汽车芯片的安全分析,过去像用一把没有刻度的尺子量体温——读数有了,但准不准全靠手感。
博世(Robert Bosch)3月发布的一篇技术论文,给这把尺子刻上了毫米级刻度。他们把误差传播理论(Error Propagation Theory)嵌进了FMEDA(失效模式、影响与诊断分析)框架,让单点故障度量(SPFM)和潜伏故障度量(LFM)这两个关键安全指标,第一次有了可量化的置信区间。
FMEDA的"黑箱"困境:专家拍脑袋,结果没法验
做过ISO 26262功能安全认证的工程师都懂,FMEDA是汽车电子系统的"体检报告"。它要算两个数:SPFM看单点故障会不会直接导致危险,LFM看系统能不能及时发现并处理潜伏故障。
但这两个数的计算,长期依赖两个手工填写的参数:失效模式分布(FMD)和诊断覆盖率(DC)。前者是各种失效类型占比的估计,后者是安全机制能抓住多少故障的估计。
问题就出在这里——这两个估计都是人填的。
博世团队在论文里直言:这种依赖"导致显著且未量化的不确定性,并过度依赖专家判断,损害安全分析质量"。翻译成人话:不同工程师填的数可能差出几倍,但报告上看起来都一样"合规"。
更麻烦的是,ISO 26262标准本身没告诉你怎么验证这些估计的准确性。一个ASIL-D等级的芯片,SPFM要求≥99%,但如果输入参数的误差有±5%,实际达标了吗?没人知道。
误差传播理论:给不确定性"称重"
博世的解法,是把大学物理实验课上的误差分析搬进了芯片安全领域。
误差传播理论的核心思想是:如果知道每个输入变量的不确定范围,就能算出最终结果的波动区间。比如用游标卡尺测零件,刻度精度±0.02mm,这个误差会通过公式传递到体积计算结果里。
博世团队把这个思路套在FMEDA上:
第一步,给FMD和DC的每个输入值设定合理误差范围(比如±10%或±20%);
第二步,用误差传播公式计算这些误差如何"放大"或"抵消"在SPFM和LFM结果中;
第三步,输出两个关键信息:最大偏差值(最坏情况离标称值多远)和置信区间(有95%把握的真实值落在哪)。
论文作者Antonino Armato、Christian Kehl和Sebastian Fischer在摘要里写道:这种方法"为分析质量提供了直接度量"。
换句话说,以前只能回答"达标了吗",现在能回答"有多确定达标"。
Error Importance Identifier:揪出"罪魁祸首"
知道结果有波动只是第一步。博世还设计了一个叫EII(误差重要性标识符)的工具,专门回答:哪个输入参数对最终结果的不确定性贡献最大?
这相当于给FMEDA装了一个"诊断仪"。如果SPFM的置信区间太宽,EII能指出是某个失效模式的分布估计太粗糙,还是某条诊断链路的覆盖率数据不可靠。工程师可以针对性优化,而不是盲目重做整个分析。
论文把EII比作"指导针对性改进的指南针"——资源有限时,知道往哪使劲比瞎忙更重要。
这个设计很产品经理思维:不是只给结论,而是给可行动的洞察。
行业影响:从"合规交差"到"质量可证"
博世这篇论文的发布时间点是2026年3月,但解决的问题已经困扰功能安全社区多年。ISO 26262从2011年第一版到2018年第二版,FMEDA的计算方法基本没变,不确定性的处理一直是灰色地带。
现在有了可量化的置信区间,至少带来三个连锁反应:
芯片厂商和Tier1供应商的扯皮会减少。以前甲方质疑乙方的FMEDA结果,乙方只能回一句"我们专家有经验"。现在可以摊开来谈:你的输入误差假设是什么?置信区间能不能接受?
第三方审核机构有了抓手。TÜV莱茵、SGS这些认证机构,过去很难验证FMEDA的内在质量,只能看文档齐不齐。未来可能要求提交误差分析报告,就像现在要求看测试覆盖率报告一样。
工具链厂商会跟进。Vector、Medini、Ansys这些做功能安全软件的公司,大概率会把误差传播计算做成内置功能。毕竟博世已经打了样,市场需求摆在那里。
当然,新方法也有代价。引入误差分析意味着更多前期工作量,小团队可能觉得负担加重。但论文作者认为,这是从"交差文化"转向"质量文化"的必要成本。
博世自己就是ASIL-D芯片的大户,从制动系统到域控制器,内部需求足够驱动这种底层方法的革新。论文挂在arXiv上(编号2603.21770),意味着他们愿意把方法公开,推动行业整体水位上涨。
当芯片安全从"差不多就行"变成"差多少必须说清楚",你觉得车企和供应商,谁会更先睡不着觉?
热门跟贴