DE102014215075A1 - Steuerung mindestens eines Rechners eines Schienenfahrzeugs - Google Patents

Steuerung mindestens eines Rechners eines Schienenfahrzeugs Download PDF

Info

Publication number
DE102014215075A1
DE102014215075A1 DE102014215075.2A DE102014215075A DE102014215075A1 DE 102014215075 A1 DE102014215075 A1 DE 102014215075A1 DE 102014215075 A DE102014215075 A DE 102014215075A DE 102014215075 A1 DE102014215075 A1 DE 102014215075A1
Authority
DE
Germany
Prior art keywords
computer
restart
sleep mode
request
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102014215075.2A
Other languages
English (en)
Inventor
Jens Braband
Bernhard Pösel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102014215075.2A priority Critical patent/DE102014215075A1/de
Priority to PCT/EP2015/066251 priority patent/WO2016016006A1/de
Publication of DE102014215075A1 publication Critical patent/DE102014215075A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0081On-board diagnosis or maintenance
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0072On-board train data handling

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Sources (AREA)
  • Hardware Redundancy (AREA)

Abstract

Es wird vorgeschlagen, einen Abschaltvorgang von mehreren Rechnern eines Schienenfahrzeugs zu synchronisieren, indem ein erster Rechner (101) mindestens einem weiteren Rechner (102, 103) eine Abschaltaufforderung (112, 113) bereitstellt, wobei infolge der Abschaltaufforderung (112, 113) von dem mindestens einen weiteren Rechner (102, 103) ein Ruhemodus eingeleitet wird (115, 117). Dabei wird der Ruhemodus eingeleitet, indem ein Sichern von in einem flüchtigen Speicher gespeicherten Daten in einen nichtflüchtigen Speicher und ein Abschalten des jeweiligen Rechners erfolgt. Infolge eines ersten Wiederanlauf-Kommandos (118) führt der erste Rechner (101) eine Wiederanlaufaktion (119) durch. Der erste Rechner (101) übermittelt dem mindestens einen weiteren Rechner (102, 103) ein zweites Wiederanlauf-Kommando (120, 122) und der mindestens eine weitere Rechner (102, 103) führt infolge des zweiten Wiederanlauf-Kommandos (120, 122) die Wiederanlaufaktion (121, 123) durch. Hierbei ist es von Vorteil, dass auch sicherheitsrelevante Systeme koordiniert einen Ruhemodus erreichen können, wobei ein koordinierter Wiederanlauf sichergestellt ist, der in deutlich verkürzter Zeit gegenüber einem Neustart erfolgen kann.

