SASETalk | 从「合规过关」到「赢得信任」，车企安全观正巨变

“SASETalk”是磐时打造的深度访谈栏目，通过与企业内资深技术专家对话，记录他们亲历的技术历程与行业观察，从个人视角解读行业发展变迁，共同探讨未来技术趋势与工程师成长路径。

本期嘉宾 PROFILE

刘利明     磐时资深功能安全专家/车企安全体系构建导师

• 二十余年功能安全经验，其中15年车载嵌入式开发、管理经验；3.5年功能安全系统级设计经验；5.5年功能安全软件级开发、管理经验。精通CMMI、ISO26262标准。
• 在东软、丰田、松下等知名企业参与多个L2 级自动驾驶控制器功能安全系统级设计；多个BCM车身控制器的功能安全软件级设计、开发、管理。

01

二十年前，“功能安全”尚在启蒙

Q:您从业二十多年，二十年前，“功能安全”对于中国汽车人来说是个什么样的概念？您是如何走上功能安全这条道路的？

A:二十年前，对于绝大多数中国汽车人来说，“功能安全”（Functional Safety）几乎是一个完全不存在的概念。

当时的状况， “功能”与“安全”是割裂的。当时我们谈“安全”，主要指的是被动安全，如：

关心车体刚度、安全带、安全气囊等物理结构的碰撞安全；

以及短路、过载、绝缘、阻燃。防止起火、触电等电气工程的范畴的电气安全。

没有人系统性地思考过，如果一个电子功能“失效”了，会引发什么样的安全事故？ 我们更关心它“工作”时怎么样，几乎不关心它“失效”时怎么办。

在二十多年的职业生涯中，我见证并深度参与了从传统硬件安全到现代复杂系统安全的演进。CMMI、ASPICE 等过程改进模型，为组织建立了“如何做好”的体系。而ISO 26262 等功能安全标准，核心是一个目标导向的工程实践体系，它明确回答了“为何要做”以及“要做到什么程度”。

我选择将其作为职业生涯的深耕方向，正是基于这种价值驱动的考量。

02

丰田与东软：安全体系中的“纪律性”与“敏捷性”

Q:您先后在国际顶尖车企（丰田）和本土软件企业（东软）开展功能安全实践，您认为这两种文化背景下的研发体系，最根本的差异是什么？这些经验如何塑造了您今天的安全观？

A:这本质上是两种工业哲学的不同。

丰田奉行是基于一种确定性文化，他们更相信“品质是制造出来的，不是检验出来的”。通过极致的流程化和对人的训练，追求接近零缺陷的、可预测的、一致的输出。

东软等本土企业的核心理念，是起源于互联网和软件行业的“在变化中迭代，在交付中完善”，通过快速迭代和反馈，敏捷地响应市场，优先保证功能的可用性和创新性。

总结来说，丰田给了我安全的纪律性，东软给了我安全的敏捷性。

03

功能安全正从“合规项”变成“竞争力”

Q:在您看来，中国智能汽车产业在今天这个阶段，对功能安全的需求发生了怎样的变化？

A:现在，功能安全需求有几个发展动向。

1. 从 “合规导向” 到 “竞争力导向”

过去功能安全是一种成本项，是为了满足国际标准（ISO 26262）和法规（如UN R155/R156）的强制性要求。目标是“有”和“过认证”。

现在功能安全已成为智能汽车产品的核心品质和品牌差异化的关键要素。消费者为“智能”买单的同时，潜意识里也为其“安全”赋予了更高期待。一套可靠的功能安全体系，能极大提升品牌信誉。所以现在功能安全的目标，是构建用户信任。

2.从 “硬件安全” 到 “软件定义安全”

过去功能安全的重心在硬件层面，如CPU Lockstep、内存ECC、安全监控芯片等。软件的角色更多是实现硬件安全机制的诊断和控制。

现在在中央计算+区域控制的架构下，软件承担了定义和实现安全策略的核心角色。例如，如何通过Hypervisor实现不同安全等级OS的隔离？如何在一个高性能SoC上，同时运行娱乐系统（QM）和制动系统（ASIL D）的虚拟机？如何通过OTA动态部署和更新安全机制？这说明功能安全的主战场，正从硬件设计转向软件架构、算法和开发流程。

3.从 “单点突破” 到 “系统融合”

过去关注重点是单一的，既传统单一的ECU（如ESP、EPS）如何实现功能安全要求。现在的智能汽车是一个由云、管、端构成的复杂系统。功能安全必须与网络安全、预期功能安全、数据安全进行深度融合和协同设计。

04

当前误区：用算法“拟人化”替代硬件安全基线

Q:在您看来，当前众多车企在追求‘软件定义汽车’和‘降本增效’的过程中，对功能安全最大的误解或最容易踩坑的地方是什么？

A:最大的误解应该是用软件算法的“拟人化能力”，替代硬件冗余的物理安全基线。本质，是混淆了 “功能实现” 与 “失效安全” 的底层逻辑，最典型的表现是 ——为降低成本砍掉激光雷达、多传感器冗余等硬件安全设计，转而依赖端到端大模型的 “学习能力” 弥补感知缺陷。

05

未来安全是“多标准协同”，需构建跨学科能力

Q:面对中央计算+区域控制的新架构、AI在代码生成中的应用等趋势，功能安全的内涵和外延正在发生哪些变化？对于想在这个领域深耕的年轻工程师，您会建议他们重点培养哪些未来能力？

A:面对中央计算+区域控制的新架构、AI在代码生成中的应用，有以下变化。

1. 安全责任主体迁移：从分布式到集中化。

传统架构：将安全责任分散于数十个ECU上。

新架构中：中央计算平台需承载制动/转向/智驾等多域安全关键功能；区域控制器需确保非安全任务不影响安全任务。

2. 安全验证对象扩展：从确定性系统到非确定性AI

传统焦点：验证固定逻辑的确定性行为（如MC/DC覆盖）。

AI生成代码：需验证黑盒模型的决策边界（如CNN误判障碍物概率）。

数据驱动安全：构建SOTIF场景库覆盖长尾场景（如暴雨中识别塑料袋为障碍物）。

3.安全边界外延：从单车到云管端

未来的安全一定是多标准协同的安全，所以要构建跨学科学习与协作能力，将功能安全、预期功能安全、信息安全融合，形成自己的核心能力。END