Titre : Procédé et dispositif de contrôle de témoins d’une interface homme-machine pour véhicule La présente invention revendique la priorité de la demande française 2103173 déposée le 29.03.2021 dont le contenu (texte, dessins et revendications) est ici incorporé par référence

Domaine technique

L’invention concerne les procédés et dispositifs de contrôle d’un ensemble de témoins d’une interface homme-machine à afficher sur un écran d’un véhicule, notamment un véhicule automobile.

Arrière-plan technologique

La sophistication des véhicules s’accompagne d’exigences élevées en termes de sécurité des véhicules et de leurs passagers. Les systèmes, composants et fonctions mis en œuvre dans un véhicule doivent souvent répondre à un niveau de sécurité déterminé. Ces niveaux de sécurité sont par exemple décrits dans la norme ISO 26262, ces niveaux de sécurité étant identifiés par leur niveau ASIL (de l’anglais « Automotive Safety Integrity Level » ou en français « Niveau d’intégrité de sécurité automobile »), c’est-à-dire ASIL A, B, C ou D, auxquels sont associés des taux admissibles de défaillance par heure.

Par exemple, les composants ou calculateur contrôlant le système de freinage du véhicule doivent être à un niveau ASIL très élevé, par exemple un niveau ASIL D. En cas de problème ou de défaillance du système de freinage, il est indispensable d’informer le conducteur du véhicule pour que ce dernier prenne les mesures qui s’imposent, par exemple un arrêt du véhicule et/ou une prise de rendez-vous dans un garage. Pour alerter le conducteur de la survenue d’un problème, il est commun d’afficher un témoin indiquant le problème, par exemple sur le tableau de bord. L’affichage de ce témoin est par exemple obtenu par l’activation d’une LED mettant en surbrillance une icône sur le tableau de bord, le témoin correspondant à un témoin physique dans ce cas de figure.

Les véhicules contemporains embarquent aujourd’hui un ou plusieurs écrans sur lesquels sont affichées une ou plusieurs interfaces homme-machine, dites IHM, qui permettent au conducteur ou aux passagers d’un véhicule d’interagir avec le véhicule. Ces IHM sont aujourd’hui utilisées pour afficher certaines informations telles que la vitesse du véhicule ou encore pour afficher un ou plusieurs témoins signalant un éventuel problème. La diversité de ces IHM est très grande, chaque modèle de véhicule disposant d’une IHM particulière avec notamment une disposition particulière et/ou un graphisme particulier des éléments à afficher.

Tester la conformité du niveau de sécurité de certains témoins est indispensable. Une telle opération est cependant rendue compliquée par la grande diversité des IHM, ce qui engendre des coûts associés importants et des risques d’erreur élevés dans la sélection du test correspondant à la configuration particulière d’un véhicule.

Résumé de l’invention

Un objet de la présente invention est d’améliorer la validation de la conformité des témoins d’un véhicule par rapport à un niveau de sécurité requis.

Un autre objet de la présente invention est d’optimiser le contrôle ou la supervision des témoins de sécurité demandés à l’affichage pour un véhicule.

Selon un premier aspect, l’invention concerne un procédé de contrôle d’un ensemble de témoins d’une interface homme-machine à afficher sur au moins un écran d’un véhicule contrôlé, ledit ensemble de témoins comprenant au moins un témoin, ledit procédé comprenant les étapes suivantes :

- réception, par un dispositif, d’une requête comprenant une première information identifiant au moins en partie ledit véhicule et une deuxième information identifiant ledit ensemble de témoins à contrôler ;

- identification, par le dispositif, à partir d’une mémoire, de premières données représentatives d’une configuration d’affichage dudit ensemble de témoins dans ladite interface homme-machine à partir de ladite première information et de ladite deuxième information ;

- émission desdites premières données par le dispositif à destination d’un calculateur ;

- génération, par le calculateur, de deuxièmes données représentatives d’une partie d’un flux vidéo en fonction desdites premières données reçues, une information de contrôle desdites deuxièmes données étant associée auxdites deuxièmes données ;

- émission de ladite information de contrôle par le calculateur à destination du dispositif

- comparaison, par le dispositif, de ladite information de contrôle reçue avec une information de contrôle de référence correspondant à ladite configuration, ladite information de contrôle de référence étant stockée dans une mémoire ;

- détermination, par le dispositif, d’une troisième information représentative d’un état de conformité d’affichage dudit ensemble de témoins en fonction d’un résultat de ladite comparaison ;

Selon une variante, la requête appartient à un ensemble de requête chacune identifiée par un nom d’appel déterminé conforme à une convention de nommage déterminée.

Selon une autre variante, les premières données comprennent :

- des données représentatives de localisation spatiale de chaque témoin de l’ensemble de témoins dans l’interface homme-machine ; et/ou

- des données représentatives de couleur d’affichage de chaque témoin de l’ensemble de témoins ; et/ou

- des données représentatives de dimension de chaque témoin de l’ensemble de témoins ; et/ou

- des données représentatives de résolution.

