汽车功能安全标准ISO26262对软件的要求与ASPICE之间的异同分析
|
如今,一个很明显的事实是:无论工业4.0、智能制造还是自动驾驶,软件正在越来越多领域的产品中成为核心。 汽车工业正面临着新的挑战。软件正在对车辆中现有系统交付的功能水平产生重大影响,软件的作用在未来会越来越重要。正因为如此,诸多标准强调了汽车领域的组织提高他们的软件开发能力,以处理不断增加的系统复杂性。这其中,ISO26262对软件的要求和ASPICE,是两个绕不开的关键标准。那么,如何理解他们之间的共性与差异呢? 标准简介 ASPICE全称是“Automotive Software Process Improvement and Capacity Determination”,汽车软件过程改进及能力评定,是汽车行业用于评价软件开发团队研发能力水平的模型框架。最初由欧洲20多家主要汽车制造商共同制定,于2005年发布,目的是为了指导汽车零部件研发厂商的软件开发流程,从而改善车载软件的质量。 应该说,如果不考虑汽车软件过程改进和能力评定(ASPICE),就无法确定汽车行业软件开发的实践状态。ASPICE就是是欧洲汽车制造商为衡量其软件供应商的能力,以及评定供应商选择的资格机制而推广的参考模型。其中,HIS是一个由奥迪,宝马,奔驰,保时捷,大众组成的联盟,他们要求其供应商至少要通过ASPICE中的16个过程。 ISO26262是国际标准化组织(ISO)制定的一项汽车功能安全标准,于2011年11月出版,涉及道路车辆的功能安全领域。安全性是目前汽车的关键问题之一,ISO26262的重点是电气/电子(E/E)系统的功能安全性,定义了建立安全生命周期的一系列要求,包括确定汽车安全完整性水平(ASIL)、验证和确认可接受水平的措施。随着ISO26262的发布,制造商、供应商和汽车组织共享一个关于安全的汽车软件分类的通用模式。
标准内容 ASPICE是一个基于ISO/IEC15504标准的过程评估模型和过程参考模型,它符合ISO/IEC33004标准,可作为进行过程能力评估的基础。 从版本2.5到版本3.0的更新包括一些结构上的变化: · 工程过程被分为两组系统(SYS)和软件(SWE),它们的结构有一些变化; · 单元构建和单元验证被分为两个过程; · “插件概念”允许机械和硬件过程的集成; · 能力水平1-3的微小变化和改进(工作产品特性的基础实践和修改),以及可能增加项目工作的少量变化,例如,系统和软件架构需要评估替代解决方案。 汽车制造商(OEM)和一级供应商使用ASPICE作为核心流程参考模型,推动内部软件流程改进,并评估和监控软件供应商。近年来,由于软件技术进化导致的功能水平不断提高,人们对质量的关注转移至安全上。即使ASPICE评估对于安全相关软件的开发是有价值的,ASPICE中也存在一些概念上的空白,这是汽车产品开发所需要的。 ISO 26262提供了与确保产品安全和ASPICE关注过程能力有关的细节。功能安全标准规定: · 一个组织的过程定义必须同时处理多个标准。 · 如果进行了SPICE评估,则可以同时进行SPICE评估和功能安全审计。 · 在内容上有足够的共性,有助于避免两个标准之间的工作或过程重复,并允许规划同步。 ISO26262是一个相对来说新的标准,最新版本于2018年发布,分为12个部分。每个部分都关注与E/E系统工程相关的不同问题。
标准表述方式 ASPICE由过程类别组成,包括我们在其中找到单个过程的过程组。过程有其目的、结果、基本实践和相关的工作产品。基本实践和工作产品有助于实现一个或多个结果。对于过程评估,基本实践通常用于确定能力级别1。对于其他能力级别,评估基于流程属性。流程属性包括能力指标,如通用实践和通用资源。资源可以是工具、基础设施、方法或人力资源。附加信息的注释可以附加到结果、基本实践和过程属性。 在ASPICE中,“每一个过程都是用一个目的陈述来描述的。这些语句包含在特定环境中执行时流程的独特功能目标。一份具体结果清单与每一个过程目的声明相关联,作为过程绩效的预期积极结果清单”。 ISO26262由部分组成,部分由条款组成。对于每个条款,都定义了一个目标,一个通用的工作产品,描述为输入(项目外部,强制或可选)和其他输出。输出工作产品是需求和建议的结果,这些需求和建议被表示为一个或多个shall语句(SS)。 需求有一个特定的ASIL(QM,A,B,C,D)关联。示例和注释提供了更多信息,以便更好地理解要求,也可以以附件或属性表或方法的形式提供参考。表格的元素必须交替或并行使用,并根据ASIL分类受到不同推荐级别的限制,必要时在注释部分进行解释。 标准对比 · ISO26262是功能安全产品标准; · ASPICE是过程模型。 · ISO26262适用于小于3.5吨的量产乘用车中的汽车E/E系统(注:2018版的ISO26262的适用范围有所增加); · ASPICE适用于车载的包含嵌入式软件的系统。 · ISO26262是覆盖整个产品生命周期; · ASPICE是覆盖项目生命周期(包含嵌入式软件的系统开发项目)。 · ISO26262的要求有做什么层面的,也有一定程度的如何做; · ASPICE的要求都是做什么层面的。 · ISO26262中所要求的功能安全要求,需要企业在其现有的质量管理体系之上进行建立;企业的质量管理体系首先是基于IATF16949,之后可以应用ASPICE对其进行完善和细化; · ASPICE和ISO26262同时都覆盖了系统层面的开发、软件层面的开发、项目管理及一些支持类过程。对某一个过程来说,如果有ASPICE要求,又有ISO26262要求,可以将要求进行合并。 · ISO26262与ASPICE的v2.5的范围有相当大的重叠。总的来说,412个不同要求中的199个(48%)来自ISO26262,可以从ASPICE HIS范围的结果中获益。ISO26262的第4部分和第8部分涉及工程实践,因此在其范围内实现了更高的覆盖率。第二部分、第三部分和第七部分在ASPICE的范围内没有得到很好的涵盖。从这项研究工作得出的一个实际结论是,一个实施了其范围的组织仍然有相当多的要求和可能的努力来实施ISO26262。 以下两图截取自标准ASPICE 3.0及ISO26262-2018:
汽车领域的组织正受到技术发展的挑战。软件现在负责增加车辆系统提供的新功能。软件系统复杂性的增加,突出了这些组织的软件开发能力。ASPICE和ISO26262是两个旨在支持这些组织改进软件开发实践和能力的标准。这两个标准都有不同的目的,但都与汽车组织高度相关。深入理解这两个标准的下一步将是考虑ASPICE的全面实施,以及扩展HIS范围并分析ISO26262标准的覆盖范围的场景。此外,还将根据不同ASIL级别的要求,制定联合采用这两种标准的路线图。
想了解更多专业性问题请联系我们,亚远景科技。亚远景是谁? 上海亚远景科技是2000年成立的高新技术咨询-评估企业,主要从事Automotive SPICE汽车软件过程改进及能力和CMMI能力成熟度模型集成评定。ASPICE客户遍及国际及国内各大主车厂与供应商企业;曾为国内近千家软件企业进行过ASPICE,ISO26262及CMMI培训及评估服务,在软件及汽车电子行业享有很高的声誉。 亚远景科技是个与众不同的公司,有着自己明确的技术方向和咨询-研发一体化的运营特点。通过技术培训,研发过程解决方案和研发管理平台工具部署,来提高科技企业的研发能力,帮助获得研发能力成熟度国际评估。同时拥有自有知识产权的软件产品(著作权),透过多年软件过程改进经验,本着过程的可视化和流程的制度化思想,开发了CPMS(Cooperated Process Management System)协同过程管理软件和IPMS(Integrated Process Management System)集成过程管理软件,该产品获得了国家(中国软件行业协会)产品行业推荐奖。 |
|
