第二章：系统架构与岗位权限管理

本系统基于“核心集权、现场协同、实时审计”的数字化架构设计，旨在将 HJ 1262-2022 标准中的程序要求转化为系统刚性约束。通过精细化的岗位授权与业务逻辑网关，确保实验全过程合规、数据真实可靠且具备物理防篡改能力。

2.1 数字化协同架构

系统构建了一个覆盖从采样登记到结果核算的数字化环境，由以下三个维度支撑：

2.1.1 闭环业务交互终端

系统支持多终端并发作业。**管理端（质量主管）**负责任务指派与合规审查；**执行端（配气员与嗅辨员）**通过移动终端或固定工作站进行现场数据采集。这种设计确保了实验判定在产生的瞬间即进入系统监控，彻底杜绝了事后补填导致的原始记录失真。

2.1.2 实时指令流转引擎

系统内置基于 MQTT 协议 的实时通讯引擎，实现了配气操作指令与嗅辨判定反馈的毫秒级同步。该引擎不仅协调作业步调，还通过“时间戳锚点”记录每一级稀释的起止时间，确保实验过程严格遵循标准规定的时间节奏（如 24 小时测定效期）。

2.1.3 合规存证与安全中心

所有原始判定数据、人员操作轨迹及计算中间值均由后端安全中心采用结构化存储。系统严禁物理删除任何检测记录。所有关键文件（如电子签名）均生成 SHA-256 数字指纹，配合自动化的数据备份机制，确保审计证据链的物理完整性。

2.2 岗位角色与权限矩阵

系统根据实验室质量管理体系要求，预设了五大核心角色，通过代码层级的权限网关实现“不相容职务隔离”。

2.2.1 角色定义及核心职能

岗位角色	代码标识	核心合规职能
系统管理员	system_admin	负责账号开通及配置，不接触任何实验原始数据。
质量主管	quality_manager	拥有全局监控权、审计日志调阅权、电子签名核准权及任务异常纠偏（回滚）审批权。
采样员	sampler	负责现场样品物理属性录入。其身份与该样品的配气/嗅辨岗位互斥。
配气员	gas_operator	负责稀释梯度控制。HJ 1262 强制要求每项任务指派 2 名配气员协同作业。
嗅辨员	panelist	负责健康申明、灵敏度标定及盲测判定。其在线状态及资质受系统实时监控。

2.2.2 人员角色互斥规则 (Separation of Duties)

系统在任务分配阶段执行严格的角色冲突拦截逻辑：

• 采样与检测隔离：担任该样品现场采样的人员，不得兼任该样品的配气或嗅辨工作。
• 配气与判定隔离：负责配气及分发的操作人员，无法进入该任务的嗅辨判定界面。
• 资质准入硬锁：未取得臭气合格证、未完成 1+9 灵敏度建档或今日状态申明不合格的人员，系统自动从可选名单中剔除。

2.3 合规性逻辑网关

系统将 HJ 1262-2022 的条款转化为无法绕过的逻辑关卡，实现从“事后稽核”向“过程受控”的进化。

2.3.1 任务激活的前置审计检查

在任务进入执行阶段前，系统启动资源核验网关：

• 嗅辨人数达标校验：根据任务类型（环境空气需 6 人，固定源 $\ge$ 4 人）动态核对。人数不足时，配气指令无法下达。
• 每日健康申明校验：嗅辨员必须完成当日健康与卫生申明，否则路由守卫（Guard）将拦截其进入实验视图。
• 实时连接性核验：系统实时监测各工位网络连接，若检测到 MQTT 断开，将暂时禁用提交功能，以确保存证的同步性。

2.3.2 任务状态的生命周期锁定

• 只读保护：任务一旦进入 COMPLETED（已完成）状态，其原始判定矩阵及计算参数将立即转入只读模式，任何人员均无权静默修改。
• 纠偏审批机制：针对确需修正的操作失误，必须通过“状态回退（Rollback）”流程。系统会强制触发 21 CFR Part 11 二次身份验证，要求操作者重新输入密码进行电子签名确认，并详细记录回退原因。

2.4 审计追踪 (Audit Trail)

系统引入 ALCOA+ 框架，通过“数字黑匣子”技术保护实验室的合规资产。

2.4.1 业务全过程溯源

系统对每一个影响检测结果的动作（如：稀释倍数变更、答案提交、人员替换）均生成包含 X-Trace-ID 的审计条目。日志包含操作人、高精度时间戳、IP 地址以及修改前后的原始快照。

2.4.2 数据脱敏查阅审计

为防止实验偏见及保护数据隐私，系统对尚未结束的检测任务执行数据脱敏显示。质量主管在查阅已掩码的敏感数据时，系统会实时记录该查阅行为，确保审计查阅行为本身也受到监管。