本文为衣龙成在蒲公英智库班微信群分享内容,看此篇文章之前,一定先阅读上几篇「关于“数据完整性”的思考篇章之一」,「经典文章:关于“数据可靠性”的思考」,「数据可靠性,十问十答」花一点时间(点击蓝色字体即可查阅),仔细体会阅读一下,您一定会对“数据可靠性”有更全面的认识。
智库班是什么?看这里「蒲公英智库班2018课程分享计划」
——
上一次的分享主要描述了可靠性的属性的基本概念,强调了大部分数据是电子的电子的电子的(重要的事情讲三遍),也分享了“真实副本”、“基准记录的概念”,今天我们重点分享“电子数据/记录”的基本概念。
电子原始数据的要求:
8.1.【归属性】
如果是人员操作的的记录,系统应该能识别相应的操作人员(比如个人帐号 )根据记录中的签名能够追溯至数据的创建者、修改人员及其他操作人员。 电子签名与手写签名等效,并应当经过验证,不得使用个人手写签名的电子图片代替电子签名。
——CFDA GDP 征求意见稿
在电子记录上签署的电子签名和手签名应该链接到它们各自的电子记录以保证电子签名不能够被切割、复制或使用普通手段转到到一个假的电子记录上。
——CFR 21 Part 11
电子记录的归属性 和 手写记录的而归属性要求应该一致,只是体现形式不一样,通常是用电子签名来实现的。这里面 CFDA有一个要求,就是明确不得使用个人手写签名的电子图片代替电子签名。我之前有见过有的电子系统,只要你打开文档,系统就会把手写签名的电子图片显示在文档底部,证明你看了或者你认可了,感觉总是不爽!现在想想感觉这个系统挺可笑,其实是系统设计人不了解什么是电子签名以及如何实现。
8.2.【清晰并持久】
人可读的数据(Humanreadable),没有人知道…..01001010…代表了什么。
能够显示所有的数据结果(数据可能被遮盖,显示不完整);
可追溯,确保能够完整地重现数据产生的步骤和顺序 ;
数据的保存安全,能用久保存(磁带,硬盘,U盘,光盘)。
对于清晰的电子数据一定是人可读的,乱码或者机器语言是不符合要求的。最简单的例子就是如果光盘被损坏了,无法读取或者出现马赛克,就是电子数据不清晰的一种表现,这也是数据没有安全保存的结果。
8.3. 【同步性】
所有为满足C
GMP要求而生成的数据均为CGMP记录。在执行创建符合GCMP要求(包括但不限于§§211.100(b)和308211.160(a))的记录时,你必须记录或保存这些数据。FDA期望企业能够设计出一套能防止要求创建和维护的质量数据被修改的程序。例如,色谱图应在运行完成后,而不是在一天的运行结束后,即被长期保存(归档或永久记录)。
——FDA 数据完整性及其CGMP符合性行业指南
数据产生时,应当依据相应的规程直接、及时的创建正式记录。确保在执行下一步操作前,数据不被篡改、删除或覆盖。
——CFDA GDP 征求意见稿
这个“同步性”对于计算机化系统来说很关键,因为大家都会有一种感觉,就是如果人在计算机化系统输入文字或数据的时候,是可以在保存之前进行修改或删除的。对于机器来说没有确认之前数据可能只在内存(缓存)中,是不会被保存到硬盘或数据中等永久介质中的,这也就产生了一个概念叫 事物,计算机化系统事物transaction。
提问:问数据的采集和保存:数据被采集后一定会被保存吗?
有的系统采集的数据不经过操作人员确认是无法保存下来的,这个确认可能是一个保存键,也可能是一个确认键,也可能是一次电子签名。总之是需要操作人员来确认后,数据才能保存下来。最简单的例子是,我们word文档编辑,如果编辑完毕,数据或信息已经在屏幕中显示(数据被采集),但是如果如果没有被保存,已经采集的信息就会丢失。
对于我们GxP活动中的计算机化系统有很多这种需要操作人员确认的步骤,一旦确认我们的活动或者系统的记录才能保存下来。并且对于一些关键的活动还必须经过确认以后才能进行下一步操作。
事物transactions:
在计算机术语中是指访问并可能更新数据库中各种数据项的一个程序执行单元。
——百度百科
计算机系统事务:
计算机系统的事务是一个单一操作或作为一个单一的有逻辑的“工作单元”的一系列操作。这些组成一个事务的操作(或一系列操作)在用户没有确认或系统强制保存之前是不会被保存到永久介质上的。
——MHRA GMP 数据可靠性定义和行业指导原则
对于关键步骤的计算机系统事物的举例,MHRA用备料过程的确认给大家做了解释。
同步性-设计举例 :
关键投料工艺的设计 (操作人a成一种物料的投料后进行确认)
第一种,是关键操作,就是说一定在在ABC123完成投料后,操作人员确认并复核后才能进行下一步操作。这种设计在系统中很常见,通常表现形式就这一步完不成,系统无法进行下一步。
第二种,是非关键操作,也就是说在扫描完ABC123,并投料,操作人员无需进行确认,可以继续完成DEF456,GHI789的物料的扫描活动,并且可以在完成三种物料的扫描和投料之后再进行确认。
8.4.【原始的(或真实副本)】
原始记录:数据最初始生成的文件或格式,它保留着记录的完整性(准确性,完整的,内容和含义)。例如,纸质的人工观测初始记录,或计算机系统的初始电子数据文件。
——MHRA GMP 数据可靠性定义和行业指导原则
为了维护数据电子的原始性,一定要保护数据的安全:
• 物理安全:
存储数据区域的安全(机房),防水防火防盗
存储数据介质的安全,(磁带、磁盘)的保存
• 逻辑安全(逻辑隔离)
防火墙
身份识别
权限控制
局域网、公共网
电子数据的原始性的实现,主要是通过保护数据的安全来实现的。对于网络系统可能需要建立机房,用于服务器的存放,同时网络应该有防火墙。如果有关键的电子数据,这些数据的的安全管理很重要,企业一定不要忽视。因为一旦这些数据丢失对企业都是一笔不少的损失。如果关键数据彻底丢失(没有备份或无法恢复)可能会导致产品召回。因为产品质量无法实现追溯。
8.5. 【准确的】
准确性是数据质量的基本标准:
•数据的产生
仪器仪表要校准
软件系统的配置管理(比如Excel 表格中数据的格式,修约,小数点的位数)
计算机化系统要经过确认
•数据的处理
关键数据(实验室数据)计算,处理方法要有明确的规定
分析方法要经过验证
• 数据的审核
• 异常数据处理要有明确的规定
电子数据的管理同手写记录的管理要求本质是一样的,但是管理方式和手段不一样。主要是因为其存在形式发生的变化所以导致了管理方式和手段发生了相应的变化。
下面解释几个主要的电子记录管理相关的术语。
9.【权限管理AccessControl】
权限管理是计算机化系统管理的基本功能,其目的相对于对于纸质文档,相当于控制文件记录的获取权限。比如门锁钥匙的控制,或某些工具的控制,比如带有编号的或者不同颜色的记录纸的发放和使用。亦或是,在手工操作的时候,控制人员的上岗操作的权限,比如经培训或授权的人才能在相应的岗位上操作。
权限管理通常我们会要求三级权限,但这其实是不恰当的,因为对于复杂的系统,三级权限根本不够。因为业务复杂,可能会有很多种角色承担着不同的职责。这个时候需要根据人员在组织中承担的职责和角色去分配相应的权限。
权限管理的基本要求:
• 权限管理应避免利益冲突的原则
自己批准自己的记录或结果?
