GJB5000B之软件外包管理

　　近几年junpin发生的质量问题中，供方产品问题的占比越来越高，尤其是供方软件问题层出不穷。本文谈谈基于GJB5000B的软件外包管理。

　　先举一个例子。

　　十几年以前，我曾负责过某分系统的总体设计工作，将部分设备(含软件)外包给其他单位研制。那时候我们单位还没有实施GJB5000，对于软件外包管理也没有经验，基本就是开始时编写软件研制任务书或技术要求，结束时验收，中间过程除了监控一下进度之外基本没有管理。当时为了提升外包软件的质量，我制定了两条措施：一是前期参与外包单位的软件研制任务书和软件需求规格说明的评审;二是后期参与外包单位的软件配置项测试报告的评审，并加强软件验收测试。Zui后证明，这两条措施行之有效，几个外包软件都没有出现质量问题。

　　一下经验：

　　1)通过参与软件研制任务书和软件需求规格说明的评审，让外包单位充分了解我们“想要什么”，也让我们充分了解外包单位“能做什么”，使需求尽早达成一致，之后未出现需求频繁更改的情况;

　　2)通过参与软件配置项测试报告的评审，发现测试不充分的测试项，外包单位又进行了补充测试，使软件在交付前充分验证;通过加强软件验收测试，使软件在交付时确认。

　　现在再回头看这两条措施，发现其与GJB5000中软件外包管理的个别实践不谋而合。这也印证了GJB5000是软件研制youxiu实践的集合。

　　GJB5000A中，与软件外包管理相关的过程域为“供方协议管理”;GJB5000B中，修改为“外部供方管理”。Zui大的变化是增加了供方能力评价的实践，对应三级的实践“ESM3.1建立并维护评价外部供方履约能力的准则”和“ESM3.2使用准则评价外部供方履约能力”，主要是在组织层面评价外部供方，不涉及具体项目的管理，不在此讨论。下面谈谈GJB5000B中“外部供方管理”的二级实践。

　　ESM2.1 选择合格的外部供方

　　供方应优先在合格供方名录中选择。如果存在多个备选供方，需方应根据选择准则选择Zui优供方。选择准则可以根据单位的情况制定，如资质(GJB5000资质、GJB9001资质、保密资质等)、技术能力、价格竞争力、类似项目经验等。

　　ESM2.2 建立并维护外部供方协议

　　供方协议包括技术和管理两方面，技术方面如软件研制任务书、技术要求等，管理方面如外包合同等。

　　供方协议的内容除了包括软件的功能、性能和接口等要求之外，一般还包括质量控制要求、验收交付要求和进度要求等。

　　ESM2.3 制定并维护外部供方协议管理计划

　　这是GJB5000B中新增的实践。如果是完全外包的软件，需方可单独编写供方协议管理计划;如果是部分外包的软件，需方可写入软件开发计划的“分承制方管理”。

　　供方协议管理计划的内容一般包括供方进度节点、供方风险、参与的供方技术评审和管理评审、监督的供方过程和工作产品等。

　　ESM2.4 执行外部供方协议

　　需方根据供方协议管理计划监督供方进度情况和风险情况，参与供方技术评审和管理评审，发现问题协调供方采取纠正措施解决问题。

　　不是供方所有的技术评审和管理评审都需要参与，而是选择关键的参与。可以协调技术评审和管理评审一起进行。

　　ESM2.5 监督所选择的外部供方过程

　　需方根据供方协议管理计划监督供方过程和工作产品，发现问题协调供方采取纠正措施解决问题。

　　不是供方所有的过程和工作产品都需要监督，而是选择关键的监督。

　　ESM2.6 确认并评价外部供方交付物

　　软件交付前需方进行软件验收。除了测试要求是否满足和审查产品是否齐套，一般还需审查配置管理和质量保证等情况。

　　随系统或设备一起交付的软件，可以不单独进行软件验收，与系统或设备一起验收。

　　ESM2.7 接收并管理外部供方交付物

　　软件交付在实施过程中经常被忽视。尤其是随系统或设备一起交付的软件，供方将软件安装到硬件系统或设备中就万事大吉了，并没有移交软件安装程序或可执行程序及文档。这种做法存在很大的风险，一是需方无法确保软件技术状态的正确性和一致性，二是后期需方无法对软件进行维护(外包软件的维护主要由供方负责)。

　　无论软件是单独交付还是随系统或设备一起交付，供方都要移交软件程序和文档，需方接收后存入配置管理库，并确保安装的软件与库中的软件技术状态一致。