第一次发生在 1997 年,关注的中心是 FDA 的 CFR 第 11 部 分第 21 章。
接下来重要的一轮监管变化涉及的是良好分销规范原则。主要标准包括:
- 美国药典 (USP)
- USP 综述章节 <1079> 良好存储和运输实践
- USP 综述章节 <1083> 良好分销规范 — 供应链完整性
- 欧洲药品管理局 (EMA)
- 关于人用药品良好分销规范的指导原则
- 指令 92/25/EEC
- 世界卫生组织 (WHO)
- 医药产品良好分销规范 TRS 957 附录 5 (2010)
- 对时间和温度敏感的医药产品的存储和运输模型要求 TRS 961 附录 9 (2011)
接下来的一大波监管变化聚焦于数据完整性。其结果是发布了很多指导文件,包括:
- 美国食品药品管理局 (FDA) 指导草案:“数据完整性及其 CGMP 合规性行业指南”
- 药品和健康产品管理局 (MHRA) –“ GxP 数据完整性指南”
- 药品检验合作方案 (PIC/S) 指导草案“监管 GMP/GDP 环境中的数据管理和完整性 良好实践”
- 世界卫生组织指导草案:“数据完整性指南”
新变化:从验证到保证
电子记录监管重点的最新转变是从 CSV (计算机系统验证)向 CSA(计算机系统 保证)的转变。这些更改及其法规指导(例 如第 11 部分)旨在帮助企业应对云计算的 出现,云计算支持用户使用 Internet 上托 管的联网远程服务器来处理、管理和存储 数据。这一最新变化揭示了采用针对机械 设备设计的记录策略的计算机化系统所固 有的风险。
尽管监管领域的这些变化表现为单独的 事件,但它们是相互关联的。所有事件都 基于现有 GxP 关注点和不断变化的技术 之间的交叉点。21 CFR 第 11 部分减轻了 从纸质记录转变为电子记录的风险。良好 分销规范 GDP 的变更对与产品相关的每 个人(从处理原材料到成品的分销)都分 配了同等的责任。数据完整性指南要求我 们对数据的记录、通信和存储进行整体思 考。计算机系统保证专注于测试软件和系 统,以确保产品的有效性和安全性。因此, 美国食品药物管理局 2020 年公布了新 的指南草案:“制造、运营和质量体系软件 的计算机软件保证”。
相互衔接
多年来,受 GxP 监管的行业已单独对每 一轮监管变化做出了反应。经常应对强制 措施的个别公司努力通过有针对性的审 计来修补其系统中的潜在漏洞。在审计 中,人们越来越关注电子记录和电子签名 (ERES)、系统验证以及数据完整性。
但是,出于合规性考虑,审计过程经常会引 起对合规性的关注。
这促使人们想起 21 CFR 第 11 部分当时 还未推出,因此不需要遵守其规定。该法 规的目的是将书面或电子签名与其记录联 系起来,并确保以电子方式创建的文档和 签名真实可信。这是一项重要的区别。
即便如此,在该部分内容发布后不久,企 业便开始询问供应商其系统是否符合第 11 部分的要求。但是,21 CFR 第 11 部分不 适用于系统供应商。该法规适用于受监管 的应用程序及对其负责的公司。此外,系统 实际合规与否在于它的使用方式。对于系 统供应商来说,一个更好的问题是:“如果 我们使用您的系统,我们是否能够以符合 21 CFR 第 11 部分的方式操作它?”
回顾 21 CFR 第 11 部分
要了解如何遵守 21 CFR 第 11 部分,我们 必须从了解该法规本身开始。该法规只有 两页多一点,并分为三个子部分。
- 子部分 A“一般规定”
- 子部分 B“电子记录”,分为 4 节
- 第 11.10 节:封闭系统的控制
- 第 11.30 节:开放系统的控制
- 第 11.50 节:签名表现形式
- 第 11.70 节:签名记录链接
- 子部分 C“电子签名”
在环境监测系统中,例如维萨拉的 viewLinc 连续监测系统 (CMS),除了以 下三个定义外,子部分 A 并不高度相关:
- 封闭系统:一种环境,在该环境中,系 统访问由负责系统中电子记录内容的人 员控制。
- 电子记录:由系统创建、修改、维护、存 档、检索或分发的数字形式的文本、图 形、数据、音频、图片或其他信息表示 形式的任意组合。
- 电子签名:由个人执行、采用或授权的, 包含任何符号或一系列符号的数据汇 编,具有法律约束力,等同于该人的手 写签名。*
这些定义使我们能够阐明 21 CFR 第 11 部分如何应用于 GxP 监管应用程序中使 用的环境监测系统:
系统中的数据分类为电子记录。
子部分 B 第 11.10 节适用,因为监测系 统是封闭系统。
- 系统中的数据分类为电子记录。
- 子部分 B 第 11.10 节适用,因为监测系 统是封闭系统。
- 第 11.30 节不适用于监测系统,因为它 与开放系统有关。
- 子部分 C 和子部分 B 的其余部分 (11.50 和 11.70)可能不适用,因为 监测系统通常不使用电子签名来查看 数据。
第 11 部分中与连续监测系统直接相关的 部分是第 11.10 节“封闭系统的控制”。.
