什么是 ASPICE

Automotive SPICE* 全稱 Automotive Software Process Improvement and Capability dEtermination（汽車軟件過程改進及能力評定，簡稱 ASPICE），是一種基于 ISO/IEC 15504 和 ISO 330xx 系列標準的汽車標準。

通過 ASPICE，汽車供應鏈中的各組織可以評估和改進他們自己的過程及其供應商的過程的能力級別。在實踐中，ASPICE 支持客戶（OEM 及其多層網絡）在選擇過程中評估其供應商的過程。 基于模型的設計和基于模型的系統工程提供了相關的要素和機制，不僅使組織能夠滿足 ASPICE 要求，而且還使供應商能夠滿足甚至超越其客戶期望。

以可追溯性為例來說明關鍵 ASPICE 概念：借助 MathWorks 的 Simulink、System Composer 和其他規范創建、設計、代碼生成和驗證/確認 (V&V) 工具，您可以維護各工程工件之間的數字化線索（圖 1）。使用向前和向后可追溯性，您可以了解需求是如何實現的，以及您的設計約束在開發的系統和軟件中是如何得到滿足的。此功能也廣泛適用于所有驗證和確認工件。



圖 1. 使用基于模型的設計和基于模型的系統工程，您可以在整個開發生命周期內輕松維護工件之間的數字化線索。這是 ASPICE 的一項關鍵原則。 基于模型的設計對 ASPICE 提供了支持。這種支持在 IEC Certification Kit 的映射文檔中進行了詳述。該文檔將工具用例映射到了 ASPICE 的基本實踐。

ASPICE 的維度

ASPICE 有兩個維度：一個是過程參考模型 (PRM)，另一個是度量框架。在評估過程中，評估者可根據預定義的屬性對過程進行評級。ASPICE 提供了各過程及其屬性的評級聚合機制，用于確定組織實現的能力級別。



圖 2. ASPICE 過程評估的二維框架：某些過程選自過程參考模型（第一個維度），其能力級別（第二個維度）基于證據評定。 ASPICE 總共定義了六個能力級別，從 0 級（不完整過程）到 5 級（創新過程）。 隨著 ASPICE 在汽車行業的日益盛行，許多 OEM 及其多層網絡都要求他們的所有供應商至少達到 ASPICE 2 級，并計劃在將來的項目中或將來達到 3 級。 圖 3 描述了 ASPICE 的六個級別，以及每個級別的評估所需的額外過程屬性。



圖 3. ASPICE 的六個能力級別。ASPICE 定義了六個過程能力級別，從不完整過程（0 級）到創新過程（5 級）。要從一個級別進入下一個更高級別，需要實現特定過程屬性并予以證明。

過程參考模型 (PRM)

ASPICE 的過程參考模型定義了過程及其相互關系。每個過程都是通過其名稱、主要目的和關聯的結果來描述的。 每個過程中還都指定了特定基本實踐，這些實踐定義了作為實現關聯過程結果的指標的活動。此外，每個過程都有特定的工作成果。如果存在這些正式文檔或工作成果，則表明 ASPICE 中的特定活動取得了正面的結論。 該標準將這些過程（總共 32 個）分為三個過程類別（主要類別、組織類別和支持類別）和八個過程組。

主要生命周期過程包括采購過程組（客戶方）、供應過程組（供應商方），以及在系統和軟件級進行產品規范創建、設計、開發、集成和測試所需的工程過程。

支持生命周期過程包括文檔創建、驗證、聯合審核和變更管理等過程。這些過程在整個產品生命周期內可供其他過程所使用。

組織生命周期過程包括管理、復用和過程改進過程組。這些過程使組織可通過開發要在工程中使用的流程、產品和可復用資源資產來實現其業務目標。

圖 4. ASPICE 過程參考模型。該模型詳述了分為三個類別和八個過程組的 32 個過程。橙色框表示 VDA 范圍內的 ASPICE 過程。

度量框架

通過 ASPICE 的度量框架，評估者可以根據可衡量的過程特性或屬性來確定每個相關過程的能力維度。通過考慮以下因素，評估者可獲取合規性證據：

所評估過程的可用工作成果和存儲庫內容

過程執行者和管理者提供的證詞

過程屬性評級采用一個四步有序等級（N 表示沒有達成、P 表示部分達成、L 表示主要達成，以及 F 表示完全達成）。要達到某個過程的特定能力級別，該級別的所有過程屬性都必須為 L（主要達成）或 F（完全達成），并且先前級別的過程屬性必須為 F（完全達成）。

