“SASETalk”是磐時打造的深度訪談欄目，通過與企業內資深技術專家對話，記錄他們親歷的技術歷程與行業觀察，從個人視角解讀行業發展變遷，共同探討未來技術趨勢與工程師成長路徑。

本期嘉賓 PROFILE

劉利明 磐時資深功能安全專家/車企安全體系構建導師

• 二十余年功能安全經驗，其中15年車載嵌入式開發、管理經驗；3.5年功能安全系統級設計經驗；5.5年功能安全軟件級開發、管理經驗。精通CMMI、ISO26262標準。
• 在東軟、豐田、松下等知名企業參與多個L2級自動駕駛控制器功能安全系統級設計；多個BCM車身控制器的功能安全軟件級設計、開發、管理。

01

二十年前，“功能安全”尚在啟蒙

Q:您從業二十多年，二十年前，“功能安全”對于中國汽車人來說是個什么樣的概念？您是如何走上功能安全這條道路的？

A:二十年前，對于絕大多數中國汽車人來說，“功能安全”（Functional Safety）幾乎是一個完全不存在的概念。

當時的狀況， “功能”與“安全”是割裂的。當時我們談“安全”，主要指的是被動安全，如：

關心車體剛度、安全帶、安全氣囊等物理結構的碰撞安全；

以及短路、過載、絕緣、阻燃。防止起火、觸電等電氣工程的范疇的電氣安全。

沒有人系統性地思考過，如果一個電子功能“失效”了，會引發什么樣的安全事故？ 我們更關心它“工作”時怎么樣，幾乎不關心它“失效”時怎么辦。

在二十多年的職業生涯中，我見證并深度參與了從傳統硬件安全到現代復雜系統安全的演進。CMMI、ASPICE等過程改進模型，為組織建立了“如何做好”的體系。而ISO 26262等功能安全標準，核心是一個目標導向的工程實踐體系，它明確回答了“為何要做”以及“要做到什么程度”。

我選擇將其作為職業生涯的深耕方向，正是基于這種價值驅動的考量。

02

豐田與東軟：安全體系中的“紀律性”與“敏捷性”

Q:您先后在國際頂尖車企（豐田）和本土軟件企業（東軟）開展功能安全實踐，您認為這兩種文化背景下的研發體系，最根本的差異是什么？這些經驗如何塑造了您今天的安全觀？

A:這本質上是兩種工業哲學的不同。

豐田奉行是基于一種確定性文化，他們更相信“品質是制造出來的，不是檢驗出來的”。通過極致的流程化和對人的訓練，追求接近零缺陷的、可預測的、一致的輸出。

東軟等本土企業的核心理念，是起源于互聯網和軟件行業的“在變化中迭代，在交付中完善”，通過快速迭代和反饋，敏捷地響應市場，優先保證功能的可用性和創新性。

總結來說，豐田給了我安全的紀律性，東軟給了我安全的敏捷性。

03

功能安全正從“合規項”變成“競爭力”

Q:在您看來，中國智能汽車產業在今天這個階段，對功能安全的需求發生了怎樣的變化？

A:現在，功能安全需求有幾個發展動向。

1.從 “合規導向” 到 “競爭力導向”

過去功能安全是一種成本項，是為了滿足國際標準（ISO 26262）和法規（如UN R155/R156）的強制性要求。目標是“有”和“過認證”。

現在功能安全已成為智能汽車產品的核心品質和品牌差異化的關鍵要素。消費者為“智能”買單的同時，潛意識里也為其“安全”賦予了更高期待。一套可靠的功能安全體系，能極大提升品牌信譽。所以現在功能安全的目標，是構建用戶信任。

2.從 “硬件安全” 到 “軟件定義安全”

過去功能安全的重心在硬件層面，如CPU Lockstep、內存ECC、安全監控芯片等。軟件的角色更多是實現硬件安全機制的診斷和控制。

現在在中央計算+區域控制的架構下，軟件承擔了定義和實現安全策略的核心角色。例如，如何通過Hypervisor實現不同安全等級OS的隔離？如何在一個高性能SoC上，同時運行娛樂系統（QM）和制動系統（ASIL D）的虛擬機？如何通過OTA動態部署和更新安全機制？這說明功能安全的主戰場，正從硬件設計轉向軟件架構、算法和開發流程。

3.從 “單點突破” 到 “系統融合”

過去關注重點是單一的，既傳統單一的ECU（如ESP、EPS）如何實現功能安全要求。現在的智能汽車是一個由云、管、端構成的復雜系統。功能安全必須與網絡安全、預期功能安全、數據安全進行深度融合和協同設計。

04

當前誤區：用算法“擬人化”替代硬件安全基線

Q:在您看來，當前眾多車企在追求‘軟件定義汽車’和‘降本增效’的過程中，對功能安全最大的誤解或最容易踩坑的地方是什么？

A:最大的誤解應該是用軟件算法的“擬人化能力”，替代硬件冗余的物理安全基線。本質，是混淆了 “功能實現” 與 “失效安全” 的底層邏輯，最典型的表現是 ——為降低成本砍掉激光雷達、多傳感器冗余等硬件安全設計，轉而依賴端到端大模型的 “學習能力” 彌補感知缺陷。

05

未來安全是“多標準協同”，需構建跨學科能力

Q:面對中央計算+區域控制的新架構、AI在代碼生成中的應用等趨勢，功能安全的內涵和外延正在發生哪些變化？對于想在這個領域深耕的年輕工程師，您會建議他們重點培養哪些未來能力？

A:面對中央計算+區域控制的新架構、AI在代碼生成中的應用，有以下變化。

1.安全責任主體遷移：從分布式到集中化。

傳統架構：將安全責任分散于數十個ECU上。

新架構中：中央計算平臺需承載制動/轉向/智駕等多域安全關鍵功能；區域控制器需確保非安全任務不影響安全任務。

2.安全驗證對象擴展：從確定性系統到非確定性AI

傳統焦點：驗證固定邏輯的確定性行為（如MC/DC覆蓋）。

AI生成代碼：需驗證黑盒模型的決策邊界（如CNN誤判障礙物概率）。

數據驅動安全：構建SOTIF場景庫覆蓋長尾場景（如暴雨中識別塑料袋為障礙物）。

3.安全邊界外延：從單車到云管端

未來的安全一定是多標準協同的安全，所以要構建跨學科學習與協作能力，將功能安全、預期功能安全、信息安全融合，形成自己的核心能力。END