Dit is de vraag die elke serieuze koper stelt voordat hij een solo, AI-native praktijk zijn voertuig, zijn vliegtuig of zijn productielijn toevertrouwt: kun je één persoon en een agentvloot een veiligheidskritisch systeem toevertrouwen? Het is de juiste vraag. Deze pagina beantwoordt hem recht op de man af — en maakt van het antwoord de centrale reden om hier te werken.
The founder signs; agents assist — never the inverse.
Verantwoording door een benoemd persoon is de pitch — niet „kijk hoe de vloot het bouwt”. Eén senior ingenieur is end-to-end eigenaar van de safety case, krachtversterkt door geauditeerde AI-agenten: minder handen, meer verantwoording, volledige herleidbaarheid.
Laatst herzien: juni 2026
Safe by design betekent in deze praktijk dat de verantwoording voor een veiligheidskritisch systeem is geconcentreerd bij één benoemde senior ingenieur die end-to-end eigenaar is van de safety case, en krachtversterkt — nooit vervangen — wordt door geauditeerde AI-agenten. De agenten stellen op, doorzoeken en kruiscontroleren op een schaal die één persoon alleen niet kan bereiken; de ingenieur beoordeelt, herwerkt en ondertekent elk artefact voordat het in de veiligheidsargumentatie terechtkomt. Gecombineerd met een 90-daags ship/pivot/kill-controlepunt op elk initiatief en expliciete mede-levering wanneer de omvang één persoon overstijgt, is het resultaat een model met méér verantwoording op het kritieke pad dan een conventioneel team van roulerende medewerkers — niet minder.
Een solo, AI-native bedrijf dat veiligheidskritische Physical AI doet, staat voor één dominant bezwaar, en het tegendeel beweren zou oneerlijk zijn: hoe kun je één persoon plus een agentvloot mijn voertuig, mijn vliegtuig of mijn productielijn toevertrouwen? Als het werk een marketingsite of een intern dashboard was, zou de vraag academisch zijn. Dat is hij niet. Wanneer het systeem iemand kan verwonden, heeft de koper gelijk een duidelijk, met naam genoemd antwoord te eisen op „wie is verantwoordelijk?”
De verkeerde manier om te antwoorden is naar de technologie wijzen en zeggen „kijk hoe de vloot het bouwt” — AI-autonomie het verkoopargument maken. Dat antwoord faalt precies waar het ertoe doet: het laat geen mens verantwoordelijk voor het resultaat. In een veiligheidskritische context is dat geen innovatie; het is een aftreden.
De juiste manier om te antwoorden is verantwoording het verkoopargument maken. Het onderscheidende kenmerk is niet hoeveel de agenten doen; het is wie verantwoordelijk is voor wat zij produceren. Dat is het hele argument van deze pagina, en het laat zich tot één zin samenvatten: de oprichter ondertekent; de agenten assisteren — nooit andersom.
Het gangbare model
De meeste bedrijven zetten junior medewerkers op uw safety case.
Hier
Hier is één senior ingenieur er end-to-end eigenaar van — 17+ years op veiligheidsrelevante platforms voor connected vehicles, netwerk/video en EV-laadinfrastructuur.
Het gangbare model
Meer handen aan een safety case verwatert de verantwoording — als er iets mis is, is geen enkele persoon er individueel op aanspreekbaar.
Hier
Minder handen, meer verantwoording. Eén naam op de assurance case, volledige herleidbaarheid van eis tot bewijs.
Het gangbare model
„Kijk hoe de vloot het bouwt” maakt AI-autonomie het verkoopargument — en laat geen mens verantwoordelijk voor het resultaat.
Hier
De oprichter ondertekent; de agenten assisteren — nooit andersom. Verantwoording door een benoemd persoon is de pitch.
De meeste bedrijven zetten junior medewerkers op uw safety case. Hier is één senior ingenieur er end-to-end eigenaar van. Dat is geen slogan — het is het operationele model, en het is wat een eenpersoonspraktijk een sterker verantwoordingsvoorstel maakt voor veiligheidskritisch werk, niet een zwakker.
Het principe: de oprichter ondertekent; de agenten assisteren — nooit andersom. Minder handen, meer verantwoording, volledige herleidbaarheid.
Eén enkele benoemde senior ingenieur — 17+ years bij Cisco (netwerk- en videoplatforms voor 100M+ users), Renault-Nissan-Mitsubishi (een connected-vehicle-platform voor 4M+ users in 39 countries) en ABB E-mobility (EV-laadinfrastructuur) — is end-to-end eigenaar van de safety case. Geen roulerende bank, geen piramide van medewerkers: één persoon die aanspreekbaar is op de argumentatie, van gevarenanalyse tot het bewijs dat haar sluit.
