汪丹，葛海虹，孫丹

1. 上海化工院檢測有限公司，上海 200062 2. 生態(tài)環(huán)境部固體廢物與化學品管理技術中心，北京 100029

自第三次科技革命以來，計算機化技術和電子信息技術蓬勃發(fā)展，廣泛滲透至科學研究、醫(yī)學醫(yī)藥、工業(yè)制造和生活消費等領域。新科技推動了社會生產(chǎn)力的發(fā)展，改變了數(shù)據(jù)產(chǎn)生和管理的方式，于此同時，也打破了原有的管理布局。在良好實驗室規(guī)范(Good Laboratory Practice, GLP)領域，數(shù)據(jù)管理方式已經(jīng)從過去以紙質為主導轉變?yōu)槿缃竦囊詳?shù)字為主導。與紙質數(shù)據(jù)相比，電子數(shù)據(jù)具有無形性、多樣性、真實性和易破壞性等特點。因此，無論是監(jiān)管部門還是行業(yè)機構，都已經(jīng)清楚地意識到數(shù)據(jù)管理革新的緊迫感，也深刻地意識到冰山之下隱藏的關鍵是從體系到技術的全面改進。

從科技進步的角度來說，信息技術的發(fā)展是良性且有助于GLP行業(yè)發(fā)展的，但是新技術的引入將面臨龐大和繁瑣的驗證工作，這也已經(jīng)成為了新技術手段(如人工智能等)對接到GLP機構的隱形障礙。所以，出于保護供應商技術開發(fā)投入的熱情和推進計算機化技術在GLP領域的應用的目的，監(jiān)管機構也在不斷地調整驗證方法和手段，降低非必要和冗余的驗證工作，鼓勵建立基于風險評估的驗證方法。目前，計算機化系統(tǒng)的管理要求正在發(fā)生轉變，比如，從必須驗證轉變?yōu)轵炞C加保證，從固定使用策略變?yōu)檠h(huán)推進式策略。

自2016年英國藥品和保健產(chǎn)品監(jiān)管局(Medicines and Healthcare Products Regulatory Agency, MHRA)提出數(shù)據(jù)完整性指南開始，計算機化系統(tǒng)驗證更加偏向非定式化和策略化，并加強了外界應用大環(huán)境和控制措施的要求。如國際藥品認證合作組織(Pharmaceutical Inspection Convention and Pharmaceutical Inspection Co-operation Scheme, PIC/S)數(shù)據(jù)完整性指南PI 041-1[1]中所說：“僅憑計算機化系統(tǒng)驗證是不能確保記錄受到充分保護的，即使是驗證了的系統(tǒng)也可能遭受意外或者惡意的丟失或損壞。所以計算機化系統(tǒng)驗證必須結合行政管理和具體管理措施”。由此可見，計算機化系統(tǒng)管理的最終目的是確保數(shù)據(jù)的完整性，所以數(shù)據(jù)完整性的原則和理念應貫穿系統(tǒng)生命周期的各個階段。因此，筆者梳理和總結了法規(guī)的主要要求，以生態(tài)毒理GLP實驗室為背景，結合實際驗證中的經(jīng)驗，探討一種計算機化系統(tǒng)分級管理策略，以及如何在其中融入數(shù)據(jù)完整性的管理要求。

1 國際計算機化系統(tǒng)與數(shù)據(jù)完整性管理法規(guī)概述(Overview of the international guidelines for computerized system management and data integrity)

近年來，鑒于計算機化系統(tǒng)應用中潛在的數(shù)據(jù)完整性風險，發(fā)達國家主管部門或國際組織都在積極地發(fā)布計算機化系統(tǒng)和數(shù)據(jù)完整性管理指南，以完善其監(jiān)管框架，比如美國、英國、歐盟、經(jīng)濟合作與發(fā)展組織(Organization of Economic Cooperation and Development, OECD)、PIC/S、世界衛(wèi)生組織(World Health Organization, WHO)等國家和組織都已經(jīng)完成了相關法規(guī)監(jiān)管框架，并積累了監(jiān)管經(jīng)驗，他們的法規(guī)在權威性、指導性和完善性上確實具有先進的一面，學習和借鑒這些法規(guī)制度，有利于GLP機構理解國際監(jiān)管思路，建立國際化的管理體系。

