博世把誤差傳播塞進FMEDA，汽車芯片驗證省了3成返工

汽車芯片的安全驗證，長期靠老師傅拍腦袋。博世最新論文顯示，他們把誤差傳播理論塞進FMEDA框架，讓SPFM（單點故障度量）和LFM（潛在故障度量）首次有了置信區(qū)間。這套方法能把分析質(zhì)量的不確定性量化到小數(shù)點后兩位，直接對標ISO 26262的合規(guī)要求。

老師傅的"手感"成了最大變量

FMEDA（失效模式、影響及診斷分析）是汽車功能安全的標配工具。傳統(tǒng)做法里，失效模式分布（FMD）和診斷覆蓋率（DC）的估算高度依賴專家經(jīng)驗。一個資深工程師和一個新手，對同一顆芯片的SPFM評估可能差出15個百分點。

這種差異從未被正式計入。博世論文指出，傳統(tǒng)FMEDA的輸出是"點估計"——一個孤零零的數(shù)字，背后藏著大量未量化的不確定性。車企拿著這個數(shù)字做安全論證，相當于用模糊的地圖導(dǎo)航，出事才發(fā)現(xiàn)路是錯的。

誤差傳播理論的核心，是把每個輸入?yún)?shù)的誤差"翻譯"成最終指標的波動范圍。博世團隊用這套數(shù)學(xué)工具，給SPFM和LFM算出了最大偏差和置信區(qū)間。原本黑箱里的"手感"，變成了可審計的數(shù)字。

EII：給不確定性做CT掃描

知道結(jié)果有偏差只是第一步。博世論文的真正狠活，是提出了EII（誤差重要性標識符，Error Importance Identifier）。

這個工具像給不確定性做CT掃描。它能定位哪些輸入?yún)?shù)對最終結(jié)果的波動貢獻最大——是某個失效模式的分布估計不準？還是某塊診斷邏輯的覆蓋率算得太樂觀？工程師不用再全盤返工，而是精準打擊問題源頭。

論文作者Antonino Armato、Christian Kehl和Sebastian Fischer在arXiv預(yù)印本中披露，EII的引入讓FMEDA從"事后解釋"變成"事前預(yù)警"。驗證團隊可以在流片前識別高風(fēng)險假設(shè)，把資源集中在真正影響安全指標的地方。

對于動輒千萬顆出貨的汽車ASIC，這意味著驗證周期的實質(zhì)性壓縮，以及召回風(fēng)險的提前鎖定。

ISO 26262的合規(guī)缺口被填上

功能安全社區(qū)有個懸而未決的問題：FMEDA的結(jié)果到底多可信？ISO 26262要求"足夠置信"的安全分析，但從未定義"足夠"的量化標準。

博世的方案給出了可操作的路徑。置信區(qū)間的引入，讓不同供應(yīng)商、不同項目的FMEDA結(jié)果有了可比性。車企審計Tier 1的芯片時，不再只看最終數(shù)字，還能審查這個數(shù)字的"誤差條"有多寬。

論文發(fā)表于2026年3月，標題直戳痛點：《量化FMEDA安全指標的不確定性：一種面向ASIC驗證的誤差傳播方法》。三位作者均來自Robert Bosch GmbH，署名單位暗示這套方法已在內(nèi)部工具鏈中落地。

汽車電子的復(fù)雜度正在指數(shù)級攀升。一顆智能駕駛芯片可能集成數(shù)百個安全相關(guān)模塊，傳統(tǒng)FMEDA的手工估算早已觸及人力極限。博世把誤差傳播理論工程化，本質(zhì)上是用數(shù)學(xué)紀律替代經(jīng)驗主義——這對整個行業(yè)是降維打擊，還是對中小玩家的門檻抬高？