ISO 13485认证实操指南：从体系搭建到审核通过的完整攻略

ISO 13485是医疗器械行业最核心的质量管理体系标准，也是中国医疗器械企业出海的"第一张门票"。无论是进入欧盟市场申请CE标志，还是向FDA提交510(k)或PMA申请，抑或是开拓东南亚、拉美等新兴市场，ISO 13485认证几乎是绕不开的前提条件。然而，许多中国企业在实施ISO 13485时面临诸多挑战：条款理解不透彻、文件体系搭建混乱、"为拿证而做体系"导致实际运行脱节、审核时频繁出现不符合项。本文将从标准条款逐项解读、文件体系搭建、认证流程、审核机构选择，到与FDA QMSR和EU MDR的衔接，提供一份真正可落地的实操指南。

一、ISO 13485在医疗器械出海中的核心地位

1.1 为什么ISO 13485是"出海第一步"

对于中国医疗器械企业而言，ISO 13485认证的战略价值体现在以下几个层面：

市场准入的基础要求

欧盟：MDR (EU) 2017/745 Annex IX和Annex XI明确要求制造商建立并维护符合ISO 13485的质量管理体系，公告机构在CE认证过程中会对QMS进行审核
美国：2026年2月2日起，FDA的QMSR正式生效，直接引用ISO 13485:2016作为质量体系框架
加拿大：MDSAP审核以ISO 13485为基础，叠加加拿大、美国、巴西、澳大利亚和日本五国特定要求
东南亚：ASEAN AMDD（东盟医疗器械指令）参考ISO 13485作为QMS要求
巴西：ANVISA要求提交ISO 13485认证证书或接受GMP现场审核
日本：PMDA的QMS省令与ISO 13485高度对标

商业谈判的信任基础

海外经销商、医院采购方和GPO（集团采购组织）在评估供应商时，ISO 13485认证证书几乎是必查项。没有认证意味着连谈判桌都上不了。

内部管理的提升工具

ISO 13485不仅仅是一张证书，更是一套经过全球验证的医疗器械质量管理方法论。真正落地的体系能帮助企业系统性地控制设计开发风险、供应商质量、生产过程一致性和上市后反馈。

1.2 中国企业常见的认知误区

误区	现实
"ISO 13485就是ISO 9001的医疗版，差不多"	ISO 13485有大量医疗器械特有要求（设计控制、风险管理、可追溯性等），与ISO 9001差异显著
"找个咨询公司做一套文件就能拿证"	审核机构重点考察体系的实际运行，不是文件的完整性
"拿到证书就万事大吉了"	每年有监督审核，三年一次再认证；体系停止运行会导致证书被暂停或撤销
"ISO 13485认证等于CE标志"	ISO 13485是QMS认证，CE标志还需要产品技术文件评审、临床评价等
"小公司不需要这么复杂的体系"	ISO 13485允许根据企业规模和产品特点进行合理裁剪，精简但不能缺失

二、ISO 13485:2016标准概览

2.1 与ISO 9001的关系与关键区别

ISO 13485:2016的全称是《医疗器械质量管理体系用于法规的要求》。虽然它的结构框架源自ISO 9001:2008，但两者已经独立发展，差异越来越大。

对比维度	ISO 13485:2016	ISO 9001:2015
核心目标	产品安全性和法规符合性	客户满意度和持续改进
结构	基于ISO 9001:2008框架	采用Annex SL高层结构
风险管理	强制要求（贯穿全标准）	基于风险的思维（框架性要求）
设计控制	详细的7.3条款（不可排除设计责任）	8.3条款（相对简化）
可追溯性	强制要求产品追溯	按需追溯
客户反馈	法规强制的投诉处理和警戒报告	客户满意度监测
法规环境	必须符合适用法规要求	无特定法规要求
持续改进	强调维持体系的有效性	强调持续改进
文件化要求	明确的文件和记录要求	更灵活的"文件化信息"概念
过程验证	特殊过程必须验证（IQ/OQ/PQ）	按需验证

关键区别总结：ISO 13485的核心在于确保产品安全性和法规符合性，而不是追求"持续改进"本身。标准明确要求"维持质量管理体系的有效性"，而非ISO 9001式的"不断提升"。这一区别对应了医疗器械行业的特殊性——稳定、可预测、可追溯的质量输出比不断变化的创新更为重要。

2.2 适用范围

ISO 13485:2016适用于以下组织：

医疗器械的设计和开发、生产、储存和分销、安装、服务
相关服务的设计开发和提供（如技术支持、维修维保）
为上述活动提供产品（如原材料、零部件、灭菌服务）的供应商

适用产品类型：

有源医疗器械（电子设备、软件等）
无源医疗器械（植入物、敷料、耗材等）
体外诊断器械（IVD试剂、仪器）
组合产品（药械组合）

2.3 排除条款的使用

ISO 13485:2016允许在特定条件下排除某些条款，但排除必须合理、有文件记录，且不影响产品安全性和法规符合性。

可排除的常见情形：

条款	排除条件	示例
7.3 设计和开发	组织不承担设计责任（如OEM代工企业）	按客户图纸生产的代工厂
7.5.2 产品清洁	产品无清洁要求	某些电子测量设备
7.5.5 安装	产品无安装要求	一次性使用耗材
7.5.6 服务	组织不提供服务活动	仅销售不维修

不可排除的条款：

条款4（质量管理体系）
条款5（管理职责）
条款6（资源管理）
条款7.1（产品实现的策划）
条款7.2（与顾客有关的过程）
条款7.4（采购）
条款7.5.1（生产和服务提供的控制）
条款8（测量、分析和改进）

重要提醒：即使排除了7.3设计和开发，企业仍需证明其具备理解和维护设计信息的能力。OEM企业经常在这一点上被审核员质疑。

三、条款4：质量管理体系

3.1 条款4.1 总要求

条款4.1要求组织建立、实施、维护并持续改进质量管理体系。核心要求包括：

过程方法的应用

企业需要识别QMS所需的过程及其在整个组织中的应用，确定这些过程的顺序和相互作用。实操中建议绘制一张"过程乌龟图"（Turtle Diagram）或"过程相互作用图"来可视化。

典型的QMS过程包括：

管理过程：管理评审、目标管理、资源配置
核心过程：设计开发、采购、生产、交付、服务
支持过程：文件控制、记录控制、人员培训、设备管理、环境控制
监测改进过程：内部审核、CAPA、数据分析、不合格品控制

外包过程的控制

如果企业将任何影响产品符合性的过程外包（如灭菌、检测、软件开发），必须对这些外包过程实施控制。控制方式包括：

与外包方签署质量协议（Quality Agreement）
定义外包方的质量要求和验收标准
定期对外包方进行审核或评价
保留外包过程的监控记录

法规要求的识别

企业必须识别适用于其产品和QMS的法规要求，并将这些要求纳入QMS。这一点在出海场景中尤为关键——不同目标市场的法规要求不同，企业需要建立一套系统的法规跟踪机制。

3.2 条款4.2 文件要求

ISO 13485:2016对文件化的要求远比ISO 9001严格。标准明确要求以下文件：

4.2.1 总则——必须文件化的内容

质量方针和质量目标的声明
质量手册
标准要求的程序文件和记录
组织确定的为确保过程有效运行所需的文件
适用法规要求的其他文件

4.2.2 质量手册——必须包含的内容

质量手册要素	具体内容
QMS范围	产品范围、场地范围、排除条款及其理由
程序文件引用	引用或包含QMS所建立的程序文件
过程相互作用	QMS过程之间的相互作用描述
文件结构	质量管理体系文件的层次结构说明

实操建议：质量手册不需要写得过于详细。一份30-50页的质量手册，清晰描述体系范围、过程框架和各条款的实施概述即可。具体操作细节应放在程序文件和SOP中。

4.2.3 医疗器械文档（Medical Device File）

这是ISO 13485特有的概念，要求为每种医疗器械类型或医疗器械族建立和维护一份或多份文件，包含或引用为证明符合QMS要求和适用法规要求所需的文件和记录。

医疗器械文档通常包含或引用：

产品描述和预期用途
产品标签和使用说明书
产品规格和图纸
生产、包装、储存和分销程序
测量和监控程序
安装和服务程序（如适用）
设计和开发文件
风险管理文件
临床评价报告（如适用）

4.2.4 文件控制

文件控制是审核中最容易出问题的领域之一。核心要求：

文件发布前经授权人员审批
定期评审和必要时更新文件
确保文件的更改和现行修订状态得到识别
确保使用处获得适用版本的相关文件
确保文件保持清晰、易于识别
确保外来文件得到识别和控制
防止作废文件的非预期使用
文件保留期限至少等于产品寿命期或适用法规规定的期限，但不少于从组织放行产品之日起两年

电子化QMS系统选择

传统纸质文件管理已不适合现代医疗器械企业。推荐的电子QMS平台：

系统	特点	适用企业	大致费用/年
Greenlight Guru	医疗器械专用QMS，集成设计控制	中小型创新企业	$15,000-$60,000
MasterControl	功能全面，大型企业首选	大型集团企业	$50,000-$200,000+
ETQ Reliance	灵活可配置，制造业通用	中大型制造企业	$30,000-$100,000
Qualio	云端轻量级QMS	初创企业	$8,000-$25,000
国产方案（蓝鸽、飞书多维表等）	成本低，需定制化	预算有限的企业	$2,000-$15,000

选择建议：如果企业主要出口欧美市场，建议选择国际主流QMS系统（如Greenlight Guru或MasterControl），审核机构对这些系统的认可度更高。如果仅面向东南亚或拉美市场，国产方案经过合理配置也能满足要求。

4.2.5 记录控制

记录是体系运行的证据，ISO 13485对记录的要求包括：

记录应保持清晰、易于识别和检索
应编制程序文件，规定记录的标识、储存、安全防护、检索、保留时间和处置
记录保留期限至少等于产品寿命期或适用法规规定的期限，但不少于从组织放行产品之日起两年
需要保护的个人健康信息应按适用法规要求管理

四、条款5：管理职责

4.1 条款5.1 管理承诺

最高管理者（通常是CEO或总经理）必须通过以下方式提供管理承诺的证据：

向组织传达满足顾客要求和适用法规要求的重要性
制定质量方针
确保质量目标的建立
进行管理评审
确保资源的获取

审核重点：审核员会通过访谈最高管理者来评估管理承诺的真实性。如果管理者对质量方针、目标、主要质量指标一无所知，这将被视为严重的不符合。

4.2 条款5.2 以顾客为关注焦点

最高管理者应确保顾客要求得到确定并予以满足。在医疗器械出海场景中，"顾客"的定义需要扩展理解：

最终用户：医生、护士、患者、检验技师
采购方：医院、经销商、GPO
法规机构：FDA、公告机构、NMPA等

4.3 条款5.3 质量方针

质量方针应：

与组织的宗旨相适应
包含满足要求和维持QMS有效性的承诺
提供制定和评审质量目标的框架
在组织内得到沟通和理解
在持续适宜性方面得到评审

实操建议：质量方针不需要写得过于华丽，但必须具体到"医疗器械"和"法规要求"两个关键词。避免使用通用的"追求卓越品质"之类的空话。

示例：

"本公司致力于设计、开发和制造安全、有效的医疗器械产品，满足顾客需求和适用法规要求，通过有效运行质量管理体系，持续为全球患者提供高质量的医疗解决方案。"

