首页
>
资讯
>
【周末杂谈】AI 在 GMP 上的应用,在重蹈 Part11 的覆辙吗?
出自识林
【周末杂谈】AI 在 GMP 上的应用,在重蹈 Part11 的覆辙吗?
2026-04-05
让AI参与GMP控制,而不仅是单纯用于降本增效,会带来很多问题
Déjà vu,源自法语,意为“已见过”,表述的是一种强烈而短暂的错觉,让人感觉当前的情境仿佛早已经历过,尽管明知这是全新的体验(往往是不好的体验)。这是一位美国GMP 领域资深人士,最近谈起如何监管AI在GMP上的应用时用的词,说感觉就像20多年前FDA制定电子监管规章21 CFR Part 11 时一样。此规章出台后的悲惨处境源于FDA思考不周,提出了实操中难以满足的要求 ,结果事与愿违,不仅未促进、反而阻碍了IT技术的GMP应用。
这位人士觉得跨国药企对AI在GMP应用上的期望过高,欧美药监机构设想的监管又过严。这种情况下急着出台监管规章指南,容易重蹈当年Part11的覆辙。
这让笔者想起武田制药专家最近发的帖子(感谢Ian Thrussell先生的推荐),对AI 在GMP上的应用,提出了一些需要考虑的问题。一方面,这些问题提得相当专业和具体,对指导实际工作有借鉴作用。另一方面,要妥善解决所有这些问题,恐怕是需要些时日和实践经验的。与其急着出台监管规章指南,不如先“让子弹飞一会儿”。
下面将武田专家的帖子翻译、简要编辑和摘录如下。供参考。
随着 AI 在 GMP 环境中的部署加速,对良好实施和控制最有用的诊断方法不是合规性检查清单,而是一系列操作性问题的存在,这些问题揭示企业的 AI 治理是实实在在还是徒有其表。每个制药质量领导者都应关注如下的问题。
1. 你是否拥有所有 AI 系统的完整、最新的清单,包括其所有者、GMP 等级及其验证 状态?
大多数企业并没有做到这一点。三种隐蔽的部署途径正在造成清单缺口:供应商悄悄地将嵌入式 AI 功能添加到已经确认的平台中;员工用 ChatGPT 起草 CAPA 文件,但 IT 或 QA 部门无法察觉;以及通过 API 访问的基础模型。你无法验证、监控或管理你尚未识别的事物。欧盟 AI 法案 第49条要求在部署前注册高风险 AI 系统。GAMP5附录D11 要求编制全面的清单。FDA 检查员已经开始根据 21CFR§211.68(b) 处罚未登记的受 AI 影响的系统。
2. 自治是否按风险分级,并通过系统设计(而不仅仅是 SOP )来强制执行?
虽有 “AI 输出需人工审核”的政策,却允许审核人员在三秒内批准,且无证据表明真正的参与。这不是控制措施,是风险隐患。欧盟 AI 法案第14(4)(d) 条要求高风险 AI 具备技术上可实现的强制审核能力。经验证的 HITL(Human in the Loop)执行需多要素的协同运作:置信度评分门控、强制性人工审核队列、基于角色的访问限制,以及将统计上不合理的批准审核时间下限标记出来。
3. 已实施的 AI 智能体是否已根据 21 CFR Part 11 进行身份验证?
许多企业与智能体共享人用凭证,这意味着在审计跟踪 中无法区分 AI 和人创建的记录。这会破坏智能体所接触的每条记录的 ALCOA+ 可归属性。在 GMP 系统中运行的每个智能体都需专用的、版本锁定的系统身份,并遵循最小权限原则进行访问范围划分,其方式与管理人用账户的方式相同。目前尚无指南明确涵盖这一点,但这方面的漏洞可能会在首次深入的现场检查中被发现。
4. 能否从头到尾重现每一个 AI 辅助决策?
不仅包括输入和输出,还包括模型版本、提示词版本、检索步骤(RAG 或 GraphRAG)、中间推理步骤(智能体),及人工审核决策及理由。这正是验证上游架构选择的关键原因所在。基于 GMP 特定语料库进行微调的小型语言模型,结合可检索并包含 SOP、偏差 和监管关系知识图谱的 GraphRAG,其输出结果比使用扁平向量通用 LLM 搜索更具可追溯 性,可精确展示哪些图节点和源文档对答案做出了贡献。这才是 AI 系统 GMP 审计跟踪应有的样子。
5. 对于每个 AI 系统,若模型更新会影响产品质量或患者安全,是否有经过测试的回滚计划?
