通过ISO 13485认证和符合ISO 13485:2016医疗器械质量管理体系标准之间有很大的区别。任何人都可以声称符合标准。然而，认证要求认可的认证机构遵循ISO 17021:2015的要求，并且他们已经验证了你们的质量体系符合标准。为了保持认证，你们必须保持质量体系的有效性，并忍受每年的监督审核和每三年一次的重新认证审核。

步骤1 -计划ISO 13485认证

ISO 13485认证过程有六个步骤，但这并不意味着只有六项任务。每个质量体系的第一步是计划。大多数人在描述如何实施一个质量体系时，都提到了Deming循环或Plan-Do-Check-Act（PDCA）循环。然而，当你实施一个完整的质量体系时，你需要把PDCA循环中的“做”部分分解成许多小任务，而不是一个大任务。你也不能单独实施质量体系。质量体系不是质量经理一个人的责任。实施质量体系是最高管理者的责任。

下面列出了七项任务。没有将这九项任务确定为ISO 13485认证过程中的“步骤”，因为这些任务通常在质量体系中的每个过程中重复。大多数质量体系是随着时间的推移而实施的，质量体系的范围通常是不断扩大的。因此，您几乎可以肯定必须多次执行以下九项任务–即使在您获得初始ISO 13485认证之后也是如此。俗话说，“大象怎么吃？因此，要避免因一次做太多而不可避免的胃灼热。实施你的质量体系，一次“咬一口”。

任务1 -购买适用的标准

实施ISO 13485质量体系的首要任务是购买ISO 13485:2016标准的副本，如MDSAP配套文件。您还需要其他适用的医疗器械标准。其中一些标准是适用于大多数（如果不是全部）医疗器械的通用标准，如ISO 14971:2019风险管理标准。还有一些指导性文件解释了如何使用这些通用标准，如ISO/TR 24971:2020，关于如何应用ISO 14971:2019的指南。最后，有测试标准，确定测试方法和验收标准的事情，如生物相容性和电气安全。您需要监视这些标准的新版本和修订版本。更新这些标准时，您需要确定修订后的标准，并制定解决这些变化的计划。

购买标准时，请务必购买该标准的电子版本，这样您就可以高效地在标准中搜索关键字。您还应该考虑购买标准的多用户许可证，因为您公司的每个经理都需要在标准中查找信息。或者，您可以购买该标准的纸质副本，并在公司中的每个人都可以访问的位置找到该标准。经常有人会问，标准的EN版和ISO版有什么区别。“EN”是一个缩写，意思是欧洲标准或“欧洲规范”，它基于法语（即“normes”）和德语（即“norm”）的直译。“ISO”版本是国际标准。一般来说，标准的主体通常是相同的，但医疗器械的协调欧洲标准包括附录ZA、ZB和ZC，这些附录确定了与三个医疗器械指令（即MDD、AIMD和IVDD）中要求的任何偏差。

任务2 -确定哪些程序是适用的

ISO 13485第1条专门针对质量体系的范围。ISO 9001，一般质量体系标准，允许您从质量体系认证中“排除”任何条款。但是，ISO 13485只允许排除设计控制（即第7.3条）。根据医疗设备或服务的性质，ISO 13485中的其他条款可能被认定为“不适用”。您还必须在质量手册中记录不适用的原因。通常，以下条款是不适用的常见条款：

1.第4.1.6条-质量体系软件

2.第6.4条-工作环境

3.第7.5.2条——产品清洁度

4.第7.5.3条-安装

5.第7.5.4条-维修

6.第7.5.5条-无菌装置

7.第7.5.6条-工艺验证

8.第7.5.7条-灭菌验证

9.第7.5.9.2条-植入式装置

10.第7.5.10条-客户财产

11.第8.3.4条-返工

任务3 -为每个程序分配一个程序所有者

第三个任务是为质量体系中的每个程序分配一个程序所有者。通常，您将创建每个所需程序的主列表。通常情况下，这些任务是交给公司的经理们的，他们可能会将某个特定程序的部分或全部委派给他们。你应该期望大多数管理者负责不止一个程序，因为ISO 13485:2016中有28个必需的程序，但大多数公司在第一次实施质量体系时只有不到10个人。