1.1 OECD GLP法規(guī)中對設備管理的要求[2]

OECD GLP[2]原則第4章第1條和第2條規(guī)定：

(1) 用于數(shù)據(jù)生成、儲存、檢索以及環(huán)境條件控制的設備，包括驗證了的計算機化系統(tǒng)，必須設計合理、正確擺放和容量充足。

(2) 用于研究的設備必須按照標準操作程序(Standard Operating Procedure, SOP)定期檢查、清潔、維護和校準。所有活動必須保留記錄。校準應能追溯到國家/國際標準。

同時GLP原則中強調對于計算機化系統(tǒng)，必須確認是經(jīng)過驗證的。

1.2 OECD No.17良好實驗室規(guī)范原則在計算機化系統(tǒng)中的應用指南[3]

OECD No.17指南適用于GLP原則下計算機化系統(tǒng)的應用與管理，指南在計算機化系統(tǒng)的驗證和操作中引入了生命周期方法，規(guī)定試驗機構應建立可縮展、經(jīng)濟和有效，并注重數(shù)據(jù)完整性的計算機化系統(tǒng)驗證程序，強調將風險評估作為驗證程序的核心內容，也就是機構應建立制度化的風險評估流程，通過識別系統(tǒng)風險，確定管理優(yōu)先級排序，結合系統(tǒng)用途和功能制定風險規(guī)避措施，實施對應的驗證活動和數(shù)據(jù)完整性控制。

1.3 美國藥典(United States Pharmacopeia, USP) 1058分析設備確認指南[4]

經(jīng)修訂的USP 1058于2019年發(fā)布，成為藥品生產(chǎn)質量管理規(guī)范(Good Manufacturing Practice, GMP)機構分析設備的確認指導文件。法規(guī)規(guī)定了基于風險方法的分析儀器確認的通用原則，而以下3點關于設備確認的規(guī)定也適用GLP機構。

系統(tǒng)的分類：指南中完善了原來的A、B和C設備分級制度，刪除了相關設備舉例，暗示原舉例未結合到設備的預期用途。指南鼓勵機構運用新法規(guī)A、B和C分類規(guī)則，綜合預期用途和風險評估結果，建立適合的分類方法。

確認和驗證的統(tǒng)一指南提到，隨著現(xiàn)代分析設備技術的發(fā)展，硬件和軟件之間的界限越來越模糊。多數(shù)情況下，設備確認交叉軟件應用，軟件驗證又交叉設備操作。因此，為了避免重復性工作，設備確認和軟件驗證應融為一體。

4Q模型的完善(4Q模型：設計確認(DQ: Design Qualification)、安裝確認(IQ: Installation Qualification)、操作確認(OQ: Operational Qualification)、性能確認(PQ: Performance Qualification))：指南指出各階段活動不在拘泥固定的時機、內容和形式，允許實驗室在滿足預期用途范圍的前提下合并確認(如IQ和OQ)活動，重點強調了用戶需求說明書(user requirement specification, URS)文件的必要性。

1.4 遵從良好規(guī)范體系(Good laboratory/Manufactory/Distribution Practice, GxP)計算機化系統(tǒng)監(jiān)管的風險管理方法(第五版)(GAMP 5)[5]

遵從GxP計算機化系統(tǒng)監(jiān)管的風險管理方法由國際制藥協(xié)會(International Society of Pharmaceutical Engineers, ISPE)主編，發(fā)行至第5版，簡稱GAMP5。它為藥品生產(chǎn)企業(yè)與流通企業(yè)提供了計算機化系統(tǒng)的基本框架，并提供了一些實用的方法和工具。GAMP5是計算機化系統(tǒng)驗證領域最具權威性的參考指南之一，側重于軟件驗證，它建立了從GxP機構到監(jiān)管部門，從理論原則到具體實施，從計算機化系統(tǒng)概念產(chǎn)生到最終退役全面約束的監(jiān)管指南。指南在“質量風險管理”中規(guī)定：計算機化系統(tǒng)應該按照風險評估及風險管理流程進行評估分類，并根據(jù)分類制定不同的管理策略，管理策略包含系統(tǒng)采購計劃、規(guī)范、配置和編程、驗證、報告和發(fā)布、移交、服務管理和性能監(jiān)控、突發(fā)事件、糾正和糾正預防措施以及變更管理。

1.5 歐洲原料藥委員會(Active Pharmaceutical Ingredients Committee, APIC)基于風險的數(shù)據(jù)完整性實踐管理指南[6]

APIC是歐洲化學工業(yè)委員會的分支機構，2019年發(fā)布了基于風險的數(shù)據(jù)完整性實用管理指南，適用于人用原料藥和獸藥原料藥中生產(chǎn)分析中的GxP流程和數(shù)據(jù)。該指南具備較高的實踐意義，主要內容是結合企業(yè)實際經(jīng)驗對通用的數(shù)據(jù)完整性要求進行解讀，從GxP環(huán)境下的業(yè)務流程分析、數(shù)據(jù)和系統(tǒng)識別、分級策略、風險評估和風險管理幾個方面出發(fā)，提供了數(shù)據(jù)完整性理念融入到GxP原則中的實踐性指導。

APIC指南規(guī)定，數(shù)據(jù)完整性管理必須從業(yè)務流程分析開始，自上而下逐層剖析系統(tǒng)在流程中的作用。在制定管理措施之前，機構需結合實際情況定義數(shù)據(jù)的關鍵性(低、中、高)，根據(jù)系統(tǒng)組成形式將系統(tǒng)分為6個級別。針對每一種級別的系統(tǒng)，指南建議了不同的數(shù)據(jù)完整性措施組合，包括良好記錄規(guī)范、訪問控制、用戶權限、審計追蹤、審計追蹤審閱、備份和恢復6種中的一種或多種，而措施實施的深度，例如頻率和范圍等，由系統(tǒng)的關鍵性決定。最后，指南提供了數(shù)據(jù)完整性差異性分析對照表，從人員職責、用戶訪問控制、簽名、數(shù)據(jù)審閱、審計追蹤、數(shù)據(jù)生命周期管理、系統(tǒng)生命周期管理和時間戳8個方面，給出了建議可接受的標準，方便測試機構進行自查和整改。

1.6 PIC/S受法規(guī)約束的GMP和藥品良好流通管理規(guī)范(Good Distribution Practice, GDP)環(huán)境下數(shù)據(jù)管理和完整性優(yōu)良規(guī)范(草稿3) PI-041[1]

2018年11月，PIC/S發(fā)布了良好生產(chǎn)質量管理(GMP)/藥品良好流通管理規(guī)范(GDP)環(huán)境下數(shù)據(jù)管理和完整性的良好操作指南草稿3，以便于GMP檢查員進行檢查。法規(guī)第9部分“計算機化系統(tǒng)中數(shù)據(jù)完整性的具體考慮”部分，梳理了數(shù)據(jù)完整性原則在計算機化系統(tǒng)管理中的應用，規(guī)定了質量管理系統(tǒng)結構、驗證和確認、系統(tǒng)安全性、審計追蹤、數(shù)據(jù)采集、數(shù)據(jù)審閱、數(shù)據(jù)存儲和混合系統(tǒng)的管理8個方面的數(shù)據(jù)完整性要求，為機構提供了操作性較強的建議，為檢查員提供了監(jiān)督檢查的要點。法規(guī)明確說明計算機化系統(tǒng)的孤立驗證不能充分說明數(shù)據(jù)完整性為低風險，特別是當用戶可以干擾數(shù)據(jù)報告的形成的時候。

法規(guī)專門在9.1章中給出了系統(tǒng)驗證和確認活動中驗證數(shù)據(jù)完整性的方法，提出數(shù)據(jù)完整性的考慮應貫穿系統(tǒng)生命周期。機構應該通過建立用戶需求說明書(URS)、計算機化系統(tǒng)清單、驗證主計劃、驗證報告和審閱記錄等文件，將數(shù)據(jù)完整性管理需求、管理措施內容、措施有效性和措施的維護形成書面文件。法規(guī)反復強調了風險評估在數(shù)據(jù)完整性管理占據(jù)重要地位，因為風險評估的結果決定了數(shù)據(jù)完整性措施的需求，而措施實施的程度取決于關鍵性評估結果。評估的要素包括：系統(tǒng)及數(shù)據(jù)與最終結果的關系、系統(tǒng)脆弱性、系統(tǒng)易受攻擊性以及修改活動的可察覺性等。

