风险管理系列(三):[案例]风险评价RPN体系的定义和开发过程

“风险管理系列（二）”，介绍了RPN体系的设计原理和调试方法，以及如何判断一个RPN体系是否合理实用。

下面是我开发的一个风险评价RPN体系，包括其开发过程的详细描述。2012年以来，该体系的不同版本，在我服务过的企业内使用，得到实践证明。

这个体系的确认（验证）报告摘要，将在下一篇文章中发布。

风险评价体系的定义

（1）本体系适用于非无菌原料药或制剂厂家。

（2）RPN值 = 风险影响程度（S）x风险出现概率（O）x不可探测度（D）

RPN是Risk Priority Number（风险优先数）的缩写。

（3）S、O和D的赋值定义。

赋值

影响程度（S）

1

对成品质量基本没有负面影响，同时对工艺坚固性没有负面影响，同时对质量体系的坚固性的负面影响轻微。

2

对成品质量基本没有负面影响，同时对工艺坚固性基本没有负面影响，同时对质量体系的坚固性有较低负面影响。

4

对成品质量没有实质性负面影响，同时对工艺坚固性可能有一定负面影响，或者对质量体系的坚固性有一定负面影响。

8

对成品质量可能有负面影响，或者对工艺可能有关键负面影响，或者对质量体系的坚固性有关键负面影响。

赋值

出现概率（O）

不可探测度（D）

1

很少出现（优选定量计算风险的概率，定义为不高于1%；如果无法定量计算风险的概率，定义为出现频次平均每年约1-2次）

错误非常明显，一旦出错，错误显而易见，或者操作无法进行下去。

2

偶尔出现（优选定量计算风险的概率，定义为约1-3%；如果无法定量计算风险的概率，定义为出现频次平均每季度约1-2次）

错误明显，可以在操作中、或者使用前/使用后检查中发现，或者在每批进行的QC检测中发现。

3

有一定出现概率（优选定量计算风险的概率，定义为约4-8%；如果无法定量计算风险的概率，定义为出现频次平均每月约1-2次）

可以被QA/部门日常检查发现，或者被周期性的QC检测发现。

4

出现概率较高（概率或者出现频次高于以上的风险）

几乎不可能被日常检查或者检测发现。

4. 风险控制目标

4.1  RPN值应控制≦18，如有可能，应尽量降低RPN值，最佳值≦12。

4.2  如果采取措施后，风险被消除，则不再计算RPN值。

4.3  如果有无法控制在≦18的风险，应提请质量会议，审核决定如何控制到≦18，或者是否接受该风险。必要时，可起草专题报告。

风险评价体系的开发过程

(一)影响程度（S）赋值表的开发

为增加高影响风险和低影响风险之间的分离度，采用等比序列1，2，4，8。

影响程度包括三个维度：成品质量，工艺坚固性，质量体系坚固性。下表是非限制性的举例。

某个风险，如果同时对不同维度都有影响，那么取影响最高的维度的赋值。

维度1：成品质量

4 - 成品包装方面，有不影响产品质量、客户使用和运输安全的缺陷。

8 - 成品质量不合格。

出现可能影响客户使用产品的缺陷。如污染、稳定性下降、说明书错误、容易在运输过程中受损，等等。

维度2：工艺坚固性

1 - 对工艺没有实质性影响的仪器故障或设备故障。

2 - 生产、物流、维护方面的次要偏差或者法规检查次要缺陷。

上游工艺参数超标，但是没有导致中间体不合格。

4 - 生产、物流、维护方面的主要偏差或者法规检查主要缺陷。

中间体不合格。

趋势分析中发现的中间体质量下降。

8 - 生产、物流、维护方面的关键偏差或者法规检查关键缺陷。

工艺验证失败。

趋势分析中发现的成品质量明显下降。

维度3：质量体系坚固性和数据完整性

1 - SOP描述不够明确，但是不会导致操作失误。

笔误或者没有实质影响的数据转抄错误

2 - 检测、质量体系或其它GMP相关过程的次要偏差或者法规检查次要缺陷。

没有遵守SOP的非关键条款。

数据完整性控制方面的次要缺陷。

4 - 检测、质量体系或其它GMP相关过程的主要偏差或者法规检查主要缺陷。

数据完整性缺乏控制，但是没有影响数据有效性。

8 - 检测、质量体系或其它GMP相关过程的关键偏差或者法规检查关键缺陷。

数据完整性控制方面的关键缺陷。

数据造假。

(二)出现概率（O）和不可探测度（D）赋值表的开发

