随着电子电气技术在车辆中的广泛应用，如何应对电子技术失效并维护道路车辆的功能安全成为国内外研究的热点。特别是在ISO26262标准在2011年11月正式发布后，对车辆功能安全的标准已经趋于完整，其中动力源导致的风险在车辆风险中最重要的。发动机是车辆的动力来源，其电子电气功能安全性尤显突出。本文以提高柴油机ECU的功能安全为主要目的，构建了用于评估柴油机ECU功能安全的HIL平台。硬件在环（HIL）测试是发动机控制系统开发过程中的重要环节，是进行功能验证的通用手段。本文依据ISO26262等车辆功能安全相关的标准要求，分析了柴油机ECU在整个生命周期不同阶段的安全问题，并据此提出了用于发动机控制功能安全评估的破坏者模型思想，从安全的角度，为ECU的测试提供相关的案例。本文在MATLAB/SIMULINK环境下，建立了破坏者模型的的基础模型，该基础模型包括：曲轴动力学模型、喷油器模型、高压共轨管模型、油泵与计量单元模型、VGT增压器模型、EGR阀流量模型、进排气门模型、进排气歧管模型、缸内工质模型、燃烧放热模型、摩擦扭矩模型、壁面散热模型、测功机模型以及整车驾驶员模型。本文以意外加速这一ASIL C等级的风险为例，分析了可能造成此种风险的电子失效场景，构建了破坏者模型的三个实例，详细阐述了破坏者模型的构建思路和方法。将建立的破坏者模型应用在基于LABCAR系统的HIL平台上，对HIL平台的软硬件进行相应的配置和任务的分配。将自主开发的ECU为测试对象，对基础模型和破坏者模型分别进行了验证。针对本文的三种失效，提出了控制算法安全功能改进的建议。通过在HIL平台上的实时运行证实：破坏者模型可以为发动机控制器开发提供多种产生风险的案例，是提高发动机控制功能安全的有效工具。