2026 年 2 月 2 日,FDA 的质量管理体系法规(Quality Management System Regulation,QMSR)正式生效。这一天对中国医疗器械企业意味着什么?坦白说,很多人以为这只是把 ISO 13485 搬进了 21 CFR Part 820,体系文件改几个条款号就完事了。
这种想法很危险。
从已经公开的执法数据来看,QMSR 带来的不只是条款编号的变化。FDA 的检查框架从 QSIT 彻底切换到了 Compliance Program 7382.850(下文简称 CP 7382.850),检查思路从"四个子系统逐个打勾"变成了"全生命周期风险评估"。更关键的是,管理评审、内部审核这些过去有明确豁免保护的记录,现在检查官可以直接调阅。ISO 13485 认证证书?FDA 早就公开说了,不会因为你有证书就不来检查,也不认证书作为合规判定依据。
本文基于 FDA 公开的 483 数据、已经发出的 QMSR 时代警告信、CP 7382.850 原文以及多家律所的分析报告,梳理出中国企业目前最需要关注的十个变化。
一、QMSR 到底改了什么?
2024 年 2 月 2 日,FDA 在 Federal Register 发布最终规则(89 FR 7496),将 ISO 13485:2016 以"引用并入"(incorporation by reference)的方式纳入 21 CFR Part 820。两年过渡期后,2026 年 2 月 2 日,旧的质量体系法规(QSR)正式被 QMSR 取代。
核心变化可以用一句话概括:ISO 13485:2016 的全部条款现在具有美国联邦法规的法律效力。这不是"参考"或者"对齐",而是 ISO 13485 的条款等同于写在联邦法规里。
但事情没有这么简单。FDA 同时保留了一部分自身特有的要求,这些是 ISO 13485 没有覆盖的:
| 维度 | 旧 QSR (21 CFR 820) | 新 QMSR | ISO 13485:2016 单独覆盖? |
|---|---|---|---|
| 质量体系框架 | 自有 Subpart A-O 结构 | 以 ISO 13485 为主体 | 是 |
| 设计控制 | 820.30 自有条款 | ISO 13485 Clause 7.3 | 是 |
| CAPA | 820.100 | ISO 13485 Clause 8.5.2 / 8.5.3 | 是 |
| UDI 要求 | 无(在 Part 830 单独规定) | 820.45 标签控制保留 | 否,FDA 特有 |
| MDR 报告 | 无(在 Part 803 单独规定) | 作为 OAFR 保留检查 | 否,FDA 特有 |
| 设备追溯 | 无(在 Part 821 单独规定) | 作为 OAFR 保留检查 | 否,FDA 特有 |
| 管理评审记录检查豁免 | 820.180(c) 明确豁免 | 豁免取消 | N/A |
| 内部审核记录检查豁免 | 820.180(c) 明确豁免 | 豁免取消 | N/A |
这张表说明一个事实:QMSR 是"ISO 13485 + FDA 叠加层"。如果你只关注 ISO 13485 的条款,UDI、MDR、标签控制这些 FDA 特有的要求就漏掉了。
FDA 在 FAQ 里写得很直白:"A certificate of conformance to ISO 13485 will not exempt a manufacturer from an FDA inspection."ISO 13485 合格证书不会让企业免于 FDA 检查。
二、新检查框架:CP 7382.850 vs QSIT
跟 QMSR 同一天生效的,还有 FDA 的全新检查手册——Compliance Program 7382.850。这份 78 页的文件彻底替代了沿用数十年的 QSIT(Quality System Inspection Technique)和之前的 CP 7382.845、CP 7383.001(PMA 检查程序)。
两个框架的差异不是微调,是结构性变革:
| 对比维度 | QSIT(旧) | CP 7382.850(新) |
|---|---|---|
| 检查组织方式 | 4 个子系统(管理、CAPA、设计、生产) | 6 个 QMS 领域 + 4 个 OAFR |
| QMS 领域 | 无此概念 | 管理监督、设计与开发、变更控制、外包与采购、生产与服务提供、测量分析与改进 |
| OAFR | 不单独列出 | MDR(21 CFR 803)、纠正与移除(21 CFR 806)、追踪(21 CFR 821)、标签与 UDI(21 CFR 801/830) |
| 风险管理角色 | 间接参考 | 居中核心地位,驱动检查优先级和抽样深度 |
| 检查范围 | 子系统清单式抽样 | 全生命周期(TPLC)风险评估 |
| PMA 检查 | 独立程序 CP 7383.001 | 统一纳入 CP 7382.850 |
| 网络安全 | 未涉及 | 专门章节,FD&C Act Section 524B 执法 |
| 远程调阅记录 | 无明确授权 | 可要求远程提供记录 |
| 管理评审/内审记录 | 820.180(c) 豁免 | 可检查 |
| 执法升级 | 传统升级路径 | 拒绝提供记录可构成"掺假"认定 |
CP 7382.850 的检查模型图很有意思。FDA 把患者和使用者放在中心,外面一圈是风险管理,再外面是 6 个 QMS 领域和 4 个 OAFR 组成的环形结构,各领域之间用"路径"连接。这个设计传达的信号很明确:检查官不再孤立地审核某个子系统,而是要看各环节之间如何联动,风险信息如何在系统中流转。
用 King & Spalding 律所 2026 年 2 月的分析来说:"FDA is taking its own approach to ISO-based audits, departing from routinized checklist approach that ISO/MDSAP audits traditionally employ."FDA 在走自己的路,跟 ISO 审核 / MDSAP 审核那种标准化清单模式完全不同。
这对中国企业的实际影响是:你通过了 ISO 13485 认证审核或者 MDSAP 审核,不等于你能通过 FDA 检查。FDA 检查官的提问方式、抽样逻辑、证据要求都跟第三方认证审核不一样。
三、现在可以查了:管理评审、内审、网络安全
管理评审和内部审核记录
在旧 QSR 时代,21 CFR 820.180(c) 明确规定:管理评审记录、内部审核记录、供应商审核记录"不需要向 FDA 检查官提供"。很多企业据此在内审报告中写得很直白——缺陷暴露得很彻底,措辞也不太讲究,反正觉得 FDA 看不到。
这个保护伞已经撤掉了。
QMSR 取消了 820.180(c) 的豁免。FDA 在 2026 年 2 月的 FAQ 里确认:"FDA investigators may review records that are part of the manufacturer's QMS, including those created before February 2, 2026."检查官可以查看体系内的所有记录,包括 2026 年 2 月 2 日之前创建的。
准确地说,FDA 的立场是:QMSR 和旧 QSR 的要求"substantially similar"(大体相似),所以旧记录不需要为了 QMSR 重新修订——但这不代表检查官不看。如果旧记录里存在明显的问题描述而企业没有采取行动,这本身可能构成检查发现。
对我们的建议是:立刻对过去两到三年的内审报告和管理评审记录做一次审查。措辞不当的地方要做补充说明或者追加跟踪记录。这不是做表面文章——CP 7382.850 明确要求检查官评估内审发现是否被有效关闭、管理评审的决策是否有追踪落实。
网络安全成为正式检查领域
CP 7382.850 把网络安全列为独立的检查评估领域,执法依据是 FD&C Act Section 524B。适用的设备包括所有"网络设备"(Cyber Device)——含软件的、联网的、云连接的 IVD、AI 驱动的系统都在范围内。
FDA 的 2026 年 4 月重新发布的医疗器械网络安全指南已经将所有引用从旧 QSR 更新为 QMSR 和 ISO 13485 条款。这个信号很清楚:FDA 把网络安全视为质量体系的一部分,不是一个独立的技术合规项。
如果你是做联网医疗器械、SaMD、AI 诊断设备的中国企业,网络安全策略计划(Cybersecurity Strategy Plan)、软件物料清单(SBOM)、漏洞管理流程这些文档现在要纳入 QMS 受控范围。检查官会按 ISO 13485 的设计控制(Clause 7.3)和风险管理(Clause 7.1)来审视你的网络安全措施。
