【普瑞研究院】浅析基于人工智能的医疗器械欧盟市场准入

AI系统定义

2021年4月欧盟委员会发布了一份涵盖AI相关方面法规提案 Proposal for a Regulation of the European Parliament and of the Council Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act (AIA)) and Amending Certain Union Legislative Acts com/2021/206 final ¹.

目前还在欧盟理事会讨论中。AIA提案条款 3(1) 和附录 I陈述了‘artificial intelligence system’ (AI system) 定义。

‘artificial intelligence system’ (AI system) means software that is developed with one or more of the techniques and approaches listed in Annex I and can, for a given set of human-defined objectives, generate outputs such as content, predictions, recommendations, or decisions influencing the environments they interact with，

附录 I

(a) Machine learning approaches, including supervised, unsupervised and reinforcement learning, using a wide variety of methods including deep learning;

(b) Logic- and knowledge-based approaches, including knowledge representation, inductive (logic) programming, knowledge bases, inference and deductive engines, (symbolic) reasoning and expert systems;

高风险AI系统

AIA提案也将对人的健康和安全或基本权利构成重大风险的AI系统定义为高风险AI系统。附录III列举了目前高风险AI系统的使用领域，如下领域涉及人类安全和健康。因此，基于AI的医疗器械被认为是高风险AI系统, 自然而然落入AIA提案范畴。

Biometric identification and categorisation of natural persons:

(a) AI systems intended to be used for the ‘real-time’ and ‘post’ remote biometric identification of natural persons;

该提案规定了适用于高风险AI系统的供应商和用户的义务。对于开发此类系统并将其投放到欧盟市场的供应商而言，这将创建法律确定性，并确保不会出现妨碍跨境提供人工智能相关服务和产品的障碍。对于使用人工智能的公司来说，它将促进客户之间的信任。对于国家公共行政部门，它将促进公众对人工智能使用的信任并加强执行机制。

高风险AI系统的开发和使用过程中，该提案对商业自由和科学自由施加了一些限制，以确保符合公众利益，如健康、安全、消费者保护和保护其他基本权利。提案还规定了人工智能系统供应商在上市后监管、报告和调查人工智能相关事件和故障方面的义务。市场监督机构也将控制市场并调查所有已投放市场的高风险人工智能系统义务和要求的符合性。

提案列明高风险AI系统基本要求：

风险管理系统
数据和数据管理
技术文档
建立记录
透明度和向用户提供信息
人为监督
准确性、稳健性和网络安全

提案列明高风险AI系统上市后监管要求：

供应商的上市后监管和上市后监管计划
报告严重事件和事故
欧盟市场AI系统的市场监督和控制
数据访问和文档
基于欧盟国家层面处理存在风险的AI系统程序
防护程序
存在风险的AI系统的符合性
公开违规行为

AI法规提案和现行医疗器械法规的关系

提案附录 II 基于新立法框架(New Legislative Framework，NLF)的欧盟协调立法清单将Regulation (EU) 2017/745 of the European Parliament and of the Council of 5 April 2017 on medical devices ²和Regulation (EU) 2017/746 of the European Parliament and of the Council of 5 April 2017 on in vitro diagnostic medical devices ³列明其中。

根据欧盟新立法框架以及AI技术特性，AIA提案中关于AI系统的要求将作为现有符合性评估程序的一部分进行审评。特别是针对高风险AI系统引入一套协调化的核心要求以及供应商和用户义务，以加强对健康，安全和基本权利的保护并且为供应商和用户提供法律确定性。

由此可见，AI法规和医疗器械法规将互相补充，互相制约。

基于AI的医疗器械评估重/难点

通常来讲，相较于传统的医疗器械软件设计开发阶段评估，基于AI的医疗器械评估重/难点在设计开发阶段的 “数据管理”和“模型开发”。数据通常理解为训练、验证和测试数据。每种类型都必须满足其特定要求。数据管理通常包含数据收集，数据标记，数据（预）处理过程，文档和版本控制。模型开发阶段分为准备，训练，评估和文档。

