JP2020533661A - ヒューマンマシンインタフェースのリモート制御のための方法およびシステム - Google Patents
ヒューマンマシンインタフェースのリモート制御のための方法およびシステム Download PDFInfo
- Publication number
- JP2020533661A JP2020533661A JP2020502278A JP2020502278A JP2020533661A JP 2020533661 A JP2020533661 A JP 2020533661A JP 2020502278 A JP2020502278 A JP 2020502278A JP 2020502278 A JP2020502278 A JP 2020502278A JP 2020533661 A JP2020533661 A JP 2020533661A
- Authority
- JP
- Japan
- Prior art keywords
- human
- hmi
- machine interface
- graphic information
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000012800 visualization Methods 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 3
- 238000002405 diagnostic procedure Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 238000010998 test method Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 239000000047 product Substances 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000013065 commercial product Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000004064 dysfunction Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000011076 safety test Methods 0.000 description 1
- 239000010409 thin film Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
- B61L25/02—Indicating or recording positions or identities of vehicles or trains
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
- B61L25/06—Indicating or recording the setting of track apparatus, e.g. of points, of signals
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
- B61L25/06—Indicating or recording the setting of track apparatus, e.g. of points, of signals
- B61L25/08—Diagrammatic displays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Mechanical Engineering (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- User Interface Of Digital Computer (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Selective Calling Equipment (AREA)
Abstract
リモート制御およびヒューマンマシンインタフェースのための方法およびシステム。 本本発明は、鉄道または交通システムにおいて使用されるモニタ、パネル、ディスプレイ、画面、その他などのグラフィカルユーザインタフェースのステータスをリモート制御するための方法に関する。 信頼性の高い安全レベルを実現して、リアルタイムにグラフィックインタフェースに表示される情報が、交通ネットワークの実際の状況に対応していることを人々が確信できるようにするべく、画像エラボレーション‐生成ブロックと安全性ブロックとの間にフィードバック制御ループが提供される。好ましい解決法によれば、制御ループのブロック間の通信は暗号化される。本発明の制御方法を用いることにより、COTS端末など、市販のグラフィカルユーザインタフェースを使用するときでも、鉄道ネットワークにおいて、最高の安全レベルを達成することが可能である。
Description
