DE60009195T2 - Verfahren und Vorrichtung zur sicheren Anzeige von Graphiken auf einem Sichtgerät - Google Patents

Verfahren und Vorrichtung zur sicheren Anzeige von Graphiken auf einem Sichtgerät Download PDF

Info

Publication number
DE60009195T2
DE60009195T2 DE60009195T DE60009195T DE60009195T2 DE 60009195 T2 DE60009195 T2 DE 60009195T2 DE 60009195 T DE60009195 T DE 60009195T DE 60009195 T DE60009195 T DE 60009195T DE 60009195 T2 DE60009195 T2 DE 60009195T2
Authority
DE
Germany
Prior art keywords
graphic element
display
local memory
comparison
display command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60009195T
Other languages
English (en)
Other versions
DE60009195D1 (de
Inventor
Herve Guennec
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=9544559&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE60009195(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Alcatel SA filed Critical Alcatel SA
Application granted granted Critical
Publication of DE60009195D1 publication Critical patent/DE60009195D1/de
Publication of DE60009195T2 publication Critical patent/DE60009195T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1616Error detection by comparing the output signals of redundant hardware where the redundant component is an I/O device or an adapter therefor
    • G06F11/162Displays
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L25/00Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
    • B61L25/06Indicating or recording the setting of track apparatus, e.g. of points, of signals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1666Error detection or correction of the data by redundancy in hardware where the redundant component is memory or memory area
    • G06F11/167Error detection by comparing the memory output

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Controls And Circuits For Display Device (AREA)
  • Digital Computer Display Output (AREA)
  • Ultra Sonic Daignosis Equipment (AREA)
  • Image Generation (AREA)
  • Processing Or Creating Images (AREA)

