确认与验证

第一章  范  围

第一条  本附录适用于在药品生产质量管理过程中涉及的所有确认与验证活动。

E：本附录的适用范围是药品生产质量管理过程的所有确认与验证活动。这里的药品生产质量管理过程界定了有GMP要求的过程，其实仅从字面上看，这个范围是比较模糊的，所以在实际应用这个条款时需要从风险的角度去界定实际的范围，这里界定的方法如系统影响评估或者是单独的风险评估去界定范围。

第二章  原  则

第二条  企业应当确定需要进行的确认或验证工作，以证明有关操作的关键要素能够得到有效控制。确认和验证的范围和程度应根据风险评估的结果确认。确认与验证应当贯穿于产品生命周期的全过程。

E：明确了确认或验证工作的目的，从风险定义来看，确认和验证就是证明风险控制措施能够保证风险得到有效控制的书面证明。在这条中强调关键要素需要得到控制，从HACCP的角度来讲，这里的关键要素可以理解为影响CCP的关键要素，关键要素可以从人、机、物、法、环、测六个方面去分解。

确认和验证的范围应根据风险评估的结果确认从另一个角度阐述了确认和验证对风险评估结果的确认，这里的风险评估结果通常指的是关键性评估结果，从风险的角度讲，只有评估出来的关键要素才是需要确认和验证的。

确认和验证应当贯穿于产品生命周期的全过程，从风险的角度来讲，在产品生命周期中所有风险都要得到持续的控制，这些控制措施要能持续地被证明是有效地才能保证风险的有效控制，如何证明有效？确认或验证。

第三章  验证总计划

第三条  所有的确认与验证活动都应当事先计划。确认与验证的关键要素都应在验证总计划或同类文件中详细说明。

E：此条明确了所有的确认与验证活动都应该事先计划，并强调了关键要素要详细说明。从风险的角度讲，关键要素就是对风险影响较大的因素，从降低风险的角度讲必须对关键要素进行有效控制。

第四条  验证总计划应当至少包含以下信息：

（一）确认与验证的基本原则；

（二）确认与验证活动的组织机构及职责；

（三）待确认或验证项目的概述；

（四）确认或验证方案、报告的基本要求；

（五）总体计划和日程安排；

（六）在确认与验证中偏差处理和变更控制的管理；

（七）保持持续验证状态的策略，包括必要的再确认和再验证；

（八）所引用的文件、文献。

E：此条描述了验证总计划的基本要求，验证总计划实际是一个对验证工作的总体规划，本条内容中并没有对验证的方法等内容进行要求，但是实际编写时需要加入此项内容。

第五条  对于大型和复杂的项目，可制订单独的项目验证总计划。

E：大型和复杂的项目意味着更多的不确定性，单独的项目总计划可以更加清晰地降低这些不确定性可能带来的负面影响。

第四章  文  件

第六条  确认与验证方案应当经过审核和批准。确认与验证方案应当详述关键要素和可接受标准。

E：方案应当经过审核和批准是为了规避人为差错，降低文件控制的风险。关键要素和可接受标准从风险的角度来看需要来自于相对应的风险管理文件或者法规指南等文档。关键要素和可接受标准从风险的定义来看属于目标，只有首先明确了目标才能在确认和验证过程中不断规避或降低不确定性对这些确认和验证的目标的影响并顺利达到目标。

第七条  供应商或第三方提供验证服务的，企业应当对其提供的确认与验证的方案、数据或报告的适用性和符合性进行审核、批准。

E：本条旨在规避供应商或第三方提供的验证服务带来的潜在风险。

第八条  确认或验证活动结束后，应当及时汇总分析获得的数据和结果，撰写确认或验证报告。企业应当在报告中对确认与验证过程中出现的偏差进行评估，必要时进行彻底调查，并采取相应的纠正措施和预防措施；变更已批准的确认与验证方案，应当进行评估并采取相应的控制措施。确认或验证报告应当经过书面审核、批准。

E：本条描述了确认或验证报告的基本要求，确认和验证的本质是文件化的证明，所以其文件属性十分重要。在确认或验证过程中出现的偏差和变更都是风险信号，需要进行风险评估。