4.4 条款5.4 策划

5.4.1 质量目标

质量目标应：

可测量、可监控
与质量方针保持一致
在组织内相关职能和层次上建立

实操建议——典型的质量目标示例：

目标类别	具体指标	目标值
产品质量	成品检验一次合格率	≥98%
客户投诉	客户投诉率（每百万台）	≤50 PPM
CAPA	CAPA按时关闭率	≥95%
供应商	关键供应商合格率	100%
培训	年度培训计划完成率	≥95%
内审	内审计划执行率	100%
交付	订单准时交付率	≥95%

5.4.2 QMS策划

管理者应确保在QMS变更时保持其完整性。当企业引入新产品线、进入新市场或发生组织架构变化时，需要重新评估QMS的充分性。

4.5 条款5.5 职责、权限与沟通

5.5.1 职责和权限

关键岗位及其在QMS中的典型职责：

岗位	QMS职责
最高管理者/CEO	管理承诺、资源配置、管理评审主持
管理者代表/质量副总	QMS建立维护、向最高管理者报告、法规符合性确保
质量经理	日常质量管理、CAPA管理、内审组织、供应商质量
研发总监	设计控制、风险管理、技术文件管理
生产经理	生产过程控制、过程验证、环境监控
RA经理	法规要求识别、注册文件准备、法规变更跟踪

5.5.2 管理者代表

最高管理者应指定一名管理者代表，其职责包括：

确保QMS过程得到建立、实施和维护
向最高管理者报告QMS绩效和改进需求
确保促进全组织意识到适用法规和QMS要求

5.5.3 内部沟通

应确保在不同层次和职能之间就QMS过程及其有效性进行沟通。实操中常见的沟通方式包括：周例会、月度质量会议、质量公告栏、内部邮件通知。

4.6 条款5.6 管理评审

5.6.1 总则

管理评审应按策划的时间间隔进行（通常至少每年一次），以确保QMS的持续适宜性、充分性和有效性。

5.6.2 评审输入（必须包含的内容）

反馈信息（包括投诉）
投诉处理
向监管机构的报告
审核结果（内审和外审）
过程的监视和测量
产品的监视和测量
纠正措施
预防措施
以往管理评审的跟踪措施
可能影响QMS的变更（法规变更、新市场准入要求等）
改进的建议
适用的新的或修订的法规要求

5.6.3 评审输出

管理评审输出应包含与以下方面有关的决定和措施：

QMS及其过程有效性所需的改进
与顾客要求有关的产品改进
应对适用的新的或修订的法规要求所需的变更
资源需求

实操建议：管理评审不应该只是走形式。建议准备一份结构化的管理评审报告模板，确保每一项输入都有数据支撑，每一项输出都有具体的行动计划、责任人和完成时间。

五、条款6：资源管理

5.1 条款6.1 资源提供

组织应确定并提供QMS运行所需的资源，包括：

维持QMS有效性
满足适用法规要求
满足顾客要求

5.2 条款6.2 人力资源

核心要求

基于适当的教育、培训、技能和经验，从事影响产品质量工作的人员应是能够胜任的。

培训体系搭建

培训体系框架：

培训类型	内容	频率	记录要求
入职培训	QMS概述、质量方针、GMP基础、岗位SOP	入职时	培训记录、考核成绩
岗位技能培训	岗位SOP、设备操作、检验方法	上岗前	培训记录、操作考核
法规培训	ISO 13485、MDR/IVDR、FDA要求	年度	培训记录、考试
专项培训	风险管理、内审员、CAPA	按需	培训证书、考核
更新培训	文件更新、法规变更、CAPA结果	变更时	培训记录

常见审核发现：培训记录不完整或培训有效性未评估。审核员经常检查的问题：

新员工是否在独立操作前完成了所有必要培训？
培训有效性如何评价（仅签到 vs 考试/实操考核）？
SOP更新后是否对相关人员进行了重新培训？

5.3 条款6.3 基础设施

组织应确定、提供和维护实现产品符合性所需的基础设施，包括：

建筑物、工作空间和相关设施
过程设备（硬件和软件）
支持性服务（运输、通信、信息系统）

文件化要求：

基础设施维护活动的文件化要求（包括维护间隔）
维护活动记录

5.4 条款6.4 工作环境与污染控制

6.4.1 工作环境

当工作环境条件可能对产品质量产生不利影响时，组织应：

文件化工作环境要求
监视和控制工作环境
记录监控数据

典型工作环境要求：

产品类型	洁净室等级	温度要求	湿度要求	特殊要求
无菌植入物	ISO 7 (万级) 或更高	18-26°C	45-65% RH	微生物监控、压差监控
无菌一次性耗材	ISO 8 (十万级)	18-26°C	45-65% RH	尘埃粒子监控
IVD试剂	ISO 8或受控环境	18-26°C	<65% RH	防交叉污染
有源设备（非无菌）	一般受控环境	15-35°C	30-70% RH	ESD防护

6.4.2 污染控制

如果产品或工作环境的清洁条件可能影响产品质量，组织应将以下要求文件化：

产品清洁或污染控制的要求
在生产或服务提供过程中防止被污染产品对工作环境的污染

六、条款7：产品实现（最核心章节）

条款7是ISO 13485中最大、最复杂、也是审核重点最集中的章节。对于制造型企业而言，这一章涵盖了从市场需求到产品交付的完整价值链。

6.1 条款7.1 产品实现的策划

组织应策划和开发产品实现所需的过程。策划输出应形成文件，通常以"质量计划"（Quality Plan）的形式呈现。

质量计划应包括（视情况而定）：

产品的质量目标和要求
建立过程、文件和资源的需求
产品所要求的验证、确认、监视、测量、检验和试验活动及产品接收准则
为实现过程及其产品满足要求提供证据所需的记录
风险管理活动

6.2 条款7.2 与顾客有关的过程

7.2.1 与产品有关的要求的确定

组织应确定：

顾客规定的要求（包括交付和交付后的要求）
顾客虽然没有规定但已知预期用途所必需的要求
与产品有关的适用法规要求
组织认为必要的任何附加要求

出海场景中的特殊关注：

市场	额外法规要求示例
欧盟	MDR基本安全和性能要求（GSPR）、UDI、EUDAMED注册
美国	FDA listing & establishment registration、510(k)/PMA、UDI/GUDID
日本	PMDA认证许可、日文标签、QMS省令
巴西	ANVISA注册、葡萄牙语标签、GMP认证

7.2.2 与产品有关的要求的评审

在承诺向顾客提供产品之前，组织应评审与产品有关的要求，确保：

产品要求已明确
合同或订单中与以前表述不一致的要求已得到解决
组织有能力满足规定的要求

7.2.3 沟通

组织应策划并实施与顾客的沟通安排，包括产品信息、问询/合同/订单处理、顾客反馈（包括投诉）和咨询通告。

6.3 条款7.3 设计和开发（设计控制全流程）

设计和开发是ISO 13485最核心的条款之一，也是审核中不符合项最多的领域。完整的设计控制流程包括以下阶段：

设计控制流程总览

设计策划 → 设计输入 → 设计输出 → 设计评审 → 设计验证 → 设计确认 → 设计转换 → 设计变更

7.3.1 设计和开发策划

设计策划应确定：

设计和开发的阶段
每个阶段所需的评审、验证、确认和设计转换活动
设计和开发活动的职责和权限
参与各方之间接口的管理方法
设计和开发人员的能力需求

实操建议：制定一份"设计和开发计划"（Design and Development Plan），明确里程碑、交付物、评审点和责任人。

7.3.2 设计和开发输入（Design Input）

设计输入应包括：

功能、性能和安全要求
适用的法规要求和标准
适用的风险管理输出
以往类似设计的信息（如适用）
产品实现所必需的其他要求

实操检查清单——设计输入应覆盖：

7.3.3 设计和开发输出（Design Output）

设计输出应：

满足设计输入的要求
给出采购、生产和服务提供的适当信息
包含或引用产品接收准则
规定对产品安全和正常使用必不可少的产品特性

典型设计输出清单：

产品规格书
工程图纸和BOM
软件需求规格（如适用）
软件架构设计文档（如适用）
制造工艺规范
检验规程和接收标准
标签和说明书
包装规格
风险管理报告

7.3.4 设计和开发评审（Design Review）

设计评审应在适当阶段进行系统的评审，评审参与者应包括与被评审阶段相关的职能代表和专家。

设计评审的关键阶段：

评审阶段	评审内容	典型参与者
概念评审	可行性、法规路径、市场需求	研发、RA、市场、管理层
初步设计评审	设计方案、风险分析、标准符合性	研发、质量、RA、临床
详细设计评审	详细规格、DFM、测试方案	研发、质量、生产、采购
最终设计评审	V&V结果、风险总结、转产准备	全部相关职能

7.3.5 设计和开发验证（Design Verification）

设计验证是确认设计输出满足设计输入要求的活动。验证通常通过以下方式进行：

检测和试验（bench testing）
替代计算
与已证明的类似设计进行比较
文件评审

常见验证测试类型：

测试类型	适用标准	内容
电气安全测试	IEC 60601-1	接地、绝缘、漏电流、介电强度
EMC测试	IEC 60601-1-2	电磁发射、电磁抗扰度
软件验证	IEC 62304	单元测试、集成测试、系统测试
性能测试	产品标准	功能性能、精度、重复性
环境测试	IEC 60068	温度、湿度、振动、跌落
包装测试	ISTA/ASTM	运输模拟、加速老化
可用性测试	IEC 62366	形成性评估、总结性评估
生物相容性测试	ISO 10993	细胞毒性、致敏、刺激等

7.3.6 设计和开发确认（Design Validation）

设计确认是在规定的使用条件下，确认最终产品满足预期用途的活动。与验证不同，确认关注的是"产品能否在真实使用场景中有效工作"。

确认活动包括：

临床评价或临床试验
模拟使用测试
可用性确认测试（总结性评估）
用户反馈评估

重要区别：

验证（Verification）：设计输出 vs 设计输入——"我们造的东西对不对？"
确认（Validation）：产品 vs 用户需求——"我们造的东西好不好用？"

7.3.7 设计和开发转换（Design Transfer）

设计转换是将设计输出转化为生产规范的过程。转换活动应确保设计输出在成为最终生产规范前得到验证。

转换检查清单：

7.3.8 设计和开发变更

设计变更是产品全生命周期中持续发生的活动。每次变更都需要：

评审变更内容
评估变更对已交付产品和在制品的影响
根据影响程度确定是否需要验证和/或确认
在实施前审批
保留变更记录

6.4 条款7.4 采购

7.4.1 采购过程

组织应建立供应商评价和选择的准则，并对供应商进行初始评价、定期再评价和绩效监控。

供应商分级管理建议：

供应商类型	定义	管理要求
关键供应商	提供的产品或服务直接影响最终产品安全/性能	现场审核、质量协议、来料全检或抽检、年度绩效评价
重要供应商	提供的产品或服务间接影响最终产品质量	书面评价、质量协议、抽检、年度绩效评价
一般供应商	提供的产品或服务对产品质量影响较小	简化评价、合同管理

