|
IATF - 国际汽车工作组 IATF 16949:2016 - 常见问题(FAQ)IATF 16949:2016 年第一版于 2016 年 10 月发布。针对 IATF 认可的认证机构和利益相关方提出的问题,IATF 对以下问题和答案进行了审核。 除非另有说明,常见问题适用于出版物。 FAQ 是对 IATF 16949:2016 内现有要求的解释。 常见问题 1 - 11 于 2017 年 10 月发布。 常见问题 12-20 于 2018 年 4 月发布。 常见问题 21-22 于 2018 年 6 月发布。 修订的常见问题 18 于 2018 年 10 月发布。 常见问题 10 和常见问题 18 于 2018 年 11 月删除。 常见问题 23-26 于 2019 年 3 月发布。 常见问题 27-29 于 2019 年 10 月发布。
问题: 为什么有两本手册(IATF 16949:2016 和 ISO 9001:2015)? 两本手册而不是一本手册使阅读和理解要求变得更加困难。 解答: IATF 和 ISO 无法就以合并的文件形式发布 IATF 16949 达成许可协议。 为了不再推迟新的IATF 16949 标准的推出,IATF 决定以双手册格式出版。 在发布之前,IATF 确实与国际认证机构确认其他行业也使用双手册模式来确定其行业特定要求,并使用双手册模式进行审核,虽然不是最佳的,却是有效的。 IATF 通过继续保持联络委员会地位来与 ISO 保持着强有力的合作关系,确保持续符合 ISO 9001。
2 前言 - 汽车 QMS 标准 问题: 为什么这两本手册(IATF 16949:2016 和 ISO 9001:2015)比 ISO / TS 16949 版本贵很多? 解答: 因为 ISO 和 IATF 之间没有关于 IATF 16949 合并格式的共同许可协议,所以 IATF 无法就 ISO 9001:2015 标准谈判折扣。 IATF 保持汽车特定内容的价格与之前的定价一致。从本质上讲,差异在于出版 ISO 9001 需要给 ISO 全额价格。
3前言 - 汽车 QMS 标准 问题: 如果在 IATF 16949 标准中发现翻译错误,应该怎么办? 解答: IATF 使用确定的过程来管理标准翻译,包括“交叉核对”翻译以确保准确性。 如果组织或认证机构识别出所认为的翻译错误,应联系 IATF 成员行业协会或支持其认证机构的监督办公室。
4 4.4.1.2产品安全 问题: 该条款的范围是什么? 许多组织专注于产品的法律法规要求,却不相信他们有与制造产品或制造过程相关的产品安全。 解答: 本条款着重关注影响最终装配安全性能的产品和制造过程特性。 这些特性可能不是在法律法规要求中直接提出的,而可能是由顾客定义的。
5 5.3.1组织的作用、职责和权限 - 补充 问题: 意图是将职责分配给特定的职能(例如质量)、特定的职位(例如质量总监)还是名义上的个人 (例如 Bob Smith)呢? 解答: 职责分配给组织内的角色/职位(如特定职位,质量总监)。 虽然个人可能在他们的角色中承担这些责任,但是职责仍然属于角色(例如质量总监)。 因此,高层管理者将责任和权力分配给角色, 而不是名义上的个人。
6 7.1.5.1.1测量系统分析 问题: 每台仪器或设备都需要进行测量系统评估(MSA)研究吗? 解答: 不需要。对每件设备进行完整的统计研究是不必要的。 可以对具有相同特性(例如测量范围、分辨率、重复性等)的仪器进行分组,并且可以使用样品仪器(代表仪器族系)进行统计研 究。