第九条  当确认或验证分阶段进行时，只有当上一阶段的确认或验证报告得到批准，或者确认或验证活动符合预定目标并经批准后，方可进行下一阶段的确认或验证活动。

上一阶段的确认或验证活动中不能满足某项预先设定标准或偏差处理未完成，经评估对下一阶段的确认或验证活动无重大影响，企业可对上一阶段的确认或验证活动进行有条件的批准。

E：本条描述了确认或验证分阶段进行的基本要求。从风险控制的角度讲，严格阶段控制可以规避前一阶段的风险非预期地带入下一阶段从而影响目标的达成；如果出现上一阶段有偏差或未达到预期标准，就需要进行风险评估，以确保非预期的风险得到控制。如果评估出来风险可接受即可对上一阶段的确认或验证活动进行有条件的批准。最终的目的还是对过程中未预见到的风险进行有效控制。

第十条  当验证结果不符合预先设定的可接受标准时，应当进行记录并分析原因。企业如对原先设定的可接受标准进行调整，需进行科学评估，得出最终的验证结论。

E：当验证结果不符合预先设定的可接受标准时，从风险管理的角度讲，可能有两个原因，一是本身风险控制措施制定的不合理或者其可接受标准设定不合理，二是验证过程中出现了异常。这两种情况都会带来可能在风险评估的时候未涉及到的风险，所以需要特别注意，需要对这两种可能的情况进行重新的风险评估作为前面的风险评估补充后再下验证结论。不符合预先设定的可接受标准可能会有两种做法，如果是风险控制措施本身制定不合理的或者其标准不合理的，就需要进行调整，但需要确保调整后的标准不会带来新的风险；如果是验证过程中出现异常的，可能需要重新进行验证，并出具偏差报告。

第五章  确  认

第一节  设计确认

第十一条  企业应当对新的或改造的厂房、设施、设备按照预定用途和本规范及相关法律法规要求制定用户需求，并经审核、批准。

E：本条强调了用户需求（UR）的基本要求，在确认中用户需求用用户需求说明（URS）来体现，从风险的角度来讲，URS是确认的目标，从ASTM E2500最新的验证的理念来看，设备验证的源头就是URS，企业需要根据URS进行设计，以后所有的工作都是为了证明设计时符合URS的，这些工作可以统称为设计审核。具体内容见：（《验证与风险管理（7）：从风险的角度解读ASTM E2500中阐述的验证新的理念》）。这里也描述了用户需求的来源：预定用途、本规范和相关法规法律的要求。相对ASTM E2500，这里的描述相对简单，请同时参考ASTM E2500的内容：产品知识、工艺知识、法规要求和公司质量要求。

第十二条  设计确认应当证明设计符合用户需求，并有相应的文件。

E：此条明确了设计确认的目的是证明设计符合用户需求。从确认的具体操作来看要降低设计确认中漏项的风险，最好的方式就是对用户需求进行逐条确认，确保每条用户需求都在设计上能够得到满足，也从另外一个角度体现了质量源于设计的理念。

第二节  安装确认

第十三条  新的或改造的厂房、设施、设备需进行安装确认。

E：此条界定了安装确认的范围，注意是“新的或改造的”需要安装确认。从风险的角度来讲，新的或改造的意味着更多的不确定性，需要通过确认去让这些不确定性更加清晰并达到风险可控的目标。那么对于不是“新的或改造的”呢？其实只需要对其现有状态进行评估，首先需要判断是否有变化，如果有变化也是需要根据变化的情况来决定是否需要重新进行安装确认。

