VERFAHREN ZUM BETRIEB EINES ANZEIGESYSTEMS UND VERFAHREN ZUM BETRIEB EINES SICHERHEITSKRITISCHEN SYSTEMS

Abstract

 Die Erfindung betrifft ein Verfahren zum Betrieb eines Anzeigesystems zum sicheren Anzeigen von betrieblich relevanten Informationen innerhalb eines sicherheitskritischen Systems, wobei das Anzeigesystem eine erste Anzeigeeinrichtung mit einem ersten Display und ein zweite Anzeigeeinrichtung mit einem zweiten Display sowie eine Überwachungseinrichtung umfasst, wobei in einem Standardbetrieb eine vorgegebene Standarddarstellung, welche sämtliche betrieblich relevanten Informationen enthält, in zwei Teilanzeigen aufgeteilt ist, wobei die erste Teilanzeige auf dem ersten Display und die zweite Teilanzeige auf dem zweiten Display dargestellt wird; wobei die Überwachung der korrekten Funktion der beiden Displays durch die Überwachungseinrichtung durchgeführt wird; und wobei im Falle einer festgestellten Störung eines der Displays auf dem funktionierenden Display eine Ausfallmeldung angezeigt wird, und das Anzeigesystem in einen Störbetrieb versetzt wird, in welchem eine Notdarstellung angezeigt wird, die weniger Informationen enthält als die Standarddarstellung. Das erfindungsgemäße Verfahren erlaubt einen sicheren Betrieb eines sicherheitskritischen Systems trotz Ausfall eines von zwei Displays des Anzeigesystems.

Beschreibung

Hintergrund der Erfindung

[0001] Die Erfindung betrifft ein Verfahren zum Betrieb eines Anzeigesystems zur sicheren Anzeige von vorgegebenen betrieblich relevanten Informationen innerhalb eines sicherheitskritischen Systems, wobei das Anzeigesystem eine erste Anzeigeeinrichtungen mit einem ersten Display und ein zweite Anzeigeeinrichtung mit einem zweiten Display, sowie eine Überwachungseinrichtung (vorzugsweise in jedem Display), zur Überwachung der korrekten Funktion der Displays umfasst.

[0002] Ein derartiges Verfahren ist beispielsweise bekannt aus [1].

[0003] Sicherheitskritische Systeme weisen in der Regel eine Mensch-Maschine-Schnittstelle (Man Machine Interface = MMI) auf. Eine solche Mensch-Maschine-Schnittstelle ist ein Anzeigesystem auf dem für den Betrieb relevante Informationen und gegebenenfalls weitere Informationen in vorgeschriebener Weise dargestellt werden, bspw. die Führerstandsanzeige auf dem Triebfahrzeug eines Zuges.

[0004] Das Anzeigesystem umfasst ein Display, das in verschiedene Bereiche aufgeteilt ist, wobei jeder Bereich dazu vorgesehen ist, eine Information einer bestimmten Informationskategorie zu zeigen. Eine derartige Anzeige ist bekannt aus [2].

[0005] Um die Verfügbarkeit des Anzeigesystems zu erhöhen, ist es bekannt, zwei redundante Displays zu verwenden, zwischen denen der Fahrzeugführer manuell umschalten kann [1]. Für diese Anordnung wird jedoch viel Platz benötigt, da zwei vollwertige Funktionseinheiten untergebracht werden müssen.

Aufgabe der Erfindung

[0006] Es ist daher Aufgabe der Erfindung, ein Verfahren zum Betrieb eines Anzeigesystems vorzuschlagen, mit dem die Verfügbarkeit des sicherheitskritischen Systems erhöht wird.

Beschreibung der Erfindung

[0007] Diese Aufgabe wird erfindungsgemäß dadurch gelöst, dass in einem Standardbetrieb eine vorgegebene Standarddarstellung, welche sämtliche vorgegebenen betrieblich relevanten Informationen enthält, in zwei Teilanzeigen aufgeteilt wird, wobei die erste Teilanzeige auf dem ersten Display und die zweite Teilanzeige auf dem zweiten Display dargestellt wird. Die Überwachung der korrekten Funktion der beiden Displays wird durch die Überwachungseinrichtung durchgeführt. Vorzugsweise ist die Überwachungseinrichtung in die Displays integriert, vorzugsweise jeweils eine Überwachungseinheit pro Anzeigeeinrichtung. Im Falle einer von der Überwachungseinrichtung detektierten Störung eines der Displays wird eine bestätigbare Ausfallmeldung auf dem funktionierenden (nicht gestörten) Display angezeigt, und das Anzeigesystem wird in einen Störbetrieb (Degraded Mode) versetzt, in welchem eine Notdarstellung gezeigt wird, die weniger Informationen enthält als die Standarddarstellung, beispielsweise nach Bestätigung der Ausfallmeldung durch den Anwender oder nach Ablauf einer festgelegten Zeit.

[0008] Die Standarddarstellung umfasst die Gesamtdarstellung aus beiden Displays. Die Notdarstellung enthält zwar weniger Informationen als die Standarddarstellung, aber noch immer alle betrieblich relevanten Informationen zum sicheren Betrieb.

[0009] Mit dem erfindungsgemäßen Verfahren werden zwar zwei Anzeigeeinrichtungen mit jeweils einem Display benötigt; aufgrund der Tatsache, dass auf jedem Display nur eine Teilanzeige der Standarddarstellung (Gesamtdarstellung) angezeigt wird, sind die beiden Anzeigeeinrichtungen zusammen jedoch kaum größer als eine gewöhnliche Anzeigeeinrichtung mit nur einem Display. Gleichzeitig wird mit dem erfindungsgemäßen Verfahren sichergestellt, dass auch bei Ausfall eines der Displays die betrieblich relevanten Informationen angezeigt werden, so dass das sicherheitskritische System trotz Ausfall eines Displays weiter betrieben werden kann. Bei Einsatz des erfindungsgemäßen Verfahrens im Bahnverkehr wird es ermöglicht, den Zug mit einem defekten Display sicher zum fahrplanmäßigen Zielbahnhof zu fahren. D.h. das geplante Ende einer Zugfahrt kann trotz eines defekten Displays noch erreicht werden.

[0010] Das erfindungsgemäße Verfahren kommt vorzugsweise zum Einsatz zur Anzeige einer in ERA ERTMS 015560 Version 3.6 vorgegebenen Standarddarstellung.

[0011] Die in ERA_ERTMS_015560 v360 definierte Größe und Aufteilung der Anzeige (Standarddarstellung) auf einem Display wird dann erfindungsgemäß auf zwei getrennte Displays verteilt, welche sich in der Gesamtheit der Anzeige wieder auf ERA_ERTMS_015560 v360 ergänzen. Bei Ausfall eines Displays werden die betrieblich erforderlichen Informationen auf dem verbleibenden funktionalen Display dargestellt, mit der Möglichkeit in eingeschränktem Umfang, die für die Weiterfahrt erforderlichen Eingaben zu machen.

[0012] Bei dem sicherheitskritischen System handelt es sich vorzugsweise um eine Signaleinrichtung, insbesondere für den Schienenverkehr, beispielsweise nach Vorgabe in ETCS Level 2 Baseline 3 Rel. 2, Subset 026 V3.6. In ETCS Level 2 Baseline 3 Rel. 2, Subset 026 V3.6 wird die Displaydarstellung durch die Norm ERA_ERTMS_015560 v360 vorgeschrieben. Die Standarddarstellung des erfindungsgemäßen Verfahrens entspricht daher vorzugsweise den in ERA_ERTMS_015560 v360 bzgl. Der Darstellung gemachten Vorgaben, ist aber erfindungsgemäß auf zwei Bildschirme verteilt dargestellt.

