與 DQS 攜手發展汽車行業合規:品質、軟體、與資安核可全面整合
自 IATF 16949 成為標準以來,DQS 便持續為全球 60 多個國家的汽車企業提供驗證服務 —— 從全球整車製造商(OEM)到專業零組件供應商。作為一家獲得全球認可的認證機構,DQS 涵蓋了您在價值鏈中所扮演角色至關重要的各項標準:IATF 16949、VDA 6 系列標準、TISAX®、ISO/SAE 21434及 ENX VCS,此外若您的產品適用,還包含車輛型號驗證合規性評估(德國的 KBA 及各地區的等效國家主管機關)。
IATF 核可
獲授權依據 IATF 標準頒發 IATF 16949 證書。
VDA 認證
由具備 VDA QMC 資格的稽核為您員執行 VDA 6.1/6.2/6.4 以及 6.3 和 6.5 驗證。
TISAX® 與 ENX VCS
針對這兩項汽車產業驗證方案,DQS 均為經 ENX 核可的驗證服務供應商。
全球服務範圍
稽核員遍佈 60 多個國家/地區 —— 涵蓋所有主要汽車產業區域。
DQS 作為值得信賴的夥伴
規模、驗證資格與產業深度 —— 有依據可循
數十年來,DQS 持續為汽車產業價值鏈上的各類組織提供稽核服務 —— 從全球原始設備製造商(OEM)到專業零組件供應商。以下數據具體展現了我們的規模。
全球 3,100 多名稽核員
具備 IATF 認可、VDA 資格、iNTACS 認證及 ENX 核可的專業人員。
65,000+ 個全球據點
涵蓋所有 DQS 標準 —— 包括完整的汽車產品組合。
60 多個國家
在每個主要汽車產業樞紐(德國、中東歐、亞洲、美洲)均設有當地稽核員辦事處。
40 多年管理系統驗證經驗
1985 年由 DGQ 與 DIN 共同創立 —— 德國首家管理系統驗證機構。
汽車合規的產業局面正在轉變 —— 這股新的趨勢與供應鏈合作有緊密關係
有三項重大變更在同時發生。車輛網路安全已成為《聯合國第155號法規》下的型式驗證門檻 —— 在適用範圍內,車輛型式認證必須具備經認證的網路安全管理系統,否則將無法獲得認證。 每輛車的軟體內容持續增長,促使安全關鍵軟體供應商在軟體能力成熟度方面的期望,從「可選項」轉變為「基本要求」。此外,TISAX® 已從「有則更好」的標準,演變為處理原廠(OEM)開發資料的合約先決條件。
無論您在價值鏈中扮演何種角色 —— OEM、一級供應商、二級供應商、軟體供應商、設備製造商、工程服務商或物流業者 —— 各項要求都會同時堆積而來。若將這些要求分開管理,便會導致稽核重疊、執行方式不一致,以及遭遇原可避免的延誤。
網路資訊安全現已成為法規門檻,而非單純的研發議題
在 UN R155 規範範圍內,於 UNECE 1958 締約國(包括歐盟、英國、日本、南韓及其他主要汽車市場)進行車輛型式驗證時,必須具備經驗證的 CSMS,否則將無法獲得驗證。 TISAX® 正逐漸被列為合約的先決條件 —— 這並非未來趨勢,而是當今的合規現實。
錯失型式驗證、原廠(OEM)提名受阻、未能如期完成
- 若無 ISO/SAE 21434 證書認可,車輛計畫將無法通過驗證。
- 若無 TISAX® 驗證,受保密協議(NDA)保護的專案將無法獲得授權。
- 若採每個標準獨立的稽核模式,您將為相同的證明文件支付雙重費用,並得忍受各稽核員之間執行風格與標準不一致的問題。
涵蓋整個汽車產業鏈的單一稽核計畫——協調一致、標準統一、隨時可接受稽核
- 單一驗證機構涵蓋 IATF 16949、VDA、TISAX®、ISO/SAE 21434、ENX VCS 及 KBA。
- 稽核週期同步、證據共享、跨標準與跨據點的執行風格一致。
- 與顧問服務相互獨立 —— 這種分離機制使證書在原廠(OEM)及監管機構眼中更具公信力。
汽車產業的典型要求
無論您是製造車輛、供應零件、開發軟體、經營工程服務,還是管理物流 —— 您的要求同時橫跨多個層面。
- 品質管理— IATF 16949 及 VDA 系列標準(6.1、6.2、6.4)
- 流程與產品稽核— VDA 6.3 及 VDA 6.5
- 資訊安全— TISAX® (VDA ISA)
- 車輛網路安全— ISO/SAE 21434 及 ENX VCS
- 車輛型式驗證— KBA(德國)、VCA(英國)、RDW(荷蘭)、NHTSA/EPA(美國)、MLIT(日本)及其等效機構
哪些標準適用於您的企業?
