Messunsicherheit und Guardbanding bei GMP-Kalibrierungen

Messunsicherheit und Guardbanding bei GMP-Kalibrierungen

Messunsicherheit und Guardbanding: Wie man PASS/FAIL bei GMP-Kalibrierungen entscheidet

Wenn Sie 30 Sekunden haben

Ein Zertifikat mit „PASS“ ist nicht immer gleichbedeutend mit einem geringen Risiko: Es hängt von der erweiterten Unsicherheit (U, k=2) und der Decision Rule ab.
Die eigentliche „Inspektorenfrage“ lautet: Wie hoch ist das Risiko einer False Accept, das Sie akzeptieren, wenn Sie „konform“ sagen?
Wenn Sie Guardbanding und Acceptance Limits nicht beherrschen, werden Sie früher oder später eine „unerklärliche“ Abweichung bei Daten erleben, die zunächst belastbar wirkten.

Das typische (reale) Szenario, über das selbst reife Teams stolpern

Im Audit ist die Frage, die Teams am häufigsten in Schwierigkeiten bringt, nicht:
„Können Sie mir das Zertifikat zeigen?“, sondern:

„Welche Decision Rule wenden Sie an, wenn das Zertifikat auch die Unsicherheit ausweist? Und wer hat dieses Risikoniveau festgelegt?“

Wenn die Antwort Schweigen plus „Es besteht, weil der Fehler innerhalb der Toleranz liegt“ ist, hat der Inspektor gerade eine Schwachstelle gefunden: Sie verwechseln Toleranz mit Zuverlässigkeit.

Und hier kommt das operative Paradox: Sie können einen „validierten“ Prozess haben, einen perfekten Kalibrierplan und trotzdem eine Beanstandung erhalten, weil Sie nicht erklären können, wie Sie einen metrologischen Messwert in eine GMP-Entscheidung überführen.

Der Mythos, den es zu widerlegen gilt (veraltete und riskante Praxis)

Mythos: „Wenn der Fehler innerhalb der Toleranz liegt, ist das Gerät konform. Punkt.“

Warum das riskant ist: Weil es das Konzept der erweiterten Unsicherheit und das Risiko einer False Accept ignoriert (ein Gerät als konform akzeptieren, das in Wirklichkeit außerhalb der Toleranz liegen könnte).
In GMP-Umgebungen ist das keine akademische Übung: Es ist die Grenze zwischen Prozessbeherrschung und der Illusion von Kontrolle.

Erste praktische Regel: „Toleranz“ reicht nicht – Sie brauchen die metrologische Anforderung

Wenn Sie die Kriterien festlegen, beschränken Sie sich nicht auf „±X“. Fragen Sie sich:

  • Welche MPE (Maximum Permissible Error) ist für diesen Parameter akzeptabel?
  • Wie „eng“ ist das Prozessfenster? (z. B. CPP mit engem Bereich)
  • Arbeitet das Gerät über den gesamten Bereich oder nur nahe an einem einzigen Setpoint?
  • Welche Erwartung haben Sie an die metrologische Bestätigung über den gesamten Lebenszyklus?

👉 Aus Sicht der Produktion besteht die größte Herausforderung oft darin, dass die Anforderung „±X“ aus Gewohnheit entsteht und nicht aus einer echten Übersetzung des Prozessrisikos.

Wo der operative Fehler entsteht: PASS/FAIL ohne Betrachtung von U (k=2)

Viele Zertifikate (insbesondere von ISO/IEC-17025-Laboratorien) enthalten:

  • Fehler oder Abweichung
  • erweiterte Unsicherheit U (k=2)
  • manchmal eine vom Labor bereits angewandte Decision Rule

Wenn Sie nur „PASS“ lesen, delegieren Sie eine Risikoentscheidung, ohne sie zu kontrollieren.

Schlüsselbegriffe (ohne unnötige Theorie)
Uncertainty budget: die Gesamtheit der Komponenten, aus denen sich die Gesamtunsicherheit zusammensetzt (Referenzgerät, Auflösung, Wiederholbarkeit, Umgebungsbedingungen usw.).
Acceptance limit: der operative Grenzwert, nach dem Sie PASS/FAIL entscheiden.
Tolerance limit: der spezifikationsbezogene Grenzwert des Geräts/Prozesses.
False accept / false reject: ein nicht konformes Gerät akzeptieren / ein konformes Gerät zurückweisen.

Leitfaden für den Validation Manager und Calibration Manager in der Pharmaindustrie

Die Tabelle, die ich häufig nutze, um QA + Calibration in 10 Minuten auf eine Linie zu bringen

Beispiel für einen Drucktransmitter an einem kritischen Punkt (enger Bereich), Toleranz ±0,10 bar.

Fall Gemessener Fehler U (k=2) „Einfache“ Regel (nur Fehler) Konservative Regel (Guardband)
A 0,03 0,02 PASS PASS
B 0,08 0,05 PASS FAIL (0,08 + 0,05 = 0,13 > 0,10)
C 0,09 0,01 PASS PASS
D 0,11 0,02 FAIL FAIL

Was passiert in Fall B (dem gefährlichsten)?
Operativ kennzeichnen viele Standorte diesen Fall als konform. Ist die Unsicherheit jedoch groß, steigt die Wahrscheinlichkeit, ein tatsächlich außerhalb der Toleranz liegendes Gerät als konform zu akzeptieren. Es geht nicht um Philosophie: Es geht darum, dass Sie Prozessdaten, Release-Entscheidungen und künftige Untersuchungen gefährden.

Wie Guardbanding defensibel angewendet wird

Eine häufig verwendete (und leicht erklärbare) konservative Regel lautet:

Akzeptieren, wenn: |Fehler| + U ≤ Toleranz

Das setzt ein „automatisches“ Guardband auf Basis von U.