四、483 高频缺陷:CAPA 和设计控制仍是重灾区
FDA 每年公布的 483 观察项数据相对稳定,但 QMSR 时代有一些新变化值得关注。
根据 2025 财年(截至 2025 年 9 月)的完整数据以及 2026 年初 Covington 年度警告信汇总报告,医疗器械 483 观察项的分布如下:
| 排名 | 观察项类别 | 旧法规引用 | 对应 ISO 13485 条款 | 占比 |
|---|---|---|---|---|
| 1 | CAPA 程序 | 820.100 | Clause 8.5.2 / 8.5.3 | 12.42% |
| 2 | 设计控制 | 820.30 | Clause 7.3 | 12.32% |
| 3 | 投诉处理 | 820.198 | Clause 8.2.1 / 8.2.2 | 10.61% |
| 4 | 供应商控制 | 820.50 | Clause 7.4 | 4.30% |
| 5 | 不合格品控制 | 820.90 | Clause 8.3 | 3.60% |
| 6 | 过程验证 | 820.75 | Clause 7.5.6 | 3.50% |
前三项加在一起超过所有 483 观察项的三分之一。CAPA、设计控制、投诉处理——这个铁三角已经连续多年占据前列,QMSR 时代也没有改变。不过有一个重要区别:483 现在会引用 ISO 13485 的条款号。比如,检查官可能写"未能按要求维护校准记录,违反 ISO 13485:2016 Clause 7.6",而不是过去的"违反 21 CFR 820.72"。
2025 全年 CDRH 发出的医疗器械警告信中,设计控制被引用 26 次,CAPA 被引用 26 次,投诉文件被引用 25 次(数据来源:Covington 2026 年 2 月季度报告)。68% 的 FDA 警告信认定企业的 CAPA 系统无效。
这些数字背后反映的问题对大多数中国企业来说不会太陌生——CAPA 做了但没做透,设计控制写了但没落地。下面展开分析。
五、CAPA 常见缺陷与改进要点
CAPA 连续多年位居 483 观察项榜首,不是因为这个概念有多复杂,而是因为很多企业的 CAPA 流程存在系统性的执行缺陷。从 FDA 公开的警告信来看,问题集中在三个层面:
5.1 根因分析缺失或流于表面
FDA 2026 年 3 月发给 Medline Industries 的警告信(CMS #723866)是一个典型案例。Medline 的血管造影控制注射器出现"松脱"问题,投诉率连续三个季度超过阈值(Q1 2025:16.90 CPM,Q2 2025:16.44 CPM,Q3 2025:26.81 CPM),但企业的 CAPA 没有回溯到根因阶段。FDA 认为纠正措施不充分——企业只做了报废库存和加强清洁,没有进行设计变更或产品召回。
这个案例暴露的问题是:很多 CAPA 停留在"纠正"层面,没有深入到"根因"层面。"为什么发生"这个问题没有回答清楚。
根因分析常用的工具(5-Why、鱼骨图、故障树分析)中国企业并不陌生。但问题不在于会不会用工具,而在于分析有没有做到位。我们的观察是,不少企业的根因分析只做了一两层"为什么"就停了,或者把"操作人员失误"当作最终根因。FDA 在 2026 年 3 月发布的 Form 483 回复指南草案(虽面向药品 CGMP 检查,但其中关于 CAPA 和根因分析的原则对器械企业同样有参考价值)中也指出,仅处理最明显或最直接的原因可能不足以防止再次发生。
5.2 有效性验证缺失
这是另一个高频问题。很多企业实施了纠正措施,但没有验证措施是否真正有效。
Medline 的案例同样说明了这一点:投诉率在纠正措施实施后继续超过阈值,但企业没有根据自身 SOP 的要求将 CAPA 退回上一阶段或开启新的 CAPA。直到 2026 年 1 月的回复中,企业才承认纠正措施无效,关闭了原始 CAPA 并开启了新的 CAPA-02612。FDA 认为这个响应太晚了。
有效性验证不是走过场。这份指南草案虽然针对药品 CGMP 检查,但其关于 CAPA 有效性的原则同样适用于器械检查:有效性检查是合规的关键组成部分,常规测试可能不足以证明有效性。如果有效性检查不充分,企业可能需要重新回到根因分析阶段。
5.3 CAPA 没有防止再发生
CAPA 的"A"——Preventive Action——经常被忽视。纠正措施解决了这一次的问题,但有没有横向展开到类似产品、类似过程、类似生产线?如果没有,同类问题大概率会换个地方再出现。
FDA 在 483 回复指南草案中的建议很明确:调查应该延伸到具体的观察项之外,评估已识别的缺陷是否可能影响其他产品、批次、制造过程、设施或合同制造组织。
对我们的企业来说,CAPA 改进可以从以下几点着手:
- 根因分析必须深入:至少追问三层"为什么",不要停在"人员失误"或"培训不足"。如果真的是人员失误,要问为什么培训没到位、为什么操作环境允许这种失误发生。
- 有效性验证必须有客观证据:不能只写"经目视检查确认"或"经培训后确认"。要有数据——投诉率下降的趋势图、过程能力指数的改善、返工率的降低。
- 横向展开制度化:每个 CAPA 完成前,必须评估该问题是否可能存在于其他产品线、过程或供应商。这个评估要留痕。
- 阈值触发机制不能形同虚设:如果投诉率或不合格率超过预设阈值,必须有自动触发的升级流程。阈值被突破但没有行动,这是 FDA 最容易抓住的把柄之一。
六、设计控制的常见问题
设计控制是 483 观察项的第二大来源,在 2025 年警告信中与 CAPA 并列第一(各被引用 26 次)。从 FDA 公开的执法案例来看,中国企业在设计控制方面的问题集中在以下几个方向:
6.1 风险分析不充分或缺失
ISO 13485 Clause 7.1 要求在整个产品实现过程中实施风险管理,Clause 7.3.2 要求在设计策划中包含风险管理活动。但实际操作中,风险分析往往变成一次性文档——设计开发初期做了一份 dFMEA(设计失效模式与影响分析),之后再也没有更新。
Medline 的警告信里就提到了这一点:企业的健康危害评估(HHE)低估了风险,与其自身的 dFMEA 矛盾。HHE 评定为"低风险",支持了相对温和的纠正措施(报废和清洁),但实际投诉数据显示问题的严重程度远高于此。
风险分析应该是动态文档。设计变更后要更新,上市后投诉和不良事件数据要反馈进来重新评估,过程验证的结果也要纳入。FDA 检查官现在会追溯风险分析的更新历史,看你的风险控制措施是否随着新信息的获取而调整。
6.2 软件验证缺失
对于含软件的医疗器械(现在大多数 II 类和 III 类设备都含软件),软件验证是 FDA 的重点审查领域。ISO 13485 Clause 7.3.5(设计验证)和 Clause 7.3.6(设计确认)都适用于软件。
常见问题包括:软件需求规格不完整、没有追溯矩阵把需求映射到测试用例、软件测试覆盖率不够、没有进行软件的回归测试。如果产品涉及 AI/ML 算法,FDA 的审查深度会更高。
6.3 设计确认未使用生产等效设备
21 CFR 820.30(g)(现在是 ISO 13485 Clause 7.3.6)要求设计确认在定义的条件下进行,使用的设备应该是初始生产批次或其等效品。但有些企业用手工样机或工程原型做设计确认,这在 FDA 看来是不可接受的——因为你验证的不是最终用户会使用的产品。
同样来自 Medline 的案例:FDA 指出企业在设计验证中只测试了一种连接器,而该连接器不能代表所有受影响的连接器型号。设计验证的样品选择缺少充分论证。
对中国企业来说,设计控制改进的关键动作:
- 建立设计输入到设计输出的追溯矩阵,确保每个输入都有对应的验证/确认活动。
- 风险分析文件在设计开发全过程中至少更新三次:设计评审时、设计验证后、设计确认后。
- 软件验证要有完整的 V&V 计划,包含单元测试、集成测试、系统测试的追溯。
- 设计确认样品必须是生产条件下制造的设备,并在记录中说明样品的代表性论证。
七、ISO 13485 证书 ≠ QMSR 合规:差距评估框架
这是一个很多人存在误解的地方。ISO 13485 证书是第三方认证机构颁发的,证明企业在某个时间点符合了 ISO 13485 的要求。但 QMSR 合规是 FDA 的法律要求,两者有交集但不等同。
FDA 在最终规则的公开评论回复中明确表态(Response to Comments 79, 80, 81):
- FDA 不会要求企业取得 ISO 13485 证书
- FDA 不会依据 ISO 13485 证书进行监管决策
- FDA 检查不会出具 ISO 13485 符合性证书
- ISO 13485 证书不会让企业免于 FDA 检查
为什么?因为 QMSR 有"FDA 叠加层"。以下是 ISO 13485 没有覆盖但 QMSR 要求的关键领域:
| FDA 特有要求 | 法规依据 | 性质 |
|---|---|---|
| UDI 标识与 GUDID 数据维护 | 21 CFR 830 / 820.45 | 标签/追溯 |
| MDR 不良事件报告 | 21 CFR 803 | 上市后报告 |
| 纠正与移除报告 | 21 CFR 806 | 上市后行动 |
| 设备追踪 | 21 CFR 821 | 特定设备追踪 |
| 标签检验控制 | 820.45 | 生产控制 |
| 记录控制(FDA 格式要求) | 820.35 | 文档管理 |
| 网络安全(Cyber Device) | FD&C Act 524B | 产品安全 |
| 设备注册与列名 | 21 CFR 807 | 行政合规 |
我们建议的差距评估分四步:
Clause Mapping(条款映射):把现有 QMS 文件中的 ISO 13485 条款引用与 QMSR 的 21 CFR 820 结构做一一映射,确认术语对齐。比如 ISO 13485 的"Medical Device File"对应旧 QSR 的 DMR/DHF/DHR 概念。
FDA Overlay Identification(FDA 叠加识别):逐一核实上表列出的 FDA 特有要求是否在现有体系中有对应的程序文件和执行记录。UDI 程序是否覆盖了 GUDID 数据更新?MDR 报告是否满足 21 CFR 803 的时限要求(致死/危及生命事件 30 天,严重事件 30 天,其他 30 天的在线报告)?
Documentation Exposure Review(文档暴露面审查):重点审查内审报告、管理评审记录、供应商审核报告。这些过去有豁免保护的文档现在暴露在检查范围内,需要确认内容是否专业、措辞是否恰当、发现的问题是否有效关闭。
Inspection Simulation(检查模拟):按照 CP 7382.850 的框架进行模拟检查,验证体系在实际运行中的连贯性。模拟检查团队应该包括不直接参与日常 QMS 运行的人员,以确保客观性。
八、2026 年警告信案例:过渡期的执法信号
虽然 QMSR 生效才两个多月,但已经有几封具有指示意义的警告信发出了。
Medline Industries(2026 年 3 月 25 日)
这封警告信的检查发生在 2025 年 12 月(QSR 时代),但 FDA 在信末加了一段标准化措辞:任何纠正措施必须按照 2026 年 2 月 2 日生效的 QMSR 要求来实施。这是 FDA 处理过渡期案件的模板——检查按旧法规,整改按新法规。
主要违规:CAPA 无效且未升级(投诉率三个季度超过阈值)、设计验证样品不具代表性、健康危害评估与 dFMEA 矛盾。
IsoTis OrthoBiologics 和 Longhorn Vaccines(2026 年 2 月)
两封警告信都包含相同的 QMSR 过渡语言:检查依据是旧 QSR,但纠正措施必须遵循 QMSR。RegulatoryIQ 的分析指出,这段文字已经成为 FDA 的标准化模板,只有检查日期因企业而异。
对中国企业的启示
如果你的企业在 2025 年底到 2026 年初接受了 FDA 检查,收到了 483 或者警告信,你的整改必须同时满足 QMSR 和 ISO 13485 的要求,而不是仅仅对照旧 QSR 的条款来做。这是一个很多企业可能还没意识到的变化。
另外,从 2026 年 4 月 1 日 FDA Town Hall 透露的信息来看,FDA 检查官已经接受了针对 QMSR 和 CP 7382.850 的专门培训,包括 ISO 术语、条款结构、新的检查流程。也就是说,检查官现在提问的方式和评判标准跟过去不同了。他们不会只问"你有没有 CAPA 程序",而是会问"你最近三次 CAPA 的根因分析是怎么做的,有效性验证的数据在哪里"。
九、中国企业 FDA 检查准备清单
基于以上分析,我们整理了一份面向中国医疗器械企业的 QMSR 时代 FDA 检查准备清单。按优先级排列:
高优先级(立即启动)-
CAPA 系统全面审查:逐份审查过去 24 个月内所有 CAPA 记录,确认每一条都有完整的根因分析、纠正措施、预防措施和有效性验证。重点检查有效性验证是否有客观证据(而非"经目视检查确认"之类的泛泛描述)。
-
管理评审和内审记录清洗:审查过去两到三年的管理评审记录和内审报告。删除不专业的措辞,补充遗漏的跟踪关闭记录。记住:这些记录现在完全在 FDA 的可检查范围内。
-
FDA Overlay 差距评估:对照本文第七节的清单,确认所有 FDA 特有要求(UDI、MDR、标签控制、设备追踪、网络安全等)在 QMS 中有对应的程序和执行记录。
-
设计控制文件更新:风险分析文档做一次全面更新,纳入上市后数据。软件验证确认覆盖完整。设计确认记录确认使用了生产等效设备。
-
术语和条款号更新:质量手册、程序文件中的旧 QSR 引用(如 820.100、820.30)更新为对应的 ISO 13485 条款号。注意保留文件修订历史。
-
投诉处理流程强化:确认投诉接收、评估、调查、关闭的全流程闭环。特别关注:eCommerce 平台和海外代理商转来的投诉是否纳入体系。
-
按 CP 7382.850 框架做模拟检查:至少每半年一次,由不直接参与 QMS 运行的人员组成团队,模拟 FDA 检查官的提问方式和审核逻辑。
-
网络安全体系整合:如果产品属于 Cyber Device,将 SBOM、漏洞管理、安全补丁流程纳入 QMS 受控范围,关联 ISO 13485 Clause 7.3(设计控制)和 Clause 7.1(风险管理)。
-
培训更新:QA/RA 团队需要理解 CP 7382.850 的检查框架、ISO 13485 条款结构、以及 FDA 检查官的提问风格与 ISO/MDSAP 审核员的不同之处。
-
远程记录提供准备:CP 7382.850 赋予了 FDA 远程调阅记录的权限。确保关键记录可以在短时间内以英文电子版形式提供。
十、FDA 检查流程变更对中国企业的具体影响
中国医疗器械企业接受 FDA 检查的方式也发生了变化。FDA 2026 年 4 月 1 日的 Town Hall 上,CDRH 代表明确介绍了新的检查类型和模型:
检查类型:
- 常规监督检查(Surveillance Inspection):基于风险排序安排,不再按固定周期。
- 原因检查(For-Cause Inspection):由投诉、MDR、召回信号触发。
- PMA/510(k) 批准前检查:统一纳入 CP 7382.850 框架。
- 合规跟进检查:检查之前 483 和警告信的整改进度。
检查模型:
CP 7382.850 定义了两种检查深度模型。简化检查要求检查官至少评估六个 QMS 领域中各一个要素。全面检查要求更深入地覆盖每个领域,并根据风险信号决定覆盖深度。
对中国企业来说,最大的变化可能是远程记录调阅。FDA 可以在到场检查之前,甚至替代到场检查的情况下,要求企业提供电子记录。拒绝或延迟提供可能被认定为"掺假"(adulteration)。这意味着你的 QMS 记录必须随时处于"可提供"状态——不只是整理好存档,而是能快速检索、翻译(如需要)并以电子形式发送。
FAQ:QMSR 实施后常见问题
Q1:我们已经通过 ISO 13485 认证,还需要做什么?
ISO 13485 认证只是起点。你需要额外完成 FDA 叠加层的差距评估(见第七节),包括 UDI、MDR 报告、标签控制、设备追踪等 ISO 13485 未覆盖的要求。同时,内审和管理评审记录需要按照"FDA 可检查"的标准重新审视。
Q2:旧记录(2026 年 2 月 2 日之前创建的)需要修订吗?
FDA 的官方说法是:QMSR 和旧 QSR 的要求"大体相似",旧记录不需要专门为了符合 QMSR 而修订。但 FDA 也明确表示,检查官在 2026 年 2 月 2 日之后的检查中可以查看这些旧记录。所以如果旧记录中存在明显的问题描述但未采取行动,这仍然可能被引用为检查发现。
Q3:检查官现在会引用 ISO 条款号吗?
是的。从 RegulatoryIQ 追踪的执法数据来看,2026 年 2 月之后的 483 已经开始引用 ISO 13485:2016 的条款号。比如,校准问题会引用 Clause 7.6,CAPA 问题引用 Clause 8.5.2,设计控制引用 Clause 7.3。
Q4:MDSAP 审核能替代 FDA 检查吗?
不能。FDA 在 FAQ 中明确表示:FDA 检查不会遵循 MDSAP 审核计划或程序。FDA 不要求 ISO 13485 符合性证书,也不出具符合性证书。FDA 检查依据的是美国法规,不是国际标准。MDSAP 审核依据的是 ISO 13485 的符合性,两者目的和方法都不同。
Q5:IDE(试验性器械豁免)企业需要满足设计控制吗?
需要。QMSR 下,IDE 企业必须满足 ISO 13485 Clause 7 的设计控制要求,即使产品仍处于临床试验阶段。这在旧 QSR 时代就有类似要求,但 QMSR 把这一点明确化了——ISO 13485 Clause 7.3 适用于所有阶段的医疗器械设计和开发活动。
Q6:如果收到了 2025 年的 483 或警告信,整改应该按照旧 QSR 还是 QMSR?
按照 QMSR。FDA 在 2026 年初发出的警告信中已经使用了标准化过渡措辞,明确要求企业按照 2026 年 2 月 2 日生效的 QMSR 要求来实施纠正措施。即使检查本身是按照旧 QSR 进行的。
Q7:网络安全检查对传统(非联网)设备适用吗?
不适用。FD&C Act Section 524B 专门针对"Cyber Device"——即包含软件、具备联网能力的设备。如果你的设备是纯硬件、不包含软件或通信功能,网络安全条款不直接适用。但如果设备含有嵌入式软件(即使不联网),FDA 在设计控制审查中仍然可能涉及软件验证的要求。
Q8:FDA 2026 年 3 月发布的 483 回复指南草案对我们有什么影响?
这份指南草案("Responding to FDA Form 483 Observations at the Conclusion of a Drug CGMP Inspection")虽然名义上针对药品 CGMP 检查,但其中关于 483 回复的最佳实践对器械企业同样具有参考价值。核心要点包括:15 个工作日内提交回复;回复中要包含患者和产品风险评估;CAPA 计划要同时提交;调查要延伸到观察项之外评估系统性问题;FDA 可能在后续检查中验证 CAPA 的实施和有效性。
参考资源
-
FDA Quality Management System Regulation (QMSR) 官方页面 — QMSR 官方信息页,包含法规全文、实施日期、过渡安排等基本信息。
-
FDA QMSR Frequently Asked Questions — FDA 官方 FAQ,涵盖检查流程、记录审查范围、ISO 13485 关系等 13 个核心问题。
-
CP 7382.850 检查手册全文 — FDA 医疗器械制造商检查的完整合规程序手册,78 页 PDF,包含检查模型、评估标准、升级路径等全部操作细节。
-
FDA 483 回复指南草案(2026 年 3 月) — FDA 关于如何回复 Form 483 观察项的指南草案,包含 CAPA 开发、风险评估、管理责任等要求。
-
FDA Medical Device Risk-Based Inspections Town Hall 幻灯片(2026 年 4 月 1 日) — FDA Town Hall 活动的幻灯片,介绍 QMSR 下的新检查类型、检查模型和实施状态。
-
Covington 季度医疗器械警告信报告(2025 Q4 及年度汇总) — Covington & Burling 律所的季度警告信分析,包含 2025 全年趋势数据和 QMSR 过渡期执法展望。
-
FDA QMSR Town Hall: What the Enforcement Data Shows — RegulatoryIQ — 基于 FDA 公开数据的 QMSR 早期执法分析,包含 93 次检查的分类数据和过渡期警告信的标准化语言分析。
相关文章
心脏起搏器、CRT、ICD出海注册全流程:中国企业从0到1的实操路径
详解植入式心脏起搏器、CRT、ICD的FDA PMA、EU MDR CE、日本PMDA注册要求,含产品分类、临床策略、费用对比和中国企业案例。
CGM 持续血糖监测出海全指南:FDA De Novo/510(k)、EU MDR 与全球准入策略
详解CGM持续血糖监测系统FDA 510(k)/De Novo路径、EU MDR Class IIb认证、日本PMDA、东南亚等全球注册策略,附中国企业(三诺/硅基仿生/微泰/鱼跃)出海案例与专利风险应对。
隐形矫治器出海注册全指南:FDA 510(k) + EU MDR + AngelAlign 案例拆解
中国隐形矫治器企业出海注册完整指南,涵盖FDA 510(k)(21 CFR 872.5470)、EU MDR Class IIa认证、日本PMDA路径。AngelAlign/时代天使2025年营收3.7亿美元案例深度拆解,含Align Technology ITC专利诉讼影响分析。