Selon une variante supplémentaire, un niveau de sécurité correspondant au niveau ASIL A est associé à chaque témoin de l’ensemble de témoins.

Selon encore une variante, les premières données sont identifiées à partir d’une table de correspondance stockée dans la mémoire, la table de correspondance comprenant une liste d’identifiants d’interfaces homme-machine, chaque identifiant d’une interface homme-machine correspondant à une unique première information d’un ensemble de premières informations.

Selon une variante additionnelle, l’information de contrôle correspond à une valeur de contrôle de redondance cyclique.

Selon une autre variante, le flux vidéo est destiné à un calculateur contrôlant le au moins un écran, les deuxièmes données correspondant à une couche supérieure d’un empilement de couches contenues dans le flux vidéo, le flux vidéo comprenant les données de l’interface homme-machine.

Selon un deuxième aspect, l’invention concerne un dispositif comprenant une mémoire associée à au moins un processeur configuré pour la mise en œuvre d’une partie des étapes du procédé selon le premier aspect de l’invention.

Selon un troisième aspect, l’invention concerne un système de contrôle d’un ensemble de témoins d’une interface homme-machine à afficher sur au moins un écran d’un véhicule, l’ensemble de témoins comprenant au moins un témoin, le système comprenant un calculateur embarqué dans un véhicule et un dispositif selon le deuxième aspect embarqué dans le véhicule.

Selon un quatrième aspect, l’invention concerne un véhicule, par exemple de type automobile, comprenant un système selon le troisième aspect de l’invention.

Selon un cinquième aspect, l’invention concerne un programme d’ordinateur qui comporte des instructions adaptées pour l’exécution des étapes du procédé selon le premier aspect de l’invention, ceci notamment lorsque le programme d’ordinateur est exécuté par au moins un processeur.

Un tel programme d’ordinateur peut utiliser n’importe quel langage de programmation, et être sous la forme d’un code source, d’un code objet, ou d’un code intermédiaire entre un code source et un code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.

Selon un sixième aspect, l’invention concerne un support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour l’exécution des étapes du procédé selon le premier aspect de l’invention.

D’une part, le support d’enregistrement peut être n'importe quel entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une mémoire ROM, un CD-ROM ou une mémoire ROM de type circuit microélectronique, ou encore un moyen d'enregistrement magnétique ou un disque dur.

D'autre part, ce support d’enregistrement peut également être un support transmissible tel qu'un signal électrique ou optique, un tel signal pouvant être acheminé via un câble électrique ou optique, par radio classique ou hertzienne ou par faisceau laser autodirigé ou par d'autres moyens. Le programme d’ordinateur selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.

Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme d’ordinateur est incorporé, le circuit intégré étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.

Brève description des figures

D’autres caractéristiques et avantages de l’invention ressortiront de la description des modes de réalisation non limitatifs de l’invention ci-après, en référence aux figures 1 à 4 annexées, sur lesquelles :

[Fig. 1] illustre schématiquement une interface homme-machine pour véhicule, selon un exemple de réalisation particulier de la présente invention ;

[Fig. 2] illustre un système de contrôle de l’interface homme-machine de la figure 1 , selon un exemple de réalisation particulier de la présente invention ; [Fig. 3] illustre un dispositif de contrôle de l’interface homme-machine de la figure 1 , selon un exemple de réalisation particulier de la présente invention ; [Fig. 4] illustre un organigramme des différentes étapes d’un procédé de contrôle de témoins de l’interface homme-machine de la figure 1 , selon un exemple de réalisation particulier de la présente invention.

Description des modes de réalisation

Un procédé et un dispositif de contrôle d’un ensemble de témoins d’une interface homme-machine à afficher sur au moins un écran d’un véhicule vont maintenant être décrits dans ce qui va suivre en référence conjointement aux figures 1 à 4. Des mêmes éléments sont identifiés avec des mêmes signes de référence tout au long de la description qui va suivre.

Selon un exemple particulier et non limitatif de réalisation de l’invention, le contrôle d’un ou plusieurs témoins formant un ensemble de témoins d’une interface homme-machine, dite IHM, à afficher sur un écran contrôlé par un premier calculateur d’un véhicule comprend la réception, par un deuxième calculateur du véhicule, d’une requête comprenant une première information identifiant au moins en partie le véhicule et une deuxième information identifiant l’ensemble de témoins à contrôler. La première information et la deuxième information sont utilisées par le deuxième calculateur pour identifier à partir d’une mémoire des premières données représentatives d’une configuration particulière pour l’affichage des témoins identifiés par la deuxième information. Les premières données dont émises par le deuxième calculateur à destination du premier calculateur. Des deuxièmes données sont alors générées par le premier calculateur en fonction des premières données reçues, ces deuxièmes données correspondant à une partie d’un flux vidéo généré par le premier calculateur pour afficher IΊHM. Ces deuxièmes données sont avantageusement associées à une information de contrôle, par exemple un CRC (de l’anglais « Cyclic Redundancy Check » ou en français « Contrôle de redondance cyclique »). Cette information de contrôle est ensuite émise par le premier calculateur à destination du deuxième calculateur pour être comparée à une information de contrôle de référence stockée en mémoire et associée à la configuration particulière identifiée par la première information et la deuxième information. Le résultat de la comparaison permet de déterminer une troisième information représentative d’un état de conformité d’affichage de l’ensemble de témoins. Si le résultat de la comparaison indique que l’information de contrôle correspond à l’information de contrôle de référence, alors il en est déduit que l’affichage de l’ensemble de témoins est conforme à ce qui est attendu. Sinon, si le résultat de la comparaison indique que l’information de contrôle ne correspond pas à l’information de contrôle de référence, alors il en est déduit que l’affichage de l’ensemble de témoins n’est pas conforme à ce qui est attendu, par exemple que le rendu des témoins dans IΊHM n’est pas conforme à un niveau de sécurité attendu, par exemple à un niveau ASIL A.

Un tel procédé permet à partir d’une requête de tester toute configuration d’affichage de témoins dans une IHM, la requête comprenant une première information permettant de retrouver la configuration particulière de IΊHM correspondant au véhicule et la deuxième information permettant d’identifier le ou les témoins à tester. De telles informations permettent ainsi de récupérer les informations de configuration stockées en mémoire correspondant au véhicule à tester.

Un tel procédé est avantageusement mis en œuvre dans le cadre du contrôle permettant de garantir les taux de défaillance associés au niveau ASIL A ou B des témoins, notamment des témoins de sécurité alertant le conducteur d’un véhicule d’une défaillance d’un système ou un organe du véhicule et nécessitant un arrêt du véhicule.

Un niveau d’ASIL correspond avantageusement à un objectif de défaillance à garantir (par exemple de 10-6 à 10-8 défaillances par heure) afin de protéger l’intégrité et le fonctionnement d’un système ou d’un organe du véhicule. Il existe plusieurs niveaux d’ASIL, classés selon le niveau de contraintes associé, c’est-à-dire les niveaux QM, A,

B, C et D, QM correspondant au niveau le moins contraignant et D le plus contraignant.

Le procédé est mis en œuvre par un premier calculateur, qui peut-être par exemple un calculateur dédié à l’info-divertissement. Le premier calculateur peut être un composant non qualifié norme ISO-26262. Il peut donc être produit à faible coût et subir des développements (mises à jour) indépendamment de cette norme. Le premier calculateur est surveillé par le deuxième calculateur qui lui est qualifié. La mise en œuvre du procédé en utilisant ces deux calculateurs est donc moins onéreuse qu’une mise en œuvre n’utilisant qu’un seul calculateur à la fois qualifié norme ISO-26262 et dédié, par exemple à l’info-divertissement.

[Fig. 1] illustre schématiquement une interface homme-machine 1 pour un véhicule, selon un exemple de réalisation particulier et non limitatif de la présente invention. La figure 1 illustre un exemple particulier d’interface homme-machine, dite IHM, affichée sur un ou plusieurs écrans disposés dans l’habitacle d’un véhicule, par exemple un véhicule automobile. Bien entendu, le véhicule n’est pas limité à un véhicule automobile mais s’étend à tout type de véhicule embarquant un ou plusieurs écrans sur lequel ou lesquels est affichée une IHM graphique, par exemple un car, un bus, un camion, un véhicule utilitaire, c’est-à-dire à un véhicule de type véhicule terrestre motorisé.

L’IHM 1 est utilisée pour afficher un ensemble d’informations à destination du conducteur et/ou des passagers du véhicule. Ces informations comprennent selon l’exemple de la figure 1 des informations relatives à la vitesse, au niveau d’énergie restant (par exemple le niveau d’énergie dans les batteries ou le niveau d’essence dans le réservoir), le nombre de kilomètres parcourus, etc.

Parmi ces informations, IHM comprend un ensemble de témoins, dont au moins une partie correspond à un ensemble de témoins 10, 11 , 12 dits de sécurité ou d’alerte. Un témoin correspond à une icône graphique ou à un pictogramme de couleur déterminée. Chaque témoin possède avantageusement une forme ou représentation graphique particulière et déterminée, une couleur particulière et déterminée. Certaines représentations et couleurs associées aux témoins, notamment aux témoins de sécurité ou d’alerte, sont par exemple définies dans une norme internationale telle que l’ECE R121.

Les témoins d’alerte ou de sécurité signalent chacun une panne moteur imposant un arrêt immédiat ou un danger pour les passagers du véhicule, l’affichage d’un tel témoin alertant le conducteur du véhicule de la nécessité de s’arrêter. Un niveau de sécurité correspondant au niveau dit ASIL A est avantageusement associé à chaque témoin de sécurité ou d’alerte 10, 11 , 12, garantissant qu’un tel témoin est affiché lorsque le défaut ou la panne est constatée. Chaque témoin d’alerte 10, 11 , 12 appartient à un ensemble de témoins de sécurité ou d’alerte comprenant notamment :

- le témoin de charge batterie : l’affichage d’un tel témoin indique une insuffisance de la charge de la batterie résultant par exemple d’une panne de l’alternateur ;

- le témoin de pression d’huile moteur : l’affichage d’un tel témoin indique une pression insuffisante (inférieure à un seuil déterminé) ;

- le témoin de température d’huile moteur : l’affichage d’un tel témoin indique une surchauffe de l’huile moteur (température supérieure à un seuil déterminé) ;

- le témoin de température du liquide de refroidissement : l’affichage d’un tel témoin indique toute surchauffe du moteur (température supérieure à un seuil déterminé) ;

- le témoin de défaillance des freins ou du système de freinage : l’affichage d’un tel témoin indique par exemple une baisse de pression du circuit de freinage et/ou un niveau insuffisant du liquide de freinage et/ou le serrage du frein de stationnement ;

- le témoin de pression des pneumatiques : l’affichage d’un tel témoin indique une perte de pression excessive d’un ou plusieurs pneumatiques du véhicule ; et

- le témoin de ceinture de sécurité non bouclée : l’affichage d’un tel témoin indique que le conducteur et/ou un passager n’a pas bouclé sa ceinture de sécurité.

La présente invention a notamment pour objet de contrôler la conformité du niveau de sécurité (par exemple ASIL A) associé à un ou plusieurs de ces témoins de sécurité par un processus ou procédé qui sera décrit en détail ci-dessous.

Selon une variante optionnelle de réalisation, l’affichage d’un ou plusieurs témoins dits d’avertissement est en outre testé, en plus de l’affichage d’un ou plusieurs témoins d’alerte ou de sécurité mentionnés ci-dessus. Un témoin d’avertissement correspond à un indicateur signalant la panne d’un système électronique de bord ou le besoin de faire réviser rapidement un organe du véhicule, tout en laissant la possibilité de continuer à utiliser le véhicule. L’ensemble de témoins d’avertissement à contrôler comprend par exemple un ou plusieurs des témoins suivants : témoin de niveau d’huile moteur, témoin d’air bag (ou « coussin gonflable » en français), témoin de système ABS, témoin de système de correction électronique de trajectoire, témoin d’usure des plaquettes de frein, témoin du système antipatinage du véhicule, témoin de niveau de carburant, témoin de dépollution du moteur, témoin de direction assistée, témoin d’ampoule défaillante.

Une IHM telle que IΊHM 1 correspond par exemple à un empilement de couches (de l’anglais « layer »), chaque couche correspondant à l’affichage d’un ensemble d’éléments graphiques déterminés, la superposition des couches permettant d’obtenir le rendu de IΊHM. Les témoins à afficher sont avantageusement compris dans une seule et même couche, par exemple la couche supérieure de l’empilement. A titre d’exemple, l’empilement de couches comprend 5 couches numérotées de 1 à 5, la couche comprenant les témoins correspondant à la 5 ^ème couche, c’est-à-dire la couche se superposant au-dessus des autres couches.

[Fig. 2] illustre un système 2 configuré pour contrôler un ensemble de témoins à afficher dans une IHM sur un ou plusieurs écrans embarqués dans un véhicule, selon un exemple de réalisation particulier et non limitatif de la présente invention.

Le système 2 est avantageusement embarqué dans le véhicule dans lequel IHM décrite en regard de la figure 1 est à afficher. Le système 2 correspond par exemple à une portion du système embarqué du véhicule. Le système 2 comprend par exemple un plusieurs calculateurs 20, 21 , 22 de type UCE (« Unité de Commande Electronique »). Une UCE est composée d’un calculateur électronique et d’un ou plusieurs logiciels embarqués qui réalisent un ou plusieurs asservissements. Le système 2 comprend aussi un dispositif 23 de contrôle de l’ensemble de témoins (10, 11 , 12) de IHM 1 à afficher sur un ou plusieurs écrans du véhicule.

Le dispositif 23, et les calculateurs 20 à 22 sont avantageusement reliés en communication via une liaison filaire, par exemple un bus de données de type CAN (de l’anglais « Controller Area Network » ou en français « Réseau de contrôleurs »), CAN FD (de l’anglais « Controller Area Network Flexible Data-Rate » ou en français « Réseau de contrôleurs à débit de données flexible »), FlexRay (standardisé par la norme ISO 17458) ou Ethernet (standardisé par la norme ISO/IEC 802-3).

Selon l’architecture de la figure 2, le calculateur 20 correspond par exemple à un calculateur maître et chacun des calculateurs 21 à 22 correspond à un calculateur esclave du calculateur maître 20. Le calculateur 20 correspond par exemple à un calculateur en charge du système IVI (de l’anglais « In Vehicle Infotainment » ou en français « Info-divertissement dans le véhicule »), le calculateur 20 étant aussi dénommé à ce titre calculateur IVI 20. Le calculateur IVI 20 est ainsi en charge du système info-divertissement du véhicule fournissant les accès audio et vidéo à l’intérieur du véhicule, tels que l’accès à l’internet, l’accès aux informations routières, la navigation, les services de diffusion numérique et de streaming ainsi que la génération d’informations relatives au véhicule à rendre, par exemple afficher sur un écran, à destination du conducteur et/ou des passagers du véhicule par l’intermédiaire d’une IHM.

Le calculateur IVI 20 génère par exemple les contenus à rendre sur des périphériques embarqués dans le véhicule, tels qu’un ou plusieurs écrans d’affichage, un ou plusieurs haut-parleurs. Chacun de ces périphériques est par exemple contrôlé par un calculateur 21 , 22 recevant les données à rendre (diffuser ou afficher par exemple) sur le périphérique associé au calculateur concerné.

Par exemple, le calculateur 21 reçoit un flux vidéo comprenant les données représentatives de IΊHM en charge de restituer au conducteur les paramètres, données et informations relatives au véhicule, telles que notamment les témoins de sécurité ou d’alerte ayant un niveau de sécurité associé égal au niveau ASIL A. Le calculateur 21 gère alors l’affichage de IΊHM sur un ou plusieurs écrans d’affichage qu’il contrôle.

Le dispositif 23 est dédié à la mise en œuvre d’un processus de contrôle d’un ensemble de témoins comprenant par exemple un ou plusieurs témoins de sécurité, les opérations formant un tel processus étant décrite ci-après.

Dans une première opération, le dispositif 23 reçoit une requête requérant le contrôle d’un ou plusieurs témoins formant un ensemble de témoins à tester. Un tel contrôle permet notamment de garantir un niveau de sécurité quant à l’affichage de chacun de ces témoins lorsqu’un tel affichage est requis, c’est-à-dire en cas de défaillance du système ou de l’organe associé au témoin considéré.

La requête comprend avantageusement une première information (correspondant à un premier identifiant) permettant d’identifier au moins en partie le véhicule. La première information comprise dans la requête identifie par exemple le numéro de projet du véhicule, notamment en regard de la configuration de IΊHM quant à l’affichage des témoins, notamment des témoins de sécurité ou d’alerte.

La requête comprend également une deuxième information permettant d’identifier quel est ou quels sont les témoins à contrôler. Cette deuxième information correspond par exemple à un masque de témoins à tester. Cette deuxième information prend par exemple la forme d’une liste de témoins avec pour chaque témoin une information indiquant si le témoin associé est à contrôler ou non. Cette information correspond par exemple à un bit prenant la valeur 0 lorsque le témoin associé n’est pas à contrôler et la valeur 1 lorsque le témoin associé est à contrôler.

La requête est par exemple émise par un dispositif de calcul distant (par exemple un ordinateur de diagnostic ou un ordinateur de supervision) et transmise au dispositif 23 via une liaison filaire reliant le dispositif de calcul distant au dispositif 23.

Selon un exemple de mise en œuvre particulier, la requête correspond à une trame de données comprenant les informations suivantes :

- un en-tête de trame, par exemple codé sur 4 octets, comprenant par exemple des informations telles que la longueur de la trame, le type de la trame. Selon une variante de réalisation, l’en-tête comprend également un ensemble d’informations permettant de chercher et trouver la trame parmi une liste de trames stockées en mémoire du dispositif de calcul distant. Ces informations comprennent par exemple un identifiant du projet du véhicule permettant d’identifier le type, le modèle ou la version du véhicule ; et une ou plusieurs des informations suivantes : une information indiquant si le calculateur 21 est supervisé ou non par le calculateur IVI 20 ; et/ou une information relative au type de frein à main ; et/ou le type du système de direction du véhicule ; et/ou les caractéristiques de l’écran d’affichage utilisé pour afficher IΊHM 1 , par exemple la définition de l’écran ;

- un premier identifiant, par exemple codé sur 1 , 2, 3 ou 4 octets, d’une table stockée dans une mémoire du calculateur IVI 20 ou associée au calculateur IVI 20 et comprenant les paramètres d’affichage de IΊHM 1 , notamment des témoins disponibles dans IΊHM 1 , ce premier identifiant correspondant au moins en partie à la première information identifiant au moins en partie le véhicule ; - selon une variante optionnelle, un deuxième identifiant, par exemple codé sur 1 , 2, 3 ou 4 octets, d’une table stockée dans le véhicule dans une mémoire du calculateur IVI 20 ou associée au calculateur IVI 20, ce deuxième identifiant correspondant au moins en partie à la première information identifiant au moins en partie le véhicule en complément du premier identifiant ;

- un masque de sécurité codé par exemple sur 2 octets, à chaque bit étant associé un témoin de sécurité unique, la valeur prise par le bit indiquant si le témoin de sécurité associé est à contrôler ou non. Le masque de sécurité comprend par exemple une liste paramétrable comprenant un nombre déterminé de témoins de sécurité (par exemple 13, 14, 15 ou 16 témoins), la valeur du bit associé à chaque témoin indiquant si le témoin associé est à contrôler ou non (0 pour une absence de contrôle, 1 pour un contrôle à réaliser). Ce masque de sécurité correspond à la deuxième information.

Le dispositif de calcul distant stocke par exemple un ensemble déterminé de requêtes, chaque requête étant identifiée par des informations par exemple comprises dans l’en tête.

