JP2020042387A - 機能安全判定システム、機能安全判定方法およびプログラム - Google Patents

機能安全判定システム、機能安全判定方法およびプログラム Download PDF

Info

Publication number
JP2020042387A
JP2020042387A JP2018167549A JP2018167549A JP2020042387A JP 2020042387 A JP2020042387 A JP 2020042387A JP 2018167549 A JP2018167549 A JP 2018167549A JP 2018167549 A JP2018167549 A JP 2018167549A JP 2020042387 A JP2020042387 A JP 2020042387A
Authority
JP
Japan
Prior art keywords
determination
functional safety
semiconductor device
function
functional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018167549A
Other languages
English (en)
Inventor
敦裕 平田
Atsuhiro Hirata
敦裕 平田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Renesas Electronics Corp
Original Assignee
Renesas Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renesas Electronics Corp filed Critical Renesas Electronics Corp
Priority to JP2018167549A priority Critical patent/JP2020042387A/ja
Publication of JP2020042387A publication Critical patent/JP2020042387A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】半導体装置が要求されている機能安全を満たしているか否かを動的に提示する。【解決手段】機能安全判定システム1は、半導体装置の機能に基づく入力信号を取得する入力インタフェース10と、上記機能が機能安全要求を満たしているか否かの判定をする判定装置11と、判定の結果である判定結果を出力する出力インタフェース12とを有する。上記判定装置11は、半導体装置に対する機能安全要求と半導体装置の機能仕様とに基づいて、上記機能に対する要求信号を設定し、要求信号と入力信号とを照合することにより、上記機能が機能安全要求を満たしているか否かの判定をする。【選択図】図1

Description

本発明は機能安全判定システム、機能安全判定方法およびプログラムに関する。
近年、製品の安全性を担保するための取り組みとして、機能安全(以下、FS(Functional Safety)と称することもある)と呼ばれる国際規格が広く採用されている。機能安全を策定した国際標準化機構(ISO)は、ISO26262において機能安全を「電気電子システムの機能不全のふるまいにより引き起こされるハザードが原因となる、不合理なリスクの不在」であると定義している。
このような機能安全の要求を受けて、半導体装置の設計者は、従来の機能仕様に加えて、要求される機能安全を満たすための機能安全要求に基づいて半導体の設計を行う。一方、設計された半導体装置のユーザ等は、その半導体装置が要求する機能安全を満たしていることを検証する。半導体装置が機能安全要求を満たしていることを検証するため、ユーザ等は、その半導体装置のデータシート等に記載された半導体装置の機能仕様と、その半導体装置の機能安全要求とを対応させる必要がある。また、半導体装置の機能仕様と、機能安全要求とを対応させたものとして、例えば「セーフティアプリケーションノート」と呼ばれる仕様書が作成される。半導体装置のユーザは、セーフティアプリケーションノートに記載されている事項を理解することにより、半導体装置が有する各機能が機能安全要求を満たしていることを検証することができる。
ところで、半導体装置が要求仕様通りに設計されていることを検証する技術として、シミュレーションを利用することが知られている。シミュレーションは、その半導体装置が有する回路ごとに、その回路が要求仕様を満たしているか否かを検証する。
例えば、特許文献1に記載の故障シミュレーション装置は、正常回路に強度故障を生成して故障回路を生成し、生成された故障回路に対する論理シミュレーションとともに、正常回路に対する論理シミュレーションを実行し、これらの結果を比較する。そして、故障シミュレーション装置は、その比較結果に基づいて、テストパターンによって強度故障が検出されるか否かを判定する。
特開2005−293385号公報
しかし、従来のシミュレーション装置は、回路の機能動作に対する信頼性を検証するものであって、その回路が機能安全要求を満たしていることを検証するためのものではない。
その他の課題と新規な特徴は、本明細書の記載および添付図面から明らかになるであろう。
一実施の形態によれば、機能安全判定システムは、半導体装置の機能に基づく入力信号を取得する入力インタフェースと、上記機能が機能安全要求を満たしているか否かの判定をする判定装置と、判定の結果である判定結果を出力する出力インタフェースとを有する。
上記判定装置は、半導体装置に対する機能安全要求と半導体装置の機能仕様とに基づいて、上記機能に対する要求信号を設定し、要求信号と入力信号とを照合することにより、上記機能が機能安全要求を満たしているか否かの判定をする。
