Im Englischen bedeutet das Wort „spice“ nichts anderes als „Gewürz“. Jedoch „SPICE®“, mit großen Buchstaben geschrieben, bezieht sich auf einen wichtigen internationalen Standard. In diesem Blog beschreiben wir, wie dieser Standard mit dem Zusatz "Automotive" oder kurz "ASPICE®" in der Automobilindustrie Anwendung findet.
In der aktuellen Version 4.0 wird die Abkürzung SPICE® mit "Systems Process Improvement and Capability dEtermination" angegeben und bedeutet auf Deutsch Systemprozessverbesserung und Bestimmung der Leistungsfähigkeit.
Was ist ASPICE?
ASPICE® ist ein in der Automobilbranche üblicher Leitfaden zur Strukturierung und Bewertung von Softwareentwicklungsprozessen bis hin zur Fertigungsüberleitung und kontinuierlicher Prozessverbesserung durch Bewertung in Fähigkeitsstufen. ASPICE hilft Automobilzulieferern hervorragende Methoden nach dem Prinzip der “Best Practices” zu integrieren, damit falsche Entwicklungen frühzeitig erkannt und eliminiert werden. Außerdem hilft ASPICE dabei sicherzustellen, dass die Anforderungen an den OEM, Other Equipment Manufacturer, erfüllt werden.
ASPICE® erweitert den SPICE-Standard ISO 33061, um auch für die Automobilbranche standardisierte Vorgehensweisen für die Softwareentwicklung zur Verfügung zu stellen. Die neuen Erweiterungen um Cybersicherheit und agile Vorgehensmodelle ist weiter unten ein eigener Bereich gewidmet.
Welche Stufen, auch als Level bezeichnet, kann in ASPICE erreichen werden?
ASPICE bewertet den Softwareentwicklungsprozess über Stufen. Diese Stufen reichen von Stufe 0, nicht konform beziehungsweise unvollständig, bis Stufe 5 für einen ASPICE optimierten Prozess.
Level 0 - Nicht komplett:
Es konnten keine notwendigen Prozesseigenschaften zufriedenstellend erreicht werden.
Level 1 - Prozessimplementierung (process performance):
Die Prozesseigenschaften ermöglichen die Erfüllung der Ziele.
Level 2 - Prozess- und Arbeitsergebnisse (performance and work product management)
Ein Leistungsmanagement vom Arbeitsprodukt findet auf systematische Weise statt.
Level 3 - (process definition and deployment)
Prozess wird basierend auf standardisierten Regeln innerhalb der ganzen Organisation gelebt.
Level 4 - Prozessmessung und Fertigungssteuerung (process measurement and control)
Die Prozessdurchführung wird konsistent gemessen, inklusive Fertigungssteuerung.
Level 5 - Prozessinnovation- und optimierung (process innovation and optimization)
Prozess wird fortlaufend optimiert und adaptiert um die wichtige Geschäftsziele zu erreichen.
Welche Bewertung gibt es in ASPICE?
Während des Assessments wird jedes dieser Prozessattribute entsprechend folgender Skala bewertet:
Label | Bewertung | Zielerreichung | Beschreibung |
N | Nicht erreicht / not achieved | 0% to ≤ 15% | Der bewertete Prozess erfüllte nicht die festgelegten Anforderungen für den Erfolg. |
P | Teilweise erreicht / partially achieved | > 15% to ≤ 50% | Der bewertete Prozess hat einige Hinweise darauf gezeigt, dass sich die geforderte Eigenschaft annähert und teilweise erreicht wird. Bestimmte Elemente können jedoch bei der Erreichung dieser speziellen Eigenschaft weniger vorhersehbar sein. |
L | Weitgehend erreicht / largely achieved | > 50% to ≤ 85% | Der bewertete Prozess hat ein klares, strukturiertes Vorgehen und einen Erfolg in Bezug auf die vorgegebenen Kriterien gezeigt. Obwohl bei dieser Eigenschaft des Prozesses gewisse Mängel vorhanden sein können, ist sie insgesamt immer noch stark. |
F | Vollständig erreicht / fully achieved | > 85% to ≤ 100% | Der evaluierte Prozess hat sich als methodisch und schlüssig abgeschlossen erwiesen und erfüllt alle Kriterien für den Erfolg. Es gab keine nennenswerten Mängel im Zusammenhang mit diesem Attribut in der Bewertung des Systems. |
Tabelle 1 - NPLF-Skala
Warum nutzt ASPICE das V-Modell?