Une requête particulière est appelée par un utilisateur, via une IHM, par l’entrée d’un nom d’appel suivant une règle de nommage déterminée. Par exemple, une requête est appelée en entrant un numéro de version de la requête, suivi du nom du projet du véhicule, suivi par exemple d’une indication relative à la supervision (par exemple « esclave » dans le cas d’un calculateur 21 supervisé par le calculateur IVI 20), suivi par exemple du nombre de témoins physiques dans le véhicule, suivi par exemple du type de système de freinage. Un exemple de nom d’appel d’une requête correspond à : ‘C0_D4x_Slave_16_Automatic’

Avec C0 la version de la requête, D4x l’identifiant du projet du véhicule, « Slave » (ou « esclave » en français) pour indiquer que le calculateur 21 est supervisé, 16 le nombre de témoins physiques et « Automatic » (ou « automatique » en français) le type de frein à main.

Les informations permettant d’appeler une requête sont fournies selon une hiérarchie en commençant avec les informations ayant l’importance la plus forte. Ainsi, si une information de niveau hiérarchique plus élevé comprend les informations sur les informations de niveau hiérarchique inférieur, le nom d’appel de la requête se finit avec l’information de niveau hiérarchique plus élevé qui comprend les informations sur les informations de niveau hiérarchique inférieur.

L’utilisation d’une convention de nommage déterminée et comprenant des informations claires sur la dénomination du projet véhicule par exemple permet de limiter les erreurs humaines relatives au test à lancer pour contrôler les témoins.

Dans une deuxième opération, le dispositif 23, ayant reçu la requête, interprète ou décode cette requête pour extraire la première information et la deuxième information. La première information et la deuxième information sont utilisées par le dispositif 23 pour identifier dans une mémoire du dispositif 23 (ou associée au dispositif 23) un ensemble de premières données relatives à la configuration d’affichage des témoins à contrôler.

Selin une variante, le dispositif 23 comprend avantageusement en mémoire une table de correspondance comprenant une liste d’identifiants d’IHM. Chaque identifiant unique (correspondant à la première information de la requête reçue à la première opération) est associé à un ensemble de paramètres / données d’affichage pour un type ou une version d’IHM de l’ensemble des véhicules dans lesquels le dispositif 23 est mis en œuvre ou embarqué,

La deuxième information permet de ne sélectionner que les témoins à contrôler parmi l’ensemble des témoins disponibles et affichables dans IHM.

Les premières données identifiées via la première information et la deuxième information comprennent par exemple :

- les données de position de chaque témoin à contrôler, par exemple les coordonnées de chaque pixel de chaque témoin à contrôler ;

- les données relatives aux pixels formant chaque témoin, par exemple des données de couleur, par exemple au format RGB (de l’anglais « Red, Green, Blue » ou en français « Rouge, vert, bleu »), chaque canal couleur étant par exemple codé sur 8 bits ;

- les données relatives à la résolution de IHM. Dans une troisième opération, le dispositif 23 émet lesdites premières données à destination du calculateur IVI 20.

Dans une quatrième opération, le calculateur IVI 20 génère une partie du flux vidéo correspondant à IHM à afficher à partir des premières données reçues. La partie du flux vidéo correspond avantageusement aux données, appelées deuxièmes données, du flux vidéo correspondant à la couche de IHM comprenant les témoins à contrôler identifiés par la deuxième information. Ces deuxièmes données comprennent par exemple les données associées aux pixels des témoins à afficher, c’est-à-dire les numéros de lignes et colonnes de chaque pixel associé aux données de couleur. Le calculateur IVI 20 émet, par exemple, cette partie du flux vidéo au calculateur 21 qui affiche les témoins de IHM 1 sur au moins un écran.

Le calculateur IVI 20 détermine avantageusement une information de contrôle à partir de ces deuxièmes données, l’information de contrôle permettant de tester le contenu de la ou les trames comprenant les deuxièmes données, par exemple pour vérifier l’intégrité des deuxièmes données générées.

L’information de contrôle correspond par exemple à une valeur de CRC (de l’anglais « Cyclic Redundancy Check » ou en français « contrôle de redondance cyclique ») calculée à partir des deuxièmes données ou à une valeur dite somme de contrôle (de l’anglais « checksum »).

Dans une cinquième opération, la calculateur IVI 20 émet l’information de contrôle à destination du dispositif 23.

Dans une sixième opération, le dispositif 23 compare l’information de contrôle reçue à une information de contrôle de référence correspondant à la configuration d’affichage particulière des témoins à contrôler. Cette information de contrôle de référence est de même nature que l’information de contrôle reçue, c’est-à-dire que l’information de contrôle de référence correspond à une valeur de CRC si l’information de contrôle est un CRC et l’information de contrôle de référence correspond à une somme de contrôle si l’information de contrôle est une somme de contrôle. Cette information de contrôle de référence est par exemple stockée en mémoire du dispositif 23, une information de contrôle de référence étant associée à chaque configuration d’affichage possible d’un ensemble de témoins dans IΊHM. Pour chaque type ou version d’IHM dont les paramètres sont stockés en mémoire de IΊHM, une pluralité d’informations de contrôle de référence sont associées, avec une information de contrôle de référence pour chaque combinaison possible d’affichage de témoin(s). Ces informations de contrôle de référence sont par exemple stockées dans une table de correspondance, dite LUT (de l’anglais « Look-Up Table »), à chaque information de contrôle de référence étant associé un identifiant dans la table, cet identifiant correspondant à une configuration particulière d’affichage d’un ou plusieurs témoins.

