中文-PDA TR84 数据完整性

84号技术报告

将数据完整性要求集成到制造

和包装操作中

将数据完整性要求集成到制造和包装操作中

作者

埃尔斯波夫，默克（主席）

詹姆斯•库里，TevaPharmaceuticals博士

约翰•格雷斯，诺华博士

安妮•佩里科内，强生公司

苏珊•施尼普，合规联合公司。

纳德•沙菲伊，赛诺菲博士

罗纳德•特兹拉夫，Parexel咨询博士

安东尼•沃楚特，ACW'archutGMP咨询

贡献者

杰弗里•布罗德福特，紧急生物解决方案公司。

德里克•格洛弗，迈兰

玛丽安•格里宾，Faith&Royale咨询公司

蒂娜・莫里斯，美国制药科学家协会博士

丽贝卡•帕里拉，U、美国食品和药物管理局

卡梅洛•罗莎，PsyD,美国食品和药物管理局

阿尼尔・萨旺特，默克博士

克里斯托弗•斯莫利，博士，ValSource,LLC

集成数据完整性

要求进入

制造和包装操作

第84号技术报告

目录

1.0简介和范围...........1

1.1目的1

1.2范围

2.0术语表和缩写........2

2.1缩略语5

3.0国际数据完整性趋势

药品制造商

3.1历史展望6

3.2监管指南10

3.3行业最佳实践10

4.0应用质量风险管理

数据完整性4.1评估风险时的考虑事项11

4.2数据完整性风险管理模型.....13

4.3数据脆弱性（9盒）...........15

4.4使用数据漏洞网格..........17

4.5数据处理流程图19

5.0数据完整性控制21

5.1对照品的潜在差异225.2用于确定

差异化控制23

5.3差异化数据完整性控制领域...25

6.0大数据相关控制

数据完整性

7.0参考文献39

8.0附录I：示例汝口何使用

9盒漏洞网格............40

8.1API工艺实例40

8.2成品剂型示例..........46

8.3无菌保证示例..........50

8.4片剂包装工艺实例........54

8.5附录I参考文献57

图5.2-1用于确定

差异化控制..........23

表5.2-1不同级别的类别

数据完整性控制包括

根据重要性可接受....24

表5.3.1-1数据完整性控制网格

已完成的存储和访问

和存档的纸质记录.....26

表5.3.2-1数据完整性控制网格

发行和调节

纸质记录27

表-1数据完整性控制网格

手动时的数据准确性

无受控录音

第二种格式............28

表-1数据完整性控制网格

手动抄写时的准确性

将数据记录到电子

系统29

表-1数据完整性控制网格

真实副本（纸质到电子版）......30

表5.3.4-1访问的数据完整性控制网格

电子系统控制.........31

表-1ATRA最终得分和频率

回顾33

表-1ATRA工具的使用示例

对过滤器完整性测试仪进行评分………35

图表索引

图3.1.1-1食品和药物管理局警告信-

按受检地点国家列出的与生

产活动有关的DI问

题............7

图3.1.1-2按产品类型列举生产活动的

警告信的发生率

（原料药与成品药）・・・・・・8

图3.1.2-1欧盟不合规报告-DI........8

表3.1.3-1FDA列举的生产操作中的数

据完整性问题示例

和欧盟9

表人为因素矩阵.........12

图4.2-1数据完整性风险管理

型号.....14

表4.2.1-1数据关键性分类.........15

表4.2.2-1数据控制水

平.51

表4.3-1数据漏洞网格（9-Box）-数

据管理示例

技术控制16

表4.4-1数据完整性的潜在领域

脆弱性18

图451-1案例1：造粒操作（基于纸

的手动过程，无自动警

报）...21

图4.5.1-2案例二：造粒操作

（PLC控制过程

自动警

报）............21

表8.2-3临界度：低湿度

药物筛选过程中的监控

物质....49

图8.3-1无菌简化图示

灌装工艺50

表8.3-1示例7：高临界-过滤器

填充点的完整性测试

（使用后）51

表8.3-2例8：中等关键性-

过滤器完整性测试

填充（使用前-灭菌

后）......52

表8.341觑掘完照眼兼制网格

灌眼黄脱遂统能橘饿验证

存储弱量预•灭菌）....33

题8.3?1.1-1数嘱完整糠控制网格

表841例及以制碟报告和

契键性?片剂包装….…55

表-1数据完整性网格控制

之间的转移和迁移

电子系统

表8.1-1示例1：高关键性API

反应控制杂质水平.......42

表8.1-2例2：中等关键性-

原料药干燥（LOD非

CQA）......43

表8.1-3例3：低临界-小分子原料药

在一个活动中逐批清洗设

备......45

8.2-1例4：高临界-湿度

药物筛选过程中的监测

物质47

表8.2-2例5：中等关键性-

筛分过程中的湿度监测

一种药物...........48

1.0简介和范围

数据完整性是建立和维护对确保产品质量和患者安全的数据可靠性的信心的基石。制造生产

和控制数据的可靠性取决于确保数据完整性的程序、系统、过程和控制措施。在生产中，这

些控制从数据创建点开始，并贯穿整个数据生命周期，包括数据的存储和稍后检索数据以支

持所生产产品的质量的能力。

术语“数据完整性”已经演变为表示数据完整性、一致性、持久性和可用性的程度（美国铝业

+）,以及在整个数据生命周期中为所有操作维护数据特性的程度。药品制造商需要确保相关

数据可用于记录和追溯发生的情况，数据可归因于执行活动和输入数据的人员，且数据不能

被删除、省略或以任何方式修改以歪曲发生的情况。所有违反数据完整性的行为，无论是有

意还是无意，都必须进行调查。

信息技术和过程中监测传感器的进步，加上较低的计算机内存成本和更好的处理器，导致了

电子数据生成、获取和存储的爆炸性增长。几十年前制定的数据完整性原则在某些情况下并

不可行，也不适用于所有数据。因此，从数据生命周期的角度考虑需求，使用基于风险的方

法对于开发健壮的数据完整性程序至关重要。基于风险的概念适用于从手动文档系统向全电

子或混合（手动和电子）系统过渡的行业。

本技术报告从制造操作的角度阐述数据完整性。它讨论了监管趋势、风险管理概念以及在适

用于纸质、电子和混合系统的制造操作中实施适当的数据完整性控制的建议。本技术报告中

的案例研究提供了如何评估当前数据完整性风险和实现此处所述概念的示例。

1.1目的

自动化和信息技术的持续快速发展，经济数据存储的可用性，以及电子审计跟踪能力优于纸

质记录，迫使制药行业重新考虑良好生产规范（GMP）控制。其后果之一是人们更加认识到

需要在药品生产过程的每个阶段建立和保持有效的数据完整性控制。虽然保持准确和完整数

据的要求得到了业界的广泛认可，但人们并不普遍了解的是，为了遵守GMP法规，在每一步

