联系我们contact

电话:027-59760188-801

地址:武汉市东湖高新开发区光谷大道120号现代森林小镇A座609室

FDA和欧盟对计算机系统审计追踪要求的比较与分析

发布时间:2018-07-25 浏览次数:712次

数据可靠性是监管机构当前关注的热门话题(1,2),而计算机化系统审计追踪是保障数据可靠性的重要方面。FDA 21 CFR §11.10(a)小节对审计追踪的含义做了最初阐述,即系统识别已改变的记录的能力。尽管主要法规在字面上均有关于审计追踪需求应基于风险评估的表述(3,4),而事实上审计追踪已被作为确保计算机化系统数据可靠性的强制要求,本文将对比欧盟(EU GMP Annex 11 (4))与 FDA(FDA 21 CFR 11 (5))关于计算机化系统审计追踪的法规要求。

法规要求

因Part 11需结合相关基础法规进行解释,如GMP依据21 CFR 211 (6)而GLP依据21 CFR 58 (7),所以两个法规之间的对比略微有点复杂。为便于对比,将这两个法规的审计跟踪内容拆分为若干小条款分别列举在表1中,将含义基本一致的条款列举在同一行中,有差异的条款单独列在一行。

初看表1中两组法规要求的对比,读者可能认为这两个法规不是很相似,这可以理解。但是,通过梳理这两个监管机构不同的表述方法,我们可以确定这两个法规在大多数方面是相似的。区别在于法规的编写方式:一个是明确详述的而另一个是解释说明的。下边我们按表格中的序号按顺序逐条讨论。

表一:FDA 21 CFR 11和欧盟Annex 11的审计追踪要求
FDA和欧盟对计算机系统审计追踪要求的比较与分析

1条:Annex 11中对基于风险方法的审计追踪的讨论已涵盖在Part 11范围和应用指南(3)中,因此两个法规这块基本相同。

第2条:Part 11详细介绍了审计追踪所需的内容:安全的,带时间戳的,计算机生成的,以及监控记录从创建到删除的整个生命周期。此外,更改后产生的新纪录不得覆盖以前记录的数据。欧盟对审计追踪的要求没有与之相对的。然而,在Annex 11关于安全的第12条下,有如下要求:


12.4   Management systems for data and for documents should be designed to record the identity of operators entering, changing, confirming or deleting data including date and time.

12.4   对于数据和文件的管理系统,应设计识别操作员登入和操作(包括更改、确认或删除数据)的日期和时间的记录。因此,要求是类似的,只是Annex 11中并没有集中体现在审计跟踪章节。 



第3条:Part 11中明确要求已记录的信息不能被覆盖。Annex 11中没有相应规定,但欧盟GMP中也有明确要求,详见第4章(8)中,纸质、混合和电子系统的良好记录规范小节:

4.9   Any alteration made to the entry on a document should be signed and dated; the alteration should permit the reading of the original information. Where appropriate, the reason for the alteration should be recorded. 

4.9   对文件记录的任何更改都应签名并注明日期;改动后原始信息仍然可读。在适当情况下,应记录更改的原因。


第4条:两个法规这块要求基本相同,都要求审计追踪可供监管审查。欧盟多了一条审计追踪能以可读格式导出的要求,这大概出于检查员的审查需要。

第5条:乍一看Annex 11要求”定期审查”审计追踪是Part 11与Annex 11之间的主要区别。但是,情况真的如此吗?对于实验室数据,§211.194(a) (6)中有第二人复核以确保实验室记录”完整”的GMP要求,这已经在一些483表格(9)和许多警告信(10,11)中解释了,色谱数据系统中的审计跟踪也应进行审核。因此,两个法规这块是相似的。但目前实验室应用程序在记录审计跟踪复核状态方面与法规要求还有差距,基本上所有实验室软件均不能以电子形式记载审计跟踪复核信息。

第6条:Annex 11要求记录进行更改时得有原因,但Part 11中没有相应内容;然而,更改原因的要求应依从基础适用法规。在美国GMP中没有要求更改记录时需要原因(6),但是在GLP适用法规§58.130(e)里有要求:对自动化数据记录的任何更改都不应覆盖原始记录,应表明更改的原因,注明日期,并标识责任人(7)。

第7条:Part 11提到审计追踪的保存期限要和适用法规要求的记录保存期限一致,而Annex 11中没有明确声明。但是,在欧盟GMP第4章第4.10-4.12条(8)可找到保存期限的要求。

总结

本文对FDA 21 CFR 11和欧盟GMP Annex 11的审计追踪要求进行了对比。总体来说,这两个具体的法规虽然看似有差异,但FDA和欧盟在总体要求上是一致的,有差异的条款要么体现在其它的适用法规中(针对21 CFR 11),要么在其他章节中(针对欧盟GMP)。所以,在解读法规的特定章节时,应注意到关联法规或法规自身其它章节的相互影响。另外,需要提醒一个容易忽略的问题,多数商业应用软件不能充分记录审计追踪复核的信息,在审计跟踪记录发生更改时(如导出、归档等),需要做好相应的记录。


参考文献:

1. R.D. McDowall, Scientific Computing, August 2013

2. R.D. McDowall, Scientific Computing, September 2013

3. FDA Guidance for Industry, Part 11 Scope and Application, 2003

4. EU, Good Manufacturing Practice, Annex 11 Computerized Systems, 2011

5. Electronic Records; Electronic Signatures Final Rule 21 CFR 11, 1997

6. Current Good Manufacturing Practice for Finished Pharmaceutical Products, 21 CFR 211, 2008

7. Good Laboratory Practice for Non-Clinical Studies, 21 CFR 58, 1978

8. European Union, Good Manufacturing Practice, Chapter 4 Documentation, 2011

9. Able Laboratories, FDA 483 Observations, July 2005

10. Concord Laboratories, FDA Warning Letter, July 2006

11. Ohm Laboratories, FDA Warning Letter, December 2009