如何通过基于模型的设计实现ASPICE合规性？

什么是 ASPICE

Automotive SPICE* 全称 Automotive Software Process Improvement and Capability dEtermination（汽车软件过程改进及能力评定，简称 ASPICE），是一种基于 ISO/IEC 15504 和 ISO 330xx 系列标准的汽车标准。

通过 ASPICE，汽车供应链中的各组织可以评估和改进他们自己的过程及其供应商的过程的能力级别。在实践中，ASPICE 支持客户（OEM 及其多层网络）在选择过程中评估其供应商的过程。 基于模型的设计和基于模型的系统工程提供了相关的要素和机制，不仅使组织能够满足 ASPICE 要求，而且还使供应商能够满足甚至超越其客户期望。

以可追溯性为例来说明关键 ASPICE 概念：借助 MathWorks 的 Simulink、System Composer 和其他规范创建、设计、代码生成和验证/确认 (V&V) 工具，您可以维护各工程工件之间的数字化线索（图 1）。使用向前和向后可追溯性，您可以了解需求是如何实现的，以及您的设计约束在开发的系统和软件中是如何得到满足的。此功能也广泛适用于所有验证和确认工件。



图 1. 使用基于模型的设计和基于模型的系统工程，您可以在整个开发生命周期内轻松维护工件之间的数字化线索。这是 ASPICE 的一项关键原则。 基于模型的设计对 ASPICE 提供了支持。这种支持在 IEC Certification Kit 的映射文档中进行了详述。该文档将工具用例映射到了 ASPICE 的基本实践。

ASPICE 的维度

ASPICE 有两个维度：一个是过程参考模型 (PRM)，另一个是度量框架。在评估过程中，评估者可根据预定义的属性对过程进行评级。ASPICE 提供了各过程及其属性的评级聚合机制，用于确定组织实现的能力级别。



图 2. ASPICE 过程评估的二维框架：某些过程选自过程参考模型（第一个维度），其能力级别（第二个维度）基于证据评定。 ASPICE 总共定义了六个能力级别，从 0 级（不完整过程）到 5 级（创新过程）。 随着 ASPICE 在汽车行业的日益盛行，许多 OEM 及其多层网络都要求他们的所有供应商至少达到 ASPICE 2 级，并计划在将来的项目中或将来达到 3 级。 图 3 描述了 ASPICE 的六个级别，以及每个级别的评估所需的额外过程属性。



图 3. ASPICE 的六个能力级别。ASPICE 定义了六个过程能力级别，从不完整过程（0 级）到创新过程（5 级）。要从一个级别进入下一个更高级别，需要实现特定过程属性并予以证明。

过程参考模型 (PRM)

ASPICE 的过程参考模型定义了过程及其相互关系。每个过程都是通过其名称、主要目的和关联的结果来描述的。 每个过程中还都指定了特定基本实践，这些实践定义了作为实现关联过程结果的指标的活动。此外，每个过程都有特定的工作成果。如果存在这些正式文档或工作成果，则表明 ASPICE 中的特定活动取得了正面的结论。 该标准将这些过程（总共 32 个）分为三个过程类别（主要类别、组织类别和支持类别）和八个过程组。

主要生命周期过程包括采购过程组（客户方）、供应过程组（供应商方），以及在系统和软件级进行产品规范创建、设计、开发、集成和测试所需的工程过程。

支持生命周期过程包括文档创建、验证、联合审核和变更管理等过程。这些过程在整个产品生命周期内可供其他过程所使用。

组织生命周期过程包括管理、复用和过程改进过程组。这些过程使组织可通过开发要在工程中使用的流程、产品和可复用资源资产来实现其业务目标。

图 4. ASPICE 过程参考模型。该模型详述了分为三个类别和八个过程组的 32 个过程。橙色框表示 VDA 范围内的 ASPICE 过程。

度量框架

通过 ASPICE 的度量框架，评估者可以根据可衡量的过程特性或属性来确定每个相关过程的能力维度。通过考虑以下因素，评估者可获取合规性证据：

所评估过程的可用工作成果和存储库内容

过程执行者和管理者提供的证词

过程属性评级采用一个四步有序等级（N 表示没有达成、P 表示部分达成、L 表示主要达成，以及 F 表示完全达成）。要达到某个过程的特定能力级别，该级别的所有过程属性都必须为 L（主要达成）或 F（完全达成），并且先前级别的过程属性必须为 F（完全达成）。

