IATF 16949

Er baut auf der ISO 9001 auf und erweitert diese um verpflichtende, branchenspezifische Anforderungen entlang der gesamten automobilen Wertschöpfungskette. Die Zertifizierung nach IATF 16949 ist für viele Automobilhersteller (OEMs) sowie Erst- und Zulieferer eine häufig geforderte Voraussetzung, um als Lieferant berücksichtigt zu werden und Zugang zu globalen Märkten zu erhalten.

Definition und Einordnung

Die aktuell gültige Fassung IATF 16949:2016 wurde von der International Automotive Task Force (IATF) entwickelt und hat die frühere ISO/TS 16949 abgelöst. Grundlage der Norm ist die ISO 9001:2015, die auf der Harmonized Structure (HS, vormals High Level Structure/Annex SL) basiert. IATF 16949 fordert die vollständige Anwendung der ISO 9001 und ergänzt diese um spezifische Anforderungen für die Automobilindustrie.

Im Fokus stehen die proaktive Fehlervermeidung und eine robuste Prozesslandschaft. Ziel ist es, Fehlern und Schwankungen vorzubeugen, Verschwendung zu minimieren sowie präventive Maßnahmen und eine konsequente Kundenorientierung zu verankern. Dokumentierte Information muss wirksam gesteuert werden (unabhängig von der Methode: digital, hybrid oder papierbasiert).

Aktuelle Regelwerke und Handbücher

Die wichtigsten aktuellen Regelwerke und Leitfäden sind:

• IATF 16949:2016
• Rules for Achieving and Maintaining IATF Recognition, 6th Edition (seit 1. Januar 2024)
• AIAG & VDA FMEA Handbook (2019)
• APQP 3rd Edition (2023)
• AIAG Control Plan Manual (2023)
• Weitere AIAG-Handbücher wie PPAP, MSA, SPC

Core Tools müssen aktuell und konsistent umgesetzt werden, CSR können zusätzliche Leitfäden vorgeben.

Für wen gilt IATF 16949?

Die Norm adressiert Unternehmen, die in der Serienproduktion, Ersatzteilfertigung, Remanufacturing oder Herstellung automobilen Zubehörs tätig sind und eine nachgewiesene produktive Wertschöpfung (physische Fertigung) aufweisen. Zertifizierbar sind ausschließlich Standorte mit eigenständiger Fertigung.

Unternehmen, die reine Dienstleistungen, Handel, Werkzeug- oder Anlagenbau bieten, sind von der Zertifizierung ausgeschlossen. Remote Supporting Functions (RSF) wie Entwicklung, Einkauf, Logistik und IT werden in den Auditumfang einbezogen, sofern sie relevante Leistungen für Werke mit produktiver Fertigung erbringen. Eine eigenständige Zertifizierung von RSF ist nicht zulässig.

Softwareentwicklungsabteilungen für embedded Systeme oder Funktionsentwicklung können auditiert werden, sofern deren Arbeitsergebnisse einen Beitrag zum Produkt und zur Wertschöpfung des Fertigungsstandorts leisten. Ohne Serien- oder Ersatzteilfertigung ist eine IATF-Zertifizierung grundsätzlich nicht möglich.

Zentrale Anforderungen und Inhalte

IATF 16949 umfasst zahlreiche Anforderungen, oft mit explizitem Normenbezug.

Machbarkeitsbewertung (Feasibility) – 8.3.2.1

Vor Vertragsannahme ist eine strukturierte Machbarkeitsanalyse der Kundenanforderungen und Prozesse zwingend (8.3.2.1). Alle technischen und organisatorischen Risiken müssen bewertet und dokumentiert werden.

Kundenanforderungen (CSR) und Kundenzufriedenheit

Neben den Normanforderungen müssen Customer Specific Requirements (CSR) jedes Kunden identifiziert, bewertet, umgesetzt und regelmäßig überwacht werden. Dies schließt zusätzliche Auditpflichten, spezielle Freigabe- und Qualitätsnachweise sowie Prozesse ein (systemisches CSR-Management).

Ein effektives Reklamationsmanagement, insbesondere nach 10.2.6, und eine methodisch belegte Problemlösung (z. B. 8D-Methode, sofern CSR-geführt) sind Pflicht. Die 8D-Methode ist kein genereller Standardbestandteil.

