Incertezza di misura e guardbanding nelle tarature GMP

Incertezza di misura e guardbanding: come decidere PASS/FAIL nelle tarature GMP

Se hai 30 secondi

  • Un certificato “PASS” non è sempre sinonimo di rischio basso: dipende da incertezza estesa (U, k=2) e decision rule.
  • Il vero problema “da ispettore” è: quanto rischio di false accept stai accettando quando dici “conforme”?
  • Se non governi guardbanding e acceptance limits, prima o poi ti ritrovi una deviazione “inspiegabile” su dati che sembravano solidi.

La scena tipica (reale) che fa inciampare anche team maturi

In fase di audit, la domanda che vedo mettere più in difficoltà non è “Mi mostra il certificato?”, ma:

“Qual è la vostra decision rule quando il certificato riporta anche l’incertezza? E chi ha deciso questo livello di rischio?”

Se la risposta è un silenzio + “Passa perché l’errore è dentro tolleranza”, l’ispettore ha appena trovato un varco: state confondendo tolleranza ed affidabilità.

E qui arriva il paradosso operativo: puoi avere un processo “validato”, un piano tarature perfetto e… comunque prendere un rilievo, perché non sai spiegare come trasformi un dato metrologico in una decisione GMP.

Il mito da smontare (pratica obsoleta e rischiosa)

Mito: “Se l’errore è entro tolleranza, lo strumento è conforme. Punto.”

Perché è rischioso: perché ignora il concetto di expanded uncertainty e il rischio di false accept (accettare come conforme uno strumento che, nella realtà, potrebbe essere fuori).
In ambienti GMP, questo non è un esercizio accademico: è il confine tra controllo del processo e illusione di controllo.

Prima regola pratica: “tolleranza” non basta, serve il requisito metrologico

Quando imposti i criteri, non limitarti a “±X”. Chiediti:

  • qual è la MPE (Maximum Permissible Error) accettabile per quel parametro?
  • quanto “stretta” è la finestra del processo? (es. CPP con range ridotto)
  • lo strumento opera su tutto il range o vicino ad un solo setpoint?
  • qual è la tua aspettativa di metrological confirmation (conferma metrologica) lungo il ciclo di vita?

👉 Dalla prospettiva della Produzione, la sfida principale è che spesso il requisito “±X” nasce da abitudine, non da una vera traduzione del rischio di processo.

Dove nasce l’errore operativo: PASS/FAIL senza guardare U (k=2)

Molti certificati (soprattutto da laboratori ISO/IEC 17025) riportano:

  • errore o scostamento
  • incertezza estesa U (k=2)
  • talvolta una decision rule già applicata dal laboratorio

Se tu leggi solo “PASS”, stai delegando una scelta di rischio senza controllarla.

Termini chiave (senza teoria inutile)

  • Uncertainty budget: l’insieme delle componenti che costruiscono l’incertezza totale (strumento di riferimento, risoluzione, ripetibilità, condizioni ambientali, ecc.).
  • Acceptance limit: il limite operativo con cui decidi PASS/FAIL.
  • Tolerance limit: il limite “di specifica” dello strumento/processo.
  • False accept / false reject: accettare un non conforme / rifiutare un conforme.

La tabella che uso spesso per “allineare” QA + Calibration in 10 minuti

Esempio su un trasmettitore di pressione usato su un punto critico (range stretto), tolleranza ±0,10 bar.

Caso

Errore misurato

U (k=2)

Regola “semplice” (solo errore)

Regola conservativa (guardband)

A

0,03

0,02

PASS

PASS

B

0,08

0,05

PASS

FAIL (0,08+0,05 = 0,13 > 0,10)

C

0,09

0,01

PASS

PASS

D

0,11

0,02

FAIL

FAIL

Cosa succede nel Caso B (il più pericoloso)?
Operativamente, molti siti lo marcano come conforme. Ma se l’incertezza è grande, la probabilità di “accettare un fuori tolleranza” cresce. Il punto non è fare filosofia: il punto è che stai mettendo a rischio dati di processo, release e investigazioni future.

Come si applica il guardbanding (in modo difendibile)

Una regola conservativa molto usata (e facile da spiegare) è:

Accetto se: |errore| + U ≤ tolleranza

Questo imposta un guardband “automatico” basato su U.

