|
21CFR第11部分在分析实验室中的实施 - 第一章 总论与要求2017-05-15 13:22来源:《现代仪器》作者:Ludwig Huber
一、 21CFR Part11 概述 FDA关于电子签名与记录的规定已于1997年生效,但实施细节还在讨论当中。电子记录的执行还是非强制性的,但是所有符合FDA规范的实验室在使用计算机的时候,都应符合有关规定。 FDA在 1997年颁布一项规定,阐明有关电子记录、电子签名和手写签名的检查认可标准。这项标准的提出是行业要求的体现。在21CF R第11部分的规定中,电子记录被认为具有与书面记录和手写签名同等的效力。这项规定适用于所有FDA控制下的企业,包括良好实验室操作规范(GLP)、良好临床试验操作规范(GCP)和现行的良好生产操作规范(CGMP)。 企业和FDA都期望通过用电子记录代替纸张的使用,来达到降低费用的目的。同时企业希望通过它能简化审批过程,加快文件化的过程。目前,电子记录的执行还是非强制性的。尽管如此,公司都在尝试尽可能早的实施这项新的规定。有三个原因:第一,在很多情况下,使用计算机是不可避免的,例如在一个具有自动数据获得和评估的分析实验室。在这种情况下,实验室必须符合第11部分的有关规定。第二,FDA也许会停止接收书面材料。第三,电子记录同书面记录相比,具有明显的优势,例如占用更少的空间和容易恢复数据等。 新规定要求分析实验室使用验证过的设备和计算机系统,内容包括安全地保持电子记录以便随时重建分析,计算机自动生成带有时间标记的每个独立用户的审计追踪过程,保证系统和数据的安全性,数据完整性,授权系统的保密性,封闭和开放系统电子签名的安全性和在开放系统中使用数字签名。 实施新的规定将对使用仪器、工作流程和在分析实验室工作的人员产生重大的影响。当前过程签名的生成必须经过验证(何人在何时对什么进行签字)。公司和实验室在满足只有经过授权人的访问系统和数据的条件下,才能建立新的规程(谁能做什么)。实施新规定中涉及到的计算机系统必须升级,以确保使用的正确性。结合合法签字的身份识别密码,密码的使用和处理方法也许要改变。这样一来也许会需求新一种类型的专家,例如“电子档案保管员”。 虽然21CFR第11部分是一份很完善的文件,但是绪论部分、专业技术和实验室分析通用部分的实施说明还是不确定的。存在的最大问题是如何在避免做很多事情的情况下,满足最低要求。 以下是经常会问到的问题 到底哪一类的文件应该保留,特别是当数据在被认可前需要反复验证的时候?涉及到计算机生成的审计过程应该怎样实施?应该追踪记录什么内容?使用者在什么时候应该确认所有输人过程记录到日志中?将签名与电子记录结合的最好方法是什么?对于已有的不具备相应功能的设备,该怎么做?程序员怎么样做才能实现长期的档案管理,包括可以在10年或更长时间之后来重建数据? 这个系列文章将对在色谱实验室高效率的实施新规定,提供一个总体的思路并提供一些特定案例的说明。很明显,由于规定所含的内容很复杂,所以在一篇文章中不可能回答所有问题。有一些特定部分的细节还在讨论当中,例如带时间标记的审计过程,使用国际时间或者是当地时间,存档过程化的获得和再验证结果。这篇文章将对有关实验室的法规发展、术语、关键内容和主要结论提供一个总体原则。后续部分将着重介绍授权系统、任务许可、相关定义、原始和最终数据的长期归档保存,色谱数据记录系统的审计过程和封闭与开放系统的电子签名。这篇文章提供的信息将以199!)年8月的相关法规为准,但是讨论还将继续。新政策的官方指导说明已经由FDA颁布,其它相关的指导也已经出版发行2,后续的更新内容将可以通过因特网(www.labcomliance.com的电子签名部分)来获得。 1.1发展和现在状况 制药企业协会(PMA,现在叫药物开发和制药协会,phRMA)在1999年左右制订电子记录规范。之后不久,PMA和非胃肠药物协会(PDA)组成技术小组来制订相关条款。由于FDA的压力,各企业代表在Paul J.Mo tise的主持下举行多次会议,来决定如何在符合CGMP的规定下实施无纸化记录系统。最后建议在相关的刊物上发表规范制订建议书(ANPRM)来获得公众的修改意见。 ANPR M于1992年出版发行,当时FDA提出要求并收到一些修改意见。在1994年,FDA检查人员将这些修改意见整理在一起,出版发行一套试行规范。之后又陆续从个人、公司和行业协会收到修改意见。有一些特殊问题已由Motise,作了回答。最后于1997年8月正式出台21CF R第11部分。它可以在FDA的官方网站(www.fda.gov/cder/esig/index.htm)获得。 问题与回答 在1997年当这项规定颁布的时候,虽然其中的定义和大部分内容被企业所认可、接受和支持,但是由于不同语言之间的翻译问题,出现意想不到的问题。在一些学术会议和刊物上有一些不同的观点被发表。为阐明这些热点问题,KenC hapman,Ph RA计算机系统验证委员会主席,发表两篇文章,1998年8月,在Gold sheet中对一些条款作说明60 Chapman同时还在由验证技术协会组织的学术会议上提交一篇论文7o FDA试图通过参加一些这样的会议来提供帮助。例如1997年10月,在由质量保证协会下属的计算机验证委员会组织的两次会议上,Motise和Charles Snipes回答一些问题。 在FDA举办的各种活动中,最引人注目的也许是1999年1月12日为培训企业而举办的视频会议。它是在美国20个不同地点同时举行。FDA做三个报告,题目分别是“回答经常会问到的问题”、“验证”和“第11部分和FDA检查”。一些FDA代表积极参加会议,作报告,并参加讨论来解释检查人员的作用并为其做辩解。虽然一些企业预期在21CF R第11部分正式实施之前,会有2-3年的过渡期,但是FDA在那次视频会议上明确表示,检查人员认为企业已经有足够的时间来实施新的规定。 1.2国际情况 21CFR 的 第11部分透明度很高,它不仅在美国同时也在很多其它国家被讨论过。许多非美国的制药企业出口药品到美国市场,因此它们必须符合美国有关法律的规定。FDA能够根据规定检查这些企业,如果发现有违反相关法规的情况,FDA将剥夺这些企业出口药品到美国的权利。这将对一个企业的经营情况产生巨大的影响。另外,其它国家对电子记录方面也有类似的问题,他们也许会以美国的相关规定作为指导原则,来制订本国的相关法规。以编写EUGMP附录I翻译指导原则而闻名的国际制药技术协会,在欧洲提出一些观点,并且9月份在柏林举行的国际会议上重点讨论这些观点。所有这些讨论工作所要达到的目标,是要在FDA检查人员与企业之间就这些已公开的规定达成一致意见,从而避免当FDA去检查时,企业莫名其妙的接到警告书。仪器设备厂家认识到他们有责任更新硬件和软件,来帮助企业符合21CF R第11部分的相关规定。有关更新文件,新的刊物,会议和指导原则的内容可以在如下网站获得:www.labcompliance.com/e-signatuers 二、 定义 确切理解新规定中的术语,对于了解新规定的内容以及新规定的执行非.常重要。因此我将使用与分析实验室有关的特定例子,来详细阐明一些内容。所有的引用均来自于21CFR第11部分。 2.1电子记录 是指以数码方式,由计算机系统创建、修改、维护、归档、追溯和颁布的所有结合文本、图片、数据、声音、画报等的信息。有关分析实验室的案例包括仪器控制方法、数据验证、校正、计算机原始数据的采集、处理数据、分析报告、带基线的色谱图、日志和审计追踪。如果这些信息已数码形式保存在永久存储设备上,那它们将被认为是电子记录。那些保存在内存当中,而没有记录到永久存储设备上的自动计算和临时使用的数据将不能作为电子记录。