WO2020175060A1 - Computation device and recording medium - Google Patents

Computation device and recording medium Download PDF

Info

Publication number
WO2020175060A1
WO2020175060A1 PCT/JP2020/004324 JP2020004324W WO2020175060A1 WO 2020175060 A1 WO2020175060 A1 WO 2020175060A1 JP 2020004324 W JP2020004324 W JP 2020004324W WO 2020175060 A1 WO2020175060 A1 WO 2020175060A1
Authority
WO
WIPO (PCT)
Prior art keywords
node
nodes
change
target
safety function
Prior art date
Application number
PCT/JP2020/004324
Other languages
French (fr)
Japanese (ja)
Inventor
若菜 竹下
貴広 池田
Original Assignee
日立オートモティブシステムズ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日立オートモティブシステムズ株式会社 filed Critical 日立オートモティブシステムズ株式会社
Publication of WO2020175060A1 publication Critical patent/WO2020175060A1/en

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring

Definitions

  • the present invention relates to an arithmetic device and a recording medium.
  • Risk analysis techniques are used to identify accidents and their causes.
  • Risk analysis methods include a top-down analysis method that takes an accident that may occur as an input and identifies the factors leading to it, and a bottom-up analysis method that identifies an accident that may occur due to a possible failure in the system as an input. is there.
  • Functional safety development typically uses a combination of both top-down and bottom-up analysis methods.
  • a typical top-down analysis method is Fault Tree Analysis (FTA).
  • FMEA Fa i lure Mode and Effect Analysis
  • Patent Document 1 information on a hazard occurrence scenario is extracted from the HAZ ⁇ P worksheet and processed, and the information is recorded in the items of initiating event, intermediate event, protective measure, hazard and impact level, and the impact level is the key.
  • a hazard _ list creating means for creating a hazard over list was descending sort, against the hazard of interest recorded in the hazard _ list, each initiating event, without regard to whether there is a defense
  • a causal relationship between the events from the initiating event to the hazard that is the top event is constructed as a logical structure, and the logical structure of the causal relationship between the events is prevented.
  • ⁇ 02020/175060 2 (:171?2020/004324
  • the event and the defense means function failure event are combined with 8 N 0 gates, and the defense means function failure event is connected in advance according to the type of the protection means.
  • the basic events related to the failure of the registered defense function are combined with ⁇ [3 ⁇ 4ge_rule, and the ⁇ [3 ⁇ 4ge_rule is linked to the defense means function failure event, and the target hazard has multiple different cause events.
  • the same intermediate event existing in the logical structure of the causal relationship between the events corresponding to each initiating event is identified, and a plurality of causal events (lower levels) that generate the intermediate event are combined with ⁇ [3 ⁇ 4ge_rule].
  • ⁇ [3 ⁇ 4ge_rule is connected to the intermediate event, and the hazard is expressed by expressing the logical structure of the causal relationship between the event related to the target hazard and the event with a fault tree.
  • a fault tree as a fault event, and a fault tree creating means for expressing the fault tree graphically, and a fault occurrence frequency registered in advance for the cause event and basic event in the fault-tree.
  • a process risk assessment support apparatus characterized by comprising: a hazard occurrence frequency calculation means for calculating the occurrence frequency of a target hazard.
  • Patent Document 1 Japanese Patent Laid-Open No. 2 0 1 2 — 9 8 8 20
  • the arithmetic unit has a plurality of nodes, and at least one node of the plurality of nodes is a fault tree associated with a safety function.
  • the safety function identifying unit that identifies the safety function, and the safety function identified by the safety function identifying unit is tested again based on the configuration of the changed failure tree and the node that has been tested in the past.
  • a retest node identifying unit that identifies a retest node that is the node that has been tested in the past, a configuration of the fault tree after the change, and a node that has been tested in the past. Based on this, a new test node specifying unit that specifies a new test node that is a new test target node is provided.
  • a recording medium has a plurality of nodes, at least one node of the plurality of nodes is a fault tree associated with a safety function, the configuration of the fault tree before change,
  • a computer having a storage unit for storing the configuration of the fault tree after the change and information indicating the nodes tested in the past for each of the safety functions, based on the information regarding the change of the fault tree.
  • a program for executing and identifying a new test node, which is a node, is recorded and is computer readable.
  • FIG. 7 A flow chart showing the overall processing of the arithmetic unit 1 in the first embodiment.
  • FIG. 11 Flow chart showing core processing of retesting
  • FIG. 12 Diagram showing an example of the count number and target node list
  • FIG. 14 A diagram showing how a program is read from the outside in Modification 2
  • FIG. 15 A diagram showing an example of existing test information 92 8 in the second embodiment
  • FIG. 16 In the second embodiment Flowchart showing the overall processing of arithmetic unit 1 ⁇ 02020/175060 5 ⁇ (: 171?2020/004324
  • the first embodiment of the arithmetic unit will be described below with reference to FIGS. 1 to 13.
  • a fault insertion test is performed as the fault test.
  • the fault insertion test is a test that causes a fault event and tests that the safety function operates normally.
  • FIG. 1 is a hardware configuration diagram of an arithmetic unit 1 according to the present invention.
  • the processing unit 1 is the central processing unit ⁇ II 2, the non-volatile and read-only ⁇ ! ⁇ /! 3 and the volatile readable/writable [3 ⁇ 4 ! ⁇ /1 4] Interface 8 and a non-volatile readable/writable storage unit 9.
  • the program is stored in advance.
  • ⁇ 112 is The functions described below are realized by expanding the program stored in 8 IV! 4 and executing it.
  • the interface 8 is a communication interface for exchanging information with the outside through communication, or an interface capable of reading a physical medium.
  • the communication interface is, for example, a wired communication module corresponding to ⁇ 802.3 or a wireless communication module corresponding to wireless !_8 1 ⁇ 1 or 4°.
  • the storage unit 9 is, for example, a hard disk drive or a flash memory. The storage unit 9 stores the information described later in advance. However, the information stored in the storage unit 9 may be input from the outside via the interface 8.
  • FIG. 2 is a functional configuration diagram of the arithmetic unit 1. However, FIG. 2 also shows the information stored in the storage unit 9.
  • the computing device 1 has, as its functions, a safety function specifying unit 11, a new test node specifying unit 12 and a retest node specifying unit 13. These features are 0 II 2 It is realized by executing the program stored in.
  • the storage unit 9 stores node information 91, existing test information 92, and new test information 93. ⁇ 02020/175060 6 ⁇ (: 171-12020/004324
  • the safety function specifying unit 11, the new test node specifying unit 12 and the retest node specifying unit 13 store the node information 91 stored in the storage unit 9 and the existing test information 92. Perform calculation as the target and create new test information 93. That is, in FIG. 2, the storage unit 9 stores the node information 91, the existing test information 92, and the new test information 93, of which the node information 91 and the existing test information 92 are stored. Is the information that has been created in advance, and the new test information 93 is the information that is newly created.
  • the safety function identification unit 11 identifies the safety function affected by the change based on the information about the change in the failure tree.
  • the new test node specifying unit 12 specifies a retest node that is a node that has been tested in the past, which is a node for testing the safety function specified by the safety function specifying unit 11 again.
  • the new test node identifying unit 12 identifies a new test node based on the changed fault tree configuration and the nodes tested in the past.
  • the retest node identification unit 13 identifies a new test node which is a node to be newly tested.
  • the retest node identification unit 13 identifies the retest node based on the changed fault tree configuration and the nodes tested in the past.
  • the failure tree is a tree structure composed of risk events such as failure events, abnormal events, and security risk events.
  • the fault tree also includes tree structures created by other risk analysis methods. That is, the fault tree may be a tree structure composed of nodes that represent risk events.
  • the fault tree consists of multiple nodes that represent events.
  • the node information 91 stores information on each node that constitutes the failure tree.
  • the information on the node is the information that can specify the position in the fault tree for each node.
  • the node information 91 also stores the identifier of the safety function corresponding to each node.
  • the node information 91 may be created by a human or may be created by a known automatic process.
  • the existing test information 92 may be created by a human, may be created by a known automatic process, or may be created by the computing device 1 in the past. ⁇ 02020/175060 7 ⁇ (: 171?2020/004324
  • the new test information 9 3 may be treated as the existing test information 9 2 as follows. For example, first, the node information 91 is updated, and the arithmetic unit 1 creates new test information 93. Then, it is assumed that the test described in the created new test information 93 is executed and the node information 91 is updated again. In this case, the arithmetic unit 1 may treat the new test information 9 3 previously created as the existing test information 9 2 and create new test information 9 3 again.
  • the existing test information 92 describes the contents of the tests executed in the past.
  • the information stored in the existing test information 92 and the new test information 93 is of the same type.
  • the existing test information 92 and the new test information 93 may use the same description format or different description formats.
  • FIG. 3 is a diagram showing an example of the node information 91 stored in the storage unit 9.
  • the node information 91 is composed of multiple records, and each record has a node gate, an upper gate 0, a lower gate 0, a safety function gate, and an old and new field.
  • Each record stores information about the node specified by the information stored in the node field (hereinafter referred to as the “target node”).
  • the type of gate is not shown in the example shown in FIG. 3, information about the type of gate may be included in FIG. 3, or only the information indicating the type of gate may be separately included in the storage unit 9. Good.
  • the “node entrance” field an identifier for identifying the target node is stored.
  • the “upper gate entrance” field stores an identifier that identifies the upper gate of the target node. However, when there is no upper gate, a symbol indicating that there is no such gate, for example, "1" is stored.
  • the field of "lower gate entrance” stores an identifier for identifying the lower gate of the target node. However, when there is no subordinate gate, a symbol indicating that it does not exist, for example, "1" is stored.
  • safety function is the safety function for the event of the target node. ⁇ 02020/175060 8 ⁇ (: 171?2020/004324
  • An identifier for identifying is stored. However, if there is no safety function for the event of the target node, a symbol indicating that fact, for example, "1" is stored. In addition, in the field of "safety function”, instead of the identifier that identifies the safety function for the event of the target node, any one of the safety requirement, safety requirement, and design information for the event of the target node is stored. Good.
  • the "old” and “old” fields store information indicating whether the target node is an existing node or has been added or deleted due to a change.
  • the example shown in Figure 3 shows that the change added three nodes.
  • the "old” and “old” fields are not mandatory configurations, and the "old and new” fields may not be provided if there is node information 91 before and after the change.
  • FIG. 4 shows an example before and after the change of the fault tree, and corresponds to Figure 3 above. Strictly speaking, Fig. 4 is a diagram visually showing only the structure of the fault tree shown in Fig. 3 ⁇ The fault tree shown in Fig. 4 is from 1 ⁇ 1 1 0 1 to 1 ⁇ 1 1 1 3 1 3 nodes,
  • Gate 1 ⁇ 1 1 0 1 is the highest node, and the lower in the figure, the lower the node.
  • the structure of the fault tree before the change is shown by the solid line, and the structure of the fault tree added by the change is shown by the broken line. That is, no node was deleted in the modification of the example shown in Fig. 4.
  • the type of gate indicates the type of gate. In the example shown in FIG. 4, only the gate 0 13 is 80 gates, and the other 5 gates are 0 gates.
  • the upper node is connected to the lower node by a gate.
  • ⁇ [3 ⁇ 4ge_] means that the event of the upper node will occur if any one of the events of the lower node occurs.
  • Eight N 0 gates 203 means that when all of the events of the lower node occur, the events of the upper node occur.
  • the gate ⁇ 1 1 is a gate, so the node ! ⁇ 1 1 0 2 and node ! ⁇ 1 1 0 3 ⁇ 02020/175060 9 ((171?2020/004324
  • nodes that do not have a lower gate are called “terminal nodes”, and nodes other than the terminal nodes are called “non-terminal nodes”.
  • nodes N 104, N 106, N 108, N 109, N 110, N 1 12 and N 1 13 are end nodes.
  • nodes that are vertically related to each other with the gate interposed are referred to as "one-stage higher node".
  • the node one level above the node N 110 is node 107.
  • a node N 1 1 1, a gate ⁇ 1 6, a node 1 ⁇ 11 1 2 and a node 1 ⁇ 11 1 3 are added below the gate 0 1 3 by a change. ..
  • the event of node 1 ⁇ 11 03 occurred when both the event of node 1 ⁇ 11 0 6 and node 1 ⁇ 11 07 occurred, but after the change, in addition to these two events, the node If the event of 1 ⁇ 11 11 does not occur, the event of node 1 ⁇ ! 10 03 does not occur.
  • FIG. 5 is a diagram showing an example of the existing test information 92 and corresponds to FIG. 3 described above.
  • the existing test information 92 is composed of multiple records.
  • Each record of the existing test information 92 has a field of a test case, a safety function, and a failure entry field.
  • Each record stores information about the test case (hereinafter referred to as “target test case”) specified by the information stored in the “test case mouth” field.
  • the identifier of the target test case is stored in the field of "test case mouth".
  • the field of "Safety function mouth” stores an identifier that identifies the safety function to be tested in the target test case.
  • the field of "fault insertion point” stores the identifier of the node corresponding to the fault event generated in the target test case.
  • test case shows that the fault event corresponding to node N 1 0 4 and node 1 ⁇ 1 108 is generated.
  • FIG. 6 is a diagram showing an example of new test information 93, which corresponds to FIG. 3 described above.
  • the structure of the new test information 93 is the same as that of the existing test information 92, so the description is omitted.
  • FIG. 7 is a flow chart showing the overall processing of the arithmetic unit 1 in the first embodiment.
  • the arithmetic unit 1 receives a configuration change for an existing faulty tree from the outside via the interface 8, it starts the process shown in FIG.
  • the process shown in Fig. 7 may be started when a command to start the process is received from the outside with the configuration of the old and new fault trees and the existing test information 92 stored in the storage unit 9 in advance.
  • the storage unit 9 stores the node information 91 and the existing test information 92.
  • pass flags are individually set for all the nodes constituting the fault tree and used for the calculation.
  • the pass flag is a variable that takes two values, true and false, and is used only in the flow chart described below.
  • the information of the passage flag is stored in [1/8/1/4].
  • the safety function identification unit 11 of the arithmetic unit 1 first refers to the node information 91 and identifies the safety function affected by the change in the configuration of the faulty tree (3701).
  • the affecting safety function is the safety function associated with all the nodes that pass through when changing in order from the place where the change was made to the highest node.
  • the nodes N 1 0 3 and N 1 0 1 exist when descending from the added fault tree toward the top node.
  • the node ! ⁇ 1 1 0 1 is the safety function I port. ⁇ 02020/175060 11 ⁇ (:171? 2020/004324
  • the arithmetic unit 1 refers to the existing test information 92 in the storage unit 106 and identifies the node set at the fault injection location.
  • nodes N 104, N 106, N 08, and node 1 ⁇ ! 109 are specified as the nodes set in the failure location.
  • the arithmetic unit 1 sequentially selects all the safety functions specified in 3701 as “target safety functions”, and executes the processing existing between 3703 and 3708, that is, 3704 to 3707. For example, if the safety functions identified in 3701 are 37 and 38, first execute 3704 to 3707 by setting the target safety function to 37, then set the target safety function to 3 and set 370 4 to 3707. Execute. In the example shown in FIG. 3, since the safety function specified in 3701 is only 32, 3704 to 3707 are executed only once.
  • the processing of 3704 to 3707 is as follows. First, false is set in the transit flags of all nodes (3704). Next, the new test node identification unit 12 identifies a node to be newly tested, that is, a new test node ⁇ ! 05). Details of the 3705 will be described later with reference to FIG. Next, the retest node identification unit 13 identifies the node to be retested, that is, the retest node, from the nodes tested in the past (3706). Details of the 3706 will be described later with reference to FIG.
  • the arithmetic unit 1 creates a test case in which the nodes identified by 3705 and 3706 are set as the failure injection points (3707).
  • the specific operation of the 3707 will be described later.
  • the above is the processing contents of 3704 to 3707.
  • the arithmetic unit 1 outputs the test case created in 3707 (3709) and ends the processing shown in FIG.
  • FIG. 8 is a flow chart showing the processing of the new test node identification unit 12 and a flow chart showing the details of 3705 in FIG. First a new test no ⁇ 02020/175060 12 ⁇ (:171?2020/004324
  • the de-identifying unit 12 identifies the top node related to the change in the failure tree (3801).
  • the top node related to the change is node 1 ⁇ ! 1 1 1. is there . If not only node 1 ⁇ ! 1 1 1 ⁇ 1 ⁇ 1 1 1 3 but also node 1 ⁇ 1 1 0 8 was added due to changes, node 1 ⁇ 1 1 0 8 and Node 1 ⁇ 1 1 1 1 is identified.
  • the new test node specifying unit 12 executes the processes of 380 3 and 380 4 by using all the highest-rank nodes specified in 380 1 as target nodes.
  • the new test node identification unit 12 executes new core processing to identify the node that is the target of the new test. Details of 380 3 will be described later with reference to FIG.
  • the new test node identification unit 12 records the list output in 380 3.
  • the list output in 380 6 is used in 370 in FIG.
  • FIG. 9 is a flow chart showing the novel core treatment, and is a flow chart showing the details of 380 3 in FIG.
  • the node specified in 380 1 in FIG. 8 is set as the “target node” and executed.
  • the new test node identification unit 12 first sets the passage flag of the target node to "true”.
  • the new test node identification unit 12 determines whether or not the target node is the end node (3902).
  • the terminal node is a node that does not have a gate below.
  • the new test node identification unit 12 determines that the target node is a terminal node, it creates and outputs a list with only the target node as an element (3903), and ends the processing shown in Fig. 9. To do.
  • the new test node identifying unit 1 2 determines that the target node is not the end node, the process proceeds to 390 6.
  • the new test node identification unit 1 2 determines that the lower gate of the target node is ⁇ 02020/175060 13 ⁇ (: 171-12020/004324
  • the new test node identification part 1 2 is 39 1
  • nodes lower than the target node are sequentially treated as “loop target” and the processing of 39 1 2 is executed.
  • node 1 ⁇ 11 02 is the processing target in the example shown in Fig. 3
  • node 1 ⁇ 11 04 is the loop target and 39 1 2 is executed
  • node 1 ⁇ ! Execute 1 2 and finally execute 39 1 2 with node 1 ⁇ 11 08 as the loop target.
  • the new test node identifying unit 12 executes the new core processing shown in FIG. 9 with the loop target as the target node. That is, 39 1 2 is a recursive call. For example, if 39 1 2 is executed with node 1 ⁇ 11 04 as the loop target in the above example, the new core processing shown in Fig. 9 is executed with node 1 ⁇ 11 04 as the target node. The new test node identifying unit 12 advances to 39 1 4 when 39 1 2 is executed with all lower nodes of the target node as loop targets.
  • the new test node identification unit 12 creates a list that combines the lists output by the process of 39 1 2. For example, as mentioned above, if the target node is 1 ⁇ 11 02, the loop target is nodes 1 ⁇ 11 04, N 1 05, and 1 ⁇ 11 08. The list that is output when each of these three performs new core processing as the target node is 102, N 104, and 1 ⁇ 11 08. Therefore, in 39 1 4 as a list combining these, 1 ⁇ 11 02, 1 ⁇ 11 04, N 1 08, (N 1 02, N 1 04 ⁇ ,(N 1 02, N 1 08 ⁇ , ⁇
  • the new test node identification unit 1 2 is 392 1 In 924, all nodes below the target node are sequentially marked as “loop target” in 3922 and 39. ⁇ 02020/175060 14 ⁇ (: 171?2020/004324
  • 39 1 The process executed in #3 and the process executed in #3921 to 3924 are similar but the details are different. That is, in 39 1 1 to 39 1 5, the lists output by executing the new core processing in 39 1 2 by recursive processing are not output as they are, but output in combination. On the other hand 392 1 At 924, the new core processing is executed at 3922 by recursive processing, and the output list is output as it is.
  • 39 1 1 to 39 1 5 and 392 1 to 3924 call The list output in 3803 in Fig. 8 as follows. That is, 39 1 1 to 39 1 5: 1 ⁇ 11 02, N 1 04, N 1 08, (N 1 02, N 1 04 ⁇ ,(N 1 02, N 1 0
  • FIG. 10 is a flow chart showing the processing of the retest node identification unit 13 and a flow chart showing the details of 3706 in FIG.
  • the configuration shown in Fig. 10 is used, except for 31 003. Correspond to each reason.
  • the retest node identification unit 13 executes the retest core processing for identifying the node to be retested. Details of 31 003 will be described later with reference to FIG.
  • FIG. 11 is a flow chart showing the reprocessing core treatment.
  • the retest node identification unit 13 first determines whether or not the target node is the highest node in the fault tree (31 01 1). When the retest node identification unit 13 determines that the target node is the top node, the process shown in Fig. 9 ends, and when it determines that the target node is not the top node, it returns to 31 0 1 2. move on.
  • the retest node identification unit 13 determines whether or not the upper gate of the target node is 80 gates, and if it is determined that the upper gate is 80 gates, 31 02 Proceed to 1 and proceed to 31 01 3 if the upper gate is judged to be ⁇ gate. In 31 01 3, the retest node identifying unit 13 sets the passage flag of the node one step higher than the target node to true, and proceeds to 31 01 4. For example, if the target node is node 1 ⁇ 11 07 shown in Fig. 3, the transit flag of node 1 ⁇ 11 03 is set to true in 31 01 3.
  • the retest node identification unit 13 determines that the node one level higher than the target node
  • the safety function check box is the target safety function, that is, one of the safety functions specified in 3701 of Fig. 7, and it is determined whether or not the safety functions are selected one by one in order.
  • the process shown in Fig. 11 ends. If the retest node identification unit 13 determines that the safety function port of the node one level above the target node does not match the target safety function, it sets the target node to the node one level higher than the current target node. Change and return to 31 01 2.
  • the target node is the node ! ⁇ 11 07 shown in Fig. 3, 31 01 3 ⁇ 02020/175060 16 ⁇ (:171?2020/004324
  • the retest node identification unit 13 In step 3, all nodes under 80 gates, which are the upper gates of the target node, are sequentially set as “loop nodes” and the processes of 3 1 0 2 2 to 3 1 0 2 9 are executed. In 3 1 0 2 2, the re-test node identifying unit 13 determines whether or not the pass flag of the loop node is false, and when it is determined that the pass flag of the loop node is false, 3 1 0 2 When it is judged that the passage flag of the loop node is not false, that is, it is true, the procedure proceeds to 3 1 0 3 0. In 3 1 0 2 3, the retest node identifying unit 1 3 sets the passage flag of the loop node to true and proceeds to 3 1 0 2 4.
  • the retest node identification unit 1 3 determines whether or not the loop node has been tested, that is, it is set as the fault insertion location in any test case of the existing test information 9 2. Determine whether or not If the retest node identification unit 13 determines that the loop node is set at the fault injection location in any of the test cases of the existing test information 92, the retest node identification unit 13 proceeds to 3 10 25. If the re-test node identification unit 13 determines that the loop node is not set as the fault-insertion location in any of the test cases of the existing test information 92, the re-test node identification unit 13 proceeds to 3 10 26.
  • the retest node identifying unit 13 selects the loop node as the test target, and proceeds to 3 1 0 2 9.
  • the retest node identification unit 13 determines whether the lower gate of the loop node is 80 gates. When the re-test node identification unit 13 determines that the lower gate of the loop node is 8 gates, the re-test node identification unit 13 proceeds to 3 1 0 30 and the lower gate of the loop node is not 80 gates, that is, 0 gates. If yes, go to 3 1 0 2 7. ⁇ 02020/175060 17 ⁇ (: 171?2020/004324
  • the retest node identifying unit 13 executes the determination process shown in FIG. 13 using all nodes below the ⁇ gates, which are lower gates of the loop node, as evaluation nodes in order. For example, in the example shown in Figure 3, if the loop node is node 1 07, the lower gate of node 1 ⁇ 1 1 0 7 is gate ⁇ 15 so node N 1 0 9 and node N 1 1 0 The decision process shown in Fig. 13 is executed as an evaluation node. As will be described later in detail, in this determination process, the count number and the target node list are output. In the following 3 1 0 2 8, the retest node identification unit 1 3 selects the target node list with the minimum count number in the decision processing executed in 3 1 0 2 7 as the test target, and sets it to 3 1 0 2 9. move on.
  • FIG. 12 is a diagram showing an example of the count number and the target node list. If 3
  • nodes In 1 0 2 7, there are 4 nodes with 0 gates or less in total, and when the output of each is as shown in Fig. 12 3 1 0 2 9 has the smallest count number.
  • the list, node 201, is selected for testing.
  • the retest node identifying unit 13 outputs the test targets as one list.
  • the retest node identification unit 13 executes the processes of 3 1 0 2 2 to 3 1 0 2 9 with all nodes under 80 gates, which are the upper gates of the target node, as loop nodes, the process shown in Fig. 11 is executed. To finish.
  • FIG. 13 is a flow chart showing the determination process, and is a flow chart showing the details of 310 2 7 in FIG.
  • the retest node identification unit 13 first initializes the target node list to 1 ⁇ 1 II !_ !_, that is, the blank state by setting the number of counts to zero (3 1 1 0 1). Next, the retest node identification unit 13 determines whether the evaluation node has been tested, that is, whether the test node in any of the existing test information 92 has been set as the failure insertion location. .. When the retest node identification unit 13 determines that the evaluation node is set at the fault injection location in any of the test cases of the existing test information 92, the retest node identification unit 13 proceeds to 3 1 1 0 3. The retest node identification unit 1 3 determines that the evaluation node is one of the existing test information 9 2. ⁇ 02020/175060 18 ⁇ (:171? 2020/004324
  • the retest node identification unit 13 sets the count number to "1", sets the evaluation node in the target node list, and proceeds to 31 1 3 1.
  • the retest node identification unit 13 outputs the set count number and target node list, and ends the processing shown in Fig. 13.
  • the retest node identifying unit 13 determines whether or not the lower gate of the evaluation node is 80 gates, and when it is determined that the lower gate is 80 gate, 31 1 Proceed to 1 1 and proceed to 31 1 2 1 if it is judged that the lower gate is a gate.
  • the retest node identification unit 13 returns 31 1 1 In 1 1 4, all nodes below the evaluation node are sequentially treated as “loop targets” and the processing in 3 1 1 1 2 is executed.
  • the retest node identification unit 13 executes the decision process shown in Fig. 13 with the loop target as the evaluation node. That is, 31 1 1 2 is a recall call.
  • the retest node identifying unit 13 temporarily records the count number and the target node list output by executing 31 1 1 2.
  • the retest node identification unit 13 executes 31 1 1 2 and 31 1 1 3 with all the lower nodes of the evaluation node as loop targets, and proceeds to 31 1 1 5.
  • the retest node identification unit 13 sets the count number to the total of the count numbers recorded in 31 1 1 3 and sets the target node list to all the record numbers in 31 1 1 3. Set it in the node list and proceed to 31 1 3 1. If the count number recorded in 31 1 1 3 and the target node list are as shown in Fig. 12, the count number is set to "8", which is the total of 1, 2, 2 and 3 in 31 1 15 and the target node list is set.
  • the node list is node 201 Set to 208.
  • the retest node identifying unit 13 sequentially executes the process of 31 1 22 by setting all nodes lower than the evaluation node as “loop targets” in order.
  • 31 1 2 2 The retest node identification unit 1 3 evaluates the loop target. ⁇ 02020/175060 19 ⁇ (:171?2020/004324
  • the decision process shown in Fig. 13 is executed as a valence node. That is, 3 1 1 2 2 is a recall call.
  • the retest node identification unit 13 temporarily records the count number and target node list output by executing 3 1 1 2 2.
  • the retest node identification unit 13 executes 3 1 1 2 2 and 3 1 1 2 3 with all the lower nodes of the evaluation node as loop targets, and proceeds to 3 1 1 2 5.
  • the retest node identifying unit 13 sets the count number to the minimum value of the count numbers recorded in 3 1 1 1 3 and sets the target node list to the first force number. Set to the corresponding node list and proceed to 3 1 1 3 1. If there are multiple minimum counts, the node list set in the target node list may be any of the node lists corresponding to the minimum count. This is because the minimum number of counts is selected to reduce the amount of test calculation, so any selection of the target node does not affect the test calculation amount.
  • 3 1 1 2 5 A specific example of 3 1 1 2 5 will be described. If the count number and target node list recorded in 3 1 1 2 3 are as shown in Fig. 12, set the minimum force number "1" in 3 1 1 2 5 and set the target node list to the count number. Set to node N 2 0 1 where is “1”. The above is the explanation of the processing shown in FIG.
  • the arithmetic unit 1 has a plurality of nodes, and at least one of the plurality of nodes is associated with a safety function.For the fault tree, the configuration of the fault tree before the change and the fault tree after the change And the storage unit 9 that stores the node information 91 that indicates the nodes that have been tested in the past for each safety function, and the safety function that identifies the safety function affected by the change based on the information about the change in the failure tree.
  • the safety function specifying unit 11 changes the safety function associated with each of all the nodes that pass when the node added by the change to the highest node of the failure tree passes. It is specified as a safety function affected by.
  • the retest node identification unit 13 sets the highest node among the nodes added by the change as the target node, and the target node is the highest node in the failure tree after the change by the change. If it is not added to the retest node (3 1 0 1 1 : ⁇ mi 3 in Figure 11)
  • the retest node identification unit 13 causes the event of each node connected to the 80 gate to occur. Add a node under 80 gates that has been tested in the past to the retest node (3 1 0 1 2 in Figure 11: 3 3, 3 1 0 2 1 1 0 3 0)
  • the new test node identification unit 12 sets the highest node among the nodes added by the change as the target node, and if the target node has no lower node, sets the target node to the new test node. (3 9 0 2 : ⁇ mi 3, 3 9 0 3 in Fig. 9), and if the target node has lower nodes, the target node is not added to the new test node (3 9 0 2 :N 0, 3960 or later).
  • the new test node identification unit 12 connects to the 80 gate. Add the following nodes to the new test node so that the events of all the generated nodes will occur (3 9 0 6 : ⁇ 3,
  • the nodes and gates that make up the fault tree are The information is stored in the node information 91, and the identifier of the safety function corresponding to each node is also stored in the node information 91.
  • the gate information may be stored individually in the storage unit 9 without including the gate information in the node information 91. Also, information on safety functions need not be included in the node information 91.
  • the program for operating the arithmetic unit 1 does not have to be stored in the ROM in advance, and may be read from the outside as follows.
  • Figure 14 shows how the program is read from outside.
  • the program may be supplied to the arithmetic unit 1 by setting a recording medium 904 such as a CD-ROM storing a program on the arithmetic unit 1 or by a method of passing through a communication line 901 such as a network. It may be read into the arithmetic unit 1.
  • the program is stored in the storage device 903 of the server 902 connected to the communication line.
  • the server 902 reads the program information using the storage device 903 and sends it to the arithmetic unit 1 via the communication line 901. That is, the program is transmitted as a data signal via the carrier wave and the communication line 901.
  • the program for operating the arithmetic unit 1 can be supplied as a computer readable computer program product in various forms such as a recording medium or a data signal (carrier wave).
  • Arithmetic unit 1 is realized by an FPGA (Field Programmable Gate Array), which is a rewritable logic circuit instead of the combination of CPU 2, ROM3, and RAM4, and an ASIC (Application Specific Integrated Circuit), which is an integrated circuit for specific applications. May be done. Further, the arithmetic unit 1 may be realized by a combination of different configurations, for example, a combination of C PU, ROM, RAM and F PGA, instead of a combination of C PU 2, ROM 3, and RAM 4.
  • FPGA Field Programmable Gate Array
  • ASIC Application Specific Integrated Circuit
  • a second embodiment of the arithmetic unit will be described with reference to FIGS.
  • the same components as those in the first embodiment are designated by the same reference numerals, and the differences are mainly described.
  • the points that are not particularly described are the same as those in the first embodiment.
  • the part that requires a new test is specified, and the part that has been tested is the target of the regression test. Identify test cases that The same numbers are given to the same configurations as the first embodiment, and the description is omitted.
  • the present embodiment not only the fault injection test, but also the test performed during development, for example, the comprehensive test, the integration test, and the unit test.
  • the hardware configuration of the arithmetic unit 18 according to the second embodiment is the same as that of the first embodiment, and therefore its explanation is omitted.
  • the operation of the arithmetic unit 18 in the second embodiment is partially different from that in the first embodiment.
  • the memory 9 stores the existing test information 92 and the new test information 93 instead of the existing test information 92 and the new test information 93.
  • the existing test information 92 in the present embodiment stores information on the test type in addition to the information of the existing test information 92 in the first embodiment.
  • the structure of the new test information 93 is also the same.
  • FIG. 15 is a diagram showing an example of existing test information 92 8 in the second embodiment.
  • Each record of the existing test information 92 8 has a field of test type in addition to the field of the existing test information 92 in the first embodiment. Also, since the type of test is not limited to the fault insertion test, the field of "fault insertion point" is renamed to "target node”.
  • FIG. 16 is a flow chart showing the overall processing of the arithmetic unit 1 according to the second embodiment.
  • FIG. 16 is obtained by deleting 3770 from FIG. 7 in the first embodiment and adding 3150 and 3150. Here, only the added 3150 and 3150 will be described.
  • the computing unit 18 uses the new test nodes for the nodes identified in 3750 and 3706. ⁇ 02020/175060 23 ⁇ (: 171?2020/004324
  • the next test case is selected. .. That is, since node 301 is the target node in both test cases 011 and 012, both test cases 011 and 012 are selected. It However, if the operation type has limited the test type to integration test in advance, only the test case note 11 is selected.
  • the arithmetic unit 18 specifies the node for which a new test case should be created from the nodes specified in 3705.
  • the node for which the test case is not set in the node information is the node that creates the test case.
  • the test type of the new test case is not particularly limited, but it can be, for example, a fault insertion test.
  • the verification port may be recorded.
  • One unit of the test case was an identification number for identifying the test content, while the verification unit was an identification number for identifying the test results and verification records in past verification activities.
  • the method of identifying the node when using the verification gateway is the same as the method of identifying the node that should create the test case, and the information to be referenced is different. In other words, create a list to identify the nodes that need revalidation.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

A computation device is provided with: a storage unit for storing, for a fault tree having a plurality of nodes, at least one of the plurality of nodes being related to a safety function, a condiguration of the fault tree before a change, a configuration of the fault tree after the change, and information indicating a node tested in a past for each safety function; a safety function specifying unit for specifying, on the basis of information relating to the change of the fault tree, a safety function affected by the change; a re-test node specifying unit for specifying, on the basis of the configuration of the fault tree after the change and the node tested in the past, a re-test node, which is a node for testing again the safety function specified by the specifying unit, the node being tested in the past; and a new test node specifying unit for specifying, on the basis of the configuration of the fault tree after the change and the node tested in the past, a new test node, which is a node to be tested newly.

