01 和各位小伙伴 Say Hi

大家好，我叫Kevin，是SASETECH的會員。

我于2016年接觸功能安全，開始時主要從事BMS、MCU、DCDC等新能源產(chǎn)品的系統(tǒng)及軟件層面的功能安全設(shè)計，最近3年主要從事自動駕駛產(chǎn)品及傳感器的功能安全開發(fā)就管理工作。

隨著汽車電動化、智能化、網(wǎng)聯(lián)化的持續(xù)推進(jìn)，汽車上的電子電器設(shè)備越來越多，這為功能安全人員提供了充足的崗位需求，從近幾年功能安全崗位的招聘熱度就可見一斑，但同時也看到各位小伙伴普遍抱怨公司安全文化不足，項目推進(jìn)困難，個人職業(yè)發(fā)展受限等各種問題，今天我們就一起來聊聊專職功能安全人員的職業(yè)瓶頸，粗淺的給出了一些原因分析，但由于個人認(rèn)知的局限，對這個話題的思考有諸多不妥之處，還望輕拍。

 02 為什么說專職功能安全人員的職業(yè)瓶頸會越來越緊迫？

1.  控制器硬件趨同，標(biāo)準(zhǔn)化、模塊化設(shè)計的持續(xù)推進(jìn)會導(dǎo)致功能安全崗位需求減少

隨著電子電氣架構(gòu)的發(fā)展，電氣架構(gòu)從分布式向集中式發(fā)展，中央計算單元+區(qū)域控制器的電子電氣架構(gòu)越來越被大家采用，這直接導(dǎo)致車上的參與車輛控制的ECU數(shù)量減少，控制器數(shù)量的減少最直接的體現(xiàn)就是Tire1數(shù)量的減少，這會導(dǎo)致功能安全崗位的減少；

通過OTA升級來提升用戶體驗被越來越多的主機(jī)廠使用，通過硬件更新創(chuàng)造新的用戶體驗的迭代周期會放緩，當(dāng)體驗需求的改善不通過硬件設(shè)計來提升，也就會導(dǎo)致硬件在項目中的話語權(quán)減弱，這又將進(jìn)一步減少單位時間內(nèi)新硬件控制器的數(shù)量；

軟件定義汽車的持續(xù)推薦，軟件和硬件的解耦會越來越徹底，當(dāng)硬件貢獻(xiàn)的差異性越來越少時，最終會變成一個標(biāo)準(zhǔn)化產(chǎn)品，在電腦行業(yè)和手機(jī)行業(yè)已經(jīng)看到這種趨勢，汽車電子是不是也會遵守電腦和手機(jī)的這種趨勢了？我想這個回答時確定的，隨著標(biāo)準(zhǔn)化硬件的推出，而真正有能力提供物美價廉硬件產(chǎn)品的供應(yīng)商會被高度集中在某幾家供應(yīng)商手里，供應(yīng)商數(shù)量的減少也將進(jìn)一步降低對功能安全崗位的需求（以上硬件指代硬件PCBA和底層軟件）

圖1：Bosch 電子電氣架構(gòu)的發(fā)展趨勢

2.  軟件復(fù)雜性猛增，功能安全規(guī)則的可操作性差，安全人員不被信賴。

自動駕駛技術(shù)和電動化技術(shù)的發(fā)展，導(dǎo)致現(xiàn)有軟件的復(fù)雜程度正在快速的增加，有數(shù)據(jù)表明高端新能源汽車已經(jīng)成為最復(fù)雜的軟件產(chǎn)品，如此復(fù)雜的軟件，開發(fā)人員也很難捋清楚軟件之間的相互的關(guān)系，或者說試圖對復(fù)雜軟件進(jìn)行完整的安全分析本身就是不劃算的，同時在敏捷和OTA的開發(fā)策略下，軟件版本的變更已經(jīng)非?？?，如何在這種環(huán)境下進(jìn)行功能安全的設(shè)計對安全人員有不小的挑戰(zhàn)；

軟件功能安全開發(fā)的本質(zhì)就是找到Bug/防止Bug、防止失效。專職的功能安全人員如何指導(dǎo)或頂替研發(fā)人員找到Bug，這都需要建立在對軟件足夠熟悉的情況下，否則更多的只能提出一些編程規(guī)則、檢查清單和安全分析的流程要求；在防止軟件失效方面，我們是將軟件當(dāng)作黑盒或灰盒，使用一些容錯、糾錯機(jī)制進(jìn)行故障的檢測，當(dāng)軟件故障的情況下不讓其產(chǎn)生失效，這也是部分安全人員的核心工作，但面對AI算法、高度復(fù)雜的軟件程序時，很難找到行之有效的安全機(jī)制，這就像你讓一個小學(xué)生去審核大學(xué)生的論文，當(dāng)然有些時候是可以診斷到一些錯誤的，但更多的時候是無法診斷到錯誤的，所以不建議在端到端的診斷機(jī)制上花費(fèi)太多時間；

