JIS C 0508-7:2017 電気・電子・プログラマブル電子安全関連系の機能安全―第７部：技術及び手法の概観 | ページ 24

114
C 0508-7 : 2017 (IEC 61508-7 : 2010)
  1.7) 次の制約条件及び指示を回避する。
        − バス信号に対する昇順レンジ(xからyへ)の使用
        − Verilogの“Disable”命令(goto命令に相当する。)
        − 多次元アレイ(>2),レコード
        − 符号付き及び符号なしデータ型の組合せ。
  2) 次による完全同期設計(クロックを中央クロックから導くことが認められている。)
  2.1) モジュールの出力は同期化することが望ましく,テスト可能性及び静的タイミング解析も支援す
        ることが望ましい。
  2.2) ゲート付きのクロックは,特別な注意をもって取り扱うことが望ましい。
  3) データとクロックとの結合を回避することによって,テスト可能性,レイアウト前後のデータ間の
      再現性及びRTL(レジスタ転送レベル)挙動との適合性を向上させる。
  4) 冗長性ロジックは,テストができないので,回避することが望ましい。
         データとクロック信号との結合                         冗長性ロジック
  5) 組合せ論理におけるフィードバック ループは,設計を不安定にし,テストができないので,回避す
      ることが望ましい。
  6) フルスキャン設計を推奨する。
  7) ラッチを回避することによって,テスト可能性を向上させ,合成中のタイミング制約を小さくする。
  8) マスターリセット及び全ての非同期入力は,二つの連続したメモリ要素(フリップフロップ)又は
      等価回路(準安定)によって同期化することが望ましい。
  9) マスターリセットを除き,非同期セット及びリセットを回避することが望ましい。
  10) モジュールポートレベルでの信号の種類は,stdlogic 又はstdlogicvectorであることが望ましい。
E.15 コードチェッカーの適用
目的 : コードチェッカーツールによって,コーディング規則(“コーディングスタイル”)の適合確認を自
      動的に行う。
説明 : コードチェッカーの適用は,コーディングスタイルの順守及びオンラインでの文書作成を,かなり
      の範囲にわたって自動的に支援する。ただし,自動的なコードチェッカーは,通常,コードの構文
      及び意味論をチェックしている。したがって,このようなツールを適用する場合には,設計者が別
      途実装して,評価しなければならないプロジェクト固有のコーディング規則によって,一般コーデ
      ィング規則(“ツール固有”)を拡張することが望ましい。
E.16 防御的プログラミング
  C.2.5を参照する。

――――― [JIS C 0508-7 pdf 116] ―――――

                                                                                            115
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
E.17 シミュレーション結果の文書化
目的 : 規定した回路機能の適合確認のためのシミュレーションの成功に必要な全てのデータを文書化する。
説明 : モジュール,チップ又はシステムの水準の機能シミュレーションに必要な全てのデータを十分に文
      書化し,次の目的のために記録保管する。
      − 後のフェーズにおいて,ターンキー方式でいつでもシミュレーションを繰り返すため。
      − 規定した全ての機能の正確さ及び完全性を実証するため。
        この目的のために,次に示すデータベースをアーカイブにすることが望ましい。
      − 例えば,シミュレータ,対応するバージョンの合成ツール,必要なシミュレーションライブラ
          リなど,適用するツールのソフトウェア一式を含むシミュレーションのセットアップ
      − シミュレーションの時間に関する完全な詳細を備えたシミュレーションログファイル,適用す
          るツール及びそのバージョン,並びに該当する場合は,完全な回避策報告書
      − 特に,手動検査及び取得結果の文書類の場合,信号フローを含む全ての関連シミュレーション
          結果
E.18 コード検査
    注記1 C.5.14も参照。
目的 : 回路記述をレビューする。
説明 : 回路記述のレビューは,次によって実施することが望ましい。
      − コーディングスタイルのチェック
      − 記述した機能性の,仕様に基づく適合確認
      − 防衛的コーディング,エラー及び例外処理のチェック
        注記2 (V)   HDLのシミュレーションを行わない場合,コード検査の完全さ及び達成した成果の
                品質は,(V)   HDLシミュレーションによって達成したものと同等の品質をもつことが望
                ましい。
E.19 ウォークスルー
    注記1 C.5.15も参照。
目的 : ウォークスルーによって,回路記述をレビューする。
説明 : コードウォークスルーは,プログラムに対する小さなテストケースセット,代表的な入力セット及
      び対応する期待出力セットを選択するウォークスルーチームで構成する。次に,テストデータは,
      プログラムのロジックを通じて,手動でトレースする。
        注記2 独立した手法として,これは,非常に複雑度の低い回路だけに適用することが望ましい。
                (V)   HDLシミュレーションに失敗した場合であっても,ウォークスルーの完全性及び成
                果の品質は,(V)   HDLシミュレーションによって達成したものと同等の品質をもつこと
                が望ましい。

参考文献

――――― [JIS C 0508-7 pdf 117] ―――――

116
C 0508-7 : 2017 (IEC 61508-7 : 2010)
説明 : ベンダー側でソフトコアの妥当性確認をする場合,次の必要な事項を履行することが望ましい。
      − 安全関連系の運用のためにソフトコアの妥当性確認を行い,計画対象システムと同等以上の安
          全度水準をもつことが望ましい。
      − ソフトコアの妥当性確認に必要な,全ての想定事項及び制限条件に従うことが望ましい。
      − ソフトコアの妥当性確認に必要な全ての文書は,容易に入手できることが望ましい。E.17も参
          照。
      − 各ベンダー仕様を厳密に順守し,適合性の証拠を文書化することが望ましい。
E.21 ソフトコアの妥当性確認
    注記 E.6も参照。
目的 : 設計ライフサイクル中にソフトコアの妥当性確認をすることによって,ソフトコア動作中の機能失
      敗を回避する。
説明 : ソフトコアが安全関連系での運用のために特に開発されたものでない場合,生成したコードは,全
      てのソースコードに適用するものと同じ仮定で妥当性確認をすることが望ましい。すなわち,考え
      られる全てのテストケースを定義し,実装することが望ましい。次に,機能の適合確認をシミュレ
      ーションで得ることが望ましい。
E.22 タイミング制約をチェックするためのゲートネットリストのシミュレーション
目的 : 合成の間に実現したタイミング制約条件を,独立した適合確認で行う。
説明 : ライン遅延及びゲート遅延のバックアノテーションを含む合成によって生成する,ゲートネットリ
      ストによってシミュレーションを行う。高い比率でタイミング制約条件をカバーし,全ての最悪の
      場合のタイミングパスを含めるように,回路を刺激するためのスティミュラスを導き出す。一般に,
      E.6の“モジュールレベルでの機能テスト”又はE.7の“最上位の機能テスト”を実行するために
      必要なスティミュラスは,スティミュラスを選択するための適切な基準となるが,機能テスト中十
      分なテストカバレッジが達成できることが条件である。回路は,規定クロックレートを最大にして,
      最良の場合及び最悪の場合の条件でテストする。
        タイミング適合確認は,ターゲットライブラリのメモリ要素(フリップフロップ)のセットアッ
      プ及びホールド時間を自動チェックして,回路機能の適合確認をすることで実施する。機能適合確
      認は,主として,チップの出力を観察することで実施する。この適合確認は,回路の出力信号を適
      切な基準モデル又は回路の(V)   HDLソースコードと対比することで自動化できる。このテストは,
      “リグレッションテスト”と呼ばれ,出力信号の手動チェックよりも望ましい。
        注記 この手法を適用することで,シミュレーションの間,実際にスティミュラスを受けたタイ
              ミングパスのタイミング挙動だけが適合確認できる。したがって,一般的に,特別の手法
              では,回路の完全なタイミング解析を提供することはできない。
E.23 伝ぱ(播)遅延の静的解析(STA)
目的 : 合成の間に実現したタイミング制約条件を,独立した適合確認で行う。
説明 : 静的タイミング解析(STA)は,バックアノテーションを考慮した合成ツールが生成したネットリ
      スト(回路)の全てのパス,すなわち,合成ツールによる推定ライン遅延,及び実際のシミュレー
      ションをしないゲート遅延を解析する。したがって,一般に,回路全体のタイミング定数を完全に

――――― [JIS C 0508-7 pdf 118] ―――――

                                                                                            117
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
      解析することができる。テスト対象回路は,規定のクロックレートを最大にした最良の場合及び最
      悪の場合の条件で,該当するクロックジッタ及びデューティサイクルスキューを考慮して解析する。
      非関連タイミングパスの数は,適切な設計技術を採用することによって,一定の最小数に限定でき
      る。設計を開始する前に,容易に読取可能な結果をもたらす使用中の技術を調査,解析及び定義す
      ることが望ましい。
        注記 STAは,次の場合,既存の全てのタイミングパスを明確にカバーしていると想定できる。
      a) タイミング制約条件を適切に規定している。
      b) テスト対象回路は,STAツールによって解析できるタイミングパス,すなわち,一般に,完全
          同期回路をもつケースだけを含んでいる。
E.24 シミュレーションによる標準モデルに基づくゲートネットリストの適合確認
目的 : 合成したゲートネットリストの機能等価性チェックを行う。
説明 : 合成ツールで生成したゲートネットリストをシミュレーションする。シミュレーションによる回路
      の適合確認のために適用するスティミュラスは,E.6の“モジュールレベルでの機能テスト”及び
      E.7の“最上位の機能テスト”で,それぞれ適用したスティミュラスと正確に一致する。機能の適
      合確認は,主として,チップの出力を観察することで行う。この適合確認は,回路の出力信号を適
      切な基準モデル又は回路の(V)   HDLソースコードと対比することで自動化できる。このテストは,
      “リグレッションテスト”と呼ばれ,出力信号の手動チェックよりも望ましい。
        注記 この手法を適用することで,シミュレーションの間,実際にスティミュラスを受けたパス
              の機能的挙動だけを適合確認できる。したがって,テストカバレッジは,それぞれ,モジ
              ュールレベル又は最上位での本来の機能テストと同様である。この手法を,形式的等価テ
              ストで補足することもできる。いずれの場合も,(V)   HDLソースコードの機能適合確認は,
              合成ツールが最後に生成したネットリストを用いて行う。
E.25 ゲートネットリストと標準モデルとの比較(形式的等価テスト)
目的 : シミュレーションから独立した,機能等価性チェックを行う。
説明 : (V)   HDLソースコードで記述した回路機能性と,合成によって生成したゲートネットリストの回路
      機能性とを比較する。形式的等価原理に基づくツールは,回路の様々な表現形態,例えば,(V)   HDL
      記述又はネットリスト記述の機能等価性を適合確認することができる。この手法を適用することに
      よって,機能シミュレーションが不要になり,独立した機能チェックが可能となる。適用したツー
      ルが完全な等価性を証明できて,かつ,報告済みの全ての不一致が手動検査又は自動検査によって
      評価された場合に限り,この手法を適用して成果を上げることができる。
        注記 この手法は,E.24と結び付けると効果的である。いずれの場合も,(V)   HDLソースコード
              の機能適合確認は,合成ツールで生成した最終ネットリストを用いて実施することが望ま
              しい。
E.26 ベンダー要求事項及び制約のチェック
目的 : ベンダー要求事項を確認して,製造時の故障を回避する。
説明 : 例えば,最小及び最大のファンイン及びファンアウト,最大ワイヤ長(ライン遅延),信号の最大
      スルーレート,クロックスキューなどの,ベンダー要求事項及び制約条件を合成ツールによって慎

――――― [JIS C 0508-7 pdf 119] ―――――

118
C 0508-7 : 2017 (IEC 61508-7 : 2010)
      重にチェックすることによって,製品の信頼性を向上させる。製造工程に対する要求事項の重要性
      のほかに,要求事項に対する違反も,シミュレーションで用いる適用モデルの妥当性に大きな影響
      を与える。したがって,ベンダー要求事項及び制約条件に何らかの形で違反した場合,シミュレー
      ション結果は不良となり,望ましくない機能性を生成する。
E.27 合成制約条件,結果及びツールの文書化
目的 : 最終ゲートネットリストを生成するための最適な合成に必要な,全ての制約条件を文書化する。
説明 : 全ての合成制約条件及び結果を文書化することは,次の理由から,不可欠である。
      − 後のいずれかのフェーズで合成を再生成するため。
      − 適合確認のために独立した合成結果を生成する。
        基本的文書を,次に示す。
      − 適用したツール及び合成ソフトウェア,これらの適用したバージョン,適用した合成ライブラ
          リ,並びに定義した制約条件及びスクリプトを含む,合成セットアップ
      − 時刻が注記された合成ログファイル,適用したバージョン付きツール及び合成の文書一式
      − 推定時間遅延をもつ生成済みネットリスト[標準遅延フォーマット(SDF)ファイル]
E.28 使用実績のある合成ツールの適用
目的 : ゲートネットリストにある回路に対する,(V)   HDL記述のツールベースの変換を行う。
説明 : ターゲットASICライブラリの適切なゲートと回路プリミティブとの結合によって,回路機能性の
      (V)   HDLソースコードのツールベースのマッピングを行う。希望する機能性を満たすために考えら
      れる各種実装から選択した実装は,タイミング(クロック率)及びチップエリアのような合成制約
      条件で得られる最適結果に依存する。
E.29 使用実績のあるターゲットライブラリの適用
    注記 E.4も参照。
目的 : 不良ターゲットライブラリが引き起こす決定論的原因故障を回避する。
説明 : ASICの開発において合成及びシミュレーションのターゲットライブラリは,共通データベースか
      ら得られるため,独立したものではない。決定論的原因故障の代表的な例を,次に示す。
      − 回路要素の実挙動とモデル化による挙動との間の曖昧さ
      − 例えば,セットアップ及びホールドタイムの,不十分なモデル化
        したがって,次に示す“使用実績のある”技術及びターゲットライブラリだけを,安全機能を果
      たすASICの設計に用いることが望ましい。
      − 相当する複雑さ及びクロックレートをもち,プロジェクトで相当長期間用いられてきたターゲ
          ットライブラリ。
      − ライブラリのモデル化の正確さが十分に期待できるように,十分長期間にわたって利用可能な
          技術及びこれに対応するターゲットライブラリ
E.30 スクリプトに基づく手順
目的 : 結果の再現性を支援し,合成サイクルを自動化する。
説明 : 適用した制限条件の定義を含め,合成サイクルの自動化及びスクリプトベースの制御を行う。合成

――――― [JIS C 0508-7 pdf 120] ―――――

次のページ PDF 121