7 7.1.5.3.2外部实验室 问题 1: 什么时候设备制造商可用于校准检验和测试设备? 如果存在认可的实验室,但是它非常偏远和/或昂贵,并且检验或测试设备制造商在附近,是否可以使用(即使它们没有通过 ISO / IEC 17025 的认证)? 解答 1: 作为检验或测试设备设计和制造的一部分,检验或测试设备制造商制定了设备维护和调整的方法, 以满足校准要求。 因此,检验和测试设备的原始设备制造商有资格校准他们设计和制造的设备。在使用任何主机厂进行校准服务之前,组织应获得顾客的批准。 问题 2: 如果组织在最终组装和测试区域有检、测量和测试设备,是否可以被认为是内部实验室? 解答 2: 不可以。在生产过程或装配过程任何部分使用的在线测量和测试设备都不被视为内部实验室。
8 7.5.1.1质量管理体系文件 问题: 该文件(可能是一个表、列表或矩阵)是否必须包含非 IATF OEM 厂商和一级供应商? 除了企业社会责任之外,是否需要将所有顾客要求都包含在文件中? 解答: 根据IATF 16949 第 4.3.2 节,组织负责评估顾客要求,包括顾客特定要求,并将其纳入组织质量管理体系的范围。根据 IATF 16949 7.5.1.1 d)的要求,文件(可能是一张表、一个清单或一个矩阵)是质量手册的一部分。 该文件应包括认证机构的所有直接顾客,其中可能包括 IATF OEM 厂商、非 IATF OEM 厂商和其他汽车顾客(即一级,二级等)。 例如,二级组织必须考虑所有顾客的顾客要求,包括顾客特定要求。 如果OEM 不是其直接顾客,则二级组织不需要考虑汽车 OEM 的顾客需求。非常重要的一点是,非 IATF OEM 顾客和其他汽车顾客可以在与供应商共享的内部文件(例如供应商质量手册)中或在向公众提供的特定文件(例如,互联网)中拥有顾客要求。 如果非 IATF OEM 或其他汽车顾客在其顾客要求文件中没有明确联系 IATF 16949 条款,则可能很难识别顾客特定要求。确定是否存在顾客特定要求的方法是比较 IATF 16949 标准中存在术语“如果顾客要求”的部分,并验证现有顾客要求文件是否列出了与 IATF 16949 标准中的要求相关的特定要求。如果是,则应在质量手册中将该顾客及其要求添加到文件(可能是表格、列表矩阵)中。不应期望组织接受顾客的要求,包括顾客特定要求,并将其转换为符合 IATF 16949 条款的类似于 IATF OEM 所发布的 CSR 格式。 9 8.4.2.2法律法规要求以及8.6.5法律法规的符合性 问题 1: (关于法律法规的一致性)的观点是什么? 被认为是符合适用的法律法规要求的充分证据(8.6.5) 是什么? 解答 1: 如 8.3.3.1 g)和 8.3.4.2 中所定义的,组织必须采取一种方法来研究、识别、取得副本、评审、理解并确保其在制造产品的国家和在运送产品的目的地国生产的产品符合法律法规要求。 8.4.2.2 的意图是组织应设计其产品开发方法/业务过程和供应商管理方法/业务过程,从供应商那里获得由供应商提供的服务符合供应商制造国的、组织使用国的、以及组织将产品运送到的目的地国的 (如果由顾客提供)法律法规要求的证明和证据的一种或多种方法。 8.6.5 的意图是要求组织检验从供应商处收到的一致性/合规性记录,以确保供应商提供的证据涵盖产品的批次代码、批号或可比较的可追溯性信息。这可以从供应商处收到,或在产品存货时完成,但必须在产品放行到组织的生产过程之前完成。 问题 2: 从 ISO / TS 16949 到 IATF 16949,第 8.4.2.2 条款的意图是否发生了改变? 解答 2: 条款的意图没有改变。 ISO / TS 16949 的要求是“所有购买的产品应符合适用的法律法规要求”。 在这种“被动语态”的措辞中,显然没有明确 IATF 的期望。新要求更明确的是要做什么,什么时候要完成,需要哪些证据来支持合规性。 问题 3: 你如何管理和维护当前关于国际供应商的法律法规要求的知识? 解答 3: IATF16949 第 8.6.5 节并不要求组织为所购买的外部提供的过程、产品或服务知道或保留所有国际法律法规要求的清单。要求组织检查结果、审核或以其他方式定期验证供应商的过程是否健全并确保其符合最新的适用法律法规和其他要求、其制造国以及顾客指定的国家的法律法规和其他要求。 问题 4: 如果顾客没有向组织传达信息,我们的系统如何理解法律法规要求? 解答 4: 该条款的措词是期望顾客向产品将要运送到的组织提供信息。 由于这些目的地的变化而引起的适用法律法规要求的变化只是由顾客“如果提供”给组织的要求。 10 8.4.2.3.1汽车产品相关软件或带有嵌入式软件的汽车产品 参见认可解释 15, 于 2018 年 11 月发布,2019 年 1 月生效。