使用业内常用的赋值级别。

(三)风险耐受度的开发和定义

根据S、O、D的赋值规定，RPN可能有4x4x4=64个组合。评估每个组合是否可接受：

是

否

边缘值

（处于可以接受的边缘，如果资源允许，应当进一步降低）

S

O

D

RPN

是否接受？

1

1

1

1

是

1

1

2

2

是

1

1

3

3

是

1

1

4

4

是

1

2

1

2

是

1

2

2

4

是

1

2

3

6

是

1

2

4

8

是

1

3

1

3

是

1

3

2

6

是

1

3

3

9

是

1

3

4

12

是

1

4

1

4

是

1

4

2

8

是

1

4

3

12

是

1

4

4

16

边缘值

2

1

1

2

是

2

1

2

4

是

2

1

3

6

是

2

1

4

8

是

2

2

1

4

是

2

2

2

8

是

2

2

3

12

是

2

2

4

16

边缘值

2

3

1

6

是

2

3

2

12

是

2

3

3

18

边缘值

2

3

4

24

否

2

4

1

8

是

2

4

2

16

边缘值

2

4

3

24

否

2

4

4

32

否

4

1

1

4

是

4

1

2

8

是

4

1

3

12

是

4

1

4

16

边缘值

4

2

1

8

是

4

2

2

16

是

4

2

3

24

否

4

2

4

32

否

4

3

1

12

是

4

3

2

24

否

4

3

3

36

否

4

3

4

48

否

4

4

1

16

边缘值

4

4

2

32

否

4

4

3

48

否

4

4

4

64

否

8

1

1

8

是

8

1

2

16

是

8

1

3

24

否

8

1

4

32

否

8

2

1

16

边缘值

8

2

2

32

否

8

2

3

48

否

8

2

4

64

否

8

3

1

24

否

8

3

2

48

否

8

3

3

72

否

8

3

4

96

否

8

4

1

32

否

8

4

2

64

否

8

4

3

96

否

8

4

4

128

否

从上表可以看出，对于RPN≦12的风险，都是可以接受的；12以上的RPN是16和18，有的可以接受，有的处在可以承受的边缘；大于18的RPN值，都是不可以接受的。RPN为16和18的情况：

S

O

D

RPN

是否接受？

1

4

4

16

边缘值

2

2

4

16

边缘值

2

3

3

18

边缘值

2

4

2

16

边缘值

4

1

4

16

是

4

2

2

16

是

4

4

1

16

边缘值

8

1

2

16

是

8

2

1

16

边缘值

因此，将风险耐受度定义为“RPN值应控制≦18，如有可能，应尽量降低RPN值，最佳值≦12”。

某些风险控制措施，可以完全消除风险的根源，或者将风险转移成其它风险。对于这种风险，应该不再计算RPN值。例如，某个工艺中间体有时出现水分超标，分析发现，该中间体下一步工艺还需要投入水，测水分没有意义；因此，取消中间体的水分检测，该风险即被消除。再比如，不同产品共生产线有共线污染风险，使用专用生产线后，该共线污染风险被消除。

有极少数RPN值超过风险耐受度、但又必须接受的情况。例如，某个产品，上游中间体每一轮生产的前两批，需要找准条件，容易出现不合格中间体批次（RPN=SxOxD=4x3x2=24），由于技术上的限制，该风险无法降低。再比如，非无菌原料药的微生物污染风险，赋值RPN= SxOxD=8x1x3=24。对于这类风险，应当以专题报告的形式评估和批准。