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Sicherung der Anzeige von Graphiken auf einem Sichtgerät. Die Erfindung findet insbesondere auf Überwachungssysteme Anwendung, vor allem auf Eisenbahn-Überwachungssysteme.
  • Bei Überwachungssystemen werden im allgemeinen auf einem Bildschirm Graphikelemente angezeigt, die für den Zustand der Objekte eines überwachten Systems repräsentativ sind. Im Fall der Überwachung des Eisenbahnnetzes können diese Elemente zum Beispiel den Zustand einer Weiche oder eines Lichtsignals darstellen. Klassischerweise gibt es für jeden der Zustände ein und desselben dargestellten Objekts verschiedene Graphikelemente. Somit wird es ein Graphikelement geben, das ein Lichtsignal im Zustand "grün" darstellt, ein Graphikelement für den Zustand "rot", eines für den Zustand "orange blinkend" usw.
  • Ziel dieser Anzeige ist es, einen menschlichen Bediener bei der Fällung von Entscheidungen in Echtzeit zu unterstützen, wobei bestimmte dieser Entscheidungen Konsequenzen der Art haben können, dass Menschenleben in Gefahr sein können. Daher ist es erforderlich, sich zu vergewissern, dass die Anzeige auf diesen Bildschirmen exakt mit der Realität übereinstimmt. Hierfür ist es folglich von entscheidender Bedeutung, eventuelle Ausfälle der Übertragungskette zu berücksichtigen, welche die für das Senden eines Anzeigebefehls verantwortliche Steuereinheit mit dem Bildschirm verbindet, auf dem die Anzeige erfolgt.
  • Folglich muss die Anzeige sicher sein; das heißt, man muss die Übereinstimmung der tatsächlichen Anzeige auf einem Bildschirm im Vergleich zu den Anzeigebefehlen kontrollieren.
  • Eine erste Lösung besteht darin, jedes Graphikelement zweimal anzuzeigen. So minimiert man durch Redundanz der Information die Fehlermöglichkeiten. Der Bediener, der sieht, dass zwei verschiedene Graphikelemente angezeigt werden, die jedoch demselben angeforderten Graphikelement entsprechen, wird sofort gewarnt, dass ein Problem im Überwachungssystem aufgetreten ist und dass die angezeigte Information nicht richtig ist. Allerdings ist eine solche Lösung insofern nicht befriedigend, als sie einen Eingriff des Bedieners im Bestätigungsprozess der Information erfordert. Außerdem kann die Redundanz der Information auf dem Bildschirm die Klarheit ihrer Lesbarkeit beeinträchtigen.
  • Eine zweite Lösung wird in einem Artikel unter der Überschrift "Verfahrensgesicherte Meldebildanzeige für den Fdl-Arbeitsplatz bei der Deutsche Bahn AG" veröffentlicht, der 1994 in der deutschen Zeitschrift Signal und Draht erschienen ist. Das vorgestellte Prinzip beruht auf einer Software- und Hardware-Redundanz. Zwei Computer erzeugen nämlich parallel einen virtuellen Anzeigebefehl. Wenn der Vergleich zwischen den beiden Ergebnissen der beiden Befehle korrekt ist, dann wird der reale Befehl von einem der beiden Computer erzeugt.
  • Dieses Verfahren weist zwei bedeutende Nachteile auf:
    • – Einerseits ermöglicht es nicht, die eigentliche Anzeige sicher zu machen (nur die Erzeugung des Anzeigebefehls ist sicher);
    • – Andererseits ist es kostspielig, weil es zwei Computer erfordert.
  • Eine dritte Lösung wird im Europäischen Patent EP 0 443 377 unter dem Titel "Dispositif d'affichage infaillible de diagramme" [Vorrichtung zur fehlersicheren Diagrammanzeige"] vorgestellt. Für jedes anzuzeigende Graphikelement werden zwei Anzeigebefehle erzeugt. Der erste Befehl schreibt in den sogenannten sichtbaren (das heißt, mit dem Sichtgerät verbundenen) Speicherbereich, während der zweite Befehl in den sogenannten unsichtbaren (das heißt, nicht mit dem Sichtgerät verbundenen) Speicherbereich schreibt. Nur der unsichtbare Bereich wird erneut gelesen. Wenn sein Inhalt tatsächlich mit dem erwarteten Ergebnis des Anzeigebefehls übereinstimmt, dann geht man davon aus, dass der Inhalt des sichtbaren Teils korrekt ist.
  • Auch diese Lösung hat den Nachteil, dass sie nur die Zuverlässigkeit der Erzeugung der Anzeigebefehle sichert und nicht die eigentliche Anzeige. Wenn nämlich ein Fehler nur einen Teil des Speichers betrifft (was meistens der Fall ist), bei dem es sich nicht um den erneut gelesenen Teil handelt, dann wird dieser Fehler nicht erkannt.
  • Eine vierte Lösung wird in der deutschen Patentanmeldung DE 3411015 vorgestellt. Hierbei werden die im Bildspeicher erneut gelesenen Daten codiert und anschließend mit einem Referenzcode verglichen.
  • Auch diese Lösung ist unzureichend, denn sie fügt einen neuen Mechanismus (die Codiervorrichtung) hinzu, ohne seine Sicherheit zu gewährleisten. Wenn nämlich ein Fehler gleichzeitig bei den erneut gelesenen Daten und in der Codiervorrichtung (oder im Bezugscode) auftritt, erfolgt keine Erkennung.
  • Überdies erfordert diese Lösung einen periodischen Kontrollmechanismus. Nun ist jedoch bekannt, dass die Mehrzahl der Fehler punktuelle Fehler sind. Wenn T die Zeitperiode der periodischen Kontrollen ist, ist die Wahrscheinlichkeit, dass ein solcher punktueller Fehler erkannt wird, somit 1/T, was in einem System, in dem ein hoher Sicherheitsgrad gefordert ist, äußerst unzureichend wäre.
  • Das Ziel der vorliegenden Erfindung besteht darin, die Übereinstimmung der Anzeige der Graphikelemente auf einem Bildschirm im Vergleich zu den gesendeten Anzeigebefehlen zu überprüfen, ohne dass der Eingriff eines menschlichen Bedieners in den Bestätigungsprozess erforderlich ist und ohne dass Hypothesen bezüglich des Zuverlässigkeitsgrades der verschiedenen Hardware- und Software-Komponenten aufgestellt werden.
  • Darüber hinaus ermöglicht die Erfindung auch, die Erkennung von Doppelfehlern zu gewährleisten.
  • Um dies zu erreichen, beinhaltet die Erfindung ein [Verfahren], das die Übereinstimmung der Anzeige eines Graphikelements auf einem Sichtgerät im Vergleich zu einem Anzeigebefehl überprüft, wobei das Sichtgerät von einem Anzeigecontroller gesteuert wird, der eine Interpretationsvorrichtung, einen lokalen Speicher, einen Bildspeicher, eine Vergleichsvorrichtung und eine Codiervorrichtung aufweist, und wobei dieses Verfahren die folgenden geordneten Schritte aufweist:
    • – Empfang des Anzeigebefehls durch die Interpretationsvorrichtung;
    • – Schreiben eines durch diesen Anzeigebefehl bestimmten anzuzeigenden Graphikelements an einen Ort des lokalen Speichers, der ebenfalls durch den Anzeigebefehl bestimmt ist;
    • – Kopie des anzuzeigenden Graphikelements in den Bildspeicher und Anzeige auf dem Sichtgerät.
  • Das Verfahren gemäß der Erfindung ist dadurch gekennzeichnet, dass es überdies die folgenden späteren und geordneten Schritte aufweist:
    • – Vergleich durch die Vergleichsvorrichtung zwischen einerseits dem Inhalt des Bildspeichers an der dem genannten Ort entsprechenden Adresse und andererseits eines im lokalen Speicher enthaltenen und durch den Anzeigebefehl bestimmten Soll-Graphikelements;
    • – Senden des Ergebnisses des Vergleichs und eines im lokalen Speicher enthaltenen und durch den Anzeigebefehl bestimmten komplementären Graphikelements an die Steuereinheit, wobei das Ergebnis und das komplementäre Graphikelement von der Codiervorrichtung codiert werden;
    • – Ermittlung einer Diagnose durch die Steuereinheit in Abhängigkeit vom codierten Ergebnis für das codierte komplementäre Graphikelement und mindestens einen Bezugswert, der von der Steuereinheit in Abhängigkeit vom Anzeigebefehl bestimmt wird.
  • Das Verfahren gemäß der Erfindung kann außerdem eines oder mehrere der folgenden Merkmale aufweisen:
  • Das Soll-Graphikelement und das komplementäre Graphikelement werden von der Interpretationsvorrichtung beim Empfang des Anzeigebefehls bestimmt und nach Abschluss dieser Bestimmung in den lokalen Speicher geschrieben.
  • Die Menge der möglichen Sollelemente und die Menge der möglichen komplementären Graphikelemente werden zuvor im lokalen Speicher abgelegt.
  • Das komplementäre Graphikelement ist das Graphikelement, das vom Soll-Graphikelement nur durch die kritischste graphische Information abweicht.
  • Die Steuereinheit führt beim Empfang des codierten Ergebnisses und des codierten komplementären Graphikelements die folgenden Schritte aus:
    • – Vergleich zwischen dem codierten Ergebnis und dem codierten komplementären Graphikelement;
    • – Vergleich zwischen dem codierten Ergebnis und einem Bezugswert, der von der Steuereinheit in Abhängigkeit vom Anzeigebefehl bestimmt wird.
  • Gegenstand der Erfindung ist auch ein Anzeigecontroller, welcher die Ausführungsform des beschriebenen Verfahrens ermöglicht; das heißt, ein Anzeigecontroller, der die Überprüfung der Übereinstimmung der Anzeige einer Graphik auf einem Sichtgerät im Vergleich zu einem Anzeigebefehl ermöglicht, der von einer Steuereinheit gesendet wurde, wobei dieser Anzeigecontroller folgendes aufweist:
    • – Eine Interpretationsvorrichtung, die über Vorrichtungen zum Empfangen des Anzeigebefehls und zum Schreiben eines anzuzeigenden Graphikelements verfügt, das durch den Anzeigebefehl in einem lokalen Speicher bestimmt ist;
    • – Eine Vorrichtung zum Kopieren des anzuzeigenden Graphikelements, das im lokalen Speicher abgelegt ist, in einen Bildspeicher, um auf dem Sichtgerät angezeigt zu werden;

