ES2961528T3 - Procedure for the operation of a display system and procedure for the operation of a safety-critical system - Google Patents

Procedure for the operation of a display system and procedure for the operation of a safety-critical system Download PDF

Info

Publication number
ES2961528T3
ES2961528T3 ES16203135T ES16203135T ES2961528T3 ES 2961528 T3 ES2961528 T3 ES 2961528T3 ES 16203135 T ES16203135 T ES 16203135T ES 16203135 T ES16203135 T ES 16203135T ES 2961528 T3 ES2961528 T3 ES 2961528T3
Authority
ES
Spain
Prior art keywords
display
representation
screen
emergency
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16203135T
Other languages
Spanish (es)
Inventor
Volker Morneweg
Wolfgang-Reza Sharavi
Christian Wallner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GTS Deutschland GmbH
Original Assignee
GTS Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GTS Deutschland GmbH filed Critical GTS Deutschland GmbH
Application granted granted Critical
Publication of ES2961528T3 publication Critical patent/ES2961528T3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0081On-board diagnosis or maintenance
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0063Multiple on-board control systems, e.g. "2 out of 3"-systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/009On-board display devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Alarm Systems (AREA)
  • Digital Computer Display Output (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

La invención se refiere a un método para operar un sistema de visualización para mostrar de forma segura información operativamente relevante dentro de un sistema crítico para la seguridad, comprendiendo el sistema de visualización un primer dispositivo de visualización con una primera pantalla y un segundo dispositivo de visualización con una segunda pantalla y un dispositivo de monitoreo. en el que en el funcionamiento estándar una visualización estándar predeterminada, que contiene toda la información relevante para el funcionamiento, se divide en dos visualizaciones parciales, mostrándose la primera visualización parcial en la primera visualización y la segunda visualización parcial en la segunda visualización; en el que la supervisión del correcto funcionamiento de las dos pantallas se lleva a cabo mediante el dispositivo de supervisión; y en el que, en caso de que se detecte un mal funcionamiento de una de las pantallas, se muestra un mensaje de falla en la pantalla en funcionamiento, y el sistema de visualización se coloca en un modo de mal funcionamiento en el que se muestra una pantalla de emergencia que contiene menos información que la pantalla estándar. . El procedimiento según la invención permite el funcionamiento seguro de un sistema crítico para la seguridad a pesar del fallo de una de las dos indicaciones del sistema de visualización. (Traducción automática con Google Translate, sin valor legal)The invention relates to a method of operating a display system to securely display operationally relevant information within a safety-critical system, the display system comprising a first display device with a first screen and a second display device with a second screen and a monitoring device. wherein in standard operation a predetermined standard display, containing all information relevant to operation, is divided into two partial displays, the first partial display being shown in the first display and the second partial display being shown in the second display; wherein the supervision of the correct operation of the two screens is carried out by the monitoring device; and wherein, in the event that a malfunction of one of the displays is detected, a fault message is displayed on the operating display, and the display system is placed in a malfunction mode in which it is displayed an emergency screen that contains less information than the standard screen. . The method according to the invention allows the safe operation of a safety-critical system despite the failure of one of the two indications of the display system. (Automatic translation with Google Translate, without legal value)

Description

DESCRIPCIÓNDESCRIPTION

Procedimiento para el funcionamiento de un sistema de visualización y procedimiento para el funcionamiento de un sistema crítico para la seguridad Procedure for the operation of a display system and procedure for the operation of a safety-critical system

Antecedentes de la invenciónBackground of the invention

La invención se refiere a un procedimiento para el funcionamiento de un sistema de visualización para la visualización segura de información operativamente relevante predeterminada dentro de un sistema crítico para la seguridad, en donde el sistema de visualización comprende un primer equipo de visualización con una primera pantalla y un segundo equipo de visualización con una segunda pantalla, así como un equipo de supervisión (preferiblemente en cada pantalla), para supervisar el funcionamiento correcto de las pantallas. The invention relates to a method for operating a display system for the secure display of predetermined operationally relevant information within a safety-critical system, wherein the display system comprises a first display equipment with a first screen and a second display equipment with a second screen, as well as monitoring equipment (preferably on each screen), to monitor the correct operation of the screens.

Un procedimiento de este tipo se conoce, por ejemplo, por [1]. A procedure of this type is known, for example, from [1].

Los sistemas críticos para la seguridad presentan por regla general una interfaz hombre-máquina (Man Machine Interface = MMI). Una interfaz hombre-máquina de este tipo es un sistema de visualización en el que se representa de manera predeterminada información operativamente relevante y, dado el caso, información adicional, como por ejemplo la visualización de cabina de maquinista de un vehículo motor de un tren. Safety-critical systems generally have a human-machine interface (MMI). Such a human-machine interface is a display system in which operationally relevant information and, where appropriate, additional information, such as the display of the driver's cabin of a train motor vehicle, is displayed by default.

El sistema de visualización comprende una pantalla que está dividida en zonas distintas, en donde cada zona está prevista para mostrar una información de una categoría de información determinada. Una visualización de este tipo se conoce por [2]. The display system comprises a screen that is divided into different zones, where each zone is intended to display information from a given category of information. Such a visualization is known from [2].

Para aumentar la disponibilidad del sistema de visualización se conoce usar dos pantallas redundantes entre las que el conductor puede conmutar manualmente [1]. Sin embargo, para esta disposición se necesita mucho espacio, tienen que instalarse dos unidades funcionales completas. To increase the availability of the display system it is known to use two redundant displays between which the driver can switch manually [1]. However, this arrangement requires a lot of space, two complete functional units have to be installed.

El artículo "Das neue Mensch-Maschine-Interface der Lokomotive BR 185" de Werner Geier en la revista Eisenbahn-Revue, del número 9/1999 describe a partir de la página 372 un concepto de redundancia en el que la pantalla de diagnóstico muestra información de la MMI en caso de error. The article "Das new Mensch-Maschine-Interface der Lokomotive BR 185" by Werner Geier in the magazine Eisenbahn-Revue, issue 9/1999 describes from page 372 a redundancy concept in which the diagnostic display shows information of the MMI in case of error.

Objetivo de la invenciónObjective of the invention

Por lo tanto, es objetivo de la invención proponer un procedimiento para el funcionamiento de un sistema de visualización con el que se aumenta la disponibilidad del sistema crítico para la seguridad. Therefore, it is the objective of the invention to propose a procedure for the operation of a display system with which the availability of the safety-critical system is increased.

Descripción de la invenciónDescription of the invention

Este objetivo se consigue según la invención mediante el procedimiento de la reivindicación 1. A este respecto, en un funcionamiento convencional una representación convencional predeterminada, que contiene toda la información operativamente relevante predeterminada, está dividida en dos visualizaciones parciales, en donde la primera visualización parcial se representa en la primera pantalla y la segunda visualización parcial en la segunda pantalla. La supervisión del funcionamiento correcto de las dos pantallas se lleva a cabo mediante el equipo de supervisión. Preferiblemente, el equipo de supervisión está integrado en las pantallas, preferiblemente en cada caso una unidad de supervisión por equipo de visualización. En el caso de una avería de una de las pantallas detectada por el equipo de supervisión, se visualiza un mensaje de fallo confirmable en la pantalla en funcionamiento (no averiada) y el sistema de visualización se pasa a un modo de avería, en el que se muestra una representación de emergencia que contiene menos información que la representación convencional, por ejemplo después de la confirmación del mensaje de fallo por parte del usuario o después de que haya transcurrido un tiempo establecido. This object is achieved according to the invention by the method of claim 1. In this regard, in a conventional operation a predetermined conventional representation, which contains all the predetermined operationally relevant information, is divided into two partial displays, wherein the first partial display is represented on the first screen and the second partial display on the second screen. Supervision of the correct operation of the two screens is carried out by the supervision equipment. Preferably, the monitoring equipment is integrated into the displays, preferably in each case one monitoring unit per display equipment. In the event of a malfunction of one of the displays detected by the monitoring equipment, a confirmable fault message is displayed on the operating (non-faulty) display and the display system is put into a fault mode, in which An emergency display containing less information than the conventional display is displayed, for example after confirmation of the fault message by the user or after a set time has elapsed.

La representación convencional comprende la representación completa de ambas pantallas. Si bien la representación de emergencia contiene menos información que la representación convencional, aún contiene toda la información operativamente relevante para un funcionamiento seguro. The conventional representation includes the complete representation of both screens. Although the emergency representation contains less information than the conventional representation, it still contains all the information operationally relevant for safe operation.

Con el procedimiento según la invención se necesitan dos equipos de visualización, en cada caso una pantalla; sin embargo, debido al hecho de que en cada pantalla se visualiza únicamente una visualización parcial de la representación convencional (representación completa), los dos equipos de visualización juntos apenas son más grandes que un equipo de visualización habitual con una sola pantalla. Al mismo tiempo, con el procedimiento según la invención se garantiza que, incluso en caso de fallo de una de las pantallas, se visualice la información operativamente relevante, de modo que el sistema crítico para la seguridad pueda seguir funcionando a pesar del fallo de una pantalla. Con el uso del procedimiento según la invención en el tráfico ferroviario se permite conducir el tren de forma segura hasta la estación de destino prevista con una pantalla defectuosa. Esto significa que, a pesar de una pantalla defectuosa, aún se puede llegar al final de un viaje en tren planificado. With the method according to the invention, two display devices are needed, in each case a screen; However, due to the fact that only a partial display of the conventional representation (full representation) is displayed on each screen, the two display devices together are hardly larger than a conventional display device with a single screen. At the same time, the method according to the invention ensures that, even in the event of failure of one of the screens, the operationally relevant information is displayed, so that the safety-critical system can continue to function despite the failure of one. screen. Using the method according to the invention in railway traffic makes it possible to safely drive the train to the intended destination station with a defective display. This means that despite a faulty display, you can still reach the end of a planned train journey.

El procedimiento según la invención se utiliza preferiblemente para la visualización de una representación convencional especificada en ERA ERTMS 015560 Versión 3.6. The method according to the invention is preferably used for the display of a conventional representation specified in ERA ERTMS 015560 Version 3.6.

El tamaño definido en ERA_ERTMS_015560 v360 y la división de la visualización (Representación convencional) en una pantalla se distribuye según la invención en dos pantallas separadas que se complementan en la visualización completa en ERA_ERTM<s>_015560 v360. En el caso de fallo de una pantalla, la información operativamente necesaria se representa en la pantalla funcional restante, con la posibilidad de realizar las entradas necesarias para continuar conduciendo de forma limitada. The size defined in ERA_ERTMS_015560 v360 and the division of the display (Conventional Representation) on one screen is distributed according to the invention on two separate screens that complement each other in the complete display in ERA_ERTM<s>_015560 v360. In the event of a display failure, the operationally necessary information is represented on the remaining functional display, with the possibility of making the necessary inputs to continue driving on a limited basis.

En el caso del sistema crítico para la seguridad se trata preferiblemente de un equipo de señalización, en particular para el tráfico ferroviario, por ejemplo según lo especificado en ETCS Nivel 2 Línea Base 3 Rel. 2, Subconjunto 026 V3.6. En ETCS Nivel 2 Línea Base 3 Rel. 2, Subconjunto 026 V3.6, la representación de visualización está prescrita por la norma ERA_ERTMS_015560 v360. Por lo tanto, la representación convencional del procedimiento según la invención corresponde preferiblemente a las especificaciones de representación realizadas en ERA_ERTMS_015560 v360, pero según la invención se representa dividida en dos pantallas. In the case of the safety critical system this is preferably signaling equipment, in particular for railway traffic, for example as specified in ETCS Level 2 Baseline 3 Rel. 2, Subset 026 V3.6. In ETCS Level 2 Baseline 3 Rel. 2, Subset 026 V3.6, the display representation is prescribed by the ERA_ERTMS_015560 v360 standard. Therefore, the conventional representation of the method according to the invention preferably corresponds to the representation specifications made in ERA_ERTMS_015560 v360, but according to the invention it is represented divided into two screens.

Por "información operativamente relevante" se entiende información sin la cual el sistema crítico para la seguridad no debe funcionar o que es necesaria para cumplir una norma de seguridad deseada. Esta se especifica por regla general por el operador del sistema crítico para la seguridad o por normas relacionadas con el sistema crítico para la seguridad. En el tráfico ferroviario, la información operativamente relevante incluye, entre otras cosas, la velocidad actual, la información de distancia y la información de estado. La información operativamente relevante se determina antes de que se configure el sistema crítico para la seguridad, por ejemplo por el operador o mediante una norma relativa al sistema crítico para la seguridad. "Operationally relevant information" means information without which the safety-critical system must not operate or that is necessary to meet a desired safety standard. This is usually specified by the operator of the safety-critical system or by standards related to the safety-critical system. In rail traffic, operationally relevant information includes, among other things, current speed, distance information and status information. Operationally relevant information is determined before the safety-critical system is configured, for example by the operator or by a standard relating to the safety-critical system.

En la representación de emergencia usada en el modo de avería, toda la información operativamente relevante se visualiza con la pantalla en funcionamiento. En la representación de emergencia se omite al menos parcialmente información operativamente irrelevante, de modo que la información operativamente relevante se pueda representar claramente en la pantalla funcional individual. Toda la información operativamente relevante previamente establecida se concentra en una única representación de emergencia en el modo de avería y, por lo tanto, está disponible en todo momento. In the emergency display used in breakdown mode, all operationally relevant information is displayed with the display in operation. In the emergency display, operationally irrelevant information is at least partially omitted, so that operationally relevant information can be clearly displayed on the individual functional display. All previously established operationally relevant information is concentrated in a single emergency representation in breakdown mode and is therefore available at all times.

En una variante especialmente preferida, en el modo de avería (es decir, cuando ha fallado uno de los dos equipos de visualización que se complementan en el funcionamiento convencional), en el equipo de visualización con la pantalla en funcionamiento se puede conmutar entre la representación de emergencia, en la que se visualiza toda la información operativamente relevante y una representación adicional reducida con respecto a la representación convencional, en donde "reducida con respecto a la representación convencional" significa que se representa menos información que en la representación convencional. En esta variante se proporcionan al menos dos representaciones (representación de emergencia con la información operativamente relevante y una o varias representaciones adicionales con información adicional). Preferiblemente, la representación de emergencia y la(s) representación(es) adicional(es) juntas contienen toda la información de la representación convencional. En la "representación adicional" preferiblemente no está contenida ninguna información operativamente relevante. De este modo, en el modo de avería se pueden representar claramente información operativamente relevante distinta y se puede consultar información adicional y realizar entradas "desplazándose" entre la representación de emergencia y la representación adicional. El cambio entre las distintas representaciones en el modo de avería se puede realizar por medio de una función de desplazamiento virtual. En el modo de avería, según la invención, la representación de emergencia corresponde a la primera visualización parcial de la representación convencional. La visualización adicional, a la que se puede acceder mediante desplazamiento, corresponde a la segunda visualización parcial de la representación convencional. También pueden estar previstas otras representaciones adicionales, por ejemplo para visualizar otros menús de la norma ERA. In a particularly preferred variant, in the failure mode (i.e. when one of the two display devices that complement each other in conventional operation has failed), in the display device with the screen in operation it is possible to switch between the representation emergency, in which all operationally relevant information is displayed and an additional representation reduced with respect to the conventional representation, where "reduced with respect to the conventional representation" means that less information is represented than in the conventional representation. In this variant at least two representations are provided (emergency representation with the operationally relevant information and one or more additional representations with additional information). Preferably, the emergency representation and the additional representation(s) together contain all the information of the conventional representation. In the "additional representation" preferably no operationally relevant information is contained. In this way, different operationally relevant information can be clearly displayed in the fault mode and additional information can be called up and entries made by "switching" between the emergency display and the additional display. Switching between the different displays in the breakdown mode can be done by means of a virtual scroll function. In the breakdown mode, according to the invention, the emergency display corresponds to the first partial display of the conventional display. The additional display, which can be accessed by scrolling, corresponds to the second partial display of the conventional representation. Other additional displays may also be provided, for example to display other menus of the ERA standard.

Para evitar que, en determinadas situaciones, el usuario se concentre demasiado desplazándose entre las representaciones, es ventajoso que se pueda activar y desactivar la posibilidad de pasar de la representación de emergencia a la representación adicional. Preferiblemente, en el caso del sistema crítico para la seguridad se trata de un medio de locomoción, en particular de un vehículo sobre carriles o de un avión. El usuario (conductor de tren, piloto) deberá poder cambiar entre las diferentes representaciones individuales cuando el vehículo está en reposo, mientras que la función de desplazamiento no debería distraer innecesariamente la concentración del usuario durante la conducción. Por lo tanto, es ventajoso cuando en el modo de avería se permite el cambio entre la representación de emergencia y la representación adicional (preferiblemente de manera exclusiva) en función de un estado de movimiento, en particular de la velocidad, del medio de locomoción. Preferiblemente el sistema de visualización funciona en modo de desplazamiento (cambio entre representación de emergencia y representación adicional) cuando el medio de locomoción está parado. En cuanto el vehículo se mueve (v > 0 km/h), el modo de desplazamiento se desactiva y se visualiza únicamente la representación de emergencia para que el conductor del vehículo pueda concentrarse en la ruta. Para determinar el estado de movimiento del medio de locomoción, por ejemplo, un ordenador de control (en el caso de ETCS, EVC) puede registrar la velocidad del medio de locomoción y transmitir información de velocidad a la visualización de cabina de maquinista (DMI). Allí se evalúa la información de velocidad y se determina el estado de movimiento (reposo o en marcha) y en función del estado de movimiento se activa o desactiva la función de desplazamiento. En cuanto la velocidad es superior a cero, se visualiza únicamente la representación de emergencia, que contiene toda la información operativamente relevante. To prevent the user from concentrating too much while switching between the displays in certain situations, it is advantageous if the possibility of switching from the emergency display to the additional display can be activated and deactivated. Preferably, in the case of the safety-critical system it is a means of locomotion, in particular a rail vehicle or an aircraft. The user (train driver, pilot) should be able to switch between the different individual displays when the vehicle is at rest, while the scrolling function should not unnecessarily distract the user's concentration while driving. It is therefore advantageous when in the breakdown mode the switching between the emergency display and the additional display is allowed (preferably exclusively) depending on a state of movement, in particular the speed, of the means of locomotion. Preferably the display system operates in scroll mode (switching between emergency display and additional display) when the means of locomotion is stopped. As soon as the vehicle is moving (v > 0 km/h), the travel mode is deactivated and only the emergency display is displayed so that the vehicle driver can concentrate on the road. To determine the state of movement of the means of locomotion, for example, a control computer (in the case of ETCS, EVC) can record the speed of the means of locomotion and transmit speed information to the driver's cabin display (DMI). . There the speed information is evaluated and the movement state is determined (rest or running) and depending on the movement state the travel function is activated or deactivated. As soon as the speed is above zero, only the emergency display is displayed, which contains all operationally relevant information.

