如何决定ASPICE的导入范围？

ASPICE v3.1版，共有32个关键流程;新增订版的ASPICE for Cybersecurity 又额外增加了6个流程; 这么多的流程，该如何选定导入与验证范围呢？ 让笔者带你深入了解业界常见的ASPICE导入范围。

为了促使汽车电子和软件供应商关注产品开发过程，提升过程质量，Automotive SIG选取了32个关键流程，分为3大类、8个流程组。

图 ASPICE SIG 所定义的 3的大类、8个子分类、32个流程 （请参阅ASPICE 3.1文件）

从标准的流程图中，3大类流程，分别是：

• （橘色） 主要生命周期（Primary Life Cycle Processes）
• （蓝色） 组织生命周期（Organizational Life Cycle Processes）
• （绿色） 支持生命周期（Supporting Life Cycle Processes）

图 ASPICE流程（分成三个大类，八个领域，共计32个流程）

根据流程所侧重的活动型别不同，每个分类又被细分成8个子分类，每个子分类再定义各自的流程：

• 采购（ACQ： Acquisition） 主要生命周期
• 供应（SPL： Supply） 主要生命周期
• 系统工程（SYS： System Engineering） 主要生命周期
• 软件工程（SWE： Software Engineering） 主要生命周期
• 管理（MAN： Management） 组织生命周期
• 改进（PIM： Process Improvement） 组织生命周期
• 重用（REU： Reuse） 组织生命周期
• 支持（SUP： Supporting） 支持生命周期

ASPICE范围谁来决定？

在标准文件中，ASPICE并没有说明评估的范围，总数32个流程如果全部要导入，将会非常的旷日废时。 谁来决定ASPICE的范围？

「答案是：与客户共同商定的」

在亚洲，常被要求的范围大致上，可以分为三个，分别是：

• VDA Scope
• VDA Extended Scope
• VDA Extended Scope (plus additional processes)

「HIS」是由Audi AG， BMW， DaimlerChrysler， Porsche， Volkswagen等车厂成立的组织，负责制定软件开发的相关规则。

2016年，HIS组织解散了。 接续，VDA QMC （Automotive SPICE PAM v2.5及后续标准版本的负责单位）在2017年Automotive SPICE PAM v3.0发布时，将之前在业界广为人知的HIS Scope，改名为VDA Scope。

不同的ASPICE范围：VDA Scope， VDA Extended Scope， VDA Extended Scope （plus additional process）

VDA Scope

为最基本，也是最常见的范围，为上图中「红色」框所圈选的范围 — 共计16个。

• ACQ.4： 供应商监控「采购」主要生命周期
• SUP.1： 质量管理「支持」支持生命周期
• SUP.8： 建构管理（或称 组态管理， 或称 配置管理）「支持」支持生命周期
• SUP.9： 问题管理「支持」支持生命周期
• SUP.10： 变更管理「支持」支持生命周期
• MAN.3： 项目管理「管理」组织生命周期
• SYS.2： 系统需求分析「系统工程」主要生命周期
• SYS.3： 系统架构设计「系统工程」主要生命周期
• SYS.4： 系统集成及集成测试「系统工程」主要生命周期
• SYS.5： 系统合格测试「系统工程」主要生命周期
• SWE.1： 软件需求分析「软件工程」主要生命周期
• SWE.2： 软件架构设计「软件工程」主要生命周期
• SWE.3： 软件细部设计及单元开发「软件工程」主要生命周期
• SWE.4： 软件单元验证「软件工程」主要生命周期
• SWE.5： 软件整合及整合测试「软件工程」主要生命周期
• SWE.6： 软件合格测试「软件工程」主要生命周期

VDA Extended Scope

是VDA Scope的延伸范围，这个范围通常是由16个VDA Scope提到的流程，外加4个或5个流程。 （通常SUP.2和SUP.4可以被归类为同一个）

• SYS.1： 需求获取「系统工程」主要生命周期
• MAN.5： 风险管理「管理」组织生命周期
• SUP.2： 验证「支持」支持生命周期
• SUP.4： 联合审查「支持」支持生命周期
• SPL.2： 产品发布「供应」主要生命周期

VDA Extended Scope (plus additional processes)

上述的VDA Scope（16个流程），和VDA Extended Scope（21个流程）为汽车供应链中最常被要求的两个范围，除此之外，不同国家的车厂亦会额外要求一些流程，这些被额外追加的流程通常包含但不限于下列：

• REU.2： 重复使用「管理」组织生命周期
• SUP.7： 文件化「支持」支持生命周期
• PIM.3： 流程改善「改进」组织生命周期

额外说明： REU.2为何被要求？

通常在车用产业的组件（或部件）开发，并不是从无到有的。 许多都是架构在之前的项目或产品之上，因此，重复使用先前项目的成果在现有的项目中，是很常见的。

为此，REU.2也是隐性被客户要求的需求。 如果现行交付的产品有很大一部分是建构在「重用」的基础上，客户也有很大的可能会要求提出「重用」的合理性判断。

备注：通常过去的项目与产品，并非依照ASPICE标准开发的，因此，笔者建议如果遇到客户针对重用的部分进行确认，可以尽可能提出越多的证据以证明之前项目的合规性。 （e.g. 量产证明、测试案例与报告、客户证明、等）

额外说明： SUP.7 可以怎么被实现？

一般组织如果有导入IATF 16949或ISO 9001，那么在这些标准中，都有要求文件管制。 这部分的管制办法可以高度用于实现SUP.7。

额外说明： PIM.3何时会需要导入？

如果公司的目标是追求ASPICE Level 3，那么建议以PIM.3流程为基础，建立一个企业流程改善程序，并组建一个流程改善小组（EPG小组）。

对于EPG小组而言，建立并维护一套企业的标准作业流程是其份内的工作，而这也是合乎ASPICE Level 3的流程属性。

2020年及2021年后的范围趋势

2016到2018年，车用产业多把ASPICE和ISO 26262放在一起讨论与对照。 笔者于2019参加VDA于韩国举办的研讨会时，大家都将焦点放在未来车用的另一个标准 —网通安全（Cybersecurity）。

VW在其2019年对供应商的要求文件（Kgas）中，有相当大的篇幅在要求网通安全管理（Cybersecurity Management）。

VDA QMC在2021年2月，发布的ASPICE for Cybersecurity 草稿文件; ISO/SAE 21434 标准也于2021年3月，正式进入FDIS版。 车用标准将会在2021年迎来一次变化的浪潮，台湾作为半导体产业重镇，提供全球车用关键的零组件，届时应该会从客户端再收到相关的要求。

ISO/SAE 21434 已经于2021年3月9日进入FDIS版，该标准即将发布

文章转载自公众号：软件赋能汽车