11 8.7.1.7 不合格品的处置 问题 1: 在处理之前“认定为不可用”的意图和要求是什么? 需要在何时何地将产品“认定为不可用”? 解答 1: 其目的是确保产品无法进入非官方的售后市场、进入公路用车或意外运送给顾客。只要产品在最终处置之前被宣布为不可用,那么将不合格产品认定为不可用的过程不必在制造区域中发生。 问题 2: 组织如何对此进行控制? 解答 2: 组织负责制定和执行不合格产品的处理过程并验证其有效性。 问题 3: 组织是否可以使用服务提供商来认定产品不可用? 解答 3: 是的,将产品认定为不可用的过程可以外包给一家服务提供商。 如果使用服务提供商,组织需要批准并定期验证供应商如何认定产品为不可用。 问题 4: 不合格产品处置是否仅适用于最终产品,还是也适用于组件/部件装配? 解答 4: 该要求适用于已通过零件审批过程且组织正向顾客运送的产品。 问题 5: 对于认定不可用,需要多大程度地损坏不合格产品? 解答 5: 不合格产品需要认定为不可用和不可修复。 不需要将产品粉碎或粉碎成许多块。
12 贯穿 IATF 16949 标准 问题: 在一个“文档化的过程”中记录多个过程是可以接受的吗?或者它们都必须是单独的文档化过程吗? 解答: 是的, 组织将多个文档化的过程分组到一个(或多个)过程中是可以接受的。每个文档化的过程并不一定是一个单独的过程。组织应该记录他们的过程,因为这对他们的个人业务和组织需求是有意义的。
13 4.4.1.2产品安全 问题: 在产品安全(4.4.1.2)方面,对培训水平和需要确定的特定标准有哪些要求? 解答: 与所有的人员能力要求一样,被分配了特定任务的人员需要有胜任这项工作的能力。这种能力包括与任务相关的规章制度。 第4.4.1.2节中关于需要什么样的安全要求是非常具体的。参考 IATF 16949 第 4.4.1.2 节,这些条款包括: a) 供应商应如顾客所期望的那样,了解与市场零件使用有关的所有法律法规要求。供应商需要知道在哪里可以研究所有受到影响的国家或地区的法规。b) 顾客特定要求将识别任何顾客通知要求;因此,关于顾客特定要求的知识(由内部指定的主题专家讲授)。c) 设计 FMEA 的特别批准将在顾客特定要求中识别,见上述 b)条款。 d) 和 e) 与产品安全相关特性及其控制的识别,将由顾客在其定义的特殊特性和所需控制中进行定义。制定 PFMEA 和控制计划的人员需要对顾客文件的这些方面有足够的知识。条款 f)到条款 m)也可以进行类似的分析,以确定培训等级和安全要求中每条要求的培训来源。由于许多要求取决于顾客特定要求,因此在这个问题上没有单一的完整的行业培训。组织需要评审与每个零件相关的顾客和法规要求是否适合于预期使用的国家以及安全相关的零件特性。一些顾客可能对产品安全、培训、知识和人员有具体要求。了解顾客对产品安全相关的具体要求是组织的责任。
14 7.1.5.3.2外部实验室 问题: 是否需要一个外部实验室的校准证书或(测试)报告具有与认可该实验室为 ISO/IEC 17025 的相关国家认证机构的标志(或标识或符号)? 解答: 是的,只有包括国家认证机构标志的校准证书或测试报告是可以接受的。国家认证机构的认证标志(通常也被称为“认证标识”或“认证符号”)证明所提供的检查、测试或校准服务是根据认证范围、符合 ISO/IEC 17025 的要求,并接受国家认证机构的监督进行的。
