人机界面中的颜色区分校验和计算

摘要

通过基于对安全-关键量编码的输入信号(S1)而生成的显示驱动信号(S2)控制显示器(101)。基于显示驱动信号计算校验和(S4)，并且校验和(S4)被用于验证产生显示驱动信号的呈现过程。为了使校验和仅依赖于安全-关键量，基于过滤的显示驱动信号(S3)计算校验和，显示驱动信号(S3)中具有某些值的像素被排除。在本发明的实施例中，使用直接被排除的颜色来表示安全-非关键量。类似地，用于验证给定量的校验和可独立于通过使用被排除的颜色表示且在邻近屏幕区域中表示的其他量。在其他实施例中，对应于特定像素位置的像素值可被排除在起作用的范围之外。

说明书

技术领域

本文公开的发明涉及在应用高安全需求的环境中使用的可视化显示器。更准确地， 该发明涉及适于连续验证其显示的信息的可视化显示模块。

背景技术

在使用电子可视化显示的安全-关键环境(诸如公共运输车辆的操作员的驾驶室) 中，采取措施来防止这种显示通过在发生故障时显示错误值而误导操作员。在铁路车 辆的特定例子中，需向操作员显示的安全-关键信息包括车辆速度、制动压力、引擎温 度、门的关闭状态和列车组的联接状态。

考虑需以人类可读的格式呈现在可视化显示器上的对物理量(由车辆中提供的传 感器测量、根据测量值计算或从数据寄存器等读取)的值编码的输入信号。在运行期 间，该显示器由指示显示图像的每个像素的值的显示驱动信号来控制。如本领域技术 人员所知晓的，被观察者看到的显示图像是以可视化显示器的更新频率顺序显示的图 像(帧)流。因此，本文所使用的显示驱动信号通过以某预定义的顺序枚举帧中所有 像素的值而对帧中所有像素的值进行编码，并且随后以下一帧的像素重新开始。在复 合的显示驱动信号中，可每次枚举一个以上像素的值。在以数字方式控制的可视化显 示器中，从具有有限数量的元素的预定义离散像素值范围中选择像素值。像素值范围 中的元素可例如对应于由可视化显示器产生的特定的像素颜色。

在故障情景中，在根据输入信号生成显示驱动信号的过程中出现错误(例如，运 行时错误、编程错误或其他系统错误)。该过程可隐含数个步骤，诸如将被输入信号编 码的信息转换成不同的数值格式、四舍五入到数字的期望数值、转换成物理量的合适 的单位、将数值排版为位图文本图像、为文本图像涂颜色(可能以依赖于值的方式， 以警告操作员超出范围的值)、排列文本图像以及添加诸如帧、标识、量和单位的符号 等的恒定的图形元素。

这种类型的可视化显示和对应的安全措施已经在现有技术中描述。例如，公开为 EP 2254039 A1的申请人自己的申请，根据该申请中独立权利要求的前序公开了一种可 视化显示模块。EP 2273369 A1和EP 2353089 A1描述了具有验证功能的可视化显示模 块，该验证功能适于发现在显示驱动信号生成的过程步骤中出现的错误。

US 2007/0046680 A1描述了一种飞机仪表飞行显示器，其中视频图形处理器间歇 地产生用于呈现预定义测试页的显示驱动信号。完整性校验功能从存储在存储器中的 针对测试页的显示驱动信号值提取校验和，并与针对测试页的预期校验和值进行比较。

US 2004/0249522 A1描述了一种用于在飞机上传送信息的系统。在该文献公开的 第一种实现方式中，将校验和从用作数据源的航空电子设备传送到用于显示信息的界 面装置。该界面装置将接收的校验和与根据接收的信息计算的校验和进行比较。在可 替代的实现方式中，界面装置中计算的校验和被传送回航空电子设备，在该航空电子 设备中发生比较。在两种实现方式中，校验和在与待显示的信息相同的数据链路上传 送。

US 6839055 B1公开了一种用于提供视频数据的误差指示的系统，其中诊断例程 生成一组测试视频数据，并且将生成的误差指示与标准误差指示进行比较以确定误差 情况。如果确定存在误差情况，则在显示器上显示该结果的消息。

这些已知设备可诸如通过修改和改进从计算效率的角度进行改进，这允许它们以 更少的计算开销达到等效的验证或故障指示(根据具体情况)。

此外，US 2011/157222 A1涉及一种系统，其包括第一较安全域、第二较不安全域、 和适于显示源自各域的数据的监视器。域被定义为嵌入式飞机电子系统。根据域的不 同安全级别，该系统适于在显示器的活跃区域或不活跃区域显示对应的数据，其中用 户输入仅通过活跃区域接收。该系统可以在活跃区域被显示于监视器上时，使活跃区 域的数量和范围适应于命令窗和类似的输入装置。较安全区域控制每个区域的可显示 颜色，并且在不活跃区域中可以选择与活跃区域中视觉上不同的颜色配置。该操作可 通过包括融合模块的显示管理计算机来控制，其中可使用设置在融合模块和各域之间 的完整性控制，以便通过防止融合模块接收来源未经授权的数据并将这些数据传递到 监视器上来加强安全性。

