CN112513847A - 用于运行计算设备的方法 - Google Patents
用于运行计算设备的方法 Download PDFInfo
- Publication number
- CN112513847A CN112513847A CN201980050231.4A CN201980050231A CN112513847A CN 112513847 A CN112513847 A CN 112513847A CN 201980050231 A CN201980050231 A CN 201980050231A CN 112513847 A CN112513847 A CN 112513847A
- Authority
- CN
- China
- Prior art keywords
- processor
- processor core
- operating system
- core
- securely
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000015654 memory Effects 0.000 claims description 33
- 238000009434 installation Methods 0.000 claims description 5
- 238000002360 preparation method Methods 0.000 claims 15
- 101150053844 APP1 gene Proteins 0.000 abstract description 19
- 101100189105 Homo sapiens PABPC4 gene Proteins 0.000 abstract description 19
- 102100039424 Polyadenylate-binding protein 4 Human genes 0.000 abstract description 19
- 101100055496 Arabidopsis thaliana APP2 gene Proteins 0.000 abstract description 16
- 101100016250 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) GYL1 gene Proteins 0.000 abstract description 16
- 239000004065 semiconductor Substances 0.000 description 10
- 102100038359 Xaa-Pro aminopeptidase 3 Human genes 0.000 description 9
- 101710081949 Xaa-Pro aminopeptidase 3 Proteins 0.000 description 9
- 101100365087 Arabidopsis thaliana SCRA gene Proteins 0.000 description 5
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 101100438139 Vulpes vulpes CABYR gene Proteins 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000002904 solvent Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明涉及一种用于运行计算设备(5)的方法,该计算设备具有至少两个并行运行的处理器(10、20)。根据本发明设置为,所述计算设备(5)的第一和第二处理器(10、20)在结构上相同,并且分别具有至少两个处理器内核,以及第一处理器(10)的处理器内核和第二处理器(20)的处理器内核分别安全地运行,即基于达到或者超过预先给定的安全等级的安全操作系统(SOS)运行,并且分别安全地、即在达到预先给定的安全等级的情况下执行至少一个应用程序(APP1、APP2),其中,所述第一处理器(10)的所提到的处理器内核和所述第二处理器(20)的所提到的处理器内核分别安全地执行同一个应用程序或者多个相同的应用程序(APP1、APP2),其中,所述第一处理器(10)的其余的处理器内核要么关闭,要么同样基于所述安全操作系统(SOS)或者一个或多个另外的安全操作系统,并且在安全地执行相同的应用程序和/或不同的应用程序的情况下,安全地运行,其中,在所述第二处理器(20)中,至少一个处理器内核不安全地运行,即基于没有达到预先给定的安全等级的不安全的操作系统(OS)运行,并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序(APP3)。
Description
技术领域
本发明涉及一种用于运行计算设备的方法,该计算设备具有至少两个并行运行的处理器。
背景技术
具有并行运行的处理器的计算设备特别是用于控制和监视必须保证特别安全的设备运行的技术设备,例如在铁路领域中是这种情况。对于铁路领域,在此,例如标准EN50128和EN50129视为是相关的。
发明内容
本发明要解决的技术问题是,给出一种用于运行计算设备的方法,所述方法可以特别安全地执行,并且在此也使得能够执行不安全的应用程序。
根据本发明,上述技术问题通过具有根据权利要求1的特征的方法来解决。在从属权利要求中给出了根据本发明的方法的有利的设计方案。
据此,根据本发明设置为,计算设备的第一和第二处理器在结构上相同,并且分别具有至少两个处理器内核,以及第一处理器的处理器内核和第二处理器的处理器内核分别安全地运行,即基于达到或者超过预先给定的安全等级的安全操作系统运行,并且分别安全地、即在达到预先给定的安全等级的情况下执行至少一个应用程序,其中,第一处理器的所提到的处理器内核和第二处理器的所提到的处理器内核分别安全地执行同一个应用程序或者多个相同的应用程序,其中,第一处理器的其余的处理器内核要么关闭,要么同样基于安全操作系统或者一个或多个另外的安全操作系统,并且在安全地执行相同的应用程序和/或不同的应用程序的情况下,安全地运行,其中,在第二处理器中,至少一个处理器内核不安全地运行,即基于没有达到预先给定的安全等级的不安全的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序。
根据本发明的方法的主要的优点在于,可以以非常简单的方式识别由不安全地运行的应用程序产生的错误。因为在第一处理器中,不安全的应用程序根本不运行,因此不安全的应用程序在那里也不会引起错误;在两个处理器的情况下,在任何情况下,不安全的应用程序或者不安全的操作系统的错误都可能发生在第二处理器中,因此例如通过比较两个处理器的工作方式,可以以简单的方式检测到错误。相应的内容在多于两个的处理器的情况下同样适用,因为根据本发明,至少仅第一处理器安全地运行,因此总是可以与其工作方式进行比较。
视为有利的是,比较所提到的两个相同地运行的处理器内核的存储内容,并且如果存储内容全部或者部分,特别是考虑到安全的应用程序的运行数据,在两个安全地运行的处理器内核中相对于彼此有偏差,或者相对于彼此的偏差超过预先给定的度量,那么推断出第二处理器的不安全地运行的处理器内核对第二处理器的安全地运行的处理器内核的有错误的反作用。
在视为特别有利的一个变形方案中设置为,计算设备的第一处理器具有至少三个处理器内核,其中的选择的第一处理器内核利用安全操作系统、即达到或者超过预先给定的安全等级的操作系统运行,并且安全地、即在达到预先给定的安全等级的情况下执行第一应用程序,选择的第二处理器内核利用安全操作系统或者另外的安全操作系统运行,并且安全地执行第二应用程序,并且选择的第三处理器内核关闭。
第二处理器优选同样具有至少三个处理器内核,下面将其称为第四、第五和第六处理器内核,其中的第四处理器内核利用与第二处理器内核相同的安全操作系统运行,并且安全地执行第二应用程序,第五处理器内核利用与第一处理器内核相同的安全操作系统运行,并且安全地执行第一应用程序,并且第六处理器内核利用不安全的操作系统、即没有达到预先给定的安全等级的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行第三应用程序。
关于最后提到的两个设计方案视为有利的是,第五处理器内核关于处理器结构,是与第一处理器中的第一处理器内核不同的处理器内核,并且在第二处理器内位于与第一处理器中的第一处理器内核不同的位置,并且第四处理器内核关于处理器结构,是与第一处理器中的第二处理器内核不同的处理器内核,并且在第二处理器内位于与第一处理器中的第二处理器内核不同的位置。
通过处理器内核或者应用程序与处理器的处理器结构的这种不同的关联,可以以简单的方式识别处理器的硬件错误或者硬件偏差。
有利的是,将第一处理器的一个或多个安全地运行的应用程序的工作结果,与第二处理器的一个或多个对应的安全地运行的应用程序的工作结果进行比较,并且当工作结果有偏差,或者相对于彼此的偏差超过预先给定的度量时,产生警告信号。
替换地或者附加地有利的是,将第一和第五处理器内核的存储内容并且第二和第四处理器内核的存储内容相互进行比较,并且如果存储内容全部或者部分,特别是考虑到安全的应用程序的运行数据,相对于彼此有偏差,或者相对于彼此的偏差超过预先给定的度量,那么推断出第二处理器的不安全地运行的处理器内核对第二处理器的安全地运行的处理器内核的有错误的反作用。
在视为有利的另一个变形方案中设置为,第一处理器的至少一个处理器内核关闭,并且第一处理器的至少一个处理器内核运行,其中,第一处理器的所有运行的处理器内核仅安全地运行,第一处理器的每个运行的处理器内核相应地刚好与第二处理器的一个处理器内核相关联,其利用与相关联的第一处理器的处理器内核相同的安全操作系统工作,并且执行与相关联的第一处理器的处理器内核相同的一个或多个应用程序,并且第二处理器中的至少一个处理器内核利用不安全的操作系统、即没有达到预先给定的安全等级的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行应用程序。
第二处理器的安全地运行的处理器内核关于处理器结构,优选在空间上在第二处理器内位于与第一处理器中的相关联的处理器内核不同的位置。
优选技术设备的部件、特别是轨道车辆的轨道车辆侧的部件或者线路侧的部件、特别是控制站或者集控站,利用计算设备运行。
此外,本发明涉及一种计算设备,其具有至少两个并行运行的处理器。
根据本发明,关于这种计算设备设置为,计算设备的第一和第二处理器在结构上相同,并且分别具有至少两个处理器内核,第一处理器的处理器内核和第二处理器的处理器内核分别安全地运行,即基于达到或者超过预先给定的安全等级的安全操作系统运行,并且分别安全地、即在达到预先给定的安全等级的情况下执行至少一个应用程序,其中,第一处理器的所提到的处理器内核和第二处理器的所提到的处理器内核分别安全地执行同一个应用程序或者多个相同的应用程序,其中,第一处理器的其余的处理器内核要么关闭,要么同样基于安全操作系统或者一个或多个另外的安全操作系统,并且在安全地执行相同的应用程序和/或不同的应用程序的情况下,安全地运行,并且其中,在第二处理器中,至少一个处理器内核不安全地运行,即基于没有达到预先给定的安全等级的不安全的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序。
关于根据本发明的计算设备的优点,参考上面结合根据本发明的方法的描述。
计算设备优选具有比较装置,比较装置将所提到的相同地运行的处理器内核的存储内容相互进行比较,并且如果存储内容全部或者部分,特别是考虑到安全的应用程序的运行数据,在两个安全地运行的处理器内核中相对于彼此有偏差,或者偏差超过预先给定的度量,那么推断出不安全地运行的处理器内核对第二处理器的安全地运行的处理器内核的有错误的反作用。
