如果你是NB突击审核的直接对象：中国外协灭菌、软件分包和关键零部件供应商的自查实操

2013年，法国PIP breast implant丑闻之后，欧盟发布了Recommendation 2013/473/EU，明确要求公告机构（Notified Body, NB）对医疗器械制造商及其关键分包商（critical subcontractor）、核心供应商（crucial supplier）进行突击审核（unannounced audit）。这一要求后来被写入MDR 2017/745 Article 52及Annex IX Section 3.4。

我们接触到的不少中国企业——尤其是做外协灭菌、嵌入式软件开发、关键零部件加工的供应商——对这个机制还比较陌生。很多人觉得"突击审核是品牌方的事情，跟我们分包商没关系"。但在实际操作中，公告机构的审核员完全有可能直接出现在你的车间门口，拿着品牌方技术文件中关于你那部分工艺的描述，一条一条地对照检查。

这篇文章聚焦于一个执行层面的问题：如果你的企业作为欧盟CE持证人的关键分包商或核心供应商，接到公告机构的突击审核，你应该拿什么出来应对？需要准备哪些文件？质量协议里要怎么写？批追溯做到什么程度才算够？

谁会被突击审核？先搞清楚自己的角色

"关键分包商"和"核心供应商"的区分

欧盟法规体系里有两个容易混淆的概念：

关键分包商（critical subcontractor）——承担的设计或制造过程，对产品符合法规要求有本质影响。典型例子包括：外协灭菌服务商、合同制造商（完成最终装配）、嵌入式软件开发商。

核心供应商（crucial supplier）——提供的关键组件或原材料，其质量直接影响终端器械的安全和性能。典型例子包括：植入物钛合金毛坯供应商、导管高分子材料供应商、生物相容性检测实验室。

NBOG BPG 2010-1给出了更细的操作定义：凡是提供的材料、组件或服务可能影响器械安全性和性能的供应商，都属于"critical supplier"。这里有一条容易忽略的边界——如果你的服务失败可能导致患者承受不合理风险，或者导致器械性能显著下降，你就在这个范围内。

需要特别注意的是，NBOG BPG 2010-1明确指出：灭菌（sterilisation）属于典型的关键工艺，灭菌服务商几乎无一例外会被认定为关键分包商。

中国分包商最常被归入的三类角色

分包商类型	典型业务	被归入的角色	突击审核概率
外协灭菌服务商	EO灭菌、辐照灭菌、湿热灭菌	关键分包商	高
软件开发商	嵌入式固件、SaMD算法、配套App	关键分包商	中高
关键零部件供应商	植入物加工、导管挤出、传感器模组	核心供应商	中

Team-NB 2026年4月更新的Code of Conduct（V5.2）进一步明确：公告机构在制定突击审核计划时，应考虑整个供应链（whole supply chain），并且需要对抽选特定场地的理由做书面记录。这意味着，你的企业是否被选中，取决于品牌方采购控制的有效性、你的工艺风险等级、以及你所在供应链环节的重要性。

Team-NB Code of Conduct还列举了若干典型场景：负责医疗器械设计开发的分包商、软件开发分包商、灭菌服务商、提供成品器械的分包商——这些都属于突击审核的重点关注对象。

法规依据：突击审核的法律基础从哪来

欧盟层面的核心文件

突击审核的法律依据主要有三个层次：

MDR 2017/745 Article 52和Annex IX Section 3.4——赋予公告机构在制造商及供应商/分包商场所进行突击审核的权力。审核范围包括正在生产的产品批次的追溯和抽样。

Commission Recommendation 2013/473/EU——虽然名义上是"推荐"，但已被所有成员国采纳执行。其Annex III规定了突击审核的频率（高风险器械至少每两年一次，中低风险至少每三年一次）、时长（不少于一个审核日，至少两名审核员）、以及审核内容（重点检查正在生产或刚下线的产品与技术文件的一致性）。

NBOG BPG 2010-1——为公告机构审核供应商提供操作指引。该文件Appendix 2要求品牌方在供应商协议中纳入以下条款：品牌方、公告机构和主管部门进入供应商场所的权利。

2025年底的改革动向值得关注

2025年12月，欧盟委员会发布了MDR/IVDR改革提案。其中几个变化对突击审核有直接影响：

监督审核（surveillance audit）间隔可能从12个月延长到24个月（前提是上次审核结果良好、无PMS/警觉性数据引发的关注）
远程审核（remote audit）被正式纳入法规框架，公告机构在合理理由下可以远程替代现场审核
突击审核的触发条件趋向"for-cause"，即需要有具体理由才启动

但这些变化目前还在立法流程中，尚未正式生效。在我们看来，至少在2027年之前，企业仍应按照现行要求做好随时接受突击审核的准备。

FDA也在跟进，全球趋势趋严

不只欧盟在加码。2025年5月6日，美国FDA宣布扩大对外国制造设施的突击检查范围。此前FDA在中国和印度已有突击检查试点项目。Baker McKenzie的统计数据显示，FDA在中国完成的药品和器械检查从FY2023的61次跃升至FY2024的227次；FY2025截至5月已有81次检查，其中4.9%（4次）被列为"Official Action Indicated"（OAI，建议采取监管行动）。

Emergo 2025年5月的报道指出，FDA正将突击检查从印度、中国试点扩展到所有国家的药品和器械制造设施。对外国制造商来说，这打破了过去"提前几周通知"的惯例。

对中国分包商而言，如果你同时服务于出口欧盟和美国的品牌方，突击审核的频次只会越来越高。与其被动等待，不如建立一套常态化的备查机制。

质量协议中的审核条款：怎么写才够用

必须包含的三个核心条款

质量协议（Quality Agreement）是品牌方和分包商之间的法律纽带，也是公告机构在突击审核中首先会调阅的文件。根据2013/473/EU Annex III和NBOG BPG 2010-1 Appendix 2的要求，以下三个条款必须写进去：

审核访问权（Audit Access Clause）——明确约定分包商允许品牌方的公告机构和主管部门在不事先通知的情况下进入其场所进行审核。2013/473/EU特别提到，如果签证是必需的（这对中国供应商基本都适用），质量协议的附录中应包含一份邀请函模板，日期和签名栏留空，由公告机构在需要时填写。

不变更条款（No-Change Clause）——规定分包商不得单方面变更已批准的工艺、材料、设备、软件版本等。任何涉及品牌方产品的变更，必须提前书面通知品牌方并获得批准。这条直接关系到突击审核时"现场产品与技术文件是否一致"的判定。

数据共享条款（Data Sharing Clause）——约定分包商在品牌方要求时，提供批记录、检测报告、偏差处理、CAPA等质量数据。在突击审核场景下，公告机构可能要求当场出示某一批次的完整追溯文件。

质量协议附录的操作性内容

条款层面解决了"可以不可以"的问题，但突击审核的实操还需要附录中约定具体的执行细节：

附录内容	外协灭菌	软件开发	关键零部件
接待审核员的接口人	QA经理+车间主管	配置管理员+技术负责人	质量总监+生产主管
文件调阅范围	灭菌参数记录、BI培养结果、装载模式验证报告	代码仓库日志、构建记录、版本发布审批单	原材料CoA、加工参数记录、尺寸检测报告
批追溯证据	灭菌批号→产品批号→品牌方发货记录	软件版本号→构建时间→烧录记录→器械序列号	原材料炉批号→加工批→成品批→品牌方收货记录
安全和保密措施	审核员个人物品存放、涉密区域标识	代码访问权限的临时开通流程	图纸访问控制、客户专有工艺区域

2013/473/EU还要求：如果品牌方与公告机构的合同中约定了突击审核的费用承担（包括差旅、样品购置、测试费用等），品牌方需要在其与分包商的协议中约定费用分摊机制。在现实中，突击审核的直接费用通常由品牌方承担，但分包商因为审核导致的停产、加班等间接成本，建议在协议中提前约定。

批追溯做到什么程度才算过关

公告机构追溯检查的核心逻辑

突击审核的检查重点之一是批追溯（batch traceability）。2013/473/EU Annex III要求公告机构"检查最近生产的样品，最好是正在生产线上的产品，验证其与技术文件和法律要求的一致性"。追溯检查的逻辑链条是：

成品批号 → 关键组件批号 → 原材料批号 → 供应商信息

公告机构不会满足于"我们有批记录"这种笼统回答。他们会随机抽取一个批号，要求你从原材料入库到成品出厂，把完整链条串起来。如果链条断了一环——比如某个原材料批号的CoA找不到了，或者中间某个工序的操作者签名缺失——这就会被记录为不符合项。

三类分包商各自的追溯重点

外协灭菌服务商的追溯链条相对标准化：品牌方送来待灭菌产品 → 灭菌服务商分配灭菌批号 → 记录灭菌柜号、灭菌参数（温度、湿度、EO浓度、暴露时间） → BI（生物指示剂）培养结果 → 灭菌释放。突击审核时，审核员会关注：灭菌批号与品牌方产品批号的对应关系是否清晰？装载模式验证报告中的装载方式是否与现场实际一致？BI供应商的资质和BI培养记录是否完整？

