JP7204609B2 - 検証処理装置、検証方法及びプログラム - Google Patents

検証処理装置、検証方法及びプログラム Download PDF

Info

Publication number
JP7204609B2
JP7204609B2 JP2019140118A JP2019140118A JP7204609B2 JP 7204609 B2 JP7204609 B2 JP 7204609B2 JP 2019140118 A JP2019140118 A JP 2019140118A JP 2019140118 A JP2019140118 A JP 2019140118A JP 7204609 B2 JP7204609 B2 JP 7204609B2
Authority
JP
Japan
Prior art keywords
model
elements
causal
verification
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019140118A
Other languages
English (en)
Other versions
JP2021022320A (ja
Inventor
健司 ▲高▼尾
啓太 平山
健太 益盛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Engineering Ltd
Original Assignee
Mitsubishi Heavy Industries Engineering Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Engineering Ltd filed Critical Mitsubishi Heavy Industries Engineering Ltd
Priority to JP2019140118A priority Critical patent/JP7204609B2/ja
Priority to US17/629,650 priority patent/US20220253582A1/en
Priority to PCT/JP2020/027017 priority patent/WO2021020077A1/ja
Publication of JP2021022320A publication Critical patent/JP2021022320A/ja
Application granted granted Critical
Publication of JP7204609B2 publication Critical patent/JP7204609B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/30Circuit design
    • G06F30/32Circuit design at the digital level
    • G06F30/33Design verification, e.g. functional simulation or model checking
    • G06F30/3323Design verification, e.g. functional simulation or model checking using formal methods, e.g. equivalence checking or property checking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/30Circuit design
    • G06F30/32Circuit design at the digital level
    • G06F30/33Design verification, e.g. functional simulation or model checking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2119/00Details relating to the type or aim of the analysis or the optimisation
    • G06F2119/02Reliability analysis or reliability optimisation; Failure analysis, e.g. worst case scenario performance, failure mode and effects analysis [FMEA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Geometry (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

