FDA QMSR质量管理体系将于2026年2月2日生效，这既带来了重大挑战，也蕴含着深远机遇。倍力医疗就会通过几期连载文章，上期文章请见（QMSR 深度解析 1-解构QSR 820 常见不符合项和与QMSR相关性）拆解过去的QSR，剖析新QMSR及其基础标准ISO 13485:2016的架构，供广大制造商参考了解。

 

QMSR 的结构与核心原则

法律机制：引用纳入

QMSR 的核心机制是“引用纳入”。这是一种法律工具，允许联邦机构将私营部门制定的标准（如ISO 标准）作为其法规的强制性组成部分。这一机制对FDA 而言并非新鲜事物，但将其应用于整个医疗器械质量管理体系框架，标志着一个重要的战略步骤。这对医疗器械制造商具有深远影响：

· ISO 13485 现为法律：对于美国医疗器械监管而言，ISO 13485:2016 中的要求不再仅仅是“最佳实践”或满足其他国家要求的标准，而是FDA 可强制执行的法律要求。1 未能遵守ISO 13485:2016 的适用条款即构成对QMSR 的不符合。

· 标准是必备文件：制造商必须拥有并积极使用ISO 13485:2016 和ISO 9000:2015 的官方文本（特别是包含应用ISO 13485 所必需的术语和定义的第3 条款）作为其法规符合性图书馆的组成部分。FDA已指出，这些标准的只读版本可通过ANSI IBR门户向公众提供。

· 动态引用：美国食品药品监督管理局（FDA）已将ISO 13485:2016的特定版本纳入其标准。若未来ISO 13485标准发生修订，FDA需通过进一步的法规制定程序，将新版本纳入质量管理体系要求（QMSR）。此静态引用意味着，即使企业为其他国际市场采用ISO 13485的最新版本，其质量管理体系（QMS）仍需明确证明符合2016年版本的要求，直至FDA正式更新QMSR。若FDA的法规制定显著滞后于未来ISO修订，这可能重新引入一定程度的差异。

通过引用方式纳入ISO 13485使该标准直接接受FDA调查人员的审核。因此，FDA人员需具备与此前QSR审核经验相当的ISO 13485专业能力。同时，制造商的内部审核程序需重新校准以评估对ISO 13485条款的符合性，且组织内所有相关人员需对该标准有全面理解。

FDA已表示将制定与QMSR相适应的新检查流程并相应培训人员。需特别注意，FDA不会因检查结果而颁发ISO 13485:2016符合性证书，且持有ISO 13485证书的制造商亦不会免于FDA检查。

定义的层次结构

在定义重叠或冲突的情况下，确定应使用哪个定义对于合规性至关重要。FDA已建立了一个清晰的三级层次结构：

 第一层：联邦食品、药品和化妆品（FD&C）法案：法案中的法定定义始终具有优先权。例如，该法案第201节对“设备”的定义是最终权威。

第二层：QMSR 21 CFR 820.3(b)：QMSR本身包含一组定义。这些定义有两个作用：取代ISO定义： 当FDA希望维持其特定解释时，会提供自己的定义以取代ISO 13485或ISO 9000中的定义。例如“制造商”和“返工”。FDA对“制造商”的定义比ISO中“组织”的概念更为广泛，明确包括合同灭菌商、重新包装商和规格制定者等实体。提供FDA特定术语：QMSR 添加了ISO 标准中未包含但适用于美国监管环境的术语。这些包括“组件”、“成品设备”、“再制造商”以及“作为设备监管的人体细胞、组织或细胞/组织基产品（HCT/P）”。

第三层：ISO 13485:2016 和ISO 9000:2015： 若某术语未在《联邦食品、药品和化妆品法》（FD&C Act）或QMSR本身中定义，则适用所引用标准中的定义。值得注意的是，FDA已采纳ISO术语“最高管理层”（取代“具有执行责任的管理层”）和“安全与性能”（而非在此语境下的“安全与有效性”）

这种分层结构是FDA的保障措施，使该机构能够在与国际标准协调的同时，确保其法定权限和特定的美国监管优先事项得到维护。这种分层结构的精心设计体现了一种有意的策略：在与美国法律和公共卫生目标一致的情况下采用全球标准，但对美国监管实践中至关重要的术语保持严格控制。这并非对ISO术语的全面采纳，而是有针对性的整合。在QMSR §820.3中明确界定“再制造商”或详细说明“作为医疗器械监管的HCT/P”的适用范围，是因为这些概念是美国特有的监管概念，未在更广泛的ISO 13485框架中以相同方式规定或定义。

制造商的合规团队必须对这些定义进行细致分析，并确保其质量管理体系（QMS）文件（包括程序和手册）始终一致地反映正确的定义，并在适用时采用美国定义。对定义的误解可能导致严重的合规漏洞。

