(这条文章已经被阅读了 95 次) 时间:2001-04-29 16:16:31 来源:无翼天使 (张琨) 转载
C.1 ISO9001与CMM模型的比较
一、简介
软件工程研究所开发的软件成熟度模型和国际标准化组织(ISO)开发的ISO9000标准系列,都共同着眼于质量和过程管理。两者都为了解决同样的问题,直观上是相关的,但是它们基础是不同的:ISO9001(ISO9000标准系列中关于软件开发和维护的部分)确定一个质量体系的最少需求,而SW-CMM模型强调持续过程改进。当然,这种陈述有点主观性;一些国际标准团体坚持,如果深入地读ISO9001而不停留在表面,ISO9001的确解决持续过自进的问题。例如,矫正行为可以被解释成持续的改进。然而,SW-CMM模型比ISO9001更明确地致力于持续过程改进的问题。
通过将ISO9001的条款映射到SW-CMM模型的关键实践,本节将说明两者如何相关。这种映射基于ISO9001,ISO9000-3,TickIt(一种使用ISO9001和ISO9000-3的英国指导读本)和TickIt培训材料。ISO9000-3是ISO9001的详细阐述,而TickIt培训材料帮助解释 ISO9000-3和 ISO9001。
我们讨论下列经常问到的问题,包括:
·遵循IS09001的机构将处于CMM模型的哪一个等级?
·第2(或第3)等级的机构可以被认为遵循了ISO9001标准了吗?
·软件质量管理和过程改进能力应该基于 ISO9001标准还是SW-CMM模型吗?
我们将IS09001的20个条款映射到SW-CMM模型关键实践的子实践层次。诚然,这种分析是主观性的——其他人可能对ISO9001和SW-CMM模型有不同的解释(事实上,对于基于SW-CMM模型评估和ISO9001认证,可靠的、一致的解释和评估都是一个挑战)——但是,幸运的是这里有足够的客观性,使得这种分析对于理解ISO9001认证怎样适用于持续质量改进策略有些帮助。
二、ISO9001标准概略
当两个团体签订合同时,需要证明供货商设计和提供产品的能力。ISO9000标准提供了这种质量认证。这两个团体可能是一个外部客户和供货商,或都是内部的,比如,同一公司的市场部和工程部。在ISO9000系列中,ISO9001是与软件开发和维护最相关的标准。机构一般使用ISO9000标准,制定它们的内部质量体系制度和标准它们供货商的质量体系。事实上,常常需要注册认证机构认证,并授予认证证书。审计员用ISO9000标准培训,但是他们可能不具有软件方面的专业知识。如果要审计一个特定的软件,审计小组将包括具有软件知识的审计员。
ISO9000系列于1987年颁布。ISO9001的很小的修改的版本于1994年7月颁布,整个体系的大的修改计划在1996年完成。
三、ISO9001标准条款到SW-CMM模型的映射
表C-1是ISO9001条款到SW-CMM模型关键过程区域和关键实践映射的概略。标出强相关性的列表示相关性较直接的关键过区域和共同特征。标着判断相关性的列,包括在确定合理相关性时,需要一定程度主观性理解的关键过程区域和共同特征。
表C-1 IS09001与CMM模型映射
ISO9001条款 强相关性 判断相关性
4.1:管理职责 履行的承诺软件项目规划软件项目追踪和监督软件质量标准 履行的能力实现矫正软件质量管理
4.2:质量体系 实现矫正软件项目规划软件质量标准软件产品工程 组织工程定义
4.3:合同评估 需求管理软件项目规划 软件子合同管理
4.4:设计控制 软件项目规划软件项目追踪和监督软件配置管理软件产品工程 软件质量管理
4.5:文档和数据控制 软件配置管理软件产品工程
4.6:采购 软件子合同管理
4.7;客户-供货产品的控制 软件子合同管理
4.8:产品确认和追踪 软件配置管理软件产品工程
4.9:工程控制 软件项目规划软件质量帮助软件产品工程 定量工程管理技术改变管理
4.10:检查和测试 软件产品工程伙伴审查
4.11:检查控制,度量和测试设备 软件产品工程
4.12:检查和测试状态 软件配置管理软件产品工程
4.13:不合格产品的控制 软件配置管理软件产品工程
4.14:矫正和预防措施 软件质量保证软件配置管理 缺陷预防
4.15:处理,储藏,包装,保存和分发 软件配置管理软件产品工程
4.16:质量数据控制 软件配置管理软件产品工程伙伴审查
4.17:内部质量审计 实现检验软件质量保证一
4.18:培训 履行的能力培训计划
4.19:服务
4.20:统计技术 度量和分析 机构过程定义定量过程管理软件质量管理
虽然ISO9001中的一些问题没有被SW-CMM模型覆盖,反过来也一样;详细程度也有很大的不同:ISO9001的第4部分有五页;ISO9000-3的第5,第6和第7部分有11页,而SW-CMM模型超过500页,但是,ISO9001和SW-CMM模型之间的相关性还是很明显的。
如表C-1所示,ISO9001条款在SW-CMM模型的关键过程区域中没有强的相关性,没有在SW-CMM模型中解决的是客户-供货商的产品控制(4.7)和处理、储藏、包装、保存和分发(4.15)。ISO9001的条款,SW-CMM模型所完全没解决的是服务(4.19)。ISO90OI条款与 SW-CMM模型的判断相关性具有相当主观性的是矫正和预防活动(4.14)和统计技术(4.20)。
两个文档的最大不同是SW-CMM模型明确强调持续的过程改进。ISO9001只解决质量体系的最小保证。另一个不同是SW-CMM模型只关注软件,而ISO9001有更大的范围包括硬件、软件和服务。
两个文档的最太相似形是它们的底线:“说你想做的;做你想说的。”ISO9001的基本假设是机构应该通过质量控制活动,归档每个重要过程和检查每个重要过程。SW-CMM模型也强调文档化的过程和文档化的设计。“按照文档化的程序”和遵循“书面形式的机构政策”是SW-CMM模型关键过程区域的特征。在一个更详细的层次上,ISO9001的一些条款可以很容易地映射到与它们相当的SW-CMM实践。因为两个文档的结构是不同的,所以其他的相关性映射是多对多的方式。例如,ISO9001培训条款(4.18)同时映射到培训计划关键过程区域和所有关键过程区域中的培训和熟悉实践。
四、遵循ISO9001与SW-CMM模型的关系
乍看,获得ISO9001认证的机构将处于CMM模型的第3或第4等级。事实上,一些第1等级的机构也已获得了ISO9001认证。这种差异的一个原因是ISO9001的高度抽象性,导致审计员以不同的方式解释。如果审计一个经过TickIt培训的机构处于第3等级,ISO9001的设计评估将直接映射到SW-CMM模型的对等评估。不过并不是所有的审计员都对软件开发很熟悉。TickIt的优点在于,它培训审计员理解怎样在软件行业应用ISO9001。
我们可以注意到:
·第2等级的大多数关键过程区域都与ISO9001强烈相关。
·每个关键过程区域在某些解释下至少与ISO9001弱相关。
在这个基础上,一个被评估为第1等级的机构可以被认证为遵循了ISO9001。然而,那个机构必须具有第2等级的重要过程实力和一定的第3等级过程实力。如果一个机构遵循ISO9001的精神,它将接近或超过第2等级。然而,机构在基于SW-CMM模型的评估时可能发现存在严重的问题,而在ISO9001审计时却没有发现。
虽然SW-CMM模型并不足够地解决某些特殊问题,一般说来,它包含了ISO9001的关注点。反过来,却不正确。ISO9001仅仅描述了质量管理体系的最小准则,而不是解决整个过程改进,虽然ISO9001的未来修订版可能会关注这个问题。这些区别已经足够使一个严格的映射变得不切实际,但是它们的相似性反映了二者是高度重叠的。
五、结论
下列是本章开始所列的三个问题的回答:
·严格遵循ISO9001的机构并不满足SW-CMM模型第2等级的所有关键过程区域,但它满足第2等级的大部分目标和许多第3等级的目标。更进一步,因为ISO9001并不关注所有的SW-CMM模型实践,一个第1等级的机构可能获得IS09001认证。
·一个第2等级(或第3)等级的机构将很有可能被认为遵循ISO9001,但是即使是第3等级的机构也需要保证它恰当地解决了ISO9001关于分发和安装的4.15条款,它还将考虑到ISO9000-3中关于所使用软件产品的6.8条款。如果考虑到这些,处于第2或更高等级的机构,将相对容易地获得认证。
·对于软件过程改进应该基于SW-CMM模型还是ISO9001,简短的回答是一个机构应该同时考虑两者,虽然两者有很大程度的重叠。市场运作需要获得ISO9001认证;解决SW-CMM模型所关注的问题,将帮助机构准备ISO9001审计。相反,处于第1等级的机构如果解决ISO9001所关注的问题,也可能获得ISO9001认证。个人认为,虽然两者都可以单独使用来设计一个过程改进计划,SW-CMM模型……