Diagnostic Coverage(DC)类别 — None / Low / Medium / High

功能安全L3别名 DC · Diagnostic Coverage · DC None Low Medium High · DC 类别 · ISO 26262 Annex D

本质与导读

本质:DC 是"诊断机制能检出多大比例的危险失效"——以百分比量化。ISO 26262 Part 5 Annex D 把 DC 切成 4 档(None < 60 % / Low 60-89 % / Medium 90-98 % / High ≥ 99 %),每档列出推荐机制。DC 不是单独一个指标——它是 SPFM / LFM 公式的核心因子,DC 配不对 SPFM 必卡线。第三方评估 90 % 的返工都在 "DC 证据不够强":工程组喜欢套 Annex D 表格直接声明 DC %,评估员却要求 Fault Injection 实测——这是 ASIL D 项目最大的隐性成本。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. 定义与公式

DC(Diagnostic Coverage)= 在所有"危险硬件失效"里,被诊断机制检出的比例:

D C = \frac{λ _{DD}}{λ _{D}} = \frac{λ _{DD}}{λ _{DD} + λ _{D U}}

其中 $λ_{D}$ 是危险失效率(违反 Safety Goal 的失效),拆成被检出( $λ_{DD}$ )和未检出( $λ_{D U}$ )两块。这个数字逐元件 × 逐失效模式给定,通常出现在 FMEDA workbook 的一列里。

两个 DC,不要混淆:

$D C_{SPF}$ — 诊断能不能在单点故障发生时及时发现(SPF → 检出);影响 SPFM
$D C_{L FM}$ — 诊断能不能在潜伏故障(latent)累积成第二点之前发现它;影响 LFM

同一个诊断机制对两者的覆盖率可以不同。例如外部 watchdog 对 CPU 死锁有高 DC_SPF(立刻 reset),但对 RAM 单 bit 翻转的 DC_LFM 几乎为 0(它根本不去查 RAM)。

2. 4 类 DC 阈值与典型机制

ISO 26262 Part 5 Annex D 把 DC 切 4 档,边界是 60 % / 90 % / 99 %。这些不是随便定的——它们对应每升一档诊断机制的"难度跳跃":Low → Medium 需要从单变量诊断升到跨变量 plausibility 或 ECC;Medium → High 需要硬件级冗余比对。

DC 4 类阈值与典型机制

档位	范围	难度跳点	关键举例
None	0 - 59 %	没有诊断	仅 QM 接受
Low	60 - 89 %	单变量诊断	软件 Q&A WD、Parity、范围检查
Medium	90 - 98 %	跨变量 / 编码诊断	SECDED ECC、CRC-32、Plausibility
High	≥ 99 %	硬件级冗余比对	Lockstep、1oo2D、双路采样

工程组的口诀:"≥ 99 % = 必须有第二个独立观察源"。任何单一通路的诊断,无论多精巧,都很难真的检出 99 % 的危险失效——总有"诊断电路自己坏"的死角。

3. DC 如何影响 SPFM / LFM(数字示例)

公式上,SPFM / LFM 都是 DC 的加权累加。单个元件、特定的 $λ_{t o t a l}$ + Safe Fault 比例下,4 档 DC 给出的最终数字差距巨大——None 把 70 FIT 全留在 SPF,High 只留 0.7 FIT。

DC 如何影响 SPFM / LFM 数字示例

观察这张数字表的几个关键点:

DC None → 全是 SPF,无论 ASIL 多低都不接受(QM 也建议有基础诊断)
DC Low(60 / 60)→ SPFM = 60 %,达不到 ASIL B 的 90 % 门槛,但单元件层 OK,系统级需要其它元件 DC 拉高
DC Medium(90 / 80)→ SPFM = 90 %,刚好碰 ASIL B 线 / 距 C 线还差 7 个百分点
DC High(99 / 95)→ SPFM = 99 %,ASIL D 单元件级达标

注意 SPFM / LFM 是系统级累加结果,不是单元件直接套用——单元件 DC 决定它对总和的贡献,真正算 SPFM 要把所有元件的 $λ_{D} \times (1 - D C_{SPF})$ 累加再除以总 $λ_{D}$ 。

4. 元件域 × DC 类别速查

实战中工程师不是先选 ASIL 再选机制,而是看"这块元件能上的机制"。同一档 DC 在不同元件域有不同的"明星机制",下表是 5 个常见域 × 3 档 DC 的速查:

机制 → DC 类别速查

元件域	Low	Medium	High
CPU / Core	软件 Q&A WD	CPU STL	Dual-Core Lockstep
RAM / Flash	Parity	SECDED ECC	DEDDED + Scrubber
通信	CRC-8	CRC-32 + E2E	E2E + 双路冗余
Sensor 链	范围检查	Plausibility	双路采样比对
电源 / SBC	UV/OV 单门限	双门限 + ABIST	SBC + LBIST + MBIST

速查使用方式:先看 SPFM 目标(D 99 / C 97 / B 90),再看每个元件的 $λ_{D}$ 占比,从占比高的元件开始挑机制——把它从 Low 升 Medium 比把其它元件从 Medium 升 High 更划算。

5. DC 在 FMEDA 中如何赋值

FMEDA workbook 每行都有一格 DC %——这个数字怎么来?分 4 步且每步要有证据,这是过第三方评估的关键。

DC 在 FMEDA 中如何被赋值

证据强度分两档:

弱证据——直接引用 ISO 26262 Annex D 表格里的"典型 DC %"(eg. "ECC = 99 %"),没做硅前 / 硅后验证。第三方评估通常砍 20-30 %(把 99 % 改成 80 %),SPFM 立刻不达标。
强证据——硅前给 Coverage Report / Formal Proof,硅后做 Fault Injection campaign(SEU / SET / stuck-at 至少几千次注入),检测率 ≥ 声明 DC 的 95 % CI。这种数据进 Safety Manual,客户照搬。

Tier-1 选 SEooC 芯片(MCU / SBC)的第一件事就是看 Safety Manual 的 DC 是不是强证据。Infineon AURIX、NXP MPC57xx、ST SPC58 都给完整 Fault Injection 报告;非 SEooC 的通用芯片基本只能套 Annex D,集成商要自己补证据。

6. SPFM 卡线时怎么办 — 3 种返工方案

ASIL C 项目最常见的卡线点:SPFM = 92 %,差 5 个百分点到 97 %。3 种返工方向:

方案	思路	典型动作	成本
A 升 DC	找占比最高的元件升机制	sensor 链 Medium → High:加双路采样	硬件成本 +20 %
B 降 λ_D	换更可靠元件 / 降 stress	把工业级 sensor 换车规;降 VDS stress	BOM 成本 +10-30 %
C 改归类	Safe Fault 重新论证	把更多 mode 归为 Safe(必须给出 rationale)	工程时间 + 风险

工程组多用 A,但 A 的代价是 PCB / BOM 双涨;评估员严格的项目走 B(可靠性证据更硬);C 是双刃剑——若 rationale 站不住反而砍 SPFM。最有效的策略是 SoP 前 6 个月就跑 FMEDA,卡线点提前暴露,有时间用 A+B 组合而不是 SoP 前两个月慌忙补救。

7. DC_SPF vs DC_LFM 的实战要点

很多工程组只列一个 DC % 给评估员,这是大忌。这两个数字背后机制不同:

DC_SPF = 在 SPF(单点故障)发生时及时检出的概率;时间窗是 FTTI(几 ms 到几百 ms)
DC_LFM = 在 SPF 已经发生但未触发危险输出时,在第二个故障到来前检出 latent 的概率;时间窗是测试间隔(几 ms 到几 hour)

举例:RAM 单 bit 翻转(SBE)。SECDED ECC 的 DC_SPF 几乎 100 %(单 bit 直接纠错);但若没有定期 scrubbing,SBE 会累积——下一次写入或 SEU 再来一发可能就变成 DBE(unreadable)。DC_LFM 取决于 scrubbing 间隔:scrubber 每 ms 跑一次 → DC_LFM ≈ 99 %;每 1 s 跑一次 → DC_LFM 可能只有 80 %。

FMEDA 必须分别填 DC_SPF / DC_LFM 两列;评估员看到只有一列的 FMEDA 第一反应就是要返工。

8. 常见误区

DC 的常见误区集中在"数字哪里来 / 是否真"——工程组用得不当,常常把"理论 DC"当"实测 DC"提交,过不了评估。

直接套 Annex D = 弱证据。表格只是参考,必须 Fault Injection 验证。
DC 不是越高越好。提高 DC 的代价是硬件 / 软件 overhead;ASIL B 项目把所有元件做到 High 是浪费。先算 SPFM/LFM 目标 → 反推每个元件需要的 DC 档位 → 只升关键路径。
DC ≠ 测试覆盖率。DC 是"危险失效的检出率",MC/DC / Statement Coverage 是"代码被执行的比例",两件事;DC 来自 fault injection,代码覆盖率来自单元测试。
DC 不是常数。运行温度、电压裕度变化会改 DC(尤其 ECC + DRAM);Safety Manual 要给"在规定 stress 下"的 DC,客户必须维持这些 stress 才能引用。
诊断机制可以 fail。诊断电路自己也有失效率,过高声明 DC 会触发"latent 在诊断"——评估员会要求二级诊断(诊断的诊断)。

核心要点

DC = λ_DD / λ_D — 检出的危险失效占比。
4 档阈值:None < 60 / Low 60-89 / Medium 90-98 / High ≥ 99,边界对应机制难度跳跃。
DC_SPF + DC_LFM 是两个数,分别影响 SPFM 和 LFM,不能混用。
达 High 必须有第二个独立观察源(Lockstep / 双路冗余 / 1oo2D)。
DC 证据分两档:弱(套 Annex D)和强(Fault Injection 实测);第三方评估常砍弱证据 20-30 %。
SPFM 卡线 3 种返工:升 DC / 降 λ_D / 改 Safe Fault 归类。
元件域 × DC 档位 速查表:CPU 走 STL/Lockstep,RAM 走 ECC/Scrubber,Comm 走 E2E,Sensor 走 Plausibility/双路。
SoP 前 6 个月跑 FMEDA,卡线点提前暴露,不要等 SoP 前两月。

Engineering Objects

引用此页的结构化 Engineeri…

引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。

metric · metric_dc — DC — Diagnostic Coverage

Cross-references

← 索引
topic-functional-safety — 功能安全 hub
topic-iso26262-part5-hardware — SPFM / LFM / PMHF 母页
topic-fit-fmeda-calculation — FMEDA 完整计算流程
topic-safety-mechanism-catalog — 机制大全
topic-fault-injection-testing — DC 强证据来源
topic-iso26262-part11-semiconductors — 半导体 SEooC + Safety Manual
topic-voting-redundancy — High DC 的硬件依据
topic-obd-deep — 排放法规侧诊断(OBD monitor)与 26262 安全机制的异同