[0013] Unter "betrieblich relevante Informationen" sind Informationen zu verstehen, ohne die das sicherheitskritische System nicht betrieben werden darf oder die notwendig sind, um einen gewünschten Sicherheitsstandard zu erfüllen. Diese werden in der Regel vom Betreiber des sicherheitskritischen Systems oder durch Normen betreffend das sicherheitskritische System vorgegeben. Im Bahnverkehr beinhalten die betrieblich relevanten Informationen unter anderem die aktuelle Geschwindigkeit, Entfernungsinformationen und Status-Informationen. Die betrieblich relevanten Informationen werden vor Einrichtung des sicherheitskritischen Systems festgelegt, bspw. durch den Betreiber oder auch durch eine das sicherheitskritische System betreffende Norm..

[0014] In der im Störbetrieb verwendeten Notdarstellung werden mit dem funktionierenden Display sämtliche betrieblich relevanten Informationen angezeigt. In der Notdarstellung sind betrieblich nicht relevante Informationen zumindest teilweise weggelassen, so dass die betrieblich relevanten Informationen auf dem einzelnen funktionsfähigen Display übersichtlich dargestellt werden können. Alle zuvor festgelegten betrieblich relevanten Informationen sind im Störbetrieb in einer einzigen Notdarstellung konzentriert und daher zu jeder Zeit verfügbar.

[0015] Bei einer besonders bevorzugten Variante kann im Störbetrieb (also wenn von den beiden Anzeigeeinrichtungen, die sich im Standardbetrieb ergänzen, eine ausgefallen ist) auf der Anzeigeeinrichtung mit dem funktionierendem Display zwischen der Notdarstellung, in der sämtliche betrieblich relevante Informationen angezeigt werden, und einer gegenüber der Standarddarstellung reduzierten Zusatzdarstellung umgeschaltet werden, wobei "gegenüber der Standarddarstellung reduziert" bedeutet, dass weniger Informationen dargestellt werden als in der Standarddarstellung. Bei dieser Variante werden also mindestens zwei Darstellungen zur Verfügung gestellt (Notdarstellung mit den betrieblich relevanten Informationen und eine oder mehrere Zusatzdarstellung(en) mit zusätzlichen Informationen). Vorzugsweise enthalten die Notdarstellung und die Zusatzdarstellung(en) zusammen sämtliche Informationen der Standarddarstellung. In der "Zusatzdarstellung" sind vorzugsweise keine betrieblich relevanten Informationen enthalten. Auf diese Weise können im Störbetrieb verschiedene betrieblich relevante Informationen übersichtliche dargestellt werden und es können durch "Blättern" zwischen der Notdarstellung und der Zusatzdarstellung, zusätzliche Informationen abgerufen und Eingaben getätigt werden. Das Umschalten zwischen den verschiedenen Darstellungen im Störbetrieb kann mittels einer virtuellen Blätterfunktion realisiert werden. Im Störbetrieb entspricht die Notdarstellung vorzugsweise der ersten Teilanzeige der Standarddarstellung und die durch Blättern erreichbare Zusatzdarstellung entspricht der zweiten Teilanzeige der Standarddarstellung. Es können auch weitere Zusatzdarstellungen vorgesehen sein, um z.B. weitere Menüs des ERA Standards anzuzeigen.

[0016] Um in bestimmten Situationen zu verhindern, dass die Konzentration des Anwenders durch das Blättern zwischen den Darstellungen zu sehr in Anspruch genommen wird, ist es vorteilhaft, wenn die Möglichkeit, von der Notdarstellung zur Zusatzdarstellung zu wechseln, aktivierbar und deaktivierbar ist.

[0017] Vorzugsweise handelt es sich bei dem sicherheitskritischen System um ein Fortbewegungsmittel, insbesondere ein Schienenfahrzeug oder ein Flugzeug.

