Daten abgleichen gegen Übertragungsfehler
Ein Fingerabdruck für sichere HMI-Systeme
TFT basierte Human Machine Interface-Systeme (HMI) kommen vermehrt branchenübergreifend für die Steuerung von Fahrzeugen und Anlagen zum Einsatz, da sie die Bauraum-sparende Integration einer Vielzahl von Funktions- und Komfortelementen erlauben. Die besonders strengen Sicherheitsnormen der Bahn – beispielsweise DIN EN50126 – fordern bei Verwendung von handelsüblicher PC-Standardtechnologie Sicherungsmaßnahmen, sodass dem Benutzer keine fehlerhaften Daten angezeigt werden können, aufgrund derer er Fehlentscheidungen treffen könnte.
Zugführer tragen eine hohe Verantwortung für das Wohl der Passagiere, die beförderte Fracht und das Zug-system selbst. Bei der Steuerung müssen sie sich rein auf angezeigte Daten verlassen, da sie in modernen Hochgeschwindigkeitszügen weder mit ihren eigenen Sinnen Validierungsmöglichkeiten haben, noch eine angemessene Reaktionsmöglichkeit. Denn der Bremsweg eines Hochgeschwindigkeitszuges kann einige Kilometer betragen. Bedienerfehler können somit schwerwiegende Schäden verursachen. Von Sabotage mal abgesehen, sollten Bedienerfehler aber nie ursächlich für Schadensfälle sein. Es müssen organisatorische und technische Maßnahmen getroffen werden, die stets sicherstellen, dass dem Bediener korrekte Daten angezeigt werden, auf Basis derer er seine kompetenten Bedienentscheidungen trifft. Die Deuta-Werke GmbH hat eine patentierte elektronische Sicherungsschaltung entwickelt, die mittels eines einfachen ‚Fingerabdruck‘-Vergleichs die Korrektheit der Anzeigedaten überwacht und die sichere Bedienung ermöglicht. Zusätzlich zur Anforderung der Fehlerfreiheit, gilt es dem schnell anwachsenden Informationsumfang moderner Fahrzeuge unter zunehmendem Kostendruck u.a. durch erhöhte Integrationsanforderungen an einzelne – möglichst standardisierte – Elemente der Bedienkonsole zu begegnen. Hier hat sich die Verwendung von TFT basierten Bedieneinheiten unter Einsatz marktgängiger PC-Technik etabliert. Aufgrund enormer Komplexität sind damit aber eine Reihe potenzieller Fehlerquellen in das System eingebracht, z.B. eine fehlerhafte technische Datenübertragung zum Monitor, ein Fehler in der grafischen Steuerung oder im Grafikspeicher des Displays, in der Visualisierungssoftware, im Betriebssystem, dem Treiber des TFT Signals oder dem Mikroprozessor selbst. Da diese Fehler nicht immer offenbart werden, vertraut der Bediener fehlerhaften Anzeigen.
Sicherheitslücke Mensch
Generell ist festzustellen, dass sich die meisten Systemkonzepte auch für Leit- und Bedienstände der Bahn standardmäßig auf die Absicherung des elektronischen Prozesssteuerungsrechners konzentrieren, die Sicherheitslücke bei der Einbindung des Menschen über die verwendeten digitalen Anzeigen bleibt jedoch meist offen. Wie von Hersteller und Betreiber gefordert, ist auch hier das notwendige Sicherheitsniveau nach Safety Integrity Level (SIL) Anforderung für die HMI Elektronik qualitativ und quantitativ nachzuweisen. Für PC-Technik ist diese Nachweisführung ein kostspieliges Unterfangen, welches in der Regel nicht einmal von Erfolg gekrönt ist. Nach intensiver Analyse war bei den Deuta-Werken klar, dass es andere Wege zu beschreiten galt: Es musste ein Mechanismus gefunden werden, der die HMI-Funktion der PC-Plattform unabhängig überwacht, sich aber aufgrund besonders einfacher Auslegung einem effizienten Nachweisverfahren unterwerfen lässt. Aus diesen Erkenntnissen wurde die Idee für IconTrust geboren, die aktuell auf Fahrzeugen z.B. in Indien im Rahmen eines European Train Control System (ETCS) Projekts und ab Herbst 2012 bei Fahrzeugtests im Rahmen eines IEP Projekts in England eingesetzt wird.
Kompakte Sicherungsschaltung: viele Bildschirmbereiche
Die neue Sicherungsschaltung braucht weniger Bauraum, ist thermisch neutral und verfügt über eine vollständige elektromagnetische Verträglichkeit (EMV). Die Schaltung ist kleiner als eine Halbe EC-Karte, sie kann aber mehr als 100 – auch überlappende – anwendungsspezifisch konfigurierte Bildschirmbereiche gleichzeitig und unabhängig kontrollieren. Für jedes Bild wird ein Code generiert, der ‚Fingerabdruck‘ der Anzeige, der dann mit der jeweiligen Eingangsgröße einer – im gesicherten Rechners gespeicherten – Initialisierungstabelle verglichen wird. Bei Abweichungen wird eine entsprechende kundenspezifisch vordefinierte sicherheitsgerichtete Reaktion ausgelöst. Mit IconTrust können prinzipiell alle Arten von separat dargestellten Informationen als Grafik, Symbol, Zeigerinstrument, Text oder Farbcodierung unabhängig und exklusiv überwacht werden. Zusätzlich zur sicheren Anzeige sollte auch die Eingabe von Informationen z.B. über einen Touch Screen gesichert werden können. SelectTrust soll, als eine Erweiterung für die sichere Eingabe von Informationen über einen Touch Screen – und somit der korrekten Ausführung der gewählten Bedienfunktion – sorgen. Neben der ‚klassischen‘ Behandlung von Touchevents innerhalb komplexer HMI Strukturen generiert SelectTrust direkt aus den angezeigten Bildschirmeinheiten des TFT Datenstroms eine vom ersten Informationspfad unabhängige Referenzinformation, die es dem sicheren Rechner erlaubt, die übermittelte Information zu überprüfen, und Fehler festzustellen. Ein besonderes Merkmal der Technologie ist es, dass die Aktualität und Korrektheit angezeigter Daten nachweislich sicherstellt wird, ohne dass die eigentliche Applikation zur Darstellung der Informationen einem gesetzlich geforderten SIL-Nachweisverfahren unterworfen wird. Aufgrund dieser Unabhängigkeit ist die Schaltung auch außerhalb der Bahn branchenunabhängig einsetzbar. Durch den autarken Aufbau sind die üblichen Nachqualifizierungen bei Produkt- oder Prozessmodifikationen nicht notwendig.
