模块一：基础篇—— 智能网联与 ISO 26262:2025 核心认知（4课时）

1.1 智能网联汽车的功能安全挑战

智能网联汽车特性：自动驾驶（L2-L4）、车联网（V2X/V2X2C）、车云协同、多域融合的技术架构；

典型安全风险场景：感知误识别（如行人漏检）、V2X 通信延迟、ML 模型失效、车云数据传输异常导致
的功能失效；

功能安全的核心价值：从“被动容错” 到 “主动预防”，适配智能网联场景下的动态安全需求。

1.2 ISO 26262 标准体系与 2025 版核心更新

标准演进：2011→2018→2025 版的核心差异，2025 版对 “智能网联场景” 的新增覆盖；

2025 版关键更新点（重点解读）：

新增机器学习（ML）模块的功能安全要求：数据质量验证、模型训练安全、部署监控机制；

扩展车云协同与分布式架构安全：跨域控制器（MDC / 区控）的硬件冗余、云端指令的安全校验；

强化V2X 通信功能安全：消息认证、防篡改、延迟容错的安全需求定义；

补充功能安全与网络安全的接口要求：风险共评流程、安全需求协同映射。

1.3 智能网联汽车功能安全核心术语与方法论

核心术语：ASIL（A-D）在智能网联场景的定级逻辑（如 L4 自动驾驶的 ASIL D 场景）、安全目标
（SG）、功能安全要求（FSR）、安全机制、单点故障 metric（SPFM）、潜伏故障 metric（LFM）；

