前言

International Railway Industry Standard（國際鐵路行業標準，簡稱 IRIS）係由歐洲鐵路行業協會（UNIFE）發起，基於 ISO 9001 和軌道業特殊要求的國際標準，針對軌道業特點，提供一套全球通用的軌道業品質管理系統，目的在提高軌道業的產品品質及整個供應鏈產品的可靠度、安全度，及降低企業營運成本。IRIS 管理中心（IMC）於 2020／5／1 發佈最新的認證規則（IRIS Certification Conformity assessment：2020），其內容包含對各品質績效等級的規範要求。

在針對協助顧客跟提升顧客感受的部分，IRQB（International Rail Quality Board）的主席斯蒂芬.西格勒（Stefan Siegler）提出了一個重要概念：將品質績效分為銅、銀、金三個等級。當組織能通過 IRIS 的認證時即達到「銅級」水準；若想取得更高一級的「銀級」認可，須證明組織自身已擁有高品質的企業管理系統，且證明有能力達到更進一步的品質水準；在最新的認證規則中，也已發佈了最高的品質績效等級 - 「金級」的要求，鼓勵所有相關企業能朝著最高的品質水準邁進。

在「銀級」品質績效準則中，過程績效（Process performance）的得分來自對於以下五大強制性過程的績效評估：「專案管理」、「產品和服務的要求」、「外部供應的過程、產品與服務」、「產品和服務的設計與開發」、「生產和服務的提供」。組織必須針對這五大強制性過程繪製相應的烏龜圖。烏龜圖是一種可視覺化顯示流程特徵和其他高階訊息的工具，可幫助有效執行和改進關鍵業務流程，且受稽組織要在正式稽核前將適用之強制性過程的烏龜圖提供給主導稽核員做為績效評估和顧客感受的輸入。本文將著重於烏龜圖的說明與運用，以及五大過程的過程績效，以使讀者掌握成為銀級組織的關鍵。

烏龜圖各項組成說明

烏龜圖須明確地顯示以下相關且關鍵的專案，如圖一所示，以下逐一按編號順序說明：

１）過程的資源和設施：此處更多是指「物」的資源，比如說以下最相關的資源，如：建築物和相關設施、設備，包括軟硬件、運輸資源、訊息和溝通的技術等。

2）過程負責人：過程的負責人通常是企業授權的負責人，企業在建立管理系統時需先識別組織自身有哪些過程，而這些過程的負責人通常是經由企業高層領導授權所出任。

3）人力資源：過程中所涉及的最相關參與者和角色，通常需要關注的是 RACI （Responsible、Accountable、Consulted、Informed）的概念，意即「誰是過程的負責人、核准人、報告對象、可諮詢對象」，這些過程的相關方要在此項中註明。

4）最相關的輸入：

◆ 內部要求：內部要求有可能是企業自身的一些要求、規範；或公司前一個過程或其它過程的結果（輸出），意即不同過程彼此之間互有關連，前一個過程的輸出是這個過程的輸入。

◆ 外部要求：比如說來自組織的客戶、供應方、主管機關、標準、法律法規的要求…等，都有可能是外部要求。

◆ 原材料：組織對原材料的要求也有可能影響到輸入。

5）過程名稱：「過程」這個部分的內容是要寫明

1. 過程的名稱是什麼；

2. 過程包含甚麼步驟。

受稽組織常有的盲點是：組織在描述過程的步驟時沒有去關注過程文件對過程的描述，常常造成烏龜圖跟文件之間的關聯性不佳。

6）最相關的輸出：「過程的輸出」指的是組織期望且最相符的輸出，比如該過程提供了甚麼產品或服務、輸出了什麼應歸檔保存的文件資料等，皆屬於過程輸出。

7）工作內容／過程運作：此項指的是要把組織在實施的過程中所依循的文件規範羅列出來，如：程序、指導書、方法等。

8）主要的風險與機會：組織應識別該過程在策劃、實施、監控、改進中的主要風險和機會。

9）績效指標：通常此處指的績效指標會是和顧客、產品品質相關的 KPI，也就是說組織在設定過程成指標 KPI 時，要考慮到該過程的顧客有什麼樣的目標期望、希望達到什麼樣的結果。

10）內／外部過程的供應方：當組織在識別內外部供應方的時候，應和輸入相互關聯，意即前文所提的「（4）最相關的輸入」中，來自於前一個過程的結果（輸出）、內外部的要求，而這些內外部的要求都來自於相關的人員、機構或部門，皆應描述出來以免遺漏。

11）內／外部過程的顧客：此項也要和「最相關的輸入」相關聯， 將來該項過程的輸出要交付予誰，交給無論是組織、部門或另一個過程，皆應交代於此。

強制性過程的績效評價關注點

接著探討強制性過程的績效評價有哪些方面需要執行。首先，以過程績效為關注點，也就是在審核過程中，基于評價表收集過程在組織内建立和实施的證據，評價過程的适用性，並針對過程所設定的 KPI，獲取 KPI 的定義信息和實測數據，評價過程的有效性；另外，過程績效在每次稽核（包含初正評、續評、複評）中都會進行過程績效評價；依據認證的活動，「設計開發」和「生產服務提供」這兩個過程可以被識別為不適用。過程績效評價在審核每個階段實施要求如下：

