一、概述
2016年1月4日,浙江海正药业股份有限公司收到美国食品药品监督管理局(以下简称“FDA”)针对2015年3月2日至7日对台州工厂的原料药检查结果而出具的警告信(Warning Letter)。
事情已经过去三个月了,无论是资本市场还是社会舆论的风暴都已经停息了,所以说我们无意落井下石,毕竟都是中国药企,老外提起这事的时候首先想到的是“中国”这两个字,然后才是海正药业;我们只是希望站在客观中立公正的立场来看看发给海正药业的这封警告信,就算是海正药业为了大家先交了学费,我们来看看这份历年的真题,我会从我关注的角度,也就是计算机化系统验证(CSV)的角度来解读,我们在日常的工作中应该做到些什么,如果以后真正临到我们自己面对FDA检察官的时候,别犯这些低级错误,直接被FDA毙了。(有点严肃了,一定要娱乐化,就是说去年我们还看着FDA在那狂审三哥三嫂,没想到美帝忘我之心不死,这么快就向我们反扑过来了)。
二、解读
FDA警告信原文链接:
http://www.fda.gov/ICECI/EnforcementActions/WarningLetters/2015/ucm480035.htm
以下的内容,我们把读者分成两大群体,看热闹的和专业从业者。用斜体字标注的部分是FDA的原文和翻译,难免过于官话和晦涩难懂,对于前一部分看热闹读者的,咱就可以可以略过了(不用费那脑细胞了,还得啃英文),因为每段话的后面我会用尽量通俗易懂的轻松的文字,让没有那么强的专业背景知识的人也能看得懂FDA在要求什么;真正想专研的读者,可以仔细阅读FDA原文,如果有什么高见,可以从微信号消息里面联系我。
原文及翻译如下:
December 31,2015
Mr. Hua Bai, CEO
Zhejiang HisunPharmaceutical Co., Ltd.
46 Waisha Road
JiaojiangDistrict
Taizhou City,Zhejiang Province
China 318000
Dear Mr. Bai:
From March 2-7,2015, investigators from the U.S. Food and Drug Administration (FDA) inspected
your drugmanufacturing facility, Zhejiang Hisun Pharmaceutical Co., Ltd., 46 WaishaRoad,
JiaojiangDistrict, Taizhou City, Zhejiang Province.
FDA在2015年3月2-7日检查了你们在浙江的XXXXX(台州的工厂)的生产场所。
We identifiedsignificant deviations from current good manufacturing practice (CGMP) for the
manufacture ofactive pharmaceutical ingredients (API).
我们确认你们的原料药(API)的生产非常严重的违反了 CGMP的要求。
These deviationscause your drugs to be adulterated within the meaning of Section 501(a)(2)(B)of
the FederalFood, Drug, and Cosmetic Act (FD&C Act), 21 U.S.C. 351(a)(2)(B), in thatthe methods
used in, or thefacilities or controls used for, their manufacture, processing, packing, orholding do
not conform to,or are not operated or administered in conformity with, CGMP.
根据联邦食品药品和化妆品法案 21 U.S.C. 351(a)(2)(B)第 501(a)(2)(B)条,你们的
生产、加工、包装或存贮所用方法、设施或检测不符合CGMP,
这些违规行为导致你们的药品被认为是掺入了次品。
解读:开头我们可以看到这封警告信是直接写给了海正的最高管理层,现任浙江海正药业有限公司董事长兼总裁,也就是白骅。老美为啥这么直接呢?一点都不给老总面子呢?因为根据联邦21 CFR part820 The Quality System Regulations, 老美认为药企的验证与合规是一个至上而下的过程,没有任何一个验证合规或者质量流程能够在没有最高管理层支持下真正执行生效。因为作为质量体系一部分的验证与合规工作是一份耗时费力,需要组织内各个部门的人共同参与才能完成,没有最高管理层的支持是不可想象的;话又说回来,保证药品的质量就是最高管理层工作的一部分。所以FDA一开头就是来了个Dear Mr. Bai。
但是,这一点并不是要求企业的老总详细的了解验证与合规的具体细节,而是需要理解验证与合规的基本概念从而给予支持;同时也要求质量部门能够让最高管理层理解质量层面的需求、基本的概念、基本的流程,进而在验证和合规方面得到管理层有力的支持。
We have reviewed your March 27, 2015 response in detail and acknowledge receipt of subsequent responses.
Our investigators observed specific deviations during the inspection, including, but not limited to, the following.
我们已经看了你们在 2015年 3月 27日的回复,还有后续的一些回复。
我们的调查员在检查中发现了一些问题,包括但不仅限于以下。
1. Failure to prevent unauthorized access or changes to data, and to provide adequate controls to prevent manipulation and omission of data.
未能防止不经授权访问或更改数据,未能提供有效的控制以防止数据被篡改及数据丢失。
During the inspection, FDA investigators discovered a lack of basic laboratory controls to prevent changes to your firm’s electronically stored data and paper records. Your firm relied on incomplete records to evaluate the quality of your drugs and to determine whether your drugs conformed with established specifications and standards.
Our investigators found that your firm routinely re-tested samples without justification and deleted analytical data. We observed systemic data manipulation across your facility, including actions taken by multiple analysts, on multiple pieces of testing equipment, and for multiple drugs. You are responsible for determining the causes of these deviations, for preventing recurrence, and for preventing other deviations from CGMP.
