合规与审计

每条审计条目包含以下字段：

• 操作者（Who）：用户姓名、邮箱、用户 ID（防止改名后无法追溯）
• 操作类型（What）：create / update / delete / sign / export / status_change 等
• 时间（When）：UTC 时间戳，精确到毫秒
• 来源（Where）：IP 地址、User-Agent（浏览器/设备特征）
• 目标记录（Which）：实体类型（Experiment / Sample / Protocol 等）、记录 ID、记录标题
• 变更内容（Delta）：字段级别的 JSON diff，格式：{"field": {"before": "旧值", "after": "新值"}}
• HMAC 链（Chain）：每条记录包含前一条记录的 HMAC-SHA256 哈希值，形成密码学链式结构
• 条目 ID：全局唯一、单调递增的标识符

审计数据存储在独立的仅写数据库分区（与主业务数据物理隔离），且写入权限仅对应用程序服务账号开放，数据库管理员账号也不能直接修改审计表。

HMAC 链（Hash-based Message Authentication Code Chain）是确保审计日志顺序不可伪造的密码学机制。理解它的最好方式是类比：

1. 进入「系统 → 审计日志」，默认显示过去 24 小时内的所有操作，按时间倒序排列（最新操作在最上方）。
2. 使用筛选条件缩小范围：
   • 日期范围：点击日期选择器，设置开始和结束日期（最大范围 1 年，如需更长范围请使用导出功能）
   • 操作者：在搜索框输入用户姓名或邮箱，从自动补全列表中选择
   • 实体类型：勾选要查看的记录类型（实验 / 样品 / 协议 / 仪器 / 任务 / 库存 / 系统）
   • 操作类型：勾选 create / update / delete / sign / export 等
   • 关键词搜索：全文搜索日志内容（包括操作描述和 diff 内容）
   • 记录 ID：直接输入特定记录的 ID 查看该记录的所有操作历史
3. 点击任意日志条目左侧的「▶ 展开」图标，查看该条目的完整详情，包含：
   • 操作者的完整信息（姓名、邮箱、用户 ID）
   • 完整的 before/after JSON diff（字段级别，变化字段高亮显示）
   • HMAC 链哈希值（点击可与链中前一条记录对比）
   • 操作来源 IP 和 User-Agent
4. 对于签名类操作，展开详情后还显示：签名含义声明原文、签名时的内容哈希值（可用于独立验证签名时的内容完整性）。

1. 设置好筛选条件后（建议先筛选，避免导出过大文件），点击页面右上角「导出」按钮。
2. 选择导出格式：
   • CSV：结构化数据，适合导入 Excel 进行进一步分析和自定义报告。字段包含所有日志字段，JSON diff 以字符串格式存储。
   • PDF：格式化报告，包含 PonyLab 数字签名（证明报告由系统生成未被修改），适合合规提交、法规检查和存档。PDF 报告包含生成时间戳和生成人信息。
   • JSON：完整原始数据格式，包含所有字段和 HMAC 链数据，适合开发人员进行自定义完整性验证。
3. 选择时区（用于 PDF 报告中的时间戳显示；原始数据始终以 UTC 存储）。
4. 点击「生成导出文件」，大文件会在后台生成，完成后通过应用内通知和邮件提醒下载。

1. 进入「系统 → 审计日志」，点击右上角「验证完整性」按钮。
2. 选择验证的时间范围（可选全量或自定义范围）。
3. 点击「开始验证」，系统从第一条记录开始，重新计算每条记录的 HMAC 值并与存储值比对。
4. 验证完成后显示结果报告：
   • 验证通过：「共验证 N 条记录，链式完整性完好」，无任何篡改迹象
   • 发现异常：「在第 X 条记录（ID: XXXXXX，时间: YYYY-MM-DD HH:mm）处发现链断裂」，并显示预期哈希值和实际哈希值的比对
5. 完整性验证报告可导出为 PDF，用于合规存档或监管提交。

PonyLab 的电子签名在技术层面满足以下 21 CFR Part 11 要求，使其与手写签名具有同等法律效力：

• 身份唯一性：签名与唯一账号绑定，需要重新输入密码验证身份（不接受已登录的 Session Token）
• 内容绑定：签名时计算文档内容的 SHA-256 哈希值，哈希与签名加密绑定。任何后续内容修改，签名即失效
• 时间戳：UTC 时间戳精确到毫秒，由服务器生成（非客户端），防止客户端时间篡改
• 含义声明：每次签名必须选择含义（如「作者批准」「审阅人批准」「见证人」），且原文永久存储
• 不可否认性：签名记录本身也纳入审计追踪，防止事后否认或追溯补签

