2015 collabo 07 - toshiba.semicon-storage.com ·...

東芝セミコンダクター&ストレージ社製 TXシリーズマイコン用

機能安全ソフトウェアライブラリのご紹介

2015.2.6

イーソル株式会社新規事業推進室マネージャ

巣山浩生

イーソルの機能安全への取り組み

2

©2015 eSOL Co.,Ltd. All rights reserved.

開発プロセス

構築

機能安全環境整備

教育・トレーニング

開発環境整備

規格準拠の開発

規格準拠の部品調達

第三者認証

(製品認証)

機能安全対応 SW開発支援

フィードバック

ソリューションのアウトライン

機能安全対応のサイクル

ソフトウェアエンジニアリングプロセスグループ（SEPG）

製品開発部門お客様の管轄部門

イーソルの製品・サービス

機能安全

自社製開発ツール/OS/

車載製品受託開発サービス

3

開発プロセス支援ツール

Yogitech社製品

コンサルティングサービス


ソフトウェア開発と支援プロセスを中心に幅広いニーズに対応

イーソルの活動領域（ISO26262） 4

（ISO26262より抜粋して改変）

上記以外の領域につきましては、その領域が得意な企業と協力して、支援します

機能安全


イーソルの強み機能安全に対する深い知識と知見

JASPAR機能安全ワーキンググループでの活動「ISO26262機能安全テンプレート」とその記入ガイドの作成に貢献活動を通じて得た知見や最新技術をイーソル製品に反映

自動車、医療分野での機能安全対応支援実績自社製品適合の取り組み

豊富なエンジニアリソース経験と実績豊富な320名以上のエンジニア

機能安全で高い実績と知名度を持つパートナー連携機能安全で高い実績と知名度を持つYogitech社と協業第三者認証機関との連携を模索中

5 機能安全


製品・サービス概要機能安全対応支援サービスコンサルティングサービス受託開発サービス

イーソル製品

RTOS・ツール 2015年第1四半期 ISO26262/IEC61508 第三者認証取得予定

パートナー製品

イタリア Yogitech社と連携 IEC61508/ISO26262準拠ランダム故障検出のビルトイン・ライブラリ

6 機能安全

Yogitech社とのパートナーシップ

7


Yogitech社概要社名：Yogitech SPA（本社：イタリア）創業：2000年（2005年より機能安全に取り組む） CEO : Silvano Motto CTO : Riccardo Mariani (international committees for functional safetyメンバ)

社員：約40人（機能安全のスペシャリスト集団）事業内容：機能安全に関する以下の製品/サービスの提供ハードウェア/ソフトウェアIPコア開発・販売ツール開発・販売コンサルタント

Web： www.yogitech.com

8


機能安全に関するYogitech社とのパートナーシップ

2012

fRTools EDA tools enabling

customers to inndependently

perform safety analysis and verification

2007

fRMethodology Functional safety

analysis and verification

2007

fRIPs Hardware IPs implementing

safety mechanisms

2013

Software Test Libraries

implementing safety

mechanisms

The one stop shop for Functional Safety

eSOL license fRSTL(In Japan)

