ES2902639T3 - Procedimiento y unidades de monitorización para interfaces gráficas de usuario relevantes para la seguridad - Google Patents

Abstract

Procedimiento para una entrada relevante para la seguridad en una interfaz gráfica de usuario, en el que un ordenador (1) genera datos de imagen para una pantalla (2) y presenta un dispositivo de entrada (4) para operar la interfaz de usuario, comprendiendo el procedimiento: transmitir los datos de imagen generados por ordenador desde el ordenador (2) a la pantalla (2) a través de una línea de datos de imagen (3); visualizar una interfaz de usuario (2A) en la pantalla, con al menos un elemento operativo gráfico (6) que se puede seleccionar de forma controlada por el usuario con ayuda del dispositivo de entrada; y en el que una unidad de monitorización (11; 21) está conectada a la línea de datos de imagen (3) y lee al menos partes de los datos de imagen para una función de seguridad; caracterizado porque - a la unidad de monitorización (11; 21) se le suministra información de entrada desde el dispositivo de entrada, dependiendo de qué selección, controlada por el usuario, del elemento operativo (6) pueda ser reconocida por la unidad de monitorización; - la unidad de monitorización (11; 21), para recibir una confirmación controlada por el usuario, está conectada a un dispositivo de confirmación (14; 23) a través de una ruta de señal (11B; 11C) segura, y - la unidad de monitorización (11; 21) asegura y/o verifica que una selección reconocida del elemento operativo (6) esté correctamente representada en los datos de imagen suministrados a la pantalla (2); y - la unidad de monitorización (11; 21), al recibir una confirmación controlada por el usuario durante una selección representada del elemento operativo (6), habilita o dispara un comando operativo relevante para la seguridad asignado al mismo, en particular lo emite a través de una ruta de señal (11D) segura.

Description

DESCRIPCIÓN

Procedimiento y unidades de monitorización para interfaces gráficas de usuario relevantes para la seguridad

La invención se refiere, en general, a interfaces gráficas de usuario (GUI) en aplicaciones para las cuales la seguridad, en el sentido de seguridad operativa o frente a riesgos (en inglés: safety), es decisiva.

La invención se refiere, en particular, a interfaces de usuario en las que determinadas operaciones o entradas son decisivas o críticas para la seguridad, tal como, por ejemplo, en una cabina de enclavamiento para ingeniería ferroviaria o en un pupitre de control o un controlador de sistema para el funcionamiento de una instalación industrial, un reactor, o similares. En tales aplicaciones debe asegurarse que la información o entrada detectada como introducida corresponda exactamente a lo que el operador ha seleccionado o marcado.

Incluso la mera representación de información como gráficos de ordenador es propensa a errores. Por ejemplo, pueden producirse errores en cada componente individual del ordenador que genera el gráfico, por ejemplo, debido a un microprocesador defectuoso, en el procesador gráfico, en los módulos de memoria individuales, en la fuente de alimentación, pero también en particular debido a errores de software en el sistema operativo, en bibliotecas utilizadas en la producción del software y, en particular, en el software de aplicación u otros componentes de software que genera o generan la GUI.

La tecnología disponible bajo la marca IconTrust® para representar información relevante para la seguridad de acuerdo con el principio del documento WO 2011/003872 A1 o de las patentes EP 2353089 B1 y EP 2273369 B1 del solicitante ofrece una mejora significativa. Esta tecnología puede hacer que la representación sea más segura y es adecuada, por ejemplo, para el nivel de seguridad SIL-2 o superior. Una ventaja significativa es que, en el sentido de la tecnología de seguridad, hardware y software de casi de cualquier tipo y complejidad que se evalúen como no seguros (en lo sucesivo, inseguros para abreviar) se pueden usar de manera verificable y segura gracias al equipamiento con un módulo de monitorización independiente con certificado de seguridad.

Si, además de la mera representación de información relevante para la seguridad, también se efectúan entradas relevantes para la seguridad en la interfaz de usuario (GUI), obviamente existen fuentes de error adicionales. Las fuentes de errores potenciales son básicamente todos los componentes de hardware y software que se utilizan para adquirir y procesar la entrada. Esto se aplica en particular si un sistema intrínsecamente inseguro a partir de hardware disponible comercialmente debe ser equipado con un módulo de seguridad de acuerdo con el enfoque anterior para evitar una verificación de seguridad o una certificación de seguridad del sistema en su conjunto. Sin embargo, esto último es particularmente deseable si una amplia gama de elementos operativos gráfico o botones en la GUI deben ser de libre uso para permitir una operación intuitiva del tipo habitual, por ejemplo, utilizando un ratón de ordenador o una pantalla táctil, o también para permitir cambios posteriores de la GUI sin certificación renovada.

Una complicación adicional en caso de que se desee modularidad o en el caso de las actuales interfaces de usuario o GUI es que no solo deberían ser libremente programables en cuanto a funciones y representación, sino que la GUI también debería poder cambiar dinámicamente o en función del contexto durante el uso. Los modos de error críticos para la seguridad asociados por lo que respecta a la entrada de datos (en inglés: data entry) o a la operación de la GUI son diversos e incluyen, meramente a modo de ejemplo, los siguientes casos:

a) el ordenador de representación inseguro asigna erróneamente una activación de un elemento operativo gráfico a un contenido de información que no es el correcto (por ejemplo, de un contexto diferente); b) el elemento operativo activado se visualizó incorrectamente o no se registró como accionado (lo que es crítico, por ejemplo, en caso de parada de emergencia); o c) la activación de un elemento operativo se dispara arbitraria o accidentalmente sin que haya tenido lugar realmente una entrada controlada por el usuario o activada por el usuario.

En el primer caso mencionado, en particular, la invención de la patente europea EP 2551 787 B1 del solicitante aporta una mejora decisiva, especialmente en el caso de las pantallas táctiles. Los dos últimos casos también se pueden evitar con este principio de solución con una cierta cantidad de esfuerzo adicional. Este principio se encuentra ahora con éxito en el mercado bajo la marca SelectTrust® y está diseñado principalmente para pantallas táctiles. En el modelo de utilidad DE 20 2015 104 887 U1 se describe una variante específica para dispositivos HMI con teclas programables (las denominadas softkeys).

Ambas soluciones permiten una entrada de datos relevantes para la seguridad en una GUI, que es generada por un ordenador que ha de evaluarse como inseguro o que no tiene certificación de seguridad. En este sentido, se visualiza una interfaz de usuario en la pantalla, con al menos un elemento operativo gráfico que se puede seleccionar de manera controlada por el usuario con ayuda del dispositivo de entrada respectivo. Una unidad de monitorización separada o un módulo de seguridad está conectado a la línea de datos de imagen y lee al menos partes de los datos de imagen para la función de seguridad deseada.

Las soluciones según los documentos EP 2551 787 B1 y DE 202015 104887 U1 permiten una entrada segura en el sentido de que un usuario -ya sea mediante una operación táctil o a través de un teclado de teclas programables asignado a la pantalla, es decir, dispositivos de entrada absolutos y directos para la entrada discontinua- activa un elemento operativo gráfico asignado y la unidad de monitorización determina de forma segura esta activación conforme a unas coordenadas que están asignadas a un área predefinida dentro de la unidad o del módulo. A partir de estas coordenadas determinadas de forma segura, la unidad de monitorización convierte los datos de imagen para el área predefinida, en particular mediante codificación, directamente en un comando relevante para la seguridad. Por lo tanto, el ordenador de representación inseguro no está involucrado en esto. Debido a la asignación en la unidad o el módulo, a la disposición de entrada táctil o de teclas programables asociada y a la conversión o codificación de datos de imagen, se garantiza de manera inherente que la activación del comando corresponda de forma segura a lo que el usuario realmente percibió y seleccionó en la pantalla. La pantalla en sí puede evaluarse a este respecto como un dispositivo seguro a efectos del presente documento.

Las soluciones según los documentos EP 2551 787 B1 y DE 202015 104887 U1 están adaptadas en cada caso a un dispositivo de entrada específico y requieren una determinación fiable, desde el punto de vista de la tecnología de seguridad, de las coordenadas del área de imagen para la que tiene lugar la codificación o conversión en el comando relevante para la seguridad. Ambas están asociadas a una cierta cantidad de esfuerzo y limitan el hardware que se puede utilizar.

El documento DE 10 2012 203 831 A1 muestra una solución para entradas táctiles seguras, específicamente en dispositivos de entrada sensibles al tacto, por ejemplo, un dispositivo táctil. En este sentido está previsto un sistema de sensores especiales. De esta manera, paralelamente a la adquisición de información de entrada en función de la posición, se genera una señal de verificación con ayuda de un dispositivo de verificación adicional, que permite verificar la información de entrada adquirida con vistas a un procesamiento posterior relevante para la seguridad. Esta solución no se puede implementar fácilmente con dispositivos de entrada COTS comunes o está asociada con complejidad de hardware.

El documento DE 4332143 A1 describe un control de visualización que procesa los mismos datos de entrada por dos canales. A este respecto, los datos de salida de dos memorias de imagen se alimentan a una comparación para comprobar que coincidan en cuanto a contenido. Para ello, los datos de imagen se mapean, según un procedimiento de mapeo conocido, con datos de verificación con reducción de datos, que luego se verifican para determinar que coincidan en cuanto a contenido, de modo que se requiere menos potencia computacional para la comparación.

Por lo tanto, un primer objetivo de la presente invención es ofrecer un perfeccionamiento que haga posible una entrada segura en una interfaz gráfica de usuario con diferentes dispositivos de entrada convencionales o inseguros, en particular con un dispositivo apuntador relativo, tal como un ratón de ordenador, y en una estación de trabajo de escritorio convencional con un PC convencional como ordenador de representación. En este sentido, la entrada debe entenderse en particular en el sentido de la selección o activación controlada por el usuario de un elemento operativo de la interfaz de usuario, que al menos también se pueda realizar utilizando el dispositivo de entrada inseguro, en particular un dispositivo apuntador, tal como un ratón de ordenador, trackball, joystick, touchpad, touchpoint, tableta gráfica o digitalizador o similares.

Este objetivo se consigue mediante un procedimiento según la reivindicación 1 y mediante una unidad de monitorización según la reivindicación 9. La solución debe ser adecuada, a este respecto, al menos para el nivel de requisitos de seguridad o el nivel de integridad de la seguridad SIL-2 (Safety Integrity Level, según IEC 61508/IEC61511) o superior, en este caso en particular SIL-3.

Un procedimiento o sistema de tipo genérico permite una entrada relevante para la seguridad o relacionada con la seguridad en una interfaz gráfica de usuario (en lo sucesivo, de manera abreviada: GUI). En este sentido, un ordenador genera datos de imagen con formato de píxeles para una pantalla, que se transmiten desde el ordenador a la pantalla a través de una línea de datos de imagen. A este respecto, un dispositivo de entrada permite operar la GUI.

Cuando se visualiza una interfaz de usuario en la pantalla -a l menos en un estado operativo o contexto- se muestra al menos un elemento operativo gráfico, al que está asignada una función relevante para la seguridad. El elemento operativo puede seleccionarse de manera controlada por el usuario con ayuda del dispositivo de entrada, por ejemplo, mediante un puntero o cursor.

Además, de manera genérica, una unidad de monitorización, o un módulo de seguridad, que está separada del ordenador de representación, está conectada a la línea de datos de imagen y lee al menos partes de los datos de imagen para una función relacionada con la seguridad. En particular, la unidad de monitorización es independiente o está separada del ordenador de representación desde el punto de vista de la tecnología de señales.

De acuerdo con el primer aspecto de la invención está previsto, desde el punto de vista de la tecnología de procedimientos:

- que desde el dispositivo de entrada se suministre información de entrada, en particular coordenadas relativas o absolutas relacionadas con píxeles de imagen, a la unidad de monitorización a través de una ruta de señal lógica o física o un primer canal, en función de la cual se puede reconocer una selección del elemento operativo;

- que la unidad de monitorización, para recibir una confirmación controlada por el usuario en relación con la selección, a través de una ruta de señal segura, en particular un segundo canal físico independiente y dedicado, esté conectada a un dispositivo de confirmación realizado en particular como un dispositivo seguro y preferentemente independiente del ordenador de representación y/o del dispositivo de entrada desde el punto de vista de la tecnología de señales;

- que la unidad de monitorización garantice -en particular asegure o provoque y/o verifique por sí misma- que una o cada selección, controlada por el usuario, del elemento operativo con función de seguridad esté correctamente representada como es de esperar o realmente en los datos de imagen que se suministran a la pantalla; y - que la unidad de monitorización, en el caso de una confirmación controlada por el usuario que se recibe a través del segundo canal dentro de un período de tiempo durante el cual hay una selección representada de manera fiable, en particular de manera garantizada o verificada, del elemento operativo, habilite o dispare la función relevante para la seguridad asignada a este elemento operativo.

El disparo puede tener lugar, a este respecto, en particular emitiendo un comando correspondiente, preferentemente a través de un tercer canal especialmente previsto para una comunicación segura.

De acuerdo con la invención, la selección por medio del dispositivo de entrada no va acompañada todavía de una activación u operación de la función relacionada con la seguridad, sino que ésta representa inicialmente solo una selección del elemento operativo relacionado con la seguridad visible o visual para el usuario. Solo con una confirmación controlada por el usuario en el dispositivo de confirmación adicional, que está preferentemente conectado directamente al módulo de monitorización y/o está implementado de manera segura, se activa realmente una activación u operación del elemento operativo, siempre que el módulo haya verificado que se cumplen o haya constatado los requisitos esperados por parte del módulo, o los haya asegurado él mismo. Los requisitos comprenden en particular una reproducción según lo esperado o correcta de la selección en los datos de imagen que se suministran a la pantalla.