计算设备的第一处理器优选具有至少三个处理器内核,其中的选择的第一处理器内核利用安全操作系统、即达到或者超过预先给定的安全等级的操作系统运行,并且安全地、即在达到预先给定的安全等级的情况下执行第一应用程序,选择的第二处理器内核利用安全操作系统或者另外的安全操作系统运行,并且安全地执行第二应用程序,并且选择的第三处理器内核关闭。
计算设备的第二处理器优选同样具有至少三个处理器内核,下面将其称为第四、第五和第六处理器内核,其中的第四处理器内核利用与第二处理器内核相同的安全操作系统运行,并且安全地执行第二应用程序,第五处理器内核利用与第一处理器内核相同的安全操作系统运行,并且安全地执行第一应用程序,第六处理器内核利用不安全的操作系统、即没有达到预先给定的安全等级的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行第三应用程序。
第四处理器内核关于处理器结构,优选是与第一处理器中的第二处理器内核不同的处理器内核,并且在第二处理器内位于与第一处理器中的第二处理器内核不同的位置。
第五处理器内核关于处理器结构,优选是与第一处理器中的第一处理器内核不同的处理器内核,并且在第二处理器内位于与第一处理器中的第一处理器内核不同的位置。
视为特别有利的是,第一处理器的至少一个处理器内核关闭,并且第一处理器的至少一个处理器内核运行,其中,第一处理器的所有运行的处理器内核仅安全地运行,第一处理器的每个运行的处理器内核相应地刚好与第二处理器的一个处理器内核相关联,其相同地运行,即利用与相关联的第一处理器的处理器内核相同的安全操作系统工作,并且执行与相关联的第一处理器的处理器内核相同的一个或多个应用程序,第二处理器中的至少一个处理器内核利用不安全的操作系统、即没有达到预先给定的安全等级的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序,并且第二处理器的安全地运行的处理器内核关于处理器结构,在空间上在第二处理器内位于与第一处理器中的相关联的处理器内核不同的位置。
本发明还涉及一种用于技术设备的部件。根据本发明,该部件装备有上面描述的计算设备。
有利的是,部件是车辆侧的部件,特别地是车辆、优选轨道车辆的控制设备,或者部件是线路侧的部件,特别地是铁路轨道设备的控制中心的控制站计算机或者铁路轨道设备的集控站的集控站计算机。
附图说明
下面,借助实施例详细说明本发明;在此,
图1示例性地示出了根据本发明的计算设备的一个实施例,在该计算设备中,两个处理器分别具有三个处理器内核,其中,借助根据图1的实施例来说明根据本发明的方法的一个实施例,
图2示例性地示出了根据本发明的计算设备的另一个实施例,在该计算设备中,两个处理器分别具有四个处理器内核,其中,借助根据图2的实施例来说明根据本发明的方法的另一个实施例,以及
图3示例性地示出了装备有根据本发明的计算设备的铁路轨道设备的一个实施例和轨道车辆的一个实施例。
在附图中,为了清楚起见,对于相同或者类似的部件,始终使用相同的附图标记。
具体实施方式
图1示出了计算设备5,其包括六个处理器内核,即第一处理器内核11、第二处理器内核12、第三处理器内核13、第四处理器内核14、第五处理器内核15和第六处理器内核16。
三个处理器内核11、12和13位于计算设备5的第一处理器10中,并且处理器内核14、15和16位于计算设备5的第二处理器20中。
两个处理器10和20在结构上相同,并且分别具有半导体芯片100。半导体芯片100包括芯片区段K1、K2和K3,处理器内核相应地布置在这些芯片区段中。
在根据图1的实施例中,芯片区段K1位于关于处理器结构并且关于半导体芯片100与第二处理器20中的芯片区段K1相同的位置。以相应的方式,第一处理器10的半导体芯片100中的芯片区段K2和K3,分别位于与第二处理器20的半导体芯片100中的对应的芯片区段K2和K3相同的位置。
两个处理器10和20分别使用安全操作系统SOS,安全地执行第一应用程序APP1和第二应用程序APP2。在此,应用程序的“安全”执行应当示例性地理解为满足标准EN50128和EN50129。在此,“安全”操作系统SOS同样应当示例性地理解为满足标准EN50128和EN50129的操作系统。
在两个处理器10和20中,在不同的芯片区段中或者在不同的处理器内核中执行应用程序APP1和APP2。因此,在图1中可以看到,在第一处理器内核11中,即在此在第一处理器的第一芯片区段K1中,执行第一应用程序APP1,而在第二处理器20中,由第五处理器内核15,即在此在第二芯片区段K2中,执行第一应用程序APP1。也就是说,在两个处理器10和20的半导体芯片100的不同的芯片区段K1和K2中执行第一应用程序APP1。
以相应的方式,也在不同的芯片区段中执行第二应用程序APP2。因此,可以看到,第一处理器10在第二芯片区段K2中、因此由第二处理器内核12执行第二应用程序APP2;第二处理器20在第一芯片区段K1中、因此由第四处理器内核14执行第二应用程序APP2。
通过在处理器10和20的相应的不同的芯片区段K1和K2中执行应用程序APP1和APP2,可以实现,可以通过例如跨处理器地比较应用程序APP1和APP2的工作结果和/或存储内容,来简单地识别半导体芯片100中的可能的硬件错误或者硬件偏差。
此外,从图1中可以看到,第二处理器20可以使用不安全的操作系统OS,在其芯片区段K3中,即由第六处理器内核16,执行不安全的应用程序APP3。第一处理器10不执行这种不安全的应用程序APP3;因此,第一处理器10不操作第三芯片区段K3,第三芯片区段K3被安全地关闭(或者切断)。
通过在两个处理器10和20中设置的分工,使得第一处理器10仅利用安全的应用程序APP1和APP2运行,并且仅在第二处理器20中允许不安全的应用程序(在此是APP3),可以实现,可以通过不安全的应用程序APP3,或者也可以通过不安全的操作系统OS,以简单的方式确定可能的错误。也就是说,如果第二处理器20中的不安全的应用程序APP3错误地工作,并且影响安全地运行的处理器内核14和15的工作方式,那么这可以通过比较第二处理器20的安全地运行的处理器内核14和15的存储内容和/或工作结果与仅安全地运行的第一处理器10的安全地运行的处理器内核12和11的存储内容和/或工作结果来确定。
