混合系統(tǒng)的數(shù)據(jù)完整性

文/ 孟祥飛，尚海賓

隨著《藥品記錄與數(shù)據(jù)管理要求（試行）》 [1] 的實行，國內(nèi)醫(yī)藥研發(fā)和生產(chǎn)單位也更加重視數(shù)據(jù)完整性的要求，開始重新購置計算機化系統(tǒng)和相關(guān)儀器設(shè)備——一些老舊系統(tǒng)和設(shè)備無法滿足數(shù)據(jù)完整性對計算機化系統(tǒng)的要求，企業(yè)不得不采用增加紙質(zhì)記錄的方式彌補計算機化的缺陷，從而產(chǎn)生了混合系統(tǒng)。在實踐中，相對紙質(zhì)系統(tǒng)和計算機化系統(tǒng)來說，混合系統(tǒng)的高風(fēng)險愈發(fā)清晰，那么如何識別和控制這些風(fēng)險就變得迫切起來。工作中，大家會產(chǎn)生各種關(guān)于混合系統(tǒng)的疑惑，例如，什么樣的系統(tǒng)才是混合系統(tǒng)？能否用紙質(zhì)文件進行簽字審批？紙質(zhì)記錄可不可以代替電子記錄？同時，基于混合系統(tǒng)的高風(fēng)險性，各國藥監(jiān)部門高度關(guān)注混合系統(tǒng)，相關(guān)的審計缺陷也較為常見，如Able實驗室的審計缺陷[2]。本文將結(jié)合各國藥監(jiān)部門的數(shù)據(jù)完整性法規(guī)和行業(yè)最佳實踐探討混合系統(tǒng)數(shù)據(jù)完整性的風(fēng)險管理與控制。

1 混合系統(tǒng)的定義

相關(guān)藥監(jiān)部門和行業(yè)組織從不同的維度給出了混合系統(tǒng)的定義。

1.1 WHO關(guān)于混合系統(tǒng)的定義[3]

混合系統(tǒng)：使用電子系統(tǒng)和紙質(zhì)系統(tǒng)的聯(lián)合體。

1.2 PICS的定義[4]

混合系統(tǒng)：一種管理和控制數(shù)據(jù)的系統(tǒng)，通常由一個電子系統(tǒng)組成，但需要一個預(yù)定義的手工系統(tǒng)加以補充?；旌舷到y(tǒng)依賴于兩個子系統(tǒng)的有效管理來實現(xiàn)正確的運行。

1.3 MHRA的定義[5]

混合系統(tǒng)：紙質(zhì)記錄和電子記錄共同構(gòu)成的原始記錄。

1.4 ISPE的描述[6]

混合情況：紙質(zhì)記錄/簽名和電子記錄/簽名共存的情況。

圖1 實驗室混合系統(tǒng)

綜上所述，混合系統(tǒng)可以理解為：計算機化系統(tǒng)（電子記錄）與紙質(zhì)系統(tǒng)（紙質(zhì)記錄）的組合——以共同實現(xiàn)GxP業(yè)務(wù)。實驗室混合系統(tǒng)[7]如圖1所示。

2 混合系統(tǒng)的相關(guān)法規(guī)要求

2.1 國家藥品監(jiān)督管理局在《藥品記錄與數(shù)據(jù)管理要求（試行）》中的要求[1]

第四條：“記錄載體可采用紙質(zhì)、電子或混合等一種或多種形式?！?/p>

第六條：“對于電子記錄和紙質(zhì)記錄并存的情況，應(yīng)當(dāng)在相應(yīng)的操作規(guī)程和管理制度中明確規(guī)定作為基準(zhǔn)的形式?！?/p>

同時在第四章和第五章中詳細(xì)描述了對計算機化系統(tǒng)的要求，例如，對時間控制、權(quán)限訪問控制和審計追蹤的要求。國家藥品監(jiān)督管理局在法規(guī)中就考慮到了實踐中混合系統(tǒng)的應(yīng)用情況，但沒有針對混合系統(tǒng)提出具體要求，而是分散在相應(yīng)的紙質(zhì)記錄和計算機化系統(tǒng)的要求中。

圖2 典型的混合系統(tǒng)組成

2.2 歐盟GMP的要求[8]

許多文檔（指南/記錄）或許存在混合格式，有些元素是電子格式，有些元素是紙質(zhì)記錄。需要針對混合系統(tǒng)建立關(guān)聯(lián)與控制措施。應(yīng)有相應(yīng)的控制措施以保證記錄在整個生命周期內(nèi)的完整性。

2.3 WHO數(shù)據(jù)完整性指南的要求[3]

如果計算機化系統(tǒng)僅支持單個用戶登錄或有限的用戶登錄，并且沒有合適的系統(tǒng)可替代計算機化系統(tǒng)，則應(yīng)通過第三方軟件或提供可追溯性（含版本控制）的紙質(zhì)方法提供等效的控制措施。應(yīng)證明并記錄替代系統(tǒng)的適用性。不建議使用傳統(tǒng)的混合系統(tǒng)，并應(yīng)確定升級/替換的優(yōu)先級時間表。

