ISO/IEC 17025:2005的修订自2015年2月正式启动以来,历经工作组草案、委员会草案(CD)、国际标准草案(DIS)和最终国际标准版草案(FDIS),最终版本ISO/IEC17025:2017于2017年11月30日正式发布。
新版ISO/IEC17025:2017的主要调整和变化。
一、ISO/IEC17025:2017过渡转换期
经与ISO协商,国际实验室认可合作组织(ILAC)通过决议明确ISO/IEC17025:2017的过渡转换期为发布之日起三年,也就是从2020年12月起,ILAC互认协议将不接受以ISO/IEC 17025:2005认可的实验室。
因此CNAS必须在2020年11月底前完成所有认可实验室的评审和认可证书的换发。为确保所有实验室的顺利过渡,CNAS已于2018年3月1日完成所有相关文件的修订,给实验室6个月的过渡期,2018年9月1日后,所有的复评审(包括复评+扩项)均按ISO/IEC17025:2017实施。扩项评审和监督评审,实验室可选择是否按新版标准评审,同时所有新的认可申请应依据新版标准。
以上时间是CNAS的转换工作安排。虽然新版标准过渡转换期是三年,但每个实验室的实际过渡时间取决于2018年9月1日后第一次复评审时间。
二、ISO/IEC 17025:2017的结构
按照ISO合格评定委员会(CASCO)对所辖标准的统一要求,ISO/IEC 17025的总体框架结果必须满足CASCO决议12/2002中给出的框架。对各项合格评定标准都可能涉及的公共要素,如公正性、保密性和投诉等管理要求,所用措辞必须采用CASCO内部文件QS-CAS-PROC/33《ISO/CASCO标准中的公共要素》中所给出的表述方式,如果不采纳,必须经过CASCO主席政策和协调组(CPC)的同意,因此起草小组对标准的结构没有实质发言权,只能将拟定的要求放入CASCO规定的结构框架内。
ISO/IEC 17025:2017的结构和条款分布如下:
— 1 范围
— 2 规范性引用文件
— 3术语和定义
— 4通用要求
— 4.1 公正性
— 4.2 保密性
— 5 结构要求
— 6资源要求
— 6.1 总则
— 6.2 人员
— 6.3 设施和环境条件
— 6.4 设备
— 6.5 计量溯源性
— 6.6 外部提供的产品和服务
— 7过程要求
— 7.1 要求、标书和合同评审
— 7.2 方法的选择、验证和确认
— 7.3 抽样
— 7.4 检测或校准物品的处置
— 7.5 技术记录
— 7.6 测量不确定度的评定
— 7.7确保结果的有效性
— 7.8报告结果
— 7.9投诉
— 7.10不符合工作
— 7.11数据控制和信息管理
— 8管理体系要求
— 8.1 方式
— 8.2 管理体系文件 (方式A)
— 8.3 管理体系文件的控制 (方式 A)
— 8.4 记录控制 (方式 A)
— 8.5 应对风险和机遇的措施(方式 A)
— 8.6 改进 (方式 A)
— 8.7 纠正措施 (方式 A)
— 8.8 内部审核(方式 A)
— 8.9 管理评审(方式 A)
— 附录 A (资料性附录) 计量溯源性
— 附录B (资料性附录) 管理体系方式
— 参考文献
三、标准的调整和变化
下面按ISO/IEC 17025:2017的条款顺序介绍一些比较重要的变化,这些变化将是实验室修改管理体系文件必须关注的。从技术要求上来看,ISO/IEC 17025:2017基本采纳了ISO/IEC 17025:2005的内容,但考虑到实验室广泛使用信息管理系统、更多的采纳电子数据和电子报告以及检测实验室评定测量不确定度的日益成熟等实验室在近十年来的新变化,起草小组对相关条款进行了调整,变得更加灵活,以适应实验室运作的不同情况。
(一) 与ISO9001关系的声明
将 ISO/IEC17025:2005中1.6条款中有关ISO9001的声明,放入引言中和附录A中:
① 在引言中保留了“符合本文件的实验室通常也是依据ISO9001的原则运作的”。考虑到ISO9001已进行了修改,因此CASCO与TC176再次进行了协商,此表述得到了ISO/TC176的确认;
