電気ノイズによるマイクロコンピュータ...
TRANSCRIPT
-
電気ノイズによるマイクロコンピュータ障害分析のための改良 FMEA
山形賴之(主任研究員) 崔銀惠 Ling Fang 早水公二 田口研治
相馬大輔 大岩寛 独立行政法人 産業技術総合研究所
セキュアシステム研究部門
-
• 気象観測機器、工場内センサ群、地震計など
センサー
マイクロコンピュータ
電気ノイズ
サーバー
LAN等
センサネットワークと電気ノイズ
-
マイクロコンピュータの障害
1. 恒久的フォルト 2. ソフトウェアのバグ 3. トランジェントフォルト
-
マイクロコンピュータの障害
1. 恒久的フォルト 2. ソフトウェアのバグ 3. トランジェントフォルト
ハードウェア故障 確率的事象 詳細に検討されている
-
マイクロコンピュータの障害
1. 恒久的フォルト 2. ソフトウェアのバグ 3. トランジェントフォルト
ソフトウェア工学の対象 各種対策あり
-
マイクロコンピュータの障害
1. 恒久的フォルト 2. ソフトウェアのバグ 3. トランジェントフォルト
一時的な障害 1. 電気ノイズによるもの 2. 放射線 3. … あまり検討されていない
-
本研究の目的
対象:電気ノイズ 目的:マイクロコンピュータへの影響の分析
-
技法
• FMEA • FTA • イベントツリー
-
技法
• FMEA コンポーネントの故障モード
⇒マイクロコンピュータへの影響
• FTA • イベントツリー
-
技法
• FMEA • FTA
全体への影響⇒個別の事象• イベントツリー
-
技法
• FMEA • FTA • イベントツリー
コンポーネントに分解しない
-
技法
• FMEA コンポーネントの故障モード
⇒マイクロコンピュータへの影響 状態変化、時間発展を考慮しない ⇒状態変化、時間発展をFMEA表に取り込む
• FTA • イベントツリー
-
コンポーネントの抽出
-
故障モードの抽出
シーケンサ +1ステップ進む キューのロスト
-
故障モードの抽出
レジスタ 値の変化
-
故障モードの抽出
バス 値の変化
-
故障モードの抽出
組み合わせ回路 考えない
-
改良FMEA
-
改良FMEAコンポーネント
-
改良FMEA故障モード
-
改良FMEAコンテキスト
-
改良FMEA直後の影響
-
改良FMEA 1サイクル後の影響
-
改良FMEA最終的な影響
-
結果
-
障害 説明 フェーズエラー 実行すべきプログラムのアドレスを示すプログラムカウ
ンタが誤った位置を指す。
例例外発⽣生 CPUが異常を検知し、CPUが例外を発生させる。 演算結果の異異常 演算結果が誤っている。 誤った⼊入出⼒力力データ 出力または入力されるデータが誤っている。 CPU動作停⽌止 CPUの演算順序を制御するシーケンサが誤った状態にな
るか、例外が例外を許容しないモードで発生し、CPUの演算が停止する。
メモリ内容の破壊 メモリ上にあるデータがノイズや CPUの異常な動作により破壊される。
動作遅延 マイクロコンピュータの動作が想定よりも遅延する。 必要な処理理が実⾏行行されない
本来行われるべき処理が行われないでスキップされる。
誤った内部状態 割込み制御レベルなどの重要なシステムパラメータが異常な値になる。
処理理の中断 リセットなどにより、MCUがリブートしその間処理が中断する。
⼊入出⼒力力の停⽌止 マイクロコンピュータが行うべき入出力が停止する。
-
センサーネットワークでの影響
障害 説明 フェーズエラー 無限ループにより測定が停止する。例外発生へ移行する場
合もある
例例外発⽣生 再起動により測定が中断する 演算結果の異異常 誤った測定値が送信される。 誤った⼊入出⼒力力データ 誤った測定値が送信される CPU動作停⽌止 測定が停止する。 メモリ内容の破壊 誤った測定値が送信される 動作遅延 測定データのロスト 必要な処理理が実⾏行行されない
測定データのロスト
誤った内部状態 測定の停止 処理理の中断 測定が中断する ⼊入出⼒力力の停⽌止 測定の停止
-
まとめ
• 電気ノイズによるマイクロコンピュータの障害の分析 – FMEAを改良
• 対策すべき11の障害の列挙 • FMEA表
http://staff.aist.go.jp/yoriyuki.yamagata/documents/2014/MCU-FMEA.pdf
-
将来研究
• 故障モードの発生確率の計算 – べき乗則
• 影響の発生確率の計算 • 対策の検討
– ウォッチドッグタイマ – 多重化 – FUJIMI
• ダイアグカバレッジの計算
-
謝辞
• 株式会社エルイーテック • システム・コンサルタンツ株式会社