第十四条  企业应当根据用户需求和设计确认中的技术要求对厂房、设施、设备进行验收并记录。安装确认至少包括以下方面：

（一）根据最新的工程图纸和技术要求，检查设备、管道、公用设施和仪器的安装是否符合设计标准；

（二）收集及整理（归档）由供应商提供的操作指南、维护保养手册；

（三）相应的仪器仪表应进行必要的校准。

E：此条对验收进行了规定，验收的依据时用户需求和设计确认中的技术要求。对安装确认的最基本的内容进行了规定，但是在实际确认时需要从风险的角度对关键要素进行确认。

第三节 运行确认

第十五条  企业应当证明厂房、设施、设备的运行符合设计标准。运行确认至少包括以下方面：

（一）根据设施、设备的设计标准制定运行测试项目。

（二）试验/测试应在一种或一组运行条件之下进行，包括设备运行的上下限，必要时选择“最差条件”。

E：此条对运行确认做了最低要求，首先运行确认的目的是证明厂房、设施、设备符合设计标准，按照ASTM E2500中的理念所有确认和验证都是属于设计审核的内容，也就是所有的确认工作都是为了证明符合设计标准和用户需求。基于此点，运行确认中的运行测试项目需要根据设计标准来制定，也就意味着运行确认需要和设计确认以及用户需求标准相对应。运行测试的测试条件需要根据设计标准来制定，注意这里设备运行的上下限，应综合考虑用户需求和设计设计标准，必须时可以考虑使用设备自身的极限值，这里的最差条件的测试主要是基于风险的考虑，所谓的最差条件也就是设备运行可能带来风险最大的条件，如果这个风险最大的条件都能满足要求，就意味着设备在其他条件内也能满足要求。

第十六条  运行确认完成后，应当建立必要的操作、清洁、校准和预防性维护保养的操作规程，并对相关人员培训。

E：基于风险的考虑，设备操作、清洁、校准和预防性维护保养的操作规程其实都是风险控制措施的书面形式，在进行确认和验证之前，这些风险控制措施必须以某种形式体现出来，这种形式可以是操作手册、方案、报告或者是操作程序的初稿，这些文件是进行确认的基础，由于运行确认是要进行操作的，所以在运行确认前必须有书面的操作程序或者操作程序的其他形式。通常可以使用操作程序的初稿、运行测试方案、运行测试记录等形式来体现。但是在运行确认完成后，应根据运行确认的情况将这些文件生效。

第四节  性能确认

第十七条  安装和运行确认完成并符合要求后，方可进行性能确认。在某些情况下，性能确认可与运行确认或工艺验证结合进行。

E：此条规定性能确认开展的时机，首先必须在安装和运行确认完成并符合要求后方可进行，从风险的角度讲，只有设备设施安装调试运行确认好后才能最大限度保证性能确认的成功。这里限定的某些情况下，可以理解为在风险可接受的情况下，性能确认可与运行确认或工艺验证结合进行。

第十八条  应当根据已有的生产工艺、设施和设备的相关知识制定性能确认方案，使用生产物料、适当的替代品或者模拟产品来进行试验/测试；应当评估测试过程中所需的取样频率。

E：此条规定了性能确认方案的制定依据，性能确认方案应根据生产工艺、设施和设备的相关知识制定，注意这里没有提到设计标准，但是在制定性能确认方案的时候，基于风险的考虑也需要参考用户需求标准和设计标准来制定。性能确认使用的物料可以生产物料、适当的替代品或者是模拟产品，选择物料时应考虑测试过程和结果与实际工艺的匹配性和代表性。这里强调了要在测试过程中评估所需的取样频率，从风险的角度理解，这里的取样频率反映的是风险的可检测性，在性能确认时可以根据一定取样频率来评估可检测性，并制定可以接受的日常生产的取样频率。

第六章  工艺验证

第一节  一般要求

第十九条  工艺验证应当证明一个生产工艺按照规定的工艺参数能够持续生产出符合预定用途和注册要求的产品。工艺验证应当包括首次验证、影响产品质量的重大变更后的验证、必要的再验证以及在产品生命周期中的持续工艺确认，以确保工艺始终处于验证状态。

E：此条对工艺验证的定义以及主要内容进行了规定。工艺验证主要有两个目的：一是证明生产工艺按照规定的工艺参数能够生产出符合预期用途和注册要求的产品。二是要确保工艺始终处于验证状态。从风险的角度理解，所有风险控制措施验证有效后还需要定期进行风险回顾确保这些控制措施持续有效。

第二十条  企业应当有书面文件确定产品的关键质量属性、关键工艺参数、常规生产和工艺控制中的关键工艺参数范围，并根据对产品和工艺知识的理解进行更新。

E：此条实际规定了工艺验证的几个关键点：关键质量属性、关键工艺参数、常规生产和工艺控制中的关键工艺参数范围。这些内容可以来源于基于科学和风险的关键性评估，基于科学即需要考虑产品和工艺知识的理解，基于风险则是需要通过风险评估找出风险点，并按照风险优先级的方法找出关键点，其中就包括关键质量属性和关键工艺参数，其中关键质量属性主要与对产品知识的理解有关，关键工艺参数则与各项控制要素有关，如设备、仪表、人员等，这些要素一旦发生变化需要及时进行评估，并根据评估结果对这些关键点进行更新。

