2019年药品质量风险管理

1、、风险管理基本程序示意图实施放弃no附：风险管理计划1引言本文件的范围和目的 概述a. 目标b. 需要优先考虑规避的风险（1）组织a. 领导人员b. 责任c任务（2）规避风险策略的内容说明a. 进度安排b. 主要阶段标志和审查行动c. 预算2. 风险分析（1）风险识别a. 风险情况调查、风险来源等b. 风险分类（2）风险估计a. 风险发生概率估计b. 风险后果的估计c. 估计准则d. 估计误差的可能来源3. 风险评价（1）风险评价使用的方法（2）评价方法的假设前提和局限性（3）风险评价使用的评价基准（4）风险评价结果4. 风险控制管理（1）根据风险评价结果提出的建议（2）可用于规避风险的备选方

2、案（3）规避风险的建议方案（4）风险监督的程序5. 附录（1）风险形势估计（2）消减风险的计划附：风险登记表主要项目内容风险登记索引号码：血作业环境：（化学合成，药物制剂，无菌/空气净化级别） 风险类型是：（触电、中毒、火灾、爆炸）关键词：风险描述：可能发生情况：最终结果：（受伤、死亡、环境破坏、设备损坏、财产损失 ） 登记人：修改日期：三、完全风险分析流程示意图四、风险矩阵图等级后果可能性人损害作业中没听说 过不太可能发生可能发生有多次发生 的可能普遍，每周、 日都有A可忽略的可忽略的B轻微的轻微的C主要的局部的D个体死亡区域性的E多人死亡灾难性的低风险中风险高风险五、风险控制的基本原则在全

3、面风险/安全管理工作中不仅要强调以人为本、 全员参与管理，而且要强调 全过程、全方位的管理。具体有以下几个原则。系统性原则：强调人-机-环境因素的综合管理动态性原则：建立空间-时间相联系的动态管理体系。闭环原则：要求风险/安全管理要讲求目的性和效果性，要有评价。效果性原则：强调闭环的管理，要讲求最终的效果和业绩。阶梯性原则：不断改进、不断完善，建立持续发展的机制。分层原则：管理目标结合实际，针对条件和可行性进行确定，不能不切实际 的贪高，也不能无所追求。分级原则：管理和控制要有主次，要讲求抓住重点、单项解决。不等同原则：从人的角度还是物的角度必须是管理因素的功能大于和高于被 管理因素的功能。

4、反馈原则：对于计划或系统的输入要有自检、评价、修正的功能。 但为控制系统存在的风险，重点要遵循以下基本原则。（ 1）闭环控制原则 系统应包括输入、输出、通过信息反馈进行决策并控制输 入这样一个完整的闭环控制过程。 显然，只有闭环控制才能达到系统优化的目的。 搞好闭环控制，最重要的是必须要有信息反馈和控制措施。（ 2）动态控制原则 充分认识系统的运动变化规律，适时正确地进行控制，才 能收到预期的效果。（ 3）分级控制原则： 根据系统的组织结构和危险的分类规律，采取分级控制 的原则，使得目标分解，责任分明，最终实现系统总控制。（ 4）多层次控制原则 多层次控制可以增加系统的可靠程度。通常包括 6

5、个层 次：根本的预防性控制补充性控制防止事故扩大的预防性控制维护性能的控制经常性控制紧急性控制 各层次采用的具体内容随事故危险性质不同而不同。在实际应用中，是否采 用 6 个层次或者采用哪几个层次，则视具体危险的程度及严重性而定。欧盟药品GMP附录20明确质量风险管理的两个主要原则为：应根据科学知识对质量风险进行评估，评估应与最终保护患者的目标相关 联。质量风险管理过程的投入水准、形式和文件，应与风险的级别相适应。六、风险控制的策略性方法1. 减轻风险 该措施就是降低风险发生的可能性或减少后果的不利影响。 对于已 知风险，在很大的程度上企业可以动用现有的资源加以控制； 对于可预测或不可 预测的

6、风险，企业必须进行深入细致的调查研究， 减少其不确定性， 并采取必要 的策略及措施。2. 预防风险 包括工程技术、教育法和程序法；增加可供选用的行动方案。3. 转移风险 当代的社会保险或商业保险，与企业的安全问题都有着千丝万缕 的关系。保险的介入对于控制事故经济损失， 保证企业的生存发展、 促进企业的 灾防损工作和事故统计、 分析乃至管理决策过程的科学化、 规范化都是相当重要 的。参加保险是转移风险的主要方式。4. 回避风险 回避是指当风险潜在威胁发生可能性太大，不利后果也太严重， 又无其他规避策略可用， 甚至保险公司也认为风险太大而拒绝承保时， 主动放弃 或终止项目或活动，或改变目标的行动方