◆ 稽核準備：

1）組織應提供 5 個過程的烏龜圖；

2）顧客感受資訊：利害關係者分析、顧客反饋、顧客相關 KPIs。

◆ 首次會議：

1）檢查在稽核時，顧客感受的情況；

2）與各個的過程負責人，回顧上次稽核所評價過程的績效結果。

◆ 稽核過程中：評價每個過程的有效性。

1）過程應用情況－過程步驟實現的程度；

2）過程績效－過程績效達到的程度。

◆ 末次會議：

1）稽核員將過程績效評價最終結果報告給組織並與組織進行溝通；

2）末次會議結束，評價結果不再修改。

評價過程有效性的方法 — 績效評估表

過程績效評價的方法主要是基於圖二的九宮格，以兩個緯度：過程實現、過程績效，來進行評價。以下分別就九宮格裡各區塊進行說明：

◆ A：過程有按照 ISO／TS 22163 的要求文件化、建立、實施和維護，過程 KPI 滿足顧客的期望，沒有不符合事項。

◆ B - 1：過程有按照 ISO／TS 22163 的要求文件化、建立、實施和維護，過程 KPI 並未滿足顧客的期望，但有採取適當的措施。

◆ B - 2：過程有按照 ISO／TS 22163 的要求文件化、建立、部分實施和維護，過程 KPI 滿足顧客的期望。

◆ C：過程有按照 ISO／TS 22163 的要求文件化、建立、部分實施和維護，過程 KPI 並未滿足顧客的期望，但有採取適當的措施。

◆ D - 1：過程有按照 ISO／TS 22163 的要求文件化、建立、實施和維護，過程 KPI 並未滿足顧客的期望，也沒有採取適當的措施。

◆ D - 2：過程有按照 ISO／TS 22163 的要求文件化、建立、部分實施和維護，過程 KPI 並未滿足顧客的期望，也沒有採取適當的措施。

◆ D - 3：過程沒有按照 ISO／TS 22163 的要求文件化、建立、實施和維護，過程 KPI 沒有滿足顧客的期望，但有採取適當的措施。

◆ D - 4：過程沒有按照 ISO／TS 22163 的要求文件化、建立、部分實施和維護，過程 KPI 未滿足顧客的期望，但有採取適當的措施。

◆ E：過程沒有按照 ISO／TS 22163 的要求文件化、建立、實施和維護，過程 KPI 沒有滿足顧客的期望，也沒有採取適當的措施。

◆ 接下來是有關評價過程有效性的分數判定，落在 A 區為 20 分、B 區為 15 分、C 區為 10 分、D 區為 5 分、E 區為 0 分。

接下來針對五個強制性過程與其烏龜圖的應用，逐項說明。

一、專案管理的過程績效評價

圖三為專案管理之過程績效評價的烏龜圖範例（僅供參考，並非標準模板）。專案管理主要的條文是落在 IRIS 標準的 8.1.3，總共有 9 個子條款，加上主條款一共是 10 個，說明如下：