开发方法论：V 模型在智能网联场景的适配（如 “敏捷开发 + V 模型” 的混合流程）、功能安全与
产品开发的同步机制。

模块二：核心技术篇—— 功能安全开发全流程（基于 ISO 26262:2025）（12课时）

2.1 系统层功能安全开发（V 模型左侧顶层）

步骤1：危害分析与风险评估（HARA）

智能网联场景的HARA 方法：定义 “运行场景”（如高速自动驾驶、城区 V2X 交互）、识别 “危害事件”
（如车道保持失效、V2X 紧急制动指令丢失）；

风险等级判定：严重度（S）、暴露度（E）、可控度（C）的智能网联场景适配（如城区 E 值高于高速）；

ASIL 定级实战原则：避免 “ASIL 分解过度”，确保多模块协同的安全等级一致性。

步骤2：安全目标（SG）与功能安全要求（FSR）分解

SG 定义：基于 HARA 输出，明确 “防止 XX 危害事件” 的可验证目标（如 “防止 L3 级自动驾驶在高速
场景下的无意识车道偏离”）；

FSR 分解：从系统层到子系统层（如自动驾驶系统→感知子系统 / 决策子系统 / 执行子系统），建立需
求追溯矩阵（工具：DOORS Next 实操演示）。

2.2 硬件层功能安全开发

硬件安全需求（HSR）定义：基于 FSR 推导，如 “多域控制器（MDC）的 CPU 需支持锁步核”“激光雷
达电源模块需冗余设计”；

硬件安全分析工具与实战：

FMEDA（故障模式影响及诊断分析）：使用 ReliaSoft 工具计算 SPFM、LFM、单点故障数（SF），满足
ASIL B/D 的 metric 要求；

硬件容错机制：智能网联场景的特殊设计（如感知传感器冗余（激光雷达+ 摄像头）、V2X 通信模块双天
线备份）；

硬件测试：硬件安全机制的验证方法（如锁步核故障注入测试、电源冗余切换测试）。

2.3 软件层功能安全开发

软件安全需求（SSR）定义：基于 FSR，如 “决策软件需在 100ms 内完成紧急制动决策”“V2X 软件需校验
消息签名有效性”；

软件架构安全设计：

模块化与隔离：遵循“ASIL 等级隔离” 原则（如 ASIL D 模块与 QM 模块的内存隔离）；

安全机制嵌入：Watchdog（监控 ML 模型推理超时）、CRC 校验（V2X 消息完整性）、软件冗余（决策算
法双版本对比）；

安全编码与静态分析：

编码规范：MISRA C:2023 在智能网联软件的应用（如禁止动态内存分配、限制指针使用）；

工具实操：使用Polyspace 对自动驾驶决策软件代码进行静态分析，识别 “数组越界”“未初始化变量” 等安
全隐患。

软件测试：单元测试（基于VectorCAST）、集成测试（验证模块间接口安全）、系统测试（基于 dSPACE
VEOS 的硬件在环（HIL）仿真）。

2.4 智能网联特有子系统功能安全开发（2025 版重点）

2.4.1 自动驾驶子系统

感知层：ML 模型的功能安全措施（数据增强（对抗样本训练）、模型冗余（传统算法 + ML 算法对比）、
实时监控（如目标检测置信度阈值监控））；

决策层：规则算法与ML 算法的协同安全（如 ML 决策偏离规则时触发降级机制）；

执行层：线控制动/ 转向系统的安全冗余（如双 ECU 控制、故障注入测试验证）。

2.4.2 V2X 通信子系统

通信安全需求：基于ISO 26262:2025，定义 “V2X 消息延迟≤50ms”“消息认证失败时拒绝执行指令”；

安全机制：数字证书管理（车云协同下发证书）、消息时间戳校验（防止重放攻击）、通信中断降级（切换
至纯自动驾驶模式）。

2.4.3 车云协同子系统

云端指令安全：云端下发的路径规划指令需本地校验（如是否超出物理极限）；

数据传输安全：车云数据加密（TLS 1.3）、断点续传的安全校验（避免数据损坏导致功能失效）。

模块三：实战篇—— 智能网联汽车功能安全开发实操（12课时）

3.1 实战准备：工具链与项目背景

工具环境搭建：需求管理（DOORS Next）、FMEDA（ReliaSoft）、静态分析（Polyspace）、HIL 仿真
（dSPACE VEOS）；

实战项目背景：基于“L2 + 级自动驾驶车道保持系统 + V2X 紧急制动协同” 场景，完成从 HARA 到软件
测试的核心环节。

3.2 分组实战任务（4 个核心任务，每组 3-4 人）

实战任务目标要求工具/ 输出物

任务1：HARA 分析与 ASIL 定级识别车道保持失效+ V2X 指令丢失的危害事件，完成 S/E/C 判定与 ASIL 定级（目标：ASIL B）输出《HARA 分析报告》，
使用 DOORS Next 建立风险事件库

任务2：MDC 硬件 FMEDA 分析基于给定的MDC 硬件 BOM，计算 SPFM≥90%、LFM≥60%（满足 ASIL B）
使用ReliaSoft 完成 FMEDA 建模，输出《硬件安全分析报告》

任务3：决策软件安全编码基于MISRA C:2023，编写车道保持决策代码（含 Watchdog 监控逻辑），通过静
态分析使用Polyspace 消除所有 “高风险” 告警，输出《静态分析报告》+ 安全代码

任务4：V2X 功能安全验证在dSPACE VEOS 中搭建 V2X 紧急制动仿真场景，验证 “消息认证失败时拒绝
制动” 逻辑输出《功能安全测试报告》，含测试用例、故障注入结果

3.3 实战指导与问题拆解

实时答疑：针对“ASIL 分解冲突”“FMEDA metric 不达标”“静态分析告警无法消除” 等问题提供解决方案；

小组复盘：每组汇报实战成果，讲师点评优化（如“ASIL 定级时未考虑场景暴露度差异”“硬件冗余设计未覆
盖电源故障”）。

模块四：协同篇—— 功能安全与多领域协同开发（4课时）

4.1 功能安全与 SOTIF（ISO 21448）的协同

核心差异：功能安全（针对“系统性 / 随机性故障”）vs SOTIF（针对 “预期功能不足”，如 ML 模型对特殊天
气的识别不足）；

协同流程：

风险共评：同一场景（如雨天行人识别）同时评估“故障风险”（功能安全）与 “性能风险”（SOTIF）；

措施协同：功能安全的“传感器冗余” 与 SOTIF 的 “数据增强训练” 结合，提升场景覆盖度。

4.2 功能安全与网络安全（ISO/SAE 21434）的协同

风险关联：网络攻击（如V2X 消息篡改）可能触发功能安全失效（如错误制动）；

协同机制：

需求协同：在FSR 中嵌入网络安全需求（如 “V2X 软件需支持消息加密”）；

验证协同：HIL 测试中同时注入 “硬件故障”（功能安全）与 “网络攻击”（网络安全），验证联合防护效果。

4.3 功能安全与产品开发的协同管理

需求追溯：从“客户需求→SG→FSR→HSR/SSR→测试用例” 的全链路追溯（工具：DOORS Next 实操）；

变更管理：功能安全需求变更的影响分析（如“决策算法更新” 需重新评估 FSR 与软件测试用例）；

文档管理：ISO 26262:2025 要求的交付物清单（如《安全计划》《HARA 报告》《FMEDA 报告》《验证报告》）。

模块五：案例分析与问题研讨（4课时）

5.1 典型案例拆解

案例1：某车企 L3 级自动驾驶系统功能安全开发全流程

背景：高速场景下“脱手驾驶” 功能的 ASIL D 开发；

关键环节：HARA 中 “严重度 S4” 的判定依据、ML 感知模块的冗余设计、车云协同的安全校验；

教训：初期未考虑“云端指令延迟”，导致 LFM 不达标，后期补充本地应急决策机制。

案例2：V2X 通信功能安全故障分析

故障场景：某车型V2X 模块因 “证书过期” 导致紧急制动指令无法验证，触发功能降级；

改进方案：在FSR 中新增 “证书有效期监控” 需求，在软件层加入证书更新提醒机制。

案例3：ML 模型功能安全风险应对

风险：ML 目标检测模型对 “白色货车” 漏检（特殊光照场景）；

措施：补充该场景的训练数据（SOTIF 优化）、增加传统图像处理算法作为冗余校验（功能安全措施）。

5.2 学员问题研讨