Description

  • Die Erfindung betrifft ein Verfahren zur Steuerung mindestens eines Rechners eines Schienenfahrzeugs, einen entsprechenden Rechner sowie ein Schienenfahrzeug mit mindestens einem Rechner.
  • In der Regel werden Fahrzeuggeräte bei Eisenbahnen abgeschaltet. Dadurch soll Energie gespart und die Lebendsauer der Geräte verlängert werden. Aufgrund der zunehmenden Komplexität von Hard- und Software dauert das Hochfahren der Geräte jedoch immer länger.
  • Beispielsweise bei Personal-Computern ist ein sogenannter Hibernate-Modus (”Winterschlaf”-Modus) bekannt, bei dem der Computer in einen Ruhezustand überführt wird. Beim Ruhezustand wird der Rechner vom Nutzer in einen stromlosen Zustand versetzt, um später an gleicher Stelle weiterarbeiten zu können. Die technische Umsetzung erfolgt bei üblichen x86-PCs über einen ACPI-Zustand ”S4” (”suspend to disk”). Wechselt der Rechner in diesen Zustand, wird der Inhalt des Arbeitsspeichers auf die Festplatte geschrieben, und alle Systemkomponenten werden ausgeschaltet. Beim Einschalten des Rechners wird das auf der Festplatte gespeicherte Abbild wieder in den Arbeitsspeicher (RAM) geladen. Außerdem müssen ggf. die internen Zustände von Peripheriegeräten wiederhergestellt werden (vergleiche z. B. http://de.wikipedia.org/wiki/Ruhezustand).
  • Ein solcher Ansatz ist jedoch für sicherheitsrelevante Systeme nicht ausreichend. Insbesondere ist der bekannte Ruhezustand für verteilte sicherheitsrelevante Systeme nicht geeignet.
  • Die Aufgabe der Erfindung besteht darin, die vorstehend genannten Nachteile zu vermeiden und insbesondere eine Lösung zu schaffen, um einen ressourcenschonenden Ruhezustand für ein verteiltes sicherheitsrelevantes System umfassend mehrere Geräte zu erreichen.
  • Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen sind insbesondere den abhängigen Ansprüchen entnehmbar.
  • Zur Lösung der Aufgabe wird ein Verfahren zur Steuerung mindestens eines Rechners eines Schienenfahrzeugs vorgeschlagen,
    • – bei dem ein erster Rechner mindestens einem weiteren Rechner eine Abschaltaufforderung bereitstellt,
    • – bei dem infolge der Abschaltaufforderung von dem mindestens einen weiteren Rechner ein Ruhemodus eingeleitet wird,
    • – wobei der Ruhemodus eingeleitet wird, indem
    • – ein Sichern von in einem flüchtigen Speicher gespeicherten Daten in einen nichtflüchtigen Speicher erfolgt und
    • – ein Abschalten des jeweiligen Rechners erfolgt.
  • Somit kann ausgehend von dem ersten Rechner insbesondere für den mindestens einen weiteren Rechner des Schienenfahrzeugs der Ruhemodus eingeleitet werden. Beispielsweise kann die Einleitung des Ruhemodus zeitlich koordiniert erfolgen. Auch ist es möglich, dass der erste Rechner selbst den Ruhemodus einnimmt.
  • Bei dem Ruhemodul kann es sich um einen Hibernate-Modus handeln, der z. B. infolge eines Hibernate-Kommandos erreicht wird. In dem Ruhemodus wird beispielsweise von dem jeweiligen Rechner kaum oder keine elektrische Energie benötigt.
  • Beispielsweise handelt es sich bei dem ersten Rechner und dem mindestens einen weiteren Rechner um sicherheitsrelevante Systeme des Schienenfahrzeugs. Der erste Rechner kann auch als koordinierender oder Master-Rechner bezeichnet werden. Grundsätzlich kann es sich bei dem Rechner um eine Einheit aus Prozessor, Speicher und Ein-/Ausgabeeinheit handeln, wobei mehrere Rechner eines Schienenfahrzeugs über eine Schnittstelle, z. B. eine Kommunikationsschnittstelle oder ein Netzwerk miteinander (zeitweise oder andauernd) verbunden sind. Die Rechner können über die Schnittstelle z. B. Nachrichten austauschen oder sich Informationen zukommen lassen. Auch kann als Schnittstelle ein gemeinsamer Speicherbereich (”Shared Memory”) verwendet werden, über den Daten den anderen Rechnern bereitgestellt werden können. Grundsätzlich kann die Kommunikation zwischen Rechnern ein aktives Versenden mit anschließendem Empfangen von Nachrichten umfassen. Auch ist es möglich, dass ein sogenannter Abholmechanismus (z. B. in Form von Polling) vorgesehen ist, bei dem ein Rechner sich Daten, z. B. zu vorgegebenen Zeitpunkten oder infolge bestimmter Ereignisse (Trigger, Interrupts) z. B. aus dem gemeinsamen Speicher abholt.
