GMP法规附录《计算机化系统》那些事儿

GMP法规附录《计算机化系统》那些事儿

2015年5月26日，CFDA正式发布了2010版GMP法规的新附录之一《计算机化系统》，引起了国内制药行业的广泛讨论和高度关注。其实许多制药企业对它的内容并不陌生，因为这则法规于2013年作为征求意见稿已经添加到新版GMP法规附录中。而现在，它将作为正式的法规于2015年12月1日起执行。这则法规附录将给国内制药企业带来什么新的挑战？从近两年来CFDA的一系列举措（频繁的飞行检查，2014年至今已取消近100家药企的GMP证书）来看，国内GMP的监管力度是显著增强的。所以届时如果企业不能满足《计算机化系统》法规的要求，将可能面临十分严重的后果。

CFDA为何要发布这则法规？

国内外GMP法规有许多差异，而对计算机化系统的要求差异尤为明显。CFDA所执行的2010版GMP法规内容与国际上其他法规机构的cGMP法规是对等的，如FDA 21 CFR Part 211。但美国的制药企业除了执行21 CFR Part 211以外，同时还要遵守21 CFR Part 11法规；欧盟国家的制药企业除了执行欧盟GMP以外，还要遵循Annex 11法规。FDA的21 CFR Part 11与欧盟的Annex 11的内容是类似的，都是针对于制药企业使用计算机化系统的法规要求。新颁布的《计算机化系统》法规附录是国内法规与国际接轨的重要一步，将填补国内对于计算机化系统要求的法规空白，是实现与国际法规监管机构之间相互认可的前提条件之一。

法规到底讲了些什么？

《计算机化系统》法规附录究竟讲了哪些内容？其实，我们发现内容并不多，全文共24条要求、6页，共计2500字。我们尝试对这些法规条文作了初步的解读，把所理解的核心内容概括如下：

1.CFDA明确提出进行计算机化系统验证的要求

以往，法规对于仪器的确认是一直有要求的，但对计算机软件验证的要求不明确。因而，大部分的制药企业不对计算机系统进行验证，或仅进行最简单的确认。真正按照GAMP5指南基于风险评估进行完整验证的企业不多，仅某些企业有国外业务、需要通过FDA或欧盟审计时才会考虑。而这则法规发布以后，明确对所有的国内制药企业提出进行计算机化系统验证的要求，为计算机化系统验证提供了法规依据。这里尤其值得注意的是，法规附录里要求进行基于风险评估的计算机化系统验证，实际上就是指遵循GAMP5的验证方法学，即计算机化系统验证的形式应该是验证（Validation），通常所说的确认（Qualification，IQ/OQ/PQ）是不足够的。

2.数据合规性要求

法规明确了对数据输入的准确性和数据处理过程的正确性要求，以保证数据的合规性。概括来说，对计算机系统合规性的功能要求可以总结为：访问控制、权限分配、审计追踪和电子签名。

访问控制：只有经许可的人员才能进入和使用系统。

权限分配：应当对进入和使用系统制订授权、取消和授权变更的操作规程。

审计追踪：用于记录数据的输入和修改以及系统的使用和变更。

电子签名：明确了直接对电子数据进行电子签名是合规的，但电子签名需要符合相应法规。

其中，电子签名是“可以有”，而不是“必须”，这取决于企业对于主数据的定义是电子数据还是纸质数据。这与21 CFR Part 11和Annex 11是一致的。对于审计追踪记录的要求，是“根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统”，这可能是考虑到

很多软件自身功能设计上无法实现的情况。然而，对于色谱数据系统这样的关键原始数据系统来说，审计追踪肯定是必然的要求。

3.电子数据安全性要求

电子数据安全性一般分为逻辑安全性和物理安全性。逻辑安全性即是通过软件自身的权限控制对数据的访问、录入、修改和删除等操作，确保不被人为误操作或有意的篡改行为而影响数据安全。而物理安全性，即是对数据存储的介质（如硬盘、光盘、服务器等）进行保护，确保系统本身不会因为物理介质的损坏或故障造成数据丢失。

4.数据备份要求

关于电子数据的备份要求不算是新的法规要求，GMP法规也一直要求数据备份以保证原始数据的安全性。国内制药企业通常也都制定了数据备份策略，但我们发现通常只是一个月甚至半年才做一次数据备份，真正发生故障时原始数据还是会严重丢失。这样的数据备份归档，其形式意义大过于实际意义；而即使是这样的一个备份频率，企业都已经觉得数据备份的工作任务很重。其根本原因是缺乏良好的解决方案。《计算机化系统》单独列出这条要求，将提高制药企业对数据备份的重视，进而采纳更先进的解决方案。

那么这些新的要求将对国内制药企业带来什么影响？会为实验室工作带来哪些变化？

预期影响一：单机版色谱软件被网络版软件取代的步伐将加快

目前，国内有些制药企业采用单机版色谱工作站来处理色谱数据，尤其是在规模较小的实验室（少于5套色谱系统），在仪器数量较少时，单机版软件初始成本较低，能满足实验室日常操作需求。当仪器数量超过5台以上，企业就需要考虑单机版和网络版软件的平均成本了。而《计算机化系统》附录对计算机化系统明确提出了验证的要求，如果按照这一要求来做，网络版软件在合规性和成本上的优势将越发显著。

1.成本有效降低

按照以往的认知，网络版软件价格是贵于单套单机版软件的，通常在实验室规模化了之后，企业才会考虑。而现在，《计算机化系统》附录明确要求对每套计算机化系统进行验证，这将大大增加单机版色谱系统的验证成本。比如，如果一家企业的实验室有10套色谱系统，就意味着需要做10次验证，每一台仪器都需要作为独立系统逐一进行计算机系统验证。而一套网络版软件可接入多套仪器，只在第一次部署的时候产生验证成本。未来再接入新仪器时，都只需对仪器硬件进行确认即可，无需再对软件进行全面的重新验证。这样下来，单机版和网络版的验证成本可能相差数十倍。

这种情况下，网络版软件无疑将成为制药企业满足验证要求的同时降低成本的有效途径。沃特世Empower 3网络版软件可控制包括安捷伦、PE、岛津、Thermo等在内的多家色谱系统，最大程度上将实验室的计算机化系统数量和类型减至最低，帮助制药企业摆脱单机版高昂的验证成本，一劳永逸地解决色谱系统的计算机化系统验证问题。

2.数据的合规性与安全性

《计算机化系统》附录明确表示电子数据是可以接受的。其实电子数据相比纸质数据，可以更完整地反应数据的状态，包括：报告、仪器方法、积分方法、样品序列、审计追踪报告等。当电子数据变得越来越重要，它的合规性和安全性需要得到足够的保障。

单机版软件都会面临一个物理安全性的问题，那就是数据都存储于本地电脑，而电脑处于实验室环境中，存在客观的物理损坏、易被获取等风险。普通的电脑硬盘也有一定的工作寿命，一旦硬盘损坏，数据将会丢失。而网络版软件采用服务器将原始数据存储于更为安全的IT机房，并采用服务器的硬件镜像技术，确保了数据的物理安全性。此外，通过服务器可以实现数据的自动备份，并且可以将备份周期从原来的一个月或半年提高到每天，显著提高了便利性和效率。

除了确保电子数据的物理安全性，数据的逻辑安全性也要得到保障。所谓的逻辑安全性，