小心!Excel表格,引发警告信
文/PharmLink读书组
在FDA 2016年的一封警告信中,FDA指出电子表格需要进行控制。缺陷项为:所有员工都可以访问年度产品回顾(APR)电子表格,对此PharmLink读书组进行了讨论分析。
引用条款:
Your firm failed to exercise appropriate controls over computer or related systems to assure that only authorized personnel institute changes in master production and control records, or other records (21 CFR 211.68(b)).
公司未对计算机或相关系统执行适当的控制,以确保只有授权人员才能更改主生产和控制记录或其他记录(21 CFR 211.68(b))。
观察项:
For example, the computer in your quality unit area did not have controls to restrict access and prevent unauthorized changes to data files and folders. All employees had access to your Annual Product Review (APR) spreadsheet. The desktop computer containing the APR was not locked.
例如,您的质量单位区域中的计算机没有控制措施来限制访问、并防止未经授权就更改数据文件和文件夹。所有员工都可以访问您的年度产品回顾(APR)电子表格。包含APR的台式计算机未锁定。
【案例分析】
在上述警告信中,FDA批评了该公司由于对电子表格的控制不力。这里的电子表格,应该是指生成年度产品回顾过程中所用的数据表。对于这些源数据的修改,可能左右对产品的评估,比如不合格的趋势变成了合格的趋势,这是导致缺陷项的原因。
引用的cGMP Part 211条款原文如下:
§211.68Automatic, Mechanical, and Electronic Equipment
自动化、机械和电子设备
(b)Appropriate controls shall be exercised over computer or related systems to assure that changes in master production and control records or other records are instituted only by authorized personnel. Input to and output from the computer or related system of formulas or other records or data shall be checked for accuracy.
(b)应在计算机或相关系统上进行适当的控制,以确保主生产和控制记录或其他记录的更改仅由授权人员进行。对于计算机或相关系统的公式、其他记录或数据,应检查其输入和输出的准确性。
延伸问题:
作为办公软件,Excel电子表格使用很广泛,但电子表格本身不能直接用于GMP目的,如用于文件升版历史、自检发现的正式记录。原因是表格容易被更改,且没有审计追踪…
对此,在不打印形成纸版记录的情况下,有没有解决方法?
电子表格的验证
通常需要对电子表格进行开发并验证,来实现GMP的要求。GMP Excel表格在管理上,可以分为两类:
第Ⅰ类:使用电子表格生成一个纸质文件(一般是出自文件中的附件)例如:质量事件的跟踪统计(Tracking Quality metrics)、台账清单(Inventory list)。
第Ⅱ类:需要进行配置或开发以实现更复杂的应用程序功能,包括基本功能和复杂的计算。例如:分析计算(Analytical calculations)、微软关联式数据库使用自定义宏。
第Ⅰ类,验证比较简单,主要涉及的是:如何确认统计类Excel表格计算的正确性 (statistical forms of Excel spreadsheet)。更多的是,从管理流程上进行控制:
根据文件要求建立Excel表格,领取编号后由用户部门按照规定的文件名(表格名称+表格编号)上传至工作平台使用,根据部门需求设置只读、编辑等权限,如需修改模板需先修订文件。如文件修订不再使用该表格,用户部门需将其从工作平台中删除,QA需更新Excel电子表格台账清单中的状态。
第Ⅱ类Excel验证,就比较复杂了,基本就是一个小型计算机化系统:一般过程遵循生命周期概念:从概念、规范、开发、分发、控制使用,到变更、收回、归档等。