首页 > 资讯 > 英国 MHRA 检查员关于实验室数据可靠性实践问题的评论

出自识林

2019-06-17

英国药品与医疗保健产品监管机构（MHRA）资深检查员极力鼓励把数据工艺映射（data process mapping）作为规划、建立和维护数据可靠性（DI）所必需的控制措施的第一步。另外还就数据可靠性实践中的一些常见问题从检查员的视角给出了切实的答案。

虽然 DI 的概念并不新鲜，但现代可互操作设备产生的日益复杂的信息系统和数据流在识别潜在的数据可靠性差距和更有效得分配资源以应对最高风险点方面存在重大挑战。2019 年 3 月在英国伦敦举行的 MHRA 实验室研讨会上，MHRA GCP 和 GLP 资深检查员 Jason Wakelin-Smith 在关于实验室数据可靠性的实际应用介绍中强调了数据工艺映射在理解和降低挑战以及确保 DI 方面的重要作用。

Walkelin-Smith 解释了映射（maps）如何跟踪系统之间的相互关系，并提供有关所有内容是如何组织在一起的图景。这些信息后续将纳入风险评估，以识别需要补救或更积极监测的风险点。他指出映射内容包括：

• 工艺流程；
• 控制和依从关系；
• 人员、职责和登录类型；
• 手动与自动化操作；
• 关键领域和关键数据；
• 数据生命周期和元数据；
• 数据和流程所有权；
• 风险和预警标识；
• 相关文档

他强调，映射不仅对检查员有帮助，对于公司而言，也是使后续规划步骤更容易的重要工具。“映射不应该是公司为检查员而建的文件。虽然对企业而言并没有关于建立映射方面的要求，但根据我在过去几年中的经验，这是一个非常好的起点。”他还强调，让系统的使用者参与映射过程至关重要，因为实际使用情况往往与标准操作规程（SOP）大相径庭，而实际经验往往是存在差距或漏洞的根源。他还强调的是，数据映射是活文件，必须根据需要重新审查，以确保它们反映所执行的操作。

Wakelin-Smith 强调，对数据映射所促进的工艺和系统的理解是 MHRA GxP 数据可靠性指南中的一个关键主题，该指南于 2018 年 3 月完成。指南表示，“建议机构实施、设计和管理有记录的系统，基于数据可靠性风险及支持性理由提供可接受的受控状态。”MHRA 列举“一个适当方法的例子是实施数据可靠性风险评估（DIRA），进而规划生成数据的过程或从何处获取数据，识别每种数据格式及其控制，以及记录数据关键程度和固有风险。”

更多数据可靠性实践问题

Wakelin-Smith 继续讲解了以下问题：对用户访问权限的技术控制；从一台设备或系统到另一台设备或系统的数据传输；以及元数据和审计追踪。他提供了有关软件和网络设置的实用建议，以及检查中的违规示例。他建议让供应商参与识别和理解所有特定于系统的术语和功能。元数据和审计追踪是可以跟踪操作并帮助识别数据可靠性失误的报告。Wakelin-Smith 建议，供应商关于这方面的意见输入可以帮助客户完全理解特定于设备的所有警报和编码。

在报告结束后的问答环节中，Wakelin-Smith 进一步就用户访问控制、设备适用性和混合系统的可接受性；如何检查质量文化；以及集成或独立的数据可靠性审计等问题做出点评。

关于用户访问权限的问题是，组织中有人有多个角色的利益冲突，例如分析员和软件系统管理员，以及有关用户既需要研发权限也需要受监管工作（需要遵守 GMP 要求的工作）权限的最佳实践方法。他回答指出，如果分析员同时也是系统管理员的话，确实存在利益冲突，他迫于压力可能会改变一些参数或系统工作方式，从而得到不同的输出结果。虽然管理链可以让一人承担分析员和系统管理员两个角色“完全合理化”，但 Wakelin-Smith 表达了对于分析员有能力自行更改参数的担心。他解释指出，MHRA 会查看实际受影响的团队以外的人员控制设定，但他也承认这对小型公司来说实现起来比较困难。

关于研发与受监管工作权限的分离，Wakelin-Smith 解释指出，所采取的措施将取决于组织结构和正在开展的工作，没有一种解决方案能适合所有情况。他阐述了一些公司为每个职能部门设立了独立团队，而另外一些公司则有一个团队负责从研发、验证一直到受监管领域，以确保专业知识的集中。当检查员看到单独的用户名用于研发和受监管工作时，检查员将会核实对于受监管的工作是否使用了正确的用户名。

当被问及当前 MHRA 对太老旧而无法支持适当的数据可靠性措施（例如审计追踪或多用户账户）的仪器和软件的立场时，Wakelin-Smith 指出，答案取决于特定的 GxP。MHRA 数据可靠性指南文件阐明了“具有工业自动化和控制设备/系统（如可编程逻辑控制器）的GMP 设施应该能够证明可以进行单独登录和审计追踪的系统升级”期望。Wakelin-Smith 建议，对于不具备所需功能的设备的缓解措施可包括通过审计或质量部门审核来验证步骤。另一种可能性是组织保留更多元数据，并且这些元数据可用于证明稳健性。他解释指出，“我们不希望看到的是，你继续购买过时设备，来试图摆脱一些控制措施，或者从电子系统恢复到纸质状态，而借口却是‘我没有合适的设备，所以我无法按要求做。’”

关于同时有纸质和电子数据输出的系统问题，Wakelin-Smith 重申，对于数据控制方式，不同的 GxP 有不同的期望。当检查员看到公司对设备进行资本投资时，他们希望看到采购必要的控制措施。如果控制设备不存在，那么检查员希望看到稳健的参数，例如，公司唯一一台可以完成工作的设备，有证据证明公司已经联系供应商并且无法升级，则公司需要有相应的缓解措施来控制问题。Wakelin-Smith 表示，“我不能强迫你购买新设备，但是我肯定会就你如何应用当前方法提出足够多的问题，我将要求大量的纠正和预防措施来让你告诉我如何控制数据可靠性问题。”

接下来的问题关注在一年后是将数据转移到单独的存档还是继续存储在设备中的监管期望。Wakelin-Smith 解释指出，“这是关于控制的问题。在某些方面，对于许多 GxP 而言，只要有适当的控制措施，就可以将数据保留在系统上，以确保这些数据无法被修改或删除。”他补充指出，有些系统有归档功能，该功能去除了对数据的操作能力。但如果仍然可以对数据更改、复制、恢复或其它任何操作，那么对检查员来说仍然会有问题。“时间必须合理。如果控制措施到位，那么将数据留在系统中完全是可接受的。或者在一年期之前就需要归档。这完全取决于你。”

当被问及如何在检查中评估一个组织的数据可靠性文化时，Wakelin-Smith 回答表示，“这个问题没有严格和快速的规则。”他解释指出，他经常从查看先前检查的回复以及这些回复如何影响当前检查入手。他着眼于是否采取了合适的纠正预防措施，并且是打算应用这些措施而不是安抚检查员。“我没有任何形式的清单或评分系统，只是一种感觉。”【质量文化日益受到监管者和企业关注 2019/05/25】

最后一名提问者询问了 Wakelin-Smith 对集成数据可靠性的质量保证部门的建议，以及是否应将其纳入审计计划。他回答表示，这取决于公司的数据可靠性系统。如果系统完全集成，那么能够在所有审计中以不同的方式发现数据可靠性问题。对于尚未完全集成系统的公司，定期或单独的数据可靠性审计“没什么错”。他警告指出，检查员不希望看到的是组织一年只审计一次数据可靠性，而其余时间连看都不看，数据可靠性是日常需要完成的工作的组成部分之一。

整理：识林-椒
识林^®版权所有，未经许可不得转载。如需使用请联系 admin@shilinx.com 。

参考资料
[1] MHRA Inspectors are Advocating Data Mapping as a Key First Step on the Data Integrity Pilgrimage. IPQ.
[2] Jason Wakelin-Smith's presentation at the March 2019 MHRA Laboratories Symposium