 

 

新版QMSR各条款逐条解析

新版21 CFR第820部分大幅精简。让我们逐一分析其关键条款：

· § 820.1 适用范围：本条款明确了法规的适用范围。FDA明确表示，该条款与之前的QSR“实质上相同”，适用于成品医疗器械制造商。

· § 820.3 定义： 本节引入了定义层次结构，并列出了取代或补充ISO 标准的FDA 特定定义。

· § 820.7 引用纳入： 这是关键条款，法律上将ISO 13485:2016 和ISO 9000:2015（第3 条款）纳入本法规。

· § 820.10 质量管理体系要求：这是广泛的高层级章节。它要求制造商建立并维持符合第820部分要求的质量管理体系（QMS）。由于第820部分现已纳入ISO 13485，这实际上意味着建立符合ISO 13485要求的质量管理体系，并结合其他QMSR章节的修改内容。

· § 820.35 记录控制：这是关键的“ISO 13485 扩展”条款之一。它在ISO 13485（第4.2.5 条）的记录控制要求基础上，增加了FDA 的具体要求。我们将在下一部分中详细探讨这些要求。

· § 820.45 设备标签和包装控制： 这是另一个关键的“ISO 13485-plus”条款，保留了FDA 认为比ISO 13485 更严格的标签检查要求。相关内容将在第四部分中分析。

QMSR 还包含若干标记为“保留”的条款。这使FDA 可通过未来规则制定新增要求，而无需对法规进行全面修订。

核心要义：深入解析ISO 13485

尽管ISO 13485中包含了QSR中的许多概念，但国际标准在流程之间的关联性、风险管理在质量管理体系中的全面融入，以及数据在持续改进中的系统性应用方面更为明确。下表是QSR和13485的对应的表格

 

 

QMSR：将风险管理融入质量管理体系

在QSR中，风险管理仅在§ 820.30(g)设计验证中被明确提及，该条款规定：“设计验证应包括……在适当情况下进行风险分析。” 尽管谨慎的制造商更广泛地应用风险管理，但法规本身将其定位为设计过程的组成部分。这常常导致一种“孤岛式”方法，即风险管理由研发或工程团队执行，记录在风险分析报告中，随后主要归档于设计历史文件中。

QMSR打破了这一孤岛。ISO 13485将风险管理融入质量管理体系的架构中。该标准要求组织“在产品实现的整个过程中计划和实施风险管理活动”（第7.1条）。更深层次的是，它要求采用“基于风险的方法来控制质量管理体系所需的适当过程”（第4.1.2b条）。这一双重要求意味着制造商现在必须管理两种相互关联的风险类型：

1. 产品风险：与医疗器械本身相关的风险——对患者、使用者或环境造成伤害的风险。这是传统风险管理的重点，主要通过应用专门的风险管理标准ISO 14971的原则来解决。

2. 过程风险（或质量管理体系风险）：质量管理体系内部过程可能失败或无效，从而影响产品品质或符合性要求的风险。例如，供应商评估过程未能识别关键供应商问题的风险有多大？变更控制过程允许未经验证的变更被实施的风险有多大？

这一第二类风险，即质量管理体系（QMS）过程风险，对于此前仅依据质量体系法规（QSR）运行的组织而言，代表着一个全新的重要关注点。它要求组织在思维方式上发生根本性转变，不再局限于对设备本身的评估，而是要对确保其质量与安全的设计系统进行批判性评估，以验证其robustness（稳健性）。

这种转变意味着质量保证不再仅仅是事后确认符合规格，而是要主动识别并缓解产品及其创建和管理过程中潜在的故障，在这些故障导致不良后果之前。ISO 13485第4.1.2(b)条款中明确要求的基于风险的质量管理体系（QMS）流程，可视为对历史QSR缺陷的直接经验教训。此前，关键QMS流程（如纠正措施与预防措施或供应商控制）的失效曾是产品问题和召回事件的重要诱因。通过将风险管理应用于这些QMS流程本身，其目的是使这些基础系统从根本上更加稳健和可靠。

 

实施ISO 14971框架

虽然ISO 13485要求在产品实现全过程及质量管理体系（QMS）过程中实施风险管理，但并未详细说明如何开展与产品相关的风险管理。为此，该标准引用了其配套标准ISO 14971:2019《医疗器械——医疗器械的风险管理应用》。该标准提供了国际公认的“操作指南”，用于管理产品风险。为了符合QMSR要求，有效实施ISO 14971流程至关重要。需要特别注意的是，ISO 14971旨在帮助制造商识别危害、估算和评估相关风险、控制这些风险，并在设备生命周期的所有阶段监控控制措施的有效性。

