汪 丹,范 宾,吴孝槐
(1.上海化工院检测有限公司 上海 200062; 2.中国合格评定国家认可中心 北京 100062)
生态毒理研究是有毒有害物质对生物个体、种群、群落以及生态系统有机体危害的程度与范围的研究[1]。在化学品管理中,生态毒理GLP数据是化学品环境风险评价的关键信息,是监管部门批准或拒绝化学品入市的决定性要素之一。生态毒理GLP机构主要为化工、制药、农药、肥料等领域的生产企业提供生态毒理测试数据,为受监管产品的环境危害和风险影响性评价提供数据支持。为了避免因数据造假、篡改、失真导致的决策失误,确保化学品环境安全性评价研究的质量,世界各国均规定提供监管性生态毒理测试数据的机构必须符合GLP原则。因此,GLP机构的管理体系水平成为了数据质量的保障。
目前,如何在GLP机构现代化建设的同时确保数据的质量和可靠性成为亟待解决的问题。因为随着科学技术的进步,自动化技术和计算机系统,如电子签名、系统自动化、远程技术等[2],在GLP机构得到广泛的应用,导致工作复杂度和供应链复杂度逐渐增大,数据产生方式发生变化,致使数据管理方式备受挑战。近年来,经济合作与发展组织(OECD)、英国药品和保健产品监管局(MHRA)、国际药品认证合作组织(PIC/S)、世界卫生组织(WHO)、国际制药工程协会(ISPE)等多个重要组织已经发布数据完整性的法规和管理指南,我国国家药监局也于2020年6月发布了《药品记录与数据管理要求》,这些法规都为我国的生态毒理GLP测试机构的数据管理体系建设提供了重要的指导。
OECD No.17中指出,试验机构应建立可缩展、经济、有效,并注重数据完整性的计算机化系统验证程序,建立制度化的风险评估流程,通过识别系统风险,确定管理优先级排序,结合系统用途和功能制定风险规避措施,实施对应的验证活动和数据完整性控制;要确保从计算机化系统的概念、需求、设计、开发、发布、操作使用及维护,直至系统退役的所有活动均符合GLP要求[3]。
PIC/S PI 041—1中规定:仅凭计算机化系统验证是不能确保记录受到充分保护的,即使是验证了的系统也可能遭受意外或者恶意的丢失或损坏,所以计算机化系统验证必须结合行政管理和具体的数据管理措施[4]。
WHO的数据完整性指南(2019意见修改稿)中提到,近年来WHO在良好生产质量管理(GMP)、良好药物临床试验质量管理(GCP)和GLP检查中发现,数据完整性和记录管理规范性方面的缺陷项数量大大增加,主要原因:①过于依赖人员操作;②使用未正确配置和管理的计算机化系统;③未充分审核和管理原始数据与记录。如某些企业多年来一直使用经过验证的计算机化系统,但是却没有对电子原始记录进行检查,相反仅检查打印输出记录的正确性和完整性。指南规定,如果使用计算机化系统,那么应当经过正确配置,且软件是经验证有效的,消除数据在传输过程中被篡改的可能性,同时应具备适当手段发现数据完整性违规问题。如对于单机版系统,如果需要修改系统参数,必须增加控制措施[5-6]。
MHRA的GXP数据完整性指南和定义中规定[2],数据完整性是数据在完整生命周期内保持完整、一致、准确、可信和可靠的程度,数据应具备归属性、清晰性、同步性、原始性和准确性。对于由计算机化系统生成的电子数据,主要风险取决于系统的可配置程度以及数据传输中被操纵的可能性,因此建议运用技术手段和合理配置以降低完整性风险。指南规定设计和实施数据管理系统来保证数据的质量和完整性,如系统符合ALCOA(归属性、清晰性、同时性、原始性、准确性)原则、系统权限的控制、空白记录表的控制、取样的控制、数据第二人审核、审计追踪、备份与归档等。
ISPE记录和数据完整性指南中指出,数据管理主要包括3个方面,即人员、程序和技术,对应的措施类型分别为行为措施、程序措施、技术措施,如表1所示[7]。在具体应用中,3个方面是相辅相成、密不可分的。
上述法规虽然出发点不同,但都普遍指出数据完整性控制措施是计算机化系统及其数据有效和可靠的保证。不难发现,计算机化系统验证中融入数据完整性管理不仅是未来监管的重点,也是真正能确保数据符合ALCOA原则的关键。
根据监管部门的公开检查结果进行统计[8],发现数据完整性问题主要体现在数据可靠性、数据准确性、数据完整性、数据追溯性和即时性(按重要性排列),表2给出了设备和计算机化系统管理中较为常见的数据完整性问题[9]。通过这些问题不难发现,发生在计算机化系统方面的数据完整性缺陷主要包括审计追踪、权限管理、访问控制、定期审阅、备份和归档。
表1 数据完整性管理措施分类
数据流图是记录业务流程和捕获所有信息活动的有用工具,其通过一种可视化的流程图展现业务过程和支持流程。数据流分析[10]主要包括以下3个步骤:
(1)识别数据的GLP相关性、关键性和数据形式(纸质、电子、打印、混合等)。
(2)对关键级别的数据进行数据完整性风险分析,如人员角色设置是否有利益冲突,即用户同时具有生成数据和修改测试结果的权限,或者用户同时具有管理员和分析员权限;系统可能为了执行测试方法而访问储存数据,但是授予用户该权限的结果可能导致测试完成后文件被删除或修改;测试数据或元数据被储存在文本文件中,文本文件相比数据库文件更易被删除。根据风险情况识别控制措施,如人员权限、访问控制、配置选项、审计追踪、数据储存位置和储存方式等。
(3)将控制措施加入到数据流图中,对措施实施后的风险降低效果进行回顾审核,最终确定出适合不同数据的管理措施。
表2 设备和计算机化系统管理中的数据完整性问题举例
MHRA数据完整性指南[2]中规定:所有应用都需要设置访问控制,确保操作人员仅能够访问匹配其岗位角色的功能,且活动能够归属到具体人员。机构必须能够获取每个员工的访问权限信息和历史访问权限信息。
法规体现了人员权限和访问控制管理的3个重点,即人员权限设置、定义受控区域和访问控制的实现,具体如下。
3.2.1 人员权限设置
人员权限设置是实现访问受控的前提,而人员权限设置的基础就是人员角色的确定。在计算机化系统的验证和管理框架下,需要设置系统所有者、流程所有者、质量保证人员、主题专家用户、供应商、用户、系统维护和校准人员等。在数据完整性管理的框架下,人员角色可能包括数据所有者、数据管家、数据技术员。设置数据管家和数据技术员的原因是,在实际工作中,数据所有者会将数据管理工作分配到合适的人员,无疑数据管家和数据技术员是最了解系统安全性、数据质量性和完整性要求的[11],故建议在机构中定义这2个角色。人员权限角色职责与归属关系如表3所示。
表3 人员权限角色职责与归属关系
3.2.2 定义受控区域
访问控制的目的是确保授权人员仅能访问授权功能和位置。机构可以通过合适的控制方法,如使用钥匙、通行证、人员代码、生物特征识别或者限制访问特定的计算机设备(包括数据存储设备、接口、计算机、服务器等),防止非授权的逻辑访问或物理访问。
对于服务器机房的进出也需要控制访问权限,这样才能确保设备运转的必备条件都能正常运行,如温度控制、防火措施、不间断电源供应(UPS)等。
3.2.3 访问控制的实现
PIC/041规定机构应该为所有使用系统的员工建立各自的账户,为了满足数据的可归属性原则,必须杜绝共享账户的情况[4]。
权限管理必须遵循最小权限原则[7],也就是为用户提供执行其工作职责所需的最小权限等级或许可。对于简单系统,设立二级账户(普通用户和管理员用户)就足以满足要求;对于复杂的计算机化系统,要求设置更多的用户等级以支持访问控制。
因此,在系统验证开始之前,机构就应建立用户权限清单,其中包括用户名、职责和权限,同时说明职责分离要求,并且在系统验证过程中进行确认。每个计算机系统都需保持1个授权人员名单和权限列表,OECD No.17还要求机构需要对人员权限清单记录进行定期审核[3]。
审计追踪是由计算机生成的附有时间戳的安全记录,为记录重现创建、修改和删除过程提供可能性。对于计算机化系统,审计追踪是不可或缺的功能,其记录应以数据库的形式存在于系统之中[12]。
审计追踪功能必须结合逻辑及管理控制措施,避免遭受未授权的关闭、修改和更改。控制措施包括审计追踪功能配置定期检查、人员访问控制、职责分离、规范使用和实施变更流程等。当系统管理员修改或关闭审计追踪时,应保留该操作的记录。
机构应考虑保留在审计追踪记录中数据的相关性,以便开展数据审查/验证。无论是在设置审计追踪功能还是开展审计追踪审阅时,必须要识别真正的审计追踪记录,计算机化系统中审计追踪记录真假形式如表4所示[13]。
