一文彻底搞懂汽车软件开发V模型

本文目录

什么是基于V模型的产品开发？

基于V模型的产品硬件开发（一）

基于V模型的产品硬件开发（二）

新能源汽车V字形开发流程

汽车V模型开发模式

一、什么是基于V模型的产品开发？

（原创邪道长觉知汽车）

在汽车行业之中，我们常能听到有人说我们是基于V模型的产品开发，那么什么是V模型，在基于V模型的产品开发中我们又是如何做的呢？

若我们对于项目管理的相关知识有所了解，那我们对项目的生命周期就会有所涉猎，而就会知道项目的开发生命周期也是有模型的，典型的项目开发生命周期模型有两种方式，瀑布模型与敏捷模型。而随着项目的复杂化，开发生命周期模型则又有了变化，从而又衍生出了迭代模型与增量模型，或者是多模型的混合应用。

而我们所说的V模型则是自典型的瀑布模型演化而来的，传统的瀑布模型其形式如瀑布层层递进而下，如下图1：

图1 瀑布模型

而V模型（Rapid Application Development 快速应用开发）由于在开发的每一步过程中都需要回头进行验证，因此其过程模型形成了如V的形式，故而称之为V模型，如图2：

图2 V模型

如上所述，既然产品开发的生命周期有多种模型，那为何我们在进行汽车电子控制器产品开发时是应用瀑布模型变化而来的V模型，而不是其他模型呢？应用其他开发生命周期模型是否也行呢？要回答这个问题，首先我们需要对开发生命周期模型有所了解。

瀑布模型（预测型）：在开发早期确定项目范围、进度、成本。比如，我们在进行控制器产品开发时，客户端通常会将他的技术需求、商务成本、项目进度等进行确定，并形成相应的文件输出给供应商，比如SOR、RFQ、TR等文件。因此此类项目的开发生命周期相对是可预测的，这也是目前大多数汽车控制器产品的开发方式是瀑布模型变化而来的V模型的原因。

案例：我们给某国内OEM开发整车控制器（VCU）时，客户将相关的文件输出后，首先会进行技术分解，比如硬件部分，会经历需求分析---概念设计---详细设计---硬件开发---A样件制造---A样测试---硬件更新---B样制造---B样测试/DV。。。等等流程，这些基本上都是可预见的。而软件则同硬件同步进行。

敏捷模型（适应型）：以用户的需求进化为核心，采用迭代、循序渐进的方法进行工作。比如，一个新产品的软件功能开发，而此功能或是业内首推又或项目前期有诸多不明，因此双方在此方面的经验还处于摸索阶段，基于此背景下，功能需求会经常改动，则会导致软件在项目开发中不停的更新迭代。采用敏捷开发，通常开发会先于流程，这对于项目管理的要求也就提高了。

案例：我们在为国内某OEM进行HCU软件开发时，由于当初排放法规才出来，大家对于法规还处于解读阶段，此时对于部分功能的控制需求并非特别明确，因此对于项目的范围就没有明确的定义，而依据以往的开发经验进行软件产品开发，而随着对于法规和需求的深入了解，客户又提出了更多的功能需求，我们则开始不停的更新软件，直至项目完成，软件一共更新交付了一百多个版本。

迭代模型：在开发早期确定项目范围，项目进度、成本随着项目的进展而定期修改。比如，开发控制器的某功能，但早期的理解有限，导致开发的功能可能并不能满足特定的需求，而随着项目的进展，对于需求的理解更加深刻，因此会进行产品的迭代工作。

案例：HCU产品开发时，对于项目范围已经定义了，但是具体功能该如何实现并不明确，而随着项目的进行，双方对于需求的理解更清晰，于是便开始了对于该功能的迭代。

增量模型：在某一时间内，逐渐增加产品的功能，而只有在最后一次的迭代后，产品才具有最终完整性。但随着项目开发的不断完整，该功能需要添加，则开始做增量迭代，增加的这部分并不会影响到原有的功能模块。

案例：我们在开发VCU产品时，AUTOSAR基础软件的模块选择本是都需要用上的，但是由于客户对于基本功能的需求更加关注，而对于标定、诊断、网络管理等功能则不是太看重，于是按照客户需求，我们则先交付了OS、COM等模块，在后续的项目进行中再将其余模块添加上。由于AUTOSAR本是模块化的产品，因此只需对后面的模块进行集成即可，并不会影响到前期的模块功能。

混合模型：对于项目需求有充分了解则遵循瀑布模型，一些发展中的需求则遵循敏捷模型。

对于上诉多种开发模型有了了解后，我们再来看为何我们的汽车电子控制器采用基于瀑布模型变化而来的V模型。这主要是与电子控制器的产品性质有关。汽车电子控制器其软件对于硬件有着较高的依赖性，不似互联网行业的软件可单独上线运行。同时汽车电子控制器的硬件又是对整车功能需求有着较高依赖性。一旦整车的功能需求定义完成，控制器硬件的平台、资源基本上也就定义的差不多了，因此硬件在项目开发过程中的范围、成本、周期是可预测。我们很少见到一款车子没发布几个月就更新硬件的吧。

而控制器产品的软件由于与硬件有高依赖性，因此汽车控制器产品的软件也就同样按照瀑布模型变化的V模型进行开发。但是从上述的案例中我们也看到了，软件的开发其实也有其他开发形式。这主要是由于现在汽车行业的发展，在硬件高度集成化、硬件资源冗余化、OTA技术的发展等因素下，不同的功能可以对硬件进行复用，因此只需进行软件适应性开发即可。

而更新后的软件可以通过OTA/FOTA进行远程更新，因此在软件开发中敏捷等开发模型亦被应用。不过，在汽车行业中，敏捷开发应用较多的还属智能驾驶、车机互联等方面。传统的电子控制器由于在项目前会将绝大部分的项目范围、进度、成本进行定义，因此依然保持了V模型的开发方式，这也是比较友好的一种开发模型。

那么，基于V模型的产品开发（软件部分），我们都需要做什么的？怎么做才能满足功能安全的相应目标呢？下一篇我们再论。

二、基于V模型的产品硬件开发（一）

（原创邪道长觉知汽车）

本文主要介绍的是产品的硬件开发，旨在为诸君辨析硬件的开发如何满足功能安全相应目标。该部分内容位于ISO 26262系列架构的第五部分，由架构图可知硬件开发的主要章节共有六章，由于篇幅原因，本文介绍前三章。

5 硬件开发总论

该章节内容是对硬件开发的整体流程进行梳理。满足功能安全的硬件开发的必要活动和过程在ISO26262-2《安全生命周期管理流程》中已经进行了规划。硬件开发的必要过程如下图：

硬件开发过程模型

这些活动和过程包含以下内容：

a）硬件实现的安全理念；

b）潜在的硬件失效和影响分析；

c）与软件开发的协调合作。

6 硬件安全需求规范

该章节内容主要是对硬件开发的规范进行了要求。

6.4.1规范应来源于分配给硬件的技术安全要求（源自ISO 26262-4:2018，6.5.2）。

6.4.2规范应包含如下信息：

a）硬件安全要求和用于控制硬件内部失效的相关安全机制特性，包括内部安全机制。例如，看门狗的计时与检测能力。

b）硬件安全要求和用于控制硬件外部失效的相关安全机制特性。例如ECU输入开路的外部故障的功能行为。

c）硬件安全要求和与其他安全需求的元素之间相匹配的安全机制特性。例如，传感器与执行器之间的诊断。

d）硬件安全要求和检测内/外部故障并发出信号的相关安全特性。

注意：对于内外部故障的检测与指示还包括防止潜在故障的安全机制，比如故障的反应时间与容错时间的间隔需要一致。

e）硬件安全要求未指明的安全机制。

注意：安全机制可以单独在硬件或者软件中实现，也可以两者结合实现。

6.4.5硬件安全要求在ISO 26262-8:2018第六章中进行了规定。

7 硬件设计

这一章节开始，进入硬件设计的主题。在进行设计之前我们需要先了解硬件设计的目的，再依循目的进行产品的设计。

7.1 目的

a）建立如下硬件：

——支持安全导向分析；

——考虑安全导向分析的结果；

——满足硬件安全需求；

——满足软硬件接口规范；

——符合系统结构设计规范；

——满足硬件需求的属性。

b）特定需求并且提供在生产、运行期间硬件的功能安全信息；

c）验证：

——满足硬件安全要求和软硬件接口规范；

——有效性；

——功能安全相关的特殊特性。

7.2 硬件设计包括硬件架构设计和硬件详细设计。

硬件架构设计指：所有硬件组件及其相互之间的交互关系；

硬件详细设计指：在原理图层次上，表示元件之间的相互连接关系。

7.4.1硬件架构设计

7.4.1.2硬件安全要求应分配到元件。每个硬件元件应该按照分配给它最高ASIL进行开发。

7.4.1.4如果一个硬件元件是由ASIL低于该元件ASIL或没有ASIL分配的子元件组成的，那么每个子元件都应按照最高ASIL处理，除非满足ISO 26262- 9: 2018第6条规定的共存标准。

