ATF 16949：2016 - 常见问题（FAQ）完整版1-29完整版

1、为什么这两本手册（IATF 16949：2016和ISO 9001：2015）比ISO / TS 16949版本贵很多？

IATF和ISO无法就以合并的文件形式发布IATF 16949达成许可协议。 为了不再推迟新的IATF 16949标准的推出，IATF决定以双手册格式出版。

在发布之前，IATF确实与国际认证机构确认其他行业也使用双手册模式来确定其行业特定要求，并使用双手册模式进行审核，虽然不是最佳的，却是有效的。

IATF通过继续保持联络委员会地位来与ISO保持着强有力的合作关系，确保持续符合ISO 9001。

2、为什么有两本手册（IATF 16949：2016和ISO 9001：2015）？ 

两本手册而不是一本手册使阅读和理解要求变得更加困难。(前言 - 汽车QMS标准)

因为ISO和IATF之间没有关于IATF 16949合并格式的共同许可协议，所以IATF无法就ISO 9001：2015标准谈判折扣。

IATF保持汽车特定内容的价格与之前的定价一致。

从本质上讲，差异在于出版ISO 9001需要给ISO全额价格。

3、如果在IATF 16949标准中发现翻译错误，应该怎么办？ (前言 - 汽车QMS标准)

IATF使用确定的过程来管理标准翻译，包括“交叉核对”翻译以确保准确性。 如果组织或认证机构识别出所认为的翻译错误，应联系IATF成员行业协会或支持其认证机构的监督办公室。

4、该条款的范围是什么？ 许多组织专注于产品的法律法规要求，却不相信他们有与制造产品或制造过程相关的产品安全。(4.4.1.2 产品安全)

本条款着重关注影响最终装配安全性能的产品和制造工艺特性。 这些特性可能不是在法律法规要求中直接提出的，而是可能由顾客定义的。

5、意图是将职责分配给特定的职能（例如质量）、特定的职位（例如质量总监）还是名义上的个人（例如Bob Smith）呢？(5.3.1 组织的角色、职责和权限 - 补充)

职责分配给组织内的角色/职位（如 特定职位，质量总监）。 虽然个人可能在他们的角色中承担这些责任，但是职责仍然属于角色（例如质量总监）。 因此，高层管理者将责任和权力分配给角色，而不是名义上的个人。

6、每台仪器或设备都需要进行测量系统评估（MSA）研究吗？(7.1.5.1.1 测量系统评估)

不需要。对每件设备进行完整的统计研究是不必要的。 可以对具有相同特征（例如测量范围、分辨率、重复性等）的仪器进行分组，并且可以使用样品仪器（代表一组相似测量仪器）进行统计学研究。

7、7.1.5.3.2 外部实验室

问题 1:什么时候设备制造商可用于校准检验和测试设备？

如果认可的实验室存在但是非常偏远和/或昂贵，并且检验或测试设备制造商在附近并且可用，是否可以使用它们（即使它们没有获得为ISO / IEC 17025认证）？

解答 1:

作为检验或测试设备设计和制造的一部分，检验或测试设备制造商制定了设备维护和调整的方法，以满足校准要求。 因此，检验和测试设备的原始设备制造商有资格校准他们设计和制造的设备。

在使用任何主机厂进行校准服务之前，组织应获得顾客的批准。

问题 2:如果组织在最终组装和测试区域有检、测量和测试设备，是否可以被认为是内部实验室？

解答 2:

不可以。在生产过程或装配过程任何部分使用的在线测量和测试设备都不被视为内部实验室。

8、该文件（可能是一个表、列表或矩阵）是否必须包含非IATF 主机厂和一级供应商？ 除了企业社会责任之外，是否需要将所有顾客要求都包含在文件中？(7.5.1.1 质量管理体系文件)

根据IATF 16949第4.3.2节，组织负责评估顾客要求，包括顾客特定要求，并将其纳入组织质量管理体系的范围。

根据IATF 16949 7.5.1.1 d）的要求，文件（可能是一张表、一个清单或一个矩阵）是质量手册的一部分。 该文件应包括认证机构的所有直接顾客，其中可能包括IATF 主机厂、非IATF 主机厂和其他汽车顾客（即一级，二级等）。

   例如，二级组织必须考虑所有顾客的顾客要求，包括顾客特定要求。 如果主机厂不是其直接顾客，则二级组织不需要考虑汽车主机厂的顾客需求。

非常重要的一点是，非IATF 主机厂顾客和其他汽车顾客可以在与供应商共享的内部文件（例如供应商质量手册）中或在向公众提供的特定文件（例如，互联网）中拥有顾客要求。

如果非IATF 主机厂或其他汽车顾客在其顾客要求文件中没有明确联系IATF 16949条款，则可能很难识别顾客特定要求。确定是否存在顾客特定要求的方法是比较IATF 16949标准中存在术语“如果顾客要求”的部分，并验证现有顾客要求文档是否列出了与IATF 16949标准需求相关的特定需求。如果是，则应在质量手册中将该顾客及其要求添加到文档（可能是表格、列表或矩阵）中。

并不期望组织直接采用顾客要求，包括顾客特殊要求，可以将其转换为与IATF16949条款类似的与IATF OEMs发布的内容相一致的CSR格式。

9、8.4.2.2 法律法规要求 及 8.6.5 法律法规符合性

问题 1:（关于法律法规的一致性）的观点是什么？ 被认为是符合适用的法律法规要求的充分证据（8.6.5）是什么？

解答 1:

如8.3.3.1 g）和8.3.4.2中所定义的，组织必须采取一种方法来研究、识别、取得副本、审查、理解并确保其在制造产品的国家和在运送产品的目的地国生产的产品符合法律法规要求。

8.4.2.2的意图是组织应设计其产品开发方法/业务过程和供应商管理方法/业务过程，从供应商那里获得由供应商提供的服务符合供应商制造国的、组织使用国的、以及组织将产品运送到的目的地国的（如果由顾客提供）法律法规要求的证明和证据的一种或多种方法。

8.6.5的意图是要求组织检验从供应商处收到的一致性/合规性记录，以确保供应商提供的证据涵盖产品的批次代码、批号或可比较的可追溯性信息。这可以从供应商处收到，或在产品存货时完成，但必须在产品放行到组织的生产过程之前完成。

问题 2:从ISO / TS 16949到 IATF 16949，第8.4.2.2条款的意图是否发生了改变？

解答 2:

条款的意图没有改变。 ISO / TS 16949的要求是“所有购买的产品应符合适用的法律法规要求”。 在这种“被动语态”的措辞中，显然没有明确IATF的期望。新要求更明确的是要做什么，什么时候要完成，需要哪些证据来支持合规性。

问题 3:你如何管理和维护当前关于国际供应商的法律法规要求的知识？

解答3:

IATF16949第8.6.5节并不要求组织为所购买的外部提供的过程、产品或服务知道或保留所有国际法律法规要求的清单。

要求组织检查结果、审核或以其他方式定期验证供应商的过程是否健全并确保其符合最新的适用法律法规和其他要求、其制造国以及客户指定的国家的法律法规和其他要求。

问题 4:如果顾客没有向组织传达信息，我们的系统如何理解法律法规要求？

解答 4:

该条款的措词是期望顾客向产品将要运送到的组织提供信息。 由于这些目的地的变化而引起的适用法律法规要求的变化只是 由顾客“如果提供”给组织的要求。

10、8.4.2.3.1 汽车产品相关软件或汽车嵌入式软件产品（删除）

参见认可解释15, 于2018年11月发布，2019年1月生效。

SI中的定义如下：

嵌入式软件

嵌入式软件是存储在客户指定的汽车部件（通常是计算机芯片或其他非易失性存储器)中，或作为系统设计的一部分来控制其功能的专门程序。为了符合IATF 16949认证的范围，由嵌入式软件控制的部件必须为汽车应用而研发(即客车、轻型商用车、重型卡车、客车以及摩托车;参见《获得并保持IATF认可的规则》，第5版，第1.0节 IATF 16949认证资格，以符合“汽车”资格）。

注:用于控制制造过程的任何方面的软件(如用于制造部件或材料的机器)不包括在嵌入式软件的定义中。

11、8.7.1.7 不合格产品处置

问题 1:在处理之前“认定为不可用”的意图和要求是什么？ 需要在何时何地将产品“认定为不可用”？

解答 1:

其目的是确保产品无法进入非官方的售后市场、进入公路用车或意外运送给顾客。

只要产品在最终处置之前被宣布为不可用，那么将不合格产品认定为不可用的过程不必在制造区域中发生。

问题 2:组织如何对此进行控制？

解答 2:

组织负责制定和执行不合格产品的处理过程并验证其有效性。

问题 3:组织是否可以使用服务提供商来认定产品不可用？

解答 3:

是的，将产品认定为不可用的过程可以外包给一家服务提供商。 如果使用服务提供商，组织需要批准并定期验证供应商如何认定产品为不可用。

问题4: 不合格产品处置是否仅适用于最终产品，还是也适用于组件/部件装配？

解答 4:

该要求适用于已通过零件审批过程且组织正向顾客运送的产品。

问题 5: 对于认定不可用，需要多大程度地损坏不合格产品？

解答5:

不合格产品需要认定为不可用和不可修复。 不需要将产品粉碎或粉碎成许多块。

12、在一个“文档化的过程”中记录多个过程是可以接受的吗？或者它们都必须是单独的文档化过程吗？(贯穿整个标准) 

是的, 组织将多个文档化的过程分组到一个（或多个）过程中是可以接受的。每个文档化的过程并不一定是一个单独的过程。组织应该记录他们的过程，因为这对他们的个人业务和组织需求是有意义的。

13、在产品安全(4.4.1.2)方面，对培训水平和需要确定的特定标准有哪些要求？（4.4.1.2 产品安全 )

与所有的人员能力要求一样，被分配了特定任务的人员需要有胜任这项工作的能力。这种能力包括与任务相关的规章制度。

第4.4.1.2节中关于需要什么样的安全要求是非常具体的。参考IATF 16949第4.4.1.2节，这些条款包括：

a) 供应商应如客户所期望的那样，了解与市场零件使用有关的所有法律法规要求。供应商需要知道在哪里可以研究所有受到影响的国家或地区的法规。

b) 客户详细信息将确定客户通知要求；因此，了解客户的具体情况（可能由内部指定的主题专家讲授）。

c) 设计FMEAs的特别批准将在客户的详细信息中确定，见上述b）条款。

d) 和 e) 产品安全相关特征及其控制的识别，将由客户在其特殊特征的定义和必要的控制中定义。. 开发PFMEAs和控制计划的人员需要在其客户形成文档的那些方面有知识储备。

条款f）到条款m)也可以进行类似的分析，以确定培训水平和安全要求中每条要求的培训来源。

由于许多要求取决于客户的特定需求，因此在这个问题上没有单一的完整的行业培训。组织需要审查与每个零件相关的客户和法规要求是否适合于预期使用的国家以及安全相关的零件特性。

一些客户可能对产品安全、培训、知识和人员有具体要求。了解客户对产品安全相关的具体要求是组织的责任。

14、是否需要一个外部实验室的校准证书或（测试）报告具有与认可该实验室为ISO/IEC 17025的相关国家认证机构的标志（或标识或符号）？(7.1.5.3.2 外部实验室)

是的，只有包括国家认证机构标志的校准证书或测试报告是可以接受的。

国家认证机构的认证标志（通常也被称为“认证标识”或“认证符号”）证明所提供的检查、测试或校准服务是根据认证范围、符合ISO/IEC 17025的要求，并接受国家认证机构的监督进行的。

15、评估供应商的软件开发能力的可接受方法是什么？(8.3.2.3开发带有嵌入式软件的产品)

IATF 16949第8.3.2.3节的目的是对软件的开发应用与硬件部件的开发相同的严格程度。就像部件一样，软件定义了性能、操作条件、已知输入、指定输出、环境参数（例如文件的大小）、法规要求（如果有的话）、已知的失效模式、使用模式、操作条件的可变性等。

软件开发中的计划、设计、编写、测试、确认和生产验证阶段与硬件部件开发中的这些概念并没有太大的不同。 IATF 16949提供了一个健全的框架来验证是否已经采取了所有必要的步骤来设计、验证和生产在大量生产中继续满足规范的硬件部件。虽然在概念上类似，但这些步骤对于软件的开发是不一样的。因此，要使用一组不同的标准来评估用于开发软件的方法。

这些标准并没有包括在IATF 16949内；因此，其他的方法也可供参考，例如Automotive SPICE和CMMI。可能还有客户确定的其他可接受的方法。每个客户可能有一个首选的工具来评估供应商软件开发能力。组织应该要求他们的客户确认可接受的评估工具。每个客户还可以指定使用不同的方法（例如，客户现场评估，供应商自我评估，或者两者的结合）。

IATF 16949内部或外部审核员不需要具备进行Automotive SPICE或CMMI评估的知识。然而，内部或外部审核员应该足够熟悉评估，以便能够识别当软件评估需求未得到满足时，有适当的资源支持的纠正行动计划。IATF 16949内部和外部审核员也应该知道客户是否参与了软件开发评估，以及是如何记录这些评估的。

16、如果组织的供应商有低风险，需要进行第二方审核吗？目的是什么?(8.4.2.4.1 第二方审核)

在ISO 9001:2015的推动下，基于风险的思维方式需要被纳入供应商管理。需要根据风险评估的结果（见下文）完成风险分析，因此可能不需要进行第二方审核。

为了支持风险分析，组织需要考虑以下标准：供应商认证状态、商品复杂性、新产品发布、显著的员工流动率、产品质量问题、交付问题、客户特定需求以及对组织或对其客户的其他风险。

17、是否控制计划中指定的每个主要控制都必须有替代的过程控制？ （8.5.6.1.1 过程控制的临时变更）？

不是的，不要求每个主要控制都有一个替代的过程控制。

在引入新产品时，组织应该考虑到主要控制可能失败的风险，并且基于失败模式的风险和严重程度，决定哪里需要替代的过程控制。当需要备份或替代的过程控制时，应该在过程流、PFMEA、控制计划和可用的标准化工作中定义主要的和替代的过程控制。

对于现有的过程，在主要过程控制中出现故障，并且没有确定替代的过程控制的情况下，组织应该考虑风险，（例如FMEA），以及如果获得批准，为替代的过程控制开发标准化工作，实施控制，通过日常管理验证有效性，然后在恢复主要控制时重新生效。

组织应定期检查已使用替代的过程控制的实例，并将其视为更新过程流、FMEA和控制计划的输入。（见认可解释11）

18、9.2.2.2 质量管理体系审核 删除

参见认可解释14, 于2018年11月发布，2019年1月生效。

SI 14内容如下

组织应根据年度计划，在每一个三年的审核周期日历期内，对所有质量管理体系过程进行审核，使用过程方法验证是否符合本汽车质量管理体系标准。与这些审核相结合，组织应对客户特定的质量管理体系要求进行抽样，以便有效实施。

整个审核周期仍为三年。在三年的审核周期内，质量管理体系对单个过程的审核频率，应基于内部和外部的绩效和风险。组织应对其过程的指定审核频率保持正当理由。所有过程必须在三年的审核周期内取样，并按照IATF 16949标准的所有适用要求进行审核，包括ISO 9001基本要求和任何客户特定要求。

19、对于每一个生产过程审核，必须包括所有班次吗？（9.2.2.3 生产过程审核）

每次审核不需要涵盖一次审核的所有班次（例如，就第1班次和第2班次中对冲压过程进行审核，在第1年进行班次抽样转换，然后在第2年或第3年对冲压过程第3班次进行审核）。然而，所有的生产过程都必须以三年为周期对所有班次进行审核，审核频率取决于风险、绩效、变化等。

20、为什么产品审核没有确定的审核频率？（9.2.2.4 产品审核）

审核频率必须根据风险和产品的复杂性来确定（见ISO 9001，第9.2.2节）。如果一个组织有很高的风险和很高的产品复杂性，则建议提高产品审核频率。

21、全尺寸检验不同于产品再评定或功能测试吗? （8.6.2 全尺寸检验和功能测试）

是的，如IATF 16949第8.6.2条注1所述，[全尺寸检验是设计记录中显示的所有产品尺寸的完整测量];全尺寸检验仅限于尺寸测量和要求。性能或材料测量不包括在全尺寸检验中。