发明内容

本发明的目的是提出一种适合于以人类可读的格式呈现编码在输入信号中的安全 -关键信息的可视化显示器。第一特定目的是提出这种类型的具有小计算量的安全验证 的可视化显示器。第二特定目的是提出这种类型的易于配置和/或安全验证可利用有限 数量的预存储参考信息而操作的可视化显示器。

提供一种在可视化显示器上呈现编码在输入信号中的信息的方法。可视化显示器 适于基于显示驱动信号显示至少一个图像帧，显示驱动信号包括处于预定义的离散像 素值范围内的像素值。像素值范围可以是针对一个像素可以合并的可能的像素值或分 量值的有限枚举；像素值范围不必是整数间隔和这种间隔的并集。该方法包括：

·基于输入信号，生成控制可视化显示器的显示驱动信号；

·基于显示驱动信号，计算每个图像帧的监督区域的校验和；以及

·通过将校验和或从校验和推出的值与输入信号或从输入信号推出的值进行比 较，来验证针对给定图像帧的显示驱动信号。

在这一点上，应注意，在连续帧之间优选不变的监督区域指的是与其关联的显示驱动 信号值通过该方法进行验证的区域。需强调的是，本文所使用的监督区域是像素位置 的任意集合，并且不限于连接的集合或特定几何形状的集合。进一步，所述验证可基 于校验和与输入信号之间的直接比较而发生，但这些值中的一个或两个可以可替代地 由从校验和或输入信号推出的并且依赖于校验和和输入信号中的相应一个的当前值而 改变的值所取代。

根据第一方面，所述验证中使用的校验和在像素值范围内的至少一个元素经受排 除的情况下被计算，其中在给定的帧中携带与该元素相等的值的任何像素对校验和不 起作用，即便这些像素位于监督区域。因此，针对给定帧的校验和以值－区分方式计 算，由此校验和独立于与被显示驱动信号赋予像素值范围内的被排除元素中的任意一 个的那些像素有关的数据。

在第二方面，可视化显示模块适于通信连接到用于根据输入信号生成显示驱动信 号的处理装置。适合于被供应到可视化显示器的显示驱动信号包括处于预定义的离散 像素值范围内的像素值。校验和提取器适于计算每个图像帧的监督区域的校验和。显 示监督器适于通过将校验和与输入信号进行比较或执行与之前论述等同的比较操作来 验证针对给定图像帧的显示驱动信号。根据另一方面，校验和提取器以颜色过滤器为 先导，该颜色过滤器被配置为排除显示驱动信号中与像素值范围内的至少一个元素相 等的值，使得这些值对由校验和提取器计算的校验和不起作用。

可以理解，可以以分布式的方式实现可视化显示模块，其中校验和提取器、显示 监督器和颜色过滤器位于单个、两个或者三个物理单元中。显然，操作被可视化显示 模块监督的处理装置和可视化显示器都不是本发明的核心部分。这样，可视化显示模 块可包括颜色过滤器、校验和提取器和显示监督器；处理装置是可视化显示模块中的 可选组件，并且可视化显示器是可与包括处理装置无关地存在或不存在的另一可选组 件。

类似地，根据第一方面的方法可体现为用于比较输入信号和显示驱动信号的过程， 显示驱动信号已基于输入信号由与执行用于比较的过程的实体不同的实体生成。这样， 用于比较的过程包括步骤：基于显示驱动信号，计算每个图像帧的监督区域的校验和， 其中在将像素值范围内的至少一个元素排除在对校验和起作用的范围之外的同时计算 该校验和；以及通过将校验和或从校验和推出的值与输入信号或从输入信号推出的值 进行比较，来验证针对给定图像帧的显示驱动信号。

根据第一和第二方面中的每一个，与整个像素值范围被允许对校验和起作用的情 况相比，本发明提供需要较小的计算总量的显示驱动信号的验证(特别地，基于校验 和的验证)。优点是双重的。第一，使用较小的输入数据集(或者至少较大部分值是非 彩色的输入数据集，见下面的段落)计算校验和本身。第二，因为从校验和推出值的 过程－或可替代地从输入信号推出值的过程－变得较不复杂，因此比较过程变得更简 单。因为本发明可以成功地去除不被监督的信息的影响，因此所有实施例中存在可能 的简化，其中校验和根据从参考显示驱动信号提取的参考校验和来验证，该参考显示 驱动信号根据输入信号生成；这是因为在恰当配置的系统中，校验和将仅受被监督的 输入信号中的信息的影响。在参考校验和通过使输入信号中的信息作为基础的间接计 算而准备的情况下，或者在参考校验和从存储器中获取(见下面)的情况下，将获得 类似的优点。因此，本发明的实施例可实现上述第一特定目的。

重要的是要注意，本发明能够通过减少的计算总量来验证针对给定帧的整个显示 驱动信号。这与显示驱动信号中的数据被拆分(例如，根据其RGB分量或者根据有限 颜色调色板)并且由并行验证处理器(为了发布正面总验证判决，所有并行认证处理 器必须提供正面的部分验证判决)进行处理的并行化方法不同；这可提高速度但不减 少计算总量。例如，如果像素值范围内的被排除元素被配置为与图形用户界面中的安 全-非关键的变化或恒定的图形成分相对应，则根据本发明的可视化显示模块可被制造 得与现有技术设备一样安全。

