不僅解決了(le)重複性任務自動化(huà)執行的(de)問題,而且提供了(le)一種拓展電子表格應用(yòng)軟件功能的(de)工具。
直到1984年微軟的(de) Excel在個(gè)人(rén)辦公軟件市場(chǎng)出現,Lotus 1-2-3才開始有衰退的(de)迹象。
微軟的(de)Excel 是第一個(gè)使用(yòng)下(xià)拉式菜單和(hé)通(tōng)過鼠标點擊進行操作的(de)圖形界面的(de)電子表格軟件。1995年春末,Excel取代了(le)Lotus 1-2-3成爲電子表格軟件市場(chǎng)無可(kě)争議(yì)的(de)領導者。微軟一直通(tōng)過增強 EXCEL 的(de)功能來(lái)維護其優勢地位,包括整合了(le) Visual Basic 程序語言的(de)一個(gè)子集-Visual Basic for Application(VBA)到 EXCEL 平台的(de)核心。這(zhè)一方式允許 EXCEL 中的(de)數據被其他(tā)微軟應用(yòng)軟件如 Access 或 Word 共享和(hé)處理(lǐ)。
◉ Excel合規性缺陷與補救措施
随著(zhe)電子表格軟件功能的(de)不斷增強,電子表格逐漸應用(yòng)到藥物(wù)研發,實驗室,生産,臨床等各個(gè)領域。如今,一個(gè)Excel模闆就相當于是一個(gè)獨立的(de)應用(yòng)程序,其中包含複雜(zá)函數嵌套,邏輯判斷、甚至包括采用(yòng)高(gāo)級語言和(hé)表單制作的(de)用(yòng)戶圖形化(huà)界面,用(yòng)以實現數據計算(suàn),自動化(huà)報告,圖表展示等多(duō)種用(yòng)途,由此也(yě)對(duì)驗證提出了(le)更高(gāo)的(de)要求。
1997 年21CFR Part11“電子記錄和(hé)電子簽名”法規的(de)發布,使得(de)電子表格的(de)驗證複雜(zá)性進一步增加。這(zhè)部法規要求受控的(de)電子記錄或用(yòng)戶簽名的(de)電子系統必須進行一些關鍵技術控制。電子系統的(de)評估需要通(tōng)過 4 個(gè)關鍵的(de)要素:數據真實性,可(kě)靠性、機密性和(hé)不可(kě)篡改性。基于對(duì)這(zhè) 4 個(gè)關鍵屬性的(de)要求,FDA 已經發布了(le)一些警告信。
警告信摘錄 |
在質量控制實驗室中電子表格管控的(de)計算(suàn)數據的(de)完整性存在控制不充分(fēn),例如: ● 沒有審計追蹤功能追溯電子表格計算(suàn)模闆的(de)版本号; ●訪問電子表格沒有密碼保護。 |
貴公司并沒有按照(zhào) 21 CFR820.70(i)的(de)要求對(duì)一些GMP相關的(de)計算(suàn)機應用(yòng)進行驗證,包括貴公司 Access 數據庫和(hé)MS Excel 電子表格。 |
沒有适當的(de)針對(duì)用(yòng)于中控和(hé)成品分(fēn)析計算(suàn)的(de)電子表格的(de)驗證程序。 |
電子表格在訪問控制方面存在固有的(de)缺陷,即任何終端用(yòng)戶都可(kě)以對(duì)電子表格進行訪問和(hé)編輯。不同于數據庫,電子表格缺少用(yòng)戶水(shuǐ)平的(de)安全措施,這(zhè)使得(de)應用(yòng)程序和(hé)支持性數據對(duì)獲得(de)了(le)電子表格文件的(de)所有用(yòng)戶都能輕易訪問。針對(duì)這(zhè)個(gè)缺陷,一種解決方法是部署局域網或網絡服務器,将電子表格模闆放入網絡共享路徑,公司就可(kě)以通(tōng)過控制計算(suàn)機中文件夾的(de)訪問權限來(lái)控制對(duì)電子表格的(de)訪問;這(zhè)種方法同樣提供了(le)關于用(yòng)戶标識(ID)和(hé)密碼的(de)技術性控制,這(zhè)包括用(yòng)戶 ID 的(de)唯一性、密碼策略、用(yòng)戶密碼的(de)周期性、曆史密碼的(de)預防使用(yòng)等等。另一種解決方法是,用(yòng)戶在Excel工作簿中自定義的(de)訪問電子表格的(de)密碼(包括工作表保護和(hé)工作簿保護),同樣可(kě)以限制訪問以保護電子表格的(de)設置避免修改,包括單元格内容、公式,宏和(hé) VBA。密碼的(de)維護必須由公司内與之無相關利益的(de)人(rén)員(yuán),并且密碼的(de)修改應在嚴格的(de)規程控制之下(xià)進行。 上述兩種方法在一定程度上做(zuò)到了(le)訪問控制,但能訪問模闆則代表用(yòng)戶必然能夠複制該文件。複制出來(lái)的(de)文件不受限的(de)傳播和(hé)使用(yòng)又會産生新的(de)問題。
