符合FDA21 CFR Part 11条款的系统搭建与验证

符合FDA21 CFR Part 11条款的系统搭建与验证GMP认证规范以及FDA 21 CFR Part 11对制药等行业的自 动化系统有明确规定。美国FDA于1997年颁布Title 21 CFR Part 111，并于2003年颁布相关行业指南2来细化有关规则。在 Par t11规定中，电子记录被认为具有与书面记录和手写签名同 等的效力。尤其是要向美国出的药品，必须符合FDA认证标准， 如果因对Part 11标准不熟悉而违反法规将导致不良结果3。 新版中国药品生产质量管理规范（2010版GMP）在第一百六十三 条也对电子数据处理系统登陆、使用和数据储存新增一些规定 4。色谱仪器在制药行业广泛应用，其分析数据作为FDA审查 重点，检测结果又大量依据计算机处理积分数据，审计官无疑更 倾向于使用电子记录和电子签名，以保证数据真实性、完整性、 可追溯性。对中国制药企业来说，困扰他们的问题不仅在于系统 是否适用于21CFR规定，还在于如何建立这套系统并对系统进行 验证，其中验证问题更是电子记录实施GMP管理一大瓶颈5。 本文以某品牌多台气相、液相色谱仪系统搭建为例，描述系统需 求、系统组建、系统验证全过程，并对该过程中出现的问题进行 讨论。1系统需达到要求及软件选型1.1对色谱软件要求1.1.1形成以太网封闭式系统，使计算机能控制多台液相色 谱仪（品牌:Agilent型号：1200系列）以及多台气相色谱仪（品 牌：Agilent型号：7890A，进样器型号：7683B，顶空进样型号： G1888），并能将数据储存于服务器。软件依据21CFR Part 11 相关规则构架，并能承诺相关构架符合FDA中关于电子记录和电 子签名要求。1.1.2 结合账户名和密码甄别用户，并记录用户在各时间节 点的动作。1.1.3 对于用户进行不少于三级的分类，并使每一级之间可 设定不同权限。1.1.4 电子记录无法完全删除、复制，对于每一步关键动作 可进行数字签名，并且自动留下记录，数字签名无法复制。所有 原始数据和元数据应关联6，并保障数据无法被覆盖。1.1.5 系统具备审计追踪模式，可对系统或记录的任何改变 进行复原和追踪，并可查询变更的意图。“为记录操作者登陆的 时间和日期，以及记录创建、修改和删除电子记录的行为，应该 为使用计算机生成和带时间标记的审计过程建立档案。修改记录 时先前的记录还应存在”1。系统自动生成带有时间标记的受 保护的审计日志，该日志内容将不能通过普通的方法进行修改或 删除6。1.2 软件选型目前市面上提供此类软件控制并拥有相关证书的主要有Wat ers 公司的 Empower， Agile nt 公司的 EZchrom, Shimazu 公 司的LCsolution等。这些家公司互相开放部分协议，可相互控 制对方公司主流仪器。以下举例以EZchrom（软件：EZchrom Elite版本：3.3.2SP2）为软件所构架的 系统。2 系统的建立2.1 硬件系统封闭式局域网由色谱仪器（HPLC/GC）、交换机、服务器 （Server）、客户端（Client）构成、安捷伦设备控制器（AIC Agile nt Int rume nt Cont roler ）构成（见图 1）。2.1.2 AIC的作用形成对仪器和客户端之间的物理隔离； 作为色谱仪器实际控制的终端，即便在客户端关闭的时候，仍然 保持对仪器的控制；采集仪器所反馈的信号，传输给服务器储存； 在与服务器连接故障的时候，作为数据的临时储存点，当通讯恢 复时，把临时储存的数据及时发回服务器储存。这样有利于执行 TCP/IP协议时，灵活利用带宽，并防止数据丢失。2.1.3辅助系统辅助系统包括UPS （不间断电源）和备份 设备，UPS系统对整个系统提供稳定电压的电源，并在电路故障 的时候，提供一定的缓冲时间完成对数据的储存，甚至可供系统 完成整个实验；备份设备会定期对服务器内的内容进行完全备 份，防止服务器故障导致数据丢失。