[0018] Der Anwender (Zugführer, Pilot) soll im Stillstand des Fahrzeugs zwischen den verschiedenen Einzeldarstellungen wechseln können, wohingegen während der Fahrt die Konzentration des Anwenders nicht durch die Blätterfunktion unnötig in Anspruch genommen werden soll. Es ist daher von Vorteil, wenn im Störbetrieb das Wechseln zwischen der Notdarstellung und der Zusatzdarstellung (vorzugsweise ausschließlich) in Abhängigkeit eines Bewegungszustands, insbesondere der Geschwindigkeit, des Fortbewegungsmittels ermöglicht wird. Vorzugsweise wird das Anzeigesystem im Blättermodus (Wechsel zwischen Notdarstellung und Zusatzdarstellung) betrieben, wenn das Fortbewegungsmittel steht. Sobald sich das Fortbewegungsmittel bewegt (v > 0km/h), wird der Blättermodus deaktiviert und es wird lediglich die Notdarstellung angezeigt, so dass sich der Fahrzeugführer auf die Strecke konzentrieren kann. Zur Bestimmung des Bewegungszustands des Fortbewegungsmittels kann bspw. ein Steuerungsrechner (im Falle von ETCS der EVC) die Geschwindigkeit des Fortbewegungsmittels erfassen und eine Geschwindigkeitsinformation an die Führerstandsanzeige (DMI) melden. Dort wird die Geschwindigkeitsinformation ausgewertet und der Bewegungszustand (Stillstand oder Fahrt) ermittelt und entsprechend des Bewegungszustands die Blätterfunktion aktiviert oder deaktiviert. Sobald die Geschwindigkeit größer Null ist, wird lediglich die Notdarstellung angezeigt, die sämtliche betrieblich relevante Informationen enthält.

[0019] Bei einer speziellen Variante enthält im Standardbetrieb eine der beiden Teilanzeigen sämtliche vorgegebenen betrieblich relevanten Informationen. Beim Umschalten auf den Störbetrieb kann dann als Notdarstellung die komplette Teilanzeige des Standardbetriebs mit den betrieblich relevanten Informationen beibehalten werden bzw. auf dem anderen Display angezeigt werden (je nachdem welches Display eine Störung aufweist). Es ist nicht notwendig, eine gesonderte Anordnung der betrieblich relevanten Information für die Notdarstellung im Störbetrieb zu erstellen. Somit ist sichergestellt, dass die Notdarstellung auf dem verbleibenden Display immer noch den Vorgaben nach ERA_ERTMS_015560 v360 entspricht und der Bediener die gewohnte Ansicht vorfindet.

[0020] Vorzugsweise wird im Störbetrieb am defekten Display, insbesondere im Displayrahmen, eine Ausfallanzeige (7) aktiviert, die den Ausfall des defekten Displays angezeigt, bspw. mittels einer im Rahmen integrierten Leuchtanzeige.

[0021] Bei einer besonders bevorzugten Variante wird die Funktionsfähigkeit der beiden Displays mittels der Überwachungseinrichtung überprüft und im Falle einer Störung das Aktivieren der Ausfallanzeige und/oder das Anzeigen der Ausfallmeldung veranlasst.

[0022] Die Überwachung der Funktionsfähigkeit der Displays erfolgt dabei vorzugsweise durch die zugehörige Anzeigeeinrichtung. Die Überwachungseinrichtung umfasst dann also zwei Überwachungseinheiten, die jeweils Teil einer der Anzeigeeinrichtungen sind. Vorzugsweise umfasst jede Anzeigeeinrichtung eine Überwachungseinrichtung, die das Display derselben Anzeigeeinrichtung überwacht. Im Falle eines festgestellten Ausfalls oder Fehlers informiert die Überwachungseinrichtung die andere Anzeigeeinrichtung.

[0023] Die Erfindung betrifft auch die Verwendung einer Anzeigeeinrichtung, die nach einem zuvor beschriebenen Verfahren betrieben wird, als Mensch-Maschine-Schnittstellen, insbesondere als Führerstandsanzeige eines Schienenfahrzeugs.

