面向自动驾驶系统（Autonomous Driving Systems, ADS）的开发，采用 ASPICE 与 ISO 26262 的联合合规框架，是实现高质量、高安全性和可追溯性的关键。

ASPICE（Automotive SPICE）和 ISO 26262 分别是汽车行业中广泛采用的过程评估标准和功能安全标准。

二者虽然目标不同，但在工程实践中可以互补，形成一套系统化的合规框架。

以下是面向自动驾驶系统构建 ASPICE + ISO 26262 联合合规框架的关键要素与实施策略：

1. ASPICE 简介：

• 针对汽车软件开发过程能力评估模型。

• 提供流程参考模型（PRM）与过程评估模型（PAM）。

• 用于评估组织过程能力成熟度，包括需求工程、软件设计、验证、项目管理等。

2. ISO 26262 简介：

• 汽车功能安全标准，适用于电气/电子（E/E）系统。

• 提供从概念阶段到产品退役的全生命周期安全活动。

• 包括风险评估（HARA）、ASIL 分配、安全需求、验证与确认等。

3. 联合合规的意义：

• ASPICE 强调过程质量，ISO 26262 强调系统安全。

• 联合使用可确保开发过程不仅符合质量标准，也满足高安全性要求。

• 有助于满足OEM和监管机构的双重合规要求。

1. 生命周期对齐：

• 建立统一的需求追溯矩阵（RTM），确保：

• 客户/系统需求 → 安全需求（FSR） → 软硬件需求

• 所有需求均覆盖测试、验证和审核记录

• 采用需求管理工具（如IBM DOORS、Jama、Polarion）支持双向追溯

• 项目定义阶段设定“安全-质量”目标矩阵，指导项目全过程

• 安全工程师与过程质量工程师共同评审关键节点

• 开发与验证团队参与安全分析（如FMEA/FTA）

• 使用工具链（如Jama Connect + Codebeamer + Jenkins + Simulink）实现：

• 需求管理 + 软件版本控制 + 自动化构建/测试

• 自动生成审计/合规报告（满足ASPICE和ISO 26262）

三、关键实践建议

1. 安全驱动的需求建模（在ASPICE SYS.2/SWE.1中引入ISO 26262的FSR）

• 将安全目标（SG）、安全需求（FSR）、ASIL等级与功能需求一同建模

• 利用工具自动标记ASIL等级并追踪

2. 安全导向的架构设计（SYS.3 + SWE.2）

• 架构设计考虑冗余、隔离、监控机制

• 记录安全机制设计理由，纳入ASPICE设计文档

3. 验证与确认策略整合（ISO 26262 Part 4/6 + ASPICE TEST）

• 测试策略基于ASIL等级定义测试覆盖度（如MC/DC）

• 测试用例与需求双向追踪，形成统一测试报告

4. 联合审计与评估机制

• 内部评估采用ASPICE + ISO 26262 混合评估模型

• 外部审计时由安全与过程质量团队协同准备资料

四、挑战与对策

五、自动驾驶系统特别考虑

1. AI/ML模型验证：

• 在ASPICE基础上增加对数据管理、训练、验证、监控过程的评审

• 使用ISO/PAS 21448（SOTIF）补充未知/不可预见场景处理

2. ODD（运行设计域）管理：

• 将ODD作为系统需求的一部分，纳入ASPICE需求管理流程

• 与HARA结合分析特定ODD下的安全风险

3. 持续学习与OTA更新：

• 建立变更管理（ASPICE SUP.8）与安全案例分析机制

• 对OTA过程进行安全影响评估（符合ISO 26262 Part 8）

结语：

• 提升系统安全与过程质量双重保障

• 实现全生命周期可追溯性与可审计性

• 降低合规成本与开发风险

• 增强客户与监管机构信任

建议企业采用“流程融合 + 工具一体 + 团队协同 + 持续评估”的策略，构建可持续优化的联合合规体系。

推荐阅读：

亚远景-从仿真测试到实车验证：ISO/PAS 8800 的测试策略

亚远景-配置管理与ASPICE评估的契合点分析

亚远景-ASPICE评估：汽车软件开发过程评估的方法与经验总结

亚远景-ISO/PAS 8800与全球汽车AI监管趋同下的中国企业合规策略与技术适配

亚远景-ASPICE与ISO 26262：汽车软件安全与质量的双标

亚远景-ASPICE评估：汽车软件开发过程评估的有效方法

推荐服务：

点击查看亚远景ASPICE咨询、评估、“认证”、培训服务

点击查看亚远景ISO26262咨询、认证、培训服务

点击查看亚远景ASPICE、ISO26262培训课程

点击查看亚远景ASPICE、ISO26262实施工具-APMS研发过程管理平台