2.2 软件系统根据各台计算机所扮演角色安装相应的软件与插件，在服务 器内建立域，在域的范围内建立各个帐户并分配权限，对于多用 户的管理，采取分组管理的方式优于单人管理7，故将帐户依 据各自角色不同划入域中的不同组别，可以划分为系统管理者 组、主管及高级技术人员组、基层技术员/检验员组。2.2.1 系统管理者 对于系统有最高权限，可建立帐户，更 改帐户权限，升级安装系统，对系统进行维护。2.2.2 主管及高级技术人员 可对于系统建立、修改（需撰 写意图）、保存方法及序列，可建立、修改（需撰写意图）、保 存积分参数，完成仪器在线控制，完成对于数据复核的数字签名， 以及所有基层技术员/检验员的动作。3 安全策略3.1 帐户安全3.1.1 用户识别 每个操作人员拥有独立的帐户，各操作人 员不得使用公共帐户（针对EZchrom系统），帐户实行密码识别， 确保每个帐户的独立性 。3.1.2 密码规则限制 包括密码长度，密码组成，非法字符的规定，以确保密码无法被简单破 解或猜测。例如，要求密码不少于6 位，必须由数字和字母共同 组成，为避免内部冲突，应规定“%”为非法字符。3.1.3 密码周期 所有密码需设定定期更换的期限。例如每 90 天必须更换密码。3.2 数据安全3.3 系统安全3.3.1 错误登陆记录 对于每一次的错误登陆都能即时自动 记录，如，密码输入错误，账户名不存在，已冻结帐户试图登陆 等，并且这些记录都能在审计追踪时查阅到。3.3.2 错误登陆次数的限制 对于密码输入错误的次数要有 相应的限制（一般设为 3 次/天），防止密码遭受暴力破解。3.3.3 系统提供审计追踪模式 可对任一动作进行查询，如 操作时间，操作者，更改原因（系统只能对尚未执行的参数进行 修改），各种警告的原因，被警告对象，警告的时间，运行/积 分方法建立时间，建立者，修改原因等，所有信息均有可追溯性。4 验证与系统评估4.1 安装确认4.1.1 硬件安装确认 所有封闭式网络内计算机连接后，需 检查交换机对于各节点的连接是否正常，确保不出现IP地址冲 突，对于色谱设备，可通过厂家技术工程师对于色谱仪器按照需 要进行设定固定IP地址，防止多设备使用的情况下出现IP地址 冲突而导致系统崩溃。4.1.2 软件安装确认 对各台计算机按照相应的角色安装相 应的软件、补丁以及插件（客户端、服务器、AIC），程序，进 行架构测试8，通过软件，导出所有已安装软件及插件，逐一 检查其完整性与正确性。再进行功能测试，在相应功能的软件内 部输入既定的数据，检查并比较数据及文件能否正确输出（例如 调用软件中自带的色谱图原始数据，观察是否能准确形成图谱并 完成积分）。最后进行项目建立测试，输入相关数据，检查是否 能正确在工作站中建立相应的项目并得以保存。4.2 运行确认4.2.1 权限确认 建立如2.2 所述3 级测试帐户，分配权限， 测试结果见表 1。4.2.2 帐户确认 依据上述 3.1 要求建立各帐户，并验证其 有效性。所有实验室人员帐户建立以及所有色谱仪器连接之后， 应进行挑战性试验8，以验证在所有用户同时登陆并控制所有 仪器运行的情况下，是否能够正常运行。4.2.3 系统安全确认 测试当密码输入错误时，应弹出警告 窗口并禁止登陆，当连续输入 3次密码错误时，帐户应被冻结。4.3 性能确认 依据相应质量标准要求建立方法和序列，运行序列，测试软 件对于仪器的控制，以及数据能否被准确记录。完成后，进入审 计追踪模式（Audittrail mode），观察所有动作（包括故障信 息）是否被自动记录。4.3.1 对已存在的方法（如积分方法）进行修改并储存，应 在审计追踪模式下可查阅到此次变更，并且该变更应有计算机自 动生成的带有时间标记、变更人员名称、变更理由的记录。并可 由系统还原成变更之前的方法（追溯性）。4.3.2 在线用户测试8 建立持续性验证计划，用较长时间 （如3 个月）来测试系统稳定性，保证系统有充分的时间遇上所 有以后在正常使用中所能碰到的问题，并寻求纠正和预防的方 法，确保在日后使用过程中减少错误的发生概率。4.3.3数据挑战性测试应在UPS供电模式下测试系统最终 的运行时间，以便日后在遇上电路故障或区域性停电的情况下， 系统自身所能延续的时间足以保存数据，检查系统断电前后，原 有数据不应丢失。4.3.4 数据恢复测试规定数据备份周期（如1个月），并 测试所备份的数据能否重新导入系统， 保证数据安全性。5 应用中要注意的问题5.1 帐户匹配问题 目前，对于操作人员的识别可使用生物技术（指纹、虹膜、 声音等技术），但由于生物鉴别技术存在一旦被破解便永远失效， 容错性不易选择，侵犯个人隐私等问题9，得不到广泛采用， 大多数采用账户名+密码来进行识别。通常在实验室，会有多个 用户使用同一台计算机控制多台仪器，这就涉及到Windows帐户 与EZchrom帐户之间匹配的问题，若要求每名操作者都要注销前 一个Windows帐户再进行EZchrom的登陆后操作，不仅费时费力, 而且影响网络连接速度，Ludwig Huber先生提出一个比较合理 方式解决这一问题10，即为实验室色谱操作人员设立Windows 共享帐户，但此共享帐户并无使用EZchrom的权限，该共享帐户 和密码不视为电子签名，操作人员需在EZchrom输入自己的工作 站帐户和密码才能进入系统。5.2 内部管理规范是否支持的问题 数据完整性必须通过同时使用具有法规遵循能力的方案和 用户自己规定的标准操作规范（SOP）来实现11。对于系统的 监控只有在供应商提供技术控制的基础上，加上使用者的控制才 能落实到位。也就是说，在软件满足21CFR构架要求基础上，最 终使用的用户必须建立起相应的机制和制度来保障数据的真实 性、完整性、可追溯性。例如，规定员工之间不得分享 EZchrom 的帐户和密码，对于EZchrom帐户的建立和删除、权限变更均建 立相应的标准操作规程，并给予记录。对于离职员工的帐户及时 删除或冻结，防止帐户再次被启用。规定当操作人员离开计算机 之前必须关闭自己的EZchrom帐户。5.3 系统拓展能力及环境适应性问题系统建立之初，除考虑符合 Part11 的相关要求外，还要考 虑一些对系统有关键影响的因素，例如，局域网的扩展能力以及 操作环境8，系统的设计和硬件的参数决定运行在线的工作站 的数量以及网络的带宽，网络的带宽又直接影响信息的传输速 度。AIC所能控制的色谱仪器上限是4台，而EZchrom对于每一 台色谱仪器的控制都要有独立的授权，所以系统建立之前，就要 计划日后所能扩展的空间。对于服务器存放的房间，也最好保持 一定的洁净度和温湿度，保障系统的稳定运行，在以太网的连接 中建议尽量采用光纤来提高传输速度和避免干扰。5.4旧数据备份问题Agilent 色谱仪器原配备的 Chemstation 工作站由于不具备 防止文件被覆盖、保留相关记录连接的能力以及审计追踪模式不 完整而无法适用21CFR的要求，因而必须升级或者更换成 EZchrom的工作站，但考虑到原有数据的可追溯性（EZchrom无 法打开原有 Chemstation 目录下的文件），仍旧应保存一台离线 的计算机安装Chemstation工作站，确保在旧数据迁移后能仍旧 可以被查阅12。5.5 维护及保障问题由于日常仍不可避免地要求对系统中的故障进行维护，甚至 需要供应商工程师上门维护，此类维护通常需要较高等级的权 限，但又担心赋予的权限太高而导致系统的真实性和完整性遭受 质疑13，可创建一个固定的维修人员账号，并在平时冻结此账 号的使用，在维修中，供应商维修工程师应先向使用单位提供将 要采取的活动计划，并经过使用单位系统管理员的同意，激活维 修账号，并由使用单位系统管理员监督维修过程，确保数据安全。