任务4 -为每个程序的实施设定优先级和时间表

第四项任务是确定首先需要创建哪些程序，并将程序的执行从第一个安排到最后一个。您可以而且应该在计划中建立灵活性，但在开始时需要一些程序。例如，您需要文档控制、记录控制和培训流程来管理所有其他过程。您还需要实现以下流程，以记录设计历史文件（DHF）：1）设计控制，2）风险管理，3）软件开发（如果适用），以及4）可用性。因此，这些都代表了大多数公司将尽早执行的七项程序。投诉处理、医疗器械报告和忠告性通知程序等程序通常保留到最后一个程序。这些程序是最后一个，因为在您使用医疗设备之前，这些程序是不需要的。

任务5 -为每个程序创建表单、流程图和过程

表单为质量体系中的记录创建结构，并且设计良好的表单可以减少在程序或工作指导中冗长解释的需要。因此，您应该首先考虑开发表单。表格应包括适用标准或法规中规定的所有必要信息，并且应按照标准中列出的要求列出该信息的单元格。您甚至可以考虑对表单的单元格进行编号，以便对过程的相应部分提供简单的交叉引用。创建表单后，您可能会考虑下一步创建流程图。流程图提供了过程的可视化表示。您可能会考虑流程图中包含的数字，这些数字也可以交叉引用表单。

创建表单和流程图后，您现在就可以编写质量系统过程了。许多节通常包含在程序模板中。建议使用模板确保程序中的基本元素都不被忽略。您还可以考虑添加两个程序中不常见的部分：1）对程序进行风险分析，以识别风险控制，以防止与该程序相关的风险；2）一节用于监测和测量过程，以客观衡量过程的有效性。这些度量是预防措施的******来源，其中一些度量可能是由最高管理层确定的潜在质量目标。

任务6 -对每个程序进行差距分析

大多数公司依靠内部审核来发现和遗漏程序中的要素。然而，审核的目的是抽样，而不是100%的全面评估。因此，当程序草案第一次被审查和批准时，或对程序进行重大重写时，在批准程序草案之前，应进行彻底的差距分析。

任务7 -培训每道工序的相关人员

你需要为公司的每个人或每个工作记录培训要求。培训要求的文件可以在工作描述或程序中。除了确定谁应该接受培训外，您还需要确定应该提供什么类型的培训。我们建议记录您的培训，以确保未来的新员工接受相同的培训。这将确保一致性。你还需要保存培训记录。您必须验证培训是否有效，并且需要检查人员是否有能力执行任务。此培训可能需要几天或几周才能完成。因此，您可能需要在程序获得批准前几周开始培训人员。或者，您可以交换任务的顺序，并在程序批准后进行培训。如果采用这种方法，则程序应指明程序生效的日期——通常是批准后30天，以便有时间进行培训。

任务8 -批准程序

程序的批准可以通过在程序本身上签字和注明日期来完成，而另一种方法是创建一个文件，列出一次批准的所有程序和表格。第二种方法是我们在turn-key质量体系中使用的方法。公司可以一次审查和批准任意多个程序。由于需要定义此过程以确保您实施的所有程序都得到批准，因此文件控制过程通常是公司在新质量体系中批准的第一个程序。第二个程序通常用于记录控制。接下来实施的过程通常集中在设计控制的文档上：设计控制、风险管理、可用性测试和软件开发。最后批准的程序通常是投诉处理、医疗器械报告和召回。这些程序留到最后，因为你不需要他们，直到你出售你的医疗设备。

任务9 -开始使用过程并生成记录

实施新的质量体系所需的最后一项任务是开始使用程序生成记录。所有的程序都需要记录才能验证程序的有效性。记录可以是纸质的，也可以是电子的。无论您使用哪种格式来保存记录，都需要通过您的记录控制程序和/或在每个程序中传达给公司的每个人。如果在每个过程中都包含这些信息，则应在过程中列出每个过程的记录，并标识这些记录的存储位置。一般来说，对于认证审核没有特定的最小记录数，但是对于您实现的每个过程，您应该至少有一些记录。

步骤2 -进行第一次内部审核

内部审核的目的是验证质量体系的有效性，并在认证机构审核员发现不符合项之前识别不符合项。为了成功地实现这一次要目标，必须进行比您预期的认证审核更严格的内部审核。因此，内部审核的持续时间应与认证审计相同或更长，内部审核不应包括对程序的桌面审查。审查程序应是差距分析（即上述任务6）的一部分，差距分析是在程序草案获得批准之前对其进行的。内部审核应采用过程方法进行审核，审核员应采用基于风险的方法（即，关注那些最有可能导致不合格产品、导致投诉或造成严重伤亡的过程）。

