JIS C 0508-7:2017 電気・電子・プログラマブル電子安全関連系の機能安全―第７部：技術及び手法の概観 | ページ 25

                                                                                            119
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
      制約条件一式の厳密な文書化のほかに,(V)   HDLソースコードの変更後,同一条件によってネット
      リストを再現することを支援する。
E.31 テスト構造の実装
目的 : 最終の製造時テストを保証するため,テスト可能なASICを設計する。
説明 : テスト可能な設計は,様々なテスト構造の実装によって,容易にテスト可能な回路を生成できる。
      このようなテスト構造の例を,次に示す。
      − スキャンパス スキャン技術では,フリップフロップの全て(フルスキャン設計)又はその一
          部(部分スキャン設計)によって,単一チェーン,又はシフトレジスタのチェーンを構成する
          複数チェーンの形に結合する。スキャンパスは,回路ロジック全体のテストパターンが自動的
          に生成できるようにする。ツール生成テストパターンは,ATPG(“自動テストパターンジェネ
          レータ”)と呼ばれる。スキャンパスの実装によって,回路のテスト可能性が大幅に向上し,妥
          当な労力によって,テストカバレッジは98 %を超える。したがって,可能な場合は,フルスキ
          ャンパスを実装することが望ましい。
      − NANDツリー NANDツリーでは,回路の全ての一次入力をカスケード状に接続し,チェーン
          を構築する。適切なテストパターン(“ウォーキングビット”)を適用することで,入力の切替
          え挙動(タイミング及びトリガーレベル)をテストすることができる。NANDツリーは,一次
          入力をそのまま特性化する手法である。回路の切替え挙動を他の方法ではテストできない場合,
          このツリーの実装が望ましい。
      − 内蔵自己テスト(BIST) 回路の自己テスト,特に埋め込みメモリの自己テストは,オンチッ
          プテストパターンジェネレータを実装することで非常に効率よく実施できる。BISTは,擬似ラ
          ンダムテストパターンを適用し,実装した回路構造のシグネチャを評価することで,回路構造
          を自動的に適合確認ができる。BISTは,特にメモリテスト用の追加手段とすることが望ましい。
          スキャンパステストは,BISTで置き換えることができる。
      − 自己消費電流テスト(IDDQテスト) スタティックCMOS回路は,主として,スイッチング
          によって電流を消費する。したがって,絶対的に無欠陥の回路は,テストパターンが静止状態
          に保持されている限り,無視できるほどの僅かな電流(漏れ電流1 μA未満)しか消費しない。
          IDDQテストは非常に効果的で,2組のテストパターンを適用するだけで,50 %を超えるテス
          トカバレッジを実現する。IDDQテストは,ATPGによって生成する合成テストパターンのほか
          に,機能テストパターンにも適用できる。このテスト方法は,実際に非常に役に立ち,他のテ
          ストではほとんど検出できないか,又は全く検出できない故障を検出することができる。した
          がって,この手法は,正規の製造時テストに追加する形で適用することが望ましい。
      − 境界走査(バウンダリスキャン) JTAG規格に準拠するプリント配線板の構成部品の相互接続
          を適合確認するために実装する,テストアーキテクチャをいう。チップレベルでのモジュール
          相互接続を適合確認するために,同じ方針を適用することもできる。境界走査(バウンダリス
          キャン)は,主に,プリント配線板のテスト可能性を改善するために推奨されている。
E.32 シミュレーションによるテストカバレッジの推定
目的 : 製造時テスト中,実装したテストアーキテクチャによって,達成したテストカバレッジを決定す
      る。

