用于运行计算设备的方法与流程

本发明涉及一种用于运行计算设备的方法，该计算设备具有至少两个并行运行的处理器。

背景技术：

具有并行运行的处理器的计算设备特别是用于控制和监视必须保证特别安全的设备运行的技术设备，例如在铁路领域中是这种情况。对于铁路领域，在此，例如标准en50128和en50129视为是相关的。

技术实现要素：

本发明要解决的技术问题是，给出一种用于运行计算设备的方法，所述方法可以特别安全地执行，并且在此也使得能够执行不安全的应用程序。

根据本发明，上述技术问题通过具有根据权利要求1的特征的方法来解决。在从属权利要求中给出了根据本发明的方法的有利的设计方案。

据此，根据本发明设置为，计算设备的第一和第二处理器在结构上相同，并且分别具有至少两个处理器内核，以及第一处理器的处理器内核和第二处理器的处理器内核分别安全地运行，即基于达到或者超过预先给定的安全等级的安全操作系统运行，并且分别安全地、即在达到预先给定的安全等级的情况下执行至少一个应用程序，其中，第一处理器的所提到的处理器内核和第二处理器的所提到的处理器内核分别安全地执行同一个应用程序或者多个相同的应用程序，其中，第一处理器的其余的处理器内核要么关闭，要么同样基于安全操作系统或者一个或多个另外的安全操作系统，并且在安全地执行相同的应用程序和/或不同的应用程序的情况下，安全地运行，其中，在第二处理器中，至少一个处理器内核不安全地运行，即基于没有达到预先给定的安全等级的不安全的操作系统运行，并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序。

根据本发明的方法的主要的优点在于，可以以非常简单的方式识别由不安全地运行的应用程序产生的错误。因为在第一处理器中，不安全的应用程序根本不运行，因此不安全的应用程序在那里也不会引起错误；在两个处理器的情况下，在任何情况下，不安全的应用程序或者不安全的操作系统的错误都可能发生在第二处理器中，因此例如通过比较两个处理器的工作方式，可以以简单的方式检测到错误。相应的内容在多于两个的处理器的情况下同样适用，因为根据本发明，至少仅第一处理器安全地运行，因此总是可以与其工作方式进行比较。

视为有利的是，比较所提到的两个相同地运行的处理器内核的存储内容，并且如果存储内容全部或者部分，特别是考虑到安全的应用程序的运行数据，在两个安全地运行的处理器内核中相对于彼此有偏差，或者相对于彼此的偏差超过预先给定的度量，那么推断出第二处理器的不安全地运行的处理器内核对第二处理器的安全地运行的处理器内核的有错误的反作用。

在视为特别有利的一个变形方案中设置为，计算设备的第一处理器具有至少三个处理器内核，其中的选择的第一处理器内核利用安全操作系统、即达到或者超过预先给定的安全等级的操作系统运行，并且安全地、即在达到预先给定的安全等级的情况下执行第一应用程序，选择的第二处理器内核利用安全操作系统或者另外的安全操作系统运行，并且安全地执行第二应用程序，并且选择的第三处理器内核关闭。

第二处理器优选同样具有至少三个处理器内核，下面将其称为第四、第五和第六处理器内核，其中的第四处理器内核利用与第二处理器内核相同的安全操作系统运行，并且安全地执行第二应用程序，第五处理器内核利用与第一处理器内核相同的安全操作系统运行，并且安全地执行第一应用程序，并且第六处理器内核利用不安全的操作系统、即没有达到预先给定的安全等级的操作系统运行，并且不安全地、即在低于预先给定的安全等级的情况下执行第三应用程序。

关于最后提到的两个设计方案视为有利的是，第五处理器内核关于处理器结构，是与第一处理器中的第一处理器内核不同的处理器内核，并且在第二处理器内位于与第一处理器中的第一处理器内核不同的位置，并且第四处理器内核关于处理器结构，是与第一处理器中的第二处理器内核不同的处理器内核，并且在第二处理器内位于与第一处理器中的第二处理器内核不同的位置。

通过处理器内核或者应用程序与处理器的处理器结构的这种不同的关联，可以以简单的方式识别处理器的硬件错误或者硬件偏差。

有利的是，将第一处理器的一个或多个安全地运行的应用程序的工作结果，与第二处理器的一个或多个对应的安全地运行的应用程序的工作结果进行比较，并且当工作结果有偏差，或者相对于彼此的偏差超过预先给定的度量时，产生警告信号。

替换地或者附加地有利的是，将第一和第五处理器内核的存储内容并且第二和第四处理器内核的存储内容相互进行比较，并且如果存储内容全部或者部分，特别是考虑到安全的应用程序的运行数据，相对于彼此有偏差，或者相对于彼此的偏差超过预先给定的度量，那么推断出第二处理器的不安全地运行的处理器内核对第二处理器的安全地运行的处理器内核的有错误的反作用。

在视为有利的另一个变形方案中设置为，第一处理器的至少一个处理器内核关闭，并且第一处理器的至少一个处理器内核运行，其中，第一处理器的所有运行的处理器内核仅安全地运行，第一处理器的每个运行的处理器内核相应地刚好与第二处理器的一个处理器内核相关联，其利用与相关联的第一处理器的处理器内核相同的安全操作系统工作，并且执行与相关联的第一处理器的处理器内核相同的一个或多个应用程序，并且第二处理器中的至少一个处理器内核利用不安全的操作系统、即没有达到预先给定的安全等级的操作系统运行，并且不安全地、即在低于预先给定的安全等级的情况下执行应用程序。

第二处理器的安全地运行的处理器内核关于处理器结构，优选在空间上在第二处理器内位于与第一处理器中的相关联的处理器内核不同的位置。

优选技术设备的部件、特别是轨道车辆的轨道车辆侧的部件或者线路侧的部件、特别是控制站或者集控站，利用计算设备运行。

此外，本发明涉及一种计算设备，其具有至少两个并行运行的处理器。

根据本发明，关于这种计算设备设置为，计算设备的第一和第二处理器在结构上相同，并且分别具有至少两个处理器内核，第一处理器的处理器内核和第二处理器的处理器内核分别安全地运行，即基于达到或者超过预先给定的安全等级的安全操作系统运行，并且分别安全地、即在达到预先给定的安全等级的情况下执行至少一个应用程序，其中，第一处理器的所提到的处理器内核和第二处理器的所提到的处理器内核分别安全地执行同一个应用程序或者多个相同的应用程序，其中，第一处理器的其余的处理器内核要么关闭，要么同样基于安全操作系统或者一个或多个另外的安全操作系统，并且在安全地执行相同的应用程序和/或不同的应用程序的情况下，安全地运行，并且其中，在第二处理器中，至少一个处理器内核不安全地运行，即基于没有达到预先给定的安全等级的不安全的操作系统运行，并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序。

关于根据本发明的计算设备的优点，参考上面结合根据本发明的方法的描述。

计算设备优选具有比较装置，比较装置将所提到的相同地运行的处理器内核的存储内容相互进行比较，并且如果存储内容全部或者部分，特别是考虑到安全的应用程序的运行数据，在两个安全地运行的处理器内核中相对于彼此有偏差，或者偏差超过预先给定的度量，那么推断出不安全地运行的处理器内核对第二处理器的安全地运行的处理器内核的有错误的反作用。

计算设备的第一处理器优选具有至少三个处理器内核，其中的选择的第一处理器内核利用安全操作系统、即达到或者超过预先给定的安全等级的操作系统运行，并且安全地、即在达到预先给定的安全等级的情况下执行第一应用程序，选择的第二处理器内核利用安全操作系统或者另外的安全操作系统运行，并且安全地执行第二应用程序，并且选择的第三处理器内核关闭。

计算设备的第二处理器优选同样具有至少三个处理器内核，下面将其称为第四、第五和第六处理器内核，其中的第四处理器内核利用与第二处理器内核相同的安全操作系统运行，并且安全地执行第二应用程序，第五处理器内核利用与第一处理器内核相同的安全操作系统运行，并且安全地执行第一应用程序，第六处理器内核利用不安全的操作系统、即没有达到预先给定的安全等级的操作系统运行，并且不安全地、即在低于预先给定的安全等级的情况下执行第三应用程序。

第四处理器内核关于处理器结构，优选是与第一处理器中的第二处理器内核不同的处理器内核，并且在第二处理器内位于与第一处理器中的第二处理器内核不同的位置。

第五处理器内核关于处理器结构，优选是与第一处理器中的第一处理器内核不同的处理器内核，并且在第二处理器内位于与第一处理器中的第一处理器内核不同的位置。

视为特别有利的是，第一处理器的至少一个处理器内核关闭，并且第一处理器的至少一个处理器内核运行，其中，第一处理器的所有运行的处理器内核仅安全地运行，第一处理器的每个运行的处理器内核相应地刚好与第二处理器的一个处理器内核相关联，其相同地运行，即利用与相关联的第一处理器的处理器内核相同的安全操作系统工作，并且执行与相关联的第一处理器的处理器内核相同的一个或多个应用程序，第二处理器中的至少一个处理器内核利用不安全的操作系统、即没有达到预先给定的安全等级的操作系统运行，并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序，并且第二处理器的安全地运行的处理器内核关于处理器结构，在空间上在第二处理器内位于与第一处理器中的相关联的处理器内核不同的位置。

本发明还涉及一种用于技术设备的部件。根据本发明，该部件装备有上面描述的计算设备。

有利的是，部件是车辆侧的部件，特别地是车辆、优选轨道车辆的控制设备，或者部件是线路侧的部件，特别地是铁路轨道设备的控制中心的控制站计算机或者铁路轨道设备的集控站的集控站计算机。

附图说明

下面，借助实施例详细说明本发明；在此，

图1示例性地示出了根据本发明的计算设备的一个实施例，在该计算设备中，两个处理器分别具有三个处理器内核，其中，借助根据图1的实施例来说明根据本发明的方法的一个实施例，

图2示例性地示出了根据本发明的计算设备的另一个实施例，在该计算设备中，两个处理器分别具有四个处理器内核，其中，借助根据图2的实施例来说明根据本发明的方法的另一个实施例，以及

图3示例性地示出了装备有根据本发明的计算设备的铁路轨道设备的一个实施例和轨道车辆的一个实施例。

在附图中，为了清楚起见，对于相同或者类似的部件，始终使用相同的附图标记。

具体实施方式

图1示出了计算设备5，其包括六个处理器内核，即第一处理器内核11、第二处理器内核12、第三处理器内核13、第四处理器内核14、第五处理器内核15和第六处理器内核16。

三个处理器内核11、12和13位于计算设备5的第一处理器10中，并且处理器内核14、15和16位于计算设备5的第二处理器20中。

两个处理器10和20在结构上相同，并且分别具有半导体芯片100。半导体芯片100包括芯片区段k1、k2和k3，处理器内核相应地布置在这些芯片区段中。

在根据图1的实施例中，芯片区段k1位于关于处理器结构并且关于半导体芯片100与第二处理器20中的芯片区段k1相同的位置。以相应的方式，第一处理器10的半导体芯片100中的芯片区段k2和k3，分别位于与第二处理器20的半导体芯片100中的对应的芯片区段k2和k3相同的位置。

两个处理器10和20分别使用安全操作系统sos，安全地执行第一应用程序app1和第二应用程序app2。在此，应用程序的“安全”执行应当示例性地理解为满足标准en50128和en50129。在此，“安全”操作系统sos同样应当示例性地理解为满足标准en50128和en50129的操作系统。

在两个处理器10和20中，在不同的芯片区段中或者在不同的处理器内核中执行应用程序app1和app2。因此，在图1中可以看到，在第一处理器内核11中，即在此在第一处理器的第一芯片区段k1中，执行第一应用程序app1，而在第二处理器20中，由第五处理器内核15，即在此在第二芯片区段k2中，执行第一应用程序app1。也就是说，在两个处理器10和20的半导体芯片100的不同的芯片区段k1和k2中执行第一应用程序app1。

以相应的方式，也在不同的芯片区段中执行第二应用程序app2。因此，可以看到，第一处理器10在第二芯片区段k2中、因此由第二处理器内核12执行第二应用程序app2；第二处理器20在第一芯片区段k1中、因此由第四处理器内核14执行第二应用程序app2。

通过在处理器10和20的相应的不同的芯片区段k1和k2中执行应用程序app1和app2，可以实现，可以通过例如跨处理器地比较应用程序app1和app2的工作结果和/或存储内容，来简单地识别半导体芯片100中的可能的硬件错误或者硬件偏差。

此外，从图1中可以看到，第二处理器20可以使用不安全的操作系统os，在其芯片区段k3中，即由第六处理器内核16，执行不安全的应用程序app3。第一处理器10不执行这种不安全的应用程序app3；因此，第一处理器10不操作第三芯片区段k3，第三芯片区段k3被安全地关闭(或者切断)。

通过在两个处理器10和20中设置的分工，使得第一处理器10仅利用安全的应用程序app1和app2运行，并且仅在第二处理器20中允许不安全的应用程序(在此是app3)，可以实现，可以通过不安全的应用程序app3，或者也可以通过不安全的操作系统os，以简单的方式确定可能的错误。也就是说，如果第二处理器20中的不安全的应用程序app3错误地工作，并且影响安全地运行的处理器内核14和15的工作方式，那么这可以通过比较第二处理器20的安全地运行的处理器内核14和15的存储内容和/或工作结果与仅安全地运行的第一处理器10的安全地运行的处理器内核12和11的存储内容和/或工作结果来确定。

在根据图1的实施例中，相应地对每个处理器10分配存储器50，存储器50可以集成在相应的处理器10或者20的相应的半导体芯片100中，或者替换地，可以通过与相应的半导体芯片100或者相应的处理器相关联的单独的部件形成。

两个处理器10和20的两个存储器50分别具有存储区域，这些存储区域与处理器内核个体化地相关联。因此，第一处理器10的存储器50的存储区域sp11与第一处理器内核11、因此与第一处理器10的芯片区段k1相关联；存储区域sp12和sp13与第二处理器内核12和第三处理器内核13相关联。

以相应的方式，第二处理器20中的存储器50的存储区域sp14、sp15和sp16与第四处理器内核14、第五处理器内核15和第六处理器内核16相关联。

可以分别将相应的处理器内核的应用程序的工作结果，例如由应用程序app1至app3控制或者管理的技术设备的运行数据，存储在存储区域sp11至sp16中。如果技术设备例如是铁路轨道设备(参见图3)，那么可以将相应的铁路技术运行数据，例如占用报告、释放信息、列车编号、列车速度、时刻表数据等，作为存储内容存储在存储区域sp11至sp16中。

有利的是，计算设备5具有比较装置，比较装置使得能够比较存储区域的存储内容。这种比较装置例如可以将存储区域sp11的存储内容与存储区域sp15进行比较，存储区域sp11与第一处理器内核11、因此与第一应用程序app1相关联，存储区域sp15与第五处理器内核15、因此同样与第二处理器20中的第一应用程序app1相关联，并且在存储内容有偏差的情况下，输出警告或者错误信号。

以相应的方式，这种比较装置可以将存储内容sp12和sp14相互进行比较，将两个处理器10和20中的第二应用程序app2的工作结果、例如运行数据存储在存储内容sp12和sp14中。

这种比较装置可以通过单独的硬件部件，或者可以通过按照软件实现的比较功能来实现，按照软件实现的比较功能由安全地运行的处理器内核本身执行。

总之，在根据图1的实施例中，当不安全的应用程序app3对第二处理器20中的安全地运行的应用程序app1和app2施加反作用时，可以以非常简单的方式实现不安全的应用程序app3的有错误的工作方式的错误揭示，因为同样通过与第一处理器10的相应的安全地运行的应用程序app1和app2的工作结果和工作方式进行比较，可以识别出这种有错误的反作用。具体地，这种错误揭示基于以下构思，即，在第一处理器10中，处理器内核要么安全地运行，要么根本不运行，并且仅在第二处理器20中允许不安全的应用程序，从而不安全的应用程序的错误根本不会在第一处理器10中出现。

在此，执行第一应用程序app1的第一处理器内核11与第一处理器10的芯片区段k1的关联，执行第二应用程序app2的第二处理器内核12与第一处理器10的芯片区段k2的关联，执行第二应用程序app2的第四处理器内核14与第二处理器20的芯片区段k1的关联，以及执行第一应用程序app1的第五处理器内核15与第二处理器20的芯片区段k2的关联，应当理解为仅仅是示例性的；所提到的处理器内核或者应用程序也可以与其它芯片区段相关联，并且以不同的方式分布在半导体芯片上；这将在下面根据图2示例性地说明。

图2示出了装备有两个处理器10和20的计算设备5的第二实施例。与根据图1的实施例不同，处理器10和20中的每一个分别具有四个处理器内核，即比在根据图1的实施例中多两个。在图2中用附图标记17和18表示这两个附加的处理器内核。

第二处理器20利用在处理器内核16和18中执行的两个不安全的应用程序app3和app4运行。因此，在第一处理器10中，处理器内核中的两个、例如处理器内核13和17保持未使用。

在图2中，与芯片区段的关联例如如下：执行第一应用程序app1的所谓的第一处理器内核11与第一处理器10的芯片区段k4相关联，执行第二应用程序app2的所谓的第二处理器内核12与第一处理器10的芯片区段k2相关联，执行第二应用程序app2的所谓的第四处理器内核14与第二处理器20的芯片区段k1相关联，并且执行第一应用程序app1的所谓的第五处理器内核15与第二处理器20的芯片区段k3相关联。不安全的应用程序app3和app4在第二处理器20的芯片区段k2和k4中运行。

此外，上面结合图1的说明对应地适用。

图3示出了铁路轨道设备300的一个实施例，轨道车辆310在该铁路轨道设备300上行驶。

轨道车辆310具有控制设备310a，控制设备310a包括根据图1和2的计算设备5。

铁路轨道设备300包括集控站320的集控站计算机320a形式的线路侧的部件。集控站计算机320a具有根据图1和2的计算设备5。

关于控制设备310a和集控站计算机320a的工作方式，参考上面结合根据图1和2的计算设备5的描述。

虽然在细节上通过优选实施例详细说明并且描述了本发明，但是本发明不局限于所公开的示例，本领域技术人员可以从中推导出其它变形方案，而不脱离本发明的保护范围。