作為汽車行業(yè)創(chuàng)新的主要驅(qū)動力，軟件開發(fā)一直在不斷改進。而且，這一創(chuàng)新是由所有利益相關(guān)者（主機廠、tier-1、技術(shù)服務商）共同進行的，因此有必要建立標準框架將它們聯(lián)系在一起。對于軟件開發(fā)的定義、實施和過程評估，這些利益相關(guān)者之間的協(xié)調(diào)對于實現(xiàn)無縫協(xié)作至關(guān)重要。Automotive Software Performance Improvement and Capability dEtermination（ASPICE）正是為此提供了一個橋梁和框架。而ISO 26262標準規(guī)定的道路車輛的功能安全增加了一個維度到這一標準化過程中。除了提高軟件質(zhì)量之外，汽車系統(tǒng)的安全方面也變得非常重要。ISO 26262現(xiàn)在已經(jīng)成為一種事實上的汽車功能安全標準，所有道路車輛都必須遵守。

我們在這里討論了兩個不同的概念：一個是關(guān)注整體軟件質(zhì)量，另一個是處理安全方面。它們之間有什么關(guān)聯(lián)？ASPICE和ISO 26262是否相互補充？它們可以共存嗎？讓我們試圖找到一些答案！但首先，我們必須了解ASPICE和ISO 26262各自的內(nèi)容。

  ASPICE在提高汽車應用程序質(zhì)量方面的作用

ASPICE是由一組由歐洲汽車制造商組成的團體在ISO/IEC 15504標準下定義的。ASPICE是一個提供了建立和評估汽車軟件開發(fā)過程的框架的標準。

采用ASPICE的直接影響是對過程的改進，從而提高了軟件的質(zhì)量。在供應商選擇過程中，原始設(shè)備制造商可以使用ASPICE框架來評估供應商的能力和質(zhì)量。另一方面，ASPICE也可以成為供應商提高其質(zhì)量水平的框架。

ASPICE是一個具有過程維度和過程能力維度的雙重模型。ASPICE識別不同的過程，如需求引出、系統(tǒng)需求分析、過程管理等。本質(zhì)上，這些過程不過是在軟件開發(fā)生命周期中執(zhí)行的活動。您可以輕松地將過程，如需求分析、架構(gòu)設(shè)計、單元測試等，識別為V模型的一部分。過程維度將這些過程分組，例如系統(tǒng)工程過程組和管理過程組等。這種分類采用了稱為過程參考模型的模型形式。在這里，每個過程都根據(jù)其范圍和功能目標進行定義。

現(xiàn)在，已經(jīng)捕獲了過程維度，需要測量過程能力。根據(jù)ISO 15504標準，為每個過程定義了從級別0到5的能力級別。

級別0 – 不完整：開發(fā)過程不完整或沒有妥善記錄。

級別1 – 執(zhí)行：過程達到其目的；然而可能存在一些間隙。

級別2 – 管理：過程以受控的方式實施，即它們經(jīng)過計劃和監(jiān)測。

級別3 – 確立：過程得到了良好的建立，文檔已經(jīng)在整個供應鏈上得到認真遵循。

級別4 – 可預測：過程在定義的限制內(nèi)實施，其輸出可以預測。

級別5 – 創(chuàng)新：在可預測的過程中不斷改進，以應對不時出現(xiàn)的新挑戰(zhàn)。

過程能力級別由ISO 15504標準明確定義的過程屬性（PA）來確定。這些屬性包括：

這些屬性各自涉及過程能力級別的特定方面。這些PA按照以下劃分進行評級：

N（未實現(xiàn)）：結(jié)果未實現(xiàn)或未被執(zhí)行。

P（部分實現(xiàn)）：部分預期結(jié)果已經(jīng)實現(xiàn)，但能力未能完全實現(xiàn)。

L（大部分實現(xiàn)）：增加了達成預期結(jié)果的可能性，但不能確定是否能夠達到預期的質(zhì)量、時間和預算目標。

F（完全實現(xiàn)）。

最終評估是通過使用過程評估模型（PAM）來進行的。下面是一個示例PAM：

  ISO 26262和汽車功能安全方面

汽車內(nèi)部有許多部件是安全關(guān)鍵的，如電子轉(zhuǎn)向系統(tǒng)、防抱死制動系統(tǒng)、安全氣囊、動力總成電子控制單元等。

通過安全關(guān)鍵，我們指的是這些部件的故障會對駕駛員或乘客的生命構(gòu)成風險。

ISO 26262是一項標準，定義了在設(shè)計、開發(fā)和測試道路車輛的所有電子和電氣組件時實施安全實踐的安全生命周期。

ISO26262標準是一套規(guī)范產(chǎn)品生命周期的步驟，涵蓋了軟件、硬件和系統(tǒng)層面。ASIL（汽車安全完整性級別）是一種分類方案，用于表示軟件或硬件組件的安全關(guān)鍵性。

ASIL有四個類別 - ASIL A，ASIL B，ASIL C和ASIL D。ASIL A表示最不關(guān)鍵的級別，而D表示最關(guān)鍵的級別。

  當ASPICE遇到ISO 26262 

ASPICE覆蓋了整個系統(tǒng)開發(fā)，這也是為什么ASPICE提供了一個理想的框架來實施ISO 26262標準的原因。

正如上圖所示，ISO 26262生命周期可以與Automotive SPICE遵循的V模型相匹配。

ISO 26262提供的附加項目主要與概念階段有關(guān)。它們包括：

與ISO 26262和ASPICE一起，需要處理大約250個工作產(chǎn)品和60個過程，這的確是大量的工作。

ISO 26262規(guī)定的安全生命周期與ASPICE同時進行。在V周期的每個階段，ISO 26262標準建議的某些分析都與ASPICE過程一起進行。例如，危險分析作為風險管理（ASPICE）的擴展進行。還引入了更多的分析，如FMEA和FMEDA，以推導安全目標、FIT（時間內(nèi)的故障）以及某些硬件指標，如SPFM、LFM和PMHF。

此外，系統(tǒng)要求規(guī)范還將包括安全要求。驗證和驗證過程也將遵循ISO 26262標準中提到的方法。這個圖表使ISO 26262和ASPICE之間的重疊關(guān)系更加清晰。

  ASPICE 3.1版本在與ISO 26262整合方面有哪些變化 

ASPICE 3.1版本在與ISO 26262的集成方面進行了一些增強，通過實施ASPICE，也可以實現(xiàn)ISO 26262的主要部分。

需求引出根據(jù)ASPICE相當于ISO 26262標準中的項目定義。在ASPICE的最新版本中，需求引出提供了強有力的支持，以執(zhí)行項目定義。這意味著這兩個活動的很大部分可以合并，從而減少工作量和時間。

同樣，ASPICE中有一些過程對其在ISO 26262實施中的對應活動提供了中等級別的支持。一個例子是軟件單元驗證，其中一些指南重疊，而其他則不重疊。大多數(shù)ASPICE過程都屬于中等支持類別，例如系統(tǒng)架構(gòu)設(shè)計、集成測試等。

然而，還有一些ISO 26262的活動距離ASPICE過程相對較遠。這些包括功能安全概念和技術(shù)安全要求規(guī)范。

總體而言，整個汽車行業(yè)都在推動ASPICE和ISO 26262的集成。但是，在集成ASPICE和ISO 26262時仍然存在一些固有挑戰(zhàn)。讓我們看看這些挑戰(zhàn)。

  ASPICE和ISO 26262整合面臨的挑戰(zhàn)以及如何克服這些挑戰(zhàn)

將ISO 26262和ASPICE集成可能具有挑戰(zhàn)性，原因包括范圍、術(shù)語和評估標準的差異。

ISO 26262是一個標準，要求采用各種測試方法、軟件架構(gòu)設(shè)計和實施指南等，以確保在系統(tǒng)級別滿足功能安全要求。與此不同，ASPICE更側(cè)重于提高汽車軟件的質(zhì)量，不僅在系統(tǒng)級別，還在項目和組織級別。

這些根本差異因此導致了在需要同時實施ASPICE和ISO 26262標準的情況下出現(xiàn)的挑戰(zhàn)。讓我們探討這些挑戰(zhàn)：

這些挑戰(zhàn)必須由項目中的功能安全經(jīng)理和ASPICE顧問共同應對。以下是一些建議，說明他們?nèi)绾螒獙@些挑戰(zhàn)：

  展望未來

ASPICE涵蓋了軟件開發(fā)的廣泛方面，而ISO 26262可以擴展其安全方面。盡管這兩個標準在成本、時間等方面存在許多不同之處，但它們也有一些相似之處，包括配置和更改管理以及承諾在工作產(chǎn)品之間實現(xiàn)雙向可追溯性等過程領(lǐng)域。將ISO 26262功能安全標準的要求融入ASPICE汽車軟件開發(fā)流程中，并以此指導汽車軟件開發(fā)實踐，會大幅改善汽車軟件開發(fā)品質(zhì)、開發(fā)效率以及提高產(chǎn)品的安全性。