汽车芯片的安全验证,长期有个灰色地带。工程师填完FMEDA表格,算出个SPFM(单点故障度量)99.2%,心里其实没底——这个数字从哪来?误差有多大?没人说得清。博世3月发的一篇技术论文,把这个"黑箱"撬开了一条缝。
他们往FMEDA里塞了一套误差传播理论,给安全指标加上了置信区间。换句话说,以后报告里写的不是"99.2%",而是"99.2%±0.3%,置信度95%"。
FMEDA的老毛病:精确数字,模糊来源
功能安全工程师对FMEDA(故障模式、影响及诊断分析)又爱又恨。这是ISO 26262强制要求的安全分析方法,核心输出两个指标:SPFM和LFM(潜伏故障度量)。
但这两个指标的计算基础,长期依赖两组"软数据":故障模式分布(FMD)和诊断覆盖率(DC)。FMD告诉你"这类故障占总故障的百分之几",DC告诉你"我的安全机制能抓住百分之几的故障"。
问题出在获取方式上。FMD往往来自历史数据或专家拍板,DC则靠故障注入实验或工程师经验估计。博世团队在论文里直言:这种依赖"导致大量未量化的不确定性,且过度依赖专家判断"。
一个典型场景:某团队算出的SPFM是99.0%,但FMD的实际误差可能有±10%,DC的估计偏差可能达±15%。把这些误差叠进去,真实值可能掉到97%,也可能冲到99.5%——但报告里只写99.0%,仿佛这是个铁事实。
误差传播:给不确定性"称重"
博世的解法并不复杂,核心是把大学工科课本里的误差传播公式搬过来。假设SPFM是FMD和DC的函数,那么FMD和DC的方差,可以通过偏导数"传播"到SPFM上。
具体操作上,团队做了三件事:
第一,量化最大偏差。给定输入参数的误差范围,算出SPFM和LFM可能偏离多远。这不是蒙特卡洛模拟的统计分布,而是确定性的边界估计,适合安全关键场景——工程师需要知道"最坏有多坏"。
第二,输出置信区间。结合参数的概率分布,给出SPFM/LFM的置信区间。报告里可以写"SPFM=99.2%,95%置信区间为[98.9%,99.5%]",审核方一眼看懂可靠程度。
第三,也是最有工程价值的:Error Importance Identifier(误差重要性标识符,EII)。这个指标量化每个输入参数对最终不确定性的贡献度。EII高的参数,就是该优先砸资源改进的地方。
「EII指导针对性改进」,论文作者Antonino Armato、Christian Kehl和Sebastian Fischer写道。以前工程师凭感觉优化,现在看数字说话。
为什么现在才做?ASIC的复杂度逼的
误差传播理论本身不新。博世选择现在落地,背景是汽车ASIC(专用集成电路)的复杂度爆炸。
域控制器、AI加速器、激光雷达信号链——这些芯片的故障模式数量比传统MCU高两个数量级。手工填FMEDA表格的时代过去了,自动化工具链成为刚需。而自动化的一大前提,是把"专家经验"转化为可计算的数学模型。
博世的方法论正好踩在这个转折点上。它不推翻现有FMEDA流程,而是给流程加上"误差层",兼容ISO 26262的既有框架。对芯片团队来说,这意味着不用重写安全手册,就能获得更透明的分析质量。
论文提到一个细节:传统FMEDA的"未量化不确定性"是功能安全社区长期存在的开放问题。博世的方案没有彻底解决它——误差传播本身也依赖输入参数的误差估计——但至少把问题从"暗处"搬到了"明处"。
工程落地的微妙之处
读这篇论文时,有个类比反复出现:FMEDA像一台秤,以前只显示重量,现在多了"误差范围"和"秤的精度等级"。
但秤的精度不是免费的。要算误差传播,需要知道FMD和DC的方差或置信区间,而这些数据从哪来?论文没回避这个问题:如果输入参数的误差本身也是拍脑袋,那输出误差就是"拍脑袋的平方"。
博世的应对是分层处理。对于高EII的参数,要求更严格的统计基础;对于低EII的参数,允许较宽松的估计。这是一种工程务实——不是追求完美,而是把有限的验证资源投到刀刃上。
另一个潜在争议:最大偏差估计偏保守。安全关键行业喜欢保守,但过度保守可能导致芯片面积、功耗、成本的冗余设计。论文没讨论这个权衡,留给具体项目自己把握。
博世把代码和实验数据放在了arXiv上(arXiv:2603.21770),标题直截了当:《量化FMEDA安全指标的不确定性:一种用于增强ASIC验证的误差传播方法》。三作者均来自博世汽车电子部门,Christian Kehl的领英显示他专注功能安全方法论多年。
这篇论文的引用量现在还很低,但有个信号值得关注:ISO 26262的下一版修订已经在讨论中,不确定性量化是热门议题之一。博世此时发布这套方法,时机选得相当准。
汽车芯片的安全验证,会从"算出一个数"变成"算出一个区间"吗?博世的答案是:技术上已经可行,剩下的看行业愿不愿意为透明度买单。
热门跟贴