5 AM243x および AM64x：安全診断および例

テキサス・インスツルメンツの AM243x マイクロコントローラおよび AM64x プロセッサは、プログラマブル ロジック コントローラ (PLC)、モーター制御、産業用通信ゲートウェイ、ロボティクスなど、幅広いアプリケーションで機能安全をサポートするように特別に設計されています。AM243x および AM64x シリーズには、SIL-2 のランダム故障耐性 (≤ 100 FIT の検出されない危険な故障) および SIL-3 の決定論的能力に準拠することを目標としたデバイス オプションがあります。システム レベルでは、AM243x および AM64x を外部セーフティー プロセッサと組み合わせることで、システム インテグレータが SIL-3 HFT = 1 まで達成できるよう支援できます。ハードウェア故障耐性 (HFT) = 1 とは、シングル ポイント ハードウェア故障が発生した場合でも、システムが安全コンセプトを維持できることを意味します。

SIL-2 のランダム故障メトリクスに応じて、AM243x および AM64x は安全診断を広範に活用しています。デバイス レベルの安全診断は、図 5-1 に示すように、3 つのカテゴリに分類されます。

図 5-1 安全診断カテゴリ

SECDED (Single-Error Correcting Double-Error Detecting：シングル エラー訂正およびダブル エラー検出) は、メモリ エラーの検出に使用される一般的なハードウェア診断機能です。この診断機能は名前が示すとおりに、1 ビットのメモリ エラーを訂正し、2 ビットさらには一部の 3 ビットのメモリ エラーを検出するというものです。AM243x と AM64x のどちらも、すべてのオンチップ メモリに SECDED が搭載されています。

CRC (Cyclic Redundancy Check：巡回冗長性検査) は、データ転送エラーを検出するために使用されるソフトウェア診断です。CRC 値は、転送前にデータ パケットに基づいて計算され、受信側で再計算されます。計算値が一致しない場合は、転送中にデータが破損しています。どちらの計算もソフトウェアで行われ、ソフトウェアの実装はシステム インテグレータが行います。

ハードウェアとソフトウェアの診断を組み合わせた例として、内部ウォッチドッグ タイマがあります。ウォッチドッグ タイマはシリコンで実装されたカウンタで、初期値からゼロまでカウントダウンします。監視対象のプロセッサは、定期的にウォッチドッグ タイマをリセットするプログラムを実行し、タイマがゼロにならないようにします。ウォッチドッグがゼロになった場合、プロセッサがロックしており、リセットする、安全な状態にする、またはリセットして安全な状態にする必要があると想定されます。

すべての安全故障は AM64x および AM243x のエラー シグナリング モジュール (ESM) に集約され、中央集中型の故障管理および報告システムを実現しています。ESM モジュールは重大度に基づいてエラーを分類し、システム インテグレータが各エラーに対する応答をプログラムできるようにします。応答オプションには、安全エラー ピン (図 6-3) のアサート、高優先度または低優先度の割り込みの生成、安全エラー ピンのアサートと割り込みの生成があります。

AM243x および AM64x がサポートしているハードウェア診断とソフトウェア診断の一覧については、機能安全マニュアルを参照してください。