博世把誤差理論塞進FMEDA：汽車芯片安全計算有了"置信區間"

汽車功能安全領域有個長期懸而未決的問題：工程師算出來的故障覆蓋率，到底準不準？博世（Robert Bosch GmbH）3月發布的一篇技術論文給出了新思路——把誤差傳播理論（Error Propagation Theory）塞進FMEDA框架，讓SPFM（單點故障度量）和LFM（潛伏故障度量）這兩個關鍵指標終于有了"誤差范圍"。

這相當于給安全分析結果加了一個"置信區間"，工程師能直接看到：我的計算偏差最大可能有多少，以及該優先優化哪個輸入參數。

傳統FMEDA的痛點：算得精，但不知道準不準

FMEDA（失效模式、影響及診斷分析）是ISO 26262功能安全標準的核心工具。芯片廠商靠它計算SPFM和LFM，證明產品滿足ASIL等級要求。但這兩個指標的計算依賴兩個關鍵輸入：失效模式分布（FMD）和診斷覆蓋率（DC）。

問題就出在這里。FMD來自手冊數據或專家估計，DC來自測試或分析，兩者都有不確定性。傳統做法是給個單點數值，比如"SPFM=99.2%"，但這個數字背后藏了多少誤差？沒人知道。

論文作者Armato、Kehl和Fischer指出，這種"未量化的不確定性"導致兩個后果：一是分析質量無法客觀評估，二是優化方向只能靠經驗猜測。用他們的話說，這"損害了安全分析的質量"。

誤差傳播理論的引入：從單點值到區間估計

博世團隊的做法是借用數學中的誤差傳播方法。核心思想很簡單：如果輸入參數有誤差，輸出結果必然也有誤差，而且可以通過公式把誤差"傳遞"過去。

具體實現分三步。第一步，為FMD和DC的每個分量定義最大可能偏差。第二步，用誤差傳播公式計算SPFM和LFM的對應偏差區間。第三步，引入一個叫EII（Error Importance Identifier，誤差重要性標識符）的指標，量化每個輸入對最終誤差的貢獻度。

EII是這套方法的關鍵創新。它告訴工程師：與其盲目優化所有參數，不如先搞定那個對結果影響最大的"短板"。

論文給出的案例顯示，某些FMD分量的誤差對SPFM的影響被放大數倍，而另一些分量幾乎無影響。這種"敏感度排序"讓資源投入有了明確優先級。

對行業的實際意義：合規審計有了新抓手

ISO 26262要求安全分析具備"可追溯性"和"可驗證性"，但對"不確定性如何處理"一直語焉不詳。博世的論文直接回應了這個灰色地帶。

對芯片廠商來說，帶置信區間的FMEDA報告能在第三方審計時提供更強說服力——不是"我們相信這個數字"，而是"這個數字的偏差不超過X%，且主要來源是Y"。

對主機廠和Tier 1來說，這套方法提供了評估供應商分析質量的客觀標準。比較兩家供應商的SPFM時，單看數值高低可能誤導，結合置信區間寬度才能判斷誰更可靠。

論文提到，該方法已在博世內部ASIC驗證流程中試點應用。作者沒有披露具體產品案例，但強調這"顯著提升了FMEDA的透明度和可信度"。

技術邊界：不是萬能藥，但補上了關鍵缺口

需要明確的是，誤差傳播方法有其前提假設。它要求輸入誤差的分布特性已知或可歸一化，對高度非線性的故障耦合場景可能失效。論文也承認，EII的計算復雜度隨參數數量增加而上升，超大規模ASIC需要配合采樣簡化。

另一個局限是數據來源。FMD的誤差范圍從哪來？手冊數據的置信度如何量化？論文建議結合實測統計和專家區間估計，但這部分仍依賴工程判斷。換句話說，誤差傳播解決了"已知不確定性的傳遞"問題，但沒解決"不確定性從哪來"的根本難題。

盡管如此，把數學工具系統性地引入功能安全量化分析，仍是該領域的一次方法論進步。此前行業更多關注"算得更準"，博世這篇工作提醒從業者：先搞清楚"算得有多不準"，可能比追求小數點后幾位更有價值。

論文已于2026年3月發布在arXiv，編號arXiv:2603.21770。三位作者均來自博世集團，研究方向覆蓋功能安全、ASIC驗證和可靠性工程。這是博世近年在汽車電子安全方法論上的又一篇公開技術輸出。

功能安全社區對這個"老問題的新解法"反應如何？論文結尾沒有給出第三方評價，但留下了一個開放的技術問題：當置信區間本身也帶有估計誤差時，是否需要第二層誤差分析——也就是"誤差的誤差"？