一実施の形態によれば、機能安全判定方法は、半導体装置の機能に基づく入力信号を取得する入力信号取得ステップと、上記機能が機能安全要求を満たしているか否かの判定をする判定ステップと、判定の結果である判定結果を出力する判定結果出力ステップとを有する。上記判定ステップは、半導体装置に対する機能安全要求と半導体装置の機能仕様とに基づいて、上記機能に対する要求信号を設定し、要求信号と入力信号とを照合することにより、上記機能が機能安全要求を満たしているか否かの判定をする。
一実施の形態によれば、プログラムは、半導体装置の機能に基づく入力信号を取得するステップと、上記機能が機能安全要求を満たしているか否かの判定をする判定ステップと、判定結果を出力するステップとを有する機能安全判定方法をコンピュータに実行させる。
前記一実施の形態によれば、半導体装置が要求されている機能安全を満たしているか否かを動的に提示する機能安全判定システム等を提供することができる。
実施の形態1にかかる判定システムの概略構成図である。 機能安全モデルを作成する手順の一例を示す図である。 機能安全モデルの表示の一例を示す図である。 機能安全モデルに連関する機能動作モデルの表示の一例を示す図である。 実施の形態1にかかる判定システムの処理の一例を示すフローチャートである。 実施の形態2にかかる機能安全モデルの集合体の例を示す図である。 実施の形態2にかかる判定システムの構成を示す図である。 実施の形態2にかかる判定システムの処理の一例を示すフローチャートである。 実施の形態2の変形例にかかる判定システムの構成を示す図である。 実施の形態3にかかる機能安全モデルの表示の一例を示す図である。 実施の形態3にかかる判定システムの処理の一例を示すフローチャートである。 実施の形態3にかかる判定システムの処理の別の例を示すフローチャートである。
説明の明確化のため、以下の記載および図面は、適宜、省略、および簡略化がなされている。また、様々な処理を行う機能ブロックとして図面に記載される各要素は、ハードウェア的には、CPU、メモリ、その他の回路で構成することができ、ソフトウェア的には、メモリにロードされたプログラムなどによって実現される。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは当業者には理解されるところであり、いずれかに限定されるものではない。なお、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。
<実施の形態1>
以下に、図1を参照して実施の形態1にかかるFS(Functional Safety)判定システムについて説明する。図1は、実施の形態1にかかる判定システムの概略構成図である。FS判定システム1は、半導体装置の機能安全を判定し、判定結果を出力するシステムである。FS判定システム1は、主な構成として、入力インタフェース10、機能安全モデル11および出力インタフェース12を有している。FS判定システム1は、例えばパーソナルコンピュータに所定のプログラムをインストールすることより実現される。
入力インタフェース10は、予め設定された入力を受け付けるインタフェースであって、例えばキーボードやコンピュータマウスのような入力装置からの入力信号を受け付ける。なお入力インタフェース10は、USB(Universal Serial Bus)コネクタやLAN(Local Area Network)コネクタのような情報入力手段、さらにワイヤレスネットワークの情報受信手段などであって、他の装置等からの情報を受け付けるものであってもよい。
機能安全モデル11は、例えばCPU(Central Processing Unit)やメモリ等を有するコンピュータにおいてハードウェアおよびソフトウェアにより構成される。機能安全モデル11は入力インタフェース10から所定の信号を受け取り、受け取った信号に応じて設計された半導体装置が要求される機能安全を満たすことを判定するための処理を行う。すなわち機能安全モデルは、機能安全を判定する判定装置である。機能安全モデル11は、判定の結果である判定結果を出力インタフェース12に供給する。
出力インタフェース12は、例えば液晶パネルおよび表示駆動装置を含むコンピュータディスプレイ等の表示装置に対して上記判定結果を表示させるためのインタフェースである。表示装置は、出力インタフェース12から判定結果を受け取り、受け取った判定結果等を表示装置に出力する。なお、入力インタフェース10と機能安全モデル11、および機能安全モデル11と出力インタフェース12は、有線または無線によりそれぞれ接続されている。
次に、図2を参照して機能安全モデル11を作成する手順について説明する。図2は、機能安全モデルを作成する手順の一例を示す図である。ここでは、車載用の半導体装置の設計者等が設計した半導体装置の機能安全モデルを作成する場合について説明する。
図に示すように、機能安全モデル11を作成する場合、まず設計者等は、デバイス仕様および機能安全要求に基づいて、セーフティアプリケーションノートを作成する。一般に、デバイス仕様および機能安全要求は半導体を設計するプロセスでそれぞれ作成される。換言すると、半導体装置は、作成されたデバイス仕様および機能安全要求に記載されている要求を満たすように設計される。
デバイス仕様は、半導体装置に含まれる回路構成における入力端子および出力端子の信号の定義や、レジスタの設定などが記載された文書である。半導体装置は、所定の入力に対して定められた出力を行う機能を有する動作回路が複数集積されることにより構成される。したがって、デバイス仕様は、半導体装置に含まれる機能または動作回路に対応して記載される。
機能安全要求は、半導体装置に要求される機能安全の要求項目が記載された文書である。例えば、自動車向けの半導体装置に関する機能安全は、ISO26262においてASIL(Automotive Safety Level)という基準が定められている。ASILでは安全レベルがA、B、C、Dの4段階に設定されており、それぞれの安全レベルにおける機能安全要求が定められている。したがって、機能安全要求は、半導体が組み込まれる製品等が要求される安全レベルに応じて、半導体装置がどのような機能を有するべきかが記載されている。
セーフティアプリケーションノートは、機能安全要求と、機能安全要求に対応して抽出されたデバイス仕様とが記載された文書である。すなわち、セーフティアプリケーションノートには、機能安全要求に記載された一般的な要求事項と、その要求事項に対応した具体的な半導体装置の機能とが結びつくように記載されている。半導体装置のユーザは、セーフティアプリケーションノートを理解することにより、半導体装置が要求される安全レベルに適合した仕様となっていることを検証することができる。
続いて、半導体装置の設計者等は、作成したセーフティアプリケーションノートに基づいて、機能安全モデルを作成する。機能安全モデルは、半導体装置がセーフティアプリケーションノートに記載されている要求を満たしていることを動的に検証するための手段であり、例えば任意の言語で生成されたプログラムにより生成される。機能安全モデルは、セーフティアプリケーションノートに記載されている機能安全要求の項目ごとに作成される。
図3を参照しながら機能安全モデルについて具体的に説明する。図3は、機能安全モデルの表示の一例を示す図である。図3に示した一例は、半導体装置が有するADC(Analog to Digital Converter)の出力に関する機能安全要求に対応した機能安全モデルをコンピュータディスプレイ等の任意の画面に表示したイメージである。図3に示した機能安全モデル11は、矩形の枠内の左上に機能安全要求の項目ごとに付与されている固有のID(Identifier)としてA001が記載されるとともに、ID=A001において定められている要求事項110が記載されている。要求事項110は、ADCタイムアウトの監視について、「ユーザは、ピンの状態をチェックするかそれと同等のチェックをすることによりシステムレベルでタイムアウトのチェックを行わなければならない。」と規定されている。
また、機能安全モデル11は、矩形中央部に小円111が配置され、左辺から小円111に向かう矢印112が描かれている。また、機能安全モデル11は、小円111から矩形の右辺へ向かう矢印113が描かれ、さらに、小円111から下辺へ向かう矢印114が描かれている。
小円111は機能安全モデル11が有する機能を抽象的かつ視覚的に示したものである。また、小円111に向かう矢印112は、機能安全モデル11が受け取る入力信号を示している。図に示す具体例の場合、矢印112の近傍に[ADCGnCNVx]と記載されている。これは、半導体装置のピンIDを示している。つまり、矢印112は、半導体装置のピンID[ADCGnCNVx]の信号を受け取ることが示されている。
矢印113は、機能安全モデル11を動作させた場合に、入力された信号が機能安全要求を満たす場合(入力信号が真である場合)に点灯する。また、矢印114は、機能安全モデル11を動作させた場合に、入力された信号が機能安全要求を満たさない場合(入力信号が偽である場合)に点灯する。すなわち、機能安全モデル11において、小円111および矢印112〜114は、該当する機能安全の項目を半導体装置が満たすか否か(入力信号の真偽)を視覚的に示すように構成されている。
さらに、機能安全モデル11は、機能安全要求判定部115を有している。図に示した表示の例において、機能安全要求判定部115は矩形の枠内の右下に「Function ID=FA001」と表示されている。機能安全要求判定部115は、機能安全モデル11に対応した機能安全要求を満たしているかを判定するアルゴリズムが含まれている。図において、機能安全要求判定部115にはADCタイムアウトの監視に関するアルゴリズムがプログラムされている。なお、本実施の形態において、機能安全要求判定部115の表示部はリンク機能を有しており、コンピュータディスプレイに表示された機能安全要求判定部115をユーザが選択することにより、機能安全要求判定部115に関する機能の詳細を確認することができる。
上述のように、機能安全モデル11は、半導体装置が該当する機能安全要求を満たすか否かを判定した場合の判定結果と、この判定結果に対応する機能安全要求およびデバイス仕様に含まれる機能を連関して視覚的に表示する構成となっている。このような構成により、機能安全モデル11は、半導体装置に関する機能安全要求とこれに対応する機能とをユーザに容易に認識させることができる。
なお、一の機能安全モデル11における機能安全要求が、複数の機能に関連する場合には、複数の機能に対応した複数の矢印を表示するとともに、複数の機能ID表示を表示する。すなわち、機能安全モデル11は、複数の機能に応じて複数の機能ごとに機能安全要求に関する判定をし、図に示す表示は複数の機能に対応した判定結果が示される。このような構成により、機能安全モデル11は、半導体装置に関する機能安全要求とこれに対応する複数の機能をユーザに容易に認識させることができる。
次に、機能安全要求判定部115のリンク先である機能詳細表示について説明する。図4は、機能安全モデルに連関する機能動作モデルの表示の一例を示す図である。図4は機能安全モデル11において示されている機能IDに関する機能がどのように実装されているかを示す表示である。
機能詳細表示116は、矩形の枠内の左上に機能IDが示されている。図に示されている機能詳細表示116は、図3の機能安全モデル11に連関する機能であり、機能安全要求判定部115にリンクしている。また、機能IDの下に示された枠117には、該当する機能IDに対応する動作回路の機能の詳細が記載されている。図の枠117には「特定の仮想チャネルの変換タイミングは、A/Dコンバータの状態監視ピンADCGnCNVxを使用して監視する。無変換、時間がかかりすぎる変換、予期しない変換を監視する場合は、時間枠内の変換レベルを検出する。」と記載されている。この枠117の記載内容は、デバイス仕様における機能ID=FA001の内容である。
また、機能詳細表示116は、枠117の下に機能ブロック表示118が示されている。機能ブロック表示118は、枠117に記載された機能を任意のプログラム言語によって抽象化したものである。ユーザは機能詳細表示116を確認することにより、デバイス仕様に記載されている機能がどのように実装されているかを認識することができる。図に示す機能ブロック表示118は、入力信号がタイムアウト監視機能を行っていることを判定するためのプログラムが実装されていることを示している。
なお、機能ブロック表示118は、例えば、入力信号に論理演算が要求されている場合には対応した論理演算の照合を行うことを示す内容が表示される。同様に、入力信号が、例えば、時間ないし処理手順とともに変化するフローを伴うものであれば、これに対応するフローチャートが表示される。
次に、図5を参照してFS判定システム1の処理について説明する。図5は、実施の形態1にかかるFS判定システムの処理の一例を示すフローチャートである。まず、FS判定システム1は、入力インタフェース10を介して入力信号を取得する(ステップS11)。
次に、FS判定システム1は、予め設定されている機能安全要求にかかる要求信号と、取得した入力信号とを照合することにより、入力信号にかかる機能が機能安全要求を満たしているか否かの判定をする(ステップS12)。本実施の形態の場合、機能安全モデル11に予め設定された機能は、ADCのタイムアウトの管理である。したがって、機能安全モデル11は、状態監視ピンADCGnCNVxの入力信号が、真であるか否かを判定し、判定結果を生成する。
次に、FS判定システム1は、生成した判定結果を、出力インタフェース12を介して出力する(ステップS13)。判定結果が機能安全要求を満たす場合は、表示装置において図3の矢印113が点灯する。一方、判定結果が機能安全要求を満たさない場合は、表示装置において図3の矢印114が点灯する。このように、判定結果を視覚的に表示することにより、ユーザは、該当する機能安全の要求が満たされるか否かを容易に理解することができる。
次に、FS判定システム1は、動作を継続するか否かを判断する(ステップS14)。動作を継続すると判断しない場合(ステップS14:No)、FS判定システム1は、動作を終了する。一方、動作を継続すると判断する場合(ステップS14:Yes)、FS判定システム1は、ステップS11に戻り、再び入力信号を取得する。
ここで例えばユーザが意図して入力信号を変更した場合には、機能安全モデル11はステップS12において変更された入力信号に応じた判定結果を生成するとともに、ステップS13においてこれに応じた判定結果を出力する。
以上、実施の形態1にかかるFS判定システム1について説明した。このように、FS判定システム1は、該当する機能に対して機能安全要求を満たす信号が入力された場合には、該当する機能における機能安全要求が満たされることを示す表示を出力する。一方、FS判定システム1は、該当する機能に対して機能安全要求を満たさない信号が入力された場合には、該当する機能の機能安全要求が満たされないことを示す表示を出力する。このような構成により、実施の形態1にかかるFS判定システムは、模擬対象が要求されている機能安全を満たしているか否かをユーザに動的に提示することができる。半導体装置のユーザは、これまでセーフティアプリケーションの記載内容を理解して静的に機能安全要求の検証を行ってきた。しかし、本実施の形態にかかるFS判定システムを利用することにより、機能安全要求と半導体装置の機能とを直観的に連関して理解することができる。よって、本実施の形態によれば、半導体装置が要求されている機能安全を満たしているか否かを動的に提示する機能安全判定システム等を提供することができる。
なお、当然ながら本実施の形態の説明において図示した表示は一例であって、これと異なる表示態様であってもよい。
<実施の形態2>
次に、実施の形態2について説明する。実施の形態2は、機能安全モデルを複数備える点、およびFS判定システムの入力インタフェースに所定の装置等が接続される点が実施の形態1と異なる。
図6を参照して実施の形態2にかかる機能安全モデルについて説明する。図6は、実施の形態2にかかる機能安全モデルの集合体の例を示す図である。設計者等は、実施の形態1で説明した機能安全モデルを半導体装置が有する機能ごとに複数作成し、作成した複数の機能安全モデルを1個の集合体としてモデルアセンブリ20を生成する。つまり、モデルアセンブリ20は、半導体装置における機能安全モデルが複数含まれている。モデルアセンブリにより、ユーザは、半導体装置の特定の機能全般に対する機能安全の検証を行うことができる。あるいは、モデルアセンブリに半導体装置の全ての機能に関する機能安全要求が盛り込まれていることにより、ユーザは、半導体装置が有する全ての機能に対する機能安全の検証を行うことができる。
モデルアセンブリ20は、矩形の枠内に、複数の機能安全モデルを有している。図に示す例において、モデルアセンブリ20は、ID=A001を有する機能安全モデル11を含むID=A001〜A002、ID=B001〜B003、ID=C001の機能安全モデルを有している。なお、ID=A001〜A002はサブグループ20aとして分類される。サブグループ20aに含まれる機能安全モデルは、共通の機能に属する。同様に、ID=B001〜B003は共通の機能に属するサブグループ20bに属し、ID=C001はサブグループ20cに属している。ここで、共通の機能とは、例えばADC、CPU(Central Processing Unit)、エラーコントロールモジュール等の半導体装置が有している種々の機能である。このように、モデルアセンブリ20は、共通の機能ごとに分類される。このような構成により、機能安全の模擬動作を行うユーザは、直観的に問題の有無を把握しやすくなる。なお、サブグループの分類方法は任意であって、機能別であってもよいし、回路構成に関連するものであってもよい。
モデルアセンブリ20は、矩形の左辺に沿って入力端子(In_01〜In_03)が列挙されている。入力端子はユーザに把握が容易になるように列挙されている。各入力端子は、予め設定された機能安全モデルにそれぞれ接続されている。また、モデルアセンブリ20は、矩形の右辺に沿って出力端子(Out_01〜Out_02)が列挙されている。これらの出力端子も、入力端子と同様に、予め設定された機能安全モデルにそれぞれ接続されている。
次に、図7を参照して実施の形態2にかかるFS判定システムについて説明する。図7は、実施の形態2にかかるFS判定システムの構成を示す図である。図に示すFS判定システム2は、主な構成として上述のモデルアセンブリ20と、機能動作モデル90とを有している。なお、以降は、FS判定システムが有している入力インタフェースおよび出力インタフェースは適宜省略される場合がある。
機能動作モデル90は、半導体装置が有する所定の機能をモデル化したプログラムである。機能動作モデル90は、半導体装置の機能を模擬する模擬装置ということもできる。すなわち機能動作モデル90は、半導体装置の機能仕様にから選択された機能を模擬するように構成されている。機能動作モデル90は、入力端子In_P1〜In_Pnおよび出力端子Out_P1〜Out_P8を有している。また、機能動作モデル90の出力端子Out_P3は、モデルアセンブリ20の入力端子In_01に接続している。同様に、機能動作モデル90の出力端子Out_P4は、モデルアセンブリ20の入力端子In_02に接続し、機能動作モデル90の出力端子Out_P5〜Out_P8は、モデルアセンブリ20の入力端子In_03〜In_06に接続している。このように、モデルアセンブリ20と機能動作モデル90とを接続した状態で動作させることにより、FS判定システム2は、半導体装置が機能安全要求を満たすか否かを容易に検証することができる。
次に、図8を参照して実施の形態2にかかるFS判定システム2の処理について説明する。図8は、実施の形態2にかかるFS判定システムの処理の一例を示すフローチャートである。
まず、FS判定システム2は、入力信号を取得する(ステップS21)。具体的には、ユーザは、機能動作モデル90の各入力端子に、所定の信号を入力するとともに、模擬動作の開始を指示する。これに伴い、機能動作モデル90は、半導体装置の模擬動作を行う。
そして、機能動作モデル90は出力端子Out_P3〜Out_P8から所定の信号をモデルアセンブリ20の入力端子In_01〜In_06に供給する。
次に、モデルアセンブリ20は取得した入力信号に基づいて所定の判定を行う(ステップS22)。具体的には、モデルアセンブリ20に含まれる複数の機能動作モデルが、それぞれ取得した入力信号に基づいて、各入力信号が各機能安全要求を満たすか否かを判定し、判定結果を生成する。そして、各機能安全モデルは、判定結果をそれぞれ出力する(ステップS23)。
図7に示すモデルアセンブリ20は、このようにして判定を行った結果を表示している。モデルアセンブリ20が有している複数の機能安全モデルのうち、ID=A001の機能安全モデルは、機能安全の要求を満たさない場合に表示される下向きの矢印が点灯している。また、ID=A001を除く他の機能安全モデルは、機能安全の要求を満たす場合に表示される右向きの矢印が点灯している。すなわち図示の例は、機能動作モデル90に対して所定の信号が入力された場合に、半導体装置に要求される機能安全のID=A001が満たされなかったことを示している。
図8に戻り説明を続ける。FS判定システム2は、判定動作を継続するか否かを判断する(ステップS24)。動作を継続すると判断しない場合(ステップS24:No)、FS判定システム2は、最後に行った判定の結果を出力する(ステップS25)。動作を継続すると判定しない場合の一例は、例えば、上述のように機能安全要求が満たされない判定結果が生成された場合である。
一方、動作を継続すると判断する場合(ステップS24:Yes)、FS判定システム2は、ステップS21に戻り、入力信号を再び受け付ける。動作を継続すると判定する場合の一例は、例えば機能安全要求が全て満たされている場合である。このような構成により、実施の形態2にかかるFS判定システム2は、半導体装置が機能安全を満たすか否かをユーザに呈示することができる。
なお、ステップS25における判定結果出力において、FS判定システム2は、総合的な判定結果を出力してもよい。すなわち、FS判定システム2は、入力された信号が変化した場合に、動的に行った模擬動作の判定の内容を異なる入力信号ごとに記憶しておき、記憶しておいた判定の内容に基づいて、模擬結果を出力してもよい。
以上、実施の形態2について説明したが、上述の機能動作モデル90は、半導体装置の機能を模擬する模擬装置に代えて、実際の半導体装置に所定の信号を入力した結果として出力された信号と同等の信号を入力してもよい。
<実施の形態2の変形例>
次に、図9を参照しながら実施の形態2の変形例について説明する。図9は、実施の形態2の変形例にかかるFS判定システムの構成を示す図である。実施の形態2の変形例は、モデルアセンブリの構成、および判定結果の表示態様が実施の形態2にかかるFS判定システム2と異なる。
図9に示すFS判定システム3は、半導体装置であるMCU80と、パワーデバイス70と、モータ60とが接続された動作システムにおけるMCU80の機能安全要求を検証するシステムである。FS判定システム3は、各構成が設計仕様に基づいた模擬動作を行うように設定されている。例えば、MCU80は、所定の信号を受け付けると、受け付けた信号に応じて所定のパルス信号等を生成し、生成したパルス信号等をパワーデバイス70に供給する。パワーデバイス70は、MCU80からパルス信号等を受け取ると、受け取ったパルス信号等に基づいてモータ60を駆動するための駆動信号を生成するとともに、生成した駆動信号をモータ60へ供給する。モータ60は、供給された駆動信号に基づいてモータを駆動させる。
MCU82は、動作回路の主な構成としてADC81、ECM(Error Control Module)82、PIC(Peripheral Inter Connect)83およびCPU84等を有している。ADC81は、機能動作モデル810と、モデルアセンブリ21とを有している。機能動作モデル810は、入力端子In_P1〜In_Pnから所定の信号を受け取ると、ADCの動作を模擬するとともに、所定の信号をモデルアセンブリ21に供給する。モデルアセンブリ21は、機能動作モデル810から受け取った信号に応じて、ADC81にかかる各機能が機能安全要求を満たすか否かを判定するように構成されている。
本実施の形態において、MCU80を構成する動作回路は、ADC81を例として説明したように、機能動作モデルと、機能動作モデルに接続されたモデルアセンブリとをそれぞれ有している。このような構成により、FS判定システム3は、MCU80の全ての動作回路において、機能安全が満たされるか否かを判定することができる。
次に、判定結果の表示態様について説明する。図9において破線で囲んだ領域50には、MCU80が有する動作回路のモデルアセンブリごとに、機能安全要求のIDが表示されている。図において、領域50の左端には、ADC81のモデルアセンブリ21に含まれる機能安全要求のIDのA001〜A003が判定結果表示51として示されている。判定結果表示51は、ADC81のモデルアセンブリ21に対応しており、モデルアセンブリ21が有している機能安全モデルのIDが全て示されている。
判定結果表示51において、IDのA001は黒地に白文字でIDが表示されている。また、IDのA002、A003は白地に黒文字で表示されている。これは、IDのA001の機能安全要求が満たされておらず、IDのA002、A003の機能安全要求が満たされていることを意味している。
このような状況は、例えば、FS判定システム3において、ユーザが意図的に、任意の入力端子に、設計通りの入力信号とは異なる信号を入力する場合に発生する。ユーザは、半導体装置であるMCU80を組み込んだ動作システムにおいて、当該動作システムが機能安全要求を満たすことを検証する。その場合に、当該動作システムに機能動作モデルが含まれていることで、MCU80に生じる機能安全要求の不具合を機能別に把握することができる。つまり、このような構成により、ユーザは、動作システムが故障モードに陥った場合に、半導体装置のどの機能に影響があるのかを直観的に理解することができる。したがって、ユーザは、このようにして把握した不具合に基づいて、動作システム全体の構成やアルゴリズム等を再設定する等して、動作システムが機能安全要求を満たすことを容易に検証することができる。
以上、実施の形態2の変形例について説明した。以上に説明したように、実施の形態2の変形例によれば、動作システムの模擬動作を行いながら、半導体装置が要求されている機能安全を満たしているか否かを動的に提示する機能安全判定システム等を提供することができる。
<実施の形態3>
次に実施の形態3について説明する。実施の形態3は、モデルアセンブリを構成する機能安全モデルが選択可能な構成となっている点において、実施の形態2と異なる。図10は、実施の形態3にかかる機能安全モデルの表示の一例を示す図である。
FS判定システム4におけるモデルアセンブリ22は、実行領域22aと、リザーブ領域22bとを有している。図において、モデルアセンブリ22の実行領域22aは、ID=A001、A003、B001、B002、B003、C001の6個の機能安全モデルを有している。一方、モデルアセンブリ22の実行領域22aは、ID=A002、C002、C003の機能安全モデルを有している。
モデルアセンブリ22は、各機能安全モデルが実行領域22aとリザーブ領域22bとを移動可能に設定されている。ユーザは、例えばポインティングデバイス等を使用して任意の機能安全モデルを選択したうえで、選択した機能安全モデルを、実行領域22aからリザーブ領域22bに、あるいはリザーブ領域22bから実行領域22aにと移動させる。
このような構成により、機能安全モデルを予めライブラリ化しておき、設計される半導体装置の仕様に応じてモデルアセンブリを生成することができる。これにより、ユーザはFS判定システムを編集設計により効率よく作成することができる。
また、モデルアセンブリ22は、必須の構成とオプションの構成とを予め設定し、ユーザにオプションの選択を委ねる構成としてもよい。実施の形態3は、このような構成により、機能安全のレベル等をユーザが選択可能である場合において、半導体装置の機能安全を動的に確認できるFS判定システムを提供することができる。
なお、モデルアセンブリ22は、機能安全モデルの選択を、入力信号に応じて行う構成としてもよい。すなわち、モデルアセンブリ22は、接続ないし選択がされない入力端子が存在する場合に、当該入力端子に対応した機能安全モデルは選択されずリザーブ領域22bに属するものとしてもよい。
次に、図11を参照して実施の形態3における処理の例を説明する。図11は、実施の形態3にかかるFS判定システムの処理の一例を示すフローチャートである。図11に示すフローチャートは、ステップS21の前にステップS31が付加されている点において、図8のフローチャートと異なる。
図11のフローチャートにおいて、FS判定システム4は、入力信号を受け付ける前に、機能安全モデルの選択を受け付ける(ステップS31)。ユーザは、例えばディスプレイに表示される案内に従って、半導体装置にかかる機能安全モデルを選択する。ユーザが機能安全モデルの選択を行うと、FS判定システム4は、選択された機能安全モデルに応じた入力信号を受け付ける。以降の処理は図8に示したフローチャートと同様であるため、ここでは説明を省略する。
次に、図12を参照して実施の形態3における処理の別の例について説明する。図12は、実施の形態3にかかるFS判定システムの処理の別の例を示すフローチャートである。図12に示す例は、ユーザが機能安全モデルを直接選択するのではなく、ユーザが機能安全に関するパラメータを選択し、ユーザの選択に応じて、FS判定システム4がモデルアセンブリ22の構成を決定するものである。
図12のフローチャートにおいて、まず、FS判定システム4は、模擬する動作システムに要求される機能安全レベルを受け付ける(ステップS41)。ユーザは、例えばディスプレイに表示される案内に従って、ASILレベルA〜Dの内いずれかを選択する。ユーザが機能安全モデルの選択を行うと、FS判定システム4は、選択された安全レベルに応じたモデルアセンブリを構成し、これに応じた入力信号を受け付ける。以降の処理は図8に示したフローチャートと同様であるため、ここでは説明を省略する。
このような構成により、FS判定システム4は、要求される安全レベルが異なる場合にも、共通のFS判定システムを提供することができる。また、ユーザは、安全レベルの違いによる半導体装置の機能安全の検証を容易に行うことができる。
以上、実施の形態3について説明した。実施の形態3によれば、半導体装置に要求される機能安全の内容や、半導体装置に接続される他の装置との組み合わせ等による事情に合わせて、半導体装置の機能安全要求ないし機能安全モデルを変更できるFS判定システムを提供することができる。
なお、上述したプログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は既に述べた実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々の変更が可能であることはいうまでもない。
1、2、3、4 FS判定システム
10 入力インタフェース
11 機能安全モデル
11 判定装置
12 出力インタフェース
20、21、22 モデルアセンブリ
60 モータ
70 パワーデバイス
90 機能動作モデル
110 要求事項
115 機能安全要求判定部116 機能詳細表示
117 枠
118 機能ブロック表示
810 機能動作モデル

Claims (14)

  1. 半導体装置の機能に基づく入力信号を取得する入力インタフェースと、
    前記半導体装置に対する機能安全要求と前記半導体装置の機能仕様とに基づいて、前記機能に対する要求信号を設定し、前記要求信号と前記入力信号とを照合することにより、前記機能が前記機能安全要求を満たしているか否かの判定をする判定装置と、
    前記判定の結果である判定結果を出力する出力インタフェースと
    を備える機能安全判定システム。
  2. 前記判定装置は、前記半導体装置が有する複数の機能に応じて前記複数の機能ごとに前記判定をし、
    前記出力インタフェースは、前記複数の機能に対応した前記判定結果を出力する
    請求項1に記載の機能安全判定システム。
  3. 前記判定装置は、前記機能安全要求が有する複数の要求事項に応じて、前記判定をし、
    前記出力インタフェースは、前記複数の要求事項に対応した前記判定結果を出力する
    請求項1に記載の機能安全判定システム。
  4. 前記判定装置は、前記要求事項に対応する複数の機能が存在する場合に、前記要求事項と前記複数の機能とを対応させて前記判定をし、
    前記出力インタフェースは、前記要求事項と前記複数の機能とに対応した前記判定結果を出力する
    請求項3に記載の機能安全判定システム。
  5. 前記出力インタフェースは、視覚的に表示する態様により前記判定結果を出力する
    請求項4に記載の機能安全判定システム。
  6. 前記出力インタフェースは、前記判定結果と、前記判定結果に対応する前記機能安全要求および前記機能の内少なくともいずれか一方とを連関して表示する態様により前記判定結果を出力する
    請求項5に記載の機能安全判定システム。
  7. 前記入力インタフェースは、前記半導体装置が有する複数の機能の内いずれの機能を選択するかを受け付け、
    前記判定装置は、前記選択された機能にかかる前記判定をする
    請求項2に記載の機能安全判定システム。
  8. 前記判定装置は、前記複数の機能の内、取得した前記入力信号に対応した機能を選択し、選択した前記機能にかかる前記判定をする
    請求項2に記載の機能安全判定システム。
  9. 前記入力インタフェースは、前記機能安全要求の安全レベルの設定を受け付け、
    前記判定装置は、前記設定された前記安全レベルに応じて前記判定を行う
    請求項2に記載の機能安全判定システム。
  10. 前記判定装置は、前記設定された前記安全レベルに応じた機能を選択し、選択した前記機能にかかる前記判定をする
    請求項9に記載の機能安全判定システム。
  11. 前記半導体装置の機能を模擬する模擬装置をさらに有し、
    前記入力インタフェースは、前記模擬装置から供給される信号を前記入力信号として取得する
    請求項1に記載の機能安全判定システム。
  12. 前記模擬装置は、前記半導体装置が組み込まれる動作システムにさらに組み込まれるための信号入出力端子を有する
    請求項11に記載の機能安全判定システム。
  13. 半導体装置の機能に基づく入力信号を取得する入力信号取得ステップと、
    前記半導体装置に対する機能安全要求と前記半導体装置の機能仕様とに基づいて、前記機能に対する要求信号を設定し、前記要求信号と前記入力信号とを照合することにより、前記機能が前記機能安全要求を満たしているか否かの判定をする判定ステップと、
    前記判定の結果である判定結果を出力する判定結果出力ステップと
    を備える機能安全判定方法。
  14. 半導体装置の機能に基づく入力信号を取得する入力信号取得ステップと、
    前記半導体装置に対する機能安全要求と前記半導体装置の機能仕様とに基づいて、前記機能に対する要求信号を設定し、前記要求信号と前記入力信号とを照合することにより、前記機能が前記機能安全要求を満たしているか否かの判定をする判定ステップと、
    前記判定の結果である判定結果を出力する判定結果出力ステップと
    を備える機能安全判定方法をコンピュータに実行させるプログラム。
JP2018167549A 2018-09-07 2018-09-07 機能安全判定システム、機能安全判定方法およびプログラム Pending JP2020042387A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018167549A JP2020042387A (ja) 2018-09-07 2018-09-07 機能安全判定システム、機能安全判定方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018167549A JP2020042387A (ja) 2018-09-07 2018-09-07 機能安全判定システム、機能安全判定方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2020042387A true JP2020042387A (ja) 2020-03-19

Family

ID=69798602

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018167549A Pending JP2020042387A (ja) 2018-09-07 2018-09-07 機能安全判定システム、機能安全判定方法およびプログラム

Country Status (1)

Country Link
JP (1) JP2020042387A (ja)

Similar Documents

Publication Publication Date Title
AU2014208308B2 (en) Safety analysis of a complex system using component-oriented fault trees
CN102608993B (zh) 网络自动化测试的方法、机柜及测试主机
CN110888414B (zh) 一种车辆控制器升级的测试方法
KR102341154B1 (ko) 모바일 장치들의 원격 구성을 허용하기 위해 모바일 장치들 상에 설치되는 고속 어플리케이션
US7200543B2 (en) Method for fault analysis using simulation
CN109726061B (zh) 一种SoC芯片的验证方法
US20120095718A1 (en) Automatic testing system and method
CN109639489A (zh) 一种RabbitMQ集群部署方法、系统、设备和介质
CN102928690A (zh) 用于电子器件的异常检测方法
US20180276321A1 (en) Method and apparatus for testing design of satellite wiring harness and signal processing units
WO2018003495A1 (ja) Ecuシミュレーション装置
CN111400167A (zh) Redfish服务合规性验证方法、装置及设备和介质
CN112068885A (zh) 屏幕自适应驱动方法及装置
US20180196708A1 (en) System management apparatus and system management method
EP3321808B1 (en) Verification system and verification method
CN111736951A (zh) 自动驾驶的仿真方法、计算机设备、及存储介质
US7308376B2 (en) Computer platform automatic testing method and system
US20180113802A1 (en) Application simulator for a vehicle
JP2020042387A (ja) 機能安全判定システム、機能安全判定方法およびプログラム
CN103310033B (zh) 编辑系统和编辑方法
Himmler et al. Hardware-in-the-Loop Testing in the Context of ISO 26262
CN111310404A (zh) 用于电气系统的部件的处理器辅助布线的设备和方法
KR101252358B1 (ko) Plc 명령어 테스트 장치 및 방법
US20220269593A1 (en) Automatic generation of integrated test procedures using system test procedures
KR20190052965A (ko) 서버, 전자장치 및 그의 제어방법