IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ デウタ-ヴェルク ゲーエムベーハーの特許一覧

特表2022-525645安全に関するグラフィカルユーザインターフェースのための方法及び監視ユニット
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-05-18
(54)【発明の名称】安全に関するグラフィカルユーザインターフェースのための方法及び監視ユニット
(51)【国際特許分類】
   G06F 3/04812 20220101AFI20220511BHJP
   G06F 3/04845 20220101ALI20220511BHJP
   G06F 3/0484 20220101ALI20220511BHJP
【FI】
G06F3/0481 120
G06F3/0484 150
G06F3/0484
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2021556379
(86)(22)【出願日】2020-03-23
(85)【翻訳文提出日】2021-11-10
(86)【国際出願番号】 EP2020058040
(87)【国際公開番号】W WO2020188123
(87)【国際公開日】2020-09-24
(31)【優先権主張番号】19164202.4
(32)【優先日】2019-03-21
(33)【優先権主張国・地域又は機関】EP
(81)【指定国・地域】
(71)【出願人】
【識別番号】521432041
【氏名又は名称】デウタ-ヴェルク ゲーエムベーハー
(74)【代理人】
【識別番号】100112737
【弁理士】
【氏名又は名称】藤田 考晴
(74)【代理人】
【識別番号】100136168
【弁理士】
【氏名又は名称】川上 美紀
(74)【代理人】
【識別番号】100196117
【弁理士】
【氏名又は名称】河合 利恵
(72)【発明者】
【氏名】ガンツ ルドルフ
【テーマコード(参考)】
5E555
【Fターム(参考)】
5E555AA06
5E555AA22
5E555AA74
5E555BA02
5E555BA37
5E555BB02
5E555BB37
5E555BC08
5E555CA02
5E555CB02
5E555CC22
5E555DB06
5E555DB20
5E555DC13
5E555DC26
5E555DC31
5E555DD08
5E555EA09
5E555EA11
5E555FA00
(57)【要約】
本発明は、グラフィカルユーザインターフェース(GUI)上の安全に関する入力に関する。この事例において、コンピュータ(1)は、ディスプレイ(2)に画像データライン(3)を介して送信される画像データを生成する。グラフィカルユーザインターフェースは、入力デバイス(4)によって選択可能な少なくとも1つのグラフィカルオペレータ制御要素(6)を有する。またさらに、監視ユニット(21)が、画像データライン(3)に接続され、安全機能のための画像データを読み出す。本発明によると、監視ユニット(21)には入力デバイス(4)から入力情報が供給され、監視ユニット(21)はユーザ確認の目的で安全な信号経路(11B)を介して確認装置(14)に接続される。本発明によると、オペレータ制御要素(6)の検出された選択(5)が正しく表現されているかを保証及び/又は確認し、オペレータ制御要素(6)の表現された選択に対するユーザ確認の場合、関連する安全に関するオペレータ制御コマンドを安全な信号経路(HD)を介して有効化又は始動する監視ユニット(21)がさらに設けられる。これにより、安全証明のない入力デバイス、例えば、市販のコンピュータマウスなどの相対的及び/又は間接的ポインタデバイスによっても安全な入力が可能となる。またさらに、提案される入力方法に適した監視ユニットのための好適なアーキテクチャが提案される。
【特許請求の範囲】
【請求項1】
グラフィカルユーザインターフェース上の安全に関する入力のための方法であって、コンピュータがディスプレイのための画像データを生成し、前記グラフィカルユーザインターフェースを制御するための入力デバイスを備え、前記方法は、
コンピュータ生成による前記画像データを前記コンピュータから前記ディスプレイに画像データラインを介して送信するステップと、
前記入力デバイスを用いてユーザ制御による態様で選択可能な少なくとも1つのグラフィカルな制御要素とともに前記ディスプレイ上の前記グラフィカルユーザインターフェースを表示するステップと、
を含み、監視ユニットが前記画像データラインに接続され、安全機能のために前記画像データの少なくとも部分を読み出し、
-前記監視ユニットには前記入力デバイスから来る入力情報が供給され、該入力情報に応じて、前記制御要素の、前記ユーザ制御による選択が前記監視ユニットによって認識可能であり、
-前記監視ユニットは、安全な信号経路を介して前記ユーザ制御による確認を受信するための確認デバイスに接続され、
-前記監視ユニットは、認識された前記制御要素の選択が、前記ディスプレイに供給される前記画像データに正しく表現されていることを保証及び/又は検証し、
-前記監視ユニットは、前記制御要素の表示された選択中に、前記ユーザ制御による確認の受信に応じて、前記制御要素に関連付けられた安全に関する制御コマンドをリリース又は始動し、特に、安全な前記信号経路を介して該制御コマンドを出力する
ことを特徴とする方法。
【請求項2】
前記監視ユニットが前記制御要素に関連付けられた所定の画像領域における表示が意図された前記画像データの少なくとも一部を修正し、これに対応して前記監視ユニットが修正された前記画像データを前記ディスプレイに転送することにおいて、前記監視ユニットは、前記ディスプレイに供給される前記画像データに認識された前記制御要素の選択が正しく表現されていることを保証し、
修正された前記画像データは、前記入力情報に応じたポインタを表現し、かつ/又は
修正された前記画像データは、前記ディスプレイの所定の前記画像領域において、ユーザについての選択の視覚的強調をもたらし、かつ/又は
修正された前記画像データは、コンピュータ生成による前記画像データを特定領域に重ね合わせる、
ことを特徴とする請求項1に記載の方法。
【請求項3】
コンピュータ生成による前記画像データは前記制御要素の選択を表現し、前記監視ユニットは、前記制御要素に関連付けられた所定の画像領域において表示が意図された前記画像データに関して、前記監視ユニットがチェックコードを計算し、該チェックコードを少なくとも1つの予め記憶された基準コードと比較することにおいて、前記ディスプレイに供給される前記画像データに前記制御要素の認識された選択が正しく表現されていることを検証することを特徴とする請求項1に記載の方法。
【請求項4】
前記入力情報が、前記入力デバイスから前記監視ユニットを介して表示用の前記コンピュータに送信され、又は表示用の前記コンピュータを介して前記監視ユニットに送信されることを特徴とする請求項1又は2に記載の方法。
【請求項5】
-前記監視ユニットは、コンピュータ生成による前記画像データが入力側で供給され、安全性重視の前記制御要素の選択に応じて、選択を視覚的に強調するように前記画像データを修正し、表示のための前記画像データを出力側に転送する第1のコンピューティングコンポーネントを備え、かつ
-前記監視ユニットは、前記第1のコンピューティングコンポーネントの出力側画像データを検証するのに使用される第2のコンピューティングコンポーネントを備える、
ことを特徴とする請求項2に記載の方法。
【請求項6】
前記第1のコンピューティングコンポーネントは、所定の前記画像領域において表示が意図されたコンピュータ生成による前記画像データに関して、第1水準のチェックコードを計算し、前記監視ユニットは、該第1水準のチェックコードを、所定の前記画像領域に対する少なくとも1つの予め記憶された基準コードと比較し、前記第1のコンピューティングコンポーネントは、第1のステップにおける入力側において、コンピュータ生成による前記画像データに関する前記第1水準のチェックコードを計算し、その後の第2のステップにおいて、前記画像データを修正することを特徴とする請求項5に記載の方法。
【請求項7】
-前記第1のコンピューティングコンポーネントは、所定の前記画像領域における表示が意図された、前記第1のコンピューティングコンポーネントによって修正される前記画像データに関して第1の第2水準のチェックコードを計算し、
-前記第2のコンピューティングコンポーネントは、所定の前記画像領域における表示が意図された、前記第1のコンピューティングコンポーネントの出力側の前記画像データに関して第2の第2水準のチェックコードを計算し、
-前記監視ユニットは、選択が前記第1のコンピューティングコンポーネントによって意図された通りに強調されたことを検証する目的のため、前記第1の第2水準のチェックコード及び前記第2の第2水準のチェックコードを相互に比較し、
-両コンピューティングコンポーネントの各々は、前記制御要素の表示が意図された通りであることを検証する目的のために前記監視ユニットが相互に比較する、選択のない所定の前記画像領域の前記画像データに関して第3のチェックコードを計算し、かつ/又は
-1または複数の前記コンピューティングコンポーネントは、前記制御要素に関連付けられた所定の前記画像領域のための前記画像データに関して、前記制御要素の選択が認識された場合にのみ複数の前記チェックコードを計算する
ことを特徴とする請求項5又は6に記載の方法。
【請求項8】
第1のコンピューティングコンポーネントは、選択された前記制御要素が、フレームを表示する、または色を変化させて非選択の第1の表示状態から視覚的に区別可能な選択済みの第2の状態で表示されるように、選択の視覚的強調のために前記画像データを修正し、かつ/又は
前記第1のコンピューティングコンポーネントは、修正された前記画像データを表示のためのコンピュータ生成による前記画像データとともに画像データストリームにおいて出力もしくは転送する
ことを特徴とする請求項2及び4から7のいずれか一項に記載の方法。
【請求項9】
前記グラフィカルユーザインターフェースを制御するために、ポインタが前記ディスプレイ上に表示され、
-前記ポインタは、前記監視ユニットにおいて画像データ修正によって前記監視ユニットによって排他的に生成され、前記監視ユニットに供給される前記入力情報に基づいて可能とされ、前記入力デバイスは、前記監視ユニットに直接接続され、前記入力情報を表示用の前記コンピュータに転送し、又は
-前記ポインタは、表示用の前記コンピュータによって全ての所定の画像領域の外側で生成され、安全性重視の前記制御要素の選択がそれぞれの関連する前記画像領域において前記監視ユニットによって、前記監視ユニットにおける画像データ修正によって認識された場合に、コンピュータ生成による前記ポインタは表示されず、前記入力デバイスは、表示用の前記コンピュータに直接接続され、表示用の前記コンピュータは前記入力情報を前記監視ユニットに転送し、かつ/又は
-各場合に、前記画像データのN個の連続する画像周期について、前記ポインタは、前記コンピュータもしくは前記監視ユニットによって前記画像周期のうちのN個未満のm個についてのみ表示され、
-かつ/又は前記入力情報は、絶対座標情報もしくは相対座標情報を表現する、
ことを特徴とする請求項1から8のいずれか一項に記載の方法。
【請求項10】
請求項1から9のいずれか一項に記載の方法によるグラフィカルユーザインターフェースを監視するための監視ユニットであって、
-コンピュータからディスプレイへのコンピュータ生成による画像データの送信のための画像データラインへの接続のためのデジタル画像データインターフェースと、
-安全機能を実行し、前記画像データの少なくとも部分を前記デジタル画像データインターフェースを介して読み出す少なくとも1つのコンピューティングコンポーネントと、
-グラフィカル制御要素の前記ユーザ制御による選択のための、入力デバイスに基づく入力情報のためのデバイスインターフェースと、
を備え、
-前記監視ユニットは、安全確認デバイスのための物理的な確認入力部を備え、
-少なくとも1つの前記コンピューティングコンポーネントは、前記制御要素の認識された選択が、前記ディスプレイに供給された前記画像データに正しく表現されたことを保証及び/又は検証するように構成され、かつ
-前記監視ユニットは、前記制御要素の表示された選択の間に、確認インターフェースを介した確認入力の受信に応じて、関連する安全に関する制御コマンドを安全インターフェースを介して出力するように構成された
ことを特徴とする監視ユニット。
【請求項11】
-少なくとも1つの前記コンピューティングコンポーネントは、画像データ修正のために及び/もしくは前記画像データからチェックコードを計算するために構成され、
-前記監視ユニットは、所定の画像領域及び/もしくは基準コードを指定するための少なくとも1つのメモリを備え、かつ/又は
-前記監視ユニットは、前記入力デバイスに対するコントローラコンポーネントを備え、該コントローラコンポーネントは、前記監視ユニットへの前記入力デバイスの直接接続のために前記デバイスインターフェースに接続され、
前記監視ユニットは、前記入力情報を前記コンピュータに送信するためのデータインターフェースを備えることを特徴とする請求項10に記載の監視ユニット。
【請求項12】
