作者 Loren Smith 安捷倫科技公司 美國加利福尼亞州圣克拉拉市

 

 

藥物質量控制實驗室的數(shù)據(jù)完整性問題推動了越來越多監(jiān)管措施的實施。到底是哪些變化導致了所有這些活動？盡管我們得到了大量監(jiān)管相關信息，但其中多數(shù)毫無用處，甚至更容易造成混淆。本文將基于已有資源的研究以及與美國食品藥品監(jiān)督管理局 (FDA) 員工及其顧問的直接交流總結事實，從而消除常見的誤解。將討論下列內容：

 

• 如何在歷史背景下理解當前的執(zhí)法環(huán)境

• 如何采用批判性思考方式來討論有關數(shù)據(jù)完整性的各種誤解

• 如何在新的期望下評估當前的實驗室軟件及相關程序

• 供應商如何重新設計實驗室軟件以幫助客戶應對新的現(xiàn)實情況

 

 

在 Scientific Computing（2013 年 9 月）的一篇文章中，Bob McDowall 將數(shù)據(jù)完整性定義為“遵守適用的法規(guī)生成、轉 換、保持、確保數(shù)據(jù)在其整個生命周期內的準確性、完整 性和一致性”。

一種常見的誤解是適用的法規(guī)是全新內容。而事實上，21 CFR Part 11 的“電子記錄；電子簽名”首次發(fā)布于1997 年。到 2003 年，在制藥行業(yè)已經對法規(guī)適應了一段時間后，F(xiàn)DA 發(fā)布了名為“范圍與應用”的指南，其中對 Part 11 的某些要求進行了說明。這份指南還就 FDA 根據(jù)檢查過程中所發(fā)現(xiàn)問題制定的選擇性實施策略展開了討論。2010 年，F(xiàn)DA 宣布其重點進行數(shù)據(jù)完整性檢查。但是，當時 FDA 內部只有少數(shù)人能夠理解計算機化系統(tǒng)的數(shù)據(jù)完整性問題。因此，針對包括化學專家、制造專家及擁有 GxP 專業(yè)知識的人員在內的對象，F(xiàn)DA 舉辦了大量數(shù)據(jù)完整性、數(shù)據(jù)完整性 檢查和法規(guī)的培訓活動。他們還雇傭了欺詐調查領域的專家，包括來自美國聯(lián)邦調查局的人員。因此，從2013 年開始，數(shù)據(jù)完整性已成為主要檢查項目，各個地區(qū)的數(shù)據(jù)完 整性執(zhí)法活動明顯增多。此外，自 2014 年起，F(xiàn)DA 在其警告函及相關公開信息文件中經常指明硬件和軟件產品的名 稱，有意無意地向硬件和軟件制造商表明，管理部門希望他們能幫助客戶解決數(shù)據(jù)完整性和法規(guī)認證方面的疑慮。

 

澄清誤解

 

經常聽到的另一個誤解是，如果某家制藥公司使用特定的軟件系統(tǒng)，F(xiàn)DA 就會將其關停。這種擔心可表述為：“整個生產機構或實驗室的系統(tǒng)具有的潛在缺點都可能被視作數(shù) 據(jù)完整性風險。如果這一缺點尚未顯現(xiàn)，那么 FDA 是否有 理由以 483 警告函的形式提出觀察警告？”答案明顯是否定的。有能力違規(guī)不等于已經違規(guī)。不妨看 看這個比喻：美國許多地方的限速是65英里每小時，但汽車有能力超速并不意味著汽車擁有者就會收到傳票（被 判超速）。類似地，在制藥公司中，如果沒有利用潛在的 數(shù)據(jù)完整性缺點進行數(shù)據(jù)篡改或數(shù)據(jù)刪除（或其他欺詐行 為），那么監(jiān)管機構就沒有理由發(fā)出傳票或警告函。檢查人員將與制藥公司人員進行詳談，這時的重點將轉向通過 程序控制確保已知缺點不會顯現(xiàn)。

 

程序與技術控制

 

