“SASETalk”是磐時打造的深度訪談欄目，通過與企業(yè)內(nèi)資深技術專家對話，記錄他們親歷的技術歷程與行業(yè)觀察，從個人視角解讀行業(yè)發(fā)展變遷，共同探討未來技術趨勢與工程師成長路徑。

本期嘉賓PROFILE

王茁軒

功能安全工程師

3年芯片功能安全經(jīng)驗

熟悉ISO26262、IEC62380、IEC61709、SN29500；擁有ASIL D產(chǎn)品開發(fā)經(jīng)驗；熟知芯片開發(fā)驗證封裝測試流程，熟練掌握SEooC，硬件（系統(tǒng)）架構設計，HSR，安全分析（HW/SYS-FMEA，DFA，F(xiàn)TA），F(xiàn)MEDA等方法和相關工具的應用。擁有FSPA汽車功能安全職業(yè)證書。

01

安全意識的“第一課”

您行業(yè)初印象：從車輛工程專業(yè)畢業(yè)時，功能安全對你而言是課本上的概念還是清晰的職業(yè)方向？入職后接觸的第一個具體任務與你最初的想象有何不同？

功能安全是我在求職過程中才了解到的概念，之前也學習過汽車的主動、被動安全設計，所以功能安全更像是一個既熟悉又陌生的邊界線。在車輛工程的本科課程中，我們更多學習的是汽車的正向功能——發(fā)動機如何工作、底盤如何操控、CAN總線如何通信。雖然當時也接觸了ISO 26262或者一些可靠性工程的基礎知識，但在畢業(yè)時，功能安全確實還停留在書本里一個“章節(jié)”或“名詞解釋”的層面。它被簡單地理解為“不要出故障”，或者直接等同于“雙系統(tǒng)冗余”，并沒有形成一個完整的職業(yè)畫像。

真正讓我覺得這可能是一個清晰方向，是在畢業(yè)設計期間接觸到一些關于線控轉向的論文時。我突然意識到，隨著電子電氣系統(tǒng)越來越復雜，軟件代碼越來越多，傳統(tǒng)機械的物理失效已經(jīng)不是唯一的風險了，“系統(tǒng)性失效”和“未知的未知風險”開始成為難題。當時隱約覺得，這背后一定有一套嚴密的邏輯和規(guī)則去約束這些看不見的風險，而這套規(guī)則或許就是未來汽車行業(yè)的基石。所以，它不是一蹴而就的清晰職業(yè)路標，但確實是讓我覺得非常值得探索的那條林間小路。

入職后，我接到的第一個任務是針對一個組合定位導航系統(tǒng)的電源模塊進行FMEDA分析。我最初的想象中，這應該是一個非?！八钡墓ぷ鳎耗玫皆韴D，翻著標準，對著清單一個一個元器件打勾，計算它們的失效率，然后套公式，最后得出一個漂亮的數(shù)字。感覺就像是拿著標準答案去核對作業(yè)。然而，當我真正上手去做的時候，發(fā)現(xiàn)了三個巨大的反差：

從理想主義到拉鋸戰(zhàn)：我本以為FMEDA只是關于技術的計算，但實際上我意識到，功能安全首先是關于溝通的藝術。因為硬件工程師設計的電路未必有冗余，我在計算單點故障度量時發(fā)現(xiàn)某個電容失效會導致系統(tǒng)直接偏離安全目標。我需要拿著數(shù)據(jù)和架構去和硬件工程師辯論：是改電路，還是加診斷，或者接受風險？這和我最初想的一個人悶頭做分析完全不同。

從靜態(tài)計算到動態(tài)迭代：想象中的分析是線性的，但實際的FMEDA是一個反復迭代的過程。設計變一下，診斷覆蓋率就要重新算；甚至發(fā)現(xiàn)某個失效模式其實可以被軟件里的看門狗覆蓋，這又需要和軟件功能安全工程師確認窗口時間。這個任務就像一個巨大的拼圖，需要不停地協(xié)調(diào)、確認、更新，遠沒有課本上那個例題那么干凈利落。