您在價值鏈中的角色將決定您的適用範圍
數十年來,DQS 持續為價值鏈各環節的汽車產業相關企業進行稽核 —— 從全球原廠製造商(OEM)到專業零組件供應商。以下數據具體呈現了行業規模
五個層級 — 深度解析完整的汽車產業架構。
深入探索各項標準 — 依其對原廠製造商(OEM)、監管機構及您自身客戶所提供的解決方案進行分類。涵蓋品質管理、製程與產品稽核、企業資訊安全、車輛網路安全,以及車輛型式驗證。
品質管理——橫跨汽車製造與服務領域的基準
這些標準為汽車組織奠定了品質管理基礎。根據您的角色不同 — 無論是車輛與零件的量產、汽車服務,還是生產設備製造——適用的 QMS 標準亦不盡相同。
適用於汽車生產及相關服務零件組織的全球品質管理系統標準,整合了 ISO 9001 以及針對汽車產業的特定要求,涵蓋 APQP、PPAP、FMEA、MSA、SPC、產品安全及客戶特定要求 (CSRs)。對大多數原始設備製造商(OEM)而言,此標準在直接供應鏈中屬強制性要求。僅由 IATF 認可的驗證機構依據 IATF 規則頒發。
德國汽車工業協會針對量產品質管理系統(QMS)制定的標準。 在德國供應鏈系統中,歷史上曾是 IATF 16949 的前身;當特定客戶要求或既有適用範圍仍具相關性時,該標準仍持續沿用。通常與 IATF 16949 並行實施,或作為符合 VDA 標準之供應鏈特定環節的補充規範。
專為汽車產業服務供應商量身打造的 VDA 品質管理系統標準 — 涵蓋物流、工程服務、測試實驗室、售後服務,以及直接量產以外的其他服務職能。為服務供應商提供具公信力且針對產業特性的品質管理系統驗證,而非通用的 ISO 9001 證書。
適用於汽車生產設備製造商的 VDA 品質管理系統(QMS)標準 — 涵蓋汽車原始設備製造商(OEM)及一級供應商所使用的模具、機台、夾具及生產線設備。該標準規範了設備製造商從設計到交付的完整流程,因其產出直接影響生產線的製造能力。
製程與產品稽核
並非驗證 — 而是依據既定標準進行的結構化稽核。廣泛用作 IATF 16949 的客戶特定補充規範,並作為供應商開發工具。
此為德國及更廣泛歐洲汽車供應鏈中通用的 VDA 製程稽核標準。 依據 VDA 6.3 標準,針對特定生產及支援流程進行評估。通常被納入原廠客戶的特定要求中,作為 IATF 16949 的補充;或用作供應商發展工具,以在 IATF 監督稽核之間發現流程能力問題。
VDA 產品稽核標準 — 針對成品是否符合規格及客戶要求所進行的結構化評估。通常與 VDA 6.3 併用,以將製程能力證據與產品層級的符合性證據結合起來。
企業資訊安全
組織層級的資訊安全 — 貴公司如何保護開發資料、原型資訊及生產系統。此標準在汽車產業中,對所有創建、交換或處理敏感技術及客戶資訊的組織均為強制性要求。
由 ENX 協會代表業界管理的「可信賴資訊安全評估交換」(Trusted Information Security Assessment Exchange)。評估依據 VDA 資訊安全評估(VDA ISA)準則目錄進行,該目錄與 ISO/IEC 27001 標準相符,並增列了汽車產業的特定要求。 評估結果將透過 ENX 平台與授權的貿易夥伴共享。適用於整個汽車產業中處理原型數據、客戶開發資訊或聯網車輛數據的組織。
車輛網路安全
這是針對聯網及軟體定義車輛本身所設計的較新合規層級 — 有別於企業資訊安全。直接依據《聯合國第 155 號法規》制定,並在聯合國歐洲經濟委員會(UNECE)1958 年公約締約國(歐盟、英國、日本、南韓及其他主要汽車市場)中實施國家層級的轉化法規。
ISO/SAE 21434:2021 — 道路車輛 — 網路安全工程。這是一項工程標準,定義了車輛整個生命週期(概念、開發、生產、營運、維護及報廢)的網路安全管理。在適用情況下,該標準被廣泛視為證明符合《聯合國第155號法規》(UN R155)的技術依據。適用於原始設備製造商(OEM)及其供應鏈——從涉及網路安全相關組件(車載通訊、ADAS、車載娛樂系統、閘道器、OTA、車載網路)的一級與二級供應商,直至型式認證持有人。
