DE202015104887U1 - Multifunction terminal with soft key arrangement for safety-relevant operation - Google Patents
Multifunction terminal with soft key arrangement for safety-relevant operation Download PDFInfo
- Publication number
- DE202015104887U1 DE202015104887U1 DE202015104887.4U DE202015104887U DE202015104887U1 DE 202015104887 U1 DE202015104887 U1 DE 202015104887U1 DE 202015104887 U DE202015104887 U DE 202015104887U DE 202015104887 U1 DE202015104887 U1 DE 202015104887U1
- Authority
- DE
- Germany
- Prior art keywords
- key
- multifunction terminal
- test unit
- unit
- terminal according
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 claims abstract description 86
- 230000006870 function Effects 0.000 claims description 21
- 239000012528 membrane Substances 0.000 claims description 8
- 238000003825 pressing Methods 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 230000000737 periodic effect Effects 0.000 claims description 2
- 238000007689 inspection Methods 0.000 abstract 1
- 238000012010 media fill test Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000000034 method Methods 0.000 description 5
- 230000001419 dependent effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 101000880160 Streptomyces rochei Subtilisin inhibitor-like protein 2 Proteins 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 101000879673 Streptomyces coelicolor Subtilisin inhibitor-like protein 3 Proteins 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000000994 depressogenic effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003137 locomotive effect Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229920000728 polyester Polymers 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/02—Input arrangements using manually operated switches, e.g. using keyboards or dials
- G06F3/0227—Cooperation and interconnection of the input arrangement with other functional units of a computer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/16—Constructional details or arrangements
- G06F1/1613—Constructional details or arrangements for portable computers
- G06F1/1633—Constructional details or arrangements of portable computers not specific to the type of enclosures covered by groups G06F1/1615 - G06F1/1626
- G06F1/1662—Details related to the integrated keyboard
Abstract
Multifunktionsterminal (20; 30) zur sicheren Bedienung umfassend: eine Anzeigevorrichtung mit einer Rechnereinheit (25; 35) zur Erzeugung von Pixelgrafik und einem Bildschirm (22; 32) zu deren Darstellung; eine Bilddatenleitung (26; 36) von der Rechnereinheit zum Bildschirm; eine Softkey-Tastenanordnung (23; 33) mit mehreren Tasten (24; 34) außerhalb des Bildschirms zur Erfassung von Eingaben, wobei die Funktion einer Taste jeweils mit Änderung der Bilddarstellung in einem der Taste zugeordneten Bereich (27; 37) dynamisch durch die Rechnereinheit angepasst werden kann; dadurch gekennzeichnet, dass; eine von der Rechnereinheit unabhängige Prüfeinheit (28; 38) vorgesehen ist und zum Erfassen von Bilddaten mit der Bilddatenleitung (26; 36) verbunden, sowie zur Erfassung von Tastenbetätigungen unmittelbar oder mittelbar, z.B. über die Rechnereinheit, mit der Tastenanordnung (23; 33) verbunden ist, wobei die Prüfeinheit bei Tastenbetätigung eine entsprechende Tastenkennung empfängt oder ermittelt; in der Prüfeinheit eine erste Abbildung vordefiniert ist, welche für jede Tastenkennung einen Bereich (27; 37) der Bilddarstellung gemäß Tastenzuordnung fest zuweist; die Prüfeinheit (28; 38) bei Tastenbetätigung einen Prüfcode erzeugt für zumindest einen Teil der Bilddaten des Bereichs, welcher der Tastenkennung der betätigten Taste (24; 34) gemäß der ersten Abbildung entspricht; und dass das Multifunktionsterminal (20; 30) und/oder ein übergeordneter Sicherheitsrechner (40) anhand des Prüfcodes einen Eingabewert bestimmt und/oder überprüft.A multifunction terminal (20; 30) for secure operation comprising: a display device having a computer unit (25; 35) for generating pixel graphics and a screen (22; 32) for displaying them; an image data line (26; 36) from the computer unit to the screen; a key softkey arrangement (23; 33) having a plurality of keys (24; 34) external to the input capture screen, wherein the function of a key is changed dynamically by the computing unit as the portion of the key (27; 37) changes in image representation can be adjusted; characterized in that; an inspection unit (28, 38) independent of the computer unit is provided and connected to the image data line (26, 36) for acquiring image data, and for detecting key actuations directly or indirectly, e.g. via the computer unit, to which the button arrangement (23; 33) is connected, the check unit, when the button is pressed, receiving or detecting a corresponding button identification; in the test unit, a first image is predefined, which assigns a range (27, 37) of the image representation according to key assignment for each key identifier; the check unit (28; 38) generates a check code on key operation for at least part of the image data of the area corresponding to the key ID of the operated key (24; 34) according to the first map; and that the multifunction terminal (20; 30) and / or a higher-level security computer (40) determines and / or checks an input value on the basis of the check code.
Description
Die Erfindung betrifft allgemein die Eingabe bzw. Bedienung an einem Multifunktionsterminal (nachfolgend kurz: MFT) mit einem rechnergestützten Anzeigegerät. Die Erfindung betrifft insbesondere eine Vorrichtung zur sicherheitsrelevanten Bedienung bzw. Eingabe an einem kombinierten Anzeige- und Eingabegerät, nämlich einem MFT mit Softkey-Tastenanordnung und einem Anzeigegerät zur Erzeugung von Pixelgrafik. Als Anzeigegerät kommt dabei jedes pixelbasierte Display, aber insbesondere ein TFT-Panel in Betracht.The invention relates generally to the input or operation of a multifunction terminal (hereafter: MFT) with a computer-aided display device. In particular, the invention relates to a device for safety-relevant operation or input on a combined display and input device, namely an MFT with soft key arrangement and a display device for generating pixel graphics. In this case, any pixel-based display, but in particular a TFT panel, is considered a display device.
Bei Verwendung kombinierter Anzeige- und Eingabeeinheiten sollte sichergestellt sein, dass die als eingegeben erfasste Information genau derjenigen entspricht, die der Bediener über die Eingabe bewusst aus- bzw. angewählt hat.When combined display and input units are used, it should be ensured that the information entered as input exactly matches that which the operator deliberately selected or dialed via the input.
Hierzu ist aus dem europäischen Patent
Im Anwendungsgebiet liegen insbesondere Anwendungen, in denen die Sicherheit im Sinne von Gefahren- bzw. Betriebssicherheit (Engl. safety) bestimmter Bedienungen bzw. Eingaben entscheidend ist, beispielsweise im Führerstand eines Fahrzeugs, z.B. Eisenbahn-Triebfahrzeugs, oder am Steuerpult für den Betrieb einer Anlage, z.B. eines Reaktors. Das Anwendungsgebiet der Erfindung ist jedoch nicht auf fest eingebaute MFTs beschränkt, sondern umfasst auch tragbare Kleingeräte, z.B. zur Fernsteuerung von Maschinen oder Anlagen. Tablett-PCs werden beispielsweise inzwischen zur Steuerung von Container-Kränen in Häfen verwendet. Ferner kann die Erfindung auf im Bereich kritischer Zugriffs- bzw. Autorisierungssicherheit (Engl. security), insbesondere von autorisierungsbedürftigen Datenverarbeitungsanlagen und Vorrichtungen, z.B. Geldautomaten, Anwendung finden.In the field of application are in particular applications in which the safety in the sense of safety or operational safety (Engl. Safety) of certain operations or inputs is crucial, for example in the cab of a vehicle, e.g. Railway locomotive, or at the control console for the operation of a plant, e.g. a reactor. However, the field of application of the invention is not limited to fixed MFTs but also includes small portable devices, e.g. for remote control of machines or plants. For example, tablet PCs are now used to control container cranes in ports. Furthermore, the invention may be applied in the field of critical security, in particular of data processing equipment and devices requiring authorization, e.g. ATMs, find application.
Bereits die reine Darstellung von Information ist fehleranfällig. So können z. B. Fehler in jeder einzelnen Komponente der die Darstellung generierenden Rechnereinheit auftreten, z. B. durch einen defekten Mikroprozessor, im Grafikprozessor, in den einzelnen Speicherbausteinen, in der Spannungsversorgung oder auch im Betriebssystem sowie in bei der Softwareherstellung verwendeten Bibliotheken. Eine deutliche Verbesserung wird mit dem Verfahren zur Darstellung einer sicherheitsrelevanten Information gemäß
Werden zusätzlich zur reinen Darstellung sicherheitsrelevanter Informationen auch sicherheitsrelevante Eingaben an einem kombinierten Anzeige- und Eingabegerät, wie bspw. einem Touchscreen vorgenommen, kommen offensichtlich weitere Fehlerquellen hinzu. Quellen potenzieller Fehler stellen grundsätzlich alle zur Erfassung und Verarbeitung der Eingabe benutzten Hardware und Software-Komponenten dar.If, in addition to the mere presentation of security-relevant information, security-relevant inputs are also made to a combined display and input device, such as a touchscreen, obviously further error sources are added. Basically, sources of potential errors represent all hardware and software components used to capture and process the input.
Erschwerend kommt bei MFTs bestimmungsgemäß hinzu, dass die Funktion der Bedienelemente bzw. Tasten nicht fest vorgegeben ist. Die Funktion soll durch Änderung des zugewiesenen Bereiches bei der Programmierung nutzerdefinierbar sein und in aller Regel während der Anwendung auch dynamisch bzw. kontextabhängig veränderbar sein.A further complicating factor with MFTs is that the function of the controls or buttons is not fixed. The function should be user-definable by changing the assigned area during programming and, as a rule, be dynamically or context-dependent changeable during the application.
Damit einhergehende sicherheitskritische Fehlermodi betreffend die Dateneingabe (data entry) bzw. Betätigung sind insbesondere:
- a) das MFT ordnet dem Bedienelement fälschlicherweise einen anderen als den richtigen Informationsgehalt zu;
- b) das betätigte Bedienelement wird vom MFT nicht als betätigt erfasst (z.B. bei Notaus kritisch); und
- c) eine Betätigung eines Bedienelements wird willkürlich bzw. zufällig ausgelöst, ohne dass eine Eingabe bzw. Bedienung durch den bedienenden Nutzer tatsächlich stattgefunden hat.
- a) the MFT erroneously assigns the control element a content other than the correct one;
- b) the operated control element is not detected as actuated by the MFT (eg critical in the event of an emergency stop); and
- c) an actuation of a control element is arbitrarily or randomly triggered without an input or operation has actually taken place by the user operating.
Insbesondere hinsichtlich des erstgenannten Falls bringt die Erfindung aus dem europäischen Patent
Eine Aufgabe der vorliegenden Erfindung ist es mithin, eine Weiterentwicklung zu bieten für solche Fälle, in denen ein Touchscreen gerade nicht gewünscht wird, z.B. aus Platzgründen, wegen unsauberer Umgebung oder relativ kleiner Anzeige. Dies kann beispielsweise bei Industriemaschinen, öffentlichen Geräten, Messgeräten, oder dgl. aber auch bei Bedienpulten und Fahrzeug-Führerständen der Fall sein. Die Erfindung betrifft ebenfalls Fälle, in denen ein Touchscreen zwar vorhanden ist, aber bestimmte Eingaben nicht an diesem erfolgen sollen, beispielsweise, um den zweiten und/oder dritten der o.g. Fehlerfälle b) und c) zu vermeiden, für welche Touchscreens aufgrund ihrer Komplexität und der zugrunde liegenden Technologie anfälliger sind.An object of the present invention is therefore to provide a further development for those cases in which a touch screen is not desired, for example due to lack of space, due to unclean environment or relatively small display. This can be the case, for example, in industrial machines, public devices, measuring instruments, or the like, but also in control panels and vehicle driver's cabs. The invention also relates to cases in which a touch screen is present, but certain inputs should not be made on this, for example, to avoid the second and / or third of the above error cases b) and c), for which Touchscreens are more vulnerable due to their complexity and the underlying technology.
Das hierzu durch die Erfindung vorgeschlagene Multifunktionsterminal (MFT) zur sicherheitsrelevanten Bedienung umfasst neben der Anzeigevorrichtung mit Rechnereinheit und Bildschirm für Pixelgrafik eine Softkey-Tastenanordnung mit mehreren physischen Tasten außerhalb des Bildschirms zur Erfassung unterschiedlicher Eingaben durch einen Bediener. Dabei kann die Funktion der Tasten jeweils mit Änderung der Darstellung in einem der Taste zugeordneten Bereich dynamisch angepasst werden. Vorliegend wird unter Softkey-Tastenanordnung eine Anordnung mit einzelnen tatsächlichen Tasten verstanden, wobei Schaltflächen als virtuelle Tasten an einem Touchscreen davon nicht umfasst sind.The purpose proposed by the invention multifunction terminal (MFT) for safety-relevant operation includes next to the display device with computer unit and screen for pixel graphics a softkey button arrangement with multiple physical buttons outside the screen for detecting different inputs by an operator. In this case, the function of the keys can be dynamically adjusted in each case with a change in the representation in an area assigned to the key. In the present case, a soft key arrangement is understood to mean an arrangement with individual actual keys, wherein buttons are not included as virtual keys on a touch screen thereof.
Erfindungsgemäß wird vorgeschlagen, eine von der Rechnereinheit unabhängige Prüfeinheit vorzusehen und diese einerseits zum Erfassen von Bilddaten mit der Bilddatenleitung zu verbinden sowie andererseits zur Erfassung von Tastenbetätigungen mit der Tastenanordnung zu verbinden. Die Verbindung mit der Softkey-Tastenanordnung kann unmittelbar oder mittelbar, z.B. über die Rechnereinheit, erfolgen.According to the invention, it is proposed to provide a test unit which is independent of the computer unit and to connect the latter, on the one hand, to the image data line for acquiring image data and, on the other hand, to connect the key arrangement to detect key actuations. The connection with the soft key arrangement may be direct or indirect, e.g. via the computer unit.
Die erfindungsgemäße Prüfeinheit empfängt bei Tastenbetätigung eine entsprechende Tastenkennung oder ermittelt diese, wenn z.B. die Tasten einzeln mit der Prüfeinheit verbunden sind. Davon ausgehend erzeugt die Prüfeinheit bei Tastenbetätigung einen Prüfcode für zumindest einen Teil der Bilddaten des Bereichs, welcher der Tastenkennung der betätigten Taste entspricht. Hierzu ist in der Prüfeinheit eine erste Abbildung vordefiniert, welche für jede Tastenkennung einen Bereich der Bilddarstellung gemäß Tastenzuordnung fest zuweist, insbesondere für die gegebene Applikation unveränderbar zuweist.The test unit according to the invention receives or identifies a corresponding key identifier when the key is pressed, e.g. the keys are individually connected to the test unit. Based on this, the test unit generates a check code for at least part of the image data of the area which corresponds to the key code of the actuated key when the keys are pressed. For this purpose, a first image is predefined in the test unit, which assigns a range of image representation according to key assignment for each key identifier, assigns immutable in particular for the given application.
Ausgehend von dieser Gestaltung der Prüfeinheit kann das Gesamtsystem anhand des Prüfcodes einen Eingabewert bestimmen und/oder überprüfen. Dies kann z.B. das Multifunktionsterminal selbst und/oder ein übergeordneter Sicherheitsrechner bewirken.Based on this design of the test unit, the entire system can determine and / or check an input value based on the test code. This can e.g. cause the multifunction terminal itself and / or a higher-level security computer.
Anders als die darstellende Rechnereinheit in herkömmlicher Technik, z.B. als IBM-kompatibler PC, kann die Prüfeinheit mit deutlich geringerem Aufwand als sichere Einheit im Sinne der Sicherheitstechnik ausgeführt werden (z.B. für SIL-2 oder SIL-3 Zertifizierung).Unlike the illustrative computer unit in conventional art, e.g. As an IBM-compatible PC, the test unit can be designed with much less effort as a safe unit in terms of safety technology (for example, for SIL-2 or SIL-3 certification).
Zur erhöhten Redundanz kann vorgesehen sein, dass die Rechnereinheit in herkömmlicher Weise, wie bei vorbekannten MFTs mit Softkey-Tastenanordnung, zunächst die gewünschte Funktion laut erfasster Tastenbetätigung, d.h. den Eingabewert ermittelt. Parallel hierzu kann die Prüfeinheit unabhängig einen redundanten Eingabewert bestimmen und ausgeben oder nur einen Prüfcode ausgeben. Ein Vergleicher, z.B. in einem übergeordneten Sicherheitsrechner, kann dann zwecks sicherheitsgerichteter Reaktion beide Eingabewerte oder Eingabewert aus der Rechnereinheit und Prüfcode aus der Prüfeinheit vergleichen.For increased redundancy, it may be provided that the computer unit in a conventional manner, as in previously known MFTs with soft key arrangement, first the desired function according to key operation detected, i. determines the input value. In parallel, the test unit can independently determine and output a redundant input value or output only one test code. A comparator, e.g. in a higher-level safety computer, it is then possible to compare both input values or input value from the computer unit and test code from the test unit for the purpose of a safety-related reaction.