数据/记录修改的限制(不能修改或者修改后保留审计追踪或者修改前/后的数据需要经过第二个人批准)
•数据的删除(利益相关的人不能随意删除数据,删改需要审计追踪或经过批准并记录)
•控制系统时钟的修改权限
• 权限应该与岗位角色匹配,追溯到人
避免利益冲突很重要,尤其要管住管理员的权限,不能将管理员授予跟数据或业务活动直接利益相关的人。
对于数据的修改和删除的权限应通过适当的系统功能来限制或实现追溯,以实现数据完整
•权限的获取应有培训
• 权限的分配应有记录
• 权限应定期审核确保与岗位职责匹配(调岗,离职)
没有培训就没有权限,这是权限管理的基本要求。没有进行培训就授予权限,对于系统自身的安全和数据安全都是风险。
下面是法规的一些要求和解释:
第三十四条【管理权限】业务流程负责人和用户的权限应当与其承担的职责相匹配,不得赋予其系统(包括操作系统、应用程序、数据库等)管理员权限
——CFDA GDP 征求意见稿
对记录事件时间的计时器进行权限控制; 用户权限控制以防止(或审计追踪)数据篡改; 员工进行数据核对时,对进入原始数据进行权限控制;
计算机系统的配置参数设定应进行定义,测试,“锁定”并可以防止非授权进入,是计算机系统验证的一部分。只有那些关于一次分析操作的可变参数的设定才被认作是电子原始数据;
要充分利用设置访问权限级别来保证员工只能访问与他们的工作角色相适应的功能区。企业必须能证明给单个用户设置了访问权限级别,并保证可以获取用户访问权限的历史信息。
——MHRA GMP 数据可靠性定义和行业指导原则
不应使用共享登录账号和密码或无权限级别区分的登入方式。当计算机系统的设计支持单个用户访问权限时,该功能必须被使用。这可能需要购买额外的许可证。不得将系统管理员权限(授权的操作,如数据删除、数据库修改或系统配置的修改)分配给数据(数据生成、数据审核或批准)的直接利益方。当由于组织结构原因不可避免时,可采用不同权限的双用户帐户来实现同等水平的控制。使用系统管理员权限进行的所有更改必须在质量体系中被监督和批准
——MHRA GMP 数据可靠性定义和行业指导原则
你必须采取合适的控制手段保证只有经过授权的人员才能对计算机化主生产和检验记录(MPCR)、其他记录或计算机化记录的实验室数据输入进行修改(§ 211.68(b))。FDA推荐你在可能的情况下采取技术手段(例如,限制改变设置或数据的许可)限制改变质量标准、工艺参数或生产/检验方法的能力。FDA建议把系统管理员的角色,包括任何承担修改文件和设置的权限,交给与记录内容无关的人员担任。为了协助进行权限控制,FDA推荐针对每个CGMP计算机系统都保持一个授权人员和他们的权限列表。
——FDA 数据完整性及其CGMP符合性行业指南
对于小型运营或工厂,例如正电子发射成像药物(PET)医用气体厂家,人员数量很少,这种独立的安全角色分配不能实施时,FDA建议改变控制策略。举例来说,在极少数情况下同一人员担任系统管理员并且负责记录的内容时,FDA建议由第二人审核设置和输入的内容。如果第二人审核无法实现,建议操作者本人再次检查自己的设置和数据输入。
——FDA 数据完整性及其CGMP符合性行业指南
权限的设定对于防止数据的不恰当修改删除有至关重要的作用。企业一定要管好。对于关键的数据的删改权限或关键系统的操作权限,企业应该像银行管理提款机一样去管理。
10.【元数据】
元数据是描述其它数据的特性,并提供背景信息和含义的数据。通常,元数据用于描述数据结构,数据要素,数据的内在关系和其它特征。它还允许数据可被追踪至产生数据的个体。
——MHRA GMP 数据可靠性定义和行业指导原则
例如:数据 3.5
和元数据(下划线)给出了背景信息和含义,(斜体)
氯化钠批号1234, 3.5 mg. JSmith 01/07/14
元数据与初始记录密不可分,如果没有元数据,则该数据是无意义的。这句话的意思的跟 FDA对电子签名的要求是一致的。
在电子记录上签署的电子签名和手签名应该链接到它们各自的电子记录以保证电子签名不能够被切割、复制或使用普通手段转到到一个假的电子记录上。
——CFR 21 Part 11
“元数据”简单的来说,就是描述数据的数据。 它可以是产品名称,批号,单位,签名,日期,也可以是系统编号信息,序列号,版本号等等用来描述数据的意义的信息。