ENX 協會的全球車輛網路安全標準,由汽車產業共同制定並服務於汽車產業。 VCS 提供業界公認的車輛網路安全管理認證,符合 ISO/SAE 21434 及 UN R155 標準,並將共享的稽核結果分發給所有 ENX 會員——此機制與企業資訊安全領域的 TISAX® 所採用的機制相同。
車輛型式核准
法律合規層。某些車輛組件和裝置若未經適用國家道路交通框架(例如德國的 KBA、英國的 VCA、荷蘭的 RDW、日本的 MLIT,以及其他地區的同等國家主管機關或框架)的合規性評估,便無法合法進入受監管市場。
依據德國聯邦機動車管理局(Kraftfahrt-Bundesamt,簡稱 KBA)框架,針對德國道路交通法規(Straßenverkehrs-Zulassungs-Ordnung,StVZO)進行的符合性評估 — 該機構是全球要求最嚴格的型式認證制度之一。適用於在進入德國市場前須取得型式核准或通過技術服務測試的車輛零組件及裝置,包括特定類別的行車記錄儀、限速器及其他受監管的車輛設備。其他市場則適用相當的國家主管機關或規範框架 — 例如英國的 VCA、荷蘭的 RDW、日本國土交通省(MLIT),以及美國(NHTSA、EPA)和中國(工信部 MIIT)的相當監管框架——各具其適用範圍與監管架構。
ENX 協會的全球車輛網路安全標準,由汽車產業共同制定並專為該產業服務。 VCS 提供業界公認的車輛網路安全管理驗證,符合 ISO/SAE 21434 及 UN R155 標準,並將共享的稽核結果分發給 ENX 會員——此機制與企業資訊安全領域的 TISAX® 所採用的機制相同。
每個層級針對不同的問題提供您解答。
每項汽車要求皆針對您的客戶、監管機構,或兩者共同提出的特定問題而設。您的挑戰在於,所有要求都必須同時適用;而您的機會則在於將其整合為一個協調一致的驗證計畫來管理。
IATF 16949、VDA 6.1、VDA 6.2、VDA 6.4。這些標準為汽車製造商及其供應鏈在量產、服務及生產設備等領域,定義了品質管理的基準。
VDA 6.3 製程稽核與 VDA 6.5 產品稽核旨在評估零件的實際製造狀況。這些稽核能及早發現製程能力問題,並向您的客戶提供明確證據,證明貴公司具備一貫的表現水準。
依據 VDA ISA 目錄進行的 TISAX® 評估。透過 ENX 平台與您授權的客戶共享 — 如此一來,您只需證明一次資訊安全,即可將相關證據重複應用於多項 OEM 合作關係中。
ISO/SAE 21434 及 ENX VCS規範涵蓋車輛本身的網路安全。這些標準為符合聯合國第 155 號法規(關於車輛網路安全型式認證)提供了技術依據。
國家型式驗證符合性評估 — 德國的 KBA、英國的 VCA、荷蘭的 RDW、日本的 MLIT 以及其他地區的同等機構。這是使特定車輛設備能在受監管司法管轄區內合法銷售的法律層面。
ISO/IEC 42001 人工智慧管理系統。隨著《歐盟人工智慧法案》適用範圍逐漸明朗,此標準對先進駕駛輔助系統(ADAS)、自動駕駛、駕駛監控以及基於 AI 的人機介面(HMI)供應商而言,正變得日益重要。
網路安全層背後的監管驅動力
採用結構化方法 — 減少意外狀況,提升稽核成果
明確的執行順序有助於減少內部工作量,並避免在客戶交付、型式認證或法規截止期限方面出現延誤。以下每個步驟都將引導您逐步邁向整合式稽核計畫
釐清您的需求
檢視客戶合約、法規義務及市場期望,以確定哪些標準適用於您的職責範圍
評估您目前的架構
檢視您各據點及各職能部門現有的認證、稽核週期及內部職責
進行整合與協調
在可行情況下,將各項驗證整合為一個協調一致的計畫,並統一稽核週期。
為新要求做好準備
網路安全(ISO/SAE 21434、ENX VCS)與人工智慧 AI 治理(ISO/IEC 42001)在整個產業中逐漸變得越來越重要
及早規劃稽核量能
根據您的商業與法規截止期限,向認證機構預留稽核時段。
透過 DQS 進行驗證時包含哪些內容
無論您預約的是單一標準還是整合式多標準計畫,每項 DQS 汽車產業服務皆提供相同的「稽核就緒」完整方案。
為何選擇 DQS
單一合作夥伴,滿足您完整的汽車合規需求。
DQS 透過單一框架涵蓋完整的汽車產業服務組合。這能為您提供一個協調一致的稽核計畫、一致的稽核方法,以及跨標準的清晰溝通 — 而非多個彼此脫節的流程。
準備好讓您的汽車合規要求與標準接軌了嗎?
