博世把誤差理論塞進(jìn)汽車芯片：3個公式讓安全驗(yàn)證從"拍腦袋"變"算

汽車芯片的安全驗(yàn)證，長期有個灰色地帶。工程師填完FMEDA表格，算出個SPFM（單點(diǎn)故障度量）99.2%，心里其實(shí)沒底——這個數(shù)字從哪來？誤差有多大？沒人說得清。博世3月發(fā)的一篇技術(shù)論文，把這個"黑箱"撬開了一條縫。

他們往FMEDA里塞了一套誤差傳播理論，給安全指標(biāo)加上了置信區(qū)間。換句話說，以后報告里寫的不是"99.2%"，而是"99.2%±0.3%，置信度95%"。

FMEDA的老毛病：精確數(shù)字，模糊來源

功能安全工程師對FMEDA（故障模式、影響及診斷分析）又愛又恨。這是ISO 26262強(qiáng)制要求的安全分析方法，核心輸出兩個指標(biāo)：SPFM和LFM（潛伏故障度量）。

但這兩個指標(biāo)的計算基礎(chǔ)，長期依賴兩組"軟數(shù)據(jù)"：故障模式分布（FMD）和診斷覆蓋率（DC）。FMD告訴你"這類故障占總故障的百分之幾"，DC告訴你"我的安全機(jī)制能抓住百分之幾的故障"。

問題出在獲取方式上。FMD往往來自歷史數(shù)據(jù)或?qū)＜遗陌澹珼C則靠故障注入實(shí)驗(yàn)或工程師經(jīng)驗(yàn)估計。博世團(tuán)隊(duì)在論文里直言：這種依賴"導(dǎo)致大量未量化的不確定性，且過度依賴專家判斷"。

一個典型場景：某團(tuán)隊(duì)算出的SPFM是99.0%，但FMD的實(shí)際誤差可能有±10%，DC的估計偏差可能達(dá)±15%。把這些誤差疊進(jìn)去，真實(shí)值可能掉到97%，也可能沖到99.5%——但報告里只寫99.0%，仿佛這是個鐵事實(shí)。

誤差傳播：給不確定性"稱重"

博世的解法并不復(fù)雜，核心是把大學(xué)工科課本里的誤差傳播公式搬過來。假設(shè)SPFM是FMD和DC的函數(shù)，那么FMD和DC的方差，可以通過偏導(dǎo)數(shù)"傳播"到SPFM上。

具體操作上，團(tuán)隊(duì)做了三件事：

第一，量化最大偏差。給定輸入?yún)?shù)的誤差范圍，算出SPFM和LFM可能偏離多遠(yuǎn)。這不是蒙特卡洛模擬的統(tǒng)計分布，而是確定性的邊界估計，適合安全關(guān)鍵場景——工程師需要知道"最壞有多壞"。

第二，輸出置信區(qū)間。結(jié)合參數(shù)的概率分布，給出SPFM/LFM的置信區(qū)間。報告里可以寫"SPFM=99.2%，95%置信區(qū)間為[98.9%,99.5%]"，審核方一眼看懂可靠程度。

第三，也是最有工程價值的：Error Importance Identifier（誤差重要性標(biāo)識符，EII）。這個指標(biāo)量化每個輸入?yún)?shù)對最終不確定性的貢獻(xiàn)度。EII高的參數(shù)，就是該優(yōu)先砸資源改進(jìn)的地方。

「EII指導(dǎo)針對性改進(jìn)」，論文作者Antonino Armato、Christian Kehl和Sebastian Fischer寫道。以前工程師憑感覺優(yōu)化，現(xiàn)在看數(shù)字說話。

為什么現(xiàn)在才做？ASIC的復(fù)雜度逼的

誤差傳播理論本身不新。博世選擇現(xiàn)在落地，背景是汽車ASIC（專用集成電路）的復(fù)雜度爆炸。

域控制器、AI加速器、激光雷達(dá)信號鏈——這些芯片的故障模式數(shù)量比傳統(tǒng)MCU高兩個數(shù)量級。手工填FMEDA表格的時代過去了，自動化工具鏈成為剛需。而自動化的一大前提，是把"專家經(jīng)驗(yàn)"轉(zhuǎn)化為可計算的數(shù)學(xué)模型。

博世的方法論正好踩在這個轉(zhuǎn)折點(diǎn)上。它不推翻現(xiàn)有FMEDA流程，而是給流程加上"誤差層"，兼容ISO 26262的既有框架。對芯片團(tuán)隊(duì)來說，這意味著不用重寫安全手冊，就能獲得更透明的分析質(zhì)量。

論文提到一個細(xì)節(jié)：傳統(tǒng)FMEDA的"未量化不確定性"是功能安全社區(qū)長期存在的開放問題。博世的方案沒有徹底解決它——誤差傳播本身也依賴輸入?yún)?shù)的誤差估計——但至少把問題從"暗處"搬到了"明處"。

工程落地的微妙之處

讀這篇論文時，有個類比反復(fù)出現(xiàn)：FMEDA像一臺秤，以前只顯示重量，現(xiàn)在多了"誤差范圍"和"秤的精度等級"。

但秤的精度不是免費(fèi)的。要算誤差傳播，需要知道FMD和DC的方差或置信區(qū)間，而這些數(shù)據(jù)從哪來？論文沒回避這個問題：如果輸入?yún)?shù)的誤差本身也是拍腦袋，那輸出誤差就是"拍腦袋的平方"。

博世的應(yīng)對是分層處理。對于高EII的參數(shù)，要求更嚴(yán)格的統(tǒng)計基礎(chǔ)；對于低EII的參數(shù)，允許較寬松的估計。這是一種工程務(wù)實(shí)——不是追求完美，而是把有限的驗(yàn)證資源投到刀刃上。

另一個潛在爭議：最大偏差估計偏保守。安全關(guān)鍵行業(yè)喜歡保守，但過度保守可能導(dǎo)致芯片面積、功耗、成本的冗余設(shè)計。論文沒討論這個權(quán)衡，留給具體項(xiàng)目自己把握。

博世把代碼和實(shí)驗(yàn)數(shù)據(jù)放在了arXiv上（arXiv:2603.21770），標(biāo)題直截了當(dāng)：《量化FMEDA安全指標(biāo)的不確定性：一種用于增強(qiáng)ASIC驗(yàn)證的誤差傳播方法》。三作者均來自博世汽車電子部門，Christian Kehl的領(lǐng)英顯示他專注功能安全方法論多年。

這篇論文的引用量現(xiàn)在還很低，但有個信號值得關(guān)注：ISO 26262的下一版修訂已經(jīng)在討論中，不確定性量化是熱門議題之一。博世此時發(fā)布這套方法，時機(jī)選得相當(dāng)準(zhǔn)。

汽車芯片的安全驗(yàn)證，會從"算出一個數(shù)"變成"算出一個區(qū)間"嗎？博世的答案是：技術(shù)上已經(jīng)可行，剩下的看行業(yè)愿不愿意為透明度買單。