Incertitude de mesure et guardbanding dans les étalonnages GMP
Incertitude de mesure et guardbanding : comment décider PASS/FAIL dans les étalonnages GMP
Si vous avez 30 secondes
Un certificat « PASS » n’est pas toujours synonyme de faible risque : cela dépend de l’incertitude élargie (U, k=2) et de la règle de décision.
La vraie question, du point de vue d’un inspecteur, est : quel niveau de risque de false accept acceptez-vous lorsque vous déclarez un résultat « conforme » ?
Si vous ne maîtrisez pas le guardbanding et les acceptance limits, vous finirez tôt ou tard par vous retrouver face à une déviation « inexpliquée » sur des données qui semblaient pourtant solides.
La situation typique (réelle) qui fait trébucher même les équipes les plus matures
En audit, la question qui met le plus souvent les équipes en difficulté n’est pas :
« Pouvez-vous me montrer le certificat ? », mais plutôt :
« Quelle est votre règle de décision lorsque le certificat mentionne aussi l’incertitude ? Et qui a défini ce niveau de risque ? »
Si la réponse est un silence suivi de « Ça passe parce que l’erreur est dans la tolérance », l’inspecteur vient de trouver une faille : vous confondez tolérance et fiabilité.
Et c’est là que survient le paradoxe opérationnel : vous pouvez avoir un processus « validé », un plan d’étalonnage parfait et… recevoir malgré tout une observation, parce que vous ne savez pas expliquer comment vous transformez une donnée métrologique en décision GMP.
Le mythe à démonter (pratique obsolète et risquée)
Mythe : « Si l’erreur est dans la tolérance, l’instrument est conforme. Point. »
Pourquoi c’est risqué : parce que cela ignore le concept d’incertitude élargie et le risque de false accept (accepter comme conforme un instrument qui, en réalité, pourrait être hors tolérance).
Dans les environnements GMP, ce n’est pas un exercice académique : c’est la frontière entre la maîtrise du procédé et l’illusion de maîtrise.
Première règle pratique : la “tolérance” ne suffit pas, il faut l’exigence métrologique
Quand vous définissez vos critères, ne vous limitez pas à « ±X ». Demandez-vous :
- quelle est la MPE (Maximum Permissible Error) acceptable pour ce paramètre ?
- à quel point la fenêtre du procédé est-elle serrée ? (par ex. un CPP avec une plage réduite)
- l’instrument fonctionne-t-il sur toute sa plage ou seulement autour d’un seul setpoint ?
- quelle est votre attente en matière de confirmation métrologique sur l’ensemble du cycle de vie ?
👉 Du point de vue de la Production, la principale difficulté est que l’exigence « ±X » provient souvent de l’habitude, et non d’une véritable traduction du risque procédé.
Là où naît l’erreur opérationnelle : PASS/FAIL sans regarder U (k=2)
De nombreux certificats, surtout ceux émis par des laboratoires ISO/IEC 17025, mentionnent :
- l’erreur ou l’écart
- l’incertitude élargie U (k=2)
- parfois une règle de décision déjà appliquée par le laboratoire
Si vous ne lisez que « PASS », vous déléguez une décision de risque sans la maîtriser.
Termes clés (sans théorie inutile)
Uncertainty budget : ensemble des composantes qui construisent l’incertitude totale (instrument de référence, résolution, répétabilité, conditions environnementales, etc.).
Acceptance limit : limite opérationnelle utilisée pour décider PASS/FAIL.
Tolerance limit : limite de spécification de l’instrument / du procédé.
False accept / false reject : accepter comme conforme un résultat non conforme / rejeter un résultat conforme.
Le tableau que j’utilise souvent pour aligner QA + Calibration en 10 minutes
Exemple sur un transmetteur de pression utilisé sur un point critique (plage étroite), avec une tolérance de ±0,10 bar.
| Cas | Erreur mesurée | U (k=2) | Règle “simple” (erreur seule) | Règle conservatrice (guardbanding) |
|---|---|---|---|---|
| A | 0,03 | 0,02 | PASS | PASS |
| B | 0,08 | 0,05 | PASS | FAIL (0,08 + 0,05 = 0,13 > 0,10) |
| C | 0,09 | 0,01 | PASS | PASS |
| D | 0,11 | 0,02 | FAIL | FAIL |
Que se passe-t-il dans le cas B (le plus dangereux) ?
Sur le plan opérationnel, de nombreux sites le considèrent comme conforme. Mais si l’incertitude est élevée, la probabilité d’accepter un instrument hors tolérance augmente. Ce n’est pas une question philosophique : vous mettez en risque les données de procédé, la libération et les investigations futures.