第二十一条  采用新的生产处方或生产工艺进行首次工艺验证应当涵盖该产品的所有规格。企业可根据风险评估的结果采用简略的方式进行后续的工艺验证，如选取有代表性的产品规格或包装规格、最差工艺条件进行验证，或适当减少验证批次。

E：此条对工艺验证开展的方式进行了规定，新的生产处方或生产工艺进行首次工艺验证时是相对风险最大的，如果不涵盖所有规格有可能潜在的问题不能被发现并导致后续潜在的质量风险。在后续的工艺验证时可以基于风险最小化的原则采用简略的方式，这也是兼顾了成本等其他因素。在使用简略的方式进行工艺验证时一定要符合风险最小化的原则。

第二十二条  工艺验证批的批量应当与预定的商业批的批量一致。

E： 工艺验证批的批量与预定的商业批的批量一致可以最大限度规避因批量变化带来的潜在风险，这里的一致潜在意思可以理解成风险最小，但并没有强制要求一样。

第二十三条  工艺验证前至少应当完成以下工作：

（一）厂房、设施、设备经过确认并符合要求，分析方法经过验证或确认。

（二）日常生产操作人员应当参与工艺验证批次生产，并经过适当的培训。

（三）用于工艺验证批次生产的关键物料应当由批准的供应商提供，否则需评估可能存在的风险。

E：此条规定了工艺验证的前提条件，由于工艺验证侧重于对关键质量属性和关键工艺参数进行验证，所以所有可能影响关键质量属性和关键工艺参数的其他关键要素（来源于工艺风险评估）都必须在工艺验证之前得到确认。这里的关键要素包括人员、厂房设施设备、分析方法以及物料等。只有这些关键要素得到确认，才能保证工艺验证中关键质量属性和关键工艺参数的变异相对最小。

第二十四条  企业应当根据质量风险管理原则确定工艺验证批次数和取样计划，以获得充分的数据来评价工艺和产品质量。  

企业通常应当至少进行连续三批成功的工艺验证。对产品生命周期中后续商业生产批次获得的信息和数据，进行持续的工艺确认。

E：工艺验证批数和取样计划的选择，从风险的角度讲属于通过一定数量的批次的数据来预测风险的可能性和通过取样计划来评估风险的可检测性。这里可以通过风险公式：风险=严重性*可能性*可检测性来评估需要选取的验证批次数和取样计划。至少三批的规定主要是基于统计学的原理，连续三批以上的批次的数据才具有统计学意义。首次验证以后需要持续收集后续商业生产批次的信息和数据，从风险的可能性角度讲，数据越多，对未来可能性（概率）的预测相对来说越准确或者说越确定。

第二十五条  工艺验证方案应当至少包括以下内容：

（一）工艺的简短描述（包括批量等）；

（二）关键质量属性的概述及可接受限度；

（三）关键工艺参数的概述及其范围；

（四）应当进行验证的其他质量属性和工艺参数的概述；

（五）所要使用的主要的设备、设施清单以及它们的校准状态；

（六）成品放行的质量标准；

（七）相应的检验方法清单；

（八）中间控制参数及其范围；

（九）拟进行的额外试验，以及测试项目的可接受标准，和已验证的用于测试的分析方法；

（十）取样方法及计划；

（十一）记录和评估结果的方法（包括偏差处理）；

（十二）职能部门和职责；

（十三）建议的时间进度表。

E：规定了工艺验证方案的最低要求。

第二十六条  如企业从生产经验和历史数据中已获得充分的产品和工艺知识并有深刻理解，工艺变更后或持续工艺确认等验证方式，经风险评估后可进行适当的调整。

E：基于风险可以对验证方式进行调整，最终的目的是确保各种风险控制措施的有效性得以证明并能够持续有效。

第二节  持续工艺确认

第二十七条  在产品生命周期中，应当进行持续工艺确认，对商业化生产的产品质量进行监控和趋势分析，以确保工艺和产品质量始终处于受控状态。

E：持续工艺确认从风险角度讲属于对工艺的风险监控，可以采用两种方式，一种是过程的持续监控，即现场的质量监控，另一种是对结果的监控，即对检测或检查的结果进行趋势分析，两者的主要目的是确保各项操作都按照验证的操作规程进行，当发生偏离可能导致质量风险时能够及时发现并采取措施降低风险。