幅広い一般的な態様において、本発明は、鉄道、機器、デバイス、交通システム、その他の制御および/または調整において使用されるものなどのヒューマンマシンインタフェースに関する。
この説明を更に続ける前に、次のことに留意する必要がある。本発明は特に、鉄道輸送において使用されるモニタ、パネル、ディスプレイ、画面、その他など、コンピュータ端末のリモート制御を目的にしているが、発明の原理は、産業で使用される他のグラフィックインタフェースにも適用し得る。
実際、多くの技術的または工業分野において、機器または製造プロセスの動作ステータスについての情報が、コンピュータ動作環境のインタフェースに表示されることが周知である。
周知のように、鉄道の交通ネットワークにおいて使用されるものなどのセーフティクリティカル用途の監視および制御システムにより、人間のオペレータは、特定の安全性の要件に適合する必要があるグラフィックインタフェースを用いて、システムの状態をインタラクティブにモニタリングすることが可能である。
オペレータは、画面上に表示される情報を使用して、どれが人々および物、すなわち、鉄道用途における乗客および電車の安全性に影響を与えるかについて決定できる。
結果的な影響として、安全性または障害の診断に関連するクリティカルの状況の検出および制御は、画面、パネル、モニタ、または類似のものに表示される画像の信頼性に大きく依存する。
輸送用鉄道のための動画視覚化システムは一般に、駅などの重要な場所に位置し、相対的なステータスおよびアラームリストと共に、重要なシステム情報を表示するコンピュータネットワークから成る。
鉄道産業に関連して、中央制御室は、現在の電車の経路、信号現示、電車位置など、コンピュータ画面上に知覚可能なデータを表示することによって、電車をモニタリングおよび監視するために、頻繁に編成される。シグナリングシステム状態の信頼できる評価を保証するべく、すぐに検出されるセーフティクリティカルイベントおよび/または異常な挙動の発生のために、画像フローの完全な制御を保証することが重要である。
例えば、静止画像の後の視覚化に起因して、動画フレームのリフレッシュが無いことは、決定タスクにおけるクリティカルな側面であり得て、ユーザ業務の運用有効性が低減する。
情報を安全に表示するべく、結果的なアーキテクチャが特定の安全インテグリティレベル(SIL)に適合するように、画像を供給するシステムのすべての部分が整理および制御されることが一般に要求される。
アーキテクチャの観点から、監視および制御システムは、基本的に、ヒューマンマシンインタフェース(HMI)であり、これに関して、ユーザがこのタスクまたは決定を実行するために採用するすべての要素を含む。
このことは、結果としての製品が安全性の目標を達成するようにオペレータを最適にサポートすることを確実にするべく、すべてのシステムのコンポーネントが設計において考慮される必要があることを示している。
詳細には、CENELEC EN(すなわち、European technical norms issue by the European Committee for Electrotechnical Standardization)など、国際的に認められている規格に従う特定の安全レベルに設計が適合するように、画像処理チェーンにおいて潜在的なエラーソースを検出するための適切かつ広範な試験および制御機構を計画する必要がある。
これは容易なタスクではない。なぜなら、CPU、グラフィックカード、メモリ、および、すべての他のハードウェア要素など、ならびに、グラフィカルユーザインタフェース、オペレーティングシステム、ドライバソフトウェアなど、設計のすべての部分が制御される必要があるからである。
視覚化システムが通常、当業者にCOTSとも称される市販の製品(すなわち、既製品)に基づいていることを考慮すると、制御はよりクリティカルになり、内部の詳細を網羅的に知ること、従って、障害モードを定義することが不可能であるという事実に起因する、後の制限がある。
図1は、従来技術に係る典型的なHMIの図表示を示す。シンボルステータス生成のためのサブシステムまたはユニット(安全ニュークレアス(safety nucleus))は、参照番号1で示される。データエラボレーションおよび画像生成のためのユニットまたはサブシステム(既製品またはCOTS端末)は2と称される。画像視覚化のためのサブシステム(既製品のビデオカードおよびモニタリング)はブロック3である。
CENELEC規格に従うセーフティクリティカルソフトウェアの発展に起因して、シンボルステータス生成のプロセスを安全に考慮できると主張することは可能である。
それにも関わらず、周期的試験、信頼性チェック、制御フローモニタリング、重複計算および比較など、EN 50128によって計画されたすべての動作段階は、視覚化システムの信頼性を向上させることが可能であるが、それ自体では十分でない。なぜなら、図1において分かるように、重要な画像は、異なる既製品コンポーネントを通るセーフティクリティカルパスを超えることを強いられるからである。
既製品またはCOTS端末を使用する、現在周知のHMIの制限は、そのような端末が障害の後に不正確な情報を示すことをどのように防止するかである。