請求項2に規定される方法によってグラフィカルユーザインターフェースを監視するために、
前記監視ユニットは、特定の2チャネルにおける2段階のコンピュータアーキテクチャであって、
-コンピュータ生成による前記画像データを入力側で受信し、安全機能に応じて、所定の画像領域における前記表示が意図された前記画像データの少なくとも一部分を修正し、前記画像データを前記ディスプレイのための出力側に提供するように構成された第1のコンピューティングコンポーネント
を有し、かつ
-所定の前記画像領域に表示されることが意図された前記画像データに対してチェックコードを計算することによって、前記第1のコンピューティングコンポーネントによって提供された前記画像データを検証するように構成された第2のコンピューティングコンポーネント
を有するコンピュータアーキテクチャを備え、
-前記監視ユニットは、前記第1のコンピューティングコンポーネントによる強調が意図された通りであることを検証する目的で及び/又は安全を目的とした応答を開始する目的で、計算された前記チェックコードを少なくとも1つの予め記憶された基準コードと比較するように構成されたことを特徴とする請求項10に記載の監視ユニット。
【請求項13】
前記第1のコンピューティングコンポーネントは、監視領域における表示が意図されたコンピュータ生成による前記画像データに関して、前記監視領域に対する少なくとも1つの予め記憶された基準値との安全を目的とした比較のための前記チェックコードを計算するように構成され、前記第1のコンピューティングコンポーネントは、コンピュータ生成による前記画像データに対して入力側で前記チェックコードを最初に計算し、その後の第2のステップにおいて前記画像データを修正し、前記第1及び第2のコンピューティングコンポーネントは、異なる設計の2つの独立した集積回路によって実装されたことを特徴とする請求項12に記載の監視ユニット。
【請求項14】
安全機能を有する少なくとも1つの前記コンピューティングコンポーネントは、選択された画像領域に関してそれぞれのチェックコードを演算して生成し、ボーター構成が、生成された該チェックコードを予め記憶された基準データと比較するために前記コンピューティングコンポーネントに接続された請求項10から13のいずれか一項に記載の監視ユニット。
【請求項15】
前記ボーター構成は、2チャネルのプロセッサ回路として、2oo2(2-out-of-2)ボーターとして実装されることを特徴とする請求項14に記載の監視ユニット。
【請求項16】
前記第2のコンピューティングコンポーネントは、入力側で前記画像データを受信し、安全機能に応じて、前記第1のコンピューティングコンポーネントと同一の態様で前記画像データの少なくとも一部分を冗長的に修正するように構成され、前記第1のコンピューティングコンポーネントは、修正された前記画像データに関して第1のチェックコードを計算するように構成され、前記第2のコンピューティングコンポーネントは、冗長的に修正された前記画像データに関して第2のチェックコードを計算するように構成され、前記監視ユニットは、前記第1のチェックコードと前記第2のチェックコードとを比較することを特徴とする請求項12から15のいずれか一項に記載の監視ユニット。
【請求項17】
安全に関する前記制御コマンドの前記出力のための安全インターフェースの形態のバスインターフェースを介した安全を目的とした通信のためのモジュールが、前記監視ユニットに接続され、又は前記監視ユニットに統合されたことを特徴とする請求項10から16のいずれか一項に記載の監視ユニット。
【請求項18】
前記監視ユニットは、請求項2から9のいずれか一項に記載の少なくとも1つの特徴を有する方法を実行するように構成されたことを特徴とする請求項10から16のいずれか一項に記載の監視ユニット。
【請求項19】
グラフィカルユーザインターフェースにおける安全に関する入力のためのシステムであって、
コンピュータと、該コンピュータに画像データラインを介して接続された、画素グラフィクスのためのディスプレイと、を備え、
前記コンピュータから物理的に分離された請求項10から18のいずれか一項に記載の監視ユニットを特徴とし、
-前記グラフィカルユーザインターフェースを動作させるための入力デバイスが、前記監視ユニットの前記デバイスインターフェースに直接接続され、
-独立した安全確認デバイスが、前記監視ユニットの物理的な確認入力部に接続された
ことを特徴とするシステム。
【請求項20】
TFTパネルを有する画素グラフィクスを表示するための表示デバイスであって、該表示デバイスに統合された請求項10から18のいずれか一項に記載の監視ユニット、該監視ユニットの前記デバイスインターフェースに接続された入力デバイスに対する少なくとも1つの接続部、及び前記監視ユニットの前記確認入力部に接続された安全確認デバイス用接続部を特徴とする表示デバイス。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概略として、ハザード又は操作上の安全の意味で安全が非常に重要な用途におけるグラフィカルユーザインターフェース(GUI)に関する。
【背景技術】
【0002】
本発明は、特に、例えば、鉄道技術のための信号ボックス又は産業システム、リアクタなどの動作のための制御デスクまたはシステムコントローラにおいて、特定の操作又は入力が安全のために決定的又は重要なユーザインターフェースに関する。そのような用途では、入力として記録された情報又は入力が、オペレータが選定又は選択したものに厳密に一致していることが保証されなければならない。
【0003】
コンピュータグラフィクスとしての情報の単なる提示でさえ、障害(エラー)となりやすい。例えば、その結果として、障害は、例えば不良のマイクロプロセッサに起因して、グラフィクスを生成するコンピュータの各個々のコンポーネントにおいて、グラフィクスプロセッサにおいて、個々のメモリモジュールにおいて、電源において、ただし、特に、オペレーティングシステムにおけるソフトウェア障害にも起因して、ソフトウェア生産で使用されるライブラリ、特にGUIを生成するアプリケーションソフトウェア又はGUIを生成する他のソフトウェアコンポーネントにおいて起こり得る。
【0004】
特許文献1又は本出願人による特許文献2におけるコンセプトによる、安全に関する情報を表示するために使用される製品名IconTrust(登録商標)で利用可能な技術によって、飛躍的な向上がもたらされる。この技術は、表示をより安全とすることができ、例えば、安全度水準SIL-2以上に適する。1つの大きな利点は、安全技術の観点で、安全と評価されていない(以下、「安全でない」という)事実上あらゆる種類及び複雑さのハードウェア及びソフトウェアが、独立した安全証明済みの監視モジュールを用いる機器によっておそらくは安全な態様で使用可能となることである。
【0005】
安全に関する情報の単なる表示に加えて、安全に関する入力もユーザインターフェース(GUI)上で行われた場合、更なる障害発生源が生じることは明らかである。潜在的な障害発生源は、基本的には、入力を記録及び処理するのに使用される全てのハードウェア及びソフトウェアコンポーネントである。これは、市販のハードウェアで構成される本来的に安全でないシステムについて、システム全体の安全の検証又は安全の証明を回避するために、上記手法による安全モジュールが装備されようとしている場合に特に適用可能となる。一方で、これは、例えば、コンピュータマウス又はタッチパネルを用いて通常の種類の直感的操作を可能とするために、又は更新された証明なしにGUIに対する後の変化を許容するために、GUIにおける様々なグラフィカル制御要素又はボタンが自由に使用可能となることが意図される場合に、特に望ましい。
【0006】
モジュール性又は現在のグラフィカルユーザインターフェース/GUIが望まれる場合、問題は、使用中にGUIが動的に又はコンテキスト依存的に変化可能であることに加えて、機能及び表示の双方が自由にプログラム可能であることである。GUIのデータ入力又は操作に関して関連する安全性重視の障害モードは多岐にわたり、単なる例示として、以下の場合を含む。
a)安全でない表示用のコンピュータが、グラフィカル制御要素の作動を(例えば、異なるコンテキストから)正しいもの以外の情報コンテンツに誤って関連付ける、b)作動された制御要素が、作動されたものとして正しく表示されず、又は記録されない(すなわち、緊急停止の場合に重大となる)、又はc)制御要素の作動が、ユーザ制御又はユーザ作動による入力が実際に行われることなく自然に又は偶発的に誘発される。
【0007】
特に上記第1の場合、本出願人の特許文献3の発明は、特にタッチパネルの場合に決定的な改善をもたらす。前述の2つの場合も、さらに多少の手間をかければ、この解決策のコンセプトを用いて回避可能となる。このコンセプトは、製品名SelectTrust(登録商標)で市場では差し当たり成功してきたものであり、主にタッチパネル用に設計されている。プログラム可能なキー(いわゆるソフトキー)を有する特にHMIデバイス用の1つの変形例が、特許文献4に記載されている。
【0008】
いずれの解決策も、安全でないと評価され又は安全証明されていないコンピュータによって生成されたGUIへの安全に関する入力を可能とする。この場合、ユーザインターフェースは、それぞれの入力デバイスを用いてユーザ制御による態様で選択可能な少なくとも1つのグラフィカル制御要素とともに、ディスプレイ上に示される。独立した監視ユニット又は安全モジュールは、画像データラインに接続され、所望の安全機能のために画像データの少なくとも部分を読み出す。
【0009】
特許文献3及び特許文献4による解決策は、ユーザが--タッチ操作を介してであっても、ディスプレイに関連付けられたソフトキー・キーボードを介してであっても--すなわち、不連続入力のための絶対的かつ直接的入力デバイスが、関連するグラフィカル制御要素を作動させ、この作動に対する監視ユニットがそのユニット又はモジュール内の所定領域に関連付けられた座標に応じて安全に決定されるという意味において、安全な入力を可能とする。これらの安全に決定された座標に基づいて、監視ユニットは、所定領域に関する画像データを特に符号化によって安全に関するコマンドに直接変換する。したがって、安全でない表示用のコンピュータは含まれない。ユニット又はモジュール、そこに接続されたタッチキー又はソフトキー入力構成、及び画像データ変換又は符号化における関連性に起因して、ユーザがディスプレイ上で実際に知覚及び選択したものにコマンドの活性化が安全に対応することが本来的に保証される。この背景では、ディスプレイ自体は、本目的のための安全なデバイスとして評価され得る。
【0010】
特許文献3及び特許文献4による解決策は、いずれも、特殊な入力デバイスに適合され、それに関して安全に関するコマンドへの符号化及び/又は変換が行われる画像領域座標の安全に関する信頼性のある決定を必要とする。双方とも、ある程度の労力に関連付けられ、使用可能なハードウェアを制限する。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】国際公開第2011/003872号
【特許文献2】欧州特許第2353089号明細書
【特許文献3】欧州特許第2551787号明細書
【特許文献4】独国実用新案第202015104887号明細書
【発明の概要】
【0012】
したがって、本発明の第1の課題は、表示用のコンピュータとして市販のPCを有する従来のデスクトップワークステーションにおいて、種々の従来的な又は安全でない入力デバイスを用いて、特に、コンピュータマウスのような相対ポインティングデバイスを用いてグラフィカルユーザインターフェース上での安全な入力を可能とする更なる展開を提供することである。この場合、入力は、安全でない入力デバイス、特に、ポインティングデバイス、例えば、コンピュータマウス、トラックボール、ジョイスティック、タッチパッド、タッチポイント、グラフィクスタブレット、デジタイザなどを用いても少なくとも実行可能なグラフィカルユーザインターフェース制御要素のユーザ制御による選択又は作動の観点として理解されるものである。
【0013】
この課題は、請求項1に係る方法によって、及び請求項10に係る安全モジュールによって達成される。この場合、解決手段は、少なくとも、SIL-2安全度要求水準又は(IEC61508/IEC61511による)安全度水準以上、特にSIL-3に適するべきである。
【0014】
包括的な方法又はシステムは、グラフィカルユーザインターフェース(以下、略してGUIという)上での安全に関する又は安全を目的とした入力を可能とする。この場合、コンピュータは、ディスプレイ用の画素フォーマットされた画像データを生成し、それはコンピュータから画像データラインを介してディスプレイに送信される。この場合、入力デバイスによってGUIの制御が可能となる。
【0015】
ユーザインターフェースが--少なくとも1つの動作状態又はコンテキストにおいて--ディスプレイに表示されている場合、安全に関する機能に関連付けられた少なくとも1つのグラフィカル制御要素が表示される。制御要素は、例えば、ポインタ又はカーソルによって入力デバイスを用いるユーザ制御による態様で選択可能となる。
【0016】
またさらに、表示用のコンピュータから独立した包括的な監視ユニット又は安全モジュールは、画像データラインに接続され、安全を目的とした機能のための画像データの少なくとも部分を読み出す。監視ユニットは、特に、信号の観点において、表示用のコンピュータとは独立し又は分離されている。