  • Eine Weiterbildung ist es, dass der erste Rechner und der mindestens eine weitere Rechner jeweils den Ruhemodus einleiten.
  • Eine andere Weiterbildung ist es, dass die Abschaltaufforderung einen Zeitpunkt umfasst, ab dem der Ruhemodus eingeleitet wird.
  • Der Zeitpunkt kann ein absoluter oder relativer Zeitpunkt sein, d. h. z. B. eine Uhrzeit oder eine Wartezeit umfassen. Auch kann der Zeitpunkt eine zeitliche Bedingung bestimmen, z. B. ein Ausführen oder ein Beenden eines Vorgangs, eines Takts, etc.
  • Insbesondere ist es eine Weiterbildung, dass der erste Rechner die Abschaltaufforderung bereitstellt, nachdem er ein Abschaltkommando erhalten hat.
  • So ist es eine Option, dass der erste Rechner ein Kommando erhält, infolgedessen er die Abschaltaufforderung für den mindestens einen weiteren Rechner erzeugt und ggf. auch sich selbst in den Ruhemodus versetzt.
  • Auch ist es eine Weiterbildung, dass eine erneute Abschaltaufforderung von dem ersten Rechner an den mindestens einen weiteren Rechner übermittelt wird, nachdem einer der weiteren Rechner eine Verzögerung des Abschaltens signalisiert hat.
  • Beispielsweise ist es möglich, dass der mindestens eine weitere Rechner anzeigt, dass er zu einem vorgegebenen Zeitpunkt den Ruhemodus nicht einnehmen kann (beispielsweise weil von dem Rechner noch ein anderer Vorgang, z. B. eine Sicherung, abgeschlossen werden muss). In diesem Fall kann dem ersten Rechner angezeigt werden, dass der Zeitpunkt der Einleitung des Abschaltens ungünstig, z. B. zu früh, ist. Optional kann der mindestens eine weitere Rechner einen alternativen Zeitpunkt nennen. Der erste Rechner kann nun die Abschaltaufforderung unter Berücksichtigung des alternativen Zeitpunkts oder unter Berücksichtigung eines anderen Zeitpunkts an den mindestens einen Rechner übermitteln.
  • Ferner ist es eine Weiterbildung, dass
    • – der erste Rechner infolge eines ersten Wiederanlauf-Kommandos eine Wiederanlaufaktion durchführt,
    • – der erste Rechner dem mindestens einen weiteren Rechner ein zweites Wiederanlauf-Kommando übermittelt,
    • – der mindestens eine weitere Rechner infolge des zweiten Wiederanlauf-Kommandos die Wiederanlaufaktion durchführt.
  • Das erste Wiederanlauf-Kommando kann z. B. von extern an den ersten Rechner übermittelt werden, woraufhin dieser sich einschaltet. Nachdem er gestartet wurde, ”weckt” der erste Rechner den mindestens einen weiteren Rechner auf.
  • Im Rahmen einer zusätzlichen Weiterbildung umfasst die Wiederanlaufaktion ein Lesen der auf dem nichtflüchtigen Speicher gespeicherten Daten in den flüchtigen Speicher.
  • Eine nächste Weiterbildung besteht darin, dass
    • – bei Einleiten des Ruhemodus die Daten verschlüsselt und/oder signiert auf dem nichtflüchtigen Speicher gespeichert werden und
    • – beim Durchführen der Wiederanlaufaktion die auf dem nichtflüchtigen Speicher gespeicherten Daten validiert und/oder authentifiziert werden.
  • Die Daten können z. B. mit einem internen oder externen gespeicherten Schlüssel verschlüsselt bzw. entschlüsselt werden. Zur Ver- bzw. Entschlüsselung können symmetrische oder asymmetrische kryptografische Verfahren eingesetzt werden. Zur Authentifizierung kann z. B. eine Signatur (z. B. mittels einer kryptografischen Einwegfunktion, insbesondere unter Ausnutzung eines Schlüssels) der Daten oder eines Teils der Daten generiert werden; nach dem Zurückschreiben der Daten in den flüchtigen Speicher wird eine Signatur der zurückgeschriebenen Daten angefertigt und mit der zuvor abgespeicherten Signatur verglichen. Sind die Signaturen identisch, so können die Daten als authentifiziert angenommen werden.
  • Eine Ausgestaltung ist es, dass das zweite Wiederanlauf-Kommando einen Zeitpunkt umfasst, ab dem der erste Rechner und der mindestens eine weitere Rechner einen synchronisierten Betrieb fortsetzen.
  • Auch dieser Zeitpunkt kann ein absoluter oder relativer Zeitpunkt sein und z. B. eine Uhrzeit oder eine Wartezeit umfassen. Auch kann der Zeitpunkt eine zeitliche Bedingung bestimmen, z. B. ein Ausführen oder ein Beenden eines Vorgangs, eines Takts, etc.
  • Eine alternative Ausführungsform besteht darin, dass im Anschluss an die Wiederanlaufaktion des ersten Rechners und des mindestens einen weiteren Rechners eine erste zeitliche Synchronisation durchgeführt wird.
  • Eine nächste Ausgestaltung ist es, dass vor dem Bereitstellen der Abschaltaufforderung zwischen dem ersten Rechner und dem mindestens einen weiteren Rechner eine zweite zeitliche Synchronisation durchgeführt wurde.
  • Auch ist es eine Ausgestaltung, dass die erste zeitliche Synchronisation und/oder die zweite zeitliche Synchronisation eine Synchronisation der Systemzeit umfasst.
  • Die Systemzeit kann z. B. eine Uhrzeit eines der beteiligten Rechner sein. Auch kann die Systemzeit, z. B. über ein Netzwerk, von einem anderen Rechner vorgegeben werden.
  • Eine Weiterbildung besteht darin, dass der jeweilige Rechner ein Fahrzeugrechner eines Schienenfahrzeugs ist.
  • Weiterhin wird zur Lösung der obigen Aufgabe ein Rechner zur Steuerung mindestens eines weiteren Rechners vorgeschlagen, wobei der Rechner derart eingerichtet ist, dass
    • – dem mindestens einen weiteren Rechner eine Abschaltaufforderung bereitstellbar ist,
    • – der Rechner und der mindestens eine weitere Rechner jeweils einen Ruhemodus einleiten, indem
    • – ein Sichern von in einem flüchtigen Speicher gespeicherten Daten in einen nichtflüchtigen Speicher erfolgt und
    • – ein Abschalten des jeweiligen Rechners erfolgt.
  • Eine Ausgestaltung ist es, dass der Rechner derart eingerichtet ist, dass
    • – der Rechner infolge eines ersten Wiederanlauf-Kommandos eine Wiederanlaufaktion durchführt,
    • – der Rechner dem mindestens einen weiteren Rechner ein zweites Wiederanlauf-Kommando übermittelt, so dass der mindestens eine weitere Rechner infolge des zweiten Wiederanlauf-Kommandos die Wiederanlaufaktion durchführt.
  • Auch wird die vorstehend genannte Aufgabe gelöst durch ein Schienenfahrzeug umfassend einen ersten Rechner und mindestens einen weiteren Rechner,
    • – wobei der erste Rechner dem mindestens einen weiteren Rechner eine Abschaltaufforderung bereitstellt,
    • – wobei infolge der Abschaltaufforderung der mindestens eine weitere Rechner einen Ruhemodus einleitet,
    • – wobei der Ruhemodus eingeleitet wird, indem
    • – ein Sichern von in einem flüchtigen Speicher gespeicherten Daten in einen nichtflüchtigen Speicher erfolgt und
    • – ein Abschalten des jeweiligen Rechners erfolgt.
  • Eine Ausgestaltung ist es, dass der erste Rechner und der mindestens eine weitere Rechner jeweils den Ruhemodus einleiten.
  • Auch ist es eine Möglichkeit, dass
    • – der erste Rechner infolge eines ersten Wiederanlauf-Kommandos eine Wiederanlaufaktion durchführt,
    • – der erste Rechner dem mindestens einen weiteren Rechner ein zweites Wiederanlauf-Kommando übermittelt,
    • – der mindestens eine weitere Rechner infolge des zweiten Wiederanlauf-Kommandos die Wiederanlaufaktion durchführt.
  • Die Ausführungen betreffend das Verfahren gelten für die anderen Anspruchskategorien entsprechend.
  • Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden schematischen Beschreibung von Ausführungsbeispielen, die im Zusammenhang mit der Zeichnung näher erläutert werden. Dabei können zur Übersichtlichkeit gleiche oder gleichwirkende Elemente mit gleichen Bezugszeichen versehen sein.
  • Es zeigt:
  • 1 ein beispielhaftes Ablaufdiagramm mit Schritten eines koordinierten Abschaltens mehrerer Rechner sowie mit Schritten eines koordinierten Wiederanlaufens der mehreren Rechner.
  • Nachfolgend wird beispielhaft von einem Schienenfahrzeug ausgegangen, wobei das Schienenfahrzeug (auch bezeichnet als ”Zug”) mindestens einen, insbesondere mindestens zwei Wagen aufweist, wobei der Wagen ein Triebfahrzeug, ein Reisewagen, ein Güterwagen oder eine Kombination aus derartigen Abteilen oder Funktionen sein kann. Das Triebfahrzeug weist eine Führerkabine (auch bezeichnet als Bedienplatz) auf und kann mit oder ohne Antrieb ausgeführt sein. Das Triebfahrzeug kann insbesondere eine Lokomotive sein.
  • Jeder Wagen des Schienenfahrzeugs kann mit einem Fahrzeugrechner ausgestattet sein; stellt der Fahrzeugrechner (ggf. mit der mobilen Kommunikationsschnittstelle) eine ETCS-Funktion bereit, kann dieser ggf. auch als ETCS-Wagen bezeichnet werden. Grundsätzlich ist es möglich, dass nur die Triebfahrzeuge je einen Fahrzeugrechner (ggf. mit der mobilen Kommunikationsschnittstelle) bzw. dass auch einzelne Wagen, die keine Triebfahrzeuge sind, derartige Fahrzeugrechner (ggf. mit der mobilen Kommunikationsschnittstelle) aufweisen.
  • Ferner können Fahrzeugrechner vorhanden sein, die unterschiedliche Funktionen bereitstellen. Ein Fahrzeugrechner kann eine Hardware, ein Betriebssystem und zusätzliche Software aufweisen, wobei beim Hochfahren des Fahrzeugrechners, das Betriebssystem sowie die zusätzliche Software geladen und ggf. initialisiert werden. Auf dem Fahrzeugrechner kann ein bekanntes Betriebssystem genutzt werden, das die Aktivierung eines Ruhezustands ermöglicht. In dem Ruhezustand wird beispielsweise von dem Fahrzeugrechner kein Strom oder nur ein sehr geringer Ruhestrom benötigt.
  • Die mehreren Fahrzeugrechner eines Schienenfahrzeugs stellen ein verteiltes System aus Fahrzeugrechnern dar. Die Fahrzeugrechner des Schienenfahrzeugs sind zumindest teilweise sicherheitsrelevant bzw. unterliegen diese sicherheitsrelevanten Anforderungen. Insbesondere sollen ungültige oder mehrdeutige Zustände zwischen den Fahrzeugrechnern vermieden werden.
  • Somit soll ein Ruhezustand der Fahrzeugrechner des Schienenfahrzeugs derart herbeigeführt werden, dass sichergestellt ist, dass beim Hochfahren die Fahrzeugrechner einen koordinierten Zustand haben. Insbesondere kann vorteilhaft sichergestellt werden, dass der Zustand valide und authentisch ist.
  • Beispielsweise kann eine gemeinsame Zeitbasis für die Fahrzeugrechner des Schienenfahrzeugs geschaffen werden. Dies kann durch Synchronisation der auf den Fahrzeugrechnern implementierten Uhren auf eine gemeinsame Systemzeit oder eine gemeinsame zentrale Zeitbasis erfolgen.
  • Ferner kann einer der Fahrzeugrechner als ein Hauptrechner (Master) agieren. Wenn der Hauptrechner abgeschaltet werden soll, sendet dieser an die weiteren abzuschaltenden Fahrzeugrechner (auch bezeichnet als ”Clients”) ein Abschaltkommando. Bei dem Abschaltkommando handelt es sich beispielsweise um ein Kommando zum Einleiten des Ruhemodus, insbesondere um ein sogenanntes Hibernate-Kommando, infolgedessen insbesondere ein Abbild der Daten des flüchtigen Speichers auf einen nichtflüchtigen Speicher geschrieben und anschließend der Fahrzeugrechner ausgeschaltet wird. In dem Abschaltkommando kann ein Zeitpunkt oder ein Prozess-Schritt enthalten sein, ab dem das Abbild der Daten angelegt und gespeichert wird.
  • Optional kann das Abbild mit einem in dem Betriebssystem des jeweiligen Fahrzeugrechners hinterlegten Schlüssel signiert und/oder verschlüsselt werden. Damit kann beim Hochfahren und Laden des Abbilds geprüft werden, ob das Abbild von dem jeweiligen Fahrzeugrechner stammt und ob es modifiziert wurde.
  • Bei einem Hochfahren prüft der Hauptrechner, ob für ihn ein Abbild vorliegt. Ist dies der Fall, so sendet er an die anderen hochzufahrenden Fahrzeugrechner ein Wiederanlauf-Kommando. Infolge des Wiederanlauf-Kommandos wird vorzugsweise zunächst eine gemeinsame Zeitbasis etabliert, indem z. B. die Uhren der Fahrzeugrechner basierend auf einer gemeinsamen Zeitbasis synchronisiert werden. Anschließend werden die jeweiligen gespeicherten Abbilder geprüft und zu einem in dem Wiederanlauf-Kommando festgelegten Zeitpunkt wird die Funktion der Fahrzeugrechner insbesondere synchronisiert fortgesetzt.
  • 1 zeigt ein beispielhaftes Ablaufdiagramm mit Schritten eines koordinierten Abschaltens mehrerer Rechner sowie mit Schritten eines koordinierten Wiederanlaufens der mehreren Rechner.
  • Beispielhaft sind in 1 dargestellt ein Masterrechner 101 und zwei Clients 102 und 103. In einem Schritt 110 sind oder werden die Uhren der einzelnen Rechner 101 bis 103 synchronisiert. Dies kann z. B. erfolgen, indem die Uhren aller Rechner 101 bis 103 mit einer zentralen Uhr (nicht in 1 dargestellt) abgeglichen werden oder die Uhren der Clients 102 und 103 können mit der Uhr des Masterrechners 101 abgeglichen werden. Im Anschluss an den Schritt 110 laufen die Uhren der Rechner 101 bis 103 (im Wesentlichen) synchron.
  • Der Masterrechner 101 erhält eine Aufforderung 111, den Ruhemodus einzuleiten. Infolge der Aufforderung 111 schickt der Masterrechner 101
    • – eine Abschaltaufforderung 112 an den Client 102 und
    • – eine Abschaltaufforderung 113 an den Client 103,
    wobei jede der Abschaltaufforderungen 112 und 113 einen Abschaltzeitpunkt tx umfasst. Beispielsweise kann es sich bei dem Abschaltzeitpunkt tx um einen Zeitpunkt in der Zukunft handeln, der den Clients 102 und 103 erfahrungsgemäß ausreichend Zeit lässt, momentan anstehende oder bereits begonnene Aufgaben zu Ende zu bringen bzw. in einen definierten Zustand überzuführen.
  • Optional kann ein Client (hier beispielhaft gezeigt für den Client 103) dem Masterrechner 101 eine Nachricht 114 übermitteln, in der er die Verschiebung des Abschaltzeitpunkts (z. B. um eine vorgegebene Zeitdauer) vorschlägt. Der Masterrechner 101 kann infolge der Nachricht 114 neue Abschaltaufforderungen versenden, die einen anderen, späteren Abschaltzeitpunkt enthalten. Sollte die Nachricht 114 einen Vorschlag für eine zeitliche Verschiebung enthalten, kann dieser Vorschlag von dem Masterrechner 101 in den neuen Abschaltaufforderungen berücksichtigt werden.
  • Mit Erreichen des Abschaltzeitpunkts tx, leitet der Masterrechner 101 gemäß einem Schritt 116, der Client 102 gemäß einem Schritt 115 und der Client 103 gemäß einem Schritt 117 jeweils den Ruhezustand ein.
  • Die Schritte 115 bis 117 können umfassen, dass jeweils ein Abbild der Daten des flüchtigen Speichers auf einen nichtflüchtigen Speicher geschrieben und anschließend der jeweilige Rechner ausgeschaltet wird. Optional kann das Abbild mit einem Schlüssel verschlüsselt und/oder signiert werden.
  • Nach einiger Zeit erhält der Masterrechner 101 ein Wiederanlauf-Kommando 118 (Wake-Up-Kommando), woraufhin er das Abbild der Daten aus dem nichtflüchtigen Speicher liest (optional auf Korrektheit und/oder Authentizität prüft) und in den flüchtigen Speicher zurückschreibt (vergleiche Schritt 119).
  • Sollte der (optionale) Schritt der Überprüfung des Abbilds ergeben, dass dieses fehlerhaft ist oder dass dessen Authentizität nicht gegeben ist, kann eine Fehlermeldung ausgegeben werden und die weitere Bearbeitung unterbrochen bzw. angehalten werden.
  • Ansonsten kann der Masterrechner 101
    • – an den Client 102 ein Wiederanlauf-Kommando 120 und
    • – an den Client 103 ein Wiederanlauf-Kommando 122
    übermitteln, wobei jedes der Wiederanlauf-Kommandos 120, 122 einen Zeitpunkt ty enthält, ab dem die Clients 102 und 103 ihre Arbeit fortsetzen sollen.
  • Infolge des Wiederanlauf-Kommandos 120 führt der Client 102 einen Wiederanlauf 121 und der Client 103 einen Wiederanlauf 123 durch (jeweils optional mit Korrektheits- und Authentizitätsprüfung). Nach erfolgreichen Wiederanläufen 119, 121 und 123 werden in einem Schritt 124 die Uhren der Rechner 101 bis 103 synchronisiert (vergleiche hierzu auch die Ausführungen zu Schritt 110) und mit Erreichen des Zeitpunkts ty setzen der Masterrechner 101 und die Clients 102 und 103 ihre Arbeit in dem sicherheitsrelevanten Umfeld fort.
  • Hierbei besteht ein Vorteil insbesondere darin, dass der Hibernate-Prozess für mehrere Fahrzeugrechner eines Schienenfahrzeugs koordiniert wird, so dass er für sicherheitsrelevante Systeme einsetzbar ist. Somit verkürzen sich die Wiederanlaufzeiten, da Einschaltprüfungen unterbleiben können.
  • Obwohl die Erfindung im Detail durch das mindestens eine gezeigte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht darauf eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • http://de.wikipedia.org/wiki/Ruhezustand [0003]

Claims (18)

  1. Verfahren zur Steuerung mindestens eines Rechners eines Schienenfahrzeugs, – bei dem ein erster Rechner (101) mindestens einem weiteren Rechner (102, 103) eine Abschaltaufforderung (112, 113) bereitstellt, – bei dem infolge der Abschaltaufforderung (112, 113) von dem mindestens einen weiteren Rechner (102, 103) ein Ruhemodus eingeleitet wird (115, 117), – wobei der Ruhemodus eingeleitet wird, indem – ein Sichern von in einem flüchtigen Speicher gespeicherten Daten in einen nichtflüchtigen Speicher erfolgt und – ein Abschalten des jeweiligen Rechners erfolgt.
  2. Verfahren nach Anspruch 1, bei dem der erste Rechner (101) und der mindestens eine weitere Rechner (102, 103) jeweils den Ruhemodus (115, 116, 117) einleiten.
  3. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Abschaltaufforderung (112, 113) einen Zeitpunkt (tx) umfasst, ab dem der Ruhemodus eingeleitet wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der erste Rechner die Abschaltaufforderung bereitstellt, nachdem er ein Abschaltkommando (111) erhalten hat.
  5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem eine erneute Abschaltaufforderung von dem ersten Rechner an den mindestens einen weiteren Rechner übermittelt wird, nachdem einer der weiteren Rechner eine Verzögerung des Abschaltens signalisiert hat (114).
  6. Verfahren nach einem der vorhergehenden Ansprüche, – bei dem der erste Rechner (101) infolge eines ersten Wiederanlauf-Kommandos (118) eine Wiederanlaufaktion (119) durchführt, – bei dem der erste Rechner (101) dem mindestens einen weiteren Rechner (102, 103) ein zweites Wiederanlauf-Kommando (120, 122) übermittelt, – bei dem der mindestens eine weitere Rechner (102, 103) infolge des zweiten Wiederanlauf-Kommandos (120, 122) die Wiederanlaufaktion (121, 123) durchführt.
  7. Verfahren nach Anspruch 6, bei dem die Wiederanlaufaktion (119, 121, 123) umfasst: – ein Lesen der auf dem nichtflüchtigen Speicher gespeicherten Daten in den flüchtigen Speicher.
  8. Verfahren nach Anspruch 7, – bei dem bei Einleiten des Ruhemodus die Daten verschlüsselt und/oder signiert auf dem nichtflüchtigen Speicher gespeichert werden und – bei dem beim Durchführen der Wiederanlaufaktion die auf dem nichtflüchtigen Speicher gespeicherten Daten validiert und/oder authentifiziert werden.
  9. Verfahren nach einem der Ansprüche 6 bis 8, bei dem das zweite Wiederanlauf-Kommando einen Zeitpunkt (ty) umfasst, ab dem der erste Rechner und der mindestens eine weitere Rechner einen synchronisierten Betrieb fortsetzen.
  10. Verfahren nach einem der Ansprüche 6 bis 9, bei dem im Anschluss an die Wiederanlaufaktion des ersten Rechners und des mindestens einen weiteren Rechners eine erste zeitliche Synchronisation (124) durchgeführt wird.
  11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem vor dem Bereitstellen der Abschaltaufforderung zwischen dem ersten Rechner und der mindestens eine weiteren Rechner eine zweite zeitliche Synchronisation (110) durchgeführt wurde.
  12. Verfahren nach einem der Ansprüche 10 oder 11, bei dem die erste zeitliche Synchronisation und/oder die zweite zeitliche Synchronisation eine Synchronisation der Systemzeit umfasst.
  13. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der jeweilige Rechner ein Fahrzeugrechner eines Schienenfahrzeugs ist.
  14. Rechner (101) zur Steuerung mindestens eines weiteren Rechners (102, 103), der derart eingerichtet ist, dass – dem mindestens einen weiteren Rechner eine Abschaltaufforderung bereitstellbar ist, – der Rechner und der mindestens eine weitere Rechner jeweils einen Ruhemodus einleiten, indem – ein Sichern von in einem flüchtigen Speicher gespeicherten Daten in einen nichtflüchtigen Speicher erfolgt und – ein Abschalten des jeweiligen Rechners erfolgt.
  15. Rechner nach Anspruch 14, der derart eingerichtet ist, dass – der Rechner infolge eines ersten Wiederanlauf-Kommandos eine Wiederanlaufaktion durchführt, – der Rechner dem mindestens einen weiteren Rechner ein zweites Wiederanlauf-Kommando übermittelt, so dass der mindestens eine weitere Rechner infolge des zweiten Wiederanlauf-Kommandos die Wiederanlaufaktion durchführt.
  16. Schienenfahrzeug umfassend einen ersten Rechner (101) und mindestens einen weiteren Rechner (102, 103), – wobei der erste Rechner dem mindestens einen weiteren Rechner eine Abschaltaufforderung bereitstellt, – wobei infolge der Abschaltaufforderung der mindestens eine weitere Rechner einen Ruhemodus einleitet, – wobei der Ruhemodus eingeleitet wird, indem – ein Sichern von in einem flüchtigen Speicher gespeicherten Daten in einen nichtflüchtigen Speicher erfolgt und – ein Abschalten des jeweiligen Rechners erfolgt.
  17. Schienenfahrzeug nach Anspruch 16, bei dem der erste Rechner und der mindestens eine weitere Rechner jeweils den Ruhemodus einleiten.
  18. Schienenfahrzeug nach einem der Ansprüche 16 oder 17, – bei dem der erste Rechner infolge eines ersten Wiederanlauf-Kommandos eine Wiederanlaufaktion durchführt, – bei dem der erste Rechner dem mindestens einen weiteren Rechner ein zweites Wiederanlauf-Kommando übermittelt, – bei dem der mindestens eine weitere Rechner infolge des zweiten Wiederanlauf-Kommandos die Wiederanlaufaktion durchführt.
DE102014215075.2A 2014-07-31 2014-07-31 Steuerung mindestens eines Rechners eines Schienenfahrzeugs Ceased DE102014215075A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102014215075.2A DE102014215075A1 (de) 2014-07-31 2014-07-31 Steuerung mindestens eines Rechners eines Schienenfahrzeugs
PCT/EP2015/066251 WO2016016006A1 (de) 2014-07-31 2015-07-16 Steuerung mindestens eines rechners eines schienenfahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014215075.2A DE102014215075A1 (de) 2014-07-31 2014-07-31 Steuerung mindestens eines Rechners eines Schienenfahrzeugs

