博世用3個公式把ASIL-D的漏洞算明白了

汽車芯片的安全認證，本質上是道數學題。但過去二十年，整個行業都在用"差不多"的心態解這道題。

博世（Robert Bosch GmbH）3月發布的技術論文，把誤差傳播理論（Error Propagation Theory）塞進了FMEDA（失效模式、影響和診斷分析）框架。這個改動不大，卻戳中了一個被刻意回避的問題：那些印在報告上的SPFM（單點故障指標）和LFM（潛伏故障指標）數字，到底有多少水分？

論文標題很學術——《量化FMEDA安全指標中的不確定性：一種用于增強ASIC驗證的誤差傳播方法》。但核心訴求很直白：讓車企知道，供應商給的安全數字，可信度到底幾何。

https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2026%2F0328%2F5231ce37j00tcl5ht001td000m800b4p.jpg&thumbnail=660x2147483647&quality=80&type=jpg

FMEDA的"黑箱"：專家拍腦袋，數字就上了

ISO 26262標準把功能安全分成了ASIL-A到ASIL-D四個等級。等級越高，對SPFM和LFM的要求越嚴苛。ASIL-D要求SPFM≥99%、LFM≥90%。

這些百分比看起來精確，實際計算過程卻充滿玄學。FMEDA依賴兩個輸入：失效模式分布（FMD）和診斷覆蓋率（DC）。前者回答"芯片哪個部位容易壞"，后者回答"壞了能不能及時發現"。

問題在于，這兩個輸入都靠人估。不同專家看同一塊芯片，FMD可能差出30%，DC的判定更是眾說紛紜。博世團隊在論文里寫得很克制：「這種依賴往往導致大量未量化的不確定性」。

翻譯一下：報告上的99%可能是98%，也可能是94%。但沒人告訴你誤差范圍，因為傳統FMEDA根本不算這個。

更麻煩的是，這種不確定性會傳染。SPFM和LFM的計算涉及多輪乘法和加權，輸入端的微小偏差，輸出端可能放大數倍。誤差傳播理論原本是物理實驗的標配，芯片行業卻長期視而不見。

https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2026%2F0328%2F5231ce37j00tcl5ht001td000m800b4p.jpg&thumbnail=660x2147483647&quality=80&type=jpg

博世的解法：給安全指標加"誤差條"

論文作者Antonino Armato、Christian Kehl和Sebastian Fischer提出的方案，相當于給每個FMEDA結果附上"置信區間"。

具體做法是：把FMD和DC的估計值視為隨機變量，賦予合理的誤差范圍，然后通過誤差傳播公式計算SPFM和LFM的最大可能偏差。最終輸出的不是單點數字，而是一個區間——比如"SPFM=99.2%±0.5%"。

這個改動讓安全分析從"達標/不達標"的二元判斷，變成了風險量化的連續光譜。車企可以據此決定：是接受這個精度，還是投入資源縮小誤差。

論文還埋了一個實用工具：誤差重要性識別器（EII）。它的作用是給FMEDA的每個輸入項打分，指出"哪個參數的估計誤差對最終結果影響最大"。

打個比方：傳統FMEDA像體檢報告只寫"健康"，博世的版本會標注"血壓正常，但血脂檢測的采樣誤差較大，建議復查"。

https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2026%2F0328%2F5231ce37j00tcl5ht001td000m800b4p.jpg&thumbnail=660x2147483647&quality=80&type=jpg

為什么是現在？芯片復雜度壓垮了舊工具

博世選在這個時間點出手，背景很清晰。先進制程的ASIC動輒百億晶體管，失效模式從幾十種膨脹到數千種。FMD的估計越來越像猜謎，DC的驗證需要跑海量仿真。

傳統FMEDA誕生于2000年代初期，當時的車規芯片還相對簡單。現在再用同一套方法，相當于用游標卡尺量納米結構——工具本身成了瓶頸。

論文提到，這種方法"解決了功能安全社區長期存在的開放性問題"。這個表述在學術寫作里算是高調了。潛臺詞是：行業里不是沒人意識到問題，而是沒人愿意第一個捅破窗戶紙。

畢竟，承認安全指標有誤差，等于承認過去的認證可能不夠嚴謹。博世作為Tier 1巨頭，有底氣掀桌，中小供應商跟不跟得起就是另一回事。

https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2026%2F0328%2F5231ce37j00tcl5ht001td000m800b4p.jpg&thumbnail=660x2147483647&quality=80&type=jpg

落地難點：不是技術，是利益

技術層面，誤差傳播理論的實現并不復雜。論文給出的公式都是經典方法，工程團隊復現難度不高。

真正的阻力在流程和商務。引入置信區間后，ASIL認證的談判空間被壓縮。過去雙方可以就"這個失效模式占比5%還是8%"扯皮半天，現在區間一擺，爭議變成數學問題。

對車企是好事：采購時有更硬的依據壓價。對芯片供應商是壓力：估計保守了顯得產品不行，估計激進了區間太寬過不了審。

博世把論文發在arXiv上，等于公開喊話。下一步要看ISO 26262標準組是否采納，以及競爭對手（英飛凌、恩智浦、瑞薩）如何回應。

一個細節值得玩味：論文署名三位作者，都來自博世中央研究院，沒有外部合作方。這種"單打獨斗"的發表策略，暗示該方法可能已在內部項目驗證，但尚未與車企聯合路測。

功能安全的終極悖論是：你很難證明一個安全系統真的安全，只能證明它滿足當時認知下的標準。博世的誤差傳播方法，至少讓"滿足標準"這件事變得更透明了。

當ASIL-D的99%變成99%±0.5%，車企是該慶幸終于看清了真相，還是該擔心過去的認證有多少類似的"±"被隱藏了？