オートモーティブ機能安全マニュアル Cyclone V FPGAおよびCyclone V SoC用

Transcription

1 オートモーティブ機能安全マニュアル Cyclone V FPGA および Cyclone V SoC 用 更新情報 MNL Innovation Drive San Jose, CA

2 目次 -2 オートモーティブ機能安全マニュアル Cyclone V FPGA および Cyclone V SoC 用 目次 オートモーティブの機能安全について システム障害の管理 アルテラの開発フロー ユーザー開発フロー FPGA 要件の仕様化 FPGA アーキテクチャの生成 ロジック モジュール デザインに向けた設計記述の作成 ロジック モジュール デザインに向けたテスト記述の作成 ロジック モジュール デザインのコーディング ロジック モジュール デザイン設計のテスト ロジック モジュール デザインへの障害の注入 FMEDA の実行 ロジック モジュール統合に向けた設計記述の作成 ロジック モジュール統合に向けたテスト記述の作成 ロジック モジュール統合のコーディング ロジック モジュール統合のテスト 合成の実行 配置配線の実行 スタティック タイミング解析の実行 ゲート レベル シミュレーションの実行 ビットストリームの生成 デザインの検証 オートモーティブの機能安全向けのアルテラ ツール アルテラ IP コア Nios II プロセッサ 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ Cyclone V の概要 Cyclone V がターゲットとするアプリケーション Cyclone V ハードウェアのアーキテクチャ Cyclone V の診断メカニズムおよび使用にあたっての前提条件 電源 クロック リセット 入力 / 出力

3 オートモーティブ機能安全マニュアル Cyclone V FPGA および Cyclone V SoC 用目次 -3 Cyclone V FPGA のコンフィギュレーション FPGA ユーザ メモリ 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ Cyclone V の概要 Cyclone V SoC がターゲットとするアプリケーション Cyclone V SoC ハードウェアのアーキテクチャ Cyclone V SoC の診断メカニズムおよび使用にあたっての前提条件 電源 クロック リセット 入力 / 出力 Cyclone V SoC における FPGA のコンフィギュレーション FPGA ユーザ メモリ HPS インタコネクト HPS-FPGA 間のインタコネクト HPS Cortex-A9 MPU のサブシステム HPS のデバッグとトレース HPS SDRAM コントローラ HPS オンチップ RAM HPS オンチップ ブート ROM HPS NAND フラッシュ コントローラ HPS SD/MMC コントローラ HPS Quad SPI フラッシュ コントローラ HPS FPGA マネージャ HPS システム マネージャ HPS スキャン マネージャ HPS DMAC HPS イーサネット メディア アクセス コントローラ HPS USB 2.0 OTG コントローラ HPS SPI コントローラ HPS I2C コントローラ UART コントローラ HPS タイマ HPS ウォッチドッグ タイマ HPS CAN コントローラ ISO26262 に特化した FPGA デザイン用のテクニックと方法 デザイン入力 Structured Description( 構造化記述 ) Design description in HDL(HDL によるデザインの記述 ) 回路図入力

4 目次 -4 オートモーティブ機能安全マニュアル Cyclone V FPGA および Cyclone V SoC 用 ブール式を使用したデザインの記述 モジュール化 Proven in Use( 使用実績のある ) デザイン環境の適用 HDL シミュレーション モジュール レベルでの機能テスト トップレベル モジュールでの機能テスト Restricted use of asynchronous constructs( 非同期構文の使用制限 ) プライマリ入力の同期およびメタスタビリティの管理 機能的および構造的カバレッジ ドリブン検証 コーディング ガイドラインの順守 コード チェッカの適用 検査コードまたはウォークスルー 検証済みのソフト コアの適用 ソフト IP コアの検証 シミュレーション結果のドキュメンテーション 合成 内部整合性のチェック ゲート ネットリスト シミュレーション 伝播遅延のスタティック タイミング解析 (STA) シミュレーションによるリファレンス モデルに対するゲート ネットリストの検証 リファレンス モデルとゲート ネットリストの比較 ( フォーマル等価性検証 )5-16 IC ベンダの要件と制約の確認 合成の制約 結果 ツールのドキュメンテーション Proven in Use( 使用実績のある ) 合成の適用 Proven in Use( 使用実績のある ) ライブラリ /CPLD テクノロジの適用 スクリプト ベースの手順 適切なタイミング マージン テストの挿入とテスト パターンの生成 テスト容易化設計 (DFT) 配置 配線 レイアウトの生成 使用実績のある適用されたハード コアの正当性 検証済みのハード コアの適用 レイアウト後のゲート ネットリスト シミュレーション パワー ネットワークの解析 リファレンス モデルとレイアウト後のゲート ネットリストの比較 デザイン ルール チェック Layout Versus Schematic(LVS) チェック チップ生産段階の安全性に関連する特殊な特性 Proven in Use( 使用実績のある ) プロセス テクノロジの適用 Proven in Use( 使用実績のある ) デバイス シリーズ 使用実績のある製造工程の適用 製造工程における品質管理

5 オートモーティブ機能安全マニュアル Cyclone V FPGA および Cyclone V SoC 用目次 -5 システム内の FPGA プロトタイプの最終的な確認および検証 最終的な検査と検証 アルテラ ツールおよびソフトウェアの既知の問題 Development Interface Agreement( 開発協働契約書 ) 安全管理者 安全性ライフサイクル アルテラが行う活動およびお客様の責任 アルテラが提供する情報 活動の責任当事者 目標値についての情報交換 サポートのプロセスとツール Nios II プロセッサを使用したソフトウェア開発 Qsys を使用した Nios II システムの作成 Nios II システム用のボート サポート パッケージの作成 アプリケーション フレームワークの作成 アプリケーション ソフトウェアの開発 ソフトウェアとハードウェアの統合 ISO26262 規格に含まれるツールとライブラリ ISO26262 規格に含まれないサードパーティー製ツールとライブラリ サポートされる (V)HDL のバージョン 改訂履歴

6 オートモーティブの機能安全について 1 MNL-1079 更新情報 本資料は 機能安全を重視するシステムの実装についての情報を提供し アイテム レベルでの ISO26262: コンプライアンスを満たすことを可能とします TÜV Rheinland 社は前世代の Altera FPGA とツールが SIL3 レベルまで IEC61508:2010 規格を満たすこと承認しています この高い技術と作業は 継続して ISO26262: 規格も満たしています アルテラは ISO26262 USTAG の積極的なメンバーであり 半導体メーカーに関する標準の明確化を目的とする ISO26262 半導体メーカーのサブグループに参画しています 注意 : アルテラのコンポーネント ソフトウェア およびツールのユーザーはすべての規制および安全性の要件を満たしている必要があります この資料に記載されているすべての情報は参照を目的としており 安全機能を重視するシステムにおいてアルテラ コンポーネントの使用に起因するいかなる損害 クレーム スイートまたは費用に対し アルテラは一切責任を負いかねます Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134

7 システム障害の管理 2 MNL-1079 更新情報 アイテムあるいはエレメント内での障害のリスクを最小限に抑えるには 系統的な故障の可能性を低減させます 堅牢な開発フローを使用することで この目標が達成可能となります 2-1 ページのアルテラの開発フローこのフローは TÜV Rheinland 社により 2010 年から最新の 2015 年 (No.: 968/EL /12) の認定に至るまで SIL3 までの IEC61508:2010 規格への順守に必要なアプリケーションでの使用に適していることが承認されています 2-3 ページのユーザー開発フロー TÜV Rheinland 社は モデル フローが IEC61508:2010 規格を満たすことを承認しています また TÜV Rheinland 社はこのフローが機能安全を重視するシステムのデザインに適していると判断しています アルテラは ISO26262: 規格を満たすようこのフローを修正しています アルテラの開発フロー アルテラは開発フローで使用するツール デバイス IP コアを提供しています このフローは TÜV Rheinland 社により 2010 年から最新の 2015 年 (No.: 968/EL /12) の認定に至るまで SIL3 までの IEC61508:2010 規格への順守に必要なアプリケーションでの使用に適していることが承認されています アルテラは EN ISO9001:2008(certificate: NAIS ) の認証を取得しています Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134

8 2-2 アルテラの開発フロー 図 2-1: アルテラの開発フロー 次の図はいくつかの段階を経るアルテラの開発フローを表しています MNL-1079 Discovery Review? no yes Concept Rollout Review? no Review? no yes yes Plan Production Review? no Review? no yes yes Design End of Life Review? no Review? yes no アルテラは 各段階の終了時に全段階を再度評価し 次の段階に進むかどうかを判断します Discovery 段階 Discovery 段階では アルテラは市場機会とアルテラ デバイスの潜在的な適合性を評価します Concept 段階 Concept 段階では アルテラは特定の市場に対処するためのソリューションを定義し 次の段階に向けたプランを作成します システム障害の管理

9 MNL-1079 ユーザー開発フロー 2-3 Plan 段階 Plan 段階ではアルテラは 様々な機能的グループのインプットをもとにプロジェクト プランを開発します アルテラは 実行可能性の調査を行い 高水準の仕様を作成します Design 段階 Design 段階ではアルテラは 高水準の仕様をより詳細な仕様に改良します これは製品を実装するために使用されます アルテラはテスト プランを作成し デザインが詳細な仕様を満たすことを検証します Rollout 段階 Rollout 段階では アルテラはその製品がデバイスである場合 製品を特定し それを検証します アルテラは異常を把握し それらを記録し 潜在的にそのような問題点を修正します Production 段階 Production 段階では アルテラは製造準備が整ったデバイス ツール および IP コアを作成します お客様は 製造に向けてアルテラの成果物を使用することができます End-of-Life 段階 End-of-Life 段階では アルテラは製品寿命の終了時に 製品を市場から撤収させることをカスタマーに通知します お客様は 定義された期間中に新しいアルテラ製品に変更することができます ユーザー開発フロー アルテラ プロダクトは ハードウェアのプログラムが可能です ユーザーは独自の回路を設計し FPGA にプログラムすることが可能です これには 通常はシリコン プロバイダによって行われる多くの設計ステップをユーザーが実行しなければいけません IP コアおよび回路の作成には V モデル フローを使用することができます TÜV Rheinland 社は モデル フローが IEC61508:2010 規格を満たすことを承認しています また TÜV Rheinland 社はこのフローが機能安全を重視するシステムのデザインに適していると判断しています アルテラは ISO26262: 規格を満たすようこのフローを修正しています システム障害の管理

10 2-4 ユーザー開発フロー MNL-1079 図 2-2: ユーザーによる V モデル開発フロー Specify FPGA Requirements Generate FPGA Architecture Plan Tests Validate Design Create Design Description Logical Module Design Create Test Plan Code Test Perform FMEDA Inject Faults Perform Gate- Level Simulation Generate Bitstream Logical Module Integration Create Design Description Create Test Plan Test Perform Static Timing Analysis Code Perform Synthesis Perform Place and Route 各 V モデル ステップの記述には以下の情報が含まれます V モデル ステップの記述 入力 V モデル ステップへの入力のリスト これには プロジェクトのドキュメントやデザイン ファイルなどが含まれます 出力 V モデル ステップの出力のリスト 入力を処理する際の最終的な結果 これには 出力ネットリスト 検証パス 成功しなかったステータスなどが含まれます 検証 V モデル ステップが正しく行われていることを検証します アルテラでは例を提供していますが 独自の方法を用いることも可能です 検証または V モデルステップ中にツールを使用する場合は 検証を補助するためにツールの出力を評価しなければなりません ツールが生成したエラー 警告 およびレポート ファイルを評価する必要があります 推奨ツール 特定の V モデル ステップを実装するにあたって このソフトウェア ツールのリストを使用することができます 1 つのツールのみが利用可能なケースもありますが ほとんどのは場合多くのオプションが利用可能です 特定のテクニックと方法 このリストは 各ステップに適用される標準で明示的な参照を示しています 本資料中のトピックには これらのテクニックと方法を満たすことができる手法を解説するアルテラ固有の情報が含まれます システム障害の管理

11 MNL-1079 FPGA 要件の仕様化 2-5 注意 : FPGA 要件の仕様化 開発段階で要件のトレーサビリティに向けての何らかの手段を用いることを推奨しています アルテラはこの過程を全体の安全性要件の一部であると考えており 各 V モデル ステップはこれについて明示的に言及していません このステップでは FPGA サブシステムの全体的な機能性を明確に記述します この記述には高レベルの仕様項目とデバイス全体の機能性の詳細が含まれます 高レベルのシステム要件を分析し FPGA が実行する機能を引き出します FPGA 要件の仕様には以下が含まれます : 高レベルの機能要件 サブシステムの性能 必要な外部インタフェース この段階で仕様化が可能なアイテム : FPGA デバイス ファミリ パフォーマンス 例 : デバイスの動作クロックの周波数 パフォーマンスとシンセシスの設定 例 : フィジカル シンセシスの使用 IP コアの使用およびソフトウェアの仕様 デザイン言語とバージョン 外部 I/O の制約 ( 速度 電圧 分離 ) この V モデルのステップに適用できるアルテラのプロセスまたはツールはありません 入力 : アイテム要件の仕様 安全コンセプト 出力 : 詳細な FPGA 要件の仕様 検証報告書 検証 : 入力ドキュメントに対する詳細な FPGA 要件の仕様の手続き型クロスチェック 例 : 番号付きアイテムの使用 相互評価の詳細な FPGA 要件の仕様 推奨ツール : 要件管理ツール ( 例 :IBM DOORS または TechnoSolutions TopTeam など ) 特定のテクニックと方法 : なし システム障害の管理

12 2-6 FPGA アーキテクチャの生成 要件の仕様と管理に関するより具体的な情報については ISO :2011 clause 6 および ISO :2011 clause 6 を参照してください FPGA アーキテクチャの生成 1. 適切な FPGA アーキテクチャを生成します 2. 一般的に FPGA デザイン内の主要なブロックについて記述し その中でも主要なブロックとその他のブロック FPGA デザイン内および外部インタフェースとの相互接続と相互作用について記述します 3. 通常 主要なブロックおよびそれらの相互接続を示すブロック図を生成します 4. FPGA システムすべての要件を考慮し 必要な機能をサブモジュールへパーティション化します 5. このようなサブモジュールは別々に定義し境界を設定することで 個別に開発およびテストすることが可能となります 6. サードパーティ製の IP コアまたは標準インタフェースを指定することができます 7. 安全性を考慮した設計が正常に動作することを確認するために必要となるアーキテクチャの機能を指定する必要があります この段階では 以下の項目を指定することもできます : デザイン入力の方法 FPGA ファミリ内の特定のデバイス 完全なツールのリスト テキスト エディタ サポートされるサードパーティー製シミュレータ ツール 合成エンジン スクリプトを必要とするツールの部分の仕様 アーカイブされたファイルや結果の要件 Qsys IP コア 総合的な診断テクニック サブモジュール レベルでの診断テクニック Nios II エンベデッド ソフト プロセッサ 標準の内部インタフェース ( 例 :Avalon メモリ マップド (Avalon-MM) インタフェースまたは Avalon ストリーミング (Avalon-ST) インタフェース ) 入力 : アイテムの安全要件の仕様 (Item SRS) FPGA 要件の仕様 FPGA の安全要件の仕様 (FPGA SRS) エラッタと既知の問題 出力 : FPGA 機能アーキテクチャ図とその記述 FPGA 診断アーキテクチャの詳細 詳細なモジュール要件の仕様および診断あるいはストラテジーのコンセプト 検証報告書 MNL-1079 システム障害の管理

13 MNL-1079 ロジック モジュール デザインに向けた設計記述の作成 2-7 検証 : 入力ドキュメント アイテムに対する出力ドキュメント アイテムの手続き型クロスチェック 例 : 番号付きアイテムの使用 アーキテクチャのピアレビュー 推奨ツール : 標準的な作図パッケージ ( 例 :Microsoft Visio) 標準的な文書作成パッケージ ( 例 :Microsoft Word) 要件管理ツール ( 例 :IBM DOORS または TechnoSolutions TopTeam など ) 特定のテクニックと方法 ; なし ハードウェア アーキテクチャの設計に関する詳細な要件については ISO :2011 clause を参照してください 詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 2 章 :Quartus II ソフトウェアによるデザイン プランニング ロジック モジュール デザインに向けた設計記述の作成 このステップでは FPGA アーキテクチャのステップが指定する各モジュールの設計段階の説明を記述します 記述には モジュール要件を達成する方法について記載します この文書は ステート マシンの機能 演算機能 詳細なモジュール I/O の定義を指定するレベルとすることができます FPGA アーキテクチャの検証および最終的なモジュール実装を確認する手法が実行可能となるよう モジュールのビヘイビアをモデル化することが望ましい場合もあります このモデルは SystemC や MathWorks 社の MATLAB M などの高レベルのモデリング言語で実装可能です ドキュメントには 優秀なエンジニアが診断を含む各モジュールを FPGA デバイス内に問題なく実装できるように 十分な詳細を含める必要があります 各モジュールに関連する機能 パフォーマンス 安全性を明確に定義します さらに インタコネクトとチップ全体におよぶリも明確に定義します 以下は このステップへ FPGA デザインに関連する具体的な考慮事項です RAM 使用量と構成 クロッキング リ (PLL は ルーティング ) と構成 モジュールの I/O 接続 バスの種類 この V モデルのステップに適用できるアルテラのプロセスまたはツールはありません 入力 FPGA アーキテクチャのドキュメント 詳細なモジュール要件の仕様 出力 システム障害の管理

14 2-8 ロジック モジュール デザインに向けたテスト記述の作成 詳細なデザインの設計記述 モジュール レベルのビヘイビア モデル 検証報告書 検証 出力デザイン ドキュメントを持つ入力仕様の手続き型クロスチェック 例 : 番号付きアイテムの使用 ドキュメントのピアレビュー 推奨ツール 標準的な文書作成パッケージ (Microsoft Word) 要件管理ツール ( 例 :IBM DOORS または TechnoSolutions TopTeam など ) ビヘイビアのモデル化用の System-C ビヘイビアのモデル化用の MathWorks 社の MATLAB 特定のテクニックと方法 なし ハードウェアの設計に関する詳細な要件については ISO :2011 clause を参照してください ロジック モジュール デザインに向けたテスト記述の作成 この V モデルのステップでは モジュール レベルの機能を説明し テスト仕様やテストの記述を生成します 実行する場合 デザインの要件を満たすにあたってテストの記述が十分なテスト カバレッジを提供する必要があります システム全体の安全要件とターゲットの ASIL が要件を導きます 各仕様のポイントまたは機能要件を分析します 正しい機能と起こり得る障害の両方の条件でテストするために特別なテストを記述します また モジュール内で診断機能の能力をチェックするテストも開発します この V モデルのステップに適用できるアルテラのプロセスまたはツールはありません 入力 アイテム要件の仕様 ( すべての安全要件向け ) FPGA 要件の仕様 (FPGA レベルの要件向け ) ロジック モジュール デザイン 機能の記述 出力 ロジック モジュール デザイン テストの記述 検証報告書 検証 テストの記述でデザイン ドキュメントから番号付きのテストまでのテスト可能なアイテムのクロスチェック テスト ストラテジーと範囲のピアレビュー 推奨ツール 標準的な文書作成パッケージ (Microsoft Word) 要件管理ツール ( 例 :IBM DOORS または TechnoSolutions TopTeam など ) MNL-1079 システム障害の管理

15 MNL-1079 ロジック モジュール デザインのコーディング 2-9 特定のテクニックと方法 なし ハードウェアの設計に関する詳細な要件については ISO :2011 clause を参照してください ロジック モジュール デザインのコーディング このステップでは 詳細なモジュールの機能の記述を合成可能なデザインの記述に変換します これは通常 回路機能の (V)HDL 記述の形式をとり デザイン入力に対しては標準的なテキスト エディタを使用します 注意 : この資料内の (V)HDL という用語は Verilog HDL または VHDL のいずれかを意味します デザイン入力には様々な方法を選択することができます デザインの実装に適した方法を決定するには 数多くある特定のテクニックと方法 (5-1 ページの ISO26262 に特化した FPGA デザイン用のテクニックと方法 ) の中から 各デザイン入力の方法の適正を評価します の ISO26262 には アルテラ ツールを使用したこのようなテクニックと方法の実装方法が詳細に記載されています この V モデル ステップは アルテラのツールやプロセスを必要としません ただし Quartus II ソフトウェアを使用しているのであれば 正しい言語構文および精緻化エラーをチェックするには 解析およびエラボレーション機能を使用することができます 解析およびエラボレーションは デザインに正しい コードの構文と接続が使用されているかどうかをチェックする Analysis and Synthesis プロセスの一部を構成します 入力 : ロジック モジュール デザイン 機能の記述 出力 : 合成可能なデザイン ファイル ( 通常は (V)HDL) 検証 lint ツールの使用 ( 可能な場合 ) 検査コードまたはウォークスルー シミュレーション 推奨ツール 標準的なテキスト エディタ Qartus II 開発ソフトウェアの Analysis and Elaboration 機能 特定のテクニックと方法 Structured Description( 構造化記述 ) を参照してください Design description in HDL(HDL によるデザインの記述 ) を参照してください Restricted use of asynchronous constructs( 非同期構文の使用制限 ) を参照してください 検査コードまたはウォークスルーを参照してください 詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 1 章 :Quartus II プロジェクトの管理 システム障害の管理

16 2-10 ロジック モジュール デザイン設計のテスト 解析およびエラボレーションの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 16 章 :Quartus II ソフトウェアの統合合成 関連情報 5-1 ページの ISO26262 に特化した FPGA デザイン用のテクニックと方法 ロジック モジュール デザイン設計のテスト このステップでは デザインを生成し テスト コードあるいはテストベンチを実行します 以前に生成されたテストの記述から個々のアイテムを実行可能なテストへと変換します このステップで開発するテストはそれぞれ テスト記述アイテムに直接リファレンスされます テストのパス / フェイル ステータスは 開発者およびプロジェクト マネージャーが簡単にアクセスできるようにします このステップには多くのテクニックが使用できますが 開発中の安全性に関するデザインに基も適したテクニックを選択します このステップには 以下のような方法が用いられることが一般的です 標準的なテキスト エディタを使用して (V)HDL テストベンチをコーディングします 適切なロジック シミュレータ内でこのテストベンチを実行します テストの成功 / 不成功をキャプチャします 不成功だった内容を分析し デザインの コードを修正します このステップでテストを実行するには スクリプトを使用します 高い信頼性と再現性を持つテストを実行する目的で アルテラは EDA コミュニティによって広くサポートされ 使用されている Tcl スクリプト言語をサポートしています サードパーティのシミュレータを慎重に選択します ISO26262: では ツールの信頼性レベル (ISO :2011 clause 11) の確立についての要件が定義されています このステップでは通常 標準的な (V)HDL によってデザインが記述されるため 選択した言語をサポートするサードパーティーのシミュレータだけが必要となります デザインに Altera IP コアのインスタンスが含まれる場合 適切な Altera のシミュレーション ライブラリを使用するようにします このようなライブラリは Quartus II ソフトウェアで提供されています シミュレーションでのコンフィギュレーションが ( この資料で指定する特定の Quartus II ソフトウェアのバージョンから ) 正しいアルテラ ライブラリをターゲットとしていることを確認する必要があります 検証には System Verilog HDL 言語を使用する方法を実装に選択することができます 選択するツールと方法が 安全性に関するデザインと検証に対して適切であることを確認する必要があります このステップでは デザインを合成し 同じシミュレーション テストベンチを使用してげーどレベルのコードを実行することが可能です 生成したコードがターゲット デバイスに合成されたかを早い段階で知ることができるため アルテラではこのステップを推奨しています 入力 デザイン ファイル Logical Module Design Test Description ドキュメント 出力 MNL-1079 システム障害の管理

17 MNL-1079 ロジック モジュール デザインへの障害の注入 2-11 テストのパス / フェイル ステータス ( デバッグで使用する ) テストのパス / フェイル診断 検証 ツールの使用 テスト結果のピアレビュー 有効なシミュレータ出力を手動でチェックします レポート ファイルの存在 およびタイム スタンプあるいはデート スタンプのチェック シミュレーション ライブラリ ファイルのタイム スタンプあるいはデート スタンプのチェック 推奨ツール サードパーティー製シミュレーション ツール これらの解説は本資料には含まれません Mentor ModelSim simulator Cadence NCSIM Synopsys VCS アルテラのシミュレーション ライブラリ ( オプション ) 特定のテクニックと方法 HDL シミュレーションを参照してください モジュール レベルでの機能テストを参照してください 機能的および構造的カバレッジ ドリブン検証を参照してください シミュレーション結果のドキュメンテーションを参照してください Proven in Use( 使用実績のある ) ライブラリ /CPLD テクノロジの適用を参照してください 詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 第 1 章 : アルテラ デザインのシミュレーション Tcl スクリプトの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 2: デザインの実装と最適化 第 3 章 :Tcl スクリプト ロジック モジュール デザインへの障害の注入 このステップはオプションであり モジュール デザインに障害検出機能が内蔵されている場合のみ適用されます このステップでは 検出された障害の数を決定するために デザインのネットリストに障害を注入して実装された手法が診断する範囲を分析します モジュール デザインよりも高いレベルで診断測定を実施することができます モジュール デザインの統合において障害注入テストを実行して より高いレベルの測定で診断する範囲を決定し モジュール間の依存関係を分析する必要があります 入力 デザインのネットリスト 出力 テスト診断カバレッジ システム障害の管理

18 2-12 FMEDA の実行 検証 ツールの使用 テスト結果のピアレビュー 推奨ツール サードパーティ製の故障注入ツール サードパーティ製のシュミレーション ツール アルテラのシミュレーション ライブラリ ( オプション ) 特定のテクニックと方法 HDL シミュレーションを参照してください シミュレーション結果のドキュメンテーションを参照してください Proven in Use( 使用実績のある ) ライブラリ /CPLD テクノロジの適用を参照してください ロジック モジュール統合のテストを参照してください 詳細は以下を参照してください ISO :2011, Section ISO :2011, Section FMEDA の実行 このステップでは 診断能力を決定し デザインで達成されたメトリクスを評価します 実装された診断手法の Failure モード Failure モードの分布 Failure 率 および診断の範囲についての情報を Failure モード 効果 診断解析 (FMEDA) への入力として考慮する必要があります 最も正確な情報で製品開発サイクル間に FMEDA を微調整します 入力 Failure モード Failure モードの分布 回路の故障率 診断手法の診断カバレッジ 出力 FMEDA 検証 結果のピアレビュー 推奨ツール アルテラ FMEDA スプレッドシート 特定のテクニックと方法 MNL-1079 システム障害の管理

