如何评估和管理生物制药的安全风险

在制药行业固有的众多风险中，安全性具有最直接的重大影响。可以使用系统风险结构 (SRS) 将安全风险描述并建模为因果关系。所有风险都由一个原因引发，该原因通过一个连接机制（被描述为一个系统）产生影响。必须使用所有三个要素（原因、系统和影响）来定义和构建特定风险。本文的目的是构建广泛的风险，从定义的危险或威胁开始，以便可以有效地理解和管理它们。

安全属于风险家族，其中对主要风险的分析始于识别明显的主要威胁（危险），该威胁可能通过一个或多个主要系统导致主要后果（危害）。然而，导致伤害的危险概率也可能取决于一个或多个次要风险因素，这些因素会影响主要风险系统控制危险、以防止伤害的能力。

本文将介绍如何使用简单的因果模型来评估和管理安全风险。虽然所有模型都是近似值，因此部分错误，但描述风险结构的部分有助于理解危险如何导致伤害。虽然安全风险最常被视为防止对个人或一群人造成伤害，但同样的原则也适用于防止设备、商业企业或任何主体受到明确定义的威胁或危险的损害。

目前，包括制药行业在内的大多数风险从业者都将风险视为不良事件。但有效理解风险需要更完整的定义。风险事件不会自发发生。所有风险事件都是由先前的风险事件引起的。如图 1 所示，主要风险是输入因果事件（威胁）通过被描述为控制系统的机制连接到输出结果事件（结果）。但是，系统的机制可能会受到其它次要风险的影响，这些次要风险也可以描述为因果关系。主要或简单风险是风险的起始威胁、连接系统机制和风险后果的线性序列。连接机制可以是一系列系统。复杂风险是指风险控制系统的机制受到一个或多个次要风险事件显著影响的网络。

图 1：风险的定义 - 主要风险是可能通过系统产生影响的可能原因。对于简单的风险，影响的概率 L_C 是原因 L_T 发生的概率与威胁将通过系统的概率^SYSL_P 的数学乘积，因此 L_C = ^SYSL_P * L_T。如果原因不发生，结果就不会发生。对于复杂风险，次要风险因素事件可能会影响主要风险的^SYSL_P 的概率，从而显著影响主要风险发生的概率（如果威胁发生）。

所有风险事件都有两个属性- 严重性和发生概率。使用附录中的表 A1，可以很容易地描述严重性并从 0 到 7+ 进行评级。表 A1 涵盖了七个数量级，带有客观和主观量表 S_X，对数评分值 S_X^ 计算为客观量表的 Log₁₀S_X。S_X^提供了一个简明的等级来描述任何风险事件的重要性，范围从 0（无影响）到 7+（灾难性）。风险的严重性被认定为风险定义的一部分。不同的严重程度本质上是不同的风险，具有不同的发生概率。风险的严重性通常是显而易见的，或者在假设最坏情况评级的情况下进行分析。

然而，虽然风险是根据其严重程度来识别和排序的，但它们是通过其发生的概率来管理或控制的。不幸的是，估计发生的概率要困难得多。任何未来事件的概率总是被不确定性所笼罩。一些风险事件在数学上是可以定义的，而另一些风险事件可能具有基于先前经验或实验的历史频率数据。估计除明确定义的公平机会游戏之外的事件的概率与估计者的知识水平的复杂不确定性相关，并且受到各种观察者偏见的影响。因此，管理任何风险的挑战是使用最佳可用信息、知识和经验客观地估计未来事件的概率。

本文侧重于理解和使用风险事件的发生概率。可以使用表 A2 描述和评定风险事件发生的概率或可能性。与严重性等级一样，该表涵盖了从确定（100%或 1）到绝不（0% 或 0）的七个数量级的概率 L_X。风险事件 X（因果威胁或影响后果）的可能性表包括主观和客观量表，其中客观量表值 (L_X)用于计算对数评级值 L_X^ 作为客观量表的对数。额定值 L_X^ 的范围从 0（确定）到 ≤ -7（基本上不可能）。表 A2 中的评级可用于描述任何风险事件发生的概率。估计未来事件的概率取决于进行评估的个人或团队的知识、专业技能和判断力。如果有频率数据可用，则应使用。

表 A1 和 A2 都表明，只需将严重性和发生概率估计到一个数量级即可。鉴于这两个属性的高度主观性，一个数量级是可以合理预期的。任何风险分析的最终结果是要么接受风险，要么改变控制系统机制，以将风险后果事件发生的估计概率降低一个或多个数量级，达到可接受的水平。两个属性的数量级估计足以实现最终接受。

为了快速描述风险事件 X 对于接受或补救的重要性，可以将严重等级 S_X^（表 A1）和发生概率等级 L_X^（表 A2）相加，以提供调整后的风险可能性 (ARL)。ARL 值为零（即，有 10% 的机会损失 10 美元或百万分之一的机会损失一百万美元）似乎是接受或拒绝许多风险的中性点。正ARL 值描述不良或难以接受的风险，而负数描述更可接受的风险。在风险严重性 S_X^ 的背景下对 ARL 的主观考虑为就风险接受决策达成共识提供了基础。

将风险定义为一个或多个因果关系，并使用严重性 S_X^ 和可能性 L_X^ 评级有效描述风险事件，可以构建安全风险，以进行分析和管理。

描述安全风险的简化模型

大多数安全风险可以通过以下三个风险事件进行建模或描述，这些风险事件由图 2 所示的两个控制系统分开。

• 危险（Danger） – 对危险控制系统(DCS) 具有发生概率为 L_D 的威胁，通常来自能源，包括化学、重力、热、生物、动能和压力。在许多情况下，假定危险是确定的L_D = 100% (L_D^ = 0)，如表A2 所示。在某些情况下，发生地震等危险的可能性可能会更低。
• 危害（Hazard）- DCS 的后果输出，它是危害控制系统 (HCS) 的威胁输入，其概率 L_H 可能通过 HCS 造成伤害。如果危险不受 DCS 控制，则危险必须由 HCS 控制。
• 伤害（Harm） – 通过 DCS 和 HCS 的危险导致的发生概率为L_C的风险后果。

因此，主要风险由 DCS 和 HCS 关联的三个事件定义。控制系统是控制有害事件发生概率的关键。系统通过系统未能控制输入威胁以防止输出后果的概率来建模。

威胁成功通过系统的概率或可能性的评级如附录中的表 A3 所示。图 1 所示系统产生输出结果 L_C 的可能性是威胁发生的可能性 L_T 和系统传播或无法控制输入的可能性^SYSL_P 的数学乘积。因此 L_C = ^SYSL_P * L_T。如果使用表 A3 中的对数评级，则输出评级 L_C^ 是输入 L_T^ 和系统 ^SYSL_P^ 似然评级的总和，因此 L_C^ = ^SYSL_P^+ L_T^。

对于图 2 建模的安全风险，两个控制系统串联在一起工作，以防止危险导致伤害。

图 2：安全风险的危险风险结构模型 - 该模型显示了从危险到伤害的路径。该模型具有由安全设备组成的 DCS，用于控制导致危险事件的危险。HCS是控制危害以防止危害的人类活动。如果两个控制系统都有效，则发生伤害的可能性，即使是极有可能的危险，也可能非常低。为了快速进行安全分析，可以将 DCS 和 HCS 作为单个系统进行分析。

DCS是一种保护设备，旨在通过 ^DCSL_P 控制危险事件或情况以防止发生危险。DCS 的范围可以从简单的个人防护设备 (PPE) 到复杂的污染控制系统。如图 2 所示，实现危害的可能性为 L_H = L_D* ^DCSL_P。HCS 描述了人们如何观察潜在危害并改变他们的行为或进行其它调整以降低危害导致伤害的可能性。HCS 降低了可能的危害 L_H 导致危害 L_C 的概率，使得 L_C = L_H* ^HCSL_P。组合的 DCS 和 HCS 具有控制危险的累积概率，计算公式为 L_C = L_D* ^DCSL_P * ^HCSL_P。因此，通过构建控制系统来控制危险，以使^DCSL_P 和 ^HCSL_P 尽可能小。

