“SASETalk”是磐時打造的深度訪談欄目，通過與企業(yè)內資深技術專家對話，記錄他們親歷的技術歷程與行業(yè)觀察，從個人視角解讀行業(yè)發(fā)展變遷，共同探討未來技術趨勢與工程師成長路徑。

本期嘉賓PROFILE

朱利亞

磐時 功能安全工程師

熟悉ISO26262、ISO21448，具有全智能主動懸架、線控制動、線控轉向等系統(tǒng)功能安全設計與認證經驗。精通 Carsim+Simulink 仿真、STPA / HAZOP 分析，熟練運用 CANOE / Medini 等工具，掌握 Autosar / EGAS 架構；持有 AFSP 證書，參與國標 / 團標 / 知名OEM企標制定，主負責 ASIL B-D 多等級項目認證。

01

在量產節(jié)奏下的方法論養(yǎng)成

從計算機專業(yè)畢業(yè)，到迅速深度參與多個ASIL B/C/D高安全等級的量產項目，你認為知識結構中哪一部分幫助了你最快地完成了從學生到工程師的轉型？最大的認知沖擊是什么？

1. 幫助最大的知識結構：系統(tǒng)思維與嵌入式軟硬件基礎

我認為幫助最大的知識結構并非單一課程，而是計算機專業(yè)底層建立的“系統(tǒng)思維”以及對嵌入式系統(tǒng)軟硬件協(xié)同工作的理解。

在學校里，我們學習操作系統(tǒng)、計算機組成原理、編譯原理、數據結構等，這些知識構建了一個關于“系統(tǒng)如何運行”的完整圖景。轉型到功能安全，特別是涉及智駕、底盤這類高安全等級的系統(tǒng)時，本質上是在分析這個復雜系統(tǒng)在遭遇隨機硬件失效或系統(tǒng)性故障時，是否會傷害到人。

從軟件層面來講：理解任務的優(yōu)先級、資源競爭、堆棧溢出、內存保護等概念，讓我能快速看懂軟件架構文檔中的安全機制（如內存分區(qū)、時間/邏輯監(jiān)控），并理解它們?yōu)楹文芊乐管浖用娴氖А?/span>

從硬件層面來講：對微控制器（MCU）/片上系統(tǒng)（SoC）架構的了解（如CPU核心、鎖步核、內存保護單元（MPU）/內存管理單元（MMU）、時鐘、看門狗等），讓我能理解硬件安全機制（如鎖步比較、ECC校驗、內置自檢（BIST））是如何檢測并控制硬件隨機失效的。

2.最大的認知沖擊：從“功能正確”到“安全可控”的思維轉變

在學校時，我們評價一個程序或系統(tǒng)好壞的標準，通常是“功能是否正確”以及“性能是否高效”。我們追求的是在輸入正確時，輸出預期的結果。

進入功能安全領域后，最大的認知沖擊來自于：我們不再只關注“它應該做什么”，而開始用極大的精力關注“它不該做什么”以及“當它壞了會發(fā)生什么”。

我們需要思考：如果傳感器短路了怎么辦？如果軟件跑飛了怎么辦？這種對失效模式的思考，其實是對思維方式的一次徹底重塑。

因此，在成為一名汽車功能安全工程師后，重塑了我對“確定性”的重新理解： 計算機試圖構建一個確定性的邏輯世界，但在真實的物理世界中，硬件是會隨機失效的，電子噪聲是存在的。我開始意識到，真正的工程挑戰(zhàn)，是在這個充滿不確定性的物理世界中，通過設計（安全機制）來構建一個讓用戶可接受的“確定性”安全環(huán)境。

02

融合前沿的思考與實踐

你負責過與智駕、車身、地盤等多個域的Fusa需求對接。在溝通中，你覺得最大壁壘是技術語言的差異，還是開發(fā)節(jié)奏和優(yōu)先級的不同？作為安全方，如何推動并“說服”其他團隊？

1. 最大的壁壘：開發(fā)節(jié)奏和優(yōu)先級的不同

技術語言的差異確實是存在的，但它更像是一道可以通過學習來跨越的鴻溝，而非真正的“壁壘”。比如說智駕的同事講感知、融合、規(guī)控；底盤的同事講制動壓力、轉向扭矩；車身的同事講門窗、燈光邏輯。這確實需要我花時間去了解每個領域的基礎知識，理解他們的術語。

