数据完整性是GLP实验室官方质量评价中最为重要的指标之一,因此,用切实可行的方式来建立数据治理体系能确保GLP实验室质量的稳定,并能定期系统性的评估实验室的数据完整性,保持满足官方监管要求。
《中国检验检测》2021年第2期发表了中国科学院上海药物研究所药物安全评价研究中心金毅等的文章,介绍GLP实验室业务领域和监管官方对数据完整性的法规、指导原则、目的和要求,梳理数据治理体系的建立方法和流程,并介绍数据质量矩阵来帮助GLP实验室对自身质量状态进行评估。
引言
由于GLP行业的特点决定其能呈现给监管官方的就是试验数据,以及监管官方期望通过数据能够重现整个试验和实验室管理,所以数据完整性是GLP的基础,也是监管官方检查的重中之重,最受关注。数据完整性的原则虽然类似ALCOA+CCEA,但是在涉及不同的学科、文化、流程、科技发展,其数据完整性的具体操作,实验室管理和试验执行如何才是达到了数据完整性会有很多不同的要求。
ALCOA即:
- Attributable-归属至人
- Legible-清晰
- Contemporaneously-同步
- Original-原始
- Accurate-准确
CCEA即:
- Complete-完整
- Consistent-一致
- En-during-持久
- Available-可获得
同时在GLP合规实验室的运行过程中如何平衡数据完整性要求和实验室高效运行,如何维持 GLP 合规性实验室数据完整性体系的稳定,以及是否有一套方法来评估该实验室数据完整性治理的优与劣是值得提出和探讨的。
认识数据完整性
近年来,数据完整性在GXP领域被着重提出,但是我们知道数据完整性不是一个新的概念,尤其是在最强调数据的GLP领域,在实验室的培训中,在内部QC/QA的检查中,在监管官方对实验室的GLP认证、定期监督检查和试验资料的申请检查中,其一直是重中之重。因为数据是GLP的基础,官方期望通过数据来重现整个试验。可是在GLP领域,涉及到化学品、人用药、兽药、农药、医疗器械、添加剂等不同的研究受试物,不同的国家和国际组织的文化,甚至是委托方的企业文化,虽然是同样的工作,但不同实验室有不同的流程设计,以及电子化、云技术、人工智能、区块链、物联网等现代科技发展,数据完整性的实现也开始发生了变化。
所以数据完整性成为了当前合规性实验室最火的话题之一,但我们一定要清楚它一直是GLP的重要组成部分,只是由于科学复杂性的增加,GLP也已不再是照猫画虎的流水线工作,而正在变成学科性工作,相应地带来数据类型、数据量、元数据的增加和数据完整性要求的变化。现在工业界和监管官方不断地强调电子审计追踪,行业也需要更详细有用的指导原则来帮助确保实验室的数据完整性GLP合规。因此,英国官方机构药品和健康产品管理局(MHRA)在2018年3月发布了《GXP数据完整性定义和指南》,OECDGLP也正在起草建议性文件《GLP数据完整性的定义和考量》,中国国家药品监督管理局(NMPA)也于2020年6月24日发布了《药品记录与数据管理要求(试行)》。在这些指导文件中,我们能看出官方对数据完整性的表述是“数据完整、一致、准确、可信的程度,以及在数据的生命周期中保持上述特性的程度”。也再一次强调了用ALCOA+CCEA来阐述数据完整性的特性,这里也举例说明一下数据采集时该如何实现ALCOA,以及不同类型数据的风险。
同时监管官方提出了“基于风险管理的数据完整性质量管理体系”,这给了GLP合规实验室一个仔细考量自身体系,有差异化地合理设计管理流程的依据。监管官方希望GLP实验室应该基于对自己流程的理解和对使用的技术,和从事的业务的知识,执行有意义和有效能的方式来管理自己的数据完整性风险。
由于GLP实验室的数据将用于支持受试物的注册申报,并会在产品上市后出现一些未预料到的情况时回过头来追溯以前的GLP试验数据,所以数据从获得到销毁,其生命周期是很长的,官方引入“数据生命周期”的理念,来向GLP行业表明,合规GLP实验室中数据生命周期中的很多环节的管控会影响到数据的完整性。数据生命周期中的管控环节包括:培训、记录表格控制、人为失误控制、SOP、计算机化系统验证、仪器确认、角色权限、安全措施、变更控制、数据访问和修改控制、审计追踪、数据备份、灾难恢复、档案管理等。因为在监管官方进行数据完整性检查时会发现如下的问题:
- 试验人员只被培训过数据如何记录和修改,而不知道全面的数据完整性概念;
- 数据完整性被认为是IT人员和试验人员的事情,与机构负责人、项目负责人和QA没有关系;
- 对发现的人为失误仅仅是重新培训,不进一步调查人为失误的深层次原因;
- 解决数据完整性问题的方案是根据现场的情况和个人的理解来设计的,没有趋势和系统性的考量;
- 有的机构引入了数据完整性风险管理,但是其风险评估本身就是风险,因为只以案例结果导向评估,也就是说结果还好,就评估为没有风险。