都需要进行数据完整性控制。许多公司在决定什么样的控制措施适合于每一个生产操作，以

及什么样的审查和验证水平是确保可靠的生产控制数据所必需的时候，仍然在苦苦挣扎。本

技术报告描述了一种使用质量风险管理（QRM）的方法，该方法基于数据的关键性和脆弱

性，为每个制造操作建立和评估数据完整性控制的适当性。

本技术报告由来自全球行业和监管机构的主题专家编写，总结了制造业数据完整性风险，并

确定了可用于开发和维护可靠文档以及数据完整性管理程序、系统、流程和控制的最佳实

践。采用这些做法将有助于用户遵守适用的法律、法规和医药产品指令，如活性药物成分

（API）、固体口服剂型、无菌注射剂、生物制剂和疫苗。

确保数据完整性是组织的责任。任何生产、加工、包装或持有成品药品、中间成分或原料药

的工厂的员工都有责任确保在整个生产过程中收集的数据准确可靠。管理人员、质量保证人

员、操作员、技术人员和支持人员都必须意识到维护和记录数据完整性对产品质量和安全的

重要性。

1.2范围

本技术报告中的信息适用于生产、加工、包装或保存成品药品、原料药或中间体的制药设施

的数据管理。具体来说，它处理与制造操作、材料、设施和设备、生产、包装和标签相关的

数据，包括过程控制和过程分析测试。它也适用于药品设施中使用的程序、系统、过程和控

制，以确保药物符合适用的法律、法规和指令，并且数据支持药物的特性、强度、质量和纯

度。

本文所述的方法和过程可应用于生产用于临床试验和商业销售的药物的设施。这些原则可以

扩展到从事其他活动（如向客户分销成品）或产品（如部件、原材料、医疗器械和组合产

品）的设施，尽管这些不是主要考虑因素。本技术报告不适用于临床实践和临床试验实施中

的数据完整性管理。实验室系统中的数据完整性管理在PDA技术报告第80号：制药实验室数

据完整性管理系统（1）中讨论，质量管理系统中的数据完整性管理将在未来的技术报告中讨

论。

2.0术语和缩略语

审计跟踪

美国食品药物管理局

一种安全的、计算机生成的、带有时间戳的电子记录，允许重建与创建、修改或删除电子

记录有关的事件过程（2）。

MHRA公司

元数据，包含与创建、修改或删除GXP记录相关的操作相关的信息。审计跟踪提供了对生

命周期细节的安全记录，例如记录中信息的创建、添加、删除或更改，无论是纸质还是电

子形式，而不会模糊或覆盖原始记录。审计跟踪有助于重建与记录有关的此类事件的历

史，而不管其媒介是什么，包括行动的“谁、什么、何时和为什么”（3）。

世界卫生组织

审计跟踪是一种元数据形式，包含与创建、修改或删除GXP记录相关的操作的信息。审

计跟踪提供了对生命周期细节的安全记录，如纸质或电子记录中信息的创建、添加、删除

或更改，而不会模糊或覆盖原始记录（4）。

审计跟踪审查评估（ATRA）

一种工具，可用于帮助确定应审查审计跟踪中的哪些要素，以及在需要进行审查的审计跟踪

的每个部分进行审查的频率。

美国铝业+

归属

应该能够识别执行记录任务的个人或计算机系统。需要记录执行任务/职能的人员，部分是

为了证明该职能是由经过培训的合格人员执行的。这也适用于对记录所做的更改：更正、

删除、更改等。

清晰的

所有记录必须清晰可辨-信息必须可读，以便它是任何用途。

这适用于所有需要被视为完整的信息，包括所有原始记录或条目。当电子数据的“动态”特

性（搜索、查询、趋势等的能力）对记录的内容和意义很重要时，使用合适的应用程序与

数据交互的能力对记录的“可用性”很重要。

同期的

行动、事件或决定的证据应在发生时予以记录。该文件应准确证明所做的工作或决定的内容

以及原因，即当时影响决定的因素。

原创

原始记录可以描述为信息的第一次捕获，无论是记录在纸上（静态）还是电子上（通常是动

态的，取决于系统的复杂性）。最初在动态状态中捕获的信息应在该状态下保持可用。

准确

通过健全的药品质量体系的许多要素来确保结果和记录的准确性。这可以包括：

-设备相关因素，如鉴定、校准、维护和计算机验证。

-控制行动和行为的政策和程序，包括验证遵守程序要求的数据审查程序

-偏差管理，包括根本原因分析、影响评估和

卡帕

-受过培训的合格人员，他们了解遵循既定程序并记录其行动和决定的重要性。

这些要素共同旨在确保信息的准确性，包括用于对产品质量做出关键决策的科学数据。

完成

在试图理解事件时，所有对重新创建事件至关重要的信息都很重要。信息集被视为完整所需

的详细程度取决于信息的重要性。电子生成的数据的完整记录包括相关的元数据。

一致的

良好的文件实践应适用于整个过程，无一例外，包括过程中可能出现的偏差。这包括捕获对

数据所做的所有更改。

持久的

它们必须以一种可能需要的方式保存完整的记录。这意味着它们需要在整个记录保留期内保

持完整，并作为不可擦除/持久的记录访问。

可用

在规定的保存期内，记录必须随时可供审查，所有负责审查的适用人员都可以以可读的格

式查阅，无论是日常发布决定、调查、趋势分析、年度报告、审计或检查（5）。

关键过程（CP）

影响所生产的中间体、原料药或药品的关键质量属性的过程，因此应建立可监测或控制的关

键工艺参数，以确保该工艺产生所需的质量。

关键工艺参数（CPP）

一种过程参数，其可变性对关键质量属性有影响，因此应加以监视或控制，以确保过程产生

所需的质量。

关键质量属性（CQA）

一种物理、化学、生物或微生物特性或特性，应在适当的限度、范围或分布范围内，以确保

所需的产品质量。

数据完整性

美国食品药物管理局

指数据的完整性、一致性和准确性。完整、一致和准确的数据应是可归因的、清晰的、同时

记录的、原件或真实副本，并且准确（美国铝业）（2）。

MHRA公司

数据完整、一致、准确、可信、可靠的程度，以及在整个数据生命周期中保持这些特征的

程度。应以安全的方式收集和保存数据，以使其具有归属性、易读性、同期记录、原件

（或真实副本）和准确性。确保数据完整性需要适当的质量和风险管理系统，包括遵守合

理的科学原则和良好的文档实践（3）。

世界卫生组织

数据完整、一致、准确、可信和可靠的程度，以及在整个数据生命周期中保持这些特征的

程度。应以安全的方式收集和保存数据，使其具有可归属性、易读性、同期记录、原件或

真实副本，且准确无误。遵守良好的风险管理原则，包括良好的管理制度（4）。

数据完整性控制

采取控制措施，将发生数据完整性问题的可能性降至最低，或者，如果确实发生了问题，则

采用控制措施来提高检测概率。

数据湖

以结构化方式保存大量原始数据（包括元数据）的存储库，这些数据以其本机格式保存，直

到需要时为止。

数据生命周期

MHRA公司

数据（包括原始数据）生命周期的所有阶段，从初始生成和记录到处理（包括转换或迁

移）、使用、数据保留、存档/检索和销毁（3）。

世界卫生组织

创建、处理、审查、分析和报告、传输、存储、检索和监控数据的过程的所有阶段，直至

报废或处置。应该有一个计划好的方法来评估、监控和管理数据以及这些数据的风险，以

与在数据生命周期的所有阶段对患者安全、产品质量和/或决策可靠性的潜在影响相称

（4）.

数据处理流程图

使用基线流程图并覆盖数据流的流程图。

数据漏洞

数据暴露于由于制造过程、数据捕获技术和人为因素或其组合的内在弱点而导致的数据完整

性故障的程度的指标。

可探测性

发现或确定危险的存在、存在或事实的能力。在本技术报告中，危险通常是数据完整性破

坏。

Gemba步行街

一种遍历和亲自观察过程的方法。

历史学家

一种数据库/软件程序，用于存档自动化和处理数据。

循环内存

一种存储容量有限的电子系统，当旧数据达到该容量时，它会覆盖旧数据。

缓解

为减少或限制已识别的风险而采取或采取的系统性措施。

同行评审

由与执行活动或捕获数据的人员具有相似责任级别的同事对数据的审查。

质量单位

有权履行某些药品质量体系职责的独立质量单位/结构（7）。

风险控制

实施风险管理决策的行动（8）。

真实副本

美国食品药物管理局

21CFR211.180（d）要求保留记录“可以是原始记录，也可以是真实副本，如影印件、缩微

胶片、缩微胶片或原始记录的其他精确复制品“（9）。电子副本可以用作纸质或电子记录的

真实副本，前提是副本保留了原始数据或原始数据的内容和含义，其中包括重建CGMP活

动所需的元数据以及原始记录的静态或动态性质（2）。

MHRA公司

原始记录的副本（不考虑所使用的媒体类型），该副本已经过验证（即，通过带日期的签名

或通过验证过程生成）具有与原始记录相同的信息，包括描述上下文、内容和结构的数据

（3）o

世界卫生组织

适当的格式（4）。数据

原始

2.1缩略语骂

的副

本，经核实和认证，以确认其为准确和完整的副本，保留了原始记录的全部内容和含义，在

电子数据的情况下，包括所有必要的元数据和原始记录

空气处理机组/暖通空调空气处理装置/加热装置,

通风和空调

美国铝业可归因的，易读的，同时代的，

原汁原味，准确无误

美国石油学会药物活性成分

阿皮克活性药物成分

委员会

四月年度产品回顾

楼宇管理系统楼宇管理系统

业务流程再造批处理记录

卡帕纠正措施、预防措施

成本加运费联邦法规

人物配对关系关键过程

欧洲复兴银行电子批记录

美国食品药物管理局U、美国食品和药物管理局

甘普良好自动化制造规范

GMP良好制造规范

GxP公司各领域良好实践质量指南

人机界面人机界面

脑出血国际协调会议

是/它信息安全/信息技术

ISPE公司国际制药工程学会

人工编码站制造执行系统

MHRA公司药品和保健品

监管机构

NCR公司不合规报告

国家气象局国家药品监督管理局（中国）

00S公司不符合规格

图片药品检验公约与药品检验合作计划

可编程逻辑控制器可编程逻辑控制器

质量管理体系质量管理体系

QRM公司质量风险管理

SID和GP俄罗斯国家毒品和药物研究所

良好做法

标准操作程序标准操作程序

热重分析澳大利亚治疗用品

管理

世界卫生组织世界卫生组织

WL型警告信

3.0国际药品制造商的数据完整性趋势

3.1历史视角

1963年，美国食品和药物管理局(FDA)发布了其现行的药品加工、包装或贮存的良好生产

规范(GMP)法规，并于1978年根据21CFR第211部分(10-11)对其进行了重大修订。从

那时起，美国食品药品监督管理局(FDA)对药品生产商进行GMP检查时发现的数据完整性

违规行为采取了行动。检测数据完整性问题和收集证据以确定违反GMP的行为需要独特的技

能集。这些技能集可以通过对现行良好文件编制实践的集中培训获得，包括用于记录GMP活

动、相关数据和人类行为的技术或其不足。

使用一致、结构化的方法和法医技术评估数据完整性程序、过程、系统和控制并不总是FDA

检查的主要重点。周期性地，异常和不道德事件的检测导致FDA加倍努力，并将注意力重新

集中在数据完整性方面的失误上。例如，在20世纪80年代末和90年代初，FDA发现了大量

美国仿制药制造商(以及一些创新者公司)的数据完整性违规行为，后来被称为“仿制药丑

闻”。FDA发现了生产和控制记录的广泛伪造，并发现许多缩写为新药申请中含有伪造数据和

其他严重的数据完整性违规行为。该行业和FDA的一些个人受到刑事起诉，这一丑闻促使

FDA在1990年制定了一项批准前检查计划(12),至今仍然有效。该计划要求FDA成功地

进行预批准检查，作为批准药物和生物制剂的一个条件；随后，其他主要卫生当局也建立了

类似的预批准检查计划。然后，在1997年，FDA在21CFR第11部分(13)中颁布了一项与

计算机系统电子记录和数字数据签名相关的法规。

这些发展也影响了行业惯例。国际制药工业协会（PDA）和GAME会议（如PDA）成为行业

最佳实践指南（ISP）。制药专业人员的数据完整性意识和专业知识有所提高，FDA在对国内

外制药企业进行GMP检查时报告的数据完整性问题的发生率有所下降。然而，严重违反数据

完整性的行为仍然导致制裁。

从20世纪90年代末开始，互联网的出现和信息技术的发展推动了药品供应链的全球化。这种

