计算机化系统(computerized system)是指将相关的硬件和软件组合在一起,执行一个或一组特定功能的系统。近十年来,计算机化系统在GLP实验室中运用得越来越广泛,计算机化系统的管理也越来越受到官方审计的重视。但各GLP机构对计算机化系统的验证、运行程序及电子数据管理等方面的具体实践不尽相同,在计算机化系统质量保证方面理解程度也略有不同。
《药物评价研究》2017年第4期发表了军事医学科学院毒物药物研究所李红等的文章,结合欧美国家对GLP实验室计算机化系统的规定,针对计算机化系统的特点,对计算机化系统管理质量保证(QA)的关键点进行了探讨与总结。
由于国内GLP实验室的计算机化应用起步较晚,对计算机技术应用于药物研发过程的合规性与欧美发达国家相比存在一定的差距。而随着技术的发展,计算机软件和信息技术在药物研发领域得到越来越多的推广使用。新药研发数据采集和处理的电子化成为GLP领域的重要发展趋势。如何对计算机化系统及其电子数据实施质量保证,是GLP实验室质量保证部门(QAU)面临的重要挑战。
本单位的计算机化系统包括生化分析仪、液相色谱等各仪器的工作站、冰箱温度监控系统、环境温湿度监控系统及实验室信息管理系统(LIMS)等。笔者根据近几年计算机化系统的应用实践,参照经济合作与发展组织(OECD)GLP法规和美国食品药品管理局(FDA)21 CFR Part 11的要求,探索出了一套适合于本单位GLP实验室计算机化系统的管理方法。本文结合计算机化系统的特性,从质量保证(quality assurance,QA)的角度来阐述在计算机化系统的整个运行周期里,QAU对计算机化系统实施质量保证时应注重的几个方面。
GLP实验室计算机化系统的特点及规定
电子记录省去了很多书写过程(如系统自带关键词、简洁清楚、不易遗漏),输出方便,随时查看。系统自带统计程序方便快捷,采集时需要系统的有效连接。GLP实验室的计算机化系统将现代网络信息技术、GLP管理和实验室自动化仪器分析技术融于一体,将实验室所有数据信息最大限度地收集、处理、传输、提取、集成、存储和共享,实现实验室内部资源的有效利用。计算机化系统的特点是优化业务流程,使试验程序智能化、标准化并可以实时在线监控。但也存在一些弊端,如风险大,产生的记录看不见、摸不着,不易于直观发现问题等。
OECD GLP和FDA的21 CFR Part 11对电子数据的规定:任何与安全性评价有关的文本、图表、数据、声音、图示的或其他的以电子形式表现的信息的混合,它的建立、修改、维护、归档、检索或分发是由计算机系统来完成的。能够通过使用标有时间及日期的(电子化的)签名将所有的数据改变与更改人关联起来,还应给出数据更改的理由。2003年,FDA又制订了“第11部分”的应用范围指导原则,对计算机化系统的验证、审计追踪、电子记录的保管期限提出了一整套在合理风险评估基础上的认证程序和方法,以便适当地评价、记录和减轻计算机化系统的风险。基于计算机化系统的特点,降低计算机系统带来的风险是至关重要的内容。GLP实验室质量保证的主要目的是严格控制可能影响实验结果准确性的各种主客观因素,降低试验误差,确保实验结果的真实性。因此GLP实验室计算机化系统和电子数据有效的质量保证,是GLP实验室至关重要的问题。
对GLP实验室计算机化系统的质量保证
计算机化系统的QA包括其开发、验证、运行和维护等方面,对其全部的生命周期进行审查。结合计算机化系统的自身特点,QA对其开展的审查或检查宜采用基于GLP研究项目的检查、基于过程检查和基于设施检查相结合的方式进行。
国内CFDA GLP对基于过程的检查没有明确规定。OECD GLP对过程检查的规定:“用来监督具有重复性质的程序或过程。当某个过程在实验室内频繁进行并通过‘基于研究的检查’无法或不能有效监督时,需要进行这种类型的检查。”
结合OECD GLP对过程检查的规定,针对计算机化系统的特点,本中心规定了适于开展过程检查的环节:计算机化系统的验证、计算机化系统的维护、电子数据的存档。对于计算机化系统在进行课题实验时的运行过程,则采用基于实验课题的方式来进行检查。目前在GLP实验室,实验室信息化管理系统(LIMS)使用比较普遍的有Provantis系统和Pristima系统。本文以Provantis系统为例,描述如何在GLP实验室进行计算机化系统的QA。