ASPICE 工程過程

ASPICE 中的主要生命周期過程類別包括系統工程過程組和軟件工程過程組。這兩組定義了在系統級和軟件級開發汽車產品所需的工程過程。系統級別是軟件、硬件、機械和熱學等學科的交匯點。 系統工程過程組描述了 SYS.1–SYS.5 的各個過程，這些過程對于收集和管理客戶和內部需求、開發系統架構以及在系統級執行集成、集成測試和確認活動來說必不可少。 同樣，軟件工程過程組描述了 SWE.1–SWE.6 的各個過程。 SWE.1–3 詳述了 V 模型左側的過程。這些過程旨在詳細說明軟件需求、開發軟件架構設計、提供詳細設計和構建軟件單元。

SWE.4–6 詳述了 V 模型右側的過程，涵蓋驗證、集成、測試和確認活動。 汽車價值鏈中的汽車組織將基于模型的設計和基于模型的系統工程與 Simulink 結合使用，開發電氣和/或電子 (E/E) 產品，以滿足甚至超越客戶、市場和標準化要求。在涉及到 ASPICE 時，將基于模型的方法與 Simulink 結合使用可為您的工程過程提供廣泛的支持。IEC Certification Kit 中的工具映射文檔對此進行了概述。

基于模型的設計和基于模型的系統工程之所以廣泛應用于執行 ASPICE 工程過程和基本實踐，這可能歸因于自動化和仿真能力。例如，通過基于模型的設計方法，您能夠在設計過程的早期高效可靠地執行權衡研究，并在所有工程工件之間建立具有完全可追溯性的數字化線索，這些工件包括需求規范創建、設計、實現、驗證和確認工件。憑借這種能力，工程師能夠專注于開發最前沿的產品和創新技術，利用工具支持從完整性、一致性和正確性等方面實現過程的質量。

ASPICE 以及 ISO 26262 和 IATF 16949 標準

ISO 26262 是汽車行業的功能安全標準。該標準概述了目標，并規定了通過實現這些目標來開發功能安全（即沒有不合理風險）的電氣/電子汽車產品所需的要求和活動。 該標準涵蓋汽車項目的整個安全生命周期，包括概念、開發、生產、運營、服務和報廢階段。安全要求是指系統不能做什么，它們可通過執行安全分析活動來確定。這些活動包括概念階段的危害分析和風險評估 (HARA)、故障模式和影響分析 (FMEA)，以及產品開發期間進行的系統、硬件和軟件級故障樹分析 (FTA)。FMEA 過程也在生產、運營、服務和報廢階段執行。 ISO 26262 涵蓋從概念階段到報廢階段的整個生命周期，而 ASPICE 更側重于設計和開發。

ASPICE 還強調了雙向可追溯性的重要性，旨在確保一致性、正確性和完整性。 此外，ISO 26262-2:2018 的第 5.4.5.1 條規定，“組織應擁有質量管理體系，以支持功能安全并符合質量管理標準（如 IATF 16949 和 ISO 9001 或同等標準）。”擁有質量管理系統 (QMS) 對于軟件開發尤其重要，因為在軟件開發中所有錯誤均為系統化錯誤。QMS 有助于預防和盡早發現問題、不一致情況和錯誤。 另一方面，在與關于嵌入式軟件開發的第 8.3.2.3 條相關的常見問題解答中，IATF 16949 本身就引用的是 ASPICE。

對于 ISO 26262 和 ASPICE 之間的關系，另一個重要方面是，ISO 26262 定義了四個汽車安全完整性等級（ASIL A 到 D）。該標準還定義了一個額外的 QM 類風險。質量管理過程（如 ASPICE）足以管理這些 QM 風險。 在設計和開發階段，ISO 26262 和 ASPICE 之間存在著很多重疊。

如果您根據 ASPICE 進行開發，那自然也會滿足 ISO 26262 的多項要求。這也基本適用于 IATF 16949。因此，我們強烈建議協調和統一 ISO 26262 和 ASPICE（以及 IATF 16949）過程，以及同步 ASPICE 和功能安全評估和審核。

ASPICE 新增內容

由于網絡安全對于汽車行業日益重要，2021 年 ASPICE 中新增了關于網絡安全的補充內容。該補充內容包括四個側重于網絡安全的新工程過程（即 SEC.1–4），涵蓋網絡安全需求及其實施方案，以及驗證和確認活動。圖 5 顯示適用于網絡安全過程參考模型的 ASPICE。除了網絡安全之外，ASPICE 目前還有一些增補內容，涵蓋硬件和機械工程過程。這些增補內容讓您可將所有常見的機電一體化領域都納入 ASPICE 的考慮范疇。



圖 5. 適用于網絡安全過程參考模型的 ASPICE。除了 MAN.7 和 ACQ.2 之外，它還引入了四個新的工程過程。 * Automotive SPICE 是 Verband der Automobilindustrie e.V. (VDA) 的注冊商標。






審核編輯：劉清