電子表格另外一個(gè)關鍵的(de)固有缺陷是沒有審計追蹤功能。這(zhè)個(gè)缺點使得(de)電子表格上輸入的(de)數據無法追蹤和(hé)歸屬。其他(tā)缺點在 FDA 給各公司的(de)警告信中均有體現,包括無法區(qū)分(fēn)不同人(rén)員(yuán)保存的(de)版本,無法确認打印出的(de)紙質文件和(hé)電子表格是否對(duì)應。根據 FDA 對(duì)電子表格開出的(de)警告信來(lái)看,缺乏追蹤審計是對(duì)電子表格數據的(de)完整性産生質疑的(de)最大(dà)來(lái)源。
現有的(de)解決方案是将必要的(de)追蹤審計和(hé)數據完整不符合性降至最低。當前電子表格應用(yòng)軟件提供的(de)變更追蹤的(de)機制,但并不十分(fēn)安全,例如通(tōng)過工作簿共享後,對(duì)所有人(rén)的(de)編輯均可(kě)追蹤單元格的(de)修改曆史,但工作簿共享能被其他(tā)用(yòng)戶關閉(如禁用(yòng)),關閉後修訂記錄會全部丢失。另外,用(yòng)戶能在Excel應用(yòng)程序中随意修改自己的(de)用(yòng)戶名,從而導緻修訂記錄的(de)信息不真實。最後,由于修訂記錄與Excel文件本身放在一起,如果Excel文件丢失,修訂記錄同時(shí)也(yě)會丢失。爲了(le)彌補Excel本身的(de)合規缺陷,有人(rén)使用(yòng) VBA來(lái)實現入門級的(de)數據審計追蹤和(hé)訪問控制功能,即在打開Excel時(shí)要求用(yòng)戶輸入用(yòng)戶名和(hé)密碼,從而識别用(yòng)戶身份。用(yòng)戶登錄後,在單元格中的(de)操作被捕獲後存儲到Excel隐藏的(de)工作表中或遠(yuǎn)端的(de)數據庫中。這(zhè)些審計記錄推薦存儲到遠(yuǎn)端的(de)數據庫中,從而避免審計追蹤記錄同文件一同丢失。
有些公司也(yě)嘗試把電子表格放到電子文檔管理(lǐ)系統中(EDMS),由EDMS負責管理(lǐ)電子表格以及其中所含數據的(de)完整性。但這(zhè)種管控方式很難追蹤到詳細的(de)修訂記錄,一般隻能做(zuò)版本上的(de)管理(lǐ)。當前市面上比較成熟的(de)是直接針對(duì)Excel 開發的(de)合規化(huà)插件,通(tōng)過Add-in的(de)方式進行了(le)合規性的(de)功能開發。eInfotree就是這(zhè)種基于Excel的(de)合規插件,爲電子表格提供了(le)訪問控制,審計追蹤,電子簽名等合規性功能。但囿于Excel桌面化(huà)軟件的(de)特點,雖然合規性得(de)到了(le)質的(de)提升,但MS Office文件可(kě)編輯則必然可(kě)被删除的(de)特性,以及Excel文件出現崩潰後無法正常打開的(de)情況時(shí)有發生,這(zhè)兩點仍然無法改變,甚至造成極具嚴重的(de)後果。
爲了(le)保證電子表格打印輸出是真實的(de),應在需要打印輸出的(de)電子表格頁眉或頁腳打印出根據數據所生成的(de)哈希函數。生成的(de)哈希函數應基于表格中儲存的(de)數據、電子表格保存的(de)時(shí)間戳的(de)組合。通(tōng)過執行 VBA 代碼将生成的(de)哈希值插入打印件中。代碼構建時(shí)應防止用(yòng)戶繞過程序的(de)執行而無法産生哈希值,最後還(hái)要配合複核機制對(duì)打印件上的(de)哈希函數進行确認。
盡管電子表格因爲缺少技術控制手段導緻其易于篡改,還(hái)是有很多(duō)解決方案可(kě)以使公司能夠滿足 21CFR Part 11要求。當這(zhè)些解決方案能夠按照(zhào)合适的(de)規程和(hé)制度得(de)到恰當的(de)實施,盡管不是非常完美(měi),但可(kě)以在一定程度上保證數據的(de)真實性,可(kě)靠性、機密性和(hé)不可(kě)篡改性。
◉ 電子表格驗證
起草(cǎo)用(yòng)戶需求規範
用(yòng)戶需求規範是定義系統功能需求的(de)一份文件。此文件一般由用(yòng)戶起草(cǎo),闡述用(yòng)戶對(duì)電子表格具體的(de)功能要求,以提供系統測試和(hé)确認的(de)基礎。電子表格的(de)用(yòng)戶需求一般包括:
• 數據輸入的(de)類型(文本或數字)
• 數據輸入的(de)範圍
• 計算(suàn)
• 函數
• 報告
• 圖表
• 安全,包括工作表、安全和(hé)數據
• 系統性能、質量、錯誤處理(lǐ)、啓動、關閉等等
輸入數據的(de)類型和(hé)數據的(de)有效範圍必須明(míng)确規定,這(zhè)一點可(kě)以看作是滿足 21 CFR Part11 所要求的(de)特定的(de)控制,比如序列确認或裝置核查。下(xià)面舉幾例說明(míng):
• 輸入的(de) pH 值在 1 到 14 之間
• 活性成分(fēn)濃度(純度)在 0.0%到 100%之間
• 輸入的(de)類型(文本 VS 數字)
• 數值是否真實或完整,隻有正數,沒有零等等
• 文本内容包括日期,符合“MM/DD/YYYY”格式标準或者被限制到特定的(de)字符數。
由電子表格自動進行的(de)計算(suàn)必須根據所使用(yòng)的(de)表達式,使用(yòng)公式形式記錄,而不是Excel中的(de)公式表達形式。如果輸入變量的(de)界限已經制定,則需要在用(yòng)戶需求中詳細說明(míng),因爲界限将會幫助定義輸入數據的(de)有效範圍。下(xià)面是一個(gè)數學表達式計算(suàn)的(de)例子:
其中,H 爲正态曲線的(de)高(gāo)度(縱坐(zuò)标),μ 爲平均值,σ 爲标準偏差,π 爲常數 3.14159,e 爲自然對(duì)數的(de)底數等于 2.718282,x 可(kě)以在(-∞,+∞)中取任何數值。
現代化(huà)的(de)電子表格應用(yòng)軟件同樣可(kě)以使用(yòng)内置函數進行預定義的(de)計算(suàn)或操作。比如微軟的(de) EXCEL,一些廣泛使用(yòng)的(de)函數包括:
• sum -求和(hé)函數
• average-求算(suàn)數平均值函數
• stdev-計算(suàn)标準偏差函數
• count-計算(suàn)單元格數函數
• if-條件判斷函數
• lookup-查詢函數
• round-四舍五入函數
• int.-向下(xià)取整函數
FDA 的(de)軟件驗證原則指南(nán)規定:預設電子表格應用(yòng)軟件的(de)内建函數能夠按預期的(de)工作是不合适的(de)。用(yòng)戶需求必須詳細說明(míng)使用(yòng)何種内建函數以及在什(shén)麽情況下(xià)使用(yòng)。如果電子表格應用(yòng)程序的(de)提供者無法提供充足的(de)文件以清晰的(de)定義數學表達式和(hé)内建函數的(de)對(duì)應關系,用(yòng)戶則需要詳細的(de)說明(míng)内建函數在數學上的(de)形式,這(zhè)是用(yòng)戶理(lǐ)解函數是如何工作的(de)基礎,還(hái)可(kě)以用(yòng)此檢查電子表格中的(de)表達式是否與數學形式上的(de)表達式對(duì)等。對(duì)于複雜(zá)的(de)函數,包括分(fēn)支或返回各種結果或計算(suàn)值,當它用(yòng)于判斷時(shí)(ture 和(hé) false 結果)用(yòng)戶需求必須說明(míng)函數所有可(kě)能的(de)結果。如果函數使用(yòng)查詢值,查詢參考值、查詢向量和(hé)結果向量(統稱爲數組值),标準的(de)查詢結果應在用(yòng)戶需求标準中說明(míng)。如果在數值中使用(yòng)外推法,則方法應同樣清楚地詳細說明(míng)。
電子表格可(kě)能需要根據輸入的(de)數據或自動計算(suàn)出的(de)數據以生成特定的(de)報告和(hé)圖表。這(zhè)些報告或圖表應在用(yòng)戶需求中明(míng)确,至少包括需彙總的(de)數據範圍、彙總計算(suàn)的(de)種類,報告或圖表的(de)樣式 。
因爲電子表格本身并不安全,所以用(yòng)戶需求表中應說明(míng)計算(suàn)、函數、報告、圖表或程序代碼(宏或 VBA)如何保護以防止修改。安全措施依賴物(wù)理(lǐ)和(hé)邏輯組合措施,一般分(fēn)爲四個(gè)層次以滿足 21CFR Part11 或相關法規的(de)要求。這(zhè)四層措施包括工廠、房(fáng)間、用(yòng)戶和(hé)功能。在工廠層次,進入公司現場(chǎng)必須隻限于公司員(yuán)工,參觀者必須有陪同或限制在一般的(de)訪問區(qū)域。在房(fáng)間層次,進入存儲主要電子表格的(de)數據服務器的(de)物(wù)理(lǐ)位置隻限于指定的(de)員(yuán)工并且隻能是特定的(de)房(fáng)間或區(qū)域。在工廠層面和(hé)房(fáng)間層面,安全措施一般是通(tōng)過鎖和(hé)鑰匙、保安和(hé)登記櫃台、ID 卡和(hé)電子門禁卡組合措施來(lái)實現的(de)。在用(yòng)戶水(shuǐ)平,安全包括指定可(kě)以訪問電子表格,這(zhè)包括使用(yòng)或修改的(de)特定用(yòng)戶組。此安全層次涉及訪問控制列表和(hé)網絡安全管理(lǐ)的(de)使用(yòng)。功能級别包括應用(yòng)程序中特定的(de)安全功能,包括基于用(yòng)戶角色而制定訪問不同級别的(de)應用(yòng)程序菜單。功能層次同樣可(kě)以通(tōng)過自定義的(de)格式、界面和(hé) VBA 實現。
用(yòng)戶需求标準由終端用(yòng)戶負責起草(cǎo),注意用(yòng)戶需求中應盡量符合下(xià)面的(de)要求:
● 獨特性
● 簡明(míng)性
● 明(míng)确性
● 完整性
● 可(kě)驗證性
● 一緻性
● 易理(lǐ)解性
● 可(kě)追溯性
在開始電子表格的(de)設計與開發之前,用(yòng)戶需求必須盡可(kě)能的(de)完整,因爲這(zhè)份文件是電子表格驗證的(de)基礎,該文件應受控并且須經過相應人(rén)員(yuán)的(de)審核和(hé)批準,其中應包括終端用(yòng)戶的(de)代表。批準後,用(yòng)戶需求規範須在變更控制管理(lǐ)程序下(xià)進行維護,以防止任何對(duì)項目和(hé)系統開發範圍未經授權的(de)更改。這(zhè)種策略也(yě)能避免因爲分(fēn)歧和(hé)不斷地變更幹擾系統開發人(rén)員(yuán)的(de)工作。
電子表格的(de)設計規範
當有需求規範後,用(yòng)戶下(xià)步可(kě)以要求開發者開發系統原型。一旦最終方案被用(yòng)戶接受,開發者必須提交設計規範以說明(míng)如何滿足用(yòng)戶需求規範中的(de)要求。設計規範至少必須包括系統的(de)描述、表格結構,公式設計、需求追蹤矩陣和(hé)具體的(de)技術基礎環境(如客戶端和(hé)服務器、操作系統、電子表格版本、應用(yòng)軟件版本等)。
判斷設計是否滿足需求,可(kě)以使用(yòng)需求追蹤矩陣(見表 1)。一般而言,需求可(kě)以通(tōng)過設計規範中一條或多(duō)條設計要素實現。
表 1: 設計标準中的(de)需求可(kě)追蹤性矩陣 | |
用(yòng)戶需求規範要素 | 設計規範要素 |
REQ #1–3.1 | 13.2.1, 13.3, 15.1–15.3 |
REQ #2–3.2 | 12.1–12.7 |
REQ #3–3.3 | 13.2.1, 14.1–14.3 |
與用(yòng)戶需求規範相同,設計規範也(yě)必須受控。
電子表格應用(yòng)程序的(de)驗證
