A.2 Elemente des Produktionslenkungsplans

Ein Produktionslenkungsplan weist mindestens folgenden Inhalt auf:
Allgemeine Daten
a) Nummer des Produktionslenkungsplans,
b) Ausgabe- und Änderungsdatum, falls vorhanden,
c) Kundeninformationen (siehe Kundenanforderungen),
d) Name der Organisation/Standortbezeichnung,
e) Teilenummer(n) oder gemeinsamer Produktionslenkungsplan
f) Teilebezeichnung/-beschreibung,
g) Konstruktionsänderungsstand,
h) anzuwendende Phase (Prototyp, Vor-Serie, Serie),
i) Hauptansprechpartner,
j) Baustufe oder Arbeitsgang-Nr.,
k) Prozessbezeichnung/Beschreibung der Aufgabe,
l) Funktionsgruppe/verantwortlicher Bereich.

Alle anderen Abschnitte von Anhang A: A.2 (Produktlenkung, Produktionsprozesslenkung, Methoden, Reaktionsplan) bleiben unverändert.

Begründung für die Änderung:
Die Dokumentation aller Steuerungsmethoden von hochautomatisierten und komplexen Prozessen (wie z.B. Halbleiterfertigung, einige maschinelle Bearbeitungen oder Schweißverfahren) könnte zu Produktionslenkungsplänen führen, die ausgedruckt zu groß sind, um für ihren beabsichtigten Zweck nützlich zu sein.
Durch die Möglichkeit, auf das System, das den Prozess steuert, zu verweisen und/oder es mit diesem zu verknüpfen, wird das Potenzial für veraltete Informationen und Fehler beseitigt und es werden die tatsächlich verwendeten Prozesse widergespiegelt.

Alle anderen Abschnitte von Anhang A: A.1 bleiben unverändert.

ANMERKUNG 1: Der Organisation wird empfohlen, dass sie ihre Lieferanten auffordert, die Forderungen dieses Anhangs zu erfüllen.
ANMERKUNG 2: Im Fall von Schüttgutmaterial weisen Produktionslenkungspläne nicht notwendigerweise alle Informationen zur Produktion auf. Vergleichbare Informationen liegen dann in der Regel in Form der entsprechenden Rezepturen der jeweiligen Chargen vor.
ANMERKUNG 3: Für hochautomatisierte Prozesse (z. B. Halbleiterfertigung, maschinelle Bearbeitung, Schweißverfahren), bei denen die Steuerungs- und Überwachungsmethoden (d. h. Spezifikation/Toleranzen, Stichprobengröße, Häufigkeit) durch ein System (z. B. System zur Fertigungssteuerung o. ä.) gesteuert wird, sind zusammenfassende Steuerungsinformationen mit direkten Verweisen oder Verknüpfungen zu dem System, das die detaillierten Prozesssteuerungsinformationen verwaltet, zulässig.

Begründung für die Änderung:
Die Dokumentation aller Steuerungsmethoden von hochautomatisierten und komplexen Prozessen (wie z.B. Halbleiterfertigung, einige maschinelle Bearbeitungen oder Schweißverfahren) könnte zu Produktionslenkungsplänen führen, die ausgedruckt zu groß sind, um für ihren beabsichtigten Zweck nützlich zu sein.
Durch die Möglichkeit, auf das System, das den Prozess steuert, zu verweisen und/oder es mit diesem zu verknüpfen, wird das Potenzial für veraltete Informationen und Fehler beseitigt und es werden die tatsächlich verwendeten Prozesse widergespiegelt.

Die Organisation muss die Konformität aller Produkte und Prozesse – einschließlich Ersatzteilen sowie Teilen von externen Anbietern – mit allen Kundenanforderungen sowie den anwendbaren gesetzlichen und behördlichen Anforderungen, einschließlich der Konformität mit den Materialanforderungen sicherstellen (siehe Abschnitt 8.4.2.2).

Begründung für die Änderung:
Obwohl dies keine neue Anforderung ist, wird die Einhaltung von Materialvorschriften zu einem immer wichtigeren Bereich in der Automobilbranche.

Die Organisation muss (einen) dokumentierte(n) Prozess(e) einführen und aufrechterhalten, um den Schulungsbedarf – einschließlich Maßnahmen zur Bewusstseinsbildung (siehe Abschnitt 7.3.1) – zu ermitteln sowie die diesbezüglichen Kompetenzen zu erlangen für Mitarbeiter, die Tätigkeiten ausüben, die die Produkt- und Prozesskonformität beeinflussen. Mitarbeiter, die besondere zugeordnete Aufgaben ausführen, müssen entsprechend qualifiziert sein, wobei der Erfüllung der Kundenanforderungen besondere Aufmerksamkeit gilt.

Um Risiken für die Organisation zu verringern oder zu eliminieren, muss die Schulung und Sensibilisierung von Mitarbeitern auch Informationen über die Vorbeugung enthalten, die für die Arbeitsumgebung der Organisation und die Verantwortlichkeiten der Mitarbeiter relevant sind, wie das Erkennen von Anzeichen eines bevorstehenden Ausfalls von Anlagen und Einrichtungen und/oder eines versuchten Cyberangriffs.

Begründung für diese Änderung:
Das Wissen der Mitarbeiter ist ein wichtiger Faktor, um zu verhindern, dass Probleme bedeutsam werden. Dies schließt die Erkennung potenzieller Ausfälle von Einrichtungen ein und die Erkennung von Cyberangriffen.

Die Organisation muss in ihrer Risikoanalyse zumindest die gewonnenen Erkenntnisse (engl.: lessons learned) aus:
a) Rückrufaktionen, Produktaudits, Feldbeanstandungen und Reparaturen, Reklamationen, Ausschuss und Nacharbeit einbeziehen,
b) Bedrohungen durch Cyberangriffe auf informationstechnische Systeme (IT-Systeme).

Die Organisation muss dokumentierte Informationen als Nachweis für die Ergebnisse der Risikoanalyse aufbewahren.

Begründung für diese Änderung:
Potenzielle Cyberangriffe stellen für alle zertifizierten Organisationen ein Risiko dar, da in ihren IT-Systemen wichtige und wertvolle Informationen gespeichert sind. Organisationen müssen potenzielle Cyberangriffe in ihrer Risikoanalyse berücksichtigen.

Die Organisation muss über einen dokumentierten Prozess zur Problemlösung verfügen, der ein Wiederauftreten eines Problems vermeidet und Folgendes beinhaltet:
a) festgelegte Vorgehensweisen und Lösungsansätze für die unterschiedlichen Arten von Problemen und deren Tragweite (z. B. Neuentwicklung von Produkten, Probleme in der aktuellen Fertigung, Feldbeanstandungen, Auditfeststellungen),
b) Eingrenzung und Aussonderung fehlerhafter oder fehlerverdächtiger Produkte und damit verbundene Sofortmaßnahmen, die für die Steuerung nicht-konformer Ergebnisse notwendig sind (siehe ISO 9001:2015, Abschnitt 8.7),
c) Ursachenanalyse, angewendete Methode(n), Auswertung und Ergebnisse,
d) Umsetzung systemischer Korrekturmaßnahmen, einschließlich einer Berücksichtigung der Auswirkungen auf ähnliche Prozesse oder Produkte,
e) Bewertung der Wirksamkeit der umgesetzten Korrekturmaßnahmen,
f) Überprüfung und – wenn notwendig – Aktualisierung der betreffenden dokumentierten Informationen (z. B. Prozess-FMEA, Produktionslenkungsplan).

Wenn ein Kunde bestimmte Vorgehensweisen, Techniken oder Methoden zur Problemlösung vorgibt, muss die Organisation diese anwenden, sofern keine anderslautenden Freigaben des Kunden vorliegen.

Begründung für diese vorgenannte Änderung:
Bei Korrekturmaßnahmen wird oft beobachtet, dass der wichtige Schritt der Vermeidung eines Wiederauftretens des Problems fehlt. Die Vermeidung eines erneuten Auftretens wurde nun als Anforderung hinzugefügt.

Die Organisation muss einen dokumentierten Prozess und Kriterien zur Bewertung der Lieferantenleistung erstellen, um sicherzustellen, dass die extern bereitgestellten Prozesse, Produkte und Dienstleistungen die internen und die externen (Kunden-)Anforderungen erfüllen.

Die folgenden lieferantenbezogenen Leistungsindikatoren müssen mindestens überwacht werden:
a) Konformität der gelieferten Produkte mit den Anforderungen,
b) aufgetretene Störungen im belieferten Werk des Kunden, einschließlich sog. „Yard Holds“ und Auslieferungsstopps,
c) logistische Lieferleistung (Liefertreue bzw. Einhaltung von Lieferplänen),
d) Anzahl der mit Zusatzfrachtkosten verbundenen Vorfälle.

Sofern vom Kunden bereitgestellt, … in die Bewertung der Lieferantenleistung einbeziehen:
e) … f)

Begründung für diese vorgenannte Änderung:
Die Überwachung der Zusatzfrachtkosten ist bereits in den in 9.1.2.1 definierten Anforderungen an die Bewertung der Kundenzufriedenheit enthalten. Die Messung der Anzahl der mit Zusatzfrachtkosten verbundenen Vorfälle durch den Lieferanten liegt auch außerhalb des Geltungsbereichs des Qualitätsmanagementsystems der Organisation, da es sich hierbei um eine interne Leistungskennzahl des Lieferanten handelt.

Die Organisation muss zur Entwicklung und ständigen Verbesserung von Werks-, Anlagen- und Einrichtungsplänen einen multidisziplinären Ansatz, einschließlich Risikoidentifizierung und Risikominderung, anwenden. Die Organisation muss beim Entwerfen von Werkstrukturplänen:
a) den Materialfluss, das Materialhandling und die wertsteigernde Nutzung der vorhandenen Fläche optimieren, einschließlich der Lenkung fehlerhafter Teile, und
b) einen synchronen Materialfluss ermöglichen, soweit zutreffend, und
c) Maßnahmen zum Schutz vor Cyberangriffen auf Einrichtungen und Systeme implementieren, welche die Fertigung unterstützen.

Begründung für diese vorgenannte(n) Änderung(en):
Cybersicherheit beschränkt sich nicht nur auf die Computer, die von Unterstützungsfunktionen und in den Bürobereichen verwendet werden. In der Fertigung werden ebenfalls computergestützte Steuerungen und Einrichtungen eingesetzt, die im Hinblick auf Cyberangriffe gefährdet sein können. Diese Ergänzung treibt die Implementierung notwendiger Schutzmaßnahmen voran, um den kontinuierlichen Betrieb und eine den Kundenanforderungen entsprechende Produktion sicherzustellen.

Die Organisation muss:
a) – d) (…)
e) die Notfallpläne regelmäßig auf Wirksamkeit prüfen (z. B. Simulationen, soweit angemessen);
Cybersicherheitstests können die Simulation von Cyberangriffen, die regelmäßige Überprüfung auf bestimmte Bedrohungen, das Identifizieren von Abhängigkeiten und die Priorisierung von Sicherheitsschwachstellen umfassen. Das Testen ist an das Risiko damit verbundener Kundenstörungen angepasst;
Hinweis: Die Cybersicherheitstests können entweder intern von der Organisation selbst oder – wenn zweckdienlich – durch externe Dienstleister durchgeführt werden.

Begründung für diese Änderung:
Kombiniert mit SI 3, da für diese die gleiche IATF 16949 Anforderung gilt

Eingaben für die Managementbewertung müssen Folgendes umfassen:
a) Kosten infolge der Nichterfüllung von Qualitätsanforderungen (interne und externe Fehlerkosten),
b) Ergebnisse aus der Bewertung von Leistungsindikatoren zur Wirksamkeit der Prozesse,
c) Ergebnisse aus der Bewertung von Leistungsindikatoren zur Effizienz der Prozesse,
d) Produktkonformität,
e) Ergebnisse der Herstellbarkeitsbewertungen für Änderungen an vorhandenen Betriebsabläufen, für neue Anlagen und Einrichtungen oder neue Produkte (siehe Abschnitt 7.1.3.1),
f) Kundenzufriedenheit (siehe ISO 9001:2015, Abschnitt 9.1.2),
g) Bewertung der instandhaltungsbezogenen Leistungsindikatoren gegenüber den Instandhaltungs- und Wartungszielen,
h) Leistungsindikatoren zu Kulanz und Gewährleistung – sofern zutreffend,
i) Überprüfung der Kundenbewertungen (engl.: scorecards) – sofern zutreffend,
j) durch Risikoanalysen (wie FMEA) ermittelte potenzielle Feldausfälle,
k) tatsächliche Feldausfälle und deren Auswirkung auf die Sicherheit oder Umwelt,
l) Zusammenfassende Statusbewertung von Kenngrößen zu vorgegebenen Entwicklungsstufen der Produkt- und Produktionsprozessentwicklung – sofern zutreffend.

Begründung für diese Änderung:
Im Abschnitt „8.3.4.1 Überwachung“ wurde die zusammenfassende Statusbewertung von Kenngrößen zu vorgegebenen Entwicklungsstufen bei der Entwicklung von Produkten und Produktionsprozessen bereits als Eingabe für die Managementbewertung gefordert. Dieser Punkt fehlte jedoch in der Auflistung der Eingaben in Abschnitt 9.3.2.1.
Kenngrößen können beispielsweise sein: Terminierung(en), Kosten oder Herstellbarkeit.

Integrierte Software (engl.: embedded software)

Integrierte Software sind spezielle Programme/Anwendungen, die auf Komponenten der Automobilindustrie gespeichert werden (typischerweise auf Computerchips oder anderen, nicht-löschbaren Speichermedien) und vom Kunden spezifiziert oder durch die Entwicklung eines Systems/einer Komponente vorgegeben werden, um die Funktion(en) der Komponente zu steuern. Um im Anwendungsbereich des IATF 16949-Standards relevant zu sein, muss die Komponente, die von einer integrierten Software gesteuert wird, für eine Anwendung in der Automobilindustrie entwickelt worden sein (z.B. für Pkw, leichte Nutzfahrzeuge, Lkw, Busse und Motorräder; siehe hierzu die „Zertifizierungsvorgaben der Automobilindustrie zum IATF 16949-Standard, 5. Ausgabe“, Abschnitt 1.0: „Anwendungsbereich für die Zertifizierung nach IATF 16949“).

ANMERKUNG: Software, die für jegliche Art der Steuerung von Produktionsprozessen genutzt wird (z.B. Anlagen zur Herstellung Materialerzeugung, Bearbeitung oder Montage einer Komponente), fallen nicht unter die Definition von Integrierter Software.

Begründung für diese Änderung:
Mit dieser zusätzlichen Definition sollen die Irritationen bezüglich des Begriffs der Integrierten Software minimiert werden und geklärt werden, was in diesem Zusammenhang relevant ist. Mit dieser Klarstellung/Definition wird die vormals existierende „Häufig gestellte Frage“ (FAQ) Nr. 10 gestrichen.

Die Organisation muss alle Prozesse des QM-Systems im Laufe eines dreijährigen Auditzyklus von jeweils drei Kalenderjahren auf Basis eines jährlichen Auditprogramms auditieren. Um die Erfüllung mit den Anforderungen dieses QMS-Standards der Automobilindustrie bewerten zu können, ist der prozessorientierte Ansatz anzuwenden. Die Organisation muss eine Auswahl von kundenspezifischen Anforderungen in die Auditierung des QM-Systems einbeziehen, um eine wirksame Umsetzung dieser sicherzustellen.

Die Länge des vollständigen Auditzyklus bleibt unberührt bei 3 Jahren. Die Häufigkeit der QM-Systemaudits für einzelne Prozesse, die in dem 3-jährigen Auditzyklus auditiert werden, muss aufgrund von internen und externen Leistungen sowie ermittelten Risiken festgelegt werden. Organisationen müssen Nachweise darüber führen, mit denen die festgelegte Häufigkeit der Auditierung ihrer Prozesse begründet wird. Alle Prozesse müssen innerhalb des dreijährigen Auditzyklus gemäß allen zutreffenden Anforderungen der IATF 16949-Standards auditiert werden, einschließlich der ISO 9001-Basisanforderungen und jeder kundenspezifischen Anforderung.

Begründung für diese Änderung:
Klarstellung, dass der Auditzyklus des internen QM-Systemaudits weiterhin drei Jahre beträgt. Die vormals veröffentlichte FAQ 18 wurde gestrichen und die Anforderungen aus dem zweiten Absatz dieser FAQ wurden in die o.g. Sanktionierte Interpretation Nr. 14 überführt. Es wird darüber hinaus klargestellt, dass alle Prozesse innerhalb des 3-jährigen Auditzyklus auditiert werden müssen.

Eingaben für die Managementbewertung müssen Folgendes umfassen:
a) Kosten infolge der Nichterfüllung von Qualitätsanforderungen (interne und externe Fehlerkosten);
b) Ergebnisse aus der Bewertung von Leistungsindikatoren zur Wirksamkeit der Prozesse;
c) Ergebnisse aus der Bewertung von Leistungsindikatoren zur Effizienz der Prozesse für Produktrealisierungsprozesse, sofern anwendbar;
d) Produktkonformität;
e) Ergebnisse der Herstellbarkeitsbewertungen für Änderungen an vorhandenen Betriebsabläufen, für neue Anlagen und Einrichtungen oder neue Produkte (siehe Abschnitt 7.1.3.1);
f) Kundenzufriedenheit (siehe ISO 9001:2015, Abschnitt 9.1.2);
g) Bewertung der instandhaltungsbezogenen Leistungsindikatoren gegenüber den Instandhaltungs- und Wartungszielen;
h) Leistungsindikatoren zu Kulanz und Gewährleistung – sofern zutreffend;
i) Überprüfung der Kundenbewertungen (engl.: scorecards) – sofern zutreffend;
j) durch Risikoanalysen (wie FMEA) ermittelte potenzielle Feldausfälle;
k) tatsächliche Feldausfälle und deren Auswirkung auf die Sicherheit oder Umwelt.

Begründung für diese Änderung:
Mit der Änderung wir verdeutlicht, dass nicht für jeden Prozess eine Effizienzkennzahl erforderlich ist. Die Organisation muss festlegen, welche Prozesse innerhalb ihres Qualitätsmanagementsystems Effizienzmaßkennzahlen erfordern.

Die oberste Leitung muss die Produktrealisierungsprozesse und Unterstützungsprozesse die Wirksamkeit und Effizienz des Qualitätsmanagementsystems überprüfen, um dieses zu bewerten und zu verbessern. um deren Wirksamkeit und Effizienz zu bewerten und zu verbessern. Die Ergebnisse dieser Überprüfung müssen in die Managementbewertung einfließen (siehe Anhang 9.3.2.1.).

Begründung für diese Änderung:
Mit der Änderung wird verdeutlicht, dass nicht für jeden Prozess eine Effizienzkennzahl erforderlich ist. Die Organisation muss festlegen, welche Prozesse innerhalb ihres Qualitätsmanagementsystems Effizienzmaßkennzahlen erfordern. Darüber hinaus müssen die Problemlösungsprozesse der Organisation einer Wirksamkeitsprüfung durch das Management unterzogen werden.

Die Organisation muss eine Liste der Produktionsprozesslenkungsmaßnahmen – einschließlich der Prüf- und Messmittel – erstellen, dokumentieren und pflegen., die sowohl die ursprünglich geplanten Methoden zur Prozesslenkung enthält als auch die freigegebenen „Backup“- oder Alternativmethoden. Die Liste der Produktionsprozesslenkungsmaßnahmen muss die ursprünglich geplanten Methoden zur Prozesslenkung, als auch die freigegebenen „Backup“- oder Alternativmethoden beinhalten, sofern „Backup“- oder alternative Methoden existieren.

Begründung für diese Änderung:
Mit der Änderung wird verdeutlicht, dass nicht jede ursprünglich geplante Produktionsprozesslenkungsmaßnahme über eine „Backup“- oder Alternativmethode verfügt. Es wurde ebenfalls klargestellt, dass sofern eine „Backup“- oder Alternativmethode existiert, diese „Backup“- oder Alternativmethoden in der Liste enthalten sein muss, die von der Organisation diesbezüglich geführt wird. Es ist nicht erforderlich, für jede ursprünglich geplante Produktionsprozess-lenkungsmaßnahme eine alternative Prozessslenkungsmaßnahme vorzuhalten.

Externe, kommerzielle oder unabhängige Prüflabore, die von der Organisation für Prüf- oder Kalibrierdienstleistungen genutzt werden, müssen über ein festgelegtes Arbeitsgebiet verfügen, aus dem ihre Fähigkeit, die geforderten Prüf- und Kalibrierdienstleistungen durchzuführen, hervorgeht, und:

– das Prüflabor muss entweder nach ISO/IEC 17025 oder nach dem entsprechenden nationalen Äquivalent (z. B. CNAS-CL01 in China) von einer Akkreditierungsstelle (Unterzeichner) des ILAC MRA (International Laboratory Accreditation Forum Mutual Recognition Arrangement – www.ilac.org)¹, oder einer vergleichbaren nationalen Norm² akkreditiert sein – wobei die betreffende Prüfung, Messung oder die betreffende Kalibrier-Dienstleistung in den Umfang der Akkreditierung (des Zertifikats) eingeschlossen sein muss. Kalibrierzertifikat oder Prüfbericht müssen ein Akkreditierungszeichen (ein Siegel) der nationalen Akkreditierungsgesellschaft tragen; oder
– Wenn kein ein nicht⁵ akkreditiertes Prüflabor zur Verfügung steht genutzt⁵ wird (Beispiele: für⁵ Spezialmessgeräte, in den Produktionsablauf integrierte Messgeräte („Inline-Messgeräte“), oder für⁵ Messgrößen ohne international rückführbare Normale⁴ oder Messgerätehersteller⁵ usw.), ist die Organisation dafür verantwortlich, sicherzustellen, dass es einen Nachweis gibt, dass das Prüflabor evaluiert wurde und die Anforderungen von Abschnitt 7.1.5.3.1 der IATF 16949 erfüllt.⁴
– es muss nachgewiesen werden, dass das externe Prüflabor den Anforderungen des Kunden genügt.

ANMERKUNG: Der Nachweis, dass das Prüflabor die Anforderungen nach ISO/IEC 17025 oder einer nationalen, vergleichbaren Norm erfüllt, kann z. B. durch eine Kundenbeurteilung oder durch eine vom Kunden genehmigte „Second Party“ Beurteilung erbracht werden. Die „Second Party“ Beurteilung kann durch die Organisation selbst durchgeführt werden, allerdings mit einem vom Kunden freigegebenem Bewertungsverfahren.
Wenn für ein bestimmtes Gerät kein qualifiziertes Labor verfügbar ist, darf die Kalibrierung auch vom Gerätehersteller vorgenommen werden. In diesem Fall muss die Organisation sicherstellen, dass die in Abschnitt 7.1.5.3.1 aufgeführten Anforderungen erfüllt werden.
Bei Kalibrierdienstleistungen, die nicht durch qualifizierte (oder vom Kunden akzeptierte) Labore erbracht werden, kann eine Bestätigung von staatlichen Aufsichtsbehörden erforderlich sein.^{3 /4}

ANMERKUNG: Die integrierte Selbstkalibrierung von Mess- und Prüfgeräten, einschließlich der Verwendung von firmeneigener Software, erfüllt nicht die Anforderungen an die Kalibrierung.⁴

Begründungen für diese Änderungen:
Einige Organisationen befanden die Anforderungen an die Akkreditierung für externe, kommerzielle oder unabhängige Prüf- und Kalibrierlabore, die für entsprechende Prüf- oder Kalibrierdienstleistungen genutzt werden, unklar und erwarteten eine weitergehende Klarstellung. Mit dieser sanktionierten Interpretation werden die Anforderungen und Erwartungen präzisiert.
¹Veröffentlicht April 2018
²Überarbeitet Juni 2018
³Neu aufgelegt, um zu zeigen, dass die Anmerkung und die nachfolgenden Absätze nicht ausgeschlossen wurden
⁴ Klärung der Bedingungen, unter denen ein nicht akkreditiertes Prüflabor verwendet werden darf, wo der Originalgerätehersteller verwendet werden darf, Streichung der Anmerkung und Akzeptanz der Selbstkalibrierung von Geräten (April 2021). Außerdem wurde der Satz über die behördliche Bestätigung gestrichen, da dies keine staatliche Anforderung ist.
⁵ Weitere Klarstellungen zur Erläuterung der Bedingungen und den erforderlichen Bewertungen, die erforderlich sind, wenn nicht akkreditierte Prüflabor eingesetzt werden: auch für Hersteller von Prüf- und Messgeräten.

Wenn das Produkt oder der Produktionsprozess vom freigegebenen Produkt bzw. Prozess abweicht, muss die Organisation die Freigabe des Kunden einholen oder die Abweichung genehmigen lassen, bevor die Produktion fortgesetzt wird.

Bevor ein nicht spezifikationskonformes Produkt, im Ist-Zustand verwendet, weiterverarbeitet oder einer Nacharbeit Reparatur (siehe Absatz 8.7.1.5) zugeführt werden darf, muss die Organisation hierfür eine Freigabe des Kunden eingeholt haben. Wenn Sub-Komponenten im Fertigungsprozess wiederverwendet werden sollen, muss diese Wiederverwendung in den entsprechenden Sonderfreigaben oder Abweichgenehmigungen klar an den Kunden kommuniziert werden.

Begründung für diese Änderung:
Klarstellung der Anforderung(en) bzw. und Eliminierung des Widerspruchs bezüglich der Kundenfreigabe zu Nacharbeit(en).

Die Organisation muss ihre Lieferanten von Produkten und Dienstleistungen für die Automobilindustrie auffordern, ein Qualitätsmanagementsystem (QMS) zu entwickeln, einzuführen und zu verbessern – letztendlich mit dem Ziel¹, dass solche Organisationen die in den Anwendungsbereich² der Zertifizierung nach IATF 16949 fallen, die Zertifizierung nach diesem QMS-Standard der Automobilindustrie erlangen.

Mittels eines Risikobewertungsmodells muss die Organisation für jeden Lieferanten eine zulässige akzeptable Mindestentwicklungsstufe sowie eine Zielentwicklungsstufe für das QM-System festlegen.

Sofern vom Kunden nicht anders vorgegeben¹, ist ein QM-System, welches nach ISO 9001:2015 zertifiziert ist, die zulässige Mindestentwicklungsstufe der Entwicklung. Basierend auf der aktuellen Leistung und des potenziellen Risikos für den Kunden besteht das Ziel, dass die Lieferanten die folgende Entwicklungsabfolge durchlaufen: sollte die folgende Reihenfolge angewendet werden, um diese Anforderung zu erfüllen:
a) Bewertung der Konformität mit ISO 9001:2015 durch „Second Party”-Audits, ¹
b) Zertifizierung nach ISO 9001:2015 durch „Third Party”-Audits. Sofern vom Kunden nicht anders vorgegeben, müssen die Lieferanten der Organisation ihre Konformität mit ISO 9001:2015 durch die Aufrechterhaltung von „Third Party”-Zertifizierungen nachweisen, die von einer Zertifizierungsgesellschaft durchgeführt werden, deren Zertifikate ein Akkreditierungssiegel eines anerkannten Mitglieds des IAF MLA (International Accreditation Forum Multilateral Recognition Arrangement) tragen. Der Haupttätigkeitsbereich der Akkreditierungsgesellschaft muss die Zertifizierung von Managementsystemen nach ISO/IEC 17021 beinhalten,
c) Zertifizierung nach ISO 9001:2015 und Bewertung der Konformität mit anderen, vom Kunden festgelegten Anforderungen an QM-Systeme (wie MAQMSR [Minimum Automotive Quality Management System Requirements for Sub-Tier Suppliers] oder entsprechend) durch „Second Party”-Audits,
d) Zertifizierung nach ISO 9001:2015 und Bewertung der Konformität mit IATF 16949 durch „Second Party”-Audits,
e) Zertifizierung nach IATF 16949 durch „Third Party”-Audits (gültige „Third Party”-Zertifizierung des Lieferanten durch eine von der IATF anerkannte Zertifizierungsgesellschaft).

ANMERKUNG: Das zulässige akzeptable Minimum der QM-System Entwicklung kann die Konformität mit ISO 9001 mittels Lieferantenaudits darstellen, sofern dies vom Kunden autorisiert wurde.

Begründung(en) für diese Änderung(en):
¹Klarstellung zu der erwarteten Entwicklung der QM-Systeme von Lieferanten. Dieser Ansatz unterstützt das Konzept des risikobasierten Ansatzes, der im Abschnitt 8.4 des Standards betont wird.
²Zusätzliche Klarstellung durch das Hinzufügen des “Anwendungsbereichs der Zertifizierung nach IATF 16949“ im ersten Absatz, um sich damit an jene Organisationen zu wenden, die nicht nach IATF 16949 zertifizierbar sind (z.B.: Altmetalllieferanten, Speditionen, die Transport- und Logistikunterstützung leisten, etc.).

Die Organisation muss über einen dokumentierten Prozess verfügen, um ausgegliederte Prozesse zu ermitteln und um Art und Umfang der Werkzeuge und Methoden auszuwählen, mit denen die Übereinstimmung der extern bereitgestellten Prozesse, Produkte und Dienstleistungen mit internen und externen Kundenanforderungen überwacht, bewertet und sichergestellt wird.

Der Prozess muss Kriterien und Maßnahmen zur Intensivierung oder Reduzierung der Art und des Umfangs der Werkzeuge und Methoden beinhalten. Basierend auf der Lieferantenperformance und der Bewertung von Produkt-, Material- oder Dienstleistungsrisiken müssen Maßnahmen zur Lieferantenentwicklung eingeleitet werden.

In Fällen in denen Merkmale oder Komponenten ohne Validierung oder Lenkungsmaß-nahmen durch das Qualitätsmanagementsystem der Organisation „durchgeleitet“ werden, muss die Organisation sicherstellen, dass geeignete Lenkungsmaßnahmen am Ort der Herstellung existieren.

Begründung für diese Änderung:
Klarstellung der Verantwortung der Organisation für „durchgeleitete Merkmale“.

Die Organisation muss einen multidisziplinären Ansatz anwenden, um den (die) Prozess(e) zur Ermittlung besonderer Merkmale festzulegen, zu dokumentieren und einzuführen. Dies beinhaltet die vom Kunden festgelegten besonderen Merkmale und jene, die die Organisation im Rahmen ihrer Risikoanalysen ermittelt hat, und muss außerdem Folgendes beinhalten bzw. sicherstellen:
a) Dokumentation und Kennzeichnung aller besondereren Merkmale in den Produkt- und/oder Produktionsdokumenten Zeichnungen (wenn gefordert), in entsprechenden Risikoanalysen (wie Prozess-FMEA), in den Produktionslenkungsplänen und in den Arbeitsanweisungen. Die besonderen Merkmale sind mit speziellen Symbolen zu kennzeichnen und in den Dokumenten zur Produktherstellung zu dokumentieren, die die Ermittlung und Einführung oder die Lenkungsmaßnahmen für diese besonderen Merkmale aufzeigen, welche durchgängig in allen relevanten Dokumenten anzuwenden sind,

Begründung für diese Änderung:
Klarstellung bezüglich der Dokumentation von besonderen Merkmalen in den Zeichnungen bzw. Dokumenten zu Produkten und/oder Prozessen.

Das Qualitätsmanagementhandbuch muss mindestens Folgendes beinhalten:
a) Geltungsbereich des Qualitätsmanagementsystems, einschließlich Beschreibung und Begründung von Ausschlüssen,
b) dokumentierte Prozesse, die für das Qualitätsmanagementsystem erforderlich sind, oder Referenzen darauf,
c) Prozesse der Organisation und deren Abfolge und Wechselwirkung (Input und Output), einschließlich Art und Umfang der Lenkung ausgegliederter Prozesse,
d) Dokument (d. h. Matrix zum Beispiel eine Tabelle, eine Liste oder eine Matrix), aus dem hervorgeht, an welcher Stelle des Qualitätsmanagementsystems der Organisation kundenspezifische Anforderungen adressiert werden.

Begründung für diese vorgenannte Änderung:
Einige Zertifizierungsgesellschaften und Organisationen wünschten eine Klarstellung, dass es sich bei der vormals genannten Matrix nicht um eine obligatorische Darstellungsweise handelt. Eine Matrix stellt lediglich eine von mehreren Möglichkeiten dar, die akzeptabel sind. Die Entscheidung für das jeweils genutzte Format obliegt der Organisation.

Die Organisation muss über (einen) dokumentierte(n) Prozess(e) verfügen, der sicherstellt, dass interne Auditoren kompetent sind, wobei Anforderungen, die durch die Organisation selbst definiert werden und/oder kundenspezifische Anforderungen berücksichtigt werden müssen. Für weitere Hinweise zu Kompetenzen von Auditoren wird auf die ISO 19011 verwiesen.
Die Organisation muss eine Liste aller qualifizierten internen Auditoren führen.

Alle iInternen QM-Systemauditoren, Prozessauditoren und Produktauditoren müssen in der Lage sein, folgende Mindestkompetenzen nachzuweisen:
a) Verständnis des prozessorientierten Ansatzes der Automobilindustrie, einschließlich risikobasierter Denkweise,
b) Verständnis der zutreffenden kundenspezifischen Anforderungen,
c) Verständnis zutreffender Anforderungen der ISO 9001:2015 und der IATF 16949 hinsichtlich des Auditumfangs,
d) Verständnis relevanter Anforderungen zu Qualitätstechniken bzw. -methoden (engl.: core tools) hinsichtlich des Auditumfangs,
e) Verständnis, wie Audits geplant und durchgeführt werden, wie Auditberichte erstellt und wie Maßnahmen aus Auditfeststellungen geschlossen werden.

Prozessauditoren müssen darüber hinaus mindestens nachweisen, dass sie über das für die relevanten zu auditierenden Produktionsprozesse notwendige technische Verständnis verfügen – auch hinsichtlich prozessbezogener Risikoanalysen (wie Prozess-FMEA) und Produktionslenkungsplänen.

Produktauditoren müssen mindestens¹ nachweisen, dass sie über die notwendige Kompetenz verfügen, die Anforderungen an das Produkt zu verstehen und die dafür relevanten Mess- und Prüfmittel zur Überprüfung der Produktkonformität zu handhaben.

Für Schulungen zur Erreichung von Kompetenz, die durch Mitarbeiter der Organisation erbracht werden, zur Erreichung von Kompetenz genutzt werden, müssen dokumentierte Informationen (Nachweise) vorliegen, die belegen, dass die Kompetenzen der eingesetzten Trainer den oben genannten Anforderungen entsprechen.
f)…g) ²

Begründung für diese Änderung:
¹Die vorgenannte Änderung grenzt die Kompetenz-Anforderungen von internen QM-Systemauditoren, Prozessauditoren und Produktauditoren voneinander ab. Darüber hinaus erfolgt eine Klarstellung zur Trainerkompetenz für intern durchgeführte Trainings.
²Überarbeitet, um aufzuzeigen, dass die Anforderungen f) und g) nicht ausgeschlossen wurden.