讓我們先看看這樣的說法：“這款軟件符合 Part 11 法規(guī)要 求。”這種說法存在一些問題。首先，它在邏輯上是不可 能的。Part 11 中的一些內容無法通過計算機化系統(tǒng)中的技 術控制來滿足要求。例如，CFR Part 11.10(j) 規(guī)定了電子簽名的使用政策。這是色譜數(shù)據(jù)系統(tǒng)無法滿足的一項要求。這只是一條法規(guī)要求，并不意味著能夠通過技術控制來滿足。軟件實際不存在符不符合法規(guī)要求的問題。軟件本身是沒有對錯的；僅僅是軟件包括的技術控制措施是否能夠支持滿足適用法規(guī)的要求。除技術控制以外，還必須采用程序控制。有關程序控制與技術控制的討論常見于 FDA 警告函中，在系統(tǒng)無法支持多種法規(guī)所要求的技術控制時尤 其如此。

利用標準操作程序 (SOP) 作為程序控制措施能夠取代技術控制，前提條件是：

• 人員接受過該 SOP 的培訓

• 該 SOP 得到執(zhí)行

• 通過質量監(jiān)督和/或認證審計確認 SOP 得到遵守

但是，通常情況下，即使存在 SOP，它們也未得到執(zhí)行，遵守情況也未得到適當驗證。因此，F(xiàn)DA 將要求采用系統(tǒng) 補救手段以防再次發(fā)生類似行為。

計算機化系統(tǒng)中的審核追蹤是技術控制的一個例子。軟件 生成的審核追蹤必須能夠包含法規(guī)要求的所有要素，然后 必須啟用那些控制措施。

審核追蹤記錄 (21 CFR Part 11.10(e)) 自動說明系統(tǒng)正在運行且狀態(tài)正常，并且可在審核或檢查過程中查詢，無需進行 任何額外人工操作。

 

 

許多軟件供應商提供軟件驗證證書，或提供一份根據(jù) 21 CFR Part 11 Readiness Claims中條款命名的證書。此類證書 的價值不大，因為FDA 期望由用戶在使用環(huán)境下對軟件的預期用途進行驗證。盡管供應商向客戶保證根據(jù)客戶需求 來制造與設計系統(tǒng)，并在軟件交付之前花費了大量時間進行測試，但供應商的開發(fā)和測試工作不會（并且無法）替 代客戶宣稱其預期用途以及按預期用途對他們的系統(tǒng)進行驗證。

另一個相關要點是，F(xiàn)DA 對供應商的信息學軟件部門不具有任何司法管轄權。因此（除非軟件獲得 FDA 醫(yī)療器械 注冊認證），供應商提供的任何文件都無法獲得 FDA 的認 可，因為 FDA 對公司的這部分業(yè)務沒有執(zhí)法權。

供應商可能會提供產品能夠符合Part 11 的相關詳細信息，但這些信息基于供應商對法規(guī)的解讀。這種解讀可能與其 他許多制藥企業(yè)或 FDA 自身的解讀不盡相同。供應商的解 讀無法替代審計來確定軟件功能是否滿足監(jiān)管要求。

 

 

數(shù)據(jù)完整性法規(guī)認證責任包括供應商審計、計算機系統(tǒng)評 估和軟件驗證。

在審計供應商時，存在由審計員自身引起的四重困境或一 系列問題。（參見 Mourrain, J., Therapeutic Innovation and Regulatory Science, Volume 40 (#2), pp. 177-183.）

第一重困境是不一致。法規(guī)內容很少。例如，不計入 1997 年 聯(lián)邦公報序言中的信息，Part 11 法規(guī)一共只有三頁篇幅。 而指南內容很多，對指南的解讀更多。在許多審計情況下，解讀的不一致會帶來問題。例如，客戶在審計過程中 可能會以某種方式理解某條法規(guī)，而供應商卻以另一種方式來理解同一條法規(guī)。

偏好性是審計員遇到的另一個問題。審計報告比較片面而不夠完整。某些審計員認為他們需要大量的審計結果。因 此，他們會分離出每個 SOP 中每個問題的調查結果，并將它們全部單獨列出來，這就可能造成誤解，即審計報告的 好壞僅僅取決于篇幅。其他審計員可能采用舉例的方式并將這些例子包含到幾次大范圍的觀察結果中，從而為審計中的主要調查結果提供支持。此類報告可能無法代表審計過程中了解到的全部內容。