注意所述携带值的像素的排除可通过在校验和计算中不考虑这些像素来实现，因 而对于每一个帧，校验和基于来自监督区域的适当的子集的值而计算。可替代地，在 基于监督区域的所有像素计算校验和之前，为需排除的像素赋予非彩色的值(在某种 意义上，它们的作用不影响校验和的结果)。

本发明由独立权利要求限定。从属权利要求限定有益的示例实施例。

在一个示例实施例中，执行方法的部分(例如，显示监督器)首先接收标识至少 一个监督区域和像素值范围内需从校验和计算排除的一个或多个元素的数据。长方形 监督区域可由其角中的两个角标识。优选地，可以独立于任何其他监督区域定义一个 监督区域中的需排除的元素。可在配置阶段中，诸如在组装期间或在每次可视化显示 模块通电执行初始化期间，接收这种数据。在该实施例中，监督区域的范围、位置、 大小等可被容易地重配置。

在一个示例实施例中，输入信号编码至少两个自变量，诸如制动压力、车辆速度、 线电压、门状态。这两个量在帧的部分重叠的监督区域(包括监督区域完全相同地一 致的情况以及一个监督区域被包括在另一个监督区域中的情况)中表示。这种将表示 定位到重叠的监督区域可被编码在输入信号中，或可以在其后跟随由处理装置或可视 化显示器中的其他呈现组件做出的判决。通过使用像素值范围内的特定元素表示至少 两个自变量中的每一个来生成显示驱动信号，其中特定元素不被用于表示所述至少两 个自变量中的其余任何一个量。利用这种设置，给定监督区域的校验和在将不同监督 区域的所述特定元素排除在对校验和起作用的范围之外的同时被计算。如本文所使用 的，如果在一序列中的至少一些帧中存在作为一个量的函数而改变的至少一个像素， 则特定元素被用于表示该量。例如，特定元素可对应于文本或符号的颜色、指示器指 针的颜色以及其上绘制文本、符号或图像组件的背景颜色。因为特定元素不被用于在 重叠的其它监督区域中表示其他量，因此可在没有其他量的变化的干扰的情况下计算 校验和。特别是，如果特定元素不被用于在与其他监督区域的重叠区域中表示其他量， 也就是，如果在两个监督区域的交集不受表示其他量并且假定等于像素值范围内的特 定元素的值的像素的影响，则是这种情况。因为重叠的监督区域可以在不增加验证中 涉及的计算量的情况下被定义，所以这是有益的。相反，校验和计算的值-区分属性将 用于表示编码在输入信号中的不同量的那些像素分离开。例如，可以以各自包含在长 方形监督区域中的紧密排列的圆形表盘来表示多个量的当前值。

在之前的示例实施例的变形中，将预定义像素值范围内的第一元素排除在对第一 监督区域的校验和起作用的范围之外，并且进一步被配置为将预定义像素值范围内的 不同于第一元素的第二元素排除在对第二监督区域的校验和起作用的范围之外的步骤 被独立实施。也就是说，如果由除了可视化显示模块之外的实体实现在不同的部分重 叠的监督区域中表示两个或更多个自变量的布局(例如，该布置可编码在输入信号中)， 则本发明可仅涉及将与其他量相关联的特定元素排除在对校验和起作用的范围之外的 措施。

在之前的两个示例实施例中任一个的有利的进一步发展(像素值范围内的不同的 特定元素被用于表示不同的量)中，特定元素对应于视觉上不易区分的像素颜色。然 而，因为特定元素由机器可区分的值编码，因此可以以分离的方式计算各个校验和， 因而一个量的变化不影响与其他量相关联的校验和。例如，一般的人类观众会将RGB- 编码的颜色(R,G,B)＝(255,0,0)、(R,G,B)＝(254,0,0)以及(R,G,B)＝(253,0,0) 感知为相同的红色。这是有益的，因为由不同但视觉上不易区分的颜色－即在用户不 知情的情况下－表示不同量的选择去除了向显示驱动信号增加进一步的层以提供分离 的校验和控制信号等等的需要。在仪表盘的仪表板中减少视觉上不同的颜色的数目还 会在美学上更令人满意。

在之前的示例实施例的进一步扩展中，显示驱动信号生成包括在所述监督区域的 至少两个中使用像素值范围内的非特定元素的步骤。非特定元素可例如被用于安全- 非关键符号或背景。在给定监督区域的校验和的计算中，任何不同监督区域的特定元 素以及非特定元素被排除在对校验和起作用的范围之外。具体地，如果非特定元素在 至少部分地与给定监督区域重叠的监督区域中使用，则其可被排除在对校验和起作用 的范围之外。

在一个示例实施例中，显示驱动信号的验证包括从存储预定义的输入信号值和关 联的预计算的参考校验和的存储器(或查找表)中获取数据。与通过生成参考显示驱 动信号并从其提取校验和来产生参考校验和的情况比较，这可显著减少计算工作量和 硬件的消耗。在一种实现方式中，输入信号值被用于获取对应的与实际校验和相比较 的参考校验和。在另一实现方式中，校验和被用于获取对应的与实际输入信号值相比 较的预定义的输入信号值。无论哪种方式，校验和计算的值-区分属性限制了存储到存 储器中的条目的数量。