Description

明 細 書 Specification
発明の名称 : 演算装置、 記録媒体 Title of invention: arithmetic unit, recording medium
技術分野 Technical field
[0001 ] 本発明は、 演算装置、 および記録媒体に関する。 The present invention relates to an arithmetic device and a recording medium.
背景技術 Background technology
[0002] 近年、 自動車、 建設機械、 鉄道などの分野において機能安全開発が取り入 れられつつある。 機能安全とは、 製品に安全機能をつけることにより、 事故 に至るリスクを許容できるレベルまで軽減するという安全性の考え方である 。 機能安全は丨 S Oや I E Cによって規格化されており、 人命に関わる製品 において規格準拠が開発要件として求められることが増えてきた。 [0002] In recent years, functional safety development is being adopted in fields such as automobiles, construction machinery, and railways. Functional safety is the concept of safety in which the risk of accidents is reduced to an acceptable level by adding safety functions to products. Functional safety is standardized by S.O. and I.E.C., and there is an increasing demand for conformity with standards as a development requirement for products related to human life.
[0003] 機能安全開発においては、 発生する可能性のある事故およびその要因の識 別が必須である。 事故およびその要因の識別には、 リスク分析手法が使われ る。 リスク分析手法には、 発生する可能性のある事故を入力としてそれに至 る要因を識別するトップダウン分析手法と、 システム内に起こりうる故障を 入力としてそれが引き起こす事故を識別するボトムアップ分析手法がある。 機能安全開発では通常、 トップダウン分析手法とボトムアップ分析手法の両 方を組み合わせて使う。 代表的なトップダウン分析手法は故障木分析 (FTA : F au lt Tree Ana lys i s) である。 代表的なボトムアップ分析手法は FMEA (Fa i lure Mode and Effect Ana lys i s) である。 [0003] In functional safety development, it is essential to identify accidents that may occur and their factors. Risk analysis techniques are used to identify accidents and their causes. Risk analysis methods include a top-down analysis method that takes an accident that may occur as an input and identifies the factors leading to it, and a bottom-up analysis method that identifies an accident that may occur due to a possible failure in the system as an input. is there. Functional safety development typically uses a combination of both top-down and bottom-up analysis methods. A typical top-down analysis method is Fault Tree Analysis (FTA). A typical bottom-up analysis method is FMEA (Fa i lure Mode and Effect Analysis).
[0004] 故障木について、 故障木の生成を自動化する手法が存在する。 特許文献 1 には H A Z〇 Pワークシートからハザード発生シナリオに関する情報を抽出 して加工し、 該情報を起因事象、 中間事象、 防御手段、 ハザード及び影響度 という項目に記録し、 かつ影響度をキーとして降順ソートしたハザードー覧 を作成するためのハザード _覧作成手段と、 前記ハザード _覧に記録された 対象となるハザードに対して、 起因事象ごとに、 防御手段があるかどうかを 考慮せずに起因事象から、 トップ事象となるハザードまでの事象間の因果関 係を論理構造として構築し、 その事象間の因果関係の論理構造について、 防 \¥02020/175060 2 卩(:171?2020/004324 [0004] Regarding a fault tree, there is a method of automating the generation of the fault tree. In Patent Document 1, information on a hazard occurrence scenario is extracted from the HAZ○P worksheet and processed, and the information is recorded in the items of initiating event, intermediate event, protective measure, hazard and impact level, and the impact level is the key. as a hazard _ list creating means for creating a hazard over list was descending sort, against the hazard of interest recorded in the hazard _ list, each initiating event, without regard to whether there is a defense A causal relationship between the events from the initiating event to the hazard that is the top event is constructed as a logical structure, and the logical structure of the causal relationship between the events is prevented. \¥02020/175060 2 (:171?2020/004324
御手段がある場合の事象に対して、 該事象と、 その防御手段機能失敗事象を 八 N 0ゲートで結合し、 その防御手段機能失敗事象に対して、 防御手段の種 類に応じて、 予め登録された防御機能失敗に関する基本事象を〇[¾ゲ_卜で 結合し、 その〇[¾ゲ_卜を防御手段機能失敗事象と結び、 前記対象となるハ ザードに複数の異なる起因事象がある場合、 各起因事象に対応する事象間の 因果関係の論理構造に存在する同じ中間事象を同定し、 該中間事象を発生さ せる複数の原因事象 (下位) を〇[¾ゲ_卜で結合し、 その〇[¾ゲ_卜を該中 間事象と結び、 前記対象となるハザ _ドに関する事象と事象との間の因果関 係の論理構造をフォールト ツリーで表記することによって、 ハザードを卜 ップ事象としたフォールト ·ツリーを作成し、 該フォールト ·ツリーをグラ フィックで表現するためのフォールト ·ツリー作成手段と、 前記フォールト -ツリーにおける起因事象と基本事象に、 予め登録された故障発生頻度を与 えることで、 対象となるハザードの発生頻度を算出するためのハザード発生 頻度算出手段と、 を備えることを特徴とするプロセスリスクアセスメント支 援装置が開示されている。 For the event when there is a control means, the event and the defense means function failure event are combined with 8 N 0 gates, and the defense means function failure event is connected in advance according to the type of the protection means. The basic events related to the failure of the registered defense function are combined with 〇[¾ge_rule, and the 〇[¾ge_rule is linked to the defense means function failure event, and the target hazard has multiple different cause events. In this case, the same intermediate event existing in the logical structure of the causal relationship between the events corresponding to each initiating event is identified, and a plurality of causal events (lower levels) that generate the intermediate event are combined with 〇[¾ge_rule]. , 〇 [¾ge_rule is connected to the intermediate event, and the hazard is expressed by expressing the logical structure of the causal relationship between the event related to the target hazard and the event with a fault tree. A fault tree as a fault event, and a fault tree creating means for expressing the fault tree graphically, and a fault occurrence frequency registered in advance for the cause event and basic event in the fault-tree. Disclosed is a process risk assessment support apparatus, characterized by comprising: a hazard occurrence frequency calculation means for calculating the occurrence frequency of a target hazard.
[0005] 機能安全開発において、 設計に変更があった場合には、 変更の影響範囲の 特定とその変更が安全性に対して影響するか否かを特定することが必須であ る。 そのため、 設計変更時には必ずリスク分析結果の修正および更新が行わ れる。 リスク分析の更新が製品に及ぼす影響も同様に分析しなければならず 、 影響が及ぶと思われる部分は再試験を実施する必要がある。 [0005] In functional safety development, when there is a change in design, it is essential to identify the scope of impact of the change and whether or not the change affects safety. Therefore, the risk analysis results are always corrected and updated when the design is changed. The impact of updates to the risk analysis on the product must be analyzed as well, and any potential impact should be retested.
[0006] 再設計時あるいは設計変更時を想定すると、 当初の設計に対して変更が行 われると、 機能安全開発ではリスク分析の再検討および変更に伴う修正が行 われる。 さらに、 変更が及ぼす影響を解析し、 影響する箇所は再試験および 再検証を実施する必要がある。 再試験および再検証が必要な箇所は次のよう に特定される。 まず、 リスク分析と要求との間のトレーサビリティ情報を元 に、 変更箇所が影響する要求や機能を特定する。 次に、 要求や機能からトレ —サピリティで紐付けられたテストケースを取得し、 再試験が必要か判断し 、 必要であるならば再試験を実施する。 大規模なシステムあるいは複雑なシ \¥02020/175060 3 卩(:171?2020/004324 [0006] Assuming the time of redesign or design change, when a change is made to the original design, the functional safety development makes a review of the risk analysis and a correction accompanying the change. In addition, it is necessary to analyze the effect of changes and retest and revalidate the affected areas. Areas requiring retesting and revalidation are identified as follows. First, based on the traceability information between risk analysis and requirements, the requirements and functions affected by the changes are identified. Next, the test cases linked by traceability are acquired from the requirements and functions, it is judged whether retest is necessary, and if necessary, retest is performed. Large systems or complex systems \¥02020/175060 3 卩(: 171?2020/004324
ステムの場合、 再試験が必要なテストケースの検討および実施には多大なエ 数がかかる。 In the case of a system, the examination and implementation of test cases that require re-testing will take a great deal of time.
先行技術文献 Prior art documents
特許文献 Patent literature
[0007] 特許文献 1 : 日本国特開 2 0 1 2— 9 8 8 2 0号公報 [0007] Patent Document 1: Japanese Patent Laid-Open No. 2 0 1 2 — 9 8 8 20
発明の概要 Summary of the invention
発明が解決しようとする課題 Problems to be Solved by the Invention
[0008] 特許文献 1 に記載されている発明では、 故障木の変更に伴い全テストケー スの検討が必要である。 [0008] In the invention described in Patent Document 1, it is necessary to consider all test cases with the change of the fault tree.
課題を解決するための手段 Means for solving the problem
[0009] 本発明の第 1の態様による演算装置は、 複数のノードを有し、 前記複数の ノードのうち少なくとも 1つのノードは安全機能と関連付けられている故障 木について、 変更前の前記故障木の構成、 変更後の前記故障木の構成、 およ び前記安全機能ごとに過去にテストされた前記ノードを示す情報を格納する 記憶部と、 前記故障木の変更に関する情報に基づき前記変更の影響を受ける 前記安全機能を特定する安全機能特定部と、 前記変更後の前記故障木の構成 および過去にテストされた前記ノードに基づき、 前記安全機能特定部により 特定された前記安全機能を再度テストするための前記ノードであって、 過去 にテストされた前記ノードである再テストノードを特定する再テストノード 特定部と、 前記変更後の前記故障木の構成および過去にテストされた前記ノ —ドに基づき、 新たにテスト対象となるノードである新規テストノードを特 定する新規テストノード特定部とを備える。 [0009] The arithmetic unit according to the first aspect of the present invention has a plurality of nodes, and at least one node of the plurality of nodes is a fault tree associated with a safety function. Configuration, the configuration of the fault tree after the change, and a storage unit that stores information indicating the nodes that have been tested in the past for each safety function, and the effect of the change based on the information about the change of the fault tree. The safety function identifying unit that identifies the safety function, and the safety function identified by the safety function identifying unit is tested again based on the configuration of the changed failure tree and the node that has been tested in the past. A retest node identifying unit that identifies a retest node that is the node that has been tested in the past, a configuration of the fault tree after the change, and a node that has been tested in the past. Based on this, a new test node specifying unit that specifies a new test node that is a new test target node is provided.
本発明の第 2の態様による記録媒体は、 複数のノードを有し、 前記複数の ノードのうち少なくとも 1つのノードは安全機能と関連付けられている故障 木について、 変更前の前記故障木の構成、 変更後の前記故障木の構成、 およ び前記安全機能ごとに過去にテストされた前記ノードを示す情報を格納する 記憶部を備えるコンピュータに、 前記故障木の変更に関する情報に基づき前 \¥02020/175060 4 卩(:171?2020/004324 A recording medium according to a second aspect of the present invention has a plurality of nodes, at least one node of the plurality of nodes is a fault tree associated with a safety function, the configuration of the fault tree before change, A computer having a storage unit for storing the configuration of the fault tree after the change and information indicating the nodes tested in the past for each of the safety functions, based on the information regarding the change of the fault tree. \¥02020/175060 4 卩 (: 171?2020/004324
記変更の影響を受ける前記安全機能を特定することと、 前記変更後の前記故 障木の構成および過去にテストされた前記ノードに基づき、 前記特定された 前記安全機能を再度テストするための前記ノードであって、 過去にテストさ れた前記ノードである再テストノードを特定することと、 前記変更後の前記 故障木の構成および過去にテストされた前記ノードに基づき、 新たにテスト 対象となるノードである新規テストノードを特定することとを実行させるた めのプログラムが記録され、 コンビユータ読み取り可能である。 Identifying the safety function affected by the change, and based on the configuration of the failure tree after the change and the node tested in the past, the safety function for re-testing the identified safety function. A retest node that is a node that has been tested in the past, and a new test target based on the configuration of the changed failure tree and the node that was tested in the past. A program for executing and identifying a new test node, which is a node, is recorded and is computer readable.
発明の効果 Effect of the invention
[0010] 本発明によれば、 故障木の変更に伴う必要なテストケースの数を削減でき る。 [0010] According to the present invention, it is possible to reduce the number of test cases required for changing a fault tree.
図面の簡単な説明 Brief description of the drawings
[001 1] [図 1]演算装置 1のハードウエア構成図 [001 1] [Fig. 1] Hardware configuration of arithmetic unit 1
[図 2]演算装置 1の機能構成図 [Figure 2] Functional configuration diagram of computing unit 1
[図 3]ノード情報 9 1 の一例を示す図 [Figure 3] Diagram showing an example of node information 91
[図 4]故障木の変更前後の一例を示す図 [Figure 4] Diagram showing an example before and after changing the fault tree
[図 5]既存テスト情報 9 2の一例を示す図 [Figure 5] Example of existing test information 92
[図 6]新規テスト情報 9 3の一例を示す図 [Figure 6] Example of new test information 93
[図 7]第 1の実施の形態における演算装置 1の全体処理を示すフローチヤート [FIG. 7] A flow chart showing the overall processing of the arithmetic unit 1 in the first embodiment.
[図 8]新規テストノード特定部 1 2の処理を示すフローチヤート [Figure 8] Flow chart showing the processing of the new test node identification unit 1 2
[図 9]新規中核処理を示すフローチヤート [Figure 9] Flow chart showing the new core processing
[図 10]再テストノード特定部 1 3の処理を示すフローチヤート [Figure 10] Flow chart showing the processing of the retest node identification unit 13
[図 1 1]再テスト中核処理を示すフローチヤート [Fig. 11] Flow chart showing core processing of retesting
[図 12]カウント数と対象ノードリストの一例を示す図 [Fig. 12] Diagram showing an example of the count number and target node list
[図 13]決定処理を示すフローチヤート [Figure 13] Flow chart showing the decision process
[図 14]変形例 2においてプログラムを外部から読み込む様子を示す図 [図 15]第 2の実施の形態における既存テスト情報 9 2八の一例を示す図 [図 16]第 2の実施の形態における演算装置 1 の全体処理を示すフローチヤ _卜 \¥02020/175060 5 卩(:171?2020/004324 [FIG. 14] A diagram showing how a program is read from the outside in Modification 2 [FIG. 15] A diagram showing an example of existing test information 92 8 in the second embodiment [FIG. 16] In the second embodiment Flowchart showing the overall processing of arithmetic unit 1 \¥02020/175060 5 卩 (: 171?2020/004324
発明を実施するための形態 MODE FOR CARRYING OUT THE INVENTION
[0012] —第 1の実施の形態一 [0012] — First Embodiment
以下、 図 1〜図 1 3を参照して、 演算装置の第 1の実施の形態を説明する 。 本実施の形態では、 故障テストとして故障挿入テストを行う。 故障挿入テ ストとは、 故障事象を発生させ、 安全機能が正常に作動することを試すテス 卜である。 The first embodiment of the arithmetic unit will be described below with reference to FIGS. 1 to 13. In this embodiment, a fault insertion test is performed as the fault test. The fault insertion test is a test that causes a fault event and tests that the safety function operates normally.
[0013] (ハードウェア構成) [0013] (Hardware configuration)
図 1は、 本発明に係る演算装置 1のハードウエア構成図である。 演算装置 1は、 中央演算処理装置である〇 II 2と、 不揮発性で読み出し専用の 〇 !\/! 3と、 揮発性で読み書き可能な [¾ !\/1 4と、 外部と情報を授受するインタ フェース 8と、 不揮発性で読み書き可能な記憶部 9とを備える。
Figure imgf000007_0001
はあらかじめプログラムが格納されている。 〇 11 2は、
Figure imgf000007_0002
に格納さ れているプログラムを 八 IV! 4に展開して実行することで後述する機能を実 現する。 FIG. 1 is a hardware configuration diagram of an arithmetic unit 1 according to the present invention. The processing unit 1 is the central processing unit 〇 II 2, the non-volatile and read-only 〇 !\/! 3 and the volatile readable/writable [¾ !\/1 4] Interface 8 and a non-volatile readable/writable storage unit 9.
Figure imgf000007_0001
The program is stored in advance. 〇 112 is
Figure imgf000007_0002
The functions described below are realized by expanding the program stored in 8 IV! 4 and executing it.
[0014] インタフェース 8は、 通信により外部と情報を授受する通信インタフェー ス、 または物理メディアを読み込み可能なインタフェースである。 通信イン タフェースとはたとえば、 丨 巳巳巳 8 0 2 . 3に対応する有線通信モジュー ル、 または無線 !_八 1\1や 4◦などに対応する無線通信モジュールである。 記 憶部 9はたとえばハードディスクドライブやフラッシュメモリである。 記憶 部 9には後述する情報があらかじめ格納される。 ただし記憶部 9に格納され る情報は、 インタフェース 8を介して外部から入力されてもよい。 [0014] The interface 8 is a communication interface for exchanging information with the outside through communication, or an interface capable of reading a physical medium. The communication interface is, for example, a wired communication module corresponding to 丨巳跳巳802.3 or a wireless communication module corresponding to wireless !_8 1\1 or 4°. The storage unit 9 is, for example, a hard disk drive or a flash memory. The storage unit 9 stores the information described later in advance. However, the information stored in the storage unit 9 may be input from the outside via the interface 8.
[0015] (機能構成) [0015] (Functional configuration)
図 2は、 演算装置 1の機能構成図である。 ただし図 2には記憶部 9に格納 される情報も示している。 演算装置 1はその機能として、 安全機能特定部 1 1 と、 新規テストノード特定部 1 2と、 再テストノード特定部 1 3とを備え る。 これらの機能は、 0 II 2が
Figure imgf000007_0003
に格納されるプログラムを実行す ることにより実現される。 記憶部 9には、 ノード情報 9 1 と、 既存テスト情 報 9 2と、 新規テスト情報 9 3とが格納される。 \¥02020/175060 6 卩(:171?2020/004324 FIG. 2 is a functional configuration diagram of the arithmetic unit 1. However, FIG. 2 also shows the information stored in the storage unit 9. The computing device 1 has, as its functions, a safety function specifying unit 11, a new test node specifying unit 12 and a retest node specifying unit 13. These features are 0 II 2
Figure imgf000007_0003
It is realized by executing the program stored in. The storage unit 9 stores node information 91, existing test information 92, and new test information 93. \¥02020/175060 6 卩(: 171-12020/004324
[0016] 安全機能特定部 1 1、 新規テストノード特定部 1 2、 および再テストノー ド特定部 1 3は、 記憶部 9に格納されているノード情報 9 1、 および既存テ スト情報 9 2を対象として演算を行い、 新規テスト情報 9 3を作成する。 す なわち図 2では記憶部 9には、 ノード情報 9 1、 既存テスト情報 9 2、 およ び新規テスト情報 9 3が格納されているが、 このうちノード情報 9 1 と既存 テスト情報 9 2があらかじめ作成されている情報であり、 新規テスト情報 9 3は新たに作成される情報である。 [0016] The safety function specifying unit 11, the new test node specifying unit 12 and the retest node specifying unit 13 store the node information 91 stored in the storage unit 9 and the existing test information 92. Perform calculation as the target and create new test information 93. That is, in FIG. 2, the storage unit 9 stores the node information 91, the existing test information 92, and the new test information 93, of which the node information 91 and the existing test information 92 are stored. Is the information that has been created in advance, and the new test information 93 is the information that is newly created.
[0017] 安全機能特定部 1 1は、 故障木の変更に関する情報に基づき変更の影響を 受ける安全機能を特定する。 新規テストノード特定部 1 2は、 安全機能特定 部 1 1 により特定された安全機能を再度テストするためのノードであって、 過去にテストされたノードである再テストノードを特定する。 新規テストノ -ド特定部 1 2は、 変更後の故障木の構成および過去にテストされたノード に基づき、 新規テストノードを特定する。 再テストノード特定部 1 3は、 新 たにテスト対象となるノードである新規テストノードを特定する。 再テスト ノード特定部 1 3は、 変更後の故障木の構成および過去にテストされたノー ドに基づき、 再テストノードを特定する。 The safety function identification unit 11 identifies the safety function affected by the change based on the information about the change in the failure tree. The new test node specifying unit 12 specifies a retest node that is a node that has been tested in the past, which is a node for testing the safety function specified by the safety function specifying unit 11 again. The new test node identifying unit 12 identifies a new test node based on the changed fault tree configuration and the nodes tested in the past. The retest node identification unit 13 identifies a new test node which is a node to be newly tested. The retest node identification unit 13 identifies the retest node based on the changed fault tree configuration and the nodes tested in the past.
[0018] 故障木は、 故障事象や異常事象、 セキュリティリスク事象など、 リスク事 象から構成される木構造である。 また、 その他のリスク分析手法で生成され る木構造も故障木に含む。 すなわち故障木は、 リスク事象を表現するノード から構成される木構造であればよい。 故障木は事象を表す複数のノードから 構成される。 [0018] The failure tree is a tree structure composed of risk events such as failure events, abnormal events, and security risk events. The fault tree also includes tree structures created by other risk analysis methods. That is, the fault tree may be a tree structure composed of nodes that represent risk events. The fault tree consists of multiple nodes that represent events.
[0019] ノード情報 9 1 には、 故障木を構成する各ノードの情報が格納される。 ノ [0019] The node information 91 stores information on each node that constitutes the failure tree. No
-ドの情報とは、 ノードごとの故障木における位置を特定可能な情報である 。 本実施の形態では、 ノード情報 9 1 にはさらに、 各ノードが対応する安全 機能の識別子も格納される。 ノード情報 9 1は人間が作成してもよいし、 既 知の自動処理により作成してもよい。 既存テスト情報 9 2は、 人間が作成し てもよいし、 既知の自動処理により作成してもよいし、 演算装置 1が過去に 作成したものであってもよい。 \¥02020/175060 7 卩(:171?2020/004324 -The information on the node is the information that can specify the position in the fault tree for each node. In the present embodiment, the node information 91 also stores the identifier of the safety function corresponding to each node. The node information 91 may be created by a human or may be created by a known automatic process. The existing test information 92 may be created by a human, may be created by a known automatic process, or may be created by the computing device 1 in the past. \¥02020/175060 7 卩(: 171?2020/004324
[0020] すなわち次のように新規テスト情報 9 3が既存テスト情報 9 2として扱わ れてもよい。 たとえばまずノード情報 9 1が更新され、 演算装置 1が新規テ スト情報 9 3を作成する。 そして、 作成した新規テスト情報 9 3に記載のテ ストが実行され、 さらにノード情報 9 1が再度更新された場合を想定する。 この場合に演算装置 1は、 従前に作成した新規テスト情報 9 3を既存テスト 情報 9 2として扱い、 改めて新規テスト情報 9 3を作成してもよい。 [0020] That is, the new test information 9 3 may be treated as the existing test information 9 2 as follows. For example, first, the node information 91 is updated, and the arithmetic unit 1 creates new test information 93. Then, it is assumed that the test described in the created new test information 93 is executed and the node information 91 is updated again. In this case, the arithmetic unit 1 may treat the new test information 9 3 previously created as the existing test information 9 2 and create new test information 9 3 again.
[0021 ] 既存テスト情報 9 2には、 過去に実行されたテストの内容が記載される。 [0021] The existing test information 92 describes the contents of the tests executed in the past.
既存テスト情報 9 2と新規テスト情報 9 3に格納される情報は同種である。 既存テスト情報 9 2と新規テスト情報 9 3は同一の記載フォーマツ トを採用 してもよいし、 記載フォーマツ トが異なってもよい。 The information stored in the existing test information 92 and the new test information 93 is of the same type. The existing test information 92 and the new test information 93 may use the same description format or different description formats.
[0022] (ノード情報) [0022] (Node information)
図 3は、 記憶部 9に格納されるノード情報 9 1の一例を示す図である。 た だし図 3はノード情報 9 1の例示に過ぎず、 情報の格納は表形式に限定され ない。 ノード情報 9 1は複数のレコードから構成され、 各レコードは、 ノー ド丨 口、 上位ゲート 丨 0、 下位ゲート 丨 0、 安全機能丨 口、 および新旧のフ イールドを有する。 各レコードにはノード丨 口のフイールドに格納される情 報により特定されるノード (以下、 「対象ノード」 と呼ぶ) に関する情報が 格納される。 なお図 3に示す例ではゲートの種類が記載されていないが、 図 3にゲートの種類の情報が含まれてもよいし、 ゲートの種類を示す情報のみ が記憶部 9に別途含まれてもよい。 FIG. 3 is a diagram showing an example of the node information 91 stored in the storage unit 9. However, FIG. 3 is merely an example of the node information 91, and the information storage is not limited to the tabular format. The node information 91 is composed of multiple records, and each record has a node gate, an upper gate 0, a lower gate 0, a safety function gate, and an old and new field. Each record stores information about the node specified by the information stored in the node field (hereinafter referred to as the “target node”). Although the type of gate is not shown in the example shown in FIG. 3, information about the type of gate may be included in FIG. 3, or only the information indicating the type of gate may be separately included in the storage unit 9. Good.
[0023] 「ノード丨 口」 のフイールドには、 対象ノードを識別する識別子が格納さ れる。 「上位ゲート 丨 口」 のフイールドには、 対象ノードの上位のゲートを 識別する識別子が格納される。 ただし上位のゲートが存在しない場合には、 存在しないことを示す記号、 たとえば 「一」 が格納される。 「下位ゲート 丨 口」 のフイールドには、 対象ノードの下位のゲートを識別する識別子が格納 される。 ただし下位のゲートが存在しない場合には、 存在しないことを示す 記号、 たとえば 「一」 が格納される。 [0023] In the "node entrance" field, an identifier for identifying the target node is stored. The “upper gate entrance” field stores an identifier that identifies the upper gate of the target node. However, when there is no upper gate, a symbol indicating that there is no such gate, for example, "1" is stored. The field of "lower gate entrance" stores an identifier for identifying the lower gate of the target node. However, when there is no subordinate gate, a symbol indicating that it does not exist, for example, "1" is stored.
[0024] 「安全機能丨 口」 のフイールドには、 対象ノードの事象に対する安全機能 \¥02020/175060 8 卩(:171?2020/004324 [0024] The field of "safety function" is the safety function for the event of the target node. \¥02020/175060 8 卩 (: 171?2020/004324
を識別する識別子が格納される。 ただし対象ノードの事象に対する安全機能 が存在しない場合はその旨を示す記号、 たとえば 「一」 が格納される。 また 「安全機能丨 口」 のフイールドには、 対象ノードの事象に対する安全機能を 識別する識別子の代わりに、 対象ノードの事象に対する安全要求、 安全要件 、 および設計情報のいずれかの識別子が格納されてもよい。 An identifier for identifying is stored. However, if there is no safety function for the event of the target node, a symbol indicating that fact, for example, "1" is stored. In addition, in the field of "safety function", instead of the identifier that identifies the safety function for the event of the target node, any one of the safety requirement, safety requirement, and design information for the event of the target node is stored. Good.
[0025] 「新旧」 のフイールドには、 対象ノードが既存のものであるか、 それとも 変更により追加削除されたものであるかを示す情報が格納される。 図 3に示 す例では変更により 3つのノードが追加されたことが示されている。 ただし 「新旧」 のフイールドは必須の構成ではなく、 変更の前後でそれぞれノード 情報 9 1が存在する場合には 「新旧」 のフイールドが備えられなくてもよい [0025] The "old" and "old" fields store information indicating whether the target node is an existing node or has been added or deleted due to a change. The example shown in Figure 3 shows that the change added three nodes. However, the "old" and "old" fields are not mandatory configurations, and the "old and new" fields may not be provided if there is node information 91 before and after the change.
[0026] (故障木の例) [0026] (Example of fault tree)
図 4は、 故障木の変更前後の一例を示す図であり、 前述の図 3に対応する 。 厳密には図 4は、 図 3に示す故障木の構成のみを視覚的に示した図である 〇 図 4に示す故障木は、 1\1 1 0 1から 1\1 1 1 3までの全 1 3個のノードと、 Figure 4 shows an example before and after the change of the fault tree, and corresponds to Figure 3 above. Strictly speaking, Fig. 4 is a diagram visually showing only the structure of the fault tree shown in Fig. 3 〇 The fault tree shown in Fig. 4 is from 1\1 1 0 1 to 1\1 1 1 3 1 3 nodes,
◦ 1 1から◦ 1 6までの全 6個のゲートとから構成される。 ゲート 1\1 1 0 1 が最上位のノードであり、 図示下方向にあるほど下位のノードである。 図 4 では、 変更前の故障木の構成を実線で示し、 変更により追加された故障木の 構成を破線で示す。 すなわち図 4に示す例の変更ではいずれにノードも削除 されていない。 ゲートは八 0ゲートと〇 ゲートの 2種類が含まれ、 図 4 に示す例ではその形状によりゲートの種類を示している。 図 4に示す例では ゲート〇 1 3のみが八 0ゲートであり、 それ以外の 5つのゲートは〇 [¾ゲ —卜である。 It consists of all 6 gates from ◦ 11 to ◦ 16. Gate 1\1 1 0 1 is the highest node, and the lower in the figure, the lower the node. In Fig. 4, the structure of the fault tree before the change is shown by the solid line, and the structure of the fault tree added by the change is shown by the broken line. That is, no node was deleted in the modification of the example shown in Fig. 4. There are two types of gates, 80 gates and O gates. In the example shown in Fig. 4, the type of gate indicates the type of gate. In the example shown in FIG. 4, only the gate 0 13 is 80 gates, and the other 5 gates are 0 gates.
[0027] 上位のノードは、 ゲートによって下位のノードと接続される。 〇[¾ゲ_卜 は、 下位ノードの事象のうちどれか 1つでも発生すれば上位ノードの事象が 発生することを意味する。 八 N 0ゲート 2 0 3は、 下位ノードの事象の全て が発生した際に、 上位ノードの事象が発生することを意味する。 たとえばゲ —卜〇 1 1は〇 ゲートなので、 ノード !\1 1 0 2およびノード !\1 1 0 3のい \¥02020/175060 9 卩(:171?2020/004324 [0027] The upper node is connected to the lower node by a gate. 〇[¾ge_] means that the event of the upper node will occur if any one of the events of the lower node occurs. Eight N 0 gates 203 means that when all of the events of the lower node occur, the events of the upper node occur. For example, the gate 〇 1 1 is a gate, so the node !\1 1 0 2 and node !\1 1 0 3 \¥02020/175060 9 ((171?2020/004324
ずれかの事象が発生すればノード 1\11 01の事象が発生する。 以下では、 下 位にゲートを有しないノードを 「末端ノード」 と呼び、 末端ノード以外のノ —ドを 「非末端ノード」 と呼ぶ。 図 4に示す例では、 ノード N 1 04、 N 1 06、 N 1 08、 N 1 09、 N 1 1 0、 N 1 1 2、 N 1 1 3が末端ノードで ある。 If any event occurs, the event of node 1\11 01 will occur. In the following, nodes that do not have a lower gate are called “terminal nodes”, and nodes other than the terminal nodes are called “non-terminal nodes”. In the example shown in FIG. 4, nodes N 104, N 106, N 108, N 109, N 110, N 1 12 and N 1 13 are end nodes.
[0028] また以下では、 ゲートを挟んで上下関係にあるノード同士を 「一段上位の ノード」 と呼ぶ。 たとえば図 4に示す例において、 ノード N 1 1 0の一段上 位のノードはノード 1 07である。 [0028] In the following, nodes that are vertically related to each other with the gate interposed are referred to as "one-stage higher node". For example, in the example shown in FIG. 4, the node one level above the node N 110 is node 107.
[0029] 図 4に示す例では、 変更によりゲート〇 1 3の下にノード N 1 1 1、 ゲー 卜◦ 1 6、 ノード 1\11 1 2、 およびノード 1\11 1 3が追加されている。 ゲー 卜〇 1 3が八 〇ノードであることは変更がない。 変更前は、 ノード 1\11 0 6およびノ _ド 1\11 07の両方の事象が発生するとノード 1\11 03の事象が 発生していたが、 変更後はこれら 2つの事象に加えてノード 1\11 1 1の事象 が発生しなければ、 ノード 1\! 1 03の事象が発生しない。 [0029] In the example shown in FIG. 4, a node N 1 1 1, a gate ◦ 1 6, a node 1\11 1 2 and a node 1\11 1 3 are added below the gate 0 1 3 by a change. .. There is no change that the game 0 13 has 80 nodes. Before the change, the event of node 1\11 03 occurred when both the event of node 1\11 0 6 and node 1\11 07 occurred, but after the change, in addition to these two events, the node If the event of 1\11 11 does not occur, the event of node 1\! 10 03 does not occur.
[0030] (既存テスト情報) [0030] (Existing test information)
図 5は、 既存テスト情報 92の一例を示す図であり、 前述の図 3に対応す る。 既存テスト情報 92は複数のレコードから構成される。 既存テスト情報 92の各レコードは、 テストケース 丨 口、 安全機能丨 口、 および故障揷入箇 所のフイールドを有する。 各レコードには 「テストケース 丨 口」 のフイール ドに格納される情報により特定されるテストケース (以下、 「対象テストケ —ス」 と呼ぶ) に関する情報が格納される。 FIG. 5 is a diagram showing an example of the existing test information 92 and corresponds to FIG. 3 described above. The existing test information 92 is composed of multiple records. Each record of the existing test information 92 has a field of a test case, a safety function, and a failure entry field. Each record stores information about the test case (hereinafter referred to as “target test case”) specified by the information stored in the “test case mouth” field.
[0031] 「テストケース 丨 口」 のフイールドには、 対象テストケースを識別する識 別子が格納される。 「安全機能丨 口」 のフイールドには、 対象テストケース においてテストされる安全機能を識別する識別子が格納される。 「故障挿入 箇所」 のフイールドには、 対象テストケースにおいて発生させる故障事象に 対応するノードの識別子が格納される。 [0031] The identifier of the target test case is stored in the field of "test case mouth". The field of "Safety function mouth" stores an identifier that identifies the safety function to be tested in the target test case. The field of "fault insertion point" stores the identifier of the node corresponding to the fault event generated in the target test case.
[0032] 図 5の最初のレコードに示す例では、 丨 口が 「丁〇 1」 であるテストケー スでは、 安全機能丨 口が 「3 1」 である安全機能のテストが行われること \¥02020/175060 10 卩(:171?2020/004324 [0032] In the example shown in the first record of Fig. 5, the safety case with the safety function mouth of "31" is tested in the test case with the mouth of "chome 1". \¥02020/175060 10 units (:171?2020/004324
が示されている。 さらにそのテストケースでは、 ノード N 1 0 4およびノー ド 1\1 1 0 8に対応する故障事象が発生させられることが示されている。It is shown. In addition, the test case shows that the fault event corresponding to node N 1 0 4 and node 1\1 108 is generated.
[0033] (新規テスト情報) [0033] (new test information)
図 6は、 新規テスト情報 9 3の一例を示す図であり、 前述の図 3に対応す る。 新規テスト情報 9 3の構成は既存テスト情報 9 2と同一なので説明を省 略する。 FIG. 6 is a diagram showing an example of new test information 93, which corresponds to FIG. 3 described above. The structure of the new test information 93 is the same as that of the existing test information 92, so the description is omitted.
[0034] (フローチヤート) [0034] (Float)
以下、 図 7〜図 1 3を参照して演算装置 1の動作を説明する。 また以下の フローチヤートの説明では、 図 3や図 4などに示した例を参照して具体的な 動作を補足説明する。 The operation of the arithmetic unit 1 will be described below with reference to FIGS. 7 to 13. Further, in the following description of the flow chart, a specific operation will be supplementarily described with reference to the examples shown in FIGS.
[0035] (フローチヤート 全体処理) [0035] (Float chart overall treatment)
図 7は、 第 1の実施の形態における演算装置 1の全体処理を示すフローチ ヤートである。 演算装置 1は、 インタフェース 8を介して外部から既存の故 障木に対する構成の変更を受信すると、 図 7に示す処理を開始する。 ただし 予め記憶部 9に新旧の故障木の構成、 および既存テスト情報 9 2が格納され た状態で、 外部から処理開始の指令を受けた場合に図 7に示す処理を開始し てもよい。 図 7に示す処理が開始される時点で、 記憶部 9にはノード情報 9 1および既存テスト情報 9 2が格納されている。 FIG. 7 is a flow chart showing the overall processing of the arithmetic unit 1 in the first embodiment. When the arithmetic unit 1 receives a configuration change for an existing faulty tree from the outside via the interface 8, it starts the process shown in FIG. However, the process shown in Fig. 7 may be started when a command to start the process is received from the outside with the configuration of the old and new fault trees and the existing test information 92 stored in the storage unit 9 in advance. When the process shown in FIG. 7 is started, the storage unit 9 stores the node information 91 and the existing test information 92.
[0036] なお以下に説明するフローチヤートでは、 故障木を構成する全ノードにつ いて 「通過フラグ」 を個別に設定し演算に利用する。 通過フラグとは、 真偽 の 2値をとる変数であり以下に説明するフローチヤート中でのみ利用される 。 通過フラグの情報は、 [¾八1\/1 4に格納される。 [0036] In the flow chart described below, "passage flags" are individually set for all the nodes constituting the fault tree and used for the calculation. The pass flag is a variable that takes two values, true and false, and is used only in the flow chart described below. The information of the passage flag is stored in [1/8/1/4].
[0037] 演算装置 1の安全機能特定部 1 1はまず、 ノード情報 9 1 を参照して、 故 障木の構成の変更が影響する安全機能を特定する (3 7 0 1) 。 影響する安 全機能とは、 変更が行われた箇所から最上位のノードに向かって順番に迪っ た際に通過する全てのノードに紐付けられた安全機能である。 図 4に示す例 では、 追加された故障木から最上位のノードに向かって迪ると、 ノード N 1 0 3とノード N 1 0 1が存在する。 そして、 ノード !\1 1 0 1は安全機能 I 口 \¥02020/175060 11 卩(:171? 2020 /004324 [0037] The safety function identification unit 11 of the arithmetic unit 1 first refers to the node information 91 and identifies the safety function affected by the change in the configuration of the faulty tree (3701). The affecting safety function is the safety function associated with all the nodes that pass through when changing in order from the place where the change was made to the highest node. In the example shown in Fig. 4, the nodes N 1 0 3 and N 1 0 1 exist when descending from the added fault tree toward the top node. And the node !\1 1 0 1 is the safety function I port. \¥02020/175060 11 卩(:171? 2020/004324
を有さずノード |\! 1 03のみが安全機能丨 0 「3 2」 を有するので、 37 01では 「3 2」 が特定される。 No node |\! 10 3 has only the safety function 0 "3 2", so 37 01 specifies "3 2".
[0038] 次に演算装置 1は、 記憶部 1 06の既存テスト情報 92を参照し、 故障揷 入箇所に設定されているノードを特定する。 図 5に示す例では、 故障揷入箇 所に設定されているノードとして、 ノード N 1 04、 ノード N 1 06、 ノー ド N 1 08、 およびノード 1\! 1 09が特定される。 [0038] Next, the arithmetic unit 1 refers to the existing test information 92 in the storage unit 106 and identifies the node set at the fault injection location. In the example shown in FIG. 5, nodes N 104, N 106, N 08, and node 1\! 109 are specified as the nodes set in the failure location.
[0039] 次に演算装置 1は、 3701 において特定した全ての安全機能を順番に 「 対象安全機能」 として選択し、 3703と 3708との間に存在する処理、 すなわち 3704~3707を実行する。 たとえば 3701 において特定し た安全機能が 3 7と 3 8である場合は、 まずは対象安全機能を 3 7と して 3704~3707を実行し、 次に対象安全機能を 3 8として 370 4~3707を実行する。 図 3に示す例では 3701 において特定される安 全機能は 3 2のみなので 3704~3707は 1回のみ実行される。 Next, the arithmetic unit 1 sequentially selects all the safety functions specified in 3701 as “target safety functions”, and executes the processing existing between 3703 and 3708, that is, 3704 to 3707. For example, if the safety functions identified in 3701 are 37 and 38, first execute 3704 to 3707 by setting the target safety function to 37, then set the target safety function to 3 and set 370 4 to 3707. Execute. In the example shown in FIG. 3, since the safety function specified in 3701 is only 32, 3704 to 3707 are executed only once.
[0040] 3704〜3707の処理は次のとおりである。 まず、 全ノードの通過フ ラグに偽を設定する (3704) 。 次に、 新規テストノード特定部 1 2が、 新規にテストするべきノード、 すなわち新規テストノードを特定する { ~! 05) 。 3705の詳細は図 8を参照して後に説明する。 次に、 再テストノ —ド特定部 1 3が、 過去にテストしたノードの中から再試験を実施するべき ノード、 すなわち再テストノードを特定する (3706) 。 3706の詳細 は図 1 0を参照して後に説明する。 [0040] The processing of 3704 to 3707 is as follows. First, false is set in the transit flags of all nodes (3704). Next, the new test node identification unit 12 identifies a node to be newly tested, that is, a new test node {~! 05). Details of the 3705 will be described later with reference to FIG. Next, the retest node identification unit 13 identifies the node to be retested, that is, the retest node, from the nodes tested in the past (3706). Details of the 3706 will be described later with reference to FIG.
[0041] そして演算装置 1は、 3705と 3706で特定されたノードを故障揷入 箇所とするテストケースを作成する (3707) 。 3707の具体的な動作 は後述する。 以上が 3704〜 3707の処理内容である。 最後に演算装置 1は、 3707で作成したテストケースを出力して (3709) 、 図 7に示 す処理を終了する。 [0041] Then, the arithmetic unit 1 creates a test case in which the nodes identified by 3705 and 3706 are set as the failure injection points (3707). The specific operation of the 3707 will be described later. The above is the processing contents of 3704 to 3707. Finally, the arithmetic unit 1 outputs the test case created in 3707 (3709) and ends the processing shown in FIG.
[0042] (フローチヤート 新規テストノード特定部) [0042] (Float chart new test node identification unit)
図 8は、 新規テストノード特定部 1 2の処理を示すフローチヤートであり 、 図 7の 3705の詳細を示すフローチヤートである。 まず新規テストノー \¥02020/175060 12 卩(:171?2020/004324 FIG. 8 is a flow chart showing the processing of the new test node identification unit 12 and a flow chart showing the details of 3705 in FIG. First a new test no \¥02020/175060 12 卩(:171?2020/004324
ド特定部 1 2は、 故障木における変更に係る最上位ノードを特定する (3 8 0 1) 。 図 3や図 4に示す例では、 ノード 1\1 1 1 1 ~ 1\1 1 1 3およびゲート 0 1 6が追加されたので、 変更に係る最上位ノードはノード 1\! 1 1 1である 。 仮にノード 1\! 1 1 1 ~ 1\1 1 1 3だけでなくノード 1\1 1 0 8も変更により追 加されていた場合には、 3 8 0 1ではノード 1\1 1 0 8およびノード 1\1 1 1 1 が特定される。 The de-identifying unit 12 identifies the top node related to the change in the failure tree (3801). In the example shown in Fig. 3 and Fig. 4, since nodes 1\1 1 1 1 to 1\1 1 1 3 and gate 0 16 are added, the top node related to the change is node 1\! 1 1 1. is there . If not only node 1\! 1 1 1 ~ 1\1 1 1 3 but also node 1\1 1 0 8 was added due to changes, node 1\1 1 0 8 and Node 1\1 1 1 1 1 is identified.
[0043] 次に新規テストノード特定部 1 2は、 3 8 0 1 において特定した全ての最 上位ノードを対象ノードとして 3 8 0 3および 3 8 0 4の処理を実行する。 Next, the new test node specifying unit 12 executes the processes of 380 3 and 380 4 by using all the highest-rank nodes specified in 380 1 as target nodes.
3 8 0 3では新規テストノード特定部 1 2は、 新規テストの対象となるノー ドを特定する新規中核処理を実行する。 3 8 0 3の詳細は図 9を参照して後 述する。 3 8 0 4では新規テストノード特定部 1 2は、 3 8 0 3において出 力されるリストを記録する。 新規テストノード特定部 1 2は、 3 8 0 1 にお いて特定した全ての最上位ノードを対象に 3 8 0 3および 3 8 0 4の処理が 完了すると、 3 8 0 4において記録したリストを出力して (3 8 0 6) 、 図 8に示す処理を終了する。 なお 3 8 0 6において出力したリストは、 図 7の 3 7 0 7において利用される。 In 380 3, the new test node identification unit 12 executes new core processing to identify the node that is the target of the new test. Details of 380 3 will be described later with reference to FIG. In 380 4, the new test node identification unit 12 records the list output in 380 3. When the new test node identification unit 12 completes the processes of 380 3 and 380 4 for all the top-level nodes identified in 380 1, the list recorded in 380 4 is After outputting (3806), the processing shown in FIG. 8 is terminated. The list output in 380 6 is used in 370 in FIG.
[0044] (フローチヤート 新規中核処理) [0044] (Float Chart New Core Treatment)
図 9は、 新規中核処理を示すフローチヤートであり、 図 8の 3 8 0 3の詳 細を示すフローチヤートである。 図 9に示す処理では、 図 8の 3 8 0 1 にお いて特定したノードが 「対象ノード」 に設定されて実行される。 新規テスト ノード特定部 1 2はまず、 対象ノードの通過フラグを 「真」 に設定する。 次 に新規テストノード特定部 1 2は対象ノードが末端ノードであるか否かを判 断する (3 9 0 2) 。 前述のとおり、 末端ノードは下位にゲートを有しない ノードである。 新規テストノード特定部 1 2は、 対象ノードが末端ノードで あると判断する場合は、 対象ノードのみを要素とするリストを作成して出力 し (3 9 0 3) 、 図 9に示す処理を終了する。 新規テストノード特定部 1 2 は、 対象ノードが末端ノードではないと判断する場合は 3 9 0 6に進む。 FIG. 9 is a flow chart showing the novel core treatment, and is a flow chart showing the details of 380 3 in FIG. In the process shown in FIG. 9, the node specified in 380 1 in FIG. 8 is set as the “target node” and executed. The new test node identification unit 12 first sets the passage flag of the target node to "true". Next, the new test node identification unit 12 determines whether or not the target node is the end node (3902). As described above, the terminal node is a node that does not have a gate below. When the new test node identification unit 12 determines that the target node is a terminal node, it creates and outputs a list with only the target node as an element (3903), and ends the processing shown in Fig. 9. To do. When the new test node identifying unit 1 2 determines that the target node is not the end node, the process proceeds to 390 6.
[0045] 3 9 0 6では新規テストノード特定部 1 2は、 対象ノードの下位ゲートは \¥02020/175060 13 卩(:171?2020/004324 [0045] In 3960, the new test node identification unit 1 2 determines that the lower gate of the target node is \¥02020/175060 13 卩(: 171-12020/004324
八 0ゲートであるか否かを判断し、 下位ゲートが八 0ゲートであると判 断する場合は 39 1 1 に進み、 下位ゲートが〇 ゲートであると判断する場 合は 392 1 に進む。 新規テストノード特定部 1 2は、 39 1
Figure imgf000015_0001
If it is judged whether the gate is 80 gates or not, if it is judged that the lower gate is 80 gates, proceed to 39 1 1, and if it is judged that the lower gate is 0 gates, proceed to 3921. The new test node identification part 1 2 is 39 1
Figure imgf000015_0001
において、 対象ノードよりも下位の全ノードを順番に 「ループ対象」 として 39 1 2の処理を実行する。 たとえば図 3に示す例においてノード 1\11 02 が処理対象の場合には、 たとえばノード 1\11 04をループ対象として 39 1 2を実行し、 次にノード 1\! 1 05をループ対象として 39 1 2を実行し、 最 後にノード 1\11 08をループ対象として 39 1 2を実行する。 In, all the nodes lower than the target node are sequentially treated as “loop target” and the processing of 39 1 2 is executed. For example, if node 1\11 02 is the processing target in the example shown in Fig. 3, for example, node 1\11 04 is the loop target and 39 1 2 is executed, then node 1\! Execute 1 2 and finally execute 39 1 2 with node 1\11 08 as the loop target.
[0046] 39 1 2では新規テストノード特定部 1 2は、 ループ対象を対象ノードと して図 9に示す新規中核処理を実行する。 すなわち 39 1 2は再帰呼び出し である。 たとえば前述の例においてノード 1\11 04をループ対象として 39 1 2を実行すると、 ノード 1\11 04を対象ノードとして図 9に示す新規中核 処理が実行される。 新規テストノード特定部 1 2は、 対象ノードの全ての下 位ノードをループ対象として 39 1 2を実行すると 39 1 4に進む。 In 39 1 2, the new test node identifying unit 12 executes the new core processing shown in FIG. 9 with the loop target as the target node. That is, 39 1 2 is a recursive call. For example, if 39 1 2 is executed with node 1\11 04 as the loop target in the above example, the new core processing shown in Fig. 9 is executed with node 1\11 04 as the target node. The new test node identifying unit 12 advances to 39 1 4 when 39 1 2 is executed with all lower nodes of the target node as loop targets.
[0047] 39 1 4では新規テストノード特定部 1 2は 39 1 2の処理により出力さ れるリストを組み合わせたリストを作成する。 たとえば前述のとおり、 対象 ノードが 1\11 02の場合にはループ対象はノード 1\11 04、 N 1 05、 およ び 1\11 08である。 この 3つのそれぞれが対象ノードとして新規中核処理を 実行すると出力されるリストは 1 02、 N 1 04、 および 1\11 08である 。 そのため 39 1 4ではこれらを組み合わせたリストとして 1\11 02、 1\11 04、 N 1 08、 (N 1 02, N 1 04} , (N 1 02, N 1 08} , { In 39 1 4, the new test node identification unit 12 creates a list that combines the lists output by the process of 39 1 2. For example, as mentioned above, if the target node is 1\11 02, the loop target is nodes 1\11 04, N 1 05, and 1\11 08. The list that is output when each of these three performs new core processing as the target node is 102, N 104, and 1\11 08. Therefore, in 39 1 4 as a list combining these, 1\11 02, 1\11 04, N 1 08, (N 1 02, N 1 04} ,(N 1 02, N 1 08} ,{
1 04、 N 1 08} 、 {1\11 02、 N 1 04、 N 1 08} が作成される。 た だしここでは、 1つのリストに複数の要素が含まれる場合は波括弧を使って 1 つのリストの範囲を明示している。 続く 39 1 5では新規テストノード特定 部 1 2は、 39 1 4において作成したリストを出力して図 9に示す処理を終 了する。 1 04, N 1 08}, {1\11 02, N 1 04, N 1 08} are created. However, when a list contains multiple elements, curly braces are used here to indicate the scope of the list. In the following 39 15, the new test node identifying unit 12 outputs the list created in 39 14 and finishes the processing shown in FIG.
[0048] 新規テストノード特定部 1 2は、 392 1
Figure imgf000015_0002
924において、 対象ノー ドよりも下位の全ノードを順番に 「ループ対象」 として 3922および 39 \¥02020/175060 14 卩(:171?2020/004324 [0048] The new test node identification unit 1 2 is 392 1
Figure imgf000015_0002
In 924, all nodes below the target node are sequentially marked as “loop target” in 3922 and 39. \¥02020/175060 14 卩 (: 171?2020/004324
23の処理を実行する。 たとえば図 3に示す例においてノード 1\11 02が処 理対象の場合には、 ノード N 1 04、 N 1 05、 N 1 08をループ対象とし て 3922と 3923を実行する。 3922では新規テストノード特定部 1 2は、 ループ対象を対象ノードとして図 9に示す新規中核処理を実行する。 すなわち 3922は再帰呼び出しである。 3923では新規テストノード特 定部 1 2は、 3922の処理により出力されるリストを出力する。 新規テス トノード特定部 1 2は、 対象ノードの全ての下位ノードをループ対象として 3922および 3923を実行すると図 9に示す処理を終了する。 Execute the processing of 23. For example, in the example shown in Fig. 3, when node 1\11 02 is the processing target, nodes N 1 04, N 1 05, and N 1 08 are loop targets, and 3922 and 3923 are executed. In 3922, the new test node identification unit 12 executes the new core processing shown in Fig. 9 with the loop target as the target node. That is, 3922 is a recursive call. In 3923, the new test node specifying unit 12 outputs the list output by the process of 3922. When the new test node identification unit 12 executes 3922 and 3923 with all lower nodes of the target node as loop targets, the process shown in FIG. 9 ends.
[0049] 39 1
Figure imgf000016_0001
で実行される処理と、 392 1 ~ 3924で実行され る処理は似ているが細部が異なる。 すなわち 39 1 1 ~39 1 5では、 再帰 処理により 39 1 2で新規中核処理を実行して出力されたリストをそのまま 出力するのではなく、 組み合わせて出力する。 その一方で 392 1
Figure imgf000016_0002
92 4では、 再帰処理により 3922で新規中核処理を実行して出力されたリス 卜をそのまま出力する。 [0049] 39 1
Figure imgf000016_0001
The process executed in #3 and the process executed in #3921 to 3924 are similar but the details are different. That is, in 39 1 1 to 39 1 5, the lists output by executing the new core processing in 39 1 2 by recursive processing are not output as they are, but output in combination. On the other hand 392 1
Figure imgf000016_0002
At 924, the new core processing is executed at 3922 by recursive processing, and the output list is output as it is.
[0050] 実際には 3906の判断が存在するので、 同一の対象ノードが 39 1 1〜 [0050] Since there are actually 3906 judgments, the same target node is 39 1 1 ~
39 1 5と 392 1 ~3924の両方を実行することはありえないが、 説明 のためにあえて記載すると、 対象ノードが同一であっても 39 1 1 ~39 1 5と 392 1 ~3924では、 呼び出し元である図 8の 3803において出 力されるリストが次のように異なる。 すなわち 39 1 1 ~39 1 5では1\11 02、 N 1 04、 N 1 08、 (N 1 02, N 1 04} , (N 1 02, N 1 0 It is impossible to execute both 39 1 5 and 392 1 to 3924, but if you write it for explanation, even if the target node is the same, 39 1 1 to 39 1 5 and 392 1 to 3924 call The list output in 3803 in Fig. 8 is different as follows. That is, 39 1 1 to 39 1 5: 1\11 02, N 1 04, N 1 08, (N 1 02, N 1 04} ,(N 1 02, N 1 0
8} 、 (N 1 04, N 1 08} , {1\11 02、 1\11 04、 1\11 08} が出力 され、 392 1 ~3924では 1 02、 N 1 04、 および 1\11 08が出力 される。 8}, (N 1 04, N 1 08} ,{1\11 02, 1\11 04, 1\11 08} are output, and 392 1 to 3924 have 1 02, N 1 04, and 1\11 08 Is output.
[0051 ] (フローチヤート 再テストノード特定部) [0051] (Flow chart retest node identification unit)
図 1 〇は、 再テストノード特定部 1 3の処理を示すフローチヤートであり 、 図 7の 3706の詳細を示すフローチヤートである。 なお図 1 0に示す処 り構成されるが、 31 003を除いて、
Figure imgf000016_0003
理にそれぞれ対応する。 ここでは 31 0 \¥02020/175060 15 卩(:171?2020/004324 FIG. 10 is a flow chart showing the processing of the retest node identification unit 13 and a flow chart showing the details of 3706 in FIG. The configuration shown in Fig. 10 is used, except for 31 003.
Figure imgf000016_0003
Correspond to each reason. Here 31 0 \¥02020/175060 15 卩(: 171?2020/004324
03の処理だけを説明する。 31 003では再テストノード特定部 1 3は、 再テストの対象となるノードを特定する再テスト中核処理を実行する。 31 003の詳細は図 1 1 を参照して後述する。 Only the processing of 03 will be explained. In 31 003, the retest node identification unit 13 executes the retest core processing for identifying the node to be retested. Details of 31 003 will be described later with reference to FIG.
[0052] 図 1 1は、 再テスト中核処理を示すフローチヤートであり、 図 1 1の 31 [0052] FIG. 11 is a flow chart showing the reprocessing core treatment.
003の詳細を示すフローチヤートである。 図 1 1 に示す処理では、 図 1 0 の 31 001 において特定したノードが 「対象ノード」 に設定されて実行さ れる。 図 1 1ではまず再テストノード特定部 1 3は、 対象ノードが故障木の 最上位ノードであるか否かを判断する (31 01 1) 。 再テストノード特定 部 1 3は、 対象ノードが最上位ノードであると判断する場合は、 図 9に示す 処理を終了し、 対象ノードが最上位ノードではないと判断する場合は 31 0 1 2に進む。 It is a flow chart showing the details of 003. In the process shown in Fig. 11, the node specified in 31 001 of Fig. 10 is set as the "target node" and executed. In FIG. 11, the retest node identification unit 13 first determines whether or not the target node is the highest node in the fault tree (31 01 1). When the retest node identification unit 13 determines that the target node is the top node, the process shown in Fig. 9 ends, and when it determines that the target node is not the top node, it returns to 31 0 1 2. move on.
[0053] 31 01 2では再テストノード特定部 1 3は、 対象ノードの上位ゲートは 八 0ゲートであるか否かを判断し、 上位ゲートが八 0ゲートであると判 断する場合は 31 02 1 に進み、 上位ゲートが〇 ゲートであると判断する 場合は 31 01 3に進む。 31 01 3では再テストノード特定部 1 3は、 対 象ノードの一段上位のノードの通過フラグを真に設定して 31 01 4に進む 。 たとえば対象ノードが図 3に示すノード 1\11 07の場合に、 31 01 3で はノード 1\11 03の通過フラグが真に設定される。 [0053] In 31 01 2, the retest node identification unit 13 determines whether or not the upper gate of the target node is 80 gates, and if it is determined that the upper gate is 80 gates, 31 02 Proceed to 1 and proceed to 31 01 3 if the upper gate is judged to be 〇 gate. In 31 01 3, the retest node identifying unit 13 sets the passage flag of the node one step higher than the target node to true, and proceeds to 31 01 4. For example, if the target node is node 1\11 07 shown in Fig. 3, the transit flag of node 1\11 03 is set to true in 31 01 3.
[0054] 31 01 4では再テストノード特定部 1 3は、 対象ノードの 1段上位のノ [0054] In 31 01 4, the retest node identification unit 13 determines that the node one level higher than the target node
-ドの安全機能丨 口は対象安全機能、 すなわち図 7の 3701 において特定 した安全機能の 1つであって、 1つずつ順番に選択された安全機能と一致す るか否かを判断する。 再テストノード特定部 1 3は、 対象ノードの 1段上位 のノードの安全機能丨 口が対象安全機能と一致すると判断する場合は図 1 1 に示す処理を終了する。 再テストノード特定部 1 3は、 対象ノードの 1段上 位のノードの安全機能丨 口が対象安全機能と一致しないと判断する場合は、 対象ノードを現在の対象ノードの 1段上位のノードに変更して 31 01 2に 戻る。 -The safety function check box is the target safety function, that is, one of the safety functions specified in 3701 of Fig. 7, and it is determined whether or not the safety functions are selected one by one in order. When the retest node identification unit 13 determines that the safety function port of the node one step higher than the target node matches the target safety function, the process shown in Fig. 11 ends. If the retest node identification unit 13 determines that the safety function port of the node one level above the target node does not match the target safety function, it sets the target node to the node one level higher than the current target node. Change and return to 31 01 2.
[0055] たとえば対象ノードが図 3に示すノード !\11 07の場合に、 31 01 3で \¥02020/175060 16 卩(:171?2020/004324 [0055] For example, if the target node is the node !\11 07 shown in Fig. 3, 31 01 3 \¥02020/175060 16 卩(:171?2020/004324
はノード 1\1 1 0 3の安全機能丨 口が対象安全機能と一致するか否かが判断さ れる。 ノード N 1 0 3の安全機能丨 口は図 3の例によれば 3 2なので、 対 象安全機能が 3 2であれば肯定判断される。 仮に対象ノードの 1段上位の ノードが安全機能丨 口を有しない場合は、 対象安全機能がどのような値であ つても 3 1 0 1 3では否定判断がされる。 Determines whether the safety function entrance of node 1\1 103 matches the target safety function. According to the example of Fig. 3, the safety function entrance of the node N 103 is 3 2, so if the target safety function is 3 2, an affirmative judgment is made. If the node one step higher than the target node does not have a safety function entry, a negative judgment is made in 3 1 0 1 3 regardless of the value of the target safety function.
[0056] 再テストノード特定部 1 3は、
Figure imgf000018_0001
において、 対象ノ -ドの上位ゲートである八 0ゲート以下の全ノードを順番に 「ループノー ド」 として 3 1 0 2 2 ~ 3 1 0 2 9の処理を実行する。 3 1 0 2 2では再テ ストノード特定部 1 3は、 ループノードの通過フラグが偽であるか否かを判 断し、 ループノードの通過フラグが偽であると判断する場合は 3 1 0 2 3に 進み、 ループノードの通過フラグが偽ではない、 すなわち真であると判断す る場合は 3 1 0 3 0に進む。 3 1 0 2 3では再テストノード特定部 1 3は、 ループノードの通過フラグを真に設定して 3 1 0 2 4に進む。 [0056] The retest node identification unit 13
Figure imgf000018_0001
In step 3, all nodes under 80 gates, which are the upper gates of the target node, are sequentially set as “loop nodes” and the processes of 3 1 0 2 2 to 3 1 0 2 9 are executed. In 3 1 0 2 2, the re-test node identifying unit 13 determines whether or not the pass flag of the loop node is false, and when it is determined that the pass flag of the loop node is false, 3 1 0 2 When it is judged that the passage flag of the loop node is not false, that is, it is true, the procedure proceeds to 3 1 0 3 0. In 3 1 0 2 3, the retest node identifying unit 1 3 sets the passage flag of the loop node to true and proceeds to 3 1 0 2 4.
[0057] 3 1 0 2 4では再テストノード特定部 1 3は、 ループノードはテスト済で あるか否か、 すなわち既存テスト情報 9 2のいずれかのテストケースにおい て故障揷入箇所に設定されているか否かを判断する。 再テストノード特定部 1 3は、 ループノードが既存テスト情報 9 2のいずれかのテストケースにお いて故障揷入箇所に設定されていると判断する場合は 3 1 0 2 5に進む。 再 テストノード特定部 1 3は、 ループノードが既存テスト情報 9 2のいずれか のテストケースにおいても、 故障揷入箇所に設定されていないと判断する場 合は 3 1 0 2 6に進む。 [0057] In 3 1 0 2 4, the retest node identification unit 1 3 determines whether or not the loop node has been tested, that is, it is set as the fault insertion location in any test case of the existing test information 9 2. Determine whether or not If the retest node identification unit 13 determines that the loop node is set at the fault injection location in any of the test cases of the existing test information 92, the retest node identification unit 13 proceeds to 3 10 25. If the re-test node identification unit 13 determines that the loop node is not set as the fault-insertion location in any of the test cases of the existing test information 92, the re-test node identification unit 13 proceeds to 3 10 26.
[0058] 3 1 0 2 5では再テストノード特定部 1 3は、 ループノードをテスト対象 に選択して 3 1 0 2 9に進む。 3 1 0 2 6では再テストノード特定部 1 3は 、 ループノードの下位ゲートは八 0ゲートであるか否かを判断する。 再テ ストノード特定部 1 3は、 ループノードの下位ゲートは八 ロゲートである と判断する場合は 3 1 0 3 0に進み、 ループノードの下位ゲートは八 0ゲ —卜ではない、 すなわち〇 ゲートであると判断する場合は 3 1 0 2 7に進 む。 \¥02020/175060 17 卩(:171?2020/004324 In 3 1 0 2 5, the retest node identifying unit 13 selects the loop node as the test target, and proceeds to 3 1 0 2 9. At 310 2 6 the retest node identification unit 13 determines whether the lower gate of the loop node is 80 gates. When the re-test node identification unit 13 determines that the lower gate of the loop node is 8 gates, the re-test node identification unit 13 proceeds to 3 1 0 30 and the lower gate of the loop node is not 80 gates, that is, 0 gates. If yes, go to 3 1 0 2 7. \¥02020/175060 17 卩(: 171?2020/004324
[0059] 3 1 0 2 7では再テストノード特定部 1 3は、 ループノードの下位ゲート である〇 ゲート以下の全ノードを順番に評価ノードとして図 1 3に示す決 定処理を実行する。 たとえば図 3に示す例においてループノードがノード 1 0 7の場合に、 ノード 1\1 1 0 7の下位ゲートはゲート◦ 1 5なので、 ノー ド N 1 0 9とノード N 1 1 0が順番に評価ノードとして図 1 3に示す決定処 理が実行される。 詳しくは後述するが、 この決定処理では、 カウント数と対 象ノードリストが出力される。 続く 3 1 0 2 8では再テストノード特定部 1 3は、 3 1 0 2 7において実行した決定処理において最小のカウント数であ る対象ノードリストをテスト対象に選択し、 3 1 0 2 9に進む。 In 311027, the retest node identifying unit 13 executes the determination process shown in FIG. 13 using all nodes below the ∘ gates, which are lower gates of the loop node, as evaluation nodes in order. For example, in the example shown in Figure 3, if the loop node is node 1 07, the lower gate of node 1\1 1 0 7 is gate ◦ 15 so node N 1 0 9 and node N 1 1 0 The decision process shown in Fig. 13 is executed as an evaluation node. As will be described later in detail, in this determination process, the count number and the target node list are output. In the following 3 1 0 2 8, the retest node identification unit 1 3 selects the target node list with the minimum count number in the decision processing executed in 3 1 0 2 7 as the test target, and sets it to 3 1 0 2 9. move on.
[0060] 図 1 2は、 カウント数と対象ノードリストの一例を示す図である。 仮に 3 FIG. 12 is a diagram showing an example of the count number and the target node list. If 3
1 0 2 7において〇 ゲート以下のノードが全部で 4つあり、 それぞれの出 力が図 1 2に示すものである場合に 3 1 0 2 9ではカウント数が最小である 1行目の対象ノードリスト、 すなわちノード 2 0 1がテスト対象に選択さ れる。 In 1 0 2 7, there are 4 nodes with 0 gates or less in total, and when the output of each is as shown in Fig. 12 3 1 0 2 9 has the smallest count number. The list, node 201, is selected for testing.
[0061 ] 3 1 0 2 9では再テストノード特定部 1 3は、 テスト対象を 1つのリスト として出力する。 再テストノード特定部 1 3は、 対象ノードの上位ゲートで ある八 0ゲート以下の全ノードをループノードとして 3 1 0 2 2 ~ 3 1 0 2 9の処理を実行すると、 図 1 1 に示す処理を終了する。 [0061] In 3109, the retest node identifying unit 13 outputs the test targets as one list. When the retest node identification unit 13 executes the processes of 3 1 0 2 2 to 3 1 0 2 9 with all nodes under 80 gates, which are the upper gates of the target node, as loop nodes, the process shown in Fig. 11 is executed. To finish.
[0062] (フローチヤート 決定処理) [0062] (Flow chart determination process)
図 1 3は、 決定処理を示すフローチヤートであり、 図 1 1の 3 1 0 2 7の 詳細を示すフローチヤートである。 再テストノード特定部 1 3はまず、 カウ ント数をゼロに、 対象ノードリストを 1\1 II !_ !_、 すなわち空白状態に初期化 する (3 1 1 0 1) 。 次に再テストノード特定部 1 3は、 評価ノードはテス 卜済みであるか否か、 すなわち既存テスト情報 9 2のいずれかのテストケー スにおいて故障揷入箇所に設定されているか否かを判断する。 再テストノー ド特定部 1 3は、 評価ノードが既存テスト情報 9 2のいずれかのテストケー スにおいて故障揷入箇所に設定されていると判断する場合は 3 1 1 0 3に進 む。 再テストノード特定部 1 3は、 評価ノードが既存テスト情報 9 2のいず \¥02020/175060 18 卩(:171? 2020 /004324 FIG. 13 is a flow chart showing the determination process, and is a flow chart showing the details of 310 2 7 in FIG. The retest node identification unit 13 first initializes the target node list to 1\1 II !_ !_, that is, the blank state by setting the number of counts to zero (3 1 1 0 1). Next, the retest node identification unit 13 determines whether the evaluation node has been tested, that is, whether the test node in any of the existing test information 92 has been set as the failure insertion location. .. When the retest node identification unit 13 determines that the evaluation node is set at the fault injection location in any of the test cases of the existing test information 92, the retest node identification unit 13 proceeds to 3 1 1 0 3. The retest node identification unit 1 3 determines that the evaluation node is one of the existing test information 9 2. \¥02020/175060 18 卩(:171? 2020/004324
れかのテストケースにおいても、 故障揷入箇所に設定されていないと判断す る場合は 31 1 04に進む。 In any of the test cases, if it is determined that the fault is not set, the procedure goes to 31 104.
[0063] 31 1 03では再テストノード特定部 1 3は、 カウント数に 「 1」 、 対象 ノードリストに評価ノードを設定して 31 1 3 1 に進む。 31 1 3 1では再 テストノード特定部 1 3は、 設定されたカウント数と対象ノードリストを出 力して図 1 3に示す処理を終了する。 [0063] In 31 10 3, the retest node identification unit 13 sets the count number to "1", sets the evaluation node in the target node list, and proceeds to 31 1 3 1. In 31 1 3 1, the retest node identification unit 13 outputs the set count number and target node list, and ends the processing shown in Fig. 13.
[0064] 31 1 04では再テストノード特定部 1 3は、 評価ノードの下位ゲートは 八 0ゲートであるか否かを判断し、 下位ゲートが八 0ゲートであると判 断する場合は 31 1 1 1 に進み、 下位ゲートが〇 ゲートであると判断する 場合は 31 1 2 1 に進む。 [0064] In 31 104, the retest node identifying unit 13 determines whether or not the lower gate of the evaluation node is 80 gates, and when it is determined that the lower gate is 80 gate, 31 1 Proceed to 1 1 and proceed to 31 1 2 1 if it is judged that the lower gate is a gate.
[0065] 再テストノード特定部 1 3は、 31 1 1
Figure imgf000020_0001
1 1 4において、 評価ノ —ドよりも下位の全ノードを順番に 「ループ対象」 として 31 1 1 2の処理 を実行する。 31 1 1 2では再テストノード特定部 1 3は、 ループ対象を評 価ノードとして図 1 3に示す決定処理を実行する。 すなわち 31 1 1 2は再 帰呼び出しである。 続く 31 1 1 3では再テストノード特定部 1 3は、 31 1 1 2を実行することにより出力されるカウント数と対象ノードリストを一 時的に記録する。 再テストノード特定部 1 3は、 評価ノードの全ての下位ノ -ドをループ対象として 31 1 1 2および 31 1 1 3を実行すると 31 1 1 5に進む。 [0065] The retest node identification unit 13 returns 31 1 1
Figure imgf000020_0001
In 1 1 4, all nodes below the evaluation node are sequentially treated as “loop targets” and the processing in 3 1 1 1 2 is executed. In 31 1 1 2, the retest node identification unit 13 executes the decision process shown in Fig. 13 with the loop target as the evaluation node. That is, 31 1 1 2 is a recall call. In the subsequent 31 1 1 3, the retest node identifying unit 13 temporarily records the count number and the target node list output by executing 31 1 1 2. The retest node identification unit 13 executes 31 1 1 2 and 31 1 1 3 with all the lower nodes of the evaluation node as loop targets, and proceeds to 31 1 1 5.
[0066] 31 1 1 5では再テストノード特定部 1 3は、 カウント数を 31 1 1 3に おいて記録したカウント数の総計に設定し、 対象ノードリストを 31 1 1 3 において記録した全てのノードリストに設定して 31 1 3 1 に進む。 31 1 1 3において記録したカウント数と対象ノードリストが図 1 2に示すものの 場合に、 31 1 1 5ではカウント数は 1、 2、 2、 3の総計である 「8」 に 設定され、 対象ノードリストは、 ノード 201
Figure imgf000020_0002
208に設定される。 [0066] In 31 1 1 5, the retest node identification unit 13 sets the count number to the total of the count numbers recorded in 31 1 1 3 and sets the target node list to all the record numbers in 31 1 1 3. Set it in the node list and proceed to 31 1 3 1. If the count number recorded in 31 1 1 3 and the target node list are as shown in Fig. 12, the count number is set to "8", which is the total of 1, 2, 2 and 3 in 31 1 15 and the target node list is set. The node list is node 201
Figure imgf000020_0002
Set to 208.
[0067] 再テストノード特定部 1 3は、 31 1 2 1 ~31 1 24において、 評価ノ —ドよりも下位の全ノードを順番に 「ループ対象」 として 31 1 22の処理 を実行する。 31 1 22では再テストノード特定部 1 3は、 ループ対象を評 \¥02020/175060 19 卩(:171?2020/004324 In 31 1 2 1 to 31 1 24, the retest node identifying unit 13 sequentially executes the process of 31 1 22 by setting all nodes lower than the evaluation node as “loop targets” in order. 31 1 2 2 The retest node identification unit 1 3 evaluates the loop target. \¥02020/175060 19 卩(:171?2020/004324
価ノードとして図 1 3に示す決定処理を実行する。 すなわち 3 1 1 2 2は再 帰呼び出しである。 続く 3 1 1 2 3では再テストノード特定部 1 3は、 3 1 1 2 2を実行することにより出力されるカウント数と対象ノードリストを一 時的に記録する。 再テストノード特定部 1 3は、 評価ノードの全ての下位ノ -ドをループ対象として 3 1 1 2 2および 3 1 1 2 3を実行すると 3 1 1 2 5に進む。 The decision process shown in Fig. 13 is executed as a valence node. That is, 3 1 1 2 2 is a recall call. In the subsequent 3 1 1 2 3, the retest node identification unit 13 temporarily records the count number and target node list output by executing 3 1 1 2 2. The retest node identification unit 13 executes 3 1 1 2 2 and 3 1 1 2 3 with all the lower nodes of the evaluation node as loop targets, and proceeds to 3 1 1 2 5.
[0068] 3 1 1 2 5では再テストノード特定部 1 3は、 カウント数を 3 1 1 1 3に おいて記録したカウント数の最小値に設定し、 対象ノードリストを最初の力 ウント数に対応するノードリストに設定して 3 1 1 3 1 に進む。 なお最小の カウント数が複数存在する場合には、 対象ノードリストに設定するノードリ ストは、 最小のカウント数に対応するノードリストのいずれでもよい。 テス 卜の演算量を減らすために最小のカウント数を選択しているので、 対象ノー ドとしていずれを選択してもテストの演算量には影響がないからである。 [0068] In 3 1 1 2 5, the retest node identifying unit 13 sets the count number to the minimum value of the count numbers recorded in 3 1 1 1 3 and sets the target node list to the first force number. Set to the corresponding node list and proceed to 3 1 1 3 1. If there are multiple minimum counts, the node list set in the target node list may be any of the node lists corresponding to the minimum count. This is because the minimum number of counts is selected to reduce the amount of test calculation, so any selection of the target node does not affect the test calculation amount.
[0069] 3 1 1 2 5の具体例を説明する。 3 1 1 2 3において記録したカウント数 と対象ノードリストが図 1 2に示すものの場合に、 3 1 1 2 5では最小の力 ウント数である 「1」 に設定し、 対象ノードリストはカウント数が 「1」 で あるノード N 2 0 1 に設定する。 以上が図 1 3に示す処理の説明である。 A specific example of 3 1 1 2 5 will be described. If the count number and target node list recorded in 3 1 1 2 3 are as shown in Fig. 12, set the minimum force number "1" in 3 1 1 2 5 and set the target node list to the count number. Set to node N 2 0 1 where is “1”. The above is the explanation of the processing shown in FIG.
[0070] 上述した第 1の実施の形態によれば、 次の作用効果が得られる。 [0070] According to the above-described first embodiment, the following operational effects can be obtained.
( 1 ) 演算装置 1は、 複数のノードを有し、 複数のノードのうち少なくとも 1つのノードは安全機能と関連付けられている故障木について、 変更前の故 障木の構成、 変更後の故障木の構成、 および安全機能ごとに過去にテストさ れたノードを示すノード情報 9 1 を格納する記憶部 9と、 故障木の変更に関 する情報に基づき変更の影響を受ける安全機能を特定する安全機能特定部 1 1 と、 変更後の故障木の構成および過去にテストされたノードに基づき、 再 テストノードを特定する再テストノード特定部 1 3と、 変更後の故障木の構 成および過去にテストされたノードに基づき、 新規テストノードを特定する 新規テストノード特定部 1 2とを備える。 そのため、 故障木の変更に伴う必 要なテストケースの数を削減できる。 \¥02020/175060 20 卩(:171?2020/004324 (1) The arithmetic unit 1 has a plurality of nodes, and at least one of the plurality of nodes is associated with a safety function.For the fault tree, the configuration of the fault tree before the change and the fault tree after the change And the storage unit 9 that stores the node information 91 that indicates the nodes that have been tested in the past for each safety function, and the safety function that identifies the safety function affected by the change based on the information about the change in the failure tree. The function identification unit 1 1, the retest node identification unit 1 3 that identifies the retest node based on the changed fault tree configuration and the nodes tested in the past, and the configuration of the changed fault tree and the past And a new test node specifying unit (12) for specifying a new test node based on the tested node. Therefore, it is possible to reduce the number of test cases required for changing the fault tree. \¥02020/175060 20 units (:171?2020/004324
[0071 ] (2) 安全機能特定部 1 1は、 変更により追加されたノードから故障木の最 上位のノードまで迪った際に通過する全てのノードのそれぞれに関連付けら れる安全機能を、 変更の影響を受ける安全機能として特定する。 [0071] (2) The safety function specifying unit 11 changes the safety function associated with each of all the nodes that pass when the node added by the change to the highest node of the failure tree passes. It is specified as a safety function affected by.
[0072] (3) 再テストノード特定部 1 3は、 変更により追加されたノードのうち最 上位のノードを対象ノードとし、 対象ノードが変更による変更後の故障木に おける最上位のノードである場合は再テストノードへの追加を行わない (図 1 1の 3 1 0 1 1 : 丫巳3) 〇 [0072] (3) The retest node identification unit 13 sets the highest node among the nodes added by the change as the target node, and the target node is the highest node in the failure tree after the change by the change. If it is not added to the retest node (3 1 0 1 1 :丫mi 3 in Figure 11)
[0073] (4) 再テストノード特定部 1 3は、 対象ノードに接続される上位のゲート が八 0ゲートの場合は、 当該八 0ゲートに接続するそれぞれのノードの 事象が発生するように、 当該八 0ゲート以下のノードであって過去にテス 卜されたノードを再テストノードに追加する (図 1 1の 3 1 0 1 2 : 丫巳3 、 3 1 0 2 1 1 0 3 0) 〇 (4) When the upper gate connected to the target node is 80 gates, the retest node identification unit 13 causes the event of each node connected to the 80 gate to occur. Add a node under 80 gates that has been tested in the past to the retest node (3 1 0 1 2 in Figure 11: 3 3, 3 1 0 2 1 1 0 3 0)
[0074] (5) 新規テストノード特定部 1 2は、 変更により追加されたノードのうち 最上位のノードを対象ノードとし、 対象ノードが下位のノードを有しない場 合は対象ノードを新規テストノードに追加し (図 9の 3 9 0 2 : 丫巳 3、 3 9 0 3) 、 対象ノードが下位のノードを有する場合は対象ノードを新規テス トノードに追加しない (3 9 0 2 : N 0、 3 9 0 6以降) 。 (5) The new test node identification unit 12 sets the highest node among the nodes added by the change as the target node, and if the target node has no lower node, sets the target node to the new test node. (3 9 0 2 :丫mi 3, 3 9 0 3 in Fig. 9), and if the target node has lower nodes, the target node is not added to the new test node (3 9 0 2 :N 0, 3960 or later).
[0075] (6) 新規テストノード特定部 1 2は、 対象ノードが下位のノードを有する 場合であって、 対象ノードに接続される下位ゲートが八 0ゲートの場合は 、 当該八 0ゲートに接続される全てのノードの事象が発生するように八 ロゲ_卜以下のノードを新規テストノードに追加する (3 9 0 6 : 丫巳 3、 (6) When the target node has a lower node and the lower gate connected to the target node is 80 gates, the new test node identification unit 12 connects to the 80 gate. Add the following nodes to the new test node so that the events of all the generated nodes will occur (3 9 0 6 :丫巳 3,
3 9 1 1
Figure imgf000022_0001
9 1 5) 。 対象ノードが下位のノードを有する場合であって、 対象ノードに接続される下位ゲートが〇 [¾ゲ_卜の場合は、 当該〇 [¾ゲ_卜 に接続されるいずれか 1つのノードの事象が発生するように当該〇 [¾ゲ_卜 以下のノードを新規テストノードに追加する (3 9 0 6 : 1\!〇、 3 9 2 1〜 3 9 2 4) 0 3 9 1 1
Figure imgf000022_0001
9 15). If the target node has a lower node and the lower gate connected to the target node is 〇 [¾ge_卜, the event of any one node connected to the 〇[¾ge_卜] So that the following nodes are added to the new test node (3 9 0 6 :1\!〇, 3 9 2 1 to 3 9 2 4) 0
[0076] (変形例 1) [0076] (Modification 1)
上述した第 1の実施の形態では、 故障木を構成するノードおよびゲートの 情報がノード情報 9 1 に格納され、 さらに各ノードが対応する安全機能の識 別子もノード情報 9 1 に格納された。 しかしノード情報 9 1 にゲートの情報 を含めず、 ゲートの情報を個別に記憶部 9に格納してもよい。 また安全機能 の情報もノード情報 9 1 に含めなくてもよい。 In the first embodiment described above, the nodes and gates that make up the fault tree are The information is stored in the node information 91, and the identifier of the safety function corresponding to each node is also stored in the node information 91. However, the gate information may be stored individually in the storage unit 9 without including the gate information in the node information 91. Also, information on safety functions need not be included in the node information 91.
[0077] (変形例 2) [0077] (Modification 2)
演算装置 1 を動作させるためのプログラムは、 予め ROMに格納されてい なくてもよく、 次のように外部から読み込まれてもよい。 図 1 4は、 プログ ラムを外部から読み込む様子を示す図である。 演算装置 1 に対するプログラ ムの供給は、 プログラムを格納した CD- ROMなどの記録媒体 904を演 算装置 1 にセツ トして行ってもよいし、 ネツ トワークなどの通信回線 901 を経由する方法で演算装置 1へ読み込ませてもよい。 通信回線 901 を経由 する場合は、 当該通信回線に接続されたサーバー902のストレージ装置 9 03などにプログラムを格納しておく。 The program for operating the arithmetic unit 1 does not have to be stored in the ROM in advance, and may be read from the outside as follows. Figure 14 shows how the program is read from outside. The program may be supplied to the arithmetic unit 1 by setting a recording medium 904 such as a CD-ROM storing a program on the arithmetic unit 1 or by a method of passing through a communication line 901 such as a network. It may be read into the arithmetic unit 1. When passing through the communication line 901, the program is stored in the storage device 903 of the server 902 connected to the communication line.
[0078] サーバー902はストレージ装置 903を使用してプログラムの情報を読 み出し、 通信回線 901 を介して演算装置 1 に送信する。 すなわち、 プログ ラムをデータ信号として搬送波を介して、 通信回線 901 を介して送信する 。 このように、 演算装置 1 を動作させるためのプログラムは、 記録媒体やデ —夕信号 (搬送波) などの種々の形態のコンピュータ読み込み可能なコンビ ュータプログラム製品として供給できる。 The server 902 reads the program information using the storage device 903 and sends it to the arithmetic unit 1 via the communication line 901. That is, the program is transmitted as a data signal via the carrier wave and the communication line 901. As described above, the program for operating the arithmetic unit 1 can be supplied as a computer readable computer program product in various forms such as a recording medium or a data signal (carrier wave).
[0079] (変形例 3) [0079] (Modification 3)
演算装置 1は、 C P U 2、 ROM3、 および RAM4の組み合わせの代わ りに書き換え可能な論理回路である F P G A (Field Programmable Gate Array) や特定用途向け集積回路である A S I C (Application Specific I ntegrated Circuit) により実現されてもよい。 また演算装置 1は、 C P U 2、 ROM 3、 および RAM4の組み合わせの代わりに、 異なる構成の組み 合わせ、 たとえば C P U、 ROM、 RAMと F PGAの組み合わせにより実 現されてもよい。 Arithmetic unit 1 is realized by an FPGA (Field Programmable Gate Array), which is a rewritable logic circuit instead of the combination of CPU 2, ROM3, and RAM4, and an ASIC (Application Specific Integrated Circuit), which is an integrated circuit for specific applications. May be done. Further, the arithmetic unit 1 may be realized by a combination of different configurations, for example, a combination of C PU, ROM, RAM and F PGA, instead of a combination of C PU 2, ROM 3, and RAM 4.
[0080] 一第 2の実施の形態一 \¥02020/175060 22 卩(:171?2020/004324 [0080] First Second Embodiment \¥02020/175060 22 卩 (: 171-12020/004324
図 1 5〜図 1 6を参照して、 演算装置の第 2の実施の形態を説明する。 以 下の説明では、 第 1の実施の形態と同じ構成要素には同じ符号を付して相違 点を主に説明する。 特に説明しない点については、 第 1の実施の形態と同じ である。 本実施の形態では、 故障木の構成に変更があった場合に、 故障揷入 テスト以外のテストについて、 新規にテストが必要な箇所を特定するととも に、 テスト済みの部分については回帰テスト対象となるテストケースを特定 する。 第 1の実施の形態と同じ構成には同じ番号を付与して説明を省略する 。 本実施の形態では、 故障揷入テストだけではなく開発中に実施されたテス 卜、 たとえば、 総合テスト、 結合テスト、 単体テストなども実施する。 A second embodiment of the arithmetic unit will be described with reference to FIGS. In the following description, the same components as those in the first embodiment are designated by the same reference numerals, and the differences are mainly described. The points that are not particularly described are the same as those in the first embodiment. In the present embodiment, when there is a change in the structure of the fault tree, for the tests other than the fault insertion test, the part that requires a new test is specified, and the part that has been tested is the target of the regression test. Identify test cases that The same numbers are given to the same configurations as the first embodiment, and the description is omitted. In the present embodiment, not only the fault injection test, but also the test performed during development, for example, the comprehensive test, the integration test, and the unit test.
[0081 ] (構成) [0081] (Structure)
第 2の実施の形態における演算装置 1 八のハードウエア構成は、 第 1の実 施の形態と同様なので説明を省略する。 第 2の実施の形態における演算装置 1 八の動作が第 1の実施の形態と一部のみ異なる。 また本実施の形態では記 憶部 9には、 既存テスト情報 9 2および新規テスト情報 9 3の代わりに既存 テスト情報 9 2 および新規テスト情報 9 3 が格納される。 The hardware configuration of the arithmetic unit 18 according to the second embodiment is the same as that of the first embodiment, and therefore its explanation is omitted. The operation of the arithmetic unit 18 in the second embodiment is partially different from that in the first embodiment. Further, in the present embodiment, the memory 9 stores the existing test information 92 and the new test information 93 instead of the existing test information 92 and the new test information 93.
[0082] 本実施の形態における既存テスト情報 9 2 は、 第 1の実施の形態におけ る既存テスト情報 9 2の情報に加えてテスト種別の情報が格納される。 新規 テスト情報 9 3 の構成も同様である。 The existing test information 92 in the present embodiment stores information on the test type in addition to the information of the existing test information 92 in the first embodiment. The structure of the new test information 93 is also the same.
[0083] 図 1 5は第 2の実施の形態における既存テスト情報 9 2八の一例を示す図 である。 既存テスト情報 9 2八の各レコードは、 第 1の実施の形態における 既存テスト情報 9 2のフイールドに加えてテスト種別のフイールドを有する 。 またテストの種別が故障挿入テストに限定されないため、 「故障挿入箇所 」 のフイールドが 「対象ノード」 に改称される。 FIG. 15 is a diagram showing an example of existing test information 92 8 in the second embodiment. Each record of the existing test information 92 8 has a field of test type in addition to the field of the existing test information 92 in the first embodiment. Also, since the type of test is not limited to the fault insertion test, the field of "fault insertion point" is renamed to "target node".
[0084] 図 1 6は第 2の実施の形態における演算装置 1 の全体処理を示すフロー チヤートである。 図 1 6は、 第 1の実施の形態における図 7から 3 7 0 7を 削除して 3 1 5 0 7および 3 1 5 0 8を追加したものである。 ここでは追加 した 3 1 5 0 7および 3 1 5 0 8のみ説明する。 3 1 5 0 7では、 演算装置 1 八は、 3 7 0 5および 3 7 0 6で特定されたノードについて新規テストノ \¥02020/175060 23 卩(:171?2020/004324 FIG. 16 is a flow chart showing the overall processing of the arithmetic unit 1 according to the second embodiment. FIG. 16 is obtained by deleting 3770 from FIG. 7 in the first embodiment and adding 3150 and 3150. Here, only the added 3150 and 3150 will be described. In 3150 7, the computing unit 18 uses the new test nodes for the nodes identified in 3750 and 3706. \¥02020/175060 23 卩(: 171?2020/004324
—ド特定部 1 2八を参照してそのノードがテスト対象となったテストケース を選択する。 この際に、 そのノードがテスト対象となった全てのテストケー スを選択してもよいし、 テスト種別を限定してもよい。 — Select the test case in which the node is the test target by referring to the de-identification part 1 2.8. At this time, all the test cases where the node is the test target may be selected, or the test type may be limited.
[0085] たとえば 3 7 0 5および 3 7 0 6で特定されたノードが 3 0 1であり、 既存テスト情報 9 2八が図 1 5に示すものの場合に、 次のテストケースが選 択される。 すなわち、 ノード 3 0 1はテストケース丁〇 1 1および丁〇 1 2の両方において対象ノードとなっているので、 テストケース丁〇 1 1およ び丁〇 1 2の両方のテストケースが選択される。 ただしあらかじめオペレー 夕などがテスト種別を結合テストに限定していた場合には、 テストケース丁 〇 1 1のみが選択される。 [0085] For example, if the node identified in 3705 and 3706 is 3101 and the existing test information 928 is as shown in Figure 15 then the next test case is selected. .. That is, since node 301 is the target node in both test cases 011 and 012, both test cases 011 and 012 are selected. It However, if the operation type has limited the test type to integration test in advance, only the test case note 11 is selected.
[0086] 次に演算装置 1 八は、 3 1 5 0 8において、 3 7 0 5で特定されたノード から新規にテストケースを作成すべきノードを特定する。 なお特定されたす ベてのノードのうち、 ノード情報にテストケースが設定されていないノード は、 すべてテストケースを作成するノードとなる。 また、 新規のテストケー スのテスト種別は特に限定されないが、 たとえば故障揷入テストとすること ができる。 以上の処理によって、 回帰テスト対象のテストケースの特定、 お よび、 新規テスト対象のノードの特定が可能である。 Next, in 3150, the arithmetic unit 18 specifies the node for which a new test case should be created from the nodes specified in 3705. Of all the specified nodes, the node for which the test case is not set in the node information is the node that creates the test case. Moreover, the test type of the new test case is not particularly limited, but it can be, for example, a fault insertion test. By the above processing, it is possible to specify the test case of the regression test target and the node of the new test target.
[0087] (第 2の実施の形態の変形例) (Modification of Second Embodiment)
第 2の実施の形態において、 既存テスト情報 9 2八にテストケース 丨 0を 記録する代わりに検証丨 口を記録してもよい。 テストケース 1 口は試験内容 を特定するための識別番号であったが、 検証丨 口は過去の検証活動における 試験の結果や検証記録を特定するための識別番号である。 この場合は、 過去 に検証が行われたノードのうち、 再検証が必要なノードを特定すること、 お よび、 新規に検証が必要なノードを特定することも可能である。 検証丨 口を 使用する場合のノードの特定方法はテストケースを作成すべきノードの特定 の方法と同様であり、 参照すべき情報が異なる。 すなわち、 リストを作成す ることにより再検証が必要なノードを特定する。 In the second embodiment, instead of recording the test case 0 in the existing test information 92, the verification port may be recorded. One unit of the test case was an identification number for identifying the test content, while the verification unit was an identification number for identifying the test results and verification records in past verification activities. In this case, it is possible to specify the node that needs re-verification among the nodes that have been verified in the past and the node that needs new verification. The method of identifying the node when using the verification gateway is the same as the method of identifying the node that should create the test case, and the information to be referenced is different. In other words, create a list to identify the nodes that need revalidation.
[0088] なお、 本発明は上記した実施例に限定されるものではなく、 様々な変形例 \¥02020/175060 24 卩(:171?2020/004324 The present invention is not limited to the above-mentioned embodiments, and various modifications are possible. \¥02020/175060 24 卩 (: 171?2020/004324
を含む。 例えば、 上記した実施例は本発明を分かりやすく説明するために詳 細に説明したものであり、 必ずしも説明した全ての構成を備えるものに限定 されるものではない。 また、 ある実施例の構成の一部を他の実施例の構成に 置き換えることが可能であり、 また、 ある実施例の構成に他の実施例の構成 を加えることも可能である。 また、 各実施例の構成の一部について、 他の構 成の追加 ·削除 ·置換をすることが可能である。 including. For example, the above-described embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the configurations described. Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add/delete/replace other configurations with respect to a part of the configuration of each embodiment.
[0089] 上述した各実施の形態および変形例は、 それぞれ組み合わせてもよい。 上 記では、 種々の実施の形態および変形例を説明したが、 本発明はこれらの内 容に限定されるものではない。 本発明の技術的思想の範囲内で考えられるそ の他の態様も本発明の範囲内に含まれる。 The above-described embodiments and modified examples may be combined with each other. Although various embodiments and modifications have been described above, the present invention is not limited to these contents. Other aspects that are conceivable within the scope of the technical idea of the present invention are also included within the scope of the present invention.
[0090] 次の優先権基礎出願の開示内容は引用文としてここに組み込まれる。 [0090] The disclosure content of the following priority basic application is incorporated herein by reference.
日本国特許出願 2 0 1 9 - 3 4 2 2 7 (2 0 1 9年 2月 2 7日出願) 符号の説明 Japanese patent application 2 0 1 9-3 4 2 2 7 (filed February 27, 209) Description of symbols
[0091 ] 1 演算装置 [0091] 1 arithmetic unit
9 記憶部 9 Memory
1 1 安全機能特定部 1 1 Safety function specification section
1 2 新規テストノード特定部 1 2 New test node identification section
1 3 再テストノード特定部 1 3 Retest node identification section

Claims

\¥0 2020/175060 25 卩(:17 2020 /004324 請求の範囲 \¥0 2020/175 060 25 卩(: 17 2020/004324 Claims
[請求項 1 ] 複数のノードを有し、 前記複数のノードのうち少なくとも 1つのノ [Claim 1] It has a plurality of nodes, and at least one node of the plurality of nodes is
-ドは安全機能と関連付けられている故障木について、 変更前の前記 故障木の構成、 変更後の前記故障木の構成、 および前記安全機能ごと に過去にテストされた前記ノードを示す情報を格納する記憶部と、 前記故障木の変更に関する情報に基づき前記変更の影響を受ける前 記安全機能を特定する安全機能特定部と、 -For the fault tree associated with the safety function, the configuration stores the configuration of the fault tree before the change, the configuration of the fault tree after the change, and the information indicating the node tested in the past for each safety function. And a safety function identifying unit that identifies the safety function affected by the change based on information about the change in the failure tree,
前記変更後の前記故障木の構成および過去にテストされた前記ノー ドに基づき、 前記安全機能特定部により特定された前記安全機能を再 度テストするための前記ノードであって、 過去にテストされた前記ノ —ドである再テストノードを特定する再テストノード特定部と、 前記変更後の前記故障木の構成および過去にテストされた前記ノー ドに基づき、 新たにテスト対象となるノードである新規テストノード を特定する新規テストノード特定部とを備える演算装置。 The node for re-testing the safety function specified by the safety function specifying unit based on the changed fault tree configuration and the node tested in the past, which has been tested in the past. A retest node specifying unit that specifies a retest node that is the node, and a node that is a new test target based on the changed fault tree configuration after the change and the nodes that have been tested in the past. An arithmetic unit comprising a new test node specifying unit for specifying a new test node.
[請求項 2] 請求項 1 に記載の演算装置において、 [Claim 2] In the arithmetic unit according to claim 1,
前記安全機能特定部は、 前記変更により追加された前記ノードから 前記故障木の最上位の前記ノードまで迪った際に通過する全ての前記 ノードのそれぞれに関連付けられる安全機能を、 前記変更の影響を受 ける安全機能として特定する演算装置。 The safety function specifying unit determines the safety function associated with each of all the nodes that pass when the node added from the change to the node at the top of the failure tree is affected by the change. An arithmetic unit that is specified as a safety function that receives
[請求項 3] 請求項 1 に記載の演算装置において、 [Claim 3] The arithmetic unit according to claim 1,
前記再テストノード特定部は、 前記変更により追加された前記ノー ドのうち最上位のノードを対象ノードとし、 前記対象ノードが前記変 更による変更後の前記故障木における最上位の前記ノードである場合 は前記再テストノードへの追加を行わない演算装置。 The retest node identification unit sets the highest node among the nodes added by the change as a target node, and the target node is the highest node in the failure tree after the change by the change. In the case, an arithmetic unit that does not add to the retest node.
[請求項 4] 請求項 3に記載の演算装置において、 [Claim 4] In the arithmetic unit according to claim 3,
前記再テストノード特定部は、 前記対象ノードに接続される上位の ゲートが八 0ゲートの場合は、 当該八 0ゲートに接続するそれぞ れの前記ノードの事象が発生するように、
Figure imgf000027_0001
0ゲート以下の前 \¥02020/175060 26 卩(:171?2020/004324 If the upper gate connected to the target node is 80 gates, the retest node identifying unit may generate an event for each of the nodes connected to the 80 gate,
Figure imgf000027_0001
Below 0 gates \¥02020/175060 26 卩(:171?2020/004324
記ノードであつて過去にテストされたノードを前記再テストノードに 追加する演算装置。 A computing device that adds a node that has been tested in the past to the retest node.
[請求項 5] 請求項 1 に記載の演算装置において、 [Claim 5] In the arithmetic unit according to claim 1,
前記新規テストノード特定部は、 前記変更により追加された前記ノ —ドのうち最上位のノードを対象ノードとし、 前記対象ノードが下位 の前記ノードを有しない場合は前記対象ノードを前記新規テストノー ドに追加し、 前記対象ノードが下位の前記ノードを有する場合は前記 対象ノードを前記新規テストノードに追加しない演算装置。 The new test node specifying unit sets the highest node among the nodes added by the change as a target node, and if the target node does not have the lower node, the target node is set to the new test node. A computing device that is added to the new test node when the target node has a lower node.
[請求項 6] 請求項 5に記載の演算装置において、 [Claim 6] In the arithmetic unit according to claim 5,
前記新規テストノード特定部は、 The new test node identification unit,
前記対象ノードが下位の前記ノードを有する場合であって、 前記対 象ノードに接続される下位ゲートが八 0ゲートの場合は、 当該八 ロゲ_卜に接続される全ての前記ノードの事象が発生するように前記 八 0ゲート以下の前記ノードを前記新規テストノードに追加し、 前記対象ノードが下位の前記ノードを有する場合であって、 前記対 象ノードに接続される下位ゲートが〇[¾ゲ_卜の場合は、 当該〇[¾ゲ -卜に接続されるいずれか 1つの前記ノードの事象が発生するように 当該〇[¾ゲ_卜以下の前記ノードを前記新規テストノードに追加する 演算装置。 If the target node has lower nodes and the lower gate connected to the target node is 80 gates, the events of all the nodes connected to the target log node occur. In the case where the node having 80 gates or less is added to the new test node so that the target node has the lower node, the lower gate connected to the target node is In the case of _, the above 〇[¾_卜 or less of the above nodes are added to the new test node so that the event of any one of the above nodes connected to the above apparatus.
[請求項 7] 複数のノードを有し、 前記複数のノードのうち少なくとも 1つのノ [Claim 7] It has a plurality of nodes, and at least one node of the plurality of nodes is
-ドは安全機能と関連付けられている故障木について、 変更前の前記 故障木の構成、 変更後の前記故障木の構成、 および前記安全機能ごと に過去にテストされた前記ノードを示す情報を格納する記憶部を備え るコンピュータに、 -For the fault tree associated with the safety function, the DO stores the configuration of the fault tree before the change, the configuration of the fault tree after the change, and the information indicating the node tested in the past for each safety function. A computer equipped with a storage unit
前記故障木の変更に関する情報に基づき前記変更の影響を受ける前 記安全機能を特定することと、 Identifying the safety function affected by the change based on information about the change in the fault tree;
前記変更後の前記故障木の構成および過去にテストされた前記ノー ドに基づき、 前記特定された前記安全機能を再度テストするための前 \¥02020/175060 27 卩(:171?2020/004324 Based on the modified fault tree configuration and the previously tested nodes, before retesting the identified safety function. \¥02020/175060 27 卩(:171?2020/004324
記ノードであって、 過去にテストされた前記ノードである再テストノ —ドを特定することと、 Identifying a retest node that is a node that has been tested in the past,
前記変更後の前記故障木の構成および過去にテストされた前記ノー ドに基づき、 新たにテスト対象となるノードである新規テストノード を特定することとを実行させるためのプログラムを記録したコンピュ —夕読み取り可能な記録媒体。 A computer that records a program for executing a new test node, which is a new test target node, based on the changed fault tree configuration and the previously tested nodes. A readable recording medium.
PCT/JP2020/004324 2019-02-27 2020-02-05 Computation device and recording medium WO2020175060A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2019034227A JP7082584B2 (en) 2019-02-27 2019-02-27 Arithmetic logic unit, program
JP2019-034227 2019-02-27

Publications (1)

Publication Number Publication Date
WO2020175060A1 true WO2020175060A1 (en) 2020-09-03

Family

ID=72238297

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2020/004324 WO2020175060A1 (en) 2019-02-27 2020-02-05 Computation device and recording medium

Country Status (2)

Country Link
JP (1) JP7082584B2 (en)
WO (1) WO2020175060A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06222922A (en) * 1993-01-21 1994-08-12 Sankyo Seiki Mfg Co Ltd Expert system
JP2003228485A (en) * 2002-02-06 2003-08-15 Kawasaki Heavy Ind Ltd Diagnosis rule structuring method based on failure mode analysis, diagnosis rule creating program, and failure diagnosis device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6222922B2 (en) 2012-12-28 2017-11-01 キヤノン株式会社 Optical apparatus, image blur correction apparatus, and control method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06222922A (en) * 1993-01-21 1994-08-12 Sankyo Seiki Mfg Co Ltd Expert system
JP2003228485A (en) * 2002-02-06 2003-08-15 Kawasaki Heavy Ind Ltd Diagnosis rule structuring method based on failure mode analysis, diagnosis rule creating program, and failure diagnosis device

Also Published As

Publication number Publication date
JP2020140343A (en) 2020-09-03
JP7082584B2 (en) 2022-06-08

Similar Documents

Publication Publication Date Title
US10169215B2 (en) Method and system for analyzing test cases for automatically generating optimized business models
CN109063952B (en) Policy generation and risk control method and device
EP3059676B1 (en) A method and apparatus for analyzing the availability of a system, in particular of a safety critical system
CN106327140B (en) Method and device for monitoring data modification
CN113139687B (en) Method and device for predicting credit card user default
CN115904938B (en) Change risk prevention and control system, method, electronic equipment and storage medium
CN105278966B (en) The design and method of testing of satellite carried Guidance & Navigation software based on failure mode analysis (FMA)
CN103440460A (en) Application system change validation method and system
WO2020175060A1 (en) Computation device and recording medium
JP5782395B2 (en) Array generation method and array generation apparatus
US8539598B2 (en) Detection of customizations of application elements
CN109411034A (en) Regular integrity verification method and device, the computer readable storage medium of medical inspection project
CN113610496B (en) Order examination method and corresponding order examination system, computer equipment and medium
Katz et al. Verifying scenario-based aspect specifications
CN115698993A (en) Hardware Trojan detection method, hardware Trojan detection device, and program for hardware Trojan detection
RU2483359C2 (en) Map with integrated circuit having modified operating program and corresponding modification method
US8812655B2 (en) Determining deadlock-critical relations between components of a vehicle system
CN110351100A (en) Data transmission method, device, computer equipment and computer readable storage medium
EP3910478A1 (en) Method and system for classification and ranking of delta alarms
Paiboonkasemsut et al. Reliability tests for process flow with fault tree analysis
WO2024018657A1 (en) Operation process searching device, operation process searching method, and operation process searching program
CN113807956B (en) Data processing method, medium, equipment and system for joint loan
CN114490313B (en) Security check defect detection method based on key semantic features
US20240144253A1 (en) Control method, server, and recording medium
Bernardinello et al. Morphisms on Marked Graphs.

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20762299

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20762299

Country of ref document: EP

Kind code of ref document: A1