汽车功能安全标准ISO26262对软件的要求与ASPICE之间的共性和差异

2020-10-15 22:20:41·  来源:TUV北德认证  作者:郑威  
 
现今,一个很明显的事实是:无论工业4.0、智能制造还是自动驾驶,软件正在越来越多领域的产品中成为核心。汽车工业正面临着新的挑战。软件正在对车辆中现有系统
现今,一个很明显的事实是:无论工业4.0、智能制造还是自动驾驶,软件正在越来越多领域的产品中成为核心。
 
汽车工业正面临着新的挑战。软件正在对车辆中现有系统交付的功能水平产生重大影响,软件的作用在未来会越来越重要。正因为如此,诸多标准强调了汽车领域的组织提高他们的软件开发能力,以处理不断增加的系统复杂性。这其中,ISO26262对软件的要求和ASPICE,是两个绕不开的关键标准。那么,如何理解他们之间的共性与差异呢?
 
标准简介
 
ASPICE全称是“Automotive Software Process Improvement and Capacity Determination”,汽车软件过程改进及能力评定,是汽车行业用于评价软件开发团队研发能力水平的模型框架。最初由欧洲20多家主要汽车制造商共同制定,于2005年发布,目的是为了指导汽车零部件研发厂商的软件开发流程,从而改善车载软件的质量。
 
应该说,如果不考虑汽车软件过程改进和能力评定(ASPICE),就无法确定汽车行业软件开发的实践状态。ASPICE就是是欧洲汽车制造商为衡量其软件供应商的能力,以及评定供应商选择的资格机制而推广的参考模型。其中,HIS是一个由奥迪,宝马,奔驰,保时捷,大众组成的联盟,他们要求其供应商至少要通过ASPICE中的16个过程。
 
ISO26262是国际标准化组织(ISO)制定的一项汽车功能安全标准,于2011年11月出版,涉及道路车辆的功能安全领域。安全性是目前汽车的关键问题之一,ISO26262的重点是电气/电子(E/E)系统的功能安全性,定义了建立安全生命周期的一系列要求,包括确定汽车安全完整性水平(ASIL)、验证和确认可接受水平的措施。随着ISO26262的发布,制造商、供应商和汽车组织共享一个关于安全的汽车软件分类的通用模式。
 
标准内容
ASPICE是一个基于ISO/IEC15504标准的过程评估模型和过程参考模型,它符合ISO/IEC33004标准,可作为进行过程能力评估的基础。
从版本2.5到版本3.0的更新包括一些结构上的变化:
  • 工程过程被分为两组系统(SYS)和软件(SWE),它们的结构有一些变化;
  • 单元构建和单元验证被分为两个过程;
  • “插件概念”允许机械和硬件过程的集成;
  • 能力水平1-3的微小变化和改进(工作产品特性的基础实践和修改),以及可能增加项目工作的少量变化,例如,系统和软件架构需要评估替代解决方案。             
汽车制造商(OEM)和一级供应商使用ASPICE作为核心流程参考模型,推动内部软件流程改进,并评估和监控软件供应商。近年来,由于软件技术进化导致的功能水平不断提高,人们对质量的关注转移至安全上。即使ASPICE评估对于安全相关软件的开发是有价值的,ASPICE中也存在一些概念上的空白,这是汽车产品开发所需要的。             
ISO 26262提供了与确保产品安全和ASPICE关注过程能力有关的细节。功能安全标准规定:
  • 一个组织的过程定义必须同时处理多个标准。
  • 如果进行了SPICE评估,则可以同时进行SPICE评估和功能安全审计。
  • 在内容上有足够的共性,有助于避免两个标准之间的工作或过程重复,并允许规划同步。             
ISO26262是一个相对来说新的标准,最新版本于2018年发布,分为12个部分。每个部分都关注与E/E系统工程相关的不同问题。
标准表述方式
 
ASPICE由过程类别组成,包括我们在其中找到单个过程的过程组。过程有其目的、结果、基本实践和相关的工作产品。基本实践和工作产品有助于实现一个或多个结果。对于过程评估,基本实践通常用于确定能力级别1。对于其他能力级别,评估基于流程属性。流程属性包括能力指标,如通用实践和通用资源。资源可以是工具、基础设施、方法或人力资源。附加信息的注释可以附加到结果、基本实践和过程属性。
在ASPICE中,“每一个过程都是用一个目的陈述来描述的。这些语句包含在特定环境中执行时流程的独特功能目标。一份具体结果清单与每一个过程目的声明相关联,作为过程绩效的预期积极结果清单”。       
ISO26262由部分组成,部分由条款组成。对于每个条款,都定义了一个目标,一个通用的工作产品,描述为输入(项目外部,强制或可选)和其他输出。输出工作产品是需求和建议的结果,这些需求和建议被表示为一个或多个shall语句(SS)。需求有一个特定的ASIL(QM,A,B,C,D)关联。示例和注释提供了更多信息,以便更好地理解要求,也可以以附件或属性表或方法的形式提供参考。表格的元素必须交替或并行使用,并根据ASIL分类受到不同推荐级别的限制,必要时在注释部分进行解释。   
 
标准对比
  • ISO26262是功能安全产品标准;
  • ASPICE是过程模型。
  • ISO26262适用于小于3.5吨的量产乘用车中的汽车E/E系统(注:2018版的ISO26262的适用范围有所增加);
  • ASPICE适用于车载的包含嵌入式软件的系统。
  • ISO26262是覆盖整个产品生命周期;
  • ASPICE是覆盖项目生命周期(包含嵌入式软件的系统开发项目)。
  • ISO26262的要求有做什么层面的,也有一定程度的如何做;
  • ASPICE的要求都是做什么层面的。
  • ISO26262中所要求的功能安全要求,需要企业在其现有的质量管理体系之上进行建立;企业的质量管理体系首先是基于IATF16949,之后可以应用ASPICE对其进行完善和细化;
  • ASPICE和ISO26262同时都覆盖了系统层面的开发、软件层面的开发、项目管理及一些支持类过程。对某一个过程来说,如果有ASPICE要求,又有ISO26262要求,可以将要求进行合并。
  • ISO26262与ASPICE的v2.5的范围有相当大的重叠。总的来说,412个不同要求中的199个(48%)来自ISO26262,可以从ASPICE HIS范围的结果中获益。ISO26262的第4部分和第8部分涉及工程实践,因此在其范围内实现了更高的覆盖率。第二部分、第三部分和第七部分在ASPICE的范围内没有得到很好的涵盖。从这项研究工作得出的一个实际结论是,一个实施了其范围的组织仍然有相当多的要求和可能的努力来实施ISO26262。
以下两图截取自标准ASPICE 3.0及ISO26262-2018:
 
 
汽车领域的组织正受到技术发展的挑战。软件现在负责增加车辆系统提供的新功能。软件系统复杂性的增加,突出了这些组织的软件开发能力。ASPICE和ISO26262是两个旨在支持这些组织改进软件开发实践和能力的标准。这两个标准都有不同的目的,但都与汽车组织高度相关。深入理解这两个标准的下一步将是考虑ASPICE的全面实施,以及扩展HIS范围并分析ISO26262标准的覆盖范围的场景。此外,还将根据不同ASIL级别的要求,制定联合采用这两种标准的路线图。
 
TÜV NORD SIL发证FS-2授权人
功能安全工程师资质课程授权讲师
国内早期专业功能安全公众号“闲话功能安全”发起人
CCAA国家注册审核员
全国工业过程测量控制和自动化标准化技术委员会系统及功能安全分技术委员会委员
等同采用IEC61508的中国国家标准GB/T20438起草工作组专家成员
中国仪器仪表学会高级会员
 
郑威
 
 
 
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25