GMP实施中数据完整性控制策略研究
数据完整性是指在数据的整个生命周期内,保证所有数据均完全、一致和准确[1]。据2016年全国食品药品医疗器械检验工作电视电话会议有关资料,国家食品药品监督管理总局数据核查和对企业GMP检查中,发现存在着数据完整性问题。全国药检系统每年有近百万批次的产品抽样检验,足以引起我们对数据质量的关注和警觉。然而,尽管计算机化系统在药品检验机构、制药企业(以下统称机构)已成为不可或缺的工具,但由于数据完整性控制工作开展的时间还不长,缺少足够的资源和成形的经验,很多机构对于怎样更好地满足法规的要求却不知所措:一方面,担心因为工作不充分而在被检查时发现问题;另一方面,对于针对本项工作复杂、持续时间长的特点又感到无从下手。本文结合2015年12月1日施行的《药品生产质量管理规范》(GMP)附录《计算机化系统》141(以下简称《系统》)有关条款的精神和作者的工作实践,探讨有关机构科学有效地开展数据完整性工作应采取的策略。
1 端正态度 把握根本
数据完整性工作,表面上看是为了不被查出或少查出问题,因而,有的机构根据检查的特点采取针对性、突击性的措施,甚至补录或者编造记录企图蒙混过关,反而导致数据的完整性降低。即使暂时通过了检查,却为以后埋下了“定时炸弹”;对于飞行检查更是无法提前做好“精心”准备。由于数据完整性问题而导致的药品质量事件,其后果比检查中发现了问题严重得多。就如在牛奶中加入三聚氰胺,当时的检验报告虽然合格了,但后来对消费者的健康和国内的乳制品业都造成了伤害。
《系统》第二条规定:“计算机化系统代替人工操作时,应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响,不增加总体风险。”第三条规定:“应当考虑患者安全、数据完整性和产品质量。”由于检查是一个随机抽样的过程,发现什么问题具有偶然性,但客观存在的问题不会因为没有被发现而消失,反而是一个隐患。如果我们以积极、正面的态度开展数据完整性工作,那么,具有良好的数据完整性,患者安全得到保障,则是必然的;遇到困惑时,根据《系统》制定的原则进行判断,就能找到正确的方向。
2 遵循个性 定制方案
对于数据完整性工作刚刚起步的机构来说,往往想要复制同行的做法,但其方案并不完全适合自己,主要原因是:
2.1 机构之间的差异
《系统》第七条规定:“企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单,标明与药品生产质量管理相关的功能。”相关的计算机化系统及功能清单没有在法规中列出而由机构自行建立。这表明:由于业务、管理和信息化程度的差异,机构之间的计算机化系统和功能存在差异。有的机构使用企业资源计划系统(Enterprise Resource Planning,以下简称ERP)进行试剂、标准物质的管理;有的机构则没有应用ERP。即使采用同一家供应商的实验室信息管理系统(Laboratory Information Management System,以下简称LIMS),不同机构通过二次开发实现的功能也不尽相同。
2.2 计算机化系统之间的差异
《系统》第八条规定:“企业应当指定专人对通用的商业化计算机软件进行审核”、“对定制的计算机化系统进行验证。”国际制药工程协会ISPE颁布的《良好自动化生产指南》第5版(简称GAMP 5),根据定制的程度、故障和缺陷的风险性,将软件分为基础结构软件、不可配置软件、可配置软件、定制应用软件等4类,其验证交付物的数量和复杂程度要求也依次提高[5]。
2.3 法规条款的具体化
《系统》第十九条规定:“应当建立数据备份与恢复的操作规程,定期对数据备份”,“备份数据应当储存在另一个单独的、安全的地点,保存时间应当至少满足本规范中关于文件、记录保存时限的要求。”法规中的“定期”是指多长时间;“保存时间”是多久;“单独的、安全的地点”在哪里,都需要机构根据各自的计算机化系统数据的重要性和风险程度来明确。