――――― [JIS C 0508-7 pdf 121] ―――――

120
C 0508-7 : 2017 (IEC 61508-7 : 2010)
説明 : スキャンパステスト,BIST,機能テストパターン,又はその他手法によって達成するテストカバレ
      ッジは,フォールトシミュレーションで決定できる。フォールトシミュレーションの間,フォール
      トを挿入した回路にテストパターンを適用する。適用したスティミュラスに対する回路のフォール
      ト応答は,この挿入したフォールトに対応するため,テストカバレッジを引き上げる。フォールト
      シミュレーションによって,縮退フォールト,“1縮退フォールト”及び“0縮退フォールト”,の
      検出ができ,達成するテストカバレッジは適用したテストパターンの品質を表している。フォール
      トシミュレーションは,一般に,スキャンパスの一部,例えば,部分スキャンパスの場合を除く,
      ロジックに伴うフォールトを検出するために,非常に効果的に利用できる。
E.33 ATPGツールの適用によるテストカバレッジの推定
目的 : 合成テストパターン(スキャンパス,BIST)によって,製造時テストにおいて期待するテストカバ
      レッジを決定する。
説明 : 現在,スキャンパスを実装した回路に対して,擬似ランダムテストパターン又はアルゴリズムテス
      トパターンを発生する各種手順がある。ATPGなどの合成ツールは,合成の間に,未検出フォール
      トの一覧表を作成する。これによって,テストカバレッジを推定することができ,適用したテスト
      パターンで達成する下限を決定できる。このテストカバレッジは,スキャンパスでカバーする回路
      ロジックに限定されることに注意することが重要である。メモリ,BIST又はスキャンパスが組み込
      まれていない回路の一部などのモジュールは,テストカバレッジの推定を考慮していない。
E.34 適用ハードコアには使用実績があるといえる正当な根拠
目的 : ハードコア適用中の決定論的原因故障を回避する。
説明 : ハードコアは,通常,希望する機能性を表すブラックボックスとみなされ,希望する回路構成部品
      を提供するターゲット技術のレイアウト基本データで構成されている。想定する機能故障は,標準
      マイクロプロセッサ,メモリなどの個別部品と同様に取り扱う。適用したターゲット技術において,
      用いるコアが使用実績がある構成部品とみなせる場合,このハードコアは,正しい機能性を適合確
      認することなく用いることができる。この場合,回路の残りの部分を集中的に適合確認することが
      望ましい。
E.35 妥当性確認済みハードコアの適用
    注記 E.6も参照。
目的 : ハードコア適用中の決定論的原因故障を回避する。
説明 : コアは複雑な性質をもち,制約条件が想定されていることから,コアの妥当性確認は,(V)   HDLソ
      ースコードに基づく設計フェーズにおいて,ベンダーが実施することが望ましい。妥当性確認は,
      適用する構成部品のコンフィグレーション及びターゲット技術に対してだけ正当性をもつことが
      できる。
E.36 ハードコアのオンラインテスト
    注記 E.13も参照。
目的 : ハードコア適用中の決定論的原因故障を回避する。
説明 : オンラインテストの適用によって,用いるハードコアの適切機能及び実装を適合確認する。この手

――――― [JIS C 0508-7 pdf 122] ―――――

                                                                                            121
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
      法を適用する場合,効率的なテストコンセプトが必要であり,適用したコンセプトの評価を文書化
      することが望ましい。
E.37 設計ルールチェック(DRC)
目的 : ベンダーの設計ルールを適合確認する。
説明 : 生成したレイアウト,例えば,最小ワイヤ長,最大ワイヤ長及びレイアウト構造の設置に関する幾
      つかの規則などの,ベンダー設計規則について,適合確認する。DRCの完全かつ適切な実行は,詳
      細に文書化することが望ましい。
E.38 レイアウト対回路図の適合確認(LVS)
目的 : レイアウトの独立した適合確認を行う。
説明 : LVSによって,レイアウトデータを基に回路機能を抽出し,抽出した回路接続と回路要素を入力し
      たネットリストとを比較する。これによって,回路レイアウトが回路機能を規定するネットリスト
      と等価であることを確認する。LVSの完全かつ適切な実行は,詳細に文書化することが望ましい。
E.39 使用実績が3年未満のプロセス技術に対する追加スラック(>20 %)
目的 : プロセス及びパラメータが激しく変動する場合であっても,実装した回路機能性の堅ろう(牢)性
      を保証する。
説明 : 実回路挙動は,特に,微細構造(例えば,0.5 μm未満)の場合,物理的影響の重なり数によって決
      まる。事実,詳細な知識が不足し,必要な簡易化ができないため,回路要素の厳密モデルが得られ
      ない場合がある。幾何学的配置が微細になるにつれて,ライン遅延が更に支配的な役割を果たして
      いる。配線に沿った信号遅延及び配線間のクロスカップリング容量は,比例以上に増大する。この
      信号遅延は,ゲート遅延と比べて,もはや無視する訳にはいかない。推定されるライン遅延は,幾
      何学的配置の微細化に伴うリスクの増大を表している。
        したがって,製造時のパラメータの大きな変動又は正確なモデル化の欠如があっても,回路機能
      の適切動作を保証するために,使用実績が3年未満のプロセスを用いて設計した回路の最小及び最
      大タイミング制約条件に対して,十分なスラック(>20 %)を設計に入れることが望ましい。
E.40 バーンインテスト
目的 : 製造する半導体チップの堅ろう(牢)性を保証し,初期故障を除去する。ベアチップ製品は,例え
      ば,ウエハレベルではストレス方法などによって証明するが,バーンインでその堅ろう(牢)性を
      証明する必要はない。
説明 : バーンインテストは,最高許容使用温度(一般に,125 ℃)で実施することが望ましい。テスト期
      間は,目標とするSIL水準又は指定のバーンイン推奨条件,例えば,ASIC製造業者の推奨条件に
      よって決める。バーンインは,次の目的に利用できる。
      − 初期故障の除去(故障率減少を伴うバスタブ曲線の始まり)
      − 初期故障が製造中及びテスト中に既に除去済みであることの証明(すなわち,製造ラインから
          出たデバイスは,既にバスタブ曲線の一定故障率の範囲内に入っている。)

――――― [JIS C 0508-7 pdf 123] ―――――

122
C 0508-7 : 2017 (IEC 61508-7 : 2010)
E.41 使用実績のあるデバイスシリーズの適用
目的 : 製造する半導体チップの信頼性を保証する。
説明 : 安全設計を行う製造業者は,用いるプログラマブルデバイス技術及び関連する開発ツールについて
      十分な適用経験をもつことが望ましい。
E.42 使用実績のある製造工程
目的 : 製造する半導体チップの信頼性を保証する。
説明 : 使用実績のある製造工程は,十分なシリーズ製品の生産経験をもつ。
E.43 製造工程の品質管理
  デバイス製造工程中の品質手法及び管理メカニズムは,継続的な工程管理を確実にする。例えば,テス
ト構造の光学的若しくは電気的管理,温度湿度バイアス試験又は温度サイクル試験(JIS C 60068-2-1,JIS
C 60068-2-2などを参照)を実施する。
E.44 デバイスの製造品質合格
  デバイス品質は,選択した部品応力テスト,例えば,温度湿度バイアス試験又は温度変更試験(JIS C
60068-2-1,JIS C 60068-2-2など参照)を実施して証明する。デバイス製造業者から,その証拠を入手する。
E.45 デバイスの機能品質合格
  全てのデバイスについて,機能に関するテストを実施する。デバイス製造業者から,その証拠を入手す
る。
E.46 品質規格
  ASIC製造業者は,十分な品質マネジメントを定めることが望ましい。例えば,ISO 9000認証,SSQA(標
準供給業者品質評価)などに基づいて,品質及び信頼性ハンドブックの中に文書化する。

――――― [JIS C 0508-7 pdf 124] ―――――

                                                                                            123
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
                                          附属書F
                                          (参考)
              ソフトウェアライフサイクル各フェーズの特性の定義
  ソフトウェアライフサイクル各フェーズの特性の定義を,表F.1表F.10に示す。
                                表F.1−ソフトウェア安全要求仕様
                   [JIS C 0508-3の7.2(ソフトウェア安全要求仕様)及び表C.1参照]
 番号            特性                                         定義
1.1   ソフトウェアで対応する安全  ソフトウェア安全要求仕様によって,安全ライフサイクルの初期フェーズ
      ニーズの完全性            から生じて,ソフトウェアに割り当てた全ての安全ニーズ及び制約条件に対
                                処する。
                                  安全ニーズ及び制約条件は,通常,ソフトウェア安全要求仕様の活動への
                                入力で記述する。これには,ソフトウェアが実行してはならないこと,又は
                                回避しなければならないことについての仕様を含んでもよい。
1.2   ソフトウェアで対応する安全  ソフトウェア安全要求仕様によって,ソフトウェアに割り当てた安全ニー
      ニーズの正確性            ズ及び制約条件に対する適切な回答を提供する。
                                  規定したことが全ての必要な条件において,実際に安全性を保証すること
                                を確実にすることが目的である。
1.3   曖昧さの回避を含む,固有仕  ソフトウェア安全要求仕様の内部完全性及び整合性を取り扱う。
      様フォールトの回避性        ここでは,ステートメントから生じる可能性がある全ての機能及び状況に
                                関する,全ての必要情報を提供し,矛盾したステートメント又は整合性のな
                                いステートメントは表明しない。
                                  安全ニーズに関する完全性及び整合性に反する内部完全性及び整合性は,
                                ソフトウェア安全要求仕様だけに基づいて評価することができる。
1.4   安全要求事項の理解容易性    ソフトウェア安全要求仕様は,これを読む必要がある全ての人が,以前か
                                らこのプロジェクトに関わっていない場合であっても,必要な知識があると
                                きには,過大な努力をせずに十分に理解可能である。
                                  適合確認,及び可能な場合,部分改修を容易にすることは,重要な目的の
                                一つである。
1.5   ソフトウェアの安全以外の機  ソフトウェア安全要求仕様は,EUCの安全性に必要のない要求事項を含ま
      能が安全機能へ危険な干渉をない。
      及ぼさない性質              ソフトウェアの設計及び実装を不必要に複雑化させることを回避し,フォ
                                ールトのリスク,及び安全性に重要でない機能が安全性にとって重要なもの
                                を妨げたり,脅かしたりするようなリスクを減らすことが目的である。
1.6   適合確認及び妥当性確認の基  ソフトウェア安全要求仕様によって,ソフトウェアがこの仕様自身を満た
      礎となる対応能力          しているという,客観的な証拠を生成するようなテスト及び調査をもたらす。

――――― [JIS C 0508-7 pdf 125] ―――――

次のページ PDF 126