Excel電子表格的合規與驗證技術

從電子表格誕生以來，其應用領域便不斷擴展，以至于如今任何需要用到計算機的職業和行業都離(lí)不開電子表格。制藥行業概莫能外，而且成爲電子表格的重度使用者。雖然如今随着各種大型軟件的興起和完善，不斷地蠶食Excel的用武之地，甚至在講述其軟件的優勢時，必然時時列舉電子表格的劣勢做對比，給人的印象似乎還在大量使用Excel電子表格就是(shì)落後的表現(xiàn)，但(dàn)事實上國内制藥企業在電子表格的使用方面整體上仍然處于十分基礎的水平，遠沒有發揮出Excel作爲生産力工具的作用。相(xiàng)比而言，二十年前，當各種專業化大型軟件都缺乏或不成熟的時候，電子表格在歐美藥企的數據自動化處理以及信息化方面起了十分重要的作用。可以說歐美企業經曆了一段以電子表格爲重要手段的信息化時期。這段電子表格的階段并非如我們所認識的是(shì)走彎路，因爲其廣泛的使用規範了數據和流程，爲後來上一些大型軟件打下(xià)了堅實的基礎。如今，電子表格仍然作爲十分重要的工具活躍在一線(xiàn)。

當然，制藥行業是(shì)受法規監管的行業，電子表格作爲計算機化系統的一種，必然也需要符合相(xiàng)關的法規要求，本文将從電子表格的曆史，合規控制，驗證方面逐一進行探讨。 

◉  電子表格簡史

世界上第一個稱得上電子表格軟件的是(shì)1978 年誕生于美國的VisiCalc。VisiCalc始于一名名叫丹尼爾·布萊克林（Daniel Bricklin）的哈佛商學院學生在其案例研究報告中有電子表格的類似需求。在其麻省理工學院（MIT）的熟人和另外一名創始人弗蘭克斯頓（Bob Frankston）的幫助下(xià)，第一個電子數據表軟件 VisiCalc 于 1978 年秋天誕生。盡管VisiCalc功能有限，但(dàn)自1979年已經銷售了一百多萬份。1983年，IBM推出了 Lotus 1-2-3 軟件包，并逐漸成爲了電子數據表标準的領導者。Lotus 1-2-3 添加了完整的制圖、繪圖和數據庫功能，增強了電子表格的功能以及易用性。用戶也對軟件在處理複雜(zá)計算方面的能力非常滿意。最重要的是(shì)，Lotus 1-2-3 引入了命名單元格、單元格範圍和宏的概念，這不僅解決了重複性任務自動化執行的問題，而且提供了一種拓展電子表格應用軟件功能的工具。

直到1984年微軟的 Excel在個人辦公軟件市場出現(xiàn)，Lotus 1-2-3才開始有衰退的迹象。

微軟的Excel 是(shì)第一個使用下(xià)拉式菜單和通過鼠标點擊進行操作的圖形界面的電子表格軟件。1995年春末，Excel取代了Lotus 1-2-3成爲電子表格軟件市場無可争議(yì)的領導者。微軟一直通過增強 EXCEL 的功能來維護其優勢地位，包括整合了 Visual Basic 程序語言的一個子集-Visual Basic for Application（VBA）到 EXCEL 平台的核心。這一方式允許 EXCEL 中的數據被其他微軟應用軟件如 Access 或 Word 共享和處理。

◉  Excel合規性缺陷與補救措施

随着電子表格軟件功能的不斷增強，電子表格逐漸應用到藥物研發，實驗室，生産，臨床等各個領域。如今，一個Excel模闆就相(xiàng)當于是(shì)一個獨立的應用程序，其中包含複雜(zá)函數嵌套，邏輯判斷、甚至包括采用高級語言和表單制作的用戶圖形化界面，用以實現(xiàn)數據計算，自動化報告，圖表展示等多種用途，由此也對驗證提出了更高的要求。

1997 年21CFR Part11“電子記錄和電子簽名”法規的發布，使得電子表格的驗證複雜(zá)性進一步增加。這部法規要求受控的電子記錄或用戶簽名的電子系統必須進行一些關鍵技術控制。電子系統的評估需要通過 4 個關鍵的要素：數據真實性，可靠性、機密性和不可篡改性。基于對這 4 個關鍵屬性的要求，FDA 已經發布了一些警告信。