本開示は、検証処理装置、検証方法及びプログラムに関する。
特許文献1には、モデル検査を用いて、データ処理システムの動作ロジックの網羅的検証を行うことが記載されている。
特開2008-071135号公報
モデル検査でリレー回路の動作ロジックを検証する場合、当該リレー回路の基本動作ロジックを検証するだけでは不十分であり、当該リレー回路に含まれる信号線や回路素子に不具合が発生し得ることを加味して検証を行う必要がある。
信号線や回路素子の不具合(例えば、信号線の混触、断線、回路素子の故障)はリレー回路の基本動作ロジックによらず同時多発的かつ非同期的に発生し得ることを考慮すると、モデル検査においては、基本動作中に起こり得る状態遷移に加え、基本動作中の各状態から発生し得る不具合の全ての組み合わせを網羅的に検証する必要がある。
しかしながら、そうした場合、リレー回路に含まれる各信号線及び各回路素子で生じた複数の不具合の組み合わせを含む反例が出力されたとしても、当該不具合の組み合わせの中には、不安全事象に至ったことに必ずしも寄与しない(クリティカルでない)不具合が含まれている可能性がある。
つまり、モデル検査は、BDD(Binary Decision Diagram)などにより、検査対象モデルが取り得る全状態を論理式で表現した上で状態遷移(パス)を網羅的に検査し、不安全事象に至るパス(反例)が一つでも見つかった場合には、単に「不安全事象に至るパスがある」という事実を使用者に示すものである。したがって、その不安全事象に至ったパスにおいては、必ずしもクリティカルでない状態遷移をも含み得る。そのため、不安全事象に関してクリティカルでない不具合をも含み得る反例について反例解釈を行わざるを得ず、モデル検査の反例解釈の作業に要する負担が大きい。
また、反例解釈の結果を踏まえ、検査対象モデルに対策を反映させて再度のモデル検査を行うことを反例がなくなるまで繰り返す必要があるため、検査に多大な作業時間を要する。さらに、「反例解釈→検査対象モデルの再設定(コーディング)→モデル検査」の繰り返しの過程が人的操作で行われる場合、ヒューマンエラーが内在し、網羅性を確保できないことが懸念される。
本開示の少なくとも一実施形態は、作業時間の短縮をしつつヒューマンエラーを抑制することができる検証処理装置、検証方法及びプログラムを提供することを目的とする。
本開示の一態様に係る検証処理装置は、検査対象モデルに対するモデル検査により、不安全事象に至る過程で状態が変化した要素を抽出する検査処理部と、前記抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素である原因要素を絞り込む絞込処理部と、複数の前記原因要素から少なくとも一つの原因要素の選択をオペレータから受け付ける受付部と、を備える。前記検査処理部は、前記選択された原因要素について所定の対策が施された新たな検査対象モデルである改善検査対象モデルについて再度のモデル検査を行う。
本開示の一態様に係る検証方法は、検査対象モデルに対するモデル検査により、不安全事象に至る過程で状態が変化した要素を抽出するステップと、前記抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素である原因要素を絞り込むステップと、複数の前記原因要素から少なくとも一つの原因要素の選択をオペレータから受け付けるステップと、前記選択された原因要素について所定の対策が施された新たな検査対象モデルである改善検査対象モデルについて再度のモデル検査を行うステップと、を有する。
本開示の一態様に係るプログラムは、検証処理装置のコンピュータに、検査対象モデルに対するモデル検査により、不安全事象に至る過程で状態が変化した要素を抽出するステップと、前記抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素である原因要素を絞り込むステップと、複数の前記原因要素から少なくとも一つの原因要素の選択をオペレータから受け付けるステップと、前記選択された原因要素について所定の対策が施された新たな検査対象モデルである改善検査対象モデルについて再度のモデル検査を行うステップと、を実行させる。
上述の各態様によれば、作業時間の短縮をしつつヒューマンエラーを抑制することができる。
第1の実施形態に係る検証処理装置の構成を示す図である。 第1の実施形態に係る検証処理装置のCPUの機能構成を示す図である。 第1の実施形態に係る検査対象モデルの例を示す図である。 第1の実施形態に係る検証処理装置の処理フローを示す図である。 第1の実施形態に係る検証処理装置の動作を詳細に説明するための図である。 第1の実施形態に係る検証処理装置の動作を詳細に説明するための図である。 第1の実施形態に係る検証処理装置を用いた検証処理の流れを説明するための図である。 第1の実施形態に係る検証処理装置のディスプレイに表示される表示画面の例を示す図である。 第1の実施形態に係る検証処理装置のディスプレイに表示される表示画面の例を示す図である。 第1の実施形態に係る検証処理装置のディスプレイに表示される表示画面の例を示す図である。 第1の実施形態に係る検証処理装置のディスプレイに表示される表示画面の例を示す図である。 第2の実施形態に係る検証処理装置のディスプレイに表示される表示画面の例を示す図である。 第2の実施形態に係る検証処理装置のディスプレイに表示される表示画面の例を示す図である。 第3の実施形態に係る検証処理装置のCPUの機能構成を示す図である。 第3の実施形態に係る検証処理装置を用いた検証処理の流れを説明するための図である。
<第1の実施形態>
以下、第1の実施形態に係る検証処理装置について、図1~図6を参照しながら説明する。
(検証処理装置の構成)
図1は、第1の実施形態に係る検証処理装置の構成を示す図である。
図2は、第1の実施形態に係る検証処理装置のCPUの機能構成を示す図である。
図1に示すように、検証処理装置1は、CPU10と、メモリ11と、ディスプレイ12と、入力デバイス13と、ストレージ14とを備え、一般的なコンピュータとして構成されている。
メモリ11は、いわゆる主記憶装置であって、CPU10がプログラムに基づいて動作するための命令及びデータが展開される。
ディスプレイ12は、情報を視認可能に表示する表示デバイスであって、例えば、液晶ディスプレイや有機ELディスプレイなどであってよい。
入力デバイス13は、検証処理装置1の使用者の操作を受け付ける入力デバイスであって、例えば、一般的なマウス、キーボード、タッチセンサなどであってよい。
ストレージ14は、いわゆる補助記憶装置であって、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)等であってよい。ストレージ14には、例えば、検査対象とするリレー回路を示す検査対象モデルMODなどが記録される。
CPU10は、検証処理装置1の動作全体の制御を司るプロセッサである。本実施形態に係るCPU10は、図2に示すように、検査処理部100、選択部101、絞込処理部103(選択部101および再構築部102)、受付部104、表示処理部105としての機能を発揮する。
検査処理部100は、検査対象モデルMODに対してモデル検査を実施し、不安全事象に至る過程で状態が変化した要素を抽出する。
ここで実施されるモデル検査とは、BDD(Binary Decision Diagram)などにより検査対象モデルが取り得る全状態を論理式で表現することで、不安全事象に至る状態遷移の組み合わせ(パス)がないかどうかを網羅的に検査するものである。本実施形態において実施されるモデル検査のアルゴリズムは、一般によく知られているものであってよい。
検査対象モデルMODとは、検査対象とするシステム(例えば、鉄道の保安システム)の動作ロジックが規定されたプログラムであり、モデル検査では、ここで規定された動作ロジックにしたがって、システムの網羅的な動作検証が実施される。
また、不安全事象とは、検査対象とするシステムがいかなる場合であっても遷移してはならない状態として定義される状態である。例えば、鉄道の保安システムにおいては、“車両の自動運転制御中に非常ブレーキが効かない状態”、あるいは、“車両が踏切を走行しているにもかかわらず遮断機が下りていない状態”などが不安全事象として定義される。このような不安全事象として定義した状態(決して到達してはいけない状態)は「検査式」とも呼ばれる。通常、不安全事象(検査式)は、一つのモデルについて複数種類定義され、モデル検査による動作検証は不安全事象(検査式)ごとに行われる。
