図面 (/)

技術 安全系装置の検証方法およびその検証方法で検証された安全系装置

出願人 株式会社東芝
発明者 泉幹雄林俊文小田中滋酒井宏隆小田直敬佐藤俊文伊藤敏明
出願日 2005年2月28日 (15年11ヶ月経過) 出願番号 2005-053016
公開日 2006年9月7日 (14年5ヶ月経過) 公開番号 2006-236214
状態 特許登録済
技術分野 原子炉の監視、試験 デジタル計算機の試験診断 電子回路の試験 CAD
主要キーワード 防護措置 トグル状態 ロジック回路図 実機検証 性能検証 フリップフロップ素子 ハードウェア言語 シミュレーション試験
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2006年9月7日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (16)

課題

原子力プラント等の安全系装置の構成品を高効率かつ高水準信頼性で試験・検証することができる検証方法を提供する。

解決手段

本発明に係る安全系装置の検証方法は、複数の機能要素を予め網羅的に実機検証する手順と、実機検証済の各機能要素を所定のハードウェア記述言語で生成する手順と、各機能要素を独立に論理合成し複数の第1のネットリストに変換する手順と、各機能要素間の接続機能を所定のハードウェア記述言語で生成する手順と、前記接続機能を論理合成し第2のネットリストに変換する手段と、第1のネットリストと第2のネットリストを合成し第3のネットリストを生成する手順と、第3のネットリストに基づいてプログラマブルロジック素子ロジック回路を書き込む手順と、前記プログラマブルロジック素子を実機で検証する実機検証手順とを備えたことを特徴とする。

概要

背景

原子力プラントでは、プラントの安全性が損なわれるおそれのある異常が発生した場合、あるいは、異常の発生が予想される場合に、異常の発生を防止あるいは抑制するために安全系装置が設けられている。

安全保護系に関わる放射線計測装置(安全系装置)は、放射線量を計測し、何らかの原因によりプラント内の放射線量が上昇した場合に、プラント外への放射性物質の放出を抑制するため、放射線量が上昇している箇所を隔離したり、非常用ガス処理装置を動作させたりする条件となる情報を各作動回路に提供することを目的に設けられている。

近年の原子力プラントでは、このような安全保護系に関わる放射線計測装置(安全系装置)に、例えば、特許文献1に示すようにデジタル信号処理が適用され、デジタルフィルタや、複数の信号をひとつのCPUでデジタル演算されている。

一方、CPUを用いずに、ASIC(Application Specific IntegratedCircuit)やFPGA(Field Programmable Gate Array)と呼ばれるハードウェアロジックを用いたシステムが、特許文献2等に開示されている。特許文献2が開示する技術は、CPUを使用せずにASICを用いて回路を構成し処理の手順を制御するものであるが、処理フロー単純化が可能となるとしている。

他方、安全系装置はその重要性から、機器単一故障による全体の機能喪失を防止する等の要求がなされており、システム構成冗長系を持たせる多重化構成としたり、各構成品の機能の独立化を行う構成としている。

しかしながら、CPUにソフトウェアを実行させる構成のデジタルシステムでは、冗長系に同一のソフトウェアを用いた場合、このソフトウェアの欠陥により冗長系の機能も併せて損なわれる可能性がある。

また、ソフトウェア処理を含めたデジタル処理は基本的には離散値処理であるため、ソフトウェアやハードウェアの欠陥により、ある特定の条件を満たした場合にだけ特異な出力が生じるなど、予期できない動作が実行される可能性がアナログ素子よりも高いと考えられる。

そこで、ソフトウェアを用いたデジタル処理では、設計・製作を通じて高品質を確保するための品質保証活動を行うとともに、ソフトウェア欠陥による共通要因故障の排除、管理外の変更に対しての適切な防護措置を講じることが要求されている。特に、ソフトウェアの共通要因故障を防止する方法として、検証及び健全性確認活動(以下、V&V;Verification & Validation)を実施している。V&Vとは、デジタル型の安全系装置に要求される機能がソフトウェアの設計・製作の各過程において、上位の過程から下位の過程へ正しく反映されていることを確認する検証作業と、検証作業を経て製作されたシステムについて、要求機能が正しく実現されていることを確認する健全性確認作業からなる品質保証のための活動である。
特許第2653522号公報
米国特許第5859884号明細書

概要

原子力プラント等の安全系装置の構成品を高効率かつ高水準信頼性で試験・検証することができる検証方法を提供する。本発明に係る安全系装置の検証方法は、複数の機能要素を予め網羅的に実機検証する手順と、実機検証済の各機能要素を所定のハードウェア記述言語で生成する手順と、各機能要素を独立に論理合成し複数の第1のネットリストに変換する手順と、各機能要素間の接続機能を所定のハードウェア記述言語で生成する手順と、前記接続機能を論理合成し第2のネットリストに変換する手段と、第1のネットリストと第2のネットリストを合成し第3のネットリストを生成する手順と、第3のネットリストに基づいてプログラマブルロジック素子ロジック回路を書き込む手順と、前記プログラマブルロジック素子を実機で検証する実機検証手順とを備えたことを特徴とする。

目的

本発明は、上記事情に鑑みてなされたもので、原子力プラント等の安全系装置の構成品を高効率かつ高水準の信頼性で試験・検証することができる検証方法、およびその検証方法で検証された安全系装置を提供することを目的とする。

効果

実績

技術文献被引用数
3件
牽制数
2件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

複数の機能要素から構成されるプログラマブルロジック素子具備した安全系装置の検証方法において、前記複数の機能要素のそれぞれに対して、各機能要素の全ロジックパターン入力に対する全ロジックパターン出力が正常であることを予め網羅的に実機検証する手順と、実機検証された前記各機能要素と同一の各機能要素を所定のハードウェア記述言語で生成する手順と、前記生成された各機能要素を独立に論理合成し各機能要素に対応した複数の第1のネットリストに変換する手順と、前記各機能要素間を接続する接続機能を所定のハードウェア記述言語で生成する手順と、生成された前記接続機能を論理合成し前記接続機能に対応した第2のネットリストに変換する手段と、前記複数の第1のネットリストと前記第2のネットリストとを合成し第3のネットリストを生成する手順と、前記第3のネットリストに基づいて前記プログラマブルロジック素子にロジック回路を書き込む手順と、ロジック回路を書き込んだ前記プログラマブルロジック素子の動作が正常であることを実機で検証する実機検証手順と、を備えたことを特徴とする安全系装置の検証方法。

請求項2

生成された前記第3のネットリストに基づいて、前記各機能要素間の接続を検証する接続検証手順をさらに備えたことを特徴とする請求項1に記載の安全系装置の検証方法。

請求項3

前記接続検証手順は、生成された前記第3のネットリストを構成するデータに基づいて、前記各機能要素および前記接続機能が実現されたロジック回路を可視化して表示し、表示されたロジック回路と前記接続機能を規定した仕様とに基づいて前記各機能要素間の接続が正しいことを検証する手順を含むことを特徴とする請求項2に記載の安全系装置の検証方法。

請求項4

前記接続検証手順は、前記接続機能が実現された接続回路を可視化して表示し、表示された接続回路と前記所定のハードウェア記述言語で表現された接続機能とに基づいて前記各機能要素間の接続が正しいこと検証する手順を含むことを特徴とする請求項2に記載の安全系装置の検証方法。