ISO 14971 过程的关键组成部分

ISO 14971 过程是一个系统性、迭代的循环，而非线性的一次性活动。它必须贯穿整个医疗器械生命周期，从初始概念到设计与开发、生产以及生产后活动。

· 风险管理计划： 对于每个医疗器械或医疗器械系列，风险管理流程始于一份文档化的风险管理计划。该计划明确风险管理活动的范围，分配职责和权限，建立风险可接受性标准（组织风险政策或风险偏好，必须在计划中明确定义），概述评估总体残余风险的方法，并指定需收集和审查的生产及生产后信息。提前定义风险可接受性标准迫使组织做出有意识的、有文件记录的政策决策，明确可接受的风险水平，从而促进一致性和客观性，而非临时性判断。

· 风险分析：这是识别危险和估算风险的阶段。制造商必须系统地识别与设备在正常和故障条件下相关的已知和可预见的危险（潜在危害源），考虑其预期用途和合理可预见的误用。ISO 14971:2019中对“危害”的定义是“对人员健康、财产或环境的伤害或损害”，这比单纯的物理伤害更为广泛。对于每个危险，团队必须识别可能导致危险情况（即人员、财产或环境暴露于一个或多个危险的状况）的可预见事件序列，进而可能导致危害。考虑“合理可预见的误用”的要求需要对用户行为和潜在使用错误有深入理解，并与可用性工程（通常遵循IEC 62366-1）紧密关联。

· 风险估算：对于每个已识别的危险情况，制造商必须估算其关联风险。风险被定义为危害发生概率与危害严重程度的结合。这通常涉及为概率（例如：频繁、可能、偶尔、遥远、不可能）和严重程度（例如：微不足道、轻微、严重、关键、灾难性）开发半定量或定量评分标准。

· 风险评估： 随后，将每种危险情况的估算风险与风险管理计划中预先定义的风险可接受性标准进行比较。此评估确定风险是否可接受，或是否需要采取风险降低（风险控制）措施。风险评估矩阵常用于可视化风险可接受性，但该矩阵应作为风险管理政策中定义标准的输出结果。

· 风险控制： 若风险被判定为不可接受，制造商必须识别并实施风险控制措施以将风险降低至可接受水平。ISO 14971明确了这些控制措施的优先级层次，应按优先级顺序实施：

1. 设计固有安全性： 最有效的方法。通过修改设备设计消除危险或降低风险（例如使用不同材料、去除锐边、简化用户界面）。

2. 防护措施： 在设备本身或制造过程中实施防护措施（例如添加护罩、报警装置、联锁装置、冗余系统或视觉/听觉警告）。

3. 安全信息及必要时的用户培训： 最不有效的方法，仅在通过设计或防护措施进一步降低风险不可行时使用。这包括在设备标签、使用说明或用户手册中提供警告、禁忌、注意事项或培训内容。制造商必须验证风险控制措施的实施及有效性。

· 整体剩余风险评估：在所有风险控制措施均已实施并其有效性得到验证之后，制造商必须对整体剩余风险进行评估（即在控制措施到位后仍存在的各个剩余风险的总和）。这需要进行风险-收益比分析，即权衡器械的医疗益处与整体剩余风险之间的关系。如果益处大于风险，并且整体剩余风险符合风险管理计划中规定的可接受标准，那么该器械就可以被视为可接受的。

· 风险管理审查： 在设备商业化分发前，需对整个风险管理过程进行正式审查并记录于风险管理报告中。此次审查确保风险管理计划已适当实施，总体残余风险可接受，且已建立适当方法收集并审查生产及生产后阶段的信息。

1. 生产和生产后活动：这是ISO 14971:2019中强调的关键反馈环节。制造商必须建立、记录并维护一个系统，以主动收集和审查与医疗器械相关的生产和生产后活动信息（例如制造不符合项、投诉、用户反馈、服务报告、公开信息、文献综述、类似设备信息）。该信息必须评估其对安全性的潜在相关性，特别是识别先前未识别的危险或危险情况，确定估计的风险是否仍然适当，或是否需要更新风险控制措施。此过程是持续的，并反馈到风险管理生命周期中，确保风险管理不是静态的一次性事件。

风险管理文件（RMF）

所有风险管理活动、计划、分析、评估、控制、审查以及生产后信息审查必须记录在风险管理文件（RMF）中，并针对每个医疗器械或器械家族进行存档。RMF 是一份动态文件，自器械概念阶段启动，贯穿其整个生命周期，并持续更新生产及生产后阶段收集的信息。它提供了客观证据，证明制造商已建立、实施并维持了一个系统且有效的流程，以管理其设备相关的风险，符合ISO 14971标准。

 

来源：倍力法规咨询

关键词： 2-QMSR 13485 ISO14971