Die Organisation muss:
a) – b) (…)
c) Notfallpläne erstellen, um die Teileversorgung auch im Falle einer nicht nur auf die folgenden Ereignisse beschränkten Situation³ aufrechtzuerhalten: Ausfall von wesentlichen Produktionseinrichtungen (siehe auch Abschnitt 8.5.6.1.1), Lieferunterbrechung extern bereitgestellter Produkte, Prozesse und Dienstleistungen, wiederkehrende Naturkatastrophen, Feuer, Pandemien³,Unterbrechungen der Versorgungssysteme, Cyber-Angriffe auf informationstechnische Systeme (IT-Systeme)¹, Arbeitskräftemangel oder Störungen der Infrastruktur,
d) als Ergänzung zu den Notfallplänen einen Benachrichtigungsprozess an den Kunden und andere interessierte Parteien einrichten, der das Ausmaß und die Dauer von Situationen beinhaltet, die eine Auswirkung auf den Geschäftsbetrieb der Kunden haben,
e) die Notfallpläne regelmäßig auf Wirksamkeit prüfen (z. B. Simulationen, soweit angemessen); für die Cybersicherheit³: Das Testen kann die Simulation eines Cyberangriffs, die regelmäßige Überwachung auf spezifische Bedrohungen, die Identifizierung von Abhängigkeiten und die Priorisierung von Schwachstellen umfassen. Die Tests müssen dem Risiko der damit verbundenen Kundenunterbrechung angemessen sein; Hinweis: Cybersicherheits-Tests können intern von der Organisation verwaltet oder gegebenenfalls an Unterauftragnehmer vergeben werden²,
f) Notfallpläne (mindestens jährlich) durch ein multidisziplinäres Team bewerten, einschließlich der obersten Leitung, und aktualisieren, sofern notwendig,
g) die Notfallpläne dokumentieren und dokumentierte Informationen zu Änderungen aufbewahren, einschließlich der Personen, die diese Änderungen veranlasst haben,
h) in den Notfallplänen die Entwicklung und Umsetzung geeigneter Mitarbeiterschulungen und Sensibilisierung vorsehen³

Die Notfallpläne müssen Vorkehrungen beinhalten, die sicherstellen, dass das hergestellte Produkt nach einem Notfall, in dem die Produktion gestoppt wurde und die regulären Abschaltprozesse nicht eingehalten wurden, nach dem Wiederanlaufen der Produktion weiterhin die Kundenspezifikationen erfüllt.

Begründung(en) für diese vorgenannte(n) Änderung(en):
¹ Organisationen müssen sich mit der Möglichkeit von Cyberangriffen/Onlineattacken befassen, die dazu führen könnten, dass die Herstellungsprozesse und Logistikabläufe blockiert werden. Dies schließt auch sog. „Ransomware“ mit ein. Organisationen müssen sicherstellen, dass sie auf Cyberangriffe/Onlineattacke vorbereitet sind.
² Der SI 17 entnommen und zu einer SI für diese IATF 16949 Anforderung zusammengefasst. Cybersicherheit stellt für alle Produktionsanlagen und -einrichtungen ein zunehmendes Risiko hinsichtlich der Aufrechterhaltung aller Fertigungseinrichtungen dar – einschließlich der Automobilindustrie. Das Prüfen der Notfallpläne auf ihre Wirksamkeit wurde darüber hinaus von den Organisationen und Zertifizierungsgesellschaften als ein Bereich identifiziert, der einer Klärung bedurfte. Diese Aktualisierung liefert nun die Details, was im Rahmen der Validierung eines Cyberangriff-Notfallplans getestet werden muss.
³ Kleinere Klarstellungen, einschließlich der Aufnahme von Pandemien in Situationen die Notfallpläne erfordern. Ebenfalls eingeflossen ist die Erkenntnis, dass das Wissen der Mitarbeiter ein wichtiger Schritt für einen effektiven Notfallplan ist.

Die Organisation muss über dokumentierte Prozesse für das Management von produktsicherheits-relevanten Produkten und Produktionsprozessen verfügen. Diese müssen, soweit zutreffend, mindestens Folgendes beinhalten:
a) – m) (…)

ANMERKUNG: „Gesonderte Freigabe“ von sicherheitsrelevanten Anforderungen oder Dokumenten mit sicherheitsrelevanten Inhalten kann durch den Kunden oder durch interne Prozesse der Organisation gefordert sein. ist eine zusätzliche Freigabe durch den Funktionsbereich, der für die Freigabe von Dokumenten mit sicherheitsrelevanten Inhalten verantwortlich ist – typischer-weise ist dies der Kunde.

Begründung für diese Änderung:
Erkannter Klarstellungsbedarf bezüglich „gesonderter Freigaben“ für sicherheitsrelevante Anforderungen oder Dokumenten mit sicherheitsrelevanten Inhalten.

Kundenanforderungen
Alle Anforderungen des Kunden (z. B. technischer und kommerzieller Art oder das Produkt und den Produktionsprozess betreffende Anforderungen, Einkaufsbedingungen oder kunden-spezifische Anforderungen usw.).

Handelt es sich bei der auditierten Organisation um einen Fahrzeughersteller, die Tochtergesellschaft eines Fahrzeugherstellers oder ein Joint-Venture mit einem Fahrzeughersteller, so ist der entsprechende Kunde durch den Fahrzeughersteller, durch die Tochtergesellschaft eines Fahrzeugherstellers oder das Joint-Venture festgelegt.

Begründung für diese Änderung:
Kundenanforderungen werden von Fahrzeugherstellern für die Anwendung in der automotiven Lieferkette basierend auf der Art des Herstellungsprozesses entwickelt. Demzufolge legt in Fällen, in denen es sich bei der auditierten Organisation um einen Fahrzeughersteller handelt, der Fahrzeughersteller fest, wie Kundenfreigaben und/oder Kundeneingaben zu behandeln sind.