划重点：一套体系、一份文档、一次评估，告别重复合规！

上周，欧盟监管机构为医疗设备软件（MDSW），特别是医疗人工智能（MDAI）领域的企业送上了一份“重磅大礼包”——短短四天内连续发布三份关键指南文件，清晰勾勒出《人工智能法案》（AIA）与现有医疗器械法规（MDR/IVDR）的融合路径。医疗AI的合规新时代，正式拉开帷幕！

📅 监管“三集连播”，信息量爆炸：

1. 6月16日：MDCG 2025-4 - 聚焦医疗设备APP在数字平台的安全部署。
2. 6月17日：修订版MDCG 2019-11 - 详解MDR/IVDR下软件资格认定与分类，并明确其与欧洲健康数据空间（EHDS）的互动。
3. 6月19日：AIB 2025-1 / MDCG 2025-6 - 发布万众期待的路线图，阐释AIA如何与MDR/IVDR对接。（本文核心）

这份最新指南的核心精神：Integrated Compliance（整合合规）！

核心原则：无需两套体系，无需两份文档！

指南明确传达了一个对企业极具实操价值的信号：制造商不必为满足MDR/IVDR和AIA分别建立独立的质量管理体系（QMS）、风险管理框架或技术文档（Technical Documentation）！

🎯 整合合规的核心要求：

1. “一套体系”管到底： 建立统一、健壮的质量管理与风险管理框架，覆盖产品全生命周期（上市前+上市后），并特别强调增强可追溯性。这套体系需同时满足MDR/IVDR和AIA的相关要求。
2. “一份文档”贯全程： 仅需准备一份技术文档文件。制造商应在现有的MDR/IVDR技术文档基础上进行扩展，纳入AIA特有的要素，避免重复工作。关键扩展项包括：
   • 数据治理： 数据来源、标注过程、生命周期追溯的清晰记录。
   • 算法透明度： 系统工作原理、决策逻辑的说明。
   • 性能监控： 持续监测的计划与方法。
   • 人工监督机制： 确保用户理解、被告知（正在使用AI）并能有效干预的设计。
3. “一次评估”定合规： 只需通过MDR/IVDR途径进行一次符合性评估。目标是通过整合，高效展示如何识别、减轻和管理AI特有的风险。

例外情况： 被AIA定义为高风险（High-Risk）的AI系统，仅需遵守AIA的要求，并按AIA第43(1)条进行符合性评估（内部控制或公告机构介入）。

🔍 指南重点解读：六大关键领域深化要求

1. 数据是根基：
   • MDR/IVDR： 要求提供支持安全性和性能的临床相关高质量数据。
   • AIA补充： 强调使用具有代表性、相关性且经过适当预处理的数据集，以减少偏见、提高可靠性。数据治理（来源、标注、全生命周期可追溯性）的清晰文档是重中之重。
2. 透明、可解释与人工监督：
   • 在MDR/IVDR确保设备安全使用的基础上，AIA增加了明确义务：
     • 用户必须理解MDAI系统的工作原理。
     • 用户必须被告知正在与AI交互。
     • 用户必须被赋予干预的能力（尤其在必要时）。
   • 用户界面需直观，决策逻辑需文档化。
   • 必须建立强有力的机制，确保在高风险临床决策等关键场景下，人类控制始终有效且有意义。设备必须安全运行、清晰沟通并处于人类掌控之下。
3. 准确性、鲁棒性与网络安全：
   • 强调安全设计（Security-by-design） ，追求准确性、性能和网络安全的统一。
   • 防护范围不仅限于设备软件本身，还需涵盖其依赖的模型、数据集和算法。
   • 持续性能监控、抵御对抗性输入的韧性、安全的更新机制不可或缺。
   • 在设计、风险管理和持续监控中，必须充分考虑AI特有的脆弱性。
4. 临床/性能评价：
   • 临床/性能评价是证明MDAI系统安全有效的核心。
   • 评价必须考虑AI的动态特性。
   • 验证需反映真实世界的变异性，不仅关注初始性能，还需评估：
     • 系统在不同患者群体中的表现。
     • 在特定使用条件下的局限性。
     • 系统随时间变化的适应能力。
5. 重大变更/实质性修改：
   • AI系统的变更（尤其是再训练）可能触发相关法规下的重新评估要求。
   • “重大变更”概念同样适用于上市后持续演化的MDAI系统。
   • 预定变更控制计划（PCCP） 被视为一种减轻持续重复评估负担的可行方案（IMDRF正在制定相关指南）。
   • 重要缓冲期： 对于已上市的MDAI系统，有关重大变更的义务要到2027年8月2日才正式生效。

💡 给中国企业的行动建议：

1. 立即启动差距分析： 对照新指南（尤其是AIB 2025-1/MDCG 2025-6），审视现有QMS、风险管理流程和技术文档，识别与整合合规要求的差距，特别是数据治理、算法透明度和人工监督等方面。
2. 规划体系整合路线图： 制定计划，将AIA的特定要求（如数据治理、透明度、持续监控）无缝融入现有的MDR/IVDR合规框架中，建立统一的增强型体系。重点关注如何在一个技术文档中有效呈现所有要素。
3. 投资数据治理基础： 将数据质量管理、来源追溯、偏差控制、标注流程文档化提升到战略高度，这是满足双重监管的基石。
4. 设计透明与可控性： 在用户界面（UI/UX）和系统设计中，提前规划如何实现AIA要求的用户告知、理解与有效干预机制。
5. 关注动态与PCCP： 紧密跟踪IMDRF关于PCCP的指南进展，为未来上市后AI模型的迭代（如再训练）建立符合监管要求的变更管理策略。利用好2027年8月前的缓冲期做好准备。
6. 强化生命周期监控： 建立强大的上市后监测（PMS）和上市后跟踪（PMCF）系统，特别关注AI性能在真实世界中的持续表现、网络安全和潜在偏差，以满足动态监管要求。

🌟 结语：

欧盟这三份指南的密集发布，标志着医疗AI监管从“各自为政”走向“整合统一”的重大转折。“一套体系、一份文档、一次评估” 的核心理念，虽为制造商减轻了负担，但对数据根基、算法透明、人工掌控和全周期监控提出了前所未有的高要求。

对中国医疗AI企业而言，主动拥抱整合合规，不仅是进入欧盟市场的通行证，更是构建可信、安全、可持续创新产品的核心竞争力。监管的巨轮已明确航向，是时候扬帆起航，驶向医疗AI合规的新大陆了！

医疗AI的未来，属于那些将合规融入创新基因的企业。