6 AM243x 和 AM64x：具有 FFI 支持的安全 MCU

AM243x 和 AM64x 均配備具有專用存儲器和外設(shè)的片上隔離式 Arm? Cortex?-M4F 處理器。當(dāng)配置為安全 MCU 時，可以使用 M4F 來監(jiān)控主處理域，以支持 SIL 等級。

當(dāng)與第二個安全 MCU 結(jié)合使用時，AM243x 和 AM64x 有助于支持最高等級為 SIL-3 HFT = 1 的系統(tǒng)。增加第二個安全 MCU 可以為系統(tǒng)增加硬件容錯能力。兩個安全 MCU 相互執(zhí)行交叉校驗計算。如果結(jié)果不匹配，可以使用其中一個處理器將系統(tǒng)置于安全狀態(tài)。

與使用兩個外部安全 MCU 相比，集成安全 MCU 可降低系統(tǒng)成本和減小布板空間。圖 6-1 展示了帶兩個外部安全 MCU 的 SIL-3 HFT = 1 系統(tǒng)。圖 6-2 展示了相同的系統(tǒng)，但其中一個安全 MCU 集成到 AM243x 或 AM64x 控制器中。

圖 6-1 帶兩個外部安全 MCU 的 SIL-3 HFT = 1 系統(tǒng)

圖 6-2 帶集成和外部安全 MCU 的 SIL-3 HFT = 1 系統(tǒng)

集成安全 MCU 需要使用無干擾 (FFI, Freedom From Interference) 技術(shù)將安全 MCU 域與主處理域隔離。FFI 定義為系統(tǒng)中兩個或多個元件之間不存在級聯(lián)故障和相關(guān)性；FFI 是一種隔離形式。

防火墻和超時墊用于隔離 AM243x 和 AM64x 安全域，確保主域中發(fā)生的事件不會影響安全域。超時墊可在域間通信期間保護安全域不受主域故障的影響。當(dāng)安全域發(fā)起與主域的事務(wù)時，會設(shè)置看門狗計時器。如果計時器在事務(wù)完成之前到期（由于主域中的問題），則取消總線事務(wù)，從而防止安全域鎖定。在主域無響應(yīng)的情況下，安全域能夠在保持活動狀態(tài)的同時復(fù)位主域。

除了防火墻和安全墊之外，安全域中的其他安全特性包括時鐘丟失檢測電路、用于檢測不正確時鐘頻率的雙時鐘比較器、總線事務(wù)奇偶校驗、專用 I/O 電源軌和內(nèi)置自檢 (BIST) 支持。

圖 6-3 展示了 AM243x 和 AM64x 安全域、主域復(fù)位、安全錯誤標(biāo)志和器件復(fù)位引腳。發(fā)生災(zāi)難性錯誤時，此錯誤標(biāo)志會向系統(tǒng)電源管理 IC (PMIC) 或其他器件發(fā)送信號，來啟動 AM243x|AM64x 的復(fù)位。

圖 6-3 AM64x 和 AM243x 片上安全 MCU