En una variante especial, en el funcionamiento convencional, una de las dos visualizaciones parciales contiene toda la información operativamente relevante predeterminada. Al conmutar al modo de avería, la visualización parcial completa del funcionamiento convencional con la información operativamente relevante puede conservarse como representación de emergencia o mostrarse en otra pantalla (dependiendo de qué pantalla presenta una avería). No es necesario crear una disposición separada de la información operativamente relevante para la representación de emergencia en el modo de avería. Con ello se garantiza que la representación de emergencia en la pantalla restante siga cumpliendo con las especificaciones de ERA_ERTMS_015560 v360 y que el operador vea la vista habitual. In a special variant, in conventional operation, one of the two partial displays contains all predetermined operationally relevant information. When switching to fault mode, the complete partial display of conventional operation with operationally relevant information can be retained as an emergency display or displayed on another screen (depending on which screen shows a fault). It is not necessary to create a separate arrangement of operationally relevant information for emergency representation in breakdown mode. This ensures that the emergency representation on the remaining screen still meets the specifications of ERA_ERTMS_015560 v360 and that the operator sees the usual view.

Preferiblemente, en el modo de avería se activa una visualización de fallo (7) en la pantalla defectuosa, en particular en el marco de pantalla, que muestra el fallo de la pantalla defectuosa, por ejemplo mediante un indicador luminoso integrado en el marco. Preferably, in the failure mode, a fault display (7) is activated on the defective screen, in particular on the display frame, which shows the failure of the defective screen, for example by means of a light indicator integrated in the frame.

En una variante especialmente preferida se supervisa la capacidad funcional de las dos pantallas por medio del equipo de supervisión y en el caso de una avería se provoca la activación de la visualización de fallo y/o la visualización del mensaje de fallo. In a particularly preferred variant, the functional capacity of the two displays is monitored by means of the monitoring equipment and in the event of a fault, the fault display and/or the display of the fault message is triggered.

La supervisión de la capacidad funcional de las pantallas tiene lugar a este respecto preferiblemente mediante el equipo de visualización asociado. El equipo de supervisión comprende entonces dos unidades de supervisión, que son en cada caso parte de uno de los equipos de visualización. Preferiblemente cada equipo de visualización comprende preferiblemente un equipo de supervisión que supervisa la pantalla del mismo equipo de visualización. En el caso de un fallo o error detectado, el equipo de supervisión informa al otro equipo de visualización. Monitoring of the functional capacity of the displays preferably takes place by means of the associated display equipment. The monitoring device then comprises two monitoring units, which are in each case part of one of the display devices. Preferably each display device preferably comprises a monitoring device that monitors the screen of the same display device. In the case of a detected fault or error, the monitoring equipment informs the other display equipment.

La invención se refiere también al uso de un equipo de visualización que se hace funcionar según un procedimiento descrito anteriormente como interfaz hombre-máquina, en particular como visualización de cabina de maquinista de un vehículo sobre carriles. The invention also relates to the use of a display device operated according to a method described above as a human-machine interface, in particular as a display of the driver's cabin of a rail vehicle.

Además, la invención se refiere a un procedimiento según la reivindicación 12 para el funcionamiento de un sistema crítico para la seguridad con un sistema de visualización que comprende un primer equipo de visualización con una primera pantalla, un segundo equipo de visualización con una segunda pantalla y un equipo de supervisión para supervisar el funcionamiento correcto de las pantallas. Según la invención, en caso de fallo de una de las pantallas del sistema de visualización: Furthermore, the invention relates to a method according to claim 12 for the operation of a safety-critical system with a display system comprising a first display equipment with a first screen, a second display equipment with a second screen and a monitoring team to monitor the correct operation of the screens. According to the invention, in the event of failure of one of the screens of the display system:

• por medio del procedimiento descrito anteriormente, se activa un modo de avería (modo degradado) del sistema de visualización, que garantiza puede seguir representándose que toda la información operativamente relevante; y • by means of the procedure described above, a failure mode (degraded mode) of the display system is activated, which ensures that all operationally relevant information can continue to be displayed; and

• después de haberse activado el modo de avería del sistema de visualización, el sistema crítico para la seguridad pasa a un modo de funcionamiento restringido. • after display system failure mode has been activated, the safety critical system enters a restricted operating mode.

En el funcionamiento restringido, el sistema crítico para la seguridad puede seguir funcionando de manera segura, el sistema de visualización se hace funcionar a este respecto en modo de avería. Dado que en el modo de avería solo se visualiza una parte de la información contenida en la representación convencional (representación de emergencia), en el funcionamiento restringido no se permiten, o solo se permiten bajo determinadas condiciones, acciones para la información que no esté contenida en la representación de emergencia. En el caso de un tren que funciona según ETCS, la confirmación del mensaje de fallo se lleva a cabo por el conductor del vehículo motor. Mediante el funcionamiento restringido del sistema crítico para la seguridad con el sistema de visualización en caso de avería se garantiza que el tren siga circulando hasta el final del recorrido planificado. Si la confirmación del modo de avería por el conductor del vehículo motor no tiene lugar dentro de un tiempo determinado, el ordenador de control conmuta automáticamente al modo de avería. Mediante el modo de avería del sistema de visualización se evita por lo tanto una parada inmediata con posterior mantenimiento obligatorio. Entradas que, por ejemplo, no están permitidas en el funcionamiento restringido son, por ejemplo, cambios de conductor durante la marcha, dado que habría que introducir información sobre el maquinista, que, sin embargo, no entra en la categoría de "información operativamente relevante", sino más bien en "información adicional operativamente necesaria". In restricted operation, the safety-critical system can continue to operate safely, the display system being operated in fault mode in this regard. Since only part of the information contained in the conventional display (emergency display) is displayed in fault mode, actions for information that is not contained are not permitted in restricted operation, or are only permitted under certain conditions. in emergency representation. In the case of a train operating according to ETCS, the confirmation of the fault message is carried out by the driver of the motor vehicle. The restricted operation of the safety-critical system with the breakdown display system ensures that the train continues to run until the end of the planned route. If confirmation of the breakdown mode by the driver of the motor vehicle does not take place within a certain time, the control computer automatically switches to the breakdown mode. The failure mode of the display system therefore avoids an immediate shutdown with subsequent mandatory maintenance. Inputs that are not permitted in restricted operation are, for example, driver changes while driving, since information about the driver would have to be entered, which, however, does not fall into the category of "operationally relevant information ", but rather in "additional operationally necessary information."

Preferiblemente, el sistema crítico para la seguridad se pasa automáticamente al modo de funcionamiento restringido tan pronto como el sistema de visualización se encuentra en el modo de avería. Preferably, the safety critical system is automatically put into restricted operating mode as soon as the display system is in the fault mode.

Otras ventajas de invención se desprenden de la descripción y del dibujo. Asimismo, según la invención, las características mencionadas anteriormente y las que se detallan con más detalle se pueden usar en cada caso individualmente o en cualquier combinación de varias de las mismas. Las formas de realización mostradas y descritas no han de entenderse como una enumeración exhaustiva, sino que tienen más bien un carácter a modo de ejemplo para la exposición de la invención, que se define por las reivindicaciones. Other advantages of the invention emerge from the description and the drawing. Likewise, according to the invention, the features mentioned above and those detailed in more detail can be used in each case individually or in any combination of several of them. The embodiments shown and described are not to be understood as an exhaustive list, but rather have an exemplary character for the presentation of the invention, which is defined by the claims.

Descripción detallada de la invención y dibujoDetailed description of the invention and drawing

La figura 1 muestra un diagrama de flujo para el funcionamiento del sistema de visualización según la invención para su uso con un medio de locomoción. Figure 1 shows a flow chart for the operation of the display system according to the invention for use with a means of locomotion.

La figura 2 muestra un sistema de visualización con dos equipos de visualización en funcionamiento convencional. Figure 2 shows a display system with two display devices in conventional operation.

La figura 3 muestra el sistema de visualización de la figura 2, en el que ha fallado una pantalla. Figure 3 shows the display system of Figure 2, in which one display has failed.

La figura 4 muestra el sistema de visualización de la figura 2 en modo de fallo con representación de emergencia. Figure 4 shows the display system of Figure 2 in failure mode with emergency representation.

La figura 5 muestra el sistema de visualización de la figura 2 en modo de fallo con representación de emergencia y función de desplazamiento activada. Figure 5 shows the display system of Figure 2 in failure mode with emergency representation and scroll function activated.

La figura 6 muestra el sistema de visualización de la figura 2 en modo de fallo con representación adicional y función de desplazamiento activada. Figure 6 shows the display system of Figure 2 in failure mode with additional representation and scroll function activated.

Lafigura 1muestra el desarrollo de funcionamiento según la invención de un sistema de visualización1mostrado en las figuras 2 a 6 con dos equipos de visualización para un medio de locomoción. Figure 1 shows the development of operation according to the invention of a display system 1 shown in Figures 2 to 6 with two display devices for a means of locomotion.

En primer lugar, el sistema de visualización 1 se hace funcionar en funcionamiento convencional, tal como se muestra en lafigura 2. Cada dispositivo de visualización comprende una pantalla2, 3.Cuando el sistema de visualización funciona correctamente, se hace funcionar en el modo convencional, en el que se representa una representación convencional en las pantallas 2, 3, en donde la representación convencional se divide en dos visualizaciones parciales y en cada caso una de las dos visualizaciones parciales se representa en una pantalla. Las pantallas 2, 3 están divididas en zonas4, 4’distintas, a las que está asignada una información determinada, por ejemplo en el marco de una norma. Las zonas 4, 4' se representan en este caso solo a modo de ejemplo. En el caso de una visualización de cabina de maquinista de un tren, el sistema de visualización se divide, por ejemplo, en: información de distancia supervisada durante una curva de frenado en marcha, información de velocidad, información adicional, planificación de eventos predictivos, supervisión de sistemas técnicos y entradas del conductor del vehículo motor. En el presente ejemplo, en los campos 4 en la pantalla izquierda 2 se mostrará información operativamente relevante (en el caso de un tren, por ejemplo, información de distancia y velocidad) y en los campos 4' en la pantalla derecha información adicional operativamente necesaria (por ejemplo, posibilidades de entrada para el conductor del tren, planificación de eventos futuros, etc.). First, the display system 1 is operated in conventional operation, as shown in Figure 2. Each display device comprises a screen 2, 3. When the display system works properly, it is operated in the conventional mode, in which a conventional representation is represented on screens 2, 3, wherein the conventional representation is divided into two partial displays and in each case one of the two partial displays is represented on one screen. Screens 2, 3 are divided into different zones 4, 4', to which specific information is assigned, for example within the framework of a standard. The zones 4, 4' are shown here only by way of example. In the case of a train driver's cab display, the display system is divided, for example, into: monitored distance information during a running braking curve, speed information, additional information, predictive event planning, supervision of technical systems and driver inputs of the motor vehicle. In the present example, operationally relevant information will be displayed in fields 4 on the left screen 2 (in the case of a train, for example, distance and speed information) and additional operationally necessary information will be displayed in fields 4' on the right screen. (e.g. input possibilities for the train driver, planning future events, etc.).

La aptitud funcional de las dos pantallas 2, 3 se supervisa por medio de un equipo de supervisión (no mostrado). Si el equipo de supervisión detecta que la pantalla izquierda 2 ha fallado, se muestra un mensaje de fallo5en la pantalla derecha 3 aún en funcionamiento(figura 3).Si se confirma el mensaje de fallo, el sistema de visualización 1 se pasa a modo de avería y la información operativamente relevante (que se mostraba hasta el momento en la pantalla izquierda 2) se muestra en una representación de emergencia en la pantalla 3 aún en funcionamiento, tal como se muestra en lafigura 4. Si no tiene lugar una confirmación del mensaje de fallo, la pantalla 2 averiada se desconecta y el sistema de visualización 1 también se pasa a modo de avería después de que haya transcurrido un periodo de tiempo predeterminado. Adicionalmente, en el equipo de visualización 1 con la pantalla 3 aún en funcionamiento se puede activar una visualización de modo de avería6(por ejemplo, un campo luminoso que se muestra en la pantalla (figuras 4, 5)) de modo que el usuario reconozca inmediatamente que el sistema de visualización 1 se encuentra en modo de avería. La pantalla defectuosa 2 se puede marcar como defectuosa mediante activación de una visualización de fallo7(por ejemplo, un LED rojo o un icono). The functional suitability of the two screens 2, 3 is monitored by means of monitoring equipment (not shown). If the monitoring equipment detects that the left display 2 has failed, a fault message 5 is displayed on the right display 3 while still in operation (figure 3). If the fault message is confirmed, the display system 1 is switched to standby mode. malfunction and the operationally relevant information (which was previously displayed on the left display 2) is displayed in an emergency representation on the still operating display 3, as shown in Figure 4. If a confirmation of the message does not take place of fault, the faulty display 2 is switched off and the display system 1 is also put into fault mode after a predetermined period of time has elapsed. Additionally, on the display equipment 1 with the screen 3 still in operation a failure mode display6 can be activated (for example, a light field shown on the screen (Figures 4, 5)) so that the user recognizes immediately that display system 1 is in fault mode. The faulty screen 2 can be marked as faulty by activating a fault display7 (e.g. a red LED or an icon).

En particular, cuando el procedimiento según la invención se va a usar para el funcionamiento de un medio de locomoción (por ejemplo, un tren), puede estar prevista una función de desplazamiento que depende del estado de movimiento. Para ello se determina el estado de movimiento (velocidad y/o dirección) y en función del estado del movimiento se activa o desactiva la función de desplazamiento. Lafigura 5y lafigura 6muestran el sistema de visualización 1 con una función de desplazamiento activada, mostrándose en la figura 5 la representación de emergencia, que contiene toda la información operativamente relevante, y en la figura 6 una representación adicional con información adicional. Para cambiar entre la representación de emergencia y la representación adicional está prevista una función de desplazamiento8, 8', con la se puede conmutar en cada caso a la otra representación respectiva. La función de desplazamiento 8, 8' puede estar dispuesta en la pantalla 3 (figura 5) o en el marco de pantalla 9 (figura 6). Preferiblemente, tan pronto como la velocidad sea mayor que cero, la función de desplazamiento se desactiva de modo que solo la representación de emergencia sea visible en la pantalla en funcionamiento 3. In particular, when the method according to the invention is to be used for the operation of a means of locomotion (for example, a train), a displacement function may be provided that depends on the state of movement. To do this, the state of movement (speed and/or direction) is determined and depending on the state of movement, the movement function is activated or deactivated. Figure 5 and Figure 6 show the display system 1 with an activated scroll function, with Figure 5 showing the emergency representation, which contains all operationally relevant information, and Figure 6 showing an additional representation with additional information. To switch between the emergency display and the additional display, a scroll function 8, 8' is provided, with which it is possible to switch in each case to the respective other display. The scroll function 8, 8' may be arranged on the screen 3 (Figure 5) or on the screen frame 9 (Figure 6). Preferably, as soon as the speed is greater than zero, the scroll function is deactivated so that only the emergency representation is visible on the running screen 3.

Según la invención, en el caso de un fallo de una pantalla, el sistema de visualización se pasa a modo de avería y el sistema crítico para la seguridad puede seguir funcionando en funcionamiento restringido. A este respecto en la pantalla en funcionamiento se muestra una representación de emergencia con toda la información operativamente relevante. Mediante la representación de emergencia reducida con respecto a la representación convencional, se pueden usar pantallas que ahorran espacio sin perder información operativamente relevante. Por lo tanto, el procedimiento según la invención permite un funcionamiento seguro de un sistema crítico para la seguridad a pesar del fallo de una pantalla del sistema de visualización. According to the invention, in the event of a display failure, the display system is put into fault mode and the safety-critical system can continue to operate in restricted operation. In this regard, an emergency display with all operationally relevant information is shown on the display in operation. By reducing emergency representation with respect to conventional representation, space-saving displays can be used without losing operationally relevant information. Therefore, the method according to the invention allows safe operation of a safety-critical system despite the failure of a screen of the display system.

Lista de referenciasReference List

1 Sistema de visualización con dos equipos de visualización 1 Display system with two display units

2 primera pantalla del primer equipo de visualización 2 first screen of the first display computer

3 segunda pantalla del segundo equipo de visualización 3 second screen of the second display equipment

4 campos de información para información operativamente relevante 4 information fields for operationally relevant information

4' campos de información para información adicional operativamente necesaria 4' information fields for additional operationally necessary information

5 mensaje de fallo (mensaje confirmable cuando se determina que una de las pantallas no funciona correctamente) 5 fault message (confirmable message when it is determined that one of the screens is not working correctly)

6 visualización de modo de avería (mensaje en el equipo de visualización con pantalla en funcionamiento de que el sistema de visualización se encuentra en el modo de avería) 7 visualización de fallo (visualización en la pantalla que está activada cuando se determina que la pantalla correspondiente es defectuosa y/o cuando la pantalla defectuosa se desconecta debido a la activación del modo de avería) 6 fault mode display (message on the display equipment with the screen in operation that the display system is in fault mode) 7 fault display (display on the screen that is activated when it is determined that the corresponding screen is defective and/or when the defective display is disconnected due to activation of the fault mode)

8, 8' Botón de desplazamiento (tecla/elemento de pantalla táctil para conmutar entre representación de emergencia y representación adicional) 8, 8' Scroll button (key/touch screen element to switch between emergency display and additional display)

9 Marco 9 Frame

Lista bibliográficaBibliographic list

[1] http://www.deuta.de/mft-r.aspx [1] http://www.deuta.de/mft-r.aspx

[2] https://de.wikipedia.org/wiki/European_Train_Control_System [2] https://de.wikipedia.org/wiki/European_Train_Control_System

Claims (13)

REIVINDICACIONES 1. Procedimiento para el funcionamiento de un sistema de visualización (1) para la visualización segura de información operativamente relevante predeterminada dentro de un sistema crítico para la seguridad, en particular un equipo de señalización para vehículos, en donde el sistema de visualización (1) comprende un primer equipo de visualización con una primera pantalla (2) y un segundo equipo de visualización con una segunda pantalla (3) así como un equipo de supervisión para supervisar el funcionamiento correcto de las pantallas (2, 3),1. Procedure for the operation of a display system (1) for the safe display of predetermined operationally relevant information within a safety-critical system, in particular vehicle signaling equipment, wherein the display system (1) it comprises a first display device with a first screen (2) and a second display device with a second screen (3) as well as a monitoring device to monitor the correct operation of the screens (2, 3), en donde en un funcionamiento convencional una representación convencional predeterminada, que contiene toda la información operativamente relevante predeterminada, está dividida en dos visualizaciones parciales, en donde la primera visualización parcial se representa en la primera pantalla (2) y la segunda visualización parcial en la segunda pantalla (3);wherein in a conventional operation a predetermined conventional representation, containing all the predetermined operationally relevant information, is divided into two partial displays, wherein the first partial display is represented on the first screen (2) and the second partial display on the second screen (3); en donde la supervisión del funcionamiento correcto de las dos pantallas (2, 3) se lleva a cabo mediante el equipo de supervisión; ywhere the supervision of the correct operation of the two screens (2, 3) is carried out by the supervision equipment; and en donde en el caso de una avería determinada en una de las pantallas (2), en la pantalla en funcionamiento (3) se visualiza un mensaje de fallo (5) confirmable y el sistema de visualización (1) se pasa a un modo de avería, en el que se muestra una representación de emergencia,where in the case of a specific fault on one of the screens (2), a confirmable fault message (5) is displayed on the operating screen (3) and the display system (1) is switched to a backup mode. breakdown, in which an emergency representation is shown, caracterizado por que la representación de emergencia contiene menos información que la representación convencional, en donde la representación de emergencia de la primera visualización parcial corresponde a la representación convencional.characterized in that the emergency representation contains less information than the conventional representation, where the emergency representation of the first partial display corresponds to the conventional representation. 2. Procedimiento según la reivindicación 1, caracterizado por que en la representación de emergencia, sobre la pantalla en funcionamiento (3) se visualiza toda la información operativamente relevante.2. Method according to claim 1, characterized in that in the emergency representation, all operationally relevant information is displayed on the operating screen (3). 3. Procedimiento según la reivindicación 1 o 2, caracterizado por que en el modo de avería en el equipo de visualización con la pantalla en funcionamiento (3) se puede conmutar entre la representación de emergencia, en la que se visualiza toda la información operativamente relevante, y una representación adicional reducida con respecto a la representación convencional.3. Method according to claim 1 or 2, characterized in that in the failure mode on the display device with the display in operation (3) it is possible to switch between the emergency display, in which all operationally relevant information is displayed. , and an additional representation reduced with respect to the conventional representation. 4. Procedimiento según la reivindicación 3, caracterizado por que se puede activar y desactivar la posibilidad de cambiar de la representación de emergencia a la representación adicional.4. Method according to claim 3, characterized in that the possibility of switching from the emergency representation to the additional representation can be activated and deactivated. 5. Procedimiento según una de las reivindicaciones anteriores, caracterizado por que en el caso del sistema crítico para la seguridad se trata de un medio de locomoción, en particular de un vehículo sobre carriles o de un avión.5. Method according to one of the preceding claims, characterized in that in the case of the safety-critical system it is a means of locomotion, in particular a rail vehicle or an airplane. 6. Procedimiento según la reivindicación 4 y 5, caracterizado por que en el modo de avería se permite el cambio entre la representación de emergencia y la representación adicional en función, preferiblemente de manera exclusiva en función, de un estado de movimiento, en particular de la velocidad, del medio de locomoción.6. Method according to claim 4 and 5, characterized in that in the failure mode the change between the emergency representation and the additional representation is allowed depending, preferably exclusively depending on, a state of movement, in particular of the speed of the means of locomotion. 7. Procedimiento según una de las reivindicaciones anteriores, caracterizado por que en el funcionamiento convencional una de las dos visualizaciones parciales contiene toda la información operativamente relevante predeterminada.7. Method according to one of the preceding claims, characterized in that in conventional operation one of the two partial displays contains all the predetermined operationally relevant information. 8. Procedimiento según una de las reivindicaciones anteriores, caracterizado por que en el modo de avería en la pantalla defectuosa (3), en particular en el marco de pantalla (9), se activa una visualización de fallo (7).8. Method according to one of the preceding claims, characterized in that in the failure mode on the defective display (3), in particular on the display frame (9), a fault display (7) is activated. 9. Procedimiento según una de las reivindicaciones anteriores, caracterizado por que la capacidad funcional de las dos pantallas (2, 3) se supervisa por medio del equipo de supervisión, y en el caso de una avería el equipo de supervisión provoca la activación de la visualización de fallo (7) y/o la visualización del mensaje de fallo (5).9. Method according to one of the preceding claims, characterized in that the functional capacity of the two screens (2, 3) is monitored by means of the monitoring equipment, and in the event of a breakdown the monitoring equipment causes the activation of the fault display (7) and/or display of the fault message (5). 10. Procedimiento según la reivindicación 9, caracterizado por que la supervisión de la capacidad funcional de las pantallas (2, 3) tiene lugar mediante el equipo de visualización asociado.10. Method according to claim 9, characterized in that the monitoring of the functional capacity of the screens (2, 3) takes place by means of the associated display equipment. 11. Uso de un sistema de visualización (1), que se hace funcionar según un procedimiento según una de las reivindicaciones anteriores, como interfaz hombre-máquina, en particular como visualización de cabina de maquinista de un vehículo sobre carriles.11. Use of a display system (1), which is operated according to a method according to one of the preceding claims, as a human-machine interface, in particular as a display of the driver's cabin of a rail vehicle. 12. Procedimiento para el funcionamiento de un sistema crítico para la seguridad con un sistema de visualización (1) que comprende un primer equipo de visualización con una primera pantalla (2), un segundo equipo de visualización con una segunda pantalla (3) y con un equipo de supervisión para supervisar el funcionamiento correcto de las pantallas (2, 3),12. Procedure for the operation of a safety-critical system with a display system (1) comprising a first display device with a first screen (2), a second display device with a second screen (3) and with a supervision team to monitor the correct operation of the screens (2, 3), caracterizado por que en caso de fallo de una de las pantallas del sistema de visualización:characterized in that in the event of failure of one of the screens of the display system: • por medio de un procedimiento según una de las reivindicaciones anteriores se activa un modo de avería del sistema de visualización, que garantiza que puede seguir representándose toda la información operativamente relevante;• by means of a method according to one of the preceding claims, a failure mode of the display system is activated, which ensures that all operationally relevant information can continue to be displayed; • después de haberse activado el modo de avería del sistema de visualización, el sistema crítico para la seguridad se pasa a un modo de funcionamiento restringido.• after display system failure mode has been activated, the safety critical system is placed in a restricted operating mode. 13. Procedimiento según la reivindicación 12, caracterizado por que el sistema crítico para la seguridad se pasa automáticamente al modo de funcionamiento restringido en cuanto el sistema de visualización se encuentra en el modo de avería.13. Method according to claim 12, characterized in that the safety-critical system is automatically switched to the restricted operating mode as soon as the display system is in the failure mode.
ES16203135T 2016-12-09 2016-12-09 Procedure for the operation of a display system and procedure for the operation of a safety-critical system Active ES2961528T3 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP16203135.5A EP3333041B1 (en) 2016-12-09 2016-12-09 Method for operating a display system and method for operating a critical safety system

Publications (1)

Publication Number Publication Date
ES2961528T3 true ES2961528T3 (en) 2024-03-12

Family

ID=57796096

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16203135T Active ES2961528T3 (en) 2016-12-09 2016-12-09 Procedure for the operation of a display system and procedure for the operation of a safety-critical system

Country Status (2)

Country Link
EP (1) EP3333041B1 (en)
ES (1) ES2961528T3 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008038618A1 (en) * 2008-08-12 2010-02-18 Bombardier Transportation Gmbh Failure condition indicating method for track-bound vehicle, involves activating lights by output devices during reception of control signal in cab or activating failure indicator lamp during reception of control signal
US20140088802A1 (en) * 2012-09-27 2014-03-27 Siemens Industry, Inc. Railway train control system having multipurpose display

Also Published As

Publication number Publication date
EP3333041B1 (en) 2023-08-23
EP3333041A1 (en) 2018-06-13

Similar Documents

Publication Publication Date Title
ES2567052T3 (en) Operating procedure of a motor vehicle during and / or after a collision
ES2262989T3 (en) INSTRUMENTATION AND CONTROL CIRCUIT WITH MULTIPLE DIFFERENT SOURCES TO PROVIDE WARNINGS, INDICATIONS AND CONTROLS AND A VALVE FOR INTEGRATED CAB PRESSURE CONTROL SYSTEM, WHICH INCLUDES IT.
BRPI0617998A2 (en) aircraft and aircraft display system
CN104053582A (en) Vehicle operator display and assistive mechanisms
ES2708222T3 (en) Current transmission system and procedure for managing a power transmission system
JP2014125006A (en) Vehicular display control device
US10046780B2 (en) Operation of a rail vehicle by means of an ETCS device
ES2961528T3 (en) Procedure for the operation of a display system and procedure for the operation of a safety-critical system
Cummings et al. Shared authority concerns in automated driving applications
ES2729803T3 (en) Provision of an indication device for the indication of electronic seat reservation in a vehicle
JP5075377B2 (en) Air Light Control Panel
ES2657309T3 (en) Operation of a vehicle on rails
CN103832595B (en) Display system for airborne vehicle driving cabin
KR20150136976A (en) System for protectiing trains
ES2402452T3 (en) Procedure for recognizing and assigning stop cases and device for recognizing stop cases for a railway safety system
ES2664233T3 (en) Method for auxiliary operation of a track element, as well as operation control system
CN104986163B (en) A kind of train multisystem merges display device and method
KR20150105822A (en) Lamp error detection system
ES2896174T3 (en) Procedure for operating a track installation, as well as a maneuvering station for a track installation
KR101275027B1 (en) Man machine interface apparatus for railway car
RU2485446C1 (en) Integrated system of reserve instruments
ES2874522T3 (en) Procedure and device for the adjustment of at least one itinerary of a railway installation
JP6522532B2 (en) Switch circuit and electric parking brake control device using the switch circuit
CN105008207A (en) Rail vehicle comprising a tachometer-speed display device, and a method for operating such a rail vehicle
ES2573777T3 (en) Procedure to control, ensure and / or monitor rail traffic as well as operations control system