药企QC实验室数据完整性治理“五步法”

发布日期:2021-03-22

背景介绍

药品质量问题一直是公众普遍关注的一个话题,因为它直接关系到公众生命健康安全。近些年来,制药企业被各监管当局频频查出数据完整性问题,尤其是伴随着秉承“四个最严”的新《药品管理法》的实施,各相关责任方一谈到数据完整性话题,更是到了“谈虎色变”的尴尬境地。而药企质量控制实验室作为产生药品生产质量关键数据信息量最多的部门,监管当局对数据完整性的大部分关注也与之相关,因此其往往成为数据完整性问题频发的重灾区。

为了应对以上不良态势,近些年各监管当局和行业协会等相关机构发布了一系列有关数据完整性的法规指南,这些同时也成为药企,尤其是实验室可以有效借鉴的宝典,例如:

  • NMPA:《药品记录与数据管理要求》(试行)

  • WHO:WHO Guidance on good data and record management practices

  • FDA:Data Integrity and Compliance with CGMP Guidance for Industry

  • MHRA:GMP Data Integrity Definitions and Guidance for Industry

  • EMA:Data integrity Q&A

  • PIC/S:GOOD PRACTICES FOR DATAMANAGEMENT AND INTEGRITY IN REGULATED GMP/GDP ENVIRONMENTS

  • ISPE:GAMP GOOD PRACTICEGUIDE: ELECTRONIC RECORDS AND DATA INTEGRITY

  • PDA:TR80 Data Integrity Management System for Pharmaceutical Laboratories

  • APIC:Practical risk-basedguide for managing data integrity


在以上法规、指南中,监管当局及行业协会等相关机构已经结合各国家/地区情况对“数据完整性”的定义及措施给出了大量的诠释,也在很大程度上提高了药企对监管期望和存在的问题及风险点治理策略的基础认识。笔者在此将主要从其治理路线的角度展开阐述,按照治理路线设计时考虑的先后顺序,形成以下五个主要步骤,简称“五步法”:

1616380768901861.jpg

下面,将对每一步骤,逐一进行拆解和说明

第一步:首先,需要建立全质量体系范围内数据完整性的总体方针

1、建立总体方针:数据管理作为药品质量管理体系的一部分,应贯穿整个数据生命周期,保证药品质量和患者用药安全有效。企业应建立成熟的企业文化,以保证合规性并使质量文化到达组织机构各个层面,并应扎根于企业所有员工的价值观中。企业各级组织和员工个人均应当坚持诚实守信的原则,应该营造一种公开、透明的质量文化,主动沟通不良行为,禁止任何虚假的行为。

2、正确理解数据完整性原则(“ALCOA+”:A-可追溯的;L-清晰,可追踪和永久的;C-同步;O-原始;A-准确;C-完整的;C-一致的;E-持久的;A-可获得的)。


3、数据完整性总体方针的设计应鼓励符合数据完整性原则,可以通过相应的管理措施和技术措施加以保证(见第三步)。

第二步:实验室数据识别和数据风险评估(该步骤为数据完整性治理的重要环节)

1、实验室数据识别:通常可按照某个仪器/系统,按照某个检品,按照某种工作流程等方式或者上述的混合方式展开,可借助流程图、鱼骨图、检查列表等工具,进行识别。

例如:某样品UV含量(吸光度外标法)检测流程为:

1616380996830645.jpg

根据该检测流程,结合流程中所涉及的系统/仪器,即识别出该流程中所有数据,见下表:

1616381066996926.jpg


2、数据风险评估总体考虑:需涵盖实验室系统内所有数据,并涵盖数据生命周期(数据生成、采集、处理、审核、报告、存储、检索、销毁等阶段)。

3、数据关键性评估:依据数据与GMP符合性的关联程度,将识别出的所有数据进行分级,例如可分为三个级别:法规符合性数据、运营数据和非必要数据。

  • 法规符合性数据:指用来进行法规符合性决定或用来支持法规符合过程的数据,如用于产品、物料或系统的检验和放行的数据,影响产品质量和患者安全的数据,用于监管文件递交的数据等;

  • 运营数据:一般指用于业务过程决定的非法规符合数据,如业务绩效分析、维护计划等;

  • 非必要数据:指非法规符合性工作产生的数据,如仅为了设备运转传递的数据、通用的元数据等。

4、数据风险评估:对经过数据关键性评估后识别出来的所有法规符合性数据逐一开展全面的风险评估:

  • 数据风险识别:重点识别每个法规符合性数据是否存在违反“ALCOA+”原则的情况,如存在,即为识别出来的风险。需要考虑影响数据完整性的所有因素,可重点关注实验室人员可能面临的工作压力与挑战,实验室各项工作流程的合规性、适宜性,仪器确认和分析方法验证工作的充分与否,以及包括实验室计算机化系统等客观因素等;

  • 数据风险分析:针对a)识别出来的每个风险进行风险分析,可从严重性、可能性、可检测性三个角度分别去分析。在进行风险分析时,应基于当前的控制措施是否恰当,如:是否有必要设置防止修改的措施、是否有必要设置防止删除的措施、是否需要备份、是否需要设置必要的警告等;

  • 数据风险评价:依据b)数据风险分析的结果进行风险评价,评价当前的风险控制程度是否可以接受。

5、数据风险控制:对于超出了可接受风险范围的风险点应制定进一步的风险控制措施来降低风险,可参考的风险控制措施如下:

  • 增加必要的防止删除/修改措施;

  • 增加备份程序;

  • 增加必要的警告或提升警告的可识别水平。


6、风险审核:对确定的数据完整性风险及其建议、措施等形成报告,并对报告进行审核和批准。定期进行审核以确保建议的措施能有效降低风险,并且不会给数据完整性带来新的风险。

第三步:实验室数据完整性可采取的管控措施

1、常用的管理措施,如:

  • 实验室管理者乃至企业高层管理者的参与和充分重视;

  • 对所有实验室相关的质量要素进行评估,并给高层递交详细的总结汇总;

  • 合理调配工作量与压力,工作分工在合规的前提下进行优化;

  • 为记录的规范填写创造有利便捷的工作环境;

  • 记录设计合理且便于记录;

  • 原始记录必须与GXP步骤或事件同步进行,无论过程和数据是手动/纸质,还是自动/电子;

  • 色谱软件手动积分及重新处理的受控管理;

  • 关键数据的第二人复核;

  • 实验室计算机化系统的合规管理以及对关键电子数据和审计追踪的定期抽审;

  • 经验证的实验室数据管理软件的规范应用;

  • 微生物实验室更加强调人员的数据完整性意识及异常结果调查过程的问询沟通。


2、常用的技术措施,如:

  • 计算机化系统代替人工操作;

  • 采用满足预期用途的服务器代替单机版管理;

  • 采用具有审计追踪功能的仪器设备,追踪任何软件内的数据更改;

  • 对计算机化系统用户权限进行分级管理,并开启审计追踪;

  • 采用数据保护措施如数据加密、防删除设置、设定用户无法退出操作界面、设置数据存放区域不可见等手段;

  • 进入系统或区域的用户权限管理,使用物理或逻辑的方式限制进入,进入账号和密码要门禁、上锁管理,通过文件规定授权进入等方式;

  • 电子系统时钟修改权限控制,如工作站电脑、电子天平等;

  • 配置自动获取或打印数据的设施设备,如灭菌锅、培养箱、冰箱等。

3、实验室关联服务商的管理:

与实验室GMP活动有关联的服务商,如实验试剂、培养基供应商,仪器及系统服务提供商,委托检验的服务商等,都有可能与实验室数据完整性造成关联性影响,因此需通过审核/审计、质量协议等手段进行妥善管理。

第四步:实验室数据完整性自检/审计管理

1、数据完整性自检/审计:

  • 组建熟悉实验室模块业务,具备实验室数据完整性问题发现能力的人员,形成自检/审计小组;

  • 依据企业自检计划制定实验室数据完整性自检/审计计划;

  • 实施自检/审计并汇总上报。

2、自检/审计发现问题整改:

  • 调查和报告任何涉嫌导致数据完整性问题的造假、伪造或其他行为时应公平、公正、公开;

  • 员工已经知道或有证据怀疑其他人存在导致数据完整性问题的行为时,应立即通知部门领导,视员工个人意愿可选择匿名报告,且企业应保护员工免受报复;

  • 对数据完整性问题进行调查,确定问题的范围及根本原因,形成调查结论;

  • 制定全面的纠正预防措施并在要求的时限内执行;

  • 可以视情况制定员工由于数据完整性不符合问题的惩戒措施。

第五步:实验室数据完整性持续改进

1、实验室数据完整性改进可采取的措施:

  • 对所识别的问题进行彻底的、开放的评估并及时实施有效的纠正与预防措施;

  • 在整个组织内就数据完整性期望进行沟通,包括公开报告潜在问题和改进产生不良后果的流程;

  • 应尽量避免任何复杂电子系统可能发生数据操纵的漏洞,以确保跟踪措施已经全面解决了所有违规情况;

  • 符合规范指南原则的数据完整性方针的实施;

  • 日常数据完整性自检/审计的实施。

2、可采用PDCA循环持续改进提升。

结语

通过以上对实验室数据完整性治理路线“五步法”的梳理,希望能给诸同仁带来启发,其中部分思路也同样适用于质量管理体系中非实验室模块。可以结合各自企业特点,进而制定出适宜、有效的数据完整性的管理框架和治理流程。期望通过我们共同努力,尽早摆脱企业数据完整性问题的困扰。