編號

IATF 16949 條文

認可解釋

SI 1

3.1

用語和定義

顧客要求

顧客規定的一切要求（如：技術、商業、產品及製造過程相關要求；一般條款與條件；顧客特殊要求等等）。

當被審核單位是汽車製造業、汽車製造業的子公司、或者與汽車製造業的合資企業時，相關顧客由汽車製造商、其子公司或合營企業指定。

變更理由：

顧客要求是由汽車製造商制定的，旨在根據產品實現過程的性質在供應鏈中進行應用。因此，在汽車製造商獲得認證的情況下，由汽車製造商確定如何管理顧客批准和/或輸入。

SI 2

4.4.1.2

產品安全

組織應有文件化的過程，用於與產品安全有關的產品和製造過程管理；文件化的過程應包括但不限於（在適用情況下）：

a)- m) (…)

備註：與安全有關的要求或文件的特殊批准可以由顧客或組織的內部過程要求。是指負責批准含有安全相關內容文件的職能機構（通常為顧客）作出的額外批准。

變更理由：

澄清與安全相關要求或文件的特殊批准相關的任何混淆。

SI 3

6.1.2.3

應變計畫

組織應：

a)- b) (...)

c) 準備應變計畫，以在下列任一情況下保證供應的持續性：關鍵設備故障（另見第 8.5.6.1.1 條）、外部提供的產品、過程或服務中斷、自然災害(如火災)、流行病、公共設備中斷、對資訊技術系統的網路攻擊、勞動力短缺、或者基礎設施破壞。

d) 包括作為應變計劃的補充，以影響客戶營運的任何情況的程度與持續時間，向客戶和其他相關方發出通知；

e) 定期測試應變計劃的有效性（例如：視情況模擬）；

對於網路安全：測試可能包括模擬網路攻擊、特定威脅的定期監控、依賴關係的識別和漏洞的優先排序。測試適用於相關客戶中斷的風險；

備註：網路安全測試可有組織內部管理或斟酌委外。

f) 使用包含高階管理人員在內的團隊，進行應變計畫審查（至少每年一次），並根據需求進行更新；

g) 紀錄應變計畫並保留任何修訂的文件化資訊，包括授權變更的人員

h) 在應變計畫中包括制定和實施適當的員工訓練和意識。應變計畫應包括驗證製造的產品在生產停止的緊急情況下，開始重新生產後，是否能繼續滿足客戶要求，若沒有應進行停工流程。

變更的理由：

1. 組織需要解決可能導致組織製造和物流運行故障的網路攻擊的可能性（包括勒索軟體）。組織需要確保他們在發生網路攻擊時做好準備。

2. 從 SI 17 移出並合併為該 IATF 16949 條款形成一個 SI。

網路安全對於包括汽車在內的所有製造設備可持續性構成越來越大的風險。組織和認證機構也將應變測試確定為需要澄清的領域。此更新提供了作為網路攻擊應變計畫驗證的一部分，並進行測試的詳細資訊。

3. 次要澄清，需在應變計畫中包含增加流行病。此外，認識到員工知識是制定有效應變計畫的關鍵步驟。

SI 4

7.2.3

內部稽核能力

修訂

組織應有文件化的過程，用於驗證內部稽核員的能力，要考慮到組織定義的要求和/或顧客特殊要求。關於稽核員能力的更多要求，參考 ISO 19011。組織應保持一份合格內部稽核員名單。 品質管理體系統稽核員，製造過程稽核員和產品稽核員都能證實最少具備以下能力：

a) 瞭解汽車稽核過程方法，包括基於風險的思維；

b) 瞭解適用的顧客特殊要求；

c) 瞭解 ISO 9001 和 IATF 16949 中適用的與稽核範圍有關的要求；

d) 瞭解稽核範圍有關的適用的核心工具要求；

e) 瞭解如何計畫稽核、實施稽核、報告稽核以及關閉稽核發現。

此外，製造過程稽核員應至少證實對於待稽核的相關製造過程，其具有技術知識，包括過程風險分析（例如PFMEA）和控制計畫。

產品稽核員還應’至少’證實其瞭解產品要求，並能夠使用相關測量和試驗設備驗證產品符合性。

未達上述能力，當組織的人員’提供培訓’來’取得人員能力的情況下’，應保留文件化的資訊，證實講師的能力符合上述要求。

f)…g)