② 在附录B中保留了“实验室管理体系符合ISO9001的要求,并不证明实验室在技术上具备出具有效的数据和结果的能力。实验室还应符合ISO/IEC17025第4章至第7章。”
(二) 引入风险管理的要求
如何将风险管理的理念和模式纳入ISO/IEC17025,是标准起草组重点考虑的因素。ISO/IEC 17025:2017通过以下方式来明确风险管理要求:
① 在引言中声明:“本文件要求实验室策划并采取措施应对风险和机遇。应对风险和机遇是提升管理体系有效性,取得改进效果和预防负面影响的基础。实验室有责任确定需要应对的风险和机遇”;
② 参照ISO 9001:2015,在第8章增加一新的条款“8.5 应对风险和机遇的措施(方式A)”,将ISO9001:2015第6.1条款的相关要求纳入;
③ ISO/IEC 17025本身在起草过程中,已充分纳入了风险管理的模式,比如设备校准、质量控制、人员培训和监督等均需要实验室根据自身的检测或校准活动范围、客户需求和测试技术的复杂性等进行风险分析,实施相应的管理;
④ 对于实验室是否有必要单独建立风险管理体系,由实验室自己决定,ISO/IEC17025:2017标准本身并未要求,实验室只需要满足本标准即可。为此,标准起草小组决定在8.5条款中加入注,以表明此立场。
(三) 将 “服务和供应品的采购”与“分包”合并
参考ISO 9001:2015的模式, 将ISO/IEC17025:2005中的4.5“检测和校准的分包” 与4.6 “服务和供应品的采购”合并成一个条款,即“外部提供的产品和服务”。
此条款合并在讨论过程中争议很大,因实验室分包的事项可能很多,但在ISO/IEC17025:2005中4.5条款重点突出对检测或校准活动分包的管理。4.6中服务和供应品的采购重点是实验室获得检测或校准活动所需的资源,界限相对较清楚,而且在ISO/IEC17025:2005实施过程中,也没有很大的争议。如果将两个条款合并,是否能将要求表述清楚,有不确定性,而且标准的起草还是需要考虑实验室的习惯。
另一种观点认为,不论是实验室自己使用的产品或服务,还是将检测或校准活动分包给另一个实验室,都是外部获得的产品或服务,可以合并成一个条款。因此,起草小组暂时决定合并,然后征求CASCO成员的意见,看多数成员是否支持此条款合并。但对CD1稿的意见中,对此并没有很大的争议,因此在后续版本中继续保留此合并。
因此在解读新版标准时,应注意“从外部获得的实验室活动”有时就是特指“检测、校准或抽样活动的分包”,因此需要从上下文中去识别具体隐含的内容。
(四) 对抽样活动的讨论
ISO/IEC17025是否适用于只进行抽样,而不从事任何检测或校准活动的机构,一直是标准修订过程中争论最大的问题,这里的抽样不仅仅是为检测或校准活动所进行的抽样,还包括为其他目的,如认证、检验或确认活动而进行的抽样。就ISO/IEC17025本身来讲,其预定的标准适用范围是从事检测或校准活动的实验室,抽样往往是检测或校准过程的一部分。
如果抽样是为了进行后续的检测或校准,一个机构即使不进行后续的检测或校准活动,其适用性没有争议。但目前欧洲的认可机构已用ISO/IEC 17025对单独从事抽样活动的机构进行认可,而且抽样并不局限于为检测或校准的目的,那么对于ISO/IEC 17025能否适用于这类机构,争议很大。
标准起草小组成员很多来自欧洲,他们大都支持可以适用,但也有很多其他成员认为ISO/IEC 17025是针对实验室的标准,其适用范围应仅限于检测或校准的相关活动。为此,标准起草小组决定在把CD1稿向CASCO成员征求意见时,同时向成员调查是否认为ISO/IEC 17025适用于只从事抽样的机构,然后根据成员的意见,再决定修订版ISO/IEC17025的适用范围和修订方向。但最终投票的结果是42票赞成,38票反对。此结果也没有给出如何处理“抽样”这一争议的明确方向。经讨论,工作组决定将抽样限制为“与随后的检测或校准相关的抽样”。
此外,为避免全文不断重复“检测、校准和抽样”的描述,在术语和定义条款中给出了实验室的定义,并在全文用“实验室活动”来取代“检测、校准和抽样”。在修订ISO/IEC17025过程的各个版本征求意见和表决中,对“抽样”是否是独立的活动的争议从未中止过。
