ISO 26262中文网站 > 使用教程 > ISO 26262标准对MC/DC怎么看 ISO 26262标准MC/DC覆盖率如何解释
教程中心分类
最新资讯
使用教程
热门推荐
新手入门
ISO 26262标准对MC/DC怎么看 ISO 26262标准MC/DC覆盖率如何解释
发布时间:2026/03/09 18:07:50

  在功能安全评审里,MC/DC经常被当成一句口号来提,但真正落到证据链时,争议点往往不在指标名词,而在两件事:一是ISO 26262把MC/DC放在什么位置上看待,二是拿到一份覆盖率报告后,如何把它解释成“测试充分性”的可审查结论。把这两件事说清楚,你在内部评审、供应商对齐、以及审核应对时都会省掉大量拉扯成本。

  一、ISO 26262标准对MC/DC怎么看

 

  ISO 26262对MC/DC的态度很务实:它把MC/DC当作软件单元测试阶段的结构覆盖指标之一,用来辅助证明基于需求的测试是否足够“把代码走到位”,而不是用覆盖率替代需求验证。

 

  1、MC/DC在标准里属于结构覆盖度量的一部分

 

  在ISO 26262-6的软件单元层面结构覆盖表中,Statement coverage、Branch coverage、MC/DC被并列给出,说明它是“白盒充分性”的证据入口之一,而不是独立的安全结论。

 

  2、是否采用以及采用到什么程度与ASIL强相关

 

  同一张表把推荐强度按ASIL区分,MC/DC在ASIL D为高度推荐,在ASIL A到C为推荐,这意味着你需要先把ASIL边界讲清楚,再讨论覆盖率目标与投入。

 

  3、标准关注的是可解释的充分性而不是单一数字

 

  实践里常见的误区是追逐一个固定百分比,但ISO 26262更强调“没有目标值或给出很低目标值却缺少理由”会被认为不充分,因此评审关心的是你如何说明目标、差距与补偿手段。

 

  4、覆盖率的价值在于暴露测试缺口与代码问题

 

  结构覆盖分析被用来发现需求用例的遗漏、死代码或非预期功能等风险点,所以MC/DC更像是一个“差距雷达”,帮助你把补测或合理化说明做完整。

 

  二、ISO 26262标准MC/DC覆盖率如何解释

 

  解释MC/DC覆盖率时,核心是把“覆盖率怎么算”与“覆盖率意味着什么”分开讲,并把报告结论落到可追溯、可复核的表达上。

 

  1、先把MC/DC的判定口径说清楚

 

  MC/DC要求每个条件能独立影响判定结果,评审时你需要说明工具口径是按表达式条件、按短路逻辑、还是按编译后判定点统计,否则同一份代码不同工具会得出不同覆盖率。

 

  2、再说明它对应的软件层级与工作产品

 

  ISO 26262把MC/DC放在软件单元层面的结构覆盖里,到了软件集成层面则更常见的是Function coverage与Call coverage这类结构覆盖,所以不要用集成层指标去替代单元层MC/DC,也不要混在同一张结论表里。

 

  3、覆盖率结论要和基于需求的测试绑定

 

  单元测试报告里应能回答“哪些低层需求被哪些用例覆盖、用例执行后结构覆盖达到什么程度、差距如何处理”,单纯给出一张覆盖率截图通常无法通过严谨评审。

  4、不要把100%当成自动通行证

 

  覆盖率高只能说明路径被执行过,不等于断言、边界、异常与鲁棒性都充分;反过来覆盖率未满也不必然失败,关键看未覆盖点是否可消除、是否可证明不可达、以及是否有等效的补偿验证手段。

 

  5、对未覆盖必须给出可审核的分类解释

 

  常用解释要按类型拆开写清楚,例如配置裁剪导致的条件分支未触发、受硬件依赖影响的保护分支、已确认的死代码或调试残留代码、以及通过评审或静态分析等补充方法验证的片段,避免一句“无法覆盖”带过。

 

  三、ISO 26262标准MC/DC证据怎么写

 

  把MC/DC从报告数字变成可审查证据,建议按“目标定义—采集—分析—处置—归档”走一遍固定动作,减少反复返工。

 

  1、先锁定ASIL与适用范围

 

  在计划里写清楚该软件单元对应的ASIL,以及MC/DC在该ASIL下的推荐强度依据,防止后续被追问“为什么一定要做或为什么不做”。

 

  2、定义覆盖对象与统计口径

 

  明确覆盖对象是源代码层还是模型层,明确是否包含宏展开后的条件表达式,明确是否以编译器优化前后哪个口径为准,并把工具版本与配置作为可追溯信息固化在报告头部。

 

  3、用需求驱动用例并建立双向追溯

 

  把低层需求映射到测试用例,再把用例与覆盖率结果关联,保证评审能从需求一路追到用例、再追到覆盖点,最后追到未覆盖差距的处置记录。

 

  4、采集覆盖率时控制变量并保证可复现

 

  固定编译选项、固定插桩方式、固定运行环境与输入数据版本,报告里记录一次完整可复现的执行信息,避免出现同一套用例在不同构建下覆盖率跳动,导致结论不可信。

 

  5、对差距优先用“补测或简化表达式”解决

 

  未覆盖来自复杂条件表达式时,优先补齐成对用例去证明条件独立性;如果表达式天然不可分离或可读性差,也可以通过等价重构降低条件耦合,让MC/DC更容易用测试对齐,同时让代码评审更清晰。

 

  6、把剩余差距写成可审核的合理化条目

 

  对每个未覆盖点给出编号、位置、原因分类、风险判断、采取的补偿措施与责任人签核信息,补偿措施可以是代码评审记录、静态分析结论、配置约束说明或后续阶段的目标化验证计划,确保审核看到的是闭环而不是解释性文字堆叠。

  总结

 

  ISO 26262看待MC/DC的关键不在“要不要做到某个固定百分比”,而在“它作为结构覆盖证据能否支撑需求测试充分性”的论证闭环。你只要按ASIL把推荐强度讲清楚,把工具口径与层级边界讲清楚,再把未覆盖点按类型做成可复核的处置清单,MC/DC就能从一张覆盖率报告变成审查可通过、复盘可追溯的功能安全证据链。

135 2431 0251