請求項5

生成された前記第3のネットリストを構成するデータに基づいて前記プログラマブルロジック素子の動作をシミュレーションし、前記プログラマブルロジック素子の動作が正常であることを検証するシミュレーション検証手順をさらに備え、前記シミュレーション検証手順は、同一クロックで動作するフリップフロップ素子の間に設けられたロジック回路の遅延時間をシミュレーションで評価し、評価した前記遅延時間が、標準的な使用環境において前記クロック周期の50%以下であることを検証する手順を含むことを特徴とする請求項1に記載の安全系装置の検証方法。

請求項6

前記シミュレーション検証手順で用いる遅延時間のシミュレーションは、適宜の評価用ネットリストと、前記評価用のネットリストに基づいて書き込まれたプログラマブルロジック素子によって予めその有効性が実機検証されたシミュレーションであることを特徴とする請求項5に記載の安全系装置の検証方法。

請求項7

前記実機検証手順は、同一クロックで動作するフリップフロップ素子の間に設けられたロジック回路の遅延時間をシミュレーションで評価し、評価した前記遅延時間が、標準的な使用環境において前記クロックの周期の50%を越えると認められた場合おいて、前記遅延時間が最大となる使用環境を印加して前記プログラマブルロジック素子を実機で試験し、動作が正常であることを検証する手順を含むことを特徴とする請求項1に記載の安全系装置の検証方法。

請求項8

前記実機検証手順は、トグルカバレッジ試験を含む手順であり、前記トグルカバレッジ試験は、予め前記機能要素間を接続する接続線総数算定する総数算定手順と、前記プログラマブルロジック素子に所定のロジックパターンを順次変化させて入力する手順と、入力した前記ロジックパターンの変化に対応して前記機能要素間を接続する接続線の論理値が変化した接続線の数を算定する手順と、前記接続線の総数に対する前記変化した接続線の数の比であるトグルカバレッジを求める手順と、前記トグルカバレッジが所定値以上であることを検証する手順を備えた試験であることを特徴とする請求項1に記載の安全系装置の検証方法。

請求項9

前記トグルカバレッジ試験は、グランドおよび電源に接続される接続線を除いて前記接続線の総数を算定する試験であることを特徴とする請求項8に記載の安全系装置の検証方法。

請求項10

前記トグルカバレッジ試験は、入力の論理値にかかわらず出力の論理値が固定値となることが設計上明らかである場合は、固定値となるその接続線を除いて前記接続線の総数を算定する試験であることを特徴とする請求項8に記載の安全系装置の検証方法。

請求項11

前記トグルカバレッジ試験は、前記ロジックパターンを、前記プログラマブルロジック素子の実機および前記プログラマブルロジック素子の実機を模擬した模擬プログラマブルロジック素子に順次並列に入力するとともに、前記プログラマブルロジック素子の実機の出力が正常であることを監視する手順と、模擬プログラマブルロジック素子の内部における接続線の論理値の変化をモニタして前記変化した接続線の数を算定する手順と、前記トグルカバレッジを前記ロジックパターンの入力に応じて順次算出する手順と、前記トグルカバレッジが所定値以上になったときに試験を終了する手順と、を備えた試験であることを特徴とする請求項8に記載の安全系装置の検証方法。

請求項12

前記トグルカバレッジ試験は、任意の接続線を指定し、前記プログラマブルロジック素子の実機と前記模擬プログラマブルロジック素子の双方において前記指定した接続線の波形をモニタする手順を含む試験であることを特徴とする請求項11に記載の安全系装置の検証方法。

請求項13

複数の機能要素から構成されるプログラマブルロジック素子を具備した安全系装置において、前記複数の機能要素のそれぞれに対して、各機能要素の全ロジックパターン入力に対する全ロジックパターン出力が正常であることを予め網羅的に実機検証する手順と、実機検証された前記各機能要素と同一の各機能要素を所定のハードウェア記述言語で生成する手順と、前記生成された各機能要素を独立に論理合成し各機能要素に対応した複数の第1のネットリストに変換する手順と、前記各機能要素間を接続する接続機能を所定のハードウェア記述言語で生成する手順と、生成された前記接続機能を論理合成し前記接続機能に対応した第2のネットリストに変換する手段と、前記複数の第1のネットリストと前記第2のネットリストを合成し、第3のネットリストを生成する手順と、前記第3のネットリストに基づいて前記プログラマブルロジック素子にロジック回路を書き込む手順と、ロジック回路を書き込んだ前記プログラマブルロジック素子の動作が正常であることを実機で検証する実機検証手順と、を備えた検証方法によって検証されたことを特徴とする安全系装置。

請求項14

生成された前記第3のネットリストに基づいて、前記各機能要素間の接続を検証する接続検証手順をさらに備えたことを特徴とする請求項13に記載の安全系装置。

請求項15

前記接続検証手順は、生成された前記第3のネットリストを構成するデータに基づいて、前記各機能要素および前記接続機能が実現されたロジック回路を可視化して表示し、表示されたロジック回路と前記接続機能を規定した仕様に基づいて前記各機能要素間の接続が正しいことを検証する手順を含むことを特徴とする請求項14に記載の安全系装置。

請求項16

前記接続検証手順は、前記接続機能が実現された接続回路を可視化して表示し、表示された接続回路と前記所定のハードウェア記述言語で表現された接続機能とに基づいて前記各機能要素間の接続が正しいこと検証する手順を含むことを特徴とする請求項14に記載の安全系装置。

請求項17

生成された前記第3のネットリストを構成するデータに基づいて前記プログラマブルロジック素子の動作をシミュレーションし、前記プログラマブルロジック素子の動作が正常であることを検証するシミュレーション検証手順をさらに備え、前記シミュレーション検証手順は、同一クロックで動作するフリップフロップ素子の間に設けられたロジック回路の遅延時間をシミュレーションで評価し、評価した前記遅延時間が、標準的な使用環境において前記クロックの周期の50%以下であることを検証する手順を含むことを特徴とする請求項13に記載の安全系装置。

請求項18

前記シミュレーション検証手順で用いる遅延時間のシミュレーションは、適宜の評価用ネットリストと、前記評価用のネットリストに基づいて書き込まれたプログラマブルロジック素子によって予めその有効性が実機検証されたシミュレーションであることを特徴とする請求項17に記載の安全系装置。

請求項19

前記実機検証手順は、同一クロックで動作するフリップフロップ素子の間に設けられたロジック回路の遅延時間をシミュレーションで評価し、評価した前記遅延時間が、標準的な使用環境において前記クロックの周期の50%を越えると認められた場合おいて、前記遅延時間が最大となる使用環境を印加して前記プログラマブルロジック素子を実機で試験し、動作が正常であることを検証する手順を含むことを特徴とする請求項13に記載の安全系装置。

請求項20

前記実機検証手順は、トグルカバレッジ試験を含む手順であり、前記トグルカバレッジ試験は、予め前記機能要素間を接続する接続線の総数を算定する総数算定手順と、前記プログラマブルロジック素子に所定のロジックパターンを順次変化させて入力する手順と、入力した前記ロジックパターンの変化に対応して前記機能要素間を接続する接続線の論理値が変化した接続線の数を算定する手順と、前記接続線の総数に対する前記変化した接続線の数の比であるトグルカバレッジを求める手順と、前記トグルカバレッジが所定値以上であることを検証する手順とを備えた試験であることを特徴とする請求項13に記載の安全系装置。