【0017】
本発明の第1の態様によると、そして技術的手順の観点において、以下が規定される:
-入力情報、特に、画像画素関連の相対又は絶対座標が、入力デバイスから、論理的又は物理的信号経路、より正確には、それに応じて制御要素選択が認識可能となる監視ユニットの第1のチャネルを介して供給されること、
-選択に関するユーザ制御による確認を受信するための監視ユニットが、安全な信号経路、特に、専用のかつ独立した物理的な第2のチャネルを介して、安全なデバイスとして特に設計されて表示用のコンピュータ及び/又は入力デバイスの信号依存でない確認デバイスに接続されること、
-監視ユニットが--特にそれ自体が保証、理由付け又は検証する--安全機能を有する1つ又は各々のユーザ制御による制御要素選択が想定通りに画像データにおいてディスプレイに供給され、又は実際にディスプレイに正しく示されることを保証にすること、及び
-第2のチャネルを介して受信されたユーザ制御による確認の場合に、監視ユニットが、信頼性を以て表示される制御要素選択が存在する期間内に、特に保証又は検証された態様で、この制御要素に関連付けられた安全に関する機能をリリース又は始動すること。
【0018】
特に、上記の始動は、この場合、対応するコマンドを出力することによって、安全な通信のために特別に設けられた第3のチャネルを介して行われてもよい。
【0019】
本発明によると、入力デバイスを用いる選択は、安全を目的とした機能の作動又は制御を未だ伴っていない。その代わり、この機能は、まず安全を目的とした制御要素しか表示しない(又はユーザに視認可能としない)。モジュールに対して想定される要件が満たされていることをモジュールが検証もしくは判定又はそれ自体で保証する限り、監視モジュールに接続され及び/又は安全となるように設計された確認デバイスによってのみ、制御要素の作動又は制御が実際に始動される。特に、これらの要件は、ディスプレイに供給される画像データにおける選択の想定される再生又は正しい再生を含む。
【0020】
この場合、旧来的なコンピュータワークステーションの表示及び制御のコンセプトが保持可能であり、いずれの市販の入力デバイスも使用可能である。特に、本発明によると、COTS(市販の既製品の)ポインティングデバイスが使用可能となる。好ましくは、2D入力のための従来の間接的かつ相対的ポインティングデバイスが、入力デバイス、特に、コンピュータマウス又は、同様に例示として、トラックボール、ジョイスティック、タッチパッド、デジタイザなどとして好適に使用される。
【0021】
操作又は入力の安全性は、とりわけ、追加の確認デバイス、例えば、本発明による信頼性を以て表示される選択と組み合わせて監視ユニットに接続された安全なボタンの独立した作動によって達成される。したがって、ユーザは、実際に意図した入力を確認デバイスによって確認するためのインスタンスとして含まれる。
【0022】
したがって、本発明によって提案される手法は--特許文献3又は特許文献4とは異なり--例えば、タッチパネルを用いることによって、又は(ソフトキーを用いて)直接入力によって、入力情報、特に絶対座標の安全な入力及び決定を省略することができ、入力処理は基本的に3個のサブステップに分割され、すなわち、入力処理を3個のサブステップ、具体的には:
i)実際の作動から独立した、入力情報、例えば、選択座標の生成又は決定、
ii)ユーザによる表示された選択に応じた入力の承認又は確認のための制御要素の選択又は選定に基づく表示、及び
iii)追加の確認デバイスによって行われたユーザによる確認に応じた制御要素に関連付けられた安全に関する機能の後続又は以降の活性化
に分割される。
【0023】
サブステップi)では、例えば、座標は、座標(DELTA座標)の変化としてシフトを相対ポインティングデバイスとしてコントローラに送信する市販のコンピュータマウスを用いて決定され得る。例えば、それにより、絶対座標が、直前の位置及びその変化又はシフトに基づいて生成可能となる。サブステップii)を実施するために、絶対座標は、例えば、監視ユニットに、すなわち、より安全なモジュールに維持されてもよく、好ましくは、このモジュールによって、モジュールによって既知の絶対座標において、例えば、マウスポインタの形態で安全に表示され得る。代替的又は追加的に、特に安全に関する制御要素を有する所定の画像領域外の位置及び/又は座標に関して、表示は、安全でない表示用のコンピュータを介しても行われ得る。安全に関する制御要素を有する所定の画像領域内で、表示は、モジュールに記憶された絶対座標に対応する位置において安全に又は信頼性を以て行われるべきである。サブステップiii)では、これに基づいて、ユーザ又は閲覧者は、所望の制御を始動するために、安全に関する制御要素に関して表示が有効な選択位置であることを認識、承認又は確認することができる。これは、ボタンなどの独立した安全確認デバイスを作動させることによってサブステップiii)において行われ得る。これに基づいて、監視ユニット又はモジュールは、対応するコマンドを生成又は出力することができる。
【0024】
まとめると、安全に表示された選択は、この場合、確認デバイスを用いた確認によって制御要素の作動から分離される。本発明によって、市販の入力デバイスを用いて実施することが困難な(例えば、絶対座標の)入力情報の面倒な決定が不要となる。またさらに、(例えば、安全でないチャネルであっても)いずれのチャネルを介して監視ユニットの入力情報が送信されるのかは無関係である。安全でない入力デバイスが、例えば、安全でないコンピュータに接続されることもある。入力情報は、例えば、特許文献2による画素データコンテナにおける画像データとともに選択的に、画像データラインを介して監視ユニットに送信され得る。
【0025】
入力情報の種類及び生成は、提案される解決手段を介して基本的に無関係であるので、任意の入力デバイス、特に、間接的及び/又は相対的COTSポインティングデバイスが使用可能である。
【0026】
好ましくは、特許文献3及び特許文献4における教示とは逆に、特に、相対及び連続入力、特に、2D入力のための間接的ポインティングデバイスに適したポインティングデバイスが使用される。市販の又はCOTSの周辺デバイス、特に、コンピュータマウスが、この場合には使用可能である。そのようなデバイスによって、GUIにおける直感的ポインタ又はカーソル案内が可能となる。したがって、ポインティングデバイスによって記録された相対移動が変換され、特に、ポインタ移動又はディスプレイの解像度に対する画像座標に変換される。
【0027】
入力デバイス、特に、ポインティングデバイスによる入力情報は、任意のインターフェースを介して監視ユニットに供給され得る。監視ユニットへの送信は:
-入力デバイスが監視ユニット、特に監視ユニットのコントローラコンポーネントに接続され、又は接続されたコンピュータマウスとともにデスクトップPC、例えば、コンピュータによって間接的に接続される場合に、
特に、入力デバイスによって直接的に実行され得る。
【0028】
選択又は表示は、例えば、監視ユニット又は他の何らかの視覚的表示によって重ね合わされたマウスポインタを用いて、例えば、色付けされたフレームによって、又は選択された制御要素の色を監視ユニットもしくはモジュールを介して変えることによって行われる。
【0029】
監視ユニットは、GUIにおける安全性重視の制御要素又はその意図された使用に応じた制御コマンドを出力する目的のため、例えば、監視ユニットによって視覚的に強調された安全性重視の制御要素に関して、ユーザによる後続の入力の承認又は確認を記録することができる。
【0030】
好適な実施形態では、監視ユニット自体は、認識された制御要素の選択が、ディスプレイに供給された画像データに正しく表現されることを保証する。これは、制御要素に関連付けられた所定の画像領域における表示のために意図された画像データの少なくとも一部分を監視ユニットが修正することによって実現可能であり、それに対応して、監視ユニットは修正された画像データをディスプレイに転送する。この修正は、例えば、監視ユニットによるポインタ表示を含み、又は監視ユニットによって修正された画像データは監視ユニットに現在供給されている入力情報の位置に応じたポインタを表現し得る。追加的又は代替的に、修正は、特に、ディスプレイにおけるそれぞれの制御要素に関連付けられた所定の画像領域において、ユーザに対して選択の視覚的強調又は視覚的表示をもたらし得る。
【0031】
画像データは、特に、画素フォーマットされた表現のためのデジタル画像データであり得る。
【0032】
特に、監視ユニットによって修正された画像データは、コンピュータ生成による画像データを特定の領域、特に、グラフィカルユーザインターフェース全体に対して比較的小さな画像領域にのみ重ね合わされ、すなわち、GUI表示は、表示用のコンピュータによって少なくとも大部分において生成されることが規定され得る。
【0033】
監視ユニット自体を用いて画像を変えることによって正しい表示の選択を保証することの代替として、表示用のコンピュータによって生成される画像データが制御要素の選択を表現することが規定され得る。この場合、認識された制御要素の選択が各場合においてディスプレイに供給された画像データに正しく表現されていることを監視ユニットが検証することが特に規定される。これは、制御要素に関連付けられた所定の画像領域における表示に対して意図された画像データについて、監視ユニットがチェックコードを計算し、このチェックコードを少なくとも1つの予め記憶された基準コードと比較することによって実現可能となる。例えば、本出願人の特許文献2の特許におけるコンセプトに基づく技術は、この目的に適する。
【0034】
表示用のコンピュータにおけるユーザインターフェースの容易に実施される操作性のために及び/又は監視ユニットにおける選択の簡単な認識のために、--従来の入力デバイスが監視ユニット又は表示用のコンピュータに直接接続されるか否かに応じて--、入力情報が入力デバイスからそのコンピュータに監視ユニットを介して送信され、又は監視ユニットにそのコンピュータを介して送信されることが規定されるべきである。好適な実施形態では、従来の入力デバイス、特に、コンピュータマウスは、監視ユニットに直接接続される。
【0035】
特に、監視ユニットを用いた画像修正によって正しい選択の表示を保証するための画像データ修正との関連において、監視ユニットは、入力側で特に表示用のコンピュータから画像データラインを介してコンピュータ生成による画像データが供給される第1のコンピューティングコンポーネントを備え、安全性重視の制御要素の選択に応じて、第1のコンピューティングコンポーネントが、出力側の選択及び画像データ(必要であれば結果的に修正される画像データを含む)を視覚的に強調するためにこの画像データを修正し、それをディスプレイに出力することが好ましくは規定される。この場合、監視ユニットは、例えば、コンピュータ生成によるコードを比較する目的のための画像データ符号化に関して、出力側で第1のコンピューティングコンポーネントからの画像データ、特に修正された画像データを検証するのに使用される第2のコンピューティングコンポーネントをさらに備え得る。
【0036】
特に、一実施形態では、第1のコンピューティングコンポーネントが、コンピュータ生成による入力に関する第1水準チェックコード又は所定の画像領域における表示に対して意図された入力側の入力画像データを計算し、監視ユニットは、この第1水準チェックコードを所定の画像領域に対する少なくとも1つの予め記憶された基準コードと比較することが規定されてもよく、その場合、第1のコンピューティングコンポーネントは、好ましくは、入力側の第1のステップにおいてコンピュータ生成による画像データに関するチェックコードを計算し、第2のステップにおいて後に画像データを修正する。
【0037】
ハードウェア及び計算量の観点で有効な(例えば、表示の検証がモジュール的に利用可能な)実施形態において、以下が規定され得る:
-監視ユニットの、1つの、より正確には上記の第1のコンピューティングコンポーネントは、所定の画像領域の表示に対して意図された第1のコンピューティングコンポーネントによって修正された画像データに関して第1の第2水準チェックコードを計算し、
-監視ユニットの、1つの、より正確には上記の第2のコンピューティングコンポーネントは、所定の画像領域の表示に対して意図された第1のコンピューティングコンポーネントによって修正された出力側の画像データに関して第2の第2水準チェックコードを計算し、
-監視ユニットは、特に、第1のコンピューティングコンポーネントによって意図された通りに選択が強調されていることを検証する目的のために、結果として生成された第2水準チェックコードを相互に比較する。
【0038】
この場合、両コンピューティングコンポーネントの各々は、好ましくは、選択なしに所定の画像領域に対する画像データに関して第3のチェックコードを計算し、監視ユニットは、選択を表示するために強調の前に、より正確には強調なしに制御要素の表示を検証する目的のために、第3のチェックコードを相互に比較する。
【0039】
必要な計算電力を低減するために、制御要素の選択が監視ユニットによって認識された場合にのみコンピューティングコンポーネントが1つ又は複数の上記チェックコードを計算することが規定され得る。
【0040】