根据具体的安全风险，主要风险只能由两个控制系统中的一个来描述。在某些情况下，^DCSL_P >> ^HCSL_P将控制负担置于 HCS，需要人工观察和行动作为预防伤害的主要方法。然而，在其它风险中，^DCSL_P << ^HCSL_P将控制危险的负担放在物理和机械系统上，而对人类观察和行动的负担很小，因为危险的可能性很小。

分析任何安全风险的关键是估计输入危险 L_D 的可能性以及 DCS 和 HCS 可能性 ^DCSL_P 和 ^HCSL_P。评估两个 ^SYSL_P 必须基于对控制系统如何设计、构建和操作的机制的评估和理解，以最大程度地减少输入威胁导致输出后果的可能性，从而主观地进行。

然而，DCS 和 HCS 都可能受到必须识别和理解的重要次要风险事件的影响。如果发生次要风险事件，可能会显著改变 ^DCSL_P 或 ^HCSL_P，因此这两种可能性基本上变成范围，重点是检查它们的最坏情况值以正确评估主要风险。在某些情况下，控制次要风险事件对于控制主要风险至关重要。如果系统有历史，那么频率数据可能是可用的，但大多数情况下，必须对系统预期如何执行进行主观估计，包括次要风险因素。

复杂安全风险建模

采用图 2 所示的简单主要风险结构并添加如图 3 所示的次要风险因素。虽然简单风险是一个序列，但当控制系统同时具有主要威胁和次要威胁时，就会出现复杂风险，从而形成网络结构体。虽然次要风险不会导致主要风险后果，但它们可以显著增加主要风险威胁的可能性，在这种情况下是危险，通过主要控制系统导致主要后果（伤害）。

图 3：复杂安全风险的危险风险结构模型 - 当主要风险系统 (^SYSL_P) 的性能可能受到次要风险事件（威胁）的显著影响时，简单风险就会变成复杂风险。

如果次要风险比较明显，则可以将其纳入^DCSL_P 和 ^HCSL_P 的初步分析。但是，如果次要风险因素很重要，则可能需要对其进行控制。因此，将次要风险因素作为完整的因果关系进行更详细的分析可能是适当的，以充分了解它们对主要安全系统的潜在影响，并在必要和适当时引入额外的次要风险控制系统。

将次要风险因素建模至主要风险

使用图 1 中显示的风险的基本定义，次要风险可以定义为可能通过威胁控制系统 (TCS) 对主要系统造成次要风险事件的先前威胁。在次要风险因素的情况下，威胁的后果是主要控制系统传播主要威胁输入的可能性 ^SYSL_P 的一个或多个数量级的显著变化。安全风险的复杂风险结构如图 4 所示。

图 4：用于描述复杂安全风险的替代 SRS - 横向描述了产生伤害的危险的主要风险以及影响主要控制系统性能的一个或多个次要风险事件。显著增加^DCSL_P 或 ^HCSL_P 的次要风险事件可能需要更改 DCS 或 HCS 以减少次要威胁的影响，或构建显著降低主要控制系统发生次要威胁的概率的 TCS。

图 4 所示的情况介绍了一种控制重要次要威胁事件的方法。当次要风险可能会增加主要系统的故障概率（^DCSL_P 或 ^HCSL_P）至少一个数量级时，就会对主要控制系统产生影响，从而显著增加主要风险发生的机会。

对于详细的风险分析，可以将^DCSL_P 和 ^HCSL_P 视为基于次要风险事件发生概率的范围。在某些情况下，次要风险事件的发生可能会完全损害控制系统的运行能力，^SYSL_P = 100%，需要添加额外的控制系统以更好地控制次要威胁。

虽然存在解决描述主要和次要风险的风险网络结构的方法，但它们非常困难并且远远超出了本文的范围。这些方法包括概率图、贝叶斯网络或非循环有向图。由于信息的高度主观性和不确定性，此类高级数学解决方案可能不合适，也不是实现数量级估计所必需的。