Die ingenieur wordt krachtversterkt door AI-agenten — maar de agenten zijn geauditeerd, niet autonoom over de uitkomst. Ze stellen op, doorzoeken, kruiscontroleren en brengen inconsistenties aan het licht op een schaal die één persoon alleen niet kan bereiken. Elk artefact dat een agent aanraakt, wordt beoordeeld en gedragen door de benoemde ingenieur voordat het in de safety case terechtkomt. Minder handen, meer verantwoording, volledige herleidbaarheid.
Veiligheidskritische bewijsculturen — ISO 26262, DO-178C, IEC 61508 — vereisen een benoemde verantwoordelijke ingenieur achter elke bewering. Een AI-native praktijk verzwakt dat niet; ze versterkt het. Er is precies één auteur tot wie elke beslissing te herleiden is, en een volledig verslag van hoe elk bewijsstuk is geproduceerd en beoordeeld.
Krachtversterking is reëel en aanzienlijk. Maar er is een heldere lijn, en die is het fundament van het hele vertrouwensargument: de agenten assisteren, de oprichter bouwt en ondertekent. De agenten versnellen het werk; de benoemde ingenieur blijft aanspreekbaar op elk artefact dat in de safety case terechtkomt.
De heldere lijn: de output van een agent is altijd een input die door de benoemde ingenieur wordt beoordeeld en gedragen — nooit het ondertekende artefact. Een geslaagde geautomatiseerde controle is noodzakelijk, nooit voldoende, voor de veiligheidsargumentatie.
Agenten assisteren
Conceptkandidaten voor gevarenanalyses, eisendecomposities en assurance-case-fragmenten opstellen die de ingenieur beoordeelt en herwerkt.
De oprichter draagt & ondertekent
De ingenieur is eigenaar van de gevarenanalyse. Het concept van een agent is een input, nooit het ondertekende artefact.
Agenten assisteren
Normen, eerder bewijs en het technische dossier doorzoeken om hiaten, tegenstrijdigheden en ontbrekende koppelingen sneller dan een handmatige beoordeling aan het licht te brengen.
De oprichter draagt & ondertekent
De ingenieur beslist wat het hiaat betekent en hoe het te sluiten. De agenten signaleren; de mens beslist.
Agenten assisteren
Herleidbaarheid kruiscontroleren — dat elke eis op een verificatie afbeeldt en elke bewering op bewijs — over duizenden koppelingen.
De oprichter draagt & ondertekent
De ingenieur tekent de herleidbaarheid af. Een geslaagde geautomatiseerde controle is noodzakelijk, nooit voldoende, voor de veiligheidsargumentatie.
Agenten assisteren
Het auditspoor onderhouden: wie elk artefact heeft geproduceerd, wanneer, op basis van welke inputs, en welke beoordeling het heeft afgesloten.
De oprichter draagt & ondertekent
Het auditspoor legt vast dat een mens elke stap heeft beoordeeld en gedragen. De agenten documenteren het werk; ze certificeren het niet.
De snelste manier om te beoordelen of verantwoording door een benoemd persoon echt is, is om referenties te vragen en harde vragen te stellen aan de persoon die uw safety case zou dragen. Boek een gesprek en doe precies dat.
Verantwoording gaat niet alleen over wie het werk draagt — het gaat over eerlijk zijn wanneer het werk niet levert. Elk initiatief kent een 90-daags controlepunt met drie mogelijke uitkomsten: ship, pivot of kill. Heldere afsluitcriteria worden vooraf vastgelegd, en monitoring is vanaf dag één aanwezig.
„Permanente pilot” staat niet in mijn vocabulaire. Een initiatief dat bij het controlepunt niet kan aantonen dat het zijn criteria heeft gehaald, loopt niet stilletjes door en blijft budget en aandacht opslokken.
Elk initiatief begint met expliciete, schriftelijke afsluitcriteria — wat „werken” in meetbare termen betekent — overeengekomen voordat enig werk begint. Er is geen dubbelzinnigheid over hoe succes er bij het controlepunt uitziet, omdat het werd gedefinieerd toen de verwachtingen het helderst waren.
Instrumentatie en beoordelingsritme zijn er vanaf de eerste dag, niet aan het eind aangeplakt. De voortgang ten opzichte van de afsluitcriteria is doorlopend zichtbaar, zodat de controlepuntbeslissing berust op bewijs dat over het volledige venster is verzameld — niet op een momentopname onder deadline-druk.
Bij het 90-daagse controlepunt gaat het initiatief naar productie (ship), verandert het van richting op grond van wat het bewijs toonde (pivot), of stopt het (kill). „Permanente pilot” staat niet in mijn vocabulaire: een initiatief dat niet kan aantonen dat het zijn criteria heeft gehaald, loopt niet stilletjes door en blijft budget en aandacht opslokken.
