汽车芯片的安全验证,长期活在一种"大概齐"的状态里。
工程师们算出来的单点故障度量(Single Point Fault Metric,单点故障指标)和潜伏故障度量(Latent Fault Metric,潜伏故障指标),看起来精确到小数点后两位,但输入数据从哪来、误差有多大,没人能说得准。博世(Robert Bosch GmbH)3月发的一篇技术论文,把这个黑箱撬开了一条缝——他们用误差传播理论(Error Propagation Theory,误差传递理论)重新改造了FMEDA(Failure Modes, Effects, and Diagnostic Analysis,失效模式影响及诊断分析)框架,让"不确定"本身变得可量化。
FMEDA的老毛病:输入是猜的,输出却当真理
传统FMEDA的计算逻辑并不复杂。你把每个失效模式的分布比例(Failure Mode Distribution,失效模式分布)和诊断覆盖率(Diagnostic Coverage,诊断覆盖率)填进去,公式会自动吐出SPFM和LFM两个数字。只要这两个数达标,ISO 26262的功能安全认证就能过。
问题是,FMD和DC这两个输入值,很大程度上依赖专家判断。
一个电阻的开路失效占比多少?是30%还是35%?诊断电路能覆盖多少故障?是90%还是95%?这些数字往往来自经验估计、历史数据或仿真样本,本身就有波动范围。但传统FMEDA把它们当成精确值处理,算出来的安全指标看似客观,实则埋着大量未量化的不确定性。
博世的工程师团队在论文里打了个比方:这就像是用一把刻度模糊的尺子量身高,读数精确到毫米,但尺子本身的误差可能超过厘米。
误差传播理论进场:给不确定性算一笔账
博世的新方法核心在于,把误差传播理论嵌进FMEDA的计算流程。
具体操作上,他们不再要求输入单个精确值,而是允许FMD和DC以区间形式存在——比如某个失效模式占比"30%±5%",诊断覆盖率"90%±3%"。误差传播公式会追踪这些初始不确定性如何在计算过程中放大或抵消,最终输出SPFM和LFM的置信区间,以及最大可能偏差。
换句话说,你拿到的不再是一个孤零零的百分比,而是一个范围——比如"SPFM=97.2%,置信区间95.5%-98.8%"。
这个区间宽度直接反映了分析质量。区间越窄,说明输入数据越可靠、计算越稳健;区间太宽,则提醒工程师回去补数据、做实验,而不是拿着一个虚假精确的数字去应付认证。
EII:揪出最大的那个"误差内鬼"
博世还设计了一个叫EII(Error Importance Identifier,误差重要性标识器)的工具。
它的作用是在众多输入参数中,识别哪些对最终结果的波动贡献最大。比如算出来SPFM的置信区间过宽,EII会告诉你:问题主要出在第三组失效模式的分布估计上,还是诊断覆盖率的某个子项上。
这改变了工程师的工作流——从"盲人摸象式地优化",变成"精准狙击"。
以前为了收窄安全指标的不确定性,团队可能被迫对所有输入参数做高精度实验,成本极高。现在EII能指出优先级,把有限资源砸在刀刃上。
论文作者Armato、Kehl和Fischer在摘要里写道,这种方法"显著提升了FMEDA的透明度和可信度",解决了功能安全领域"一个长期悬而未决的开放性问题"。
为什么偏偏是现在?
汽车芯片的复杂度在指数级上升。7nm、5nm制程的ASIC里,晶体管数量以百亿计,失效模式的数量和耦合关系远超十年前。与此同时,ISO 26262对ASIL-D(汽车安全完整性等级最高级)的要求越来越严,SPFM必须≥99%,LFM必须≥90%。
达标线越逼近物理极限,输入数据的微小误差就越容易被放大成认证风险。
博世的论文2026年3月发布在arXiv上,时机耐人寻味。一方面,车规级芯片的先进制程验证确实到了需要更精细工具的阶段;另一方面,这也可能是博世作为Tier 1巨头,试图在功能安全方法论层面建立技术话语权的一步——毕竟,谁定义了"如何量化不确定",谁就掌握了认证体系的解释权。
论文链接已公开,但真正的落地还要看工具链支持。把误差传播理论集成进现有的FMEDA软件,改动不小。Synopsys、Cadence这些EDA厂商会不会跟进?其他车企和芯片厂会不会采纳博世的方法作为内部标准?
功能安全社区等了多年的那个"开放性问题",现在有了答案的雏形——但答案本身,还需要更多工程实践来检验误差范围。
热门跟贴