完成内部审计后，您将收到审核员出具的内部审核报告。你也应该期待内部审核员的发现，你应该期待改进的机会（OFI）被识别出来。有经验的审核员通常比大多数过程负责人更快地识别出不合格的根本原因。因此，建议每个程序负责人和主题专家与审核员一起评审不符合项，并讨论如何调查不符合项。在CAPA过程中，必须正确识别根本原因，有效性检查必须客观，以确保问题不再发生。

步骤3 -开始纠正措施

应立即对每个内部审核发现采取纠正措施，以确保发现得到纠正，并防止在第1阶段审核之前重复发生。实施最有效的纠正措施至少需要30天。根据内部审核的时间表，可能没有足够的时间完成纠正措施。但是，您至少应该为每个发现启动CAPA，对根本原因进行调查，并开始实施纠正措施。

此外，要采取与内部审核结果相关的纠正措施，您应该从其他来源寻求内部审核。下图显示了潜在纠正和预防措施的几种不同来源。

每个过程的监视和测量是预防措施的******来源，虽然内部审核通常是纠正措施的******来源，但在验证过程中发现的任何质量问题也是纠正措施的******来源，因为验证可以作为证明纠正措施有效的方法重复进行。但是，您的ISO 13485认证审核员将把不合格产品、投诉和服务作为纠正措施的最关键来源。优先考虑这三个来源，因为如果不采取纠正措施防止问题再次发生，这三个来源最有可能导致重伤、死亡或召回。

步骤4 -进行第一次管理评审

除了在第一阶段审核前完成一次完整的质量体系审核外，还应至少完成一次管理评审。为确保您对ISO 13485:2016标准中12项要求的每一项都有输入，建议您只有在完成全面质量体系审核并采取一些纠正措施后才能进行管理评审。如果可能的话，你也应该为任何合同制造商或合同灭菌商进行供应商审核。建议使用按所需输入顺序组织的管理评审模板，以确保不跳过任何必要的输入。质量目标需要在管理评审之前很久制定，以便最高管理团队有足够的时间收集有关每个质量目标的数据。此外，您还应考虑将为每个输入创建各种幻灯片的责任委托给最高管理层的不同成员。这将确保被邀请参加会议的每个人都参与到这个过程中，并将会议准备工作的工作量分散到多个人身上。

审核员最常见的非增值发现之一是，当审核员发布不符合项时，因为您没有安排下一次内部审核和下一次管理评审——即使每一次可能仅发生在第一阶段审核前一个月。因此，我们建议您记录下下一个12个月的内部审核周期，并在每次管理评审会议上安排下一次管理评审作为行动项目。如果需要，可以调整时间表，但这使最高管理层能够强调内部审核中可能需要改进的各个方面。你甚至可以设定一个质量目标，在第一次管理评审结束时，每年至少进行三次管理评审。

步骤5 -阶段1，初始ISO 13485认证审核

2006年，引入了ISO 17021标准来评估认证机构。本标准规定了认证机构应如何进行初始认证审核、质量体系年度监督和质量体系再认证。过去，认证机构通常会在现场访问之前对您的公司进行“桌面”审核，以确保您拥有所有必需的程序。然而，ISO 17021要求认证机构在进行第2阶段审核之前，先进行第1阶段审核，评估贵公司的准备情况。因此，即使第一阶段的审核是远程进行的，认证机构也要与程序负责人面谈和访问样本记录，以验证质量体系是否得到实施。认证机构审核员通常也会验证贵公司是否进行了全面的质量体系审核和至少一次管理评审。最后，审核员通常会选择一个过程，如纠正措施和预防措施（CAPA），以确保您识别质量体系中的问题，并采取适当的措施来解决这些问题。

