用于配置实施装置和用于识别其运行状态的方法和设备与流程

与安全有关的计算系统具有高可靠性。

这些计算系统设计为，例如达到例如在iso262621:2011中要求的fit(计时故障)率。为了识别随机内部计算错误，使用硬件锁步机制，在该硬件锁步机制中相同机器指令并行地由计算系统的多核处理器的不同计算核冗余地执行。如果计算核的内部状态或结果不同，则这被硬件锁步比较器识别出。出错处理分析由硬件锁步比较器识别出的差并且例如实施出错处理。

wo2007017372、us2007174837a和us2009217092a公开了锁步机制，所述锁步机制仿真这种硬件锁步机制或所述锁步机制借助冗余计算实现故障识别。在此，首先复制用于冗余计算的应用程序。随后，为所述应用程序提供所有输入数据。接着，进行冗余计算。在最后的步骤中，比较器即硬件锁步比较器或仿真硬件锁步比较器将所有应用程序的计算结果进行比较。后续接着出错处理。

已知的方法按输入处理输出模式确定，在输入处理输出模式中故障识别要么借助硬件锁步机制、硬件锁步机制的仿真要么借助冗余计算在执行应用程序之后才可行。

期望的是提供一种对应改进的方法，其并不绑定于预设的输入处理输出模式并且可选择性地在具有和不带硬件锁步比较器的计算系统上执行。

技术实现要素：

这通过根据独立权利要求所述的用于配置执行单元或用于识别执行单元的运行状态的方法和设备。

执行单元包括多核处理器的计算核或不同的处理器。执行单元配置为实施软件锁步方法，借助所述软件锁步方法识别出运行状态、例如故障状态或无故障的状态。

用于配置至少一个执行单元以识别所述至少一个执行单元的运行状态的方法包括如下步骤：分配应用软件的第一副本，以在所述至少一个执行单元的至少一个计算核上根据关于所述至少一个执行单元的至少一个硬件或至少一个操作系统的信息而执行；分配所述应用软件的第二副本，以在所述至少一个执行单元的至少一个计算核上根据关于所述至少一个执行单元的至少一个硬件或至少一个操作系统的信息而执行；分配至少一个比较逻辑，用以在所述至少一个执行单元的至少一个计算核上执行以将关于所述第一副本的执行的第一结果的第一信息与关于所述第二副本的执行的第二结果的第二信息进行比较以确定比较结果；配置识别逻辑以在所述至少一个执行单元的至少一个计算核上执行以根据所述比较结果识别所述至少一个执行单元的运行状态；配置接口，用以在所述至少一个执行单元的至少一个计算核上执行，以借助所述接口读取第一信息和读取第二信息，其中所述接口提供来自所述至少一个执行单元的至少一个存储器的所述第一信息和所述第二信息，以与所述至少一个执行单元的所述硬件和所述操作系统无关地进行访问。

有利地，第一副本分配给至少一个执行单元的第一计算核用于执行，和其中第二副本分配给至少一个执行单元的第一计算核用于执行，其中至少一个执行单元配置为顺序地执行第一副本和第二副本。

有利地，第一副本分配给至少一个执行单元的第一计算核用于执行，其中第二副本分配给至少一个执行单元的第二计算核用于执行，其中至少一个执行单元配置为并行地执行第一副本和第二副本。

优选地，比较逻辑包括多个进程，所述多个进程构成为通过消息彼此通信，其中比较逻辑的进程分配给至少一个执行单元的多个计算核以分布式执行。

优选地，第一副本、第二副本和比较逻辑配置为第一逻辑单元，其中应用软件的第三副本、应用软件的第四副本和另一比较逻辑配置为第二逻辑单元，其中第一逻辑单元和第二逻辑单元被配置来将至少一个参数同步，所述至少一个参数确定第一逻辑单元的状态和第二逻辑单元的状态。

优选地，第一逻辑单元配置为借助信号将关于至少一个参数的信息向第二逻辑单元通信。

优选地，第一副本配置为调用函数，并且第二副本配置为调用相同的函数，其中函数接口配置为，响应于通过第一副本对函数的第一调用反馈函数结果，和其中函数接口配置为，响应于通过第二副本对函数的第二调用反馈相同的函数结果。

优选地，输入数据接口配置为给第一副本和第二副本预设相同的输入数据以在至少一个计算核上执行。

优选地，该方法附加地包括步骤：分配至少一个第一比较逻辑以在至少一个执行单元的至少一个计算核上执行，用以将关于第一副本的执行的第一结果的第一信息与关于第二副本的执行的结果的第二信息比较以确定第一比较结果，分配至少一个第二比较逻辑以在至少一个执行单元的至少一个计算核上执行，用于将关于第一副本的执行的第一结果的信息与关于第二副本的执行的第二结果的第二信息比较以确定第二比较结果；配置识别逻辑以根据第一比较结果和第二比较结果识别至少一个执行单元的运行状态。

用于识别至少一个执行单元的运行状态的方法包括步骤：在至少一个执行单元上执行应用软件的第一副本，用以计算第一结果，在至少一个执行单元上执行应用软件的第二副本以计算第二结果，将关于第一结果的第一信息与关于第二结果的第二信息比较以确定比较结果；根据比较结果识别至少一个执行单元的运行状态，其中根据至少一个执行单元的硬件或操作系统将用于在至少一个计算核上执行的第一副本分配给至少一个执行单元，其中根据至少一个执行单元的硬件或操作系统分配第二副本用以在至少一个执行单元的至少一个计算核上执行，并且借助接口读取第一信息和第二信息，所述接口提供来自至少一个执行单元的至少一个存储器的第一信息和第二信息，用于与至少一个执行单元的硬件和操作系统无关地进行访问。

优选地，第一副本分配给至少一个执行单元的第一计算核用以执行，其中第二副本分配给至少一个执行单元的第一计算核用以执行，其中至少一个执行单元配置来顺序地执行第一副本和第二副本。

优选地，第一副本分配给与至少一个执行单元的第一计算核上用以执行，其中第二副本分配给至少一个执行单元的第二计算核用以执行，其中至少一个执行单元配置来并行地执行第一副本和第二副本。

优选地，比较包括多个进程，所述多个进程构成为经由消息彼此通信，其中所述进程分配给至少一个执行单元的多个计算核以分布式执行。

优选地，第一副本、第二副本和用以将第一信息与第二信息进行比较的比较逻辑配置为第一逻辑单元，其中应用软件的第三副本、应用软件的第四副本和用以将关于第三副本的执行的第三结果的第三信息与关于第四副本的执行的第四结果的第四信息比较的另一比较逻辑配置为第二逻辑单元，其中第一逻辑单元和第二逻辑单元配置为，将至少一个参数同步，所述至少一个参数确定第一逻辑单元的状态和第二逻辑单元的状态。

优选地，第一逻辑单元配置为借助信号将关于至少一个参数的信息向第二逻辑单元通信。

优选地，第一副本配置为调用函数，和第二副本配置为调用相同的函数，其中函数接口配置为，响应于通过第一副本对函数的第一调用反馈函数结果，和其中函数接口配置为，响应于通过第二副本对函数的第二调用反馈相同的函数结果。

优选地，输入数据接口配置为给第一副本和第二副本预设相同的输入数据，以在至少一个计算核上执行。

优选地，该方法包括步骤：在至少一个执行单元的至少一个计算核上执行至少一个第一比较逻辑，用以将关于第一副本的执行的第一结果的第一信息与关于第二副本的执行的第二结果的第二信息比较以确定第一比较结果；在至少一个执行单元的至少一个计算核上执行至少一个第二比较，用以将关于第一副本的执行的第一结果的信息与关于第二副本的执行的第二结果的信息比较，以确定第二比较结果；根据第一比较结果和第二比较结果识别至少一个执行单元的运行状态。

相应的用于配置至少一个执行单元来识别至少一个执行单元的运行状态的设备构成为执行用于配置的方法。

相应的用于识别至少一个执行单元的运行状态的设备构成为执行用于识别运行状态的方法。

计算机程序构成为执行所述方法之一。

附图说明

其他有利的设计方案从后续的描述和附图中得到。

在附图中示出：

图1示意性示出了执行单元的一部分；

图2示意性示出了软件锁步的架构的一部分，

图3示意性示出输入数据流的一部分，

图4示意性示出比较逻辑的一部分，

图5示意性示出了第一比较逻辑和第二比较逻辑的一部分，

图6示意性示出了函数接口的一部分，

图7示意性示出配置的部分，

图8示意性示出分配的一部分，

图9示意性示出控制的一部分。

具体实施方式

图1示意性示出了至少一个执行单元100的一部分。至少一个执行单元100可以针对软件锁步方法来配置。至少一个执行单元100构成为如在下文中所描述的那样执行软件锁步方法。

至少一个执行单元100包括一个或多个计算核100-1、…、100-n。例如，执行单元包括n＝2或n＝4个计算核。执行单元例如是多核处理器，在所述多核处理器上设置计算核100-1、…、100-n中的一者或多者。至少一个执行单元100也可以包括多个处理器，所述处理器具有一个或多个多核处理器。

至少一个执行单元100构成为，在至少一个执行单元上执行应用软件的第一副本104-1以计算第一结果。在该实例中，第一副本104-1在第一计算核100-1上执行。至少一个执行单元100构成为，在至少一个执行单元上执行应用软件的第二副本104-2以计算第二结果。在该实例中，第二副本104-2在第二计算核100-2上执行。第一副本104-1在该实例中为了执行根据至少一个执行单元100的操作系统或硬件分配给第一计算核100-1。第一副本104-1也可以为了执行分配给至少一个执行单元100的多个计算核。第二副本104-2在该实例中为了执行根据至少一个执行单元100的操作系统或硬件分配给第二计算核100-2。第二副本104-2也可以为了执行分配给至少一个实施装置100的多个计算核。

至少一个执行单元100构成为，识别至少一个执行单元100的运行状态。尤其是，至少一个执行单元100构成为将故障状态或者没有故障的状态识别为运行状态。此外，至少一个执行单元100构成为，根据运行状态修正出现的故障并且继续执行计算或在出错处理中处理故障，而不继续执行计算。在下文中将所述功能称作锁步。

至少一个实施装置100构成为将关于第一结果的第一信息与关于第二结果的第二信息比较以确定比较结果。至少一个执行单元100构成为根据比较结果识别至少一个执行单元100的运行状态。在该实例中，当根据第一信息和第二信息识别出第一结果与第二结果相一致时，识别出无故障的状态。在该实例中，当根据第一信息和第二信息识别出第一结果与第二结果偏差时，识别出故障状态。

第一信息和第二信息的读取借助接口106进行，所述接口从至少一个执行单元的存储器提供第一信息和第二信息，以与至少一个执行单元的硬件和操作系统无关地进行访问。接口106借助指令访问至少一个存储器，所述指令在一侧与硬件和操作系统匹配。接口106为此可以根据所使用的硬件和所使用的操作系统来配置。接口106在另一侧与硬件和操作系统无关地示出第一信息和第二信息。

至少一个执行单元100在该示例中包括微控制器102，所述微控制器经由接口106读取第一信息和第二信息。微控制器102构成为，例如经由第一数据接口106-1从第一存储器或第一存储器区域读取第一结果，在所述第一存储器或第一存储器区域中第一计算核104-1保存第一结果。微控制器102构成为，例如经由第二数据接口106-2从第二存储器或第二存储器区域读取第二结果，在所述第二存储器或第二存储器区域中第二计算核104-2保存第二结果。接口106在此经由第一数据接口106-1或第二数据接口106-2将微控制器102的读取访问转化为存储器访问，所述读取访问与硬件和操作系统无关地进行，所述存储器访问与硬件和操作系统有关地实施第一信息和第二信息。

