FDA QMSR質量管理體系將于2026年2月2日生效，這既帶來了重大挑戰，也蘊含著深遠機遇。倍力醫療就會通過幾期連載文章，上期文章請見（QMSR 深度解析 1-解構QSR 820 常見不符合項和與QMSR相關性）拆解過去的QSR，剖析新QMSR及其基礎標準ISO 13485:2016的架構，供廣大制造商參考了解。

QMSR 的結構與核心原則

法律機制：引用納入

QMSR 的核心機制是“引用納入”。這是一種法律工具，允許聯邦機構將私營部門制定的標準（如ISO 標準）作為其法規的強制性組成部分。這一機制對FDA 而言并非新鮮事物，但將其應用于整個醫療器械質量管理體系框架，標志著一個重要的戰略步驟。這對醫療器械制造商具有深遠影響：

· ISO 13485 現為法律：對于美國醫療器械監管而言，ISO 13485:2016 中的要求不再僅僅是“最佳實踐”或滿足其他國家要求的標準，而是FDA 可強制執行的法律要求。1 未能遵守ISO 13485:2016 的適用條款即構成對QMSR 的不符合。

· 標準是必備文件：制造商必須擁有并積極使用ISO 13485:2016 和ISO 9000:2015 的官方文本（特別是包含應用ISO 13485 所必需的術語和定義的第3 條款）作為其法規符合性圖書館的組成部分。FDA已指出，這些標準的只讀版本可通過ANSI IBR門戶向公眾提供。

· 動態引用：美國食品藥品監督管理局（FDA）已將ISO 13485:2016的特定版本納入其標準。若未來ISO 13485標準發生修訂，FDA需通過進一步的法規制定程序，將新版本納入質量管理體系要求（QMSR）。此靜態引用意味著，即使企業為其他國際市場采用ISO 13485的最新版本，其質量管理體系（QMS）仍需明確證明符合2016年版本的要求，直至FDA正式更新QMSR。若FDA的法規制定顯著滯后于未來ISO修訂，這可能重新引入一定程度的差異。

通過引用方式納入ISO 13485使該標準直接接受FDA調查人員的審核。因此，FDA人員需具備與此前QSR審核經驗相當的ISO 13485專業能力。同時，制造商的內部審核程序需重新校準以評估對ISO 13485條款的符合性，且組織內所有相關人員需對該標準有全面理解。

FDA已表示將制定與QMSR相適應的新檢查流程并相應培訓人員。需特別注意，FDA不會因檢查結果而頒發ISO 13485:2016符合性證書，且持有ISO 13485證書的制造商亦不會免于FDA檢查。

定義的層次結構

在定義重疊或沖突的情況下，確定應使用哪個定義對于合規性至關重要。FDA已建立了一個清晰的三級層次結構：

 第一層：聯邦食品、藥品和化妝品（FD&C）法案：法案中的法定定義始終具有優先權。例如，該法案第201節對“設備”的定義是最終權威。

第二層：QMSR 21 CFR 820.3(b)：QMSR本身包含一組定義。這些定義有兩個作用：取代ISO定義： 當FDA希望維持其特定解釋時，會提供自己的定義以取代ISO 13485或ISO 9000中的定義。例如“制造商”和“返工”。FDA對“制造商”的定義比ISO中“組織”的概念更為廣泛，明確包括合同滅菌商、重新包裝商和規格制定者等實體。提供FDA特定術語：QMSR 添加了ISO 標準中未包含但適用于美國監管環境的術語。這些包括“組件”、“成品設備”、“再制造商”以及“作為設備監管的人體細胞、組織或細胞/組織基產品（HCT/P）”。

第三層：ISO 13485:2016 和ISO 9000:2015： 若某術語未在《聯邦食品、藥品和化妝品法》（FD&C Act）或QMSR本身中定義，則適用所引用標準中的定義。值得注意的是，FDA已采納ISO術語“最高管理層”（取代“具有執行責任的管理層”）和“安全與性能”（而非在此語境下的“安全與有效性”）

這種分層結構是FDA的保障措施，使該機構能夠在與國際標準協調的同時，確保其法定權限和特定的美國監管優先事項得到維護。這種分層結構的精心設計體現了一種有意的策略：在與美國法律和公共衛生目標一致的情況下采用全球標準，但對美國監管實踐中至關重要的術語保持嚴格控制。這并非對ISO術語的全面采納，而是有針對性的整合。在QMSR §820.3中明確界定“再制造商”或詳細說明“作為醫療器械監管的HCT/P”的適用范圍，是因為這些概念是美國特有的監管概念，未在更廣泛的ISO 13485框架中以相同方式規定或定義。

制造商的合規團隊必須對這些定義進行細致分析，并確保其質量管理體系（QMS）文件（包括程序和手冊）始終一致地反映正確的定義，并在適用時采用美國定義。對定義的誤解可能導致嚴重的合規漏洞。

