図面 (/)

技術 偶発的なハードウェア故障の確率的メトリック

出願人 ルネサスエレクトロニクス株式会社
発明者 ビンチェッリ,リッカルドチェファロ,アゴスティーノ
出願日 2017年4月13日 (4年8ヶ月経過) 出願番号 2019-555812
公開日 2020年6月11日 (1年6ヶ月経過) 公開番号 2020-517018
状態 未査定
技術分野 デバッグ/監視
主要キーワード コンポーネント部品 分岐表 サブ部品 SLタイプ 機能安全 カットセット 故障モード影響解析 グラフィカルシンボル
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2020年6月11日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (20)

課題・解決手段

エレメント安全機構SM)とを含むマイクロコントローラ等の電子ステム偶発的なハードウェア故障の確率的メトリックを求める方法が、開示される。安全機構は第1層安全機構(FL−SM)と第2層安全機構(SL−SM)とを含む。第1層安全機構は部品の故障の少なくとも部分的なカバレッジを提供することができ、第2層安全機構は第1層安全機構の故障の少なくとも部分的なカバレッジを提供することができる。この方法は、第1層安全機構に対応付けられる第1組の確率(KSM_D)を計算するステップと、部品における直接侵害フォールトに対応付けられる第2組の確率(KDvF_n)を計算するステップと、部品における間接侵害フォールトに対応付けられる第3組の確率(KrvF_n)を計算するステップとを含む。この方法は、第1組、第2組、および第3組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップを含む。

概要

背景

背景
ISO26262−5の第9条は、偶発的なハードウェアフォールト(fault)による安全目標侵害残留リスクを評価する、2つの二者択一的方法を提案している。一方の方法は、「偶発的なハードウェア故障の確率的メトリック(probabilistic metric for random hardware failures)」(PMHF)と呼ばれる確率的メトリックである。これは、安全目標侵害の残留リスクが十分に低いか否かを評価するために、たとえば、定量化されたフォールトツリー解析(Fault Tree Analysis)(FTA)を用いて安全目標の侵害を評価することと、定量化された値の結果を目標値と比較することとを含む。他方の方法は、想定される安全目標の侵害につながる、各残存およびシングルポイントフォールトならびに各デュアルポイント故障を個別に評価することを含む。

PMHFは、偶発的なハードウェアフォールトが原因で、あるアイテムが実際に故障することにより、その安全目標が侵害される確率である。これは、寄与するシングルポイントフォールト(single point fault)(SPF)、残存フォールト(residual fault)(RF)、および妥当と思われるデュアルポイントフォールト(dual point fault)(DPF)を考慮し、またそれらの時間との関係も考慮する。デュアルポイントフォールトを含めることにより、一層複雑な時間の関数になる可能性がある。

ISO26262−10において、PMHFはFTA手法を用いて評価される。この手法は、フォールトが分岐に発生する確率を計算し、(ORゲートを通して)合計するまたは(ANDゲートを通して)乗算することにより、すべてのフォールトの確率を組み合わせて、解析中のシステムにおけるハザードの確率を得る。

FTA手法は、この解析を理解し易くするのに役立ち得るグラフィカルシンボルを用いて表現することができる。しかしながら、この手法は、非常に大きなツリーをもたらす可能性があり、また、PMHFはすべてのフォールトの確率を組み合わせることで評価されるので、遅く相当な処理を必要とし得る複雑な計算につながる可能性がある。

概要

エレメント安全機構SM)とを含むマイクロコントローラ等の電子システムの偶発的なハードウェア故障の確率的メトリックを求める方法が、開示される。安全機構は第1層安全機構(FL−SM)と第2層安全機構(SL−SM)とを含む。第1層安全機構は部品の故障の少なくとも部分的なカバレッジを提供することができ、第2層安全機構は第1層安全機構の故障の少なくとも部分的なカバレッジを提供することができる。この方法は、第1層安全機構に対応付けられる第1組の確率(KSM_D)を計算するステップと、部品における直接侵害フォールトに対応付けられる第2組の確率(KDvF_n)を計算するステップと、部品における間接侵害フォールトに対応付けられる第3組の確率(KrvF_n)を計算するステップとを含む。この方法は、第1組、第2組、および第3組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップを含む。

目的

第1層安全機構は、部品の故障の少なくとも部分的なカバレッジを提供することができ、第2層安全機構は、第1層安全機構の故障の少なくとも部分的なカバレッジを提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

エレメント安全機構とを含む電子ステム偶発的なハードウェア故障の確率的メトリックを求める方法であって、前記安全機構は第1層安全機構と第2層安全機構とを含み、第1層安全機構は部品の故障の少なくとも部分的なカバレッジを提供することができ、第2層安全機構は第1層安全機構の故障の少なくとも部分的なカバレッジを提供することができ、前記方法は、前記第1層安全機構に対応付けられる第1組の確率を計算するステップと、前記部品の直接侵害フォールトに対応付けられる第2組の確率を計算するステップと、前記部品の間接侵害フォールトに対応付けられる第3組の確率を計算するステップと、前記第1組、前記第2組、および前記第3組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップとを含む、方法。

請求項2

前記偶発的なハードウェア故障の確率的メトリックの値を取得するステップは、前記第1組、前記第2組、および前記第3組の確率を加算することを含む、請求項1に記載の方法。

請求項3

前記偶発的なハードウェア故障の確率的メトリックの値を取得するステップは、前記電子システムの推定寿命除算することを含む、請求項2に記載の方法。

請求項4

前記第2層安全機構から生じる第4組の故障率寄与度を特定するステップをさらに含み、前記偶発的なハードウェア故障の確率的メトリックの値を取得するステップは、第1組、第2組、第3組、および第4組の故障率寄与度を加算することを含む、または、前記第1組および前記第2組の故障率寄与度は前記第4組の故障率寄与度を含む、先行する請求項のいずれか1項に記載の方法。

請求項5

前記偶発的なハードウェア故障の確率的メトリックの値は、ISO26262標準準拠して取得される、先行する請求項のいずれか1項に記載の方法。

請求項6

第1層安全機構ごとに、第1層安全機構に影響するフォールトが直接侵害フォールトであるか間接侵害フォールトであるかを判断するステップと、前記フォールトが第2層安全機構によってカバーされるか否かを判断するステップと、前記フォールトが前記第2層安全機構によってカバーされることに依拠して、前記第1層安全機構と前記第2層安全機構との間にリンク構築するステップとをさらに含む、先行する請求項のいずれか1項に記載の方法。

請求項7

エレメントごとに、エレメントに影響するフォールトが直接侵害フォールトであるか間接侵害フォールトであるかを判断するステップと、前記フォールトが第1層安全機構によってカバーされるか否かを判断するステップと、前記フォールトが前記第1層安全機構によってカバーされることに依拠して、前記部品と前記第1層安全機構との間にリンクを構築するステップとをさらに含む、先行する請求項のいずれか1項に記載の方法。

請求項8

前記第1組の確率を計算するステップは、第1層安全機構ごとに、第1層安全機構における直接侵害フォールトによる寄与度、および、第2層安全機構において生じる第1のフォールトと前記第1レベル安全機構において生じるその後の第2の直接侵害フォールトとの組み合わせによる寄与度を計算することを含み、前記第1層安全機構における直接侵害フォールトは前記第2層安全機構によってカバーされる、先行する請求項のいずれか1項に記載の方法。

請求項9

前記第2組の確率を計算するステップは、部品ごとに、前記部品が1つ以上の直接侵害フォールトを有するか否かを判断し、有すると判断した場合は、前記直接侵害フォールトによる寄与度を計算することと、前記部品が1つ以上の間接侵害フォールトを有するか否かを判断し、有すると判断した場合は、前記間接侵害フォールトによる寄与度を計算することとを含む、先行する請求項のいずれか1項に記載の方法。