(五) 实验室的活动范围
ISO/IEC 17025:2017明确要求实验室应以文件的形式明确界定其检测或校准活动范围,范围中不应包括持续从外部机构获得的检测或校准项目。提出这个要求的最根本原因是实验室所有管理活动均以其活动范围为基础,包括人员、设施和设备等,这是最基本的要求。
(六) 通用要求
第4条款中的通用要求泛指合格评定活动的通用要求,因此只包含了“公正性”和“保密性”要求。语言措辞全部来自QS-CAS-PROC/33《ISO/CASCO标准中的公共要素》中规定的强制要求,因此有些要求可能更适用于认证机构,不是实验室经常遇到的情况,比如委员会成员,因此在解读时,实验室只需分析自己的特定情况,相应制订要求,对于不适用的条款,可以不予规定。
(七) 人员要求
ISO/IEC 17025:2017对人员要求进行了适度的简化:
①删除了对人员培训的具体要求,即取消了“实验室应有确定培训需求和提供人员培训的政策和程序。培训计划应与实验室当前和预期的任务相适应。应对这些培训活动的有效性进行评价。”只在明确每个岗位的能力和人员的通用要求中明确包含培训;
②不再区别在培员工、长期雇佣人员或签约人员,全部纳入“人员”这一用词中;
③删除了对特定领域人员资格以及“意见或解释”人员的注释;统一纳入“实验室应将每个影响实验室活动的岗位所需能力形成文件”,至于能力要求,实验室应根据人员所承担的工作来确定。如果相应的法律法规有特定要求,实验室应满足。但不需要在标准中为此做出说明。对做出“意见和解释”的人员要求,实验室应根据该活动所需要的经验、知识等做出相应规定;
④在表述方式上,对人员不再区分技术管理层和质量主管,只明确职能要求,至于这个岗位的名称,实验室可以自己确定,并以管理层取代“最高管理层”,因何为“最高管理层”在实施过程中理解是不一致的;
⑤取消“关键指定关键管理人员的代理人”;
⑥除了对工作描述中应包含内容的注释。
(八) 设备的校准
对哪些设备需要校准, ISO/IEC 17025:2017明确要求:
① 当测量准确度或测量不确定度影响报告结果的有效性;
②为建立报告结果的计量溯源性,要求对设备进行校准;
第一条与ISO/IEC 17025:2005要求基本相同,也比较容易理解,但如何理解第二条呢?因为对任何测试活动,计量溯源性是基本要求。对有些检测或校准活动,设备对结果的影响非常小,按第一条的规定,应该是不需要校准的,但考虑到最终结果是溯源至该设备的特性值,为确保结果的计量溯源性,必须对该设备的特性值进行校准。
(九) 设备的期间核查
ISO/IEC 17025:2017将期间核查扩展至所有设备,实验室可能不仅对需要校准的设备进行期间核查,对其他设备也需要根据其稳定性进行定期核查。
对于需要校准的设备,实验室应根据其稳定性和使用状况等因素来决定是否有必要进行期间核查。
对于不需要校准的设备,ISO/IEC 17025:2017要求在使用前验证其功能是否能够满足检测或校准方法的要求。
除投入使用前需要核查外,在后续的使用过程中,实验室也需要根据使用情况和其稳定性确定是否有必要进行核查。
实验室经过分析,确认需要进行期间核查的设备,应建立核查的方法并保留相关记录。需要强调的是,并不是所有设备都需要期间核查,应根据检测或校准方法的要求、设备稳定性和使用状况等因素来确定。
(十) 计量溯源性
ISO/IEC 17025:2017采用了ISO/IEC指南99中规定的“计量溯源性”以取代“测量溯源性”。在ISO/IEC 17025:2005中,有较长的篇幅提出对测量溯源性的要求,并附有大量注释。
考虑标准本身定位于对实验室能力的通用要求,因此起草小组决定删除大量的注解,在正文中只规定要求,解释内容尽量不出现。但在工作组草案征集意见的过程中,很多成员建议保留ISO/IEC 17025:2005中针对测量溯源性的注解,认为其对实验室理解和实施计量溯源性要求是很有帮助的。