快速扩张引发了监管机构对数据完整性的担忧。2007年，FDA报告称，在最近就这一主题进

行检查的10家公司中，有3家发现了令人不快的数据完整性问题（14家）。在接下来的几年

里，FDA再次将注意力集中在数据完整性实践上。从那时起，FDA已经在发给20多个国家的

200多封警告信中引用了数据完整性。

自2012年以来，FDA、欧洲药品管理局（EMA）、药品和保健品管理局（MHRA）、世界卫

生组织（WH。）和其他卫生机构的检查显示，全球原料药和成品药国际制造商的数据完整性

问题发生率显著增加。近年来发现的数据完整性缺失的普遍性和重要性，使得监管机构在检

查过程中将数据完整性作为首要关注点，监管机构发现数据完整性缺失的频率越来越高。药

品监管机构继续发现损害数据完整性的条件和做法，其中包括人为错误、管理监督不充分、

员工培训不足、系统故障、系统资格或配置不当、程序不完善或不遵守程序以及故意伪造。

3.1.1美国FDA警告信

从2012年2月到2019年8月中旬，FDA发布了大约393封FDA警告信（WLs）,共有212

封引用了数据完整性相关的引文，占WLs的一半以上（53%）（图3.1.1-1）。在212份包含

与数据完整性问题相关的引用的WLs中，96份（45%）与生产运营相关（图3.1.1-2）,116

份（55%）与实验室和质量运营有关。关于数据完整性的WLs中，约36%的引用是针对原料

药生产设施（96个中的35个），约60%涉及成品药生产场所（96个中的58个），约3%包

括原料药和成品药生产场所（96个中的3个）。

美国食品和药物管理局在最近的警告信中引用了制造业操作中有问题的数据完整性做法。例

如，2019年7月发布的一封警告信指出，批量记录通常包括工艺参数内的手写值，而压缩机

的可编程逻辑控制器（PLC）记录的值经常超出既定工艺参数（15）。2019年12月发布的第

二个例子列举了人机界面（HMI）数据与操作员在批次记录中的输入之间存在多个差异

（16）。

图3.1.1-1食品和药物管理局警告信一一按受检地点所在国列出的与生产活动有关的DI问题

图3.1.1-2按产品类型列举生产活动的警告信的发生率（原料药与成品）

药品）

3.1.2欧盟不合规报告（NCR）

对2012年1月至2018年8月期间约163份欧盟不合规报告（NCR）的审查发现，163份不合

规报告中有82份（50%）包含数据完整性相关观察结果的引用（图3.121）。对82份包含数

据完整性引用的NCR进行审查发现，约46%的NCR涉及生产系统中的某种伪造问题，22%的

NCR涉及实验室系统中的伪造问题，32%的NCR涉及与生产和实验室系统相关的伪造相关实

践。

图3.1.2-1欧盟不合规报告-按受检地点国家列出的DI引用

3.1.3按类别划分的生产相关数据完整性趋势

2012年至2019年间，对FDAWLs和欧盟NCR中的数据完整性引文进行了审查，发现影响制

造过程的引文往往分为四大主题：不良文件记录实践、数据审查不足、监督不力和系统控制

无效。

表3.1.3-1中的数据基于FDA和欧盟检查员在2012年2月至2019年8月期间对生产作业质量管

理体系进行检查时的观察结果。FDA和欧盟2012-2019年引用的生产运营数据完整性问题示例

表3.1.3-1

生产操作中引用的数据完整性问题示例类别

伪造/编造记录（例如，目视检查数据、清洁验证记录、批次记录、年度产品错误的条目

审查、手套完整性测试）

虚假或误导性陈述（向FDA调查人员讲述了混合失败和合格原料药批次的做虚假陈述

法）

延迟、拒绝、限制或拒绝检查（不允许进入设施、记录、文件或责任延迟/拒绝/限制/

人，干扰调查员完成检查的能力，例如隐藏与制造相关的信息拒绝检查

当食品和药品管理局对内容物提出质疑时，记录或倾倒未标记的小瓶）

计算机访问控制（用于对生产数据进行计算和统计评估的无保护电子表计算机访问控制

格；共享登录凭证，不允许使用共享登录将特定操作链接到特定操作员来

识别特定人员；多人共享密码，以访问每个单独的设备和访问级别；控制

不足，无法确保主生产和控制记录或其他记录的更改仅由授权人员进行）

缺少同期数据项（预先注明日期和倒签日期的批记录；由未执行活动的人员同期数据项

签署的批记录；用于记录过程中质量数据的非受控电子表格，这些数据随后

被转录并回溯到生产记录中；与录像记录不符的清洁记录；批量生产数据输

入到“模拟表"中，以备日后转录到回溯日期的正式记录中）

无法解释的数据差异（生产设备贴上清洁标签，但被发现是脏的；批次记录数据

缺少关键信息和签名；生产过程中错误计算和使用不正确数量的原材料；质差异

量缺陷数量不准确；空气处理机组/暖通空调过滤器清洗记录，条目不一致）

批量数据可追溯性（可编程逻辑控制器（PLC）和具有共享登录凭证的制造设数据可追溯性

备，不允许使用共享登录识别特定人员）

数据已删除、销毁或丢失/不可用（例如，批生产记录、清洁记录、卫生数据已删除/

处理记录、年度产品审查、变更控制、过滤器完整性测试、介质填充数摧毁/