變更的理由：

區分品質管理系統稽核員、製造過程稽核員和產品稽核員的能力要求。闡明對內部培訓講師能力的期望。經修訂，以表明不排除f)、g)的要求。

SI 5

7.5.1.1

品質管理

系統文件

品質手冊至少應包括以下內容：

a) 品質管理系統的範圍，包括任何刪減的細節和合理性；

b) 為品質管理系統建立的文件化的過程或對其引用；

c) 組織的過程及其順序的相互作用(輸入和輸出)，包括任何外包製程的類型和程度；

d) 一個顯示組織品質管理系統內哪些地方滿足了顧客特定要求的文件（’如矩陣’，’例如表格、列表或矩陣’）。

變更的理由：

一些認證機構和組織要求澄清，矩陣表並非強制性的文件形式。矩陣表只是可接受的多種方法之一。使用什麼格式取決於組織。

SI 6

8.3.3.3

特殊特性

組織應採用多方論證方法來建立、文件化並實施用於識別特殊特性的過程，包括顧客確定的以及組織風險分析所確定的特殊特性，應包括：

a) 將所有特殊特性記錄進產品和/或生產文件圖紙（按要求）、相關風險分析（例如過程 FMEA）、管制計畫和標準的工作/操作指導書；特殊特性應用特殊標示來標記，並且貫穿這些文件中的每一個；記錄在為創造或控制這些特殊特性所需的制造文件中。

變更的理由：

明確將特殊特性記錄在產品和/或製造圖紙中。

SI 7

8.4.2.1

管制的

程度和類型

補充

組織應有文件化的過程，以識別外包過程並選擇管制的程度和類型，用於驗證外部提供的產品、過程和服務符合內部(組織的)要求和外部顧客要求。

此過程應包括根據供應商績效和產品、材料或服務風險的評估，增加或降低控制類型和程度以及 開發活動的標準及措施。

如果特性或零部件在沒有確認或管制的情況下「通過」組織的品質管理系統，組織應確保在制造地點實施適當的控制。

變更的理由：

明確組織對特性通過的責任。

SI 8

8.4.2.3

供應商

品質管理系統

發展

修訂

組織應要求其汽車產品和服務供應商開發、實施和改進品質管理系統(QMS)，最終目標是合格的組織通過本汽車品質管理系統認證。基於風險，組織應為每個供應商確定可接受的 QMS開發最低水準和QMS開發目標水平及ISO9001認證，除非顧客另行授權(如：下述的a)，通過ISO 9001 認證的品質

管理認證是開發可接受的最低水準。根據當前績效和顧客的潛在風險，目標是推動供應商遵守以下品質管理系統開發步驟：最終目標是通過汽車QMS標準的認證。除非顧客另有規定，應當根據以下順序來 達成要求：

a) 由第二方稽核符合 ISO 9001；

b) 經由第三方稽核通過 ISO 9001 認證；除非顧客另有規定，組織的供應商應通過保持認證機構出具的第三方認證證明來證實對ISO 9001的符合性，證明上應有被承認的 IAF MLA(國際認可論壇多邊相互承認協定)成員的認可標誌，其中，認可機構的主要範圍包括ISO/IEC 17021 管理系統認證；

c) 經由二者稽核通過ISO 9001認證，同時符合其它顧客確定的品質管理系統要求（例如：次級供應商最低汽車品質管理系統要求[MAQMSR]或等效要求）；

d) 獲得 ISO 9001 認證證書，並通過第二者稽核符合 IATF 16949；

e) 經由第三方稽核通過 IATF 16949 認證（IATF 認可的認證機構進行的有效的供應商 IATF 16949 第三方認證）。

備註：如果顧客認可，QMS 開發可接受的最低水準可以是通過第二方審核符合 ISO 9001。

變更的理由：

明確預期的供應商品質管理系統開發步驟。這個方法支援標準中第8.4節強調的「風險思維」的概念。在第一段中增加了“適用”的附加說明，以說明那些沒有資格獲得IATF 16949 認證的組織(包括但不限於以下例子：廢金屬供應商、提供運輸和後勤支援的貨運公司等)。