第二十八条  在产品生命周期中，考虑到对工艺的理解和工艺性能控制水平的变化，应当对持续工艺确认的范围和频率进行周期性的审核和调整。

E：从风险角度讲这属于风险回顾和审核的内容，周期性的审核和调整的目的是为了规避日常监控可能忽视的风险，比如工艺条件发生变化时监控的范围和频率需要根据其变化进行调整。

第二十九条  持续工艺确认应当按照批准的文件进行，并根据获得的结果形成相应的报告。必要时，应当使用统计工具进行数据分析，以确认工艺处于受控状态。

E：此条规定了持续工艺确认的基本要求，需要形成报告，必要时需要使用统计工具来定量地评估风险。

第三十条  持续工艺确认的结果可以用来支持产品质量回顾分析，确认工艺验证处于受控状态。当趋势出现渐进性变化时，应当进行评估并采取相应的措施。

E：此处应注意持续工艺确认和产品质量回顾分析的区别，从风险的角度看：持续工艺确认属于风险监控的内容，产品质量回顾分析则属于风险回顾的一种方式。工艺验证是否属于受控状态，主要是通过定期的回顾分析来判断，但在日常监控中趋势发生异常变化时如条款中提到的渐进式变化时也需要评估，并根据评估采取相应的措施，这样主要的风险在于可能这种变化意味着工艺状态已经偏离工艺验证时的状态。

第三节  同步验证

第三十一条  在极个别情况下，允许进行同步验证。如因药物短缺可能增加患者健康风险、因产品的市场需求量极小而无法连续进行验证批次的生产。

E：同步验证对于药品来说是有风险的，因为没有生产的历史数据来支持，可能一些潜在的风险不能得到及时的发现，一旦上市可能产生用药风险。但是如果从风险和效益综合来考虑，效益大于风险时，同步验证也是可以接受的，此条列举的例子即效益大于风险的例子。

第三十二条  对进行同步验证的决定必须证明其合理性、并经过质量管理负责人员的批准。

E：由于进行同步验证具有一定的风险，所以必须采取其他措施尽量降低这种风险，首先是要证明其效益大于风险，即合理性，另外这种风险必须有企业质量负责人来确认并承担。批准即意味着要承担责任。

第三十三条  因同步验证批次产品的工艺和质量评价尚未全部完成产品即已上市，企业应当增加对验证批次产品的监控。

E：由于同步验证的风险，如果工艺和质量评价尚未全部完成产品即已上市，这种情况风险更大，所以这里要求企业增加对验证批次产品的监控也是旨在降低这种风险，一旦发生问题，比如不良反应，企业能够采取措施降低风险。

第七章  运输确认

第三十四条  对运输有特殊要求的物料和产品，其运输条件应当符合相应的批准文件、质量标准中的规定或企业（或供应商）的要求。

E：对运输有特殊要求的物料和产品进行规定，要求其运输条件符合相应的批准文件、质量标准中的规定或企业（或供应商）的要求，主要目的为了降低运输中的质量风险，另外也要降低法规符合性的风险。

第三十五条  运输确认应当对运输涉及的影响因素进行挑战性测试，且应当明确规定运输途径，包括运输方式和路径。长途运输还应当考虑季节变化的因素。

E：由于运输过程的外界条件是不断变化的，所以要基于风险最小化的原则进行运输确认，即证明最差条件下风险是可以接受的，所以运输确认需要对运输涉及的影响因素进行挑战性测试，即最差条件或者极限条件，其中包括运输途径、运输中的温度变化等。

第三十六条  除温度外还应当考虑和评估运输过程中的其他相关因素对产品的影响，如湿度、震动、操作、运输延误、数据记录器故障、使用液氮储存、产品对环境因素的敏感性等。

E：运输过程中温度是导致质量风险的最关键因素，因为可能导致药品内在质量的变化，但同时也需要考虑其他的风险因素，如湿度、震动、操作、运输延误、数据记录器故障等，这些因素可以通过运输风险评估事先进行评估，并根据评估结果来选择需要确认的项目。

第三十七条  在产品运输过程中可能会遇到各种不可预计的情况，运输确认应当对关键环境条件进行连续监控。

E：运输确认中对关键环境条件的连续监控与工艺验证的持续工艺确认类似，其目的是降低运输过程中出现的可能未预计到的各种风险因素可能带来的质量风险。运输确认的实施方法可以参考PDA TR39的内容。

第八章  清洁验证

第三十八条  为确认与产品直接接触设备的清洁操作规程的有效性，应当进行清洁验证。应当根据所涉及的物料，合理地确定活性物质残留、清洁剂和微生物污染的限度标准。

E：此条描述了清洁验证的主要目的：确认与产品直接接触设备的清洁操作规程的有效性。这里限定了法规要求的范围，有两个要点：一是与产品直接接触设备，与产品直接接触其可能带来的风险最大；二是对清洁操作规程的有效性的确认，即对降低清洁风险的控制措施的有效性的验证，清洁验证验证的对象是什么？是清洁操作规程，不是设备本身也不是生产工艺。清洁验证的本质是为了降低污染和交叉污染的风险，污染和交叉污染的来源可以分三类：化学性污染，如活性物质残留、清洁剂残留；物理污染，如外来无机杂质等，生物污染，如微生物或内毒素等。另外需要注意的是这种污染和交叉污染的风险是不可能消除的，只能是降低到可以接受的限度，这个限度可以通过控制残留物的限度来体现。

第三十九条  在清洁验证中，不能采用反复清洗至清洁的方法。目视检查是一个很重要的标准，但通常不能作为单一可接受标准使用。

E：反复清洗至清洁的方式从操作的角度来说不具备可重复性，不可重复性的操作在执行时从风险的可能性来讲发生偏差的概率较高，从而可能会导致最终的风险变得很高。清洁验证的目的就是为了验证清洁操作规程，如果这种操作规程不具备可重复性，这种清洁验证将毫无意义。目视检查是一种很重要的标准，因为目视检查相比取样更加全面，检查的面相对比较广，从检查的覆盖面来讲其可检测性较高，但是由于目视检查通常是由人来执行的，其不确定性就较高，如果作为单一的可接受标准使用，其可检测性具有一定的波动性，所以通常不能作为单一可接受的标准使用。但是如果这种目视检查有非常严格执行标准或者可以证明可以规避这种人为操作带来的不确定性，也是可以作为唯一标准的。

第四十条  清洁验证的次数应当根据风险评估确定，通常应当至少进行连续三次。

清洁验证计划完成需要一定的时间，验证过程中每个批次后的清洁效果需及时进行确认。必要时，企业在清洁验证后应当对设备的清洁效果进行持续确认。

E：清洁验证的次数从风险的角度来看主要是要能够收集充分的数据来确定风险的可能性因素，但是也要从风险的公式：风险=严重性*可能性*可检测性来综合考虑需要选取的次数，应在充分考虑严重性和可检测性的前提下制定合理的验证次数。连续三次是统计学意义上的最低次数，但并不一定是最合适的次数。验证过程中对每个批次后的清洁效果的及时确认和清洁验证后对设备的清洁效果的持续确认都可以一定程度上来反映风险的可能性要素，应在充分考虑严重性和可检测性的前提下确定是否需要进行持续确认，最终的目标是要确保风险被控制在可接受的范围之内。

第四十一条  验证应当考虑清洁方法的自动化程度。当采用自动化清洁方法时，应当对所用清洁设备设定的正常操作范围进行验证；当使用人工清洁程序时，应当评估影响清洁效果的各种因素，如操作人员、清洁规程详细程度（如淋洗时间等），对于人工操作而言，如果明确了可变因素，在清洁验证过程中应当考虑相应的最差条件。

E：清洁方法从操作方式上来讲有自动清洗、人工清洗及两种方式的组合，使用自动清洗其主要的风险因素是清洁设备的操作范围，人工清洁其主要的风险有人员、操作程序、清洁设备等，在制定清洁验证方案前因针对清洁方法进行充分的风险评估找出其关键要素后再确定具体的清洁验证方案。清洁验证的基本思路是风险最小化，如果清洁方法存在很大的可变性，就一定要找到变化中的最差条件去证明其是否可以达到清洁要求，如果最差条件能够满足要求，其他条件也就能够满足要求。

第四十二条  活性物质残留限度标准应当基于毒理试验数据或毒理学文献资料的评估建立。

如使用清洁剂，其去除方法及残留量应当进行确认。

可接受标准应当考虑工艺设备链中多个设备潜在的累积效应。

E：活性物质残留风险主要是其可能带来的潜在毒性，从风险的角度讲，其残留限度意味着可能带来的风险的高低，残留限度越高其风险越大，其风险可接受的限度来源于其本身的毒性数据，所以要建立活性物质的残留限度必须基于活性物质的毒理实验数据或毒理学文献资料的评估，但如果没有毒理相关数据时，则需要基于风险最小化的原则选择残留限度。清洁剂的风险主要是毒性以及可能下批次产品工艺的影响，所以需要充分去除，去除方法及残留量需要证明能够确保其带来的风险在可接受的范围内，可接受的范围可以来自于毒理性数据或者相应的法规标准。多个设备的累积效应反映的是风险的累积，由于残留物限度是一个数量概念，当多个设备的残留物累积到一定程度时也可能带来潜在风险，所以需要在制定可接受标准时考虑这种累积效应，从标准层面就要降低这种潜在风险。

第四十三条  应当在清洁验证过程中对潜在的微生物污染进行评价，如需要，还应当评价细菌内毒素污染。应当考虑设备使用后至清洁前的间隔时间以及设备清洁后的保存时限对清洁验证的影响。

E：微生物污染也是清洁验证中需要重点考虑的风险因素，对于后续产品有细菌内毒素要求的，还需要考虑细菌内毒素风险。设备使用后至清洁前的间隔时间应充分考虑两方面因素：一方面是放置过程中残留的潜在变化带来的潜在清洁风险，如物理变化，与设备表面附着力增大导致清洁变难，如化学变化，残留物降解导致清洁标的物变化等；二是需要考虑放置过程中的微生物滋生。设备清洁后的保存时限则主要是考虑保存过程中的微生物状态的变化带来的潜在风险。

第四十四条  当采用阶段性生产组织方式时，应当综合考虑阶段性生产的最长时间和最大批次数量，以作为清洁验证的评价依据。

E：阶段性生产组织方式对于清洁来说可能的风险是残留物的累积效应，清洁的风险会随着这种累积效应的不断增加而增加，阶段性生产的时间越长，批次数量越大，其清洁风险相对越大，所以应基于风险最小化的原则，选择最长时间和最大批次数量来开展清洁验证。

第四十五条  当采用最差条件产品的方法进行清洁验证模式时，应当对最差条件产品的选择依据进行评价，当生产线引入新产品时，需再次进行评价。如多用途设备没有单一的最差条件产品时，最差条件的确定应当考虑产品毒性、允许日接触剂量和溶解度等。每个使用的清洁方法都应当进行最差条件验证。

在同一个工艺步骤中，使用多台同型设备生产，企业可在评估后选择有代表性的设备进行清洁验证。

E：此条对清洁验证中的最差条件的选择进行了规定，最差条件的选择需要基于风险最小化的原则，确保选取的最差条件能够最终达到风险最小化的目的。所以在选择最差条件产品时要有充分的证据证明这种选择能够达到风险最小化。最差条件的选择可以在清洁验证前的风险评估中进行。

第四十六条  清洁验证方案应当详细描述取样的位置、所选取的取样位置的理由以及可接受标准。

E：此条规定了清洁验证方案对于取样相关的要求，清洁验证中的取样反映的是风险的可检测性，在选择取样位置及可接受标准时应从风险的可检测性角度去考虑。

第四十七条  应当采用擦拭取样和（或）对清洁最后阶段的淋洗液取样，或者根据取样位置确定的其他取样方法取样。擦拭用的材料不应当对结果有影响。如果采用淋洗的方法，应当在清洁程序的最后淋洗时进行取样。企业应当评估取样的方法有效性。

E：此条对取样方法进行了规定，在选择取样方法时应充分考虑取样方法本身可能带来的风险，取样本身的风险主要是所取样品是否具有代表性，可以通过对取样方法及过程进行风险评估后根据评估结果制定相应的措施来确保取样方法的有效性。

第四十八条  对于处于研发阶段的药物或不经常生产的产品，可采用每批生产后确认清洁效果的方式替代清洁验证。每批生产后的清洁确认应当根据本附录的相关要求进行。

E：研发阶段的药物相对清洁风险较低，另外不经常生产的产品一般无法进行统计学意义上的清洁验证，要降低清洁带来的潜在风险，可以通过提高清洁风险的可检测性的方法来降低其无法预测可能性高低的风险。对每批生产后的清洁效果进行确认需要基于风险的可检测性的考虑尽可能提高其可检测性，如增加取样，提高检测限度等。

第四十九条  如无法采用清洁验证的方式来评价设备清洁效果，则产品应当采用专用设备生产。

E：无法采用清洁验证的方式来评价设备清洁效果，从风险的角度来考虑，其风险的两个要素：可能性和可检测性都无法定量或定性判断，所以其风险无法有效预测，按照风险最小化的原则，其清洁风险默认为高，所以应采用专用设备从清洁风险的严重性上来规避风险。

第九章  再确认和再验证

第五十条  对设施、设备和工艺，包括清洁方法应当进行定期评估，以确认它们持续保持验证状态。

E：对设施、设备和工艺包括清洁方法的定期评估，从风险的角度看，即风险管理流程中的风险回顾，通过定期的风险回顾来确认其风险控制状态是否处于验证时的状态。

第五十一条  关键的生产工艺和操作规程应当定期进行再验证，确保其能够达到预期效果。

E：再验证可以理解为风险的可检测性的一种体现，当风险严重性和可能性都较高（此种情况其影响因素中必然包含了至少一项关键要素），就需要尽量提高其可检测性，为了最大程度地降低风险，通过定期的再验证来提高其可检测性。

第五十二条  应当采用质量风险管理方法评估变更对产品质量、质量管理体系、文件、验证、法规符合性、校准、维护和其他系统的潜在影响，必要时，进行再确认或再验证。

E：变更意味着新的未知的风险的出现，所以需要进行充分的风险评估，如果变更可能带来验证状态的变化，则需要进行再确认或再验证。

第五十三条  当验证状态未发生重大变化，可采用对设施、设备和工艺等的回顾审核，来满足再确认或再验证的要求。当趋势出现渐进性变化时，应当进行评估并采取相应的措施。

E:验证状态未发生重大变化，意味着所有的风险控制措施都处于验证过的有效状态，所以只需要按部就班地进行日常的风险回顾来确认验证状态未发生变化，所有风险处于可控状态即可。但是如果出现趋势异常则表明可能出现潜在的风险，则需要进行风险评估并采取相应的措施。

第十章  术语

第五十四条  下列术语含义是：

（一）安装确认

为确认安装或改造后的设施、系统和设备符合已批准的设计及制造商建议所作的各种查证及文件记录。

（二）关键质量属性

指某种物理、化学、生物学或微生物学的性质，应当有适当限度、范围或分布，保证预期的产品质量。

（三）工艺验证

为证明工艺在设定参数范围内能有效稳定地运行并生产出符合预定质量标准和质量特性药品的验证活动。

（四）模拟产品

与被验证产品物理性质和化学性质非常相似的物质材料。在很多情况下，安慰剂具备与产品相似的理化特征，可以用来作为模拟产品。

（五）清洁验证

有文件和记录证明所批准的清洁规程能有效清洁设备，使之符合药品生产的要求。

（六）设计确认

为确认设施、系统和设备的设计方案符合期望目标所作的各种查证及文件记录。

（七）同步验证

在商业化生产过程中进行的验证，验证批次产品的质量符合验证方案中所有规定的要求，但未完成该产品所有工艺和质量的评价即放行上市。

（八）性能确认

为确认已安装连接的设施、系统和设备能够根据批准的生产方法和产品的技术要求有效稳定（重现性好）运行所作的试车、查证及文件记录。

（九）用户需求

是指使用方对厂房、设施、设备或其他系统提出的要求及期望。

（十）运行确认

为确认已安装或改造后的设施、系统和设备能在预期的范围内正常运行而作的试车、查证及文件记录。

（十一）最差条件

在标准操作规程范围内（或超出），由工艺参数的上、下限和相关因素组成的一个或一系列条件。与理想条件相比时，最差条件使产品或者生产工艺失败的几率为最大，这样的条件不一定导致产品或生产工艺的失败。