新版QMSR各條款逐條解析

新版21 CFR第820部分大幅精簡。讓我們逐一分析其關鍵條款：

· § 820.1 適用范圍：本條款明確了法規的適用范圍。FDA明確表示，該條款與之前的QSR“實質上相同”，適用于成品醫療器械制造商。

· § 820.3 定義： 本節引入了定義層次結構，并列出了取代或補充ISO 標準的FDA 特定定義。

· § 820.7 引用納入： 這是關鍵條款，法律上將ISO 13485:2016 和ISO 9000:2015（第3 條款）納入本法規。

· § 820.10 質量管理體系要求：這是廣泛的高層級章節。它要求制造商建立并維持符合第820部分要求的質量管理體系（QMS）。由于第820部分現已納入ISO 13485，這實際上意味著建立符合ISO 13485要求的質量管理體系，并結合其他QMSR章節的修改內容。

· § 820.35 記錄控制：這是關鍵的“ISO 13485 擴展”條款之一。它在ISO 13485（第4.2.5 條）的記錄控制要求基礎上，增加了FDA 的具體要求。我們將在下一部分中詳細探討這些要求。

· § 820.45 設備標簽和包裝控制： 這是另一個關鍵的“ISO 13485-plus”條款，保留了FDA 認為比ISO 13485 更嚴格的標簽檢查要求。相關內容將在第四部分中分析。

QMSR 還包含若干標記為“保留”的條款。這使FDA 可通過未來規則制定新增要求，而無需對法規進行全面修訂。

核心要義：深入解析ISO 13485

盡管ISO 13485中包含了QSR中的許多概念，但國際標準在流程之間的關聯性、風險管理在質量管理體系中的全面融入，以及數據在持續改進中的系統性應用方面更為明確。下表是QSR和13485的對應的表格

QMSR：將風險管理融入質量管理體系

在QSR中，風險管理僅在§ 820.30(g)設計驗證中被明確提及，該條款規定：“設計驗證應包括……在適當情況下進行風險分析。” 盡管謹慎的制造商更廣泛地應用風險管理，但法規本身將其定位為設計過程的組成部分。這常常導致一種“孤島式”方法，即風險管理由研發或工程團隊執行，記錄在風險分析報告中，隨后主要歸檔于設計歷史文件中。

QMSR打破了這一孤島。ISO 13485將風險管理融入質量管理體系的架構中。該標準要求組織“在產品實現的整個過程中計劃和實施風險管理活動”（第7.1條）。更深層次的是，它要求采用“基于風險的方法來控制質量管理體系所需的適當過程”（第4.1.2b條）。這一雙重要求意味著制造商現在必須管理兩種相互關聯的風險類型：

1. 產品風險：與醫療器械本身相關的風險——對患者、使用者或環境造成傷害的風險。這是傳統風險管理的重點，主要通過應用專門的風險管理標準ISO 14971的原則來解決。

2. 過程風險（或質量管理體系風險）：質量管理體系內部過程可能失敗或無效，從而影響產品品質或符合性要求的風險。例如，供應商評估過程未能識別關鍵供應商問題的風險有多大？變更控制過程允許未經驗證的變更被實施的風險有多大？

這一第二類風險，即質量管理體系（QMS）過程風險，對于此前僅依據質量體系法規（QSR）運行的組織而言，代表著一個全新的重要關注點。它要求組織在思維方式上發生根本性轉變，不再局限于對設備本身的評估，而是要對確保其質量與安全的設計系統進行批判性評估，以驗證其robustness（穩健性）。

這種轉變意味著質量保證不再僅僅是事后確認符合規格，而是要主動識別并緩解產品及其創建和管理過程中潛在的故障，在這些故障導致不良后果之前。ISO 13485第4.1.2(b)條款中明確要求的基于風險的質量管理體系（QMS）流程，可視為對歷史QSR缺陷的直接經驗教訓。此前，關鍵QMS流程（如糾正措施與預防措施或供應商控制）的失效曾是產品問題和召回事件的重要誘因。通過將風險管理應用于這些QMS流程本身，其目的是使這些基礎系統從根本上更加穩健和可靠。

實施ISO 14971框架

雖然ISO 13485要求在產品實現全過程及質量管理體系（QMS）過程中實施風險管理，但并未詳細說明如何開展與產品相關的風險管理。為此，該標準引用了其配套標準ISO 14971:2019《醫療器械——醫療器械的風險管理應用》。該標準提供了國際公認的“操作指南”，用于管理產品風險。為了符合QMSR要求，有效實施ISO 14971流程至關重要。需要特別注意的是，ISO 14971旨在幫助制造商識別危害、估算和評估相關風險、控制這些風險，并在設備生命周期的所有階段監控控制措施的有效性。

