Voor een semiconductor-engineeringorganisatie staat het software-deliveryvraagstuk niet langer naast het hardwarevraagstuk. Het is het hardwarevraagstuk. Een modern multi-die onderdeel coördineert firmware, EDA-scripting, driverstacks, embedded software, verificatieomgevingen en HPC-infrastructuur over tientallen teams heen, en de discipline waarmee die software wordt gebouwd, gevalideerd en uitgebracht bepaalt nu het plafond voor hoe snel en hoe veilig silicium de fab bereikt. De kernspanning waarmee engineering directors op ASML-schaal te maken hebben, is deze: de knoppen die snelheid beloven (AI-ondersteuning, meer tooling, meer parallellisme) tasten de delivery-betrouwbaarheid actief aan, tenzij de onderliggende platform- en SDLC-fundamenten volwassen zijn. Snelheid zonder discipline is geen throughput. Het is opgehoopt risico dat naar boven komt in het duurste deel van de cyclus.
AI is een versterker, geen oplossing, voor delivery-stabiliteit
AI-ondersteuning bij het programmeren is inmiddels zo goed als universeel. Het DORA-rapport 2025, gebaseerd op ongeveer 5.000 professionals, stelde vast dat 90% van de respondenten AI op het werk gebruikt en dat meer dan 80% productiviteitswinst rapporteert. Dat is de kop waar de meeste leidinggevenden zich aan vastklampen. De bevinding die meer gewicht heeft voor een director die verantwoordelijk is voor delivery, is de tweede helft: AI-adoptie laat een positieve relatie met throughput en een negatieve relatie met software delivery-stabiliteit zien. DORA's eigen framing is dat AI een versterker is. Het vergroot wat er al aan fundament ligt uit, zodat teams met zwakke versiebeheer, dunne geautomatiseerde tests, trage feedback en grote batchgroottes zien dat AI de change-failure rate en instabiliteit de verkeerde kant op duwt.
Het mechanisme is zichtbaar in de cijfers. Naarmate AI het changevolume opvoert, rapporteert de analyse van Faros AI van de DORA-bevindingen incidenten per pull request met ongeveer 243% omhoog en PR-reviewtijd met ongeveer 91% omhoog wanneer het changevolume zonder controles stijgt. DORA's 2025 year-in-review onderstreept dit punt: hoog AI-gebruik gaat samen met laag vertrouwen in door AI gegenereerde code, en de lifecycle profiteert pas wanneer het fundament solide is. Voor een organisatie die firmware en embedded software over veel teams heen coördineert, vertaalt dit zich direct. Meer gegenereerde code zonder een overeenkomstige verbetering in testdekking, kleine batchgroottes en kwalitatief goede interne platforms betekent meer regressies die later worden ontdekt, wanneer ze het meest kosten. De remedie is niet minder AI-licenties. Het is de platform- en DevOps-volwassenheid die ervoor zorgt dat de throughput van AI cumuleert in plaats van destabiliseert.
Engineers verliezen een dag per week aan toil, en AI geeft die niet terug
De tweede structurele lekkage is frictie. Het Atlassian Developer Experience Report 2025, gebaseerd op 3.500 developers en managers in zes landen, stelde vast dat 50% van de developers 10 uur of meer per week verliest en 90% 6 uur of meer per week verliest aan organisatorische inefficiënties: wachten op builds, het opzetten van omgevingen, het vinden van documentatie en API's, en context-switching tussen tools. De valkuil is dat 68% met AI 10 uur of meer per week bespaart, maar ongeveer hetzelfde bedrag meteen weer kwijtraakt aan procesfrictie. Atlassian noemt dit een schijnbesparing, en dat label is precies.