在根据图1的实施例中,相应地对每个处理器10分配存储器50,存储器50可以集成在相应的处理器10或者20的相应的半导体芯片100中,或者替换地,可以通过与相应的半导体芯片100或者相应的处理器相关联的单独的部件形成。
两个处理器10和20的两个存储器50分别具有存储区域,这些存储区域与处理器内核个体化地相关联。因此,第一处理器10的存储器50的存储区域SP11与第一处理器内核11、因此与第一处理器10的芯片区段K1相关联;存储区域SP12和SP13与第二处理器内核12和第三处理器内核13相关联。
以相应的方式,第二处理器20中的存储器50的存储区域SP14、SP15和SP16与第四处理器内核14、第五处理器内核15和第六处理器内核16相关联。
可以分别将相应的处理器内核的应用程序的工作结果,例如由应用程序APP1至APP3控制或者管理的技术设备的运行数据,存储在存储区域SP11至SP16中。如果技术设备例如是铁路轨道设备(参见图3),那么可以将相应的铁路技术运行数据,例如占用报告、释放信息、列车编号、列车速度、时刻表数据等,作为存储内容存储在存储区域SP11至SP16中。
有利的是,计算设备5具有比较装置,比较装置使得能够比较存储区域的存储内容。这种比较装置例如可以将存储区域SP11的存储内容与存储区域SP15进行比较,存储区域SP11与第一处理器内核11、因此与第一应用程序APP1相关联,存储区域SP15与第五处理器内核15、因此同样与第二处理器20中的第一应用程序APP1相关联,并且在存储内容有偏差的情况下,输出警告或者错误信号。
以相应的方式,这种比较装置可以将存储内容SP12和SP14相互进行比较,将两个处理器10和20中的第二应用程序APP2的工作结果、例如运行数据存储在存储内容SP12和SP14中。
这种比较装置可以通过单独的硬件部件,或者可以通过按照软件实现的比较功能来实现,按照软件实现的比较功能由安全地运行的处理器内核本身执行。
总之,在根据图1的实施例中,当不安全的应用程序APP3对第二处理器20中的安全地运行的应用程序APP1和APP2施加反作用时,可以以非常简单的方式实现不安全的应用程序APP3的有错误的工作方式的错误揭示,因为同样通过与第一处理器10的相应的安全地运行的应用程序APP1和APP2的工作结果和工作方式进行比较,可以识别出这种有错误的反作用。具体地,这种错误揭示基于以下构思,即,在第一处理器10中,处理器内核要么安全地运行,要么根本不运行,并且仅在第二处理器20中允许不安全的应用程序,从而不安全的应用程序的错误根本不会在第一处理器10中出现。
在此,执行第一应用程序APP1的第一处理器内核11与第一处理器10的芯片区段K1的关联,执行第二应用程序APP2的第二处理器内核12与第一处理器10的芯片区段K2的关联,执行第二应用程序APP2的第四处理器内核14与第二处理器20的芯片区段K1的关联,以及执行第一应用程序APP1的第五处理器内核15与第二处理器20的芯片区段K2的关联,应当理解为仅仅是示例性的;所提到的处理器内核或者应用程序也可以与其它芯片区段相关联,并且以不同的方式分布在半导体芯片上;这将在下面根据图2示例性地说明。
图2示出了装备有两个处理器10和20的计算设备5的第二实施例。与根据图1的实施例不同,处理器10和20中的每一个分别具有四个处理器内核,即比在根据图1的实施例中多两个。在图2中用附图标记17和18表示这两个附加的处理器内核。
第二处理器20利用在处理器内核16和18中执行的两个不安全的应用程序APP3和APP4运行。因此,在第一处理器10中,处理器内核中的两个、例如处理器内核13和17保持未使用。
在图2中,与芯片区段的关联例如如下:执行第一应用程序APP1的所谓的第一处理器内核11与第一处理器10的芯片区段K4相关联,执行第二应用程序APP2的所谓的第二处理器内核12与第一处理器10的芯片区段K2相关联,执行第二应用程序APP2的所谓的第四处理器内核14与第二处理器20的芯片区段K1相关联,并且执行第一应用程序APP1的所谓的第五处理器内核15与第二处理器20的芯片区段K3相关联。不安全的应用程序APP3和APP4在第二处理器20的芯片区段K2和K4中运行。
此外,上面结合图1的说明对应地适用。
图3示出了铁路轨道设备300的一个实施例,轨道车辆310在该铁路轨道设备300上行驶。
轨道车辆310具有控制设备310a,控制设备310a包括根据图1和2的计算设备5。
铁路轨道设备300包括集控站320的集控站计算机320a形式的线路侧的部件。集控站计算机320a具有根据图1和2的计算设备5。
关于控制设备310a和集控站计算机320a的工作方式,参考上面结合根据图1和2的计算设备5的描述。
虽然在细节上通过优选实施例详细说明并且描述了本发明,但是本发明不局限于所公开的示例,本领域技术人员可以从中推导出其它变形方案,而不脱离本发明的保护范围。
Claims (15)
1.一种用于运行计算设备(5)的方法,所述计算设备具有至少两个并行运行的处理器(10、20),
其特征在于,
-所述计算设备(5)的第一和第二处理器(10、20)在结构上相同,并且分别具有至少两个处理器内核,以及
-第一处理器(10)的处理器内核和第二处理器(20)的处理器内核分别安全地运行,即基于达到或者超过预先给定的安全等级的安全操作系统(SOS)运行,并且分别安全地、即在达到预先给定的安全等级的情况下执行至少一个应用程序(APP1、APP2),
-其中,所述第一处理器(10)的所提到的处理器内核和所述第二处理器(20)的所提到的处理器内核分别安全地执行同一个应用程序或者多个相同的应用程序(APP1、APP2),
-其中,所述第一处理器(10)的其余的处理器内核要么关闭,要么同样基于所述安全操作系统(SOS)或者一个或多个另外的安全操作系统,并且在安全地执行相同的应用程序和/或不同的应用程序的情况下,安全地运行,
-其中,在所述第二处理器(20)中,至少一个处理器内核不安全地运行,即基于没有达到预先给定的安全等级的不安全的操作系统(OS)运行,并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序(APP3)。
2.根据权利要求1所述的方法,
其特征在于,
比较所提到的两个相同地运行的处理器内核的存储内容,并且如果存储内容全部或者部分,特别是考虑到安全的应用程序的运行数据,在两个安全地运行的处理器内核中相对于彼此有偏差,或者相对于彼此的偏差超过预先给定的度量,那么推断出第二处理器(20)的不安全地运行的处理器内核对第二处理器(20)的安全地运行的处理器内核的有错误的反作用。
3.根据前述权利要求中任一项所述的方法,
其特征在于,
所述计算设备(5)的第一处理器(10)具有至少三个处理器内核(11、12、13),其中的
-选择的第一处理器内核(11)利用安全操作系统(SOS)、即达到或者超过预先给定的安全等级的操作系统运行,并且安全地、即在达到预先给定的安全等级的情况下执行第一应用程序(APP1),
-选择的第二处理器内核(12)利用所述安全操作系统或者另外的安全操作系统(SOS)运行,并且安全地执行第二应用程序(APP2),以及
-选择的第三处理器内核(13)关闭,
-第二处理器(20)同样具有至少三个处理器内核(14、15、16),下面将其称为第四、第五和第六处理器内核,其中的
-第四处理器内核(14)利用与第二处理器内核(12)相同的安全操作系统(SOS)运行,并且安全地执行第二应用程序(APP2),
-第五处理器内核(15)利用与第一处理器内核(11)相同的安全操作系统(SOS)运行,并且安全地执行第一应用程序(APP1),以及
-第六处理器内核(16)利用不安全的操作系统、即没有达到预先给定的安全等级的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行第三应用程序(APP3)。
4.根据权利要求3所述的方法,
其特征在于,
-第五处理器内核(15)关于处理器结构,是与第一处理器(10)中的第一处理器内核(11)不同的处理器内核,并且在第二处理器(20)内位于与第一处理器(10)中的第一处理器内核(11)不同的位置,以及
-第四处理器内核(14)关于处理器结构,是与第一处理器(11)中的第二处理器内核(12)不同的处理器内核,并且在第二处理器(20)内位于与第一处理器中的第二处理器内核(12)不同的位置。
5.根据前述权利要求中任一项所述的方法,
其特征在于,
将第一处理器(10)的一个或多个安全地运行的应用程序(APP1、APP2)的工作结果,与第二处理器(20)的一个或多个对应的安全地运行的应用程序(APP1、APP2)的工作结果进行比较,并且当工作结果有偏差,或者相对于彼此的偏差超过预先给定的度量时,产生警告信号。
6.根据前述权利要求中任一项所述的方法,
其特征在于,
将第一(11)和第五处理器内核(15)的存储内容以及第二(12)和第四处理器内核(14)的存储内容相互进行比较,并且如果存储内容全部或者部分,特别是考虑到安全的应用程序(APP1、APP2)的运行数据,相对于彼此有偏差,或者相对于彼此的偏差超过预先给定的度量,那么推断出第二处理器(20)的不安全地运行的处理器内核(16)对第二处理器(20)的安全地运行的处理器内核(14、15)的有错误的反作用。
7.根据前述权利要求中任一项所述的方法,
其特征在于,
-第一处理器(10)的至少一个处理器内核关闭,并且第一处理器(10)的至少一个处理器内核运行,其中,第一处理器(10)的所有运行的处理器内核仅安全地运行,
-第一处理器(10)的每个运行的处理器内核相应地刚好与第二处理器(20)的一个处理器内核相关联,其利用与相关联的第一处理器(10)的处理器内核相同的安全操作系统(SOS)工作,并且执行与相关联的第一处理器(10)的处理器内核相同的一个或多个应用程序,以及
-第二处理器(20)中的至少一个处理器内核利用不安全的操作系统(OS)、即没有达到预先给定的安全等级的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行应用程序。
8.根据前述权利要求中任一项所述的方法,
其特征在于,
第二处理器(20)的安全地运行的处理器内核关于处理器结构,在空间上在第二处理器(20)内位于与第一处理器(10)中的相关联的处理器内核不同的位置。
9.根据前述权利要求中任一项所述的方法,
其特征在于,
技术设备的部件、特别是轨道车辆(310)的轨道车辆侧的部件或者线路侧的部件、特别是控制站或者集控站(320),利用所述计算设备(5)运行。
10.一种计算设备(5),所述计算设备具有至少两个并行运行的处理器(10、20),
其特征在于,
-所述计算设备(5)的第一(10)和第二处理器(20)在结构上相同,并且分别具有至少两个处理器内核,
-第一处理器(10)的处理器内核和第二处理器(20)的处理器内核分别安全地运行,即基于达到或者超过预先给定的安全等级的安全操作系统(SOS)运行,并且分别安全地、即在达到预先给定的安全等级的情况下执行至少一个应用程序(APP1、APP2),
-其中,所述第一处理器(10)的所提到的处理器内核和所述第二处理器(20)的所提到的处理器内核分别安全地执行同一个应用程序或者多个相同的应用程序(APP1、APP2),
-其中,所述第一处理器(10)的其余的处理器内核要么关闭,要么同样基于所述安全操作系统(SOS)或者一个或多个另外的安全操作系统,并且在安全地执行相同的应用程序和/或不同的应用程序的情况下,安全地运行,以及
-其中,在所述第二处理器(20)中,至少一个处理器内核不安全地运行,即基于没有达到预先给定的安全等级的不安全的操作系统(OS)运行,并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序(APP3)。
11.根据权利要求10所述的计算设备(5),
其特征在于,
计算设备(5)具有比较装置,比较装置将所提到的相同地运行的处理器内核的存储内容相互进行比较,并且如果存储内容全部或者部分,特别是考虑到安全的应用程序的运行数据,在两个安全地运行的处理器内核中相对于彼此有偏差,或者偏差超过预先给定的度量,那么推断出不安全地运行的处理器内核对第二处理器(20)的安全地运行的处理器内核的有错误的反作用。
12.根据前述权利要求10至11中任一项所述的计算设备(5),
其特征在于,
所述计算设备(5)的第一处理器(10)具有至少三个处理器内核(11、12、13),其中的
-选择的第一处理器内核(11)利用安全操作系统(SOS)、即达到或者超过预先给定的安全等级的操作系统运行,并且安全地、即在达到预先给定的安全等级的情况下执行第一应用程序(APP1),
-选择的第二处理器内核(12)利用所述安全操作系统或者另外的安全操作系统运行,并且安全地执行第二应用程序(APP2),以及
-选择的第三处理器内核(13)关闭,
所述计算设备(5)的第二处理器(20)同样具有至少三个处理器内核(14、15、16),下面将其称为第四、第五和第六处理器内核,其中的
-第四处理器内核(14)利用与第二处理器内核(12)相同的安全操作系统(SOS)运行,并且安全地执行第二应用程序(APP2),
-第五处理器内核(15)利用与第一处理器内核(11)相同的安全操作系统(SOS)运行,并且安全地执行第一应用程序(APP1),
-第六处理器内核(16)利用不安全的操作系统(OS)、即没有达到预先给定的安全等级的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行第三应用程序(APP3),
-第四处理器内核(14)关于处理器结构,是与第一处理器(10)中的第二处理器内核(12)不同的处理器内核,并且在第二处理器(20)内位于与第一处理器(10)中的第二处理器内核(12)不同的位置,
-第五处理器内核(15)关于处理器结构,是与第一处理器(10)中的第一处理器内核(11)不同的处理器内核,并且在第二处理器(20)内位于与第一处理器(10)中的第一处理器内核(11)不同的位置。
13.根据前述权利要求10至12中任一项所述的计算设备(5),
其特征在于,
-第一处理器(10)的至少一个处理器内核关闭,并且第一处理器(10)的至少一个处理器内核运行,其中,第一处理器(10)的所有运行的处理器内核仅安全地运行,
-第一处理器(10)的每个运行的处理器内核相应地刚好与第二处理器(20)的一个处理器内核相关联,其相同地运行,即利用与相关联的第一处理器(10)的处理器内核相同的安全操作系统(SOS)工作,并且执行与相关联的第一处理器(10)的处理器内核相同的一个或多个应用程序(APP1、APP2),
-第二处理器(20)中的至少一个处理器内核利用不安全的操作系统(OS)、即没有达到预先给定的安全等级的操作系统运行,并且不安全地、即在低于预先给定的安全等级的情况下执行至少一个应用程序(APP3),以及
-第二处理器(20)的安全地运行的处理器内核关于处理器结构,在空间上在第二处理器(20)内位于与第一处理器(10)中的相关联的处理器内核不同的位置。
14.一种用于技术设备的部件,
其特征在于,
所述部件装备有根据前述权利要求10至11中任一项的计算设备(5)。
15.根据权利要求14所述的部件,
其特征在于,
-所述部件是车辆侧的部件,特别地是车辆、优选轨道车辆(310)的控制设备(310a),或者
-所述部件是线路侧的部件,特别地是铁路轨道设备(300)的控制中心的控制站计算机或者铁路轨道设备(300)的集控站(320)的集控站计算机。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102018212686.0A DE102018212686A1 (de) | 2018-07-30 | 2018-07-30 | Verfahren zum Betreiben einer Rechenanlage |
| DE102018212686.0 | 2018-07-30 | ||
| PCT/EP2019/067653 WO2020025237A1 (de) | 2018-07-30 | 2019-07-02 | Verfahren zum betreiben einer rechenanlage |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112513847A true CN112513847A (zh) | 2021-03-16 |
Family
ID=67297136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980050231.4A Pending CN112513847A (zh) | 2018-07-30 | 2019-07-02 | 用于运行计算设备的方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US11429752B2 (zh) |
| EP (1) | EP3807796B1 (zh) |
| CN (1) | CN112513847A (zh) |
| DE (1) | DE102018212686A1 (zh) |
| ES (1) | ES2925284T3 (zh) |
| HU (1) | HUE059319T2 (zh) |
| PL (1) | PL3807796T3 (zh) |
| WO (1) | WO2020025237A1 (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1515229A2 (en) * | 2003-09-15 | 2005-03-16 | Trigence Corp. | System for executing application sets within application containers |
| US20080184258A1 (en) * | 2007-01-30 | 2008-07-31 | Keisuke Toyama | Data processing system |
| JP2010182096A (ja) * | 2009-02-05 | 2010-08-19 | Nec Corp | プログラム並列実行システム、マルチコアプロセッサ上のプログラム並列実行方法 |
| KR101306569B1 (ko) * | 2012-07-19 | 2013-09-10 | 주식회사 솔라시아 | 시큐어 os를 이용한 모바일 디바이스의 도어락 개폐 시스템 및 도어락 개폐 방법 |
| CN103562870A (zh) * | 2011-05-11 | 2014-02-05 | 超威半导体公司 | 异构核心的自动加载平衡 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6604177B1 (en) | 2000-09-29 | 2003-08-05 | Hewlett-Packard Development Company, L.P. | Communication of dissimilar data between lock-stepped processors |
| EP1563376B1 (en) * | 2002-11-18 | 2006-04-12 | ARM Limited | Exception types within a secure processing system |
| US9094210B2 (en) * | 2009-10-26 | 2015-07-28 | Citrix Systems, Inc. | Systems and methods to secure a virtual appliance |
| DE102012011584A1 (de) | 2012-06-13 | 2013-12-19 | Robert Bosch Gmbh | Ressourcen-Managementsystem fürAutomatisierungsanlagen |
| WO2014116888A1 (en) * | 2013-01-25 | 2014-07-31 | REMTCS Inc. | Network security system, method, and apparatus |
| US9832199B2 (en) * | 2015-09-25 | 2017-11-28 | International Business Machines Corporation | Protecting access to hardware devices through use of a secure processor |
| DE102016215345A1 (de) * | 2016-08-17 | 2018-02-22 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur redundanten Datenverarbeitung |
| US10740496B2 (en) * | 2017-02-13 | 2020-08-11 | Samsung Electronics Co., Ltd. | Method and apparatus for operating multi-processor system in electronic device |
| FR3083343B1 (fr) * | 2018-06-29 | 2023-05-26 | Ingenico Group | Procede de determination d'une validite d'un code applicatif, dispositif et produit programme d'ordinateur correspondants. |
| US10983847B2 (en) * | 2019-02-15 | 2021-04-20 | Red Hat, Inc. | Dynamically loadable unikernel binaries |
-
2018
- 2018-07-30 DE DE102018212686.0A patent/DE102018212686A1/de not_active Withdrawn
-
2019
- 2019-07-02 ES ES19739935T patent/ES2925284T3/es active Active
- 2019-07-02 WO PCT/EP2019/067653 patent/WO2020025237A1/de unknown
- 2019-07-02 EP EP19739935.5A patent/EP3807796B1/de active Active
- 2019-07-02 PL PL19739935.5T patent/PL3807796T3/pl unknown
- 2019-07-02 CN CN201980050231.4A patent/CN112513847A/zh active Pending
- 2019-07-02 HU HUE19739935A patent/HUE059319T2/hu unknown
- 2019-07-02 US US17/264,929 patent/US11429752B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1515229A2 (en) * | 2003-09-15 | 2005-03-16 | Trigence Corp. | System for executing application sets within application containers |
| US20080184258A1 (en) * | 2007-01-30 | 2008-07-31 | Keisuke Toyama | Data processing system |