2.4 PIC/S以及GMP/GDP環(huán)境數(shù)據(jù)管理和完整性的良好實踐[4]

PIC/S在9.8節(jié)混合系統(tǒng)的管理中特別強調(diào)：

混合系統(tǒng)需要具體的和額外的控制，以反映其復(fù)雜性和對數(shù)據(jù)操縱的潛在脆弱性。

混合系統(tǒng)的每個組成元素都應(yīng)按照上述有關(guān)手工和計算機系統(tǒng)的指南進行確認(rèn)和控制。

混合系統(tǒng)通常由計算機系統(tǒng)和手工系統(tǒng)組成。應(yīng)特別注意確認(rèn)：

●計算機化系統(tǒng)的確認(rèn)/驗證范圍；

●由于難以一致地應(yīng)用手工過程，因此應(yīng)用于混合系統(tǒng)的手工元素管理應(yīng)具有控制系統(tǒng)魯棒性。

2.5 FDA CFR 21 Part 11電子記錄與電子簽名[9]

對電子記錄采用的電子簽名或手寫簽名，必須保持其簽名與記錄的關(guān)聯(lián)關(guān)系，確保簽名不能被輕易地刪除、復(fù)制或轉(zhuǎn)移，避免數(shù)據(jù)做假。手寫簽名關(guān)聯(lián)到電子記錄即屬于典型的混合系統(tǒng)。

2.6 FDA數(shù)據(jù)完整性與cGMP遵從的行業(yè)指南問答[10]

在問題10/11/12中，F(xiàn)DA回答了靜態(tài)數(shù)據(jù)與動態(tài)數(shù)據(jù)的保存以及相關(guān)的簽名問題。在很多情況下，混合系統(tǒng)無法滿足法規(guī)的要求，特別是動態(tài)數(shù)據(jù)。

2.7 FDA cGMP2級指南記錄與報告[11]

問題3回答并解釋了當(dāng)前行業(yè)對指南（電子簽名與電子記錄范圍與應(yīng)用）的一個誤解，即在任何情況下都可以使用打印的電子記錄作為電子記錄的真實副本來進行相關(guān)的GxP活動。FDA以HPLC和GC為例解釋說明了色譜圖的打印版并不是真實副本，不能滿足法規(guī)的要求。

2.8 ISPE GAMP指南記錄與數(shù)據(jù)完整性[6]

在章節(jié)19.2混合系統(tǒng)中，描述了混合系統(tǒng)的控制措施并舉例說明了混合系統(tǒng)在實踐中遇到的困難。

2.9 PDA TR80制藥實驗室的數(shù)據(jù)完整性管理體系[12]

在章節(jié)6.2混合系統(tǒng)中，基于法規(guī)要求和混合系統(tǒng)的原生風(fēng)險，PDA識別了相關(guān)的風(fēng)險點并給出了具體的控制措施。

綜上法規(guī)與指南的描述，由電子記錄和紙質(zhì)記錄組成的混合系統(tǒng)，要求更詳盡的風(fēng)險分析和更為嚴(yán)格的控制措施。

3 混合系統(tǒng)的特點與表現(xiàn)形式

一般說來，由于計算機化系統(tǒng)的缺陷（如缺失訪問控制、審計追蹤等），企業(yè)不得不額外采用紙質(zhì)記錄的方法來彌補計算機化系統(tǒng)的缺陷（如采用日志的方式代替審計追蹤），混合系統(tǒng)由此而生。

3.1 典型的混合系統(tǒng)組成

典型的混合系統(tǒng)組成如圖2所示。

3.2 常見混合系統(tǒng)的類型

3.2.1 計算機化系統(tǒng)有用戶控制但無審計追蹤功能

常見的例子有：早期購買的實驗室紅外、紫外儀等，早期購買的反應(yīng)釜、混合機等生產(chǎn)設(shè)備，以及主要為其他行業(yè)設(shè)計的實驗室儀器和生產(chǎn)設(shè)備，如簡單PCR儀、蛋白質(zhì)凝膠系統(tǒng)等。

3.2.2 計算機化系統(tǒng)無用戶控制也無審計追蹤功能

計算機化系統(tǒng)有用戶控制，但必須使用共享操作系統(tǒng)用戶名，如共享Windows管理員用戶名登錄操作系統(tǒng)。常見的例子：有些簡單儀器的應(yīng)用程序，其軟件設(shè)計要求調(diào)用Windows管理員用戶。Administrator的權(quán)限導(dǎo)致分析化驗工作人員必須使用Administrator登錄操作系統(tǒng)才可以正常工作；有些包裝機的HMI系統(tǒng)在開機時，系統(tǒng)使用默認(rèn)的WinCC管理員用戶Administrator登錄操作系統(tǒng)，并自動跳轉(zhuǎn)到應(yīng)用程序的操作界面。