为此,起草小组决定增加资料性附录,纳入实验室如何实现计量溯源性的指南。从文字表述上来看,ISO/IEC 17025:2017对计量溯源性的要求从ISO/IEC17025:2005侧重于强调设备的校准,转为从结果的计量溯源性的角度提出要求,此描述方式的变化更为科学和严谨。并且,对计量溯源性的要求不再区分检测和校准活动,而是提出统一的要求,因此文本大量简化。
从本质上看,对计量溯源性的要求, ISO/IEC 17025:2017与ISO/IEC 17025:2005没有显著差异。
(十一) 分包的法律责任
ISO/IEC 17025:2017删除了“实验室应就分包方的工作对客户负责,由客户或法定管理机构指定的分包方除外。”
这是由于让实验室承担非自身活动的法律责任与有些国家的法律冲突,而且标准本身应尽量避免涉及合同法律责任的问题,因为不同的国家法律法规可能有不同的规定。
(十二) 判定规则
ISO/IEC17025:2017增加了对“判定规则”的要求,也就是实验室在做与规范的符合性判断时,如何考虑测量不确定度,特别是结果的区间跨越了规定的限值,实验室如何做出“合格”或“不合格”的判断。
在合同评审阶段,实验室应将使用的判定规则与客户沟通,并在合同中予以明确。在结果的报告中应指明所使用的判定规则,以便报告的任何使用方了解实验室做出符合性结论时如何考虑测量不确定度的,使结果更加科学和透明。
此条款对于实验室做出符合性声明提出了更严格的要求,可以料想这也是实验室在实施新版标准时遇到的难题,需要更多的研究和准备。
(十三) 对方法的偏离
在标准征求意见的过程中,有的成员认为“与方法的偏离”和“对方法的改进”是同一概念,都需要进行方法确认,因此建议删除与方法偏离的有关条款。
起草小组经过长时间的讨论确认,方法偏离是处理不能满足相关要求的一种特殊情况,是不得已而为之的,是负面的,因此此时需要做技术判断,获得批准才可发生。而方法改进是为使方法更有效而进行的一项积极的、正面的技术活动,为确保方法有效性而必须事先做好方法确认,这不是一种意外的情况。因此对两者的要求是不同的,应保留方法偏离的相关条款。
(十四) 免责声明
在ISO/IEC 17025:2017中明确要求在以下情况下实验室应做出免责声明:
①样品处置:当已知检测或校准物品偏离了规定的条件,客户依然要求进行检测或校准时,实验室应在报告中做出免责声明,指出结果可能受偏离的影响;
②报告结果:当证书包含客户提供的数据时,应予明确标识。当客户提供的数据可能影响结果的有效性时,实验室应在报告中做出免责声明。
(十五) 测量不确定度评定
测量不确定度评定要求的变化主要体现在以下几个方面:
①首次提出在测量不确定度评定中应考虑“抽样”所引入的不确定度;
②不再强调实验室应有测量不确定度评定的程序,直接要求实验室应评定测量不确定度,因每项检测或校准结果测量不确定度评定过程本身就是一个程序,没有程序实验室是无法评定测量不确定度的,因此删除了“程序”用词;
③以“注”的形式说明如果对某一检测方法,实验室已经评定了测量不确定度,只要实验室能够证明对所有关键影响因素进行了控制,就没有必要再重新评定测量不确定度。
(十六) 报告和证书
对报告和证书的要求有如下变化:
①报告中不需要报告客户的地址,只需要报告客户的联络信息;
②报告批准人只要可以识别即可,不再要求职务、签字等;
③报告中不但要有检测或校准的日期,还应有报告的签发日期;
④实验室应对报告中的所有信息负责,如果数据是由客户提供的必须明确标识;
⑤明确要求校准证书必须给出测量不确定度,而不能仅仅是给出与计量规范的符合性;
⑥对“意见和解释”明确要求应基于检测或校准结果;
⑦对报告的修改必须标识修改的内容;
⑧做出符合性声明时,应明确符合性结论适用于哪些结果;
⑨抽样信息还应包含“评定后续检测或校准测量不确定度的信息”;
⑩删除了ISO/IEC 17025:2005中:
· 5.10.6 从分包方获得的检测和校准结果;
· 5.10.7 结果的电子传送
· 5.10.8 报告和证书的格式
(十七) 投诉
对投诉的处理要求变化较大,增加了很多要求,其内容等同采纳QS-CAS-PROC/33《ISO/CASCO标准中的公共要素》。对于投诉处理的独立性,ISO/IEC 17025:2017给出了明确的要求。对规模较小的实验室,可能很难满足独立性的要求,特别是针对检测或校准活动技术内容相关的投诉,此时可以请外部人员予以帮助。
(十八) 信息管理系统
对信息管理系统的要求主要来自ISO/IEC17025:2005,同时参考了ISO15189:2012,并强调实验室的信息管理系统应有功能记录系统故障以及应急纠正措施。
(十九) 管理要求的满足方式
按照ISO/CASCO的要求,管理要求的内容必须等同采用QS-CAS-PROC/33《ISO/CASCO标准中的公共要素》给出的方式a与方式b的模式,如果不采用,必须向ISO/CASCO/CPC报告,并得到批准。
ISO/IEC17020:2012《合格评定 各类检验机构的运作要求》采用CASCO规定的方式a和方式b,但在执行过程中引发了很大的争议。如果检验机构已建立了ISO9001体系,并获得了认证,那么认可机构对管理要求是否还需要进行评审。为避免此问题,工作组在起草第8章“管理要求”内容时极为谨慎。为此工作组决定起草附录B,重点解释方式A和方式B的关系。
对于实验室已有ISO 9001的管理体系,认可机构如何评审,标准并不涉及,各认可机构可自己规定。
(二十) 内部审核
对内部审核的要求等同采用ISO 9001:2015第9.2条款, 删除了以下内容:
①内部审核应覆盖管理体系的全部要求,包括检测和(或)校准活动;
②质量主管负责按照日程表的要求和管理层的需要策划和组织内部审核;
③审核应由经过培训和具备资格的人员来执行,只要资源允许,审核人员应独立于被审核的活动;
④内部审核的周期通常应当为一年。
对内审员的资格要求,已被6.2人员条款覆盖,不再做细节要求。
(二十一) 管理评审
对管理评审的要求等同采用ISO 9001:2015第9.3条款, 删除了对管理评审周期的建议,增加了管理评审输出应记录的内容。
(二十二) 其他变化
①删除ISO/IEC17025:2005中有关ISO/IEC 17025不是认证用的标准的陈述。CASCO的政策是标准的用途应由市场来决定,而不是由标准来规定。在ISO/IEC17025:1999首次引入此条款的目的是因为当时对实验室能力的评价是认可还是认证,很多标准使用者和市场有明显的混淆,因此在标准中做了特别说明。随着实验室认可近20年的发展,实验室认可的概念已被广泛认知,也不需要在标准中予以明示;
②删除了ISO/IEC17025:2005中 1.3条款中有关“注”的说明,即取消了“本标准中的注是对正文的说明、举例和指导。它们即不包含要求,也不构成本标准的主体部分”。这是ISO制订标准的通用规则,无需在标准中进一步明示;
③删除ISO/IEC17025:2005第1.5条款“本标准不包含实验室运作中应符合的法规和安全要求”的陈述。因为本标准是针对实验室能力的通用要求,起草过程中不会考虑不同国家的法规和有关安全的特定要求,因此无需对此做出特殊声明;
④删除了标准中“第一方、第二方和第三方实验室”提法,因标准的适用对象是任何实验室,没有必要提及第一方、第二方或第三方,而且对于第一方、第二方和第三方本身的定义是有争议的。检测机构标准ISO/IEC17020中规定了A、B和C三种类型,在实施过程中经常产生争议,并容易让市场误解A类检验机构好于C类检验机构。对于检测和校准实验室,更关注的是其公正性的问题,因此不再纳入独立性相关的内容;
⑤取消“当实验室不从事本标准所包括的一种或多种活动,例如抽样和新方法的设计(制定)时,可不采用本标准中相关条款的要求”,因为这是多余的陈述;
⑥要求实验室管理层应做出公正性的承诺;
⑦强调实验室对保密做出有法律效力的承诺;
⑧在合同评审的条款中,首次明确客户要求的偏离不应影响实验室的诚信或结果的有效性;
⑨仍然采用“文件”与“记录”这两个词,而不采用ISO 9001:2015中的“成文信息”;
⑩将质量控制划分为内部质量控制与外部质量控制,应分别策划并实施;
⑪考虑实验室大量采用电子记录,因此简化对更改记录的要求,明确只要确保“更改记录”的可追溯性;
⑫取消保留设备说明书的要求,因其作为外来文件应按“文件控制”要求进行管理。