対応するチェックコードは、特に、例えば、制御要素の表示領域に完全に又は部分的にのみ対応する制御要素に関連付けられた所定の画像領域に対する画素フォーマットされた画像データに関して決定可能である。任意の適切な符号化方法、例えば、CRC計算がこの場合には使用され得る。この点に関して、特許文献1又は特許文献2における教示が参照される。
【0041】
第1のコンピューティングコンポーネントは、選択された制御要素が第1の非選択表示状態から視覚的に区別可能な第2の選択済み状態として現れるように、例えば、重ね合わせ、色の変化などによって、選択の視覚的強調のためにデータを修正することができる。そうすることによって、人間工学性が向上し、ユーザに対して選択の視覚的認識が単純化される。一方で、制御要素による単なるポインタ表示は、この時点では、表示された制御要素の選択であるものとして理解される。一方で、現在の座標は安全に関する制御要素に一致する場合、ポインタは非表示とされ、視覚的に認識可能な選択済み状態の表示によって置き換えられてもよい。
【0042】
原則として、第1のコンピューティングコンポーネントは、実施形態では、画像データストリームにおける修正画像データをコンピュータ生成による画像データとともにディスプレイに出力することができる。これは、例えば、特定のグラフィクス関連領域においてのみコンピュータ生成による画像データを上書きし又は重ね合わせ、その他のコンピュータ生成による画像データをそのままとすることによって、簡単に実現可能である。
【0043】
監視ユニットは、好ましくは、少なくとも1つの集積回路を有する回路モジュールとして設計される。監視ユニットは、第1のコンピューティングコンポーネントに画像データラインにおけるシリアル回路構成を介して、好ましくは、ディスプレイの近くに、特に、ディスプレイの画像データ入力部において直接接続される。
【0044】
従来の制御コンセプトに特に適した実施形態では、ユーザインターフェースを操作するために、ポインタ又はカーソル、特にコンピュータマウスによって制御されるマウスポインタがディスプレイ上に示される。この場合、監視ユニットに供給される入力情報に基づいて、例えば、第1のコンピューティングコンポーネントを用いて、特に監視ユニットにおける画像データ修正によって、ポインタが監視ユニットによって排他的に生成されることが規定され得る。この場合、入力デバイス、好ましくは相対ポインティングデバイス、特にコンピュータマウスは、監視ユニットにおいて好ましくは再度直接に接続され得る。モジュールは、その結果としてこの入力情報を表示用のコンピュータに転送する。
【0045】
方法及びデバイスは、通常のかつ連続的な操作を可能とするために、GUIにおけるポインタ又はカーソルがユーザに視認可能となるように、特に、永続的に視認可能となり、表示され又は重ね合わせられるように実施され得る。
【0046】
好ましくは連続的なポインタ案内に適した相対的及び/又は間接的ポインティングデバイスは、好ましくは入力デバイスとして用いられる。この場合、COTSポインティングデバイスは、例えば、USB接続とともに使用され得る。ただし、COTSポインティングデバイスを提供することは本発明の範囲内ではないが、電気的シグナリングの観点で安全な独立したSIL能力のある確認デバイス、例えば、押しボタンを一体化部品としてさらに備える従来の相対ポインティングデバイス(例えば、コンピュータマウス)と互換可能な特注のポインティングデバイスを提供することは本発明の範囲内にある。この場合、確認デバイスは、好ましくは、論理的及び/又は物理的に安全となるように設計された別個かつ独立の信号経路を介してポインティングデバイスのための信号接続とは独立して監視ユニットに接続される。
【0047】
ポインタ操作を含む更なる実施形態では、安全性重視の制御要素のための全ての所定の画像領域の少なくとも外部において、ポインタが表示用のコンピュータによって生成されることが規定され得る。この背景において、それぞれの関連する領域における安全性重視の制御要素の選択が監視ユニットによって認識される場合、好ましくは監視ユニットにおける画像データ修正によって、コンピュータ生成によるポインタは表示されないことがここでも規定され得る。この実施形態では、特に、入力デバイス、特にコンピュータマウスが、例えば、USBポートを介して従来的な態様で表示用のコンピュータに直接接続され得る。これにより、表示用のコンピュータは、入力情報を監視ユニットに転送する。
【0048】
例えば、チェックコード計算による特に画像データ検証に関して、ポインタ、特にマウスポインタが、好ましくはユーザに不快なものとして知覚されない周波数で各場合において周期的に非表示及び表示とすることが行われると有利となり得る。例えば、画像データについての各N個の連続画像周期について、マウスポインタがコンピュータ又は監視ユニットによってN個未満のm個の画像周期についてのみ、結果として表示され得る。そうすることで、特に制御要素に対して、ポインタが非表示とされた状態で画像データに対するチェックコードを計算するオプションが提供される。これにより、ポインタがGUI内の非常に細かいグリッドで完全に位置可変又は移動可能となるものであるので、正しい表示の検証が大幅に簡素化される。あるいは、ポインタ表示は、決定された座標又は入力情報が関連領域から逸れない限り、制御要素における適切なソフトウェアによって単一の所定位置に固定又はクリップされてもよい。
【0049】
入力デバイスに応じて、入力情報は、特に、タッチディスプレイで通常そうであるように絶対座標情報を、又はコンピュータマウスで通常そうであるように相対座標情報を表現し得る。相対座標情報は、この場合では、演算技術を用いて容易に絶対座標情報に変換可能である。
【0050】
デバイス側では、グラフィカルユーザインターフェース(GUI)を監視するための監視ユニットも提案され、それは少なくとも:
-コンピュータ生成による画像データのコンピュータからディスプレイへの送信のための画像データラインに接続するのに使用されるデジタル画像データインターフェース、特に、LVDSインターフェース、HDMI(登録商標)インターフェースなど、
-安全機能を実施し、画像データインターフェースを介して画像データの少なくとも部分を読み出す少なくとも1つのコンピューティングコンポーネント、及び
-特にユーザ制御によるグラフィカル制御要素の選択のための入力デバイスに基づく、入力情報のためのデバイスインターフェース
を備える。
【0051】
またさらに、本発明の第1の態様によると、監視ユニットは入力確認又はユーザ承認のための安全確認デバイスが接続され得る物理的な確認入力部を備え、少なくとも1つのコンピューティングコンポーネントは、認識された制御要素の選択が、特に、参照される先述の方法形態の1つによるディスプレイに供給される画像データにおいて正しく表現されることを保証及び/又は検証するように構成される。
【0052】
また、本発明の第1の態様によると、監視ユニットは、表示された制御要素の選択中に確認インターフェースを介して、より正確には表示された制御要素の選択とともに時系列的に予め決定されたコンテキストにおいて確認入力を受信した場合に、関連する安全に関する制御コマンドを特に安全インターフェースを介して出力することである。
【0053】
提案される監視ユニットは、好ましくは、画像データに基づいてチェックコードの画像データ修正及び/又は計算のために構成された少なくとも1つのコンピューティングコンポーネントを備える。監視ユニットは、特に検証目的で所定の画像領域及び/又は基準コードを指定するための少なくとも1つのメモリを備え得る。
【0054】
監視ユニットは、好ましくは、入力デバイスのためのコントローラコンポーネントを備え、そのコントローラコンポーネントは入力デバイスの直接接続のために用いられるデバイスインターフェースに接続される。例えば、特にコンピュータマウスは、その結果として、監視ユニットに直接接続可能となる。特にこの場合、監視ユニットは、好ましくは、入力情報を外部の又は独立した表示用のコンピュータに送信するためのデータインターフェース、特に、双方向データインターフェースを備える。
【0055】
本発明の更なる独立した態様によると、監視ユニットが2段又はおそらくは2チャネルのコンピュータアーキテクチャを有することが提案され、監視ユニットは:
-第1のコンピューティングコンポーネント、より正確には、入力側においてコンピュータ生成による画像データを受信し、安全機能に応じて、所定の画像領域における表示が意図された画像データの少なくとも一部分を修正し、出力側においてディスプレイのための画像データを提供するように構成されたコンピューティングコンポーネント
を備え、
-第2のコンピューティングコンポーネント、より正確には、画像データのためのチェックコードを計算することによって第1のコンピューティングコンポーネントから出力された画像データ、特に、所定の画像領域における表示が意図された修正画像データを検証するように構成されたコンピューティングコンポーネント
を備える。
【0056】
これは、--特に、ただし排他的にではなく、安全な入力のために--監視ユニットの使用が安全を目的とした重ね合せ又は強調をグラフィカルユーザインターフェースにおいて安全な態様で生成することを可能とする独立した発明としてみなされる。
【0057】
この背景において、第2の態様による監視ユニットは、特に、第1のコンピューティングコンポーネントによる強調が意図された通りであることを検証する目的のために及び/又は安全を目的とした応答を開始する目的のために、特に、計算されたチェックコードを少なくとも1つの予め記憶された基準コードと比較するように設定又は構成され得る。
【0058】
この2段アーキテクチャを有する監視ユニットは、特に、ただし排他的にではなく、導入章で記載された第1の態様による方法に適する。例えば、領域が監視されているか否かに関してステータス表示を安全に示すために、(入力機能なしの)単なる表示のために指定監視領域を安全に示すために、及び障害であるとして表現されている領域が確実に非表示とされ、重ね合わされ、又は障害であるとしてマークなどされることを保証するために、他の用途にも有利に使用され得る。
【0059】
特に第2の態様によると、第1のコンピューティングコンポーネントは、監視領域における表示用のコンピュータ生成による画像データに関して、監視領域について、少なくとも1つの予め記憶された基準値、特に基準コードとの、安全を目的とした比較のためのチェックコードを計算するように構成され得る。この場合、第1のコンピューティングコンポーネントは、まず入力側でコンピュータ生成による画像データに対してチェックコードを計算し、それに続く第2のステップにおいて、例えば、安全に関する情報を強調するように又は障害の場合に安全を目的とした応答として、画像データを修正することができる。特に、第2の態様による実施形態では、第1及び第2のコンピューティングコンポーネントが、多様化によってシステム上の障害に対する影響度を最小化するために、特に異なる種類のすなわち、多様な態様の、異なる符号化方法を実施し、及び/又はFPGA、ASICなどの2つの独立した集積回路によって実装されることが規定され得る。
【0060】
特に第2の態様による実施形態では、安全機能を有する少なくとも1つのコンピューティングコンポーネント、特に第1及び第2のコンピューティングコンポーネントが、選択された画像領域に関して、演算されたチェックコードを各場合に生成してもよい。
【0061】
コンピューティングコンポーネントは、生成されたチェックコードを予め記憶された基準データと比較するように提供又は構成されたボーター(voter)構成、例えば、1つ又は複数のプロセッサに接続され得る。それにより、ボーター構成は、好ましくは、安全性及び/又は入手性の要件に応じて、他のX-out-of-Yボーターのコンセプトも可能として、2チャネルのプロセッサ回路として(2つのコンピューティングコンポーネントの場合には、好ましくは2oo2(2-out-of-2)ボーターとして)実装されてもよい。
【0062】
第2のコンピューティングコンポーネントが用いられる場合、それは、画像データ修正に関して同様に2チャネル設計を有し、すなわち、第1のものに対して冗長性を有していてもよいが、これは必須ではない。コンピューティングコンポーネントが2つのチャネルを有する場合、第2のものは、第1のコンピューティングコンポーネントと同一の態様で画像データの少なくとも一部分を冗長的に修正することができる。それらの双方の各々が、修正され又は冗長的に修正された画像データに対して対応の第1又は第2のチェックコードを計算する場合、チェックコードは、特にボーター構成において、監視ユニットによって、機能的な安全のために相互に比較され得る。これによって、第1のコンピューティングコンポーネントが、想定される態様で又は正しく画像データを修正して、例えば、安全性重視の領域を強調し又は非表示としていることが保証可能となる。
【0063】
第1又は第2の態様に関わらず、監視ユニットは、好ましくは、バスインターフェースを介して安全を目的とした通信のためのモジュールを備え、そのバスインターフェースは、その結果として、例えば、IEC61784-3-3、PROFIsafeプロトコルなどに従う通信のために安全を目的とした制御コマンドを出力するための安全インターフェースとして使用可能となる。
【0064】
