29 |
6.1.2.3 Notfallpläne |
FRAGE:
Was ist im Zusammenhang mit der Wirksamkeitsprüfung von Notfallplänen unter dem Begriff „Cyberangriff“ zu verstehen?
ANTWORT:
Ein Cyberangriff ist der Versuch, illegalen Zugriff auf Computer oder Computersysteme zu erlangen, um diese zu beschädigen oder sonstigen Schaden zu verursachen. Ein Cyberangriff ist oft eine gezielte Ausnutzung von Sicherheitslücken in Computersystemen oder Netzwerken, um auf Daten zuzugreifen, den Computercode, die Logik oder Daten zu verändern. Diese Aktionen können Störungen im Betriebsablauf verursachen, vertrauliche Daten gefährden und zu Cyberkriminalität führen – z. B. in Form von Informations- und Identitätsdiebstahl, in Form von Betriebsunterbrechungen, die durch Angriff auf die automatische Steuerung verursacht wurden, indem kritische Unternehmensdaten verschlüsselt werden oder eine illegale Fernmanipulation von Systemen oder Daten erfolgt.
Cyberangriffe und Cyber-Verbrechen werden nicht nur von außerhalb des Unternehmens agierenden Personen unternommen, welche mithilfe leistungsfähiger Computerprogramme und trickreichem Vorgehen versuchen, Passwörter herauszufinden. Häufig handelt es sich vielmehr um Aktionen, mit denen einzelne Personen dazu verleitet werden sollen, vertrauliche oder private Informationen preiszugeben. Dies kann durch entsprechende Aufforderungen per E-Mail erfolgen (in der Regel Phishing), durch Vorwände (als vertrauenswürdige Person oder Regierungsbeamter), durch Telefonanrufe wegen vermeintlicher Notfälle, um so an persönliche Daten zu gelangen, durch das Mitlesen von eingegebenen Passwörtern, durch das Infizieren beliebter Websites mit Malware, durch SMS mit Links zu Websites, bei deren Aufruf Malware installiert wird, durch USB-Sticks, die auf Schreibtischen liegengelassen werden, vertrauenswürdig erscheinen und arglos an PCs angeschlossen werden oder durch Diebstahl von weggeworfenen Speichermedien mit vertraulichen Informationen usw.. Darüber hinaus kann ein Cyber-Verbrecher, nachdem er Zugriff auf das System eines Unternehmens erhalten hat, die kritischen Unternehmensdaten verschlüsseln und ein Lösegeld fordern, um die Daten wieder zu entschlüsseln.
Darüber hinaus ist in Europa durch die DSGVO (Allgemeine Datenschutzverordnung) oder ähnliche Anforderungen in anderen Ländern vorgeschrieben, dass Organisationen dafür verantwortlich sind, dass die von der Organisation gespeicherten personenbezogenen Daten jederzeit geschützt und sicher aufbewahrt werden. Ziel ist es, das Bewusstsein für die Bedeutung einer guten Vorbereitung auf Cyberangriffe zu stärken.
Weitere Einzelheiten zu Sicherheitstechniken der Informationstechnologie sind in der DIN EN ISO/IEC 27001 zu finden.
FRAGE:
Was sind die wichtigsten Schritte zur Entwicklung effektiver Notfallpläne?
ANTWORT:
Die Organisation muss nachweisen, dass sie wirksame Notfallpläne entwickelt und umgesetzt hat, um die Produktionsleistung aufrechtzuerhalten und sicherzustellen, dass die Kundenanforderungen erfüllt werden. Zu den wichtigsten Schritten zur Entwicklung eines effektiven Notfallplans gehören:
• Analyse der interne und externen Risiken aller Produktionsprozesse und Infrastrukturen, die für die Aufrechterhaltung der Kontinuität der Produktlieferung gemäß den Vorgaben des Kunden (siehe IATF 16949, Abschnitt 6.1.2.3 a) und c), einschließlich SI 3) notwendig sind.
HINWEIS: Die Risikoanalyse umfasst in der Regel eine Bewertung der Wahrscheinlichkeit und potenziellen Auswirkungen des Ausfalls der wesentlichen Produktionsprozesse und Infrastrukturen
• Entwicklung von Notfallplänen für den Fall des Ausfalls von Produktionsprozessen und Infrastrukturen und die Bewertung deren Wahrscheinlichkeit, die Kundenanforderungen weiterhin zu erfüllen zu können, einschließlich aller erforderlichen Benachrichtigungen an interessierte Parteien
• Spezifische Notfallplanalternativmaßnahmen zur Gewährleistung der Versorgungskontinuität, die beispielsweise bei einer Unterbrechung der Stromversorgung, folgendes umfassen könnten:
Ersatzinfrastruktur oder vertraglich vereinbarte Dienstleistungen, Sicherheitsbestände, Hilfsquellen, etc.
• Nachweise der Überprüfung sowie der regelmäßigen Prüfung und Validierung der Maßnahmen des Notfallplans auf Wirksamkeit, einschließlich der Sensibilisierung der Mitarbeiter
• Einhaltung von Kundenanforderungen und kundenspezifischen Anforderungen
|
28 |
9.2.2.3 Prozessaudits in der Produktion |
FRAGE:
Welchen Auditumfang sollen die Prozessaudits in der Produktion haben und wie häufig sollen diese durchgeführt werden?
ANTWORT:
Eine effektive Bewertung aller Produktionsprozesse ist entscheidend, um sicherzustellen, dass das Produkt weiterhin den Kundenanforderungen entspricht sowie die gesetzlichen und behördlichen Anforderungen erfüllt. Dem risikobasierten Ansatz der DIN EN ISO 9001 und IATF 16949 folgend, erfordern einige Produktionsprozesse oder Teilbereiche von Produktionsprozessen möglicherweise eine höhere Bewertungshäufigkeit als andere.
Sofern die Audithäufigkeit nicht vom Kunden vorgegeben wurde, legt die Organisation diese selbst fest, indem sie einen geeigneten Risikomanagementansatz anwendet. Dies schließt die Berücksichtigung neuer Technologien und die vom Kunden gemessene Leistungsbewertung mit ein. Von der Organisation als risikoarm eingestufte Produktionsprozesse werden möglicherweise seltener auditiert als Prozesse mit hohem Risiko. Davon unabhängig werden alle Prozesse innerhalb des 3-jährigen Auditzyklus auditiert.
Die Eignung der angewandten Risikoanalyse wird u.a. durch die kontinuierliche Einhaltung aller relevanten Anforderungen (z. B. gesetzliche und behördliche Anforderungen, Kundenanforderungen, Prozessanforderungen und interne Anforderungen) nachgewiesen. Wenn eine der relevanten Anforderungen nicht erfüllt ist, müssen die Produktionsprozesse häufiger als alle 3 Jahre auditiert werden. Der 3-Jahres-Zyklus gemäß Abschnitt 9.2.2.3 ist eine Mindestanforderung für risikoarme und vollständig konforme Produktionsprozesse
|
27 |
8.5.1.5 Total Productive Maintenance (TPM) |
FRAGE:
Zu welchem Zweck wurde der Begriff “Total Productive Maintenance” für diesen Abschnitt zu verwendet? Besteht ein Zusammenhang mit dem in der Industrie verwendeten Begriff “Total Productive Maintenance”?
ANTWORT:
Der im IATF 16949-Standard verwendete Begriff „Total Productive Maintenance“ (TPM) bezieht sich auf verschiedene ähnliche Ansätze, die sich auf proaktive und vorbeugende Techniken zur Verbesserung der Zuverlässigkeit von Werkzeugen und Fertigungseinrichtungen konzentrieren. Im Fokus stehen hierbei die Maschinen, Fertigungseinrichtungen, Prozesse und Mitarbeiter, die in der Produktion einen Mehrwert für die Organisation erzeugen. Zum Beispiel legt der in der Industrie verwendete Ansatz für TPM die Verantwortung für routinemäßige Wartungsarbeiten, wie Reinigung, Schmierung und Inspektion in die Hände der Produktionsmitarbeiter.
Der Abschnitt 8.5.1.5 des IATF 16949-Standards orientiert sich an einigen Grundsätzen des allgemeinen industrieweit bekannten TPM. Allerdings sind in diesem Abschnitt 8.5.1.5 [a) bis j)] einige weitere individuelle Anforderungen festgelegt.
Die Verwendung des Begriffs „Total Productive Maintenance“ im IATF 16949-Standard bietet den Organisationen die Möglichkeit, einerseits die grundlegenden Prinzipien des Total Productive Maintenance der Industrie zu übernehmen, andererseits und gleichzeitig aber auch die in IATF 16949 aufgeführten Anforderungen von 8.5.1.5 zu erfüllen.
|
26 |
8.5.1.5 Total Productive Maintenance (TPM) |
FRAGE:
Zu welchem Zweck wurde der Begriff „regelmäßige Überholung“ in die Anforderungen zu Total Productive Maintenance aufgenommen?
ANTWORT:
Mit den in Abschnitt 8.5.1.5 aufgelisteten Forderungen soll sichergestellt werden, dass das Mindestmaß an erforderlichen Tätigkeiten für die Wartung der über einen langen Zeitraum genutzten Fertigungseinrichtungen in einer Weise durchgeführt werden, dass das Produkt beständig spezifikationskonform hergestellt werden kann.
Die auf Basis der mittleren Zeitspanne zwischen Reparaturen (MTBR – Mean Time Between Repair) oder ähnlichen Kenngrößen ermittelte „regelmäßige Überholung“ stellt eine Überarbeitung von Werkzeugen und Fertigungseinrichtungen dar, die immer dann erforderlich ist, wenn die normale Wartung nicht mehr ausreicht, um die Werkzeuge und Fertigungseinrichtungen in einem Zustand zu beizubehalten, bei dem das Produkt weiterhin den Spezifikationen entspricht.
Der Begriff „regelmäßige Überholung“ ist bereits in Abschnitt 3 des Standards definiert: „Instandhaltungsmethode zur Vermeidung größerer ungeplanter Ausfälle, bei der – basierend auf Fehlern oder Unterbrechungen in der Vergangenheit – Teile oder Subsysteme der Einrichtung außer Betrieb genommen werden, um sie vorsorglich zu zerlegen, zu reparieren, zu ersetzen oder wiederaufzubereiten und anschließend wieder in Betrieb zu nehmen.“
Möglicherweise ist eine regelmäßige Überholung bei bestimmten Werkzeugen und Fertigungseinrichtungen nicht anwendbar. Möglicherweise wird ein Werkzeug am Ende seiner Nutzungsdauer einfach durch ein neues Werkzeug ersetzt. Alle Werkzeuge und Fertigungseinrichtungen haben jedoch eine begrenzte Lebensdauer, die von der Verwendung, der Nutzungsdauer oder anderen bekannten Faktoren abhängt. Die ursprünglichen Hersteller der Werkzeuge und Fertigungseinrichtungen können gute Informationsquellen sein, wenn es darum geht festzulegen, welche Faktoren zu berücksichtigen sind und abzuschätzen, wann solche größeren Arbeiten erledigt werden müssen.
Regelmäßige Überholung oder ein entsprechendes Äquivalent (z. B. Austausch) muss in den Wartungsplänen der Organisation Berücksichtigung finden.
|
25 |
8.3 Entwicklung von Produkten und Dienstleistungen |
FRAGE:
Was bedeutet es für die Organisation Verantwortung für die Produktentwicklung zu besitzen?
ANTWORT:
Sofern eine Organisation von ihrem Kunden eine vollständig definierte technische Spezifikation für die Teile erhält die sie herstellt („make to print“), besitzt die Organisation keine Verantwortung für die Produktentwicklung.
Falls die Organisation keine vollständig definierten technischen Spezifikationen für die von ihr hergestellten Teile erhält, ist die Organisation für die Produktentwicklung verantwortlich.
Für die Entwicklung des bzw. der Produktionsprozesse(s) ist die Organisation in jedem Fall immer verantwortlich.
|
24 |
8.4.2.2 Gesetzliche und behördliche Anforderungen |
FRAGE 1:
Ist die Organisation von den Anforderungen in Abschnitt 8.4.2.2 befreit, wenn sie keine Verantwortung für die Produktentwicklung hat und nur Produkte nach Kundenvorgaben herstellt?
ANTWORT 1:
Nein, alle Organisationen müssen – unabhängig von ihrer Verantwortung für Produktentwicklung – die zutreffenden Anforderungen von 8.4.2.2 erfüllen. Die zutreffenden Anforderungen gelten für alle extern bereitgestellten Produkte, Prozesse und Dienstleistungen, für die die Organisation verantwortlich ist.
FRAGE 2:
Muss die Organisation eine vollständige Liste der Bestimmungsländer beim Kunden anfordern, falls der Kunde eine solche Liste nicht bereitstellt?
ANTWORT 2:
Ja, die Organisation muss eine vollständige Liste der Bestimmungsländer beim Kunden anfordern,
wenn diese vom Kunden nicht bereitgestellt wurde.
HINWEISE:
o Die Organisation befindet sich im „Ausfuhrland“.
(Land des Produktionsstandortes)
o Das „Einfuhrland“ ist der Empfangsort des Kunden.
(Land, in das der Produktionsstandort liefert)
o Das „Bestimmungsland“ ist das Land, in dem das Fahrzeug verkauft wird.
(Land, in dem das Endprodukt erstmalig verkauft wird)
FRAGE 3:
Welche Folgen hat es, wenn der Kunde der Organisation keine Informationen zu den Bestimmungsländern zur Verfügung stellt? Was muss die Organisation in solch einer Situation dokumentieren?
ANTWORT 3:
Wenn die Organisation geltend machen kann, dass der Kunde die erforderlichen Informationen zu den Bestimmungsländern nicht zur Verfügung gestellt hat, sollte die Organisation in der Lage sein, schriftliche Nachweise (z.B. Briefe, E-Mails, Sitzungsprotokolle usw.) darzulegen, dass sie sich bemüht hat, diese Informationen anzufordern.
FRAGE 4:
Welchen Detaillierungsgrad sollte die vom Kunden erhaltene Information in Bezug auf die Bestimmungsländer haben? Wäre eine generische Aussage wie „Jedes Land weltweit“ eine angemessene Antwort?
ANTWORT 4:
Nein, eine generische Aussage wie „Jedes Land weltweit“ ist nicht akzeptabel. Vom Kunden wird erwartet, dass er der Organisation eine spezifische Liste der Länder vorlegt, in die das Fahrzeug bzw. die Fahrzeuge erstmalig verkauft werden.
FRAGE 5:
Die geltenden gesetzlichen und behördlichen Anforderungen hängen häufig von der jeweiligen Verwendung eines Produkts ab. Einige Teile können je nach Verwendung zu einem sicherheitsrelevanten Produkt werden. Muss der Kunde der Organisation auf der Grundlage der oben genannten Erklärung detaillierte Informationen über die beabsichtigte Verwendung zur Verfügung stellen?
ANTWORT 5:
Es wird erwartet, dass der Kunde der Organisation Informationen zur Verfügung stellt, aus denen hervorgehet, welche Merkmale für die Erfüllung der geltenden gesetzlichen und behördlichen Anforderungen relevant sind, um entsprechende Lenkungsmaßnahmen festlegen zu können (z. B. besondere Merkmale).
|
23 |
8.5.1.3 Verifizierung von Einrichtvorgängen |
FRAGE:
Falls für bestimmte Herstellungsverfahren keine Erst-/Letztteilbewertungen durchgeführt werden oder dies nicht anwendbar ist, müssen dann darüber Aufzeichnungen gemäß 8.5.1.3 e) aufbewahrt werden?
ANTWORT:
Gemäß 8.5.1.3 d) werden Erst-/Letztteilbewertungen nur durchgeführt, wenn dies angebracht und anwendbar ist. Wenn keine Erst-/Letztteilbewertungen durchgeführt werden, weil dies nicht angebracht oder anwendbar ist, müssen auch keine Aufzeichnungen geführt werden.
|
22 |
9.2.2.4 Produktaudit |
FRAGE:
Wie unterscheidet sich ein Produktaudit von einer vollständigen Maßprüfung?
ANTWORT:
Wie in Abschnitt 3 des IATF 16949-Standards definiert, steht der Begriff „Produkt“ für “…Beabsichtigtes Ergebnis (Output)…” des Herstellungsprozesses.
Produkte haben typischerweise gewisse Maß-, Leistungs- (Funktions-) und Materialanforderungen. Daher können Produktaudits die Überprüfung von Maß-, Leistungs- (Funktions-) oder Materialanforderungen enthalten. Wie in der vorgenannten FAQ 21 erwähnt, ist eine vollständige Maßprüfung auf dimensionelle Größen beschränkt.
Produktaudits können an fertigen oder teilweise fertiggestellten Produkten nach der jeweiligen kundenspezifischen Methode (z.B. VDA 6.5 Produktaudit) durchgeführt werden, sofern anwendbar. Produktaudits können Verpackungs- und Kennzeichnungsanforderungen beinhalten.
Ein Produktaudit ist wie jeder andere Audittyp auch eine unabhängige Überprüfung der Einhaltung von Anforderungen. Daher hat das Produktaudit eine definierte Häufigkeit und einen definierten Umfang innerhalb des Auditprogramms und basiert auf der Grundlage von Risiken.
|
21 |
8.6.2 Requalifikationsprüfung |
FRAGE:
Unterscheidet sich eine vollständige Maßprüfung von einer Requalifikationsprüfung oder einer vollständigen Funktionsprüfung?
ANTWORT:
Ja, wie in Anmerkung 1 des Abschnitts 8.6.2 angegeben [„Maßprüfungen umfassen die vollständige Messung aller in den Entwicklungsunterlagen aufgeführten Produktmaße“], beschränkt sich die vollständige Maßprüfung auf dimensionelle Größen und Vorgaben. Leistungstests oder Materialprüfungen sind in einer vollständigen Maßprüfung nicht enthalten.
Die Requalifikation eines Produktes bedeutet normalerweise eine vollständige Validierung aller Produktfreigabekriterien (z.B. PPAP oder PPF) und geht daher über den Umfang einer vollständigen Maßprüfung hinaus.
Die vollständige Funktionsprüfung / -verifizierung beschränkt sich normalerweise auf Leistungstests und Materialprüfungen wie Haltbarkeit oder Zugfestigkeit und würde keine Maßprüfung dimensioneller Größen beinhalten.
Wenn die Häufigkeit nicht durch den Kunden definiert ist, ist die Organisation dafür verantwortlich diese Häufigkeit der vollständigen Maßprüfung selbst festzulegen.
Die vollständige Maßprüfung ist Teil der Requalifikationsprüfung, sofern diese vom Kunden gefordert wird.
Die Anforderungen an die vollständige Maß- und die Funktionsprüfung sind im Produktionslenkungsplan festgelegt. Wenn kundenspezifische Anforderungen existieren, sind diese Anforderungen (einschließlich vollständiger Maß- und Funktionsprüfungen) ebenfalls im Produktionslenkungsplan enthalten.
|
20 |
9.2.2.4 Produktaudit |
FRAGE:
Warum gibt es keine festgelegte Auditfrequenz für das Produktaudit?
ANTWORT:
Die Häufigkeit der Audits muss risikobasiert und abhängig von der Produktkomplexität festgelegt werden (siehe ISO 9001, Abschnitt 9.2.2). Wenn eine Organisation ein hohes Risiko und eine hohe Produktkomplexität aufweist, wird empfohlen, die Häufigkeit der Produktaudits zu erhöhen.
|
19 |
9.2.2.3 Prozessaudits in der Produktion |
FRAGE:
Müssen alle Schichten eines jeden Produktionsprozesses im Audit abgedeckt sein?
ANTWORT:
Nicht jedes Audit muss alle Schichten in einem Audit abdecken (beispielsweise könnte die Auditierung des Pressprozesses im ersten Jahr die Schichten 1 und 2, als auch den Schichtwechsel abdecken und im 2. oder 3. Jahr die Auditierung des Pressprozesses der dritten Schicht).
Alle Produktionsprozesse müssen jedoch in allen Schichten über einen Dreijahreszyklus auditiert werden, wobei die Häufigkeit vom jeweiligen Risiko, der Leistungsergebnisse, den evtl. Änderungen, usw. abhängt.
|
18 gestrichen |
9.2.2.2 QM-Systemaudit |
Siehe hierzu Sanktionierte Interpretation (SI) Nr. 14, die im November 2018 veröffentlicht
wurde und ab Januar 2019 verbindlich anzuwenden ist.
|
17 |
8.5.6.1.1 Zeitlich begrenzte Änderungen in der Produktionsprozesslenkung |
FRAGE:
Muss für jede ursprünglich geplante Methode zur Prozesslenkung im Produktionslenkungsplan eine „Backup“- oder Alternativmethode existieren?
ANTWORT:
Nein, es ist keine Anforderung, dass für jede ursprünglich geplante Methode zur Prozesslenkung eine „Backup“- oder Alternativmethode existieren muss.
Bei der Einführung neuer Produkte sollte eine Organisation das Risiko des potenziellen Versagens der ursprünglich geplanten Methode zur Prozesslenkung berücksichtigen und auf Grundlage des Risikos und der Bedeutung der Fehlerfolge entscheiden, ob und wo alternative Methoden zur Prozesslenkung erforderlich sind. Wenn „Backup“- oder alternative Prozesslenkungsmethoden erforderlich sind, sollten sowohl die ursprünglich geplante, als auch die alternative Prozesslenkungsmethode im Prozessablauf, der PFMEA, des Produktionslenkungsplan definiert sein und Arbeitsanweisungen verfügbar sein.
Sofern für bestehende Prozesse, bei denen ein Versagen der ursprünglich geplanten Methode zur Prozesslenkung vorliegt und keine „Backup“- oder alternative Prozesslenkungsmethode definiert ist, sollte die Organisation Risiken betrachten (z.B. FMEA) und, sofern dies freigegeben wurde, Arbeitsanweisungen für eine alternative Prozesslenkungen entwickeln, diese implementieren, die Verifizierung der Effektivität durch tägliche Verfolgung sicherstellen und erneut Validieren wenn die ursprünglich geplante Methode zur Prozesslenkung wiederhergestellt ist.
In regelmäßigen Abständen muss die Organisation solche Fälle bewerten, in denen eine „Backup“- oder Alternativmethode zur Prozesslenkung eingesetzt wurde, und dies als Input für die Aktualisierung des Prozessablaufs, der FMEA und des Produktionslenkungsplans nutzen.
(siehe auch SI Nr. 11)
|
16 |
8.4.2.4.1 „Second Party“- Audits |
FRAGE:
Sind 2nd Party Audits gefordert, wenn Lieferanten der Organisation nachweislich ein geringes Risiko darstellen? Was ist die Absicht diesbezüglich?
ANTWORT:
Es ist erforderlich, dass der risikobasierte Ansatz gemäß der ISO 9001:2015 Einfluss auf das Lieferantenmanagement hat. Die durchgeführte Risikoanalyse führt in Abhängigkeit von den Ergebnissen der Risikobewertung (siehe unten) gegebenenfalls dazu, dass ein 2 nd Party Audit nicht erforderlich wird.
Um die Risikoanalyse zu unterstützen, muss die Organisation diverse Kriterien berücksichtigen, wie z.B. den Lieferantenzertifizierungsstatus, die Komplexität des Produktes, die Einführung neuer Produkte, signifikante Mitarbeiterfluktuation(en), Probleme mit der Produktqualität, Lieferprobleme, kundenspezifische Anforderungen und andere Risiken für die Organisation oder ihre Kunden.
|
15 |
8.3.2.3 Entwicklung von Produkten mit integrierter Software |
FRAGE:
Was ist die akzeptierte Methode, um die Softwareentwicklungsfähigkeit eines Lieferanten zu beurteilen?
ANTWORT:
Das Ziel des Abschnittes 8.3.2.3. des IATF 16949-Standard ist es, bei der Entwicklung von Software das gleiche Maß an Stringenz und Präzision anzuwenden, wie es bei der Entwicklung von „Hardware“-Teilen erwartet wird.
Genau wie „Hardware“-Teile verfügt Software über festgelegte Leistungsfähigkeit(en), Betriebsbedingungen, bekannte Inputs, spezifizierte Outputs, umgebende Einflussfaktoren (z. B. Größe der Datei), behördliche Anforderungen (falls vorhanden), bekannte Ausfallarten, Nutzungsprofile, sich verändernde Betriebsbedingungen, usw.
Die Phasen der Planung, der Entwicklung, des Erstellens, des Testens, der Konformitätsprüfung und der Produktionsvalidierung bei der Erstellung von Software unterscheiden sich konzeptionell nicht wesentlich von denen bei der Entwicklung von „Hardware“-Teilen anzuwendenden Phasen. Der IATF 16949-Standard bietet ein robustes Rahmenwerk, um zu sicherzustellen, dass alle notwendigen Schritte unternommen wurden, um „Hardware“-Teile zu entwickeln, zu verifizieren und zu produzieren, damit sie die Spezifikationen in der Massenherstellung erfüllen. Obwohl das Vorgehen konzeptionell ähnlich ist, sind sie bei der Entwicklung von Software nicht komplett identisch. Daher werden andere Kriterien angewendet, um die zur Entwicklung von Software verwendeten Methoden zu bewerten.
Diese Bewertungskriterien sind im IATF 16949-Standard nicht enthalten, es wird auf andere Verfahren wie Automotive SPICE und CMMI verwiesen. Es kann ggf. weitere akzeptierte Methoden geben, die von einigen Kunden vorgegeben werden. Jeder Kunde hat möglicherweise eine bevorzugte Methode, um die Softwareentwicklungsfähigkeit eines Lieferanten zu beurteilen. Die Organisation sollte ihren Kunden bitten, die akzeptierte Bewertungsmethode zu bestätigen. Darüber hinaus kann ggf. jeder Kunde auch einen anderen Assessment-Ansatz vorgeben (z. B. eine Bewertung durch den Kunden vor Ort, eine Selbsteinschätzung des Lieferanten oder eine Kombination aus beidem).
Die Rolle der internen oder externen IATF 16949-Auditoren besteht nicht darin, über das Wissen zu verfügen selber Automotive SPICE- oder CMMI-Bewertungen durchzuführen. Der interne oder externe Auditor sollte jedoch mit den Bewertungsmethoden soweit vertraut sein, um erkennen zu können, wann eine Anforderung einer Softwareentwicklungsbewertung nicht erfüllt wurde und ob Korrekturmaßnahmenpläne vorhanden sind, denen die entsprechenden Ressourcen zugewiesen wurden. Der interne oder externe IATF 16949-Auditor sollte ebenfalls verstehen, ob der Kunde an der Bewertung der Softwareentwicklung teilnimmt und wie dies dokumentiert wird.
|
14 |
7.1.5.3.2 Externe Labore |
FRAGE:
Ist es erforderlich, dass das Kalibrierzertifikat oder der (Prüf-)Bericht eines externen Labors das Zeichen (bzw. Logo oder Symbol) der entsprechenden nationalen Akkreditierungsstelle trägt, die das Labor nach ISO/IEC 17025 akkreditiert hat?
ANTWORT:
Ja, nur Kalibrierzertifikate oder Prüfberichte die das Akkreditierungszeichen einer nationalen Akkreditierungsstelle aufweisen werden akzeptiert.
Das Akkreditierungszeichen (oft auch “Akkreditierungslogo” oder “Akkreditierungssymbol” genannt) einer nationalen Akkreditierungsstelle liefert den dokumentierten Nachweis, dass die erbrachten Prüf- oder Kalibrierdienstleistungen gemäß der Akkreditierungsanforderungen durchgeführt wurden, somit den Anforderungen von ISO / IEC 17025 entsprechen und der Aufsicht einer nationalen Akkreditierungsstelle unterliegen.
|
13 |
4.4.1.2 Produktsicherheit |
FRAGE:
Welche Anforderungen bestehen in Bezug auf die Schulung und die spezifisch festgelegten Kriterien, die für die Produktsicherheit aufgestellt wurden (Abschnitt 4.4.1.2)?
ANTWORT:
Wie bei allen Anforderungen an die Kompetenz von Mitarbeitern, müssen die Personen, denen bestimmte Aufgaben zugewiesen sind, für diese Aufgabe qualifiziert sein. Diese notwendige(n) Qualifikation(en) muss(müssen) auch die mit der Aufgabe verbundenen Vorschriften und (gesetzliche) Bestimmungen beinhalten.
Die Anforderungen an die Produktsicherheit im Abschnitt 4.4.1.2 sind sehr genau beschrieben. Die Abschnitte enthalten unter Bezugnahme auf die IATF 16949 in Abschnitt 4.4.1.2 folgendes:
a) von Lieferanten wird erwartet, dass sie alle gesetzlichen und behördlichen Anforderungen der Märkte bzw. Länder kennen, die vom Kunden für den Einsatz der Teile identifiziert bzw. kommuniziert wurden. Der Lieferant muss wissen, wo bzw. wie die Vorschriften für die jeweiligen Länder oder Regionen zu recherchieren sind.
b) In den Kundenanforderungen werden alle Anforderungen an die Benachrichtigungen des Kunden benannt; daher ist das Wissen zu Kundenanforderungen zu vermitteln (welches von einem internen Experten für das Fachgebiet durchgeführt werden kann).
c) Die gesonderten Freigaben für Design-FMEAs werden in den Kundenanforderungen identifiziert, siehe Punkt b) oben.
d) und e) Die Identifizierung der sicherheitsrelevanten Merkmale und ihrer Lenkungsmaßnahmen wird vom Kunden in der entsprechenden Definition der besonderen Merkmale und erforderlichen Lenkungsmaßnahmen festgelegt. Die Mitarbeiter, die PFMEAs und Produktionslenkungspläne entwickeln, müssen in diesen Abschnitten der Kundendokumente kompetent sein.
