品質管理體系及功能認證地圖 - Part 2. Automotive SPICE簡介

美國時間2021年10月25日Tesla的股價再創新高，一舉將創辦人馬斯克(Elon Musk)推上世界首富，超越Amzon創辦人貝佐斯(Bezos)；並且也成為市值超過一兆美元的五間公司中，唯一的造車企業。

自從Tesla問世以來，無疑帶動一股新造車年代的典範移轉。馬斯克曾在接受媒體訪問時說過：「Software will shape the future of the automotive industry」。而車用軟體如此複雜，如何把車用軟體做好，繼上一篇提到的ISO 26262之外，本篇繼續ASPICE的簡介。

ASPICE是由VDA QMC(德國汽車協會品質管理中心)所發行的車用軟體開發規範，與ISO 26262同樣是採用V-Model的概念。後續我們可以看到許多與車用軟件有關的規範，許多不乏V Model的精神。嚴謹的德國人在ASPICE中引用許多ISO關於軟體的規格，從需求管理、量測模型建立到測試案例，ASPICE等同於將軟體工程的重要精隨實踐了一次。ASPCIE參考的ISO規範如下表所示：

本圖取自ASPICE

不過ASPICE就像IATF 16949一樣，旨在建立一套架構讓合作夥伴能一起把事情做好(Do the things right)，但要像是Apple、Google、Microsoft、Tesla這些偉大的公司能夠創造一個新時代，則必須是具有創意及獨到的市場眼光，才能做出對的事情(Do the right things)。但話說回來，技術能力相當的兩家公司，往往是誰能夠在管理本質上做得更加卓越，是拉開競爭差距的不變法則。

衡量ASPICE成熟度如下圖所示可分為兩個維度：Measurement framework以及Process reference model。 Measurement framework 參考ISO/IEC 33020，可以分成5個等級。分別是Incomplete process、 Performed process、 Managed process、 Established process、 Predictable process、 Innovating process。

本圖取自ASPICE

ASPICE的Procecess reference model (PRM)可分成三種生命週期流程個包含不同的過程群，如下表所示。

主要生命週期(Primary life cycle)包含採購流程組(Acquisition Process Group, ACQ) 、供應流程組(Supply Process Group, SPL)、系統工程流程組(System Engineering Process Group, SYS)、軟體工程流程組(Software Engineering Process Group, SWE)。

組織生命週期(Organizational Life Cycle Process)包含管理流程組(Management Process Group, MAN)、過程改善流程組(Process Improvement Process Group, PIM)、重複利用流程組(Reuse Process Group, REU)。

支持生命週期(Supporting life cycle process)內包含支持流程組(Supporting Process Group, SUP)。

本圖取自ASPICE

民國101年10月28日

OTORI

品質管理體系及功能認證地圖 - Part 1. IATF 16949 & ISO 26262簡介

每隔一段時間公司就會邀請認證機構簡報，除了更新各組織的認證計畫外，也少不了讓認證公司工商一下。這次聽到是車用電子一站式認證服務，也就是把車用電子可能會用到的品質體系、認證計畫都整合在一起。OT覺得這個觀念很實用，分享在本篇文章。

圖中橫軸是車用產品開發的不同階段：產品計畫(Product Plan)、產品設計開發(Product Design and Development)、製程設計與開發(Production Process Design and Development)、產品與製程驗證(Product and Production Process Verification)、大量安全投產啟動(Mass Production and Security)、持續改善(Kaizen)。明顯的，橫軸取自IATF 16949的產品開發階段分法。縱軸則是品質體系的不同面向：系統流程(System Process)以及設計開發(Design and Development)。縱軸之所以這樣規劃，是為了涵蓋不同認證體系在產業鏈中的位置。

既然橫軸是取自IATF 16949，貫穿整個產品生命週期的當然也是品質管理系統(Quality Management System)，因為品質是做車第一重要的事情！不比消費用品，當消費產品在使用過程中出現異常，可以送回原廠換維修或是換一個全新產品給用戶；但是車子一旦在路上行駛，特別是對於安全相關的元件，是無法允許出現任何異常。想想看如果車子在行駛中安全氣囊突然爆開會發生甚麼事呢？或是在自動駕駛時車子該減速時卻沒有減速？為了規範車用產品從計劃到量產每一階段，IATF 16949以及VDA 6.3(歐規系統)因此而生。

品質體系強調的是閉鎖循環，任何品質問題最終都能個落實到品質體系內並且持續改善。IATF 16949是汽車產業相關產品質體系的最基本要求，前身是ISO 9001:2015；ISO 9001:2015的標準架構強調PDCA循環，即Plan(計畫)、Do(執行)、Check(檢驗)、Act(行動)。先有計畫，然後執行，執行的結果一定是可以被檢驗的，有哪些需要改善的地方，會轉換為改善的行動，並落實到一下次的計畫中，持續改善的循環。做車的人相信做車是門嚴謹的工程，同樣的步驟必定會得到同樣的產出；也因此任何質量事件都可以透過改善計畫讓每一次的生產都可以變得更好。不過當軟體加入造車的世界後，讓工程變得更具彈性但也讓質量管理變成更抽象，因此有了像是ASPICE對車用軟體進行更規範的管理。