至少一个执行单元100可以配置为顺序地执行第一副本104-1和第二副本104-2。所述执行单元100可以配置为并行地执行第一副本104-1和第二副本104-2。

比较可以包括多个进程，所述进程构成为经由消息彼此通信，其中所述进程分配给至少一个执行单元100的多个计算核100-1、…、100-n用以分布式执行。

图2示意性示出了软件锁步的架构的一部分。

通过全面的配置可能性，软件锁步以不同形式应用于单核、多核和多处理器系统。

软件锁步的功能转化为功能单元，所述功能单元与硬件和操作系统无关。

由此，这些功能单元可以灵活地与不同的硬件分配。为了实现功能单元和在功能单元之间进行交换，使用硬件和操作系统有关的实施和中间件例如接口106。

软件锁步的架构，如在图2中所示，由三层构成。

第一层201形成与操作系统和硬件无关的核功能。

在所述核功能中包含初始化201-1和逻辑单元201-2的处理，例如副本104-1、…、104-n和比较器。

初始化包括用于创建逻辑单元的进程，包括应用软件的复制和将其分配给不同的执行单元在内。

第二层202是与平台有关的实施层，所述实施层根据所使用的架构来使用不同的通信介质和操作系统功能，以便转换逻辑核功能的任务。作为对于转换与平台有关的实施的实例，在图2中示出了根据posix规范的第一实施202-1和借助中间件根据autosar规范的第二实施。

第三层203形成所使用的硬件。硬件的选择确定至少一个执行单元的哪些部分例如cpu或计算核用于通过软件锁步实现冗余。例如，设置多核系统203-1和多处理器系统203-2。

为了能够并行地执行副本，使用至少两个单核或一个或多个多核处理器。

在逻辑单元之间的数据交换根据所使用的硬件经由互相或内部处理器通信进行。硬件部件上的示例性的分配在图8中示出和在下文中予以描述。

图3示意性地示出了外部输入数据源302的输入数据流的一部分。输入数据接口304配置成为第一副本104-1、第二副本104-2和其他副本104-3、…、104-m预设同样的输入数据来在至少一个计算核上执行。输入数据流在图3中作为实线的箭头示出。关于所接收的输入数据的信息流在图3中通过虚线的箭头示出。

输入数据接口304例如形成软件锁步的逻辑单元。

除了外部输入数据源302的输入数据的中央的分布之外，可以分散地分配输入数据。

分散的分配意味着：输入数据由多个外部源提供。这例如可以是值得信任的交换，由此输入数据为软件锁步提供。

输入数据接口304包括至少一个输入数据管理单元306-1、…、306-o。

每个输入数据管理单元306-1、…、306-o构成为从外部输入数据源302接收数据并且将其转发给可预设的或预设的副本104-1、…、104-m。

根据外部输入数据源302对输入数据管理单元306-1、…、306-o的发送机制的可信耐性，可以设置选择，相应的输入数据管理单元306-1、…、306-o要转发哪些数据。为了能够保证：所有副本104-1、…、104-m可以计算相同的结果，需要的是，从应用软件来看，输入数据得到相同的结果。为此，在第一步骤中每个输入数据管理单元306-1、…、306-o与所有其他输入数据管理单元306-1、…、306-o共享应用程序特定的关于所接收的数据的信息。在第二步骤中确定：哪些输入数据要由每个输入数据管理单元转发给相应预设的副本104-1、…、104-m。所述确定在此可以在每个输入数据管理单元306-1、…、306-o中进行或通过中央的计算部进行，即可与主机输入数据管理单元比较。

在第三和最后的步骤中，输入数据管理单元306-1、…、306-o将现在经校正的输入数据转发给相应预设的副本104-1、…、104-m。

用于要转发的输入数据的这样的确定的实例是确定数据包，所述输入数据管理单元306-1、…、306-o已无错地接收所述数据包。在具有交换的实例中可以是，输入数据管理单元306-1通过校验和来确定，所述数据数据管理单元正确地接收仅仅五个包中的前三个包。其他输入数据管理单元306-1、…、306-o例如都没有接收第一包，但它们正确地接收其余四个包。