El concepto de visualización y operación de las estaciones de trabajo informáticas clásicas se puede conservar así y se puede utilizar cualquier dispositivo de entrada disponible comercialmente. En particular, se puede usar de acuerdo con la invención un dispositivo apuntador COTS (commercial off-the-shelf). Preferentemente se utilizan dispositivos apuntadores indirectos y relativos comunes para la entrada 2D como dispositivos de entrada, en particular un ratón de ordenador o, de manera equivalente, por ejemplo, un trackball, joystick, touchpad, un digitalizador o similares.

La seguridad de la operación o entrada se logra, entre otras cosas, mediante la activación separada en un dispositivo de confirmación adicional, por ejemplo, un pulsador seguro conectado a la unidad de monitorización, en asociación con la selección visualizada de manera fiable de acuerdo con la invención. Por lo tanto, el usuario está involucrado como una instancia para confirmar la entrada realmente deseada con ayuda del dispositivo de confirmación.

Por lo tanto, el enfoque propuesto de acuerdo con la invención puede prescindir -a diferencia de los documentos EP 2 551 787 B1 o DE 202015 104887 U1- de una entrada segura y de la determinación de información de entrada, en particular coordenadas absolutas, por ejemplo, mediante una pantalla táctil, o de una entrada directa (a través de teclas programables) al dividir esencialmente la operación de entrada en tres subetapas, a saber:

i) generación o determinación de la información de entrada, por ejemplo, coordenadas de selección, por separado de la activación propiamente dicha;

ii) una visualización basada en ello de la selección o elección del elemento operativo para la validación o confirmación de la entrada conforme a la selección visualizada por el usuario; y iii) una activación posterior o subsiguiente de la función relevante para la seguridad asignada al elemento operativo en función de una confirmación con ayuda del dispositivo de confirmación adicional por parte del usuario.

En la subetapa i), por ejemplo, las coordenadas se pueden determinar usando un ratón de ordenador disponible comercialmente que, como un dispositivo apuntador relativo, transmite un desplazamiento como cambio de coordenadas (coordenadas DELTA) a un controlador. A partir de esto pueden calcularse coordenadas absolutas relacionadas con el gráfico visualizado, por ejemplo, a partir de una posición previa y el cambio o desplazamiento. Para implementar la subetapa ii) se pueden almacenar, por ejemplo, coordenadas absolutas en la unidad de monitorización, es decir, en el módulo más seguro, y preferentemente este módulo puede visualizarlas de manera segura, por ejemplo en forma del puntero de ratón, en las coordenadas absolutas conocidas en el módulo. Como alternativa o de manera complementaria, en particular para posiciones o coordenadas fuera de áreas de imagen predefinidas con elementos operativos relevantes para la seguridad, la visualización también puede ser realizada por el ordenador de representación inseguro. Dentro de áreas de imagen predefinidas con elementos operativos relevantes para la seguridad, la visualización debe tener lugar de manera segura o fiable en la posición que se corresponde con las coordenadas absolutas almacenadas en el módulo. En la subetapa iii), a partir de esto, el usuario o espectador puede reconocer y validar o confirmar la visualización como posición de selección válida para un elemento operativo relevante para la seguridad con el fin de disparar la operación deseada. Esto se puede hacer en la subetapa iii) activando un dispositivo de confirmación seguro independiente, tal como un pulsador. Basándose en esto, la unidad de monitorización o el módulo pueden generar o emitir un comando correspondiente.

En resumen, una selección visualizada de manera segura se separa de la activación del elemento operativo mediante confirmación con ayuda del dispositivo de confirmación. Por tanto, una determinación segura, dado el caso compleja, de la información de entrada, por ejemplo de coordenadas absolutas, que es difícil de implementar con cualquier dispositivo de entrada disponible comercialmente, no es necesaria gracias a la invención. Además, es irrelevante a través de qué canal, por ejemplo también un canal inseguro, se transmite la información de entrada a la unidad de monitorización. El dispositivo de entrada inseguro también puede estar conectado, por ejemplo, al ordenador inseguro.

La información de entrada se puede transmitir a la unidad de monitorización, por ejemplo, a través de la línea de datos de imagen, dado el caso junto con los datos de imagen, por ejemplo en un contenedor de datos de píxeles de acuerdo con el documento EP 2353089 B1.

El tipo y la generación de la información de entrada es fundamentalmente irrelevante con la solución propuesta, por lo que puede usarse cualquier dispositivo de entrada, en particular dispositivos apuntadores COTS indirectos y/o relativos.

A diferencia de las enseñanzas de los documentos EP 2551 787 B1 y DE 202015 104887 U1, se da preferencia al uso, en particular, de un dispositivo apuntador (en inglés: pointing device) adecuado para la entrada relativa y continua, en particular un dispositivo apuntador indirecto para la entrada 2D. A este respecto, se puede usar un dispositivo periférico disponible comercialmente o COTS, en particular un ratón de ordenador. Tales dispositivos permiten una guía intuitiva del puntero o cursor en la GUI. En consecuencia, el movimiento relativo registrado por el dispositivo apuntador se traduce y, en particular con respecto a la resolución de la pantalla, se traduce en un movimiento del puntero o en coordenadas de imagen.

La información de entrada que depende del dispositivo de entrada, en particular el dispositivo apuntador, se puede suministrar a la unidad de monitorización a través de cualquier interfaz. La transmisión a la unidad de monitorización puede tener lugar, en particular, directamente desde el dispositivo de entrada -s i este está conectado a la unidad de monitorización, en particular un componente de controlador de la unidad de monitorización- o indirectamente desde el ordenador, por ejemplo, un PC de escritorio con ratón de ordenador conectado.

La selección o visualización puede tener lugar, por ejemplo, mediante un puntero de ratón mostrado con ayuda de la unidad de monitorización o algún otro tipo de identificación visual, por ejemplo, por mediante un enmarcado a color o un cambio de color del elemento operativo seleccionado, por la unidad de monitorización o el módulo.

La unidad de monitorización puede detectar una validación o confirmación de entrada posterior por parte del usuario con respecto al elemento operativo crítico para la seguridad, por ejemplo resaltado visualmente por la unidad de monitorización, con el fin de emitir en función de ello un comando operativo de manera correspondiente al elemento operativo crítico para la seguridad o su función apropiada en la GUI.

En una forma de realización preferente, la propia unidad de monitorización asegura que una selección reconocida del elemento operativo esté correctamente representada en los datos de imagen suministrados a la pantalla. Esto se puede conseguir porque la unidad de monitorización modifica al menos una parte de los datos de imagen destinados a ser visualizados en un área de imagen predeterminada asignada al elemento operativo, y la unidad de monitorización reenvía los datos de imagen correspondientemente modificados a la pantalla. La modificación puede incluir, a este respecto, por ejemplo, una representación del puntero por parte de la unidad de monitorización o los datos de imagen modificados por ella representan un puntero en función de la posición de la información de entrada que se está suministrando actualmente a la unidad de monitorización. De manera complementaria o como alternativa, la modificación puede provocar un resaltado visual o una identificación visual de la selección para el usuario, en particular en un área de imagen predeterminada asignada al respectivo elemento operativo, en la pantalla.

Los datos de imagen pueden ser en particular datos de imagen digitales para una representación con formato de píxeles.

En particular, puede estar previsto que los datos de imagen modificados por la unidad de monitorización se superpongan a los datos de imagen generados por ordenador solo en algunas áreas, en particular en un área de imagen relativamente más pequeña en relación con toda la interfaz gráfica de usuario, es decir, que la representación GUI se genere al menos predominantemente por el ordenador de representación.

Como alternativa para asegurar la correcta visualización de la selección cambiando la imagen con ayuda de la propia unidad de monitorización, se puede prever que los datos de imagen generados por el ordenador de representación representen una selección del elemento operativo. En este caso está previsto, en particular, que la unidad de monitorización verifique que la selección reconocida de un elemento operativo esté correctamente representada en cada caso en los datos de imagen suministrados a la pantalla. Esto se puede lograr porque la unidad de monitorización calcula un código de verificación para los datos de imagen destinados a ser visualizados en un área de imagen predeterminada asignada al elemento operativo y compara este código de verificación con al menos un código de referencia previamente almacenado. Por ejemplo, una técnica según el principio de la patente EP 2 353 089 B1 del solicitante es adecuada para este propósito.

Para una operatividad fácil de implementar de la interfaz de usuario en el ordenador de representación y/o el simple reconocimiento de la selección en la unidad de monitorización, se debe prever que -dependiendo de si el dispositivo de entrada convencional está conectado directamente a la unidad de monitorización o al ordenador de representaciónse transmita información de entrada desde el dispositivo de entrada al ordenador a través de la unidad de monitorización o se transmita a través del ordenador a la unidad de monitorización. En una forma de realización preferente, un dispositivo de entrada convencional, en particular un ratón de ordenador, está conectado directamente a la unidad de monitorización.

En particular en asociación con la modificación de datos de imagen para asegurar la correcta visualización de la selección cambiando la imagen con ayuda de la unidad de monitorización, de nuevo está previsto preferentemente que la unidad de monitorización comprenda un primer componente de ordenador, al que se suministran los datos de imagen generados por ordenador en el lado de entrada, en particular desde el ordenador de representación a través de la línea de datos de imagen, y el primer componente de ordenador, en función de una selección del elemento operativo crítico para la seguridad, modifica estos datos de imagen para el resaltado visual de la selección y emite datos de imagen en el lado de salida, incluidos los datos de imagen dado el caso modificados en consecuencia, a la pantalla. A este respecto, la unidad de monitorización también puede comprender un segundo componente de ordenador, que se utiliza para verificar datos de imagen en el lado de salida del primer componente de ordenador, en particular datos de imagen modificados, por ejemplo, para la codificación de datos de imagen con el fin de comparar códigos generados por ordenador.

En particular, en un perfeccionamiento al respecto puede estar previsto que el primer componente de ordenador, en relación con los datos de imagen generados por ordenador o en el lado de entrada destinados a ser visualizados en el área de imagen predeterminada, calcule un código de verificación de primera fase y que la unidad de monitorización compare este código de verificación de primera fase con al menos un código de referencia previamente almacenado para el área de imagen predeterminada, calculando el primer componente de ordenador preferentemente en el lado de entrada, en una primera etapa, códigos de verificación de primera fase en relación con los datos de imagen generados por ordenador y, a continuación, en una segunda etapa, modifica los datos de imagen.

En una forma realización eficaz en cuanto a complejidad de hardware y computacional, que también se puede utilizar de forma modular para otras aplicaciones, como la verificación de la representación, puede estar previsto que:

- un o el primer componente de ordenador de la unidad de monitorización, en relación con los datos de imagen modificados por el primer componente de ordenador destinados a ser visualizados en el área de imagen predeterminada, calcule un primer código de verificación de segunda fase;

- un o el segundo componente de ordenador, en relación con los datos de imagen del lado de salida del primer componente de ordenador destinados a ser visualizados en el área de imagen predeterminada, calcule un segundo código de verificación de segunda fase; y

- la unidad de monitorización compare los códigos de verificación así generados de segunda fase entre sí, en particular con el fin de verificar un resaltado apropiado de la selección por el primer componente de ordenador.

En este sentido, ambos componentes de ordenador pueden calcular preferentemente en cada caso un tercer código de verificación en relación con los datos de imagen del área de imagen predeterminada sin selección, que la unidad de monitorización compara entre sí con el fin de verificar una visualización apropiada del elemento operativo antes de o sin el resaltado para la visualización de la selección.

Para reducir la potencia computacional necesaria, puede estar previsto que el o los componentes de ordenador solo calculen uno o más de los códigos de verificación antes mencionados cuando la unidad de monitorización reconoce una selección del elemento operativo.

Se pueden determinar códigos de verificación correspondientes en particular en relación con los datos de imagen con formato de píxeles para un área de imagen predeterminada asignada al elemento operativo, que, por ejemplo, coincide solo parcialmente o por completo con el área de visualización del elemento operativo. En este sentido se puede usar cualquier procedimiento de codificación adecuado, por ejemplo, un cálculo de CRC. En este sentido, se indica la enseñanza del documento WO 2011/003872 A1 o de la patente EP 2353089 B1 como solución preferente.

El primer componente de ordenador puede modificar los datos de imagen para resaltar visualmente la selección de tal modo que el elemento operativo seleccionado se visualice en un segundo estado seleccionado diferenciable visualmente de un primer estado de representación no seleccionado, por ejemplo, mostrando un enmarcado, variando el color, o similares. Esto mejora la ergonomía o simplifica el reconocimiento visual de la selección para el usuario. Sin embargo, incluso una mera visualización de puntero sobre un elemento operativo ya se entiende como una selección representada del elemento operativo. Sin embargo, si las coordenadas actuales coinciden con el elemento operativo relevante para la seguridad, un puntero se puede ocultar y reemplazar por mostrar un estado seleccionado visualmente reconocible.

En principio, en una forma de realización, el primer componente informático puede emitir a la pantalla datos de imagen modificados en un flujo de datos de imagen junto con datos de imagen generados por ordenador; esto puede lograrse de manera sencilla, por ejemplo, sobrescribiendo o superponiendo solo en algunas áreas los datos de imagen generados por ordenador en relación con el gráfico y dejando por lo demás los datos de imagen generados por ordenador sin cambios.

Preferentemente, la unidad de monitorización está realizada como un módulo de circuito con al menos un circuito integrado. Puede estar conectada al primer componente de ordenador en circuito en serie en la línea de datos de imagen, preferentemente cerca de la pantalla, en particular directamente en la entrada de datos de imagen de la pantalla.

