ISO/TS 22163:2017轨道交通业质量管理体系标准（二） 7 支持 7.1 资源http://

sunjianlang7201

ISO/TS 22163:2017轨道交通业质量管理体系标准（二）
7 支持
# a3 ~$ W: o8 U9 L- [6 O- t' Y 7.1 资源http://登录：http://www.cts-com.com;http://www.cts1983.com
7.1.1
/ _0 W& ~1 L# p0 A" ?" H+ O总则
6 k/ U$ M: g8 @8 L5 Z" e) G; v组织应确定并提供所需的资源，以建立、实施、保持和持续改进质量管理体系。
组织应考虑： a)现有内部资源的能力和局限；
" I8 H* }, \" W$ L, `, s7 e3 xb)需要从外部供方获得的资源。
7.1.1.1 总则-补充
9 q' M, X5 v- ]% O  [5 ^8 k组织必须建立、实施和保持一个文件化过程，对预算计划、批准和控制。
2 {' b  q. L' X+ n% C" k这个过程必须考虑： a)为过程的运行所需最低的人员和设施的资源（见4.4.1d）；
' J! o  ^5 R+ ~b)现在已有订单和预测；
c)风险储备（如预防资源缺乏）。
( M6 W1 @, K6 Q组织必须保留有关成文信息。
( l" l5 e& ~$ p0 ~! r7 u# S. Q7.1.2 人员
组织应确定并配备所需的人员，以有效实施质量管理体系，并运行和控制其过程。
7.1.3 基础设施
组织应确定、提供并维护所需的基础设施，以运行过程，并获得合格产品和服务。
注：基础设施可包括：
a)建筑物和相关设施；
" E$ Q, H# _/ N2 G* E9 p. _3 w, Q# U b)设备，包括硬件和软件；
& |5 [' b( Z+ o! D* B2 B. Rc)运输资源；
. K1 S( Y( Q6 I4 e- r/ ^& B( s* M3 o- j d)信息和通信技术。
7.1.4 过程运行环境
$ [) z0 A0 \, Z# g6 }6 f. {% Q组织应确定、提供并维护所需的环境，以运行过程，并获得合格产品和服务。
: Z( W; n- }+ _* B# d, ?注：适宜的过程运行环境可能是人为因素与物理因素的结合，例如： a)社会因素（如非歧视、安定、非对抗）；
4 u6 a7 J4 Z# r8 x9 P! H0 v: `: b7 Qb)心理因素（如减压、预防过度疲劳、稳定情绪）；
c)物理因素（如温度、热量、湿度、照明、空气流通、卫生、噪声）。
' F! d' ]" p/ ]8 _2 X9 h2 L7 r* N8 F由于所提供的产品和服务不同，这些因素可能存在显著差异。
1 a7 |, ]5 p" `8 A% h7 J7.1.5 监视和测量资源
3 U( u4 m) ]/ j, i* G% \" N, I. t 7.1.5.1总则
当利用监视或测量来验证产品和服务符合要求时，组织应确定并提供所需的资源，以确保结果有效和可靠。
组织应确保所提供的资源： a)适合所开展的监视和测量活动的特定类型；
8 ?( r2 m' L7 v) B* Z! w/ U9 {b)得到维护，以确保持续适合其用途。
# u0 X( d! f/ ~4 V组织应保留适当的成文信息，作为监视和测量资源适合其用途的证据。
7.1.5.2 测量溯源
/ Y4 y; a( f9 L& L1 @当要求测量溯源时，或组织认为测量溯源是信任测量结果有效的基础时，测量设备应： a)对照能溯源到国际或国家标准的测量标准，按照规定的时间间隔或在使用前进行校准
* O# Y3 I$ E) Z和（或）检定，当不存在上述标准时，应保留作为校准或检定依据的成文信息；
* h/ a8 ~7 Q4 C/ s% P( z# ?; @b)予以识别，以确定其状态；
' K. F, ~# {5 F% m" s( X. h9 a9 Ac)予以保护，防止由于调整、损坏或衰减所导致的校准状态和随后的测量结果的失效。
2 ~8 _( q. P$ t9 P" u& P: ~2 L当发现测量设备不符合预期用途时，组织应确定以往测量结果的有效性是否受到不利影响，
必要时应采取适当的措施。
7.1.5.3 补充
7.1.5.3.1 在7.1.5规定要求必须应用：
a)为验证产品和服务与它们要求的一致性所用的所有监视和测量资源；
b)特殊过程所用的工装（如扭矩扳手、压线钳）。
  @$ l6 @9 ^! e7.1.5.3.2 组织必须建立、实施和保持一个监视和测量资源的检定或校准，或两者的过程。
这个过程必须包括： a)在7.1.5规定的要求；
b)当发现监视和测量资源不适合其预期用途时如何反应（见7.1.5.2）。
组织必须保留有关成文信息。
组织必须保持一份这些资源的登记册，记录其类型、唯一性标识、地点或管理人员、检定或
校准间隔（如在一个总的应用软件中）。
注：监视和测量资源可能是：测试硬件、测试软件、自动测试设备（ATE）或生产检验数据所有的绘图仪。也包括员工个人拥有的，内部开发的或顾客/其他外部提供方提供的。
7.1.5.3.3 如内部检定或校准，组织必须：a)建立有关方法和接收准则；
# S3 L0 Q; v0 a: x% d) y- Gb)确保执行检定或校准的环境条件是适宜的。
7.1.5.3.4 测量结果的记录必须提供： a)所用测量资源的唯一性标识；
$ D  M" j  G2 V9 U# I# G, U4 j, S) Lb)测量的日期。
! S, }: ^" Q: m# P* Q7.1.6 组织的知识
# g: C" I  Z: f% F& q' w组织应确定必要的知识，以运行过程，并获得合格产品和服务。
这些知识应予以保持，并能在所需的范围内得到。
为应对不断变化的需求和发展趋势，组织应审视现有的知识，确定如何获取或接触更多必要的知识和知识更新。
注1：组织的知识是组织特有的知识，通常从其经验中获得，是为实现组织目标所使用和共享的信息。
$ ~3 I7 @/ ]) m) t注2：组织的知识可基于：
a)内部来源（如知识产权；从经验获得的知识；从失败和成功项目汲取的经验和教训；获取和分享未成文的知识和经验；过程、产品和服务的改进成果）；
# ^  U' N' q- v1 v$ \b)外部来源（如标准；学术交流；专业会议；从顾客或外部供方收集的知识）。
& a- W5 \* c- o1 e9 w7.1.6.1 组织的知识–补充
0 M5 \, S, n( S% [" w: T 7.1.6.1.1 关于组织的知识，组织必须： a)管理经验的总结，包括：
1)最佳实践和经验教训的识别、文件化、实施和更新；
/ F& z- \9 f0 I5 r2)最佳实践和经验教训对有关过程和项目的沟通；
' M* ?, i" _8 r, y$ V2 W注：经验总结源自不限于不合格、RAM/LCC数据、顾客抱怨、内部审核、外部提供的审核、标杆。
  `- x1 Y/ a; O* u# ]7 n/ o0 K b)分配有关产品、过程和项目知识管理的职责；
5 B8 b1 h; |* Y: C( w  Ac)必要时的知识传承，如人员加入或离开组织。
7.1.6.1.2 有关组织的知识，组织应： a)使用应用软件来分享它的知识；
b)鼓励通过网络分享知识；
c)保护知识防止意外泄露到组织外部（如：访问权限、知识产权、文件加密层级）。
; a$ B, \+ J9 Q3 r, B: i7.2 能力
