6 AM243x、AM64x 片上安全 MCU 和 FFI 支持

AM243x 和 AM64x 均配备具有专用存储器和外设的片上隔离式 Arm® Cortex®-M4F 处理器。当配置为安全 MCU 和安全通道时，此 MCU 可用于监控主处理域，从而满足系统的功能安全目标和目标 SIL 等级。与使用外部安全 MCU 相比，集成安全 MCU 可降低系统成本和减小布板空间。

当与第二个安全 MCU 结合使用时，AM243x、AM64x 有助于系统集成商支持最高等级为 SIL-3 HFT = 1 的系统。增加第二个安全 MCU 可以为系统增加一定程度的硬件容错能力。两个安全 MCU 执行相同的功能，相互交叉校验结果。如果其中一个安全通道发生故障，则交叉校验计算会不同，且另一个冗余安全通道会检测到该故障并使系统置于安全状态。

图 6-1 显示了一种通过两个外部安全 MCU 实现 SIL-3 HFT = 1 的传统方法。图 6-2 显示了相同的系统，但其中一个安全 MCU 集成到 AM243x、AM64x 电机控制器中。

图 6-1 带两个外部安全 MCU 的 SIL-3 HFT = 1 系统

图 6-2 带有集成和外部安全 MCU 的 SIL-3 HFT = 1 系统

借助外部安全 MCU，安全 MCU 会与待监控的处理器在物理上进行隔离。集成安全 MCU 需要使用几种无干扰（FFI，Freedom From Interference）技术将安全 MCU 与主处理域隔离。FFI 是指系统中两个或多个元件之间没有可能存在级联故障和级联相关性；FFI 是一种隔离形式。

AM243x 和 AM64x 使用防火墙隔离片上安全 MCU，确保主域中发生的事件不会影响安全 MCU 的运行。除了防火墙之外，还使用超时垫来保护安全 MCU 和主域之间的通信通道。当安全 MCU 发起与主域的事务时，会设置计时器。如果计时器在事务完成之前到期（由于主域中的问题），则取消总线事务，从而防止安全域挂起或锁定。如果安全 MCU 确定主域未正常运行，则 MCU 能够在保持运行状态的同时使主域复位。

图 6-3 显示了集成式 AM243x、AM64x 安全 MCU 以及关联的主域复位和安全错误标志。发生灾难性错误时，可以使用此错误标志向系统电源管理 IC (PMIC) 或其他器件发送信号，来启动 AM243x、AM64x 器件的完全断电复位。

图 6-3 AM64x、AM243x 片上安全 MCU