网络和系统基础设施是GLP实验室计算机化系统的基本构架,其验证和管理工作对计算机化系统在GLP机构中的有序运行至关重要。基础设施可在计算机化系统的系统生命周期中被验证,也可独立验证。基础设施验证应全面考虑其特殊方面如基础设施配置、规模和复杂性、硬件和软件以及网络通信等,从而实现以监管为目的的计算机化系统验证。
《药物评价研究》2020年第43卷第2期发表了中国食品药品检定研究院国家药物安全评价监测中心屈哲等的文章,简述了计算机化系统基础设施的验证方法和管理工作特性,以期为建立符合我国GLP原则和法规要求的计算机化系统提供支持和参考。
近年来,网络和系统基础设施在监管环境中的使用及其对非临床研究的影响越来越大。网络和系统基础设施生命周期是一个测试机构的一体化计算机化系统的基本构架。基础设施包括系统、流程、人员、硬件和软件组件,这些组件必须存在并有序运行,以使网络通信和安装的软件应用程序正常工作。基础设施对于保持所有核心业务流程至关重要,通常情况下要一直运转,但需不断变更、更新或迁移。系统的监测应该以机构或整个设施为基础进行,而不是仅仅针对某个具体研究。
非临床安全性评价研究中使用的所有网络和系统基础设施应该以符合药物非临床研究质量管理规范(good laboratory practice,GLP)原则的方式进行开发、验证、操作和维护。具体而言,GLP法规要求网络和基础设施设备具有适当的设计、足够的容量和规模,并且适合其预期目的。适用于网络和系统基础设施组件的GLP原则包括适当的检查、维护 、测试、书面标准操作规程(standard operationprocedure,SOP)以及这些操作的记录。在系统基础设施的设计中应该参考适当的法规、指导文件和机构SOP,以确保设计符合监管要求。但在GLP监管环境中,GLP法规的原则和要求必须始终优先于共享网络和系统基础设施中的任何有竞争或冲突的需求,必须确保非监管系统不会对GLP监管系统产生负面影响。
本文根据计算机化系统中基础设施生命周期活动以及管理实践,简述了计算机化系统中基础设施的验证考虑要素,以期为参与计算机化系统验证和管理的网络和系统基础设施相关人员提供参考。
1. 基础设施验证考虑要素
用于监管目的研究开展的计算机化系统,其开发、验证、操作和维护必须符合计算机化系统验证的原则。基础设施可作为一个“独立的”系统被验证,例如可在其自身的基础设施生命周期内的一个实验室或测试设施的分析仪器网络中被验证,也可作为网络和其它被确认的系统基础设施组件在某个计算机化系统的系统生命周期期间被验证。何时创建或更改系统基础设施,都要进行标准验证和确认。下面对系统基础设施验证和确认的某些特殊方面进一步分析。
1.1 配置
系统基础设施可以从小型升级到大型的国际化公司,最基本的网络设计配置是“局域网”(localarea network,LAN)。利用“点对点”方法(其中每台计算机具有提供网络服务的能力)或服务器客户方法(其中一个或多个服务器为个人用户工作站,即“客户”,提供共享网络的访问服务)将小部分计算机物理连接在一起。随着需要共享服务的用户数量增加,在功能和效率方面“广域网”(wide-areanetwork,WAN)更加理想。一般来说,广域网由两个或更多的物理连接和逻辑连接的局域网组成,被置于可信配置中,以便多个局域网可作为一个局域网。
1.2 规模和复杂性
规模小的基础设施常由少数人规划和执行。在这种情况下,当人力和物流合适时,生命周期的某些部分可能会结合在一起。例如,在为一小群人创建一个小型局域网时,基础设施的需求被批准后,可以同时考虑设计和实施,并创建单个可交付文件。对于像WAN这样的更大规模的基础设施,将有许多人参与需求、设计和实施,这些文件可以是分开的。然而,无论实施规模或人力资源的规模如何,都需要适当的文件来定义基础设施生命周期的各个部分包括完整的基础设施维护记录,以便可以证明基础设施是否处于验证状态,即使出现故障也进行了修复。
1.3 硬件和软件
基础设施包括硬件和软件。硬件由一台或多台计算机组成,这些计算机分享计算机基础设施资源或服务,如文件、打印服务等。例如,用户主要使用一些计算机的分享服务生成硬拷贝可交付成果。软件提供编码指令使每个硬件设备单独或一起工作。服务器计算机必需具有网络操作系统软件,以提供共享资源。另外,软件应用程序(如数据库)依赖于网络操作系统软件和网络硬件,以电子形式存储和传输信息。
