JIS C 0508-7:2017 電気・電子・プログラマブル電子安全関連系の機能安全―第７部：技術及び手法の概観

この規格ページの目次

参考文献
JIS C 0508-7:2017の引用国際規格 ISO 一覧
JIS C 0508-7:2017の国際規格 ICS 分類一覧
JIS C 0508-7:2017の関連規格と引用規格一覧

                                                                                              9
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
説明 : ハードウェアを,処理を開始する前にテストし,さらに,適切な間隔でテストを繰り返す。各テス
      トが正常終了したときだけ,EUCは運転を継続する。

参考文献

: Elektronik in der Sicherheitstechnik. H. Jrs, D. Reinert, Sicherheitstechnisches Informations- und Arbeitsblatt
330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.
http://www.bgia-handbuchdigital.de/330220
Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Science, 1988, ISBN
1-85166-203-0
A.2.7 アナログ信号監視
注記この技術及び手法は,JIS C 0508-2の表A.3及び表A.13で引用されている。
目的 : 測定した信号に対する信頼性を高める。
説明 : 選択が許される限り,アナログ信号を,デジタルオン又はオフの状態に優先して用いる。例えば,
トリップ又は安全な状態は,通常,信号レベル許容差の監視を伴うアナログ信号レベルによって表
す。この技術は,連続性の監視を行い,また,伝送器に対する信頼性を高め,さらに,伝送器のセ
ンシング機能に必要なプルーフテスト頻度を減らす。外部のインタフェース,例えば,インパルス
ラインもテストする必要がある。
A.2.8 ディレーティング
注記この技術及び手法は,JIS C 0508-2の7.4.2.13で引用されている。
目的 : ハードウェア構成部品の信頼性を増す。
説明 : ハードウェア構成部品は,システムの設計によって保証する,最大仕様定格を十分に下回る水準で
用いる。ディレーティングは,全ての通常動作条件の下で,各構成部品がこれらの耐用条件の上限
よりも十分に余裕のある状態で動作するための手法である。
A.3 演算処理装置
全般 : 演算処理装置における間違った結果を導く故障を認識する。
A.3.1 ソフトウェアによる自己テスト : パターンの数が限られている(単一チャネル)
注記この技術及び手法は,JIS C 0508-2の表A.4で引用されている。
目的 : 演算処理装置の故障をできるだけ早く検出する。
説明 : ハードウェアは,特別な安全要求事項を全く考慮に入れない標準技術を用いて製作されている。故
障検出は,全面的に,複数の補完的データパターン(例えば,55 hex及びAA hex)を用いて自己テ
ストを実行する追加のソフトウェア機能によって実現する。
A.3.2 ソフトウェアによる自己テスト : ウォーキングビット(単一チャネル)
注記この技術及び手法は,JIS C 0508-2の表A.4で引用されている。
目的 : 演算処理装置の物理的記憶装置(例えば,レジスタ)及び命令デコーダの故障を,できるだけ早く
検出する。
説明 : 故障検出は,全面的に,物理的記憶装置(データ及びアドレスレジスタ)及び命令デコーダをテス

――――― [JIS C 0508-7 pdf 11] ―――――

10
C 0508-7 : 2017 (IEC 61508-7 : 2010)
      トするデータパターン(例えば,ウォーキングビットパターン)を用いて自己テストを実施する,
      追加のソフトウェア機能によって実現する。ただし,診断カバー率は90 %にとどまる。
A.3.3 ハードウェアが対応する自己テスト(単一チャネル)
    注記 この技術及び手法は,JIS C 0508-2の表A.4で引用されている。
目的 : 故障検出の速度を高め,範囲を広げる専用のハードウェアを用いて,演算処理装置の故障をできる
      だけ早く検出する。
説明 : 追加の専用ハードウェア装置によって,故障を検出するための自己テスト機能を支援する。これ
      は,例えば,あるビットパターンの出力をウォッチドッグ原理に従って周期的に監視するハードウ
      ェア装置であってもよい。
A.3.4 符号化処理(単一チャネル)
    注記 この技術及び手法は,JIS C 0508-2の表A.4で引用されている。
目的 : 演算処理装置の故障を,できるだけ早く検出する。
説明 : 演算処理装置は,特別な故障認識又は故障訂正回路技術を用いて設計することができる。これらの
      技術は,今のところ,比較的単純な回路だけに適用されつつあるが,広範囲に用いられてはいない。
      ただし,将来の展開の余地も排除しないことが望ましい。

参考文献

: Le processeur cod: un nouveau concept appliqu la scurit des systmes de transports. Gabriel, Martin,
Wartski, Revue Gnrale des chemins de fer, No. 6, June 1990
Vital Coded Microprocessor Principles and Application for Various Transit Systems. P. Forin, IFAC Control
Computers Communications in Transportation, 79-84, 1989
A.3.5 ソフトウェアによる相互比較
注記この技術及び手法は,JIS C 0508-2の表A.4で引用されている。
目的 : 動的ソフトウェア比較によって,演算処理装置の故障をできるだけ早く検出する。
説明 : 二つの演算処理装置によって,データ(結果,中間結果及びテストデータを含む。)を相互に交換
する。データの比較を,各装置内のソフトウェアを用いて実施し,相違が生じた場合は故障メッセ
ージを生成する。
A.4 不変メモリの範囲
全般 : 不変メモリ内の情報の書き変わりを検出する。
A.4.1 ワード保護された複数ビットによる冗長化(例えば,拡張ハミングコードを用いたROMの監視)
注記1 この技術及び手法は,JIS C 0508-2の表A.5(不変メモリの範囲)で引用されている。
注記2 A.5.6及びC.3.2も参照。
目的 : 16ビットワード中の全ての単一ビット故障,全ての2ビット故障,幾つかの3ビット故障及び幾つ
かの全ビット故障を検出する。
説明 : メモリの各ワードは,4以上のハミング距離をもつ拡張ハミングコードを生成するために,数ビッ
トの冗長ビット分だけ拡張する。1ワードを読むごとに,冗長ビットのチェックをすることで,改

――――― [JIS C 0508-7 pdf 12] ―――――

                                                                                             11
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
      ざんが起こっているかどうか判定できる。相違が生じた場合,故障メッセージを生成する。データ
      ワードとそのアドレスとの連結のための冗長ビットを計算することによって,アドレス故障を検出
      するためにも用いることができる。

参考文献

: Prfbare und korrigierbare Codes. W. W. Peterson, Mnchen, Oldenburg, 1967
Error detecting and error correcting codes. R. W. Hamming, The Bell System Technical Journal 29 (2), 147-160,
1950
A.4.2 修正チェックサム
注記この技術及び手法は,JIS C 0508-2の表A.5で引用されている。
目的 : 全ての奇数ビット故障,すなわち,起こる可能性がある全てのビット故障の約50 %を検出する。
説明 : チェックサムは,1ブロックメモリ内の全てのワードを用いる適切なアルゴリズムによって作成す
る。チェックサムは,追加の1ワードとしてROMに格納するか,又はチェックサムアルゴリズム
が前もって決めておいた値を確実に生成するようにするため,そのメモリブロックに追加の1ワー
ドを追加してもよい。その後のメモリテストにおいて,同じアルゴリズムを用いてチェックサムを
再び作成する。その結果を,格納した値又は決めておいた値と比較する。相違が生じた場合,故障
メッセージを生成する。
A.4.3 1ワード(8ビット)の署名
注記この技術及び手法は,JIS C 0508-2の表A.5で引用されている。
目的 : 1ワード内の全ての1ビット故障及び全ての複数ビット故障,並びに起こる可能性がある全てのビ
ット故障の約99.6 %を検出する。
説明 : メモリブロックの内容を,巡回冗長検査(CRC)アルゴリズムを用いて,(ハードウェア又はソフ
トウェアのどちらかによって)1メモリワードに圧縮する。典型的なCRCアルゴリズムでは,ブロ
ックの内容全体をバイトシリアル又はビットシリアルのデータフローとして処理し,そのデータフ
ローにおいて,生成多項式の発生器を用いて連続的な多項式の除算を行う。除算の余りは圧縮した
メモリ内容を表す“署名”であり,メモリに格納する。署名はその後のテストで再び計算する。こ
の署名と既に格納したものとを比較する。相違が生じた場合,故障メッセージを生成する。
A.4.4 ダブルワード(16ビット)の署名
注記この技術及び手法は,JIS C 0508-2の表A.5で引用されている。
目的 : 1ワード内の全ての1ビット故障及び全ての複数ビット故障,並びに起こる可能性がある全てのビ
ット故障の約99.998 %を検出する。
説明 : この手順では,CRCアルゴリズムを用いて署名を計算する。ただし,その結果の値の大きさは2ワ
ード以上とする。拡張した署名を,単一ワードの場合と同様に格納し,再計算する。これらの署名
を,比較する。格納した署名と再計算した署名との間に相違が生じた場合,故障メッセージを生成
する。
A.4.5 ブロック複製(例えば,ハードウェア又はソフトウェア比較による二重ROM)
注記この技術及び手法は,JIS C 0508-2の表A.5で引用されている。

――――― [JIS C 0508-7 pdf 13] ―――――

12
C 0508-7 : 2017 (IEC 61508-7 : 2010)
目的 : 全てのビット故障を検出する。
説明 : アドレス空間を,二つのメモリ内に複写する。第1のメモリは,通常の方法で操作する。第2のメ
      モリは,同じ情報を収納しておき,第1のものと並行してアクセスする。出力を比較し,相違が生
      じた場合は,故障メッセージを生成する。ある種のビットエラーを検出するためには,二つのメモ
      リのいずれかのデータを反転して格納し,読み取るときに再び反転させる必要がある。
A.5 可変メモリの範囲
全般 : アドレス指定,書き込み,格納及び読取り中の故障を検出する。
    注記 JIS C 0508-2の表A.1(ランダムハードウェア故障を定量化するときに想定する又は安全側故障
          割合の導出で考慮するフォールト又は故障)では,ソフトエラーを動作中に検出するフォール
          ト又は安全側故障割合の導出で考慮するフォールトとして記載している。ソフトエラーの原因
          は,(1)パッケージを構成する原子核の崩壊によるアルファ粒子,(2)中性子,(3)外部EMI
          雑音及び(4)内部クロストークである。外部EMI雑音は,この規格群の他の要求事項で取り
          扱っている。
            アルファ粒子及び中性子の影響は,運用時の安全保全手法によって抑制することが望ましい。
          ハードエラーに対して有効な安全保全手法は,ソフトエラーに対しては有効でない場合がある。
          例えば,ウォークパス(walk-path),ガルパット(galpat)などのRAMテストは有効ではない
          が,パリティ及び誤り訂正符号(ECC)を用いるメモリセルの繰返し読取り監視技術は有効で
          ある。
            ソフトエラーは,電磁放射事象が低電圧駆動半導体メモリセル,レジスタ,ラッチ又はフリ
          ップフロップのデータ状態を逆転又は反転させるため,十分な電荷障害を引き起こす場合に発
          生する。このエラーは,回路自体がこの放射によって恒久的な損害を受けないので,“ソフト”
          と呼ばれる。ソフトエラーは,単一ビットアップセット(SBU),又は単一事象アップセット
          (SEU)及び複数ビットアップセット(MBU)に分類されている。
            妨害された回路がメモリセル又はフリップフロップのような格納素子である場合,この状態
          は,次の(意図した)書き込み操作のときまで格納する。新しいデータは,正確に格納する。
          組合せ回路では,このノードを駆動する構成部品から絶えずエネルギーが流れているので,こ
          の影響はどちらかといえばグリッチといえる。配線及び通信線を接続する場合,この影響もグ
          リッチとなる場合がある。ただし,容量が大きいために,アルファ粒子及び中性子の影響は無
          視できるとみなす。
            ソフトエラーは,いずれかの種類の可変メモリ,すなわち,DRAM,SRAM,マイクロプロ
          セッサのレジスターバンク,キャッシュ,パイプライン,ADC,DMA,MMU,割り込みコン
          トローラ,複雑なタイマなどのコンフィグレーションレジスタに関係することがある。アルフ
          ァ粒子及び中性子粒子に対する感受性は,コア電圧及び形状の両方との関係によって決まる。
          コア電圧が2.5 V,特に1.8 V未満の小形形状の場合,さらに評価を行い,より効果的な保護手
          段をとる必要があろう。
            ソフトエラー率は,(内蔵)メモリの場合,700 Fit/MBit1 200 Fit/MBitの範囲内にあると報
          告されている[次のa)   i) の文献及び資料を参照]。ただし,この数値は,デバイスを実装し
          たシリコンプロセスからのデータと比較するための基準値である。最近まで,SBUが有力と考
          えられてきたが,最新の予測[次のa) 参照]では,65 nm以下のシリコンプロセスの技術では

――――― [JIS C 0508-7 pdf 14] ―――――

                                                                                             13
                                                                C 0508-7 : 2017 (IEC 61508-7 : 2010)
          MBUの全体的ソフトエラー率(SER)が増えていると報告されている。
            次の文献及び資料は,ソフトエラーについて詳述している。
          a)   ltitude SEE Test European Platform (ASTEP)   nd First Results in CMOS 130 nm SRAM. J-L.
              Autran, P. Roche, C. Sudre et al. Nuclear Science, IEEE Transactions on Volume 54, Issue 4, Aug.
              2007 Page(s): 1002-1009
          b)   adiation-Induced Soft Errors in Advanced Semiconductor Technologies, Robert C. Baumann,
              Fellow, IEEE, IEEE TRANSACTIONS ON DEVICE AND MATERIALS RELIABILITY, VOL. 5,
              NO. 3, SEPTEMBER 2005
          c)   oft errors' impact on system reliability, Ritesh Mastipuram and Edwin C Wee, Cypress
              Semiconductor, 2004
          d)   rends And Challenges In VLSI Circuit Reliability, C. Costantinescu, Intel, 2003, IEEE Computer
              Society
          e)   asic mechanisms and modeling of single-event upset in digital microelectronics, P. E. Dodd and L.
              W. Massengill, IEEE Trans. Nucl. Sci., vol. 50, no. 3, pp. 583-602, Jun. 2003.
          f)  Destructive single-event effects in semiconductor devices and ICs, F. W. Sexton, IEEE Trans. Nucl.
              Sci., vol. 50, no. 3, pp. 603-621, Jun. 2003.
          g)   oming Challenges in Microarchitecture and Architecture, Ronen, Mendelson, Proceedings of the
              IEEE, Volume 89, Issue 3, Mar 2001 Page(s): 325-340
          h)   caling and Technology Issues for Soft Error Rates, A Johnston, 4th Annual Research Conference
              on Reliability Stanford University, October 2000
          i)  International Technology Roadmap for Semiconductors (ITRS), several papers.
A.5.1 RAMテストの“チェッカーボード”又は“マーチ”
    注記 この技術及び手法は,JIS C 0508-2の表A.6(可変メモリの範囲)で引用されている。
目的 : 主に静的ビット故障を検出する。
説明 : 0及び1のチェッカーボードパターンを,ビット指向メモリのセルに書き込む。その後,セルを,
      一対ごとに,内容が同一で正しいことを確実にするために検査する。このような一対の最初のセル
      のアドレスは可変であり,その対の2番目のセルのアドレスは,最初のアドレスをビット規模で反
      転して形成する。最初の実行においては,メモリのアドレス範囲は可変アドレスから上位アドレス
      に向かって実行し,2番目の実行においては,下位アドレスに向かって実行する。両方の実行は,
      その後,最初の割当てを反転して繰り返す。相違が生じた場合は,故障メッセージを生成する。
        RAMテスト“マーチ”においては,ビット指向メモリのセルは,一つの一様なビットストリーム
      によって初期化する。最初の実行において,セルを昇順に検査する。各セルを内容が正しいかチェ
      ックし,その内容を反転する。最初の実行において作成したバックグラウンドは,2番目の一連の
      テストにおいて降順に,同じ方法で検査する。両方の最初の実行は,最初の割当てを反転して,3
      番目又は4番目の実行において繰り返す。相違が生じた場合は,故障メッセージを生成する。
A.5.2 RAMテストの“ウォークパス”
    注記 この技術及び手法は,JIS C 0508-2の表A.6で引用されている。
目的 : 静的及び動的なビット故障,並びにメモリセル間のクロストークを検出する。

――――― [JIS C 0508-7 pdf 15] ―――――

次のページ PDF 16

JIS C 0508-7:2017の引用国際規格 ISO 一覧

IEC 61508-7:2010(IDT)

JIS C 0508-7:2017の国際規格 ICS 分類一覧

35 : 情報技術.事務機械　>　35.240 : 情報技術(IT)の応用　>　35.240.50 : 産業におけるITの応用

25 : 生産工学　>　25.040 : 産業オートメーションシステム　>　25.040.40 : 工業計測及び制御

JIS C 0508-7:2017の関連規格と引用規格一覧

規格番号: 規格名称