電子表格在訪問控制方面存在固有的缺陷，即任何終端用戶都可以對電子表格進行訪問和編輯。不同于數據庫，電子表格缺少用戶水平的安全措施，這使得應用程序和支持性數據對獲得了電子表格文件的所有用戶都能輕易訪問。針對這個缺陷，一種解決方法是(shì)部署局域網或網絡服務器，将電子表格模闆放(fàng)入網絡共享路徑，公司就可以通過控制計算機中文件夾的訪問權限來控制對電子表格的訪問；這種方法同樣提供了關于用戶标識（ID）和密碼的技術性控制，這包括用戶 ID 的唯一性、密碼策略、用戶密碼的周期性、曆史密碼的預防使用等等。另一種解決方法是(shì)，用戶在Excel工作簿中自定義的訪問電子表格的密碼（包括工作表保護和工作簿保護），同樣可以限制訪問以保護電子表格的設置避免修改，包括單元格内容、公式，宏和 VBA。密碼的維護必須由公司内與之無相(xiàng)關利益的人員(yuán)，并且密碼的修改應在嚴格的規程控制之下(xià)進行。 上述兩種方法在一定程度上做到了訪問控制，但(dàn)能訪問模闆則代表用戶必然能夠複制該文件。複制出來的文件不受限的傳播和使用又(yòu)會産生新的問題。

電子表格另外一個關鍵的固有缺陷是(shì)沒有審計追蹤功能。這個缺點使得電子表格上輸入的數據無法追蹤和歸屬。其他缺點在 FDA 給各公司的警告信中均有體現(xiàn)，包括無法區分不同人員(yuán)保存的版本，無法确認打印出的紙(zhǐ)質文件和電子表格是(shì)否對應。根據 FDA 對電子表格開出的警告信來看，缺乏追蹤審計是(shì)對電子表格數據的完整性産生質疑的最大來源。

現(xiàn)有的解決方案是(shì)将必要的追蹤審計和數據完整不符合性降至最低。當前電子表格應用軟件提供的變更追蹤的機制，但(dàn)并不十分安全，例如通過工作簿共享後，對所有人的編輯均可追蹤單元格的修改曆史，但(dàn)工作簿共享能被其他用戶關閉（如禁用），關閉後修訂記錄會全部丢失。另外，用戶能在Excel應用程序中随意修改自己的用戶名，從而導緻修訂記錄的信息不真實。最後，由于修訂記錄與Excel文件本身放(fàng)在一起，如果Excel文件丢失，修訂記錄同時也會丢失。爲了彌補Excel本身的合規缺陷，有人使用 VBA來實現(xiàn)入門級的數據審計追蹤和訪問控制功能，即在打開Excel時要求用戶輸入用戶名和密碼，從而識别用戶身份。用戶登錄後，在單元格中的操作被捕獲後存儲到Excel隐藏的工作表中或遠端的數據庫中。這些審計記錄推薦存儲到遠端的數據庫中，從而避免審計追蹤記錄同文件一同丢失。

有些公司也嘗試把電子表格放(fàng)到電子文檔管理系統中（EDMS），由EDMS負責管理電子表格以及其中所含數據的完整性。但(dàn)這種管控方式很難追蹤到詳細的修訂記錄，一般隻能做版本上的管理。當前市面上比較成熟的是(shì)直接針對Excel 開發的合規化插件，通過Add-in的方式進行了合規性的功能開發。eInfotree就是(shì)這種基于Excel的合規插件，爲電子表格提供了訪問控制，審計追蹤，電子簽名等合規性功能。但(dàn)囿于Excel桌面化軟件的特點，雖然合規性得到了質的提升，但(dàn)MS  Office文件可編輯則必然可被删除的特性，以及Excel文件出現(xiàn)崩潰後無法正常打開的情況時有發生，這兩點仍然無法改變，甚至造成極具嚴重的後果。

爲了保證電子表格打印輸出是(shì)真實的，應在需要打印輸出的電子表格頁眉或頁腳打印出根據數據所生成的哈希函數。生成的哈希函數應基于表格中儲存的數據、電子表格保存的時間戳的組合。通過執行 VBA 代碼将生成的哈希值插入打印件中。代碼構建時應防止用戶繞過程序的執行而無法産生哈希值，最後還要配合複核機制對打印件上的哈希函數進行确認。

盡管電子表格因爲缺少技術控制手段導緻其易于篡改，還是(shì)有很多解決方案可以使公司能夠滿足 21CFR Part 11要求。當這些解決方案能夠按照合适的規程和制度得到恰當的實施，盡管不是(shì)非常完美，但(dàn)可以在一定程度上保證數據的真實性，可靠性、機密性和不可篡改性。 

◉  電子表格驗證

起草用戶需求規範

用戶需求規範是(shì)定義系統功能需求的一份文件。此文件一般由用戶起草，闡述用戶對電子表格具體的功能要求，以提供系統測試和确認的基礎。電子表格的用戶需求一般包括：

•        數據輸入的類型（文本或數字）

•        數據輸入的範圍

•        計算

•        函數

•        報告

•        圖表

•        安全，包括工作表、安全和數據

•        系統性能、質量、錯誤處理、啓動、關閉等等

輸入數據的類型和數據的有效範圍必須明确規定，這一點可以看作是(shì)滿足 21 CFR Part11 所要求的特定的控制，比如序列确認或裝置核查。下(xià)面舉幾例說明：

•        輸入的 pH 值在 1 到 14 之間

•        活性成分濃度（純度）在 0.0%到 100%之間

•        輸入的類型（文本 VS 數字）

•        數值是(shì)否真實或完整，隻有正數，沒有零等等

•        文本内容包括日期，符合“MM/DD/YYYY”格式标準或者被限制到特定的字符數。 

由電子表格自動進行的計算必須根據所使用的表達式，使用公式形式記錄，而不是(shì)Excel中的公式表達形式。如果輸入變量的界限已經制定，則需要在用戶需求中詳細說明，因爲界限将會幫助定義輸入數據的有效範圍。下(xià)面是(shì)一個數學表達式計算的例子：

其中，H 爲正态曲線(xiàn)的高度（縱坐标），μ 爲平均值，σ 爲标準偏差，π 爲常數 3.14159，e 爲自然對數的底數等于 2.718282，x 可以在（-∞，+∞）中取任何數值。

現(xiàn)代化的電子表格應用軟件同樣可以使用内置函數進行預定義的計算或操作。比如微軟的 EXCEL，一些廣泛使用的函數包括：

•        sum -求和函數

•        average-求算數平均值函數

•        stdev-計算标準偏差函數

•        count-計算單元格數函數

•        if-條件判斷函數

•        lookup-查詢函數

•        round-四舍五入函數

•        int.-向下(xià)取整函數

FDA 的軟件驗證原則指南規定：預設電子表格應用軟件的内建函數能夠按預期的工作是(shì)不合适的。用戶需求必須詳細說明使用何種内建函數以及在什麽情況下(xià)使用。如果電子表格應用程序的提供者無法提供充足的文件以清晰的定義數學表達式和内建函數的對應關系，用戶則需要詳細的說明内建函數在數學上的形式，這是(shì)用戶理解函數是(shì)如何工作的基礎，還可以用此檢查電子表格中的表達式是(shì)否與數學形式上的表達式對等。對于複雜(zá)的函數，包括分支或返回各種結果或計算值，當它用于判斷時（ture 和 false 結果）用戶需求必須說明函數所有可能的結果。如果函數使用查詢值，查詢參考值、查詢向量和結果向量（統稱爲數組值），标準的查詢結果應在用戶需求标準中說明。如果在數值中使用外推法，則方法應同樣清楚地詳細說明。

電子表格可能需要根據輸入的數據或自動計算出的數據以生成特定的報告和圖表。這些報告或圖表應在用戶需求中明确，至少包括需彙總的數據範圍、彙總計算的種類，報告或圖表的樣式 。

因爲電子表格本身并不安全，所以用戶需求表中應說明計算、函數、報告、圖表或程序代碼（宏或 VBA）如何保護以防止修改。安全措施依賴物理和邏輯組合措施，一般分爲四個層次以滿足 21CFR Part11 或相(xiàng)關法規的要求。這四層措施包括工廠、房間、用戶和功能。在工廠層次，進入公司現(xiàn)場必須隻限于公司員(yuán)工，參觀者必須有陪同或限制在一般的訪問區域。在房間層次，進入存儲主要電子表格的數據服務器的物理位置隻限于指定的員(yuán)工并且隻能是(shì)特定的房間或區域。在工廠層面和房間層面，安全措施一般是(shì)通過鎖和鑰匙、保安和登記櫃台、ID 卡和電子門禁卡組合措施來實現(xiàn)的。在用戶水平，安全包括指定可以訪問電子表格，這包括使用或修改的特定用戶組。此安全層次涉及訪問控制列表和網絡安全管理的使用。功能級别包括應用程序中特定的安全功能，包括基于用戶角色而制定訪問不同級别的應用程序菜單。功能層次同樣可以通過自定義的格式、界面和 VBA 實現(xiàn)。

用戶需求标準由終端用戶負責起草，注意用戶需求中應盡量符合下(xià)面的要求：

●  獨特性

●  簡明性

●  明确性

●  完整性

●  可驗證性

●  一緻性

●  易理解性

●  可追溯性

在開始電子表格的設計與開發之前，用戶需求必須盡可能的完整，因爲這份文件是(shì)電子表格驗證的基礎，該文件應受控并且須經過相(xiàng)應人員(yuán)的審核和批準，其中應包括終端用戶的代表。批準後，用戶需求規範須在變更控制管理程序下(xià)進行維護，以防止任何對項目和系統開發範圍未經授權的更改。這種策略也能避免因爲分歧和不斷地變更幹擾系統開發人員(yuán)的工作。

電子表格的設計規範

當有需求規範後，用戶下(xià)步可以要求開發者開發系統原型。一旦最終方案被用戶接受，開發者必須提交設計規範以說明如何滿足用戶需求規範中的要求。設計規範至少必須包括系統的描述、表格結構，公式設計、需求追蹤矩陣和具體的技術基礎環境（如客戶端和服務器、操作系統、電子表格版本、應用軟件版本等）。

判斷設計是(shì)否滿足需求，可以使用需求追蹤矩陣（見(jiàn)表 1）。一般而言，需求可以通過設計規範中一條或多條設計要素實現(xiàn)。

與用戶需求規範相(xiàng)同，設計規範也必須受控。 

電子表格應用程序的驗證

采用GAMP5指導原則中的軟件分類，電子表格根據複雜(zá)度可分爲1，3，4，5類，不同分類對驗證交付物的要求亦有所不同。例如，對于4類，5類，根據GAMP5的要求，需要交付驗證計劃，功能規範，風險評估，設計配置規範，源代碼審核，設計确認，安裝确認，運行确認，需求追溯矩陣，驗證總結報告等。

下(xià)表彙總了 Excel模闆依據GAMP5的分類方法。

一般來講，電子表格符合兩個GAMP類别。首先，電子表格應用本身被視爲标準軟件包（OTS），因此屬于第3類。運行電子表格應用的操作系統（如Windows）屬于第1類。如果使用宏或VBA，則電子表格應用的自定義代碼部分屬于第5類。

軟件驗證相(xiàng)關指導原則的趨勢是(shì)根據風險的大小逐漸降低安裝、運行以及性能确認的工作量和複雜(zá)度。實際如何進行電子表格驗證取決于簽批的驗證方案，驗證方案需要包含測試描述，測試記錄和接受标準。驗證過程中，需要保留所有測試用例、輸入數據和測試結果以及其他文件化的測試證據。在用戶需求規範中定義的功能性需求均需要有測試用例進行測試。測試用例中需要包括系統硬件和軟件配置的确認。另外，測試用例撰寫和設計時，需要考慮針對關鍵的參數進行運行和性能測試或挑戰測試。測試用例的執行結果應如實記錄，并給出該測試用例是(shì)否通過的最終結論。确認方案中通過需求追蹤矩陣（見(jiàn)表 3）将測試用例和用戶需求以及設計要素進行追溯，防止設計測試用例時，遺漏測試項目。