在第一场景中，假设具有N1个不同状态的第一量被表示在第一监督区域中，并 且具有N2个不同状态的第二量被表示在至少部分地与第一监督区域重叠的第二监督 区域中。根据现有技术，如果第二量的N2个不同状态中的一些以使校验和会改变的 方式影响第一监督区域的外观，那么存储器必须对应于第一和第二量的值的组合的数 量存储N₁×N₂个条目。然而，根据本示例实施例，第一和第二量的改变可通过使用 用于其表示的像素值范围内的不同元素被分离，因此，由于第一监督区域的校验和独 立于第二量，所以存储器仅需要存储N₁个条目。类似地，与第二监督区域有关的条目 的数量可被限制为第二量的不同值的数量N2。

在第二场景中，给定的监督区域被用于表示需通过校验和验证的安全-关键量和只 要校验和被关注就可以被忽视的安全-非关键量。根据现有技术，安全-关键量的每个 不同值可与由安全-非关键量假定的所有可能值进行组合，并且可导致不同的校验和的 对应数量。然而，根据该示例实施例，使用像素值范围内的被排除在对那个监督区域 的校验和起作用的范围之外的的元素来表示安全-非关键量。例如，用于符号和其背景 两者的颜色是被排除的元素，因而被忽略的像素的数量在不同的帧之间保持恒定，并 且不直接或间接地影响校验和。

在两个场景中，如果使用特定元素表示各个量并且以值-区分的方式计算监督区域 的校验和，则产生要存储在存储器(例如，在初步配置过程中)中的数据所需要的工 作量将相应地减少。

在示例实施例中，像素值范围内的被排除元素对应于由可视化显示器产生的像素 颜色。颜色(或颜色点)的概念被广泛地理解。例如，为了校验和计算的目的，本发 明的示例实施例将具有相同色度但不同饱和度的颜色处理为不同的颜色。在RGB表示 中，这种颜色可对应于具有相等比例的三元组，例如，具有几乎相同色度的浅灰色 (R,G,B)＝(221,221,221)和普通灰色(R,G,B)＝(204,204,204)，以及进一步的绿 色阴影(R,G,B)＝(0,255,127)和(R,G,B)＝(0,238,118)。

在示例实施例中，像素值范围内的至少两个元素被排除在对校验和起作用范围之 外。该示例实施例是有益的，因为起作用的像素的数量可在连续图像帧之间维持恒定， 即如果像素值范围内的被排除元素被用于可变的前景组件(例如，与被监督的量无关 的文本或符号)，而不用于背景组件。如果假设这种占据具有被排除颜色的P个像素的 无关符号在此外包括分别对校验和起3个单位作用的Q个背景像素的监督区域中产 生，那么－如果其他可能的变量被忽略－在符号不再产生时，后续帧中的同一监督区 域的校验和将增加3×P。然而，根据本示例实施例，背景颜色和符号颜色都被排除在 起作用范围之外，使得校验和独立于由符号所表示的无关量的变化。

在示例实施例中，可视化显示模块进一步具有位掩码(bitmasking)功能，其可操 作为将一个或多个指定像素位置排除在对校验和起作用的范围之外。位掩码功能可以 以位掩码过滤器实现。被应用的位掩码可针对不同的图像帧被独立地配置和/或针对每 个监督区域被独立地配置。在一个实现方式中，位掩码是针对显示器视图(例如，与 特定菜单或特定运行模式关联)中的所有监督区域定义的一组像素位置，并且针对该 显示器视图保持恒定。在不同的实现方式中，根据使用的传统，位掩码中的像素可以 是起作用的像素或不起作用的像素。

注意该功能可独立于本发明的其他特征实施。因此，本发明可被具体实现为一种 方法，包括:

·基于输入信号，生成控制可视化显示器的显示驱动信号；

·基于显示驱动信号，计算每个图像帧的监督区域的校验和，其中校验和在将至 少一个像素位置排除在对校验和起作用的范围之外的同时被计算；以及

·通过将校验和或从校验和推出的值与输入信号或从输入信号推出的值进行比 较，来验证针对给定图像帧的显示驱动信号。

类似地，本发明可被具体实现为一种具有与之前论述的相同功能组件的可视化显示模 块，不一定包括颜色过滤器，但代之以包括位掩码过滤器，位掩码过滤器被布置于处 理装置和校验和提取器之间，并且被配置为将至少一个像素位置排除在对校验和起作 用范围之外。

因此，本发明的各种实施例可提供下面的选择：仅值区分、仅位掩码或者位掩码 和值区分的组合。注意值区分是有效的：

·如果在两个(部分)重叠的监督区域中的安全－相关量使用像素值范围内的不 同元素来表示，则实现了这些区域的校验和分离－就上面论述的意义而言；并 且

·去除了由关于其位置和/或颜色(例如，旋转指示器指针)有变化并且表示被校 验和监督的量的图形元件交叉或覆盖的安全－相关或安全－不相关符号的影 响。如果符号是安全相关的，那么其不能通过使用位掩码被排除，除非位掩码 可针对各监督区域(即，监督区域可具有任何形状)被独立地定义，通常不是 这样的情况。

(这种值区分方法可应用于具有指示器指针的速度仪表板，该指示器指针向其颜 色作为当前限速的函数而改变的周围边缘延伸。在这种情况下，当用于表示指示器指 针的颜色对校验和起作用时，边缘可假设的颜色优选地被排除。)位掩码是有效的：

·去除在监督区域中表示的安全-非相关符号的影响。在这种情况下，特别地，如 果符号通过消失和重新现现而改变，则优选的可能是使用位掩码而不是值-区 分，因为安全非相关符号的变化导致对校验和起作用的像素的数量的改变，因 此改变其值；并且

·去除了由关于其位置和/或颜色(例如，旋转指示器指针)有变化并且表示被校 验和监督的量的图形元件交叉或覆盖的安全－不相关符号的影响。

位掩码和值区分的组合是有效的：

去除了由关于其位置和/或颜色有变化并且表示被校验和监督的量的图形元件交 叉或覆盖的两种符号的影响，一种是安全-相关的，并且另一种是安全-非相关的。

本发明还可具体体现为包括具有计算机可执行指令的计算机可读介质的计算机程 序产品，该计算机可执行指令可操作为使可编程计算机执行根据本发明第一方面的方 法。计算机可读介质可包括计算机存储介质(或非瞬态介质)和通信介质(或瞬态介 质)。如本领域技术人员公知的，术语计算机存储介质包括以用于存储诸如计算机可读 指令、数据结构、程序模块或其他数据之类的信息的任何方法或技术实现的易失性和 非易失性的、可拆卸和不可拆卸的介质。计算机存储介质包括但不限于RAM、ROM、 EEPROM、闪存或其他存储技术、压缩盘(CD)、数字通用盘(DVD)或其他光盘存 储器、磁盘、磁带、磁盘存储器或其他磁性存储设备、或可用于存储期望信息以及可 由计算机访问的任何其他介质。进一步，本领域技术人员公知，通信介质通常体现计 算机可读指令、数据结构、程序模块或模块化数据信号中的其他数据(诸如载波或其 他运输机构)，并且包括任何信息传递介质。

需要强调的是，本发明涉及特征的所有组合，尽管它们彼此被记载在彼此不同的 权利要求中。

附图说明

现在将结合附图描述本发明的实施例，其中：

图1和图2是根据本发明示例实施例的可视化显示模块的概括框图；以及

图3示出由一显示器产生的示例屏幕图像，该显示器由根据图1或图2的可 视化显示模块中产生的显示驱动信号控制。

为了阐明本发明，所有附图都是示意性的，并且仅概括地示出必要的部分， 而其它部分则被省略或仅给出启示。除非另有说明，相同的附图标记在不同的附 图中指代相同的部分。

具体实施方式

本文所使用的校验和(或哈希和，或摘要)是一组像素的数字值的非单射确 定性函数(哈希函数)的值。具有离散值的非单射函数可以被称为秩亏。校验和 的值是具有可以与校验和在其中实现的计算机系统的字长一致或不一致的比特数 的数值。如本领域技术人员所知晓，校验和可被用于检测由数据传送引入的误差， 数据传送理想地在目的地处传递相同的副本。这可通过与数据并行发送第一校验 和并检查根据传送的数据计算的第二校验和与第一校验和一致来实现。凭借校验 和的非单射性，该过程需要传送少于要传送信息的两倍的数据总量。因为仅比较 两个校验和，因此其还减少了比较的工作量。

根据本发明，以具体的值-区分的方式计算的校验和被用来验证组合处理和(内 部)传送过程的正确性，该过程就是用于以显示图像的形式产生由输入信号编码 的信息的人类可读表示的显示驱动信号的生成和处理。尽管这种处理显而易见地 不会产生输入信号的相同副本，但一旦输入信号被知晓，其结果就是确定的并且 是可以预测的。需要强调的是，在显示模块运行期间，不仅仅在测试过程等期间， 各个帧被连续验证。

根据上面的定义，显示驱动信号包括由显示器产生并用于形成可视化图像的 像素值的序列。优选地，显示器被由表示单个像素值的时间段组成的显示驱动信 号控制，然后该显示驱动信号在不会发生对该信号的更多处理的意义上“准备好 使用”。因此，导致显示图像和显示驱动信号之间的不一致的处理误差的风险非 常有限。导致输入信号和显示驱动信号之间的不符的处理误差的风险通常比较高。

根据本发明的可视化显示模块包括完全无源的显示屏，诸如基于阴极射线管 (CRT)技术的电视接收器，其中控制命令(诸如行尾)被直接包括在显示驱动信 号中。如果例如通过寻址不存在的像素使这种屏幕被驱动超过其能力，则显示驱 动信号通常被忽略并且呈现错误消息。显示驱动信号的顺序属性被一些较新的显 示技术继承，这些技术例如薄膜晶体管液晶显示器(TFT LCD)，其中可通过与 各像素关联的晶体管开关控制相应像素的色点。常用TFT以数字方式接收显示驱 动信号，或被配置为从模拟显示驱动信号采样离散值，从而仿真CRT显示器中电 子束的移动，并且将每个样本运送至相关的晶体管开关。采样和运送结构由显示 驱动信号同步，但另外独立于其中编码的信息。幸亏常用保护电路类似于CRT显 示器的保护电路，因此这种结构中的故障导致等同于会使整个LCD不运转的总线 误差(超出范围的寻址)的状态。因此，因为本段论述的原因而在屏幕上出现错 误信息的风险是有限的，并且可通过选择根据适当的安全标准分类的显示器硬件 和/或通过包括冗余的硬件(诸如两个独立的背光控制器)，通过显示模块的设计 得到控制。不同于会经常繁重地进行安全验证的某些类型的软件，显示器硬件通 常可以发出以有限的成本分类的发音。

类似地，通常需要相对有限的成本和工作量来设置用于将输入信号传送至可 视化显示模块的信任通信信道。显示驱动信号可例如通过低电压差分信号传送 (LVDS)或转换最小化差分信号传送(TMDS)从处理装置传送至显示器，这在 生成小电磁干扰的同时可允许高传送速率。并行总线或用于并行单端信号传送的 其他装置可被用作替代品。在工业中使用的显示驱动信号格式的一些示例是VGA、 SVGA、XGA、SXGA、UXGA，其可通过单端并行传送线向显示器提供。数字格 式还可通过LVDS或TMDS信号传送提供。

图1示意性地示出根据本发明的可视化显示模块(人机界面)100。输入信号 S1被馈送入处理装置102及校验和预测器105两者。根据输入信号S1，处理装置 102适于生成待提供至显示器101的显示驱动信号S2。可通过LVDS、TMDS、并 行或其他合适的信号传送(见下面)而传送的信号S2，对像素值的流进行编码并 且可被显示器101在基本上没有进一步处理的情况下使用。输入信号S1也被校验 和预测器105使用以生成显示器帧的监督区域的参考校验和S5。校验和预测器105 可实现为存储预定义的输入信号值和关联的预计算的参考校验和的存储器(或哈 希表)；可替代地，其可实现为被配置为产生参考显示驱动信号、与处理装置102 并联、由参考校验和计算器(未示出)紧随的处理器(未示出)。为了验证显示 驱动信号S2的准确性，通过显示监督器104将由校验和提取器103根据显示驱动 信号S2生成的校验和S4与参考校验和S5进行比较。在显示监督器104检测到的 参考校验和S5与校验和S4之间的任何差异生成误差信号S6，其可触发适合的安 全措施，例如向用户激活视觉或听觉信号(例如，显示器的完全或者部分空白或 从电源断开)或者中断输入信号S1的接收，这将可视化显示模块100的故障通知 周围单元。校验和提取器103的上游设置颜色过滤器106，其用作防止显示驱动信 号S2中的像素值对校验和S4起作用的值-选择(或值-区分)组件。为了这个目的， 颜色过滤器106基于显示驱动信号S2输出过滤的显示驱动信号S3，其中与像素值 范围内的被排除元素(见上面)相等的像素值被忽略或被非彩色的值取代。可替 代地，值-区分功能可被集成到校验和提取器103中。

在图1所示实施例的变形中，过滤的显示驱动信号S3由具有位掩码功能的位 掩码过滤器106供应。位掩码过滤器106输入显示驱动信号S2，识别与可配置的 位掩码中的像素位置相对应的那些像素值，并且省略这些像素值或者用非彩色的 值取代这些像素值。该过程可以说是取代图1中由颜色过滤器106完成的操作， 该过程的结果是过滤的显示驱动信号S3，其以如之前论述的相同的方式被供应给 校验和提取器103。

在进一步的变形中，图1中的颜色过滤器106被合并的位掩码和颜色过滤器 所取代。在这种合并的过滤器中，针对给定像素，校验和可通过检查：

·该像素是否在与要计算的校验和关联的监督区域中；

·颜色过滤是否有效；

如果是，则检查该像素是否携带像素范围内的被排除的值；

·位掩码过滤是否有效；

如果是，则检查该像素是否处于被排除的像素位置， 来计算。这些检查优选地以上述顺序执行。根据每个步骤的结果，该过程或者继 续下一个步骤，或者被排除像素(例如，如果该像素在关注的监督区域之外)的 判决中断，或者被包括像素(例如，该像素在监督区域中，具有未被排除的颜色， 并且位掩码过滤有效)的判决中断。

图2示出具有替代布局的可视化显示模块200。基于校验和S4，查找表207 (或存储器)返回与当前校验和的值相关联的至少一个可能的输入信号值S7。为 此，查找表207存储预定义的输入信号值和所关联的预计算的参考校验和。因为 校验和函数通常是非单射的，因此可存在会导致一给定校验和值的一个以上不同 输入信号值。在该可视化显示模块200中，显示监督器104可接收实际的输入信 号值S1，并且针对每个帧将其与至少一个对应的可能的输入信号值S7进行比较。 如果显示监督器104检测到至少一个匹配，那么可认为显示驱动信号S2针对当前 帧已被验证。这可通过从显示监督器104输出指示可视化显示模块200正常运行 的负误差信号S6来用信号表示。

明显地，包括上面论述的位掩码过滤的变形也可在图2中示出的可视化显示 模块中实现。

上面论述的硬件组件可以是任何类型的微处理器或微控制器，并且一个物理 硬件单元可负责两个或更多个处理任务。然而，为确保期望的安全完整性级别， 负责生成显示驱动信号的单元优选与从事于验证显示驱动信号的单元分离，以便 降低错误由于影响这两个操作的硬件故障而被忽略的风险。注意校验和提取器优 选是现场可编程门阵列(FPGA)、专用集成电路(ASIC)或片上系统等。

