一种用于车载列车自动防护系统的安全人机交互系统及方法与流程

本发明涉及车载atp，尤其涉及安全人机交互界面实现方法。

背景技术：

人机交互系统(drivermachineinterface，以下简称dmi)是列控车载系统的重要组成部分之一，用于实现司机与列控车载系统之间的信息交互。dmi通过声音、图像等信息向司机告知列车行车数据以及车载系统状态，司机根据行车数据及设备状态提示，通过键盘输入执行相应操作，对行车过程进行必要的干预。

人机交互系统的安全性与可靠性的提升对整个列控车载系统以及司机的驾驶操作都有着至关重要的作用，因此，提升人机交互系统(dmi)的安全完整性等级是一个亟待解决的问题。

技术实现要素：

为了提升人机交互系统(dmi)的安全完整性等级，本发明通过增加安全处理单元(达到sil2级或以上)和外设故障检测单元的方式，对sil0级dmi进行升级，以得到满足部分sil2级功能的安全人机交互系统(dmi)，节省硬件开支、可由产品升级完成。

本发明提供了一种用于车载列车自动防护系统的安全人机交互系统，包括：

人机交互模块、安全处理单元、外设故障检测单元、显示屏幕、按键；

所述人机交互模块与车载主机通过安全传输协议进行数据交互传输，其中，传输的数据中与安全完整度功能有关的数据以安全数据的形式直接透传至所述安全处理单元；

所述显示屏幕设置有安全显示区域，所述安全显示区域上的显示信息与所述安全数据相关联；

所述安全处理单元被配置成根据从所述人机交互模块获得的安全数据监控所述安全显示区域的显示信息的正确性，并将监控结果输出至所述人机交互模块；

所述外设故障检测单元周期性或触发性地检测所述按键功能是否正常，并将检测结果输出至所述人机交互模块；

所述人机交互模块根据所述检测结果以及所述监控结果，并依据依故障分类和等级决定所述人机交互系统的状态进入故障模式、检测模式还是正常模式。

在一个实施例中，所述安全处理单元对所述安全显示区域的显示信息的监控进一步包括：

所述安全处理单元获得来自所述人机交互模块的所述安全数据并对安全数据进行解析，根据解析得到的安全数据获取模板图像；所述安全处理单元同时还获取所述安全显示区域上的显示信息的图像并进行预处理以获得待识别图像，所述安全处理单元提取所述待识别图像中的特征，并将所述待识别图像的特征与所述模板图像中的对应特征进行比较，将比较结果作为监控结果输出至所述人机交互模块。

在一个实施例中，所述特征包括高度，宽度，像素值。

在一个实施例中，所述安全处理单元采用以下公式将从所述待识别图像中提取的图像特征与所述模板图像的对应特征进行比较：

其中，m为所述待识别图像的高度，n为所述待识别图像的宽度，s(i,j)为所述待识别图像中(i,j)点的像素值，t^k(i,j)为通过安全数据获得的模板图像中(i,j)点的像素值，k表示第k个模板图像，r为比较结果，表示所述模板图像与所述待识别图像的相似程度。

在一个实施例中，所述安全人机交互系统达到sil2级安全完整性。

在一个实施例中，所述安全处理单元仅监控所述安全显示区域内的显示信息，不监控所述安全显示区域外的显示信息。

在一个实施例中，所述显示屏幕的左侧和上侧增设实体按键，以作为快捷键或备用按键。

在一个实施例中，显示屏幕划分为第一分区和第二分区，所述第一分区包括距离监控信息区、速度信息区、监控信息区、补充驾驶信息区，所述第二分区包括运行计划信息区以及功能按键区；当所述人机交互系统在正常模式下，两个分区合并显示完整的显示区域，当所述安全处理单元检测出某安全显示区域发生显示故障时，可告知所述人机交互模块进入检测模式，缩小显示像素并采用其中一个分区进行人机交互功能显示，直至故障恢复或重启设备。

在一个实施例中，所述外设故障检测单元在物理上独立于所述显示屏幕和所述人机交互模块。

在一个实施例中，所述人机交互模块为人机交互应用软件。

在一个实施例中，所述检测模式是一种过渡模式，即在当前的时钟周期内由于数据捕获延时造成未能及时将检测结果或监控结果反馈给所述人机交互模块时，所述人机交互模块指令所述人机交互系统暂时进入检测模式；在进入所述检测模式后，则进一步根据检测结果以及监控结果决定所述人机交互模块重新投入运营的方式，所述重投入运营的方式至少包括重连或切换显示区。

本发明还提供了一种用于车载列车自动防护系统的安全人机交互方法，所述方法包括以下步骤：

人机交互模块与车载主机通过安全传输协议进行数据交互传输，其中，传输的数据中与安全完整度功能有关的数据以安全数据的形式直接透传至一安全处理单元；

在显示屏幕上设置一安全显示区域，所述安全显示区域上的显示信息与所述安全数据相关联；

所述安全处理单元根据从所述人机交互模块获得的安全数据监控所述安全显示区域的显示信息的正确性，并将监控结果输出至所述人机交互模块；

一外设故障检测单元周期性或触发性地检测按键功能是否正常，并将检测结果输出至所述人机交互模块；

所述人机交互模块根据所述检测结果以及所述监控结果，并依据依故障分类和等级决定所述人机交互系统的状态进入故障模式、检测模式还是正常模式。

在一个实施例中，所述安全处理单元根据从所述人机交互模块获得的安全数据监控所述安全显示区域的显示信息的正确性，并将监控结果输出至所述人机交互模块的步骤进一步包括以下步骤：

获得来自所述人机交互模块的所述安全数据，其中，所述安全数据为所述人机交互模块欲在所述安全显示区域显示的信息；

对所述安全数据进行解析；

根据解析的安全数据获取模板图像；

获取安全显示区域显示的图像。

对该安全显示区域显示的图像进行预处理以获得待识别图像；

提取所述待识别图像中的特征，所述特征包括高度，宽度，像素值；

将所提取的待识别图像中的图像特征与所述模板图像的对应特征进行比较；

将比较结果作为所述监控结果输出至所述人机交互模块。

在一个实施例中，将所提取的待识别图像中的图像特征与所述模板图像的对应特征进行比较的步骤包括按照以下公式进行比较：

其中，m为所述待识别图像的高度，n为所述待识别图像的宽度，s(i,j)为所述待识别图像中(i,j)点的像素值，t^k(i,j)为通过安全数据获得的模板图像中(i,j)点的像素值，k表示第k个模板图像，r为所述比较结果，表示所述模板图像与所述待识别图像的相似程度。

在一个实施例中，所述方法还包括：

在所述显示屏幕的左侧和上侧增设实体按键，以作为快捷键或备用按键。

在一个实施例中，所述方法还包括：

将所述显示屏幕划分为第一分区和第二分区，所述第一分区包括距离监控信息区、速度信息区、监控信息区、补充驾驶信息区，所述第二分区包括运行计划信息区以及功能按键区；当所述人机交互系统在正常模式下，两个分区合并显示完整的显示区域，当所述安全处理单元检测出某安全显示区域发生显示故障时，可告知所述人机交互模块进入检测模式，缩小显示像素并采用其中一个分区进行人机交互功能显示，直至故障恢复或重启设备。

在一个实施例中，所述检测模式是一种过渡模式，即在当前的时钟周期内由于数据捕获延时造成未能及时将检测结果或监控结果反馈给所述人机交互模块时，所述人机交互模块指令所述人机交互系统暂时进入检测模式；在进入所述检测模式后，则进一步根据检测结果以及监控结果决定所述人机交互模块重新投入运营的方式，所述重投入运营的方式至少包括重连或切换显示区。