Jeder der weiteren Punkte f) bis m) kann ebenfalls in ähnlicher Weise analysiert werden, um die notwendige Schulung und die Quelle eines solchen Trainings für jede Anforderungen an die Produktsicherheit zu bestimmen.
Da viele der Anforderungen auf kundenspezifischen Anforderungen basieren, gibt es zu diesem Thema kein vollumfängliches Training. Die Organisation muss die kundenspezifischen und behördlichen Anforderungen dahingehend überprüfen, ob sie für die eigene Teile, das vorgesehene Einsatzland und die sicherheitsrelevanten Merkmale relevant bzw. zutreffend sind.
Einige Kunden haben möglicherweise (weitere) spezifische Anforderungen in Bezug auf Produktsicherheit, Schulung, Kompetenz und Personal. Es liegt in der Verantwortung der Organisation, die kundenspezifischen Anforderungen in Bezug auf die Produktsicherheit zu verstehen und zu kennen
|
12 |
Im gesamten IATF 16949 Standard |
FRAGE:
Ist es zulässig mehrere Prozesse in einem “dokumentierten Prozess” zusammenzufassen? Oder müssen Prozesse jeweils individuell als solche dokumentiert werden?
ANTWORT:
Ja, es ist zulässig innerhalb einer Organisation mehrere dokumentierte Prozesse in einem (oder mehreren) Prozess(en) zu gruppieren. Nicht jeder „dokumentierte Prozess“ muss als ein eigenständiger Prozess dokumentiert werden. Organisationen sollten ihre Prozesse so dokumentieren, wie es für ihre individuellen geschäftlichen und organisatorischen Erfordernisse sinnvoll ist.
|
11 |
8.7.1.7 Weitere Verwendung fehlerhafter Produkte |
FRAGE 1:
Was ist das Ziel und wie sind die Anforderungen an das “unbrauchbar Machen” vor der Entsorgung? Wann und wo muss das Produkt unbrauchbar gemacht werden?
ANTWORT 1:
Die Intention ist die Sicherstellung, dass das Produkt nicht in den inoffiziellen Zubehörhandel („aftermarket“) gelangt, in einem Fahrzeug verbaut wird oder versehentlich an den Kunden geliefert wird.
Der Prozess fehlerhafte Produkte unbrauchbar zu machen, muss nicht im Produktionsbereich stattfinden, solange das Produkt vor der endgültigen Entsorgung unbrauchbar gemacht wird.
FRAGE 2:
Wie wird dies durch die Organisation überwacht?
ANTWORT 2:
Die Organisation ist dafür verantwortlich, einen Prozess für die Entsorgung von fehlerhaften Produkten zu entwickeln, umzusetzen und dessen Effektivität zu verifizieren.
FRAGE 3:
Ist es zulässig einen externen Dienstleister zu beauftragen um das Produkt unbrauchbar machen zu lassen?
ANTWORT 3:
Ja, es ist zulässig, den Prozess des Unbrauchbarmachens von Produkten an einen Dienstleister zu vergeben. Wenn ein externer Dienstleister eingesetzt wird, muss die Organisation diesen freigeben und regelmäßig überprüfen, wie der Dienstleister das Produkt unbrauchbar macht.
FRAGE 4:
Trifft die Bezeichnung des Unbrauchbarmachens fehlerhafter Produkte nur auf das Endprodukt zu, oder gilt dies auch für die Bauteile-/Zwischenbaugruppen?
ANTWORT 4:
Diese Anforderung gilt für das Produkt, welches den Produktions- und Produktfreigabeprozess (PPAP) durchlaufen hat und welches die Organisation an den Kunden versendet.
FRAGE 5:
Welche Beschädigung/Zerstörung muss am fehlerhaften Produkt vorgenommen werden, damit es als unbrauchbar gilt?
ANTWORT 5:
Das fehlerhafte Produkt muss unbrauchbar gemacht werden und darf nicht mehr zu reparieren sein. Es ist nicht gefordert, das Produkt in viele Einzelteile zu zerkleinern oder es zu pulverisieren.
|
10 gestrichen |
8.4.2.3.1 Automobilspezifische, produktbezogene Software oder Produkte für die Automobilindustrie mit integrierter Software |
Siehe Sanktionierte Interpretation (SI) Nr. 15, die im November 2018 veröffentlicht wurde
und ab Januar 2019 verbindlich ist.
|
09 |
8.4.2.2 Gesetzliche und Behördliche Anforderungen 8.6.5 Erfüllung gesetzlicher und behördlicher Vorschriften |
FRAGE 1:
Was ist das Ziel (bezüglich gesetzlicher und behördlicher Konformität)? Was wird als ausreichender Nachweis zur Konformität mit den geltenden gesetzlichen und behördlichen Vorschriften (8.6.5) anerkannt?
ANTWORT 1:
Wie in den Abschnitten 8.3.3.1 g) und 8.3.4.2 definiert, ist von der Organisation ein Vorgehen gefordert, um die gesetzlichen und behördlichen Anforderungen für die von ihr hergestellten Produkte zu ermitteln, zu identifizieren, aufzubewahren, zu bewerten, zu verstehen und ihre Einhaltung sicher zu stellen. Dies gilt für das Land, in dem die Produkte hergestellt werden, sowie für das Bestimmungsland in welches die Produkte versendet werden.
Die Intention von Abschnitt 8.4.2.2 ist es, dass die Organisation in ihre(n) Produktentwicklungsmethode(n)/Prozess(e), sowie in ihre Lieferantenmanagementmethode(n)/Prozess(e) einen oder mehrere Ansätze vorsieht, um die Bestätigung und die Nachweise ihrer Lieferanten darüber zu erhalten, dass die Produkte und die vom Lieferanten erbrachten Leistungen die gesetzlichen und behördlichen Vorschriften des Landes erfüllt, in dem der Lieferant sie herstellt, des Landes, in dem die Organisation sie verwendet, und des Landes, in das die Organisation ihr Produkt liefert –
sofern diese Information vom Kunden zur Verfügung gestellt wird.