8.1.3 : 專案管理

◆ 組織應建立、實施和維持一個文件化過程以管理專案。

◆ 該過程應包括：

a）要求管理（見 8.2）；

b）管控的類型和程度（見 6.1.3）；

c）專案階段和活動（如策劃、執行、監控、管控和結案）；

d）通過門檻方法來管理的里程碑和每個階段的交付物；

e）在階段審查中通過門檻準則來做出決定允收、條件式允收或拒收，以授權進入下一階段；

f）8.1.3.1 至 8.1.3.9 所規範的要求；

g）開放式議題的記錄和管控，並將適當資源正確配置於適當位置以便結束。

◆ 組織應管理其專案文件化資訊，包括：

h）專案資訊的審查、貯存（如：標準化歸檔結構）、管控和維護；

i）依據 7.5 所規範的要求，保留文件化資訊（如計畫、排程、審查輸出、報告等）；

◆ 階段審查應：

j）執行於：

1）指定之工作分解結構層級開始時；

2）專案層級時考量交付物的審查；

k）階段評審之開放式議題被處理完成前，不得通過，除非由最高管理者批准其豁免。

◆ 組織應定義階段審查的強制和非強制參加人員。

8.1.3.1：專案整合管理（綜合管理）

◆ 組織應建立和實施一個專案管理計畫， 該計畫應包括或引用：

a）一個專案組織架構圖；

b）專案目標、框架條件、分配的資源、排除內容；

c）指定項目組成員的責任和職權；

d）指定專案執行中宜遵守的規則；

e）來自有關職能、場所和聯合合作夥伴的一致計畫，使專案管理計畫協調一致；

f）各階段交付物（如為顧客的合約交付物或為產品認可的預期設計輸出的成文資訊）包括：

1）在必要時，識別由顧客（如顧客產品認可點）或監管的授權機構批准的交付物、

2）外部供應者交付物（如文件、材料、服務）；

g）變更的管控（如範疇、時間、成本）見 8.1.5。

◆ 當一個專案涉及多現場或合作方時，專案管理計畫應附加包括或引用：

a）工作分工和運作介面；

b）指定責任和職權；

c）溝通管道（專案內部和與顧客或相關方）；

d）適用過程和其他有關過程的文件化資訊。

8.1.3.2：專案範疇管理

◆ 有關範疇管理，該過程應包含：

a）鑑別專案需求（例：時間、商業、技術方面）見 8.2；

b）工作範疇的定義；

c）細分工作包（如：工作分解結構 WBS）；

d）分配工作包到工作所有者；

e）驗證工作包。

8.1.3.3：專案時間管理

◆ 有關時間管理，該過程應包含：

a）活動與安排活動次序的定義；

b）估算活動資源與活動持續時間；

c）排程考慮：

1）過往經驗

2）長交貨時間項目，其與外部供應者聯合管理。

◆ 此專案應：

a）包含持續時間、開始、結束和工作包（包括外部供應者）相互依賴關係；

b）包含關鍵路徑；

c）對主生產計劃表提供輸入（見 8.5.7）。

◆ 專案組織宜使用應用軟體以進行排程與活動追蹤。專案組織不得更動顧客交貨排程，除非顧客授權。

8.1.3.4：專案成本管理

◆ 有關成本管理，該過程應包含：

a）基於投標計算的預算定義；

b）在成本帳戶結構內，分配預算到各自工作包；

c）成本定期管控，包括完成時實際和估算成本。

◆ 專案組織宜使用標準化應用軟體以追蹤成本。專案組織不得增加專案預算，除非由組織定義授權之。

8.1.3.5：專案品質管理

◆ 關於品質管理，該過程應包含品質保證和管控活動的規劃和實施。

◆ 專案應建立和實施其專案品質管理計畫。

8.1.3.6：專案的人力資源管理

◆ 關於人力資源管理，該專案管理過程應包含：

a）定義和描述專案角色（如專案經理、專案採購員、專案品質經理）與對應直線職能的職責、報告關係及授權（如財務批准權、利潤和損失責任等）；

b）獲取專案小組；

c）依據在 7.1.2、7.2 和 7.3 定義的人員，能力及認知的要求來管理專案團隊；

◆ 專案組織應建立、實施和維持人力資源計畫。該計畫應包含：

a）指派核心團隊成員；

b）人員配置（如組織架構圖）。

◆ 關於下列事項，組織應對專案經理和專案的核心成員定義必要的能力與相應的能力層級：

a）專案管理；

b）在使用中的專案管理應用軟體；

c）團隊工作和溝通；

d）專案品質管理；

e）風險和機會管理；

f）所交付產品和服務。

8.1.3.7：專案溝通管理

◆ 關於溝通管理，該專案組織應：

a）應用在 7.4 和 8.2.1 中定義的要求；

b）建立、實施和維持專案溝通管理計畫；

c）核心團隊成員實施定期專案審查以監測專案進程（見 8.1.3.10）。如果有偏離專案目標，專案組織必須識別並實施適當的對策以避免對任何顧客或組織的衝擊。

◆ 專案審查應包含：

a）專案績效（實際狀況對比規劃的狀況）基於 9.1.1 規定的 KPIs（如要求、時間、成本）；

b）預測（如時間、完成時的預估成本）；

c）實際風險和機會，包括相關措施的狀況；

d）追蹤先前審查的開放議題及措施。

8.1.3.8：專案風險與機會管理

◆ 有關風險和機會管理，專案組織應：

a）應用 6.1 定義的要求；

b）建立、實施和維持一份風險和機會登記冊包括風險和機會的財務分析；

