每隔一段時間公司就會邀請認證機構簡報,除了更新各組織的認證計畫外,也少不了讓認證公司工商一下。這次聽到是車用電子一站式認證服務,也就是把車用電子可能會用到的品質體系、認證計畫都整合在一起。OT覺得這個觀念很實用,分享在本篇文章。
圖中橫軸是車用產品開發的不同階段:產品計畫(Product Plan)、產品設計開發(Product Design and Development)、製程設計與開發(Production Process Design and Development)、產品與製程驗證(Product and Production Process Verification)、大量安全投產啟動(Mass Production and Security)、持續改善(Kaizen)。明顯的,橫軸取自IATF 16949的產品開發階段分法。縱軸則是品質體系的不同面向:系統流程(System Process)以及設計開發(Design and Development)。縱軸之所以這樣規劃,是為了涵蓋不同認證體系在產業鏈中的位置。
既然橫軸是取自IATF 16949,貫穿整個產品生命週期的當然也是品質管理系統(Quality Management System),因為品質是做車第一重要的事情!不比消費用品,當消費產品在使用過程中出現異常,可以送回原廠換維修或是換一個全新產品給用戶;但是車子一旦在路上行駛,特別是對於安全相關的元件,是無法允許出現任何異常。想想看如果車子在行駛中安全氣囊突然爆開會發生甚麼事呢?或是在自動駕駛時車子該減速時卻沒有減速?為了規範車用產品從計劃到量產每一階段,IATF 16949以及VDA 6.3(歐規系統)因此而生。
品質體系強調的是閉鎖循環,任何品質問題最終都能個落實到品質體系內並且持續改善。IATF 16949是汽車產業相關產品質體系的最基本要求,前身是ISO 9001:2015;ISO 9001:2015的標準架構強調PDCA循環,即Plan(計畫)、Do(執行)、Check(檢驗)、Act(行動)。先有計畫,然後執行,執行的結果一定是可以被檢驗的,有哪些需要改善的地方,會轉換為改善的行動,並落實到一下次的計畫中,持續改善的循環。做車的人相信做車是門嚴謹的工程,同樣的步驟必定會得到同樣的產出;也因此任何質量事件都可以透過改善計畫讓每一次的生產都可以變得更好。不過當軟體加入造車的世界後,讓工程變得更具彈性但也讓質量管理變成更抽象,因此有了像是ASPICE對車用軟體進行更規範的管理。
IATF 16949包含五大核心工具:APQP(Advanced Product Quality Planning and Control Plan)、PPAP(Product Part Approval Process)、MSA(Measurement System Analysis)、SPC(Static Process Control)、FMEA(Potential Failure Mode and Effects Analysis)。不同的核心工作在產品開發的不同階段扮演不同分量的角色。以APQP為例,它是先期產品的品質規劃,可以做為開發過程的指導,也作為組織與其他客戶間分享結果的標準模式;APQP應該包含的內容很豐富,包括:設計、生產過程、檢驗標準、製程能力、產能、包裝、測試、教育訓練等。下圖為APQP對應到各開發階段與其他五大核心工具的關係。
VAD 6.3和IATF 16949的概念不太一樣,VDA 6.3強調製程稽核能力,所以包括了兩個面向:稽核供應商以及被客戶稽核。VDA全稱是Verband der Automobilindustrie(德國汽車工業協會)。
車用安全一直是一個重要的議題,比起上個世紀,本世紀的車子已經大量使用軟體以及聯網功能,因此對於軟體安全以及網路安全在車用產業也逐漸有了嚴謹的規範。根據informationisbeautiful.net在2015年的統計,一台高階車的軟件代碼已經超過一億行,超過Windows Vista、Facebook、美國軍事系統以及MAC OS X Tiger;這個趨勢還持續擴大中。為了確保車用產品的軟件品質ISO 26262、Automotive SPICE(ASPICE)、SAE-J3061、ISO/SAE DIS 21434等規範便在這樣的背景中產生。
 |
| 本圖取自:informationisbeautiful.net |
ISO 26262規範了功能性安全的標準,最大的特色是採用V Model觀念進行開發,每個階段都需要設計一個對應的驗證機制。下圖展示了ISO 26262各章節以及其對應關係。
 |
| 本圖取自:ISO 26262 |
在ISO 26262的前兩個章節,花了許多篇幅再解釋ASIL(Automotive Safety Integrity Level),ASIL分成QM、ASIL A、ASIL B、ASIL C、ASIL D五個安全等級,QM表示對安全沒有重要影響,符合品質管理體系即可;ASIL A表示對於車用安全是最低的危害(例如後車燈),而ASIL D是最高程度的危害(例如剎車系統、安全氣囊等)。ASIL的劃分概念可以依據嚴重性(Severity)、接觸機率(Probability of exposure regarding operational situations)、可控性(Controllability)進行。下圖是節錄自NXP提供的範例。ASIL等級的定義關乎後續V-Model中各項產出如何定義,但是ASIL卻不是光由供應商決定,反而是由終端車廠決定;理由是同樣一個元件可能應用在不同的場景,它牽涉到的安全等級會跟著不同。例如攝像頭用在行車紀錄器跟用在ADAS上就是截然不同的安全等級。
 |
| 圖片來源:NXP Functional Safety and ISO26262 Compliance |
 |
| 表:ISO 26262對於Severity的分級及定義 |
 |
| 表:ISO 26262對於Probability of exposure regarding operational situations的分級及定義 |
 |
| 表:ISO 26262對於Controllability的分級及定義 |
根據ISO 26262定義的嚴重性、接觸機率及可控性(Controllability)進行分級之後,可以得到下表的組合,得到該產品的ASIL等級。
The company is an advocate of light safety. It is a courtesy to thank you for posting this article. GSO GCC Certificate
回覆刪除