系统基础设施验证时务必记住验证软件。例如,网络可有在交换机上运行的固件,固件操作系统功能参与网络或服务器提供网络驱动器。当受监管的应用程序和非受监管的应用程序在同一基础设施上运行时需要进行验证,以证明非受监管的应用程序不会干扰受监管的应用程序。必须采取保障措施以确保基础设施仅用于要求和设计限定的预期用途。如果系统用于预期以外的其他用途,那么在变更控制完成前不能将其视为处于验证状态。
最后,允许打印机、网络传真设备和其他外围设备组件连接到互联网等外部信息源。所有这些计算机和外围设备将通过组成计算机网络或系统基础设施的硬件相互关联。
1.4 网络通信
首先,考虑的是有线或无线的通信方式和使用媒介。对于有线基础设施,必须对电缆进行测试证明性能符合规格,确保受监管的数据不会被破坏或改变。对于无线基础设施,必须测试点到点的数据安全性和通信功能,因为其可能遭到未经授权的访问或“窥探”。例如,数据加密可以减少这种类型的安全风险。无线接入点应配置为隐形进行确认测试以证明加密和隐形接入点功能正常。还需要更多额外测试,以充分确保达到适当的确认和数据完整。依据风险具体问题具体分析。通信功能中无线基础设施可能受到通量限制、交叉频率干扰(由于有限数量的可用无线频道)、人为或自然的来自大气或其他环境来源的干扰。
另外,需要测试的特殊情况是运行在服务器上的网络操作系统。服务器操作系统非常复杂,无法测试基础设施内软件执行的每项功能。但可通过测试其关键服务来证明网络操作系统功能正常。例如,网络操作系统通常会向用户发布共享外围资源。可通过显示基础设施部分网络设备的可见性和正确操作来测试此功能。网络文件系统、共享打印和其他功能可以进行相同类型的测试。
2. 基础设施生命周期活动
系统生命周期(system life circle,SLC)中定义的活动和可交付成果适用于网络和系统基础设施。系统生命周期包括开发计算机化系统的一系列重叠阶段。对于系统生命周期的每个阶段,都有所涉及的活动、交付成果以及所需的审查和批准。虽然各阶段是以连续的方式呈现,但是在整个系统生命周期中,有些阶段可能会重叠,特别是在确定更多关于计算机化系统需求和设计相关的信息时,每个阶段的部分内容(包括流程和可交付的成果)需要重新审视。
2.1 确认或验证计划
基础设施确认或验证计划列出了执行范围、基础设施位置、基础设施需要遵守与其他任何系统监管相互作用的监管标准,以及这是一个全新的基础设施还是当前基础设施的扩展。在现有基础设施的情况下,大多数现有的验证可作为新验证工作的基础。新的验证工作范围是证明原始基础设施功能没有受到变更的负面影响,且增加的新需求已经得到满足。计划还应详细说明基础设施是否需要硬件确认,以及如何、在哪执行文档需求。详细介绍与基础设施相关的任何特殊考虑因素,例 如 布线、无线系统的干扰等。硬件资格认证应确保基础设施的每个组件都满足硬件要求。
系统基础设施验证计划中应包括确保基础设施正确使用的必需配备的书面程序和其他标准。这些程序通常以 SOPs的形式出现,其制定应满足监管需求以及公司的业务需求和政策。验证计划还应该包括即将使用基础设施的人员的培训要求。验证计划应规定对系统的未来支持和维护所需的培训。根据验证规模需要供应商对基础设施组件进行培训。如果项目涉及小的升级或组件更改,审查基础设施备注即可提供足够的培训。随后指定的公司信息技术(information technology,IT)专家将根据基础设施支持需求培训其他(储备)IT人员。
2.2 需求范围
需 求 规 范 应 列 出 基 础 设 施 整 体 功 能 的 相 关 要求。在本文档或其他更详细的需求文档中,应充分定 义 每 个 项 目 的 细 节 以 便 使 任 何 阅 读 该 文 档 的 技术 人 员 对 基 础 设 施 或 组 件 执 行 的 操 作 以 及 如 何 实现 这 一 操 作 都 有 相 同 的 理 解。这 些 要 求 文 档 中 应记录的重要事项包括但不限于合理的设计、足够的容 量、所 需 的 性 能、正 常 运 行 时 间 和 冗 余。软 件 开发过程中,根据需要向软件开发人员提供包括拓扑结 构、能 够 实 时 监 控 和 分 析 流 量、失 败 重 定 向 信 息或监控入侵的范围和类型等信息。
需要明确基础设施的安全需求,包括基础设施符合公司安全政策的必要需求和监管需求。例如需要限制访问数据中心、限制访问系统密码以及传输数据子系统之间的安全控制。基础设施需求规范还必须考虑到受基础设施影响的特别风险,如使用互联网,任何连接到互联网的基础设施都面临着未经授权入侵基础设施的风险,从而使与基础设施相连的所有设备都面临风险。验证计划必须确保有适当的安全措施来抵御入侵。
2.3 确认或验证报告
完成要求内容后生成基础设施确认或验证报告。在确认或验证报告中记录所有完成的内容。与SLC的验证报告要求类似,报告应包括一个结论声明,说明基础设施是根据其预期用途的特定需求经过确认或验证。对于简单组件或系统的基础设施确认或验证报告的有限审查和批准足以使其投入生产使用。更复杂的组件或系统可能需要完成一个额外的系统发布或“试运行”的表格或流程。
2.4 操作和维护
网络和系统基础设施的受控操作和维护是确保数据质量和完整性的重要因素。一般而言,基础设施的变化相对频繁,根据其规模和复杂程度,整个系统必须在受控状态下进行维护,通过建立书面程序并遵循其主要功能,包括但不局限于变更管理、配置管理、安全管理、网络管理、问题和事件管理、灾难恢复、性能监控和定期评估。
2.5 组件退役
尽管系统的基础设施本身很少退役,但许多情况下,系统某部分必须经历退役过程。例如,当服务器已过时必须更换新服务器。为确保基础设施作为一个整体获得验证,必须解决4个关键问题:
(1)数据迁移;
(2)如何归档正在退役项目的信息和配置;
(3)退役过程本身;
(4)为正在归档的数据分配适当的记录保留期。
但是,如果退役是必要的,则必须遵守公司的所有相关SOP、记录保留政策以及适当的规定。
3. 管理实践
网络和系统基础设施在日常运行中的管理涉及多个方面,包括文档、管理SOPs和培训、性能监控和管理、配置管理、变更控制和管理、安全管理、IT设施和保护、质量稽查和审核。良好的管理实践为基础设施在GLP环境中有序运行提供保障。
3.1 文档
除了确认或验证报告之外,还应准备好关于基础设施组件和系统的完成文档以供检查。文档应包括对已安装的合格或验证的基础设施的叙述和图解说明。记录并保留支持每个应用程序和数据的基础设施和组件的文档,包括对软件和数据存储控制的描述。应列出网络操作系统、传输协议和系统工具,以及它们在基础设施中的位置。对于每个计算机机房或数据中心,应该有一个网格图显示每个设备在房间中的位置。文档应包括物理安全和控制措施的书面说明,包括烟雾、热量和水探测器以及灭火器类型、位置和容量。这些信息应通过变更控制流程保持更新。
3.2 管理SOPs和培训
采用SOPs描述基础设施维护操作的主要功能。应审查SOPs以确保符合特定的用户和供应商需求、机构政策、程序和规定。程序应规定为维护和解决基础设施问题提供信息,并提供证据表明已经实施并遵循了足够的控制。GLP原则要求有足够数量、经验丰富和经过培训的人员执行所要求的功能。
维护和支持基础设施的人员必须具备完成特定功能的教育、培训和经验,包括员工和承包商人员。计划和记录培训规定以确保所需的技能得到发展和保持。培训计划应包括在职培训和适用的外部培训课程。除了适当的技术培训外,IT人员还应接受所有GLP监管需求的培训。此外,在系统和基础设施发生变化时应进行再培训。保留培训记录,通过书面证据证明员工有资格履行分配的职责,并明确了解其预期的职能。
与所有受监管的行为一致,维护活动应该在适当的管理、合规和保证质量下进行,并且必须生成和保存记录证据以供将来检查。按照监管规定,对于所有保留的GLP记录应该有文件记录,表明记录由被指定为负责GLP档案的个人保存,记录被存储和索引以便快速检索。
3.3 性能监控和管理
性能监控和管理包括监督和记录基础设施的操作情况,证明其持续处于合格状态并确保满足预期。结果审核或基于监测活动的警报将触发维护、更新、更改或灾难恢复行为,构成主动支持的基础。这种方法确保平台在运行期间保持受控状态。基础设施管理的一个重要目的是识别和利用最有效的自动和手动设备、应用程序和工具帮助IT管理人员监控和维护网络性能。有许多商品化工具可用于支持基本的网络服务器监控和性能跟踪。经典的性能指标包括24小时内的平均负载、冲突率、丢包率和峰值负载。
基础设施管理者面临主动避免网络和应用程序停工,以及有效管理网络带宽不断增加的压力。系统基础设施的可用性和可靠性对于操作运行至关重要多数中断或性能问题都由终端用户向 IT部门报告。就终端用户而言,系统可用性包括所有系统组件的整体可靠性以及诸如响应时间、冗余以及预防性和修复性维护等问题。
3.4 配置管理
配置管理主要包括组件识别、配置控制、状态记录和配置稽查。至少,对于维护合格状态至关重要的所有项目都应该在配置管理下进行管理。这些信息旨在必要时提供准入基线,实现受控和安全修复。
