6 AM243x および AM64x：FFI サポート付きセーフティー MCU

AM243x および AM64x はどちらも、専用のメモリとペリフェラルを備えたオンチップ絶縁型 Arm® Cortex®-M4F プロセッサを搭載しています。セーフティー MCU として構成した場合、M4F を使用して、システムの SIL 評価をサポートするためにメイン処理ドメインを監視できます。

AM243x および AM64x を 2 番目のセーフティー MCU と組み合わせると、SIL-3 HFT = 1 評価のシステムまでサポートできます。2 番目のセーフティー MCU を追加することで、システムにハードウェア故障耐性が追加されます。2 つのセーフティー MCU は互いにクロスチェック計算を実行します。結果が一致しない場合は、2 つのプロセッサのいずれかを使用してシステムを安全な状態に移行できます。

2 つの外部セーフティー MCU を使用するのではなく、セーフティー MCU を統合することで、システム コストと基板面積を削減できます。図 6-1 に、2 つの外部セーフティー MCU を搭載した SIL-3 HFT = 1 のシステムを示します。図 6-2 は同じシステムを示していますが、セーフティー MCU のうちの 1 つが AM243x または AM64x コントローラに統合されています。

図 6-1 2 つの外部セーフティー マイクロコントローラを搭載した SIL-3 HFT = 1 のシステム

図 6-2 統合セーフティー マイクロコントローラと外部セーフティー マイクロコントローラを搭載した SIL-3 HFT = 1 のシステム

セーフティー MCU の統合には、いくつかの FFI (Freedom From Interference、無干渉) 技術を使用して、セーフティー MCU をメイン処理ドメインから隔離する必要があります。FFI とは、システム内の 2 つ以上の要素間にカスケード故障やカスケード依存関係の可能性がないことと定義されます。FFI は隔離の一形態です。

AM243x と AM64x の安全ドメインを隔離するためにファイアウォールとタイムアウト ガスケットを使用し、メイン ドメインで発生したイベントが安全ドメインに影響を及ぼさないようにします。タイムアウト ガスケットは、ドメイン間通信中にメイン ドメインで発生する故障から安全ドメインを保護します。セーフティー ドメインがメイン ドメインとのトランザクションを開始すると、ウォッチドッグ タイマが設定されます。トランザクションが完了する前にタイマが時間切れになった場合 (メイン ドメイン内での問題が原因)、バスのトランザクションはキャンセルされ、セーフティー ドメインがロックアップするのを防止します。メイン ドメインが応答しなくなった場合、セーフティー ドメインはアクティブ状態を維持しながらメイン ドメインをリセットできます。

ファイアウォールとセーフティー ガスケットに加えて、セーフティー ドメインの追加安全機能として、クロック喪失検出回路、誤ったクロック周波数を検出するためのデュアル クロック コンパレータ、バス トランザクションのパリティ、専用 I/O 電源レール、内蔵セルフ テスト (BIST) サポートがあります。

図 6-3 に、AM243x および AM64x セーフティー ドメイン、メイン ドメイン リセット、セーフティー エラー フラグ、デバイス リセット ピンを示します。重大なエラーが発生した場合、エラー フラグでパワー マネージメント IC (PMIC) または他のデバイスに信号を送信し、AM243x および AM64x デバイスのリセットを開始できます。

図 6-3 AM64x および AM243x のオンチップ セーフティー MCU