6 AM243x 和 AM64x：具有 FFI 支持的安全 MCU

AM243x 和 AM64x 均配备具有专用存储器和外设的片上隔离式 Arm® Cortex®-M4F 处理器。当配置为安全 MCU 时，可以使用 M4F 来监控主处理域，以支持 SIL 等级。

当与第二个安全 MCU 结合使用时，AM243x 和 AM64x 有助于支持最高等级为 SIL-3 HFT = 1 的系统。增加第二个安全 MCU 可以为系统增加硬件容错能力。两个安全 MCU 相互执行交叉校验计算。如果结果不匹配，可以使用其中一个处理器将系统置于安全状态。

与使用两个外部安全 MCU 相比，集成安全 MCU 可降低系统成本和减小布板空间。图 6-1 展示了带两个外部安全 MCU 的 SIL-3 HFT = 1 系统。图 6-2 展示了相同的系统，但其中一个安全 MCU 集成到 AM243x 或 AM64x 控制器中。

图 6-1 带两个外部安全 MCU 的 SIL-3 HFT = 1 系统

图 6-2 带集成和外部安全 MCU 的 SIL-3 HFT = 1 系统

集成安全 MCU 需要使用无干扰 (FFI, Freedom From Interference) 技术将安全 MCU 域与主处理域隔离。FFI 定义为系统中两个或多个元件之间不存在级联故障和相关性；FFI 是一种隔离形式。

防火墙和超时垫用于隔离 AM243x 和 AM64x 安全域，确保主域中发生的事件不会影响安全域。超时垫可在域间通信期间保护安全域不受主域故障的影响。当安全域发起与主域的事务时，会设置看门狗计时器。如果计时器在事务完成之前到期（由于主域中的问题），则取消总线事务，从而防止安全域锁定。在主域无响应的情况下，安全域能够在保持活动状态的同时复位主域。

除了防火墙和安全垫之外，安全域中的其他安全特性包括时钟丢失检测电路、用于检测不正确时钟频率的双时钟比较器、总线事务奇偶校验、专用 I/O 电源轨和内置自检 (BIST) 支持。

图 6-3 展示了 AM243x 和 AM64x 安全域、主域复位、安全错误标志和器件复位引脚。发生灾难性错误时，此错误标志会向系统电源管理 IC (PMIC) 或其他器件发送信号，来启动 AM243x|AM64x 的复位。

图 6-3 AM64x 和 AM243x 片上安全 MCU