15 8.3.2.3带有嵌入式软件的产品的开发 问题: 评估供应商的软件开发能力的可接受方法是什么? 解答: IATF 16949 第 8.3.2.3 节的目的是对软件的开发应用与硬件部件的开发相同的严格程度。就像部件一样,软件定义了性能、操作条件、已知输入、指定输出、环境参数(例如文件的大小)、法规要求(如果有的话)、已知的失效模式、使用模式、操作条件的可变性等。软件开发中的计划、设计、编写、测试、确认和生产验证阶段与硬件部件开发中的这些概念并没有太大的不同。 IATF 16949 提供了一个健全的框架来验证是否已经采取了所有必要的步骤来设计、验证和生产在大量生产中继续满足规范的硬件部件。虽然在概念上类似,但这些步骤对于软件的开发是不一样的。因此,要使用一组不同的标准来评估用于开发软件的方法。这些标准并没有包括在 IATF 16949内;因此,其他的方法也可供参考,例如 Automotive SPICE 和CMMI。可能还有顾客确定的其他可接受的方法。每个顾客可能有一个首选的工具来评估供应商软件开发能力。组织应该要求他们的顾客确认可接受的评估工具。每个顾客还可以指定使用不同的方法(例如,顾客现场评估,供应商自我评估,或者两者的结合)。 IATF 16949 内部或外部审核员不需要具备进行 Automotive SPICE 或 CMMI 评估的知识。然而,内部或外部审核员应该足够熟悉评估,以便能够识别当软件评估需求未得到满足时,有适当的资源支持的纠正行动计划。IATF 16949 内部和外部审核员也应该知道顾客是否参与了软件开发评估,以及是如何记录这些评估的。
16 8.4.2.4.1第二方审核 问题: 如果组织的供应商有低风险,需要进行第二方审核吗?目的是什么? 解答: 在 ISO 9001:2015 的推动下,基于风险的思维方式需要被纳入供应商管理。需要根据风险评估的结果(见下文)完成风险分析,因此可能不需要进行第二方审核。为了支持风险分析,组织需要考虑以下标准:供应商认证状态、商品复杂性、新产品发布、显著的员工流动率、产品质量问题、交付问题、顾客特定要求以及对组织或对其顾客的其他风险。 17 8.5.6.1.1过程控制的临时更改 问题: 是否控制计划中指定的每个主要控制都必须有替代的过程控制? 解答: 不是的,不要求每个主要控制都有一个替代的过程控制。在引入新产品时,组织应该考虑到主要控制可能失败的风险,并且基于失败模式的风险和严重程 度,决定哪里需要替代的过程控制。当需要备份或替代的过程控制时,应该在过程流、PFMEA、控制计划和可用的标准化工作中定义主要的和替代的过程控制。对于现有的过程,在主要过程控制中出现故障,并且没有确定替代的过程控制的情况下,组织应该考虑风险,(例如 FMEA),以及如果获得批准,为替代的过程控制开发标准化工作,实施控制, 通过日常管理验证有效性,然后在恢复主要控制时重新生效。组织应定期检查已使用替代的过程控制的实例,并将其视为更新过程流、FMEA 和控制计划的输入。(见认可解释 11)
18 9.2.2.2质量管理体系审核 参见认可解释 14, 于 2018 年 11 月发布,2019 年 1 月生效。
19 9.2.2.3制造过程审核 问题: 对于每一个生产过程审核,必须包括所有班次吗? 解答: 每次审核不需要涵盖一次审核的所有班次(例如,就第 1班次和第 2 班次中对冲压过程进行审核, 在第 1 年进行班次抽样转换,然后在第 2年或第 3 年对冲压过程第 3 班次进行审核)。然而,所有的生产过程都必须以三年为周期对所有班次进行审核,审核频率取决于风险、绩效、变化等。