c）保留風險和機會管理的文件化資訊。

8.1.3.9：專案採購管理

◆ 有關專案採購管理，應應用 8.4 定義的要求。雖然標準中特別列出一個子條款，但是並沒有提出特定的要求。

二、產品和服務要求的過程績效評價

圖四為產品和服務要求之過程績效評價的烏龜圖範例。（僅供參考，並非標準模板）

8.2：產品和服務的要求／8.2.1：客戶溝通

◆ 與顧客的溝通應包括：

a）提供產品與服務有關的資訊；

b）詢價、合約或訂單（包括變更）的處理；

c）取得顧客對於產品與服務的回饋意見，包括顧客抱怨；

d）處理或管控顧客財產；

e）如涉及時，建立緊急應變行動的具體要求。

8.2.1.1：顧客溝通 - 補充：預見到了延遲且不能避免時，組織應與顧客溝通。

8.2.2：與產品和服務有關要求的確定

◆ 在決定提供給顧客的產品與服務之各項要求時，組織應確保：

a）產品與服務的要求已被界定，包含：

1）任何適用的法令法規要求

2）組織認為需要的要求； 

b）能滿足對其提供的產品和服務已宣告之要求。

8.2.3：與產品和服務有關要求的評審

8.2.3.1 組織應確保其有能力滿足提供予顧客之產品與服務的要求，且應在承諾提供產品與服務給顧客前執行審查，包括：

a）顧客特定的要求，包括對交付及交付後活動的要求； 

b）非顧客陳述的要求，但對已知的特定或打算使用為需要的要求； 

c）組織特定之要求；

d）適用於產品與服務的法令法規要求； 

e）與先前表述不同之合約或訂單要求。

8.2.3.2 適當時，組織應保留以下文件化資訊：

a）審查之結果；

b）任何對產品與服務的新要求。

8.2.4：產品與服務要求的變更：

◆ 若產品與服務的要求產生變更時，組織應確保相關的文件化資訊已相對修改，並確保相關人員已得知變更的要求。

8.2.5：產品和服務的要求 - 補充

◆ 組織應建立、實施和維持一個文件化過程以管理產品與服務要求。

◆ 該過程應：

a）考慮 8.2 定義的要求；

b）應用於：

1）在投標之前滿足市場預期的新產品與服務的設計開發（如平臺、產品系列）

2）投標管理（提交標書、接受合約或訂單）

3）專案執行（如接受合約或訂單變更）

4）變更控制（見 8.1.5）。

c）執行多元方法，於適用時包括內部和外部利害關係人；

d）至少包括這些步驟：

1）確定（見 8.2.2.1）

2）審核（見 8.2.3）

3）驗證

4）確認；

e）確保要求已被：

1）分別逐項檢查其符合性

2）評估和納入考量

3）評量相關的風險和機會

4）相關人員適當的傳達、理解、認知、逐級交付和承諾

5）確認為完整、明確、可驗證和可行

6）（針對技術要求）文件化於功能及性能規格書中

7）（有變更時）進行更新。

三、設計開發的過程績效評價

圖五為設計開發之過程績效評價的烏龜圖範例。（僅供參考，並非標準模板）

8.3.1：總則

◆ 組織應建立、實施並維持適當的設計和開發的過程，以確保後續產品與服務的提供。

◆ 在 8.3 定義的要求應應用於設計開發或新技術的引進（如複合材料製品、鐳射焊接）。

◆ 組織為新技術的實施應執行過程 FMEA。設計和開發過程應：

a）考慮 8.3.2／8.3.3／8.3.4／8.3.5／8.3.6 有關規劃、輸入、管控、輸出和變更的要求；

b）文件化；

c）針對結合 IEC 62278 或等同標準的安全相關產品，提供一個依照 IEC 62425（或等同標準）的安全事例；

◆ 組織應定義下列有關設計開發人員必要的能力和能力相應層級：

a）要求管理；

b）型態管理；

c）品質保證方法。

8.3.2：設計和開發的策劃

◆ 在決定設計和開發的階段劃分和管控時，組織應考量：

a）此設計和開發活動的本質、時程和複雜度；

b）所要求之過程階段，包括適用的設計和開發審查； 

c）所要求之設計和開發活動的驗證與確認活動； 

d）設計和開發過程中參與人員的職責和權限； 

e）產品與服務之設計與開發所需的內部與外部資源； 

f）設計和開發過程中參與人員之間介面的管控需要； 

g）讓顧客和使用者在設計和開發過程中參與的需要； 

h）後續產品與服務供應的要求；

i）顧客及其他相關利害關係者對此設計和開發過程的期望的管控程度；

j）證實設計和開發之要求均已達成所需的文件化資訊。

◆ 在確定設計和開發的階段和管控時，組織應考慮：

a）每個過程階段的目標；

b）產品架構（如產品分解結構）；

c）型態管控，見 8.1.4；

d）在指定的產品架構層級上進行設計審查、驗證和確認（如從零部件設計審查、接著子系統設計審查、至系統設計審查）；

e）針對特殊過程的設計審查、驗證和確認；

◆ 設計和開發的階段和管控應文件化（如定義在一個品質保證計畫）。

8.3.3：設計和開發輸入

◆ 組織應決定對特定類型產品與服務所需的設計和開發，且應考慮：

a）功能和性能上的要求；

b）由過去類似設計和開發活動中所獲得的資訊；

c）法令法規要求；

d）組織承諾採用的標準或規範；

e）因產品與服務本質特性而導致其失效時會產生的潛在後果；

◆ 關於設計和開發輸入，組織應考慮 8.2.2.1 定義的要求。

◆ 輸入應適切於設計和開發之目的，完整且清楚。

◆ 而相互衝突的輸入條件應予以解決。

◆ 組織應保留設計和開發輸入的文件化資訊。

8.3.4：設計和開發的控制

◆ 組織應對設計和開發過程進行管控以確保：

a）所預期達到的成果已被定義；

b）執行審查活動以評估設計和開發結果符合要求的能力；

c）執行驗證活動以確保設計和開發的輸出滿足其輸入的要求；

d）執行確認活動以確保產品與服務皆符合特定應用或預期用途；

e）對在執行審查、查驗和確認活動中所產生之問題採取必要行動；

f） 相關活動文件化資訊的保留；

◆ 關於設計審查，組織應定義：

a）授權進入下一階段的準則（如檢查表、驗收規則）；

b）強制的和非強制的參與者；

◆ 參加設計審查的職能代表必須具有定義的能力層級和各自決策的權限。

◆ 組織應保留有關設計審查的文件化資訊。

◆ 組織宜使用多元方法來執行設計審查。

◆ 組織應確保性能要求被驗證。

◆ 組織應保留有關設計驗證的文件化資訊。

◆ 有關設計確認，組織應：

a）確保功能性、非功能性及整合性需求被確認；

b）執行於交付前、試運轉結束前或是與顧客協定管控計畫而在監督完成前的設計確認。

◆ 當確認有測試需要時，組織應規劃、管控和審查該測試。

◆ 組織應確保測試計畫、規範或程序定義： 

1）測試目標

2）測試條件和可再測試環境

3）被測試產品

4）所需資源

5）驗收準則

6）被記錄之參數

7）操作方法

8）測試的性能

9）呈交產品的正確型態以供測試並紀錄作為型態基準

10）符合驗收準則。

◆ 組織應保留測試結果的文件化資訊。

8.3.5：設計和開發輸出

◆ 對於設計和開發的輸出，組織應確保：

a）符合輸入的要求條件；

b）對產品與服務供應的後續過程是適當的；

c）適用時，也包括或參照監控和量測要求及允收準則；

d）具體說明產品和服務的特徵，其對於產品和服務的預期目的及其安全的和適當的供應至關重要。

◆ 組織應確保設計和開發輸出：

a）放行前被驗證和批准；

b）依據生產過程輸入要求的方式驗證；

c）包括文件化（如操作、維修手冊）及與應用相關的培訓；

◆ 組織應保留有關設計和開發輸出的文件化資訊。

8.3.6：設計和開發變更

◆ 組織應在必需程度上識別、審查、並管控在設計和開發產品與服務的過程或後續發展中的變更，並確保該變更對要求符合性無任何負面衝擊。

◆ 組織應保留以下文件化資訊：

a）設計與開發變更；

b）審查結果；

c）變更的權責歸屬；

d）預防負面衝擊所採取的行動。

四、外部提供過程、產品和服務之控制的過程績效評價

外部提供的過程、產品和服務（External Provided Processes, Products and Services, EPPPS）管理過程核心的條款是 8.4，基本上過程績效也和 8.4 相關要求有關。在此要探討的是 8.1.1 外包過程的轉移策畫，若外包過程的轉移策畫有問題或不符合的話，將會影響過程績效評價結果，因此這和 8.4 是互相關聯的。圖六提供一個 EPPPS 之過程績效評價的烏龜圖範例。（僅供參考，並非標準模板）

8.4.1：總則

◆ 組織應確保外部提供的過程、產品與服務符合要求。

◆ 組織針對以下情形應決定對於外部提供的過程、產品與服務的管控方式：

a）外部供應者的產品與服務旨在納入組織自己的產品與服務時；

b）外部供應者以組織的名義直接提供產品與服務給顧客時；

c）組織決定某個過程或部份過程由外部供應者提供時。

◆ 組織應決定並應用準則於外部供應者供應過程、產品與服務的能力是否符合要求的評估、選擇、績效監控與重新評估。組織應保留以上活動以及任何由評估中所產生的必需措施之文件化資訊。

◆ 組織應確定 8.4 要求應用到內部和外部供應者的類型和程度，以及依據指定準則的風險評估。

◆ 組織應針對 8.4.1 描述的外部供應之過程、產品和服務（EPPPS）建立、實施和保持一個文件化過程， 以確保符合要求。

◆ 該過程應包括下列定義的要求：

a）外部供應者和 EPPPS 的分類（見 8.4.1.1.1）；

b）外部供應者的評估（見 8.4.1.1.2）；

c）外部供應者的認可（見 8.4.1.1.3）；

d）外部供應者報價的選擇（見 8.4.1.1.4）；

e）外部供應者的資訊（見 8.4.3）；

f）放行批准 EPPPS（見 8.4.2.1）；

g）放行後的 EPPPS 驗證（見 8.4.2.2）；

h）外部供應者的績效監視，重新評估和排名（見 8.4.2.3）。

◆ 此外，組織應：

a）在整個供應鏈管理 EPPPS 風險；

b）識別要傳達給外部供應者的風險，並要求其提供回饋意見；

c）保留管控外部供應者方面的文件化資訊。

◆ 外部供應者和 EPPPS 的分類應按已定義的準則執行，以確定對外部供應者和 EPPPS 的管控類型和程度（見 6.1.3）。作為輸出之一，關鍵外部供應者應被識別。

◆ 組織應保留有關文件化資訊。

◆ 分類準則應包括外部供應者依據要求提供 EPPPS 的能力。

◆ 組織應定期審查外部供應者的分類。

◆ 外部供應者的評估應包括：

a）外部供應者的人員、設施和過程；

b）外部供應者品質資格的可用性（如證書：ISO 9001 或本標準）；

◆ 組織應建立、實施、維持和監控策略以實現以下目標：

a）外部供應者符合本標準；

b）外部供應者符合  ISO 9001 或其他類似的品質管理系統；

◆ 識別目標外部供應者，應考量其產品範圍、相關策略、年度消耗量、產品關鍵程度、設計活動、在鐵道行業的營業額以及交付和品質績效。

◆ 組織應保留相關文件化資訊。

◆ 組織應：

a）建立準則用以認可外部供應者；

b）確保有批准權限的職能也有拒絕已批准外部供應者的權限；

c）保持一份被認可外部供應者的名冊，包括對其認可範圍的定義。

◆ 組織應保留相關文件化資訊。

◆ EPPPS 應全部由被認可的外部供應者來提供。

◆ 組織應確保經過協商前完善的文件分析後才能選定外部供應者的報價。其分析應考慮：

a）對要求的符合程度，如逐條比對；

b）總成本包括 LCC；

c）外部供應者以前 EPPPS 的品質、成本和交付績效，包括因其導致的 QDC；

d）該外部供應者與報價對有關的分類。

◆ 組織應保留相關文件化資訊。

◆ 在採購訂單發出之前，組織宜確保外部供應者對功能和非功能要求有充分理解，如藉由一個聯合合約審查。

8.4.2：管控方式及程度

◆ 組織應確保外部供應的過程、產品與服務不會對組織提供符合要求的產品與服務給顧客之能力造成不良影響。

◆ 組織應：

a）確保外部提供的過程持續由其品質管理系統管控；

b）定義針對外部供應者及其結果輸出的管控方式；

c）考量：

1）由外部提供的過程、產品與服務對於組織能否持續符合顧客和適用之法令法規要求的潛在衝擊、

2）對外部供應者所實施管控的有效性。

d）決定必需的驗證或其他措施以確保外部供應者所提供之過程、產品與服務符合要求。

◆ 新的或修訂的 EPPPS 放行的批准應包括：

a）確定批准方法；

b）規劃驗證、確認和批准活動；

c）在外部供應者現場執行 FAI（見 8.9），或適當進／出檢驗；

d）在客戶合約中首次使用前的外部提供的產品或技術（如新的設計軟體）的確認，除非其適合於顧客；

e）放行的批准（如開始連續生產）；

f）考慮變更管理之基準的定義或更新；（見 8.1.5）。

◆ 組織應保留相關文件化資訊。

◆ 在驗證符合規定要求前，EPPPS 不得使用或處理，除非在授權特許下放行。放行後 EPPPS 的驗證活動必須包括：

a）活動規劃（如在一個檢查及測試試驗計畫中，包括確定範圍、頻次、樣本量和控制方法－見 6.1.3）；

b）為驗證活動提供指導、檢查表或模版；

c）獲得 EPPPS 符合性要求的證據（如對外部供應的過程、產品及服務符合性之客觀證據）的審查（如：隨附的文件、符合性證書、測試文件、統計文件、過程管控文件）；

d）EPPPS 的放行；

e）驗證活動的文件化；

f）不符合 EPPPS 的管理。

◆ 組織應保留相關文件化資訊。

◆ 當組織利用測試報告來驗證 EPPPS 時，報告中的數據應與報告中源自於採購資訊（如規範、標準等）所陳述的允收準則一致。

◆ 組織應依據風險評估來建立、實施和保持一個定期的原材料驗證計畫。

◆ 如果驗證活動委派給外部供應者時，組織應定義委派要求和所需控制，例如在外部供應者現場的定期稽核。

◆ 驗證活動委派給外部供應者，應有外部供應者已接受此類協議的證據。

◆ 應建立和保持一個外部供應者委派登記冊。

◆ 後續變更之後的任何委派宜被審查。

◆ 8.6 規定的檢查和測試要求，必須應用於 EPPPS 驗證。

◆ 關鍵外部供應者的績效監控、重新評估和排名應考慮：

a）外部提供應者績效的定期審查（見 9.1.1.1 有關 KPIs）；

b）外部供應者之稽核準則的定義；

c）以相關審查結果作為建立所實施之管控層級的基礎；

d）當外部供應者沒有滿足技術和/或績效目標時執行所規劃的措施；

e）對外部供應者反饋其績效；

f）定期聯合績效審查。

◆ 此外，組織應：

a）識別要開發的外部供應者；

b）基於已同意的目標，實施改進他們能力的措施。

◆ 組織應保留相關文件化資訊。

8.4.3：給外部供應者的資訊

◆ 組織應於與外部供應者進行溝通前，確保要求的適切性。

◆ 組織應與外部供應者溝通下列的要求：

a）要提供的過程、產品與服務；

b）於下列項目的核可：

1）產品與服務、

2）方法、過程與設備；

3）產品與服務的放行；

c）人員能力，包括任何必要的人員資格；

d）外部供應者與組織的互動；

e）對外部供應者被組織應用的績效的管控與監控；

f）組織或顧客旨在外部供應者處所執行的驗證或確認活動。

◆ 關於提供給外部供應者資訊，在 8.4.1.1 規定的過程應考慮：

a）顧客的要求有被逐級下達到整個供應鏈；

b）發生變更時的可追溯性要求（見 8.2）；

c）根據需要由組織或其顧客對特殊過程的批准；

◆ 除了 8.4.3 的要求，組織必須向外部供應者傳達他對下列的要求：

d）針對規範、圖檔、過程要求的識別及適用的修訂，包括針對特殊過程、檢驗說明、來自組織品質計畫和其他有關技術資料的適當細節；

e）有關 EPPPS 的交付物（如 EPPPS 檔案）和相關排程；

f）變更和不符合輸出的管理；

g）EPPPS 的交付排程；

h）關於產品關鍵性資訊（如安全關鍵）；

i）組織、其顧客或其他相關方（如法定機構）接觸涉及訂單的設施、適用文件化資訊的權力。

8.4.4：供應鏈管理

◆ 組織應：

a）要求外部供應者確認採購訂單的接收直到確認接收到為止，並保留其確認的文件化資訊；

b）發給外部供應者的文件化變更請求（見 8.4.3.1）；

◆ 組織應與其外部供應者溝通更新的交付排程和預測，以對外部供應者的資源規劃提供輸入。這應包括從組織向外部供應者交付部件的延遲。

◆ 針對已預見的延遲供貨，組織宜與其外部供應者約定一個早期預警的政策，否則，組織宜定期檢查交付排程。這個早期預警政策也應包括老化議題。

◆ 與顧客、外部供應者和內部職能（如設計、生產）所交換的供應鏈資訊（如交付日期、數量），應用一個應用軟體來管理和保持最新（如企業資源規劃 ERP）。

五、生產與服務提供之控制的過程績效評價

圖七為生產與服務提供之過程績效評價的烏龜圖範例。（僅供參考，並非標準模板）

8.5：生產和服務的提供／8.5.1：生產和服務提供的控制

◆ 組織應在管控條件下執行生產和服務供應。適用時，管控條件應包括：

a）文件化資訊的可用性，其定義：

1）所生產之產品特性、提供之服務特性或執行的活動特性、

2）預期達到之成果。

b）合適的監控和量測資源之可獲取與使用；

c）在適當階段實施監控及量測活動，以確認過程及輸出的管控準則確實達到產品與服務允收之準則；

d）使用適合於過程作業的基礎建設和環境；

e）勝任人員的指派，包括任何必要的資格；

f）後續監控與量測活動無法對產出結果加以驗證時，針對生產與服務供應過程達成預期結果之能力進行確認活動與定期重新確認；

g）實施預防人為疏失之措施；

h）實施放行、交付和交付後的活動。

◆ 組織應為生產和服務供應建立、實施和保持一個文件化過程。該過程應：

a）包括針對下列的要求：

1）生產排程安排（見 8.5.7）、

2）確保管控條件的活動（見 8.5.1.1.1）、

3）生產和服務提供過程的驗證（見 8.5.1.1.2）、

4）生產和服務提供過程的確認（見 8.5.1.1.3）、

5）管控生產設備的活動（見 8.5.1.3）、

6）確保識別和可追溯性的活動（見 8.5.2）、

7）對顧客和外部供應者財產的管理（見 8.5.3）、

8）防護（見 8.5.4）；

b）引用：

1）FAI（見 8.9）、

2）型態管理（見 8.1.4）、

3）變更管理（見 8.1.5）、

4）產品和服務的放行（見 8.6）、

5）不符合輸出的管控（見 8.7）、

6）特殊過程（8.5.1.2）。

◆ 管控的條件應包括：

a）生產和服務供應活動的批准資料。這些資料必須包含：

1）圖檔、BOM、生產過程流程圖、檢驗和測試計畫、生產文件（如工作指導、生產進度、跟單、工作指令、過程卡）

2）工具和所需的數位控制機器程式清單，和所有與其使用相關的特定指導；

b）對所有班次的生產和服務供應的監控（如零件數量、分批訂單、不符合輸出）；

c）所有生產和服務的供應，包括檢驗，已經被授權和按規劃完成的證據；

d）預防以往問題再次發生的措施；

e）評估已遲滯的工作所造成的風險衝擊，以確保在沒有影響品質和安全的情形下管控要執行的工作。

◆ 該驗證應包括：

a）驗證生產過程的投入對照於設計開發輸出的完整性；

b）驗證生產設備符合設計開發要求的能力（如有關生產設備允許偏差或精度等級）；

c）在過程的早期階段採用適切風險評估的方法（如 PFMEA）。

◆ 該過程的確認應確保：

a）設計開發要求得到滿足；

b）管控的條件被達成；

c）FAI 已完成；

d）移交前完成確認；

e）重新確認，其作為變更實施的一部分已完成。