第1又は第2の態様に関わらず、監視ユニットは、上記で説明した手順上の実施形態の1つによる少なくとも1つの方法ステップのコンピュータ実施による実行のために構成されるように、特に、構成可能又はプログラム可能な、FPGAのようなコンピューティングコンポーネント、ロジックユニットもしくはコンピューティングコンポーネント及び/又はマイクロコントローラによって構成可能である。この場合では、用語「コンピューティングコンポーネント」は、プログラム可能なコンピュータ、例えば、von Neumannコンピュータに限定されないが、計算によって画像データを処理することができる任意のユニット、例えば、これは予め構成されたFPGA、ASICなども含む。
【0065】
第1又は第2の態様による提案の監視ユニットは、画素グラフィクスを表示するのに使用される表示デバイスを、特にTFTパネルで装備するのに特に適する。モジュール式監視ユニットが、例えば、画像データ入力部において直接にデバイスに一体化されてもよい。この場合、ディスプレイは、監視ユニットのデバイスインターフェースに接続された入力デバイスのための少なくとも1つの接続部及び監視ユニットの確認入力部に接続された安全確認デバイスのための接続部を備え得る。
【0066】
本発明は、コンピュータ及び当該コンピュータにグラフィクスデータラインを介して接続された画素グラフィクスのためのディスプレイを備える、GUIへの安全に関する入力のためのシステムにも関する。本発明によると、特に第1の態様によると、この場合、コンピュータから物理的に独立した監視ユニットが、上述したように提供される。
【0067】
第1の態様によると、システムは、監視ユニットのデバイスインターフェースに好ましくは直接接続されたユーザインターフェースを操作するための入力デバイス、特にコンピュータマウスをさらに備え得る。またさらに、少なくとも第1の態様によると、独立してかつ安全確認デバイス、特に、例えば開閉接点を有する安全ボタンが、監視ユニットの物理的な確認入力部に接続される。
【0068】
以上の方法の特徴及びデバイスの特徴は、相互に組み合わせ可能であり、各場合において、独立して又は個々に本発明に本質的なものとしてみなされるべきである。
【0069】
提案される解決手段は、例えば、GUIによって安全でかつ同時にユーザフレンドリな操作を可能とするために、安全に関する処理又はシステムにおけるパラメータ化、例えば、処理技術又は自動化技術のために有利に使用され得る。
【0070】
本発明の用途の分野は、ディスプレイ又はデスクトップコンピュータシステムに限られず、例えば、機械又はシステムの遠隔制御のためのいわゆるコンバーチブル又は小型可搬デバイスも含む。そのような、タブレットPCなどの小型デバイスは、ここでは、例えば、港湾のコンテナクレーンを制御し、又は産業ロボットをプログラムするのに使用される。またさらに、本発明は、特に、権限を必要とするシステムについて、重要なアクセス又は権限セキュリティの領域においても使用され得る。
【0071】
保護範囲を限定することなく、本発明の更なる特徴及び有利な効果を、添付図面を参照して、以下の好適な例示的実施形態のより詳細な説明からまとめることができる。
【図面の簡単な説明】
【0072】
図1】安全でないコンピュータによって生成されたグラフィカルユーザインターフェース(GUI)における安全に関するユーザ入力のためのシステムの概念図である。
図2】GUIを監視するための3個の例示的実施形態であって、表示用のコンピュータに接続された入力デバイス及び本発明による監視ユニットに接続された確認デバイスを有するもの(図2A)、入力デバイス及び本発明による監視ユニットに接続された確認デバイスを備えるもの(図2B)及び図2Bの確認デバイスの変形例(図2C)を示す。
図3】本発明による方法を示すための、種々の状態において制御要素及び制御要素を選択するためのマウスポインタを備えるディスプレイ上の単に例示的なGUIの種々の状態を示し、選択された非安全関連の制御要素を備えるもの(図3A)、選択のないもの(図3B)及び選択された安全に関する制御要素を備えるもの(図3C)を示す。
図4】制御要素の認識された選択が画像データに正しく表現されていることを監視ユニットがどのようにして保証するのかを示す概略信号フロー図とともに監視ユニットの2つの例示的実施形態を示す(図4A~4B)。
図5】本発明の独立した更なる態様による安全性重視の用途における安全な入力(図5A)及び/又は表示(図5B)のための監視ユニットのアーキテクチャを示す。
図6】本発明の態様の1つによる統合監視ユニットを備えるディスプレイデバイスの概念図である。
【発明を実施するための形態】
【0073】
図1は、画素フォーマット化されたデジタル画像データを生成するコンピュータ1を備えるグラフィカルユーザインターフェース(GUI)上の安全に関する入力のための構成又はシステム10を模式的に示す。画像データは、表示のために、COTSディスプレイ2、例えば、TFTコンピュータ画面に適宜の画像データライン3を介して供給される。任意のCOTSコンピュータ、例えば、デスクトップPCは、グラフィクスを表示するためのコンピュータ1(以下、略してPC1という)として使用され得る。PC1は、安全要求の観点で安全ではなく、より正確には信号技術の観点で安全ではなく、すなわち、安全技術の観点で安全でないものとしてみなされる。PC1は、とりわけ、選択的に種々のコンテキストに応じたモード又は画面マスク(図3A~3C参照)によって、用途に応じて、任意の所望のGUIをディスプレイ2に表示するようにプログラム可能であり、又はプログラムされている。図1におけるシステム10の部分は、GUIを操作するための入力デバイスであり、具体的には、図1では、相対的、連続的かつ間接的なポインティングデバイスであり、この場合では、市販のコンピュータマウス4である。図1では例として、COTSコンピュータマウス(略して「マウス」4という)が、従来の技術でPC1に接続される。安全性の観点では、マウス4も安全でないものとしてみなされ得る。
【0074】
マウス4又は他の何らかの相対的、間接的かつ連続的な制御によって、ユーザは、PC1によって生成されるGUI表現における位置ポインタ又はマウスポインタ5を移動させることによって通常通りにグラフィカル制御要素を操作することができる。
【0075】
安全でないコンポーネント、例えば、安全でないPC1及びCOTS入力デバイス、この場合はマウス4の使用にもかかわらず、所望の安全度水準、例えば、SIL-3を達成するために、図1に模式的に示すように、追加のモジュール式監視ユニット11が設けられる。監視ユニット11は、別個のハードウェアの形態で又は独立したモジュールとして設けられ、安全証明済みである。モジュール式監視ユニット11(以下、略してSMU(Safety Monitoring Unit)という)は、画像データライン3に接続され、例えば、ディスプレイ2の画像データ入力部に接続可能である。SMU11は、特に障害を検出する目的で安全機能を実施するとともに所定の画像領域を監視するために、及び/又は選択的にディスプレイ2の描画の目的で画像データを修正するためにも、画像データライン3からの画像データの少なくとも部分を読み出すように構成される。画像データライン3は、任意の適宜の信号形式、例えば、LVDSなどで、好ましくはデジタルで画素フォーマット化された画像データを伝送することができる。
【0076】
SMU11には、第1の信号経路、すなわち、チャネル11Aを介して入力情報も供給され、SMU11は安全な設計のものである必要はない。この情報は、特にマウス4の操作に基づいて、相対座標(図2B)又はそれによりマウスポインタ5(「カーソル」ともいう)から生成されたグラフィクス関連ポインタ座標(図2A)のいずれかの具体的な座標を含む。図1におけるポインタ座標は、例えば、マウス4の相対座標に基づいてPC1によって決定され、PC1からSMU11に第1のチャネル11Aを介して送信され得る。入力デバイス、例えば、デジタイザに応じて、当該デバイスは、絶対座標を生成し、それらをSMU11にチャネル11Aを介して送信することもできる。
【0077】
そのような入力情報、特にポインタ座標に基づいて、SMU11は、安全性重視の制御要素6(ここでは概略的にのみ示される)の選択又はユーザ制御による選択を認識することができる。この背景において、任意のGUI制御要素は、安全性重視の制御要素6としてみなされることになり、その作動は、ハザード又は操作上の安全性の意味で用途に応じた安全に関する機能(例えば、鉄道の信号ボックスにおけるポイントの切換)又はアクセスもしくは権限セキュリティを有し、(例えば、PIN入力)に関連付けられ、又はそれを始動することが意図される。この種の安全性重視の制御要素を、以下では略してSEE(safety-又はsafety-relevant entry element)という。
【0078】
図1は、独立した確認デバイス14(以下、略してCD(confirmation device)という)をさらに示し、それは第2の信号経路、すなわち、チャネル11Bを介してSMU11に接続される。CD14は、好ましくはハードウェアの観点でマウス4から独立して設計される。CD14は、好ましくはSIL能力があり、いかなる場合でもそれ自体の安全なチャネル11Bを介してSMU11に接続される。CD14は、マウス4によって制御されるカーソル5を用いて以前に選択されたSEE6として模式的に示される安全性重視の制御要素の所望の操作又は作動のユーザ制御による確認のためにシステム10において使用される。この点について、マウス4におけるボタンの作動は、適切なプログラミングによってSEE6では無視され、又は考慮されるSEE6に関連付けられた重要な機能を始動するのには使用可能とならない。その代わりに、対応する始動が、CD14、例えば、安全なボタン又は押しボタンによってユーザにより行われなければならない。したがって、ユーザは、各場合において、追加のCD14を入力し又は作動させることによって、1つ又は各々の提供済みSEE6についての彼らの選定又は選択を別個にかつ独立して承認又は確認する。
【0079】
選択的に複数のSEE6のうちの1つを含む制御要素の選択は、カーソル5のユーザ制御に応じて行われる。SMU11は、またさらに、選択的に複数のSEE6(以下の図3A~3C参照)のうちの1つの認識された選定又は選択が、画像データライン3を介してディスプレイ2に供給される画像データに正しく表現されていることをそれ自体が保証し、ただし、少なくとも検証するように、コンピュータ上で構成され、例えば、プログラムされる。したがって、例えば、カーソル5のポインタ座標に基づいて、SMU11内のプログラムにおいて現在行われている選択が、ディスプレイ2における適切な表示によって閲覧者又はユーザに対して示されるものに確実に対応することが保証される。これは、SMU11におけるソフトウェア技術を介して実施可能である。
【0080】
この場合、どのようにして上記表示がユーザに対して行われるのか、特に、それがPC1によって生成されるのか又はSMU11によって生成されるのかは、SMU11が考慮し又は現在有効であるものとみなされる選択をユーザが視覚的に認識する限り、二次的な重要性のものである。この表示は、特に、カーソル5がSEE6を従来的な態様で指し示すことによって、これはユーザに視認可能であり、かつ通常の制御に対応するので、既に達成されているはずである。したがって、PC1、ディスプレイ2及びGUIにおけるマウス操作によるカーソル5を備える古典的なデスクトップワークステーションの表示コンセプト及び制御コンセプトは、維持される。
【0081】
所望の安全度水準、例えば、SIL-3は、とりわけ、この目的で具体的に提供されるCD14からユーザ制御による確認が受信されると、安全に関する制御コマンドを始動し、又は選択されたSEE6に適した安全に関する機能をリリースするのは、(安全でない)表示用のPC1ではなく安全な又はSILに適合したSMU11のみであるということにおいて、システム10によって達成される。GUIの任意の制御要素の選択に関連付けられた明確性は、カーソル5を有するポインタベースのGUIに本来的なものである(常に1つのカーソル5しかないため)。確認は、それが行われる場合、SMU11によって安全に表示されているものとして現在考えられている正確に1つの単一の選択に関連付けられ、すなわち、厳密に1つのSEE6に関連付けられ、その他の場合には破棄される。この目的のため、CD14の活性化は、特に、関連のSEE6の表示選択中にSMU11によって監視又は問合せされ、SMU11によって使用されて、このSEE6に関連付けられた制御コマンドを始動する。CD14の監視又は問合せは、SMU11が選択的に複数のSEE6のうちの1つの有効な選択を認識しない場合には省略され、又は選択が認識された場合にのみ行われる(フェールセーフの挙動)。この場合、通常の障害の場合はユーザによって認識され得るので(障害検出)、ディスプレイ2は安全なものとみなされる。ただし、ディスプレイ2における正しい表示を確認するための追加のハードウェア対策が実施されてもよい。
【0082】
図2A~2Cは、画像データストリーム3において、SMU11又は21を有する相対ポインティングデバイスを用いる安全な入力についての本発明によるシステム20A、20B、20Cの3個の実施形態を示す。
【0083】
