汽车功能安全必学实操方法 汽车实操安全知识

评估安全机制诊断覆盖率的策略

作者：Carson

在最近的工作中，我遇到了一个关于安全机制诊断覆盖率值的问题。由于这个值的微小差异，FMEDA的评估结果不达标，导致项目设计需要做出重大变更。如何准确确定安全机制的诊断覆盖率？ISO 26262 2011标准提供了诊断覆盖率（DC）的参考值，用于定量分析各种安全机制的效果。

然而，对于具体的诊断覆盖率估计值，大家的理解存在差异。这个值应该是60%，90%或99%，显然不能简单地按照这些典型值来确定。这就需要我们进行严谨的分析，结合实际应用场景来设定合适的诊断覆盖率值。实际上，ISO 26262 2018标准已经将这三个值移除，给了我们更大的发挥空间。对于诊断覆盖率，主要存在两个问题：1. 如何确定单个安全机制的诊断覆盖率；2. 当有多个安全机制同时适用于单一故障模式时，如何确定覆盖率的值。

1. 单个安全机制的诊断覆盖率如何确定？

针对上述例子，我们需要结合实际应用场景，仔细分析和研究，给出合适的诊断覆盖率值，而不是机械地执行标准推荐的典型值。

2. 当有多个安全机制同时适用于单一故障模式时，如何确定覆盖率的值？

方法1：

• 等效DC = 最有效安全机制的DC

这是最保守的方法，因为它不考虑效率较低的安全机制。

方法2：

• 每一个适用的安全机制都覆盖故障的独立部分。例如，SM1检测到90%的故障模式，SM2检测到SM1之后剩余故障的60%，SM3检测到SM1和SM2之后剩余故障的50%

这是最乐观的方法。

方法3：

• 等效DC = 最有效安全机制的DC - 其他安全机制对剩余部分的贡献

这种方法需要你具备概率论的知识，并解释原理。

方法4：

• 等效DC = 最有效安全机制的DC - 剩余安全机制的有效DC（假设最坏情况为0%）

这种方法结合了上述所有方法的优点，提供了一个既不过于保守也不过于宽容的合理估计。

方法5：

• 在理想情况下，详细研究每种安全机制及其对各种失效模式的适用性。相同的安全机制适用于不同的失效模式，可能会产生不同的效果。

评估这一点的一种方法是进行故障注入测试，观察安全机制的反应，然后定义它们的有效性。这种方法可能非常耗时且不切实际。

针对上述方法，我建议在实际项目中以方法1作为初步评估的手法，如果最终结果与目标值相差甚远时，再着重调整关键性的安全机制的诊断覆盖率。方法2需要保证安全机制之间的完全独立性，评审容易遇到挑战，需要更多的分析和证明。方法3和4需要你具备概率论的知识，并解释原理。方法5虽然最佳，但可实施性较低。