产品再评定通常意味着对所有产品批准要求(例如PPAP或PPA)的完全验证，因此超出了全尺寸检验的范围。

功能测试/验证通常仅限于性能和材料测量，如耐久性或抗拉强度，不包括尺寸测量。

如果客户没有明确频率，组织负责确定全尺寸检验查的频率。

全尺寸检验是产品再评定的一部分，如果客户要求产品再评定的话。

在控制计划中明确了持续的全尺寸检验和功能测试要求。如果存在客户特定要求，那么那些要求（包括全尺寸检验和功能测试要求）也包含在控制计划中。

22、产品审核与全尺寸检验有何不同？（9.2.2.4 产品审核）

正如IATF 16949第3节中所定义的，术语“产品”用于表示制造过程的“……任何预期的输出…”。

产品通常具有尺寸、性能(功能)和材料要求，因此，产品审核可能包含对尺寸、性能(功能)或材料要求的验证。如上文FAQ 21所述，全尺寸检验仅限于尺寸要求。

产品审核可根据客户指定的方法(如VDA 6.5产品审核)对已完成或部分完成的产品进行实施，如适用。产品审核可包括包装和标签要求。

与其他审核类型一样，产品审核是对要求符合性的独立验证。因此，产品审核具有审核方案中规定的频率和范围，并基于风险。

23、如果对某一特定类型的制造过程不进行或不适用首件/末件确认，是否应按照8.5.1.3 e)的要求保留这些记录?（8.5.1.3 作业准备的验证）

 

如8.5.1.3 d)所述，只有在适用和适当的情况下，才会进行首件/末件确认。如果因为不适用或不合适而不进行确认，则不需要保留记录。

24、8.4.2.2 法律法规要求

问题1:如果组织不负责产品设计，因此只是按照客户的设计制造产品，那么组织是否可以免除8.4.2.2中的要求?

解答:

不，所有组织无论其产品设计责任如何，都必须满足8.4.2.2的适用要求。适用要求涉及组织负责的采购的产品、过程和服务。

问题2:如果客户没有提供目的地国的完整清单，组织是否需要向客户请求该清单?

解答:

是的，如果客户没有提供目的地国家的完整清单，则要求组织向客户索取该清单。

注:

“接收国”是本组织的所在地。 (制造地点所在国家)

 “装运国”是客户的收货地点。 (生产基地运往的国家)

 “目的地国家”是车辆销售的国家。 (最终产品最初销售的国家)

问题3:如果客户不向组织提供目的地国家的信息，后果会怎样?在这种情况下，组织需要记录什么?

解答:

如果组织声称客户没有提供目的地国家的必要信息，组织应该能够提供书面证据(例如信件、电子邮件、会议记录等)以证明他们为获取这些信息所做的努力。

 

问题4:客户应该提供关于目的地国家的什么级别的详细信息？像“全球每个国家”这样的一般性声明是恰当的回应吗？

解答:

不，像“全球每个国家”这样的一般性声明是不能接受的。客户应向组织提供车辆最初销售国的特定清单。

问题5:适用的法律和法规要求通常与产品的相关使用相关联。根据使用情况，有些零部件可能成为与安全相关的产品。基于上述陈述，客户是否需要向组织提供关于预期用途的详细信息？

解答:

预期客户将向组织提供有关特性的信息，这些特性与识别满足适用的法律和法规要求的必要控制相关(例如：特殊特性)。

25、什么构成组织的产品设计责任？（8.3 产品和服务的设计和开发）

如果组织从其客户那里收到其正在制造的零部件（按图纸制造）的完整定义的工程规范，则该组织不负责产品设计。

如果组织没有收到其正在制造的零部件的完整定义的工程规范，则组织负责产品设计。

在所有情况下，组织负责制造过程设计。

26、在全面生产维护的要求中包括“周期性检修”一词的意图是什么？(8.5.1.5 全面生产维护)