[0024] Darüber hinaus betrifft die Erfindung ein Verfahren zum Betrieb eines sicherheitskritischen Systems mit einem Anzeigesystem umfassend eine erste Anzeigeeinrichtung mit einem ersten Display, ein zweite Anzeigeeinrichtung mit einem zweiten Display und eine Überwachungseinrichtung zur Überwachung der korrekten Funktion der Displays. Erfindungsgemäß wird bei Ausfall eines der Displays des Anzeigesystems:

• mittels des zuvor beschriebenen Verfahrens ein Störbetrieb (Degraded Mode) des Anzeigesystems aktiviert, der sicherstellt, dass alle betrieblich relevanten Informationen weiterhin dargestellt werden können; und
• nachdem der Störbetrieb des Anzeigesystems aktiviert wurde, das sicherheitskritische System in einen eingeschränkten Betriebsmodus versetzt.

[0025] Im eingeschränkten Betrieb kann das sicherheitskritische System weiterhin sicher betrieben werden, das Anzeigesystem wird dabei im Störmodus betrieben. Da im Störmodus nur ein Teil der in der Standarddarstellung enthaltenen Informationen angezeigt werden (Notdarstellung), sind im eingeschränkten Betrieb Handlungen, für die Informationen, die nicht in der Notdarstellung enthalten sind, nicht oder nur unter bestimmten Bedingungen erlaubt. Im Falle eines unter ETCS betriebenen Zugs wird die Bestätigung der Ausfallmeldung vom Triebfahrzeugführer durchgeführt. Durch den eingeschränkten Betrieb des sicherheitskritischen Systems mit dem Anzeigesystem im Störbetrieb wird die Weiterfahrt des Zuges bis zum Ende der geplanten Strecke sichergestellt. Sollte die Bestätigung des Störbetriebes durch den Triebfahrzeugführer nicht innerhalb einer bestimmten Zeit erfolgen, schaltet der Steuerungsrechner automatisch in der Störbetrieb. Durch den Störbetrieb des Anzeigesystems wird also ein sofortiger Halt mit anschließendem zwingenden Service vermieden. Eingaben, die im eingeschränkten Betrieb beispielsweise nicht erlaubt sind, sind z.B. Zugfahrerwechsel während der Fahrt, da Angaben zum Lokführer eingegeben werden müssten, die jedoch nicht unter die Kategorie "betrieblich relevante Informationen" sondern unter "betrieblich notwendige Zusatzinformationen" fallen.

[0026] Vorzugsweise wird das sicherheitskritische System automatisch in den eingeschränkten Betriebsmodus versetzt, sobald sich das Anzeigesystem im Störbetrieb befindet.

[0027] Weitere Vorteile der Erfindung ergeben sich aus der Beschreibung und der Zeichnung. Ebenso können die vorstehend genannten und die noch weiter ausgeführten Merkmale erfindungsgemäß jeweils einzeln für sich oder zu mehreren in beliebigen Kombinationen Verwendung finden. Die gezeigten und beschriebenen Ausführungsformen sind nicht als abschließende Aufzählung zu verstehen, sondern haben vielmehr beispielhaften Charakter für die Schilderung der Erfindung.

Detaillierte Beschreibung der Erfindung und Zeichnung

[0028] 

Fig.1

zeigt ein Ablaufdiagramm zum Betrieb des erfindungsgemäßen Anzeigesystems zur Verwendung mit einem Fortbewegungsmittel.

Fig. 2

zeigt ein Anzeigesystem mit zwei Anzeigeeinrichtungen im Standardbetrieb.

Fig. 3

zeigt das Anzeigesystems aus Fig. 2, bei dem ein Display ausgefallen ist.

Fig. 4

zeigt das Anzeigesystems aus Fig. 2 im Störbetrieb mit Notdarstellung.