7、案，从而规避风险的一种策略。5. 自留风险 即企业把风险的不利后果自愿接受下来。如在风险管理规划阶段 对一些风险制定风险发生时的应急计划， 或风险事件造成的损失数额不大、 不影 响大局而将损失列为企业的一种费用。 自留风险是最省事的风险规避方法， 在许 多情况下也最省钱。 当采取其他风险规避方法的费用超过风险事件造成的损失数 额时，可采取自留风险的方法。6. 后备措施 有些风险要求事先制定后备措施， 一旦项目或活动的实际进展情 况与计划不同，就动用后备措施，主要有费用、进度和技术后备措施。七、风险控制的技术性方法1. 排除 排除风险就是消除作业中的隐患。例如，有一个漏电的插座，在生产 过程中要

8、经常接触，评估风险程度在“高风险” ，这是无法容忍的；若是用一个 绝缘良好的插座来换掉，则排除了风险。2. 替换 当隐患无法消除时，可采取替换的方法来降低风险程度。替换是指用 无风险代替低风险、 用低风险代替高风险的风险控制方法。 例如：以无毒材料代 替有毒材料、以低毒材料代替高毒材料。3. 降低 降低风险是指采取工程设计等措施来降低风险程度。例如：某车间噪声值近90db (A),通过评估，风险程度在C5区，属高风险，通过加装噪声消除 设备，降至60-70db( A)，再通过评估，降至B5区，为中风险。4. 隔离 是指将人的生产作业活动与隐患隔离开的风险控制方法。例如，用通风 控制橱进行有毒气

9、体的操作。5. 程序控制 是指企业针对风险制定工作程序， 使生产活动严格在工作程序的控 制之下。6保护 是指对人员进行保护。例如给员工配备劳保用品等，再如噪声防护耳 罩可降风险降至A5区，为低风险。7. 纪律申诫 指加强劳动纪律，对违反劳动纪律的人员进行必要的处理。如对串 岗、睡岗和酒后驾车人员的处罚。八、风险控制报告表示例风险索引号（与风险登记表索引号相对应）日期：报告人：类型：人员损害环境治安输入风险水平：可能性 后果 风险程度高中 低控制：消除 替换 降低 隔离程序控制保护纪律申诫具体描述：输出风险水平：可能性后果风险程度高中 低九、药品生产过程风险管理程序示意图风 险 评 估风险分析

10、过程关键阶段-识别 危害识别 风险分析风险评价风险可接受性决定风险控制可选分析实施监视有效性 剩余风险评价 全部风险接受性风险管理周期评审以往产品信息顾客追溯十、风险的分级及其方法风险分级的基本思想是基于以下风险理论的数学关系 风险程度二危险概率X危险严重度1一、危险概率等级分析(MIL-STD-882)分类等级特征项目说明发生情况-一-频繁几乎经常出现连接发生-二二容易在一个项目使用寿命周期中将出现若干次经常发生三偶然在一个项目使用寿命周期中可能出现有时发生四很少不能认为不可能发生可能发生五不易出现的概率接近于零可以假设不发生六不能不可能出现不可能发生十二、危险严重性等级(MIL-STD-8

11、82分类等级危险性破坏伤 害-一-灾难性的系统报废死亡-二二危险性的主要系统损坏严重伤害、严重职业病三临界的次要系统损坏轻伤、轻度职业病四安全的系统无损坏无损害、无职业病十三、风险定性分级可能性灾难的严重的轻度的轻微的频繁12713很可能25916有时461118极少8101419几乎不可能12151720应用表风险定性分级的数值即可进行风险分级。这种方法称作风险评价指数矩阵 法，是一种评价风险水平和确定风险的简单方法。用矩阵中指数的大小作为以下风险分级的准则。一级风险：指数为15,是不能接受的风险。二级风险：指数为69,是不希望有的风险。三级风险：指数为1017,是有条件接受的风险。四级风险

12、：指数为1820,是完全可以接受的风险。药品质量风险的等级可以采用上述矩阵指数大小的分级方法，或者更适当的其他方法。十四、进行危害分析 预防措施是指用来防止或消灭食品 (药品)危害或使其降低到可接受水平的 行为和活动。下面列举能用来控制三种危害的预防措施的例子。1.生物危害 对细菌危害的预防措施有以下几点。(1) 时间/温度控制 加热过程(可杀死病原体)，冷冻过程(可延缓病原 体的生长)。(2) 发酵(或)PH值控制 发酵产生乳酸的细菌能抑制一些病原体的生长； 在酸性条件下使一些病原体不能生长。(3) 盐或其他防腐剂的添加。( 4)干燥 通过除去水分来抑制病原体生长。( 5)来源控制 可以通过

13、从非污染源处取得原料来控制 对病毒危害的预防措施有加热方法等。 对寄生虫危害的预防措施也有加热、干燥或冷冻而致其失活等多种方法。2. 化学危害( 1 )来源控制 例如产地证明、供货商证明和原料监测。(2)生产控制 例如食品添加剂或药用辅料合理的应用。( 3)标识控制 例如合理标出配料和已知过敏物质。3. 物理危害( 1 )来源控制 例如销售证明和原料检测。( 2)生产控制 例如磁铁、金属探测器、筛网、除粒机、澄清器、空气干 燥机和X线设备的使用。十五、CCP决策表加工 步 骤危害：生物学的(B)化学的(C)物理 学的(P)危害描 述问题1.对于确定的危 害是否有预防措施？ 否t不是一个 CCP

14、,确 定该危害程度如何及 在哪步将被控制？ 是t进仃至下一个冋 题问题2 :该步骤是否 可将识别的危害消 除或降至可接受水 平？否T进行至下一个 问题；是t CCP问题3 :所识别的危 害是否能超过可接 受水平或增加至不 可接受水平？ 否t不是一个CCP; 是T进仃至下一个 问题问题4:随后的步骤 是否将确定的危害 消除或可降低到可 接受水平？否t CCP是t不是一个CCPCCP编 号问题1问题2问题3问题4十六、FAO/ WHO食品法典委员会的判断树示意图（按顺序回答问题）十七、决策人的职责决策人【decision maker (s)】是指有能力和权力及时做出适当风险管理决策的 人。负责协调

15、器 其组织机构在跨越各职能和部门的质量风险管理活动保证质量风 险管理程序的界定、开展及审核，并保证提供足够的资源。在制药企业有能力和权力及时做出适当质量风险管理决策的人， 显然是最高 管理者(top management)，也就是在最高层指挥和控制组织的一个人或一组 人。最高管理者应通过以下活动， 对其建立、 实施包括质量风险管理体系在内的QMS并持续改进其有效性的承诺提供证据。向组织传达满足顾客要求和法律法规要求的重要性；制定质量方针；确保质量目标的制定进行管理评审确保资源的获得十八、质量风险管理小组的构成及职责欧盟药品GMP附录20 “质量风险管理” 4.1 “职责”指出：质量风险管理活动

16、通常，但并不总是， 由一个多学科专家组成的小组来承担。在建立质量风险管理小组时，除了具有丰富质量风险管理程序知识的人员以外，还应包括相关领域 (如质量、业务开发、工程、法规事务、生产操作、销售和市场、法律、统计学和临床医学等部门)的专业人员不同类型的制药企业，其组织机构也可能不同；但对 GMP 要求而言，质量管理部门和生产管理部门的职责 （包括质量风险管理职责） 应是明确的。 环境保护 部门、职业健康安全管理部门、 设备工程等部门， 就本职责范围而言也是明确的。 而涉及到药品质量风险管理， 则需要通力合作， 各司其职； 对跨越各职能和部门 的质量风险管理活动应由决策人负责协调开展。GMP 对制

17、药企业中层管理人员的素质要求也是明确的，中层管理人员除了应 具备 GMP 要求的基础知识外，也需要不断学习新知识，引进新理念，与企业高 层及基层管理人员一起努力， 塑造包括质量风险管理在内的先进的质量文化、 企 业文化。十九、危险源辨识的组织程序示意图二十、危险源辨识技术程序示意图卜一、危险源辨识的方法示意图二十二、常用危险性分析方法概要(一)安全检查分析( safety review)1. 目的：安全检查可用于保证装置和操作以及维修符合设计要求和建设标准，安 全检查过程的目的是： 让操作人员对过程危险保存警惕； 对操作程序进行检查并 作必要的修改； 发现由于设备或工艺改变所带来的新的危险；

18、对控制和安全系统 的设计依据进行评估； 对新的安全技术应用于已存在危险进行检查； 检查维修及 安全检查是否适当。安全检查还常常用于过程开车前安全检查。2. 分析结果安全检查是对过程潜在安全问题的定性描述， 并提出改正措施。 安全检查报告 包括若偏离设计的工艺条件所引起的安全问题、 偏离规定的操作规程所引起的安 全问题、新发现的安全问题，以及确认改正措施的负责人。3. 所需资料 对工艺过程进行安全检查之前，分析组成员应获得并研读以下资料： 规范或标准；以往的安全分析报告； 详细的工艺和装置描述； 带控制点的工艺流程图 (pip-ing&instrument diagram , PID)和

19、工艺流程图(FID)； 开停车、正常操作、维修、紧急情况下的操作规程；人员伤害报告；危险事故报告；维修记录；工艺物料性质；(二)安全检查表分析( safety checklist analys)is1. 目的：传统的安全检查表分析主要用于确保有关规定和标准得以实施，某些情 况下，分析人员将安全检查表分析方法和其他危险分析方法结合起来去发现只用 于安全检查表分析可能无法发现的危险。2. 分析结果分析人员确定标准的设计或操作以建立传统的安全检查表， 然后用它产生一系列 基于缺陷或差异的问题。 所完成的安全检查表包括对提出的问题回答 “是”“否” “不适用”或“需要更多的信息” 。定性的分析结果随不