In semiconductor engineering is de tol zwaarder dan in een puur softwarebedrijf, omdat de frictie niet alleen procesoverhead is. Het zijn langlopende regressiesuites, formele-verificatiejobs, emulatie- en FPGA-wachtrijen, en triljoenen simulatiecycli die concurreren om HPC-capaciteit. Wanneer de onderliggende tijdsbesteding al zo ver afwijkt van programmeren, cumuleert de kloof. Daarnaast vond IDC-onderzoek dat door InfoWorld werd gerapporteerd dat applicatieontwikkeling slechts ongeveer 16% van de tijd van developers besloeg, terwijl de rest opging aan operationele en supporttaken. De implicatie voor een engineering director is een argument over lead time en kosten, geen kwestie van comfort. Het terugwinnen van een dag per engineer per week behoort tot de betrouwbaarheidsinvesteringen met de hoogste ROI die beschikbaar zijn, en de knop is intern developer platforms en self-service tooling die builds, omgevingen en verificatiejobs snel en wrijvingsloos maken, niet extra AI-licenties bovenop een trage pipeline.
Chip-IP is een nation-state target, en de toolchain is het aanvalsoppervlak
Chipontwerpen, EDA-bestanden en procesdata behoren tot het meest waardevolle intellectuele eigendom dat bestaat, en ze staan onder voortdurende, escalerende aanval. De CloudSEK-bevindingen "Silicon Under Siege" zoals gerapporteerd door CSO Online zetten cyberaanvallen op de semiconductor-industrie sinds 2022 meer dan 600% hoger, met bevestigde ransomwareverliezen van meer dan $1,05 miljard sinds 2018. Het detail dat SDLC-security als delivery-zorg in een ander licht zou moeten stellen, is de vector. In juli 2025 infiltreerde het door China gesteunde APT41 ten minste zes semiconductor-organisaties en exfiltreerde honderden gigabytes aan IP, en een aan TSMC gerelateerde productiestop in 2023 werd geschat op een verlies van $256 miljoen.
Cruciaal is dat het aanvalsoppervlak nu expliciet de software supply chain omvat: gecompromitteerde software-updates en EDA-vendor-breaches, niet alleen de netwerkperimeter. Dat betekent dat de engineering-toolchain zelf, de CI/CD-pipeline die firmware bouwt en design-artefacten samenstelt, een primair doelwit is. Provenance van build-artefacten, gehardende pipelines, secrets management, gesignde en geverifieerde dependencies, en strak gecontroleerde toegang tot design-repositories zijn niet langer hardening-luxes. Het zijn basisvereisten. Security moet in de pipeline worden ingebouwd in plaats van er achteraf op te worden geschroefd, wat onmiskenbaar een DevSecOps- en platform-engineering-mandaat is dat een engineering director, en niet alleen een CISO, in handen heeft.
De EU Cyber Resilience Act maakt compliance tot een pipelinevraagstuk
Regelgeving dicht de kloof tussen intentie en verplichting. De EU Cyber Resilience Act geldt voor producten met digitale elementen die in de EU worden verkocht, wat een groot deel van de semiconductor- en embedded-systems-waardeketen omvat, en de eisen zijn juridisch bindend. Volgens de CRA-compliancehandleiding van Mend.io verplicht de wet machine-leesbare SBOMs in CycloneDX- of SPDX-formaat, secure-by-design engineering, gecoördineerde openbaarmaking van kwetsbaarheden, en security-updates gedurende de hele levensduur van het product. De tijdlijn is concreet en nabij: rapportageverplichtingen beginnen op 11 september 2026 met een vroege waarschuwing binnen 24 uur en een volledige melding binnen 72 uur, volledige CE-markeringsconformiteit is vereist per 11 december 2027, en non-compliance kan boetes tot EUR 15 miljoen of 2,5% van de wereldwijde jaaromzet teweegbrengen.
Op ASML-schaal is dit handmatig halen onhaalbaar. Het enige werkbare model is SBOM-generatie, vulnerability scanning en het verzamelen van bewijs rechtstreeks ingebed in de build- en release-pipeline, zodat compliance-artefacten als bijproduct van elke build worden geproduceerd in plaats van achteraf onder auditdruk samengesteld te worden. Dat verandert een wettelijke verplichting in een platform-engineering- en CI/CD-automatiseringsvraagstuk, en de boetes maken het delivery-blokkerend in plaats van optioneel.
De complexiteit van co-development verschuift de differentiatie naar software
De complexiteit zelf escaleert. Moderne chiplet- en multi-die-systemen combineren compute-, geheugen- en I/O-componenten over verschillende procesnodes heen, en het product kan niet langer pas gevalideerd worden nadat het silicium terugkomt van de fab. De trendanalyse van HTEC beschrijft 2026 als het jaar waarin chipletarchitectuur van niche naar mainstream gaat, wat maatwerk mogelijk maakt dat met monolithische die-ontwerpen onpraktisch was. Pre-silicon-validatie, geschaald op cloud en HPC, is fundamenteel een software- en infrastructuurvraagstuk.
Dezelfde analyse maakt het strategische punt scherper: software, en niet silicium, bepaalt steeds vaker de mainstream-winnaars, het NVIDIA- en CUDA-patroon, terwijl slechts 44% van de semiconductor-organisaties AI volledig in alle functies heeft ingebed en 56% in pilots blijft steken. Het concurrentievoordeel verschuift naar het software-ecosysteem rondom het silicium, wat betekent dat engineeringorganisaties snelle, betrouwbare software-delivery in de pas met de hardware moeten draaien. Platform engineering en CI/CD voor hardware-nabije software is een strategische differentiator, geen back-officefunctie.
Hoe goed eruitziet
Over deze vijf drukpunten heen is het corrigerende werk consistent, en dat is het bemoedigende deel. Een gedisciplineerde semiconductor-engineeringorganisatie deelt doorgaans een herkenbaar profiel:
- Het fundament komt vóór de versneller. Sterk versiebeheer, geautomatiseerde tests, kleine batchgroottes en snelle feedback zijn eerst op orde, zodat AI stabiliteit versterkt in plaats van uitholt.
- Het interne platform vangt de toil op. Self-service builds, omgevingen en verificatiejobs winnen de verloren dag per engineer per week terug in plaats van die weer aan frictie weg te geven.
- Security en compliance zijn bijproducten van de pipeline. Artefact-provenance, gesignde dependencies, SBOM-generatie en bewijs van kwetsbaarheden worden bij elke build uitgestoten, niet onder audit- of incidentdruk gereconstrueerd.
- Hardware-ondersteunde verificatie wordt behandeld als eersteklas software-infrastructuur, geschaald en georkestreerd met dezelfde striktheid als de productie-release-pipeline.
Niets hiervan is exotisch. Het is de ongeglamoureerde discipline van volwassen SDLC en platform engineering, toegepast op een omgeving waar de kosten van een laat ontdekt defect worden gemeten in fab-cycli en kwartalen in plaats van een redeploy. De throughput is beschikbaar, de AI-hefboom is reëel, en de regelgevingsklok loopt. Wat bepaalt of die krachten cumuleren of botsen, is de kwaliteit van het fundament eronder, en dat fundament is precies het werk waar een engineering director verantwoordelijk voor is om goed te krijgen.
Bronnen
- Announcing the 2025 DORA Report: State of AI-Assisted Software Development - Google Cloud Blog (DORA)
- DORA 2025: Year in Review - DORA (Google Cloud)
- Key Takeaways from the DORA Report 2025 - Faros AI
- Atlassian Developer Experience Report 2025 - Atlassian
- Developers spend most of their time not coding - IDC report (InfoWorld)
- Silicon Under Siege: Nation-state hackers target semiconductor supply chains - CSO Online (citing CloudSEK)
- EU Cyber Resilience Act: 2026 Compliance Guide - Mend.io
- Key Trends Shaping the Semiconductor Industry in 2026 - Edge AI and Vision Alliance (reprinted from HTEC)