7.4.1.6为了避免系统故障，硬件架构设计应通过使用表1所列的原则表现出以下特性：

a）模块化；

b）适当的粒度级别；在细节上提供必要的信息，以显示安全机制的有效性。

c）简易性。

表1硬件架构设计特性

特性	SAIL
A	B	C	D
1a	分层设计	+	+	+	+
1b	安全相关的硬件组件接口定义	++	++	++	++
1c	避免不必要的复杂接口	+	+	+	+
1d	避免不必要的复杂硬件组件	+	+	+	+
1e	易维护性（服务）	+	+	++	++
1f	易测试^a	+	+	++	++
a: 易测试性包括开发、生产、服务和运行过程中的易测试性。

7.4.1.7在硬件架构设计期间，应考虑与安全相关的硬件组件的非功能性失效原因，如温度、振动、水、灰尘、EMI、噪声或来自硬件架构的其他硬件组件或其环境的串扰。

7.4.2硬件详细设计

7.4.2.1为避免常见的设计失效，应按照ISO 26262-2:2018，5.4.2.6应用相关经验教训。

7.4.2.2在硬件详细设计时，应考虑与安全相关的硬件部件的非功能性失效原因，包括以下影响：温度、振动、水、灰尘、EMI、噪声或来自硬件部件的其他硬件部件或其环境的串扰。

7.4.2.3应考虑硬件部件或它的任务概况和运行条件，以确保在其规范内运行，以避免因预期使用而发生故障。

7.4.2.4应该考虑稳健的设计原则。

注：稳健的设计原则可以通过使用硬件设计指南来显示。

7.4.3安全分析

7.4.3.1对于硬件设计的安全分析，应按照表2和ISO 26262-9:2018第8条进行。

表2硬件设计安全分析

方法	SAIL
A	B	C	D
1a	推理分析	o	+	++	++
1b	归纳分析	++	++	++	++
注: 分析的细节程度与设计的细节程度是相称的。在某些情况下，这两种方法可以在不同的细节级别上执行。例如：FMEA在硬件组件级上完成，并提供给更高抽象级上进行的FTA的基本事件。

7.4.3.2此要求适用于安全目标为ASIL（B）、C和D。对于每个与安全相关的硬件组件或部件，安全分析应考虑以下内容：

a）安全故障；

b）单点故障或残留故障；

c）多点故障（可感知、可检测或潜在的）。

注：识别多点故障的目的并非要求对硬件故障的每一种可能组合进行系统分析，而是至少要考虑源自技术安全概念的组合（例如两个故障的组合，其中一个故障影响与安全相关的元素，另一个故障影响旨在实现或维持安全状态的相应安全机制）。