より具体的には、エラボレーションユニットによって生成される画像は、認識された障害の存在下においても、モニタ、画面、パネル、動画サポート、または同様のものに尚表示され得る。COTSコンポーネントの機能不全的な挙動は、視覚化の正確度に影響する。
現在、認証されたモニタを使用することにより、それらの信頼性に関連する、あり得る問題が除去される。それにも関わらず、既製品のオペレーティングシステム、グラフィックライブラリ、および、ビデオカードが、現在の解決法において採用されているので、それらの制御は、重要な側面であり続けている。
安全なオペレータインタフェースを提供するために、HMIベースのシステムに適用される、周知の異なる技法があり、信頼性の高い決定およびモニタリング動作を保証するという利点がある。大部分の場合において、動画データのフローの管理は、セーフティクリティカルプロセスをモニタリングするための試験プロシージャを通して達成される。それらは、視覚化ソフトウェアタスク、グラフィック制御におけるエラー、または、グラフィックメモリにおける障害など、最終的な結果の画像に影響し得るエラーの認識に基づく。
これらの目的を達成するのに役立つ文献において、革新的な手法を見つけることができる。動画データ転送中の、あり得るデータ破損の検出について、例えば、欧州特許出願EP 2 244 188において、解決法が提供されている。ここで、ビットマップデータの一部は、周知のアルゴリズムに従って、体系的に変換される。このようにして、画像生成ユニットは、関連する変換機構を通して、効果的なデータコヒーレンスを検証する可能性を有する。視覚化に基づくシステムにおいて、この技法は、主要なメモリ(CPUなど)から副次的なメモリ(ビデオメモリなど)へのビットマップデータの正確な転送を想定するのに有用であることが明らかになっている。
潜在的なエラーは、未発見のままであり得るので、残りのセーフティクリティカルユニットを適切に試験および管理するべく、更なる補完的な機構が提供される必要がある。しかしながら、他方で、特に、リアルタイムの用途について、類似の技法の広範な採用が、システム全体の完全な管理を確実にする場合、結果として、非常に時間とコストがかかるものになり得る。
近年、この問題は、動画データを効果的に処理すること、および、内部プロシージャを通してそのインテグリティを検証することが可能な専用モジュールを従来のシステムに導入することによって乗り越えられた。
この先端技術の例は、国際(PCT)特許出願WO2011/003872によって開示される。ここでは、現在の画像のデータコヒーレンスが、FPGAベース安全試験ユニットによる比較を通してチェックされ、画像データを生成するコンピュータと、薄膜トランジスタ(TFT)ディスプレイまたはパネルとの間に明示的に挿入される。
この従来技術において、プログラマブルロジックの使用により、より時間効率の高い画像処理が可能になるが、共通の試験手法(結果のデータの結果的なチェックによる画像の部分的エラボレーションに基づく)は維持される。具体的には、WO2011/003872の場合において、入力画像は、より多くのセクションに分割され、安全性関連情報と非安全性関連情報との間で区別される。
各セーフティクリティカル画像に関連して、FPGAは、関連するフィンガープリント(巡回冗長検査またはCRCなど)を生成するための、および、表形式で以前保存された既存の参照コードとの対応を検索するための主要な役割を有する。その後、選択されたコードを、あり得る状態を代表する離散集合に属する画像に関連付けるために、メモリベースのチャートが使用される。
このようにして、入力画像部分の有効性が、予測される入力パラメータを基準として比較によって確立され、結果がネガティブである場合、結果的な安全上の反応を即座にアクティブ化できる。
WO2011/003872において開示される試験プロシージャは、特に、妥当な画像セットが限定される用途(タコメータなどの用途)だけに適切なであり、そのような方式により、コンピューティングリソースの過剰な消費を回避する。
したがって、鉄道制御の分野において、上記の手法は、生成された画像の全体または大部分が安全性関連情報から成る典型的な視覚化システムに適さない結果となる。
この場合、画像をより小さいサブエリアに分割することは可能でなく、通常は高い解像度を特徴とする大きい画像の処理および制御を両方行う必要があるという課題が結果として生じる。実際の状況において、生成された画像が、各々最大1920×1200ピクセルの解像度で、複数の(最大8)モニタに表示される必要があるということが起きる。
他方、典型的な画像に含まれる情報は、具体的な用途に依存する。したがって、表示されるデータの複雑性および可変性に起因して、WO 2011/003872に係るアドホックのフィンガープリントベースの表を予め用意しておくことは、合理的でない。
これにより、すべての起こりうる状態を考慮するために、システムの非効率的なオーバーロードを伴い得て、過剰なメモリ利用率を要求するという短所が追加される。
上記の試験方法、または、同等の手法の不適格性により、適切な安全レベル、および、鉄道用途によって要求される具体的な性能特性を保証するのに適切な新しいシステムアーキテクチャを採用する必要性がもたらされる。
上記に鑑みて、本発明の根底にある技術的問題は、従来技術の周知の制御システムの欠点を克服するように、そのような機能および/または動作的特徴を有する、ヒューマンマシンインタフェース(HMI)、グラフィックユーザインタフェース(GUI)、または同様のもののための制御システムを提供することであると言える。
この一般的問題において、端末、画面、ディスプレイ、またはその他などのCOTSコンポーネントを使用すること、および、安全性または技術的規制を遵守することを可能にするヒューマンマシンインタフェース(HMI)のための制御システムを提供することも本発明の目的である。
技術的問題を解決するための思想は、COTSコンポーネントまたは端末上の制御の欠失に対抗するのに適切な、好ましくはアルゴリズムによって実装できるプロセスを提供することである。
この目的のために、プロセスは、フィードバックループを用いてCOTSコンポーネントを制御する段階を含む。この手法は、より信頼性の高い画像の視覚化を提供する。
提案された解決法は、既製のコンポーネントを使用し、同時に、全体的な視覚化システムの安全性を向上させながら、従来技術の制限を克服することを可能にする。
COTS端末およびコンポーネント、すなわち、市販の製品を使用することにより、信頼性を損なうことなく、発明の方法を実装するシステムの全体的なコストも低減した。発明の特徴は、付属の特許請求の範囲において具体的に説明される。
そのような特徴は、以下に記載された、発明の好ましいが非限定的な実施形態の説明から、より明らかになるであろう。当該実施形態は、付属の図面を参照して以降で説明される。
一般に番号10で参照される、発明のHMIのブロック図を示す上記の図面、特に図2に関連して、簡潔にするために、識別された3つの主な動作ユニットまたはブロック、すなわち、HMIセーフサーバブロック11、HMI端末ブロック12、および、COTSモニタブロック13がある。
これらのブロックまたはユニット11、12および13は、図面において矢印で示されるように、互いに直列に接続され、好ましい実施形態によれば、HMIシステム10は、HMI端末12とHMIセーフサーバ11との間にフィードバック制御ループ15を含む。
全体的に、画像を生成してCOTSモニタ13上の動画に表示するプロセスは、2つのサブシステムHMIセーフサーバ11およびHMI端末12を伴う一連の段階に分割される。
より具体的には、HMIセーフサーバ11は、表示されるシンボルのステータスを生成する段階と、状態の暗号化コピーをHMI端末12へ送信する段階と、通常動作モードにおいて、状態を復号するための暗号鍵をHMI端末12へ提供する段階と、各HMI端末12で実行される診断テストの結果を監視し、それらを通常または安全動作モードに割り当てる段階とを実行する。
一方、HMI端末12は、HMIセーフサーバによって受信されたシンボルのステータスを、受信された鍵で解読する段階と、表示される画像を生成する段階と、HMIセーフサーバ11によって要求される診断ルーチンを実行する段階と、応答メッセージをHMIセーフサーバ11へ送信する段階とを実行する。
図3から図5のフローチャートから分かるように、本発明の新しく独自の特徴は、暗号化技法の使用を通して、HMIセーフサーバ11が個別のHMI端末12上のディスプレイの更新を安全に有効化/無効化することを可能するという点である。
特に、好ましい実施形態によれば、HMIセーフサーバ11とHMI端末12との間の通信では、以下の2つのレベルの暗号化を使用する。
1、すべてのHMI端末12を通してHMIセーフサーバ11によって送信されるシンボル状態を保護するためのAESを用いた対称鍵暗号。HMIセーフサーバ11は、各処理サイクルで変更される鍵「Ks」を使用する。
2.暗号鍵「Ks」を保護するためのRSAを用いた非対称鍵暗号。HMIセーフサーバ11は、更なる暗号化メッセージにおいて、「Ks」鍵(状態の解読に必要)を送信する。各HMI端末12につき一対の固有の鍵が存在する。各HMI端末12は、適切な鍵ブロックを復号するだけの鍵「Ks」を取得できる。
1、すべてのHMI端末12を通してHMIセーフサーバ11によって送信されるシンボル状態を保護するためのAESを用いた対称鍵暗号。HMIセーフサーバ11は、各処理サイクルで変更される鍵「Ks」を使用する。
2.暗号鍵「Ks」を保護するためのRSAを用いた非対称鍵暗号。HMIセーフサーバ11は、更なる暗号化メッセージにおいて、「Ks」鍵(状態の解読に必要)を送信する。各HMI端末12につき一対の固有の鍵が存在する。各HMI端末12は、適切な鍵ブロックを復号するだけの鍵「Ks」を取得できる。
図面において、Ksは、ステータスブロックを暗号化するのに使用される対称鍵である(図4、ポイント1)。Ktnは、HMI端末nに対してKsを暗号化するのに使用される公開非対称鍵である(図4、ポイント2)。Kpnは、解読Ktn(Ks)を操作するためにHMI端末nによって使用される秘密非対称鍵である(図5、ポイント1)。
シンボル状態の解読のために正しい鍵を提供すると、要求された診断結果をチェックした後に、HMIセーフサーバ11は、HMI端末12に、COTSモニタ13へ送信される出力画像を生成させる。
