2025年3月20日，欧洲药品管理局（EMA）的人用药品委员会（CHMP）发布了全球首份针对AI辅助肝脏病理评分工具AIM‑NASH的资质认定意见。
这份审评报告足足有71页，内容很详实，从该工具的实际使用流程，一步步回溯到模型开发、工具验证、临床验证的全过程，还附带了案例分析，并且结合案例详细说明了EMA的监管考量。在没有深入学习这份报告之前，我对这款工具的理解很浅显，只觉得它就是一个普通的病理辅助诊断工具。但仔细学习后才发现，它的适用场景是有明确限定的。
报告中明确写着：“本工具基于NAS分项评分（脂肪变性、肝细胞气球样变、小叶炎症）与纤维化分期，在MASH临床试验活检样本中确定疾病活动生物标志物。”EMA也明确批准，允许该工具用于MASH（原NASH）Ⅱ/Ⅲ期临床试验的患者入组筛选与组织学终点评估。简单说，这款工具目前只能用在临床试验中，不能用于常规临床诊疗。
紧接着，2025年7月7日，欧盟委员会发布了《EU GMP第4卷 附录22：人工智能》（Annex 22: Artificial Intelligence）的征求意见草案，同时更新了附录11（计算机化系统）。把这两份文件结合起来学习就会发现，附录22中很多原则和约束性规定，在EMA这份首份AI病理工具资质认定报告里都能找到对应体现。推测这也是EMA在审评首款AI病理工具资质认定过程中，总结经验后提炼出来的监管要求。
结合我自身临床试验质控的工作，我一直在思考一个问题：如果我参与的项目，需要用这款AIM-NASH工具做MASHⅡ/Ⅲ期临床试验的患者入组筛选与组织学终点评估，我该怎么查、查什么，核心依据又是什么？这篇分享，就先从供应商管理这个角度，和大家交流我的学习体会。

一、供应商资质的合规性

以往查中心实验室供应商资质，无非就是看营业执照、CAP认证，还有过往的监管检查记录。但用到这款AI工具，就必须额外关注工具本身的资质：它是否通过了药监部门的认证，要主动收集相关的资质证书。尤其重要的是，一定要仔细研读批准文件中的Agreed Context of Use (CoU)（约定使用场景），只要超出这个使用范围，就绝对不能用。比如这款工具，批准的用途就是MASHⅡ/Ⅲ期临床试验的患者入组筛选和组织学终点评估，要是用到IV期临床试验中，就明显不符合规定。

二、供应商的质量体系

除了常规的SOP审查，针对这款AI工具的模型本身，我觉得有三个重点需要检查：

1. 模型是否为静态模型

根据《EU GMP第4卷 附录22：人工智能》第一章的要求，使用过程中会持续自动学习、调整性能的动态模型，不能用于关键环节；关键环节只能用静态模型，也就是使用过程中不会通过纳入新数据来调整性能的模型。另外，对于关键数据，必须使用确定性输出模型——输入相同，输出结果就一定相同；而输入相同但输出可能不同的概率性输出模型，绝对不能用于关键环节。
所以要查，供应商内部对该模型的使用和权限控制是否到位，使用的软件版本是否全部固定。另外一个实操难点：传统计算机化系统检查，重点是追溯操作人、操作时间、操作内容，形成完整稽查轨迹。但AI工具的稽查痕迹该怎么查？查模型算法，推理显然不现实。对此可参考 GAMP AI Guide 的建议：对模型的输入数据、输出结果、使用的模型版本及对应性能指标进行完整记录，以此实现 AI 工具使用过程的可追溯性。而且EMA的审批文件中，也明确给出了该工具当前版本的相关性能信息，可作为检查依据。

2. 持续性能监控机制

《EU GMP第4卷 附录22：人工智能》10.3条“系统性能监控”明确要求：“应定期监控模型按指标定义的性能，及时发现计算机化系统的变化。”这和传统计算机化系统不一样，传统系统只要验证通过、配置不变更，性能就不会有变化，但AI模型不同——即使不主动更新模型，随着使用时间变长、输入数据增多，模型性能可能会出现时间衰退风险（参考《EMA/CHMP/CVMP/83833/2023 人工智能在药品生命周期中使用的反思文件》）。
因此，要查供应商是否建立了持续监控机制，是否在实时监控模型的真实世界性能；如果发现性能偏离预设阈值，有哪些处理措施；是否能及时和申办方沟通；遇到关键偏差时，供应商是否会向监管部门上报。

