博世把誤差傳播理論塞進FMEDA，汽車芯片安全驗證終于能算清"不

汽車芯片的安全驗證，長期活在一種"大概齊"的狀態里。

工程師們算出來的單點故障度量（Single Point Fault Metric，單點故障指標）和潛伏故障度量（Latent Fault Metric，潛伏故障指標），看起來精確到小數點后兩位，但輸入數據從哪來、誤差有多大，沒人能說得準。博世（Robert Bosch GmbH）3月發的一篇技術論文，把這個黑箱撬開了一條縫——他們用誤差傳播理論（Error Propagation Theory，誤差傳遞理論）重新改造了FMEDA（Failure Modes, Effects, and Diagnostic Analysis，失效模式影響及診斷分析）框架，讓"不確定"本身變得可量化。

FMEDA的老毛病：輸入是猜的，輸出卻當真理

傳統FMEDA的計算邏輯并不復雜。你把每個失效模式的分布比例（Failure Mode Distribution，失效模式分布）和診斷覆蓋率（Diagnostic Coverage，診斷覆蓋率）填進去，公式會自動吐出SPFM和LFM兩個數字。只要這兩個數達標，ISO 26262的功能安全認證就能過。

問題是，FMD和DC這兩個輸入值，很大程度上依賴專家判斷。

一個電阻的開路失效占比多少？是30%還是35%？診斷電路能覆蓋多少故障？是90%還是95%？這些數字往往來自經驗估計、歷史數據或仿真樣本，本身就有波動范圍。但傳統FMEDA把它們當成精確值處理，算出來的安全指標看似客觀，實則埋著大量未量化的不確定性。

博世的工程師團隊在論文里打了個比方：這就像是用一把刻度模糊的尺子量身高，讀數精確到毫米，但尺子本身的誤差可能超過厘米。

誤差傳播理論進場：給不確定性算一筆賬

博世的新方法核心在于，把誤差傳播理論嵌進FMEDA的計算流程。

具體操作上，他們不再要求輸入單個精確值，而是允許FMD和DC以區間形式存在——比如某個失效模式占比"30%±5%"，診斷覆蓋率"90%±3%"。誤差傳播公式會追蹤這些初始不確定性如何在計算過程中放大或抵消，最終輸出SPFM和LFM的置信區間，以及最大可能偏差。

換句話說，你拿到的不再是一個孤零零的百分比，而是一個范圍——比如"SPFM=97.2%，置信區間95.5%-98.8%"。

這個區間寬度直接反映了分析質量。區間越窄，說明輸入數據越可靠、計算越穩健；區間太寬，則提醒工程師回去補數據、做實驗，而不是拿著一個虛假精確的數字去應付認證。

EII：揪出最大的那個"誤差內鬼"

博世還設計了一個叫EII（Error Importance Identifier，誤差重要性標識器）的工具。

它的作用是在眾多輸入參數中，識別哪些對最終結果的波動貢獻最大。比如算出來SPFM的置信區間過寬，EII會告訴你：問題主要出在第三組失效模式的分布估計上，還是診斷覆蓋率的某個子項上。

這改變了工程師的工作流——從"盲人摸象式地優化"，變成"精準狙擊"。

以前為了收窄安全指標的不確定性，團隊可能被迫對所有輸入參數做高精度實驗，成本極高。現在EII能指出優先級，把有限資源砸在刀刃上。

論文作者Armato、Kehl和Fischer在摘要里寫道，這種方法"顯著提升了FMEDA的透明度和可信度"，解決了功能安全領域"一個長期懸而未決的開放性問題"。

為什么偏偏是現在？

汽車芯片的復雜度在指數級上升。7nm、5nm制程的ASIC里，晶體管數量以百億計，失效模式的數量和耦合關系遠超十年前。與此同時，ISO 26262對ASIL-D（汽車安全完整性等級最高級）的要求越來越嚴，SPFM必須≥99%，LFM必須≥90%。

達標線越逼近物理極限，輸入數據的微小誤差就越容易被放大成認證風險。

博世的論文2026年3月發布在arXiv上，時機耐人尋味。一方面，車規級芯片的先進制程驗證確實到了需要更精細工具的階段；另一方面，這也可能是博世作為Tier 1巨頭，試圖在功能安全方法論層面建立技術話語權的一步——畢竟，誰定義了"如何量化不確定"，誰就掌握了認證體系的解釋權。

論文鏈接已公開，但真正的落地還要看工具鏈支持。把誤差傳播理論集成進現有的FMEDA軟件，改動不小。Synopsys、Cadence這些EDA廠商會不會跟進？其他車企和芯片廠會不會采納博世的方法作為內部標準？

功能安全社區等了多年的那個"開放性問題"，現在有了答案的雛形——但答案本身，還需要更多工程實踐來檢驗誤差范圍。