ISO 14971 過程的關鍵組成部分

ISO 14971 過程是一個系統性、迭代的循環，而非線性的一次性活動。它必須貫穿整個醫療器械生命周期，從初始概念到設計與開發、生產以及生產后活動。

· 風險管理計劃： 對于每個醫療器械或醫療器械系列，風險管理流程始于一份文檔化的風險管理計劃。該計劃明確風險管理活動的范圍，分配職責和權限，建立風險可接受性標準（組織風險政策或風險偏好，必須在計劃中明確定義），概述評估總體殘余風險的方法，并指定需收集和審查的生產及生產后信息。提前定義風險可接受性標準迫使組織做出有意識的、有文件記錄的政策決策，明確可接受的風險水平，從而促進一致性和客觀性，而非臨時性判斷。

· 風險分析：這是識別危險和估算風險的階段。制造商必須系統地識別與設備在正常和故障條件下相關的已知和可預見的危險（潛在危害源），考慮其預期用途和合理可預見的誤用。ISO 14971:2019中對“危害”的定義是“對人員健康、財產或環境的傷害或損害”，這比單純的物理傷害更為廣泛。對于每個危險，團隊必須識別可能導致危險情況（即人員、財產或環境暴露于一個或多個危險的狀況）的可預見事件序列，進而可能導致危害。考慮“合理可預見的誤用”的要求需要對用戶行為和潛在使用錯誤有深入理解，并與可用性工程（通常遵循IEC 62366-1）緊密關聯。

· 風險估算：對于每個已識別的危險情況，制造商必須估算其關聯風險。風險被定義為危害發生概率與危害嚴重程度的結合。這通常涉及為概率（例如：頻繁、可能、偶爾、遙遠、不可能）和嚴重程度（例如：微不足道、輕微、嚴重、關鍵、災難性）開發半定量或定量評分標準。

· 風險評估： 隨后，將每種危險情況的估算風險與風險管理計劃中預先定義的風險可接受性標準進行比較。此評估確定風險是否可接受，或是否需要采取風險降低（風險控制）措施。風險評估矩陣常用于可視化風險可接受性，但該矩陣應作為風險管理政策中定義標準的輸出結果。

· 風險控制： 若風險被判定為不可接受，制造商必須識別并實施風險控制措施以將風險降低至可接受水平。ISO 14971明確了這些控制措施的優先級層次，應按優先級順序實施：

1. 設計固有安全性： 最有效的方法。通過修改設備設計消除危險或降低風險（例如使用不同材料、去除銳邊、簡化用戶界面）。

2. 防護措施： 在設備本身或制造過程中實施防護措施（例如添加護罩、報警裝置、聯鎖裝置、冗余系統或視覺/聽覺警告）。

3. 安全信息及必要時的用戶培訓： 最不有效的方法，僅在通過設計或防護措施進一步降低風險不可行時使用。這包括在設備標簽、使用說明或用戶手冊中提供警告、禁忌、注意事項或培訓內容。制造商必須驗證風險控制措施的實施及有效性。

· 整體剩余風險評估：在所有風險控制措施均已實施并其有效性得到驗證之后，制造商必須對整體剩余風險進行評估（即在控制措施到位后仍存在的各個剩余風險的總和）。這需要進行風險-收益比分析，即權衡器械的醫療益處與整體剩余風險之間的關系。如果益處大于風險，并且整體剩余風險符合風險管理計劃中規定的可接受標準，那么該器械就可以被視為可接受的。

· 風險管理審查： 在設備商業化分發前，需對整個風險管理過程進行正式審查并記錄于風險管理報告中。此次審查確保風險管理計劃已適當實施，總體殘余風險可接受，且已建立適當方法收集并審查生產及生產后階段的信息。

1. 生產和生產后活動：這是ISO 14971:2019中強調的關鍵反饋環節。制造商必須建立、記錄并維護一個系統，以主動收集和審查與醫療器械相關的生產和生產后活動信息（例如制造不符合項、投訴、用戶反饋、服務報告、公開信息、文獻綜述、類似設備信息）。該信息必須評估其對安全性的潛在相關性，特別是識別先前未識別的危險或危險情況，確定估計的風險是否仍然適當，或是否需要更新風險控制措施。此過程是持續的，并反饋到風險管理生命周期中，確保風險管理不是靜態的一次性事件。

風險管理文件（RMF）

所有風險管理活動、計劃、分析、評估、控制、審查以及生產后信息審查必須記錄在風險管理文件（RMF）中，并針對每個醫療器械或器械家族進行存檔。RMF 是一份動態文件，自器械概念階段啟動，貫穿其整個生命周期，并持續更新生產及生產后階段收集的信息。它提供了客觀證據，證明制造商已建立、實施并維持了一個系統且有效的流程，以管理其設備相關的風險，符合ISO 14971標準。