19 MNL-1079 ロジック モジュール統合に向けた設計記述の作成 2-13 適用されません ロジック モジュール統合に向けた設計記述の作成 このステップでは 抽象化レベルがモジュール統合レベルである点を除き ロジック モジュール デザインに向けた設計記述の作成と同じテクニックを使用します 各モジュール間の統合を記述するための基礎として FPGA アーキテクチャのドキュメントを使用することができます 関連情報 2-7 ページのロジック モジュール デザインに向けた設計記述の作成 ロジック モジュール統合に向けたテスト記述の作成 このステップでは テストがより高いレベルのブロックおよびサブシステムに特化されているという点を除き ロジック モジュール デザインに向けたテスト記述の作成と同じテクニックを使用します このテスト記述はフルチップのテスト時にターゲットとすることができます 関連情報 2-7 ページのロジック モジュール デザインに向けた設計記述の作成 ロジック モジュール統合のコーディング このステップでは 前の段階で開発した個々のモジュールを統合します この時点で これらのモジュールを組み合わせることで より高いレベルの機能と最終的なトップレベルの FPGA の設計を作成します Quartus II ソフトウェアはモジュールの統合を簡易化するコード生成ツール (Qsys) を搭載しており 特にアルテラ IP コアと Nios II プロセッサを使用する場合はモジュール統合を非常に簡単に実行することができます 入力 モジュール デザイン ファイル ロジック モジュール デザイン 機能の記述 FPGA アーキテクチャ 出力 チップ レベルまたはサブシステム レベルのデザイン ファイル 検証 自動化されたステップのレポート ファイルの出力を分析する ( これは Nios II ソフトウェア ビルド ツールにも適用されます ) VHDL ファイルのタイム スタンプとデート スタンプを確認する ( これは Nios II ソフトウェア ビルド ツールにも適用されます ) Qsys が生成した階層を検査する (Qsy s を使用した場合 ) 推奨ツール 標準的なテキスト エディタ Quartus II Qsys 特定のテクニックと方法 システム障害の管理

20 2-14 ロジック モジュール統合のテスト モジュール化を参照してください 検証済みのソフト コアの適用を参照してください ソフト IP コアの検証を参照してください MNL-1079 ロジック モジュール統合のテスト このステップでは モジュール レベルの V モデルのステップと同じテクニックを使用しています ただし 検証の焦点は より高いレベルのブロックおよびフルチップのテストにあります 入力 : デザイン ファイル Logical Module Design Test Description ドキュメント 出力 : テストのパス / フェイル ステータス ( デバッグで使用する ) テストのパス / フェイル診断 検証 : ツールの使用 テスト結果のピアレビュー 有効なシミュレータ出力を手動でチェックします レポート ファイルの存在 およびタイム スタンプあるいはデート スタンプのチェック シミュレーション ライブラリ ファイルのタイム スタンプあるいはデート スタンプのチェック 推奨ツール : サードパーティー製シミュレーション ツール これらの解説は本資料には含まれません Mentor: ModelSim Cadence: NCSIM Synopsys: VCS アルテラのシミュレーション ライブラリ ( オプション ) 特定のテクニックと方法 : HDL シミュレーションを参照してください モジュール レベルでの機能テストを参照してください 機能的および構造的カバレッジ ドリブン検証を参照してください シミュレーション結果のドキュメンテーションを参照してください Proven in Use( 使用実績のある ) ライブラリ /CPLD テクノロジの適用を参照してください 詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 関連情報 2-10 ページのロジック モジュール デザイン設計のテスト システム障害の管理

21 MNL-1079 合成の実行 2-15 合成の実行 このステップでは FPGA 合成ツールを使用します 合成ツールは指定した入力デザイン ファイルを受け取り ロジック ファンクションを Quartus II ソフトウェアがターゲットとするアルテラ FPGA のロジック セルのストラクチャ内に実装できるフォーマットに変換します Quartus II ソフトウェアには Quartus II 統合合成機能ツールが含まれています これは他の開発フローの部分と統合する高性能な合成ツールです 安全性に関連するフローには他の合成ツールを使用することも可能です Quartus II ソフトウェアは VHDL および Verilog HDL 言語の特定のバージョンをサポートしています 使用するデザイン が これらの規格に適合していることを確認する必要があります 使用する言語のバージョンは FPGA 要件の仕様書あるいはコーディング ガイドラインのドキュメント内で指定しておくことが理想的です Quartus II ソフトウェアは構文の正確性という点からデザイン を確認した後 そしてデザイン階層を詳細に調査した後で FPGA コンパイル フローのロジック合成を実行します 合成エンジンの動作に関しては多くのオプションが存在します Quartus II 合成エンジンは合成の制約によって制御されます 入力 デザイン ファイル 例 :(V)HDL モジュールおよび統合ファイル プロジェクトの制約 例 : ターゲットとするファミリあるいはデバイス タイミング制約 ( 推奨 タイミング ドリブンの最適化が可能となります ) 出力 合成後のデータベース ( 内部ツール ファイル ) 検証 生成されたレポート ファイルを見直す ( 例 : 警告や重度の警告 ) 内部プロジェクト データベース タイムとデート スタンプを確認する 入力ファイル リストを確認する 推奨ツール Quartus II 統合合成ツール サードパーティー製合成ツール これらの解説は本資料には含まれません Synopsys Synplify Mentor Graphics Precision Synthesis Mentor Graphics LeonardoSpectrum 特定のテクニックと方法 : 内部整合性のチェックを参照してください 合成の制約 結果 ツールのドキュメンテーションを参照してください Proven in Use( 使用実績のある ) 合成の適用を参照してください Proven in Use( 使用実績のある ) ライブラリ /CPLD テクノロジの適用を参照してください スクリプト ベースの手順を参照してください Quartus II ソフトウェアが統合した合成を呼び出す方法およびそれらが持つ制約と効果については Quartus II Software Handbook v14.1 の以下のトピックを参照してください システム障害の管理

22 2-16 配置配線の実行 Volume 1: 設計と合成 MNL-1079 関連情報 9-1 ページのサポートされる (V)HDL のバージョン 配置配線の実行 このステップでは 論理合成の結果から各ロジック セルの特定の配置が含まれるネットリストを作成します さらに ロジック セルとその他のデバイス リとの間の正確な配線を導き出します 配置配線プロセスを実行するために システムのタイミング制約を使用するよう配置配線ツールを設定することが可能です アルテラは Quartus II ソフトウェアの多くのバージョンを通じて 複雑な内部アルゴリズムを開発してきました 技術の詳細については 本資料には含まれません 配置配線プロセスでは 合成ネットリスト アイテムを配置配線するだけではなく 合成データベースを大幅に変更することが可能です プロジェクト全体のレベルといった設計サイクルの初期段階で Quaruts II Fitter の設定と制約を決定します 入力 : 合成後のデータベース プロジェクトの制約 例 : ターゲットとするファミリあるいはデバイス タイミング制約 ( オプション タイミング ドリブンの配置配線用 ) 出力 : 配置配線後のネットリスト ( 内部ツール ファイル ) 検証 : ツールが生成したレポート ファイルの解析 ( 警告 重大な警告などをチェック ) 内部プロジェクト データベース タイムとデート スタンプを確認する 有効なゲート レベルでのシミュレーション結果を確認する 推奨ツール : Quartus II Fitter 特定のテクニックと方法 : 使用実績のある適用されたハード コアの正当性を参照してください 検証済みのハード コアの適用を参照してください 詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 2: デザインの実装と最適化 第 12 章 : タイミング クロージャと最適化 第 14 章 : エリアの最適化 スタティック タイミング解析の実行 このステップでは タイミング解析を実行します タイミング解析を実行することで デザインのタイミングに関するパフォーマンスの正確な情報が得られ 回路が問題なく動作するかどうかを把握することができます システム障害の管理

23 MNL-1079 ゲート レベル シミュレーションの実行 2-17 FPGA の全体的なシステム パフォーマンスを FPGA 要件のドキュメントで指定することができます FPGA アーキテクチャのドキュメントでは デザイン内のサブシステムのタイミングを指定することができます アルテラは Quartus II ソフトウェアに TimeQuest タイミング解析ツールを搭載しています ユーザー提供のタイミング制約のセットに対してタイミング パフォーマンスを検証するには この包括的なツールを使用してください タイミング制約は 全体的な FPGA デザインの重要な部分であるため 慎重に設計し 管理する必要があります FPGA デザイン サイクルの初期段階でタイミング制約を開発します Quartus II ソフトウェアは合成とフィッティングの際にタイミング制約を使用します 例えば 合成と配置配線のステップでタイミング制約を使用すれば 速度や面積の最適化でより良い結果が得られます 入力 : タイミング制約 FPGA アーキテクチャ FPGA 要件の仕様 デバイスのタイミング モデル 配置配線後のネットリスト 出力 : タイミング レポート ファイル 検証 : タイミング障害のツール出力ファイルを見直す ツールからの有効な結果を確認する ツールが正しい制約 (.sdc) ファイルを読み出していることを確認する クロック サマリ レポートを確認する マクロが生成するすべてのサマリのレポートを確認する レポート ファイルの存在とタイム スタンプおよびデート スタンプを確認する レポート ファイル内で制約されていないパスを確認する 推奨ツール : Quartus II TimeQuest Timing Analyzer 特定のテクニックと方法 : 合成の制約 結果 ツールのドキュメンテーションを参照してください 伝播遅延のスタティック タイミング解析 (STA) を参照してください 適切なタイミング マージンを参照してください 使用期間が 3 年以下のプロセス テクノロジのデバイス ファミリを使用する場合のタイミング制約を変更するにあたっての特定の要件についての詳細な情報は 適切なタイミング マージンを参照してください ゲート レベル シミュレーションの実行 このステップでは 前段階のプロセスを検証します 配置配線ステップの出力であるネットリストでデザインをシミュレーションします ツールは論理合成を実行することでこのネットリストを生成するだけなので 合成ツールの動作も検証します システム障害の管理

24 2-18 ゲート レベル シミュレーションの実行 ロジック モジュール デザイン設計のテストとロジック モジュール統合のテストで生成するシミュレーション テストベンチを再利用することが一般的ですが この段階で開発に追加のテストを提供することを決定することができます この要件は FPGA 要件の仕様または FPGA アーキテクチャのドキュメント内で記述します ロジック シミュレータに関連するすべてのタイミング情報を提供するという点を除いては タイミングが正確なゲート レベルのシミュレーションは 通常のゲート レベルのシミュレーションと同じです このプロセスでは デザインないのタイミング違反が表示されることがあります 機能ゲート レベル シミュレーションに加えて このステップを実行することができます または 機能ゲート レベル シミュレーションはこのステップを置き換えることができます 使用期間が 3 年以下のプロセス テクノロジのデバイス ファミリを使用する場合のタイミング制約を変更するにあたっての特定の要件についての詳細な情報は 適切なタイミング マージンを参照してください 入力 配置配線後のネットリスト ロジック モジュール テストの記述とテストベンチ ロジック モジュール統合テストの記述とテストベンチ 出力 テストのパス / フェイル ステータス ( デバッグで使用する ) テストのパス / フェイル診断 検証 テスト結果のピアレビュー 有効なシミュレータの出力を手動で確認する 手動で波形を確認する ポート ファイルのパス / フェイル ステータスを手動で確認する レポート ファイルの存在とタイム スタンプおよびデート スタンプを確認する 推奨ツール サードパーティー製シミュレーション ツール これらの解説は本資料には含まれません Mentor ModelSim Cadence NCSIM Synopsys VCS アルテラのシミュレーション ライブラリ 特定のテクニックと方法 Proven in Use( 使用実績のある ) ライブラリ /CPLD テクノロジの適用 シミュレーションによるリファレンス モデルに対するゲート ネットリストの検証 リファレンス モデルとゲート ネットリストの比較 ( フォーマル等価性検証 ) 関連情報 2-10 ページのロジック モジュール デザイン設計のテスト 2-14 ページのロジック モジュール統合のテスト MNL-1079 システム障害の管理

25 MNL-1079 ビットストリームの生成 2-19 ビットストリームの生成 このステップでは ( ビットストリーム生成としても知られている ) プログラミング ファイルを生成します この手順は コンパイル済みのデザインでデバイスをプログラミングする前に実行します Quartus II ソフトウェアのアセンブラは 最終的なネットリストを取り込み 目的の機能に対し FPGA ロジック セルを設定するプログラミング シーケンスを生成します 多くの場合 Quartus II ソフトウェアはこの手順を自動的に実行します ビットストリームとストレージの生成にアセンブラを使用するには いくつかのオプションがあります 入力 配置配線後のネットリスト FPGA 要件の仕様 ( ビットストリーム ストレージ アプローチを含みます ) 出力 デバイス プログラミング ファイル (.sof.pof.hex など ) 検証 ツールが生成したレポート ファイルを見直す ハードウェアのチェック プログラミング ファイルのタイム スタンプとデート スタンプを確認する 推奨ツール Quartus II アセンブラ 特定のテクニックと方法 なし アセンブラの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 第 18 章 :Quartus II プログラマ デザインの検証 このステップでは ハードウェア内の最終的なデザインを検証します プログラミング ファイルの生成段階で生成されたビットストリームを取り込み このファイルをハードウェアのデバイスに適用するために適切な手法を使用します このステップの後 テスト記述のドキュメントが指定さする方法でデバイスの機能性を検証する必要があります この検証が成功しない場合には アルテラではデバッグに役立つ様々なイン システム デバッグ ツールを提供しています SignalTap II ロジック アナライザ Nios II Debugger Quartus II PowerPlay パワー アナライザ Quartus II In-System Memory Editor これらのテクニックとツールはデバッグにのみ使用し 最終的なシステムには適用しないでください 入力 システム障害の管理

26 2-20 オートモーティブの機能安全向けのアルテラ ツール デバイス プログラミング ファイル ( 例 :.sof.pof.hex) MNL-1079 出力 ハードウェア テストの結果 ( ドキュメント ) 検証 SignalTap II ロジック アナライザ : デバッグ IP コアがフィッタ レポート ファイルに含まれているかを確認する 有効な結果を SignalTap II ロジック アナライザで確認する Nios II デバッガ : 有効な結果をデバッグ ツールで確認する SignalTap II ロジック アナライザを使用してデバッガあるいはメモリ エディタの一貫性を確認する ハードウェアの検証を使用してデバッグ ツールが正しい出力を生成していることを確認する Quartus II PowerPlay アナライザ : 有効な結果を手動で確認する データベースの一貫性を確認する ( タイム スタンプとデート スタンプ ) レポート ファイル タイム デート スタンプ およびモジュールが含まれていることを確認する ハードウェアの消費電力をモニタする テスト結果のピアレビュー デバッグ IP コアがフィッタ レポート ファイルに含まれているかを確認する 有効な結果をデバッグ ツールで確認する SignalTap II ロジック アナライザを使用してデバッガあるいはメモリ エディタの一貫性を確認する ハードウェアの検証を使用してデバッグ ツールが正しい出力を生成していることを確認する 推奨ツール SignalTap II ロジック アナライザ Nios II Debugger Quartus II PowerPlay パワー アナライザ Quartus II In-System Memory Editor 特定のテクニックと方法 最終的な検査と検証 オートモーティブの機能安全向けのアルテラ ツール Qsys アルテラでは V モデル ステップで使用可能なさまざまなツールを提供しています Qsys コード生成ツールには ISO26262: に固有の要件があります 詳細については ISO :2011 の項 10 を参照してください システム障害の管理

27 MNL-1079 オートモーティブの機能安全向けのアルテラ ツール 2-21 Qsys は 生成されたモジュールとアルテラの標準 IP コア間における接続をグラフィカルに表示します これらのブロック間の接続には 以下のアルテラ バス プロトコルが使用されます Avalon-MM インタフェース Avalon-ST インタフェース サブモジュールと IP コアの間で接続が特定されると コード生成段階が実行されます この段階では 接続のグラフィカルな表現を取り入れ モジュール インスタンスおよびアービトレーション ロジックやブリッジなどを含む接続の (V)HDL 記述ファイルが生成されます この (V)HDL ファイルは手動でコード化した (V)HDL ファイルと同じ方法でデザイン内に含めることができます Qsys の詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 SignalTap II ロジック アナライザ Altera SignalTap II ロジック アナライザは FPGA 内のリアルタイム信号の遷移をキャプチャし 表示します つまり デバイス内で関心のあるノードを指定すると Quartus II コンパイラがそのノードを SignalTap II ブロックに接続し デバイス内でインスタンス化します 動作中は SignalTap ブロックが一定のトリガ条件をもとにオンチップ メモリへの信号の遷移をキャプチャします SignalTap II ロジック アナライザはその後 JTAG 経由でメモリの内容をホスト コンピュータへ転送し グラフィカルな形式でそれらを表示します 安全アプリケーションが online つまりデザインが機能安全に関与している場合は SignalTap II ロジック アナライザは使用しないでください SignalTap II ロジック アナライザの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 第 13 章 :SignalTap II ロジック アナライザを使用したデザインのデバッグ Nios II デバッガ Nios II ソフトウェア デバッガは ホストコンピュータが JTAG インタフェースを使用して FPGA 内の Nios II プロセッサに接続することを可能とします ブレーク ポインティング STD アウト レポートなどの標準的なソフトウェアのデバッグ方法には Nios II ソフトウェア デバッガを使用してください 安全関連アプリケーションが online つまりデザインが機能安全に関与している場合は Nios II デバッガは使用しないでください Nios II デバッガの詳細については Nios II Classic Software Developer's Handbook を参照してください Quartus II In-System Memory Editor Quartus II In-System Memory Editor は ホスト コンピュータからのオンチップ メモリの内容の変更とリードバックを可能とします このホスト コンピュータは JTAG 接続を使用してデバイスに接続します このツールは デザインの実行動作中にメモリの内容を分析する場合に役立 システム障害の管理

28 2-22 アルテラ IP コア ちます このインシステム機能を有効にするよう設計時に設定した場合にのみ オンチップ メモリにアクセスすることができます 安全関連アプリケーションが online つまりデザインが機能安全に関与している場合は In- System Memory Editor は使用しないでください In-System Memory Editor の詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 第 16 章 : メモリおよび定数のインシステム修正 Quartus II PowerPlay パワー アナライザ Quartus II の PowerPlay パワー アナライザは デザイン コンセプトの初期からデザインの実装段階までの消費電力の見積もりを可能とします 見積もり結果を得るには 環境条件とデザインで使用する予定のデバイス リ数 ( クロック DSP ブロックなど ) についての情報を入力します デザインが部分的に完了している場合は Quartus II ソフトウェアは デバイスの電力消費量のより正確な見積もりを提供する PowerPlay early power estimator( 初期消費電力量の見積もり ) ファイルを生成することができます PowerPlay パワー アナライザの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 第 8 章 :PowerPlay 電力解析 アルテラ IP コア デザインに様々な機能を実装するには アルテラ IP コアの使用が適切である場合があります アルテラは以下の 2 種類の IP コアを提供しています メガファンクション MegaCore ファンクション アルテラ メガファンクションは 通常は PLL といった下位レベルのハード IP 機能です このような機能の多くは ユーザによる設定が可能です アルテラでは一般的にこのような IP コアの設定に GUI を提供しており これらはテキスト ベースのコンフィギュレーション ファイルを生成します アルテラ MegaCore ファンクションは 通常は FPGA の汎用リ内に実装する上位レベルの機能です これには DDR SDRAM コントローラや Ethernet MAC などが挙げられます IP コアの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 2 章 :Quartus II ソフトウェアによるデザイン プランニング MNL-1079 システム障害の管理

29 MNL-1079 Nios II プロセッサ 2-23 Nios II プロセッサ アルテラは Quartus II 開発ソフトウェア以外にも Nios II ソフト プロセッサを提供しています Nios II プロセッサは 32 ビット RISC( 縮小命令セット コンピュータ ) プロセッサです Nios II プロセッサは 一般的な FPGA リで構成されており ユーザが選択できる多数のコンフィギュレーション オプションを備えています アルテラは Quartus II の各リリースで Nios II プロセッサのリグレッション テストを実行しています このテストデータ および多くの使用経験は 安全関連のデザインにおいて Nios II プロセッサ コアが適しているという証拠となります Nios II プロセッサを使用する場合 Nios II プロセッサ ベースのデザインに十分な診断カバレッジが提供されていることを確認します この診断カバレッジは通常 Nios II プロセッサで動作するソフトウェアに実装します プロセッサのファームウェアおよびハードウェアが正常に動作しているかを確認するには これらのルーチンを使用することができます このようなルーチンの一例としては 巡回冗長検査 (CRC) の計算または Nios II プログラム コードでの署名があります 適切なシステム アーキテクチャを使用しているのであれば Nios II プロセッサは独自のプログラム コードでこの操作を実行することができます これ以外の診断手法については ISO26262: を参照してください Nios II プロセッサは ユーザーが設計したソフトウェアを実行します 安全関連のソフトウェアを実行することは ISO :2011 も適用可能であることを意味しています 本資料には ハードウェアの組み込みと Nios II プロセッサの合成についてのガイドラインが含まれていますが 安全性に関連するソフトウェアの設計は ISO26262: の範囲内で実行するようにします 関連情報 2-6 ページの FPGA アーキテクチャの生成 8-1 ページの Nios II プロセッサを使用したソフトウェア開発 システム障害の管理

30 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ 3 MNL-1079 更新情報 Cyclone V の概要 Cyclone V は Cyclone プロダクトの第 5 世代であり 28nm LP プロセスで製造されています デバイス ファミリは主に FPGA ファブリック内で使用できるロジック エレメント (LE) の個数で区別されます Cyclone V がターゲットとするアプリケーション Altera Cyclone V デバイスは産業およびオートモーティブ分野において機能安全を重視するアプリケーションでの使用を含む多様なアプリケーション要件を満たします これには以下が含まれます 先進運転支援システム ハイブリッド車や電気自動車向けモータ制御および DC-DC コンバータ インフォテインメント システム アルテラは Cyclone V の開発にあたって SEooC(Safety Element out of Context) 方法論を採用しています FPGA は 標準的なコンポーネント ( 例 : マイクロ コントローラ ) の使用と比較してユーザに一定の責任をシフトするユーザ定義のロジック IP とアプリケーションの統合に高度な柔軟性を提供します コンポーネント レベルのみでは ISO26262: の機能安全の達成は不可能です むしろ アイテムの全体的な安全コンセプトとして機能します アルテラの Cyclone V 製品は アイテムに対しターゲットとする ASIL レベルの達成の簡易化を可能にします Cyclone V ハードウェアのアーキテクチャ Cyclone V デバイスのアーキテクチャは 必要に応じてアプリケーション実行中に使用可能なクロック 電源 メモリなどを継続して動作させる診断手法を含みます アプリケーションは アプリケーションを実行する安全性が重要な部分にこれらの機構を使用する前に 正しく動作することを確認しておく必要があります Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134

31 3-2 Cyclone V の診断メカニズムおよび使用にあたっての前提条件 MNL-1079 図 3-1: Cyclone V の上位レベルのブロック図 次の図は Cyclone V アーキテクチャの上位レベルのブロック図を示します Altera FPGA Device Control Block User I/O HSSI Transceivers FPGA Fabric (LUTs, RAMs, Multipliers & Routing) PLLs Hard PCIe Hard Memory Controllers FPGA は柔軟性に富むため 独自のハードウェア アクセラレータを実装できるオプションがあります また システムあるいはチップ内の障害を検出する目的で カスタムの診断機能を作成することも可能です Cyclone V デバイス上の一部のモジュールは あらかじめハードウェア診断が組み込まれていますが 他のモジュールは 偶発ハードウェア障害を検出するにあたって システム レベルの概念に依存しています Cyclone V の診断メカニズムおよび使用にあたっての前提条件 この項では 潜在的な障害を検出する目的でアプリケーション内の IP コアまたは機能に実装された診断メカニズムおよびアプリケーション内の IP コアまたは機能の使用にあたっての前提条件について説明します この項では 該当する場合は ISO26262: をはじめとするドキュメントを参照します 特定の IP コアまたは機能の前提条件の表は 以下の推奨レベルがあります M は必須を表します ++ は強く推奨を表します + は推奨を表します O はオプションを表します 各表には ISO26262: による潜在的な診断メカニズムを示しています 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ

32 MNL-1079 電源 3-3 電源 内部電圧モニタ Cyclone V デバイスは いくつかの電源レールに向けて内部電圧モニタを実装します 特定のレールの電圧が仕様以外であれば デバイスは内部リセットを発行します アルテラは モニタされていない電圧レールに向けて異なる電圧モニタがアイテムによって実装されていると想定しています Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 10 章 :Cyclone V デバイスの電源管理 電源レール Cyclone V FPGA はコア ロジックおよび I/O に対し FPGA ファブリックの電圧レールをサポートします 供給電圧の影響に関係する FPGA ファブリック内の一般的な障害を効率的に軽減することができます アルテラは アプリケーションが FPGA ファブリックに専用の電源を提供することを想定しています 詳細については Cyclone V Device Family Pin Connection Guidelines の資料番号 PCG を参照してください Cyclone V FPGA の電源の使用前提 表 3-1: 電源の使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム PWR1 内部電圧モニタ M 外部電圧モニタ PWR2 外部電圧スーパーバイザー ++ 内部電圧モニタ クロック クロック入力 Cyclone V FPGA は クロックに関連する一般的な障害を防ぐことができる複数のクロック入力をサポートしています 複数の入力クロックによって FPGA ファブリック内のクロックを駆動することが可能です また 複数の独立したクロック ネットワークによって FPGA ファブリック内のロジックを駆動することも可能です Cyclone V Device Handbook を参照してください 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ

33 3-4 FPGA のクロッキング MNL-1079 Volume 1: デバイスのインタフェースおよび統合 第 4 章 :Cyclone V デバイスのクロック ネットワークおよび PLL FPGA のクロッキング FPGA ファブリックは 異なる PLL を持つクロックを個別に生成可能な非常に柔軟なクロック ネットワーク トポロジを提供します 異なるクロック ネットワークによって駆動されるロジックを分離することが可能です 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 4 章 :Cyclone V デバイスのクロック ネットワークおよび PLL PLL 数 PLL は デバイス クロックの理 外部システム クロックの管理 および高速 I/O インタフェースに向けて堅牢なクロック管理および合成機能を提供します Cyclone V デバイス ファミリは フラクショナル PLL あるいは整数 PLL としても機能できるフラクショナル PLL が含まれています Cyclone V デバイスの出力カウンタは 整数またはフラクショナル周波数合成をサポートする各フラクショナル PLL に使用されます クロック スイッチオーバー機能 Cyclone V のクロック スイッチオーバー機能により PLL は 2 つの基準入力クロックを切り換えることができます この機能はクロック冗長性のために あるいは前のクロックが停止した場合に冗長クロックがオンになるシステムであるデュアル クロック ドメイン アプリケーションに使用します クロックがそれ以上トグルしないとき またはユーザーのコントロール信号に応じて デザインは自動的にクロック スイッチオーバーを実行することができます PLL クロックの出力 Cyclone V のほとんどの PLL は PLL ごとに専用クロック出力もドライブすることができます 外部チェック ロジックはこれを使用して PLL に関連するクロックの問題を検知することが可能です FPGA PLL ロック信号 Cyclone V FPGA ファブリック内の PLL は PLL が入力クロックにロックされていることを示すロック信号も提供します 入力クロックに対して正しい周波数で PLL が実行されていることを確認するには この信号を使用します 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 4 章 :Cyclone V デバイスのクロック ネットワークおよび PLL コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ

34 MNL-1079 Clock Checker Diagnostic IP コア 3-5 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 3-2: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test Section D Clock Checker Diagnostic IP コア この IP コアを使用すると 安定したリファレンス クロックに対し入力クロックの周波数と存在のオンライン チェッキングを提供することで デザインの診断カバレッジを拡大することができます また FPGA デバイス内の PLL の正しい機能を確認したり 安全性に関連するデザイン内の他のシステム クロックを確認するには この IP コアを使用することができます 高周波数と低周波のしきい値は指定可能です テストするクロックが指定したしきい値を超える場合は IP コアはシステムにエラー信号を生成し 警告します 表 3-3: ISO26262 リファレンス :Comparator Table D.2 Comparator Section D Cyclone V FPGA のクロックの使用前提 表 3-4: Cyclone V FPGA のクロックの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム CLK1 FPGA ファブリックに向けた個別の外部クロック入力の使用 + 1. クロック グループを FPGA ファブリックへ配線する Clock Checker Diagnostic IP コア 2. ウォッチドッグ 3. 外部ピンのクロック ドメイン出力 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ

35 3-6 リセット MNL-1079 識別子安全または診断機能推奨度潜在的な診断メカニズム CLK2 CLK5 FPGA ファブリック内でインスタンス化される Clock Checker Diagnostic IP コアを使用したクロック領域の管理 FPGA ファブリック内のウォッチドッグ ウォッチドッグ 2. 外部ピンのクロック ドメイン出力 外部のウォッチドッグ 2. SW テスト コンフィギュレーション レジスタと意図する機能 CLK6 外部のウォッチドッグ 内部のウォッチドッグ 2. SW テスト コンフィギュレーション レジスタと意図する機能 CLK7 FPGA ファブリックの PLL が欠如したクロック検出とセカンダリ クロックへの自動切り替え Clock Checker Diagnostic IP コア 2. クロック出力 3. SW テストのコンフィギュレーション レジスタ CLK8 FPGA fabric PLL clock output O 1. Clock Checker Diagnostic IP コア 2. PLL が欠如した入力クロックの検出 CLK9 FPGA ファブリック PLL 固定信号 O 1. Clock Checker Diagnostic IP コア 2. PLL が欠如した入力クロックの検出 リセット 関連情報 3-5 ページの Clock Checker Diagnostic IP コア Cyclone V FPGA は FPGA の柔軟なリセット処理を提供します 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ

36 MNL-1079 FPGA のリセット 3-7 FPGA のリセット 電源投入時に FPGA のコンフィギュレーションに必要な電圧モニタする内部リセット電圧スーパーバイザーが 内部パワー オン リセット (POR) を生成します リセットの継続時間は ユーザにて選択が可能です nstatus 信号と CONF_DONE 信号がコンフィギュレーションの完了を表します INIT_DONE 信号は適切な初期化を表し この信号を High にプルアップした後デザインが実行されます FPGA ファブリックにプログラミングするロジックに適切なリセットを設定する必要があります 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 7 章 :Cyclone V デバイスのコンフィギュレーション デザイン セキュリティ およびリモート システム アップグレード コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 3-5: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test Section D 入力 / 出力 FPGA ファブリックの I/O FPGA ファブリックの I/O ストラクチャは非常に柔軟であり 多くのアプリケーションの要件を満たすよう設定することができます Cyclone V デバイスは各シングルエンド I/O を双方向ピンとして実装しているため 入力バッファを介して出力として設定されたピンのステータスをリード バックすることが可能です 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 5 章 :Cyclone V デバイスの I/O 機能 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ

37 3-8 コンフィギュレーション レジスタの定期的なリード バック MNL-1079 コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 3-6: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test Section D Cyclone V FPGA の I/O の使用前提 表 3-7: I/O:Cyclone V FPGA での使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム IO1 IO3 入力バッファを経由した出力ピン ステータスの FPGA ファブリック I/O リード バック コンフィギュレーション レジスタの定期的なリード バック 専用の独立したチェック ロジック + 1. Cortex-A9 を使用したレジスタ内容のリード バック Cyclone V FPGA のコンフィギュレーション 電源投入時に FPGA はコンフィギュレーション内容をロードし アプリケーション回路を作成します コンフィギュレーション シーケンス中 外部モニタを使用して進捗をモニタするにはステータス信号 (nstatus nconfig CONF_DONE INIT_DONE) を使用することができます 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 7 章 :Cyclone V デバイスのコンフィギュレーション デザイン セキュリティ およびリモート システム アップグレード CRC バックグラウンド チェック FPGA ファブリックのコンフィギュレーション内容は CRAM(Configuration RAM) に格納されます CRAM に格納されたコンフィギュレーション フレーム別に CRC を計算する連続バックグ 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ

38 MNL-1079 センシティビティ マップ 3-9 ラウンド チェックをイネーブルすることができます CRC は シングルとマルチビット障害を検出し CRC_ERROR ピンを介して検出された問題を表示することができます このバックグラウンド チェックが実装した回路の通常の機能に影響を与えることはありません CRC 回路が検出した障害に間違いがないことを検証するには CRC 計算に障害を注入し CRAM の変化をエミュレートします センシティビティ マップデザインは SRAM セルをすべて使用するわけではありません 使用しているセルに障害が発生する場合にのみ 回路のビヘイビアに影響が現れます Quartus II ソフトウェアは 検出された障害が care ビットあるいは don t care ビットで発生したものであるかの判断に使用できるセンシティビティ マップを生成します 図 3-2: センシティビティ マップ Location Information CRC Engine FPGA CRC Error CRITICAL_ERROR Sensitivity Processor (Soft Logic) Memory Access Logic External Serial/Parallel Flash この深刻なエラー検出ソリューションの手順は 以下のとおりです 1. 内蔵のソフト エラー検出回路がコンフィギュレーション ソフト エラーを検出 特定し CRC_ERROR ピンをアサートします 2. 次に ソフト ロジックがエラー情報を受け取り その情報を使用して コンフィギュレーション ビットのどれが care で どれが don t care であるかを示すマップを含むファイル内のアドレスを算出します 3. 次に ソフト ロジックは アクティブ シリアル コンフィギュレーション ポートなどのユーザー指定メモリ インタフェースを使用して センシティビティ マップ ファイル内の該当ビットにアクセスし FPGA に現在コンフィギュレーションされているデザインにとって そのコンフィギュレーション ソフト エラーが重大かどうかを判定します 4. コンフィギュレーション ソフト エラーが don t care である場合 FPGA は動作エラー無しで機能し続けることができます コンフィギュレーション ソフト エラーが care で 動作に影響を与える可能性がある場合は Cyclone V FPGA または FPGA が CRITICAL_ERROR ピンをアサートするため システム上の適切な動作を実行することができます 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 8 章 :Cyclone V デバイスでの SEU の緩和 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ

39 3-10 冗長ロジックの実装 冗長ロジックの実装 FPGA ファブリックのコンフィギュレーションにて障害を検出しやすくするには デザインに冗長ロジックを含めた後 冗長ロジックの出力を比較します Cyclone V FPGA の FPGA コンフィギュレーションの使用前提 MNL-1079 表 3-8: FPGA コンフィギュレーションの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム FPGA_CONF1 FPGA_CONF3 外部モニタによるコンフィギュレーション ステータス信号のモニタ CRAM コンフィギュレーションの継続的な CRC バックグラウンド チェック + 1. ウォッチドッグ バックグラウンド チェックでの定期的な障害の注入 FPGA_CONF4 センシティビティ マップの決定 O 1. 冗長の実行 FPGA_CONF5 冗長ロジック + 1. テスト パターン FPGA ユーザ メモリ Cyclone V デバイスの FPGA ファブリックは M10K ブロックまたは MLAB 内でユーザ メモリを提供します これらのブロックにはそれぞれ エラー検出コードおよびエラー訂正コード (ECC) に対し特別なユーザ機能が使用できる専用パリティ ビットを実装しています この機能は Quartus II ソフトウェアのソフト IP によってサポートされています 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 2 章 :Cyclone V デバイスのエンベデッド メモリ ブロック FPGA メモリの使用前提 表 3-9: FPGA メモリ : 使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム FPGA_UM1 ユーザー メモリ向け ECC フォールト インジェクション テスト 偶発ハードウェア障害の管理に向けた Cyclone V アーキテクチャ

40 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ 4 MNL-1079 更新情報 Cyclone V の概要 Cyclone V は Cyclone プロダクトの第 5 世代であり 28nm LP プロセスで製造されています Cyclone V は HPS とユーザによるプログラムが可能なロジック ファブリックを装備しています デバイス ファミリは主に FPGA ファブリック内で使用できるロジック エレメント (LE) の個数で区別されます デバイス ファミリ間の HPS は同一のものを使用しています Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134

41 4-2 Cyclone V の概要 MNL-1079 図 4-1: Cyclone V SoC のブロック図 Configuration Controller FPGA-to-HPS HPS-to-FPGA Lightweight HPS-to-FPGA FPGA Fabric FPGA-to-HPS SDRAM FPGA Manager HPS Ethernet MAC (2x) USB OTG (2x) NAND Flash Controller SD/MMC/SDIO Controller DMA Controller Level 3 Interconnect 64 KB Boot ROM CPU0 (ARM Cortex-A9 with NEON/FPU, 32 KB Instruction Cache, 32 KB Data Cache, and Memory Management Unit) ACP ARM Cortex-A9 MPCore CPU1 (ARM Cortex-A9 with NEON/FPU, 32 KB Instruction Cache, 32 KB Data Cache, and Memory Management Unit) SCU L2 Cache (512 KB) Multiport DDR SDRAM Controller with Optional ECC ETR (Trace) Debug Access Port 64 KB On-Chip RAM Low Speed Peripherals (Timers, GPIOs, UART, SPI, I2C, CAN, Quad SPI Flash Controller, System Manager, Clock Manager, Reset Manager, and Scan Manager) マイクロ プロセッサ ユニット (MPU) サブシステムは 独自の L1 命令キャッシュとデータ キャッシュで ARM Cortex -A9 プロセッサを 2 個統合します 両方のプロセッサは インストラクションをフェッチする L2 キャッシュと L3 インターコネクトを経由するデータ または直接 DDR SDRAM コントローラに接続します MPU サブシステムは プロセッサが最新のデータを使用していることを確認するため アクセラレータ コヒーレンシ ポート (ACP) を介して システム内の他のマスターからトランザクションをスヌープします データは L3 インタコネクトに接続されたオンチップ RAM に格納することができます L3 インタコネクトを使用すれば 柔軟なマルチマスタ (MPU ダイレクト メモリ アクセス コントローラ (DMAC) または EMAC など ) によるスレーブ モジュールへのアクセス (UART タイマ または I2C など ) が可能となります 別々のスレーブ モジュールにアクセスする場合 転送は同時に実行が可能です FPGA-HPS 間 (F2H) ブリッジ HPS-FPGA 間 (H2F) ブリッジ ライトウェイト HPS-PGA(LH2F) ブリッジ間でデータを交換することができます 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

42 MNL-1079 Cyclone V SoC がターゲットとするアプリケーション 4-3 Cyclone V SoC がターゲットとするアプリケーション Altera Cyclone V SoC デバイスは産業およびオートモーティブ分野において機能安全を重視するアプリケーションでの使用を含む多様なアプリケーション要件を満たします これには以下が含まれます 先進運転支援システム ハイブリッド車や電気自動車向けモータ制御および DC-DC コンバータ インフォテインメント システム アルテラは Cyclone V SoC の開発にあたって SEooC(Safety Element out of Context) 方法論を採用しています FPGA は 標準的なコンポーネント ( 例 : マイクロ コントローラ ) の使用と比較してユーザに一定の責任をシフトするユーザ定義のロジック IP とアプリケーションの統合に高度な柔軟性を提供します コンポーネント レベルのみでは ISO26262: の機能安全の達成は不可能です むしろ アイテムの全体的な安全コンセプトとして機能します アルテラの Cyclone V SoC 製品は アイテムに対しターゲットとする ASIL レベルの達成の簡易化を可能にします Cyclone V SoC ハードウェアのアーキテクチャ Cyclone V SoC デバイスのアーキテクチャは 必要に応じてアプリケーション実行中に使用可能なクロック 電源 メモリなどを継続して動作させる診断手法を含みます アプリケーションは アプリケーションを実行する安全性が重要な部分にこれらの機構を使用する前に これらの機構が正しく動作することを確認しておく必要があります 図 4-2: Cyclone V SoC の上位レベルのブロック図 この図は Cyclone V SoC アーキテクチャの上位レベルのブロック図を示し HPS と FPGA 間の専用インタフェースを持つ HPS と FPGA を示しています HPS Portion Altera SoC FPGA Device FPGA Portion Flash Controllers SDRAM Controller Subsystem Cortex-A9 MPU Subsystem On-Chip Memories PLLs Interface Peripherals Support Peripherals Debug HPS-FPGA Interfaces Control Block User I/O HSSI Transceivers FPGA Fabric (LUTs, RAMs, Multipliers & Routing) PLLs Hard PCIe Hard Memory Controllers 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

43 4-4 Cyclone V SoC ハードウェアのアーキテクチャ MNL-1079 HPS 部と FPGA 部は それぞれ独自の専用コア電源 クロック I/O ストラクチャを持ち 物理的に 2 つに分かれているため 実質的には互いに独立しています HPS は 対称型マルチ プロセッシング (SMP) と非対称型マルチプロセッシング (AMP) コンフィギュレーションで動作可能な 2 個の Cortex-A9 プロセッサを含んでいます Cortex-A9 プロセッサは多くの場合 アプリケーションのメイン コントローラとして使用されます FPGA は その柔軟性により 独自のハードウェア アクセラレータを実装することができるオプションを提供します また システム内またはチップ上の障害を検出するためのカスタム診断機能を作成することも可能です 図 4-3: Cyclone V SoC の詳細なブロック図 次の図は Cyclone V SoC のより詳細なブロック図を示します FPGA Portion FPGA to HPS HPS to FPGA Lightweight HPS to FPGA Control Block Masters Slaves Slaves 32-, 64-, 128-Bit AXI 32-, 64-, 128-Bit AXI 32-Bit AXI 1-6 Masters FPGA Manager FPGA-to-HPS Bridge HPS-to-FPGA Bridge Lightweight HPS-to-FPGA Bridge L4, 32-Bit Bus 32-Bit 64-Bit AXI 64-Bit AXI 32-Bit AXI DAP ETR 32-Bit 32-Bit L3 Interconnect (NIC-301) 64-Bit MPU Subsystem ACP ID Mapper ARM Cortex-A9 MPCore CPU0 CPU1 ACP SCU SD/MMC EMAC (2) USB OTG (2) NAND Flash 32-Bit 32-Bit 32-Bit 32-Bit L3 Master Peripheral Switch 32-Bit 32-Bit L3 Main Switch 64-Bit 32-Bit 32-Bit 64-Bit 32-Bit 64-Bit STM Boot ROM On-Chip RAM DMA L2 Cache SDRAM Controller Subsystem 32-Bit 32-Bit 32-Bit L3 Slave Peripheral Switch 32-Bit Quad SPI Flash L4, 32-Bit Bus CAN (2) Timer (4) I 2C (4) Watchdog Timer (2) UART (2) GPIO (3) SPI (4) Clock Manager Reset Manager Scan Manager System Manager 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

44 MNL-1079 Cyclone V SoC の診断メカニズムおよび使用にあたっての前提条件 4-5 Cyclone V SoC デバイス上の一部のモジュールは あらかじめハードウェア診断が組み込まれていますが 他のモジュールは 偶発ハードウェア障害を検出するにあたって システム レベルの概念に依存しています Cyclone V SoC の診断メカニズムおよび使用にあたっての前提条件 電源 この項では 潜在的な障害を検出する目的でアプリケーション内の IP コアまたは機能に実装された診断メカニズムおよびアプリケーション内の IP コアまたは機能の使用にあたっての前提条件について説明します この項では 該当する場合は ISO26262: をはじめとするドキュメントを参照します 特定の IP コアまたは機能の前提条件の表は 以下の推奨レベルがあります M は必須を表します ++ は強く推奨を表します + は推奨を表します O はオプションを表します 各表には ISO26262: による潜在的な診断メカニズムを示しています 電源レール Cyclone V SoC はコア ロジックおよび I/O に対し HPS と FPGA ファブリックの異なる電圧レールをサポートします 供給電圧の影響に関係する HPS と FPGA ファブリック内の一般的な障害を効率的に軽減することができます アルテラは アプリケーションが HPS および FPGA ファブリックに専用の電源を提供することを想定しています 詳細については Cyclone V Device Family Pin Connection Guidelines の資料番号 PCG を参照してください 内部電圧モニタ Cyclone V デバイスは いくつかの電源レールに向けて内部電圧モニタを実装します 特定のレールの電圧が仕様以外であれば デバイスは内部リセットを発行します アルテラは モニタされていない電圧レールに向けて異なる電圧モニタがアイテムによって実装されていると想定しています Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 10 章 :Cyclone V デバイスの電源管理 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

45 4-6 Cyclone V SoC の電源の使用前提 Cyclone V SoC の電源の使用前提 MNL-1079 表 4-1: 電源の使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム PWR1 内部電圧モニタ M 外部電圧モニタ PWR2 PWR3 外部電圧スーパーバイザー HPS と FPGA ファブリックへの別々の電源 ++ 内部電圧モニタ ++ 外部電圧モニタ クロック クロック入力 Cyclone V SoC は複数のクロック入力をサポートしているため HPS と FPGA ファブリックを別々にクロックすることが可能です クロック入力を複数にすることで クロックに関連する一般的な障害を防ぐことができます HPS は HPS 内で異なるクロック領域を駆動するために 2 つのクロック入力を提供します また FPGA ファブリック内のクロックは複数の入力クロックで駆動が可能であり FPGA ファブリック内のロジックは複数の独立したクロック ネットワークで駆動することができます Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 2 章 : クロック マネージャ Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 4 章 :Cyclone V デバイスのクロック ネットワークおよび PLL FPGA のクロッキング 別々の PLL が HPS 内の異なるクロック領域を駆動します 異なる入力クロックは FPGA ファブリックからルーティングされたクロックを含む このような PLL を駆動することができます PLL の出力は 異なるクロック領域と FPGA ファブリックに接続します Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 2 章 : クロック マネージャ 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

46 MNL-1079 Clock Checker Diagnostic IP コア 4-7 Clock Checker Diagnostic IP コア FPGA ファブリック内で Clock Checker Diagnostic IP コアをインスタンス化し 独立リファレンス クロックを Diagnostic IP コアにフィードすることで PLL 出力クロックの正確さを判断することができます 関連情報 3-5 ページの Clock Checker Diagnostic IP コア HPS 内のウォッチドッグ HPS では クロックの基本的な管理に使用できる数個のウォッチドッグを利用可能です Cortex-A9 MPU は各 Cortex-A9 プロセッサに対し 1 個のウォッチドッグを提供しています HPS は 2 個のシステム ウォッチドッグを提供しています 詳細は Cortex-A9 MPCore Technical Reference Manual ARM DDI 0407 と Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 24 章 : ウォッチドッグ タイマ FPGA ファブリック内のウォッチドッグ HPS クロックから独立したクロックがドライブする FPGA ファブリックに向けてウォッチドッグを作成することができます アルテラでは ウォッチドッグの実装に関する推奨事項は特にはありません Table D.10 は ウォッチドッグの実装に関するいくつかの推奨事項を提示しています HPS から十分に独立していることを示すことができるのであれば FPGA ファブリック内にウォッチドッグを実装します 表 4-2: ISO26262 リファレンス :Watchdog with separate time base without time-window Table D.10 Watchdog with separate time base without timewindow Section D 表 4-3: ISO26262 リファレンス :Watchdog with separate time base and time-window Table D.10 Watchdog with separate time base and time-window Section D 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

47 4-8 外部のウォッチドッグ MNL-1079 表 4-4: ISO26262 リファレンス :Temporal and Logical Monitoring of Program Sequence Table D.10 Combination of temporal and logical monitoring of program sequences Section D 外部のウォッチドッグ 外部ウォッチドッグを実装すると 独立したクロッキング 電源およびリセットが一般的な障害の影響を受けにくくなるという利点をもたらします アルテラでは ウォッチドッグの実装に関する推奨事項は特にはありません Table D.10 は ウォッチドッグの実装に関するいくつかの推奨事項を提示しています HPS から十分に独立していて FPGA ファブリック内にウォッチドッグが実装できない場合 外部ウォッチドッグを実装します 表 4-5: ISO26262 リファレンス :Watchdog with separate time base without time-window Table D.10 Watchdog with separate time base without timewindow Section D 表 4-6: ISO26262 リファレンス :Watchdog with separate time base and time-window Table D.10 Watchdog with separate time base and time-window Section D 表 4-7: ISO26262 リファレンス :Temporal and Logical Monitoring of Program Sequence Table D.10 Combination of temporal and logical monitoring of program sequences Section D 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

48 MNL-1079 FPGA のクロッキング 4-9 FPGA のクロッキング FPGA ファブリックは 異なる PLL を持つクロックを個別に生成可能な非常に柔軟なクロック ネットワーク トポロジを提供します 異なるクロック ネットワークによって駆動されるロジックを分離することが可能です 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 4 章 :Cyclone V デバイスのクロック ネットワークおよび PLL Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 2 章 : クロック マネージャ PLL 数 PLL は デバイス クロックの理 外部システム クロックの管理 および高速 I/O インタフェースに向けて堅牢なクロック管理および合成機能を提供します Cyclone V デバイス ファミリは フラクショナル PLL あるいは整数 PLL としても機能できるフラクショナル PLL が含まれています Cyclone V デバイスの出力カウンタは 整数またはフラクショナル周波数合成をサポートする各フラクショナル PLL に使用されます クロック スイッチオーバー機能 Cyclone V のクロック スイッチオーバー機能により PLL は 2 つの基準入力クロックを切り換えることができます この機能はクロック冗長性のために あるいは前のクロックが停止した場合に冗長クロックがオンになるシステムであるデュアル クロック ドメイン アプリケーションに使用します クロックがそれ以上トグルしないとき またはユーザーのコントロール信号に応じて デザインは自動的にクロック スイッチオーバーを実行することができます PLL クロックの出力 Cyclone V のほとんどの PLL は PLL ごとに専用クロック出力もドライブすることができます 外部チェック ロジックはこれを使用して PLL に関連するクロックの問題を検知することが可能です FPGA PLL ロック信号 Cyclone V FPGA ファブリック内の PLL は PLL が入力クロックにロックされていることを示すロック信号も提供します 入力クロックに対して正しい周波数で PLL が実行されていることを確認するには この信号を使用します 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 4 章 :Cyclone V デバイスのクロック ネットワークおよび PLL コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

49 4-10 Clock Checker Diagnostic IP コア 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-8: ISO26262 リファレンス :Configuration Register Test MNL-1079 Table D.4 Configuration Register Test Section D Clock Checker Diagnostic IP コア この IP コアを使用すると 安定したリファレンス クロックに対し入力クロックの周波数と存在のオンライン チェッキングを提供することで デザインの診断カバレッジを拡大することができます また FPGA デバイス内の PLL の正しい機能を確認したり 安全性に関連するデザイン内の他のシステム クロックを確認するには この IP コアを使用することができます 高周波数と低周波のしきい値は指定可能です テストするクロックが指定したしきい値を超える場合は IP コアはシステムにエラー信号を生成し 警告します 表 4-9: ISO26262 リファレンス :Comparator Table D.2 Comparator Section D Cyclone V SoC のクロックの使用前提 表 4-10: Cyclone V SoC のクロックの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム CLK1 HPS と FPGA ファブリックに向けた個別の外部クロック入力の使用 + 1. HPS クロック グループを FPGA ファブリックにルーティングする Clock Checker Diagnostic IP コア 2. ウォッチドッグ 3. 外部ピンのクロックド メイン出力 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