そのような認証が無い場合、HMI端末12は、有効な画像を生成するための正確な状態を構築できない。このことは、提案されたシステムを使用する用途に対して、2つの制約または条件を提供する。
第1の条件は、HMIセーフサーバ11によって処理される診断結果は、望ましい確率の範囲内で、あり得るHMI端末12の機能異常の識別を保証するように設計される必要があるということである。
第2の条件または制約は、非更新状態が無い場合、HMI端末12は、オペレータのCOTSモニタ13のために有効な画像を生成することができてはならないということである。
両方の場合において、どの解決法を適用するかには、用途の制約があるので、鉄道制御システムへの本発明の適用は、図6および図7を参照して、より良く説明される。
鉄道シグナリングの用途の文脈において、特に、オペレータインタフェースに関連して、HMI制御システム20は、図2における図面のHMIセーフサーバ11のように動作する安全ニュークレアス21を含み、一方、COTS PC22は、以前のHMI端末12のように動作する。
システムにおいて、COTS LCDモニタ23が使用される。これらの定義を考慮して、報告された下の表は、ディスプレイ23の正確度を保証するために対処される必要があるパラメータ(脅威)を水平線上に示す。垂直の列において、あり得る対策が報告されている。
表の各特徴は、図7のフロー図のように割り当てられることができる。
ここで開示される特徴のセットを使用して、フィードバック制御ループは、COTS端末22の安全な有効化または無効化を提供し、それにより、モニタ23を見ているオペレータが、それに表示される画像の完全な正確性に頼れることを保証する。
換言すれば、本発明に係るHMI制御システム20において、フィードバック制御ループ25によって信頼性が完全に試験された画像だけが最終的なモニタおよび/または画面、パネル、または、他の視覚的ディスプレイ23に送信される。
したがって、上の説明から、最初に説明された技術的問題を本発明がどのように解決するかを理解できる。
実際、提案された解決法は、COTSコンポーネントのクリティカルパスを制御するための閉ループを追加することによって、視覚化システムの全体的な安全性を改善する。
フィードバックチェーンにより、視覚化プロセスの信頼性は、使用されるCOTS製品の特定のセットから独立したものとなる。
より厳密には、シグナリングシンボルのステータスに対応する画像の安全な生成だけを必要なシステム仕様とみなすと、安全性目標に到達するために導入すべき他の重要な機構は存在しない。実際、機能異常のハードウェアまたはソフトウェアソースによって生じる著しいすべてのエラーは、フィードバックループに報告され、これにより、画像更新の安全な停止につながる。
提案される方法は、経済的な(すなわち、コスト上の)影響なく、既存のアーキテクチャに組み込まれ、カスタマイズされることが容易であるので、鉄道の分野において、プロプライエタリのハードウェアに基づく現在のモニタリングシステムをやめることが可能である。
その上、特定の用途から独立していることに起因して、本システムは、安全なグラフィック視覚化インタフェース(HMI、GUI、またはその他)が要求されるすべてのものに適用できる。
したがって、他の動作の文脈、または、他の企業にもその利用を広げて、人々および物の安全性を改善し、著しい社会的影響を与えることが可能である。
Claims (12)
- 鉄道の交通システム、またはその一部の監視および/または調整のために使用されるものなどのヒューマンマシンインタフェース(HMI)をリモート制御するための方法であって、
監視される前記交通システム、または、その一部のステータスについてのデータを取得して、グラフィックシンボルまたはグラフィック情報を適宜に生成する段階と、
前記グラフィック情報を処理して、対応する画像を生成する段階と、
前記画像を表示手段において視覚化する段階と
を備え、
前記グラフィック情報と、視覚化される前記画像とを比較して、互いに対応しているかどうかをチェックする段階であって、チェックによって対応していると判定されたデータによって生成された画像だけが前記表示手段によって視覚化される、段階を備える、
方法。 - 前記グラフィック情報は暗号化され、前記処理する段階は、前記視覚化の段階の前に、解読された前記グラフィック情報を、以前に取得されたものと比較するために、前記グラフィック情報を復号することを含む、請求項1に記載の方法。
- 好ましくは対称および非対称のタイプである2つのレベルの暗号化が使用される、請求項2に記載の方法。
- 前記交通システム、または、その一部のステータスについての取得された前記グラフィック情報はシンボルを含む、請求項1から3のいずれか一項に記載の方法。
- 前記処理の段階および/または前記視覚化の段階は、COTS端末および/またはCOTSディスプレイを用いてそれぞれ実行される、請求項1から4のいずれか一項に記載の方法。
- 前記交通システムは、鉄道または路面電車の路線である、請求項1から5のいずれか一項に記載の方法。
- 表示される前記グラフィックシンボルのステータスを生成する段階と、
前記ステータスの暗号化コピーをHMI端末へ送信する段階と、
通常の動作モードにおいて、前記ステータスを復号するための暗号鍵を前記HMI端末へ提供する段階と、
各HMI端末で実行される診断テストの結果を監視して、前記結果を前記通常の動作モードまたは安全動作モードに割り当てる段階と
を備える、請求項1から6のいずれか一項に記載の方法。 - 受信された鍵を用いて、HMIセーフサーバによって受信された前記グラフィックシンボルの前記ステータスを解読する段階と、
表示される前記画像を生成する段階と、
前記HMIセーフサーバによって要求される診断ルーチンを実行する段階と、
応答メッセージを前記HMIセーフサーバへ送信する段階と
を備える、請求項1から7のいずれか一項に記載の方法。 - 請求項1から6のいずれか一項に記載の方法を実行するためのヒューマンマシンインタフェースであって、
監視される前記交通システム、または、その一部の前記ステータスについてのデータを取得するための、および、グラフィックシンボルまたはグラフィック情報を適宜に提供するための安全ユニットまたは安全ニュークレアスと、
グラフィック情報および画像生成を処理するために前記安全ユニットと通信するヒューマンマシンインタフェース端末と、
画像を表示するために前記ヒューマンマシンインタフェース端末と通信する視覚化ユニットと、
を備え、前記安全ユニットは、グラフィック情報の暗号化のための手段を含み、前記ヒューマンマシンインタフェース端末は、前記グラフィック情報の復号のための手段を含む、
ヒューマンマシンインタフェース。 - 前記ヒューマンマシンインタフェース端末は、グラフィック情報の復号を操作し、それらを、前記安全ユニットまたは前記安全ニュークレアスによって提供される前記グラフィックシンボルまたは前記グラフィック情報と比較する、請求項9に記載のヒューマンマシンインタフェース。
- 前記安全ユニットまたは前記安全ニュークレアスは、前記ヒューマンマシンインタフェース端末による比較を監視する、請求項10に記載のヒューマンマシンインタフェース。
- 前記ヒューマンマシンインタフェース端末、および、視覚化手段は、COTSタイプの要素を含む、請求項9から11のいずれか一項に記載のヒューマンマシンインタフェース。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17184696.7A EP3438828B1 (en) | 2017-08-03 | 2017-08-03 | Method and system for remote control of human machine interfaces |
| EP17184696.7 | 2017-08-03 | ||
| PCT/IB2018/055183 WO2019025890A1 (en) | 2017-08-03 | 2018-07-13 | METHOD AND SYSTEM FOR REMOTE CONTROL OF MAN-MACHINE INTERFACE |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020533661A true JP2020533661A (ja) | 2020-11-19 |
| JP7263675B2 JP7263675B2 (ja) | 2023-04-25 |
Family
ID=59738113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020502278A Active JP7263675B2 (ja) | 2017-08-03 | 2018-07-13 | ヒューマンマシンインタフェースのリモート制御のための方法およびヒューマンマシンインタフェース |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11772694B2 (ja) |
| EP (1) | EP3438828B1 (ja) |
| JP (1) | JP7263675B2 (ja) |
| AU (1) | AU2018311366B2 (ja) |
| WO (1) | WO2019025890A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109189280B (zh) * | 2018-06-29 | 2022-04-01 | 南京铁道职业技术学院 | 语音屏幕鼠标校核下的图标安全操作方法 |
| IT202200003482A1 (it) | 2022-02-24 | 2022-05-24 | Rete Ferroviaria Italiana S P A | Sistema e metodo per la rappresentazione dello stato di un impianto ferroviario in un terminale operatore di tipo commerciale su rete aperta |
| IT202200003491A1 (it) | 2022-02-24 | 2022-05-24 | Rete Ferroviaria Italiana S P A | Metodo e sistema per generare un’immagine di uscita rappresentativa dello stato di un impianto ferroviario. |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050276514A1 (en) * | 2004-06-14 | 2005-12-15 | Fisher Paul A | Image monitoring method and system |
| JP2009510488A (ja) * | 2005-07-18 | 2009-03-12 | イノヴェイティヴ ソリューションズ アンド サポート インコーポレイテッド | 航空機フラットパネル表示システム |
| EP2244188A1 (en) * | 2009-04-25 | 2010-10-27 | Thales Deutschland Holding GmbH | Method for verifying correct data transfer to a video memory |
| EP2254039A1 (en) * | 2009-05-20 | 2010-11-24 | Bombardier Transportation GmbH | Visual display module with control of display data by checksum |
| JP2010268021A (ja) * | 2009-05-12 | 2010-11-25 | Hitachi Ltd | 列車制御システム |
| JP2011505613A (ja) * | 2007-11-07 | 2011-02-24 | ザ・ボーイング・カンパニー | 複数のミドルウェア環境全体のメッセージフローのサービス品質(qos)管理 |
| WO2013108381A1 (ja) * | 2012-01-18 | 2013-07-25 | トヨタ自動車 株式会社 | 情報処理装置及び情報処理方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2893436B1 (fr) * | 2005-11-15 | 2008-02-15 | Oberthur Card Syst Sa | Securisation entre des composants electroniques d'une entite electronique securisee portable |
| CN102473120B (zh) | 2009-07-06 | 2015-01-21 | 德意达-沃克股份有限公司 | 在显示器上表示安全相关信息的方法及应用该方法的设备 |
-
2017
- 2017-08-03 EP EP17184696.7A patent/EP3438828B1/en active Active
-
2018
- 2018-07-13 WO PCT/IB2018/055183 patent/WO2019025890A1/en active Application Filing
- 2018-07-13 AU AU2018311366A patent/AU2018311366B2/en active Active
- 2018-07-13 JP JP2020502278A patent/JP7263675B2/ja active Active
- 2018-07-13 US US16/636,166 patent/US11772694B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050276514A1 (en) * | 2004-06-14 | 2005-12-15 | Fisher Paul A | Image monitoring method and system |
| JP2009510488A (ja) * | 2005-07-18 | 2009-03-12 | イノヴェイティヴ ソリューションズ アンド サポート インコーポレイテッド | 航空機フラットパネル表示システム |
| JP2011505613A (ja) * | 2007-11-07 | 2011-02-24 | ザ・ボーイング・カンパニー | 複数のミドルウェア環境全体のメッセージフローのサービス品質(qos)管理 |
| EP2244188A1 (en) * | 2009-04-25 | 2010-10-27 | Thales Deutschland Holding GmbH | Method for verifying correct data transfer to a video memory |
| JP2010268021A (ja) * | 2009-05-12 | 2010-11-25 | Hitachi Ltd | 列車制御システム |
| EP2254039A1 (en) * | 2009-05-20 | 2010-11-24 | Bombardier Transportation GmbH | Visual display module with control of display data by checksum |
