AS9100航空航天认证标准

★AS9100航空航天认证★---★AS9100航空航天防务认证标准★

质量管理体系－航空、航天和防务组织的要求

1  范围
本标准包括ISO9001：2015质量管理体系要求,并规定了额外的航空,航天和防务的行业要求,定义和注释。
要强调的是本标准所规定的质量管理体系要求是对顾客和适用法律法规（译者注：法律一般指国家立法机关正式制定的，而法规一般是指行业监管机关制定的规章制度）要求的补充（不是取代）。
如果本标准要求和适用法律法规之间有任何冲突,以后者为准。
本国际标准为有下列需求的组织规定了质量管理体系要求:
a）需要证实其有能力稳定地提供满足顾客和适用的法律法规要求的产品;
b）通过对体系的有效应用,包括体系持续改进的过程,以及保证符合顾客与适用的法律法规要求,旨在增强顾客满意。
本国际标准的所有要求是通用的,旨在适用于各种类型的、不同规模或者提供的不同产品和服务的组织。
注1：在本国际标准中，术语“产品”或“服务”仅适用于预期提供给顾客或顾客所要求的产品的服务。
注2：法律法规的要求可称作法定要求。
2  规范性引用文件
下列文件中的全部或部分内容在本标准中并在引用中不可或缺。凡是注日期的引用文件,仅该版本适用本标准。凡未标注日期的引用文件，其最新版本适用于本标准（包括任何修改）。
ISO 9000:2015，质量管理体系–基础与术语
ISO 9001:2015 质量管理体系-要求
3  术语与定义
本国际标准采用ISO9000:2015中的以及下列的 术语与定义。
3.1  假冒的零件
通过未授权的复制、模仿、替代或者改装零件的方式（如材料、零件或组件），故意误导这是一个原始或者授权厂家指定的真品。
注：假冒的零件可能包括但不限于:假的标识或标签、等级、序列号、日期代码、文件、或者性能特性。
3.2  关键项目
对产品和服务的提供和使用有重要影响的项目(如功能、零件、软件、特性、过程),包括安全、性能、形状、安装、功能,、可生产性、使用寿命等，需要特定的措施以保证能充分地管理。关键项目举例如安全关键项目、破裂关键项目、任务关键项目、关键特性等。
3.3  关键特性
是一种属性或特征，其变化将对产品安装、形状、功能、性能、使用寿命或可制造性产生重大影响，因而需要采取特殊措施对其变化进行控制。
3.4  产品安全
在没有导致人员伤害或财产损失的风险到不可接受情况下，产品能履行其设计或者期待的用途。
3.5  特殊要求
由顾客识别或组织自己确定的要求,这些要求的实现具有高风险性,因而要求它们包含在风险管理过程中。确定特殊要求的因素，包括产品或过程的复杂性,过去的经验，以及产品或过程的成熟度.特殊要求的例子包括顾客强制的行业极限能力,或者是组织自身确定的技术或过程的极限能力。
注：特殊要求（3.5）和关键项目（3.2）以及关键特性是相互关联的。特殊要求是在确定和评审与产品有关的要求时识别的（见8.2.2和8.2.3）。特殊要求可能要求识别关键项目。设计输出（见8.3.5)可能包括识别要求采取特殊措施保证其得到充分管理的关键项目。一些关键项目由于需要对其变化进行控制,会被进一步分为关键特性。

4  组织环境
4.1  理解组织及其环境
组织应确定与其目标和战略方向相关并影响其实现质量管理体系预期结果的各种外部和内部因素。
组织应对这些内部和外部因素的相关信息进行监视和评审。
注1：这些因素可以包括需要考虑的正面和负面要素或条件；
注2：通过考虑国际、国家、地区或当地的法律法规、技术、竞争、市场、文化、社会和经济因素，有助于理解外部环境。
注3：考虑组织的价值观、文化、知识和绩效等相关因素，有助于理解内部环境。
4.2  理解相关方的需求和期望
由于相关方对组织持续提供符合顾客要求和适用法律法规要求的产品和服务的能力产生影响或潜在影响，因此，组织应确定：
a）与质量管理体系有关的相关方；
b）这些相关方的要求；
组织应对与这些相关方及其要求的相关信息进行监视和评审。
4.3  确定质量管理体系的范围
组织应明确质量管理体系的边界和适用性，以确定其范围。
在确定范围时，组织应考虑：
a）各种内部和外部因素，见4.1；
b）相关方的要求，见4.2；
c）组织的产品和服务。
如果本标准的全部要求适用于组织确定的质量管理体系范围，组织应实施本标准的全部要求。
组织的质量管理体系范围应作为形成文件的信息加以保持。该范围应描述所覆盖的产品和服务类型。若组织认为其质量管理体系的应用范围不适用本标准的某些要求，应说明理由。
只有当所确定的不适用的要求不影响组织确保其产品和服务合格的能力或责任，对增强顾客满意也不会产生影响时，方可声称符合本标准的要求。
4.4  质量管理体系及其过程
4.4.1  组织应按本标准的要求，建立、实施、保持和持续改进质量管理体系、包括所需过程及其相互作用。
组织的质量管理体系也应考虑顾客和适用的法律法规对质量管理体系的要求。
组织应确定质量管理体系所需的过程及其在整个组织中的应用，且应：
a）确定这些过程所需的输入和期望的输出；
b）确定这些过程的顺序和相互作用；
c）确定和应用所需的准则和方法（包括监视、测量和相关绩效指标），以确保这些过程的有效运行和控制；
d）确定这些过程所需的资源并确保其可获得；
e）分配这些过程的职责和权限；
f）按照6.1的要求应对风险和机遇；
g）评价这些过程，实施所需的变更，以确保实现这些过程的预期结果；
h）改进过程和质量管理体系。
注：条款a）到h）被认为是对章节0.3中描述的过程方法的采纳。
4.4.2  在必要的程度上，组织应：
a）保持成文信息以支持过程运行；
b）保留成文信息以确信其过程按策划进行。
组织应建立和维护包括下列内容的成文信息：
—— 相应相关方的通用描述（见4.2a）；
—— 质量管理体系的范围，包括边界和适用性（见4.3）；