對數(shù)字的敬畏感：起初看失效率數(shù)據(jù)，覺得就是個冷冰冰的數(shù)字。但真正在做FMEDA時，當把一個μC的失效率分攤到各個模塊，再聯(lián)系到它萬一失效會讓方向盤失去助力時，我真正理解了這幾個小數(shù)點后面的數(shù)字，背后對應的是實實在在的風險和責任。這讓我對這份工作的嚴謹性有了全新的敬畏。

快速學習的關鍵：在三年內(nèi)，你從協(xié)助文檔編寫到主導芯片級ASIL D認證，這種快速跨越的秘訣是什么？有沒有一個時刻或項目讓你突然對功能安全有了“頓悟”般的理解？

剛開始協(xié)助編寫文檔時，很多人可能會陷入一個誤區(qū)：覺得功能安全就是填表格、畫流程圖、套模板。但我當時做了一件比較“笨”的事：每當我接手一份前輩的文檔（比如FSC技術安全概念或硬件安全需求規(guī)格書），我都會反向推導——“這個安全機制為什么要在這里？如果刪掉它，底層的故障會怎么蔓延？”我把寫文檔的過程，變成了模擬系統(tǒng)失效的過程。這讓我在早期就建立了一個寶貴的資產(chǎn)：失效模式的案例庫。當后來主導芯片級認證時，我面對的雖然是一個復雜的SoC，但里面的邏輯模塊（比如鎖步核、ECC保護、內(nèi)存保護單元）的失效邏輯，其實在系統(tǒng)級已經(jīng)有了原型。功能安全不是孤島，我花了很多時間去“偷師”架構師和硬件工程師的知識。當我在做FMEDA時，我不只看失效率，我會追問硬件工程師：“這個電壓監(jiān)控的閾值為什么設在這里？”當理解了物理設計的邊界，我寫出來的安全機制才是可落地的，而不是空中樓閣。這種翻譯能力——把安全需求翻譯成工程師聽得懂的工程語言，是建立信任和推動項目的關鍵。

說到頓悟，它發(fā)生在主導第一個芯片級ASIL D認證項目的中期評審階段。當時我們正在開發(fā)一款IMU芯片，按照標準，我們需要證明它對于系統(tǒng)級的ASIL D要求是夠用的。在分析片上存儲器的保護機制時，我對著幾百頁的芯片手冊和數(shù)據(jù)流圖，突然產(chǎn)生了一個思維的飛躍。那一刻，我沒有再把這個芯片看作是一個復雜的、由邏輯門和硅材料構成的物理實體，而是把它看作是一個信息流處理的管道。我意識到，所謂芯片功能安全，本質(zhì)上就是確保這個“管道”在處理任何數(shù)據(jù)（無論是指令還是信號）時，一旦發(fā)生信息被篡改、延遲或丟失（即故障），必須有且只有一條清晰的路徑去發(fā)現(xiàn)它、遏制它、或者優(yōu)雅地過渡到安全狀態(tài)。在此之前，我看功能安全是看“文檔完整性”、看“診斷覆蓋率”、看“指標計算”。在此之后，我看功能安全是看“架構的脆弱性”、看“隔離的清晰度”。標準里的指標（SPFM，LFM，PMHF）不再是終點，而變成了驗證信號鏈路是否被忠實執(zhí)行的檢查手段。

02

與最高安全等級“過招”

挑戰(zhàn)ASIL D：從負責產(chǎn)品的功能安全，到深入慣導芯片本身進行ASIL D開發(fā)，這其中的技術挑戰(zhàn)發(fā)生了怎樣的本質(zhì)變化？最讓你“燒腦”的部分是什么？

在模組層級，我們討論的失效往往是比較宏觀的，如“CAN總線通信丟失”、“電機輸出軸卡死”、“電源供電中斷”。這些失效模式通常有對應的機械或電氣現(xiàn)象，我們可以通過相對直接的診斷手段（如看門狗、回讀校驗、電壓監(jiān)控）來覆蓋。而芯片層級的挑戰(zhàn)在于，你面對的不再是一個功能模塊，而是一塊充滿了晶體管、邏輯門和布線的硅片。如“寄存器內(nèi)的一個bit位發(fā)生了翻轉”，或者是“因為相鄰金屬線之間的耦合電容導致信號串擾”。在魔族上我們可以在產(chǎn)品上布置各種測試點，用萬用表、示波器去測量。而對于芯片，一旦芯片封裝好，里面的節(jié)點對于外界來說幾乎是一個黑盒。你無法把探針伸進納米級的工藝節(jié)點里去測量某個特定觸發(fā)器的狀態(tài)。

