Utilisation responsable de l'IA dans la V5 – ISO 42001, fiabilité de l'IA, gestion des risques et réalité des BPF

L'intelligence artificielle arrive dans MOIS, SMQ et WMS Les plateformes bien avant que les organismes de réglementation n'aient fini de définir leurs attentes. Les fabricants des secteurs des sciences de la vie, de l'agroalimentaire, des cosmétiques et de la chimie sont pris en étau entre la pression d'« intégrer l'IA » et la réalité que… Bonnes pratiques de fabrication (BPF), intégrité et validation des données La question n'a pas disparu. La question fondamentale n'est pas : « Avez-vous une IA ? » mais : « Pouvez-vous prouver que l'IA ne compromet pas votre contrôle du processus ? »

SG Systems Global a adopté une position délibérément conservatrice avec Traçabilité V5V5 n'est pas une plateforme d'IA opaque. C'est une système d'exécution à accès contrôlé qui peut intégrer l'intelligence artificielle de manière transparente, vérifiable et auditable. Lorsque l'IA est utilisée, elle est délimité par des flux d'approbation, des signatures et des pistes d'audit conformes aux 21 CFR partie 11, intégrité des données attentes et orientations modernes en matière de gouvernance de l'IA.

« Notre philosophie est simple : l’IA peut suggérer, mais elle ne peut pas décider en silence. Dans la version 5, chaque action assistée par l’IA est traçable, vérifiable et soumise aux mêmes contrôles que toute autre étape critique des BPF. »

— Responsable qualité, fabricant réglementé

Le paysage normatif de l'IA dans la fabrication réglementée

Plusieurs normes et documents d'orientation définissent désormais les attentes en matière d'utilisation responsable de l'IA. Voici trois des plus pertinents :

• ISO / IEC 42001 – Système de gestion de l'intelligence artificielle (AIMS). Voir l'entrée du glossaire :
  ISO/IEC 42001 – Système de management de l'IA.
• ISO/CEI TR 24028 - Fiabilité de l'IA – sécurité, robustesse, transparence, impartialité, contrôle humain.
• ISO 23894 - Gestion des risques liés à l'IA – Évaluation et contrôle des risques liés à l’IA tout au long de son cycle de vie.

Dans le secteur manufacturier réglementé, ces nouvelles normes en matière d'IA s'appuient sur des fondements bien connus :

• 21 CFR partie 11 – documents et signatures électroniques.
• GAMP 5 et CSV / Réflexion CSA.
• Gestion des risques qualité (ICH Q9, FMEA, HACCP, etc.).
• Intégrité des données ALCOA+ et des pistes de vérification.

Pour les clients, la question pratique devient la suivante : le comportement de l’IA de la plateforme est-il conforme à ces principes, et cette conformité peut-elle être démontrée lors d’une inspection, et non pas seulement promise dans une présentation PowerPoint ?

Que signifie réellement « l’IA dans V5 » ?

Dans la version 5, l’« IA » ne signifie pas l’intégration directe de grands modèles de langage non contrôlés dans les enregistrements par lots, l’étiquetage ou les décisions de publication. La version 5 se concentre plutôt sur :

• Règles déterministes et blocage strict des étapes d'exécution.
• Actions assistées où l'IA suggère du contenu (par exemple, des brouillons de formation, des résumés de documents) mais ne peut pas contourner les processus d'approbation.
• Séparation stricte entre les couches de suggestion et les enregistrements critiques GMP comme eBMR, DHR et MMR.
• API externes minimales, avec les données importées acheminées via workflows d'approbation et des vérifications avant utilisation.
• Journaux prêts pour l'audit pour tout événement assisté par l'IA, lié aux utilisateurs, aux actifs et aux lots.

Lorsque V5 s'intègre à une IA externe (par exemple, pour faciliter la formation), cette intégration s'exécute dans un environnement isolé et contrôlé. Les résultats sont traités comme brouillons qui doivent être examinées et approuvées avant d'être intégrées au système de contrôle qualité.

ISO/IEC 42001 – Système de management de l’IA et modèle de gouvernance V5

ISO / IEC 42001 définit comment une organisation structure ses Système de gestion de l'IA (AIMS): politiques, rôles, évaluation des risques, contrôles, documentation et amélioration. Il s'agit de l'équivalent, pour l'IA, des normes ISO 9001 ou ISO 27001, mais axé sur la gouvernance des activités liées à l'IA.

Le V5 est conçu pour s'intégrer parfaitement à un tel système AIMS. En résumé :

• Domaine – les clients peuvent explicitement définir quelles fonctionnalités V5 utilisent l'IA (le cas échéant) et limiter les autres à des règles déterministes uniquement.
• Rôles et responsabilités – Les fonctionnalités assistées par l’IA peuvent être limitées à des rôles définis et doivent respecter les règles documentées. SOPs.
• L'évaluation des risques – chaque cas d’utilisation de l’IA peut être évalué à l’aide des mêmes outils de gestion des risques qualité déjà utilisés pour les changements de processus ou d’équipement.
• Des mesures de contrôle – Les barrières strictes, les approbations et les pistes d’audit de la version 5 deviennent la couche de « contrôle » concrète pour les suggestions d’IA ou le contenu importé.
• Suivi et amélioration – La version V5 fournit des journaux d'événements et des indicateurs qui peuvent être réinjectés dans le cycle d'examen AIMS de l'organisation.