20 9.2.2.4产品审核 问题: 为什么产品审核没有确定的审核频率? 解答: 审核频率必须根据风险和产品的复杂性来确定(见 ISO 9001,第 9.2.2 节)。如果一个组织有很高的风险和很高的产品复杂性,则建议提高产品审核频率。 21 8.6.2全尺寸检验和功能性试验 问题: 全尺寸检验是否不同于产品重新认证或功能性试验? 解答: 是的,如IATF16949第8.6.2条注1所述,[全尺寸检验是设计记录中显示的所有产品尺寸的完整测量];全尺寸检验仅限于尺寸测量和要求。绩效或材料测量不包括在全尺寸检验中。产品再评定通常意味着对所有产品批准要求(例如 PPAP 或 PPA)的完全验证,因此超出了全尺寸检验的范围。功能测试/验证通常仅限于性能和材料测量,如耐久性或抗拉强度,不包括尺寸测量。如果顾客没有明确频率,组织负责确定全尺寸检验查的频率。全尺寸检验是产品再评定的一部分,如果顾客要求产品再评定的话。在控制计划中明确了持续的全尺寸检验和功能测试要求。如果存在顾客特定要求,那么那些要求(包括 全尺寸检验和功能测试要求)也包含在控制计划中。
22 9.2.2.4产品审核 问题: 产品审核与全尺寸检验有何不同? 解答: 正如IATF 16949第3节中所定义的,术语“产品”用于表示制造过程的“……任何预期的输出…”。产品通常具有尺寸、性能(功能)和材料要求,因此,产品审核可能包含对尺寸、性能(功能)或材料要求的验证。如上文FAQ 21所述,全尺寸检验仅限于尺寸要求。 产品审核可根据顾客指定的方法(如VDA 6.5产品审核)对已完成或部分完成的产品进行实施,如适用。产品审核可包括包装和标签要求。 与其他审核类型一样,产品审核是对要求符合性的独立验证。因此,产品审核具有审核方案中规定的频率和范围,并基于风险。 23 8.5.1.3作业准备的验证 问题: 如果对某一特定类型的制造过程不进行或不适用首件/末件确认,是否应按照 8.5.1.3 e)的要求保留这些记录? 解答: 如 8.5.1.3 d)所述,只有在适用和适当的情况下,才会进行首件/末件确认。如果因为不适用或不合适而不进行确认,则不需要保留记录。
24 8.4.2.2法律法规要求 问题 1: 如果组织不负责产品设计,因此只是按照顾客的设计制造产品,那么组织是否可以免除 8.4.2.2 中的要求? 解答 1: 不,所有组织无论其产品设计责任如何,都必须满足 8.4.2.2 的适用要求。适用要求涉及组织负责的采购的产品、过程和服务。 问题 2: 如果顾客没有提供目的地国的完整清单,组织是否需要向顾客请求该清单? 解答 2: 是的,如果顾客没有提供目的地国家的完整清单,则要求组织向顾客索取该清单。 注: o “接收国”是本组织的所在地。 ( 制造地点所在国家) o “装运国”是顾客的收货地点。 ( 生产基地运往的国家) o “目的地国家”是车辆销售的国家。 (最终产品最初销售的国家) 问题 3: 如果顾客不向组织提供目的地国家的信息,后果会怎样?在这种情况下,组织需要记录什么? 解答 3: 如果组织声称顾客没有提供目的地国家的必要信息,组织应该能够提供书面证据(例如信件、电子邮件、会议记录等)以证明他们为获取这些信息所做的努力。 问题 4: 顾客应该提供关于目的地国家的什么级别的详细信息?像“全球每个国家”这样的一般性声明是恰当的回应吗? 解答 4: 不,像“全球每个国家”这样的一般性声明是不能接受的。顾客应向组织提供车辆最初销售国的特定清单。 问题 5: 适用的法律和法规要求通常与产品的相关使用相关联。根据使用情况,有些零部件可能成为与安全相关的产品。基于上述陈述,顾客是否需要向组织提供关于预期用途的详细信息? 解答 5: 预期顾客将向组织提供有关特性的信息,这些特性与识别满足适用的法律和法规要求的必要控制相关(例如:特殊特性)。
25 8.3产品和服务的设计和开发 问题 什么构成组织的产品设计责任? 解答 如果组织从其顾客那里收到其正在制造的零部件(按图纸制造)的完整定义的工程规范,则该组织不负责产品设计。 如果组织没有收到其正在制造的零部件的完整定义的工程规范,则组织负责产品设计。 在所有情况下,组织负责制造过程设计。
26 8.5.1.5全面生产维护 问题 在全面生产维护的要求中包括“周期性检修”一词的意图是什么? 解答 第 8.5.1.5 节中所有生产线项目的目的是包括在长时间使用中维护制造设备的最低步骤,使其能始终按规范生产产品。 “周期性检修”是指定期维护步骤不再足以使工具和设备保持在可以继续使产品符合规范的条件下所需的制造工具和设备的返工,如使用平均修理间隔时间或其他类似指标所检测的那样。周期性检修已经在标准第三节中定义:“用于防止发生重大意外故障的维护方法,此方法根据故障或中断历史,主动停止使用某一设备或设备子系统,然后对其进行拆卸、修理、更换零件、重新装配并恢复使用。”也许周期性检修不适用于某些类型的工具和设备。也许一些工具只是在其使用寿命结束时简单地用新工具替换。然而,根据使用情况、时间或其他已知因素,所有工具和设备的使用寿命都是有限的。工具和设备制造商会是确定哪些因素并估计何时需要完成这些主要工作的良好来源。周期性检修或其适当的等效(例如更换)将需要在组织的维护计划的步骤中加以考虑。
27 8.5.1.5全面生产维护 问题 在本条款中使用术语“全面生产维护”的目的是什么?与行业术语“全面生产维护”是否有联系? 解答 IATF 16949 标准中使用的术语“全面生产维护”(TPM)指的是各种类似的方法,这些方法侧重于主动和预防性技术,这些技术通过机器、设备、过程和员工来提高工具和设备的可靠性,从而为组织增加了制造价值。例如,TPM 的行业方法将日常维护的责任(例如清洁、润滑和检查)交给了操作员。IATF 16949 中第 8.5.1.5 条有一些要求与行业 TPM 的某些支柱保持一致。 但是,8.5.1.5 [a)到 j)] 的个别要求如 IATF 16949 所述。IATF 16949 中术语“全面生产维护”的使用使组织有机会采用行业全面生产维护的基本原则,同时满足 IATF 16949 中列出的 8.5.1.5 的要求。 28 9.2.2.3制造过程审核 问:1: 制造过程审核的预期频率和覆盖范围是什么? 解答1: 对每个制造过程的有效评估对于确保产品的持续制造满足顾客和法律法规要求至关重要。然而,与ISO 9001 和 IATF 16949 的风险方法相一致,一些制造过程或制造过程的某些方面可能比其他过程需要更高的评估频率。组织通过使用适当的风险管理方法(包括考虑新技术和顾客测量的绩效)来确定审核频率(如果不是由顾客定义的)。被组织证实为低风险的制造过程,其审核频率可能低于高风险过程; 但是,所有制造过程都在三年的审核周期内进行审核。风险分析的证据包括持续遵守所有相关要求(例如:法律法规、顾客、过程和内部要求)。如果任何一个相关的要求没有被满足,则对制造过程的审核频率要高于每三年一次。根据第 9.2.2.3 条规定,三年频率是针对低风险和完全符合制造过程的最低要求。 问题2: 在应急计划试验中使用术语“网络攻击”一词是什么意思? 解答2: 网络攻击是指以造成破坏或损害为目的,试图非法访问计算机或计算机系统。 网络攻击通常是蓄意利用计算机系统或网络安全性方面的弱点来获取数据访问权,修改计算机代码、逻辑或数据。 这些行为可能会产生破坏性的后果,可能会泄露机密数据并导致网络犯罪,例如信息和身份盗窃、自动化导致的操作中断、公司关键数据的加密或对系统或数据的非法远程控制。网络攻击和网络犯罪并非总是由一系列复杂的动作导致的,这些动作使用的是由一群人远程运行的强大计算机程序来猜测密码。 它们通常是旨在说服个人通过电子邮件记录(通常是网络钓鱼)感染发布敏感或私人信息的行为,假冒(冒充受信任的人或政府官员),发布虚假紧急情况获取个人信息的电话,可视化键入的密码,带有恶意软件的热门网站,带有指向安装恶意软件的网站的链接的短信,摆放在 PC 上的看起来是合法的 USB 驱动器(已插入计算机)以及盗窃含有机密计算机信息的废弃材料等。此外,网络犯罪分子在获得公司系统的访问权后,可以对公司的关键数据进行加密, 并要求赎金来解密数据。此外,欧洲的 GDPR( 一般数据保护条例 )或其他地区的类似要求规定,组织有责任确保组织保留的个人数据在任何时候都受到保护并确保安全,这加强了防范网络攻击的重要性。有关信息技术安全技术的其他详细信息,可通过ISO/IEC 27001 获得。
以上内容引用:IATF官网资料。 |