表4 计算机化系统中审计追踪记录真假形式
审计追踪的内容不仅包括数据创建、修改和删除的记录(如处理参数和结果),也包括记录和系统层面上的活动,如试图访问系统、重命名或删除文件。但是不同类型的记录,其关注度、关注人和审阅要求是不同的,常见的审计追踪审阅有3种形式[9]:①常规操作数据检查中的审计追踪审阅;②事件调查中对特定数据集的审计追踪审阅;③审计追踪功能有效性的审阅。
①是关于GLP数据的审阅,一般由开展测试的部门人员进行检查,可以以第二人审核的方式进行,审核完成时间应该在记录提交到下一个环节之前。这个审阅非QA人员的责任,但是QA人员需要通过数据完整性检查/调查确认测试部门开展的审计追踪审阅是否符合要求。审计追踪记录审阅分类及属性如表5所示[13]。
表5 审计追踪记录审阅分类及属性
备份是为了恢复(包括灾难恢复)所保留的当前数据的副本(可编辑的数据)、元数据和系统配置设置。备份和恢复过程应该被验证和定期测试[5]。每个备份都应确认能准确运行,并且通过技术手段确认恢复后数据与原数据一致,如通过Checksum等手段。
档案的设计必须满足数据和元数据在要求的归档周期能被恢复和可读。如果归档的是电子数据,归档过程必须被确认,同时系统所有者要定期检查和确认遗留系统复读数据的能力(确认遗留的计算机化系统始终可用)。当储存的是混合记录时,必须保持物理记录和电子记录之间的相互引用关系,以便在保存期间能够对事件进行充分验证。
根据MHRA数据完整性指南的规定[2],备份文件是为了灾难恢复服务,其中不仅包括档案数据的备份,还包括所有其他未被归档的记录的备份,该备份具有长期性,需要定期进行更新,但是不同更新版本不需要完全一致。备份文件应该进行验证,确保在发生数据丢失、破坏等情况时,能够进行数据恢复。
关于备份和归档的区别,笔者认为对于电子数据,除定期备份一份外,还应异地保存一份。但以恢复为目的建立的备份不能代替长期储存的数据和元数据,所以当系统退役时,或者部分备份数据从活跃期转为休眠期时,应以最后一次更新后的备份文件为准进行归档保存。在确认一致的情况下,数据文件归档后,可以删除原备份数据,以防止数据恢复和重建时出现多个版本。
归档不仅要归档数据、元数据、审计追踪数据,同时还必须保存系统软件、软件版本和软件配置以及该版本软件对应的操作系统。在归档软件和配置的过程中,需要IT人员的协助,以确保数据能够被恢复。备份、归档和恢复的数据完整性风险和预防措施如表6所示。
表6 备份、归档和恢复的数据完整性风险和预防措施
定期审阅需要流程所有者、系统所有者以及用户共同参与,定期对数据完整性控制措施进行审阅并形成报告,同时定制下次活动计划。一般来说,定期审阅周期需结合系统的复杂性和关键性确定,不同级别系统的建议审阅周期如表7所示。
表7 不同级别系统的建议审阅周期
定期审阅的内容:①对前一次验证、变更和再验证活动进行审阅,确认在审阅周期内发生的问题和事件、用户管理计划、安全故障,评估系统性能趋势;②确认现行的数据完整性措施和有效性,并对IT辅助性工作进行检查,包括备份、恢复、安全、IT变更等可能影响系统的活动;③检查系统的维护记录、校准记录和服务记录;④检查用户培训记录,特别是应用程序更新和修改后是否进行了培训。
本文介绍了计算机化系统中主要数据完整性控制措施,旨在为我国生态毒理GLP检测机构使用计算机化系统提供指导。文中梳理了国际法规对数据完整性在计算机化系统管理中的目的和要求,介绍了当前GLP机构管理中存在的数据完整性缺陷,讨论了主要的控制措施,包括数据流分析、人员权限和访问控制、审计追踪和审计追踪审阅、备份、归档和恢复、定期审阅,分析了措施实施的具体要求和主要内容,对可能存在的误区予以解读。
我国的良好实验室规范起步较晚,与发达国家存在一定的差距,特别在计算机化系统和数据完整性管理方面还缺少具有针对生态毒理GLP机构的法规和指导文件。随着我国化学品、药品、肥料、农药领域生产技术的飞速发展,环境的安全性问题变得越发重要,生态毒理GLP检测的需求日益增多,GLP检测机构正在蓬勃发展。因此,监管机构、供应商和检测机构应共同努力,完善我国的法规管理体系,形成有效的管理模式,实现监管技术水平和机构管理能力与科学技术现代化水平协调发展。