請求項21

前記トグルカバレッジ試験は、グランドおよび電源に接続される接続線を除いて前記接続線の総数を算定する試験であることを特徴とする請求項20に記載の安全系装置。

請求項22

前記トグルカバレッジ試験は、入力の論理値にかかわらず出力の論理値が固定値となることが設計上明らかである場合は、固定値となるその接続線を除いて前記接続線の総数を算定する試験であることを特徴とする請求項20に記載の安全系装置。

請求項23

前記トグルカバレッジ試験は、前記ロジックパターンを、前記プログラマブルロジック素子の実機および前記プログラマブルロジック素子の実機を模擬した模擬プログラマブルロジック素子に順次並列に入力するとともに、前記プログラマブルロジック素子の実機の出力が正常であることを監視する手順と、模擬プログラマブルロジック素子の内部における接続線の論理値の変化をモニタして前記変化した接続線の数を算定する手順と、前記トグルカバレッジを前記ロジックパターンの入力に応じて順次算出する手順と、前記トグルカバレッジが所定値以上になったときに試験を終了する手順と、を備えた試験であることを特徴とする請求項20に記載の安全系装置。

請求項24

前記トグルカバレッジ試験は、任意の接続線を指定し、前記プログラマブルロジック素子の実機と前記模擬プログラマブルロジック素子の双方において前記指定した接続線の波形をモニタする手順を含む試験であることを特徴とする請求項23に記載の安全系装置。

技術分野

0001

本発明は、安全系装置の検証方法およびその検証方法で検証された安全系装置に係り、特に、原子力火力化学プラント等の制御に用いられ高い信頼性が要求される安全系装置の検証方法およびその検証方法で検証された安全系装置に関する。

背景技術

0002

原子力プラントでは、プラントの安全性が損なわれるおそれのある異常が発生した場合、あるいは、異常の発生が予想される場合に、異常の発生を防止あるいは抑制するために安全系装置が設けられている。

0003

安全保護系に関わる放射線計測装置(安全系装置)は、放射線量を計測し、何らかの原因によりプラント内の放射線量が上昇した場合に、プラント外への放射性物質の放出を抑制するため、放射線量が上昇している箇所を隔離したり、非常用ガス処理装置を動作させたりする条件となる情報を各作動回路に提供することを目的に設けられている。

0004

近年の原子力プラントでは、このような安全保護系に関わる放射線計測装置(安全系装置)に、例えば、特許文献1に示すようにデジタル信号処理が適用され、デジタルフィルタや、複数の信号をひとつのCPUでデジタル演算されている。

0005

一方、CPUを用いずに、ASIC(Application Specific IntegratedCircuit)やFPGA(Field Programmable Gate Array)と呼ばれるハードウェアロジックを用いたシステムが、特許文献2等に開示されている。特許文献2が開示する技術は、CPUを使用せずにASICを用いて回路を構成し処理の手順を制御するものであるが、処理フロー単純化が可能となるとしている。

0006

他方、安全系装置はその重要性から、機器単一故障による全体の機能喪失を防止する等の要求がなされており、システム構成冗長系を持たせる多重化構成としたり、各構成品の機能の独立化を行う構成としている。

0007

しかしながら、CPUにソフトウェアを実行させる構成のデジタルシステムでは、冗長系に同一のソフトウェアを用いた場合、このソフトウェアの欠陥により冗長系の機能も併せて損なわれる可能性がある。

0008

また、ソフトウェア処理を含めたデジタル処理は基本的には離散値処理であるため、ソフトウェアやハードウェアの欠陥により、ある特定の条件を満たした場合にだけ特異な出力が生じるなど、予期できない動作が実行される可能性がアナログ素子よりも高いと考えられる。

0009

そこで、ソフトウェアを用いたデジタル処理では、設計・製作を通じて高品質を確保するための品質保証活動を行うとともに、ソフトウェア欠陥による共通要因故障の排除、管理外の変更に対しての適切な防護措置を講じることが要求されている。特に、ソフトウェアの共通要因故障を防止する方法として、検証及び健全性確認活動(以下、V&V;Verification & Validation)を実施している。V&Vとは、デジタル型の安全系装置に要求される機能がソフトウェアの設計・製作の各過程において、上位の過程から下位の過程へ正しく反映されていることを確認する検証作業と、検証作業を経て製作されたシステムについて、要求機能が正しく実現されていることを確認する健全性確認作業からなる品質保証のための活動である。
特許第2653522号公報
米国特許第5859884号明細書

発明が解決しようとする課題

0010

一方、CPUの代わりにASIC或いはFPGAを用いたシステムでは、最終的にはハードワイヤードデジタルロジックとして構成されるため、CPUによるソフトウェア処理と異なり、処理フローが決定的であり、処理時間も設計により確定できる。従って、ASIC或いはFPGAを用いたシステムは、デジタルロジックの半導体ハードウェアとみなすことができる。

0011

この結果、FPGA等ではその製作過程において一部ソフトウェアを用いているものの、実際に実装されているハードウェアと処理内容同一視した検証が可能である。例えば、半導体素子の全入力、全内部状態に対する出力を仕様から算出した予測値と比較できれば、タイミングに起因する動的欠陥以外の、静的な機能の入出力特性は完全に検証できる。なお、このような検証を網羅的検証或いはexhaustive testingと呼んでいる。

0012

しかしながら、実際のASIC或いはFPGAなどでは、全入力bitのパターン数素子の全内部状態のパターン数の合計パターン数が膨大となり、全入力・全内部状態のパターンに応じた出力パターンをすべて予測値と比較することは困難であることが一般的に認められている。

0013

そこで、欠陥を効率的に見つけられる入力パターン列を評価することが重要となり、たとえば素子内部のロジックパターンから評価し、内部のレジスタが1度は動作する入力パターン、或いは、特定の故障モードを想定し、この故障を検出可能な入力パターン群を故障シミュレーションを行い算出している。

0014

しかしながら、これらはあくまでも一部の入力パターンを試験するものであるため、内部ロジックの組み合わせにより生じるような欠陥や、故障シミュレーションで想定しなかった故障は検出できない。

0015

さらに、論理回路デジタル回路)をFPGAなどのハードウェアに実装する過程では、ハードウェアの構成を記述するソフトウェアおよびこれらを実際のFPGA上の論理回路に展開する論理合成ツールなどの汎用ソフトウェアツールが必要となる。この汎用ソフトウェアツール自体にも、特に新規に開発されたような場合には、欠陥が内在する可能性を完全には排除できない。従って、汎用ソフトウェアツールを含めて設計段階から総合的に高い信頼性を確保する必要がある。

0016

前述の網羅的試験を性能検証に用いることができれば、静的な論理誤りはないことを示すことが可能であるが、網羅的試験が実施できない場合は、従来のソフトウェアと同等のV&Vなどの検証が必要となる。

0017

但し、FPGA等を用いたシステムは、CPUによるソフトウェア処理と異なり、処理が確定的であり、処理時間も一般に確定できる。また、単一ループで、単一の処理のみを実行可能で、信頼性の高いシステムを実現するための設計条件を満たしやすいという特長がある。

