生態毒理GLP實驗室基于數據完整性的計算機化系統管理策略

汪丹，葛海虹，孫丹

1. 上?；ぴ簷z測有限公司，上海 200062 2. 生態環境部固體廢物與化學品管理技術中心，北京 100029

自第三次科技革命以來，計算機化技術和電子信息技術蓬勃發展，廣泛滲透至科學研究、醫學醫藥、工業制造和生活消費等領域。新科技推動了社會生產力的發展，改變了數據產生和管理的方式，于此同時，也打破了原有的管理布局。在良好實驗室規范(Good Laboratory Practice, GLP)領域，數據管理方式已經從過去以紙質為主導轉變為如今的以數字為主導。與紙質數據相比，電子數據具有無形性、多樣性、真實性和易破壞性等特點。因此，無論是監管部門還是行業機構，都已經清楚地意識到數據管理革新的緊迫感，也深刻地意識到冰山之下隱藏的關鍵是從體系到技術的全面改進。

從科技進步的角度來說，信息技術的發展是良性且有助于GLP行業發展的，但是新技術的引入將面臨龐大和繁瑣的驗證工作，這也已經成為了新技術手段(如人工智能等)對接到GLP機構的隱形障礙。所以，出于保護供應商技術開發投入的熱情和推進計算機化技術在GLP領域的應用的目的，監管機構也在不斷地調整驗證方法和手段，降低非必要和冗余的驗證工作，鼓勵建立基于風險評估的驗證方法。目前，計算機化系統的管理要求正在發生轉變，比如，從必須驗證轉變為驗證加保證，從固定使用策略變為循環推進式策略。

自2016年英國藥品和保健產品監管局(Medicines and Healthcare Products Regulatory Agency, MHRA)提出數據完整性指南開始，計算機化系統驗證更加偏向非定式化和策略化，并加強了外界應用大環境和控制措施的要求。如國際藥品認證合作組織(Pharmaceutical Inspection Convention and Pharmaceutical Inspection Co-operation Scheme, PIC/S)數據完整性指南PI 041-1[1]中所說：“僅憑計算機化系統驗證是不能確保記錄受到充分保護的，即使是驗證了的系統也可能遭受意外或者惡意的丟失或損壞。所以計算機化系統驗證必須結合行政管理和具體管理措施”。由此可見，計算機化系統管理的最終目的是確保數據的完整性，所以數據完整性的原則和理念應貫穿系統生命周期的各個階段。因此，筆者梳理和總結了法規的主要要求，以生態毒理GLP實驗室為背景，結合實際驗證中的經驗，探討一種計算機化系統分級管理策略，以及如何在其中融入數據完整性的管理要求。

1 國際計算機化系統與數據完整性管理法規概述(Overview of the international guidelines for computerized system management and data integrity)

近年來，鑒于計算機化系統應用中潛在的數據完整性風險，發達國家主管部門或國際組織都在積極地發布計算機化系統和數據完整性管理指南，以完善其監管框架，比如美國、英國、歐盟、經濟合作與發展組織(Organization of Economic Cooperation and Development, OECD)、PIC/S、世界衛生組織(World Health Organization, WHO)等國家和組織都已經完成了相關法規監管框架，并積累了監管經驗，他們的法規在權威性、指導性和完善性上確實具有先進的一面，學習和借鑒這些法規制度，有利于GLP機構理解國際監管思路，建立國際化的管理體系。

1.1 OECD GLP法規中對設備管理的要求[2]

OECD GLP[2]原則第4章第1條和第2條規定：

(1) 用于數據生成、儲存、檢索以及環境條件控制的設備，包括驗證了的計算機化系統，必須設計合理、正確擺放和容量充足。

(2) 用于研究的設備必須按照標準操作程序(Standard Operating Procedure, SOP)定期檢查、清潔、維護和校準。所有活動必須保留記錄。校準應能追溯到國家/國際標準。

同時GLP原則中強調對于計算機化系統，必須確認是經過驗證的。

1.2 OECD No.17良好實驗室規范原則在計算機化系統中的應用指南[3]

OECD No.17指南適用于GLP原則下計算機化系統的應用與管理，指南在計算機化系統的驗證和操作中引入了生命周期方法，規定試驗機構應建立可縮展、經濟和有效，并注重數據完整性的計算機化系統驗證程序，強調將風險評估作為驗證程序的核心內容，也就是機構應建立制度化的風險評估流程，通過識別系統風險，確定管理優先級排序，結合系統用途和功能制定風險規避措施，實施對應的驗證活動和數據完整性控制。

1.3 美國藥典(United States Pharmacopeia, USP) 1058分析設備確認指南[4]

經修訂的USP 1058于2019年發布，成為藥品生產質量管理規范(Good Manufacturing Practice, GMP)機構分析設備的確認指導文件。法規規定了基于風險方法的分析儀器確認的通用原則，而以下3點關于設備確認的規定也適用GLP機構。

系統的分類：指南中完善了原來的A、B和C設備分級制度，刪除了相關設備舉例，暗示原舉例未結合到設備的預期用途。指南鼓勵機構運用新法規A、B和C分類規則，綜合預期用途和風險評估結果，建立適合的分類方法。

確認和驗證的統一指南提到，隨著現代分析設備技術的發展，硬件和軟件之間的界限越來越模糊。多數情況下，設備確認交叉軟件應用，軟件驗證又交叉設備操作。因此，為了避免重復性工作，設備確認和軟件驗證應融為一體。

4Q模型的完善(4Q模型：設計確認(DQ: Design Qualification)、安裝確認(IQ: Installation Qualification)、操作確認(OQ: Operational Qualification)、性能確認(PQ: Performance Qualification))：指南指出各階段活動不在拘泥固定的時機、內容和形式，允許實驗室在滿足預期用途范圍的前提下合并確認(如IQ和OQ)活動，重點強調了用戶需求說明書(user requirement specification, URS)文件的必要性。

1.4 遵從良好規范體系(Good laboratory/Manufactory/Distribution Practice, GxP)計算機化系統監管的風險管理方法(第五版)(GAMP 5)[5]

遵從GxP計算機化系統監管的風險管理方法由國際制藥協會(International Society of Pharmaceutical Engineers, ISPE)主編，發行至第5版，簡稱GAMP5。它為藥品生產企業與流通企業提供了計算機化系統的基本框架，并提供了一些實用的方法和工具。GAMP5是計算機化系統驗證領域最具權威性的參考指南之一，側重于軟件驗證，它建立了從GxP機構到監管部門，從理論原則到具體實施，從計算機化系統概念產生到最終退役全面約束的監管指南。指南在“質量風險管理”中規定：計算機化系統應該按照風險評估及風險管理流程進行評估分類，并根據分類制定不同的管理策略，管理策略包含系統采購計劃、規范、配置和編程、驗證、報告和發布、移交、服務管理和性能監控、突發事件、糾正和糾正預防措施以及變更管理。

1.5 歐洲原料藥委員會(Active Pharmaceutical Ingredients Committee, APIC)基于風險的數據完整性實踐管理指南[6]

APIC是歐洲化學工業委員會的分支機構，2019年發布了基于風險的數據完整性實用管理指南，適用于人用原料藥和獸藥原料藥中生產分析中的GxP流程和數據。該指南具備較高的實踐意義，主要內容是結合企業實際經驗對通用的數據完整性要求進行解讀，從GxP環境下的業務流程分析、數據和系統識別、分級策略、風險評估和風險管理幾個方面出發，提供了數據完整性理念融入到GxP原則中的實踐性指導。

APIC指南規定，數據完整性管理必須從業務流程分析開始，自上而下逐層剖析系統在流程中的作用。在制定管理措施之前，機構需結合實際情況定義數據的關鍵性(低、中、高)，根據系統組成形式將系統分為6個級別。針對每一種級別的系統，指南建議了不同的數據完整性措施組合，包括良好記錄規范、訪問控制、用戶權限、審計追蹤、審計追蹤審閱、備份和恢復6種中的一種或多種，而措施實施的深度，例如頻率和范圍等，由系統的關鍵性決定。最后，指南提供了數據完整性差異性分析對照表，從人員職責、用戶訪問控制、簽名、數據審閱、審計追蹤、數據生命周期管理、系統生命周期管理和時間戳8個方面，給出了建議可接受的標準，方便測試機構進行自查和整改。

1.6 PIC/S受法規約束的GMP和藥品良好流通管理規范(Good Distribution Practice, GDP)環境下數據管理和完整性優良規范(草稿3) PI-041[1]

2018年11月，PIC/S發布了良好生產質量管理(GMP)/藥品良好流通管理規范(GDP)環境下數據管理和完整性的良好操作指南草稿3，以便于GMP檢查員進行檢查。法規第9部分“計算機化系統中數據完整性的具體考慮”部分，梳理了數據完整性原則在計算機化系統管理中的應用，規定了質量管理系統結構、驗證和確認、系統安全性、審計追蹤、數據采集、數據審閱、數據存儲和混合系統的管理8個方面的數據完整性要求，為機構提供了操作性較強的建議，為檢查員提供了監督檢查的要點。法規明確說明計算機化系統的孤立驗證不能充分說明數據完整性為低風險，特別是當用戶可以干擾數據報告的形成的時候。

法規專門在9.1章中給出了系統驗證和確認活動中驗證數據完整性的方法，提出數據完整性的考慮應貫穿系統生命周期。機構應該通過建立用戶需求說明書(URS)、計算機化系統清單、驗證主計劃、驗證報告和審閱記錄等文件，將數據完整性管理需求、管理措施內容、措施有效性和措施的維護形成書面文件。法規反復強調了風險評估在數據完整性管理占據重要地位，因為風險評估的結果決定了數據完整性措施的需求，而措施實施的程度取決于關鍵性評估結果。評估的要素包括：系統及數據與最終結果的關系、系統脆弱性、系統易受攻擊性以及修改活動的可察覺性等。

上述幾個國家和地區的計算機化系統和數據完整性指南，均根據各自法規框架和業務領域不同而在內容和設置上有所側重，但是在風險評估和分級管理的大方向上，這些法規表現了較強的一致性，主要包括以下3點：(1)風險評估在計算機化系統驗證和數據完整性管理中發揮重要作用；(2)計算機化系統應該建立分級管理策略，優化驗證和管理資源分配；(3)計算機化系統驗證中必須同時實施數據完整性措施有效性的確認。

2 計算機化系統管理策略對生態毒理GLP研究的意義(The role of computerized system management strategy in eco-toxicology GLP study)

生態毒理學是以研究物理、化學和生物性因素特別是環境污染物對非人類生物(如動物、植物和微生物)，及其生態系統的危害與防護為核心內容和任務學科。生態毒理學研究的重要目的之一是對目標化學品進行毒性測定、安全性評價和危險度評價，從而為化學品管理提供依據[7]。

我國新化學環境管理辦法中規定，新化學品的審批必須提供合格實驗室提供的生態毒理學測試數據。其他國家和地區的監管法規，例如歐盟化學品的注冊、評估、授權和限制法(Registration, Evaluation, Authorisation and Restriction of Chemicals, REACH)和日本化審法等，明確規定化學品上市之前必須進行生態毒理學評價，同時數據必須來源于合規的GLP實驗室。

GLP是一套質量管理體系，旨在通過仔細與準確的記錄文件，對測試研究從計劃、實施、監督、記錄到試驗報告等進行全方位的質量管理，確保測試數據的真實性、完整性和可靠性。隨著科學技術的進步，越來越多先進的自動化設備和計算機化系統進入GLP機構，被直接或者間接地用于數據采集、數據處理、報告以及原始數據的儲存。目前，國外發達國家藥物臨床領域安全評價機構已經常規使用計算機化系統[8]。如果設備系統管理上缺乏科學性與規范性，將會直接影響最終數據的質量和完整性，最終對化學品的技術評審產生不利的影響。

從生態毒理GLP實驗室應用的角度，以國際法規為依據，結合風險評估、數據完整性和計算機化系統驗證的要求，介紹一種計算機化系統分級策略，以期為我國化學品生態毒理測試機構提供參考，進一步提高計算機化系統的使用效率并實現與國際接軌。

3 基于數據完整性的計算機化系統分級管理策略(Computerized system classification strategy based on data integrity)

本方法以計算化系統為對象，建立“信息收集、分類分級、措施評估、措施管理”4個步驟的管理模型，即第一步先收集系統的信息，識別系統完整性需求，第二步按照模型標準劃分系統和數據的管理級別，第三步根據分類結果評估管理措施類型，比較規定措施與第一步預設措施之間的差異并評估風險，第四步根據風險和分級結果確定措施的管理要求。

3.1 信息收集

在開始分級之前，應盡可能了解系統的情況，識別出數據完整性需求和對應的可接受的標準，這些信息可以通過URS(用戶要求說明書)文件的方式體現。在制定URS中的數據完整性要求時，可以參考ISPE GAMP記錄和數據完整性指南[9]中的建議，指南提供了技術要求(19條)和流程要求(26條)2個方面通用的數據完整性需求，表1截取了部分內容以作參考。

表1 用戶需求說明書(URS)中的數據完整性要求建議Table 1 The data integrity requirements suggestions in user requirement specification (URS)

因為URS是動態文件，所以在系統的生命周期內，應該隨著系統預期用途、系統關鍵性和風險評估結論的變化進行更新和增減。

3.2 分類分級

根據步驟1收集的信息，對系統進行基于風險的分級分類，根據GMAP5，計算機化系統風險評估的判斷標準分為3個：(1)所支持流程的重要程度；(2)流程內功能的具體影響；(3)系統的性質(主要考慮復雜性與新穎性)[5]。

結合業務流程，將這3點轉化為具體的指標以便于分類。

(1)所支持流程的重要程度?？刹捎脭祿P鍵性作為代表，因為生態毒理GLP研究的呈現形式是最終報告，所以根據系統產生數據對最終報告的影響程度，分為高關鍵性(記錄對最終報告有直接影響)、中關鍵性(記錄對最終報告有間接影響)、低關鍵性(記錄對最終報告的影響可忽略不計)3等。

(2)流程內功能的具體影響。可采用設備分類為代表，根據USP1058設備分級標準[4]，設備分為3類：A復雜度低的標準設備，非測量設備或者無校準需求；B測量類設備，或者用于維護重要試驗條件的設備；C計算機化程度和復雜度較高的系統。同時，根據設備的功能性、復雜度和可配置性，又將B和C類各分為3個小類[10-11]，具體如表2所示。

(3)系統的性質。考慮到系統的復雜度和新穎性，從系統構成的角度將系統分為6類，參考依據為APIC《基于風險的的數據完整性管理實踐指南》[6]，6個分類分別為：

1類：非電子類系統，無數據儲存功能；

2類：電子類，無數據儲存功能，通過人工觀測獲得數據，產生紙質記錄；

3類：電子類，無數據儲存功能，數據記錄通過打印輸出；

4類：電子類，無數據儲存功能，數據記錄通過接口傳遞到其他系統；

5類：電子類，有數據儲存能力，數據不能被用戶處理、修改或刪除(產生靜態GLP數據)；

6類：電子類，數據儲存能力持久，具備數據處理、修改或刪除功能。

3.3 措施評估

根據APIC基于風險的數據完整性實踐管理指南，建立分級結果與管理措施評估表，如表2所示。其中，橫軸為設備分級，縱軸為關鍵性和系統分類，交叉網格內給出了對應分類結果的建議數據完整性措施。其中，G表示良好文件規范，A表示訪問控制，U表示用戶等級，T表示審計追蹤審閱，B表示備份恢復和歸檔，A1表示系統需要對時間和日期設置建立管理措施。

根據3.2中分級分類的結果，直接在表2中找到對應的網格，確定系統應具備的數據完整性措施類型。與URS文件中的要求進行對比，如果URS中的需求包括了所有的評估措施，那么繼續進入第4步驟。如果URS中的需求缺少某項評估措施，那么需要在URS中補充規定的措施。

評估過程中必須考慮系統產生數據各個生命周期階段的所有分類和關鍵性，如果產生了不同的評估結果，應該以最高評級結果為準。并且，評估時應該從產生數據的系統角度出發，而不是數據傳輸的終點考慮，例如：對于溫度傳感器，從設備級別上屬于B3類，從數據角度屬于第4類，按數據記錄關鍵性屬于中等關鍵，因此，應該采取的措施包括良好記錄規范、訪問限制和用戶權限。因為溫度傳感器本身是沒有儲存功能的，所以不需要建立備份和歸檔措施。但是當考慮此數據傳輸終點(例如，系統服務器)的數據完整性措施時，就需要考慮備份歸檔措施。

3.4 措施管理

一般情況下，隨著設備分類級別的升高，確認和驗證的要求逐漸提高。隨著系統分級的提高，數據完整性措施逐漸增多。隨著數據關鍵性的加深，數據完整性措施的深度和廣度加大。因此，在確定了數據完整性管理措施的種類之后，應繼續根據系統的關鍵性來確定措施的實施深度、范圍、維護和審閱等，一般來說，措施的深度體現在人員權限分類增多，審計追蹤審閱周期變短，備份頻率增加，定期審閱周期縮短等。比如，對于最為復雜的計算機化系統C3，如果系統屬于第6類系統且高關鍵性，那么審閱周期應短于關鍵性低的系統。

必須強調的是，這些數據完整性措施應該在系統性能確認開始之前就完成設置，并且需要在性能確認中對這些措施的有效性進行驗證。

4 討論(Discussion)

實驗室自動化技術發展到今天，已經有了機器人技術、計算機控制設備、實驗室信息系統、電子數據記錄本和云應用等，隨著這些設備功能的日益高端化、智能化，GLP行業機構面臨的挑戰也不斷升級。

表2 各級別計算機化系統的數據完整性措施策略Table 2 Data integrity measures for different classified computerized system

目前，對于GLP行業機構來說，幾乎所有的實驗室都在設備管理上面臨相似的問題，比如，混合系統的管理、計算機化系統的驗證、數據的備份和歸檔等。這些問題的管理既不能追求短暫的和平，也沒有一刀切式的解決方案。

Liscouski[12]在《現代實驗室計算機化系統指南》一書中提到：“今后十年或更久，實驗室生產力的發展將基于計算機和信息系統……實驗室工作就是搜集數據并將其轉化成信息和知識。由于實驗室大部分空間和許多成本都用在獲取數據上，所以在信息和知識開發方面的投資越大，實驗室的收益也會越大”。

確保數據以及基于數據的信息和知識是有價值的前提，就是數據必須具有很高的質量，并能夠承受挑戰。從長遠角度出發，數據完整性管理水平不僅僅體現行業機構的管理能力，也代表著我國檢驗檢測數據在全球范圍內的可接受度。所以，行業機構必須要結合自身特點、服務領域和法規要求，圍繞人員、數據生命周期、系統生命周期、安全設置和時間等多個維度去考慮數據完整性問題，將行為上、流程上和技術上的措施結合實際運用，在實際可操作的范圍內將數據完整性風險降低到可接收水平。