“SASETalk”是磐時(shí)打造的深度訪談欄目，通過與企業(yè)內(nèi)資深技術(shù)專家對(duì)話，記錄他們親歷的技術(shù)歷程與行業(yè)觀察，從個(gè)人視角解讀行業(yè)發(fā)展變遷，共同探討未來技術(shù)趨勢(shì)與工程師成長(zhǎng)路徑。

本期嘉賓PROFILE

朱利亞

磐時(shí) 功能安全工程師

熟悉ISO26262、ISO21448，具有全智能主動(dòng)懸架、線控制動(dòng)、線控轉(zhuǎn)向等系統(tǒng)功能安全設(shè)計(jì)與認(rèn)證經(jīng)驗(yàn)。精通 Carsim+Simulink 仿真、STPA / HAZOP 分析，熟練運(yùn)用 CANOE / Medini 等工具，掌握 Autosar / EGAS 架構(gòu)；持有 AFSP 證書，參與國(guó)標(biāo) / 團(tuán)標(biāo) / 知名OEM企標(biāo)制定，主負(fù)責(zé) ASIL B-D 多等級(jí)項(xiàng)目認(rèn)證。

01

在量產(chǎn)節(jié)奏下的方法論養(yǎng)成

從計(jì)算機(jī)專業(yè)畢業(yè)，到迅速深度參與多個(gè)ASIL B/C/D高安全等級(jí)的量產(chǎn)項(xiàng)目，你認(rèn)為知識(shí)結(jié)構(gòu)中哪一部分幫助了你最快地完成了從學(xué)生到工程師的轉(zhuǎn)型？最大的認(rèn)知沖擊是什么？

1. 幫助最大的知識(shí)結(jié)構(gòu)：系統(tǒng)思維與嵌入式軟硬件基礎(chǔ)

我認(rèn)為幫助最大的知識(shí)結(jié)構(gòu)并非單一課程，而是計(jì)算機(jī)專業(yè)底層建立的“系統(tǒng)思維”以及對(duì)嵌入式系統(tǒng)軟硬件協(xié)同工作的理解。

在學(xué)校里，我們學(xué)習(xí)操作系統(tǒng)、計(jì)算機(jī)組成原理、編譯原理、數(shù)據(jù)結(jié)構(gòu)等，這些知識(shí)構(gòu)建了一個(gè)關(guān)于“系統(tǒng)如何運(yùn)行”的完整圖景。轉(zhuǎn)型到功能安全，特別是涉及智駕、底盤這類高安全等級(jí)的系統(tǒng)時(shí)，本質(zhì)上是在分析這個(gè)復(fù)雜系統(tǒng)在遭遇隨機(jī)硬件失效或系統(tǒng)性故障時(shí)，是否會(huì)傷害到人。

從軟件層面來講：理解任務(wù)的優(yōu)先級(jí)、資源競(jìng)爭(zhēng)、堆棧溢出、內(nèi)存保護(hù)等概念，讓我能快速看懂軟件架構(gòu)文檔中的安全機(jī)制（如內(nèi)存分區(qū)、時(shí)間/邏輯監(jiān)控），并理解它們?yōu)楹文芊乐管浖用娴氖А?/span>

從硬件層面來講：對(duì)微控制器（MCU）/片上系統(tǒng)（SoC）架構(gòu)的了解（如CPU核心、鎖步核、內(nèi)存保護(hù)單元（MPU）/內(nèi)存管理單元（MMU）、時(shí)鐘、看門狗等），讓我能理解硬件安全機(jī)制（如鎖步比較、ECC校驗(yàn)、內(nèi)置自檢（BIST））是如何檢測(cè)并控制硬件隨機(jī)失效的。

2.最大的認(rèn)知沖擊：從“功能正確”到“安全可控”的思維轉(zhuǎn)變

在學(xué)校時(shí)，我們?cè)u(píng)價(jià)一個(gè)程序或系統(tǒng)好壞的標(biāo)準(zhǔn)，通常是“功能是否正確”以及“性能是否高效”。我們追求的是在輸入正確時(shí)，輸出預(yù)期的結(jié)果。

進(jìn)入功能安全領(lǐng)域后，最大的認(rèn)知沖擊來自于：我們不再只關(guān)注“它應(yīng)該做什么”，而開始用極大的精力關(guān)注“它不該做什么”以及“當(dāng)它壞了會(huì)發(fā)生什么”。