20、同的分析对象而变化， 但都将作出与标准或规范是否一致的结论。 此外，安全检查表分析通常提出一系 列的提高安全性的可能途径并提供给管理者考虑。3.所需资料 为了较好地完成安全检查表分析， 需要一份适当的安全检查表、 工程设计程序及 操作方法， 以及完成安全检查表分析的人员应当具有待分析过程的基本知识。 如 果根据以往的工作等到一份可靠的安全检查表， 只要它还具有指导意义， 分析人 员应当尽量使用它；如果没有，必须由一人（有时是几个人）来准备安全检查表 并完成分析。有经验的管理者或总工程师应当安全检查表分析结果并指导下一步 的工作。（三）初级危害分析 （preliminary hazard ana

21、lysis,PHA）1目的：PHA常用于过程发展的初期阶段的危险性分析，通常在工艺装置的概念 设计或研究和发展阶段使用， 而且在进行厂址选择时非常有用， 它还经常作为带 控制点的工艺流程图（PID）设计之前的设计检查工具。虽然PHA方法一般用于项目发展的初期阶段的危险性分析，此时对潜在的安 全问题无经验可借鉴； 但当分析大型的已投入运行的装置或者危险划分先后次序 时也是很有帮助的。2. 分析结果PHA定性说明与过程设计有关的危险；PHA还提供危险状态的定性等级，为在项 目发展过程的后续阶段消除或减少危险所提出的意见或建议划分先后顺序。3. 所需资料使用PHA方法需要分析人员获得装置设计标准、设

22、备说明、材料说明及其他资 料。可由一个或两个具有过程安全知识的人员完成 PHA对于缺乏经验的人也可 完成PHA但不太可能进行详细的分析，因为这种方法需要分析人员进行大量的 判断。（四）故障假设分析（ whatif analysis）1.目的： 故障假设分析的目的是识别危险或隐患，或可能导致不良后果的事故 事件，有经验的分析人员会找出事故隐患， 分析可能的后果及已有的安全保护措 施，并提出降低或消除危险的方法。分析方法包括检查在设计、安装、操作过程 中可能产生的偏差， 需要对整个工艺过程有一个基本的了解， 能预测可能产生的 与设计要求不同的偏差及其可能导致的后果。这就要求分析人员具有丰富的经 验

23、，否则其分析结果将是不完整的或根本达不到预期的效果。2. 分析结果 故障假设分析方法首先提出一系列的问题，然后回答这些问题。分 析结果可以表格的形式出现，主要内容包括：问题、对问题的回答（可能后果） 、 安全措施、降低或消除风险的可能方法。3. 所需资料 由于故障假设分析方法适用于项目发展的各个阶段， 因此与过程有关的材料都可 能用到。对任意一个局部过程， 由 23 人即可完成分析， 当然也可由组织较大的 分析组， 视具体的分析对象确定具体的参加人员。 对复杂的系统， 最好组织由各 方面人员参加的分析组，平且将复杂问题尽可能分解成若干个小的问题。故障假设分析方法所需的时间与装置的复杂程度及分析

24、区域的数量成正比， 当 然还与分析组成员的经验有关。（五）故障假设/安全检查表分析（ what- if / safety checklist analysis ）1. 目的 故障假设/安全检查表分析的目的在于识别潜在危险，考虑过程或活动中可能发生的事故类型， 定性估计这些事故的可能后果， 确定已有的安全保护措 施是否对潜在的事故起作用。 通常，分析人员还应提出降低或消除过程操作风险 的方法。2. 分析结果 分析小组使用故障假设/安全检查表分析方法将得到一份分析结果表， 内容包括 事故情况、后果、已有的安全保护、拟采取的措施，该分析结果还包括完整的安 全检查表。不同的机构对结果文件有不同的要求。

25、3. 所需资料 大多数情况下，故障假设/安全检查表分析小组对过程有经验的设计、操作、维修人员组成。 所需人数取决于待分析过程的复杂程度、 内容及阶段。 所需资料 由他们收集提供。通常，使用这种分析方法所需的人员及时间要比使用 HAZOP 分析方法的要少。（六 ）危害的操作性分析（ hazard operability analysis ， HAZOP1.目的HAZOP分析的目的是系统、详细地对工艺过程和操作进行检查，以确定 过程的偏差是否导致不希望的后果。 该方法可用于连续或间隙过程， 还可以对拟 定的操作规程进行分析。HAZO分析组将列出引起偏差的原因、后果，以及针对 这些偏差及后果已使用的

26、安全装置，当分析组确信对这些偏差的保障措施不当 时，将提出相应的改进措施。2. 分析结果HAZO分析结果是分析组经分析会议讨论决确定的。它包括对危险与操作性问题 的识别、对设计及操作规程等的修改意见、 系统的改进、 对那些暂时因缺乏资料 而未作出结论的问题作进一步分析研究的建议。 分析组对过程的每个节点或单元 的偏差原因、后果、安全装置、改进措施的讨论结果应以表格的形式逐项记录。3. 所需资料HAZOP分析需要准确、最新的带控制点的工艺流程图（PID）和相关图纸，以 及详细的工艺资料，如操作规程。HAZO分析还需要工艺、仪表及操作等方面的 资料，所有这些资料通常由分析组成员提供， 因为他们都是