本文采用的方法是将主要风险和次要风险分解，分别主观评价，然后集体分析，将其理解为个体风险并接受或补救。虽然这种方法缺乏数学严谨性，但消息灵通且经验丰富的个人和专家团队可以有效地使用该方法来成功管理各种风险。

如图 4 所示，次要因素可以被识别、建模，然后单独评估为图 1 定义的风险。如果它们是对主要控制系统的重大威胁，则可以通过开发次要威胁控制系统来补救，以减少次要威胁发生的可能性。在某些情况下，用于补救次要威胁的控制功能可以放在主要控制系统的设计中。

以下案例说明了如何在可能的次要风险因素的背景下构建和评估简单和复杂的安全风险。

案例：使用防护手套

第一个案例描述如何快速查看和分析安全风险。图 5 是几种可能的 SRS 之一，用于分析使用一次性手套以防止操作员在处理可能被污染的物品时手部受到污染的风险。风险事件的严重性（因果）取决于污染物的性质及其对受试者的可能影响。

图 5：PPE 安全风险 - 该 SRS 描述了使用手套处理受污染物体的风险。SRS 非常简单，可以直观地了解^DCSL_P 和 ^HCSL_P，从而评估和管理主要和次要风险。

在这个例子中，假设危险（物体上的污染物）的严重性很高并且是确定的（L_D = 100%）。如果手套使用得当，它们将污染物传递到用户手上的可能性很低（低 ^DCSL_P），这是一种危害。显示的次要风险因素可能会影响手套通过增加^DCSL_P 来保护受试者的能力，并且在估计^DCSL_P 的值时将被考虑在内。如果危险特别严重，则可以实施二级威胁控制系统，以最大限度地降低影响 DCS 性能的可能性。此外，如果污染的可能性L_D很小，则对 DCS 和 HCS 的要求可能不那么严格。

HCS还通过管理戴手套的手和被污染物体的相互作用来提供低概率的手被污染的^HCSL_P，从而在防止伤害方面发挥重要作用。因此，使用图 5 所示的估计概率，受试者受到伤害的概率非常低。当然，在估计 ^SYSL_P 概率时，分析必须考虑各种次要风险因素（手套类型不合适、手套损坏、穿戴不当等）。同样，如果风险严重性可能是灾难性的，则可以实施额外的次要威胁控制系统，以降低主要风险造成伤害的可能性。

所示方法适用于各种个人防护设备，如口罩、个人行为（如保持社交距离以防止传播空气传播的病毒）、分析污染其它物体表面的风险或其它风险（如污染眼睛、吸入等等）。

案例：处理抗体偶联药物（ADC）

图 6 中显示的 SRS 总结了更复杂的安全风险。处理有毒化合物（例如抗体偶联药物 (ADC) 中使用的化合物）对操作员构成非常严重的风险。初始风险分析可能会考虑图 6 中所示的两个系统，以对主要风险进行初步评估，为更详细的分析奠定基础，包括检查次要风险和构建适当的危险、危害和次要威胁控制系统。

图 6：ADC 安全风险 - 这是一种可能的 SRS，用于管理生产 ADC 所需的剧毒弹头化合物的安全风险。请注意，使用可能性评级而不是概率。显示的严重性和概率猜测用于说明目的。

在这个例子中，使用图 A2 和 A3 中所示的对数标度来描述可能性。危险可能性被评为确定（L_C^ = 0）。团队达成共识，DCS ^DCSL_P^的评级为 -4 (0.01%)，HCS 的评级 ^HCSL_P^ 为 -0.3 (50%)。因此，在发生危险的情况下，HCS 只有 50% 防止伤害的概率百分比。两个主要控制系统的综合 ^SYSL_P^ 为 -4.3 (0.005%)。

如果可能疾病的严重程度为 S_C^ = >6（表 A1），则风险的 ARL 为正，使得描述的 DCS 和HCS 难以接受。如果风险不可接受，则可以改进 DCS 和HCS，以降低专家团队评估的相应 ^SYSL_P^s，以将 L_C 降低几个数量级，从而将 ARL 降低到零以下。DCS 和 HCS 可以通过建立和评估可能影响控制系统性能的重要次要风险的 SRS 来改进。