软件开发商的追溯逻辑略有不同：需求规格 → 设计输入 → 代码实现 → 构建版本 → 测试结果 → 发布审批 → 烧录/部署到器械。审核员关注的重点是：某个已上市器械上的软件版本，能否追溯到对应的源代码版本？这个版本的变更历史是怎样的？每次变更是否都经过了品牌方的批准？

关键零部件供应商的追溯链条：原材料采购（含供应商CoA） → 来料检验 → 入库登记 → 领料加工（含设备参数记录） → 过程检验 → 成品检验 → 出库记录 → 发往品牌方的物流信息。审核员会抽查：从你这里发出的某一批次零件，用的是哪一批原材料？原材料的CoA能否当场提供？加工过程中有没有偏差？偏差如何处理？

追溯记录的保存期限

ISO 13485:2016 Clause 7.5.9和MDR Annex IX Chapter I Section 4.1要求制造商确保可追溯性，记录保存期限应不少于器械的预期寿命再加一年，且不少于自最后一批产品放行之日起两年。对于植入性器械，记录保存期限应至少为15年（MDR Article 18）。

作为分包商，你的记录保存期限应与品牌方的要求一致，且不得短于法规最低要求。我们在审核中遇到过这样的情况：分包商的记录保存制度是"保存5年"，但品牌方的植入器械要求追溯15年。这种不一致会在突击审核中被直接指出。

远程审核的证据包：提前准备什么

远程审核的适用场景

2025年底的MDR改革提案明确允许远程审核（remote audit），但目前仍以改革前状态为准。Team-NB Code of Conduct V5.2提到，在个别情况下（如流行病、旅行限制），公告机构可以采用远程手段。在我们看来，即使改革提案尚未通过，远程审核的趋势已经不可逆。中国分包商应该提前准备一套可远程调阅的证据包。

远程证据包的核心内容

证据类型	外协灭菌	软件开发	关键零部件
车间布局图	灭菌车间平面图、设备布局、人员动线	开发区域平面图、服务器机房位置	厂房平面图、生产线布局、仓储区域
关键设备清单	灭菌柜型号、数量、校准证书	构建服务器配置、CI/CD流水线	加工设备清单、检定/校准记录
过程验证文件	灭菌工艺验证报告、装载模式验证	软件验证计划与报告（V&V）	过程验证（IQ/OQ/PQ）报告
人员资质	灭菌操作员培训记录、上岗证	开发人员资质、代码审核权限	特种作业人员资质、培训记录
实时画面能力	灭菌车间监控画面（可远程接入）	构建日志实时展示	生产线实时监控

远程审核的一个操作难点是时差。欧洲审核员的工作时间对应中国下午到傍晚，你需要安排英文沟通能力强的技术骨干在这个时段待命。建议提前与品牌方确认远程审核的沟通窗口和联系方式。

模拟审核：三类分包商最常见的审核问题

外协灭菌服务商的高频问题

以下是我们根据实际审核经验整理的典型问题，供企业自查：

灭菌工艺验证报告中的装载方式，与现场实际装载方式是否一致？如果品牌方产品包装尺寸发生了变化，你是否重新做了装载验证？
BI（生物指示剂）的供应商是否经过品牌方批准？BI的D值、Z值是否与验证报告中一致？BI培养的阳性对照和阴性对照记录是否完整？
灭菌释放的依据是什么？是参数放行还是BI放行？如果某个参数超出了验证范围，偏差处理的流程是怎样的？
灭菌柜的预防性维护计划是怎么制定的？上次维护的日期和内容是什么？校准证书是否在有效期？
品牌方产品的灭菌参数（温度范围、EO浓度、暴露时间、换气次数）是否按照品牌方技术文件中的规定执行？有没有未经品牌方批准的参数调整？
灭菌前产品的存放条件（温度、湿度）是否符合品牌方的要求？存放区域是否与其他客户的产品有效隔离？

软件开发商的高频问题

品牌方器械上的软件版本号，能否在你的配置管理系统中找到对应的源代码基线？这个基线包含哪些变更？每次变更的审批记录在哪里？
软件开发过程是否遵循了IEC 62304的要求？风险管理活动（ISO 14971）是否贯穿整个软件生命周期？
代码审核（code review）记录是否完整？每次审核的参与人、发现的问题、修改措施是否有记录？
软件测试策略是什么？单元测试覆盖率是多少？集成测试和系统测试的报告能否提供？
如果使用开源组件，是否进行了开源合规审查？开源组件的许可证类型是否允许在医疗器械中使用？
软件版本的发布流程是怎样的？从"开发完成"到"发布给品牌方"，中间经过哪些审批节点？