Comment appliquer le guardbanding de manière défendable
Une règle conservatrice très utilisée, et facile à expliquer, est :
J’accepte si : |erreur| + U ≤ tolérance
Cela met en place un guardband « automatique » basé sur U.
Quand est-il pertinent d’être conservateur ?
- instruments liés à des CPP/CQA, par exemple la stérilisation, les conditions aseptiques ou les paramètres des utilities critiques
- procédés avec un design space étroit ou un operating range réduit
- historique montrant du drift ou de l’instabilité
- instruments qui, s’ils sont erronés, génèrent des données non « récupérables » (impossibles à retester)
Quand risque-t-on d’être trop conservateur et de créer de l’inefficacité ?
- si le procédé est très robuste et que vous détruisez de la capacité productive avec des false fails
- si l’incertitude est artificiellement gonflée parce que la méthode du fournisseur est inadaptée, ce qui signifie que vous payez pour une faiblesse méthodologique
À retenir
Un « PASS » sans contexte peut masquer un risque de false accept.
La règle de décision et les acceptance limits doivent être un choix conscient (QA + Calibration), et non une conséquence aléatoire de l’approche du fournisseur.
Si U est élevée, ne « punissez » pas l’instrument : souvent, il faut améliorer la méthode ou changer de fournisseur.
Le point que je vois le plus souvent mal géré en audit : le certificat 17025 “non revu”
En audit, le problème que je rencontre le plus souvent est que le certificat est archivé parce qu’« il est ISO/IEC 17025 », mais sans qu’aucune véritable revue technique du certificat ne soit réalisée.
Checklist de “certificate review” (prête à l’emploi)
- La traçabilité métrologique est-elle claire (chaîne de traçabilité, étalons utilisés) ?
- Les conditions environnementales (température / humidité) sont-elles déclarées si elles ont un impact ?
- L’étalonnage couvre-t-il les bons points d’essai, et non un seul point « pratique » sur une large plage ?
- Les résultats as found / as left sont-ils indiqués lorsque c’est applicable ?
- L’incertitude élargie (U, k=2) est-elle déclarée ?
- La règle de décision appliquée par le laboratoire est-elle précisée ?
- Y a-t-il cohérence entre le résultat et le jugement, en particulier lorsque « PASS » semble appliqué par défaut ?
- Si U est élevée, le TUR (Test Uncertainty Ratio) ou le TAR (Tolerance-to-Accuracy Ratio) ont-ils été évalués comme critère interne ?
Que faire quand U est “trop élevée” sans transformer automatiquement le tout en déviation
Si vous constatez que l’incertitude est incompatible avec votre tolérance, les leviers pratiques, par ordre d’efficacité, sont les suivants :
- Changer de méthode / de fournisseur : bien souvent, la solution consiste à choisir un laboratoire avec une capacité métrologique adaptée (U plus faible).
- Réduire la plage : étalonner et utiliser l’instrument uniquement sur la portion réellement utilisée de la plage.
- Revoir la fréquence : en cas d’instabilité, un intervalle plus serré réduit le risque entre deux points de confirmation.
- Revoir l’aptitude de l’instrument : parfois, l’instrument n’est tout simplement pas adapté à l’usage (classe, résolution, linéarité, hystérésis).
- Appliquer un guardband au procédé : définir un operating range plus étroit pour compenser l’incertitude résiduelle (mesure de mitigation, pas solution idéale).
Mini-FAQ
1) Les GMP imposent-elles l’usage du guardbanding ?
Pas comme exigence explicite. En revanche, si vous travaillez selon une approche risk-based, vous devez être capable d’expliquer comment vous maîtrisez le risque de décisions erronées lorsque l’incertitude est significative.
2) Qui doit définir la règle de décision ?
Idéalement, il s’agit d’un choix partagé entre QA et Calibration et, lorsqu’il existe un impact procédé, avec l’implication de la Validation et de la Production. La règle de décision fait partie de votre système de maîtrise, ce n’est pas un simple détail de laboratoire.
3) Quelle erreur est la plus dangereuse : false reject ou false accept ?
En GMP, le false accept est plus critique, car il peut contaminer les données et les décisions de libération. Le false reject coûte du temps et de l’argent, mais met rarement le patient en danger.
Si vous voulez vraiment être audit-proof, il ne suffit pas de montrer des certificats et des échéances respectées. Vous devez être capable de démontrer que vous :
- savez lire erreur + incertitude
- maîtrisez la règle de décision
- appliquez un guardbanding cohérent avec le risque procédé
👉 Si vous souhaitez approfondir aussi la partie opérationnelle sur les plans, les audits et l’intégration entre fonctions, le guide complet GuideGxP contient des exemples et des modèles prêts à l’emploi, y compris des références sur l’incertitude et l’approche risk-based.