Automotive SPICE とは?

Automotive SPICE^®* または A-SPICE (Automotive Software Process Improvement and Capability dEtermination) は、ISO^®/IEC 15504 および ISO 330xx シリーズに準拠した自動車規格です。Automotive SPICE は、自動車サプライチェーン全体の組織が、自社のプロセスとサプライヤーの プロセスの能力レベルを評価し、改善することを可能にします。実際には、Automotive SPICE を使用することで、顧客 (OEM とその多層ネットワーク) も選定プロセスにおいてサプライヤーのプロセスを評価できます。

モデルベースデザイン (MBD、モデルベース開発) およびモデルベース システムズ エンジニアリングには、組織が Automotive SPICE の要件を満たし、サプライヤーが顧客の期待を満たす以上の能力を発揮できる構成要素と仕組みが用意されています。A-SPICE の主要なコンセプトの例として挙げられるのが、トレーサビリティの確保です。Simulink^®、System Composer™、および MathWorks のその他の仕様、設計、コード生成、検証/妥当性確認 (V&V) ツールを使用すると、プロジェクトのすべての成果物にわたってデジタルスレッドを維持できます (図 1)。また、双方向のトレーサビリティを使用することで、要件がどのように実現され、開発されたシステムとソフトウェアにおいて設計制約がどのように満たされているかを確認できます。これは、すべての検証と妥当性確認の成果物についても同様です。

モデルベースデザインにおける A-SPICE のサポートについては、ツールのユースケースを A-SPICE の基本実施事項にマッピングした IEC Certification Kit のマッピング文書に詳細が記載されています。

Auutomotive SPICE を構成する座標

A-SPICE には、プロセス参照モデル (PRM) と測定フレームワークという 2 つの座標があります。アセスメントの間、査定者はあらかじめ定義された属性に関してプロセスを評価します。Automotive SPICE には、プロセスとその属性の評価を集計し、組織が達成した能力レベルを判定するメカニズムが組み込まれています。

A-SPICE は、レベル 0 (不完全なプロセス) からレベル 5 (革新的なプロセス) まで、合計 6 つの能力レベルを定義しています。

A-SPICE は、自動車業界での普及が進んでおり、多くの OEM とその多層ネットワークは、すべてのサプライヤーに対して少なくとも Automotive SPICE レベル 2 を満たすとともに、将来のプロジェクトや将来の計画全般でレベル 3 を満たすことを求めるようになっています。

図 3 は、Automotive SPICE の 6 つのレベルと、各レベルの評価に必要な追加のプロセス属性を示しています。

プロセス参照モデル (PRM)

A-SPICE のプロセス参照モデルは、プロセスとその相互関係を定義しています。各プロセスは、その名称、主な目的、関連する成果で記述されています。

各プロセスはまた、関連するプロセスの成果を達成する指標として考慮される活動を定義する、特定の基本実施事項についても規定しています。さらに、各プロセスには特定の作業成果物が存在します。これらの正式な文書や作業成果物の存在は、Automotive SPICE における特定の活動について、肯定的な結論が得られたことを示します。

この規格では、これらのプロセス (合計 32) を 3 つのプロセスカテゴリ (主要、組織、支援) と 8 つのプロセス群に分類しています。

• 主要ライフサイクル プロセスは、取得プロセス群 (顧客側)、供給プロセス群 (サプライヤー側)、およびシステムレベルとソフトウェアレベルの製品仕様、設計、開発、統合、テストに必要なエンジニアリング プロセス群で構成されています。
• 支援ライフサイクル プロセスには、文書化、検証、共同レビュー、変更管理などのプロセスが含まれます。これらのプロセスは、製品ライフサイクル全体を通じて、他のプロセスでも使用できます。
• 組織ライフサイクル プロセスには、管理、再利用、プロセス改善プロセス群が含まれます。これらのプロセスにより、組織は、プロジェクトで使用するプロセス、製品、再利用可能なリソースアセットを開発することで、ビジネス目標を達成できます。

測定フレームワーク

Automotive SPICE の測定フレームワークを使用することで、評価者は、測定可能なプロセス特性または属性に基づいて、検討中の各プロセスの能力度合いを判定できます。評価者は、以下を検討することで、コンプライアンスの証拠を取得します。

1. 評価されたプロセスで利用可能な作業成果物およびリポジトリコンテンツ
2. プロセスの実行者とマネージャーによる証言

プロセス属性の評価は、4 段階の評定尺度 (N: 達成していない、P: 部分的に達成している、L: おおむね達成している、F: 十分に達成している) に従って行われます。あるプロセスの特定の能力レベルを達成するには、そのレベルのすべてのプロセス属性を「L: おおむね達成している」か、「F: 十分に達成している」ことが求められ、それ以前のレベルのプロセス属性は「F: 十分に達成している」ことが求められます。

A-SPICE エンジニアリング プロセス

A-SPICE の主要ライフサイクル プロセス カテゴリには、システムおよびソフトウェア エンジニアリングのプロセス群が含まれます。この 2 つの群は、システムレベルとソフトウェアレベルで自動車製品を開発する上で必要なエンジニアリング プロセスを定義しています。システムレベルには、ソフトウェア、ハードウェア、機械、熱などの分野が該当します。

システム エンジニアリング プロセス群は、顧客および内部要件の収集と管理、システム アーキテクチャの開発、システムレベルでの統合、統合テスト、および適格性確認活動の実施に必要な個々のプロセス (SYS.1 ~ SYS.5) を規定しています。

同様に、ソフトウェア エンジニアリング プロセス群は、個々のプロセス (SWE.1 ~ SWE.6) を規定しています。

SWE.1 ~ 3 は、V 字モデルの左側でプロセスを指定しています。これらのプロセスの目的は、ソフトウェア要件の特定、ソフトウェア アーキテクチャ設計の開発、設計の詳細化、ソフトウェアユニットの構築です。V 字モデルの右側では、SWE.4 ~ 6 プロセスが、検証、統合、テスト、適格性確認活動を指定しています。

自動車のバリューチェーン全体で、自動車関連組織は、Simulink を使用したモデルベースデザインとモデルベース システムズ エンジニアリングを利用して、顧客、市場、標準化の要件を満たす以上の電気および電子 (E/E) 製品を開発しています。Automotive SPICE に関しては、Simulink を使用したモデルベースの手法が、エンジニアリング プロセスを幅広くサポートします。これについては、IEC Certification Kit に含まれるツールマッピング文書に説明が記載されています。

詳しくは、サイドバーの Web セミナーをご覧ください。

A-SPICE のエンジニアリング プロセスや基本実施事項の実行を目的として、モデルベースデザインやモデルベース システムズ エンジニアリングが広く採用されている理由は、自動化とシミュレーション機能が利用できるためです。たとえば、モデルベースデザインを使用する手法では、設計プロセスの早い段階で効果的かつ効率的にトレードスタディを実施し、要件仕様、設計、実装、検証、妥当性確認など、すべてのプロジェクト成果物間で完全なトレーサビリティを持つデジタルスレッドを確立できます (2:36)。このような機能により、エンジニアは最先端の製品や技術革新の開発に集中し、完全性、一貫性、正確性などのプロセス品質面の向上にはツールによるサポートを活用することができます。

モデルベースデザインとモデルベース システムズ エンジニアリングを活用した Automotive SPICE 準拠の事例を見る

Automotive SPICE と ISO 26262 規格および IATF 16949 規格

ISO 26262 は、自動車産業における機能安全規格です。この規格は、目的を記載するとともに、その目的を満たすことによって機能的に安全な (つまり、不合理なリスクのない) E/E 自動車部品を開発する上で必要な要件と実施すべき活動を規定しています。

この規格は、コンセプト、開発、生産、運用、サービス、廃棄段階にわたる、自動車部品の完全な安全ライフサイクルを対象としています。安全要件 (システムの禁止すべき動作など) は、コンセプト段階でのハザード解析およびリスク評価 (Hazard Analysis and Risk Assessment: HARA）、故障モード影響解析 (Failure Mode and Effects Analysis: FMEA)、製品開発中の故障の木解析 (Fault Tree Analysis: FTA) を含む安全解析活動を、システム、ハードウェア、ソフトウェアの各レベルで実施することによって指定されます。FMEA は、生産、運用、サービス、および廃棄の各段階においても実施されます。

ISO 26262 はコンセプト段階から廃棄までのライフサイクル全体を対象としていますが、Automotive SPICE では設計と開発を重視しています。また、Automotive SPICE は、一貫性、正確性、完全性を確保する双方向トレーサビリティの重要性も明確に示しています。

さらに、ISO 26262-2:2018 の 5.4.5.1 項では、「組織は、機能安全をサポートし、ISO 9001 または同等の規格と連携する IATF 16949 などの品質管理規格に準拠した品質管理システムを備えるものとする」と規定しています。品質管理システム (QMS) を備えることは、すべての不具合がシステムの不具合となるソフトウェア開発では特に重要です。QMS が存在することで、問題や矛盾、ミスを可能な限り早期に予防し、発見できます。

一方、IATF 16949 では、8.3.2.3 項の組み込みソフトウェア開発に関する、よくある質問 (FAQ) の中で Automotive SPICE について説明しています。ISO 26262 と Automotive SPICE との関係性においてもう一つ重要な点は、ISO 26262 が 4 つの自動車用安全度水準 (ASIL A から ASIL D) を定義していることです。また、この規格はさらに QM ハザードのクラスも定義しています。品質管理プロセス (例: A-SPICE) は、これらの QM ハザードを管理する上で十分に有効です。

設計段階と開発段階では、ISO 26262 と Automotive SPICE は大きく重複しています。既に Automotive SPICE に従って開発している場合は、結果的に ISO 26262 の複数の要件を満たすことになります。これは IATF 16949 についても全般的に同様です。このため、ISO 26262 と A-SPICE (および IATF 16949) プロセスの調整および整合、A-SPICE と機能安全評価および監査の同期は可能であり、強く推奨されます。

IEC Certification Kit が ISO 26262 プロジェクトをサポートする事例については、こちらの記事をご覧ください。

Automotive SPICE の拡張

自動車業界におけるサイバーセキュリティの重要性が増していることから、2021 年、サイバーセキュリティ対応の新たなプロセスが補完された Automotive SPICE が発行されました。この補完により、サイバーセキュリティに焦点を当てた 4 つの新しいエンジニアリング プロセス (SEC.1 ~ 4) が追加され、サイバーセキュリティ要件とその実装、および V&V 活動も記載されています。図 5 に、サイバーセキュリティのための Automotive SPICE プロセス参照モデルを示します。サイバーセキュリティに加え、Automotive SPICE には、ハードウェアと機械工学プロセスをカバーするアドオンが存在します。これらのアドオンを使用すると、Automotive SPICE の範囲内で、一般的なメカトロニクスの全領域を考慮できるようになります。

* Automotive SPICE^® は Verband der Automobilindustrie e.V.(VDA) の登録商標です。