Produkt- und Prozessentwicklung

Verpflichtend ist die konsistente Verknüpfung aus Prozessflussdiagramm (PFD), Prozess-FMEA und Control Plan in allen Entwicklungs- und Fertigungsphasen (Prototyp, Vorserie, Serie). Sondermerkmale und sicherheitsrelevante Merkmale werden kennzeichnungspflichtig und rückverfolgbar abgebildet (durchgängig in Zeichnungen, Arbeits- und Prüfplänen, MES/ERP). Verantwortlichkeiten für Produktsicherheit sind zu definieren; die Rolle PSCR wird oftmals durch CSR eingefordert, ist aber nicht explizit von der IATF genannt.

Das Management technischer Änderungen, die Risikobewertung (inklusive embedded Software, 8.3.2.3) und nachvollziehbare Rückverfolgbarkeit (Traceability, 8.5.2) sind verbindlich geregelt.

Serienanlauf und Freigabeprozesse

Vor Produktionsstart muss der Nachweis über stabile Prozesse geführt werden. Methoden wie APQP, PPAP (AIAG) oder PPF (VDA) werden anhand von CSR oder Markterfordernissen angewandt. Produktionsversuche ("Run at Rate") sind meist CSR-getrieben und für bestimmte Kunden verpflichtend.

Produktion, Rückverfolgbarkeit und Lenkung (8.5.1.1, 8.7)

IATF 16949 verlangt stabile Prozesse (SPC), Identifikation und Verfolgung von Teilen (Traceability), zuverlässiges Messmittelmanagement (MSA sowohl attributiv als auch variabel), vorbeugende Instandhaltung (inkl. OEE, MTBF, MTTR) und fundierte Notfallplanung (6.1.2.3). Notfallpläne müssen getestet und belegt werden.

Nichtkonforme Produkte sind nach 8.7 über Material Review Boards (MRB) gesteuert. Unterscheiden Sie zwischen Nacharbeit (Rework) und Reparatur (Repair), temporären Prozessänderungen (8.5.6) und Kundenabweichungen (Deviation/Waiver). Alle Prozesse müssen nachvollziehbar dokumentiert und eventuell genehmigt werden.

Lieferantenmanagement (8.4.2.3 & 8.4.2.4)

Es muss ein risikobasierter Prozess zur Lieferantenauswahl, -bewertung und -entwicklung eingeführt werden. Für automotive-produzierende Zulieferer ist die Entwicklung Richtung IATF 16949 zu fordern. Häufig wird eine ISO 9001-Zertifizierung verlangt. Alternativ sind, abhängig vom Typ des Lieferanten, 2nd-Party-Audits, Leistungsüberwachung oder Entwicklungspläne zulässig. Welche Anforderungen im Einzelfall gelten, bestimmen die jeweiligen CSR und die interne Risikoanalyse. Nicht für jedes beschaffte Produkt, Teil oder jede Dienstleistung wird zwingend ein Zertifikat verlangt.

Externe Labore müssen grundsätzlich für den Anwendungsscope nach ISO/IEC 17025 akkreditiert sein (7.1.5.3.1). Interne Labore dagegen müssen lediglich die normgerechten Anforderungen erfüllen, eine Akkreditierung ist nicht gefordert.

Lieferanten müssen anhand von Kennzahlen wie ppm, OTD sowie über Eskalationsstufen (z. B. CSL1/2) bewertet werden. Management-Reviews (9.3.2.1) müssen auch Lieferantenleistung, Reklamationen und Rückläuferdaten adressieren.

Audits, kontinuierliche Verbesserung (KVP) und Problemlösung

System-, Prozess- und Produktaudits sind regelmäßig durchzuführen (9.2.2.4 & 9.2.2.3). Alle Fertigungsprozesse unterliegen mindestens jährlich einem Prozessaudit und wiederkehrenden Produktaudits. Fachkundige Auditoren benötigen prozessspezifische QMS-, Core-Tool- und CSR-Kompetenzen sowie dokumentierte Qualifikationsnachweise.

Datenbasierte Verbesserung, Ursachenanalyse, Korrektur- und Vorbeugemaßnahmen (Kapitel 10) stehen im Mittelpunkt. Layered Process Audits (LPA) und zusätzliche Methoden werden häufig durch CSR verpflichtend vorgegeben.

Produktionssystem, besondere Prozesse und CQI-Reihen

Validierung besonderer Prozesse (z. B. Schweißen, Härten, Beschichten) ist verbindlich (8.5.1.2). Die Anforderungen aus AIAG CQI-Leitfäden (z. B. CQI-9 für Wärmebehandlung) sind nicht von der IATF gefordert, aber häufig CSR-getrieben und müssen auf Kundenwunsch angewandt werden.