—— 质量管理体系所需的过程和其在组织中应用的描述；
—— 这些过程的次序和关系；
—— 这些过程的职责分配和权限；
—— 为质量管理体系而建立或者引用的文件的信息。
注：上述对质量管理系统的描述可以整合进一个成文信息中，一般称为质量手册。
5  领导作用
5.1  领导作用和承诺
5.1.1  总则
最高管理者应通过以下方面，证实其对质量管理体系的领导作用和承诺：
a）对质量管理体系的有效性负责；
b）确保制定质量管理体系的质量方针和质量目标，并与组织环境相适应，
与战略方向相一致；
c）确保质量管理体系要求融入组织的业务过程；
d）促进使用过程方法和基于风险的思维；
e）确保质量管理体系所需的资源是可获得的；
f）沟通有效的质量管理和符合质量管理体系要求的重要性；
g）确保质量管理体系实现其预期结果；
h）促使人员积极参与，指导和支持他们为质量管理体系的有效性作出贡献；
i）推动改进；
j）支持其他相关管理者在其职责范围内发挥领导作用。
注：本标准使用的“业务”一词可广义地理解为涉及组织存在目的的核心活动，无论是公有、私有、营利或非营利组织。
5.1.2  以顾客为关注焦点
最高管理者应通过确保以下方面，证实其以顾客为关注焦点的领导作用和承诺：
a）确定、理解并持续地满足顾客要求以及适用的法律法规要求；
b）确定和应对风险和机遇，这些风险和机遇可能影响产品和服务合格
以及增强顾客满意的能力；
c）始终致力于增强顾客满意。
d）产品和服务的符合性和及时交付业绩应得到测量，如果期望的结果不能或将不能实现时，应采取适当的措施。
5.2  方针
5.2.1  制定质量方针
最高管理者应制定、实施和保持质量方针，质量方针应：
a）适应组织的宗旨和环境并支持其战略方向；
b）为建立质量目标提供框架；
c）包括满足适用要求的承诺；
d）包括持续改进质量管理体系的承诺。
5.2.2  沟通质量方针
质量方针应：
a）可获取并保持成文信息；
b）在组织内得到沟通、理解和应用；
c）适宜时，可为有关相关方所获取。
5.3  组织的岗位、职责和权限
最高管理者应确保组织相关岗位的职责、权限得到分配、沟通和理解。
最高管理者应分配职责和权限，以：
a）确保质量管理体系符合本标准的要求；
b）确保各过程获得其预期输出；
c）报告质量管理体系的绩效以及改进机会（见10.1），特别是向最高管
理者报告；
d）确保在整个组织推动以顾客为关注焦点；
e）确保在策划和实施质量管理体系变更时保持其完整性。。
最高管理者应在管理层中任命一个特定人员作为管理者代表，应具有监督上述要求的职责和授权。
管理者代表应具有解决有关质量管理问题上的组织自主权和不受限制地可接触到最高管理层。
注：管理者代表的职责可以包括与质量管理体系有关事宜的外部联络。
6  策划
6.1  应对风险和机遇的措施
6.1.1  在策划质量管理体系时，组织应考虑到4.1所提及的因素和4.2所提及的要求，并确定需要应对的风险和机遇，以：
a）确保质量管理体系能够实现其预期结果；
b）增强有利影响；
c）预防或减少不利影响；
d）实现改进。
6.1.2  组织应策划：
a）应对这些风险和机遇的措施；
b）如何：
1）在质量管理体系过程中整合并实施这些措施（见4.4）；
2）评价这些措施的有效性。
应对措施应与风险和机遇对产品和服务符合性的潜在影响相适应。
注1：应对风险可选择规避风险，为寻求机遇承担风险，消除风险源，改变风险的可能性或后果，分担风险，或通过信息充分的决策而保留风险。
注2：机遇可能导致采用新实践、推出新产品、开辟新市场、赢得新顾客、建立合作伙伴关系、利用新技术和其他可行之处，以应对组织或其顾客的需求。
6.2  质量目标及其实现的策划
6.2.1  组织应针对相关职能、层次和质量管理体系所需的过程建立质量目标。
质量目标应：
a）与质量方针保持一致；
b）可测量；
c）考虑适用的要求；
d）与产品和服务合格以及增强顾客满意相关；
e）予以监视；
f）予以沟通；
g）适时更新。
组织应保持有关质量目标的成文信息。
6.2.2  策划如何实现质量目标时，组织应确定：
a）要做什么；
b）需要什么资源；
c）由谁负责；
d）何时完成；
e）如何评价结果。
6.3  变更的策划
当组织确定需要对质量管理体系进行变更时，变更应按所策划的方式实施（见4.4）。
组织应考虑：
a）变更目的及其潜在后果；
b）质量管理体系的完整性；
c）资源的可获得性；
d）职责和权限的分配或再分配。。
7  支持
7.1  资源
7.1.1  总则
组织应确定并提供所需的资源，以建立、实施、保持和持续改进质量管理体系。
组织应考虑：
a）现有内部资源的能力和局限；
b）需要从外部供方获得的资源。
7.1.2  人员
组织应确定并配备所需的人员，以有效实施质量管理体系，并运行和控制其过程。
7.1.3  基础设施
组织应确定、提供并维护所需的基础设施，以运行过程，并获得合格产品和服务。
注：基础设施可包括：
a）建筑物和相关设施；
b）设备，包括硬件和软件；
c）运输资源；
d）信息和通讯技术。
7.1.4  程运行环境
组织应确定、提供并维护所需的环境，以运行过程，并获得合格产品和服务。
注：适宜的过程运行环境可能是人为因素与物理因素的结合，例如：
a）社会因素（如非歧视、安定、非对抗）；
b）心理因素（如减压、预防过度疲劳、稳定情绪）；
c）物理因素（如温度、热量、湿度、照明、空气流通、卫生、噪声）。
由于所提供的产品和服务不同，这些因素可能存在显著差异。
7.1.5  监视和测量资源
7.1.5.1  总则
当利用监视或测量来验证产品和服务符合要求时，组织应确定并提供所需的资源，以确保结果有效和可靠。
组织应确保所提供的资源：
a）适合所开展的监视和测量活动的特定类型；
