作为史上最成功的几款软件之一,MS Excel电子表格(后文简称Excel)由于其易用性和灵活性,被广泛应用于全球各行各业,成为最流行的个人计算机数据处理软件。虽然制药行业不算是Excel的最重度使用者,但从研发到生产,流通,从日常办公到实验室的业务处理,每个环节都可以看到Excel使用的身影。
但可惜的是,Excel毕竟是面向普罗大众的软件,并没有针对GxP合规要求专门设计,其本身具有一些固有的安全和审计跟踪缺陷。正是由于这些缺点,Excel在GxP领域内的应用一直是监管机构检查的重点。
最近20年,随着行业内各种专业软件的推出以及现有软件的完善,例如LIMS(实验室信息管理系统),CDS(色谱数据系统),ELN(电子实验记录系统),MES(生产执行系统),数据的存储和处理方式有了更多的选择。由此,为了减轻在Excel电子表格应用合规性上的压力,许多制药企业尝试在关键业务领域中逐步“替换”电子表格。由于需要替换的数量不小,加上替代系统也有很多潜在的合规问题需要解决,使得“替换”过程并不顺利。再者,专业软件只能处理其管理范围内的数据,在替换上有一定的局限性,即便是经历了几十年信息化建设的欧美大型药企,想要彻底杜绝Excel的使用也几无可能。Excel仍旧以其易用性和灵活性在药物研究与开发、生产、流通等各个环节扮演着独特的角色。那些早期在Excel应用上做出了诸多努力的企业,功夫并没有白费,通过Excel模板的设计和使用,能够帮助企业梳理自身的工作流程,清理各种基础数据,明确信息化的需求,从而为桌面工具向大型信息系统过渡打下了良好的基础,同时在一些重要环节成为这些信息系统的有益补充,一个将电子表格深入应用的企业在实施大型信息系统的成功率上绝对要远远超出那些连电子表格都用不好的企业。
虽然Excel的群众基础特别好,但群众使用Excel的基础却并不是很好(同样适用于word)。对于国内广大药企尤其是中小药企,能够把Excel以及Office中的其他软件用好,在管理水平和效率提升上就可以上一个大的台阶。不顾自身情况一味追求高大上的系统,盲目跟风,做不切实际的预期,其结果一定是费力不讨好,花钱不见疗效。
电子表格工具作为大型系统的简单替代方案,投入少,见效快,更新起来也容易,很适合应用于没有信息化基础的企业。然而,这种易用性、灵活性以及Excel在合规上的缺陷,导致在其开发、使用和管理过程中很容易产生问题。同时,Excel作为通用型软件,并未针对GxP合规要求进行专门设计,其本身具有一些固有的安全和审计跟踪缺陷。正是由于这些缺点,Excel在GxP领域内的应用一直是监管机构检查的重点。
按照对病人安全、产品质量及数据完整性的影响,分为如下3类:1. 高影响的包括用于原料检测、成品检测的电子表格,用于毒理学研究的表格,临床研究统计分析表格等。2. 中等影响的包括标签打印和分发数据记录表格,实验趋势分析表等。3. 低影响的如生产计划表,培训出席统计表等。因此,在充分了解Excel潜在风险的基础上,对其采用最佳实践的优化设计、验证和控制以确保其合规使用,已成为监管机构认可的主流做法。
同时,监管机构内部实验室仍然在大量使用电子表格。FDA所属上级机构HHS就制定了详细的Excel文档检查表,并自2012年初后公布在FDA官网上。这份检查文档的详细程度充分说明了HHS及FDA对Excel风险的充分认识和重视。
电子表格风险的来源:
风险场景1:模板使用不受控
由于电子表格的普及性,其应用和开发不仅有专业的IT人员,更有大量的业务部门人员参与。极端的混乱情况是每个人都设计自己的计算表格,从而导致计算方式、格式、数值修约等的差异性极大。这种放任自流无任何管理的应用方式在需要合规的GLP,GMP,GCP领域绝对是要禁止的。其后果也是非常糟糕的。
做得规范一些的公司会指定人员进行电子表格的设计和审核,并将设计好的模板统一进行管理和分发。问题往往会出在分发的环节中。电子表格的使用一般会涉及到业务部门的多个人员。我们常常看到主管将电子表格通过邮件、拷贝,或者共享文件夹的方式分发给所属人员。一方面使用人员是否真正使用了这些模板不得而知。另一方面,由于业务流程的变化,或者模板的优化升级,加上文件命名没有版本控制,模板使用人员并不能识别哪个版本是最终版本或者现行版本。采用这种主动分发的方式去很难保证被动接受的终端人员使用的是最新版本,从而导致模板的误用。有些公司虽然意识了这些风险,但采取的措施过于落后,例如将Excel模板的使用限定于某台计算机,由专人在专机上维护电子表格。使用人员只能在该台电脑上使用。这种方法虽然降低了风险,但也大大降低了便利性。
建议:统计公司内部的所有Excel模板,制定命名规则并给予唯一性编号,形成一份电子表格的台帐。同时将模板置于局域网内的共享文件夹中,并真正使用到Excel模板的特性(扩展名为xltx),并将终端计算机的Excel模板目录定位到该共享文件夹。
风险场景2:“Save as”另存为的滥用
大家喜欢用“Save as”(另存为)一部分原因是出于无奈。追根溯源,产生这一现象的原因是Excel模板的设计人员和维护人员对Excel软件掌握得不够深入,对扩展名为.xlsx和.xltx两类文件的作用没有弄清楚。前者是普通的电子表格文件,而后者则是Excel的模板文件。我们看到绝大部分的公司在Excel的使用中都是将设计好的模板直接保存为xlsx文件,而不是xltx文件。这就导致大家获得这些模板并填写完数据后要选择另存为独立的数据文件。手脚稍快,这些所谓的模板很可能被大家误填上了数据。后续就是不断的删数据,录入数据,另存为。由此引起的漏删数据,模板私自修改,文件之间的关系错乱,无法追溯等等问题就在所难免了。此前,WHO的检查专家就对国内一些药企滥用“另存为”功能提出了严厉的批评。
有些公司为了提高模板最新版本的识别度,在现行的Excel模板的文件名末尾加上了诸如“Final”,”最终版”之类的标识,一旦这些措施遇上了“另存为”,也形同虚设,因为每个人都可以把任何表格保存为Final或者“最终版”。
建议:真正把Excel模板的功能使用上,当用户点击“新建”时,能浏览到所有的模板,并由Excel使用这些模板自动为用户创建用于填写数据的文件。这样,用户无需四处复制粘贴和保存那些所谓的模板,避免了错误的同时,提高了效率。在GxP环境中,控制“另存为”菜单的使用。通过加载宏可以实现对另存为的控制,但如果用户通过Excel文件的复制达到制作副本的目的,则控制“另存为”也无能为力,只能依赖更加严格的Excel合规软件实现管控。
风险场景3:不受保护的Excel工作薄
不对电子表格做任何保护是较常见的问题,也是电子表格最重要的风险点。虽然在国外这种低级的错误几乎已经绝迹,但在国内还是有很多人不知道电子表格需要保护,或者不知道如何去保护。如果不是这几年计算机系统验证与合规宣传得比较密集,可能还是有一部分人没有意识到电子表格也属于计算机系统,同样是需要进行访问控制的;同我们常见到的色谱数据系统,LIMS系统并没有本质的不同。
设计过电子表格公式的人会明白如果这些公式不加保护,是何等的容易被人无意的修改,导致一连串的错误结果。对电子表格的保护包括工作表级的保护和工作薄的保护。前者是针对单个工作表中的元素进行保护设置,包括单元格的锁定与保护,行和列的编辑。后者是针对包含多个工作表的结构保护。如果你的电子表格包含多个工作表,那么除了每个工作表启用保护外,工作簿也需要启用结构保护。因为未启用工作薄结构保护的电子表格,用户可以删除里面任意一个工作表,而这些工作表之间很可能有数据的关联引用和计算。意外删除工作表同样会导致结果错误。
除了工作表和工作薄的结构不受保护,Excel文件本身的安全性也常常容易被忽视,尤其是重要的模板文件,计算结果文件,从而引起Excel文件被删除或替换。
建议:对工作表内的公式,常量,标准数值,格式,工作薄结构进行保护,对Excel设置打开密码,从而做到一定程度上的访问控制。对公用模板的存放位置进行保护,防止无意的删除或有意的替换。
风险场景4:设计缺陷导致的错误
电子表格的设计开发从本质上来说也属于计算机软件开发的范畴,但多数制药企业并不会配备专门的电子表格设计开发人员。电子表格的设计和开发往往由电子表格的使用者承担,这些使用者一般具有一定的Excel使用经验,但多数人员并未经过软件工程及原理或者电子表格设计开发的系统学习,这就可能会导致设计上的各种问题。
设计缺陷导致的错误可能有下边这些情况:1)没有设定数据输入格式的限制导致的计算错误,比如FDA于2014年发布的一篇警告信中就有关于电子表格未做输入格式限制导致统计结果错误的描述;2)电子表格公式错误、公式与方法文件描述不符、修约规则与方法文件描述不符、有效数值保留位数错误、多次修约等导致的计算结果错误;3)电子表格设计时未考虑出错情形的处理,比如将结果判断设置为数值超过指定范围时报告“Fail”,否则报告“Pass”,这种设计将会导致在数据无效或数据错误时也报告出“Pass”的错误结果;4)不同设计开发人员或者同一人员设计开发的不同电子表格未按统一的风格进行数据输入、结果计算、结果输出区域的划分和标识,未使用有明显意义的表头,或者未对重要单元格添加解释性说明的,导致使用过程中的数据输入错误,导致错误的计算结果;5)电子表格没有清晰的名称、基本描述、作者、目的与用途、限制条件等,导致使用者误用电子表格,比如一种产品的结果计算误用了另一品种的表格,导致错误的结论。
建议:参照HHS的检查表以及其它的良好设计规范,制定公司内部的良好设计SOP。对候选人员进行统一的培训和考核,通过培训和考核的人员才能进行电子表格的设计、开发和验证。
风险场景5:软件版本差异或设置差异导致的错误
我们都知道,高版本的Excel软件可以向下兼容,不能向上兼容。显然,用高版本软件开发的电子表格不能直接在低版本的软件中使用,企业中一般也不会出现将Excel软件从高版本降级到低版本的情况。
那么,用低版本软件开发的电子表格是否可以直接用于高版本的软件呢?答案也是否定的。Excel软件版本的不同或者设置的不同,可能导致电子表格文件的重大错误。比如在不同的语言设置中,算术运算的表达不一定是相同的(例如在Excel 97中,同样一个操作,在设置为英语时表达为 “convert”,而在设置为德语时则表达为“Umwandel”)。当在不同语言之间进行切换时,这两种表达并不会自动进行转换,这将导致计算错误。另外一个例子是,在Excel 97中,语言设置为英语时的小数点为“.”,而设置为德语时的小数点为“,”,切换语言设置时同样不能自动进行转换。Excel版本不同,其中的计算、控件或者加载项等也可能有细微差别。
如果电子表格中涉及到宏命令的使用,则必须在选项中设置“启用宏”。这样就需要在每台使用电子表格的终端电脑上进行设置,否则在设置为“禁用宏”的电脑上使用带宏命令的电子表格将会导致错误。
随着Excel软件多年来的升级,版本差异或设置差异导致的计算错误被逐步的改进,但微软从来没有申明这些问题已经不复存在,在GxP领域中使用Excel电子表格仍然不能忽视这一问题。
建议:在发布电子表格模板时,对其经过验证的使用环境进行记录(配置管理),这些环境包括操作系统版本、Excel软件版本、语言设置、安全设置、加载项设置等;尽可能在公司范围内统一软件版本;在改变使用环境时,需要对其影响进行评估,并依据评估结果进行必要的再验证或确认。
风险场景6:打印的纸质表格无法溯源
电子表格软件本身不具有电子签名功能。在保存电子表格的同时,将电子表格打印为纸质文件签署并保存是普遍的做法。然而,多数公司的SOP并没有细致到规定电子表格文件命名和存储的具体方式,也没有规定纸质文件的命名如何体现对应电子文件的名称和存储位置。随着时间的推移,找到纸质文件对应的电子文件会越来越难。在一些没有对电子文件进行有效备份的公司,在经历了较长的时间后,由于原始电脑的升级换代、故障等,甚至导致电子表格原始文件丢失的情况也不少见。
建议:规范电子表格命名的具体方式,在电子表格名称上体现如批次号、用途等关键信息,通过名称上的关键信息关联到纸质文件;规范电子表格的存储方法和备份,降低电子表格分散存储及备份缺失带来的风险;在设计电子表格模板时,将电子表格的文件名、存储路径、电脑名、用户名、最后保存时间、打印时间等信息加入到页眉/页脚或者表格内其它的合适位置。打印出的纸质文件包含这些信息将更容易地追溯到原始文件。
风险场景7:隐匿电子表格的使用行为
在国内制药企业中,隐匿电子表格的使用是比较普遍的现象。在一些将电子表格用作简单数据库使用(如物料管理、质量事件记录等)的公司,由于担心访问控制和审计跟踪缺失受到监管机构的挑战,在迎接监管机构检查前用手抄记录代替电子文件,从而隐匿电子表格的使用。在飞行检查日益密集和严格的环境下,这种做法已不多见。另外一些情况仍然较为常见,比如在进行分析检测的结果计算时,实际是使用电子表格进行的,出于公司内部没有电子表格的控制程序或者没有进行验证等原因,QC及QA部门往往达成隐匿电子表格使用的默契,将电子表格中的计算过程抄录于实验记录上。
隐匿电子表格的使用是在国内监管不严的特定时期存在的不合规现象,做到完全消除实际使用过电子表格的痕迹非常困难,比如不能确保每次打印完毕或者抄录完毕都将电子表格删除,也不太可能不保留实际使用的计算模板而每次新建。在新的监管环境下,隐匿电子表格的使用已经很不明智。
建议:建立电子表格的管理控制规程,对电子表格进行验证。
风险场景8:不对电子表格进行验证
FDA涉及到电子表格的警告信中,有超过一半的涉及到使用未验证的电子表格。在国内制药企业中,有一部分尚未启动对电子表格进行验证。另外一些虽然已启动电子表格的验证,由于管理体系不健全的问题(比如电子表格清单不完全),导致电子表格有遗漏,或者使用者私自使用未经验证电子表格的情况。
建议:为电子表格的设计、开发、审核、验证、审批、放行、使用制定完善的规范,制定并维护所有非一次性使用的电子表格清单,确保所有非一次性使用电子表格是经过验证的。
风险场景9:缺乏培训和SOP
电子表格使用非常方便,但并不表明所有的电子表格都很简单,一目了然。利用电子表格实现数据存储,自动化处理,数据交换与分析等从简单到复杂的应用不胜枚举。Excel并非计算机系统的编外物种;如何对待实验室、生产中应用的各种计算机系统,我们就应该如何对待这些电子表格模板。我们需要将设计完后的电子表格模板视作一个个独立的应用程序。因此,缺乏相应的SOP和培训一方面容易引起程序的错误使用,另一方面也不符合GxP规范。这里的SOP不是泛泛的所谓电子表格使用规范,就好比我们不会去出具一个模糊的实验室分析软件使用SOP,而应该为每一个特定电子表格制定使用规程。
建议:为每一个特定的电子表格模板制定SOP,或者在模板中添加足够的使用注释和说明,并进行培训。
风险场景10:缺少用户识别和审计追踪
Excel电子表格仅可设置文件本身的密码,自身没有用户体系,不能电子化地将操作归属到个人。网上盛传的通过“共享工作薄”实现审计追踪功能有诸多缺陷。首先,从模板创建的工作薄默认是不共享的,用户需要单独为创建的工作薄设置共享和密码保护,从而增加了操作的难度。其二,共享工作薄一旦取消共享,所有的修订记录都会消失,而共享工作薄的保护密码是由使用者自行设定的,这就意味着使用者随时都可以删除其中的审计追踪记录,而操作失误也会导致审计信息的消失。其三,共享工作薄只能记录单元格的修改信息,对于其他的“表格创建,保存”等操作历史无法记录,因此一旦工作薄本身被删除,整个工作薄的历史记录就被全部清除。这个工作薄是否曾经有过都不得而知。
作为数据库使用的Excel电子表格,具备审计跟踪是必需的要求。FDA 2015年的一封警告信中就强调了“The use of Excel requires many management controls to prevent data alteration, and Excel does not have an audit trail to identify data changes.”
建议:出于自身管理的需要(比如良好的文件追溯),最好为电子表格文件提供文件层面上的审计跟踪(比如新文件由哪一个已有文件另存而来,原文件状态,新文件的另存者,新旧文件的内容差异对比等)。对于作为数据库使用的电子表格,需要按照法规要求提供完整的单元格级别的审计跟踪(何人何时作何修改)。在这方面,国外已经有成熟的商业化软件实现Excel电子表格的审计追踪和用户权限管理的功能,例如CIMCON公司的eInfotree。
风险场景11:缺少电子签名功能
关于电子表格文件的保存,制药企业的普遍做法是这样的:在保存电子表格电子文件的同时,将电子表格打印为纸质文件进行签署并保存。由于Excel软件不具备电子签名功能,在将电子表格打印为纸质文件后,并不能确保保存的电子文件不被修改,比如打开已打印的旧批次电子表格文件,输入新批次的检验数据然后再次保存或打印,这将导致电子文件与纸质文件的不一致,或者找不到对应的电子文件。
建议:建立严密的电子文件保存体系;使用电子文档管理系统;使用加载宏或者第三方插件,实现对已被打印的电子表格文件的保护或者实现对电子表格文件的电子签名。
结语
本文介绍了电子表格在GxP环境中使用的主要风险及其应对措施。Excel电子表格使用的合规性一直是FDA检查的重点之一。FDA警告信中涉及到大量关于电子表格不合规使用的问题,占了有关计算机系统警告信总数的四分之一。同时,检查的回溯时间长,以FDA在2017年1月13日发给意大利一家制药企业的警告信为例,其中包含该公司在2014年期间使用“非官方”及不受控电子表格的问题。
由于篇幅限制,可能并未涵盖到全部的风险点,所建议应对措施也仅提供一些解决的方向。各企业需要结合自身情况,建立完备的管理体系和成熟的技术手段,才能实现电子表格在GxP环境下的合规使用