MDR和 ISO 13485:2016 与FDA 一样，对供应商评估、供应商选择和供应商管理提出了明确要求。

 

1.供应商管理的基本原则

 

a)供应商及交付的产品和服务举例

 

一旦制造商停止自行研发，开始购买，就需要对供应商进行评估。外部提供的产品和服务举例如下：

 

-产品开发

 

您订购整个产品的开发。如果该产品是医疗器械，则属于特殊情况。

 

-部件开发

 

您需要开发产品的一部分。如果该部件或组件是医疗器械的一部分，也属于特殊情况。

 

-部件采购（"目录货物"）

 

您使用的是 "现成"产品，即您的产品或医疗器械中已有的产品。

 

-工具购买或租用

 

您购买或租用作为工具的产品。这包括作为服务的外部软件，例如销售部门的软件。

 

-IT 服务

 

您使用服务器托管和云服务等 IT 服务。在此，有必要确定该服务是否属于产品或服务的一部分。

 

b)供应商选择、供应商评估、供应商管理

 

首先，制造商应制定评估供应商的标准。然后进行供应商评估。根据供应商评估结果，选择最合适的供应商（供应商选择）。

 

制造商对供应商进行持续管理，例如在供应商审核范围内，并定期对供应商进行评估，例如根据审核结果以及所交付产品和服务的质量进行评估。

 

2.供应商管理的法规要求

 

a) MDR

 

质量管理体系要求

 

MDR明确规定，质量管理必须规范 "供应商和分包商的选择和控制"（第 10 (9) d.条）。公告机构必须检查这一点是否真正做到。

 

供应商审核

 

公告机构必须决定是否有必要对特定的供应商或分包商进行审核（附件 VII 4.5.2.a，附录 IX 2.3 和3.3）。如果需要，即使是供应商（"分包商"）也必须接受突击审核--"至少每五年一次"（附录IX 3.4）。

 

公告机构有义务从供应商（"分包商"）处抽取文件样本，特别是当交付的部件对产品的合格性有影响，且制造商无法证明对其供应商有足够的控制时（附录 VII 4.5.2）。

 

产品文件要求

 

制造商必须说明哪些供应商和分包商参与了开发和生产（见附录 II，3.c.）。

 

b) ISO 13485:2016 和 ISO 9001:2015

 

ISO 9001:2015 和 ISO 13485:2016 对产品和服务外部供应商的选择和评估（供应商选择、供应商评估和供应商评价）提出了具体要求。制造商必须：

 

-为提供商/供应商制定标准（标准示例如下）

 

-根据这些标准评估提供商/供应商

 

-根据这些标准选择提供商/供应商

 

-根据这些标准管理供应商

 

除供应商外，管理要求还分别涉及产品和服务。制造商必须：

 

-制定采购产品的规格

 

-向提供商/供应商提供必要的书面信息

 

-确定用于测试交付产品的程序*、流程和工具

 

-根据这些规范测试产品。

 

ISO 13485 增加了医疗器械特有的内容，如：

 

-监管要求

 

-分析所购产品/服务对医疗器械安全和性能的影响

 

-医疗器械通常承担的风险（无论购买何种产品）

 

c) ZLG 要求

 

您可以在 ZLG 文件（如3.9 B16 和 3.9 B 17）中找到有关供应商评估的更多要求。

 

3.评估供应商

 

你不应该在每一个新案例中都决定如何选择和评估供应商，但你应该制定一个选择和评估供应商的程序规范。为了满足上述要求，该程序规范必须确定选择和评估供应商的标准和方法。

 

a)第 1 步：制定标准

 

在实施选择和评估供应商的措施时，可考虑的标准包括：

 

-供应商是否开发医疗器械或其零部件？

 

-供应商提供的服务是否构成贵方服务的一部分？例如，托管服务提供商为您提供软件服务。

 

-供应商是否通过 ISO 13485认证？

 

-制造商对供应商的依赖程度如何？是否有替代供应商、产品或程序？

 

-在遵守交货期限和产品质量方面，您是否有与供应商合作的经验？

 

-通过谷歌搜索，将供应商与 "问题"或 "不可靠"等词联系起来，往往能获得新的见解。产品评论也会有所帮助。

 

-产品或服务是否对业务至关重要？

 

-不符合要求是否会导致违法、数据安全泄露、公司机密泄露、声誉受损或财务赤字？

 

如果交付的产品是软件或包含软件，则在对供应商进行评估时需要考虑更多标准：

 

-该软件属于哪个安全等级？

 

-是 SOUP 还是OTS？

 

-软件本身是否包含 SOUP？

 

-软件是工具还是产品的一部分？

 