关键供应商审核要点：

供应商是否有ISO 13485或相关质量体系认证
供应商的来料检验和过程控制能力
供应商的变更通知机制
供应商的可追溯性体系
供应商的投诉和CAPA处理能力

7.4.2 采购信息

采购信息应描述所购买的产品，包括（适用时）：

产品、程序、过程和设备的批准要求
人员资格要求
质量管理体系要求

7.4.3 采购产品的验证

组织应建立并实施检验或其他活动，以确保采购的产品满足规定的采购要求。验证范围和方式应基于供应商评价结果和产品对最终器械的影响。

6.5 条款7.5 生产和服务提供

7.5.1 生产和服务提供的控制

生产应在受控条件下进行，包括：

描述产品特性的文件化信息
作业指导书（SOP）
适宜设备的使用和维护
监视和测量设备的使用
规定的标签和包装操作的实施

7.5.2 产品的清洁

如果产品在灭菌或使用前需要清洁，或产品的清洁状态可能影响其性能，清洁要求应文件化。

7.5.3 安装活动

如适用，安装要求应文件化，安装验证的接收准则应文件化，安装记录应保留。

7.5.4 服务活动

如适用，组织应文件化服务程序、参考测量和控制要求，并保留服务活动记录。服务活动记录应作为投诉处理程序的输入。

7.5.5 无菌医疗器械的特殊要求

无菌产品的灭菌过程是典型的"特殊过程"，因为灭菌效果无法通过后续的检验和试验完全验证。

7.5.6 过程验证——IQ/OQ/PQ方法论

当生产和服务提供过程的输出不能或不易由后续的监视或测量加以验证时，应对这些过程进行确认（验证）。

典型需要验证的过程：

过程	验证理由	关键参数
灭菌（EtO/辐照/湿热）	灭菌效果不能通过终检完全验证	温度、时间、浓度、剂量
焊接/粘接	强度不能100%无损检测	温度、压力、时间、材料
注塑成型	内部结构不能完全检测	注射参数、模具温度
软件验证	逻辑正确性不能100%测试	功能、性能、安全
清洁过程	清洁度不能逐件检测	清洗参数、清洁剂浓度
包装密封	密封完整性抽检	温度、压力、时间

IQ/OQ/PQ验证框架：

IQ（安装确认，Installation Qualification）：

确认设备已按照制造商规格正确安装
验证公用设施连接（电、气、水）
确认校准状态
记录设备信息（型号、序列号、软件版本）

OQ（运行确认，Operational Qualification）：

在设备运行范围的极端条件下验证过程能力
测试关键参数在上限、下限和标称条件下的表现
确定过程参数的操作范围

PQ（性能确认，Performance Qualification）：

在正常生产条件下，使用实际产品进行验证
通常需要连续三个批次的成功运行
确认过程能够持续产生符合要求的产品

7.5.7 灭菌和无菌屏障系统的特殊要求

对于以灭菌形式提供的产品：

灭菌过程的验证记录应保留
每个灭菌批次的过程参数记录应保留
灭菌批次应可追溯到产品批次

7.5.8 产品标识

在产品实现的全过程中，应使用适当的方法识别产品。标识方法可包括：标签、条码、二维码、批号、序列号、颜色编码等。

7.5.9 可追溯性

可追溯性是ISO 13485的强制要求（对于植入性器械和特殊要求的产品），而非ISO 9001中的可选项。

可追溯性要求：

记录每批或每个可追溯单元所使用的原材料/零部件批号
记录加工参数和操作人员
记录检验/测试结果
记录分销去向（客户、数量、日期）

对于植入性器械，还需要记录每个器械的分销去向，以便在需要时进行召回。

6.6 条款7.6 监视和测量设备的控制

校准管理

组织应确定需要实施的监视和测量活动，以及所需的设备。

校准管理要求：

按规定的时间间隔或在使用前进行校准或检定
在必要时进行调整或再调整
标识校准状态
防止可能使测量结果失效的调整
当发现设备不符合要求时，评估以往结果的有效性

校准管理实操建议：

要素	具体做法
设备清单	建立测量设备台账（编号、名称、型号、校准周期、责任人）
校准周期	根据设备稳定性、使用频率和重要程度确定，通常6-12个月
校准标准	校准应溯源到国际或国家计量标准
校准记录	保留校准证书、校准数据和判定结论
超期管理	建立提醒机制，防止设备超期未校准
不合格处置	设备校准不合格时，追溯评估已检测产品的有效性

七、条款8：测量、分析和改进

7.1 条款8.1 总则

组织应策划并实施监视、测量、分析和改进过程，以证明产品的符合性、确保QMS的符合性、维持QMS的有效性。

7.2 条款8.2 监视和测量

8.2.1 反馈

组织应将收集和监视顾客满意程度和/或不满意程度信息的方法文件化，作为QMS绩效的一项测量。反馈系统应包括从生产和生产后活动获取数据的规定。

反馈信息来源：

客户投诉
用户调查
经销商反馈
临床使用数据
文献报告
警戒数据

8.2.2 投诉处理

组织应建立文件化的投诉处理程序，至少包括：

接收和记录投诉的要求
评估投诉是否构成不良事件
调查投诉原因
确定是否需要向监管机构报告
处理措施的实施和验证
确定是否需要启动CAPA

投诉处理流程：

投诉接收 → 记录 → 初步评估 → 调查分析 → 是否需要监管报告？
                                                ↓
                                    是 → 法规报告（MDR/MedWatch/不良事件报告）
                                                ↓
                               纠正措施 → CAPA（如需要） → 关闭 → 趋势分析

8.2.3 向监管机构报告

如果适用法规要求报告满足规定投诉准则的反馈信息，组织应将向监管机构提交报告的程序文件化。

各主要市场的不良事件报告要求：

市场	法规依据	报告时限	报告平台
欧盟	MDR Article 87	严重：15天；趋势：定期	EUDAMED
美国	21 CFR Part 803	死亡/严重伤害：30天；故障：年度	MedWatch
中国	《医疗器械不良事件监测和再评价管理办法》	死亡：7天；严重：15天	国家不良事件监测系统
日本	PMD Act	死亡：15天；其他：30天	PMDA报告系统

8.2.4 内部审核

内部审核是ISO 13485中最重要的自我监控机制之一。

内审方法——完整流程：

1. 年度审核方案

覆盖所有QMS过程和条款
基于过程的重要性和以往审核结果确定审核频率
重点关注高风险过程和以往发现问题较多的领域

2. 审核准备

编制审核计划（审核范围、时间、审核组、被审核部门）
审核员应独立于被审核活动（不能自审自己的工作）
审核员应具备内审员资格

3. 审核实施

首次会议：介绍审核目的、范围、方法
现场审核：查文件、看现场、问人员、核记录
末次会议：报告审核发现

4. 审核报告和不符合管理

编写审核报告
对不符合项要求被审核部门进行根本原因分析和纠正措施
对纠正措施进行验证

内审检查单示例（按条款）：

条款	检查项目	检查方法
4.2.3	医疗器械文档是否完整且更新	抽查2-3个产品的MDF
5.6	管理评审是否按计划进行，输入输出是否完整	查看最近一次管审记录
6.2	关键岗位人员培训是否到位	抽查培训记录和岗位资质
7.3	设计输入是否完整，设计评审是否按计划进行	抽查1-2个设计项目的DHF
7.4	关键供应商是否经过评价和审核	抽查供应商评价记录
7.5.6	过程验证是否充分（IQ/OQ/PQ）	查看验证报告和记录
7.6	测量设备是否按期校准	查看校准台账和证书
8.2.2	投诉是否按程序处理	抽查投诉记录和调查报告
8.5.2	CAPA是否有效关闭	抽查CAPA记录和验证证据

7.3 条款8.3 不合格品控制

组织应确保不符合要求的产品得到识别和控制，以防止非预期的使用或交付。

不合格品处置方式：

返工：采取措施使不合格品满足要求（需要验证返工后产品的符合性）
让步放行：经授权人员批准，接受不合格品（需要满足法规要求，且不影响安全性）
降级使用：改变产品的预期用途（仅在不影响安全的情况下）
报废：销毁不合格品

注意：ISO 13485:2016明确规定，返工的范围和程度应考虑对产品的潜在不利影响，返工后的产品应按照原有程序重新验证。

7.4 条款8.4 数据分析

组织应收集和分析适当的数据，以证实QMS的适宜性和有效性，并评估在何处可以持续改进QMS的有效性。

应分析的数据来源：

反馈（投诉和客户满意度数据）
产品质量符合性（检验数据、不良率）
过程特性和趋势（过程能力、工艺参数偏差）
供应商绩效
审核结果
服务报告

统计技术应用：

趋势分析（投诉趋势、不良率趋势）
帕累托分析（识别主要问题）
过程能力分析（Cpk）
控制图（SPC）

7.5 条款8.5 改进

8.5.1 总则

组织应利用质量方针、质量目标、审核结果、上市后监督数据分析、纠正措施、预防措施和管理评审来识别和实施必要的改进。

8.5.2 纠正措施（Corrective Action）

纠正措施程序应包括：

评审不合格项（包括投诉）
确定不合格的原因
评估确保不合格不再发生的措施需求
策划和实施所需措施
验证措施有效性
评审所采取的措施是否产生了附加的不利影响

8.5.3 预防措施（Preventive Action）

预防措施程序应包括：

确定潜在不合格及其原因
评估预防措施的需求
策划和实施所需措施
验证措施有效性
评审所采取的措施是否产生了附加的不利影响

7.6 CAPA系统搭建实操

CAPA（Corrective and Preventive Action）系统是ISO 13485中最重要的改进工具，也是FDA审核的重点关注领域。

CAPA完整流程：

问题识别 → CAPA立项 → 根本原因分析 → 措施制定 → 措施实施 → 有效性验证 → CAPA关闭

根本原因分析方法：

方法	适用场景	描述
5 Why分析	单一问题、因果链清晰	连续追问"为什么"直到根本原因
鱼骨图（石川图）	多因素分析	从人、机、料、法、环、测六方面分析
FTA（故障树分析）	复杂系统故障	从顶事件向下分析各种可能的原因组合
是/不是分析	需要排除干扰因素	对比发生和未发生问题的条件差异

CAPA记录模板要素：

要素	内容要求
CAPA编号	唯一编号，便于追溯
来源	投诉、内审、外审、过程偏差、不良事件等
问题描述	具体、客观、包含5W1H（何时、何地、何人、何事、为何、如何）
风险评估	对患者安全、产品质量、法规符合性的影响评估
根本原因	使用适当的分析方法，深入到系统层面
纠正措施	消除根本原因的措施
预防措施	防止类似问题在其他产品/过程中发生的措施
责任人和时间表	每项措施的责任人和完成期限
有效性验证	验证措施的方法、时间和判定准则
关闭审批	经授权人员审批关闭

八、关键配套标准

ISO 13485不是孤立存在的，它与一系列配套标准共同构成医疗器械质量管理的完整框架。

8.1 ISO 14971——风险管理

ISO 14971:2019《医疗器械风险管理对医疗器械的应用》是ISO 13485在风险管理方面的核心配套标准。ISO 13485多个条款都要求应用风险管理：设计输入（7.3.2）、设计验证和确认（7.3.5/7.3.6）、采购（7.4.1）、过程验证（7.5.6）。

风险管理过程：

风险分析 → 风险评价 → 风险控制 → 剩余风险评价 → 风险管理报告 → 生产和生产后信息

常用风险分析方法：

方法	全称	适用场景	特点
FMEA	失效模式与效应分析	设计FMEA、过程FMEA	系统性逐项分析，最常用
FTA	故障树分析	复杂系统、安全关键故障	从顶事件向下分析，逻辑严谨
HAZOP	危险与可操作性分析	过程工业、流体系统	基于引导词的系统分析
PHA	初步危害分析	项目早期、概念阶段	快速识别主要危害
ETA	事件树分析	评估事件后果、概率分析	从初始事件向后展开