对计算机化系统供应商的审核
在选定LIMS系统供应商前,QA应对供应商进行审核。对供应商的整个LIMS开发过程执行的质量管理系统(QMS)进行书面审核,对供应商在软件工程和LIMS文档方面具备履行正确的质量标准的能力进行确认。供应商提供执行代码审核的记录作为验证的证明材料。
对计算机化系统验证(Validation)的审核
QA应参与计算机化系统的验证(Validation)的全过程。对计算机化系统的验证是在使用信息采集过程中,保证GLP实验室系统的连续和稳定运行的重要内容。包括对系统开发的供应商审核、安装验证(IQ)、操作验证(OQ)、性能验证(PQ)。
QA对计算机化系统的验证采用基于过程检查的方式进行。OECD GLP对计算机化系统验证规定:“所有用于测量、计算、评估、传输、处理、存储或归档(需提交给监管部门的数据)的计算机化系统应当验证,对其操作和维护都应符合GLP原则。产生GLP相关数据的其他计算机化系统也同样要求,如原始数据记录、环境条件、人员和培训记录、维护文件等。计算机化系统的操作过程应该是可靠的,并适用于预期目的。验证过程须确保计算机化系统满足其预定的标准。验证应通过正式验证计划的方式进行,并且在正式使用操作之前进行。”
结合本中心在Provantis系统验证过程中制定的相关SOP,QA对计算机化系统的验证的审核及检查,需重点关注如下内容:QA对计算机化系统的IQ、OQ、PQ开展的具体审核和检查主要包括验证方案(用户需求说明、验证策略、性能验证测试计划)、性能验证测试脚本、性能验证实施过程的检查、性能验证测试偏离情况[验证意外事件(VIR)]等。重点关注的内容包括:是否有完整的验证方案(验证的范围、验证的程度是否合适,是否有文档管理、变更控制、配置管理、突发事件管理等相关的SOP),方案中用户需求是否能满足实际需求,验证过程是否遵从SOP及验证方案的要求,验证过程的记录是否完整,验证过程中的意外情况、采取的应急措施及处理结果,验证结果的批准和审核。
计算机化系统使用过程的控制
计算机化系统的使用过程是计算机化系统全生命周期中需要QA重点关注的方面,分为基于课题的审查和计算机化系统变更控制的审查。
1.基于研究课题的审查
基于研究课题的检查或审核包括对制定方案、试验操作过程以及总结报告全过程的审核3个方面。
对试验过程及数据采集的审核:
账户管理(实验人员是否使用自己的账户进行数据采集,是否在采集结束后及时退出账户或锁屏);实验人员是否经过培训,可以正确使用该计算机化系统;试验操作完成后是否及时保存并进行了电子签名;修改记录权限是否合适,是否留痕迹;重点关注对回输数据记录及相应QC的审核。
方案审核:
QA应审核方案中数据的采集方法,哪些采用计算机化系统采集。用到的计算机化系统及相应的版本号、采集后电子数据的储存位置、数据的导出、统计方法、分析时产生的过程数据(LOG)的保存、电子数据的归档。对于计算机化系统无法采集的数据,如何操作。
报告审核:
采用计算机化系统后,系统直接关联试验结果小结数据(如毒性病理数据、临床检验数据、毒代动力学数据)到总结报告,方案和报告中相关内容直接和相关的数据库进行关联和引用调取。相比未采用Provantis系统的实验报告,QA重点关注以下4个方面:
①系统输出的报表是否完整,是否有遗漏动物或检测指标的情况。
②报表输出时间是否在系统内数据采集和统计完成之后。如组织病理学病理专题负责人会在同行评议之后对结果进行修改或调整,需要确保输出的报表是最终版。
③对输出报表的任何更改是否有相应的质量控制(QC)和记录。
④查看是否根据试验方案进行操作和统计(统计方法、统计结果的报告),统计过程数据的保存是否符合要求(打印或储存在网盘中)。
2.对计算机化系统变更控制的审查
OECD GLP对计算机化系统变更控制的规定:“更改控制是对计算机化系统在使用期间发生的任何改变的正式批准和文件。当一个改变可能会影响计算机化系统的确认状态时,就要有一个更改控制。”
