Steuerung mindestens eines Rechners eines Schienenfahrzeugs Die Erfindung betrifft ein Verfahren zur Steuerung mindestens eines Rechners eines Schienenfahrzeugs, einen entsprechenden Rechner sowie ein Schienenfahrzeug mit mindestens einem Rechner . In der Regel werden Fahrzeuggeräte bei Eisenbahnen abgeschaltet. Dadurch soll Energie gespart und die Lebendsauer der Geräte verlängert werden. Aufgrund der zunehmenden Komplexität von Hard- und Software dauert das Hochfahren der Geräte jedoch immer länger.

Beispielsweise bei Personal -Computern ist ein sogenannter Hibernate-Modus ( "Winterschlaf " -Modus) bekannt, bei dem der Computer in einen Ruhezustand überführt wird. Beim Ruhezustand wird der Rechner vom Nutzer in einen stromlosen Zustand versetzt, um später an gleicher Stelle weiterarbeiten zu können. Die technische Umsetzung erfolgt bei üblichen x86-PCs über einen ACPI-Zustand "S4" ("suspend to disk"). Wechselt der Rechner in diesen Zustand, wird der Inhalt des Arbeitsspeichers auf die Festplatte geschrieben, und alle Systemkom- ponenten werden ausgeschaltet. Beim Einschalten des Rechners wird das auf der Festplatte gespeicherte Abbild wieder in den Arbeitsspeicher (RAM) geladen. Außerdem müssen ggf. die internen Zustände von Peripheriegeräten wiederhergestellt werden (vergleiche z.B.

http://de.wikipedia.org/wiki/Ruhezustand) .

Ein solcher Ansatz ist jedoch für sicherheitsrelevante Systeme nicht ausreichend. Insbesondere ist der bekannte Ruhezustand für verteilte sicherheitsrelevante Systeme nicht geeig- net .

Die Aufgabe der Erfindung besteht darin, die vorstehend genannten Nachteile zu vermeiden und insbesondere eine Lösung zu schaffen, um einen ressourcenschonenden Ruhezustand für ein verteiltes sicherheitsrelevantes System umfassend mehrere Geräte zu erreichen. Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen sind insbesondere den abhängigen Ansprüchen entnehmbar .

Zur Lösung der Aufgabe wird ein Verfahren zur Steuerung min- destens eines Rechners eines Schienenfahrzeugs vorgeschlagen,

- bei dem ein erster Rechner mindestens einem weiteren Rechner eine Abschaltaufforderung bereitstellt,

- bei dem infolge der Abschaltaufforderung von dem mindestens einen weiteren Rechner ein Ruhemodus einge- leitet wird,

- wobei der Ruhemodus eingeleitet wird, indem

- ein Sichern von in einem flüchtigen Speicher gespeicherten Daten in einen nichtflüchtigen Speicher erfolgt und

- ein Abschalten des jeweiligen Rechners erfolgt.

Somit kann ausgehend von dem ersten Rechner insbesondere für den mindestens einen weiteren Rechner des Schienenfahrzeugs der Ruhemodus eingeleitet werden. Beispielsweise kann die Einleitung des Ruhemodus zeitlich koordiniert erfolgen. Auch ist es möglich, dass der erste Rechner selbst den Ruhemodus einnimmt .

Bei dem Ruhemodul kann es sich um einen Hibernate-Modus han- dein, der z.B. infolge eines Hibernate-Kommandos erreicht wird. In dem Ruhemodus wird beispielsweise von dem jeweiligen Rechner kaum oder keine elektrische Energie benötigt.

Beispielsweise handelt es sich bei dem ersten Rechner und dem mindestens einen weiteren Rechner um sicherheitsrelevante Systeme des Schienenfahrzeugs . Der erste Rechner kann auch als koordinierender oder Master-Rechner bezeichnet werden. Grundsätzlich kann es sich bei dem Rechner um eine Einheit aus Prozessor, Speicher und Ein-/Ausgabeeinheit handeln, wobei mehrere Rechner eines Schienenfahrzeugs über eine

Schnittstelle, z.B. eine Kommunikationsschnittstelle oder ein Netzwerk miteinander (zeitweise oder andauernd) verbunden sind. Die Rechner können über die Schnittstelle z.B. Nachrichten austauschen oder sich Informationen zukommen lassen. Auch kann als Schnittstelle ein gemeinsamer Speicherbereich ("Shared Memory") verwendet werden, über den Daten den anderen Rechnern bereitgestellt werden können. Grundsätzlich kann die Kommunikation zwischen Rechnern ein aktives Versenden mit anschließendem Empfangen von Nachrichten umfassen. Auch ist es möglich, dass ein sogenannter Abholmechanismus (z.B. in Form von Polling) vorgesehen ist, bei dem ein Rechner sich Daten, z.B. zu vorgegebenen Zeitpunkten oder infolge bestimm- ter Ereignisse (Trigger, Interrupts) z.B. aus dem gemeinsamen Speicher abholt.

Eine Weiterbildung ist es, dass der erste Rechner und der mindestens eine weitere Rechner jeweils den Ruhemodus einlei- ten.