| WO2013108381A1 (ja) * | 2012-01-18 | 2013-07-25 | トヨタ自動車 株式会社 | 情報処理装置及び情報処理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2018311366A1 (en) | 2020-02-06 |
| WO2019025890A1 (en) | 2019-02-07 |
| JP7263675B2 (ja) | 2023-04-25 |
| AU2018311366B2 (en) | 2023-06-01 |
| EP3438828B1 (en) | 2019-12-11 |
| US11772694B2 (en) | 2023-10-03 |
| EP3438828A1 (en) | 2019-02-06 |
| US20200262458A1 (en) | 2020-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2498395C2 (ru) | Способ представления информации, имеющей отношение к безопасности, на дисплее и устройство для применения настоящего способа | |
| CN104778141B (zh) | 一种基于控制系统可信架构的tpcm模块及可信检测方法 | |
| JP2020533661A (ja) | ヒューマンマシンインタフェースのリモート制御のための方法およびシステム | |
| CN106227159A (zh) | 用于工业控制基础设施的使用动态签名的安防系统 | |
| CN106227161A (zh) | 用于工业控制基础设施的安防系统 | |
| US20160359866A1 (en) | Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity | |
| CN109598135B (zh) | 一种工控设备运维信息存储方法、装置及系统 | |
| CN107562434A (zh) | 升级文件的制作方法、升级方法、装置及设备 | |
| CN107612898A (zh) | 物联网大数据安全传输与存储方法、系统 | |
| US9436836B2 (en) | Tamperproof regulation of a process, production, and actuating installation | |
| CN111695097A (zh) | 登录检验方法、装置及计算机可读存储介质 | |
| CN104580356A (zh) | 列车车间信号传输方法及装置 | |
| JP2015200971A (ja) | 改竄検知機能を備えた制御システム | |
| CN115225365B (zh) | 基于国密算法的数据安全传输方法、平台、及系统 | |
| JP2003317042A (ja) | 認証方法 | |
| CN111510416A (zh) | 数据信息传输方法、电子设备和可读存储介质 | |
| CN112181998A (zh) | 一种铁路监控数据传输系统 | |
| JP6238849B2 (ja) | プラント計装システム | |
| CN105554033B (zh) | 一种图像输入设备的可信认证方法及其图像输入设备 | |
| US20220294636A1 (en) | Detecting Manipulated Clients in a Control System | |
| CN110972141B (zh) | 信息验证方法、装置、电子设备及可读存储介质 | |
| CN114285584B (zh) | 一种加密算法实验系统 | |
| CN114465731B (zh) | 基于区块链的电池可信加密管理系统和方法 | |
| EP4234359A1 (en) | System and method for displaying the status of a railway transportation plant | |
| CN103136875A (zh) | 使用动态密码对税控收款机进行时限管理的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210625 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220823 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221122 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230314 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230322 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7263675 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |