英国药监局（MHRA）：数据完整性指南

lhb8311

Data Integrity Definitions and Expectations 数据完整性定义与期望

Revision 1.1 March 2015

                                                                             

            英国药监局（MHRA）发布
               数据完整性指南
      《数据完整性定义和行业指导原则》
                          2015年3月
数据完整性是制药质量体系确保药品质量的基石。本文提供了MHRA(英国药监局的英文缩写）对制药行业GMP数据完整性方面的指导原则。本指导原则旨在对现有欧盟有关原料药和药物制剂的GMP进行补充说明，需结合国家药品法规及颁布在Eudralex（欧盟药品注册法规） 第四册内的GMP标准进行阅读理解。
数据管理体系应该与欧盟EU GMP第一章所述的质量体系结合在一起。投入到数据管理的精力和资源应与其产品的风险等级相对应，同时还应该权衡其他质量保证工作的资源需求。因此, 生产者和分析实验室并不是要刻板地进行常规的数据核对，而是要设计出并运行一套管理体系，来控制数据完整性的风险，而且详细记录这个体系合理性的支持依据。
手工（纸质）数据和电子数据在数据完整性方面的要求是一致的。生产者和分析实验室要意识到，从自动化/电脑系统回归到手工（纸质）记录的做法，并不能减少对数据完整性进行控制的要求。这反而会造成对条款2001/83/EC第23条的不符合，该条款要求企业根据科学和技术发展的状况，采用普遍接受的科学的方法进行药品生产和检验。
本指导原则所涉及的相关定义可以点下面的链接。
建立数据的关键程度和内在的完整性风险：
仅仅靠一个总体的数据管理体系是不够的，虽然已包括了对数据完整性至关重要的相应的方针和人员培训，还应该考虑在不同的质量体系领域采用组织性的控制手段（如操作程序）和技术控制手段（如计算机系统访问权限）。对数据生命周期中的各要素的组织性控制的和技术型控制的程度及投入的资源，要与该数据对产品属性的影响程度相对应。
数据可由以下几种情况产生：（1）人工观测后进行的纸质记录，（2）从一些仪器得来，从简单的设备直至那些复杂的高度配置的计算机系统而产生的图谱。数据完整性的内在风险也因此而有所不同，这取决于数据（或者是系统生成的或使用的数据）的可配置的程度及由此而被造假的可能性程度（见图1）。
图1：图示列举了简单设备图谱（左）到复杂的计算机化系统图谱（右），及将打印数据作为“初始数据”的对应关系：

     简单                                                                             复杂

   

                                 液相色谱-质谱联用

    pH计     过滤器完整性测试仪

             紫外分光光度计       高效液相       实验室信息       企业资源

                                  色谱系统       管理系统         计划管理系统

              红外光谱仪                               纠正与预防

                                                      措施系统

   无软件          简单软件                                              复 杂 的 软 件

   

   纸质打印可代表初始数据   纸质打印无法代表初始数据

                                               （感谢Green Mountain QA 公司 提供图示）
参考图1，简单系统（诸如pH计和天平）可能只需要校准，而复杂的系统需要“对预期用途进行验证”。验证活动在上图中从左到右相应加强。但是，企业常常容易忽视一些貌似并不复杂的系统。在此类系统中，有可能通过人为处理数据或重复检测以获取期望的结果，并且不容易被发现（例如带有用户可配置输出功能单机版设备，如红外光谱仪，紫外分光光度计）。
系统化设计以确保数据质量和完整性
系统的设计应遵循数据完整性的原则
示例包括以下：
• 对记录事件时间的计时器进行权限控制
• 将记录放置在生产现场，避免不必要的临时记录数据然后事后誊成正式记录
• 对用于数据记录的纸质空白模板进行控制
• 用户权限控制以防止（或审计追踪）数据篡改
• 采用数据自动采集方式或将打印机连接到设备，例如天平
• 打印机设置在靠近相关活动的位置
• 取样位置所在区域（例如水系统的取样位置）的权限控制
• 员工进行数据核对时，对进入原始数据进行权限控制
用记录员替另一个操作人员进行记录是“特例/非常规流程”，仅在以下情况下采用：
• 记录活动会使产品或活动有风险，例如无菌操作人员记录生产线的干扰活动
• 用于解决文化或员工书写/语言能力不足，例如由主管或办公室人员见证并记录另一操作员工的操作。
在这两种情况下，监督者的笔录必须是实时记录，并且明确标明操作的人和记录的人。虽然大家都能接受加签或者会签可以是事后补签，但是操作者还是尽可能的及时加签或者会签操作记录。应在批准的规程中规定监督者笔录的方式完成该记录，并明确该流程的适用范围。

术语	定义	相关要求/指导原则
数据	由原始数据衍生或取得的信息(例如报告的分析结果)	数据必须符合以下原则： A – 可追溯至数据由谁生成 L – 清晰并持久 C – 同步 O – 初始（或正确的副本） A – 准确
原始数据	初始的记录和文档，以初始生成的格式（即纸质或电子形式）或以“正确的副本”进行保留。 原始数据必须以能永久保存的形式同步并准确地记录。对于一些不能存储电子数据或仅有数据打印输出的简单电子设备 （例如天平或pH计），打印数据构成原始数据	原始数据必须： • 在整个数据生命周期过程中都清晰可辨并能够及时获取 • 允许完全重现数据生成的活动
元数据	元数据是描述其它数据的特性，并提供背景信息和含义的数据。通常，元数据用于描述数据结构，数据要素，数据的内在关系和其它特征。它还允许数据可被追踪至产生数据的个体。	Example: data (bold text)3.5，and metadata, giving context and meaning, (italic text) are: sodium chloride batch 1234, 3.5 mg. J Smith 01/07/14 例如：数据 （黑体3.5），元数据给出了背景信息和含义，（斜体，氯化钠批号1234， 3.5 mg. J Smith 01/07/14）     元数据与初始记录密不可分，如果没有元数据，则该数据是无意义的。
数据完整性	数据完整性的范畴包括所有数据在整个数据生命周期中的全面性，一致性和准确性的程度。	数据完整性的设置必须在整个数据生命周期中,保持数据的准确，完全，以及内容和含义。
数据管理	指所有约定的总成：不论数据的生成格式、记录方式、处理过程、保留和使用的方式，这些约定确保 了整个数据生命周期过程中记录的全面性、一致性和准确性	数据管理应界定数据在整个生命周期中的归属问题，并考虑对流程/系统的设计、运行和监控，以便符合数据完整性原则，包括全面控制有意或无意的的信息修改。 数据管理体系应该包括针对数据完整性原则的重要性对员工进行培训，以及营造一种企业文化，鼓励 公开报告错误、数据遗漏和异常结果。 高级管理团队负责系统和规程的实施，以降低潜在的数据完整性风险，并运用ICH Q9风险管理原则，识别剩余风险。有合同外包的企业,委托方应进行类似 的审核，作为供应商管理项目的一部分。
数据生命周期	数据(包括原始数据) 生命周期的的各个阶段，包括数据的初始生成和记录、处理（包括转换和迁移）、使用、数据保留，归档/调取和销毁。	销毁数据的规程应该考虑数据的关键性和法规对数据保留的要求。对需要长期保留的记录应进行归档（在某些情况下，保存期长达30年），例如批次文件，上市许可申请数据，来源于人体的起始原料的可追溯数据（不是详尽的清单）。此外，必须能够及时调取至少最近2年的数据，以满足法规部门检查的目的。
基准记录	当采用多于一种方法同步收集或保留的数据发生不一致时，该记录作为首要判断依据。	当相同信息同步被多于一个系统进行记录时，数据拥有者应界定由哪个系统生成并保留的数据为基准记录，以防数据出现不一致时可以进行判决。“基准
术语	定义	相关要求/指导原则
基准记录（续）		记录”的属性应在质量体系中进行明确定义，并且不得因个例而变化。     应运用风险管理原则确保被指定为“基准记录”的记录在最大程度上保持其准确性、完全性、内容与含义。例如：低分辨率或静态的（打印/人工记录）数据优先于高分辨率或动态（电子）数据设计作为基准记录是不合适的。所有数据都应考虑到被作为异常数据进行基于风险的调查的情况（例如：超标结果）
初始记录/正确的副本	初始记录：数据作为文件或以初始生成的格式，维持记录的完整性（准确性、全面性、内容与含义）。例如，纸质的人工观测初始记录 ，或计算机系统的初始电子数据文件。     正确的副本：经确认与初始记录完全相同的复制件。     数据可以静态的（例如：纸质或pdf格式 的“固态”记录），或动态的（例如：用户/审阅者可以与之互动的电子记录）。     例1：一组静止的图像（照片- 静态的“纸质复印件”范例）对于记录同一事件，不能象动态的影像（录像-动态的“电子记录”范例）那样提供全部的内容和含义 例 2：色谱图一旦打印或转换成静态的pdf 文件，就无法重复计算，以及进一步被详细查看基线或任何隐藏区域的功能。相比之下，同样的以数据库形式记录的动态电子记录提供了数据被溯源，被追踪和查询的功能，允许审阅者（拥有适当的登录权限）进行重复计算， 查看隐藏区域，以及扩展基线来更清晰地查看积分情况。	初始记录和正确的副本必须维持记录的完整性（准确性、完全性、内容与含义）。初始记录完全正确的复制件可以和初始记录放置在一起（例如纸质记录的扫描件），并建立文件记录体系来核对和记录复制记录的完整性     当静态记录能保证原始数据的完整和真实时，由电子方式生成的原始数据采用纸质或PDF格式进行保留是可以接受的。但是数据保留流程必须体现以下各个内容：包括核对过的所有原始数据、元数据、相应审计追踪（系统日志）和结果文档，针对每一次分析测试运行的软件/系统配置，以及对一套给定原始数据进行复原所必须的所有数据处理运行过程（包括方法和审计追踪）。还需要一个书面的方式来确认打印记录是准确的再现。这种方法可能在实现记录符合GMP要求的管理上比较繁琐。     很多电子数据为了能对数据进行后期操作而以动态格式（电子的）保留是很重要的。当数据的真实完整或后期确认是非常关键时，必须以动态格式保留。这应该进行基于风险地判断。     计算机系统的配置参数设定应进行定义，测试，“锁定”并可以防止非授权进入，是计算机系统验证的一部分。只有那些关于一次分析操作的可变参数的设定才被认作是电子原始数据。
计算机系统处理	计算机系统的处理是一个单一操作或作为一个单一逻辑“工作单元”的系列操作。这些运作组成了一次处理， 直到用户通过一个仔细考虑后的操作（例如按下保存键）对这个处理认可后，或直至系统强制存储数据时， 它们才被作为可以长期存储的永久记录保存下来。 直到用户认可了此处理后，元数据（指，用户名，日期和时间）才被保留在系统审计追踪中。	计算机系统设计应确保用户对关键操作进行同步记录，并且不得与其它操作合并成一个单一的计算机系统处理。关键工艺步骤是指某个参数必须在合适的限度、范围、分布之内，以确保预期的产品质量。这些必须体现在过程控制策略中。     “单元操作“的例子 • 对单个物料的称量 • 输入生产/分析过程关键参数 • 用于一批生产中每个部件或物料标识信息的核对 • 每批生产中对每个初始物料的添加过程的核对（例如：当加料顺序对工艺控制有关键影响时-参见图2）
术语	定义	相关要求/指导原则
计算机系统处理（续）	在制造执行系统MES，系统通常要求一个电子签名来使记录得以存储，并永久保留。	• 向大罐中加入多个预先称量好的初始物料需要作为一个生产步骤时（例如：加料顺序对工艺控制没有关键影响时 – 参见图3）

      
       图2：允许在一个制造“工作单元”中同步记录单一物料加入步骤的逻辑设计。在处理下一个“工     
   作单元”之前，这个记录会被永久记录（步骤2）并伴有审计追踪。
                允许操作者和复核者同步记录物料加入过程

步骤	操作指南	资料
1	扫描物料ABC123的条码	ABC123<条形码>
2	向混合器中添加物料ABC123	操作者签名、复核者签名

      
        图3：允许在记录提交给持久介质（durable media）前，在一个制造“工作单元”中加入多种物
料的逻辑设计。步骤1，3，5是同时输入的（条形码），但在步骤6执行前，并没有被永久性记录及
生成相应的审计追踪。
                  不允许操作者和复核者同时记录物料的添加

步骤	操作指南	资料
1	扫描物料ABC123的条码	ABC123<条形码>
2	向混合器中添加物料ABC123
3	扫描物料DEF456的条码	DEF456<条形码>
4	向混合器中添加物料DEF456
5	扫描物料GHI789的条码	GHI789<条形码>
6	向混合器中添加物料GHI789	操作者签名、复核者签名

术语	定义	相关要求/指导原则
审计追踪	GMP审计追踪是元数据，记录了可以再现该GMP活动的GMP关键信息（例如对于GMP相关数据的修改和删除）	当计算机化系统用于电子化采集、处理、报告或储存原始数据时，系统设计应始终提供具有保留全套审计追踪的功能来显示对以前保留的数据和初始数据的所有更改情况。数据的所有改变应该可以关联到数据修改者，应记录更改的时间并给出原因。用户应该没有权限修改或关闭审计追踪功能。 公司应该考虑到保留在审计追踪中数据的相关性，以便进行可靠的的数据审核/确认。包含在审计追踪中的条目应该是允许过程或活动再现的那些相关信息。审计追踪的审核没有必要包括囊括所有系统活动（例如用户的登录和退出，键盘输入等），可以通过系统审核设计报告和系统验证报告来达到目的. 审计追踪的审核应该是日常数据审核/批准的流程的一部分，通常在产生数据的操作区域（例如实验室）进行审查。应具有有效的证据以确认相关审计追踪的审核已经实施。当设计一个用于审计追踪审核的
术语	定义	相关要求/指导原则
审计追踪（续）		系统时，应尽量把它限定在与GMP相关的范畴内（例如，与数据产生、处理、修改和删除等相关）。可以将审计追踪作为一个相关数据列表进行审核，或由一个经过验证的异常报告流程执行审核。为了确保持续符合数据管理政策与规程，QA在自检过程应该抽样审核相关审计追踪、原始数据和元数据。 如果没有现成的带审计追踪功能的系统，在采用能充分执行审计追踪的系统前（集成系统或使用验证过的界面连接的独立审计软件），允许采用纸质的审计追踪来说明数据的修改。如果能达到GMP指南附录11所要求的集成审计跟踪的等同效果，这些混合审计 追踪系统目前是允许的。如果不能证明其等效性，那么在2017年底前企应升级到使用一个带审计追踪功能的系统。
数据审核		应该建立规程，描述包括原始数据在内的数据审核和批准流程。数据的审核必须包括相关元数据及其审计追踪的审核。     数据审核必须记录。    该规程应描述如果数据审核发现错误或遗漏时所需采取的行动。此规程应促使以符合GMP要求的方式进行数据更正或澄清说明，确保初始记录的清晰可见 性，纠正过程有审计追踪确保可追溯性，并使用ALCOA原则（数据应当具有完整性、准确无误性、清晰可辨性、即时性、原始性和产生数据的人对归属性，通常被称为“ALCOA”原则，参见“数据”的定义）。
计算机系统的用户访问权限/系统管理员角色		要充分利用设置访问权限级别来保证员工只能访问与他们的工作角色相适应的功能区。企业必须能证明给个体用户设置了访问权限级别，并保证可以获取用户访问权限的历史信息。     不应使用共享登录账号和密码或无权限级别区分的登入方式。当计算机系统的设计支持单个用户访问权限时，该功能必须被使用。这可能需要购买额外的许可证。     众所周知,一些计算机化系统只支持单用户登录或有限数量的用户登录。当有其它替代的计算机化系统能提供所需数量的唯一登录时，企业应在2017年底前升级到该适当的系统。如果没有其它合适的替代计算机化系统，允许使用具有可追溯性的纸质记录方法。应通过对系统设计的审核来证明缺乏合适的替代系统的理由是合理的，并进行相应记录。 根据组织的规模和性质，尽可能将系统管理员权限的数量限制到最少。不能采用无法区分身份的系统管理员帐户。担任系统管理员的人员登入系统时应采用唯一的登录帐号，以便审计追踪能追踪到特定个人。 不得将系统管理员权限（授权的操作，如数据删除、数据库修改或系统配置的修改）分配给数据（数
术语	定义	相关要求/指导原则
计算机系统的用户访问权限/系统管理员角色（续）		据生成、数据审核或批准）的直接利益方。当由于组织结构原因不可避免时，可采用不同权限的双用户帐户来实现同等水平的控制。使用系统管理员权限进行的所有更改必须在质量体系中被监督和批准。     用户应使用与实施任务相适应的访问权限进行账户登录, 例如, 当已有一个更合适的访问权限存在时，实验室经理在进行数据复核时不应以系统管理员的账户登录。
数据保留		如果已经建立流程来确保对复印件进行核对其完全性的话，那么纸质的原始数据（或它的正确副本）可以通过例如扫描的方式来保存。     数据保留可以分为归档和备份     数据和文件的保留方式应能确保记录不被蓄意或无意的更改或丢失     必须建立安全控制措施，确保在保留期间内记录的数据完整性，适当时进行验证。     当采用第三方外包服务的方式保留数据和文件时，应特别注意了解在这种协议下数据的所有权和取回方法。应考虑存放这些数据的实际位置，包括任何适用于那个地理位置的法规影响。委托方和受托方的职责必须根据GMP规范第7章中的要求在合同中明确定义。
归档	能重现过程或活动的目的，对完整的数据和相关元数据以最终格式进行长期、永久的保留.	归档记录应被锁定，以免记录的更改或删除未被察觉和没有审计追踪记录。     归档方式的设计必须允许在整个要求的保留期限内能够进行数据和元数据的恢复和读取。
备份	为了灾难性破坏后恢复数据的目的而复制一份现有的（可编辑得）数据，元数据和系统设置（与一次分析运行相关的可变参数设置）并维护	备份和恢复流程必须经过验证
文件结构		文件结构对其内在的数据完整性风险有显著的影响。由于单层文件可能被篡改和删除, 需要制定一个更高层次的逻辑和程序控制手段, 控制数据的生成、审核和储存过程。
单层文件	单层文件是没有携带任何相关元数据的一个单独记录(例如: pdf, dat, dot)	单层文件可能携带与文件创建和数据最后一次修改日期相关的基础元数据，但不能审计追踪历次修改的类型和顺序。当由电子数据创建单层文件报告时，生成原始数据的相关的元数据和审计追踪也会丢失，除非这些信息已被保存为“正确的副本”。 适当时（见“正确的副本”的定义），也需要考虑数据的“动态”性质 单层文件有很大的内在的数据完整性风险 （例如：相比与包含在关系型数据库中的数据时），是由于单层文件很容易被作为一个单个文件进行篡改和删除。
术语	定义	相关要求/指导原则
关系型数据库	关系型数据库在不同的地方存放与数据和元数据相关的不同要素。每个单独记录的创建和恢复都通过收集数据和元数据来完成，以供审核.	这个文件结构自然更具安全性，因为数据以一个很大的文件格式保存，可以保留数据与元数据的关系。相比于单层文件系统，更能复原那些企图进行选择性的删除，修改或重新创造数据和元数据痕迹的操作。     从关系型数据库调取信息，需要使用一个数据库搜索工具，或创建记录的初始应用。
验证-为了预定目的（参考附录15和GAMP5）		计算机化系统应符合EU（欧盟） GMP附录11的要求，并需验证其符合预期的用途。这就需要充分理解计算机化系统在一个流程中的功能。因为这个原因，采纳供应商提供的独立于系统配置和预期用途的验证数据是不被接受的。离开了预期流程或最终用户的IT基础设施，供应商测试只局限于功能性测试，可能不能满足性能确认的要求。     例如- 验证计算机化系统的审计追踪功能     关系型数据库产生的定制报告可以被用作GMP系统的审计追踪。在运行确认阶段应编写SOP描述审计追踪被确认的过程，包括对被审核数据的定义。“符合预期用途的验证”应包含在性能确认阶段进行的测试，用来确认所需的数据已经由定制报告正确获取，并且表现方式和标准操作规程中描述的数据审核流程一致。

版本	公布月份	修改原因
版本 1	2015年1月	第一版
版本1.1	2015年3月	针对利益相关方的问题，加入解释

chenjiao501

谢谢分享  

66785970

谢谢分享 谢谢分享 谢谢分享

幽林深水

附件呢！！

lhb8311

没有附件了，只有这么一个文件

南方de小角色

感谢分享

syhorchid

谢谢分享

YinRH

谢谢分享~~

al19790122

谢谢，辛苦分享