3. 变更管理机制

《EU GMP第4卷 附录22：人工智能》10.1条“变更控制”规定：“经测试的模型、其部署系统及所自动化/辅助的全流程，在投入运行前应纳入变更控制。对模型本身、系统、使用流程（包括模型输入所用实物对象）的任何变更，均应记录并评估是否需要重新测试。决定不重新测试的，应充分论证。”
所以要重点检查供应商的变更管理机制：拟实施的变更是否有提前预警机制，是否会根据变更可能带来的直接、间接影响做全面评估；变更评估是否有IT、QA、医学、项目、统计、病理中心等多部门共同参与。EMA也明确要求：重大变更，必须重新验证/重新认定；微小变更，必须记录并在申报资料中说明；累积变更，需评估是否触发重新认定。不过目前EMA还没有明确统一的标准，来界定什么是重大变更、累积变更的量化阈值是多少，只在附录22草案中要求关注“可解释性”和“置信度”，具体需要供应商在自身的风险评估框架下自行确定。
另外，根据EMA的审批文件，“鉴于目前监管层面尚未建立类似‘资质变更’的资质后程序，该工具的后续开发（如有），包括微小变更，均需建档记录，并在任何使用该工具开展Ⅱ期和/或Ⅲ期研发的药品上市许可申请（MAA）中一并提交说明。”这就对申办方提出了要求，要定期向供应商索取变更记录，并对记录进行审评。

三、供应商的专业能力

常规的供应商检查，会关注其类似项目经验、团队专业背景、技术平台成熟度。但用到这款AI工具的项目，还要重点结合工具手册，检查供应商是否满足工具使用的特定要求。比如EMA的审评文件就明确规定：使用该工具的病理实验室需具备CAP/CLIA认证，病理学家需具备相应资质，必须使用Aperio AT2扫描仪（40×）扫描切片，这些都是必须检查到位的。

四、合同条款的约定

此次修订后的附录 11（计算机化系统），首次将人工智能系统与云服务纳入正式监管范围，并明确了 “外包服务不能转移责任” 的监管原则。也就是说，即使外包给供应商，最终的合规责任还是在申办方身上。因此，在和供应商签订合同时，必须明确供应商的相关义务：比如模型必须处于验证状态、模型版本有变更时需及时通知申办方、明确双方的数据安全责任划分，这些条款都要在合同中写清楚，避免后续出现责任纠纷。
五、合作风险的评估
由于这款工具的模型是锁定的，版本控制也具有唯一性，这就意味着几乎没有可替代的备选供应商。所以申办方在考虑使用该供应商服务时，必须重点评估其合作风险：比如供应商的财务稳定性、核心人员流动率、整体运营稳定性。要知道，临床试验短则几个月，长则几年，供应商能否在整个试验周期内提供稳定的服务，是申办方和质量保证员必须提前考虑的风险。

总结

综上，通过对 AIM‑NASH 工具及欧盟相关监管文件的学习，我深刻体会到，作为临床试验 QA/QC，检查思路与专业能力必须同步升级。面对 AI 类工具，只有主动学习 AI 相关法规政策、熟悉 AI 系统的特点与风险点，才能更有效地开展质控与稽查工作，保障临床试验合规性与数据可靠性。
同时我也认为，质量人学习与检查重点，不必过度聚焦于 AI 工具的开发与算法验证环节——既然工具已获得 EMA 正式认定，其本身合规性已得到监管确认。更关键的是工具在临床试验中的实际使用过程，时间衰退风险、以及操作人员对结果的影响。当然，AI 模型的开发与验证逻辑同样值得深入探讨，受限于本次分享篇幅，相关内容暂不展开，后续我将结合本案例与 EU GMP 附录 22（AI）的要求，另文分享相关体会。
|（注：文档内容由作者撰写，经 AI 辅助润色完善。)