Publications (1)

Publication Number Publication Date
DE102014215075A1 true DE102014215075A1 (de) 2016-02-04

Family

ID=53610896

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014215075.2A Ceased DE102014215075A1 (de) 2014-07-31 2014-07-31 Steuerung mindestens eines Rechners eines Schienenfahrzeugs

Country Status (2)

Country Link
DE (1) DE102014215075A1 (de)
WO (1) WO2016016006A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69625405T2 (de) * 1995-03-31 2003-08-14 Sun Microsystems Inc Aktive Leistungssteuerung in einem Computersystem
WO2013069103A1 (ja) * 2011-11-09 2013-05-16 トヨタ自動車 株式会社 電子制御装置及びマイクロコンピュータの制御方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010052486B4 (de) * 2010-11-26 2015-08-27 Bombardier Transportation Gmbh Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung
DE102012216382A1 (de) * 2012-09-14 2014-03-20 Siemens Aktiengesellschaft Energiesparmodus für Signalsystem eines Bahnsystems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69625405T2 (de) * 1995-03-31 2003-08-14 Sun Microsystems Inc Aktive Leistungssteuerung in einem Computersystem
WO2013069103A1 (ja) * 2011-11-09 2013-05-16 トヨタ自動車 株式会社 電子制御装置及びマイクロコンピュータの制御方法
DE112011105828T5 (de) * 2011-11-09 2014-08-14 Toyota Jidosha Kabushiki Kaisha Elektronische Steuerungsvorrichtung und Mikrocomputersteuerungsverfahren

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
http://de.wikipedia.org/wiki/Ruhezustand

Also Published As

Publication number Publication date
WO2016016006A1 (de) 2016-02-04

Similar Documents

Publication Publication Date Title
DE102012014724B3 (de) Vorrichtung, Verfahren und Computerprogramm zum Betreiben eines Datenbussystems eines Kraftfahrzeugs
DE19832060C2 (de) Doppelbare Prozessoreinrichtung
DE112017004415T5 (de) Bordeigenes Aktualisierungssystem, bordeigene Aktualisierungsvorrichtung und Kommunikationsvorrichtungs-Aktualisierungsverfahren
EP3929740A1 (de) Verfahren zur orchestrierung einer container-basierten anwendung auf einem endgerät
WO2015150070A1 (de) Ersatz-ressource für einen defekten rechnerkanal eines schienenfahrzeugs
DE112021005437T5 (de) Aktualisierung und überwachung eines entfernt angeordneten systems
DE102014215075A1 (de) Steuerung mindestens eines Rechners eines Schienenfahrzeugs
DE102013108943B4 (de) Statische Blockanzeige aus einem zu einer Datenverarbeitungseinrichtung gehörenden Speicher während geringer Aktivität derselben
DE112014005090B4 (de) System und Verfahren zum Einstellen von Auslösepunkten für eine Netzausfallüberprüfung innerhalb eines Speichergeräts
DE112019007853T5 (de) Steuereinrichtung
DE102012216382A1 (de) Energiesparmodus für Signalsystem eines Bahnsystems
DE102018222086A1 (de) Steueranordnung für ein Fahrzeug, Fahrzeug und Verfahren zum Konfigurieren eines fahrzeuginternen Systems
DE102010040785A1 (de) Datenübertragungsverfahren und Vorrichtung
DE102007041847A1 (de) Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln
DE102010030160B4 (de) Verfahren und Steuergerät zur Verarbeitung von Daten in einem Netzwerk eines Fahrzeugs
EP3983887B1 (de) Verfahren zum betreiben von virtuellen maschinen auf einem rechnersystem für ein kraftfahrzeug sowie ein derartiges rechnersystem
DE102018129354A1 (de) Verfahren zum Bearbeiten von Anwendungsprogrammen auf einem verteilten Automatisierungssystem
DE102019118964B4 (de) Zyklische Fehlerstrom-Überprüfung eines Ladepunktes oder einer Ladestation
DE102018204188A1 (de) Verfahren zum Durchführen eines Updates einer Softwareapplikation in einem Gerät, das sich im Betrieb befindet, sowie Gerät und Kraftfahrzeug
DE102014213826B4 (de) Verfahren zum Synchronisieren von Zustandswechseln in Mehrkernrechnern eingebetteter Systeme
DE102012217312B4 (de) Verfahren und System zur Aktualisierung von Code in Verarbeitungssystemen
DE102021130154B4 (de) Verfahren zum Einleiten eines Standby-Modus in einem Steuergerät eines Kraftfahrzeugs, entsprechend betreibbares Steuergerät und Kraftfahrzeug
EP3608854B1 (de) System und verfahren für computergestützte, digitale prüfungen
EP4198712A1 (de) Vakuumsystem und verfahren zum betreiben eines solchen
DE102021102574A1 (de) Steuerungssystem und Servervorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final