Auf diese Weise wird sichergestellt, dass jeder Entwicklungsschritt von einem Testschritt gespiegelt wird. Das V-Modell® ist ein von der Bundesrepublik Deutschland geschütztes Vorgehensmodell für IT-Entwicklungsprojekte. ASPICE® nutzt das V-Modell® der Softwareentwicklung, das den Prozess in zwei Teile aufteilt: 1. Die linke Seite des Buchstabens V symbolisiert die Entwurfs- und Entwicklungsschritte.
2. Die rechte Seite für die Testschritte.
Eine Visualisierung vom V-Modell finden Sie unter https://www.modernrequirements.com/blogs/aspice-compliance-automotive-software-development/.
Was sagen die Stufen (Level) über die Leistungsfähigkeit der Organisation aus?
Stufe/Level 0:
Die Bewertung der Stufe 0 von APICE bedeutet, dass die Aktivitäten in der Organisation ad hoc durchgeführt werden. Einige grundlegende ASPICE-Praktiken können eingehalten werden, aber nicht als direktes Ergebnis einer organisierten und zielgerichteten ASPICE-Initiative. Stufe 0 bedeutet also, dass Sie die von ASPICE definierten Arbeitsprodukte höchstens teilweise erreichen.
Stufe/Level 1:
Die Stufe 1 von APICE zeichnet sich dadurch aus, dass Arbeitsergebnisse vorhanden sind. Dadurch wird belegt, dass auch ein Prozess vorhanden ist. Beispiele für solche Arbeitsergebnisse sind Anforderungsspezifikationen, ein Testplan oder eine Teststrategie, ein Lieferantenbewertungsbericht oder andere Dokumente. Die Abdeckung ist möglicherweise nicht vollständig, aber erstreckt sich über den gesamten V-förmigen Lebenszyklus.
Auf Stufe 1 gibt es keine Bewertung, inwieweit ein bestimmtes Arbeitsprodukt ein vollständiger und integrierter Bestandteil Ihres Betriebs ist. Unternehmen, die Level 1 anstreben, können vorkonfigurierte Tools verwenden, die grundlegende ISO 26262- und ASPICE-Arbeitsprodukte für eine erfolgreiche Prozessbewertung enthalten.
Stufe/Level 2:
Die Stufe 2 bedeutet, dass die Organisation in der Lage ist, Ziele zu setzen, Prozesse zu verwalten, den Fortschritt zu überwachen und darauf entsprechend reagieren. Auf Stufe 2 werden Prozesspläne erstellt, Ressourcen geplant und überwacht sowie alle damit verbundenen Aktivitäten zielorientiert gestaltet. Arbeitsprodukte werden um Managementinformationen zu Themen wie Reviews oder Change Management erweitert.
Auf Stufe 2 ist es durchaus möglich, dass Projekte, die sich auf ähnliche Entwicklungsbereiche beziehen, erhebliche Unterschiede in der Ausführung aufweisen.
Wie kann ASPICE Stufe 1 in Ihrem Unternehmen implementiert werden?
Auf Stufe 1 steht die Prozessimplementierung im Vordergrund. Daher beurteilt der Gutachter, ob das Ergebnis des Prozesses in Bezug auf den Kontext des Projekts einschließlich des Erreichens aller Ergebnisse angemessen ist.
ASPICE schreibt keine spezifischen Tools oder Techniken vor, die Ingenieure verwenden müssen. Unternehmen steht es frei, eigene Entwicklungsprozesse zu etablieren, solange die angestrebten Ergebnisse erreicht werden. Ein ASPICE-Prüfer stellt beispielsweise fest, ob Ingenieure die Spezifikationen ihres Systems auf die Anforderungsanalyse zurückgeführt haben.
ASPICE-Gutachter verwenden eine NPLF-Skala, um zu bewerten, inwieweit das gewünschte Ergebnis erreicht wurde. Laut Skala werden die Ergebnisse entweder "nicht erreicht", "teilweise erreicht", "weitgehend erreicht" oder "vollständig erreicht". Der Bewerter vergibt eine NPLF-Bewertung für mehrere erwartete Ergebnisse und verwendet die aggregierte Bewertung, um das Gesamtfähigkeitsniveau des gesamten Projekts zu bestimmen. OEMs bestimmen, was für jedes Projekt als akzeptables Fähigkeitsniveau angesehen wird.