ISO 14971适用于医疗器械软件风险管理评估，同样也适用于基于AI的医疗器械。然而在某些基于AI的医疗器械的使用过程中，许多算法和数据模型并不是” 锁定” 的，而是持续实时学习和调整其功能，以优化整体性能。因此这些AI技术很可能在最初的器械开发阶段中呈现出一种潜在风险状态，而在器械用于患者之中或之后呈现出另一种潜在风险状态。

与可以逐行评估其在执行给定任务中的适用性的静态程序代码不同，评估 AI 功能是一个不太透明的过程。对基于 AI 的医疗器械的全面评估在很大程度上取决于对数据质量和数量的评估，因为这些因素直接影响 AI 算法和模型的性能。影响数据质量的关键方面可能包括数据选择和收集中的隐藏偏差，或已收集数据的标记错误。影响数据质量的一个更棘手的问题是涉及数据的过拟合或欠拟合，其中数据集与所使用的数据模型的要求联系过于紧密或者不够紧密。

在评估验证 AI 模型所需的数据量时要考虑的因素包括 AI 算法的复杂性和模型要解决的问题的复杂性。并且在AI算法的设计开发阶段的评估中也很难具体解释算法是如何驱动医疗器械的功能。

基于AI的医疗器械需要符合医疗器械法规要求，目前还没有专门针对AI技术独特性能方面的协调化标准。基于传统的医疗器械软件的符合性要求，如下标准（但不限于此）同样也适用于基于AI的医疗器械符合性要求：

EN ISO 13485 Medical devices - Quality management systems - Requirements for regulatory purposes
EN ISO 14971 Medical devices - Application of risk management to medical devices
EN 62304 Medical device software - Software life cycle processes
EN 62366-1 Medical devices - Part 1: Application of usability engineering to medical devices
IEC 82304-1 Health Software Part 1: General requirements for Product Safety
EN ISO 31000 Risk management - Guidelines
EN ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary
EN ISO/IEC 27001 Information Technology – Security techniques – Information Security management Systems – Requirements
ISO/IEC 80001-1, including IEC/TR 80001-2-xx, Application of Risk Management for IT networks Incorporating Medical Devices
ISO/IEC 80001-5-1 Health software and health IT systems safety, effectiveness and security. Part 5-1. Security. Activities in the product life cycle
IEC 62443-4-1 Security for industrial automation and control systems. Part 4-1: Secure product development lifecycle requirements
IEC 62443-4-2 Security for industrial automation and control systems. Part 4-2: Technical security requirements for IACS components
IEC/TR 60601-4-5 Medical Electrical Equipment – Part 4-5. Safety related technical security specifications for medical devices.
EN ISO 14155 Clinical investigation of medical devices for human subjects - Good clinical practice

欧盟医疗器械法规附录 I陈述了医疗器械的基本安全和性能要求，适用于基于AI的医疗器械。包含集成电子可编程系统，包括软件的器械或医疗器械软件的设计需确保其可重复性，可靠性且性能与预期用途一致。

单一故障情况下，应采取适当措施，尽可能消除或减少由此产生的风险或对性能的损害。对于集成软件的器械或医疗器械软件，软件的开发和制造应符合最先进的技术，同时需考虑开发生命周期，风险管理，包括信息安全，验证和确认的原则。

欧盟医疗器械法规附录 XIV 也陈述了医疗器械的临床评估的基本要求，同样也适用于基于AI的医疗器械。至于评估的深度和广度需要与器械性质，分类，预期用途和制造商宣称的潜在风险成比例。如果临床评估是基于实质等同器械，那么该器械必须具有足够的技术和临床等效性，其中必须包括对AI算法的评估。

AI技术在不断的研发，相应的AI法规和标准也在紧锣密鼓的制定中。基于目前的现状，以现行医疗器械法规和标准作为基础，同时尽可能缩小现行医疗器械法规与AI能力相关的安全和性能符合性评估等相关方面的差距。然而在正式的AI法规出台之前，监管机构只能根据case-by-case原则对基于AI的医疗器械审批申请做出决定。

Reference: