藥品質量控制實驗室數據備份合規性研究

林偉強

（廣東省藥品檢驗所，廣州510663）

0 引言

近年來，國家食品藥品監督管理總局先后頒布《藥品數據管理規范（征求意見稿）》（以下簡稱《管理規范》）等有關藥品數據可靠性的文件。對于如何滿足法規的要求，很多從事藥品質量控制的實驗室都沒有把握。本文以計算機化系統工作中常見的備份為例，結合實際工作中容易出現的問題，提出符合管理規范要求的備份工作思路和方法，為藥品質量控制實驗室做好備份提供參考，同時也可為其他行業的數據備份工作提供借鑒。

1 備份的目的

備份是指創建在原始數據或系統出現丟失或者變得不可用的情況下的一個或多個電子文件的替代副本[1]。備份看似只是簡單的數據復制，但很多實驗室對備份是否合規都沒有把握。《管理規范》明確電子記錄備份的目的是“保證發生災難時，數據可恢復。”因此，在計算機化系統出現故障時，能找到可用的、與生產環境一致的備份數據，從而保證數據的真實、準確、及時、可追溯，這樣的備份才符合規范的要求。

導致數據丟失或不可用的原因，主要包括硬件（存儲設備、服務器、網絡等）、軟件（操作系統、應用系統等）、安全（病毒、木馬、非法入侵等）、環境（電源、空調等）、意外事故（自然災害、火災等）、人為破壞（故意的修改、刪除、盜竊或無意的誤操作等）。實驗室應從以上因素對應用系統進行風險評估，再根據評估結果采取適當的備份策略。風險因素在數據的整個生命周期中發生變化時，需重新評估風險并相應調整備份策略。

2 備份的策略

2. 1 備份的內容

備份的內容除了數據，還包括數據所依賴的數據庫、應用系統、操作系統等軟件，如采用備份系統還應備份其管理數據[2]。如果備份的內容不完整，就有可能在數據恢復時數據缺失或不能使用，無法達到完整恢復數據的效果[3]。

以下是實驗室常見的幾種備份不完整問題：

（1）單機版軟件數據沒有備份

儀器工作站單機版軟件的數據分散在各臺工作站，備份工作量大且難于管理，數據缺少備份的情況并不少見。如FDA對印度某公司發出警告信指出“沒有對傅立葉變換紅外光譜儀、旋光計、紫外分光光度計和粒度儀所生成的數據建立備份系統”的缺陷[4]。為了解決單機版軟件的數據備份難題，可將軟件升級到網絡版，或采用科學數據管理軟件自動抓取工作站的數據集中到服務器再進行備份。

（2）備份數據類型不全

有的應用軟件將附件（如PDF文件）和其他數據同樣保存在數據庫，有的軟件則在數據庫外以文件格式保存。如果不知道后者，就會遺漏文件數據的備份。因此，備份人員必須從軟件開發商獲知所有數據的儲存類型和位置，以確保各種類型的數據都進行備份。

（3）只備份經挑選的“有用”數據

有的實驗室只備份選取出來的數據，棄用的圖譜等數據未進行備份[5]。為了滿足數據的完整性、溯源性要求，所有數據（包括棄用數據及原因）必須保存和備份。

（4）沒有備份基礎軟件

如某LIMS軟件V9版本只能在Windows XP運行，近幾年生產的計算機因不支持Windows XP而無法運行。因此，與備份數據相關的數據庫、應用軟件、操作系統等應在軟件安裝、升級、打補丁之后進行備份，這樣才能在需要使用備份數據時通過虛擬化技術在新計算機上運行。

2. 2 備份的方式

按照數據是否完整可將備份分為以下三類[3]：

（1）全量備份，是指對應用系統連續產生的在某時間點的橫截面的全量數據進行備份，優點是恢復操作便捷、完整性強、可靠性高；缺點是備份數據量大、備份期間數據容易變動、備份和恢復時間長。

（2）增量備份，是指備份應用系統在上次備份之后所產生、更新的數據，優點是備份數據量少、占用空間少、單個備份或恢復時間短；缺點是恢復操作復雜、數據完整性相對差，一旦發現單個增量備份不能正常恢復，整個系統的備份將受到影響。

（3）差分備份，是指只備份在上一次完全備份后有變化的部分數據，優點是備份數據量少、占用空間少、單個備份或恢復時間短；缺點是恢復操作復雜、備份及恢復技術要求較高。

為了兼顧實驗室對備份數據的完整性、時效性、安全性等方面的要求，可根據以上3種方式的優缺點綜合使用，如每周日進行全量備份，每周一至周六晚上進行增量備份或差分備份。

2. 3 備份的時間

備份按時間分為實時、周期、臨時三種。周期備份的周期應根據數據量、更新頻率、數據丟失的容忍度等確定，并選擇非業務時間或業務空閑時間以降低對業務系統的影響。軟件、數據庫升級或修復前后以及大量數據產生之后應進行臨時備份，以便當操作失敗或失誤時可回退到初始狀態。

2. 4 備份的保存

保存備份的設備、位置與生產環境數據離得越遠，就越能降低同時損壞的風險。有的實驗室將備份數據儲存在與生產數據相同的房間、相同的服務器、相同的磁盤甚至相同的分區，一旦一臺設備故障就會導致生產數據和備份數據同時丟失。此外，還應定期刪除過期的備份數據，以保證新備份所需的存儲空間。

保存備份的介質主要有硬盤、光盤、磁帶等，其中硬盤最為常用，如某項調研發現：被調研的山東省無菌藥品生產企業中70%采用硬盤對色譜系統數據進行備份[6]。硬盤具有存儲量大、讀取速度快的優點，但無法保證數據不被修改和刪除。

某實驗室將應用系統的數據自動備份到生產環境數據所在的磁盤分區，備份文件很快占滿硬盤空間導致應用系統數據無法保存，結果備份沒有起到數據保護的作用反而成了數據丟失的風險源。

沒有一個通用于所有實驗室的備份策略，必須根據不同實驗室、不同系統的實際情況來制訂，有時一個系統還需要綜合應用多種備份方式。如LIMS系統采集的電子天平稱量數據，由于電子天平本身不存儲數據，LIMS數據一旦丟失則無處可查，需實時備份；LIMS系統從色譜工作站采集的數據在色譜工作站保存有原始數據，當LIMS數據丟失時可重新從色譜工作站采集，因而可每天利用業務空閑時間進行備份。

3 備份的驗證

為了檢驗備份介質的可用性、備份數據的完整性、恢復時間的合理性等，應定期對備份和恢復流程進行驗證，并根據發現的問題完善備份策略。由于對備份和恢復的驗證重視程度不足、不了解驗證方法、驗證條件不具備等原因，一些實驗室沒有驗證備份和恢復的有效性，導致在生產環境的數據出現問題時無法恢復備份數據。驗證應通過在不同場景下的恢復測試來確保實際恢復的成功率。如對于數據文件的備份，可驗證在單個文件、多個文件、文件夾、磁盤分區、服務器等不同損壞情況下，恢復的文件與原文件的數量、大小、最后修改時間等是否一致[2]。驗證應在存儲生產環境數據之外的計算機進行，以避免因操作失誤而損壞生產環境數據，同時也利于發現數據遺漏未備份的問題。

除了定期驗證，當應用系統的硬件、網絡、軟件或備份軟件、備份和恢復流程發生變化時，也應進行針對性驗證，以確保備份、恢復始終處于適用、可用、夠用的狀態。

4 備份的管理

備份操作的完成不等于備份工作的完成，還要對備份進行管理，否則，當需要恢復時可能找不到相應的備份，或者找到的備份因損壞而無法恢復。

4. 1 備份的操作規程

為保證不同人、不同時間進行備份、恢復都能得到一致的結果，應制訂備份操作規程，規范備份和恢復的人員權限、時間、方法、保存、清除、驗證、記錄等。進行備份、恢復以及驗證工作應有相應的記錄。

4. 2 備份的監控

有人認為生產環境發生故障時備份系統不可能同時出問題，必定能找到所需的備份，因而忽視對備份系統的監控。實際工作中，由于備份系統的故障不影響生產而不易被發現，如不進行監控，當真正需要時才發現備份系統原來早已發生問題，不能起到備份應有的作用。

備份的監控主要是檢查備份所需的網絡、服務器、存儲等硬件是否有故障、能否提供足夠的資源（特別是存儲空間），以及相關的操作系統、數據庫、備份系統等軟件是否正常運行、備份任務能否成功完成，可采用人工定時巡檢或網絡管理工具進行監控。

5 備份與歸檔

《管理規范》明確歸檔“貫穿于要求的記錄保存期限”，而備份“通常只是暫時存儲”，因而歸檔的管理比備份更復雜、要求更高，應該做到[2]：

（1）建立歸檔檔案，記錄歸檔的時間、內容、介質編號、歸檔人等信息，并注明特殊情況。

（2）對歸檔介質的提取嚴格管理。歸檔介質需經規定的流程審批后才能提取，并記錄提取時間、用途、介質編號、提取人等信息。介質歸還時檔案管理員需檢查確認是否完好并做好記錄。若歸檔介質或所存數據損壞，應通過歸檔檔案確定該介質所對應的歸檔內容，重新備份后再歸檔保存。

（3）采用適合歸檔介質保存的環境，建議溫度5～40℃、相對濕度20%～80%RH，同時避免強磁場干擾。

（4）根據歸檔介質的使用壽命、更新換代、讀寫故障等情況進行必要的轉存，防止歸檔介質過期失效或因讀取設備被淘汰而無法使用。

某實驗室發生過兩次因為歸檔介質管理不善而導致的問題。一次是在生產環境出現故障時對調用的歸檔介質直接進行數據恢復操作導致歸檔介質損壞。因此，對重要的歸檔介質提取時可先拷貝副本再進行相關操作，以避免操作意外對歸檔介質的損壞。另一次則因為歸檔介質從磁光盤改為磁帶而報廢磁光盤機，導致原保存在磁光盤的歸檔數據無法讀取。如果在磁光盤機報廢之前將磁光盤的歸檔數據轉存到磁帶則可避免問題的發生。

6 結語

備份是生產環境數據出現問題時的救命稻草，只有做好萬全準備才能做到萬無一失。實驗室應根據自身數據的丟失容忍度、更新頻率、恢復時間、軟硬件條件以及風險評估結果制訂適用的備份策略，還要對備份和恢復流程進行驗證以確保備份策略的有效性。為了確保備份工作的執行，實驗室應制訂相關的操作規程、對備份任務進行監控。歸檔是將數據備份在介質中長期保存作為各種法規要求的記錄的支持，需實行更嚴格的管理。