据、灭菌器数据、过程中重量检查、产量计算、未记录偏差）不可用的

审核跟踪不可用/已禁用（缺乏对访问每个可编程逻辑控制器和人机界面设备审计跟踪

（设备运行参数）的文件的审计跟踪；禁用不可用粒子监测系统的电子审计

跟踪功能）

不准确/不完整的数据或记录（批次记录中的输入不准确；活性成分/原材料不准确/

的数量不正确；介质填充记录不准确；CAPA和APR输入不准确）不完整

记录

难以辨认的数据条目（用铅笔记录数据更改的批记录）易读性

非正式记录（使用非正式记录/粗略笔记/散页）非正式记录

3.2监管指南

产品生命周期中的数据完整性一直是全球监管机构关注的问题。在过去的40多年里，多个全

球GxP法规，如FDA1978年的非临床实验室研究良好实验室规范（17）,都包含了要求，表

明数据需要是可归因的、易读的、同期的、原始的和准确的（美国铝业）。最近，检测到的

数据完整性问题死灰复燃，促使监管部门发布了一系列强调数据完整性重要性的指导文件。

FDA、MHRA、WH。、药品检验公约和药品检验公约合作计-划（PIC/S）＞中国国家医药产品

管理局（NMPA）、澳大利亚治疗品管理局（TGA）和俄罗斯国家药品和良好实践研究所

（SID&GP）都发布了文件，提供了当前考虑与数据完整性概念和期望相关的监管机构，包

括：

•MHRA:GxP数据完整性指南和定义（2018年3月）（3）

•FDA：数据完整性和符合药品CGMP问答指南（2018年12月）（2）

•世卫组织：《良好数据和记录管理做法指南》，世卫组织技术报告系列，第996号，附件5

（2016年）（4）

•世卫组织：色谱分析良好做法，征求意见稿（2019年7月）（18）

•PIC/S：PIC/S指南草案：受监管GMP/GDP环境中数据管理和完整性的良好实践（2018年

11月）（5）

•NMPA：药物数据管理标准草案（2016年10月）（19）

•TGA：数据管理和数据完整性（DMDI）网页（2017年4月）（20）

•S1D&GP：指南：计算机化系统的数据完整性和验证（2018年8月）（21）

3.3行业最佳实践

包括PDA、ISPE和活性药物成分委员会（APIC）在内的多个协会也发布了与数据完整性相关

的最佳实践文件：

•PDA：数据完整性行为准则要素（2016年2月）（22）

•PDA：第80号技术报告：制药实验室数据完整性管理系统（2018年8月）（1）

•ISPE：记录和数据完整性指南（2017年3月）（23）

•ISPE：良好实践指南：数据完整性-关键概念、GAMP记录和数据完整性（2018年10月）

（24）

•ISPE：良好实践指南：数据完整性-制造记录（2019年4月）

•APIC：基于风险的数据完整性管理实用指南（2019年3月）（25）

4.0应用于数据完整性的质量风险管理

QRM的原则适用于数据生命周期，包括数据的捕获、记录、转录、归档和其他方面的管理。

本节使用示例来描述某些元素如何对制药和生物制药数据的完整性构成风险。

无论是使用手动系统还是自动电子系统管理数据，都应控制风险。任何与数据完整性相关的

潜在违规行为，尤其是数据的丢失、遗漏、删除或更改，都必须在质量体系中进行调查、处

理和说明，并在必要时反映在风险管理文件中。鉴于数据可以在不同的格式或系统之间进行

管理和/或传输，应努力减轻这些传输过程中对数据完整性的风险。因此，当行业从纸质系统

过渡到混合系统（手动和电子系统）并最终过渡到全电子系统时，这些概念的明智应用和数

据完整性原则的有针对性的应用是有保证的。在电子系统之间传输数据的过程中，还应解决

数据完整性风险。

PDA第54号系列技术报告更广泛地描述了QRM,包括如何进行适当的风险评估和制定缓解

策略，以减少已识别的风险。有关QRM的一般信息和其他重要要素，如风险沟通，请参阅

TR54系列和ICH质量指南Q9：质量风险管理（8,26）。

4.1风险评估的考虑因素

在实施任何新的数据管理系统时，应积极主动地进行风险评估，并应通过总体变更控制加以

捕获。在流程的这个阶段，风险评估可以作为预防措施，以确保在整个系统生命周期中保持

数据的完整性。在对现有数据管理系统进行评估时，评估应根据现有的控制水平和数据对其

预期用途的重要性来识别潜在的数据漏洞。

组织还应考虑在偏差或事故发生后进行风险评估，以确定数据管理系统中的潜在差距。数据

完整性风险评估还应与数据管理系统的变更管理过程结合进行，以避免产生新的或额外的风

险。这将有助于就问题的程度和潜在影响作出知情的决策。此评估的主要目标是确定根本原

因是否与数据管理中的差距有关，如果是，则确定差距的程度以及对数据的影响。

数据完整性控制应该从行为和技术的角度来考虑。从行为学的角度来看，包括沟通和培训在

内的整体质量文化与数据完整性计划的有效性密切相关。

4.1.1在评估风险时考虑人为因素

在检查对数据完整性构成风险的要素时，考虑人类行为的影响时，需要检查两类行为：无意

行为和故意行为（见表4.1.1-1）：

表4.1.1-1人为因素矩阵

无意行为故意行为

程序漏洞欺诈

规则中的漏洞导致的错误，这些漏洞说明了由于恶意意图导致的违规行为，以及由于执行欺诈

行为（如伪造）而导致的违规行为

例如，缺乏或不充分的标准数据以谋取私利或避免个人操作程序（SOP）的痛苦

知识差距

由于知识差距导致的错误，如缺乏或培训不足

注意力缺失不当行为

由于采取错误的行动而导致的错误，由于优先权错位而故意忽略程序或控制

例如，注意力不集中或频繁执行的行措施而导致的违规行为，例如，忽略既

动出错、多任务或激进的截止日期定的控制措施以补偿攻击性目标或时间

内存故障压力

由于不采取行动而导致的错误，例

如，由于忘记了它在序列中的位置而

未能执行例行任务

一类是无意行为。风险可能会以各种方式无意中引入。非故意行为的形式可能是注意力不集

中或记忆丧失导致的“行为错误”，或是管理程序（知道什么或谁）或知识（知道如何）上的

差距导致的“思维错误”。例如，数字可能在条目中颠倒，或者由于注意力不集中而输入错误

的位置。条形码可能被错误地应用于带入加工室的物料，并且在操作员意识到这些物料是用

于不同批次之前，操作就开始了。另一个例子可能是，一个操作员安装设备，认为它将用于

一种产品，但另一种产品被带入并加工。

应制定适当的程序，以便在此类无意行为产生的数据出现任何不当处理或误用的情况下，要

求进行书面调查。调查应确定根本原因，确定偏差的影响和严重程度，并分配适当的CAPA。

如果怀疑人为错误或确定人为错误为原因，则应证明这是合理的，并注意确保没有忽视基于

流程、程序或系统的错误或问题（如果存在）。

另一类是故意行为。风险可能通过不当行为、由于优先级错位而未能遵循既定程序和控制措

施或恶意行为而故意引入风险。例如，为了个人利益或避免与犯错误相关的个人后果，员工

可以通过创建虚假条目来掩盖错误，以显示所期望的活动或结果已经发生。在一个不当行为

场景中，操作员没有注意到混合或混合操作，允许其运行时间超过验证时间，但输入了所需

范围内的值。另一个例子可能是一个过度劳累的操作员，他正在努力跟上生产进度，为了赶

上进度，他用新样品的批号重新打印了最后一个可接受的过程中测试结果。确定故意或恶意

行为的原因并不总是可能的。

当确定数据完整性事件时，最重要的信息是什么（事件和系统受影响）、何时（时间表）、

谁（涉及人员）、原因（导致事件发生的差距）、如何（细节、对事件发生的逐步解释），

哪里（系统受影响）和影响（产品质量和患者安全）。这些要素对于确定市场行动的必要性

至关重要，并最终导致实施纠正措施，这将有助于缓解数据完整性问题的再次发生。

在数据完整性受到意外风险的情况下，遵循本节所述的风险评估流程就足够了。如果房间里

有“合适”的人，无论是操作员、技术人员、机械师、程序员和/或主管，风险评估可能会确定

数据采集和记录中可能发生事故的区域。风险评估的目的是确定意外错误发生的概率。

当数据完整性风险是故意行为的结果时，需要进行全面调查。故意操纵数据很难被发现，可

能需要使用法医检测技术。风险评估过程可能会发现一些故意行为发生的情况，但要确保在

风险评估期间提供此类信息不会产生任何影响，就需要大量的信任。

4.1.2风险控制策略

必须确定和记录对数据的潜在影响，并且在风险评估之后，必须确定缓解措施以降低风险。

对于已被确定为发生概率高、对产品质量或患者安全有重大影响的风险，需要实施平衡的风

险控制策略。了解制造过程和数据生命周期过程对于制定成功的风险控制策略至关重要。

尽管自动化并不是解决所有问题的方法，但作为风险控制策略的一部分，它可以成为一种有

用的工具。智能条形码可用于确认产品和组件的身份，并可阻止进程继续，直到错误被重新

检查和更正。长期使用第二人检查或主管审查也很重要，只要及时。通常情况下，监督审查

在事件发生后进行的时间过长，无法确认事件是否按记录发生。随着数字时代的进一步发

展，电子自动化将在实施和适当鉴定时取代此类审查。

4.2数据完整性风险管理模型

所有数据，无论是电子记录还是纸质记录，都需要风险管理方法来确定哪些控制措施对确保

数据完整性很重要。

为了估计潜在数据完整性问题的暴露程度，必须考虑以下因素，如图421所示：

•数据关键性

•当前（现有）数据控制水平，包括：

-数据管理-如何记录数据（手动或自动）

-人为因素-制造过程中涉及的人为干预量（手动或自动）

-GMP流程-包括书面程序、培训、验证等。

因此，数据的关键性和当前的数据控制水平可以帮助识别数据漏洞的风险。数据脆弱性可以

表明由于控制三个关键要素的内在弱点而暴露在数据完整性问题中的程度：数据捕获技术

（数据管理）、人为因素、制造过程，或这三者的结合。

图4.2-1本模型的技术部分还进一步说明了风险管理的关键要素。

4.2.1数据关键性分类

数据关键性是特定数据与产品质量之间关系的函数。它基于在整个产品生命周期中从过程开

发、验证和质量过程中获得的产品知识，并通过一组相关问题将数据关键性分为高、中或低

（见表4.2.1-1）。w

