博世用3个公式把ASIL-D的漏洞算明白了

打开网易新闻 查看精彩图片

汽车芯片的安全认证，本质上是道数学题。但过去二十年，整个行业都在用"差不多"的心态解这道题。

博世（Robert Bosch GmbH）3月发布的技术论文，把误差传播理论（Error Propagation Theory）塞进了FMEDA（失效模式、影响和诊断分析）框架。这个改动不大，却戳中了一个被刻意回避的问题：那些印在报告上的SPFM（单点故障指标）和LFM（潜伏故障指标）数字，到底有多少水分？

论文标题很学术——《量化FMEDA安全指标中的不确定性：一种用于增强ASIC验证的误差传播方法》。但核心诉求很直白：让车企知道，供应商给的安全数字，可信度到底几何。

http://dingyue.ws.126.net/2026/0328/5231ce37j00tcl5ht001td000m800b4p.jpg

FMEDA的"黑箱"：专家拍脑袋，数字就上了

ISO 26262标准把功能安全分成了ASIL-A到ASIL-D四个等级。等级越高，对SPFM和LFM的要求越严苛。ASIL-D要求SPFM≥99%、LFM≥90%。

这些百分比看起来精确，实际计算过程却充满玄学。FMEDA依赖两个输入：失效模式分布（FMD）和诊断覆盖率（DC）。前者回答"芯片哪个部位容易坏"，后者回答"坏了能不能及时发现"。

问题在于，这两个输入都靠人估。不同专家看同一块芯片，FMD可能差出30%，DC的判定更是众说纷纭。博世团队在论文里写得很克制：「这种依赖往往导致大量未量化的不确定性」。

翻译一下：报告上的99%可能是98%，也可能是94%。但没人告诉你误差范围，因为传统FMEDA根本不算这个。

更麻烦的是，这种不确定性会传染。SPFM和LFM的计算涉及多轮乘法和加权，输入端的微小偏差，输出端可能放大数倍。误差传播理论原本是物理实验的标配，芯片行业却长期视而不见。

http://dingyue.ws.126.net/2026/0328/5231ce37j00tcl5ht001td000m800b4p.jpg

博世的解法：给安全指标加"误差条"

论文作者Antonino Armato、Christian Kehl和Sebastian Fischer提出的方案，相当于给每个FMEDA结果附上"置信区间"。

具体做法是：把FMD和DC的估计值视为随机变量，赋予合理的误差范围，然后通过误差传播公式计算SPFM和LFM的最大可能偏差。最终输出的不是单点数字，而是一个区间——比如"SPFM=99.2%±0.5%"。

这个改动让安全分析从"达标/不达标"的二元判断，变成了风险量化的连续光谱。车企可以据此决定：是接受这个精度，还是投入资源缩小误差。

论文还埋了一个实用工具：误差重要性识别器（EII）。它的作用是给FMEDA的每个输入项打分，指出"哪个参数的估计误差对最终结果影响最大"。

打个比方：传统FMEDA像体检报告只写"健康"，博世的版本会标注"血压正常，但血脂检测的采样误差较大，建议复查"。

http://dingyue.ws.126.net/2026/0328/5231ce37j00tcl5ht001td000m800b4p.jpg

为什么是现在？芯片复杂度压垮了旧工具

博世选在这个时间点出手，背景很清晰。先进制程的ASIC动辄百亿晶体管，失效模式从几十种膨胀到数千种。FMD的估计越来越像猜谜，DC的验证需要跑海量仿真。

传统FMEDA诞生于2000年代初期，当时的车规芯片还相对简单。现在再用同一套方法，相当于用游标卡尺量纳米结构——工具本身成了瓶颈。

论文提到，这种方法"解决了功能安全社区长期存在的开放性问题"。这个表述在学术写作里算是高调了。潜台词是：行业里不是没人意识到问题，而是没人愿意第一个捅破窗户纸。

毕竟，承认安全指标有误差，等于承认过去的认证可能不够严谨。博世作为Tier 1巨头，有底气掀桌，中小供应商跟不跟得起就是另一回事。

http://dingyue.ws.126.net/2026/0328/5231ce37j00tcl5ht001td000m800b4p.jpg

落地难点：不是技术，是利益

技术层面，误差传播理论的实现并不复杂。论文给出的公式都是经典方法，工程团队复现难度不高。

真正的阻力在流程和商务。引入置信区间后，ASIL认证的谈判空间被压缩。过去双方可以就"这个失效模式占比5%还是8%"扯皮半天，现在区间一摆，争议变成数学问题。

对车企是好事：采购时有更硬的依据压价。对芯片供应商是压力：估计保守了显得产品不行，估计激进了区间太宽过不了审。

博世把论文发在arXiv上，等于公开喊话。下一步要看ISO 26262标准组是否采纳，以及竞争对手（英飞凌、恩智浦、瑞萨）如何回应。

一个细节值得玩味：论文署名三位作者，都来自博世中央研究院，没有外部合作方。这种"单打独斗"的发表策略，暗示该方法可能已在内部项目验证，但尚未与车企联合路测。

功能安全的终极悖论是：你很难证明一个安全系统真的安全，只能证明它满足当时认知下的标准。博世的误差传播方法，至少让"满足标准"这件事变得更透明了。

当ASIL-D的99%变成99%±0.5%，车企是该庆幸终于看清了真相，还是该担心过去的认证有多少类似的"±"被隐藏了？