ASPICE v3.991版本已經正式發布囉!距離ASPICE v4.0的發布也不遠囉!本篇文章來跟大家,ASPICE v4.0建議的流程導入範圍
ASPICE v4.0 範圍概述
本文,筆者將綜合ASPICE v3.991版及ASPICE Guideline v2.0(草稿版) 的內容,提供最新的ASPICE 導入範圍資訊及建議。
ASPICE v4.0 將流程分成三種類型,分別是基礎(Base)、插件(Plug-ins)及彈性可選(Flex/Optional),請參考下圖。
屬於基礎(Base)的流程有:
- MAN.3 專案管理 (Project Management)
- SUP.1 品質保證 (Quality Assurance)
- SUP.8 建構管理 (Configuration Management)
- SUP.9 問題解決管理 (Problem Resolution Management)
- SUP.10 變更請求管理 (Change Request Management)
屬於插件(Plug-ins)的流程有:
- 系統工程模組 (共計4個流程):
- SYS.2 系統需求分析 (SYS Requirements Analysis)
- SYS.3 系統架構設計 (SYS Architectural Design)
- SYS.4 系統整合及整合驗證 (SYS Integration and Integration Verification)
- SYS.5 系統驗證 (SYS Verification)
- 軟體工程模組 (共計6個流程):
- SWE.1 軟體需求分析 (SW Requirements Analysis)
- SWE.2 軟體架構設計(SW Architectural Design)
- SWE.3 軟體細部設計及單元開發 (SW Detailed Design and Unit Construction)
- SWE.4 軟體單元驗證 (SW Unit Verification)
- SWE.5 軟體組件驗證及整合驗證 (SW Component Ver. and Integration Ver.)
- SWE.6 軟體驗證 (SW Verification)
- 硬體工程模組 (共計4個流程):
- HWE.1 硬體需求分析 (HW Requirements Analysis)
- HWE.2 硬體設計 (HW Design)
- HWE.3 硬體設計驗證 (Verification against Hardware Design)
- HWE.4 硬體需求驗證 (Verification against Hardware Requirements)
- 機器學習工程模組 (共計4個流程):
- MLE.1 機器學習需求分析 (ML Requirements Analysis)
- MLE.2 機器學習架構 (ML Architecture)
- MLE.3 機器學習訓練 (ML Training)
- MLE.4 機器學習模組測試 (ML Model Testing)
屬於彈性可選(Flex/Optional)的流程有:
- SYS.1 需求獲取 (Requirements Elicitation)
- VAL.1 確效 (Validation)
- ACQ.4 供應商監控 (Supplier Monitoring)
- SPL.2 產品發布 (Product Release)
- MAN.5 風險管理 (Risk Management)
- MAN.6 量測 (Measurement)
- PIM.3 流程改善 (Process Improvement)
- REU.2 管理產品之重用 (Management of Products for Reuse)
- SUP.11 機器學習之資料管理 (ML Data Management)
縮寫備註 SYS- System SW - Software HW- Hardware ML - Machine Learning Ver. - Verification
推薦導入範圍
根據 ASPICE Guideline v2.0(草稿)的推薦,新的VDA Scope將會根據最新發布的ASPICE v4.0的流程來進行挑選,而且會更具彈性。請參考下圖:
如圖所示,VDA Scope將必須搭配基礎(Base)的5個流程,並從插件(Plug-ins)中的4個模組中,至少挑選一個模組;至於其他流程,則可以從彈性可選(Flex/Optional)中挑選。
範圍是否會沿用舊版的16個流程? 根據筆者的研究,ASPICE v4.0中針對舊版既有流程的BP及GP做了很大程度的精簡。這是為了讓評鑑師減少針對既有流程的評鑑時間。因此,當VDA Scope範圍因應新版標準被擴大挑選時,評鑑師仍有足夠的時間進行評鑑。 舉例子來說: ASPICE v3.1 VDA Scope CL2 評鑑,共計需要評估的BP: 127個;GP: 176個 ASPICE v4.0 同樣的Scope CL2評鑑,共計需要評估的BP: 91個; GP: 160個 除此之外,筆者在這幾年間,看到許多車廠及Tier1,除了要求ASPICE之外,亦有要求HW SPICE、Data Management 等標準及流程。 綜上所述,車廠調整範圍的可能性大增! 實際狀況,還是要請各位讀者參考客戶的要求來決定。 筆者的建議: 1. 保守作法,沿用之前的VDA Scope先以16個流程為主,後續伺機再追加其他流程 2. 積極做法,沿用之前的VDA Scope(16個流程),額外追加硬體工程的四個流程 3. 其他做法,根據公司的業務範圍來決定範圍(如下圖所示)
額外的問題: 關於 Cybersecurity
為了因應ECE R155,VDA QMC在2021年7月16日,曾推出一份ASPICE的網宇安全增訂版標準: 「ASPICE for Cybersecurity」;這份標準額外新增了許多與網宇安全開發相關的流程,在ASPICE v3.991版本出來之前,有許多傳言說,Cybersecurity相關流程將會被整併到新版的標準中,但是在目前發布版本中並沒有看到任何Cybersecurity的相關流程。
這表示VDA QMC不再重視Cybersecurity嗎?
其實不然,目前ASPICE for Cybersecurity仍發布在官方網站上,許多評鑑師的教育訓練課程,仍然持續開辦,筆者也在少數車廠的RFQ中看到對於這份標準的要求。
但是,與這份標準相類似的國際標準ISO/SAE 21434除了既有的網宇安全開發流程之外,額外要求建立網宇安全的公司管理機制(還包含持續監控流程、TARA方法、及其他後開發階段的相關流程);這些額外提到的要求,更接近ECE R155的要求。
2021年,當ECE R155正式生效之後,許多車廠向下要求了ISO/SAE 21434,與之相似的標準ASPICE for Cybersecurity的推廣,因此有些重複。這也導致VDA所推出的這份標準沒有被廣泛地要求。
如果被要求ASPICE for Cybersecurity該如何?
如果已經導入ISO/SAE 21434,筆者建議可以跟客戶提出ISO/SAE 21434與ASPICE for Cybersecurity的差距分析資料,並提出以ISO/SAE 21434為基礎的網宇安全評鑑,取代ASPICE for Cybersecurity。
如果尚未導入ISO/SAE 21434,筆者建議可以多評估幾家車廠及Tier1的要求,避免重複導入導致資源的浪費。
關於ISO/SAE 21434與ASPICE for Cybersecurity的差距分析 如果讀者沒有這份資料,建議可以先閱讀ASPICE for Cybersecurity標準中的「Relation to ISO/SAE 21434」(第8頁)。 筆者曾整理這兩者之間的差距,如果有時間,再與大家分享 :)
關於ASPICE for Cybersecurity標準 讀者可以在VDA QMC網站中取得這份標準,請點選取得ASPICE for Cybersecurity標準
