3. 如何开展有害物质过程管理体系的风险分析
如何开展有害物质过程管理体系的风险分析陈庆今 博士
SGS通标标准技术服务有限公司
ISO 9001:2015版质量管理体系要求中明确提出了基于风险的思维,要求组织在理解组织环境和相关方需求和期望的基础上,将基于风险的思维应用到体系过程的策划和实施中、用于确定文件信息化的程度,用于识别风险进而确定应对风险的措施,最后要评价措施的效果。
风险意识和风险思维对有害物质管理体系而言,不能算是新概念。QC 080000制订的初衷和基本目标就是要控制产品中含有有害物质超标的风险。2012版在设计开发和供应商管理条款,已经明确提出要识别物料风险和供方风险并进行分级管理。要管控好产品有害物质,风险思维是基本理念。QC 080000:2017只是将基于风险的思维要求进一步具体化,按照ISO 9001:2015架构列出专门条款提出风险识别和控制要求:
识别风险和机会时,从生命周期视角考虑内外部过程、产品、服务、材料;
组织应保持和保留识别结果的文件化信息(明确要求保留风险识别结果的信息,这点是ISO 9001没有的要求),包括可能直接或间接引入产品的有害物质或潜在有害物质;
组织应策划应对风险和机会的措施,将其融入HSPM体系,评价措施的后果,包括如何预防或降低HS风险。
那么,
对产品有害物质控制而言,可能存在哪些风险?
如何进行风险分析?
风险识别需要建立和保持哪些文件化信息?
这些是本文及后面系列文章的主要内容。
一、对于有害物质控制而言,可能存在哪些风险?
对于产品有害物质控制而言,存在的风险要从法规和客户的要求倒推才更清晰。只有可能出现被监管部门或客户查获违反相关要求并实施处罚的情形,才能算是风险,其他的都是浮云。哪怕实际违反了但是查不出来都可以不算是风险。法规和客户的要求,组织可能违反的就是风险。
具体而言,组织在有害物质控制方面可能存在的风险包括:
交付给客户或投放到市场的产品中有害物质超标(所有产品有害物质控制相关法规);
适用时,产品该加贴的标识标签缺失(e.g., EU RoHS, CN RoHS, 日本RoHS, 欧盟电池指令、玩具指令、WEEE指令);
产品无法追溯(e.g., EU RoHS);
适用时,无法及时提供产品有害物质相关文件、合格声明(e.g., EU RoHS, EU REACH);
适用时,相关文件保存期不足(e.g., EU RoHS);
适用时,未在供应链内沟通有害物质相关信息(e.g., EU REACH);
适用时,未向监管机构通标相关信息(e.g., EU REACH);
适用时,未披露产品有害物质相关信息(e.g., CN RoHS);
适用时,未考虑相关变更控制(e.g., EU RoHS);
适用时,产品未做适当的警告(e.g., 美国加州65);
适用时,不能配合按照监管机构采取整改措施(e.g., EU RoHS);
适用时,未能有效撤回或召回产品(e.g., EU RoHS);
适用时,指定授权代表/唯一代表后,未能给他们充分授权,或者未能提供充分资源(e.g., EU RoHS, EU REACH);
不能满足客户的新物料确认、提交检测报告、提供产品化学组成信息、提交承诺书/签署协议、建立管理体系、接受相关审核、变更通报等要求(客户要求);
……
二、如何进行风险分析?