図2Aは、図1におけるコンセプトに概ね対応する、具体的には、PC1に、例えば、USBポートに直接接続されるマウス4、及びCD14として安全なボタンを備えるシステム20Aを示す。CD14は、独立したSMU11に安全なチャネル11Bを介して直接接続される。この場合、マウス4の相対座標は、PC1において、カーソル5を制御するための画像関連又は絶対ポインタ座標に変換され、安全な設計のものであることが必要ではないチャネル11Aを介してSMU11に連続的に送信される。あるいは、絶対ポインタ座標は、SMU11において決定されてチャネル11Aを介してPC1に返送されてもよい。カーソル5が現在指し示しているSEE6(選択)などをさらに視覚的に強調するために、特に、ディスプレイ2における表現に関して、例えば、それがSEE6を指し示す場合にカーソル5を非表示とすることに関して、SMU11が制御コマンドをPC1に返送できるように、チャネル11Aはシステム20Aにおいて双方向となるように設計される。マウスがPC1に接続される場合、それは、SEE6がPC1を介して又はマウス4上のボタンを介して直接制御可能とならないように好適にプログラムされる。
【0084】
またさらに、SMU11は、安全な外部親機コンピュータ7、例えば、システムコントローラなどに安全な信号経路、すなわち、チャネル11Dを介して接続される。(カーソル5が指し示す)表示されたSEE選択の間にユーザ制御による確認がボタン14において受け付けられると、例えば、システムパラメータ化のためのGUI承認ボタンが、SEE6に関連付けられた安全に関する制御コマンドを安全なコンピュータ7に、例えば、チャネル11Dを介して発出する。安全なコンピュータ7への安全な信号経路、すなわち、チャネル11Dは、適切なバス又は適切なネットワーク、例えば、好ましくは安全な信号伝送に適した安全ビュー(OSIモデル)を有するPROFINET(図6参照)又はProfiSafeによって実装可能である。
【0085】
CD14は、例えば、SMU11における適切なコントローラ技術を用いて機能的に安全となるように設計可能であり、例えば、単一チャネルのボタン14として設計可能である。単にソフトウェアの観点で、CD14の信頼性のある機能は、適切なコントローラによって保証され得る。より高い安全性の要求を考慮して、CD14は、例えば、開閉器を備え及び/又は物理的に安全となるように設計された2チャネル設計を有していてもよい。とりわけ、CD14が、実際には実行されなかった作動をSMU11に誤って送信しないことが保証されなければならない。実行された作動がCD14にないことは、ユーザによって障害として認識されることになる。
【0086】
図2Aによるシステム20Aでは、マウス4によって制御されるポインタ5は、例えば、表示用のPC1を用いて連続的に重ね合わせることができ、ディスプレイ2における表現は、例えば、特許文献1におけるコンセプトに従って、すなわち、画素フォーマット化された監視領域についてSMU11が計算するチェックコードを用いることによって、及びその後に基準値と比較される値との比較又はそれに対する参照においてチェックコードを用いることによって、SMU11によって正確性について監視される。簡明化のために、特許文献1又は特許文献2におけるチェックコードの使用に関する教示が、好適な解決手段としてここに取り込まれる。
【0087】
図2Bは、この場合にはマウス4がSMU21にチャネル11Aを介して直接接続される点で図2Aと主に異なる好適なシステム20Bを示す。SMU21は、例えば、既存のマイクロコントローラもしくはプロセッサ又は適宜の独立した集積ハードウェアコンポーネントにおいて、例えば、この目的に適した入力デバイスコントローラを備え得る。入力デバイスコントローラは、別個にかつ外部に実装されてもよく、SMU21(図6)とインターフェース、例えば、ICを介して通信し得る。図2Bにおける好適なアーキテクチャでは、マウス4が生成又は送信する相対座標の画像関連ポインタ座標への変換は、SMU21内の画像関連の指示された座標において行われる。結果としての画像関連ポインタ座標又は相対マウス入力座標、及び選択的にマウスボタン割込みは、非安全関連の入力について、GUIを表示するためにPC1がポインタの位置及び選択的にマウス4のボタンの作動を処理できるように、その後にGUIを制御する目的でデータチャネル11Cを介してPC1に連続的に送信される。図2Bによる構成では、SMU21は、入力デバイス、この場合ではマウス4からの現在の、選択的に安全でもある入力データを常に有している。
【0088】
特に図2Bによるシステム20Bでは、ポインタ5は、好ましくはSMU21内で又はそれ自体によって、マウス4の制御を介して連続的に表示される。この目的のため、SMU21は、例えば、PC1によって生成されたグラフィクスを特定の領域に重ね合わせることによって、ディスプレイ2に転送される画像データの修正を行う(以降の図4A~4Bに関して以下を参照)。この背景において、SMU21は、CD14を介してユーザによって後に確認された、例えば、関連する安全に関する制御コマンドを安全なコンピュータ7にチャネル11Dを介して転送する場合に、関連する重要な機能を始動するために、ポインタ座標及びSEE6の各選択の知識を本来的に常に有している。
【0089】
図2Cは、確認デバイス(CD)の種類が主に異なるシステム20Cの更なる変形例を示す。システム20Cでは、ディスプレイ2を備えるHMIに設けられたソフトキー・キーボード25が、安全確認デバイスとしてのSMU21に安全な信号経路11Bを介して接続される。ソフトキー・キーボード25は、特許文献4による設計に対応し、それは簡明化のためにここに取り込まれる。
【0090】
物理キー24の機能的な安全性は、ソフトキーコントローラ26によって保証される。あるいは、SMU21は、ボタン24を直接かつ安全に読み出すことができる。キー24は、通常はディスプレイ2の余白に配置される。PC1は、この場合、ソフトキー・キーボード25の個々のキー24に関連付けられたグラフィカルアイコン23、シンボルなどを表示することができる。SEE6に対する確認入力に関して、コンテキストに応じて、異なる又は常に同じキー24が使用可能であり、その場合、安全関連性又は必要な確認処理は、より直感的使用のために、例えば、適切なアイコン23を用いて、GUIにおいてユーザに視覚的に表示され得る。確認処理に関連するそのような追加のアイコン23の表示の精度も同様に、特許文献1におけるコンセプトに従って、例えば、関連する画像データを符号化してそれを想定基準コードと比較することによって、SMU21によって監視可能である。
【0091】
システム20Cは、この場合にはソフトキーボタン24の1つによって、独立した確認によって、ポインタベースの選択又は重要なSEE6の選択と、それらの実際の作動/制御との間の分離を実行することもできる。対応するソフトキーボタン24は、確認入力に関して、所定の態様でSMU21における選択済みSEE6に関連付けられる。したがって、ユーザによる実際の確認を考慮すると、すなわち、所定のキー24が押下されると、SMU21は関連する制御コマンドを安全なコンピュータ7にチャネル11Dを介して出力することができる。さらに、カーソル5がSMU21によって排他的に表示される場合、システム20Cは、特許文献4に従って、又は特許文献3にも従って、更なる機能を選択的に実施することもできる。一方、位置可変のカーソルがPC1によって表示される場合、画像データに基づく固有のチェックコードについての要件を考慮すると、そのような解決手段は、膨大なソフトウェア処理なしには可能とはならない。ただし、この場合、マウス4などの相対的、連続的かつ間接的な入力デバイスを用いるカーソル5を介したGUIの安全動作が焦点となり、確認入力を超えるソフトキーボタン24の他の機能は選択的であることを意味する。
【0092】
図3A~3CにおけるGUI2Aの概略図を参照して、機能、より正確には方法を以下に簡単に説明する。
【0093】
ユーザは、ディスプレイ2によって描画される画像上、すなわち、GUI2A内でカーソル5を移動させる。この場合、多数の非安全関連の制御要素9も提供され、その動作はPC1によって完全に従来的な態様で、選択的にSMU11;21による関与なしに実施される。
【0094】
一方、ポインタ座標によって認識可能なカーソル5の位置が、SEE6に対応する所定の画像領域(監視領域)に進入した場合、SMU11;21は、安全に関する選択を認識することになる。この目的のため、ポインタ座標(絶対座標)は、入力デバイス4からの間接送信(図2A)又は直接送信(図2B/2C)に基づいて、SMU11;21において常に記憶及び更新される。選択は、SMU11;21に記憶されたグラフィクス関連画像座標によって、SEE6の表示領域、より正確には所定の対応する監視領域として認識される。したがって、これは、カーソル5が、例えば、SMU11;21の入力段においてGUI2Aのこのグラフィクス領域に入ると、認識される。選択的に、PC1によって及びSMU11;21によって制御されて、又は好ましくはSMU11;21自体によって、例えば、図3Cに概略的に示すような明瞭に認識可能なフレーム8などによってこの領域の追加の視覚的強調が行われてもよい。
【0095】
SMU11;21は、ポインタ5の現在のポインタ座標に基づいてSEE6の既存の選択の知識を有する。そのような選択の場合、SMU11;21は、正確なポインタ表示、及び選択的に、適切な視覚的強調を検証又は保証する。これに基づいて、SMU11;21は、確認入力、特に、選択されたSEE6のアクティブな強調の間に行われた確認入力を、ユーザによる承認として安全なボタン14又は24を介して認識し、それをSEE6の対応の安全性重視の機能に関連付けることができる。CD14又は24における対応する確認入力を考慮すると、SMU11;21は、安全性重視の機能を有効化し、例えば、対応するコマンドを安全なコンピュータ7に出力することができる。このコマンドは、任意の所定の形態をとってもよいし、例えば、SEE6についての符号化された画像データに対応していてもよい。この場合、マウス4の従来のマウスボタンの作動は、安全でないとみなされるため、無視されることになり、SMU11;21によるリリース又はコマンド出力は影響を及ぼさない。これは、マウス4がSMU11;21に直接接続される場合(図2B)、より容易に実施され得る。
【0096】
特に、安全でないPC1によって引き起こされた場合の強調の検証も、この場合、例えば、特許文献1に従って、SMU11;21における関連の監視領域の画像データを符号化し、それを対象コード又は基準コードと比較することによって実現可能となる。
【0097】
SEE6の選択の視覚的強調は、カーソル5のみによる表現によって達成され得る。演算の簡素化の目的のため、マウス4がSEE6の画像領域内に移動された場合、特に、カーソル5がPC1によってグラフィカルに生成された場合、カーソル5は、選択的に、何らかの種類のクリッピング又はスナッピングを介して所定の位置に設定及び保持され得る。例えば、この場合、カーソル5は、現在のポインタ座標(絶対座標)が上書き又は無視可能となるようにして、SEE6の幾何中心に対応するポインタ座標に表示され、又はそれに重ね合わされてもよい。このようにして、カーソル5は、常に、選定又は選択の場合に選択されたSEE6内で所定のグラフィカル表現を受け付けるので、例えば、SMU11;21でのコード比較による安全を目的としたグラフィクス検証は潜在的に大幅に簡素化され得る。さらに、操作上の安全性が高められ、より正確には、ユーザは上記挙動を安全に関するものとして認識することができる。この変形例では、カーソル5がマウス4によってSEE6の監視画像領域から大幅に離れるように移動されるまで、通常の表示モードには戻されない。言い換えると、カーソル5がSEE6の監視画像領域まで移動されると、GUI2Aの残余の部分とは異なる態様でユーザに対して挙動し、例えば、所定の画像位置に保持され、又は非表示とされるように、システムは有利に構成される。
【0098】
一方で、選択を強調することは、特に、画像データライン3に適宜接続されたSMU11;21がアクセスを有するディスプレイに転送された画像データを修正することによって、好ましくは、SMU11;21自体によって行われる。特にこの目的のため、SMU11;21自体は、カーソル5を画像データにおいて示し、その結果として、画像データの安全を目的とした符号化も簡素化される(以下の図4A~4B参照)。
【0099】
いずれの場合においても、SMU11;21は、SEE6を選択する場合に、(ユーザに視認可能な)表示されたカーソル5のポインタ座標がそれに対応し、又はそれに対応して監視される画像領域内に存在することを保証することができる。SEE6の選定又は選択(さらに事前選択)の承認は、選択から独立して、その後に、ユーザによって、具体的にはCD14;24を作動させることによって行われる。この処理は、例えば、この目的のための独立したチャネル11Dを介して、関連する安全に関するアクションを開始するための必要な条件としてSMU11;21によって監視される。
【0100】