計算機化系統(tǒng)共享用戶名登錄應(yīng)用程序進行工作。常見的例子：有些生產(chǎn)設(shè)備只提供了有限的用戶登錄權(quán)限；有些設(shè)備工藝時間超過一個班次，登錄用戶啟動工藝后便不可退出應(yīng)用程序（中途退出應(yīng)用程序?qū)?dǎo)致數(shù)據(jù)丟失），導(dǎo)致后續(xù)班次繼續(xù)使用前面班次的登錄用戶名，即使應(yīng)用程序有完善的用戶權(quán)限管理功能也無法改變這一狀況。

3.2.3 計算機化系統(tǒng)有用戶控制和審計追蹤功能，但是存儲容量有限

常見的例子：使用有限存儲容量的凍干機和有限存儲容量的小型分析儀器。

3.3 補救措施

基于上述功能缺陷，常見的補救措施是建立紙質(zhì)日志流程，通過操作日志的方式盡可能地彌補用戶權(quán)限/審計追蹤的缺失。

4 混合系統(tǒng)的控制

4.1 混合系統(tǒng)帶來的風(fēng)險

ISPE給出了數(shù)據(jù)完整性的風(fēng)險分析通用方法[6]，如圖3所示。

風(fēng)險分析需要結(jié)合具體的系統(tǒng)和業(yè)務(wù)實踐，實踐中常見的混合系統(tǒng)風(fēng)險如下：

●共享用戶名，用戶授權(quán)沖突；

●數(shù)據(jù)缺乏可追溯性（缺乏密碼控制，無審計跟蹤/故意禁用審計跟蹤，以及日期和時間易受手動更改影響）；

●審閱者難以實質(zhì)性地審閱數(shù)據(jù)，包括元數(shù)據(jù)和審計追蹤；

●測試直到合格或重復(fù)打??；

●低劣的備份恢復(fù)功能或單點故障（硬盤驅(qū)動器）；

●難以保留源電子數(shù)據(jù)和“完整”且包含所有元數(shù)據(jù)的數(shù)據(jù)；

圖3 數(shù)據(jù)完整性的風(fēng)險分析方法

●電子數(shù)據(jù)與紙質(zhì)簽名難以同步。

4.2 混合系統(tǒng)常見控制措施

由于混合系統(tǒng)的風(fēng)險來自于計算機化系統(tǒng)自身功能的不完備，導(dǎo)致很難找到技術(shù)方面的控制措施，更多的是從流程和人員素養(yǎng)方面尋找方案。

常見的控制措施有：

●用戶授權(quán)的管理：限制修改操作系統(tǒng)時間的權(quán)限；限制使用管理員用戶登錄操作系統(tǒng)；限制訪問特定文件夾的權(quán)限，如存放關(guān)鍵數(shù)據(jù)的文件夾，或存放工藝數(shù)據(jù)的文件夾；限制刪除回收站文件的權(quán)限，以免蓄意刪除文件；限制U盤的使用權(quán)限等；

●變更控制：計算機化系統(tǒng)和紙質(zhì)記錄的變更也需要遵從企業(yè)內(nèi)部的變更流程；

●審計追蹤：因為不存在嚴(yán)格意義上的由應(yīng)用程序自動生成的審計追蹤記錄，而是替代性地采用紙質(zhì)日志記錄的方式來追蹤，因而需要更好地維護紙質(zhì)審計追蹤與相應(yīng)的電子記錄之間的關(guān)系，也需要更頻繁和更嚴(yán)格的紙質(zhì)審計追蹤審閱；

●流程控制：對于混合系統(tǒng)，企業(yè)應(yīng)建立電子數(shù)據(jù)及相應(yīng)的紙質(zhì)記錄的審閱與簽字流程，包括紙質(zhì)審計追蹤的審閱；電子數(shù)據(jù)及相應(yīng)的紙質(zhì)記錄的保存期限及保存期內(nèi)的可讀性檢查：數(shù)據(jù)的保存應(yīng)保持用戶、時間、審計追蹤等元數(shù)據(jù)的完整；混合系統(tǒng)的使用培訓(xùn)。

盡管我們可以從技術(shù)、人員、流程方面給出一些彌補措施來降低混合系統(tǒng)的風(fēng)險，但實踐中仍然存在巨大的困難。例如，通過紙質(zhì)日志的方式來實現(xiàn)審計追蹤，但仍然存在問題：

●如何保證所有的操作都被如實的記錄在日志中？

●當(dāng)日志和電子記錄的數(shù)量急劇增加后，如何保持電子記錄與相應(yīng)的紙質(zhì)審計追蹤之間的關(guān)聯(lián)關(guān)系？以及如何能快速的找到這種關(guān)聯(lián)關(guān)系？

盡管在理論上，制藥企業(yè)可以解決上述問題，但實踐上為解決上述問題所帶來的巨額人力物力支出令企業(yè)難以負(fù)擔(dān)。

5 結(jié)語

本文討論了混合系統(tǒng)的特點與現(xiàn)狀，也總結(jié)了監(jiān)管部門的要求，并給出了相應(yīng)的風(fēng)險控制措施。但從監(jiān)管部門和實踐的角度來看，混合系統(tǒng)并不能合規(guī)，停用混合系統(tǒng)并升級到滿足合規(guī)要求的計算機化系統(tǒng)才是更好的解決措施。