審計員遇到的另一個問題是差異性。歸根到底，審計員也是人。一些審計員會糾結于某些問題，例如災難恢復，而其他審計員則可能專注于 Part 11。

易讀性（并非字跡方面的）是另一個問題。審計員或許能夠傳達他們在審計過程中發(fā)現(xiàn)的問題。但是，他們通常難以表述“那又怎樣”的問題。即，計算機化系統(tǒng)對患者、產品和數(shù)據(jù)完整性的影響。

這些審計困境的解決方案是什么？解決方案是采用模型而非檢查表，該模型的組成部分包括：

• 規(guī)程

• 人員培訓

• 軟件開發(fā)活動

• 測試活動

• 質量管理體系

• 基礎設施

最后一項通常不相關，除非供應商在云端應用等載體中保管 GxP 記錄。

在模型方法中，評分能夠將較為主觀的過程轉換為客觀的測量體系，這一體系應支持可靠的個體供應商審計，并能對多家軟件或服務供應商進行對比評估。所有活動的關鍵在于供應商審計能夠施行基于風險的驗證策略（根據(jù) FDA“軟件驗證一般原則”的第 6.3 節(jié)所述）。供應商做的工作越出色，軟件驗證中需要做的工作就越少（至少理論上如此）。

 

 

評估軟件是否支持法規(guī)認證需要關注受法規(guī)監(jiān)管的公司開展業(yè)務或計劃開展業(yè)務地區(qū)的所有地方法規(guī)。如果有些受 法規(guī)監(jiān)管的公司只在美國國內開展業(yè)務，或只在歐洲境內 開展業(yè)務，他們可選擇只關注 Part 11 或只關注 Annex 11 的 要求。Part 11 和 Annex 11 具有共性。然而，任何軟件的合 規(guī)性評估應以證據(jù)為基礎，而不能道聽途說（如僅體現(xiàn)在 Part 11 證書中）。

安捷倫與許多其他供應商一樣，會收到大量的客戶檢查表，并提供產品答案作為簡單直接的回應。然而，根據(jù)證 據(jù)對那些回應進行評估非常重要，而不要局限于供應商聲稱系統(tǒng)所具備的功能。審查領域應包括數(shù)據(jù)完整性問題、訪問控制、審核追蹤、設備檢查等，具體根據(jù)適用的法規(guī)而定。這樣的審查在軟件評估過程中非常重要，因為觀察到的不足表明可能需要進行程序控制或定制化軟件功能。因此，十分有必要向供應商提供對任何觀察到不足的反饋，由此避免補救性的程序控制或定制解決方案成為永久的方案。

另一個常見的對軟件法規(guī)認證支持的誤解是，“我購買了供應商的 IQ/OQ工具包，因此我的系統(tǒng)經過了驗證”。然 而，購買供應商驗證工具包（通常僅限于基礎版軟件 IQ 和核心的通用 OQ）不足以驗證系統(tǒng)適合預期用途。不能將驗證責任推給供應商，但供應商確實是（或應當是）您驗證工作的可靠信息源和得力助手。

一個相關的驗證誤解是，“任何系統(tǒng)更改都需要進行全面重新驗證”�，F(xiàn)實情況是，無論何時更改軟件，都必須對軟 件更改進行評估，以確定更改對整個軟件系統(tǒng)的影響以及該更改對患者安全、產品質量或數(shù)據(jù)完整性帶來的風險。通常，公司會將更改驗證局限于針對更改本身，或者他們 會走向另一個極端，那就是不必要地重復整個驗證過程。正確的做法是介于兩者之間。

 

結論：安捷倫的應對方案

 

