传统质量体系IATF16949在当前的软件研发过程中能做的约束已经不足。2023年12月7日,在2023中国汽车功能安全与质量管理峰会上,保隆科技功能安全与研发体系负责人杨燕飞表示,ASPICE作为软件过程改善和评估的模型,会把整个系统开发和零部件研发过程拆分成细化的几个域,对每个域提出最佳实践。ISO26262则会对整个V模型的每个过程域提出非常详细的要求和建议。将二者结合在一起,是当前许多车企及零部件企业需要努力做的事情。
杨燕飞表示,ASPICE对质量保证提出6个BP,分别是QA策划、工作产物质量、过程质量、总结沟通、确保不符合项解决和升级机制等,每个BP和周围其他支持的过程域都有交互的过程。
针对QA的验证管理,杨燕飞表示,开发流程中的工作产物,都需要进Verification,Verification的目的是保证开发活动的正确进行,保证WPs的质量。而最终的交付产品需要被Validation。
保隆科技功能安全与研发体系负责人
以下为演讲内容整理:
质量体系的升级
产品安全包括零部件的功能安全、信息安全、网络安全等。我们如果想要保证汽车和零部件系统的安全,不仅要考虑研发的安全,还需要考虑管理过程中的组织安全。企业和组织需要给研发团队提供可用的安全质量管理体系,今天我就从这个角度带来我的分享课题,基于功能安全和ASPICE的质量保证。
目前智能驾驶汽车以及新能源汽车的发展迅速,开车在道路上越来越智能的同时,安全的保障性要求变高。过去汽车的从业者都知道最基础的质量体系是16949,16949体系诞生的时间很早,在诞生的过程中,当时的汽车电子电气系统以及带有软件部分的系统和零部件占比非常少,我们现在回过头看16949体系,会发现在带有软件的系统和零部件研发过程中所能做的要求和约束比例是非常少的。
图源:保隆科技
到了现如今汽车工业的发展大背景下,会诞生很多新的国际标准,比如企业信息管理的信息安全系统,用于软件改进模型的ASPICE,以及功能安全26262,再往上会诞生21448预期功能安全以及网络安全。ASPICE是软件过程改善及能力评估模型,它把整个系统以及零部件研发过程拆分成细化的域,对每个过程域提出最佳实践,即项目开发过程中需要做什么的BP。
26262标准会把V模型每个过程域的要求和建议提得非常详细,有了这样的基础,我们会把目前带有软件含量比例比较高的电子电气系统和零部件,以及整车的开发过程,把ASPICE和26262两个内容结合在一起进行质量管控,这是现在很多企业需要努力做的事情。
A-SPICE的功能安全中的质量保证
ASPICE质量保证中SUP.1对质量保证提出了6个BP,分别是QA的策划,工作产物的质量和过程质量,以及总结沟通,确保不符合项解决和升级机制。每个BP和周围其他支持的过程域都会有互相交互的过程。功能安全没有特别强调质量保证,因为功能安全建立的基础是16949或者已有比较成熟的质量体系。
所有开发过程中的工作产物都需要被验证,在和供应商、客户和同类型企业交流中,他们会有误区,认为它只是一个测试。其实在功能安全标准里Verification种类不仅局限于测试,保隆建设质量管理体系的时候把Verification分成了非测试类验证和测试类验证,非测试类验证有审查类、仿真类和分析,测试类比较好理解,有从零部件单元层级的测试,再到集成测试。审查有走查和检查等,仿真有模型仿真,分析是演绎法和归纳法,我们通常所使用的是FFMEA和FTA,以及功能安全中专门提到的DFA和FMEDA。
图源:保隆科技
在V模型中Verification主要是为了保证上一个层级的活动传递到下一个层级的活动,Verification保证的是过程的正确性,Velidation保证最后交付的产品是正确的,测试是Verification和Velidation的手段。过去的质量体系仅仅做到文控和同行评审,在新的研发体系建立之下,我们把审查分了几大类,根据不同复杂度的工作制定不同的审查方法以及不同的ASIL等级,有不同的推荐审查的方式,所有的审查方式都会建议审查团队的人数和必须参与的人员。
测试是在过去质量体系中对零部件产业设计结果做的测试,在新的质量体系之下,我们需要把研发过程每个过程域拆分开来,不是黑匣子,环境是透明的,质量策划把测试的过程从软件单元到软件的集成和合格性测试,硬件单元集成到系统测试,整套测试需要QA保障策划。
软件单元从模块开始到接口,再到软件集成系统合格性,在功能安全和ASPICE里都有规定。功能安全系统集成测试按照不同的集成环境区分三个层级,分别是软硬件的系统集成,系统集成和整车层面的集成。
ASPICE分成两个层级,系统集成和合格性测试。ASPICE的区分方式从它所要测试的内容上进行区分,系统集成主要测软硬件的接口,系统合格性主要测系统的需求。在实际项目当中我们会根据所做的系统或者零部件边界的范围去定义,把两者相结合起来定义不同层级的集成环境测试。