Il en résulte que l'IA ne se situe jamais au-dessus du système qualité. Elle devient un élément parmi d'autres dans un environnement numérique bien défini où chaque action est consignée et où chaque décision critique reste sous contrôle humain.

ISO/IEC TR 24028 – Fiabilité de l’IA dans les flux de travail BPF

ISO/CEI TR 24028 se concentre sur la création d'IA digne de confiance: robuste, sécurisé, transparent et compréhensible par l'humain. Dans un environnement BPF ou GFSI, cela se traduit par :

• Aucun changement invisible pour les instructions de lot, les étiquettes ou les plans d'inspection pilotés directement par l'IA.
• Suggestions explicables – par exemple, en expliquant pourquoi une classification d'écart ou une mise à jour de la formation a été proposée.
• Autonomie limitée – L’IA ne peut pas prendre de décision réglementaire ; elle ne peut que soutenir la personne qui signera le document.
• Contrôles de sécurité et de confidentialité – Les données transmises aux services d’IA externes sont limitées, anonymisées lorsque cela est possible et régies par des accords avec les fournisseurs.

Dans la version 5, la fiabilité est moins obtenue en complexifiant les modèles et davantage par… réduisant l'espace dans lequel ils sont autorisés à agirLa plateforme est construite sur un contrôle déterministe de pesage et distribution, contrôle des étiquettes, généalogie et retenir / relâcherToute assistance par IA doit s'intégrer à ces garde-fous existants.

ISO 23894 – Gestion des risques liés à l'IA alignée sur la gestion des risques qualité

ISO 23894 applique la logique classique d'identification, d'analyse, d'évaluation et de traitement des risques aux risques spécifiques à l'IA. Pour les fabricants utilisant déjà des outils comme FMEA, PFMEA or HAZOP, c'est un prolongement naturel.

Les questions typiques relatives aux risques liés à l'IA dans un environnement V5 incluent :

• Une suggestion d'IA pourrait-elle influencer un déviation Une classification ou une action corrective et préventive (CAPA) qui masque une tendance critique ?
• Les données de spécification utilisées par une IA externe pourraient-elles être corrompues par des entrées d'IA externes ? vérification de l'étiquette ou décisions de publication ?
• Une fonction d'assistance par IA est-elle utilisée pendant validation du processusEt si oui, comment cela est-il documenté ?

Parce que V5 prend déjà en charge les structures registres des risques, le contrôle des changements et plans directeurs de validationLes clients peuvent ainsi étendre ces cadres à l'IA sans avoir à créer un système parallèle. L'IA est considérée comme un facteur de risque potentiel parmi d'autres, qui doit être analysé et maîtrisé.

21 CFR Partie 11, Intégrité des données et contenu généré par l'IA

Dès que l'IA intervient dans un élément qui fait partie intégrante du dossier de fabrication permanent (instructions de lot, spécifications, étiquettes, écarts, enquêtes, formation), ses résultats sont soumis à 21 CFR partie 11 et ALCOA +V5 traite les brouillons générés par l'IA comme incontrôlé jusqu'à ce qu'un utilisateur qualifié :

• Examine le contenu de la plateforme.
• Le modifie là où c'est nécessaire.
• Approuve et transforme le document en un enregistrement contrôlé en utilisant des flux de travail standard.

Chaque pas laisse une trace Piste d'audit: qui a examiné, quelles modifications ont été apportées, qui a signé, et quand la modification est entrée en vigueur. Le moteur d'IA n'écrit jamais directement dans la version publiée d'un document. SOP, le MMR ou l'illustration de l'étiquette. Cette distinction est essentielle pour expliquer le système aux inspecteurs.

GAMP 5, CSA et validation des flux de travail assistés par l'IA

Sous GAMP 5, l'accent est mis sur la validation usage prévuPour les fonctionnalités assistées par l'IA, la version 5 prend en charge :

• Descriptions documentées de ce que la fonctionnalité d'IA est autorisée à faire (et de ce qu'elle n'est pas autorisée à faire).
• Enregistrements de configuration indiquant comment la fonctionnalité est activée, limitée ou désactivée par site.
• Des preuves tangibles démontrent que les suggestions de l'IA ne peuvent ni contourner les approbations requises ni modifier directement les enregistrements contrôlés.
• Enregistrements de surveillance continue pour démontrer un contrôle constant dans le temps.

Les émergents CSV L’approche CSA consiste à concentrer les efforts de validation là où le risque est le plus élevé. Dans la version 5, cela signifie accorder une attention particulière à la manière dont les fonctionnalités assistées par l’IA interagissent avec :

• enregistrements de lots et eBMR.
• déviation et CAPA workflows.
• formation et compétences Records.

