在消费级设备上,显示屏故障时用户只需重启。但在患者监护仪或工业控制面板上,故障的后果要严重得多。
LVGL Safe 正是为那些不容出错的团队而生——他们在构建医疗设备(IEC 62304)、工业系统(IEC 61508)、汽车(ISO 26262)、航空航天(DO-178C)等领域的产品。
问题所在#
为医疗设备、工业机器或汽车系统构建图形界面,与为消费级产品构建界面有着根本性的不同。在受监管的环境中,驱动显示屏的软件必须满足功能安全认证标准,例如 IEC 61508、医疗设备软件标准 IEC 62304、汽车标准 ISO 26262 以及航空航天标准 DO-178C。
这些不是可选项,而是进入市场的入场券。
目前最成熟的安全认证 UI 商业方案是 Qt Safe Renderer——一个与 Qt 主 UI 框架配合运行的预认证运行时组件。它确实是一个经过广泛生产验证的可靠方案,但它围绕特定的架构模式设计:安全关键的 UI 元素在一个独立的认证进程中运行,与主 Qt 应用程序分离,其输出被合成到显示屏上。
这种架构假设您有足够的资源支撑多栈系统,通常需要 MPU 以及额外的集成复杂度。对于需要一个轻量级、完全可认证的 UI 运行时的团队来说——可以部署在受限的嵌入式硬件上,甚至包括 MCU,而无需引入更庞大的技术栈——这种方案并不适用。而且,如果团队希望完全、无限制地访问其认证软件中的每一行源代码,任何闭源商业框架都会带来挑战。
另一条路是从零构建自定义显示栈。这虽然避免了外部依赖,但代价是高昂且难以预料的工程成本、持续的重新认证风险、漫长的认证周期以及更长的上市时间。
LVGL Safe 是什么#
LVGL Safe 是一个完整的、专门构建的 UI 运行时,从零开始以安全为核心设计约束编写。它不是 LVGL Open 的精简版本,而是一个独立的代码库,整个库专为安全关键部署而设计,目标达到 ASIL-B 和 SIL-2 合规,并向合作伙伴提供完整源代码以供审计并集成到其认证文档中。
以下是定义 LVGL Safe 的几项关键架构决策:
-
无动态内存分配。 LVGL Safe 在运行时不使用
malloc。每个控件和显示对象均采用静态分配。动态分配被大多数功能安全认证标准所禁止,也是未定义行为的常见来源。 -
扁平布局模型。 没有父子控件层级结构。控件直接通过显式坐标定位在屏幕上,简化了执行模型,使行为更易追踪和验证。
-
显式渲染控制。 渲染由您的代码触发,而非由隐藏的事件循环管理。
-
完整源代码访问。 每一行代码都可供审查,并集成到您的认证文档中。没有需要管理的不透明边界。
LVGL Safe 是与 LVGL Open 完全独立的代码库。它凝聚了团队十年的嵌入式 UI 经验,但每一个 API 和内部结构都是专门为安全关键约束而设计的。
基于十年嵌入式 UI 经验#
LVGL Safe 由 LVGL Open 的同一团队打造——LVGL Open 是嵌入式设备上使用最广泛的开源图形库,如今已运行在超过 1 亿块屏幕上,覆盖消费和工业产品。
这一点至关重要,因为构建 LVGL Safe 的团队深刻理解嵌入式 UI 的含义。团队花了十年时间深入了解真实硬件的限制:内存约束、显示驱动要求、渲染权衡,以及产品团队日常实际使用的工作流程。这些经验体现在 LVGL Safe 的每一个设计决策中。
同样,团队目前正在积极推进面向安全认证 RTOS 环境的集成工作——这些正是认证产品实际运行的平台。一个无法融入您现有操作系统和工具链的安全 UI 运行时,只能算是半个解决方案。
评估嵌入式 UI 的功能安全合规性#
如果您正在为受监管的产品线评估 UI 软件,最重要的是理解每个方案实际能让您构建什么。
Qt Safe Renderer 已通过认证,但其功能范围较窄:它合成预渲染的图像,主要用于安全关键的指示灯和警告标识,并不是一个完整的 UI 库。
LVGL Safe 目标达到 ASIL-B 和 SIL-2 合规,并提供完整的交互式 UI 库。这意味着完整的控件支持、动态数据绑定、输入处理和布局功能——构建真正产品界面所需的一切,而不仅仅是在屏幕上叠加警告图标。
对于大多数受监管的产品,核心问题不在于哪个方案在纸面上拥有最高的认证等级,而在于哪个方案能在可认证的边界内真正构建出您产品所需的 UI,并提供您认证程序所要求的源代码访问。
LVGL Safe 的工作原理:架构与集成#
如果您使用过 LVGL Open,这些概念会很熟悉——不过 API 更加简洁,从底层就为安全而设计。以下是各个关键部分如何协同工作。
运行时模型#
- 显示屏通过显式的分辨率、颜色格式和步幅设置进行初始化
- 所有控件和显示对象均为静态分配的结构体,无
malloc,无堆 - 在主循环中通过单次渲染调用将当前屏幕渲染到帧缓冲区
- 没有隐藏的事件循环,没有后台状态,运行什么完全由您定义
控件与输入系统#
- 控件(标签、按钮、矩形)通过显式坐标直接初始化在屏幕上
- 多种控件支持正常、聚焦、按下、选中和禁用等状态
- 自定义渲染回调函数可在不脱离安全执行模型的前提下添加动态视觉逻辑
- 为交互式控件分配事件回调函数
工具链与编辑器集成#
- 可在 LVGL Pro 的 XML 编辑器中可视化创建 UI 布局,工作流设计支持生成设备端代码以供部署
- 由于运行时不涉及文件系统操作,字体和图片在构建时通过编辑器内置的转换器转换为 C 数组
- XML 编辑器和代码生成工具位于认证运行时边界之外,仅在开发阶段使用
- 与操作系统无关:支持裸机、RTOS 或 Linux 环境,目前正在积极推进面向安全认证 RTOS 环境的集成工作
LVGL Pro 编辑器和代码生成工具仅在开发阶段使用,完全位于认证运行时边界之外,不会影响您的认证范围。
当前状态与未来计划#
LVGL Safe 目前处于早期测试阶段,计划于 2026 年第二季度末正式发布。其范围经过精心界定:目标是构建一个最小化、正确且可认证的 UI 基础,而非一个功能齐全的通用库。目前 LVGL Safe 的功能已经完备,团队正在持续编写文档,以便产品团队更顺利地完成认证。
正在构建受监管产品的团队如果希望评估适配性、验证认证要求或参与路线图讨论,建议现在就联系我们,无需等到正式发布。
