写在前面:近来,收到反应说之前写的“新版GMP关于计算机化系统与MHRA数据完整性解读”很受用,笔者深感荣幸,毕竟这是一块很冗杂的东西,实在很难写的全面,所以笔者只是将GMP中提到的做了一下适当的解读,适逢前阵子GE公司代理来单位讲解相关内容,虽然讲解很水,但笔者还是从中钻研出一些值得注意的问题,特更新文档,补充些许内容,诸位有其他补充的可以私信笔者,共同完善本文档,希望日后此文档能够有机会作为国内计算机化系统方面的指导文件以供业内同事参考学习。
新版GMP关于计算机化系统与MHRA数据完整性解读
共6章24条。接下来逐条解释
第一条 本附录适用于在药品生产质量管理过程中应用的计算机化系统。计算机化系统由一系列硬件和软件组成,以满足特定的功能。
/****************************************************************************
本条说的比较笼统,所谓满足特定功能就是指由计算机系统、相关程序和被程序控制的一些流程、生产、控制功能的大的概念的计算机化系统,包括生产的、质量控制的、办公的、财务管理的大部分设备。
***************************************************************************/
第二条 计算机化系统代替人工操作时,应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响,不增加总体风险。
/****************************************************************************
在应用计算机化系统代替传统人工操作的繁琐程序时候,我们要注意到计算机化系统虽然可以提高工作效率,但是需考虑这种替代或变革随之带来的风险,这种风险可能是来自产品质量的、过程控制的,也可能是整个质量保证体系的,需慎重、全面考虑这种变革带来的诸多影响,原则上同过去手工操作相比,不可以增加原系统的总体风险。
***************************************************************************/
第三条 风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证和数据完整性控制的程度。
/****************************************************************************
对风险管理从两个维度提出了具体要求。
1.时间维度,风险管理要求贯穿整个计算机化系统全生命周期,包括概念提出、项目实施、系统运行直到系统引退,注意系统引退后最好要保证在一段时间内可以实现系统可以部署实施、重现出来,可以查看到以前的数据或是操作日志、操作流程等信息。此处内容涉及数据完整性的相关要求,笔者结合MHRA数据完整性指南的相关规定进行相关的分析与解读。
2.潜在后果,即可能造成的危险,即风险如果发生,可能会导致的后果会是什么,人员伤亡、质量投诉、数据丢失等,正是基于对这些后果的考虑,才有了风险管理的现实出发点,即所有的系统设计、安装、使用以及变更,都需要充分考虑患者安全、产品质量、数据完整性的影响。且根据风险评估做出的影响分析,用来作为确定系统验证方案和系统数据完整性控制的依据。
***************************************************************************/
第四条 企业应当针对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。
企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。
/***************************************************************************
明确对提供计算机化系统产品或服务供应商的具体管理要求,包括供应商管理SOP(很重要,这点被很多企业都忽略),正式的协议或合同、企业相关的资质文件、过往相关工程项目的专业化的分析(同样重要,同样被忽略)等。企业应当基于对风险评估的结果,对供应商进行相应的调查、评估(应有记录与审核),并有实施审计形成文件化的记录。软件或操作系统应有适合的审计追踪功能,且不可关闭,普通操作员仅仅可以查看。
***************************************************************************/
第五条 计算机化系统生命周期中所涉及的各种活动,如验证、使用、维护、管理等,需要各相关的职能部门人员之间的紧密合作。应当明确所有使用和管理计算机化系统人员的职责和权限,并接受相应的使用和管理培训。应当确保有适当的专业人员,对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。
/***************************************************************************
在进行计算机化系统验证整个生命周期当中,要明确所有使用和管理这些系统人员的职责和权限,这一点很重要,如果事先不能很清晰地界定清楚大家的分工和职责,将会造成验证工作的混乱,相互扯皮、甚至会造成某些环节在管理上的真空或重叠。关于培训,要有完整的上岗操作前的培训体系,包括考核与试上岗等,使各级管理人员、操作人员有能力完成自己的工作职责并针对部分日常简单故障的排查等能力。这里一般企业都可以做到,但各个人员的选择应注意职能、部门的区分。
***************************************************************************/
第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。应当在计算机化系统生命周期中保持其验证状态。
