汽车芯片的安全验证,长期以来像一场"猜重量"游戏——工程师们估算故障分布和诊断覆盖率,然后祈祷这些数字别太离谱。博世(Robert Bosch GmbH)3月发布的一篇技术论文,试图给这场游戏加上误差条。
论文标题直截了当:《量化FMEDA安全指标的不确定性:一种用于增强ASIC验证的误差传播方法》。核心主张是:传统FMEDA(失效模式、影响和诊断分析)算出的单点故障指标(SPFM)和潜伏故障指标(LFM),其实藏着大量未被量化的不确定性,而博世的方案能把它显式标出来。
FMEDA的老毛病:精确数字,模糊底气
做过功能安全的人都知道这个场景。你对着Excel表格填故障模式分布(FMD),某个模块的"开路"占40%、"短路"占35%、剩下25%丢给"其他"。这些数字从哪来?有些来自手册,有些来自经验,有些来自——「我觉得合理」。
诊断覆盖率(DC)也一样。你设计了一套安全机制,然后拍脑袋说"这个能覆盖90%的故障"。90%?为什么不是85%或95%?文档里往往语焉不详。
博世团队在论文里点破了这个尴尬:传统FMEDA把估算误差当成黑箱吞下去,输出一个看起来精确的SPFM/LFM数值,却不告诉你这个数有多可信。对于ISO 26262合规来说,这是颗定时炸弹——审计时没问题,量产时可能暴雷。
论文作者Armato、Kehl和Fischer把问题追溯到误差传播理论的缺失。FMD和DC的输入不确定性,会像滚雪球一样传导到最终的安全指标,但传统方法完全不量化这个传导过程。
误差传播的解法:给不确定性画个框
博世的方案分两步走。第一步,用误差传播理论计算SPFM和LFM的最大偏差,并给出置信区间。换句话说,不再输出"SPFM=99.2%"这种单点数值,而是"SPFM=99.2%±0.8%,置信度95%"。
第二步更实用:引入一个"误差重要性标识符"(EII, Error Importance Identifier),自动定位哪些输入参数对最终不确定性的贡献最大。
「EII指导有针对性的改进」,论文里这句话藏着产品经理的直觉——资源永远有限,你得知道往哪砸。如果某个故障模式的分布估算对SPFM波动贡献70%,那就优先去测它,而不是平均用力。
这个方法论的巧妙之处在于不颠覆现有流程。FMEDA的框架还在,只是每个输入格子后面多了一列误差项,输出端多了一层统计包装。对于已经跑通ISO 26262流程的厂商,迁移成本相对可控。
为什么现在?ASIC的复杂度逼到墙角
博世选在这个节点发表论文,背景是汽车ASIC的验证压力在指数级上升。7nm、5nm制程的芯片里,晶体管数量动辄百亿,故障模式的组合爆炸让"专家判断"越来越像玄学。
功能安全社区里有个公开的秘密:不同团队对同一颗芯片做FMEDA,结果可能相差几个百分点。这几个百分点在ASIL-D级别(最高汽车安全完整性等级)就是生与死的区别。
论文提到,他们的方法「解决了功能安全社区中长期存在的开放性问题」。这个表述在学术写作里算高调,但放在行业语境下不算夸张——ISO 26262标准从2011年第一版到现在,确实没给不确定性量化提供操作性指南。
博世作为Tier 1巨头亲自下场做方法论,信号意义明显。这不像大学里的纯学术研究,而是带着自家芯片验证的血泪经验——论文里那些"unquantified uncertainties",八成是某次流片返工或客户审计时踩过的坑。
落地挑战:工具链和生态
技术方案再优雅,也得看能不能塞进工程师的日常工具。误差传播计算需要统计工具支持,EII需要敏感性分析的后端,这些都不是Excel能搞定的。
论文发表在arXiv,意味着博世可能还在观望产业界的反馈,或者等待EDA工具厂商跟进。Synopsys、Cadence的功能安全工具套件会不会集成类似能力?这是决定该方法普及速度的关键变量。
另一个潜在阻力是文化。汽车安全工程师习惯了"给出一个数字并捍卫它"的工作模式,现在要他们同时给出误差范围,心理上需要适应。审计方和认证机构的态度同样关键——如果TÜV们不认置信区间,博世的方案就只能停留在学术层面。
论文结尾的引用信息里藏着时间戳:2026年3月。这是预印本,正式发表可能还在走流程。博世选择提前公开,或许是想抢发话语权,也或许是在向供应链喊话——你们的安全验证方法论该升级了。
汽车芯片的军备竞赛里,功能安全正在从"合规 checkbox"变成"技术护城河"。当所有人都在堆算力、拼制程时,博世选择回到基础方法论上挖深沟——这招是务实,还是避战?
热门跟贴