50 MNL-1079 Cyclone V SoC のクロックの使用前提 4-11 識別子安全または診断機能推奨度潜在的な診断メカニズム CLK2 FPGA ファブリック内でインスタンス化される Clock Checker Diagnostic IP コアを使用した HPS クロック領域の管理 ウォッチドッグ 2. 外部ピンのクロックド メイン出力 CLK3 を使用した HPS クロック領域の管理 O 1. FPGA ファブリック内のウォッチドッグ 2. 外部のウォッチドッグ 3. SW テスト コンフィギュレーション レジスタと意図する機能 CLK4 HPS システム ウォッチドッグ O 1. FPGA ファブリック内のウォッチドッグ 2. 外部のウォッチドッグ 3. SW テスト コンフィギュレーション レジスタと意図する機能 CLK5 FPGA ファブリック内のウォッチドッグ 外部のウォッチドッグ 2. SW テスト コンフィギュレーション レジスタと意図する機能 CLK6 外部のウォッチドッグ 内部のウォッチドッグ 2. SW テスト コンフィギュレーション レジスタと意図する機能 CLK7 FPGA ファブリックの PLL が欠如したクロック検出とセカンダリ クロックへの自動切り替え Clock Checker Diagnostic IP コア 2. クロック出力 3. SW テストのコンフィギュレーション レジスタ 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

51 4-12 リセット MNL-1079 識別子安全または診断機能推奨度潜在的な診断メカニズム CLK8 FPGA ファブリック PLL クロック出力 O 1. Clock Checker Diagnostic IP コア 2. PLL が欠如した入力クロックの検出 CLK9 FPGA ファブリック PLL 固定信号 O 1. Clock Checker Diagnostic IP コア 2. PLL が欠如した入力クロックの検出 CLK10 コンフィギュレーション レジスタの定期的なリード バック + 1. Cortex-A9 プロセッサを使用したレジスタ内容のリード バック リセット 関連情報 3-5 ページの Clock Checker Diagnostic IP コア Cyclone V SoC は FPGA と HPS の柔軟なリセット処理を提供します FPGA のリセット 電源投入時に FPGA のコンフィギュレーションに必要な電圧モニタする内部リセット電圧スーパーバイザーが 内部パワー オン リセット (POR) を生成します リセットの継続時間は ユーザにて選択が可能です nstatus 信号と CONF_DONE 信号がコンフィギュレーションの完了を表します INIT_DONE 信号は適切な初期化を表し この信号を High にプルアップした後デザインが実行されます FPGA ファブリックにプログラミングするロジックに適切なリセットを設定する必要があります 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 7 章 :Cyclone V デバイスのコンフィギュレーション デザイン セキュリティ およびリモート システム アップグレード HPS リセット HPS には 3 つのリセット があります コールド リセット ( パワー オン リセット ) ウォーム リセット デバッグ リセット 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

52 MNL-1079 コンフィギュレーション レジスタの定期的なリード バック 4-13 デバイスの電源投入シーケンス中はコールド リセットを使用してください npor 入力ピンと他の内部リセット要求信号はコールド リセットを制御します 電源電圧が範囲外である場合は 外部電圧スーパーバイザーを使用して npor リセット入力を駆動してください HPS が既にコールド リセット シーケンスを完了している場合 無反応の状態からリカバリするにはウォーム リセットを使用してください ウォーム リセットはすべての領域をリセットするわけではありません nrst ピン ソフトウェア ウォッチドッグによってウォーム リセットを開始してください nrst ピンは HPS の状態を把握するために 外部ロジックを使用してモニタが可能な双方向ピンです アプリケーションのデバッグ中はデバッグ リセットを使用してください デバッグ アクセス ポート (DAP) または FPGA ファブリックからの要求によってデバッグ リセットを開始してください リセット マネージャは HPS システムへのリセットを制御します また リセット マネージャはウォッチドッグ スキャン マネージャ および FPGA ファブリックからの入力といった他のリセット も処理します リセット マネージャはさらに FPGA ロジックへコールド リセットとウォーム リセットをエクスポートすることができます アプリケーション ソフトウェアは リセット マネージャ ステータス レジスタで最後にリセットされたをリードすることができます 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 3 章 : リセット マネージャ コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-11: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

53 4-14 HPS リセットの使用前提 MNL-1079 Section D HPS リセットの使用前提 表 4-12: リセット : 使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム RST1 Power On Reset(POR) M 1. nstatus CONF_ DONE および INIT_ DONE 信号の外部モニタ RST2 FPGA ユーザー ロジック リセット + 1. リセット信号出力の外部モニタ RST3 HPS コールド リセットのモニタ O 1. FPGA ファブリック内の専用スーパーバイザー RST4 HPS コールド リセットのモニタ O 1. 外部のウォッチドッグ 2. FPGA ファブリック内の専用スーパーバイザー RST5 RST6 最後のリセットのソフトウェア チェック コンフィギュレーション レジスタの定期的なリード バック リード結果と比較したステータス レジスタの冗長リード + 1. Cortex-A9 プロセッサを使用したレジスタ内容のリード バック 入力 / 出力 FPGA ファブリックの I/O FPGA ファブリックの I/O ストラクチャは非常に柔軟であり 多くのアプリケーションの要件を満たすよう設定することができます Cyclone V デバイスは各シングルエンド I/O を双方向ピンとして実装しているため 入力バッファを介して出力として設定されたピンのステータスをリード バックすることが可能です 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

54 MNL-1079 HPS の I/O 4-15 HPS の I/O 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 5 章 :Cyclone V デバイスの I/O 機能 Cyclone V SoC は 異なるペリフェラル間の HPS シングル エンド I/O をマルチプレクサ化します システム マネージャおよびスキャン マネージャは ピンのマルチプレクサ化とコンフィギュレーションを実行します 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 6 章 : スキャン マネージャ ピン インタフェースのテスト ピン インタフェースをテストするには 最初にピンを GPIO モードに設定し これらのピンをトグルし そのピンのステータスをリードバックします テスト完了後は ピンの多重化を適切なアプリケーションのコンフィギュレーションに変更可能です 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 22 章 : 汎用 I/O インタフェース コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-13: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

55 4-16 Cyclone V SoC の I/O の使用前提 MNL-1079 Section D Cyclone V SoC の I/O の使用前提 表 4-14: I/O:Cyclone V SoC での使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム IO1 IO2 IO3 入力バッファを経由した出力ピン ステータスの FPGA ファブリック I/O リード バック ピン接続をテストするために HPS I/O を GPIO として設定 コンフィギュレーション レジスタの定期的なリード バック 専用の独立したチェック ロジック リード結果と比較した入力ステータスの冗長リード + 1. Cortex-A9 を使用したレジスタ内容のリード バック Cyclone V SoC における FPGA のコンフィギュレーション 電源投入時に FPGA はコンフィギュレーション内容をロードし アプリケーション回路を作成します ブート HPS および FPGA がそれぞれ独立して HPS から FPGA あるいは FPGA から HPS の順でブートするようブート機構を実装することが可能です コンフィギュレーション シーケンス中は ステータス信号 (nstatus nconfig CONF_DONE INIT_DONE) を使用することで HPS あるいは外部モニタによる進捗のモニタが可能です 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 7 章 :Cyclone V デバイスのコンフィギュレーション デザイン セキュリティ およびリモート システム アップグレード CRC バックグラウンド チェック FPGA ファブリックのコンフィギュレーション内容は CRAM(Configuration RAM) に格納されます CRAM に格納されたコンフィギュレーション フレーム別に CRC を計算する連続バックグラウンド チェックをイネーブルすることができます CRC は シングルとマルチビット障害を検出し CRC_ERROR ピンを介して検出された問題を表示することができます このバックグラウンド チェックが実装した回路の通常の機能に影響を与えることはありません CRC 回路が検出した障害に間違いがないことを検証するには CRC 計算に障害を注入し CRAM の変化をエミュレートします 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

56 MNL-1079 センシティビティ マップ 4-17 センシティビティ マップデザインは SRAM セルをすべて使用するわけではありません 使用しているセルに障害が発生する場合にのみ 回路のビヘイビアに影響が現れます Quartus II ソフトウェアは 検出された障害が care ビットあるいは don t care ビットで発生したものであるかの判断に使用できるセンシティビティ マップを生成します 図 4-4: センシティビティ マップ Location Information CRC Engine FPGA CRC Error CRITICAL_ERROR Sensitivity Processor (Soft Logic) Memory Access Logic External Serial/Parallel Flash この深刻なエラー検出ソリューションの手順は 以下のとおりです 1. 内蔵のソフト エラー検出回路がコンフィギュレーション ソフト エラーを検出 特定し CRC_ERROR ピンをアサートします 2. 次に ソフト ロジックがエラー情報を受け取り その情報を使用して コンフィギュレーション ビットのどれが care で どれが don t care であるかを示すマップを含むファイル内のアドレスを算出します 3. 次に ソフト ロジックは アクティブ シリアル コンフィギュレーション ポートなどのユーザー指定メモリ インタフェースを使用して センシティビティ マップ ファイル内の該当ビットにアクセスし FPGA に現在コンフィギュレーションされているデザインにとって そのコンフィギュレーション ソフト エラーが重大かどうかを判定します 4. コンフィギュレーション ソフト エラーが don t care である場合 FPGA は動作エラー無しで機能し続けることができます コンフィギュレーション ソフト エラーが care で 動作に影響を与える可能性がある場合は Cyclone V FPGA または FPGA が CRITICAL_ERROR ピンをアサートするため システム上の適切な動作を実行することができます 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 8 章 :Cyclone V デバイスでの SEU の緩和 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

57 4-18 冗長ロジックの実装 冗長ロジックの実装 FPGA ファブリックのコンフィギュレーションにて障害を検出しやすくするには デザインに冗長ロジックを含めた後 冗長ロジックの出力を比較します Cyclone V SoC の FPGA コンフィギュレーションの使用前提 MNL-1079 表 4-15: FPGA コンフィギュレーションの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム FPGA_CONF1 FPGA_CONF2 FPGA_CONF3 HPS あるいは外部モニタを使用したコンフィギュレーション ステータス信号のモニタ ピン接続をテストするために HPS I/O を GPIO として設定 CRAM コンフィギュレーションの継続的な CRC バックグラウンド チェック + 1. ウォッチドッグ リード結果と比較した入力ステータスの冗長リード バックグラウンド チェックでの定期的な障害の注入 FPGA_CONF4 センシティビティ マップの決定 O 1. 冗長の実行 FPGA_CONF5 冗長ロジック + 1. テスト パターン FPGA ユーザ メモリ Cyclone V デバイスの FPGA ファブリックは M10K ブロックまたは MLAB 内でユーザ メモリを提供します これらのブロックにはそれぞれ エラー検出コードおよびエラー訂正コード (ECC) に対し特別なユーザ機能が使用できる専用パリティ ビットを実装しています この機能は Quartus II ソフトウェアのソフト IP によってサポートされています 詳細は Cyclone V Device Handbook を参照してください Volume 1: デバイスのインタフェースおよび統合 第 2 章 :Cyclone V デバイスのエンベデッド メモリ ブロック 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

58 MNL-1079 FPGA メモリの使用前提 4-19 FPGA メモリの使用前提 表 4-16: FPGA メモリ : 使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム FPGA_UM1 ユーザー メモリ向け ECC フォールト インジェクション テスト HPS インタコネクト HPS は 1 個の L3 インタコネクトと数個の L4 インタコネクトを実装しています L4 セグメントは様々なペリフェラルに接続しているため 同時に複数のトランザクションが実行可能です トランスミッション冗長 後続するデータを比較するために同じ情報を複数回リードする あるいは書き込み動作中にデータが変更されていないことを確認するためにライト データをリードバックすることができます 表 4-17: ISO26262 リファレンス :Transmission Redundancy Table D.8 Transmission redundancy Section D 情報冗長 大量のデータの CRC あるいはチェックサムを計算することができますが 使用する前にあらかじめ設定されたチェックサムを使用してチェックする必要があります 表 4-18: ISO26262 リファレンス :Information Redundancy Table D.8 Information redundancy Section D ウォッチドッグの使用 タイムアウトやコードの暴走につながる障害が発生したトランザクションを検出するには 内部または外部のウォッチドッグを使用してください 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

59 4-20 ソフトウェアのセルフテスト 表 4-19: ISO26262 リファレンス :Program Sequence Monitoring and Clock MNL-1079 Table D.10 クロックをモニタするシーケンスのプログラム ソフトウェアのセルフテスト インタコネクトの機能性を確認するには トランザクション テストをもとに基本的なソフトウェアを実行します このテストは アプリケーションの起動時あるいはアプリケーションの実行時に行います 表 4-20: ISO26262 リファレンス :Test Pattern Table D.14 テスト パターン Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-21: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

60 MNL-1079 インタコネクトの使用前提 4-21 Section D インタコネクトの使用前提 表 4-22: インタコネクトの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム HPS_BUS1 HPS の内部のウォッチドッグ O 1. 外部のウォッチドッグ 2. エラー レスポンスを使用したウォッチドッグのソフトウェア テスト HPS_BUS2 HPS の内部のウォッチドッグ + 1. 外部のウォッチドッグ 2. エラー レスポンスを使用したウォッチドッグのソフトウェア テスト HPS_BUS3 外部のウォッチドッグ 内部のウォッチドッグ 2. エラー レスポンスを使用したウォッチドッグのソフトウェア テスト HPS_BUS4 外部のウォッチドッグ CRC エンジンのテ スト HPS_BUS5 トランスミッション冗長 相互にクロスチェックするために 両方の Cortex-A9 プロセッサを使用 HPS_BUS6 SW セルフテスト つめの Cortex- A9 プロセッサに よる監視 HPS_BUS7 コンフィギュレーション レジスタの定期的なリード バック + 1. Cortex-A9 プロセッサを使用したレジスタ内容のリード バック 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

61 4-22 HPS-FPGA 間のインタコネクト HPS-FPGA 間のインタコネクト MNL-1079 HPS と FPGA ファブリックを接続している AXI は 3 つあり そのうち 2 つは相互に通信が可能です また 他の信号もそれぞれの IP(FPGA から HPS への割り込みや HPS から FPGA への割り込みなど ) に直接接続されています 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 8 章 :HPS-FPGA 間のブリッジ トランスミッション冗長 後続するデータを比較するために同じ情報を複数回リードする あるいは書き込み動作中にデータが変更されていないことを確認するためにライト データをリードバックすることができます 表 4-23: ISO26262 リファレンス :Transmission Redundancy Table D.8 Transmission redundancy Section D 情報冗長 大量のデータの CRC あるいはチェックサムを計算することができますが Cyclone V SoC はそれらを使用する前に確認 n する必要があります 表 25:ISO26262 リファレンス :Information Redundancy 表 4-24: Table D.8 Information redundancy Section D ウォッチドッグの使用 タイムアウトやコードの暴走につながる障害が発生したトランザクションを検出するには 内部または外部のウォッチドッグを使用してください 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

62 MNL-1079 ソフトウェアのセルフテスト 4-23 表 4-25: ISO26262 リファレンス :Program Sequence Monitoring and Clock Table D.10 クロックをモニタするシーケンスのプログラム ソフトウェアのセルフテスト バスあるいは信号接続の機能性を確認するには トランザクション テストをもとに基本的なソフトウェアを実行します このテストは アプリケーションの起動時あるいはアプリケーションの実行時に行います 表 4-26: ISO26262 リファレンス :Test Pattern Table D.14 テスト パターン Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-27: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

63 4-24 インタコネクトの使用前提 MNL-1079 Section D インタコネクトの使用前提 表 4-28: インタコネクトの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム HPS_FPGA_BUS1 HPS の内部のウォッチドッグ O 1. 外部のウォッチドッグ 2. エラー レスポンスを使用したウォッチドッグのソフトウェア テスト HPS_ FPGA_BUS2 FPGA ファブリックの内部のウォッチドッグ + 1. 外部のウォッチドッグ 2. エラー レスポンスを使用したウォッチドッグのソフトウェア テスト HPS_ FPGA_BUS3 外部のウォッチドッグ 内部のウォッチドッグ 2. エラー レスポンスを使用したウォッチドッグのソフトウェア テスト HPS_ FPGA_BUS4 情報冗長 CRC エンジンのテ スト HPS_ FPGA_BUS5 トランスミッション冗長 相互にクロスチェックするために 両方の Cortex-A9 プロセッサを使用 HPS_ FPGA_BUS6 SW のセルフセット つめの Cortex- A9 プロセッサに よる監視 HPS_ FPGA_BUS7 コンフィギュレーション レジスタの定期的なリード バック + 1. Cortex-A9 プロセッサを使用したレジスタ内容のリード バック 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

64 MNL-1079 HPS Cortex-A9 MPU のサブシステム 4-25 HPS Cortex-A9 MPU のサブシステム Cyclone V SoC は汎用的な処理に対して Cortex-A9 MPU サブシステムを統合します デバイスのコンフィギュレーションによって 単一の Cortex-A9 プロセッサあるいはデュアル Cortex-A9 プロセッサがが実装されています MPU サブシステム内のプロセッサは 単一のインスタンスです したがって Cyclone V SoC がエラーをチェックする目的では冗長なロジックを実装していません Cyclone V SoC がソフトウェアで診断メカニズムを実装するかどうかはユーザーに任せられます 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 9 章 :Cortex-A9 マイクロプロセッサ ユニット サブシステム アボート処理の詳細については ARM Cortex-A9 and ARM v7a Architecture Reference Manuals を参照してください メモリ アクセス Cortex-A9 プロセッサはメモリの特定のセクションへの不正アクセスを検出するメカニズムを提供しており このメカニズムは MMU で定義することが可能です この場合 Cyclone V SoC はデータ アボートを生成します また Cyclone V SoC は内部バス上の AXI トランザクション エラーを検出するために 限定的なハードウェア機能をいくつか実装しています Cyclone V SoC は プロセッサへアボートとしてトランザクション エラーを示します 表 4-29: ISO26262 リファレンス :Integrated Hardware Consistency Monitoring Table D.4 Integrated Hardware consistency monitoring Section D プロセッサの恒久的な障害のテスト シリコン内の恒久的な障害をテストするには ソフトウェアでテスト パターンを実行してテストを実装します このテストはアプリケーション起動時およびアプリケーションを実行中に実行します 表 4-30: ISO26262 リファレンス :Self-test by Software Table D.4 Self-test by software Section D 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

65 4-26 プロセッサの過渡故障のテスト MNL-1079 両方の Cortex-A9 プロセッサでテストパターンを実行し 両方のプロセッサで結果を比較します 同じパワー レールがプロセッサを供給し また同じクロック信号がそれらをクロッキングするため 同一のクロック信号がそれらをクロックするので 共通の原因による故障を考慮するために わずかにずらしてテストを実行します 表 4-31: ISO26262 リファレンス :Self-test by Software Cross Exchanged Between Two Independent Units Table D.4 Self-test by software cross exchanged between two independent units Section D プロセッサの過渡故障のテスト 過渡故障をテストするには 以下を実行します 1. 単一の Cortex-A9 プロセッサあるいは 2 つのプロセッサの間で実行可能な多様なソフトウェアを重複して実装します 2. システム動作を実行する前に 多様なソフトウェアを実行した結果を確認します 表 4-32: ISO26262 リファレンス :Software Diversified Redundancy Table D.4 Software diversified redundancy Section D あるいは 両方の Cortex-A9 でソフトウェア アルゴリズムの最終結果 中間結果 テスト データをソフトウェアを実行し比較します 表 4-33: ISO26262 リファレンス :Reciprocal Comparison by Software in Separate Processing Units Table D.4 Reciprocal comparison by software in separate processing units Section D プロセッサ割り込みの処理 割り込みの処理にあたって特別な方法を構築します 場合によっては 割り込みを回避し 通常一度だけ実行されるソフトウェアに対してポーリング モードを実装することが可能です 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

66 MNL-1079 ウォッチドッグの使用 4-27 両方の Cortex-A9 プロセッサ上で同じプログラムが実行される場合 メモリ内の異なる箇所にプログラムのコピーを 2 つ保存します 1 つのコピーから Cortex-A9 プロセッサを実行させ もう 1 つの別のコピーからもう一方の Cortex-A9 プロセッサを実行させます こうすることで メモリに関連する潜在的な問題 および Cyclone V SoC がキャッシュにデータを 2 度保存するためにメモリから L2 キャッシュへのデータ転送が生じるという潜在的な障害に対処することができます 表 4-34: ISO26262 リファレンス :Software Architectural Design ISO :2011 ISO :2011 Table 3 Software architectural design Restricted use of interrupts ウォッチドッグの使用 タイムアウトやコードの暴走につながる障害が発生したトランザクションを検出するには 内部または外部のウォッチドッグを使用してください 表 4-35: ISO26262 リファレンス :Program Sequence Monitoring and Clock Table D.10 クロックをモニタするシーケンスのプログラム L1 キャッシュ 各 Cortex-A9 プロセッサには パリティ保護を備えた専用の L1 命令とデータ キャッシュが含まれています この保護はキャッシュ TAG メモリもカバーしています パリティ検出ロジックは エラーを検出すると CPU へ不正確なアボートを開始します 詳細については ARM Cortex-A9 の資料を参照してください 表 4-36: ISO26262 リファレンス :Parity Bit Table D.6 Parity bit Section D 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

67 4-28 BTAC/GHB BTAC/GHB MNL-1079 パリティは 各 Cortex-A9 プロセッサ内に位置する分岐予測ユニットのグローバル履歴バッファとブランチ ターゲットのアクセス キャッシュを保護します パリティ エラーが検出されると プロセッサはパイプラインからそのエラーを削除した後に無効なデータを再フェッチし パリティ エラー割り込みを生成します 表 4-37: ISO26262 リファレンス :Parity Bit Table D.6 Parity bit Section D L2 キャッシュ L2 キャッシュは 両方の Cortex-A9 プロセッサが同時に使用できる統一キャッシュです ECC は L2 キャッシュのデータ ワードを保護し パリティは TAG RAM を保護します 表 4-38: ISO26262 リファレンス :Parity Bit Table D.6 Parity bit Section D 表 4-39: ISO26262 リファレンス :Memory Monitoring Using EDC Codes Table D.6 Memory monitoring using error-detectioncorrection codes(edc) Section D 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 9 章 :Cortex-A9 マイクロプロセッサ ユニット サブシステム 汎用割り込みコントローラ CycloneV SoC はデザイン内で汎用割り込みコントローラを一度インスタンス化し 汎用割り込みコントローラは両方の Cortex-A9 プロセッサで機能します 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

68 MNL-1079 汎用割り込みコントローラ 4-29 テスト パターンを実行することでアプリケーション起動時に汎用割り込みコントローラの機能性をテストします 表 4-40: ISO26262 リファレンス :Self-test by Software Table D.4 Self-test by software Section D アプリケーション実行中に ソフトウェアは定期的な割り込みに向けてタイムアウト監視を実装することができます 表 4-41: ISO26262 リファレンス :Timeout Monitoring Table D.8 Timeout monitoring Section D Cyclone V SoC は HPS ペリフェラル割り込みを FPGA ファブリックにルーティングします これにより ファブリック内に専用割り込みウォッチドッグを実装したり あるいは Nios II プロセッサが割り込みを処理 監視したりすることが可能となります 表 4-42: ISO26262 リファレンス :Timeout Monitoring Table D.8 Timeout monitoring Section D 場合によっては 割り込みを回避し ソフトウェア部分にポーリング モードを実装することが必要なことがあります これは通常一度だけ実行します 表 43: 表 4-43: ISO26262 リファレンス :Software Architectural Design ISO :2011 Software architectural design 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

69 4-30 メモリ管理ユニット MNL-1079 ISO :2011 Table 3 Restricted use of interrupts 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 9 章 :Cortex-A9 マイクロプロセッサ ユニット サブシステム メモリ管理ユニット Cortex-A9 プロセッサ内のメモリ管理ユニット (MMU) は基本的なメモリ保護機能をサポートしています オペレーティング システムは 双方からソフトウェア タスクを分離し これらのタスクが与える影響を互いに回避するためにモリ保護機能を使用することができます また この機能は別々のソフトウェアを 2 つの Cortex-A9 プロセッサ上で実行する場合にも検討すべきです MMU の詳細情報は ARM 社ウェブサイトで閲覧可能な Cortex-A9Technical Reference Manual, Revision r3p0 のメモリ管理ユニットの章を参照してください 表 4-44: ISO26262 リファレンス :Criteria for Coexistence of Elements ISO :2011 Section 6 Criteria for coexistence of elements 関連情報 infocenter.arm.com スヌープ制御ユニット Cortex-A9 プロセッサは 2 つのプロセッサ間で L2 キャッシュとの L1 データ キャッシュ コヒーレンシを可能にするスヌープ制御ユニット (SCU) を実装しています Cyclone V SoC は SCU メモリ用にパリティを実装しています これは 任意のパリティエラーに対して割り込みを生成します SCU は システム内の複数のマスタ間におけるコヒーレンシをソフトウェアが維持したままデフォルト オフとそのデフォルトオフ状態を維持することができます 表 4-45: ISO26262 リファレンス :Parity Bit Table D.6 Parity bit Section D 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

70 MNL-1079 MPCore タイマ 4-31 MPCore タイマ 各 Cortex-A9 プロセッサには オペレーティング システムのタイムベースに使用できる専用タイマ モジュールが実装されています Cortex-A9 プロセッサは プロセッサのタイマの故障を検出する専用のハードウェア機能は実装していません アプリケーションは いずれかのタイマの潜在的な問題を検出するために それぞれのタイマからのタイマ イベントのクロスチェックを実行することが可能です また 妥当性を確認するために MPU サブシステムないでグローバル タイマを使用することも可能です また HPS システム内に実装された 2 つのタイマを同様のクロスチェックに使用することができます さらに プロセッサの割り込みをチェックする目的で FPGA ファブリック内に専用タイマ ブロックを実装することも可能です その後 一般的な原因による障害を考慮するために 別の電源レールとクロックで FPGA を供給することができます ウォッチドッグの詳細については ARM 社のウェブサイトで閲覧可能な Cortex-A9 MPCore テクニカルリファレンスマニュアルリビジョン 3p0 のグローバル タイマ プライベート タイマ ウォッチドッグ レジスタの章を参照してください 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 23 章 : タイマ 関連情報 infocenter.arm.com コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-46: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test Section D 内部ウォッチドッグと外部ウォッチドッグ ウォッチドッグは プログラム シーケンシングおよびクロック関連の問題を検出することができます Cortex-A9 プロセッサは このような問題を検出する際に使用できる専用のウォッチド 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

