6 信号灯的应用特定任务分区和安全概念

信号灯是数字仪表盘上的警示灯或指示灯，对于车辆的安全至关重要。信号灯可用于传达不同类型的信息，从故障（例如油位低、发动机温度高和轮胎压力低）到制动灯和转向信号等信息。由于信号灯对安全至关重要，因此 AM62x 支持信号灯显示的主要方法有两种：基于硬件或基于软件。

AM62x 中支持信号灯显示的基于硬件的方法使用安全岛 Cortex® M4F 直接运行硬件信号灯标志驱动程序。图 6-1 展示了这种基于硬件的信号灯显示方法。

基于软件的方法是在软件中支持信号灯，并将信号灯直接覆盖在主仪表组显示屏上。图 6-2 展示了软件信号灯仪表组应用中各种功能的高级分区（无 GPU 渲染）。

器件管理器 (DM) R5F 与显示子系统 (DSS) 驱动程序一起执行信号灯呈现，该驱动程序将数据呈现到 DSS 中的独立显示流水线。主显示仪表组数据由 A53 内核通过另一个 DSS 流水线呈现。DM R5 还执行 AUTOSAR® 和 CAN 堆栈。

MCU 域具有来自器件其余部分的防止干扰 (FFI) 功能，可对 DM R5F 加载的信号灯参考签名执行安全交叉监控。MCU M4F 检查 R5 是否正确将 MISR 参考签名加载到 DSS 中。其他检查包括 MISR 参考签名和计算的 MISR 比较。必须对 M4F 内核和 DM R5 内核进行程序序列监控，以保护安全内核执行免受随机故障的影响。

针对数据流中每个 IP 的软件诊断和硬件诊断，在所需的容错时间间隔 (FTTI) 内提供故障检测和报告。事件或中断方面的故障指示被路由到器件上的错误信号监视器 (ESM)，该监视器为安全内核提供可配置的低优先级和高优先级中断。然后，MCU M4F 上运行的软件可以根据这些中断采取必要的操作。ESM 的另一个功能是安全错误信号，该信号被路由到器件的错误引脚。外部监控器件可以使用该错误引脚来检测 AM62x 是否处于无响应状态，以及是否需要干预以使系统进入安全状态。例如，重置 AM62x 器件或禁用下游执行器。

将 MCU 域与主域隔离的 FFI 功能有助于限制对 MCU 域的访问，并在器件上执行不同安全完整性的功能。混合关键性还可以通过使用防火墙进一步扩展到主域。