請求項10

前記第2組の確率を計算するステップは、直接侵害フォールトによって引き起こされる一組の異なるフォールトおよび安全機構故障シナリオの確率を合計することを含む、請求項8または9に記載の方法。

請求項11

前記第2組の確率を計算するステップは、間接侵害フォールトによって引き起こされる一組の異なるフォールトおよび安全機構故障シナリオの確率を合計することを含む、請求項8、9または10に記載の方法。

請求項12

前記第3組の確率を計算するステップは、部品ごとに、前記部品が別の部品にリンクされているか否かを判断することと、前記部品および前記別の部品について間接侵害フォールトによる前記偶発的なハードウェア故障の確率的メトリックに対する寄与度を求めることとを含む、先行する請求項のいずれか1項に記載の方法。

請求項13

前記電子システムは、集積回路または複数の電子コンポーネントである、先行する請求項のいずれか1項に記載の方法。

請求項14

複数のエレメントを含む電子システムの設計のための機能安全データを生成する方法であって、前記方法は、フォールトに関連するデータと解析に関連するデータとを含む構成データを受けるステップと、各エレメントの出力に対する1つ以上のフォールトの影響を示すデータを含むフォールト影響解析データを受けるステップと、安全機構が各エレメントをカバーする程度を示すデータを含むフォールトカバレッジ解析データを受けるステップと、前記構成データと前記フォールト影響解析データと前記フォールトカバレッジ解析データとを用いて機能安全データを生成するステップと、先行する請求項のいずれか1項に記載の方法を用いて偶発的なハードウェア故障の確率的メトリックを求めるステップと、前記構成データと前記フォールト影響解析データと前記フォールトカバレッジ解析データと前記機能安全データとを含むレポートを格納するステップとを含む、方法。

請求項15

電子システムを設計する方法であって、前記方法は、電子コンポーネントの設計を作成するステップと、前記電子コンポーネントの第1の設計に対し、請求項14に記載の機能安全データを生成するステップと、前記機能安全データに依拠して前記電子コンポーネントの改定された設計を作成するステップとを含む、方法。

請求項16

電子コンポーネントを製造する方法であって、請求項12に記載の電子コンポーネントを設計するステップと、改定された設計に従って電子コンポーネントを製造するステップとを含む、方法。

請求項17

請求項16に記載の方法によって製造された電子コンポーネント。

請求項18

データ処理装置によって実行されると請求項1〜14のいずれか1項に記載の方法を前記データ処理装置に実行させるコンピュータプログラム

請求項19

データ処理装置を含む設計支援システムであって、前記設計支援システムは、少なくとも1つのプロセッサと、メモリとを備え、前記少なくとも1つのプロセッサは、請求項1〜14のいずれか1項に記載の方法を実行するように構成されている、設計支援システム。

技術分野

0001

発明の分野
本発明は、偶発的なハードウェア故障の確率的メトリックに関する。

背景技術

0002

背景
ISO26262−5の第9条は、偶発的なハードウェアフォールト(fault)による安全目標侵害残留リスクを評価する、2つの二者択一的方法を提案している。一方の方法は、「偶発的なハードウェア故障の確率的メトリック(probabilistic metric for random hardware failures)」(PMHF)と呼ばれる確率的メトリックである。これは、安全目標侵害の残留リスクが十分に低いか否かを評価するために、たとえば、定量化されたフォールトツリー解析(Fault Tree Analysis)(FTA)を用いて安全目標の侵害を評価することと、定量化された値の結果を目標値と比較することとを含む。他方の方法は、想定される安全目標の侵害につながる、各残存およびシングルポイントフォールトならびに各デュアルポイント故障を個別に評価することを含む。

0003

PMHFは、偶発的なハードウェアフォールトが原因で、あるアイテムが実際に故障することにより、その安全目標が侵害される確率である。これは、寄与するシングルポイントフォールト(single point fault)(SPF)、残存フォールト(residual fault)(RF)、および妥当と思われるデュアルポイントフォールト(dual point fault)(DPF)を考慮し、またそれらの時間との関係も考慮する。デュアルポイントフォールトを含めることにより、一層複雑な時間の関数になる可能性がある。

0004

ISO26262−10において、PMHFはFTA手法を用いて評価される。この手法は、フォールトが分岐に発生する確率を計算し、(ORゲートを通して)合計するまたは(ANDゲートを通して)乗算することにより、すべてのフォールトの確率を組み合わせて、解析中のシステムにおけるハザードの確率を得る。

0005

FTA手法は、この解析を理解し易くするのに役立ち得るグラフィカルシンボルを用いて表現することができる。しかしながら、この手法は、非常に大きなツリーをもたらす可能性があり、また、PMHFはすべてのフォールトの確率を組み合わせることで評価されるので、遅く相当な処理を必要とし得る複雑な計算につながる可能性がある。

課題を解決するための手段

0006

概要
本発明の第1の局面に従い、エレメント安全機構(safety mechanism)(SM)とを含む、マイクロコントローラ等の電子システムの、偶発的なハードウェア故障の確率的メトリックを求める方法が提供される。安全機構は、第1層安全機構(first layer safety mechanism)(FL−SM)と、第2層安全機構(second layer safety mechanism)(SL−SM)とを含む。第1層安全機構は、部品の故障の少なくとも部分的なカバレッジを提供することができ、第2層安全機構は、第1層安全機構の故障の少なくとも部分的なカバレッジを提供することができる。この方法は、第1層安全機構に対応付けられる第1組の確率(KSM_i)を計算するステップと、部品の直接侵害フォールトに対応付けられる第2組の確率(KDVF_n)を計算するステップと、部品の間接侵害フォールトに対応付けられる第3組の確率(KIVF_n)を計算するステップとを含む。この方法は、第1組、第2組、および第3組の確率に依拠して偶発的なハードウェア故障の確率的メトリックの値を取得するステップを含む。

0007

これにより、故障モード影響解析(failure modes and effects analysis)(FMEA)のような解析を用いてPMHFをより迅速に計算することができる。

0008

フォールトは、直接侵害フォールト(direct violation fault)(DVF)の場合がある。DVFは、安全機構が何も存在しない場合に、安全目標を直接的に侵害する可能性がある。直接侵害フォールトに分類され安全機構によってカバーされないフォールトは、ISO26262のシングルポイントフォールト(SPF)またはISO26262の残存フォールト(RF)につながる可能性がある。フォールトは、間接侵害フォールト(indirect violation fault)(IVF)の場合がある。IVFは、その他1つ以上のフォールトと組み合わされた場合に限り、安全目標を侵害する可能性がある。間接侵害フォールトに分類されるフォールトは、ISO26262のマルチポイントフォールト(multiple point failure)(MPF)につながる可能性がある。フォールトは、非侵害フォールト(no violation fault)(NVF)の場合がある。NVFは、その他1つ以上のフォールトと組み合わされても、安全目標を侵害する可能性がない。非侵害フォールトに分類されるフォールトは、ISO26262の安全フォールト(safety fault)(SF)に分類することができる。

0009

この方法は、第1、第2および/または第3組の確率を格納することおよび/または偶発的なハードウェア故障の確率的メトリックの値を格納することを含み得る。この方法は、偶発的なハードウェア故障の確率的メトリックの値を表示することを含み得る。この方法はさらに、偶発的なハードウェア故障の確率的メトリックの値を出力することを含み得る。

0010

この方法は、偶発的なハードウェア故障の確率的メトリックの値を自動的に取得することを含み得る。この方法は、偶発的なハードウェア故障の確率的メトリックの値を自動的に出力することを含み得る。

