JP5570701B2 - 集積回路の故障モード・影響分析を実行するための方法、およびそのためのコンピュータプログラム製品 - Google Patents
集積回路の故障モード・影響分析を実行するための方法、およびそのためのコンピュータプログラム製品 Download PDFInfo
- Publication number
- JP5570701B2 JP5570701B2 JP2008104884A JP2008104884A JP5570701B2 JP 5570701 B2 JP5570701 B2 JP 5570701B2 JP 2008104884 A JP2008104884 A JP 2008104884A JP 2008104884 A JP2008104884 A JP 2008104884A JP 5570701 B2 JP5570701 B2 JP 5570701B2
- Authority
- JP
- Japan
- Prior art keywords
- fmea
- sensitive zone
- database
- fault
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2252—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using fault dictionaries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/30—Circuit design
- G06F30/32—Circuit design at the digital level
- G06F30/33—Design verification, e.g. functional simulation or model checking
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/2832—Specific tests of electronic circuits not provided for elsewhere
- G01R31/2836—Fault-finding or characterising
- G01R31/2846—Fault-finding or characterising using hard- or software simulation or using knowledge-based systems, e.g. expert systems, artificial intelligence or interactive algorithms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2111/00—Details relating to CAD techniques
- G06F2111/08—Probabilistic or stochastic CAD
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2117/00—Details relating to the type or aim of the circuit design
- G06F2117/02—Fault tolerance, e.g. for transient fault suppression
Description
本発明は、設計中の集積回路の故障モード・影響分析(FMEA:Failure Mode and Effects Analysis)を実行するための方法に関する。そのような回路は、論理ゲートあるいは他の任意のデジタルまたはアナログ機能へとまとめられた複数のトランジスタで構成される任意の集積回路(IC)であってよい。
さらに、本発明は、設計中の上記集積回路の上記故障モード・影響分析(FMEA)を検証するための随意による方法に関する。
故障モード・影響分析は、製品またはプロセスの潜在的な故障を調べるための方法である。以下では、頭文字「FMEA」を好んで使用する。FMEAは、システムの故障(フォールト)からのライフサイクル的結果(リスク)の累積的影響を小さくする改善措置の選択において役に立つ。FMEAは、これらに限られるわけではないが、最も一般的には、設計(設計FMEA)および製造プロセス(プロセスFMEA)に適用される。FMEAは、現時端において、自動車、航空宇宙、生物医学、ならびに安全が重要であり、あるいは保安に関係する産業において、広く使用されている。
FMEAの基本プロセスは、ボトムアップ分析であり、すなわちシステムまたはプロセスの各部を記述し、各部の故障の場合の結果を列挙することにある。次いで、多くの場合、結果が、3つの基準および関連のリスク指標、すなわち
・重大性(S)、
・発生の可能性(O)、および
・検出のための制御の不可能性(D)
によって評価される。
・重大性(S)、
・発生の可能性(O)、および
・検出のための制御の不可能性(D)
によって評価される。
それぞれの故障の全体としてのリスクは、リスク優先指数(RPN)と称され、重大性(S)、発生(O)、および検出(D)のランキングの積である。
反対の方向において、フォールトツリー分析(fault‐tree analysis)が、望ましくない事象から出発して、考えられる原因のすべてを列挙するトップダウンの手順である。以下では、頭文字「FTA」を好んで使用する。
FMEAは、QS‐9000またはISO/TS 16949などといった多数の品質システムにおいて使用されている。さらに、例えば電子安全関連システムの機能的安全性についての国際規格IEC 61508など、安全が重要なシステムに関する多数の国際規格の分析プロセスの基礎である。これらの規格は、典型的には、リスク指標を診断カバレッジ、安全側故障部分、などといった当該分野に特有の他の指標で拡張している。
一般に、FMEAを実行するための技術水準の方法は、現場からのデータ(例えば、現場故障の履歴または統計データ)の収集、および/または関連のシステム、プロセス、または構成部品についての人手による分析の実行を含んでいる。例として、米国特許出願US20050154561A1(特許文献1)が、意図されるプロセスについてFMEAを実行するための方法であって、同様のプロセスにおいて生じる故障および欠陥に関するデータの収集を含む方法を記載している。これに基づき、潜在的な故障または欠陥が、収集したデータに基づき第1の「エンティティ」によって意図されるプロセスにおいて識別される。最後に、FMEAが、意図されるプロセスについて、第1のエンティティによって識別された潜在的な故障に基づき、第2のエンティティによって実行される。他の例は、米国特許US20060122873A1(特許文献2)であり、エンティティの開発のためのリスク管理システムであって、選択された影響を受けたエンティティを特定の危険に関連付ける情報を保存しており、選択された影響を受けたエンティティへと特定の危険についてのリスクの知らせをもたらすリスク管理システムを開示している。
これらの方法および同様の方法は、システム全体についてFMEAプロセスを定めることを目的としている。今日では、システムの複雑さおよび高度の統合の両者が、これらの方法を集積回路へと拡張することを必要としている。例えば、自動車の供給者および製造者は、ハードウェアの完全性についての責任を安全性が生じうる最も下方のレベル、すなわちマイクロコントローラそのものへと移動させることに努めている。したがって、マイクロコントローラについての詳細な分析が、重要性、システムの安全性への影響、および考えられる対策を定めるために必要とされる。
しかしながら、集積回路の内部のコンポーネントの数が多いため、上述のシステム指向のFMEA法は、現実的には適用不可能である。最新のシステム‐オン‐チップは、数百万のゲートおよび数百万のトランジスタに容易に達する。したがって、さらに自動化されたFMEA手法が必須である。
部分的に自動化された分析のいくつかの例が存在しており、それらは依然として、システムまたはシステムの分析プロセスの選択された部分に関係している。例えば、米国特許US7017080(特許文献3)が、FMEAからインポートされるデータベースから出発して、技術システムについてFTAを生成するための方法を開示している。このいわゆる「IQ‐FMEA」は、個々の故障が入力され、そのような方法を使用してエキスパートによって適切に分類されているエディタを通じて実行される。したがって、自動性は、コンピュータ支援のFMEAエディタおよびFTAの生成に限定され、どのように分析対象の技術システムからの故障の記述および関連の故障率の抽出を自動化するのかについての示唆はない。
同様の考え方が、Yiannis Papadopoulos、David Parker、およびChristian Granteの「Automating the Failure Modes and Effects Analysis of Safety Critical Systems」、Proceedings of the Eighth IEEE International Symposium on High Assurance Systems Engineering(HASE‘04)(非特許文献1)などの文献に開示されている。この論文においては、FTAが合成され、FMEAがフォールトツリーから導出される。やはり、そのような場合において、コンポーネントの局所的な故障の挙動の確立は、故障の表現の組として、モデルにおける入力として与えられ、当該コンポーネントの内部構造から自動的に決定されるわけではない。
集積回路についてFMEAを実行するための詳細な方法が欠けている結果として、システムFMEA法の大部分では、前記集積回路が、依然として「ブラック」ボックスとして考えられている。すなわち、FMEAが、集積回路の製造者によって与えられる信頼性データまたは現場から集められたデータから得られる故障の記述および故障率を利用している。そのような例として、特許US7035769(特許文献4)が、電子装置の設計のための設計FMEA方法であって、新たな装置によって導入される新たな問題を仮定するために、データベースにおいてキーワードおよび過去の故障情報をそれぞれの設計問題へと関連付けることを含む方法を開示している。やはりこのような場合にも、この方法は、電子装置を分析するためのやり方を提供するよりはむしろ、先に実行された分析行為の結果を処理および利用するためのツールをユーザに提供している。
この限界を克服するための試験的な解決策は、集積回路を「グレー」ボックスとして考えることにあり、すなわち集積回路の入力‐出力の関係を内部の故障モードを詳しく分析することなく考慮することにある。そのような方法において、FMEAは、通常はシミュレーションによって補助され、すなわち(故障の)刺激を供給して結果を取り出すことによって補助される。例えば、日本国特許出願JP02016471A2(特許文献5)が、回路を分析するためのFMEAシミュレーション法を開示しており、分析回路のセグメント化および入力/出力条件がキーボードを介して設計者によって設定され、それに基づき、FMEAシミュレーションが、前もって設定された手順に従って実行される。続いて、その結果および別途入力される故障ランクデータに基づき、FMEAデータの出力および故障率テーブルの出力が実行される。
同じやり方で、伊国特許IT1319009(特許文献6)が、標準的な信号を入力しつつ内部の回路ノードを周期的にチェックすることによって状態の履歴を生成し、エラーに起因する停止の場合に、さかのぼって調べるデジタル論理回路の故障分析方法を開示している。
同じやり方で、米国特許US4228537(特許文献7)が、テスト対象のユニットの応答を故障なしの回路の応答と比較する部分故障辞書およびオンライン故障シミュレーションを使用するデジタル回路の自動故障診断方法を開示している。
これらの「グレー」ボックス法の欠点として、例えば、シミュレーション時間がきわめて長い点、および適切な入力刺激データベースを持たなければならない点が挙げられる。さらに、シミュレーション対象の回路について完璧な故障データベースを得ることができないため、そのようなデータベースと入力刺激データベースとの間のリンクが存在しない。したがって、故障情報および故障率が、当該集積回路の内部部品の臨界性を評価するためのより正式かつ系統的なやり方をもたらすのではなく、外部の刺激によって故障を誘起させることによって計算されるため、完全さを欠く結果となる。
要約すると、公知のFMEA法は、集積回路の分析に関して自動性、完全性、および特殊性を欠いており、当業者を、設計中の当該集積回路から情報を適切な自動化のレベルにて取り出して、そのような集積回路についてのFMEAを適切に実行および検証できる状態に置いていない「ブラックボックス」または「グレーボックス」の手法しか提供していない。
米国特許出願US20050154561A1
米国特許US20060122873A1
米国特許US7017080
特許US7035769
日本国特許出願JP02016471A2
伊国特許IT1319009
米国特許US4228537
Yiannis Papadopoulos、David Parker、およびChristian Granteの「Automating the Failure Modes and Effects Analysis of Safety Critical Systems」、Proceedings of the Eighth IEEE International Symposium on High Assurance Systems Engineering(HASE‘04)
したがって、本発明の目的は、そのような「ホワイト‐ボックス」の手法の必要に応えることにある。これは、本発明によれば、集積回路について故障モード・影響分析を実行するための方法であって、特許請求の範囲に記載の特徴を有する方法によって達成される。さらに、本発明は、対応する処理装置、ならびにデジタルコンピュータのメモリに直接的にロード可能であって、コンピュータ上で実行されたときに本発明の方法を実行するためのソフトウェアコード部分を含んでいるコンピュータプログラムに関する。
実質的に、本発明による解決策は、これらに限られるわけではないが、特定用途向け集積回路(ASIC)、カスタムASIC、システム‐オン‐チップ(SoC)、マイクロコントローラ(MCU)、ならびに中央演算ユニット(CPU)、メモリ、周辺装置などといった知的財産(IP)回路などといった任意の集積回路のための完全なFMEA法を提供する。
提案される方法によって、回路が、集積回路の記述から情報を抽出するために、自動手順によって分析される。この方法の一部として、抽出された情報が、回路の故障率および国際規格に定められる他の指標(これらに限られるわけではないが、IEC 61508規格によって定められる指標など)を計算するために使用される。
さらに、本発明は、設計中の前記集積回路の前記FMEAを検証するための方法に関する。この方法においては、計算による故障率および他の指標が、作業負荷のアクセプタンス、フォールトの注入、フォールトの模擬、および結果の事後処理を含む検証フローを使用することによって検証される。
要約すると、このFMEA法は、自動プロセスが集積回路の記述を「不変」かつ「基本的な」ゾーンに区分けすることによって集積回路の記述から情報を抽出する第1の段階を含んでいる。随意により、他のツールが、所与の作業負荷のもとでのそのようなゾーンの使用プロファイルを抽出する。第2の段階において、前記情報および随意による前記プロファイルが、FMEAデータベースを用意するために使用される。このデータベースは、当該FMEA法を使用するエキスパートによって好ましい様相で、当該集積回路が使用される用途の安全仕様および選択された安全規格のガイドラインの両者に関する情報を入力することによって完成される。この段階の終わりにおいて、選択された規格によって要求される特定の指標を含むFMEA結果が、計算されてFMEAデータベースから集められる。
随意による第3の段階において、FMEAデータベース、とくには自動的には計算されない情報、すなわち当該FMEA法を使用するエキスパートによってもたらされる値が、所与の回路作業負荷を使用して検証される。この段階の終わりにおいて、測定によるFMEAデータベースが自動的に用意され、測定によるFMEA結果が、そこから集められる。次いで、測定によるFMEA結果が、先の計算によるFMEA結果と比較される。このようなやり方で、先のFMEA準備ステップを補正するために、当該FMEA法を使用するエキスパートへと明らかな知らせがもたらされる。
回路情報の抽出が、ブロック関数、レジスタ、入力および出力などの「不変」かつ「基本的な」ゾーンに基づくことから、本発明による方法は、ブロック図、レジスタ転送レベル(RTL)、ゲート‐レベル、およびレイアウトレベルなど、前記集積回路のさまざまな抽象化レベルにおいて使用可能である。
従来技術の構成との比較において、提案されるFMEA法は、ホワイト‐ボックスの手法のおかげで、前記集積回路のリスク分析および故障率測定に特有の自動化された完全なFMEAを可能にする。この方法を、全体としてのシステム分析の質を向上させるために、既存のシステム‐レベルのFMEAまたはFTA法に容易に組み合わせることができる。
本発明による方法は、前記集積回路におけるフォールトの影響に効率的に対抗できる最適化された診断回路の設計を可能にする。もたらされる結果の詳細のおかげで、この技術分野のエキスパートが、本提案の方法によって特定されるとおりに集積回路の最も重要なゾーンの故障を検出できる、より効率的な回路アーキテクチャおよび技法を選択することができる。
次に、本発明を、添付の図面を参照しつつ、あくまで本発明を限定するものではない例として説明する。
提案されるFMEA法の詳細を説明する前に、いくつかの定義および本発明による方法の基本的理論を以下で説明する。
本発明の文脈において、「故障(failure)」Fは、当該集積回路の届けるサービスまたはその一部が、指定されたサービスまたは「ミッション(mission)」から逸脱する場合に生じるイベントとして定義される。「エラー(error)」は、故障につながる原因となる集積回路の状態の一部である。「フォールト(Fault)」は、エラーの現象論的原因(phenomenological cause)である。
本提案の方法の重要な特徴は、「センシティブゾーン(sensitve zone)」として定義される「不変(invariant)」かつ「基本的な(elementary)」ゾーンへの設計中の集積回路の分割に関係する。
図1に、センシティブゾーンの例を説明する図が示されている。図1aにおいて、フォールトGが、故障を発生させるために集合している。その結果、センシティブゾーンSZは、前記1つ以上のフォールトGが故障Fにつながるために集合する前記集積回路の故障点である。
種々の抽象化レベル(abstraction level)において使用できる自動FMEAプロセスを可能にするために、そのようなセンシティブゾーンSZは、「不変」でなければならず、すなわち抽象化レベルに対して維持されなければならない。換言すると、それらは上部(仕様)から下部(レイアウト)レベルまで現われなければならない。この文脈において、集積回路の特定の抽象化レベルに関して、「基本的な」とは、そのようなセンシティブゾーンが、そのような回路によって実行される機能の1つまたはそれらの一部を特定できるそのような抽象化レベルにおける集積回路の最小の意味ある区分けであることを意味する。
例えば、抽象化のレジスタ転送レベル(Register‐Transfer‐level)から出発し、センシティブゾーンが、レジスタリストから選択される。集積回路、特にはデジタル処理ユニットは、多くの場合、相互接続されたムーアマシンのグループとして構成される。そのような構造において、「レジスタ」は、明らかに基本的な部品であり、マシンの機能的挙動において基本的な役割を有している。さらに、それらのレジスタは不変であり、異なる抽象化のすべてのレベルにおいて維持される(例えば、「変数(variable)」から「フリップ‐フロップ」まで)。他の有効な例は、前記集積回路の一次入力および一次出力である。
センシティブゾーンSZにおける区分けは、原理的に、デジタルおよびアナログ回路の両者に対して有効であり、適用可能である。
図1bを参照すると、センシティブゾーンは、一般的には、それぞれ入力コーンILおよび出力コーンOLである「論理コーン(logic cone)」を介し、すなわちデジタル回路においては論理ゲート(AND、OR、または複合ゲート)に組み合わせられ、アナログ回路においてはバッファ、増幅器、電流ミラー、などに組み合わせられたエレメント(トランジスタなど)のグループを介して、他のセンシティブゾーン(当該集積回路の一次入力および出力を含む)へと接続されている。図1bには、特定のセンシティブゾーンSZへとつながる特定の入力コーンILに入力している他のセンシティブゾーンからの接続されたソースCSおよび/または一次入力と、上記センシティブゾーンSZからの出力コーンOLがつながる他のセンシティブゾーンの接続された負荷CLおよび/または一次出力とが示されている。
さらに、図1bには、観測点OP、すなわち故障Fを観測することができる回路内の場所が示されている。観測点OPの有効な定義は、これらに限られるわけではないが、例えば以下の定義である。
・内部信号または他のセンシティブゾーン
・一次出力
・当該集積回路の主たる機能
・当該集積回路に含まれるのであれば診断回路の警報
・内部信号または他のセンシティブゾーン
・一次出力
・当該集積回路の主たる機能
・当該集積回路に含まれるのであれば診断回路の警報
この文脈において、センシティブゾーンSZの故障モードFMは、当該センシティブゾーンSZがフォールトGまたはフォールトの組み合わせに反応するやり方である。故障モードFMは、2つの主たる種類である。
・物理的なフォールトへと直接的に結び付けることができる。例えば、センシティブゾーンがメモリ素子である場合、レジスタにおけるビットフリップでありうる。
・センシティブゾーンの論理コーンにおけるフォールトの最終結果EFでありうる。例えば、レジスタのディレイピンの前方の組み合わせ論理の縮退または橋絡フォールトに起因するレジスタビットの誤った値である。
・物理的なフォールトへと直接的に結び付けることができる。例えば、センシティブゾーンがメモリ素子である場合、レジスタにおけるビットフリップでありうる。
・センシティブゾーンの論理コーンにおけるフォールトの最終結果EFでありうる。例えば、レジスタのディレイピンの前方の組み合わせ論理の縮退または橋絡フォールトに起因するレジスタビットの誤った値である。
また、故障モードFMは、フォールトイベントの時間的合計でありうる(メモリ素子をヒットする複数のフォールトGなど)。
さらに、センシティブゾーンSZの故障モードFMとそれらの集中コーンILのフォールトGとの間の対応に関して、ローカルおよびグローバルフォールトという物理的フォールトの2つの分類を区別することが有用である。
「ローカル」フォールトは、ただ1つのセンシティブゾーンに寄与する論理コーンの1つ以上のゲートまたはエレメントに影響するフォールトである。センシティブゾーンの前方の論理コーンILにおいて生じるそれぞれのローカルフォールトまたはそれらの組み合わせが、条件または他のフォールトによってマスクされない場合、それにおける故障Fをもたらす。
「グローバル」フォールトは、2つ以上のセンシティブゾーンSZに寄与する論理コーンの1つ以上のゲートに影響するフォールトである。グローバルフォールトの例は、これらに限られるわけではないが、2つ以上のセンシティブゾーンSZにおいて故障を生じる単一のフォールト(例えば、ゲートの出力における縮退)である。そのような場合、複数の故障が生じる。そのような分類は、複数のフリップ‐フロップに影響するクロックまたはリセットバッファにおけるフォールト、多数のセンシティブゾーンSZに影響するクロック生成またはクロックツリーの第1のレベルにおけるフォールト、シリコンコンポーネントの広い領域に影響する電源のフォールト、回路のより遅いコンシステント領域を生成する熱フォールト、などの状況も含む。線間の抵抗または容量結合などのフォールトも、そのようなモデルに含まれる。
センシティブゾーンにおいて生じる故障Fおよび故障モードFMの種類は、発生したフォールトGの種類に依存する。
本発明において、フォールトモデルは、2つの主たる分類、すなわち恒久および一時/間欠フォールトに区別される。第1のフォールトは、当該フォールトの発生後のすべての時点にわたって続くエラーまたは故障を決定するフォールトである。第2のフォールトは、電源が切り離され、あるいは同じセンシティブゾーンにおいて別の演算が生じた場合に、もはや存在しなくなるエラーまたは故障を生じさせるフォールトである。恒久的なフォールトは、それらがシステムの動作モードにおいていつ生じているかに応じて、3つの小分類へとさらに分割される。それらは、実行時間において生じる場合、すなわち電源がオンであるときに生じる場合には、「恒久ON」として分類される。それらは、電源がオフであるときに生じる場合には、「恒久OFF」として分類される。それらは、オフおよびオンの間(または、オンおよびオフの間)の移行において生じる場合には、「恒久スタートアップ」または「恒久ST」として分類される。
すべての分類について、それらは、例えば恒久フォールトについてゲートのただ1つのポートにおいて生じる縮退、および一時/間欠フォールトについて1クロックサイクルの最小継続期間など、最悪の場合において考慮される。
より複雑なメモリアレイ(RAMまたはROMなど)においては、例えば同じメモリ列において生じる複数のフォールトの可能性を考慮するために、より詳細なフォールトモデルが採用される。例えばディレイフォールトなど、他のフォールトモデルは、そのような恒久および一時フォールトの間の区別に従って分類される。
フォールトの影響に関して、「主影響(main effect)」MEが、観測点OPに達する前にマスクされない場合に、少なくとも当該観測点OPに関して検討されるセンシティブゾーンSZの故障モードFMの結果として生じる影響として定められる。「二次影響(secondary effect)」は、出力論理コーンOLを通り、そこから他のセンシティブゾーンCLへと他の観察点OPまでのセンシティブゾーンの故障Fの移動に起因して、他の観測点OPにおいて生じるその他の影響である。これらは、1つのローカルフォールトが1つのセンシティブゾーンSZの故障Fを生じさせるが、その影響が異なる観察点OPにおいて明らかになるきわめてよくある状況を考慮している。
上述の主影響MEは、それがセンシティブゾーンの故障モードFMに起因して「少なくとも」生じ、かつ「最初に」生じる影響であるという事実、すなわちこの影響がセンシティブゾーンSZが対応する故障モードFMを有するときに確実に生じる(そうでない場合には、何も生じない)という事実によっても特徴付けられる。他の観測点OPにおける残りのすべての影響は、「二次影響」と考えられる。
IEC 61508規格から取られた以下の追加の定義が、本発明について考えられる特定の実施の形態のうちの1つを説明するための裏打ちとして使用される。
IEC 61508は、電気/電子/プログラマブル電子安全関連システムの機能的安全性についての規格である。
IEC 61508の基本的考え方の1つは、「安全度水準(safety integrity level)」(以下では、SIL)、すなわち安全関連のシステムへと割り当てられるべき安全機能の安全度の要件を指定するための不連続なレベル(考えられる4つのうちの1つ)の定義にあり、安全度水準4が、最高レベルの安全度を有し、安全度水準1が、最低レベルの安全度を有する。安全度水準は、所与のコンポーネントについて安全側故障割合(Safe Failure Fraction:以下では、SFF)の値に基づいて付与される。SFFは、安全側故障(すなわち、安全関連システムを危険または機能不良の状態にする可能性を有さない故障)と検出される危険側故障との合計の、考えられるすべての故障の合計(安全+危険)に対する比に等しい。
この文脈において、「検出」とは、そのような故障の存在を発見するという回路の活動を意味する。検出が直接的であり、すなわちトランジスタの直接かつ自立した活動による場合、当該回路は、「HW診断回路」と称され、当該集積回路上で動作するソフトウェアプログラムの結果である場合には、このプログラムが、「SW診断テスト」と称される。以下では、「診断」または「診断カバレッジ」などの用語は、HW(ハードウェア)診断回路およびSW(ソフトウェア)診断テストの組み合わせの活動を指す。
本発明の説明において使用される他の重要な定義は、以下のとおりである。
・危険側故障(以下では、D):安全関連のシステムを危険または機能不良の状態にする可能性を有する故障
・安全側故障(以下では、S):安全関連のシステムを危険または機能不良の状態にする可能性を有さない故障
・共通原因故障(以下では、CCF):多チャネルのシステムにおいて、システムの故障につながる2つ以上の別個のチャネルの同時故障を引き起こす1つ以上のイベントの結果である故障。
・診断カバレッジ(以下では、DC):診断テストの動作からもたらされる危険なハードウェア故障の可能性の減少割合。
・危険側故障(以下では、D):安全関連のシステムを危険または機能不良の状態にする可能性を有する故障
・安全側故障(以下では、S):安全関連のシステムを危険または機能不良の状態にする可能性を有さない故障
・共通原因故障(以下では、CCF):多チャネルのシステムにおいて、システムの故障につながる2つ以上の別個のチャネルの同時故障を引き起こす1つ以上のイベントの結果である故障。
・診断カバレッジ(以下では、DC):診断テストの動作からもたらされる危険なハードウェア故障の可能性の減少割合。
さらに、IEC 61508規格は、安全性に関するアプリケーションについての要件を、安全要求仕様(Safety Requirement Specification:SRS)と称する文書に含めなければならないと指定している。以下で指定されるように、このSRSが、FMEA準備段階において使用される。
ただいま述べた考え方および定義を参照し、図2には、本発明によるFMEA法を示すフロー図が示されている。
集積回路の設計の先の段階から回路の記述205、例えばRTL記述を入手できる点に鑑み、この方法は、そのような回路の記述205から情報を抽出するステップ210を主として含んでいる第1の段階310を最初に提供する。さらに、第1の段階310は、随意により、所与の回路作業負荷219から回路使用プロファイルを抽出するステップ220を含んでいる。
図3に、第1の段階310の動作を詳しく示すフロー図が示されている。情報抽出のステップ210が、設計中の集積回路の抽象化レベルに従って実行される回路の記述を読み出すステップ207で始まっている。仕様およびブロック図が、テキストまたはグラフィック記述の分析によって解析される一方で、RTL、ゲート‐レベル、およびレイアウト‐レベルの記述が、VHDL(VHSICハードウェア記述言語)またはVERILOG回路記述アナライザなどの市販のEDA(電子設計自動化)ツールを使用することによって解析される。
次いで、そのような回路記述205が、センシティブゾーンの単離のステップ211において、センシティブゾーンSZに区分けされる。仕様およびブロック図が、人手による入力に組み合わせられた文脈解析によって区分けされる一方で、RTL、ゲート‐レベル、およびレイアウト‐レベルの記述が、前記市販のツールにおいて利用できる自動手順を使用することによって区分けされる。これに限られるわけではないが、例として、以下の記述が、どのように前記自動手順を使用してデジタル・ゲート‐レベルの記述からセンシティブゾーンが選択されるのかについて、詳述している。同様の手順が、他の抽象化レベルまたはアナログ回路についても使用される。
ゲート‐レベルの抽象化で表現されたデジタル集積回路について、センシティブゾーンの区分けステップ211の出発点は、いわゆる「ネットリスト(netlist)」である。そのようなネットリストは、市販の合成ツールを使用して実行される標準的なデジタル集積回路合成プロセスの終わりにおいて自動的に生成される。それは、典型的には、VERILOG言語であり、あるいは選択された合成ツールによって届けられるフォーマットである。それは、集積回路のすべてのゲートおよびそれらの相互接続の記述を含んでいる。前記合成ツールにおいて利用できるコマンドを使用することによって、集積回路のレジスタの完全なリストが、そのようなネットリストから抽出される。このリストが、レジスタをそれらの識別名に依存してグループ化するスクリプト(PERL言語での)によってコンパクト化される。ネットリストがレジスタ転送レベル(RTL)の記述から由来するとき、それらのレジスタは、当該記述の基本エレメントであり、したがって「基本的」なセンシティブゾーンを現している。RTLならび集積回路の記述のより高いまたはより低い抽象化レベルの間の形式的分析(例えば、市販の形式分析ツールによって実行される)が、そのようなセンシティブゾーンSZが抽象レベルに関して不変であるように保証するために使用される。
単離のステップ211の後で、センシティブゾーンSZのそれぞれについて、入力コーンILおよび出力コーンOLの情報が、それぞれコーン入力情報の抽出ステップ212およびコーン入力情報の抽出ステップ213において抽出される。そのような入力コーンILおよび出力コーンOLの情報は、ゲートおよびピンカウント、ソース(すなわち、入力論理コーンILの入力)および負荷(すなわち、出力論理コーンOLの出力)の数、ならびに相互の接続などといった論理コーンの組成を含んでいる。これに限られるわけではないが、例として、デジタル・ゲート‐レベルの記述の場合には、これらの情報が、それぞれのセンシティブゾーンのすべての「論理入力」および「論理出力」ゲートの抽出など、前記合成ツールにおいて利用できるコマンドを使用し、ゲートカウントをスクリプトで集めるなどによって、前記「ネットリスト」から抽出される。例として、Synopsysによって提供される合成ツールなど、Verilogのための合成ツールには、レジスタの入力へと到着する論理コーン(入力コーン)またはその出力から出発する論理コーン(出力コーン)の論理ゲートの数および種類を回路の記述から抽出する「transitive_fanout」および「transitive_fanin」などといったコマンドが用意されている。これらの情報から、ゲートカウントを計算することは単刀直入であり、そのようなゲートカウントは、論理コーンの面積の表示である。
次いで、ステップ212および213に続き、この情報ならびにステップ211において得られたセンシティブゾーンの区分けによってセンシティブ・ゾーン・データベース214が構成される。
続いて、ステップ215において、フォールト‐リストLFが、入力および出力論理コーンを解析し、フォールト‐リストデータベース216を生成することによって生成される。そのようなデータベース216は、共有情報の抽出ならびにフォールト注入およびフォールトカバレッジの機能を、後で詳しく説明されるFMEAデータベースの検証の段階330へと供給するために使用される。したがって、このフェーズは、前記集積回路の抽象化レベルへと実行され、仕様およびブロック図のフォールトリストが、テキスト記述の解析によって抽出される一方で、RTL、ゲート‐レベル、およびレイアウト‐レベルの記述が、各レジスタの論理入力および論理出力の各ゲートのピンの列挙など、前記合成ツールの利用可能な手順を使用することによって抽出される。
ステップ215において得られたフォールトリストLFに基づき、共有情報の抽出のステップ217において、共有されるエレメント、ゲート、およびネットに関して各センシティブゾーンSZの間の相関が抽出される。この相関が、さらに詳しく後述されるFMEAデータベースの検証のフェーズ250において使用されるべき共有データベースを生成するために使用され、複数の故障および二次影響に関する情報を導出するために使用される。
上述のすべてのフェーズは、抽象化のすべてのレベルについて有効であり、全体的に検討され、詳しくは検討されないが、デジタルおよびアナログ回路の両者について有効である。
提案されるFMEA法の情報抽出のステップ210は、上述のように、随意により、所与の回路作業負荷219およびセンシティブ・ゾーン・データベース214に基づいて、回路使用プロファイルデータベース221をもたらす回路およびセンシティブゾーンの使用プロファイルを抽出するステップ220を含んでいる。そのような回路使用プロファイルデータベース221を、随意により、後述のとおり使用頻度値235を入力するステップに主として関するFMEAデータベースの準備ステップ221において使用することができる。
これらに限られるわけではないが、そのような抽出の2つの例を、CPUを含むデジタル集積回路について以下に提示する。作業負荷、すなわち前記集積回路のベンチマークスイートまたは典型的なアプリケーションが、前記CPUのためにコンパイルされる。「静的」プロファイル抽出が、コンパイルのプロセスによって生成される分解されたファイルを解析することによって実行され、生じるインストラクションの頻度が抽出される。「動的」プロファイル抽出が、所与の作業負荷で前記集積回路を模擬することによって実行され、生じるインストラクションの頻度が、CPUインストラクションバス上の値をサンプリングすること、および/またはそのような作業負荷に対する各センシティブゾーン(レジスタ)のアクティベーションの頻度を抽出することによって、抽出される。
提案される方法を全体的に説明している図2のフロー図をさらに参照すると、提案されるFMEA法の第2の主たる段階320が、情報抽出のステップ210を含んでいる段階310の結果に基づき、安全要求仕様(SRS)231および選択された安全規格ガイドライン230から導出される情報と組み合わせられるFMEAデータベースの準備ステップ225を含んでいる。
図4に、第2の準備段階320およびFMEA準備ステップ225が詳しく示されている。そのようなFMEA準備ステップ225は、センシティブ・ゾーン・データベース214を取り込むステップ226で始まる。センシティブゾーン情報が、後述される他の情報と同様に、IEC 61508規格のための典型的な実施の形態に関して主要なフィールドが図5に示されているFMEAデータベース242に取り入れられる。そこに表として提示された表現は、データベースについて考えられる例であるが、それには限定されず、SQLデータベースまたは他の特定の規格のための別のフィールドを有するような他の実施の形態も可能である。
FMEAデータベースシート242の各線またはレコードは、所与のセンシティブゾーンSZについて考えられる故障モードFMに対応している。FMEAデータベース242は、図5に詳しく別個に示されてもいるフィールドの4つの主たる分類を含んでいる。
・「センシティブゾーン」243:考慮されるセンシティブゾーンSZについての階層、名称、および記述を報告する。
・「故障モード」244:故障モードFM、そのような列において故障モードFMの影響が分析される前提条件、および観測点OPにおけるそのような故障モードFMの主たる影響を報告する。
・「FMEA統計」245:所与のセンシティブゾーンSZにおける所与の故障モードFMについて該当する故障率を計算するために必要なすべての統計を報告する。この分類は、存在しうるHW診断回路またはSW診断テストの影響を考慮することなく、集積回路を考慮する。
・「診断カバレッジ」246:安全側故障割合を計算するために必要とされる統計を報告する。
・「センシティブゾーン」243:考慮されるセンシティブゾーンSZについての階層、名称、および記述を報告する。
・「故障モード」244:故障モードFM、そのような列において故障モードFMの影響が分析される前提条件、および観測点OPにおけるそのような故障モードFMの主たる影響を報告する。
・「FMEA統計」245:所与のセンシティブゾーンSZにおける所与の故障モードFMについて該当する故障率を計算するために必要なすべての統計を報告する。この分類は、存在しうるHW診断回路またはSW診断テストの影響を考慮することなく、集積回路を考慮する。
・「診断カバレッジ」246:安全側故障割合を計算するために必要とされる統計を報告する。
データベース242のフィールド243〜246の前記分類は、自動的に計算され、あるいは安全および危険の値の場合と同様に好ましくはエキスパートユーザによって入力され、あるいはあらかじめ構成されたデータファイルによってロードされる値を受け取るために、FMEAデータベースの準備ステップ225の際に提示される。
次に、これらの分類に含まれるフィールドを、上述のIEC 61508の定義を参照して、さらに詳述する。
センシティブ・ゾーン・データベース214を取り入れた後で、FMEAデータベース242に、図4に示されているステップ227において、HW診断回路またはSW診断テストの影響を考慮しない集積回路に関する統計から出発して、各FMEAレコードについて以下のフォールトモデル統計を自動的に計算する埋め込みの式がもたらされる。
・該当するセンシティブゾーンのエリア:FMEA統計クラス245の「CAR」フィールドに示されている。これは、例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、センシティブ・ゾーン・データベース214によって導出され、とくにはゲートカウントなどのILおよびOL論理コーン情報から導出される。遅延フォールトなどのフォールトモデルへの特定の焦点の場合に、このエリアは、タイミングが重要な経路の長さなどを考慮することができる。
・該当するセンシティブゾーンのエレメントの数:FMEA統計クラス245の「ff」フィールドに示されている。これは、例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、レジスタ、ラッチ、およびフリップ‐フロップの数である。
・回路内のエレメントの平均エリア:以下の説明において「aff」として特定される。これは、すべての回路について1回抽出され、特定のセンシティブゾーンに関係しない。これは、例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、集積回路を合成するために使用される技術ライブラリのレジスタ、ラッチ、およびフリップ‐フロップの平均エリアである。
・所与のセンシティブゾーンの一時フォールトについての故障率ユニット、すなわちセンシティブゾーンの1つのエレメントにおける一時フォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、センシティブゾーンSZがフリップ‐フロップであり、故障率ユニットは、FIT/bit(すなわち、FIT/flip_flop)で表現される値である。これは、1つのフリップ‐フロップにおける一時エラー率である。「λtrans_reg」と称される。
・所与のセンシティブゾーンの論理コーンにおける一時フォールトについての故障率ユニット、すなわちセンシティブゾーンの論理コーンの1つのエレメントにおける一時フォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、FIT/gateで表現される値である。「λtrans_glue」と称される。
・回路がOFFであるときの恒久フォールトの故障率ユニット、すなわちセンシティブゾーンの論理コーンの1つのエレメントにおける恒久OFFフォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、FIT/gateで表現される値である。「λperm_off」と称される。
・回路がスタートアップされるとき、またはシャットダウンが存在するときの恒久フォールトの故障率ユニット、すなわちセンシティブゾーンの論理コーンの1つのエレメントにおける恒久STフォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、FIT/gateで表現される値である。「λperm_startup」と称される。
・回路がONであるときの恒久フォールトの故障率ユニット、すなわちセンシティブゾーンの論理コーンの1つのエレメントにおける恒久STフォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、FIT/gateで表現される値である。「λperm_on」と称される。
・一時フォールトの累積故障率。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、ff*λtrans_reg+(CAR+ff*aff)*λtrans_glue=(フリップフロップの数)にtransient_regのFITを掛け、総エリアにtransient_glueを掛けたものを加えるに等しい。FMEA統計クラス245の「λCtrans」フィールドに示される。
・恒久フォールトの累積故障率。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、(CAR+ff*aff)*λperm_total=総エリアにすべての恒久フォールトについての累積FITを掛けたものに等しい。FMEA統計クラス245の「λCperm」フィールドに示される。
・該当するセンシティブゾーンのエリア:FMEA統計クラス245の「CAR」フィールドに示されている。これは、例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、センシティブ・ゾーン・データベース214によって導出され、とくにはゲートカウントなどのILおよびOL論理コーン情報から導出される。遅延フォールトなどのフォールトモデルへの特定の焦点の場合に、このエリアは、タイミングが重要な経路の長さなどを考慮することができる。
・該当するセンシティブゾーンのエレメントの数:FMEA統計クラス245の「ff」フィールドに示されている。これは、例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、レジスタ、ラッチ、およびフリップ‐フロップの数である。
・回路内のエレメントの平均エリア:以下の説明において「aff」として特定される。これは、すべての回路について1回抽出され、特定のセンシティブゾーンに関係しない。これは、例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、集積回路を合成するために使用される技術ライブラリのレジスタ、ラッチ、およびフリップ‐フロップの平均エリアである。
・所与のセンシティブゾーンの一時フォールトについての故障率ユニット、すなわちセンシティブゾーンの1つのエレメントにおける一時フォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、センシティブゾーンSZがフリップ‐フロップであり、故障率ユニットは、FIT/bit(すなわち、FIT/flip_flop)で表現される値である。これは、1つのフリップ‐フロップにおける一時エラー率である。「λtrans_reg」と称される。
・所与のセンシティブゾーンの論理コーンにおける一時フォールトについての故障率ユニット、すなわちセンシティブゾーンの論理コーンの1つのエレメントにおける一時フォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、FIT/gateで表現される値である。「λtrans_glue」と称される。
・回路がOFFであるときの恒久フォールトの故障率ユニット、すなわちセンシティブゾーンの論理コーンの1つのエレメントにおける恒久OFFフォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、FIT/gateで表現される値である。「λperm_off」と称される。
・回路がスタートアップされるとき、またはシャットダウンが存在するときの恒久フォールトの故障率ユニット、すなわちセンシティブゾーンの論理コーンの1つのエレメントにおける恒久STフォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、FIT/gateで表現される値である。「λperm_startup」と称される。
・回路がONであるときの恒久フォールトの故障率ユニット、すなわちセンシティブゾーンの論理コーンの1つのエレメントにおける恒久STフォールトについての故障率ユニット。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、FIT/gateで表現される値である。「λperm_on」と称される。
・一時フォールトの累積故障率。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、ff*λtrans_reg+(CAR+ff*aff)*λtrans_glue=(フリップフロップの数)にtransient_regのFITを掛け、総エリアにtransient_glueを掛けたものを加えるに等しい。FMEA統計クラス245の「λCtrans」フィールドに示される。
・恒久フォールトの累積故障率。例えばデジタル・ゲート‐レベル記述(これに限られるわけではないが)の場合には、(CAR+ff*aff)*λperm_total=総エリアにすべての恒久フォールトについての累積FITを掛けたものに等しい。FMEA統計クラス245の「λCperm」フィールドに示される。
したがって、このやり方で、デジタル回路の故障率が、回路を各レジスタに求心する論理コーンに分割し、そのような故障率をコーンにわたる合計として計算することによって計算され、各単一の和は、恒久フォールトについての項および一時フォールトについての項に分割される。
提案されるFMEA法を使用するエキスパートは、フォールトモデル統計の影響を、FMEAデータベース242に以下の値を入力することによって変更できる。
・スケーリング係数:センシティブゾーンの重みを必要に応じて増減させるために使用される(スケーリング)。通常は、1に設定される(したがって、スケーリングなし)。例えば、考慮されるセンシティブゾーンの重みを10という係数で増加させるべき場合には、10へと設定することができる。この場合、その安全性/危険性が、10という係数によって増加させられる。FMEA統計クラス245の「k」フィールドに示される。
・所与のセンシティブゾーンSZの論理コーンILまたはOLの組み合わせのエリアについての倍率。このセンシティブゾーンSZがレイアウトレベルでどの程度広げられているかを考慮する。FMEA統計クラス245の「L」フィールドに示される。この値を、集積回路レイアウトネットリストを解析し、レイアウトにおける各センシティブゾーンの広がりを分類する自動プロセスによって決定することも可能である。
・所与の入力または出力の重みについての倍率。この入力または出力が長い経路にどの程度相互接続されているかを考慮する。FMEA統計クラス245の「FO」フィールドに示される。この値を、集積回路レイアウトネットリストを解析し、レイアウトにおける各センシティブゾーンの接続の広がりを分類する自動プロセスによって決定することも可能である。
・スケーリング係数:センシティブゾーンの重みを必要に応じて増減させるために使用される(スケーリング)。通常は、1に設定される(したがって、スケーリングなし)。例えば、考慮されるセンシティブゾーンの重みを10という係数で増加させるべき場合には、10へと設定することができる。この場合、その安全性/危険性が、10という係数によって増加させられる。FMEA統計クラス245の「k」フィールドに示される。
・所与のセンシティブゾーンSZの論理コーンILまたはOLの組み合わせのエリアについての倍率。このセンシティブゾーンSZがレイアウトレベルでどの程度広げられているかを考慮する。FMEA統計クラス245の「L」フィールドに示される。この値を、集積回路レイアウトネットリストを解析し、レイアウトにおける各センシティブゾーンの広がりを分類する自動プロセスによって決定することも可能である。
・所与の入力または出力の重みについての倍率。この入力または出力が長い経路にどの程度相互接続されているかを考慮する。FMEA統計クラス245の「FO」フィールドに示される。この値を、集積回路レイアウトネットリストを解析し、レイアウトにおける各センシティブゾーンの接続の広がりを分類する自動プロセスによって決定することも可能である。
他の多数の変形例も可能である。例えば、抽象化の高いレベルまたはアナログブロックについて、「アドホック(ad hoc)」の統計フォールトモデルを、前記FMEAデータベース242を使用してエキスパートによって入力することが可能である。デフォルトおよび特別なフォールトモデルを、フォールトモデルの記述233から解析することも可能である。
フォールトモデル統計の計算の後、ステップ228において、各センシティブゾーンSZについて、故障モードFMが入力される。「故障モード」の列が、基本のエラーにつながるセンシティブゾーンSZにおけるフォールトの影響を報告している。これらに限られるわけではないが、考えられる故障モードの例は、
・該当のFMEAレコードが特定の故障モードを考慮していない場合の「任意」、
・該当のFMEAレコードが、センシティブゾーンの論理コーンにおけるフォールトがセンシティブゾーンの値を変化させる一時故障によって引き起こされた場合を考慮している「ビット‐フリップ」、
・該当のFMEAレコードが、センシティブゾーンの論理コーンにおけるフォールトがそのようなセンシティブゾーンにおいて恒久値のみを出現させた場合を考慮している「DCまたは縮退」
である。
・該当のFMEAレコードが特定の故障モードを考慮していない場合の「任意」、
・該当のFMEAレコードが、センシティブゾーンの論理コーンにおけるフォールトがセンシティブゾーンの値を変化させる一時故障によって引き起こされた場合を考慮している「ビット‐フリップ」、
・該当のFMEAレコードが、センシティブゾーンの論理コーンにおけるフォールトがそのようなセンシティブゾーンにおいて恒久値のみを出現させた場合を考慮している「DCまたは縮退」
である。
最初に、そのようなステップ228が、あらかじめ設定されたデータファイルまたは自動化された選択によって、そのような回路の記述205、安全仕様230、および安全規格ガイドライン231に基づいて自動的に実行される。例として、IEC 61508規格の第2部の表A1は、この規格に照らして回路を調べるときに考慮されなければならないフォールト/故障モードを指定している。次いで、提案されるFMEA法を使用するエキスパートが、必要であればさらなる選択によってこのフィールドを変更するために、回路の記述205、安全仕様230、および安全規格ガイドライン231を使用する。
「状態(condition)」の列は、そのような行において故障モードの影響が分析される前提条件を報告している。考えられる故障モードの例は、「クロック・イネーブル・アクティブ(clock enable active)」または任意の他の考えられる状態である。
故障モード情報の入力の後、提案されるFMEA法を使用するエキスパートは、ステップ234において、故障モードクラス244に、それぞれのセンシティブゾーンについて、予想される主たる影響を入力する。「主たる影響」の列は、上記定義のような観測点に関する考慮されるセンシティブゾーンの特定の故障モードの主たる影響を報告する。センシティブゾーンおよび考慮される観測点OPの間の複雑な関係の場合には、主たる影響を、関連技術に存在するFTA法の1つによって決定することも可能である。
主たる影響の情報の入力のステップ234の後で、エキスパートは、各センシティブゾーンについて、ステップ235において予想される使用頻度値を入力する。とくには、以下の値が入力される。
・前記センシティブゾーンの使用頻度に関する一時/恒久フォールトの頻度クラス。それらは、FMEA統計クラス245の「一時頻度クラス」および「恒久頻度クラス」フィールドに示される。
・当該ゾーンの使用の頻度(頻度クラス)に依存して危険であると仮定できる一時/恒久フォールトの割合。これらの値は、0%・・・100%の範囲にある。それらは、FMEA統計クラス245の「Ftrans」および「Fperm」フィールドに示される。
・前記センシティブゾーンに関連付けられたメモリ素子の最後の「読み出し」動作および「書き込み」動作の間の時間として定義されるライフタイム(ζ)。例えば、集積回路がCPUである場合、汎用のレジスタは、フェッチ段階においてそのインストラクションをラッチするレジスタよりもはるかに長い平均ライフタイムを有する。FMEA統計クラス245の「ライフタイム」フィールドに示される。
・前記センシティブゾーンの使用頻度に関する一時/恒久フォールトの頻度クラス。それらは、FMEA統計クラス245の「一時頻度クラス」および「恒久頻度クラス」フィールドに示される。
・当該ゾーンの使用の頻度(頻度クラス)に依存して危険であると仮定できる一時/恒久フォールトの割合。これらの値は、0%・・・100%の範囲にある。それらは、FMEA統計クラス245の「Ftrans」および「Fperm」フィールドに示される。
・前記センシティブゾーンに関連付けられたメモリ素子の最後の「読み出し」動作および「書き込み」動作の間の時間として定義されるライフタイム(ζ)。例えば、集積回路がCPUである場合、汎用のレジスタは、フェッチ段階においてそのインストラクションをラッチするレジスタよりもはるかに長い平均ライフタイムを有する。FMEA統計クラス245の「ライフタイム」フィールドに示される。
第1の段階310において抽出される回路使用プロファイルデータベース221を、随意により上述の頻度クラスおよび対応する値を自動的に埋めるために使用することが可能である。
曖昧さを避けるため、そのような頻度が、センシティブゾーンが所与の作業負荷においてどの程度使用されるかに関係することを指定しなければならない。それらは、そのようなセンシティブゾーンにおけるフォールトの発生の可能性または頻度ではない。そのようなセンシティブゾーンにおけるフォールトの発生の可能性または頻度(「故障率」)は、ステップ237において計算される。
ステップ235において予想される使用頻度情報を例えば計算の結果として入力した後、エキスパートは、ステップ236において、各センシティブゾーンについて、安全側および危険側割合を入力する。とくには、一時および恒久フォールトに分割される所与のセンシティブゾーンSZにおける所与の故障モードFMに関して考えられる故障について推定される安全側割合および危険側割合が入力される。それらは、FMEA統計クラス245の「Strans」、「Sperm」、「Dtrans」、および「Dperm」フィールドに示される。
S/D係数が、所与のセンシティブゾーンにおける所与の故障モードについて、全故障に対する安全側および危険側故障の割合を与える。一般に、S/D係数について2つの群が存在する。
・アーキテクチャ的推定によって与えられるS/D(Sarch/Darch)。それらは、回路のアーキテクチャに関係しており、それらは、アプリケーションから完全に独立であり、それらの値は、回路の記述の分析によって完全に決定される。
・アプリケーション関連の推定によって与えられるS/D(Sappl/Dappl)。それらは、回路について考えられる使用に関係しており、それらは、回路使用プロファイル・データベースによって決定され、あるいは安全要求仕様(SRS)231によって直接的に決定される。
・アーキテクチャ的推定によって与えられるS/D(Sarch/Darch)。それらは、回路のアーキテクチャに関係しており、それらは、アプリケーションから完全に独立であり、それらの値は、回路の記述の分析によって完全に決定される。
・アプリケーション関連の推定によって与えられるS/D(Sappl/Dappl)。それらは、回路について考えられる使用に関係しており、それらは、回路使用プロファイル・データベースによって決定され、あるいは安全要求仕様(SRS)231によって直接的に決定される。
典型的には、各故障モードFMの詳細な分析が不可能である場合、IEC 61508規格に述べられているように、S=0%およびD=100%あるいはS=50%およびD=50%である。提案されるFMEA法を運用しているエキスパートは、FMEAデータベースの適切なフィールドにDtransまたはDpermを減少させるための仮定を入力すべきである。
安全側および危険側の値を入力した後、故障率の計算のステップ237において、FMEAデータベースシート242に埋め込まれた式が、各FMEAレコードについて以下の故障率を自動的に計算する。
・一時フォールトについての安全側故障率。λStrans=k*(λCtrans*((Strans*Ftrans)+(1−Ftrans)))として計算される。FMEA統計クラス245の「λStrans」フィールドに示される。
・一時フォールトについての危険側故障率。λDtrans=k*(λCtrans*Dtrans*Ftrans)として計算される。FMEA統計クラス245の「λDtrans」フィールドに示される。
・恒久フォールトについての安全側故障率。λSperm=k*(λCperm*((Sperm*Fperm)+(1−Fperm)))として計算される。FMEA統計クラス245の「λSperm」フィールドに示される。
・恒久フォールトについての危険側故障率。λDperm=k*(λCperm*Dperm*Fperm)として計算される。FMEA統計クラス245の「λDperm」フィールドに示される。
・安全側故障率、すなわち一時および恒久についての安全側故障率の合計。λS=λStrans+λSpermとして計算される。FMEA統計クラス245の「λS」フィールドに示される。
・危険側故障率、すなわち一時および恒久についての危険側故障率の合計。λD=λDtrans+λDpermとして計算される。FMEA統計クラス245の「λD」フィールドに示される。
・全危険側故障部分に対する危険側故障部分の割合。このセンシティブゾーンのλDをすべてのセンシティブゾーンのすべてのλDの総計によって除算して計算される。FMEA統計クラス245の「割合(診断なし)」フィールドに示される。
・「重要度ランキング」。より大きな値が、重要度レベルの割り当てにおいて最初に考慮されなければならないセンシティブゾーンに対応する。先に計算された危険側故障部分の割合を、すべてのセンシティブゾーンについて計算された平均の割合によって除算し、100を乗算してなる割合として計算される。FMEA統計クラス245の「重要度ランキング(診断なし)」フィールドに示される。
・一時フォールトについての安全側故障率。λStrans=k*(λCtrans*((Strans*Ftrans)+(1−Ftrans)))として計算される。FMEA統計クラス245の「λStrans」フィールドに示される。
・一時フォールトについての危険側故障率。λDtrans=k*(λCtrans*Dtrans*Ftrans)として計算される。FMEA統計クラス245の「λDtrans」フィールドに示される。
・恒久フォールトについての安全側故障率。λSperm=k*(λCperm*((Sperm*Fperm)+(1−Fperm)))として計算される。FMEA統計クラス245の「λSperm」フィールドに示される。
・恒久フォールトについての危険側故障率。λDperm=k*(λCperm*Dperm*Fperm)として計算される。FMEA統計クラス245の「λDperm」フィールドに示される。
・安全側故障率、すなわち一時および恒久についての安全側故障率の合計。λS=λStrans+λSpermとして計算される。FMEA統計クラス245の「λS」フィールドに示される。
・危険側故障率、すなわち一時および恒久についての危険側故障率の合計。λD=λDtrans+λDpermとして計算される。FMEA統計クラス245の「λD」フィールドに示される。
・全危険側故障部分に対する危険側故障部分の割合。このセンシティブゾーンのλDをすべてのセンシティブゾーンのすべてのλDの総計によって除算して計算される。FMEA統計クラス245の「割合(診断なし)」フィールドに示される。
・「重要度ランキング」。より大きな値が、重要度レベルの割り当てにおいて最初に考慮されなければならないセンシティブゾーンに対応する。先に計算された危険側故障部分の割合を、すべてのセンシティブゾーンについて計算された平均の割合によって除算し、100を乗算してなる割合として計算される。FMEA統計クラス245の「重要度ランキング(診断なし)」フィールドに示される。
これらの故障率に基づき、さらに選択された規格(典型的な実施の形態においてはIEC 61508)に特有の指標に基づいて、以下の診断なしのFMEA結果238が、ステップ237において計算される。
・全安全側故障率。各センシティブゾーンのすべての安全側故障率の合計として計算される。FMEA結果クラス247の「λS(合計)」フィールドに示される。
・全危険側故障率。各センシティブゾーンのすべての危険側故障率の合計として計算される。FMEA結果クラス247の「λD(合計)」フィールドに示される。
・診断なし安全側故障割合。全安全側故障率を全安全側故障率および全危険側故障率の和で除算して計算される。FMEA結果クラス247の「SFF(診断なし)」フィールドに示される。
・全安全側故障率。各センシティブゾーンのすべての安全側故障率の合計として計算される。FMEA結果クラス247の「λS(合計)」フィールドに示される。
・全危険側故障率。各センシティブゾーンのすべての危険側故障率の合計として計算される。FMEA結果クラス247の「λD(合計)」フィールドに示される。
・診断なし安全側故障割合。全安全側故障率を全安全側故障率および全危険側故障率の和で除算して計算される。FMEA結果クラス247の「SFF(診断なし)」フィールドに示される。
典型的な実施の形態のための参照規格として選択されたIEC 61508規格によって必要とされるとおり、故障率の計算の後に、各センシティブゾーンについて、エキスパートが、存在するのであればHW診断回路およびSW診断テストに関する診断カバレッジを入力するステップ239が実行される。存在しない場合、以下のすべての値は入力されず、したがって計算されるFMEA結果247に寄与しない。
特には、以下の値が入力される。
・HWによって検出される一時DDF(検出される危険側故障)の割合、すなわち一時フォールトに関し、各故障モードFMに関連付けられた危険側故障率のうち、HW診断回路によって検出が主張される部分。診断カバレッジクラス246の「DDF HW(TR)」フィールドに示される。
・HWによって検出される危険側恒久故障の割合、すなわち恒久フォールトに関し、各故障モードに関連付けられた危険側故障率のうち、HW診断回路によって検出が主張される部分。診断カバレッジクラス246の「DDF HW(PE)」フィールドに示される。
・SW診断テストによって検出される危険側恒久故障の割合、すなわち恒久フォールトに関し、各故障モードに関連付けられた危険側故障率のうち、SW診断テストによって検出が主張される部分。診断カバレッジクラス246の「DDF SW(PE)」フィールドに示される。
・後述のように、センシティブゾーンSZおよび共有データベース218の分析に基づいて検出されると考えられる危険側一時故障の割合(「自動カバレッジ(auto‐coverage)」)。診断カバレッジクラス246の「DDF AUTO(TR)」フィールドに示される。
・後述のように、センシティブゾーンSZおよび共有データベース218の分析にもとづいて検出されると考えられる危険側恒久故障の割合(「自動カバレッジ(auto‐coverage)」)。診断カバレッジクラス246の「DDF AUTO(PE)」フィールドに示される。
・HWによって検出される一時DDF(検出される危険側故障)の割合、すなわち一時フォールトに関し、各故障モードFMに関連付けられた危険側故障率のうち、HW診断回路によって検出が主張される部分。診断カバレッジクラス246の「DDF HW(TR)」フィールドに示される。
・HWによって検出される危険側恒久故障の割合、すなわち恒久フォールトに関し、各故障モードに関連付けられた危険側故障率のうち、HW診断回路によって検出が主張される部分。診断カバレッジクラス246の「DDF HW(PE)」フィールドに示される。
・SW診断テストによって検出される危険側恒久故障の割合、すなわち恒久フォールトに関し、各故障モードに関連付けられた危険側故障率のうち、SW診断テストによって検出が主張される部分。診断カバレッジクラス246の「DDF SW(PE)」フィールドに示される。
・後述のように、センシティブゾーンSZおよび共有データベース218の分析に基づいて検出されると考えられる危険側一時故障の割合(「自動カバレッジ(auto‐coverage)」)。診断カバレッジクラス246の「DDF AUTO(TR)」フィールドに示される。
・後述のように、センシティブゾーンSZおよび共有データベース218の分析にもとづいて検出されると考えられる危険側恒久故障の割合(「自動カバレッジ(auto‐coverage)」)。診断カバレッジクラス246の「DDF AUTO(PE)」フィールドに示される。
特には、自動カバレッジの計算に関して、センシティブゾーンおよび共有データベース218からアーキテクチャのカバレッジの値を抽出するために、さまざまなモデルが使用される。ここでは、一例(これに限られるわけではないが)が提示される。集積回路がセンシティブゾーン間の論理共有の特定の程度を含むことがきわめて頻繁であるため、そのような減少を、DDFの見積もりの際に考慮することができる。各センシティブゾーンについて、形状関数が、他のセンシティブゾーンとの共有を重み付けるために使用される。形状関数は、例えば、少なくとも30のセンシティブゾーンと共有されるフォールトを自動カバレッジであると考えるように指定する。なぜならば、そのようなセンシティブゾーンにおいて生じるフォールトは、おそらくは多数の影響を生じさせ、したがって診断回路によって容易に検出されるからである。
診断カバレッジの値の入力のステップ239の後で、FMEAデータベースシート242に埋め込まれた式が各FMEAレコードについて以下の検出/非検出故障率を自動的に計算するステップ240が実行される。
・λperm_offstについて、すなわち恒久OFFおよび恒久STの両方のフォールトについての全危険側検出故障率。DDF_OFFST=[100%−(100%−(DDF_HW_PE+DDF_SW))*(100%−DDF_AUTO_PE)]として計算される。
・λperm_onについての全危険側検出故障率。DDF_ON=[100%−(100%−DDF_HW_PE)*(100%−DDF_AUTO_PE)]として計算される。
・λtransについての全危険側検出故障率。DDF_TR=[100%−(100%−DDF_HW_TR)*(100%−DDF_AUTO_TR)]として計算される。
・全危険側検出故障率。λDD=危険側検出故障率=DDF_TR*λD_trans+DDF_OFFST*λD_perm*[λperm_offst/λperm_total]+DDF_ON*λD_perm*[λperm_on/λperm_total]として計算される。診断カバレッジクラス246の「λDD」フィールドに示される。
・危険側非検出故障率。λDU=λD−λDDとして計算される。診断カバレッジクラス246の「λDU」フィールドに示される。
・全危険側非検出故障部分に対する危険側非検出故障部分の割合。このセンシティブゾーンのλDUをすべてのセンシティブゾーンのλDUの総和で除算して計算される。診断カバレッジクラス246の「割合(診断あり)」フィールドに示される。
・「重要度ランキング」。より大きな値が、重要度レベルの割り当てにおいて最初に考慮されなければならないセンシティブゾーンに対応する。先に計算された危険側非検出故障部分の割合を、すべてのセンシティブゾーンについて計算された平均の割合によって除算し、100を乗算してなる割合として計算される。診断カバレッジクラス246の「重要度ランキング(診断あり)」フィールドに示される。
・λperm_offstについて、すなわち恒久OFFおよび恒久STの両方のフォールトについての全危険側検出故障率。DDF_OFFST=[100%−(100%−(DDF_HW_PE+DDF_SW))*(100%−DDF_AUTO_PE)]として計算される。
・λperm_onについての全危険側検出故障率。DDF_ON=[100%−(100%−DDF_HW_PE)*(100%−DDF_AUTO_PE)]として計算される。
・λtransについての全危険側検出故障率。DDF_TR=[100%−(100%−DDF_HW_TR)*(100%−DDF_AUTO_TR)]として計算される。
・全危険側検出故障率。λDD=危険側検出故障率=DDF_TR*λD_trans+DDF_OFFST*λD_perm*[λperm_offst/λperm_total]+DDF_ON*λD_perm*[λperm_on/λperm_total]として計算される。診断カバレッジクラス246の「λDD」フィールドに示される。
・危険側非検出故障率。λDU=λD−λDDとして計算される。診断カバレッジクラス246の「λDU」フィールドに示される。
・全危険側非検出故障部分に対する危険側非検出故障部分の割合。このセンシティブゾーンのλDUをすべてのセンシティブゾーンのλDUの総和で除算して計算される。診断カバレッジクラス246の「割合(診断あり)」フィールドに示される。
・「重要度ランキング」。より大きな値が、重要度レベルの割り当てにおいて最初に考慮されなければならないセンシティブゾーンに対応する。先に計算された危険側非検出故障部分の割合を、すべてのセンシティブゾーンについて計算された平均の割合によって除算し、100を乗算してなる割合として計算される。診断カバレッジクラス246の「重要度ランキング(診断あり)」フィールドに示される。
ステップ240において得られたこれらの検出/非検出故障率に基づき、さらに選択された規格(典型的な実施の形態においてはIEC 61508)に特有の指標に基づいて、以下の診断ありのFMEA結果241が計算される。
・全危険側非検出故障率。各センシティブゾーンのすべての危険側非検出故障率の合計として計算される。FMEA結果247の「λDU(合計)」フィールドに示される。
・診断カバレッジ。全危険側検出故障を、全危険側検出故障率および全危険側非検出故障率の和で除算して計算される。FMEA結果クラス247の「DC(合計)」フィールドに示される。
・診断あり安全側故障割合。全安全側故障率および全検出危険側故障率の和を全安全側故障率および全危険側故障率の和で除算して計算される。FMEA結果クラス247の「SFF(合計)」フィールドに示される。
・全危険側非検出故障率。各センシティブゾーンのすべての危険側非検出故障率の合計として計算される。FMEA結果247の「λDU(合計)」フィールドに示される。
・診断カバレッジ。全危険側検出故障を、全危険側検出故障率および全危険側非検出故障率の和で除算して計算される。FMEA結果クラス247の「DC(合計)」フィールドに示される。
・診断あり安全側故障割合。全安全側故障率および全検出危険側故障率の和を全安全側故障率および全危険側故障率の和で除算して計算される。FMEA結果クラス247の「SFF(合計)」フィールドに示される。
したがって、このやり方で、デジタル回路の危険側非検出故障率および選択された規格に特有の他の指標が、回路を各レジスタに求心する論理コーンに分割し、そのような故障率および指標を、コーンに渡る合計(1つの合計はそれぞれ、恒久フォールトの項および一時フォールトの項に分割されている)として計算することによって計算される。恒久フォールトの寄与は、さらに回路がオフ、オン、およびスタートアップであるときの恒久フォールトに分割されている。
計算されたFMEA結果247が、図7のようなFMEA結果247のフィールドに記載された要約値に加えて、センシティブゾーンSZのそれぞれについてのすべてのFMEA結果を含んでいる点に、注目する価値がある。
ここで再び図2を参照すると、FMEAデータベースを用意する第2の段階320に、そのようなFMEAデータベースの随意による検証に関する第3の段階330が続いている。詳しくは、第3の段階330は、第2の段階320の結果247に基づくFMEAデータベースの検証ステップ250を含んでいる。FMEAデータベースの検証ステップ250は、そのような検証が抽象化のレベルに応じて実行可能または不可能であるため、随意によるステップである。さらに、検証ステップは、主としてステップ236(一部はステップ235)においてエキスパートによってもたらされるアプリケーション関連の情報のチェックを目的としていることから、それらの情報が信頼できる場合、あるいは最悪の場合の値が使用される場合には、検証ステップそのものを省略することができる。
図6に、FMEAデータベースの検証ステップ250が詳しく示されている。FMEA検証ステップ250は、回路作業負荷219の機能的カバレッジの測定252を含む作業負荷アクセプタンスフェーズ251で始まっている。上述したように、回路作業負荷219は、設計中の集積回路を使用するベンチマークまたは典型的なアプリケーションであってよい。機能的カバレッジは、市販のEDA検証ツールにおいて利用できる手順を使用して測定され、そのような測定は、分岐網羅(toggle coverage)、命令網羅(statement coverage)、などの測定である。受け入れられるために、作業負荷のカバレッジは、対象の回路部分について100%に近くなければならない。したがって、そのような作業負荷のカバレッジが、テストステップ254においてテストされる。
次いで、フォールトカバレッジの測定253が、情報抽出のステップ210の際に生成されたフォールト・リスト・データベース216を使用し、フォールトシミュレーションのための市販のEDAツールを使用することによって実行される。前記マイクロ電子回路のすべての一次入力/出力が、フォールトカバレッジの測定253のための観測点として取られる。受け入れられるために、作業負荷のフォールトカバレッジは、対象の回路部分について100%に近くなければならない。これも、テストステップ254においてテストされる。
作業負荷アクセプタンスフェーズ251の後で、テストステップ254の結果が肯定的である場合には、どちらも情報抽出ステップ210において抽出されたセンシティブ・ゾーン・データベース214に関係するローカルフォールトのフォールト注入作業255およびグローバルフォールトのフォールト注入作業257が実行される。フォールトの注入は、本出願と同じ出願人の名義の欧州特許出願EP‐A‐1 496 435に記載されているフォールト注入の実施の形態を使用することによって実行される。ローカルフォールトに関しては、フォールトの注入は、センシティブ・ゾーン・データベース214の各センシティブゾーンについて実行される。グローバルフォールトに関しては、選択的なフォールト注入が、クロックライン、リセットライン、回路論理および診断回路が接続されている領域、などにおけるグローバルフォールトの主/二次影響を検証するため、「供給ロス(supply‐loss)テスト注入を実行するため、などに実行される。
並行して、フォールトカバレッジの分析256が実行される。選択された参照規格が、典型的な実施の形態のようにIEC 61508である場合、続くステップ258において前記IEC 61508規格によって求められる指標を処理および収集するために必要なレポートを容易に準備するために、特定のフォールト・カバレッジ・フローが実行される。
特には、図7のフロー図を参照すると、この特定のフォールトカバレッジ分析256は、3つの順次のラン271、273、および274にて実行される。
・第1のラン271、危険側故障の選択:作業負荷アクセプタンスラン251と同じ手順が使用され、すなわち回路の記述205から来る前記集積回路のすべての一次入力/出力を観測点OPとして考慮することによって、回路のフォールトが模擬される。回路作業負荷219が使用され、フォールトの模擬が、フォールト・リスト・データベース216から出発して実行される。フォールト模擬レポート272が、フォールト・リスト・データベース216を更新すべく生成される。このステップは、回路が所与の作業負荷によって使用されたときに故障を生じうるフォールトのみ、すなわち危険側フォールトのみを含んでいる新規の「有効な」フォールトデータベース279を生成する。前記作業負荷によって使用されないセンシティブゾーンにおけるフォールトは、そのようなデータベースから除外される。
・第2のラン273、HW診断回路のフォールトカバレッジ:HW診断回路の診断カバレッジを計算するために、前記マイクロ電子回路の診断出力のみが、観測点OPとして取られる。「有効な」フォールトデータベース279が、HW診断回路によって検出されたフォールトをデータベースから除くことによって更新される。
・第3のラン274、SW診断テストのフォールトカバレッジ:このランは、SW診断テストによる診断カバレッジを測定する。前記集積回路のすべての診断出力およびSW診断テスト出力が、観測点として取られる。
・第1のラン271、危険側故障の選択:作業負荷アクセプタンスラン251と同じ手順が使用され、すなわち回路の記述205から来る前記集積回路のすべての一次入力/出力を観測点OPとして考慮することによって、回路のフォールトが模擬される。回路作業負荷219が使用され、フォールトの模擬が、フォールト・リスト・データベース216から出発して実行される。フォールト模擬レポート272が、フォールト・リスト・データベース216を更新すべく生成される。このステップは、回路が所与の作業負荷によって使用されたときに故障を生じうるフォールトのみ、すなわち危険側フォールトのみを含んでいる新規の「有効な」フォールトデータベース279を生成する。前記作業負荷によって使用されないセンシティブゾーンにおけるフォールトは、そのようなデータベースから除外される。
・第2のラン273、HW診断回路のフォールトカバレッジ:HW診断回路の診断カバレッジを計算するために、前記マイクロ電子回路の診断出力のみが、観測点OPとして取られる。「有効な」フォールトデータベース279が、HW診断回路によって検出されたフォールトをデータベースから除くことによって更新される。
・第3のラン274、SW診断テストのフォールトカバレッジ:このランは、SW診断テストによる診断カバレッジを測定する。前記集積回路のすべての診断出力およびSW診断テスト出力が、観測点として取られる。
フォールト注入の際に注入され、あるいはフォールトカバレッジの測定の際に模擬されるフォールトモデル233は、本発明の技術的範囲から逸脱することなく、例として上述した内容に対して変更が可能である。例えば、アナログブロックにおいては、「アドホック」フォールトモデルを、前記FMEA検証手順を使用して、エキスパートによって入力することができる。
次いで、事後処理および収集のフェーズ258が、フォールト注入およびフォールトカバレッジの結果を仕上げるために実行される。選択される参照規格が、典型的な実施の形態のようにIEC 61508である場合、前記事後処理および収集のフェーズ258を、前記IEC 61508規格によって求められる指標を容易に集めるために実行される特定の事後処理フローによって達成することができる。とくには、図7のフロー図を参照すると、そのような事後処理および結果の収集258が、3つのそれぞれの順次のラン276、277、および278にて実行されることが示されている。
・第1のラン276:IEC 61508に関し、このランは、DおよびFの値を計算するために使用される。実際には、これら2つの値の積、すなわち特定の事後処理275によってデータベース214から取られる各センシティブゾーンSZについてのD*F値を計算することがより容易である。そのような特定の事後処理は、以下のステップで構成される。すなわち、フォールト模擬レポート272およびフォールト・リスト・データベース216を解析するステップ、データベース214の別のセンシティブゾーンについてフォールトを分割するステップ、初期のD*F値を計算するステップ、これらの値の操作を加えるステップ、である。この操作の例は、これに限られるわけではないが、以下である。フォールトカバレッジの操作(「ホットスポット・フォールト・カバレッジ」として特定される)が、最新のディープサブミクロン技術において恒久または一時フォールトが、スポットにおいて、すなわち特定の数の隣接かつ独立したポートを含んでいるグループにおいて、エラーに最もつながりやすい点を考慮するために行われる。回路ネットリストおよびレイアウト情報に基づく事後処理275が、同じフォールト位置に関係する独立かつ無作為なポートの数から出発して、各センシティブゾーンSZについて新たなDDF値を計算する。
・第2のラン277:このランは、前記特定の事後処理275によってデータベース214から取られるそれぞれのセンシティブゾーンSZについて、DDF‐ON値、すなわちλperm_onに関する全危険側検出故障率を計算するために使用される。
・第3のラン278:このランは、前記特定の事後処理275によってデータベース214から取られるそれぞれのセンシティブゾーンSZについて、DDF‐OFFST値、すなわちλperm_offstに関する全危険側検出故障率を計算するために使用される。
・第1のラン276:IEC 61508に関し、このランは、DおよびFの値を計算するために使用される。実際には、これら2つの値の積、すなわち特定の事後処理275によってデータベース214から取られる各センシティブゾーンSZについてのD*F値を計算することがより容易である。そのような特定の事後処理は、以下のステップで構成される。すなわち、フォールト模擬レポート272およびフォールト・リスト・データベース216を解析するステップ、データベース214の別のセンシティブゾーンについてフォールトを分割するステップ、初期のD*F値を計算するステップ、これらの値の操作を加えるステップ、である。この操作の例は、これに限られるわけではないが、以下である。フォールトカバレッジの操作(「ホットスポット・フォールト・カバレッジ」として特定される)が、最新のディープサブミクロン技術において恒久または一時フォールトが、スポットにおいて、すなわち特定の数の隣接かつ独立したポートを含んでいるグループにおいて、エラーに最もつながりやすい点を考慮するために行われる。回路ネットリストおよびレイアウト情報に基づく事後処理275が、同じフォールト位置に関係する独立かつ無作為なポートの数から出発して、各センシティブゾーンSZについて新たなDDF値を計算する。
・第2のラン277:このランは、前記特定の事後処理275によってデータベース214から取られるそれぞれのセンシティブゾーンSZについて、DDF‐ON値、すなわちλperm_onに関する全危険側検出故障率を計算するために使用される。
・第3のラン278:このランは、前記特定の事後処理275によってデータベース214から取られるそれぞれのセンシティブゾーンSZについて、DDF‐OFFST値、すなわちλperm_offstに関する全危険側検出故障率を計算するために使用される。
事後処理258の後で、選択された規格(典型的な実施の形態においてはIEC 61508)に特有の指標にもとづいて、測定されたFMEA結果260が収集される。とくには、データベース準備ステップ225に関連して、以下の値が収集される。
・F値:Fmeasとして識別される
・D値:Dmeasとして識別される
・D*F値:D*Fmeasとして識別される
・DDF値:DDF_ONmeas、DDF_OFFSTmeas、DDF_TRmeasとして識別される。
・F値:Fmeasとして識別される
・D値:Dmeasとして識別される
・D*F値:D*Fmeasとして識別される
・DDF値:DDF_ONmeas、DDF_OFFSTmeas、DDF_TRmeasとして識別される。
これらの「測定された」値、すなわち「meas」値は、ステップ235、236、239において推定され、ステップ237および240において計算された値に相当する。全自動のプロセスを使用することを好む前記FMEA法を使用するエキスパートが、それらのステップ235、236、および239における推定値の代わりに測定値を使用できることは、率直である。
再び図2を参照すると、検証ステップ250に、計算されたFMEA結果247と測定されたFMEA結果260との間の比較280が続いている。とくには、ステップ225において計算されたF、D、D*F、およびDDF値が、ステップ250において測定された測定値Fmeas、Dmeas、D*Fmeas、およびDDF_ONmeas、DDF_OFFSTmeas、DDF_TRmeasと比較される。結果は、これらの値の間の乖離が前記FMEA法を使用するエキスパートによって判断される受け入れ可能なしきい値を下回る場合に、有効とされる。比較280の結果が否定である場合、結果は受け入れ不可能であり、最初に頻度(220の回路使用プロファイルの抽出を使用して計算されない場合)、S、およびD値、など、前記FMEA法を使用するエキスパートによって入力されたすべての値をチェックして、ステップ250を繰り返さなければならない。多くの場合、乖離は、そのような値の入力時のミスに起因する。まれには、フォールトモデルの洗練、または回路仕様条件の追加が必要とされる可能性がある。比較280の結果が肯定である場合、有効が確認されたFMEA結果290が得られる。
本発明の根底にある原理を損なうことなく、特許請求の範囲に定められるとおり、本発明の技術的範囲から逸脱することなく、細部および実施の形態について、あくまで例として上述した内容に対して変更が可能であり、大きな変更も可能である。
本明細書に開示した構成の主たる適用分野は、例えば自動車用であってIEC 61508規格の枠組みにあるマイクロコントローラまたはシステムオンチップの分析であるが、本発明の技術的範囲が、集積回路を有しており、品質、信頼性、および保安についての他の規格(ISO26262またはCC/ITSC EALなど)の枠組みにあり、あるいは航空宇宙、生物医学、およびデータ保全などといった他の分野の枠組みにあるあらゆるシステムの分析にまで広がることは、明らかである。
本FMEA法は、設計中の集積回路のFMEAデータベースの準備およびこのFMEAデータベースからのFMEA結果の計算のステップの実行、集積回路情報を読む集積回路の記述からの情報の自動抽出、回路の不変かつ基本的なセンシティブゾーンへの区分け、前記FMEAデータベースの準備ステップにおける前記情報の使用、ならびに提案される方法の説明および請求される他の動作、に適している任意のコンピュータまたは他の処理装置において実行可能であり、そのような任意のコンピュータまたは他の処理装置は、分散処理モジュールによっても代表される。
310・・・第1の段階、320・・・第2の段階、330・・・第3の段階。
Claims (32)
- 集積回路について故障モード・影響分析(FMEA)を実行するための方法であって、設計中の集積回路のFMEAデータベース(242)をコンピュータ内で準備するステップ(225)と、前記FMEAデータベース(242)からFMEA結果(247)を計算するステップとを含んでおり、前記FMEAデータベースは前記回路のゾーン(SZ)に関するレコードを含む、方法であり、
前記方法が、集積回路の記述(205)から情報を自動的に抽出するステップ(210)を含んでおり、
少なくともゲート−レベルの抽象化にて該情報を抽出するステップ(210)が、
集積回路の情報を読み出すこと(207)、
該回路を不変かつ基本的なセンシティブ・ゾーン(SZ)に区分けすること(211)であって、前記区分けはゲート−レベルにおけるネットリストからゾーンとしてレジスタを選択することを含む、こと、
前記センシティブ・ゾーンに関する論理コーン情報を抽出することであって、前記論理コーン情報を抽出することが入力コーン情報を抽出すること及び出力コーン情報を抽出することを含む、こと、及び、
前記センシティブ・ゾーン区分け及び関連する論理コーン情報を含むセンシティブ・ゾーン・データベースを構成することを含み、
前記情報がFMEAデータベース(242)の前記準備するステップ(225)で使用されるものであり、FMEAデータベース(242)の前記準備するステップ(225)は、
前記FMEAデータベース内で前記センシティブ・ゾーン・データベースをインポートすること、
各センシティブ・ゾーンに対する故障率を含む個々のレコードに対して前記センシティブ・ゾーン・データベースフォールトモデル統計内の情報に基づいてFMEA結果(247)を自動的に計算すること、及び、
個々のFMEAレコードに対する前記FMEAデータベース故障率内で、且つFMEA結果を計算する前記コンピュータ故障率に基づいて、FMEA結果(247)を自動的に計算するために、個々のセンシティブ・ゾーンに対する故障率を含む個々のレコードに対する前記フォールトモデル統計を使用すること
を含む、方法。 - 回路の作業負荷(219)を使用してFMEAデータベースを検証するステップ(250)、及び、前記測定したFMEAデータベースから測定されたFMEA結果(260)を抽出する、前記検証するステップの後続のステップを含み、
これらのステップ、及び、前記FMEAデータベース(242)の準備のステップ(225)が、所定の条件により繰り返され、
前記所定の条件は、計算されたFMEA結果(247)と測定されたFMEA結果(260)との間の比較(280)により評価され、
該比較(280)の結果が受け入れ可能なしきい値を下回る場合に、FMEAデータベース(242)の前記準備のステップ(225)の前記繰り返しが実行され、該比較(280)の結果が肯定の結果である場合に、有効とされたFMEA結果(290)が生成される
請求項1に記載の方法。 - 前記回路を不変かつ基本的なセンシティブ・ゾーン(SZ)に区分けすること(211)が、前記回路の記述(205)を定めている複数の抽象化レベルを特定すること、および前記抽象化レベルの最上レベルから最低レベルまで現われるゾーンを不変のセンシティブ・ゾーンと解釈することを含んでいることを特徴とする請求項1又は2に記載の方法。
- 前記回路を不変かつ基本的なセンシティブ・ゾーン(SZ)に区分けすること(211)が、そのような回路によって実行される機能のうちの一つまたはそれらの一部が特定され得る、抽象化レベルにおける集積回路の最も小さい有意な区分けを、基本的なセンシティブ・ゾーンと解釈することを含んでいることを特徴とする請求項1〜3のいずれか一項に記載の方法。
- 回路の作業負荷(219)から回路使用プロファイル(221)を抽出するステップ(220)、および前記FMEAデータベースの準備のステップにおいて前記プロファイル(221)を使用するステップを含んでいることを特徴とする請求項1〜3のいずれか一項に記載の方法。
- 回路の安全仕様(231)に関し、かつ安全規格ガイドライン(230)に基づく情報を、前記FMEAデータベース(242)の準備のステップ(225)において入力することを含むことを特徴とする請求項1〜5のいずれか一項に記載の方法。
- 前記入力(IL)および出力(OL)論理コーンを解析することによって、フォールトリスト(LF)を生成するステップ(215)、およびフォールト・リスト・データベース(216)を生成するステップを含んでいることを特徴とする請求項1に記載の方法。
- 共有エレメント、ゲート、およびネットに関して各センシティブ・ゾーン(SZ)間の相関を評価することによって、共有エレメントについての情報を抽出すること(217)、および共有データベース(216)を生成すること、を含んでいることを特徴とする請求項6に記載の方法。
- 前記FMEAデータベース(242)が、所与のセンシティブ・ゾーン(SZ)の考えられる故障モード(FM)にそれぞれ対応するレコードを呈することを含んでおり、各レコードが、センシティブ・ゾーン・フィールド(243)、故障モードフィールド(244)、FMEA統計フィールド(245)、および診断カバレッジフィールド(246)を含んでいることを特徴とする請求項1に記載の方法。
- 前記レコードの1つ以上のフィールド(244)を、回路の記述(205)、安全仕様(230)、および安全規格ガイドライン(231)に基づき、エラーへとつながるセンシティブ・ゾーン(SZ)におけるフォールト(G)の影響を表わしている故障モード(FM)を、各センシティブ・ゾーン(SZ)について受け取る(228)ために提示すること、を含むことを特徴とする請求項9に記載の方法。
- 前記レコードの前記故障モードフィールド(244)を、観測点(OP)に関して該当のセンシティブ・ゾーン(SZ)の特定の故障モード(FM)を表わしている予想される主たる影響(ME)を各センシティブ・ゾーン(SZ)に受け取る(234)ために提示すること、を含むことを特徴とする請求項9に記載の方法。
- 前記レコードの前記FMEA統計フィールド(245)を、予想される使用頻度値を各センシティブ・ゾーン(SZ)について受け取る(235)ために提示すること、を含むことを特徴とする請求項11に記載の方法。
- 前記レコードの前記FMEA統計フィールド(245)を、安全側および危険側値を各センシティブ・ゾーン(SZ)について受け取る(236)ために提示すること、をさらに含むことを特徴とする請求項12に記載の方法。
- 前記安全側および危険側値を各センシティブ・ゾーン(SZ)について受け取る(236)ことが、所与のセンシティブ・ゾーン(SZ)における所与の故障モード(FM)について、考えられる故障の一時フォールトおよび恒久フォールトに分割された推定による安全側の割合および危険側の割合を受け取ることを含んでいる、ことを特徴とする請求項13に記載の方法。
- 前記FMEAデータベース(242)が、各FMEAレコードについて故障率を自動的に計算(237)し、該計算した故障率に基づいて診断なしのFMEA結果(238)を計算することを特徴とする請求項13または14に記載の方法。
- 診断カバレッジを各センシティブ・ゾーン(SZ)について受け取る(239)ことを含んでいる、ことを特徴とする請求項15に記載の方法。
- 前記診断カバレッジを各センシティブ・ゾーン(SZ)について受け取る(239)ことが、DDFの推定(DDF AUTO (TR)、DDF AUTO (PE))、前記共有データベース(218)に基づくセンシティブ・ゾーン(SZ)間の論理共有を考慮して自動カバレッジ計算を実行することを含んでいる、ことを特徴とする請求項16に記載の方法。
- 前記診断カバレッジを各センシティブ・ゾーン(SZ)について受け取る(239)ことが、他のセンシティブ・ゾーンとの共有の程度を重み付けするための形状関数を各センシティブ・ゾーン(Z)について使用することを含んでいる自動カバレッジ計算を実行することを含んでいる、ことを特徴とする請求項16に記載の方法。
- 前記FMEAデータベース(242)が、各FMEAレコードについて検出/非検出故障率を自動的に計算(240)し、該計算された検出/非検出故障率に基づいて、診断ありのFMEA結果(241)を計算することを特徴とする請求項9〜18のいずれか一項に記載の方法。
- 前記フォールトモデル(233)が、センシティブ・ゾーン(SZ)において生じている故障(F)をもたらしているフォールト(G)を、恒久および一時/間欠フォールトの間で区別して製作されることを特徴とする請求項10〜19のいずれか一項に記載の方法。
- 前記恒久フォールトを、それらがシステムの動作モードにおいていつ生じているかに応じて、「恒久ON」、「恒久OFF」、および「恒久ST」に区別すること、を含んでいることを特徴とする請求項20に記載の方法。
- FMEAデータベースを検証するステップ(250)が、前記回路の作業負荷(219)の機能的カバレッジの測定(252)と、フォールト・リスト・データベース(216)を利用するフォールトカバレッジの測定(253)とを含む作業負荷アクセプタンスフェーズ(251)を含んでいる、ことを特徴とする請求項1〜21のいずれか一項に記載の方法。
- 機能的カバレッジの測定(252)およびフォールトカバレッジの測定(253)の結果をテストするステップ(254)を含んでいることを特徴とする請求項22に記載の方法。
- テストのステップ(254)の結果が肯定である場合に、センシティブ・ゾーン・データベース(214)に示されたセンシティブ・ゾーン(SZ)においてローカルフォールトのフォールト注入作業(255)およびグローバルフォールトのフォールト注入作業(257)を実行すること、を含んでいることを特徴とする請求項23に記載の方法。
- すべての診断出力をフォールトカバレッジの測定のための観測点(OP)として取り上げてフォールトカバレッジ分析(256)を実行すること、を含んでいることを特徴とする請求項23または24に記載の方法。
- 前記フォールトカバレッジ分析(256)が、3つの順次のラン(271、273、274)を含んでおり、第1のラン(271)が、回路の記述(205)および回路の作業負荷(219)から来る設計中の前記集積回路のすべての一次入力/出力を観測点(OP)として取り上げ、第2のラン(272)が、前記マイクロ電子回路のすべての診断出力を観測点(OP)として取り上げ、第3のラン(274)が、各センシティブ・ゾーン(SZ)についてSW診断テストによる診断カバレッジを測定することを特徴とする請求項25に記載の方法。
- フォールト注入(255、257)およびフォールトカバレッジ(256)のステップの結果を仕上げるための事後処理(258)、ならびにFMEA検証結果(260)の収集(260)を含むことを特徴とする請求項25または26に記載の方法。
- 前記事後処理および収集のフェーズ(258)が、IEC 61508規格によって求められる指標を集めるために適したIEC 61508規格のための事後処理フローを含んでいることを特徴とする請求項27に記載の方法。
- 前記事後処理および収集のフェーズ(258)が、ISO26262規格によって求められる指標を集めるために適したISO26262規格のための事後処理フローを含んでいることを特徴とする請求項27に記載の方法。
- 前記IEC 61508規格のための事後処理フローが、3つの順次の特定のラン(276、277、278)を実行しており、
・第1の特定のラン(276)は、特定の事後処理(275)によってセンシティブ・ゾーン・データベース(214)から取り上げられる各センシティブ・ゾーン(SZ)について危険側故障および故障値の積(D*F)を指標として計算し、
・第2の特定のラン(277)は、前記特定の事後処理(275)によってセンシティブ・ゾーン・データベース(214)から取り上げられる各センシティブゾーン(SZ)について恒久ONフォールトに関する全危険側検出故障率(DDF_ON)の値を指標として計算し、
・第3の特定のラン(278)は、前記事後処理(275)によってデータベース(214)から取り上げられる各センシティブ・ゾーン(SZ)について恒久OFFおよび恒久STフォールトの両者に関する全危険側検出故障率(DDF_OFFST)の値を指標として計算し、
・前記特定の事後処理(275)は、フォールト模擬レポート(272)およびフォールト・リスト・データベース(216)を解析すること、フォールトをセンシティブ・ゾーン・データベース(214)に定められた異なるセンシティブ・ゾーン(SZ)のために分割すること、初期の指標値を計算すること、前記指標値の操作を加えること、を含んでいる
ことを特徴とする請求項28に記載の方法。 - 請求項1〜29のいずれか一項に記載の方法の各ステップを実行するように構成された処理装置。
- コンピュータのメモリに直接的にロード可能であって、コンピュータ上で実行されたときに請求項1〜29のいずれか一項に記載の方法を実行するためのソフトウェアコード部分を含んでいるコンピュータプログラム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP07106186.5 | 2007-04-13 | ||
| EP07106186.5A EP1980964B1 (en) | 2007-04-13 | 2007-04-13 | Method and computer program product for performing failure mode and effects analysis of an integrated circuit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008292467A JP2008292467A (ja) | 2008-12-04 |
| JP5570701B2 true JP5570701B2 (ja) | 2014-08-13 |
Family
ID=38048035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008104884A Expired - Fee Related JP5570701B2 (ja) | 2007-04-13 | 2008-04-14 | 集積回路の故障モード・影響分析を実行するための方法、およびそのためのコンピュータプログラム製品 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7937679B2 (ja) |
| EP (1) | EP1980964B1 (ja) |
| JP (1) | JP5570701B2 (ja) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009077776A2 (en) * | 2007-12-18 | 2009-06-25 | Bae Systems Plc | Assisting failure mode and effects analysis of a system comprising a plurality of components |
| US8813006B1 (en) * | 2008-03-26 | 2014-08-19 | Cadence Design Systems, Inc. | Accelerated characterization of circuits for within-die process variations |
| DE102008044018B4 (de) | 2008-11-24 | 2010-08-19 | Beckhoff Automation Gmbh | Verfahren zum Bestimmen einer Sicherheitsstufe und Sicherheitsmanager |
| JP2010218441A (ja) * | 2009-03-18 | 2010-09-30 | Renesas Electronics Corp | 半導体回路装置の設計方法 |
| US8555234B2 (en) * | 2009-09-03 | 2013-10-08 | International Business Machines Corporation | Verification of soft error resilience |
| US8522210B1 (en) | 2009-12-29 | 2013-08-27 | Cadence Design Systems, Inc. | Detecting indexing errors in declarative languages |
| US8479167B1 (en) | 2009-12-29 | 2013-07-02 | Cadence Design Systems, Inc. | Detecting indexing errors in declarative languages |
| US8302050B1 (en) * | 2010-04-22 | 2012-10-30 | Cadence Design Systems, Inc. | Automatic debug apparatus and method for automatic debug of an integrated circuit design |
| US20170220706A1 (en) * | 2010-09-13 | 2017-08-03 | Verigy (Singapore) Pte. Ltd. | Systems, methods and apparatus that employ statistical analysis of structural test information to identify yield loss mechanisms |
| US8418012B2 (en) * | 2010-09-21 | 2013-04-09 | Ansaldo Sts Usa, Inc. | Method of analyzing the safety of a device employing on target hardware description language based fault injection |
| US8589214B1 (en) * | 2010-09-30 | 2013-11-19 | AE Solutions | Health meter for evaluating the status of process safety of at least one facility as an executive dashboard on a client device connected to a network |
| US8327310B1 (en) * | 2011-07-07 | 2012-12-04 | Apple Inc. | Method and software tool for analyzing and reducing the failure rate of an integrated circuit |
| US8490039B2 (en) * | 2011-12-09 | 2013-07-16 | International Business Machines Corporation | Distributing spare latch circuits in integrated circuit designs |
| US9563198B2 (en) | 2012-03-08 | 2017-02-07 | General Electric Company | Method and system to model risk of unplanned outages of power generation machine |
| US8788512B2 (en) * | 2012-05-23 | 2014-07-22 | International Business Machines Corporation | Generating data feed specific parser circuits |
| US9612933B2 (en) | 2012-09-18 | 2017-04-04 | Payman Kianpour | Method for deterministic stress based risk reduction |
| US8996348B1 (en) | 2012-11-21 | 2015-03-31 | Cadence Design Systems, Inc. | System and method for fault sensitivity analysis of digitally-calibrated-circuit designs |
| US8683400B1 (en) * | 2012-11-21 | 2014-03-25 | Cadence Design Systems, Inc. | System and method for fault sensitivity analysis of mixed-signal integrated circuit designs |
| US8813004B1 (en) | 2012-11-21 | 2014-08-19 | Cadence Design Systems, Inc. | Analog fault visualization system and method for circuit designs |
| EP2757476B1 (en) | 2013-01-17 | 2018-07-18 | Renesas Electronics Europe Limited | Design support system |
| US8863050B1 (en) | 2013-03-15 | 2014-10-14 | Cadence Design Systems, Inc. | Efficient single-run method to determine analog fault coverage versus bridge resistance |
| US8875077B1 (en) | 2014-02-10 | 2014-10-28 | Cadence Design Systems, Inc. | Fault sensitivity analysis-based cell-aware automated test pattern generation flow |
| EP3001318A1 (de) * | 2014-09-24 | 2016-03-30 | dSPACE digital signal processing and control engineering GmbH | Bestimmung von Signalen für Readback aus FPGA |
| US20160125110A1 (en) * | 2014-09-26 | 2016-05-05 | Yogitech S.P.A. | Method for the simulation of faults in integrated circuits of electronic systems implementing applications under functional safety, corresponding system and computer program product |
| ITTO20140902A1 (it) | 2014-10-31 | 2016-05-01 | Intel Corp | Procedimento per misurare l'effetto di guasti hardware microscopici in applicazioni ad elevata complessità implementate in un sistema elettronico hardware, relativo sistema e prodotto informatico |
| US9753798B1 (en) * | 2015-02-11 | 2017-09-05 | Microsemi Solutions (U.S.), Inc. | Method and apparatus for electronic design automation |
| EP3274880A1 (en) * | 2015-06-12 | 2018-01-31 | Siemens Aktiengesellschaft | A method and apparatus for performing a model-based failure analysis of a complex industrial system |
| DE102017104049B4 (de) | 2017-02-27 | 2020-06-04 | Infineon Technologies Ag | Verfahren und vorrichtung zum überprüfen der zuverlässigkeit eines chips |
| US10776538B2 (en) | 2017-07-26 | 2020-09-15 | Taiwan Semiconductor Manufacturing Co., Ltd. | Function safety and fault management modeling at electrical system level (ESL) |
| US10346273B2 (en) | 2017-09-22 | 2019-07-09 | Analog Devices Global Unlimited Company | Automated analog fault injection |
| EP3470944B1 (en) * | 2017-10-11 | 2022-12-14 | Siemens Aktiengesellschaft | Method for providing an analytical artifact based on functional system description |
| US10936474B2 (en) * | 2017-12-13 | 2021-03-02 | Arm Limited | Software test program generation |
| US10890622B2 (en) * | 2019-04-29 | 2021-01-12 | International Business Machines Corporation | Integrated circuit control latch protection |
| CN111008310B (zh) * | 2019-12-11 | 2023-08-25 | 北京航空航天大学 | 不考虑维修的间歇性工作逻辑门及其故障树的仿真方法 |
| EP3886010A1 (en) | 2020-03-26 | 2021-09-29 | Tata Consultancy Services Limited | System and method for calculating risk associated with failures in process plants |
| US11900321B2 (en) * | 2020-04-06 | 2024-02-13 | The Boeing Company | Method and system for controlling product quality |
| CN113742795A (zh) | 2020-05-27 | 2021-12-03 | 台湾积体电路制造股份有限公司 | 对集成电路中的半导体存储器的安全级别进行认证的方法 |
| CN111665761B (zh) * | 2020-06-23 | 2023-05-26 | 上海一旻成锋电子科技有限公司 | 工业控制系统及控制方法 |
| CN111950238B (zh) * | 2020-07-30 | 2023-06-13 | 禾多科技(北京)有限公司 | 自动驾驶故障评分表生成方法、装置、电子设备 |
| WO2022064532A1 (en) * | 2020-09-24 | 2022-03-31 | Intel Corporation | Quantitative analysis and diagnostic coverage (dc) calculation of application-oriented safety measures in complex systems |
| US11842134B2 (en) * | 2020-09-29 | 2023-12-12 | Synopsys, Inc. | Automated determinaton of failure mode distribution |
| CN112464555A (zh) * | 2020-11-10 | 2021-03-09 | 北京航空航天大学 | 一种基于多智能体的多态系统动态可靠性仿真评价方法 |
| WO2022123815A1 (ja) | 2020-12-07 | 2022-06-16 | 三菱電機株式会社 | 設計支援装置 |
| US11372700B1 (en) | 2020-12-08 | 2022-06-28 | Xilinx, Inc. | Fault-tolerant data transfer between integrated circuits |
| CN114218775B (zh) * | 2021-12-06 | 2023-11-28 | 中国航空综合技术研究所 | 故障传播模型下复杂系统任务可靠性试验用例设计方法 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4228537A (en) | 1978-08-29 | 1980-10-14 | Genrad, Inc. | Method of and apparatus for automatic fault diagnosis of electrical circuits employing on-line simulation of faults in such circuits during diagnosis |
| JPS6420462A (en) * | 1987-07-15 | 1989-01-24 | Toshiba Corp | Repair supporting device for substrate |
| JP2705087B2 (ja) * | 1988-03-30 | 1998-01-26 | 三菱電機株式会社 | 試験装置 |
| US5269014A (en) * | 1988-05-24 | 1993-12-07 | Mitsubishi Denki Kabushiki Kaisha | Automatic programming system with design review capabilities |
| JP2642148B2 (ja) | 1988-07-04 | 1997-08-20 | 本田技研工業株式会社 | 電子制御ユニットの故障モード効果解析シミュレーション方法 |
| US5519633A (en) * | 1993-03-08 | 1996-05-21 | International Business Machines Corporation | Method and apparatus for the cross-sectional design of multi-layer printed circuit boards |
| US5548539A (en) * | 1993-11-05 | 1996-08-20 | Analogy, Inc. | Analysis mechanism for system performance simulator |
| US5646862A (en) * | 1994-09-29 | 1997-07-08 | Ford Motor Company | Vendor-neutral integrated vehicle electrical design and analysis system and method |
| US6658375B1 (en) * | 1999-03-15 | 2003-12-02 | Isola Laminate Systems, Inc. | Compensation model and registration simulation apparatus and method for manufacturing of printed circuit boards |
| DE50000771D1 (de) * | 1999-06-02 | 2002-12-19 | Siemens Ag | Verfahren und anordnung zur ermittlung eines fehlerbaums eines technischen systems, computerprogramm-erzeugnis und computerlesbares speichermedium dafür |
| DE19950838C2 (de) | 1999-10-21 | 2001-09-27 | Fraunhofer Ges Forschung | Verfahren und Vorrichtung zur Fehleranalyse digitaler Logikschaltungen |
| US7035769B2 (en) | 2001-12-26 | 2006-04-25 | Stmicroelectronics S.R.L. | Design failure mode effect analysis (DFMEA) |
| US7139676B2 (en) * | 2002-01-18 | 2006-11-21 | Agilent Technologies, Inc | Revising a test suite using diagnostic efficacy evaluation |
| US6909994B2 (en) * | 2002-11-25 | 2005-06-21 | General Electric Company | Method, system and computer product for performing failure mode and effects analysis throughout the product life cycle |
| DE102004029222A1 (de) * | 2003-06-24 | 2005-02-17 | Omron Corp. | Verbesserungsunterstützungssystem |
| JP4237610B2 (ja) * | 2003-12-19 | 2009-03-11 | 株式会社東芝 | 保守支援方法及びプログラム |
| US7260501B2 (en) * | 2004-04-21 | 2007-08-21 | University Of Connecticut | Intelligent model-based diagnostics for system monitoring, diagnosis and maintenance |
| JP4335090B2 (ja) | 2004-05-14 | 2009-09-30 | シャープ株式会社 | 移動端末装置 |
| US7200543B2 (en) * | 2004-08-19 | 2007-04-03 | International Truck Intellectual Property Company, Llc | Method for fault analysis using simulation |
| US20060122873A1 (en) | 2004-10-01 | 2006-06-08 | Minotto Francis J | Method and system for managing risk |
| US7177773B2 (en) * | 2005-05-31 | 2007-02-13 | Caterpillar Inc | Method for predicting performance of a future product |
| JP3808893B1 (ja) * | 2005-07-14 | 2006-08-16 | 国立大学法人 岡山大学 | 故障診断装置、プログラム及び記録媒体 |
| US7536284B2 (en) * | 2005-08-30 | 2009-05-19 | Lectromechanical Design Company | Electrical wire interconnect system risk assessment tool |
| JP4967430B2 (ja) * | 2006-04-11 | 2012-07-04 | オムロン株式会社 | 不具合管理装置、不具合管理プログラム、およびこれを記録した記録媒体 |
| EP2122428B1 (de) * | 2007-02-08 | 2011-04-06 | Siemens Aktiengesellschaft | Verfahren und system zur ermittlung von zuverlässigkeitsparametern einer technischen anlage |
-
2007
- 2007-04-13 EP EP07106186.5A patent/EP1980964B1/en not_active Not-in-force
-
2008
- 2008-04-11 US US12/101,585 patent/US7937679B2/en not_active Expired - Fee Related
- 2008-04-14 JP JP2008104884A patent/JP5570701B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008292467A (ja) | 2008-12-04 |
| US20080276206A1 (en) | 2008-11-06 |
| EP1980964A1 (en) | 2008-10-15 |
| EP1980964B1 (en) | 2016-03-23 |
| US7937679B2 (en) | 2011-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5570701B2 (ja) | 集積回路の故障モード・影響分析を実行するための方法、およびそのためのコンピュータプログラム製品 | |
| JP4557337B2 (ja) | Xリストに基づく多重エラー及び故障を診断する方法並びにシステム | |
| US20080127009A1 (en) | Method, system and computer program for automated hardware design debugging | |
| Chen et al. | Fast node merging with don't cares using logic implications | |
| Safarpour et al. | Abstraction and refinement techniques in automated design debugging | |
| US20150242541A1 (en) | Assertion extraction from design and its signal traces | |
| Becker et al. | Massive statistical process variations: A grand challenge for testing nanoelectronic circuits | |
| US9171123B2 (en) | Diagnosis and debug using truncated simulation | |
| Fang et al. | Diagnosis of board-level functional failures under uncertainty using Dempster–Shafer theory | |
| Ubar et al. | Diagnostic modeling of digital systems with multi-level decision diagrams | |
| Sequeira et al. | Fault simulation for analog test coverage | |
| Mariani et al. | A systematic approach for failure modes and effects analysis of system-on-chips | |
| Eusgeld et al. | Hardware reliability | |
| Biswal et al. | A discrete event system approach to on-line testing of digital circuits with measurement limitation | |
| Raik et al. | Constraint-based hierarchical untestability identification for synchronous sequential circuits | |
| Roux et al. | High level fault injection method for evaluating critical system parameter ranges | |
| Angione et al. | A Toolchain to Quantify Burn-In Stress Effectiveness on large Automotive System-on-Chips | |
| Bağbaba | Methods to Optimize Functional Safety Assessment for Automotive Integrated Circuits | |
| Hung et al. | Linking the verification and validation of complex integrated circuits through shared coverage metrics | |
| US20220269846A1 (en) | Structural analysis for determining fault types in safety related logic | |
| Rodríguez Gómez | Machine learning support for logic diagnosis | |
| Taatizadeh | On Using Hardware Assertion Checkers for Bit-flip Detection in Post-Silicon Validation | |
| Benabboud et al. | A case study on logic diagnosis for System-on-Chip | |
| Kaiss et al. | Post-silicon timing diagnosis made simple using formal technology | |
| Viilukas et al. | Identifying untestable faults in sequential circuits using test path constraints |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080815 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110310 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130415 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140128 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140424 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140527 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140625 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5570701 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |