风险评估在新建制药项目验证中的应用

韩 源

（奥星制药设备（石家庄）有限公司，河北石家庄050011）

0 引言

2010年版GMP明确提出“企业应当确定需要进行的确认或验证工作，以证明有关操作的关键要素能够得到有效控制，确认或验证的范围和程度应当经过风险评估来确定[1]”。因此，从法规角度必须在验证过程中使用风险评估的方法，以确保药品的质量和用药安全、有效。ICH（人用药品注册技术要求国际协调会议，the International Conference on Harmonization of Technical Requirements for Registration of Pharmaceuticals for Human Use）Q9《质量风险管理》[2]是质量风险管理的基准指南，被世界各国的法规、指南所采用。它提出的风险评估理念、方法和工具也为验证过程中的风险评估提供了指导。但是，指南仅是通用性的指导，并没有对新建制药项目的验证中如何应用风险评估的工具进行介绍。

对于一个新建制药项目，从需求阶段、评价阶段和维护阶段整个验证生命周期中何时需要进行风险评估，采用何种评估方法，是制药生产企业的验证管理者迫切需要知道的，也正是他们需要研究的。同时，制药企业不仅要应用风险评估，而且要充分认识风险评估在验证中的重要作用，它能够帮助制药企业找到关键，集中精力对关键因素进行验证。

1 验证的生命周期

验证是实现产品质量的保证，质量风险管理方式的应用应贯穿药品的生命周期。

对于新建项目，验证始于系统和产品工艺的需求和设计阶段，涵盖系统和产品工艺的设计、采购、建造、确认、使用维护，直至系统和工艺的终止或退役，共包含3个阶段：设计阶段、评价阶段和运行维护阶段。

设计阶段的验证相关活动包括但不限于：用户需求说明、系统影响性评估、GAMP（良好的自动化生产实践指南）软件评估、电子记录和电子签名评估、部件关键性评估、设计确认、工艺设计等。

评价阶段的验证相关活动包括但不限于：调试、安装确认、运行确认、性能确认，工艺验证、清洁验证、运输确认等。

运行维护阶段的验证相关活动主要是再验证。

在项目的整个验证周期中将始终采用风险评估的方法，使关键要素能够得到有效控制。通常采用顺序的验证方法为：在完成各设备、系统的调试和确认工作以及相关的分析方法验证、辅助程序验证后，再进行清洁验证、工艺验证、运输确认。

2 设计阶段的风险评估活动

2.1 系统影响性评估

如何确定验证的范围呢？ISPE（国际制药工程协会）在《调试和确认》基准指南中提出了系统影响评估的方法，用于判定哪些系统需要确认即验证的范围。它根据对产品质量的影响程度将厂房、设备、系统分为3类，即直接影响系统、间接影响系统和无影响系统[3]。

对产品质量具有直接影响的系统，除了需要遵循良好的工程质量规范（GEP）进行管理之外，还需要进行确认。间接影响系统和无影响系统只需要遵循GEP的要求进行设计、安装和调试。

在项目建设初期，对系统的理解有限，推荐使用简单的风险评估工具进行评估。以下为系统影响性判断提供了一般方法，如下面7个问题中任何一个的答案为“是”，系统即为具有直接影响的系统。

（1）系统是否与产品或工艺流直接接触？

（2）系统是否提供一种辅料，或系统是否生产（或直接接触）某种与工艺接触的成分、原料或溶剂？

（3）系统是否用于建立或控制生产环境中的重要或关键工艺参数？

（4）系统是否是一种能够影响产品质量的过程控制系统，且没有其他系统对其性能进行独立的确认？

（5）系统是否用于清洁或灭菌操作？

（6）系统是否提供用于判定产品放行的数据？

（7）系统是否用于保持产品状态，例如产品质量？

2.2 GAMP软件分类

根据GAMP软件分类以及部件关键性评估的结果，确定设备或系统确认的程度。

GAMP软件分类仅对直接影响系统进行，因为间接影响和无影响系统对产品质量影响很低甚至没有影响，所以不需要进行。ISPEGAMP5建立了一种分类方法，根据设备或系统的复杂性以及所需定制或配置的程度将设备或系统的控制系统分成第3、4、5类[4]。下面提供了软件分类的原则：