Fig. 5

zeigt das Anzeigesystems aus Fig. 2 im Störbetrieb mit Notdarstellung und aktivierter Blätterfunktion.

Fig. 6

zeigt das Anzeigesystems aus Fig. 2 im Störbetrieb mit Zusatzdarstellung und aktivierter Blätterfunktion.

[0029] Fig. 1 zeigt den erfindungsgemäßen Betriebsablauf eines in den Fig. 2 bis 6 gezeigten Anzeigesystems 1 mit zwei Anzeigeeinrichtungen für ein Fortbewegungsmittel.

[0030] Zunächst wird das Anzeigesystem 1 im Standardbetrieb betrieben, wie in Fig. 2 gezeigt. Jede Anzeigevorrichtung umfasst ein Display 2, 3. Wenn das Anzeigesystem korrekt funktioniert, wird es im Standardbetrieb betrieben, in dem eine Standarddarstellung auf den Displays 2, 3 dargestellt wird, wobei die Standarddarstellung in zwei Teilanzeigen aufgeteilt wird und jeweils eine der beiden Teilanzeigen auf einem Display dargestellt wird. Die Displays 2, 3 sind in verschiedene Bereiche 4, 4' eingeteilt, denen eine bestimmte Information zugewiesen ist, bspw. im Rahmen einer Norm. Die Bereiche 4, 4' sind hier nur beispielhaft dargestellt. Bei einer Führerstandsanzeige eines Zuges ist das Anzeigesystem bspw. gegliedert in: überwachte Entfernungsinformation bei laufender Bremskurve, Geschwindigkeitsinformationen, zusätzliche Informationen, Planung vorausschauender Ereignisse, Überwachung technischer Systeme und Triebfahrzeugführer-Eingaben. Im vorliegenden Beispiel sollen in den Feldern 4 auf dem linken Display 2 die betrieblich relevanten Informationen (im Falle eines Zuges z.B. Entfernungsinformation und Geschwindigkeit) und in den Feldern 4' auf dem rechten Display betrieblich benötigte Zusatzinformationen (z.B. Eingabemöglichkeiten für den Zugführer, Planung zukünftiger Ereignisse usw.) angezeigt werden.

[0031] Die Funktionstüchtigkeit der beiden Displays 2, 3 wird mittels einer Überwachungseinrichtung (nicht gezeigt) überwacht. Detektiert die Überwachungseinrichtung, dass das das linke Display 2 ausgefallen ist, wird im noch funktionierenden rechten Display 3 eine Ausfallmeldung 5 angezeigt (Fig. 3). Wird die Ausfallmeldung bestätigt, wird das Anzeigesystem 1 in einen Störbetrieb versetzt und auf dem noch funktionierenden Display 3 werden die betrieblich relevanten Informationen (die bislang auf dem linken Display 2 angezeigt wurden) in einer Notdarstellung dargestellt, wie in Fig. 4 gezeigt. Erfolgt keine Bestätigung der Ausfallmeldung wird das ausgefallene Display 2 abgeschaltet und das Anzeigesystem 1 nach Ablauf einer vorgegebenen Zeitspanne ebenfalls in den Störbetrieb versetzt. Zusätzlich kann bei der Anzeigeeinrichtung 1 mit dem noch funktionierenden Display 3 eine Störbetriebsanzeige 6 (z.B. ein auf dem Display (Fig. 4, 5) eingeblendetes Leuchtfeld) aktiviert werden, so dass der Verwender sofort erkennt, dass sich das Anzeigesystem 1 im Störbetrieb befindet. Das defekte Display 2 kann durch Aktivierung einer Ausfallanzeige 7 (z.B. eine rote LED od. Icon) als defekt gekennzeichnet werden.