◆ 該過程的確認應包括向設計和開發定期回饋，以支援生產文件的持續改進。

◆ 組織應建立、實施和保持一個文件化過程以管理特殊過程，包括：

a）識別組織正在規劃要使用的特殊過程；

b）針對每個特殊過程，下列的定義：

1）職責和權限、

2）適用標準、

3）適切風險評估的方法（如 PFMEA）、

4）工作指導，至少在沒有適用標準時，包括：管理／人員／設備／方法／材料／自然狀態（環境條件）、

5）人員能力和資格、

6）管控方法和有關文件化資訊、

7）特殊過程的合格條件、

8）每個特定申請的確認、

9）變更後的再確認；

c）依據前述要求保留文件化資訊。

◆ 關於生產設備，組織應：

a）規劃和實施預防性維護活動，以確保生產設備是：

1）依據已定義方法和接受準則來驗證、

2）首次使用之前被批准、

3）以唯一編號登記、

4）劣化的防護，包括倉儲和適當的保存，當設備不使用時、

5）在規劃的間隔時間檢查其狀態（如視覺檢查劣化情形）、

6）按規劃的間隔時間再驗證，視風險和失效率而定；

b）依據失效的發生調整規劃的間隔和活動；

c）定期審查生產設備，著眼未來（7.1.1 的輸入）；

d）確保長交期備品備件和易耗品可獲得性；

e）保留維護活動的文件化資訊。

8.5.2：識別和追溯

◆ 當有需要確保產品與服務符合性時，組織應使用合適的方法識別過程輸出。組織應在產品與服務提供的過程中，針對監控及量測要求識別過程輸出的狀態。在有追溯性要求的情況下，組織應管控過程輸出的唯一識別，並保留可達成追溯所需的文件化資訊。

◆ 在合約、法律和法規標準或型態管理（見 8.1.4）對可追溯有要求時，項目應從其來源至少可以追溯至保固期結束（見 8.1.4）。

◆ 組織應定義識別項目的方法（如設備可讀的代碼、印記或標籤）。

◆ 組織宜使用設備可讀的標識。

8.5.3：顧客或外部供應者財產

◆ 組織對於管制下或使用中的顧客或外部供應者的財產，應妥善管理。

◆ 組織對顧客或外部供應者提供的財產其被使用或構成產品與服務一部份，應識別、驗證、保護和保全。

◆ 若發現顧客或外部供應者的財產遺失、損壞、或因其他原因不堪使用時，組織應向顧客或外部供應者報告此情況，並對所發生情事保留文件化資訊。

◆ 組織宜記錄顧客或外部供應者財產的可追溯性直至交付或返回。如財產發生丟失、損壞或發現不適用時，組織宜執行原因分析和採取必要措施。

8.5.4：防護

◆ 組織應在生產和服務提供期間，對輸出進行防護，其達到確保符合要求的程度。

◆ 依據產品規範和適用法規，組織應有文件化的防護規範，其在移交前都必須關注以下事項：

a）有關識別的標記和標籤；

b）敏感產品的特殊處理；

c）有關污染管控和儲存的清潔；

d）保存期管控和存貨周轉（如先進先出）；

e）環境條件（如溫度、濕度）。

◆ 對產品符合性有衝擊的防護條件應被識別、分析並納入以上文件化規範的輸入考量。

◆ 這些文件化規範應應用在組織場所內被管理的實體項目（如來自外部供應者的物料、顧客財產、組織的在製品和已製造產品）。

8.5.5：交付後的活動

◆ 組織應滿足與產品與服務相關的交付後活動之要求。

◆ 在決定被要求的交付後活動的範圍時，組織應考量：

a）法令法規要求；

b）和產品與服務相關的潛在非預期的後果；

c）產品與服務的本質、用途和預期壽命；

d）顧客要求；

e）顧客回饋意見。

◆ 組織應為交付後活動建立、實施並維持一個文件化過程。此過程應包括：

a）條文 8.5.5 內所定義之要求；

b）技術文件的管控與更新（如：操作說明書、維護手冊、備用零部件清單）；

c）失效分析和矯正措施方法（如 FRACAS）（見條文 8.8）；

d）維修指南的核准、管控和使用；

e）備用零部件供應及顧客與組織商定之寄存貨量的管理；

f）從顧客抱怨所獲得的知識作為設計開發改善的輸入。

8.5.6：變更的管控

◆ 組織應審查和管控生產與服務供應的變更，其管控程度必須能確保持續符合要求。組織應保存描述變更審查結果、授權變更人員及審查後之必要行動的文件化資訊。

8.5.7：生產計劃

◆ 對於生產排程，組織應：

a）規劃短、中（主生產計畫）和長期（銷售和生產計畫）的生產（包括生產設備）排程，以滿足顧客的交付要求； 

b）使用生產排程的應用軟體進行支援（如 ERP）：

1）涵蓋所有生產階段、

2）掌握最新的生產狀況資訊、

3）依照顧客合約（變異性訂單）中的每一事件／變更來進行內容更新；

c）利用顧客和外部供應商的預測及訂單，並根據工作量及風險考量以例行性地規劃與調整組織資源（如：最後期限提出的額外訂單、外部供應商的失效等）。 

d）識別生產瓶頸。