每个系统，尤其是遏制系统的序列，都可以扩展，以充分了解如何控制有毒弹头对操作人员的危险，以防止伤害。保护系统的扩展可能包括多个威胁路径（接触、吸入）或多个操作步骤（设置、制造、清洁、更换），需要开发和评估多个 SRS。在某些情况下，专家的概率估计可以使用挑战测试或系统步骤及其性能机制的频率分析来确认或实验测试。

根据评估风险的个人或团队的经验和知识，大多数风险可以以几种不同的方式构建。在许多情况下，有足够的知识和经验来合理地估计威胁事件的严重性和可能性以及系统的性能概率。然而，应收集额外的信息和实验数据，以确保概率估计是所评估风险的适当数量级。

管理安全风险

本文的主要目的是提出一种理解安全风险的简单方法。虽然命名法可能看起来很复杂，但使用因果定义来构建威胁流和估计概率，以理解简单和复杂风险的基本概念相对简单。通过使用简单的思考实验直观地理解如何构建风险来描述风险事件的流动，个人和团队可以更好地评估情况，以识别和接受或减轻潜在的安全风险。

虽然风险是通过其严重性来识别的，但它们是通过识别、理解并在必要时操纵其发生的可能性来管理的。理解风险是通过思考实验来确定威胁如何可能通过系统而导致关注的后果的。通过直观地了解威胁发生的可能性以及系统在次要风险因素的背景下控制威胁的可能性，可以推测出伤害可能性的数量级估计。如果初始可能性估计在风险事件严重性的背景下不可接受，则可以改进主要控制系统或添加额外系统来控制次要风险，从而降低伤害事件发生的可能性。当然，如果可能的话，也可以探索另一种避免或完全消除危险的方法。

附录 – SRS 评级量表

系统风险结构 (SRS) 需要三个简单的量表，为描述和管理风险提供直接的评级。对数尺度跨越整个有用范围，可以提供简单的评级值来描述和传达风险的基本属性。前两个表描述了风险事件的影响严重性（表 A1）和发生概率（可能性）（表 A2）的属性。第三个量表（表 A3）评估系统无法防止输入威胁（例如危险或危害事件）导致输出风险后果事件的可能性。

表 A1：风险影响严重性的对数标度，从无影响（零）到灾难性（7+）。风险的严重性由等级 S_X^ 描述。同时提供了主观量表。

表 A2：描述风险事件发生概率的量表。该量表提供了作为概率的对数计算的等级 L_X^。0 分代表确定性 (100%)。-7的评级表示接近零的概率（不可能）。

表 A3：描述系统 SYS 无法控制威胁从而产生风险后果的可能性的量表，以概率表示。该量表产生一个评级，作为输入事件将通过系统以产生输出或结果的概率的对数。如果^SYSL_P^ 等于零（确定），则系统无法控制威胁。如果^SYSL_X^ 等于 -7，则系统本质上是一个障碍，将阻止输入产生输出。

本文节选、翻译自以下文章，由于水平有限，详细内容，请参考原文。文章旨在知识分享，如有任何问题，请联系处理。

原文：M.F.Witcher, How To Evaluate & Manage Safety Risks In Biopharma.Bioprocess Online, 2022.

相关阅读：

• 生物行业将在五年内采用连续工艺

• 中国帮助转变全球生物制药行业的8种方式
  

• 开发连续生物工艺的控制策略

• COVID-19：生命科学行业学到的一课

• 行业向“端到端”连续工艺更近了一步

• 提高表达滴度：新技术可帮助其它细胞系赶上CHO
  

• “新常态”：对生物工艺强化和连续生物工艺不断变化的认识

• 为什么批次工艺仍然主导着生物制药领域？行业需要整合式连续生物工艺替代方案！

• 为什么批次工艺仍然主导着生物制药领域？是什么造成了这种“脱节”

• 为什么批次工艺仍然主导着生物制药领域？行业该如何转变这种状态？