27、某一方面的专家或专 业人员。此外，训练有素、富有经验的分析组的组织者是有效的高质量的 HAZOP 分析的重要因素。对于大型的复杂的工艺过程，HAZO分析组可由57人组成，包括设计、工艺或工程、操作、维修、仪表、电气、公用工程等方面的人员；对 相对较小的工艺过程，富有经验的 34 人的分析组就可以了。（七）失效模式与效应分析（ failure mode and offects analys，isFMEA）1目的：FMEA分析的目的在于识别装置或过程内单个设备或单个系统的失效模 式以及每个失效模式的可能后果。 这种分析将提出提高设备可靠性建议， 从而增 加系统的安全性。2. 分析结果FMEA分析完

28、成后将对设备、失效模式、效应进行定性和系统的说明，包括单个 故障的最坏的后果。当改变设计或系统/装置修改后，FMEA的分析结果很容易更新。FMEA分析结果是表格形式的文件，包括为提高安全性的建议。3. 所需资料FMEA分析方法需要下列数据和资料：系统或装置的设备安全检查表或带有控 制点的工艺流程图 （PID） ，设备功能及失效模式的知识， 系统或装置功能对设备 失效的反应的知识。FMEA 分析所需人员由分析对象的复杂程度而定，即使一个人完成的简单系 统也应让他人检查以保证其完整性。 分析人员应熟知设备功能、 失效模式、 以及 故障如何影响系统或装置的其他部分。FMEA分析所用时间与过程的大小及

29、设备多少有关。平均来说，分析24个设备 1 个小时就够了，对相同功能的相同设备，分析时将大大缩短。（八）故障树分析（ fault tree analysis ， FTA）1. 目的：FTA的目的是识别导致事故的设备故障与人为失误的组合， FTA非常 适合于高度重复性的系统。 对单一故障可能导致事故的系统， 最好是使用面向单 一故障的分析方法，如FMEA或HAZO分析。2. 分析结果FTA使用布尔逻辑门产生系统的故障逻辑模型来描述设备故障和人为失误是 如何组合导致顶层事件的。许多故障树模型可通过分析一个较大的工艺过程得 到；实际的模型数目取决于分析人员选定的顶层事件数， 一个顶层事件对应着一 个

30、故障树模型。 故障树分析人员常对每个故障树逻辑模型求解产生故障序列， 称 为最小割集， 由此可导出顶层事故。 这些最小割集序列可以通过每个割集中德故 障数目和类型定性的排序。 一般地，含有较少故障数目的割集比含有较多故障数 目的割集更可能导致顶层事件。最小割集序列提示了系统设计/操作的缺陷，对此分析人员应提出可能的提高过程安全性的途径。3. 所需资料使用FTA需要详细懂得装置或系统的功能、详细的工艺图和操作程序以及各种 故障模式和它们的结果。经过良好训练和富有经验的分析人员是有效和高质量 FTA的保证。合格的分析人员能自己建立故障树， 但必须懂得详细的工艺过程， 然后所得到 的模型应当经过工程

31、技术人员、 操作人员、 以及其他具有系统和设备操作经验的 人员进行检查。在整个故障树的建立过程中可以每个人负责一个简单的故障树 （一个故障树可由多个简单的故障树组成） ，但是分析人员必须掌握与顶层事件 有关的故障的所有资料； 如果系统很复杂或者需要建立多个故障树时， 也可以由 分析组集体完成， 并且可以分组， 每个组完成一个或几个故障树。 组与组之间的 交流以及与其他有经验的人交流是必要的， 以保证相关或相连故障树模型的一致 性。FTA所需时间和费用与分析系统的复杂程度和分析要达到的水平有关。有经验的分析组对某一个简单过程的一个顶层事件大约用 1 天的时间。对于复杂的系统 或者有许多潜在事故事

32、件或存在较大的问题， 即使有经验的分析组也需要几周甚 至几个月才能完成。（九）事件树分析（ event tree analysis，ETA）1. 目的ETA用于识别复杂工艺过程可能发生的各种事故。当得出单个的事故 顺序后，用故障树分析（FTA就能确定导致事故的故障组合。2. 分析结果 事件树分析结果将得到事故树模型和每个确定的输出其安全系统是成功或失败。事件树中描述的事故顺序表示是以逻辑“与”组合；因此，这些顺序可变换 成故障树的形式以作进一步的定性分析， 分析人员用这些分析结果去找出设计或 程序上的缺陷，提出降低潜在事故发生的可能性或后果的建议。3. 所需资料使用ETA需要知道初始事件（即可

33、能导致事故的设备故障或系统波动）、消除每个初始事件的安全系统的功能或紧急处置预案。事件树分析可由 24人的分析组运用集体智慧来完成， 以使分析更加完善； 单 独一人完成者必须详细了解整个系统。分析组中至少有一人熟悉 ETA其他人员 应当熟悉工艺过程并且有对待分析系统的经验。ETA所需时间和费用取决于初始事件的数量和复杂程度，以及分析中所包含的安全系统功能。（十）原因 - 后果分析（ cause-consequence analysis ， CCA）1. 目的：正如它的名称一样，原因 -后果分析是为了识别潜在事故的原因和后果。2. 分析结果原因- 后果分析的结果将产生描述事故顺序图和对潜在事故的

34、定性说明。3. 所需资料使用CCA需要下列资料或知识：可能导致事故的故障或工艺过程的波动的知识； 影响事故后果的安全系统或紧急处置预案资料；产生所有故障的原因。原因- 后果分析最好由一个较小的分析组（ 24 人）来完成，其中一人应当具有CCA经验（或故障树和事件树分析经验），其余的人员应当具有待分析系统的设 计和操作经验。CCA所需时间和费用与分析的事件数量、复杂程度及分析要达到的要求有关，对 只有几个初始事件的分析在 1 周内就可完成。（十一）人的可靠性分析（ human reliability analysis ， HRA）1. 目的HRA的目的是识别可能的人为失误及它们的影响，或者是人为

35、失误的原因。2. 分析结果HRA系统地列出正常或紧急操作过程中所遇到的可能人为失误、构成这些失误的因素，提出为降低这些失误可能性的改进意见， 结果是定性的， 但也可以是定量 的。分析内容包括失误对系统影响的识别、 根据失误发生的概率或后果的严重程 度对失误进行排序。 其分析结果在改变设计或系统、 装置及训练改变后很容易更 新。3. 所需资料HRA需要下列数据和资料：装置的操作规程；与装置人员座谈的有关资料；装置 的布置、功能或岗位；控制板的布置；报警系统的布置；所需人员随分析范围的大小而定。通常，经过培训后，12人就可完成 HRA。分析人员应熟悉有关技术资料并与装置人员接触； 获得相应的资料如

36、操作过程和 简图；有关设备的资料。分析人员应当熟知各种人为失误的后果或设备的反应。 HRA所需时间和费用与分析的任务、系统或失误的大小和数量成正比。二十三、基于对有关物理、化学和生物危害的分析及ADR分析的药品质量风险 分析 1.药品质量风险分析中德物理性危害在临床上发现微粒的危害有以下几点引起肺肉芽肿和废水肿；引起静脉炎；引起过敏反应；引起热原反应；引起局部组织栓塞和坏死；引起肿瘤形成或肿瘤样反应2. 药品质量风险分析中的化学性危害 药物由于化学结构的不同， 其降解反应也不一样， 水解和氧化物是药物降解的两 个主要途径，其他如异构化、聚合、脱羧等反应，在某些药物中也有发生。有时 一种药物还可

37、能同时产生两种或两种以上的反应。 问题是药物的分解变质， 不仅 使药效降低，而且有些变质的物质甚至产生毒副作用。3. 药品质量风险分析中德生物性危害在输液剂生产中主要存在的 3个主要问题（澄明度、染菌和热原问题） 中有两项 属于生物性危害。4药品不良反应（ADR的分析可参阅专业书籍二十四、产品质量缺陷严重性分级级别/严重性缺陷加权分值对产品功能的影响对外观质量的影响对包装质量的影响对下道工序的影响抽样方 案A关 键 的100内在质量不符合标准要求， 肯定会高度影响产品功能， 易造成安全性事故，用户要 求退赔用户肯定会发现，并会进行申诉或要求索赔不符合要求，易造成错乱，易岀现安全事故肯定将引起严

38、重混乱B重要的50内在质量不符合规定，可能会影响产品的功能不符合标准要求，一般不会岀现安全事故，但用户可能提岀索赔质量欠佳，易造成混乱和影响产品功能，但一般不会岀现安全事故可能引起严重混乱，但肯定引起次要混乱C般的10内在质量个别项目不符合规定，可能处在控制边缘，可能轻度影响产品的功能用户可能会发现，但不会申诉少漏装，不影响产品功能,不会岀现安全事故，一般不会申诉可能引起次要混乱D次要的1不会影响产品功能不会被用户发现不会申诉不会引起混乱二十五、常用系统风险分析及评价方法特点比较评价方法评价目标定性疋里方法特点适用范围应用条件优缺点类比法危害程度分级定性利用类比作业场所检职业安全卫生评价作业类

39、比作业场所具有简便易行、专业检危险性分级测、统计数据分级和事条件、岗位危险性评价可比性测量大、费用高故统计分析资料类推安全检查表危险有害因素定性按事先编制的有标准各类系统的设计、验收、有事先编制的各类简便、易于掌握、分析安全等级疋里要求的检查表逐项检运行、管理、事故调查检查表，有赋分、评编制检查表难度及查、按规定赋分标准赋级标准工作量大分，评定安全等级预先危险性危险有害因素定性讨论分析系统存在的各类系统设计、施工、生分析评价人员熟悉简便易行、受分析分析（PHA分析危险性等危险有害因素、触发条产、维修前的概略分析和系统、有丰富的知识评价人员主观因素级件、事故类型、评价危评价和实践经验影响险等级等

