在汽车行业,失误的代价太高,不容冒险。刹车故障的汽车可能会导致致命事故,并毁掉制造商的商业声誉。即使是影响大量生产车辆的小问题也会导致大规模召回和财务损失。这就是为什么汽车制造商必须遵循 ISO 26262 功能安全标准和 ASPICE。
本文对 ASPICE 和 ISO 26262 进行了区分,解释了为什么在开发汽车软件时需要两者。
什么是宽高比?
Automotive Spice(ASPICE 或汽车软件流程改进和能力测定)是一种标准(或框架),用于改进和评估 OEM 供应商的汽车软件开发流程的能力水平。它为软件工程师和采用者提供了一个框架和最佳实践,以有效地构建可靠、高质量的解决方案。ASPICE 的重点是持续改进软件开发流程,以便在产品开发过程中尽早发现所有实际和潜在问题,并使所有流程更加高效。
ASPICE 有什么好处?
符合 ASPICE 要求意味着满足汽车软件开发指南,有助于避免在最终开发和制造阶段出现错误。据估计,采用 ASPICE 可减少 30% 的错误,减少 28% 的维护工作量,同时仅增加 9% 的开发成本。
更准确地说,通过遵循 Automotive SPICE 软件质量实践,您可以:
- 提高质量。ASPICE 定义了收集合格输入的规则,这有助于创建满足初始要求的产品。
- 降低费用。由于严格的测试可让您尽早发现缺陷,因此您更有可能从一开始就正确完成所有工作。这意味着减少返工、提高生产力并优化费用。
- 管理风险。Automotive SPICE 让您更好地控制开发质量,以防止出现意外错误。
- 满足客户要求。由于需求分析对于合规性至关重要,因此您可以更好地了解客户需求并确保在开发的每个阶段都满足这些需求。
- 优化软件开发。该标准旨在使汽车软件开发更加精简和有序。因此,采用该标准可以提高工程团队的绩效。
ASPICE如何影响汽车发展
关于 ASPICE,有两个主要方面需要了解:核心流程和合规级别。让我们简要介绍一下这两个方面。
ASPICE 流程概述
Automotive SPICE 标准包含一些推荐流程,分为四类。每类涵盖一个特定的软件开发领域。
ASPICE 将开发过程分为 V 模型,项目团队应遵循该模型来创建具有适当产品质量的软件。V 模型设计的主要思想是通过确保每个开发阶段(或开发层)的测试来提高软件质量。V 模型的左侧显示每个阶段的开发过程。V 模型的左侧显示每个阶段的测试过程。
旨在在其 SDLC 中遵循 ASPICE 的团队必须执行接下来的一系列设计阶段:系统需求分析、系统架构设计、软件需求分析、软件架构设计、软件详细设计和单元构建,同时在每个步骤运行测试,并包括相关的软件单元验证测试、系统鉴定和系统集成测试。
ASPICE 能力水平和软件开发
ASPICE 合规性通常有五个级别,从不合规到创新。在寻找汽车软件开发合作伙伴时,您需要至少具有第二级流程能力水平的人。第二级合规性意味着公司适当地管理开发过程并能确保产品质量。达到第三级已经是一个相当大的挑战,很少有公司能够做到。
什么是 ISO 26262?
ISO 26262 安全标准适用于车辆中的电子和/或电气系统,涵盖车辆动态控制、驾驶辅助和推进等系统。主要目标是减少使用车载电子电气解决方案的乘客的潜在危险。
汽车功能安全 ISO 26262 规范了整个开发过程,从需求规范到实施、验证和配置。
ISO 26262 有哪些好处?
首先,功能安全标准允许汽车制造商、其供应商和设计工程师确保汽车系统的设计、开发和生产安全可靠。
更准确地说,功能安全 ISO 26262 允许您:
- 识别潜在危险。该标准提供了一种识别潜在危险并评估其对系统影响的有效方法。它可以帮助工程师根据 E/E 系统的特定需求制定安全要求。
- 提高车辆安全性。合规是减少因功能故障导致受伤或死亡风险的最佳方法。
- 提升公司声誉。由于安全性对于任何购买汽车的人来说都至关重要,因此消费者会欣赏符合核心汽车标准的汽车。
- 防止召回和责任索赔。通过按照行业标准制造车载电子电气解决方案,您可以制造出故障风险较低的产品。
- 保持竞争力。由于所有领先的汽车制造商都符合功能安全要求,因此合规性是参与市场竞争的必要条件。
- 更好地控制软件工程。整个 SDLC 的精心规划和测试使汽车软件开发更加井然有序。
ISO 26262 如何影响汽车开发
汽车标准 ISO 26262 规定了如何为组件或系统分配可接受的风险等级,并记录测试程序。风险等级称为 ASIL(汽车安全完整性等级),指示确保可接受的剩余风险所需的安全要求。获得 ISO 认证的工程师了解 ASIL 等级,因此可以创建符合要求的设备。
ISO 26262 定义了四个 ASIL 值,即 ASIL A、ASIL B、ASIL C 和 ASIL D,适用于汽车硬件和软件设计流程。ASIL D 表示汽车危险程度最高,而 ASIL A 表示风险最低。QM 级代表不会导致任何安全要求的危险,不需要根据 ASIL 级别进行特殊的设计流程。
安全级别取决于以下因素:
- 严重程度(S)。 因违反安全目标而对乘客/道路使用者的生命或财产造成的损害或后果的严重性/强度。
- 暴露(E)。车内人员面临危险或风险情况的可能性
- 可控性 (C)。当任何汽车部件发生故障时,驾驶员控制车辆的程度。
例如,S2、C1 和 E4 的组合意味着 ASIL A 严重程度等级,工程团队必须根据 ASIL A 运行低风险降低流程。
ASPICE 与 ISO 26262:有什么区别?
ASPICE/ISO 26262 是一种常见的组合,因为两者都用于汽车制造。但它们的目的不同。ISO 26262 旨在降低车辆系统最终用户的安全风险,而 ASPICE 则从技术要求的角度关注产品质量。
因此,虽然 ISO 26262 更注重创造安全的产品,但 ASPICE 却确保实施适当的工程实践来保证产品质量。
汽车 SPICE/ISO 26262 集成工程流程
如上所述,这两个标准在大多数汽车软件开发项目中齐头并进。它们都是我们在整个软件开发生命周期中组合和混合以实现不同目的的框架。
ISO 26262 涵盖了 ASPICE 未涵盖的内容,例如故障模式影响分析、故障树分析、危害分析或风险分析。然而,它们在很大程度上是重叠的,因为许多强制性的生命周期流程是同时发生的。