第8.5.1.5节中所有生产线项目的目的是包括在长时间使用中维护制造设备的最低步骤，使其能始终按规范生产产品。

“周期性检修”是指定期维护步骤不再足以使工具和设备保持在可以继续使产品符合规范的条件下所需的制造工具和设备的返工，如使用平均修理间隔时间或其他类似指标所检测的那样。

周期性检修已经在标准第三节中定义:“用于防止发生重大意外故障的维护方法，此方法根据故障或中断历史，主动停止使用某一设备或设备子系统，然后对其进行拆卸、修理、更换零件、重新装配并恢复使用。”

也许周期性检修不适用于某些类型的工具和设备。也许一些工具只是在其使用寿命结束时简单地用新工具替换。然而，根据使用情况、时间或其他已知因素，所有工具和设备的使用寿命都是有限的。工具和设备制造商会是确定哪些因素并估计何时需要完成这些主要工作的良好来源。周期性检修或其适当的等效(例如更换)将需要在组织的维护计划的步骤中加以考虑。

27、在本条款中使用“全面生产性维护”一词的目的是什么？与行业术语“全面生产性维护”有和关联？(8.5.1.5 全面生产维护)

在IATF16949条款中使用“全面生产维护”（TPM）是指用类似的积极主动预防性的生产技术通过设备、工装、过程及人员改进工具及设备的可靠性，给组织创造价值。例如：生产过程中的日常维护，包括清洁、润滑及点检。

IATF16949中的TPM与行业中TPM中的一些要求相一致，然后IATF16949中的TPM要求只是和IATF本身的条款要求一致。

在IATF 16949中使用术语“全面生产性维护”给组织提供了有机会采用工业全面生产维护的基本原则，但是组织本身满足IATF16949中条款8.5.1.5的要求即可。

简单理解就是：组织只要有类似全面生产维护的方法来进行管理就可以了，并不需要实施完整的工业方法中的“TPM”要求，只要满足IATF16949本身条款就可以了。

28、制造过程审核的频度和范围如何界定？（9.2.2.3制造过程审核）

对制造过程有效进行审核是为了持续满足顾客和相关法律法规要求。和ISO9001及IATF16949风险管理一样，一些制造过程比另外的一些制造过程可能需要更高频度的审核。如果组织的顾客没有确定审核频度，组织可以根据制造过程的风险来决定审核频度，包括考虑新技术的使用、顾客端绩效的表现情况等。对于风险较低的制造过程可以使用较低的审核频度；但是所有制造过程在三年审核周期内都必须被审核到。风险评估必须包含到满足所有相关的要求，包括：法律法规要求、顾客要求、生产过程要求、组织内部要求。如果这些要求中的任何一个要求都不能满足，则审核频度就需要小于三年一次。

简单理解就是：制造过程审核频度根据顾客要求，没有顾客要求就根据风险分析结果，最低要求三年涵盖一次。但是如果发生不满足要求的情况，就必须提高频次了。

29、在“应急计划”中“网络攻击”是什么意思？（6.1.2.3应急计划 ）

网络攻击是试图非法访问计算机或计算机系统造成损害或伤害的。网络攻击通常是故意利用计算机系统或网络的安全漏洞，以获取数据从而改变计算机代码、逻辑或数据。这些操作可能会造成破坏性后果，从而危害机密数据并导致网络犯罪，如信息和身份盗窃、导致了操作中断，密公司关键数据或非法远程控制系统或数据。网络攻击和网络犯罪并非总是远程操控的和猜测密码等。他们还通常通过电子信箱（通过钓鱼网站）、欺骗方式（冒充熟人或者政府机关）欺骗获得个人或者秘密信息；通过电话欺骗方式获取个人信息、密码；用恶意软件感染病毒，采用非法链接诱导访问恶意网站；用留在桌面上U盘的方式，购买废弃电脑来获取机密信息等。另外，网络犯罪分析在入侵组织电脑系统后，用加密公司数据的方式来勒索。此外，欧洲的GDPR（通用数据保护条例）或其他地区的类似要求指定组织负责人确保组织保留的个人数据在任何时候都受到保护和保持安全。

简单理解就是：网络攻击的范围比较广，包括了远程获取密码、电话诈骗、钓鱼网站，恶意邮件，非法链接，甚至用U盘方式获取机密信息等。