b）得到维护，以确保持续适合其用途。
组织应保留适当的成文信息，作为监视和测量资源适合其用途的证据。。
7.1.5.2  测量溯源
当要求测量溯源时，或组织认为测量溯源是信任测量结果有效的基础时，测量设备应：
a）对照能溯源到国际或国家标准的测量标准，按照规定的时间间隔或在使用前进行校准和（或）检定，当不存在上述标准时，应保留作为校准或验证依据的成文信息；
b）予以识别，以确定其状态；
c）予以保护，防止由于调整、损坏或衰减所导致的校准状态和随后的测量结果的失效。
组织应建立、实施并保持一个对需要校准或检定的监视和测量设备进行召回的过程。
组织必须保持一份监视和测量设备的清单。清单应包括设备型号、唯一性标识、位置、校准和检定方法、检查频率和接收准则。
注：监视和测量设备包括但不限于：试验硬件、试验软件、自动试验设备（ATE）和用于生成检验数据的绘图仪，也包括用于提供产品符合证据的个人拥有的和顾客提供的设备。
监视和测量设备的校准或检定应在适宜环境条件下实施。
当发现测量设备不符合预期用途时，组织应确定以往测量结果的有效性是否受到不利影响，必要时应采取适当的措施。。
7.1.6  组织的知识
组织应确定必要的知识，以运行过程，并获得合格产品和服务。
这些知识应予以保持，并能在所需的范围内得到。
为应对不断变化的需求和发展趋势，组织应审视现有的知识，确定如何获取或接触更多必要的知识和知识更新。
注1：组织的知识是组织特有的知识，通常从其经验中获得，是为实现组织目标所使用和共享的信息。
注2：组织的知识可基于：
a）内部来源（如知识产权、从经验获得的知识、从失败和成功项目吸取的经验和教训、获取和分享未成文的知识和经验，以及过程、产品和服务的改进结果）；
b）外部来源（如标准、学术交流、专业会议、从顾客或外部供方收集的知识）。
7.2  能力
组织应：
a）确定在其控制下工作的人员所需具备的能力，这些人员从事的工作影响质量管理体系绩效和有效性；
b）基于适当的教育、培训或经验，确保这些人员是胜任的；
c）适用时，采取措施以获得所需的能力，并评价措施的有效性；
d）保留适当的成文信息，作为人员能力的证据。
注：应当考虑定期对必需的能力予以评审。
注：适当措施可包括对在职人员进行培训、辅导或重新分配工作，或者聘用、外包胜任的人员。
7.3  意识
组织应确保在其控制下工作的人员知晓：
a）质量方针；
b）相关的质量目标；
c）他们对质量管理体系有效性的贡献，包括改进绩效的益处；
d）不符合质量管理体系要求的后果；
e）相关的质量管理体系文件的信息以及其更改；
f）他们对产品或服务符合性的贡献；
g）他们对产品安全的贡献；
h）符合道德规范的行为的重要性。
7.4  沟通
组织应确定与质量管理体系相关的内部和外部沟通，包括：
a）沟通什么；
b）何时沟通；
c）与谁沟通；
d）如何沟通；
e）谁来沟通。
注： 沟通应当包括与质量管理体系相关的内部和外部反馈。
7.5  成文信息
7.5.1  总则
组织的质量管理体系应包括：
a）本标准要求的成文信息；
b）组织所确定的、为确保质量管理体系有效性所需的成文信息。
注：对于不同组织，质量管理体系成文信息的多少与详略程度可以不同，取决于：
—— 组织的规模，以及活动、过程、产品和服务的类型；
—— 过程及其相互作用的复杂程度；
—— 人员的能力。
7.5.2  创建与更新
在创建和更新成文信息时，组织应确保适当的：
a）标识和说明（如标题、日期、作者、索引编号）；
b）形式（如语言、软件版本、图表）和载体（如纸质的、电子的）；
c）针对适宜性和充分性的评审和批准。
注：“批准”还隐含着组织已经定义了与各种不同类型的成文信息相对应的授权人员和批准方法。
7.5.3  成文信息的控制
7.5.3.1  应控制质量管理体系和本标准所要求的成文信息，以确保：
a）在需要的场合和时机，均可获得并适用；
b）予以妥善保护（如防止泄密、不当使用或缺失）。
7.5.3.2 为控制成文信息，适用时，组织应进行下列活动：
a）分发、访问、检索和使用；
b）存储和防护，包括保持可读性；
c）更改控制（如版本控制）；
d）保留和处置；
e）当出于某种目的需要保留废止文件时，需要通过移除或运用某种特定的标识来防止非预期的使用。
对于组织确定的策划和运行质量管理体系所必需的来自外部的成文信息，组织应进行适当识别，并予以控制。
对所保留的、作为符合性证据的成文信息应予以保护，防止非预期的更改。
当成文信息是电子化管理时，应定义数据保护过程（如防止丢失，非授权更改，无意识的修订，损坏，物理性破坏）。
注：对成文信息的“访问”可能意味着仅允许查阅，或者意味着允许查阅并授权修改。
8  运行
8.1 运行的策划和控制
为满足提供产品和服务时的要求，并实施第6章所确定的措施，组织应通过以下措施对所需的过程（见4.4）进行策划、实施和控制：
a）确定产品和服务的要求；
注：确定产品和服务的要求应当考虑下述方面：
—— 人员和产品的安全；
—— 可生产性和可检验性；
—— 可靠性、可用性和可维护性；
—— 使用在产品中的零件和原材料的适宜性；
—— 嵌入式软件的选择和开发；
—— 产品的报废；
—— 预防，探测和移除外来物；
—— 处理，包装和防护；
—— 产品在寿命结束时的回收和最终处理。
b）建立下列内容的准则：
1）过程；
2）产品和服务的接收；
注：根据产品特性并取决于指定条件，统计技术可以用于支持：
—— 设计验证（如：可靠性、可维修性、产品安全）；
—— 过程控制：
·关键特性的选择和验证；
·过程能力测量；
·统计过程控制；
·实验设计；
—— 验证,和
—— 失效模式、影响和危害性分析。
c）确定所需的资源以使产品和服务符合要求，并且能够按时交付；
d）按照准则实施过程控制；
e）在必要的范围和程度上，确定并保持、保留成文信息，以：
1）确信过程已经按策划进行；
2）证实产品和服务符合要求。
f）确定管理关键项目所需的过程和控制，包括当关键特性已经识别时的生产过程控制；
g）为会受影响的组织职能选取代表参与运行的策划和控制；
h）确定支持产品和服务的使用和维护的过程和资源；
i）确定从外部供方处获取的产品和服务；
j）建立必要的控制以防止交付给顾客不合格的产品和服务。
注：运行的策划和控制有一种实现方法是全程使用整合阶段过程。
当对组织、顾客要求或产品和服务适用时，组织应以一种结构化和受控的方式去策划和管理产品和服务的提供，包括在有资源和时间约束情况下, 预定事件按策划次序执行，并在可接受的风险内满足要求。
注：这些活动通常称为项目策划，项目管理或计划管理。
策划的输出应适合于组织的运行。
注：作为策划的输出，用以描述质量管理系统的过程以及对具体产品、项目或合同所需资源的成文信息称为质量计划。
组织应控制策划的变更，评审非预期变更的后果，必要时，采取措施减轻不利影响。
组织应确保外包过程受控（见8.4）。
组织应建立、实施和保持一个策划和控制临时性或永久性工作转移的过程,以保证持续地符合工作的要求。这个过程应保证工作转移时的影响和风险是在管理。
注：对于控制工作转移从组织到外部供方，或从一个外部供方转移到另一个外部供方，见8.4。对于从组织的一处设施转移到另一处，或从外部供方转移到组织，见8.5。
8.1.1  运行风险管理
组织应建立、实施和控制一个过程来管理运行的风险以实现适用的要求，当适用于组织以及产品和服务时，这个过程包括：
a）风险管理的职责分配；
b）风险评估准则的确定（如：可能性、后果,风险接受程度）；
c）在运行的全过程中对风险的识别、评估和交流；
e）识别、实施和管理相应的措施以减轻超过已确定的接受准则的风险；
f）减轻风险措施实施后的剩余风险的接受度。
注1：与组织在策划质量管理体系时依据条款6.1需应对的风险和机遇不同，本条款（8.1.1）仅限于与提供产品和服务所需的运行过程（第8章）相关的风险。
注2：在航空、航天和防务工业中，风险通常用发生的可能性和后果的严重性进行表述。
8.1.2  型态管理
当适用于组织以及它的产品和服务时，组织应建立、实施和控制一个型态管理的过程，以确保在产品生命周期内物理和功能属性的识别和控制。这个过程应：
a）按要求控制产品的身份标识和可追溯性，包括已确认的变更的执行情况；
b）保证成文信息(如要求、设计、验证、确认以及与接收有关的文件)与实际产品和服务的属性是一致的；
8.1.3  产品安全
当适用于组织和产品时，组织应策划、实施和控制在产品整个寿命周期内保证产品安全所需的过程。
注：这些过程例如包括有：
—— 危害评估和相关风险管理（见8.1.1）；
—— 安全关键项目的管理；
—— 分析和报告已发生影响安全的事件；
—— 交流安全事件并培训人员。
8.1.4  预防假冒的零件
当适用于组织和产品时,组织必须策划、实施和控制一个或几个过程以预防使用到假冒的零件或者疑似假冒的零件，或将其包含在产品中交付给客户。
注：假冒的零件预防的过程应当考虑：
—— 培训相关人员的针对假冒的零件的意识和使用预防；
—— 零部件报废监控程序的应用；
—— 从原始厂家、授权分销商或者其他批准来源获得零部件的控制；
—— 要求保证零部件可追溯到它们的原始或授权生产厂家；
—— 有能发现假冒件的验证和测试方法；
—— 监控外部对假冒件的报告；
—— 隔离和报告疑似的或者发现的假冒件。
8.2  产品和服务的要求
8.2.1  顾客沟通
与顾客沟通的内容应包括：
a）提供有关产品和服务的信息；
b）处理问询、合同或订单，包括更改；
c）获得有关产品和服务的顾客反馈，包括顾客投诉；
d）处置和控制顾客财产；
e）关系重大时，制定关应急措施的特定要求。
8.2.2  产品和服务的要求的确定
在确定向顾客提供的产品和服务的要求时，组织应确保：
a）产品和服务的要求得到规定，包括：
1）适用的法律法规要求；
2）组织认为的必要要求。
b）提供的产品和服务能够满足所声明的要求。
c）产品和服务的特殊要求得到确定；
d）运行风险（如新的技术、提供的能力和产能、短的交付期）已经识别。
8.2.3  产品和服务要求的评审
8.2.3.1  组织应确保有能力向顾客提供满足要求的产品和服务。在承诺向顾客提供产品和服务之前，组织应对如下各项要求进行评审：
a）顾客规定的要求，包括对交付及交付后活动的要求；
b）顾客虽然没有明示，但规定的用途或已知的预期用途所必需的要求；
c）组织规定的要求；
d）适用于产品和服务的法律法规要求；
e）与以前表述不一致的合同或订单要求；
该评审应和组织的相关职能进行协调。
如果通过组织的评审，认为顾客的要求不能满足或者仅部分能满足，组织应与顾客商讨一个双方可接受的要求。
组织应确保与以前规定不一致的合同或订单要求已得到解决。
若顾客没有提供成文的要求，组织在接受顾客要求前应对顾客要求进行确认。
注：在某些情况下，如网上销售，对每一个订单进行正式的评审可能是不实际的，作为替代方法，可评审有关的产品信息，如产品目录。
8.2.3.2  适用时，组织应保留与下列方面有关的成文信息：
a）评审结果；
b）产品和服务的新要求。
8.2.4  产品和服务要求的更改
若产品和服务要求发生更改，组织应确保相关的成文信息得到修改，并确保相关人员知道已更改的要求。
8.3  产品和服务的设计和开发
8.3.1  总则
组织应建立、实施和保持适当的设计和开发过程，以确保后续的产品和服务的提供。
8.3.2  设计和开发策划
在确定设计和开发的各个阶段和控制时，组织应考虑：
a）设计和开发活动的性质、持续时间和复杂程度；
b）所需的过程阶段，包括适用的设计和开发评审；
c）所需的设计和开发验证、确认活动；
d）设计和开发过程涉及的职责和权限；
e）产品和服务的设计和开发所需的内部、外部资源：
f）设计和开发过程参与人员之间接口的控制需求；
g）顾客及使用者参与设计和开发过程的需求；
h）对后续产品和服务提供的要求；
i）顾客和其他有关相关方期望的对设计和开发过程的控制水平；
j）证实已经满足设计和开发要求所需的成文信息。
当适用时，组织应将设计和开发工作分解为不同的活动，并对每项活动，确定任务、必需的资源、职责、设计内容、输入和输出。
设计和开发策划应考虑提供、验证、测试和维护产品和服务的能力（参见8.1a的输出）。
8.3.3  设计和开发输入
组织应针对所设计和开发的具体类型的产品和服务，确定必需的要求。组织应考虑：
a）功能和性能要求；
b）来源于以前类似设计和开发活动的信息；
c）法律法规要求；
d）组织承诺实施的标准或行业规范；
e）由产品和服务性质所导致的潜在的失效后果；
f）适用时，性能衰退的潜在后果（如材料，过程，部件，设备和产品）。
针对设计和开发的目的，输入应是充分和适宜的，且应完整、清楚。
相互矛盾的设计和开发输入应得到解决。
组织应保留有关设计和开发输入的成文信息。
注：组织也可考虑将其它信息——如标杆产品、外部供方反馈、内部产生数据和服务中数据——作为设计和开发的输入。
8.3.4  设计和开发控制
组织应对设计和开发过程进行控制，以确保：
a）规定拟获得的结果；
b）实施评审活动，以评价设计和开发的结果满足要求的能力；
c）实施验证活动，以确保设计和开发输出满足输入的要求；
d）实施确认活动，以确保形成的产品和服务能够满足规定的使用要求或预
期用途；
e）针对评审、验证和确认过程中确定的问题采取必要措施；
f）保留这些活动的成文信息；
g）进展到下一阶段应被授权批准。
设计和开发评审的参与者应包括与评审的设计和开发阶段有关的职能代表。
注：设计和开发的评审、验证和确认具有不同的目的。根据组织的产品和服务的具体情况，可以单独或以任意组合进行。
8.3.4.1  当验证和确认需要进行测试时，应对这些测试进行策划、控制、评审并形成文件，以确保证明下列要求：
a）测试计划或规范确定了要进行测试的项目和需要使用的资源；规定了试验目的和条件、要记录的参数以及相关接收准则；
b）测试程序描述了使用的测试方法、如何进行试验，和如何记录结果；
c）提交给测试项目的是正确的型态；
d）测试计划和程序的要求能获得并被遵守；
e）满足接收准则。
测试中使用的监视和测量设备应按条款7.1.5进行控制.
在设计和开发完成时，组织应确保报告、计算、测试结果等能表明在所有规定的运行条件下，产品和服务的设计满足规范要求。
8.3.5  设计和开发输出
组织应确保设计和开发输出：
a）满足输入的要求；
b）满足后续产品和服务提供过程的需要；
c）包括或引用监视和测量的要求，适当时，包括接收准则；
d）规定产品和服务特性，这些特性对于预期目的、安全和正常提供是必需的。
e）适用时，明确所有关键项目，包括所有的关键特性，以及对这些项目要采取的特殊措施。
f）放行前得到批准。
组织应确定对产品进行标识、制造、验证、使用和维修所需要的数据。
注：数据可包括：
—— 确定产品的型态和设计特性的必要的图纸、零件清单和规范；
—— 提供和维护产品和服务符合性需要的材料、过程、制造、组装、处理、包装和防护的数据。
—— 运行和维护产品的技术数据和修理方案。
组织应保留有关设计和开发输出的成文信息。
8.3.6  设计和开发更改
组织应对产品和服务设计和开发期间以及后续所做的更改进行适当的识别、评审和控制，以确保这些更改对满足要求不会产生不利影响。
组织应实施一个建立了准则的过程使会影响到顾客要求的更改在实施前能通知顾客。
组织应保留下列方面的成文信息：
a）设计和开发更改；
b）评审的结果；
c）更改的授权；
d）为防止不利影响而采取的措施。
设计和开发的更改应按型态管理的过程控制。

8.4  外部提供过程、产品和服务的控制
8.4.1  总则
组织应确保外部提供的过程、产品和服务符合要求。
组织必须对所有从外部提供的过程、产品和服务的符合性负责，包括顾客指定的来源。
当要求时，组织应确保使用顾客指定或批准的外部供方，包括过程来源（如特殊过程）；
组织应识别和管理与外部提供的过程、产品和服务以及挑选和使用外部供方相关的风险。
组织应要求外部供方对他们的直接或下级外部供方进行适当的控制，以保证满足要求。
在下列情况下，组织应确定对外部提供的过程、产品和服务实施的控制：
a）外部供方的产品和服务将构成组织自身的产品和服务的一部分；
b）外部供方代表组织直接将产品和服务提供给顾客；
c）组织决定由外部供方提供过程或部分过程。
组织应基于外部供方按照要求提供过程、产品和服务的能力，确定并实施外部供方的评价、选择、绩效监视以及再评价的准则。对于这些活动和由评价引发的任何必要的措施，组织应保留成文信息。
注：在选择和评价外部供方时，可使用来自客观和可靠外部提供的质量数据作为组织自己的评估（例如：信息来自授信的质量管理体系或过程认证机构,政府机构对外部供方的批准）。使用这种数据只能是组织对外部供方控制过程的一个组成部分，组织仍然有验证采购的产品满足规定采购要求的责任。
8.4.1.1  组织应：
a）确定如何对外部供方的批准状态过行决定和更改以及在什么条件下可根据其批准状态对其进行受控使用的过程、职责和权限；
b）保持一份外部供方名录，包括批准状态（如批准，有条件批准，不批准）和批准范围（如产品类型、过程类别）；
c）周期性地评估外部供方的业绩,包括产品和服务的符合性和准时交付能力；
d）当外部供方不能满足要求时，确定采取必要的措施；
e）确定过程控制由外部供方生成和/或保留的文件的信息。
8.4.2  控制类型和程度
组织应确保外部提供的过程、产品和服务不会对组织稳定地向顾客交付合格产品和服务的能力产生不利影响。
组织应：
a）确保外部提供的过程保持在其质量管理体系的控制之中；
b）规定对外部供方的控制及其输出结果的控制；
c）考虑：
1）外部提供的过程、产品和服务对组织稳定地满足顾客要求和适用的法律法规要求的能力的潜在影响；
2）由外部供方实施控制的有效性。
3）定期评审外部供方业绩的结果（见8.4.1.1c）;
d）确定必要的验证或其他活动，以确保外部提供的过程、产品和服务满足要求。
对外部提供的过程、产品和服务的验证活动应根据组织识别出的风险来进行。当存在不合格品或假冒的零件的高风险情况下，如果可行，验证活动应包括检验或定期测试。
注1：顾客对任何层次的供应链所做的验证活动都不能免除组织应承担的提供可接受的过程、产品和服务以及符合所有要求的责任。
注2：验证活动可以包括：
—— 评审从外部供方处获得的过程，产品和服务的符合性的客观证据（如随产品文件、合格证明、测试文件、统计文件、过程控制文件、生产过程验证的结果以及对后续生产过程更改的评估）；
—— 在外部供方处的检验和审核；
—— 对要求文件的评审；
—— 评审生产件批准过程的执行情况；
—— 按收货单进行产品检验或服务验证；
—— 对将产品验证委托给外部供方的委托行为进行评审。
当外部提供的产品在全部验证活动完成前被放行用于生产，应对其进行标识和记录，做到如果后续结果发现产品不符合要求，能够对其进行召回和更换。
当组织将验证活动委托给外部供方时，应确定委托的范围和要求，并保持一份委托清单。组织应定期监控外部供方的委托验证活动情况。
当利用外部供方的测试报告来验证外部提供的产品时，组织应运行一个过程来评估测试报告中的数据以确认产品满足要求。当顾客或组织已经识别原材料是一个重要的运行风险时（如关键项目），组织应运行一个过程来验证测试报告的准确性。
8.4.3  提供给外部供方的信息
组织应确保在与外部供方沟通之前所确定的要求是充分和适宜的。
组织应与外部供方沟通以下要求：
a）所提供的过程、产品和服务，包括相关技术数据的标识（如规范，图纸，过程要求，和工作指导书）；
b）对下列内容的批准：
1）产品和服务；
2）方法、过程和设备；
3）产品和服务的放行；
c）能力，包括所要求的人员资质；
d）外部供方与组织的接口；
e）组织对外部供方绩效的控制和监视；
f）组织或其顾客拟在外部供方现场实施的验证或确认活动；
g）设计和开发控制；
h）特殊要求，关键项目，包括关键特性 ；
i）试验，检验和验证（包括生产过程的验证）；
j）使用组织能接受的统计技术来进行产品验收和相关说明；
k）需要
—— 执行的质量管理体系；
—— 使用顾客指定或批准的外部供方，包括过程来源（如特殊过程）；
—— 向组织通报不合格的过程，产品或服务并获得处置批准；
—— 预防假冒件的使用（见8.1.4）;
—— 通知组织关于过程、产品或服务的更改，包括他们的外部供方的更改、生产地点的更改，并获得组织的批准；
—— 向外部供方传递适用的要求，包括顾客要求；
—— 提供试验件用于设计批准、检验/验证、调查或审核（例如生产方法，编号，储存条件）；
—— 需要保留的文件信息，包括保留期和处置要求。
l）在供应链的任何层次，组织及其顾客和监管机关可接触进入到任何适用的场所,和适用文件信息的权利。
m）保证人员意识到
—— 他们对产品和服务符合性的贡献；
—— 他们对产品安全的贡献；
—— 符合道德标准的行为的重要性。

8.5  生产和服务提供
8.5.1  生产和服务提供的控制
组织应在受控条件下进行生产和服务提供。
适用时，受控条件应包括：
a）可获得成文信息，以规定以下内容：：
1）拟生产的产品、提供的服务或进行的活动的特性；
2）拟获得的结果。
注1：确定产品和服务特征的成文信息包括图纸、零件清单、材料和工艺规范。
注2：活动执行和结果取得的成文信息包括过程流程图、控制计划，生产文件（如：制造计划、路线图、流程卡、工作指令和工艺卡）和验证文件。
b）可获得和使用适宜的监视和测量资源；
c）在适当阶段实施监视和测量活动，以验证是否符合过程或输出的控制准则以及产品和服务的接收准则；
1）确保为接收产品而进行的监视和测量活动的成文信息包括了：
—— 接收和拒收准则；
—— 按顺序进行验证操作；
—— 保留测量的结果（至少表明接收或拒收）；
—— 要求的任何特定的监视和测量设备及其相关的使用说明；
2）当使用抽样检验作为产品接收的方法时，应基于被广泛认可的统计学原理来制定抽样计划，并该抽样计划应适合实际使用（例如按照产品的重要性和过程的能力匹配相应的抽样计划）。
d）使用适宜的基础设施和环境来运行过程；
注：适宜的基础设施可以包括产品专用工具（如型架、夹具、模具）和软件程序。
e）配备胜任的人员，包括所要求的资格；
f）若输出结果不能由后续的监视或测量加以验证，应对生产和服务提供过程实现策划结果的能力进行确认，并定期再确认；
注：这些过程也被称为特殊过程（见8.5.1.2）。
g）采取措施防止人为错误；
h）实施放行、交付和交付后的活动；
i）工艺准则的建立（如书面标准、代表性样本、插图）；
j）在生产中对所有产品负责（如零件数量、分作业指令、不合格品）；
k）按建立的过程，控制和监视已识别的关键项目，包括关键特性；
l）确定方法来测量可变数据（如工具，在线探测，检验设备）；
m）在后续阶段不能进行足够验证时，识别过程中的检验/验证点；
n）可得到所有生产和检验/验证操作已按计划完成的证据，或者另外文件批准和授权；
o）提供预防、检测和去除外来物；
p）对会影响产品要求符合性的公用设施和供给物（如水、压缩空气、电及化学产品）进行监视和控制，
q）在所有要求的测量和监视活动完成前，产品被放行到后道工序，应对其进行标识和记录，做到如果后来发现产品不符合要求，能够对其进行召回和更换。
8.5.1.1  生产设备、工具和软件程序的控制
生产设备、工具和用于自动操作、控制、监视或测量生产过程的软件程序在最终投入实际生产前应进行确认，并维护。
对储存中的生产设备或工装必须确定储存要求，包括任何必要的定期防护或状况检查。
8.5.1.2  特殊过程的验证和控制
当过程输出不能由后续的监视或测量加以验证，组织应对任何这些过程作出安排，适用时包括：
a）规定过程的评审和批准准则；
b）确定保持批准的条件；
c）设施和设备的批准；
d）人员资质；
e）对过程的执行和监控使用特定的方法和程序；
f）要求保留的成文信息。
8.5.1.3  生产过程验证
组织应执行生产过程验证活动以保证生产过程有能力持续生产出满足要求的产品。
注：这些活动包括风险评估、产能研究、能力研究和控制计划。
组织应使用从首批生产的新零件或组件中确定的有代表性的项目来验证生产过程、生产文件和工装能够生产满足要求的零件和部件。当发生使原来验证结果无效的更改时，应进行重新验证过程(如工程更改、制造过程更改、工装更改)。
注：此项活动通常被称为首件检验。
组织应保留生产过程验证结果的成文信息。
8.5.2  标识和可追溯性
需要时，组织应采用适当的方法识别输出，以确保产品和服务合格。
组织应保持产品和服务的型态的识别，以识别产品实际型态和所需型态之间的任何不同。
组织应在生产和服务提供的整个过程中按照监视和测量的要求识别输出的状态。
当使用可接受授权媒介时（如印章、电子签名、密码），组织应对媒介建立适当的控制。
当有可追溯要求时，组织应对输出所拥有的唯一性的标识进行控制，并应保留所需的成文信息以实现可追溯。
注：追溯要求包括：
—— 在产品寿命期内能保持标识；
—— 所有产品能追溯到由同一批原材料制造，或来自相同制造批次，以及最终去向（如交付、报废）；
—— 对于组件，能追溯其组件以及后面更高一级的组件；
—— 对于产品，能追溯其生产的一系列记录（制造、装配、检验/验证）。
8.5.3  顾客或外部供方的财产
组组织应爱护在组织控制下或组织使用的顾客或外部供方的财产。
对组织使用的或构成产品和服务一部分的顾客和外部供方财产，组织应予以识别、验证、保护和防护。
若顾客或外部供方的财产发生丢失、损坏或发现不适用情况，组织应向顾客或外部供方报告，并保留所发生情况的成文信息。
注：顾客或外部供方的财产可能包括材料、零部件、工具和设备以及场所、知识产权和个人资料。
8.5.4  防护
组织应在提供生产和服务的期间对输出进行必要的防护，以确保符合要求。
注：防护可包括标识、处置、污染控制、包装、储存、传输或运输以及保护。
在适用处，按产品规范和适用的法律法规要求，产品的防护还应包括下列规定：
a）清洁；
b）预防、检测并去除外来物；
c）对敏感产品的特殊处理和保存；
d）标记和挂签，包括安全警示和告诫；
e）有效期控制和库存周转；
f）对危险材料的特殊处理和保存。
8.5.5  交付后活动
组织应满足与产品和服务相关的交付后活动的要求。
在确定所要求的交付后活动的覆盖范围和程度时，组织应考虑：
a）法律法规要求；
b）与产品和服务相关的潜在不良的后果；
c）产品和服务的性质、使用和预期寿命；
d）顾客要求；
e）顾客反馈
f）对使用中数据的收集和分析（如性能，可靠性，经验教训）；
g）控制，更新和提供关于产品使用、维护、修理和大修的技术文件；
h）在组织外进行的工作的控制要求（如外场工作）；
i）产品/客户支援（如询问、培训、索赔、维修、更换零件、资源、报废）。
当交付后发现问题时，组织应采取包括调查和报告在内的适当的行动。
注：交付后活动可能包括担保条款所规定的相关活动，诸如合同规定的维护服务，以及回收或最终报废处置等附加服务。
8.5.6  更改控制
组织应对生产或服务提供的更改进行必要的评审和控制，以确保持续地符合要求。
应识别能对更改生产或服务的提供进行批准的授权人员。
注：生产或服务提供的更改会包括影响过程、生产设备、工具或软件程序的更改。
组织应保留成文信息，包括有关更改评审的结果、授权进行更改的人员以及根据评审所采取的必要措施。
8.6  产品和服务的放行
组织应在适当阶段实施策划的安排，以验证产品和服务的要求已得到满足。
除非得到有关授权人员的批准，必要时得到顾客的批准，否则在策划的安排已圆满完成之前，不应向顾客放行产品和交付服务。
组织应保留有关产品和服务放行的成文信息。成文信息应包括：
a）符合接收准则的证据；
b）可追溯到授权放行人员的信息。
当要求展示产品合格时，组织应保证保留的成文信息能提供证据表明产品和服务已满足确定的要求。
组织应保证所有要求的成文信息在产品和服务交付时一起提供。
8.7  不合格输出的控制
8.7.1  组织应确保对不符合要求的输出进行识别和控制，以防止非预期的使用或交付。
注：术语“不合格输出”包括内部生成的、从外部供方处收到的或顾客识别出的不合格产品或服务。
组织应根据不合格的性质及其对产品和服务符合性的影响采取适当措施。这也适用于在产品交付之后，以及在服务提供期间或之后发现的不合格产品和服务。
组织的不合格控制过程应保持成文信息，其中包括提供：
—— 规定对不合格输出的评审和处置的职责和权限，以及批准人员作出决定的过程；
—— 采取必要的措施，控制不合格在其他过程、产品或服务中的影响；
—— 及时向顾客或相关利益方报告影响到已交付的产品和服务的不合格情况；
—— 在产品和服务交付后发现不合格时，根据其影响程度确定纠正措施，（见10.2）；
注:要求通知不合格产品和服务的利益相关方可能包括外部供方、内部组织、顾客、分销商和监管机关。
组织应通过下列一种或几种途径处置不合格输出：
a）纠正；
b）隔离、限制、退货或暂停对产品和服务的提供；
c）告知顾客；
d）从顾客（必要时）及有关方面 获得让步接收的授权。
只有在下列情况下，才能以“按现状使用”或“维修”的方式来接受不合格的产品：
—— 经过负责设计产品的组织的授权代表或者是设计组织的委托授权人员批准；
—— 如果不合格导致偏离合同要求，应经过顾客授权批准。
进行报废处理的不合格品，必须做出明显的和永久性的标记，或进行明确的控制，直至在物理上不可能被使用。
应控制假冒的零件或者疑似假冒的零件，防止其再次进入供应链。
对不合格输出进行纠正之后应验证其是否符合要求。
8.7.2  组织应保留下列成文信息：
a）描述不合格；
b）描述所采取的措施；
c）描述获得的让步；
d）识别处置不合格的授权。

9  绩效评价
9.1  监视、测量、分析和评价
9.1.1  总则
组织应确定：
a）需要监视和测量什么；
b）需要用什么方法进行监视、测量、分析和评价，以确保结果有效；
c）何时实施监视和测量；
d）何时对监视和测量的结果进行分析和评价。
组织应评价质量管理体系的绩效和有效性。
组织应保留适当的成文信息，以作为结果的证据。
9.1.2  顾客满意
组织应监视顾客对其需求和期望已得到满足的程度的感受。组织应确定获取、监视和评审该信息的方法。
注：监视顾客感受的例子可包括顾客调查、顾客对交付产品或服务的反馈、顾客座谈、市场占有率分析、顾客赞扬、担保索赔和经销商报告。
监视和评价顾客满意的信息应包括但不限于：产品和服务的符合性、准时交付的达成情况、顾客抱怨和纠正措施要求。在上述评价中识别出的不足之处，组织应开发和实施顾客满意度改进计划来解决，并评估其实施的效果。
9.1.3  分析与评价
组织应分析和评价通过监视和测量获得的适当的数据和信息。
注：适当的数据可以包括外部报告中关于产品和服务的问题的信息（如政府或行业通报、公告等）。
应利用分析结果评价：
a）产品和服务的符合性；
b）顾客满意程度；
c）质量管理体系的绩效和有效性；
d）策划是否得到有效实施；
e）应对风险和机遇所采取措施的有效性；
f）外部供方的绩效；
g）质量管理体系改进的需求。
注：数据分析方法可包括统计技术。
9.2  内部审核
9.2.1  组织应按照策划的时间间隔进行内部审核，以提供有关质量管理体系的下列信息：
a）是否符合：
1）组织自身的质量管理体系要求；
注：组织自身要求包括顾客、法律法规以及监管对质量管理体系的要求。
2）本标准的要求。
b）是否得到有效的实施和保持。
注：进行内部审核时，可以通过评价绩效指标来判定质量管理体系是否得到有效的实施和维护。
9.2.2  组织应：
a）依据有关过程的重要性、对组织产生影响的变化和以往的审核结果，策划、制定、实施和保持审核方案，审核方案包括频次、方法、职责、策划要求和报告；
b）规定每次审核的审核准则和范围；
c）选择审核员并实施审核，以确保审核过程客观公正；
d）确保将审核结果报告给相关管理者；
e）及时采取适当的纠正和纠正措施；
f）保留成文信息，作为实施审核方案以及审核结果的证据。
注：相关指南参见ISO 19011。。

 9.3  管理评审
9.3.1  总则
最高管理者应按照策划的时间间隔对组织的质量管理体系进行评审，以确保其持续的适宜性、充分性和有效性，并与组织的战略方向保持一致。
9.3.2  管理评审输入
策划和实施管理评审时应考虑下列内容：
a）以往管理评审所采取措施的情况；
b）与质量管理体系相关的内外部因素的变化；
c）下列有关质量管理体系绩效和有效性的信息，包括其趋势：
1）顾客满意和有关相关方的反馈；
2）质量目标的实现程度；
3）过程绩效以及产品和服务的合格情况；
4）不合格及纠正措施；
5）监视和测量结果；
6）审核结果；
7）外部供方的绩效。
8）准时交付业绩；
d）资源的充分性；
e）应对风险和机遇所采取措施的有效性（见6.1）；
f）改进的机会。
9.3.3  管理评审输出
管理评审的输出应包括与下列事项相关的决定和措施：
a）改进的机会；
b）质量管理体系所需的变更；
c）资源需求；
d）风险识别。
组织应保留成文信息，作为管理评审结果的证据。
10  改进
10.1  总则
组织应确定和选择改进机会，并采取必要措施，以满足顾客要求和增强顾客满意。
这应包括：
a）改进产品和服务，以满足要求并应对未来的需求和期望；
b）纠正、预防或减少不利影响；
c）改进质量管理体系的绩效和有效性。
注：改进的例子可包括纠正、纠正措施、持续改进、突破性变革、创新和重组。
10.2  不合格和纠正措施
10.2.1  当出现不合格时，包括来自投诉的不合格，组织应：
a）对不合格做出应对，并在适用时：
1）采取措施以控制和纠正不合格；
2）处置后果。
b）通过下列活动，评价是否需要采取措施，以消除产生不合格的原因，避免其再次发生或者在其他场合发生：
1）评审和分析不合格；
2）确定不合格的原因,必要时，包括人为因素；
3）确定是否存在或可能发生类似的不合格。
c）实施所需的措施；
d）评审所采取的纠正措施的有效性；
e）需要时，更新策划期间确定的风险和机遇；
f）需要时，变更质量管理体系。
g）当确定是外部供方对不符合负责时，向外部供方传递纠正措施的要求；
h）当不能及时和有效地采取纠正措施时,需采取特定措施。
纠正措施应与不合格所产生的影响相适应。
组织应维持规定管理不合格和纠正措施过程的成文信息。
10.2.2  组织应保留成文信息，作为下列事项的证据：
a）不合格的性质以及随后所采取的措施；
b）纠正措施的结果。
10.3  持续改进
组织应持续改进质量管理体系的适宜性、充分性和有效性。
组织应考虑分析和评价的结果以及管理评审的输出，以确定是否存在需求或机遇，这些需求或机遇应作为持续改进的一部分加以应对。
组织应监视改进活动的实施情况，并评价实施结果的效用。
注：持续改进机会来自经验教训、问题的解决和最佳实践的标杆管理。