En una forma de realización particularmente adecuada para conceptos operativos convencionales, se visualiza en la pantalla un puntero o cursor, en particular un puntero de ratón controlado por un ratón de ordenador, para operar la interfaz de usuario. A este respecto, puede estar previsto que el puntero sea generado exclusivamente por la unidad de monitorización, en particular mediante modificación de datos de imagen en la unidad de monitorización, por ejemplo con ayuda del primer componente de ordenador, sobre la base de la información de entrada que se suministra a la unidad de monitorización. En este sentido, a su vez, el dispositivo de entrada, preferentemente un dispositivo apuntador relativo, en particular un ratón de ordenador, puede estar preferentemente conectado directamente a la unidad de monitorización. En consecuencia, el módulo reenvía esta información de entrada al ordenador de representación.

El procedimiento y el dispositivo se pueden implementar de tal modo que el puntero o cursor sea visible para el usuario, en particular permanentemente visible, visualizado o mostrado en la GUI, con el fin de permitir una operación continua habitual.

Como dispositivo de entrada se usa preferentemente un dispositivo apuntador relativo y/o indirecto que sea preferentemente adecuado para guiar el puntero de manera continua. A este respecto se pueden usar dispositivos apuntadores COTS, por ejemplo, con conexión USB. Sin embargo, también entra dentro del alcance de la invención no prever un dispositivo apuntador COTS, sino un dispositivo apuntador fabricado específicamente que sea compatible con un dispositivo apuntador relativo convencional (por ejemplo, un ratón de ordenador) y, además, un dispositivo de confirmación independiente con capacidad SIL, por ejemplo, un pulsador seguro desde el punto de vista de la tecnología de señales, como componente integrado. A este respecto, el dispositivo de confirmación está conectado preferentemente a la unidad de monitorización independientemente de la conexión de señales del dispositivo apuntador a través de una ruta de señal separada propia, que está diseñada de manera lógica y/o físicamente segura.

En una forma de realización adicional con operación de puntero puede estar previsto que el puntero sea generado por el ordenador de representación, al menos fuera de todas las áreas de imagen predeterminadas para elementos operativos críticos para la seguridad. A este respecto puede estar previsto de nuevo que cuando la unidad de monitorización reconoce una selección de un elemento operativo crítico para la seguridad, no se visualice ningún puntero generado por ordenador en el área de imagen correspondiente, preferentemente mediante modificación de datos de imagen en la unidad de monitorización. En esta forma de realización en particular, el dispositivo de entrada, en particular un ratón de ordenador, puede estar conectado directamente al ordenador de representación de manera convencional, por ejemplo a través de un puerto USB. En consecuencia, este último reenvía la información de entrada a la unidad de monitorización.

En particular, para simplificar la verificación de datos de imagen, por ejemplo calculando códigos de verificación, puede ser ventajoso que el puntero, en particular el puntero de ratón, aparezca y desaparezca cíclicamente, preferentemente a una frecuencia que no sea percibida como molesta por el usuario. Así, por ejemplo, para en cada caso N ciclos de imagen sucesivos de los datos de imagen, el puntero de ratón solo puede representarse en un número m < N de ciclos de imagen por el ordenador o la unidad de monitorización. Esto ofrece la posibilidad de calcular códigos de verificación para datos de imagen con el puntero oculto, en particular para el o los elementos operativos. Esto simplifica considerablemente la verificación de una correcta visualización, ya que los punteros normalmente deberían ser muy variables en cuanto a su posición o deberían poder moverse en una cuadrícula muy fina dentro de la GUI. Alternativamente, la representación del puntero también puede fijarse o recortarse en una única posición predeterminada por medio de un software adecuado dentro del o los elementos operativos, siempre que las coordenadas determinadas o la información de entrada no lleven fuera del área asociada.

Dependiendo del dispositivo de entrada, la información de entrada puede representar en particular información de coordenadas absolutas, como es típico para un dispositivo táctil, o información de coordenadas relativas, como es típico para un ratón de ordenador. A este respecto, la información de coordenadas relativas se puede convertir fácilmente en información de coordenadas absolutas utilizando tecnología computacional.

En el lado del dispositivo, también se propone de manera genérica una unidad de monitorización para monitorizar una interfaz gráfica de usuario (GUI), que comprende al menos:

- una interfaz de datos de imagen digital para la conexión a una línea de datos de imagen para la transmisión de los datos de imagen generados por ordenador desde un ordenador a una pantalla, en particular una interfaz LVDS, una interfaz HDMI o similares;

- al menos un componente de ordenador que implementa una función de seguridad y lee al menos partes de los datos de imagen a través de la interfaz de datos de imagen; y

- una interfaz de dispositivo para información de entrada, en particular procedente de un dispositivo de entrada, para la selección controlada por el usuario de un elemento operativo gráfico.

Además, de acuerdo con el primer aspecto, la invención está previsto que: la unidad de monitorización presente una entrada de confirmación física a la que se pueda conectar el dispositivo de confirmación seguro para la confirmación de la entrada o validación del usuario, y el al menos un componente de ordenador esté configurado para asegurar y/o verificar que una selección reconocida del elemento operativo está correctamente representada en los datos de imagen suministrados a la pantalla, en particular de acuerdo con una de las formas de procedimiento mencionadas anteriormente.

Además, de acuerdo con la invención, la unidad de monitorización de acuerdo con el primer aspecto está configurada para emitir un comando operativo relevante para la seguridad asignado al recibir una entrada de confirmación a través de la interfaz de confirmación, en particular durante una selección representada del elemento operativo o en relación temporal predeterminada con una selección representada del elemento operativo, en particular a través de una interfaz de seguridad.

La unidad de monitorización propuesta tiene preferentemente al menos un componente de ordenador que está configurado para la modificación de datos de imagen y/o para calcular códigos de verificación a partir de los datos de imagen. Puede presentar al menos una memoria para especificar áreas de imagen predeterminadas y/o códigos de referencia, en particular con fines de verificación.

La unidad de monitorización tiene preferentemente un componente de controlador para un dispositivo de entrada, que está conectado a la interfaz del dispositivo para la conexión directa de un dispositivo de entrada. Por ejemplo, en particular un ratón de ordenador se puede conectar así directamente a la unidad de monitorización. En este caso, en particular, la unidad de monitorización tiene preferentemente una interfaz de datos, en particular una interfaz de datos bidireccional, para transmitir información de entrada al ordenador externo o independiente de representación.

De acuerdo con otro aspecto independiente de la invención, se propone que la unidad de monitorización presente una arquitectura de ordenador de dos fases o, dado el caso, de dos canales con

- un primer componente informático o componente de ordenador, que está configurado para obtener datos de imagen generados por ordenador en el lado de entrada y, dependiendo de una función de seguridad, para modificar al menos una parte de los datos de imagen destinados a ser visualizados en un área de imagen predeterminada, así como para emitir datos de imagen en el lado de salida a una pantalla, y con

- un segundo componente informático o componente de ordenador, que está configurado para verificar datos de imagen emitidos por el primer componente de ordenador mediante el cálculo de un código de verificación para datos de imagen, en particular datos de imagen modificados, destinados a ser visualizados en el área de imagen predeterminada.

Esto se considera una invención independiente, que hace posible -en particular, pero no exclusivamente para entradas seguras- con ayuda de la unidad de monitorización mostrar imágenes relacionadas con la seguridad o resaltarlas de manera segura en la interfaz gráfica de usuario.

A este respecto, según el segundo aspecto, la unidad de monitorización puede estar configurada o diseñada en particular de tal modo que compara los códigos de verificación calculados con en cada caso al menos un código de referencia previamente almacenado, en particular con el fin de verificar un resaltado apropiado por el primer componente de ordenador y/o con el fin de autorizar una reacción relacionada con la seguridad.

Esta unidad de monitorización con arquitectura en dos niveles es particularmente, pero no exclusivamente, adecuada para un procedimiento según el primer aspecto descrito al principio. También se puede utilizar ventajosamente para otras aplicaciones, por ejemplo, para mostrar de forma segura una visualización de estado que indique si un área está siendo monitorizada o no, para visualizar de manera segura áreas de monitorización predeterminadas para una mera visualización (sin función de entrada), para garantizar que las áreas representadas defectuosamente sean ocultas o superpuestas de manera fiable, o se identifiquen como defectuosas, etc.

En particular, de acuerdo con el segundo aspecto, el primer componente de ordenador puede estar configurado, en relación con los datos de imagen generados por ordenador destinados a ser visualizados en un área de monitorización, para calcular un código de verificación para una comparación relacionada con la seguridad con al menos un valor de referencia previamente almacenado, en particular, un código de referencia, para el área de monitorización. A este respecto, el primer componente de ordenador puede calcular en primer lugar códigos de verificación en el lado de entrada en relación con los datos de imagen generados por ordenador y, a continuación, modificar los datos de imagen en una segunda fase, por ejemplo, para resaltar información relevante para la seguridad o como reacción relacionada con la seguridad en caso de error. En particular, en un perfeccionamiento según el segundo aspecto puede estar previsto que el primer y segundo componente de ordenador implementen diferentes procedimientos de codificación y/o estén implementados por dos circuitos integrados separados, tales como FPGA, ASIC o similares, en particular de diferente tipo, es decir, de forma diversa, con el fin de minimizar la susceptibilidad a errores sistemáticos mediante la diversidad.

En una forma de realización, en particular en relación con el segundo aspecto, el al menos un componente de ordenador con función de seguridad, en particular el primer y segundo componente de ordenador, pueden generar en cada caso computacionalmente códigos de verificación en relación con áreas de imagen seleccionadas.

El o los componentes de ordenador pueden estar conectados a una disposición de votante, por ejemplo, con uno o más procesadores, que están previstos y configurados para comparar los códigos de verificación generados con datos de referencia previamente almacenados. La disposición de votante se puede implementar preferentemente en este sentido como un circuito de procesador de dos canales, en el caso de dos componentes de ordenador preferentemente como votante 2oo2, aunque también son posibles otros conceptos de votante "X-out-of-Y" (X de Y), dependiendo de los requisitos de seguridad y/o disponibilidad.

Si se utiliza un segundo componente de ordenador, este también puede estar realizado con dos canales en cuanto a modificación de datos de imagen, es decir, de manera redundante con respecto al primero, aunque esto no es obligatorio. Si los componentes de ordenador son de dos canales, el segundo componente de ordenador puede modificar de manera redundante al menos una parte de los datos de imagen de manera idéntica al primero. Si ambos calculan un primer o segundo código de verificación correspondiente en relación con los datos de imagen modificados o modificados de manera redundante, estos pueden compararse entre sí en cuanto a la seguridad funcional por la unidad de monitorización, en particular la disposición de votante. Esto permite garantizar que el primer componente de ordenador haya modificado los datos de imagen de la manera esperada o correctamente, por ejemplo para marcar u ocultar un área crítica para la seguridad.

Independientemente del primer o segundo aspecto, la unidad de monitorización tiene preferentemente un módulo para la comunicación relacionada con la seguridad a través de una interfaz de bus, que por lo tanto se puede utilizar como una interfaz de seguridad para emitir comandos operativos relacionados con la seguridad, por ejemplo, para la comunicación según IEC 61784-3-3 o el protocolo PROFIsafe, o similares.

Independientemente del primer o segundo aspecto, la unidad de monitorización se puede configurar, en particular mediante componentes informáticos configurables o programables, unidades lógicas o componentes de ordenador, tales como FPGA y/o microcontroladores, de tal modo que esté configurada para la ejecución implementada por ordenador de al menos una etapa de procedimiento según una de las formas de realización según la tecnología de procedimientos explicadas anteriormente. En el presente caso, el término componente de ordenador no se limita a ordenadores programables, por ejemplo, ordenadores Von Neumann, sino que abarca cualquier unidad que sea capaz de procesar computacionalmente datos de imagen, por ejemplo, también FPGA preconfigurados, ASIC y similares.

La unidad de monitorización propuesta según el primer o segundo aspecto es particularmente adecuada para equipar un dispositivo de visualización para visualizar gráficos de píxeles, en particular con un panel TFT. En este sentido, la unidad de monitorización modular puede estar integrada en el dispositivo, por ejemplo, directamente en la entrada de datos de imagen. La pantalla puede tener, a este respecto, al menos una conexión para un dispositivo de entrada, conectada a la interfaz de dispositivo de la unidad de monitorización, y una conexión para un dispositivo de confirmación seguro, conectada a la entrada de confirmación de la unidad de monitorización.

La invención se refiere también a un sistema para una entrada relevante para la seguridad en una GUI, que comprende un ordenador y una pantalla para gráficos de píxeles conectada al mismo a través de una línea de datos de imagen. De acuerdo con la invención, en particular según el primer aspecto, está prevista a este respecto una unidad de monitorización que está físicamente separada del ordenador, como se describió anteriormente.

Según el primer aspecto, el sistema puede comprender además un dispositivo de entrada, en particular un ratón de ordenador, para operar una interfaz de usuario, el cual preferentemente está conectado directamente a la interfaz de dispositivo de la unidad de monitorización. Además, al menos según el primer aspecto, un dispositivo de confirmación seguro independiente, en particular un pulsador de seguridad, por ejemplo con contacto de apertura y cierre, está conectado a la entrada de confirmación física de la unidad de monitorización.

Las características de procedimiento y las características de dispositivo anteriores pueden combinarse entre sí y también pueden considerarse en cada caso de forma independiente o individual como relevantes para la invención.

La solución propuesta puede utilizarse ventajosamente, por ejemplo, para la parametrización en procedimientos o sistemas relevantes para la seguridad, por ejemplo, de la tecnología de procedimientos o la tecnología de automatización, con el fin de permitir una operación segura y, al mismo tiempo, fácil de usar a través de una GUI.

El campo de aplicación de la invención no se limita a pantallas o sistemas de ordenador de sobremesa, sino que también abarca los denominados convertibles o pequeños dispositivos portátiles, por ejemplo para el control remoto de máquinas o instalaciones. Estos pequeños dispositivos, tales como ordenadores de tipo tableta y similares, se utilizan ahora, por ejemplo, para controlar grúas de contenedores en puertos o para programar robots industriales. Además, la invención también se puede utilizar en el ámbito crítico de la seguridad de acceso o de autorización (en inglés: security), en particular de sistemas que requieren autorización.