    wobei der Anzeigecontroller dadurch gekennzeichnet ist, dass er außerdem folgendes aufweist:
    • – Eine Vergleichsvorrichtung, um das anzuzeigende Graphikelement, das im lokalen Speicher abgelegt ist, mit einem Soll-Graphikelement zu vergleichen, das ebenfalls im lokalen Speicher abgelegt ist;
    • – Eine Codiervorrichtung, um einerseits das aus der Vergleichsvorrichtung hervorgegangene Ergebnis und andererseits ein komplementäres Graphikelement, das im lokalen Speicher enthalten ist, zu codieren;
    • – Eine Vorrichtung, um die Ergebnisse der Codiervorrichtung an die genannte Steuereinheit zu übertragen, die auf diese Weise in der Lage ist, die Übereinstimmung der Anzeige des Graphikelements zu überprüfen.
  • Die vorliegende Erfindung sowie ihre Vorteile werden beim Lesen ihrer Beschreibung unter Bezugnahme auf die im Anhang beigefügten Abbildungen klarer verständlich werden.
  • 1 stellt eine Ausführungsform der Erfindung dar.
  • Die 2a und 2b stellen zwei Graphikelemente dar.
  • Auf 1 sendet die Steuereinheit CU einen Anzeigebefehl DC an einen Anzeigecontroller DU. Dieser Anzeigebefehl wird innerhalb des Anzeigecontrollers von einer Interpretationsvorrichtung I angenommen.
  • Dieser Anzeigebefehl DC kann als Parameter unter anderem den Typ des anzuzeigenden Objekts, einen eventuellen Untertyp und den Zustand dieses Objekts haben. Die Interpretationsvorrichtung I bestimmt daraufhin das anzuzeigende Element Ea ausgehend von den im Anzeigebefehl enthaltenen Parametern und einer Datenbank B, welche Parameter enthält, mit deren Hilfe die Graphikbausteine für jeden Typ und Untertyp von Objekten sowie die mit jedem Zustand verbundenen Besonderheiten erzeugt werden können.
  • Der Typ des Objekts nimmt auf große Klassen Bezug wie, im Fall von Eisenbahn-Überwachungssystemen, beispielsweise Weichen, Lichtsignale usw. Der Untertyp ist zum Beispiel eine bestimmte Art von Weiche oder Lichtsignal. Wie zuvor gesagt, entsprechen ein und demselben Objekt (selber Typ und Untertyp) verschiedene Graphikelemente in Abhängigkeit von den verschiedenen Zuständen, die dieses Objekt annehmen kann.
  • 2 stellt ein Beispiel solcher Graphikelemente dar. Die 2a und 2b stellen dasselbe Objekt dar (selber Typ und Untertyp), jedoch mit zwei verschiedenen Zuständen. Das Lichtsignal von 2a ist zum Beispiel rot: Die mit z bezeichnete Zone ist gestrichelt. Das Lichtsignal von 2b ist zum Beispiel grün, und die mit z bezeichnete Zone ist nicht gestrichelt.
  • Das auf diese Weise bestimmte Graphikelement Ea wird nun in einen lokalen Speicher M geschrieben. Der Inhalt dieses Speichers wird automatisch und auf eine außerhalb des Rahmens dieser Erfindung liegende Weise in den Bildspeicher MV geschrieben und auf dem Sichtgerät V angezeigt. Typischerweise wird dieser automatische Schritt von einer besonderen Software durchgeführt, die allgemein als "Driver" (Treiber) bezeichnet wird und die für die Architektur des Anzeigecontrollers und das Sichtgerät V spezifisch ist.
  • Die einfachste Ausführungsform besteht darin, die Graphikbausteine des Graphikelements in einem Graphikformat zu codieren, das im Bildspeicher MV geschrieben werden kann. Es kann sich zum Beispiel um eine Codierung des Typs Bitmap handeln, bei dem jede elementare Codierungseinheit (zum Beispiel 1 Byte für ein Bild mit 256 Farben) einem Pixel, d. h., einem Bildpunkt, entspricht.
  • Selbstverständlich ist es möglich, die Erfindung auf andere Formattypen auszuweiten, wobei die Anforderung dann darin besteht, dass dieses Format in der Driver-Software enthalten sein oder in das geeignete Format konvertiert werden muss, damit es im Bildspeicher geschrieben werden kann.
  • Der Anzeigebefehl DC kann auch eine Lokalisierungskennung enthalten, welche den Ort in einem Bereich Z1 des lokalen Speichers M bestimmt, in dem das Graphikelement Ea geschrieben werden soll. Es gilt als vereinbart, dass jeder Ort dieses Bereichs Z1 des lokalen Speichers M einem anderen Ort im Bildspeicher MV entspricht und folglich einem anderen Ort auf dem Sichtgerät V.
  • Im Anschluss an dieses Schreiben des Graphikelements Ea im lokalen Speicher M kann eine Interpretationsvorrichtung einen Überprüfungsbefehl CC an eine Vergleichsvorrichtung Comp senden.
  • Beim Empfang dieses Überprüfungsbefehls CC liest die Vergleichsvorrichtung Comp den Inhalt des Bildspeichers MV an der Adresse, die dem durch den Anzeigebefehl DC bestimmten Ort entspricht. Für den Fall, dass kein Fehler aufgetreten ist, ist das Graphikelement Er, das erneut gelesen wird, dasselbe wie das Graphikelement Ea, das von der Interpretationsvorrichtung I in den lokalen Speicher M geschrieben wurde.
  • Sie liest außerdem ein sogenanntes Soll-Element Ec, das im lokalen Speicher M in einem Bereich Z2 enthalten ist, der sich von dem unterscheidet, in den die Graphikelemente Ea von der Interpretationsvorrichtung I geschrieben werden (Bereich Z1). Dieses Soll-Element Ec wird durch den Anzeigebefehl DC bestimmt. Für den Fall, dass kein Fehler aufgetreten ist, ist das Soll-Graphikelement Ec identisch mit dem Graphikelement Ea, das von der Interpretationsvorrichtung I in den lokalen Speicher M geschrieben wurde.
  • Die Vergleichsvorrichtung Comp führt einen bitweisen Vergleich der beiden Graphikelemente Er und Ec durch. Es kann sich zum Beispiel um ein bitweises logisches "UND" handeln. Das aus diesem Komparator hervorgegangene Ergebnis ist folglich ein Graphikelement c, das für den Fall, dass kein Fehler aufgetreten ist, mit dem Graphikelement Er identisch ist.
  • Es ist darauf hinzuweisen, dass die Zeit, nach der das Graphikelement Er im Bildspeicher MV lesbar ist, nicht bestimmt ist. Diese Zeit hängt nämlich einerseits von der Driver-Software und andererseits von den Zeitquanten ab, während derer ein Lesezugriff auf den Bildspeicher bedingt durch eventuelle konkurrierende Zugriffe möglich ist.