安捷倫的目標是將 FDA 關注重點融入系統(tǒng)設計中，以避免交付的軟件為客戶帶來或保留違規(guī)風險。FDA 正在明確推行越來越多的技術控制措施，使技術控制優(yōu)先于程序 控制，并使預防性控制優(yōu)先于檢測控制。因此 21 CFR Part 11.10(a) 規(guī)定系統(tǒng)應“有能力檢測無效或變更的記錄”。 這是法規(guī)中唯一真正涉及到檢測可能已通過不法手段被篡改的記錄的部分。其余控制措施是預防性措施。所以我們說，檢測控制措施固然重要，但預防性控制更勝一籌。法規(guī)中還強調了優(yōu)先使用在線記錄而非紙質報告打印輸出。FDA 不一定會信任交到他們手中的文件。

系統(tǒng)設計的另一個例子是采用在線審核追蹤審查。許多系統(tǒng)都可以生成打印版審核追蹤報告，但新版 Agilent OpenLAB 色譜數(shù)據(jù)系統(tǒng)采用一種內置的工具，該工具使用戶能夠在線審查電子版審核追蹤條目。這些審核追蹤條目按類型排列，可進行在線審查并包含在線簽名。

這些例子用于證明安捷倫如何采用批判性思考方式來重新設計實驗室軟件，以幫助應對全新的法規(guī)認證現(xiàn)狀。

 

 

問題：新數(shù)據(jù)系統(tǒng)是否無需任何程序控制？

回答：并不是這樣；由于采用了額外的技術控制，程序控制的需求將會減少，但始終需要某些程序控制，例如系統(tǒng)管理或用戶管理。另一項程序控制涉及電子簽名的合法應用的適用策略和程序。理想情況下，程序控制的數(shù)量會減少到由系統(tǒng)技術控制消除所有對數(shù)據(jù)完整性至關重要的人為差異，而僅保留圍繞系統(tǒng)的程序控制。

 

問題：當軟件更新后，需要何種程度的重新驗證？

回答：FDA 指南：“軟件驗證一般原則”中重點介紹了有關重新驗證的兩個要點。首先，必須評估系統(tǒng)更改對特定公司系統(tǒng)預期用途的相對影響。例如，儀器支持功能的更改可能與用戶的特定儀器配置無關，或者可能反映在未使用的功能上。根據(jù)供應商發(fā)布的文檔，用戶應能夠確定已更新的特征和功能，以及軟件中哪些缺陷得到了糾正。任何更改都應與預期用途進行比較，以確定任何重新驗證影響。

其次，軟件一經更改，用戶都應親自評估更改，包括采用一定程度的回歸測試來確認軟件或更新軟件中的更改未以某種可能產生意外后果的方式造成影響。這種情況并不罕見，例如，更新家中計算機或電話的軟件時，查找在更新之前正常運行但更新后無法使用的功能。

 

回答：在過去幾年中，F(xiàn)DA 結合 ISPE GAMP v5 指南開始越來越多地討論的另一個話題就是風險和基于風險的驗證的概念。關于操作系統(tǒng)和殺毒程序更新，需要考慮的因素之一是系統(tǒng)中具有安全問題或病毒漏洞等的相對風險。有時，更新風險可能大于系統(tǒng)自身的初始風險（或反之）。一些公司配備豪華的員工陣容來處理網絡和服務器基礎設施認證，并能夠使操作系統(tǒng)與軟件驗證本身隔離，負責通過安全和殺毒軟件更新確保系統(tǒng)保持最佳狀態(tài)。作為一般實踐，公司應當通過操作系統(tǒng)或殺毒程序更新觸發(fā)或僅僅是定期運行一小組標準回歸測試，確保更改對系統(tǒng)沒有任 何不良影響。

 

問題：采用新 PC 時，是否必須對軟件進行重新驗證？

回答：如果新 PC 與原 PC 相比具有相同或更強的功能，并使用相同版本的操作系統(tǒng)和軟件，那就不需要進行重新驗證，因為系統(tǒng)的功能完全相同。但是，需要重復安裝認證工作以確認軟件正確安裝，或從備份中正確恢復至新PC。

提高這一過程的效率的一個細節(jié)是避免過度詳細的指標文件。避免指定特定型號的 PC，特別是處理器速度或特定的 存儲器或磁盤容量。使用指定名稱“或更高性能的產品”將無需隨技術進步而不斷更新文檔。