风险可接受性矩阵（示例）：

严重度 →	可忽略(1)	轻微(2)	严重(3)	危重(4)	致命(5)
极常见(5)	中	高	不可接受	不可接受	不可接受
常见(4)	低	中	高	不可接受	不可接受
偶发(3)	低	中	中	高	不可接受
罕见(2)	可忽略	低	中	中	高
极罕见(1)	可忽略	可忽略	低	中	中

8.2 ISO 10993——生物相容性评价

ISO 10993系列标准是评价医疗器械生物相容性的核心标准。对于与人体直接或间接接触的器械，生物相容性评价是设计验证的关键组成部分。

ISO 10993-1:2018 评价要点：

生物相容性评价不再简单等同于做测试。ISO 10993-1:2018要求首先进行生物学评价策划，考虑：

设备与人体接触的性质（表面接触、外部接入、植入）
接触持续时间（短暂：<24小时；短期：24小时-30天；长期：>30天）
材料化学表征
现有数据的充分性
是否需要额外测试

按接触类型和时间的测试矩阵（简化版）：

测试项目	表面接触<24h	表面接触>30d	植入<24h	植入>30d
细胞毒性	需要	需要	需要	需要
致敏性	需要	需要	需要	需要
刺激性/皮内反应	需要	需要	需要	需要
全身毒性	—	需要	需要	需要
亚慢性毒性	—	需要	—	需要
遗传毒性	—	需要	需要	需要
植入反应	—	—	需要	需要
慢性毒性	—	—	—	需要
致癌性	—	—	—	考虑

8.3 IEC 60601——电气安全

IEC 60601-1:2005+A1:2012+A2:2020《医用电气设备第1部分：基本安全和基本性能的通用要求》是有源医疗器械最重要的安全标准。

IEC 60601-1主要测试项目：

电击防护（接地连续性、漏电流、介电强度）
机械危险防护
过温防护
异常运行和故障条件
可编程电气医用系统（PEMS）
电磁兼容性（IEC 60601-1-2）
可用性（IEC 60601-1-6 / IEC 62366）
报警系统（IEC 60601-1-8）

EMC测试（IEC 60601-1-2:2014+A1:2020）关键要求：

测试类型	测试项目	目的
发射测试	传导发射、辐射发射	确保设备不干扰其他设备
抗扰度测试	ESD、辐射场、EFT、浪涌、传导抗扰度、工频磁场、电压跌落	确保设备在电磁环境中正常工作

8.4 IEC 62304——软件生命周期

IEC 62304:2006+A1:2015《医疗器械软件软件生命周期过程》适用于包含软件的医疗器械和独立医疗器械软件（SaMD）。

软件安全分类：

A类：不可能对健康造成伤害
B类：可能对健康造成非严重伤害
C类：可能对健康造成死亡或严重伤害

不同分类的要求差异：

活动	A类	B类	C类
软件开发策划	需要	需要	需要
软件需求分析	需要	需要	需要
软件架构设计	—	需要	需要
软件详细设计	—	—	需要
软件单元实现和验证	需要	需要	需要
软件集成和集成测试	—	需要	需要
软件系统测试	需要	需要	需要
软件发布	需要	需要	需要
软件维护	需要	需要	需要
软件配置管理	需要	需要	需要
软件问题解决	需要	需要	需要

8.5 IEC 62366——可用性工程

IEC 62366-1:2015+A1:2020《医疗器械可用性工程对医疗器械的应用》要求通过系统的可用性工程过程降低使用错误风险。

可用性工程过程：

使用规格（Use Specification）——明确预期用户、使用环境、使用场景
用户界面规格
形成性评估（Formative Evaluation）——迭代设计阶段的可用性测试
总结性评估（Summative Evaluation）——最终设计的可用性确认

8.6 各标准之间的关系

理解各标准之间的关系对于建立一个协调的体系至关重要：

标准	与ISO 13485的关系	对应ISO 13485条款
ISO 14971	风险管理贯穿QMS全过程	7.1, 7.3.2, 7.3.3, 7.5.6
ISO 10993	生物相容性是设计验证的重要部分	7.3.5 (设计验证)
IEC 60601	电气安全是设计验证的重要部分	7.3.5 (设计验证)
IEC 62304	软件开发过程是设计控制的子过程	7.3 (设计和开发)
IEC 62366	可用性是设计输入和设计确认的关键	7.3.2, 7.3.6
ISO 11607	无菌屏障包装验证	7.5.5 (无菌产品)
ISO 11135/11137	灭菌过程验证	7.5.6 (过程验证)

九、文件体系搭建实操

9.1 四层文件架构

ISO 13485的文件体系通常采用四层金字塔结构：

第一层：质量手册（Quality Manual）

描述QMS的范围、组织结构、质量方针、各条款的实施概述
通常1份，30-50页

第二层：程序文件（Procedures / SOPs）

描述"谁在什么时候做什么、怎么做"
通常20-30份（视企业规模而定）

第三层：作业指导书（Work Instructions）

详细的操作步骤，面向具体岗位操作人员
数量取决于产品和过程的复杂程度

第四层：表单和记录（Forms & Records）

体系运行的证据
包括各种表单模板和填写完成的记录

9.2 必备程序文件清单

以下是ISO 13485:2016明确要求或隐含要求的程序文件：

编号	程序文件名称	对应条款	优先级
QP-001	文件控制程序	4.2.4	必须
QP-002	记录控制程序	4.2.5	必须
QP-003	管理评审程序	5.6	必须
QP-004	人力资源和培训管理程序	6.2	必须
QP-005	基础设施和工作环境管理程序	6.3, 6.4	必须
QP-006	风险管理程序	7.1 (ISO 14971)	必须
QP-007	顾客要求评审程序	7.2	必须
QP-008	设计和开发控制程序	7.3	必须（设计型企业）
QP-009	采购管理程序	7.4	必须
QP-010	供应商管理程序	7.4	必须
QP-011	生产过程控制程序	7.5	必须
QP-012	过程验证程序	7.5.6	必须
QP-013	产品标识和追溯程序	7.5.8, 7.5.9	必须
QP-014	监视和测量设备管理程序	7.6	必须
QP-015	反馈和投诉处理程序	8.2.1, 8.2.2	必须
QP-016	监管机构报告程序	8.2.3	必须
QP-017	内部审核程序	8.2.4	必须
QP-018	不合格品控制程序	8.3	必须
QP-019	数据分析程序	8.4	必须
QP-020	纠正和预防措施程序	8.5.2, 8.5.3	必须
QP-021	产品召回程序	— (法规要求)	必须
QP-022	灭菌过程控制程序	7.5.5, 7.5.7	无菌产品必须
QP-023	清洁和污染控制程序	6.4.2, 7.5.2	视产品而定
QP-024	安装和服务控制程序	7.5.3, 7.5.4	视产品而定
QP-025	标签控制程序	7.5.1	必须
QP-026	变更控制程序	7.3.9	必须
QP-027	软件生命周期管理程序	IEC 62304	含软件产品必须

9.3 文件编号规则

建议采用以下编号规则：

[文件类型代码]-[部门代码]-[序号]-[版本号]

示例：
QM-001-V1.0      → 质量手册第1版
QP-QA-001-V2.1   → 质量部程序文件001，第2.1版
WI-PRD-015-V1.0  → 生产部作业指导书015，第1版
FM-QA-001-001    → 质量部程序001下的表单001

文件类型代码：

QM = Quality Manual（质量手册）
QP = Quality Procedure（程序文件）
WI = Work Instruction（作业指导书）
FM = Form（表单）
TR = Training Record（培训记录）
VR = Validation Report（验证报告）

十、认证机构选择

10.1 主要认证机构对比

认证机构	总部	NB编号	优势	适合企业类型	审核费用参考
TUV SUD	德国慕尼黑	0123	品牌认可度最高、全球认可	中大型企业、欧盟市场	较高
TUV Rheinland	德国科隆	0197	在中国审核员资源丰富	各类企业	中高
BSI	英国伦敦	2797	英国市场首选、MDSAP认可	面向英国/欧盟的企业	中高
SGS	瑞士日内瓦	0120	全球网络最广、服务全面	各类企业	中等
Bureau Veritas	法国巴黎	0459	新兴市场经验丰富	面向多市场的企业	中等
DEKRA	德国斯图加特	0124	价格相对合理	中小型企业	中等偏低
Intertek	英国伦敦	—	测试认证一体化	需要同步测试的企业	中等

10.2 选择因素

选择认证机构时应考虑以下因素：

1. 是否同时具有公告机构资质

如果企业同时需要CE标志认证，选择一家同时是MDR/IVDR公告机构的认证机构（如TUV SUD、TUV Rheinland、BSI、SGS）可以实现"一次审核、两个目标"，减少重复工作和费用。

2. 审核周期

不同认证机构的排期差异较大。在当前全球公告机构产能紧张的背景下，部分机构（如TUV SUD）的排期可能长达6-12个月。中小企业可以考虑排期较短的机构。

3. 费用

认证费用由以下因素决定：

审核人天数（取决于企业规模、产品复杂程度和场地数量）
审核员差旅费
证书费和年度管理费
是否需要使用翻译

4. 中国审核员资源

使用中国审核员可以避免翻译成本和沟通障碍，但并非所有认证机构都有足够的中国审核员。TUV Rheinland和SGS在中国的审核员资源相对丰富。

5. MDSAP认可

如果企业计划同时通过MDSAP审核（覆盖美国、加拿大、巴西、澳大利亚、日本五国），需要选择MDSAP认可的审核组织。

10.3 认证范围（Scope）的确定

认证范围应准确描述以下内容：

产品类型或产品族
活动范围（设计、开发、生产、储存、分销、安装、服务）
场地范围（所有从事QMS相关活动的场地）

注意事项：

范围不宜过窄（可能无法覆盖实际出口产品）
范围不宜过宽（增加审核人天和费用）
多场地企业需要确定哪些场地纳入认证范围

十一、认证审核流程

11.1 完整审核流程

申请 → Stage 1 → 整改 → Stage 2 → 整改 → 发证 → 监督审核(年度) → 再认证(3年)

11.2 各阶段详解

Stage 1（文件审核/初审）

项目	内容
目的	评估QMS文件的充分性和适宜性
方式	通常为远程（文件评审），部分机构要求现场
时间	1-2个审核人天
重点	质量手册、程序文件、法规要求识别、排除条款的合理性
输出	Stage 1审核报告，确认Stage 2的审核范围和时间
典型问题	文件不完整、排除条款不合理、法规要求识别不充分

Stage 2（现场审核/主审核）

项目	内容
目的	评估QMS的实施和有效运行
方式	现场审核（必须在企业场地进行）
时间	3-6个审核人天（取决于企业规模）
重点	过程运行证据、记录完整性、人员能力、现场管理
输出	Stage 2审核报告、不符合项报告（如有）
不符合项分类	重大不符合（Major NCR）：系统性缺陷，须在发证前关闭；一般不符合（Minor NCR）：局部缺陷，须在规定期限内关闭

审核人天数估算：

企业规模（有效人数）	Stage 1（人天）	Stage 2（人天）	监督审核（人天/年）
1-25人	1	2-3	1-2
26-65人	1-1.5	3-4	2-3
66-175人	1.5-2	4-6	3-4
176-500人	2	6-8	4-5
500人以上	2-3	8-12	5-8

