-
Die
Erfindung betrifft ein Verfahren sowie eine Vorrichtung zur drahtlosen Übertragung
von Signalen zwischen einem mobilen Bedienteil und einem Basisteil
eines sicherheitskritischen Geräts, insbesondere eines
medizinischen Behandlungsgeräts.
-
Ein
derartiges Verfahren und eine derartige Vorrichtung sind in der
DE 10 2004 040 959
A1 beschrieben. Bei sicherheitskritischen Geräten,
insbesondere bei medizinischen Behandlungsgeräten, bei denen
von dem Gerät selbst eine potenzielle Gefährdung
für einen zu behandelnden Patienten ausgeht, muss bei einer
drahtlosen, ferngesteuerten Bedienung des Gerätes eine
Fehlfunktion infolge von Übertragungsfehlern bei den drahtlos übertragenen
Signalen ausgeschlossen werden. Diese so genannte "Erstfehlersicherheit"
wird gemäß der
DE 10 2004 040 059 A1 erreicht, indem ein
zu übertragendes Signal dupliziert und jede Kopie des duplizierten
Eingangssignals auf einen separaten unabhängigen Softwarepfad
geführt und an ein Basisteil drahtlos übermittelt
wird. Im Basisteil werden dann die beiden Kopien auf Konsistenz
getestet. Bei Übereinstimmung der Signale ergeht ein entsprechendes
Ausgangssignal als Steuersignal für das Gerät.
-
Ein
derartiges Verfahren benötigt eine vergleichsweise hohe
Rechenleistung und führt zudem auch zu einer vergleichsweise
hohen Komplexität, die bei Softwareänderungen
oder -ergänzungen berücksichtigt werden muss.
-
Der
Erfindung liegt daher die Aufgabe zugrunde, eine vereinfachte drahtlose
Signalübertragung ohne sicherheitstechnische Einbußen
gegenüber den bekannten Verfahren zu ermöglichen.
-
Die
Aufgabe wird gemäß der Erfindung gelöst
durch ein Verfahren mit den Merkmalen des Anspruchs 1 sowie durch
eine Vorrichtung mit den Merkmalen des Anspruchs 14. Danach ist
vorgesehen, dass die von einem mobilen Bedienteil zu einem festen
Basisteil zu übertragenden Signale in sicherheitsrelevante
Steuersignale und unkritische Kommunikationssignale eingeteilt werden,
und dass lediglich die sicherheitsrelevanten Steuersignale auf Fehlersicherheit,
nämlich Übertragungs- oder Erst-Fehlersicherheit, überprüft
werden. Die unkritischen Kommunikationssignale werden demgegenüber
ohne Sicherheitsprüfung und damit getrennt von den Steuersignalen
zwischen dem Basisteil und dem Bedienteil übertragen.
-
Durch
die Auftrennung in zwei Arten von Signalen und deren getrennte Übertragung
auf eigenen Kanälen, die physikalisch oder logisch voneinander getrennt
sind, ist eine deutliche Vereinfachung erzielt. Die logische Trennung
wird beispielsweise dadurch erreicht, dass die Übertragung
in voneinander abgegrenzten Bereichen eines gemeinsamen Übertragungsprotokolls
spezifiziert ist.
-
Zum
einen wird erreicht, dass der hohe Aufwand für die fehlersichere Übertragung
lediglich im Hinblick auf diejenigen Signale durchgeführt
wird, die tatsächlich sicherheitskritisch sind. Gleichzeitig
wird durch die strikte Trennung dieser beiden Signaltypen auch sichergestellt,
dass keine Vermengung zwischen den Signaltypen erfolgt. Es ist also
sichergestellt, dass alle sicherheitsrelevanten Steuersignale tatsächlich
auch fehlersicher übertragen werden. Durch die klare Trennung
der Signalarten ist zudem eine leichte Änderbarkeit und
Wartbarkeit der zugrunde liegenden Software, beispielsweise Bedien-Software,
ermöglicht. Durch die Trennung dieser unterschiedlichen
Signalarten wird eine Vermengung von sicherheitsrelevanten und nicht
sicherheitskritischen Funktionen vermieden. Dies führt
zu der leichten Handhabung der nicht sicherheitskritischen Funktionen.
Diese Funktionen sind beispielsweise die Menu-Führung oder
Anzeige-Optionen am Bedienteil. Auch können einem Bedienteil
durch diese logische Trennung der Signaltypen ohne weiteres neue
Geräte bekannt gemacht werden, die dann beispielsweise über
eigene Menüs am Bedienteil ansteuerbar sind.
-
Unter
Bedienteil, nachfolgend auch als Mobilteil bezeichnet, wird allgemein
ein Eingabegerät verstanden, welches als so genannte Nutzerschnittstelle
(User Interface) dient, über die der jeweilige Bediener
Steuersignale an das Gerät übermittelt bzw. Signale über
den Zustand des Geräts angezeigt bekommt. Dieses Bedienteil
kann als Bedienpult mit Schalt- und Steuerelementen sowie mit einem
optischen Anzeigeelement oder auch als ein tragbares Handgerät
ausgestaltet sein.
-
Unter
sicherheitsrelevanten Steuersignalen werden hierbei vorzugsweise
derartige Signale verstanden, die eine Verstellbewegung und/oder
Strahlungsparameter des Geräts beeinflussen. Allgemein sind
sicherheitsrelevante derartige Signale, die eine Funktion des Geräts
beeinflussen, die zu einer potenziellen Gefährdung insbesondere
eines Patienten oder auch der grundsätzlichen Betriebsbereitschaft des
Geräts führen kann. So muss beispielsweise sichergestellt
sein, dass über die Steuersignale das Gerät nicht
an eine Position verfahren wird, an der sich beispielsweise bereits
der Patient befindet, oder an dem sich ein anderer Gegenstand befindet.
Auch gelten bestimmte Randbedingungen für Geschwindigkeit,
Beschleunigung, etc. der Verstellbewegungen. Weitere sicherheitsrelevanten
Funktionen, insbesondere bei einem medizinischen Gerät
sind die als Bestrahlungsparameter zusammengefassten Parameter, über
die die Behandlung des Patienten gesteuert wird. Unter Behandlung
wird hierbei jeglicher Eingriff in den Körper des Patienten
mit Hilfe des medizinischen Geräts verstanden. Das medizinische Gerät
ist beispielsweise ein Diagnosegerät, welches zu Diagnosezwecken
den Patienten bestrahlt, wie z. B. ein Röntgengerät,
ein Computertomografiegerät, ein Magnetresonanzgerät,
etc. Alternativ ist das medizinische Gerät beispielsweise
ein Therapiegerät, bei dem über Partikelbestrahlung
eine direkte Tumorbehandlung erfolgt.
-
Unter
Bestrahlungsparameter werden daher beispielsweise Parameter verstanden, über
die die Bestrahlungsintensität, die Bestrahlungsdauer,
die Art der Strahlung, der Fokus der Strahlung, der Abstand der
Strahlquelle vom Patienten, etc. eingestellt werden.
-
Die
sicherheitsrelevanten Signale werden – da sie Steuersignale
für das Gerät sind – vorzugsweise lediglich
unidirektional vom Bedienteil an das Basisteil übermittelt.
Die Überprüfung auf Fehlersicherheit erfolgt also
vorzugsweise lediglich in Richtung vom Bedienteil zum Basisteil.
In einer alternativen Ausgestaltung werden die sicherheitsrelevanten
Signale bidirektional übertragen und überprüft.
-
Die
unkritischen Kommunikationssignale sind vorzugsweise wahlweise Grafiksignale
oder Auswahlsignale. Unter Grafiksignalen werden hierbei derartige
Signale verstanden, über die Anzeigeeinstellungen am Bedienteil
oder auch am medizinischen Gerät verändert werden.
Derartige Anzeigeeinstellungen sind beispielsweise spezielle Benutzeroberflächen
eines Bedienmenus, das Ansteuern von Signalleuchten, etc. Unter
Auswahlsignalen werden derartige Signale verstanden, über
die nicht sicherheitsrelevante Gerätefunktionen angewählt
und ausgewählt werden. Derartige Gerätefunktionen
sind beispielsweise Funktionen im Hinblick auf die Bildaufbereitung,
wie beispielsweise Zoomfaktor, Schärfeeinstellungen, Wahl
der Bildausschnitte, Wahl der Daten, die angezeigt werden, etc. Üblicherweise
wird nämlich während einer medizinischen Behandlung parallel
an einem oder mehreren Monitoren der Fortgang oder das Ergebnis
der aktuellen Behandlung angezeigt. Hierbei ist üblicherweise
ein vielschichtiges Menu abrufbar. Die Ansteuerung der einzelnen Anzeigemonitore,
die Auswahl des jeweiligen Menus, die Auswahl eines bestimmten Berechnungsalgorithmus,
etc. sind hierbei Gerätefunktionen, welche keinen unmittelbaren
Einfluss auf den Patienten haben und somit eine Gefährdung
darstellen.
-
Um
eine sichere und zuverlässige Übertragung der
sicherheitsrelevanten Steuersignale zu gewährleisten, werden
diese gemäß einer zweckdienlichen Ausgestaltung
im Mobilteil mittels eines Prüfcodes codiert und im Basisteil
wieder decodiert. Hierzu wird den Signalen eine so genannte Prüfinformation
oder ein Prüfcode beigefügt, anhand dessen die fehlersichere Übertragung
des jeweiligen Einzelsignals überprüft werden
kann. Jedes Einzelsignal wird hierbei mit einer solchen speziellen
eindeutigen Prüfinformation versehen. Insbesondere wird
hierzu ein so genannter CRC (Cyclic Redundancy Code), bevorzugt
ein 32-Bit-CRC, zugeordnet. Alternativ oder ergänzend werden
zweckdienlicherweise die Steuersignale redundant übertragen,
das heißt von dem jeweiligen zu übertragenden
einzelnen Signal wird eine Kopie angefertigt, übertragen
und dann am Basisteil wieder auf Übereinstimmung mit dem
parallel übertragenen Original überprüft,
wie dies gemäß der
DE 10 2004 040 059 A1 vorgesehen
ist.
-
Gemäß einer
zweckdienlichen Weiterbildung ist im Bedienteil und/oder im Basisteil,
vorzugsweise in beiden Teilen, eine Steuereinheit vorgesehen, mit deren
Hilfe die Unterscheidung in sicherheitsrelevante Steuersignale und
unkritische Kommunikationssignale erfolgt. In der jeweiligen Steuereinheit
werden daher einerseits auf Seiten des Bedienteils und andererseits
auf Seiten des Basisteils die Signale voneinander getrennt verarbeitet
und für die Übertragung vorbereitet.
-
Die
Unterscheidung in sicherheitsrelevante Steuersignale und unkritische
Kommunikationssignale wird hierbei aus sicherheitstechnischen Überlegungen
heraus zweckdienlicherweise hardwaretechnisch realisiert, insbesondere
indem die sicherheitsrelevanten Steuersignale über eine
definierte Kontaktbelegung (Pinbelegung) von Anschlusskontakten an
der jeweiligen Steuereinheit bei dieser eingehen. Signale, die an
diesen definierten Anschlusskontakten anliegen, werden automatisch
als sicherheitsrelevante Steuersignale identifiziert. Hierzu erfolgt
eine 1:1-Verdrahtung zwischen Bedienelementen, wie beispielsweise
Steuerknöpfen, Tastern und Schaltern, und der Steuereinheit
des Bedienteils. Es erfolgt also keine softwaretechnische Aufbereitung
der Steuersignale. Die einzelnen Bedienelemente für die Ausübung
der Steuersignale sind daher mit einem jeweiligen ihnen zugeordneten
Eingangspin der Steuereinheit verbunden. Vorzugsweise ist jedem
Bedienelement zumindest einer der Eingangspins zugeordnet.
-
Im
Unterschied hierzu ist vorgesehen, dass die sicherheitsunkritischen
Kommunikationssignale vorzugsweise über einen Datenbus,
also eine einzige Datenleitung für unterschiedliche Signale, übermittelt werden.
-
Gemäß einer
bevorzugten Weiterbildung umfasst die Steuereinheit ein Sicherheitsmodul
zur Bearbeitung der sicherheitskritischen Steuersignale sowie ein
weiteres Modul zur Bearbeitung der unkritischen Kommunikationssignale.
Durch diese logische oder auch hardwaremäßige
Unterteilung der Steuereinheit ist die Trennung der unterschiedlichen Signalarten
konsequent weitergeführt. Dies erlaubt beispielsweise ein
einfaches Konfigurieren, Ändern oder Warten der Software
des weiteren Moduls für die unkritischen Kommunikationssignale.
Hierbei sind keinerlei Wechselwirkungen mit der Bearbeitung der
sicherheitskritischen Steuersignale zu befürchten. Insgesamt
lassen sich daher auf einfache Weise Anpassungen vornehmen. Das
weitere Modul ist insbesondere als so genannter Controller für
die Grafikgeräte, für die Benutzerschnittstelle
oder auch für die nicht sicherheitsrelevanten Gerätefunktionen
ausgebildet. Insbesondere ist dieses weitere Modul auf Seiten des
Bedienteils als Grafikcontroller für ein Anzeigeelement
ausgebildet. Auf Seiten des Basisteils ist es als Controller (UI-Controller)
für das so genannte User-Interface ausgebildet, über
das die Funktionalität des User-Interface, also des mobilen
Bedienteils, eingestellt, programmiert und verändert werden kann.
Derartige Einstellungen betreffen beispielsweise die grafischen
Einstellungen oder auch die Einstellungen, welche Art von Geräten
vom Bedienteil aus ansteuerbar sind, etc. Von diesem UI-Controller nicht
beeinflusst sind hingegen alle sicherheitskritischen Funktio nen,
wie beispielsweise Steuersignale für Verstellbewegungen,
etc. Dieses als UI-Controller ausgebildete weitere Modul wird auch
als Bedienmodul bezeichnet, und übernimmt allgemein die
Steuerung der Funktionalität des Mobilteils.
-
Zweckdienlicherweise
sind sowohl im Basisteil als auch im Bedienteil eine Steuereinheit
mit einem Sicherheitsmodul vorgesehen, wobei die beiden Sicherheitsmodule
die Übertragung der Signale steuern. Das heißt, über
die Sicherheitsmodule er folgt der Austausch und die Kommunikation
sowohl im Hinblick auf die sicherheitskritischen Steuersignale als
auch im Hinblick auf die unkritischen Kommunikationssignale. Im
Sicherheitsmodul des Bedienteils erfolgt hierbei die Codierung und
im Sicherheitsmodul des Basisteils die Decodierung der sicherheitsrelevanten
Steuersignale.
-
Auf
Geräteseite erfolgt die tatsächliche Ansteuerung
des Geräts über das Basisteil. Zweckdienlicherweise
erfolgt hierbei die sicherheitskritische Kommunikation mit einer
Systemsteuerung des Geräts über das Sicherheitsmodul.
Das Sicherheitsmodul übermittelt also die sicherheitskritischen
Steuersignale, wohingegen der Austausch von Kommunikationssignalen
mit dem Gerät über das Bedienmodul erfolgt. Auch
hier ist wiederum zweckdienlicherweise vorgesehen, dass die sicherheitskritischen
Steuersignale über eine 1:1-Verdrahtung zwischen dem Sicherheitsmodul
des Basisteils und der Systemsteuerung erfolgen, wohingegen die
Kommunikationssignale bevorzugt über einen Datenbus ausgetauscht werden.
-
Ein
Ausführungsbeispiel der Erfindung wird im Folgenden anhand
der Figur näher erläutert. Diese zeigt in einer
stark vereinfachten Blockbilddarstellung eine Vorrichtung, die für
eine drahtlose Übertragung von Signalen zwischen einem
mobilen Bedienteil und einem Basisteil zur Ansteuerung eines sicherheitskritischen
Gerätes, insbesondere eines medizinischen Behandlungsgerätes,
ausgebildet ist.
-
Die
Vorrichtung umfasst demnach ein Mobilteil 2, ein Basisteil 4 sowie
eine Systemsteuerung 6. Diese drei Komponenten bilden Bestandteile
eines hier nicht näher dargestellten sicherheitsrelevanten Geräts.
Das Mobilteil 2 ist als eigenständiges und frei bewegliches,
mit einem eigenen Gehäuse versehenes Teil ausgebildet,
welches beispielsweise tragbar oder beliebig verfahrbar im Raum
angeordnet ist. Das Basisteil 4 ist vorzugsweise fest mit
einer Hauptkomponente des Gerätes verbunden, in der auch
die Systemsteuerung integriert ist. Das sicherheitskritische Gerät
ist insbesondere ein medizinisches Behandlungsgerät.
-
Das
Mobilteil 2 und das Basisteil 4 sind zur drahtlosen
Kommunikation miteinander ausgebildet und weisen hierzu eine entsprechende
drahtlose Kommunikationsschnittstelle 8 auf, die beispielsweise
nach dem Bluetooth-Standard aufgebaut ist.
-
Das
Mobilteil 2 weist eine erste Steuereinheit 10A auf,
welches ein erstes Sicherheitsmodul 12A sowie ein zweites,
weiteres Modul umfasst, welches nachfolgend als Grafik-Controller 14A bezeichnet wird.
In ähnlicher Weise umfasst auch das Basisteil 4 eine
zweite Steuereinheit 10B mit einem zweiten Sicherheitsmodul 12B und
einem zweiten weiteren Modul, welches nachfolgend als Bedienmodul 14B bezeichnet
wird. Alternativ kann das Bedienmodul 14B auch als UI-Controller
(User Interface-Controller) bezeichnet werden.
-
Das
Mobilteil 2 umfasst weiterhin eine Anzeige 16,
beispielsweise einen Bildschirm. Schließlich sind auf Seiten
des Mobilteils 2 Bedienelemente 18A, B vorgesehen, über
die eine Bedienperson Eingaben tätigen kann, über
die das medizinische Gerät gesteuert wird. Über
die Anzeige 16 erhält der Bediener zugleich Informationen
insbesondere über den Zustand des Geräts und es
werden ihm unterschiedliche Menüs zur Auswahl angezeigt.
-
Bei
den Bedienelementen 18A, B ist von besonderer Bedeutung,
dass diese im Hinblick auf ihre Funktion unterschieden wer den. Die
Elemente 18A dienen nämlich ausschließlich
zur Eingabe von unkritischen Kommunikationssignalen K, wohingegen
die Bedienelemente 18B ausschließlich zur Eingabe
von sicherheitsrelevanten Steuersignalen S dienen. Während
die ersten Bedienelemente 18A beliebiger Natur sein können
und beispielsweise auch ein Touch Screen oder andere software-unterstützte
Bedienelemente vorgesehen sind, sind die zweiten Bedienelemente 18B unmittelbar
hardwaretechnisch, also über eine direkte Verdrahtung,
mit dem ersten Sicherheitsmodul 12A verbunden. Lediglich
beispielhaft illustriert sind hier in der Figur einzelne Kontaktgins 20 als
Anschlusskontakte dargestellt. Es erfolgt also eine 1:1-Pinbelegung
zwischen einem jeweiligen zweiten Bedienelement 18B und
einem Kontaktpin 20 der ersten Steuereinheit 10A.
-
Die
Steuersignale S werden von den zweiten Bedienelementen 18B an
eine erste Rechnereinheit (Mikroprozessor) 22A des ersten
Sicherheitsmoduls 12A übermittelt. Parallel hierzu
werden die Kommunikationssignale K vom ersten Bedienelement 18A der
Rechnereinheit 22 übermittelt. Alternativ hierzu besteht
die Möglichkeit, dass die Kommunikationssignale K von den
ersten Bedienelementen 18A über den Grafik-Controller 14A an
die Rechnereinheit 22 übermittelt werden.
-
Wie
sofort zu erkennen ist, erfolgt daher eine getrennte Zuführung
der Signale K, S zu der Rechnereinheit 22, in der sie auch
getrennt voneinander verarbeitet werden. Die Kommunikationssignale
K werden ohne weitere sicherheitsrelevante Aufbereitung an die Kommunikationsschnittstelle 8 zur Übermittlung
an das Basisteil 4 weitergeleitet. In dieser Kommunikationsschnittstelle 8 werden
sie dann für die Übertragung aufbereitet und übermittelt.
-
Die
sicherheitsrelevanten Steuersignale S hingegen werden in der Rechnereinheit
22 aufbereitet,
und zwar insbesondere in der Art und Weise, wie sie in der
DE 10 2004 040 059
A1 beschrieben ist. Insoweit wird auf diese Anmeldung Bezug
genommen. Insbesondere erfolgt hierbei eine Duplizierung eines je weiligen
Steuersignals S. Das heißt, jedes eingehende Steuersignal
S wird dupliziert, so dass es redundant vorliegt. Es besteht hierbei
die Möglichkeit, eine Kopie des duplizierten Steuersignals
S zu invertieren. Anschließend werden das Original und
die Kopie des jeweiligen einzelnen Steuersignals S mit einer Prüfinformation,
nämlich einem so genannten CRC (Cyclic Redundancy Code)
versehen und in dieser Form an die Kommunikationsschnittstelle
8 zur Aufbereitung
und Übertragung weitergeleitet.
-
Die
Signale K, S werden auf Seiten des Basisteils 4 von der
dortigen Kommunikationsschnittstelle 8 empfangen und an
eine dortige in dem zweiten Sicherheitsmodul 12B befindliche
zweite Rechnereinheit 22B zur weiteren Verarbeitung weitergeleitet.
Diese Rechnereinheit 22B unterscheidet zwischen den Kommunikationssignalen
K und den Steuersignalen S. Während die Kommunikationssignale
K im Wesentlichen ohne spezielle Verarbeitung weitergeleitet werden,
erfolgt in der Rechnereinheit 22B die Decodierung der sicherheitsrelevanten
Steuersignale S. Hierbei erfolgt zunächst eine Überprüfung
der Prüfinformation, ob also die angekommenen Datensignale
plausibel sind. Anschließend werden die redundant übermittelten
Informationen des jeweiligen einzelnen Steuersignals S gegebenenfalls
nach Invertierung miteinander auf Konsistenz verglichen. Sofern
hier eine fehlersichere Übertragung identifiziert wird,
werden die Steuersignale S an ein Signalausgangsmodul 26 übermittelt, über
das dann die Steuersignale S an die Systemsteuerung 6 des
medizinischen Gerätes weitergeleitet werden.
-
In
gleicher Weise wie die zweiten sicherheitskritischen Bedienelemente 18B über
eine 1:1-Pinbelegung mit der ersten Steuereinheit 10A verbunden
sind, ist auch die Systemsteuerung 6 bezüglich
der Steuersignale S mit dem zweiten Steuermodul 10B über
entsprechende Kontaktgins 20 mittels einer 1:1-Pinbelegung
und einer Verdrahtung verbunden.
-
Die
Kommunikationssignale K werden von der Rechnereinheit 22B an
das Bedienmodul 14B übermittelt, in dem diese
dann aufbereitet und an die Systemsteuerung 6 weitergeleitet
werden. Der Datenaustausch der Kommunikationssignale K zwischen
dem Bedienmodul 14B und der Systemsteuerung 6 erfolgt
hierbei vorzugsweise über ein Busmodul 28. Zur Übertragung
ist hier ein Datenbus, beispielsweise der CAN-Bus, vorgesehen.
-
Im
Bedienmodul 14B ist die Verwaltung und Ansteuerung der
einzelnen Funktionen des Mobilteils 2 hinterlegt. Das heißt,
die Funktionalität des Mobilteils 2 wird über
dieses Bedienmodul 14B bestimmt. Unter Funktionalität
wird hierbei verstanden, welche technischen Geräte vom
Mobilteil 2 ansteuerbar sind oder auch welche Funktionen
eines einzelnen technischen Geräts vom Mobilteil 2 ansteuerbar sind.
Beispielsweise besteht die Möglichkeit, über das
Mobilteil 2 einen Zugriff auf spezielle Daten oder spezielle
Menustrukturen oder auch auf spezielle Gerätekomponenten
des medizinischen Geräts einzurichten, zu unterdrücken
oder auch nutzerabhängig zuzulassen. So können
beispielsweise am medizinischen Gerät mehrere Monitore
vorgesehen sein. Über das Bedienmodul 14B wird
nunmehr die Funktionalität des Mobilteils 2 insoweit
eingerichtet, als dass beispielsweise das Umschalten zwischen den unterschiedlichen
Monitoren erlaubt ist. Nicht umfasst von dem Bedienmodul 14B ist
die Beeinflussung der Funktionalität der sicherheitskritischen zweiten
Bedienelemente 18B, da über diese die sicherheitskritischen
Steuersignale S abgegeben werden.
-
Weiterhin
ist das Bedienmodul 14B zur Konfiguration des Mobilteils 2 ausgebildet.
Hierzu wird insbesondere eine Download-Funktionalität bereitgestellt,
so dass bei Bedarf Konfigurationsdaten beispielsweise von der Systemsteuerung 6 über
das Bedienmodul 14B als Kommunikationssignale K an den Grafikcontroller 14A übermittelt
werden. Derartige Konfigurationsdaten sind beispielsweise Bitmaps, also
Grafikdaten für die Benutzeroberfläche, oder auch
Texte etc.
-
Wie
sich aus der grafischen Darstellung in der Figur sofort erkennen
lässt, ist eine strikte Trennung zwischen den Kommunikationssignalen
K und den Steuersignalen S auf dem gesamten Signalweg zwischen dem
Mobilteil 2 und letztendlich der Systemsteuerung 6 vorgenommen.
Durch diese funktionale Trennung insbesondere auch auf Seiten der Steuereinheiten 10A,
B, die logisch oder auch hardwaretechnisch jeweils ein eigenes Modul
(Grafikmodul 14A bzw. Bedienmodul 14B) für
die Kommunikationssignale K aufweisen, ist eine einfache und problemlose
Einrichtung, Programmierung, Änderung, etc. der gesamten
Kommunikationsebene möglich. Unter Kommunikationsebene
werden hierbei sämtliche Komponenten verstanden, die für
die Funktionalität im Hinblick auf die Kommunikationssignale
K verantwortlich sind, also für die grafische Darstellung (Grafiksignale,
Anzeigeeinstellungen) oder auch für so genannte Auswahlsignale
zur Ansteuerung von nicht sicherheitsrelevanten Gerätefunktionen.
Insgesamt ist dadurch eine einfache Wartung und Behandlung dieser
Kommunikationsebene ermöglicht. Gleichzeitig bleibt die
sicherheitskritische Übertragung der Steuersignale S unbeeinflusst.
-
- 2
- Mobilteil
- 4
- Basisteil
- 6
- Systemsteuerung
- 8
- Kommunikationsschnittstelle
- 10A,
B
- erste,
zweite Steuereinheit
- 12A,
B
- erstes,
zweites Sicherheitsmodul
- 14A
- Grafikcontroller
- 14B
- Bedienmodul
- 16
- Anzeige
- 18A,
B
- erste,
zweite Bedienelemente
- 20
- Kontaktpin
- 22A,
B
- erste,
zweite Rechnereinheit
- 26
- Signalausgangsmodul
- 28
- Busmodul
- K
- Kommunikationssignal
- S
- Steuersignal
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste
der vom Anmelder aufgeführten Dokumente wurde automatisiert
erzeugt und ist ausschließlich zur besseren Information
des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen
Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt
keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- - DE 102004040959
A1 [0002]
- - DE 102004040059 A1 [0002, 0013, 0028]