世界卫生组织(WHO)在其数据可靠性(DI)指南附件一中对“L”定义是包括“清晰”、“可追踪”和“耐久”三个方面。ISPE记录与数据可靠性指南表达的:“可读的而且永久的”、“在整个数据生命周期中可访问”、“原始数据与任何后续修改不被掩盖”其实是类似的道理。
关于可读性的问题,在FDA 21 CFR Part11用到“human readable”一词,即“一般人可读的”对于纸质记录而言通俗讲就是“字迹清晰工整不潦草”,但对于电子记录而言,就赋予了特殊的含义,比如记录是否适合类似于QA或FDA检查员这样的角色就能轻松查看、易于理解、并能打印输出或拷贝。某些制药企业的系统产生的数据有可能是只有专业IT人士才能看懂的“字符串”、“代码”的形式,那么这就违背了一般人可读的原则和要求,是不可取的。
和“A(Attributable)”属性的解读方式一样,我们需要从纸质记录和电子记录不同的要求和期望来对清晰可溯进行解读。
数据清晰可溯对于纸质记录的要求和期望
WHO数据可靠性(DI)指南对于纸质记录的清晰可溯要求及期望主要有如下几点:
使用耐久性的、不褪色的墨水
不使用铅笔或可擦除方式
修改记录时使用单横线划掉,加签名、日期和记录修改的原因(即,相当于纸质记录的审计追踪)
不使用不透明的涂改液或者其他使记录模糊的方式
已装订的、标明页数的、带连续页码的记录本的受控发放(即允许检查缺失或跳过的页)
有连续页码编号的空白表格复印件的受控发放(即允许对所有已发放的表格作数量平衡)
由独立的、指定的人员在安全、可控的纸质档案中对纸质记录归档
当不可避免时地使用会随着时间褪色的纸张/墨水时,对这些纸张/墨水的保存(比如热敏纸的扫描复印留存)
数据清晰可溯对于电子记录的要求和期望
CFDA药品数据管理规范第二次征求意见稿第十八条这样表述:
使用计算机化系统创建、更改数据等操作,应当通过审计追踪功能记录,确保其追溯性。
现有设备不具备审计追踪功能的,可以使用替代方法,如日志、变更控制、记录版本控制或原始电子记录辅以纸质记录来满足数据可追溯性的要求。这里一方面提到通用要求,另一方面基于实际行业现状出发,对“现存的”“缺乏审计追踪”做出了替代方法的让步,相当于硬件不足流程补的方式。
WHO数据可靠性(DI)指南对于电子记录的清晰可溯要求及期望主要有如下几点:
根据需要设计和配置计算机系统和书面标准操作规程,以在工作活动的同时和进行事件序列的下一个步骤前强制保存电子数据 (比如,这些控制为禁止在暂存器中生成、处理和删除数据,而是在移至序列下一步之前强制执行在工作提交数据至永久内存);
使用安全的、有时间标记的审计追踪,并且能独立地记录操作人员的行为,以及将行为归属至登录的个人;
配置设定来限制高级安全访问权限(比如,可被用于潜在地关闭审计追踪或使覆盖或删除数据系统的管理员角色),仅给与负责电子记录的内容不相关的人员;
根据需要用配置设定和标准操作规程,以禁用和禁止覆盖数据的功能,包括禁止在处理数据的初始和中间过程的覆盖以防止数据不显示与打印输出中被遮蔽的方式,严格控制配置与数据批注工具的使用;
电子记录经过验证的备份来确保灾难恢复;
由独立的、指定的归档人在安全和受控的电子档案中对电子记录进行经过验证的归档。
关于审计追踪不同监管机构有不同的表述
CFDA提出了现有设备不具备审计追踪功能的,可以采用建立日志等替代方法;WHO提出对于所有新的系统要考虑适当的审计追踪,但是对于缺乏的旧系统可以采用替代方法;MHRA给出了2017年底的整改期限(若现有的方法能够达到欧盟附录11对审计追踪要求的同等效果,那么采用现有方法是可行的;但若企业无法证明,则需要在2017年底整改至正常的带审计追踪的系统);FDA 21CFR Part11对审计追踪的要求强调了“安全的”、“计算机自动生成的”、“自带时间戳记的”这些要素。
关于审计追踪基于风险和科学的行业应用的考量
审计追踪要求追溯的五大要素需要都能涵盖才算完整的审计追踪:“操作者”、“操作时间”、“新值”、“旧值”、“修改原因”。目前国内制药行业,相对于实验室而言,生产系统、仓储系统及公用系统在审计追踪方面确实存在某些问题和缺陷。缺乏审计追踪或审计追踪不完善的系统非常普遍。由于实验室用于最终产品的检验放行,相比其他系统风险要高;另一方面实验室领域的行业技术相对更完善。
另一方面,基于数据类型的科学性及数据是否会被干预的风险性来考虑,对于包含复杂数据计算与数据处理过程的(状态不可逆的,无法再溯源到原始状态的,比如液相积分后生成的图谱),如果不去追踪整个数据的处理与变化过程,那么就非常容易伪造或操纵出一个最终满意的结果(比如手动积分、基线调整、重复检验挑选结果);而对于直接同步生成数据的系统(如灭菌柜的温度、压力值),如果该数据是实时打印输出的或者不可更改的电子格式存储的,相对而言被“干预”“操纵”的可能性就大大降低,审计追踪的必要性也就不是必须的了。
企业在考虑审计追踪问题时,需要综合上述监管机构的差异及基于风险和科学的行业应用的差异,给出适合的解决方案。当二者存在分歧时,当然优先考虑的仍然是基于风险和科学的行业应用。
本文来源:奥星合规性咨询
免责声明:编辑上述内容,对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。仅作参考,并请各位自行承担全部责任。
加载更多