 

問題：關于 GMP 實驗室數(shù)據(jù)完整性：在需要數(shù)據(jù)時，能否在任何情況下對其進行修改？

回答：通過 PC 直接采集的儀器數(shù)據(jù)應被視作莊嚴的實體；不得以任何理由修改原始數(shù)據(jù)。然而對于第二種數(shù)據(jù)，也 就是在采集后的重新積分、更改基線、刪除與分析不相關的峰或其他計算等數(shù)據(jù)分析和數(shù)據(jù)處理過程中生成的數(shù) 據(jù)，則被看作是數(shù)據(jù)處理的正常組成部分，可以在受控條件下進行修改，所做修改將記錄在審核追蹤中。

 

問題：有時軟件中的計算或算法非常復雜，例如色 譜圖積分，軟件用戶是否有必要驗證結果？

回答：有必要，計算結果必須得到驗證。不僅所有的Microsoft Excel 計算結果，而且所有具體計算結果都會記錄到可配置的報告中，例如使用報告模板和自動計算的 CDS 報告功能。如果計算被用于確定特定結果是否處于指標范圍內，那么就需要通過指標范圍內和范圍外的數(shù)據(jù)對該計 算進行驗證，以確保計算正常運行。這種驗證還可以評估供應商開發(fā)優(yōu)秀軟件和執(zhí)行準確計算的能力。

 

問題：一旦完成對供應商的審計，是否應當在建議 的時間內對供應商進行重新審計？

回答：在確定供應商審計頻率時有多個因素需要考慮，其中涉及到系統(tǒng)對患者安全、藥品質量和數(shù)據(jù)完整性的相對風險。還有一個因素是來自之前審計的供應商表現(xiàn)和回應。如果他們表現(xiàn)很好，重新審計的合理時間為每三年一次，間隔不宜過長。對于其他關鍵任務供應商或在之前審計中表現(xiàn)不佳的供應商，為實現(xiàn)詳細審查，重新審計的合 理時間為每 12 個月一次。

 

回答：供應商有時會停業(yè)，或更常見的是停止對特定版本 軟件提供支持。如果用戶繼續(xù)使用這類軟件，風險水平將 會提高。因為如果出現(xiàn)問題，供應商可能無法解決缺陷或 不愿糾正他們不再提供支持的過時版本軟件中的缺陷。然 而，這種風險在一定程度上取決于儀器和軟件，特別是舊 款儀器和軟件。只要那些系統(tǒng)得到正確管理和使用，也許 可以不需要對它們進行更新。安捷倫經常考慮升級能否提 供足夠高的價值、足夠新的功能或足夠多的缺陷修復以值 得更換或重新驗證系統(tǒng)所涉及的成本、時間和努力。

 

回答：回歸測試是一種確認功能在進行任何更改之后仍可以正常工作的方式�；貧w測試應包括系統(tǒng)中最常用的功能 和/或風險分析過程中已確定的風險最高的功能，用于確定特定的軟件更新是否改變了供應商文件中未直接提到的功 能。也就是確認系統(tǒng)本身沒有倒退，或確認更改不會引起某種意外故障。

 

回答：通過審計。審計是唯一一種通過追蹤來確保人們按 照培訓進行操作的方法。

 

問題：制藥公司是否通常到安捷倫進行現(xiàn)場審計以審查 SOP 等等，或者這些審計是否通常為書面審計？

回答：安捷倫收到的約 90% 的信息學軟件產品審計請求均為書面審計，其余 10% 是現(xiàn)場審計。然而，書面審計并非 基于證據(jù)。它是基于聲明書或者安捷倫選擇表述的內容，因此在書面審計中無法對表述的內容進行任何驗證。書面 審計通常是圈圈畫畫的例行公事，人們在紙上進行審計，然后說自己已完成了審計。一些客戶將使用書面審計作為 現(xiàn)場審計的前奏，在他們到達現(xiàn)場之前粗略了解安捷倫的定位。

 