在监测系统中,“程序和控制”是指我们保 护记录的真实性、完整性和机密性所使用 的方法。
按重要性顺序排列的话,程序和控制来自 三个来源:
- 系统用户执行的操作。
- 软件内置的功能。
- 供应商提供的服务
请注意,系统用户执行的程序和控制包括 第 11 部分的大多数合规活动。
*21CFR11 第 A 分章 - 总则,第 11 部分,电子 记录;电子签名,第 11.3 节“定义”www.accessdata.fda.gov/scripts/ cdrh/cfdocs/cfcfr/CFRSearch.cfm
第 11 部分的封闭系统程序和控制如下:
- 验证
- 以人类可读的形式和电子形式生成准确 而完整的副本
- 保护记录以确保在记录保留期内准确并 轻松地进行检索
- 仅限获得授权的个人访问系统
- 审计追踪
- 进行操作系统检查以强制排序事件和 步骤
- 进行权限检查以确保只有授权人员才能 使用系统或执行手头的操作
- 进行设备检查以确定数据输入的有效性
- 培训
- 要求用户对采取的行动和以电子方式创 建的记录承担责任的书面政策
- 系统文档控制,包括:
- 系统操作和维护文档
- 用于开发和修改系统文档的修订和 变更控制程序
在下表中,我们可以看到每个程序和控制方法的执行方式:由系统软件执行、由系统用户执 行或由两者执行。大写代表该功能性责任是主要责任,小写则代表该责任是次要责任。
| 项目 | 用户程序 | 软件功能 | 供应商服务 |
| 验证 | 是 (Y) | 是 (y) | |
| 完整副本 | 是 (Y) | ||
| 记录保护 | 是 (Y) | 是 (y) | |
| 限制系统访问 | 是 (Y) | ||
| 审计追踪 | 是 (y) | 是 (Y) | |
| 操作检查 | 是 (y) | 是 (Y) | |
| 权限检查 | 是 (y) | 是 (Y) | |
| 设备检查 | 是 (Y) | ||
| 培训 | 是 (Y) | 是 (y) | |
| 书面政策 | 是 (Y) | ||
| 系统文档控制 | 是 (Y) |
我们可以审查每个项目,并进一步确定,对 21 CFR 第 11 部分的遵循在什么情况下取决于 用户操作、软件功能或两者的组合。
程序和控制
维萨拉 viewLinc 系统旨在简化数据保护 和记录访问。该软件可通过以下两种方式 实现这一目标:尽可能缩小数据记录的大 小,以及确保软件版本始终向后兼容。在 viewLinc 中,记录所占容量较小意味着 可以将数据存储在数据库中以便于检索, 而不是导出到存档中。向后兼容性可确保 始终可以在该软件的任何将来版本中访问 viewLinc 记录。
验证:
验证是成本高昂的合规性要素。仅当用户 已制定指导验证工作的程序时,它才有效。 因此,验证程序是 GxP 监管行业预期执 行的程序。许多环境监测系统都有简化验 证的选项。例如,viewLinc 系统具有标 准的安装确认/操作确认 (IQOQ) 文档。 在某些地区,维萨拉可以将验证执行作为 服务来提供。系统供应商验证服务可以节 省内部资源。
以人类可读的形式和电子形式 生成准确而完整的副本:
此要求是只能由系统软件满足的两个要求 之一。监测系统必须生成完整的人类可读 电子记录副本。幸运的是,此要求也是设 计用于 GxP 合规应用程序的任何监测系 统的核心功能之一。
保护记录以确保在记录保留期 内准确并轻松地进行检索:
记录保护主要依赖于系统用户或其 IT 团 队执行的程序。虽然有必要保护数据以避 免从应用程序内将其删除,但长期数据保 护实际上是 IT 程序的功能,这些 IT 程序 应遵循有关数据备份、存储和存档的最佳 实践。
仅限获得授权的个人访问系统:
此要求由用户程序来满足。必须制定程序 以限制对所监测的系统和设施的访问。对 于通过分散在安全性各不相同的设施区域 的数据记录仪收集数据的监测系统,这尤 其重要。在几乎所有 GxP 设施中,仅限授 权人员进行物理访问是一种规范,因此满 足此要求很少需要付出额外的努力。