開發(fā)節(jié)奏和優(yōu)先級的不同，對于我來說才是真正的壁壘。對于研發(fā)工程師而言，他們的首要任務是“實現功能”并“按時交付”。功能安全的輸入，常常被視為“額外的約束”、“增加代碼量”、“影響性能”甚至“可能延誤項目進度”的工作。在項目沖刺的關鍵節(jié)點，安全需求的優(yōu)先級很容易被排在實現核心功能和修復關鍵Bug之后。這種由不同目標導向產生的優(yōu)先級沖突，是溝通中最難調和的。

2.從 “硬件安全” 到 “軟件定義安全”

作為安全方，我們的角色，并不是站在他們對面的“監(jiān)督者”，而是共同為產品負責的“協(xié)作者”。我的做法是“翻譯、理解、提供安全價值”：

翻譯（如何傳播功能安全文化）

對于研發(fā)工程師來說，他們可能無法在短時間內直接深刻的了解ISO 26262這些文字性的條款。因此，作為功能安全工程師，我會把這些需求“翻譯”成他們能聽懂的技術語言。例如，對底盤工程師，我會解釋：“如果轉向系統(tǒng)的角度信號因為硬件故障而跳變，在高速上可能會導致車輛突然轉向，這是可能危及駕駛員及行人的生命健康安全的。我們現在討論的這個監(jiān)控機制，就是為了檢測這種故障，并在發(fā)生時讓系統(tǒng)安全地降級，保護人的安全。”當他們理解這個需求背后的“保命”邏輯時，接受度會高很多。

理解（如何去協(xié)作和尋找最優(yōu)解）

我會嘗試理解不同協(xié)作者的開發(fā)節(jié)奏和壓力。在提出安全需求時，我會同時與他們商討有沒有更輕量級但依然有效的實現方式；或者分階段實施，先保證核心安全機制落地。我們的共同目標是去尋找在性能、成本、進度和安全之間的最佳平衡點。這會讓對方覺得我是來幫他們解決問題的，共同為了實現產品落地而服務的。

安全價值（如何進行安全的“賦能”）

功能安全不是枷鎖，而是“入場券”和“護城河”。特別是在智駕領域，高功能安全等級是贏得客戶信任、滿足法規(guī)要求、走向更高級別自動駕駛的基礎。我們做的工作，不是讓他們的代碼更難寫，而是讓他們的作品能真正安全地駛入千家萬戶。而這些是我們需要跟不同團隊傳達的安全價值。

03

下一個跨越

面以你近距離觀察，當前年輕一代工程師在理解和實踐功能安全時，與前輩們相比，最大的優(yōu)勢與最普遍的誤區(qū)分別是什么？

1. 最大的優(yōu)勢：數字化原住民的信息敏銳度與工具思維

信息獲取與整合能力強：年輕一代是互聯網原住民，他們習慣于在GitHub、技術論壇、知乎、B站上尋找答案。當遇到一個陌生的安全概念或技術問題時，他們能快速通過多渠道獲取信息、進行對比和學習，自學效率通常很高。

對新技術的接受度更高：例如對于AI在自動駕駛中的應用、對于SOA架構下的功能安全挑戰(zhàn)、對于網絡安全與功能安全的融合等新興領域，年輕工程師通常有更強的探索欲和學習熱情。

2. 安全驗證對象擴展：從確定性系統(tǒng)到非確定性AI

對于缺乏經驗的年輕工程師，容易將ISO 26262視為可機械套用的操作手冊。在面對工程問題時，既要檢索標準條款，也要分析系統(tǒng)具體風險；關于產品安全落地的焦點是“是否符合標準”，也是“設計是否真正安全”。

比如，缺乏剪裁能力。不敢根據實際情況對標準要求進行合理增刪，傾向“多做比少做安全”，導致低ASIL系統(tǒng)過度設計、成本攀升，或在不必要環(huán)節(jié)機械執(zhí)行造成資源浪費。對新場景應變不足。當標準滯后于技術發(fā)展時，習慣等待標準更新，而非運用標準思維方法自主構建論證邏輯，缺乏將通用原則遷移至新領域的能力。

而產生這樣誤區(qū)的本質，是年輕工程師混淆了“合規(guī)”與“安全”。標準是基于歷史經驗的通用框架，而非針對具體系統(tǒng)的精確解。真正的安全需要在標準框架基礎上，結合具體系統(tǒng)的特性進行深度分析與權衡。合規(guī)不等于安全。

總結來說，我們的思維需要從“標準要求什么”轉向“系統(tǒng)需要什么”；通過真實事故復盤建立失效認知；在標準未覆蓋領域自主構建安全論證邏輯。目標是從“合規(guī)執(zhí)行者”轉變?yōu)椤鞍踩こ處煛薄?/p>