博世把誤差理論塞進(jìn)FMEDA：汽車(chē)芯片安全計(jì)算有了"置信區(qū)間"

汽車(chē)功能安全領(lǐng)域有個(gè)長(zhǎng)期懸而未決的問(wèn)題：工程師算出來(lái)的故障覆蓋率，到底準(zhǔn)不準(zhǔn)？博世（Robert Bosch GmbH）3月發(fā)布的一篇技術(shù)論文給出了新思路——把誤差傳播理論（Error Propagation Theory）塞進(jìn)FMEDA框架，讓SPFM（單點(diǎn)故障度量）和LFM（潛伏故障度量）這兩個(gè)關(guān)鍵指標(biāo)終于有了"誤差范圍"。

這相當(dāng)于給安全分析結(jié)果加了一個(gè)"置信區(qū)間"，工程師能直接看到：我的計(jì)算偏差最大可能有多少，以及該優(yōu)先優(yōu)化哪個(gè)輸入?yún)?shù)。

傳統(tǒng)FMEDA的痛點(diǎn)：算得精，但不知道準(zhǔn)不準(zhǔn)

FMEDA（失效模式、影響及診斷分析）是ISO 26262功能安全標(biāo)準(zhǔn)的核心工具。芯片廠商靠它計(jì)算SPFM和LFM，證明產(chǎn)品滿足ASIL等級(jí)要求。但這兩個(gè)指標(biāo)的計(jì)算依賴兩個(gè)關(guān)鍵輸入：失效模式分布（FMD）和診斷覆蓋率（DC）。

問(wèn)題就出在這里。FMD來(lái)自手冊(cè)數(shù)據(jù)或?qū)＜夜烙?jì)，DC來(lái)自測(cè)試或分析，兩者都有不確定性。傳統(tǒng)做法是給個(gè)單點(diǎn)數(shù)值，比如"SPFM=99.2%"，但這個(gè)數(shù)字背后藏了多少誤差？沒(méi)人知道。

論文作者Armato、Kehl和Fischer指出，這種"未量化的不確定性"導(dǎo)致兩個(gè)后果：一是分析質(zhì)量無(wú)法客觀評(píng)估，二是優(yōu)化方向只能靠經(jīng)驗(yàn)猜測(cè)。用他們的話說(shuō)，這"損害了安全分析的質(zhì)量"。

誤差傳播理論的引入：從單點(diǎn)值到區(qū)間估計(jì)

博世團(tuán)隊(duì)的做法是借用數(shù)學(xué)中的誤差傳播方法。核心思想很簡(jiǎn)單：如果輸入?yún)?shù)有誤差，輸出結(jié)果必然也有誤差，而且可以通過(guò)公式把誤差"傳遞"過(guò)去。

具體實(shí)現(xiàn)分三步。第一步，為FMD和DC的每個(gè)分量定義最大可能偏差。第二步，用誤差傳播公式計(jì)算SPFM和LFM的對(duì)應(yīng)偏差區(qū)間。第三步，引入一個(gè)叫EII（Error Importance Identifier，誤差重要性標(biāo)識(shí)符）的指標(biāo)，量化每個(gè)輸入對(duì)最終誤差的貢獻(xiàn)度。

EII是這套方法的關(guān)鍵創(chuàng)新。它告訴工程師：與其盲目?jī)?yōu)化所有參數(shù)，不如先搞定那個(gè)對(duì)結(jié)果影響最大的"短板"。

論文給出的案例顯示，某些FMD分量的誤差對(duì)SPFM的影響被放大數(shù)倍，而另一些分量幾乎無(wú)影響。這種"敏感度排序"讓資源投入有了明確優(yōu)先級(jí)。

對(duì)行業(yè)的實(shí)際意義：合規(guī)審計(jì)有了新抓手

ISO 26262要求安全分析具備"可追溯性"和"可驗(yàn)證性"，但對(duì)"不確定性如何處理"一直語(yǔ)焉不詳。博世的論文直接回應(yīng)了這個(gè)灰色地帶。

對(duì)芯片廠商來(lái)說(shuō)，帶置信區(qū)間的FMEDA報(bào)告能在第三方審計(jì)時(shí)提供更強(qiáng)說(shuō)服力——不是"我們相信這個(gè)數(shù)字"，而是"這個(gè)數(shù)字的偏差不超過(guò)X%，且主要來(lái)源是Y"。

對(duì)主機(jī)廠和Tier 1來(lái)說(shuō)，這套方法提供了評(píng)估供應(yīng)商分析質(zhì)量的客觀標(biāo)準(zhǔn)。比較兩家供應(yīng)商的SPFM時(shí)，單看數(shù)值高低可能誤導(dǎo)，結(jié)合置信區(qū)間寬度才能判斷誰(shuí)更可靠。

論文提到，該方法已在博世內(nèi)部ASIC驗(yàn)證流程中試點(diǎn)應(yīng)用。作者沒(méi)有披露具體產(chǎn)品案例，但強(qiáng)調(diào)這"顯著提升了FMEDA的透明度和可信度"。

技術(shù)邊界：不是萬(wàn)能藥，但補(bǔ)上了關(guān)鍵缺口

需要明確的是，誤差傳播方法有其前提假設(shè)。它要求輸入誤差的分布特性已知或可歸一化，對(duì)高度非線性的故障耦合場(chǎng)景可能失效。論文也承認(rèn)，EII的計(jì)算復(fù)雜度隨參數(shù)數(shù)量增加而上升，超大規(guī)模ASIC需要配合采樣簡(jiǎn)化。

另一個(gè)局限是數(shù)據(jù)來(lái)源。FMD的誤差范圍從哪來(lái)？手冊(cè)數(shù)據(jù)的置信度如何量化？論文建議結(jié)合實(shí)測(cè)統(tǒng)計(jì)和專(zhuān)家區(qū)間估計(jì)，但這部分仍依賴工程判斷。換句話說(shuō)，誤差傳播解決了"已知不確定性的傳遞"問(wèn)題，但沒(méi)解決"不確定性從哪來(lái)"的根本難題。

盡管如此，把數(shù)學(xué)工具系統(tǒng)性地引入功能安全量化分析，仍是該領(lǐng)域的一次方法論進(jìn)步。此前行業(yè)更多關(guān)注"算得更準(zhǔn)"，博世這篇工作提醒從業(yè)者：先搞清楚"算得有多不準(zhǔn)"，可能比追求小數(shù)點(diǎn)后幾位更有價(jià)值。

論文已于2026年3月發(fā)布在arXiv，編號(hào)arXiv:2603.21770。三位作者均來(lái)自博世集團(tuán)，研究方向覆蓋功能安全、ASIC驗(yàn)證和可靠性工程。這是博世近年在汽車(chē)電子安全方法論上的又一篇公開(kāi)技術(shù)輸出。

功能安全社區(qū)對(duì)這個(gè)"老問(wèn)題的新解法"反應(yīng)如何？論文結(jié)尾沒(méi)有給出第三方評(píng)價(jià)，但留下了一個(gè)開(kāi)放的技術(shù)問(wèn)題：當(dāng)置信區(qū)間本身也帶有估計(jì)誤差時(shí)，是否需要第二層誤差分析——也就是"誤差的誤差"？