40、失效模式影故障（事故）原定性列表、分析系统（单元、机械电气系统、局部工艺分析评价人员熟悉较复杂、详尽，受响分析因影响程度等元件）故障类型、故障过程、事故分析系统，有丰富的知识分析评价人员主观（FMEA）级原因、故障影响，评定和实践经验，有根据因素影响影响程度等级分析要求的编制的表格失效模式、故障原因、故障定性列表、分析系统（单机械电气系统、局部工艺同FMEA,有元素故较FMEA复杂、精效应和危险等级、危险指数疋里元、元件）故障类型、过程、事故分析障率、系统重大故障确性分析故障原因、故障影响，（事故）概率数据（FMECA评定影响程度等级。在FMEA基础上由元素故障概率、系统重大故障概率计算系统危

41、险性指数事件树分析事故原因、触发定性归纳法，由初始事件到各类局部工艺过程、生产熟悉系统、元素间的简便易行，受分析(eta条件、事故概率疋里判断事故原因及条件各事件概率，计算系统事故概率设备、装置事故分析因果关系，有各事件发生概率数据评价人员主观因素影响事故树分析事故原因、事故定性演绎法，由事故和基本宇航、核电、工艺、设备熟悉掌握方法和事复杂、工作量大，(FTA概率疋里事件逻辑推断事故原等复杂系统事故分析故、基本事件间的联精确，故障树编制因，由基本事件概率计系，有基本事件概率有误易失真算事故概率数据作业条件危危险性等级定性按规定对系统的事故各类生产作业条件赋分人员熟悉系统，简便实用，受分析险性评

42、价法半定发生可能性、人员暴露对安全生产有丰富评价人员主观因素（LEC法）量状况、危险程度赋分、知识和实践经验影响计算后评定危险性等级HACCP危害分析、关键定性结构化的方法，应用科食品工业、医疗器械、制熟悉产品工业全过简便实用，是一个控制点疋量技原理去分析、评价、药工业程，能识别控制点系统的、前摄的、预防和控制产品在寿预防性的工具命周期内的风险道化学公司火灾爆炸危险疋量根据物质、工艺危险性生产、储存、处理燃、爆、熟练掌握方法、熟悉大量使用图表，简法( DOW)性等级、事故损计算火灾爆炸指数，判化学活泼性、有毒物质的系统有丰富知识和捷明了，参数取位失断采取措施前后的系工艺过程及其他有关工良好的判

43、断能力，富宽，因人而异，只统整体危险性，由影响艺系统有各类企业装置经能对系统整体宏观范围、单元破坏系数计济损失目标值评价算系统就整体经济停产损失单元危险性危险性等级疋量由物质、毒性系数、工生产、储存、处理燃、爆、熟悉系统、掌握有关是DOW法的简易快速排序法艺危险性指数、毒性指化学活泼性、有毒物质的方法，具有有关知识方法，简捷方便标评定单元危险性等工艺过程及其他有关工和经验级艺系统危险性与可偏离及原因、后定性通过讨论、分析系统可化工系统、热力、水力系分析评价者熟悉系简便易行，受分析操作性研究果对系统的影能岀现的偏离、偏离原统的安全分析统、有丰富的知识和评价人员主观因素响因、偏离后果及对整个系统的

44、影响实践经验的影响安全评价六危险性等级定性检查表法定性评价，参化工系统有关装置熟悉系统、掌握有关综合应用几种办法阶段法疋量数基准赋值定量评价方法，具有相关知识反复评价，准确性法，采取措施，用类比和经验有类比资料高，工作量大资料复评，1级危险性装置用ETA FTA等方法再评价二十六、风险控制一、风险控制的重点风险控制的重点可能存在以下几方面的问题风险是否超出了可接受的水平？如何降低或消除风险？利益、风险和资源之间的恰当平衡点在何处？对确定的风险加以控制的结果，是否会引入新的风险？二、风险降低的重点风险降低（risk reduction ）是指为降低损害发生的概率和严重性所采取的措施。 当质量风险

45、超过规定的（可接受的）水平时，风险降低将重点放在缓解或避免风 险的过程上。风险降低包括为降低损害的严重性和可能性所采取的措施。改善检出危害和质量风险的过程，也可作为风险控制策略的一部分。实施降低风险的措 施可能会给系统引入新的风险，或使现有其他风险的严重性加大。 因此，有必要 对风险评估进行回顾，以确定在实施降低风险的程序后，风险可能出现的任何变 化并对这种变化进行评价。三、减少风险的成本-效益分析安全成本二经济消耗成本+事故风险（或称安全代价）成本四、药品质量风险接受的准则风险接受是指接受风险的决定（ISO指南73）。风险接受可以是接受剩余风险的正式决定，或是一个对剩余的风险未作规定的被动决