在一个实施例中，所述安全人机交互方法能使得人机交互系统达到sil2级安全完整性。

本发明通过增加安全处理单元、外设故障检测单元，并配合安全通信协议，可达到dmi故障检测与恢复，提高dmi的可用性和可靠性，使得dmi能够达到sil2级安全完整性等级。

附图说明

本发明的以上发明内容以及下面的具体实施方式在结合附图阅读时会得到更好的理解。需要说明的是，附图仅作为所请求保护的发明的示例。在附图中，相同的附图标记代表相同或类似的元素。

图1示出根据本发明一实施例的用于车载列车自动防护系统的安全人机交互系统；

图2示出根据本发明一实施例的人机交互模块的显示信息监控方案；

图3a示出现有技术的ctcs-2级dmi；

图3b示出现有技术的ctcs-3级dmi；

图3c示出现有技术的etcsdmi；

图4示出根据本发明一实施例的dmi按键以及显示屏设计。

具体实施方式

以下在具体实施方式中详细叙述本发明的详细特征以及优点，其内容足以使任何本领域技术人员了解本发明的技术内容并据以实施，且根据本说明书所揭露的说明书、权利要求及附图，本领域技术人员可轻易地理解本发明相关的目的及优点。

sil0级dmi软件运行于非安全的操作系统之上。本发明提出的用于车载列车自动防护系统的安全人机交互系统在sil0级dmi上通过增加安全处理单元获得。本发明还引入了外设故障检测单元，配合安全通信协议，可达到dmi故障检测与恢复，提高dmi的可用性和可靠性，使得dmi能够达到sil2级安全完整性等级。

图1示出根据本发明一实施例的用于车载列车自动防护系统的sil2级安全人机交互系统。

该安全人机交互系统包括安全人机交互模块102、安全处理单元103、外设故障检测单元104、按键与显示屏105。

该车载主机101与安全人机交互模块102通过安全传输协议进行数据交互传输。安全传输协议具有防丢失功能，该功能保证了人机交互系统(dmi)的反复投入运营的可能。此外，安全传输协议还保证了数据的安全性、可靠性。传输数据中与sil2安全完整度功能有关的数据以安全数据的形式直接透传至安全处理单元103。

在一个实施例中，安全数据可包括列车速度、运行等级等信息。

该安全人机交互模块102与车载主机101进行安全数据交互和接口数据交互，并对安全数据和非安全数据进行输出。

在一个实施例中，人机交互模块102可以是dmi应用软件。

外设故障检测单元104周期性检查按键功能是否正常、触发性检查安全数据是否正常。外设故障检测单元104将检测结果通知安全人机交互模块102，安全人机交互模块102依故障分类和等级决定人机交互系统(dmi)的状态是否进入检测模式还是故障模式。若进入检测模式，则进一步根据检测结果决策安全人机交互模块102重新投入运营的方式，如重连或切换显示区等。

所述故障模式是指检测结果表示按键功能或者安全数据不符合预设的标准。

所述检测模式是指在当前的时钟周期内由于数据捕获延时造成未能及时将检测结果反馈给人机交互模块(例如dmi应用软件)，造成人机交互模块需要等到接下来的一个或几个周期才能收到检测结果，则此时人机交互模块指令人机交互系统暂时进入过渡模式，即检测模式。

在一个优选实施例中，所述故障检测单元104为一外设故障检测单元。

人机交互系统的显示屏实时显示列车自动防护系统、列车以及线路条件等信息，根据etcs，ctcs显示规范。显示屏的显示界面可以被分为不同的显示区域，分别显示不同的显示信息：距离监控信息区、速度信息区、监控信息区、补充驾驶信息区、运行计划信息区以及功能按键区。根据显示信息所显示的内容及特点，可将显示信息按分区归为静态显示信息和动态显示信息。其中，静态显示信息包括如表盘、刻度、背景等信息；动态显示信息：如速度、各种显示图标、文本、菜单等。

然而，若显示屏出现显示故障的情况，例如，显示屏上的某个或某些像素点坏了，则会严重影响显示信息(尤其是安全数据，例如行车速度等)在显示屏上的正确显示，从而影响司机的判断并进而影响列车的安全行驶。因此，需要对显示屏上的显示信息进行监控，确保显示屏上所显示的显示信息为车载主机与dmi应用软件之间真实交互的数据。例如，需要判断dmi应用软件要求显示的列车速度和实际显示屏上的显示列车速度是否一致。

基于此，本发明的人机交互系统提供了安全处理单元103，被配置成监控显示屏上的显示信息的正确性。即，该安全处理单元103被配置成判断人机交互模块(dmi应用软件)输出的数据和实际在显示屏幕中显示的内容是否一致。

然而，若将整个人机交互系统显示的所有信息都进行监控，即作为显示信息监控内容，则软硬件设计实现的复杂性和成本将大大提高。因此，需要进一步对显示信息监控内容进行优化。

考虑到针对人机交互系统(dmi)不同功能安全完整度有不同的要求，因此，本发明的显示屏105提供一安全显示区域，专门用于显示安全数据。

本发明的安全处理单元103被配置成获得来自所述人机交互模块的所述安全数据并进行解析，根据解析的安全数据获取模板图像；所述安全处理单元同时还获取所述安全显示区域上的显示信息的图像并进行预处理以获得待识别图像，所述安全处理单元提取所述待识别图像中的特征，并将特征与所述模板图像中的对应特征进行比较，将比较结果作为监控结果输出至所述人机交互模块。

图2示出根据本发明一实施例的人机交互系统的显示信息监控流程。该流程包括以下步骤。

步骤201：安全处理单元103从人机交互模块(例如dmi应用软件)处获得安全数据。该安全数据为dmi应用软件欲在安全显示区域显示的信息。

步骤202：安全处理单元103对安全数据进行解析。

步骤203：安全处理单元103根据解析的安全数据获取模板图像。在一个实施例中，安全处理单元103根据该解析的安全数据将安全显示区域所有可能的显示信息以标准图像的形式预先保存在模板库203中，作为模板图像。

步骤204：安全处理单元103获取安全显示区域显示的图像。

步骤205：安全处理单元103将该安全显示区域显示的图像进行预处理以获得待识别图像。例如，安全处理单元103通过灰度变换、梯度锐化、阈值变换等预处理操作获得待识别图像。

步骤206：安全处理单元103提取待识别图像中的特征。该特征包括高度，宽度，像素值。

步骤207：安全处理单元103将提取的待识别图像中的图像特征与模板图像的对应特征进行比较。在一个实施例中，假设m为待识别图像的高度，n为待识别图像的宽度，s(i,j)为待识别图像中(i,j)点的像素值，t^k(i,j)为通过安全数据获得的模板图像中(i,j)点的像素值，k是本次比较中需要使用的一种模板图像，则可以用公式(1)来衡量模板图像t与待识别图像s的相似程度r来作为比较结果(即监控结果)：

安全处理单元103将上述比较结果输出至人机交互模块(例如，dmi应用软件)。人机交互模块根据安全显示区域以及上述比较结果判定人机交互系统下一周期应进入的状态：检测模式、故障模式和正常模式。若进入检测模式，则进一步根据检测结果决定安全人机交互模块102重新投入运营的方式，如重连或切换显示区等。

其中，所述检测模式是指在当前的时钟周期内由于数据捕获延时造成未能及时将比较结果反馈给人机交互模块(例如dmi应用软件)，造成人机交互模块需要等到接下来的一个或几个周期才能收到比较结果，则人机交互模块指令人机交互系统暂时进入过渡模式，即检测模式。

本发明还对人机交互系统中的按键以及显示屏进行了改进。

图3a示出现有技术的ctcs-2级dmi。ctcs-2级dmi在显示屏上方采用数码管的方式将关键的速度距离信息、分相和上下行信息进行显示。此种显示方式一定程度上提高了以上信息的冗余性，但显示内容不足以覆盖全部dmi关键信息。

图3b示出现有技术的ctcs-3级dmi。ctcs-3级采用dmi冷备方式，每一端atp标配有两个dmi。此种方式在一个dmi发生故障时atp停车切换冷切换至另一个dmi，成本较高且不一定所有车辆都支持双dmi配置的方式。

图3c示出现有技术的etcsdmi。etcs除按键个数与功能不同外，与ctcs-3级dmi基本相似。无论哪种形式的dmi，有一共同缺陷，按键均为一组按键。

图4示出根据本发明一实施例的dmi按键以及显示屏设计。综合成本、冗余度和可用性考虑，本发明的dmi与传统dmi相比在左侧和上侧增设了实体按键。此按键一方面可以作为某些功能的快捷操作，如调节音量、声音；另一方面，可作为传统按键的备用按键进行使用，当外设检测单元检测出按键发生错误时，提示司机使用此备用按键，与此同时，对故障按键尝试进行恢复。

显示屏幕方面，可采用冗余显示驱动将屏幕一分为二分别显示。在一个实施例中，距离监控信息区、速度信息区、监控信息区、补充驾驶信息区处于屏幕分区1(第一分区)，运行计划信息区以及功能按键区处于屏幕分区2(第二分区)。dmi正常模式下，两个显示区域合并显示完整的显示区域，当外设检测单元检测出某安全显示区域发生显示故障时，可告知dmi应用软件进入检测模式，缩小显示像素并采用其中一个显示分区进行dmi功能显示，直至故障恢复或重启设备。

本发明提出的用于车载列车自动防护系统的安全人机交互系统在sil0级dmi上通过增加安全处理单元获得。本发明还引入了故障检测单元，配合安全通信协议，可达到dmi故障检测与恢复，提高dmi的可用性和可靠性，使得dmi能够达到sil2级安全完整性等级。

本申请中使用了流程图用来说明根据本申请的实施例的系统所执行的操作。应当理解的是，前面或下面操作不一定按照顺序来精确地执行。相反，可以按照倒序或同时处理各种步骤。同时，或将其他操作添加到这些过程中，或从这些过程移除某一步或数步操作。

此外，本申请的各方面可能表现为位于一个或多个计算机可读介质中的计算机产品，该产品包括计算机可读程序编码。

计算机可读信号介质可能包含一个内含有计算机程序编码的传播数据信号，例如在基带上或作为载波的一部分。该传播信号可能有多种表现形式，包括电磁形式、光形式等等、或合适的组合形式。计算机可读信号介质可以是除计算机可读存储介质之外的任何计算机可读介质，该介质可以通过连接至一个指令执行系统、装置或设备以实现通讯、传播或传输供使用的程序。位于计算机可读信号介质上的程序编码可以通过任何合适的介质进行传播，包括无线电、电缆、光纤电缆、rf、或类似介质、或任何上述介质的组合。

这里采用的术语和表述方式只是用于描述，本发明并不应局限于这些术语和表述。使用这些术语和表述并不意味着排除任何示意和描述(或其中部分)的等效特征，应认识到可能存在的各种修改也应包含在权利要求范围内。其他修改、变化和替换也可能存在。相应的，权利要求应视为覆盖所有这些等效物。

同样，需要指出的是，虽然本发明已参照当前的具体实施例来描述，但是本技术领域中的普通技术人员应当认识到，以上的实施例仅是用来说明本发明，在没有脱离本发明精神的情况下还可做出各种等效的变化或替换，因此，只要在本发明的实质精神范围内对上述实施例的变化、变型都将落在本申请的权利要求书的范围内。