電子表格驗證的範圍包括系統的靜态和動态屬性。技術性部分應從靜态的環境配置開始。需要記錄電子表格模闆所在服務器硬件的配置和使用電子表格的客戶端硬件的配置，記錄的信息包括計算機型号、類型、制造商、序列号以及内存、磁盤容量、用戶界面設施（鼠标、顯示器）、外圍設備（打印機、光驅）等等。對于軟件配置，需要記錄服務器和客戶端的操作系統以及升級補丁包。對于客戶端，應記錄電子表格軟件的版本以及對應模闆的版本，編号等信息。如涉使用第三方解決方案以符合 21 CFR Part11，第三方系統的硬件和軟件配置同樣需要記錄，并作爲靜态确認的一部分。

靜态确認的下(xià)個階段是(shì)核實公式、宏和 VBA 無法被終端用戶修改。通過逐列逐行的對單元格中的公式進行檢查以确認符合設計規範。當電子表格比較複雜(zá)時，在測試數據的選擇上要考慮數量是(shì)否足夠，以及是(shì)否能與表格的複雜(zá)性相(xiàng)匹配。例如需要确認計算所引用的單元格區域是(shì)否正确，可以選擇引用開始、中間和結束點的單元格執行确認，因爲在電子表格設計過程中經常應用到的複制操作容易導緻出現(xiàn)引用偏差。

當靜态确認完成後，即可開始動态的确認，以确認電子表格是(shì)否符合預期用途。動态确認需要進行電子表格模闆基本操作的确認，包括應用程序的啓動和關閉不存在錯誤。如果電子表格儲存在服務器上，則必須進行數據的備份和恢複确認。其他方面的操作，如報告打印、模闆檢索和保存至網絡服務器操作，也需要确認。對于網絡化存儲的電子表格，如果存在多個客戶端，可以根據實際客戶端總數評估和選擇需要确認的客戶端的數量。

最後是(shì)運行和性能确認。在這個階段，應選擇預先确定的測試數據，應用到電子表格中以獲得預期的結果。若因合規考量，電子表格集成第三方解決方案的，這個部分也需要進行測試。相(xiàng)同的測試場景，如對含量計算準确度的測試。至少需要有3組測試數據用于測試含量計算的準确性，以确保确認結果可靠，能夠始終如一的符合預期用途。

用于确認的測試數據不僅需要測試函數和計算公式有效範圍内的值，還需要測試有效範圍限值（上限或下(xià)限）和稍微超過範圍限值（向上或向下(xià)）的值。對于條件分支函數，如果函數分支複雜(zá)，其中所有的分支和組合都必須進行确認。對于嵌套函數，應使用手動計算和獨立确認的測試數據确認最終公式計算的準确性。如果存在 VBA，那麽通過VBA實現(xiàn)的，比如按鈕、下(xià)拉選擇列表、選項和文本框等等同樣需要進行功能實現(xiàn)層面的确認。

确認過程中的交付物同樣十分重要。測試過程中的測試證據，如截屏、報告和打印輸出物等均需要作爲支持性證據加以保留。實施确認的人員(yuán)需要如實填寫确認記錄，并整理和歸納驗證過程中的測試證據，測試證據需要和特定的測試步驟進行對應，以便于追溯。

确認執行完畢後需要撰寫最終的驗證總結報告。報告中需要包含偏差和變更（若有）的處理方法，最終是(shì)否關閉。需要對電子表格驗證工作是(shì)否完成以及該電子表格是(shì)否符合預期使用給出明确的結論。 

◉  總結

電子表格被廣泛應用于各個公司的不同部門。對于制藥企業，電子表格的應用需要符合21 CFR Part 11 的要求。對計算機化電子表格應用進行規範化受控管理是(shì)十分必要的。但(dàn)在實踐中，電子表格設計并未達到如其他計算機化應用程序所需要的用戶控制和數據追蹤的複雜(zá)水平，但(dàn)是(shì)可以用補充性的技術解決方案來實現(xiàn)電子表格對 21 CFR Part 11 的符合性。

爲能夠達到21 CFR Part 11的符合性，終端用戶需要很好的理解電子表格的應用場景，分析其局限性以及具體存在的合規差距。21 CFR Part 11 定義的策略和規程同樣可以很好回答對電子表格的使用，什麽是(shì)必須做的以及需要做到何種程度。最後，當評價一個系統對 21 CFR Part 11 和其他相(xiàng)關法規的符合性時，檢查員(yuán)隻會關注系統是(shì)否進行了充分的測試和控制，以确保電子表格中數據的真實性，可靠性、機密性和不可篡改性。