SI 9

8.7.1.1

客戶的特殊授權

無論何時，當產品或製造過程與當前核准的不同時，在進一步加工之前，應獲得客戶的特殊授權。

組織應在進一步加工之前，獲得顧客對不合格品「照現狀使用」和返修（見8.7.1.5）反工處置 的授權。如果在製造過程中有零件的再使用，應在讓步或偏離許可中向顧客清楚傳達該零件的再使用。

變更的理由：

明確要求並消除關於顧客批准返工的矛盾要求。

SI 10

7.1.5.3.2

外部實驗室

組織用於檢驗、測試或校準服務的外部/商業/獨立實驗室設施應具有確定的實驗室範圍，包括執行所需的檢查、測試或校準的能力，或：

— 該實驗室應通過ISO/IEC 17025或國家同等標準的認證(如中國的CNAS-CL01、ILAC MRA (國際實驗室認證論壇互認協議 – www.ilac.org)的認證 (簽約)或國家同等效力機構並包括認證（證書）範圍內的相關檢查、測試或校準服務；校準證書或測試報告應包括國家

認證機構的標誌；或

— 無經過認證的實驗室（例如，專業、綜合設備實驗室或對於沒有國際可追溯標準參考的參數），該組織有責任確保其有證據證明實驗室已通過評估並符合 IATF 16949，7.1.5.3.1要求。

— 應當有證據表明外部實驗室能被客戶所接受。

備註：例如，此類證據可以通過客戶評估或通過客戶認可的第二方評估，證明實驗室符合ISO / IEC 17025或等同於國家/地區標準的意圖。第二方評估實驗室可以由組織使用客戶認可的評估方法評估。

如果設備製造商合格，則可以由設備製造商提供校準服務。

當實驗室設備不適用或不合格。可由設備製造商提供校準服務。此時組織應確保其滿足7.1.5.3.1節中列出的要求。

除合格的（或客戶接受的）實驗室外，還可以使用校準服務。

如有需要，請經過政府監管確認。

備註：測量設備的綜合自我校準，包括使用專有技術軟件，其不符合校準要求。

變更的理由：

一些組織發現，用於檢驗、測試或校準服務的外部/商業/ 獨立實驗室設施的實驗室認證要求令人困惑而需要解釋清楚。闡明實驗室認證要求和期望。

1. 發行於2018年4月

2. 修訂2018年6月

3. 重新發布以表明該註釋和後續段落未被排除。

4. 澄清了可以使用非認證實驗室的使用條件，可以使用設備製造商，並刪除註釋，以及設備自校準的可接受性（2021年4月）。還刪除了有關監管確認的句子，因為這不是政府的要求。

5. 提供進一步的澄清，解釋使用非認證實驗室所需的條件和評估；包括原始設備製造商的測試和測量。

SI 11

8.5.6.1.1

過程管制的

暫時性變更

組織應識別、記錄和維護過程管制的清單，包括檢驗、量測、試驗和防錯裝置，這包括主要的程序控制和批准的備份或替代方法。過程管制的清單應包括主要程序控制和經核准的備用或替代方法。

變更的理由:

闡明並不是每個主要過程管制都有備用或替代方法。闡明如果存在備用或替代方法，則將這些備用或替代方法包含在組織維護的清單中。並不要求每個主要過程管制都要有一個替代方案。

SI 12

5.1.1.2

流程有效性

與效率

高層管理人員應審查產品實現過程和品質管理系統的有效性與效率，並支持過程以評估和提高組織品質管理系統的有效性與效率 。過程審查活動的結果應作為管理審查的輸入(見第 9.3.2.1 節)。

變更的理由:

闡明並不是每個過程都需要效率測度。組織需要確定在他們的品質管理系統中哪些過程需要效率測度。此外，組織的問題解決過程需要由組織的管理人員進行有效性審查。

SI 13

9.3.2.1

管理審查輸入

補充

管理審查的輸入應包括:

a) 不良品質成本（內部和外部不符合的成本）;

b) 過程有效性的測量；

c) 產品實現過程的過程效率的衡量, 如適用；

d) 產品符合性；

e) 對現有操作更改和新設施或新產品進行的製造可行性評估（見第 7.1.3.1 條）；

f) 顧客滿意度(見ISO 9001第 9.1.2 條)；

g) 根據維護目標審查績效；

h) 保修績效（在適用情況下）；

i) 客戶計分卡審查（在適用情況下）；

j) 通過風險分析（如 FMEA）識別潛在現場失效標識；

k) 實際使用現場失效及其對安全或環境的影響。

變更的理由：

闡明並不是每個過程都需要效率測量。組織需要確定在他們的品質管理系統中哪些過程需要效率測量。

SI 14

9.2.2.2

品質管理系統

稽核

組織應根據年度計畫，在每一個三年的稽核週期內，對所有品質管理系統過程進行稽核，使用流程方法驗證是否符合本汽車品質管理系統標準。結合這些稽核，組織應對顧客特定的品質管理系統要求進行抽樣，檢查是否得到有效實施。

整個稽核週期仍為三年。在三年的稽核週期內，品質管理系統對個別流程的稽核頻率，應基於內部和外部的績效和風險。組織應對其過程的指定稽核頻率保持正當理由。所有流程必須在三年的稽核週期內取樣，並按照 IATF16949 標準的所有適用要求進行稽核，包括ISO 9001基本要求和任何顧客特定要求。

變更的理由:

闡明稽核週期仍為三年。刪除IATF 16949 FAQ 18，將之前的常見問題解答18第2段要求納入SI 14。闡明在三年的稽核週期內對所有過程進行審查。

SI 15

3.1

用語和定義

嵌入式軟件

嵌入式軟件是儲存在客戶指定的汽車組件（通常是電腦晶片或其他非易失性存儲器)中，或者作為系統設計的一部分以控制其功能的專門程式。為了符合IATF 16949認證的範圍，由嵌入式軟件控制的部件必須為汽車應用而研發(即客車、輕型商用車、重型卡車、公共汽車以及摩托車；參見《獲得並保持 IATF認可的規則》，第 5 版，第1.0 節IATF 16949驗證資格，以符合“汽車”資格）。

備註：用於控制製造過程的任何方面的軟件(如用於製造組件或材料的機器)不包括在嵌入式軟件的定義中。

變更的理由：

儘量減少對嵌入式軟件和應用程式的混淆。刪除 IATF16949 常見問題 10。

SI 16

9.3.2.1

管理審查輸入

補充

管理審查的輸入新增：

l) 產品和製程的設計與開發流程之特定階段的衡量結果摘要(適用時)。

變更的理由：

在 ”8.3.4.1監測” 中，產品和製程的設計與開發之特定階段的各種衡量結果應被界定、分析，並摘要結果報告，以作為對管理審查的輸入。但是，它沒有顯示在9.3.2.1 節中。衡量可考慮例如：時間、成本及可行性。

SI 17

6.1.2.3

應變計劃

a) – d) (…)

e) 定期測試應變計畫的有效性（如進行適當的模擬）；

網路安全測試可能包括網路攻擊的模擬、對特定威脅的定期監視、相關性的識別以及漏洞的優先性。該測試適合於相關客戶的中斷風險；

注意：網路安全測試可由組織內部進行管理，也可以視情況分包。

變更的理由：

網路安全對包括汽車在內的所有製造場所的製造可持續性構成越來越大的風險。組織和驗證機構也已將應變測試確定為需要闡明的領域。因此更新提供了要作為網路攻擊應變計畫驗證的一部分進行測試的詳細資訊。(結合SI 3)

SI 18

7.1.3.1

工廠、設施及

設備規劃

組織應使用多方論證的方法，包括風險識別和風險緩解方法，來開發並改善工廠、設施和設備的計畫。在設計工廠動線時，組織應：

a) 改善原物料的流動和搬運，以及對空間場地的增加利用，包括對不合格品的控制；並且

b) 在適用時，便於原物料的同步流動；以及

c) 對支援製造的設備和系統實施網路保護。

變更的理由：

網路安全不限於使用電腦的支援功能和辦公區域。製造也使用電腦控制和設備，這將面臨網路攻擊的風險。此增加推動了必要保護措施的實施，以確保持續運行和生產以滿足顧客的要求。

SI 19

8.4.2.4

供應商監控

組織應有一文件化流程及標準來評估供應商，以確保外部提供之產品、過程與服務符合內部和外部客戶的需求。供應商績效指標應監控以下：

a) 以交貨成品之符合性
b) 客戶中斷，包括廠區扣留及停止交運

c) 交貨計畫之績效

d) 超額運費發生次數

及客戶有提供之項目，也能包含在績效指標中

e)…f)

變更的理由：

超額運費已包含在 ”9.1.2.1客戶滿意”要求中。

SI 20

10.2.3

問題解決

組織應將解決問題的程序文件化，以避免問題重複發生，其應包括：

a) 針對各種類型和規模的問題定義的方法。（例如：新產品開發、當前的製造問題，現場故障及審核結果）

b) 管控控制所需的遏制，突發行動和相關活動不合格的產出（參見ISO 9001 8.7）

c) 根本原因分析：使用的方法、分析和結果

d) 實施系統的糾正措施，包括考慮類似對系統的影響過程和產品

e) 驗證實施的矯正措施有效性

f) 必要時，審查及更新適當的書面訊息（例如：PFMEA控制計畫）

若客戶具有解決問題的特定規範流程、工具或系統，組織應使用其流程。除非獲得客戶的批准。

變更的理由：

通常會觀察到糾正措施，但缺少了預防復發的步驟。線以增加預防問題復發的要求。

SI 21

6.1.2.1

風險分析

組織應在其風險分析中至少包括：

a) 從產品召回、稽核、現場退貨和維修、客訴、報廢、返工中吸取經驗教訓。

b) 對資訊技術系統的網路攻擊威脅。

組織應保留文件化資訊作為風險分析結果的證據

變更的理由：

由於資訊統之保存著有價值的訊息，潛在的網路攻擊會帶給所有認證組織風險。組織需要在風險分析中考慮潛在的網路攻擊。

SI 22

7.2.1

能力

補充

組織應建立並維護文件化的過程，以確定培訓需求，包括意識（7.1.3.1）和實現所有執行影響，符合產品流程活動的人員能力。執行特定分配任務的人員，應根據需求獲得資格，特別要滿足客戶要求。

為減少或消除對組織的風險，培訓和意識還應包括與組織工作環境和員工責任相關的預防資訊，例如，識別未決設備故障和/或網路攻擊未遂的症狀。

變更的理由：

員工知識是防止問題變得嚴重的關鍵因素，包括識別潛在的設備故障和網路攻擊。

SI 23

4.4.1.1

產品和流程的

符合性

組織應確保後勤維修件及外包的產品和過程，符合一切適用的顧客和法律法規要求，包含符合客戶或法規對於材料之要求 (見8.4.2.2)。

變更的理由：

並非新要求，但材料合規性在汽車行業領域逐漸被重視。

SI 24

附件 A: A.1

控制計畫階段

補充

備註１： 建議組織要求其供應商滿足本附錄的要求。

備註２： 對於散裝材料，大多的生產資訊在過程管制計畫中不被列出。可在相應的批次配方詳情中獲得此類資訊。

備註3： 對於高度自動化的製程（例如，半導體、機械加工、焊接），其中控制方法（即，規格/公差、樣本大小、頻率）由系統（例如，MES - 製造執行系統或類似系統）進行控制，控制系統摘要資訊可從製程系統直接匯入或透過系統連接取得摘要的系統資訊。

SI 25

附件 A: A.2

管制計畫要素

管制計劃至少包括以下內容:

綜合數據

a)管制計劃編號;

b)發布日期和修訂日期

c)客戶信資訊(見客戶要求)

d)組織名稱/現場編號

e)零件編號或通用控制計劃名稱

f)零件名稱/描述;

g)工程變更級別;

h)涵蓋的階段(原型、預發布、生產);

i)主要聯繫人

j)零件/工藝步驟編號;

k)過程名稱/操作描述;

l)負責的職能組/區域。

附件A:A2的其他全部部分(產品控制、過程控制、方法和應變計劃)均末更改。

變更的理由:

用於多個零件的通用控制計劃可能會導致涵蓋的零件編號列表太大而無法包含在控制計畫文檔中。因此，使用通用控制計畫名稱將簡化此類參考。