Dans une septième opération, le dispositif 23 détermine une troisième information représentative d’un état de conformité d’affichage de l’ensemble de témoins identifiés par la deuxième information en fonction du résultat de la comparaison.

La troisième information correspond par exemple à une valeur binaire. La troisième information prend par exemple une première valeur (par exemple 0) indiquant que l’affichage de l’ensemble de témoins n’est pas conforme à ce qui est attendu ou à ce qu’il devrait être, c’est-à-dire qu’une erreur est survenue dans la trame comprenant les deuxièmes données. La troisième information prend la première valeur lorsque le résultat de la comparaison indique que l’information de contrôle est différente de l’information de contrôle de référence.

La troisième information prend par exemple une deuxième valeur (par exemple 1) indiquant que l’affichage de l’ensemble de témoins est conforme à ce qui est attendu ou à ce qu’il devrait être, c’est-à-dire que la probabilité qu’une erreur soit survenue dans la trame comprenant les deuxièmes données est très faible, voire nulle. La troisième information prend la deuxième valeur lorsque le résultat de la comparaison indique que l’information de contrôle est identique à l’information de contrôle de référence.

Le calcul ou la détermination de la troisième information permet de vérifier que le fonctionnement des témoins de sécurité est conforme au niveau de sécurité attendu, par exemple ASIL A. Selon une variante, si la troisième information indique que l’affichage de l’ensemble de témoins n’est pas conforme à ce qui est attendu, le dispositif 23 émet à destination du calculateur IVI 20 ou du calculateur 21 , un signal pour annuler l’affichage sur le ou les écrans d’au moins la partie du flux vidéo correspondant aux deuxièmes données. Selon une variante, si la troisième information indique que l’affichage de l’ensemble de témoins n’est pas conforme à ce qui est attendu, le dispositif 23 émet à destination du calculateur IVI 20 ou du calculateur 21 , un signal pour indiquer que le ou les écrans doivent basculer dans un mode dégradé pour protéger le conducteur et les passagers du véhicule. Un tel processus a l’avantage d’être générique, c’est-à-dire qu’il s’applique de manière identique à toute configuration d’affichage requise par la requête. Dans un tel processus, seul le contenu de la requête diffère d’une requête à une autre, permettant de tester toute configuration d’affichage de témoins pour toute version d’IHM (qui dépend du véhicule notamment). Cela permet ainsi de gérer la grande diversité qui existe dans la configuration des IHM, le contrôle du niveau de sécurité étant assuré par le dispositif 23, permettant un gain de temps et réduisant le risque d’erreur associé à une sélection erronée d’un module de test ne correspondant pas à la configuration testée.

Le processus est aussi avantageux car il est mis en œuvre par un dispositif 23 qui est dédié au contrôle d’un ensemble de témoins 10, 11 , 12 d’une interface homme-machine 1 à afficher sur au moins un écran d’un véhicule. Ce dispositif 23 comprend, en outre, un micro-processeur dédié à bas prix qui permet une mise en œuvre du processus moins coûteuse que celle mise en œuvre pas un calculateur embarqué du véhicule tel que le calculateur IV 20.

[Fig. 3] illustre schématiquement un dispositif 23 configuré pour le contrôle d’un ensemble de témoins d’une IHM à afficher sur un ou plusieurs écrans d’un véhicule, selon un exemple de réalisation particulier et non limitatif de la présente invention. Le dispositif 23 est par exemple configuré pour la mise en œuvre des opérations décrites en regard de la figure 2 et/ou des étapes du procédé décrit en regard de la figure 4. Les éléments du dispositif 23, individuellement ou en combinaison, peuvent être intégrés dans un unique circuit intégré, dans plusieurs circuits intégrés, et/ou dans des composants discrets. Le dispositif 23 peut être réalisé sous la forme de circuits électroniques ou de modules logiciels (ou informatiques) ou encore d’une combinaison de circuits électroniques et de modules logiciels. Selon différents modes de réalisation particuliers, le dispositif 23 est couplé en communication avec d’autres dispositifs ou systèmes similaires, par exemple les calculateurs 20,21 et/ou 22 et/ou avec des dispositifs de communication, par exemple une TCU (de l’anglais « Telematic Control Unit » ou en français « Unité de Contrôle Télématique »), par exemple par l’intermédiaire d’un bus de communication ou au travers de ports d’entrée / sortie dédiés.

