Elektroniknet Logo

Hard- und Software für HMIs

Gesicherte Ein- und Ausgabe

Hard- und Software für HMIs
© Shutterstock

Mit dem richtigen Konzept sowie nach EN 50155 und EN 50128 zugelassenen Komponenten bzw. Werkzeugen lassen sich sichere Displayanwendungen entwickeln. Selbst Hersteller, die zum ersten Mal ein sicheres Display entwickeln möchten, können mit einem modularen Stack in kurzer Zeit erfolgreich sein.

Anzeigesysteme im Bahnbereich, speziell im Führerstand, müssen besondere Voraussetzungen erfüllen. Neben sehr hohen Anforderungen an die Ergonomie und die Ablesbarkeit müssen auch bahnspezifische Normen und häufig weitere Sicherheitsanforderungen beachtet werden. Vor allem die Anforderungen zur funktionalen Sicherheit bedeuten einen großen Aufwand, da eine ganzheitliche Betrachtung aller Ebenen des Systems – Hardware, Basissoftware, Anwendungssoftware – erforderlich ist.

Durch die Kombination verschiedener Komponenten ermöglicht der Display-Stack von Bachleitner Technology und Railergy den Aufbau komplexer HMI-Systeme und eine sehr effiziente Softwareentwicklung und Zulassung des Gesamtsystems.

Neben einer Familie von Controllern in verschiedenen Leistungsklassen, einem zentralen Safety-Modul sowie Displays mit Touch- oder Softkey-Eingabe stehen HMI-Entwicklern auch eine zertifizierte OpenGL-Bibliothek und Funktionsmodule zur Überwachung von sicherer Ein- und Ausgabe zur Verfügung. Auch externe Displaysysteme können damit kombiniert werden.

Sicherheitskonzept mit zwei Controllern

Bei der Entwicklung des Konzepts zur funktionalen Sicherheit standen unter anderem die folgenden Aspekte im Vordergrund:

  • Einfachheit: Es soll möglich sein, Anwendungen mit möglichst geringem Aufwand entsprechend den Anforderungen aus der EN 50128 abzusichern.
  • Skalierbarkeit: Es soll möglich sein, sowohl sehr einfache Anwendungen als auch komplexe, redundante Systeme zu implementieren.
  • Kosteneffizienz: Gegenüber bisher bekannten Ansätzen soll eine erhebliche Kostenersparnis nachweisbar erzielt werden.
  • Unterstützung moderner Methoden des Software-Engineerings: Es soll möglich sein, sowohl mithilfe von modellbasierten Methoden als auch unter Verwendung moderner Programmiersprachen zu arbeiten.
  • Redundanz: Unterschiedliche Konzepte zur Erhöhung der Verfügbarkeit sollen umsetzbar sein.
  • Konformität mit Standard-APIs: Sicherstellung von Portabilität, auch als Maßnahme des Obsoleszenz-Managements.

Auf der Basis dieser Anforderungen fiel die Wahl auf eine einfache Architektur: Die Anwendung, inklusive der graphischen Darstellung und der Verarbeitung der Be- nutzereingaben wird auf einem leistungsfähigen Controller implementiert.

Parallel werden auf dem Safety-Controller die sicherheitsrelevanten Eingaben, Berechnungen und Ausgaben überwacht (Bild 1). Für diese Aufgaben stehen dort die benötigten Softwaremodule und ein FPGA zur Verfügung.

Relevante Anbieter

Lockstep-Prinzip: Durch die Parallelschaltung lässt sich Redundanz erzielen, um Fehler in einem der Prozessorkerne zu detektieren
Bild 1. Lockstep-Prinzip: Durch die Parallelschaltung lässt sich Redundanz erzielen, um Fehler in einem der Prozessorkerne zu detektieren.
© Railergy

Zur Überwachung der Anzeige werden die kritischen Elemente des Displayinhalts parallel auf dem Grafikcontroller und im Speicher des Safety-Controllers gerendert. Darüber wird dann jeweils ein Hash-Wert berechnet und diese werden verglichen.

Durch diese Trennung, die sich in der Bahntechnik und auch in anderen Bereichen seit vielen Jahren bewährt hat, entstehen dem Entwickler, der Funktionen in Software codiert, kaum Einschränkungen. Der Entwickler der Überwachungsfunktion konzentriert sich auf die sichere Implementierung vereinfachter und abstrahierter Anforderungen. Dieser Ansatz nimmt bewusst zwei mögliche Nachteile in Kauf:

Die Überwachungsfunktion ist immer anwendungsspezifisch.

Die Rechenkapazität des Safety-Controllers ist meist begrenzt. Das Konzept verlässt sich folglich darauf, dass es möglich ist, vereinfachte Überwachungsfunktionen zu spezifizieren.

In Bahnanwendungen ist jedoch im Allgemeinen nur eine beschränkte Zahl an Anzeige- und Eingabefunktionen sicherheitstechnisch zu überwachen. Beim Beispiel ETCS-DMI (European Train Control System – Driver Maschine Interface) handelt es sich um die Anzeige der Geschwindigkeit, die Anzeige von bestimmten Meldungen sowie um die Bestätigung von Ausgaben durch den Fahrzeugführer.


  1. Gesicherte Ein- und Ausgabe
  2. Hardwarekomponenten für sichere HMIs