在检查中,FDA调查人员发现缺失了最基本的化验室控制,无法防止对贵公司电子记录和纸质记录的更改。贵公司依赖于不完整的记录来评估你们药品是否符合既定的规格和标准。
我们的调查人员发现贵公司经常对样品进行复试,而没有相关论证,并且将分析数据进行了删除。我 们在你们整个工厂都发现有数据造假现象,包括多个化验员在多种药品多个检测设备上所做的事情。贵公司有责任确定这些问题的原因,以防止同样问题再次发生,以及防止其它偏离 CGMP的问题发生。
解读:海正轰然倒在数据完整性这道门槛上。关于数据完整性的论述,有兴趣的读者可以在微信号“查看历史记录”中找到我的另一篇文章“从MHRA指南小议ERP项目中数据完整性的实现”。本文中涉及的是数据完整性的又一个方面那就是“用户权限”问题。
从上文中我们可以看出FDA措辞之严厉,“lack of basic",带着鄙视的目光看着你,中文的意思是说连这个你也做不到?!
我不认为海正故意要把自己的IT系统的权限管理变得一团糟。现实中的情况往往是质量认为是IT系统权限管理是IT部门的事情,但是IT部门又不懂质量,只能是用户要什么权限,也不知道是否符合质量要求就给了权限,用户又是从效率角度出发,为了尽快完成工作,肯定是权限越大越爽。这也是国内对于计算机化系统验证和数据完整性所面临的最大的问题,质量管理的不理解IT技术手段,IT人员听不懂质量。所以CSV要解决的最大的问题之一就是CSV体系的建立和理念的普及。
CSV就是要把质量部门拉入到IT系统建设和维护的过程中,把质量因素融入到IT系统的功能和流程中,形成业务、质量和IT三权分立互相制约的关系。例如国外有些公司成立合规委员会或者Part 11 Committee来作为协调三者关系的最高常设机构。
这也就是本微信公众号的自我介绍中总结的两句话:
本微信公众号的自我介绍 | 带来的意义 |
1. 解读IT合规及计算机化系统验证(CSV); | 理念的普及 |
2. 构建可落地实施的计算机化系统验证CSV体系。 | 体系的建立 |
其次,从计算机化系统验证(CSV)的项目实施过程的角度来解读。我们以著名的“高富帅”SAP系统(SAP:四类软件、德国货、功能复杂、贵)实施过程作为参考,如何在GAMP5所提到的计算机化系统的生命周期活动中保证权限的合规问题。
SAP项目实施过程中的活动 | 数据完整性中权限控制应关注点 |
业务流程图(业务流程梳理+BPR) | 流程中岗位职责的梳理和明确(特别是与质量息息相关的岗位) |
用户需求说明 (URS) | 根据数据完整性的ALCOA原则,在用户需求中考虑权限方面风险,例如:非授权访问、无意中的修改、数据丢失或者损坏;系统设计中检查访问关键敏感数据的权限,更改时候的提示等。 |
功能说明 (FS) | 根据URS中的需求点,设计系统权限: |
风险评估 (DQ) | 根据相关法规ICH Q9、Part11、MHRA,对于计算机化系统的权限的风险点进行评估,触发对系统设计的进一步循环优化。 |
集成测试和用户接受测试 (OQ 、PQ) | 结合流程和风险评估的结果对设定好的系统权限进行测试,对高风险权限(GxP相关权限)进行挑战测试; |
安装确认 (IQ) | 对于用户SAP GUI安装时候,对于每个用户的权限进行测试,对于关键权限进行挑战测试; |
用户培训 | 结合岗位对用户进行培训,建立相关权限意识; |
管理规程和相关SOP的建立 | 1. 权限管理策略和计算机化系统操作权限管理SOP 岗位权限授予、离职时候收回、密码、人员权限清单、系统超级用户等等; 2. 当采用Hybrid的(纸质和电子结合)方式时候,由于只能靠SOP来管理纸质文档(例如:哪些文档是纸质,哪些文档是电子为准) 3. 严格权限变更流程,并把质量人员引入这一流程中,兼顾业务的效率同时保证质量因素在权限中的贯彻,在运行周期内保持系统的合规状态。 |
FDA在今年的4月份刚刚发布了一份关于数据完整性与合规的指南(草稿),用18个问题应答的方式解释了业内关注的话题(希望有时间能够和大家解析下这份文档中关于计算机化系统验证CSV的问题)。其中在第4个、第5个问题中提到了权限问题,除了一些关于严格管控系统变更流程的老生常谈的陈词滥调之外,FDA强调了用户权限列表的重要性和系统超级用户的管理。
后记:
未来欧盟和美国对现场检查的力度一定会继续加大,如果国内药企还停留在应付CFDA检查的模式中,没有按照的国际认可的规范制度来建设自己的质量管理体系,不能让人理解到企业对于药品质量的关注,特别是涉嫌数据造假,也就是数据完整性问题,其后续影响将会更大,FDA的warning letter像高悬的达摩克利斯之剑谁都可以看到,而且被全世界当成样本。例如很快就产生的连锁反应,在海正药业去年收到483 form之后,2015年6月16日,加拿大卫生部要求暂时隔离所有使用浙江海正药业有限公司API产品。
消息来源:松涛
免责声明:编辑对上述内容,对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。仅供参考,并请各位自行承担相应的责任与风险。