不符合项整改

重大不符合：通常要求在90天内提交纠正措施证据，认证机构验证关闭后才能发证
一般不符合：通常在下一次监督审核前关闭即可
整改应包括：根本原因分析、纠正措施、预防措施、实施证据

证书颁发

审核通过后，认证机构颁发ISO 13485:2016认证证书。证书有效期为3年。

监督审核（年度）

每年进行一次（通常在证书周年日前后）
审核范围覆盖QMS的关键过程和上次审核发现的跟踪
审核人天通常为Stage 2的1/3至1/2

再认证审核（3年周期）

在证书到期前进行
审核范围覆盖所有QMS条款
审核人天与初次Stage 2相当

十二、与FDA QSR/QMSR的衔接

12.1 QMSR生效后的新格局

2026年2月2日，FDA的QMSR正式生效，取代了实施近30年的QSR（21 CFR Part 820）。QMSR最核心的变化是直接引用ISO 13485:2016作为QMS框架，同时保留了FDA特有的补充要求。

12.2 ISO 13485与FDA QMSR的映射

ISO 13485:2016条款	FDA QMSR补充要求	差异说明
4.2 文件要求	820.35(a): 投诉文件和记录	FDA对投诉文件有更详细要求
7.2 顾客相关过程	—	基本一致
7.3 设计和开发	820.30: 设计控制	FDA保留820.30中的DHF要求和设计历史文件概念
7.5 生产和服务提供	820.35(c): DMR（器械主记录）	FDA保留DMR概念
7.5.9 可追溯性	820.35(d): 唯一器械标识	FDA要求UDI合规
8.2.1 反馈	820.35(a): 投诉处理	FDA有更严格的投诉调查和MDR报告要求
8.2.2 投诉处理	820.35(a): MDR报告	必须按21 CFR 803报告不良事件
8.2.4 内部审核	820.35(b): 审核记录可检查	重大变化：FDA检查员现可查看内审和管审记录
8.5.2 纠正措施	820.35(e): CAPA	FDA对CAPA有更详细的预期
—	820.35(f): 供应商控制	FDA对供应商控制有额外要求

12.3 关键差异点

1. 内部审核和管理评审记录

这是QMSR引入的最重大变化。在旧QSR下，FDA检查员无权查看内部审核和管理评审记录（依据21 CFR 820.180(c)的豁免）。QMSR删除了这一豁免，FDA检查员现可要求查阅这些记录。

对策：

内审报告必须完整、准确，发现的问题必须有清晰的CAPA跟踪
管理评审输入和输出必须有充分的数据支撑
建议对历史内审和管审记录进行回顾，确保不存在未关闭的重大问题

2. 投诉处理和MDR报告

FDA对投诉处理的要求比ISO 13485更为严格：

必须评估每一个投诉是否构成需要报告的MDR事件
即使投诉经调查认定不构成MDR事件，也必须记录评估过程和理由
投诉调查必须及时，不能积压

3. 设计控制

虽然QMSR引用了ISO 13485的7.3条款，但FDA保留了对设计控制的额外期望，包括：

设计历史文件（DHF）的概念
更明确的设计评审记录要求
对设计变更的更严格控制

12.4 从ISO 13485到QMSR的差距分析

已有ISO 13485认证的企业如需同时满足QMSR，建议进行以下差距分析：

检查项	ISO 13485是否覆盖	QMSR额外要求	行动项
内审记录可检查性	部分覆盖	记录必须准备好接受FDA检查	回顾内审记录，关闭未解决问题
投诉处理——MDR评估	部分覆盖	每个投诉必须评估MDR报告必要性	更新投诉处理SOP，增加MDR评估步骤
UDI合规	不涉及	需要符合21 CFR 801.20/830	建立UDI程序，完成GUDID注册
CAPA有效性	覆盖	FDA对CAPA有效性的预期更高	强化CAPA有效性验证
供应商控制	覆盖	FDA有额外的供应商控制预期	评估供应商控制程序是否满足820.35(f)

十三、与EU MDR的衔接

13.1 MDR对QMS的要求

EU MDR 2017/745对质量管理体系的要求散布在多个条款和附录中：

Article 10(9)：制造商应建立、实施、记录和维护风险管理体系
Article 10(10)：制造商应建立、记录、实施和维护上市后监督体系
Annex IX：符合性评估程序（QMS审核+技术文件评审）
Annex XI Part A：基于全面质量保证体系的符合性评估

13.2 ISO 13485 + MDR差距分析

MDR要求	ISO 13485对应	差距	补充措施
Annex IX 2.2: QMS必须涵盖的要素	多条款覆盖	基本覆盖	确保QMS范围明确包含MDR要素
UDI管理	7.5.8 (标识)	ISO 13485未涉及UDI具体要求	建立UDI程序（Article 27）
上市后监督（PMS）	8.2.1 (反馈)	MDR要求更系统化的PMS	建立PMS计划（Article 83-86）
PMCF	—	ISO 13485未涉及	建立PMCF计划和报告（Annex XIV Part B）
定期安全更新报告（PSUR）	—	ISO 13485未涉及	建立PSUR编制流程（Article 86）
临床评价	7.3.5/7.3.6	MDR有更详细的CER要求	建立CER流程（Article 61, Annex XIV）
GSPR符合性	7.2.1	MDR Annex I有更详细的GSPR清单	建立GSPR符合性检查清单
EUDAMED注册	—	ISO 13485未涉及	建立EUDAMED注册程序
严重事件报告	8.2.3	MDR有更严格的时限和格式要求	更新警戒报告程序（Article 87）
趋势报告	8.4	MDR要求特定的趋势报告	建立趋势报告程序（Article 88）

13.3 实操建议

1. 将MDR要求整合进现有QMS

不要为MDR建立一套平行体系。最有效的方法是在现有ISO 13485体系中增加MDR特定要求的程序文件或作业指导书。

2. 重点补充的程序文件

PMS计划和报告程序
PMCF计划和报告程序
PSUR编制程序
临床评价程序
UDI管理程序
EUDAMED注册和维护程序
严重事件报告程序（MDR时限要求）

十四、审核常见不符合项Top 20

以下是基于认证审核实践总结的最常见不符合项，按条款排列：

条款4——质量管理体系

NCR #1：文件控制不到位

典型问题：现场发现作废版本的SOP仍在使用；外来文件（如客户图纸、标准）未纳入控制
整改建议：建立文件主清单（Master Document List），对所有文件标注版本和受控状态；定期进行现场文件巡查

NCR #2：医疗器械文档（MDF）不完整

典型问题：MDF中缺少风险管理文件、临床评价报告或标签审批记录
整改建议：制定MDF内容检查清单，每次设计变更或法规更新后检查MDF完整性

条款5——管理职责

NCR #3：管理评审输入不完整

典型问题：管审报告缺少"向监管机构的报告"或"适用的新法规要求"等输入项
整改建议：制定标准化管审议程模板，确保ISO 13485:2016 5.6.2列出的所有输入项都得到覆盖

NCR #4：质量目标不可测量

典型问题：质量目标为"提高产品质量""加强客户服务"等笼统表述，无具体指标
整改建议：每个质量目标都应有可量化的KPI、目标值和测量方法

条款6——资源管理

NCR #5：培训有效性未评估

典型问题：培训记录仅有签到表，无考试或实操考核，无法证明培训有效性
整改建议：对关键岗位培训建立考核机制（笔试、实操考核或观察评估），记录考核结果

NCR #6：工作环境监控记录缺失

典型问题：洁净室温湿度监控数据不完整，或超限后未进行偏差调查
整改建议：建立环境监控台账，对超限情况建立偏差处理流程

条款7——产品实现

NCR #7：设计输入不充分

典型问题：设计输入遗漏了法规要求或风险管理输出；设计输入无可追溯的编号
整改建议：使用设计输入检查清单，确保覆盖所有必要的输入类别；每条设计输入应有唯一编号并可追溯到验证活动

NCR #8：设计评审记录不充分

典型问题：设计评审仅有签到表和"通过"结论，无评审内容记录；评审发现的问题无跟踪记录
整改建议：记录评审讨论内容、决定和行动项；对评审发现的问题建立跟踪机制直至关闭

NCR #9：设计验证与确认混淆

典型问题：将性能测试结果直接作为设计确认的证据，未进行模拟或实际使用条件下的确认
整改建议：清晰区分验证（输出vs输入）和确认（产品vs用户需求）；设计确认应在尽可能接近真实使用条件下进行

NCR #10：设计变更缺乏影响评估

典型问题：设计变更记录中缺少对已交付产品影响的评估，或未评估是否需要重新验证/确认
整改建议：在变更控制流程中加入影响评估检查清单，覆盖产品安全、法规符合性、已交付产品等维度

NCR #11：供应商管理不充分

典型问题：关键供应商未进行现场审核；供应商变更未及时评估和批准
整改建议：对关键供应商制定审核计划；建立供应商变更通知机制，要求供应商在变更前通知

NCR #12：过程验证不充分

典型问题：灭菌过程仅做了OQ未做PQ；验证后过程参数发生变更但未重新验证
整改建议：确保IQ/OQ/PQ三阶段完整执行；建立变更后的再验证触发准则

NCR #13：可追溯性断裂

典型问题：从最终产品无法追溯到关键原材料批号；追溯记录不完整
整改建议：建立正向和逆向追溯机制，并定期进行追溯演练

条款8——测量、分析和改进

NCR #14：投诉处理不及时

典型问题：投诉积压未处理；投诉调查结论不充分；未评估是否需要向监管机构报告
整改建议：建立投诉处理时限要求（如15个工作日内完成初步调查）；增加"是否需要监管报告"的评估步骤

NCR #15：CAPA根本原因分析不深入

典型问题：根本原因分析停留在表面（如"操作人员失误"），未深入到系统层面
整改建议：强制使用结构化的根本原因分析方法（如5 Why或鱼骨图）；培训CAPA负责人的分析能力

NCR #16：CAPA有效性验证不充分

典型问题：CAPA关闭时仅确认措施已实施，未验证问题是否真正解决
整改建议：建立有效性验证准则——需要在一定时间后（通常3-6个月）验证相同问题是否再次发生

NCR #17：内审覆盖面不足

典型问题：年度内审计划未覆盖所有条款或所有部门；审核时间不足
整改建议：确保3年内所有条款和过程都被审核到；增加对高风险过程的审核频率

NCR #18：不合格品处置记录不完整

典型问题：返工后未重新检验；让步放行缺少授权审批记录
整改建议：在不合格品处置流程中明确每种处置方式的记录要求和审批权限

NCR #19：数据分析未形成有效趋势

典型问题：数据收集了但没有进行趋势分析；趋势分析发现问题但未采取行动
整改建议：建立定期（月度/季度）数据分析机制；对趋势偏差设立触发准则

NCR #20：校准管理缺失

典型问题：测量设备超期未校准；校准不合格但未追溯评估已检测产品
整改建议：建立校准到期提醒机制；制定校准不合格时的产品追溯评估SOP

十五、中小企业实施策略

15.1 精简文件的方法

中小企业不需要与大型企业一样复杂的文件体系。ISO 13485允许根据组织规模和产品特点进行合理调整。

精简原则：

合并相关程序（如文件控制和记录控制合并为一份程序）
作业指导书可以嵌入程序文件中
表单设计尽量简洁，避免过度文件化
使用流程图代替大段文字描述

文件数量参考：

企业规模	程序文件数	作业指导书数	表单数
1-10人创业企业	12-15份	10-20份	30-50份
10-50人中小企业	18-25份	20-40份	50-100份
50-200人中型企业	25-35份	40-80份	100-200份
200人以上大型企业	30-50份	80-150份	200-400份

15.2 ERP/QMS软件推荐

对于不同规模和预算的企业，推荐以下软件方案：

国际方案：

软件	核心功能	价格区间/年	最适合
Greenlight Guru	设计控制、CAPA、文件管理、风险管理	$15K-$60K	医疗器械创业企业/中小企业
MasterControl	文件管理、培训、CAPA、变更管理	$50K-$200K+	大型企业/集团
ETQ Reliance	CAPA、审核、供应商、变更	$30K-$100K	制造型中大企业
Qualio	文件管理、培训、CAPA	$8K-$25K	SaMD初创企业
Arena Solutions	PLM+QMS一体化	$20K-$80K	硬件+软件产品企业

国产/低成本方案：

方案	特点	价格区间/年	适合
飞书多维表+审批流	灵活搭建、成本低	$2K-$5K	初创/小型企业
蓝鸽QMS	国产医疗器械QMS	$10K-$30K	国内为主的中小企业
钉钉+宜搭	低代码搭建	$3K-$10K	预算有限的企业
简道云	灵活表单+流程	$2K-$8K	需要快速上线的企业

15.3 外包顾问的利弊

维度	优势	劣势
效率	经验丰富，快速搭建体系框架	可能照搬模板，不贴合企业实际
成本	比招聘全职质量人员初期成本低	顾问费用可能持续累积
专业性	熟悉审核要点和常见问题	对企业产品和工艺了解不深
独立性	客观评估体系现状	走后体系可能无人维护

选择顾问的建议：

优先选择有医疗器械企业从业经验（而非纯咨询背景）的顾问
要求顾问提供过往审核通过的案例
明确顾问的交付物（不能只是一堆文件模板，还需要培训和辅导）
要求顾问"教会"内部人员运行体系，而不是"代做"

十六、费用与时间线

16.1 体系搭建时间线

阶段	时间	主要工作
差距分析	1-2个月	现状评估、差距识别、制定实施计划
文件编写	2-4个月	质量手册、程序文件、SOP、表单模板
体系培训	1-2个月	全员培训、内审员培训
试运行	3-6个月	按体系文件运行、积累记录
内部审核和管理评审	1个月	至少完成一轮完整内审和管审
认证审核	1-3个月	Stage 1 + Stage 2 + 整改
合计	9-18个月	从启动到拿证

加速策略：

高管重视、资源充分投入：可缩短至6-9个月
有经验的外部顾问辅导：可缩短2-3个月
使用电子QMS系统：文件管理效率提升50%以上

16.2 认证审核费用

费用项目	小型企业（<50人）	中型企业（50-200人）	大型企业（>200人）
Stage 1审核费	¥15,000-30,000	¥25,000-50,000	¥40,000-80,000
Stage 2审核费	¥30,000-60,000	¥60,000-120,000	¥100,000-200,000
审核员差旅费	¥5,000-15,000	¥10,000-25,000	¥15,000-40,000
证书费	¥5,000-10,000	¥5,000-10,000	¥5,000-15,000
初次认证合计	¥55,000-115,000	¥100,000-205,000	¥160,000-335,000
年度监督审核费	¥20,000-40,000	¥40,000-80,000	¥60,000-120,000

注意：以上为国内场地审核的参考费用。如选择TUV SUD等知名机构，费用可能更高。如使用外籍审核员，还需额外的翻译费（约¥3,000-5,000/天）。

16.3 体系搭建顾问费用

服务内容	费用范围	说明
全程辅导（差距分析到拿证）	¥80,000-300,000	包含文件编写辅导、培训、内审辅导、模拟审核
差距分析	¥15,000-30,000	1-2天现场评估
文件编写辅导	¥30,000-100,000	辅导企业编写全套文件
内审员培训	¥5,000-15,000	2-3天培训课程
模拟审核	¥10,000-30,000	1-2天模拟Stage 2审核

16.4 年度维护成本

项目	年度费用	说明
监督审核费	¥20,000-120,000	视企业规模和认证机构
QMS软件费	¥15,000-200,000	视选择的软件
内审员维持费	¥5,000-15,000	培训、资格维持
校准费用	¥10,000-50,000	视测量设备数量
文件更新人工成本	内部人工	通常需要1-2名专职质量人员
合计	¥50,000-400,000/年	不含人工成本

十七、常见误区与建议

17.1 "为拿证而做体系" vs "真正运行体系"

这是中国企业最常见的问题。许多企业将ISO 13485认证视为一次性的"考试"，考完就束之高阁。这种做法导致：

后果：

监督审核时被发现体系已停止运行，证书面临暂停
实际工作流程与文件描述严重脱节，一旦出问题无法提供合规证据
海外客户审核时被发现体系运行不实，影响商业合作
FDA检查时如发现体系仅是"纸面功夫"，可能被发出Warning Letter

正确做法：

将QMS要求融入日常工作流程，而不是额外的负担
在ERP/MES系统中嵌入质量控制点
将质量指标纳入部门和个人KPI
每月进行质量数据回顾和趋势分析

17.2 过度文件化问题

与"不做体系"相反的另一个极端是"过度文件化"——文件越写越多、越写越细，员工疲于应付文件要求而忽略了实际工作。

判断是否过度文件化的标志：

一个简单操作需要填写3份以上表单
员工抱怨"大部分时间在填表"
文件更新滞后严重（因为太多文件需要维护）
审核员指出"文件写得很好但实际操作未按文件执行"

解决方法：

定期审视文件体系，删除不必要的文件和记录
使用电子系统自动记录（如ERP中的生产记录替代手工记录）
合并重复或相似的表单
遵循"必要且充分"原则——每一份文件和记录都应有明确的存在理由

17.3 与研发流程的融合

许多企业的研发团队抵触设计控制流程，认为"太繁琐、拖慢进度"。这通常是因为设计控制流程的实施方式不够灵活。

融合建议：

1. 将设计控制与敏捷开发结合

对于软件医疗器械（SaMD），可以将IEC 62304的软件生命周期与敏捷开发方法论结合：

Sprint计划中包含风险分析和设计评审
每个Sprint结束时进行设计验证（自动化测试）
使用版本控制系统（Git）作为设计文件的追溯手段
在CI/CD流水线中嵌入质量检查点

2. 将设计控制与阶段门（Phase-Gate）流程结合

对于硬件产品：

每个阶段门（Gate）即为设计评审点
阶段门的通过准则包含设计控制要求的交付物
设计输入在可行性阶段锁定，设计输出在详细设计阶段锁定
设计转换在预生产阶段完成

3. 工具链集成

需求管理工具（Jira/DOORS）→ 设计输入追溯
PLM系统 → 设计输出和BOM管理
版本控制（Git）→ 软件设计文件
测试管理（TestRail/Zephyr）→ 验证和确认记录
QMS系统 → CAPA、变更控制、审核管理

17.4 多市场合规策略

对于同时面向欧盟和美国市场的企业，建议采用"一套体系、多市场满足"的策略：

核心框架：ISO 13485:2016

叠加层：

FDA QMSR补充要求（820.35系列）
EU MDR/IVDR特定要求（PMS、PMCF、PSUR等）
MDSAP要求（如适用）

具体做法：

在程序文件中增加"法规差异说明"章节，指出针对不同市场的特殊要求
建立法规要求跟踪矩阵，确保所有适用法规的要求都在QMS中有对应
定期（至少每年一次）更新法规要求跟踪矩阵

17.5 最终行动清单

为帮助企业系统性地推进ISO 13485认证，以下是按优先级排列的行动清单：

第一阶段（第1-2个月）——基础准备

成立QMS实施小组，明确项目负责人和时间表
进行差距分析，识别当前体系与ISO 13485的差距
确定认证范围（产品、活动、场地）
选择认证机构并提交意向申请
确定QMS软件/工具

第二阶段（第3-6个月）——体系搭建 第三阶段（第7-12个月）——试运行 第四阶段（第13-18个月）——认证审核 持续维护

每年进行内部审核和管理评审
持续运行CAPA系统
接受年度监督审核
跟踪法规变更并及时更新体系
三年后进行再认证审核

十八、计算机系统验证（CSV）与计算机软件保证（CSA）

在ISO 13485体系中，计算机化系统（ERP、QMS软件、生产控制系统、LIMS等）的验证是一个经常被中国企业忽视但审核中频繁出现问题的领域。条款4.1.6明确要求："组织应将用于质量管理体系的计算机软件的应用进行确认"，条款7.5.6也要求对影响产品质量的过程（包括软件控制的过程）进行验证。

18.1 GAMP 5框架基础

GAMP 5（Good Automated Manufacturing Practice，第5版）是国际制药工程协会（ISPE）发布的计算机化系统验证指南，虽然源自制药行业，但已成为医疗器械行业计算机系统验证的事实标准。

GAMP 5软件分类：

类别	描述	示例	验证策略
Category 1	基础设施软件	操作系统、数据库引擎、网络软件	记录版本，无需单独验证
Category 3	不可配置的商业软件	简单办公软件、计算器工具	安装确认+功能验证
Category 4	可配置的商业软件	ERP、QMS系统、LIMS、MES	配置验证+功能测试+用户验收测试
Category 5	定制开发软件	企业定制的生产控制系统	完整的开发生命周期验证（需求→设计→测试）

验证活动与文件：

验证阶段	主要活动	关键文件
计划阶段	确定验证范围和策略、进行风险评估	验证计划（VP）、风险评估报告
需求阶段	定义用户需求和功能规格	用户需求规格（URS）、功能规格（FS）
设计阶段	系统配置或开发	配置规格（CS）或设计规格（DS）
测试阶段	IQ/OQ/PQ执行	IQ/OQ/PQ方案和报告、偏差记录
发布阶段	验证总结和系统上线批准	验证总结报告（VSR）、上线审批

18.2 FDA从CSV到CSA的转型

2022年9月，FDA发布了《Computer Software Assurance for Production and Quality System Software》最终指南，标志着从传统的CSV（Computer System Validation）向CSA（Computer Software Assurance）的重大转型。

CSV与CSA的核心区别：

维度	传统CSV	CSA（新方法）
核心理念	文档驱动——"验证一切"	风险驱动——"关注影响患者安全的功能"
测试重点	所有功能均需脚本化测试	高风险功能严格测试，低风险功能可用非脚本化方法
文档负担	大量验证文档（IQ/OQ/PQ协议、偏差报告等）	精简文档，保留关键证据
测试方法	预定义的脚本化测试为主	允许探索性测试、即席测试（ad hoc testing）
变更管理	任何变更均需重新验证	基于风险评估决定再验证范围
适用范围	所有计算机化系统	生产和质量体系软件（不适用于SaMD产品本身）

CSA的风险分级测试策略：

风险等级	判定依据	测试方法	文档要求
高风险	直接影响患者安全或产品质量的功能（如自动放行判定、关键参数控制）	脚本化测试（预定义步骤、预期结果、实际结果）	完整的测试协议和报告
中风险	间接影响产品质量的功能（如库存管理、批次追溯）	脚本化测试或结构化的非脚本化测试	简化的测试记录
低风险	不影响产品质量的功能（如报表生成、界面显示）	非脚本化测试（探索性测试、用户验收）	简要的测试证据（截图等）

18.3 企业常用系统的验证要点

ERP系统（如SAP、Oracle、金蝶、用友）：

验证重点模块	关键验证项	风险等级
物料管理	批次追溯、有效期管理、库存准确性	高
生产管理	工单管理、BOM准确性、工艺路线	高
质量管理	来料检验流程、不合格品控制、CAPA管理	高
采购管理	供应商评价记录、采购订单审批	中
销售管理	客户订单处理、发货记录	中
财务模块	成本核算	低

QMS软件（如Greenlight Guru、MasterControl）：

验证重点	关键验证项	风险等级
文件控制	版本控制、审批流程、权限管理	高
CAPA管理	流程完整性、到期提醒、关闭审批	高
培训管理	培训分配、完成记录、资质跟踪	中
审核管理	审核计划、发现跟踪	中
变更控制	变更评审流程、影响评估	高

生产控制系统（MES/SCADA）：

验证重点	关键验证项	风险等级
过程参数采集	数据准确性、采集频率、报警设置	高
电子批记录	数据完整性、审计追踪、电子签名	高
设备控制	参数设定、联锁保护	高
报表功能	数据汇总、趋势分析	低

18.4 中国企业常见的CSV/CSA问题

问题一：完全没有计算机系统验证意识

许多中国医疗器械企业在审核前甚至不知道ERP和QMS软件需要验证。这是因为国内的NMPA审查对计算机化系统验证的关注度相对较低，但ISO 13485审核和FDA检查会重点检查这一领域。

应对策略：至少为所有影响产品质量的计算机化系统建立验证清单，并按风险等级制定验证计划。

问题二：使用未经验证的Excel表格管理关键质量数据

Excel是中国企业最常用的数据管理工具，但未经验证的Excel表格（特别是包含公式和宏的表格）用于关键质量计算（如过程能力分析、检验判定）是一个常见的审核不符合项。

应对策略：

对用于质量判定的Excel模板进行验证（确认公式正确性、设置保护防止意外修改）
建立Excel模板的版本控制和审批流程
长期来看，迁移到经过验证的QMS或LIMS系统

问题三：系统升级后未进行再验证

ERP或QMS系统供应商推送更新后，企业直接安装而未评估更新对已验证功能的影响。

应对策略：

建立系统变更管理程序，任何软件更新前进行影响评估
对影响已验证功能的更新进行回归测试
保留更新日志和测试记录

问题四：缺乏数据完整性（Data Integrity）控制

FDA的ALCOA+原则（Attributable可归属、Legible可读、Contemporaneous同步记录、Original原始、Accurate准确 + Complete完整、Consistent一致、Enduring持久、Available可获取）在许多中国企业中未得到充分实施。

应对策略：

确保所有关键系统具备审计追踪（Audit Trail）功能
实施用户权限分级管理（最小权限原则）
禁止共用账号
定期审查审计追踪记录

十九、YY/T 0287与ISO 13485的关系

19.1 YY/T 0287-2017概述

YY/T 0287-2017《医疗器械质量管理体系用于法规的要求》是中国国家药品监督管理局（NMPA）发布的推荐性行业标准，是对ISO 13485:2016的等同采用（IDT，Identical）。这意味着YY/T 0287-2017在技术内容上与ISO 13485:2016完全一致，仅在前言和引言部分增加了中国国情相关的说明。

标准对照关系：

YY/T 0287版本	对应ISO 13485版本	采用方式	发布时间
YY/T 0287-2003	ISO 13485:2003	IDT（等同采用）	2003年
YY/T 0287-2017	ISO 13485:2016	IDT（等同采用）	2017年

19.2 YY/T 0287与ISO 13485的异同

技术内容：完全一致。YY/T 0287-2017的条款编号、条款内容、附录与ISO 13485:2016逐字对应（中文翻译版本）。企业如果已经按照ISO 13485:2016建立了质量管理体系，在技术层面上自动满足YY/T 0287-2017的要求。

法规定位的差异：

维度	YY/T 0287-2017	ISO 13485:2016
标准性质	中国推荐性行业标准（YY/T前缀表示推荐性）	国际标准
法规引用	被《医疗器械生产质量管理规范》（GMP）部分引用	被MDR、QMSR、MDSAP等直接引用
认证体系	不单独认证；通过NMPA的GMP检查来验证合规性	由认证机构（如TUV、BSI、SGS）进行第三方认证
强制性	推荐性标准，但通过GMP法规间接强制	通过各国法规间接强制
国际认可	仅在中国体系内认可	全球认可

19.3 中国GMP与ISO 13485的关系

中国的《医疗器械生产质量管理规范》（简称"医疗器械GMP"）于2014年发布（2015年3月1日起施行），它借鉴了ISO 13485的框架，但增加了中国特有的法规要求。

中国GMP与ISO 13485的差异要点：

领域	中国GMP特殊要求	ISO 13485对应
厂房设施	有明确的洁净室面积和分区要求（参照《医疗器械洁净室（区）设置规范》）	仅要求"适宜的工作环境"
人员	管理者代表必须是企业负责人之一；质量负责人有学历和从业年限要求	管理者代表无特定资质要求
采购	对供应商审核有更具体的频率和方式要求	框架性要求，具体方式由企业确定
生产管理	对批生产记录有更详细的内容要求	要求保留记录但格式灵活
体外诊断试剂	有专门的IVD GMP附录，对原材料、参考品管理有特殊要求	统一框架，无IVD专门条款
植入性器械	有专门的植入物GMP附录，可追溯性要求更具体	可追溯性要求较原则性

19.4 高效维持双重合规的策略

对于既需要通过NMPA的GMP检查又需要获得ISO 13485国际认证的中国出海企业，以下策略可以避免维护两套体系的负担：

策略一：以ISO 13485为基础，叠加中国GMP差异要求

这是最推荐的做法。具体步骤：

基础体系：按ISO 13485:2016建立完整的质量管理体系
差距识别：对照中国GMP的特殊要求，识别ISO 13485未覆盖的差异点
补充文件：针对差异点编写补充程序或作业指导书（如洁净室管理规范、人员资质管理规定等）
统一管理：在质量手册中说明体系同时满足ISO 13485和中国GMP的要求，并在程序文件中标注特定于中国法规的条款

策略二：利用审核协同

将NMPA的GMP飞行检查和ISO 13485认证机构的监督审核时间错开安排，确保全年体系都在有效运行状态
将ISO 13485外审发现的不符合项纳入NMPA迎审准备的改进清单
将NMPA飞行检查的发现作为ISO 13485内审的输入

策略三：人员能力融合

培训质量团队同时理解ISO 13485和中国GMP的要求
内审员应具备两套法规的审核能力
管理评审中同时评审两套法规的合规状态

二十、中国医疗器械企业出海案例

以下案例基于真实企业经历整理，为保护商业机密，已进行匿名化处理。

案例一：IVD试剂企业通过ISO 13485进入欧盟市场

企业背景：

规模：约80人，年营收约8,000万元人民币
产品：免疫诊断试剂（传染病检测系列）
出海前状态：已取得NMPA二类注册证，通过国内GMP检查，但无ISO 13485认证

挑战：

质量体系文件全部为中文，无英文版本
设计控制流程不完善，研发团队习惯"做完再补文件"
IVD试剂的稳定性研究和性能评估方法与欧盟IVDR要求有差距
质量团队缺乏国际法规经验

实施过程：

差距分析（2个月）：聘请具有欧盟NB审核经验的外部顾问进行差距评估，识别出23项主要差距
体系升级（6个月）：重建设计控制流程，补充英文版质量手册和核心程序文件，建立符合IVDR要求的性能评估流程
软件系统部署（3个月）：引入Qualio作为电子QMS，替代原有的纸质+Excel管理模式
试运行和内审（4个月）：按新体系运行4个月，完成两轮内审和一次管理评审
认证审核（3个月）：选择SGS作为认证机构。Stage 1发现5项一般不符合，整改后通过Stage 2（2项一般不符合，在监督审核前关闭）

关键成功因素：

总经理亲自担任QMS实施小组组长，资源投入有保障
提前将质量团队负责人送往欧洲参加IVDR法规培训
在设计控制流程中引入"设计输入检查清单"，强制要求覆盖目标市场法规要求

成果：获得ISO 13485认证后6个月内，成功通过NB的IVDR技术文件评审，获得首个CE-IVDR证书。首年欧盟市场销售额达到1,200万元人民币。

案例二：大型影像设备制造商的全球化质量体系

企业背景：

规模：约2,000人，年营收约15亿元人民币
产品：DR（数字X射线摄影系统）、CT、超声设备
出海前状态：已有ISO 13485认证（通过TUV SUD），已取得部分产品的CE标志和FDA 510(k)清除

挑战：

多产品线、多场地（3个生产基地+2个研发中心），体系复杂度高
不同产品线的质量管理成熟度差异大
需要同时满足FDA QMSR、EU MDR和中国GMP三套法规体系
海外售后服务（安装、维修、培训）的质量管理覆盖不足

实施过程：

统一质量平台：投资部署MasterControl作为集团统一的QMS平台，实现文件管理、CAPA、培训、变更控制的标准化
法规矩阵：建立涵盖ISO 13485、FDA QMSR、EU MDR和中国GMP的法规要求矩阵，在每份程序文件中标注各法规的差异要求
分级管理：按产品风险分类制定差异化的设计控制深度——III类产品执行完整的设计控制流程，II类产品适度简化
MDSAP准备：选择BSI作为MDSAP审核组织，通过一次审核同时覆盖美国、加拿大、巴西、澳大利亚和日本五国要求
海外服务体系：将海外服务站点（欧洲、北美、东南亚）纳入QMS范围，建立远程服务质量监控机制

关键成功因素：

设立独立的全球质量合规部门，直接向CEO汇报
将法规合规指标（如CAPA关闭及时率、投诉处理时效）纳入各产品线负责人的KPI
建立内部法规情报团队，持续跟踪全球法规变化

成果：成功通过MDSAP审核（仅3项一般不符合），获得覆盖五国的统一QMS认可。年度审核成本降低约40%（相比分别接受各国审核）。海外市场营收占比从15%提升至35%。

案例三：手术器械企业通过MDSAP加速多市场准入

企业背景：

规模：约200人，年营收约3亿元人民币
产品：微创手术器械（腔镜器械、能量平台）
出海前状态：已有ISO 13485认证，已取得部分产品的CE标志，正在申请FDA 510(k)

挑战：

同时面向美国、加拿大、巴西、澳大利亚四个新市场，每个市场都有独立的QMS审核要求
如果分别接受各国审核，不仅费用高昂，而且审核排期冲突严重
手术器械的灭菌过程验证和生物相容性评价文件需要满足多国标准
巴西ANVISA和日本PMDA对标签和说明书有特殊的语言和内容要求

实施过程：

MDSAP差距分析（3个月）：对照MDSAP审核模式（AU MDSAP P0002），识别现有体系与五国要求的差距
重点整改（6个月）：
- 投诉处理流程升级：增加针对美国MDR、加拿大强制问题报告、巴西ANVISA技术投诉报告的分支流程
- 灭菌验证文件补充：确保EtO灭菌验证同时满足ISO 11135和FDA的要求
- 标签管理：建立多语言标签管理流程，确保各市场标签合规
审核组织选择：选择BSI作为MDSAP认可审核组织
审核实施：Stage 2审核持续6天（2名审核员×3天），覆盖五国要求