IATF 16949包含五大核心工具：APQP(Advanced Product Quality Planning and Control Plan)、PPAP(Product Part Approval Process)、MSA(Measurement System Analysis)、SPC(Static Process Control)、FMEA(Potential Failure Mode and Effects Analysis)。不同的核心工作在產品開發的不同階段扮演不同分量的角色。以APQP為例，它是先期產品的品質規劃，可以做為開發過程的指導，也作為組織與其他客戶間分享結果的標準模式；APQP應該包含的內容很豐富，包括：設計、生產過程、檢驗標準、製程能力、產能、包裝、測試、教育訓練等。下圖為APQP對應到各開發階段與其他五大核心工具的關係。

VAD 6.3和IATF 16949的概念不太一樣，VDA 6.3強調製程稽核能力，所以包括了兩個面向：稽核供應商以及被客戶稽核。VDA全稱是Verband der Automobilindustrie(德國汽車工業協會)。

車用安全一直是一個重要的議題，比起上個世紀，本世紀的車子已經大量使用軟體以及聯網功能，因此對於軟體安全以及網路安全在車用產業也逐漸有了嚴謹的規範。根據informationisbeautiful.net在2015年的統計，一台高階車的軟件代碼已經超過一億行，超過Windows Vista、Facebook、美國軍事系統以及MAC OS X Tiger；這個趨勢還持續擴大中。為了確保車用產品的軟件品質ISO 26262、Automotive SPICE(ASPICE)、SAE-J3061、ISO/SAE DIS 21434等規範便在這樣的背景中產生。

本圖取自：informationisbeautiful.net

ISO 26262規範了功能性安全的標準，最大的特色是採用V Model觀念進行開發，每個階段都需要設計一個對應的驗證機制。下圖展示了ISO 26262各章節以及其對應關係。

本圖取自：ISO 26262

在ISO 26262的前兩個章節，花了許多篇幅再解釋ASIL(Automotive Safety Integrity Level)，ASIL分成QM、ASIL A、ASIL B、ASIL C、ASIL D五個安全等級，QM表示對安全沒有重要影響，符合品質管理體系即可；ASIL A表示對於車用安全是最低的危害(例如後車燈)，而ASIL D是最高程度的危害(例如剎車系統、安全氣囊等)。ASIL的劃分概念可以依據嚴重性(Severity)、接觸機率(Probability of exposure regarding operational situations)、可控性(Controllability)進行。下圖是節錄自NXP提供的範例。ASIL等級的定義關乎後續V-Model中各項產出如何定義，但是ASIL卻不是光由供應商決定，反而是由終端車廠決定；理由是同樣一個元件可能應用在不同的場景，它牽涉到的安全等級會跟著不同。例如攝像頭用在行車紀錄器跟用在ADAS上就是截然不同的安全等級。

圖片來源：NXP Functional Safety and ISO26262 Compliance

表：ISO 26262對於Severity的分級及定義

表：ISO 26262對於Probability of exposure regarding operational situations的分級及定義

表：ISO 26262對於Controllability的分級及定義

根據ISO 26262定義的嚴重性、接觸機率及可控性(Controllability)進行分級之後，可以得到下表的組合，得到該產品的ASIL等級。

OTORI

10/26/2021

讀《以善意鋪成的地獄》

「以善意鋪成的地獄」這本書之所以好看，特別是在2021年8月美軍以極度難堪的姿態撤離阿富汗首都喀布爾，會意外發現這本出版於2019年的書，竟然(絲毫不)意外的預料到美國必然遇到的外交困境。 本書作者以「自由主義霸權」為軸心，說明「自由主義霸權」生成背景以及為何—特別是在這幾年—國際媒體常觀察到這套外交政策理念總是遇到挫折；最後作者也提出他的解決方案。

OT在本篇文章中盡量避免使用「失敗的外交政策」一詞，畢竟身為一個沒有外交事務背景的讀者，實在很難評判什麼是「成功」或是「失敗」的外交政策；所以使用「挫折」這類比較沒有強烈的負面評語來形容，但在翻開書中作者對於此類外交政策的描述，讀者們不難發現作者是打從心底認定的「失敗」。

本圖取自：博客來

本書作者是Stephen M. Walt(史蒂芬・華特)，譯者是林詠心，由麥田出版社在2019年初版。作者是現任哈佛國際關係教授，對於美國外交政策以及其附屬機關、團體相當熟悉。作者完成本書時，川普就任總統一年。華府與北京當局貿易戰方興未艾，新冠肺炎還未流行，港版國安法未通過，美國尚未選出新任總統拜登；而外交政策也還未進入新的局勢：美國與中共外長還未在阿拉斯加舉行會晤，美軍還未撤軍阿富汗，AUKUS也尚未締約。時間過了兩年，2021年現今局勢的發展遠比作者成書時還要再更複雜：不僅有疫情攪亂國際政治一池春水，美中競爭不僅從貿易戰拓展至科技戰，也上升至睹上整個國力的「體制」的全面競爭。

OT並不喜歡川普的行事風格，不過受限於以往對於美國外交政策的認知，只能表面覺得川普的外交政策一團亂，打壞了許多美國長期以來外交政策堅守的原則與佈局。但是看了本書之後，作者提供了一個不同的觀點：川普的外交政策是一團亂，但他正試圖挑戰美國外交政策許多傳統觀點；這些傳統外交政策的觀點自從柯林頓以來的三任總統讓美國許多民眾極為不滿，川普「美國優先」的言論因此為他贏得2016總統寶座。川普的當選也說明了美國確實有部分民意也認為到了要調整美國外交政策的時候，但他畢竟不熟悉外交圈的運作，所以雖然有想法要改變，但政令與效果卻常常背道而馳。(也許使用推特直接面對民眾及各國領導人也是可以避免這層尷尬吧？)

川普反對的傳統觀點有哪些呢？這四年來我們在報章雜誌都看了不少，川普所謂的美國優先，就是不再將美國視為世界警察，需要負責散播民主價值跟維持自由世界秩序；如此美國人可以對內更加富有並且強大。因此對於北約及亞洲的盟國，川普對軍費錙銖必較；他也反對所有全球化的議題，其中最顯著的就是氣候變遷以及貿易協定。既然支持川普的民眾覺得這些觀點有市場，那表示在對立於川普的另一群民眾有一套截然不同的主流觀點，而那便是作者稱的「自由主義霸權」。

什麼是「自由主義霸權」？它是一個外交總體策略，它尋求利用美國力量來捍衛跟傳播傳統的自由主義原則，包括個人自由、民主治理和市場經濟。作者之所以稱之為「霸權」，是因為這套策略的設計是將美國視為這套策略中「不可或缺的國家」，而且也只有美國夠資格將這些政治原則推廣到其他國家。當然經過幾十年來我們知道美國不顧各地歷史文化的差異，強行推動美國認知的自由主義，在許多不同的國家都遇到了強烈挫折。這些可以從作者自「前言」、「引言」，第一章的「淒涼的紀錄」以及第二章的「為什麼自由主義霸權失敗了」，鉅細靡遺的描述自從冷戰以來美國在外交策略究竟遇上了多少挫折，並且也探究了失敗的原因；俄羅斯、朝鮮、敘利亞、阿富汗、伊拉克、伊朗都是板上釘釘的負面教材。

「自由主義霸權」誕生背景是在冷戰結束，這是近代史上最重要的時刻之一，對世界而言如此，對美國更是如此。作者引用著名學者法蘭西斯・福山(Francis Fukuyama)「歷史的終點」的觀點，反諷地認為在今日看來一切都是這麼不切實際！「歷史的終點」認為冷戰結束說明資本主義戰勝了共產主義，不會再有針對重大議題的抗爭或衝突，因此也就不需要軍官或政治家的存在，社會上剩下的是經濟活動，自由民主是社會體制的唯一解答。此後美國外交圈普遍認為唯有自由民主並且世界上的其他國家也必須自由民主，美國才能繼續強大並且安全；因此美國必須主動積極的參與讓全世界都可以變得自由民主的進程。

冷戰結束後，進入了以美國為世界上唯一超強的「單極時代」，美國擁有全世界最大且最進步的經濟體，不僅GDP比起最接近的對手多了近60%，科學研究以及科技創新更是全球頂尖，而在布列敦森林會議後，美元也一直作為全球儲備貨幣；美國的軍事力量在全球都有部署軍隊，軍事支出是全球第一名，超越其後二十名國家軍事支出的總和。簡單來說，美國就是經濟、科技、軍事力量都遠遠超越其他國家的超強，也因此讓美國外交圈覺得他們更有資格也更有責任引領全球自由化、民主化。

為什麼「自由主義霸權」可以在全球推廣？先不管它是不是一個好的策略。作者提供的解答是第三章的「外交共同體」以及第四章的「推銷一套失敗的外交政策」，讀完這兩章之後，可能許多人會發現現在國際關係所謂的「規則」，許多其實就是這套「自由主義霸權」內化後的表象。而最近台海局勢的警張，嚴然成為美國許多政治人物以及智庫、報章雜誌的熱點，也極度符合作者在書中描述。參與者包括政府的正式機構、會員制的組織、智庫、利益團體跟遊說團體、媒體、學術界、(資金)支持的來源；而方法則包括操縱觀念的自由市場、膨脹威脅、跨大益處並且隱瞞成本。讓台海成為制肘中國大陸的一個棋子，符合美國外交共同體的期待，膨脹台海威脅對美國的壞處，而跨大美國介入台海的益處，並且對國內民眾隱瞞需要付出的成本；發生在伊拉克、阿富汗、香港的劇本，似乎如今又有強烈的既視感？

孫子兵法所謂「上兵伐謀，其次伐交，其次伐兵，其下攻城。」國際關係中的和縱聯合其實都是為了自己國家的利益 ，而不論何種形式的動用武力都是下下選；但美國近年的外交政策似乎比較常見的手段就是使用粗暴的(經濟或是軍事)制裁方式想讓對方屈服的手段，卻往往得到反效果。

OTORI

10/20/201