EU 型式检验(Module B+C)
概述
根据 Module B 进行的 EU 型式检验 (EU Type Examination) 与根据 Module C 进行的型式符合性 (Conformity to Type) 相结合,是 Class I(无协调标准时)和 Class II 产品的合规评估程序。
法律依据
Art. 24(2) CRA: 对于未完全适用协调标准 (Harmonised Standards) 制造的 Class I 产品以及 Class II 产品,必须进行 EU 型式检验(Module B)与型式符合性(Module C)相结合的评估。
CRA Annex VIII,Module B 和 C 描述了程序要求。
适用范围
| 类别 | 是否需要 Module B+C? |
|---|---|
| 默认 | 否 — Module A 即可 |
| Class I(适用协调标准) | 否 — Module A* 即可 |
| Class I(无协调标准) | 是 |
| Class II | 是(替代方案:Module H) |
| 关键 | 否 — 需要 EUCC |
程序
Module B — EU 型式检验
EU 型式检验是合规评估程序的一部分,由公告机构 (Notified Body) 检验产品的技术设计并确认其满足基本要求。
1. 选择公告机构
- 通过欧盟委员会的 NANDO 数据库搜索
- 该机构必须获得 CRA(Regulation (EU) 2024/2847)的通知授权
- 检查相关产品类别和测试能力
- 签订涵盖范围、时间表和费用的合同
2. 提交技术文档
必须按 Annex VII 提交以下文档:
- [ ] 完整的产品描述(参考)
- [ ] 安全架构(参考)
- [ ] 网络安全风险评估(模板)
- [ ] SBOM(机器可读,CycloneDX JSON)
- [ ] 漏洞处理流程描述
- [ ] 测试结果(渗透测试、安全扫描)
- [ ] 更新机制描述(参考)
- [ ] 源代码或源代码访问权限(如被要求)
3. 公告机构的检验
公告机构检验:
- 设计审查 — 设计是否满足 Annex I 第I部分的要求
- 漏洞处理 — Annex I 第II部分的流程是否已实施
- 测试结果 — 已进行的测试是否充分和正确
- 文档 — 技术文档是否完整
4. EU 型式检验证书
检验成功通过后,公告机构签发 EU 型式检验证书,包含:
- 公告机构的名称和识别编号
- 产品标识(名称、型号、版本)
- 检验结果
- 有效性条件(如适用)
- 证书识别编号
有效性
EU 型式检验证书的有效期有限。产品或要求发生重大变更时需要重新检验。
Module C — 型式符合性
Module C 确保生产的产品单元符合已检验的型式。
制造商义务
- 监控生产流程 — 确保每个单元符合已检验的型式
- 配置管理 — 版本控制和构建可重现性
- 发布流程 — 签名构建、完整性验证
- 变更管理 — 对于变更,验证型式检验证书是否仍然有效
对于软件产品,这意味着:
时间线
| 阶段 | 预估时间 |
|---|---|
| 文档准备 | 4-8周 |
| 选择公告机构 | 2-4周 |
| 机构检验 | 8-16周 |
| 整改(如需要) | 2-8周 |
| 证书签发 | 1-2周 |
| 总计 | 约4-9个月 |
尽早开始
最初阶段可用于 CRA 检验的公告机构数量有限。请尽早开始识别和联系合适的机构。
费用
费用因产品复杂度和公告机构而异:
| 费用项目 | 预估范围 |
|---|---|
| 初次检验(Module B) | EUR 10,000 - 50,000 |
| 年度监督 | EUR 2,000 - 10,000 |
| 变更后的重新检验 | EUR 5,000 - 25,000 |
注:CRA 检验的当前市场价格尚未确立。数值基于类似指令作为参考。
检查清单:Module B+C
- [ ] 产品分类已完成(无协调标准的 Class I 或 Class II)
- [ ] 技术文档完整(Annex VII)
- [ ] 网络安全风险评估已完成
- [ ] 渗透测试已执行并记录
- [ ] 公告机构已识别并联系(NANDO)
- [ ] 与公告机构签订合同
- [ ] 文档已提交
- [ ] 检验通过/整改已实施
- [ ] EU 型式检验证书已获得
- [ ] Module C 措施已实施(可重现构建、签名)
- [ ] EU 符合性声明已签发(模板)
- [ ] 加贴公告机构识别编号的 CE 标志