図4A~4Bは、例えば、図2Bによるコンセプトについて、SILに適合した又はSIL能力があるSMU21、21´の好適な実施例及びアーキテクチャを概略的に示す。図4A~4Bにおける説明は、部分的に、機能の好適な態様を説明する信号フロー図として設計されている。SMU21、21´は、画像データラインを入力側のPC1から接続するためのインターフェース、及びマウス4などの相対入力デバイスを接続するとともに、確認デバイス(CD)14、例えば、安全なボタンを接続するための少なくとも1つのインターフェースを有するそれら自体の回路基板又はプリント回路基板上の独立したモジュール式ハードウェアとして実施される。出力側では、SMU21、21´は、画像データをディスプレイ2に画像データライン3を介して転送するためのインターフェース、及び、例えば、PC1との通信のためのデータチャネルICのための少なくとも1つのデータ出力部又は更なるインターフェースを有する。共通のインターフェースが、マウス4及びデータチャネル11Cのために選択的に使用され得る。またさらに、安全なコンピュータ7(図2B)などへの接続が、提供され得る。画像データは、好ましくは、専用チャネル3を介して送信される。
【0101】
図4A図4BにおけるSMU21は、選択的に共用ハードウェア、例えば、集積回路の形態で設計され得る2つの少なくとも論理的に独立したユニット又はコンピューティングコンポーネント41、42によって2段カスケードアーキテクチャを有する。一方、2つの物理的に独立したコンピューティングコンポーネント41、42、特に、第1のFPGA41及び独立した第2のFPGA42を有する実施形態が好ましい。コンピューティングコンポーネント、すなわち、FPGA41、42は、特に、画像データのコンピュータ処理及びチェックコードの計算に使用される。第1のFPGA41は、PC1からの画像データのための入力部及びディスプレイへの画像データのための出力部(LVDS送信機)を有する。第2のFPGA42は、画像データのための1つの入力部のみを有し、表示を変えられないことを意味する。
【0102】
FPGA41、42の機能化は、シグナリングの目的で上記入力部に接続されるとともにシグナリングの目的で2つのFPGA41、42に接続される適切な設計のプロセッサ構成50によって制御及び補完される。プロセッサ構成50は、SMU21のコンポーネントであり、図5A~5Bに関して以下に説明するように、1つ又は複数のチャネル、例えば、2つのチャネルを有するように設計可能である。プロセッサ構成50は、この場合、画像処理コンピューティングコンポーネント41、42、特に、コンピューティングコンポーネント41、42のテスト機能と連携して、IEC61508による適切なX-out-of-Y手法を実施することができる。例えば、図5Bは、冗長処理によって、まず両システムが故障した場合にGUI機能を保証せず、それゆえ、増強された安全性及び高い利用可能性を与える2oo2手法を示す。これにより、プロセッサ構成50は、安全性及び利用可能性の要求に応じて、例えば、単にクロス診断(1oo2)での冗長処理のための単一のチャネル(1oo1)として、1-out-of-3ボーター(1oo3)として、又は2-out-of-3ボーター(2oo3)としてなど、他のボーティング手法に対しても構成可能である。例えば、設計に応じて、フェールセーフが有効化可能となり、その場合、認識された表示障害の後に、GUI2Aは、まず、減少した機能での安全動作モードに移行され、GUI2Aは、例えば、図5Bに示すように、認識された二重の障害に対してのみオフされる。したがって、一方では、要求によっては、2つの少なくとも論理的に独立したユニット、すなわち、コンピューティングコンポーネント41、42を有する2段アーキテクチャは必須ではない。特に、カーソル5が表示用のコンピュータ1によって示されている時には、画像データの安全を目的とした検証のための1つの画像処理段41のみを有する単一段又は単一チャネルの設計が、代替的に可能である。
【0103】
ここで、図4Aを参照してSMU21の好適なソフトウェア実行による又は演算的な機能化を説明する。
【0104】
プロセッサ構成50は、マウス4から相対座標を受信し、これに基づいてポインタ座標を生成し、SEE6の選択がGUI2Aに存在するか否かをポインタ座標によって監視又は認識する。これが存在しない場合、プロセッサ構成50は、ポインタ座標又は相対座標及び選択的にマウスボタンへの割込みをPC1にデータチャネル11Cを介して通信する。これに基づいて、PC1は、従来的な態様でディスプレイ2に対する画像データにおいて、GUI又はその表現を制御する。あるいは、マウス4の相対入力信号が、PC1及びSMU21、21´に並列に送信されてもよい。
【0105】
またさらに、プロセッサ構成50は、例えば、プロセッサ構成50が連続的に決定するポインタ座標に応じて画像データを表示又は上書きすることによって上記FPGA41が表示用の画像データにカーソル5を生成するように、第1のFPGA41を制御する。この場合、PC1はGUIにカーソル5を表示せず、又はPC1自体がカーソルを重要でない領域のみに表示する一方で、第1のFPGA41のみがカーソル5をGUI2Aに対するグラフィクスの重要な領域に表示することが規定され得る。
【0106】
選択的又は追加的に、表示されるGUIグラフィクスの監視領域に対するFPGA41、42の一方又は両方によって安全性重視の情報の単なる表示の安全性について、特許文献1によるテスト方法が実行されてもよく、その目的のため、SMU21、例えば、単なる表示機能を有する(制御要素を有さない)監視対象の画像領域に関連するパラメータが、例えば、安全なコンピュータからSMU21に供給される。
【0107】
プロセッサ構成50が、カーソル5の連続的に決定されるポインタ座標をSEE6の、より正確には対応する監視領域の所定の又は予め記憶された画像座標と比較することによって、SEE6の選択が存在することを認識した場合には、FPGA41、42は選択監視モードに切り換えられ得る。あるいは、特に、グラフィクスにおける重要なSEE6に関してそれぞれの監視領域に限定される各場合には、FPGA41、42はそのような監視を連続的又は継続的に行うことができる。
【0108】
SMU21、21´によって安全でないPC1から入力側で受信された画像データに関して、FPGA41は、SEE6に対応し又はそれに一致する画像データについて、適切な符号化アルゴリズム、例えば、CRC法を用いて最初の機能ブロックCRC1にチェックコードを生成する。機能ブロックCRC1からの連続的に生成されたコードは、プロセッサ構成50によって、1つ又は選択的に複数のSEE6について、メモリ55からの予め記憶された基準コード又は対象コードと比較される。入力側において、これは、想定されるSEE6がPC1によって正しく表示済みであり、かつカーソル5の位置可変の表示によっては影響されることはないことを保証する。後の信号フローにおいてのみ、FPGA41は、例えば、上書き又は重ね合せによって、現在のポインタ座標に応じた位置に機能ブロック43における画像データにカーソル5を表示する。機能ブロックCRC2では、FPGA41は、カーソル5の現在の表示に対応する画像データの領域に対して更なるポインタ関連チェックコードを生成する。追加の機能ブロックCRC4において、FPGA41は、カーソル5の表示なしに画像データの周辺領域に対する「ポインタフリー」チェックコード、例えば、CRC2に対するカーソル領域とSEE画像領域との差分、又は一方ではCRC2に対する領域とそれを越えてGUIの表示全体までの領域との差分をさらに生成する。「ポインタフリー」チェックコードCRC4を生成するために、監視画像領域における画素の差分又は残量、例えば、GUI2A全体(量A)及びカーソル5を表す画素の量(量B)を表す画素についてチェックコードCRC4が計算され、これは量Bを有さない量A、すなわち、カーソル5のための画素は差分量に含まれないことを意味する。他の適宜の方法も、すなわち、CRCチェックサムに加えて、チェックコードのためのアルゴリズムとして使用可能である。
【0109】
カーソル5を表示することによってFPGA41によって対応して修正された画像データは、FPGA41の出力部からディスプレイ2に画像データライン3を介して出力される。またさらに、これらの修正画像データは、第2の論理又は物理段、この場合、FPGA41とは異なり1つの入力部のみを介して画像データライン3に接続される第2のFPGA42に並列に供給される。第2のFPGA42は、第1のFPGA41のものと同一の態様で、プロセッサ構成50の現在のポインタ座標に応じてカーソル自体の表示を再度重ね合わせるが、これらのデータは出力されない。機能ブロックCRC3において、FPGA42は、FPGA41におけるCRC2と同様の態様でFPGA42によるカーソル5の現在表示されている表現に対応する画像データの領域に対する更なるポインタ関連チェックコードを生成する。機能ブロックCRC5において、FPGA42は、カーソル5を表示することなく画像データの周辺領域について、すなわち、FPGA41におけるCRC4に対応する関連画素の差分量について、更なるポインタフリーチェックコード(上記参照)を形成する。
【0110】
プログラム段、より正確にはブロックCRC2、CRC3、CRC4、CRC5において計算されたチェックコードは、プロセッサ構成50によって安全を目的とした態様で評価され、特に比較される。この目的のため、プロセッサ構成50は、ポインタ関連チェックコードCRC2及びCRC3を、障害検出の目的で、すなわち、カーソル5がFPGA41によって正しく表示されたことを検証及び保証するために、比較器又は機能ブロック53において相互に比較する。またさらに、プロセッサ構成50は、ポインタフリーチェックコードCRC4及びCRC5を、障害検出の目的で、すなわち、カーソル5の表示又はFPGA41における画像データの修正がGUIの他の画面領域にいずれの無用又は不要な変化も引き起こさないことを検証及び保証するために、比較器又は機能ブロック53において相互に比較する。比較レベルの1つが、CRC1、CRC2又はCRC4に基づく乖離を示す場合、SEE6の安全性重視の機能の活性化もしくはリリースが阻止され、又は許可されず、選択的に、障害が更なる画像データ修正によって(例えば、SEE6を非表示とするなどして)ユーザに示される。全ての安全を目的としたテスト又は比較結果が肯定的である場合にのみ、プロセッサ構成50は、特に、表示される選択の期間中に、それぞれのSEE6に関連付けられた安全に関するアクションの承認として認識される安全なCD14におけるユーザ制御による入力を採用する。SMU21は、選択が正しいものと検証された場合のみ、この場合、安全なシステム、例えば安全なコンピュータ7、又は例えばシステムコントローラに対する適切なインターフェースを介して、プロセッサ構成50からの出力によってこの機能又はアクションを始動する。プロセッサ構成50は、ボーター、好ましくは上述のような2oo2ボーターを生成するが、これは必須ではない。
【0111】
プロセッサ構成50とは独立して制御されて読み出される第2のFPGA42を有する2段又は2チャネルアーキテクチャは、この場合、全ての安全に関するGUI機能の信頼性のある表示を、特に、第1のFPGA41によってカーソル5の表示も可能とする。PC1とは逆に、監視モジュール、すなわち、SMU21は、SIL能力があり又はSILに適合し、特に安全証明済みのものであり得る。
【0112】
図4BにおけるSMU21´は図4Aに関して説明したものと可能な限り同じ設計及び機能を有するが、特にPC1からSMU21´に通信される画像データが入力側で2つのFPGA41、42に直接供給され、すなわち、FPGA42はFPGA41の出力によっては影響され得ない点で異なる。一方、安全を目的としたチェック機能は、同一に又は等しく実行され得る。特に、この場合、CRC2及びCRC3からのチェックコードを比較することによって、カーソル5が想定通りにFPGA41によって表示されたことも保証又は検証される。いずれの場合においても、表示及び符号化は、特に、例えば、各画面が新しくなる毎に、連続してかつ画像データと同期して行われ得る。いずれの実施形態でも、カーソル5の位置に基づく選択がプロセッサ構成50によって認識され、かつ選択的に、SEE6の正しい表示がCRC1によって判定された場合には、双方とも後続の承認の前提条件であるので、レベルCRC2・・・CRC5による符号化は、その後に必要な場合のみ行われ得る。
【0113】
一方、前述の機能の変形例として、特に、ポインタ位置が、SEE6について所定の重要な領域の予め構成されたグラフィクス関連又は画素関連の入力領域(EB)の外側に位置する限り、カーソル5が表示用のPC1によって示されることも規定され得る。SMU21;21´は、例えば、ポインタ座標をPC1にチャネル11Cを介して送信することによって、カーソル5がEBの内部の画像座標に位置するのか、外部の画像座標に位置するのかを同時に報告する。この応答を考慮して、選択的に、選択が存在する(ポインタ座標がEB内にある)場合にはPC1はカーソル5を非表示とするように要求される。その座標がEB内に位置する場合には、SMU21;21´自体が、例えば、色の変化によって、又は選択的にカーソル5を非表示とすることによって、関連のEBを追加的に視覚的に強調してもよい。このモードの動作は、上述したように、安全を目的とした態様で検証されてもよい。特に全てのSEE又はEBの正しい表現に関して、カーソル5又は強調なしにPC1によって生成された画像データがより容易に正確性について検証可能となるように、安全なSMU21;21´によってカーソル5が直接表示され又は選択が強調されれば有利である。
【0114】
