随着AI技术在医疗领域的广泛应用，医疗器械中的AI系统（如影像识别、诊断辅助工具）在欧盟地区面临双重监管压力。2025年6月，欧盟人工智能委员会（AIB）与医疗器械协调组（MDCG）联合发布《医疗器械法规（MDR）、体外诊断医疗器械法规（IVDR）与人工智能法案（AIA）的协同应用指南》，为全球医疗器械制造商、认证机构和监管者提供了关键合规路径。

本指南的核心目标是协同MDR/IVDR与AIA的合规要求，同时确保AI医疗器械的安全性、透明性和伦理合规性。指南从7个方面逐步解答实际应用中的常见问题，并强调技术文件、风险管理、数据治理和透明度作为贯穿始终的监管重点，以下是主要内容：

 

1. 范围与分类

AIA何时适用于医疗器械软件（MDSW）？

MDSW定义：指单独或联合用于医疗目的的软件，符合MDR第2(1)条或IVDR第2(2)条。

AI系统定义：根据AIA第3(1)条，AI系统是基于机器的系统，具有自主性、适应性，能生成预测、内容、推荐或决策。

医疗器械人工智能（MDAI）范围：涵盖MDR附件XVI产品、医疗器械配件、体外诊断设备及其配件。

MDAI若被归类为高风险AI系统（AIA第6(1)条），需满足AIA的额外要求。

MDAI何时被AIA视为高风险AI系统？

MDAI是安全组件（如系统故障会危及健康或财产），或本身是医疗器械；

MDAI需接受第三方认证（由公告机构执行）。

分类	是否涉及公告机构？	是否符合AIA高风险条件？
MDR I类（非灭菌、非测量、非可重复使用）	否	否
MDR I类（灭菌、测量、可重复使用）	是	是
MDR IIa、IIb、III类	是	是
IVDR A类（非灭菌）	否	否
IVDR A类（灭菌）	是	是
IVDR B、C、D类	是	是

AIA是否会影响MDAI在MDR/IVDR中的风险分类？

AIA对MDAI的高风险分类不改变其在MDR/IVDR中的风险等级。MDR/IVDR的分类决定MDAI是否符合AIA高风险条件。

内部开发的MDAI是否适用AIA？

医疗机构内部开发且仅用于自身使用的MDAI不需第三方认证，因此不被视为高风险AI系统，但仍需遵守AIA的禁止性规定（如歧视性算法）。

 

2. 核心要求

2.1管理系统

要求制造商对MDAI的全生命周期（设计、开发、部署、监测等）进行风险管理，确保安全性和性能持续符合法规。AIA进一步强调对高风险MDAI的持续监控和迭代更新。

生命周期管理

MDR/IVDR：要求制造商需管理MDAI的全生命周期，确保安全性与性能。

AIA强化要求：对高风险MDAI需进行持续审查、监督和性能验证，并建立比例化的上市后监控。

关键活动：设计、开发、测试、部署、监控、更新及文档记录。

质量管理体系

MDR/IVDR：要求建立与风险等级相适应的质量管理体系，确保合规性。

AIA：要求针对AI系统实施质量管理体系，涵盖13个方面（如风险管理、性能测试），并与MDR/IVDR体系整合。

标准支持：欧盟正在制定高风险MDAI的质量管理国际标准。

风险管理

核心要求：识别并缓解健康、安全、基本权利风险，包括数据偏差、系统鲁棒性等问题。

具体措施：全面风险评估、风险缓解措施文档化、系统性能持续监控。

整合建议：制造商可将AIA的特定风险管理要求（如数据治理）整合到现有MDR/IVDR文件中。

2.2数据治理

要求MDAI的训练、验证和测试数据集必须高质量、无偏见且具有代表性，同时需符合GDPR的数据隐私要求。AIA还要求记录数据偏差和系统行为日志以支持可追溯性。

数据治理要求

MDR/IVDR：临床数据需稳健、可靠，并且基于良好设计的研究。

AIA：要求训练、验证、测试数据集高质量、无偏见且具代表性，符合GDPR隐私保护。

关键技术：需通过第三方认证的数据治理服务，确保数据完整性。

偏差监控与缓解

AIA要求：制造商需检测、预防和缓解可能影响健康、安全或基本权利的数据偏差。

记录要求：需记录系统开发或重大修改中的潜在偏差风险，并通过日志实现可追溯性。

协同要求：MDR/IVDR的临床数据可靠性与AIA的偏差监控需结合实施。

数据类型定义

训练数据：用于训练AI系统的数据；

验证数据：用于评估训练后系统的数据；

测试数据：独立评估系统性能的数据。

2.3 技术文档

技术文档要求

MDR/IVDR：需包含软件架构、数据处理方法、风险管理策略等。

AIA：额外要求透明度和问责性文档，如风险评估、数据治理实践、性能测试结果。

整合建议：AIA要求为高风险MDAI准备单一技术文档，避免重复工作。

公告机构评估规则

抽样规则：高风险MDAI需遵循MDR/IVDR的抽样评估规则（如IIa类、B类设备需至少评估一类代表性设备）。

2.4 透明度与人类监督

制造商需提供清晰的使用说明，确保用户（如医疗专业人员）能理解MDAI的输出逻辑和局限性。AIA要求高风险MDAI的设计需包含不可绕过的操作限制，并允许人类干预关键决策。

