汽车功能安全领域有个长期悬而未决的问题:工程师算出来的故障覆盖率,到底准不准?博世(Robert Bosch GmbH)3月发布的一篇技术论文给出了新思路——把误差传播理论(Error Propagation Theory)塞进FMEDA框架,让SPFM(单点故障度量)和LFM(潜伏故障度量)这两个关键指标终于有了"误差范围"。
这相当于给安全分析结果加了一个"置信区间",工程师能直接看到:我的计算偏差最大可能有多少,以及该优先优化哪个输入参数。
传统FMEDA的痛点:算得精,但不知道准不准
FMEDA(失效模式、影响及诊断分析)是ISO 26262功能安全标准的核心工具。芯片厂商靠它计算SPFM和LFM,证明产品满足ASIL等级要求。但这两个指标的计算依赖两个关键输入:失效模式分布(FMD)和诊断覆盖率(DC)。
问题就出在这里。FMD来自手册数据或专家估计,DC来自测试或分析,两者都有不确定性。传统做法是给个单点数值,比如"SPFM=99.2%",但这个数字背后藏了多少误差?没人知道。
论文作者Armato、Kehl和Fischer指出,这种"未量化的不确定性"导致两个后果:一是分析质量无法客观评估,二是优化方向只能靠经验猜测。用他们的话说,这"损害了安全分析的质量"。
误差传播理论的引入:从单点值到区间估计
博世团队的做法是借用数学中的误差传播方法。核心思想很简单:如果输入参数有误差,输出结果必然也有误差,而且可以通过公式把误差"传递"过去。
具体实现分三步。第一步,为FMD和DC的每个分量定义最大可能偏差。第二步,用误差传播公式计算SPFM和LFM的对应偏差区间。第三步,引入一个叫EII(Error Importance Identifier,误差重要性标识符)的指标,量化每个输入对最终误差的贡献度。
EII是这套方法的关键创新。它告诉工程师:与其盲目优化所有参数,不如先搞定那个对结果影响最大的"短板"。
论文给出的案例显示,某些FMD分量的误差对SPFM的影响被放大数倍,而另一些分量几乎无影响。这种"敏感度排序"让资源投入有了明确优先级。
对行业的实际意义:合规审计有了新抓手
ISO 26262要求安全分析具备"可追溯性"和"可验证性",但对"不确定性如何处理"一直语焉不详。博世的论文直接回应了这个灰色地带。
对芯片厂商来说,带置信区间的FMEDA报告能在第三方审计时提供更强说服力——不是"我们相信这个数字",而是"这个数字的偏差不超过X%,且主要来源是Y"。
对主机厂和Tier 1来说,这套方法提供了评估供应商分析质量的客观标准。比较两家供应商的SPFM时,单看数值高低可能误导,结合置信区间宽度才能判断谁更可靠。
论文提到,该方法已在博世内部ASIC验证流程中试点应用。作者没有披露具体产品案例,但强调这"显著提升了FMEDA的透明度和可信度"。
技术边界:不是万能药,但补上了关键缺口
需要明确的是,误差传播方法有其前提假设。它要求输入误差的分布特性已知或可归一化,对高度非线性的故障耦合场景可能失效。论文也承认,EII的计算复杂度随参数数量增加而上升,超大规模ASIC需要配合采样简化。
另一个局限是数据来源。FMD的误差范围从哪来?手册数据的置信度如何量化?论文建议结合实测统计和专家区间估计,但这部分仍依赖工程判断。换句话说,误差传播解决了"已知不确定性的传递"问题,但没解决"不确定性从哪来"的根本难题。
尽管如此,把数学工具系统性地引入功能安全量化分析,仍是该领域的一次方法论进步。此前行业更多关注"算得更准",博世这篇工作提醒从业者:先搞清楚"算得有多不准",可能比追求小数点后几位更有价值。
论文已于2026年3月发布在arXiv,编号arXiv:2603.21770。三位作者均来自博世集团,研究方向覆盖功能安全、ASIC验证和可靠性工程。这是博世近年在汽车电子安全方法论上的又一篇公开技术输出。
功能安全社区对这个"老问题的新解法"反应如何?论文结尾没有给出第三方评价,但留下了一个开放的技术问题:当置信区间本身也带有估计误差时,是否需要第二层误差分析——也就是"误差的误差"?
热门跟贴