本中心在进行Provantis系统验证过程中结合自己的实践,在符合OECD GLP的规范情况下,制定了相应的SOP。QA在进行审核和检查时采用基于过程的检查和基于课题的检查的方式进行。认为经过验证的计算机系统,当计算机的软硬件条件发生更改时,QA审核或检查应关注如下3点:
计算机系统软硬件的控制:
QA应审核计算机化系统的信息记录是否准确、完整,如计算机化系统名称、编号、版本号、仪器设备型号、用户ID、用户权限等;是否所有软件都有保存备份;计算机软件安装及卸载的权限是否具体明确,并有清晰的操作记录。QA应重点审核对一些商品化的软件在使用前的验证及定期验证情况(本中心SOP规定,在使用过程中如未发现可能影响验证状态的情况或事件,则可不予以定期验证;但若组织结构或使用者发生变化,则应定期对使用人员进行审查)。
变更后的计算机系统验证的审核:
QA应审核验证内容是否涵盖:是否有完整的验证方案;方案中用户需求是否能满足实际需求;验证过程是否遵从SOP及验证方案的要求;验证过程的记录是否完整;验证过程中的意外情况、采取的应急措施及处理结果;验证结果的批准和审核。简单的计算机化系统的更改,如果证明其无潜在风险,可不进行验证。当近期刚做过计算机化系统主要功能的验证时,就没必要再做定期验证,或可以推迟进行。
故障检修:
QA应审核是否有故障检修的SOP和相关记录。QA应重点关注计算机化系统部分或者全部发生故障时,是否对所采取的措施进行充分记录并确认。
计算机化系统定期维护及安全防护的检查或审核
计算机化系统的维护和安全防护作为过程检查的内容,QA审核应关注计算机化系统的受控情况:审核IT部门是否收回Provantis系统终端的安装权限;需要关注某些系统所需的标准化的软件,是否在使用过程中不会跟系统存在冲突;关注软件在使用中升级的问题,是否是特定人员对其进行升级,是否需要进行使用中的再验证。
QA审核计算机化系统是否建立应急预案及操作规程(备用电源、硬盘RAID镜像、纸质记录、数据回录、数据恢复);是否有严格的安全防护和访问控制措施(审核服务器机房的物理隔绝、计算机系统的访问记录、账户密码的保护措施、对无人值守终端是否有保护措施,如工作站的显示器屏幕保护等);是否有灾难恢复及其评估的SOP。
电子数据的保存
QA应关注电子数据的备份(日备份、全备份、增量备份、实时备份、异地备份)是否合适;归档电子数据是否有效、可读;归档电子数据是否定期评估;归档的电子数据是否有严格的权限控制;归档电子文件同时存在相应的纸质或其他载体形式的文件时,是否在内容、说明及描述上保持一致;电子数据和辅助文档是否一并归档。
结语
本中心近两年来对计算机化系统方面的检查包括对Provantis系统、临床病理部门的生化分析仪、血凝分析仪、全自动血液分析仪、电化学发光免疫分析仪等;安全药理部门的EMKA无创动物生理信号遥测系统;代谢分析部门的高效液相色谱(HPLC)、液-质联用(LC-MS)等,共进行约六十余次审查或检查。总结起来,QA在实施检查过程中的关注点有以下4个方面。
QA对计算机的检查要全面
QA对计算机的检查要全面,找出易于遗漏及忽略的关注点,如计算机中建立起的相应的可供筛选计算的数据库文件,作为过程检查的一部分来进行。只有这样,才能达到对计算机系统实施全面的检查。
QAU要熟悉计算机化系统
QAU的检查人员要足够熟悉计算机化系统的使用、性能、特点和功能,区分不同的计算机化系统的特点,便于有效、全面的开展计算机化系统的检查。
人员培训要经常进行
经常进行IT知识以及计算机化系统的人员培训,使QAU有足够的能力进行相关检查。聘请熟悉计算机系统的专业人士对计算机系统的操作人员进行有效培训,规范人员在计算机化系统中的操作,减少由于人员操作发生错误的可能性。
调整QA的检查计划
针对计算机化系统的检查,发现存在的问题,需要根据本单位的实际情况以及针对系统在运行过程中出现问题的变化情况,适时调整QA的检查计划,从而保证QA的检查更具有针对性和有效性。
延伸阅读