De eerlijke tegenhanger van verantwoording door een benoemd persoon is een expliciet model voor wanneer de omvang één persoon overstijgt. Een eenpersoonspraktijk mag nooit een single point of failure zijn op het kritieke pad van een voertuig, een vliegtuig of een productielijn. Wanneer het werk groter is dan één verantwoordelijke eigenaar alleen zou moeten dragen, is het antwoord: samenwerken en mede-leveren — niet te veel beloven.
Voordat een opdracht wordt aanvaard, wordt de omvang afgemeten aan wat één senior ingenieur plus een geauditeerde agentvloot kan leveren volgens een veiligheidskritische standaard. Overstijgt het werk dat, dan wordt het ronduit gezegd — en wordt een pad van mede-levering voorgesteld in plaats van het werk te veel te beloven.
Wanneer een initiatief groter is dan één persoon verantwoord alleen zou moeten dragen, bestaat het model uit samenwerken en mede-leveren met de juiste specialisten of uw interne team — niet een solopraktijk oprekken voorbij het punt waar de verantwoording standhoudt. „Solo” beschrijft de verantwoordelijke eigenaar, geen weigering om extra capaciteit in te brengen wanneer de safety case dat vereist.
Een eenpersoonspraktijk mag nooit een single point of failure zijn voor een voertuig, een vliegtuig of een productielijn. Continuïteitsafspraken, gedocumenteerde overdracht en expliciete mede-levering voor veiligheidskritische omvang maken deel uit van het opdrachtontwerp — zodat de afhankelijkheid berust op een herleidbaar proces en benoemde partners, niet op de beschikbaarheid van één individu.
Het verantwoordingsmodel is geen esthetische voorkeur — het is wat veiligheidskritische bewijsculturen vereisen. ISO 26262, DO-178C en IEC 61508 zijn gebouwd op de premisse dat een benoemde, verantwoordelijke ingenieur achter elke veiligheidsbewering staat, met herleidbaar bewijs dat eisen aan verificatie koppelt. Een AI-native praktijk eert die premisse; ze omzeilt haar niet.
Wegvoertuigen — Functionele veiligheid
De norm voor functionele veiligheid in de automotive. De veiligheidslevenscyclus — van gevarenanalyse en risicobeoordeling via ASIL-decompositie tot verificatiebewijs — is gebouwd op de premisse dat achter elke veiligheidseis een benoemde verantwoordelijke ingenieur staat. Het hier gepresenteerde verantwoordingsmodel is rechtstreeks door die eis gevormd.
Software Considerations in Airborne Systems and Equipment Certification
De norm voor luchtvaartsoftware. Ze vereist rigoureus, beoordeelbaar bewijs dat doelstellingen aan verificatie koppelt op elk Design Assurance Level (DAL). De cultuur van onafhankelijke beoordeling en herleidbaar auteurschap is precies de discipline die een AI-native praktijk moet eren, niet omzeilen.
Functionele veiligheid van E/E/PE veiligheidsgerelateerde systemen
De fundamentele norm voor functionele veiligheid, die de Safety Integrity Levels (SIL 1–4) en de systematische levenscyclus voor veiligheidsgerelateerde systemen definieert. De sectorafgeleiden ervan regelen machine- en procesveiligheid. Net als haar tegenhangers verwacht ze een benoemde, verantwoordelijke ingenieur achter de veiligheidsargumentatie.
Het volgende zijn publieke, verifieerbare kwalificaties. Geen ervan is een veiligheids- of beveiligingscertificering, en geen ervan wordt als zodanig gepresenteerd.
De oprichter is lid van de Forbes Technology Council — een gemeenschap uitsluitend op uitnodiging voor senior technologieleiders. Dit is een publieke, verifieerbare kwalificatie. Het is geen veiligheidscertificering en wordt niet als zodanig gepresenteerd.
De oprichter treedt op als French Government AI Ambassador in het kader van het programma Mission French Tech. Dit is een publieke rol in de ontwikkeling van het AI-ecosysteem. Het getuigt van statuur en bereik in het veld; het is geen accreditatie voor functionele veiligheid.
Deze praktijk bezit en claimt geen ISO 26262-, DO-178C-, IEC 61508-, SOC- of enige andere veiligheids- of beveiligingscertificering. Waar een uitrol een gecertificeerde beoordeling of goedkeuring vereist, wordt die uitgevoerd door de bevoegde geaccrediteerde instantie of partner. Het hier geboden onderscheidende kenmerk is verantwoording door een benoemd persoon en herleidbare technische degelijkheid — geen certificaat dat deze praktijk niet bezit.
