EP2845185A1 - Method for depicting safety-critical data via a display unit; display unit - Google Patents

Method for depicting safety-critical data via a display unit; display unit

Info

Publication number
EP2845185A1
EP2845185A1 EP13718149.1A EP13718149A EP2845185A1 EP 2845185 A1 EP2845185 A1 EP 2845185A1 EP 13718149 A EP13718149 A EP 13718149A EP 2845185 A1 EP2845185 A1 EP 2845185A1
Authority
EP
European Patent Office
Prior art keywords
safety
display unit
data
critical
background
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP13718149.1A
Other languages
German (de)
French (fr)
Inventor
Norbert Scherm
Christian Behrens
Torsten Frerichs
Sven HEITHECKER
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airbus DS Airborne Solutions GmbH
Original Assignee
Airbus DS Airborne Solutions GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Airbus DS Airborne Solutions GmbH filed Critical Airbus DS Airborne Solutions GmbH
Publication of EP2845185A1 publication Critical patent/EP2845185A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T11/002D [Two Dimensional] image generation
    • G06T11/60Editing figures and text; Combining figures or text
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G3/00Control arrangements or circuits, of interest only in connection with visual indicators other than cathode-ray tubes
    • G09G3/20Control arrangements or circuits, of interest only in connection with visual indicators other than cathode-ray tubes for presentation of an assembly of a number of characters, e.g. a page, by composing the assembly by combination of individual elements arranged in a matrix no fixed position being assigned to or needed to be assigned to the individual characters or partial characters
    • G09G3/34Control arrangements or circuits, of interest only in connection with visual indicators other than cathode-ray tubes for presentation of an assembly of a number of characters, e.g. a page, by composing the assembly by combination of individual elements arranged in a matrix no fixed position being assigned to or needed to be assigned to the individual characters or partial characters by control of light from an independent source
    • G09G3/36Control arrangements or circuits, of interest only in connection with visual indicators other than cathode-ray tubes for presentation of an assembly of a number of characters, e.g. a page, by composing the assembly by combination of individual elements arranged in a matrix no fixed position being assigned to or needed to be assigned to the individual characters or partial characters by control of light from an independent source using liquid crystals
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2330/00Aspects of power supply; Aspects of display protection and defect management
    • G09G2330/08Fault-tolerant or redundant circuits, or circuits in which repair of defects is prepared
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2340/00Aspects of display data processing
    • G09G2340/12Overlay of images, i.e. displayed pixel being the result of switching between the corresponding input pixels
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2358/00Arrangements for display data security
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2380/00Specific applications
    • G09G2380/12Avionics applications

Definitions

  • the invention relates to a method for displaying data on the display of a modular display unit, wherein the data to be displayed comprise safety-critical data portions and non-safety-critical data portions and the data is fed to the display via a graphic data stream and displayed on the display.
  • the invention further relates to an associated display unit.
  • safety-critical data on multifunction displays can be problematic because the entire chain of data creation, processing and conversion to video data and the actual display requires a data criticality development process. This applies in particular to the development of elaborate man-machine interfaces based on status windows, as well as their graphics generation. Typically, safety-critical graphics controllers and potentially heterogeneous controllers must be developed.
  • the object of the invention is therefore to provide a method for displaying safety-critical data on a display, in which the development process is simplified and the degree of documentation and detection obligations is as low as possible.
  • the object of the invention is also to provide an associated display unit which meets these requirements.
  • this object is achieved by a method according to independent claim 1.
  • Advantageous developments of the method will become apparent from the dependent claims 2-5.
  • the object of the invention is achieved by a modular display unit according to claim 6.
  • Advantageous developments of this display unit will become apparent from the dependent claims 7-10.
  • the inventive method is used to display data on the display of a modular display unit, wherein the data to be displayed include safety-critical data portions and non-safety-critical data portions. The data is fed to the display via a graphic data stream and displayed on the display.
  • a security component of the display unit the safety-critical data shares due to safety-critical Generates signals which are supplied to the display unit, while a background component of the display unit generates the non-safety-critical data shares in the form of a background image.
  • the safety critical data portions on the display are then overlaid on this background image by a multiplexer switching the graphics data stream to display between the security component and the background component.
  • graphics content of the background image is changed in certain areas and safety-critical graphics content is introduced and displayed on the display.
  • the security-critical data portions are data which are critical for a system to which the display unit belongs, that is, in the event of errors within these data portions and / or a loss of the data portions, the security of the associated system would be jeopardized.
  • non-safety-critical data shares have little or no importance for the security of an associated system. Whether this is the case and in which category data shares are to be classified does not only depend on the technical parameters of systems, but can also be dependent on applicable regulations and standards. The categorization of data shares can thus also change for consistent systems as regulations change. The approach according to the invention thus shifts the challenge of displaying safety-critical graphics content into a display unit.
  • a display unit Due to safety-critical signals, such a display unit generates the corresponding safety-critical graphics contents in the form of displayed text or symbols within the display. This content is applied to a security-relevant background image as an "overlay" by the image data stream of the background image in the areas of safety-critical data is selectively changed.
  • a display unit according to the invention has all the necessary properties which correspond, for example, to a DAL-B application in aviation or to a SIL-3 application according to IEC 61508 at the time of the application.
  • An analogous approach may result in a Level D or higher rating in accordance with the MIL-STD-882.
  • the shift of safety-critical graphics generation into the display unit can simplify the design of potentially heterogeneous control devices and the presentation of the relevant status data.
  • the development of safety-critical graphics controllers can be avoided in this way.
  • Complex image content and information can also be represented here, and the approach according to the invention allows modularity and a high reuse rate for use in modified safety-critical applications.
  • the invention is particularly suitable for cockpit applications in all aircraft such as aircraft or rotary-wing aircraft, but also for ground stations for unnamed aircraft (drones).
  • the invention is not limited to the application within aviation, but it could be used, for example, in the field of other vehicles, ships and / or in the fire control.
  • the method according to the invention can be embodied such that the background component generates the background image on the basis of background pages stored in a background page memory, the background page memory being part of the modular display unit.
  • the background component can also generate the background image due to non-safety-critical signals which are supplied externally to the modular display unit.
  • symbols are used which are called from a symbol memory of the security component, while positions are called from a position memory for determining the position of these symbols.
  • the safety-critical data components within an architecture of the safety component are generated at least twice redundantly, and a selection unit of the safety component performs a selection between the redundantly generated safety-critical data components before being fed into the graphics data.
  • a triple-redundant architecture is used to implement, for example, a 2-out-of-3 voting. In this way, the criticality of the data components generated in the security component can be taken into account.
  • the invention further comprises a corresponding modular display unit which
  • the display unit comprises at least one multiplexer which is designed to switch the graphic data stream for display between the data components of the security component and the background component.
  • the security component for generating the security-critical data shares correspondingly has an at least twice-redundant architecture and a selection unit for selecting and feeding redundantly generated data portions into the graphics data stream.
  • the security component can comprise at least one symbol memory and a position memory, wherein symbols for safety-critical data portions are stored in the symbol memory, while associated positions for symbols are stored in the position memory.
  • a prefabricated set of graphic contents consisting of text and symbols can be stored in a memory of the display unit and then retrieved. Since the content of the store is generic, the evidence and documentation must be created only once. This type of library can then be used in various applications.
  • the modular display unit includes a background page memory associated with the background component, with background pages stored in the background page memory for creating the background image.
  • the display unit can have at least one input for feeding non-safety-critical signals into the background component, which can likewise be used to generate the background image.
  • the display unit 10 (shown in dashed lines) comprises at least one display 11, a security component 20, a background component 30 and a first multiplexer 40 (MXU1).
  • COTS commercial-off-the-shelf / components-of-the-shelf
  • the mass production which requires no special adjustments ex works, can be achieved in particular cost savings.
  • COTS commercial-off-the-shelf / components-of-the-shelf
  • the mass production which requires no special adjustments ex works, can be achieved in particular cost savings.
  • COTS commercial-off-the-shelf / components-of-the-shelf
  • the mass production which requires no special adjustments ex works, can be achieved in particular cost savings.
  • pixel monitoring 12 where the color information is in a corner 1, for example, in the lower right corner
  • an activity display 13 with a cyclic symbol change can be displayed on the LC display 1 1, by means of which the freezing of the display can be displayed.
  • the LC display preferably turns to black as soon as pixel clock, line sync, or frame sync signal fail. This is also recognizable to the operator.
  • an automated evaluation can also be carried out analogously to the pixel monitoring 12.
  • Both the pixel monitoring 12 in a corner of the display 11 and the activity display 13 can be generated by a safety-critical data path.
  • the HMI displays commands such as changing the screen, switching the video source, adjusting the brightness of the display and test pattern functions, as well as the corresponding status displays.
  • the HMI functions are accessible via external interfaces (e.g., CAN-BUS), which functions may also include an additional BITE module.
  • a BITE module is a built-in test equipment (BITE) that allows you to verify and monitor the correct operation of a system and automatically respond to any problems that may arise. The BITE module thus checks and monitors the display 1 1.
  • the BITE module may be implemented as programmable hardware and transmit the BITE data of the bus interface to a maintenance system outside the display unit 10.
  • the LC display 1 1 is connected via a graphic data stream D to the security component 20 and the background component 30, wherein the display 1 1 is transmitted via this graphic data stream, which data where represent on the display.
  • a first multiplexer 40 switches the graphic data Ström D between a security-critical data component generated by the security component 20 and a non-security-critical data component generated by the background component 30, whereby individual areas of a background image can be manipulated by a corresponding control of the multiplexer 40 in order to specifically manipulate the to place safety-critical data on the non-safety-critical background image and display it together on the display 1 1.
  • the background image is generated by the background component 30, which processes only non-safety-critical data.
  • the background image can be formed from masks, texts and video data, as well as other non-security-relevant data shares.
  • the background component 30 consists essentially of a CPU / GFX combination, which is preferably implemented as a COTS module of hardware and software components.
  • the non-safety-critical background images used can be stored, for example, in a background page memory 31 which belongs to the display unit 10 and can be embodied as read-only memory (ROM memory).
  • ROM memory read-only memory
  • DVI Digital Visual Interface
  • the non-safety-critical background images can thus also be supplemented by adding non-safety-critical data A via further bus data or discrete signals.
  • signals B can be taken from external video sources and processed further. These signals from external video sources are then preferably multiplexed by a second multiplexer 41 (MXU2) before being supplied to the background component 30.
  • MXU2 second multiplexer 41
  • the security component 20 is based entirely on a 2oo3 architecture (2 out of 3 architecture) and is implemented in programmable hardware (eg, FGPA, PLD).
  • FGPA programmable hardware
  • the triple redundancy of the individual sub-components and a voting component make it possible that the error or failure of a sub-component within the voting component is overruled by the other two sub-components. So before the entire system fails, all three sub-components must fail. Since it is to be expected that the subcomponents will fail independently of each other and thus does not take place, the probability of a failure of the overall system is very small.
  • the 2oo3 architecture used is shown schematically by hardware components at least in the form of three superimposed interfaces 21, three GFX components 22, and a selector (voter) 25.
  • the interfaces 21 and the GFX component 22 should be provided triple redundant, but it can also be further components such as memory 23 and 24 formed triple redundant.
  • This variant is likewise shown in FIG. 1 by three memories 23, 24 shown one above the other.
  • the memories 23 are symbol memories in which symbols are stored for display on the display 11, while the memories 24 are position memories in which the associated positions for the symbols are stored.
  • the memories 23, 24 can be designed as ROM memories, the symbol and position memory ROMs preferably having an ECC or parity code.
  • Safety-critical signals C are then accepted via the three interfaces 21. This can be done, for example, via Ethernet / AFDX, ARINC, CAN, Flexray, discrete signals or a combination of these signal paths.
  • the corresponding symbol position is respectively read from the position memories 23.
  • the corresponding symbol is read from the symbol memories 24.
  • the corresponding symbol is then inserted into the graphic data stream D by means of a GFX component at the corresponding position by setting the multiplexer 40 and inserting the symbol (s) into the graphic data stream D.
  • the multiplexer 40 is read from the position memory 24 in accordance with the image positions as 2oo3 architecture by each of the three safety-critical GFX components 22 and evaluated accordingly via the voter 25. This is the pixel-precise image position of the safety-critical image components, which is calculated by the 2oo3 architecture and supplies the switching signal for the multiplexer 40.
  • the switching over of several video inputs B is also calculated via the safety-critical (video) data path 20 from the interfaces C.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Crystallography & Structural Chemistry (AREA)
  • Computer Hardware Design (AREA)
  • Controls And Circuits For Display Device (AREA)

Abstract

The invention relates to a method for depicting data on the display (11) of a modular display unit (10), wherein the data to be depicted comprises safety-critical data portions and non-safety-critical data portions and the data is supplied to the display (11) via a graphical data stream (D) and depicted on the display (11). According to the invention, a safety component (20) of the display unit (10) generates the safety-critical data portions based on safety-critical signals which are supplied to the display unit (10), while a background component (30) of the display unit (10) generates the non-safety-critical data portions in the form of a background screen. The safety-critical data portions are put on the display (11) over said background screen in that a multiplexer (40) converts the graphical data stream (D) for display (11) between the safety component (20) and the background component (30), wherein, in specific regions, graphical content of the background screen changes and safety-critical graphical content is introduced and depicted on the display (11). The invention further relates to a related modular display unit (10) for carrying out said method.

Description

B E S C H R E I B U N G  DESCRIPTION
Verfahren zur Darstellung sicherheitskritischer Daten durch eine Anzeigeneinheit; Anzeigeneinheit Method for displaying safety-critical data by a display unit; display unit
Die Erfindung betrifft ein Verfahren zur Darstellung von Daten auf der Anzeige einer modularen Anzeigeneinheit, wobei die darzustellenden Daten sicherheitskritische Datenanteile und nicht-sicherheitskritische Datenanteile umfassen und die Daten der Anzeige über einen Grafikdatenstrom zugeführt und auf der Anzeige dargestellt werden. The invention relates to a method for displaying data on the display of a modular display unit, wherein the data to be displayed comprise safety-critical data portions and non-safety-critical data portions and the data is fed to the display via a graphic data stream and displayed on the display.
Die Erfindung betrifft ferner eine zugehörige Anzeigeneinheit. The invention further relates to an associated display unit.
Die Darstellung sicherheitskritischer Daten auf Multifunktionsanzeigen kann problematisch sein, da die gesamte Kette von Datenerzeugung, Prozessierung und Umwandlung in Videodaten und die eigentliche Anzeige einen der Kritikalität der Daten entsprechenden Entwicklungsprozess erfordert. Das gilt insbesondere für die Entwicklung von aufwendigen Mensch-Maschine-Schnittstellen auf Basis von Statusfenstern, sowie deren Grafikerzeugung. Dabei müssen üblicherweise sicherheitskritische Grafikkontroller, sowie potenziell heterogene Steuergeräte entwickelt werden. The presentation of safety-critical data on multifunction displays can be problematic because the entire chain of data creation, processing and conversion to video data and the actual display requires a data criticality development process. This applies in particular to the development of elaborate man-machine interfaces based on status windows, as well as their graphics generation. Typically, safety-critical graphics controllers and potentially heterogeneous controllers must be developed.
Beispielsweise sind bei der Soft- und Hardwareentwicklung im Luftfahrtbereich derzeit Standards wie die DO-254 (Design Assurance Guidance for Airborne Electronic Hardware) und DO-178 (Software Considerations in Airborne Systems and Equipment Certification) zu berücksichtigen. Dabei kann eine Soft- oder Hardware je nach ihrer Funktion die Sicherheit des Flugzeugs mehr oder weniger gefährden, so dass zwischen sicherheitskritischen und weniger oder nicht- sicherheitskritischen Daten unterschieden werden kann, die entsprechend in verschiedene Stufen eingeordnet werden. In Abhängigkeit davon sind verschiedene Entwicklungsmethoden erlaubt bzw. vorgeschrieben, und es entstehen unterschiedliche Dokumentations- und Nachweispflichten, wobei dies bei sicherheitskritischen Daten aufwendig und mit hohen Kosten verbunden ist. Aufgabe der Erfindung ist es daher, ein Verfahren zur Darstellung von sicherheitskritischen Daten auf einer Anzeige bereitzustellen, bei dem der Entwicklungsprozess vereinfacht und der Grad an Dokumentations- und Nachweispflichten möglichst gering ist. Aufgabe der Erfindung ist es ferner, eine zugehörige Anzeigeneinheit bereitzustellen, welche diese Anforderungen erfüllt. For example, software and hardware development in the aerospace industry is currently required to incorporate standards such as DO-254 (Design Assurance Guidance for Airborne Electronic Hardware) and DO-178 (Software Considerations in Airborne Systems and Equipment Certification). It can be a soft or hardware depending on their Function more or less endanger the safety of the aircraft, so that it is possible to distinguish between safety-critical and less or non-safety-critical data, which are classified accordingly into different levels. Depending on this, various development methods are permitted or prescribed, and there are different documentation and detection obligations, which is complex and costly for safety-critical data. The object of the invention is therefore to provide a method for displaying safety-critical data on a display, in which the development process is simplified and the degree of documentation and detection obligations is as low as possible. The object of the invention is also to provide an associated display unit which meets these requirements.
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren gemäß dem unabhängigen Anspruch 1 gelöst. Vorteilhafte Weiterbildungen des Verfahrens ergeben sich aus den Unteransprüchen 2-5. Ferner wird die Aufgabe der Erfindung durch eine modulare Anzeigeneinheit gemäß Anspruch 6 gelöst. Vorteilhafte Weiterbildungen dieser Anzeigeneinheit ergeben sich aus den Unteransprüchen 7-10. Das erfindungsgemäße Verfahren dient zur Darstellung von Daten auf der Anzeige einer modularen Anzeigeneinheit, wobei die darzustellenden Daten sicherheitskritische Datenanteile und nicht-sicherheitskritische Datenanteile umfassen. Die Daten werden der Anzeige über einen Grafikdaten ström zugeführt und auf der Anzeige dargestellt. Dabei ist vorgesehen, dass eine Sicherheitskomponente der Anzeigeneinheit die sicherheitskritischen Datenanteile aufgrund von sicherheitskritischen Signalen erzeugt, welche der Anzeigeneinheit zugeführt werden, während eine Hintergrundkomponente der Anzeigeneinheit die nicht- sicherheitskritischen Datenanteile in Form eines Hintergrundbildes erzeugt. Die sicherheitskritischen Datenanteile auf der Anzeige werden dann über dieses Hintergrundbild gelegt, indem ein Multiplexer den Grafikdaten ström zur Anzeige zwischen der Sicherheitskomponente und der Hintergrundkomponente umschaltet. Dadurch werden in bestimmten Bereichen Grafikinhalte des Hintergrundbildes verändert und sicherheitskritische Grafikinhalte eingebracht und auf der Anzeige dargestellt. According to the invention this object is achieved by a method according to independent claim 1. Advantageous developments of the method will become apparent from the dependent claims 2-5. Furthermore, the object of the invention is achieved by a modular display unit according to claim 6. Advantageous developments of this display unit will become apparent from the dependent claims 7-10. The inventive method is used to display data on the display of a modular display unit, wherein the data to be displayed include safety-critical data portions and non-safety-critical data portions. The data is fed to the display via a graphic data stream and displayed on the display. It is provided that a security component of the display unit, the safety-critical data shares due to safety-critical Generates signals which are supplied to the display unit, while a background component of the display unit generates the non-safety-critical data shares in the form of a background image. The safety critical data portions on the display are then overlaid on this background image by a multiplexer switching the graphics data stream to display between the security component and the background component. As a result, graphics content of the background image is changed in certain areas and safety-critical graphics content is introduced and displayed on the display.
Dabei handelt es sich bei den sicherheitskritischen Datenanteilen um Daten, welche für ein System, zu dem die Anzeigeneinheit gehört, kritisch sind, d.h. bei Fehlern innerhalb dieser Datenanteile und/oder einem Ausfall der Datenanteile wäre die Sicherheit des zugehörigen Systems gefährdet. Andererseits haben nicht-sicherheitskritische Datenanteile keine oder nur eine geringe Bedeutung für die Sicherheit eines zugehörigen Systems. Ob dies der Fall ist und in welche Kategorie Datenanteile einzustufen sind, richtet sich nicht nur nach den technischen Parametern von Systemen, sondern kann auch von anzuwendenden Vorschriften und Standards abhängig sein. Die Kategorisierung von Datenanteilen kann sich somit auch für gleichbleibende Systeme verändern, wenn sich Vorschriften ändern. Der erfindungsgemäße Ansatz verlagert somit die Herausforderung der Darstellung von sicherheitskritischen Grafikinhalten in eine Anzeigeneinheit. Eine solche Anzeigeeinheit erzeugt dabei aufgrund von sicherheitskritischen Signalen displayintern die entsprechenden sicherheitskritischen Grafikinhalte in Form von dargestelltem Text oder Symbolen. Diese Inhalte werden auf einem sicherheitstechnisch nicht relevanten Hintergrundbild als „Overlay" aufgebracht, indem der Bilddatenstrom des Hintergrundbilds in den Bereichen der sicherheitskritischen Daten gezielt geändert wird. Durch diese Maßnahme verfügt eine erfindungsgemäße Anzeigeneinheit über alle notwendigen Eigenschaften, die zum Zeitpunkt der Anmeldung beispielsweise einer DAL-B-Anwendung in der Luftfahrt bzw. einer SIL-3- Anwendung nach IEC 61508 entsprechen. Eine analoge Betrachtungsweise kann gemäß des MIL-STD-882 zu einer Einstufung gemäß Level D oder höher führen. In this case, the security-critical data portions are data which are critical for a system to which the display unit belongs, that is, in the event of errors within these data portions and / or a loss of the data portions, the security of the associated system would be jeopardized. On the other hand, non-safety-critical data shares have little or no importance for the security of an associated system. Whether this is the case and in which category data shares are to be classified does not only depend on the technical parameters of systems, but can also be dependent on applicable regulations and standards. The categorization of data shares can thus also change for consistent systems as regulations change. The approach according to the invention thus shifts the challenge of displaying safety-critical graphics content into a display unit. Due to safety-critical signals, such a display unit generates the corresponding safety-critical graphics contents in the form of displayed text or symbols within the display. This content is applied to a security-relevant background image as an "overlay" by the image data stream of the background image in the areas of safety-critical data is selectively changed. By virtue of this measure, a display unit according to the invention has all the necessary properties which correspond, for example, to a DAL-B application in aviation or to a SIL-3 application according to IEC 61508 at the time of the application. An analogous approach may result in a Level D or higher rating in accordance with the MIL-STD-882.
Ferner kann die Verschiebung der sicherheitskritischen Grafikerzeugung in die Anzeigeneinheit den Entwurf von potenziell heterogenen Steuergeräten und die Darstellung der jeweils relevanten Statusdaten vereinfachen. Insbesondere kann die Entwicklung von sicherheitskritischen Grafikkontrollern so vermieden werden. Dabei sind auch komplexe Bildinhalte und Informationen darstellbar, und der erfindungsgemäße Ansatz erlaubt eine Modularisierbarkeit und eine hohe Wiederverwendungsquote (Reuse-Quote) für die Verwendung in veränderten sicherheitskritischen Anwendungen. Furthermore, the shift of safety-critical graphics generation into the display unit can simplify the design of potentially heterogeneous control devices and the presentation of the relevant status data. In particular, the development of safety-critical graphics controllers can be avoided in this way. Complex image content and information can also be represented here, and the approach according to the invention allows modularity and a high reuse rate for use in modified safety-critical applications.
Grundsätzlich eignet sich die Erfindung insbesondere für Cockpitanwendungen in allen Luftfahrzeugen wie Flugzeugen oder Drehflüglern, aber auch für Bodenstationen für unbenannte Flugzeuge (Drohnen). Die Erfindung ist jedoch nicht auf die Anwendung innerhalb der Luftfahrt begrenzt, sondern sie könnte beispielsweise auch im Bereich sonstiger Fahrzeuge, bei Schiffen und/oder bei der Feuerleitung eingesetzt werden. In principle, the invention is particularly suitable for cockpit applications in all aircraft such as aircraft or rotary-wing aircraft, but also for ground stations for unnamed aircraft (drones). However, the invention is not limited to the application within aviation, but it could be used, for example, in the field of other vehicles, ships and / or in the fire control.
Das erfindungsgemäße Verfahren kann dabei so ausgeführt sein, dass die Hintergrundkomponente das Hintergrundbild aufgrund von in einem Hintergrundseitenspeicher hinterlegten Hintergrundseiten erzeugt, wobei der Hintergrundseitenspeicher Bestandteil der modularen Anzeigeneinheit ist. Alternativ oder ergänzend kann die Hintergrundkomponente das Hintergrundbild aber auch aufgrund von nicht-sicherheitskritischen Signalen erzeugen, welche der modularen Anzeigeneinheit extern zugeführt werden. Ferner werden bei der Erzeugung der sicherheitskritischen Datenanteile durch die Sicherheitskonnponente beispielsweise Symbole verwendet, welche aus einem Symbolspeicher der Sicherheitskomponente aufgerufen werden, während für die Ermittlung der Position dieser Symbole Positionen aus einem Positionsspeicher aufgerufen werden. The method according to the invention can be embodied such that the background component generates the background image on the basis of background pages stored in a background page memory, the background page memory being part of the modular display unit. Alternatively or additionally, the background component can also generate the background image due to non-safety-critical signals which are supplied externally to the modular display unit. Furthermore, in the generation of the security-critical data shares by the security components, for example, symbols are used which are called from a symbol memory of the security component, while positions are called from a position memory for determining the position of these symbols.
In einem bevorzugten Ausführungsbeispiel der Erfindung werden die sicherheitskritischen Datenanteile innerhalb einer Architektur der Sicherheitskomponente wenigstens zweifach redundant erzeugt, und eine Wahleinheit der Sicherheitskomponente führt vor Einspeisung in den Grafikdaten ström eine Auswahl zwischen den redundant erzeugten sicherheitskritischen Datenanteilen durch. Vorzugsweise wird jedoch eine dreifach redundante Architektur eingesetzt, um beispielsweise ein 2-out- of-3-Voting zu realisieren. Hierdurch kann der Kritikalität der in der Sicherheitskomponente erzeugten Datenanteile Rechnung getragen werden. In a preferred embodiment of the invention, the safety-critical data components within an architecture of the safety component are generated at least twice redundantly, and a selection unit of the safety component performs a selection between the redundantly generated safety-critical data components before being fed into the graphics data. Preferably, however, a triple-redundant architecture is used to implement, for example, a 2-out-of-3 voting. In this way, the criticality of the data components generated in the security component can be taken into account.
Von der Erfindung umfasst ist ferner eine entsprechende modulare Anzeigeneinheit, welche The invention further comprises a corresponding modular display unit which
wenigstens eine Sicherheitskomponente und eine Hintergrundkomponente umfasst, wobei die Sicherheitskomponente ausgebildet ist, um die sicherheitskritischen Datenanteile aufgrund von sicherheitskritischen Signalen zu erzeugen, welche der Anzeigeneinheit zugeführt wurden, während die Hintergrundkomponente ausgebildet ist, um die nicht- sicherheits-kritischen Datenanteile in Form eines Hintergrundbildes zu erzeugen. Ferner umfasst die Anzeigeneinheit wenigstens einen Multiplexer, welcher ausgebildet ist, um den Grafikdatenstrom zur Anzeige zwischen den Datenanteilen der Sicherheitskomponente und der Hintergrundkomponente umzuschalten. Mit dieser Anzeigeneinheit kann das erfindungsgemäße Verfahren durchgeführt werden. at least one security component and one background component, wherein the security component is designed to generate the security-critical data portions on the basis of security-critical signals which have been supplied to the display unit, while the background component is designed to provide the non-security-critical data portions in the form of a background image produce. Furthermore, the display unit comprises at least one multiplexer which is designed to switch the graphic data stream for display between the data components of the security component and the background component. With this display unit, the inventive method can be performed.
Dabei weist die Sicherheitskomponente zur Erzeugung der sicherheitskritischen Datenanteile entsprechend eine wenigstens zweifach redundante Architektur und eine Wahleinheit zur Auswahl und Einspeisung von redundant erzeugten Datenanteilen in den Grafikdatenstrom auf. Ferner kann die Sicherheitskomponente wenigstens einen Symbolspeicher und einen Positionsspeicher umfassen, wobei in dem Symbolspeicher Symbole für sicherheitskritische Datenanteile hinterlegt sind, während in dem Positionsspeicher zugehörige Positionen für Symbole hinterlegt sind. Hierbei kann ein vorgefertigter Satz von Grafikinhalten, bestehend aus Text und Symbolen, in einem Speicher der Anzeigeneinheit abgelegt und dann abgerufen werden. Da der Speicheinhalt generisch ist, müssen Nachweise und Dokumentation nur einmalig erstellt werden. Diese Art der Bibliothek kann dann in verschiedenen Anwendungen zum Einsatz kommen. In this case, the security component for generating the security-critical data shares correspondingly has an at least twice-redundant architecture and a selection unit for selecting and feeding redundantly generated data portions into the graphics data stream. Furthermore, the security component can comprise at least one symbol memory and a position memory, wherein symbols for safety-critical data portions are stored in the symbol memory, while associated positions for symbols are stored in the position memory. In this case, a prefabricated set of graphic contents consisting of text and symbols can be stored in a memory of the display unit and then retrieved. Since the content of the store is generic, the evidence and documentation must be created only once. This type of library can then be used in various applications.
Darüber hinaus umfasst die modulare Anzeigeneinheit in einem Ausführungsbeispiel der Erfindung einen Hintergrundseitenspeicher, der in Verbindung mit der Hintergrundkomponente steht, wobei in dem Hintergrundseitenspeicher Hintergrundseiten zur Erzeugung des Hintergrundbildes hinterlegt sind. Ergänzend oder alternativ kann die Anzeigeneinheit wenigstens einen Eingang zur Einspeisung nicht- sicherheitskritischer Signale in die Hintergrundkomponente aufweisen, welche ebenfalls zur Erzeugung des Hintergrundbildes verwendbar sind. So können bei der Erzeugung des Hintergrundbildes nicht nur fest hinterlegte, sondern auch variabel einspielbare Hintergrundseiten verwendet werden. Weitere Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung ergeben sich aus den Unteransprüchen und der nachfolgenden Darstellung bevorzugter Ausführungsbeispiele anhand der Fig. 1 . Fig. 1 zeigt ein Ausführungsbeispiel der erfindungsgemäßen Anzeigeneinheit 10, anhand der das erfindungsgemäße Verfahren zur Darstellung von Daten beispielhaft erläutert werden soll. Dabei umfasst die Anzeigeneinheit 10 (gestrichelt dargestellt) wenigstens eine Anzeige 1 1 , eine Sicherheitskomponente 20, eine Hintergrundkomponente 30 und einen ersten Multiplexer 40 (MXU1 ). Bei der Anzeige 1 1 handelt es sich beispielsweise um ein seriengefertigtes LC-Display, das auch als COTS- LC-Display bezeichnet werden kann (COTS = Commercial-off-the- shelf/components-of-the-shelf). Durch die Serienfertigung, welche ab Werk keine besonderen Anpassungen erfordert, lassen sich insbesondere Kosteneinsparungen erzielen. Da solche COTS-LC-Displays beispielsweise gemäß der am Anmeldetag geltenden Richtlinien nach DO- 254 als„complex COTS" klassifiziert werden, ist eine Überwachung des jeweiligen Displays erforderlich. Dies kann beispielsweise durch ein Pixelmonitoring 12 erfolgen, bei dem die Farbinformation in einer Ecke des Displays 1 1 gezielt angesteuert und mittels Fotodioden überwacht wird. In dem in Fig. 1 dargestelltem Ausführungsbeispiel erfolgt dies beispielsweise in der unteren rechten Ecke des Displays 1 1 . In einem anderen Ausführungsbeispiel der Erfindung wird ein Pixelsignal mittels Lichtleitfaser in das Gehäuse der Anzeigeneinheit 10 geführt und dort ausgewertet. Hierdurch lässt sich die elektromagnetische Verträglichkeit (EMV-Performance) der Displayeinheit 10 verbessern. Moreover, in one embodiment of the invention, the modular display unit includes a background page memory associated with the background component, with background pages stored in the background page memory for creating the background image. Additionally or alternatively, the display unit can have at least one input for feeding non-safety-critical signals into the background component, which can likewise be used to generate the background image. Thus, when creating the background image not only firmly deposited, but also variably playable background pages can be used. Further advantages, features and expedient developments of the invention will become apparent from the dependent claims and the following description of preferred embodiments with reference to FIG. 1. 1 shows an exemplary embodiment of the display unit 10 according to the invention, by means of which the method according to the invention for displaying data is to be explained by way of example. In this case, the display unit 10 (shown in dashed lines) comprises at least one display 11, a security component 20, a background component 30 and a first multiplexer 40 (MXU1). For example, the display 1 1 is a mass-produced LC display, which can also be called a COTS LC display (COTS = commercial-off-the-shelf / components-of-the-shelf). The mass production, which requires no special adjustments ex works, can be achieved in particular cost savings. For example, because such COTS LC displays are classified as "complex COTS" according to DO-254 guidelines applicable on the filing date, it is necessary to monitor the respective display, for example, by pixel monitoring 12, where the color information is in a corner 1, for example, in the lower right corner of the display 11. In another exemplary embodiment of the invention, a pixel signal is fed into the housing of the display unit 10 by means of an optical fiber This allows the electromagnetic compatibility (EMC performance) of the display unit 10 to be improved.
Weiterhin kann auf dem LC-Display 1 1 eine Aktivitätsanzeige 13 mit einem zyklischen Symbolwechsel dargestellt werden, mittels derer das Einfrieren des Displays angezeigt werden kann. Auf der Aktivitätsanzeige 13 erfolgt dabei beispielsweise ein stetiger Symbolwechsel — > — > , und sobald das Display eingefroren wird, erfolgt auch kein Symbolwechsel mehr, was für den Bediener erkennbar ist. Ferner stellt sich das LC- Display vorzugsweise auf schwarz, sobald Pixeltakt, Zeilen-Sync- oder Frame-Sync-Signal ausbleiben. Auch dies ist für den Bediener erkennbar. Statt einer solchen Bewertung der Aktivität des Displays 1 1 durch den Operator kann jedoch auch analog zum Pixelmonitoring 12 eine automatisierte Auswertung erfolgen. Furthermore, an activity display 13 with a cyclic symbol change can be displayed on the LC display 1 1, by means of which the freezing of the display can be displayed. On the activity display 13, for example, there is a continuous symbol change ->->, and as soon as the display is frozen, there is no symbol change more, which is recognizable to the operator. Furthermore, the LC display preferably turns to black as soon as pixel clock, line sync, or frame sync signal fail. This is also recognizable to the operator. Instead of such an evaluation of the activity of the display 1 1 by the operator, however, an automated evaluation can also be carried out analogously to the pixel monitoring 12.
Sowohl das Pixelmonitoring 12 in einer Ecke des Displays 1 1 als auch die Aktivitätsanzeige 13 können durch einen sicherheitskritischen Datenpfad erzeugt werden. Diese Funktionen wie auch die Mensch-Maschine- Schnittstelle (HMI = Human-Machine Interface) werden in dem in Fig. 1 dargestellten Ausführungsbeispiel an eine System-Management-Funktion 50 angebunden. Über das HMI werden Kommandos wie ein Bildseitenwechsel, Wechsel der Videoquelle, Anpassung der Displayhelligkeit und Testbild-Funktionen sowie die entsprechenden Statusanzeigen dargestellt. Die HMI-Funktionen sind dabei über externe Schnittstellen (z.B. CAN-BUS) zugänglich, wobei diese Funktionen auch ein zusätzliches BITE-Modul umfassen können. Bei einem BITE-Modul handelt es sich um eine eingebaute Testeinrichtung (BITE = Built In Test Equipment), welche es erlaubt, die korrekte Funktionsweise eines Systems zu überprüfen und zu überwachen und gegebenenfalls automatisiert auf auftretende Probleme zu reagieren. Das BITE-Modul überprüft und überwacht somit die Anzeige 1 1 . Das BITE-Modul kann als programmierbare Hardware implementiert sein und die BITE-Daten der Busschnittstelle an ein Wartungssystem außerhalb der Anzeigeneinheit 10 übertragen. Both the pixel monitoring 12 in a corner of the display 11 and the activity display 13 can be generated by a safety-critical data path. These functions as well as the human-machine interface (HMI = human-machine interface) are connected to a system management function 50 in the embodiment shown in FIG. The HMI displays commands such as changing the screen, switching the video source, adjusting the brightness of the display and test pattern functions, as well as the corresponding status displays. The HMI functions are accessible via external interfaces (e.g., CAN-BUS), which functions may also include an additional BITE module. A BITE module is a built-in test equipment (BITE) that allows you to verify and monitor the correct operation of a system and automatically respond to any problems that may arise. The BITE module thus checks and monitors the display 1 1. The BITE module may be implemented as programmable hardware and transmit the BITE data of the bus interface to a maintenance system outside the display unit 10.
Das LC-Display 1 1 ist über einen Grafikdatenstrom D an die Sicherheitskomponente 20 und die Hintergrundkomponente 30 angeschlossen, wobei dem Display 1 1 über diesen Grafikdatenstrom übermittelt wird, welche Daten wo auf dem Display darzustellen sind. Dabei schaltet ein erster Multiplexer 40 den Grafikdaten ström D zwischen einem von der Sicherheitskomponente 20 erzeugten sicherheitskritischen Datenanteil und einem von der Hintergrundkomponente 30 erzeugten nicht sicherheitskritischen Datenanteil um, wodurch sich durch eine entsprechende Ansteuerung des Multiplexers 40 einzelne Bereiche eines Hintergrundbildes gezielt manipulieren lassen, um die sicherheitskritischen Datenanteile über das nicht-sicherheitskritische Hintergrundbild zu legen und zusammen auf der Anzeige 1 1 darzustellen. Das Hintergrundbild wird durch die Hintergrundkomponente 30 erzeugt, welche ausschließlich nicht-sicherheitskritische Daten verarbeitet. Dabei kann das Hintergrundbild aus Masken, Texten und Videodaten, sowie anderen nicht-sicherheitsrelevanten Datenanteilen gebildet werden. Die Hintergrundkomponente 30 besteht im Wesentlichen aus einer CPU/GFX- Kombination, die vorzugsweise als COTS-Baugruppe aus Hard- und Softwarekomponenten realisiert ist. Die verwendeten nicht- sicherheitskritischen Hintergrundbilder können beispielsweise in einem Hintergrundseitenspeicher 31 hinterlegt sein, der zur Anzeigeneinheit 10 gehört und als Festwertspeicher (ROM-Speicher) ausgeführt sein kann. Die Hintergrundseiten können jedoch auch extern auf die Anzeigeneinheit 10 übertragen werden, was beispielsweise per DVI-Signal (DVI = Digital Visual Interface) erfolgen kann. Die nicht-sicherheitskritischen Hintergrundbilder können somit auch durch Zugabe nicht-sicherheitskritischer Daten A über weitere Busdaten oder diskrete Signale ergänzt werden. Ferner können Signale B von externen Videoquellen übernommen und weiterverarbeitet werden. Diese Signale von externen Videoquellen werden dann vorzugsweise durch einen zweiten Multiplexer 41 (MXU2) gemultiplext, bevor sie der Hintergrundkomponente 30 zugeführt werden. Die Sicherheitskomponente 20 basiert beispielsweise vollständig auf einer 2oo3-Architektur (2 out of 3-Architektur) und ist in progrannnnierbarer Hardware (z.B. FGPA, PLD) umgesetzt. Die dreifache Redundanz der einzelnen Sub-Komponenten und eine Voting-Komponente ermöglichen es dabei, dass der Fehler oder Ausfall einer Sub-Komponente innerhalb der Voting-Komponente durch die zwei anderen Sub-Komponenten überstimmt wird. Bevor das gesamte System ausfällt, müssen also alle drei Sub-Komponenten versagen. Da zu erwarten ist, dass die SubKomponenten unabhängig voneinander ausfallen und dies somit nicht stattfindet, ist die Wahrscheinlichkeit für einen Ausfall des Gesamtsystems sehr klein. The LC display 1 1 is connected via a graphic data stream D to the security component 20 and the background component 30, wherein the display 1 1 is transmitted via this graphic data stream, which data where represent on the display. In this case, a first multiplexer 40 switches the graphic data Ström D between a security-critical data component generated by the security component 20 and a non-security-critical data component generated by the background component 30, whereby individual areas of a background image can be manipulated by a corresponding control of the multiplexer 40 in order to specifically manipulate the to place safety-critical data on the non-safety-critical background image and display it together on the display 1 1. The background image is generated by the background component 30, which processes only non-safety-critical data. The background image can be formed from masks, texts and video data, as well as other non-security-relevant data shares. The background component 30 consists essentially of a CPU / GFX combination, which is preferably implemented as a COTS module of hardware and software components. The non-safety-critical background images used can be stored, for example, in a background page memory 31 which belongs to the display unit 10 and can be embodied as read-only memory (ROM memory). However, the background pages can also be transmitted externally to the display unit 10, which can be done for example by DVI signal (DVI = Digital Visual Interface). The non-safety-critical background images can thus also be supplemented by adding non-safety-critical data A via further bus data or discrete signals. Furthermore, signals B can be taken from external video sources and processed further. These signals from external video sources are then preferably multiplexed by a second multiplexer 41 (MXU2) before being supplied to the background component 30. For example, the security component 20 is based entirely on a 2oo3 architecture (2 out of 3 architecture) and is implemented in programmable hardware (eg, FGPA, PLD). The triple redundancy of the individual sub-components and a voting component make it possible that the error or failure of a sub-component within the voting component is overruled by the other two sub-components. So before the entire system fails, all three sub-components must fail. Since it is to be expected that the subcomponents will fail independently of each other and thus does not take place, the probability of a failure of the overall system is very small.
In Fig. 1 ist die verwendete 2oo3-Architektur schematisch durch Hardware-Komponenten wenigstens in Form von drei übereinander dargestellten Schnittstellen 21 , drei GFX-Komponenten 22 und einer Wahleinheit (Voter) 25 gezeigt. Dabei sollten vorzugsweise wenigstens die Schnittstellen 21 und die GFX-Komponente 22 dreifach redundant vorgesehen sein, es können jedoch auch weitere Komponenten wie Speicher 23 und 24 dreifach redundant ausgebildet sein. Diese Variante ist in Fig. 1 ebenfalls durch jeweils drei übereinander dargestellte Speicher 23, 24 gezeigt. Bei den Speichern 23 handelt es sich um Symbolspeicher, in denen Symbole zur Darstellung auf dem Display 1 1 hinterlegt sind, während es sich bei den Speichern 24 um Positionsspeicher handelt, in denen die zugehörige Positionen für die Symbole hinterlegt sind. Die Speicher 23, 24 können als ROM-Speicher ausgebildet sein, wobei die Symbol- und Positionsspeicher-ROMs vorzugsweise über einen ECC- oder Parity-Code verfügen. Die darzustellenden Symbole und die Bildpositionen sind somit hartcodiert in den Speichern hinterlegt, wobei der Speichereinhalt generisch ist. Über die drei Schnittstellen 21 werden dann sicherheitskritische Signale C entgegengenommen. Dies kann zum Beispiel über Ethernet/AFDX, ARINC, CAN, Flexray, diskrete Signale oder eine Kombination dieser Signalwege erfolgen. Entsprechend dieser anliegenden Statusdaten wird die entsprechende Symbolposition jeweils aus den Positionsspeichern 23 ausgelesen. Ergänzend wird das entsprechende Symbol aus den Symbolspeichern 24 ausgelesen. Das entsprechende Symbol wird dann per GFX-Anteil an der entsprechenden Position in den Grafikdatenstrom D eingefügt, indem der Multiplexer 40 gesetzt und das/die Symbole in den Grafikdatenstrom D eingefügt werden. In Fig. 1, the 2oo3 architecture used is shown schematically by hardware components at least in the form of three superimposed interfaces 21, three GFX components 22, and a selector (voter) 25. In this case, preferably at least the interfaces 21 and the GFX component 22 should be provided triple redundant, but it can also be further components such as memory 23 and 24 formed triple redundant. This variant is likewise shown in FIG. 1 by three memories 23, 24 shown one above the other. The memories 23 are symbol memories in which symbols are stored for display on the display 11, while the memories 24 are position memories in which the associated positions for the symbols are stored. The memories 23, 24 can be designed as ROM memories, the symbol and position memory ROMs preferably having an ECC or parity code. The symbols to be displayed and the image positions are thus hard-coded deposited in the memories, wherein the memory content is generic. Safety-critical signals C are then accepted via the three interfaces 21. This can be done, for example, via Ethernet / AFDX, ARINC, CAN, Flexray, discrete signals or a combination of these signal paths. In accordance with this applied status data, the corresponding symbol position is respectively read from the position memories 23. In addition, the corresponding symbol is read from the symbol memories 24. The corresponding symbol is then inserted into the graphic data stream D by means of a GFX component at the corresponding position by setting the multiplexer 40 and inserting the symbol (s) into the graphic data stream D.
Der Multiplexer 40 wird dabei entsprechend der Bildpositionen als 2oo3- Architektur durch jeden der drei sicherheitskritischen GFX-Anteile 22 aus dem Positionsspeicher 24 ausgelesen und über den Voter 25 entsprechend ausgewertet. Dies ist die pixelgenaue Bildposition der sicherheitskritischen Bildanteile, die durch die 2oo3-Architektur berechnet wird und sie liefert das Umschaltsignal für den Multiplexer 40. In this case, the multiplexer 40 is read from the position memory 24 in accordance with the image positions as 2oo3 architecture by each of the three safety-critical GFX components 22 and evaluated accordingly via the voter 25. This is the pixel-precise image position of the safety-critical image components, which is calculated by the 2oo3 architecture and supplies the switching signal for the multiplexer 40.
Ähnlich liegt der Fall für den Multiplexer 41 . Hierbei wird das Umschalten von mehreren Videoeingängen B auch über den sicherheitskritischen (Video-)Datenpfad 20 aus den Interfaces C berechnet. Similarly, the case is for the multiplexer 41. In this case, the switching over of several video inputs B is also calculated via the safety-critical (video) data path 20 from the interfaces C.
Bezugszeichenliste: LIST OF REFERENCE NUMBERS
10 Anzeigeneinheit 10 display unit
1 1 Anzeige, LC-Display  1 1 display, LC display
12 Pixelmonitoring 12 pixel monitoring
13 Aktivitätsanzeige  13 activity indicator
20 Sicherheitskomponente  20 safety component
21 Schnittstelle  21 interface
22 GFX-Komponente  22 GFX component
23 Symbolspeicher 23 symbol memory
24 Positionsspeicher  24 position memory
25 Wahleinheit, Voter  25 voting unit, Voter
30 Hintergrundkomponente  30 background component
31 Hintergrundseitenspeicher  31 background page memory
40 Multiplexer für Grafikdatenstrom, MXU1 40 multiplexer for graphic data stream, MXU1
41 Multiplexer für externe Videoquellendaten, MXU2  41 multiplexer for external video source data, MXU2
50 System-Management-Funktion, Testeinrichtung, BITE-Modul  50 system management function, test equipment, BITE module
A Nicht-sicherheitskritisches Zusatzsignal A Non-safety-critical additional signal
B Externes Videoquellensignal B External video source signal
C Sicherheitskritisches Signal  C Safety-critical signal
D Grafikdatenstrom  D graphic data stream

Claims

PATENTANSPRÜCH E PATENT CLAIMS E
1. 1.
Verfahren zur Darstellung von Daten auf der Anzeige (11) einer modularen Anzeigeneinheit (10), wobei die darzustellenden Daten sicherheitskritische Datenanteile und nicht-sicherheitskritische Datenanteile umfassen und die Daten der Anzeige (11) über einen Grafikdaten ström (D) zugeführt und auf der Anzeige (11) dargestellt werden,  A method of displaying data on the display (11) of a modular display unit (10), wherein the data to be displayed comprises safety-critical data portions and non-safety-critical data portions and the data is supplied to the display (11) via graphics data Ström (D) and displayed (11)
dadurch gekennzeichnet, dass eine Sicherheitskomponente (20) der Anzeigeneinheit (10) die sicherheitskritischen Datenanteile aufgrund von sicherheitskritischen Signalen erzeugt, welche der Anzeigeneinheit (10) zugeführt werden, während eine Hintergrundkomponente (30) der Anzeigeneinheit (10) die nicht-sicherheitskritischen Datenanteile in Form eines Hintergrundbildes erzeugt, und dass die sicherheitskritischen Datenanteile auf der Anzeige (11) über dieses Hintergrundbild gelegt werden, indem ein Multiplexer (40) den Grafikdatenstrom (D) zur Anzeige (11) zwischen der Sicherheitskomponente (20) und der Hintergrundkomponente (30) umschaltet, wodurch in bestimmten Bereichen Grafikinhalte des Hintergrundbildes verändert und sicherheitskritische Grafikinhalte eingebracht und auf der Anzeige (11) dargestellt werden. characterized in that a security component (20) of the display unit (10) generates the safety-critical data portions due to safety-critical signals which are supplied to the display unit (10) while a background component (30) of the display unit (10) the non-safety-critical data portions in the form a background image is generated, and that the safety-critical data portions are placed on the display (11) on this background image by a multiplexer (40) the graphics data stream (D) to display (11) between the security component (20) and the background component (30) switches , which changes graphic content of the background image in certain areas and introduces safety-critical graphics contents and displays them on the display (11).
2. Second
Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die A method according to claim 1, characterized in that the
Hintergrundkomponente (30) das Hintergrundbild aufgrund von in einem Hintergrundseitenspeicher (31 ) hinterlegten Hintergrundseiten erzeugt, wobei der Hintergrundseitenspeicher (31 ) Bestandteil der modularen Anzeigeneinheit (10) ist. Background component (30) generates the background image on the basis of background pages stored in a background page memory (31), wherein the background page memory (31) is part of the modular display unit (10).
3. Third
Verfahren nach einem oder beiden der Ansprüche 1 und 2, dadurch gekennzeichnet, dass die Hintergrundkomponente (30) das Hintergrundbild aufgrund von nicht-sicherheitskritischen Signalen (A;B) erzeugt, welche der modularen Anzeigeneinheit (10) extern zugeführt werden.  Method according to one or both of Claims 1 and 2, characterized in that the background component (30) generates the background image on the basis of non-safety-critical signals (A; B) which are supplied externally to the modular display unit (10).
4. 4th
Verfahren nach einem oder mehreren der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass bei der Erzeugung der sicherheitskritischen Datenanteile durch die Sicherheitskomponente (20) Symbole verwendet werden, welche aus einem Symbolspeicher (23) der Sicherheitskomponente (20) aufgerufen werden, während für die Ermittlung der Position dieser Symbole Positionen aus einem Positionsspeicher (24) aufgerufen werden.  Method according to one or more of claims 1 to 3, characterized in that in the generation of safety-critical data shares by the security component (20) symbols are used, which are called from a symbol memory (23) of the security component (20), while for the determination the position of these symbols positions are called from a position memory (24).
5. 5th
Verfahren nach einem oder mehreren der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die sicherheitskritischen Datenanteile innerhalb einer Architektur der Sicherheitskomponente (20) wenigstens zweifach redundant erzeugt werden, und eine Wahleinheit (25) der Sicherheitskomponente (20) vor Einspeisung in den Grafikdatenstrom (D) eine Auswahl zwischen den redundant erzeugten sicherheitskritischen Datenanteilen durchführt. Method according to one or more of claims 1 to 4, characterized in that the safety-critical data components within an architecture of the security component (20) are generated at least twice redundant, and a selection unit (25) of the security component (20) before being fed into the graphics data stream (D ) performs a selection between the redundantly generated safety-critical data shares.
6. 6th
Modulare Anzeigeneinheit (10) zur Darstellung von Daten auf einer Anzeige (1 1 ) der modularen Anzeigeneinheit (10), wobei die darzustellenden Daten sicherheitskritische Datenanteile und nicht- sicherheitskritische Datenanteile umfassen und die Anzeigeneinheit (10) Mittel zur Zuführung der Daten zu der Anzeige (1 1 ) über einen Grafikdatenstrom (D) und Mittel zur Darstellung der Daten auf der Anzeige (1 1 ) aufweist, dadurch gekennzeichnet, dass die Anzeigeneinheit (10) wenigstens eine Sicherheitskomponente (20) und eine Hintergrundkomponente (30) umfasst, wobei die Sicherheitskomponente (20) ausgebildet ist, um die sicherheitskritischen Datenanteile aufgrund von sicherheitskritischen Signalen zu erzeugen, welche der Anzeigeneinheit (10) zugeführt wurden, während die Hintergrundkomponente (30) ausgebildet ist, um die nicht- sicherheitskritischen Datenanteile in Form eines Hintergrundbildes zu erzeugen, und dass die Anzeigeneinheit (10) ferner wenigstens einen Multiplexer (40) umfasst, welcher ausgebildet ist, um den Grafikdaten ström (D) zur Anzeige (1 1 ) zwischen den Datenanteilen der Sicherheitskomponente (20) und der Hintergrundkomponente (30) umzuschalten.  Modular display unit (10) for displaying data on a display (1 1) of the modular display unit (10), the data to be displayed comprising safety-critical data portions and non-safety-critical data portions, and the display unit (10) comprising means for supplying the data to the display (11). 1 1) via a graphic data stream (D) and means for displaying the data on the display (1 1), characterized in that the display unit (10) comprises at least one security component (20) and a background component (30), wherein the security component (20) is designed to generate the safety-critical data components on the basis of safety-critical signals which have been supplied to the display unit (10), while the background component (30) is designed to generate the non-safety-critical data components in the form of a background image, and the display unit (10) further comprises at least one multiplexer (40) st, which is adapted to switch the graphic data ström (D) for display (1 1) between the data components of the security component (20) and the background component (30).
7. 7th
Modulare Anzeigeneinheit nach Anspruch 6, dadurch gekennzeichnet, dass die Sicherheitskomponente (20) zur Erzeugung der sicherheitskritischen Datenanteile eine wenigstens zweifach redundante Architektur und eine Wahleinheit (25) zur Auswahl und Einspeisung von redundant erzeugten Datenanteilen in den Grafikdaten ström (D) umfasst. Modular display unit according to claim 6, characterized in that the safety component (20) for generating the safety-critical data shares an at least twice redundant architecture and a selection unit (25) for selecting and feeding redundantly generated data shares in the graphic data ström (D).
8. 8th.
Modulare Anzeigeneinheit nach einem oder beiden Ansprüche 6 und 7, dadurch gekennzeichnet, dass die Sicherheitskomponente (20) wenigstens einen Symbolspeicher (23) und einen Positionsspeicher (24) umfasst, wobei in dem Symbolspeicher (23) Symbole für sicherheitskritische Datenanteile hinterlegt sind, während in dem Positionsspeicher (24) zugehörige Positionen für Symbole hinterlegt sind.  Modular display unit according to one or both of Claims 6 and 7, characterized in that the security component (20) comprises at least one symbol memory (23) and one position memory (24), symbols for security-critical data portions being stored in the symbol memory (23) the position memory (24) associated positions are stored for symbols.
9. 9th
Modulare Anzeigeneinheit nach einem oder mehreren der Ansprüche 6 bisModular display unit according to one or more of claims 6 to
8, dadurch gekennzeichnet, dass sie einen Hintergrundseitenspeicher (31 ) umfasst, der in Verbindung mit der Hintergrundkomponente (30) steht, wobei in dem Hintergrundseitenspeicher (31 ) Hintergrundseiten zur Erzeugung des Hintergrundbildes hinterlegt sind. 8, characterized in that it comprises a background page memory (31), which is in communication with the background component (30), wherein in the background page memory (31) background pages are deposited for generating the background image.
10. 10th
Modulare Anzeigeneinheit nach einem oder mehreren der Ansprüche 6 bis Modular display unit according to one or more of claims 6 to
9, dadurch gekennzeichnet, dass sie wenigstens einen Eingang zur Einspeisung nicht-sicherheitskritischer Signale in die Hintergrundkomponente (30) aufweist, welche zur Erzeugung des Hintergrundbildes verwendbar sind. 9, characterized in that it comprises at least one input for feeding non-safety-critical signals into the background component (30), which can be used to generate the background image.
EP13718149.1A 2012-05-04 2013-04-15 Method for depicting safety-critical data via a display unit; display unit Withdrawn EP2845185A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE201210207439 DE102012207439A1 (en) 2012-05-04 2012-05-04 Method for displaying safety-critical data by a display unit; display unit
PCT/EP2013/057757 WO2013164181A1 (en) 2012-05-04 2013-04-15 Method for depicting safety-critical data via a display unit; display unit

Publications (1)

Publication Number Publication Date
EP2845185A1 true EP2845185A1 (en) 2015-03-11

Family

ID=48170446

Family Applications (1)

Application Number Title Priority Date Filing Date
EP13718149.1A Withdrawn EP2845185A1 (en) 2012-05-04 2013-04-15 Method for depicting safety-critical data via a display unit; display unit

Country Status (4)

Country Link
US (1) US20150109340A1 (en)
EP (1) EP2845185A1 (en)
DE (1) DE102012207439A1 (en)
WO (1) WO2013164181A1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3040862B1 (en) 2014-12-30 2016-12-28 Matthias Auchmann Method and system for the safe visualization of safety-relevant information
KR102373465B1 (en) 2016-01-04 2022-03-11 삼성전자주식회사 Display apparatus, multi display apparatus and image display method using the same
DE102016003359B4 (en) * 2016-03-18 2023-07-20 Mercedes-Benz Group AG display device
LT3549842T (en) 2018-04-06 2022-07-25 Thales Management & Services Deutschland Gmbh Train traffic control system and method for safe displaying a state indication of a route and train control system
DE102021001673B3 (en) 2021-03-30 2022-06-15 Mercedes-Benz Group AG Method and device for the safe display of ASIL-relevant data on a display device of a motor vehicle
FR3122491B1 (en) * 2021-04-30 2023-06-02 Safran Electronics & Defense Critical and non-critical information display system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4639721A (en) * 1982-10-09 1987-01-27 Sharp Kabushiki Kaisha Data selection circuit for the screen display of data from a personal computer
US6822624B2 (en) * 2002-09-10 2004-11-23 Universal Avionics Systems Corporation Display generation system
US20060044328A1 (en) * 2004-08-26 2006-03-02 Rai Barinder S Overlay control circuit and method
WO2008062592A1 (en) * 2006-11-22 2008-05-29 Sharp Kabushiki Kaisha Display control unit, on-vehicle display system, display controller, and on-vehicle display
US8751067B2 (en) * 2007-02-27 2014-06-10 The Boeing Company Electronic flight bag system and method
FR2919951B1 (en) * 2007-08-08 2012-12-21 Airbus France SYSTEM FOR PROCESSING AND DISPLAYING DATA
US8073580B2 (en) * 2007-10-30 2011-12-06 Honeywell International Inc. Standby instrument system
CA2707373A1 (en) * 2010-06-14 2011-12-14 Ievgenii Bakhmach Platform and method to implement safety critical instrumentation and control (i&c) functions

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2013164181A1 *

Also Published As

Publication number Publication date
US20150109340A1 (en) 2015-04-23
WO2013164181A1 (en) 2013-11-07
DE102012207439A1 (en) 2013-11-07

Similar Documents

Publication Publication Date Title
WO2013164181A1 (en) Method for depicting safety-critical data via a display unit; display unit
EP3605256B1 (en) System and method for monitoring the condition of an unmanned aerial vehicle
EP2833349B1 (en) Method and device for representing a safety-relevant state
EP2273369A1 (en) Method for presenting safety-relevant information on a display device and device for carrying out the method
EP2367083A1 (en) Device for creating a program for a memory programmable control device, programming device and method for programming a memory programmable control device
DE112008003195T5 (en) Electrical circuit with a physical transmission layer diagnostic system
EP3074293B1 (en) Method for revealing errors in a signal-box computer system, and signal-box computer system
EP2879935A2 (en) Method for revealing errors in a signal box computer system, and signal box computer system
WO2014048641A1 (en) User interface and method for error diagnosis of an industrial plant
EP3265360B1 (en) Method and device for displaying a course of a process of at least one railway safety unit, and railway safety system having such a device
EP3712770B1 (en) Monitoring unit for safety-related graphical user interfaces
DE102010026392B4 (en) Procedure for the safe parameterization of a safety device
EP2941738A1 (en) Method for revealing errors in a signal box computer system, and signal box computer system
DE102008021241B4 (en) Measured value display, in particular in the driver's cab of a rail vehicle
DE102005007477B4 (en) Programmable control for machine and / or plant automation with standard control and safety functions and communication with a safety I / O and method for operating the programmable controller
DE102014218191A1 (en) Method for operating a traffic control system
DE102019202862B4 (en) Device for providing image data
EP3317856B1 (en) Method for checking the accuracy of a representation of image data on a display means and display device
EP2560085A1 (en) Method for configuring a display device for displaying dynamic alarm messages of a control and monitoring system for a technical automation assembly
WO2021073938A1 (en) Method and apparatus for outputting, by means of an output module, representations of conditions relevant to the safe operation of a vehicle
WO2011113405A1 (en) Controller arrangement
EP3646313B1 (en) Apparatus and method for displaying image data on a secured display
EP3629112B1 (en) Method for displaying discrepancies between a user program for a programmable controller and its copy
EP3629141B1 (en) Method and device for checking a configuration parameter value
DE202006016012U1 (en) System architecture for firmware, has two memory units, and safe input and output that are connected with one memory unit, where safe output is secured by checksum during modification or execution of application

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20141013

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20160421

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20160902