我們需要思考：如果傳感器短路了怎么辦？如果軟件跑飛了怎么辦？這種對(duì)失效模式的思考，其實(shí)是對(duì)思維方式的一次徹底重塑。

因此，在成為一名汽車功能安全工程師后，重塑了我對(duì)“確定性”的重新理解： 計(jì)算機(jī)試圖構(gòu)建一個(gè)確定性的邏輯世界，但在真實(shí)的物理世界中，硬件是會(huì)隨機(jī)失效的，電子噪聲是存在的。我開始意識(shí)到，真正的工程挑戰(zhàn)，是在這個(gè)充滿不確定性的物理世界中，通過設(shè)計(jì)（安全機(jī)制）來構(gòu)建一個(gè)讓用戶可接受的“確定性”安全環(huán)境。

02

融合前沿的思考與實(shí)踐

你負(fù)責(zé)過與智駕、車身、地盤等多個(gè)域的Fusa需求對(duì)接。在溝通中，你覺得最大壁壘是技術(shù)語(yǔ)言的差異，還是開發(fā)節(jié)奏和優(yōu)先級(jí)的不同？作為安全方，如何推動(dòng)并“說服”其他團(tuán)隊(duì)？

1. 最大的壁壘：開發(fā)節(jié)奏和優(yōu)先級(jí)的不同

技術(shù)語(yǔ)言的差異確實(shí)是存在的，但它更像是一道可以通過學(xué)習(xí)來跨越的鴻溝，而非真正的“壁壘”。比如說智駕的同事講感知、融合、規(guī)控；底盤的同事講制動(dòng)壓力、轉(zhuǎn)向扭矩；車身的同事講門窗、燈光邏輯。這確實(shí)需要我花時(shí)間去了解每個(gè)領(lǐng)域的基礎(chǔ)知識(shí)，理解他們的術(shù)語(yǔ)。

開發(fā)節(jié)奏和優(yōu)先級(jí)的不同，對(duì)于我來說才是真正的壁壘。對(duì)于研發(fā)工程師而言，他們的首要任務(wù)是“實(shí)現(xiàn)功能”并“按時(shí)交付”。功能安全的輸入，常常被視為“額外的約束”、“增加代碼量”、“影響性能”甚至“可能延誤項(xiàng)目進(jìn)度”的工作。在項(xiàng)目沖刺的關(guān)鍵節(jié)點(diǎn)，安全需求的優(yōu)先級(jí)很容易被排在實(shí)現(xiàn)核心功能和修復(fù)關(guān)鍵Bug之后。這種由不同目標(biāo)導(dǎo)向產(chǎn)生的優(yōu)先級(jí)沖突，是溝通中最難調(diào)和的。

2.從 “硬件安全” 到 “軟件定義安全”

作為安全方，我們的角色，并不是站在他們對(duì)面的“監(jiān)督者”，而是共同為產(chǎn)品負(fù)責(zé)的“協(xié)作者”。我的做法是“翻譯、理解、提供安全價(jià)值”：

翻譯（如何傳播功能安全文化）

對(duì)于研發(fā)工程師來說，他們可能無法在短時(shí)間內(nèi)直接深刻的了解ISO 26262這些文字性的條款。因此，作為功能安全工程師，我會(huì)把這些需求“翻譯”成他們能聽懂的技術(shù)語(yǔ)言。例如，對(duì)底盤工程師，我會(huì)解釋：“如果轉(zhuǎn)向系統(tǒng)的角度信號(hào)因?yàn)橛布收隙儯诟咚偕峡赡軙?huì)導(dǎo)致車輛突然轉(zhuǎn)向，這是可能危及駕駛員及行人的生命健康安全的。我們現(xiàn)在討論的這個(gè)監(jiān)控機(jī)制，就是為了檢測(cè)這種故障，并在發(fā)生時(shí)讓系統(tǒng)安全地降級(jí)，保護(hù)人的安全?！碑?dāng)他們理解這個(gè)需求背后的“保命”邏輯時(shí)，接受度會(huì)高很多。

理解（如何去協(xié)作和尋找最優(yōu)解）

我會(huì)嘗試?yán)斫獠煌瑓f(xié)作者的開發(fā)節(jié)奏和壓力。在提出安全需求時(shí)，我會(huì)同時(shí)與他們商討有沒有更輕量級(jí)但依然有效的實(shí)現(xiàn)方式；或者分階段實(shí)施，先保證核心安全機(jī)制落地。我們的共同目標(biāo)是去尋找在性能、成本、進(jìn)度和安全之間的最佳平衡點(diǎn)。這會(huì)讓對(duì)方覺得我是來幫他們解決問題的，共同為了實(shí)現(xiàn)產(chǎn)品落地而服務(wù)的。

