一家中国创新药企业在完成CDMO的GMP审计后,拿到了一份包含23项发现的审计报告。其中3项critical,7项major。审计报告发出两周后,CDMO的质量团队回了一份"CAPA计划",内容不超过一页纸——每条发现的纠正措施都写着"加强培训"或"修订SOP"。没有根因分析,没有完成时间表,没有效果验证方案。
这家企业找到我们时,问题的核心不在CDMO做得有多差,而在双方签署的质量协议里关于CAPA的条款一共就两句话:"供应商应对审计发现制定纠正和预防措施"以及"申办方有权审核纠正措施的执行情况"。两句话,零细节。
FDA在2016年发布的《Contract Manufacturing Arrangements for Drugs: Quality Agreements》指导原则中,明确要求质量协议必须包含"偏差、差异、失败和超标结果的调查责任指定"(designation of responsibility for investigating deviations, discrepancies, failures, out-of-specification results)。这不是建议,是要求。ICH Q10药品质量体系也规定,制药企业(包括委托方)对产品质量负有最终责任——不管产品是谁生产的、谁检测的。
2025年FDA warning letter数量同比上升约50%,其中相当一部分涉及委托生产/检测场景下质量协议的不完善。FDA QMSR(Quality Management System Regulation)在2026年的更新中进一步明确:检查员有权审阅企业内部审计报告、供应商审计结论和管理评审记录。或者说,你和CDMO签的质量协议写得怎么样,FDA检查时真的会看。
CAPA归属为什么会成为争议焦点
质量协议谈判中,最费时间的条款通常不是变更控制,不是年度产品回顾,而是审计发现后的CAPA归属。原因很直接:谁负责做根因分析,谁有权批准纠正措施,谁来验证效果——这些决定了质量问题被发现之后的实际控制权分配。
供应商(CRO/CDMO/中心实验室)倾向于在质量协议中保留最大的操作自主性。他们希望由自己全权负责调查和整改,申办方只看结果。而申办方——尤其是对产品质量负最终法定责任的MAH——需要确保CAPA的每一个环节都在自己的监督之下。
这两种诉求之间的张力,是CAPA条款谈判的核心。
IntuitionLabs对制药行业质量协议的分析指出了三类常见失败模式:沉默(质量协议完全不提CAPA流程)、模糊(提了但没有具体规定谁做什么、什么时候做)、矛盾(不同条款之间相互冲突)。中国申办方在与海外CRO/CDMO签署质量协议时,最容易踩进第二个坑——接受供应商提供的"标准模板",里面的CAPA条款看上去什么都有,仔细一看什么都没说清楚。
三类供应商,三种CAPA归属模式
CRO、CDMO和中心实验室的CAPA归属逻辑并不相同,因为三者对产品质量的影响路径不同。
CDMO(委托生产)。CDMO直接参与药品的生产和放行,偏差可能影响产品质量和患者安全。CAPA归属的核心原则:CDMO负责调查和提出纠正措施,申办方负责审批和验证效果。这意味着CDMO完成根因分析后,必须将调查报告提交申办方审核;纠正措施方案需要申办方书面批准后才能执行;效果验证的方案和结果也需要申办方确认。FDA在contract manufacturing指导原则中的表述很明确:CDMO提出CAPA,申办方审核并确保其有效性。
CRO(临床研究)。CRO不直接接触产品放行,但影响临床数据质量和受试者安全。ICH E6(R3)在2025年1月定稿后,对申办方监督(sponsor oversight)的要求提升了一个层级——监督必须是"有意图的、有记录的、并且对实际风险做出响应的"(intentional, documented, and responsive to actual risk)。CRO审计发现后的CAPA,申办方至少应要求:调查报告的副本、纠正措施的时间表、以及按计划完成的书面证据。对于涉及数据完整性或受试者安全的发现,申办方应直接参与根因分析。
中心实验室。中心实验室的CAPA归属逻辑更接近CDMO,因为实验室检测结果的准确性直接影响产品放行决策和临床数据可靠性。关键区别在于:中心实验室的CAPA通常还涉及检测方法验证、仪器校准和样本管理,这些领域的专业性较强。在质量协议中,可以约定中心实验室在特定类别(如OOS调查、方法验证失败)的CAPA方案需经申办方批准,其他类别的CAPA方案报备即可。
六个环节的具体条款怎么写
CAPA流程从审计发现到关闭,大致经过六个环节。质量协议中每个环节都应该有明确的责任归属和时间约束。
偏差调查启动。谁负责发起调查?审计发现后多少天内启动?质量协议应规定:审计报告正式发出后,供应商在X个工作日内启动偏差调查。Critical发现建议不超过5个工作日,Major发现不超过10个工作日。同时应约定供应商在收到审计报告后多少天内提供初步回应(acknowledgment of findings),通常不超过5天。
根因分析。谁负责做根因分析?用什么工具(Ishikawa、5-Why、Fault Tree)?分析报告提交给谁审核?建议在质量协议中约定:供应商负责执行根因分析,使用双方认可的分析方法,并在启动调查后30天内提交根因分析报告。申办方有权要求供应商补充分析或使用特定方法。如果根因分析涉及产品本身的工艺或处方问题,申办方应直接参与。
纠正措施(Corrective Action)。纠正措施方案由谁制定?谁批准?什么时候执行完毕?这是争议最多的环节。质量协议应明确:供应商制定纠正措施方案,提交申办方审核批准后执行。批准权限可以根据发现的严重程度分级——Critical发现的纠正措施必须经申办方质量负责人签字,Major和Minor可以授权申办方QA团队批准。纠正措施的执行时限通常不超过60天(从批准方案之日起算)。
预防措施(Preventive Action)。预防措施针对的是防止同类问题再次发生,范围往往超出单次偏差。质量协议中应明确:供应商负责识别需要实施预防措施的范围,提交预防措施方案,由申办方审核。预防措施的完成时限可以长于纠正措施(90天是常见约定),但需要在方案中列出里程碑节点。
效果验证(Effectiveness Check)。纠正和预防措施执行完了,怎么确认它们真的有效?FDA的期望是CAPA不是"做了就完",而是要验证效果。质量协议应规定:供应商在纠正和预防措施执行完毕后,在一定期限内(通常60-90天)完成效果验证。验证方案和结果提交申办方审核。如果验证不通过,供应商需要重新评估根因并修订措施。
CAPA关闭。最终由谁决定关闭CAPA?是供应商自行关闭还是需要申办方确认?我们认为,审计发现引发的CAPA,关闭权应在申办方。供应商提交全部证据(调查报告、纠正措施执行记录、效果验证结果)后,由申办方书面确认关闭。
Rx-360在《Best Practices Quality Agreement Guide》中对审计响应时间线、根因分析要求和CAPA截止日期都有详细的推荐做法,可以作为条款起草的参考框架。
时间线执行不下去怎么办
CAPA时间表写得再好,执行过程中也会出现延误。质量协议中必须约定时间线未被遵守时的处理方式。
Cloudtheapp的分析建议质量协议中建立分层升级机制。具体做法:
预警层:时间线预警。在CAPA里程碑到期前7-10天,如果供应商未提交阶段性成果,自动触发预警。预警通知同时发给供应商质量负责人和申办方QA。
延期层:延期申请。如果供应商无法按期完成,必须提前提出延期申请,说明原因和新的预计完成日期。申办方在X个工作日内批准或拒绝延期。质量协议应约定每个CAPA最多允许延期几次(建议不超过2次)。
管理层:升级讨论。当CAPA延期超过原定时间线的50%,或连续两次延期仍未完成,问题升级到双方质量主管(Head of Quality)层面讨论。
合同层:条款触发。当CAPA长期未关闭(超过原定时间线100%),触发合同层面的评审,可能涉及罚款、暂停新项目、或启动合同终止条款。
升级和终止触发条件
质量协议应该和主服务合同联动。CAPA执行不力不应只在质量体系内消化,它需要直接影响商业关系。
建议在质量协议中明确以下终止触发条件:
- 同一审计周期内,超过X%的CAPA未在约定时间内关闭(建议阈值:30%以上)
- Critical发现的CAPA在6个月内未能验证通过
- 连续两次审计出现相同根因的重复偏差
- 供应商拒绝接受申办方对CAPA方案的合理修改要求
这些触发条件在主服务合同中应有对应的条款衔接——质量协议本身通常没有终止合同的权力,但它可以定义"什么构成质量违约",由主服务合同中的违约条款执行。
检查员会看什么
FDA和EMA检查员在审阅质量协议时,关注的不是文件有多厚,而是几个关键问题:各方职责是否清晰、CAPA时间线是否有约束力、升级机制是否可执行、协议是否反映了实际操作。
FDA QMSR 2026年的变化意味着检查员现在可以要求查看企业内部的供应商审计报告和管理评审记录。这对中国申办方有两个直接影响:一是你对CDMO做的审计报告本身也需要经得起检查;二是你在管理评审中如何讨论和跟踪供应商CAPA,也需要有记录。
EMA的检查风格稍有不同,但逻辑类似——检查员会追问"你发现供应商有问题之后做了什么"。如果答案是"发了审计报告,对方说会改,我们没有跟踪",这个答案在检查中是过不了关的。
中国申办方常见的三个误区
就实际经验而言,中国企业在CRO/CDMO质量协议的CAPA条款上,有三类反复出现的问题。
使用供应商的标准模板不做修改。海外CRO/CDMO通常会提供一份"标准质量协议模板"。这些模板往往是供应商的法律和质量团队从保护自身利益的角度起草的——CAPA条款写得模糊是故意的,不是疏忽。拿到模板后逐条审核、逐条修改,是谈判的基本功。
接受"双方协商解决"式的弹性条款。"如发生重大偏差,双方将协商确定CAPA方案"——这种表述在质量协议中没有实际约束力。FDA检查时会看具体的时间线和责任分配,"协商解决"四个字等于什么都没写。每个环节都应该有明确的责任方、时间约束和交付物定义。
忽视效果验证。很多质量协议在CAPA流程中只规定到纠正措施执行完毕,不提效果验证。这是一个结构性缺陷。ICH Q9质量风险管理把CAPA效果验证作为风险管理周期的一部分——没有验证,就没有证据证明风险已被控制。
一份写得好的质量协议,不能保证供应商不出质量问题。但它能确保在问题出现之后,双方不需要临时争论谁该做什么。审计发现已经是一个不愉快的事了,CAPA归属再不清晰,只会让事情变得更糟。把条款谈清楚、把时间线锁死、把升级路径写明白——这些工作在审计之前完成,远比在审计之后补救来得有效。
相关文章
ADC在CDMO发生批失败,调查责任怎么划分——质量协议条款拆解
ADC项目在CDMO发生批失败时,OOS调查、根因分析和CAPA的责任归属常引发争议。本文拆解MSA和质量协议中批失败调查条款的实务要点。
ADC CDMO清洁验证证据:共享HPAPI产线的买方尽调清单
中国ADC企业在与CDMO共用高毒HPAPI产线前,必须要求审查的清洁验证证据:PDE报告、MACO计算、swab采样数据、worst-case设备分组,以及合同条款保护。
ADC灌装分装CDMO尽调:光敏和冻存抗体偶联药物的隐藏风险点
中国ADC企业在选择灌装分装CDMO时,光敏药物的光防护验证、冷冻制剂的冻融控制、以及高毒HPAPI遏制灌装线的实操尽调清单。