- 請告知您在價值鏈中的角色
- 我們將針對所有九項標準,為您量身打造適用方案
- 您將獲得一份統籌的稽核計畫、單一聯絡窗口,以及一套精準的執行方案
常見問題
選擇汽車品質驗證機構時,應注意哪些事項?
有七項關鍵因素決定認證機構能否為汽車供應商提供值得信賴的服務。 首先,必須根據 IATF 規則獲得 IATF 認可 — 若無此項認可,OEM 廠商將不接受 IATF 16949 證書。其次,須具備 VDA QMC 認證的稽核員 — 這是進行 VDA 6.1、6.2、6.4 認證以及 VDA 6.3 流程審核的必要條件。 第三,須獲得 ENX 協會對 TISAX® 及 ENX VCS 評估的認可。第四,須獲得 IAF 互認協議(MLA)簽署機構(如 DAkkS、ANAB、UKAS 或同等機構)的驗證。第五,在貴公司製造據點所在的每個地區均擁有合格的稽核員。 第六,能夠在單一協調的稽核計畫下執行多項標準。第七,依據 ISO/IEC 17021-1 第 5.2 條規定,與諮詢業務保持獨立性 — 這種分離使證書成為對客戶和監管機構具有說服力的證據。
DQS:獲 IATF 認可、具備 VDA QMC 資格、經 ENX 核准可執行 TISAX® 及 VCS 評估、獲 DAkkS 認證,擁有遍佈 60 多個國家的 3,100 多名稽核員,並能透過單一協調計畫執行 IATF 16949、VDA 系列標準、TISAX®、 ENX VCS、ISO/SAE 21434 及 KBA 相關合規性評估 — 作為獨立驗證機構,不提供諮詢服務。
如何比較 IATF 16949 與 VDA 稽核的驗證機構?
比較關鍵在於以下四個客觀問題:(1) 該認證機構是否獲得 IATF 認可 — 是或否?認可狀態已公布於 IATF 資料庫中,且是取得 IATF 16949 認證的硬性先決條件。 (2) 該驗證機構的稽核員是否已獲得 VDA 品質管理中心針對您所需的特定 VDA 範圍(6.1、6.2、6.4、6.3 或 6.5)的資格認證?資格認證是針對每位稽核員及每個範圍分別進行的。 (3) 該機構的認證範圍與方案認可範圍為何 — DAkkS、ANAB、UKAS、IATF、ENX、VDA QMC?每項認可皆擴展了該機構可具公信力地進行驗證的範圍。 (4) 該機構在哪些地區設有合格的駐地稽核員?若某家獲 IATF 認可的機構在您的製造區域內沒有稽核員,將會增加成本並造成時程上的摩擦。行銷用語(如「全球領導者」、「值得信賴的夥伴」)並非比較標準,資格與國際認證才是。
DQS:列於 IATF 資料庫中,是經過核准的驗證機構,具備 VDA QMC 資格,涵蓋 6.1、6.2、6.4、 6.3 及 6.5 模組具備 VDA QMC 資格,並獲得 DAkkS 認證及 IATF、ENX 與 VDA QMC 認可,稽核員遍佈 60 多個國家的各大汽車產業區域。
我們是否需要同時取得 ISO 9001 與 IATF 16949 認證?
IATF 16949 已完全涵蓋 ISO 9001 的要求。根據定義,持有有效 IATF 16949 證書的廠區,即已符合 ISO 9001 的要求。 許多廠區在實施 IATF 16949 後,選擇不再維持獨立的 ISO 9001 認證。部分廠區則為非汽車相關範圍而保留 ISO 9001 認證;這屬於範圍選擇的問題。
哪些單位採用 VDA 6.1、6.2 及 6.4?