-是采购、雇用还是开发？

 

b)第 2 步：列出供应商评估措施

 

无论标准如何，都要采取以下一项或多项措施：

 

-签订质量保证协议（是/否）

 

-调整质量保证协议的内容

 

供应商必须达到的标准

 

供应商必须遵守的程序规范清单

 

供应商提供的员工数量和资格

 

供应商同意接受供应商审核，包括审核范围和频率

 

-将潜在供应商限定为通过 ISO 13485认证的供应商（是/否）

 

-检查进货

 

频率、抽样

 

方法，如附加测试、目视检查

 

-向供应商提供的文件类型和范围，例如：

 

产品规格

 

验收标准

 

项目规格，如时间和预算

 

质量保证协议（见上文）

 

c)第 3 步：关联措施和标准

 

您肯定不会对每个供应商都采用上述方法和标准。对固定供应商进行审核意义不大。但是，如果您的供应商为您的医疗器械编写软件，且未通过 ISO 13485认证，您就有责任安排对供应商进行审核。

 

因此，在最后一步中，您要确定要实施哪些供应商评估措施，以及根据哪些标准进行评估。由于规章制度很快就会变得混乱，您可以将这些措施归类，并规定不同类型的供应商。

 

例如，可以设立一个 "高度关键供应商"类别，与这些供应商签订质量保证协议，并允许对其进行审核、全面的进货检查和具有一定资质水平的人员。

 

您可以用表格、文字或流程图的形式列出这些供应商评估规则。

 

4.供应商审核

 

如上所述，供应商审核是制造商在供应商持续管理和评估范围内采取的措施之一。

 

是否以及何时对供应商进行审核，取决于所交付产品和服务的关键程度，以及供应商是否拥有自己的质量管理体系。

 

a)供应商审核：如果供应商没有自己的质量管理体系

 

在这种情况下，制造商宣布自己的质量管理体系及其规则对供应商具有约束力。

 

制造商必须通过供应商审核来检查供应商是否遵守这些规定。例如，在审核范围内，生产商要检查供应商是否按照生产商的规定进行开发或生产。这些审核应至少每年进行一次。

 

制造商也要接受审核。根据 ISO 13485的规定，公告机构的这些审核也必须延伸到供应商，这意味着审核员有可能对供应商进行访问。

 

由于部件制造商和开发服务提供商本身并不将任何医疗器械投入流通，因此他们不需要接受公告机构的任何审核。他们通常只允许这样做，以满足其客户（即制造商）的要求。

 

b)用质量管理体系代替供应商审核

 

为了防止对供应商的审核失控，许多制造商更倾向于选择拥有自己质量管理体系的供应商。在这种情况下，公告机构对制造商的审核仅限于文件检查。

 

在选择供应商时，医疗器械制造商首先要选择通过 ISO 13485认证的公司，而不仅仅是通过 ISO 9001 认证的公司。

 

不过，即使是这类公司，也建议对供应商进行额外审核。此类审核必须作为医疗器械制造商与供应商之间合同的一部分来执行。

 

c)哪些公司可以不接受供应商审核？

 

合格评定程序涉及医疗器械的开发和生产。这意味着，只要制造商为其医疗器械开发或生产了部件，这些工作步骤就可能要接受供应商审核。

 

对于不是专门为医疗器械开发或生产的部件，如监视器、电源适配器或现成的软件组件，情况则不同。在这种情况下，制造商将在风险管理范围内确保这些 "外购部件"（"目录商品"）不会导致任何不可接受的风险。在这种情况下，将不对供应商进行审核（或不允许进行审核）。

 

a)供应商评估和选择

 

制造商在委托供应商之前必须对其进行评估和选择。这种选择必须基于明确的标准。

 

对供应商的控制，特别是对供应商的监控，是一个持续的过程。

 

这些标准的选择和控制的强度必须以风险为基础。

 

b)供应商审核

 

供应商审核是在自己的部分任务（如开发）已经外包的公司进行的。在这里，我们经常提到 "扩展工作台"。审核必须按照制造商的质量管理体系（ISO 13485）进行。

 

制造商（经销商）只有在开发合作伙伴拥有自己的 ISO 13485质量管理体系并向制造商提交产品的相应文件时，才能免于审核。这同样适用于公告机构的审核。

 

c)结论

 

制造商越来越多地将开发和生产等任务全部或部分外包。法规明确规定，这样做不能将这些任务从质量管理体系中撤出。因此，如有必要，公告机构也有义务对供应商进行检查，在某些情况下还可以进行突击审核。

 

因此，制造商最好选择并监督他们能保证质量管理一致的制造商，从而保证产品的合格性和安全性。

来源：MDR小能手

关键词： 医疗器械