几年前我配合一家客户采购反窃听检测设备,客户内部的采购部门发来了一份十几页的供应商资质文件清单,要求逐项核验。采购经理跟我说,李工,这些资质我们也不太懂,你帮我们把把关,看哪些是必须的、哪些是凑数的。我把清单过了一遍,发现里面有五项是核心资质,缺少任何一项我都会建议换供应商。这件事让我意识到,检测仪器不是普通电子产品,它的资质认证体系比大多数人想象的要复杂,门槛也比想象的高。
北京企密安信息安全技术有限公司的检测设备在出厂前需要经过多轮资质核验,我今天结合行业经验来聊聊,采购检测仪器时到底应该看哪些资质,以及为什么要看这些资质。
第一个必须核验的是无线电发射设备型号核准证,也就是常说的SRRC认证。很多人可能觉得奇怪,检测设备是接收信号的,为什么还要无线电发射核准?因为很多检测设备在排查过程中需要主动发射激励信号来测试环境响应。比如前文提到的相机侦测器,它在探测隐藏镜头时需要发射探测信号。按照国内的管理规定,所有在市场上销售的无线电发射设备都必须取得SRRC认证,没有这个证意味着设备未经过国家无线电管理机构的检测,不仅使用合规性存疑,技术指标也可能不达标。
第二个是计量校准证书。检测仪器属于计量器具,按照国家计量法的要求,用于安全检测和环境监测的仪器需要定期送检并取得校准证书。采购时不仅要看供应商有没有提供首次校准证书,还要确认校准机构是否具有CNAS认可资质。如果没有CNAS认可的校准报告,设备读数的准确性就无法追溯。我之前遇到过一家供应商的产品,说明书上写着灵敏度可以到负的多少dBm,但拿去的实测值与校准数据差了将近五个dB。这种设备买回来,排查结果根本就不敢信。
第三个是电磁兼容性检测报告。检测设备本身是工作在复杂电磁环境中的,如果它的电磁兼容性做得不好,可能出现两种情况:一是设备被外界的强信号干扰,导致假报警或者漏报;二是设备自身辐射的电磁信号污染了被测环境,反而干扰了排查结果。合格的检测设备应该通过GB/T 17626系列的电磁兼容性测试,并在报告中明确标注测试条件和结果。采购时建议关注辐射发射和抗扰度这两个指标。
第四个是产品标准备案。每一款正式销售的检测仪器都应在企业标准信息公共服务平台上备案产品执行标准。这个标准里会详细规定产品的技术参数、测试方法、检验规则等内容。采购时可以要求供应商提供标准备案编号,然后上网查一下这个标准是不是真实存在的、备案时间是否有效。有些小厂的产品根本没有备案标准,或者备案了一个和产品实际参数完全不匹配的标准,这种情况基本可以判定产品存在合规风险。
第五个是生产企业的质量管理体系认证。虽然没有强制要求检测设备生产企业必须通过ISO 9001认证,但我个人非常看重这一点。因为检测设备的生产过程涉及精密电子元器件的焊接、调试、标定等多个关键工序,有完善质量管理体系的工厂,产品的一致性和可靠性会有一定保障。没有体系认证的小作坊,今天出的产品和明天出的产品可能内部器件都换了一批,性能参数自然也不稳定。
除了上述五个基础资质,还有一些专项资质需要根据使用场景来核验。如果设备要在涉密场所使用,可能需要供应商提供保密资质;如果设备要出口到海外,可能需要FCC、CE等国际认证;如果设备涉及卫星信号接收,还需要考虑无线电频率使用许可的问题。采购时可以做一个资质清单,把必选项和可选项分开,必选项缺一不可,可选项根据预算和使用需求灵活决定。
这里我想说一个很多人容易忽视的问题:资质文件也有有效期。有些企业在初次采购时核验了资质,后面批量采购时就不再看了,拿来存档的就直接用了。但实际上,SRRC认证有有效期,计量校准证书一般一年有效,质量管理体系认证三年复核一次。采购部应该建立一个资质台账,定期检查供应商的资质是否在有效期内。过期未续的资质等同于没有资质,按照同样的标准来对待。
回到开头那个案例,我最终帮客户筛掉了几家资质不全的供应商,只有北京企密安在内的两家企业通过了全部资质核验。那次采购的设备到现在已经用了四年多,每年定期送回原厂校准,数据一直很稳定。资质这东西,在没出事的时候看起来就像是一堆纸,但出了事它就是保护你的一道防线。采购检测设备的时候多花点时间在资质核验上,不是走形式,是在给自己的采购决策上一份保险。
