用于与安全相关的图形用户界面的方法和监测单元与流程

1.本发明通常涉及图形用户界面(gui)，在其应用中在危险或运行安全性(英文为safety)的意义中的安全性是决定性的。


背景技术：

2.本发明特别是涉及下述用户界面，例如在用于铁路技术的调节机构中或者在用于运行工业设备、反应器或这类设备的控制台或设备控制系统上，在所述用户界面中确定的操作或输入对于安全性是决定性的或关键的。在所述应用中必须确保，检测为输入的信息或输入准确地相应于操作者进行的选出或选择。
3.信息作为计算机图形的纯表达已是易于出错的。因此例如错误可能在产生图形的计算机的任何单个的部件中出现，例如由于有故障的微处理器、在图形处理器中、在单独的内存模块中、在电源中出现，然而特别是也由于在运行系统中、在软件建立中使用的程序库和特别是应用软件、也或者其他产生gui的软件组件中的软件错误出现。
4.用于按照来自wo 2011/003872 al或申请人的专利ep 2 353 089 bl的原理示出与安全相关的信息的、可在商标名称下获得的技术提供一个明显的改进方案。所述技术可以使所述表达更安全并且例如适用于安全等级sil-2或者更高的安全等级。一个显著的优点在于，在安全技术的意义中评估为非安全(下面简称不安全的)的、可以说任意的类型和复杂性的硬件和软件能够由于配备有单独的、安全认证的监测模块而可证明地安全地被使用。
5.如果除了纯表达与安全相关的信息以外也进行在用户界面(gui)上与安全相关的输入，则明显地加入另外的错误源。潜在的错误源原则上是所有用于检测和处理所述输入的硬件和软件组件。这尤其适用于下述情况，即自身不安全的、由商业通用的硬件构成的系统根据前述的方案应该配备有安全模块，以避免对整个系统的安全证明或安全认证。然而后者所述的在用户界面(gui)上与安全相关的输入是特别值得期望的，当gui中的各种图形操作元件或切换界面应该能自由地被使用，以便实现通常方式、例如通过计算机鼠标或触摸屏的直观的操作，或者也在不重新认证的情况下允许随后改变gui时。
6.在期望的模块化或适时的用户界面或gui中困难地加入，不仅功能和表达应该能自由地被编程，而且gui在使用期间也应该能动态地或与情境相关地被改变。随之带来的安全关键的、关于数据输入(data entry)或gui操作的错误模式是各种各样的并且纯示例性地包括下述情况：a)不安全的表达的计算机将图形操作元件的操作错误地配置给与正确的信息内容不同的信息内容(例如出自另外的情境)；b)被操作的操作元件错误地显示或未被检测为被操作(例如在紧急停止时是严重的)；或c)对操作元件的操作随机地或意外地被触发，而实际未进行由用户控制的或由用户操作的输入。
7.特别是对于最先提到的情况，出自申请人的欧洲专利ep 2 551 787 bl的发明提出尤其在触摸屏的情况中决定性的改进方案。后两个情况也可以通过下述解决原理在一定的附加花费下被避免。所述原理此时在商标名称下在市场中是成功的并且
首先对于触摸屏来设计。尤其用于具有可编程的按键(所谓的softkeys)的hmi设备的一个变体方案在实用新型de 20 2015 104 887 ul中被描述。
8.两个解决方案实现在gui上与安全相关的输入，所述输入通过评估为不安全的或未安全认证的计算机被产生。在此，在显示器上显示具有至少一个图形操作元件的用户界面，所述图形操作元件能够借助相应的输入设备由用户控制地选择。单独的监测单元或安全模块与图像数据线路连接并且对于期望的安全功能读出图像数据的至少部分。
9.根据ep 2 551 787 bl和根据de 20 2015 104 887 ul的解决方案实现在下述意义中的安全输入，即用户通过触摸操作或者通过配置给显示器的softkey按键、即绝对的和直接的输入设备为了不连续的输入而操作所配置的图形操作元件，并且监测单元准确地确定相应于所述操作的坐标，所述坐标在单元或模块内被配置给预定义的区域。监测单元从所述准确地确定的坐标出发将关于预定义的区域的图像数据特别是通过编码直接转换成与安全相关的指令。也就是说，不安全的表达的计算机在此未被考虑在内。基于在单元或模块中的配置关系、与所述单元或模块连接的触摸输入组件或softkey输入组件以及图像数据转换或编码自身确保，对指令的激活准确地相应于用户实际在显示器上进行的接受和选择。显示器自身可以在此就目前而言被评估为安全的装置。
10.根据ep 2 551 787 bl和根据de 20 2015 104 887 ul的解决方案分别与特定的输入设备相匹配并且要求安全技术上可靠地确定图像区域的坐标，关于所述图像区域进行编码或转换成与安全相关的指令。二者与一定的花费有关并且限制了可使用的硬件。


技术实现要素：

11.本发明的第一任务在于，提供一种改进方案，所述改进方案通过不同的常规的或不安全的输入设备、特别是相对的指针设备、例如计算机鼠标，并且在具有作为表达的计算机的、商业通用的个人电脑的常规的桌面工作位置处实现在图形用户界面安全地输入。在此，所述输入特别是在由用户控制地选择或操作用户界面的操作元件的意义中理解为，所述输入至少也应该通过使用不安全的输入设备、特别是指针设备、例如计算机鼠标、跟踪球、操纵杆、触控板、触点、绘图板或数字转换器或类似设备实施。
12.该任务通过一种根据权利要求1所述的方法并且通过一种根据权利要求10所述的安全模块来解决。解决方案应该在此至少适用于安全要求等级或安全完整性水平sil-2(safety integrity level，根据iec 61508/iec61511)或者更高的安全要求等级或安全完整性水平、在此特别是sil-3。
13.所述类型的方法或系统允许在图形用户界面(下面简称：gui)上与安全相关的或与安全有关的输入。在此，计算机产生用于显示器的像素格式化的图像数据，所述图像数据由计算机通过图像数据线路被传输到显示器。输入设备实现在此操作gui。
14.当在显示器上显示用户界面时，至少在运行状态或情境中，显示至少一个图形操作元件，与安全相关的功能配置给所述图形操作元件。操作元件能够借助输入设备由用户控制地被选择，例如借助于指针或光标。
15.此外根据这种方式，监测单元或与表达的计算机分开的安全模块与图像数据线路连接，并且对于与安全有关的功能读出图像数据的至少一部分。监测单元特别是与表达的计算机在信号技术上无关或分开。
16.根据本发明的第一方面在方法技术上设置：
[0017]-通过逻辑的或物理的信道或第一通道将输入信息、特别是图像像素相关的相对或绝对的坐标从输入设备出发输送给监测单元，根据所述输入信息能够识别操作元件的选择；
[0018]-监测单元为了关于选择来接收由用户控制的确认而通过安全信道、特别是专用的、单独的物理的第二通道与确认装置连接，所述确认装置特别是构造为安全装置实施并且优选地与表达的计算机和/或输入设备在信号技术上无关；
[0019]-监测单元确保(特别是自身确保或引起和/或校验)：具有安全功能的操作元件的一个或每个由用户控制的选择符合期望地或实际正确地表达在输送到显示器的图像数据中；和
[0020]-监测单元在可靠地、特别是以确保的或已校验的方式表达操作元件的选择期间存在的时间段内在通过第二通道接收的由用户控制的确认情况中而将配置给所述操作元件的与安全相关的功能启动或触发。
[0021]
所述触发可以在此特别是通过优选地经过特意为安全通信设置的第三通道输出相应的指令实现。
[0022]
根据本发明，随着借助输入设备的选择还不进行与安全有关的功能的操纵或操作，而是所述操纵或操作首先仅仅对于用户可见地或可视化地表达与安全有关的操作元件的选择。只要模块校验或确定为满足、或者自身确保模块的期望的前提条件，才随着在附加的确认装置上由用户控制地确认而实际地触发操作元件的操纵或操作，所述确认装置优选地直接与监测模块连接和/或安全地实施。所述前提条件特别是包括所述选择符合期望地或准确地再现在输送到显示器的图像数据中。
[0023]
经典的计算机工作位置的显示和操作方案可以在此保留并且可以使用任意商业通用的输入设备。根据本发明特别是可以使用cots(commercial off-the-shelf，商用现成品或技术)指针设备。优选地在此使用常见的用于2d输入的间接的和相对的指针设备作为输入设备，特别是使用计算机鼠标，然而或者同等价值地使用例如跟踪球、操纵杆、触控板、数字转换器或类似设备
[0024]
操作或输入的安全性此外通过在附加的确认装置、例如与监测单元连接的安全按键上单独的操作结合根据本发明可靠地显示的选择来实现。用户由此作为实例考虑借助确认装置确认实际期望的输入。
[0025]
根据本发明提出的方案因此可以与在ep 2 551 787 bl或de 20 2015 104 887 ul中不同地取消了例如通过触摸屏的安全输入并且确定输入信息、特别是绝对坐标，或者取消了(通过softkeys)的直接输入，其方式是，输入过程基本上分成三个子步骤，亦即：
[0026]
i)与真正的操作分开地产生或确定输入信息、例如选择坐标；
[0027]
ii)基于所述输入信息显示所述操作元件的选择或选定以通过用户相应于所显示的选择将所述输入批准或确认；和
[0028]
iii)然后或紧接着根据通过用户借助附加的确认装置的确认来激活配置给操作元件的与安全相关的功能。
[0029]
在子步骤i)中，坐标确定可以例如通过使用商业通用的计算机鼠标实现，作为相对指针设备的所述计算机鼠标将作为坐标改变(delta-坐标)的位移传输到控制器。由此，
例如关于显示的图形的绝对坐标可以由预先的位置和改变或位移形成。为了实现子步骤ii)，例如绝对坐标可以预保存在监测单元中、即在更安全的模块中，并且优选地通过该模块例如以鼠标指针形式准确地在该模块中已知的绝对坐标上可视化。替换地或补充地，特别是对于在具有与安全相关的操作元件的预定义的图像区域外部的位置或坐标，可视化也可以通过不安全的表达的计算机实现。在具有与安全相关的操作元件的预定义的图像区域内部，可视化应该准确地或可靠地在相应于预保存在模块中的绝对坐标的位置上实现。在子步骤iii)中，用户或观察者可以由此出发将所述可视化识别为适用于与安全相关的操作元件的选择位置并且批准或确认，以触发期望的操作。这可以在子步骤iii)中通过操作单独的安全确认装置、例如按键实现。监测单元或模块可以基于此产生或输出相应的指令。
[0030]
简而言之，即在此安全地显示的选择通过借助确认装置的确认而与操作元件的操作分开。由此基于本发明不需要输入信息、例如绝对坐标的可能耗费的准确确定，所述准确确定能通过任意的商业通用的输入设备困难地实现。此外通过哪个通道、例如也通过不安全的通道是不重要的，所述通道件将输入信息传输给监测单元。不安全的输入设备可以例如也与不安全的计算机连接。输入信息可以例如通过图像数据线路必要时与例如在根据ep 2 353 089 bl的像素数据容器中的图像数据一起被传输到监测单元。
[0031]
通过所提出的解决方案原则上不视输入信息的类型和产生而定，从而能够使用任意的输入设备、特别是间接的和/或相对的cots指针设备。
[0032]
优选地，与出自ep 2 551 787 bl和de 20 2015 104 887 ul的教导不同地特别是使用指针设备(英文为pointing device)，所述指针设备适用于相对地并且连续地输入，特别是用于2d输入的间接的指针设备。在此可以使用商业通用的或cots的外围设备、特别是计算机鼠标。所述设备允许在gui中的直观的指针引导或光标引导。与此相应地，相对的、由指针设备获取的运动被转换并且特别是相对于显示器的分辨率被转换成指针运动或图像坐标。
[0033]
与输入设备、特别是指针设备相关的输入信息可以通过任意接口输送给监测单元。到监测单元的传输可以特别是直接地由输入设备(当所述输入设备与监测单元，特别是监测单元的控制器部件连接时)实现或者间接地由计算机、例如具有连接的计算机鼠标的个人电脑桌面实现。
[0034]
所述选择或可视化可以通过监测单元或模块例如通过借助监测单元渐显的鼠标指针或者不同的视觉的可辨认方式、例如通过被选择的操作元件的彩色的框或颜色改变实现。
[0035]
监测单元可以检测接着关于例如通过监测单元视觉突出的、安全关键的操作元件而通过用户的输入批准或确认，以与此相关地输出相应于在gui中的安全关键的操作元件或者其符合规定的功能的操作指令。
[0036]
在一个优选的实施方式中，通过监测单元自身确保，操作元件的被识别的选择正确地表达输送入所述显示器中的图像数据。这可以通过如下方式实现，即监测单元修改图像数据的至少一部分，该图像数据被确定用于显示在预确定的图像区域中，该图像区域配置给操作元件，并且监测单元将相应地被修改的图像数据继续传输到显示器。所述改变可以在此例如包含通过监测单元实现的指针表达，或者由所述监测单元修改的图像数据与输入信息位置相关地表达指针，所述输入信息当前被输送给监测单元。所述改变可以补充地
或替换地实现将所述用户的选择在显示器上、特别是在配置给相应的操作元件的预确定的图像区域中的视觉突出或者视觉的可辨认方式。
[0037]
图像数据可以特别是用于像素格式化地表达的数字图像数据。
[0038]
可以特别是设置，由监测单元修改的图像数据将由计算机产生的图像数据仅仅部分地、特别是在关于整个图形用户界面相对小的图像区域中重叠覆盖(
ü
berblenden)，也就是说，gui表达至少主要由表达的计算机产生。
[0039]
替代通过借助监测单元自身的图像改变来确保准确的选择显示可以设置，由表达的计算机产生的图像数据表达操作元件的选择。在这种情况中特别是设置，监测单元校验：操作元件的被识别的选择相应地正确地表达输送入所述显示器中的图像数据。这可以通过如下方式实现，监测单元对于下述图像数据计算校验码并且将所述校验码与至少一个预存储的参考代码比较，该图像数据被确定用于显示在预确定的图像区域中，该图像区域配置给操作元件。为此例如根据出自申请人的专利ep 2 353 089 bl原理的技术是适合的。
[0040]
为了在表达的计算机中的用户界面的容易实施的可操作性和/或在监测单元中容易地识别选择应该设置，根据常规的输入设备直接地与监测单元连接还是与表达的计算机连接，输入信息从输入设备通过监测单元被传输到计算机或者通过计算机被传输到监测单元。在一个优选的实施方式中，常规的输入设备、特别是计算机鼠标直接与监测单元连接。
[0041]
特别是通过借助监测单元的图像修改结合图像数据修改以确保准确的选择显示又优选地设置，监测单元包括第一计算部件，在输入侧、特别是从表达的计算机通过图像数据线路将由计算机产生的图像数据输送到所述第一计算部件，并且第一计算部件根据安全关键的操作元件的选择来修改所述图像数据以视觉突出所述选择并且将包括必要时与此相应地被修改的图像数据的、输出侧的图像数据输出到显示器。监测单元在此可以还包括第二计算部件，所述第二计算部件用于校验第一计算部件的输出侧的图像数据、特别是被修改的图像数据，例如用于图像数据编码以与计算技术地生成的代码比较。
[0042]
特别是在一个进一步方案中为此可以设置，第一计算部件对于由计算机产生的或输入侧的图像数据计算第一级的校验码，该图像数据被确定用于显示在预确定的图像区域中，并且监测单元将所述第一级的校验码与用于预确定的图像区域的至少一个预存储的参考代码比较，其中，第一计算部件优选地在输入侧在第一步骤中对于由计算机产生的图像数据计算第一级的校验码并且紧接着在第二步骤中修改图像数据。
[0043]
在与此相关的硬件花费和计算花费方面高效的实施方式中，该实施方式也能够模块化地用于另外的应用、例如表达校验，可以设置：
[0044]-监测单元的第一计算部件对于由第一计算部件修改的图像数据计算第二级的第一校验码，该图像数据被确定用于显示在预确定的图像区域中；
[0045]-第二计算部件对于第一计算部件的输出侧的图像数据计算第二级的第二校验码，该图像数据被确定用于显示在预确定的图像区域中；和