[0032] Insbesondere wenn das erfindungsgemäße Verfahren für den Betrieb eines Fortbewegungsmittels (z.B. eines Zugs) eingesetzt werden soll, kann eine bewegungszustandsabhängige Blätterfunktion vorgesehen sein. Dazu wird der Bewegungszustand (Geschwindigkeit und/oder Richtung) ermittelt und entsprechend des Bewegungszustands die Blätterfunktion aktiviert oder deaktiviert. Fig. 5 und Fig. 6 zeigen das Anzeigesystem 1 mit einer aktivierten Blätterfunktion, wobei in Fig. 5 die Notdarstellung, welche sämtliche betrieblich relevanten Informationen enthält, und Fig. 6 eine Zusatzdarstellung mit weiteren Informationen gezeigt ist. Zum Wechseln zwischen der Notdarstellung und der Zusatzdarstellung ist eine Blätterfunktion 8, 8' vorgesehen, mit dem zu der jeweils anderen Darstellung umgeschaltet werden kann. Die Blätterfunktion 8, 8' kann im Display 3 (Fig. 5) oder im Displayrahmen 9 (Fig. 6) angeordnet sein. Vorzugsweise wird sobald die Geschwindigkeit größer Null wird, die Blätterfunktion deaktiviert, so dass nur noch die Notdarstellung auf dem funktionierenden Display 3 sichtbar ist.

[0033] Bei einem Ausfall eines Displays wird erfindungsgemäß das Anzeigesystem in einen Störbetrieb versetzt und das sicherheitskritische System kann in einem eingeschränkten Betrieb weiter betrieben werden. Dabei wird eine Notdarstellung mit allen betrieblich relevanten Informationen auf dem funktionierendem Display angezeigt. Durch die gegenüber der Standarddarstellung reduzierte Notdarstellung können platzsparende Displays verwendet werden, ohne betrieblich relevante Informationen zu verlieren. Das erfindungsgemäße Verfahren erlaubt daher einen sicheren Betrieb eines sicherheitskritischen Systems trotz Ausfall eines Displays des Anzeigesystems.

Bezugszeichenliste

[0034] 

1

Anzeigesystem mit zwei Anzeigeeinrichtungen

2

erstes Display der ersten Anzeigeeinrichtung

3

zweites Display der zweiten Anzeigeeinrichtung

4

Informationsfelder für betrieblich relevante Informationen

4'

Informationsfelder für betrieblich benötigte Zusatzinformationen

5

Ausfallmeldung (bestätigbare Meldung, wenn festgestellt wird, dass eines der Displays nicht korrekt funktioniert)

6

Störbetriebsanzeige (Meldung an Anzeigeeinrichtung mit funktionierendem Display, dass sich das Anzeigesystem im Störbetrieb befindet)

7

Ausfallanzeige (Anzeige an den Displays, die aktiviert ist, wenn festgestellt wird, dass das entsprechende Display defekt ist und/oder wenn das defekte Display aufgrund der Aktivierung des Störbetriebs abgeschaltet wird)

8, 8'

Blätterbutton (Taste/Touch-Screen-Element zum Umschalten zwischen Notdarstellung und Zusatzdarstellung)

9

Rahmen

Literaturliste

[0035] 

