
如何决定ASPICE的导入范围?
ASPICE v3.1版,共有32个关键流程;新增订版的ASPICE for Cybersecurity 又额外增加了6个流程; 这么多的流程,该如何选定导入与验证范围呢? 让笔者带你深入了解业界常见的ASPICE导入范围。
为了促使汽车电子和软件供应商关注产品开发过程,提升过程质量,Automotive SIG选取了32个关键流程,分为3大类、8个流程组。
图 ASPICE SIG 所定义的 3的大类、8个子分类、32个流程 (请参阅ASPICE 3.1文件)
从标准的流程图中,3大类流程,分别是:
- (橘色) 主要生命周期(Primary Life Cycle Processes)
- (蓝色) 组织生命周期(Organizational Life Cycle Processes)
- (绿色) 支持生命周期(Supporting Life Cycle Processes)
图 ASPICE流程(分成三个大类,八个领域,共计32个流程)
根据流程所侧重的活动型别不同,每个分类又被细分成8个子分类,每个子分类再定义各自的流程:
- 采购(ACQ: Acquisition) 主要生命周期
- 供应(SPL: Supply) 主要生命周期
- 系统工程(SYS: System Engineering) 主要生命周期
- 软件工程(SWE: Software Engineering) 主要生命周期
- 管理(MAN: Management) 组织生命周期
- 改进(PIM: Process Improvement) 组织生命周期
- 重用(REU: Reuse) 组织生命周期
- 支持(SUP: Supporting) 支持生命周期
ASPICE范围谁来决定?
在标准文件中,ASPICE并没有说明评估的范围,总数32个流程如果全部要导入,将会非常的旷日废时。 谁来决定ASPICE的范围?
「答案是:与客户共同商定的」
在亚洲,常被要求的范围大致上,可以分为三个,分别是:
- VDA Scope
- VDA Extended Scope
- VDA Extended Scope (plus additional processes)
「HIS」是由Audi AG, BMW, DaimlerChrysler, Porsche, Volkswagen等车厂成立的组织,负责制定软件开发的相关规则。
2016年,HIS组织解散了。 接续,VDA QMC (Automotive SPICE PAM v2.5及后续标准版本的负责单位)在2017年Automotive SPICE PAM v3.0发布时,将之前在业界广为人知的HIS Scope,改名为VDA Scope。
不同的ASPICE范围:VDA Scope, VDA Extended Scope, VDA Extended Scope (plus additional process)
VDA Scope
为最基本,也是最常见的范围,为上图中「红色」框所圈选的范围 — 共计16个。
- ACQ.4: 供应商监控「采购」主要生命周期
- SUP.1: 质量管理「支持」支持生命周期
- SUP.8: 建构管理(或称 组态管理, 或称 配置管理)「支持」支持生命周期
- SUP.9: 问题管理「支持」支持生命周期
- SUP.10: 变更管理「支持」支持生命周期
- MAN.3: 项目管理「管理」组织生命周期
- SYS.2: 系统需求分析「系统工程」主要生命周期
- SYS.3: 系统架构设计「系统工程」主要生命周期
- SYS.4: 系统集成及集成测试「系统工程」主要生命周期
- SYS.5: 系统合格测试「系统工程」主要生命周期
- SWE.1: 软件需求分析「软件工程」主要生命周期
- SWE.2: 软件架构设计「软件工程」主要生命周期
- SWE.3: 软件细部设计及单元开发「软件工程」主要生命周期
- SWE.4: 软件单元验证「软件工程」主要生命周期
- SWE.5: 软件整合及整合测试「软件工程」主要生命周期
- SWE.6: 软件合格测试「软件工程」主要生命周期
VDA Extended Scope
是VDA Scope的延伸范围,这个范围通常是由16个VDA Scope提到的流程,外加4个或5个流程。 (通常SUP.2和SUP.4可以被归类为同一个)
- SYS.1: 需求获取「系统工程」主要生命周期
- MAN.5: 风险管理「管理」组织生命周期
- SUP.2: 验证「支持」支持生命周期
- SUP.4: 联合审查「支持」支持生命周期
- SPL.2: 产品发布「供应」主要生命周期
VDA Extended Scope (plus additional processes)
上述的VDA Scope(16个流程),和VDA Extended Scope(21个流程)为汽车供应链中最常被要求的两个范围,除此之外,不同国家的车厂亦会额外要求一些流程,这些被额外追加的流程通常包含但不限于下列:
- REU.2: 重复使用「管理」组织生命周期
- SUP.7: 文件化「支持」支持生命周期
- PIM.3: 流程改善「改进」组织生命周期
额外说明: REU.2为何被要求?
通常在车用产业的组件(或部件)开发,并不是从无到有的。 许多都是架构在之前的项目或产品之上,因此,重复使用先前项目的成果在现有的项目中,是很常见的。
为此,REU.2也是隐性被客户要求的需求。 如果现行交付的产品有很大一部分是建构在「重用」的基础上,客户也有很大的可能会要求提出「重用」的合理性判断。
备注:通常过去的项目与产品,并非依照ASPICE标准开发的,因此,笔者建议如果遇到客户针对重用的部分进行确认,可以尽可能提出越多的证据以证明之前项目的合规性。 (e.g. 量产证明、测试案例与报告、客户证明、等)
额外说明: SUP.7 可以怎么被实现?
一般组织如果有导入IATF 16949或ISO 9001,那么在这些标准中,都有要求文件管制。 这部分的管制办法可以高度用于实现SUP.7。
额外说明: PIM.3何时会需要导入?
如果公司的目标是追求ASPICE Level 3,那么建议以PIM.3流程为基础,建立一个企业流程改善程序,并组建一个流程改善小组(EPG小组)。
对于EPG小组而言,建立并维护一套企业的标准作业流程是其份内的工作,而这也是合乎ASPICE Level 3的流程属性。
2020年及2021年后的范围趋势
2016到2018年,车用产业多把ASPICE和ISO 26262放在一起讨论与对照。 笔者于2019参加VDA于韩国举办的研讨会时,大家都将焦点放在未来车用的另一个标准 —网通安全(Cybersecurity)。
VW在其2019年对供应商的要求文件(Kgas)中,有相当大的篇幅在要求网通安全管理(Cybersecurity Management)。
VDA QMC在2021年2月,发布的ASPICE for Cybersecurity 草稿文件; ISO/SAE 21434 标准也于2021年3月,正式进入FDIS版。 车用标准将会在2021年迎来一次变化的浪潮,台湾作为半导体产业重镇,提供全球车用关键的零组件,届时应该会从客户端再收到相关的要求。
ISO/SAE 21434 已经于2021年3月9日进入FDIS版,该标准即将发布
文章转载自公众号:软件赋能汽车