关键成功因素：

在整改阶段邀请认证机构进行预审核（Pre-Assessment），提前发现潜在不符合
建立"法规差异矩阵"数据库，将五国在投诉处理、不良事件报告、标签要求等方面的差异可视化
灭菌验证采用"最严标准"策略——按照最严格的法规要求（通常是FDA）进行验证，确保同时满足其他国家要求

成果：一次审核通过MDSAP认证（4项一般不符合，全部在3个月内关闭）。相比分别申请各国QMS审核，节省审核费用约60万元人民币，节省管理层和质量团队约120个工作日。获得MDSAP证书后，巴西ANVISA注册周期从预期的18个月缩短至8个月（因ANVISA认可MDSAP审核结果，免除了单独的GMP现场审核）。

二十一、ISO 13485与关键配套标准的深度整合

第八章概述了各配套标准与ISO 13485的关系。本章将深入探讨如何在实操层面实现标准之间的无缝整合，避免"各自为政"导致的重复工作和体系割裂。

21.1 与ISO 14971（风险管理）的深度整合

ISO 14971不应被视为一个独立运行的"风险管理体系"，而应嵌入到ISO 13485的各个过程中。

整合要点：

ISO 13485条款	风险管理整合方式	实操做法
7.1 产品实现策划	在质量计划中纳入风险管理计划	每个新产品项目启动时同步启动风险管理文件
7.3.2 设计输入	风险分析结果作为设计输入	将初步危害分析（PHA）的输出转化为设计需求
7.3.3 设计输出	设计输出应体现风险控制措施	在产品规格中明确标注来源于风险控制的要求
7.3.5 设计验证	验证风险控制措施的有效性	设计验证测试计划应覆盖所有风险控制措施的验证
7.3.6 设计确认	确认剩余风险的可接受性	临床评价/模拟使用测试中评估剩余风险
7.3.9 设计变更	变更时重新评估风险	设计变更评审检查清单中包含风险影响评估
7.4.1 采购	供应商风险评估	基于供应商对产品安全的影响程度进行分级
7.5.6 过程验证	基于风险确定需验证的过程	使用过程FMEA识别关键过程和参数
8.2.1 反馈/PMS	生产和生产后信息反馈到风险管理	投诉和不良事件数据定期更新风险管理文件

常见错误：许多企业的风险管理文件在产品上市后就"冻结"了，不再更新。ISO 14971:2019明确要求在产品全生命周期中持续收集和评审生产后信息，并在必要时更新风险管理文件。

实操建议：在管理评审中增加"风险管理文件更新状态"作为常规议题，确保每年至少评审一次每个产品的风险管理文件是否需要基于上市后数据进行更新。

21.2 与IEC 62304（软件生命周期）的深度整合

对于包含软件的医疗器械或独立医疗器械软件（SaMD），IEC 62304的软件生命周期过程应作为ISO 13485条款7.3（设计和开发）的子过程来实施。

设计控制与软件生命周期的映射：

ISO 13485设计控制	IEC 62304对应活动	整合输出物
7.3.1 设计策划	软件开发策划	统一的产品开发计划（包含软件开发子计划）
7.3.2 设计输入	软件需求分析	系统需求→软件需求的追溯矩阵
7.3.3 设计输出	软件架构设计+详细设计	软件架构文档、软件详细设计文档
7.3.4 设计评审	软件里程碑评审	统一的设计评审记录（覆盖硬件+软件）
7.3.5 设计验证	软件验证（单元测试、集成测试、系统测试）	统一的验证报告（含软件测试报告）
7.3.6 设计确认	软件确认（用户验收测试）	统一的确认报告
7.3.9 设计变更	软件变更管理	变更控制记录（含软件变更影响分析）

软件安全分类与设计控制深度：

企业应在项目初期就确定软件安全分类（A/B/C类），并据此调整设计控制活动的深度：

A类软件：可简化设计文件，但仍需基本的需求、测试和配置管理
B类软件：需要完整的架构设计和集成测试
C类软件：需要详细设计、单元测试、集成测试和系统测试的完整覆盖

SOUP（未知来源软件）管理：

IEC 62304要求识别和管理所有SOUP组件（包括开源库、第三方SDK、操作系统等）。这与ISO 13485的供应商管理（条款7.4）形成整合：

SOUP清单应纳入产品的BOM管理
每个SOUP组件应有风险评估记录
SOUP的版本更新应纳入变更控制流程
关键SOUP组件的供应商应按ISO 13485的供应商管理要求进行评价

21.3 与ISO 10993（生物相容性）的深度整合

生物相容性评价是设计验证（条款7.3.5）的关键组成部分，但其整合不应仅限于"做一组测试"。

整合流程：

设计输入阶段：确定材料接触特性（接触性质、接触时间、接触部位），这将决定需要进行的生物相容性评价项目
材料选择阶段：基于ISO 10993-1的要求进行生物学评价策划——首先考虑材料化学表征和现有数据的充分性，再决定是否需要额外测试
设计验证阶段：执行生物相容性测试，确保测试方案与生物学评价策划一致
设计变更阶段：任何涉及材料变更（包括供应商变更、配方调整、加工工艺变更）的设计变更，都必须重新评估生物相容性影响

与供应商管理的整合：

关键生物材料供应商的管理应特别关注：

要求供应商提供材料成分的完整披露（包括添加剂、着色剂、脱模剂等）
在质量协议中明确：供应商不得在未通知的情况下变更材料成分或生产工艺
对材料变更建立自动触发机制——供应商通知材料变更时，自动启动生物相容性重新评估流程

常见审核发现：企业在初始注册时完成了生物相容性测试，但在后续的材料供应商变更或制造工艺调整后未重新评估生物相容性。审核员会通过追溯设计变更记录来检查这一点。

21.4 21 CFR 820 → QMSR转型的实操整合

第十二章已详细介绍了ISO 13485与FDA QMSR的映射关系。本节聚焦于企业在转型过程中如何实现体系整合的具体操作。

转型路径选择：

企业现状	推荐转型路径	预计工作量
已有ISO 13485认证，未进入美国市场	在现有体系上叠加QMSR补充要求（820.35系列）	2-3个月
仅有21 CFR 820体系，无ISO 13485	重新按ISO 13485框架搭建体系，整合FDA补充要求	6-12个月
同时持有ISO 13485和21 CFR 820合规体系	以ISO 13485为基础合并，消除重复文件	3-6个月

QMSR补充要求的文件化整合方式：

不建议为QMSR单独建立一套文件。最佳做法是在现有ISO 13485程序文件中增加"FDA特定要求"标注。例如：

投诉处理程序：增加"FDA MDR评估"章节，明确每个投诉必须评估是否构成MDR报告事件
内部审核程序：增加说明——"审核记录应准备好接受FDA检查员审查"
CAPA程序：强调CAPA有效性验证的深度，增加FDA对CAPA的具体预期
供应商管理程序：增加820.35(f)对供应商控制的额外要求

关键合规时间节点：

2026年2月2日：QMSR正式生效。所有FDA监管的医疗器械制造商必须符合QMSR要求
2026年2月2日起的FDA检查将按照QMSR（而非旧QSR）进行评估
已有ISO 13485认证的企业具有先发优势，但仍需确保820.35系列补充要求的合规性

合规自检清单：

质量手册是否引用了ISO 13485:2016，并说明体系同时满足QMSR要求
投诉处理程序是否包含MDR报告评估步骤
内审记录和管审记录是否完整且可接受FDA检查
设计历史文件（DHF）概念是否在设计控制程序中体现
器械主记录（DMR）概念是否在生产控制程序中体现
UDI管理程序是否已建立，GUDID注册是否已完成
CAPA有效性验证是否有明确的时间窗口和判定标准
供应商控制程序是否满足820.35(f)的额外要求

ISO 13485认证不是终点，而是起点。对于中国医疗器械企业出海而言，一套真正运行的质量管理体系是产品安全、合规和商业成功的基础。希望本指南能帮助企业在ISO 13485认证之路上少走弯路，建立一套既合规又高效的质量管理体系。如需针对您企业的具体情况获取个性化建议，欢迎通过本站AI助手或联系我们进行咨询。

常见问题（FAQ）

ISO 13485认证的有效期是多久？

ISO 13485认证证书的有效期为3年。在3年有效期内，认证机构每年会进行一次监督审核（Surveillance Audit），以验证质量管理体系的持续有效运行。3年期满后需进行再认证审核（Re-certification Audit），通过后颁发新的3年期证书。如果监督审核发现重大不符合项且未在规定时间内整改，证书可能被暂停或撤销。

ISO 13485与ISO 9001有什么区别？

虽然ISO 13485源于ISO 9001框架，但两者有显著差异。ISO 13485是专门针对医疗器械行业的质量管理体系标准，包含大量医疗器械特有要求，如设计控制（Design Control）、风险管理（ISO 14971整合）、可追溯性、产品清洁和无菌要求、植入器械记录保留、客户投诉处理和警戒报告等。ISO 13485强调法规合规性而非持续改进（ISO 9001的核心理念），且对文件化要求更加严格。持有ISO 9001认证不能替代ISO 13485认证。

获得ISO 13485认证需要多长时间？

从零开始建立体系到获得认证，通常需要12-18个月。其中体系文件编写和搭建约需3-6个月，体系运行和记录积累至少需要3-6个月（审核机构通常要求至少有一次完整的内审和管理评审记录），认证审核本身（一阶段文件审核 + 二阶段现场审核）需要2-3个月。如果企业已有ISO 9001体系基础，时间可缩短至8-12个月。

ISO 13485认证是否等同于CE标志？

不等同。ISO 13485是质量管理体系（QMS）认证，证明企业的质量管理体系符合标准要求。CE标志则是产品层面的合规标志，除了QMS审核外，还需要产品技术文件评审、临床评价、风险管理、标签合规等多个环节。ISO 13485认证是获取CE标志的必要条件之一，但不是充分条件。企业需要在ISO 13485认证的基础上，完成产品层面的全部合规工作才能加贴CE标志。

FDA的QMSR生效后，ISO 13485对进入美国市场有何影响？

2026年2月2日起，FDA的质量管理体系法规（QMSR）正式生效，直接引用ISO 13485:2016作为质量体系框架，取代了此前的21 CFR Part 820 QSR。这意味着已持有ISO 13485认证的企业在满足美国市场QMS要求方面具有先发优势。但企业仍需注意QMSR中的FDA特定补充要求（820.35系列），包括投诉处理中的MDR报告评估、设计历史文件（DHF）、器械主记录（DMR）、UDI管理等方面的额外要求。

小型企业是否可以裁剪ISO 13485的要求？

可以进行合理裁剪，但不能缺失关键要素。ISO 13485允许企业根据自身规模、产品特点和所承担的质量管理体系角色，对部分条款进行合理排除。例如，仅从事销售的企业可以排除设计开发相关条款（第7.3条）；不涉及灭菌过程的企业可以排除相关条款。但必须在质量手册中明确说明排除的条款及其合理理由。核心条款（如管理职责、文件控制、纠正预防措施等）不可排除。

选择认证机构时应考虑哪些因素？

选择认证机构应考虑以下关键因素：一是资质认可范围，确认认证机构是否获得IAF成员认可机构的认可，且认可范围覆盖医疗器械行业（IAF Code 14）；二是目标市场认可度，如欧盟公告机构（NB）颁发的证书在CE认证中直接有效，MDSAP认可的审核机构（AO）的审核结果被五国认可；三是审核员专业经验，是否有相关产品领域的审核经验；四是服务能力，包括是否提供中文审核、在中国是否有办事处等；五是费用和排期。