Otras características y ventajas de la invención se pueden deducir de la siguiente descripción más detallada de ejemplos de realización preferentes con referencia a las figuras adjuntas, sin limitar el alcance de protección. En este caso muestran

FIG. 1: un diagrama esquemático de un sistema para entradas de usuario relevantes para la seguridad en una interfaz gráfica de usuario (GUI) generada por un ordenador inseguro;

FIG. 2A-2C: tres ejemplos de realización para monitorizar una GUI, con dispositivo de entrada conectado al ordenador de representación y dispositivo de confirmación conectado a una unidad de monitorización de acuerdo con la invención (FIG. 2A); con dispositivo de entrada y dispositivo de confirmación conectados a una unidad de monitorización de acuerdo con la invención (FIG. 2B); y (FIG. 2C) una variante del dispositivo de confirmación de la FIG. 2B;

FIG.3A-3C: para ilustrar un procedimiento de acuerdo con la invención, diferentes estados de una GUI meramente a modo de ejemplo en una pantalla, con elementos operativos y un puntero de ratón para seleccionar un elemento operativo en diferentes estados: con un elemento operativo no relevante para la seguridad seleccionado (FIG. 3A), sin selección (FIG. 3B) y con un elemento operativo relevante para la seguridad seleccionado (FIG. 3C);

FIG. 4A-4B: dos ejemplos de realización de una unidad de monitorización con diagramas de flujo de señales esquemáticos para ilustrar cómo la unidad de monitorización asegura que una selección reconocida de un elemento operativo esté correctamente representada en los datos de imagen;

FIG. 5A-5B: arquitecturas de una unidad de monitorización para la entrada segura (FIG. 5A) y/o la visualización (FIG. 5B) en aplicaciones críticas para la seguridad de acuerdo con un aspecto adicional independiente de la invención; y

FIG. 6: un diagrama esquemático de un dispositivo de visualización con una unidad de monitorización integrada de acuerdo con uno de los aspectos de la invención.

La figura 1 muestra esquemáticamente una disposición o un sistema 10 para entradas relevantes para la seguridad en una interfaz gráfica de usuario (GUI), con un ordenador 1 que genera datos de imagen digitales con formato de píxeles. Los datos de imagen se suministran a una pantalla COTS 2, por ejemplo, una pantalla de ordenador TFT, a través de una línea de datos de imagen 3 adecuada, para su visualización. Cualquier ordenador COTS, por ejemplo un PC de escritorio, puede considerarse como ordenador 1 de representación de gráficos, en lo sucesivo, PC 1 para abreviar. El PC 1 debe considerarse inseguro en el sentido de los requisitos de seguridad o no seguro desde el punto de vista de la tecnología de señales o inseguro en el sentido de la tecnología de seguridad. El PC 1 se puede programar 0 está programado (cf. FIG. 3A-3C), entre otras cosas, para representar cualquier GUI deseada en la pantalla 2, en función de la aplicación, dado el caso con diferentes modos o máscaras de pantalla en función del contexto. Forma parte del sistema 10 de la figura 1 un dispositivo de entrada para operar la GUI, concretamente en la figura 1 un dispositivo apuntador relativo, continuo e indirecto, en este caso un ratón de ordenador 4 disponible comercialmente. El ratón de ordenador COTS, ratón 4 para abreviar, está conectado según la tecnología convencional, en la figura 1 al PC 1, por ejemplo. Desde el punto de vista de la tecnología de la seguridad, el ratón 4 también debe considerarse inseguro.

Con ayuda del ratón 4, o algún otro dispositivo apuntador relativo, indirecto y continuo, el usuario puede operar los elementos operativos gráficos de la manera habitual, moviendo un puntero de posición o puntero de ratón 5 en la representación GUI generada por el PC 1.

Para lograr el nivel de seguridad deseado, por ejemplo SIL-3, a pesar del uso de componentes inseguros, como el PC 1 de representación inseguro y un dispositivo de entrada COTS, en este caso el ratón 4, -ta l como se muestra esquemáticamente en la figura 1 - está prevista una unidad de monitorización 11 modular adicional. La unidad de monitorización 11 está prevista en forma de hardware independiente o como módulo autónomo y con certificado de seguridad. La unidad de monitorización 11 modular, en lo sucesivo denominada SMU (en inglés: safety monitoring unit) para abreviar, está conectada a la línea de datos de imagen 3 y puede, por ejemplo, estar conectada a la entrada de datos de imagen de la pantalla 2. La SMU 11 está configurada para leer al menos partes de los datos de imagen de la línea de datos de imagen 3 con el fin de implementar una función de seguridad y monitorizar áreas de imagen predeterminadas, en particular con vistas a detectar errores, y/o dado el caso también para modificar los datos de la imagen para su visualización en la pantalla 2. La línea de datos de imagen 3 puede transmitir en cualquier formato de señal adecuado, por ejemplo LVDS o similar, siendo los datos de imagen preferentemente digitales y con formato de píxeles.

Se suministra también a la SMU 11 información de entrada a través de una primera ruta de señal o canal 11A, que no tiene que ser de diseño seguro. Esta comprende, en particular, partiendo de la operación del ratón 4, determinadas coordenadas, o bien coordenadas relativas (FIG. 2A) o bien coordenadas de puntero relacionadas con gráficos generadas a partir de las mismas (FIG. 2B) de un puntero del ratón 5 (= cursor). Las coordenadas del puntero pueden ser determinadas en la figura 1, por ejemplo, por el PC 1 a partir de las coordenadas relativas del ratón 4 y transmitidas desde el PC 1 a la SMU 11 a través del primer canal 11A. Dependiendo del dispositivo de entrada, por ejemplo un digitalizador, también pueden generarse coordenadas absolutas y transmitirse a la SMU 11 a través del canal 11A.

Sobre la base de dicha información de entrada, en particular las coordenadas del puntero, la SMU 11 puede reconocer una elección o una selección controlada por el usuario de un elemento operativo 6 crítico para la seguridad (en este caso solo indicado esquemáticamente). Cualquier elemento operativo de la GUI puede considerarse como un elemento operativo 6 crítico para la seguridad, cuya activación tiene asignada o disparará una función relevante para la seguridad en función de la aplicación, en el sentido de seguridad operativa o frente a peligros (en inglés: safety) (por ejemplo, cambio de agujas en una cabina de enclavamiento de la ingeniería ferroviaria), o también la seguridad de acceso o autorización (en inglés: security) (por ejemplo, una entrada de PIN). Dicho elemento operativo crítico para la seguridad se denomina en lo sucesivo SEE (en inglés: safety/security relevant entry element), para abreviar.

La figura 1 también muestra un dispositivo de confirmación 14 independiente, en lo sucesivo CD (en inglés: confirmation device) para abreviar, que está conectado a la SMU 11 a través de una segunda ruta de señal o canal 11B. El CD 14 está implementado preferentemente por separado del ratón 4 en cuanto a hardware. El CD 14 es preferentemente compatible con SIL y, en cualquier caso, está conectado a la SMU 11 a través de un canal 11B seguro propio. El CD 14 sirve en el sistema 10 para la confirmación controlada por el usuario de una operación o activación deseada de un elemento operativo crítico para la seguridad, que se muestra esquemáticamente como SEE 6, el cual fue seleccionado previamente con ayuda del cursor 5 controlado por el ratón 4. En este sentido, la activación de teclas del ratón 4 se ignora en el caso de los SEE 6 mediante una correspondiente programación o no puede servir para disparar una función crítica asignada al SEE 6 en cuestión. Por el contrario, el usuario debe realizar un correspondiente disparo con ayuda del CD 14, por ejemplo, un pulsador o botón seguro. Por tanto, el usuario valida o confirma su elección o selección para uno o para cada SEE 6 previsto en cada caso por separado e individualmente mediante entrada en o activando el CD 14 adicional.

Una selección de elementos operativos, incluido uno de, dado el caso, varios SEE 6, tiene lugar conforme a un control de usuario del cursor 5. La SMU 11 también está configurada computacionalmente, por ejemplo programada, de tal modo que o bien ella misma asegure, o al menos verifique, que una elección o selección reconocida de uno de, dado el caso, varios SEE 6 (cf. FIG. 3A-3C a continuación) está correctamente representada en los datos de imagen que se suministran a la pantalla 2 a través de la línea de datos de imagen 3. Se garantiza así que una selección que se considera realizada actualmente dentro de la SMU 11 desde el punto de vista de la tecnología de programas, por ejemplo, sobre la base de las coordenadas del puntero del cursor 5, se corresponde de manera segura con lo que se visualiza para el espectador o usuario mediante una identificación adecuada en la pantalla 3. Esto último se puede implementar en la SMU 11 desde el punto de vista de la tecnología de software.

Cómo tiene lugar a este respecto la identificación para el usuario, en particular si la genera el PC 1 o la SMU 11, es de importancia secundaria siempre que un usuario reconozca visualmente la selección que la SMU 11 considera o tiene almacenada como válida actualmente. En particular, la identificación puede reducirse meramente al hecho de que el cursor 5 apunte de manera convencional a un SEE 6, ya que esto es visible para el usuario y corresponde al funcionamiento habitual. El concepto de visualización y el concepto operativo de las estaciones de trabajo de escritorio clásicas con PC 1, pantalla 2 y cursor 5 guiado por ratón en una GUI se mantienen por tanto.

El sistema 10 logra el nivel de seguridad deseado, por ejemplo SIL-3, entre otras cosas, porque no es el PC 1 de representación (inseguro), sino exclusivamente la s Mu 11 segura o apta para SIL la que, al recibir una confirmación controlada por el usuario desde el CD 14 previsto específicamente para este fin, dispara un comando operativo relevante para la seguridad o habilita una función relevante para la seguridad que se ajusta al SEE 6 seleccionado. Una asignación unívoca de la selección de cualquier elemento operativo de la GUI es inherente a una GUI basada en puntero con cursor 5 (ya que siempre hay un solo cursor 5). La confirmación, si se da, se asigna precisamente a una única selección considerada actualmente como segura por la SMU 11, es decir, a exactamente un SEE 6, o se descarta de lo contrario. Con este fin, la SMU 11 monitoriza o consulta en particular una activación del CD 14 durante una selección del SEE 6 en cuestión, y esto es utilizado por la SMU 11 para disparar un comando operativo asignado a este SEE 6. Puede omitirse una monitorización o consulta del CD 14 si la SMU 11 no reconoce ninguna selección válida de uno de, dado el caso, varios SEE 6 o puede tener lugar solo si se reconoce una selección (comportamiento a prueba de fallos). En el presente caso, la pantalla 2 se considera segura, ya que el usuario puede reconocer los casos de error típicos (detección de errores). Sin embargo, también se pueden implementar medidas de hardware adicionales para verificar una correcta visualización en la pantalla 2.

Las figuras 2A-2C muestran tres formas de realización de sistemas 20A, 20B, 20C de acuerdo con la invención para la entrada segura con ayuda de un dispositivo apuntador relativo, con una SMU 11 o 21 en el flujo de datos de imagen 3. La figura 2A muestra un sistema 20a que se corresponde en gran medida con el principio de la figura 1, es decir, con un ratón 4 que está conectado directamente al PC 1, por ejemplo a un puerto USB, así como un pulsador seguro como CD 14. El CD 14 está conectado directamente a la SMU 11 independiente a través de un canal 11B seguro. Las coordenadas relativas del ratón 4 se convierten en este caso en el PC 1 en coordenadas de puntero absolutas o relacionadas con la imagen para controlar el cursor 5 y se transmiten continuamente a la SMU 11 a través de un canal 11 A, que no tiene que estar diseñado de manera segura. Alternativamente, también pueden determinarse coordenadas absolutas del puntero en la SMU 11 y enviarse de vuelta al PC 1 a través del canal 11A. El canal 11A es bidireccional en el sistema 20A, de modo que la s Mu 11 puede realimentar comandos de control al PC 1, en particular en cuanto a la representación en la pantalla 2, por ejemplo, con respecto al ocultamiento del cursor 5 cuando apunta a un SEE 6, a un resaltado visual adicional del SEE 6 al que apunta actualmente el cursor 5 (selección), etc. Si el ratón está conectado al PC 1 es preferible que esté programado de tal manera que los SEE 6 no puedan ser operados directamente a través del PC 1 o a través de teclas del ratón 4.

Además, la SMU 11 está conectada a un ordenador de seguridad 7 externo de orden superior, por ejemplo un controlador de sistema o similar, a través de una ruta de señal segura o canal 11D seguro. La SMU 11 emite un comando operativo relevante para la seguridad asignado al SEE 6, por ejemplo, a través del canal 11D al ordenador de seguridad 7, al recibir una confirmación controlada por el usuario en el pulsador 14, durante una selección representada del SEE 6 (al que apunta el cursor 5), por ejemplo, una tecla de validación de la GUI para una parametrización del sistema. La ruta de señal segura o canal 11D seguro hacia el ordenador de seguridad 7 puede implementarse mediante un bus adecuado o una red adecuada, por ejemplo PROFINET (cf. FIG. 6) o ProfiSafe, preferentemente con una capa de seguridad (modelo OSI) adecuada para la transmisión segura desde el punto de vista de la tecnología de señales.

El CD 14 puede estar diseñado de manera funcionalmente segura, por ejemplo, a través de tecnología de controlador adecuada en la SMU 11, y estar realizado, por ejemplo, como pulsador 14 de un solo canal. Un controlador adecuado puede garantizar un funcionamiento fiable del CD 14 puramente en términos de software. Para mayores requisitos de seguridad, el CD 14 también puede estar realizado con dos canales, por ejemplo, con un abridor y un cerrador, y/o físicamente seguro. Sobre todo, hay que asegurar que el CD 14 no transmita erróneamente a la SMU 11 una activación que no se haya efectuado realmente. El usuario reconoce como error que no se efectúe una activación en el CD 14.

