FDA Group发布白皮书:从 2025 年 FDA 警告信中汲取的 5 大 GMP 合规教训总结

一、 文档基础信息

1. 分析背景与范围

• 分析对象：FDA 在2025 年 1 月 1 日至 12 月 9 日期间发布的85 封药品警告信。
• 核心发现：87% 的警告信建议企业聘请外部 GMP 顾问，FDA 认为这些违规并非孤立事件，而是系统性质量体系失效。
• 发布目的：提炼可落地的合规教训，帮助企业 proactive 优化质量体系，避免监管检查暴露漏洞。

2. 核心数据概览

   | 关键指标 | 具体数值 / 信息 |

   | 分析警告信数量 | 85 封（药品领域） |

   | 建议外部顾问比例 | 87% |

   | 最常引用条款 | 21 CFR 211.84 (d)(1)（49 次，组件身份检测） |

   | 质量部门相关条款引用次数 | 54 次（21 CFR 211.22 及子条款） |

   | 工艺验证相关条款引用次数 | 33 次（21 CFR 211.100 (a)） |

   | 数据完整性区域占比 | 印度 60%、中国 21%、美国 10% |

二、 五大核心合规教训（含问题与优化建议）

教训 1：供应商资质认定是企业最大漏洞之一

（1） 高频违规条款与问题表现

• 最常引用条款：21 CFR 211.84 (d)(1)（组件身份检测），被引用49 次；21 CFR 211.84 (d)(2)（组件纯度、强度、质量检测），被引用41 次。
• 核心问题：
• 供应商资质认定仅停留在纸面，未实际评估其 GMP 合规性与质量体系；
• 直接接受供应商的分析证书（COA），未开展任何验证测试；
• 组件身份检测不连贯，对 “信任供应商” 采用跳批检测（不符合法规 “每批至少一次身份检测” 要求）。

（2） 优化建议

• 强制逐批检测：对所有组件批次执行身份检测，不得因 “供应商信任” 简化流程；
• 建立 COA 验证计划：制定风险导向的定期确认测试时间表，并书面记录合理性；
• 核查供应商资质文件：确保核心供应商（前 5 名）的资质文件包含 GMP 合规评估、质量体系审核记录、业绩追踪等实质证据。

教训 2：质量部门权责 “纸面化”，缺乏实际执行力

（1） 高频违规条款与问题表现

• 高频条款：21 CFR 211.22、211.22 (a)、211.22 (b)（质量部门权责与权限），累计引用54 次。
• 核心问题：
• 表面合规：SOP 与组织架构明确质量部门权责，但实际中被生产压力干预（如否决决策被推翻、放行决策由生产人员主导）；
• 调查流于形式：偏差调查以 “人为错误” 草草结案，未深入分析根本原因，CAPA 仅为重复培训，无预防性；
• 资源不足：质量部门人员配置不足，无法完成生产记录审核、偏差深入调查等核心工作。

（2） 优化建议

• 验证实际权责：追踪近期否决决策，确认是否存在被生产部门干预的情况，所有权责变更需书面记录理由；
• 审计调查流程：核查已关闭的调查，确认是否存在 “表面化根因分析”，要求 CAPA 具备预防性（而非仅重复现有流程）；
• 合理分配资源：根据生产规模匹配质量部门人员配置，确保其具备履行审核、监督、调查职责的能力。

教训 3：工艺验证缺乏全生命周期管理，仍停留在 “一次性活动”

（1） 高频违规条款与问题表现

• 高频条款：21 CFR 211.100 (a)（生产与工艺控制书面程序），被引用33 次。
• 核心问题：
• 传统思维局限：将工艺验证视为产品上市前的 “三批测试”，上市后未开展持续验证；
• 持续监控非正式：缺乏明确的抽样计划、统计分析方法与趋势记录，仅依赖非正式观察；
• 变更未评估验证影响：对 “minor 设备或流程变更” 未分析其对产品质量的影响，未开展必要的再验证。

（2） 优化建议

• 落地全生命周期验证：按 FDA 要求实施三阶段验证（阶段 1：工艺设计；阶段 2：工艺确认；阶段 3：持续工艺验证）；
• formalize 持续监控：制定明确的抽样计划、统计分析方法，书面记录趋势分析结果；
• 建立变更验证关联机制：任何可能影响产品质量的变更，均需书面评估验证需求，必要时执行再验证。

教训 4：数据完整性（DI）失效存在显著区域差异，本质是文化问题

（1） 违规分布与问题表现

• 区域分布差异：60% 的印度工厂警告信涉及数据完整性问题，中国工厂占比21%，美国本土工厂仅10%。
• 核心问题：
• 违规操作常态化：采用 “测试至合规” 的非正式方法，修改数据以满足标准；
• 审计追踪管理失效：虽启用审计追踪功能，但未开展定期审查；
• 访问控制流于形式：存在共享登录账号，分析人员可无痕迹删除 / 修改原始数据。

（2） 优化建议

• 强化供应链数据完整性评估：对国际供应商（尤其是高风险区域）开展专项 DI 评估，结合突击审计与通知审计，配备 DI 专家参与审计；
• 开展 “数据完整性实地检查”：定期抽查实验室与生产系统，核查是否存在共享登录、无痕迹修改数据、审计追踪未审查等问题；
• 深化培训认知：不仅培训 DI 相关规则，更要说明其与产品质量、患者安全的关联，消除 “合规只是流程负担” 的认知。

教训 5：87% 的警告信建议外部顾问，说明内部自纠已失效

（1） 核心逻辑

• FDA 建议聘请外部 GMP 顾问，并非惩罚性措施，而是认可企业内部缺乏足够的视角、专业知识或意愿，无法有效整改系统性问题 —— 这些问题往往已存在数月甚至数年，却未被内部质量体系识别。

（2） 优化建议

• 定期开展第三方 GMP 评估：由经验丰富的外部顾问按监管检查标准开展审计，暴露内部团队已常态化的漏洞（成本仅为警告信整改的一小部分）；
• 高风险领域专项聘专家：针对数据完整性、工艺验证、实验室合规等内部薄弱环节，提前引入专业顾问支持；
• 战略性开展模拟检查：不仅识别缺陷，更要测试企业响应能力（如文档调取速度、人员职责清晰度），优化检查应对流程。

三、 企业合规压力测试关键问题

1. 能否立即提供前 3 名组件供应商的完整资质文件，包含现场审计记录、GMP 合规确认、风险导向测试策略的书面依据？
2. 过去 12 个月，质量部门是否曾被生产 / 管理层干预（如推翻否决决策、加急放行）？相关干预是否有书面记录与理由？
3. 能否提供前 5 款商业化产品的持续工艺验证证据，包括抽样计划、统计趋势分析、正式审查记录？
4. 突击检查 QC 实验室时，是否存在共享登录、分析人员可删除 / 修改原始数据、审计追踪 90 天内未审查的情况？
5. 最近 10 份已关闭的偏差调查中，多少以 “人为错误”“重复培训” 作为根因与纠正措施？是否深入分析错误发生的系统性原因？