因此,进行数据完整性工作时,可以吸取同行的经验教训,但是没有现成的、通用的解决方案可以照搬,必须根据机构自身的特点、各系统的风险程度制订个性化的解决方案。
3 适度即可 谨防过度
《系统》第三条规定:“应当根据书面的风险评估结果确定验证和数据完整性控制的程度”;第十二条规定:“企业应当根据风险评估的结果,对所采用软件进行分级管理”;第二十条规定:“企业应当建立应急方案,以便系统出现损坏时启用。应急方案启用的及时性应当与需要使用该方案的紧急程度相关。”也就是说,法规允许机构自行确定验证与数据完整性控制的程度和应急方案启用的及时性。
开始接触数据完整性工作的人很容易理想化,希望工作滴水不漏。其实,法规制定者也好、检查人员也好,都能理解由人开发、由人操作的计算机化系统不可避免地存在缺陷,所以,不会不切实际地要求做到零风险;而是要求风险处于可接受的程度,并且在出现问题时能得到及时有效的解决。
比如:我们备份数据并放在与生产数据库服务器不同的地方进行保存。但如果生产数据和备份数据同时损坏(这是有可能的)怎么办?我们就做两套备份并放在两个不同的地方,如果生产数据和两套备份数据都同时损坏(这种可能性也不是零)又怎么办?这样推理下去,岂不是要做三套、四套直至无数套备份?其实,由于生产数据和备份数据同时损坏的可能性很低,当生产数据出现问题时使用备份数据进行恢复;当备份数据损坏时立即再对生产数据进行备份。所以,做一套备份就可以了,对于特别重要并且无法补救的数据,做两套备份也足够了。
4 完整体系 避免片面
《系统》第五条规定:“计算机化系统生命周期中所涉及的各种活动,如验证、使用、维护、管理等”;第十七条规定:“计算机化系统的变更应当根据预定的操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定。”
计算机化系统数据完整性的控制主要与专业软件相关,因此,软件有时会被误认为是工作的全部。但是,如果计算机、网络等硬件出现故障,系统的使用和管理人员不具备相应的能力,使用和管理没有操作规程而具有随意性,数据的完整性就不能得到保证。因此,它是一项体系性的工作,软件、硬件、人员、管理等缺一不可[6],甚至一些软件的缺陷需要通过管理手段作为补充。数据完整性工作启动的时候,先将机构的现状对照法规进行全面的差异性分析,作出整体诊断和体系性的解决方案,再根据问题的重要性、急迫性分步实施。
5 基于现状 因时制宜
《系统》第十五条规定:“复核可以由另外的操作人员完成,或采用经验证的电子方式”;第十九条规定:“必须采用物理或者电子方法保证数据的安全”;第十四条规定:“对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录本及相关物理隔离手段。”采用人工或电子方式复核、采用物理或者电子方法保证数据的安全,都是合规的。可见,风险控制的方法具有多样性,有的自动化程度高、有的成本低、有的简单易行……,机构可以根据当前的条件进行选择,对于存在缺陷的系统并非只能更换,也可以通过管理手段来补救。高大上不是标准答案,选项有多个,答案不唯一,没有绝对的正确与否,只有是否合适。
例如,某机构将在半年后搬迁至新的实验大楼,而目前在用大楼的仪器室没有网络端口,无法使用网络版的色谱工作站软件。如果为了半年的使用而铺设网络显然很浪费。这种情况下,可以采用工作量稍大但成本较低的方法:对每台单机版的色谱工作站软件和操作系统做好用户及权限管理、人工备份数据,并做好相关的操作规程和工作记录。
综上所述,对于数据完整性控制工作要有正确的态度,把握“考虑患者安全、数据完整性和产品质量”这一根本原则。这项工作并不只是购买一两套软件或者委托软件供应商对各个软件进行验证;而是一项涉及硬件、软件、人员、管理等各个方面的体系性工作。可以借鉴同行的经验,但必须根据自身的特点,作出基于现状的、适度的解决方案。