46、策。对于某些类型的损害，最好的质量风险管理规范也不能将其完全地消除。在这些情况下，应当认可已应 用适当的质量风险管理策略，使质量风险降低到可被接受的水平。 这种可接受得 水平取决于许多参数，应当根据实际情况做出决定。二十七、风险接受的ALARP原则二十八、风险沟通1内部沟通质量风险管理体系的建立和运行中有许多信息需要沟通， 以便在组织内能统一 质量风险管理的认识和要求，确保有效、协调一致地行动。企业的最高管理者或决策者应该在组织内部建立沟通的制度， 包括确定哪些人 员之间需要沟通，确定需要沟通的信息，确定实现沟通的手段，确定沟通有效性 的监视方法，确定需要沟通的信息，确定实现沟通的手段，确定沟

47、通有效性的监 视方法，确定必要的关于沟通方面的文件和记录， 以及对沟通过程持续改进的考虑等。沟通的方法多种多样， 应与沟通对象的文化水平和其他技能相适应。 沟通的形 式应能确保可行、 有效、重点是接口要顺畅协调。 应确保所有的信息清楚和容易 理解，并传给需要该信息的人。内部沟通的内容，重点是 QMS和QRMS的有效性，应将策划的质量（风险） 管理活动的实施情况和结果情况及时告知相关人员。 其目的的最终也正是为了确 保QMS及QRMS的有效性。当然，最终是确保人们用药安全有效。2.外部沟通药品是关系人命安危的特殊商品，一些药品不良反应（ ADR往往在W期临床试 验中才体现出来。因此，制药企业应根

48、据药品不良反应报告和监测管理办法 的规定，做到不良反应被发现的越早越好， 不良反应危害的程度被控制得越小越 好。建立起一个反应敏捷的报告体系和一个运作有效的监测机制； 当然，这需要 一个良好的外部沟通， 不仅要与药品的经营、 使用单位沟通， 更重要的是与药品 监督管理部门的沟通。 药品不良反应报告和监测管理办法不仅规定了完备的 药品不良反应报告程序、 评价制度和控制措施， 还将药品不良反应报告义务主要 赋予了了解最快、 最早发现不良反应的药品生产、 经营和使用单位， 为药品监督 管理部门及时掌握药品的不良反应情况建立了渠道， 为有效控制不良反应的危害 程度制定了措施。二十九、风险审核1. 质量

49、风险审核的定义质量风险审核（ quality risk audit ）就是确定质量风险管理活动和有关结果是 否符合计划的安排， 以及这些安排是否有效地实施并适合于达到预定目标的、 系 统的、独立的检查。质量风险审核一般用于（但不限于）对质量风险体系或其要 素、过程、产品或服务的审核。 审核的一个目的是评价是否需要采取改进或纠正 措施。2. 药品质量风险审核的准则药品质量风险审核的准则应当是现行的药品 GMP及其有关附件，在有关文件标准 尚未出台之前，可依据国际通行的标准，如 WHO-GM的有关规定，当然，企业也 可自订标准，如同GMF标准一样，企业GMF实施方案或标准可以高于国家标准， 产品的

50、质量标准也可以高于国家药典标准。当然，对于有出口药品的制药企业， 则要依据有关进口国家的有关标准进行。三十、质量风险审核的特性1. 系统性质量风险审核的系统性， 是从查找开展质量风险管理活动的依据 （策划安排） 开 始，到核对整个质量形成过程乃至产品整个寿命周期的质量风险管理活动是否达 到预定目标而进行系统的调查或全面的审查， 然后给出客观的评价。 显然，质量 风险管理体系具有系统的特性。2. 独立性质量风险审核的独立性， 是指执行审核的机构和审核人员具有独立性。 一般来说， 审核的机构必须是与审核内容的质量风险管理活动无直接责任的部门；即使是 GM啲自检，也应具有相对的独立性。3. 符合性质

51、量风险审核必须明确审核的目的、 范围、审核依据的标准或文件， 这些都是为 了确定质量风险管理活动及其结果是否符合策划安排，是否能达到预期的目标。 三十一、质量风险审核的周期对于高风险的制药企业来说， 强化药品质量风险管理具有重要的意义， 因此风险 回顾审核的周期频次要多一些。 企业还应考虑到运用新的知识和经验， 对风险管 理程序的输出/结果进行审核。风险回顾审核的周期应根据风险的级别来确定。三十二、基于人体信息处理的人失误事故模型示意图三十三、变化-失误理论示意图三十四、流程图流程图(flowcharts )是将一个过程(如生产工艺过程、检验过程、质量改进过 程等)的步骤用图的形式表示出来的一种图示艺术。通过对一个过程中各步骤之 间关系的研究及其实际情况的详细调查，一般都能发现故障的潜在原因，知道哪 些环节需要进行质量改进。流程图可用于原辅料流向、产品销售及售后服务的全 过程的所有方面。流程图是 QC 小组常用工具之一。三十五、安全检查表1. 检查表的主要形式检查表，又称核查表、统计分析表、调查表，也称刻线图，它是用来系统地收集 资料和积累数据，确认事实并对事实进行粗略整理和分析的统计图表。它能够促 使人们按统一的方法收集资料并便于分析。一般在质量管理活动中，特别是在QC小组活动、质量分析和质量改进的活动中得到广泛