Étant donné que V5 est déjà déployée en tant que plateforme validée, les fonctionnalités assistées par l'IA sont positionnées comme options configurables plutôt que des modules complémentaires non contrôlés. Les clients peuvent les activer, les désactiver ou les restreindre par usine, par famille de produits ou par rôle, dans le cadre de leur propre stratégie de validation.

Bons et mauvais modèles d'IA en atelier

Bons modèles

• L'IA utilisée pour proposer Textes des procédures opérationnelles standard, questionnaires de formation ou récits d'enquête, toujours suivis d'un examen et d'une approbation humaine dans la version 5.
• L'IA est utilisée pour mettre en évidence les tendances dans les écarts, les réclamations ou les résultats hors spécifications, alimentant ainsi des données structurées. Analyse de la cause originelle.
• L'IA est utilisée pour aider à classer les enregistrements ou à acheminer les tâches, tandis que les décisions et les signatures proprement dites restent la propriété des utilisateurs autorisés.
• Toute l'activité de l'IA capturée dans des pistes de vérification, visible pour l'assurance qualité et les inspecteurs.

Mauvaises habitudes

• Des outils de chat externes non contrôlés étaient utilisés pour concevoir des instructions de lot, des étiquettes ou des protocoles de validation sans aucune traçabilité.
• L'IA modifie directement les documents publiés dans le système de gestion documentaire ou altère les valeurs de spécifications critiques.
• Agents autonomes corrigeant les écarts ou les CAPA, ou modifiant statut de sortie, sans vérification humaine.
• Aucun enregistrement clair de la ou des incitations ayant entraîné ou non un changement ne permet de mener des enquêtes.

V5 est conçu pour permettre le premier ensemble de modèles et empêcher structurellement le second. Même si les capacités de l'IA se développent, le principe demeure : L'IA peut informer, mais elle n'agit pas en silence.

Exemple : Formation assistée par l'IA et contrôle des documents dans la version 5

Un exemple concret concerne les contenus de formation et la documentation des procédures. Dans de nombreuses usines, les experts métiers peinent à maintenir la synchronisation des procédures opérationnelles standard (POS) et des modules de formation avec les évolutions des processus. L'IA peut s'avérer utile, à condition que sa mise en œuvre soit maîtrisée.

Dans un scénario V5 typique :

1. Dans V5, un responsable de processus met à jour un routage ou une formule. Cette modification est consignée via le contrôle des changements.
2. Le système signale les procédures opérationnelles standard (SOP) et les unités de formation liées qui pourraient nécessiter une révision.
3. Un assistant IA peut suggérer Les formulations ou les questions du questionnaire ont été mises à jour en fonction du nouveau processus, mais il s'agit encore de brouillons.
4. Le personnel chargé de l'assurance qualité et de la formation examine, ajuste et approuve le nouveau contenu des modules de formation et du système de gestion documentaire contrôlé.
5. Les formations mises à jour sont attribuées via le matrice de formationet V5 bloque l'accès aux écrans critiques pour les BPF jusqu'à leur achèvement.

L'IA accélère la rédaction, mais ne remplace ni la propriété intellectuelle, ni la révision, ni l'approbation. Tous les mécanismes de contrôle habituels (gestion des versions, signatures, dates d'entrée en vigueur) restent inchangés.

Références externes pour la gouvernance de l'IA

Pour les équipes qui élaborent leur propre cadre de gouvernance de l'IA autour de la version 5, les documents externes suivants constituent des points de référence utiles (tous s'ouvrent dans de nouveaux onglets) :

• ISO/IEC 42001 – Système de management de l'intelligence artificielle (ISO)
• ISO/IEC TR 24028 – Fiabilité en intelligence artificielle (ISO)
• ISO 23894 – Gestion des risques liés à l’intelligence artificielle (ISO)
• FDA – Guide sur l’assurance des logiciels informatiques (CSA)

Ces sources externes, combinées à votre système qualité interne et au cadre de contrôle V5, constituent la base d'une stratégie d'IA défendable dans le secteur manufacturier réglementé.

Glossaire et articles relatifs aux systèmes SG

• ISO/IEC 42001 – Système de management de l'IA
• ISO/IEC TR 24028 – Fiabilité de l’IA
• ISO 23894 – Gestion des risques liés à l’IA
• L'intégrité des données
• 21 CFR Partie 11 – Enregistrements et signatures électroniques
• GAMP 5 – Validation logicielle
• MES – Système d'exécution de la fabrication
• SMQ – Système de gestion de la qualité
• Système de gestion d'entrepôt (WMS)

En résumé : L'IA n'est acceptable dans le secteur manufacturier réglementé que si elle s'inscrit dans un cadre de gouvernance solide. V5 est avant tout conçu comme un système d'exécution conforme aux normes de conformité. L'IA est intégrée à cet environnement selon les mêmes conditions que toute autre fonction critique : documentée, faisant l'objet d'une évaluation des risques, validée et toujours sous contrôle humain.