VDA 6.1 是針對汽車量產的品質管理系統(QMS)標準,在 IATF 16949 問世前,歷史上曾廣泛應用於德國供應鏈中;在特定情境下仍具參考價值。VDA 6.2 則適用於汽車產業的服務供應商(工程、物流、測試、售後服務)。 VDA 6.4 則適用於汽車生產設備製造商——包括模具、機台及生產線設備。這些標準之所以存在,是因為 ISO 9001 過於籠統,而 IATF 16949 主要針對量產零件供應商;其餘的 VDA 變體則填補了這些空白。
DQS:具備 VDA QMC 認證資格,涵蓋 VDA 6.1、6.2 及 6.4 認證,以及 VDA 6.3 流程稽核與 VDA 6.5 產品審核。
TISAX® 與 ENX VCS 之間有何差異?
兩者均由汽車產業的 ENX 協會管理,但涵蓋範圍不同。TISAX® 評估企業資訊安全——即供應商如何在組織層面依據 VDA ISA 標準,保護客戶的開發資料、原型資訊及生產系統。 ENX VCS 則評估車輛網路安全——供應商如何依據 ISO/SAE 21434 及 UN R155 標準,在車輛及其零組件中建置與管理網路安全。許多供應商需同時取得這兩項認證。
DQS:同時具備 TISAX® 與 ENX VCS 認證的 ENX 認可稽核機構。
ISO/SAE 21434 與 UN R155 之間有何關聯?
UN R155 是聯合國歐洲經濟委員會(UNECE)關於車輛網路安全的法規,在適用範圍內,該法規將「網路安全管理系統」(CSMS)列為在 UNECE 1958 締約國(包括歐盟、英國、日本、南韓及其他主要汽車市場)上市之新車型式認證的先決條件。 其適用性取決於車輛範圍及各國型式核准主管機關的評估(例如德國的 KBA、英國的 VCA、日本的 MLIT 及其等同機構)— 這並非針對每位客戶或每項產品的全面性要求。 R155 規定了必須達成的目標;ISO/SAE 21434 則規定了實現方式 — 這是將 CSMS 要求貫徹於車輛生命週期的技術標準。相較之下,聯合國歐洲經濟委員會 R10 號規則(電磁相容性)在車輛設備方面的適用範圍要廣泛得多。
ENX VCS 是否具有強制性?
其本身並無法律強制力。VCS 是一項業界公認的驗證計畫,旨在為供應鏈中的車輛網路安全證明提供標準化且可共享的格式 — 類似於 TISAX® 為企業資訊安全所提供的功能。 隨著 UN R155 適用範圍的擴大,業界預期 ENX VCS 將成為供應鏈中的合約要求。建立 ISO/SAE 21434 能力的供應商,通常也具備取得 VCS 認證的良好條件。
DQS:經 ENX 認可的 VCS 驗證供應商,透過單一稽核計畫同時涵蓋 ISO/SAE 21434 評估與 VCS 驗證。
KBA 驗證涵蓋哪些內容?
KBA(德國聯邦機動車管理局)是根據德國道路交通法(StVZO)及相關歐盟型式驗證框架負責型式驗證的主管機關。KBA 相關的合規性評估適用於在進入德國市場前需進行型式認證或技術服務測試的車輛零組件及裝置。 具體涵蓋的產品包括特定類別的行車記錄儀、限速器及其他受監管的車輛設備。應在產品開發的早期階段,針對每項產品確認其適用性。
DQS:依據德國型式驗證框架,針對適用產品類別執行 KBA 相關的合規性評估。
德國境外的型式驗證情況如何?
每個主要汽車市場都有其專屬的型式驗證機構或監管框架 — 例如英國的 VCA、荷蘭的 RDW、日本的 MLIT,以及美國(NHTSA、EPA)和中國(MIIT)的同等監管框架,各機構的適用範圍與監管結構皆不盡相同。 適用之框架取決於產品在何處投放市場。聯合國歐洲經濟委員會(UN ECE)法規(包括關於電磁相容性的 R10 及關於網路安全的 R155)適用於所有 1958 年聯合國歐洲經濟委員會公約締約國,無論其國家主管機關為何。
DQS:憑藉遍佈 60 多個國家的稽核員網絡,協助客戶界定適用於其特定市場的符合性評估要求。
能否透過單一驗證機構同時取得 IATF 16949、TISAX® 及 ENX VCS 驗證?
可以 — 對於多層級的合規要求而言,這通常是最有效率的做法。DQS 涵蓋上述四項標準,以及 VDA 系列標準與 KBA。透過單一驗證機構,意味著僅需一個排程介面、各次稽核間採用統一的校準基準,並能在適用情況下整合範圍重疊的部分。 每項稽核均保留其專屬規則與時長;真正得到改善的是現場的營運負擔。