6 AM243x 和 AM64x：具有 FFI 支持的安全 MCU

AM243x 和 AM64x 均配備具有專用存儲(chǔ)器和外設(shè)的片上隔離式 Arm? Cortex?-M4F 處理器。當(dāng)配置為安全 MCU 時(shí)，可以使用 M4F 來(lái)監(jiān)控主處理域，以支持 SIL 等級(jí)。

當(dāng)與第二個(gè)安全 MCU 結(jié)合使用時(shí)，AM243x 和 AM64x 有助于支持最高等級(jí)為 SIL-3 HFT = 1 的系統(tǒng)。增加第二個(gè)安全 MCU 可以為系統(tǒng)增加硬件容錯(cuò)能力。兩個(gè)安全 MCU 相互執(zhí)行交叉校驗(yàn)計(jì)算。如果結(jié)果不匹配，可以使用其中一個(gè)處理器將系統(tǒng)置于安全狀態(tài)。

與使用兩個(gè)外部安全 MCU 相比，集成安全 MCU 可降低系統(tǒng)成本和減小布板空間。圖 6-1 展示了帶兩個(gè)外部安全 MCU 的 SIL-3 HFT = 1 系統(tǒng)。圖 6-2 展示了相同的系統(tǒng)，但其中一個(gè)安全 MCU 集成到 AM243x 或 AM64x 控制器中。

圖 6-1 帶兩個(gè)外部安全 MCU 的 SIL-3 HFT = 1 系統(tǒng)

圖 6-2 帶集成和外部安全 MCU 的 SIL-3 HFT = 1 系統(tǒng)

集成安全 MCU 需要使用無(wú)干擾 (FFI, Freedom From Interference) 技術(shù)將安全 MCU 域與主處理域隔離。FFI 定義為系統(tǒng)中兩個(gè)或多個(gè)元件之間不存在級(jí)聯(lián)故障和相關(guān)性；FFI 是一種隔離形式。

防火墻和超時(shí)墊用于隔離 AM243x 和 AM64x 安全域，確保主域中發(fā)生的事件不會(huì)影響安全域。超時(shí)墊可在域間通信期間保護(hù)安全域不受主域故障的影響。當(dāng)安全域發(fā)起與主域的事務(wù)時(shí)，會(huì)設(shè)置看門狗計(jì)時(shí)器。如果計(jì)時(shí)器在事務(wù)完成之前到期（由于主域中的問(wèn)題），則取消總線事務(wù)，從而防止安全域鎖定。在主域無(wú)響應(yīng)的情況下，安全域能夠在保持活動(dòng)狀態(tài)的同時(shí)復(fù)位主域。

除了防火墻和安全墊之外，安全域中的其他安全特性包括時(shí)鐘丟失檢測(cè)電路、用于檢測(cè)不正確時(shí)鐘頻率的雙時(shí)鐘比較器、總線事務(wù)奇偶校驗(yàn)、專用 I/O 電源軌和內(nèi)置自檢 (BIST) 支持。

圖 6-3 展示了 AM243x 和 AM64x 安全域、主域復(fù)位、安全錯(cuò)誤標(biāo)志和器件復(fù)位引腳。發(fā)生災(zāi)難性錯(cuò)誤時(shí)，此錯(cuò)誤標(biāo)志會(huì)向系統(tǒng)電源管理 IC (PMIC) 或其他器件發(fā)送信號(hào)，來(lái)啟動(dòng) AM243x|AM64x 的復(fù)位。

圖 6-3 AM64x 和 AM243x 片上安全 MCU