博世把誤差傳播理論塞進FMEDA，汽車芯片安全計算要變天

汽車芯片的安全分析，過去像用一把沒有刻度的尺子量體溫——讀數有了，但準不準全靠手感。

博世（Robert Bosch）3月發布的一篇技術論文，給這把尺子刻上了毫米級刻度。他們把誤差傳播理論（Error Propagation Theory）嵌進了FMEDA（失效模式、影響與診斷分析）框架，讓單點故障度量（SPFM）和潛伏故障度量（LFM）這兩個關鍵安全指標，第一次有了可量化的置信區間。

FMEDA的"黑箱"困境：專家拍腦袋，結果沒法驗

做過ISO 26262功能安全認證的工程師都懂，FMEDA是汽車電子系統的"體檢報告"。它要算兩個數：SPFM看單點故障會不會直接導致危險，LFM看系統能不能及時發現并處理潛伏故障。

但這兩個數的計算，長期依賴兩個手工填寫的參數：失效模式分布（FMD）和診斷覆蓋率（DC）。前者是各種失效類型占比的估計，后者是安全機制能抓住多少故障的估計。

問題就出在這里——這兩個估計都是人填的。

博世團隊在論文里直言：這種依賴"導致顯著且未量化的不確定性，并過度依賴專家判斷，損害安全分析質量"。翻譯成人話：不同工程師填的數可能差出幾倍，但報告上看起來都一樣"合規"。

更麻煩的是，ISO 26262標準本身沒告訴你怎么驗證這些估計的準確性。一個ASIL-D等級的芯片，SPFM要求≥99%，但如果輸入參數的誤差有±5%，實際達標了嗎？沒人知道。

誤差傳播理論：給不確定性"稱重"

博世的解法，是把大學物理實驗課上的誤差分析搬進了芯片安全領域。

誤差傳播理論的核心思想是：如果知道每個輸入變量的不確定范圍，就能算出最終結果的波動區間。比如用游標卡尺測零件，刻度精度±0.02mm，這個誤差會通過公式傳遞到體積計算結果里。

博世團隊把這個思路套在FMEDA上：

第一步，給FMD和DC的每個輸入值設定合理誤差范圍（比如±10%或±20%）；

第二步，用誤差傳播公式計算這些誤差如何"放大"或"抵消"在SPFM和LFM結果中；

第三步，輸出兩個關鍵信息：最大偏差值（最壞情況離標稱值多遠）和置信區間（有95%把握的真實值落在哪）。

論文作者Antonino Armato、Christian Kehl和Sebastian Fischer在摘要里寫道：這種方法"為分析質量提供了直接度量"。

換句話說，以前只能回答"達標了嗎"，現在能回答"有多確定達標"。

Error Importance Identifier：揪出"罪魁禍首"

知道結果有波動只是第一步。博世還設計了一個叫EII（誤差重要性標識符）的工具，專門回答：哪個輸入參數對最終結果的不確定性貢獻最大？

這相當于給FMEDA裝了一個"診斷儀"。如果SPFM的置信區間太寬，EII能指出是某個失效模式的分布估計太粗糙，還是某條診斷鏈路的覆蓋率數據不可靠。工程師可以針對性優化，而不是盲目重做整個分析。

論文把EII比作"指導針對性改進的指南針"——資源有限時，知道往哪使勁比瞎忙更重要。

這個設計很產品經理思維：不是只給結論，而是給可行動的洞察。

行業影響：從"合規交差"到"質量可證"

博世這篇論文的發布時間點是2026年3月，但解決的問題已經困擾功能安全社區多年。ISO 26262從2011年第一版到2018年第二版，FMEDA的計算方法基本沒變，不確定性的處理一直是灰色地帶。

現在有了可量化的置信區間，至少帶來三個連鎖反應：

芯片廠商和Tier1供應商的扯皮會減少。以前甲方質疑乙方的FMEDA結果，乙方只能回一句"我們專家有經驗"。現在可以攤開來談：你的輸入誤差假設是什么？置信區間能不能接受？

第三方審核機構有了抓手。TüV萊茵、SGS這些認證機構，過去很難驗證FMEDA的內在質量，只能看文檔齊不齊。未來可能要求提交誤差分析報告，就像現在要求看測試覆蓋率報告一樣。

工具鏈廠商會跟進。Vector、Medini、Ansys這些做功能安全軟件的公司，大概率會把誤差傳播計算做成內置功能。畢竟博世已經打了樣，市場需求擺在那里。

當然，新方法也有代價。引入誤差分析意味著更多前期工作量，小團隊可能覺得負擔加重。但論文作者認為，這是從"交差文化"轉向"質量文化"的必要成本。

博世自己就是ASIL-D芯片的大戶，從制動系統到域控制器，內部需求足夠驅動這種底層方法的革新。論文掛在arXiv上（編號2603.21770），意味著他們愿意把方法公開，推動行業整體水位上漲。

當芯片安全從"差不多就行"變成"差多少必須說清楚"，你覺得車企和供應商，誰會更先睡不著覺？