关于DI(Data Integrity),这两年已经炒的火热。从最初的非常关心,到现在的每天都被相关的信息轰炸后的漠然。因为这两年有太多的DI缺陷被FDA发现发出警告信的故事,也有太多的公司靠着DI的热潮赚钱(这里就不说只顾着赚钱内功都没有修炼好的国外各大仪器厂商以及到现在还没有反应过来的国内仪器厂商了)。就是这些时间造成了我的漠然。
直到昨天各大微信号转发FDA公布的数据完整性和CGMP合规指南草案,才让我早已沉寂的心又火热起来。毕竟这种指南性的草案对于整天在DI方面查漏补缺疲于奔命的我,这个草案简直是指路明灯,救命稻草。原文链接为
http://www.fda.gov/downloads/Drugs/GuidanceComplianceRegulatoryInformation/Guidances/UCM495891.pdf
DI应该是全公司做的事情,而且不限于计算机系统的数据完整性,包括一切的记录,纸质版的记录,打印的图谱。但是最近发现的DI缺陷都是QC部门的,所以先说一下我们部门为了DI做了哪些动作,还有哪些动作没有去做。给大家一个参考,也可以一起讨论一下。
1:首先要做的就是提变更起草URS,毕竟你要买软件进行升级,肯定要调研。很多公司在采购之前不写,或者随便谢谢应付差事,但是写URS能够帮助我们理清思路也是对我们自身的一种保护。
2:然后我们采购了新电脑(能够运行网络版工作站的),将所有的工作站进行升级,并做了相关确认。又采购了安捷伦的ECM,配置完成后进行了相关的确认。
3:然后将原电脑的数据和审计追踪进行备份,并做了备份还原验证。
4:起草相关文件,有网络版工作站的SOP、ECM的SOP、还有相关DI的文件(规定了权限,文件名命名原则、存储路径、审计周期及方法内容)。并进行培训。
5:设置了windows和工作站的权限,分为四级,分别是超级管理员的(由IT负责),方法开发者(主管或者组长),操作者,审计人员(QA人员、QC主任)。
6:由IT设置了数据文件夹不能被删除,windows时间不能被更改、设置了密码更改时间为三个月,密码复杂程度为数字字母符号不少于六位。
7:做了每个工作站数据上传至ECM服务器的验证及下载的验证、数据备份的验证。
但是看了这个指导草案,发现有些地方我们做的还不够到位,主要包括以下几项。
1:How often should audittrails be reviewed?
FDA recommends that audit trails that capture changes to critical data bereviewed with each record and before final approval of the record. Audit trails subject to regular review shouldinclude, but are not limited to, the following: the change history of finishedproduct test results, changes to sample run sequences, changes to sampleidentification,and changes to critical process parameters.
这个是草案的原话,就是关于审计追踪审核的周期的问答。我们目前后半部分达到要求了,就是定期的审核审计追踪(有些厂商的仪器对于审计追踪做的并不是特别好,我们只能基于厂商的软件基础上将能够审核的审核了),但是我们还没有在capture changesto critical data的相关记录最终批准之前进行审核。比如我们某个批次进行了手动积分,或者相关参数进行了更改,那么在这个记录批准之前需要对该批次的审计追踪进行审核。
2:Why is FDA concerned with the use of shared loginaccounts for computer systems?
You must exercise appropriate controls toassure that only authorized personnel make changes to computerized MPCRs, orother records, or input laboratory data into computerized records, and you mustimplement documentation controls that ensure actions are attributable to aspecific individual (see §§ 211.68(b), 211.188(b)(11), 211.194(a)(7) and (8),and 212.50(c)(10)). When login credentials are shared, a unique individualcannot be identified through the login and the system would thus not conform tothe CGMP requirements in parts 211 and 212. FDA requires that systems controls,including documentation controls, be designed to follow CGMP to assure productquality (for example, §§ 211.100 and 212.50).
这个是草案的原话,我们内部也曾经讨论过,大部分人认为由于工作站可以锁定,并且员工无法对数据文件进行删除,所以不需要在工作站每个人有了对应的权限和登陆凭证之外还需要再在windows上设置。因为这样会降低电脑的运行速度。但是这段话已经将原因写出来,而且是需要执行的。
3:Does each workflow on our computer system needto be validated?
Yes, a workflow, such as creation of an electronicmaster production and control record (MPCR), is an intended use of a computersystem to be checked through validation (see§§ 211.63, 211.68(b), and211.110(a)). Ifyou validate the computer system, but you do not validate it for its intendeduse, you cannot know if your workflow runs correctly. For example,qualifying the Manufacturing Execution System (MES) platform, a computersystem, ensures that it meets specifications; however, it does not demonstratethat a given MPCR generated by the MES contains the correct calculations. Inthis example, validating the workflow ensures that the intended steps,specifications, and calculations in theMPCR are accurate. This is similar to reviewing a paper MPCR and ensuring all supportingprocedures are in place before the MPCR is implemented in production (see§§211.100, 211.186, and 212.50(b), and the guidance for industry PET Drugs —Current Good Manufacturing Practice (CGMP)). FDA recommends you implementappropriate controls to manage risks associated with each element of thesystem. Controls that are appropriately designed to validate a system for itsintended use address software, hardware, personnel, and documentation.
这个是草案的原话,我们曾经在这个规定上面吃过亏,希望其他的同行不要吃亏。因为我们QC有很多厂商的仪器,每个仪器厂商只负责自己的确认,ECM也只负责自己的确认。而不同厂商仪器上传数据到ECM以及对应的数据备份还原验证并没有做。因为这是两个厂商交接的空白点,我自己当初也没有见过URS,导致了厂商工程师没人做,他们也不愿意做。最终只好我自己不断摸索做了。所以建议大家在升级之前一定要想好到底要升级成什么状态,怎么去做,谁来做。如果公司有钱的话最好找第三方公司来全程负责。否则不断的超漏补缺很耗精力的(标红的这段话麻烦大家读三遍)。
最后和大家说一下,一定要在法规的指导下做一些自己能够做到的东西,在保证GMP的“做我所写,写我所做”的指导方针下尽可能的给自己定的宽松一些,只要满足法规即可,不能盲目的为了严控数据完整性订了一堆自己实行不了的规章制度,最后搞得到处是坑。