技术领域本发明涉及用于操控显示设备的方法,涉及相应的设备,涉及具有这种设备的显示系统以及涉及相应的计算机程序,尤其用于例如鉴于交通工具领域中的标准ISO26262,显示安全关键以及安全非关键图像内容。
背景技术:
汽车显示设备、诸如完全可编程的组合仪表尤其应当可以以安全的方式显示状态和/或警告消息。为了确保图形内容的图示和非图示,例如所属的功能应当满足ISO26262ASILB的要求。DE102004032807A1描述了用于提高车辆仪表显示和车辆控制设备的系统安全性的设备和方法。
技术实现要素:
在此背景下,利用在此所介绍的方案来介绍根据独立权利要求的用于操控显示设备的方法、此外使用该方法的设备、显示系统以及最后相应的计算机程序。有利的构型从相应的从属权利要求以及随后的说明中得出。根据本发明的实施方式,安全关键显示元素、诸如错误消息、状态消息等尤其可以以与安全非关键显示逻辑分离的方式被处理、被计算以及在安全非关键显示元素之上在被分离的层中被绘制。在此,针对安全关键软件的保护方法例如可以根据ISO26262与将图形数据映射到所叠加的光学平面或者深度平面或者图形平面上的处理方式组合,以便实现能够始终可见地示出或者隐藏安全关键信息。因此尤其可以根据ISO26262实现安全内容的安全显示以及不显示,例如用于车辆中的所谓的组合仪表或者用于具有基于显示器的显示的其它环境,借助于所述显示能够显示安全相关信息。因此,安全关键显示元素、诸如错误消息、状态消息等可以与其它显示逻辑分离地被处理、被计算以及在安全非关键显示元素之上在被分离的层中被绘制。这种拆开可以在没有安全关键显示元素的覆盖或者排斥危险的情况下实现安全关键显示元素的ASIL一致性(ASIL=AutomotiveSafetyIntegrityLevel(汽车安全完整性等级))以及安全图示以及必要时不图示。定义安全技术ASIL预给定的标准ISO26262例如规定用于在总系统中将安全相关元素与非安全关键的或者仅有限地安全关键的元素分离的两种方案。第一方案涉及反作用自由度(FreedomofInterference(干扰自由度)),其中安全相关部分与安全非关键部分分离,所述安全非关键部分通过所谓的QM措施(QM对应于安全要求的不存在)充分地被保护。第二方案代表按照安全要求等级ASIL-A或者ASIL-B被分类的组件被分解或者拆分为ASIL-A部分或者ASIL-B部分以及QM元素。通过两种方案的组合,根据本发明的实施方式尤其可以实现:可以在QM部分中保留以及因此有效地创建产品的几乎整个软件。通过该软件中的保留的安全关键部分的这种小范围可以实现使得该范围按照ASIL-B被鉴定以及被认证。因此,有利地根据本发明的实施方式尤其可以以低成本以及安全的方式实现:可以可靠地图形地在显示的前景中示出安全相关消息。尤其可以针对汽车领域中的显示设备、诸如完全可编程的组合仪表以安全的方式显示安全关键状态和警告消息。为了可以实现图形内容的图示和不图示,所属的功能例如应当满足ISO26262ASILB的要求。尤其通常的所谓的图形堆栈以及不同的附加的第三方库可能被视为太复杂,以便按照ISO26262被鉴定,而根据本发明的实施方式可以例如按照ISO26262-09通过安全要求以及反作用自由度的与ISO26262一致的分解实现ASIL等级。在这种情况下,图形堆栈例如可以被保持在安全要求等级QM上,这不意味着ASIL分级,以及添加独立的、符合ISO26262的安全的再现路径,通过该再现路径可以实现用于安全关键内容的显示的所需的ASIL等级。ASIL等级上的组件相对于QM平面上的组件的反作用自由度尤其可以通过以下方式来实现:不安全的元素既不在空间上、例如在存储区之上也不在时间上、例如关于CPU时间与安全的元素相干扰。介绍用于操控显示设备的方法,在所述显示设备上能够显示安全关键内容和安全非关键内容,其中所述方法具有下列步骤:处理所读入的图像数据,其中安全关键图像数据和安全非关键图像数据彼此分离地和/或彼此独立地被处理,以便产生安全关键显示元素和安全非关键显示元素,其中产生安全关键显示元素,使得安全关键显示元素在借助于显示设备所显示的状态中以图形上叠加安全非关键显示元素的方式被显示。显示设备尤其可以被布置在车辆、诸如道路机动车等中。安全关键的内容、图像数据和显示元素可以涉及系统的安全功能、安全相关功能以及附加地或替代地安全技术上相关的功能,例如车辆的安全功能,尤其关于运行干扰等,其中显示设备与所述系统连接并且在所述系统中能够实施所述方法。在这种情况下安全关键可以对应于安全要求等级的分类。安全非关键的内容、图像数据和显示元素可以涉及系统的安全技术上毫无疑问的或者不相关的功能,例如车辆的娱乐功能等,其中显示设备与所述系统连接并且在所述系统中能够实施所述方法。显示元素具有图像数据。换言之,显示元素可以在使用图像数据的情况下被产生。图像数据可以具有原始图像数据、传感器数据等。因此,显示元素可以代表要显示的或者能够显示的图像数据。安全关键显示元素可以以图形上叠加安全非关键显示元素的方式被示出,其方式是,安全关键显示元素被显示在显示的前景中。所述方法也可以具有读入图像数据的步骤以及附加地或替代地具有将显示元素输出给到显示设备的接口的步骤。在此,安全关键图像数据和安全非关键图像数据可以彼此分离地并且附加地或替代地彼此独立地被读入。安全关键显示元素和安全非关键显示元素此外可以彼此分离地以及附加地或替代地彼此独立地被输出。根据一种实施方式,在处理的步骤中安全关键图像数据和安全非关键图像数据以安全关键显示元素和安全非关键显示元素可以在时间上、在空间上以及附加地或替代地关于资源彼此分离地并且附加地或替代地彼此独立地被处理。在时间上被分离的处理可以代表不同的处理器时间、处理时间等。在空间上被分离的处理可以涉及不同的存储区、存储器设备、处理器等。关于资源被分离的处理可以涉及不同的硬件以及附加地或替代地不同的软件。这种实施方式提供以下优点:可以以多样化以及可靠的方式实现对安全关键和安全非关键内容的被分离的处理,以便不费力地满足或者遵守安全关键内容的预期的安全要求等级。也可以在处理的步骤中产生安全关键显示元素,使得安全关键显示元素在借助于显示设备所显示的状态中被显示在图形上叠加任何其它图形平面的图形平面中。替代地,可以在处理的步骤中产生安全关键显示元素,使得安全关键显示元素在借助于显示设备所显示的状态中图形上代替安全非关键显示元素。因此,可以在这种情况下使用多个所谓的可以对应于被分离的存储区的硬件层或者利用安全关键显示元素对安全非关键显示元素的改写。这种实施方式提供以下优点:可以简单地以及可靠地实现对有ASIL的以及没有ASIL的内容的空间上和/或时间上独立的或者分离的处理。此外,可以在处理的步骤中在彼此被分离的以及附加地或替代地彼此被保护的存储区、地址空间和/或过程空间中管理安全关键图像数据和安全非关键图像数据以及安全关键显示元素和安全非关键显示元素。这种实施方式提供以下优点:可以根据安全相关性实现对图像数据和显示元素的特别可靠地、尤其空间上被分离的处理。也可以特别可靠地遵守安全关键内容的预期的安全要求等级。在此,可以在处理的步骤中识别以及附加地或替代地阻止对彼此被分离的以及附加地或替代地彼此被保护的存储区、地址空间以及附加地或替代地过程空间的不允许的存储器访问。为此,可以在处理的步骤中使用存储器管理单元,以便识别这种不允许的存储器访问。这种实施方式提供以下优点:可以针对不同安全要求等级的数据的安全的分离来以可靠的方式实现存储器保护。由此,可以更可靠地遵守安全关键内容的相关安全要求等级。根据一种实施方式,可以在处理的步骤中如下检查至少一种处理资源:是否存在所述至少一种处理资源的按规定的状态或者有错误的状态。至少一种处理资源可以在这种情况下是硬件资源或者软件资源。处理资源尤其可以代表程序代码、程序数据、数据总线等。这种实施方式提供以下优点:可以基于处理资源的保护可靠地遵守针对安全关键内容所需的安全要求等级。此外可以在处理的步骤中将代表安全关键图像数据以及附加地或替代地安全关键显示元素的寄存器值与存储在被保护的存储区中的参考寄存器值比较。在这种情况下,可以在偏差的情况下实施错误处理。当寄存器值与参考寄存器值的偏差被识别时,可以实施错误处理。这种实施方式提供以下优点:也可以通过寄存器的监视特别可靠地遵守对于安全关键内容来说有效的安全要求等级。也可以在处理的步骤中在转化时间期间将安全关键图像数据接合成库并且保护所述安全关键图像数据。在这种情况下,可以产生参考安全数据并且存储在库中。在运行时间期间,可以计算安全数据(Sicherungsdaten)并且将安全数据与参考安全数据比较。在此,可以在偏差的情况下实施错误处理。在安全数据与参考安全数据的偏差被识别时可以实施错误处理。这种实施方式提供以下优点:可以保护安全关键内容并且因此可以可靠地遵守所述安全关键内容的安全要求等级。在此介绍的方案此外提供一种设备,所述设备被构造用于在相应的装置中执行、操控或者实现在此介绍的方法的变型方案的步骤。通过本发明的设备形式的该实施变型方案也可以快速以及有效地解决本发明所基于的任务。因此所述设备可以被构造用于操控显示设备,在所述显示设备上能够显示安全关键内容和安全非关键内容。设备当前可以被理解为电气设备,所述电气设备处理图像数据信号并且根据所述图像数据信号来输出控制和/或数据信号。所述设备可以具有接口,所述接口可以以硬件和/或软件方式被构造。在以硬件方式构造的情况下,接口例如可以是所谓的系统ASIC的部分,所述部分包含所述设备的极其不同的功能。然而,也可能的是,接口是自己的集成电路或者至少部分地由分立器件构成。在以软件方式构造的情况下,接口可以是软件模块,所述软件模块例如除了其它软件模块之外存在于微控制器上。也介绍用于显示安全关键内容和安全非关键内容的显示系统,其中所述显示系统具有下列特征:显示设备,在所述显示设备上能够显示安全关键内容和安全非关键内容;以及前面提到的设备的一种实施方式,所述设备以能够传输数据的方式与显示设备能够连接或者连接,其中所述设备被构造用于给显示设备提供用于显示的安全关键显示元素和安全非关键显示元素。可以与显示系统结合地有利地使用前面提到的设备的一种实施方式,以便操控显示设备。因此,显示系统可以具有用于操控显示设备的设备,在所述显示设备上能够显示安全关键内容和安全非关键内容。所述显示系统能够被使用以及附加地或替代地被布置在上级的总系统、例如车辆等中。所述设备可以具有至少一个到上级的总系统的接口,在所述总系统中能够使用以及附加地或替代地布置所述显示系统,以及具有至少一个到显示设备的接口以及附加地或替代地具有连接在显示设备之前的控制装置。具有程序代码的计算机程序产品或者计算机程序也是有优点的,所述程序代码可以被存储在机器可读载体或者存储介质、如半导体存储器、硬盘存储器或者光学存储器上并且尤其在所述计算机产品或者程序在计算机或设备上被实施时被用于执行、实现和/或操控按照前面所描述的实施方式之一所述的方法的步骤。本发明的实施方式例如涉及基于显示器的或者基于像素的显示。不同的显示可以动态地共享显示面或者显示器,其中车辆状态显示、警告消息、车载计算机、导航、错误显示、仪表、视频等能够是可显示的。在显示之间可以进行排斥的内容的动态状态交替。各个内容可以拥有动态动画、如平移、旋转和缩放以及透明性和色值的变化。独立于相应的再现技术、例如场景图、代码生成或手动编码,所得到的人机接口应用或者HMI应用可以具有复杂的软件。显示的设计可以在这种情况下取决于市场开发,其中要求可以改变。为了获得这种显示的ASIL分类,可以阻止:例如可以选择下列三种方案中的仅仅一种。第一种方案可以表明,有ASIL的错误消息或者状态显示、诸如档位显示、ESP、ASIL子系统的故障是显示器显示的一部分。在错误情况下可以进行错误探测。为此可以执行显示屏监视,其中所述显示系统或者像素输出可以由监视系统来检验。然而,可以根据本发明的实施方式来实现:作为对错误探测的反应执行代替所谓的安全状态的消除、典型地显示器的关断。后者将在仅显示器系统(Display-Only-Systemen)中导致例如车辆不再允许自愿地(auseigenemAntrieb)被移动。因此可以应对现场故障。也可以考虑关于时间上的要求的状态交替的复杂性。在这种情况下可以阻止:反应延迟导致错误情况,所述反应延迟例如可以由于通过复杂的动画以及用户交互决定的系统负荷而出现,使得显示不在由监视系统所期望的时间内完成。对于由于市场驱动的关于显示的经常的变化引起的高的变化频率来说,监视系统也可以是可与开发状况更简单地匹配的或者可以降低匹配耗费。此外可以更简单地监视安全显示的动画,使得容差在监视中可以变得不令人满意(indigniert)并且可以使对安全要求的遵守变得容易。表明ASIL可以代替在显示器显示中而是在错误情况下接通警告LED并且关闭显示器的软件堆叠中被实现的第二方案可以根据本发明的实施方式被应对,因为在这种情况下状态消息和/或错误消息的数量物理上将是有限的,因为LED不能被排斥,其中也可以避免通过符合ASIL的LED形成的额外成本。最后也可以根据本发明的实施方式应对第三方案,所述第三方案要求满足完整的显示系统的例如ASIL-B要求并且对于软件来说不能经济地被实现。附图说明下面借助附图示例性地进一步解释在此所介绍的方案。图1示出具有根据本发明的一个实施例的设备的显示系统的示意图;图2示出根据本发明的一个实施例的方法的流程图;图3A至3D示出根据本发明的一个实施例的显示的示意图;图4示出用于产生图3C或者图3D中的组合显示的示意图;图5示出根据本发明的一个实施例的人机接口的上下文图;图6示出用于根据本发明的一个实施例的人机接口的地址空间的概要图;图7示出根据本发明的一个实施例的显示系统的示意图;以及图8示出根据本发明的另一实施例的显示系统的示意图。具体实施方式在对本发明的有益实施例的随后的描述中,将相同或相似的附图标记用于在不同图中所示出的以及起相似作用的元素,其中放弃对这些元素的重复的描述。图1示出具有根据本发明的一个实施例的设备的显示系统100的示意图。显示系统被构造用于实现或引起安全关键内容A和安全非关键内容B的显示。在此,显示系统100尤其能够使用和/或能够装配在车辆、诸如道路(stra?engebunden)机动车中。安全关键内容A在这种情况下示例性地代表提防安全关键状态的警告符号或者警告显示。安全不关键内容B示例性地代表圆形仪表可视化中的转速表显示和转数计显示。根据本发明的在图1中所示出的实施例,显示系统100具有显示设备110和操控设备120或者用于操控显示设备110的设备。安全关键内容A和安全非关键内容B能够被显示在显示设备110上。因此,显示设备110被构造用于显示安全关键内容A和安全非关键内容B。显示设备110尤其被构造用于在一个时间段中或在不同时间段中显示安全关键内容A和/或安全非关键内容B。显示设备110例如是机动车、尤其轿车、载重汽车或其它营业用车辆的所谓的组合仪表。操控设备120被构造用于读入或者接收安全关键图像数据C和安全非关键图像数据D。操控设备120此外被构造用于在使用安全关键图像数据C和安全非关键图像数据D的情况下产生和/或输出安全关键显示元素E和安全非关键显示元素F。操控设备120以能够传输数据的方式与显示设备110连接。操控设备120此外被构造用于给显示设备110提供用于显示的安全关键显示元素E和安全非关键显示元素F。在这种情况下,显示设备110被构造用于在使用安全关键显示元素E的情况下显示安全关键内容A和/或在使用安全非关键显示元素F的情况下显示安全非关键内容B。操控设备120具有处理装置130。处理装置130被构造用于处理所读入的图像数据C和D。在此,处理装置130被构造用于对安全关键图像数据C和安全非关键图像数据D彼此分离地和/或彼此独立地进行处理。处理装置130在这种情况下被构造用于在使用安全关键图像数据C的情况下产生安全关键显示元素E。处理装置130也被构造用于在使用安全非关键图像数据D的情况下产生安全非关键显示元素F。准确地说,处理装置130在此被构造用于产生安全关键显示元素E,使得安全关键显示元素E在借助于显示设备110所显示的状态中以图形上叠加安全非关键显示元素F的方式被显示。应注意的是,操控设备120被构造用于在一个时间段中或者在不同时间段中读入或者接收安全关键图像数据C和/或安全非关键图像数据D。此外,操控设备120尤其被构造用于在一个时间段中或者在不同时间段中提供安全关键显示元素E和安全非关键显示元素F。因此,在一个时间段中能够在使用安全关键图像数据C和安全关键显示元素E的情况下显示安全关键内容A和/或能够在使用安全非关键图像数据D和安全非关键显示元素F的情况下显示安全非关键内容B。内容A和/或B中的哪些被显示例如取决于图像数据C和/或D中的哪些存在。根据一个实施例,操控设备120可以是显示设备110或该显示设备的显示控制设备的一部分。在这种情况下仅仅为了说明的目的示出了图1的被分离的图示。图2示出根据本发明的一个实施例的方法200的流程图。方法200是用于操控显示设备的方法,在所述显示设备上能够显示安全关键内容和安全非关键内容。因此,方法200能够被实施用于操控这种显示设备。方法200能够与如图1中的显示系统那样的显示系统结合地被实施。方法200尤其能够与如图1中的操控设备那样的操控设备结合地被实施。方法200具有处理所读入的图像数据的步骤210。在此,安全关键图像数据和安全非关键图像数据彼此分离地或者彼此独立地被处理,以便产生安全关键显示元素和安全非关键显示元素。安全关键显示元素在这种情况下在处理的步骤210中被产生,使得安全关键显示元素在借助于显示设备所显示的状态中以图形上叠加安全非关键显示元素的方式被显示。根据一个实施例,安全关键图像数据和安全非关键图像数据以及安全关键显示元素和安全非关键显示元素在处理的步骤210中时间上、空间上和/或关于资源彼此分离地或者彼此独立地被处理。根据一个实施例,方法200此外具有读入图像数据的步骤220。可选地,在此安全关键图像数据和安全非关键图像数据彼此分离地或者独立地被读入。方法200也附加地或替代地具有将显示元素输出给到显示设备的接口的步骤230。在这种情况下,安全关键显示元素和安全非关键显示元素可以可选地彼此分离地或独立地被输出。图3A示出根据本发明的一个实施例在第一图形平面301中的安全非关键内容B的示意图。安全非关键内容B例如是图1中的安全非关键内容。安全非关键内容B能够在使用图1中的操控设备的情况下被显示在显示设备、诸如在图1中所示出的显示设备上。准确地说,安全非关键内容B代表车辆的圆形仪表的符号可视化。安全非关键内容B例如与在按照ASIL(AutomotiveSafetyIntegrityLevel(汽车安全完整性等级))或者标准ISO26262的分类之外的所谓的QM等级相对应。图3B示出根据本发明的一个实施例在第二图形平面302中的安全关键内容A的示意图。安全关键内容A例如是图1中的安全关键内容。安全关键内容A能够在使用图1中的操控设备的情况下被显示在显示设备、诸如在图1中所示出的显示设备上。准确地说,安全关键内容A代表用于车辆的驾驶员的警告符号或警告消息的符号可视化。安全关键内容A例如与根据按照ASIL(AutomotiveSafetyIntegrityLevel(汽车安全完整性等级))或者标准ISO26262的分类的安全要求类别、尤其类别ASILB相对应。因此,图3A和图3B示出两种被分离的所计算的显示或图形平面301和302。在此,第一图形平面301代表背景并且第二图形平面302代表前景。图3C示出根据本发明的一个实施例的组合显示303的示意图。组合显示303具有在背景中的图3A中所示出的第一图形平面301以及在前景中的图3B中所示出的第二图形平面302。准确地说,图3C说明图形平面301和302的构造或者分层,其中图形平面301和302为了图示的目的在空间上间隔地被示出。图3D以如组合显示303被显示给观察者那样的图示方式示出图3C中的组合显示303的示意图。在这种情况下,第二图形平面302在图形上或在光学上被叠加到第一图形平面301上。关于上述图,操控设备120以独立于所使用的绘图方法(Zeichenverfahren)的方式被构造,以便将安全关键内容A或者显示或图示的安全的部分图形地放置到安全非关键内容B或者一般的部分上或者之上。例如,可以构造常规的HMI或QM-HMI(HMI=HumanMachineInterface;人机接口),以便计算以及动画绘制用于背景的安全非关键内容B或者显示。ASIL-HMI可以被构造用于实现用于前景的安全关键内容A或者显示。特别是也关于图2中的方法200,可以根据一个实施例在处理的步骤210中产生安全关键显示元素E,使得安全关键显示元素E在借助于显示设备110所显示的状态中被显示在图形地叠加任何其它图形平面301的图形平面302中。在这种情况下,可以使用所谓的硬件层,所述硬件层是分开的存储区,所述存储区被显示控制器解释为叠加的平面。这些平面可以分别覆盖位于其下的平面或者通过部分透明性而使得可见。平面的内容可以图形地拥有2D或者3D观感(Anmutung)。在这种情况下可以实现将安全关键显示元素E或者ASIL信息存放在最上面的、面向观察者的图形平面302中,使得其可以不被其它图像信息掩盖。关于ASIL,因此可以实现内容A和B的空间上的分离。替代地,可以在处理的步骤210中产生安全关键显示元素E,使得安全关键显示元素E在借助于显示设备110所显示的状态中图形上代替或者覆盖安全非关键显示元素F。在没有硬件层的系统上绘图可以以两个步骤进行:首先计算安全非关键显示元素F或者图像元素,跟随其后的是,将结果数据用作ASIL部分的附加的输入并且添加安全关键显示元素E。这种方案能够将总方案也应用于具有功率较低的硬件的显示系统。图4示出借助于显示系统100来产生图3C或者图3D中的组合显示303的示意图。组合显示303具有在背景中的图3中所示出的第一图形平面301以及在前景中的图3B中所示出的第二图形平面302。在此,组合显示303是在图3C中可视化的显示。第一图形平面301因此包括安全非关键内容,所述安全非关键内容能够借助于显示系统100在使用安全非关键显示元素F的情况下被显示。第二图形平面302包括安全关键内容,所述安全关键内容能够借助于显示系统100在使用安全关键显示元素E的情况下被显示。换言之,图4更准确地说尤其示出显示系统100中的用于通过根据ISO26262的ASIL措施实现安全显示的参与的软件层的抽象图示。在显示系统100中能够在这种情况下实施软件装置。第一组软件装置包括用于静态数据401、动态数据402、代码403和显示404的装置。在使用第一组软件装置的情况下能够产生安全非关键显示元素F。与第一组软件装置分离的第二组405软件装置代表根据ISO26262的保护机制。第二组405在这种情况下包括用于合格的静态数据406、受保护的动态数据407、合格的代码408和安全的显示409的装置。在使用第二组405软件装置的情况下能够产生安全关键显示元素E。图5示出根据本发明的一个实施例的人机接口(HMI,英文:HumanMachineInterface(人机接口))的上下文图500或者HMI上下文图。换言之,图5示出关于如图1中的显示系统那样的显示系统的软件模块的概要。在这种情况下示出了安全HMI地址空间501和常规HMI地址空间或者QM-HMI地址空间502。安全HMI地址空间501和QM-HMI地址空间502在这种情况下尤其在所谓的软件分离的意义上被彼此分离。在此将安全HMI地址空间501用于安全关键图像数据、显示元素或者内容,其中将QM-HMI地址空间502用于安全非关键图像数据、显示元素或者内容。安全HMI地址空间501和QM-HMI地址空间502能够相对于安全非关键图像数据、显示元素或者内容分离地处理安全关键图像数据、显示元素或者内容。图6示出用于根据本发明的一个实施例的人机接口的地址空间的概要图600。在这种情况下示出了用于人机接口(HMI,英文:HumanMachineInterface(人机接口))的常规地址空间601或者常规虚拟地址空间(VAS=VirtualAddressSpace(虚拟地址空间))以及用于人机接口(HMI)的安全地址空间602或者安全虚拟地址空间(VAS)。此外示出了内核603,常规地址空间601和安全地址空间602基于所述内核。换言之,图6示出所谓的软件堆叠或者软件堆栈的概要或实现或者用于安全的人机接口的软件方案。随后关于图1至6也探讨本发明的关于保护(FreedomofInterference(干扰自由度))安全关键显示逻辑免受其它显示逻辑影响的实施例。这种保护能够通过多种方法的组合来实现。在这种情况下,第一方法涉及存储器保护,第二方法涉及程序代码和程序数据或者变量的保护,第三方法涉及寄存器的监视并且第四方法涉及图像数据的保护。下面更详细地讨论这些仅仅示例性地四种方法。在第一方法中实现存储器保护。在此可以根据一个实施例在方法200的实施中在处理的步骤210中在彼此被分离的和/或彼此被保护的存储区、地址空间和/或过程空间501和502或者601、602和603中管理安全关键图像数据C和安全非关键图像数据D以及安全关键显示元素E和安全非关键显示元素F。可选地,此外可以在这种情况下在处理的步骤210中识别和/或阻止对彼此被分离的和/或彼此被保护的存储区、地址空间和/或过程空间501和502或者601、602和603的不允许的存储器访问。为了实现安全相关显示逻辑与其它显示逻辑的安全分离,可以在被分离的和彼此被保护的存储区501和502或者601、602和603中管理用于相应显示的数据C和D或者显示元素E和F。例如可以使用如图6中所示出的三个彼此被分离的存储区601、602和603。在此可以使用由操作系统提供的用于存储器保护的机制、诸如被分离的过程空间、虚拟地址空间等等,并且必要时扩展附加的安全机制。作为附加的安全机制,可以通过使用存储器管理单元或者MMU(MemoryManagementUnit(存储器管理单元)识别不允许的存储器访问,以便安全相关地址空间501、602的存储器不被另一地址空间损坏(korrumpiert),其中可选地MMU可以识别对被分离的地址空间的无效的存储器访问,可以使用如下对MMU的循环监视:MMU是活跃的还是非活跃的,如下循环测试:MMU表是一致的还是被改变过,存储器、例如等级1和等级2高速缓冲存储器的循环的无效和回写,通过循环冗余校验(CRC=CyclicalRedundancyCheck)和在安全地址空间501、602之内的冗余的对变量的安全保存和/或诸如此类。在第二方法中,实现对处理资源或者程序代码以及程序数据或变量的保护。在此,可以根据一个实施例在方法200的实施中在处理的步骤210中如下检查至少一种处理资源:是否存在至少一种处理资源的按规定的状态或者有错误的状态。在系统启动时,可以在加载时例如借助于CRC验证应用或者软件。在软件启动之后可以在显示数据之前执行RAM测试(RAM=RandomAccessMemory(随机存取存储器)),以便确保数据和地址总线的正确的工作方式或者识别硬件错误。对此补充地,可以在运行时间循环地检查软件的不变的部分、例如源代码、恒定数据等等并且将其与参考值比较,例如通过CRC。在偏差的情况下可以采取所谓的安全状态或SafeState。在第三方法中,实现对寄存器的监视。在此,可以根据一个实施例在方法200的实施中在处理的步骤210中将寄存器值与存储在被保护的存储区中的参考寄存器值比较,所述寄存器值代表安全关键图像数据C和/或安全关键显示元素E,其中在偏差的情况下可以实施错误处理。在系统启动之后可以初始化显示控制器。所初始化的值应当在系统的运行时间期间不再改变。安全相关的图形平面302或图形层的参考寄存器值可以被保持在被保护的存储区中,其中与上面提到的第二方法的组合是可能的。显示控制器的在系统启动时所调整的寄存器值可以循环地被读取并且与参考值比较。在偏差的情况下可以实施错误处理、例如三次重建、采取安全状态(SafeState)等。独立于比较的结果,参考值可以被重新写入显示控制器中,以便应对可能的回读错误。在第四方法中实现对图像数据的保护。在此,可以根据一个实施例在方法200的实施中在处理的步骤210中在转化时间(übersetzungszeit)期间将安全关键图像数据C接合成库并且保护安全关键图像数据C,产生参考安全数据并且存储在库中,以及在运行时间期间计算安全数据并且与参考安全数据比较,其中在偏差的情况下可以实施错误处理。用于安全显示的图像数据C、例如图标和纹理可以在转化时间或者编译时间被接合成库(AssetLibrary(资产库))。库的内容可以在其产生时例如通过CRC来保护。在此可以将这种安全数据作为参考值存储在库中。库可以例如通过将库存储在车辆的组合仪表的闪速存储器中而被传输到目标系统上。安全数据可以在运行时间、例如在目标系统的受保护的区域中、必要时与上面提到的方法组合地重新被计算。这些在运行时间所计算的数据可以与存放在库中的参考值比较。在偏差的情况下可以实施错误处理、例如三次重复、采取安全状态等。图7示出根据本发明的一个实施例的显示系统100的示意图。显示系统100在这种情况下与在图1中所示出的显示系统相似或与该显示系统相对应。显示系统100具有显示设备110或者显示器以及操控设备120,所述操控设备具有第一处理器721和第二处理器722。通过分离线,在图7中第一处理器721和第二处理器722象征性地或者出于说明原因被划分成硬件段HW和软件段SW。第一处理器721在硬件段HW中具有微控制单元或者微控制器单元740。微控制器单元740根据本发明的在图7中所示出的实施例包括中央单元741或者中央处理单元(CPU=CentralProcessingUnit)、CAN总线装置742(CAN=ControllerAreaNetwork(控制器局域网络))、LIN总线装置743(LIN=LocalInterconnectNetwork(本地互连网络))以及直接存取存储器或者RAM(RandomAccessMemory(随机存取存储器))和固定值存储器或者ROM(ReadOnlyMemory(只读存储器))。在软件段SW中第一处理器721例如具有操作系统751、软件服务和驱动器752以及应用或者应用程序753。第二处理器722在硬件段HW中具有芯片上的系统或者芯片系统760(SOC=SystemonChip(片上系统))。芯片上的系统或者芯片系统760根据本发明的在图7中所示出的实施例包括至少一个另外的中央单元761或者中央处理单元、至少一个图形处理单元762(GPU=GraphicsProcessingUnit)和显示控制单元763或者显示控制装置。在软件段SW中,第二处理器722例如具有一个另外的操作系统771、另外的软件服务和驱动器772、HMI应用772或者HMI应用程序、安全堆叠774或者安全堆栈以及安全HMI装置775。第一处理器721的微控制器单元740和第二处理器722的芯片上的系统或者芯片系统760以能够传输数据的方式彼此连接。第一处理器721的微控制器单元740也以能够传输数据的方式与车辆网络X例如通过CAN总线和/或通过LIN总线连接。第二处理器722的芯片上的系统或者芯片系统760以能够传输数据的方式与处理器外部的直接存取存储器或者RAM以及处理器外部的固定值存储器或者ROM连接。第二处理器722的芯片上的系统或者芯片系统760此外以能够传输数据的方式与显示设备110连接。图8示出根据本发明的另一实施例的显示系统100的示意图。显示系统100在这种情况下与在图1中所示出的显示系统相似或者与该显示系统相对应。准确地说,显示系统100除了在图8中所示出的显示系统100具有显示设备100或者显示器以及仅具有一个处理器820的操控设备120之外与图7中的显示系统相对应。通过分离线,在图8中处理器820也象征性地或者出于说明原因被划分成硬件段HW和软件段SW。处理器820在硬件段HW中具有微控制单元或者微控制器单元840。微控制器单元840根据本发明的在图8中所示出的实施例包括中央单元841或者中央处理单元(CPU=CentralProcessingUnit)、CAN总线装置842(CAN=ControllerAreaNetwork(控制器局域网络))、LIN总线装置843(LIN=LocalInterconnectNetwork(本地互连网络))、图形处理单元844(GPU=GraphicsProcessingUnit)和显示控制单元845或者显示控制装置。在软件段SW中,处理器820例如具有操作系统851、软件服务和驱动器852、应用或者应用程序853、HMI应用854或者HMI应用程序、安全堆叠855或者安全堆栈以及安全HMI装置856。处理器820的微控制器单元840以能够传输数据的方式与车辆网络X例如通过CAN总线和/或通过LIN总线连接。微控制器单元840也以能够传输数据的方式与处理器外部的直接存取存储器或者RAM(RandomAccessMemory(随机存取存储器))以及处理器外部的固定值存储器或者ROM(ReadOnlyMemory(只读存储器))连接。微控制器单元840此外以能够传输数据的方式与显示设备110连接。关于图1至8随后概括地以及换句话说示出根据本发明的一个实施例。用于机动车的显示系统100在这种情况下包括:具有到车辆的接口的微控制器,与图形控制器连同所连接的帧缓冲器相关,所述帧缓冲器与车辆中的显示设备110或者图形显示器、例如TFT-LCD相关地支持多个平面或者图形平面(图形层)中的显示;和用于通过安全关键的或者受保护的显示内容A和安全非关键的或者不受保护的显示内容B的处理的分离来特别受保护地显示显示器显示内容的装置。在此,在最上面的图形平面302中实现受保护的内容A的显示,所述最上面的图形平面不能被其它图形平面掩盖。在这种情况下,在受保护的内容A仅需要最上面的图形平明302下的部分面积时,也能够利用该图形平面302的有选择地部分或者整体的透明性,以便不受限制地使其它或者安全非关键内容B变得可见。在此也能够应用上面提到的方法中的一个或多个,存储器保护或者对被保护的存储区中的受保护的内容A的处理,程序代码的保护,寄存器的监视和/或图像数据的保护。所描述的以及在图中所示出的实施例仅仅是示例性地选择的。不同的实施例可以完全地或者关于各个特征被彼此组合。一个实施例也可以通过另一实施例的特征来补充。在此介绍的方法步骤此外可以被重复以及以与所描述的顺序不同的顺序被实施。如果一个实施例包括第一特征和第二特征之间的“和/或”关联,则这应当被解读为:所述实施例根据一种实施方式不仅具有第一特征而且具有第二特征并且根据另一实施方式要么仅具有第一特征要么仅具有第二特征。