Die Lieferanten wählen Mitglieder ihrer Teams aus, die über mindestens drei Jahre einschlägige Berufserfahrung verfügen, um eine vorläufige ASPICE-Assessor-Schulung und -Zertifizierung zu absolvieren.
Verstehen von ASPICE: Machen Sie sich mit dem ASPICE-Framework, seinen Prinzipien und Anforderungen, PRM und PAM vertraut.
Gap-Analyse und Prozessdefinition: Bewerten Sie Ihre aktuellen Prozesse anhand der ASPICE-Anforderungen. Definieren Sie die Prozesse und Verfahren, die Sie zur Einhaltung der Vorschriften benötigen.
Prozessimplementierung und Schulung: Implementieren Sie die oben definierten Prozesse und Verfahren. Schulen Sie Ihre Mitarbeiter, um die Einhaltung von APICE sicherzustellen.
Prozessüberwachung, Messung und Verbesserung: Überwachen, messen und iterieren Sie kontinuierlich die ASPICE-konformen Prozesse.
Interne und externe Assessments: Führen Sie interne Assessments durch und holen Sie externe Assessments durch leitende Assessoren ein.
Zusammenarbeit mit Lieferanten: Arbeiten Sie mit nach- und vorgelagerten Lieferanten zusammen, um deren Einhaltung von APICE sicherzustellen.
Dokumentation und Berichterstattung: Pflegen Sie eine umfassende Dokumentation und Berichterstattung über ASPICE-bezogene Aktivitäten.
Wie kann ASPICE Stufe 2 in Ihrem Unternehmen implementiert werden?
Auf Stufe 2 müssen alle Aktivitätenprozesstechnisch geplant, gesteuert und alle daraus resultierenden Arbeitsergebnisse hinsichtlich Konfigurationsmanagement und Qualitätssicherung berücksichtigt werden.
Zusätzlich müssen auf Stufe 2 Strategien mit Zielen geplant und für die Aktivitäten definiert und dokumentiert werden. Außerdem müssen Anforderungen an alle relevanten Arbeitsprodukte jedes Prozesses definiert werden. Zu diesen Anforderungen gehören Informationen wie Inhalt und Struktur, was zum Beispiel auch als Inhaltsverzeichnis ausgeführt werden kann. Sehr oft werden die Anforderungen an ein Arbeitsprodukt als Arbeitsproduktvorlage dokumentiert, einschließlich einer Anleitung zur Verwendung der Vorlage. Wenn Tools verwendet werden, sollte die Verwendung dieser dokumentiert werden.
Verantwortlicher: Nennung einer Person, die für die ASPICE Einführung und Implementierung innerhalb der Organisation zuständig wird
Ausbildung: Sicherstellung der notwendigen Ausbildung über ASPICE für ASPICE Owner und für die Personen, welche in der Implementierung von ASPICE aktiv beteiligt werden.
Analyse: Analyse des Berichtes von misslungener ASPICE Zertifizierung in Hinblick auf überprüfte Prozesse, Ergebnisse, Ergebnisse der Prüfung von einzelnem Prozessen und identifizierten der Defizite.
Aktionspläne: Ausarbeitung von detaillierten Aktionsplänen zur Erreichung von Level 2 Assessment für die zu überprüfenden Prozesse.
Kontrolle: Implementierung von diesen Plänen unter strenger Management Kontrolle.
Eine Softwareentwicklungsfirma für die Automobilindustrie ist konform zu ASPICE, wenn sie beim Entwicklungsprozess oben genannte Prozesse erfüllt. Ein Erfüllungsgrad kann im Rahmen eines Audits durch einen unabhängigen Auditor verifiziert werden.
Abschließend, um auf die im Titel stehende Frage zu antworten: ASPICE ist für eine Firma, die für die Automobilindustrie Software entwickelt, eine vom Kunden geforderte Notwendigkeit, um „im Spiel“ zu bleiben.
Welche Vorteile ergeben sich bei Verwendung von Kanban in ASPICE?
Kanban ist eine agile Methode um Arbeitspakete zu visualisieren und die verschiedene Phasen dee Arbeitsschritte darstellen. Diese einfache Methode ist in der agilen Softwareentwicklung sehr beliebt und einfach umzusetzen. In der Automobilbranche wird vermehrt Kanban eingesetzt, weil es folgenden entscheidenden Vorteil gegenüber dem V-Model besitzt:
Das V-Modell braucht viel Zeit bis eine Anforderungsänderung umgesetzt ist, weil auch alle im Vorfeld erstellten Tests anzupassen sind. Hier kann Kanban helfen, weil das Team selbst bestimmt wann welche Aufgabe umgesetzt wird. Da werden zum Beispiel Tests zu Anforderungen erst dann umgesetzt, wenn sicher ist, dass sich die dazugehörige Anforderung nicht mehr ändert.
Wie integriert man Kanban in ASPICE?
Kanban-Testdurchlauf:
Wählen Sie ein Feature und unterteilen dieses zum Beispiel über eine User Story in die notwendigen Arbeitspakete. Passen Sie auf, dass die Arbeitspakete in ungefähr einem Tag abzuarbeiten sind. Sollte ein Arbeitspaket zu groß sein, dann kann es unterteilt werden. Führen Sie den Testdurchlauf und danach eine Retrospektive aus. Jede Aufgabe wird solange unterteilt und in mehrere kleinere Arbeitspakete zerlegt, bis jedes Arbeitspaket an maximal einen Tag umgesetzt werden kann.
Erstellen vom Kanban-Board: Das Team soll ein Kanban-Board mit eigenen Spalten definieren, um den Workflow zu visualisieren. Die selbst definierten Spalten können zum Beispiel "Zu erledigen", "In Bearbeitung", und "Fertig" benannt werden. Aber auch Spalten wie "Kontrolle", "Pause", "Infobeschaffung" machen Sinn und können vom Team definiert werden.
Anhand der Teamgröße ist es wichtig für jede Spalte die Maximalanzahl an aktiven Arbeitspaketen, auch WIP oder Work-In-Progress genannt, zu definieren. Wichtig ist einen konsistenten Workflow zu gewährleisten. Zum Beispiel macht es Sinn, dass pro Mitarbeiter im Team in der Spalte "In Bearbeitung" maximal eine Aufgabe als WIP-Wert definiert wird. Das ist dann bei fünf KollegInnen im Team ein WIP-Wert von 5.
Forecast:
Nach der Umsetzung des ersten Kanban-Testdurchlaufes kann über die Abarbeitungsgeschwindigkeit anhand der Historienwerte ein realistischer Forecast bestimmt werden. So wird bestimmt, wie viele Manntage die Umsetzung der offenen Features durch Interpolation der Anzahl an Arbeitspaketen benötigt werden.
Zusatzpunkt Retrospektiven: In auch spontan abgehaltenen Retrospektiven können schriftliche Arbeitsvereinbarungen getroffen werden und Feedbackschleifen durchgesprochen werden, um zum Beispiel Engpässe oder auch unnötige Schritte zu vermeiden.
Die Stärken von Kanban liegen in seiner Flexibilität und Einfachheit und eignet sich für unterschiedlichste Teams und Aufgaben.
Warum ist Cybersecurity ein Bestandteil von ASPICE?
Einige Gründe, warum "Cybersecurity" ein Bestandteil von ASPICE® ist:
Steigende Komplexität:
Fahrzeuge werden immer komplexer und stärker vernetzt, was sie anfälliger für Cyberangriffe macht. Integrierte Sicherheitsmaßnahmen sind daher unerlässlich.
Standardisierung:
ASPICE® bietet einen Rahmen für die Bewertung von Entwicklungsprozessen. Durch die Integration von Cyber-Security-Elementen kann eine standardisierte Herangehensweise an IT-Sicherheitsaspekte im Fahrzeugdesign gefördert werden.
Produktsicherheit:
Die Sicherheit und Zuverlässigkeit von Fahrzeugen hat höchste Priorität. Cyber-Security ist ein kritischer Faktor, um Sicherheitslücken zu schließen und die Integrität und Sicherheit von Fahrzeugfunktionen zu gewährleisten.
