在可运行的 AI 原型与已部署的安全关键型机器之间,最难逾越的单一关卡就是安全论证——即以证据支撑、论证系统达到可接受安全水平的结构化论证。机器学习打破了传统功能安全流程赖以建立的前提:没有可供逐行追溯的规格说明,行为是统计性的,而公告机构不会接受一辆车、一套航空系统或一条工业产线中存在未经记录的模型。安全论证与认证证据工程,正是产出该论证及该证据链的能力——危害分析、风险评估、ASIL/DAL/SIL 分解、保证论证构建,以及验证与确认的可追溯性——并映射至治理你所在领域的标准。这是物理 AI 专家与通用型 AI 顾问之间最鲜明的分界线,也是每一个安全关键型垂直领域的头号障碍。明确划定边界:公告机构负责给出实际的安全等级评定并对系统进行认证。我负责工程化安全论证以及他们所评估的证据——我不颁发认证。
ML 打破了传统的验证与确认。功能安全标准假定存在一份可逐项测试追溯的规格说明;而学习得到的模型并无此物。保证论证必须针对统计性行为重新构建,而大多数团队并不掌握做到这一点的方法。
公告机构会拒绝未经记录的 ML。一个在确认中表现优异、却缺少危害分析、需求分解和可追溯证据链的模型,将无法通过合格评定——性能是必要条件,但远远不够。
证据必须从一开始就被工程化,而非在末尾拼凑。把安全论证事后加装到一个并非为产出证据而构建的系统上,是发现标准要求为何物的最昂贵方式。
映射至治理你所在领域的标准——ISO 26262(汽车)、DO-178C/EASA(航空航天)、IEC 61508(工业)、ISO 13482(服务机器人)——并界定到一项明确的系统功能范围。
执行 HARA(或所在领域的等效流程):识别危害,评估暴露度/可控性/严重度,并推导出公告机构将提出的风险分类问题——而不预先替他们决定所评定的等级。
将安全目标分解为功能安全需求和技术安全需求,并分配到整个架构上,包括 ML 元件及其安全机制、监控器和回退方案。
构建结构化的保证论证(如 GSN),将论点与证据相互关联,使安全推理变得明确且可审查,而非隐含且仅靠断言。
定义并汇集验证与确认证据,以及从需求到测试的可追溯性矩阵,使技术文件完整且随时可供审计。
汽车 OEM 与 Tier-1(ISO 26262)、航空航天与国防主承包商(DO-178C/EASA)、工业与机器人集成商(IEC 61508、ISO 10218/13482),以及在那些安全事故属于监管与责任事件、而非缺陷工单的功能中部署 ML 的能源运营商。适合那些已拥有可运行模型、如今必须证明其安全的团队。
不会。由公告机构或经认可的评定方负责评定安全等级并对系统进行认证。我负责工程化安全论证以及他们所评估的证据链——危害分析、需求分解、保证论证以及验证与确认的可追溯性。声称能做到其他更多,是不诚实的,而公告机构也会识破。
依据治理你所在领域的那一项——汽车依据 ISO 26262,航空航天依据 DO-178C/EASA,工业功能安全依据 IEC 61508,机器人依据 ISO 10218/13482。合作的第一步即确立所适用的标准与系统边界。
EU AI Act 合规关乎该法规的治理与文档义务。而功能安全认证是一套独立的、更古老也更深入的体系,关乎机器的物理安全。一个安全关键型 AI 系统通常两者都需要;本服务即其中功能安全的那一半。
30 分钟。我会诊断你的处境,坦诚告诉你这项服务是否合适——如果不合适,什么才合适。