ASPICE 工程过程

ASPICE 中的主要生命周期过程类别包括系统工程过程组和软件工程过程组。这两组定义了在系统级和软件级开发汽车产品所需的工程过程。系统级别是软件、硬件、机械和热学等学科的交汇点。 系统工程过程组描述了 SYS.1–SYS.5 的各个过程，这些过程对于收集和管理客户和内部需求、开发系统架构以及在系统级执行集成、集成测试和确认活动来说必不可少。 同样，软件工程过程组描述了 SWE.1–SWE.6 的各个过程。 SWE.1–3 详述了 V 模型左侧的过程。这些过程旨在详细说明软件需求、开发软件架构设计、提供详细设计和构建软件单元。

SWE.4–6 详述了 V 模型右侧的过程，涵盖验证、集成、测试和确认活动。 汽车价值链中的汽车组织将基于模型的设计和基于模型的系统工程与 Simulink 结合使用，开发电气和/或电子 (E/E) 产品，以满足甚至超越客户、市场和标准化要求。在涉及到 ASPICE 时，将基于模型的方法与 Simulink 结合使用可为您的工程过程提供广泛的支持。IEC Certification Kit 中的工具映射文档对此进行了概述。

基于模型的设计和基于模型的系统工程之所以广泛应用于执行 ASPICE 工程过程和基本实践，这可能归因于自动化和仿真能力。例如，通过基于模型的设计方法，您能够在设计过程的早期高效可靠地执行权衡研究，并在所有工程工件之间建立具有完全可追溯性的数字化线索，这些工件包括需求规范创建、设计、实现、验证和确认工件。凭借这种能力，工程师能够专注于开发最前沿的产品和创新技术，利用工具支持从完整性、一致性和正确性等方面实现过程的质量。

ASPICE 以及 ISO 26262 和 IATF 16949 标准

ISO 26262 是汽车行业的功能安全标准。该标准概述了目标，并规定了通过实现这些目标来开发功能安全（即没有不合理风险）的电气/电子汽车产品所需的要求和活动。 该标准涵盖汽车项目的整个安全生命周期，包括概念、开发、生产、运营、服务和报废阶段。安全要求是指系统不能做什么，它们可通过执行安全分析活动来确定。这些活动包括概念阶段的危害分析和风险评估 (HARA)、故障模式和影响分析 (FMEA)，以及产品开发期间进行的系统、硬件和软件级故障树分析 (FTA)。FMEA 过程也在生产、运营、服务和报废阶段执行。 ISO 26262 涵盖从概念阶段到报废阶段的整个生命周期，而 ASPICE 更侧重于设计和开发。

ASPICE 还强调了双向可追溯性的重要性，旨在确保一致性、正确性和完整性。 此外，ISO 26262-2:2018 的第 5.4.5.1 条规定，“组织应拥有质量管理体系，以支持功能安全并符合质量管理标准（如 IATF 16949 和 ISO 9001 或同等标准）。”拥有质量管理系统 (QMS) 对于软件开发尤其重要，因为在软件开发中所有错误均为系统化错误。QMS 有助于预防和尽早发现问题、不一致情况和错误。 另一方面，在与关于嵌入式软件开发的第 8.3.2.3 条相关的常见问题解答中，IATF 16949 本身就引用的是 ASPICE。

对于 ISO 26262 和 ASPICE 之间的关系，另一个重要方面是，ISO 26262 定义了四个汽车安全完整性等级（ASIL A 到 D）。该标准还定义了一个额外的 QM 类风险。质量管理过程（如 ASPICE）足以管理这些 QM 风险。 在设计和开发阶段，ISO 26262 和 ASPICE 之间存在着很多重叠。

如果您根据 ASPICE 进行开发，那自然也会满足 ISO 26262 的多项要求。这也基本适用于 IATF 16949。因此，我们强烈建议协调和统一 ISO 26262 和 ASPICE（以及 IATF 16949）过程，以及同步 ASPICE 和功能安全评估和审核。

ASPICE 新增内容

由于网络安全对于汽车行业日益重要，2021 年 ASPICE 中新增了关于网络安全的补充内容。该补充内容包括四个侧重于网络安全的新工程过程（即 SEC.1–4），涵盖网络安全需求及其实施方案，以及验证和确认活动。图 5 显示适用于网络安全过程参考模型的 ASPICE。除了网络安全之外，ASPICE 目前还有一些增补内容，涵盖硬件和机械工程过程。这些增补内容让您可将所有常见的机电一体化领域都纳入 ASPICE 的考虑范畴。



图 5. 适用于网络安全过程参考模型的 ASPICE。除了 MAN.7 和 ACQ.2 之外，它还引入了四个新的工程过程。 * Automotive SPICE 是 Verband der Automobilindustrie e.V. (VDA) 的注册商标。






审核编辑：刘清