/***************************************************************************
关于验证:明确计算机化系统的验证范围或对象,验证对象包括应用程序(软件与系统)和基础架构/组态(硬件、网络,这里应该包括UPS等外设),很多企业会忽略掉这点,简单的认为验证仅仅是关于计算机方面的,这简直是大错特错。
但也不是只要连接在计算机端属于该系统的一切周边都要验证,应该确定验证的具体范围和程度:这里需要根据实际情况基于科学的风险评估,风险评估应该充分考虑该系统的使用范围和用途。
重点:计算机化系统在整个生命周期中验证状态要得到持续保持有效,也就是说验证工作其实是个常态的工作,而不是一项阶段性的工作。
***************************************************************************/
第七条企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单,标明与药品生产质量管理相关的功能。清单应当及时更新。
/***************************************************************************
需要建立“计算机化系统清单”,往往容易被忽视,这是常见在GMP现场审核时的整改项目。
作为CIO或IT部门负责人,你对你所管理的整个企业内部每个系统要有明确的清单,知道哪些系统需做验证,哪些系统不需做验证,什么时间需要验证,验证是否还有效;做验证的系统的硬件、网络和软件具体配置以及备份数据、配置的有效性等能否满足验证和使用的要求,以及清单的及时更新与有效性检查等。清单类似下面,根据不同的实际情况可作相应修改。这里注意企业的IT部门应独立于生产与质量部门。
***************************************************************************/
第八条 企业应当指定专人对通用的商业化计算机软件进行审核,确认其满足用户需求。
在对定制的计算机化系统进行验证时,企业应当建立相应的操作规程,确保在生命周期内评估系统的质量和性能。
/***************************************************************************
需要做验证的系统或软件要进行分类,即商业化软件(无需定制开发)和定制开发软件(专用功能的实现,需要定制开发的)这二大类。实际上很难对这种复杂程度高的软件进行评估分析,所以需要考虑使用这些系统所带来的风险,前者成熟稳定,经过了长时间市场、多数项目工程的验收和很长时间的检验;后者满足企业的个性化使用,会有潜在的风险的存在,需要经过实际的长时间使用与检验才能被证明是否稳定、可靠。
所以前者我们仅需做审核、确认,而后者则需建立严格的操作规程,严格的测试,包括系统健壮性、数据完整性等等。
验证其系统的稳定性和产品的健壮性,商业化和定制开发验证的所要求的程度不一样。
***************************************************************************/
第九条 数据转换格式或迁移时,应当确认数据的数值及含义没有改变。
/***************************************************************************
同样是对于数据完整性的测试,参考MHRA的要求经确认与初始记录完全相同的复制件。初始记录和正确的副本必须维持记录的完整性(准确性、完全性、内容与含义)。初始记录完全正确的复制件可以和初始记录放置在一起(例如纸质记录的扫描件),并建立文件记录体系来核对和记录复制记录的完整性。这里很多企业选择MD5检验方式来核对文件或数据的一致性。MD5是通过特定的散列函数计算出的散列值拿来和随数据传输的散列值比较。如果两个值相同,说明传输的数据完整无误、没有被窜改过,从而可以放心使用(前提是文件散列值没有被窜改,由于MD5只与文件内容有关,只要文件内容不一样,得出来的MD5值完全不一样。就是说文件内容差一个字符不一样,得出的MD5值也完全不一样,但是文件的MD5值实际上是可以实现更改的,所以这种看上去不错的方法、同时也是普遍使用中的方法其实。。。)
比如说在做系统升级时,升级后的系统迁移过来的数据的数值和含义必须是同升级前系统的数据保持一致。
要求:如液相等系统不可以对同一操作记录两遍,防止数据产生方为获取适宜的数据而重复操作。
***************************************************************************/
第十条 系统应当安装在适当的位置,以防止外来因素干扰。
/***************************************************************************
从环境和安全的角度,提出了系统安装的位置,以防止外来因素的干扰。这其实是说系统对机房或其他办公环境的要求,包括室内的温度、湿度、防尘、防潮、防盗等要求,所以,企业应首先建立《厂房设施管理规程》,不同设备、系统所要求的环境等不一样,要保障厂房、或实验室内软硬件及相关附属设备安全、稳定运行。
***************************************************************************/
第十一条 关键系统应当有详细阐述的文件(必要时,要有图纸),并须及时更新。此文件应当详细描述系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征,以及如何与其他系统和程序对接。
/***************************************************************************
关键系统技术资料有具体要求:比如功能说明书、硬件设计说明、系统概要设计和详细设计,目的是要表述清楚整个系统的工作原理、安全措施、运行方式以及与外部系统的接口等,为后续系统的升级、维护提供技术交底材料。
***************************************************************************/
第十二条 软件是计算机化系统的重要组成部分。企业应当根据风险评估的结果,对所采用软件进行分级管理(如针对软件供应商的审计),评估供应商质量保证系统,保证软件符合企业需求。
/***************************************************************************
软件要进行分级管理,因为要做好软件的风险管控。如果软件是向供应商购买的或委托供应商定制开发的,注意基于风险评估结果,必要时企业需对该软件供应商进行审计,评估供应商的质量保证体系,确保软件功能可靠、性能稳定、数据完整,满足企业使用需求。具体分级可参考如下(实际上只能具体情况具体分析,大体都要根据故障影响程度与风险评估来个性化设计):
***************************************************************************/
第十三条 在计算机化系统使用之前,应当对系统进行全面测试,并确认系统可以获得预期的结果。当计算机化系统替代某一人工系统时,可采用两个系统(人工和计算机化)平行运行的方式作为测试和验证内容的一部分。
/***************************************************************************
强调系统正式使用前的相关功能性、系统健壮性等测试,应该经过充分而全面的测试,并最终测试合格,通过验收。至于需要做哪些类型的测试以及测试做到什么程度,取决于风险评估结果和软件分级管理。
最常见的测试类型,包括模块单元测试、系统集成测试以及用户接受测试、软件的黑盒测试等。
系统证实投入使用前要有试运行阶段,也就是人工和计算机化系统平行运行的方式(很重要),其实是系统切换上线后的试运行,该阶段结束后,将试运行期间人工记录数据和系统运行数据进行比对,根据比对后的结果,做最终的验证结论,本质上也是验证系统是否可靠的一种手段(必须有)。该阶段的具体测试时间可参考具体的生产周期。
***************************************************************************/
第十四条 只有经许可的人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。应当就进入和使用系统制订授权、取消以及授权变更的操作规程。必要时,应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录本及相关物理隔离手段,保证只有经许可的人员方能进行操作。
/***************************************************************************
明确对系统的权限管理,提出了二个方面的管控:一个是进入系统(系统层面),另一个是使用系统(软件使用层面)。前者只是浏览系统,获取信息,比如相关人员和领导;后者则要实实在在要在系统中进行业务操作。这里涉及到用户权限划分相关要点,如果以后有时间笔者会专门写一篇关于用户权限划分以及设计相关要求的指南拓展介绍。
要制定系统权限管理SOP,即《药品GMP计算机系统授权操作规程》内容包括授权、取消授权以及权限变更等流程。注意,在系统设计时,需具备记录未经许可的人员试图访问系统行为的功能(日志形式体现)。
注意对于很多的老系统,之前的设计和功能存在缺陷,不能对人员的权限进行很好的控制的话,则必须制定书面程序,线下做好相关的记录和手续,做到人员在物理上进入和使用系统的控制与记录。
对系统进行权限设置时要注意:系统本身具有权限设置功能则按要求进行设置,应对操作系统和软件分别进行权限设置。操作系统的设置最好为两级(系统管理员与操作员),软件的设置原则不能少于三级(系统管理员、高级操作员与普通操作员)。
系统管理员角色,根据组织的规模和性质,尽可能将系统管理员权限的数量限制到最少。
不能采用无法区分身份的系统管理员帐户。
现行GMP上并未对管理员帐户做过多要求。
注意1:MHRA上要求担任系统管理员的人员登入系统时应采用唯一的登录帐号,以便审计追踪能追踪到特定个人。原则上不得将系统管理员权限(授权的操作,如数据删除、数据库修改或系统配置的修改)分配给数据(数据生成、数据审核或批准)的直接利益方。这也是很多企业做不到的地方。这里可以考虑的做法是将其设计在程序内部,无需操作人员手动修改,但由于这种方法并未经过实际的国外验证,所以不推荐使用。
注意2:当由于组织结构原因不可避免时,可采用不同权限的双用户帐户来实现同等水平的控制:使用系统管理员权限进行的所有更改必须在质量体系中被监督和批准。
注意3:对记录事件时间的计时器也要进行权限控制;用户权限控制以防止(或审计追踪)数据篡改;员工进行数据核对时,对进入原始数据进行权限控制。
这里有某些老系统或存在设计缺陷的系统本身不具有限制权限的设置功能,但也应当对其进行控制。具体方法如:使用文件(限制访问与读写等操作)、记录、物理隔离等。
下面附一些记录的模板,具体实施可参考:
***************************************************************************/
第十五条 当人工输入关键数据时,应当复核输入记录以确保其准确性。这个复核可以由另外的操作人员完成,或采用经验证的电子方式。必要时,系统应当设置复核功能,确保数据输入的准确性和数据处理过程的正确性。
/***************************************************************************
对于关键数据的输入,需要有人复核,本质上还是防止差错。具体的做法有二种:
一是让另外的操作的人员完成复核,这种方式绝大多数企业都是这样做的;
还有就是采用经验证的电子方式(即系统自带的功能),比如经过验证的称重配料系统,通过系统报警提示“超重”或“欠重”,以保证数据输入的准确性和处理的正确性,这是软件程序上对数据的类型、取值等做的限制与审核,应该在程序设计之初在URS中体现,由供应商完成相应功能。
注意:老系统可能会需要纸质记录,MHRA上要求手工(纸质)数据和电子数据在数据完整性方面的要求保持一致。生产者要意识到,从计算机化系统回归到手工(纸质)记录的做法,并不能减少对数据完整性进行控制的要求。同时也要求了基准记录方面的限制:即当采用多于一种方法同步收集或保留的数据发生不一致时,该记录作为首要判断依据。当相同信息同步被多于一个系统进行记录时,数据拥有者应界定由哪个系统生成并保留的数据为基准记录,以防数据出现不一致时可以进行判决。“基准记录”的属性应在质量体系中进行明确定义,并且不得因个例而变化。
***************************************************************************/
第十六条 计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员,方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准,并应当记录更改数据的理由。应当根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统,用于记录数据的输入和修改以及系统的使用和变更。
/***************************************************************************
数据的输入与更改,其实都是在强调对人员权限的控制,而修改则更为严格,特别是关键数据的修改需经过批准,并记录更改数据的理由。这里MHRA更强调了更改数据的理由的记录。应当根据风险评估结果,建立系统数据审计跟踪系统,对原始数据的输入和修改能够通过系统日志进行查询,这一点很重要,事实上很多的业务系统设计不是很完善,导致修改后的数据直接覆盖了原始录入的数据,注意:MHRA上强调存档记录应落锁,保证其不能在未被察觉和审计跟踪情况下被篡改或删除。存档安排的设计必须允许数据和元数据在所要求的整个保留时期内可以被恢复和读取。
***************************************************************************/
第十七条 计算机化系统的变更应当根据预定的操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定。计算机化系统的变更,应经过该部分计算机化系统相关责任人员的同意,变更情况应有记录。
/***************************************************************************
对于系统发生变更或升级:需建立《计算机系统变更操作规程》。并依据该操作规程进行变更评估、验证、审核、批准和实施,并最终形成变更记录。
***************************************************************************/
第十八条 对于电子数据和纸质打印文稿同时存在的情况,应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。
/***************************************************************************
电子数据(比如图谱)直接由系统生成,那么可以在提供电子数据的同时,将该电子数据打印出来进行存档、备查。不管是电子数据还是纸质记录,二者的版本号和数据必须保持一致,这也是数据完整性的要求。同时,还应该制订相应的文件管理规程,明确规定我们在药品生产质量管理过程中是以电子数据为主数据还是以纸质打印文稿为主数据。
这里要注意,在欧盟、美国、WHO等国家组织颁布的药品GMP规范中,没有规定记录誊写方面的内容。所以原则上讲手工的抄写只会带来错误,不会被接受。
***************************************************************************/
第十九条 以电子数据为主数据时,应当满足以下要求:
(一)为满足质量审计的目的,存储的电子数据应当能够打印成清晰易懂的文件。
(二)必须采用物理或者电子方法保证数据的安全,以防止故意或意外的损害。日常运行维护和系统发生变更(如计算机设备或其程序)时,应当检查所存储数据的可访问性及数据完整性。
(三)应当建立数据备份与恢复的操作规程,定期对数据备份,以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点,保存时间应当至少满足本规范中关于文件、记录保存时限的要求。
/***************************************************************************
1、这里对电子数据提出三个方面的合规要求,一是能够将电子数据打印出清晰易懂的纸质文档,这里不仅仅是说纸面上字迹清晰,更要求直观看出该电子数据的含义(关于什么的数据,所属系统等信息)
2、二是需采取物理或者电子的方式,保证其数据的安全、储存的环境等;同时,还应在日常运维和系统变更时,检查存储数据的可访问性和数据完整性,即备份出来的和将要还原的、在储存期间的数据的完整性与有效性测试,包括数据备份的确认与定期检查,这里如果采用上面说的MD5检验,需对进行检验的程序进行先期验证。
3、三是需建立《数据备份和恢复SOP》,包括本地备份和远程备份,以确保数据安全和调用。这里关于不同数据的备份与还原以后有时间会专门写文件做拓展介绍。
注意MHRA中涉及的内容为上文提到的基准数据方面的规定,基准记录:当采用多于一种方法同步收集或保留的数据发生不一致时,该记录作为首要判断依据。
当相同信息同步被多于一个系统进行记录时,数据拥有者应界定由哪个系统生成并保留的数据为基准记录,以防数据出现不一致时可以进行判决。
“基准记录”的属性应在质量体系中进行明确定义,并且不得因个例而变化(重点)。
***************************************************************************/
第二十条 企业应当建立应急方案,以便系统出现损坏时启用。应急方案启用的及时性应当与需要使用该方案的紧急程度相关。例如,影响召回产品的相关信息应当能够及时获得。
/***************************************************************************
明确提出对系统可能出现各种的损坏提前考虑,包括当遇到自然灾害、意外事故、操作系统崩溃、数据库错误等原因造成系统无法正常运行,导致公司业务无法正常运转且用常规修复方法无法修复时,将启用灾难应急预案。应急方案启用的及时性应当与需要使用该方案的紧急程度相关,包括备用系统、立即启用、24小时启用等,同时也要考虑灾害发生期间的数据的完整性,包括数据丢失等。
***************************************************************************/
第二十一条 应当建立系统出现故障或损坏时进行处理的操作规程,必要时对该操作规程的相关内容进行验证。
包括系统故障和数据错误在内的所有事故都应当被记录和评估。重大的事故应当进行彻底调查,识别其根本原因,并采取相应的纠正措施和预防措施。
/***************************************************************************
企业除了需建立上一条中说到的突发情况下的系统应急方案外,还要建立日常情况下的《故障或损坏处理的操作规程》,以保证业务的连续性。系统故障和数据错误应当作为事件被记录和评估,根据需要完成相应的CAPA流程(纠正措施与预防措施),直至问题得到处理。
***************************************************************************/
第二十二条 当采用计算机化系统放行产品时,计算机化系统应当能明示和记录放行产品人员的身份。
/***************************************************************************
在系统中做放行产品时,系统应当能明示和记录放行产品人员的身份,比如质量受权人,此过程可以通过电子签名来实现。
这里介绍下MHRA数据生命周期的概念:销毁数据的规程应该考虑数据的关键性和法规对数据保留的要求。对需要长期保留的记录应进行归档(在某些情况下,保存期长达30年),例如批次文件,上市许可申请数据,来源于人体的起始原料的可追溯数据(不是详尽的清单)。
此外,必须能够及时调取至少最近2年的数据,以满足法规部门检查的目的 。
***************************************************************************/
第二十三条 电子数据可以采用电子签名的方式,电子签名应当遵循相应法律法规的要求。
/***************************************************************************
电子数据即系统生成的所有电子文档,可以采用电子签名的方式,包括用户系统二次密码验证、第三方媒介如U盾签名或确认等。不管哪种方式都必须遵循《中华人民共和国电子签名法》的规定要求。
***************************************************************************/
第二十四条 下列术语含义是:
(一)电子签名:是指电子数据中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
(二)电子数据:也称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
(三)基础架构:为应用程序提供平台使其实现功能的一系列硬件和基础软件,如网络软件和操作系统。
(四)计算机化系统生命周期:计算机化系统从提出用户需求到终止使用的过程,包括设计、设定标准、编程、测试、安装、运行、维护等阶段。
(五)数据审计跟踪:是一系列有关计算机操作系统、应用程序及用户操作等事件的记录,用以帮助从原始数据追踪到有关的记录、报告或事件,或从记录、报告、事件追溯到原始数据。
(六)数据完整性:是指数据的准确性和可靠性,用于描述存储的所有数据值均处于客观真实的状态。
(七)应用程序:安装在既定的平台/硬件上,提供特定功能的软件。
Tips1:计算机化系统验证≠数据完整性;计算机化系统验证≠数据完整性与数据管理,但如果要完成计算机化系统的验证,就必须有数据完整性的概念。而建立数据完整性的“习惯和文化”,也不是一蹴而就的,需要一个庞大而广泛的前提条件的支持。
Tips2:数据完整性指的是在药品整个生命周期中,包括药品研发、生产以及上市后的监测,相关的数据和记录要符合数据完整性要求。数据完整性与企业文化息息相关,包含计算机化系统的验证,企业管理者要认同数据完整性这一概念,并提供资源和支持。
Tips3:数据完整性在药品质量体系中是基本要求,它保证药品具有所需要的质量。
End of file:这里只是对GMP中关于计算机化系统方面结合MHRA数据完整性与个人理解简单做概述,具体实施时候还要根据实际情况变通处理。
注:以上内容笔者辛苦编辑,仅供学习交流之用,禁止做商业化用途。
----2019.06.12 王梓源于吉林通化
----------------------------------------------------------------------------------------------------------------------------------------------------
----2019.07.19 王梓源于吉林通化V1.1