1. 打开实验记录（或需要签名的文档），确认内容已填写完整，点击右上角「提交签名」按钮。
2. 在签名对话框中：
   • 系统显示「签名摘要」：文档标题、内容哈希值（32 位十六进制）、当前时间戳
   • 若文档包含偏差记录，显示偏差数量警告摘要
   • 选择「签名含义」（必选）：作者批准 / 审阅批准 / PI 批准 / 合规确认
   • 在「密码」输入框中输入当前账号密码
   • 点击「确认签名」完成
3. 若配置了见证人要求，签名完成后系统通知指定见证人。见证人按相同步骤完成见证签名（见证人选择「见证确认」作为含义声明）。
4. 所有必需签名完成后，文档自动锁定，状态变为 已签名，在文档顶部显示签名人列表、时间戳和含义。

以下情况应考虑创建 CAPA：

• 记录了「高影响」级别的协议偏差
• 实验结果无法重现（超出预期范围）
• 仪器校准或 OQ/PQ 验证失败
• 内部审计或外部检查发现不符合项
• 客户投诉或外部信号（产品问题、安全事故）
• 趋势分析发现某类问题发生频率上升

1. 前往「系统 → CAPA」，点击「＋ 新建 CAPA」按钮。
2. 填写基本信息：
   • CAPA 类型：纠正措施（已发生问题）/ 预防措施（潜在风险）
   • 问题描述（必填）：详细描述不符合项，包含发现时间、发现人、发现场景。例如：「2024-03-15 在 Western Blot 实验（实验 ID: EXP-2024-089）中发现抗体孵育步骤温度超出规定范围（实际 6°C，规定 4°C），操作人确认为孵育箱故障。」
   • 严重性评级：低 / 中 / 高 / 关键，影响响应优先级和通知范围
   • 关联记录：挂载相关实验、样品、仪器记录或偏差报告（点击「搜索关联」选择）
3. 指定责任人：选择 CAPA 的整体负责人，通常为 PI、质量经理或问题直接涉及的资深研究员。责任人对 CAPA 的推进进度负责。
4. 设置截止日期：根据问题严重性设置合理期限。紧急/关键问题通常 2–5 天；中级 1–2 周；低级 1 个月内。
5. 点击「创建 CAPA」，CAPA 状态为 OPEN，责任人收到通知。

当 CAPA 截止日期到期但状态未达到 CLOSED 时：

• 系统每天发送提醒通知给 CAPA 责任人（最多 7 天）
• 第 3 天仍未处理：升级通知给 PI 和团队 SUPER_ADMIN
• 第 7 天仍未处理：在仪表板上显示红色「严重逾期 CAPA」警告
• 可在「系统 → 自动化」中配置 capa.overdue 触发器执行自定义升级通知逻辑
• 若有合理原因需要延期，SUPER_ADMIN 可以在 CAPA 详情页修改截止日期并填写延期原因（该操作记录在审计追踪中）

1. 前往「系统 → 合规报告」，选择「GLP 研究报告」标签。
2. 从下拉列表中选择「研究方向」（必填）：仅显示你有权限访问的研究方向。
3. 设置「报告时间范围」（选填）：默认为研究方向的开始至今；也可以只选取特定时间段生成阶段性报告。
4. 选择报告包含的章节（全选或勾选需要的章节）。
5. 点击「生成预览」，系统在右侧面板显示报告预览（通常需要 10–30 秒）。
6. 检查预览内容，确认无误后点击「导出 PDF」或「导出 JSON」。

1. 前往「系统 → 合规报告」，选择「GMP 批次记录报告」标签。
2. 在搜索框中输入批次号（Batch Number），或从最近批次列表中选择。
3. 系统显示该批次的基本信息预览：产品名称、批次号、计划生产量、关联实验数量。
4. 点击「生成报告」，预览后导出 PDF。

• 所有鉴定记录自动纳入 GLP/GMP 报告中的「仪器鉴定状态」章节
• 鉴定文件（测试记录、签名确认）与审计追踪完全集成，防篡改
• 鉴定过期仪器在系统中以红色标记，用户在实验中引用时收到合规警告
• 通过标准 API 可查询指定仪器的当前鉴定状态，用于 LIMS 集成
• 可配置自动化规则：鉴定到期前 30/14/7 天自动通知设备管理员和 PI