0018

以上、検証性の観点からはFPGA等のハードウェアロジックを用いて安全系装置を実装するメリットは高いが、課題として、前述の網羅的試験と実質的に同等な検証レベル機能検証を効率よく実施する必要がある。即ち、入力に対する出力の特性が設計どおりであることを高い信頼性でかつ迅速に検証できる検証方法を構築すること要求されている。

0019

また、前記の静的なロジックエラー以外にも、内部の動作タイミングに起因する動的エラーがある。例えば、温度等の環境条件電源条件により内部ロジック間の伝送遅延時間が変動した場合、雰囲気条件により誤動作する可能性がある。これらタイミングに起因するエラーを防止するには、設計段階でタイミングシミュレーションなどにより余裕をもった設計を行うとともに、必要に応じて想定される実環境のもとで高い信頼性で検証することができる検証方法も要求されている。

0020

なお、以上の問題点、課題は、原子力プラント向けに説明を行ったが、その他、石油、化学プラントなど信頼性の高い制御システムが要求される分野においても、同様のデジタル装置の設計・製造における信頼性の確保、特に隠れた故障までも検出できる設計システムを構築することは重要である。

0021

本発明は、上記事情に鑑みてなされたもので、原子力プラント等の安全系装置の構成品を高効率かつ高水準の信頼性で試験・検証することができる検証方法、およびその検証方法で検証された安全系装置を提供することを目的とする。

課題を解決するための手段

0022

上記課題を解決するため、本発明に係る安全系装置の検証方法は、請求項1に記載したように、複数の機能要素から構成されるプログラマブルロジック素子具備した安全系装置の検証方法において、複数の機能要素のそれぞれに対して、各機能要素の全ロジックパターン入力に対する全ロジックパターン出力が正常であることを予め網羅的に実機検証する手順と、実機検証された各機能要素と同一の各機能要素を所定のハードウェア記述言語で生成する手順と、生成された各機能要素を独立に論理合成し各機能要素に対応した複数の第1のネットリストに変換する手順と、各機能要素間を接続する接続機能を所定のハードウェア記述言語で生成する手順と、生成された接続機能を論理合成し前記接続機能に対応した第2のネットリストに変換する手段と、複数の第1のネットリストと第2のネットリストとを合成し第3のネットリストを生成する手順と、第3のネットリストに基づいてプログラマブルロジック素子にロジック回路を書き込む手順と、ロジック回路を書き込んだプログラマブルロジック素子の動作が正常であることを実機で検証する実機検証手順と
を備えたことを特徴とする。

0023

また、本発明に係る検証方法によって検証された安全系装置は、請求項13に記載したように、複数の機能要素から構成されるプログラマブルロジック素子を具備した安全系装置において、複数の機能要素のそれぞれに対して、各機能要素の全ロジックパターン入力に対する全ロジックパターン出力が正常であることを予め網羅的に実機検証する手順と、実機検証された前記各機能要素と同一の各機能要素を所定のハードウェア記述言語で生成する手順と、生成された各機能要素を独立に論理合成し各機能要素に対応した複数の第1のネットリストに変換する手順と、各機能要素間を接続する接続機能を所定のハードウェア記述言語で生成する手順と、生成された前記接続機能を論理合成し前記接続機能に対応した第2のネットリストに変換する手段と、複数の第1のネットリストと前記第2のネットリストを合成し、第3のネットリストを生成する手順と、第3のネットリストに基づいて前記プログラマブルロジック素子にロジック回路を書き込む手順と、ロジック回路を書き込んだ前記プログラマブルロジック素子の動作が正常であることを実機で検証する実機検証手順とを備えた検証方法によって検証されたことを特徴とする。

発明の効果

0024

本発明に係る安全系装置の検証方法およびその検証方法で検証された安全系装置によれば、原子力プラント等の安全系装置の構成品を高効率かつ高水準の信頼性で試験・検証することができる。

発明を実施するための最良の形態

0025

本発明に係る安全系装置の検証方法およびその検証方法で検証された安全系装置の実施形態について添付図面を参照して説明する。

0026

(1)安全系装置1の位置づけとシステム構成概念
図1は、本発明に係る安全系装置1の基本的な構成例を示したものであり、併せて安全系装置1の外部に接続される装置例を示している。

0027

安全系装置1とは、例えば原子力プラント100に設けられる原子炉101の内部の状態を監視し、異常が発生した場合或いは異常の発生が予測される場合には、原子炉101を停止させる或いは異常箇所を分離する等の安全保護動作を行うための信号、即ちトリップ信号を出力する装置である。

0028

安全系装置1の入力端には、センサ2の出力が入力される。センサ2は、例えば原子炉101の内部に設置される放射線センサである。

0029

安全系装置1の出力端からは、トリップ出力が出力される。トリップ信号は、センサ2の出力を基に原子炉101の安全性を判定し、原子炉101に異常が発生した場合或いは異常の発生が予測される場合に安全系装置1から出力されるもので、このトリップ信号を原子力プラント100にフィードバックすることで、原子力プラント100側では例えば原子炉101を停止させたり、異常箇所を分離させたり等の安全処置を行う。

0030

安全系装置1は、入力されたセンサ2の信号を波形整形した後にデジタル値の変換するA/D変換器3を備えている。A/D変換器3の出力はFPGA(Field Programmable Gate Array)4aに入力される。

0031

FPGAとは、プログラム可能な高集積回路のことで、FPGA製造業者等から提供される汎用のFPGA(データが書き込まれていないFPGA)に、外部からユーザが所定のデータを書き込むことでユーザの仕様に応じた多種、多様な機能を実現可能とするものである。

0032

FPGAは、プログラマブルロジック素子(PLDとも呼ばれる。)の一種であり、PLDのうちでも特に近年普及してきている集積度の高いものをFPGAと呼んでいる。

0033

デジタル量に変換されたセンサ2の出力は、FPGA4aに書き込まれた機能、例えばデジタルフィルタ機能によって不要信号を除去した後、さらに後段のFPGA4bに出力される。FPGA4bは、例えば適宜の設定値とセンサ2の出力を比較して異常の有無を判定し、異常と判定された場合にはトリップ信号を出力する機能を有するものである。

0034

図1は、あくまで本発明に係る安全系装置1の産業上の利用における位置づけと、安全系装置1の主要な構成品がFPGAに代表されるプログラマブルロジック素子によって構成されることを示すものであり、安全系装置1の具体的な構成までを示すものではない。

0035

従って、安全系装置1へ入力されるセンサの種類や数は複数であっても良いし、FPGAの種類や数、或いはその実装形態図1の例示に限定されるものではない。

0036

安全系装置1に求められる高信頼性を確保するためには、安全系装置1を構成する各プログラマブルロジック素子の信頼性を検証することが極めて重要となる。

0037

そこで、以下の説明ではプログラマブルロジック素子の検証方法に焦点を絞って説明する。また、プログラマブルロジック素子には、FPGAの他、ASIC、ゲートアレイ、或いはPLDと呼ばれるものも含まれるが、以下の説明ではFPGAを例として説明するものとする。

0038

なお、本発明に係る完全系装置の検証方法とは、各プログラマブルロジック素子の検証方法をいうものである。

0039

(2)FPGAの検証方法の手順
図2は、図1に例示したFPGAの1つであるFPGA4aの内部構成例を示したものである。以下の説明ではFPGA4aを例として説明するが、FPGAの検証方法としてはいずれの機能を有するFPGAであっても同じものである。