ASPICE QA的过程保证首先是产品的研发设计,会有验证的过程,在此基础上有整体管理,比如项目管理和配置管理等。QA需要对研发的过程以及支持的过程进行独立性审计,在QA工程师之外还有QA经理对QA的工作做审计。最后对整个过程以及技术点做评估,FuSa和ASPICE都有对项目做评估的要求。
保隆项目实践
保隆科技有智能悬架系统全栈自研的能力。悬架控制器达到了功能安全ASIL B的等级以及软件开发过程符合ASPICE的模型。在接到客户需求的时候,首先从组织形式去看,组织形式符合独立性和否决性,保隆科技在2019年开展功能安全流程建设的时候成立了安全委员会,安全委员会直属于CEO,在安全委员会下面设立产品安全的团队。
图源:保隆科技
产品安全的团队负责功能安全、信息安全、网络安全,团队独立于各个BU,在各个BU下有自己的QA团队。在接到悬架控制器的项目之后,会成立项目小组,图上是我们项目成立的项目小组,在功能安全ASPICE的要求下,项目经理会从功能安全团队里申请项目安全经理以及负责人负责项目的评估和审核,有独立QA工程师和QA经理加入到项目组当中,这些安全的角色或者质量保证的角色是独立于整个产品线BU的,所以能良好地做到独立性,并且我们在流程建设当中赋予这些角色一票否决权,关键节点评审的时候安全责任人和QA责任人都具备否决权。
项目组织建立好之后会开展质量活动的策划,制定质保的策略和计划,最常见的是过程的质量,软件有一些能进行量化的指标。在质保计划中包含验证计划,每个开发活动都会有输出产物,这些输出产物通过什么方法被验证,比如通过检查还是简单地通过文控,所有的审查方式计划、审查的责任人和审查的岗位都需要制定,不同的维度产品和不同边界大小的产品集成的环境都不一样,同时需要制定不符合项管理计划和质量升级计划。如果有功能安全需求的项目还需要和安全异常相结合,质量升级计划里包括安全异常的质量升级。
ASPICE系统集成分两个维度,系统集成和系统合格性。FuSa有三个层级,讲述产品范围的集成,ASPICE系统集成是测试的内容,内容是一些软硬件的接口。根据悬架控制器产品的实际项目边界,按照功能安全要求划分第一层级的工作计划,我们做软硬件层级的集成和系统集成,整车集成一般由客户完成。
第一层级的计划是软硬件集成和系统集成,划分两个集成的环境后再去开展工作,根据ASPICE的要求划分二级的测试内容。系统的集成测试主要测软硬件的接口,功能安全的项目里面会设计各种各样的安全机制,安全机制也需要在系统集成里进行测试,有很多安全机制的功能性、正确性和时序性,以及内外部接口。合格性测试按照26262系统集成测试的方法论做系统需求测试,这里面需求包括非安全的常规需求以及安全的TSR和系统的鲁棒性。
到了系统层级的测试时,我们会把整套悬架系统、控制器、传感器、空气单元、电磁阀、减震等系统集成,再重复一遍安全机制的测试,内外部接口测试和鲁棒性测试。客户做整车层级,我们会协助他们把整车层级区分成两个子任务做测试,有了完整的测试计划之后,在功能安全所要求的测试项目上都测到了不同层级的集成度。
把功能安全和ASPICE质量保障审查过程以及测试讲了一遍之后,有了二者相融合的质量管理体系。项目开发的过程是流程性的东西,在流程性上每个活动都会产生各种各样的输出产物,我们针对这样的输出产物做Verification,Verification里面有各种各样的方式,有审查、分析、仿真、测试,在Verification计划里面针对不同文档输出产物制定不同的Verification方式,一些重点的工作产物和功能安全的工作产物需要再做一遍检查。
在开发的过程中有QA的工程师进行过程的监控和审计,在QA工程师之上还会有QA的经理以及来自于功能安全委员会指派的审核负责人对过程做二次检查。整个过程从技术程度和流程符合性角度有独立性非常高的过程,这样才能构成完整的质量保证体系,正如刚才开篇讲到的汽车安全,产品系统的安全不仅需要依靠非常完美的系统架构设计,还需要组织提供一个可用的组织层级的安全管理体系,安全的研发和安全的管理缺一不可。
保隆科技1997年成立,至今26年的历史,全球员工大概5700人,有9个生产园区,2000多个客户。保隆科技在2021年建设符合26262功能安全的体系,在2022年也完成了一些项目的ASPICE软件质量改善的模型,团队有多位有丰富经验的功能安全工程师以及ASPICE评估员。目前保隆科技按照功能安全和ASPICE开发的产品,有传感器和摄像头模组,各种各样的位置类传感器,新能源的电流传感器,悬架控制器,以及超声波雷达等。
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。