在该情况下，所有输入数据管理单元306-1、…、306-o确定：副本104-1、…、104-m以两个或三个的包作为输入数据启动。

如果仅存在一个输入数据管理单元，则信息交换取消。于是，第二输入数据管理单元306-2如在图3中所示的那样可以将输入数据分配给第二副本104-2和第三副本104-3。第二输入数据管理单元306-2于是例如具有数据转发的任务。此外或替选地，设置与应用有关的对输入数据的评估。例如，确定的是，数据是否在确定的值域中。

输入数据管理单元306-1、…、306-o可以代替数据也发送信息，哪些输入数据(包)要被使用或在存储器中在哪里可找到这些输入数据。这意味着：副本104-1、…、104-m直接访问输入数据。在副本之内于是利用相应的输入数据执行应用软件。

图4示意性地示出了比较逻辑402。比较逻辑402包括比较器，该比较器将关于第一结果的信息和关于第二结果的信息相互比较。

为此，比较逻辑402在至少一个执行单元100的至少一个计算核上执行，用于将关于第一副本104-1的执行的第一结果的第一信息与关于第二副本104-2的执行的第二结果的第二信息比较以确定第一比较结果。

至少一个执行单元100的运行状态的识别与第一比较结果有关进行并且发送给外部输出数据接收器404。

图5示意性示出了第一比较逻辑502和第二比较逻辑504的部分。第一比较逻辑502包括第一交叉比较器，第二比较逻辑504包括第二交叉比较器。第一交叉比较器包括前面所描述的比较逻辑402的比较器的功能。第二交叉比较器包括前面所描述的比较逻辑402的比较器的功能。此外，交叉比较器如下文中所描述的那样通信。

第一比较逻辑502和第二比较逻辑504在至少一个执行单元100的至少一个计算核100-1、…、100-n上执行，分别用于将关于第一副本104-1的执行的第一结果的第一信息与第二副本104-2的执行的第二结果的第二信息比较，以通过第一交叉比较器确定第一比较结果或以通过第二交叉比较器确定第二比较结果。

至少一个执行单元100的运行状态的识别根据第一比较结果和根据第二比较结果通过关于所接收的输出数据的信息进行，所述信息在第一比较逻辑502例如第一交叉比较器和第二比较逻辑504例如第二交叉比较器之间经由信号连接508交换。运行状态例如通过两个交叉比较器发送给外部的输出数据接收器506。

图6示意性示出了函数接口600的部分。输入数据流在图6中利用虚线箭头示出，输出数据流在图6中用实线箭头示出。第一副本104-1可以配置来对函数604进行第一调用602。第二副本104-2可以配置来对同样的函数604进行第二调用606。函数接口600于是配置为，响应于通过第一副本104-1对函数604的第一调用602反馈函数结果608，并且响应于通过第二副本104-2的第二调用606反馈同样的函数结果608。

由此，每个副本可以在其运行时间期间访问未被复制的环境资源譬如输入/输出设备。要复制的软件部件不必为此遵守输入处理输出模式(eva)。

为此，在复制的应用软件之内调用函数610，所述函数示出输入或输出。所述函数在下文中称外部函数。用于这种外部函数的实例是对随机数生成器的调用。因为调用由不同的副本进行，应用程序输入数据又必须是确定性的并且外部函数必要时受制于资源仅简单提供，所以进行实践同步并且进行要交换的数据的比较。

这通过如下方式实现：每个外部函数都形成自己的逻辑单元，所述逻辑单元与外部函数输入数据管理612和外部函数比较器614连接。技术上，外部函数的调用在应用软件之内被触发，使得在执行应用软件期间更确切地说在副本之内代替自己的函数调用而调用包络函数(wrapper)616。包络函数616于是激活外部函数输入数据管理612。

输出数据被外部输出数据接收器618接收。输入数据被外部输入数据源620发送。

在图6中，为了简化分别以框示出外部函数比较器612和外部函数输入数据管理612。作为实施方式，前面所描述的交叉比较器单元(图5)或前面所描述的输入数据管理单元中的多个(图3)是可行的，或比较器和主机输入数据管理单元是可行的。

也可能的是，当单元中的一个单元在应用情况下不适宜时，放弃该单元。例如，在随机数生成器的情况下作为外部函数并不需要外部函数比较器614。不仅外部函数比较器614而且外部函数输入数据管理612可以用于a)时间同步而且用于b)比较数据。