In einer ersten Ausführungsform erfasst die Prüfeinheit selbst die Eingabewerte. Hierzu kann vorgesehen werden, dass in der Prüfeinheit eine zweite Abbildung vordefiniert ist, welche jedem funktionsgemäß zulässigen Prüfcode den der Darstellung entsprechenden Eingabewert zuordnet. Dabei bestimmt die Prüfeinheit anhand des erzeugten Prüfcodes und der zweiten Abbildung einen Eingabewert. Bei unzulässigem Prüfcode kann die Prüfeinheit eine Fehlermeldung erzeugen, um einen fehlerhaften Betrieb der Rechnereinheit aufzuzeigen. In der ersten Ausführungsform gibt die Prüfeinheit bei Tastenbetätigung und im Falle eines zulässigen Prüfcodes den entsprechenden Eingabewert aus. Dieser kann als einzig bestimmter Eingabewert an die Rechnereinheit der Anzeigevorrichtung ausgegeben werden. Auch ohne Redundanz bietet diese Gestaltung Sicherheitsvorteile, da eine Sicherheitszertifizierung für einen konventionellen, komplexen Panel-PC deutlich aufwendiger ist, als für die Prüfeinheit. Ergänzend oder alternativ kann der Eingabewert aus der Prüfeinheit auch als redundanter Wert im Sinne eines zweiten unabhängigen Kanals an einen unabhängigen Sicherheitsrechner zwecks Überprüfung ausgeben werden. Die Veranlassung der gewünschten Tastenfunktion erfolgt je nachdem allein aufgrund des Eingabewerts aus der Prüfeinheit oder nach dessen Gegenprüfung im Vergleich zum konventionell von der Rechnereinheit ermittelten Eingabewert.In a first embodiment, the test unit itself detects the input values. For this purpose, it can be provided that a second mapping is predefined in the test unit, which assigns each functionally permissible test code to the input value corresponding to the representation. The test unit determines an input value based on the generated test code and the second figure. If the check code is inadmissible, the check unit may generate an error message to indicate a faulty operation of the computer unit. In the first embodiment, the test unit outputs the corresponding input value upon key operation and in case of a valid check code. This can be output as the only specific input value to the computer unit of the display device. Even without redundancy, this design offers security advantages, since a security certification for a conventional, complex Panel PC is much more complex than for the test unit. Additionally or alternatively, the input value from the test unit can also be output as a redundant value in the sense of a second independent channel to an independent safety computer for the purpose of checking. The cause of the desired key function takes place, if necessary, solely on the basis of the input value from the test unit or after its countercheck in comparison to the input value conventionally determined by the computer unit.
In einer zweiten Ausführungsform generiert die Prüfeinheit keine Eingabewerte, sondern generiert nur die Prüfcodes zwecks sicherheitsgerichteter Weiterverarbeitung. Hierzu kann vorgesehen werden, dass die Prüfeinheit den erzeugten Prüfcode ausgibt, z.B. an die Rechnereinheit der Anzeigevorrichtung und/oder an einen unabhängigen Sicherheitsrechner. Die Erzeugung des Prüfcodes kann zwecks Bestimmung eines entsprechenden Eingabewerts und/oder zwecks Überprüfung eines ausgehend von der Tastenanordnung über einen zweiten Kanal, insbesondere über die Rechnereinheit bestimmten Eingabewerts genutzt werden.In a second embodiment, the test unit generates no input values, but only generates the test codes for the purpose of safety-related further processing. For this purpose it can be provided that the test unit outputs the generated test code, e.g. to the computer unit of the display device and / or to an independent security computer. The generation of the check code can be used for the purpose of determining a corresponding input value and / or for checking an input value determined from the key arrangement via a second channel, in particular via the computer unit.
Auch wenn die unsichere Rechnereinheit ohne Redundanz, anhand des Prüfcodes die Tastenfunktion bestimmt, erfolgt eine Verbesserung der Sicherheit, da unzulässige Fälle von der Prüfeinheit abgefangen werden können, z.B. durch eine Verschiebung der zugeordneten Bereiche um eine Tastenposition, oder durch einen Fehler im anzuzeigenden Menükontext. Dies ergibt sich daraus, dass die Prüfeinheit den Prüfcode stets für die tatsächlich zur Anzeige gebrachten Bilddaten generiert.Even if the insecure computer unit determines the key function without redundancy, based on the check code, the security is improved since inadmissible cases can be intercepted by the test unit, for example by shifting the assigned areas by one key position or by an error in the display Context menu. This results from the fact that the test unit always generates the test code for the image data actually displayed.
Wenngleich ein kontinuierliches Erzeugen von Prüfcodes unabhängig von der Tastenbetätigung ebenfalls denkbar ist, wird die Prüfeinheit vorzugsweise nur, wenn eine Tastenbetätigung erfolgt, einen oder mehrere Prüfcodes aus dem zugeordneten Bereich der Bilddaten erzeugen. Hierdurch lässt sich in Verbindung mit bewährter Technik für die Tastenanordnung die Zuverlässigkeit im Hinblick auf die eingangs genannten Fehlerfälle b) und c) deutlich erhöhen.Although continuous generation of check codes independent of the key operation is also conceivable, preferably the check unit will only generate one or more check codes from the associated portion of the image data when a key press occurs. As a result, the reliability with regard to the error cases b) and c) mentioned above can be significantly increased in conjunction with proven technology for the key arrangement.
Demnach kann die Prüfeinheit so ausgeführt sein, dass diese bei bzw. während einer Tastenbetätigung für den Bereich, welcher der Tastenkennung der betätigten Taste entspricht, zu mehreren Bildwiederholzyklen jeweils erneut einen Prüfcode erzeugt und daraus die Anzahl aller erzeugten Prüfcodes bestimmt. So kann zur Erhöhung der Sicherheit nur bei Vorliegen einer hinreichenden und/oder überwiegenden Anzahl eines bestimmten zulässigen Prüfcodes, dieser bestimmte Prüfcode weiterverwendet werden, z.B. zur Bestimmung eines Eingabewerts oder zur Ausgabe des Prüfcodes an einen übergeordneten Sicherheitsrechner.Accordingly, the test unit can be designed so that it respectively during a button operation for the area corresponding to the key code of the operated key, repeatedly generates a test code for several image repetition cycles and determines therefrom the number of all generated test codes. Thus, in order to increase the safety only in the presence of a sufficient and / or predominant number of a certain permissible check code, this particular check code can be reused, e.g. for determining an input value or for outputting the check code to a higher-level security computer.
Insbesondere zum vorstehenden Zweck kann die Prüfeinheit während der Zeitdauer einer Tastenbetätigung in periodischen Abständen jeweils für den Bereich, welcher der Tastenkennung der betätigten Taste entspricht, einen Prüfcode erzeugen, so dass insgesamt bei einer andauernden Tastenbetätigung mehrere Prüfcodes erzeugt werden. Auch dies steigert im Sinne der Redundanz die Systemsicherheit.Specifically, for the above purpose, during the period of a key operation at periodic intervals, the test unit may generate a check code for the area corresponding to the key ID of the operated key, respectively, so that a plurality of check codes are generated at a total of one key operation. This also increases system security in terms of redundancy.
Die vorstehenden Vorteile lassen sich mit geringem Aufwand realisieren, wenn die Softkey-Tastenanordnung einen Controller umfasst, welcher bei jeder Tastenbetätigung mindestens ein Signal erzeugt, insbesondere eine Unterbrechungsanforderung (Engl. interrupt request IRQ), welches die Prüfeinheit unmittelbar oder mittelbar erhält. Dabei kann der Controller jeweils ein Signal erzeugen beim Drücken einer Taste, beim Loslassen einer Taste und/oder zu jedem Taktintervall, während dem eine Taste gedrückt bleibt. Insbesondere im Fall der UND-Verknüpfung der letzten Option mit einem oder beiden der Erfassungsmodi Drücken/Loslassen kann auch eine Bedienung von Bewegungen, z.B. das Verfahren eines Roboterarms oder einer Maschine, realisiert werden.The above advantages can be realized with little effort if the soft key arrangement comprises a controller which generates at least one signal each time the key is pressed, in particular an interrupt request (IRQ), which the test unit receives directly or indirectly. In this case, the controller can each generate a signal when a key is pressed, when a key is released and / or at each clock interval during which a key remains depressed. In particular, in the case of ANDing the last option with one or both of the push / release detection modes, operation of movements, e.g. the method of a robot arm or a machine can be realized.
Eine weitere sicherheitstechnische Verbesserung wird erzielt wenn die Rechnereinheit und die Prüfeinheit zur Realisierung einer sicheren Bediensequenz ausgeführt sind, um eine vordefinierte Abfolge von Bildelementen in dem der Taste zugeordneten Bildbereich und/oder Parameter der Abfolge als Kriterium zu nutzen. Eine solche Bediensequenz kann umfassen:
- – die Rechnereinheit erzeugt ein erstes Bildelement in einem vorbestimmten Bereich;
- – die Prüfeinheit erkennt eine Betätigung der Taste, welche dem vorbestimmten Bereich abbildungsgemäß entspricht und erzeugt einen ersten Prüfcode hierzu;
- – die Rechnereinheit erzeugt ein zweites Bildelement im vorbestimmten Bereich; und
- – die Prüfeinheit erzeugt anschließend, z.B. nach einem vordefinierten Zeitintervall, einen zweiten Prüfcode zu dem vorbestimmten Bereich, welcher bestimmungsgemäß das zweite Bildelement anzeigen soll.
- The computer unit generates a first picture element in a predetermined area;
- - The test unit detects an actuation of the button, which corresponds to the predetermined area according to the image and generates a first check code for this purpose;
- The computer unit generates a second picture element in the predetermined area; and
- - The test unit then generates, for example, after a predefined time interval, a second check code to the predetermined area, which is intended to display the second pixel.
Die vorgeschlagene Bediensequenz kann insbesondere die Sicherheit steigern, wenn das Auslösen einer Tastenfunktion nur bei Erfüllung einer Bedingung erfolgt, welche von den Parametern der Erzeugung des ersten Prüfcodes und des zweiten Prüfcodes abhängt. So kann diese Bedingung mindestens eine oder eine Kombination umfassen aus:
- – Drücken der Taste bei korrekter Anzeige des ersten Bildelements im vorbestimmten Bereich;
- – korrekte Anzeige des ersten Bildelements im vorbestimmten Bereich während einer Zeitdauer, insbesondere der Zeitspanne, in der die Taste gehalten wird;
- – Zeitdauer zwischen Erzeugung des ersten und des zweiten Prüfcodes, wenn die Taste gehalten wird;
- – Zeitdauer der Anzeige des zweiten Bildelements im vorbestimmten Bereich während einer Zeitdauer, insbesondere der Zeitspanne, in der die Taste gehalten wird;
- – Zeitdauer zwischen Drücken und Loslassen der Taste, falls im vorbestimmten Bereich beim Drücken das erste Bildelement und beim Loslassen das zweite Bildelement angezeigt wird; und/oder
- – Loslassen der Taste bei korrekter Anzeige des zweiten Bildelements im vorbestimmten Bereich.