Wann ist ein konservativer Ansatz sinnvoll?

  • bei Geräten, die mit CPP/CQA verknüpft sind (z. B. Sterilisation, aseptische Bedingungen, Parameter kritischer Utilities)
  • bei Prozessen mit engem Design Space oder reduziertem Operating Range
  • bei historischen Nachweisen für Drift oder Instabilität
  • bei Geräten, die bei Fehlern nicht „wiederherstellbare“ Daten erzeugen (der Wert kann nicht erneut geprüft werden)

Wann besteht das Risiko, zu konservativ zu sein (und Ineffizienz zu erzeugen)?

  • wenn der Prozess sehr robust ist und Sie mit False Fails unnötig Produktionskapazität vernichten
  • wenn die Unsicherheit aufgebläht ist, weil die Methode des Anbieters ungeeignet ist (und Sie für den Methodenfehler bezahlen)

Merken Sie sich
Ein „PASS“ ohne Kontext kann das Risiko einer False Accept verbergen.
Decision Rule und Acceptance Limits müssen eine bewusste Entscheidung sein (QA + Calibration), nicht eine zufällige Folge der Vorgehensweise des Lieferanten.
Wenn U groß ist, „bestrafen“ Sie nicht das Gerät: Häufig müssen Sie Methode oder Anbieter verbessern.

Der Punkt, den ich in Audits am häufigsten falsch sehe: ein 17025-Zertifikat, das nicht fachlich geprüft wurde

Im Audit sehe ich am häufigsten, dass ein Zertifikat einfach archiviert wird, „weil es ISO/IEC 17025 ist“, aber niemand eine echte technische Zertifikatsprüfung durchführt.

Checkliste „Certificate Review“ (sofort einsetzbar)

  • Ist die metrologische Rückführbarkeit klar dargestellt (Rückführungskette, verwendete Standards)?
  • Sind Umgebungsbedingungen (Temperatur/Feuchte) angegeben, sofern sie Einfluss haben?
  • Deckt die Kalibrierung die richtigen Prüfpunkte ab (nicht nur 1 „bequemer“ Punkt in einem großen Bereich)?
  • Sind As Found / As Left angegeben, wenn anwendbar?
  • Ist die erweiterte Unsicherheit (U, k=2) angegeben?
  • Ist die vom Labor angewandte Decision Rule ausgewiesen?
  • Besteht Konsistenz zwischen Ergebnis und Urteil (Achtung bei „PASS“ als Standardvorgabe)?
  • Wenn U hoch ist: Wurde TUR (Test Uncertainty Ratio) oder TAR (Tolerance-to-Accuracy Ratio) als internes Kriterium bewertet?

Was tun, wenn U „zu groß“ ist (ohne alles sofort in eine Abweichung zu werfen)

Wenn Sie erkennen, dass die Unsicherheit mit Ihrer Toleranz nicht vereinbar ist, sind die praktischen Hebel – in absteigender Reihenfolge der Wirksamkeit – folgende:

  1. Methode/Anbieter wechseln: Häufig besteht die Lösung darin, ein Labor mit angemessener metrologischer Fähigkeit zu wählen (niedrigeres U).
  2. Bereich reduzieren: Das Gerät nur in dem Bereich kalibrieren und verwenden, der tatsächlich genutzt wird.
  3. Frequenz überprüfen: Bei Instabilität reduziert eine engere Kalibrierfrequenz das Risiko zwischen zwei Bestätigungspunkten.
  4. Eignung des Geräts überprüfen: Manchmal ist das Gerät schlicht ungeeignet (Klasse, Auflösung, Linearität, Hysterese).
  5. Guardband im Prozess: Einen engeren Operating Range definieren, um verbleibende Unsicherheit zu kompensieren (eine Minderungsmaßnahme, nicht die Ideallösung).

Mini-FAQ

1) Schreiben die GMP den Einsatz von Guardbanding zwingend vor?
Nicht als explizites „Must-have“. Wenn Sie jedoch risikobasiert arbeiten, müssen Sie erklären können, wie Sie das Risiko falscher Entscheidungen bei signifikanter Unsicherheit steuern.

2) Wer sollte die Decision Rule festlegen?
Idealerweise ist das eine gemeinsame Entscheidung von QA + Calibration (und, wenn der Prozess betroffen ist, unter Einbindung von Validation/Produktion). Die Decision Rule ist Teil Ihres „Kontrollsystems“, kein nebensächliches Detail des Labors.

3) Was ist der gefährlichere Fehler: False Reject oder False Accept?
Im GMP-Umfeld ist False Accept kritischer, weil dadurch Daten und Freigabeentscheidungen „verunreinigt“ werden können. False Reject kostet Zeit und Geld, gefährdet aber nur selten den Patienten.

Wenn Sie wirklich „audit-proof“ sein wollen, reicht es nicht aus, Zertifikate und eingehaltene Fristen vorzuzeigen. Sie müssen nachweisen können, dass Sie:

  • Fehler + Unsicherheit richtig lesen können
  • die Decision Rule beherrschen
  • ein zum Prozessrisiko passendes Guardbanding anwenden

👉 Möchten Sie auch den operativen Teil zu Plänen, Audits und der Integration zwischen Rollen vertiefen? Im vollständigen Guide von GuideGxP finden Sie sofort einsetzbare Beispiele und Vorlagen (einschließlich Verweisen auf Unsicherheit und risikobasierten Ansatz).

Zurück zum Blog

Suchst du etwas Bestimmtes?

ENTDECKE DEN GESAMTEN GXP-KATALOG