（1）第3类——不可配置产品：带有现成或标准软件包的不可配置型设备或系统。这种软件可允许输入参数，但是必须使用默认的软件配置。

（2）第4类——可配置产品：带有现成或标准软件包的配置型设备或系统。这种软件可进行配置以满足用户具体的应用需求。这包括基于标准模块并进行了更改，以符合具体要求的PLC梯形逻辑。

（3）第5类——定制应用程序：带有定制软件的定制设备或系统。针对所要求的应用，而不是根据之前已经经过测试和挑战的代码或模块而定制开发的软件（PLC梯形逻辑）。

对于第3类软件产品，通常不必进行设计确认。对于第5类软件产品，必须进行源代码审核和软件模块测试。

2.3 电子记录和电子签名适用性和范围评估

如果系统用于生成或储存，需符合美国FDA 21CFR要求的电子记录和/或电子签名，系统适用于21CFR第11部分要求，应按照21CFR第11部分要求进行测试。

2.4 部件关键性评估

在以上评估完成后，需要进一步进行部件关键性评估。部件关键性评估是用来确定系统“验证的程度”。直接影响系统包含关键部件和非关键部件，而间接影响或无影响系统仅包含非关键部件。关键部件和功能必须在设备或系统确认中进行评估。

部件关键性评估一般在详细设计阶段进行。基于对产品、工艺和设备或系统的完整理解，ISPE在《调试和确认》基准指南中提供了部件关键性判断的一般判断标准：

（1）部件是否用于证明符合所注册工艺的规定？

（2）部件/功能的正常操作或控制是否对产品质量或功效具有直接的影响？

（3）部件/功能的故障或报警是否对产品质量或功效具有直接影响？

（4）从部件/功能获取的信息是否被记录为批记录、批放行数据或其他GMP相关文件的一部分？

（5）部件是否与产品、产品成分或产品内包材直接接触？

（6）部件/功能是否用于获得、维护或测量/控制可以影响产品质量的关键工艺参数，对控制系统性能有无独立的验证？

（7）部件/功能是否用于创建或保持某种系统的关键状态？[3]

3 评价阶段的风险评估活动

3.1 清洁验证风险评估

在清洁验证前应进行清洁验证的风险评估，可使用因果图与失效模式效应分析（FMEA）的方法进行评估。这也是在风险评估中非常常用的工具。

3.1.1 风险辨识

采用因果图这一评估工具，从人、机、料、法、环、测6个方面找出可能发生危害的因素，审核设备清洁过程中的人员、设备、物料、方法、环境、测试中可能引入、增加或控制的潜在危害。

3.1.2 风险分析

采用简化的FMEA对上述辨识的6个方面中各个危害可能对产品性能产生影响的严重性、发生的可能性和偏差、可检测性的评估，确定其风险优先性。

比如从设备因素来分析，对某一台与产品直接接触的设备的取样点进行识别，取样口内表面为不规则表面，不易清洁，综合进行评估后认为其风险优先性为高。

3.1.3 风险控制

将风险优先性为高的项目作为清洁验证中重点的取样部位，并制定控制措施，确定其检测项目。

对于上面提到的取样口内表面的风险优先性为高，则应在清洁验证中进行取样测试。

3.2 工艺验证风险评估

在工艺验证之前对工艺验证进行风险评估，风险评估应基于对产品和工艺的理解，工艺验证风险评估需要采用研发阶段、技术转移阶段的数据来进行分析。推荐采用FMEA或危害分析和关键工艺控制点（HACCP）的方法进行风险评估。下面对HACCP的方法进行介绍。