7.4.3.3此条适用于ASIL（A）、B、C和D。应提供为防止故障导致单点故障或减少剩余故障而实施的安全机制的有效性的证据。其目的：

a）应提供安全机制实现和维持安全状态能力的证据（特别是在容错时间间隔和最大故障处理时间间隔内适当的故障缓解能力）；

b）对于由安全机制实现的残余故障的诊断覆盖率应进行评估。

注：如果相关安全机制的故障检测时间间隔加上故障反应时间间隔大于相应的容错时间间隔或指定的最大故障处理时间间隔，则不能认为在任何时间都可能发生的故障被有效覆盖了。

注：如果可以证明某一种故障模式只会在上电时发生，并且在车辆行程中发生的概率可以忽略不计，那么仅在启动时对这些故障模式进行测试是可以接受的。

注：可以使用FMEA或FTA等分析来构建基本原理。

注：此要求适用于在硬件、软件或两者的组合中实现的安全机制。

7.4.3.4此条适用于ASIL（A）、B、C和D。应提供为防止潜在故障而实施的安全机制的有效性的证据。其目的：

a）应提供安全机制检测故障，并在可接受的潜在多点故障检测时间间隔内实现或保持安全状态或通知驾驶员的能力的证据，以确定哪些故障将继续潜在，哪些故障可检测到。

b）应评估安全机制对潜在故障的诊断覆盖率。

注：如果相关安全机制的故障处理时间间隔大于潜在故障的相关多点故障检测时间间隔，则不能认为故障被覆盖。

7.4.3.6如果硬件设计引入的新危害没有被现有的HARA报告所涵盖，则应根据ISO 26262-8:2018第8条的变更管理流程引入和评估。

注：目前安全目标尚未涵盖的新识别的危险通常是非功能性危险。非功能性危害不在ISO 26262的范围内，但可以在危害分析和风险评估中做如下注释：该危害不属于ASIL，因为它不在ISO 26262的范围内。但是可以指定一个ASIL作为参考。

7.4.4硬件设计验证

7.4.4.1硬件设计应按照ISO 26262-8:2018第9条进行验证，并使用表3中列出的硬件设计验证方法为以下事项提供证据：

a）满足硬件安全需求；

b）符合软硬件接口规范；

c）与安全相关的特殊特性在生产和服务过程中，实现功能安全的适宜性。

表3硬件设计验证

方法	SAIL
A	B	C	D
1a	初步硬件设计^a	++	++	o	o
1b	硬件设计检查^a	+	+	++	++
2	安全分析	按照7.4.3
3a	仿真^b	o	+	+	+
3b	硬件原型开发^b	o	+	+	+
注：验证评审的范围是关于HW安全要求的技术正确性和完整性。 a: 方法1a和1b是对硬件设计中硬件安全要求的完整和正确执行的检查。 B：方法3a和3b用于检查硬件设计的特定点，对于这些点，分析方法1和2被认为是不够的。

7.4.4.2如果在硬件设计过程中发现任何硬件安全要求的实施是不可行的，应根据ISO 26262-8：2018的变更管理流程第8条发出变更请求。

7.4.5生产、运营、服务与关闭

7.4.5.1与安全有关的特殊特性应包括：

a）生产、运营验证方法；

b）这些措施的验收标准。

7.4.5.3根据ISO 26262-7:2018的5.4.1.2和5.4.3.3的要求，与安全相关的硬件要素应具有可追溯性，以便：

a）启用有效的现场监测；

b）启用召回或更换管理。

三、基于V模型的产品硬件开发（二）

（原创邪道长觉知汽车）

本文继续“（一）”未完的部分，主要介绍ISO2626-5后三章，其内容主要有：硬件架构指标评估、随机硬件故障评估、硬件集成与验证。

PS：这部分内容挺枯燥，可根据需要查阅相关内容！！！

正文开始：

8 硬件架构指标评估

本章节内容的目的是提供基于硬件架构指标评估的证据，证明项目的硬件架构设计在检测和控制安全相关的随机硬件故障方面的适用性。

硬件架构指标评估旨在实现以下目标：

——客观可评估性：指标是区分不同架构是否可被理解的方法；

——支持对最终设计的评估（即根据选定的详细硬件设计进行评估）；

——提供依赖于ASIL的通过/失败标准，以评估硬件架构的充分性；

——揭示安全机制的覆盖范围是否足够，以防止硬件架构中单点或残留故障风险（单点故障指标）；

——揭示安全机制的覆盖范围是否足够，以防止硬件架构中潜在故障带来的风险（潜在故障指标）；

——解决单点故障、残留故障和潜在故障；

——确保硬件故障率不确定性的鲁棒性；

——限于与安全相关的元素；

——支持在不同元素级别上的使用，例如可以将目标值分配给供应商。

8.4需求建议

8.4.1此要求适用于安全目标ASIL (B)、C和D。

注：即ASIL A的目标可不参照该章节。下文类似地方同理。

8.4.2安全机制对与安全相关的硬件元件的诊断覆盖范围应根据残留故障和相关潜在故障进行估计。

8.4.3应确定分析中使用的硬件部件的预估故障率。

8.4.4如果无充足证据证明硬件故障率，应有替代方案，若该替代方案只包括增加安全机制，则：

a）硬件部分对残留故障的诊断覆盖率应等于或高于该项SPFM（单点故障指标）目标值；

b）硬件部分对潜在故障的诊断覆盖率应等于或高于该项LFM（潜在故障指标）目标值。

8.4.5对于每个安全目标，ISO 26262-4:2018, 6.4.5中要求的单点故障指标（SPFM）的定量目标值应基于以下参考目标值：

a）从硬件架构指标出发，应用于类似的可靠设计；

注意：两个相似的设计具有相似的功能和相似的安全目标，但分配的ASIL相同。

b）参考表4.

