混合系統的數據完整性

文/ 孟祥飛，尚海賓

隨著《藥品記錄與數據管理要求（試行）》 [1] 的實行，國內醫藥研發和生產單位也更加重視數據完整性的要求，開始重新購置計算機化系統和相關儀器設備——一些老舊系統和設備無法滿足數據完整性對計算機化系統的要求，企業不得不采用增加紙質記錄的方式彌補計算機化的缺陷，從而產生了混合系統。在實踐中，相對紙質系統和計算機化系統來說，混合系統的高風險愈發清晰，那么如何識別和控制這些風險就變得迫切起來。工作中，大家會產生各種關于混合系統的疑惑，例如，什么樣的系統才是混合系統？能否用紙質文件進行簽字審批？紙質記錄可不可以代替電子記錄？同時，基于混合系統的高風險性，各國藥監部門高度關注混合系統，相關的審計缺陷也較為常見，如Able實驗室的審計缺陷[2]。本文將結合各國藥監部門的數據完整性法規和行業最佳實踐探討混合系統數據完整性的風險管理與控制。

1 混合系統的定義

相關藥監部門和行業組織從不同的維度給出了混合系統的定義。

1.1 WHO關于混合系統的定義[3]

混合系統：使用電子系統和紙質系統的聯合體。

1.2 PICS的定義[4]

混合系統：一種管理和控制數據的系統，通常由一個電子系統組成，但需要一個預定義的手工系統加以補充。混合系統依賴于兩個子系統的有效管理來實現正確的運行。

1.3 MHRA的定義[5]

混合系統：紙質記錄和電子記錄共同構成的原始記錄。

1.4 ISPE的描述[6]

混合情況：紙質記錄/簽名和電子記錄/簽名共存的情況。

圖1 實驗室混合系統

綜上所述，混合系統可以理解為：計算機化系統（電子記錄）與紙質系統（紙質記錄）的組合——以共同實現GxP業務。實驗室混合系統[7]如圖1所示。

2 混合系統的相關法規要求

2.1 國家藥品監督管理局在《藥品記錄與數據管理要求（試行）》中的要求[1]

第四條：“記錄載體可采用紙質、電子或混合等一種或多種形式。”

第六條：“對于電子記錄和紙質記錄并存的情況，應當在相應的操作規程和管理制度中明確規定作為基準的形式。”

同時在第四章和第五章中詳細描述了對計算機化系統的要求，例如，對時間控制、權限訪問控制和審計追蹤的要求。國家藥品監督管理局在法規中就考慮到了實踐中混合系統的應用情況，但沒有針對混合系統提出具體要求，而是分散在相應的紙質記錄和計算機化系統的要求中。

圖2 典型的混合系統組成

2.2 歐盟GMP的要求[8]

許多文檔（指南/記錄）或許存在混合格式，有些元素是電子格式，有些元素是紙質記錄。需要針對混合系統建立關聯與控制措施。應有相應的控制措施以保證記錄在整個生命周期內的完整性。

2.3 WHO數據完整性指南的要求[3]

如果計算機化系統僅支持單個用戶登錄或有限的用戶登錄，并且沒有合適的系統可替代計算機化系統，則應通過第三方軟件或提供可追溯性（含版本控制）的紙質方法提供等效的控制措施。應證明并記錄替代系統的適用性。不建議使用傳統的混合系統，并應確定升級/替換的優先級時間表。

2.4 PIC/S以及GMP/GDP環境數據管理和完整性的良好實踐[4]

PIC/S在9.8節混合系統的管理中特別強調：

混合系統需要具體的和額外的控制，以反映其復雜性和對數據操縱的潛在脆弱性。

混合系統的每個組成元素都應按照上述有關手工和計算機系統的指南進行確認和控制。

混合系統通常由計算機系統和手工系統組成。應特別注意確認：

●計算機化系統的確認/驗證范圍；

●由于難以一致地應用手工過程，因此應用于混合系統的手工元素管理應具有控制系統魯棒性。

2.5 FDA CFR 21 Part 11電子記錄與電子簽名[9]

對電子記錄采用的電子簽名或手寫簽名，必須保持其簽名與記錄的關聯關系，確保簽名不能被輕易地刪除、復制或轉移，避免數據做假。手寫簽名關聯到電子記錄即屬于典型的混合系統。

2.6 FDA數據完整性與cGMP遵從的行業指南問答[10]

在問題10/11/12中，FDA回答了靜態數據與動態數據的保存以及相關的簽名問題。在很多情況下，混合系統無法滿足法規的要求，特別是動態數據。

2.7 FDA cGMP2級指南記錄與報告[11]

問題3回答并解釋了當前行業對指南（電子簽名與電子記錄范圍與應用）的一個誤解，即在任何情況下都可以使用打印的電子記錄作為電子記錄的真實副本來進行相關的GxP活動。FDA以HPLC和GC為例解釋說明了色譜圖的打印版并不是真實副本，不能滿足法規的要求。

2.8 ISPE GAMP指南記錄與數據完整性[6]

在章節19.2混合系統中，描述了混合系統的控制措施并舉例說明了混合系統在實踐中遇到的困難。

2.9 PDA TR80制藥實驗室的數據完整性管理體系[12]

在章節6.2混合系統中，基于法規要求和混合系統的原生風險，PDA識別了相關的風險點并給出了具體的控制措施。

綜上法規與指南的描述，由電子記錄和紙質記錄組成的混合系統，要求更詳盡的風險分析和更為嚴格的控制措施。

3 混合系統的特點與表現形式

一般說來，由于計算機化系統的缺陷（如缺失訪問控制、審計追蹤等），企業不得不額外采用紙質記錄的方法來彌補計算機化系統的缺陷（如采用日志的方式代替審計追蹤），混合系統由此而生。

3.1 典型的混合系統組成

典型的混合系統組成如圖2所示。

3.2 常見混合系統的類型

3.2.1 計算機化系統有用戶控制但無審計追蹤功能

常見的例子有：早期購買的實驗室紅外、紫外儀等，早期購買的反應釜、混合機等生產設備，以及主要為其他行業設計的實驗室儀器和生產設備，如簡單PCR儀、蛋白質凝膠系統等。

3.2.2 計算機化系統無用戶控制也無審計追蹤功能

計算機化系統有用戶控制，但必須使用共享操作系統用戶名，如共享Windows管理員用戶名登錄操作系統。常見的例子：有些簡單儀器的應用程序，其軟件設計要求調用Windows管理員用戶。Administrator的權限導致分析化驗工作人員必須使用Administrator登錄操作系統才可以正常工作；有些包裝機的HMI系統在開機時，系統使用默認的WinCC管理員用戶Administrator登錄操作系統，并自動跳轉到應用程序的操作界面。

計算機化系統共享用戶名登錄應用程序進行工作。常見的例子：有些生產設備只提供了有限的用戶登錄權限；有些設備工藝時間超過一個班次，登錄用戶啟動工藝后便不可退出應用程序（中途退出應用程序將會導致數據丟失），導致后續班次繼續使用前面班次的登錄用戶名，即使應用程序有完善的用戶權限管理功能也無法改變這一狀況。

3.2.3 計算機化系統有用戶控制和審計追蹤功能，但是存儲容量有限

常見的例子：使用有限存儲容量的凍干機和有限存儲容量的小型分析儀器。

3.3 補救措施

基于上述功能缺陷，常見的補救措施是建立紙質日志流程，通過操作日志的方式盡可能地彌補用戶權限/審計追蹤的缺失。

4 混合系統的控制

4.1 混合系統帶來的風險

ISPE給出了數據完整性的風險分析通用方法[6]，如圖3所示。

風險分析需要結合具體的系統和業務實踐，實踐中常見的混合系統風險如下：

●共享用戶名，用戶授權沖突；

●數據缺乏可追溯性（缺乏密碼控制，無審計跟蹤/故意禁用審計跟蹤，以及日期和時間易受手動更改影響）；

●審閱者難以實質性地審閱數據，包括元數據和審計追蹤；

●測試直到合格或重復打印；

●低劣的備份恢復功能或單點故障（硬盤驅動器）；

●難以保留源電子數據和“完整”且包含所有元數據的數據；

圖3 數據完整性的風險分析方法

●電子數據與紙質簽名難以同步。

4.2 混合系統常見控制措施

由于混合系統的風險來自于計算機化系統自身功能的不完備，導致很難找到技術方面的控制措施，更多的是從流程和人員素養方面尋找方案。

常見的控制措施有：

●用戶授權的管理：限制修改操作系統時間的權限；限制使用管理員用戶登錄操作系統；限制訪問特定文件夾的權限，如存放關鍵數據的文件夾，或存放工藝數據的文件夾；限制刪除回收站文件的權限，以免蓄意刪除文件；限制U盤的使用權限等；

●變更控制：計算機化系統和紙質記錄的變更也需要遵從企業內部的變更流程；

●審計追蹤：因為不存在嚴格意義上的由應用程序自動生成的審計追蹤記錄，而是替代性地采用紙質日志記錄的方式來追蹤，因而需要更好地維護紙質審計追蹤與相應的電子記錄之間的關系，也需要更頻繁和更嚴格的紙質審計追蹤審閱；

●流程控制：對于混合系統，企業應建立電子數據及相應的紙質記錄的審閱與簽字流程，包括紙質審計追蹤的審閱；電子數據及相應的紙質記錄的保存期限及保存期內的可讀性檢查：數據的保存應保持用戶、時間、審計追蹤等元數據的完整；混合系統的使用培訓。

盡管我們可以從技術、人員、流程方面給出一些彌補措施來降低混合系統的風險，但實踐中仍然存在巨大的困難。例如，通過紙質日志的方式來實現審計追蹤，但仍然存在問題：

●如何保證所有的操作都被如實的記錄在日志中？

●當日志和電子記錄的數量急劇增加后，如何保持電子記錄與相應的紙質審計追蹤之間的關聯關系？以及如何能快速的找到這種關聯關系？

盡管在理論上，制藥企業可以解決上述問題，但實踐上為解決上述問題所帶來的巨額人力物力支出令企業難以負擔。

5 結語

本文討論了混合系統的特點與現狀，也總結了監管部門的要求，并給出了相應的風險控制措施。但從監管部門和實踐的角度來看，混合系統并不能合規，停用混合系統并升級到滿足合規要求的計算機化系統才是更好的解決措施。