不是那种未经测试、基于SOP的回滚计划,而是经过测试、拥有真实记录和数据的回滚计划。模型版本归档、回滚决策权限、在非生产环境中的回滚测试,及与受影响工作流程的通信协议。若用户通过云供应商的 API 访问基础模型,是否有合同约定版本锁定?因为未能触发变更 控制,供应商的静默模型更新机制会导致企业在审计间隙丢失已验证的状态。
这些问题的共性是:AI 治理模型的设计初衷是针对确定性、版本稳定的软件,还是针对概率性、架构不确定且会悄无声息地改变行为的系统?关键是企业否将这些要求转化为系统设计需求,而不是未经验证的理想化政策声明。
欧盟/PIC/S附录22草案 禁止在关键的 GMP 应用中使用动态和生成式 AI,而 FDA 的 预定变更控制计划(PCCP) 框架允许在预定义的变更范围内使用自适应模型。企业是按司法管辖区制定不同的验证 策略,还是在全球范围内采用最严格的标准?
作者:识林-榆木疙瘩
责任编辑:识林-木姜子
识林® 版权所有,未经许可不得转载。
适用岗位:
IT :负责计算机化系统和人工智能模型的技术实施和维护,确保系统的安全性和数据完整性。QA :监督人工智能模型在GMP环境中的使用,确保其符合质量标准和法规要求。研发 :参与人工智能模型的选择、训练、验证和测试,确保模型适用于研发流程。生产 :在生产过程中使用人工智能模型时,确保其符合生产标准和患者安全要求。工作建议:
IT :与QA和研发团队合作,确保人工智能模型的技术实施符合GMP要求,包括数据保护和访问控制。QA :制定和审核人工智能模型的质量控制流程,包括测试数据的独立性和模型性能的监控。研发 :在模型开发过程中,与数据科学家合作,确保模型的训练和验证符合GMP原则。生产 :在使用人工智能模型辅助生产决策时,确保有适当的人员培训和监督机制,以符合HITL原则。适用范围:
文件要点总结:
以上仅为部分要点,请阅读原文,深入理解监管要求。
必读岗位及工作建议:
QA(质量保证):应确保电子记录和电子签名系统符合21 CFR Part 11的要求,包括系统验证、数据保护和审计追踪。 IT(信息技术):需负责电子系统的安全性和完整性,包括访问控制和审计追踪的实施。 RA(注册事务):在提交电子记录给FDA时,确保遵循Part 11的规定,包括认证和文档的电子形式提交。 文件适用范围:
要点总结:
电子记录和签名的等效性 :明确电子记录和签名需满足的条件,以保证其与传统纸质记录和手写签名具有同等的可信度和可靠性。适用范围限定 :指出Part 11不适用于通过电子方式传输的纸质记录,以及一些特定章节规定的记录。系统验证与数据保护 :要求对封闭和开放系统采取特定控制措施,以确保记录的真实性、完整性和保密性。电子签名的要求 :规定电子签名应具有独特性,不得重新分配,并在必要时进行身份验证。签名与记录的链接 :确保电子签名与其记录的链接,防止签名被篡改或转移。以上仅为部分要点,请阅读原文,深入理解监管要求。
必读岗位及工作建议:
RA(注册) :了解FDA对医疗器械变更的预定控制计划要求,确保注册文件符合最新指南。QA(质量管理) :监控医疗器械生产过程中的变更,确保按照预定控制计划执行。研发 :在产品设计阶段考虑预定变更控制计划,以便于后续的变更管理。文件适用范围:
文件要点总结:
变更控制计划的重要性 :明确指出预定变更控制计划对于确保医疗器械安全性和有效性的重要性。变更分类 :规定了医疗器械变更的分类,包括微小变更、中等变更和重大变更。变更管理流程 :强调了变更管理的流程,包括变更的识别、评估、实施和记录。预定控制计划的制定 :鼓励企业制定预定控制计划,以系统化地管理医疗器械的变更。监管机构的审核 :指出FDA将对预定变更控制计划进行审核,确保其符合监管要求。以上仅为部分要点,请阅读原文,深入理解监管要求。
Regulation (EU) 2024/1689 (Artificial Intelligence Act) 概要
【文件概要】
【适用范围】
【影响评估】
【实施建议】
必读岗位: 法规事务(RA): 解读高风险AI系统分类及合规要求,主导注册数据库提交。 研发(R&D): 确保AI系统设计符合数据质量和风险管理要求,参与技术文档编写。 质量保证(QA): 监督AI系统生命周期合规性,建立后市场监测机制。 信息技术(IT): 实施数据安全及可追溯性技术方案,支持透明度义务履行。 临床运营(Clinical): 评估AI在临床试验中的应用风险,确保人类监督机制到位。 以上仅为部分要点,请阅读原文,深入理解监管要求。