表4 单点故障指标值

	ASIL B	ASIL C	ASIL D
单点故障指标	≥90%	≥97%	≥99%

注意：该量化指标旨在提供：

——设计指导；

——设计符合安全目标的证据。

8.4.6对于每个安全目标，ISO 26262-4:2018 6.4.5中要求的潜在故障指标(LFM)的定量目标值应基于以下参考目标值：

a）从硬件架构指标出发，应用于类似的可靠设计；

b）参考表5.

表5 潜在故障指标值

	ASIL B	ASIL C	ASIL D
潜在故障指标	≥60%	≥80%	≥90%

9 硬件故障评估

9.4.1.2此需求适用于ASIL C/D。硬件部件的单点故障只有在以下选项之一提供了其发生概率足够低的论证时才被认为是可接受的：

a）采取专用措施；

b）对于ASIL D的安全目标，需满足以下标准：

——使用可信的数据源；

——仅有一小部分故障率（如一种特定的失效模式）会违反安全目标；

——单点故障率小于第一类故障率对应值的十分之一。

c）对于ASIL C的安全目标，需满足以下标准：

——使用可信的数据源；

——仅有一小部分故障率（如一种特定的失效模式）会违反安全目标；

——单点故障率小于2类故障率对应值的十分之一。

注：基于这一要求，微控制器、ASIC或类似的SoC可以被视为硬件部件。

上面提到的“专用措施”包括：

a）设计特征，例如硬件部分过度设计（例如电或热应力额定值）或物理分离（例如印刷电路板上的触点间距）；

b）对来料进行特殊的样品测试，以减少发生这种失效模式的风险；

c）老化测试；

d）作为控制计划一部分的专用控制集；

e）与安全有关的特殊特性的分配。

9.4.1.3适用于ASIL C/D。

残留故障与单点故障类似，此处不再赘述，可查阅原标准。

9.4.1.4此条适用于ASIL B、C和D。分析中使用的硬件部件的故障率应根据8.4.3进行估计。

9.4.2随机硬件故障指标评估(PMHF)。

9.4.2.2此条适用于ASIL B、C和D。

表6 随机硬件故障指标

ASIL	随机硬件故障指标值
D	<10⁻⁸ h⁻¹
C	<10⁻⁷ h⁻¹
B	<10⁻⁷ h⁻¹
注：所述的量化目标值可按4.2中所述进行调整，以适应项目的特定用途（例如，如果项目违反安全目标的时间超过乘用车的典型使用时间）。

9.4.2.3当一个项目由多个系统组成时，要求9.4.2.2的派生目标值可直接分配给组成该项目的每个系统。只要这些系统中的每一个都有可能违反相同的安全目标，并且相应的项目目标值不增加超过一个数量级，就可以应用这种方法。

例如：如果ASIL D安全目标被分配给由多个系统（最多10个）组成的项目，每个系统都有可能违反安全目标，那么可以将10-8/h的目标值分配给每个系统。

9.4.3违反安全目标原因评估(EEC)

图3 单点和残留故障评估程序

图4 多点故障评估流程

9.4.3.5只有在相应的硬件故障率等级排序符合表7所示目标的情况下，硬件发生的单点故障才被认为是可以接受的。

表7硬件单点故障故障率分类目标

ASIL	故障率等级
D	失效率1级+专用措施
C	失效率2级+专用措施，或失效率1级
B	失效率1级或2级

9.4.3.6只有故障率等级排序符合表8给出的硬件残留故障诊断覆盖率的目标，硬件中发生的残留故障才被认为是可接受的。

表8硬件残留故障诊断覆盖率

ASIL	残留故障诊断覆盖率
≥99.9%	≥99%	≥90%	＜90%
D	失效率4级	失效率3级	失效率2级	失效率1级+专用措施
C	失效率5级	失效率4级	失效率3级	失效率2级+专用措施
B	失效率5级	失效率4级	失效率3级	失效率2级

9.4.3.11适用于ASIL C/D。如果相应的硬件部件符合表9所示的故障率类别和诊断覆盖率（关于潜在故障）的目标，则发生在硬件部件上的多点故障并导致可能的多点故障应被认为是可接受的。

表9针对多点故障，硬件潜在故障诊断覆盖率、类别、故障率目标值

ASIL	潜在故障诊断覆盖率
≥99%	≥90%	＜90%
D	失效率等级4	失效率等级3	失效率等级2
C	失效率等级5	失效率等级4	失效率等级3

10 硬件集成与验证

10.4.4硬件测试用例应使用表10中所列方法的适当组合来派生。

表10硬件集成测试派生测试用例的方法

方法	ASIL
A	B	C	D
1a	需求分析	++	++	++	++
1b	内外部接口分析	+	++	++	++
1c	等价类的生成与分析a	+	+	++	++
1d	边值分析b	+	+	++	++
1e	基于经验的错误猜想c	++	++	++	++
1f	功能分析	+	+	++	++
1g	极限条件、顺序和相关故障来源分析	+	+	++	++
1h	环境条件与用例分析	+	++	++	++
1i	现存标准d	+	+	+	+
1j	重要变量分析e	++	++	++	++
a为了有效地得到必要的测试用例，可以进行相似性分析； b例如，接近和跨越指定值之间的边界的值，以及超出范围的值； c错误猜测测试可以基于从经验教训过程中收集到的数据，或基于专家判断，或基于两者。它可以得到FMEA的支持； d现有的标准包括ISO 16750和ISO 11452； e显著变量的分析包括最差情况分析。

10.4.5硬件集成和验证活动应验证硬件安全要求实施的完整性和正确性。为了实现这些目标，应考虑表11所列的方法。

表11硬件集成测试

方法	ASIL
A	B	C	D
1	功能测试a	++	++	++	++
2	故障注入测试b	+	+	++	++
3	电气测试c	++	++	++	++
a功能测试旨在验证项目的指定特征已经实现。项目被给予输入数据，充分地描述了预期的正常操作。观察输出，并将其响应与规范给出的响应进行比较。分析了与规格有关的异常和规格不完整的迹象。 b有关半导体元件故障注入的详细信息，请参阅ISO 26262- 11:2018 ，4.8。 c电气测试旨在验证在指定(静态和动态)电压范围内是否符合硬件安全要求。

10.4.6硬件集成和验证活动应针对环境和操作应力因素，验证硬件的耐久性和鲁棒性。为了实现这些目标，应考虑表12所列的方法。

表12外部应力下的硬件集成测试

方法	ASIL
A	B	C	D
1a	环境测试和基本功能验证a	++	++	++	++
1b	扩展功能测试b	O	+	+	++
1c	统计测试c	o	o	+	++
1d	最坏情况测试d	o	o	o	+
1e	超限测试e	+	+	+	+
1f	机械测试f	++	++	++	++
1g	加速寿命测试g	++	++	++	++
1h	机械寿命测试h	+	++	++	++
1i	EMC和ESD测试i	++	++	++	++
1j	化学测试j	++	++	++	++
a在具有基本功能验证的环境测试中，将硬件置于各种环境条件下，在此期间对硬件需求进行评估。可采用ISO 16750-4标准。 b扩展功能测试检查项目的功能行为，以响应预期很少发生的输入条件（例如，极端任务概要值），或超出硬件规范的条件（例如，错误的命令）。在这些情况下，将观察到的硬件元件的行为与规定的要求进行比较。 c统计测试的目的是，根据实际任务概况的预期统计分布，选择的输入数据测试硬件部件。并定义验收标准，以便结果的统计分布确认所需的失败率。 d最坏情况测试旨在测试在最坏情况分析中发现的用例。在这样的测试中，环境条件被改变为规范定义的最高允许边际值。 e在超限测试中，硬件元素被逐步增加到比指定值更严重的值，直到它们停止工作或被损毁。该测试的目的是确定被测试元素相对于所需性能的鲁棒性裕度。 f力学试验适用于力学性能，如抗拉强度。可采用ISO 16750-3标准。 g加速寿命试验旨在预测产品在正常使用条件下的行为演变，方法是在产品使用寿命期间使其承受高于预期的应力。加速试验是基于失效模式加速的解析模型。 h这些测试的目的是研究元件的平均失效时间或可承受的最大循环次数。 i ISO 7637-2、-3、ISO 11452-2、-4可用于EMC测试；ISO 10605可用于ESD测试。 j 对于化学测试，可以应用ISO 16750-5。