讓我燒腦的核心，是在芯片微架構層面，對時間、面積、功耗與安全進行的極致權衡。在模組級如果覺得不夠安全，可以放兩個MCU，做雙通道比對。這在成本、空間和功耗上雖然代價不小，但在系統(tǒng)層面是相對簡單的解決方案。而在芯片里，你要在指甲蓋大小的面積上，在毫瓦級的功耗預算內(nèi)，實現(xiàn)ASIL D級別的診斷覆蓋率。以慣導芯片為例： 它的核心是MEMS傳感器和模擬前端。要診斷MEMS結構是否損壞，你不能加一個一模一樣的備份MEMS。你需要設計巧妙的內(nèi)置自檢結構，通過施加靜電力來模擬加速度，看讀出電路的響應是否正常。這個自檢不能影響正常工作，還要能檢測出特定的失效模式。

工具與流程的實踐者：對于一名年輕工程師，如何避免被繁雜的文檔和工具淹沒，而真正抓住功能安全工程的核心主線？

被文檔淹沒的根本原因，往往是我們把文檔當成了目標，而不是手段。功能安全唯一的起點是“風險”和“最壞情況”。也就是ISO 26262里定義的那個東西——安全目標。每當我接手一個新項目，面對一堆待產(chǎn)的文檔時，我會強迫自己停下來，只問一個問題：如果這個東西壞了，會發(fā)生什么最可怕的事情？（比如車輛失控、無法轉向、非預期加速）。然后，我再逆推回來：為了防止這個最壞情況，我需要做什么？我需要定義安全狀態(tài)（比如切斷動力）。為了進入安全狀態(tài)我們就可以開始設計監(jiān)控機制及其驗證方法。最后自然會形成文檔。當你腦子里始終懸著那把“達摩克利斯之劍”時，你就會自動過濾掉那些與風險控制無關的細枝末節(jié)。文檔不再是負擔，而是你為了保護系統(tǒng)安全所構建的證據(jù)鏈。

03

讀懂客戶的“潛臺詞”

從應審到前瞻設計；在與客戶（尤其是OEM）交流時，他們除了標準符合性之外，最關心什么？這些經(jīng)驗如何反過來影響芯片層級的設計思路？

在我接觸的國內(nèi)外客戶中，能通過評審僅是基本的入場券，他們更多關心的是你的產(chǎn)品是否真的可靠、有效。比如有客戶關注你的安全診斷機制的透明度，產(chǎn)品需清晰追溯內(nèi)部異常情況，還要明確監(jiān)控機制的原理。另有客戶對產(chǎn)品假設的運行環(huán)境或外部措施有限制，這就需要你對產(chǎn)品的假設不能過于嚴格，你的安全狀態(tài)設計不能過于復雜，你的接口不能過多。還有客戶對產(chǎn)品的誤報警率比較在意，因為需要在產(chǎn)品保證安全的同時，可用性也同樣重要，畢竟不能提供一個頻繁進入安全狀態(tài)的產(chǎn)品，否則會導致大量客訴。

這就需要我們功能安全工程師在開發(fā)過程中，不能僅作為一個ISO 26262的專家，更要成為一個理解汽車商業(yè)邏輯、系統(tǒng)集成痛點和用戶體驗價值的系統(tǒng)架構師。我們的設計目標，不再只是通過ASIL認證，而是幫助OEM造出更可靠、更易用、更能贏得消費者信任的汽車。當芯片內(nèi)部的安全機制能夠直接回應OEM對于責任、可用性、易用性的關切時，功能安全就真正從合規(guī)成本轉變?yōu)榱水a(chǎn)品競爭力。