- Pressing the key when the first picture element is correctly displayed in the predetermined area;
- Correct display of the first picture element in the predetermined range during a period of time, in particular the time period in which the button is held;
- The time between generation of the first and second check codes when the key is held;
- - Duration of the display of the second pixel in the predetermined range during a period of time, in particular the period in which the key is held;
- The time between pressing and releasing the key if the first pixel is displayed in the predetermined area when pressed and the second pixel is displayed when released; and or
- - Release the button with correct display of the second pixel in the predetermined range.
Durch die vorgeschlagenen Kriterien kann eine für den Benutzer intuitive Wechselwirkung bzw. Haptik nachgebildet werden, indem z.B. ein Button nach Betätigung als eingedrückt, umrandet, oder in der Farbe verändert angezeigt wird und die Prüfeinheit gleichsam die gewünschte bzw. ordnungsgemäß richtige Haptik als weiteres Sicherheitskriterium voraussetzt. Mögliche Diskrepanzen werden als Fehlerfall von der Prüfeinheit erkannt und sind so auch für den Benutzer erkennbar. Es kann alternativ auch vorgesehen sein, dass die veränderte Darstellung, d.h. der Unterschied zwischen erstem und zweitem Bildelement der Sequenz für den Benutzer nicht wahrnehmbar ist. Bei prinzipgemäß hinreichender Hamming-Distanz werden auch bei optisch nicht wahrnehmbaren Unterschieden (z.B. geringfügiger Variation oder Modulation in der Hintergrundfarbe) unterscheidbare Prüfcodes generiert.The proposed criteria an intuitive interaction or haptics can be modeled for example by a button after pressing as pressed, edged, or displayed in the color changed and the test unit as it presupposes the desired or properly right feel as another safety criterion , Possible discrepancies are recognized as an error case by the test unit and can thus be recognized by the user. Alternatively, it can also be provided that the changed representation, ie the difference between the first and second picture element of the sequence, is imperceptible to the user. In principle, sufficient Hamming distance are also at optical imperceptible differences (eg slight variation or modulation in the background color) generates distinguishable check codes.
In einer zur Vermeidung der Fehlerfälle b) und c) oben besonders zuverlässigen Ausführung wird zur Bedienung ausschließlich die Softkey-Tastenanordnung vorgesehen, d.h. das MFT umfasst insbesondere kein Touchscreen. Bewährt haben sich Tastenanordnungen mit mehreren einseitig oder mehrseitig, d.h. seitlich oberhalb und/oder unterhalb an den Bildschirm angrenzenden Tasten, vorzugsweise in Form entsprechender Tastenreihen entlang der Schmal- bzw. Längsseiten des Bildschirms. Besonders robust hierfür sind Folientasten, insbesondere Kurzhub-Folientasten, z.B. Hubtasten mit Metalldom bzw. Metallschnappscheibe oder Polyesterblase oder dgl., wobei jede Taste einen mechanisch wirkenden Schließer und/oder einen Öffner zum Kurzschließen bzw. Öffnen elektrischer Kontakte aufweist.In an embodiment which is particularly reliable for avoiding errors b) and c) above, only the soft key arrangement is provided for operation, i. In particular, the MFT does not include a touch screen. Key arrangements with several one-sided or multi-sided, i. laterally above and / or below the screen adjacent keys, preferably in the form of corresponding rows of keys along the narrow or long sides of the screen. Particularly robust for this purpose are membrane keys, in particular short-stroke membrane keys, e.g. Lifting buttons with metal dome or Metallschnappscheibe or polyester bubble or the like., Each button has a mechanically-acting normally open and / or a normally closed for shorting or opening electrical contacts.
Die Prüfeinheit kann bei Tastenbetätigung für den gesamten Bildbereich gemäß Tastenzuordnung den bzw. die Prüfcodes generieren, ober aber nur für Pixel eines kritischen Teils aus dem Bereich gemäß Tastenzuordnung, wobei kritisch hier bedeutet ein zur Unterscheidung verschiedener Darstellungen im zugeordneten Bildbereich geeigneter Teilbereich, z.B. in den unterschiedlichen Menükontexten bzw. möglichen Zustandsanzeigen.The test unit can generate the test code (s) for the entire image area according to key assignment, but only for pixels of a critical part from the area according to key assignment, where critical here means a subrange suitable for distinguishing different representations in the assigned image area, e.g. in the different menu contexts or possible status displays.
Zweckmässig ist vorgesehen, dass die erste Abbildung und/oder die zweite Abbildung bijektiv bzw. eineindeutig ist/sind. Die Abbildungen können als Programm-Instruktion, z.B. als mathematische Relation, vorprogrammiert sein, und/oder in einem Speicher, vorzugsweise in Form einer Lookup-Tabelle, abgelegt sein.It is expedient for the first image and / or the second image to be bijective or one-to-one. The mappings may be used as program instructions, e.g. as a mathematical relation, be preprogrammed, and / or stored in a memory, preferably in the form of a look-up table.