図5Aは、2つの独立したコントローラ、すなわち、プロセッサ51、52によるボーター構成、すなわち、プロセッサ構成50の2チャネルの実施例を有する、例えば図4Aによる、監視モジュール、すなわち、SMU21のための更なる好適なアーキテクチャを示す。プロセッサ51、52は、各場合において二重にかつ独立して、より高い安全要求に関して不規則な障害関連の挙動を発見するために、図4Aに関して上述したような関連の制御及び検証機能の全てを実行し、検証エンコーダとしてFPGA41、42を用いて2-out-of-2ボーターを生成する。この目的のため、両プロセッサ51、52の各々は、シグナリング目的のために2つのFPGA41、42に接続され、適切かつ正しい機能のために相互に独立して相互を検証する(2チャネルのコンセプト)。相対ポインティングデバイス、例えば、マウス4のための、特に安全なボタン4のための外部インターフェース61が、独立したコンポーネントとして実装されてもよいし、プロセッサ51、52に統合されてもよい。
【0115】
図5Bは、監視モジュール80のための更なる、好ましくは連続する2チャネルアーキテクチャを示す。監視モジュール80は、安全な入力のための上記機能にもかかわらず、本来的に、入力パラメータの安全な表現を監視するために(選択的に、入力機能なしに)使用される特許文献1における教示の更なる展開としても考えられ、本発明に必須のものとしてみなされるべきである。
【0116】
監視対象の入力パラメータは、例えば、安全なコンピュータ7によって監視モジュール80にインターフェース70を介して供給可能である。
【0117】
FPGA41は、安全性重視の表示のための1以上のグラフィクス関連の所定の監視領域に関してチェックコードを生成する。2つのFPGA41又は42の一方によって各々が決定されるチェックコードCRC1.1及びCRC1.2の各々は独立して、プロセッサ51、52の2チャネルの実施例において、例えば構成中に、それぞれの入力パラメータに対する基準値として予め記憶された入力パラメータに対応する所定の基準値と比較される。比較のための基準値は、例えば参照テーブルを用いて、入力パラメータに基づいて基準コードとして決定されてもよいし、又は現在の入力パラメータが、例えば参照テーブルを用いて、決定されたコードから回復された基準パラメータと比較される。更なる機能、特に、監視領域のためのチェックコードの生成に関して、特許文献1における教示が図5Bに関してここに取り込まれる。
【0118】
FPGA41、42についての2段のかつ好ましくは2チャネルでもあるハードウェアの実施例は、図4Aに対応する。この場合、第2のFPGA42は、入力部のみ(読出し専用接続)を介して画像データライン3に再度接続され、すなわち、それは上流側の第1のFPGA41が(例えば、LVDS受信機として)画像データを読み出している間に画像データを修正することはできず、それは選択的に(例えば、LVDS送信機として)修正なしの転送を行うことになる。
【0119】
図5Bによる監視モジュール80を用いると、より高い安全度水準、例えば、SIL-3以上を可能とする、安全性の観点で有利な特に2つの機能が実施可能となる。
【0120】
一方、特に非表示もしくは表示(例えば、白色への切換)又はFPGA41の出力部での画像データにおけるユーザに視認可能な他の表示による画像データ修正をFPGA41が用いることによる安全を目的とした視覚的障害検出は、チェックコード法を用いて検出される障害の場合に第2のFPGA42によって検証可能となる。この場合、FPGA42は、グラフィクス障害表示のためのチェックコードを生成することによって、例えば、チェックコード法を用いて、それに対応して想定される表現によってFPGA41の出力部で画像データにおいて生成されるものと想定される障害の場合に想定されるグラフィクス障害検出を検証する。グラフィクス障害表示又は障害検出は、FPGA42によって、欠陥と認識される画像データに関する画像データの修正を表示する第1のFPGA41と同じ機能をFPGA42が実施することによって、検証可能となり、すなわち、この場合、FPGA41、42も画像データを検証及び修正するための2チャネル構成を形成する。一方、FPGA42は、FPGA42における画像修正を冗長的に反復することなく、第1のFPGA41による画像修正の想定される挙動又は対象となる挙動に対応する予め記憶されたコードを生成することもできる。
【0121】
FPGA41、42からのチェックコードによって、対応する対象値又は対象コードとの比較が行われる。この比較は、安全性を高めるために、2つのチャネルを介して両プロセッサ51、52において独立して再実行される。そうすることで、正しい障害検出又はユーザに視認可能な態様での障害検出が保証される。障害検出及びクロス検証は、好ましくは個々の所定の監視領域に限定され、かつ各場合においてそれに関して限定されるので、表示の残部は影響を受けないままとなる。このFPGA42を用いた障害検出のクロス検証が肯定的な結果をもたらさない場合、安全を目的とした対策、例えば、表示をオフとすること又は表示を安全でないモードに切り換えることが行われ得る。結果として、安全性重視の情報の不適切な表示を回避するために2つの異なる方法が提供されるので、システムはより高い安全性を提供する。個々の監視領域のための選択的障害検出は、例えば、第1のFPGA41によって非表示とすること、表示すること又は障害のあるもの(誤ったもの)としてマークを付けることによって、まず利用可能性のレベルを上昇させる。これは、正しいものとして選択的に表示される、さらに検証された安全性重視の画像領域は影響を受けないからである。フェールセーフ動作を保証するための第2の方法は、この場合、プロセッサ構成50と相互作用する追加のFPGA42を有する第2の段階に基づいて実現される。想定されるように第1の方法が監視画像領域に障害を選択的に知らせない場合、この結果は、例えば、表示全体がボーター又はプロセッサ構成50によってオフ可能となるように、第2のFPGA42によって知らせられる。プロセッサ構成などの2oo2ボーターも、この目的に有利である。特にこれら2つの独立した障害検出法のために、監視モジュール80は、致命的な二重障害が排除可能となるため、安全度水準SIL-3を保証することができる。さらに、監視モジュール80における少なくとも第2の方法はまた、2チャネル設計によって及び/又は多様な態様で実施可能である。
【0122】
追加的又は代替的に、監視されている表示領域の正確さを高めることに関して、これは画像データ修正によって想定されるようにFPGA41が実行するものであるが、第2のFPGA42もこの検証を実行可能である。この場合、視覚的強調及び/又は表示は、例えば、ディスプレイ2の現在の描画のいずれの領域が監視モジュール80によって実際に監視されているのか又は安全性重視の態様で監視モジュール80によって検証されているのかをユーザが認識できる基礎となるグラフィカルなフレーム又はグラフィックシンボル、アイコンもしくはウィジェットを表示することによって、種々の態様で行われ得る。この目的のため、第2のFPGA42は、FPGA41の出力部で画像データに対して、例えば、想定されるグラフィカルな強調を含む監視領域に対してチェックコードを生成することもでき、そのチェックコードは同様に独立して、かつ対応の対象値又は対象コードを有する両プロセッサ51、52における2つのチャネルを選択的に介して比較される。したがって、この場合、FPGA41、42は、各監視領域に対して2つの異なるチェックコードを生成することができ、第1のチェックコードは、監視されていることの表示を有しない監視領域の画像データに対するものであり、第2のチェックコードは、監視されていることの表示を有するものである。例えば、大きなハミング距離を有する適切な符号化アルゴリズムを条件に、2チャネルの符号化は、結果としてPC1によって生成された元の画像データとの関連で同時に実現される。対応する所定の比較データは、第1及び第2のチェックコード(CRC1.1及びCRC1.2参照)についてボーター及び/又はプロセッサ構成50に記憶され、そのデータは、有効な場合に対応し、すなわち、第1の検証コードによる初期パラメータの正しい表現及び第2のチェックコードによる監視領域の強調付きの正しい表示に対応する。このように、第2のFPGA42及びプロセッサ51、52によってアクティブなものとして信頼性を以て認識されるそれぞれの画像領域の監視は、例えば、安全なコンピュータ7に出力されてもよい。
【0123】
またさらに、監視モジュール80自体は、監視モジュール80が、例えば、アクティブな監視(安全な)又は非アクティブな監視(安全でない)とともに動作している動作モードの視覚的表示を安全な態様で生成することができる。これはまた、第1のFPGA41による画像データ修正によって行われ、かつ第2のFPGA42及び好ましくは2つのプロセッサ51、52を有する提案のアーキテクチャを介して安全にクロス検証され得る。GUIが種々のモード又は種々のコンテキストに応じた画面マスクを表示することが意図される場合に、監視モジュール80によるステータス表示は特に有利である。
【0124】
監視モジュール80によって、PC1によって安全でない態様で生成される画像データに対する基本的に任意の種類の所望の変化が、安全な態様で実行可能となる。これは、第1の段階において、例えば、FPGA41において画像データを修正することができることによって、及び第2の段階における、例えば第2のFPGA42による、第1の段階による画像データ修正の検証のために実現される。この目的のために用いられる両コンピューティングコンポーネント、例えば、FPGA41、42は、特に、上述のように重要な画像データのための2チャネル監視機能を実施することもできるが、これは選択的なものである。
【0125】
この2段階の実施例は、単一の集積回路、例えば、単一のFPGAによっても実現され、又は論理的な、より正確には2段階のコンピューティングコンポーネントもしくはモジュールへの仮想的な分割もしくは分離を有する単一のプロセッサなどによっても実現され得る。ただし、実際のハードウェアベースの2つのコンピューティングコンポーネント、例えば、FPGA41、42を有する2チャネルの実施例が有利である。この場合、設計の多様性を有する多様な種類のコンポーネント、例えば、FPGA41、42は、システム障害、例えば、共通コアの障害のリスクを最小化するために使用され得る。同様のことが、プロセッサ51、52にも当てはまる。
【0126】
プロセッサ51、52の同様の2チャネルボーターの実施例が、より高い安全性のために、好ましくは絶縁コンポーネントによってFPGA41、42からガルバニックに分離されるので、物理的に独立したプロセッサ領域50が監視モジュール80の共通のプリント回路基板に設けられる。
【0127】
検証目的のため、--例えば、上述のような--テスト目的のための画像データ修正に関して同一の機能を実施する画像データ符号化のための2つのコンピューティングコンポーネント41、42並びに機能的な制御及び動作のための2つのプロセッサ51、52を有する監視モジュール80のための完全2チャネルのアーキテクチャは、障害制限及び障害検出に関して特に有利である。好ましくは、少なくとも両プロセッサ51、52の各々は、電源、クロック、信号経路などのような独立した又は少なくとも反応しないリソースを有する。
【0128】
図6は、例えば、SMU21が図4Aによるデバイスに統合された、特にTFTパネルを有する画素グラフィクスを表示するための安全な表示デバイス60を概略的に示す。コンピュータ生成による画像データは、選択的に、既存のモニタコントローラによるHDMIなどのPCディスプレイに合わせられた信号形式からLVDSへの変換後に、SMU21に転送され、そこから表示デバイス60のTFTコントローラに出力される。
【0129】
表示デバイス60はまた、SMU21に双方向データ接続を介して接続された、統合された特殊なインターフェースモジュール又はゲートウェイ61を有するので、SMU21上ではこの目的のために1つの接続しか必要とならず、ゲートウェイ61は用途に応じて構成可能となる。図6におけるゲートウェイ61は、COTS入力デバイス4、及び安全でない表示用のPC1(図6には不図示)との接続のための対応の出力のための接続、例えば、USB接続を有し、GUIを制御し又はPC1を動作させるために、それを介して相対座標がPC1に転送される。並行して、ゲートウェイ61は、上述のように、特にカーソル5を表示する目的でSMU21に相対座標を供給する。ゲートウェイ61は、確認デバイス、すなわち、CD14に対する入力部を有し、とりわけ、確認デバイス14とSMU21の間に論理的に安全なチャネルを提供する。またさらに、ゲートウェイ61は、特に、例えば、CD14での確認入力に基づいてSMU21自体によって生成された安全を目的としたコマンドもしくは情報又は例えば安全を目的としたコマンドも送信する目的で、安全な産業用バス、例えば、PROFINET又は同様にPROFISafeプロトコルを介して安全を目的とした通信のためのインターフェースを提供する。
【0130】
本発明による安全な入力機能に加えて、SMU21はまた、特許文献1におけるコンセプトによる安全な表示及び/又は絶対入力デバイス、例えば、特許文献3による容量性タッチデバイスを用いる安全な入力を実施することができる。簡明化のため、後者及び前者の文献の双方における教示は、ここに完全に取り込まれる。
図1
図2A
図2B
図2C
図3A
図3B
図3C
図4A
図4B
図5A
図5B
図6
【国際調査報告】