Gewährleistungsmanagement und Felddatenanalyse (10.2.5/10.2.6)

Es müssen Prozesse zur systematischen Analyse von Feldausfällen, Endkundenreklamationen und „No Trouble Found“-Fällen (NTF) etabliert sein. Relevante Kennzahlen (wie R/1000, Warranty Cost/Vehicle) sind auszuwerten und in der Managementbewertung zu analysieren. In bestimmten Fällen können auch Feldtests kundenseitig verpflichtend gefordert werden.

Traceability und Aufbewahrung (7.5.3.2.1)

Die Rückverfolgbarkeitstiefe wird CSR- und produktabhängig festgelegt. Für viele Dokumente (wie PPAP-Unterlagen, Prüfaufzeichnungen, Referenzmuster) gelten Mindestaufbewahrungszeiten: in der Regel die aktive Produktlebensdauer beim Kunden plus definierte Jahre (oft 15 Jahre für Ersatzteile, CSR-spezifisch). Die Anforderungen sind zwingend zu überwachen und nachzuweisen.

Lieferantenentwicklung und Schnittstellensoftware

Für Produkte mit eingebetteter Software (embedded software) gelten spezielle Anforderungen an die Entwicklungsprozesse und Schnittstellen zu ASPICE, ISO 26262 oder ISO 21434 (je nach CSR, vgl. 8.3.2.3). Auch Prüf- und Produktionssoftware inklusive Tabellenkalkulationsdateien, die Prozesse beeinflussen, müssen validiert werden (Beispiel: dokumentierter Nachweis von Plausibilität und Reproduzierbarkeit).

Sondermerkmale

Eine klare Systematik zur Erfassung, Übertragung und Kennzeichnung von Sondermerkmalen (z. B. CC für Critical Characteristic, SC für Significant Characteristic) muss implementiert werden. Diese Merkmale sind von der Kundenzeichnung über Prozessdokumentationen bis zum Messdatensatz durchgängig transparent zu führen.

Beziehung zu ISO 9001

IATF 16949 setzt auf dem Rahmen und den Prinzipien der ISO 9001 auf, erweitert diese jedoch um verbindliche Branchenstandards, verschärfte Nachweisanforderungen, stärkere Einbeziehung von Kennzahlen, Lieferantenmanagement und kundenorientierte Reklamationsbearbeitung. Ohne eine vollständige Umsetzung der ISO 9001 ist eine IATF-Zertifizierung nicht möglich. Das IATF-Zertifizierungsaudit beinhaltet immer die Prüfung aller ISO-9001-relevanten QMS-Anforderungen.

Vorteile für Unternehmen

Mit IATF 16949 verbessern Unternehmen ihre internen Prozesse, stärken die Fehlerprävention und ermöglichen nachhaltige, transparente Abläufe weltweit. Die Umsetzung fördert stabile Qualitätsniveaus, einheitlich strukturierte Lieferketten, bessere Rückverfolgbarkeit und ein hohes Kundenzufriedenheitsniveau. Für viele OEMs und Zulieferer ist die IATF-Zertifizierung fester Bestandteil der Kundenpolitik, nicht für jeden Einzelfall jedoch eine absolute Voraussetzung. Über Ausnahmen und Übergangsregelungen können CSR individuelle Anforderungen stellen.

Digitale Managementsysteme erleichtern die Umsetzung, Standardisierung und dezentrale Nachweisführung, sind aber für die Normerfüllung nicht zwingend vorgeschrieben.

Einführung in der Praxis: empfohlene Schritte

1. Gap-Analyse nach IATF 16949, ISO 9001 und CSR
2. Definition des präzisen Geltungsbereichs (inkl. Standorte, Produkte, RSF, Site Extensions)
3. Aufbau und Synchronisierung Ihrer Prozesslandkarte, Verknüpfung von Entwicklungs-, Fertigungs- und Unterstützungsprozessen
4. Implementierung und Pflege der Core Tools (PFD, FMEA, Control Plan, SPC, MSA)
5. Lieferantenmanagement und risikobasierte Lieferantenauswahl/-entwicklung gemäß 8.4.2.3/8.4.2.4, ggf. inklusive 2nd-Party-Audits
6. Strukturierte Schulung, Qualifikation und Nachweis aller normrelevanten Rollen (QMS, Core Tools, CSR, interne Auditoren)
7. Planung und Durchführung von internen Audits (System, Prozess, Produkt) nach 9.2.2.4/9.2.2.3 und Managementbewertungen
8. Dokumentierte Zertifizierungsvorbereitung inkl. aller relevanten Nachweise, klarer Definition von Scope, RSF und Lieferanten

Die Nutzung fortschrittlicher Software von GLOMAS kann diese Kernprozesse unterstützen und transparenter gestalten.

Best Practices im Normenmanagement

• CSR-Management: Klare Prozesse zur Identifikation, Bewertung, Freigabe, Schulung und laufenden Überwachung aktueller Kundenanforderungen (auch über OEM-Portale und Änderungsmanagement)
• Vollständige Dokumentenlenkung: Kontrollierte Freigaben, Versionierung, Verteilung und Nachweis systemischer Schulungen
• Synchronisierung von Core Tool-Inhalten (PFD, FMEA, Control Plan) über sämtliche Produktlebenszyklusphasen hinweg
• Lückenlose und eindeutige Kennzeichnung von Sondermerkmalen
• Getestete und dokumentierte Notfall- und Kontinuitätspläne inkl. Lessons Learned und klarer Kommunikationskette
• Datengetriebene Analyse von Serien- und Felddaten (z. B. Kundenreklamationen, Rückläufer)
• Layered Process Audits (LPA) zur Verschärfung der Shopfloor-Disziplin und Sicherstellung der Standardisierung
• Richtige und vollständige Formulierung von Scopes, RSF und Site Extensions für das Zertifikat
• Schulung/Auditierung der internen Auditoren mit dokumentierter Qualifikationsmatrix, Core-Tools-Know-how und CSR-Verständnis

Typische Fehler und Missverständnisse

• CSR werden unvollständig oder fehlerhaft erfasst und umgesetzt
• Prozessflussdiagramm, FMEA und Control Plan sind nicht konsistent gepflegt
• Verantwortlichkeiten und Eskalationswege bei Produktsicherheit sind unscharf
• Fehlendes oder mangelhaftes MSA für attributive und variable Prüfungen
• Geltungsbereich/Scope und RSF werden unvollständig dokumentiert
• Analyse und Bearbeitung von Felddaten und NTF sind lückenhaft
• Prüf- und Produktionssoftware wurde nicht ausreichend validiert (z. B. Tabellenkalkulationen mit Einfluss auf Produktergebnis)
• Zertifikatsangaben (Scope, RSF, Site Extensions) fehlerhaft im Audit oder im Zertifikat abgebildet
• Unzureichende interne Auditkompetenz: Qualifikationen/Auditoren-Know-how werden nicht ausreichend nachgewiesen (fehlende Prozesserfahrung, Core Tools, CSR-Verständnis)
• Nichtbeachtung der Mindestaufbewahrungsfristen gemäß 7.5.3.2.1/CSR

Ein strukturiertes, möglichst digital unterstütztes QMS hilft, diese Fehler zu vermeiden und die Nachweisführung sicherzustellen.

Zertifizierung und Auditablauf

• Die Zertifizierung erfolgt ausschließlich durch akkreditierte IATF-Zertifizierungsstellen
• Keine Multisite-Sammelzertifikate: Jede Fertigungsstätte erhält ein einzelnes Zertifikat; Corporate Scheme mit Einzelzertifikaten und benannten RSF/Site Extensions (Rules 6th Edition)
• Erstzertifizierung: Stufe-1-Audit (Systemaufbau), Stufe-2-Audit (Wirksamkeit/Umsetzung). RSF werden risikobasiert vor Ort oder remote auditiert (Rules 6th Edition)
• Jährliche Überwachungsaudits im 3-Jahres-Zyklus
• Rezertifizierung nach Ablauf von drei Jahren, vollständiges Reaudit ist Pflicht
• Auftretende Abweichungen müssen innerhalb vorgegebener Frist mit wirkungsvollen Korrekturmaßnahmen belegt werden
• Die öffentlich zugängliche IATF-Datenbank (www.iatfglobaloversight.org) dient als Nachweis und zur Überprüfung zertifizierter Standorte

Wichtige Neuerungen der Rules 6th Edition:

• Auditzeitermittlung, risikobasierte Remote-Audit-Regeln für RSF, spezifische Vorgaben zur Nachweisführung, überarbeitete Begriffsdefinitionen „Major/Minor“, Verpflichtungen zur Darstellung von RSF/Site Extensions auf Zertifikaten

Abgrenzung und Bezug zu weiteren Normen und Standards

Häufig verwendete ergänzende Regelwerke (nicht Bestandteil der IATF-Zertifizierung):

• VDA 6.3 (Prozessaudit-Leitfaden)
• ISO 26262 (funktionale Sicherheit)
• Automotive SPICE, ISO 21434 (Cybersecurity)
• Anforderungen zur Material- und Rechtskonformität (z. B. IMDS/ELV, REACH, SCIP, Konfliktmineralien) gemäß CSR und Gesetzgebung

Diese Standards werden je nach Kundenanforderung und CSR eingefordert und müssen bei Bedarf methodisch integriert werden.

Häufige Fragen zu IATF 16949

Ist IATF 16949 ohne ISO 9001 möglich?

Nein, IATF 16949 baut vollständig auf ISO 9001 auf. Ein QMS muss beide Normanforderungen erfüllen. Im Audit werden alle Elemente gemeinsam geprüft.

Gilt die Norm nur für Hersteller?

Eine Zertifizierung ist ausschließlich für Standorte mit eigenständiger produktiver Wertschöpfung wie Serien‑, Ersatzteil‑ oder Remanufacturing-Fertigung möglich. Unterstützende Funktionen werden im Audit berücksichtigt, eine eigenständige Zertifizierung ist für sie nicht zulässig.

Sind die Automotive Core Tools verpflichtend?

Die zentralen Core Tools (APQP, PPAP, FMEA, MSA, SPC) sind verpflichtend anzuwenden, sofern sie für die jeweiligen Prozesse relevant sind. CSR und Norm fordern deren Einsatz nach aktuellem Stand.

Was sind Customer Specific Requirements (CSR)?

CSR sind spezifische Qualitäts- oder Prozessanforderungen einzelner Kunden, z. B. Layered Process Audits, besondere Auditpflichten, spezifische Berichtswünsche oder Feldtests. Systematische Identifikation, Umsetzung und Überwachung sind Pflicht.

Wie lange ist ein IATF-Zertifikat gültig?

Das IATF-Zertifikat gilt grundsätzlich drei Jahre, vorausgesetzt, alle jährlich erforderlichen Überwachungsaudits werden erfolgreich bestanden und Abweichungen binnen Frist behoben.

Was unterscheidet IATF 16949 von VDA 6.3?

IATF 16949 ist ein zertifizierter Standard für umfassende QMS-Systeme. VDA 6.3 ist ein Leitfaden für Prozessaudits zur Bewertung einzelner Prozessketten. Die beiden Ansätze ergänzen sich, VDA 6.3 wird häufig als Werkzeug im Auditprozess genutzt.

Deckt IATF 16949 Produktsicherheit und Software ab?

Ja, IATF 16949 fordert klare Verantwortlichkeiten für Produktsicherheit (CSR-gesteuert z. B. PSCR) und verlangt die Validierung jeder Software, die Produkt oder Prozess beeinflusst. Dazu zählen auch Tabellenkalkulationen und spezifische Prüfsystemsoftware.

Wie kann ich mein Zertifikat verifizieren?

Die öffentlich zugängliche IATF-Datenbank (www.iatfglobaloversight.org) enthält Informationen zu Scope, Standorten, RSF und aktueller Zertifikatsgültigkeit.

Welche Rolle spielen Remote Audits für Supporting Functions?

Gemäß Rules 6th Edition können Remote Supporting Functions risikobasiert und in Abhängigkeit von nachgewiesener Evidenz auch remote auditiert werden, sofern die Anforderungen erfüllt sind.

Wie beginne ich mit der Umsetzung der Anforderungen?

Beginnen Sie mit einer Gap-Analyse unter Berücksichtigung von IATF 16949, ISO 9001, CSR und aktuellen Handbüchern. Legen Sie von Anfang an Wert auf die Konsistenz von Prozessflussdiagramm, FMEA und Control Plan, strukturieren Sie Ihr Lieferantenmanagement und internalisieren Sie Geltungsbereich/Site Extensions.

Welche weiteren Normen sollte ich kennen?

Wichtige ergänzende Regelwerke sind ISO 26262 (funktionale Sicherheit), Automotive SPICE, ISO 21434 (Cybersecurity) und VDA 6.3 für Prozessaudits. Sie werden vielfach durch CSR verpflichtend.

Wo finde ich aktuelle Updates zu IATF 16949?

Regelmäßige Aktualisierungen, FAQ und Sanctioned Interpretations sind auf der offiziellen IATF-Website abrufbar. Die laufende Überwachung und Umsetzung dieser Updates ist für die Normkonformität unerlässlich.

‍