0040

近年のFPGA4aは、総ゲート数が数百万を超える大規模なものも出現してきており、FPGA4a全体としては極めて集積度が高くかつ大規模なLSIとして捉えることができるが、その内部は機能的に分割された複数の要素の集合となっている。

0041

この機能の要素の単位を機能要素と呼んでいる。図2に例示したFPGA4aでは、機能要素5a、5b、5c、5dおよび5eの5種類の機能要素を備えて構成されている。

0042

各機能要素5aないし5eは、それぞれその内部に、例えばAND回路OR回路フリップフロップ回路加算回路カウンタ回路等のロジック回路を備えており、これらのロジック回路の組み合わせによって所定の機能を実現している。

0043

FPGA4a全体としては、各機能要素5aないし5eを相互に接続線で接続することによってFPGA4a全体の機能を実現することになる。

0044

一般に、FPGAを製作する流れは大きく次の段階によって構成される。

0045

第1段階は、FPGAで実現する機能を仕様として定める。

0046

第2段階は、仕様で定めた機能を、ハードウェア記述言語とよばれるプログラム言語で記述する。ハードウェア記述言語は適宜のテキストエディタを用いて記述され、生成された機能データコンピュータに記憶される。ハードウェア記述言語には、VHDL言語、System−C、Verilog言語等種々有るが、本実施形態ではVHDL言語を用いた形態のもので説明するが、他の言語であってもよい。

0047

第3段階では、ハードウェア記述言語で記述された機能データを、論理合成ツールと呼ばれる汎用のソフトウェアを用いて、ネットリストと呼ばれるロジックデータに変換する。また、この変換を論理合成と呼んでいる。ネットリストとは、ロジック回路の構成に関するデータのことであり、AND回路、OR回路、フリップフロップ回路、加算回路、カウンタ回路等のロジック回路の要素とその相互の接続状態表現したデータである。

0048

また、ネットリストは、ロジック回路の要素間の接続関係だけでなく、物理的な配置関係もデータとして保有している。

0049

第2段階においてハードウェア言語で記述された機能を実現するロジック回路は1つとは限らない。同一の機能を実現するロジック回路は複数存在しうる。例えば、処理時間を最短とすることを優先させる最適化や、ロジック回路の規模(素子数)を最小とする最適化が可能である。このため、一般に論理合成ツールでは、最適化実施の可否や、最適化の種類などをオプションとして選択可能となっている。

0050

第4段階では、ネットリストが備えるロジックデータに基づいて、動作のシミュレーションを行い、正常に動作することを確認・検証する。回路規模によってはシミュレーションを省略することも可能である。

0051

第5段階では、ネットリストデータに基づいてFPGAにデータを書き込み、実機としてのFPGAが完成する。この後、必要に応じて実機試験・検証が実施される。

0052

以上は、一般的なFPGAの製作の基本的な流れを示したものであるが、本発明に係る安全系装置1の検証方法においては極めて高度の信頼性が要求されているため、信頼性の確保に重点が置かれた流れとしている。

0053

図3は、本発明に係る安全系装置1が備えるFPGAの検証方法手順の実施形態を示したものである。

0054

テップST1では、各機能要素5aないし5eに対応してVHDLで記述されたデータ(以下、機能要素(VHDL)と呼ぶ)を生成する。機能要素(VHDL)50aないし50eは、予め実機のFPGAで十分に検証されたものをそのままの形態で生成する。ステップST1の細部手順を図4に示している。

0055

図4は、1つの機能要素(VHDL)50aを生成する過程を示したものである。

0056

まず、ステップST10で、機能要素5aの仕様に基づいて、VHDL言語を用いて記述することによって機能要素(VHDL)50aを生成する。

0057

次にステップST11で、汎用の論理合成ツールを用いて論理合成し、機能要素(VHDL)50aに対応したネットリスト51aを生成する。このとき、論理合成ツールのオプションとして、回路規模が最小となるように最適化オプションを選択することによって、機能要素5aを実現する最小回路規模のロジック回路データを生成することができる。

0058

次に、ネットリスト51aのデータをFPGA(テスト用実機)に書き込む(ステップST12)。なお、書き込み前に必要に応じてネットリスト51aデータを用いてシミュレーションを行い予め動作検証する手順を付加してもよい。

0059

次に、ステップST13で、FPGA(テスト用実機)に対して網羅的検証を行う。網羅的検証とは、全入力、全内部状態に対する出力を仕様から算出した予測値と比較し、正常動作を確認する検証方法である。

0060

一般に、FPGA全体レベルのように大規模のデジタル回路になると、入力パターンや内部状態のパターン数が指数関数的に増加するため、網羅的検証は実効上不可能になってくると言われている。

0061

しかしながら、FPGAの内部を細部に分割した機能要素5aのレベルにおいては網羅的検証が実現可能である。また、網羅的検証は総てのビットパターンを検証するものであるため、極めて特異な離散値データが入力された時に限り発生する異常動作についても予め検証することができる。このため、信頼性の観点からは最も有効な検証方法である。

0062

テスト用実機による網羅的検証によって動作の正常が確認できたならば(ステップST14のYes)、機能要素(VHDL)50aのデータは高い信頼性で保証されたことになる(ステップST15)。

0063

一方、網羅的検証で異常が発見された場合には、原因究明を行った後機能要素(VHDL)50aの修正を実施し(ステップST16)、ステップST11へ戻る。

0064

なお、他の機能要素(VHDL)50bないし50eについても同様に網羅的検証を行う。

0065

このようにして、図3のステップST1では、個々の機能要素(VHDL)50aないし50eについて実機検証されたものが生成されることなる。

0066

ステップST2では、論理合成ツールを用いて機能要素(VHDL)毎に独立に論理合成を行い、各機能要素(VHDL)50aないし50eに対応したネットリスト(第1のネットリスト)51aないし51eを生成する。この手順は、既に図4フローで検証済のものであり、新たな不具合要因が混入する可能性は極めて少ない。論理合成ツールの有効性も既に図4のフローの中で検証済である。

0067

他方、FPGA全体を構成するためには、各機能要素5aないし5eの間を接続しなければならない。このために必要となるデータをステップST3および4で生成している。

0068

ステップST3では、各機能要素5aないし5eの間の接続を規定する仕様に基づいて接続機能をVHDL言語で記述し、機能要素(VHDL)50a等と同様に接続機能(VHDL)を生成する。

0069

ステップST4で、論理合成ツールを用いて接続機能(VHDL)に対して論理合成を行い、機能要素間の接続のみを規定するネットリスト(第2のネットリスト)61を生成する。

0070

ステップST5では、各機能要素5aないし5eに対応するネットリスト(第1のネットリスト)51aないし51eと、これらの間の接続関係を示すネットリスト(第2のネットリスト)61とを合成し、第3のネットリスト70を生成する。この第3のネットリスト70が、FPGA4aの全体の接続状態を示すデータとなる。

0071

ステップST6では、第3のネットリスト70のデータに基づいてロジック回路の接続関係を検証する。接続関係の検証は、第3のネットリスト70からロジック回路の接続図を出力し、目視等による人間系の検証が主体となる。

0072

この際、図3に示した手順によれば、もっとも複雑である各機能要素のネットリスト51aないし51eについては既にステップST1において検証済であるため基本的には検証不要であり、各機能要素間の接続のみを重点的に検証すれば十分である。このため、接続検証に要する時間が大幅に節約されることになり、効率的な接続検証が可能となる。

0073

(3)他の形態との比較
図5は、本発明に係る実施形態(図3のフロー)との比較のために、同じFPGA4aを製作・検証する方法の他の形態について示したものである。図5に示した手順では、図3の手順と比べるとステップST2およびステップST4を省略した形態となっている。一見、図5の手順の方が効率よく見えるが、かならずしもそうはならない。その理由は以下のとおりである。

0074

図5の手順および図3の手順ともいずれもステップST1では同様にして各機能要素毎に実機検証を行う。

0075

図3の手順では、各機能要素(VHDL)毎に独立にネットリストを生成した後にネットリスト同士を合成する手順としているため、ステップST1で実機検証したネットリストの同一性が保証されていることになる。

0076

一方、図5の手順では、各機能要素(VHDL)と接続機能とをステップST100において一度に論理合成している。このため、せっかくステップST1で検証したネットリストの同一性が完全には保証できなくなる。

0077

もっとも、論理合成ツールのオプションとして、ステップST100の論理合成手順において回路規模最小等の最適化を制限すれば、かなりのレベルにおいてステップST1の検証時のネットリストとの同一性は確保できるものの完全な同一性の保証までには至らない。このため、ステップST6aの接続確認においては、各機能要素の内部に一部入り込んで接続確認をせざるを得ず、結果的には接続検証に膨大な時間を費やすことになる。

0078

また、ステップST100の論理合成において最適化を制限しているため、回路規模が大きなものとなってしまうという問題点もある。

0079

これに対して、図3に示した本発明に係る検証方法の実施形態では、ステップST2で生成されるネットリスト(第1のネットリスト)は、ステップST1で実機検証したネットリストと全く同一のものが生成されることになる。このため、ステップST6の接続検証では各機能要素の内部に入って検証する必要がなく、各機能要素間の接続のみを検証すれば十分である。このため、接続検証に要する時間が短縮され効率の高い接続検証が可能となる。

0080

さらに、ステップST1におけるテスト用実機検証の際の論理合成手順において、回路規模を最小とする論理合成オプションを設定しておけば、全く同じ設定によってネットリスト51aないし51eを生成することが可能であるため、ステップST1の実機検証と完全な同一性を維持しつつも回路規模の最小化を実現することが可能となる。

0081

(4)接続検証
ステップST6の接続検証では各機能要素5a間の接続確認を行うことになるが、本実施形態に係る検証方法では、以下に示す2つの接続検証を行っている。

0082

図6は、第1の接続検証の手順を示す図である。

0083

ステップST60では、ネットリスト(第3のネットリスト)70のデータに基づいて対応するロジック回路図可視化して表示させる。この結果、例えば、図2に例示したようなロジック回路図が表示、或いはプリントアウトされる。この際、各機能要素5aないし5eの内部のロジック回路と、各機能要素5aないし5e間の接続を示す部分とを色分けし、視認容易に表示する形態でもよい。

0084

ステップST61では、可視化されたロジック回路と各機能要素間の接続を規定した仕様とを比較検証する。

0085

比較検証の結果、各機能要素間の接続が正しいことが検証されれば(ステップST62のYes)第1の接続検証は終了する。

0086

各機能要素間の接続と仕様との間に不一致等があった場合には(ステップST62のNo)原因究明を行った後、適宜対策、処置を行う(ステップST63)。

0087

第1の接続検証の手順によれば、ネットリスト(第3のネットリスト)70がロジック回路図として可視化して提供されるため、接続検証を効率的に行うことができる。

0088

なお、ステップST61の比較検証は人間系が行うことも可能であるが、機能要素の数が多くなった場合などは、別途比較検証用のツール等を用いて比較検証作業を自動化する形態であっても良い。

0089

図7は、第2の接続検証の手順を示したものである。第2の接続検証は、仕様に基づいて生成される接続機能(VHDL言語で記述されたもの)と、ネットリスト(第3のネットリスト)70との間で機能要素間の接続を検証するものである。

0090

まず、ステップST65において、ネットリスト(第3のネットリスト)70から機能要素間の接続回路可視可能に表示させる。

0091

図8は、ネットリスト(第3のネットリスト)70のうち機能要素5aおよび5bを含むグループXXの接続回路120を可視化して表示させた回路図を示したものである。図8では、機能要素5aおよび5bをブラックボックスとして扱い、機能要素間の接続のみを表示させる表示形態としている。

0092

図9は、グループXXの接続回路を生成する基となる接続機能を、VHDL言語で記述したデータ110を示したものである。

0093

図9において、1行目ないし3行目はグループ「XX」の定義を記述している。また、4行目ないし7行目は機能要素「AA」(機能要素5aに対応するもの)の入出力の定義を記述したものであり、「AAI」が機能要素「AA」の入力であり、「AAO」が機能要素「AA」の出力であることを示している。

0094

同様に、8行目ないし11行目は機能要素「BB」(機能要素5bに対応するもの)の入出力の定義を記述したものであり、「BBI」が機能要素「BB」の入力であり、「BBO」が機能要素「BB」の出力であることを示している。

0095

12行目は機能要素間の接続線L1、L2およびL3を定義したものである。

0096

最後に、13行目および14行目においてグループXX全体の接続機能を規定している。13行目では、機能要素「AA」の入力「AAI」は接続線L1に接続され、出力「AAO」は接続線L2に接続されることを規定している。同様に14行目では、機能要素「BB」の入力「BBI」は接続線L2に接続され、出力「BBO」は接続線L3に接続されることを規定している。

0097

図9のVHDL言語で記述したデータ110と、図8に示した接続回路120とを比較検証する(図7のステップST67)ことによって、機能要素間の接続が確実にネットリスト(第3のネットリスト)70上に実現されていることが検証できる。

0098

なお、図8に示した接続回路120の信号名称は所定のルールに従って一部変更されている。具体的には、VHDL言語で記述したデータ110内の名称に上位のグループ名称「XX」をして名付けられる。例えば、「AAI」が「XXAAI」の如くに変更される。このため、図7のステップST67の比較検証に先だって、VHDL言語で記述したデータ110内の名称を変換する手順(ステップST66)を付加している。

0099

本実施形態では、各機能要素の内部については、各々実機によって網羅的に検証されているため、ネットリスト(第3のネットリスト)70の検証においてはブラックボックスとして扱っても信頼性は損なわれない。従って、機能要素間の接続のみをネットリスト(第3のネットリスト)70上で十分に検証すれば高い信頼性を得ることができる。

0100

本実施形態では、第1の接続検証および第2の接続検証を行うことによって機能要素間の接続検証を高い信頼性で実施することができる。

0101

(5)シミュレーション検証
各機能要素毎に行われる実機による網羅的検証(図3のステップST1)や、接続検証(図3のステップST6)によって、静的動作の機能・性能の検証は担保されるものの、信号の遅延時間の変化等微妙なタイミングのずれに起因する動的動作の検証としては必ずしも十分でない場合がある。

0102

そこで、本実施形態に係る安全系装置1の検証方法では、ネットリスト(第3のネットリスト)70のデータを基にシミュレーションを行って遅延時間を求め、この遅延時間が所定値以下であるか否かを判断することによってタイミングのずれに起因する動的動作の検証を行う形態としている。