71 4-32 Cortex-A9 MPU の使用前提 MNL-1079 ッグを各プロセッサに実装しています さらに HPS は同じタスクに使用できる独立したウォッチドッグを 2 個実装しています これとは別に FPGA ファブリック内にはウォッチドッグを 1 個実装します さらに 1 個の外部ウォッチドッグを同じ目的に使用することが可能です 表 4-47: ISO26262 リファレンス :Program Sequence Monitoring Clock Table D.10 Program sequence monitoring clock ウォッチドッグの詳細については ARM 社のウェブサイトで閲覧可能な Cortex-A9 MPCore テクニカルリファレンスマニュアルリビジョン 3p0 のグローバル タイマ プライベート タイマ ウォッチドッグ レジスタの章を参照してください 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 24 章 : ウォッチドッグ タイマ 関連情報 4-7 ページの FPGA ファブリック内のウォッチドッグ infocenter.arm.com Cortex-A9 MPU の使用前提 表 4-48: Cortex-A9 MPU: 使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム CA9_MPU1 CA9_MPU2 CA9_MPU3 CA9_MPU4 CA9_MPU5 ソフトウェアによるプロセッサのセルフテスト ソフトウェアのクロス エクスチェンジ ソフトウェアの様々な冗長 ソフトウェアによる相互比較 プログラムの 2 つのコピーの保存と実行 ウォッチドッグ ウォッチドッグ ウォッチドッグ ウォッチドッグ + 1. メモリの CRC チェック 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

72 MNL-1079 Cortex-A9 MPU の使用前提 4-33 識別子安全または診断機能推奨度潜在的な診断メカニズム CA9_MPU6 プログラムの 2 つのコピーの保存と実行 + 1. ウォッチドッグ 2. 両方の Cortex-A9 プロセッサの冗長実行 CA9_MPU7 レジスタ テストの設定 + 1. 両方の Cortex-A9 プロセッサの冗長 実行 CA9_MPU8 CA9_MPU9 CA9_MPU10 CA9_MPU11 CA9_MPU12 CA9_MPU13 CA9_MPU14 CA9_MPU15 L1 キャッシュのパリティ BTAC と GHB のパリティ L2 キャッシュの ECC/ パリティ L2 キャッシュの ECC/ パリティ ソフトウェアを経由した割り込みタイムアウトのモニタ FPGA ファブリック ウォッチドッグを経由した割り込みタイムアウトのモニタ 周期的なコンフィギュレーション レジスタのテスト メモリ管理ユニット (MMU) の使用 両方の Cortex-A9 プロセッサの冗長実行 両方の Cortex-A9 プロセッサの冗長実行 ウォッチドッグ ウォッチドッグ + 1. 両方の Cortex-A9 プロセッサの冗長実行 + 1. タイムアウト監視機能をチェックするテスト パターン つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 機能をチェックするテスト パターン 2. 他の Cortex-A9 からの MMU で 1 個の MMU の機能をチェック 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

73 4-34 HPS のデバッグとトレース MNL-1079 識別子安全または診断機能推奨度潜在的な診断メカニズム CA9_MPU16 内部のウォッチドッグ O 1. 外部ウォッチドッグ 2. FPGA ファブリック内のウォッチドッグ CA9_MPU17 外部のウォッチドッグ 内部ウォッチドッグ 2. FPGA ファブリック内のウォッチドッグ CA9_MPU18 外部のウォッチドッグ 内部ウォッチドッグ 2. 外部ウォッチドッグ CA9_MPU19 OS タイマ クロスチェックのグローバル タイマ + 1. HPS タイマ 2. FPGA タイマ 3. ウォッチドッグ CA9_MPU20 HPS イマ + 1. Global タイマ 2. FPGA タイマ 3. ウォッチドッグ CA9_MPU21 FPGA タイマ Global タイマ 2. ウォッチドッグ HPS のデバッグとトレース HPS のデバッグ インフラストラクチャは FPGA ファブリックに実装された HPS モジュール ARM Cortex-A9 MPU サブシステム およびユーザ ロジックに可視性と制御を提供します デバッグ システム デザインには ARM の CoreSight コンポーネントが組み込まれています CoreSight コンポーネントは システムに通常のデバッグ アクセスを提供するだけでなく 異なるコンポーネント間のトレース サポートとクロストリガを提供します コンポーネントへのアクセスには JTAG インタフェースしますが Cyclone V SoC はこれをすべてのデバッグ通信が実行される APB バスへ内部で変換します また マスタは JTAG インタフェースも提供する DAP のスレーブ ポートを経由してデバックおよびトレース コンポーネントに直接アクセスすることが可能です JTAG 信号のタイオフ アプリケーション実行中にデバッグおよびトレース ロジックの悪影響を回避するには 以下の信号をタイオフします 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

74 MNL-1079 デバッグおよびトレース ロジックのリセット 4-35 HPS_TRST to GND HPS_TMS to VCCIO_HPS HPS_TCK to GND デバッグおよびトレース ロジックのリセット リセット マネージャの miscmodrst レジスタで dbg ビットを設定することで デバッグおよびトレース ロジックの残りの部分をリセット状態に維持することができます 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-49: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test Section D デバッグおよびトレースの使用前提 表 4-50: デバッグおよびトレースの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム DBG1 JTAG 信号のタイオフ リセット マネージャの miscmodrst レジスタで dbg ビットを設定します DBG2 リセット マネージャの miscmodrst レジスタで dbg ビットを設定 FPGA ファブリックを使用しているリセット マネージャのレジスタをリードします 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

75 4-36 HPS SDRAM コントローラ MNL-1079 識別子安全または診断機能推奨度潜在的な診断メカニズム DBG3 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS SDRAM コントローラ SECDED HPS SDRAM コントローラ サブシステムは ARM Cortex-A9 MPU サブシステム レベル 3(L3) インタコネクト および FPGA ファブリックに対して外部 SDRAM への効率的なアクセスを提供します SDRAM コントローラは FPGA ファブリックと HPS との間のインタフェースを提供します インタフェースは アドバンスト マイクロコントローラ バス アーキテクチャ (AMBA )Advanced extensible Interface(AXI の ) と Avalon メモリ マップド (Avalon-MM) トランザクションを受け入れ これらのコマンドを SDRAM に向けて正しいコマンドに変換し SDRAM アクセスの詳細を管理します HPS SDRAM コントローラは 16 ビットと 32 ビットのメモリ幅の ECC をサポートしています Cyclone V SoC は ECC パリティ ビットの格納には別々のメモリを使用します ECC は シングル ビット エラー訂正とダブル ビット エラー検出 (SECDED) をサポートし 障害を検出した場合は割り込みを生成します シングルとダブル ビット エラー用の別々のエラー カウンタは 訂正および検出の数をカウントします エラー アドレス レジスタは最新のエラーのアドレスを保持します アプリケーションを実行する前に メモリにシングル ビットおよびダブル ビットの障害を挿入し ECC ロジックをテストします ECC ビットはメモリ マップされていないため 直接 HPS を経由してビット障害を挿入することはできません 代わりに FPGA ファブリックを介して ECC ビットを格納する別のメモリのアドレスを指定します Avalon-MM インタフェースを使用して 通常のデータ メモリとして ECC メモリを使用します したがって 32 ビットのデータ コンフィギュレーションでは Cyclone V SoC は 通常の 40 ビット データ ワードとして 40 ビット (32 ビット データと ECC のデータ 8 ビット ) を扱います ECC ロジックがオフの間は SoC のロジックはメモリに 40 ビット データ ワードを書き込むことができます SoC が書き込むデータは完全に制御できるため シングル ビットまたはダブル ビットの障害を導入することができます メモリへの書き込み完了後 SoC が ECC ロジックをイネーブルし HPS または FPGA ファブリックを介してデータを読み込みます この手順では ECC ロジックのデコーダをテストします 通常動作は エンコーダをテストします デコーダはエンコーダから独立したロジックであるため エンコーダに障害があればデコーダはその障害を検出します 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

76 MNL-1079 メモリ保護の使用 4-37 表 4-51: ISO26262 リファレンス :Memory Monitoring Using EDC Codes Table D.6 Memory monitoring using error-detectioncorrection codes(edc) Section D メモリ保護の使用 指定のマスタによるアクセスに対して特定のメモリ領域を分離するには メモリ保護機能を使用します 別々の領域に対してアクセス許可を定義するには SDRAM コントローラ内に最大 20 の異なるルールを設定することができます 表 4-52: ISO26262 リファレンス :Criteria for Coexistence of Elements ISO :2011 Section 6 Criteria for coexistence of elements CRC の実行 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 11 章 :SDRAM コントローラ サブシステム アプリケーション ( 例 : 命令メモリ 定数 ) を実行中に変化しないデータについては CRC チェックサムを使用してデータの整合性を確認します CRC チェックサムは アプリケーションの起動時またはアプリケーション実行中に定期的に実行します 表 4-53: ISO26262 リファレンス :Running Checksum/CRC Table D.6 Running checksum/crc Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

77 4-38 SDRAM の使用前提 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-54: ISO26262 リファレンス :Configuration Register Test MNL-1079 Table D.4 Configuration Register Test Section D SDRAM の使用前提 表 4-55: SDRAM の使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム SDRAM1 SECDED(ECC) 検出および訂正機能をテストするためのテスト パターンを実行する SDRAM2 メモリ保護機能 検出および訂正機能をテストするためのテスト パターンを実行する SDRAM3 メモリ保護機能 + 1. CRC エンジンに向 けたテスト パタ ーン SDRAM4 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS オンチップ RAM SECDED オンチップ RAM は アプリケーション データ ストレージ用の汎用不揮発性メモリとして機能します オンチップ RAM は 別々のメモリ セルに ECC ビットを格納することで SECDED をサポートしています オンチップ RAM は データ バイト別に 5 ECC ビットを使用します これは 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

78 MNL-1079 CRC の実行 4-39 ECC をワードに実装する場合と比較して リード モディファイ ライト動作を排除します したがって ECC はアプリケーションのパフォーマンスに影響を与えません システム マネージャは ECC 機能を制御します ECC ロジックの機能をテストするためにシングル ビットとダブル ビットのエラーを注入することができます ECC がイネーブルの場合 ECC は別の ECC デコーダをテストするために メモリ ワードの各バイトにエラーを注入します 表 4-56: ISO26262 リファレンス :Memory Monitoring Using EDC Codes Table D.6 Memory monitoring using EDC Section D CRC の実行 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ アプリケーション ( 例 : 命令メモリ 定数 ) を実行中に変化しないデータについては CRC チェックサムを使用してデータの整合性を確認します CRC チェックサムは アプリケーションの起動時またはアプリケーション実行中に定期的に実行します 表 4-57: ISO26262 リファレンス :Running Checksum/CRC Table D.6 Running checksum/crc Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

79 4-40 オンチップ RAM の使用前提 表 4-58: ISO26262 リファレンス :Configuration Register Test MNL-1079 Table D.4 Configuration Register Test Section D オンチップ RAM の使用前提 表 4-59: オンチップ RAM の使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム OCRAM1 SECDED(ECC) 検出および訂正機能をテストするためのテスト パターンを実行する OCRAM2 OCRAM3 非変更データの CRC チェック 定期的なコンフィギュレーション レジスタのテスト + 1. CRC エンジンに向けたテスト パターン つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS オンチップ ブート ROM CRC の実行 ブート ROM は システムのみを起動します MPU サブシステムのコールド リセットあるいはウォーム リセットの場合 MPU0 はブート ROM に格納されているプレブートローダ コードを実行します プレブートローダは アプリケーションをロードするユーザ提供のブートローダをロードします アルテラは ブート プロセス中にいかなる安全機能も実行されないため ブート プロセスは安全性が重視されるプロセスではないと前提しています アプリケーション ( 例 : 命令メモリ 定数 ) を実行中に変化しないデータについては CRC チェックサムを使用してデータの整合性を確認します CRC チェックサムは アプリケーションの起動時またはアプリケーション実行中に定期的に実行します 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

80 MNL-1079 オンチップ ブート ROM の使用前提 4-41 表 4-60: ISO26262 リファレンス :Running Checksum/CRC Table D.6 Running checksum/crc Section D オンチップ ブート ROM の使用前提 表 4-61: オンチップ ブート ROM の使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム BROM1 ブート ROM の CRC チェック O 1. CRC エンジンに向けたテスト パターン HPS NAND フラッシュ コントローラ SECDED HPS NAND フラッシュ コントローラは 外部の NAND フラッシュ メモリとのインタフェースを提供します 外部フラッシュ メモリを使用すれば プロセッサのブート イメージやソフトウェアを格納したり 大規模なアプリケーションあるいはユーザ データ用の追加の記憶容量をして使用することができます HPS NAND フラッシュ コントローラは Cadence Design IP NAND フラッシュ メモリ コントローラに基づいています 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 13 章 :NAND フラッシュ コントローラ コントローラは異なるセクタ サイズへの ECC をサポートし データをライトする際は ECC チェック ビットを自動的に挿入し またデータをリードする際は ECC ビットを自動的に取り除きます ECC は SECDED をサポートしており NAND コントローラの内部メモリも SECDED をサポートする ECC によって保護されています 表 4-62: ISO26262 リファレンス :Memory Monitoring using EDC Codes Table D.6 Memory monitoring using EDC codes Section D 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

81 4-42 障害の注入 障害の注入 CRC の実行 システム マネージャは ECC 機能を制御します ECC ロジックの機能をテストするためにシングル ビットとダブル ビットのエラーを注入することができます ECC がイネーブルされると ECC は別の ECC デコーダをテストするために メモリ ワードの各バイトにエラーを注入します 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ アプリケーション ( 例 : 命令メモリ 定数 ) を実行中に変化しないデータについては CRC チェックサムを使用してデータの整合性を確認します CRC チェックサムは アプリケーションの起動時またはアプリケーション実行中に定期的に実行します 表 4-63: ISO26262 リファレンス :Running Checksum/CRC MNL-1079 Table D.6 Running checksum/crc Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-64: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

82 MNL-1079 NAND コントローラの使用前提 4-43 Section D NAND コントローラの使用前提 表 4-65: NAND コントローラの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム NAND1 ECC フォールト イン ジェクション テ スト NAND2 CRC チェックサム CRC エンジンに向 けたテスト パタ ーン NAND3 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS SD/MMC コントローラ SECDED HPS Secure Digital/MultiMediaCard(SD/MMC) コントローラは外部 SD フラッシュ カード 外部 MMC フラッシュ カード セキュア デジタル I/O(SDIO) デバイス Consumer Electronics Advanced Transport Architecture(CE-ATA) ハード ドライブとインタフェース接続します 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 14 章 :SD/MMC フラッシュ コントローラ HPS SD/MMC コントローラは 統合されたリードおよびライト FIFO に向けて ECC を実装しています ECC は SECDED をサポートしています 表 4-66: ISO26262 リファレンス :Memory Monitoring using EDC Codes Table D.6 Memory monitoring using EDC codes 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

83 4-44 障害の注入 MNL-1079 Section D 障害の注入 CRC の実行 システム マネージャは ECC 機能を制御します ECC ロジックの機能をテストするためにシングル ビットとダブル ビットのエラーを注入することができます ECC がイネーブルされると ECC は別の ECC デコーダをテストするために メモリ ワードの各バイトにエラーを注入します 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ アプリケーション ( 例 : 命令メモリ 定数 ) を実行中に変化しないデータについては CRC チェックサムを使用してデータの整合性を確認します CRC チェックサムは アプリケーションの起動時またはアプリケーション実行中に定期的に実行します 表 4-67: ISO26262 リファレンス :Running Checksum/CRC Table D.6 Running checksum/crc Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-68: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

84 MNL-1079 SD/MMC コントローラの使用前提 4-45 Section D SD/MMC コントローラの使用前提 表 4-69: SD/MMC コントローラの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム SDMMC1 ECC フォールト イン ジェクション テ スト SDMMC2 CRC チェックサム CRC エンジンに向 けたテスト パタ ーン SDMMC3 周期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS Quad SPI フラッシュ コントローラ SECDED HPS は シリアル NOR フラッシュ デバイスへのアクセスに向けて QSPI(quad serial peripheral interface) フラッシュ コントローラを提供しています 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 15 章 :QSPI フラッシュ コントローラ QSPI コントローラは ローカル メモリ バッファに向けて ECC を実装しています ECC は SECDED をサポートしています 表 4-70: ISO26262 リファレンス :Memory Monitoring Using EDC Codes Table D.6 Memory monitoring using error-detectioncorrection codes(edc) 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

85 4-46 障害の注入 MNL-1079 Section D 障害の注入 CRC の実行 システム マネージャは ECC 機能を制御します ECC ロジックの機能をテストするためにシングル ビットとダブル ビットのエラーを注入することができます ECC がイネーブルされると ECC は別の ECC デコーダをテストするために メモリ ワードの各バイトにエラーを注入します 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ アプリケーション ( 例 : 命令メモリ 定数 ) を実行中に変化しないデータについては CRC チェックサムを使用してデータの整合性を確認します CRC チェックサムは アプリケーションの起動時またはアプリケーション実行中に定期的に実行します 表 4-71: ISO26262 リファレンス :Running Checksum/CRC Table D.6 Running checksum/crc Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-72: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

86 MNL-1079 QSPI フラッシュ コントローラのの使用前提 4-47 Section D QSPI フラッシュ コントローラのの使用前提 表 4-73: QSPI フラッシュ コントローラのの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム QSPI1 ECC フォールト イン ジェクション テ スト QSPI2 CRC チェックサム CRC エンジンに向 けたテスト パタ ーン QSPI3 周期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS FPGA マネージャ モニタ HPS FPGA マネージャは SoC デバイスの FPGA 部分を管理し 監視します FPGA マネージャは HPS から FPGA ファブリックをコンフィギュレーションし FPGA の状態を監視し FPGA ファブリックへまたは FPGA ファブリックから信号を駆動し サンプルすることができます FPGA マネージャがエラーを検出することはできませんが FPGA マネージャは一部のブロックや技術を使用して FPGA ファブリックの動作に影響を与える FPGA マネージャ内の潜在的な障害を診断することができます FPGA マネージャは FPGA ファブリックのステータスと健全性をモニタする FPGA のステータス信号と主要な設定をサンプルするブロックを実装しています FPGA マネージャ内の障害は FPGA ファブリックのステータスに影響を与える可能性があります モニタしている各信号に対し Cortex-A9 MPU へ割り込みを生成することができます 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 4 章 :FPGA マネージャ 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

87 4-48 コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-74: ISO26262 リファレンス :Configuration Register Test MNL-1079 Table D.4 Configuration Register Test Section D FPGA マネージャの使用前提 表 4-75: FPGA マネージャの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム FMGR1 ブロックのモニタ + 1. FPGA コンフィギ ュレーション時の 信号の監視 FMGR2 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS システム マネージャ HPS システム マネージャには HPS のモジュール以外にもメモリ マップされたコントロール レジスタとステータス レジスタ (CSR) およびシステム レベル ファンクションを制御するロジックが含まれています また HPS システム マネージャはパリティおよび ECC 割り込みを Cortex-A9 MPU にルーティングします HPS システム マネージャは 特定の安全機能を実装していませんが HPS システム マネージャは ECC の機能性をテストするために いくつかのモジュールの ECC にエラーを注入することが可能です HPS システム マネージャは データ ワードの MSB にシングル ビット エラーを注入し データ ワードの MSB と LSB にはダブル ビット エラーを注入します 詳細は Cyclone V Device Handbook を参照してください 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

88 MNL-1079 コンフィギュレーション レジスタの定期的なリード バック 4-49 Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-76: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test Section D システム マネージャの使用前提 表 4-77: システム マネージャの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム SYSMGR1 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS スキャン マネージャ HPS スキャン マネージャは HPS I/O ピンの設定および管理を行い JTAG TAP(Test Access Port) コントローラと通信します HPS スキャン マネージャは HPS のペリフェラルがピンを使用する前に HPS I/O スキャン チェインをドライブして I/O バンクのプロパティをコンフィギュレーションします また HPS スキャン マネージャは FPGA の制御ブロックが検出する巡回冗長検査 (CRC) エラーの管理といった目的のためにコマンドを送信する目的で FPGA JTAG TAP コントローラと通信することも可能です I/O のコンフィギュレーション I/O は以下の 2 通りの方法でコンフィギュレーション可能です ソフトウェア JTAG 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

89 4-50 JTAG 信号のタイオフ ソフトウェアを介した I/O のコンフィギュレーションは複数の手順を伴いますが このコンフィギュレーション方法はピンのコンフィギュレーションに直接的な影響を持つ単一障害点を防止することが可能です コンフィギュレーションが変更可能となる前に 必要な手順の一つはスキャン チェーンを有効にすることです FPGA JTAG TAP を介した I/O のコンフィギュレーションにも複数の手順が伴います 1. TAP が CONFIG_IO JTAG 命令を受信し その後 JTAG ポートを経由してデータを受信することを確認します 2. 正しいタイムでに複数の JTAG 信号がトグルされるよう JTAG TAP ステート マシンの異なる段階を経るようにします ランダム イベントの正しいシーケンスが状態の変化や意味のあるデータの変更につながる可能性はほとんどありません 3. JTAG インタフェースを介して I/O のコンフィギュレーションが変更されるリスクをさらに低減させるために GND か VCCIO のどちらかに JTAG 信号を接続します 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 6 章 : スキャン マネージャ JTAG 信号のタイオフ アプリケーション実行中にデバッグおよびトレース ロジックの悪影響を回避するには 以下の信号をタイオフします TMS to VCCIO TCK to GND コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-78: ISO26262 リファレンス :Configuration Register Test MNL-1079 Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

90 MNL-1079 スキャン マネージャの使用前提 4-51 Section D スキャン マネージャの使用前提 表 4-79: スキャン マネージャの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム SCMGR1 タイオフ JTAG 信号 リセット マネージャの miscmodrst レジスタで dbg ビットを設定します SCMGR2 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS DMAC SECDED DMAC は メモリやペリフェラルをはじめとするシステム内のメモリ ロケーション間でデータを転送します DMAC は ARM Corelink DMAC(DMA-330) のインスタンスです HPS には メモリ マップされたペリフェラルとメモリ間におけるデータ転送の処理に向けて 1 個の DMAC が提供されおり MPU サブシステムからこの処理による負荷を軽減します DMAC は メモリ - メモリ間 メモリ - ペリフェラル間 ペリフェラル - メモリ間の転送をサポートしています 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 16 章 :DMA コントローラ DMAC には DMA 転送中に DMAC がリードおよびライトするデータの格納に使用するマルチ FIFO(MFIFO) データ バッファが含まれています ECC はこのバッファを保護し SECDED をサポートします DMAC は 両方のエラー ケースに対し Cortex-A9 MPU への割り込みを生成し システム マネージャはこの割り込みを制御します DMAC にエラーを注入して 検出と訂正の機能を評価することができます 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

91 4-52 アボート処理 MNL-1079 表 4-80: ISO26262 リファレンス :Memory Monitoring Using EDC Codes Table D.6 Memory monitoring using EDC codes. Section D アボート処理 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ DMAC はまた DMAC がロックアップされた状態でのウォッチドッグのアボートを含む 異なるからのエラーを検出した場合は正確なアボートまたは不正確はアボートを生成します 表 4-81: ISO26262 リファレンス :Integrated Hardware consistency monitoring Table D.4 Integrated Hardware consistency monitoring Section D 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 16 章 :DMA コントローラ コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-82: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

92 MNL-1079 DMA コントローラの使用前提 4-53 Section D DMA コントローラの使用前提 表 4-83: DMA コントローラの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム DMA1 SECDED(ECC) 検出および訂正機能をテストするためのテスト パターンを実行する DMA2 アボート処理 M 1. Cortex-A9 プロセッサによるタイムアウト モニタリングの監視 DMA3 周期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS イーサネット メディア アクセス コントローラ SECDED HPS は 2 個のイーサネット メディア アクセス コントローラ (EMAC) ペリフェラルを提供します IEEE 規格に準拠したイーサネット接続を経由して 10/100/1000 Mbps でデータを送受信するには 各 EMAC を使用してください EMAC は Synopsys DesignWare Universal 10/100/1000 Ethernet MAC(DWC_gmac) のインスタンスです 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 17 章 : イーサネット メディア アクセス コントローラ ECC は送信および受信データ FIFO バッファを保護します ECC は SECDED をサポートしています ECC は 両方のエラーケースに対し Cortex-A9 MPU への割り込みを生成し システム マネージャはこの割り込みを制御します EMAC にエラーを注入して 検出と訂正の機能を評価することができます 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

93 4-54 I/O インタフェースのテスト MNL-1079 表 4-84: ISO26262 リファレンス :Memory Monitoring Using EDC Codes Table D.6 Memory monitoring using EDC codes. Section D 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 17 章 : イーサネット メディア アクセス コントローラ 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ I/O インタフェースのテスト 多くのイーサネット PHY は EMAC と PHY 間の物理的なピン接続の検証を可能にするループバック モードをサポートしていますアプリケーション起動時に このループバック テストを実行します 表 4-85: ISO26262 リファレンス :Test Pattern Table D.7 Test Pattern Section D 情報冗長の実装 送信データに対しては 冗長化手法を実装する必要があります 具体的には 送信されるデータのブロック上の追加 CRC 送信データのリードバック Question あるいは Answer プロトコルなどがあります 適切な方法を使用すると 内部バスを介して Cyclone V SoC の内部ストレージからのデータ送信のパス全体 内部バス 通信モジュール 外部インタフェースとエンドポイントの診断能力を提供することができます 表 4-86: ISO26262 リファレンス :Information Redundancy Table D.8 Information redundancy 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