3.2.1 危害分析

危害分析包含2个阶段：

第1阶段，评估团队将审核产品的物料、活动、设备、储存、分发和预计用途。每一步骤将写出可能引入、增加或控制的潜在危害（生物、化学和物理）的清单。

第2阶段，危害评估的执行，即潜在危害的严重性和发生的可能性的评估。评估团队将判断在关键工艺控制点计划中说明存在有哪些潜在的危害，采取什么控制措施。

评估的目的是对每个关键工序和设施确定关键、潜在关键和非关键控制点。关键控制点和潜在关键控制点需要给出合理建议，且关键控制点需确定适宜的控制方法。

3.2.2 关键控制点的确认

关键控制点的确认将取决于相关的操作，例如，生产、包装、再加工、储存、发放。

3.2.3 建立目标水平和关键限值

如果可能的话，将对每一个关键控制点的关键限度进行规定和确认。一个特殊的步骤有时可能超过一个关键限度，通常使用的标准包括温度、时间、水分、pH和感官参数（如外观和质感）。关键限度必须基于科学的原理。

3.2.4 建立CCP监测系统

采用的检测程序必须能检测到关键控制点控制的缺失，并且应能及时对这些信息进行调整，以确保工艺的控制和避免超出关键限度。然而，当监测到关键控制点缺失的趋势出现时，应该调整工艺，这些调整应该在偏差发生前进行。

通过风险分析过程，整个工艺过程的风险将会被确定。从而为工艺验证的程度和范围的确定提供依据。

3.3 运输确认风险评估

在运输确认前，使用风险评估的方法可以更有效地确定企业对物流运输的要求和运输方案的制定。推荐采用FMEA的方法。

运输涉及的潜在的影响因素包括：运输途径，如运输方式和路径；季节变化因素；温度、湿度、震动、操作、运输延误、数据记录器故障、使用液氮储存、产品对环境因素的敏感性等。严重性主要从对产品质量的影响来判定，可能性从失败率和文件支持上进行分析，可检测性从到达客户前是否可检测到进行分析。最后，通过风险分析的结果制定进一步的控制措施。

4 运行维护阶段的风险评估活动

运行维护阶段验证的风险评估主要是对再验证进行风险评估。再验证分为周期性再验证和由事件引发的再验证，而由事件引发的再验证按照制药企业质量管理体系的有关流程执行（如变更管理程序）。

周期性再验证是通过对设施、系统、设备和工艺以及清洁进行的定期评估，以确认它们处在经验证时的受控状态，从而达到维护设施、系统、设备和工艺的验证状态的目的。由于法规对某些系统、工艺有强制性的再验证要求，本文仅对非法规要求的周期性再验证的风险评估方法进行介绍。评估内容包括：

（1）设备相关的变更控制的历史记录。

（2）设备历史记录，如校准、维修和一些相关操作等。

（3）偏差调查报告/趋势分析。

（4）最近的验证/确认文件，如系统影响性评估、部件关键性评估等。

（5）操作者对该设备的观察反馈。

通过对以上数据和信息进行评估，以判定系统是否处于验证状态，并针对偏离和不良趋势做出再验证测试项目的结论。

5 结语

作为质量风险管理系统的一部分，验证与确认范围与程度的决定应基于经过证明的、文件记录的设施、设备、公用工程与工艺的风险评估。在新建的制药项目中，应通过风险评估找到影响产品质量的关键要素并进行验证。验证的范围和文件的详细程度，必须以包括与产品质量和用药安全有关的风险以及设备、系统的复杂性、重要性为基础。任何评估都依赖于对产品、工艺和系统的理解。

风险评估只是工具，在实际验证过程中，可采用其他风险评估的方法，但一定要满足质量风险管理的要求和产品质量要求。

［1］国家食品药品监督管理总局.药品生产质量管理规范（2010年修订）［S］，2011

［2］ International Conference on Harmonisation.Qual ity Guidel ine Q9:Qual ity Risk Management［S］，2005

［3］ISPE.Basel ine Guide:Volume 5-Commissioning and Qual i f ication［S］，2001

［4］ISPE.GAMP5:A Risked-Based Approach to Compl iant GxP Computerized Systems［S］，2008