它们包括从HPLCW 的二级阵列管检测器产生的用于提取的特定信号,但没有记录到计算机的光谱数据。 2.2封闭系统 是指只有相关权限的人才能进人并读取电子记录内容的系统。开放系统是指进人时不受控制的系统。实际上所有分析实验室中涉及到的系统都是封闭系统。通过使用相应的安全系统,实验室对谁能够进人系统实行完全的控制。在实验室里的开放系统将是一种由第三方控制的,数据存储在服务器上的系统,开放系统还包括每个人都可以访问的因特网。 2.3电子签名 是指“由个人制作、采纳并授权的任何符号或系列符号化的计算机数据,它具有与个人手写签名同等的合法地位。”电子签名可以基于生物测定学的特征,例如指纹扫描,面部或声音特征。但在一个公司里,可以只使用用户名和密码的组合方式。每一个人的用户名都必须唯一。在封闭系统中使用电子签名就足够。 2.4数字签名 是指“基于密码学的电子签名,它通过一套参数和规则进行鉴定和计算,从而能够对签名者的身份和数据的完整性进行核实。”数字签名需要开放系统,并且需要更高的安全等级。因此为了符合数字签名的要求,必须使用密码学的方法,来对用户进行鉴别和保证记录的完整性。 2.5生物测定学 是指“基于一个人的物理特征,或者是一个人可测量可重复进行的特有行为,来进行身份核实的一种方法。”例如面部和声音特征,指纹扫描。大部分的生物测定学方法都需要特殊的硬件和软件。这种装置最大的问题是确认它们可以针对某个人可靠的工作。 2.6混合系统 结合电子和书面记录。这在当前的分析实验室中很普遍。原始数据以电子数据的方式储存,但最后的结果以书面打印并手工签名。FDA不禁止使用混合系统,但对它们的有效性表示担心。 2.7元数据 对于通过原始数据来重建最后的报告非常重要。例如在色谱中,包括积分参数和校正表。 三、 关键内容和主要问题 21CFR第11部分共有36页,但只有3页是法规本身。其它33页包括FDA从企业反馈中整理出来的绪论。下面的讨论来自于绪论和法规本身。 3.1系统验证 “所有曾经产生、维护和对电子记录进行归档的计算机系统都必须要验证,来确保其准确、可靠和独立一致的操作胜,并且有能力辨别非法和篡改的数据。”对于新系统和现存系统都必须进行系统验证。对规范使用计算机的实验室来说,这不是一件新事物。计算机系统已进行验证,大部分的公司也已经制订实施策略。新系统中存在的问题比“传统”的系统要少。旧系统需要以前的验证,如果不能验证,那根据21CR第11部分的规定,它将不能投人使用。 3.2即时重建分析中的电子记录安全保证 “所有过程应在线产生准确和完整的记录备份,这些备份应清晰可读,并以一种便于FDA人员检查、回顾和复制的电子数据格式存在。应保护数据,使之能在一段时间内保持正确性并随时可以回顾。"FDA期望最后的结果能与生成过程数据(元数据)的原始数据保存在一起。检查人员应该能通过使用一种方法从最后的结果追溯到原始数据,这方法应该就是用户生成这些数据时使用的方法。这是在实施21CF R第11部分时最难的一条。在某些情况下,数据应该保存10年或更长,但由于计算机硬件与软件的生命周期较短,也许会出现一些问题。可能解决的办法,例如验证文件的转换规程,和将原始数据与元数据保存在一起,将在后面的系列文章中讨论。 第二个问题是到底哪一种记录应该日志化并被保留?对于定量色谱分析来说尤其复杂。通常在色谱数据获得的过程中,数据分析和打印是根据预编程序自动进行。但有时预编程序的整合方法不太合适,这在色谱图的基线噪音表现得很明显。在这种情况下,必须结合原始数据调整参数来进行分析。但在重复操作过程中,由于主观原因,每个人的操作都会不同。问题是是否只打印以最后认可参数作出的最终结果,还是将所有中间过程的数据都打印出来?这个系列中的一篇文章将会对这个问题做说明。 第三个问题是在保存期间记录的有效性。