四、新能源汽车V字形开发流程

（原创王小奎新能源汽车电控开发与测试）

V字形开发流程，即V模型，是在快速应用开发(RAD，Rap Application Development)模型基础上演变而来，V模型强调软件开发的协作和速度，将软件实现和验证有机地结合起来，在保证较高的软件质量情况下缩短开发周期。

V流程分为需求分析、系统设计、软件设计、软件实现、HIL测试、台架测试、实车标定、产业化等等步骤。

V字形开发流程阶段

1、需求分析

本阶段主要内容如下:

1)需求文档化

分析客户需求，研究受控对象，明确控制功能及系统配置，形成需求描述文档。

2)开发流程及规范建立

开发流程及规范建立
命名规范建立
模块测试流程/专家检查流程建立
建模规范建立
测试规范建立

2、系统设计

主要工作内容:

创建各模块控制思想的数学化/工程化描述文档 SDD(Software Design Document)

创建各模块数据传递接口文档 DD(Data Dictionary)

确定控制器IO 和通讯接口

设计文档建立标准:

SDD 设计文档图形化、逻辑化，且易于理解

DD 文档输入输出定义清楚、全面

控制器接口电路图规范清晰

3、软件设计

3.1控制功能建模

使用模型化的编程工具 Matlab/Simulink 软件,完成整车控制器控制功能各模块模型搭建。

3.2软件检查

为了保证软件模型的质量，完成模型之后完成模型的 MAAB 规范检查和 Model DesignVerifier，同时确保模型生成代码之后，做 Miscr C 和 PolySpace。

3.3 模型测试

控制策略完成后，进行模型在环测试(MiL)，用于在生成代码之前保证控制逻辑的正确性与准确性。根据目标车辆特性搭建车辆模型(或在已有模型基础上修改，车辆模型不作为本项目提交物)，并设计测试用例，对控制策略模型进行测试，提供详细的测试报告。

4、软件实现

基于第三方的控制器硬件，通过控制器硬件识别的编译器,将 simulink 模型软件编译成 C 代码，然后把 C 代码与控制器底层软件打包集成编译成可执行代码，下载到对应的控制器中，为后续测试环节做准备。

5、HiL 测试

内容主要包括以下内容:

整车控制器核心控制算法功能测试;

诊断功能测试;

网络通信测试;

极限工况模拟测试

编写 HiL 测试报告；

6、台架测试

台架测试主要针对整车控制器、与电机台架联合调试。台架测试主要工作内容如下:试验前准备工作，

上电及基本初始化标定，各工况下系统功能测试及标定，控制参数/特征值优化，控制算法验证/测试，系统行为评定整理测试数据，撰写测试报告。

7、实车测试

硬件平台在装车时，需在实车上进行整车控制器的标定，采用基于硬件供应商所支持协议的方式测试。在提供的国内试验场地进行，标定工作达到功能需求和性能要求，工程师负责程序调整和标定参数调整。标定工作在本项目指定的目标车型上进行，实现整车控制器的参数优化。

8、高低温测试

在厂区基本测试和标定之后，进行低温和高温试验，低温试验具体在环境仓中进行或者在实地测试场进行:根据 SOP 的时间，高温测试可以考虑环境仓或反委试验进行，制定整车控制器高低温测试工作。

五、汽车V模型开发模式

（原创汽车技术Wind 软件赋能汽车）

也许，会有同学好奇，汽车也有软件吗？是的！以前的汽车凭靠机械系统/液压系统就能实现汽车的基本功能。而现在的汽车所需要的功能越来越复杂，车身重量也越来越轻，传统的机械系统和液压系统已经不能满足这些需求了。

因此现在的汽车不仅仅有软件，而且软件的重要性在汽车身上发挥的作用越来越大。特别是汽车行业正在经历的变革：自动化，电气化（新能源），车联网，数字化。

学过计算机软件的同学，应该都知道软件开发的模型有很多：瀑布模型，V模型，螺旋模型，快速原型模型，增量模型，喷泉模型等。而汽车软件的开发模型是怎样的呢？

汽车软件传统的开发模型——瀑布模型/V模型

汽车软件，就目前而言，是嵌入式软件。如果看过以前写的一篇文章《汽车为什么会跑——汽车电气架构简介》，那你能知道，目前的汽车电气架构主要是分布式的电器架构。意思就是将汽车的功能分解到各个功能模块，由每个功能模块负责一部分功能。因此，汽车的软件复杂度，相比于IT软件，并没有那么大，但质量要求相对非常高。

汽车行业为了解决软件开发过程中的各种问题，先后引入了瀑布模型，V模型。

什么是瀑布模型？

瀑布模型是于1970年温斯顿·罗伊斯（Winston Royce）提出的，其将软件生命周期分为若干阶段和固定的顺序，形如瀑布流水，最终得到软件产品。直到80年代早期，瀑布模型一直是唯一被广泛采用的软件开发模型。瀑布模型是软件开发模型的始祖，在软件工程中占有举足轻重的地位，提供了软件开发的基本框架。后续的V模型，螺旋模型，快速原型模型，增量模型，喷泉模型等都是在瀑布模型的基础上改进或借鉴。

瀑布模型的核心思想是按工序将问题化简，将功能的实现与设计分开，便于分工协作，即采用结构化的分析与设计方法将逻辑实现与物理实现分开。将软件生命周期划分为制定计划、需求分析、软件设计、程序编写、软件测试和运行维护等六个基本活动，并且规定了它们自上而下、相互衔接的固定次序，如同瀑布流水，逐级下落。

瀑布模型示意

从以上图可以看出，瀑布模型的过程是自上而下，下一工序基于上一工序的工作结果完成任务输出结果。在开始下一工序之前，需确认上一工序的工作结果。若确认上一工序的工作结果，才继续下一步工序。否则返回前一工序，甚至更前面的工序。

瀑布模型有以下优点：

· 按阶段划分的检查审核，保证质量。

· 分工明确，每个工序中的人只需要关注当前工序。

· 瀑布模型可用于迭代模型。

每次迭代都是一个小的瀑布模型，经过每次迭代，不断完善完成整个系统的功能。

· 模板化，标准化。系统分析、设计、编码、测试和支持等工序在相同的模板和标准下，朝着相同的方向前进。

瀑布模型有以下缺点

· 各个阶段的划分完全固定，阶段之间产生大量的文档，极大地增加了工作量。

· 由于开发模型是线性的，用户只有等到整个过程的末期才能见到开发成果，从而增加了开发风险。

· 通过过多的强制完成日期和里程碑来跟踪各个项目阶段。

· 瀑布模型的突出缺点是不适应用户需求的变化。

什么是V模型？

V模型，即RAD（Rapid Application Development，快速应用开发），是由瀑布模型演变而来的，也是目前汽车行业运用最广的软件开发模型。

从上图可以看到，V模型是从上到下，从左到右，也是从下到上的开发流程。从上到下依次分为系统需求，系统架构，软件需求，软件架构，软件详细设计，软件单元（代码）。从上到下的流程是不是看着很像瀑布模型的流程？从左到右是指每一层级都有相对应的测试，如系统需求对应的系统测试。如当系统需求完成，下层级的系统架构，软件需求就会开始工作，于此同时，系统测试也将开始编写测试用例和搭建测试环境。而从下到上是指测试从下往上一层层的测试。如系统测试的开始条件是系统集成测试/软件测试完成且无无重大bug。

总的来讲，V模型是对瀑布模型的细化和完善。相对瀑布模型，V模型的优势在于：

· 解决瀑布模型中严格分离很难实现的困境。

· 软件回溯较为方便快捷。

· 测试提前，及早发现问题，解决问题。

· 问题追溯性更强。

· 提高了开发效率/降低开发成本。

不过V模型和瀑布模型一样，过程中产生大量文档，项目反应速度也越来越不能满足当前汽车日新月异的需求和快速的更新换代的节奏。

但不能不承认，V模型在汽车行业的深刻影响。汽车行业的公司其技术部门组织架构/研发体系几乎都是参照V模型设置。而且很多的汽车行业标准和规范的基石都是V模型。比如，汽车行业很火的ASPICE，ISO26262（道路汽车功能安全规范），都是参照V模型的。《ASPICE在汽车行业越来越“火”，那么什么是ASPICE呢？》，《汽车功能安全简介——ISO26262》