重要基础设施组件(如设备、子系统和操作环境)的详细记录和管理清单便于配置管理。组件配置管理需要标识、文档和组件列表,包括硬件和软件组件的版本和关系。需要进行配置管理的基础设施组件包括:网络设备、服务器硬件和操作软件、桌面客户端配置,网络拓扑以及用于环境控制、电源、连接和灾难保护的数据中心系统。典型的可交付成果将包括资产(清单)记录,包括软件许可证信息、设计和配置文档以及拓扑图。
3.5 变更控制和管理
变更控制是在其运行期间对基础设施组件或系统进行更改的正式文档和批准。变更控制过程必须形成文件,通常管理硬件、软件、安全补丁、热修补程序和供应商更新。变更控制程序应涵盖验证阶段,运营阶段(包括归档)和系统退役阶段。变更过程还应包括处理变更未提供所需结果情况(将修改后的环境恢复到原始状态的程序)的注意事项,以及实施变更时遇到问题的文档记录和解决方案。变更控制要与配置管理同时考虑。在向基础设施引入任何变更之前,应咨询可能受影响系统的题家(subject matter experts,SME)进行评估。GLP机构应建立确保专题负责人充分了解影响GLP研究的变更机制。变更控制中使用的风险评估可以使用当前ISPE1 GAMP5指南中描述的软件分类。
所有基础设施硬件和软件的安装和变更都必须充分记录和保留,包括执行人员、发生时间,以及是否使用或更改了默认的及其他设置配置,如默认设备密码,测试证据(测试的输入、要测试的功能、结果输出、测试仪的文档和测试的时间)。测试应确认硬件和软件按照指定进行了配置,指定的版本已正确安装,并且所有组件都在测试期间运行。
3.6 安全管理
基础设施安全管理包括公司认为适用于保护基础设施不受损失或损坏的政策、程序、要求和培训。安全包括保护硬件、软件和数据免遭未经授权或意外的修改、破坏或泄露。除了物理控制之外,还可以通过实施程序控制来实现安全性,例如用户帐户管理程序 、入侵检测系统(intrusiondetection sytems,IDS)、病毒防护软件、防火墙,垃圾邮件过滤器等。每个机构均应实施一项安全策略,概述网络访问规则,确定如何实施策略,并定义安全环境和控制的基本架构。
3.7 IT设施和保护
适当考虑IT设施和基础设施组件特别是数据中心或服务器机房的物理位置,采取措施避免极端温度和湿度、灰尘、电磁干扰和接近高压电缆的极端情况。采用不间断或备用电源防止故障、问题或灾难。安装防火、烟雾、热量和水检测系统。根据SOPs和所有记录进行这些控制措施的服务,定期审查环境控制文档。这些检测和监测系统都应连接到某种警报系统,并将检查、评估和解决过程记录下来,以确保控制证据能用于检查。总之,制定有效的灾难恢复和应急计划可使系统在中断或灾难发生后迅速有效地恢复。
3.8 质量稽查和审核
质量保证原则对于基础设施的管理至关重要。IT成员和主题专家应审核流程、系统和支持文档,以确保符合指定的基础设施需求。定期审核是维护基础设施验证状态的一个重要方面。审核应该在预定的时间段进行,或者在诸如技术发生重大变化之类的事件时进行。除了定期审核外,质量稽查应由质量保证部门(QAU)进行,以确保对IT功能独立审核。审核有助于确保流程和程序符合特定的质量和法规要求。QAU根据适用的标准和程序建立和记录审核的范围、频率和目的。GLP环境中应由质量保证部门检查设施、设备、人员、方 法、实践、记录和控制措施的文档,以评估它们是否符合GLP规定。
4. 总结和展望
网络和系统基础设施对验证计算机化系统起独特的作用,是所有计算机化系统运行的基础和必不可少的工具。例如依据机构规模选择不同的网络配置,规模和复杂性确定可交付文件形式,软件、硬件、网络通信是计算机化系统运行的基础。因此,基础设施必须满足许多不同系统的诸多需求,而且必须充分支持它所服务的所有监管系统。即使被同一个工作人员使用,也必须保持这些系统的独特性质。网络和系统基础设施的验证和管理实践过程十分复杂,购买、实施、使用和配置基础设施要制定好总体验证计划还要兼具灵活性。管 理 实践涉及多个方面,网络和系统基础设施在GLP体系下有序运行,应考虑全面,制定相应的 SOP,才能有效地支持计算机化系统的运行。
GLP行业目前的趋势是“外包”网络和系统基础设施,这给GLP监管环境中的所有验证工作带来附加的难度。然而,受监管的基础设施活动外包给供应商,但其监管的合格性不能外包。因此,作为GLP实验室相关人员均应理解和参照计算机化系统验证和管理工作的各个方面履行相关职责。
本文简述了计算机化系统基础设施的验证和管理工作特性,以期为建立符合我国GLP原则和法规要求的计算机化系统提供支持和参考。
延伸阅读
