“SASETalk”是磐時打造的深度訪談欄目，通過與企業(yè)內(nèi)資深技術(shù)專家對話，記錄他們親歷的技術(shù)歷程與行業(yè)觀察，從個人視角解讀行業(yè)發(fā)展變遷，共同探討未來技術(shù)趨勢與工程師成長路徑。

本期嘉賓PROFILE

朱利亞

磐時 功能安全工程師

熟悉ISO26262、ISO21448，具有全智能主動懸架、線控制動、線控轉(zhuǎn)向等系統(tǒng)功能安全設(shè)計與認(rèn)證經(jīng)驗。精通 Carsim+Simulink 仿真、STPA / HAZOP 分析，熟練運(yùn)用 CANOE / Medini 等工具，掌握 Autosar / EGAS 架構(gòu)；持有 AFSP 證書，參與國標(biāo) / 團(tuán)標(biāo) / 知名OEM企標(biāo)制定，主負(fù)責(zé) ASIL B-D 多等級項目認(rèn)證。

01

在量產(chǎn)節(jié)奏下的方法論養(yǎng)成

從計算機(jī)專業(yè)畢業(yè)，到迅速深度參與多個ASIL B/C/D高安全等級的量產(chǎn)項目，你認(rèn)為知識結(jié)構(gòu)中哪一部分幫助了你最快地完成了從學(xué)生到工程師的轉(zhuǎn)型？最大的認(rèn)知沖擊是什么？

1. 幫助最大的知識結(jié)構(gòu)：系統(tǒng)思維與嵌入式軟硬件基礎(chǔ)

我認(rèn)為幫助最大的知識結(jié)構(gòu)并非單一課程，而是計算機(jī)專業(yè)底層建立的“系統(tǒng)思維”以及對嵌入式系統(tǒng)軟硬件協(xié)同工作的理解。

在學(xué)校里，我們學(xué)習(xí)操作系統(tǒng)、計算機(jī)組成原理、編譯原理、數(shù)據(jù)結(jié)構(gòu)等，這些知識構(gòu)建了一個關(guān)于“系統(tǒng)如何運(yùn)行”的完整圖景。轉(zhuǎn)型到功能安全，特別是涉及智駕、底盤這類高安全等級的系統(tǒng)時，本質(zhì)上是在分析這個復(fù)雜系統(tǒng)在遭遇隨機(jī)硬件失效或系統(tǒng)性故障時，是否會傷害到人。

從軟件層面來講：理解任務(wù)的優(yōu)先級、資源競爭、堆棧溢出、內(nèi)存保護(hù)等概念，讓我能快速看懂軟件架構(gòu)文檔中的安全機(jī)制（如內(nèi)存分區(qū)、時間/邏輯監(jiān)控），并理解它們?yōu)楹文芊乐管浖用娴氖А?/span>

從硬件層面來講：對微控制器（MCU）/片上系統(tǒng)（SoC）架構(gòu)的了解（如CPU核心、鎖步核、內(nèi)存保護(hù)單元（MPU）/內(nèi)存管理單元（MMU）、時鐘、看門狗等），讓我能理解硬件安全機(jī)制（如鎖步比較、ECC校驗、內(nèi)置自檢（BIST））是如何檢測并控制硬件隨機(jī)失效的。

2.最大的認(rèn)知沖擊：從“功能正確”到“安全可控”的思維轉(zhuǎn)變

在學(xué)校時，我們評價一個程序或系統(tǒng)好壞的標(biāo)準(zhǔn)，通常是“功能是否正確”以及“性能是否高效”。我們追求的是在輸入正確時，輸出預(yù)期的結(jié)果。

進(jìn)入功能安全領(lǐng)域后，最大的認(rèn)知沖擊來自于：我們不再只關(guān)注“它應(yīng)該做什么”，而開始用極大的精力關(guān)注“它不該做什么”以及“當(dāng)它壞了會發(fā)生什么”。

我們需要思考：如果傳感器短路了怎么辦？如果軟件跑飛了怎么辦？這種對失效模式的思考，其實是對思維方式的一次徹底重塑。

因此，在成為一名汽車功能安全工程師后，重塑了我對“確定性”的重新理解： 計算機(jī)試圖構(gòu)建一個確定性的邏輯世界，但在真實的物理世界中，硬件是會隨機(jī)失效的，電子噪聲是存在的。我開始意識到，真正的工程挑戰(zhàn)，是在這個充滿不確定性的物理世界中，通過設(shè)計（安全機(jī)制）來構(gòu)建一個讓用戶可接受的“確定性”安全環(huán)境。

02

融合前沿的思考與實踐

你負(fù)責(zé)過與智駕、車身、地盤等多個域的Fusa需求對接。在溝通中，你覺得最大壁壘是技術(shù)語言的差異，還是開發(fā)節(jié)奏和優(yōu)先級的不同？作為安全方，如何推動并“說服”其他團(tuán)隊？

1. 最大的壁壘：開發(fā)節(jié)奏和優(yōu)先級的不同

技術(shù)語言的差異確實是存在的，但它更像是一道可以通過學(xué)習(xí)來跨越的鴻溝，而非真正的“壁壘”。比如說智駕的同事講感知、融合、規(guī)控；底盤的同事講制動壓力、轉(zhuǎn)向扭矩；車身的同事講門窗、燈光邏輯。這確實需要我花時間去了解每個領(lǐng)域的基礎(chǔ)知識，理解他們的術(shù)語。

開發(fā)節(jié)奏和優(yōu)先級的不同，對于我來說才是真正的壁壘。對于研發(fā)工程師而言，他們的首要任務(wù)是“實現(xiàn)功能”并“按時交付”。功能安全的輸入，常常被視為“額外的約束”、“增加代碼量”、“影響性能”甚至“可能延誤項目進(jìn)度”的工作。在項目沖刺的關(guān)鍵節(jié)點，安全需求的優(yōu)先級很容易被排在實現(xiàn)核心功能和修復(fù)關(guān)鍵Bug之后。這種由不同目標(biāo)導(dǎo)向產(chǎn)生的優(yōu)先級沖突，是溝通中最難調(diào)和的。

2.從 “硬件安全” 到 “軟件定義安全”

作為安全方，我們的角色，并不是站在他們對面的“監(jiān)督者”，而是共同為產(chǎn)品負(fù)責(zé)的“協(xié)作者”。我的做法是“翻譯、理解、提供安全價值”：

翻譯（如何傳播功能安全文化）

對于研發(fā)工程師來說，他們可能無法在短時間內(nèi)直接深刻的了解ISO 26262這些文字性的條款。因此，作為功能安全工程師，我會把這些需求“翻譯”成他們能聽懂的技術(shù)語言。例如，對底盤工程師，我會解釋：“如果轉(zhuǎn)向系統(tǒng)的角度信號因為硬件故障而跳變，在高速上可能會導(dǎo)致車輛突然轉(zhuǎn)向，這是可能危及駕駛員及行人的生命健康安全的。我們現(xiàn)在討論的這個監(jiān)控機(jī)制，就是為了檢測這種故障，并在發(fā)生時讓系統(tǒng)安全地降級，保護(hù)人的安全?！碑?dāng)他們理解這個需求背后的“保命”邏輯時，接受度會高很多。

理解（如何去協(xié)作和尋找最優(yōu)解）

我會嘗試?yán)斫獠煌瑓f(xié)作者的開發(fā)節(jié)奏和壓力。在提出安全需求時，我會同時與他們商討有沒有更輕量級但依然有效的實現(xiàn)方式；或者分階段實施，先保證核心安全機(jī)制落地。我們的共同目標(biāo)是去尋找在性能、成本、進(jìn)度和安全之間的最佳平衡點。這會讓對方覺得我是來幫他們解決問題的，共同為了實現(xiàn)產(chǎn)品落地而服務(wù)的。

安全價值（如何進(jìn)行安全的“賦能”）

功能安全不是枷鎖，而是“入場券”和“護(hù)城河”。特別是在智駕領(lǐng)域，高功能安全等級是贏得客戶信任、滿足法規(guī)要求、走向更高級別自動駕駛的基礎(chǔ)。我們做的工作，不是讓他們的代碼更難寫，而是讓他們的作品能真正安全地駛?cè)肭Ъ胰f戶。而這些是我們需要跟不同團(tuán)隊傳達(dá)的安全價值。

03

下一個跨越

面以你近距離觀察，當(dāng)前年輕一代工程師在理解和實踐功能安全時，與前輩們相比，最大的優(yōu)勢與最普遍的誤區(qū)分別是什么？

1. 最大的優(yōu)勢：數(shù)字化原住民的信息敏銳度與工具思維

信息獲取與整合能力強(qiáng)：年輕一代是互聯(lián)網(wǎng)原住民，他們習(xí)慣于在GitHub、技術(shù)論壇、知乎、B站上尋找答案。當(dāng)遇到一個陌生的安全概念或技術(shù)問題時，他們能快速通過多渠道獲取信息、進(jìn)行對比和學(xué)習(xí)，自學(xué)效率通常很高。

對新技術(shù)的接受度更高：例如對于AI在自動駕駛中的應(yīng)用、對于SOA架構(gòu)下的功能安全挑戰(zhàn)、對于網(wǎng)絡(luò)安全與功能安全的融合等新興領(lǐng)域，年輕工程師通常有更強(qiáng)的探索欲和學(xué)習(xí)熱情。

2. 安全驗證對象擴(kuò)展：從確定性系統(tǒng)到非確定性AI

對于缺乏經(jīng)驗的年輕工程師，容易將ISO 26262視為可機(jī)械套用的操作手冊。在面對工程問題時，既要檢索標(biāo)準(zhǔn)條款，也要分析系統(tǒng)具體風(fēng)險；關(guān)于產(chǎn)品安全落地的焦點是“是否符合標(biāo)準(zhǔn)”，也是“設(shè)計是否真正安全”。

比如，缺乏剪裁能力。不敢根據(jù)實際情況對標(biāo)準(zhǔn)要求進(jìn)行合理增刪，傾向“多做比少做安全”，導(dǎo)致低ASIL系統(tǒng)過度設(shè)計、成本攀升，或在不必要環(huán)節(jié)機(jī)械執(zhí)行造成資源浪費(fèi)。對新場景應(yīng)變不足。當(dāng)標(biāo)準(zhǔn)滯后于技術(shù)發(fā)展時，習(xí)慣等待標(biāo)準(zhǔn)更新，而非運(yùn)用標(biāo)準(zhǔn)思維方法自主構(gòu)建論證邏輯，缺乏將通用原則遷移至新領(lǐng)域的能力。

而產(chǎn)生這樣誤區(qū)的本質(zhì)，是年輕工程師混淆了“合規(guī)”與“安全”。標(biāo)準(zhǔn)是基于歷史經(jīng)驗的通用框架，而非針對具體系統(tǒng)的精確解。真正的安全需要在標(biāo)準(zhǔn)框架基礎(chǔ)上，結(jié)合具體系統(tǒng)的特性進(jìn)行深度分析與權(quán)衡。合規(guī)不等于安全。

總結(jié)來說，我們的思維需要從“標(biāo)準(zhǔn)要求什么”轉(zhuǎn)向“系統(tǒng)需要什么”；通過真實事故復(fù)盤建立失效認(rèn)知；在標(biāo)準(zhǔn)未覆蓋領(lǐng)域自主構(gòu)建安全論證邏輯。目標(biāo)是從“合規(guī)執(zhí)行者”轉(zhuǎn)變?yōu)椤鞍踩こ處煛薄?/p>