9


Yogitech製品の販売チャネル 10

Yogitech SPA

イーソルヨジテック（株）

半導体ベンダ

顧客

fRSTLサブライセンス 1stラインサポート

fRIPsを含むLSI その他Yogitech製品

fRSTL ライセンスサポート

ライセンスサポート

fRSTL製品概要

11


実現手段

コンセプト

規格上の位置づけ安全実現の系統図

12

安全

安全設計技術的安全確保安全プロセス

低故障部品採用

部品故障に対する安全対策

機能安全プロセス実施

機能安全対応プロセス規定

機能安全コンセプト

ギャップ分析／プロセス構築

ＳＩＬ/ＡＳＩＬ達成評価

ＦＭＥＤＡ安全分析

Validation （妥当性確認）

Verification （一致性検証）

機能安全開発

機能安全監査

AND

AND AND

AND AND

ランダムハードウェア故障対策

決定論的故障対策

4章および5章で規定される「潜在障害の回避」および「ランダムハードウェアの制御」 → 「Selftest by software」

ISO26262の場合

出展：ASDoQ大会2012 チュートリアル「機能安全準拠開発に必要な文書技術の基礎」の図を抜粋して改変


fRSTL製品概要 IEC61508/ISO26262に準拠したランダム故障検出のビルトイン・ライブラリ CPU内部の構造（NETLIST）を解析した上でテスト仕様を作成。

13

製品出荷後、ハードウェアが壊れていないかチェックするライブラリです！

■対応アーキテクチャ ARM® Cortex®-M、ARM Cortex-R、STM32


東芝 TXシリーズの対応状況 14

CPUコア対応製品コンパイラ対応状況 TX00

シリーズ ARM

Cortex M0 fRSTL CM0 Keil Available IAR Available

TX03 シリーズ

ARM Cortex M3 fRSTL CM3

Keil Available IAR Available

TX04 シリーズ

ARM Cortex M4 fRSTL CM4

Keil Available IAR Available


TXシリーズ用fRSTLのテスト対象ハードウェアはCPUコア TXシリーズ用fRSTLの対象ハードウェア 15

Memory

Bus

..... CPUコア用 fRSTLの場合

（例：ARM Cortex-M3など） fRSTLの対象

CPU

Peripheral

Peripheral


fRSTLは、Watchdog Timer または Multi CPU構成を想定

想定するハードウェア構成

fRSTL_arm

ARM Processor

ARM Processor

ARM Processor

Watchdog Timer

fRSTL_arm fRSTL_arm

WatchdogTimerとの組み合わせで ASIL B/SIL2を実現

Dual MCUでASIL D/SIL3を実現

16

Watchdog Timer

Watchdog Timer


テストライブラリ（ソースコード含む（ C言語、アセンブラ））コンパイラ設定情報（Keilコンパイラ、IARコンパイラ）ユーザガイドリリースノート安全マニュアル

fRSTL提供内容 17


SIL2/SIL3向けfRSTL for ARM Cortex-M3 仕様一覧

項目内容 1 対象アーキテクチャ ARM Cortex-M3 2 到達可能なSILレベル SIL 2/ASIL B（WDT)、SIL 3/ASIL D（Dual MCU） 3 テスト対象

ハードウェア範囲 Processor Unit（ISO26262-5, Annex D Figure D.1で規定）

4 ROMサイズ 10.2 Kbyte (Code: 9.1K, RO Data: 1.1K) 5 RAMサイズ 1.0 Kbyte (RW: 1.0K) 6 オーバーヘッド 230us（48 Test Segment実行時、＠100MHz）

18

技術トピックス・ハイライト

19


実現手段

コンセプト

規格上の位置づけ安全実現の系統図

20

安全

安全設計技術的安全確保安全プロセス

低故障部品採用

部品故障に対する安全対策

機能安全プロセス実施

機能安全対応プロセス規定

機能安全コンセプト

ギャップ分析／プロセス構築

ＳＩＬ/ＡＳＩＬ達成評価

ＦＭＥＤＡ安全分析

Validation （妥当性確認）

Verification （一致性検証）

機能安全開発

機能安全監査

AND

AND AND

AND AND

ランダムハードウェア故障対策

決定論的故障対策

4章および5章で規定される「潜在障害の回避」および「ランダムハードウェアの制御」 → 「Selftest by software」

ISO26262の場合

出展：ASDoQ大会2012 チュートリアル「機能安全準拠開発に必要な文書技術の基礎」の図を抜粋して改変


90% 97% 99%

SIL1

カバレッジ率

Complexity/Cost

21

ランダム故障検出率と実現手法のトレードオフ

ASIL C ASIL B

ASIL D

SIL3/4

ASIL A SIL2 特別なハードウェアが必要 = Cost Up

ソフトウェア（STL)で対応可能

SIL2/ASIL B では、カバレッジ率90%以上が必要ソフトウェア（STL）で対応すると、専用ハードウェアは不要 → 低コスト、既存LSIに適応可能 STL: Software Test Library

TMPM35xFDTFG等


IEC61508におけるランダム故障検出率の定義 22

∑∑∑+

=DUDD

DDDC

λλλ

safe failures dangerous

detected failures dangerous

undetected failures

∑ Sλ ∑ DDλ ∑ DUλ

∑ ∑ ∑∑ ∑

+++

=DUDDS

DDSSFF

λλλλλ

Diagnostic coverage Safe Failure Fraction

SFF Single channel < 60% - SFF ≥ 60% SIL 1 SFF ≥ 90% SIL 2 SFF ≥ 99% SIL 3

∑∑∑∑

++=

DUDDS

SS

λλλλ

Safe fraction

安全な故障発見できる危険な故障発見できない危険な故障


ソフトウェア・テスト・ライブラリ（STL）開発の難しさ STLを自社で開発する場合、以下の難しさに直面説得力ある定義と根拠が必要通常FMEDA（Failure Mode Effects and Diagnostics Analysis）で

λS、λDD、λDUを分類するがその定義と根拠が必要技術情報の入手上記定義と根拠を裏付ける情報が必要半導体ベンダから一般に入手できる情報（DS等）では困難

SIL2/ASIL B規定のカバレッジ率達成の検証開発したSTLが目的のカバレッジ率達成の検証が困難

ドキュメント類の整備目的のカバレッジを証明するデータや条件、開発プロセス

を証明するドキュメントの整備が必要

23


Yogitechでの解決方法説得力ある定義と根拠が必要 fRMethodologyに基づく定義と根拠 Netlistレベルでの解析と分類

fRFMEAでの分類技術情報の入手 ARM社とのライセンスに基づく情報（RTL含む）入手

SIL2/ASIL B規定のカバレッジ率達成の検証独自フォールトインジェクションツール（fRFI）での検証

ドキュメント類の整備セーフティマニュアルを準備開発プロセスは、IEC61508およびISO26262に準拠

24

ソフトウェア・テスト・ライブラリ（STL）開発の難しさ


fRSTL適応イメージ 25

(a)Diagnostic Test Interval

Diagnostic Test Diagnostic Test

IEC61508-2の時間制約

エラー検出

Possible hazardous event

異常発生

(a) Diagnostic Test Interval fRSTLによる診断開始後、次の診断を開始するまでの時間

(b) ユーザーシステムの安全プロセスエラー検出後、安全状態に遷移するまでのユーザーシステムの処理時間

(c) Process Safety Time 異常発生後、危険イベントが発生するまでの時間

(b)安全プロセス

(c) Process Safety Time a + b < c

まとめ

26


まとめイーソルは機能安全に関するお客様のご要求に、パートナー

との連携を含め、幅広く対応してまいります。機能安全のリーディングカンパニーであるYogitech社と提携

し、ランダム故障検出のテストライブラリ（fRSTL）をサブライセンスします。

fRSTLは、CPUコア（またはLSI）の故障検出カバレッジで、SIL2/ASIL Bを実現します。

fRSTLは、検証済みのライブラリ、安全マニュアルを含み、サポートも受けられます。導入により、STL開発、安全マニュアルの整備、メンテナンスの費用を低減できます。

イーソルでは、fRSTL導入に関するコンサル、受託開発をメニューとして用意し、確実な導入・立ち上げを支援します。

27

Grazie ありがとうございました

問い合わせ先：イーソル株式会社新規事業推進室マネージャ：巣山浩生 [email protected]

2015 collabo 07 - toshiba.semicon-storage.com ·...

Documents