在处理装置102中包括帧缓冲器可能是有益的。这将允许显示驱动信号102 的生成以与显示器101适于接收显示驱动信号S2的速率暂时不同的速率发生。为 支持这种非同步处理，定义其中差异被容许的滑动时间窗可能是合适的。更详细 地，显示监督器104可以被编程为忽略校验和S4与参考校验和S5偏离时的隔离 错误或短暂插曲，因为当要显示的量随时间变化时，由于正常计算和算法延时， 这种非同步插曲也会在健康的可视化显示模块中发生。作为对此的替代，时间戳 或帧数戳可被应用于校验和。

在计算校验和以及比较校验和中所涉及的单元可根据可视化显示模块100的 安全标准(见例如铁路应用的特定示例中的EN 50128)执行受信任的软件。图1 和图2中示出的布局的优点是处理装置102不必须被安全认证。这有助于随后的 软件更新，并且还暗示在选择图像库等的软件供应商时有更大范围等。此外，其 限制了根据软件安全的工业标准需要产生的软件代码量。

在一个示例实施例中，输入信号S1＝0110 0010 0000 1101被解释为以米每小 时表示的车辆速度的整数的二进制表示。二进制数字转换器将该数值转换成十进 制形式，如由信号S11＝24845编码。比例修改部分将该数值转换成期望的单位， 千米每小时，并且将其四舍五入为一个小数位。该数值由信号S12＝24.8编码。排 版单元使用一字体在18×7的像素图案上产生该数值的像素表示。该信息由开始 于S2＝011000001000001100 L 100100011000010010 L 100100101000010010 L  001001001…的显示驱动信号传送，其中L表示换行符，并且0和1是指将由可视 化显示器101显示的不同的像素颜色。

在这个和其他示例实施例中，处理装置102可包括用于执行以下操作中的一 个或多个的功能性部分：

·数值的取整和格式化；

·线性或非线性单位转换，诸如英里每加仑和升每100千米之间，它们都是 用于测量车辆燃料效率的单位；

·例如通过以选择的语言将数值误差码译码为明文，生成被输入信号编码的 逻辑值的文本表示；

·通过使用被栅格化的矢量编码字体，生成数值或逻辑值的像素表示；

·将数值的图形像素表示生成为例如指示该值的模拟指针装置的图像或显示 时间演变的功能图；

·可能依赖于输入信号或另一输入信号(例如，限速)的实际值进行进一步 格式化，诸如着色，以警告用户超出范围的值；

·在各种视频格式(依据分辨率、颜色编码、刷新率等)之间的转换，以适 合于显示器；以及

·表示不同量值的值或引导信息的像素块的组合。

在下面的论述中，一般的校验和将被H(P)表示，其中H是哈希函数，并且P 是对校验和起作用的所有值的集合。

对于单色显示驱动信号S2，简单的校验和可由监督区域中的像素值的总和形 成，值1指的是有效像素，并且0指无效像素，总和以一定数为模。

如果显示器101是彩色显示器，那么显示驱动信号S2将每个像素编码为通过 预定义的调色板与色点关联的颜色数值。为了说明，在24位红-绿-蓝(RGB)调 色板中的每个颜色由范围[0，255]内的整数的颜色三元组(r，g，b)来表征，或 等同地由24位二进制颜色值2¹⁶r+2⁸g+b来表征。因此像素值范围是离散的集合 R＝[0，255]。然后，校验和可以是监督区域中的像素的颜色数值的总和。尽管上 述描述的校验和的生成应该不麻烦，但其可通过仅对颜色数值的最后位求和或者 通过对以一定数为模的颜色数值求和得到进一步减轻。通过示例并且非限制的， 进一步可能的校验和包括：

H₁(P)＝∑i[(ρr_i+γg_i+βb_i)mod q+s]

H₂(P)＝∑i[max{r_i,g_i,b_i}mod q]

其中P＝{(r_i,g_i,b_i):i∈I}是由监督区域中的像素携带的所有颜色三元组(r_i，g_i， b_i)的集合，s是常整数，并且ρ、γ、β、q是非零常整数。通过在集合I中的所 有指数i上求和来计算校验和H₁(P)H₂(P)，并且全局校验和H(P)将以同样的方式 计算。IEEE 802.3联网标准公开了几种校验和，尤其是CRC-32，其适于结合本发 明使用。误差校正校验和也可在本发明的实施例中使用，其可以是奇偶校验位、 模块化求和和依赖位置的模块化求和等。

在本发明的示例实施例中，监督区域中的一些像素根据它们的值被排除在对 校验和起作用的范围之外。因此，使用与前面段落相同的符号，这种实施例可用 作校验和H(P’)、H₁(P’)或H₂(P’)，其中减少的像素集合

P’＝P\{(r_i,g_i,b_i):(r_i,g_i,b_i)＝(R₁,G₁,B₁)or(r_i,g_i,b_i)＝(R₂,G₂,B₂)}

其中(R₁,G₁,B₁)和(R₂,G₂,B₂)是被排除的颜色。要理解的是，被排除的颜色是像素 值集合R中的元素，即，(R₁,G₁,B₁)∈R并且(R₂,G₂,B₂)∈R。可替代地，减少的 像素集合可根据未被排除的颜色(R₁₁,G₁₁,B₁₁)∈R以及(R₁₂,G₁₂,B₁₂)∈R定义如 下：

P”＝P∩{(r_i,g_i,b_i)＝(R₁₁,G₁₁,B₁₁)or(r_i,g_i,b_i)＝(R₁₂,G₁₂,B₁₂)}

＝{(r_i,g_i,b_i):(r_i,g_i,b_i)＝(R₁₁,G₁₁,B₁₁)or(r_i,g_i,b_i)＝(R₁₂,G₁₂,B₁₂),并且I∈ I}。

并且对应的校验和是H(P”)、H₁(P”)、H₂(P”)。虽然像素集合P包括恒定数目的像 素－一个监督区域－但根据任意表示的减少的像素集合P’、P”的基数可依据输入 信号在不同图像帧之间变化，输入信号随后确定需由显示器101产生的屏幕图像。

如指出的，参考校验和S5的产生和可能的输入值S7的获取都可通过存储预 计算的校验和的存储器被有利地影响。这是可能的，因为由输入信号编码的数值 或逻辑值的像素表示总是以相同的方式被创建。表1示出存储校验和的示例查找 表的内容。第一和第二列分别以二进制和十进制形式指输入信号S1的值，并且第 三列指的是对应的校验和或者参考校验和。

在该示例中，输入信号的十进制表示被四舍五入到三个有效的数字，使得24750 和24751以相同的方式在显示器101上表示，并且因此对应的校验和相等。要注 意的是，当图2中的查找表207根据该信息操作时，等于43的校验和值将返回多 个可能的输入信号值，诸如110 000 010 101 110、110 000 010 101 111等。如果显 示监督器104确定这些校验和值中的任何值匹配实际的输入信号值S1，则显示驱 动信号将被认为是正确的。

图3示出由显示器101根据显示驱动信号S2产生并且包括多个像素图案的示 例屏幕图像300，多个像素图案具有用于可视化安全-关键量V1、V2、V3、V4的 紧密排列的非长方形仪表板301、302、303、304的外观。在仪表板302之一中， 进一步存在对应于安全-非关键量V5、V6的两个状态指示器305、306。因为仪表 板301、302、303、304中表示的量V1、V2、V3、V4是安全-关键的，因此它们 被包括在相应的监督区域311、312、313、314中。为了经济的校验和计算以及避 免重叠，监督区域311、312、313、314被以最小尺寸定义。尽管这样，在邻近的 监督区域(例如，312和314)之间，甚至在监督区域与邻近的仪表板(例如，311 和302)之间，还存在数个重叠。如上面解释的，表示第一量的给定监督区域的状 态空间，可以在针对该监督区域的校验和受第二量的影响的情况下变得相当大， 其中第二量可独立于第一量而变化。这适用于图300中与邻近监督区域有重叠的 那些监督区域，以及状态指示器305、306所处的特定监督区域312。假设每个状 态指示器305、306可处于两个相互独立的状态下，则监督区域312中的像素可以 是将在仪表板302上表示的主要量的不同值的数目的四倍。

本发明的示例实施例可实现监督区域311、312、313、314中的每一个的校验 和仅被不同量V₁、V₂、V₃、V₄、V₅、V₆中的单一一个影响。这种分离可通过由颜 色调色板P_i＝{C_i1,C_i2,C_i3,…}表示第i个量V_i获得，其中C_ij∈R并且调色板是不 相交的，对于所有的i≠k，所有颜色调色板不一定是不相交的， 但在重叠的监督区域中用于表示量的调色板不相交就够了。此外，可使用对于所 有监督区域通用的一个或多个非彩色。(从所附权利要求的意义上来说，调色板 中的颜色用作像素值范围内的特定元素，然而至少一种非彩色用作非特定元素。) 使用这种配置，用于验证量V_i的表示的校验和可基于调色板P_i中的颜色而非其他 的颜色。如果用于验证量V_i的表示的校验和基于整个像素值范围R，同时排除用 于表示相同监督区域中或任何重叠的监督区域中的不同量的任何颜色，则可达到 相同的效果。例如，用于验证监督区域312中的量V₂的表示的校验和可基于集合 R\(P₁∪P₄∪P₅∪P₆)中的颜色。因此，对于给定的图像帧，显示驱动信号S2定 义P₁∪P₄∪P₅∪P₆中的颜色所针对的所有像素将被排除在对校验和起作用的范围 之外。

状态指示器305、306对用于监督量V₂的校验和的影响可通过定义覆盖状态 指示器305、306的位置的位掩码而去除，使得在校验和的计算中不考虑这些位置。 可替代地，并且特别地，如果在仪表板302中的指示器指针表示量V₂的特定值时， 其与状态指示器305、306中的任意一个交叉，则可使用与指示器指针所指的像素 值不同且被排除在对该校验和起作用的范围之外的像素值来表示状态指示器。

以上公开的系统和方法可以以软件、固件、硬件或它们的组合实现。在硬件 实现方式中，上述描述中所指的功能单元之间的任务分工不必对应于物理单元中 的任务分工；相反，一个物理组件可具有多个功能，并且一个任务可由数个物理 组件合作执行。本发明的进一步实施例将在本领域技术人员研究上述说明书之后， 对本领域技术人员来说显而易见。尽管本说明书和附图公开了实施例和示例，但 本发明不受具体示例的约束。可在不脱离由所附权利要求限定的本发明的范围的 情况下进行很多的修改和变形。出现在权利要求中的任何附图标记不应被理解为 对其范围的限制。