关键零部件供应商的高频问题

品牌方图纸和规格的当前版本是什么？你持有的是否是最新受控版本？如果品牌方发出了工程变更通知（ECN），你的实施记录在哪里？
原材料采购是否来自品牌方批准的供应商清单？如果需要更换原材料供应商，变更控制流程是怎样的？
关键尺寸的检测方法和检测频率是如何确定的？检测设备的量程和精度是否满足要求？检定/校准是否在有效期？
过程能力指数（Cpk）是多少？如果Cpk低于1.33，你采取了什么改进措施？
不合格品的处理流程是什么？返工后的产品是否重新检验？报废品的处置是否有记录？
品牌方产品的加工区域、工装夹具、检测设备是否与其他客户的产品有效隔离？如果存在共用设备，清洁验证的依据是什么？

供应商档案（Supplier File）：品牌方手里有什么关于你的材料

品牌方的供应商档案应包含的内容

公告机构在突击审核时，除了检查分包商现场，还会审查品牌方对分包商的控制是否充分。品牌方的供应商档案是检查重点之一。2013/473/EU要求公告机构在制定突击审核计划时，需要品牌方提供关键分包商和核心供应商的清单，包括各场地对应的器械品种。

如果你是分包商，你需要确认品牌方的供应商档案中至少包含以下关于你的材料：

文件类型	具体内容	分包商的责任
资质证明	ISO 13485证书、营业执照、生产许可证	及时更新、主动提供证书变更信息
质量协议	包含审核条款、不变更条款、数据共享条款的完整协议	签署、执行、定期回顾
供应商审计报告	品牌方对你的初始审核和年度监督审核报告	配合审核、及时关闭不符合项
技术规格	你负责部分的技术规格书、验收标准	确保持有最新版本、按规格执行
变更通知记录	你提交给品牌方的所有变更通知及品牌方的审批记录	建立变更台账、保存所有往来记录
不合格品记录	历史不合格品统计、CAPA记录	建立质量指标台账、定期向品牌方报告

分包商自查清单

在突击审核到来之前，建议分包商做一轮自查。以下是一个简化版的自查清单：

质量协议是否在有效期内？协议中的审核条款是否覆盖了突击审核的情景？
品牌方技术文件的受控版本是否到手？是否建立了文件变更接收机制？
批追溯链条是否完整？随机抽三个批次，能否在30分钟内提供从原材料到成品的完整记录？
设备校准/检定是否全部在有效期？有没有"已过期但还在用"的设备？
人员培训记录是否完整？新上岗人员的培训是否按照SOP完成并考核通过？
灭菌验证/过程验证报告是否覆盖了当前生产条件？如果工艺有变更，是否重新验证？
不合格品处理和CAPA的台账是否更新？有没有长期未关闭的CAPA？
远程审核的证据包是否就绪？车间布局图、设备清单、验证报告的电子版是否可随时调取？
英文沟通能力是否具备？接待审核员的接口人能否用英语描述关键工艺流程？

突击审核当天的操作指南

审核员到达后的标准流程

根据Team-NB Code of Conduct，一次典型的突击审核由两名审核员执行，持续一个工作日（8小时）。审核员到达后，你的应对流程应该是：

第0-30分钟——审核员出示证件和审核通知（通常有品牌方的审核授权书），你的接待人员核实身份后，引导审核员进入指定区域。在这个过程中，不要试图拖延或拒绝进入。2013/473/EU明确指出，如果品牌方的关键分包商拒绝或阻碍突击审核，品牌方可能面临证书暂停甚至撤销的风险。BSI的FAQ也提到，如果分包商拒绝合作，品牌方与公告机构的合同可能被视为违约。

第30-120分钟——审核员会要求了解你为品牌方提供的具体服务范围、工艺流程、关键控制点。这是开口会议的简化版本。你的技术负责人需要能够清晰描述整个流程，并且指出与技术文件要求的对应关系。

第120-360分钟——现场审核。审核员会进入生产区域（或审核代码仓库），对照技术文件中的要求逐项检查。他们会拍照、复印记录、询问操作人员。

第360-480分钟——审核员汇总发现，与你的管理层沟通。如果有不符合项，会当场告知。

常见的应对失误

我们在协助企业应对审核时，观察到几个反复出现的失误：

过度紧张导致信息混乱——突击审核之所以叫"突击"，是因为你不知道它什么时候来。但这不意味着你应该在现场手忙脚乱。保持冷静、按照日常流程提供信息，比仓促准备一堆材料更有效。