采用(yòng)GAMP5指導原則中的(de)軟件分(fēn)類,電子表格根據複雜(zá)度可(kě)分(fēn)爲1,3,4,5類,不同分(fēn)類對(duì)驗證交付物(wù)的(de)要求亦有所不同。例如,對(duì)于4類,5類,根據GAMP5的(de)要求,需要交付驗證計劃,功能規範,風險評估,設計配置規範,源代碼審核,設計确認,安裝确認,運行确認,需求追溯矩陣,驗證總結報告等。
下(xià)表彙總了(le) Excel模闆依據GAMP5的(de)分(fēn)類方法。
一般來(lái)講,電子表格符合兩個(gè)GAMP類别。首先,電子表格應用(yòng)本身被視爲标準軟件包(OTS),因此屬于第3類。運行電子表格應用(yòng)的(de)操作系統(如Windows)屬于第1類。如果使用(yòng)宏或VBA,則電子表格應用(yòng)的(de)自定義代碼部分(fēn)屬于第5類。
軟件驗證相關指導原則的(de)趨勢是根據風險的(de)大(dà)小逐漸降低安裝、運行以及性能确認的(de)工作量和(hé)複雜(zá)度。實際如何進行電子表格驗證取決于簽批的(de)驗證方案,驗證方案需要包含測試描述,測試記錄和(hé)接受标準。驗證過程中,需要保留所有測試用(yòng)例、輸入數據和(hé)測試結果以及其他(tā)文件化(huà)的(de)測試證據。在用(yòng)戶需求規範中定義的(de)功能性需求均需要有測試用(yòng)例進行測試。測試用(yòng)例中需要包括系統硬件和(hé)軟件配置的(de)确認。另外,測試用(yòng)例撰寫和(hé)設計時(shí),需要考慮針對(duì)關鍵的(de)參數進行運行和(hé)性能測試或挑戰測試。測試用(yòng)例的(de)執行結果應如實記錄,并給出該測試用(yòng)例是否通(tōng)過的(de)最終結論。确認方案中通(tōng)過需求追蹤矩陣(見表 3)将測試用(yòng)例和(hé)用(yòng)戶需求以及設計要素進行追溯,防止設計測試用(yòng)例時(shí),遺漏測試項目。
表 3: 确認方案中的(de)需求追溯性矩陣 | ||
用(yòng)戶需求編号 | 設計規範條目 | 測試編号 |
REQ #1–3.1 | 13.2.1, 13.3, 15.1–15.3 | TC #1, TC #2, TC #3 |
REQ #2–3.2 | 12.1–12.7 | TC #4, TC #5 |
REQ #3–3.3 | 13.2.1, 14.1–14.3 | TC #6, TC #7, TC #8, TC #9 |
電子表格驗證的(de)範圍包括系統的(de)靜态和(hé)動态屬性。技術性部分(fēn)應從靜态的(de)環境配置開始。需要記錄電子表格模闆所在服務器硬件的(de)配置和(hé)使用(yòng)電子表格的(de)客戶端硬件的(de)配置,記錄的(de)信息包括計算(suàn)機型号、類型、制造商、序列号以及内存、磁盤容量、用(yòng)戶界面設施(鼠标、顯示器)、外圍設備(打印機、光(guāng)驅)等等。對(duì)于軟件配置,需要記錄服務器和(hé)客戶端的(de)操作系統以及升級補丁包。對(duì)于客戶端,應記錄電子表格軟件的(de)版本以及對(duì)應模闆的(de)版本,編号等信息。如涉使用(yòng)第三方解決方案以符合 21 CFR Part11,第三方系統的(de)硬件和(hé)軟件配置同樣需要記錄,并作爲靜态确認的(de)一部分(fēn)。
靜态确認的(de)下(xià)個(gè)階段是核實公式、宏和(hé) VBA 無法被終端用(yòng)戶修改。通(tōng)過逐列逐行的(de)對(duì)單元格中的(de)公式進行檢查以确認符合設計規範。當電子表格比較複雜(zá)時(shí),在測試數據的(de)選擇上要考慮數量是否足夠,以及是否能與表格的(de)複雜(zá)性相匹配。例如需要确認計算(suàn)所引用(yòng)的(de)單元格區(qū)域是否正确,可(kě)以選擇引用(yòng)開始、中間和(hé)結束點的(de)單元格執行确認,因爲在電子表格設計過程中經常應用(yòng)到的(de)複制操作容易導緻出現引用(yòng)偏差。
當靜态确認完成後,即可(kě)開始動态的(de)确認,以确認電子表格是否符合預期用(yòng)途。動态确認需要進行電子表格模闆基本操作的(de)确認,包括應用(yòng)程序的(de)啓動和(hé)關閉不存在錯誤。如果電子表格儲存在服務器上,則必須進行數據的(de)備份和(hé)恢複确認。其他(tā)方面的(de)操作,如報告打印、模闆檢索和(hé)保存至網絡服務器操作,也(yě)需要确認。對(duì)于網絡化(huà)存儲的(de)電子表格,如果存在多(duō)個(gè)客戶端,可(kě)以根據實際客戶端總數評估和(hé)選擇需要确認的(de)客戶端的(de)數量。
最後是運行和(hé)性能确認。在這(zhè)個(gè)階段,應選擇預先确定的(de)測試數據,應用(yòng)到電子表格中以獲得(de)預期的(de)結果。若因合規考量,電子表格集成第三方解決方案的(de),這(zhè)個(gè)部分(fēn)也(yě)需要進行測試。相同的(de)測試場(chǎng)景,如對(duì)含量計算(suàn)準确度的(de)測試。至少需要有3組測試數據用(yòng)于測試含量計算(suàn)的(de)準确性,以确保确認結果可(kě)靠,能夠始終如一的(de)符合預期用(yòng)途。
用(yòng)于确認的(de)測試數據不僅需要測試函數和(hé)計算(suàn)公式有效範圍内的(de)值,還(hái)需要測試有效範圍限值(上限或下(xià)限)和(hé)稍微超過範圍限值(向上或向下(xià))的(de)值。對(duì)于條件分(fēn)支函數,如果函數分(fēn)支複雜(zá),其中所有的(de)分(fēn)支和(hé)組合都必須進行确認。對(duì)于嵌套函數,應使用(yòng)手動計算(suàn)和(hé)獨立确認的(de)測試數據确認最終公式計算(suàn)的(de)準确性。如果存在 VBA,那麽通(tōng)過VBA實現的(de),比如按鈕、下(xià)拉選擇列表、選項和(hé)文本框等等同樣需要進行功能實現層面的(de)确認。
确認過程中的(de)交付物(wù)同樣十分(fēn)重要。測試過程中的(de)測試證據,如截屏、報告和(hé)打印輸出物(wù)等均需要作爲支持性證據加以保留。實施确認的(de)人(rén)員(yuán)需要如實填寫确認記錄,并整理(lǐ)和(hé)歸納驗證過程中的(de)測試證據,測試證據需要和(hé)特定的(de)測試步驟進行對(duì)應,以便于追溯。
确認執行完畢後需要撰寫最終的(de)驗證總結報告。報告中需要包含偏差和(hé)變更(若有)的(de)處理(lǐ)方法,最終是否關閉。需要對(duì)電子表格驗證工作是否完成以及該電子表格是否符合預期使用(yòng)給出明(míng)确的(de)結論。
◉ 總結
電子表格被廣泛應用(yòng)于各個(gè)公司的(de)不同部門。對(duì)于制藥企業,電子表格的(de)應用(yòng)需要符合21 CFR Part 11 的(de)要求。對(duì)計算(suàn)機化(huà)電子表格應用(yòng)進行規範化(huà)受控管理(lǐ)是十分(fēn)必要的(de)。但在實踐中,電子表格設計并未達到如其他(tā)計算(suàn)機化(huà)應用(yòng)程序所需要的(de)用(yòng)戶控制和(hé)數據追蹤的(de)複雜(zá)水(shuǐ)平,但是可(kě)以用(yòng)補充性的(de)技術解決方案來(lái)實現電子表格對(duì) 21 CFR Part 11 的(de)符合性。
爲能夠達到21 CFR Part 11的(de)符合性,終端用(yòng)戶需要很好的(de)理(lǐ)解電子表格的(de)應用(yòng)場(chǎng)景,分(fēn)析其局限性以及具體存在的(de)合規差距。21 CFR Part 11 定義的(de)策略和(hé)規程同樣可(kě)以很好回答(dá)對(duì)電子表格的(de)使用(yòng),什(shén)麽是必須做(zuò)的(de)以及需要做(zuò)到何種程度。最後,當評價一個(gè)系統對(duì) 21 CFR Part 11 和(hé)其他(tā)相關法規的(de)符合性時(shí),檢查員(yuán)隻會關注系統是否進行了(le)充分(fēn)的(de)測試和(hé)控制,以确保電子表格中數據的(de)真實性,可(kě)靠性、機密性和(hé)不可(kě)篡改性。