網羅的な検査の結果、ある不安全事象に到達した場合、その過程において状態が変化した(FALSEからTRUEになった、或いは、TRUEからFALSEになった)要素は、不安全事象の発生に寄与した可能性がある要素として抽出される。ただし、モデル検査は、反例(不安全事象に到達するパス)を一つでも見つけて、単に「不安全事象に到達するパスが存在する」という事実を証明するものであるから、ここで抽出された要素全てが不安全事象の発生に寄与した要素(クリティカルな要素)であるというわけではない。つまり、モデル検査によって抽出された要素の中には、たまたま値が変化しただけで、本質的には不安全事象の発生に寄与していない要素も含んでいる。
選択部101は、検査処理部100によって実施されたモデル検査の結果に基づき、不安全事象に至る過程で状態が変化した要素の中から一つの要素を選択する。「要素」とは、検査対象モデルMODの動作ロジック及び状態を規定する最小単位であって、例えば、保安システムのリレー回路に実装されている信号線や回路素子などである。後述するように、「要素」には、現実のリレー回路に実装されている信号線や回路素子の動作そのものを模擬するものの他、不具合発生時におけるリレー回路の動作を模擬するために規定された仮想の素子をも含む。
再構築部102は、本実施形態で実施されるモデル検査の過程において、所定の条件に従い、検査対象モデルMODを再構築する。
上述した選択部101および再構築部102は、モデル検査の結果、抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素(以下、原因要素とも記載する。)を絞り込む絞込処理部103として機能する。
受付部104は、絞込処理部103によって特定された複数の原因要素から、少なくとも一つの原因要素の選択をオペレータから受け付ける。
この場合、再構築部102は、オペレータによって選択された原因要素について所定の対策が施された新たな検査対象モデル(以下、改善検査対象モデルとも記載する。)を構築する。そして、検査処理部100は、この改善検査対象モデルについて再度のモデル検査を行う。
表示処理部105は、オペレータによって選択された原因要素、および、検査処理部100、絞込処理部103による再度のモデル検査の結果の履歴をディスプレイ12に表示させる。
(検査対象モデルの例)
図3は、第1の実施形態に係る検査対象モデルの例を示す図である。
図3に示す検査対象モデルMODは、鉄道の保安システムを構成するリレー回路の動作ロジックを模擬する。
図3に示す配線V及び配線Gは、それぞれ、電源線及び接地線(グラウンド)である。また、要素A1、A2、・・はリレースイッチであり、通電に応じてOFF状態またはON状態に遷移する(0(FALSE)=OFF/1(TRUE)=ON)。また、要素X1、X2、・・は、マニュアルスイッチであり、人の操作によってOFF状態またはON状態に遷移する(0=OFF/1=ON)。
要素E1、E2、・・は、各信号線で発生し得る不具合(断線及び混触)を再現するために規定された仮想素子である。例えば、配線V(電源線)と要素X1(マニュアルスイッチ)とを結ぶ信号線上には、要素E1が規定されている。この要素E1は、当該信号線における不具合の一つとして“断線の発生”を再現する(0=断線/1=非断線)。また、要素X1と要素X2(マニュアルスイッチ)とを結ぶ信号線上には、2つの要素E2、E3が規定されている。このうち、要素E2は、当該信号線における“断線の発生”を再現し(0=断線/1=非断線)、要素E3は、当該信号線における“電源線との混触の発生”を再現する(0=非混触/1=混触)。同様に、要素X2と要素A1(リレースイッチ)とを結ぶ信号線上には、2つの要素E4、E5が規定されている。このうち、要素E4は、当該信号線における“断線の発生”を再現し(0=断線/1=非断線)、要素E5は、当該信号線における“電源線との混触の発生”を再現する(0=非混触/1=混触)。
実際の検査対象モデルMODは、論理式(言語)によって記述される。例えば、要素A1(リレースイッチ)に関しては、マニュアルスイッチX1、X2の他、各信号線に生じ得る不具合(断線、混触)を加味して、式(1)のように記述される。
A1=(E1&X1&E2&X2&E4)or(E3&X2&E4)or(E5)・・・(1)
他の要素についても同様の論理式によって記述される。
なお、式(1)は、要素A1(リレースイッチ)自身に不具合が発生していない場合における要素A1の状態遷移を規定するものである。現実には、要素A1自身にも不具合が発生する可能性があるため、検査対象モデルMODは、要素A1が式(1)の論理式にかかわらずOFF状態又はON状態に遷移する遷移パターンをも含む。他の要素A2、A3、・・等についても同様である。
また、マニュアルスイッチである要素X1、X2、・・は、人の操作に従って状態遷移する要素であるため、モデル検査においては、不具合の発生を規定する要素E1、E2、・・と同様に、あらゆるタイミングで同時多発的かつ非同期的な状態遷移が起こり得るものとして規定される。
(検証処理装置の処理フロー)
図4は、第1の実施形態に係る検証処理装置の処理フローを示す図である。
図5及び図6は、第1の実施形態に係る検証処理装置の動作を詳細に説明するための図である。
図4に示す処理フローは、検査対象モデルMODに対するモデル検査の一連の処理の流れを示しており、特に、検査処理部100によって抽出された要素から、更に、不安全事象の発生に寄与する要素(原因要素)を絞り込むための処理(絞込処理部103による処理)の流れを示している。
まず、CPU10の検査処理部100は、検査対象モデルMODに対して通常モデル検査を行う(ステップS01)。ステップS01にて実施されるモデル検査について、図5に示す状態遷移図を用いて説明する。
図5に示す複数の状態STxは、それぞれ、図3で示した検査対象モデルMODの状態を示している。検査対象モデルMODの各状態は、当該検査対象モデルMODに含まれる要素A1、A2、・・、X1、X2、・・、E1、E2、・・の各々の状態(0/1)の組み合わせで規定される。このうち、状態ST1は検査対象モデルMOD(即ち、保安システム)の初期状態である。検査処理部100は、検査対象モデルMODで規定される論理式(式(1)参照)にしたがい、不安全事象(状態ST2)から初期状態(状態ST1)に到達する状態遷移が存在するかを網羅的に検証する。不安全事象(状態ST2)は、例えば、検査対象モデルMODに含まれる他の要素S1、T1、U1についての論理式(S1&T1&U1=TRUE)を含む状態として規定される。
不安全事象(状態ST2)から初期状態(状態ST1)に到達するパスが存在する場合、検査処理部100は、当該不安全事象に到達した過程において不具合が発生した要素を抽出し、不具合リストを作成する(ステップS02)。ステップS02にて作成される不具合リストの例を図6に示す。
検査処理部100は、初期状態(状態ST1)から無作為に状態遷移を繰り返した結果、不安全事象(状態ST2)に至った場合に、当該不安全事象に至った過程において状態が変化した要素(つまり、不具合が発生した要素)をリストアップする。そして、検査処理部100は、図6に示すような不具合リストLを作成する。
図6に例示される不具合リストでは、状態ST1から状態ST2までの各遷移ステップで状態遷移が発生した要素の一覧と、各要素が何ステップ目にどのような値に遷移したかが示される。例えば、図6に示す不具合リストLには、初期状態から第6ステップ目の状態遷移で不安全事象(検査式:S1&T1&U1=TRUE)に至ったことが示されている。また、不具合リストLによれば、要素X1は、不安全事象に至る過程において、4ステップ目にFALSEからTRUEに遷移し、5ステップ目にTRUEからFALSEに遷移したことが読み取れる。
しかしながら、ステップS02で示される不具合リストLは、無作為な状態遷移を繰り返した結果、初期状態から不安全事象(S1&T1&U1=TRUE)に行きつく過程においてたまたま状態遷移が起こった要素をリストアップしたものにすぎない。したがって、不具合リストLにリストアップされた各要素には、不安全事象に至ったことに直接的に寄与していない要素が含まれることが推察される。そこで、本実施形態に係る絞込処理部103は、更に、以下のステップS03~ステップS08の処理を実行する。
具体的には、CPU10の選択部101(絞込処理部103)は、リストアップされた要素のうちの一つを選択する(ステップS03)。簡単な例として、不具合リストLにリストアップされた要素が(E1、E2、E3、X1、X2)の5つであった場合、選択部101は、例えば、そのうちの一つとして要素E1を選択する。