94 MNL-1079 コンフィギュレーション レジスタの定期的なリード バック 4-55 Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-87: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test Section D イーサネット MAC の使用前提 表 4-88: イーサネット MAC の使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム EMAC1 SECDED(ECC) 検出および訂正機能をテストするためのテスト パターンを実行する EMAC2 I/O インタフェース テスト つ目の Cortex- A9 プロセッサのステータスのリードバックと結果の比較 EMAC3 情報冗長 テスト パターン EMAC4 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

95 4-56 HPS USB 2.0 OTG コントローラ HPS USB 2.0 OTG コントローラ MNL-1079 SECDED HPS は デバイスとホスト機能の両方をサポートする USB On-The-Go(OTG) コントローラの 2 つのインスタンスを提供します 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 18 章 :USB 2.0 OTG コントローラ USB OTG コントローラに接続されたシングル ポート RAM(SPRAM) は ホストとデバイス モードの両方に対し USB データ パケットを格納します Cyclone V SoC は USB リンク上の受信および送信データ パケットに向けた FIFO バッファとして SPRAM をコンフィギュレーションします ECC は この RAM を保護します また ECC は SECDED をサポートしており 両方のエラーケースに対し Cortex-A9 MPU への割り込みを生成し システム マネージャはこの割り込みを制御します USB コントローラにエラーを注入して 検出と訂正の機能を評価することができます 表 4-89: ISO26262 リファレンス :Memory Monitoring Using EDC Codes Table D.6 Memory monitoring using EDC codes. Section D 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 18 章 :USB 2.0 OTG コントローラ 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ I/O インタフェースのテスト アプリケーションで USB を使用する前に I/O インタフェースのテストを実行します 外部トランシーバがループバック モードをサポートしているのであれば 送信テストは Cyclone V SoC とトランシーバ間のインタフェースをテストすることができます また 定義済のハンドシェイク プロトコルをエンドポイント間に実装し アプリケーション起動時に接続をテストすることも可能です 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

96 MNL-1079 情報冗長の実装 4-57 表 4-90: ISO26262 リファレンス :Test Pattern Table D.7 テスト パターン Section D 情報冗長の実装 送信データに対しては 冗長化手法を実装する必要があります 具体的には 送信されるデータのブロック上の追加 CRC 送信データのリードバック Question あるいは Answer プロトコルなどがあります 適切な方法を使用すると 内部バスを介して Cyclone V SoC の内部ストレージからのデータ送信のパス全体 内部バス 通信モジュール 外部インタフェースとエンドポイントの診断能力を提供することができます 表 4-91: ISO26262 リファレンス :Information Redundancy Table D.8 Information redundancy Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-92: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

97 4-58 USB 2.0 OTG コントローラの使用前提 MNL-1079 Section D USB 2.0 OTG コントローラの使用前提 表 4-93: USB 2.0 OTG コントローラの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム USB1 SECDED(ECC) 検出および訂正機能をテストするためのテスト パターンを実行する USB2 I/O インタフェース テスト つ目の Cortex- A9 プロセッサのステータスのリードバックと結果の比較 USB3 情報冗長 テスト パターン USB4 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS SPI コントローラ HPS は 2 個のシリアル ペリフェラル インタフェース (SPI) マスタと 2 個の SPI スレーブを提供します SPI マスタとスレーブは Synopsys DesignWare Synchronous Serial Interface(SSI) コントローラ (DW_apb_ssi) のインスタンスです 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 19 章 :SPI コントローラ I/O インタフェースのテスト アプリケーションで SPI を使用する前に I/O インタフェースのテストを実行します 送信テストは Cyclone V SoC と他のエンドポイント間のインタフェースをテストすることができます また 定義済のハンドシェイク プロトコルをエンドポイント間に実装し アプリケーション起動時に接続をテストすることも可能です 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

98 MNL-1079 情報冗長の実装 4-59 表 4-94: ISO26262 リファレンス :Test pattern Table D.7 テスト パターン Section D 情報冗長の実装 送信データに対しては 冗長化手法を実装する必要があります 具体的には 送信されるデータのブロック上の追加 CRC 送信データのリードバック Question あるいは Answer プロトコルなどがあります 適切な方法を使用すると 内部バスを介して Cyclone V SoC の内部ストレージからのデータ送信のパス全体 内部バス 通信モジュール 外部インタフェースとエンドポイントの診断能力を提供することができます 表 4-95: ISO26262 リファレンス :Information Redundancy Table D.8 Information redundancy Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-96: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

99 4-60 SPI コントローラの使用前提 MNL-1079 Section D SPI コントローラの使用前提 表 4-97: SPI コントローラの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム SPI1 I/O インタフェース テスト つ目の Cortex- A9 プロセッサのステータスのリードバックと結果の比較 SPI2 情報冗長 テスト パターン SPI3 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS I2C コントローラ I2C コントローラは ボード上の集積回路間の通信リンクへのサポートを提供します I2C コントローラは シリアル データ ライン (SDA) とシリアル クロック (SCL) から成るシンプルな 2 線式のバスで 温度センサおよび EEPROM への電圧レベル変換 A/D および D/A コンバータなどのアプリケーションや多くのマイクロプロセッサに使用されます ハード プロセッサ システム (HPS) は システム ソフトウェアによる I2C バスとのシリアル通信を可能にする 4 個の I2C コントローラを提供しています この I2C コントローラは Synopsys DesignWare APB I2C(DW_apb_i2c) コントローラのインスタンスです 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 20 章 :I2C コントローラ I/O インタフェースのテスト アプリケーションで I2C を使用する前に I/O インタフェースのテストを実行します 送信テストは Cyclone V SoC と他のエンドポイント間のインタフェースをテストすることができます また 定義済のハンドシェイク プロトコルをエンドポイント間に実装し アプリケーション起動時に接続をテストすることも可能です Table 97:ISO26262 リファレンス :Test pattern 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

100 MNL-1079 情報冗長の実装 4-61 表 4-98: Table D.7 テスト パターン Section D 情報冗長の実装 送信データに対しては 冗長化手法を実装する必要があります 具体的には 送信されるデータのブロック上の追加 CRC 送信データのリードバック Question あるいは Answer プロトコルなどがあります 適切な方法を使用すると 内部バスを介して Cyclone V SoC の内部ストレージからのデータ送信のパス全体 内部バス 通信モジュール 外部インタフェースとエンドポイントの診断能力を提供することができます 表 4-99: ISO26262 リファレンス :Information Redundancy Table D.8 Information redundancy Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-100: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

101 4-62 I2C コントローラの使用前提 MNL-1079 Section D I2C コントローラの使用前提 表 4-101: I2C コントローラの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム I2C1 I/O インタフェース テスト つ目の Cortex- A9 プロセッサのステータスのリードバックと結果の比較 I2C2 情報冗長 テスト パターン I2C3 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 UART コントローラ ハード プロセッサ システム (HPS) は 非同期シリアル通信用に 2 個の UART コントローラを提供しています UART コントローラは 業界標準の UART コントローラに基づいています UART コントローラは Synopsys DesignWare APB Universal Asynchronous Receiver/ Transmitter(DW_apb_uart) ペリフェラルのインスタンスです 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 21 章 :UART コントローラ I/O インタフェースのテスト アプリケーションで UART を使用する前に I/O インタフェースのテストを実行します UART は TX ピンと RX ピンを内部で接続する内部ループバック モードをサポートしています UART はまた 外部ロジックがループバック テストの影響を受けないよう TX ピンを非アクティブにコンフィギュレーションします 送信テストは Cyclone V SoC と他のエンドポイント間のインタフェースをテストすることができます また 定義済のハンドシェイク プロトコルをエンドポイント間に実装し アプリケーション起動時に接続をテストすることも可能です 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

102 MNL-1079 情報冗長の実装 4-63 表 4-102: ISO26262 リファレンス :Test Pattern Table D.7 Test Pattern Section D 情報冗長の実装 送信データに対しては 冗長化手法を実装する必要があります 具体的には 送信されるデータのブロック上の追加 CRC 送信データのリードバック Question あるいは Answer プロトコルなどがあります 適切な方法を使用すると 内部バスを介して Cyclone V SoC の内部ストレージからのデータ送信のパス全体 内部バス 通信モジュール 外部インタフェースとエンドポイントの診断能力を提供することができます 表 4-103: ISO26262 リファレンス :Information Redundancy Table D.8 Information redundancy Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-104: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

103 4-64 UART コントローラの使用前提 MNL-1079 Section D UART コントローラの使用前提 表 4-105: UART コントローラの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム UART1 I/O インタフェース テスト つ目の Cortex- A9 プロセッサのステータスのリードバックと結果の比較 UART2 情報冗長 テスト パターン UART3 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS タイマ HPS は レベル 4(L4) ペリフェラル バスに接続された 4 個の 32 ビット汎用タイマを提供します このタイマには 32 ビットのバイナリ カウント ダウン タイマがゼロに達した時点で割り込みを生成するオプションを備えています タイマは Synopsys DesignWare APB Timers(DW_apb_timers) ペリフェラルのインスタンスです 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 23 章 : タイマ HPS タイマのクロス チェック アプリケーションは いずれかのタイマの潜在的な問題を検出するために それぞれのタイマからのタイマ イベントのクロスチェックを実行することが可能です また 妥当性を確認するために MPU サブシステムないでグローバル タイマを使用することも可能です グローバル タイマの詳細については ARM 社のウェブサイトで閲覧可能な Cortex-A9 MPCore テクニカルリファレンスマニュアルリビジョン 3p0 のグローバル タイマ プライベート タイマ ウォッチドッグ レジスタの章を参照してください 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

104 MNL-1079 コンフィギュレーション レジスタの定期的なリード バック 4-65 さらに プロセッサの割り込みをチェックする目的で FPGA ファブリック内に専用タイマ ブロックを実装することも可能です 一般的な原因による障害を考慮するために 別の電源レールとクロックで FPGA を供給することができます 関連情報 infocenter.arm.com コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-106: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test Section D HPS タイマの使用前提 表 4-107: HPS タイマの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム HTIM1 タイマ クロスチェック + 1. テスト パターン HTIM2 定期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS ウォッチドッグ タイマ ウォッチドッグタイマの主要な役割は 応答不能な状態からシステムを回復する方法を提供することです ハード プロセッサ システム (HPS) は レベル 4(L4) ペリフェラル バスに接続されたプログラム可能なウォッチドッグ タイマを 2 個提供します ウォッチドッグ タイマは Synopsys DesignWare APB Watchdog Timer(DW_apb_wdt) ペリフェラルのインスタンスです 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

105 4-66 ウォッチドッグのテスト MNL-1079 外部オシレータ クロックが直接ウォッチドッグをドライブします 一旦イネーブルされると ディセーブルはリセットによってのみ可能です 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 24 章 : ウォッチドッグ タイマ ウォッチドッグのテスト アプリケーションの起動時にウォッチドッグをテストします ウォッチドッグをコンフィギュレーションし ウォッチドッグがリセットを確実に生成するようタイムアウトさせます 表 4-108: ISO26262 リファレンス :Test Pattern Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-109: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test Section D HPS ウォッチドッグ タイマの使用前提 表 4-110: HPS ウォッチドッグ タイマの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム HWD1 テスト パターン + 1. 外部ウォッチドッグ 2. FPGA ファブリック内のウォッチドッグ 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

106 MNL-1079 HPS CAN コントローラ 4-67 識別子安全または診断機能推奨度潜在的な診断メカニズム HWD2 周期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 HPS CAN コントローラ SECDED HPS は 2 つの CAN コントローラを提供しています CAN コントローラは Bosch D_CAN コントローラのインスタンスであり ISO に準拠しています 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 25 章 :CAN コントローラ ECC は CAN メッセージバッファを保護します ECC は SECDED をサポートしています ECC は 両方のエラーケースに対し Cortex-A9 MPU への割り込みを生成し システム マネージャはこの割り込みを制御します CAN にエラーを注入して 検出と訂正の機能を評価することができます 表 4-111: ISO26262 リファレンス :Memory Monitoring Using EDC Codes Table D.6 Memory monitoring using EDC codes. Section D 詳細は Cyclone V Device Handbook を参照してください Volume 3: ハード プロセッサ システムのテクニカル リファレンス マニュアル 第 5 章 : システム マネージャ ループバック モード 多くの CAN トランシーバは CAN コントローラとトランシーバ間の物理的なピン接続の検証を可能にするループバック モードをサポートしています アプリケーション起動時にこのループバック テストを実行します また CAN コントローラはサイレント モードとループバック モードをサポートしています ループバック モードでは コントローラは送信されたメッセージをリードバックするために TX ピンを RX ピンと内部で接続します ループバック モードではさらに CAN コントローラは CAN トランシーバに TX ピンを接続し CAN バス上でメッセ 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

107 4-68 情報冗長の実装 MNL-1079 ージを転送します サイレント モードとループバック モードを組み合わせることで TX ピンと RX ピン間の内部接続がコンフィギュレーションされるだけでなく メッセージが CAN TX ピンを介して転送されないことが保証されます 表 4-112: ISO26262 リファレンス :Test Pattern Table D.7 Test Pattern Section D 情報冗長の実装 送信データに対しては 冗長化手法を実装する必要があります 具体的には 送信されるデータのブロック上の追加 CRC 送信データのリードバック Question あるいは Answer プロトコルなどがあります 適切な方法を使用すると 内部バスを介して Cyclone V SoC の内部ストレージからのデータ送信のパス全体 内部バス 通信モジュール 外部インタフェースとエンドポイントの診断能力を提供することができます 表 4-113: ISO26262 リファレンス :Information Redundancy Table D.8 Information redundancy Section D コンフィギュレーション レジスタの定期的なリード バック コンフィギュレーション レジスタが正確であることを確認するには レジスタの内容をリード バックし その内容と意図した値と比較します その値をレジスタに書き込み このリード バックを定期的に繰り返し実行します 注意 : 一部のレジスタは レジスタをリードする際に自動でクリアするビットを実装することができます アプリケーションのビヘイビアが変更されることがあるので リードが一部のビットのステータスに影響を与えることがないようにします 表 4-114: ISO26262 リファレンス :Configuration Register Test Table D.4 Configuration Register Test 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

108 MNL-1079 CAN コントローラの使用前提 4-69 Section D CAN コントローラの使用前提 表 4-115: CAN コントローラの使用前提 識別子安全または診断機能推奨度潜在的な診断メカニズム CAN1 SECDED(ECC) 検出および訂正機能をテストするためのテスト パターンを実行する CAN2 I/O インタフェース テスト つ目の Cortex- A9 プロセッサのステータスのリードバックと結果の比較 CAN3 情報冗長 テスト パターン CAN4 周期的なコンフィギュレーション レジスタのテスト つ目の Cortex- A9 プロセッサのレジスタ設定のリードバックと結果の比較 偶発ハードウェア障害の管理に向けた Cyclone V SoC アーキテクチャ

109 ISO26262 に特化した FPGA デザイン用のテクニックと方法 5 MNL-1079 更新情報 以下のトピックで ISO :2011 および他の方法に関連する ISO :2012 Table A.8 に記載された特定のテクニックと方法を紹介します また ASIC デザインに向けた方法の多くが FPGA デザインにも参照されているため ASIC デザインについても考慮します デザイン入力 ISO :2012 表 A.8 の最初のセクションには マイクロ コントローラ デバイス向けのデザイン入力が記述されていますが これは一般的に FPGA 開発にも適用可能です これらのトピックでは 表 A.8 の各項目を満たす際に アルテラのツールやプロセスを適用可能であるかどうかについて記述しています Structured Description( 構造化記述 ) 表 5-1: デザイン入力 : 構造化記述 ISO :2012: Table A.8 Ref 1: Structured description ISO :2011 Section コンプライアンス タイプ 推奨ツール Procedural: coding guidelines なし このようなテクニックを使用することは デザイン プロセスおよびコーディング標準の一部です Quartus II ソフトウェアは階層デザインおよびモジュラー デザインをサポートします Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134

110 5-2 Design description in HDL(HDL によるデザインの記述 ) Design description in HDL(HDL によるデザインの記述 ) MNL-1079 表 5-2: デザイン入力 :Design description in HDL(HDL によるデザインの記述 ) ISO :2012: Table A.8 Ref 2: Design description in HDL ISO :2011 Section コンプライアンス タイプ 推奨ツール Technical: tool use 標準的なテキスト エディタ 注意 : Quartus II ソフトウェアは 広範囲の複数言語のコンパイル サポートを有しており 同一のデザインで VHDL と Verilog HDL のいずれのモジュールもサポートすることができます この機能は 異なる (V)HDL でコード化されているサードパーティーの IP を統合する際に使用します テキスト形式の (V)HDL デザイン入力は 標準的なテキスト エディタを使用して実装することが可能です テキスト エディタには (V)HDL デザインに向けた強化機能を有しているテキスト エディタもあります 例えば J-Edit や Emacs といったツールには コンテキストのハイライトをはじめとする言語に関連する機能を持つ (V)HDL モードが使用可能です Quartus II ソフトウェアには このような言語に関連した多くの機能を持つテキスト エディタが搭載されており 安全性に関連する開発に使用することができます Project Setting を調整することで Quartus II ソフトウェアでコンパイルを実行中にデザインで使用する言語のバージョンを指定することができます コーディング サイクルの前に (V)HDL 言語とそのバージョンを選択しておきます この選択は Project requirements specification で指定します. 回路図入力 表 5-3: デザイン入力 : 回路図入力 ISO :2012: Table A.8 ISO :2011 Compliance Type Suggested Tool なしなし Technical: tool use Quartus II schematic entry tool ISO26262 に特化した FPGA デザイン用のテクニックと方法

111 MNL-1079 ブール式を使用したデザインの記述 5-3 Quartus II ソフトウェアは 回路図キャプチャ デザイン入力をサポートしています 今日の高度に複雑化したデザインには このアプローチは適していません 回路図ベースのデザインを維持し チェックするには労力を要するため 複雑なデザインには不向きです 注意 : アルテラでは このフローを使用しないよう強く推奨しています デザインには.bdf や bsf ファイルが含まれていないことを確認してください デザイン レビューの段階で これらのファイル タイプをプロジェクト ディレクトリで確認してください ブール式を使用したデザインの記述 表 5-4: デザイン入力 : ブール式を使用したデザインの記述 ISO :2012: Table A.8 ISO :2011 Compliance Type Suggested Tool なしなし Procedural: coding style なし Quartus II ソフトウェアのフローは デザイン入力方法としてのブール式の記述をサポートしていません モジュール化 表 5-5: デザイン入力 : モジュール化 ISO :2012: Table A.8 なし ISO :2011 Clause コンプライアンス タイプ 推奨ツール Procedural: coding style なし Quartus II ソフトウェアは 階層およびモジュラー デザインをサポートしています コーディングのガイドラインで デザイン内においてモジュール化を適用する方法を指定する必要があります Quartus II ソフトウェアおよびその機能は モジュールの設計に役立ちます ISO26262 に特化した FPGA デザイン用のテクニックと方法

112 5-4 Project Navigator Project Navigator MNL-1079 Quartus II ソフトウェアの Project Navigator ペインは デザイン内のモジュールのデザイン階層を示します Project Navigator は デザイン ストラクチャを視覚的に表示します また Quartus II レポート ファイルは この同じ階層またはモジュール方式でデータを示します デザイン パーティション Quartus II ソフトウェアは デザイン パーティションとして知られるコードがカプセル化されたブロックを定義することが可能です このようなパーティションはそれぞれ個別にコンパイルすることができます 以前のコンパイル結果を次の合成と配置配線手順に再利用することができます この方法が使用される理由を以下に挙げます コンパイル時間の短縮 パフォーマンスの向上 チーム ベースのデザイン Quartus II ソフトウェアは 特定のデザイン内のパーティションを視覚的に表示します このインタフェースは パーティションの相対的なサイズおよびパーティション間の相互接続の数を示します デザイン パーティションおよびチーム ベースの階層デザインの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 2 章 :Quartus II ソフトウェアによるデザイン プランニング Proven in Use( 使用実績のある ) デザイン環境の適用 表 5-6: デザイン入力 :Proven in Use( 実績による使用 ) デザイン環境の適用 ISO :2012: Table A.8 なし ISO :2011 Clause 14 Compliance Type Suggested Tool Technical: tool use Quartus II Quartus II ソフトウェアが上記の項を満たしていることは 以下の点に集約されます Quartus II ソフトウェアは すでに長期間 (Quartus ソフトウェアとして 2001 年より ) マーケットに存在しています アルテラは 複数のマーケットにわたり多くのユーザーを持っています アルテラによって実行された多くのテストは ISO :2011, 11 項の要件の多くの部分を満たしています ISO26262 に特化した FPGA デザイン用のテクニックと方法

113 MNL-1079 HDL シミュレーション 5-5 Quartus II ソフトウェア内の Nios II 統合開発環境 (IDE) ツールは GCC コンパイラ ツール チェーン ( プリプロセッサ コンパイラ リンカ ) を使用します Nios II IDE ツールは Nios II プロセッサをターゲットとする C/C ++ コードをコンパイルします GCC の特定のビルドのの完全なバグ リストは GNU のウェブサイトから入手可能です このツールおよびバージョンに関する最新情報については GCC のウェブサイトを参照してください コンパイルと配置配線には Quartus II ソフトウェアを使用する必要があります 論理シミュレータなどのツールを選択する際は そのツールが確立されたツールの信頼性レベルを満たしていることを確認してください 関連情報 GCC, the GNU Compiler Collection Website HDL シミュレーション 表 5-7: デザイン入力 :HDL シミュレーション ISO :2012: Table A.8 Ref 3: HDL simulation ISO :2011 Section コンプライアンス タイプ 推奨ツール Technical: tool use サードパーティー製シミュレータによってサポートされます アルテラの FPGA を使用しているのであれば 開発にサードパーティー製のシミュレータが使用可能です 開発には信頼のおけるツールを使用してください 要件については ISO :2011 clause 11 を参照してください アルテラは NativeLink 機能により一般的に使用される様々なシミュレータとの統合が可能です サポートしているサードパーティー製シミュレータの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 第 1 章 : アルテラ デザインのシミュレーション ISO26262 に特化した FPGA デザイン用のテクニックと方法

114 5-6 モジュール レベルでの機能テスト モジュール レベルでの機能テスト MNL-1079 表 5-8: デザイン入力 : モジュール レベルでの機能テスト ISO :2012: Table A.8 Ref 4: Functional test on module level (HDL テストベンチを使用 ) ISO :2011 Section コンプライアンス タイプ 推奨ツール Technical: testbench coding なし この方法は モジュール レベルで機能性をテストすることができるテストベンチの適切な記述を解説します テスト対象のモジュールに向けて作成されたテスト記述を参照してください テスト記述には個別のテスト アイテム カバレッジ レベル テスト除外 起こり得る障害などのアイテムを明記しておきます トップレベル モジュールでの機能テスト 表 5-9: デザイン入力 : トップレベルでの機能テスト ISO :2012: Table A.8 Ref 5: Functional test on top level ISO :2011 Section Compliance Type Suggested Tool Technical: testbench coding なし この方法は トップレベルで機能性をテストすることができるテストベンチの適切な記述を解説します テスト対象のモジュールおよびトップレベルに向けて作成されたテスト記述を参照してください テスト記述には個別のテスト アイテム カバレッジ レベル テスト除外 起こり得る障害などのアイテムを明記しておきます ISO26262 に特化した FPGA デザイン用のテクニックと方法

115 MNL-1079 Restricted use of asynchronous constructs( 非同期構文の使用制限 ) 5-7 Restricted use of asynchronous constructs( 非同期構文の使用制限 ) 表 5-10: デザイン入力 :Restricted use of asynchronous constructs( 非同期構文の使用制限 ) ISO :2012: Table A.8 Ref 6: Restricted use of asynchronous constructs ISO :2011 Section コンプライアンス タイプ 推奨ツール Procedural: coding style なし 特に master SET および RESET の同期といった非同期構文の使用に制限を加える方法を適用してください 小さなプロセス ノードであれば 2 つ以上のフリップ フロップ ステージを含めることができます メタスタビリティおよび同様のストラクチャが正常に動作することを確認するには デザインのメタスタビリティ分析を実行します この動作を実行するには Quartus II ソフトウェアの metastability reporting ツールを使用します メタスタビリティと同期チェインの長さについての詳細情報は Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 13 章 :Quartus II ソフトウェアを使用したメタスタビリティの管理 推奨するデザイン コーディングの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 11 章 : 推奨するデザイン手法 プライマリ入力の同期およびメタスタビリティの管理 表 5-11: デザイン入力 : プライマリ入力の同期およびメタスタビリティの管理 ISO :2012: Table A.8 Ref 7: Synchronization of Primary Inputs and Control of Metastability ISO :2011 Section Compliance Type Suggested Tool Technical: tool use タイミング解析 ISO26262 に特化した FPGA デザイン用のテクニックと方法

116 5-8 機能的および構造的カバレッジ ドリブン検証 メタスタビリティおよび同様のストラクチャが正常に動作することを確認するには デザインのメタスタビリティ分析を実行します この動作を実行するには Quartus II ソフトウェアの metastability reporting ツールを使用します メタスタビリティと同期チェインの長さについての詳細情報は Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 13 章 :Quartus II ソフトウェアを使用したメタスタビリティの管理 機能的および構造的カバレッジ ドリブン検証 MNL-1079 表 5-12: デザイン入力 : 機能的および構造的カバレッジ ドリブン検証 ISO :2012: Table A.8 Ref 8: Functional and Structural coverage-driven Verification ISO :2011 Section コンプライアンス タイプ 推奨ツール Technical: tool use コード カバレッジ ツール Quartus II ソフトウェアには コード カバレッジの計算が含まれていません 認定の一部としてこの情報を提供したい場合は 適切なツールを選択して使用する必要があります この機能は通常 論理シミュレータ ツール内で利用可能です コーディング ガイドラインの順守 表 5-13: デザイン入力 : コーディング ガイドラインの順守 ISO :2012: Table A.8 Ref 9: Observation of coding guidelines ISO :2011 Section Compliance Type Suggested Tool Procedural: coding style Third-party lint checker tool 設計プロセスの一環として コーディング ガイドラインをコーディングの規則を順守します プロジェクトの開始時に任意のガイドラインを指定します 例外を認める場合は 例外はコード レビュー プロセスの一部と特別にレビューします ISO26262 に特化した FPGA デザイン用のテクニックと方法

117 MNL-1079 コード チェッカの適用 5-9 Quartus II 開発ソフトウェア ハンドブックに記載されたコーディング スタイルを使用してください このような推奨事項は コーディング ガイドラインに含めることができます Quartus II Design Assistant は デザインの様々な部分の分析に役立ちます このツールは デザイン ルール チェック ツールに似た利用方法を持っています さらに 特定のデザインのパフォーマンスを向上させる提案を提供することができます コーディング スタイルの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 12 章 : 推奨 HDL コーディング スタイル コード チェッカの適用 表 5-14: デザイン入力 : コード チェッカの適用 ISO :2012: Table A.8 Ref 10: Application of code checker ISO :2011 Section Compliance Type Suggested Tool Procedural: coding style Third-party lint checker tool コード チェック ツールは 設計フローで自動的に実行する必要があります 検査コードまたはウォークスルー 表 5-15: デザイン入力 : 検査コードまたはウォーク スルー ISO :2012: Table A.8 なし ISO :2011 Section コンプライアンス タイプ 推奨ツール Procedural: observation of documented process なし 検査コードまたはウォーク スルーは設計と開発プロセスの一部です このステップのは適切なデザイン メンバーもしくは検証チームにより実行 記録されるべきです これはプロセス ステップの 1 つにしか過ぎないため このアイテムに向けてアルテラが推奨するツールは特にありません ISO26262 に特化した FPGA デザイン用のテクニックと方法

118 5-10 検証済みのソフト コアの適用 検証済みのソフト コアの適用 MNL-1079 表 5-16: デザイン入力 : 検証済みのソフト コアの適用 ISO :2012: Table A.8 ISO :2011 コンプライアンス タイプ推奨ツール なしなし Technical: tool なし Quartus II ソフトウェアを使用することで デザインに IP コアを含めることが可能です このような IP コアはアルテラの広範な IP コアのポートフォリオ あるいはサードパーティー各社から入手することができます 一般的には ソフト IP コアは他の コードと同じ方法でコンパイルされますが 組み込みの手順やパラメータ化の手順は異なることがあります アルテラでは IP コアをアルテラ ツールに実装するにあたって様々な方法を提供しています 安全性に関連するデザインに Nios II プロセッサを組み込む Nios II プロセッサは 安全性に関連するデザインに組み込むことが可能です ただし ISO26262: 規格の要件を十分に考察し 関連するすべての項に対応するよう 使用するシステム アーキテクチャを特別に構築する必要があります 関連情報 Nios II Classic Processor Reference Guide Nios II データ キャッシュ データ キャッシュのストラクチャが コードを実行する際に特定の変動性をもたらす場合があります キャッシュ コヒーレンシを維持するには複雑さが伴うため 安全性に関連するデザインでデータ キャッシュを使用することが適切ではないことがあります このデータ キャッシュを使用するかどうかの決定はデザインごとに行うべきです また これらの解説は本資料には含まれません データ キャッシュ ストラクチャを使用するかどうかの決定は 認定アセッサーと確認してください Qsys で Nios II プロセッサをコンフィギュレーションする際 特定のプロセッサ インスタンスに対してデータとアドレスのキャッシュ サイズをそれぞれ選択することができます Nios II プロセッサ内のキャッシュ サイズ設定に関する詳細は Nios II プロセッサのマニュアルを参照してください Nios II プロセッサの割り込み ソフトウェアの開発で安全性に関連する部分に割り込みを使用するには 慎重に検討する必要があります 割り込みの使用が適さないアプリケーションも存在します プロジェクト チームが ISO26262 に特化した FPGA デザイン用のテクニックと方法

119 MNL-1079 Quartus II および Nios IDE のバージョン 5-11 この決定を判断し 設計者は FPGA あるいはや一般的な要件仕様書でこのことを指定する必要があります Nios II プロセッサを Qsys システムに組み込む場合 プロセッサ コアに割り込みを接続するかどうかを選択することができます 要件仕様書でデザインに割り込みを使用してはならないことが記載されている場合は これらの接続は未接続にしておきます Quartus II および Nios IDE のバージョン Nios II プロセッサは Nios II IDE ツールがコンパイルするコードを実行します このツールは Quartus II ソフトウェアの一部ですが 個別のインストール プロセスがあります 安全性に関連する開発を行うには Nios II IDE バージョンは Quartus II ソフトウェアのバージョンと一致していなければいけません 一部バージョンには Quartus II ソフトウェアと Nios II IDE との間にクロスの互換性が存在しますが アルテラでは Quartus II ソフトウェアとの Nios IDE ツールが同じバージョンを使用している場合にのみテスト データを提供します ( アルテラは関連する NDA の認証機関にこのテスト データを提示します ) 注意 : Nios II GNU ツール アルテラの一部の資料では Nios II IDE は Nios II エンベデッド デザイン スイートとして記載されていますが どちらも同じ開発ツールのことを指します The Nios II IDE は 業界標準の GNU ツールを使用しています 表 5-17: GNU のバージョン 次の表は 特定の Nios II IDE ビルドに含まれる GNU バージョンを示しています Nios II エンベデッド デザイン スイートのバージョンとビルド GNU GCC のバージョンとビルド build 190 GCC build The Nios II IDE は GNU ツールの以下の部分を使用します Make(GNU make v3.8) Compiler(GCC) Linker(GCC) Binutils(GCC) Assembler(GCC) Debugger(GCC) GCC ツールによる開発は アルテラの開発プロセスの管理外となるため GCC ツールのバグ修正や正誤表の最新情報については GNU ウェブサイトにて確認してください GNU make に関しては GNU ウェブサイトから最新のバグ修正と正誤表を取得する必要があります ISO26262 に特化した FPGA デザイン用のテクニックと方法

120 5-12 Nios II プロセッサのオンライン診断カバレッジ MNL-1079 これらの情報を評価し GCC および GNU ツールが ISO :2011 の 11 項を満たしているいう証拠を提供する必要があります Nios II IDE は Eclipse 開発環境エディタを使用しています Eclipse ツールによる開発は アルテラの開発プロセスの管理外となるため Eclipse ツールのバグ修正や正誤表の最新情報については Eclipse ウェブサイトにて確認してください 関連情報 Nios II プロセッサのオンライン診断カバレッジ Nios II プロセッサとそれを取り巻くソフトウェアおよびハードウェア システムの正確なコンフィギュレーションは複雑です ISO26262: の様々な部分が関係します Nios II プロセッサの使用が十分に受け入れられるためには 一定のオンライン診断カバレッジをコアに提供する必要がある場合があります Table D.4 は 診断カバレッジ手法を実装する際の考慮事項を示しています サードパーティー製ソフト IP コアの組み込み 場合によっては サードパーティー製 IP コアを Quartus II ソフトウェアに統合することが可能です サードパーティー製 IP コアはアルテラ提供の IP コアと同じ方法でデザインに組み込むことが可能です 注 : サードパーティ製 IP コアをインストールおよび使用するには 必要となるすべての手順を実行しなければなりません このような要件は各 IP コアのドキュメントに記載されているため 本資料には詳細な解説は含まれません ソフト IP コアの検証 表 5-18: デザイン入力 : ソフト IP コアの検証 ISO :2012: Table A.8 ISO :2011 コンプライアンス タイプ推奨ツール なしなし Procedural: design and validation processes なし 検証がなされていない安全性に関するデザインに IP コアを含めるのであれば このような IP コアはデザイン コードとして扱う必要があります つまり このような IP コアは他のデザイン と同様に検証すべきです この処理にはツールあるいは Quartus II のステップは不要です ISO26262 に特化した FPGA デザイン用のテクニックと方法

121 MNL-1079 シミュレーション結果のドキュメンテーション 5-13 シミュレーション結果のドキュメンテーション 表 5-19: デザイン入力 : シミュレーション結果のドキュメンテーション ISO :2012: Table A.8 Ref 11: Documentation of simulation results ISO :2011 Section コンプライアンス タイプ 推奨ツール Procedural: documentation steps なし このアイテムに関連するアルテラ ツールはありません 合成 ISO :2012 表 A.8 の以下のセクションには プログラマブル デバイス使用の合成の手順が記述されています これらのトピックでは 表 A.8 の各項目を満たす際に アルテラのツールやプロセスを適用可能であるかどうかについて記述しています 内部整合性のチェック 表 5-20: 合成 : 内部整合性のチェック ISO :2012: Table A.8 ISO :2011 コンプライアンス タイプ推奨ツール なし なし Technical: tool use Quartus II ソフトウェア サードパーティ製合成ツール Quartus II ソフトウェアの合成プロセスには整合性チェックがデフォルトで含まれています ドキュメンテーションで指定された合成手順を実行するのであれば 特別なアクションは必要ありません サードパーティ製の合成ツールを使用する場合 内部整合性チェックが含まれているかどうかを確認するには そのツールに付属するマニュアルを参照してください 詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 ISO26262 に特化した FPGA デザイン用のテクニックと方法

122 5-14 ゲート ネットリスト シミュレーション ゲート ネットリスト シミュレーション MNL-1079 表 5-21: 合成 : ゲート ネットリスト シミュレーション ISO :2012: Table A.8 Ref 12: Simulation of the gate netlist ISO :2011 Section Compliance Type Suggested Tool Technical: tool use Supported third-party simulator この手法では デザインのすべてのタイミング コーナーにてシミュレーションをゲート レベル ネットリスト上で実行する必要があります これにより 回路の重要なタイミング状況がシミュレーションされ シミュレーション ミスマッチによりエラーがハイライトされます アルテラは直接的にはこの方法をサポートしていません また デザインのスタティック タイミング解析を実行するという別の方法もあります この解析には アルテラの TimeQuest Timing Analyzer ツールを使用することができます シミュレータが動作するためには 正しいアルテラ ライブラリが存在し そのライブラリをシミュレータのサーチ パスに含める必要があります ライブラリへ含める方法についてはそれぞれのシミュレータの資料を参照してください 各種シミュレータを使用したネットリストの生成やシミュレーションの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 伝播遅延のスタティック タイミング解析 (STA) 表 5-22: 合成 : 伝播遅延の STA ISO :2012: Table A.8 ISO :2011 コンプライアンス タイプ推奨ツール なしなし Technical: tool use Quartus II TimeQuest Quartus II ソフトウェアは TimeQuest Timing Analyzer を搭載しており このツールは スタティック タイミングを実行します この包括的なツールは タイミング制約と適切な回路の遅延モデルを使用して完全なチップ デザインを解析します ハードウェアに実装されるタイミング ISO26262 に特化した FPGA デザイン用のテクニックと方法

123 MNL-1079 シミュレーションによるリファレンス モデルに対するゲート ネットリストの検 5-15 証制約は 回路の正しい動作に重要な役割を持ちます アルテラは回路遅延のモデルを提供しており これらは Quartus II ソフトウェアの特定のインストールに含まれています 一部のデザイン フローとサインオフは TimeQuest レポート ファイルが timing clean なデザイン ( 制約に違反がないデザイン ) であることを確実にします TimeQuest ツールの詳細な解説は本資料には含まれません 注意 : 本資料で記述される Quartus II ソフトウェアには Classic Timing Analyzer が含まれています 適切である場合に使用することが可能ですが アルテラでは Classic Timing Analyzer の開発は終了しており TimeQuest Timing Analyzer ツールの使用を推奨しています TimeQuest Timing Analyzer の詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 シミュレーションによるリファレンス モデルに対するゲート ネットリストの検証 表 5-23: 合成 : シミュレーションによるリファレンス モデルに対するゲート ネットリストの検証 ISO :2012: Table A.8 Ref 13: Comparison of gate netlist to reference model ISO : コンプライアンス タイプ 推奨ツール Technical: tool use Quartus II シミュレータ 合成およびコンパイル フローの配置配線の出力を確認するには ゲート ネットリストをシミュレーションすることができます Quartus II ソフトウェアは EDA Netlist Writer を提供しており EDA Netlist Writer はこの目的のためにシミュレーションに互換性のあるゲート ネットリストを生成します EDA Netlist Writer は 配置配線およびタイミング解析のステップからの入力を取り込み シミュレーションに向けてタイミングが調整されたゲート ネットリストを生成します この理由により これらのステップはゲート ネットリストの生成前に実行します シミュレータが動作するためには 正しいアルテラ ライブラリが存在し そのライブラリをシミュレータのサーチ パスに含める必要があります ライブラリへ含める方法についてはそれぞれのシミュレータの資料を参照してください 各種シミュレータを使用したネットリストの生成やシミュレーションの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 ISO26262 に特化した FPGA デザイン用のテクニックと方法

124 5-16 リファレンス モデルとゲート ネットリストの比較 ( フォーマル等価性検証 ) リファレンス モデルとゲート ネットリストの比較 ( フォーマル等価性検証 ) MNL-1079 表 5-24: 合成 : リファレンス モデルとゲート ネットリストの比較 ( フォーマル等価性検証 ) ISO :2012: Table A.8 Ref 13: Comparison of gate netlist to reference model ISO :2011 Section コンプライアンス タイプ 推奨ツール Technical: tool use サードパーティー製フォーマル等価性検証ツール Quartus II ソフトウェアは フォーマル等価性チェック機能を備えていません この機能を使用するには サードパーティ製のフォーマル等価性検証ツールを使用する必要があります このフローでは合成の最適化をオフにする必要があり Quartus II ソフトウェア内のサポートが限定的であるため アルテラではこの機能の使用は推奨していません 代わりに ゲート レベルのネットリスト シミュレーションを使用することで このアイテムを満たすようにします EDA Netlist Writer は 配置配線およびタイミング解析のステップからの入力を取り込み シミュレーションに向けてタイミングが調整されたゲート ネットリストを生成します この理由により ゲート ネットリスト生成前にこれらのステップを実行します フォーマル等価性検証およびサードパーティー製ツールの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 IC ベンダの要件と制約の確認 表 5-25: 合成 :IC ベンダの要件と制約の確認 ISO :2012: Table A.8 Ref 14: Documentation of Synthesis Constraints, Results and Tools ISO :2011 Section Compliance Type Suggested Tool Procedural: document check なし 安全性に関するデザインには入手可能な最新データおよび情報が使用されていることを確認してください Quartus II ソフトウェアの特定のバージョンではデザイン ライブラリおよびバイナリはスタティックですが 以下の項目には特に注意を払う必要があります ISO26262 に特化した FPGA デザイン用のテクニックと方法

125 MNL-1079 合成の制約 結果 ツールのドキュメンテーション 5-17 製品仕様変更通知 (PCN) この資料には ユーザーのデザインに影響を与える可能性のある FPGA の変更点が記載されています この資料は安全関連のデザインに特化して作成されるものではなく 一般的なデザインに向けて作成されます 安全関連のデザインへの影響を理解するには こうした変更点を分析する必要があります PCN のリストについては アルテラまで問い合わせください シリコン信頼性レポート このパッケージに含まれるアルテラのシリコン信頼性レポートは レポート公開時のものです レポートの数値は デザインに必要な計算の基礎として使用することができます ただし 認定を目的としてデザインを提出する前に 最新の数値についてはアルテラまでお問い合わせください このデータは通常 年 2 回更新されます 注意 : アルテラは 一定の信頼レベルを持って信頼性レポートのデータを計算しています プロジェクトで使用する信頼性レベルの計算を再度実行します SEU(Single Event Upset) データ システムの安全性の計算には この情報が使用されます この情報をリリースする前に秘密保持契約 (NDA) を結ぶ必要があります 認定を目的としてデザインを提出する前に 最新の数値についてはアルテラまで問い合わせください 合成の制約 結果 ツールのドキュメンテーション 表 5-26: 合成 : 合成の制約 結果 ツールのドキュメンテーション ISO :2012: Table A.8 Ref 14: Documentation of Synthesis Constraints, Results and Tools ISO :2011 Section コンプライアンス タイプ 推奨ツール Procedural: document check なし タイミング制約の適用 正確なタイミング制約の生成と維持は FPGA デザインと ASIC デザインにおいて重要です Quartus II ソフトウェアは Synopsys Design Constraints(.sdc) ファイルのタイミング制約をサポートしています FPGA と ASIC 業界では この業界標準の制約の形式が広く採用されています 以下の段階でタイミング制約を適用します 合成 タイミング制約は デザインの重要な領域のタイミングに重点を置くよう Quartus II の合成を駆動します これはフローのオプション部分ですが パフォーマンスを向上させ デザインのロジック使用率を低下させます タイミング解析 Quartus II フローのタイミング解析部は (TimeQuest で ) タイミング制約を使用しいます フロー内のこの重要な局面で デザインの仕様要件で指定されるタイミング パラメータをデザインが満たしていることを確認します デザインが制約を満たしていない場合は ハードウェアで実行する際にデザインが正常に動作しない場合があります ISO26262 に特化した FPGA デザイン用のテクニックと方法

126 5-18 一般的なデザイン制約の適用 標準的なテキストエディタを使用して.sdc ファイルの生成と編集を実行することができます TimeQuest ツールは 制約の生成に役立つツールを備えています 通常 デザインには特定のモジュールへの情報を含む.sdc ファイルが複数含まれています TimeQuest Timing Analyzer ツールおよび制約の生成方法の詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 TimeQuest Timing Analyzer: Native SDC Support for Timing Analysis of FPGA-Based Designs White Paper も参照してください 一般的なデザイン制約の適用 The Quartus II 設定ファイル (.qsf) 内には一般的なデザイン制約が格納されています デザインの制約は デザインの動作および性能に大きな影響を与えます 制約は デザイン ファイルと同じく 慎重に制約を適用する必要があります 以下の操作を.qsf ファイルあるいは.sdc ファイルで必ず実行してください プロジェクト リビジョン コントロール システムに制約を含めます デザイン ファイルで制約のデザイン レビューを実行します. 合成結果のドキュメンテーション Quartus II ソフトウェアは コンパイル フローの様々な段階で有用なレポート ファイルを多数生成します これらのプレーン テキスト ファイルは 様々なツールでそれぞれの手順が実行されると上書きされます 中間レポート ファイルをアーカイブしたい場合は プレース プロシージャに保存します レポート ファイルを含む すべてのプロジェクト ファイルの出力場所を指定することができます この設定は 他のプロジェクトに関連するファイルから生成されたファイルを分離する場合に役立ちます Quartus II ソフトウェアでこのオプションを設定するには Assignments > Settings > Compilation Process Settings の順でクリックします Proven in Use( 使用実績のある ) 合成の適用 MNL-1079 表 5-27: 合成 :Proven in Use( 使用実績のある ) の適用 ISO :2012: Table A.8 ISO :2011 コンプライアンス タイプ推奨ツール なしなし Procedural: tool specification Quartus II の統合合成 分析と合成プロセスにより FPGA ロジック エレメントにマッピングされるエレメントにロジック ファンクションが変換されます 合成プロセスは 以下の機能を実行します ISO26262 に特化した FPGA デザイン用のテクニックと方法

127 MNL-1079 Proven in Use( 使用実績のある ) 合成の適用 すべてのデザイン ファイルの構文をチェックします 2. デザイン階層を詳細に調査し 展開します 3.(V)HDL ロジックを FPGA ロジック エレメントへ変換します 4. FPGA ロジック エレメント内の完全なデザインとロジック接続を表現するデザイン データベースを作成します 注意 : ステップ 1) と 2) は Quartus II Analysis and Elaboration プロセスを構成しますが これは V モデルのコーディング ステップの一部を形成します 分析と合成により デザイン エンティティもしくはプロジェクト階層内のすべてのデザイン ファイルを統合する単一のプロジェクト データベースが構築されます Quartus II ソフトウェアはこのデータベースを使用し 残りのプロジェクト処理を実行します その他のコンパイラ モジュールは データベースに充分に最適化されたプロジェクトが含まれるまでデータベースを更新します 合成プロセスが (V)HDL コードを変換するため 安全性の開発において使用する言語とそのバージョンをデザインの要求の仕様で定義する必要があります アルテラでは 開発者が言語とバージョンを定義する際 プロジェクト全体を通してそれらを使用することを想定しています Quartus II ソフトウェアは混合言語をサポートするため 異なる言語が使用されるデザイン ファイルのサポートが可能です 例えば サードパーティ製の IP コアが使用可能です 選択する言語は ロジック シミュレータといったサードパーティー製ツールにおいてもサポートされていることを確認しておく必要があります Quartus II 開発フロー内では 多くのサードパーティ合成ツールが使用可能です アルテラは 安全性に関連するデザインにおいてこれらのツールの適合性は評価していません このため サードパーティー製ツールに対しては独自の評価を実行する必要があります proven-in-use 合成の特定の要件に関しては アルテラは論理合成テクノロジの開発で長い歴史を持っています アルテラは 内部モジュールと完全なデザイン フローに数多くのテストを実行しています また アルテラは proven in use claim をサポートするにあたって十分な使用データとマーケット データを有しています 注意 : 合成や配置配線ステージの結果を表示するには Quartus II Netlist Viewer を使用します Netlist Viewer はツールの出力をグラフィカルに表示するため ツールの出力を視覚的に確認することができます 標準の Quartus II フローにサードパーティ合成ツールを統合する方法については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 Netlist Viewer テクノロジの詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 19 章 :Quartus II Netlist Viewer を使用したデザインの解析 ISO26262 に特化した FPGA デザイン用のテクニックと方法

128 5-20 Proven in Use( 使用実績のある ) ライブラリ /CPLD テクノロジの適用 Proven in Use( 使用実績のある ) ライブラリ /CPLD テクノロジの適用 MNL-1079 表 5-28: 合成 :Proven in Use( 使用実績のある ) ライブラリ /CPLD テクノロジの適用 ISO :2012: Table A.8 ISO :2011 コンプライアンス タイプ推奨ツール なしなし Procedural: tool specification Quartus II の統合合成 Quartus II ソフトウェアには アルテラ CPLD ベースと FPGA ベースのプロダクトの両方のコンパイルに必要な合成ライブラリがすべて含まれています このようなアルテラ プロダクトをターゲットとするデザインのコンパイルには 必ず Quartus II ソフトウェアを使用してください アルテラは Quartus II ソフトウェア proven-in-use のエビデンスとして使用可能なテスト データおよび使用データを十分に有しています スクリプト ベースの手順 表 5-29: 合成 : スクリプト ベースの手順 ISO :2012: Table A.8 Ref 15: Script based procedures ISO :2011 Section コンプライアンス タイプ 推奨ツール Technical: tool use Quartus II Tcl スクリプティング フロー Quartus II ソフトウェアは Tcl( ツール制御言語 ) スクリプトを幅広くサポートしています アルテラはコンパイル プロセスのそれぞれの部分でスクリプト制御を提供しています 堅牢で繰り返し実行が可能なコンパイルが可能であるため スクリプト化されたフローを使用してください 以下に挙げる特有の適用性があります Quartus II プロジェクトの管理 制約の定義 ( タイミングおよびデバイス レベル ) コンパイル フローの実行 タイミング解析 ISO26262 に特化した FPGA デザイン用のテクニックと方法

129 MNL-1079 適切なタイミング マージン 5-21 レポートの生成と解析 テストの実行 テストの出力の解析とレポート さらに Quartus II ソフトウェアは Tcl コマンド実行のためのインタラクティブ モードをサポートします Altera FPGA デザイン フローの一部としての Tcl スクリプティングについての情報は Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 2: デザインの実装と最適化 第 3 章 :Tcl スクリプト 適切なタイミング マージン 表 5-30: 合成 : 適切なタイミング マージン ISO :2012: Table A.8 Ref 16: Adequate time margin for process technologies in use for less than 3 years ISO :2011 Section コンプライアンス タイプ 推奨ツール Technical: tool use Quartus II TimeQuest クロック不確実性の制約をデザインへ適用することで この条項を満たさなければなりません デザインへのクロック制約は project.sdc ファイル内に存在します 最大のタイミングにマージンを適用するために セットアップ不確実性の制約はサイクルの早い段階で効果的なクロック ラッチ エッジをもたらします 最小のタイミングにマージンを適用するために ホールド不確実性の制約はサイクルの遅い段階で効果的なクロック ラッチ エッジをもたらします どちらの制約も効果的なデータ有効ウィンドウ (Effective data valid window) を減少させる 必要とされる追加のマージンを提供します ISO26262 に特化した FPGA デザイン用のテクニックと方法

130 5-22 クロック不確実性制約の適用 図 5-1: データ有効ウィンドウでのクロック不確実性の効果 MNL-1079 Hold uncertainty 100 ps Setup uncertainty (>20% of clock cycle) Clock D a ta Effective data valid window Nominal/Perfect clock edge Effective clock edge クロック不確実性制約の適用 1. セットアップ タイミングには クロックのセットアップ タイムに対し 20% のクロック不 確実性の制約を適用します set_clock_uncertainty to {<user clock>} setup <uncertainty> 2. ホールド タイミングには ホールド タイミングはクロックの周波数に依存していないため クロック周期の 20% の追加は適用されません 安全性を確保するには 100 ps のホールド タイムを追加します 3. ベース クロックには以下の設定を適用します set_clock_uncertainty to {<user clock>} hold <original hold uncertainty + 0.1> 4. 派生 PLL クロックには以下の設定を適用します set_clock_uncertainty to {<user clock>} hold 0.1 -add 例 : Clock name = pllclk[1] Frequency = 100 MHz Period = 10 ns Setup uncertainty = 10 ns の 20% = 2 ns Hold uncertainty = 100 ps = 0.1 ns set_clock_uncertainty -to { u_alt_pll altpll_component pll clk[1] } - setup 2 set_clock_uncertainty -to { u_alt_pll altpll_component pll clk[1] } - hold デザインにスラックの追加が必要であるかを判断します a. 選択したデバイスのプロセス テクノロジを把握します 対象のデバイス ファミリがリリースされた日付は アルテラがこのテクノロジ ノードの最初のサンプルを受け取った日付を反映しています b. このプロセスが生産段階で最初に使用された日付を検索します c. 検索した日付から数えて 使用する認定が 3 年以内のものであるかを確認し 使用するプロセス テクノロジに対し 追加のスラック (>20%) を適用するかどうかを決定します ISO26262 に特化した FPGA デザイン用のテクニックと方法

131 MNL-1079 アルテラ デバイス ファミリのリリース年度表 5-23 タイミング解析およびクロック不確実性の適用に関する詳細情報については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 関連情報 5-23 ページのアルテラ デバイス ファミリのリリース年度表 アルテラ デバイス ファミリのリリース年度表 表 5-31: Cyclone ファミリのリリースデバイス ファミリ リリース年度 プロセス テクノロジ (nm) Cyclone VE 2012(3 月 ) 28LP Cyclone V SX 2012(12 月 ) 28LP 表 5-32: 最初に使用されたプロセス プロセス テクノロジ (nm) 最初に使用された年度 28HP/LP 2011(4 月 ) テストの挿入とテスト パターンの生成 テスト容易化設計 (DFT) 表 5-33: テストの挿入 :DFT ISO :2012: Table A.8 Ref 17: Design for testability(depending on the test coverage in percent) ISO :2011 Section Compliance Type Suggested Tool Procedural: coding style なし テストできないストラクチャおよび完全でないテスト ストラクチャを低減させる方法をデザイン内に採用すべきです ISO26262 に特化した FPGA デザイン用のテクニックと方法

132 5-24 配置 配線 レイアウトの生成 Quartus II ソフトウェアは テストすることが困難な特定のストラクチャを含むデザインの解析に役立ちます 例えば Quartus II ソフトウェアはデザイン ファイルのラッチ推測に警告を示します 詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 14 章 : 推奨 HDL コーディング スタイル MNL-1079 配置 配線 レイアウトの生成 ISO :2012 表 A.8 の 3 つ目のセクションには 配置 配線 レイアウトの手順について記載されています これらのトピックでは 表 A.8 の各項目を満たす際に アルテラのツールやプロセスを適用可能であるかどうかについて記述しています アルテラは FPGA の開発段階でこれらの項目の多くを実行しており これらのプロダクトのユーザーとは低い関連性を持ちます 使用実績のある適用されたハード コアの正当性 表 5-34: 使用実績のある適用されたハード コアの正当性 ISO :2012: Table A.8 ISO :2011 コンプライアンス タイプ推奨ツール なしなし Procedural: data collection なし アルテラは広範囲に及ぶ検証とテストの後でのみ FPGA 製品を製造工程へとリリースします アルテラはまた 市場で期間や販売台数の結果として生産に関する広範な経験を持っています 検証済みのハード コアの適用 表 5-35: 検証済みのハード コアの適用 ISO :2012: Table A.8 ISO :2011 コンプライアンス タイプ推奨ツール なしなし Procedural: core specification なし ISO26262 に特化した FPGA デザイン用のテクニックと方法

133 MNL-1079 レイアウト後のゲート ネットリスト シミュレーション 5-25 アルテラは広範囲に及ぶ検証とテストの後でのみ FPGA 製品を製造工程へとリリースします アルテラはまた 市場で期間や販売台数の結果として生産に関する広範な経験を持っています レイアウト後のゲート ネットリスト シミュレーション 表 5-36: レイアウト後のゲート ネットリスト シミュレーション ISO :2012: Table A.8 Ref 21: Simulation of the gate netlist after layout, to check timing constraints, or static analysis of the propagation delay(sta) ISO :2011 Section Compliance Type Suggested Tool Technical: tool use サードパーティー製シミュレータによってサポートされます 表 5-37: 伝播遅延の STA ISO :2012: Table A.8 Ref 21: Simulation of the gate netlist after layout, to check timing constraints, or STA of the propagation delay ISO :2011 Section Compliance Type Suggested Tool Technical: tool use Quartus II TimeQuest Quartus II ソフトウェアは TimeQuest Timing Analyzer を搭載しており このツールは STA を実行します この包括的なツールは タイミング制約と適切な回路の遅延モデルを使用して完全なチップ デザインを解析します ハードウェアに実装されるタイミング制約は 回路の正しい動作に重要な役割を持ちます アルテラは回路遅延のモデルを提供しており これらは Quartus II ソフトウェアの特定のインストールに含まれています 一部のデザイン フローとサインオフは TimeQuest レポート ファイルが timing clean なデザイン ( 制約に違反がないデザイン ) であることを確実にします TimeQuest ツールの詳細な解説は本資料には含まれません TimeQuest Timing Analyzer の詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 3: 検証 ISO26262 に特化した FPGA デザイン用のテクニックと方法

134 5-26 パワー ネットワークの解析 パワー ネットワークの解析 MNL-1079 表 5-38: パワー ネットワークの解析 ISO :2012: Table A.8 Ref 22: Analysis of power network ISO :2011 Section Compliance Type Suggested Tool Technical: tool use Quartus II PowerPlay パワー アナライザ Quartus II の PowerPlay パワー アナライザは 初期のデザイン コンセプトの初期からデザインの実装段階までの消費電力の見積もりを可能とします リファレンス モデルとレイアウト後のゲート ネットリストの比較 表 5-39: リファレンス モデルとレイアウト後のゲート ネットリストの比較 ISO :2012: Table A.8 Ref 23: Comparison of the gate netlist after layout with the reference model(formal equivalence check) ISO :2011 Section Compliance Type Suggested Tool Technical: tool use サードパーティー製フォーマル等価性検証ツール デザイン ルール チェック 表 5-40: デザイン ルール チェック ISO :2012: Table A.8 Ref 24: Design rule check(drc) ISO :2011 Section Compliance Type Procedural ISO26262 に特化した FPGA デザイン用のテクニックと方法

135 MNL-1079 Layout Versus Schematic(LVS) チェック 5-27 Suggested Tool なし この項目では アルテラが FPGA デザインに実行するデザイン ルール チェッキングについて記載しています この項目に対するユーザーによる操作は不要です uired for this item. Layout Versus Schematic(LVS) チェック 表 5-41: CRC チェック ISO :2012: Table A.8 Ref 25: LVS check ISO :2011 Section Compliance Type Suggested Tool Procedural Quartus II FPGA のエレメント間に存在する接続はすべてアルテラによるルーティングおよびチェックが実行済です コンフィギュレーションだけがデータの実際のパスを決定します アルテラは LVDS チェックをサポートしていません Quartus II ソフトウェアの Chip Planner は チップ上の異なるエレメント間の接続を視覚化することが可能であるため 正確であることを手動で分析することができます このツールには デザイン内のパスの探索など 様々なタスクに向けてのコンフィギュレーション オプションが含まれています Chip Planner の詳細については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 2: デザインの実装と最適化 第 15 章 :Chip Planner を使用したデザイン フロアプランの解析および最適化 チップ生産段階の安全性に関連する特殊な特性 ISO :2012 表 A.8 の次のセクションには 生産アイテムについて記載されています アルテラは FPGA の生産段階でこれらの項目の多くを実行しており これらのプロダクトのユーザーとは低い関連性を持ちます 以下のトピックでは アルテラの生産プロセスについて紹介します ISO26262 に特化した FPGA デザイン用のテクニックと方法

136 5-28 Proven in Use( 使用実績のある ) プロセス テクノロジの適用 Proven in Use( 使用実績のある ) プロセス テクノロジの適用 MNL-1079 表 5-42: 製造 :Proven in Use( 使用実績のある ) プロセス テクノロジの適用 ISO :2012: Table A.8 ISO :2011 Compliance Type Suggested Tool なしなし Procedural: device selection specification なし アルテラは広範囲に及ぶ検証とテストの後でのみ FPGA 製品を製造工程へとリリースします アルテラはまた 市場で期間や販売台数の結果として製造に関する広範な経験を持っています また アルテラは同様に広範な顧客ベースを持つ TSMC へ製造を委託しています Proven in Use( 使用実績のある ) デバイス シリーズ 表 5-43: 製造 :Proven in Use( 使用実績のある ) デバイス シリーズ ISO :2012: Table A.8 ISO :2011 Compliance Type Suggested Tool なしなし Procedural: selection of appropriate design team なし この実行には FPGA ユーザのアプリケーションに関する十分な経験を必要とします セーフティ プロジェクト チームを編成する際は この手続き型手法を考慮してください 使用実績のある製造工程の適用 表 5-44: 製造 : 使用実績のある製造工程の適用 ISO :2012: Table A.8 ISO :2011 なし なし ISO26262 に特化した FPGA デザイン用のテクニックと方法

137 MNL-1079 製造工程における品質管理 5-29 Compliance Type Suggested Tool Procedural: device selection specification なし アルテラは広範囲に及ぶ検証とテストの後でのみ FPGA 製品を製造工程へとリリースします アルテラはまた 市場で期間や販売台数の結果として生産に関する広範な経験を持っています また アルテラは同様に広範な顧客ベースを持つ TSMC へ生産を委託しています 製造工程における品質管理 表 5-45: 生産 : 製造工程における品質管理 ISO :2012: Table A.8 ISO :2011 Compliance Type Suggested Tool なしなし Procedural: device selection specification なし アルテラは ISO 9001:2008 規格を満たす品質システムを有しており アイルランド規格協会 (NSAI) による定期的な監査を受けています この認証のコピーについては アルテラのウェブサイトを参照してください 品質の証明書の他にも アルテラは当社のサプライヤーが業界で認知されている規格に適合していることを確認しています アルテラは 当社の主要サプライヤーの品質プロセスとパフォーマンスの年次評価を行っています アルテラは アルテラの最終製品がこの品質を継続的に維持していることを確認するために定期的 ( 毎週または毎月 ) に検討会を開催しています アルテラは コンピュータ化された是正措置システムにてこの評価結果と進行中のアイテムを記録します アルテラ社員は通常 ウェハーおよびパッケージング下請け業者の現場におり また TSMC および Amkor Technology 社の社員も週労働時間中に複数回アルテラに来社します アルテラが提携するシリコン プロバイダ (TSMC) は 以下の規格の認証を取得しています ISO 9001:2008 ISO 14001:2004 ISO/TS 16949:2009 アルテラが提携するパッケージング サプライヤ (AMKOR Technology) は以下に挙げる品質認証を取得しています ISO 9001:2008 ISO 14001:2004 ISO/TS 16949:2009 ISO26262 に特化した FPGA デザイン用のテクニックと方法

138 5-30 システム内の FPGA プロトタイプの最終的な確認および検証 アルテラが提携するパッケージング サプライヤ (ASE Group) は以下に挙げる品質認証を取得しています ISO 9001:2008 ISO 14001:2004 ISO/TS 16949:2009 IECQ QC :2005 関連情報 Altera reliability certificate TSMC quality and reliability web page Amkor Technology quality management web page ASE Group quality policy web page システム内の FPGA プロトタイプの最終的な確認および検証 MNL-1079 表 5-46: 生産 : 製造工程における品質管理 ISO :2012: Table A.8 ISO :2011 Compliance Type Suggested Tool なしなし Procedural: Running of hardware validation なし このユーザーによる手続き型手法に対して アルテラが推奨するツールもしくはプロセスはありません 最終的な検査と検証 表 5-47: 生産 : 製造工程における品質管理 ISO :2012: Table A.8 ISO :2011 コンプライアンス タイプ推奨ツール なしなし Procedural なし このユーザーによる手続き型手法に対して アルテラが推奨するツールもしくはプロセスはありません ISO26262 に特化した FPGA デザイン用のテクニックと方法

139 アルテラ ツールおよびソフトウェアの既知の問題 6 MNL-1079 更新情報 Quartus II ソフトウェア IP コア および Nios II ソフトウェア ビルド ツールに関する既知の問題については アルテラ ナレッジベースのページを参照してください Quartus II ソフトウェアに関する既知の問題については を参照してください IP コア および Nios II ソフトウェア ビルド ツールに関する既知の問題については を参照してください 関連情報 Altera Knowledge Base Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134

140 Development Interface Agreement( 開発協働契約書 ) 7 MNL-1079 更新情報 Development Interface Agreement には アイテムおよびエレメントの配布された開発に対するカスタマーおよびサプライヤの責任と行動が記載されています Cyclone V デバイスおよび Cyclone V のアプリケーションの開発に使用されるツールは Safety Element out of Context (SEooC) として開発され 特定のユース ケースに向けたものではありません このトピックでは 商用オフザシェルフ (COTS) 製品を使用する際に アルテラが提供する成果物について説明します 安全管理者 Altera Automtoive Safety Manual に記載されたツールは その基本的な形を変えず長年にわたって存在しており 新しい機能や修正によってのみ定期的に更新されます このようなツールは以前から IEC61508:2010 で評価されており 今後は ISO26262: による評価が計画されています ツールの開発に特化して選定された安全管理者は存在しません IEC61508:2010 の評価で示されているように 決定論的原因フォールトの回避に向けて適切なプロシージャが用意されています これらの処理方法への順守は 部門責任者と品質組織によって管理されます Cyclone V デバイスは ISO26262 規格が 2011 年 11 月に公開される前に開発が開始されました ツール開発に関しては アルテラの FPGA 製品が安全性を重視するアプリケーションでの使用に適合していることが IEC61508 の評価により示されています Cyclone V デバイスの製品開発中に安全管理者は選任されていません 決定論的原因フォールトの回避とは アルテラの標準的な開発プロセスの一部であり それぞれの部門責任者は定義された処理方法の順守に関して責任を負います アルテラは 製造および残りの製品ライフサイクルの公開について安全管理者を選任しています Cyclone V および専用ツールを使用する予定がある新規カスタマーの開発であれば アルテラはアプリケーション開発段階でカスタマーの安全管理者と協働して開発を行う安全管理者をアルテラから選任することができます Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134

141 7-2 安全性ライフサイクル MNL-1079 安全性ライフサイクル アルテラ製品は SEooC として開発されています 開発に使用されるプロセスは IEC61508:2010 に準拠しています アルテラは要件や機能を確立する目的で 安全性を重視する特定のアプリケーションに数年にわたって製品を出荷することで得られた経験から 製品の意図される使用方法を理解しています アルテラは 業界の数社のカスタマーと共にこうした前提を確立しました アルテラは FMEDA で提示されている質的な失敗の分析を実行しています 信頼性の予測は アルテラの内部評価と業界標準のモデルの両方を使用して作成されています アルテラが行う活動およびお客様の責任 このトピックでは アルテラが安全性ライフサイクルで実行する活動 アルテラがカスタマーに提供可能なサポート およびアルテラがカスタマーによって実行されることが期待される活動を定義します 表 7-1: 安全性ライフサイクル活動の責任の定義 安全性ライフサイクル活動アルテラ顧客側の作業 機能安全のマネジメントありあり アイテムの定義なしあり 危害分析およびリスク分析なしあり 機能安全コンセプト SEooC あり システム レベルでの製品開発 なし あり 技術的な安全要件の仕様 SEooC あり アイテムの設計なしあり HPS のハードウェア要件の仕様 FPGA のハードウェア要件の仕様 あり なし なし あり HPS ハードウェア設計ありなし FPGA ハードウェア設計サポート提供あり Development Interface Agreement( 開発協働契約書 )

142 MNL-1079 アルテラが提供する情報 7-3 安全性ライフサイクル活動アルテラ顧客側の作業 HPS ハードウェア設計の検証ありなし FPGA ハードウェア設計の検証 HPS アーキテクチャ メトリクスの評価 FPGA アーキテクチャ メトリクスの評価 なし サポート提供 サポート提供 あり あり あり 安全目標違反の評価 なし あり ソフトウェア開発 サポート提供 あり アイテムの統合とテスト なし あり 安全性評価 サポート提供 あり 生産の開始 サポート提供 あり 生産 保守 廃棄 サポート提供 あり 使用されるソフトウェア ツールの認証 サポート提供 あり アルテラが提供する情報 次の表は カスタマーが行う安全性の開発に向けてアルテラが提供する情報を示しています 表 7-2: アルテラが提供する情報 アルテラの情報 利用の可否 安全マニュアル ( 本書 ) FMEDA の要約 FMEDA の詳細情報評価認証 公開情報公開情報 NDA: 要購入 NDA: 要購入 Development Interface Agreement( 開発協働契約書 )

143 7-4 活動の責任当事者 MNL-1079 活動の責任当事者 アルテラは アルテラが行う活動およびお客様の責任で定義された活動を実行するために アイテム開発中に顧客と緊密に連携することができます 責任当事者と交流は カスタマーと定義することが可能です 目標値についての情報交換 アルテラは FMEDA の定量的安全解析の値を提供します カスタマーは 独自のコンポーネントの統合に基づいて これらの目標値を調整することができます アルテラは カスタマーに対してアイテム レベルのハードウェア アーキテクチャ メトリクスを達成するためのストラテジーに関するサポートを提供することができます サポートのプロセスとツール アルテラは以下のツールをカスタマーに提供します 表 7-3: プロセスとツール出力形式 プロセスとツール 出力形式 安全マニュアル FMEDA の要約 FMEDA の詳細情報 Quartus II ソフトウェア PDF PDF Microsoft Excel 各種 Development Interface Agreement( 開発協働契約書 )

144 Nios II プロセッサを使用したソフトウェア開発 8 MNL-1079 更新情報 以下のトピックでは 安全アプリケーションに向けて Nios II プロセッサを使用してソフトウェアを開発するにあたって必要な手順の概要を紹介します 安全ソフトウェア開発のための完全な要件については ISO :2011 を参照してください Qsys を使用した Nios II システムの作成 この段階では カスタマーのシステム デザインで必要となるコンポーネントに Nios II プロセッサを接続することで Nios II プロセッサ システムを作成します この段階では Qsy s を使用して ポーネント間に接続を作成し コンポーネント ベース アドレスを設定します システムの作成が成功すると Qsy s は.sopcinfo ファイルで Nios II システムの記述を提供します このタスクは ハードウェア デザインのロジック モジュール統合ステップの一部として実行します このタスクは 詳細なモジュール要求の仕様を持つ FPGA アーキテクチャの記述からの情報を使用しています 推奨ツール : Qsys Qsys で Nios II システム作成の完全な記述方法については Quartus II Software Handbook v14.1 の以下のトピックを参照してください Volume 1: 設計と合成 第 7 章 :Qsys を使用したシステムの作成 Nios II システム用のボート サポート パッケージの作成 このステップでは Nios II システム用にボード サポート パッケージ (BSP) を作成します BSP には Nios II システム内のハードウェア コンポーネントに関する情報が含まれています また ソフトウェア プログラマが Nios II システムのハードウェア コンポーネントにアクセスすることが可能となります BSP には Nios II システムが必要とする HAL コンポーネント ソフトウェア ドライバ システム ヘッダ ファイルが含まれています さらに このステップでは正しい依存関係を持つ makefile が作成されます この makefile により 必要に応じて BSP を再度構築することが可能となります Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134

145 8-2 アプリケーション フレームワークの作成 アルテラが提供するライブラリから Nios II システムに含めるコンポーネント用のソフトウェア ドライバを選択します 別の安全性に関する認証が必要となるため ドライバの変更 もしくは他のドライバの使用は避けてください 推奨ツール : Nios II ソフトウェア ビルド ツール GUI Nios II ソフトウェア ビルド ツール BSP ウィザード Nios II ソフトウェア ビルド ツール ビルド スクリプト 検証手順 生成された system.h ファイルが正しいベース アドレスを持っていることを確認します Qsys GUI でクロス チェックするか あるいは.sopcinfo ファイルを設計します 生成された system.h ファイルがすべてのコンポーネントに対してヘッダ コードを持っていることを確認します Qsys GUI でクロス チェックするか あるいは.sopcinfo ファイルを設計します コンポーネントのドキュメント (Qsy s コンポーネント GUI 内の記述 ) を参照して コンポーネント設定は正しいことを確認します 生成された alt_sys_init.c ファイルを確認します ファイルに誤りがないことを確認するために手動で検査を行います ( このファイル内の設定が持つ影響については Nios II 関連資料を参照して下さい ) BSP 作成の詳細については Nios II Classic Software Developer's Handbook の以下のトピックを参照してください 第 2 章 : グラフィカル ユーザー インタフェースのガイドライン 第 4 章 :Nios II ソフトウェア ビルド ツール MNL-1079 アプリケーション フレームワークの作成 このステップでは 前のステップで作成した BSP に接続するソフトウェア アプリケーション フレームワークを作成します このフレームワークには ターゲットとする Nios II システムに向けたソフトウェアのビルドに必要なすべてのへのリファレンスを含む makefile の例およびアプリケーション コードが最終的に含まれます アプリケーション テンプレートを選択する場合は 不要なコードまたは識別できないコード ( 例 : オペレーティング システム ) を含むテンプレートは選択しないでください アプリケーションに対しては 空白のテンプレートを選択します 推奨ツール : Nios II ソフトウェア ビルド ツール GUI Nios II ソフトウェア ビルド ツール ビルド スクリプト 検証手順 生成された makefile を確認します makefile に必要ながすべて含まれていることを手動で検査します BSP エディタ GUI を使用して アプリケーションに含まれているとライブラリを確認します Nios II プロセッサを使用したソフトウェア開発

146 MNL-1079 アプリケーション ソフトウェアの開発 8-3 詳細については Nios II Classic Software Developers Handbook を参照してください 第 1 章 :Nios II Embedded Development の概要 第 2 章 : グラフィカル ユーザー インタフェースのガイドライン アプリケーション ソフトウェアの開発 このステップでは 安全アプリケーションのコードを開発します このコードは Nios II SBT Eclipse 環境で実装可能で ビルトイン エディタといったアイテムを使用することができます 推奨ツール Nios II ソフトウェア ビルド ツール GUI:Integrated editor 詳細については Nios II Classic Software Developers Handbook を参照してください 第 1 章 :Nios II Embedded Development の概要 第 2 章 : グラフィカル ユーザー インタフェースのガイドライン ソフトウェアとハードウェアの統合 Nios Ii ソフトウェア ビルド ツール環境を使用すれば ターゲット デバイスで動作するソフトウェアをデバッグすることができます これにより code breakpoint step into function step over function の設定が可能となります これとは別に ハードウェアのロード可能なプログラミング ファイルの作成も可能であり デバッガを接続しなくてもソフトウェアの検証が可能です 推奨ツール : Nios II ソフトウェア ビルド ツール GUI:Integrated editor 詳細については Nios II Classic Software Developer's Handbook を参照してください 第 2 章 : グラフィカル ユーザー インタフェースのガイドライン ISO26262 規格に含まれるツールとライブラリ 表 8-1: ISO26262 規格に含まれるツールとライブラリ 次の表は ISO26262: 規格の一部としてアルテラが認定しているツールおよびライブラリを示しています ツール名説明ツール タイプコード ベース BSP Wizard GUI ベース Qsys.sopcinfo ファイルより BSP を作成 TCL3 アルテラ BSP Editor GUI ベース BSP 設定を調整 TCL3 アルテラ Nios II プロセッサを使用したソフトウェア開発

147 8-4 ISO26262 規格に含まれないサードパーティー製ツールとライブラリ MNL-1079 ツール名説明ツール タイプコード ベース Nios II SW drivers Qsys コンポーネント用のソフトウェア ドライバのライブラリ ライブラリ アルテラ Nios II HAL Nios II プロセッサのハードウェア アブストラクション レイヤ (HAL) ライブラリ アルテラ Conversion Utilities 最終出力をフラッシュ プログラミング ファイルに変換 例 :.hex 形式など TCL3 アルテラ Build Scripts コマンド ライン Qsys.sopcinfo ファイルより BSP を作成 TCL3 アルテラ Debug Utilities システム デバッグを支援 例 :Nios2 terminal gdb server など TCL2 アルテラ ISO26262: 規格には ハードウェア ソフトウェア デバイス ドライバ HAL API レイヤのみが含まれます Nios II Classic Software Developer's Handbook の図 7-1 Layered Software Model を参照してください ISO26262: 規格にはこれ以外のレイヤは含まれません 使用に関する特定の制限については 第 7 章 :Developing Device Drivers for the Hardware Abstraction Layer を参照してください ISO26262 規格に含まれないサードパーティー製ツールとライブラリ Nios II ソフトウェア ビルド ツールは 以下のサードパーティー製ツールに依存していますが これらはアルテラの認定対象外です 製品の認証の一部としてこれらのツール ( および特定のバージョン ) に関する適合性のエビデンスを提供する必要があります 表 8-2: ISO26262 規格に含まれないツール ツール名ツール タイプコード ベース Eclipse Environment TCL2 / TCL1 Eclipse GNU Make TCL3 GNU GNU Compiler TCL3 GNU Nios II プロセッサを使用したソフトウェア開発

148 MNL-1079 ISO26262 規格に含まれないサードパーティー製ツールとライブラリ 8-5 ツール名ツール タイプコード ベース GNU Linker TCL3 GNU GNU Binutils TCL2 GNU Assembler TCL3 GNU デバッガ TCL2 GNU Newlib ライブラリ GNU Nios II プロセッサを使用したソフトウェア開発

149 サポートされる (V)HDL のバージョン MNL-1079 更新情報 アルテラのツールは (V)HDL の以下のバージョンをサポートしています VHDL 1987 VHDL 1993 VHDL 2008(IEEE Standard ) Verilog HDL 1995 Verilog HDL 2001 SystemVerilog HDL 2005( 合成サブセットのみ ) Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134

150 改訂履歴 10 MNL-1079 更新情報 表 10-1: 改訂履歴 日付 内容 Cyclone V FPGA の情報を追加 Quartus II ソフトウェア v14.1 のための更新 古いデバイスを削除 新しくサポートされるデバイスを追加 初版 Intel Corporation. All rights reserved. Intel, the Intel logo, Altera, Arria, Cyclone, Enpirion, MAX, Nios, Quartus and Stratix words and logos are trademarks of Intel Corporation or its subsidiaries in the U.S. and/or other countries. Intel warrants performance of its FPGA and semiconductor products to current specifications in accordance with Intel's standard warranty, but reserves the right to make changes to any products and services at any time without notice. Intel assumes no responsibility or liability arising out of the application or use of any information, product, or service described herein except as expressly agreed to in writing by Intel. Intel customers are advised to obtain the latest version of device specifications before relying on any published information and before placing orders for products or services. *Other names and brands may be claimed as the property of others. ISO 9001:2008 登録済 Innovation Drive, San Jose, CA 95134