透明度要求

AIA：高风险MDAI需设计为用户可理解输出逻辑和局限性，并提供清晰的使用说明。

MDR/IVDR：要求制造商提供设备用途、操作和限制的透明信息，并遵循最新技术开发标准。

协同目标：确保部署方和公告机构理解MDAI的性能和风险。

可解释性与数据处理

AIA：需提供系统能力、限制和决策逻辑的文档，支持用户知情决策。

数据处理：训练、验证、测试数据需无偏见、代表性强，并符合AIA第10条要求。

问责制

MDR/IVDR：要求文档化临床和性能评估，并描述软件对设备功能的贡献。

AIA：通过透明度要求促进可解释性，从而实现问责制。

可用性工程

MDR/IVDR：要求应用可用性工程原则，减少使用错误风险，并考虑用户培训需求。

AIA：需设计用户友好的接口，确保安全有效交互。

人类监督机制

AIA：要求设计不可绕过的操作约束，允许人类干预关键决策。

MDR/IVDR：支持安全高效的MDAI设计，并要求明确的人类监督流程。

人类监督作为风险缓解措施

制造商需优先通过安全设计消除风险，其次通过警报等措施，最后提供安全信息。

示例：在高度自主的手术机器人中，需限制人类干预的范围以避免患者风险。

知情同意

MDR/IVDR：临床研究需获得参与者的知情同意。

AIA：通过透明度和人类监督要求，确保部署方和受影响者充分理解系统能力与风险。

可追溯性

MDR/IVDR：要求设备在整个供应链和生命周期中可追溯（如UDI）。

AIA：要求记录系统性能和行为日志，支持监控和上市后跟踪。

2.5 准确性、鲁棒性与网络安全

MDR/IVDR和AIA均要求MDAI具备抗干扰能力，防止未经授权的访问或攻击。AIA特别强调需针对AI特有的漏洞（如模型训练数据污染）采取技术防护措施

网络安全措施

MDR/IVDR：要求风险可接受，需平衡收益与风险。

AIA：针对AI特有漏洞（如模型训练数据污染）实施技术解决方案。

关键措施：防止未授权访问、数据和模型中毒，检测并响应网络攻击。

整合要求：网络安全需纳入风险管理、质量管理体系，并通过符合性评估。

 

3. 临床/性能评估与测试

MDAI需通过临床试验或性能研究验证其安全性和有效性。AIA补充要求对高风险MDAI进行预定义指标的测试，并在部署后持续监控其表现。

AIA的性能评估标准

核心要求：高风险MDAI需针对预定义指标和概率阈值进行测试，确保一致性和合规性。

验证要求：需验证AI训练流程（如数据收集、预处理、模型训练）的可靠性。

MDR/IVDR的临床/性能评估要求

MDR/IVDR：通过临床或性能评估验证MDAI的安全性和性能。

AIA补充：要求验证透明度、人类监督、网络安全等维度，并确保不侵犯基本权利。

测试灵活性：允许选择验证方法，但需证明MDAI符合要求。

临床研究与性能测试的合规性

高风险MDAI：需通过临床研究（MDR）或性能研究（IVDR）生成临床证据。

AIA允许的现实世界测试：在符合MDR/IVDR的前提下，允许高风险AI系统在上市前进行现实世界测试。

临床证据生成流程

MDR/IVDR：要求通过临床/性能评估生成证据，包括临床益处。

AIA补充：对持续学习的MDAI，需考虑预定义变更控制计划。

 

4. 符合性评估

适用的符合性评估程序

高风险MDAI：需通过MDR/IVDR的第三方认证程序，并满足AIA的技术文件审查要求（如风险管理、数据治理等）。

例外情况：若AI系统仅属于AIA附件III的生物特征分类系统，则无需MDR/IVDR认证。

双重合规的符合性评估流程

高风险MDAI：需接受MDR/IVDR的公告机构审查，并整合AIA的附加要求（如风险管理、数据治理）。

关键步骤：质量管理体系审计、技术文件审查、检查合规性。

 

5. 实质性修改/重大变更

若MDAI发生“实质性修改”（如算法核心变更），需重新进行符合性评估。AIA定义了“实质性修改”的标准，并要求制造商提前规划可预测的变更流程。

AIA与MDR/IVDR的重大修改

AIA定义：重大修改需重新进行符合性评估，无论是否重新分销或继续使用。

欧盟委员会指南：将制定重大修改的实施指南，并评估其对医疗器械的适用性。

非重大修改的界定

预定义变更：若变更已在初始符合性评估中定义并记录，则不构成重大修改。

文档要求：需在技术文件中详细说明初始性能预期及变更验证机制。

AIA生效前已上市设备的修改

过渡期安排：2027年8月2日前上市的器械，若在2027年8月2日后发生重大设计变更，则需遵守AIA要求。

 

6. 上市后监控

上市后监控要求

MDR/IVDR：要求制造商建立监控系统，收集性能数据、风险分析、不良事件报告。

AIA补充：需主动监控MDAI与其他AI系统的交互影响，并由部署方向制造商报告异常。

持续性能监控机制

MDR/IVDR：需建立上市后监控系统，定期更新风险管理策略。

AIA：要求按比例制定监控计划，确保持续符合安全与性能标准。

AIA引入的新维度

交互监控：需关注MDAI与其他AI系统的协同风险。

部署方责任：部署方需监控系统运行并及时反馈制造商。

 

7. 其他问题

MDAI制造商是否需定义最低要求的AI培训？

制造商需提供培训，确保部署方（如放射科医生）理解MDAI的能力和风险，减少误用。

AIA义务：要求企业提升员工的AI素养，确保其理解AI系统的操作和限制。

通过整合MDR/IVDR与AIA的要求，制造商不仅能降低合规成本，还能加速产品上市，同时保障患者安全。建议企业密切关注欧盟后续发布的指南，并提前规划技术文件与质量管理体系的优化。

 

来源：致众医疗器械资讯

关键词： 医疗器械法规 体外诊断医疗器械法规 人工智能法案