0011

偶発的なハードウェア故障の確率的メトリックの値を取得するステップは、第1組、第2組、および第3組の確率を加算することを含み得る。偶発的なハードウェア故障の確率的メトリックの値を取得するステップは、当該システムの推定寿命(Tlife)で除算すること(すなわち、第1組、第2組、および第3組の確率の加算を含む結果を除算すること)を含み得る。

0012

この方法は、第2層安全機構から生じる第4組の故障率寄与度を特定するステップをさらに含み得る。偶発的なハードウェア故障の確率的メトリックの値を取得するステップは、第1組、第2組、第3組、および第4組の故障率寄与度を加算することを含む、または、第1組および第2組の故障率寄与度は第4組の故障率寄与度を含む。

0013

偶発的なハードウェア故障の確率的メトリックの値は、好ましくはISO26262標準準拠して取得される。

0014

この方法は、第1層安全機構ごとに、第1層安全機構に影響するフォールトが直接侵害フォールトであるか間接侵害フォールトであるかを判断するステップと、フォールトが第2層安全機構によってカバーされるか否かを判断するステップと、フォールトが第2層安全機構によってカバーされることに依拠して、第1層安全機構と第2層安全機構との間にリンク構築するステップとをさらに含み得る。

0015

この方法は、エレメントごとに、エレメントに影響するフォールトが直接侵害フォールトであるか間接侵害フォールトであるかを判断するステップと、フォールトが第1層安全機構によってカバーされるか否かを判断するステップと、フォールトが第1層安全機構によってカバーされることに依拠して、部品と第1層安全機構との間にリンクを構築するステップとをさらに含み得る。

0016

第1組の確率を計算するステップは、第1層安全機構ごとに、第1層安全機構における1つの直接侵害フォールトによる寄与度、および、第2層安全機構において生じる第1のフォールトと第1レベル安全機構において生じるその後の第2の直接侵害フォールトとの組み合わせによる寄与度を計算することを含み得る。

0017

第2組の確率を計算することは、部品ごとに、直接侵害フォールトによる寄与度をもしあれば計算することと、間接侵害フォールトによる寄与度をもしあれば計算することとを含む。

0018

第2組の確率を計算することは、部品における直接侵害フォールトによる偶発的なハードウェア故障の確率的メトリックに対する寄与度を求めることを含み得る。第2組の確率を計算することは、部品における間接侵害フォールトによる偶発的なハードウェア故障の確率的メトリックに対する寄与度を求めることを含み得る。

0019

第3組の確率を計算するステップは、部品ごとに、当該部品が別の部品にリンクされているか否かを判断することと、当該部品および上記別の部品について間接侵害フォールトによる偶発的なハードウェア故障の確率的メトリックに対する寄与度を求めることとを含み得る。

0020

電子システムは、集積回路、または、複数の電子コンポーネントであってもよい。たとえば、集積回路はマイクロコントローラであってもよい。マイクロコントローラは、車台用途で使用されるように構成されたマイクロコントローラであってもよい。たとえば、マイクロコントローラは、FlexRay通信コントローラを含み得る。集積回路は、特定用途向け集積回路ASIC)であってもよい。複数の電子コンポーネントは、集積回路、抵抗器ダイオードその他などの離散コンポーネントMEMSデバイスセンサ、および/またはアクチュエータを含み得る。

0021

本発明の第2の局面に従い、電子コンポーネントを設計する方法が提供される。この方法は、電子コンポーネントの設計を作成するステップと、電子装置の第1の設計の機能安全データを生成するステップと、当該機能安全データに依拠して電子装置の改定された設計を作成するステップとを含む。

0022

本発明の第3の局面に従い、電子コンポーネントを製造する方法が提供される。この方法は、電子コンポーネントを設計するステップと、改定された設計に従って電子コンポーネントを製造するステップとを含む。

0023

本発明の第4の局面に従い、データ処理装置によって実行されるとこのデータ処理装置に上記方法を実行させるコンピュータプログラムが提供される。

0024

本発明の第5の局面に従い、上記コンピュータプログラムを格納するコンピュータ読取可能媒体を含むコンピュータプログラムプロダクト(非一時的なものであってもよい)が提供される。

0025

本発明の第6の局面に従い、少なくとも1つのプロセッサと少なくとも1つのメモリとを備えるデータ処理装置を含む設計支援システムが提供される。上記少なくとも1つのプロセッサは上記方法を実行するように構成される。

0026

本発明の第7の局面に従い、上記製造方法によって製造された電子システムが提供される。

0027

次に、例示として、添付の図面を参照しながら本発明の特定の実施形態を説明する。

図面の簡単な説明

0028

電子システムのエレメントと、当該エレメントの一部分の保護を提供する第1層安全機構(FL−SM)と、第1層安全機構の一部分の保護を提供する第2層安全機構(SL−SM)とを概略的に示す図である。
第1および第2のフォールトのFTA分岐を示す図である。
図1Aに示される第1および第2のフォールトのタイムラインを示す図である。
フォールトのタイムラインを示す図である。
その順序に意味がある2つのフォールトのタイムラインを示す図である。
その順序に意味がない2つのフォールトのタイムラインを示す図である。
その順序に意味がありタイムスパンτ内で発生する2つのフォールトのタイムラインを示す図である。
その順序に意味がなく、あるタイムスパン内で発生する、第1および第2のフォールトと、このタイムスパンの終了後に発生する第3のフォールトとを含む、3つのフォールトのタイムラインを示す図である。
第1のタイムスパン内で発生する第1のフォールトと、第1のタイムスパンの終了後に発生する第2のタイムスパン内で発生する第2のフォールトと、第2のタイムスパンの終了後に発生する第3のフォールトとを含む3つのフォールトのタイムラインを示す図である。
第1および第2の間接侵害フォールト(IVF)フォールトのFTA分岐を示す図である。
PMHF値を生成する方法のプロセスフロー図である。
SL−SMのラムダ値導出する方法のプロセスフロー図である。
FL−SMのラムダ値を導出する方法のプロセスフロー図である。
エレメントのラムダ値を導出する方法のプロセスフロー図である。
FL−SMからの基本寄与度を求める方法のプロセスフロー図である。
部品からの基本寄与度を求める方法のプロセスフロー図である。
IVFフォールトによるPMHF寄与度を求める方法のプロセスフロー図である。
PMHFの算出を説明する図である。
カスタマイズ可能な解析レポートを格納する安全データベースを含む設計支援システムの概略ブロック図である。
顧客安全解析システムの概略ブロック図である。
設計支援プロセスフロー図である。
エレメント特徴付けデータの概略図である。
電子システムまたはコンポーネントの概略ブロック図である。

実施例

0029

特定の実施形態の詳細な説明
本明細書ではPMHFの値をFMEAのような解析を用いて取得できるプロセスを説明する。これを用いることにより、集積回路等の電子システムまたはその一部の安全性を、FTAのような手法を用いる場合よりも容易におよび/または迅速に評価することができる。

0030

図1を参照して、ハードウェアを含み得るエレメント(本明細書では「部品」とも呼ぶ)が示されている。このエレメントは、たとえばマイクロコントローラである集積回路等のシステムに含まれている。エレメントは、たとえば、処理部、揮発性メモリ不揮発性メモリデータ転送部、各種のインターフェイス部、各種の通信部およびタイマ部であってもよい。当該システムには複数の安全機構を設けることができ、これらの安全機構は各々、ハードウェア、ソフトウェア、またはその組み合わせで実現し得る。安全機構(本明細書では「第1層安全機構」と呼ぶ)は、エレメントのすべてまたは一部分に対するカバレッジを提供し得る。安全機構(本明細書では「第2層安全機構」と呼ぶ)は、別の安全機構のすべてまたは一部分に対するカバレッジを提供し得る。機能安全解析を実行することにより、エレメントのPMHF値を、すなわち、偶発的なハードウェアフォールトが原因で当該エレメントが故障する(そしてその安全目標を侵害する)確率を、求めることができる。このプロセスは、安全機構を考慮して、n=2とするSPF、RFおよびMPF等のフォールトの範囲を検討することを含む。

