Zugführer tragen eine hohe Verantwortung für das Wohl der Passagiere, die beförderte Fracht und das investitionsintensive Zugsystem selbst. Bei der Steuerung müssen sie sich rein auf angezeigte Daten verlassen, da sie sich bei der Geschwindigkeit moderner Züge nicht mehr auf die eigenen Sinne verlassen können. Zudem haben sie nicht ausreichend Zeit, auf Ereignisse zu reagieren. Der Bremsweg eines Hochgeschwindigkeitszuges zum Beispiel kann einige Kilometer betragen.Bedienerfehler können schwerwiegende Konsequenzen nach sich ziehen und sollten deshalb nie ursächlich für Schadensfälle sein. Deshalb müssen organisatorische und technische Maßnahmen getroffen werden, die stets sicherstellen, dass dem Bediener korrekte Daten angezeigt werden, auf Basis derer er seine Entscheidungen trifft.
Fehlerhafte Anzeige unterbinden
Zudem ist der Informationsumfang moderner Fahrzeuge in der vergangenen Zeit schnell angewachsen, gleichzeitig hat der Kostendruck zugenommen. Die Anforderungen an einzelne möglichst standardisierte Elemente der Bedienkonsole sind in der Folge gestiegen. Mittlerweile sind TFT-basierte Bedieneinheiten unter Einsatz marktgängiger PC-Technik üblich. Weil diese Systeme komplex sind, entstand eine Reihe potenzieller Fehlerquellen, zum Beispiel eine fehlerhafte technische Datenübertragung zum Monitor, ein Fehler in der grafischen Steuerung oder im Grafikspeicher des Displays, in der Visualisierungs-Software, im Betriebssystem, dem Treiber des TFT-Signals oder dem Mikroprozessor selbst. Für den Bediener sind diese Fehler nicht offensichtlich, er vertraut daher weiterhin der fehlerhaften Anzeige. Die meisten Systemkonzepte auch für Leit- und Bedienstände der Bahn konzentrieren sich standardmäßig darauf, den elektronischen Prozesssteuerungsrechner abzusichern. Eine Sicherheitslücke bleibt dabei offen: die Einbindung des Menschen über die verwendeten digitalen Anzeigen. Hersteller und Betreiber haben deshalb gefordert, das notwendige Sicherheitsniveau nach SIL-Anforderung (Safety Integrity Level) für die HMI-Elektronik qualitativ und quantitativ nachzuweisen. Für PC-Technik ist dieser Nachweis ein sehr kostspieliges Unterfangen - in der Regel ist es zudem nicht einmal von Erfolg gekrönt. Rudolf Ganz, technischer Geschäftsführer der Deuta-Werke, hat sich mit seinem Team an dieses Problem herangewagt. Das Ziel: Es musste ein Mechanismus gefunden werden, der die HMI-Funktion der PC-Plattform unabhängig überwacht, sich aber einem effizienten Nachweisverfahren unterwerfen lässt. Die Idee für IconTrust wurde geboren. Aktuell wird sie auf Fahrzeugen zum Beispiel in Indien im Rahmen des Projekts European Train Control System eingesetzt und ab Herbst 2012 bei Fahrzeugtests im Rahmen eines IEP-Projekts in England.
Dargestellte Informationen überwachen
Die neue Sicherungsschaltung braucht weniger Bauraum, ist thermisch neutral und verfügt über eine vollständige elektromagnetische Verträglichkeit. Die Schaltung ist kleiner als eine halbe EC-Karte, kann aber mehr als 100, auch überlappende, anwendungsspezifisch konfigurierte Bildschirmbereiche gleichzeitig und unabhängig kontrollieren. Für jedes Bild wird ein Code generiert, ein Fingerabdruck der Anzeige. Dieser Code wird dann mit der jeweiligen Eingangsgröße einer Initialisierungstabelle verglichen, die im gesicherten Rechner gespeichert ist. Bei Abweichungen wird eine entsprechende kundenspezifisch vordefinierte sicherheitsgerichtete Reaktion ausgelöst. IconTrust überwacht prinzipiell alle Arten von separat dargestellten Informationen als Graphik, Symbol, Zeigerinstrument, Text oder Farbcodierung unabhängig und exklusiv.
Informationen sicher eingeben
Neben der sicheren Anzeige sollte auch die Eingabe von Informationen zum Beispiel über einen Touch Screen gesichert werden. Die Lösung aus dem Hause Deuta heißt SelectTrust. Neben der klassischen Behandlung von Touch Events innerhalb komplexer HMI-Strukturen generiert SelectTrust direkt aus den angezeigten Bildschirmeinheiten des TFT-Datenstroms eine vom ersten Informationspfad unabhängige Referenzinformation. Diese erlaubt es dem sicheren Rechner, die übermittelte Information zu überprüfen, und Fehler festzustellen. Somit kann sich der Bediener eines HMI-Systems darauf verlassen, dass die von ihm selektierte Bedienfunktion korrekt weiterverarbeitet wird, oder im Falle eines Fehlers eine sicherheitsgerichtete Reaktion ausgelöst wird.