与制造相关的所有数据都是关键的，因为有必要对实际事件进行重构；但是，由于数据的使

用和生成数据的控制，关键性级别可能会有所不同。与产品质量（或支持处置决策）和患者

安全相关的数据通常被归类为高关键性。关键质量属性（CQA）和关键工艺参数（CPP）将被

归类为高关键性。与过程稳健性和一致性相关的数据将被视为中等关键性。过程稳健性在第

54号PDA技术报告和TR54系列（26）的其他技术报告中进行了详细讨论。与两者都不相关

的数据将被视为一般GMP和低关键性。

数据关键性是对数据点或数据集在支持所生产产品的安全性、质量、特性、纯度、效力和/或

有效性方面的重要性的度量。制造商可以最好地确定由其自身过程生成的数据的关键性，因

为它知道所制造产品的质量目标产品简介、CQAs、关键过程和cpp（27）o这一概念也适用

于临床试验制造。虽然cpp和CQAs在这种情况下可能无法完全建立，但应提供初始信息，以

确定制造过程和现有控制的关键方面。

表421-1数据关键性分类

数据关键性定义

当数据的预期用途直接影响产品质量和/或产品安全时：

•产品质量监控和过程控制，这些过程可能导致制造、发布或分销过程中的变化，

影响关键质量属性、关键材料属性、关键工艺参数或关键过程控制，包括可能

高与产品注册档案相关的文件（如适用）

•产品安全监控和过程控制，确保有效管理现场警报、召回、投诉或不良事件

当数据的预期用途与质量属性、材料属性、工艺参数、关键工艺参数或工艺控制

有关时，这些参数不是CQA/关键过程（CPs）/CPP,可能也可能不在产品注册档案

中等中；这包括"可能不直接”的制造工艺参数与关键产品质量属性相关，但需要严格控

制以确保过程一致性”（28）

当数据的预期用途是提供与不属于高或中等类别的过程的监测和控制有关的GMP

低

合规性证据时

4.2.2数据控制级别

必须进行评估，以确定现有的数据控制水平（表422-1）。高级数据控制是指在整个数据生命

周期中与经过验证的自动化流程和最少的人为干预相关联的控制，而低级数据控制是指在整

个数据生命周期中涉及高度人为干预的手动流程的控制。第5.0节提供了一些适合活动重要性

的高、中、低级别数据控制示例。

表4.2.2-1数据控制级别

控制水平定义/示例

高度有效的过程自动化；电子数据生命周期（例如，捕获、分析、报告）；最少

的人工干预

混合一些手动过程；半自动数据生命周期过程；部分或缺乏系统接口

中等

手动数据生命周期（例如，捕获、转录、第二人见证）；手动过程测量和测试；

低

高度人工干预的手动过程

4.3数据漏洞（9盒）

数据脆弱性是指由于数据管理技术、人为因素、GMP制造过程或其组合的内在弱点而暴露于

数据完整性问题的程度。

要确定所收集数据的漏洞，用户首先必须评估数据的关键性级别和现有的数据控制级别。使

用表421-1和表4.221中的定义,将每一项评估为高、中或低。

随后，可以通过将数据关键性级别与数据控制级别映射来创建9框网格。9框网格有助于可视

化数据关键性和数据控制如何相互作用，以对风险等级进行排序。数据的重要性将决定漏洞

网格的行，而与数据相关联的控制级别将决定适当的列。⑷

如表4.3-1所示，该网格包括9个数据关键性和数据控制级别的独特组合（对），可分为四个

不同的类别：

•严重的数据脆弱性-对于高关键性数据，数据控制级别较低。红色：

•中度数据漏洞-控制级别与数据的重要性不相称。橙色：

•可接受的数据漏洞控制级别与数据的关键性相称。绿色：

•可忽略的数据脆弱性-可能有比最低要求更多的控制措施；这仅适用于非高关键性的数据。蓝

色：

目标是根据数据的关键性制定适当级别的控制措施，避免被置于红色或橙色的框中。因此，

缓解策略的目标是通过提高数据控制级别从右向左移动。在这项评估中，所有与GMP相关的

数据都是至关重要的，即使它与常规操作有关。

表4.3-1中的9框网格直观地描述了在当前数据管理控制水平和数据重要性的情况下数据的脆

弱性。9箱网格不为伪造数据提供任何机会或掩护。

表4.3-1仅描述与数据管理技术相关的数据控制。对于脆弱性的整体评估，与人为因素和GMP

过程相关的数据控制也应进行类似的评估。附录1提供了使用9盒网格的进一步说明，并附有

示例。

表4.3-1数据漏洞网格（9-Box）-数据管理技术控制示例

数据控制级别

高-中-低

（小时/小时）（小时/分钟）（高/低）

临界性临界性临界性

•影响质量和安全的CQA/CP/CPP•影响质量和安全的CQA/CP/CPP•影响质量和安全的CQA/CP/CPP

数据控制数据控制数据控制

•具备经验证和有效的自动化或混合数•混合系统或手动数据采集、有限的・手动数据采集，无自动数据分析，

据采集和分析系统自动数据分析、手动数据转录手动数据转录，严重依赖第二人见

证数据输入

（米/小时）（米/米）（米/升）

临界性临界性临界性

•不是CQA/CP/CPP但需要严格控制的•不是CQA/CP/CPP但需要严格控制•不属于CQA/CP/CPP但需要严格控制