| JP2010182096A (ja) * | 2009-02-05 | 2010-08-19 | Nec Corp | プログラム並列実行システム、マルチコアプロセッサ上のプログラム並列実行方法 |
| CN103562870A (zh) * | 2011-05-11 | 2014-02-05 | 超威半导体公司 | 异构核心的自动加载平衡 |
| KR101306569B1 (ko) * | 2012-07-19 | 2013-09-10 | 주식회사 솔라시아 | 시큐어 os를 이용한 모바일 디바이스의 도어락 개폐 시스템 및 도어락 개폐 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11429752B2 (en) | 2022-08-30 |
| DE102018212686A1 (de) | 2020-01-30 |
| PL3807796T3 (pl) | 2022-09-19 |
| US20210240865A1 (en) | 2021-08-05 |
| EP3807796B1 (de) | 2022-06-01 |
| ES2925284T3 (es) | 2022-10-14 |
| HUE059319T2 (hu) | 2022-11-28 |
| EP3807796A1 (de) | 2021-04-21 |
| WO2020025237A1 (de) | 2020-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20150212952A1 (en) | Method for the coexistence of software having different safety levels in a multicore processor system | |
| CN104885057B (zh) | 虚拟化计算系统中隔离的客创建 | |
| US20130268798A1 (en) | Microprocessor System Having Fault-Tolerant Architecture | |
| ES2807605T3 (es) | Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual | |
| US20140257604A1 (en) | Braking system | |
| US20120151280A1 (en) | Method for Error Detection During Execution of a Real-Time Operating System | |
| US20190012483A1 (en) | Electronic Control Units for Vehicles | |
| US11113387B2 (en) | Method and apparatus for improving security of Java sandbox | |
| KR102529916B1 (ko) | 가상머신 기반 차량 제어 검증 시스템 및 방법 | |
| US11764957B2 (en) | Method for secure usage of cryptographic material | |
| CN103714018B (zh) | 芯片存储电路的安全访问控制方法 | |
| ES2795015T3 (es) | Dispositivo de servidor que opera un software para el control de una función de un sistema de protección de transporte sobre carriles | |
| JP5841271B2 (ja) | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 | |
| CN112513847A (zh) | 用于运行计算设备的方法 | |
| CN117290841A (zh) | 单芯片系统,用于运行单芯片系统的方法及机动车 | |
| CN107179980B (zh) | 用于监视计算系统的方法和相应的计算系统 | |
| CN106940667B (zh) | 检验具有多个计算单元的系统中的计算结果的方法和设备 | |
| US20200272708A1 (en) | Computer system, computer apparatus, and license management method | |
| US20200050491A1 (en) | Processing system and method of executing functions | |
| CN108910637A (zh) | 安全系统 | |
| CN107783414A (zh) | 具有动态容错要求的系统的协调多模式分配和运行时切换 | |
| US20100114422A1 (en) | Control device for vehicles | |
| US11914715B2 (en) | Device unit suitable for operation in a protected and/or open operating state and associated method | |
| JP2008084315A (ja) | 制御装置ネットワークにおいてプログラムコードを分散して実行するシステムおよび方法 | |
| CN108700861B (zh) | 用于运行用于机动车的控制设备的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40043628 Country of ref document: HK |