0031

一例として、エレメントは主発振器であってもよい。第1層安全機構はクロックモニタの形態で提供されてもよい。このようなクロックモニタは、当該クロックモニタの部分的な制御および検出(control and detection)(「C&D」)カバレッジを提供し得る。しかしながら、クロックモニタのための安全機構は存在しない場合がある。言い換えると第2層安全機構が存在しない場合がある。安全目標の侵害につながり得る1つのフォールトまたは複数のフォールトの組み合わせは、(1)フォールトにリンクされた主発振器のカバーされていない部分の何らかのフォールトおよび(2)クロックモニタを利用できないようにするフォールトであって、その後クロックモニタのカバーされている部分にフォールトが生じる。あるエレメントのカバーされていない部分は、カバーされていない故障/フォールトにリンクされる。

0032

よって、安全解析を用いることにより、主発振器の故障率をさまざまなラムダ値に分解することができる。

0033

このプロセスは、n=2とするSPF、RFおよびMPF等のフォールトのタイプごとに、本明細書では「基本寄与度(basiccontribution)」(BC)と呼ぶ行動モデルを定義または使用し、寄与度ごとにハザードを生じさせる確率を導出し、寄与度を合計することで全体のPMHF値を取得することに、基づいている。各基本寄与度は、ハザードを生じさせる可能性がある一連の独立したフォールトを表し得るものであり、これらのフォールトの正確な順序を示すタイムラインによって特徴付けられる。基本寄与度は、(タイムラインで示される)イベントが発生する確率である。

0034

図2Aおよび図2Bはそれぞれ、FTA分岐の一例、および、対応する、基本寄与度に関する第1および第2のフォールトF1、F2のタイムラインを示す。基本寄与度を図示し説明するこれら2つのやり方入れ替えが可能である。

0035

図示されている例において、第2のフォールトF2は、第1のフォールトF1よりも後に発生した場合に限り、ハザードを生じさせる。FTA分岐表現を用いる場合、この順序は、第2のフォールトF2の左側のボックスに入れられた文字「L」を用いて示される。よって、この例において、第2のフォールトF2は、ハザードを生じさせる、最後に生じるフォールトでなければならない。このため、FTA分岐は対応する基本寄与度に置き換えることができる。

0036

以下、さまざまな基本寄与度について説明する。
このプロセスは、1セットの仮定および複数のフォールトセットに基づく。1セットの仮定の例および複数のフォールトセットの例をそれぞれ表1および表2に示す。仮定は修正してもよい。たとえば、その他の仮定を使用してもよい。

0037

0038

0039

指数「i」および「j」はそれぞれ、第1層安全機構(または「FL−SM」)および第2層安全機構(または「SL−SM」)に対して使用される。これらの指数は、ある部品(またはFL−SM)とそれに対応する安全機構との間に明確なリンクを構築することを目的としている。部品の例は、たとえば、マイクロコントローラまたはその他の集積回路に含まれ得る、CPUコア、埋め込まれたメモリ、または通信ユニットを含む。

0040

以下、簡潔にするために1つの第1層安全機構(または第2層安全機構)に注目する場合がある。しかしながら、実際は、ある部品に影響するフォールトは2つ以上の安全機構によってカバーすることが可能であり、第1層安全機構のフォールトは2つ以上の第2層安全機構によってカバーすることが可能である。したがって、たとえ本明細書において1度に言及するのが1つの安全機構であっても、本プロセスは、2つ以上の安全機構がともに作用する可能性を考慮することができる。

0041

表2に示されるセットは、以下に記載の基本寄与度の説明を簡単にすることを意図する簡略化された例である。たとえば、「Pa_DVF_Di_Dj」および「Pa_DVF_Di_U」というセットには意味がない。なぜなら、部品Paのフォールトは、FL−SMiの一部ではなく全体によってカバーされるからである。したがって、フォールトは、FL−SMのサブ部分すべてによってカバーされる。言い換えると、より実用的な用途では、どちらのセットも含む1つのセット、すなわちPa_DVF_Diを用いることができる。表2に示されるセットは、基本寄与度を如何にして使用するかをより分かり易くするのに役立つことを意図している。PMHFの実際の評価は、表5に示されるセットを用いて行う。

0042

基本寄与度の定義
このセクションにおける式は確率論から導き出される。簡潔にするために、このセクションでは以下の名称および記号を用いる。
Fiフォールトi
λi Fiに対応付けられたFIT(または「故障率」)の一部分
tFi Fiが生じる瞬間
Tlife解析中のアイテムの推定寿命
τ可能な第2層SMによる第1層SMの2つの異なるテスト間の推定タイムスパン(本明細書では「テスト間隔」とも言う)
FTTフォールトトレラントタイム
BCsingle
BCsingleは、全寿命期間中に起こり得る、どのSMによってもカバーされない1つのフォールトのPMHFに対する寄与度である。図3はこの寄与度のタイムラインを示す。確率論から、以下の式1を用いてBCsingleのPMHFに対する定量的寄与度を評価することが可能である。

0043

0044

例:どのSMによってもカバーされないDVFフォールトは、車の全寿命期間中においていつでもハザードを生じさせる可能性がある。よって、そのPMHFに対する寄与度は式1を用いて評価することができる。DVFフォールトの影響を受ける可能性がある部品全体を考慮して、この寄与度をフォールトごとに評価する必要がある。結果は以下の式2によって表される。

0045

0046

BCdouble_ord
BCdouble_ordは、特定の順序で発生する2つのフォールトの寄与度である。すなわち、第1のフォールトF1が最初に発生し第2のフォールトF2が次に発生する。図4はこの寄与度のタイムラインを示す。確率論から、以下の式3を用いてBCdouble_ordのPMHFに対する定量的寄与度を評価することが可能である。

0047

0048

式3の独立変数(λF1,λF2)の順序は、ハザードを発生させるフォールトのシーケンスと同一である。なお、この式は乗算を含むので、項の順序には意味がない。

0049

例:制御および検出(control and detection)(「C&D」または簡単に「CD」とも呼ぶ)が可能な安全機構がカバーするDVFフォールトは、フォールトが発生する前に安全機構が利用できなくなった場合に限り、ハザードを生じさせる可能性がある。この場合のハザードをもたらすフォールトのシーケンスは図4に示され、第1のフォールトF1は安全機構を利用不能にするフォールトであり、第2のフォールトF2はDVFフォールトである。

0050

部品に影響する1つのDVFフォールトごとに、安全機構を利用できなくするすべてのフォールトについて、この寄与度を評価する必要がある。結果は以下の式4によって表される。

0051

0052

BCdouble_unord
BCdouble_unordは、そのシーケンスに制限が課されずに発生する2つのフォールトの寄与度である。図5はこの寄与度のタイムラインを示す。フォールトとフォールトとの間の両矢印は、フォールトの発生の順序には意味がないのでフォールトを入れ替えることができることを示している。確率論から、以下の式5を用いてBCdouble_unordのPMHFに対する定量的寄与度を評価することができる。

0053

0054

例:制御を提供するが検出は提供しない安全機構がカバーするDVFフォールトは、(1)安全機構がフォールトの発生前に利用できなくなる、および、(2)安全機構が、Pのフォールトが発生した(したがって潜在的な状態のままで制御されてきた)後に利用できなくなる、という条件のうちのいずれか一方が満たされると、ハザードを生じさせる可能性がある。これらの条件はどちらも図5に示され、式5はこのケースを表している。

0055

部品に影響するDVFフォールトごとに、安全機構を利用できなくするすべてのフォールトについて、この寄与度を評価する必要がある。結果は以下の式6によって表される。

0056

0057

BCtau
BCtauは、限定されたタイムスパンτ内で特定の順序で発生する2つのフォールトの寄与度である。この基本寄与度はBCdouble_ordに似ているが、相違点は、寄与が可能になるタイムスパンが存在することである。図6は、この寄与度についてフォールトのシーケンスのタイムラインを示す。確率論から、BCtauのPMHFに対する定量的寄与度を以下の式7を用いて評価することが可能である。

0058

0059

例:これは、次に(τごとにテストを実行する)SL−SMによってモニタリングされるFL−SMによって制御され(場合によっては検出され)るDVFフォールトがハザードを生じさせ得る、可能な方法のうちの1つである。

0060

SL−SMによって実行される2つの連続するテストとテストとの間において、フォールト(F1)が発生してFL−SMを利用不能にしたか否かに気付く方法はない。よって、同じタイムスパンにおいて部品に別のフォールトが生じた場合、ハザードが生じるであろう。

0061

この寄与度について、SL−SMが利用不能である可能性は考慮してこなかった。なぜなら、SL−SMには周期特性があるので(表1参照)、図5に示されるフォールトのシーケンスは、SL−SMが正しく働いているか否かとは関係なく、ハザードを生じさせる可能性がある。

0062

式8は、部品および安全機構に影響を与えるすべてのフォールトを考慮して、全体的なBCtau寄与度を提供する。

0063

0064

BCtest
BCtestは、特定の時間制約の下で発生する3つのフォールトの寄与度である。この制約とは、第1および第2のフォールトF1、F2は同じ時間間隔[(n−1)τ,nτ]内で発生しなければならず、第3のフォールトはtF3>nτ後に発生しなければならない、という制約である。第1および第2のフォールトF1、F2の発生順序は逆であってもよい。図7は、この寄与度に関するフォールトのシーケンスのタイムラインを示す。確率論から、以下の式9を用いて、BCtestのPMHFに対する定量的寄与度を評価することができる。

0065

0066

例:これは、次に(τごとにテストを実行する)SL−SMによってモニタリングされるFL−SMによって制御されるDVFフォールトが、前のものとは無関係のハザードを生じさせ得る、もう1つの可能な方法である。

0067

同じテスト間隔[(n−1)τ,nτ]内で第1層安全機構および第2層安全機構双方が利用できなくなった場合、第1層安全機構がもはや機能していないことに気付く可能性はなく、したがってPに発生するどのフォールトもカバーされず、ハザードが発生する。式10は、ある部品、その関連する第1層および第2層安全機構全体に関連する全体的なBCtest寄与度を提供する。

0068

0069

BCcascadeは、第1のフォールトF1が間隔[(m−1)τ,mt]内で発生し、第2のフォールトF2がtF2∈[(n−1)τ,nτ]、n>mで発生し、第3のフォールトF3がtF3>nτで発生するというシーケンスで生じる3つのフォールトの寄与度である。図8はこの寄与度を生じさせるフォールトのシーケンスのタイムラインを示す。確率論から、式11を用いて、BCcascadeのPMHFに対する定量的寄与度を評価することが可能である。

0070

0071

例:これもまた、次に(τごとにテストを実行する)SL−SMによってモニタリングされるFL−SMによって制御されるDVFフォールトが、前のものとは無関係のハザードを生じさせ得る、可能な方法である。

0072

SL−SMが最初に利用できなくされる場合(F1)、FL−SMで発生するフォールト(F2)は検出することができず、したがって、DVFフォールトが発生すると(F3)、それはハザードを生じさせるであろう。なお、第3のフォールトF3は間隔[(n−1)τ,nτ]内では発生し得ない。なぜなら、第2のフォールトF2、さもなければBCcascadeはBCtauとは無関係であるからである。式12は、ある部品、それに関連する第1層安全機構および第2層安全機構全体に関連する全体的なBCcascade寄与度を提供する。

0073

0074

BC2Layers
第1層および第2層安全機構双方が検出を実行している場合、これらの、ハザードをもたらす総確率のみを、無関係の3つのイベントBCtau、BCtest、およびBCcascadeの組み合わせとして計算することができる。結果として、3つの基本レイヤ一緒に使用されるので、式13に記載される新たな寄与度(「BC2Layers」)は、それらの総和として定義することができる。

0075

0076

BCの適用
安全解析プロセスにおいて、PMHFは、FL−SMがカバーし得るいずれかの種類のフォールト(DVFまたはIVFのいずれか)から発生するハザードを生じさせることが可能な、交わらないまたは無関係のすべてのイベントに関連する基本寄与度のすべての組み合わせを合計することによって、計算できる。制御および/または検出機能を有するFL−SMは、SL−SMによってモニタリングされる場合とされない場合とがある。

0077

表3は、DVFフォールトのセットごとにPMHFを評価するためにどの基本寄与度を考慮するかを示す。IVFフォールトは表4において考慮されている。フォールトセットの詳細な説明については再び表2を参照されたい。

0078

0079

ID5の項「BCdouble_ord(λPa_DVF_Ci_Dj,λFL−SMi_IVF_Dj)」は、FL−SMiには制御機能しかないので、必要である。Paにフォールトが発生した場合、これは制御されるがFL−SMjからの通知はない。その後フォールトが原因でFL−SMiが利用できなくなった場合、SL−SMjとは無関係にハザードが派生する。手堅い仮定は、DVFのFTTが0という仮定である。上述の基本寄与度の説明において提供した例は、表3のその他の項を説明するのに十分である。

0080

図9を参照して、FTA手法では、2つの独立したIVFフォールトによるPMHFへの寄与度を、これら2つのフォールトに関連する2つの分岐の結果を乗算する(すなわちANDゲートを通して組み合わせる)ことによって評価する。FTA手法と本明細書に記載の手法との間に類似性があるので、表4に示すように拡張によりIVFフォールトからの寄与度を計算することが可能である

0081

0082

表4において、指数「h」および「v」はそれぞれ、部品Pbに関連するFL−SMおよびSL−SMに対して用いられている。この変化を認識すると、表2を部品Pbに関連するフォールトのセットを記述するために使用することもできる。

0083

表4において、各式は係数0.5を含む。これは、IVFフォールトによる寄与度の過度の推定を避けるために導入される。上記表の例を考慮すると、部品PaおよびPbのIVFフォールトによるPMHFに対する全体的な寄与度(KPa_Pb)は次の通りである。
KPa_Pb=IIVF_a・KIVF_b
Paに関連するすべての寄与度を合計する(表4の列「PMHF寄与度」)と、結果(KIVF_a)は次の通りになる。
KIVF_a=0.5・KPa・KPb
また、このような合計をPb(KIVF_b)に用いて、
KIVF_b=0.5・KPb・KPa
を得る。

0084

そうすると、全体の寄与度は次のように評価できる。
KPa_Pb=KIVF_a+KIVF_b=0.5・KPa・KPb+0.5・KPb・KPa=KPa・KPb
上記表4を参照して、IVFの場合、FTTはDVFの場合よりも大きく、ほとんどの場合、これは、SL−SMはFL−SMの非可用性を検出することしかできないということである。FL−SMの非可用性を検出することにより、ハザードを回避して、この寄与度を無視することができ、この場合、項「BCdouble_ord(λPa_IVF_Ci_Dj,λFL−SMi_IVF_Dj)」の導入は、DVFの場合よりも一層手堅い。

0085

続き表4を参照して、列「注」のKPbの式は、IVFフォールトに対して作用するSM(FLタイプおよびSLタイプ双方)の可能なすべての組み合わせを考慮して、最も一般的なやり方で書かれたものである。なお、部品Pbにフォールトのセットが存在しない場合、FITの関連する部分は0であり、対応付けられるBCもそうである。

0086

たとえば、部品Pbにおいて、FL−SMによって検出されたフォールトがない場合、λPb_IVF_Dh_UおよびλPb_IVF_Dh_Dvはどちらも0に等しく、結果として、これらを用いるBCである、λ(BCdouble_ord(λFL−SMh_IVF_U_U,λPb_IVF_Dh_U),BC2Layers(λPb_IVF_Dh_Dv,λFL−SMh_IVF_Dv,λSL−SMv))も、0に等しい。

0087

設計全体についてすべての基本寄与度が評価されると、式14に記載されるように、すべての基本寄与度を合計することによって総PMHF値を計算することが可能である。この式において、KIVFは、IVFフォールトの影響を受ける部品による寄与度を考慮する。

0088

0089

安全解析フローへの統合
図10を参照して、PMHF値を求めるプロセスが示されている。このプロセスは、第2層安全機構のλの値を導出すること(ステップS8.1)と、第1層安全機構のλの値を導出すること(ステップS8.2)と、部品のλの値を導出すること(ステップS8.3)と、第1層安全機構からの基本寄与度を求めること(ステップS8.4)と、部品からの基本寄与度を求めること(ステップS8.5)と、IVFフォールトによるPMHF寄与度を求めること(ステップS8.6)と、PMHFを計算すること(ステップS8.7)とを含む。

0090

先に述べたように、実際のPMHF評価は、表2に記載されているものと異なるフォールトのセットを用いて行われる。このプロセスを詳細に説明する前に、フォールトのセットについて先ず説明する。

0091

0092

表5において、最後の列は、PMHF寄与度を評価するために提案する式の理解に役立つことを意図している。これは、どの記述セット(表2で使用)が実際のフォールトセットを構成するかを示している。さらに、実際のセットが2つの記述セットからなる場合、第4列の式は、異なる記述セットに関連する用語を区別するための異なる2つのフォントスタイル(通常およびイタリック)で書かれている。最後の列でも同じ表記を用いることで式およびセットをリンクさせ易くしている、すなわち、最後から2番目の列においてイタリック体で書かれた式は、最後の列のイタリック体の記述セットに関連している。

0093

以下のステップは、表5を基準として構成されたものである。フォールトセットが部品(またはFL−SM)に存在しなければ、FITの対応する部分、したがって対応付けられた基本寄与度は、ゼロである。

0094

SL−SMのλ微分の導出(ステップS8.1)
図10を参照して、このプロセスは、設計に提供された第2層安全機構に対応付けられたFITの部分を求める。モデルの開発に使用された仮定のうちの1つは、このような安全機構の誤った挙動がハザードを直接生じさせることはできないので、所与のSL−SM(SL−SMj)に対応付けられたFIT全体が λSL−SMjに加算される(ステップS8.1.1〜S8.1.7)という仮定である。

0095

FL−SMのλを導出(ステップS2)
図11を参照して、本プロセスは、第1層安全機構に対応付けられたFITの部分を求める(ステップS8.2.1〜S8.2.14)。これらの安全機構のうちの少なくともいくつかがハザードを直接生じさせる可能性があるというのが妥当な仮定である。そのため、第1のチェックをこれらの第1層安全機構に対して実行することにより、所与のSM(FL−SMi)に影響するフォールトがDVFまたはIVFであると特定する(ステップS8.2.3)。第2のチェックを実行することにより、フォールトが安全機構によってカバーされるか否かを判断する(ステップS8.2.4)。フォールトが安全機構によってカバーされることがわかると、FL−SMとSL−SMとの間にリンクが構築される(ステップS8.2.5およびS8.2.10)。このリンクは、少なくとも一時的に、ワーキングメモリ48(図19)におけるラムダ分類データ47(図19)に格納される。このリンクにより、基本寄与度を評価するときに、式で使用されるFITの正しい部分に対応することができる。2つ以上の安全機構によってフォールトがカバーされることが判明した場合は、ランクが最も高い安全機構についてのみ、リンクが発行される。

0096

これらのチェックの結果、安全機構のFITは、以下の異なる(すなわち交わらない)セット、すなわち、λFL−SMi_DVF_U、λFL−SMi_DVF_Cj、λFL−SMi_IVF_U、およびλFL−SMi_IVF_Cjに分割される。第2層安全機構はフォールトの検出のみが可能である(フォールトの制御はできない)と想定されているので、第1層安全機構におけるフォールトが制御のみであるのかまたは検出も可能なのかを区別する必要はない。

0097

部品のλを導出(ステップS8.3)
図12を参照して、本プロセスは、部品に対応付けられたFITの部分を求める(ステップS8.3.1〜S8.3.18)。

0098

部品のλの導出は、第1層安全機構のλの導出と同様であり、主な相違点は、制御のみが行われるフォールトと、検出も行われるフォールトとの区別がなされる点である。よって、本プロセスは、フォールトに対して制御のみ行われるか否かをチェックする(ステップS8.3.6およびS8.3.13)。

0099

第1層安全機構のλの導出の場合、部品と、そのフォールトをカバーする安全機構との間に、リンクが生成される(ステップS8.3.5およびS8.3.12)。同様に、2つ以上の安全機構によってフォールトがカバーされることが判明すると、ランクが最も高い安全機構についてのみ、リンクが発行される。

0100

このステップの最後に、以下のλのセット、すなわち、λPn_DVF_U、λPn_DVF_Di、λPn_DVF_Ci、λPn_IVF_U、λPn_IVF_Di、およびλPn_IVF_Ciを用いることができる。ステップS1〜S3は、異なる順序で実行することができ、これらのステップうちの1つ以上を修正してもよい。

0101

FL−SMからの基本寄与度を求める(ステップS8.4)
図13を参照して、電子システム(マイクロコントローラ等)の部品および安全機構についてFITのサブセットが導出されると、本プロセスは、安全機構のDVFフォールトによるPMHF寄与度を求める(ステップS8.4.1〜S8.4.4)。i番目の安全機構のDVFフォールトによる寄与度をKSM_iで示す。i番目の安全機構SMiがDVFフォールトの影響を受けない場合、KSM_i=0である。

0102

KSM_iが評価されると、このKSM_iは、PMHFの計算のための式において直接使用される。

0103

表3に従い、第1層安全機構については、DVFフォールトによる寄与度のみが考慮される。IVFフォールトによる寄与度は、安全機構自体がカバーする部品の解析中に直接考慮される。

0104

部品からの基本寄与度を求める(ステップS8.5)
図14を参照して、本プロセスは、所与の部品Pnに影響を与えるIVFおよびDVFフォールトによるPMHFへの寄与度を求める(ステップS8.5.1〜S8.5.7)。

0105

このステップの出力は次の通りである。
KDVF_n:DVFフォールトによる寄与度。PnにDVFフォールトがなければ、KDVF_n=0である。KDVF_nは、評価されると、PMHFの計算のための式において直接使用される。

0106

KIVF_n:IVFフォールトによる寄与度。PnにIVFフォールトがなければ、KIVF_n=0である。PMHFの計算のための式でKIVF_nを使用する前に、別の評価ステップを実行する必要がある。

0107

項「ΣBCdouble_unord(λPn_IVF_Ci,λFL−SMi_IVF_U)」および「ΣBC2Layers(λPn_IVF_Di,λFL−SMi_IVF_Dj,λSL−SMj)」はそれぞれ、式15および式16に記載したように評価される。この例で使用されるFITのセットが表6に示される。

0108

0109

0110

IVFフォールトによるPMHF寄与度を求める(ステップS8.6)
図15を参照して、本プロセスは、IVFによるPMHFに対する寄与度を求める(ステップS8.6.1〜S8.6.7)。IVFの場合、共在する(concurrent)2つの部品を各々識別することにより、PMHF寄与度を適切に評価する。PBのIVFが安全目標の侵害に至るにはPAに影響するIVFが必要である場合、第1の部品PAは第2の部品PBと共在する。共在性交換可能であり、第1の部品PAが第2の部品PBと共在する場合、第2の部品PBは第1の部品PAと共在する。

0111

このステップは、ある部品が安全機構を提供するか否かを判断し、当該部品が安全機構を提供するか否かに応じて寄与度を調整する。当該部品が安全機構を提供しない場合、寄与度は存在せず、当該部品が安全機構を提供するのであれば、寄与度はファクタ0.5だけ減じられる。

0112

安全解析プロセスにおいて、IVF共在部品は、部品レベル解析レポート10(図18)のエレメント特徴付け17(図21)の「IVF_concurrent」属性を用いて識別することができる。

0113

場合によっては、共在部品を識別することが不可能な場合がある。たとえば、フォールトの影響が手動で推定される場合、フォールトはそれ自身ではハザードを生じさせることはできないと想定され、保守的なやり方で、フォールトがNVFに分類されない場合、当該フォールトはIVFになる。このような場合、当該プロセスは、設計の「最悪IVF部品」、つまりPgの識別を可能にする。

0114

このプロセスは先ずKPgを導出する(ステップS8.6.1)。KPgは、部品に影響するすべてのIVFフォールトの寄与度であり、IVFフォールトによるPMHFへの寄与度を評価するのに必要な独立した分岐のうちの1つと考えられる。

0115

このプロセスは次に、IVFフォールトおよびブランクの「IVF_concurrent」属性を有するPn部品のうちで、KIVF_nが最も高い、Pgを選択する(ステップS8.6.3およびS8.6.4)。次に、部品Pgのフォールトは、その親部分が「IVF_concurrent」属性のブランク入力を有するIVFフォールトに対して共在する(ステップS8.6.3)。

0116

2つの可能性がある。すなわち(1)部品が、エレメント特徴付け17(図21)における属性「IVF_concurrent」17(図21)を通して別の部品に明確にリンクされる、または、(2)部品がその他どの部品にもリンクされず、エレメント特徴付け17(図21)における関連する属性「IVF_concurrent」17(図21)はブランクのままである。

0117

第1のケースにおいて、計算は簡単であり、必要なのは2つの共在する部品の、前のステップで評価された基本寄与度を組み合わせることだけである(矢印Aで示される、ステップS8.6.3、S8.6.8およびS8.6.10)。第2のケースにおいて、PMHFへの寄与度の評価は、追加のステップ、すなわち「最悪IVF部品」の選択を必要とする(ステップS6.1)。

0118

ブランクの「IVF_concurrent」属性17(図21)を有する部品の場合、Pnを最悪IVF部品Pg(その選択については後述する)に対応付けるKIVF_nを計算する。そうでなければ、エレメント特徴付け17(図21)における「IVF_concurrent」属性17(図21)に表されるリンクに従い、共在分岐が評価される。

0119

チェック「n=g?」(ステップS8.6.4)は、部品に影響するIVFフォールトによる寄与度を、もし解析対象のこの部品が「最悪IVF部品」に分類されるものである場合、スキップすることを可能にする。

0120

このステップを導入する理由を以下で説明する。
Pgの解析は以下の寄与度を提供するはずである。

0121

0122

kの値について、PkはPgにリンクされた部品であり、一方、Pgに対応付けられた各部品は、以下を提供するはずである。

0123

0124

よって、Pgの全体的な寄与度およびそれに対応付けられたすべての部品は容易に見出すことができ、KPg_Pkは次の通りである。

0125

0126

KPgを評価するために、理想的にはプロセスはPgに対応付けられたすべての部品を追跡する必要がある。しかしながら、これは処理リソースを要する。よって、より簡単な解決策を用いることにより、全体的なKPg_Pkを容易に推定する。チェック「n=g?」のため、採用された解決策はK’IVF_g=0を提供し、(矢印Bで示される)一連のステップS6.4およびS6.9に従うと次の通りになる。

0127

0128

Pgの全体的な寄与度、および、これに対応付けられた、この異なる手法(K’Pg_Pk)で評価されるすべての部品を計算することにより、以下のように、前に計算したものと全く等しくすることができる。

0129

0130

PMHFを計算(ステップS8.7)
図16を参照して、本プロセスはPMHFを計算する(ステップS8.7)。これは、すべての寄与度KSM_i、KDVF_n、およびKIVF_neを合計することによって行われる。

0131

設計支援システム1
図17を参照して、マイクロコントローラ等の電子コンポーネントの機能安全データを生成するための設計支援システム1が示されている。

0132

設計支援システム1は、開発者安全解析システム2と、顧客安全解析システム3と、共有データベース4とを含み、共有データベースは、カスタマイズ可能な解析レポート6およびカスタマイズ可能な解析レポート6を作成するために使用されるフォールトリスト7を含む安全データを格納する。

0133

カスタマイズ可能な解析レポート6は、解析構成データ8と、解析レポート9と、部品レベル解析レポート10と、安全機構レポート11とを含む。解析レポート9は、フォールト影響解析データ12と、フォールトカバレッジ解析データ13と、ラムダ値14と、ハードウェアメトリック値および偶発的なハードウェア故障の確率的メトリック(PMHF)値15とを含む。部品レベル解析レポート10は、エレメントのリスト16と、エレメント特徴付けデータ17と、フォールト依存解析18とを含む。図18に示されるように、フォールト依存解析18は、フォールト影響解析データ12と、フォールトカバレッジ解析データ13とを含む。フォールトリスト7は、フォールト影響解析フォールトリスト19と、フォールトカバレッジ解析フォールトリスト20とを含む。カスタマイズ可能な解析レポート6および/またはフォールトリスト7は、一組のテーブルの形態で格納されてもよい。

0134

フォールト影響解析データ12およびフォールトカバレッジ解析データ13は、解析レポート9に含まれている必要はない。同様に、フォールト影響解析データ12およびフォールトカバレッジ解析データ13は、部品レベル解析レポート10に含まれている必要はない。

0135

フォールト影響解析データ12およびフォールトカバレッジ解析データ13は、解析レポート9および/または部品レベル解析レポート10とは別に格納することができる。フォールト影響解析データ12およびフォールトカバレッジ解析データ13を、(たとえばミラーリングによって)複製して解析レポート9および/または部品レベル解析レポート10のうちの一方または双方に格納することができる。

0136

設計支援システム1はまた、一組の開発者データベース21、22、23を含む。
ラムダ分類データ47は、安全データベース4に格納されてもよい。ラムダ分類データ47は、カスタマイズ可能な解析レポート6に含まれていてもよい。

0137

開発者は、マイクロコントローラ等の電子部品を設計するときに、カスタマイズ可能な解析レポート6を生成することができる。開発者および/または顧客は、解析構成データ8、フォールト影響解析データ12およびフォールトカバレッジ13を変更し、この変更による、ラムダ値14ならびにハードウェアメトリック値およびPMHF値15への影響を調べてもよい。

0138

カスタマイズ可能な解析レポート6のうちのいくつかの部分は開発者からは見えるが顧客からは見えないものであってもよい。カスタマイズ可能な解析レポート6のうちのいくつかの部分は顧客から見えるが顧客が変更できないものであってもよい。カスタマイズ可能な解析レポート6のうちのいくつかの部分は、顧客による変更は可能であるものの、開発者が指定した特定の値を有するまたはある範囲に含まれる値の変更に顧客が制限されるものであってもよい。

0139

設計支援システム1は、データベースおよびデータベース管理システムの形態であってもよい。カスタマイズ可能な解析レポート6は、スプレッドシートおよびテキストファイルの形態で格納されてもよい。

0140

図19は、設計支援システム1の開発者側をより詳細に示す。
図19を参照して、設計支援システム1は、設計データベース21とフォールトリストデータベース22と仮定データベース23とを含む、一組の開発者データベース21、22、23を備える。設計データベース21は、電子コンポーネントの設計の説明24を、たとえばサイズ情報を含むレイアウト前のゲートレベルネットリストの形態で、格納する。しかしながら、説明24は、ロジックブロック間の距離等の、レイアウトに関するその他の情報を含み得る。レイアウト情報を用いてブリッジフォールトを特定することができる。説明24は、抽象化レベルがより高いまたは低い情報を含み得る。説明24は、抽象化レベルが2つ以上である情報を含み得る。

0141

フォールトリストデータベース22は、起こり得るフォールトのリスト25を格納する。フォールトリスト25は、テーブルの形態、たとえば、「0で衝突」または「1で衝突」といった起こり得るフォールトを列挙したスプレッドシートまたはテキストファイルの形態を取ることができる。

0142

仮定データベース23は、電子コンポーネントがどのように使用されるかに関する仮定26を格納する。仮定26は、テーブルの形態、たとえば、「仮定1:システムは10ミリ秒ごとにクリアされなければリセットを生成する外部ウォッチドッグを用いている」といった仮定を列挙したスプレッドシートまたはテキストファイルの形態を取ることができる。

0143

開発者安全解析システム2は、カスタマイズ可能な解析レポート6を生成するためのモジュール27、27、29、30、30、32、46を含む。開発者安全解析システム2は、設計分割(design partitioning)モジュール27、フォールト確率特徴付けモジュール28、フォールト影響解析モジュール29、安全機構解析モジュール30、フォールトカバレッジ解析モジュール31、安全パラメータ生成モジュール32、およびPMHF生成モジュール46を含む。

0144

設計支援システム1は、電子コンポーネントの開発中に開発者と顧客とが協力して作業することを可能にする。本明細書に記載のシステム1およびプロセスを用いて、体系化された手法に従い、電子コンポーネントの安全能力を定量化しその成長査定することができる。設計支援システム1は、電子コンポーネントの設計プロセススピードを高めることができる。

0145

図21は、エレメント特徴付けデータ17をより詳細に示す。
図21を参照して、エレメント特徴付けデータ17は、エレメントに関する一組のエントリ70を含み、各エントリ70は、エレメント識別子(ID)を含む第1の属性フィールド71と、エレメント名を含む第2の属性フィールド72と、ある部品が安全性に関係があるか否かを示すインジケータを含む第3の属性フィールド73と、フォールト特徴付け名称を含む第4の属性フィールド74と、故障率特徴付け名称を含む第5の属性フィールド75 35と、当該エレメントがリンクされている別のエレメントの識別子または名称を含む第6の属性フィールド49とを含み、リンクがなければ、属性は、たとえばナル値またはダミー値に設定されることにより、そういうものとして(本明細書では「ブランク」であると言う)フラグが立てられる。

0146

エレメント特徴付けデータ17はまた、当該エレメントに関連するサイズ情報を含み得る。

0147

エレメント特徴付けデータ17は、部品レベル解析レポート10におけるセクションとして、安全データベース4(図18)に格納される。

0148

安全解析の概要
図18図19図20および図22を参照して、電子コンポーネントの機能安全能力を解析するための手法全体を示す。本明細書では、マイクロコントローラの例を用いる。しかしながら、この手法は、システムオンチップ(SoC)、メモリ、特定用途向け集積回路(ASIC)、アナログIC混合信号IC、およびパワーIC、ならびにその他の電子コンポーネント等の、その他のタイプの集積回路に適用することができる。この手法は複数の電子コンポーネントを含む電子システムに適用することができる。

0149

この例ではマイクロコントローラである電子コンポーネントの設計51を作成する(ステップS1)。

0150

設計51を分割してエレメント52を既定する。エレメント52は、CPUコア、埋込まれたメモリおよび通信ユニット等の部品521と、マクロおよびデジタル標準セルブロック等のサブ部品522とを含む(ステップS2)。

0151

エレメント52が特定されると、各エレメント52に影響する可能性がある物理的欠陥を特定し、平均故障率(failures in time)(FIT)(デバイス稼働10億(109)時間当たりの予測されるフォールト回数)の単位で測定された故障率をエレメント52に割り当て、1つ以上のフォールトモデルをエレメント52に割り当て、2つ以上のフォールトモデルが存在する場合は異なるフォールトモデル間の故障率の分布を割り当てることにより、各エレメント52を特徴付ける(ステップS3)。

0152

マイクロコントローラに埋め込まれているかまたはマイクロコントローラの外部にあると想定されるセルフチェッキングロジックまたはループバックロジック等の安全機構を特定し、その特性を調べる(ステップS4)。以下でより詳細に説明するように、安全機構は、その全体をハードウェアで、全体をソフトウェアでまたはハードウェアとソフトウェア双方を用いて、実現することができる、または、マイクロコントローラの外部に設けることができる。安全機構が特定されると、安全機構の総合的な有効性が判断される(ステップS5)。

0153

安全機構の検討とは無関係に、エレメント52に対するフォールトの影響を判断する(ステップS6)。以下でより詳細に説明するように、マイクロコントローラの使用に関する仮定を行うことができる。

0154

フォールトのカバレッジおよびフォールトの影響が評価されると、フォールト分類が行われる。これにより、マイクロコントローラの故障率およびハードウェアメトリックが得られる(ステップS7)。

0155

レポート6における結果14、15が出力されて安全データベース4に格納される。以下で詳細に説明するように、レポート6はカスタマイズ可能である。開発者および/または顧客は、入力パラメータを変更し、結果14、15がどのように変化するかを知ることができる。

0156

偶発的なハードウェア故障による安全目標侵害の確率を評価することができる(ステップS8)。先に述べたように、PMHFの値はFMEAと同様の解析を用いて得ることができる。

0157

定量的目標に対する結果のコンプライアンスをチェックすることができる(ステップS9)。これは、定められた目標に対し、ハードウェアメトリック値および偶発的なハードウェア故障の確率的メトリック(PMHF)/カットセット法をチェックすることにより、もっともらしさおよびコンプライアンスをチェックすることを含む。オンチップモジュール間のインタラクションを解析することができる(ステップS10)。

0158

安全解析、ハードウェアメトリック値およびPMHF/カットセット結果の見直しを行う。設計は更新することができ(ステップS12)、本プロセスは、申し分ない設計が実現されるまで繰り返される。

0159

本システムのさらに他の詳細は、本明細書に引用により援用するEP2757476A2から知ることができる。本明細書およびEP2757476A2における同様の特徴には同様の参照番号が付されている。

0160

変形
上述の実施形態に対してさまざまな変形をなし得ることが理解されるであろう。このような変形は、安全解析システムおよびそのコンポーネント部品の設計、製造、および使用において既に周知でありかつ本明細書に記載の特徴の代わりにまたはそれに加えて使用し得る、均等なその他の特徴を含み得る。ある実施形態の特徴は別の実施形態の特徴によって置き換えるまたは補足することができる。

0161

請求項は本願において特定の特徴の組み合わせについて作成したが、本発明の開示の範囲は、いずれかの請求項において現在クレームされているものと同じ発明に関連するか否か、および、これが本発明と同一の技術的課題のうちのいずれかまたはすべてを緩和するか否かとは関係なく、本明細書に明示的または暗示的に開示されている特徴の新規の組み合わせまたは新規の特徴を含み得る。このような特徴および/またはこのような特徴の組み合わせについて、本願または本願から派生するその他いずれかの出願の手続中に、このような特徴および/またはこのような特徴の組み合わせに関して新たな請求項を作成し得ることを、出願人は通知する。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