Con el sistema 20A según la figura 2A, el puntero 5, que es controlado por el ratón 4, se puede mostrar continuamente, por ejemplo, con ayuda del PC 1 de representación, y la representación en la pantalla 2 puede ser monitorizada para verificar que sea correcta por la SMU 11, por ejemplo de acuerdo con el concepto del documento WO 2011/003872 A1, es decir, usando códigos de verificación que la SMU 11 calcula para áreas de monitorización con formato de píxel, y usando los códigos de verificación en una comparación con un código de referencia o para inferir un valor que luego se compara con un valor de referencia. La enseñanza sobre el uso de códigos de verificación del documento WO 2011/003872 A1 o de la patente EP 2353089 B1 se considera una solución preferente.

La figura 2B muestra un sistema 20B preferente que difiere de la figura 2A sobre todo en que el ratón 4 está conectado directamente a la SMU 21 a través del canal 11A. Para este propósito, la SMU 21 puede comprender, por ejemplo, un controlador de dispositivo de entrada adecuado para ello, por ejemplo en un microcontrolador o procesador existente, o presentar un componente de hardware independiente integrado adecuado. El controlador del dispositivo de entrada también se puede implementar externamente por separado y, a través de una interfaz, por ejemplo, I2C, comunicarse con la SMU 21 (FIG. 6). En la arquitectura preferente de la figura 2B, las coordenadas relativas, que el ratón 4 genera 0 transmite como entrada, se convierten en coordenadas de puntero relacionadas con la imagen dentro de la SMU 21. Las coordenadas de puntero relacionadas con la imagen resultantes o también las coordenadas de entrada relativas del ratón y, dado el caso, las interrupciones de teclas del ratón son transmitidas entonces por la SMU 21 continuamente al PC 1 a través del canal de datos 11C con fines de control de la GUI, de modo que el PC 1 puede procesar la posición del puntero para representar la GUI y eventualmente activar las teclas del ratón 4 para entradas no relevantes para la seguridad. En la variante según la figura 2B, la SMU 21 siempre dispone de datos de entrada actuales y, dado el caso, también seguros del dispositivo de entrada, en este caso el ratón 4.

En particular con un sistema 20B según la figura 2B, el puntero 5 controlado por el ratón 4 se muestra continuamente, preferentemente dentro de o por la propia SMU 21. Con este propósito, la SMU 21 efectúa una modificación de los datos de imagen que se reenvían a la pantalla 2, por ejemplo, mediante superposición del gráfico generado por el PC 1 en algunas áreas (véase más abajo en relación con las figuras 4A-4B a continuación). La SMU 21 inherentemente siempre tiene conocimiento de las coordenadas del puntero y también de cada selección de un SEE 6 con el fin de disparar una función crítica asignada mediante el CD 14 mediante posterior confirmación por parte del usuario, por ejemplo, con el fin de reenviar al ordenador de seguridad 7 a través del canal 11D un comando operativo relevante para la seguridad asignado.

La figura 2C muestra otra variante de un sistema 20C, que se diferencia principalmente en el tipo de dispositivo de confirmación (CD). En el sistema 20C, un teclado 25 de teclas programables, que está previsto en una HMI que comprende la pantalla 2, está conectado a la SMU 21 como un dispositivo de confirmación seguro a través de una ruta de señal 11B segura. El teclado 25 de teclas programables corresponde, a este respecto, al diseño según el documento DE 202015 104887 U1, al que se remite en este sentido en aras de la brevedad. La funcionalidad está garantizada por el controlador 26 de teclas programables. Alternativamente, la SMU 21 puede leer las teclas 24 de forma directa y segura. Las teclas 24 están normalmente dispuestas en el borde de la pantalla 2. A este respecto, el PC 1 puede visualizar iconos gráficos 23, símbolos, etc., que están asignados a las teclas 24 individuales del teclado 25 de teclas programables. Para la entrada de confirmación para un SEE 6 se puede usar, dependiendo del contexto, una tecla 24 diferente o siempre la misma en cada caso, pudiendo visualizarse para el usuario visualmente, por ejemplo, con ayuda de un icono 23 adecuado en la GUI, la relevancia de seguridad o la operación de confirmación requerida, para un uso más intuitivo. La corrección de la representación de dichos iconos 23 complementarios en relación con la operación de confirmación también puede monitorizarse de nuevo por la SMU 21, por ejemplo, mediante codificación de los datos de imagen asignados y comparación con un código de referencia esperado, de acuerdo con el concepto del documento WO 2011/003872 A1.

En el sistema 20C también se implementa una separación entre la elección o la selección basada en puntero del SEE 6 crítico y su activación/operación propiamente dicha mediante una confirmación independiente, en este caso, en una de las teclas 24 de tipo teclas programables. La correspondiente tecla 24 de tipo teclas programables está asignada al SEE 6 seleccionado en la SMU 21 de manera predeterminada para la entrada de confirmación. En consecuencia, cuando el usuario realmente lo confirma, es decir, cuando se presiona la tecla 24 predeterminada, la SMU 21 puede enviar el comando operativo asignado al ordenador de seguridad 7 a través del canal 11D. Por lo demás, si el cursor 5 es mostrado exclusivamente por la SMU 21, el sistema 20C puede implementar adicionalmente, dado el caso, funcionalidades adicionales de acuerdo con el documento DE 20 2015 104 887 U1 o también de acuerdo con el documento EP 2551 787 B1. Si el cursor de posición variable es mostrado por el PC 1, tal solución, sin embargo, no sería posible sin una considerable complejidad de software debido al requisito de códigos de verificación unívocos a partir de los datos de imagen. En este caso, sin embargo, la atención se centra en la operación segura de la GUI a través del cursor 5 con ayuda de un dispositivo de entrada relativo, continuo e indirecto, tal como el ratón 4, es decir, otras funciones de las teclas 24 de tipo teclas programables además de la entrada de confirmación son opcionales.

Con ayuda de una GUI 2A esquemática en la figura 3A-3C, a continuación se explica brevemente el modo de funcionamiento o el procedimiento.

El usuario mueve el cursor 5 sobre la imagen visualizada por la pantalla 2 o dentro de la GUI 2A. A este respecto, también están previstos dado el caso varios elementos operativos 9 no relevantes para la seguridad, cuya operación es implementada de manera completamente convencional por el PC 1, dado el caso sin la participación de la SMU 11; 21.

Sin embargo, si la posición del cursor 5, reconocible con ayuda de las coordenadas del puntero, se lleva a un área de imagen predefinida (área de monitorización) correspondiente a un SEE 6, la SMU 11; 21 reconoce una selección relevante para la seguridad. Con este fin, las coordenadas del puntero (coordenadas absolutas) son siempre almacenadas de manera actualizada en la SMU 11; 21, debido a una transmisión indirecta (FIG. 2A) o directa (FIG.

2B/2C) desde el dispositivo de entrada 4. Se reconoce una selección con ayuda de las coordenadas de imagen relacionadas con el gráfico que están predeterminadas en la SMU 11; 21 como área de visualización del SEE 6 o área de monitorización correspondiente. La entrada del cursor 5 en esta área gráfica de la GUI 2A es reconocida, por ejemplo, en una fase de entrada de la SMU 11; 21. Opcionalmente, ya sea por el PC 1 controlado por la SMU 11; 21 o preferentemente por la propia SMU 11; 21, tiene lugar un resaltado visual adicional de esta área, por ejemplo mediante un rebordeado 8 claramente reconocible o similar, tal como se indica esquemáticamente en la figura 3C.

El SMU 11; 21 tiene conocimiento de una selección actual del o de un SEE 6 gracias a las coordenadas de puntero actuales del puntero 5. En el caso de tal selección, la SMU 11; 21 verifica o asegura una correcta representación del puntero y, opcionalmente, un resaltado visual adecuado. Basándose en esto, la SMU 11; 21 puede reconocer una entrada de confirmación, en particular una entrada de confirmación realizada durante el resaltado activo del SEE 6 elegido, en el pulsador 14 o 24 seguro como validación por parte del usuario y asignarla a la correspondiente función crítica para la seguridad del SEE 6. Con una correspondiente entrada de confirmación en el CD 14 o 24, la SMU 11; 21 puede habilitar la función crítica para la seguridad, por ejemplo, emitir un correspondiente comando al ordenador de seguridad 7. Este comando puede tener cualquier forma predeterminada y, por ejemplo, también corresponder a datos de imagen codificados para el SEE 6. La activación de las teclas de ratón convencionales del ratón 4 se ignoran a este respecto porque se consideran inseguras y no pueden provocar la habilitación o emisión de comandos por parte de la SMU 11; 21. Esto último se puede implementar más fácilmente si el ratón 4 está conectado directamente a la SMU 11; 21 (FIG. 2B).

En este caso también se puede conseguir una verificación del resaltado, en particular si lo provoca el PC 1 inseguro, mediante codificación de los datos de imagen de un área de monitorización asignada en la SMU 11; 21 y comparación con un código teórico o código de referencia, por ejemplo, de acuerdo con el documento WO 2011/003872 A1.

El resaltado visual de la elección de un SEE 6 puede limitarse meramente a la representación del cursor 5. Para simplificar el cálculo, el cursor 5 puede establecerse y mantenerse opcionalmente en una ubicación predefinida mediante una especie de recorte o ajuste (en inglés: clipping / snapping), si el ratón 4 se lleva al área de imagen de un SEE 6, en particular cuando el cursor 5 es generado gráficamente por el PC 1. A este respecto, el cursor 5 puede, por ejemplo, visualizarse o mostrarse con coordenadas de puntero correspondientes al centro geométrico del SEE 6, pudiendo sobrescribirse o ignorarse las coordenadas actuales del puntero (coordenadas absolutas). De esta manera, en caso de una elección o selección, el cursor 5 obtiene siempre una representación gráfica predefinida dentro del SEE 6 seleccionado, de modo que se simplifica dado el caso notablemente una verificación de gráficos relacionada con la seguridad, por ejemplo mediante comparación de códigos, en la SMU 11; 21. Además, se aumenta la seguridad operativa o el usuario puede reconocer este comportamiento como relevante para la seguridad. En esta variante, solo se vuelve al modo de visualización habitual cuando el cursor 5 se ha llevado lo suficiente fuera del área de imagen monitorizada del SEE 6 con ayuda del ratón 4. En otras palabras, el sistema está configurado ventajosamente de tal manera que el cursor 5, cuando se lleva al área de imagen monitorizada de un SEE 6, se comporta de manera diferente, reconocible para el usuario, que en el resto de la GUI 2A, por ejemplo se mantiene en una posición de imagen predeterminada o se oculta.

Sin embargo, preferentemente la propia SMU 11; 21 provoca el resaltado de la selección, en particular modificando los datos de imagen reenviados a la pantalla, a los que la SMU 11; 21 correspondientemente interconectada a la línea de datos de imagen 3 tiene acceso apropiadamente. La propia SMU 11; 21 puede mostrar para ello, en particular, el cursor 5 en los datos de imagen, lo que también simplifica una codificación orientada a la seguridad de los datos de imagen (cf. FIG. 4A-4B a continuación).

En ambos casos, la SMU 11; 21 puede garantizar que las coordenadas de puntero del cursor 5 visualizado (visible para el usuario) al seleccionar un SEE 6 coincidan con este o se sitúen dentro del área de imagen correspondientemente monitorizada. La validación de la elección o selección (= preselección) de un SEE 6 tiene lugar por separado de la selección y, a continuación de la misma, por parte del usuario, es decir, mediante activación del CD 14; 24. Esto es monitorizado por la SMU 11; 21 como condición necesaria para permitir la acción relevante para la seguridad asignada, por ejemplo, a través de un canal 11D independiente para este propósito.

Las figuras 4A-4B muestran esquemáticamente implementaciones y arquitecturas preferentes de SMU 21, 21' aptas para SIL o con capacidad SIL, por ejemplo, para el principio según la figura 2B. La representación en las figuras 4A-4B está realizada, en parte, como un diagrama de flujo de señales para describir un modo de funcionamiento preferente. Las SMU 21, 21' se implementan como hardware modular independiente en su propia placa o placa de circuito impreso con una interfaz para conectar una línea de datos de imagen en el lado de entrada desde el PC 1, y al menos una interfaz para conectar un dispositivo de entrada relativo, tal como el ratón 4, y para conectar el dispositivo de confirmación (CD) 14, por ejemplo, un pulsador seguro. En el lado de salida, las SMU 21, 21' tienen una interfaz para reenviar los datos de imagen a través de la línea de datos de imagen 3 a la pantalla 2 y al menos una salida de datos o una interfaz adicional para un canal de datos 11C, por ejemplo, para la comunicación con el PC 1. Dado el caso, se puede utilizar una interfaz común, por ejemplo, para el ratón 4 y el canal de datos 11C. Además, puede estar prevista una conexión a un ordenador de seguridad 7 (FIG. 2B) o similar. Los datos de imagen se transmiten preferentemente a través de un canal 3 propio.

La SMU 21 en las figuras 4A-4B tiene una arquitectura en cascada de dos fases con dos unidades o componentes de ordenador 41, 42 al menos lógicamente separados, que pueden estar implementados, dado el caso, en forma de hardware común, por ejemplo, un circuito integrado. Sin embargo, se prefiere una forma de realización con dos componentes de ordenador 41, 42 físicamente separados, en particular una primera FPGA 41 y una segunda FPGA 42 independiente. Los componentes de ordenador o FPGA 41, 42 sirven en particular para el procesamiento computacional de datos de imagen y el cálculo de códigos de verificación. La primera FPGA 41 tiene una entrada para datos de imagen desde el PC1 y una salida para datos de imagen a la pantalla (emisor LVDS). La segunda FPGA 42 solo tiene una entrada para datos de imagen, es decir, no puede cambiar la visualización.

El modo de funcionamiento de las FPGA 41, 42 es controlado y complementado a través de una disposición de procesador 50 de construcción adecuada que está conectada a las mismas a través de la tecnología de señales y que está conectada a las dos FPGA 41, 42 a través de la tecnología de señales. La disposición de procesador 50 forma parte de la SMU 21 y puede estar realizada con uno o más canales, por ejemplo con dos canales, tal como se describe más adelante en relación con las figuras 5A-5B. La disposición de procesador 50 puede implementar a este respecto un esquema "X-out-of-Y" adecuado según la norma iEc 61508 en cooperación con los componentes de ordenador 41, 42 de procesamiento de imágenes, en particular con la función de verificación de los componentes de ordenador 41,42. La figura 5B muestra, por ejemplo, un esquema 2oo2 que, debido al procesamiento redundante, ya no garantiza una función GUI hasta que ambos sistemas fallan, es decir, ofrece mayor seguridad y alta disponibilidad. La disposición de procesador 50 también puede estar configurada, dependiendo de los requisitos de seguridad y/o disponibilidad, para un esquema de votación diferente, por ejemplo, un solo canal (1oo1), para procesamiento redundante con diagnóstico cruzado (1oo2), como votante 1 de 3 (1oo3), o como votante 2 de 3 (2oo3), etc. Dependiendo del diseño, se puede habilitar una operación a prueba de fallos en la que, después de reconocer un error de visualización, se cambia en primer lugar la GUI 2A a un modo operativo seguro con funcionalidad reducida y, solo si se reconoce un doble error, la GUI 2A se apaga, como sucede por ejemplo con la figura 5B. Por consiguiente, dependiendo de los requisitos, no es obligatoria una arquitectura en dos niveles con dos unidades o componentes de ordenador 41, 42 al menos lógicamente separados. En particular, cuando el ordenador 1 de representación muestra el cursor 5, también es posible alternativamente una realización en un solo nivel o de un solo canal con una sola fase 41 de procesamiento de imágenes para la verificación relacionada con la seguridad de los datos de imagen.

Un modo de funcionamiento computacional o implementado por software preferente de la SMU 21 se explicará ahora con referencia a la figura 4A.

La disposición de procesador 50 obtiene coordenadas relativas del ratón 4, genera coordenadas de puntero a partir de las mismas y monitoriza o reconoce, gracias a las coordenadas de puntero, si hay una selección de un SEE 6 en la GUI 2A. Si este no es el caso, la disposición de procesador 50 transmite coordenadas de puntero o coordenadas relativas y, dado el caso, interrupciones en relación con las teclas de ratón a través del canal de datos 11C al PC 1. A partir de esto, el PC 1 controla la GUI o su representación en datos de imagen para la pantalla 2 de manera convencional. Alternativamente, las señales de entrada relativas del ratón 4 también pueden transmitirse en paralelo al PC 1 y a la SMU 21, 21'.

Además, la disposición de procesador 50 controla la primera FPGA 41 de modo que esta FPGA 41 genera un cursor 5 en los datos de imagen para la pantalla, por ejemplo, mostrando o sobrescribiendo los datos de imagen conforme a las coordenadas de puntero que la disposición de procesador 50 determina de manera continua. A este respecto, puede estar previsto que el PC 1 no muestre ningún cursor 5 en la GUI, o que el PC 1 solo lo muestre para áreas no críticas mientras que solo la primera FPGA 41 muestra el cursor 5 en áreas críticas del gráfico de la GUI 2A.

Opcionalmente o de manera complementaria, el procedimiento de verificación de acuerdo con el documento WO 2011/003872 A1 se puede llevar a cabo para la seguridad de la mera representación de información crítica para la seguridad por una o ambas FPGA 41, 42 para las áreas de monitorización de visualización del gráfico GUI, para lo cual se suministra a la SMU 21, por ejemplo desde el ordenador de seguridad 7, se suministran parámetros relativos a áreas de imagen que se han de monitorizar, que tienen una mera función de visualización (sin elementos operativos).

Si la disposición del procesador 50, mediante la comparación de las coordenadas de puntero determinadas continuamente del cursor 5 con las coordenadas de imagen predeterminadas o previamente almacenadas del o de los SEE 6 de un área de monitorización correspondiente, reconoce que se ha realizado una selección de un SEE 6, entonces las FPGA 41, 42 se pueden conmutar a un modo de monitorización de la selección. Alternativamente, las FPGA 41, 42 pueden llevar a cabo dicha monitorización de forma continua, en cada caso en particular limitada a las respectivas áreas de monitorización para SEE 6 críticos en el gráfico.

En relación con los datos de imagen recibidos por la SMU 21, 21' en el lado de entrada desde el PC 1 inseguro, la FPGA 41 genera un código de verificación en un primer bloque de función CRC1, mediante un algoritmo de codificación adecuado, por ejemplo, un procedimiento CRC, para los datos de imagen que se corresponden con un SEE 6 o coinciden con el mismo. El código que se genera continuamente a partir del bloque de función CRC1 es comparado por la disposición de procesador 50 con un código de referencia o código teórico de una memoria 55, previamente almacenado para el respectivo SEE 6 de dado el caso varios. En el lado de la entrada, esto asegura que el SEE 6 esperado se ha representado correctamente por el PC 1 y no se ve afectado por la representación del cursor 5 variable en cuanto a la posición. Solo a continuación en el flujo de señales, la FPGA 41 muestra el cursor 5 en los datos de imagen en el bloque de función 43 en una posición correspondiente a las coordenadas de puntero actuales, por ejemplo, mediante sobreescritura o superposición. En el bloque de función CRC2, la FPGA 41 calcula un código de verificación adicional relacionado con el puntero para el área de los datos de imagen que corresponde a la representación actualmente mostrada del cursor 5. En un bloque de función adicional CRC4, la FPGA 41 también forma un código de verificación "sin puntero" para un área circundante de los datos de imagen, sin representación del cursor 5, por ejemplo, la diferencia entre el área del cursor para CRC2 y el área de imagen del SEE, o la diferencia entre el área para CRC2 y un área que va más allá, hasta la visualización completa de la GUI. Para la formación del código de verificación CRC4 "sin puntero", el código de verificación CRC4 se calcula para aquellos píxeles que constituyen el conjunto de la diferencia o el conjunto del resto entre los píxeles del área de la imagen monitorizada, por ejemplo, la g U i 2A completa, (conjunto A) y el conjunto de píxeles que representan el cursor 5 (conjunto B), (es decir, el conjunto A sin el conjunto B), es decir, que los píxeles del cursor 5 no están incluidos en el conjunto de la diferencia. Otros procedimientos adecuados, no solo sumas de verificación CRC, también se pueden considerar como algoritmo para el código de verificación.

Los datos de imagen correspondientemente modificados por la FPGA 41 mostrando el cursor 5 se emiten desde una salida de la FPGA 41 a través de la línea de datos de imagen 3 a la pantalla 2. Además, estos datos de imagen modificados se suministran en paralelo a una segunda fase lógica o física, en este caso una segunda FPGA 42, que, a diferencia de la FPGA 41, está conectada a la línea de datos de imagen 3 solo a través de una entrada. La segunda FPGA 42 superpone, de la misma manera que la primera FPGA 41, conforme a las coordenadas de puntero actuales de la propia disposición de procesador 50 de nuevo la representación del cursor 5 con datos de imagen de cursor idénticos, pero estos datos de imagen no se emiten. En el bloque de función CRC3, la FPGA 42 forma un código de verificación adicional relacionado con el puntero para el área de los datos de imagen que corresponde a la representación actualmente mostrada por la FPGA 42 del cursor 5, de manera análoga a CRC2 en la FPGa 41. En el bloque de función CRC5, la FPGA 42 forma un código de verificación sin puntero adicional (véase arriba) para un área circundante de los datos de imagen, sin representación del cursor 5, es decir, para el conjunto de diferencia considerado de los píxeles, correspondientemente a CRC 4 en la FPGA 41.

Los códigos de verificación calculados en las fases o bloques de programa CRC2, CRC3, CRC4, CRC5 son evaluados de manera relacionada con la seguridad por la disposición de procesador 50 y, en particular, comparados. Con este propósito, la disposición de procesador 50 compara continuamente los códigos de verificación relacionados con el puntero CRC2 y CRC3 entre sí en un comparador o bloque de función 53, con el propósito de detectar errores, es decir, verificar y asegurar que el cursor 5 se ha mostrado correctamente por la FPGa 41. Además, la disposición de procesador 50 compara continuamente los códigos de verificación sin puntero CRC4 y CRC5 entre sí en un comparador o bloque de función 53, con el propósito de detectar errores, es decir, para verificar y asegurar que el hecho de mostrar el cursor 5 o la modificación de los datos de imagen en la FPGA 41 no provocan cambios no deseados o involuntarios en otras áreas de imagen de la GUI. Si una de las fases de comparación muestra una discrepancia a partir de CRC1, CRC2 o CRC4, la activación o habilitación de la función crítica para la seguridad del SEE 6 es bloqueada o no es permitida y, dado el caso, se indica un caso de error al usuario mediante una modificación adicional de datos de imagen (por ejemplo, ocultando el SEE 6 o similar). Solo si todas las verificaciones relacionadas con la seguridad o los resultados de comparación son positivos, la disposición de procesador 50 utiliza una entrada reconocida controlada por el usuario en el CD 14 seguro, en particular durante el período de la selección visualizada, como una validación de la acción relevante para la seguridad asignada al SME 6 respectivo. La SMU 21 solo dispara esta función o acción en caso de visualización de la selección verificada como correcta, en este caso emitiendo la disposición de procesador 50 a través de una interfaz adecuada a un sistema seguro, por ejemplo, el ordenador de seguridad 7 o, por ejemplo, un controlador de sistema. La disposición de procesador 50 constituye un votante, preferentemente un votante 2oo2 como se describió anteriormente, aunque esto no es obligatorio.

La arquitectura en dos niveles o en dos canales con la segunda FPGA 42, que se controla y lee independientemente de la disposición de procesador 50, permite una visualización segura de todas las funciones relevantes para la seguridad de la GUI, en particular también mostrar el cursor 5 por parte de la primera FPGA 41. A diferencia del PC 1, el módulo de monitorización o la SMU 21 tiene capacidad SIL o es apto para SIL y, en particular, puede tener certificado de seguridad.

La SMU 21' de la figura 4B tiene una estructura en gran medida idéntica y una función idéntica a lo que se ha descrito en relación con la figura 4A y se diferencia en particular en que los datos de imagen transmitidos desde el PC 1 a la SMU 21' se suministran directamente a las dos FPGA 41, 42 en el lado de entrada, es decir, la FPGA 42 no puede verse afectada por la salida de la FPGA 41. Sin embargo, las funciones de verificación relacionadas con la seguridad se pueden implementar de manera idéntica o equivalente. En particular, comparando los códigos de verificación de CRC2 y CRC3, también se asegura o verifica en este caso que el cursor 5 ha sido visualizado por la FPGA 41 como se esperaba. En ambos casos, se puede mostrar una imagen y realizar una codificación en particular de forma continua y sincrónica en relación con los datos de imagen, por ejemplo, para cada actualización de pantalla. La codificación de acuerdo con las fases CRC2... CRC5 solo puede tener lugar, en ambas formas de realización, según sea necesario cuando la disposición de procesador 50 reconoce una selección con ayuda de la posición del cursor 5 y, dado el caso, cuando se haya determinado una visualización correcta del SEE 6 por medio de CRC1, ya que ambas cosas son requisitos previos para la validación posterior.

Sin embargo, como variante del modo de funcionamiento anterior, también puede estar previsto que el cursor 5 sea mostrado por el PC 1 de representación, en particular siempre que la posición del puntero esté fuera de las áreas de entrada (Eb ) preconfiguradas relacionadas con el gráfico o los píxeles de los SEE 6 críticos predeterminados. Al transmitir las coordenadas del puntero al PC 1 a través del canal 11C, la SMU 21; 21' también le comunica al si el cursor 5 está situado en las coordenadas de imagen dentro o fuera de la EB. Con esta comunicación, se pide al PC1 que oculte el cursor 5 si hay una selección (coordenadas del puntero dentro de una EB). Si las coordenadas se encuentran dentro de una Eb , la propia SMU 21; 21' puede resaltar visualmente la respectiva EB de manera complementaria adoptando medidas, por ejemplo, mediante un enmarcado en color, dado el caso ocultando el cursor 5. Este modo de funcionamiento también puede verificarse de forma relacionada con la seguridad mediante códigos de verificación, como se explicó anteriormente. Es ventajoso que directamente la SMU 21; 21' segura muestre el cursor 5 o realice el resaltado de la selección para que los datos de imagen generados por el PC 1 sin cursor 5 o resaltado se puedan verificar más fácilmente en cuanto a su corrección, en particular en cuanto a la correcta representación de todos los SEE o las EB.

La figura 5A muestra otra arquitectura preferente de un módulo de monitorización o SMU 21, por ejemplo según la figura 4A, con una implementación en dos canales de la disposición de votante o disposición de procesador 50 mediante dos controladores o procesadores 51, 52 separados. Los procesadores 51, 52 implementan en cada caso todas las funciones de control y verificación relevantes dos veces e independientemente, tal como se indicó anteriormente en relación con la figura 4A, con el fin de detectar un caso de error para requisitos de seguridad más altos en caso de comportamiento desigual, y crear un votante "2-out-of-2" con las FPGA 41,42 como codificadores de verificación. Con este propósito, ambos procesadores 51, 52 están conectados en cada caso a ambas FPGA 41, 42 mediante tecnología de señales y se verifican en cada caso mutua e independientemente en cuanto a su funcionamiento correcto o apropiado (principio de dos canales). La interfaz 61 externa al dispositivo apuntador relativo, por ejemplo el ratón 4, y en particular al pulsador 4 seguro, se puede realizar a este respecto a través de un componente separado o estar integrada en los procesadores 51, 52.

La figura FIG. 5B muestra otra arquitectura de dos canales, preferentemente continua, de un módulo de monitorización 80. El módulo de monitorización 80 se puede usar, independientemente de la función descrita anteriormente, por ejemplo, para una entrada segura, también en sí mismo como un perfeccionamiento de la enseñanza del documento W o 2011/003872 A1 para monitorizar una representación segura (dado el caso, sin función de entrada) de parámetros de entrada y debe considerarse relevante para la invención.

Los parámetros de entrada que se van a monitorizar se pueden suministrar al módulo de monitorización 80 a través de la interfaz 70, por ejemplo, desde un ordenador de seguridad 7.

La FPGA 41 genera códigos de verificación para una o más áreas de monitorización predefinidas relacionadas con gráficos para visualizaciones críticas para la seguridad. Los códigos de verificación CRC1.1 y CRC1.2, determinados en cada caso por una de las dos FPGA 41 y 42, se comparan en los procesadores 51, 52 implementados en dos canales, independientemente en cada caso, con un valor de referencia predeterminado correspondientemente al parámetro de entrada que fue previamente almacenado como valor de referencia para el respectivo parámetro de entrada, por ejemplo, durante una configuración. El valor de referencia para la comparación se puede determinar como código de referencia a partir de un parámetro de entrada, por ejemplo, con ayuda de una tabla de consulta, o bien el parámetro de entrada actual se compara con un parámetro de referencia recuperado a partir del código determinado, por ejemplo, a través de una tabla de consulta. Por lo que respecta al otro modo de funcionamiento, en particular la generación de códigos de verificación para áreas de monitorización, se remite en relación con la figura 5B a la enseñanza del documento WO 2011/003872 A1.

La implementación de hardware en dos niveles, preferentemente también en dos canales, de las FPGA 41, 42 se corresponde con la figura 4A. También en este caso, la segunda FPGA 42 está conectada a la línea de datos de imagen 3 exclusivamente a través de una entrada (conexión de solo lectura), es decir, no puede modificar los datos de imagen, mientras que la primera FPGA 41 antepuesta lee los datos de imagen (por ejemplo, como receptor LVDS) y, dado el caso, puede reenviarlos modificados (por ejemplo, como emisor LVDS).

Con el módulo de monitorización 80 según la figura 5B, se pueden implementar en particular dos funciones que son ventajosas desde el punto de vista de la tecnología de la seguridad, que permiten niveles de seguridad más altos, por ejemplo, SIL-3 o superior.

Por un lado, la detección de un error visual relacionado con la seguridad por parte de la FPGA 41 por la modificación de los datos de imagen, en particular mediante ocultación o aparición (por ejemplo, el cambio de blanco) u otra visualización visible para el usuario en los datos de imagen en la salida de la FPGA 41, puede ser verificado de manera fiable por la segunda FPGA 42 en caso de que se produzca un error en la representación detectado mediante el procedimiento de códigos de verificación. La FPGA 42 verifica en este sentido la detección del error gráfico esperada en caso de error, que se espera que la FPGA 41 genere en su salida en los datos de imagen, con una representación esperada correspondiente, por ejemplo usando el procedimiento de códigos de verificación, generando un código de verificación para la visualización del error gráfico. La visualización del error gráfico o la detección del error puede ser verificada por la FPGA 42 implementando esta el mismo modo de funcionamiento que la primera FPGA 41 en cuanto a la modificación de los datos de imagen con respecto a los datos de imagen reconocidos como defectuosos, es decir, en este caso las FPGA 41, 42 también constituyen una disposición de dos canales para verificar y modificar datos de imagen. Sin embargo, la FPGA 42 también puede generar códigos previamente almacenados que se corresponden con el comportamiento esperado o teórico de la modificación de imagen por la primera FPGA 41 sin repetir ella misma de forma redundante la modificación de imagen en la FPGA 42.

Con ayuda de los códigos de verificación de las FPGA 41,42, se realiza una comparación con un valor teórico o código objetivo correspondiente. Esta comparación se vuelve a realizar en dos canales e independientemente en ambos procesadores 51,52 para aumentar la seguridad. Se garantiza así que se detecten errores correctamente o de manera visible para el usuario. La detección de errores y la verificación cruzada se limitan preferentemente a y en cada caso para áreas de monitorización individuales predefinidas, de modo que el resto de la visualización no se vea afectado. Si esta verificación cruzada de la detección de errores con ayuda de la FPGA 42 no proporciona un resultado positivo, se puede llevar a cabo una medida relacionada con la seguridad, por ejemplo, apagar o conmutar la visualización a un modo inseguro. De este modo, el sistema ofrece una mayor seguridad, ya que están previstos dos procedimientos diferentes para evitar una representación incorrecta de información crítica para la seguridad. Una detección selectiva de errores de un área de monitorización individual, por ejemplo, por ocultación o superposición o marcado como defectuoso, con ayuda de la primera FPGA 41 inicialmente aumenta la disponibilidad, ya que otras áreas de imagen críticas para la seguridad que pueden haberse representado correctamente no se ven afectadas. El segundo procedimiento para garantizar una operación a prueba de fallos se logra con ayuda de la segunda fase con la FPGA 42 adicional, en este caso en cooperación con la disposición de procesador 50. Si el primer procedimiento no detecta selectivamente el error en el área de imagen monitorizada como se esperaba, esto se detecta con ayuda de la segunda FPGA 42 de modo que, por ejemplo, la disposición de votante o de procesador 50 puede apagar toda la visualización. Un votante 2oo2, tal como la disposición de procesador, también es ventajoso para ello. Gracias en particular a estos dos procedimientos independientes de detección de errores, el módulo de monitorización 80 puede garantizar el nivel de seguridad SIL-3, ya que se pueden descartar dobles errores críticos. Además, al menos el segundo procedimiento también se puede implementar en dos canales y/o de manera diversa en el módulo de monitorización 80.

De manera complementaria o alternativa, para aumentar la seguridad operativa, la segunda FPGA 42 puede verificar también un resaltado visual de las áreas de visualización relevantes para la seguridad monitorizadas en cuanto a una correcta representación, el cual es efectuado apropiadamente por la FPGA 41 mediante modificación de datos de imagen. El resaltado visual o la identificación se puede realizar a este respecto de diferentes maneras, por ejemplo, mostrando un enmarcado gráfico o un símbolo gráfico, icono o widget con ayuda del cual el usuario puede reconocer qué áreas de la visualización actual en la pantalla 2 están siendo monitorizadas realmente por el módulo de monitorización 80 o verificadas por el módulo de monitorización 80 como críticas para la seguridad. Para ello, la segunda FPGA 42 también puede generar un código de verificación para los datos de imagen en la salida de la FPGA 41, por ejemplo para el área de monitorización que incluye el resaltado gráfico esperado, el cual es a su vez comparado independientemente y, dado el caso, en dos canales, en ambos procesadores 51, 52 con un correspondiente valor teórico o código teórico. En este caso, las FPGA 41, 42 pueden formar, dado el caso, dos códigos de verificación diferentes para cada área de monitorización, un primer código de verificación para los datos de imagen del área de monitorización sin identificarla como monitorizada, y un segundo código de verificación con esta identificación. Con un algoritmo de codificación adecuado, por ejemplo con una gran distancia de Hamming, se consigue así al mismo tiempo una codificación de dos canales en relación con los datos de imagen originales generados por el PC 1. En la disposición de votante o de procesador 50, están almacenados datos de comparación predeterminados correspondientes para el primer y segundo código de verificación (cf. CRC1.1 y CRC1.2), que corresponden al caso ideal, es decir, para la correcta representación del parámetro de entrada con ayuda del primer código de verificación y para la correcta representación con resaltado del área monitorizada con ayuda del segundo código de verificación. La monitorización del área de imagen respectiva reconocida de esta manera de manera fiable como activa por la segunda FPGA 42 y los procesadores 51, 53 también se puede emitir al ordenador de seguridad 7, por ejemplo.

Además, el propio módulo de monitorización 80 puede generar de manera segura una visualización visual del modo de funcionamiento en el que está funcionando el módulo de monitorización 80, por ejemplo con monitorización activa (seguro) o monitorización inactiva (no seguro). Esto también puede tener lugar mediante modificación de datos de imagen por la primera FPGA 41 y puede verificarse de manera cruzada y segura con ayuda de la arquitectura propuesta con la segunda FPGA 42 y los preferentemente dos procesadores 51, 52. La visualización de estado por el módulo de monitorización 80 es particularmente ventajosa si la GUI va a visualizar diferentes modos o diferentes máscaras de pantalla dependiendo del contexto.

Con ayuda del módulo de monitorización 80, cualquier tipo de variación deseable de los datos de imagen generados de manera insegura por el PC 1 puede llevarse a cabo de forma segura. Esto se logra gracias a la capacidad de modificar los datos de imagen en una primera fase, por ejemplo en la FPGA 41, y una segunda fase para verificar la modificación de los datos de imagen por la primera fase, por ejemplo mediante la segunda FPGA 42. Ambos componentes informáticos que se utilizan para este propósito, por ejemplo las FPGA 41, 42, pueden, en particular, implementar también una función de monitorización en dos canales para datos de imagen críticos, tal como se describió anteriormente, aunque esto es opcional.

La implementación en dos fases también podría implementarse con ayuda de un único circuito integrado, por ejemplo, una sola FPGA o también con ayuda de un único procesador o similar, con una división o separación lógica o virtual en componentes informáticos o módulos de dos fases. Sin embargo, una verdadera implementación de dos canales en hardware con dos componentes de ordenador, por ejemplo FPGA 41, 42, es ventajosa. A este respecto, se pueden utilizar de manera diversa diferentes tipos de componentes, por ejemplo, FPGA 41, 42, de diferentes diseños, con el fin de minimizar riesgos de errores sistemáticos, por ejemplo, errores de núcleo comunes. Lo mismo se aplica a los procesadores 51, 52.

La implementación del votante igualmente de dos canales de los procesadores 51, 52 está preferentemente separada galvánicamente de las FPGA 41, 42 mediante componentes aislantes para mayor seguridad, de modo que se proporciona un área de procesador 50 físicamente separada en una placa de circuito impreso común del módulo de monitorización 80.

Una arquitectura completamente de dos canales del módulo de monitorización 80, con dos componentes de ordenador 41,42 para la codificación de datos de imagen, que implementan funciones idénticas para la modificación de datos de imagen con fines de verificación, por ejemplo, tal como se explicó anteriormente, y dos procesadores 51, 52 para el control de funciones es particularmente ventajosa fundamentalmente por lo que respecta al control de errores y la detección de errores. Preferentemente, al menos ambos procesadores 51, 52 tienen en cada caso recursos independientes o al menos sin efectos retroactivos, tales como fuente de tensión, reloj, rutas de señal, etc.

La figura 6 muestra esquemáticamente un dispositivo de visualización 60 seguro para la visualización de gráficos de píxeles, en particular con un panel TFT, con una SMU 21 integrada en el dispositivo, por ejemplo según la figura 4A. Los datos de imagen generados por ordenador, dado el caso después de la conversión de un formato de señal habitual para pantallas de PC, como HDMi, a LVDS mediante un controlador de monitor existente, se dirigen a la SMU 21 y se emiten desde esta al controlador TFT del dispositivo de visualización 60.

El dispositivo de visualización 60 también tiene un módulo de interfaz especial integrado o puerta de enlace 61, que se conecta a la SMU 21 a través de una conexión de datos bidireccional, de modo que solo se requiere una conexión para ello en la SMU 21 y la puerta de enlace 61 se puede configurar en función de la aplicación.

La puerta de enlace 61 tiene en la figura 6 una conexión, por ejemplo una conexión USB, para un dispositivo de entrada COTS 4 así como una salida correspondiente para la conexión al PC 1 de representación no seguro (no mostrado en la figura 6), a través del cual las coordenadas relativas se reenvían al PC 1 para controlar una GUI o para operar el PC 1. En paralelo, la puerta de enlace 61 suministra las coordenadas relativas a la SMU 21, en particular con el fin de mostrar el cursor 5, tal como se describió anteriormente. La puerta de enlace 61 tiene una entrada para el dispositivo de confirmación o CD 14 y, entre otras cosas, proporciona un canal lógicamente seguro entre el dispositivo de confirmación 14 y la SMU 21. La puerta de enlace 61 también proporciona una interfaz para la comunicación relacionada con la seguridad a través de un bus industrial seguro, como PROFINET o según el protocolo PROFIsafe, en particular con el fin de transmitir comandos relacionados con la seguridad o información que la propia SMU 21 genera, por ejemplo a partir de una entrada de confirmación en el CD 14 o también, por ejemplo, comandos relacionados con la seguridad.

Además de la función de entrada segura de acuerdo con la invención, la SMU 21 también puede implementar una representación segura según el principio del documento WO 2011/003872 A1 y/o una entrada segura por medio de un dispositivo de entrada absoluto, por ejemplo, un dispositivo táctil capacitivo según el documento EP 2551 787 B1.

Claims (16)

REIVINDICACIONES

1. Procedimiento para una entrada relevante para la seguridad en una interfaz gráfica de usuario, en el que un ordenador (1) genera datos de imagen para una pantalla (2) y presenta un dispositivo de entrada (4) para operar la interfaz de usuario, comprendiendo el procedimiento:

transmitir los datos de imagen generados por ordenador desde el ordenador (2) a la pantalla (2) a través de una línea de datos de imagen (3);

visualizar una interfaz de usuario (2A) en la pantalla, con al menos un elemento operativo gráfico (6) que se puede seleccionar de forma controlada por el usuario con ayuda del dispositivo de entrada; y en el que una unidad de monitorización (11; 21) está conectada a la línea de datos de imagen (3) y lee al menos partes de los datos de imagen para una función de seguridad;

caracterizado porque

- a la unidad de monitorización (11; 21) se le suministra información de entrada desde el dispositivo de entrada, dependiendo de qué selección, controlada por el usuario, del elemento operativo (6) pueda ser reconocida por la unidad de monitorización;

- la unidad de monitorización (11; 21), para recibir una confirmación controlada por el usuario, está conectada a un dispositivo de confirmación (14; 23) a través de una ruta de señal (11B; 11C) segura, y

- la unidad de monitorización (11; 21) asegura y/o verifica que una selección reconocida del elemento operativo (6) esté correctamente representada en los datos de imagen suministrados a la pantalla (2); y

- la unidad de monitorización (11; 21), al recibir una confirmación controlada por el usuario durante una selección representada del elemento operativo (6), habilita o dispara un comando operativo relevante para la seguridad asignado al mismo, en particular lo emite a través de una ruta de señal (11D) segura.

2. Procedimiento según la reivindicación 1, caracterizado porque la unidad de monitorización asegura que una selección reconocida del elemento operativo (6) esté correctamente representada en los datos de imagen suministrados a la pantalla (2) modificando la unidad de monitorización (11; 21) al menos una parte de los datos de imagen destinados a ser visualizados en un área de imagen predeterminada asignada al elemento operativo (6), y la unidad de monitorización reenvía los datos de imagen correspondientemente modificados a la pantalla;

en el que los datos de imagen modificados representan preferentemente un puntero (5) dependiendo de la información de entrada; y/o en el que los datos de imagen modificados provocan preferentemente un resaltado visual (8) de la selección para el usuario, en particular en el área de imagen predeterminada, en la pantalla (2); y/o los datos de imagen modificados se superponen preferentemente en algunas áreas a los datos de imagen generados por ordenador.

3. Procedimiento según la reivindicación 1, caracterizado porque los datos de imagen generados por ordenador representan una selección del elemento operativo (6), y la unidad de monitorización (11; 21) verifica que la selección reconocida del elemento operativo (6) esté correctamente representada en los datos de imagen suministrados a la pantalla (2) calculando la unidad de monitorización (11; 21), para los datos de imagen destinados a ser visualizados en un área de imagen predeterminada asignada al elemento operativo (6), un código de verificación y comparando este código de verificación con al menos un código de referencia previamente almacenado.

4. Procedimiento según la reivindicación 1 o 2, caracterizado porque se transmite información de entrada desde el dispositivo de entrada (4) a través de la unidad de monitorización (11; 21) al ordenador de representación o a través del ordenador (1) de representación a la unidad de monitorización (11; 21).

5. Procedimiento según la reivindicación 2, caracterizado porque

- la unidad de monitorización (21) comprende un primer componente de ordenador (41) al que se suministran los datos de imagen generados por ordenador en el lado de entrada y que, dependiendo de una selección del elemento operativo crítico para la seguridad, modifica estos datos de imagen para resaltar visualmente la selección y reenvía los datos de imagen en el lado de salida a la pantalla (2), y

- la unidad de monitorización (21) comprende un segundo componente de ordenador (42) que se utiliza para verificar los datos de imagen en el lado de salida del primer componente de ordenador (41).

6. Procedimiento según la reivindicación 5, caracterizado porque

el primer componente de ordenador (41), en relación con los datos de imagen generados por ordenador destinados a ser visualizados en el área de imagen predeterminada, calcula un código de verificación de primera fase y la unidad de monitorización (21) compara este código de verificación de primera fase con al menos un código de referencia previamente almacenado para el área de imagen predeterminada, calculando el primer componente de ordenador (41) preferentemente en el lado de entrada, en una primera etapa, códigos de verificación de primera fase en relación con los datos de imagen generados por ordenador y, a continuación, en una segunda etapa, modifica los datos de imagen;

en particular, caracterizado porque

- el primer componente de ordenador (41), en relación con los datos de imagen modificados por el primer componente de ordenador destinados a ser visualizados en el área de imagen predeterminada, calcula un primer código de verificación de segunda fase;

- el segundo componente de ordenador (42), en relación con los datos de imagen en el lado de salida del primer componente de ordenador destinados a ser visualizados en el área de imagen predeterminada, calcula un segundo código de verificación de segunda fase;

- la unidad de monitorización (21) compara los códigos de verificación de segunda fase entre sí, en particular con el fin de verificar un resaltado (8) apropiado de la selección por el primer componente de ordenador; y - preferentemente, ambos componentes de ordenador (41; 42) calculan en cada caso un tercer código de verificación en relación con los datos de imagen del área de imagen predeterminada sin selección, que la unidad de monitorización (21) compara entre sí con el fin de verificar una visualización apropiada del elemento operativo; y/o

- el o los componentes de ordenador (41; 42) solo calculan códigos de verificación cuando se reconoce una selección del elemento operativo, en particular en relación con los datos de imagen para un área de imagen predeterminada asignada al elemento operativo (6).

7. Procedimiento según una de las reivindicaciones 2 y 4 a 6, caracterizado porque el primer componente de ordenador (41) modifica los datos de imagen para resaltar visualmente la selección de tal modo que el elemento operativo (6) seleccionado se visualice en un segundo estado seleccionado diferenciable visualmente de un primer estado de representación no seleccionado, por ejemplo, mostrando un enmarcado (8), variando el color o similares, y/o

el primer componente de ordenador (41) emite o reenvía a la pantalla (2) los datos de imagen modificados en un flujo de datos de imagen junto con los datos de imagen generados por ordenador.

8. Procedimiento según una de las reivindicaciones anteriores, en el que en la pantalla (2) se visualiza un puntero (5), en particular un puntero de ratón, para operar la interfaz de usuario, caracterizado porque

- el puntero (5) es generado exclusivamente por la unidad de monitorización (11; 21) mediante la modificación de los datos de imagen en la unidad de monitorización, lo que en particular resulta posible sobre la base de la información de entrada suministrada a la unidad de monitorización, estando el dispositivo de entrada ( 4), en particular un ratón de ordenador, preferentemente conectado directamente a la unidad de monitorización (11; 21) y reenviando esta información de entrada al ordenador (1) de representación; o

- el puntero (5) fuera de todas las áreas de imagen predeterminadas es generado por el ordenador (1) de representación y, cuando una selección de un elemento operativo (6) crítico para la seguridad es reconocida por la unidad de monitorización (11; 21), en el área de imagen asignada en cada caso, preferentemente mediante modificación de datos de imagen en la unidad de monitorización, no se visualiza ningún puntero generado por ordenador, estando el dispositivo de entrada (4), en particular un ratón de ordenador, preferentemente conectado directamente al ordenador (1) de representación y reenviando esta información de entrada a la unidad de monitorización (11; 21); y/o

- para en cada caso N ciclos de imagen sucesivos de los datos de imagen, el puntero de ratón (5) solo se representa en un número m < N de ciclos de imagen por el ordenador (1) o la unidad de monitorización (11; 21);

- y/o la información de entrada representa información de coordenadas absolutas o información de coordenadas relativas.

9. Unidad de monitorización (11; 21) para monitorizar una interfaz gráfica de usuario, en particular de acuerdo con un procedimiento según una de las reivindicaciones 1 a 8, que comprende

- una interfaz de datos de imagen digital para la conexión a una línea de datos de imagen (3) para la transmisión de los datos de imagen generados por ordenador desde un ordenador (1) a una pantalla (2), en particular una interfaz LVDS, una interfaz HDMI o similares;

- al menos un componente de ordenador (41; 42) que implementa una función de seguridad y lee al menos partes de los datos de imagen a través de la interfaz de datos de imagen;

- una interfaz de dispositivo (60) para información de entrada, en particular procedente de un dispositivo de entrada (4), en particular un dispositivo apuntador, para la selección controlada por el usuario de un elemento operativo gráfico;

caracterizada porque

- la unidad de monitorización (11; 21) presenta una entrada de confirmación (11B; 11C) física para un dispositivo de confirmación (14) seguro, y

- el al menos un componente de ordenador (41; 42) está configurado para asegurar y/o verificar que una selección reconocida del elemento operativo (6) está correctamente representada en los datos de imagen suministrados a la pantalla; y

- la unidad de monitorización (11; 21) está configurada para emitir un comando operativo relevante para la seguridad asignado, en particular a través de una interfaz de seguridad (11D), al recibirse una entrada de confirmación a través de la entrada de confirmación (11B; 11C) durante una selección representada del elemento operativo (6).

10. Unidad de monitorización según la reivindicación 9, caracterizada porque

- el al menos un componente de ordenador (41) está configurado para la modificación de datos de imagen y/o para calcular códigos de verificación a partir de los datos de imagen;

- la unidad de monitorización (11; 21) presenta al menos una memoria (55) para especificar áreas de imagen predeterminadas y/o códigos de referencia y/o

- la unidad de monitorización (11; 21) presenta un componente de controlador (51) para un dispositivo de entrada, que está conectado a la interfaz de dispositivo (60) para la conexión directa de un dispositivo de entrada, en particular un ratón de ordenador (4), a la unidad de monitorización, presentando preferentemente la unidad de monitorización una interfaz de datos, en particular una interfaz de datos bidireccional (11C), para transmitir información de entrada a un ordenador.

11. Unidad de monitorización según la reivindicación 9, en particular para monitorizar una interfaz gráfica de usuario de acuerdo con un procedimiento según la reivindicación 2, caracterizada porque

la unidad de monitorización (21) presenta una arquitectura de ordenador de dos fases, en particular de dos canales, con

- un primer componente de ordenador (41) que está configurado para obtener datos de imagen generados por ordenador en el lado de entrada y, dependiendo de una función de seguridad, para modificar al menos una parte de los datos de imagen destinados a ser visualizados en un área de imagen predeterminada, así como para proporcionar los datos de imagen en el lado de salida a una pantalla (2), y con

- un segundo componente de ordenador (42) que está configurado para verificar los datos de imagen proporcionados por el primer componente de ordenador (41) mediante el cálculo de un código de verificación para los datos de imagen destinados a ser visualizados en el área de imagen predeterminada, y

- porque la unidad de monitorización (21) está configurada para comparar los códigos de verificación calculados con en cada caso al menos un código de referencia previamente almacenado, en particular con el fin de verificar un resaltado apropiado por parte del primer componente de ordenador y/o con el fin de autorizar una reacción relacionada con la seguridad.

12. Unidad de monitorización según la reivindicación 11, caracterizada porque

el primer componente de ordenador (41) está configurado, en relación con los datos de imagen generados por ordenador destinados a ser visualizados en un área de monitorización, para calcular un código de verificación para una comparación relacionada con la seguridad con al menos un valor de referencia previamente almacenado para el área de monitorización, calculando el primer componente de ordenador calcula en primer lugar códigos de verificación (CRC1) en el lado de entrada en relación con los datos de imagen generados por ordenador y, a continuación, modificando los datos de imagen en una segunda fase (43),

en la que el primer y segundo componente de ordenador (41; 42) están implementados mediante dos circuitos integrados separados, tal como FPGA, ASIC o similares, en particular de distinto tipo.

13. Unidad de monitorización según una de las reivindicaciones 9 a 12, en particular según la reivindicación 11,

- caracterizada porque el al menos un componente de ordenador (41; 42) con función de seguridad, en particular el primer y segundo componente de ordenador, genera(n) en cada caso computacionalmente códigos de verificación (CRC2; CRC3; CRC4; CRC5) en relación con áreas de imagen seleccionadas, y al o a los componentes de ordenador está conectada una disposición de votante (50) para comparar los códigos de verificación generados con datos de referencia previamente almacenados;

- en la que la disposición de votante (50) está implementada en particular como circuito de procesador (51; 52) de dos canales, preferentemente como votante 2oo2; y/o

- según la reivindicación 11 y caracterizada porque el segundo componente de ordenador (42) está configurado para obtener datos de imagen en el lado de entrada y, dependiendo de una función de seguridad, para modificar de manera redundante al menos una parte de los datos de imagen de manera idéntica al primer componente de ordenador, y el primer componente de ordenador (41) está configurado, en relación con los datos de imagen modificados, para calcular un primer código de verificación (CRC2) y el segundo componente de ordenador (42) está configurado, en relación con los datos de imagen modificados de manera redundante, para generar un segundo código de verificación (CRC3), comparando la unidad de monitorización, en particular la disposición de votante (50), el primer y el segundo código de verificación.

14. Unidad de monitorización según una de las reivindicaciones 9 a 13, caracterizada porque

un módulo para la comunicación relacionada con la seguridad está conectado a través de una interfaz de bus (70) a la unidad de monitorización (11; 21) como interfaz de seguridad para emitir comandos operativos relevantes para la seguridad, o está integrado en ella.

15. Sistema para una entrada relevante para la seguridad en una interfaz gráfica de usuario, que comprende un ordenador (1) y una pantalla (2) para gráficos de píxeles conectada al mismo a través de una línea de datos de imagen, caracterizado por

una unidad de monitorización (11; 21) separada físicamente del ordenador según una de las reivindicaciones 9 a 14, en el que

- un dispositivo de entrada (4), en particular un ratón de ordenador, para operar una interfaz de usuario está conectado directamente a la interfaz de dispositivo (60) de la unidad de monitorización (11; 21); y

- un dispositivo de confirmación (14) seguro independiente, en particular un pulsador de seguridad, está conectado a la entrada de confirmación (11B; 11C) física de la unidad de monitorización.

16. Dispositivo de visualización para visualizar gráficos de píxeles, en particular con un panel TFT (2), caracterizado por una unidad de monitorización (11; 21) según una de las reivindicaciones 9 a 14, integrada en el dispositivo, así como al menos una conexión para un dispositivo de entrada (4), conectada a la interfaz de dispositivo (60) de la unidad de monitorización, así como una conexión para un dispositivo de confirmación (14) seguro, conectada a la entrada de confirmación (11B; 11C) de la unidad de monitorización.