[0046]-特别是为了校验通过第一计算部件所述选择的符合规定的突出，监测单元将第二级的如此生成的校验码彼此比较。
[0047]
在此可以优选地两个计算部件分别对于预确定的图像区域的不具有选择的图像数据计算第三校验码，为了在用于显示所述选择而突出之前或者在无用于显示所述选择的突出的情况下校验操作元件的符合规定的显示，监测单元将所述第三校验码彼此比较。
[0048]
为了减小需要的计算功率可以设置，所述计算部件仅仅在操作元件的由监测单元识别的选择中计算前述的校验码中的一个或多个校验码。
[0049]
相应的校验码可以特别是对于用于预确定的、配置给操作元件的图像区域的、像素格式化的图像数据被确定，该图像区域例如仅仅部分地或完全与操作元件的显示区域一致。在此可以使用任何适合的编码方法、例如计算。在这方面考虑出自wo 2011/003872 al或专利ep 2 353 089 bl的教导。
[0050]
第一计算部件可以为了视觉突出所述选择这样修改图像数据，以使得例如通过使框渐显、通过颜色改变或类似方式而将被选择的操作元件在视觉上能与未选择的第一表达状态区别的、被选择的第二状态中被显示。这改善了人体工程学结构或者简化了对用户的所述选择的视觉识别。然而在操作元件上的纯指针显示也已经理解为操作元件的表达的选择。然而如果当前坐标与和安全相关的操作元件一致，则指针可以被渐隐并且通过使能视觉识别的被选择的状态渐显被替代。
[0051]
原则上在一个实施方式中第一计算部件可以将被修改的图像数据在图像数据流中与由计算机产生的图像数据一起输出给显示器，这可以例如以简单的方式实现，其方式是，关于图形仅仅部分地进行对由计算机产生的图像数据的重写或覆盖并且除此以外将由计算机产生的图像数据保持不变。
[0052]
监测单元优选地实施为具有至少一个集成电路的电路模块。监测单元可以在图像数据线路中、优选地在显示器附近、特别是直接在显示器的图像数据输入端处与第一计算部件电路技术地串联地连接。
[0053]
在特别适用于传统的操作方案的实施方式中，为了操作用户界面而将指针或光标、特别是由计算机鼠标控制的鼠标指针显示在显示器上。在此可以设置，指针仅仅由监测单元产生，特别是通过在监测单元中、例如借助第一计算部件基于输送到监测单元的输入信息而修改图像数据来产生。在此，输入设备、优选地相对指针设备、特别是计算机鼠标又可以优选地直接与监测单元连接。与此相应地，所述模块将所述输入信息继续传输到表达的计算机。
[0054]
方法和装置可以这样实施，以使得指针或光标在gui中对于用户可见地、特别是持续可见地显示或渐显，以实现习惯的、连续的操作。
[0055]
相对和/或间接的指针设备优选地用作输入设备，所述指针设备优选地适用于连续地指针引导。在此可以使用例如具有usb接口的cots指针设备。然而cots指针设备不在本发明的框架内，而是设置特定制造产品作为指针设备，该特定制造产品与传统的相对的指针设备(例如计算机鼠标)兼容并且附加地具有不相关的带有sil能力的确认装置、例如信号技术安全按键作为集成组成部分。确认装置在此优选地与指针设备的信号连接装置不相关地通过自己的单独的信道与监测单元连接，所述信道逻辑地和/或物理安全地设计。
[0056]
在具有指针操作的一个另外的实施方式中可以设置，指针通过表达的计算机至少在所有用于安全关键的操作元件的、预确定的图像区域外部产生。在此又可以设置，当通过监测单元识别到安全关键的操作元件的选择时，则在相应配置的图像区域中优选地通过在监测单元中的图像数据修改而不显示由计算机产生的指针。特别是在这个实施方式中，输入设备、特别是计算机鼠标能够以常规的方式例如通过usb端口直接与表达的计算机连接。与此相应地，最后的输入信息被继续传输到监测单元。
[0057]
特别是为了例如通过计算校验码来简化图像数据校验而可以有利的是，指针、特别是鼠标指针分别优选地以下述频率循环地渐显和渐隐，该频率不由用户感觉为干扰的。由此例如对于图像数据的相应n个依次连续的图像周期，鼠标指针能够仅仅对于m《n的数量的图像周期由计算机或监测单元表达。这实现对于具有特别是关于操作元件的渐隐的指针的图像数据计算校验码的可能性。这显著地简化了关于准确的表达的校验，因为指针应该能典型地高度位置可变地或者在非常细密的栅格中在gui内运动。替换地，只要确定的坐标或输入信息不超出对应的区域，指针表达就可以通过适合的软件在操作元件内也在唯一的预给定的位置上被固定或保持不动。
[0058]
输入信息可以尤其根据输入设备、例如典型地对于触摸设备是绝对坐标信息或者例如典型地对于计算机鼠标是相对坐标信息。相对坐标信息可以在此计算技术地容易地被转换成绝对坐标信息。
[0059]
在装置方面此外根据本发明提出一种用于监测图形用户界面(gui)的监测单元，所述监测单元至少包括：
[0060]-数字图像数据接口，用于与用于将由计算机产生的图像数据从计算机传输到显示器的图像数据线路连接，所述图像数据接口特别是lvds接口、hdmi接口或类似接口；
[0061]-至少一个计算部件，所述计算部件实施安全功能并且通过图像数据接口读出图像数据的至少部分；和
[0062]-用于特别是来自输入设备的输入信息的设备接口，用户控制地选择图形操作元件。
[0063]
此外，按照根据本发明的第一方面设置：监测单元具有物理确认输入端，用于输入确认或用户批准的安全的确认装置能够与所述物理确认输入端连接；和至少一个计算部件设置用于特别是根据前述的方法方式中的一个方法方式确保和/或校验：操作元件的被识别的选择正确地表达输送入所述显示器中的图像数据。
[0064]
此外，根据本发明的第一方面监测单元设置，用于特别是在操作元件的被表达的选择期间或者在与操作元件的表达的选择的时间上预确定的关系中在通过确认接口接收确认输入时特别是通过安全接口将所配置的与安全相关的操作指令输出。
[0065]
所提出的监测单元优选地具有至少一个计算部件，所述计算部件设置用于修改图像数据和/或用于由图像数据计算校验码。所述监测单元可以特别是出于校验目的而具有至少一个存储器用于预给定所述预确定的图像区域和/或参考代码。
[0066]
优选地，监测单元具有用于输入设备的控制器部件，所述控制器部件与设备接口连接以与输入设备直接连接。例如特别是计算机鼠标由此可以直接与监测单元连接。特别是在这种情况中，监测单元优选地具有数据接口、特别是双向数据接口，用于将输入信息传输到表达的外部的或单独的计算机。
[0067]
根据本发明的一个另外的独立的方面提出，监测单元具有两级的或必要时双通道的计算机结构，所述计算机结构具有：
[0068]-第一计算部件，所述第一计算部件设置用于在输入侧获得由计算机产生的图像数据并且根据安全功能修改图像数据的至少一部分，该图像数据被确定用于显示在预确定的图像区域中，以及所述第一计算部件设置用于在输出侧图像数据输出到显示器，
[0069]-第二计算部件，所述第二计算部件设置用于通过对于被确定用于显示在所述预
确定的图像区域中的图像数据、特别是修改的图像数据计算校验码来校验由第一计算部件输出的图像数据。
[0070]
这视为独立的发明方案，这(然而特别是不仅仅用于安全输入)借助监测单元实现以安全方式在图形用户界面中产生与安全有关的渐显或突出。
[0071]
在此根据第二方面，监测单元可以特别是设置或配置为，所述监测单元特别是为了校验通过第一计算部件符合规定的突出和/或为了引发与安全有关的反应而将计算出的校验码相应地与至少一个预存储的参考代码比较。
[0072]
具有两级的结构的所述监测单元然而特别是不仅仅适用于根据开头所述的第一方面的方法。所述监测单元也能够有利地用于另外的应用中：例如用于使状态显示如下地准确地渐显，即区域是否被监测；用于准确地显示预给定的、用于纯显示(在无输入功能的情况下)的监测区域；用于确保使错误地表达的区域可靠地渐隐或被重叠覆盖或者可被识别为错误的等。
[0073]
特别是根据第二方面，第一计算部件可以配置用于对于由计算机产生的图像数据计算校验码，该图像数据被确定用于显示在监测区域中，用于与安全有关地与用于监测区域的至少一个预存储的参考值、特别是参考代码比较。在此，第一计算部件可以首先在输入侧对于由计算机产生的图像数据计算校验码并且紧接着在第二阶段中修改图像数据，例如用于突出与安全相关的信息或者在错误情况中与安全有关的反应。特别是在一个进一步方案中根据第二方面可以设置，第一计算部件和第二计算部件实施不同的编码方法和/或通过特别是不同的结构方式的两个分开的集成电路、例如fpga、asic或诸如此类、即多样地实施，以便通过多样性使出现系统错误的可能性最小化。
[0074]
在一个实施方式中，特别是对于第二方面，具有安全功能的至少一个计算部件、特别是第一计算部件和第二计算部件可以对于被选择的图像区域分别计算技术地生成校验码。
[0075]
计算部件可以与投票器组件、例如一个或多个处理器连接，所述投票器组件设置用于将生成的校验码与预存储的参考数据比较。在此，投票器组件可以优选地实现为双通道的处理器电路，在两个计算部件的情况中优选地实现为2oo2投票器，其中，另外的x-out-of-y投票器-方案根据安全性和/或可用性的要求也是可能的。
[0076]
在第二计算部件的使用中，所述第二计算部件同样可以在图像数据修改方面双通道地实施、即对于第一通道冗余地实施，然而这不是强制的。在计算部件的双通道性的情况中，第二通道能够以与第一计算部件相同的方式冗余地修改图像数据的至少一部分。当两个计算部件分别对于被修改的或被冗余地修改的图像数据计算相应的第一校验码或第二校验码时，所述校验码可以通过监测单元、特别是投票器组件对于功能安全性彼此比较。由此可以确保，第一计算部件以期望的方式或正确地修改图像数据，例如以将安全关键的区域突出或渐隐。
[0077]
不管第一方面或第二方面，监测单元优选地具有用于通过总线接口与安全有关地通信、例如用于根据iec 61784-3-3或profisafe-protokoll通信或类似通信的模块，所述总线接口由此能够用作用于输出与安全相关的操作指令的安全接口。
[0078]
不管第一方面或第二方面，监测单元可以特别是通过可设置的或可编程的计算部件、逻辑单元或计算器部件、例如fpga和/或微控制器这样配置，以使得所述监测单元设置
用于由计算机执行地实施根据前述方法技术的实施方式中的一个实施方式所述的至少一个方法步骤。概念计算部件在此不局限于可编程的计算机、例如冯诺依曼计算机，而是包括下述单元，所述单元能够计算技术地处理图像数据，例如也是预设置的fpgas、asics和诸如此类。
[0079]
根据第一方面或第二方面提出的监测单元特别适用于装备用于显示像素图形的、特别是具有tft面板的显示器设备。在此，模块式的监测单元可以集成到所述设备中，例如直接集成在图像数据输入端上。显示器可以在此具有与监测单元的设备接口连接的、用于输入设备的至少一个端口以及与监测单元的确认输入端连接的、用于安全确认装置的端口。
[0080]
本发明也涉及一种用于在gui上与安全相关地输入的系统，其包括计算机以及通过图像数据线路与所述计算机连接的、用于像素图形的显示器。根据本发明在此特别是根据第一方面，与计算机物理分开的监测单元如前所述地设置。
[0081]
根据第一方面，所述系统可以此外包括用于操作用户界面的输入设备、特别是计算机鼠标，所述输入设备优选地直接与监测单元的设备接口连接。此外至少根据第一方面，单独的安全确认装置、特别是例如具有开关触点的安全按键与监测单元的物理确认输入端连接。
[0082]
前述的方法特征和装置特征能够彼此可组合地并且分别也独立地或自身视为具有显著创造性。
[0083]
所述提出的解决方案可以例如有利地用于在与安全相关的过程或设备、例如过程技术或自动化技术中给定参数，以便通过gui实现安全的并且同时用户友好的操作。
[0084]
本发明的应用领域不局限于显示器或计算机桌面系统，而是也包括所谓的可移动设备或可携带的小型设备，例如用于远程控制机器或设备。所述小型设备、例如平板电脑和类似设备例如在此用于控制港口中的集装箱起重机或者工业机器人的编程。此外，本发明也可以应用于重要的访问或授权安全性(英文为security)、特别是需要授权的系统中。
附图说明
[0085]
本发明的另外的特征和优点在不限制优选的实施例的下述具体说明的保护范围的情况下借助附图获知。在此示出：
[0086]
图l：用于在由不安全的计算机产生的图形用户界面(gui)上与安全相关的用户输入的系统的原理图；
[0087]
图2a-2c：用于监测gui的三个实施例，其中，输入设备与表达的计算机连接并且确认装置与根据本发明的监测单元连接(图2a)；输入设备和确认装置与根据本发明的监测单元连接(图2b)；和(图2c)出自图2b的确认装置的一个变体；
[0088]
图3a-3c：为了说明根据本发明的方法示出显示器上的纯示例性的gui的不同的状态，所述gui具有操作元件和用于在不同的状态中选择操作元件的鼠标指针：具有选择出的不与安全相关的操作元件(图3a)，在未选择的情况下(图3b)，和具有被选择的与安全相关的操作元件(图3c)；
[0089]
图4a-4b：监测单元的两个实施例具有示意性的信号流图用于说明监测单元如何确保，操作元件的被识别的选择正确地在图像数据中示出；
[0090]
图5a-5b：在根据独立的另外的发明方面的、安全关键的应用中，监测单元的结构用于安全输入(图5a)和/或显示(图5b)；和
[0091]
图6：根据所述发明方面中的一个发明方面的、具有集成的监测单元的显示器设备的原理图。
具体实施方式
[0092]
图l示意性地示出用于在图形用户界面(gui)上与安全相关地输入的组件或系统10，其具有计算机1，所述计算机产生像素格式化的、数字的图像数据。为了显示而通过适合的图像数据线路3将图像数据输送到cots显示器2、例如tft计算机屏幕。在此考虑任何cots计算机、例如个人电脑桌面作为表达的计算机1、下面简称pc 1的图形。pc 1被认为在安全要求的意义中是不安全的或者是信号技术上不安全的或在安全技术的意义中不安全的。pc 1此外为了将任意的、与使用相关地期望的gui表达在显示器2上能够必要时通过与情境相关地不同的模式或显示掩码被编程或被编程(参见fig3a-3c)。系统10的部分在图l中是用于操作gui的输入设备，也就是说，在图l中是相对的、连续的并且间接的指针设备、在此即商业通用的计算机鼠标4。cots计算机鼠标、在通常的技术中简称鼠标4在图l中例如与pc 1连接。鼠标4安全技术上也视为不安全的。
[0093]
用户能够以习惯的方式借助鼠标4或另外的相对的、间接的并且连续的指针设备通过使位置指针或鼠标指针5在由pc 1产生的gui显示中运动来操作图形操作元件。
[0094]
为了尽管使用不安全的部件、例如不安全的表达的pc 1和cots输入设备、在此即鼠标4仍达到期望的安全等级、例如sil-3，如同在图l中示意性地示出的那样设置附加的模块化的监测单元11。监测单元11以单独的硬件或独立的模块设置并且被安全认证。模块化的监测单元11、下面简称smu(英文为safety monitoring unit)与图像数据线路3连接并且可以例如与显示器2的图像数据输入端连接。smu 11设置用于为了实现安全功能而从图像数据线路3读出图像数据的至少一部分并且特别是为了错误揭示而监测预确定的图像区域，和/或必要时也为了在显示器2上显示而修改图像数据。图像数据线路3能够以任何适合的信号格式、例如lvds或诸如此类传输，其中，图像数据优选地是数字的和像素格式化的。
[0095]
此外通过不必安全地实施的第一信道或通道11a将输入信息输送到smu 11。所述输入信息特别是包括由鼠标4的操作而确定的坐标、即相对坐标(图2a)或者由所述相对坐标产生的、与图形相关的、鼠标指针5(＝光标)的指针坐标(图2b)。指针坐标可以在图l中例如由pc 1从鼠标4的相对坐标确定并且通过第一通道11a从pc 1传输到smu 11。根据输入设备、例如在数字化转换器的情况中，由所述数字化转换器也可以产生绝对坐标并且通过通道11a被传输到smu 11。
[0096]
基于所述输入信息、特别是指针坐标，smu 11可以识别安全关键的操作元件6的选出或由用户控制的选择(在此仅仅示意性地示出)。在此考虑gui的任何操作元件作为安全关键的操作元件6，所述操作元件的操作被配置给或者应该触发(例如pin输入)与应用相关的、在危险或运行安全性(英文为safety)的意义中与安全相关的功能，(例如在铁路技术的调节机构中转换道岔)，或者也被配置给或者应该触发访问安全性或授权安全性(英文为security)。所述安全关键的操作元件下面简称为see(英文为safety/security relevant entry element)。
[0097]
图l此外示出单独的确认装置14、据此简称cd(英文为confirmation device)，所述确认装置通过第二信道或通道11b与smu 11连接。cd 14优选地硬件上与鼠标4分开地实施。cd 14优选地是有sil能力的并且无论如何通过自己的安全通道11b与smu 11连接。cd 14在系统10中用于由用户控制地确认安全关键的、示意性地示为see 6的操作元件的期望的操纵或操作，所述操作元件借助由鼠标4控制的光标5预先被选出。鼠标4的按键的操作在这方面在sees 6的情况中通过相应的编程被忽视或者可以不用于触发配置给所考虑的see 6的关键功能。确切地说，相应的触发必须由用户借助cd 14、例如安全按键或push-buttons进行。用户对于一个或每个设置的see 6由此分别单独地和单个地通过输入或操作附加的cd 14来批准或确认所述see 6的选出或选择。
[0098]
包括必要时多个see 6之一的操作元件的选择相应于光标5的用户控制进行。smu 11此外计算技术地这样配置、例如编程，以使得所述smu自身确保、然而至少校验，必要时多个see 6之一(下面参见图3a-3c)的被识别的选出或选择正确地表达在下述的图像数据中，所述图像数据通过图像数据线路3被输送到显示器2。由此确保，在smu 11内编程技术地视为当前进行的选择例如基于光标5的指针坐标以准确的方式与所述光标重合，这为观察者或用户通过适合的可辨认方式被显示在显示器3上。后者可以软件技术地在smu 11中实施。
[0099]
可辨认方式对于用户在此如何实现，特别是通过pc 1还是通过smu 11产生，这是次要的，只要用户视觉地识别出所述选择，所述选择由smu 11视为当前生效的或者被预保存。可辨认方式可以特别是已经被详细说明，即光标5以传统的方式指向see 6，因为这对于用户是可见的并且相应于习惯的操作。具有pc 1、显示器2和通过鼠标引导的光标5的经典的桌面工作位置的显示方案和操作方案由此在gui中被保留。
[0100]
系统10此外通过如下方式达到期望的安全等级、例如sil-3，即不是(不安全的)表达的pc 1，而是仅仅安全的或sil适合的smu 11在接收由特意为此设置的cd 14经用户控制的确认时触发与安全相关的操作指令或者与被选择的see 6匹配地启动与安全相关的功能。gui的任意的操作元件的选择的单一的配置关系在具有光标5的基于指针的gui中是固有的(因为持续地存在仅仅一个光标5)。确认(如果给出)准确地配置给唯一的当前由smu 11视为安全地显示的选择，也就是说，准确地配置给see 6，或者否则被拒绝。为此，特别是在相关的see 6的表达的选择期间对cd 14的激活由smu 11监测或询问并且用于通过smu 11触发配置给所述see 6的操作指令。当smu 11未识别出必要时多个see 6之一的有效的选择或者在被识别的选择中仅仅进行自动防止故障性能时，则可以停止对cd 14的监测或询问。显示器2在此视为安全的，因为典型的错误情况对于用户是能识别的(错误揭示)。然而同样可以实现用于校验在显示器2上准确的显示的附加的硬件措施。
[0101]
图2a-2c示出根据本发明的用于借助相对的指针设备安全输入的系统20a，20b，20c的三个实施方式，所述系统具有在图像数据流3中的smu 11或21。
[0102]
图2a示出系统20a，该系统很大程度上相应于出自图l的原理，也就是说，该系统具有鼠标4以及作为cd 14的安全按键，所述鼠标直接与pc 1连接，例如与usb端口。cd 14通过安全通道11b直接与单独的smu 11连接。鼠标4的相对坐标在此在pc 1中转换成用于控制光标5的、图像相关的或绝对的指针坐标并且持续地通过不必安全地设计的通道11a传输到smu 11。替换地，绝对指针坐标也可以在smu 11中被确定并且通过通道11a传送返回到pc 1。通道11a在系统20a的情况中双向地设计，从而smu 11可以将控制指令传送返回到pc 1，
特别是涉及在显示器2上的表达，例如涉及当所述光标指向see 6，为了附加地视觉突出see 6而当前将光标5指向所述see(选择)时等，则光标5渐隐。当鼠标与pc 1连接时，所述计算机优选地这样编程，以使得see 6不能直接通过pc 1或通过鼠标4的按键被操作。
[0103]
此外，smu 11通过安全信道或通道11d与外部的、上一级的安全计算机7、例如设备控制装置或类似装置连接。smu 11在see 6、例如用于设备参数化的gui批准按钮的表达的选择(光标5指向所述see)期间在接收在按键14处的由用户控制的确认时将配置给see 6的与安全相关的操作指令例如通过通道11d输出到安全计算机7。至安全计算机7的安全信道或通道11d可以通过适合的总线或适合的网络、例如profinet(参见图6)或优选地具有安全方法(osi模型)的profisafe实现，所述安全方法适用于信号技术地安全传输。
[0104]
cd 14可以功能安全地设计，例如通过适合的控制器技术在smu 11中，并且例如实施为单通道的按键14。通过适合的控制器可以纯软件地确保cd 14的可靠的功能。为了更高的安全要求cd 14也可以是双通道的，例如具有开启装置和关闭装置，和/或物理安全地实施。主要必须确保，cd 14无错误地将实际未进行的操作传输到smu 11。在cd 14上进行的操作的停止由用户识别为错误。
[0105]
通过根据图2a的系统20a可以例如借助表达的pc 1实现连续地使指针5渐显，所述指针通过鼠标4被控制，并且在显示器2上的表达由smu 11关于准确性被监测，例如根据出自wo 2011/003872 al的方案实现，即通过使用校验码实现，smu 11对于像素格式化的监测区域计算所述校验码，并且使用校验码以与参考代码比较或者为了推断出一个值，该值然后与参考值比较。出自wo 2011/003872 al或专利ep 2 353 089 bl的、关于使用校验码的教导在此为了简明而作为优选的解决方案被参照并入。
[0106]
图2b示出优选的系统20b，该系统与图2a的区别主要在于，鼠标4在此通过通道11a直接与smu 21连接。为此，smu 21例如可以包括例如在存在的微控制器或处理器中的在此适合的输入设备控制器，或者具有适合的集成的单独的硬件部件。输入设备控制器也可以单独地在外部实现并且通过接口、例如i2c与smu 21通信(图6)。在出自图2b的优选的结构中，在smu 21内实现将相对坐标转换成图像相关的指针坐标，鼠标4作为输入装置产生或传输所述相对坐标。产生的与图像相关的指针坐标或者也鼠标的相对的输入坐标和必要时鼠标按键中断为了控制gui则从smu 21通过数据通道11c持续地被传输到pc 1，从而pc 1可以对于与安全不相关的输入处理指针的位置以表达gui并且可能地操作鼠标4的按键。在图2b的配置中，smu 21持续地具有输入设备、在此鼠标4的当前的和必要时也安全的输入数据。
[0107]
特别是通过根据图2b的系统20b实现优选地在smu 21内部或通过其自身连续地使由鼠标4控制的指针5渐显。为此，smu 21实现例如通过将由pc 1产生的图形部分地重叠覆盖(参见下面的图4a-4b)来修改图像数据，该图像数据被继续传输到显示器2。在此，smu 21固有地持续地知道指针坐标和也知道see 6的每个选择，以便在接着由用户借助于cd 14确认时触发所配置的关键的功能，例如将所配置的与安全相关的操作指令通过通道11d继续传输到安全计算机7。
[0108]
图2c示出系统20c的一个另外的变体，该系统的区别主要在于确认装置(cd)的类型。在系统20c中，softkey按键25通过安全信号线路11b与作为安全确认装置的smu 21连接，所述softkey按键设置在包括显示器2的hmi上。softkey按键25在此相应于根据de 20 2015 104 887 ul的结构方式，所述结构方式在此在这方面为了简明而被参照并入。通过
2011/003872 al通过在smu 11；21中将所配置的监测区域的图像数据编码并且与规定代码或参考代码比较来实现。
[0115]
see 6的选择的视觉突出可以单独地仅限于光标5的表达中。为了计算技术的简化，当光标通过鼠标4在see 6图像区域中被引导时，则光标5能够是可选的，通过clipping或snapping方式处于并且保持在预定义的部位上，特别是当光标5由pc 1图形地产生时。光标5可以在此例如通过相应于see 6的几何中心的指针坐标被显示或渐显，其中，当前的指针坐标(绝对坐标)可以被重写或被忽视。因此光标5在选出或选择的情况中持续地获得在被选择的see 6内预定义的图形表达，从而例如通过代码比较的与安全有关的图形校验在smu 11；21中必要时明显地被简化。此外，操作安全性被提高或者用户可以将所述行为识别为安全相关的。在这个变体中，当光标5借助鼠标4以足够的程度被引导离开see 6的被监测的图像区域时，才切换回到通常的显示模式中。换句话说，所述系统有利地这样配置，以使得当光标被引导到see 6的被监测的图像区域上时，光标5具有对于用户能识别地不同于在其余的gui 2a中的行为、例如在预给定的图像位置上被保持或者被渐隐。
[0116]
然而优选地，对所述选择的突出通过smu 11；21自身实现，特别是通过改变继续传输到显示器的图像数据实现，相应地与图像数据线路3连接的smu 11；21符合规定地访问所述图像数据。smu 11；21自身可以为此特别是使光标5到图像数据中渐显，由此对图像数据的与安全有关的编码同样被简化(参见下面的图4a-4b)。
[0117]
在这两种情况中，smu 11；21可以确保，显示的光标5(对于用户可见的)的指针坐标在see 6的选择中与所述see一致或者位于相应地被监测的图像区域内。对see 6的选出或选择(预选)的批准于所述选择分开地进行并且紧接着通过用户、即通过操作cd 14；24进行。这作为需要的操作由smu 11；21被监测，以便例如为此通过单独的通道11d引发所配置的与安全相关的动作。
[0118]
图4a-4b示出例如用于根据图2b的原理的、sil适合的或有sil能力的smu 21，21'的示意性地优选的实施方案和结构。图4a-4b中的视图部分地实施为信号流图用于描述优选的工作方式。smu 21，21'实施为在自己的电路板或电路卡上的单独的、模块化的硬件，所述硬件具有用于pc 1的输入侧的图像数据线路连接的接口以及至少用于与相对的输入设备、例如鼠标4连接和用于与确认装置(cd)14、例如安全按键连接的接口。smu 21，21'在输出侧具有用于将图像数据通过图像数据线路3继续传输到显示器2的接口以及用于数据通道11c、例如用于与pc 1通信的至少一个数据输出端或一个另外的接口。必要时可以使用共同的接口例如用于鼠标4和数据通道11c。此外可以设置至安全计算机7(图2b)或类似装置的连接。图像数据优选地通过自己的通道3被传输。
[0119]
图4a-图4b中的smu 21具有两级的、级联的结构，所述结构具有两个至少逻辑分开的单元或计算部件41，42，所述单元或计算部件可以必要时以共同的硬件、例如集成电路的形式实施。然而具有两个物理分开的计算部件41，42、特别是第一fpga 41和单独的第二fpga 42的实施方式是优选的。计算部件或fpga 41，42特别是用于计算技术地处理图像数据并且计算校验码。第一fpga 41具有用于来自pc 1的图像数据的输入端和用于至显示器(lvds发送器)的图像数据的输出端。第二fpga 42仅仅具有用于图像数据的输入端，也就是说，不可以改变所述显示。
[0120]
fpga 41，42的工作方式通过与其信号技术地连接的、适合的结构方式的处理器组
件50被控制和补充，所述处理器组件信号技术地与两个fpga 41，42连接。处理器组件50是smu 21的组成部分并且可以单通道地或多通道地实施，例如双通道地实施，如同下面由图5a-5b进一步描述的那样。处理器组件50可以在此与图像处理的计算部件41，42、特别是计算部件41，42的校验功能相互作用地实现根据iec 61508的适合的x-out-of-y模式。图5b示出例如2oo2模式，该模式通过冗余的处理在两个系统故障时才不再确保gui功能，即实现提高的安全性和高的可用性。处理器组件50可以根据安全性和/或可用性的要求也配置用于另外的投票模式、例如纯单通道(1oo1)、用于通过交叉诊断的冗余处理(1oo2)、作为1/3投票器(1oo3)或作为2/3投票器(2oo3)等。根据结构方式可以由此例如实现fail-safe运行，在所述运行中，在识别出显示错误时gui 2a首先转换到具有降低的功能性的安全运行模式中，并且在识别出双重错误时gui 2a才被关闭，如同例如图5b那样。与此相应地，然而根据要求具有两个至少逻辑分开的单元或计算部件41，42的两级的结构也不是强制的。特别是当由表达的计算机1使光标5渐显时，替换地也可以实现单级的或单通道的实施方案，其具有仅仅一个图像处理的、用于与安全有关地校验图像数据的级41。
[0121]
smu 21的一个优选的软件实施的或计算技术的工作方式在此借助图4a阐述。
[0122]
处理器组件50获得鼠标4的相对坐标，由所述相对坐标产生指针坐标并且借助指针坐标监测或识别，see 6的选择是否存在于gui 2a中。如果这不存在，则处理器组件50将指针坐标或相对坐标并且必要时将鼠标按键的中断通过数据通道11c传输到pc 1。由此出发，pc 1以传统的方式控制gui或者其在用于显示器2的图像数据中的表达。替换地，鼠标4的相对输入信号也可以并行地被传输到pc 1和smu 21，21'。
[0123]
此外，处理器组件50这样控制第一fpga 41，所述fpga 41在至显示器的图像数据中产生光标5，例如通过相应于指针坐标而渐显或将图像数重据写实现，处理器组件50持续地确定所述指针坐标。在此可以设置，pc 1不使光标5在gui中渐显，或者pc 1使所述光标仅仅对于不关键的区域自身渐显,而仅仅第一fpga 41使光标5在2a的图形的关键区域中渐显。
[0124]
可选地或补充地，对于安全关键信息的纯显示的安全性通过一个或两个fpga 41，42对于gui图形的显示的监测区域可以实施根据wo 2011/003872 al的校验方法，为此smu 21例如由安全计算机7被输送关于要监测的图像区域的参数，所述图像区域具有纯显示功能(没有操作元件)。
[0125]
当处理器组件50通过将光标5的持续确定的指针坐标与相应的监测区域的see 6的预确定的或预存储的图像坐标比较来识别出存在see 6的选择，然后fpga 41，42可以被切换到选择-监测运行中。替换地，fpga 41，42可以相应地特别是局限于图形中关键的see 6的相应的监测区域地连续地或持续地实施所述监测。
[0126]
对于在smu 21，21'输入侧从不安全的pc 1接收的图像数据，fpga 41在第一功能块crc1中通过适合的编码算法、例如crc方法对于相应于see 6或与所述see一致的图像数据生成校验码。由处理器组件50将由功能块crc1持续地生成的代码与对于必要时多个see 6中的相应see所预存储的参考代码或出自存储器55的规定代码比较。这在输入侧确保，期望的see 6正确地由pc 1表达，并且不被光标5的位置可变的表达影响。首先在信号流中fpga 41接着在功能块43中在相应于当前指针坐标的位置上例如通过重写或重叠覆盖使光标5到图像数据中渐显。在功能块crc2中，fpga 41对于图像数据的下述区域产生一个另外
的关于指针的校验码，该区域相应于光标5的当前渐显的表达。在一个另外的功能块crc4中，fpga 41此外对于图像数据的未表达光标5的周围区域生成“与指针无关的”校验码，所述周围区域例如是crc2的光标区域与see的图像区域之差，然而或者是与crc2的区域之差、即超出该区域直至gui的整个显示的区域。为了生成“与指针无关的”校验码，crc4对于下述像素计算校验码crc4，所述像素构成被监测的图像区域、例如整个gui 2a的像素(量a)与表达光标5的像素量(量b)的差量或剩余量(即无量b的量a)，也就是说，光标5的像素不包含在差量中。不仅仅crc校验和也考虑另外的适合的方法作为用于校验码的算法。
[0127]
由fpga41通过使光标5渐显而相应地修改的图像数据从fpga 41的输出端通过图像数据线路3被输出到显示器2。此外，所述被修改的图像数据并行于第二逻辑或物理的级在此被输送到第二fpga 42，所述第二fpga与fpga 41不同地仅仅通过输入端与图像数据线路3连接。第二fpga 42以与第一fpga 41相同的方式相应于处理器组件50的当前的指针坐标再次自身将具有相同的光标图像数据的光标5的表达重叠覆盖，然而所述图像数据不被输出。在功能块crc3中，以与fpga 41中的crc2类似的方式，fpga 42对于图像数据的下述区域生成一个另外的关于指针的校验码，该区域相应于由fpga 42使光标5当前渐显的表达。在功能块crc5中，相应于fpga 41中的crc 4地，fpga 42对于图像数据的未表达光标5的周围区域、即所述的像素差量生成一个另外的与指针无关的校验码(参见上文)。
[0128]
在程序级或程序块crc2，crc3，crc4，crc5中计算的校验码与安全相关地由处理器组件50评估和特别是比较。为此，处理器组件50持续地在比较器或功能块53中将crc2和crc3的关于指针的校验码彼此比较，为了错误识别、即为了校验和确保，由fpga 41使光标5正确地渐显。此外，处理器组件50持续地在比较器或功能块53中将crc4和crc5的与指针无关的校验码彼此比较，为了错误识别，即为了校验和确保，光标5的渐显或在fpga41中的图像数据的改变不引起在gui的另外的图像区域中的不期望的或无意的改变。如果来自crc1，crc2或crc4的比较级之一显示出偏差，则see 6的安全关键的功能的激活或启动被阻止或不被允许并且必要时通过另外的图像数据修改为用户显示错误情况(例如通过使6渐隐或类似方式)。仅仅在所有与安全相关的校验或比较结果的积极结果的情况下，处理器组件50将特别是在被显示的选择的时间段内被识别的在安全的cd 14上由用户控制的输入用作对与安全相关的动作的批准，该动作被配置给相应的sme 6。仅仅在所述选择的显示校验为正确的情况下，smu 21触发该功能或动作，在此通过处理器组件50经过适合的接口输出到安全系统、例如安全计算机7或例如设备控制装置。处理器组件50构成如前所述的投票器、优选地2oo2投票器，然而这不是强制的。
[0129]
具有与处理器组件50无关地被控制和读出的第二fpga 42的两级的或双通道的结构在此允许gui的所有与安全相关的功能的安全显示，特别是也通过第一fpga 41使光标5渐显。与pc 1不同地，监测模块或smu 21是有sil能力的或sil适合的并且可以特别是安全认证的。
[0130]
图4b中的smu 21'具有如同图4a所述的那样很大程度上相同的结构和相同的功能并且区别特别是在于，从pc 1传输到smu 21'的图像数据在输入侧直接被输送到两个fpga 41，42，也就是说，fpga 42不能通过fpga 41的输出端被影响。然而与安全有关的校验功能可以相同地或者同样地被实施。特别是通过将出自crc2和crc3的校验码比较在此也确保或校验：光标5通过fpga 41符合期望地被显示。在这两种情况中，渐显和编码可以特别是持续
地并且与图像数据同步地、例如对于每次屏幕刷新实现。根据级crc2
…
crc5的编码可以在这两个实施方式中仅仅按需要地实现，当一个选择借助光标5的位置由处理器组件50识别，和必要时see 6的准确的显示借助于crc1确定时，因为二者是接着的批准的前提。
[0131]
作为前述的工作方式的变体然而也可以设置，特别是只要指针位置处于预确定的关键的see 6的预配置的图形或像素相关的输入区域(eb)外部，通过表达的pc 1使光标5渐显。smu 21；21'例如与将指针坐标通过通道11c传输到pc 1同时地通知所述pc，光标5关于图像坐标处于在eb内部还是外部。随着所述反馈，当一个选择存在(指针坐标在eb内部)时，pc 1必要时要求光标5渐隐。如果坐标处于在eb内部，则smu 21；21'自身可以补充地通过措施、例如通过彩色的框、必要时通过使光标5渐隐而视觉突出相应的eb。所述运行方式也可以通过如前所述的校验码而与安全相关地被校验。有利的是，光标5渐显或对所述选择的突出直接通过安全的smu 21；21'进行，由此由pc 1产生的、没有光标5或没有突出的图像数据可以关于准确性、特别是关于所有see或eb的准确表达更容易地被校验。
[0132]
图5a示出例如根据图4a的监测模块或smu 21的另外的优选的结构，通过两个分开的控制器或处理器51，52双通道地实施投票器组件或处理器组件50。处理器51，52分别双重地并且独立地实施如同前面对于图4a所述的所有相关的控制和校验功能，以便为了更高的安全要求而在不同的行为下揭示错误情况，并且构成2-out-of-2投票器具有作为待校验的探测器的fpga 41，42。两个处理器51，52为此信号技术地分别与两个fpga 41，42连接并且分别关于符合规定的或准确的功能相互地和独立地校验(双通道原理)。至相对的指针设备、例如鼠标4和特别是至安全按键4的外部的接口61可以在此通过分开的部件实施或者集成到处理器51，52中。
[0133]
图5b示出监测模块80的一个另外的、优选地连续的双通道的结构。监测模块80与前述的功能无关地能够例如用于安全输入，也被看作出自wo 2011/003872 al的用于监测输入参数的安全表达(必要时无输入功能)的教导的改进方案并且视为具有显著创造性的。
[0134]
待监测的输入参数可以通过接口70例如由安全计算机7被输送给监测模块80。
[0135]
fpga 41对于一个或多个用于安全关键的显示的、图形相关的、预定义的监测区域生成校验码。分别由两个fpga之一41或42确定的校验码crc1.1和crc1.2在双通道地实施的处理器51，52中分别独立地与相应于输入参数的预确定的参考值比较，作为对于相应的输入参数的参考值例如在一个配置中被预保存。用于比较的参考值可以例如借助lookup-tabelle由输入参数被确定为参考代码，或者进行将当前的输入参数与例如通过lookup-tabelle由确定的代码取回的参考参数比较。在其他的工作方式、特别是对于监测区域生成校验码方面，对于图5b将出自wo 2011/003872 al的教导在此整体参照并入。
[0136]
fpga 41，42的两级的、优选地也双通道的硬件实施方案相应于图4a。第二fpga 42在此仅仅通过输入端也与图像数据线路3连接(只读连接)，即不能修改图像数据，而连接在上游的第一fpga 41可以读出图像数据(例如作为lvds接收器)并且必要时改变地继续输出(例如作为lvds发送器)。
[0137]
通过根据图5b的监测模块80可以实施特别是两个安全技术有利的功能，所述功能允许更高的安全等级、例如sil-3或者更高。
[0138]
一方面，通过fpga 41通过图像数据修改、特别是通过渐隐或渐显(例如白色切换)或者其他对于用户可见的在fpga 41的输出端上的图像数据中的显示而实现的与安全有关
的视觉的错误揭示可以在通过第二fpga 42借助校验码方法识别出表达错误时可靠地被校验。fpga 42在此通过相应地期望的表达、例如借助校验码方法通过对于图形错误显示生成校验码来校验在错误情况中期望的图形错误揭示，fpga 41应符合期望地在其输出端在图像数据中产生所述图形错误揭示。图形错误显示或错误揭示可以通过fpga 42来校验，其方式是，fpga 42在对于被识别为错误的图像数据修改图像数据方面实施与第一fpga 41相同的工作方式，也就是说，在这种情况中fpga 41，42也实现用于图像数据校验和修改的双通道的布置。然而fpga 42也可以生成预存储的代码，所述代码相应于通过第一fpga 41进行的图像改变的期望或规定行为，而在fpga 42自身中不冗余地重复图像修改。
[0139]
借助出自fpga 41，42的校验码与相应的规定值或规定代码进行比较。所述比较又双通道地和独立地在两个处理器51，52中进行以提高安全性。由此确保，错误揭示正确地或对于用户可见地进行。错误揭示和交叉校验优选地局限于并且分别对于各个预定义的监测区域进行，从而其余显示保持不受影响。借助fpga 42对错误揭示的所述交叉校验提供不积极的结果，则可以进行与安全有关的措施例如关闭显示或者将所述显示切换到不安全的模式中。由此系统提供更高的安全性，因为设置两种不同的方法以避免安全关键信息的错误表达。例如借助第一fpga 41通过渐隐或重叠覆盖或标记为错误的、单个的监测区域的优先的错误揭示首先提高了可用性，因为不涉及其他可能校验为正确地表达的安全关键的图像区域。用于确保fail-safe运行的第二方法借助具有另外的fpga 42的第二级实现，所述fpga 42在此与处理器组件50相互作用。如果第一方法未符合期望地优先揭示在被监测的图像区域中的错误，则这借助第二fpga 42来揭示，从而例如可以通过投票器或处理器组件50关闭整个显示。为此，2oo2投票器也作为处理器组件是有利的。特别是由于所述两个独立的错误揭示方法，监测模块80可以确保安全等级sil-3，因为可以推断出关键的双重错误。此外，至少监测模块80中的第二方法也可以双通道地和/或多样地实施。
[0140]
补充地或替换地，为了提高操作安全性也可以通过第二fpga 42校验对与安全相关的、关于正确表达被监测的显示区域的视觉突出，fpga 41通过修改图像数据符合规定地进行所述视觉突出。视觉突出或可辨认方式可以在此以不同的方式实现，例如通过使图形框或图形符号、图标或小工具渐显实现，用户借助所述视觉突出或可辨认方式可以识别，在显示器2上的当前显示中的哪个区域实际由监测模块80被监测或者由监测模块80校验为安全关键的。第二fpga 42也可以为此对于在fpga 41输出端上的图像数据、例如对于包括期望的图形突出的监测区域生成校验码，所述校验码又单独地和必要时双通道地在两个处理器51，52中与相应的规定值或规定代码比较。在这种情况中，fpga 41，42可以即必要时对于每个监测区域生成两个不同的校验码、即用于被监测为没有可辨认方式的监测区域的图像数据的第一校验码以及具有可辨认方式的第二校验码。在适合的编码算法中，例如以大的汉明距离由此同时实现关于原始的由pc 1产生的图像数据的双通道的编码。在投票器或处理器组件50中，对于第一校验码和第二校验码(参见crc1.1和crc1.2)存储相应的、预确定的比较数据，所述比较数据相应于良好情况，也就是说，对于输入参数的准确的表达借助第一校验码以及对于具有监测区域的突出的准确的表达借助第二校验码。以这种方法由第二fpga 42和处理器51，53可靠地识别为激活的、对相应的图像区域的监测还可以例如输出到安全计算机7。
[0141]
此外，监测模块80自身能够以安全的方式如下地产生视觉显示，在所述监测模块
的运行模式中，监测模块80例如以激活的监测(安全)或未激活的监测(不安全)工作。这也可以通过由第一fpga 41修改图像数据实现并且借助所提出的具有第二fpga42和优选地两个处理器51，52的结构安全地被交叉校验为。当gui应该显示不同的模式或与情境相关地不同的显示掩码时，通过监测模块80的状态显示是特别有利的。
[0142]
借助监测模块80原则上能够以安全的方式实施对由pc 1不安全地产生的图像数据的任何值得期望的改变方式。这基于用于在第一级中、例如在fpga 41中修改图像数据的能力，以及用于例如借助于第二fpga 42校验通过第一级进行的图像数据改变的第二级来实现。为此使用的两个计算部件、例如fpga 41，42可以特别是双通道地也如前所述地实现关键的图像数据的监测功能，然而这是可选的。
[0143]
两级的实施方案也可以借助一个唯一的集成电路、例如一个唯一的fpga或者也借助一个唯一的处理器或者诸如此类实现，所述集成电路逻辑地或虚拟地分成两级的计算部件或模块。然而硬件的、真的双通道的具有两个计算部件、例如fpga 41，42的实施方案是有利的。在此可以使用多种不同的部件类型、例如不同结构方式的fpga 41，42，以使系统错误、例如common-core错误的风险最小化。相应地也适用于处理器51，52。
[0144]
处理器51，52的同样双通道的投票器实现方案为了更高的安全性优选地通过隔离部件使fpga 41，42电隔离，从而物理分开的处理器区域50被提供在监测模块80的共同的电路卡上。
[0145]
监测模块80具有用于图像数据编码的两个计算部件41，42和用于功能控制的两个处理器51，52，所述计算部件出于校验目的而实施用于修改图像数据的例如如前所述的相同的功能，所述监测模块的完全双通道的结构原则上在错误控制和错误揭示方面是特别有利的。优选地，至少两个处理器51，52分别具有独立的或至少无反作用的资源、例如电源、时钟、信道等。
[0146]
图6示意性地示出用于显示像素图形的安全的显示设备60，其特别是具有tft面板、集成到设备中的例如根据图4a的smu 21。由计算机产生的图像数据必要时在通过存在的监视器控制器从对于pc显示器通常的信号格式、例如hdmi转换到lvds之后被传输到smu 21并且从所述smu输出到显示器设备60的tft控制器。
[0147]
显示设备60还具有集成的、特定的接口模块或gateway 61，所述接口模块通过双向数据连接装置与smu 21连接，从而为此在smu 21上需要仅仅一个端口并且gateway 61能够与使用相关地配置。
[0148]
在图6中，gateway 61具有用于cots输入设备4的端口、例如usb端口以及用于与表达的、不安全的pc 1(在图6中未示出)连接的相应的输出端，相对坐标通过所述输出端被继续传输到pc 1，以控制gui或操作pc 1。gateway 61并行地将相对坐标提供给smu 21，特别是用于如前所述地使光标5渐显。gateway 61具有用于确认装置或cd 14的输入端并且还提供确认装置14和smu 21之间的逻辑安全通道。此外，gateway 61提供用于与安全有关地通信的接口，所述与安全有关的通信通过安全工业总线、例如profinet或根据profisafe协议实现，特别是用于传输与安全相关的指令或信息，所述指令或信息由smu 21自身产生，例如来自在cd 14上的确认输入或者也例如是与安全有关的指令。
[0149]
smu 21可以除了根据本发明的安全输入功能以外也实现根据出自wo 2011/003872 al的原理的安全表达和/或根据ep 2 551 787 bl的安全输入借助于绝对输入设
备、例如电容式触摸设备。最后提及的文献的教导为了简明而在此完全被参照并入(英文为incorporated by reference)。