审计追踪:
审计追踪是第 11 部分中至关重要的要求, 只能由软件功能来满足。监测系统必须具 有此功能,以跟踪在系统中创建、更改、修 改或删除记录的所有事件。但是,只进行 审计追踪而不进行定期审查是不够的。如 果没有人要查看审计追踪以查看数据是否 已更改,则审计追踪是否记录数据更改无 关紧要。
进行操作系统检查以强制排序 事件和步骤:
对于具有复杂工作流程的系统,此控制措 施很重要。在像 viewLinc 这样的典型监 测系统中,工作流程非常简单,在不同应用 程序之间差异很小。viewLinc 软件包含 工作流程作为软件功能,因此用户只需在 预先存在的工作流程之后对其程序进行建 模。这样做是有意义的,因为有些公司不认 为监测程序是战略能力的体现,在这种情 况下,自定义工作流程将提供竞争优势。
理想情况下,监测系统不应要求任何自 定义,标准化的系统可以节省验证时间。 不过,这不应给人以错误的安全感。在 viewLinc 系统中,将强制执行工作流程 步骤。但监测系统管理员仍然需要标准操 作程序 (SOP) 来指导用户。
进行权限检查以确保只有授权 人员才能使用系统或执行手头 的操作:
通常,权限检查是通过用户名和密码强制 执行的,用户名和密码使用定义系统内访 问权限的用户配置文件来授予系统访问权 限。权限检查取决于作为软件功能内置在 系统中的安全功能。但是,实际满足此要求 依赖于用户程序来定义用户角色,以便可 以正确分配访问权限。用户还将需要一个 通用的安全策略来定义对密码复杂性、密 码时效和其他安全参数的预期。
进行设备检查以确定数据输入的有效性:
设备检查是只能由软件功能来满足的两个要求中的第二个要求。在 viewLinc 软件中,设备 只有在使用正确的协议并且之前已经由 viewLinc 系统管理员标识为合法设备的情况下才 能向系统发送数据。由于此功能通常是监测系统的内部功能,因此,此处不需要用户程序。
培训:
这是只能由用户程序满足的要求。该程序应验证系统用户是否已接受过系统使用培训。通 常,系统供应商将提供培训服务,维萨拉也会将培训服务作为 viewLinc 支持计划的一部 分进行提供:生命周期维护协议。但是,软件可以帮助您进行培训。viewLinc 软件具有称 为“教程”的嵌入式屏幕提示。教程为常见任务提供指导;通过浏览教程,用户可执行所需 的任务。
要求用户对采取的行动和在电子系统中创建的记录承担责任的书面 政策:
用户策略或程序将满足此要求。此外,为受监管的环境而设计的软件也可以提供帮助。例 如,viewLinc 软件可确保用户无法意外删除记录或修改原始数据。此外,所有用户操作 都将被捕获到 viewLinc 的事件日志中。出现问题时,viewLinc 可提供所有已执行操作 的记录。
系统文档控制:
监测系统应随附全面的用户指南和在线帮助。但这只是系统文档的一小部分。此要求还包 括在系统实施和维护期间生成的记录和文档,例如验证文档和 SOP。这些文档通常由用 户程序控制,以进行受保护的存储、变更控制和修订控制。这通常是与企业质量保证部门 的文档编制职能一并完成的。
合规:共同的目标,而不是共同的责任
符合 21 CFR 第 11 部分和其他法规是系 统与其用户之间共同努力的结果。用户应 该熟悉法规,法规虽然简短,但可能难以 分析在多大程度上适用于内部程序,在多 大程度上适用于软件功能。
不过,遵守法规指南的基本责任主要在于定 义系统的部署、使用和维护方式的用户程 序。这是所有 GxP 系统合规性的基础。
在 GxP 监管的应用程序中使用的任何系 统都必须设计用于合规活动,这一点很重 要。许多系统都包含预期的功能,但这些 功能远不能独自满足 21 CFR 第 11 部分 的要求。
viewLinc 软件旨在通过简化程序来帮助 组织实现合规性。维萨拉 viewLinc 连续 监测系统设计用于在 GxP 监管的环境中运行,该系统提供:全面的验证协议、多层 安全性和故障安全审计追踪功能。