图7示意性示出至少一个执行装置100的配置的一部分。前面所描述的具有相同功能的元件在图7中用相同的附图标记表示。

输入数据经由输入数据管理304更确切地说输入数据管理单元306-1、…、306-m从输入数据源302传输，用以执行700副本104-1、…、104-n。执行700也可以包括外部功能618。副本104-1、…、104-n在此情况下经由功能接口600更精确而言外部功能比较器614、外部函数输入数据管理612通信。

比较逻辑402、502、504分析执行700。数据流例如经由在至少一个执行单元100的存储器中的缓冲管理进行。

图8示意性示出逻辑单元对计算核的分配。前面所描述的具有类似功能的元件的附图标记在图8中相同。

给第一计算核100-1分配第一输入数据管理单元306-1，第一副本104-1、第一外部功能输入管理612-1和第一交叉比较器即第一比较逻辑502。第一计算核100-1例如是第一执行装置的第一或第二计算核，其构成为具有四个计算核的多核系统。

给第二计算核100-2分配第二输入数据管理单元306-2，第二副本104-2、第二外部功能输入管理612-2和第二交叉比较器即第二比较逻辑504。第二计算核100-2例如是该执行装置的第三或第四计算核，其构成为具有四个计算核的多核系统。

给第三计算核100-3分配外部函数618。第三计算核100-3例如是执行装置的计算核中的一个，其构成为具有两个计算核的多核系统。

给微控制器102分配比较函数400、500。微控制器102例如具有集成的硬件锁步功能。

图9示意性地示出控制的一部分。如果需要执行应用软件，使得副本必须在某个时间点同步，则软件锁步框架提供对应的同步机制。

第一副本104-1、第二副本104-2和用于将第一信息与第二信息比较的比较逻辑402、502、504例如配置为第一逻辑单元902。

可以设置应用软件的第三副本和应用软件的第四副本。于是，如前文所描述的那样，关于第三副本的执行的第三结果的第三信息与关于第四副本的执行的第四结果的第四信息比较。为此，优选地设置另一比较逻辑402、502、504，所述第二比较逻辑设置在另一微控制器或计算核100-1、…、100-n中的一个上。

第三副本、第四副本和另外的比较逻辑402、502、503例如配置为第二逻辑单元904。

在逻辑单元之间的控制通过信号来实现。每个逻辑单元具有状态机，其转移通过可配置的信号来触发。例如，输入数据管理除了输入数据之外也将信号发送给相应的副本，使得所述副本在获得该信号之后可以变换其状态并且开始执行应用软件。

附加的用于与例如固定时间管理同步的信号也可以被融入。为此的实例是比较器，所述比较器每隔10ms启动并且对于提供给比较器的数据进行判断。

第一逻辑单元902和第二逻辑单元904控制和配置为将至少一个参数t同步，所述参数影响第一逻辑单元902的状态和第二逻辑单元904的状态或在所述逻辑单元的一个状态中使用。

第一逻辑单元902例如配置为借助信号906将关于至少一个参数t的信息向第二逻辑单元904通信。

第一逻辑单元902和第二逻辑单元904例如是状态机，所述状态机在应用软件运行期间例如可以表明如下状态：初始化908、就绪910、执行912和评估914(werten)。执行912例如指的是应用软件的功能的执行。评估914例如指的是比较和识别。初始化908和就绪910例如是应用软件所涉及的状态：比较或识别。

状态“初始化908”确定至少一个参数t例如时间。于是，经由状态“就绪910”过渡到状态“执行912”。从状态“执行912”可以变换到状态“就绪910”或“评估912”。从状态“评估914”可以变换到状态“执行912”。至少一个参数t在第一逻辑单元902初始化之后被发送给第二逻辑单元904。相应的控制信号在图9中示出为虚线箭头。其例如在时间上与第一逻辑单元902同步。至少一个参数t于是在状态变换时被夹带，在图9中示出为实线箭头。第一逻辑单元902和第二逻辑单元904因此在相同的状态中使用相同的至少一个参数t。

可以设计为，至少一个参数t从外部部件916向第一逻辑单元902和第二逻辑单元904发送。

如果应用软件在其执行期间调用外部函数，例如访问随机数生成器或系统时钟，则这实现了，所有副本获得相同的值，在该实例中获得相同的随机数或时间。

用于借助前面所描述的方法配置至少一个执行单元100来识别运行状态的方法包括步骤：将应用程序的第一副本104-1分配给至少一个执行单元100以根据关于至少一个硬件或关于至少一个操作系统的信息在至少一个执行单元100的至少一个计算核100-1、…、100-n上执行；将应用程序的第二副本104-2分配给至少一个执行单元100以根据关于至少一个硬件或关于至少一个操作系统的信息在至少一个执行单元100的至少一个计算核100-1、…、100-n上执行；分配至少一个比较逻辑400、502、504以在至少一个执行单元100的至少一个计算核100-1、…、100-m执行，以便将关于第一副本104-1的执行的第一结果的第一信息与关于第二副本104-2的执行的第二结果的第二信息进行比较以确定比较结果；配置识别逻辑以在至少一个执行单元100的计算核100-1、…、100-n上执行来根据比较结果识别至少一个执行单元100的运行状态；配置接口106来在至少一个执行单元100的计算核100-1、…、100-n上执行以借助接口106读取第一信息和读取第二信息，其中接口106与至少一个执行单元100的硬件和操作系统无关地提供来自至少一个执行单元100的存储器中第一信息和第二信息。

至少一个执行单元100可选地配置为，在时间上顺序地或并行地执行第一副本104-1和第二副本104-2。

只要比较逻辑402、502、504包括多个处理(prozessen)，则所述比较逻辑402、502、504的处理可选地分配给至少一个执行单元100的多个计算核以进行分布式执行。

可选地，第一副本104-1、第二副本104-2和比较逻辑402、502、504配置为第一逻辑单元902，而第三副本104-3、第四副本204-4和另外的比较逻辑402、502、504配置为第二逻辑单元904。在此情况下，第一逻辑单元902和第二逻辑单元904配置为同步至少一个参数t，所述参数确定第一逻辑单元902的状态和第二逻辑单元904的状态。

可选地，第一逻辑单元902配置为借助信号将关于至少一个参数t的信息向第二逻辑单元通信。

可选地，第一副本104-1配置来调用函数604，而第二副本104-2配置来调用相同的函数604。函数接口600配置为，响应于通过第一副本104-1对函数604的第一调用反馈函数结果，以及其中函数接口600配置为响应于通过第二副本104-2对函数604的调用反馈相同的函数结果。

可选地，输入数据接口304配置为对第一副本104-1和第二副本104-2预设相同的输入数据以用于执行。

附加地，可以设置步骤：分配第一比较逻辑502以在至少一个计算核101-1、…、101-n上执行以确定第一比较结果，和分配第二比较逻辑504以在至少一个计算核101-1、…、101-n上执行以确定第二比较结果。附加地，识别逻辑在此情况下配置为根据第一比较结果和根据第二比较结果识别至少一个执行单元100的运行状态。

计算机程序构成为，所述计算机程序具有指令，所述指令能够实现执行所述的方法。

该方法在如下设备上执行，所述设备构成为，当计算机程序在该设备上运行时实现所述指令。该方法或该方法的一部分可以作为指令保存在该设备上的存储器中。

优选地，该方法现在是用于机动车的执行单元的方法。优选地，该设备是用于使用在机动车中的汽车微控制器。优选地，计算机程序构成为用于使用在机动车中。

该方法的、该设备和计算机程序的其他应用领域涉及在如下领域中的使用：

-控制和调节能量供给系统，

-控制和调节制造装置，

-在航空、航海、航天和轨道车辆的领域中的控制和调节，

-在军事应用的领域中的控制和调节，

-在金融中的可靠的计算系统，

-可靠的家用设备，

-在农业自动化中的可靠的应用，

-在医药技术中的可靠的应用，

-在建筑机器中的可靠的应用。