次に、CPU10の再構築部102(絞込処理部103)は、検査対象モデルMODから、ステップS03で選択された要素を除いたモデルを作成(再構築)する(ステップS04)。以下、ステップS04で作成されたモデルを「再構築モデル」とも記載する。例えば、ステップS03で要素E1が選択されたとき、再構築部102は、もともとの検査対象モデルMODから要素E1を除外した再構築モデルを作成する。
次に、検査処理部100は、ステップS04で作成された再構築モデルに対し、再度のモデル検査を実施する(ステップS05)。上記の例では、この再構築モデルには要素E1が含まれていない。したがって、ステップS05で実施されるモデル検査では、配線V(電源線、図3参照)と要素X1(マニュアルスイッチ、図3参照)とを結ぶ信号線上における“断線の発生”は考慮されない。
検査処理部100は、ステップS05で再度実施されたモデル検査の結果を出力し、最初のモデル検査(ステップS01)にて発生した不安全事象と同一の不安全事象(S1&T1&U1=TRUE)が発生するか否かを判定する(ステップS06)。
同一の不安全事象が発生しなかった場合(ステップS06;NO)、ステップS03で選択された要素が除外された結果、不安全事象が発生しなくなったのであるから、当該除外された要素は、不安全事象の発生に寄与する、クリティカルな要素であるといえる。したがって、この場合、再構築部102は、ステップS03で選択された要素を検査対象モデルMODに戻す(ステップS07)。
他方、同一の不安全事象が発生した場合(ステップS06;YES)、ステップS03で選択された要素が除外されたにもかかわらず、依然として不安全事象が発生したのであるから、当該除外された要素は、不安全事象の発生には寄与しない(クリティカルではない)要素といえる。このような要素は、反例解釈の際には除外されていることが望ましいから、再構築部102は、ステップS03で選択された要素を検査対象モデルMODに戻すことなく次のステップに移行する。
次に、選択部101は、ステップS02の不具合リストLでリストアップされた全ての要素を選択したか否かを判定する(ステップS08)。全ての要素が選択されていない場合(ステップS08;NO)、選択部101はステップS03に戻り、前回のステップS03とは異なる要素を一つ選択する。そして、再構築部102及び検査処理部100は、ステップS04~ステップS07の処理を繰り返す。
全ての要素が選択されていた場合(ステップS08;YES)、選択部101は、不具合リストLにリストアップされた要素のうち、検査対象モデルMODに残った要素を出力する(ステップS09)。
例えば、ステップS02の不具合リストLにリストアップされた要素(E1、E2、E3、X1、X2)のうち、ステップS03からステップS08までの処理を経て、要素(E1、E2、X1)がクリティカルな要素ではなく除外されたとすると、絞り込まれて残った要素(E3、X2)がステップS09で出力される。
(検証処理装置を用いた検証処理の流れ)
図7は、第1の実施形態に係る検証処理装置を用いた検証処理の流れを説明するための図である。
また、図8~図11は、第1の実施形態に係る検証処理装置のディスプレイに表示される表示画面の例を示す図である。
次に、図7~図11を参照しながら、オペレータによる、第1の実施形態に係る検証処理装置1を用いた検証処理の流れについて説明する。
まず、オペレータは、検査対象とするシステム(鉄道の保安システム)の検査対象モデルMOD(図3参照)を作成する(ステップS10)。この例では、検査対象モデルMODは、1000個の要素(変数)を有しているものとする。オペレータは、作成した検査対象モデルMODを検証処理装置1に入力する。
次に、オペレータは、検証処理装置1を操作して、検査対象モデルMODに対するモデル検査を行う。ここで、検証処理装置1のCPU10(検査処理部100)は、検査対象モデルMODに対するモデル検査を実行する(ステップS11)。検証処理装置1によるステップS11の処理は、図4のステップS01~ステップS02の処理に対応する。モデル検査の結果、検証処理装置1は、1000個の要素(変数)から、例えば300個の要素を抽出し、不具合リスト(図6参照)を作成する。上述した通り、この300個の要素の中には、実際には不安全事象の発生に寄与しない要素も含まれている。
検証処理装置1のCPU10(絞込処理部103)は、モデル検査(ステップS11)にて抽出された300個の要素に対し、絞り込み処理を実行する(ステップS12)。検証処理装置1によるステップS12の処理は、図4のステップS03~ステップS09の処理に対応する。この絞り込み処理により、検証処理装置1は、300個の要素の中から、例えば10個の原因要素を特定できたものとする。
検証処理装置1のCPU10(表示処理部105)は、ステップS11~ステップS12を経て特定した10個の原因要素をディスプレイ12に出力(表示)する(ステップS13)。
この段階でディスプレイ12に表示される表示画面の例について図8を参照しながら説明する。
この段階で、ディスプレイ12には、図8に示すような表示画面Dが表示される。
図8に示すように、表示画面Dの「step」の欄には、1回目のモデル検査および絞り込み処理によって特定された原因要素であることを示す番号“1”が付される。“step1”の行の表示画面Dの「原因要素」の欄には、10個に絞り込まれた原因要素(E1、E3、・・・)が表示される。
また、表示画面Dには、チェックボックスCB1、対策ボタンAF、戻りボタンAB、及び、実行ボタンEが表示されている。これらのチェックボックス、各種ボタンについては後述する。
図7に戻り、次に、オペレータは、表示された10個の原因要素について、回路図面等を確認しながら解釈、対策を検討する(ステップSH)。そして、オペレータは、対策を施そうとする原因要素の一つを選択し、検証処理装置1に入力する。検証処理装置1のCPU10(受付部104)は、オペレータからの入力を受け付ける。
この段階でディスプレイ12に表示される表示画面の例について図9を参照しながら説明する。
オペレータは、対策を施そうとする原因要素(例えば、要素E1)のチェックボックスCB1をクリックしてチェックを有効にする。続いて、オペレータは、対策ボタンAFをクリックする。そうすると、“step1”の行の「対策」の欄に、チェックが有効とされた原因要素(要素E1)が表示される。この欄に表示された原因要素は、適切な対策が施されたという想定のもと、次回のモデル検査において固定値(不具合が発生しない要素)として扱われる。本実施形態においては、この欄に表示された要素は、例えば、TRUEに固定された固定値として扱われるものとする。
なお、「対策」の欄に表示した原因要素を同欄から除外したい場合、オペレータは、「対策」の欄に表示された要素E1のチェックボックスを有効にし、戻りボタンABをクリックすればよい。
また、上記の例では、オペレータは、一つの原因要素(要素E1)のみを選択したが、オペレータは、ここで二つ以上の原因要素を選択してもよい。
続いて、オペレータは、“step1”の行の「コメント」の欄に、要素E1に対し、実際に施すべき対策内容(例えば、「〇〇素子を追加して冗長化する。」、「〇〇素子を××素子に変更する。」など)を記入する。この欄は、オペレータによって、テキスト形式で自由に記入できるものとする。
原因要素の選択、および、コメントの欄の記入が完了すると、オペレータは、実行ボタンEをクリックする。
図7に戻り、オペレータによって実行ボタンEがクリックされた後の処理について説明する。
検証処理装置1のCPU10(再構築部102)は、最初に入力された検査対象モデルMODを基準にして、改善検査対象モデルを自動作成する(ステップS20)。具体的には、この改善検査対象モデルは、ステップSHでオペレータに選択された原因要素(要素E1)について適切な対策が施されたと想定されるシステムの動作を模した検査対象モデルである。すなわち、この例においては、改善検査対象モデルは、オペレータに選択された原因要素である要素E1がTRUEの固定値として扱われることとなった検査対象モデルである。改善検査対象モデルは、固定値とみなされた要素E1を除く999個の要素を含む。
続いて、検証処理装置1のCPU10(検査処理部100)は、ステップS20で作成された改善検査対象モデルについてのモデル検査を行う(ステップS21)。改善検査対象モデルにおいて、要素E1はTRUEの固定値であるため、このモデル検査では要素E1がTRUEからFALSEに遷移するパスは検証されない。この要素E1が不安全事象を発生させる大きな原因となっていた場合は、2回目のモデル検査で抽出される要素の数が大幅に低減されることもある。ここでは、モデル検査の結果、依然として不安全事象に至るパス(反例)は見つかったものの、当該モデル検査にて抽出された要素の数を200個に減らせたものとする。
さらに、検証処理装置1のCPU10(絞込処理部103)は、モデル検査(ステップS21)によって抽出された200個の要素に対し、ステップS12と同様の絞り込み処理を実行する(ステップS22)。この絞り込み処理により、検証処理装置1は、200個の要素の中から5個の原因要素を特定できたものとする。
検証処理装置1のCPU10(表示処理部105)は、ステップS20~ステップS22を経て特定した5個の原因要素をディスプレイ12に出力(表示)する(ステップS23)。
この段階でディスプレイ12に表示される表示画面の例について図10を参照しながら説明する。
この段階で、ディスプレイ12には、図10に示すような表示画面Dが表示される。
図10に示すように、“step1”の「結果」の欄には、不安全事象に到達した反例があったことを示すFALSEが表示される。
そして、“step2”の行が新たに作成される。“step2”の行の「原因要素」の欄には、ステップS21~ステップS22の処理で特定された5個の原因要素(E4、E5、・・・)が表示される。
図7に戻り、オペレータは、表示された5個の原因要素について、再度、回路図面等を確認しながら解釈、対策を検討する(ステップSH)。そして、オペレータは、対策を施そうとする原因要素の一つを選択し、検証処理装置1に入力する。検証処理装置1のCPU10(受付部104)は、オペレータからの入力を受け付ける。
この段階でディスプレイ12に表示される表示画面の例について図11を参照しながら説明する。
オペレータは、“step2”の行において、更なる対策を施そうとする原因要素(例えば、要素E4)のチェックボックスCB1をクリックしてチェックを有効にする。続いて、オペレータは、対策ボタンAFをクリックする。そうすると、“step2”の行の「対策」の欄に、チェックされた原因要素(要素E4)が表示される。“step1”の行の要素E1と同様に、この欄に表示された要素E4は、TRUEに固定された固定値として扱われるものとする。
続いて、オペレータは、“step2”の行の「コメント」の欄に、要素E4に対し、実際に施すべき対策内容を記入する。
原因要素の選択、および、コメントの欄の記入が完了すると、オペレータは、実行ボタンEをクリックする。
実行ボタンEがクリックされると、さらに要素E4が固定値として扱われることとなった改善検査対象モデルに対し、再び、図7のステップS20~ステップS23の処理が実行される。
この処理の結果、不安全事象に至るパス(反例)が見つからなかった場合には、“step2”の行の「結果」の欄にTRUEが表示される。不安全事象に至るパス(反例)が見つかった場合には、“step3”の行が追加され、「原因要素」の欄に、新たに特定された原因要素が表示される。このように、ディスプレイ12には、各ステップで選択された原因要素(対策の対象とする要素)およびその対策内容の履歴が表示される。
オペレータは、ステップSHおよびステップS20~ステップS23の処理を、反例がなくなるまで繰り返し行う。
検証処理装置1は、オペレータによる操作に従い、各ステップで選択された原因要素(対策の対象とする要素)と、その対策内容(「コメント」の欄のテキスト)とを示す一覧リストである対策リストを出力する。
(作用、効果)
以上のような構成によれば、検証処理装置1は、モデル検査および絞り込み処理によって特定された原因要素から少なくとも一つの原因要素の選択をオペレータから受け付けるとともに、当該選択された原因要素について所定の対策が施された新たな検査対象モデル(改善検査対象モデル)を自動生成し、この改善検査対象モデルについて再度のモデル検査を行う。
このようにすることで、「人による原因究明(解釈、対策)→検査対象モデルの再設定・コーディング→モデル検査の再実行」の繰り返しのプロセスを自動化することができる。したがって、作業時間の短縮を図りながらヒューマンエラーの発生を抑制することができる。
また、第1の実施形態に係る検証処理装置1は、「コメント」の欄を表示して、対策の対象として選択された原因要素に施すべき対策の内容の入力を受け付け可能とする。
このようにすることで、実際のシステムの要素に対し、対策として施すべき具体的内容を紐づけて記録することができる。
また、第1の実施形態に係る検証処理装置1は、表示画面D(図8~図11)を通じて、オペレータが選択した原因要素、および、当該再度のモデル検査の結果の履歴を表示させる。
このようにすることで、オペレータは、繰り返しモデル検査を行う過程で、どの要素にどのような対策を施したかを振り返りながら検証を行うことができる。
(第1の実施形態の変形例)
以上、第1の実施形態に係る検証処理装置1について詳細に説明したが、検証処理装置1の具体的な態様は、上述のものに限定されることはなく、要旨を逸脱しない範囲内において種々の設計変更等を加えることは可能である。
第1の実施形態においては、表示画面D(図8~図11)の「対策」の欄に表示した原因要素はTRUEの固定値として扱われるものとして説明したが、他の実施形態においてはこの態様に限られない。例えば、他の実施形態に係る検証処理装置1の表示画面Dには、「対策1」と「対策2」の欄を設け、「対策1」の欄に表示された原因要素はTRUEの固定値として扱われ、「対策2」の欄に表示された原因要素はFALSEの固定値として扱われる態様としてもよい。
また、他の実施形態に係る検証処理装置1は、オペレータが、より複雑な条件(例えば、「要素E1と要素E3は同時にTRUEにならない」など)を設定できるようにしてもよい。この場合、再構築部102は、オペレータによって設定された上記条件が満たされるような改善検査対象モデルを自動作成するものとする。
また、第1の実施形態の変形例に係る検証処理装置1は、更に、操作履歴のレポーティングを自動的に行う機能(レポーティング処理部)を有していてもよい。
即ち、レポーティング処理部は、図7に示した一連の検証に基づき、以下の情報を含むレポートを作成する。
(1)各ステップで抽出された原因要素の組合せ(図8~図11「原因要素」欄の情報)
(2)(1)に対する対策案(選択した除外デバイス、図8~図11「対策」欄の情報)とその理由(図8~図11「コメント」欄の情報)および検査結果(図8~図11「結果」欄の情報)
(3)本検証で使用した変数の合計
(4)対策前の結果とその対策状況を検査式ごとにまとめた一覧
以上のようなレポーティング機能(レポーティング処理部)を有することで、エビデンス管理が容易になる。
<第2の実施形態>
次に、第2の実施形態に係る検証処理装置について、図12~図13を参照しながら説明する。
(検証処理装置を用いた検証処理の流れ)
図12、図13は、第2の実施形態に係る検証処理装置のディスプレイに表示される表示画面の例を示す図である。
第2の実施形態に係る検証処理装置1のディスプレイ12には、図12、図13に示すような表示画面Dが表示される。具体的には、表示画面Dには、各ステップに対応して、チェックボックスCB2が設けられている。また、表示画面Dには、流用ボタンRが表示されている。
図12に示す表示画面Dは、検査対象モデルMODに対する検証が“step4”まで完了した例を示している。
ここで、オペレータは、有効な対策を見つけるために、どの素子に対策を施すか、試行錯誤を繰り返す必要がある。このような試行錯誤においては、途中の対策実行結果を流用したい場合がある。この例では、オペレータは、試行錯誤の結果、“step2”から検証をやり直したいと考えている。この場合、オペレータは、図12に示すように、“step2”の行のチェックボックスCB2をクリックしてチェックを有効にし、流用ボタンRをクリックする。
この場合、検証処理装置1は、現在までに完了した検証結果(“step4”までの結果)を記録して出力(レポーティング)するとともに、元々の検査対象モデルMODに対し、“step2”までの結果を反映する(図13参照)。そして、検証処理装置1は、“step2”に続く“step3”において、オペレータによる再度の原因要素の選択を待ち受ける。
(作用、効果)
以上のような構成によれば、検証処理装置1は、履歴における任意の段階(ステップ)に遡って、再度、原因要素の選択を受け付けることができる。これにより、試行錯誤の中で生じる手戻りを最小限に抑えることができるので、不安全事象(検査式)を満足する対策を導くまでの時間短縮、作業効率化を図ることができる。
<第3の実施形態>
次に、第3の実施形態に係る検証処理装置について、図14、図15を参照しながら説明する。
(検証処理装置の構成)
図14は、第3の実施形態に係る検証処理装置のCPUの機能構成を示す図である。
第3の実施形態に係る検証処理装置1は、第1、第2の実施形態に係る検証処理装置1に対し、生成部106としての機能を有する点で相違する。
生成部106は、ある検査対象モデルについて繰り返し実行されたモデル検査および絞り込み処理において、不安全事象に至らなくなるまでに選択された原因要素の一覧を示す対策リストを生成する。
また、第3の実施形態に係る検査処理部100は、他の検査対象モデルについて、対策リストに示される原因要素の全てについて所定の対策が施された改善検査対象モデルについてモデル検査を行う。
(検証処理装置を用いた検証処理の流れ)
図15は、第3の実施形態に係る検証処理装置を用いた検証処理の流れを説明するための図である。
図15では、まずプロジェクトAのシステムの検査対象モデルについて検証を行った後、その対策が記録された対策リストを、プロジェクトBの検査対象モデルについての検証に利用する流れを示している。
具体的には、まず、オペレータは、プロジェクトAのシステムの検査対象モデルを作成する(ステップSA31)。
次に、オペレータは、この検査対象モデルについて、モデル検査(および絞り込み処理)、解釈、対策の処理(図7のステップS20~ステップS23およびステップSH)を、反例がなくなるまで繰り返す(ステップSA32)。
反例がなくなった場合、検証処理装置1のCPU10(生成部106)は、プロジェクトAのシステムの検査対象モデルについての対策リストを作成する(ステップSA33)。対策リストとは、不安全事象に至らなくなるまでに、オペレータによって選択された原因要素および対策内容の一覧(表示画面D(図8~図11)における各ステップの「対策」の欄および「コメント」の欄の記載内容)が記録されたリストである。
次に、プロジェクトBでは、プロジェクトAのシステムを改良する(例えば、プロジェクトAのシステムに新たな機能を追加する)ことを検討する。オペレータは、プロジェクトBのシステムの検査対象モデルを作成する(ステップSB31)。
次に、オペレータは、プロジェクトAのシステムについて作成された対策リストを適用(インポート)する(ステップSB32)。これにより、検証処理装置1のCPU10(再構築部102)は、プロジェクトBのシステムの検査対象モデルを元に、対策リストに示される原因要素の全てが固定値として扱われた改善検査対象モデルを作成する。
検証処理装置1は、この改善検査対象モデルに対してモデル検査を実行し(ステップSB33)、当該モデル検査の結果、不安全事象が発生するパスが発見されたか否かを判定する(ステップSB34)。
不安全事象が発生するパスが発見されなかった場合(ステップSB34)、プロジェクトBのシステムは、プロジェクトAのシステムについて施した対策だけで十分であると判断できる。したがって、オペレータは、プロジェクトBのシステムについて、解釈、対策の処理を行うことなく処理を終了する。
他方、不安全事象が発生するパスが発見された場合(ステップSB34)、プロジェクトBのシステムは、プロジェクトAのシステムについて施した対策だけでは不十分であると判断できる。そこで、オペレータは、プロジェクトBのシステムについて、改めて図7の処理を実行し、検証および対策を行う(ステップSB35)。
(作用、効果)
あるプロジェクトに係るシステムにおいて、「反例解釈→モデル再設定→モデル検査実行→・・・」の繰り返しにより反例(不安全事象)が生じない対策案を講じることができたとする。この場合において、プロジェクトAのシステムに改良や設計変更を加えた新たなシステム(プロジェクトBのシステム)を検証する際、元のシステムについて施した対策が有用なのか、対策に漏れがあるのかを検証したい場合がある。
従来は、あるシステムについて改良や設計変更が行われた場合、変更箇所の変数が異なるため、過去の対策案(対策リスト)を流用することができず、検証に多大な時間を要していた。
第3の実施形態に係る検証処理装置1によれば、上記プロジェクトAのシステムの検証時に作成された対策リストをインポートすることで、プロジェクトB(改良版)のシステムの検証に要する手間を低減することができる。これにより、改良適用後の対策有用性、対策の漏れなどのチェックを短時間で行うことができる。
(その他の変形例)
上述の第1~第3の実施形態において、上述したCPU10の各種処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって上記各種処理が行われる。また、コンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD-ROM、DVD-ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしてもよい。
上記プログラムは、上述した機能の一部を実現するためのものであってもよい。更に、上述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
以上のとおり、本開示に係るいくつかの実施形態を説明したが、これら全ての実施形態は、例として提示したものであり、発明の範囲を限定することを意図していない。これらの実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で種々の省略、置き換え、変更を行うことができる。これらの実施形態及びその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
<付記>
各実施形態に記載の検証処理装置1、更新処理方法およびプログラムは、例えば以下のように把握される。
(1)第1の態様に係る検証処理装置1は、検査対象モデルMODに対するモデル検査により、不安全事象に至る過程で状態が変化した要素を抽出する検査処理部100と、前記抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素である原因要素を絞り込む絞込処理部103と、複数の前記原因要素から少なくとも一つの原因要素の選択をオペレータから受け付ける受付部104と、を備える。前記検査処理部100は、前記選択された原因要素について所定の対策が施された新たな検査対象モデルである改善検査対象モデルについて再度のモデル検査を行う。
(2)第2の態様に係る検証処理装置1は、(1)の検証処理装置であって、前記受付部104は、さらに、前記選択された原因要素に施すべき前記対策の内容の入力を受け付ける。
(3)第3の態様に係る検証処理装置1は、(1)または(2)の検証処理装置であって、選択された原因要素および前記再度のモデル検査の結果の履歴を表示させる表示処理部105をさらに備える。
(4)第4の態様に係る検証処理装置1は、(3)の検証処理装置であって、前記受付部104は、前記履歴における任意の段階に戻って、再度、前記原因要素の選択を受け付け可能とする。
(5)第5の態様に係る検証処理装置1は、(1)から(4)のいずれか一つの検証処理装置であって、第1の検査対象モデルについての前記再度のモデル検査で、不安全事象に至らなくなるまでに選択された原因要素の一覧を示す対策リストを生成する生成部106をさらに備える。前記検査処理部100は、第2の検査対象モデルについて、前記対策リストに示される原因要素の全てについて所定の対策が施された前記改善検査対象モデルについてモデル検査を行う。
(6)第6の態様に係る検証方法は、検査対象モデルに対するモデル検査により、不安全事象に至る過程で状態が変化した要素を抽出するステップと、前記抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素である原因要素を絞り込むステップと、複数の前記原因要素から少なくとも一つの原因要素の選択をオペレータから受け付けるステップと、前記選択された原因要素について所定の対策が施された新たな検査対象モデルである改善検査対象モデルについて再度のモデル検査を行うステップと、を有する。
(7)第7の態様に係るプログラムは、検証処理装置1のコンピュータに、検査対象モデルに対するモデル検査により、不安全事象に至る過程で状態が変化した要素を抽出するステップと、前記抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素である原因要素を絞り込むステップと、複数の前記原因要素から少なくとも一つの原因要素の選択をオペレータから受け付けるステップと、前記選択された原因要素について所定の対策が施された新たな検査対象モデルである改善検査対象モデルについて再度のモデル検査を行うステップと、を実行させる。
1 検証処理装置
10 CPU
100 検査処理部
101 選択部
102 再構築部
103 絞込処理部
104 受付部
105 表示処理部
106 生成部
11 メモリ
12 ディスプレイ
13 入力デバイス
14 ストレージ
MOD 検査対象モデル
L 不具合リスト

Claims (7)

  1. 検査対象モデルに対するモデル検査により、不安全事象に至る過程で状態が変化した要素を抽出する検査処理部と、
    前記抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素である原因要素を絞り込む絞込処理部と、
    複数の前記原因要素から少なくとも一つの原因要素の選択をオペレータから受け付ける受付部と、
    を備え、
    前記検査処理部は、前記選択された原因要素について所定の対策が施された新たな検査対象モデルである改善検査対象モデルについて再度のモデル検査を行う
    検証処理装置。
  2. 前記受付部は、さらに、前記選択された原因要素に施すべき前記対策の内容の入力を受け付ける
    請求項1に記載の検証処理装置。
  3. 前記選択された原因要素および前記再度のモデル検査の結果の履歴を表示させる表示処理部をさらに備える
    請求項1または請求項2に記載の検証処理装置。
  4. 前記受付部は、前記履歴における任意の段階に戻って、再度、前記原因要素の選択を受け付け可能とする
    請求項3に記載の検証処理装置。
  5. 第1の検査対象モデルについての前記再度のモデル検査で、不安全事象に至らなくなるまでに選択された原因要素の一覧を示す対策リストを生成する生成部をさらに備え、
    前記検査処理部は、第2の検査対象モデルについて、前記対策リストに示される原因要素の全てについて所定の対策が施された前記改善検査対象モデルについてモデル検査を行う
    請求項1から請求項4のいずれか一項に記載の検証処理装置。
  6. 検査対象モデルに対するモデル検査により、不安全事象に至る過程で状態が変化した要素を抽出するステップと、
    前記抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素である原因要素を絞り込むステップと、
    複数の前記原因要素から少なくとも一つの原因要素の選択をオペレータから受け付けるステップと、
    前記選択された原因要素について所定の対策が施された新たな検査対象モデルである改善検査対象モデルについて再度のモデル検査を行うステップと、
    を有する検証処理装置の検証方法。
  7. 検証処理装置のコンピュータに、
    検査対象モデルに対するモデル検査により、不安全事象に至る過程で状態が変化した要素を抽出するステップと、
    前記抽出された要素のそれぞれについて、当該要素が不安全事象の発生に寄与する要素か否かを判定しながら不安全事象の原因となる要素である原因要素を絞り込むステップと、
    複数の前記原因要素から少なくとも一つの原因要素の選択をオペレータから受け付けるステップと、
    前記選択された原因要素について所定の対策が施された新たな検査対象モデルである改善検査対象モデルについて再度のモデル検査を行うステップと、
    を実行させるプログラム。
JP2019140118A 2019-07-30 2019-07-30 検証処理装置、検証方法及びプログラム Active JP7204609B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019140118A JP7204609B2 (ja) 2019-07-30 2019-07-30 検証処理装置、検証方法及びプログラム
US17/629,650 US20220253582A1 (en) 2019-07-30 2020-07-10 Verification processing device, verification method, and program
PCT/JP2020/027017 WO2021020077A1 (ja) 2019-07-30 2020-07-10 検証処理装置、検証方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019140118A JP7204609B2 (ja) 2019-07-30 2019-07-30 検証処理装置、検証方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2021022320A JP2021022320A (ja) 2021-02-18
JP7204609B2 true JP7204609B2 (ja) 2023-01-16

Family

ID=74229861

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019140118A Active JP7204609B2 (ja) 2019-07-30 2019-07-30 検証処理装置、検証方法及びプログラム

Country Status (3)

Country Link
US (1) US20220253582A1 (ja)
JP (1) JP7204609B2 (ja)
WO (1) WO2021020077A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009122992A (ja) 2007-11-15 2009-06-04 Toshiba Corp 反例解析支援装置
WO2019142858A1 (ja) 2018-01-17 2019-07-25 三菱重工エンジニアリング株式会社 検証処理装置、ロジック生成装置及び検証処理方法
JP2020071759A (ja) 2018-11-01 2020-05-07 三菱重工エンジニアリング株式会社 検証処理装置、検証処理方法及びプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009122992A (ja) 2007-11-15 2009-06-04 Toshiba Corp 反例解析支援装置
WO2019142858A1 (ja) 2018-01-17 2019-07-25 三菱重工エンジニアリング株式会社 検証処理装置、ロジック生成装置及び検証処理方法
JP2020071759A (ja) 2018-11-01 2020-05-07 三菱重工エンジニアリング株式会社 検証処理装置、検証処理方法及びプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
矢島 大嗣,岸 知二,IoTにおけるエッジ側アクセス規制のセキュリティ検証,情報処理学会第80回(平成30年)全国大会講演論文集(1) コンピュータシステム ソフトウェア科学・,日本,一般社団法人情報処理学会,2018年03月13日,pp. 1-223~1-224
鷲見 毅,和田 大輝,晏 リョウ,武山 文信,モデル検査における不具合原因特定手法,情報処理学会 研究報告 ソフトウェア工学(SE),日本,情報処理学会,2015年03月05日, Vol.2015-SE-187 No.4,pp. 1~6

Also Published As

Publication number Publication date
WO2021020077A1 (ja) 2021-02-04
JP2021022320A (ja) 2021-02-18
US20220253582A1 (en) 2022-08-11

Similar Documents

Publication Publication Date Title
Holst et al. Adaptive debug and diagnosis without fault dictionaries
US11003817B2 (en) Hard error simulation and usage thereof
JP7214440B2 (ja) 検証処理装置、検証処理方法及びプログラム
KR102049665B1 (ko) 장애 지점을 검출하기 위한 장치 및 방법
US11520963B2 (en) System and method for formal fault propagation analysis
KR20200139788A (ko) 데이터 변환 파이프라인용 하드웨어 설계 검증
US20100295606A1 (en) Semiconductor integrated circuit design support system, design support method for semiconductor integrated circuit, and semiconductor integrated circuit
Mazzeo et al. SIL2 assessment of an active/standby COTS-based safety-related system
Wang et al. An ATPG method for double stuck-at faults by analyzing propagation paths of single faults
Rousset et al. Derric: A tool for unified logic diagnosis
US9404972B2 (en) Diagnosis and debug with truncated simulation
JP7204609B2 (ja) 検証処理装置、検証方法及びプログラム
US10796047B2 (en) Functional safety synthesis
Kastil et al. Dependability analysis of fault tolerant systems based on partial dynamic reconfiguration implemented into FPGA
JP2020517018A (ja) 偶発的なハードウェア故障の確率的メトリック
US8468409B2 (en) Speed-path debug using at-speed scan test patterns
EP3553681B1 (en) Method and apparatus for error test coverage determination for a circuit by simulation
CN111241766B (zh) 测试方法与测试系统
EP3642637B1 (en) System and method for formal fault propagation analysis
Sheikh et al. An integrated fault tolerance technique for combinational circuits based on implications and transistor sizing
JP2013003633A (ja) 故障再現装置、故障再現方法
US11816410B2 (en) System and method for formal fault propagation analysis
Handique et al. Fault localization scheme for missing gate faults in reversible circuits
JP5035663B2 (ja) 診断装置、診断方法、その診断方法をコンピュータに実行させることが可能なプログラム、及びそのプログラムを記録した記録媒体
JP2024063428A (ja) 信頼性評価装置、信頼性評価方法及びプログラム

Legal Events

Date Code Title Description
A625 Written request for application examination (by other person)

Free format text: JAPANESE INTERMEDIATE CODE: A625

Effective date: 20211022

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221101

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221129

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221228

R150 Certificate of patent or registration of utility model

Ref document number: 7204609

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350