本文讨论了工艺验证的逻辑基础和设计原则。并以一个原料药为例，展示如何通过工艺风险分析，定义工艺控制策略，并进而确定工艺验证的设计。

如何设计工艺验证，一直是很多验证人员感到头痛的问题。下面笔者从工艺验证的逻辑基础出发，以一个原料药（API）工艺的“风险分析 - 工艺控制策略 - 验证设计”为例，介绍笔者的实际经验。

工艺验证的逻辑基础

产品质量由上述多个要素决定，产品质量出现变异（variation），一定是由于某个或者某些要素出现了变异而引起的。产品质量要稳定在一定范围（规格）内，必须将原料、人员等要素控制在一定范围（规格）内，即这些要素是产品质量的“必要条件”。应当建立SOP，控制要素的变异，并监控SOP的执行情况。

工艺验证的目的

这些“必要条件”，是否同时构成产品质量的“充分条件”，即“充要条件”？换句话说，按照SOP执行，是否能够保证每次都生产出符合规格的产品？这就是工艺验证的目的。

上述逻辑关系，可以推导出4个最重要的概念：

【验证顺序】首先定义“必要条件”，然后证明其是“充分条件”。因此，设备确认、方法验证和工艺验证是有顺序的。见图2。

【挑战最差情况】上述“充要条件”是否在所有情况下都成立？如果我们可以证明上述关系在边界条件下成立，那么可以认为，边界以内的该关系也成立。

【趋势分析】在各个要素随着时间而波动的情况下，上述“充要条件”是否一直成立？

【设计空间】能否建立上述关系的模型，从而提供更准确的预测和控制？

工艺验证的“度”

工艺验证之前，不仅要了解变异的来源，而且要评估每个变异来源的可能影响[1]；从而确定验证需求。绝对的“充要条件”是一种理想状态；但是越接近这种状态，就越有把握每次都生产出符合要求的产品，对于工艺就有更多的“信心”。

变异来源通常包括：较宽的关键参数范围；来自于不同供应商的物料；不同生产设备；不同人员；批次均匀性；要素或者参数之间的组合（例如，对于干燥过程，不同批量所需的干燥温度/时间可能是不同的）。即使每个参数都只有一个设定点、每种物料都只有一个供应商、每种设备只有一台，验证也应当进行3批，以评估随机因素的影响。

想要在工艺验证中评估所有这些变异来源的可能影响，需要太多批次，经济成本和时间成本不现实。因此，要通过下面风险分析来控制验证需求。

如果已经有历史数据证明变异的影响范围，那么就无需在工艺验证中再次评估。历史数据包括：研发数据、历史批次数据、偏差调查、设备确认等等。注意这里存在一个“历史数据 - 科学推理 - 结论”的过程，应当数据充分、逻辑合理，或者是常识。

对于已知没有相互影响的参数，可以假设它们是相互独立的，因此不需要尝试这些参数之间的组合。

对于范围较窄的关键参数，以及非关键参数，可以假设无需进行范围挑战。

如上所述，在做验证之前的风险分析时，有各种假设。随着生产历史数据的积累，可能发现原来的某个假设是错误的，或者发现新的关键参数。因此，有必要进行趋势分析[1]。这种趋势分析的通常形式是产品质量回顾（年度或者季度）。

工艺风险分析举例

下面是一个API工艺风险分析的举例：首先应用故障树分析（Faulty Tree Analysis，FTA）发现风险，随后应用和潜在失效模式和后果分析（Failure Mode and Effects Analysis，FMEA）评估风险控制和验证需求。

根据上述分析，确定工艺验证设计如下：

设计说明：

第1批和第3批，评估批量可能对酸处理时间和干燥曲线造成的影响。

验证批次中，如果有可能，尽量由不同人员操作不同批次，尽可能同一物料使用不同批次。以评估随机因素的影响。

【参考文献】

[1] FDA, Guidance for Industry - Process Validation: General Principles and Practices, 2011。

设计空间

根据“充要条件”的逻辑关系，将产品质量作为因变量，各个要素作为自变量，可以用数学函数来表示产品质量与各个要素的关系：

K= f (x, y, z, m, n, p)

其中因变量K代表产品质量，是一个多维向量（例如，可以将含量、有关物质等质量指标各自作为一维，如果有10个质量指标，就是10维向量）；x、y、z、m、n、p各自代表厂房设备、人员、原料、包装、工艺、检测等自变量，也是多维向量。如果我们有足够多的数据（足够多的批次），就可以计算出拟合函数。

这就是设计空间的理念，建立可以预测产品质量的数学模型，代表产品质量控制的更高级形态。要建立整个产品质量的设计空间，其所需数据量是不可想象的。我们可以小范围地建立某个关键质量指标的设计空间，举例见ICH Q8的Appendix 2；即使这样，这仍然是个烧钱的东西，目前不是强制要求。

FMEA分析使用的RPN体系

RPN值=风险影响程度（S）x风险出现概率（O）x不可探测度（D）

影响程度（S）的评分

【1】：对工艺和产品质量基本没有负面影响，同时对质量体系的坚固性的负面影响轻微。

【2】：对工艺和产品质量基本没有负面影响，同时对质量体系的坚固性有较低负面影响。

【3】：对产品质量基本没有负面影响，同时对工艺可能有一定负面影响，或者对质量体系的坚固性有一定负面影响。

【4】：可能影响产品质量，或者对工艺可能有关键负面影响，或者对质量体系的坚固性有关键负面影响。

风险出现概率（O）的评分

【1】：很少出现（例如，不高于每年1 - 2次）

【2】：偶尔出现（例如，每季度1 - 2次）

【3】：有一定出现概率（例如，每月1次）

【4】：出现概率较高（例如，可能每周都出现）

不可探测度（D）的评分

【1】：错误非常明显，一旦出错，必定会被发现。

【2】：错误明显，可以、操作中、或者使用前/使用后检查中发现，或者在每批进行的QC检测中发现。

【3】：可以被QA/部门日常检查发现，或者被周期性的QC检测发现。

【4】：几乎不可能被日常检查或者检测发现。

风险控制目标

RPN值应控制在18以下，如有可能，最佳值在12以下。

如果采取措施后，风险被消除，则不再计算RPN值。

如果有无法控制在18以内的风险，应提请质量会议，审核决定如何控制到18以下，或者是否接受该风险。

RPN体系的验证

RPN体系的定义，代表了企业的风险耐受程度，即风险控制的“度”。这个“度”不能太松，否则太多风险容易放过去；也不能太紧，否则企业做不到。因此，这个RPN体系是需要验证的，使用历史数据（例如过去发生的偏差），来检验这个RPN体系是否符合公司的风险耐受程度。这个验证报告也是很有意义的培训资料，让员工有实例可以学习，以加深对“度”的理解。由于公司的风险耐受程度可能由于市场环境、法规环境或者公司战略的变化而变化，对这个RPN体系的适用性，应当定期进行审核。