Regulatorische Anforderungen:
Es gibt zunehmende gesetzliche und regulatorische Anforderungen an die Cybersicherheit in der Automobilindustrie. Eine Integration in ASPICE hilft, diese Anforderungen systematisch zu erfüllen.
Vermeidung von Risiken:
Durch die Berücksichtigung von Cyber-Security in der Entwicklungsphase können potenzielle Schwachstellen frühzeitig identifiziert und beseitigt werden, was das Risiko von Sicherheitsvorfällen im späteren Betrieb minimiert.
Steigerung des Kundenvertrauens:
Die Kunden erwarten sichere und geschützte Systeme in ihren Fahrzeugen. Eine Integration von Cybersicherheitsstandards in den Entwicklungsprozess kann das Vertrauen in die Technologie stärken.
Die seit Juli 2021 publizierte Ergänzung „Quality Management Center des Verbands der Automobilindustrie „Automotive SPICE® for Cybersecurity – Process Reference and Assessment Model” (ASPICE® CS) leitet analog zu ASPICE® ein Prozessreifegradmodell für Cyber-security für Fahrzeughersteller in der Management Process Group MAN.7 Cybersecurity Risk Management ab.
ASPICE® CS behandelt nur die Produktentwicklung. Ausgeschlossen ist sowohl die Übergabe in die Produktion als auch die fortwährende Betreuung über den gesamten Produktlebenszyklus.
Die Fahrzeuge entwickeln sich zunehmend zu interagierenden Fahrzeugen mit künstlicher Intelligenz. Beginnend beim Infotainmentsystem mit Navigation, über smarte Matrix-LED-Lichter und Steer-/ Brake-By-Wire“ hin zum autonomen Fahren übernehmen Fahrzeugcomputer auch ASIL-relevante Aufgaben. ASIL steht für Automotive Safety Integrity Level, das sind sicherheitsrelevante Funktionen.
Die Realisierung dieser Funktionen erfordert teilweise weitreichende Zugriffsrechte auf die Fahrzeugfunktionen. Jede Schnittstelle ist dabei auch ein potenzielles Angriffsziel und stellt ein Risiko für die Fahrzeuginsassen und andere Verkehrsteilnehmer dar.
Daraus resultierende Herausforderung für Hersteller vernetzter Produkte (insbesondere Fahrzeuge) besteht somit darin, die digitale Angriffssicherheit – allgemein als Cyber-Security (CS) bezeichnet – über die gesamte Wertschöpfungskette zu gewährleisten. Es ist die Aufgabe des Fahrzeugherstellers, neben dem Projektrisikomanagement ein Risikomanagement für digitale Angriffe auf das Fahrzeug sowie dessen Infrastruktur über die gesamte Lebensdauer durchzuführen. Die gesamte Lebensdauer umfasst die Entwicklung, die Inverkehrbringung und auch die Außerbetriebnahme.
Wie wird bei ASPICE CS vorgegangen?
Nach der Planung des Inhalts bezüglich Anforderungen und Architektur über die System- und Hard/Software-Ebene sind die Risiken zu bewerten. Sind diese nach der Bewertung von Entwicklungsteams nicht tolerierbar, müssen Risikomaßnahmen abgeleitet und die Planung entsprechend angepasst werden. Projektterminplan und Projektbudget sind ebenfalls abzugegliche. Erst, wenn Inhalt, Kosten, Zeit und Risiko zueinander widerspruchsfrei sind, kann mit der Umsetzung begonnen werden. Dieser Abgleich muss im Laufe des Projekts bei jeder Planänderung erneut stattfinden.
ASPICE® CS trägt diesem iterativen Vorgehen im Sinne einer risikogetriebenen Entwicklung Rechnung. Die relative Zuordnung der ASPICE® CS Prozesse mit denen von ASPICE® hier dargestellt.
Nach der Umsetzung gilt es auf der rechten Seite des V-Modells die Erfüllung der zuvor gestellten Anforderungen zu überprüfen. Hierzu fordert ASPICE® CS für jede Ebene (Software, System) jeweils eine Verifikation auf der rechten Seite, genannt "Risk Treatment Verification", zur Überprüfung der Anforderungen der linken Seite anhand der dort definierten Tests und Testkriterien.
Um bisher unberücksichtigte Risiken aufzudecken, sieht ASPICE® zusätzlich Validierungstests, sogenannte Risk Treatment Validation. Das sind zum Beispiel Penetration-Tests. Diese erlauben es, die Erreichung der Cyber-Security-Ziele unabhängig von den identifizierten Risiken zu überprüfen. Im Rahmen der Validierung können unerkannte Risiken im Zusammenhang mit Cyber-Security aufgedeckt werden. Diese sind im Rahmen von ASPICE® aufzunehmen und zu bewerten. Wenn die Bewertung ergibt, dass die neuen Cyber-Security-Risiken adressiert werden müssen, erfordert dies einen erneuten Durchlauf vom V-Modell. Wichtiges Aspekt ist, dass im Gegensatz zur ISO 21434, ASPICE® CS nur die Produktentwicklung behandelt, nicht aber die fortwährende Betreuung über den gesamten Produktlebenszyklus bis zum Produktlebensende.
Wie wird Cyber-Security in ASPICE integriert?
Die Integration von Cyber-Security in ASPICE ist ein komplexer Prozess, der mit mehreren Herausforderungen verbunden ist. Hier sind einige der größten Schwierigkeiten:
Komplexität der Normen und Standards: Sowohl Cybersicherheit als auch ASPICE bringen umfangreiche Anforderungen und Best Practices mit sich. Die Kombination beider kann zu einem komplexen Geflecht von Vorgaben führen, die schwierig zu überblicken und zu integrieren sind.
Ressourcenbedarf: Die Implementierung umfangreicher Sicherheitsmaßnahmen erfordert erhebliche zeitliche, finanzielle und personelle Ressourcen. Viele Organisationen haben Schwierigkeiten, die notwendigen Investitionen in Schulung, Tools und Personal zu rechtfertigen.
Unterschiedliche Zielsetzungen: Während ASPICE sich auf Prozessverbesserung und Qualitätsmanagement konzentriert, zielt Cyber-Security auf den Schutz vor externen und internen Bedrohungen ab. Die unterschiedlichen Schwerpunkte können zu Zielkonflikten und Schwierigkeiten bei der Priorisierung führen.
Dynamische Bedrohungslage: Cyber-Security muss sich ständig weiterentwickeln, um neuen Bedrohungen gerecht zu werden. Diese dynamische Natur erschwert eine standardisierte Vorgehensweise, wie sie durch ASPICE vorgegeben wird.
Fachkräftemangel:
Besonders im Bereich der Cybersicherheit herrscht ein Mangel an qualifizierten Fachkräften. Dies kann die Implementierung und Aufrechterhaltung effektiver Sicherheitsmaßnahmen verlangsamen oder behindern.
Integration in bestehende Prozesse:
Die Einbindung von Cyber-Security-Anforderungen in bestehende Entwicklungsprozesse, die bereits auf ASPICE basieren, kann kompliziert sein und erfordert häufig eine umfassende Prozessneugestaltung.
Bewusstsein und Kulturwandel:
Bei der Integration von Cyber-Security geht es nicht nur um technische Lösungen, sondern auch um eine kulturelle Änderung innerhalb der Organisation. Mitarbeiter müssen hinsichtlich der Bedeutung von Sicherheit geschult und sensibilisiert werden.
Messbarkeit und Assessments:
Die Bewertung von Maßnahmen zur Steigerung der Cybersicherheit und deren Integration in ASPICE-basierte Assessments kann herausfordernd sein, da sicher designte Systeme stabil gegen potenzielle Angriffe sind.
Die Integration erfordert daher eine sorgfältige Planung und Strategie, um sicherzustellen, dass beide Disziplinen effektiv zusammenarbeiten und den spezifischen Anforderungen der Automobilindustrie gerecht werden.
Wo noch findet man weitere Ressourcen zu ASPICE und Kanban?
https://www.aptiv.com/en/insights/article/what-is-aspice
https://www.modernrequirements.com/blogs/aspice-compliance-automotive-software-development/
https://visuresolutions.com/blog/automotive/aspice/
Certified Provisional Assessor (Automotive SPICE®) – Exam Questions – Example (pdf)
https://www.ul.com/sis/training/training-courses
https://knuevenermackert.com/de/training/automotive-spice/
https://vda-qmc.de/automotive-spice/automotive-spice-zertifizierung/