因此,监管官方对数据完整性的检查由原来的关注数据本身的缺陷,进化成更关注数据治理的缺陷,那么,一个GLP合规实验室与数据治理有关的缺陷会包括:缺少质量文化、错误的价值导向、权限利益冲突、职业性缺失、数据完整性培训缺失、数据审核漏洞、仪器系统漏洞、流程控制漏洞、缺少问题回顾、QA对计算机化系统失察、自查时不做数据完整性复核等。同时监管官方还在指导原则中表述了这样的期望,如:美国FDA认为实验室应该建立每一名员工都理解的数据完整性是非常严肃的事情,并鼓励将数据完整性作为核心价值的质量文化,创造能够鼓励员工对数据问题快速识别和正确汇报的工作环境,因为这些对产品安全是非常必要的。英国MHRA认为高级管理人员的行为举止对于成功的数据治理措施是不能被低估的,数据治理政策应该由机构的最高层背书。官方在GLP检查中对数据完整性检查的路线也将会是:
- 审核数据完整性风险评估文件;
- 审核数据完整性控制措施是否有效;
- 评估数据完整性文化;
- 检查QA审计报告和对发现问题的回复,包括对发现问题的分级来判断数据完整性风险评估是否适当。
理解GLP行业规范来审视自身GLP实验室的数据完整性状态
在监管官方逐渐形成较为详细的指导原则的情况下,GLP合规实验室自身、委托方、监管官方如何来给GLP合规实验室的数据治理体系和数据完整性成熟度进行评估将是一个将点连成线,将线织成面的工作。是一个需要把前面阐述的“以ALCOA+CCEA来阐述数据完整性的特性”,“基于风险管理的数据完整性质量管理体系”,“数据生命周期中的管控环节”和“关注数据治理的缺陷的思维”进行组合来建立评估矩阵,这个矩阵我们可以称其为“数据治理和数据完整性成熟度评估矩阵”。主要从文化、组织和治理、规划和完整性计划、法规、数据生命周期、数据生命周期支持程序这六个维度入手,每个维度可以再进行细分领域,每个领域有相应的要求。对于各个领域的要求做到什么程度可以分级成五个级别,这五个级别大致是:
- 级别1-没有认知;
- 级别2-有些认知但总忽略;
- 级别3-认知并执行但不主动;
- 级别4-认知并体系化的执行现有的措施;
- 级别5-认知并执行还持续习惯性改进。
下表将六个维度、维度中的领域、领域的要求和要求级别组成一个矩阵(由于不同要求的不同级别还可以具体的表述,限于篇幅就不在此处赘述了)。
数据完整性治理的方式和QC/QA在其中的作用
为了GLP合规性实验室的数据完整性经得起委托方和监管官方的检查,并能够与时俱进,一个合理的数据完整性治理程序是应该书面化并能被执行的,这个程序应该考虑谁是负责的,谁是参与的,有哪些领域,从哪里开始。为了数据完整性治理程序的执行,可以用横跨所有部门的委员会的形式进行组织搭建,委员会成员需要管理层背书参与,并且有IT人员、QA人员、质量控制人员、培训师和工作人员,但是一定要明确各成员在数据完整性治理中的身份,即谁是责任方、谁是执行方、谁提供咨询意见、以及谁一定要被告知,同时明确定期沟通交流的方式和频率。然后委员会成员共同建立数据完整性遵循方案,这个方案应该包括明确自己的实验室中的数据完整性是指什么?对数据流和数据风险的相关性进行绘制映射并评估,展现出数据流整个生命周期的完整性程度,列出数据治理和数据完整性成熟度评估矩阵,确认差距,并按此方案进行持续不断的改进。最终GLP合规实验室应该能够向委托方和监管官方讲述自己实验室的遵循方案和数据完整性程序中的各种元素,包括质量体系中有数据完整性要求、文档记录SOP和ALCOA+CCEA的体现、有关的培训内容、数据完整性治理程序中的角色、职责和流程等。
为了监督数据完整性治理程序的执行,GLP合规实验室的定期QC自查和QA审计是必不可少的环节。数据完整性自查时应该清楚知道该记录什么?是否都记下了?数据的处置(如果要剔除一些数据,有什么理由),数据一旦产生都要保存(包括接受的和拒绝的数据),以及数据结构要完整(元数据和审计追踪与原始数据是不是在一起)。而QA除了能够审计数据本身,还应该从确保数据完整性执行的规程、确保数据完整性监管的规程、项目审计、计算机化系统关注点、电子数据关注点、纸质数据关注点、审计追踪、人员权限等八个方面进行审计。
数据完整性治理体系的总结和展望
GLP合规实验室的高层管理需要知道监管官方对数据完整性的期望,也应该认识到这不只是建立几份SOP,而是要建立数据完整性文化,针对的数据无论是传统的纸质数据,还是现代的电子数据,在实验室树立一种从上至下的正确的数据管理观。可以对数据完整性进行风险评估,包括明确数据和其重要性,这些数据获取的方式和呈现形式,可能的风险和对应控制的级别。并根据风险评估和自身特点选择质量指标,并进行监测。也要能够根据数据完整性的要求和差距调整人员、设施设备和工作流程。最后通过定期的审计和风险回顾,整体性的采取纠正和预防措施(CAPA),由数据完整性治理委员会负责。
延伸阅读