Vertrouwen in veiligheidskritisch werk berust op verantwoording en herleidbaarheid, niet op personeelsaantal. Het model hier is dat één senior ingenieur — met 17+ years op platforms voor connected vehicles, netwerk/video en EV-laadinfrastructuur — end-to-end eigenaar is van de safety case en er persoonlijk op aanspreekbaar is. AI-agenten zijn geauditeerde krachtversterkers: ze stellen op, doorzoeken en kruiscontroleren op schaal, en elk artefact dat ze aanraken wordt beoordeeld en gedragen door de benoemde ingenieur voordat het in de safety case terechtkomt. De oprichter ondertekent; de agenten assisteren — nooit andersom. Vergeleken met een model waarin junior medewerkers door uw safety case rouleren, brengt dit méér verantwoording op het kritieke pad, niet minder.
De agenten stellen kandidaat-gevarenanalyses en assurance-case-fragmenten op, doorzoeken normen en eerder bewijs om hiaten aan het licht te brengen, kruiscontroleren de herleidbaarheid over duizenden eis-tot-bewijs-koppelingen, en onderhouden het auditspoor. De heldere lijn: de agenten assisteren, de oprichter bouwt en ondertekent. De output van een agent is altijd een input die door de benoemde ingenieur wordt beoordeeld en herwerkt — nooit het ondertekende artefact. Een geslaagde geautomatiseerde controle is noodzakelijk maar nooit voldoende voor de veiligheidsargumentatie; een mens beslist over elke bewering.
Elk initiatief kent een 90-daags controlepunt met een van drie uitkomsten: ship, pivot of kill. Afsluitcriteria worden op dag nul schriftelijk gedefinieerd, en monitoring is er vanaf de eerste dag zodat de controlepuntbeslissing op bewijs berust. „Permanente pilot” staat niet in mijn vocabulaire: een initiatief dat bij het controlepunt niet kan aantonen dat het zijn criteria heeft gehaald, loopt niet stilletjes door. Dit beschermt uw budget en dwingt eerlijkheid af over de vraag of het werk levert.
Dat mag het nooit zijn, en de opdracht is zo ontworpen dat het dat niet is. De omvang wordt eerlijk beoordeeld vóór elke toezegging; wanneer een initiatief groter is dan één persoon verantwoord zou moeten dragen, bestaat het model uit samenwerken en mede-leveren in plaats van te veel beloven. Continuïteitsafspraken, gedocumenteerde overdracht en expliciete mede-levering voor veiligheidskritische omvang betekenen dat de afhankelijkheid berust op een herleidbaar proces en benoemde partners — niet op de beschikbaarheid van één individu. „Solo” beschrijft de verantwoordelijke eigenaar, geen weigering om capaciteit in te brengen wanneer de safety case dat vereist.
Nee. Deze praktijk bezit en claimt geen veiligheids- of beveiligingscertificering. Het werk is gevormd door de cultuur van die normen — benoemde verantwoordelijke ingenieurs, herleidbaar bewijs, onafhankelijke beoordeling — en waar een uitrol een gecertificeerde beoordeling of formele goedkeuring vereist, wordt die uitgevoerd door de bevoegde geaccrediteerde instantie of partner. Het geboden onderscheidende kenmerk is verantwoording en technische degelijkheid, ronduit benoemd, geen certificaat dat deze praktijk niet bezit.
Omdat in veiligheidskritisch werk diffuse verantwoordelijkheid zelf een gevaar is. Wanneer veel handen een safety case aanraken en geen enkele persoon aanspreekbaar is, vallen hiaten tussen de rollen en draagt niemand de hele argumentatie. Een benoemde ingenieur die end-to-end eigenaar is van de case, krachtversterkt door geauditeerde agenten, geeft u minder handen, meer verantwoording en volledige herleidbaarheid — precies de eigenschappen die de culturen van ISO 26262, DO-178C en IEC 61508 zijn gebouwd om te vereisen.
Als u afweegt aan wie u een veiligheidskritisch systeem toevertrouwt, is de juiste test eenvoudig: vraag wie persoonlijk aanspreekbaar is op de safety case, en vraag om te spreken met mensen voor wie hij heeft geleverd. De oprichter ondertekent; de agenten assisteren — nooit andersom. Begin met een gesprek en stel de harde vragen.
Oprichter & Hoofd AI-strategie
Mohammed Cherifi is de oprichter van Hyperion Consulting, met 17+ years bij Cisco (netwerk- en videoplatforms), Renault-Nissan-Mitsubishi (connected-vehicle-platform in 39 countries) en ABB E-mobility (EV-laadinfrastructuur). Hij is lid van de Forbes Technology Council en French Government AI Ambassador (Mission French Tech), en is bij elke opdracht end-to-end eigenaar van de safety case.
Bewijs van functionele veiligheid gekoppeld aan ISO 26262, DO-178C en IEC 61508
De safety case bouwen voor machine learning aan de edge onder ISO 26262 / IEC 62443
Van simulatie naar productierijpe autonomie, met een veiligheidsarchitectuur die standhoudt