组织应：
a)确定在其控制下工作的人员所需具备的能力，这些人员从事的工作影响质量管理体系
绩效和有效性；
* o$ z$ \- Z3 K0 Q! ^% V8 qb)基于适当的教育、培训或经验，确保这些人员是胜任的；
c)适用时，采取措施以获得所需的能力，并评价措施的有效性；
d)保留适当的成文信息，作为人员能力的证据。
注：适当措施可包括对在职人员进行培训、辅导或重新分配工作，或者聘用、外包胜任的人员。
3 `, ?# q1 G8 T& q' T( @9 y4 i- k7.2.1 能力–补充
7.2.1.1组织必须建立、实施和保持一个文件化的能力管理过程。
注：能力可以包括产品、过程或项目知识、应用软件、技术和软技能（社会学术语，指一个人的情商(EQ）、个性特征、社交礼仪、沟通能力、个人习惯、友好程度、以及处理人际关系的乐观态度)。
0 [" b/ ~( d' z( c" S" K该过程必须包括： a)在7.2中确定的要求；
! J& `" j1 W! M) t' U5 tb)识别实际和必要能力间的偏差；
. \# T6 j: Y, ~' p; o- y; K( G: gc)识别、策划、组织、执行和监视以获得必要的能力；
d)向临时工和新员工介绍，至少包含产品质量和安全；
e)输入组织的知识（如：培训中使用最佳实践）；
3 `, x. t* m4 M3 xf)针对组织所规定的培训，提供学员理解培训内容的证据（如书面或口头检查结果，或
保持实际操作的样品）。
组织必须保留有关能力管理活动的成文信息。
; Z. g3 g9 H9 C& C7 a4 B 7.2.1.2 该过程应： a)包括执行影响产品质量和安全工作的人员的技能矩阵；
注1：技能矩阵可以用于必要能力和实际状况的比对，考虑逐步上升层级（如学徒、基础、高级、指导）；
* _" V% l) v# l注2：人员所从事的影响产品质量和安全工作，不仅限于质量、工程和生产，也有来自采购、现场服务或能够影响产品质量和安全的组织其他职能的人员。
* u" v8 L3 J/ H! N b)确保内部培训材料的定期评审和更新；
( k( N/ c( T* X0 E' B  @c)输入来自产品、服务或过程的不合格（如：用以评估培训的有效性）。
5 q9 e/ y5 o. }: c" r, D$ b7.3 意识
组织应确保在其控制下工作人员知晓： a)质量方针；
b)相关的质量目标；
c)他们对质量管理体系有效性的贡献，包括改进绩效的益处；
d)不符合质量管理体系要求的后果。
7.3.1 意识–补充
相应的安全方针和目标适用于7.3所规定要求。
7.4 沟通
+ K  P/ d3 S. A- Q; b组织应确定与质量管理体系相关的内部和外部沟通，包括： a)沟通什么；
b)何时沟通；
2 s6 f5 F& R/ I3 Y+ v- V) Y9 p- Bc)与谁沟通；
d)如何沟通；
  X6 j, g( f9 i. E  ]- V8 me)谁来沟通。
+ @6 e( p& K4 K* C3 o. B0 X! S7.5 成文信息
" c: g# }! h! l6 _  b. V" v/ ~ 7.5.1总则
; f2 @" B7 z! U; s  ^9 h组织的质量管理体系应包括： a)本标准要求的成文信息；
b)组织确定的、为确保质量管理体系有效性所需的成文信息；
注：对于不同组织，质量管理体系成文信息的多少与详略程度可以不同，取决于：
-组织的规模，以及活动、过程、产品和服务的类型；
-过程及其相互作用的复杂程度；
-人员的能力。
7.5.2 创建和更新
在创建和更新成文信息时，组织应确保适当的： a)标识和说明（如标题、日期、作者、索引编号）；
; c* z( R4 K8 k0 ^b)形式（如语言、软件版本、图表）和载体（如纸质的、电子的）；
c)评审和批准，以保持适宜性和充分性。
7.5.3 成文信息的控制
* k; ]; _5 R3 J! o% Y2 x) I 7.5.3.1 应控制质量管理体系和本标准所要求的成文信息，以确保： a)在需要的场合和时机，均可获得并适用；
b)予以妥善保护（如防止泄密、不当使用或缺失）。
7.5.3.2 为控制成文信息，适用时，组织应进行下列活动： a)分发、访问、检索和使用；
1 g* Q( u! q2 c+ e9 i$ g* F/ _; xb)存储和防护，包括保持可读性；
c)更改控制（如版本控制）；
d)保留和处置。
对于组织确定的策划和运行质量管理体系所必需的来自外部的成文信息，组织应进行适当识
4 O/ A8 l8 V! \: {5 p6 G$ ?! t! E别，并予以控制。
+ p5 ^4 ^$ Y9 X4 O: Y2 K+ G对所保留的，作为证据的成文信息应予以保护，防止非预期的更改。
; j, {1 u% I7 p9 ^5 |注：对成文信息的“访问”可能意味着仅允许查阅，或者意味着允许查阅并授权修改。
7.5.4补充
7.5.4.1组织必须建立、实施和保持一个文件化过程用于成文信息的控制。
; q1 f* H; P+ `6 e8 |$ Y+ z1 B5 W该过程必须包括：
a)在7.5中规定的要求；
2 b# a" `/ A) O# |3 P, }3 c" L. xb)确定经营管理体系的成文信息的层级（如：方针、程序、指导、模版）；
c)建立、验证、批准和更新成文信息人员的授权和识别；
4 W8 j8 d0 z( r" I; \d)确定记录的类型（如报告、测量单据、图纸）及其遵从法律法规、合同和经营管理体
" m9 Z9 h" Q) E7 w3 L; s5 t* x系要求的保存期限。
组织必须保留有关成文信息。
7.5.4.2 该过程应包括确定保密级别（如公开、内部或机密）、存储媒介和销毁方法。
组织应使用电子系统来控制成文信息和规定日常复制。
8 运行
8.1运行的策划和控制
为满足产品和服务提供的要求，并实施第6章所确定的措施，组织应通过以下措施对所需的过程（见4.4）进行策划、实施和控制： a)确定产品和服务要求；
b)建立下列内容的准则：1）过程；
5 t/ f* u5 ~& I2）产品和服务的接收。
, t; H) Q* p' @2 cc)确定所需的资源以使产品和服务符合要求；
d)按照准则实施过程控制；
# N: E7 d( w5 b* h% le)在必要的范围和程度上，确定并保持、保留成文信息，以：1）确信过程已经按策划进行；
2）证实产品和服务符合要求。
策划的输出应适于组织的运行。
# t' v; f5 C4 n& Q+ i5 H# }组织应控制策划的变更，评审非预期变更的后果，必要时，采取措施减轻不利影响。
- v' ]5 C+ Z4 |& J9 ~5 t" M组织应确保外包过程受控（见8.4）。
8.1.1 过程转移或外包的策划
( Y7 U# T: g  k, k% V. M) c组织必须建立、实施和保持一个文件化的过程，用以影响组织产品和服务质量的外包过程的策划。
该过程必须包括： a)可行性研究；
* K, P) ~% S" A; L! F6 Y* Zb)风险评估；
c)策划外包所需的措施；
6 y( q+ M8 e$ R  I* vd)与顾客沟通，必要时；
e)FAI（见8.9），如当生产过程的外包；
f)保留外包活动的成文信息。
. |, ~1 n" h" l1 N# \0 T7 B当多现场的组织将一个过程从一个现场转移到另一个现场时必须执行这个过程。