Le dispositif 23 comprend un (ou plusieurs) processeur(s) 230 configurés pour exécuter des instructions pour la réalisation d’une partie des étapes du procédé et/ou pour l’exécution des instructions du ou des logiciels embarqués dans le dispositif 23. Le processeur 230 peut inclure de la mémoire intégrée, une interface d’entrée/sortie, et différents circuits connus de l’homme du métier. Le dispositif 23 comprend en outre au moins une mémoire 231 correspondant par exemple à une mémoire volatile et/ou non volatile et/ou comprend un dispositif de stockage mémoire qui peut comprendre de la mémoire volatile et/ou non volatile, telle que EEPROM, ROM, PROM, RAM, DRAM, SRAM, flash, disque magnétique ou optique.

Le code informatique du ou des logiciels embarqués comprenant les instructions à charger et exécuter par le processeur est par exemple stocké sur la mémoire 231.

Selon un mode de réalisation particulier et non limitatif, le dispositif 23 comprend un bloc 232 d’éléments d’interface pour communiquer avec des dispositifs externes, par exemple un dispositif de calcul distant. Les éléments d’interface du bloc 232 comprennent une ou plusieurs des interfaces suivantes : - interface radiofréquence RF, par exemple de type Bluetooth® ou Wi-Fi®, LTE (de l’anglais « Long-Term Evolution » ou en français « Evolution à long terme »), LTE- Advanced (ou en français LTE-avancé) ;

- interface USB (de l’anglais « Universal Serial Bus » ou « Bus Universel en Série » en français) ;

- interface FIDMI (de l’anglais « High Définition Multimedia Interface », ou « Interface Multimedia Flaute Définition » en français) ;

- interface LIN (de l’anglais « Local Interconnect Network », ou en français « Réseau interconnecté local »).

Selon un autre mode de réalisation particulier, le dispositif 23 comprend une interface de communication 233 qui permet d’établir une communication avec d’autres dispositifs, tels que les calculateurs 20, 21 et/ou 22 embarqués du véhicule via un canal de communication 234. L’interface de communication 233 correspond par exemple à un transmetteur configuré pour transmettre et recevoir des informations et/ou des données via le canal de communication 234. L’interface de communication 233 correspond par exemple à un réseau filaire de type CAN (de l’anglais « Controller Area Network » ou en français « Réseau de contrôleurs »), CAN FD (de l’anglais « Controller Area Network Flexible Data-Rate » ou en français « Réseau de contrôleurs à débit de données flexible »), FlexRay (standardisé par la norme ISO 17458) ou Ethernet (standardisé par la norme ISO/IEC 802-3).

[Fig. 4] illustre un organigramme des différentes étapes d’un procédé de contrôle d’un ensemble de témoins d’une IHM à afficher sur un ou plusieurs écrans d’un véhicule, selon un exemple de réalisation particulier et non limitatif de la présente invention. Le procédé est par exemple mis en œuvre par le système 2 embarqué dans le véhicule.

Dans une première étape 41 , une requête est reçue par le dispositif 23. La requête comprend une première information identifiant au moins en partie le véhicule et une deuxième information identifiant l’ensemble de témoins à contrôler.

Dans une deuxième étape 42, des premières données représentatives d’une configuration d’affichage de l’ensemble de témoins dans l’interface homme-machine sont identifiées dans une mémoire associée au dispositif 23 à partir de la première information et de la deuxième information.

Dans une troisième étape 43, les premières données sont émises par le dispositif 23 à destination d’un calculateur 20.

Dans une quatrième étape 44, des deuxièmes données représentatives d’une partie d’un flux vidéo sont générées par le calculateur 20 en fonction des premières données reçues, une information de contrôle des deuxièmes données étant associée aux deuxièmes données.

Dans une cinquième étape 45, l’information de contrôle est émise par le calculateur 20 à destination du dispositif 23.

Dans une sixième étape 46, l’information de contrôle reçue est comparée par le dispositif 23 avec une information de contrôle de référence correspondant à la configuration d’affichage représentée par les premières données, l’information de contrôle de référence étant stockée dans la mémoire.

Dans une septième étape 47, une troisième information représentative d’un état de conformité d’affichage de l’ensemble de témoins est déterminée par le dispositif 23 en fonction d’un résultat de la comparaison. Ainsi, si le résultat de la comparaison indique que l’information de contrôle correspond à l’information de contrôle de référence, alors la troisième information est représentative d’un état conforme, c’est-à-dire que l’affichage de l’ensemble de témoins est correct. Sinon, si le résultat de la comparaison indique que l’information de contrôle ne correspond pas à l’information de contrôle de référence, alors la troisième information est représentative d’un état non conforme, c’est-à-dire que l’affichage de l’ensemble de témoins est incorrect ou erroné.

Selon une variante de réalisation, les variantes et exemples des opérations décrits en relation avec la figure 2 s’appliquent aux étapes du procédé de la figure 4.

Bien entendu, l’invention ne se limite pas aux modes de réalisation décrits ci-avant mais s’étend à un procédé de contrôle d’un niveau de sécurité associé à un ensemble de témoins à afficher dans un véhicule, ainsi qu’au dispositif configuré pour la mise en œuvre d’un tel procédé.

L’invention concerne également un véhicule, par exemple automobile ou plus généralement un véhicule autonome à moteur terrestre, comprenant le système 2 de la figure 2.