工艺和工艺参数的工艺和工艺参数的过程和过程参数

数据控制数据控制数据控制

•有效的自动化数据采集和分析系统•混合系统或手动数据采集、有限的•手动数据采集，无自动数据分析，手

•基于数据关键性可能需要更多的控制自动数据分析、手动数据转录动数据转录，严重依赖第二人见证

数据输入

（升/小时）（升/米）（升/升）

临界性临界性临界性

•GMP合规性数据，不属于高或中临•GMP合规性数据，不属于高或中等•GMP合规性数据，不属于高或中等

界状态临界临界

数据控制数据控制数据控制

•具备经验证和有效的自动化数据采•混合系统或手动数据采集、有限的・手动数据采集，无自动数据分析，

集和分析系统自动数据分析、手动数据转录手动数据转录，严重依赖第二人见

•基于数据关键性，可能需要更多的•基于数据关键性，可能需要更多的证数据输入

控制控制

4.4使用数据漏洞网格

如图421流程图所示，数据漏洞网格（9框）不会提供一个公司数据漏洞的总体分类，但提

供了一个用于涉及GMP数据的每个流程和子流程的工具。9-Box是一种整体方法，允许用户

使用内部数据关键性和数据控制评估对其当前制造过程和数据生命周期过程中的数据风险进

行分类。公司可以利用以前的风险评估和数据流图中捕获的信息来提供有关制造过程、数据

捕获方法、数据迁移、从生产到分析工具的数据传输以及归档的信息。9-Box也可以在实施新

的或修订的流程之前使用。评估结果只会与内部评估的完整性和客观性一样好。低估风险因

素和高估当前的数据完整性控制将降低结果的有效性。

9-Box还允许用户识别可用于降低制造过程中数据风险的控制措施。实现这些控制可以将数据

漏洞从高级别降低到较低级别（在网格中从右到左）。附录I中包含了在特定场景中实施9-

Box的示例。

本技术报告建议，作为第一步，选择产品并确定对该产品满足批准的规范和预期用途至关重

要的数据（见第421节）。产品的关键数据应作为产品开发过程的一部分进行识别，并包含

在相应的文件中。在识别出影响产品CQA的数据以及在其制造过程中至关重要的过程之后，

用户可以确定内部评估的优先级，识别风险因素，并对这些关键过程的数据脆弱性进行分

类。

由于影响数据脆弱性的三个主要因素数据管理技术、人为因素和GMP流程，下一步在评估被

评估操作的具体数据管理流程时，应考虑这三类因素。在完成对特定工艺或单元操作的分析

后，完成的信息可用于另一产品的相同工艺或单元操作，并适当考虑潜在差异。

对于数据管理，需要考虑数据的整个生命周期，以确定漏洞区域。这包括如何捕获数据（手

动/自动/混合系统）、收集频率、用于捕获数据的任何自动系统的验证、生产数据到数据分

析工具的迁移、数据转录和数据存档。在这里，同样可以利用以前评估的现有数据流图。

对于人为因素，需要考虑数据生命周期中的人为干预点，以确定数据脆弱性。由于人们容易

出错，严重依赖手动数据捕获和审查的流程被认为比自动化的流程更容易受到攻击。为了确

定当前过程的可靠性，评估应考虑与数据转录错误和良好文件实践应用不当有关的趋势。相

反，经过适当验证的自动数据收集将不太容易出错，而且更有可能产生高质量的数据。

对于GMP过程，应考虑正在评估的制造过程的复杂性和稳健性，以确定数据脆弱性的区域。

更复杂的过程可能会产生更大的数据量，这可能会增加影响数据脆弱性的因素的数量。评估

需要关注制造过程的各个方面，并根据具体情况对每个过程进行评估。一个新的制造过程已

经被证实是一个新的过程，它缺乏一个比最近建立的具有更高的鲁棒性的数据的过程。与变

更控制、不合规（OQS）结果、警报和校准外实例相关的趋势也可以说明为制造过程收集的

数据的脆弱性。一旦确定，应调查趋势，以确定其与数据漏洞的关系。

表4.4-1列出了与这三种风险类别相关的潜在脆弱性领域的其他示例。

表4.4-1数据完整性漏洞的潜在领域

类别考虑领域示例

数据管理技术

（考虑整个数据•数据转录

生命周期）

•基于预期用途的定期审查和变更管理频率

•混合系统（例如，纸质打印输出与相应电子记录之间的差异、数据复制）

•新的或复杂的制造技术（导致重复错误）

•覆盖现有电子数据

•系统验证期限

•与数据导出、计算、报告、传输、存档和检索有关的系统控制

•适当的访问级别

•数据完整性元素不足的技术，如唯一访问、审计跟踪、数据备份和恢复、

电子数据审查、日期和时间戳等（例如电子表格、LIM）

•电子原始数据与报告数据之间无法解释的差异

人为因素

•缺乏监督审查

•手动观察或测量（例如称重）

•重复人为错误（例如，由于多任务处理、人员流动率高、培训不足、时间

压力等原因）

•培训和程序（复杂、冗长、不清楚、不完整或难以获取的指示）

•不明确的角色定义或职责划分

•文化（恐惧、沮丧、意图、不可接受的当地文件做法）

GMP工艺

•中止运行（例如1,由于缺乏规划、不了解系统运行、设备和工艺的适用

性）

•复杂的过程（例如，许多接口、高水平的人为干预、高水平的手动数据输

入）

•未明确定义数据流和所有权