上述幾個國家和地區(qū)的計算機化系統(tǒng)和數(shù)據(jù)完整性指南，均根據(jù)各自法規(guī)框架和業(yè)務領域不同而在內容和設置上有所側重，但是在風險評估和分級管理的大方向上，這些法規(guī)表現(xiàn)了較強的一致性，主要包括以下3點：(1)風險評估在計算機化系統(tǒng)驗證和數(shù)據(jù)完整性管理中發(fā)揮重要作用；(2)計算機化系統(tǒng)應該建立分級管理策略，優(yōu)化驗證和管理資源分配；(3)計算機化系統(tǒng)驗證中必須同時實施數(shù)據(jù)完整性措施有效性的確認。

2 計算機化系統(tǒng)管理策略對生態(tài)毒理GLP研究的意義(The role of computerized system management strategy in eco-toxicology GLP study)

生態(tài)毒理學是以研究物理、化學和生物性因素特別是環(huán)境污染物對非人類生物(如動物、植物和微生物)，及其生態(tài)系統(tǒng)的危害與防護為核心內容和任務學科。生態(tài)毒理學研究的重要目的之一是對目標化學品進行毒性測定、安全性評價和危險度評價，從而為化學品管理提供依據(jù)[7]。

我國新化學環(huán)境管理辦法中規(guī)定，新化學品的審批必須提供合格實驗室提供的生態(tài)毒理學測試數(shù)據(jù)。其他國家和地區(qū)的監(jiān)管法規(guī)，例如歐盟化學品的注冊、評估、授權和限制法(Registration, Evaluation, Authorisation and Restriction of Chemicals, REACH)和日本化審法等，明確規(guī)定化學品上市之前必須進行生態(tài)毒理學評價，同時數(shù)據(jù)必須來源于合規(guī)的GLP實驗室。

GLP是一套質量管理體系，旨在通過仔細與準確的記錄文件，對測試研究從計劃、實施、監(jiān)督、記錄到試驗報告等進行全方位的質量管理，確保測試數(shù)據(jù)的真實性、完整性和可靠性。隨著科學技術的進步，越來越多先進的自動化設備和計算機化系統(tǒng)進入GLP機構，被直接或者間接地用于數(shù)據(jù)采集、數(shù)據(jù)處理、報告以及原始數(shù)據(jù)的儲存。目前，國外發(fā)達國家藥物臨床領域安全評價機構已經(jīng)常規(guī)使用計算機化系統(tǒng)[8]。如果設備系統(tǒng)管理上缺乏科學性與規(guī)范性，將會直接影響最終數(shù)據(jù)的質量和完整性，最終對化學品的技術評審產(chǎn)生不利的影響。

從生態(tài)毒理GLP實驗室應用的角度，以國際法規(guī)為依據(jù)，結合風險評估、數(shù)據(jù)完整性和計算機化系統(tǒng)驗證的要求，介紹一種計算機化系統(tǒng)分級策略，以期為我國化學品生態(tài)毒理測試機構提供參考，進一步提高計算機化系統(tǒng)的使用效率并實現(xiàn)與國際接軌。

3 基于數(shù)據(jù)完整性的計算機化系統(tǒng)分級管理策略(Computerized system classification strategy based on data integrity)

本方法以計算化系統(tǒng)為對象，建立“信息收集、分類分級、措施評估、措施管理”4個步驟的管理模型，即第一步先收集系統(tǒng)的信息，識別系統(tǒng)完整性需求，第二步按照模型標準劃分系統(tǒng)和數(shù)據(jù)的管理級別，第三步根據(jù)分類結果評估管理措施類型，比較規(guī)定措施與第一步預設措施之間的差異并評估風險，第四步根據(jù)風險和分級結果確定措施的管理要求。

3.1 信息收集

在開始分級之前，應盡可能了解系統(tǒng)的情況，識別出數(shù)據(jù)完整性需求和對應的可接受的標準，這些信息可以通過URS(用戶要求說明書)文件的方式體現(xiàn)。在制定URS中的數(shù)據(jù)完整性要求時，可以參考ISPE GAMP記錄和數(shù)據(jù)完整性指南[9]中的建議，指南提供了技術要求(19條)和流程要求(26條)2個方面通用的數(shù)據(jù)完整性需求，表1截取了部分內容以作參考。

表1 用戶需求說明書(URS)中的數(shù)據(jù)完整性要求建議Table 1 The data integrity requirements suggestions in user requirement specification (URS)

因為URS是動態(tài)文件，所以在系統(tǒng)的生命周期內，應該隨著系統(tǒng)預期用途、系統(tǒng)關鍵性和風險評估結論的變化進行更新和增減。

3.2 分類分級

根據(jù)步驟1收集的信息，對系統(tǒng)進行基于風險的分級分類，根據(jù)GMAP5，計算機化系統(tǒng)風險評估的判斷標準分為3個：(1)所支持流程的重要程度；(2)流程內功能的具體影響；(3)系統(tǒng)的性質(主要考慮復雜性與新穎性)[5]。

結合業(yè)務流程，將這3點轉化為具體的指標以便于分類。

(1)所支持流程的重要程度?？刹捎脭?shù)據(jù)關鍵性作為代表，因為生態(tài)毒理GLP研究的呈現(xiàn)形式是最終報告，所以根據(jù)系統(tǒng)產(chǎn)生數(shù)據(jù)對最終報告的影響程度，分為高關鍵性(記錄對最終報告有直接影響)、中關鍵性(記錄對最終報告有間接影響)、低關鍵性(記錄對最終報告的影響可忽略不計)3等。

(2)流程內功能的具體影響?？刹捎迷O備分類為代表，根據(jù)USP1058設備分級標準[4]，設備分為3類：A復雜度低的標準設備，非測量設備或者無校準需求；B測量類設備，或者用于維護重要試驗條件的設備；C計算機化程度和復雜度較高的系統(tǒng)。同時，根據(jù)設備的功能性、復雜度和可配置性，又將B和C類各分為3個小類[10-11]，具體如表2所示。

(3)系統(tǒng)的性質?？紤]到系統(tǒng)的復雜度和新穎性，從系統(tǒng)構成的角度將系統(tǒng)分為6類，參考依據(jù)為APIC《基于風險的的數(shù)據(jù)完整性管理實踐指南》[6]，6個分類分別為：

1類：非電子類系統(tǒng)，無數(shù)據(jù)儲存功能；

2類：電子類，無數(shù)據(jù)儲存功能，通過人工觀測獲得數(shù)據(jù)，產(chǎn)生紙質記錄；

3類：電子類，無數(shù)據(jù)儲存功能，數(shù)據(jù)記錄通過打印輸出；

4類：電子類，無數(shù)據(jù)儲存功能，數(shù)據(jù)記錄通過接口傳遞到其他系統(tǒng)；

5類：電子類，有數(shù)據(jù)儲存能力，數(shù)據(jù)不能被用戶處理、修改或刪除(產(chǎn)生靜態(tài)GLP數(shù)據(jù))；

6類：電子類，數(shù)據(jù)儲存能力持久，具備數(shù)據(jù)處理、修改或刪除功能。

3.3 措施評估

根據(jù)APIC基于風險的數(shù)據(jù)完整性實踐管理指南，建立分級結果與管理措施評估表，如表2所示。其中，橫軸為設備分級，縱軸為關鍵性和系統(tǒng)分類，交叉網(wǎng)格內給出了對應分類結果的建議數(shù)據(jù)完整性措施。其中，G表示良好文件規(guī)范，A表示訪問控制，U表示用戶等級，T表示審計追蹤審閱，B表示備份恢復和歸檔，A1表示系統(tǒng)需要對時間和日期設置建立管理措施。

根據(jù)3.2中分級分類的結果，直接在表2中找到對應的網(wǎng)格，確定系統(tǒng)應具備的數(shù)據(jù)完整性措施類型。與URS文件中的要求進行對比，如果URS中的需求包括了所有的評估措施，那么繼續(xù)進入第4步驟。如果URS中的需求缺少某項評估措施，那么需要在URS中補充規(guī)定的措施。

評估過程中必須考慮系統(tǒng)產(chǎn)生數(shù)據(jù)各個生命周期階段的所有分類和關鍵性，如果產(chǎn)生了不同的評估結果，應該以最高評級結果為準。并且，評估時應該從產(chǎn)生數(shù)據(jù)的系統(tǒng)角度出發(fā)，而不是數(shù)據(jù)傳輸?shù)慕K點考慮，例如：對于溫度傳感器，從設備級別上屬于B3類，從數(shù)據(jù)角度屬于第4類，按數(shù)據(jù)記錄關鍵性屬于中等關鍵，因此，應該采取的措施包括良好記錄規(guī)范、訪問限制和用戶權限。因為溫度傳感器本身是沒有儲存功能的，所以不需要建立備份和歸檔措施。但是當考慮此數(shù)據(jù)傳輸終點(例如，系統(tǒng)服務器)的數(shù)據(jù)完整性措施時，就需要考慮備份歸檔措施。

3.4 措施管理

一般情況下，隨著設備分類級別的升高，確認和驗證的要求逐漸提高。隨著系統(tǒng)分級的提高，數(shù)據(jù)完整性措施逐漸增多。隨著數(shù)據(jù)關鍵性的加深，數(shù)據(jù)完整性措施的深度和廣度加大。因此，在確定了數(shù)據(jù)完整性管理措施的種類之后，應繼續(xù)根據(jù)系統(tǒng)的關鍵性來確定措施的實施深度、范圍、維護和審閱等，一般來說，措施的深度體現(xiàn)在人員權限分類增多，審計追蹤審閱周期變短，備份頻率增加，定期審閱周期縮短等。比如，對于最為復雜的計算機化系統(tǒng)C3，如果系統(tǒng)屬于第6類系統(tǒng)且高關鍵性，那么審閱周期應短于關鍵性低的系統(tǒng)。

必須強調的是，這些數(shù)據(jù)完整性措施應該在系統(tǒng)性能確認開始之前就完成設置，并且需要在性能確認中對這些措施的有效性進行驗證。

4 討論(Discussion)

實驗室自動化技術發(fā)展到今天，已經(jīng)有了機器人技術、計算機控制設備、實驗室信息系統(tǒng)、電子數(shù)據(jù)記錄本和云應用等，隨著這些設備功能的日益高端化、智能化，GLP行業(yè)機構面臨的挑戰(zhàn)也不斷升級。

表2 各級別計算機化系統(tǒng)的數(shù)據(jù)完整性措施策略Table 2 Data integrity measures for different classified computerized system

目前，對于GLP行業(yè)機構來說，幾乎所有的實驗室都在設備管理上面臨相似的問題，比如，混合系統(tǒng)的管理、計算機化系統(tǒng)的驗證、數(shù)據(jù)的備份和歸檔等。這些問題的管理既不能追求短暫的和平，也沒有一刀切式的解決方案。

Liscouski[12]在《現(xiàn)代實驗室計算機化系統(tǒng)指南》一書中提到：“今后十年或更久，實驗室生產(chǎn)力的發(fā)展將基于計算機和信息系統(tǒng)……實驗室工作就是搜集數(shù)據(jù)并將其轉化成信息和知識。由于實驗室大部分空間和許多成本都用在獲取數(shù)據(jù)上，所以在信息和知識開發(fā)方面的投資越大，實驗室的收益也會越大”。

確保數(shù)據(jù)以及基于數(shù)據(jù)的信息和知識是有價值的前提，就是數(shù)據(jù)必須具有很高的質量，并能夠承受挑戰(zhàn)。從長遠角度出發(fā)，數(shù)據(jù)完整性管理水平不僅僅體現(xiàn)行業(yè)機構的管理能力，也代表著我國檢驗檢測數(shù)據(jù)在全球范圍內的可接受度。所以，行業(yè)機構必須要結合自身特點、服務領域和法規(guī)要求，圍繞人員、數(shù)據(jù)生命周期、系統(tǒng)生命周期、安全設置和時間等多個維度去考慮數(shù)據(jù)完整性問題，將行為上、流程上和技術上的措施結合實際運用，在實際可操作的范圍內將數(shù)據(jù)完整性風險降低到可接收水平。