0103

図10は、シミュレーション検証の手順を示したものである。

0104

また、シミュレーション検証の手順を具体的に示すために、図11(a)に示したロジック回路を例にとって説明する。

0105

まず、図10のステップST70において、ネットリスト(第3のネットリスト)70のデータと、遅延時間を求めるためのデータベースとから所定の部位の遅延時間をシミュレーションによって求める。

0106

本説明例では、ネットリスト(第3のネットリスト)70は、図11(a)に示したように機能要素5fおよび機能要素5gのふたつの機能要素を備えたものとしている。各機能要素の出力段にはそれぞれフリップフロップQ1およびQ2が設けられており、外部からのクロック信号CLKによって同期が取られて動作するようになっている。

0107

ここで機能要素5gの中で最も信号の遅延が大きくなるパスは、AND回路A1をとおりさらにAND回路A2を介してフリップフロップQ2へ至るパスである。

0108

機能要素5fおよび機能要素5gが正常に動作するためには、フリップフロップQ1がクロック信号CLKに応じて信号を出力し、その出力が、AND回路A1およびA2を介して、フリップフロップQ2に伝達される時間Tdが、クロック周期tcに対して十分小さいことが必要である。

0109

そこで、図10のステップST70では、フリップフロップQ1の出力(図11の(A)点)からAND回路A1およびA2を介してフリップフロップQ2の入力(図11の(B)点)へ至るパスの遅延時間Tdをシミュレーションによって求める。

0110

この際、AND回路A1およびA2自体の遅延時間や、前記パスを構成する接続線の遅延時間が記憶されているデータベースを必要に応じて用いることができる。

0111

ところで、素子の遅延時間は、周囲温度電源電圧等によって変化するが、その変化の割合は、標準的な使用環境即ち常温定格電源電圧の状態に対して、約1.3倍から1.5倍程度であることが知られている。

0112

そこで、標準的な使用環境における遅延時間をシミュレーションで求め、その遅延時間Tdがクロック1周期tcの50%以下であれば、周囲温度や電源電圧等が遅延時間を最大にする状態に変化したとしてもタイミングに起因する動的誤動作を防止できる。

0113

この判定を図10のステップST71の手順で行っている。

0114

シミュレーションによって求めた遅延時間Tdがクロック周期tcの50%以下であれば(ステップST71のYes)本シミュレーション検証は終了する。

0115

一方、遅延時間Tdがクロック周期tcの50を越える場合には(ステップST71のNo)、設計変更を行うことになる。具体的には、クロック周期を長くするか、或いはパス中に、例えばAND回路A1とAND回路A2との間にあらたにフリップフロップを追加する等の設定変更を行う。

0116

その設計変更が実施可能であれば(ステップST72のYes)、設定変更に基づいてネットリスト(第3のネットリスト)70を再生成した後、再度シミュレーション(ステップST70)を実施する。

0117

その設計変更が他の制約等によって実施不可能である場合には(ステップST72のNo)ステップST75へ進む。

0118

ステップST75は、実機に厳しい環境を実際に印加して動作を検証する手順である。標準的な使用環境におけるシミュレーションによる遅延時間のマージンが50%未満の場合であっても、実機に遅延時間が最も大きくなる温度や電源電圧等の環境を実際に印加して正常動作を保証すれば信頼性は損なわれない。

0119

ステップST76で実機検証による正常動作が確認できれば本手順は終了する(ステップST76のYes)。逆に実機検証で正常動作が確認できなかった場合(ステップST76のNo)には、別途対策・処置を行う必要がある。

0120

なお、本シミュレーション試験の信頼性を担保するために、予めシミュレーション自体の検証を行っておくことが好ましい。具体的には、予め適宜の評価用のネットリストを生成し、このネットリストのデータと遅延時間算出用のデータベースとを用いてシミュレーションによって遅延時間を求めておき、前記評価用のネットリストを用いて製作した評価用の実機FPGAによる実測遅延時間と、シミュレーションから求めた遅延時間とを比較検証しておけばよい。

0121

(6)実機検証(トグルカバレッジ試験
図3に示した検証方法の手順では、ステップST6のシミュレーション検証の後、ネットリスト(第3のネットリスト)70のデータを用いて実機のFPGA4aへ書き込む(ステップST8)。

0122

次に、書き込みの終了したFPGA4aを用いて実機検証を行う(ステップST9)。実機検証では、FPGA4aが仕様通りの機能、性能等を実現できているか否かを実機を用いて検証する他、トグルカバレッジ試験と呼ばれる試験をさらに行うことによって高い信頼性を実現している。

0123

トグルカバレッジ試験とは、トグルカバレッジと呼ばれる検証の信頼性を表す指標が所定値以上、望ましくは100%となるように行う試験である。

0124

ここで、「トグルする」とは、ロジック素子の接続線の論理値が「0」から「1」へ、或いは「1」から「0」へ変化することを言う。また、トグルカバレッジとは、所定のロジックパターンを順次変化させてFPGA4aに入力したときに、FPGA4a内の各ロジック素子の接続線がトグルした場合には「トグルした接続線」としてカウントし、FPGA4a内の各ロジック素子の「接続線の総数」に対する「トグルした接続線」の数の比を言う。

0125

従って、「トグルカバレッジ100%で検証された」とは、FPGA4a内の総てのロジック素子の接続線がトグルしたことが網羅的に検証されたことを意味する。

0126

ところで、本実施形態に係る検証方法では、図3のステップST1において、各機能要素5aないし5eは既に実機によって網羅的に検証されている。

0127

従って、ステップST9におけるトグルカバレッジ試験では、各機能要素の内部のトグルカバレッジを検証する必要はなく、機能要素間の接続線についてのみトグルカバレッジ試験を実施すれば十分であり、またこれによって検証時間の節約もできる。

0128

図12は、実機検証(トグルカバレッジ試験)の手順を示したものである。

0129

まず、ステップST90では機能要素間を接続する接続線の総数を算定する。接続線の総数は、例えば図13に例示したFPGA4aの機能要素間の接続図から算定できる。図13において丸印で示した点が接続線(ノードと呼ぶ場合もある)を示している。図13の例では、接続線の総数は10である。

0130

また、図13では、トグルしたノードを黒丸で示し、トグルしなかったノードを白丸で表示している。図13の状態は、総ノード数10に対してトグルしたノードが8であるのでトグルカバレッジは80%であることを表している。

0131

ところで、機能要素間の接続点においては、外部から入力されるロジックパターンの内容にかかわらず「トグルしない」ことが設計上明らかな場合がある。例えば、グランド線や電源がある機能要素に接続されている場合には、その接続線の論理値がトグルすることはあり得ない。このように設計上トグルしないことが明らかな接続線を総数としてカウントすることは徒にトグルカバレッジを低下させるだけで無意味である。

0132

そこで、図12のステップST91の手順では、設計上トグルしない接続線を接続線の総数から予め除いている。

0133

例えば、図14の接続図では、機能要素5dの入力には電源が接続されており、機能要素5dの入力および出力はトグルしないことが明らかである場合の例を示している。このような接続線を除くことにより、トグルカバレッジ算定に用いる接続線の総数は8となる。図14の例ではトグルしたノードの数は8でありトグルカバレッジは100%となる。