----------（正文结束）-----------

“风险管理系列（二）”，介绍了RPN体系的设计原理和调试方法，以及如何判断一个RPN体系是否合理实用。

下面是我开发的一个风险评价RPN体系，包括其开发过程的详细描述。2012年以来，该体系的不同版本，在我服务过的企业内使用，得到实践证明。

这个体系的确认（验证）报告摘要，将在下一篇文章中发布。

风险评价体系的定义

（1）本体系适用于非无菌原料药或制剂厂家。

（2）RPN值 = 风险影响程度（S）x风险出现概率（O）x不可探测度（D）

RPN是Risk Priority Number（风险优先数）的缩写。

（3）S、O和D的赋值定义。

赋值

影响程度（S）

1

对成品质量基本没有负面影响，同时对工艺坚固性没有负面影响，同时对质量体系的坚固性的负面影响轻微。

2

对成品质量基本没有负面影响，同时对工艺坚固性基本没有负面影响，同时对质量体系的坚固性有较低负面影响。

4

对成品质量没有实质性负面影响，同时对工艺坚固性可能有一定负面影响，或者对质量体系的坚固性有一定负面影响。

8

对成品质量可能有负面影响，或者对工艺可能有关键负面影响，或者对质量体系的坚固性有关键负面影响。

赋值

出现概率（O）

不可探测度（D）

1

很少出现（优选定量计算风险的概率，定义为不高于1%；如果无法定量计算风险的概率，定义为出现频次平均每年约1-2次）

错误非常明显，一旦出错，错误显而易见，或者操作无法进行下去。

2

偶尔出现（优选定量计算风险的概率，定义为约1-3%；如果无法定量计算风险的概率，定义为出现频次平均每季度约1-2次）

错误明显，可以在操作中、或者使用前/使用后检查中发现，或者在每批进行的QC检测中发现。

3

有一定出现概率（优选定量计算风险的概率，定义为约4-8%；如果无法定量计算风险的概率，定义为出现频次平均每月约1-2次）

可以被QA/部门日常检查发现，或者被周期性的QC检测发现。

4

出现概率较高（概率或者出现频次高于以上的风险）

几乎不可能被日常检查或者检测发现。

4. 风险控制目标

4.1  RPN值应控制≦18，如有可能，应尽量降低RPN值，最佳值≦12。

4.2  如果采取措施后，风险被消除，则不再计算RPN值。

4.3  如果有无法控制在≦18的风险，应提请质量会议，审核决定如何控制到≦18，或者是否接受该风险。必要时，可起草专题报告。

风险评价体系的开发过程

(一)影响程度（S）赋值表的开发

为增加高影响风险和低影响风险之间的分离度，采用等比序列1，2，4，8。

影响程度包括三个维度：成品质量，工艺坚固性，质量体系坚固性。下表是非限制性的举例。

某个风险，如果同时对不同维度都有影响，那么取影响最高的维度的赋值。

维度1：成品质量

4 - 成品包装方面，有不影响产品质量、客户使用和运输安全的缺陷。

8 - 成品质量不合格。

出现可能影响客户使用产品的缺陷。如污染、稳定性下降、说明书错误、容易在运输过程中受损，等等。

维度2：工艺坚固性

1 - 对工艺没有实质性影响的仪器故障或设备故障。

2 - 生产、物流、维护方面的次要偏差或者法规检查次要缺陷。

上游工艺参数超标，但是没有导致中间体不合格。

4 - 生产、物流、维护方面的主要偏差或者法规检查主要缺陷。

中间体不合格。

趋势分析中发现的中间体质量下降。

8 - 生产、物流、维护方面的关键偏差或者法规检查关键缺陷。

工艺验证失败。

趋势分析中发现的成品质量明显下降。

维度3：质量体系坚固性和数据完整性

1 - SOP描述不够明确，但是不会导致操作失误。

笔误或者没有实质影响的数据转抄错误

2 - 检测、质量体系或其它GMP相关过程的次要偏差或者法规检查次要缺陷。

没有遵守SOP的非关键条款。

数据完整性控制方面的次要缺陷。

4 - 检测、质量体系或其它GMP相关过程的主要偏差或者法规检查主要缺陷。

数据完整性缺乏控制，但是没有影响数据有效性。

8 - 检测、质量体系或其它GMP相关过程的关键偏差或者法规检查关键缺陷。

数据完整性控制方面的关键缺陷。

数据造假。

(二)出现概率（O）和不可探测度（D）赋值表的开发

使用业内常用的赋值级别。

(三)风险耐受度的开发和定义

根据S、O、D的赋值规定，RPN可能有4x4x4=64个组合。评估每个组合是否可接受：

是

否

边缘值

（处于可以接受的边缘，如果资源允许，应当进一步降低）

S

O

D

RPN

是否接受？

1

1

1

1

是

1

1

2

2

是

1

1

3

3

是

1

1

4

4

是

1

2

1

2

是

1

2

2

4

是

1

2

3

6

是

1

2

4

8

是

1

3

1

3

是

1

3

2

6

是

1

3

3

9

是

1

3

4

12

是

1

4

1

4

是

1

4

2

8

是

1

4

3

12

是

1

4

4

16

边缘值

2

1

1

2

是

2

1

2

4

是

2

1

3

6

是

2

1

4

8

是

2

2

1

4

是

2

2

2

8

是

2

2

3

12

是

2

2

4

16

边缘值

2

3

1

6

是

2

3

2

12

是

2

3

3

18

边缘值

2

3

4

24

否

2

4

1

8

是

2

4

2

16

边缘值

2

4

3

24

否

2

4

4

32

否

4

1

1

4

是

4

1

2

8

是

4

1

3

12

是

4

1

4

16

边缘值

4

2

1

8

是

4

2

2

16

是

4

2

3

24

否

4

2

4

32

否

4

3

1

12

是

4

3

2

24

否

4

3

3

36

否

4

3

4

48

否

4

4

1

16

边缘值

4

4

2

32

否

4

4

3

48

否

4

4

4

64

否

8

1

1

8

是

8

1

2

16

是

8

1

3

24

否

8

1

4

32

否

8

2

1

16

边缘值

8

2

2

32

否

8

2

3

48

否

8

2

4

64

否

8

3

1

24

否

8

3

2

48

否

8

3

3

72

否

8

3

4

96

否

8

4

1

32

否

8

4

2

64

否

8

4

3

96

否

8

4

4

128

否

从上表可以看出，对于RPN≦12的风险，都是可以接受的；12以上的RPN是16和18，有的可以接受，有的处在可以承受的边缘；大于18的RPN值，都是不可以接受的。RPN为16和18的情况：

S

O

D

RPN

是否接受？

1

4

4

16

边缘值

2

2

4

16

边缘值

2

3

3

18

边缘值

2

4

2

16

边缘值

4

1

4

16

是

4

2

2

16

是

4

4

1

16

边缘值

8

1

2

16

是

8

2

1

16

边缘值

因此，将风险耐受度定义为“RPN值应控制≦18，如有可能，应尽量降低RPN值，最佳值≦12”。

某些风险控制措施，可以完全消除风险的根源，或者将风险转移成其它风险。对于这种风险，应该不再计算RPN值。例如，某个工艺中间体有时出现水分超标，分析发现，该中间体下一步工艺还需要投入水，测水分没有意义；因此，取消中间体的水分检测，该风险即被消除。再比如，不同产品共生产线有共线污染风险，使用专用生产线后，该共线污染风险被消除。

有极少数RPN值超过风险耐受度、但又必须接受的情况。例如，某个产品，上游中间体每一轮生产的前两批，需要找准条件，容易出现不合格中间体批次（RPN=SxOxD=4x3x2=24），由于技术上的限制，该风险无法降低。再比如，非无菌原料药的微生物污染风险，赋值RPN= SxOxD=8x1x3=24。对于这类风险，应当以专题报告的形式评估和批准。

----------（正文结束）-----------