前言

通过对计算机化系统的验证，夯实企业数据可靠性的建设，提升企业质量文化，终保障产品质量和病患的用药安全。

背景

自2012年年底开始，美国FDA的警告信（Warning Letter）和483开始关注计算机化系统验证的发现项，一直到2015年开始对数据可靠性（Data Integrity）的重视，越来越多的监管重点放在数据可靠性的各个方面，“数据治理”成为制药行业以及生命科学领域关注的热点之一。

从开始出现数据可靠性问题的生产企业质量控制实验室，到生产车间的自动化系统设备，扩展至对药品生命周期中产品研发阶段数据可靠性的关注，让行业越发认识到数据可靠性的重要性。

计算机化系统验证

当前，在生命科学产品的生命周期中，如药品研发、技术转移、商业化制造以及流通等不同阶段、不同领域和不同类型活动中对信息技术(IT Technology)与计算机化系统的使用在不断增长，并且系统会产生更多数据来支持产品的开发与生产。另外，计算机化系统的应用范围从简单的单机到大型集成的、复杂的系统，其中许多系统对所生产的药品质量产生直接影响。质量管理者的关键决策与行动通常根据这些数据进行，因此数据可靠性性，无论以电子或纸质形式的数据，对于行业、药品监管机构和病患来说都至关重要。

狭义的计算机化系统（Computerized System）是计算机系统（Computer System），通常由软件、硬件和固件组成。可以认为是控制系统（Controlling System）。

广义的计算机化系统包含，1. 含计算机系统，2.操作规程、操作人员和设备设施的受控的功能或工艺（例如，SOP），3. IT基础设施。如下图：

参考PIC/S - Good Practices For Computerized Systems In Regulated “GxP” Environments PI 011。

计算机化系统是一个流程，而不是单一的设备或仪器。因此，需要对其进行适合的验证工作。在行业指南中，已经对系统分类有了比较详细的描述（例如， ISPE GAMP 5中对系统分类的描述和相关验证需求）。

计算机化系统的验证工作，应该不于受控的功能或工艺的确认工作。例如，确认HPLC的进样采集工作。而HPLC控制系统的功能应用模块是真正创建或处理采样原始数据，并输出检验数据的关键数据流（data flow）。当产品的杂质含量检测数据是关键质量属性（CQA）时，其可能出现的质量风险就不能忽视。因此，对控制系统（往往是应用软件）的验证工作，应该作为主要的质量验证工作之一，并在验证主计划中体现。一套已通过验证的HPLC系统，应能证明其创建、处理、输出和存储数据是受控的。

计算机化系统验证与数据可靠性的关联

计算机化系统的验证是以文件形式证明这个系统或流程是可靠的，准确的和可持续的，大限度的降低数据被未授权访问、篡改或删除的风险，并能够保证在出现以上情景时，会有相应的机制和控制措施，实时的、完整的和自动的记录在系统日志中（例如审计追踪），便于企业的质量部门进行质量审核和周期性产品质量回顾工作。但从根本上讲，计算机化系统验证是不能*确保数据可靠性的。换而言之，数据可靠性不能仅依赖计算机化系统验证来得到实现。确切的说，计算机化系统验证为数据可靠性的合规基础。计算机化系统验证是以风险管理工具、科学的方法和以文件的方式体现GxP相关的计算机化系统是受‘管控’的。但真正能让这套受管控系统达到数据可靠性的需求，需要对人员、工艺流程、操作环境和操作规范都要有相应的质量合规要求。

随着企业向着自动化和智能化的稳步推进，可以预见更多的企业根据发展需求，会运用更*的IT基础设施。IT基础设施虽然不直接产生或影响关键数据，却是GxP相关的计算机化系统正常运行的基石。良好和*的IT基础设施能够帮助大型集团化制药企业，更有效和更经济的管理其日常的财务、研发、生产、质量、质控、仓储、工程维保等工作。通过集成化管理，大量的减少对受控系统的配置和日常维护工作。如何正确和的使用IT基础设施，而不影响企业全局的质量文化和数据可靠性是企业质量部门的另一个关注点。

总结

为了帮助企业能够拥有良好的数据治理（Data Governance），通过计算机化验证的工作来保障数据可靠性，有如下建议：

1. 企业应具有所有在用计算机化系统清单，标注：每个计算机化系统的名称、位置和主要功能；对系统和相关数据的关键性和功能的评估，（例如，直接GMP/GDP影响，间接影响，无影响）；每个系统当前的验证状态，现有验证文件的编号。
2. 每个计算机化系统均应有风险评估，尤其要评估控制的必要性，以保证数据可靠性。
3. 计算机化系统设计、评价和选择的流程应适当考虑系统的数据管理和可靠性方面。
4. 企业应确保新系统具有适当的控制，以确保有效的数据管理。
5. 企业应评估正在使用的系统，以确定现有的系统配置和功能是否允许根据良好的数据管理和可靠性规范对数据进行适当的控制。如果这些系统的功能或设计不能提供适当的控制级别，则应考虑和实施其他控制。
6. 在确定数据漏洞和风险时，重要的是在日常工作的业务流程使用环境下进行计算机化系统的风险考量。例如，针对一个有计算机化系统应用界面的分析方法流程，其数据可靠性可能会受到下述因素影响：输入计算机化系统的样品重量、使用计算机化系统产生的数据，以及使用这些数据处理/记录终结果。有效应用数据流分析图的创建和评估可能有助于理解计算机化系统的风险和漏洞。

参考文献：

1. PIC/S   Good Practices For Computerized Systems In Regulated “GxP” Environments PI 011-03
2. PIC/S   Good Practices for Data Management and Integrity in regulated GMP/GDP Environments, PI 041-1 (Draft 3).
3. ISPE GAMP Records and Data Integrity Guide