Was ist Automotive Spice?

Automotive SPICE^®* bzw. ASPICE (Automotive Software Process Improvement and Capability dEtermination) ist ein Standard der Automobilindustrie auf Basis der ISO^®/IEC 15504- und ISO 330xx-Standards. Mit Automotive SPICE können Unternehmen aus der gesamten Lieferkette der Automobilindustrie den Reifegrad ihrer eigenen Prozesse und der Prozesse ihrer Zulieferer bewerten und verbessern. In der Praxis ermöglicht Automotive SPICE den Kunden (OEMs und ihrem mehrstufigen Netzwerk) eine Bewertung der Prozesse ihrer Zulieferer im Rahmen des Auswahlprozesses.

Model-Based Design und Model-Based Systems Engineering liefern die Komponenten und Mechanismen, die es Unternehmen ermöglichen, die Anforderungen von Automotive SPICE zu erfüllen. Ihre Zulieferer können damit die Kundenerwartungen erfüllen und sogar übertreffen. Betrachten Sie Rückverfolgbarkeit als Beispiel für ein wichtiges ASPICE-Konzept: Mithilfe von Simulink^®, System Composer™ und weiteren Spezifikations-, Entwurfs-, Codegenerierungs- und Verifikations-/Validierungstools (V&V) von MathWorks können Sie einen Digital Thread in all Ihren Projektartefakten aufrechterhalten (Abbildung 1). Mithilfe von Vorwärts- und Rückverfolgbarkeit können Sie sehen, wie Anforderungen umgesetzt und die Randbedingungen Ihres Entwurfs in dem zu entwickelnden System und der Software erfüllt werden. Dies gilt auch für sämtliche Verifikations- und Validierungsartefakte.

Ein Rückverfolgbarkeitsdiagramm zeigt verschiedene Automotive SPICE-Artefakte als Felder, die dort mit Linien verknüpft sind, wo Rückverfolgbarkeitsverbindungen bestehen. — Abbildung 1: Mit Model-Based Design und Model-Based Systems Engineering können Sie mühelos einen Digital Thread zwischen Ihren Artefakten in Ihrem gesamten Entwicklungsprozess aufrechterhalten. Dieser Vorgang ist ein zentrales Prinzip von Automotive SPICE.

Die Unterstützung von ASPICE durch Model-Based Design wird in einem Zuordnungsdokument im IEC Certification Kit, in dem Tool-Anwendungsfälle den Basispraktiken von ASPICE zugeordnet werden, detailliert beschrieben.

Die Dimensionen von Automotive SPICE

ASPICE besteht aus zwei Dimensionen: einem Prozess-Referenzmodell (PRM) und einem Framework für Prozessmessungen. Während der Bewertung evaluieren Assessoren die Prozesse anhand von vordefinierten Attributen. Automotive SPICE beinhaltet Mechanismen für die Aggregation von Bewertungen aller Prozesse und ihrer Attribute, um den von einem Unternehmen erzielten Reifegrad zu bestimmen.

Zweidimensionale Darstellung des ASPICE-Frameworks mit den Ergebnissen der vorausgewählten Prozesse aus dem Prozess-Referenzmodell auf der horizontalen Achse und dem bestimmten Reifegrad jedes Prozesses auf der vertikalen Achse. — Abbildung 2: Das zweidimensionale Framework für die Prozessbewertung durch ASPICE: Bestimmte Prozesse werden aus einem Prozess-Referenzmodell (erste Dimension) ausgewählt, und ihr Reifegrad (zweite Dimension) wird auf der Grundlage von Nachweisen bestimmt.

ASPICE definiert insgesamt sechs Reifegrade, von Stufe 0 (unvollständige Prozesse) bis Stufe 5 (innovative Prozesse).

ASPICE gewinnt in der Automobil- und Fahrzeugindustrie immer mehr an Bedeutung: Zahlreiche OEMs und ihre mehrstufigen Netzwerke verlangen von allen ihren Zulieferer mindestens Automotive SPICE-Stufe 2, und es bestehen Pläne, für künftige Projekte – oder die Zukunft im Allgemeinen – Stufe 3 zu erreichen.

Abbildung 3 illustriert die sechs Stufen von Automotive SPICE und die zusätzlichen Prozessattribute, die für die Bewertung auf der jeweiligen Stufe benötigt werden.

Treppendarstellung der sechs Stufen von Automotive SPICE mit den für jede Stufe erforderlichen Prozessattributen. So müssen beispielsweise für Stufe 2 die Attribute „Leistungsmanagement“ (Performance Management) und „Management der Arbeitsergebnisse“ (Work Product Management) bewertet werden. — Abbildung 3: Die sechs Reifegrade von Automotive SPICE. ASPICE definiert sechs Stufen für die Reifegrade von Prozessen, vom unvollständigen Prozess (Stufe 0) bis hin zum innovativen Prozess (Stufe 5). Um von einer Stufe zur nächsten aufzusteigen, müssen bestimme Prozessattribute erreicht und belegt werden.

Prozess-Referenzmodell (PRM)

Das Prozess-Referenzmodell von ASPICE definiert Prozesse und ihre Wechselwirkungen. Jeder Prozess wird durch seinen Namen, seinen Hauptzweck und die damit verbundenen Ergebnisse beschrieben.

Ferner legt jeder Prozess bestimmte Basispraktiken fest, mit denen Aktivitäten definiert werden, die als Indikatoren für die Erreichung der verbundenen Prozessergebnisse betrachtet werden. Zusätzlich hat jeder Prozess bestimmte Arbeitsergebnisse. Das Vorhandensein dieser formalen Dokumente oder Arbeitsergebnisse bedeutet den positiven Abschluss bestimmter Aktivitäten in Automotive SPICE.

Der Standard ordnet diese Prozesse (insgesamt 32) in drei Prozesskategorien (primär, organisatorisch und unterstützend) sowie acht Prozessgruppen ein.

Primäre Lebenszyklusprozesse umfassen die Beschaffungsprozessgruppe (auf Kundenseite), die Lieferprozessgruppe (auf Lieferantenseite) sowie die Entwicklungsprozesse, die für Produktspezifikation, Entwurf, Entwicklung, Integration und Tests auf System- und Softwareebene benötigt werden.
Unterstützende Lebenszyklusprozesse umfassen Prozesse wie Dokumentation, Verifikation, gemeinsame Überprüfung und Änderungsmanagement. Diese Prozesse können von anderen Prozessen im Lebenszyklus eines Produkts eingesetzt werden.
Organisatorische Lebenszyklusprozesse umfassen die Management-, Wiederverwendungs- und Prozessverbesserungs-Prozessgruppen. Diese Prozesse erlauben es Unternehmen, ihre Geschäftsziele zu erreichen, indem sie Prozesse, Produkte und wiederverwendbare Ressourcen für den Einsatz in Projekten entwickeln.

Einordnung von Automotive SPICE-Prozessen in drei Kategorien (primärer Lebenszyklus, organisatorischer Lebenszyklus und unterstützender Lebenszyklus) und acht Prozessgruppen (Beschaffung, Lieferung, Systemtechnik, Softwareentwicklung, Unterstützung, Management, Wiederverwendung und Prozessverbesserung) mit Illustration des V-Modell-Layouts für Systemtechnik- und Softwareentwicklungsprozesse. — Abbildung 4: Prozess-Referenzmodell von ASPICE. Dieses legt 32 Prozesse in drei Kategorien und acht Prozessgruppen fest. Der orangefarbene Rahmen kennzeichnet Automotive SPICE-Prozesse im VDA-Umfang.

Framework für Prozessmessungen

Das Framework für Prozessmessungen von Automotive SPICE ermöglicht Assessoren die Bestimmung der Reifegradsdimension für jeden Prozess unter Berücksichtigung der messbaren Prozessmerkmale bzw. -attribute. Assessoren holen Nachweise der Konformität ein, indem sie Folgendes berücksichtigen:

Verfügbare Arbeitsergebnisse und Repository-Inhalte für bewertete Prozesse
Bezeugungen von Prozessbeteiligten und -verantwortlichen

Die Prozessattributsbewertungen folgen einer vierstufigen Ordinalskala: Not achieved (nicht erreicht), Partially achieved (teilweise erreicht), Largely achieved (größtenteils erreicht) und Fully achieved (vollständig erreicht). Damit ein Prozess einen bestimmten Reifegrad erreichen kann, müssen alle Prozessattribute dieser Stufe entweder Largely achieved (größtenteils erreicht) oder Fully achieved (vollständig erreicht) sein. Die Prozessattribute vorheriger Stufen müssen Fully achieved sein.

ASPICE-Entwicklungsprozesse

Die ASPICE-Kategorie der primären Lebenszyklusprozesse umfasst die Prozessgruppen „Systemtechnik“ und „Softwareentwicklung“. Diese beiden Gruppen definieren die erforderlichen Prozesse für die Entwicklung von Automobilprodukten auf System- und Softwareebene. Auf der Systemebene kommen Disziplinen wie Software, Hardware, Mechanik und Wärme zusammen.

Die Prozessgruppe „Systemtechnik“ beschreibt einzelne Prozesse (SYS.1–SYS.5), die für die Erfassung und Verwaltung von Kunden- und internen Anforderungen, die Entwicklung der Systemarchitektur und die Durchführung von Integrations-, Integrationstest- und Qualifikationsaktivitäten auf Systemebene erforderlich sind.

Ebenso beschreibt auch die Prozessgruppe „Softwareentwicklung“ einzelne Prozesse (SWE.1–SWE.6).

SWE.1–3 spezifizieren Prozesse auf der linken Seite des V-Modells. Der Zweck dieser Prozesse besteht darin, die Softwareanforderungen zu bestimmen, das Architekturkonzept der Software zu entwickeln, den Entwurf detailliert darzustellen und Softwareeinheiten zu konstruieren. Auf der anderen Seite des V-Modells decken die Prozesse SWE.4–6 die Verifikations-, Integrations-, Test- und Qualifikationsaktivitäten ab.

Unternehmen aus der gesamten Wertschöpfungskette der Automobilindustrie nutzen Model-Based Design und Model-Based Systems Engineering mit Simulink zur Entwicklung elektrischer und/oder elektronischer (E/E) Produkte, mit denen die Anforderungen von Kunden, Märkten und Standards erfüllt und übertroffen werden. Im Hinblick auf Automotive SPICE bieten modellbasierte Ansätze mit Simulink eine weitflächige Unterstützung für Ihre Entwicklungsprozesse. Dies wird in einem Tool-Zuordnungsdokument zusammengefasst, das im IEC Certification Kit enthalten ist.

Weitere Details finden Sie in den Webinaren in der Seitenleiste.

Die weite Verbreitung von Model-Based Design und Model-Based Systems Engineering zur Durchführung von ASPICE-Entwicklungsprozessen und -Basispraktiken kann auf die Automatisierungs- und Simulationsfunktionen zurückgeführt werden. So können Sie beispielsweise mit Model-Based Design-Ansätzen schon früh im Entwurfsprozess effektive und effiziente Vergleichsstudien durchführen und einen Digital Thread (2:36) mit vollständiger Rückverfolgbarkeit aller Ihrer Projektartefakte erstellen, einschließlich Anforderungsbestimmungs-, Entwurfs-, Implementierungs-, Verifikations- und Validierungsartefakten. Aufgrund dieser Funktionen können sich Ingenieure auf die Entwicklung hochmoderner Produkte und Innovationen konzentrieren und mithilfe der Unterstützung verschiedener Tools Prozessqualitätsaspekte wie Vollständigkeit, Konsistenz und Richtigkeit erzielen.

Erfahren Sie anhand von Fallstudien zu Model-Based Design und Model-Based Systems Engineering mehr über die Erreichung der Automotive SPICE-Standards

Robert Bosch:
Systemarchitekturentwurf gemäß Automotive SPICE mithilfe der MathWorks Toolchain

Volkswagen:
Detaillierter Softwareentwurf für modellbasierte Entwicklung

Kugler Maag:
Effektive modellbasierte Entwicklungsstrategien für ASPICE- und Sicherheitskonformität

Automotive SPICE und die Standards ISO 26262 und IATF 16949

ISO 26262 ist der Standard für funktionale Sicherheit in der Automobil- und Fahrzeugindustrie. Dieser Standard legt Ziele fest und schreibt erforderliche Anforderungen und Aktivitäten vor, die durchgeführt werden müssen, um funktional sichere (d. h. von unzumutbaren Risiken freie) E/E-Automobilteile zu entwickeln, mit denen diese Ziele erfüllt werden.

Der Standard deckt den kompletten Sicherheitslebenszyklus von Automobilteilen ab, vom Konzept über Entwicklung, Produktion, Betrieb und Wartung bis hin zur Stilllegung. Sicherheitsanforderungen (d. h. was das System nicht tun soll) werden anhand von Sicherheitsanalysen bestimmt. Diese umfassen die Gefährdungs- und Risikoanalyse (Hazard Analysis and Risk Assessment, HARA) in der Konzeptphase sowie die Fehlermöglichkeits- und Einflussanalyse (FMEA) und Fehlerbaumanalyse (Fault Tree Analysis, FTA) während der Produktentwicklung auf System-, Hardware- und Softwareebene. Die FMEA von Prozessen wird auch während der Produktions-, Betriebs-, Wartungs- und Stilllegungsphase durchgeführt.

Während ISO 26262 den gesamten Lebenszyklus vom Konzept bis zur Stilllegung abdeckt, liegt der Schwerpunkt von Automotive SPICE auf der Entwurfs- und Entwicklungsphase. Zudem betont Automotive SPICE die Bedeutung einer bidirektionalen Nachverfolgbarkeit, um Konsistenz, Richtigkeit und Vollständigkeit zu gewährleisten.

Darüber hinaus legt ISO 26262-2:2018, Abschnitt 5.4.5.1 Folgendes fest: „Unternehmen benötigen ein Qualitätsmanagementsystem, das funktionale Sicherheit unterstützt und mit einem Qualitätsmanagementstandard wie beispielsweise IATF 16949 in Verbindung mit ISO 9001 oder ähnlichen Standards konform ist.“ Ein Qualitätsmanagementsystem (QMS) ist insbesondere bei der Softwareentwicklung wichtig, bei der sämtliche Fehler Systemfehler sind. Ein QMS trägt dazu bei, Probleme, Inkonsistenzen und Fehler so früh wie möglich zu erkennen und zu verhindern.

Andererseits verweist IATF 16949 selbst in den häufig gestellten Fragen zu Abschnitt 8.3.2.3 über die Entwicklung von Embedded Software auf Automotive SPICE. Ein weiterer wichtiger Aspekt der Beziehung zwischen ISO 26262 und Automotive SPICE ist die Tatsache, dass ISO 26262 vier Integritätsstufen für die Sicherheit von Fahrzeugen (ASIL A bis ASIL D) definiert. Darüber hinaus definiert der Standard eine zusätzliche QM-Klasse von Gefahren. Qualitätsmanagementprozesse (z. B. ASPICE) reichen für die Bewältigung dieser QM-Gefahren aus.

Während der Entwurfs- und Entwicklungsphase besteht eine große Überschneidung zwischen ISO 26262 und Automotive SPICE. Wenn Sie bereits gemäß Automotive SPICE entwickeln, erfüllen Sie damit folglich mehrere Anforderungen von ISO 26262. Dies gilt auch für IATF 16949 im Allgemeinen. Daher ist es möglich und sehr empfehlenswert, die Prozesse von ISO 26262 und ASPICE (und IATF 16949) zu koordinieren und zu harmonisieren sowie die Bewertungen und Prüfungen von ASPICE mit den funktionalen Sicherheits-Audits zu synchronisieren.

In diesem Artikel erfahren Sie mehr darüber, wie das IEC Certification Kit Ihr ISO 26262-Projekt unterstützen kann.

Erweiterungen von Automotive SPICE

Aufgrund der zunehmenden Bedeutung der Cybersicherheit für die Automobil- und Fahrzeugindustrie wurde Automotive SPICE im Jahr 2021 um eine neue Cybersicherheitsanforderung ergänzt. Die Ergänzung beinhaltet vier neue Entwicklungsprozesse mit Schwerpunkt auf Cybersicherheit (SEC.1–4), die Cybersicherheitsanforderungen und deren Implementierung sowie V&V-Aktivitäten umfassen. Automotive SPICE für Prozess-Referenzmodelle für Cybersicherheit wird in Abbildung 5 illustriert. Neben Cybersicherheit existieren bereits Erweiterungen von Automotive SPICE für Hardware- und mechanische Entwicklungsprozesse. Anhand dieser Erweiterungen können Sie alle üblichen mechatronischen Bereiche im Rahmen von Automotive SPICE berücksichtigen.

Diagramm mit Einordnung von Automotive SPICE-Prozessen in Kategorien (die gleichen, bereits bestehenden drei Lebenszyklusprozesse und acht Prozessgruppen) mit Kennzeichnung der neuen Automotive SPICE-Prozesse für Cybersicherheit: MAN.7, ACQ.2, SEC.1, SEC.2, SEC.3 und SEC.4. — Abbildung 5: Automotive SPICE-Prozess-Referenzmodell für Cybersicherheit. Zusätzlich zu MAN.7 und ACQ.2 führt es vier neue Entwicklungsprozesse ein.

* Automotive SPICE^® ist eine eingetragene Marke des Verbands der Automobilindustrie e.V. (VDA).

Beispiele und Erläuterungen

DENSO erstellt ein Systemarchitekturmodell für einen Hilfsmotor zur Beschleunigung des Entwurfs und der Verifikation von Regelungen. - Kundenbericht

Software-Referenz

IEC Certification Kit - Dokumentation
Requirements Toolbox - Dokumentation
System Composer - Dokumentation
Embedded Coder - Dokumentation
Simulink Test - Dokumentation
Polyspace Bug Finder - Dokumentation
Simscape - Dokumentation

Siehe auch: funktionale Sicherheitsstandards, Anwendung von Model-Based Design im Rahmen von ISO 26262 (Schulungen), Beratungsdienstleistungen zur Umsetzung von ISO 26262-Prozessen (Consulting Services)