Quando ha senso essere conservativi?

  • strumenti legati a CPP/CQA (es. sterilizzazione, condizioni asettiche, parametri di critical utilities)
  • processi con design space stretto o ridotto “operating range”
  • evidenze storiche di drift o instabilità
  • strumenti che, se sbagliano, generano dati non “recuperabili” (non puoi ritestare quel valore)

Quando rischi di essere troppo conservativo (e creare inefficienza)?

  • se il processo ha ampia robustezza e stai “uccidendo” capacità produttiva con falsi fail
  • se l’incertezza è gonfiata perché il metodo del fornitore è inadeguato (e stai pagando l’errore del metodo)

Da ricordare

  • Il “PASS” senza contesto può nascondere rischio di false accept.
  • Decision rule e acceptance limits devono essere una scelta consapevole (QA + Calibration), non una conseguenza casuale del fornitore.
  • Se U è grande, non “punire lo strumento”: spesso devi migliorare metodo o fornitore.

Il punto che vedo più spesso sbagliato in audit: certificato 17025 “non revisionato”

In fase di audit, il problema che riscontro più spesso è che il certificato viene archiviato perché “è ISO/IEC 17025”, ma nessuno fa una vera certificate review tecnica.

Checklist “certificate review” (pronta da usare)

  • La tracciabilità metrologica è chiara (catena di riferibilità, standard usati)?
  • Sono dichiarate condizioni ambientali (temperatura/umidità) se impattano?
  • La taratura copre i test point corretti (non 1 punto “comodo” su un range ampio)?
  • Sono riportati as found / as left quando applicabile?
  • È dichiarata l’incertezza estesa (U, k=2)?
  • È indicata la decision rule applicata dal laboratorio?
  • C’è coerenza tra risultato e giudizio (attenzione a PASS “di default”)?
  • Se U è alta: è stato valutato TUR (Test Uncertainty Ratio) o TAR (Tolerance-to-Accuracy Ratio) come criterio interno?

Cosa fare quando U è “troppa” (senza buttare tutto in deviazione)

Se ti accorgi che l’incertezza è incompatibile con la tua tolleranza, le leve pratiche (in ordine di efficacia) sono:

  1. Cambiare metodo/fornitore: spesso la soluzione è scegliere un laboratorio con capacità metrologica adeguata (U più bassa).
  2. Ridurre il range: tarare e usare lo strumento solo nel tratto di range realmente usato.
  3. Rivedere la frequenza: se c’è instabilità, una frequenza più stretta riduce rischio tra due punti di conferma.
  4. Rivedere l’idoneità dello strumento: a volte lo strumento è “sbagliato” (classe, risoluzione, linearità, isteresi).
  5. Guardband sul processo: definire un operating range più stretto per compensare incertezza residua (soluzione di mitigazione, non ideale).

Mini-FAQ 

1) Le GMP obbligano a usare guardbanding?
Non come “must” esplicito. Ma se lavori risk-based, devi saper spiegare come gestisci il rischio di decisioni errate quando hai incertezza significativa.

2) Chi deve definire la decision rule?
Idealmente una scelta condivisa QA + Calibration (e, quando impatta processo, con coinvolgimento Validation/Produzione). La decision rule è parte del tuo “sistema di controllo”, non un dettaglio del laboratorio.

3) Qual è l’errore più pericoloso: false reject o false accept?
In GMP, il false accept è più critico perché può “inquinare” dati e release. Il false reject costa tempo e soldi, ma raramente mette a rischio il paziente.

Se vuoi davvero essere “audit-proof”, non basta mostrare certificati e scadenze rispettate. Devi poter dimostrare che:

  • sai leggere errore + incertezza
  • governi la decision rule
  • applichi un guardbanding coerente con il rischio di processo

👉 Vuoi approfondire anche la parte operativa su piani, audit e integrazione tra ruoli? Nella guida completa GuideGxP trovi esempi e modelli pronti all’uso (inclusi riferimenti su incertezza e approccio risk-based).

Torna al blog

Cerchi qualcosa di specifico?

SCOPRI TUTTO IL CATALOGO GXP