如何通過基于模型的設(shè)計實現(xiàn)ASPICE合規(guī)性？

什么是 ASPICE

Automotive SPICE* 全稱 Automotive Software Process Improvement and Capability dEtermination（汽車軟件過程改進及能力評定，簡稱 ASPICE），是一種基于 ISO/IEC 15504 和 ISO 330xx 系列標準的汽車標準。

通過 ASPICE，汽車供應(yīng)鏈中的各組織可以評估和改進他們自己的過程及其供應(yīng)商的過程的能力級別。在實踐中，ASPICE 支持客戶（OEM 及其多層網(wǎng)絡(luò)）在選擇過程中評估其供應(yīng)商的過程。 基于模型的設(shè)計和基于模型的系統(tǒng)工程提供了相關(guān)的要素和機制，不僅使組織能夠滿足 ASPICE 要求，而且還使供應(yīng)商能夠滿足甚至超越其客戶期望。

以可追溯性為例來說明關(guān)鍵 ASPICE 概念：借助 MathWorks 的 Simulink、System Composer 和其他規(guī)范創(chuàng)建、設(shè)計、代碼生成和驗證/確認 (V&V) 工具，您可以維護各工程工件之間的數(shù)字化線索（圖 1）。使用向前和向后可追溯性，您可以了解需求是如何實現(xiàn)的，以及您的設(shè)計約束在開發(fā)的系統(tǒng)和軟件中是如何得到滿足的。此功能也廣泛適用于所有驗證和確認工件。



圖 1. 使用基于模型的設(shè)計和基于模型的系統(tǒng)工程，您可以在整個開發(fā)生命周期內(nèi)輕松維護工件之間的數(shù)字化線索。這是 ASPICE 的一項關(guān)鍵原則。 基于模型的設(shè)計對 ASPICE 提供了支持。這種支持在 IEC Certification Kit 的映射文檔中進行了詳述。該文檔將工具用例映射到了 ASPICE 的基本實踐。

ASPICE 的維度

ASPICE 有兩個維度：一個是過程參考模型 (PRM)，另一個是度量框架。在評估過程中，評估者可根據(jù)預(yù)定義的屬性對過程進行評級。ASPICE 提供了各過程及其屬性的評級聚合機制，用于確定組織實現(xiàn)的能力級別。



圖 2. ASPICE 過程評估的二維框架：某些過程選自過程參考模型（第一個維度），其能力級別（第二個維度）基于證據(jù)評定。 ASPICE 總共定義了六個能力級別，從 0 級（不完整過程）到 5 級（創(chuàng)新過程）。 隨著 ASPICE 在汽車行業(yè)的日益盛行，許多 OEM 及其多層網(wǎng)絡(luò)都要求他們的所有供應(yīng)商至少達到 ASPICE 2 級，并計劃在將來的項目中或?qū)磉_到 3 級。 圖 3 描述了 ASPICE 的六個級別，以及每個級別的評估所需的額外過程屬性。



圖 3. ASPICE 的六個能力級別。ASPICE 定義了六個過程能力級別，從不完整過程（0 級）到創(chuàng)新過程（5 級）。要從一個級別進入下一個更高級別，需要實現(xiàn)特定過程屬性并予以證明。

過程參考模型 (PRM)

ASPICE 的過程參考模型定義了過程及其相互關(guān)系。每個過程都是通過其名稱、主要目的和關(guān)聯(lián)的結(jié)果來描述的。 每個過程中還都指定了特定基本實踐，這些實踐定義了作為實現(xiàn)關(guān)聯(lián)過程結(jié)果的指標的活動。此外，每個過程都有特定的工作成果。如果存在這些正式文檔或工作成果，則表明 ASPICE 中的特定活動取得了正面的結(jié)論。 該標準將這些過程（總共 32 個）分為三個過程類別（主要類別、組織類別和支持類別）和八個過程組。

主要生命周期過程包括采購過程組（客戶方）、供應(yīng)過程組（供應(yīng)商方），以及在系統(tǒng)和軟件級進行產(chǎn)品規(guī)范創(chuàng)建、設(shè)計、開發(fā)、集成和測試所需的工程過程。

支持生命周期過程包括文檔創(chuàng)建、驗證、聯(lián)合審核和變更管理等過程。這些過程在整個產(chǎn)品生命周期內(nèi)可供其他過程所使用。

組織生命周期過程包括管理、復(fù)用和過程改進過程組。這些過程使組織可通過開發(fā)要在工程中使用的流程、產(chǎn)品和可復(fù)用資源資產(chǎn)來實現(xiàn)其業(yè)務(wù)目標。

圖 4. ASPICE 過程參考模型。該模型詳述了分為三個類別和八個過程組的 32 個過程。橙色框表示 VDA 范圍內(nèi)的 ASPICE 過程。

度量框架

通過 ASPICE 的度量框架，評估者可以根據(jù)可衡量的過程特性或?qū)傩詠泶_定每個相關(guān)過程的能力維度。通過考慮以下因素，評估者可獲取合規(guī)性證據(jù)：

所評估過程的可用工作成果和存儲庫內(nèi)容

過程執(zhí)行者和管理者提供的證詞

過程屬性評級采用一個四步有序等級（N 表示沒有達成、P 表示部分達成、L 表示主要達成，以及 F 表示完全達成）。要達到某個過程的特定能力級別，該級別的所有過程屬性都必須為 L（主要達成）或 F（完全達成），并且先前級別的過程屬性必須為 F（完全達成）。

ASPICE 工程過程

ASPICE 中的主要生命周期過程類別包括系統(tǒng)工程過程組和軟件工程過程組。這兩組定義了在系統(tǒng)級和軟件級開發(fā)汽車產(chǎn)品所需的工程過程。系統(tǒng)級別是軟件、硬件、機械和熱學(xué)等學(xué)科的交匯點。 系統(tǒng)工程過程組描述了 SYS.1–SYS.5 的各個過程，這些過程對于收集和管理客戶和內(nèi)部需求、開發(fā)系統(tǒng)架構(gòu)以及在系統(tǒng)級執(zhí)行集成、集成測試和確認活動來說必不可少。 同樣，軟件工程過程組描述了 SWE.1–SWE.6 的各個過程。 SWE.1–3 詳述了 V 模型左側(cè)的過程。這些過程旨在詳細說明軟件需求、開發(fā)軟件架構(gòu)設(shè)計、提供詳細設(shè)計和構(gòu)建軟件單元。

SWE.4–6 詳述了 V 模型右側(cè)的過程，涵蓋驗證、集成、測試和確認活動。 汽車價值鏈中的汽車組織將基于模型的設(shè)計和基于模型的系統(tǒng)工程與 Simulink 結(jié)合使用，開發(fā)電氣和/或電子 (E/E) 產(chǎn)品，以滿足甚至超越客戶、市場和標準化要求。在涉及到 ASPICE 時，將基于模型的方法與 Simulink 結(jié)合使用可為您的工程過程提供廣泛的支持。IEC Certification Kit 中的工具映射文檔對此進行了概述。

基于模型的設(shè)計和基于模型的系統(tǒng)工程之所以廣泛應(yīng)用于執(zhí)行 ASPICE 工程過程和基本實踐，這可能歸因于自動化和仿真能力。例如，通過基于模型的設(shè)計方法，您能夠在設(shè)計過程的早期高效可靠地執(zhí)行權(quán)衡研究，并在所有工程工件之間建立具有完全可追溯性的數(shù)字化線索，這些工件包括需求規(guī)范創(chuàng)建、設(shè)計、實現(xiàn)、驗證和確認工件。憑借這種能力，工程師能夠?qū)Ｗ⒂陂_發(fā)最前沿的產(chǎn)品和創(chuàng)新技術(shù)，利用工具支持從完整性、一致性和正確性等方面實現(xiàn)過程的質(zhì)量。

ASPICE 以及 ISO 26262 和 IATF 16949 標準

ISO 26262 是汽車行業(yè)的功能安全標準。該標準概述了目標，并規(guī)定了通過實現(xiàn)這些目標來開發(fā)功能安全（即沒有不合理風(fēng)險）的電氣/電子汽車產(chǎn)品所需的要求和活動。 該標準涵蓋汽車項目的整個安全生命周期，包括概念、開發(fā)、生產(chǎn)、運營、服務(wù)和報廢階段。安全要求是指系統(tǒng)不能做什么，它們可通過執(zhí)行安全分析活動來確定。這些活動包括概念階段的危害分析和風(fēng)險評估 (HARA)、故障模式和影響分析 (FMEA)，以及產(chǎn)品開發(fā)期間進行的系統(tǒng)、硬件和軟件級故障樹分析 (FTA)。FMEA 過程也在生產(chǎn)、運營、服務(wù)和報廢階段執(zhí)行。 ISO 26262 涵蓋從概念階段到報廢階段的整個生命周期，而 ASPICE 更側(cè)重于設(shè)計和開發(fā)。

ASPICE 還強調(diào)了雙向可追溯性的重要性，旨在確保一致性、正確性和完整性。 此外，ISO 26262-2:2018 的第 5.4.5.1 條規(guī)定，“組織應(yīng)擁有質(zhì)量管理體系，以支持功能安全并符合質(zhì)量管理標準（如 IATF 16949 和 ISO 9001 或同等標準）?！睋碛匈|(zhì)量管理系統(tǒng) (QMS) 對于軟件開發(fā)尤其重要，因為在軟件開發(fā)中所有錯誤均為系統(tǒng)化錯誤。QMS 有助于預(yù)防和盡早發(fā)現(xiàn)問題、不一致情況和錯誤。 另一方面，在與關(guān)于嵌入式軟件開發(fā)的第 8.3.2.3 條相關(guān)的常見問題解答中，IATF 16949 本身就引用的是 ASPICE。

對于 ISO 26262 和 ASPICE 之間的關(guān)系，另一個重要方面是，ISO 26262 定義了四個汽車安全完整性等級（ASIL A 到 D）。該標準還定義了一個額外的 QM 類風(fēng)險。質(zhì)量管理過程（如 ASPICE）足以管理這些 QM 風(fēng)險。 在設(shè)計和開發(fā)階段，ISO 26262 和 ASPICE 之間存在著很多重疊。

如果您根據(jù) ASPICE 進行開發(fā)，那自然也會滿足 ISO 26262 的多項要求。這也基本適用于 IATF 16949。因此，我們強烈建議協(xié)調(diào)和統(tǒng)一 ISO 26262 和 ASPICE（以及 IATF 16949）過程，以及同步 ASPICE 和功能安全評估和審核。

ASPICE 新增內(nèi)容

由于網(wǎng)絡(luò)安全對于汽車行業(yè)日益重要，2021 年 ASPICE 中新增了關(guān)于網(wǎng)絡(luò)安全的補充內(nèi)容。該補充內(nèi)容包括四個側(cè)重于網(wǎng)絡(luò)安全的新工程過程（即 SEC.1–4），涵蓋網(wǎng)絡(luò)安全需求及其實施方案，以及驗證和確認活動。圖 5 顯示適用于網(wǎng)絡(luò)安全過程參考模型的 ASPICE。除了網(wǎng)絡(luò)安全之外，ASPICE 目前還有一些增補內(nèi)容，涵蓋硬件和機械工程過程。這些增補內(nèi)容讓您可將所有常見的機電一體化領(lǐng)域都納入 ASPICE 的考慮范疇。



圖 5. 適用于網(wǎng)絡(luò)安全過程參考模型的 ASPICE。除了 MAN.7 和 ACQ.2 之外，它還引入了四個新的工程過程。 * Automotive SPICE 是 Verband der Automobilindustrie e.V. (VDA) 的注冊商標。






審核編輯：劉清