FR3031619A1 - Procede et dispositif de commande d'un appareil d'affichage et systeme d'affichage pour son application - Google Patents
Procede et dispositif de commande d'un appareil d'affichage et systeme d'affichage pour son application Download PDFInfo
- Publication number
- FR3031619A1 FR3031619A1 FR1650237A FR1650237A FR3031619A1 FR 3031619 A1 FR3031619 A1 FR 3031619A1 FR 1650237 A FR1650237 A FR 1650237A FR 1650237 A FR1650237 A FR 1650237A FR 3031619 A1 FR3031619 A1 FR 3031619A1
- Authority
- FR
- France
- Prior art keywords
- critical
- security
- display
- image data
- display elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 77
- 238000012545 processing Methods 0.000 claims abstract description 69
- 238000001454 recorded image Methods 0.000 claims abstract description 3
- 230000015654 memory Effects 0.000 claims description 39
- 230000008569 process Effects 0.000 claims description 16
- 238000013519 translation Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 description 10
- 230000008901 benefit Effects 0.000 description 7
- 238000000926 separation method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000009434 installation Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 5
- 230000018109 developmental process Effects 0.000 description 5
- 125000004122 cyclic group Chemical group 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000013517 stratification Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60K—ARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
- B60K35/00—Instruments specially adapted for vehicles; Arrangement of instruments in or on vehicles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/14—Digital output to display device ; Cooperation and interconnection of the display device with other functional units
- G06F3/1407—General aspects irrespective of display type, e.g. determination of decimal point position, display with fixed or driving decimal point, suppression of non-significant zeros
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T11/00—2D [Two Dimensional] image generation
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60K—ARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
- B60K35/00—Instruments specially adapted for vehicles; Arrangement of instruments in or on vehicles
- B60K35/20—Output arrangements, i.e. from vehicle to user, associated with vehicle functions or specially adapted therefor
- B60K35/29—Instruments characterised by the way in which information is handled, e.g. showing information on plural displays or prioritising information according to driving conditions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60K—ARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
- B60K2360/00—Indexing scheme associated with groups B60K35/00 or B60K37/00 relating to details of instruments or dashboards
- B60K2360/18—Information management
- B60K2360/186—Displaying information according to relevancy
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Transportation (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Controls And Circuits For Display Device (AREA)
- Fittings On The Vehicle Exterior For Carrying Loads, And Devices For Holding Or Mounting Articles (AREA)
- Digital Computer Display Output (AREA)
Abstract
Procédé (200) de commande d'un appareil d'affichage (110) pour afficher des contenus critiques de sécurité (A) et de contenus non critiques de sécurité (B), le procédé (200) consiste à traiter (210) les données d'images enregistrées (C, D)) en séparant les données d'images critiques de sécurité (C) et les données d'images non critiques de sécurité (D) et/ou en les traitant séparément pour générer des éléments d'affichage critiques pour la sécurité (E) et des éléments d'affichage non critiques pour la sécurité (F). Les éléments d'affichage critiques de sécurité (E) étant affichés en superposition graphique sur les éléments d'affichage non critiques de sécurité (F) par l'appareil d'affichage (110).
Description
1 Domaine de l'invention La présente invention se rapporte à un procédé de com- mande d'un appareil d'affichage, à un dispositif pour son application et à un système d'affichage équipé d'un tel dispositif ainsi qu'à un pro- gramme d'ordinateur, notamment pour afficher des contenus d'images critiques pour la sécurité et des contenus d'images non critiques pour la sécurité pour des moyens de transport en application de la norme ISO 26262. Etat de la technique En particulier, les appareils d'affichage équipant les véhi- cules automobiles comme par exemple les instruments combinés totalement programmés doivent permettre de signaler les messages d'état et d'avertissement d'une manière sécurisée. Pour garantir la représentation de contenu de graphique et la non représentation il faut que les fonctions répondent à la norme ISO 26262 ASIL B. Le document DE 10 2004 032 807 A 1 décrit un dispositif de procédé permettant d'augmenter la sécurité systématique des affichages par les instruments du véhicule et les appareils de commande du véhicule.
Exposé et avantages de l'invention Dans ce contexte, l'invention a pour objet un procédé de commande d'un appareil d'affichage pour afficher des contenus critiques de sécurité et de contenus non critiques de sécurité, le procédé consistant à traiter les données d'images enregistrées en séparant les données d'images critiques de sécurité et les données d'images non cri- tiques de sécurité et/ou en les traitant séparément pour générer des éléments d'affichage critiques pour la sécurité et des éléments d'affichage non critiques pour la sécurité, les éléments d'affichage critiques pour la sécurité étant affichés en superposition graphique sur les éléments d'affichage non critiques pour la sécurité par l'appareil d'affichage. Ainsi, selon l'invention, les éléments d'affichage critiques pour la sécurité tels que par exemple les messages de défaut, les messages d'état ou informations de ce type peuvent être traités séparément des éléments d'affichage non critiques pour la sécurité pour être calcu- 3031619 2 lés et présentés dans une couche séparée par-dessus les éléments d'affichage non critiques pour la sécurité. Ainsi, on peut par exemple appliquer les procédés de sécurité pour les programmes critiques de sécurité selon la norme ISO 26262 en présentant des données graphiques 5 dans des plans optiques superposés ou des plans graphiques en des- sous pour permettre de toujours représenter de manière visible les informations critiques pour la sécurité ou les cacher. Ainsi, en particulier, on réalise un affichage sur un non affichage des contenus de sécurité selon la norme ISO 26262, par exemple pour des instruments combinés 10 équipant les véhicules et pour d'autres affichages à base d'afficheur, pour présenter les informations concernant la sécurité. Les éléments d'affichage critiques pour la sécurité tels que par exemple les messages de défaut, les messages d'état ou informations analogues peuvent également être traités séparément des 15 autres éléments d'affichage, pour être calculés et être présentés dans une couche séparée au-dessus des éléments d'affichage critiques pour la sécurité. Une telle séparation réalise la conformité ASIL (ASIL niveau d'intégrité et de sécurité automobile) et permet une représentation sécurisée et le cas échéant la non représentation des éléments d'affichage 20 critiques pour la sécurité sans risque de recouvrement ou de refoule- ment des éléments d'affichage critiques pour la sécurité. La norme ISO 26262 qui définit les conditions de sécurité ASIL, prévoit par exemple deux solutions pour séparer les éléments concernant la sécurité de ceux qui ne la concerne pas ou seulement de 25 façon limitée dans un système global. Une première solution concerne la liberté de retour. Selon cette notion, les parties concernant la sécurité sont suffisamment protégées contre les parties non critiques pour la sécurité par des mesures dites QM (QM correspond à la non-présence de conditions de sécurité) pour assurer la séparation. Une seconde pro- 30 position consiste à décomposer les composants qui sont classés en classe ASIL-A ou ASIL-B selon les règles de sécurité ou encore selon une composante ASIL-A ou une composante ASIL-B et en élément QM. La combinaison des deux propositions selon des formes de réalisation de l'invention permet notamment de laisser pratiquement l'ensemble du 35 programme d'un produit de la partie QM et de l'établir ainsi plus effica- 3031619 3 cernent. Comme le volume du composant critique pour la sécurité, est faible, on peut le qualifier et le certifier selon ASIL-B. De façon avantageuse, selon les formes de réalisation de l'invention, on arrive notamment d'une manière économique et sécuri- 5 sée à présenter des informations critiques pour la sécurité, de manière fiable, graphiquement sur l'arrière-plan d'un affichage. En particulier, pour les appareils d'affichage du domaine automobile tels que par exemple les instruments combinés totalement programmés, on pourra afficher un état critique pour la sécurité et des messages 10 d'avertissement. Pour réaliser une représentation et une non- représentation des contenus graphiques, on peut par exemple appliquer une fonction qui répond aux exigences de la norme ISO 26262 ASIL-B. Alors que les habituelles piles graphiques et les bibliothèques supplémentaires peuvent apparaître comme trop complexes à des tiers, pour 15 pouvoir être qualifiées selon la norme ISO 26262, des formes de réalisa- tion de l'invention telles que présentées selon ISO 26262-09, on peut arriver à un niveau ASIL par une décomposition conforme à ISO 26262, des conditions de sécurité et d'atteindre la liberté de récupération. Pour cela, on peut par exemple laisser une pile graphique au niveau de sécu- 20 rité QM, ce qui ne correspond pas à une classification ASIL et ajouter un chemin de retour indépendant plus sûr, conforme à ISO 26262 qui réalise le niveau ASIL nécessaire pour l'affichage de contenus critiques pour la sécurité. On peut notamment réaliser la liberté de récupération des composants sur le niveau ASIL pour les composants du plan QM en 25 ce que des éléments non sécurisés ne peuvent pas interférer avec des éléments sécurisés ni dans l'espace, par exemple par des zones de mémoire, ni dans le temps, par exemple par le temps de l'unité CPU. L'invention a pour objet un procédé de commande d'un appareil d'affichage qui affiche des contenus critiques pour la sécurité 30 et des contenus non critiques pour la sécurité, le procédé applique les étapes développées ci-dessus. L'appareil d'affichage peut être associé à un véhicule, tel que par exemple un véhicule routier ou véhicule de ce type pour afficher des contenus critiques pour la sécurité, des données d'images et des 35 éléments d'affichage, des fonctions de sécurité, des fonctions concer- 3031619 4 nant la sécurité ou autres fonctions reliées à l'appareil d'affichage et appliquant le procédé, par exemple les fonctions de sécurité d'un véhicule, notamment celles concernant les incidents de fonctionnement. La notion « critique pour la sécurité » correspond au classement d'un éche- c lon de sécurité. Les contenus non critiques pour la sécurité, les données d'images et les éléments d'affichage de ce type sont des fonctions sans importance pour la sécurité du système ; elles sont reliées à l'appareil d'affichage et sont exécutées par le procédé, par exemple les fonctions de confort du véhicule. L'élément d'affichage comporte des données 10 d'images. En d'autres termes, l'élément d'affichage est généré avec des données d'images. Les données d'images peuvent être des données d'images brutes, des données de capteurs ou des éléments analogues. Ainsi, un élément d'affichage peut correspondre à des données d'images à afficher 15 ou qui peuvent être affichées. Les éléments d'affichage critiques pour la sécurité peuvent être affichés en superposition graphique avec les éléments d'affichage non critiques pour la sécurité en ce que les éléments d'affichage critiques pour la sécurité apparaîtrons à l'avant-plan de l'affichage. Le procédé peut également consister à enregistrer les don- 20 nées d'images et en plus ou en variante, l'émission d'élément d'affichage vers une interface avec l'appareil d'affichage. Les données d'images critiques pour la sécurité et les données d'images non critiques pour la sécurité sont enregistrées séparément ; en variante ou en plus, ces données sont extraites séparément. Les éléments d'affichage critiques 25 pour la sécurité et les éléments d'affichage non critique pour la sécurité sont émis séparément et en plus ou en variante, ils sont émis indépendamment. Selon un développement, le traitement des données d'images critiques pour la sécurité et les données d'images non critiques 30 pour la sécurité ainsi que les éléments d'affichage critiques pour la sé- curité et les éléments d'affichage non critiques pour la sécurité se font de manière séparée dans le temps, dans l'espace et en plus ou en variante par rapport aux ressources et ces données sont traitées indépendamment les unes des autres. Un traitement séparé dans le temps se 35 fait dans des temps de procédé, des temps de traitement différents. Un 3031619 5 traitement séparé dans l'espace consiste à utiliser des zones de mémoire, des dispositifs de mémoire, des procédés ou des moyens analogues, séparés. Un traitement avec des ressources séparées se fait dans des circuits séparés ou en plus ou en variante avec des procédés 5 séparés. Une telle forme de réalisation a l'avantage d'assurer un traite- ment séparé des contenus critiques pour la sécurité et non critiques pour la sécurité d'une manière diversifiée et fiable pour répondre à des niveaux de sécurité permettant de traiter des contenus critiques pour la sécurité d'une manière économique.
10 Dans l'étape de traitement on génère les éléments d'affichage critiques pour la sécurité de façon que ces éléments d'affichage soient présentés par l'appareil d'affichage en position d'affichage dans un plan graphique superposé graphiquement à tout autre plan graphique. En variante, dans l'étape de traitement, on génère 15 les éléments d'affichage critiques pour la sécurité de façon que ces élé- ments d'affichage remplacent graphiquement dans l'appareil d'affichage les éléments d'affichage non critiques pour la sécurité. Ainsi, plusieurs couches dites de circuit correspondent aux différentes zones de mémoire ou alors on peut utiliser la surscription d'éléments d'affichage 20 non critiques pour la sécurité par des éléments d'affichage critiques pour la sécurité. Cette forme de réalisation a l'avantage de permettre de manière simple et fiable, d'assurer un traitement séparé dans l'espace et/ou dans le temps ou traitement indépendant aux contenus soumis à la condition ASIL et ceux non soumis à cette condition.
25 En outre, dans l'étape de traitement, on peut gérer les données d'images critiques pour la sécurité et les données d'images non critiques pour la sécurité ainsi que les éléments d'affichage critiques pour la sécurité et les éléments d'affichage non critiques pour la sécurité dans des zones de mémoire séparées d'une des zones et de plus, sé- 30 curisées les unes des autres, des espaces d'adresse et/ou des espaces de procédé dans les mêmes conditions. Cette forme de réalisation a l'avantage de réaliser un traitement particulièrement fiable, notamment séparé dans l'espace pour les données d'images et les éléments d'affichage selon le niveau de sécurité requis. On peut également res- 3031619 6 pecter les conditions de sécurité pour les contenus critiques de sécurité d'une manière particulièrement fiable. Dans l'étape du procédé pour éviter un accès de mémoire non autorisé à des zones de mémoire séparées et ou en plus sécurisées 5 l'une par rapport à l'autre, les espaces d'adresse sécurisés, en plus ou en variante, on détecte les espaces de procédé et en plus ou en variante on évite l'accès. Ainsi, dans l'étape de traitement on utilise une unité de gestion de mémoire pour détecter un tel accès de mémoire non autorisée. Une telle forme de réalisation a l'avantage d'implémenter pour la 10 garantie de la séparation des données correspondant à des niveaux de sécurité différents, une protection garantie de la mémoire. On peut ainsi respecter un niveau de sécurité caractéristique pour les contenus critiques pour la sécurité et cela d'une manière encore plus fiable. Selon un développement, dans l'étape de traitement, on 15 vérifie en permanence au moins une ressource de traitement pour dé- terminer si l'état est correct ou s'il s'agit d'un état de défaut de cette ressource de traitement. Cette ressource de traitement peut être une ressource de circuit ou une ressource de programme. Une ressource de traitement peut être notamment un code programme, des données de 20 programme, un bus de données ou des éléments analogues. Cette forme de réalisation a l'avantage de respecter de manière fiable les niveaux de sécurité pour les contenus critiques de sécurité grâce à la sécurité appliquée aux ressources de traitement. Suivant une autre caractéristique, dans l'étape de traite- 25 ment des valeurs de registre qui correspondent à des données d'image critiques de sécurité et en plus ou en variante ou qui représentent des éléments d'affichage critiques pour la sécurité, on compare à des valeurs de registre de référence enregistrées dans une zone de mémoire protégée. Dans le cas d'un écart, on applique un traitement de défaut.
30 Le traitement de défaut est appliqué lorsqu'on constate un écart entre des valeurs de registre et des valeurs de registre de référence. Ce mode de réalisation a l'avantage qu'en surveillant les registres on respecte d'une manière particulièrement fiable les niveaux de sécurité valables pour les contenus critiques de sécurité.
3031619 7 Suivant une autre caractéristique, dans l'étape de traitement, pendant le temps de traduction, on assemble les données d'images critiques de sécurité dans une bibliothèque et on les protège. On peut générer des données de sécurité et de référence et les mémori- 5 ser dans la bibliothèque. Pendant le temps de parcours, on peut calcu- ler les données de sécurité et les comparer aux données de sécurité de référence. En cas d'écart, on applique un traitement de défaut ou d'erreur. Le traitement de défaut est exécuté s'il y a un écart entre les données de sécurité et les données de sécurité de référence. Cette forme 10 de réalisation a l'avantage de sécuriser les contenus critiques de sécuri- té et garantir ainsi le respect du niveau de sécurité. L'invention a également pour objet un dispositif pour l'application des étapes du procédé dans des installations pour les commander et appliquer le procédé. Cette variante de l'information sous 15 la forme d'un dispositif permet de répondre rapidement et efficacement au problème de l'invention. Le dispositif commande un appareil d'affichage pour afficher les contenus critiques de sécurité et les contenus non critiques de sécurité. Le dispositif selon l'invention est un appareil électrique 20 qui traite les signaux de données d'images et en fonction de ce traite- ment génère des signaux de commande et/ou de données. Le dispositif comporte une interface sous la forme d'un circuit et/ou d'un programme. La réalisation sous la forme d'un circuit (matériel) consiste à voir des interfaces qui font par exemple partie d'un système ASIC, con- 25 tenant les différentes fonctions du dispositif. Il est également possible que les interfaces possèdent leurs propres circuits intégrés ou sont formés au moins partiellement de composants discrets. Dans le cas de la réalisation sous la forme de programme, les interfaces sont des modules de programmes et présents par exemple sur un microcontrôleur à côté 30 d'autres modules de programmes. L'invention a également pour objet un système d'affichage pour afficher le contenu critique de sécurité et des contenus non critiques de sécurité et ayant un appareil d'affichage pour afficher les contenus critiques pour la sécurité et les contenus non critiques pour la 35 sécurité et selon lequel on relie un dispositif, pour échanger des don- 3031619 8 nées avec l'appareil d'affichage, le dispositif fournissant séparément à un appareil d'affichage, les éléments d'affichage critiques pour la sécurité et les éléments d'affichage non critiques pour la sécurité. En liaison avec le système d'affichage, on utilise avanta- 5 geusement une forme de réalisation du dispositif pour commander l'appareil d'affichage. Le système d'affichage comporte ainsi un dispositif de commande d'un appareil d'affichage qui affiche les contenus critiques de sécurité et les contenus non critiques de sécurité. Le système d'affichage peut se trouver dans un système global principal, par 10 exemple un véhicule ou un moyen analogue qu'il utilise ou être appli- qué en plus ou en variante. Le dispositif comporte au moins une interface avec le système global principal utilisant le système d'affichage et au moins une interface avec l'appareil d'affichage ou encore une installation de commande en amont de l'appareil d'affichage.
15 De façon avantageuse, l'invention a pour objet un pro- duit-programme d'ordinateur ou programme d'ordinateur avec un code-programme enregistré sur un support lisible par une machine tel qu'une mémoire semi-conductrice, un disque dur ou une mémoire optique pour la mise en oeuvre des étapes du procédé décrit ci-dessus.
20 Les formes de réalisation de l'invention concernent par exemple des affichages à base de pixels ou d'afficheurs. Les différents affichages peuvent être des surfaces d'affichage dynamiques ou les parties d'un afficheur tel que les afficheurs d'état de véhicule, les messages d'avertissement, un ordinateur de bord, un système de navigation, un 25 affichage de défaut ou des afficheurs de vidéo. Entre les affichages on peut avoir un changement d'état dynamique avec des contenus qui se repoussent. Les différents contenus peuvent être présentés par des animations dynamiques telles que translation, rotation, mise à l'échelle et modification de la transparence ou des niveaux de couleur. Indépen- 30 damment de la technique respective de rendu, par exemple des graphes scéniques, générations de code ou codage, on peut voir une application d'interface homme-machine (ou application HMI) avec un programme complexe. La conception de l'affichage peut dépendre des dévelop- 35 pements de marque et on peut modifier les conditions. Pour arriver au 3031619 9 classement ASIL pour de tels affichages on évite, par exemple de choisir l'une des trois propositions suivantes : une première proposition, celle de message de défaut à base ASIL ou des affichages défaut tels que par exemple l'affichage du rapport de vitesses, du mode ESP, de la défail- 5 lance de partie de système ASIL, de partie d'affichage. En cas de défaut, on peut avoir une détection de défaut. Pour cela on surveille l'écran-image et on vérifie le système d'affichage ou l'émission de pixels par un système de surveillance. Mais on a également des formes de réalisation de l'invention en ce qu'en réaction à une détection de défaut on remédie 10 au défaut au lieu de passer à l'état sécurisé, par exemple en coupant l'affichage. Cette solution conduirait les systèmes d'affichage seul à ce que par exemple un véhicule ne pourrait plus être entraîné par son propre moyen d'entraînement. On peut ainsi contourner un défaut. On peut également tenir compte de la complexité des changements d'état 15 pour les conditions de temps. On évite ainsi qu'un retard de réaction conditionné par la surcharge du système ne soit occasionné par des animations complexes et des interactions d'utilisateur de sorte que l'affichage ne pourrait plus être préparé dans le temps voulu par le système de surveillance et se traduirait par un défaut. Egalement, une fré- 20 quence de modifications élevée, liée à des modifications fréquences générées par le marché concernant l'affichage, met le système de surveillance dans un état de développement qui s'adapte plus simplement ou qui permet de réduire les moyens d'adaptation à mettre en oeuvre. En outre, les animations d'affichage sécurisé pourront être surveillées 25 plus simplement, ce qui permet d'éviter les tolérances de surveillance et facilite le respect des conditions de sécurité. Une seconde solution consiste à appliquer la condition ASIL, non pas à l'afficheur, mais à une pile de programme qui, en cas de défaut, branche une led d'avertissement et coupe l'affichage, ce qui contournerait des formes de 30 réalisation de l'invention car alors le nombre de messages de détail et/ou de messages de défaut serait physiquement limité puisque les leds ne pourraient pas être reconduites ; on éviterait également des surcoûts liés à des leds conformes aux modes ASIL. Enfin, on pourrait contourner une troisième proposition qui ne demande pas le respect des 35 conditions, par exemple ASIL B pour un système d'affichage complet et 3031619 10 qui ne serait réalisable économiquement pour les programmes selon les formes de la présente invention. Dessins La présente invention sera décrite ci-après à l'aide 5 d'exemples de procédés de commande d'un appareil d'affichage et d'un dispositif et un système d'affichage pour sa mise en oeuvre, représentés dans les dessins annexés dans lesquels : la figure 1 est un schéma d'un système d'affichage comportant un dispositif selon un exemple de réalisation de l'invention, lo la figure 2 montre un ordinogramme très simplifié d'un procédé selon un exemple de réalisation de l'invention, les figures 3A-3D sont des schémas très simplifiés d'affichages selon un exemple de réalisation de l'invention, la figure 4 montre une représentation schématique du procédé 15 pour générer l'affichage combiné selon les figures 3C ou 3D, la figure 5 est un diagramme de contexte d'une interface homme-machine selon un exemple de réalisation de l'invention, la figure 6 est une représentation très schématique des espaces-adresses d'une interface homme-machine selon un exemple de 20 réalisation de l'invention, la figure 7 est une représentation schématique d'un système d'affichage selon un exemple de réalisation de la présente invention, et la figure 8 est une représentation schématique d'un système 25 d'affichage selon un autre exemple de réalisation de l'invention. A titre de remarque, dans les différentes figures, les éléments identiques ou de même fonction portent les mêmes références. Description de modes de réalisation La figure 1 montre schématiquement un système 30 d'affichage 100 comportant un dispositif selon un exemple de réalisa- tion de la présente invention. Le système d'affichage 100 permet ou assure l'affichage de contenus A critiques du point de vue de la sécurité (appelé ci-après en abrégé contenus critiques) et de contenus B non critiques pour la sécurité (appelés en abrégé ci-après contenus non cri- 35 tiques). Le système d'affichage 100 est utilisé et/ou appliqué à un 3031619 11 véhicule tel que par exemple un véhicule routier. Le contenu critique A est par exemple un symbole d'avertissement ou une indication d'avertissement d'un état critique pour la sécurité. Le contenu non critique B représente par exemple un affichage tachométrique ou un affi- n chage de vitesse de rotation de la visualisation d'un instrument circulaire. Selon l'exemple de réalisation représenté à la figure 1 de la présente invention, le système d'affichage 100 comporte un appareil d'affichage 110 et un dispositif de commande 120 ou dispositif servant io à commander l'appareil d'affichage 110. L'appareil d'affichage 110 pré- sente les contenus critiques A et les contenus non critiques B. L'appareil d'affichage 110 affiche ainsi les contenus critiques A et les contenus non critiques B pour la sécurité. En particulier, l'appareil d'affichage 110 présente les contenus critiques A et/ou les contenus 15 non critiques B dans un segment de temps ou dans des segments de temps différents. L'appareil d'affichage 110 est par exemple un instrument combiné d'un véhicule automobile, notamment d'un véhicule de tourisme, d'un véhicule utilitaire ou autre véhicule de ce type. Le dispositif de commande 120 enregistre ou reçoit des 20 données d'images C critiques pour la sécurité et des données d'images D non critiques pour la sécurité. Ces données sont appelées ci-après en abrégé : « données d'images critiques C » et « données d'images non critiques D ». Le dispositif de commande 120 utilise les données d'images critiques C et des données d'images non critiques D pour générer et/ou 25 émettre des éléments d'affichage critiques pour la sécurité E et des élé- ments d'affichage non critiques pour la sécurité F ; ces éléments seront appelés en abrégé et ci-après « éléments d'affichage critiques E » et « éléments d'affichage non critique F ». Le dispositif de commande 120 échange des données avec 30 l'appareil d'affichage 110. Le dispositif de commande 120 fournit à l'appareil d'affichage 110 les éléments d'affichage critiques E et les éléments d'affichage non critiques F pour les afficher. L'appareil d'affichage 110 utilise les éléments d'affichage critiques E pour afficher les contenus critiques A et/ou il utilise les éléments d'affichage non critiques F 35 pour afficher les contenus non critiques B.
3031619 12 Le dispositif de commande 120 comporte une installation de traitement 130. L'installation de traitement 130 traite les données d'images lues C et D. L'installation de traitement 130 sépare les unes des autres les données d'images critiques C et les données d'images non 5 critiques D et/ou les traite indépendamment. L'installation de traite- ment 130 génère les éléments d'affichage critiques E en utilisant les données d'images critiques C. L'installation de traitement 130 génère également les éléments d'affichage critiques F en utilisant les données d'images critiques D. Plus précisément, l'installation de traitement 130 10 génère les éléments d'affichage critiques E pour que ces éléments d'affichage critiques E soient affichés par l'appareil d'affichage 110 en superposition graphique des éléments d'affichage non critique F. Le dispositif de commande 120 enregistre ou reçoit les données d'images critiques C et/ou les données d'images non critiques 15 D dans un intervalle de temps ou dans des intervalles de temps diffé- rents. Le dispositif de commande 120 fournit notamment les données d'affichage critique E et les données d'affichage non critiques F dans un même intervalle de temps ou dans des intervalles de temps différents. Ainsi, dans un même intervalle de temps, les contenus critiques A sont 20 affichés en utilisant les données d'images critiques C et les éléments d'affichage critiques E et/ou les contenus non critiques B sont affichés en utilisant les données d'images non critiques D et les éléments d'affichage non critiques F. L'affichage des contenus A et/ou B dépend par exemple de la présence des données d'images C et/ou D.
25 Selon un exemple de réalisation, le dispositif de com- mande 120 fait partie de l'appareil d'affichage 110 ou est le même appareil d'affichage. La figure 1 montre une représentation séparée uniquement dans un but de présentation. La figure 2 montre un ordinogramme très simplifié d'un 30 procédé 200 selon l'exemple de réalisation de la présente invention. Ce procédé 200 est un procédé de commande d'un appareil d'affichage pour afficher des contenus critiques pour la sécurité et des contenus non critiques pour la sécurité. Le procédé 200 commande l'appareil d'affichage. Le procédé 200 est exécuté en combinaison avec un système 35 d'affichage comme le système d'affichage de la figure 1. En particulier, 3031619 13 le procédé 200 est exécuté en combinaison avec un dispositif de commande, tel que le dispositif de commande de la figure 1. Le procédé 200 a une étape 210 de traitement des don- nées d'images reçues. On sépare alors les données d'images critiques 5 pour la sécurité et les données d'images non critiques pour la sécurité et on les traite indépendamment les unes des autres pour générer des éléments d'affichage critiques pour la sécurité et des éléments d'affichage non critiques pour la sécurité. Les éléments d'affichage critiques pour la sécurité sont générés dans l'étape de traitement 210 pour 10 que les éléments d'affichage critiques pour la sécurité soient affichés dans l'état d'affichage de l'appareil d'affichage en superposition graphique des éléments d'affichage non critiques pour la sécurité. Selon un exemple de réalisation, les données d'images critiques pour la sécurité et les données d'images non critiques pour la 15 sécurité ainsi que les éléments d'affichage critiques pour la sécurité et les éléments d'affichage non critiques pour la sécurité sont traités dans l'étape de traitement 210 de manière séparée ou indépendante dans le temps, dans l'espace et/ou du point de vue des ressources. Le procédé 200 selon un exemple de réalisation a égale- 20 ment une étape 220 d'enregistrement des données d'images. En option, les données d'images critiques pour la sécurité et les données d'images non critiques pour la sécurité sont enregistrées séparément, c'est-à-dire indépendamment les unes des autres. Le procédé 200 comporte également en plus ou en variante, une étape 230 d'émission des éléments 25 d'affichage vers une interface pour l'appareil d'affichage. En option on peut émettre séparément ou indépendamment les uns des autres, les éléments d'affichage critiques pour la sécurité et les éléments d'affichage non critiques pour la sécurité. La figure 3A montre très schématiquement des contenus 30 non critiques B dans un premier plan graphique 301 selon un exemple de réalisation de la présente invention. Les contenus non critiques B (contenus non critiques pour la sécurité) sont par exemple des contenus non critiques selon la figure 1. Les contenus non critiques B sont affichés sur l'appareil d'affichage à l'aide du dispositif de commande de la 35 figure ; il s'agit par exemple de l'appareil d'affichage représenté à la fi- 3031619 14 gure 1. Plus précisément, les contenus non critiques B (contenus non critiques pour la sécurité) représentent une visualisation symbolique des instruments de bord d'un véhicule. Les contenus non critiques B correspondent par exemple à l'échelon QM au-delà de la classification 5 selon ASIL (Automotive Safely Integrity Level) ou de la norme ISO 26262. La figure 3B montre une représentation schématique de contenu critique A dans un second plan graphique 302 selon un exemple de réalisation de la présente invention. Les contenus critiques 10 A (contenus critiques pour la sécurité) sont par exemple les contenus critiques selon la figure 1. Les contenus critiques A sont affichés sur l'appareil d'affichage en utilisant le dispositif de commande de la figure 1 comme par exemple l'appareil d'affichage présenté à la figure 1. Plus précisément, les contenus critiques A représentent un symbole 15 d'avertissement ou une visualisation symbolique d'un message d'avertissement pour le conducteur du véhicule. Les contenus critiques A correspondent par exemple à une classe de sécurité selon la classification ASIL ou la norme ISO 26262, notamment la classe ASIL B. Ainsi, la figure 3A et la figure 3B montrent des affichages 20 calculés séparément, c'est-à-dire des plans graphiques 301, 302 dis- tincts. Le premier plan graphique 301 montre le fond et le second plan graphique 302 montre l'avant-plan. La figure 3C montre très schématiquement l'affichage combiné 303 selon un exemple de réalisation de la présente invention.
25 L'affichage combiné 303 comporte le premier plan graphique 301 de la figure 3A en fond et le second plan graphique 302 représenté à la figure 3B en avant-plan. Plus précisément, la figure 3C montre la combinaison ou la stratification des plans graphiques 301, 302 ; les plans graphiques 301, 302 sont présentés écartés l'un de l'autre dans un but de 30 schématisation de la présentation. La figure 3D montre schématiquement l'affichage combiné 303 de la figure 3C selon une représentation montrant l'affichage combiné 303 apparaissant à un observateur. Le second plan graphique 302 est superposé au premier plan graphique 301 par une superposi- 35 tion graphique optique.
3031619 15 En référence aux figures ci-dessus, le dispositif de commande 120 est indépendant du procédé de dessin utilisé pour placer les contenus critiques A ou une partie garantie de l'affichage ou la représentation, de manière graphique sur ou par-dessus les contenus non 5 critiques B ou la partie générale. Par exemple, on peut voir une inter- face régulière homme-machine HMI ou QM-HMI pour calculer et animer les contenus non critiques B ou les afficher en arrière-plan. Une interface ASIL-HMI est réalisée pour permettre l'affichage dans l'avant-plan des contenus critiques A. En se référant tout particulièrement égale- 10 ment au procédé 200 de la figure 2, selon un exemple de réalisation, dans l'étape 210 du traitement on peut générer des éléments d'affichage critiques E pour que ces éléments E soient affichés par l'appareil d'affichage 110, à l'état affiché dans un autre plan graphique 301, superposé graphiquement au plan graphique 302. On peut utiliser la 15 couche matérielle qui correspond à des zones de mémoire distincte, in- terprétée par le contrôleur d'affichage comme plan superposé. Ces plans peuvent couvrir à chaque fois les plans situés en-dessous ou les laisser apparaître par transparence partielle. Les contenus d'un plan peuvent s'appuyer graphiquement à la fois sur 2D et sur 3D. Cela permet 20 d'enregistrer les éléments d'affichage critiques E ou des informations ASIL, dans le plan graphique 302 du dessus, tourné vers l'observateur de façon à ne pas être couvert par d'autres informations d'images. Pour ASIL on a ainsi une séparation spatiale des contenus A et B. En variante, dans l'étape 210 du traitement on peut générer les éléments 25 d'affichage critiques E pour que ces éléments d'affichage E remplacent ou couvrent graphiquement les éléments d'affichage critiques F dans l'état d'affichage. Dans des systèmes sans couche de matériel, le dessin peut se faire en deux étapes : tout d'abord le calcul des éléments d'affichage non critiques F ou éléments d'affichage qui en sont déduits 30 de façon que les données de résultat servent d'entrée supplémentaire comme composante ASIL auxquelles on ajoute les éléments d'affichage critiques E. Une telle proposition permet d'utiliser le principe global pour le système d'affichage avec des circuits moins puissants. La figure 4 montre une représentation schématique du 35 procédé pour générer l'affichage combiné 303 à partir de la figure 3C ou 3031619 16 de la figure 3D à l'aide du système d'affichage 100. L'affichage combiné 303 présente en fond le premier plan graphique 301 présenté à la figure 3A et en avant-plan le second plan graphique 302 de la figure 3B. L'affichage combiné 303 et celui visualisé à la figure 3C. Le premier 5 plan graphique 301 comporte ainsi les contenus non critiques qui sont affichés à l'aide du système d'affichage 100 en utilisant les éléments d'affichage non critiques F. Le second plan graphique 302 comporte les contenus critiques qui sont affichés par le système d'affichage 100 en utilisant les éléments d'affichage critiques E. En d'autres termes, la fi- 10 gure 4 montre précisément notamment la représentation abstraite de couches de programme participant dans le système d'affichage 100 pour réaliser l'affichage garanti par les moyens ASIL selon ISO 26262 ; Le système d'affichage 100 comporte à cet effet les installations de programme. Un premier groupe d'installations de pro- 15 grammes comprend des installations pour des données statiques 401, des données dynamiques 402, un code 403 et un affichage 404. L'utilisation du premier groupe d'installation de programme permet de générer les éléments d'affichage non critiques F. Un second groupe 405 d'installation de programme distinct du premier groupe d'installation de 20 programme représente les mécanismes de protection selon ISO 26262. Le second groupe 405 comporte des installations pour des données statiques qualifiées 406, des données dynamiques et sécurisées 407, un code de qualification 408 et un affichage protégé 409. Le second groupe 405 d'installation de programme permet de générer les éléments 25 d'affichage critiques E. La figure 5 montre un diagramme de contexte 500 d'une interface homme-machine (interface appelée en abrégé HMI) ou encore un diagramme de contexte HMI selon un exemple de réalisation de la présente invention. En d'autres termes, la figure 5 donne une vue 30 d'ensemble d'un module de programme d'un système d'affichage comme le système d'affichage de la figure 1. On a représenté un espace adresse HMI sécurisé 501 et un espace adresse HMI régulier ou espace adresse QM-HMI 502. L'espace adresse HMI sécurisé 501 et l'espace adresse QM-HMI 502 sont séparés l'un de l'autre. En particulier, cette sépara- 35 tion se fait dans le sens d'une séparation de programme. L'espace 3031619 17 adresse HMI sécurisé 501 est utilisé pour les données d'images critiques pour la sécurité, les éléments d'affichage ou les contenus ; l'espace adresse QM-HMI 502 est utilisé pour les données d'images non critiques, les éléments d'affichage ou les contenus. L'espace adresse 5 HMI sécurisé 501 et l'espace adresse QM-HMI 502 permettent le traite- ment séparé des données d'images critiques, les éléments d'affichage et des contenus concernant les données d'images non critiques, les éléments d'affichage ou autres contenus. La figure 6 montre une vue d'ensemble 600 des espaces- 10 adresse d'une interface homme-machine selon un exemple de réalisa- tion de la présente invention. La figure montre un espace-adresse régulier 601 ou espace-adresse virtuel régulier (VAS= espace-adresse virtuel) pour l'interface homme machine (interface HMI) ainsi qu'un espace adresse sécurisé 602 ou espace adresse virtuel sécurisé (VAS) pour 15 l'interface homme machine HMI. La figure montre en outre le noyau 603 sur lequel sont fondés l'espace adresse régulier 601 et l'espace adresse sécurisé 602. En d'autres termes, la figure 6 donne une vue d'ensemble ou la traduction d'une pile de programmes ou encore un concept de programmes pour une interface homme machine sécurisée.
20 En référence aux figures 1 à 6, la description ci-après concerne des exemples de réalisation de l'invention pour la sécurisation (protection contre les interférences) critique du point de vue de la sécurité pour d'autres logiques d'affichage. Une telle sécurisation se réalise par la combinaison de plusieurs procédés. Un premier procédé concerne 25 la protection de la mémoire, un second procédé consiste à protéger le code programme et les données de programme ou variables et un troisième procédé concerne la surveillance des registres ; un quatrième procédé consiste à protéger les données d'images. Ces quatre procédés seront détaillés ci-après.
30 Le premier procédé réalise la protection de la mémoire. Selon un exemple de réalisation, pour l'exécution du procédé 200, dans l'étape 210 du traitement des données d'images critiques C pour la sécurité et les données d'images critiques pour le fonctionnement ainsi que pour les éléments d'affichage critiques pour la sécurité E et les élé- 35 ments d'affichage F non critiques pour la sécurité sont gérés de manière 3031619 18 séparée et/ou dans des zones de mémoire sécurisée les unes par rapport aux autres, des espaces adresse et/ou des espaces de procédé 501 et 502 ou 601, 602 et 603. En option, on peut en outre, dans l'étape 210 du traitement, détecter et/ou interdire tout accès non autorisé à la 5 mémoire pour des zones de mémoire séparées les unes des autres et/ou protégées les unes des autres, les espaces-adresses et/ou des espaces de procédé 501 et 502 ou 601, 602 et 603. Pour garantir la séparation concernant la sécurité par rapport à une autre logique d'affichage on peut gérer les données C et D ou les éléments d'affichage E et F pour 10 l'affichage respectif dans des zones de mémoire 501 et 502 ou 601 et 602, 603 séparées et protégées séparément. Par exemple, les trois zones de mémoire 601, 602 et 603 séparées les unes des autres peuvent servir comme le montre la figure 6. On peut à cet effet utiliser les mécanismes fournis par le système de 15 fonctionnement pour protéger les mémoires, comme par exemple les espaces de procédés, l'espace adresse virtuel, etc. et le cas échéant étendre avec des mécanismes de sécurité supplémentaires. Comme mécanisme de sécurité supplémentaire, la détection d'un accès de mémoire non autorisé pour que la mémoire de l'espace adresse 501, 602 concer- 20 nant la sécurité ne soit pas détérioré par un autre espace adresse, par l'utilisation d'une unité de gestion de mémoire ou unité MMU ; l'accès de mémoire non valable MMU en option peut détecter l'espace adresse séparé, effectuer une surveillance cyclique de MMU ou déterminer si MMU est actif ou n'est pas actif, effectuer un test cyclique pour déter- 25 miner si le table MMU est consistant ou a été modifié, validé cyclique- ment et remettre à zéro les mémoires, par exemple le niveau 1 et le niveau 2 de mémoire-cache, enregistrer de manière garantie les variables par un contrôle cyclique de redondances (contrôles cycliques CRC) et utiliser la redondance dans l'espace adresse sécurisé 501, 602 30 et/ou procéder de façon analogue. Le second procédé consiste à sécuriser les ressources de traitement ou code programme ou données de programme ou variables. Selon un exemple de réalisation, dans l'exécution du procédé 200, dans l'étape 210 on vérifie en continu le traitement d'au moins une ressource 35 de traitement pour déterminer si la situation est correcte ou si l'on est 3031619 19 dans un état de défaut d'au moins une ressource de traitement. Au démarrage du système, une application, un programme peut vérifier le chargement, par exemple par un code CRC. Après le démarrage du programme, avant que les données ne soient affichées, on exécute un test 5 RAM (test de la mémoire RAM d'accès aléatoire) pour garantir le fonc- tionnement correct du bus de données et d'adresses ou détecter des défauts de programme. En complément, on peut vérifier une partie invariable des programmes, par exemple le code source, les données constantes, etc. par des vérifications cycliques et comparer à une valeur 10 de référence, par exemple par le code CRC. Dans le cas d'un écart, on peut passer dans un état sécurisé. Le troisième procédé surveille les registres. Selon un exemple de réalisation, lors de l'exécution du procédé 200, dans l'étape 210 consistant à traiter les valeurs des registres qui représentent les 15 données d'images critiques C et/ou les éléments d'affichage critiques E, on compare à des valeurs de registre de référence enregistrées dans une zone de mémoire protégée ; en cas d'écart, on applique un traitement de défaut. Après le démarrage du système, on peut initialiser le contrôleur d'affichage. Les valeurs initialisées ne doivent plus changer pendant le 20 temps de fonctionnement du système. Les valeurs des registres de réfé- rence peuvent être tenues dans une zone de mémoire protégée pour le plan graphique 302 concernant la sécurité ou la couche graphique ; la combinaison des deux procédés ci-dessus est possible. Au démarrage du système, on peut enregistrer cycliquement les valeurs de registre 25 lues par le contrôleur d'affichage et les comparer à des valeurs de réfé- rence. Dans le cas d'un écart, on peut effectuer un traitement de défaut ou d'erreur, par exemple, rétablir trois fois, passer à l'état sécurisé, etc. indépendamment du résultat de la comparaison on peut réinscrire les valeurs de référence pour le contrôleur d'affichage pour éviter une éven- 30 tuelle erreur de relecture. Un quatrième procédé consiste à sécuriser les données d'image. Pour cela, selon un exemple de réalisation, lors de l'exécution du procédé 200, dans l'étape de traitement 210, pendant le temps de traduction, on assemble les données d'images critiques C en une biblio- 35 thèque et on sécurise en générant des données de sécurité de référence 3031619 20 et en les enregistrant dans la bibliothèque et pendant le temps de parcours on calcule des données de sécurité et on les compare aux données de sécurité de référence ; en cas d'écart, on applique un traitement d'erreur. Les données d'images C pour l'affichage sécurisé, par exemple 5 les icônes et les textures peuvent être assemblées au moment de la tra- duction ou compilation dans une bibliothèque (bibliothèque de domaines). Le contenu de la bibliothèque peut être sécurisé par un code CRC lorsqu'on le génère. De telles données de sécurité peuvent être mémorisées comme valeur de référence dans la bibliothèque. La biblio- 10 thèque peut également être transférée à un système cible, par exemple en mémorisant la bibliothèque dans une mémoire flash de l'instrument combiné du véhicule. Les données de sécurité peuvent être calculées de nouveau pour le temps de parcours, par exemple dans une zone sécurisée du système cible, le cas échéant en combinaison avec l'un des pro- 15 cédés développés ci-dessus. Les données caractérisées pour le temps de parcours peuvent être comparées aux données de référence enregistrées dans la bibliothèque. En cas d'écart, on peut appliquer un traitement d'erreur, par exemple en répétant trois fois, en passant dans un état de sécurité, etc.
20 La figure 7 est une représentation schématique d'un sys- tème d'affichage 100 selon un exemple de réalisation de la présente invention. Le système d'affichage 100 est analogue au système d'affichage présenté à la figure 1 ou correspond à celui-ci. Le système d'affichage 100 a un appareil d'affichage 110 et un dispositif de commande 120 25 avec un premier processeur 721 et un second processeur 722. Une ligne de séparation sépare à la figure 7 le premier processeur 721 et le second processeur 722, de manière symbolique ou pour des raisons de clarté du dessin ; ils sont subdivisés en un segment de circuit HW et un segment de programme SW.
30 Dans le segment de circuit HW, le premier processeur 721 a une unité de microcommande ou une unité de microcontrôleur 740. L'unité de microcontrôleur 740 se comporte selon l'exemple de réalisation de la présente invention à la figure 7, une unité centrale 741 ou unité centrale de traitement (CPU), un bus CAN 742, un bus LIN 743 35 (Réseau d'Interconnexion Locale) ainsi qu'une mémoire à accès direct 3031619 21 ou mémoire RAM (mémoire accès aléatoire) ainsi qu'une mémoire morte ROM (mémoire lecture seule). Dans le segment de programme SW, le premier processeur 721 comporte par exemple un système de gestion 751, un pilote de programme 752 ainsi que des applications 753.
5 Dans le segment circuit HW, le second processeur 722 comporte un chip de système 760 (système sur chip SOC). Le système sur chip 760 dans l'exemple de réalisation de l'invention présenté à la figure 7 comporte au moins une autre unité centrale 761 ou unité centrale de traitement, au moins une unité de traitement graphique 762 10 (unité GPU) et une unité de commande d'affichage 763 ou commande d'affichage. Dans le segment programme SW, le second processeur 722 a par exemple un autre système de gestion 771, d'autres pilotes de programmes 772, une application HMI 773, une pile de sécurité 774 et une installation HMI sécurisée 775.
15 L'unité de microcontrôleur 740 du premier processeur 721 et le système sur chip 760 du second processeur 722 sont reliés de façon à échanger des données. L'unité de microntrôleur 740 du premier processeur 721 permet d'échanger des données avec le réseau X du véhicule, par exemple par le bus CAN et/ou par le bus LIN. Le système 20 sur chip 760 du second processeur 722 est relié de façon à échanger les données avec une mémoire à accès direct externe au processeur RAM et une mémoire morte externe au processeur ROM. Le système sur chip 760 du second processeur 722 échange les données avec l'appareil d'affichage 110.
25 La figure 8 est une représentation schématique d'un sys- tème d'affichage 100 selon un autre exemple de réalisation de l'invention. Le système d'affichage 100 est analogue ou identique au système d'affichage de la figure 1. Plus précisément, le système d'affichage 100 correspond au système d'affichage de la figure 7, sauf 30 que le système d'affichage 100 de la figure 8 comporte un appareil d'affichage 110 et un dispositif de commande 120 ayant uniquement un processeur 820. La ligne de séparation divise également de manière symbolique à la figure 8, le processeur 820 en un segment de circuit HW et un segment de programme SW pour faciliter la présentation.
3031619 22 Le processeur 820 du segment de circuit HW a une unité de microcommande ou microcontrôleur 840. L'unité de microcontrôleur 840 comporte selon l'exemple de réalisation de l'invention présentée à la figure 8, une unité centrale 841 ou une unité centrale de traitement 5 CPU, un bus CAN 842, un bus 843, une unité de traitement graphique 844 (unité GPU) et une unité de commande d'affichage 845. Le segment de programme SW du processeur 820 comporte par exemple un système de gestion 851, un pilote de programme 852, des applications 853, une application d'interface HMI 854, une pile de sécurité 855 et une 10 installation HMI sécurisée 856. L'unité de microcontrôleur 840 du processeur 820 échange les données avec le réseau du véhicule X, par exemple par un Bus CAN et/ou un Bus LIN. L'unité de microcontrôleur 840 échange les données avec une mémoire à accès direct, externe au processeur ou 15 mémoire vive RAM ainsi qu'avec une mémoire fixe ROM, externe au processeur. L'unité de microcontrôleur 840 échange des données avec l'appareil d'affichage 110. Un exemple de réalisation de la présente invention sera décrit ci-après, de manière résumée en référence aux figures 1 à 8. Le 20 système d'affichage 100 de véhicule comporte un microcontrôleur avec des interfaces pour le véhicule. Il est relié à un contrôleur graphique et la mémoire tampon de trame qui soutient l'affichage dans plusieurs plans ou plans graphiques (couches graphiques) en étant reliés à un appareil d'affichage 110 du véhicule, par exemple, un appareil TFT LCD 25 et une installation pour l'affichage sécurisé particulier des contenus d'affichage en séparant le traitement des contenus critiques pour la sécurité A et des contenus non critiques pour la sécurité B. L'affichage des contenus critiques A est fait dans le plan graphique 302 supérieur qui ne peut être couvert par les autres plans graphiques. On peut utili- 30 ser une transparence partielle ou totale de ces plans graphiques 302 pour assurer la lisibilité non limitée d'autres contenus non critiques B si le contenu critique A, sécurisé nécessite uniquement une partie de la surface sous le plan graphique supérieur 302. On peut également appliquer un ou plusieurs des procédés ci-dessus de protection de mé- 35 moire ou de traitement du contenu sécurisé A dans une zone de 3031619 23 mémoire, ou encore sécuriser le code programme, surveiller le registrer et/ou sécuriser les données d'images. Les exemples de réalisation décrits et présentés dans les figures ne correspondent qu'à des exemples. Les différents exemples 5 peuvent être combinés en totalité ou en partie. On peut également com- pléter certains exemples par des caractéristiques d'autres exemples. En outre, les étapes de procédé présentées ci-dessus peuvent être exécutées dans un autre ordre.
10 3031619 24 NOMENCLATURE DES ELEMENTS PRINCIPAUX 100 Système d'affichage 110 Appareil d'affichage 5 120 Dispositif de commande 200 Procédé de commande d'un appareil d'affichage 201-220 Etape du procédé 200 301-302 Plan graphique 303 Affichage combiné 10 401 Données statiques 402 Données dynamiques 403 Code 404 Affichage 405 Second groupe 15 406 Données statiques 407 Données dynamiques 408 Code qualifié 409 Affichage sécurisé 500 Diagramme de contexte 20 501 Espace adresse HMI 502 Espace adresse QM-HMI 600 Représentation d'ensemble des espaces adresse 601 Espace adresse régulier 602 Espace adresse sécurisé 25 721 Premier processeur 722 Second processeur 740 Unité de microcontrôleur 741 Unité centrale 742 Bus CAN 30 743 Bus LIN 751 Système de gestion 752 Pilote de programme 753 Application 760 Chip de système / système sur chip / système sur puce 35 761 Unité centrale 3031619 25 762 Unité de traitement graphique GPU 763 Unité de commande d'affichage 771 Unité de gestion 772 Pilote de programme 5 773 Application HMI 774 Pile de sécurité 775 Installation HMI sécurisée 820 Processeur 840 Unité de microcontrôleur 10 841 Unité centrale 842 Bus CAN 843 Bus LIN 844 Unité de traitement graphique 851 Système de gestion 15 852 Pilote de programme 853 Application 854 Application HMI 855 Pile de sécurité 856 Installation HMI sécurisée 20 A Contenu critique pour la sécurité B Contenu non critique pour la sécurité C Données d'images critiques pour la sécurité D Données d'images non critiques pour la sécurité E Elément d'affichage critique pour la sécurité 25 F Elément d'affichage non critique pour la sécurité 30
Claims (3)
- REVENDICATIONS1°) Procédé (200) de commande d'un appareil d'affichage (110) pour afficher des contenus critiques de sécurité (A) et de contenus non critiques de sécurité (B), procédé (200) consistant à : traiter (210) les données d'images enregistrées (C, D) en séparant les données d'images critiques de sécurité (C) et les données d'images non critiques de sécurité (D) et/ou en les traitant séparément pour générer des éléments d'affichage critiques pour la sécurité (E) et des éléments d'affichage non critiques pour la sé- curité (F), les éléments d'affichage critiques pour la sécurité (E) étant affichés en superposition graphique sur les éléments d'affichage non critiques pour la sécurité (F) par l'appareil d'affichage (110).
- 2°) Procédé (200) selon la revendication 1, caractérisé en ce que dans l'étape de traitement (210) on traite les données d'images critiques pour la sécurité (C) et les données d'images non critiques pour la sécu- rité (D) ainsi que les éléments d'affichage critiques pour la sécurité (E) et les éléments d'affichage non critiques pour la sécurité (F) de manière séparée et/ou indépendante dans le temps ou dans l'espace et/ou pour les ressources.
- 3°) Procédé (200) selon la revendication 1, caractérisé en ce que dans l'étape (210) de traitement on génère les éléments d'affichage critiques pour la sécurité (E) pour que ces éléments d'affichage (E) à l'état d'affichage de l'appareil d'affichage (110) soient affichés dans un plan graphique (302) qui couvre graphiquement tout autre plan graphique (301) ou encore que l'élément d'affichage critique pour la sécurité ( E) remplace, des éléments d'affichage non critiques pour la sécurité (F) lorsque l'appareil d'affichage (110) est à l'état d'affichage. 3031619 27 4°) Procédé (200) selon la revendication 1, caractérisé en ce que dans l'étape (210) de traitement on gère les données d'images critiques pour la sécurité (C) et les données d'images non critiques pour la sécu- 5 rité (D) ainsi que les éléments d'affichage critiques pour la sécurité (E) et les éléments d'affichage non critiques pour la sécurité (F) dans des plages de mémoire distinctes et/ou sécurisées l'une par rapport à l'autre, dans des espaces adresse et/ou des espaces de procédé (501, 502 ; 601, 602, 603). 10 5°) Procédé (200) selon la revendication 4, caractérisé en ce que dans l'étape (210) de traitement on détecte et/ou on évite un accès mémoire non autorisé aux zones de mémoire aux espaces d'adresse et/ou 15 aux espaces de procédé (501-502 ; 601, 602, 603) qui sont séparés et/ou sécurisés les uns par rapport aux autres. 6°) Procédé (200) selon la revendication 1, caractérisé en ce que 20 dans l'étape (210) de traitement, on vérifie au moins une ressource de traitement en continu pour déterminer si l'état est correct ou s'il s'agit d'un état de défaut d'au moins une ressource de traitement. 7°) Procédé (200) selon la revendication 1, 25 caractérisé en ce que dans l'étape (210) de traitement on compare les valeurs de registre qui représentent des données d'images critiques pour la sécurité (C) et/ou des éléments d'affichage critiques pour la sécurité (E) à des valeurs de registre de référence enregistrées dans une zone de mémoire protégée et 30 en cas d'écart on applique un traitement de défaut. 8°) Procédé (200) selon la revendication 1, caractérisé en ce que dans l'étape (210) de traitement pendant un temps de traduction on as- 35 semble ces données d'images critiques pour la sécurité (C) sous la forme 3031619 28 d'une bibliothèque et on les protège, on génère ces données de sécurité de référence et on les enregistre dans la bibliothèque, et pendant un temps de parcours, on calcule les données de sécurité et on les compare aux données de sécurité de référence et en cas d'écart 5 on applique un traitement d'erreur. 9°) Dispositif (120) pour exécuter toutes les étapes du procédé (200) de commande d'un appareil d'affichage (110) selon l'une quelconque des revendications 1 à 8, pour afficher des contenus critiques de sécurité 10 (A) et de contenus non critiques de sécurité (B), consistant à : - traiter (210) les données d'images enregistrées (C, D) en séparant les données d'images critiques de sécurité (C) et les données d'images non critiques de sécurité (D) et/ou en les traitant séparément pour générer des éléments d'affichage critiques pour la 15 sécurité (E) et des éléments d'affichage non critiques pour la sé- curité (F), les éléments d'affichage critiques pour la sécurité (E) étant affichés en superposition graphique sur les éléments d'affichage non critiques pour la sécurité (F) par l'appareil d'affichage (110). 20 10°) Système d'affichage (100) pour afficher des contenus critiques de sécurité (A) et des contenus non critiques de sécurité (B), le système d'affichage (100) étant caractérisé en ce qu'il a : - un appareil d'affichage (110) pour afficher les contenus critiques de 25 la sécurité (A) et les contenus non critiques de sécurité (B), et - on relie un dispositif (120) selon la revendication 9, pour échanger des données avec l'appareil d'affichage (110), le dispositif (120) fournissant séparément à un appareil d'affichage (110), les éléments d'affichage critiques de sécurité (E) et les éléments d'affichage non 30 critiques de sécurité (F). 11°) Programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé (200) selon l'une quelconque des revendications 1 à 8 lorsque ce programme est exécuté 35 sur un ordinateur.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102015200292.6A DE102015200292A1 (de) | 2015-01-13 | 2015-01-13 | Verfahren und Vorrichtung zum Ansteuern eines Anzeigegerätes und Anzeigesystem |
| DE1020152002926 | 2015-01-13 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR3031619A1 true FR3031619A1 (fr) | 2016-07-15 |
| FR3031619B1 FR3031619B1 (fr) | 2019-04-05 |
Family
ID=56233790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1650237A Active FR3031619B1 (fr) | 2015-01-13 | 2016-01-13 | Procede et dispositif de commande d'un appareil d'affichage et systeme d'affichage pour son application |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN105786426A (fr) |
| DE (1) | DE102015200292A1 (fr) |
| FR (1) | FR3031619B1 (fr) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111095148A (zh) * | 2017-09-21 | 2020-05-01 | 克诺尔有限公司 | 用于确定系统的状态的方法和控制设备 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102016003359B4 (de) * | 2016-03-18 | 2023-07-20 | Mercedes-Benz Group AG | Anzeigevorrichtung |
| CN108153610B (zh) * | 2017-12-21 | 2020-10-30 | 浙江汽车仪表有限公司 | 一种基于硬件异构多核的图像安全检测方法 |
| DE102019202862B4 (de) | 2019-03-04 | 2022-08-04 | Audi Ag | Vorrichtung zur Bereitstellung von Bilddaten |
| DE102019205237B4 (de) * | 2019-04-11 | 2022-06-15 | Audi Ag | Anzeigen einer ASIL-D-Information mittels eines weniger sicheren Geräts |
| GB2592436B (en) * | 2020-02-28 | 2022-02-23 | Imagination Tech Ltd | Critical workload check |
| GB2592437B (en) | 2020-02-28 | 2022-03-02 | Imagination Tech Ltd | Critical workload check |
| FR3121247B1 (fr) * | 2021-03-29 | 2024-03-08 | Psa Automobiles Sa | Procédé et dispositif de contrôle de témoins d’une interface homme-machine pour véhicule |
| DE102021001673B3 (de) | 2021-03-30 | 2022-06-15 | Mercedes-Benz Group AG | Verfahren und Vorrichtung zur sicheren Anzeige von ASIL-relevanten Daten auf einer Anzeigevorrichtung eines Kraftfahrzeuges |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102004032807A1 (de) | 2004-07-07 | 2006-02-16 | Adam Opel Ag | Vorrichtung und Verfahren zur Erhöhung der Systemsicherheit von Fahrzeuginstrumentenanzeigen und Fahrzeugsteuergeräten |
| CN2789845Y (zh) * | 2005-04-30 | 2006-06-21 | 刘向阳 | 车辆行驶记录器 |
| JP2008176661A (ja) * | 2007-01-19 | 2008-07-31 | Fujitsu Ltd | 情報処理装置、制御方法、制御プログラム及び表示装置 |
| CN102194505A (zh) * | 2011-05-13 | 2011-09-21 | 广州国联通信有限公司 | 一种车载媒体播放系统 |
| DE102012217291A1 (de) * | 2012-09-25 | 2014-03-27 | Siemens Aktiengesellschaft | Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystems und Stellwerksrechnersystem |
| DE102012222877A1 (de) * | 2012-12-12 | 2014-06-12 | Robert Bosch Gmbh | Verfahren und Steuergerät zum Ausgeben von zumindest zwei Bildern auf einem Fahrzeugbildschirm |
-
2015
- 2015-01-13 DE DE102015200292.6A patent/DE102015200292A1/de active Pending
-
2016
- 2016-01-12 CN CN201610017664.8A patent/CN105786426A/zh active Pending
- 2016-01-13 FR FR1650237A patent/FR3031619B1/fr active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111095148A (zh) * | 2017-09-21 | 2020-05-01 | 克诺尔有限公司 | 用于确定系统的状态的方法和控制设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105786426A (zh) | 2016-07-20 |
| DE102015200292A1 (de) | 2016-07-14 |
| FR3031619B1 (fr) | 2019-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR3031619A1 (fr) | Procede et dispositif de commande d'un appareil d'affichage et systeme d'affichage pour son application | |
| US10169066B2 (en) | System and method for enhancing advanced driver assistance system (ADAS) as a system on a chip (SOC) | |
| US11243797B2 (en) | Method for operating a control device, control device and computer program product | |
| EP1875439B1 (fr) | Dispositif de generation graphique comportant des moyens de surveillance de son fonctionnement | |
| JP6296928B2 (ja) | 多層透過型ディスプレイの駆動 | |
| CN111492398A (zh) | 用于安全性关键应用的多样化冗余方法 | |
| FR3054684A1 (fr) | Systeme de pilotage d’un vehicule autonome | |
| US9658814B2 (en) | Display of dynamic safety-relevant three-dimensional contents on a display device | |
| FR2964236A1 (fr) | Dispositif et procede de generation d'images multifenetres a priorite variable | |
| EP2555108A2 (fr) | Système d'affichage smart-dual | |
| US11030970B2 (en) | Method and device for displaying a notification for a user and working device | |
| WO2008058965A1 (fr) | Systeme de traitement d'objets graphiques comportant un gestionnaire graphique securise | |
| FR2903385A1 (fr) | Instrument de secours pour tableau de bord d'un aeronef a maintenance fiable | |
| FR2958438A1 (fr) | Procede et dispositif de developpement et de qualification de simulateurs d'entrainements au pilotage d'un aeronef et dispositif de simulation en resultant | |
| FR3031202A1 (fr) | Systeme et procede de controle de l'integrite de donnees a affichage numerique | |
| JP6355444B2 (ja) | 画像取込みデバイスによる透過型ディスプレイの調整 | |
| CN115836320A (zh) | 用于数据内容完整性检查的方法和装置 | |
| CA2998780C (fr) | Gestion d'un affichage d'une vue d'une application sur un ecran d'un dispositif electronique de saisie de donnees, procede, dispositif et produit programme d'ordinateur correspondants | |
| FR2992086A1 (fr) | Dispositif de composition d'image | |
| FR3053514A1 (fr) | Dispositif et procede de surveillance et de correction de l'affichage d'une image avec des donnees d'image de remplacement | |
| JP7281658B2 (ja) | 車両用表示システムおよび車両用表示システムの画像表示方法 | |
| US11934574B2 (en) | Modifying vehicle display parameters using operator gaze | |
| FR3099611A1 (fr) | Méthode et système pour vérifier un affichage de message sur un afficheur digital | |
| WO2021160783A1 (fr) | Calculateur électronique, système électronique, procédé de surveillance de l'exécution d'une application et programme d'ordinateur associé | |
| FR3114411A1 (fr) | Procédé de surveillance de l’application d’une transformation spatiale d’image(s) source(s), programme d’ordinateur et dispositif électronique associés |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20180817 |
|
| PLFP | Fee payment |
Year of fee payment: 5 |
|
| PLFP | Fee payment |
Year of fee payment: 6 |
|
| PLFP | Fee payment |
Year of fee payment: 7 |
|
| PLFP | Fee payment |
Year of fee payment: 8 |
|
| PLFP | Fee payment |
Year of fee payment: 9 |