圖2：軟件故障的演進(jìn)圖

既然在設(shè)計時如何杜絕安全風(fēng)險不好量化和評估，那通過對測試結(jié)果來進(jìn)行量化從而評估安全風(fēng)險，這種方法被自動駕駛行業(yè)越來越多的使用，通過建立龐大的回歸測試庫，持續(xù)積累各種特殊場景數(shù)據(jù)，不斷發(fā)展回歸測試庫，同時借助自動化的工具，加快軟件自動化測試的效率，每次版本釋放時先通過該回歸測試庫，隨著閉環(huán)數(shù)據(jù)的積累，從而實現(xiàn)正向的安全迭代，可是專職的安全人員如何在這個過程中找準(zhǔn)自己的定位了？這即使挑戰(zhàn)也是機(jī)遇，為安全設(shè)計打開了另外一扇窗。

圖3：Momenta的數(shù)據(jù)驅(qū)動流程

功能安全、信息安全、SOTIF和AI等失效風(fēng)險確實實實在在的存在，但很難被量化，相信大家也經(jīng)常被問道：按照你這套流程和需求做了是不是就安全了，不安全的風(fēng)險到底還有多大，如何衡量？作為公司，我如何持續(xù)考核安全人員的工作產(chǎn)出？同一個產(chǎn)品，為啥找A公司可以拿到產(chǎn)品認(rèn)證證書，而找B公司卻不可以，認(rèn)證公司的判斷標(biāo)準(zhǔn)為何這么多變？特斯拉之前幾年也沒做功能安全，26262是不是歐洲老牌車廠有意設(shè)置的一個準(zhǔn)入門檻而已？這些問題確實很難回答，但是不說清楚這些問題，在面對互聯(lián)網(wǎng)背景的領(lǐng)導(dǎo)時，當(dāng)資源受限時，功能安全開發(fā)總是那個被后置的選項。

3.  功能安全的入門門檻低，安全方法論易于掌握，專職功能安全崗位越來越不被認(rèn)可

功能安全崗位上限高，真正做好非常不容易，對人的綜合素質(zhì)要求非常高，但是功能安全崗位的入門門檻確實不高，平時小伙伴們開玩笑時常說，一個軟件硬件的設(shè)計人員轉(zhuǎn)型功能安全，經(jīng)過一定的培訓(xùn)與項目歷練，差不多大半年就可以對功能的開發(fā)流程和方法論進(jìn)行掌握；

隨著功能安全知識的普及，系統(tǒng)、軟件和硬件工程師很多也接受到良好的安全培訓(xùn)，對于功能安全的方法論和常用手段也非常熟悉，那是否需要一些專職的功能安全人員來主導(dǎo)安全事宜了，會不會遇到外行指導(dǎo)內(nèi)行的困境了？

4.  安全收益不易見，權(quán)衡決策時多被后置

功能安全投入大，周期長，結(jié)果不易量化，現(xiàn)在有不少公司采用唯快不破的迭代策略，在項目按時交付的要求下，人員和時間資源總是不夠的，短期結(jié)果的KPI緊緊的壓在領(lǐng)導(dǎo)身上，當(dāng)資源受限時，功能安全的優(yōu)先級往往是被后置，這是安全崗位面對的最本質(zhì)的問題，相信大家深有感受，就不再這里詳細(xì)說了。

專職安全人員的職業(yè)發(fā)展遇到這樣和那樣的問題，但安全會被越來越重視這個趨勢是明確的，將來研發(fā)人員需要將更多的時間放在安全設(shè)計上，但是我們也必須跳出現(xiàn)有的功能安全標(biāo)準(zhǔn)，ISO26262參考的是IEC61508，但I(xiàn)EC61508已經(jīng)是20多年前的技術(shù)標(biāo)準(zhǔn)，當(dāng)時的產(chǎn)品復(fù)雜度遠(yuǎn)遠(yuǎn)低于現(xiàn)在自動駕駛汽車的復(fù)雜程度，我們照本宣科的依照老標(biāo)準(zhǔn)來指導(dǎo)一個充滿朝氣和活力的行業(yè)必然會遇到強(qiáng)大阻力，應(yīng)該跳出功能安全標(biāo)準(zhǔn)的限制，借鑒標(biāo)準(zhǔn)中的安全思想，成為安全問題實際的解決者，而不是安全問題的提出者。隨著自動駕駛和網(wǎng)聯(lián)技術(shù)的發(fā)展，必然會產(chǎn)生很多新的崗位，這些新的崗位對現(xiàn)有人員來說都是新的，都沒有成熟的經(jīng)驗可以參考，只能是基于之前的認(rèn)知體系，在問題中進(jìn)行學(xué)習(xí)，我相信功能安全這套成體系的思維方式，必然能為大家提供助力。

03  最后有什么想對大家說的

功能安全的設(shè)計工作充滿挑戰(zhàn)，絕不能唯標(biāo)準(zhǔn)論，按圖索驥的套用標(biāo)準(zhǔn)，而應(yīng)該結(jié)合公司實際，從實用出來推進(jìn)安全設(shè)計，同時也應(yīng)該加強(qiáng)自身的能力建設(shè)，熟悉產(chǎn)品的工作原理，對產(chǎn)品中使用的新技術(shù)抱以寬容，擁抱變化，終身成長。