In einer robusten und echtzeitfähigen Ausführungsform ist die Prüfeinheit als unabhängiges Modul ausgeführt, mit einem mit der Bilddatenleitung verbundenen FPGA zur Prüfcode-Erzeugung und mit einem mit der Softkey-Tastenanordnung verbundenen Mikrocontroller zur Betriebssteuerung und Erfassung von Tastenkennungen. Ein FPGA ermöglich ein quasi-synchrones Generieren der Prüfcodes, z.B. in Form von Prüfsummen, aus den Bilddaten. Die erste Abbildung und/oder die zweite Abbildung können im Mikrocontroller vorprogrammiert bzw. abgelegt sein. Die Erfindung ist vorteilhaft einsetzbar auf Multifunktionsterminals, bei welchen der Bildschirm ein TFT-Bildschirm ist, vorzugsweise mit nativer Bildauflösung von mindestens 640×480 Pixeln, und die Rechnereinheit ein handelsüblicher bzw. standardmäßiger PC, IPC, oder embedded-PC mit CPU und Grafikprozessor ist, z.B. ein als unsicher zu betrachtender IBM-kompatibler PC.In a robust and real-time capable embodiment, the test unit is implemented as an independent module, with an FPGA connected to the image data line for test code generation and with a microcontroller connected to the soft key arrangement for operation control and detection of key identifications. An FPGA enables quasi-synchronous generation of the check codes, e.g. in the form of checksums, from the image data. The first image and / or the second image may be preprogrammed or stored in the microcontroller. The invention is advantageously applicable to multifunction terminals, in which the screen is a TFT screen, preferably with native image resolution of at least 640 × 480 pixels, and the computer unit is a standard PC, IPC, or embedded PC with CPU and graphics processor , eg an IBM-compatible PC considered unsafe.
Ein erheblicher Vorteil der Erfindung liegt darin, dass die darstellende Rechnereinheit selbst nicht sicher sein muss und auch nachträgliche Software- und/oder Hardwareupdates der Rechnereinheit nicht zum Verlust der Sicherheit bzw. zu einer aufwendigen Neuzertifizierung führen.A significant advantage of the invention is that the performing computer unit itself does not have to be secure and also subsequent software and / or hardware updates of the computer unit do not lead to the loss of security or to a costly recertification.
Das vorgeschlagene MFT eignet sich zur Verwendung unter anderem:
- – im Führerstand für ein Fahrzeug, insbesondere für ein schienengebundenes Triebfahrzeug, zum Bedienen sicherheitsrelevanter Fahrzeug-Funktionen;
- – als Steuervorrichtung, insbesondere im Steuerpult, für eine
- industrielle Maschine oder Anlage, zum Bedienen sicherheitsrelevanter Maschinen- bzw. Anlage-Funktionen;
- – als Endgerät in einem System mit Autorisierungssicherheit, insbesondere für Bankgeschäfte.
- In the driver's cab for a vehicle, in particular for a rail-bound traction vehicle, for operating safety-related vehicle functions;
- - As a control device, in particular in the control panel, for a
- industrial machine or system for operating safety-relevant machine or system functions;
- - As a terminal in a system with authorization security, especially for banking.
Weitere Einzelheiten, Vorteile und Merkmale der Erfindung lassen sich der nachfolgenden Figurenbeschreibung entnehmen, in der ohne Einschränkung des Schutzumfangs zwei bevorzugte Ausführungsbeispiele der erfindungsgemäßen Vorrichtung bzw. des erfindungsgemäßen Verfahrens näher erläutert sind. Hierbei zeigen:Further details, advantages and features of the invention can be taken from the following description of the figures, in which two preferred embodiments of the device according to the invention and of the method according to the invention are explained in more detail without limiting the scope of protection. Hereby show:
In
Bei einem MFT
Die erfindungsgemäßen Ausführungsbeispiele nach
Die Verknüpfung der vordefinierten Zuordnung von Bildbereichen
Wird eine Taste
Die separate Prüfeinheit
Jedem Bildbereich
Durch Betätigen, d.h. Drücken oder Loslassen, einer bestimmten Taste
Ein entscheidender Vorteil dabei ist, dass der so erzeugte durch die Prüfeinheit
Mit der separaten Prüfeinheit
Der Eingabewert kann zur weiteren Sicherheitssteigerung auch direkt von der separaten Prüfeinheit
In beiden Fällen wird aus der tatsächlich im jeweiligen Bildbereich
Sofern die separate Einheit
BezugszeichenlisteLIST OF REFERENCE NUMBERS
Fig. 1
- 1
- Multifunktionsterminal (MFT)
- 2
- TFT-Display
- 3
- Folientastatur
- 4
- Taste
- 20
- Multifunktionsterminal (MFT)
- 22
- TFT-Display
- 23
- Tastatur bzw. Tastenreihe
- 24
- Taste
- 25
- Rechnereinheit
- 26
- Bilddatenleitung
- 27
- Bildbereich („Softkey-Anzeige“ zu Taste)
- 28
- Prüfeinheit
- 29
- Rückkanal
- 40
- Sicherheitsrechner
- 30
- Multifunktionsterminal (MFT)
- 31
- Mikrocontroller
- 32
- TFT-Display
- 33
- Tastatur bzw. Tastenreihe
- 34
- Taste
- 35
- Rechnereinheit
- 36
- Bilddatenleitung
- 37
- Bildbereich („Softkey-Anzeige“ zu Taste)
- 38
- Prüfeinheit
- 39
- Ausgabekanal
- 40
- Sicherheitsrechner
- 1
- Multifunction terminal (MFT)
- 2
- TFT display
- 3
- keypad
- 4
- button
- 20
- Multifunction terminal (MFT)
- 22
- TFT display
- 23
- Keyboard or row of keys
- 24
- button
- 25
- computer unit
- 26
- Image data line
- 27
- Image area ("softkey display" to button)
- 28
- test unit
- 29
- backchannel
- 40
- computer security
- 30
- Multifunction terminal (MFT)
- 31
- microcontroller
- 32
- TFT display
- 33
- Keyboard or row of keys
- 34
- button
- 35
- computer unit
- 36
- Image data line
- 37
- Image area ("softkey display" to button)
- 38
- test unit
- 39
- output channel
- 40
- computer security
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- EP 2551787 B1 [0003, 0009, 0042] EP 2551787 B1 [0003, 0009, 0042]
- WO 2011/003872 A1 [0005, 0042, 0044] WO 2011/003872 A1 [0005, 0042, 0044]
Claims (20)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE202015104887.4U DE202015104887U1 (en) | 2015-09-15 | 2015-09-15 | Multifunction terminal with soft key arrangement for safety-relevant operation |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE202015104887.4U DE202015104887U1 (en) | 2015-09-15 | 2015-09-15 | Multifunction terminal with soft key arrangement for safety-relevant operation |
Publications (1)
Publication Number | Publication Date |
---|---|
DE202015104887U1 true DE202015104887U1 (en) | 2016-10-18 |
Family
ID=57231136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202015104887.4U Active DE202015104887U1 (en) | 2015-09-15 | 2015-09-15 | Multifunction terminal with soft key arrangement for safety-relevant operation |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE202015104887U1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3712770A1 (en) | 2019-03-21 | 2020-09-23 | Deuta-Werke GmbH | Monitoring unit for safety-related graphical user interfaces |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011003872A1 (en) | 2009-07-06 | 2011-01-13 | Deuta-Werke Gmbh | Method for representation of safety-relevant information on a display and apparatus for the application of the method |
EP2551787B1 (en) | 2011-07-25 | 2014-04-02 | Deuta-Werke GmbH | Dispositif et procédé pour une saisie relevant de la sécurité au moyen d'un appareil d'affichage avec saisie tactile |
-
2015
- 2015-09-15 DE DE202015104887.4U patent/DE202015104887U1/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011003872A1 (en) | 2009-07-06 | 2011-01-13 | Deuta-Werke Gmbh | Method for representation of safety-relevant information on a display and apparatus for the application of the method |
EP2551787B1 (en) | 2011-07-25 | 2014-04-02 | Deuta-Werke GmbH | Dispositif et procédé pour une saisie relevant de la sécurité au moyen d'un appareil d'affichage avec saisie tactile |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3712770A1 (en) | 2019-03-21 | 2020-09-23 | Deuta-Werke GmbH | Monitoring unit for safety-related graphical user interfaces |
EP3712769A1 (en) | 2019-03-21 | 2020-09-23 | Deuta-Werke GmbH | Method and monitoring units for security-related graphical user interfaces |
WO2020188123A1 (en) | 2019-03-21 | 2020-09-24 | Deuta-Werke Gmbh | Method and monitoring units for security-relevant graphical user interfaces |
US11656584B2 (en) | 2019-03-21 | 2023-05-23 | Deuta Werke Gmbh | Method and monitoring units for security-relevant graphical user interfaces |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2399174B1 (en) | Method and apparatus for creating an application program for a safety controller | |
EP2422271B1 (en) | Method and apparatus for creating an application program for a safety-related control unit | |
EP2551787B1 (en) | Dispositif et procédé pour une saisie relevant de la sécurité au moyen d'un appareil d'affichage avec saisie tactile | |
EP2367083B1 (en) | Device for creating a program for a memory programmable control device, programming device and method for programming a memory programmable control device | |
EP2273369B2 (en) | Method for presenting safety-relevant information on a display device and device for carrying out the method | |
DE102005054932A1 (en) | Secure data writing device and method for use in process control systems with security measures | |
EP3961317A2 (en) | Method for configuring a modular safety switching device | |
EP2726357B1 (en) | Operator control device | |
WO2010111989A1 (en) | Apparatus, method, and computer program product for implementing a current task list on the graphical user interface of a control computer of a machine tool | |
DE102012207439A1 (en) | Method for displaying safety-critical data by a display unit; display unit | |
DE202015104887U1 (en) | Multifunction terminal with soft key arrangement for safety-relevant operation | |
EP3776206B1 (en) | Method and monitoring units for safety-relevant graphical user interfaces | |
DE10161924A1 (en) | Two-handed operating method for flat display operating unit e.g. touch-screen, by determining if position of average activity area matches position of virtual activity area | |
EP1683016B1 (en) | Secure recording of input values | |
WO2003032141A2 (en) | Method for two-handed operation of a flat display and operating unit, a touch screen, hmi device, automation system and computer program product for implementing said method | |
EP1437642A2 (en) | Apparatus for operating and monitoring with a fast input keyboard | |
EP3343301B1 (en) | Method for programming a safety device | |
DE102022115488A1 (en) | Control system with reliable input | |
EP3629141B1 (en) | Method and device for checking a configuration parameter value | |
DE102019103584A1 (en) | Method for controlling a touch-sensitive display and input device and device for carrying out the method | |
EP2977840A1 (en) | Fail-safe control of a device in the field of industrial automation technology by means of gestures | |
DE102004056246C5 (en) | Display device for an electronic device | |
EP3547180A1 (en) | Optimisation of the security validation for the presentation of security-relevant image data | |
EP4354233A1 (en) | Control system for a technical installation and operating method | |
DE102005036475B3 (en) | Procedure for safe operation and programming of safety-related devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R207 | Utility model specification | ||
R150 | Utility model maintained after payment of first maintenance fee after three years | ||
R151 | Utility model maintained after payment of second maintenance fee after six years | ||
R152 | Utility model maintained after payment of third maintenance fee after eight years |