0134

このように接続線の総数を算定した後、実際のトグルカバレッジ試験を開始する。

0135

図15は、トグルカバレッジ試験の試験系統を示した図である。適宜のシグナルジェネレータ200をFPGA4aの実機とFPGA4aを模擬した模擬FPGA201に接続する。模擬FPGA201は、例えばネットリスト(第3のネットリスト)70から生成することができる。

0136

FPGA4aの実機と模擬FPGA201の出力はそれぞれ信号記録器(1)202および信号記録器(2)203に接続されそれらの出力が記録されると共に、比較装置204によって一致しているか否かが判定される。

0137

このような試験系統において、シグナルジェネレータ200を用いてロジックパターンを順次変化させて発生させ(図12のステップST92)、FPGA4aの実機と模擬FPGA201に並列に入力する(ステップST93)。

0138

模擬FPGA201では、各接続線のトグルの有無を判定し(ステップST94)、トグルカバレッジを自動的に算出する(ステップST95)。

0139

トグルカバレッジが所定値以上になったか否かを判定し(ステップST96)、所定値以上となった場合には試験を停止する。

0140

その後、信号記録器(2)に記録された実機のFPGA4aの出力を確認し、総て正常の場合にはトグルカバレッジ試験を終了する。

0141

この他、模擬FPGA201は、図13に例示した回路図とノードのトグル状態を表示する表示装置を備えた構成としてもよい。また、ロジックパターンを順次変化させて入力させるとトグルしたノードが例えば適宜の色分けで表示されるように構成してもよい。

0142

試験実施者は、模擬FPGA201の表示画面をモニタすることにより、トグルしていない接続線を容易に視認することができる。また、トグルカバレッジをリアルタイムに確認することができるため、トグルカバレッジが予め定めた所定値を越えた時点で試験を終了させることが可能となり、効率的な試験を実施することができる。さらに、トグルカバレッジが予め定めた所定値を越えた場合にシグナルジェネレータにフィードバックし、ロジックパターンの発生を自動的に停止させる形態としてもよい。このような構成によって、より自動計測が可能となり効率の高い試験が可能となる。

0143

また、FPGA4a内の任意の接続線を指定し、指定した接続線の波形を実機のFPGA4aと模擬FPGA201の双方からモニタする手順を適宜付加する形態としてもよい。トグルカバレッジ試験において何らかの異常が発生した場合等にその原因を究明する上で有効な手順となる。

0144

なお、上述した検証方法の説明では特定のFPGA4aを例として説明したが、本発明に係る検証方法は特定のFPGAに限定されるものではなく、広くプログラマブルロジック素子に適用できるものである。

0145

本発明に係る安全系装置の検証方法およびその検証方法によって検証された安全系装置によれば、安全系装置を構成するプログラマブルロジック素子(FPGA)を機能要素に分割し、各機能要素毎に最適化されたロジック回路を予め実機を用いて網羅的に検証を行った後に、検証された機能要素を独立に論理合成することで実機検証時と同一性を維持することができるため、ロジック回路の最適化による回路規模の小型化等を実現できるとともに高い信頼性が確保された検証方法、およびその検証方法によって検証された安全系装置を提供することができる。

0146

また、本発明に係る安全系装置の検証方法およびその検証方法によって検証された安全系装置によれば、各機能要素の結合後においては、各機能要素間の接続のみを重点的に検証すれば十分であるため、検証時間を短縮することが可能であり、効率の高い検証方法、およびその検証方法によって検証された安全系装置を提供することができる。

0147

また、静的な検証に加えて、タイミング回路のマージン等の動的機能・性能を予めシミュレーションによって検証する手順により十分なマージンを確保可能としているため、高い信頼性が実現される。

0148

さらに、本発明に係る安全系装置の検証方法およびその検証方法によって検証された安全系装置によれば、通常の仕様確認試験に加えて、実機検証においてトグルカバレッジ試験を行う手順と備えているため、機能要素内の網羅的検証に加えて各機能要素間の接続線についても未検証の接続線を見落とすことなく排除することが可能となり高い信頼性が得られる。その際、設計上トグルしない接続線を予め排除する手順を加えることによって試験時間の短縮が可能となり、高い効率化が図れる。

0149

なお、本発明は上記の各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせても良い。

図面の簡単な説明

0150

本発明に係る安全系装置の一実施形態の構成モデルを示す図。
本発明に係る安全系装置の一実施形態が備えるプログラマブルロジック素子の構成モデルを示す図。
本発明に係る安全系装置の検証方法の一実施形態の手順を示す図。
プログラマブルロジック素子が備える機能要素の実機検証手順例を示す図。
本発明に係る安全系装置の検証方法の比較例を示す図。
本発明に係る安全系装置の検証方法における第1の接続検証の手順例を示す図。
本発明に係る安全系装置の検証方法における第2の接続検証の手順例を示す図。
第2の接続検証方法の具体例を説明する第1の説明図。
第2の接続検証方法の具体例を説明する第2の説明図。
本発明に係る安全系装置の検証方法におけるシミュレーション検証の手順例を示す図。
本発明に係る安全系装置の検証方法におけるシミュレーション検証の具体例を説明する図。
本発明に係る安全系装置の検証方法における実機検証(トグルカバレッジ試験)の手順例を示す図。
本発明に係る安全系装置の検証方法における実機検証(トグルカバレッジ試験)の具体例を説明する第1の説明図。
本発明に係る安全系装置の検証方法における実機検証(トグルカバレッジ試験)の具体例を説明する第2の説明図。
本発明に係る安全系装置の検証方法における実機検証(トグルカバレッジ試験)の試験系統図。

符号の説明

0151

1安全系装置
4a、4b、4c、4d、4eFPGA(プログラマブルロジック素子)
5a、5b、5c、5d、5e、5f、5g機能要素
50a、50b、50c、50d、50e VHDLで記述された実機検証済の機能要素
51a、51b、51c、51d、51e 第1のネットリスト
60 VHDLで記述された接続機能
61 第2のネットリスト
70 第3のネットリスト
70a ネットリスト(比較例)
100原子力プラント
101原子炉
200シグナルジェネレータ
201模擬FPGA
202信号記録装置(1)
203 信号記録装置(2)
204 比較装置

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

  • 東芝エレベータ株式会社の「 BIMシステム、サーバ装置、および方法」が 公開されました。( 2020/12/17)

    【課題】昇降機のBIMモデルに表示不良部が生じるのを抑制する。【解決手段】実施形態のBIMシステムは、第1のBIMパーツに対応する第2のBIMパーツを含み第1のBIMモデルに対応する昇降機の第2のBI... 詳細

  • 学校法人東海大学の「 蓄熱器の設計方法、設計装置及びプログラム」が 公開されました。( 2020/12/17)

    【課題】振動流を利用したエネルギー変換装置が備える蓄熱器の熱効率を最大とする設計支援を行うための設計方法を提供する。【解決手段】エネルギー変換装置の設計方法であって、振動流に関する流体の方程式に基づい... 詳細

  • 三菱電機株式会社の「 設計支援装置および設計支援方法」が 公開されました。( 2020/12/17)

    【課題・解決手段】設計支援装置(1)は、部品表データにおける複数の選定部品を順に適否判定対象部品とし、適否判定対象部品と被部品との部品間関係値を用いて選定部品の適否の判定値を算出する。... 詳細

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