CH683953A5 - Procedure to improve the signal-related safety of the user interface of a data processing system. - Google Patents

Procedure to improve the signal-related safety of the user interface of a data processing system. Download PDF

Info

Publication number
CH683953A5
CH683953A5 CH1399/92A CH139992A CH683953A5 CH 683953 A5 CH683953 A5 CH 683953A5 CH 1399/92 A CH1399/92 A CH 1399/92A CH 139992 A CH139992 A CH 139992A CH 683953 A5 CH683953 A5 CH 683953A5
Authority
CH
Switzerland
Prior art keywords
information
image
display
image memory
memory
Prior art date
Application number
CH1399/92A
Other languages
German (de)
Inventor
Daniel Pixley
Neville Rowden
Arthur Aepli
Original Assignee
Siemens Integra Verkehrstechni
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Integra Verkehrstechni filed Critical Siemens Integra Verkehrstechni
Priority to CH1399/92A priority Critical patent/CH683953A5/en
Priority to DE19934306470 priority patent/DE4306470C2/en
Priority to AT57893A priority patent/AT402909B/en
Publication of CH683953A5 publication Critical patent/CH683953A5/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1616Error detection by comparing the output signals of redundant hardware where the redundant component is an I/O device or an adapter therefor
    • G06F11/162Displays
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/06Vehicle-on-line indication; Monitoring locking and release of the route
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L25/00Recording or indicating positions or identities of vehicles or vehicle trains or setting of track apparatus
    • B61L25/06Indicating or recording the setting of track apparatus, e.g. of points, of signals

Description

1 1

CH 683 953 A5 CH 683 953 A5

2 2nd

Beschreibung description

Die vorliegende Erfindung betrifft ein Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage gemäss dem Oberbegriff des Patentanspruchs 1. The present invention relates to a method for ensuring the signal security of the user interface of a data processing system according to the preamble of claim 1.

In den heute eingesetzten Anzeigen für die signaltechnisch sichere Darstellung des Prozessabbilds von Eisenbahnanlagen werden die Farbsichtgeräte zweikanalig von zwei verschiedenen Rechnern angesteuert, um für den Prozesszustand eine Anzeige mit signaltechnischer Sicherheit zu gewährleisten. Hierbei wird speziell für diesen Zweck entwickelte Hard- und Software verwendet. Häufig wird ein spezieller Bildschirm-Controller verwendet. Dieser beinhaltet zwei Bildspeicher, welche je von einem separaten Rechner beschickt werden. Die Anzeige wird im Sekundentakt zwischen den beiden Bildspeichern umgeschaltet. Dadurch entsteht auf der Anzeige ein Blinken im Sekundenrhythmus, falls die beiden Bildspeicher nicht den gleichen Inhalt haben. In the displays used today for the signal-safe representation of the process image of railroad systems, the color viewers are controlled via two channels by two different computers in order to guarantee a display with signal-technical security for the process status. Hardware and software specially developed for this purpose are used. A special screen controller is often used. This contains two image memories, each of which is loaded from a separate computer. The display is switched between the two image memories every second. This causes the display to flash every second if the two image memories do not have the same content.

Solchermassen realisierte Anzeigen weisen zwar eine dauernde signaltechnische Sicherheit auf. Es handelt sich hierbei jedoch um Spezialentwicklun-gen. Dadurch wird die Venwendung von normierten grafischen Oberflächen mit einer vollgrafischen Anzeige verunmöglicht. Displays realized in this way have permanent signal security. However, these are special developments. This makes it impossible to use standardized graphic interfaces with a fully graphic display.

Für die Realisierung normierter grafischer Oberflächen auf vollgrafischen Bildschirmen wird heute häufig die X-Window-Technik eingesetzt. Die Anzeige erfolgt hierbei durch ein X-Terminal oder eine Datenverarbeitungsanlage mit entsprechender Funktionalität. Bei einem solchen X-Terminal als Anzeige lässt sich jedoch das bewährte Konzept nicht mehr in der bisherigen Form realisieren. Es stellen sich folgende Probleme: X-Window technology is often used today for the realization of standardized graphic surfaces on fully graphic screens. The display takes place via an X terminal or a data processing system with the appropriate functionality. With such an X terminal as a display, however, the proven concept can no longer be implemented in the previous form. The following problems arise:

Die Hard- und Software im X-Terminal weist eine gewisse Komplexität auf. Sie kann nicht als fehlerfrei im Sinne von signaltechnischer Sicherheit gewertet werden. Die Ausführung nur mit einem Prozessor im Terminal und die Ansteuerung des Terminals von 2 Rechnern erreicht daher nicht die gleiche Wirkung wie bei den bekannten Systemen, weil damit die signaltechnische Sicherheit nur bis zum Eingang des X-Terminals gewährleistet wird. Eine Verdoppelung des X-Terminal-Prozessors wäre technisch schwierig zu realisieren. Insbesondere aber stellt sich das Problem, dass hierbei wieder eine nicht genormte Speziallösung entwickelt werden müsste. Dies wäre aufgrund der steigenden Komplexität moderner Technologie sehr aufwendig. Bei grafischen Oberflächen erfolgt die Bedienung nicht nur über die Tastatur, sondern auch über ein Zeigegerät. Die Position des Zeigegeräts wird auf dem Bildschirm durch einen Zeiger dargestellt. Bei jeder Bewegung des Zeigegeräts muss die Position des Zeigers auf dem Bildschirm sofort nachgeführt werden. Bei einem zyklischen Umschalten der Anzeige zwischen zwei Kanälen müssten die beiden Kanäle auf sehr aufwendige Art synchronisiert werden, damit der Zeiger bei den regelmässigen Umschaltun-gen auch während einer Bewegung des Zeigegeräts keine die Bedienung störenden Sprünge vollführt. The hardware and software in the X terminal is somewhat complex. It cannot be assessed as error-free in the sense of signal safety. The execution with only one processor in the terminal and the control of the terminal from 2 computers therefore does not have the same effect as with the known systems, because the signaling security is only guaranteed up to the entrance of the X terminal. It would be technically difficult to duplicate the X terminal processor. In particular, however, there is the problem that a non-standardized special solution would have to be developed again. This would be very expensive due to the increasing complexity of modern technology. With graphical interfaces, operation is not only via the keyboard, but also via a pointing device. The position of the pointing device is represented on the screen by a pointer. With each movement of the pointing device, the position of the pointer on the screen must be updated immediately. In the event of a cyclical switching of the display between two channels, the two channels would have to be synchronized in a very complex manner so that the pointer does not make jumps that interfere with the operation during the regular switching even when the pointing device is moving.

Es ist daher Zweck der vorliegenden Erfindung, ein Verfahren der eingangs genannten Art zu schaffen, das flexibler als das bekannte System ist. It is therefore the purpose of the present invention to provide a method of the type mentioned at the outset, which is more flexible than the known system.

Diese Aufgabe wird mit Hilfe eines Verfahrens mit den im kennzeichnenden Teil des Anspruchs 1 angegebenen Merkmalen gelöst. This object is achieved with the aid of a method having the features specified in the characterizing part of claim 1.

Ein solches Verfahren erlaubt die Anwendung von grafischen Oberflächen auf handelsüblicher Hardware als Benutzerschnittstelle, was eine vollgrafische Anzeige und Bedienung als Ersatz für die heutigen, zweikanalig angesteuerten Farbsichtgeräte ermöglicht. Dies ermöglicht den Einsatz von Benutzerschnittstellen, welche dem aktuellen Stand der Technik entsprechen, auch in Anlagen mit signaltechnischen Sicherheitsanforderungen. Such a method allows the use of graphical interfaces on commercially available hardware as a user interface, which enables a fully graphical display and operation as a replacement for today's two-channel color vision devices. This enables the use of user interfaces that correspond to the current state of the art, even in systems with signaling safety requirements.

Weitere vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben. Further advantageous embodiments of the invention are specified in the dependent claims.

Die Erfindung wird nun beispielsweise anhand einer Zeichnung näher beschrieben. Es zeigt: The invention will now be described, for example, with reference to a drawing. It shows:

Fig. 1 eine schematische Darstellung zur Erläuterung der Überprüfung des Elementzustands durch den zweiten Rechner gemäss einer ersten Variante des erfindungsgemässen Verfahrens, und 1 shows a schematic illustration to explain the checking of the element status by the second computer according to a first variant of the method according to the invention, and

Fig. 2 eine schematische Darstellung zur Erläuterung der Anzeigesicherung durch Rücklesen des Bildes gemäss einer weiteren Variante des erfindungsgemässen Verfahrens. Fig. 2 is a schematic representation to explain the display security by reading back the image according to a further variant of the inventive method.

Gemäss einer ersten Variante des Verfahrens nach der vorliegenden Erfindung wird die signaltechnische Sicherheit durch einen Bildaufbau durch einen ersten Rechner 1 (Fig. 1) und eine Überprüfung des Elementszustands durch einen zweiten Rechner 2 gewährleistet. Der erste Rechner 1 bekommt eine externe Information ii, aus der er in einem ersten Verfahrensschritt (a) das anzuzeigende Bild B aufbaut, das an ein X-Terminal 3 ausgegeben wird. Das angezeigte Bild B ist im Grundzustand nicht sicher. Der zweite Rechner 2 bekommt eine externe Information Ì2, aus der er in einem zweiten Verfahrensschritt (b) ein Prozessabbild für die Sicherheitsprüfung bildet. Die Verfahrensschritte (a) und (b) können simultan durchgeführt werden. In einem dritten Verfahrensschritt (c) verarbeitet der Rechner 1 Befehle 4, die von einer Maus oder der Tastatur eingeleitet werden. According to a first variant of the method according to the present invention, the signal security is ensured by an image structure by a first computer 1 (FIG. 1) and a check of the element status by a second computer 2. The first computer 1 receives external information ii from which, in a first method step (a), it builds the image B to be displayed, which is output to an X terminal 3. The displayed image B is not safe in the basic state. The second computer 2 receives external information Ì2, from which it forms a process image for the security check in a second method step (b). Process steps (a) and (b) can be carried out simultaneously. In a third method step (c), the computer 1 processes commands 4 which are initiated by a mouse or the keyboard.

In einem vierten Verfahrensschritt (d) überprüft der Rechner 2 den Zustand aller Elemente, die einen Einfluss auf die Zulässigkeit eines kritischen Befehls haben könnten, mit seinem eigenen Prozessabbild Z. Für alle Elemente, die einen Zustand einnehmen, der zu einer gefährlichen Handlung des Fahrdienstleiters führen könnte, generiert der Rechner 2 eine Rückfrage R in Textform und verlangt eine Quittierung Q. Der Befehl F, der an das Stellwerk übertragen wird, besteht bei kritischen Bedienungen aus zwei Teilbefehlen F1 und F2. Die zwei Teilbefehle F1 und F2 werden von beiden Rechnern 1 bzw. 2 nur abgesetzt, wenn der Fahrdienstleiter die Rückfragen R vom Rechner 2 positiv quittiert (Q). Bei nichtkritischen Bedienungen genügt ein Teilbefehl, das heisst, F kann dann gleich F1 oder F2 sein. Die Quittierung Q kann über die X- In a fourth method step (d), the computer 2 checks the state of all elements that could have an influence on the admissibility of a critical command with its own process image Z. For all elements that assume a state that leads to a dangerous act by the dispatcher could lead, the computer 2 generates a query R in text form and requires an acknowledgment Q. The command F, which is transmitted to the signal box, consists of two partial commands F1 and F2 for critical operations. The two partial commands F1 and F2 are only issued by both computers 1 and 2 if the dispatcher acknowledges the queries R from computer 2 positively (Q). For non-critical operations, a partial command is sufficient, which means that F can then be equal to F1 or F2. The acknowledgment Q can be

5 5

10 10th

15 15

20 20th

25 25th

30 30th

35 35

40 40

45 45

50 50

55 55

60 60

65 65

2 2nd

3 3rd

CH 683 953 A5 CH 683 953 A5

4 4th

Terminal-Tastatur und/oder Zeigegerät (Maus) oder über eine separate, direkt am Rechner 2 angeschlossene Kommandofreigabe-Taste erfolgen. Terminal keyboard and / or pointing device (mouse) or via a separate command release button connected directly to the computer 2.

Beispiel example

Eine Einfahrt kann wegen einer Steliwerkstörung nicht gestellt werden. Wird nun das Hilfssignal verwendet, so muss sich der Fahrdienstleiter auf gewisse Informationen auf der Anzeige verlassen können. A driveway cannot be entered due to a disturbance in the stilt. If the auxiliary signal is now used, the dispatcher must be able to rely on certain information on the display.

Hilfssignalfahrten müssten mit Start- und Ziel-An-gabe eingestellt werden. So ist es dem Rechner 2 möglich, festzustellen, dass der Zug z.B. über eine falsch gestellte Weiche oder eine belegte Isolierung fahren soll. Rechner 2 fragt auch in diesem Fall zurück und verlangt eine Quittierung. Solche Hilfssignale entsprechen im wesentlichen den in anderen Systemen verwendeten sogenannten Ersatzsignalen. Auxiliary signal drives would have to be set with the start and destination information. It is thus possible for the computer 2 to determine that the train e.g. should drive over an incorrectly set switch or a used insulation. In this case too, computer 2 asks and requests an acknowledgment. Such auxiliary signals essentially correspond to the so-called substitute signals used in other systems.

Dieses Verfahren könnte die Sicherheit generell verbessern und evtl. auch mit einer in die Benützer-führung des Leitsystems integrierten Verwendung von Checklisten kombiniert werden. Für sich alleine eingesetzt stellt sich bei diesem Verfahren das grundsätzliche Problem, dass das System immer darüber informiert sein muss, wenn der Fahrdienstleiter eine Entscheidung gestützt auf die Anzeige trifft, welche bei fehlerhafter Anzeige eine Gefährdung bewirken kann, weil keine Überprüfung durch die Stellwerklogik möglich ist. This procedure could generally improve security and possibly also be combined with the use of checklists integrated in the user guidance of the control system. Used on its own, the basic problem with this method is that the system must always be informed when the dispatcher makes a decision based on the display, which can result in a hazard if the display is incorrect, because the signaling logic cannot be checked .

In weiterer Ausgestaltung dieses Verfahrens wird die Sicherheit durch ein Rücklesen des Bildes zyklisch oder in vorbestimmten Zeitpunkten gewährleistet. Ein erster Rechner 1 (Fig. 2) bekommt eine externe Information ii, aus der er in einem ersten Verfahrensschritt (a) das anzuzeigende Bild B aufbaut, das an ein X-Terminal 3 ausgegeben wird. Ein zweiter Rechner 2 bekommt ebenfalls eine externe Information Ì2, aus der er in einem zweiten Verfahrensschritt (b) das entsprechende Prozessabbild Z aufbaut. In einem dritten Verfahrensschritt (c) fragt der Rechner 2 zyklisch und zusätzlich in bestimmten Situationen, z.B. bei einer Änderung der entsprechenden Prozessinformationen im Prozessabbild des zweiten Rechners das Bild im X-Terminal ab, indem im Rechner 2 verglichen wird, ob die Informationen im Bild B mit dem Prozessabbild Z übereinstimmen, wobei bei korrekter Anzeige ein Meldezeichen M angezeigt wird. Eine Änderung der entsprechenden Prozessinformationen kann beispielsweise durch eine lokale Bedienung einer fernbedienbaren Station stattfinden. In a further embodiment of this method, security is ensured by reading the image back cyclically or at predetermined times. A first computer 1 (FIG. 2) receives external information ii from which, in a first method step (a), it builds up the image B to be displayed, which is output to an X terminal 3. A second computer 2 also receives external information Ì2, from which it builds up the corresponding process image Z in a second method step (b). In a third method step (c), the computer 2 asks cyclically and additionally in certain situations, e.g. when the corresponding process information in the process image of the second computer changes, the image in the X terminal is compared by comparing in computer 2 whether the information in image B matches the process image Z, a message symbol M being displayed when the display is correct. The corresponding process information can be changed, for example, by local operation of a remote-controlled station.

Bei dieser Variante sind folgende Einschränkungen zu beachten: The following restrictions apply to this variant:

Das Abfragen vollgrafischer Bilder belastet die Datenverarbeitungsanlage stark und kann daher abhängig von der Anzahl der Arbeitsplätze nicht beliebig durchgeführt werden. Querying fully graphic images places a heavy load on the data processing system and can therefore not be carried out arbitrarily depending on the number of workstations.

Je nach Ausstattung des X-Terminals wird das Bild direkt aus dem Bildspeicher oder aus einem dem Bildspeicher vorgelagerten Speicher zurückgelesen. Das Verhalten muss entsprechend berücksichtigt werden. Depending on the configuration of the X terminal, the image is read back directly from the image memory or from a memory upstream of the image memory. The behavior must be taken into account accordingly.

Das Zurücklesen des Fensterinhaltes aus dem Reading back the window contents from the

Bildspeicher stellt dann gewisse Probleme für den Bildvergleich, wenn das entsprechende Fenster ganz oder teilweise überdeckt ist. In diesem Fall kann der Bildvergleich nur für die sichtbaren Ausschnitte durchgeführt werden. Image storage poses certain problems for image comparison if the corresponding window is completely or partially covered. In this case, the image comparison can only be carried out for the visible sections.

Im Hinblick auf die praktische Ausführung des Verfahrens zur Gewährleistung der logischen Zwei-kanaligkeit auf einem Bedien- und Anzeigesystem ohne diversitäre Hard- und Software kann noch bemerkt werden, dass die Informationen über die beiden logischen Kanäle auf einem Anzeigesystem un-terschiedich dargestellt werden können, z.B. über einen logischen Kanal grafisch und über den zweiten logischen Kanal in Textform, wobei der Bedie-ner Unterschiede zwischen der Anzeige der Informationen und dem tatsächlichen Prozesszustand durch den Vergleich der über zwei logische Kanäle angezeigten Informationen feststellen und nach entsprechender Prüfung dieser Unterschiede durch Bedienungshandlungen «quittieren» kann. Die Datenverarbeitungsanlage kann aufgrund der eingeleiteten Bedienungshandlung feststellen, welchen Prozesszustand die für die Bedienungshandlung relevanten Prozessinformationen haben sollten, um auf dem zweiten logischen Kanal nur davon abweichende Prozessinformationen anzuzeigen, wobei es auch möglich ist, auf dem zweiten logischen Kanal lediglich die Prozessinformationen betreffend die eingeleitete Bedienungshandlung anzuzeigen. With regard to the practical implementation of the method for ensuring the logical two-channel system on an operating and display system without diverse hardware and software, it can also be noted that the information about the two logical channels can be displayed differently on one display system, e.g. graphically via one logical channel and in text form via the second logical channel, the operator determining differences between the display of the information and the actual process status by comparing the information displayed via two logical channels and, after corresponding examination of these differences, acknowledging them by operating actions »Can. On the basis of the initiated operating action, the data processing system can determine which process status the process information relevant for the operating action should have, in order to display only process information that deviates from it on the second logical channel, wherein it is also possible on the second logical channel to only process information relating to the initiated operating action display.

Im Hinblick auf die praktische Ausführung des Verfahrens für Handlungen ohne Bedienung am Bediensystem werden die benötigten Informationen auf der Anzeige des einen logischen Kanals nicht spontan, sondern nur aufgrund der Änderung einer entsprechenden Prozessinformation im zweiten Prozessabbild geprüft. With regard to the practical implementation of the procedure for actions without operation on the operating system, the information required on the display of the one logical channel is not checked spontaneously, but only on the basis of the change in corresponding process information in the second process image.

Bei einem Prozessabbild, das die logische Abbildung von Zuständen der Anlage darstellt, können die Zustände sowohl Weichenstellungen, Signalbegriffe, Gleisbelegungen oder andere reelle Zustände als auch rein logische interne Zustände, wie Sperrzustände oder Fahrstrassen, sein. In the case of a process image that represents the logical mapping of system states, the states can be points, signal terms, track assignments or other real states as well as purely logical internal states such as blocked states or routes.

Dabei kann die Kontrolle von Informationen auf der Anzeige durchgeführt werden durch gezieltes Rücklesen von Bildspeicherteilen oder generelles Rücklesen des ganzen Bildspeichers und anschliessenden Vergleich der Informationen mit einem zweiten Prozessabbild. The information on the display can be checked by specifically reading back parts of the image memory or generally reading back the entire image memory and then comparing the information with a second process image.

Anstelle des Rücklesens des Bildspeichers ist auch ein Rücklesen eines dem Bildspeicher vorgelagerten Speichers mit Vergleich und anschliessendem Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher möglich unter der Bedingung, dass das korrekte Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher auf der Anzeige kontrolliert werden kann. Instead of reading back the image memory, it is also possible to read back a memory upstream of the image memory with a comparison and then copying the memory upstream of the image memory into the image memory, provided that the correct copying of the memory upstream of the image memory into the image memory can be checked on the display .

Da bei vollgrafischen Anzeigen fehlerhafte Anzeigen von Informationen bestehend aus einer grösseren Anzahl von Bildpunkten, welche der Benutzer nicht als fehlerhaft erkennen kann, sehr unwahrscheinlich sind, ist für die Informationskontrolle beim Rücklesen einer Information nicht notwendig, sämtliche betroffenen Bildpunkte zu berücksichtigen, sondern es genügt eine systematisch oder zufällig gebildete Auswahl davon. Since incorrect displays of information consisting of a larger number of pixels, which the user cannot recognize as incorrect, are very unlikely in the case of fully graphic displays, it is not necessary to take all the pixels concerned into account when checking back information, but one is sufficient systematic or random selection of them.

5 5

10 10th

15 15

20 20th

25 25th

30 30th

35 35

40 40

45 45

50 50

55 55

60 60

65 65

3 3rd

5 5

CH 683 953 A5 CH 683 953 A5

6 6

Aufgrund der verwendeten unterschiedlichen Funktionen, und zwar auch bei Verwendung von Standard-Hardware und Software ohne Anspruch auf signaltechnische Sicherheit, kann für die Siche-rungsmassnahmen bei den über die beiden Kanäle ausgeführten Operationen eine funktionale Soft-warediversität angenommen werden. Due to the different functions used, even when using standard hardware and software without any claim to signal security, a functional software diversity can be assumed for the security measures for the operations carried out via the two channels.

Claims (10)

PatentansprücheClaims 1. Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage über zwei logische Kanäle bei aufgrund der angezeigten Informationen durchgeführten Bedienungshandlungen am Bediensystem oder anderen Handlungen ohne Benutzung des Bediensystems, für deren Auswirkungen eine signaltechnische Sicherung nicht in einer tieferen Ebene vollständig sichergestellt werden kann, dadurch gekennzeichnet, dass um die Anwendung einer nicht notwendigerweise signaltechnisch sicheren Anzeige und den Einsatz von Standard-Hardware und -Software für die Anzeige ohne Anspruch auf signaltechnische Sicherheit zu ermöglichen, neben einem Prozessabbild (B) für die Anzeige ein zweites Prozessabbild (Z) gebraucht wird, derart, dass bei Bedienungen am Bediensystem (Fig. 1) das zweite Prozessabbild (Z) zur Kontrolle, ob der Befehl aufgrund des zweiten Prozessabbildes zulässig ist, verwendet wird, und dass bei Handlungen ohne Benutzung des Bediensystems (Fig. 2) das zweite Prozessabbild verwendet wird, um die aus dem Bildspeicher zurückgelesenen Informationen in vorbestimmten Zeitpunkten zu verifizieren.1.Procedure to ensure the signaling security of the user interface of a data processing system via two logical channels in the case of operator actions performed on the operating system based on the displayed information or other actions without using the operating system, for the effects of which signaling security cannot be completely ensured at a lower level characterized in that, in order to enable the use of a display that is not necessarily signal-technically secure and the use of standard hardware and software for the display without claiming signal-technical security, a second process image (Z) is used in addition to a process image (B) , in such a way that when operating on the operating system (FIG. 1), the second process image (Z) is used to check whether the command is permissible on the basis of the second process image, and in actions without using the operating system (FIG. 2) the second process image is used to verify the information read back from the image memory at predetermined times. 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die vorbestimmten Zeitpunkte zyklisch oder nach einer Änderung der entsprechenden Prozessinformationen im Prozessabbild des zweiten Rechners gewählt werden.2. The method according to claim 1, characterized in that the predetermined times are selected cyclically or after a change in the corresponding process information in the process image of the second computer. 3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Informationen zur Gewährleistung der logischen Zweikanaligkeit auf einem Bedien* und Anzeigesystem ohne diversitäre Hard-und Software über die beiden logischen Kanäle auf einem Anzeigesystem unterschiedlich dargestellt werden.3. The method according to claim 1, characterized in that the information to ensure the logical two-channel on an operating * and display system without diverse hardware and software on the two logical channels are displayed differently on a display system. 4. Verfahren nach einem der Ansprüche 1 oder 3, dadurch gekennzeichnet, dass der Bediener Unterschiede zwischen der Anzeige der Informationen und dem tatsächlichen Prozesszustand durch den Vergleich der über zwei logische Kanäle angezeigten Informationen feststellt und nach entsprechender Prüfung dieser Unterschiede durch Bedienungshandlungen quittiert.4. The method according to any one of claims 1 or 3, characterized in that the operator determines differences between the display of the information and the actual process status by comparing the information displayed via two logical channels and acknowledges these differences by appropriate actions after operator actions. 5. Verfahren nach einem der Ansprüche 1, 3 oder 4, dadurch gekennzeichnet, dass auf dem zweiten logischen Kanal lediglich die Prozessinformationen betreffend eine eingeleitete Bedienungshandlung angezeigt werden.5. The method according to any one of claims 1, 3 or 4, characterized in that only the process information relating to an initiated operation is displayed on the second logical channel. 6. Verfahren nach einem der Ansprüche 1 oder 3 bis 5, dadurch gekennzeichnet, dass die Datenverarbeitungsanlage aufgrund der eingeleiteten Bedienungshandlung feststellt, welchen Prozesszustand die für die Bedienungshandlung relevanten Prozessinformationen haben sollten, und dass auf den zweiten logischen Kanal nur davon abweichende Prozessinformationen angezeigt werden.6. The method according to any one of claims 1 or 3 to 5, characterized in that the data processing system determines on the basis of the initiated operating action, which process state the process information relevant to the operating action should have, and that only process information which differs therefrom is displayed on the second logical channel. 7. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die für Handlungen ohne Bedienung am Bediensystem benötigten Informationen auf der Anzeige des einen logischen Kanals dann gezielt kontrolliert werden, wenn die entsprechende Prozessinformation im zweiten Prozessabbild ändert (Fig. 2).7. The method according to claim 1 or 2, characterized in that the information required for actions without operation on the operating system on the display of the one logical channel is then specifically controlled when the corresponding process information changes in the second process image (FIG. 2). 8. Verfahren nach einem der Ansprüche 1, 2 oder 7, dadurch gekennzeichnet, dass die Kontrolle von Informationen auf der Anzeige durch gezieltes Rücklesen von Bildspeicherteilen oder generelles Rücklesen des ganzen Bildspeichers und anschliessenden Vergleich der Informationen mit einem zweiten Prozessabbild oder durch Rücklesen eines dem Bildspeicher vorgelagerten Speichers mit Vergleich und anschliessendem Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher durchgeführt wird, wobei ein korrektes Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher auf der Anzeige kontrollierbar ist.8. The method according to any one of claims 1, 2 or 7, characterized in that the control of information on the display by targeted reading back of image memory parts or general reading back of the entire image memory and subsequent comparison of the information with a second process image or by reading back one of the image memory upstream memory with comparison and subsequent copying of the memory upstream of the image memory into the image memory is carried out, correct copying of the memory upstream of the image memory into the image memory being controllable on the display. 9. Verfahren nach einem der Ansprüche 1, 2, 7 oder 8, dadurch gekennzeichnet, dass für die Informationskontrolle beim Rücklesen einer Information nur eine systematisch oder zufällig gebildete Auswahl der betroffenen Bildpunkte verwendet wird, weil bei vollgrafischen Anzeigen Informationen aus einer grossen Anzahl von Bildpunkten abgeleitet werden, so dass die verfälschte Anzeige einer Information, welche der Benutzer nicht als fehlerhaft erkennen kann, sehr unwahrscheinlich ist.9. The method according to any one of claims 1, 2, 7 or 8, characterized in that only a systematic or random selection of the pixels concerned is used for the information control when reading back information, because information from a large number of pixels is used in fully graphic displays are derived, so that the falsified display of information that the user cannot recognize as incorrect is very unlikely. 10. Verfahren nach einem der Ansprüche 1, 2, 7, 8 oder 9, dadurch gekennzeichnet, dass für die Si-cherungsmassnahmen bei den über die beiden Kanäle ausgeführten Operationen eine funktionale Softwarediversität aufgrund der verwendeten unterschiedlichen Funktionen angenommen wird, und zwar auch bei Verwendung von Standard-Hardware und -Software ohne Anspruch auf signaltechnische Sicherheit.10. The method according to any one of claims 1, 2, 7, 8 or 9, characterized in that for the security measures in the operations carried out via the two channels, a functional software diversity is assumed on the basis of the different functions used, even when used of standard hardware and software without any claim to signal security. 55 1010th 1515 2020th 2525th 3030th 3535 4040 4545 5050 5555 6060 6565 44th
CH1399/92A 1992-04-30 1992-04-30 Procedure to improve the signal-related safety of the user interface of a data processing system. CH683953A5 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CH1399/92A CH683953A5 (en) 1992-04-30 1992-04-30 Procedure to improve the signal-related safety of the user interface of a data processing system.
DE19934306470 DE4306470C2 (en) 1992-04-30 1993-03-02 Process for ensuring the signal security of the user interface of a data processing system
AT57893A AT402909B (en) 1992-04-30 1993-03-23 METHOD FOR GUARANTEING THE SIGNAL TECHNICAL SECURITY OF THE USER INTERFACE OF A DATA PROCESSING SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CH1399/92A CH683953A5 (en) 1992-04-30 1992-04-30 Procedure to improve the signal-related safety of the user interface of a data processing system.

Publications (1)

Publication Number Publication Date
CH683953A5 true CH683953A5 (en) 1994-06-15

Family

ID=4209520

Family Applications (1)

Application Number Title Priority Date Filing Date
CH1399/92A CH683953A5 (en) 1992-04-30 1992-04-30 Procedure to improve the signal-related safety of the user interface of a data processing system.

Country Status (3)

Country Link
AT (1) AT402909B (en)
CH (1) CH683953A5 (en)
DE (1) DE4306470C2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT413810B (en) * 1997-06-06 2006-06-15 Tiefenbach Gmbh DEVICE FOR CONTROLLING THE VEHICLES IN A TRAINING SYSTEM

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19830926A1 (en) * 1998-07-10 2000-01-13 Alcatel Sa Process for the safe display of the status of a signaling system
GB2348034A (en) * 1999-03-17 2000-09-20 Westinghouse Brake & Signal An interlocking for a railway system
DE10252124B4 (en) * 2002-11-04 2006-11-09 Siemens Ag Device for displaying speed in vehicles
ITTO20030447A1 (en) * 2003-06-13 2004-12-14 Ansaldo Segnalamento Ferroviario Sp A SAFETY REPRESENTATION METHOD USING
FR2875309B1 (en) * 2004-09-15 2006-12-22 Alstom Transport Sa DEVICE AND METHOD FOR CONTROLLING A CONSOLE
DE102012212386A1 (en) * 2012-07-16 2014-01-16 Siemens Aktiengesellschaft Process image of a technical plant
DE102012221714A1 (en) * 2012-11-28 2014-05-28 Siemens Aktiengesellschaft Method for fault disclosure in interlocking computer system with control channel, involves comparing pixel data of display with process data of process image of state information of reference system for display-protection
NO2696690T3 (en) * 2014-01-29 2018-03-03
DE102014218191A1 (en) * 2014-09-11 2016-03-17 Siemens Aktiengesellschaft Method for operating a traffic control system
HRP20220827T1 (en) 2018-04-06 2022-10-14 Thales Management & Services Deutschland Gmbh Train traffic control system and method for safe displaying a state indication of a route and train control system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3019713A1 (en) * 1980-05-23 1982-02-04 Standard Elektrik Lorenz Ag Multi computer process control - has keyboard data input at terminals and display screen with control instructions marked at screen positions
EP0392328A2 (en) * 1989-04-12 1990-10-17 Alcatel SEL Aktiengesellschaft Method of continuosly monitoring signals of a safe information display
EP0428934A2 (en) * 1989-11-20 1991-05-29 Siemens Aktiengesellschaft Method of operating a multi-channel fail-safe computer system and device for implementing the method
EP0443377A2 (en) * 1990-02-21 1991-08-28 Alcatel SEL Aktiengesellschaft Arrangement for the fail-safe displaying, in a reliable manner as regards to signalling techniques, of a signalling picture

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3127363A1 (en) * 1981-07-09 1983-01-27 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Computer-controlled signal box
DE3137450C2 (en) * 1981-09-21 1984-03-22 Siemens AG, 1000 Berlin und 8000 München Safety output circuit for a data processing system
DE3211265C2 (en) * 1982-03-26 1984-06-20 Siemens AG, 1000 Berlin und 8000 München Two-channel fail-safe microcomputer switchgear, especially for railway safety systems
US4831521A (en) * 1983-11-10 1989-05-16 General Signal Corporation Vital processor implemented with non-vital hardware
DE3522418A1 (en) * 1985-06-22 1987-01-02 Standard Elektrik Lorenz Ag DEVICE FOR REPORTING THE OCCUPANCY CONDITION OF TRACK SECTIONS IN THE AREA OF AN ACTUATOR

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3019713A1 (en) * 1980-05-23 1982-02-04 Standard Elektrik Lorenz Ag Multi computer process control - has keyboard data input at terminals and display screen with control instructions marked at screen positions
EP0392328A2 (en) * 1989-04-12 1990-10-17 Alcatel SEL Aktiengesellschaft Method of continuosly monitoring signals of a safe information display
EP0428934A2 (en) * 1989-11-20 1991-05-29 Siemens Aktiengesellschaft Method of operating a multi-channel fail-safe computer system and device for implementing the method
EP0443377A2 (en) * 1990-02-21 1991-08-28 Alcatel SEL Aktiengesellschaft Arrangement for the fail-safe displaying, in a reliable manner as regards to signalling techniques, of a signalling picture

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT413810B (en) * 1997-06-06 2006-06-15 Tiefenbach Gmbh DEVICE FOR CONTROLLING THE VEHICLES IN A TRAINING SYSTEM

Also Published As

Publication number Publication date
DE4306470A1 (en) 1993-11-04
DE4306470C2 (en) 1995-07-06
ATA57893A (en) 1997-02-15
AT402909B (en) 1997-09-25

Similar Documents

Publication Publication Date Title
DE2546202A1 (en) COMPUTER SYSTEM OF SEVERAL INTERCONNECTED AND INTERACTING INDIVIDUAL COMPUTERS AND PROCEDURES FOR OPERATING THE COMPUTER SYSTEM
DE2258917A1 (en) CONTROL DEVICE
DE2219918A1 (en) Programmable control unit
CH683953A5 (en) Procedure to improve the signal-related safety of the user interface of a data processing system.
DE4332143A1 (en) Process for operating a visual display device and devices for carrying out the process
DE3600092A1 (en) SIGNAL PROCESSING CIRCUIT
DE2423260A1 (en) PROCEDURE AND CIRCUIT ARRANGEMENT FOR TESTING DATA PROCESSING SYSTEMS, IN PARTICULAR TELEVISION SYSTEMS WITH PERIPHERAL EQUIPMENT CONNECTED TO A CONTROL CENTER via a BUS SYSTEM
EP0584895B1 (en) Fail-safe displaying method of traffic technical information for a traffic route system
CH653155A5 (en) CIRCUIT ARRANGEMENT FOR ENTERING CONTROL COMMANDS IN A MICROCOMPUTER SYSTEM.
DE2725077A1 (en) MONITORING SYSTEM FOR A DATA PROCESSING SYSTEM
DE2420214A1 (en) I / O SWITCHING WITH FAILURE COMPENSATION
EP0443377A2 (en) Arrangement for the fail-safe displaying, in a reliable manner as regards to signalling techniques, of a signalling picture
EP0970869B1 (en) Method for securely displaying the status of a signalling installation
DE1937259C3 (en) Self-checking fault detection circuit
EP0392328B1 (en) Method of continuosly monitoring signals of a safe information display
EP0141161A2 (en) Circuit arrangement for the detection of static and dynamic errors in circuit subassemblies
EP2941738A1 (en) Method for revealing errors in a signal box computer system, and signal box computer system
DE3019713C2 (en) Operating device for process controls with multi-computer systems that are safe in terms of signal technology
DE2901455C3 (en) Memory access control for random access to a circular memory and method of operating the same
EP3317856B1 (en) Method for checking the accuracy of a representation of image data on a display means and display device
EP2849986B1 (en) Method and assembly for controlling a technical system
EP0645710A2 (en) Method of testing for functionality of a technically signal-unsecure memory for at least in two channels stored information data and arrangement for implementing the method
EP0447635B1 (en) Method for verifying a display apparatus control for freedom of errors in protection related installations and device for carrying out this method
DE3531901C2 (en)
EP3771613A1 (en) Method and device for controlling a rail system

Legal Events

Date Code Title Description
PFA Name/firm changed

Owner name: SIEMENS INTEGRA VERKEHRSTECHNIK AG TRANSFER- SIEME

PCOW Change of address of patent owner(s)

Free format text: SIEMENS SCHWEIZ AG;FREILAGERSTRASSE 40;8047 ZUERICH (CH)

PL Patent ceased