最容易出现问题的地方不是存储介质的可持续性,例如CD一ROM,而是重建分析所需要的计算机硬件、操作系统和应用程序。 3.3授权进入 “在线建立的一种规程,使得只有经授权的人才可以进人”。授权进人能通过物理和逻辑机制来实现。大部分公司都已经建立这样的规程,例如用户通过用户名和密码登录系统。在分析实验室实施过程中,当计算机系统超时收集数据时,曾报道出现过问题。为防止非授权人进人系统,应该使用带密码的屏幕保护程序。如果使用频繁,每次键人用户名和密码很不方便,变通的措施将在以后的文章中予以讨论。 3.4用户独立、计算机生成、带时间标记的审计过程 “为了记录操作者登录的日期和时间,以及记录创建、修改和删除电子记录的行为,应该为使用计算机生成和带时间标记的审计过程建立档案。修改记录时先前的记录还应存在。这种审计过程的文件应保留足够长的时间,不得短于电子记录规定的要求,以便检查人员检查和复制。” 这一段是许多问题和讨论所涉及的话题。问题主要是应该如何实施,特别是哪一些内容应被记录。例如,当产生一个校正表时,应该记录哪些内容?当输人一个化合物名称时,如果输人错误,是否应该记录?是否只有敲回车时,这一行才应该记录?或者只有整个部分结束的时候(在校正表的末尾)才应该记录?有太多的确认步骤影响分析过程。 举例,有一个跨国公司的质量保证审计员去检查一个新的实验室信息管理系统,这个系统实现“全套审计追踪”,3天后,有5000条事件被记录。当第五天审计员离开的时候,他发现一共有15001〕条记录。 第二个问题是化学家担心,如果他所做的一切都要记录的话,这将会影响他的创造性。在封闭和开放的系统中使用安全的电子签名“为了鉴别记录和签名的真实性,由个人电子签名所引发的责任行为,应建立相应的书面政策。”这不仅要求对于用户名和密码的使用应建立规 程,同时应改变行为。与同事共享密码的忌讳通常要比教某人滥用手写签名低,但根据第11部分,这两种行为都有同样的后果。 第二个问题是一旦记录被签字,如何保证它们的完整性。解决这个问题的技术方法,将在后续的文章中予以讨论。 3.5在开放系统中使用数字签名 “使用开放系统来创建、修改、维护或转送电子记录的人,在适当的时候将使用一些规程和控制,来确保电子记录从创建到接收的真实性、完整性和保密性,这样的规程和控制将包括用于封闭系统的鉴别方法,例如文件加密和使用适当的数字签名标准,来确保记录的真实性、完整性和保密性。”这要求用软件来进行文件加密,也许还会要求用硬件和软件产生数字签名。在这个系列中将有文章讨论这个问题。FDA 和 2 1CFR第11部分的实施,将对生物制药企业产生重大影响。这同1980年初GLP的实施和1990年上半年验证的实施相类似,全部的实施还需要一定时间。 关键点 : 下面的内容是开始实施21CFR第11部分的一些建议: l 从规范角度来说,应考虑是否所有的签名都是必须的 l 创建基础设施来使实施顺利 l 使所有员工了解规范内容,特别是他们在使用电子签名时的责任 l 决定是否全部使用电子记录和签名,或者是混合系统(电子记录加书面记录),然后报告给FDA l 制订实施计划 l 为实施审计建立规程,确保数据的完整性,并为带数据恢复功能的长期档案管理建立规程。 l 使用本文提到的标准评估现存系统。如有不符合的地方,升级系统,如果不能升级就进行替换 l 从信息技术部门(如果存在)、质量保证部门和实验室选派人员组成任务组。 l 建立规程,使只有经授权的人才能进人系统 l 确认所有工作都符合21CFR第11部分的规定 l 检查实验室所有的设备,制订计划使之符合 21CFR第11部分的规定 l 为计算机系统提供功能化的技术规格 l 培训相关人员 l 验证新计算机系统,进行设备验证,包括设计验证,安装验证,操作验证和运行验证。 上一篇: 不忘初心 砥砺前行--记天目湖之行
|