回答：IQ-OQ 工具包本身是真實的，并非誤解。然而，IQ-OQ 工具包是必要卻不充分的，因為它無法滿足FDA 關于驗證計算機化系統(tǒng)的所有要求。例如，IQ-OQ 工具包不包括驗證計劃文件或驗證總結報告。IQ-OQ工具包也不包括需 求規(guī)格、用戶要求、功能指標或從 IQ 和 OQ 測試本身到或用戶要求或功能指標的可追溯性。

 

回答：許多舊系統(tǒng)仍在法規(guī)監(jiān)管實驗室中使用，這些系統(tǒng)運行狀況良好。但針對這一問題的解決方法是大量使用包括書面記錄在內的程序控制措施。根據(jù)其中涉及或系統(tǒng)經歷的特定過程的重要程度和風險大小，程序要求可能需要 第二人的驗證信息或實際同時見證所做的工作。審核追蹤的目的是能夠了解工作過程或重建電子記錄的歷史，不僅包括記錄的創(chuàng)建，而且包括記錄的更改或刪除。如果系統(tǒng)具有有限或不完善的審核追蹤功能，則必須以某種其他方式補充記錄，通常采取書面記錄的形式。例如，儀器旁邊的使用記錄本。技術控制措施使每位人員的工作更簡單。

 

回答：否。始終需要采取程序控制。例如，授權用戶訪問 數(shù)據(jù)系統(tǒng)的程序，或變更、修改或移除個人對數(shù)據(jù)系統(tǒng)訪 問的程序是法規(guī)要求的程序示例，而數(shù)據(jù)系統(tǒng)不一定能夠 滿足這些要求。當前，數(shù)據(jù)系統(tǒng)可創(chuàng)建帳戶并更改用戶權限。但是完成這些操作的程序通常需要保存某種類型的記 錄，其中包括對系統(tǒng)訪問權或系統(tǒng)訪問權變更的管理審查 和批準。因此，程序控制不會完全消失。

 

回答：災難恢復測試是法規(guī)的要求。歐洲法規(guī)對于這一主題有更明確的規(guī)定。由于假設錯誤，災難恢復測試通常會 失敗。災難恢復測試對于關鍵任務系統(tǒng)尤其重要。

 

回答：一些具有電子審核追蹤的系統(tǒng)無法表明那些審核追蹤經過審查，導致必須將審核追蹤審查劃分為小塊，并主要審查那些與數(shù)據(jù)關聯(lián)性非常高的審核追蹤。例如，對于藥物批次放行而言，必須對涉及該產品制造的所有相關記錄以及支持其制造過程的所有系統(tǒng)進行 QA 審查。如果 QA審查關注的是與那些記錄相關的審核追蹤條目，即使該審核追蹤恰好是書面記錄，其審查也與記錄審查本身的相關性更高。因此，只要將問題劃分為與實際記錄相關性更高的小塊，審查過程就會不那么繁瑣。

 

回答：自動峰積分通常通過程序來解決，程序用于確定允許的自動峰積分和可能的重新積分的參數(shù)。一般來講，積分或重新積分活動的靈活性在 SOP 或針對特定分析方法的 系統(tǒng)或過程驗證中加以解決。

 

回答：選擇系統(tǒng)管理員的最佳實踐是確保特定系統(tǒng)的管理員對于該系統(tǒng)中的數(shù)據(jù)沒有利益相關。這意味著在大型企業(yè)中，通常由 IT部門的某位員工來負責管理系統(tǒng)。職責分離是IBM 過去已經討論過的主題，它在金融界也有重要意義。如果一個人沒有動機對系統(tǒng)中的數(shù)據(jù)進行任何操縱，就可能不會構成問題。FDA 提出，如有任何證據(jù)表明故意造假，他們會將其視為犯罪活動予以追究，這也是他們的職責所在。

 

回答：這取決于公司政策和程序的要求。如果系統(tǒng)中存在充足的控制措施并且人員經過了充分的培訓，那么在發(fā)生樣品重新處理時（發(fā)生在適當?shù)目刂拼胧┖统绦虻轿坏倪m當情況下），審核追蹤備注可能就已足夠。但是，如果程序未解決樣品的重新處理問題，或如果它被視作異常或不尋常事件，則有必要提供明確記錄的批準過程。