[1] http://www.deuta.de/mft-r.aspx

[2] https://de.wikipedia.org/wiki/European_Train_Control_System

Ansprüche

1. Verfahren zum Betrieb eines Anzeigesystems (1) zum sicheren Anzeigen von vorgegebenen betrieblich relevanten Informationen innerhalb eines sicherheitskritischen Systems, insbesondere einer Signaleinrichtung für Fahrzeuge, wobei das Anzeigesystem (1) eine erste Anzeigeeinrichtung mit einem ersten Display (2) und ein zweite Anzeigeeinrichtung mit einem zweiten Display (3) sowie eine Überwachungseinrichtung zur Überwachung der korrekten Funktion der Displays (2, 3) umfasst,
wobei in einem Standardbetrieb eine vorgegebene Standarddarstellung, welche sämtliche vorgegebenen betrieblich relevanten Informationen enthält, in zwei Teilanzeigen aufgeteilt ist, wobei die erste Teilanzeige auf dem ersten Display (2) und die zweite Teilanzeige auf dem zweiten Display (3) dargestellt wird;
wobei die Überwachung der korrekten Funktion der beiden Displays (2, 3) durch die Überwachungseinrichtung durchgeführt wird; und wobei im Falle einer festgestellten Störung eines der Displays (2) auf dem funktionierenden Display (3) eine bestätigbare Ausfallmeldung (5) angezeigt wird, und das Anzeigesystem (1) in einen Störbetrieb versetzt wird, in welchem eine Notdarstellung gezeigt wird, die weniger Informationen enthält als die Standarddarstellung.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass in der Notdarstellung auf dem funktionierenden Display (3) sämtliche betrieblich relevanten Informationen angezeigt werden.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass im Störbetrieb auf der Anzeigeeinrichtung mit dem funktionierenden Display (3) zwischen der Notdarstellung, in der sämtliche betrieblich relevanten Informationen angezeigt werden, und einer gegenüber der Standarddarstellung reduzierten Zusatzdarstellung umgeschaltet werden kann.

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Möglichkeit, von der Notdarstellung zur Zusatzdarstellung zu wechseln, aktivierbar und deaktivierbar ist.

5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei dem sicherheitskritischen System um ein Fortbewegungsmittel, insbesondere ein Schienenfahrzeug oder ein Flugzeug handelt.

6. Verfahren nach Anspruch 4 und 5, dadurch gekennzeichnet, dass im Störbetrieb das Wechseln zwischen der Notdarstellung und der Zusatzdarstellung in Abhängigkeit, vorzugsweise ausschließlich in Abhängigkeit, eines Bewegungszustands, insbesondere der Geschwindigkeit, des Fortbewegungsmittels ermöglicht wird.

7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Standardbetrieb eine der beiden Teilanzeigen sämtliche vorgegebenen betrieblich relevanten Informationen enthält.

8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Störbetrieb am defekten Display (3), insbesondere im Displayrahmen (9), eine Ausfallanzeige (7) aktiviert wird.

9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Funktionsfähigkeit der beiden Displays (2, 3) mittels der Überwachungseinrichtung überprüft wird und im Falle einer Störung die Überwachungseinrichtung das Aktivieren der Ausfallanzeige (7) und/oder das Anzeigen der Ausfallmeldung (5) veranlasst.

10. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Überwachung der Funktionsfähigkeit der Displays (2, 3) durch die zugehörige Anzeigeeinrichtung erfolgt.

11. Verwendung eines Anzeigesystems (1), das nach einem Verfahren gemäß einem der vorhergehenden Ansprüche betrieben wird, als Mensch-Maschine-Schnittstellen, insbesondere als Führerstandsanzeige eines Schienenfahrzeugs.

12. Verfahren zum Betrieb eines sicherheitskritischen Systems mit einem Anzeigesystem (1) umfassend eine erste Anzeigeeinrichtung mit einem ersten Display (2), ein zweite Anzeigeeinrichtung mit einem zweiten Display (3), und mit einer Überwachungseinrichtung zur Überwachung der korrekten Funktion der Displays (2, 3),
dadurch gekennzeichnet,
dass bei Ausfall eines der Displays des Anzeigesystems:

• mittels eines Verfahrens nach einem der vorhergehenden Ansprüche ein Störbetrieb des Anzeigesystems aktiviert wird, der sicherstellt, dass alle betrieblich relevanten Informationen weiterhin dargestellt werden können;

• nachdem der Störbetrieb des Anzeigesystems aktiviert wurde, das sicherheitskritische System in einen eingeschränkten Betriebsmodus versetzt wird.

13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass das sicherheitskritische System automatisch in den eingeschränkten Betriebsmodus versetzt wird, sobald sich das Anzeigesystem im Störbetrieb befindet.

Zeichnung