ASPICE 標準解讀

ASPICE標準: ACQ 採購流程概述

本文章為ASPICE標準的採購流程概述。ASPICE v3.1版的採購流程共計有7個流程,ASPICE網絡安全增訂版則有8個流程。其中,跟導入ASPICE標準比較有關係的兩個流程分別是:ACQ.2及ACQ.4。ACQ.2隸屬於2021年發行的ASPICE網絡安全增訂版(ASPICE for cybersecurity),ACQ.4則同時與ASPICE v3.1標準及的ASPICE網絡安全增訂版有關聯。

本文章為「ASPICE v3.1標準解讀」系列文章,筆者將針對ASPICE標準的整個採購流程提供解讀與說明,期許本篇文章能夠為讀者,解決標準導入時的疑惑。


前言

如下圖所示,「ACQ採購流程」隸屬主要生命週期。僅有ACQ.4被納入ASPICE VDA Scope,其他採購流程才並未包含在評鑑範圍。採購流程至於許多公司而言,都是相當熟悉的流程。因此,VDA QMC僅針對「ACQ.4供應商監控」進行要求,這也說明VDA QMC非常重視ASPICE標準在供應鏈的上下游間的要求。

額外說明 -- 順應網絡安全趨勢的新要求

為因應接下來的網絡安全趨勢,「ACQ.2供應商請求及挑選」將在ASPICE網絡安全增訂版(ASPICE for Cybersecurity)被提出並納入SEC Scope (安全範圍)中,這些新的內容將針對車廠及Tier1擬定選商的條件與標準參考。
ACQ採購流程-ASPICE標準3.1版

ACQ採購流程概述

ASPICE標準(v3.1版)所提到的採購流程,包含以下:

  • ACQ.3 合約與協議
  • ACQ.4 供應商監控
  • ACQ.11 技術性需求
  • ACQ.12 法律、行政、合規需求
  • ACQ.13 專案需求
  • ACQ.14 需求建議書
  • ACQ.15 供應商資格

ASPICE網絡安全增訂版(ASPICE for Cybersecurity)所增修的採購流程,包含以下:

  • ACQ.2 供應商請求及挑選
  • ACQ.4 供應商監控

筆者將「ASPICE標準」與「ASPICE網絡安全增訂版(ASPICE for cybersecurity)」的採購流程,繪製成一張完整的採購流程,請參考下圖。

ACQ 整體流程 (其中紅框框為ASPICE for Cybersecurity流程)

在採購流程中共有兩個角色,分別是「客戶(Customer)」和「供應商(Supplier)」,其中客戶指的是公司自身,而供應商指的是接案的廠商。採購流程共可分成四個階段,請參考後續說明。

階段1: 定義需求

由「客戶方」制定與彙整欲發包的專案需求(ACQ.13),包含技術性需求(ACQ.11)及法律和行政需求(ACQ.12)。其中,技術性需求可包含環境影響評估、安全(Safety)、網絡安全(Security)、性能及支持性等相關需求;法律和行政需求則可包含國家或國際性法規、指南、政策等相關需求。

額外說明 -- 專案要求及定義角色

一般而言,技術性要求通常由專案團隊的技術部門來協助制訂;法律和行政要求,則由品保、行政、法務、採購等部門來協助制訂。
額外說明 -- 法律和行政要求的近況

由於近期多個車用標準,正如雨後春筍般發行。建議讀者要特別注意不同國家與體系之間的標準要求,尤其針對UNECE提出的R155, R156, R157、VDA QMC提出的ASPICE及ASPICE for Cybersecurity、ISO提出的26262, 21448及21434 、德國汽車工業聯合會(VDA)提出的TISAX、等。

階段2: 選定供應商

由「客戶方」將階段1的相關需求整理成徵求建議書(RFP),並邀請多家合格供應商來進行提案及投標(ACQ.14);待RFP階段結束後,「客戶方」會制定詳細的報價邀請書(RFQ)(ACQ.2),並提交給候選供應商進行報價。

「供應商」自接收徵求建議書(RFP)及報價邀請書(RFQ),即開始相應的評估與回應(SPL.1)。待雙方議定價格後,即簽定合約/協議(ACQ.3),並準備進入下一個階段。

額外說明 -- 合格供應商

本文所提到的合格供應商,是「客戶方」透過其所制定的標準定期評選而定(ACQ.15)
額外說明 -- ACQ.2

ACQ.2流程制定於ASPICE網絡安全增訂版(ASPICE for Cybersecurity)中。為了因應網絡安全的趨勢跟要求,ASPICE網絡安全增訂版制定了SEC Scope並將ACQ.2劃入此範圍中,未來,如果被要求到此範圍,即要在制定RFQ階段將網絡安全的概念納入考量。

相關網絡安全標準,可能會被制定於RFQ中:
1. 特定網絡安全方法 (威脅分析、風險評鑑、攻擊模型、弱點分析等)
2. 網絡安全組織能力 (網絡安全政策、網絡安全管理系統)
3. 網絡安全持續監控

階段3: 交付需求/供應商監控/供應商開發

步驟一:交付需求

在「客戶方」交付專案需求前,「客戶方」應透過供應商監控流程(ACQ.4)和「供應商」商議專案執行的相關活動、交付事項、驗收標準、等。(詳細內容請參考ACQ.4流程解說)。

步驟二:供應商監控與供應商開發

專案執行階段,「客戶方」應依據步驟一所議定的計畫,定期監控「供應商」(包含定期會議、供應商產出物審查、供應商流程稽核等)。

「供應商」則依據ASPICE標準所定義的開發流程(MAN.3、SYS流程、SWE流程、SUP流程、等)進行專案開發,並根據步驟一所議定的計畫與其「客戶方」定期開會,並提交工作產出及接受流程稽核。

階段4: 驗收/再評鑑

「供應商」完成專案開發流程後,透過發行流程(SPL.2),將產品交付給「客戶方」;「客戶方」依據開案前所議定的驗收標準,進行產品驗收,待驗收完成即完成委外專案。

完成委外專案,「客戶方」將依供應商管理政策,針對此次合作專案進行供應商評鑑(ACQ.15),並將評鑑結果併入供應商資料庫中。


感謝閱讀本文章!

如果你對文章內容有任何問題,請隨時與我交流聯絡。

歡迎訂閱我的文章,當有最新文章發布時,我將第一時間通知您 :)


WRITTEN BY
David Lin

現任國際標準輔導顧問及評鑑師;
在這個網站,我將分享一些產業新知、趨勢以及標準的解讀與看法。

歡迎與我交流:
Email:
linchewing@gmail.com
LinkedIn:
https://www.linkedin.com/in/linchew/