内容提要：本文是关于质量标准和产品开发标准的融合，包括ASPICE V3.1、ISO 26262:2018、ISO 21448:2019和ISO 21434:2021。

摘要

随着汽车自动化程度的提高，汽车产品在安全性和防护性方面的复杂性也随之增加。功能安全和网络安全不仅是吸引业务的附加功能，它对于开发和最终用户的期望至关重要。本文是关于质量标准和产品开发标准的融合，包括ASPICE V3.1、ISO 26262:2018、ISO 21448:2019和ISO 21434:2021。汽车行业正面临着定义符合当前国际标准和框架的质量管理体系的挑战。所以我们提出了一个集成ASPICE、安全工程和防护工程的混合模型。

1.简介

汽车的平均预期寿命为10至12年。随着自动化程度的提高，汽车系统日趋复杂。在人工智能(AI)和机器学习(ML)的帮助下，现代乘用车可以执行类似于虚拟助手的任务。这在安全和防护方面给汽车制造商(OEM)和汽车供应商带来了新的挑战。目前，我们正在与多个客户分别开展ASPICE和ISO标准的实施工作。这些方法使客户在开发产品时模棱两可，与正常的汽车产品开发相比，使用独立的方法，一致性/合规性认证的成本增加了数倍。为此，我们提出了结合ASPICE框架和网络安全ISO标准(ISO 21434)、功能安全(ISO 26262)和SOTIF(ISO 21448) 的集成质量管理系统，因为它们之间存在一些共性。

这种将ASPICE框架和ISO标准集成到一个质量管理体系中的混合方法可以节省开发成本，实施效率高，并且产品设计的优化发生在最少的修订次数和更少的返工中。

ASPICE框架是关于汽车产品的系统工程、软件工程，主要关注四个关键概念：合规输入以获得合规输出、认可和总结、划分和控制以及可追溯性。功能安全是指车载电子设备发生故障，从而对车内驾驶员和乘客造成伤害。SOTIF是关于在不同运行环境和误用情况下的驾驶场景。而网络安全是关于通过软件和硬件接口对车辆进行的恶意人为攻击。网络安全可以通过识别需要保护的新网络安全关键资产来影响功能安全和SOTIF。

在这里，我们提出了一种称为集成质量管理系统的混合模型，它同时满足ASPICE、ISO 21448、ISO 26262和ISO 21434的集成实施，以节省开发成本，减少返工，提高现有系统的有效性和效率，通过逐步实现工作的清晰性来提高资源的生产力。

集成质量管理系统的挑战：

到目前为止，我们讨论了集成质量管理系统的优点。这里的主要挑战是，尽管这些框架和标准看起来很相似，但它们的实现存在很多差异。综合方法可能不是简单的方法，因为每个标准都是独立开发的，并且有不同的要求。

定义：

“这个集成质量管理系统是为了在ASPICE框架和ISO标准的实施之间取得同步，通过规范标准差异并将它们纳入共同协议来优化汽车软件开发过程”。

2.概述

每个质量或产品开发框架或ISO标准都是基于以下因素制定的：

1）框架

2）产品生命周期

3）流程和工作产品

软件产品开发标准的比较：

ASPICE、功能安全、SOTIF和网络安全的高度集成：

HARA和TARA之间的区别：

网络安全影响类别有四种类型。它们是隐私、运行、财产和安全。当网络安全攻击导致安全隐患时，我们需要将HARA作为TARA的一部分执行(只有当网络安全影响的类别是安全时)。由于引入了新的架构元素（如密钥或加密语句），网络安全控制的引入可能会导致功能安全隐患。如果元件因故障而失效，则可能导致安全隐患。安全机制激活可能是恶意黑客的目标。

同步安全和防护：汽车系统中的级联失效在功能安全方面的示例。

同步安全和防护：在网络安全方面汽车系统中引入防火墙的示例。

3.结果或发现

框架：

该框架是一个骨架，它被放入有组织的实践活动中。ASPICE是一个定义明确的框架，具有基本实践、过程结果和工作产品。但本文讨论的其他三个ISO标准是建立在基于风险的框架之上的。根据ASPICE的风险管理在MAN.5过程域中定义。尽管它不在VDA范围内，但许多组织将此过程域视为在其组织范围内。ASPICE建议识别和分析风险以避免潜在问题。但对于其他ISO标准，风险是一个核心概念。尽管有一些共同点，但它们在基于风险的框架中并不相同。通过在高级概念上对框架和方法的各个部分进行建模，可以实现集成。让我们考虑一个基于风险的框架。

FUSA风险级别是ASIL（汽车安全完整性级别），网络安全风险级别是CAL（网络安全保障级别）。SOTIF风险以暴露(E)、严重性(S)和可控性(C)的形式表示。

产品生命周期：

跨ISO标准的共同生命周期包括

1）概念阶段

2）产品开发阶段

3）后开发阶段或生产、运维阶段

ASPICE覆盖主要生命周期流程的V模型，其中包括系统工程和软件工程流程以及支持、采购、供应、管理、重用和流程改进过程。ISO 26262覆盖用于系统、硬件和软件开发的V模型。ISO 21448没有明确的V模型或产品生命周期。它隐含在功能安全生命周期中。ISO 21434也有一个产品生命周期的隐式V模型，我们可以从ISO 26262中提取它。

所有这三个ISO标准在高层次上看起来都很相似。

过程和结果：

 ASPICE框架清楚地表达了过程、结果和各自的工作产品。同样，对于ISO 26262、ISO 21448、ISO 21434标准也有条款、子条款和相关的工作产品。这些条款和子条款有助于定义流程，比如软件集成测试的示例流程。对于集成，我们需要设计工作产品以满足不止一种标准，例如软件集成测试规范模板。

ISO 21434和ISO 21448在产品开发阶段没有单独的显式V模型。这些对ISO 26262 V模型是隐含的。与功能安全、SOTIF和ASPICE相比，网络安全的要求更多。这是ASPICE、功能安全、SOTIF和网络安全的维恩图。

以下是一些具有集成分类的示例工作产品：

1）易于集成

· 相关项定义

· 安全和防护概念

·后开发阶段的安全和防护要求

·软件集成规范

·软件验证规范

2）部分可能集成

· 风险评估和决策

· 安全和防护目标

· 安全和防护声明

· 修订后的安全和防护规范

3）独特的工作产品

·安全分析报告

·漏洞分析报告

·网络安全事件响应计划

4.结论

·可以将ASPICE、ISO 26262、ISO 21448和ISO 21434集成为质量管理系统，即使涉及不同的要求并由不同的开发团队独立定义。

·质量管理体系的整合可以将这些标准实施中的差异和变化调整和整合到一个共同的协议中。

·质量管理体系的整合从以下几个方面考虑。

o 框架

o 产品生命周期

o 过程和结果

·将ASPICE、ISO 26262、ISO 21448和ISO 21434整合为质量管理体系带来了更多的好处，例如节省实施成本，避免因缺乏澄清而造成的不必要的返工，通过使用统一的成果工作产品和易于使用。

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！