04

進化

用展望未來角色

對于同樣想在三五年內(nèi)快速成長的年輕功能安全工程師而言，你認為最應該深耕的一兩個技術領域是什么？最需要避免的“彎路”又是什么？

如果只能深耕一個技術領域，我會選擇 “系統(tǒng)架構設計”。原因在于，功能安全工程師很容易陷入極端：對ISO 26262的條款倒背如流，但看電路圖如同看天書，和硬件、軟件工程師溝通時缺乏共同語言；或者是深陷于某個具體模塊的FMEDA或者軟件診斷的細節(jié)，卻忘了這個模塊在整個車里是干什么的，一旦失效會引發(fā)什么后果。所以，在三到五年的成長期，你需要建立“端到端”的視野。這意味著你要能看懂從傳感器輸入（感知）-> 決策算法（處理）-> 執(zhí)行器動作（控制）的完整信號鏈。抓住 FMEA和 FTA這兩個工具。不要把它們僅僅當作合規(guī)文檔，而是當作理解系統(tǒng)的手術刀。通過做FMEA，你會逼著自己去問：“這個CAN信號如果延遲了會怎樣？這個電壓如果漂移了軟件能識別嗎？”這個過程會讓你比系統(tǒng)工程師更懂系統(tǒng)，比軟件工程師更懂安全機制的必要性。

說到彎路，我覺得最可惜的一種情況是：把平臺的能力，錯當成自己的能力。很多人入行后，看到行業(yè)里自動駕駛火了就追L3/L4，看到AI芯片火了就去研究NPU的安全。這本身沒錯，但如果基礎還沒打牢，很容易變成“空中樓閣”。比如，直接去挑戰(zhàn)一個復雜的AI芯片的ASIL D認證，如果連最基礎的鎖步CPU是如何工作的、內(nèi)存ECC的單比特糾錯雙比特檢錯機制到底怎么在硬件層面實現(xiàn)都沒搞懂，那么在評審會上，面對硬件專家和架構師的提問，可能會很難應對。另外，功能安全確實涉及很多流程，但如果你在三五年內(nèi)，把自己的核心競爭力定義成會走流程、會寫文檔，那可能會比較被動。因為流程可以被AI輔助，可以被模板化，但對失效機理的深刻理解，對系統(tǒng)復雜性的洞察，是機器很難替代的。

你選擇加入磐時，是希望如何實現(xiàn)自己的下一個職業(yè)目標？期待為解決行業(yè)的哪些痛點貢獻力量？

選擇加入磐時，對我來說不僅僅是換一份工作，更像是一次從運動員到教練員兼戰(zhàn)術分析師的轉變。我希望在這里，既能拓寬自己技術視野的廣度，又能錘煉解決深層次問題的能力。我希望利用磐時的平臺優(yōu)勢，接觸到不同客戶、不同領域（從傳統(tǒng)的動力底盤，到新興的自動駕駛、智能座艙，甚至是跨行業(yè)的工業(yè)控制）的項目。每一個新項目都是一次快速學習的機會。我的目標是在未來幾年中，積累起覆蓋多個技術領域的安全模式庫。當客戶遇到一個棘手的失效問題時，我能迅速從腦海里調(diào)取出之前在類似場景下驗證過的解決方案。

在幾年的工作中，我觀察到行業(yè)里普遍存在幾個痛點。比如在很多企業(yè)內(nèi)部，功能安全團隊和研發(fā)團隊是割裂的。安全工程師在造文檔，研發(fā)工程師在搞開發(fā)，到最后項目評審時，才發(fā)現(xiàn)安全需求無法落地，或者安全機制影響了功能性能，導致大量返工。我希望利用磐時獨立的第三方視角，充當一個 翻譯者和融合者。我們不只帶來標準，更帶來業(yè)界最佳實踐。通過早期的安全概念介入，幫助客戶在架構設計階段就把安全內(nèi)生進去，讓研發(fā)團隊覺得安全是幫手，而不是“對手”。另外，很多企業(yè)的安全經(jīng)驗沉淀在個別的資深工程師腦子里，一旦人員流動，經(jīng)驗就斷了。而且不同項目組之間的失敗教訓和成功經(jīng)驗很難共享。磐時作為第三方，有機會接觸大量不同類型的項目。我們內(nèi)部積累的失效案例庫、最佳實踐模式、以及各種踩坑教訓，其實是我們能給客戶帶來的最大附加值之一。我希望能把這些跨行業(yè)的、跨領域的經(jīng)驗，系統(tǒng)化地整理和提煉，然后反哺給我們的客戶，幫助他們站在我們的肩膀上，看得更遠，少走彎路。