元数据与原始记录密不可分,也不能分开,一旦分开意义就可能发生改变或者完全失去意义。FDA的电子签名要求签名和记录永远不能分开也是这个目的,因为签名就是一种元数据。
在验证和确认活动中我们除了要确认“数据的准确性”还需要确认相关的元数据是否完整。比如:称量的打印条,我们需要确认打印条中重量值跟电子显示值一致,我们还需要确认相关的元数据信息,比如物料名称,批号,打印日期,操作人等等元数据。当然日常的操作活动这些检查也是必须的。
11. 【电子签名】
(十四)电子签名:是指电子数据中以电子形式表现的,用于识别签名人身份、签字时间,并表明签名人认可其中内容的数据。
——CFDA GDP 征求意见稿
(a)签署电子记录应包含能清晰显示如下所有与签名相关的信息:
用印刷体书写出签名者的名字
签名生效的日期和时间;和
和签名相关的含意(例如回顾、批准、职责、或原创作者)
(b)该条款已识别出在这一部分(a)(1),(a)(2),and(a)(3)节应服从于和电子记录同样的控制并且应该被包括人们易读的电子记录的形式(例如电子显示或打印输出)
——CFR21 Part11
使用至少二种截然不同的证明成分,例如帐号和密码。
每一电子签名应是唯一对应个体的并且不能被重复使用、或再分配给其他任何人。
当一个人在一个独立的持续受控的系统登录期间内签署了一系列的签名,签署的第一个签名将使用所有的电子签名组件。后续签署的签名应使用至少一种的电子签名的组件。该组件只能由个人签署,并且应设计成只能由个人来使用。
当一个人不在一个独立的持续受控的系统登录期间内签署一个或多个签名时,每一个被签署的签名应使用所有的电子签名组件。仅被他们真正的所有者使用;和管理和签署以确保任何除其真正所有者外的其他人尝试使用该电子签名时需要二个或更多的人的协作。
——CFR21 Part11
电子签名在当今的生活中几乎人人在用,只不过很多人不知道它是电子签名。我喜欢用银行取钱的例子来解释电子签名。
比如你拿着银行卡到银行ATM机取钱,把卡放到ATM机里,机器会识别是谁的卡,因为这张卡已经在银行有登记备案。当然如果没有登记备案,ATM会不认可能会退卡。如果重复插卡可能有被吞卡的风险。这个登记备案的银行卡就代表了操作人的身份。也就是未来实现签名的那个人的名字。一旦输入了正确的密码,签名过程也就完成。也就是电子签名的两个组件同时得到了确认,这个时候对于ATM机来说,它人为输入密码的人就是卡里备案的那个人。即使我们把银行卡及其密码给别人,让别人操作取钱,ATM机仍然会人为是本人操作。这其中的风险或问题是与密码管理相关的。系统并没有错。
对于电子签名的管理,企业最好能给每个人一个唯一的账号 (ID),这样管理起来比较方便。避免不同的系统使用不同的账号,但是却是同一个人。这样后期追溯不方便。有点像,银联的作用,每个人用身份证在任一银行备案,只要其和银联联网,跨行也可以实现取钱,又或是腾讯开放自己的平台,实现不同的网站可以使用QQ或微信登录。采用这种方式有助于企业的管理简单化。
12. 【审计追踪】
审计追踪:指一种元数据,包含创建、修改和删除等GXP记录相关信息。在纸质或电子记录中,审计追踪可以安全地记录一些数据的生命周期细节,如在记录中创建,补充,删除或变更信息,却不掩盖或覆盖原始记录。审计追踪有助于重现所记录的事件历史,包括某项行动“由谁做、做了什么、何时做和为什么这样做”。
——CFDA GDP征求意见稿
GMP审计追踪是元数据,记录了可以再现该GMP活动的GMP关键信息(例如对于GMP相关数据的修改和删除)。
——MHRA
这个是中国和英国的定义,并且没有强调是纸质的还是电子的。电子记录的审计追踪其本质和手写记录的审计追踪要求是一样的。就是如果数据或记录有删改,应该记录谁做的,改之前是什么,改之后是什么,什么时间改的,为什么改的。这个要求纸质的记录一直有,只是如果记录是电子的形式,这些修改的备注信息(元数据)可能不会和修改后的数据同时显示出来,而是在另外的地方存储。导致大家可能看不到而误以为数据没有被修改过。因此法规部门要求审计追踪应该能被检索出来并能形成报告,以供审核追溯。
审计追踪是一种可靠的、由计算机生成的、有时间标识的电子记录,它能够重现电子记录产生、修改或者删除的整个事件过程。审计追踪是一份关于“谁、什么、何时和为什么”的记录的时序表。例如,HPLC的审计追踪包含用户名、试验的日期/时间、使用的积分参数和再处理的细节,如果可以,也包含再处理的理由解释。
电子审计追踪包含追踪数据产生、修改或者删除的信息(例如工艺参数和结果)的行为和追踪记录或者系统层面的行为(例如尝试进入系统或者重命名或者删除一个文件夹)。
—— FDA
从FDA的定义来看,FDA强调了是电子形式的。一点小区别,不影响日后的管理和理解。大家只需要知道不管是纸质的还是电子的,审计追踪的本质都一样。只是形式不一样。
对于纸质记录来说,如果纸质记录被修改(杠改)却没有在修改处发现任何备注信息(元数据,比如签名,日期重要的需要写明原因),在进行记录审核的时候是不能被接受的。
电子记录因为其显示的特性,通常只是显示修改后的结果,而修改过程的信息不在当前的显示页面中。因此监管部门增加了些审计追踪的审核的要求。
13. 【审计追踪审核 Audit Trial Review】
审计追踪的审核应该是日常数据审核/批准的流程的一部分,通常在产生数据的操作区域(例如实验室)进行审查。应具有有效的证据以确认相关审计追踪的审核已经实施。当设计一个用于审计追踪审核的系统时,应尽量把它限定在与GMP相关的范畴内(例如,与数据产生、处理、修改和删除等相关)。可以将审计追踪作为一个相关数据列表进行审核,或由一个经过验证的异常报告流程执行审核。为了确保持续符合数据管理政策与规程,QA在自检过程应该抽样审核相关审计追踪,原始数据和元数据。
——MHRA
FDA建议对捕捉关键数据变化的审计追踪应与相关记录一起在记录最终批准前进行审核。而定期进行审核的审计追踪应包括但不限于:制剂检验结果的变更历史、样品运行序列的变化、样品标识的变化和关键工艺参数的变化。
——FDA
支持高风险的GxP的业务流程的数据,通常是关键的数据。因为一旦这些流程出问题将会危害患者(导致患者死亡,住院,残废)。例如:无菌工艺保证的相关数据,产品检验数据,关键工艺参数,或其它会影响患者安全的数据。
要做审计追踪审核,关键要看数据被修改的可能性和数据的关键程度。不能修改的 显然审核频率可以要求低,能修改并且关键审核频率就高。
14. 【归档】
为了能重现过程或活动的目的,对完整的数据和相关元数据以最终格式进行长期,永久的保留。
归档方式的设计必须允许在整个要求的保留期限内能够进行数据和元数据的恢复和读
——MHRA
15. 【备份】
为了灾难性破坏后恢复数据的目的而复制一份现有的(可编辑得)数据,元数据和系统设置(与一次分析运行相关的可变参数设置)并维护备份和恢复的功能应进行验证
——MHRA
MHRA是最早提出这连个概念区别的监管机构,这两个概念的区别 关键是目的不一样。一个是为了重现过程或活动的目的,一个是为了灾备。很多时候备份的数据需要恢复后才能读取或利用,但是归档的数据,可能本身就是一个系统,可以直接读取。
16. 【Flat files 单层文件】
单层文件可能是没有携带任何相关元数据的一个单独记录(例如: pdf, dat, dot)
单层文件可能携带与文件创建和数据最后一次修改日期相关的基础元数据,但不能审计追踪历次修改的类型和顺序。当由电子数据创建单层文件报告时,生成原始数据的相关的元数据和审计追踪也会丢失,除非这些信息已被保存为“正确的副本”。
17. 【Relational database: 关系型数据库】
关系型数据库在不同的地方存放与数据和元数据相关的不同要素。每个单独记录的创建和恢复都通过收集数据和元数据来完成,以供审核。
“单层文件”和“关系型数据库”这两个概念主要是跟动静态数据相关的。
“单层文件” 是静态的数据,正如MHRA的解释,单层文件可能携带与文件创建和数据最后一次修改日期相关的基础元数据,但不能审计追踪历次修改的类型和顺序。
以上是 “电子数据/记录的数据完整性”相关的分享,还有一些问答,下一篇发送,请关注。
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 增值电信业务经营许可证编号:京B2-20243455 互联网药品信息服务资格证书编号:(京)-非经营性-2024-0033
发表于 2018-7-10 07:55:37
置顶卡
变色卡