安全價(jià)值（如何進(jìn)行安全的“賦能”）

功能安全不是枷鎖，而是“入場(chǎng)券”和“護(hù)城河”。特別是在智駕領(lǐng)域，高功能安全等級(jí)是贏得客戶信任、滿足法規(guī)要求、走向更高級(jí)別自動(dòng)駕駛的基礎(chǔ)。我們做的工作，不是讓他們的代碼更難寫，而是讓他們的作品能真正安全地駛?cè)肭Ъ胰f戶。而這些是我們需要跟不同團(tuán)隊(duì)傳達(dá)的安全價(jià)值。

03

下一個(gè)跨越

面以你近距離觀察，當(dāng)前年輕一代工程師在理解和實(shí)踐功能安全時(shí)，與前輩們相比，最大的優(yōu)勢(shì)與最普遍的誤區(qū)分別是什么？

1. 最大的優(yōu)勢(shì)：數(shù)字化原住民的信息敏銳度與工具思維

信息獲取與整合能力強(qiáng)：年輕一代是互聯(lián)網(wǎng)原住民，他們習(xí)慣于在GitHub、技術(shù)論壇、知乎、B站上尋找答案。當(dāng)遇到一個(gè)陌生的安全概念或技術(shù)問題時(shí)，他們能快速通過多渠道獲取信息、進(jìn)行對(duì)比和學(xué)習(xí)，自學(xué)效率通常很高。

對(duì)新技術(shù)的接受度更高：例如對(duì)于AI在自動(dòng)駕駛中的應(yīng)用、對(duì)于SOA架構(gòu)下的功能安全挑戰(zhàn)、對(duì)于網(wǎng)絡(luò)安全與功能安全的融合等新興領(lǐng)域，年輕工程師通常有更強(qiáng)的探索欲和學(xué)習(xí)熱情。

2. 安全驗(yàn)證對(duì)象擴(kuò)展：從確定性系統(tǒng)到非確定性AI

對(duì)于缺乏經(jīng)驗(yàn)的年輕工程師，容易將ISO 26262視為可機(jī)械套用的操作手冊(cè)。在面對(duì)工程問題時(shí)，既要檢索標(biāo)準(zhǔn)條款，也要分析系統(tǒng)具體風(fēng)險(xiǎn)；關(guān)于產(chǎn)品安全落地的焦點(diǎn)是“是否符合標(biāo)準(zhǔn)”，也是“設(shè)計(jì)是否真正安全”。

比如，缺乏剪裁能力。不敢根據(jù)實(shí)際情況對(duì)標(biāo)準(zhǔn)要求進(jìn)行合理增刪，傾向“多做比少做安全”，導(dǎo)致低ASIL系統(tǒng)過度設(shè)計(jì)、成本攀升，或在不必要環(huán)節(jié)機(jī)械執(zhí)行造成資源浪費(fèi)。對(duì)新場(chǎng)景應(yīng)變不足。當(dāng)標(biāo)準(zhǔn)滯后于技術(shù)發(fā)展時(shí)，習(xí)慣等待標(biāo)準(zhǔn)更新，而非運(yùn)用標(biāo)準(zhǔn)思維方法自主構(gòu)建論證邏輯，缺乏將通用原則遷移至新領(lǐng)域的能力。

而產(chǎn)生這樣誤區(qū)的本質(zhì)，是年輕工程師混淆了“合規(guī)”與“安全”。標(biāo)準(zhǔn)是基于歷史經(jīng)驗(yàn)的通用框架，而非針對(duì)具體系統(tǒng)的精確解。真正的安全需要在標(biāo)準(zhǔn)框架基礎(chǔ)上，結(jié)合具體系統(tǒng)的特性進(jìn)行深度分析與權(quán)衡。合規(guī)不等于安全。

總結(jié)來說，我們的思維需要從“標(biāo)準(zhǔn)要求什么”轉(zhuǎn)向“系統(tǒng)需要什么”；通過真實(shí)事故復(fù)盤建立失效認(rèn)知；在標(biāo)準(zhǔn)未覆蓋領(lǐng)域自主構(gòu)建安全論證邏輯。目標(biāo)是從“合規(guī)執(zhí)行者”轉(zhuǎn)變?yōu)椤鞍踩こ處煛薄?/p>