风险分析包括考虑风险的原因和来源,风险后果及其出现的可能性。现在的控制措施及其后果和效率也应该考虑在内。
对于上述风险,具体可进行如下分析:
1. 产品有害物质超标
这是产品有害物质管理最大最基本的风险。
产品有害物质超标的直接原因肯定是产品中含有了有害物质,而且是过量的有害物质。
产品中有害物质超标,最大的可能性就是用于制造产品的原料中有害物质超标,但是也不排除产品制造工艺引入或生成了有害物质,甚至也不排除过程运行环境导致有害物质的生成。
分析这个风险,是一个非常专业且繁重的工作,不仅需要有材料学知识,而且要专门做材料有害物质调查和研究,另外还需要对产品制造的工艺风险和环境风险做具体分析。
对某个具体的组织,需要先清楚什么是有害物质?这个问题并不简单。对不同组织而言,需要管控的有害物质并不都是一样的,所以必须先识别出组织需要管控的有害物质。只有识别出组织适用的有害物质,才清楚管控对象。例如,欧盟REACH法规的附件XVII列出了大量的危险物质,目前接近70类了。但是,并不是所有的产品都需要满足这70类物质的管控要求,组织需要仔细分析这些管控要求,看看自己生产的产品是否在管控范围。不在范围内,对组织而言,这种物质就不算是有害物质,无需考虑。例如对电子产品而言,REACH附件XVII中大概只有10来种物质需要管控。组织应该明确列出需要管控的《有害物质清单》及法规对这种有害物质的具体管控要求(注意:这个需要管控制的有害物质清单与组织存在的有害物质形成的清单是两码事,后者是真正存在于组织物料中的有害物质的清单)。
识别出需要管控的有害物质后,就要对公司的产品进行有害物质风险识别。不是每种材料中都可能含有每种有害物质,也不是每种有害物质都可能存在于每种材料中,这是基本概念。公司产品中某种有害物质可能超标,意味着产品中含有某种风险材料,这个风险材料可能含有的某种(些)有害物质超标了。那如何识别这些风险材料呢?要做好这个分析,需要组织拥有比较专业的人员,对不同材料分别进行不同有害物质存在的可能性分析。由于现在受控的物质很多,构成产品的材料种类也非常多,且组织还不一定知道材料的材质是什么,需要供应链支持。所以,这个工作确实是非常繁重的,但又是十分必要且有益的。只有认真地做好了这个工作,才能将后面有害物质控制工作量减到最少,有的放矢,极大地提高管控效率,降低管控成本。例如:同样是塑料,PVC是非常可能含有很多有害物质的材料,而相对而言PE含各种有害物质的可能性小得多。总体而言,有机材料的风险比无机材料高得多;金属材料除了表面处理的风险较高,其本体的风险并不高。
经过这样识别,排除不大可能含有害物质从而不需要管控的物料,得到的结果是一个可能含有某种或某几种有害物质的《风险物料清单》。这种分析,最好能做到均质材料层级。
有的公司进一步将物料存在某种有害物质的风险划分为高中低三个不同等级,这个就更加需要专业背景知识和数据支撑了,一般的企业能够识别到有无风险就不错了,很难识别出一个中风险的情况,一般就是有无风险两个等级。
但是,分析到这一步还不是最终结果,还需要进一步做物料来源分析,即识别出物料的风险供应商甚至整个上游供应链风险所在。要将向公司供应风险物料的供应商全部识别出来,然后进一步识别供应商的有害物质管控能力(即供应商的可靠性),这个能力则可以划分高中低等级。
结合材料风险和供应商风险等级,最终风险分析的结果是确定了风险等级的物料,可分为高中低三个级别,且每个物料的供应商都是对应一一列明的,都列明在《风险物料清单》中。
除了物料本身带来的风险,有些工艺也是有风险的。风险工艺的识别需要更多的化学知识,有时也需要一般的物理学知识,有些则通过简单观察就可以发现。要特别关注发生化学反应的工艺(如铬电镀或其他表面处理工艺、喷涂工艺、胶粘工艺等),发生物理性污染的工艺(如焊锡膏搅拌棒混用),发生浓缩效应(如焊锡膏回流和油漆干燥等)、偏析现象(如波峰焊)的工艺。有些过程设备本身或其运行可能导致风险(如焊接工具、注塑设备清洗),有些过程运行环境可能导致风险(如产品储存条件),都可以认为是工艺风险。识别完后,建立《风险工艺》清单。
直接导致产品有害物质超标可能还有另外一个原因,即风险过程的人为失误。这里说的风险过程,并不是指前面说的风险工艺,而是涉及人员失误导致过程输出出现风险的过程。这样的过程有一类直接涉及对物料的处理,如物料和产品储存、发料、领料、上料、制造、标识、包装、出货、不合格品处理、维修、维护等;另一类则不直接涉及物料,但其过程运行结果却与产品符合性密切相关,如法规和客户要求识别与评审、内部信息传递、产品设计开发、采购、供应链管理、客户沟通、人力资源保障、物料和产品检验等。对这些存在风险的过程,都应该分析其产生的根源,识别其后果及发生的可能性,综合考虑采取措施的必要性,建立《风险过程清单》。
识别这些风险,几乎涉及所有部门。进一步要控制这样的风险,当然也需要相关部门先依据风险来源制订出应对措施。
谢谢分享。。。 谢谢分享。。。 谢谢分享。。 谢谢分享 :) :) :) :) 谢谢分享,学习中。