汽车电子技术为汽车工业进步提供了巨大的动力,但同时随着汽车电子系统越来越复杂,集成度越来越高,如何在汽车电子系统开发过程中实现功能安全要求成为全世界汽车领域越来越关注的问题,在此背景下国际标准组织制订并颁布了ISO 26262标准,并于2018年更新了第二版ISO 26262标准。ISO 26262标准为汽车安全提供了一个生命周期的理念,并为不同生命周期阶段提供了保障车辆功能安全必要的支持,而发动机作为传统燃油车中最核心的部分之一,其电控系统在设计时必须要考虑到对车辆安全带来的影响,因此如何依据ISO 26262标准的指导,完成发动机电控系统设计并实现功能安全目标对于保障汽车功能安全具有重大实践意义,对于其他汽车电子系统的功能安全开发也具有一定指导作用。本文首先对ISO 26262标准进行了介绍,研究了ISO 26262标准中提出的电控系统开发过程中的功能安全管理流程,并按照ISO 26262标准所推荐的危害及操作分析(HAZOP)法识别了空气辅助喷射发动机电控系统中存在的“非期望加速”这一潜在危险。针对“非期望加速”这一危险事件进行了危害分析和风险评估,将该项目汽车安全完整性等级(ASIL)划分为ASIL C,由此得到了对应的安全目标(SG)和功能安全需求(FSR),并结合系统需求分析完成了初步的系统架构设计。其次对硬件安全需求(HSR)进行了分析,并据此完成了硬件系统的设计,其中针对安全相关的电路部分,按照硬件安全需求对功能安全相关的核心电路进行了冗余设计和诊断保护设计,同时选用英飞凌公司专门针对汽车功能安全的PRO-SIL?系列中的TC1782芯片作为主控芯片来保障MCU的可靠性,选用英飞凌公司的TLE6288R芯片作为喷油、喷气输出驱动电路的驱动芯片,实现对喷射驱动模块的故障诊断和处理,并按照ISO 26262标准对安全相关电路的单点故障度量指标(SPFM)、潜在故障度量指标(LFM)和随机硬件失效度量指标(PMHF)进行了评估,计算结果表明硬件系统设计满足了ISO 26262标准中的ASIL C要求。最后,建立了符合功能安全规范的软件开发环境,在软件功能安全需求分析的基础上借助MATLAB/Simulink平台完成了系统软件设计,同时按照ISO 26262标准的要求完成了建模规范检查、需求一致性验证、模型功能测试、测试覆盖度分析等工作,以节气门位置传感器为例说明了如何通过故障注入测试的方法验证所设计的安全机制是否合理,验证结果表明故障诊断和故障处理算法符合预期要求,并且通过几个工况下的台架实验验证了整个电控系统能够按照要求实现对发动机的控制,说明了软、硬件设计的合理性和可靠性,整个系统的开发流程完全符合ISO 26262标准。