分享

借力Automotive SPICE,提升汽车电子企业产品开发质量 | Ning He | 领英

 chengderen 2016-03-09

一、汽车电子发展趋势


近5年来,全球汽车电子产业规模快速增长,远高于汽车行业平均增长水平。在车辆轻量化、小型化、智能化和电动化趋势的推动下,汽车电子的整体市场规模增长迅速。2008 年,全球汽车电子市场规模为1340 亿美元,预计到2016 年,市场规模有望达2400 亿美元,复合增速接近10%,高于整车平均增速。其中通信娱乐、安全控制、动力控制及其他复合增长率分别为10.8%、10.2%、8.8%和8.9%(如图所示)。而在中国,从2007年到2011年,我国汽车电子在全球市场占率从17%快速提升到27%,市场规模达2600 亿元。中国有望成为全球汽车电子市场增长率最快的国家,至少会保持15%的复合增长速度。预计到2016 年,中国汽车电子市场规模将达到5000 亿。


 


从汽车电子的发展来看,“无人驾驶”+“车联网”代表未来汽车发展的终极方向,汽车智能化的趋势将会贯穿未来汽车的发展历程。一方面,用户会要求更加“安全”,并且希望从单纯的“被动安全”,发展为“主动安全”;另一方面,希望更加“轻松”,把汽车从代步工具这样一个“功能机”转变为可以提供更多服务,方便生活的“智能机”。


智能化的发展趋势给汽车电子行业带来的是一场从机电一体化向深度电子化转变的变革,不仅仅是对车辆本身的各项智能化开发,也包括各类智能化应用,是汽车电子化、信息化、网络化的综合体现。汽车软件,作为汽车智能化的载体,其范畴、定义、功能等正在快速发生变化,汽车软件开发的参与方也从汽车产业上中下游扩展到与汽车关联的各行各业,甚至包括纯粹进行软件开发的互联网软件企业,如Google,阿里巴巴、百度等等。


在汽车电子行业不断突破行业界限,变得越来越“软”的时候,汽车作为一种与人的生命财产息息相关的特殊产品,对其“安全性”的考量始终需要放在汽车电子产品开发,汽车软件开发的首要位置。随着软件在汽车各个功能单元中的不断渗透,软件的安全性和可靠性正在引起各大主流汽车厂商越来越多的关注。


二、软件缺陷对汽车安全的影响日益突出


事实证明,软件问题在汽车召回事件中出现的频率正在快速提升。有数据统计,从1999年到2007年,由于软件问题引起的召回次数,从3.4%增加到8.7%,软件问题造成的召回车辆台数从召回车辆总数的1%增加到8%,召回带来的成本从1%增加到9.1%。


在国内,“中国汽车质量网”对2014年国内汽车召回情况做了统计,全部122次召回中,明确由于软件问题造成的有8次。在近几年中比较典型的由于软件问题造成的召回包括2013年10月,日产SUV由于制动控制软件问题,召回15.2万辆;2014年2月,丰田第三代普锐斯由于混合系统中控制升压转换器软件问题,召回190万辆。


未来,汽车电子产品在汽车上的应用越来越多,即便现在,一辆高档车的电子控制单元(ECU)就已经超过100个,ECU的应用,使汽车电子系统相当复杂而且难以控制。同时,汽车软件的规模也会越来越庞大,不但包括车内的控制软件,还包括车与车之间、车与人之间网络交互的各种软件。汽车软件对安全性的要求变得越来越高,设计中任何小的缺陷,都可能会导致一些不良的系统故障,并带来安全风险。用传统的汽车产品质量控制方法来控制软件的质量是远远不够的,对汽车软件的质量控制,需要更加关注软件开发全过程的风险,从系统的需求和概念开始就要采取相应的质量管控措施来发现缺陷,证明软件的可靠性和安全性。


Automotive SPICE(简称A-SPICE)正是这种趋势的产物。


三、Automotive SPICE的主要内容



  1. Automotive SPICE期望解决的问题


       2005年,由欧洲的主要汽车制造商组成了一个标准制定小组(Automotive-SIG以ISO15504为基础,共同策定了一种“面向汽车行业的流程评估模型”,称之为A-SPICE,其目的是为了改善搭载于汽车上的电子控制单元(ECU)/车载控制系统软件的质量。A-SPICE是ISO/IEC 15504的子集。


       在A-SPICE模型制定组织Automotive SIG中的主要汽车厂商看来,汽车行业软件开发过程中的主要问题存在于以下几个方面:


     (1)需求



  • 产品需求经常是不完整、不稳定的,并且更加面向解决方案;

  • 缺少需求的系统视角

  • 对合同和基线化以后需求的变更缺乏管理

  • 客户很少参与需求相关的活动


     (2)架构和设计



  • 缺少系统层面的架构设计以及逐层分解的过程

  • 对于接口的定义不完整

  • 缺少验证标准


     (3)测试



  • 缺少系统性的视角(测试层次、目标、方法及计划)

  • 测试的目的是验证功能的正确性而不是发现问题


     (4)项目管理



  • 对项目过程缺乏系统的方法进行计划和监控

  • 受到工期、成本和功能要求的限制,质量成为唯一可变因素

  • 项目计划很少考虑质量指标


     (5)配置管理(CM)



  • 往往被忽视

  • 软硬件的配置管理没有同步



  1. Automotive SPICE的模型架构


A-SPICE是一个二维结构的过程模型,包括过程维和能力维。在过程维度,A-SPICE将整个软件开发过程划分为主要的(Primary)、支持(Supporting)和组织(Organization)三大过程类,7个过程组,31个过程单元。在能力维度,每个过程单元都有0~5级的能力级别。分别为:


Level 0:不完整


Level 1:已执行


Level 2:已管理


Level 3:已建立


Level4: 可预测


Level 5:持续优化


      3.Automotive SPICE 的能力等级定义


       A-SPICE沿袭了ISO/IEC 15504-2中对于过程能力等级的定义,分为0~5六个等级。每个等级又包含1~2个过程属性,用于评估各过程是否达到该对应的能力等级,也体现了在该级别管理和改进每个过程能力可以为组织的绩效和业务目标带来的贡献。


A-SPICE的六个过程能力等级共包含了九个过程属性:


0级:不完整过程


在该级别,过程是不完整的,组织无法证明其能够系统性的实现过程目标。


1级:过程已执行


在该级别,已执行的过程可以满足过程的目标,可以获得过程的基本输出。


在1级有一个过程属性(PA1.1),定义了每个过程必须满足的基本实践和基本输出。


2级:过程已管理


相对于1级已经执行的过程,在该级别的过程都得到管理(有计划、有监控、有调整),过程相关的工作产品也都得到了相应的建立和维护,并保持受控。


2级的过程属性包括两个:(1)PA2.1,对过程执行的管理,描述过程执行的计划和监控要求;(2)PA2.2,对工作产品的管理,描述对工作产品管理的质量要求。


3级:过程已定义


在该级别,组织层面建立并维护了标准的过程。项目可以从组织的标准过程(称为“已定义过程”)中选择适合的版本作为项目实施的过程,从而确保可以实现已定义的过程目标。


3级包含两个过程属性:(1)PA3.1,过程定义,描述定义过程需包含的内容,如相关的角色、职责、过程架构和工作环境,以及监控过程有效性的方法;(2)PA3.2,过程部署,描述部署过程时需要关注的关键活动,以及如何评估过程部署的有效性


4级:过程可预测


在该级别,过程的绩效可以被量化,并通过统计分析来支持目标决策。同时,也可以确保过程绩效能够保持在规定的范围,以支持业务目标达成。


4级包含两个过程属性:(1)PA4.1,过程度量,描述了对过程和工作产品进行量化分析的要求,包括从识别过程信息、建立量化目标、确定和收集过程及工作产品度量数据并进行分析的整个过程。(2)PA4.2,过程控制,描述了基于统计和量化管理工具对过程进行控制的要求。


5级:过程持续优化


达到该级别的组织,能够基于组织的业务目标来定义过程改进的目标,并持续监控目标的实现情况。为了达到目标,过程能够持续的改进,方法和工具也会不断革新以提高效率。


5级也包含两个过程属性:(1)PA5.1,过程革新,描述了实施过程改进的必要活动,包括改进目标的确定、识别改进机会及确定改进策略。(2)PA5.2,过程优化,明确革新的影响程度,评估改进效果,建立长效机制的要求。


       A-SPICE对于能力级别的定义与另一个在软件开发和过程管理领域应用更为广泛的能力成熟度模型CMMI相比,有很多共同点,也有明显的差异。


     (A)两个模型对过程能力建立和完善的路径有相同的理解和认识。虽然A-SPICE划分了六个成熟度级别,而CMMI为五个级别,但是它们从二级到五级的定义都是从项目层面发展到组织层面,从对项目个性化的要求,到建立组织层面的统一要求,进而实现量化管理和持续改进。


       (B)CMMI模型中的过程域是按成熟度等级递增的,二级包含7个过程域,三级在二级之外包含了新增的11个过程域,四级和五级又分别增加了2 个过程域。因此对于一个CMMI成熟度二级的组织,只需要关注二级相关的过程域,同样的,对于三级成熟的组织,需要关注二级和三级的过程域。而对于A-SPICE来说,对每个过程都定义了0~5个等级的成熟度级别。对任一组织来说,如果要达到其客户所要求的某个成熟度级别,需要确保客户所要求的所有相关过程都达到了对应的成熟度。比如,欧洲五大主流汽车厂商(Audi,BMW,Daimler,Porsche,Volkswagen)从A-SPICE模型中抽取了15个过程组成了HIS(“Herstellerinitiative Software”)标准,就要求其供应商应在这15个过程方面达到成熟度三级的要求。



  1. A-SPICE 的过程定义


       为了促使汽车电子和软件供应商关注产品开发过程,提升过程质量,Automotive SIG选取了31个关键过程,分为三大类、7个过程组,具体如下表所示。


注:蓝色过程为HIS定义的过程最小集。


       类似CMMI模型中每个过程域的特殊实践,A-SPICE的每个过程也都包含一系列的基本实践(Base Practice),同时,A-SPICE还为每个过程定义了一组必须输出的工作产品(Work Products)。这些BP和WP都定义为A-SPICE模型一级的过程属性,因此对任何一个采用A-SPICE模型的组织来说,都是必须要满足的过程基本要求。


       对于很多已经基于CMMI模型定义产品开发过程体系的组织来说,并没有做无用功,因为两个模型之间有很多共通的东西。从目标覆盖度的角度来看,CMMI模型中的过程范围与A-SPICE有80%是重叠的,另有20%是A-SPICE中新增的内容。


       虽然两个模型有很大的相似性,但是由于A-SPICE更加注重产品开发的质量和安全性要求,因此对某些过程的要求更为细致和严谨。举例来说,在CMMI模型中有一个关于需求开发过程RD,包含了开发客户需求、开发产品需求及分析并确认需求三个特定目标(SG),覆盖了产品开发过程中与需求开发和分析相关的过程。而在A-SPICE中,与需求相关的过程细化为四个,特别强调了系统需求分析过程和软件需求分析过程在汽车电子产品开发过程中的重要性。再比如,有关产品组件复用的分析,在CMMI模型中仅仅是技术解决方案(TS)过程域中的一个特殊实践(SP2.4),而在A-SPICE中,被提到了过程的层面,也凸显了汽车产品开发中对于通过重用设计和平台化来保证设计质量的关注度。



  1. A-SPICE的主要用途


A-SPICE作为一个针对汽车电子和软件行业产品开发过程的模型,主要包括以下几方面的用途:


1)作为汽车制造商判断供应商开发能力的评估指南


   基于Automotive SPICE的评估一般来说是针对供应商在开发项目上表现的能力,而不是组织或部门。对汽车制造商来说,开发项目的能力无疑是第一位的。


2)作为供应商改善自身流程活动的实施指南


通过A-SPICE模型,汽车供应商可以更为清晰的了解作为其客户的整车厂对于过程和质量的要求及关注的重点。比如HIS标准,就是 Audi, BMW, Daimler, Porsche和Volkswagen这五家欧洲主要厂商对其供应商的15个强制过程要求。


3)作为满足功能安全(ISO 26262)所要求的流程建立的指南


ISO 26262要求建立可以持续地实施改善活动的组织体系和环境,相当于达成A-SPICE的能力3级。


四、Automotive SPICE的实施


       A-SPICE 既然被视作汽车厂商对其供应商的过程要求和能力评估标准,那么对供应商来说,按照其客户或潜在客户的要求,选择合适的过程和相应的能力要求来构建组织的产品开发过程就显得非常重要。在供应商组织中实施A-SPICE有几个需要特别关注的问题:


       1)由于A-SPICE的评估是基于具体产品项目的,不会提供组织层面的成熟度等级,(这一点和大家所熟知的另一个能力成熟度模型CMMI有较大差别),因此,对一个准备实施A-SPICE的组织来说,需要先从产品战略的层面做好规划,选定有长期发展趋势和价值的产品项目。


       2)选择合适的过程。A-SPICE模型总共有31个过程,按照模型的架构定义,每个过程都有0~5个成熟度级别,因此基于A-SPICE的成熟度评估,也是针对每个过程来进行成熟度的评估的,最终会给出被评估的所有过程的成熟度列表,体现每个过程的成熟度水平。而要满足所有31个过程都达到某一个成熟度水平,对任何组织来说都需要投入非常多的精力和成本。因此,在实施A-SPICE之前,对于供应商来说一个更为稳妥的方式是与其客户就需要满足的过程达成一致,或者了解到其潜在客户对A-SPICE的过程要求。比如,对于那五家欧洲车企来说,HIS就是最基本的过程要求。除此之外,可能还会有些特别的要求,也需要事先加以了解。此外,还有能力成熟度等级的要求。有些车企对供应商的要求只需要满足成熟度1级中的基本实践即可,而更高端的车企则会要求某些过程应达到成熟度3级水平。


       3)尽管A-SPICE是基于产品项目进行评估的,对任何一个供应商来说也不能忽视组织层面的过程体系建设和维护,因为A-SPICE中的成熟度3级其实还是体现了一个组织整体的过程管理能力,尤其是A-SPICE中非常关注的有关需求追溯性的管理、文档和工作产品的管理,都需要在组织层面进行整体考虑,并配合安全、可靠、方便管理的工具或系统来提供支持。


五、基于Automotive SPICE的评估


基于A-SPICE的评估过程如下图所示。


 


以下对A-SPICE评估过程中的一些要点加以说明:


1.评估前的准备


评估前的准备工作主要包括以下内容:



  • 确定需评估的过程及能力等级,了解相应的过程属性要求

  • 确定评估范围(与评估产品项目相关的人员、项目或团队)

  • 与过程相关的指标,文档,建立实际流程与A-SPICE过程要求的映射关系


2.评估过程


A、数据收集


在评估过程中评估师需要收集的数据(证据)包括以下三类:



  • 访谈

  • 对文档或工作产品的评审,包括现场评估之前准备的文档以及现场评估或访谈时提供的文档或工作产品

  • 问卷调查,或对工程师工作环境的审核


可以作为直接证据的有以下两类:



  • 被访谈人员提供的口头证据

  • 书面的直接证据和间接证据


B、数据验证


在完成证据收集和整理后,评估师会对收集到的证据进行验证,以确保证据的真实性和一致性。验证的内容一般包括:



  • 是否收集到所需的第一手材料,如,从直接参与过程执行的人员那里获得的信息,从执行过程的直接产出物文档中获得的信息等

  • 所获得的信息的来源是否是唯一的(如来自多个人员,或从多次访谈中得到)

  • 所获得信息是否有不同的表现形式(如来自文档,或口头介绍)

  • 当访谈人员和文档的作者是同一人时,文档和口头表述是否一致

  • 如果以前做过评估,评估的发现和反馈如何处理


C、评估报告


在评估结束后,主评估师会向被评估组织输出两份材料:评估报告和评估记录。


在评估报告中主要包括两方面的内容:



  • 结合评估的目标,总结并报告评估结果,以过程能力视图的方式展现每个过程的能力水平

  • 对强项、弱项和改进建议的详细描述,以及下一步的改进重点   


    对于过程能力水平的展示,一般包括两个视图,如下图(a)和图(b)。                 图(a)称为能力等级图,展示了本次评估所覆盖的所有过程的能力等级。可以看到,对于不同的过程,最终得到的能力等级并不完全一致。


    图(b)称为过程属性等级图,是对能力等级图的进一步展开,从过程属性的维度让被评估的组织了解过程实施的状况和差距。图中用不同的颜色和数字表示了实际执行的过程与A-SPICE模型要求的差距。四种数字和颜色的定义分别是:


        F(绿色):完全满足


         L(黄色):大部分满足


         P(橙色):部分满足


         N(红色):不满足


       对于一个过程来说,如果其某一个能力级别对应的两个过程属性都为F或L,则这个过程可以认为达到了这个能力级别;如果两个过程属性中任意一个属性为P或N,则认为该过程未能达到这个能力级别要求。如上图(b)中的SUP.9过程,其能力等级1的过程属性PA1.1为L,能力等级2的过程属性PA2.1为L,但是PA2.2仅为P,因此,在图(a)能力等级视图中,该过程的能力仅为1级。


六、总结


       A-SPICE作为一个专门针对汽车行业产品开发过程的成熟度模型,正在得到越来越多的关注。对汽车行业来说,“安全”和“质量”永远都是不可忽视的两个因素,他们是客户满意度曲线中的“基本需求”,一旦“安全”和“质量”无法得到保证,轻则造成大量的召回成本,重则给企业的品牌和声誉带来毁灭性的打击。而随着汽车行业的深入变革和发展,汽车电子和软件的比重不断上升,也给汽车行业的这些传统企业敲响了警钟,行业的变革必然需要管理方式的创新,要提升产品的质量和安全性,就必须要在过程管理上下功夫。相信凭借A-SPICE模型的指导,能够让更多的企业建立起更加成熟、可靠的过程控制体系,为汽车产品的安全性筑起一道坚实的防火墙。



    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多