ASPICE定義了汽車開發中嵌入式軟體的最佳實踐。它允許團隊組織他們的項目和方法以確定可管理性、可靠性和可傳遞性。每個汽車供應商都有可能在某一時刻被要求接受ASPICE合規性評估。是以,盡早開始整合相關實踐實屬明智之舉。目前,Automotive SPICE 4.0版本正在專家評審當中,預計明年下半年正式釋出!接下來擎标給大家詳細介紹一下ASPICE4.0。
Automotive SPICE 4.0 工作組成員介紹
從2021年下半年開始,VDA第13工作組便啟動了ASPICE模型的更新工作,着手準備v4.0的釋出。參與v4.0讨論、修訂的工作組成員主要有評估師、指導員和流程開發人員等,他們均來自OEM、Tier 1和Tier 2,具備成熟的經驗和新鮮的想法。
基于ASPICE 評估中的觀察及經驗盡管ASPICE作為汽車行業的軟體流程改進和能力測定标準已經得到了廣泛的認可,但是就評估經驗及效果而言,目前普遍存在問題有:評估結果的再現性和可比性尚未提高;評估時間增加;指南内容被當成純清單使用;形式主義的成分增加;偏好于下調評級而非向上沖刺。
為了解和把握ASPICE的評估品質,VDA品質管理委員會于2022年開展了關于評估品質的專項調研。共收集了775位被調查者的回報。其中:44%的調查對象認為評估最多5天就能完成(不包括差旅時間);54%的調查對象認為适當的評估持續時間不超過5天(注:此處的“适當”表示能夠找出項目當中的優勢和缺陷);43%的調查對象認為下調評級不合理;25%的調查對象認為BP和GP純粹用作正式檢查清單。
接下來,post一些可能影響評估結果再現性的示例。
示例 1:對Notes缺乏合理的利用。注釋在評估當中發揮着規範性還是資訊性的作用?這是影響評估結果再現的因素之一。
例如:Note2中的supporting information通常涵蓋問題的起因,如何重制等等,如果将典型的supporting information當作最低要求使用怎麼可能會是錯誤的呢?然而在現實評估當中,當注釋中的某方面缺失時可能會做出降級決策。
此外,将Note3中的版本編号清單當作檢查表使用,并未考慮到這些版本編号的重要性及優先級。
示例 2:關于術語解釋方面的誤區。就“Risk”而言,它到底是代表機率和風險的組合還是指一種破壞性事件?那麼在PAM v3.1中它又如何被正确使用呢?
再者,關于Measure的概念界定和實踐應用也存在一定的差異。“Measure”可表示實作結果的活動,測量的定量或定性結果,尺寸或尺寸的定義。
由此可見,模型及指南的内容對評估結果具有一定的影響。此外,評估師對評估背景和評估目的了解程度、能否獨立客觀地做出評估診斷,及評估師技能經驗等,這些因素在一定程度上也會影響評估結果的再現。
PAM v4.0 的主要變化基于調查和經驗的總結,VDA第13工作組在修訂和更新v4.0的過程當中主要聚焦以下目标的改進和調整。(1)實作評估結果的最大可重複性和再現性;(2)提高評估效率;(3)反映目前最先進的工程技術;(4)解決現代協作模式;(5)消除内容備援;(6)避免誤解;(7)重構評估模型;
1.增删詳情
删除了PAM v3.1中的11個過程,在v4.0中新增了15個新過程,并且針對原v3.1中的部分過程進行了修訂。具體調整參見下圖。
2.PAM v4.0模型概述
v4.0标準有3類過程:主要生命周期過程,組織生命周期過程和支援生命周期過程。11個過程組:系統工程組SYS, 軟體工程組SWE, 硬體工程組HWE, 機械工程組MEE, 機器深度學習組MDL,網絡安全組SEC, 采購擷取制ACQ, 供應過程組SPL, 過程改進組PIM, 管理過程組MAN, 支援過程組SUP, 共41個過程。
41個過程都結構化為Process Purpose過程目标, Process Outcomes過程成果, Base Practices基本實踐,Output Work Product輸出工作産品和Notes注釋。更新後的PAM v4.0模型圖如下。
3. Based Potential Analysis
工作組考慮到汽車行業作為集一個複雜性和一體化于一身的行業,其供應商的ASPICE評估也需要進一步靈活。對此v4.0提出了“ASPICE based potential analysis”的想法,旨在通過這一評估Use case提供一個統一的、協調的解決方案以彌補目前一直使用“Customized”和“專屬的ASPICE模型衍生品”的不足和缺陷。
關于“ASPICE based potential analysis”的詳細說明,可參考下圖:可以看出“based potential analysis”增加了應用的靈活性和評估的效率性。
4. BASIC 和 FLEX 插件
從過程組合視角來看,ASPICE 4.0模型主要由BASIC和FLEX插件兩部分構成。基礎過程主要有MAN.3項目管理,MAN.5風險管理, 系統工程SYS.2/SYS.5 等。插件部分主要有軟體工程的SWE.1~6個過程等。模型使用者可以根據企業現狀選擇合适自己的過程組合。
5.在二級 GP 上的變化
ASPICE 4.0模型二級過程能力特征包括PA2.1績效管理特性和PA2.2文字化資訊管理特性。與ASPICE 3.1相比,由原來的PA2.2工作産品管理,改為PA2.2 文字化資訊管理。資訊比工作産品更廣泛,比如,工作任務的輸入資訊,工具錄入的資訊等。PA2.1上的變化主要是将ASPICE 3.1原來的GP2.1.3/GP2.1.4合并為ASPICE 4.0的GP2.1.3。PA 2.2文字化資訊管理特征,實際上替代了ASPICE 3.1版本的SUP.7文檔(化)功能,同時也差別了SUP.8 配置管理過程。
6.在三級 GP 上的變化
ASPICE 4.0模型三級過程能力特征包括PA3.1過程定義特性和PA3.2過程部署特性。與ASPICE 3.1相比,PA3.1将原來的GP3.1.2 Determine the sequence and interaction between processes so that they work as an integrated system of processes合并到 GP3.1.1。對應地PA3.2也從原來的6個GP簡化合并為ASPICE 4.0的4個GP。
ASPICE 4.0政策方向是融合與效率化,展現在評估模型PAM的時間控制上,從二三級的通用實踐個數減少,到過程融合與替代,都可幫助評估小組快速效率化的執行評估。
總結
基于上述簡要分析,可見ASPICE 4.0不僅緊跟時代發展大勢,開辟了與AI相關的系列過程,同時還專注于“不流于形式”的内容建設,不囿于苛刻的文檔要求,聚焦于靈活高效的模型建構,緻力于其應用價值以及評估效率的提升,以期輔助使用者做到真正的過程改進和性能提升。最後,post一張Roadmap,讓我們一起期待ASPICE 4.0的正式釋出!
上海擎标資訊技術服務有限公司(Q-ing.cn)是一家緻力于科技風險與合規内控領域提供解決方案的咨詢服務機構。公司主要從事DCMM、CMMM、ITSS、A-SPICE、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、涉密資質等領域的管理規劃、體系建設、工具支援及咨詢評估服務。
擎标,标新領異!是國内隐私安全合規咨詢領域的早期參與者,釋出了首個基于ISO/IEC 29151:2017的中文譯著,并于2018年11月為太平洋保險(集團)公司獲得國内首張ISO29151個人身份資訊保護實踐指南認證證書;于2019年10月為上海醫藥臨床研究中心獲得全球第二張ISO27701隐私資訊管理體系認證證書。于2019年12月為中國電信天翼雲獲得了全國首張ISO27040存儲安全标準認證證書。