汽车芯片的安全验证长期有个尴尬处境:工程师算出来的故障覆盖率,自己都不敢全信。博世(Robert Bosch)刚发的一篇技术论文,把误差传播理论(Error Propagation Theory)塞进了FMEDA(失效模式、影响及诊断分析)框架——这不是修修补补,是给整个计算逻辑换了底层。
FMEDA的老毛病:算得越细,心里越没底
ISO 26262功能安全标准强制要求汽车芯片通过SPFM(单点故障度量)和LFM(潜伏故障度量)两项考核。这两个指标的计算依赖两组输入:失效模式分布(FMD)和诊断覆盖率(DC)。
问题就出在这。FMD来自失效模式分析,DC来自故障注入测试或专家评估——两者都带着肉眼可见的不确定性。传统FMEDA把这两个数直接代入公式,输出一个精确到小数点后两位的"安全指标",却对误差从哪来、有多大只字不提。
博世团队在论文里打了个比方:这好比用一把刻度模糊的尺子量身高,读完数还要假装精确到毫米。
更麻烦的是,当SPFM或LFM不达标时,工程师不知道改哪。是FMD估偏了?还是DC测虚了?传统方法给不出答案,只能凭经验"哪里不对调哪里"。
误差传播理论进场:给不确定性"上户口"
博世的解法是把误差传播理论嵌入FMEDA计算流程。核心操作三步:量化输入参数的误差范围、追踪误差如何在公式中放大或缩小、最终输出带置信区间的安全指标。
具体而言,团队为FMD和DC分别设定最大偏差(Maximum Deviation),通过一阶泰勒展开推导SPFM和LFM的误差边界。最终报告不再是"SPFM=99.2%",而是"SPFM=99.2%±0.5%,置信度95%"。
这个±0.5%不是装饰,是分析质量的直接度量。区间越宽,说明输入数据越不可靠,工程师得回去补测试或重做分析;区间收窄,才能放心签字。
论文还埋了个实用工具:Error Importance Identifier(EII,误差重要性标识器)。EII会拆解SPFM/LFM的总误差,归因到每一个FMD或DC输入项。哪个参数"贡献"了80%的不确定性,一目了然。
博世用一颗真实的车规级ASIC验证了这套方法。结果显示,某些看似次要的失效模式,由于FMD估计偏差大,实际对最终指标波动的影响被严重低估。EII把这些问题参数标红,团队针对性补了故障注入测试,把SPFM的置信区间从±1.2%压到了±0.4%。
为什么现在才有人做?
误差传播理论本身不算新,物理学和工程测量用了几十年。但FMEDA的特殊性在于:它的输入不是单一测量值,而是分布估计+专家判断的混合体,误差建模复杂度高。
博世团队的突破在于把这套理论"翻译"成了功能安全工程师的工作语言。论文里所有公式都对应ISO 26262的现有流程,不需要推翻重来,而是给每个环节加装"误差传感器"。
一个细节值得玩味:论文把这套方法定位为"enhanced verification"(增强验证),而非"替代方案"。这意味着传统FMEDA的框架保留,但输出结果从"点估计"升级为"区间估计"——统计学里这叫区间推断,放到汽车安全领域,是首次系统级落地。
论文通讯作者Sebastian Fischer在引言里写道:「This addresses a longstanding open question in the functional safety community.」翻译过来:这行憋了很久的问题,终于被捅破了。
对行业意味着什么
车规芯片的复杂度在飙升。7nm以下工艺、AI加速单元、多核锁步架构——失效模式数量指数级增长,FMD和DC的估计难度同步飙升。传统FMEDA的"精确幻觉"越来越危险:一个被低估的误差,可能让量产后的芯片在极端场景下漏检关键故障。
博世的方案提供了一条中间道路:不追求输入数据的绝对精确(这几乎不可能),而是把不精确本身量化、可视化、可管理。
对于Tier 1和OEM,这意味着供应商的安全分析报告将附带"可信度说明书"。以前只能盲信99%的SPFM,现在可以追问:置信区间多宽?哪个参数最可疑?
对于芯片设计团队,EII相当于一张优先级清单。验证资源有限时,先修误差贡献最大的漏洞,投入产出比最高。
论文最后提到,该方法已用于博世内部多款ASIL-D级芯片的验证流程。arXiv预印本发布于2026年3月,正式同行评审还在进行中。功能安全社区的反应?一位匿名审稿人评论:「终于有人把统计严谨性带进了FMEDA,虽然公式多了几页,但值得。」
当汽车芯片的安全验证从"差不多就行"转向"差多少必须说清楚",博世这篇论文或许是个转折点——问题是,其他芯片厂商跟不跟?
热门跟贴