Die Intention von Abschnitt 8.6.5 ist die Organisation aufzufordern die vom Lieferanten erhaltenen Konformitäts- und Nachweisdokumente zu überprüfen, um sicherzustellen, dass der Chargencode, die Chargennummer oder vergleichbare Rückverfolgbarkeitsinformationen für das Produkt durch die vom Lieferanten bereitgestellten Nachweise abgedeckt sind. Dies kann nach Erhalt oder während der Aufnahme des Produkts in den Bestand erfolgen, muss jedoch vor der
Freigabe des Produkts und Aufnahme in den Produktionsablauf der Organisation erfolgen.
FRAGE 2:
Hat sich die Intention des Abschnitts 8.4.2.2 von der ISO/TS 16949 zur IATF 16949 geändert?
ANTWORT 2:
Die Intention des Abschnitts hat sich nicht geändert. Die Anforderung der ISO/TS 16949 lautete:
“Alle beschafften Produkte müssen die jeweils geltenden gesetzlichen und behördlichen Vorschriften erfüllen”. Die IATF beschloss, dass in dieser “passiven Formulierung” und Wortgebung, die Erwartungen nicht eindeutig genug formuliert waren. Die neue Anforderung beschreibt explizit, was getan werden muss, wann dies zu tun ist und welche Nachweise
erforderlich sind, um die Einhaltung zu gewährleisten.
FRAGE 3:
Wie wird das Wissen über gesetzliche und behördliche Vorschriften für internationale Lieferanten gesteuert, überwacht und aufrechterhalten?
ANTWORT 3:
Die IATF 16949 fordert in Abschnitt 8.6.5 nicht, dass die Organisation eine Liste aller internationalen gesetzlichen und behördlichen Vorschriften für extern bereitgestellte Prozesse, Produkte oder Dienstleistungen, die sie beschafft führt, oder sich derer bewusst ist.
Die Organisation ist verpflichtet die Ergebnisse zu bewerten, zu auditieren oder auf andere Weise regelmäßig zu überprüfen, dass der Prozess des Lieferanten robust ist und die Einhaltung der aktuellen gesetzlichen, behördlichen und sonstigen Vorschriften des Herstelllandes und der vom Kunden festgelegten Bestimmungsländer gewährleistet ist.
FRAGE 4:
Wie kann unser System gesetzliche und behördliche Vorschriften umfassen, wenn sie nicht durch den Kunden an die Organisation kommuniziert werden?
ANTWORT 4:
Diese Anforderung setzt wie beschrieben voraus, dass der Kunde der Organisation Informationen darüber mitteilt, wohin die Produkte geliefert werden. Änderungen der anzuwendenden gesetzlichen und behördlichen Vorschriften aufgrund von Änderungen in den Bestimmungsländern, sind von der Organisation nur gefordert wenn sie durch den Kunden bereitgestellt werden.
|
08 |
7.5.1.1 Dokumentation des Qualitätsmanagementsystems |
FRAGE:
Muss das Dokument (bei welchem es sich um eine Tabelle, eine Liste oder Matrix handeln kann) alle nicht-IATF OEMs und 1st Tier-Lieferanten beinhalten? Müssen alle Kundenanforderungen über die kundenspezifischen Forderungen hinaus in diesem Dokument aufgenommen werden?
ANTWORT:
Es liegt in der Verantwortung der Organisation, Kundenanforderungen einschließlich kundenspezifischer Anforderungen zu bewerten und sie gemäß IATF 16949, Abschnitt 4.3.2 in den Anwendungsbereich des Qualitätsmanagementsystems der Organisation einzubeziehen.
Es ist ein Dokument (bei welchem es sich um eine Tabelle, eine Liste oder Matrix handeln kann) als Teil des Qualitätsmanagementhandbuchs gemäß IATF 16949, Abschnitt 7.5.1.1 d) gefordert. Das Dokument muss alle direkten Kunden der zertifizierten Organisation umfassen, darunter IATF-OEMs, nicht-IATF OEMs und andere Automobilkunden (d. h. 1st Tier, 2nd Tier usw.).
Zum Beispiel muss eine 2nd Tier Organisation die Kundenanforderungen, einschließlich der kundenspezifischen Anforderungen, aller ihrer Kunden berücksichtigen. Die 2nd Tier Organisation muss jedoch die Kundenanforderungen der automotive OEMs nicht berücksichtigen, sofern der OEM nicht sein direkter Kunde ist.
Es ist wichtig anzumerken, dass die nicht-IATF OEM Kunden und andere Automobilkunden ihre Kundenanforderungen in einem internen Dokument bereits stellen können, das sie an ihre Lieferanten verteilen (z. B. Qualitätsanforderungen für Lieferanten), oder in einem speziellen Dokument, das der Öffentlichkeit zugänglich ist (z. B. im Internet).
Das Identifizieren von kundenspezifischen Anforderungen kann schwierig sein, wenn der nicht IATF OEM oder andere Automobilkunden die Anforderungen nicht eindeutig mit den IATF 16949 Kapiteln verlinken.
Eine Möglichkeit zur Identifizierung, ob kundenspezifische Anforderungen bestehen, besteht darin, die Abschnitte des IATF 16949-Standards hinsichtlich des Begriffs „wenn vom Kunden gefordert“ zu überprüfen und ob das bestehende Kundenanforderungsdokument etwaige Anforderungen ausweist, die Bezug auf eine Anforderung des IATF 16949-Standards nehmen. Sofern zutreffend, sollte dieser Kunde und seine Anforderungen dem Dokument (bei welchem es sich um eine Tabelle, eine Liste oder Matrix handeln kann) im Qualitätsmanagementhandbuch hinzugefügt werden.
Von Organisationen wird nicht erwartet, dass sie die Kundenanforderungen, einschließlich kundenspezifischer Anforderungen in ein CSR-Format umwandeln, welches mit den Abschnitten der IATF 16949 übereinstimmt, ähnlich wie es die IATF-OEMs veröffentlichen.
|
07 |
7.1.5.3.2 Externe Labore |
FRAGE 1:
In welchem Fall kann der Hersteller der Mess- oder Prüfeinrichtungen zur Kalibrierung selbiger eingesetzt werden?
Wenn ein akkreditiertes Labor zwar existiert, jedoch sehr weit entfernt ist und/oder sehr kostenintensiv ist, darf dann der nähergelegene Hersteller der Mess- und Prüfeinrichtung genutzt werden (auch wenn dieser nicht nach ISO/IEC 17025 akkreditiert ist)?
ANTWORT 1:
Siehe hierzu revidierte SI 10 veröffentlicht April 2021, gültig ab Juni 2021.
FRAGE 2:
Wenn die Organisation Inspektions-, Mess- und Prüfeinrichtungen in der Endmontage und in den dafür vorgesehenen Prüfbereichen hat, sind diese als interne Labore zu betrachten?
ANTWORT 2:
Nein, In-line Mess- und Prüfstationen, die an einem beliebigen Abschnitt des Fertigungs- oder Montageprozesses angewandt werden, gelten nicht als interne Labore.
|
06 |
7.1.5.1.1 Beurteilung des Messsystems |
FRAGE:
Sind Messsystemanalysen für jede Art von Prüf- und Messinstrument gefordert?
ANTWORT:
Nein, eine vollständige Prüfprozesseignung an jedem einzelnen Messsystem ist nicht gefordert. Messsysteme mit den gleichen Merkmalen (z. B. Messbereich, Auflösung, Wiederholbarkeit usw.) können zu Gruppen zusammengefasst werden, so dass ein Musterinstrument (repräsentativ für die Messgerätefamilie) für die Prüfprozesseignung verwendet werden kann.
|
05 |
5.3.1 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation – Ergänzung |
FRAGE:
Ist es die Intention, dass die Verantwortlichkeiten einer Funktion (z. B. Qualität), einer bestimmten Position (z. B. Qualitätsleiter) oder einer benannten Person (z. B. Max Mustermann) zuzuweisen sind?
ANTWORT:
Verantwortlichkeiten sind der Rolle/Position (d. h. spezifischer Titel, Qualitätsleiter) innerhalb der Organisation zuzuweisen. Obgleich Einzelpersonen diese Verantwortlichkeiten in ihren Rollen innehaben, verbleiben die Verantwortlichkeiten bei der Position (z. B. Qualitätsleiter). Daher wird die Verantwortung und Befugnis durch die oberste Leitung einer Position zugewiesen und nicht einer einzeln namentlich genannten Person.
|
04 |
4.4.1.2 Produktsicherheit |
FRAGE:
Was gehört zum Umfang dieser Anforderung? Viele Organisationen konzentrieren sich auf behördliche und gesetzliche Anforderungen des Produktes und sind nicht der Auffassung, dass sie sicherheitsrelevante Produkte oder Prozesse haben.
ANTWORT:
Diese Anforderung bezieht sich auf Merkmale am Produkt und im Produktionsprozess, die Auswirkung(en) auf die Sicherheitsanforderung der Endmontage haben. Diese Merkmale können möglicherweise keiner direkten behördlichen oder gesetzlichen Anforderungen zugeordnet werden, können jedoch durch den Kunden festgelegt sein.
|
03 |
Vorwort – QMSStandard der Automobilindustrie |
FRAGE:
Wie sollte man sich verhalten, wenn Übersetzungsfehler in dem IATF 16949-Standard identifiziert werden?
ANTWORT:
Die IATF wendet einen definierten Prozess zur Übersetzung des Standards an, einschließlich einer Gegenprüfung, um die Fehlerfreiheit zu gewährleisten. Wenn eine Organisation oder eine Zertifizierungsgesellschaft feststellt, dass möglicherweise ein Übersetzungsfehler vorliegt, ist entweder eines der IATF-Mitgliedsverbände oder das relevante Oversight Office der Zertifizierungsgesellschaft zu kontaktieren.
|
02 |
Vorwort – QMS-Standard der Automobilindustrie |
FRAGE:
Warum sind die beiden Standards (IATF 16949:2016 und ISO 9001:2015) wesentlich teurer als die ISO/TS 16949 Version?
ANTWORT:
Ohne die Co-Lizenzvereinbarung zwischen der ISO und der IATF für das integrierte Format der IATF 16949, konnte die IATF keine Vergünstigungen für die Norm ISO 9001:2015 erzielen.
Die IATF hat den Preis für die automobilspezifischen Inhalte jedoch stabil halten können. Im Grunde basiert somit der Preisunterschied im vollen Listenpreis der ISO für die ISO 9001.
|
01 |
Vorwort – QMS-Standard der Automobilindustrie |
FRAGE:
Warum gibt es zwei Standards (IATF 16949:2016 und ISO 9001:2015)? Zwei Standards anstelle von einem erschweren das Lesen und Verstehen der Anforderungen.
ANTWORT:
Die IATF und die ISO konnten keine Lizenzvereinbarung zur Veröffentlichung des IATF 16949-Standards in einem integrierten Dokument erzielen. Um die Einführung des neuen Standards IATF 16949 nicht weiter zu verzögern, entschied sich die IATF für die Veröffentlichung in dem vorliegenden Format, d.h. einem „Zwei-Standard-Format“.
Vor der Veröffentlichung bestätigten internationale Akkreditierungsorganisationen der IATF, dass andere Branchen ebenfalls ein Modell mit zwei Standards anwenden, um ihre fachspezifischen Anforderungen zu definieren. Die Auditierung im „Zwei-Standard-Format“ ist zwar nicht optimal, aber dennoch effektiv.
Die IATF arbeitet nach wie vor eng mit der ISO zusammen und gewährleitet durch den „Liaison Committee Status“ die fortlaufende Ausrichtung an bzw. mit der ISO 9001.
|