  • Infolgedessen kann der Komparator Comp eine durch einen Timeout-Parameter parametrierte Verweilzeit anwenden, nach der das Graphikelement Er gelesen wird. Mit anderen Worten, diese Verweilzeit ermöglicht die Synchronisation zwischen dem Zugriff auf den Bildspeicher und dem Überprüfungsprozess.
  • Das Graphikelement c, das sich aus dem Vergleich ergibt, wird anschließend an einen Codierer Cod gesendet, dessen Ziel es ist, eine Fehlerprüfcodierung mit Hilfe einer Funktion f durchzuführen. Diese Codierung f ist vorzugsweise eine zyklische Redundanzcodierung des Typs CRC (auf Englisch "Cyclic Redundancy Code" oder "Cyclic Redundancy Check").
  • Dieselbe Funktion f wird verwendet, um ein sogenanntes komplementäres Graphikelement
    Figure 00090001
    zu codieren. Dieses komplementäre Graphikelement wird im lokalen Speicher M gelesen, und zwar im selben Bereich Z2 wie dem, wo bereits das Soll-Graphikelement Ec gelesen wurde. In gleicher Weise wie das Soll-Graphikelement Ec ist es durch den Anzeigebefehl DC bestimmt.
  • Nach einer ersten Ausführungsform enthält der Bereich Z2 des lokalen Speichers M die Menge der verschiedenen möglichen Graphikelemente. Die Bestimmung des Soll-Graphikelements Ec oder des komplementären Graphikelements
    Figure 00090002
    erfolgt innerhalb dieser Menge durch die Parameter des Anzeigebefehls DC (Typ, Untertyp, Zustand ...).
  • Nach einer zweiten möglichen Ausführungsform bestimmt die Interpretationsvorrichtung I das komplementäre Graphikelement zur gleichen Zeit, wie sie das anzuzeigende Graphikelement Ea bestimmt, und schreibt diese beiden Elemente in den Bereich Z2 des lokalen Speichers M. In gleicher Weise wie beim Graphikelement Ea wird das komplementäre Graphikelement
    Figure 00090003
    mit Hilfe der Datenbank B bestimmt. Der größeren Klarheit wegen ist darauf hinzuweisen, dass das anzuzeigende Graphikelement zweimal geschrieben wird: einmal in den Bereich Z1 (Ea) und einmal in den Bereich Z2 (Ec). Diese beiden zusätzlichen Schreibvorgänge sind in 1 durch die gestrichelten Pfeile dargestellt.
  • In dieser zweiten Ausführungsform enthält der Bereich Z2 des lokalen Speichers immer nur zwei Graphikelemente (Ec und
    Figure 00090004
    ) und kann somit eine viel geringere Größe haben als im Fall der ersten Ausführungsform.
  • Das komplementäre Graphikelement ist ein Graphikelement, das sich von dem vor ihm angezeigten unterscheidet. Vorzugsweise ist dies ein Graphikelement, das sich von letzterem nur durch die kritischste Graphikinformation unterscheidet, das heißt, typischerweise jener, die dem Zustand des betreffenden Objekts entspricht.
  • Wenn man das Beispiel von 2 nimmt, ist das in 2b dargestellte Graphikelement das komplementäre Element zu dem in 2 dargestellten. Denn der Unterschied besteht nur in der Farbe der Zone z, und dies ist die sensibelste Information, weil gerade sie die meiste semantische Information transportiert.
  • Es ist darauf hinzuweisen, dass für jedes gegebene Graphikelement das komplementäre Graphikelement auf eindeutige Weise bei der Erstellung des Systems bestimmt wird. Diese Entsprechungen sind im Bereich Z2 des lokalen Speichers (Ausführungsform 1) oder in der Datenbank B (Ausführungsform 2) abgelegt.
  • Eine in der Zentraleinheit CU untergebrachte Diagnosevorrichtung D empfängt folglich das aus dem Komparator kommende und durch die Codierfunktion f codierte Graphikelement c sowie das komplementäre Graphikelement
    Figure 00100001
    , das ebenfalls durch diese Codierfunktion f codiert wurde. Typischerweise werden diese beiden Informationen mit Hilfe einer einzigen Nachricht m gesendet.
  • Die Diagnoseeinheit D ist in der Lage, f(c) und f(
    Figure 00100002
    ) sowie f(c) und einen Bezugswert f1 zu vergleichen. Dieser Bezugswert stammt aus einer Tabelle T, welche eine Entsprechung zwischen diesen Bezugswerten und den Parametern herstellt, welche das anzuzeigende Graphikelement bestimmen. Mit anderen Worten, die Zentraleinheit CU ist in der Lage, für jedes Objekt und jeden Zustand den Wert von f(c) zu bestimmen, den sie erwarten muss.
  • Für den Fall, dass sich f(c) vom entsprechenden Bezugswert f1 unterscheidet, oder für den Fall, dass f(
    Figure 00100003
    ) gleich f(c) ist, bedeutet dies, dass ein Fehler im Prozess aufgetreten ist und infolgedessen, dass die auf dem Sichtgerät V angezeigte Information nicht mehr korrekt ist. Daraufhin kann ein Alarm ausgelöst werden.
  • Ergänzend kann ein dritter Vergleich zwischen f(
    Figure 00100004
    ) und einem zweiten, auf dieselbe Weise wie der erste bestimmten Bezugswert f2 implementiert werden. Dieser dritte Vergleich ermöglicht es, die Sicherheit der Übertragungsvorrichtung zu gewährleisten, welche die Steuereinheit CU mit dem Anzeigecontroller DU verbindet.
  • Die nachfolgende Tabelle gibt die verschiedenen möglichen Fälle von Fehlern bei der Verarbeitung eines Anzeigebefehls DC nach dem der Erfindung entsprechenden Verfahren an.
  • Die erste Spalte gibt den Ort des Fehlers an. Die zweite Spalte gibt die verschiedenen Konsequenzen an, die ein an diesem Ort auftretender Fehler haben kann: Zum Beispiel kann ein Fehler im lokalen Speicher M Auswirkungen auf das anzuzeigende Graphikelement Ea und/oder auf das Soll-Graphikelement Ec und/oder auf das komplementäre Graphikelement
    Figure 00110001
    haben. Die dritte Spalte gibt schließlich an, wie der Fehler durch das der Erfindung entsprechende Verfahren erkannt werden kann.
  • Figure 00120001
  • Das der Erfindung entsprechende Verfahren bietet auch die Möglichkeit, Doppelfehler zu erkennen, das heißt, die Fälle, in denen zwei Fehler gleichzeitig auftreten. Die nachfolgende Tabelle zeigt einige dieser Fälle:
  • Figure 00120002

Claims (6)

  1. Verfahren zur Überprüfung der Übereinstimmung der Anzeige eines Graphikelements auf einem Sichtgerät (V) im Vergleich zu einem von einer Steuereinheit (UC) gesendeten Anzeigebefehl, wobei das Sichtgerät von einem Anzeigecontroller (DU) gesteuert wir, der eine Interpretationsvorrichtung (I), einen lokalen Speicher (M), einen Bildspeicher (MV), eine Vergleichsvorrichtung (Comp) und eine Codiervorrichtung (Cod) aufweist, und wobei dieses Verfahren die folgenden geordneten Schritte aufweist: – Empfang des Anzeigebefehls durch die Interpretationsvorrichtung; – Schreiben eines durch diesen Anzeigebefehl (DC) bestimmten anzuzeigenden Graphikelements (Ea) an einen Ort des lokalen Speichers (M), der ebenfalls durch den Anzeigebefehl (DC) bestimmt ist; – Kopie des anzuzeigenden Graphikelements in den Bildspeicher (MV) und Anzeige auf dem Sichtgerät (V); hierbei ist das Verfahren dadurch gekennzeichnet, dass es überdies die folgenden späteren und geordneten Schritte aufweist: – Vergleich durch die Vergleichsvorrichtung (Comp) zwischen einerseits dem Inhalt (Er) des Bildspeichers (MV) an der dem genannten Ort entsprechenden Adresse und andererseits eines im lokalen Speicher (M) enthaltenen und durch den Anzeigebefehl (DC) bestimmten Soll-Graphikelements (Ec); – Senden des Ergebnisses (c) des Vergleichs und eines im lokalen Speicher (M) enthaltenen und durch den Anzeigebefehl (DC) bestimmten komplementären Graphikelements (
    Figure 00130001
    ) an die Steuereinheit (CU), wobei das Ergebnis und das komplementäre Graphikelement von der Codiervorrichtung (Cod) codiert werden; – Feststellung der Übereinstimmung durch die Steuereinheit in Abhängigkeit vom codierten Ergebnis (c) zwischen dem codierten komplementären Graphikelement (
    Figure 00130002
    ) und mindestens einem Bezugswert, der von der Steuereinheit (CU) in Abhängigkeit vom Anzeigebefehl (DC) bestimmt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Soll-Graphikelement (Ec) und das komplementäre Graphikelement (
    Figure 00140001
    ) von der Interpretationsvorrichtung beim Empfang des Anzeigebefehls bestimmt und nach Abschluss dieser Bestimmung in den lokalen Speicher geschrieben werden.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Menge der möglichen Sollelemente (Ec) und die Menge der möglichen komplementären Graphikelemente (
    Figure 00140002
    ) zuvor im lokalen Speicher (M) abgelegt werden.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das komplementäre Graphikelement (
    Figure 00140003
    ) das Graphikelement ist, das vom Soll-Graphikelement (Ec) nur durch die kritischste graphische Information abweicht.
  5. Verfahren nach einem beliebigen der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuereinheit (CU) beim Empfang des codierten Ergebnisses (c) und des codierten komplementären Graphikelements (
    Figure 00140004
    ) die folgenden Schritte ausführt: – Vergleich zwischen dem codierten Ergebnis (c) und dem codierten komplementären Graphikelement (
    Figure 00140005
    ); – Vergleich zwischen dem codierten Ergebnis (c) und einem Bezugswert, der von der Steuereinheit in Abhängigkeit vom Anzeigebefehl (DC) bestimmt wird.
  6. Anzeigecontroller (DU), der die Überprüfung der Übereinstimmung der Anzeige einer Graphik auf einem Sichtgerät (V) im Vergleich zu einem Anzeigebefehl (DC) ermöglicht, der von einer Steuereinheit (UC) gesendet wurde, wobei dieser Anzeigecontroller folgendes aufweist: – Eine Interpretationsvorrichtung (I), die über Vorrichtungen zum Empfangen des Anzeigebefehls (DC) und zum Schreiben eines anzuzeigenden Graphikelements (Ea) verfügt, das durch den Anzeigebefehl in einem lokalen Speicher (M) bestimmt ist; – Eine Vorrichtung zum Kopieren des anzuzeigenden Graphikelements, das im lokalen Speicher abgelegt ist, in einen Bildspeicher (MV), um auf dem Sichtgerät (V) angezeigt zu werden; wobei der Anzeigecontroller dadurch gekennzeichnet ist, dass er außerdem folgendes aufweist: – Eine Vergleichsvorrichtung (Comp), um das anzuzeigende Graphikelement, das im lokalen Speicher abgelegt ist, mit einem Soll-Graphikelement (Ec) zu vergleichen, das ebenfalls im lokalen Speicher abgelegt ist; – Eine Codiervorrichtung, um einerseits das aus der Vergleichsvorrichtung hervorgegangene Ergebnis (c) und andererseits ein komplementäres Graphikelement (
    Figure 00150001
    ), das im lokalen Speicher enthalten ist, zu codieren; – Eine Vorrichtung, um die Ergebnisse der Codiervorrichtung an die genannte Steuereinheit zu übertragen, die auf diese Weise in der Lage ist, die Übereinstimmung der Anzeige des Graphikelements zu überprüfen.
DE60009195T 1999-04-19 2000-04-13 Verfahren und Vorrichtung zur sicheren Anzeige von Graphiken auf einem Sichtgerät Expired - Lifetime DE60009195T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9904872 1999-04-19
FR9904872A FR2792429B1 (fr) 1999-04-19 1999-04-19 Procede d'affichage d'elements graphiques sur un moyen de visualisation

Publications (2)

Publication Number Publication Date
DE60009195D1 DE60009195D1 (de) 2004-04-29
DE60009195T2 true DE60009195T2 (de) 2004-08-12

Family

ID=9544559

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60009195T Expired - Lifetime DE60009195T2 (de) 1999-04-19 2000-04-13 Verfahren und Vorrichtung zur sicheren Anzeige von Graphiken auf einem Sichtgerät

Country Status (4)

Country Link
EP (1) EP1050815B1 (de)
AT (1) ATE262699T1 (de)
DE (1) DE60009195T2 (de)
FR (1) FR2792429B1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012221714A1 (de) * 2012-11-28 2014-05-28 Siemens Aktiengesellschaft Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem
US10643570B2 (en) 2016-09-12 2020-05-05 Mitsubishi Electric Corporation Display control apparatus and display control method that prevent excessive determinations of an abnormal control condition

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ITTO20030447A1 (it) * 2003-06-13 2004-12-14 Ansaldo Segnalamento Ferroviario Sp A Metodo di rappresentazione in sicurezza mediante
FR2868193B1 (fr) * 2004-03-26 2006-09-08 Boisdequin Bernard Procede et dispositif d'affichage d'au moins un signe representatif d'une valeur de consigne sur un dispositif de visualisation a ecran sans effet de remanence
US20050276514A1 (en) * 2004-06-14 2005-12-15 Fisher Paul A Image monitoring method and system
DE102005045601A1 (de) 2005-09-23 2007-04-05 Siemens Ag Verfahren und Einrichtung zur Überprüfung der Bildausgabe eines Anzeigegerätes
FR2908225B1 (fr) * 2006-11-02 2009-04-10 Bernard Boisdequin Procede d'affichage numerique d'au moins un signe representatif d'une valeur de consigne sur un dispositif de visualisation a ecran couleur sans effet de remanence
NO2244188T3 (de) * 2009-04-25 2018-05-19
FR2948472B1 (fr) * 2009-07-21 2012-02-10 Alstom Transport Sa Dispositif de verification de l'integrite d'une donnee affichee et procede associe

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3411015A1 (de) * 1984-03-24 1985-09-26 Standard Elektrik Lorenz Ag, 7000 Stuttgart Verfahren und einrichtung zur signaltechnisch sicheren bildschirmdarstellung eines meldebildes
DE4005393A1 (de) * 1990-02-21 1991-08-22 Standard Elektrik Lorenz Ag Einrichtung zur signaltechnisch sicheren darstellung eines meldebildes
DE4332143A1 (de) * 1993-09-17 1995-03-23 Siemens Ag Verfahren zum Betrieb eines Datensichtgerätes und Einrichtungen zur Durchführung des Verfahrens
DE19703574A1 (de) * 1997-01-31 1998-08-06 Alsthom Cge Alcatel Verfahren zur sicheren Darstellung eines Bildes auf einem Monitor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012221714A1 (de) * 2012-11-28 2014-05-28 Siemens Aktiengesellschaft Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem
US10643570B2 (en) 2016-09-12 2020-05-05 Mitsubishi Electric Corporation Display control apparatus and display control method that prevent excessive determinations of an abnormal control condition
DE112016007054B4 (de) * 2016-09-12 2021-03-25 Mitsubishi Electric Corporation Anzeigevorrichtung und Anzeigesteuerverfahren

Also Published As

Publication number Publication date
FR2792429B1 (fr) 2001-07-13
ATE262699T1 (de) 2004-04-15
FR2792429A1 (fr) 2000-10-20
DE60009195D1 (de) 2004-04-29
EP1050815A1 (de) 2000-11-08
EP1050815B1 (de) 2004-03-24

Similar Documents

Publication Publication Date Title
DE3787393T2 (de) Verfahren zur Mehradresskommunikation.
DE69218016T2 (de) Verfahren zum Verarbeiten von Steueraufträgen
DE2430464A1 (de) Einrichtung zur fehlergesicherten datenuebertragung
DE69829088T2 (de) Verfahren und Vorrichtung zur Übertragung von Datenrahmen
DE60009195T2 (de) Verfahren und Vorrichtung zur sicheren Anzeige von Graphiken auf einem Sichtgerät
EP0856792B1 (de) Verfahren zur sicheren Darstellung eines Bildes auf einem Monitor
DE2723714A1 (de) Digital-ueberwachungseinrichtung
DE2746337C2 (de) Verfahren und Schaltungsanordnung zur Prüfung einer Datenübertragungsanlage unter Verwendung einer Prüfschleife
DE102018207533B4 (de) Verfahren zum autonomen Betreiben eines nachfolgenden Fahrzeugs in einem Fahrzeugverbund
DE19812163C2 (de) Verfahren zur Identifizierung und Initialisierung von Geräten
DE19949572B4 (de) Verfahren zum Identifizieren mehrerer Transponder
DE3411015C2 (de)
DE10004728C1 (de) Verfahren und Einrichtung zum Ansteuern eines Bildschirmgerätes für ein Eisenbahnleitsystem
EP0443377B1 (de) Einrichtung zur signaltechnisch sicheren Darstellung eines Meldebildes
DE4138517A1 (de) Einrichtung zur objekt-orientierten codierung von bildsignalen
AT402909B (de) Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage
DE69913152T2 (de) Ersetzen von Sonderzeichen in einem Datenstrom
EP0970869B1 (de) Verfahren zur sicheren Anzeige des Zustandes einer signaltechnischen Anlage
DE102010026392B4 (de) Verfahren zur sicheren Parametrierung eines Sicherheitsgeräts
EP0123132B1 (de) Überwachungssystem für ein digitales Übertragungssystem
EP0392328B1 (de) Verfahren zur ständigen Prüfung einer signaltechnisch sicheren Bildschirmdarstellung
DE10004743C2 (de) Verfahren und Einrichtung zum Ansteuern eines Bildschirmgerätes für ein Eisenbahnleitsystem
DE3924266A1 (de) Verfahren zum betrieb einer signaltechnisch sicheren schnittstelle
EP3317856B1 (de) Verfahren zum überprüfen der richtigkeit von einer darstellung von bilddaten auf einem anzeigemittel und anzeigeeinrichtung
DE69032078T2 (de) Elektronische Anordnung mit Datenübertragungsfunktion

Legal Events

Date Code Title Description
8363 Opposition against the patent
8365 Fully valid after opposition proceedings
8327 Change in the person/name/address of the patent owner

Owner name: ALCATEL LUCENT, PARIS, FR