第一阶段审核的目标不应该是完美。相反，您的重点是确保没有“重大”不符合项。“主要”一词过去有一个具体的定义：

1.没有记录的程序或过程

2.不合格品放行

3.重复不合格（第1阶段不可能）

在MDSAP下，不符合项评级系统现在使用不符合项评级的编号系统：“监管目的和信息交流研究小组3最终文件GHTF/SG3/N19:2012的不符合项评级系统”。任何不符合项都按1到4的等级进行评级，然后应用两个潜在的升级规则。如果任何不符合项被评为4级或5级，则审核员必须评估是否需要提前5天通知监管机构。在下列任何一种情况下，需要提前五天通知：1）一个或多个调查结果评级为“5”；或2）三个或多个调查结果评级为“4”。如果您的第一阶段审核结果提前五天通知，则您尚未准备好进行第二阶段审核。例如，ISO 13485:2016第6.4条至第8.5条中完全没有两个要求的程序将导致两个评级为“4”的调查结果。这不会导致五天的通知，但没有第三个要求的程序将导致五天的通知。

阶段1审核的持续时间为一到两天，但是对于MDSAP阶段1审核来说，1.5天的审核非常常见。第一阶段审核为期1.5天的原因是，在一天内评估第二阶段的准备情况具有挑战性，如果第一阶段和第二阶段的总持续时间为5.5天，那么第二阶段审核可以在四天内完成。对于一个两人的审核团队来说，四天的审核比三天的审核更方便。

在你的第一阶段审核之后，你会收到一份审核报告，你应该期待结果。在第2阶段审核之前，您应该立即对每个发现采取纠正措施，以确保发现得到纠正，并防止重复发生。两次审核之间的时间间隔通常为4-6周。这不会给您留下太多时间来启动CAPA、调查根本原因和实施纠正措施。您至少必须在收到发现后的15个日历日内向您的MDSAP审核组织（AO）提交一份针对每个发现的纠正措施计划。对于任何评级为“4”或更高的调查结果，您需要在收到调查结果的30个日历日内向AO提供实施纠正措施计划的证据。您也不太可能有足够的时间在第2阶段审计之前进行有效性检查。

步骤6 -阶段2，初始ISO 13485认证审核

第2阶段初始ISO 13485认证审核将验证您计划在任何市场上都满足了所有监管要求。审核员将完成MDSAP清单，其中包括承认MDSAP的每个国家的所有监管要求：1）美国、2）加拿大、3）巴西、4）澳大利亚和5）日本。审核员还将对质量体系中的每个过程的记录进行抽样，以验证程序和流程是否完全执行。除非多个审核员在审核团队中工作，否则此审核通常至少持续四天。

第2阶段ISO 13485认证审核的审核目标具体包括评估您的质量体系在以下领域的有效性：

1.适用监管要求

2.产品及工艺相关技术

3.技术文件

将审查所有程序是否符合ISO 13485:2016和适用法规。审核员还将对每个过程的记录进行抽样。如果审核员在审核过程中发现任何不符合项，则必须记录发现的情况，并立即开始计划纠正措施。如果您对调查根本原因、纠正措施、纠正措施和有效性检查的期望有任何疑问，您应该在审核或闭幕会议期间询问审核员。至少，您必须在收到调查结果的15个日历日内向MDSAP审计组织（AO）提交一份针对每个调查结果的纠正措施计划。对于评分为“4”或更高的任何调查结果，您需要在收到调查结果的30个日历日内向AO提供实施纠正措施计划的证据。在您的纠正措施计划被接受之前，审核员将无法推荐您通过ISO 13485认证。

如果您收到评级为“5”的调查结果，或三个或更多评级为“4”的调查结果，则MDSAP审计员需要向监管机构发出为期五天的通知。审核员还需要返回您的工厂进行后续审核，以尽可能多地结束调查结果。不必排除所有的调查结果，以便推荐进行ISO 13485认证，但在推荐公司进行认证之前，调查结果的等级必须至少降低到“3”。调查结果的数量也决定了审核员是否推荐贵公司进行认证。

除了在闭幕会议上审查审核结果和结论外，审核员还将与您一起审查年度监督和再认证计划。每个认证周期为三年。将进行两次监督审核，其持续时间约为第1阶段和第2阶段初始认证审核合并持续时间的三分之一，第一次监督审核必须在初始认证审核的12个月内完成。在第三年，将对第1阶段和第2阶段初步认证审核合并期限的三分之二进行再认证审核。初始ISO 13485证书将在三年内到期，并且证书通常在接受纠正措施计划后一个月收到。