提供超出审核范围的信息——审核员问什么就答什么，不要主动暴露不在审核范围内的其他问题。如果审核员问到你不确定的问题，可以合理地说"我需要确认一下再回复"，而不是当场编一个答案。

试图临时修改记录——这是最严重的错误。审核员受过专门训练，能够识别记录被篡改的痕迹。如果被发现在审核期间修改记录，后果远比原始记录中的问题严重得多。

语言沟通障碍——如果审核员说英语而你的团队无法有效沟通，可以要求品牌方派翻译。但更好的做法是提前培养2-3名能用英语描述关键工艺的技术骨干，常年保持语言能力。

常见问题

突击审核会提前多久通知？

严格来说，突击审核就是"不通知"的。但有一个操作上的细节：如果审核员需要签证入境（到中国来审核就需要），他们会在到达前通过品牌方确认你的企业仍在正常生产，避免白跑一趟。这个确认可能通过品牌方的联系人进行，但不会直接通知你审核的具体日期。BSI的FAQ文件明确表示，他们需要品牌方持续更新关键分包商的生产时间表，以避免在停产期间到达。

我们已经有ISO 13485证书了，还会被突击审核吗？

会。NBOG BPG 2010-1明确指出，ISO 13485认证是品牌方供应商控制体系的证据之一，但不排除突击审核的必要性。BSI的FAQ也回答了这个问题："The ISO 13485 certification of these crucial suppliers represents part of the evidence the manufacturer provides the NB to prove the efficiency of his subcontracting control system... However, given the objectives of unannounced audits as they are defined in the European Commission Recommendation, any critical subcontractor or crucial supplier may be subject to an unannounced audit."翻译成大白话：有证是好事，但不能替代突击审核。

突击审核的费用由谁承担？

2013/473/EU规定，突击审核的费用由品牌方承担，包括审核员差旅、样品购置和测试费用。但作为分包商，因为审核导致的间接成本（如人员加班、生产暂停）通常需要在与品牌方的商业协议中提前约定。如果品牌方因为你的拒绝配合而导致突击审核受阻，品牌方可能向你追偿由此产生的损失。

审核员会说中文吗？

大多数情况下，审核员来自欧盟成员国，以英语为主要工作语言。部分公告机构（如TUV SUD、TUV Rheinland）可能有中文审核员，但不能指望。建议至少安排一名能用英语描述关键工艺和回答质量问题的接口人。

如果审核发现了不符合项，我们有多少时间整改？

不符合项的整改时限取决于严重程度。严重不符合项（Major Non-Conformity）通常要求在较短时间内提交纠正措施计划并实施关闭。轻微不符合项（Minor Non-Conformity）的整改时限相对宽裕。具体的时限由公告机构在审核报告中给出，品牌方负责跟踪分包商的整改进度。如果严重不符合项未能在规定时限内关闭，品牌方的CE证书可能被暂停。

MDSAP审核和EU NB突击审核是什么关系？

MDSAP（Medical Device Single Audit Program）是澳大利亚、巴西、加拿大、日本、美国五国互认的审核体系。MDSAP审核虽然不是突击性质的，但同样涉及供应商控制要求。MDSAP Audit Approach文件明确指出，"critical suppliers"包括提供成品器械的实体、提供影响设计输出的产品和服务的实体、以及提供需要过程验证的产品和服务的实体。如果你同时服务于出口美国和欧盟的品牌方，两套审核体系的要求都需要满足。好消息是，MDSAP和EU NB在供应商控制方面的核心逻辑基本一致——都是验证品牌方对分包商的控制是否充分。建立一套文件体系同时满足两者的要求，是可行的。

参考资源

Commission Recommendation 2013/473/EU — 欧盟委员会关于公告机构突击审核的推荐文件，规定了审核频率、时长和内容要求
NBOG BPG 2010-1 — 公告机构审核供应商的操作指引，定义了"critical supplier"和审核要求
Team-NB Code of Conduct V5.2 (2026) — 公告机构行业行为准则，2026年4月更新，包含突击审核的最新操作指南
BSI Subcontractors and Suppliers FAQ — BSI公告机构关于分包商和供应商常见问题的官方解答
EU MDR 2017/745 — 欧盟医疗器械法规原文，Article 52和Annex IX Section 3.4涉及突击审核
FDA Expands Unannounced Inspections at Foreign Manufacturing Facilities — FDA 2025年5月关于扩大外国设施突击检查的公告
MDSAP Audit Approach Document — MDSAP审核方法文件，包含供应商控制要求