注1：过程外包的策划可为在执行8.4要求之前的制造或购买决定作准备。
注2：引发外包可能是资源缺乏或一个战略决定。
注3：为过程外包或转移的策划，可能执行变更管理过程（见8.1.5）。
. X2 v2 U) z4 }. D8.1.2投标管理
/ X  e" O, G  }( h6 ~% L: A组织必须建立、实施和保持一个文件化过程以管理投标。
该过程必须包括： a)需求管理（见8.2）；
& u6 z! C2 M7 X5 ]5 Y& X' jb)控制的类型和程度（见6.1.3.3）；
* W6 G& L& C* I% s$ D  x$ ~& U7 wc)风险和机会管理（见6.1），包括财政评估；
& ^. h+ {8 G9 R) X) W' n4 Gd)输入组织知识（如经验总结）（见7.1.6）；
& h' B( x* k; L3 ae)交付物的策划包括成本（如时间、定价）；
  U" I5 x- x) B& C0 J' `注：在投标测算中可使用项目标准成本结构。
; _+ G' o1 L; X f)为合同执行策划资源；
g)批准报价。
组织必须保留其投标管理活动的有关成文信息。
组织必须规定处理投标、相应需求管理人员必要的能力和对应级别。
8.1.3 项目管理
6 S, X. @) O7 ^6 D3 r( p 8.1.3.1组织必须建立、实施和保持一个文件化过程以管理项目。
注1：项目管理过程的范围取决于一个组织的业务模式。大多数轨道行业公司是从投标阶段直至质保期结束。然而个别情况可以仅限于设计和开发（如一个新产品系列或平台的开发）。
该过程必须包括：
a)需求管理（见8.2）；
b)控制的类型和程度（见6.1.3.3）；
注2：组织可以依据风险和机会所规定的控制类型和程度，将项目进行分类。
c)项目阶段和活动（如策划、执行、监视、控制和结束）；
% ^- l# d/ e9 ?5 G. jd)里程碑和每个阶段的交付物，通过门方法来管理；
3 j, T! P4 u& i注3：每个阶段交付物可以规定在门检查表中。
e)在阶段评审中（见8.1.3.4）通过门准则来做出决定接收、有条件接收或拒收，以授权进入下一阶段；
注4：有条件接收可以是有行动计划的接收。
& m  T/ i! C: @f)归零要求；
9 R: }* H( e1 t$ Q0 M* m* t: }g)记录和控制开口项，并落实适当资源来关闭它们。
8.1.3.2该过程应包括：
  @, M  c5 [: na)如阶段评审决定拒收时一个升级过程，以促进问题解决；
b)与顾客、关键外部提供方评审有关SWOT；
& ~' J0 J* B: R) J/ R& fc)至少在项目结束期间识别最佳实践和经验教训（见7.1.6）；
% F7 b( k% u  F1 g3 U! A8.1.3.3项目必须管理其成文信息，包括：
a)项目信息的评审、存储（如：标准化文件包结构）、控制和维护；
2 h8 R( ^1 N/ u$ n5 Fb)保留成文信息（如计划、排程、评审输出、报告等），按7.5要求；
8.1.3.4阶段评审必须：
a)执行；
1）在工作结构分解所规定的层级展开；
% f8 ~! c! Y0 D* a. U# b' ?2）在项目层级考虑交付物的评审；
! `2 A! z9 W6 G$ `0 R: Cb)不能通过除非在阶段评审之前开口项被关闭。否则，由最高管理者批准搁置。
组织必须规定阶段评审的强制和非强制参加人员。
+ [  v9 U/ I4 ~# H8.1.3.5 项目整合管理
8.1.3.5.1项目必须建立和实施一个项目管理计划，该计划必须包括或引用：
a)一个项目组织架构图；
b)项目目标、框架条件、分配的资源、排除内容；
" h4 W/ ]% j: W" R% K* ac)指定项目组成员的职责和权限；
8 \( J' K1 r3 y* Q: O6 t/ Ud)指定项目执行中遵照的规则；
e)来自有关职能、现场和合作方的合作计划，使项目管理计划协调一致；
. O/ s* a( `7 U5 D/ m- V注1：典型职能是销售、设计、制造、质量、生产、采购、现场支持和其他相关人员，适当时包括外部提供方和顾客。
f)各阶段交付物（如为顾客的合同交付物或为产品认可的预期设计输出的成文信息）包括：
- `- [& p% p9 Z& R1 A, Q  `1）识别由顾客（如顾客产品认可点）或授权机构来批准的交付物，在必要之处；
2 _3 \8 ~1 F1 o2 [$ i1 `2）外部提供方交付物（如文件、材料、服务）；
g)变更的控制（如范围、时间、成本）见8.1.5。
; s! ?4 |8 f9 _, p# g注2：项目管理计划可以包括所有其他在8.1.3要求的辅助计划（如沟通、人力资源、质量）。
- B/ R" B5 U; I+ o" V; Y8.1.3.5.2当一个项目涉及多现场或合作方时，项目管理计划必须附加包括或引用：
6 A0 m* {1 c1 [4 {# _8 a: Pa)工作分工和运作接口；
b)指定职责和权限；
! F) |$ T7 y/ Y5 a) ^c)沟通渠道（项目内部和与顾客或相关方）；
d)适用过程和其他有关过程的成文信息。
8.1.3.6 项目范围管理
针对范围管理，项目管理过程必须包括：
a)识别项目要求（如时间、商务、技术）见8.2；
$ C) S- R3 W- }% |% U7 d1 Tb)明确工作范围；
c)细化工作包（如工作分解结构WBS）；
: S! ~) U6 k7 n' W% C' P/ o- gd)分配工作包到工作包所有者；
e)验证工作包。
针对范围管理，项目管理过程应包括一个标准化工作分解结构WBS。
注：设计和开发中的范围管理描述在8.3.2。
8.1.3.7 项目时间管理
0 g4 M, \8 o# }! F2 v) a# z! P- Q 8.1.3.7.1关于时间管理，项目管理过程必须包括：
& Y' z' L# v4 E' y8 I% @a)确定并排序活动；
2 i  i/ N+ N, v; s4 ?7 F) F! fb)估算活动的资源和持续时间；
c)进度考虑：1）过去的经验；
3 j: k3 G* o1 i. ^2）长周期内容，和外部提供方联合管理。
+ W" y( m1 d- U) y" j8.1.3.7.2项目进度必须：
a)包括持续时间、开始、结束和工作包（包括外部提供方的）相互依赖关系；
* P$ \: D1 n# a3 x8 {1 xb)包括关键路径；
c)给主生产计划提供输入（见8.5.7）
* L& k; |; C0 F" j( y2 o项目应使用应用软件对活动进行排定和跟踪。
项目不能改变排定的交付顾客日期，除非被顾客授权。
' h0 l1 k0 r; Q5 V9 M) G# h8.1.3.8 项目成本管理
关于成本管理，项目管理过程必须包括：
8 ~& g3 t, t8 ?8 w+ \! |# ea)基于投标测算确定预算；
* o& Z9 T; r" z, u; Ob)在成本科目架构内，分配预算到各自工作包；
7 C+ o! ^# _7 a7 Z7 k$ w; dc)成本的定期控制，包括完成时实际和估算成本。
4 d  ~# y0 s  r( o6 x" y项目应使用标准化应用软件来跟踪成本。
# o3 k% q& w" ]* Q. k5 J" k& v+ }项目必须不增加项目预算，除非由组织授权规定时。
8.1.3.9 项目质量管理
关于质量管理，项目管理过程必须包括质量保证和控制活动的策划和实施。
项目必须建立和实施一个项目质量管理计划。
注：见ISO10005和10006指南。
# @4 K4 i# A6 R2 R+ O; C0 y8.1.3.10 项目人力资源管理
8.1.3.10.1关于人力资源管理，项目管理过程必须包括：
a)确定和描述项目岗位（如项目经理、项目采购员、项目质量经理）、相对业务线职能
的职责、报告关系和赋予权力（如财务批准权、利润和损失责任、等等）；
" l  x! x6 y3 D" g6 ]* xb)形成项目团队；
c)依据在7.1.2、7.2和7.3规定要求来管理项目团队；
8.1.3.10.2项目必须建立、实施和保持一个人力资源计划。该计划必须包括： a)指派核心团队成员；
  p# o4 `2 {) S4 J  W/ Rb)人员分配（如组织架构图）。
! m( e% m4 {+ u3 R! E0 ?8.1.3.10.3组织必须对项目经理和核心团队成员确定必要的能力和相关的级别，关于：
a)项目管理；
, J2 V. N8 b0 z; i- \b)在使用的项目管理应用软件；
- L1 I: j7 k& a  lc)团队工作和沟通；
3 \$ }+ o( h% b. H! jd)项目质量管理；
  U4 J) X3 `: ~) ?e)风险和机会管理；
f)所交付产品和服务。
3 Z9 H# n. R% q* @8.1.3.10.4组织应对项目经理确定必要能力和相应级别，关于：
+ b) g5 G5 o9 v/ oa)领导力；
8 C8 `0 V6 U0 Y& Ab)项目财务。
" j- _, T8 B% l& E. _8.1.3.11 项目沟通管理
3 Y7 h) N; ]3 A- G  D* e 8.1.3.11.1 关于沟通管理，项目必须：
7 i" U- E( S! I$ `# \3 w1 Pa)应用在7.4和8.2.1中规定的要求；
b)建立、实施和保持一个项目沟通管理计划；
2 l# ~4 O3 x1 c& \0 W' Yc)执行定期项目评审以监视项目进程，核心团队成员出席（见8.1.3.10.2）。
如果有偏离项目目标，项目必须识别并实施适当的沟通以避免任何对顾客或组织的影响。
8.1.3.11.2项目评审必须包括：
. ^/ f. \% }3 U' B% Da)项目绩效（实际状况对比策划状况）基于9.1.1规定的KPIs（如要求、时间、成本）；
$ ?% j: Z# _5 L5 h$ cb)预测（如完成时的时间、预计成本）；
c)实际风险和机会，包括有关措施的状况；
d)跟踪以往评审的开口项和措施。
项目评审的输出应报告给项目经理以上管理层，包括问题的决定或升级。
5 e; m9 M2 C' B- }; I8.1.3.12 项目风险和机会管理
7 O) }0 U5 c9 R( E 8.1.3.12.1 针对风险和机会管理，项目必须：
  O5 H+ S4 y& Ba)应用6.1规定的要求；
. P6 A3 a* [1 P$ T' E- Eb)建立、实施和保持一份登记包括风险和机会的财务分析；
+ q6 Y# H0 o* t& A% gc)保留风险和机会管理的成文信息。
% x+ N, m$ r3 v1 Z  S) E4 J& f8.1.3.12.2针对风险和机会管理，项目应：
a)职能线经理参加风险评审；
/ t! X, U( i. ?b)考虑与顾客所商定产品的功能和集成成熟度，作为风险管理的输入；
$ A; r- v4 m' |/ \c)管理成本节省（以平衡损失）或成本增加（以增加保证金）的机会，尤其为了恢复项目预算恶化。
8.1.3.13 项目采购管理
3 D- \5 j: l5 }5 l$ V8 \针对项目采购管理，必须应用8.4规定的要求。
8.1.4 配置管理
8.1.4.1 组织必须建立、实施和保持一个文件化的适于其产品的配置管理过程。
注：配置管理过程适于硬件和软件。
该过程必须考虑，至少在：a)技术状态管理策划；
b)产品分解结构直至最低可更换单元；
c)确定技术状态项，至少有关安全件；
- }( c) S7 K+ B2 @$ H9 ]d)建立技术状态基线，最低为“设计”、“建造”和“维护”；
4 G* N, g8 _& @8 ~e)对技术状态的变更控制依据8.1.5；
0 D, }: N+ U. I) of)技术状态纪实；
4 l6 {' _( c9 W- e" a- cg)可追溯性标识的准则（如序列、批次号）；
组织必须保留有关成文信息。
. D  ]6 K2 {& w4 |" `9 \8.1.4.2该过程应：
) _- r! ]9 y. d6 s5 pa)考虑定期内部技术状态审核；
b)整合外部提供方的技术状态管理体系（如数据转移接口）；
c)作为技术状态项，考虑在设计、开发、生产和维护中所用工具和软件；
d)由一个应用软件支持。
8.1.4.3 注：见ISO10007 指南。
. R$ k' p: h: ~! G3 F- J8.1.5 变更管理
* P- t4 V( z! X/ W' U8.1.5.1 组织必须建立、实施和保持文件化过程以管理变更。这些过程必须包括：a)在这个标准中规定的要求，如：1)在8.2.4用于产品和服务要求；
9 W# M9 n  g$ A3 [6 r5 O2)在8.3.6用于设计和开发变更；
3)在8.5.6用于生产和服务提供；
b)变更申请；
c)原因分析，当变更源于失效；
d)变更影响分析，考虑风险和机会；
e)对所建议的变更予以验证，以避免不利影响；
$ T9 A  O0 X. Kf)通知并与顾客、外部提供方和授权机构达成协议，基于准则至少包括变更影响到他们的要求；
7 ~8 E9 L4 x( t# x" Y9 ^8 n注1：变更影响到顾客要求可引发一个偏差许可；
注2：当顾客批准该变更时，来自一个偏差许可的所规定变更申请可以关闭。
% A. i3 |# P) d4 M) T# r/ P( T1 X) og)为变更批准指派职责和权限（如变更控制委员会）；
/ j1 ^  ~+ n9 I1 T& Mh)实施前变更的批准；
i)实施变更；
/ S  U4 h5 l% S$ O7 ij)实施和跟踪的验证。
这些过程必须由一个应用软件支持。
8.1.5.2这些过程应包括： a)策划措施以将变更影响降到最低；
, P: r1 M/ Z% G. |7 [4 m5 J5 Pb)由一个应用软件支持变更的可追溯性；
8.1.5.3对产品和服务技术变更，这些过程必须还包括：a)一个变更影响分析，在
1)已经交付的组件和产品；
2)顾客规范和技术状态；
3)有关成文信息（如质量保证计划、FMEA报告）
( |0 j% P1 k: D+ Gb)重新评价功能，非功能和集成要求；
$ C7 r$ D+ v. ~1 M) I# Vc)再确认活动基于影响分析的结果；
d)要求保留关于被变更产品和服务的序列号和/或日期的成文信息。
注：变更可能引起可靠性的缺乏、老化（产品或外部提供方）、标准/规程/法律/运行需求的进化、成本优化、或特定事件：事故、差错、天气或顾客工程变更通知单。
+ n& [7 }* {2 z% {' p" [4 J8.1.5.4 对产品和服务技术变更，这些过程应还包括重新评估运行和集成成熟度。
$ a$ [' I1 e" {" v8.1.5.5 变更管理要求必须应用到：a)项目管理（见8.1.3）；
b)产品和服务的要求（见8.2.4）；
c)产品和服务的设计开发（见8.3.6）；
& s8 O  j; Q% |9 i' W- G, N/ m& A: jd)外部提供过程、产品和服务的控制（见8.4）；
$ _" ]3 Q3 f) k- C# \/ ce)生产和服务提供（见8.5.6），包含生产过程、生产设备、生产程序（软件）和生产地点。
注1：变更发动可能是外部提供方或组织为了改进或纠正设计，或顾客工程变更通知单。
注2：启动变更过程的触发点是被批准的成文信息的预期变更。
8.2 产品和服务的要求
8.2.1 顾客沟通
与顾客沟通的内容应包括：a)提供有关产品和服务的信息；
b)处理问询、合同或订单，包括更改；
- v7 u3 P- }, }# s3 ]c)获取有关产品和服务的顾客反馈，包括顾客投诉；
d)处置或控制顾客财产；
e)关系重大时，制定应急措施的特定要求。
" e* X4 a0 H- i# N! \1 S6 Z2 X' v8.2.1.1 顾客沟通–补充
. t; X; u: r! V) B/ h: u: e当预计延误且不能避免（如延误来自外部提供方），组织必须向顾客沟通。
8.2.2 产品和服务要求的确定
/ r- I* U- v# c( g/ z; P/ Ma) 在确定向顾客提供的产品和服务的要求时，组织应确保：产品和服务的要求得到规定，包括：
1）适用的法律法规要求；
8 g  q, k! Y+ ~3 n  q' F4 I2）组织认为的必要要求。
b)提供的产品和服务能够满足所声明的要求。
! u$ m9 u, g) M0 |1 E0 O# x8.2.2.1 产品和服务要求的确定–补充
8.2.2.1.1当确定要求时，组织必须考虑：a)功能、非功能和集成要求；
, O, P9 x0 z8 \: Wb)RAMS/LCC要求。
8.2.2.1.2当确定要求时，组织应考虑：a)来自类似产品/投标/项目的经验；
b)产生于市场分析的要求；
c)老化要求（如来自市场、外部提供方、法规的信息）；
3 B# J2 \4 l3 @$ g  S+ c$ t; V  x6 Wd)关键产品特性；
: G# l# x( n9 Ye)有关产品寿命结束的要求（如处置、再循环）。
+ z& `5 p( |, D% P1 {! J注：与外部提供方一起的老化管理可依据IRIS老化指南。
( W" r4 u# j  ~5 Y; J8.2.3 产品和服务要求的评审
8.2.3.1组织应确保有能力向顾客提供满足要求的产品和服务。在承诺向顾客提供产品和服务
之前，组织应对如下各项要求进行评审： a)顾客规定的要求，包括对交付及交付后活动的要求；
3 q5 L1 A1 z: U$ o3 I. Ab)顾客虽然没有明示，但规定的用途或已知的预期用途所必需的要求；
: B1 K$ ~% V6 u! a, U+ t# oc)组织规定的要求；
2 {3 a, N3 F/ h, c/ qd)适用于产品和服务的法律法规要求；
e)与以前表述不一致的合同或订单要求。
组织应确保与以前规定不一致的合同或订单的要求已得到解决。
若顾客没有提供成文的要求，组织在接受顾客要求前应对顾客要求进行确认。
0 O+ R0 H- a; q3 [注：在某些情况下，如网上销售，对每一个订单进行正式的评审可能是不实际的，作为替代方法，可评审有关的产品信息，如产品目录。
8.2.3.2适用时，组织应保留与下列有关的成文信息：a)评审结果；
' C% P) I. k3 T5 K0 p2 Sb)产品和服务的新要求。
8 a4 @! I2 d: f& S0 X. C8.2.4 产品和服务要求的更改
' T' v4 P3 \) H; t3 x% h若产品和服务要求发生更改，组织应确保相关的成文信息得到修改，并确保相关人员知道已
# L7 t3 F# V% ?+ C" Q更改的要求。
& P) O+ u# F- {1 m8.2.5 –补充
组织必须建立、实施和保持一个文件化过程以管理产品和服务要求。
( b5 S4 K, C% C2 E- `9 ~6 e该过程必须：a)考虑8.2规定的要求；
b)应用于：
1)在投标之前满足市场预期的新产品和服务的设计开发（如平台、产品系列）；
4 e9 G8 {% _9 e) f9 k9 y3 C( {  ^8 N8 R' r2)投标管理（提交标书、接受合同或订单）；
2 l$ `* O6 ^# A3)项目执行（如接受合同或订单变更）；
4)变更控制（见8.1.5）。
注：该过程可以包括在项目管理过程中。
( ^2 T6 A# D& h9 gc)通过多方论证方法执行，适用时包括内部和外部干系人；
  [5 Y- V9 M% @% y/ ^d)至少包括这些步骤：
+ {, h% \$ b# }5 a/ H& L1)确定（见8.2.2）；
4 V  C8 S; m. Q8 b2)评审（见8.2.3）；
3)验证；
6 `2 s& s9 ~6 n4)确认；
$ J6 R  H4 v( P3 K/ a: F" P) ke)确保要求是：1)分别逐项检查；
2)评估和考虑；
( W  G) [. G( r: t7 H" W) ~3)评价有关风险和机会；
: h+ G) `( o7 J" m; {% D  |4 ?4)由相关人员适当的转换、理解、共识、逐层分解和承诺；
$ n1 I- I1 q- m9 F5)完整、明确、可验证和可行的；
0 b' x% W6 e4 ]0 V* R6)技术要求被文件化在需求说明书中；
注：需求说明书可以由顾客提供或组织编制。
) J- d+ @: K8 ~$ W9 q7 o更新如发生变更。
( I7 j# U& e+ X8.3 产品和服务的设计和开发
5 T* k0 i. a7 R! X9 J8.3.1总则
组织应建立、实施和保持适当的设计和开发过程，以确保后续的产品和服务的提供。
8.3.1.1 总则–补充
( }6 j( C9 w9 k# k& G% |& z8.3.1.1.1在8.3规定的要求应用于新技术的设计开发或引进（如复合材料制品、激光焊
0 X( s& H3 k/ d8 T接）。
5 ^, o$ y2 E7 a, ~" @3 X- ~# a+ W+ h组织为新技术的落实必须执行过程FMEA。
设计和开发过程必须：
! @7 e: H5 X- {9 r! ~& ya)考虑8.3.2, 8.3.3, 8.3.4, 8.3.5, 8.3.6描述有关策划、输入、控制、输出和变更的要求；
: q9 Z" _2 e6 r  j0 pb)文件化；
. b2 p2 T4 g8 vc)结合IEC62278（EN50126）或等同标准的与安全有关的产品，依据IEC62425（EN50129）或等同标准规定安全案例；
8.3.1.1.2组织必须确定设计开发人员的必要能力和相应级别，有关：
) a& \7 S& y% L6 d4 ha)需求管理；
b)技术状态管理；
c)质量保证方法。
8.3.2 设计和开发策划
& w. D! j4 _1 |, v在确定设计和开发的各个阶段和控制时，组织应考虑：
% q2 J* G4 i* r# q: z4 c6 ea)设计和开发活动的性质、持续时间和复杂程度；
b)所需的过程阶段，包括适用的设计和开发评审；
c)所需的设计和开发验证、确认活动；
# H! B5 G! A9 Z+ L% h  Wd)设计和开发过程涉及的职责和权限；
e)产品和服务的设计和开发所需的内部、外部资源；
f)设计和开发过程参与人员之间接口的控制需求；
7 q3 W5 p9 o$ E% c% Pg)顾客及使用者参与设计和开发过程的需求；
# @4 ]8 ~. Y" t/ [9 v3 Hh)对后续产品和服务提供的要求；
$ E! G0 q* Q# }" J/ S! T, yi)顾客和其他有关相关方期望的对设计和开发过程的控制水平；
3 o" r& w# `3 \0 }# ^, ]j)证实已经满足设计和开发要求所需的成文信息。
8.3.2.1 设计和开发策划–补充
5 X0 \1 X2 [! v6 E8.3.2.1.1 在确定设计和开发的阶段和控制时，组织必须考虑：
# B$ @& q% g* b5 ?) G9 [' `- Aa)每个过程阶段的目标；
b)产品构造（如产品分解结构）；
0 z  m. C; f4 L- j8 @c)技术状态控制，见8.1.4；
( o( q; k( C3 Zd)在产品架构的规定层级上进行设计评审、验证和确认（如首先从部件设计评审、接着
子系统设计评审、然后上升为系统设计评审）；
e)针对特殊过程的设计评审、验证和确认；
: v- b5 n# H( }7 }: H5 B设计和开发的阶段和控制必须文件化（如在一个质量保证计划中）。
( X1 v( O) }& e8 o! Z: z+ Q注：设计可以是方案设计、初步设计、最终设计。
8.3.2.1.2在确定设计和开发的阶段和控制时，组织应考虑：
a)每个设计和开发阶段满足目标的质量保证方法（如规定在一个质量保证计划）；
' y$ q; A6 I* _6 ^1 ib)控制非功能、功能、性能和集成要求的方法；
. _/ |: f" R( p- m/ @6 i! U8 Cc)控制集成和运行成熟度的方法。
注1：如果特殊过程要求作为设计输入，依据IRIS特殊过程指南，这些特殊过程的风险评估是设计和开发过程的一部分。
+ i0 J. Y* b- |7 }# p! n7 W注2：和外部行业协作可以考虑作为外部提供服务（见8.4）。
8.3.3 设计和开发输入
组织应针对所设计和开发的具体类型的产品和服务，确定必需的要求。组织应考虑：
, W) h6 M; u+ l4 H2 Qa)功能和性能要求；
$ I" ]% u8 @" s3 Z, C# Eb)来源于以前类似设计和开发活动的信息；
c)法律法规要求；
d)组织承诺实施的标准或行业规范；
e)由产品和服务性质所导致的潜在失效后果。
针对设计和开发的目的，输入应是充分和适宜的，且应完整、清楚。
相互矛盾的设计和开发输入应得到解决。
2 {" ]3 k+ [! E组织应保留有关设计和开发输入的成文信息。
8.3.3 设计和开发输入–补充
关于设计和开发输入，组织必须考虑8.2.2规定的要求。
组织必须保留有关成文信息。
, V+ F( j3 _: L1 R加上，组织应考虑：
6 }7 `4 W7 `& d$ h) ^  N- Ma)生产和例行试验要求，包括特殊过程，所以在这个阶段生产设备是已知的；
- T' K7 j- f2 U/ L7 ]b)设计原则的应用（如可制造性设计、可测试性设计、可维修性设计）。
注：可维修性设计可依据IRIS维修指南来管理。
8.3.4设计和开发控制
) W6 ^  ~6 K7 F$ ?$ R0 j组织应对设计和开发过程进行控制，以确保：
! R' D4 _' z0 y4 C9 }a)规定拟获得的结果；
b)实施评审活动，以评价设计和开发的结果满足要求的能力；
c)实施验证活动，以确保设计和开发输出满足输入的要求；
8 y, R2 K) d, Z# }d)实施确认活动，以确保形成的产品和服务能够满足规定的使用要求或预期用途；
* F( `! H0 s) H2 B" j5 ]e)针对评审、验证和确认过程中确定的问题采取必要措施；
f)保留这些活动的成文信息。
2 l* B' t& T4 r. B注：设计和开发的评审、验证和确认具有不同目的。根据组织的产品和服务的具体情况，可单独或以任意组合的方式进行。
8.3.4.1 设计和开发控制–补充
2 @1 b( r' D3 M# v9 V) Q组织应对设计和开发过程进行控制，考虑：
  |& d/ r; d* w5 \9 K) n& ta)功能分解；
& A& i( z3 r; G1 @; Pb)集成和运行成熟度；
c)质量保证方法的实施。
8.3.4.2 设计评审
, u  V  O9 O4 P% v- x* c关于设计评审，组织必须确定：a)授权进入下一阶段的准则（如检查表、验收规则）；
; q/ w! ]* D! S2 ~0 r$ ]: S( Q6 Ob)强制和可选择的参与者；
* y; h% q  ^) X1 C' S参加设计评审的职能代表必须具有规定的能力级别和各自决策的授权。
( S' @8 m" N" M( S/ |& |组织必须保留有关设计评审的成文信息。
8 J  B! \+ b8 _组织应使用多方论证方法来执行设计评审。
注1：参与者可以是职能领导（如RAMS、服务），内部和外部顾客，生产方面的专家。
& @& i* z/ V1 k) u6 ?注2：设计评审可以是项目阶段评审的一部分或一个输入（见8.1.3.3）。
5 o7 I8 ]$ f" z3 r2 L7 u5 J8.3.4.3 设计验证
组织必须确保性能要求被验证。
组织必须保留有关设计验证的成文信息。
1 }" ]/ Z) G( L5 O4 f注：设计验证活动可以是有限元分析、计算、仿制、设计伴随测试。
$ R) T4 y7 G/ D  h, }8.3.4.4 设计确认
! D- C9 C2 `4 ~; W9 m8.3.4.4.1 关于设计确认，组织必须：
a)确保功能、非功能和集成要求被确认；
b)在交付或调试结束之前完成确认，或和顾客协议控制计划并监视它们直至完成。
注：设计确认活动如鉴定测试、型式试验、产品批准测试等等。
4 Y4 f% o# f' u! l, r) j8.3.4.4.2 针对设计确认，当测试是必要时，组织必须策划、控制和评审这些测试。组织必须
) M& N' M3 x; r5 Q. k- J0 u9 S确保：a)规定测试计划、规范或程序：
1)测试目标；
2)测试条件和可重复环境；
3)被测试产品；
4)所需资源；
% [1 ?/ {( ?: g  j( T5)接受准则；
$ q, i8 j% X/ v4 A" B& f. S6)被记录参数；
7)操作方法；
8)测试的绩效；
3 }8 s) j7 `* ~3 E# ]0 Z, Cb)提交正确技术状态的产品并作为技术状态基线被记录；
+ l8 O- D( z+ f* Q' \0 f$ Tc)满足接受准则。
8 p% u5 ]  Y6 u* V+ M; M组织必须保留测试结果的成文信息。
8.3.5设计和开发输出
组织应确保设计和开发输出：
  X6 I: P( w* b- Ta)满足输入要求；
b)满足后续产品和服务提供过程的需要；
: h, w. k# A+ Y- X( a% kc)包括或引用监视和测量要求，适当时，包括接收准则；
d)规定产品和服务特性，这些特性对于预期目的、安全和正常提供是必需的；
组织应保留有关设计和开发输出的成文信息。
8.3.5.1设计和开发输出–补充
8.3.5.1.1组织必须确保设计和开发输出：
, o5 V/ W% s# {- `4 Da)放行前被验证和批准；
b)依据生产过程输入要求的方式验证；
) T4 `0 [# Q9 S; e2 B7 P6 J$ O; Nc)包括文件（如操作、维修手册）和有关实际应用的培训；
8.3.5.1.2 组织应：
a)确保输出相对输入要求的可追溯性；
b)确定设计批准的授权和接受准则；
$ Z* f' k1 P3 Z' p. Nc)确定当发生批准的接受准则没有满足时升级规则；
+ L. B% U+ ~9 Z2 h9 q# H3 id)确保生产和服务提供信息包括产品存储要求。
6 f1 K: Z2 h. l7 I' `$ ^& p8.3.5.1.3
5 C: R2 e3 s$ ~0 p& O注：设计和开发输出可以包括如规范和图纸（也有来自外部提供方的）、材料信息、生产过程流程图和或布局图、检验和测试计划、生产作业指导书、过程和产品批准接受准则、防错活动的结果（如FMEA）适当时、快速检测方法、产品和/或生产过程不合格的反馈。
8.3.6 设计和开发更改
' ?; L& K( x7 }4 {' o组织应对产品和服务在设计和开发期间以及后续所做的更改进行适当的识别、评审和控制，
以确保这些更改对满足要求不会产生不利影响。
- |0 J/ S: r. ?3 a) O组织应保留下列方面的成文信息：
a)设计和开发更改；
1 ?5 R% T* Y& N8 sb)评审的结果；
c)更改的授权；
d)为防止不利影响而采取的措施。
8.4 外部提供的过程、产品和服务的控制
8.4.1 总则
组织应确保外部提供的过程、产品和服务符合要求。
在下列情况下，组织应确定对外部提供的过程、产品和服务实施的控制：
( B/ R* ~2 h* Q; i+ g0 T- D8 V' I( fa)外部供方的产品和服务将构成组织自身的产品和服务的一部分；
b)外部供方代表组织直接将产品和服务提供给顾客；
0 G$ v* ^; Q, Z. O: u5 Z0 w9 G6 t8 Bc)组织决定由外部供方提供过程或部分过程。
+ [4 K- B$ ]1 @; }3 ]  _5 S组织应基于外部供方按照要求提供过程、产品或服务的能力，确定并实施对外部供方的评价、选择、绩效监视以及再评价的准则。对于这些活动和由评价引发的任何必要的措施，组织应保留成文信息。
8.4.1.1总则–补充
8.4.1.1.1组织必须确定
9 n( S$ \5 K& ^/ V/ M8.4要求的类型和程度应用到内部和外部供方，及基于所规定准则的风险评估。
注：内部供方是被看作从同一公司向该组织交付产品、过程和服务的实体。
, j# J# J5 C  r0 ?( e) x组织必须建立、实施和保持一个文件化过程，为8.4.1描述的外部提供过程、产品和服务，以确保符合要求。
该过程必须包括的要求有：
2 ^, u  k% [8 C; va)外部供方和EPPPS的分类（见8.4.1.1.3）；
4 ?+ _$ F% {2 }9 q+ M( E6 G- t5 Cb)外部供方的评估（见8.4.1.1.4）；
c)外部供方的认可（见8.4.1.1.5）；
d)外部供方报价的选择（见8.4.1.1.6）；
5 I- d6 [' o, S: ?! be)外部供方的信息（见8.4.3）；
f)放行批准EPPPS（见8.4.2.1.2）；
8 D/ u% Y/ G: V' O: p; _g)放行后的验证EPPPS（见8.4.2.1.3）；
h)监视外部供方绩效，再评估和排序（见8.4.2.1.4）。
' V6 m  }, s( R2 U1 }3 A8 f. p5 g8.4.1.1.2 加上，组织必须：
: I( O5 }& r+ n  F  O9 @. y8 ra)在整个供应链管理EPPPS风险；
1 [5 O* s: K0 A$ O( E- r& {5 ?b)识别风险以传达给外部供方，并要求其提供反馈意见；
% P' y/ j; }# T) X6 c8 pc)保留在外部供方控制方面的成文信息。
8.4.1.1.3外部供方和EPPPS的分类
- E7 w. i/ A$ H$ F1 [5 d- ?8.4.1.1.3.1外部提供方和EPPPS的分类必须按所规定准则执行，以确定对外部供方和EPPPS的控制类型和程度。作为输出之一，必须识别关键外部供方。
组织必须保留有关成文信息。
8.4.1.1.3.2分类准则必须包括外部供方依据要求提供EPPPS的能力。
8.4.1.1.3.3分类准则应包括：
# [$ k+ a! L$ m  t% p1 ^* ua)战略需求；
b)过去经验；
c)可获得的市场信息；
7 M: u  U% L  O0 d5 {d)外部标杆；
e)外部供方所提供产品的运行和集成成熟度（如随意可用的）。
8.4.1.1.3.4加上，组织必须定期评审外部供方的类别。
3 G8 d! R6 `. y( Q' G! C5 l# m8.4.1.1.4外部供方的评估
8.4.1.1.4.1外部供方的评估必须包括：
9 _; M, e7 y3 [7 [3 ^) u' Ma)外部供方的人员、基础设施和过程；
b)外部供方资质的可用性（如证书：ISO9001或本标准）；
( k- r7 X) h; D' a5 Y8 ^8.4.1.1.4.2组织必须建立、实施、保持和监视策略以获得：
a)选定的外部供方符合本标准；
: H7 N8 F2 o) U. f: S6 T4 V  \b)选定的外部供方符合ISO9001；
, C; Y& h' V2 y所选定的外部供方，必须识别其产品范围、相关策略、年度消耗量、产品关键程度、设计活动、在铁路行业的营业额以及交付和质量绩效。
8.4.1.1.4.3组织必须保留关于8.4.1.1.4.1和8.4.1.1.4.2成文信息。
- ^1 q6 [+ Z" Z$ {8.4.1.1.5外部供方的认可
& p: w  M1 D2 y组织必须：
a)建立准则用以认可外部供方；
9 X) \$ ?* X5 w  ]( @* Fb)确保有批准权力的职能也有拒绝已批准外部供方的权力；
c)保持一份被认可外部供方的名册，包括其认可范围的限定。
组织必须保留有关成文信息。
EPPPS必须全部由被认可的外部供方来提供。
8.4.1.1.6 外部供方报价的选择
8.4.1.1.6.1 组织确保在谈判之前详尽书面分析后才选择了外部供方的报价。其分析必须考
" M% G7 }2 U1 N- e) C4 ]* P6 k虑：
, i  ~. v( U/ I- \* m1 Sa)对照要求的符合程度，如逐项；
b)总成本包括LCC；
c)外部供方以前EPPPS的质量、成本和交付绩效，包括因其导致的QDC；
d)通过报价对有关外部供方分类。
% {- R2 N6 |! j组织必须保留有关成文信息。
, w: V6 e$ o1 M0 |. f) G8.4.1.1.6.2该分析应考虑：
a)风险分析的输出；
6 c' ^2 o+ w. |% M1 S* S6 I; gb)外部提供产品的运行和集成成熟度。
) n) H( R: T7 C9 f7 U在采购订单发出之前，组织应确保外部供方对功能和非功能要求有充分理解，如通过一个联合合同评审。
8.4.2 控制类型和程度
组织应确保外部提供的过程、产品和服务不会对组织稳定地向顾客交付合格产品和服务的能
力产生不利影响。
组织应：
5 g/ s# x" ]1 U- ]9 ^a)确保外部提供的过程保持在其质量管理体系的控制之中；
b)规定对外部供方的控制及其输出结果的控制；
* l) ]! m1 ^( u. Pc)考虑：
1)外部提供的过程、产品和服务对组织稳定地满足顾客要求和适用法律法规要求的
能力的潜在影响；
2)由外部供方实施控制的有效性；
d)确定必要的验证或其他活动，以确保外部提供的过程、产品和服务满足要求。
# g+ n, G! n6 l' W# D7 a2 S8.4.2.1放行批准EPPPS
, _  m# T( o1 p. U) s+ m/ N1 r, U8.4.2.1.1新的或修订的EPPPS放行的批准必须包括：
a)确定批准方法；
b)策划验证、确认和批准活动；
c)在外部提供方现场执行FAI，或适当进/出检验；
d)外部提供的产品或技术（如新的设计软件），在一个客户合同中首次使用前确认，除非与顾客另有协议；
- E0 R0 D9 W2 ^# z0 ^$ ^e)放行的批准（如开始连续生产）；
# L" z! J' R# Qf)基线的定义和更新，考虑变更管理（见8.1.5)。
3 P0 T" Y9 V4 t. ^2 X组织必须保留有关成文信息。
1 `: Y7 o, s, {* y8.4.2.1.2新的或修订的EPPPS放行的批准应考虑：
( B6 g' O0 \3 t! \* \a)预制评审；
7 o/ W/ H9 H2 s+ c注：预制评审能提供条件受控的证据并为首批生产做准备。
b)首次系统集成。
+ I3 n) G% y0 ^5 C$ X组织应通知在实现设计和开发目标方面的进展和质量保证活动的状况给其外部供方，在关键项上反之亦然。
8.4.2.2 放行后EPPPS验证
在验证符合规定要求前，EPPPS必须不被使用或处理，除非在授权让步下放行。
8 R; `* \: D$ u& h( y% n放行后EPPPS的验证活动必须包括：
$ g! i: n6 x- j* }# Aa)活动策划（如在一个检验和试验计划中，包括确定范围、频次、样本量和控制方法–见6.1.3.3)
6 M* F5 H/ T6 Yb)为验证活动提供指导、检查表或模版；
c)获得EPPPS符合要求的证据（如通过随附文件的检查，例如合格证明书、测试报
告、统计记录、过程控制表）；
. v2 {2 T& l" K- A% {- T. w- Zd)EPPPS的放行；
6 a3 ]3 h* U* ce)验证活动的文件；
2 `0 c" U/ j2 q8 ~* U: B+ qf)不合格EPPPS的管理；
组织必须保留有关成文信息。
1 F7 ~2 c7 {2 I当组织利用测试报告来验证EPPPS时，报告中的数据必须与报告中规定的接受准则一致，准则源自采购信息，如规范、标准等。
组织必须基于风险评估来建立、实施和保持一个原材料定期验证计划。
) ?1 k! k8 s/ x. ^如果验证活动委派给外部供方时，组织必须规定委派要求和规定所需控制，如在外部供方现场定期审核。验证活动委派给外部供方，必须有外部供方已接受此类协议的证据。必须建立和保持一个外部供方委派登记册。后续变更发生后所有委派应被评审。
注1：放行后EPPPS验证可以是进货检验或是外部供方现场质量门的一部分。在8.6规定的检验和试验要求，必须应用于EPPPS验证。
+ L- |0 R& V  g& _  N8.4.2.3 监视外部供方绩效、再评估和排序
8.4.2.3.1 关键外部供方绩效监视、再评估和排序必须考虑：
a)外部提供方绩效的定期评审（见9.1.1.1有关KPIs)；
- G5 Q& p) F4 l) C" T( w. L2 A3 {b)确定审核外部供方的准则；
8 F6 p# _5 a8 k/ F$ _c)基于这些评审的结果建立实施控制的级别；
d)当外部供方没有满足技术和/或绩效指标时执行所策划的措施；
e)反馈给外部供方他们的绩效；
4 q) }2 {! ~1 q' X( C  ~f)定期联合绩效评审。
8.4.2.3.2加上，组织必须：
+ c) T, e; r$ S, ]- ]! R6 o: _a)识别外部供方的开发；
0 |- Y; O2 A6 V8 U" [, `b)基于商定的目标实施行动计划，来改进他们的能力。
% e% l& |" J& A8 a$ u8.4.2.3.3 组织必须保留有关8.4.2.3.1和8.4.2.3.2成文信息。
. V! b# s1 `* g# D. B8.4.3 提供给外部供方的信息
  \$ m6 k+ u3 ?* C( J1 w6 `$ E组织应确保在与外部供方沟通之前所确定的要求是充分和适宜的。
组织应与外部供方沟通以下要求：
- b% n& W4 N; T4 k0 a" f/ Ea)需提供的过程、产品和服务；
7 g' h9 @0 b$ p: @" Bb)对下列内容的批准：
6 E% e; _# A& N& r1)产品和服务；
. S- L  p* N* `8 B. K: L! i% P2)方法、过程和设备；
$ Q9 G, t! b! N0 v2 L6 v+ x3)产品和服务的放行；
c)能力，包括所要求的人员资格；
3 w- m8 R* F; f5 L6 Vd)外部供方与组织的互动；
e)组织使用的对外部供方绩效的控制和监视；
f)组织或其顾客拟在外部供方现场实施的验证或确认活动。
8.4.3.1提供给外部供方的信息–补充
* ^/ Y! N+ x6 k* \  @9 s/ v3 q  X8.4.3.1.1关于提供给外部供方的信息，在8.4.1.1.1规定的过程必须考虑：
& O: w- |* Q. f  [a)顾客要求分解到整个供应链；
% F0 N) {6 X  u0 ]5 B6 Sb)如发生变更，要求的可追溯性（见8.2)；
c)由组织或其顾客（必要时）批准的特殊过程；
' q( a+ f" B& A5 i- g5 ]8.4.3.1.2 增加8.4.3的要求，组织必须向外部供方传达他的要求：
a)规范、图纸、过程要求包括特殊过程、检查指导、组织质量计划的适当信息和其他有
& l( b. {: t) _9 l+ h, S. A关技术数据的标识和适用版本；
b)有关EPPPS的交付物（如EPPPS文件）和相关进度；
$ V/ H8 Z6 \' h, zc)变更和不合格输出的管理；
% J! P( `( _; Fd)EPPPS的交付进度；
7 f- Z8 K9 v+ U( t3 ?, Oe)关于产品特性的信息（如安全特性）；
f)组织、其顾客或其他相关方（如法定机构）接触涉及订单的设施、适用成文信息的权
力；
" ]5 U5 t  ]7 p3 A2 w, D, a6 e! p3 l注：进一步向外部供方传达的要求可以是：
/ |2 p+ a6 C7 I9 A9 M-设计评审；
-为研究或设计批准的试验样品（如生产方法、数量、存储条件）；
-生产：例行试验、检验和接收、包括有关指导；
1 Z3 x! P: b9 u7 J. ?5 p# m. ^-老化；
+ v6 v* O. Z0 v2 w, J/ P" Z2 J-审核；
-供应链物流包括包装和标识；
4 e7 L7 n* a6 j/ V# J  Y-传递要求给他的外部提供方。
9 ~& u7 y: {9 i) U9 T) G, c8.4.4 供应链管理
组织必须：
+ R3 D9 q, V' I4 Wa)要求外部供方确认采购订单的接收，保留其确认的成文信息；
b)文件化的变更申请发给外部供方（见8.4.3)；
5 {* q2 m  W7 _# H5 W组织必须通知更新的交付进度和预测给其外部供方，为外部供方资源策划给出输入。这必须包括从组织到外部供方部件交付的延误。
* N: [8 V# K" I. s. C6 a+ C8 H针对其延误供给的预见，组织应与其外部供方约定一个早期预警方针，另外，组织应定期检查交付进度。这个早期预警方针也应包括老化问题。
与顾客、外部提供方和内部职能（如设计、生产）交流供应链信息（如交付日期、数量），必须用一个应用软件来管理和维护最新日期（如企业资源规划ERP)。