Eine andere Weiterbildung ist es, dass die Abschaltaufforderung einen Zeitpunkt umfasst, ab dem der Ruhemodus eingeleitet wird.

Der Zeitpunkt kann ein absoluter oder relativer Zeitpunkt sein, d.h. z.B. eine Uhrzeit oder eine Wartezeit umfassen. Auch kann der Zeitpunkt eine zeitliche Bedingung bestimmen, z.B. ein Ausführen oder ein Beenden eines Vorgangs, eines Takts, etc.

Insbesondere ist es eine Weiterbildung, dass der erste Rechner die Abschaltaufforderung bereitstellt, nachdem er ein Ab- schaltkommando erhalten hat.

So ist es eine Option, dass der erste Rechner ein Kommando erhält, infolgedessen er die Abschaltaufforderung für den mindestens einen weiteren Rechner erzeugt und ggf. auch sich selbst in den Ruhemodus versetzt.

Auch ist es eine Weiterbildung, dass eine erneute Abschalt- aufforderung von dem ersten Rechner an den mindestens einen weiteren Rechner übermittelt wird, nachdem einer der weiteren Rechner eine Verzögerung des Abschaltens signalisiert hat.

Beispielsweise ist es möglich, dass der mindestens eine wei- tere Rechner anzeigt, dass er zu einem vorgegebenen Zeitpunkt den Ruhemodus nicht einnehmen kann (beispielsweise weil von dem Rechner noch ein anderer Vorgang, z.B. eine Sicherung, abgeschlossen werden muss) . In diesem Fall kann dem ersten Rechner angezeigt werden, dass der Zeitpunkt der Einleitung des Abschaltens ungünstig, z.B. zu früh, ist. Optional kann der mindestens eine weitere Rechner einen alternativen Zeitpunkt nennen. Der erste Rechner kann nun die Abschaltaufforderung unter Berücksichtigung des alternativen Zeitpunkts oder unter Berücksichtigung eines anderen Zeitpunkts an den mindestens einen Rechner übermitteln.

Ferner ist es eine Weiterbildung, dass

- der erste Rechner infolge eines ersten Wiederanlauf- Kommandos eine Wiederanlaufaktion durchführt, - der erste Rechner dem mindestens einen weiteren Rechner ein zweites Wiederanlauf-Kommando übermittelt,

- der mindestens eine weitere Rechner infolge des zweiten Wiederanlauf-Kommandos die Wiederanlaufaktion durchführt .

Das erste Wiederanlauf-Kommando kann z.B. von extern an den ersten Rechner übermittelt werden, woraufhin dieser sich einschaltet. Nachdem er gestartet wurde, "weckt" der erste Rechner den mindestens einen weiteren Rechner auf.

Im Rahmen einer zusätzlichen Weiterbildung umfasst die Wiederanlaufaktion ein Lesen der auf dem nichtflüchtigen Speicher gespeicherten Daten in den flüchtigen Speicher. Eine nächste Weiterbildung besteht darin, dass

- bei Einleiten des Ruhemodus die Daten verschlüsselt und/oder signiert auf dem nichtflüchtigen Speicher gespeichert werden und

- beim Durchführen der Wiederanlaufaktion die auf dem nichtflüchtigen Speicher gespeicherten Daten validiert und/oder authentifiziert werden. Die Daten können z.B. mit einem internen oder externen gespeicherten Schlüssel verschlüsselt bzw. entschlüsselt werden. Zur Ver- bzw. Entschlüsselung können symmetrische oder asymmetrische kryptografische Verfahren eingesetzt werden. Zur Authentifizierung kann z.B. eine Signatur (z.B. mittels einer kryptografischen Einwegfunktion, insbesondere unter Ausnutzung eines Schlüssels) der Daten oder eines Teils der Daten generiert werden; nach dem Zurückschreiben der Daten in den flüchtigen Speicher wird eine Signatur der zurückgeschriebenen Daten angefertigt und mit der zuvor abgespeicher- ten Signatur verglichen. Sind die Signaturen identisch, so können die Daten als authentifiziert angenommen werden.

Eine Ausgestaltung ist es, dass das zweite Wiederanlauf- Kommando einen Zeitpunkt umfasst, ab dem der erste Rechner und der mindestens eine weitere Rechner einen synchronisierten Betrieb fortsetzen.

Auch dieser Zeitpunkt kann ein absoluter oder relativer Zeit punkt sein und z.B. eine Uhrzeit oder eine Wartezeit umfassen. Auch kann der Zeitpunkt eine zeitliche Bedingung bestim men, z.B. ein Ausführen oder ein Beenden eines Vorgangs, eines Takts, etc.

Eine alternative Ausführungsform besteht darin, dass im An- schluss an die Wiederanlaufaktion des ersten Rechners und de mindestens einen weiteren Rechners eine erste zeitliche Synchronisation durchgeführt wird. Eine nächste Ausgestaltung ist es, dass vor dem Bereitstellen der Abschaltaufforderung zwischen dem ersten Rechner und dem mindestens einen weiteren Rechner eine zweite zeitliche Synchronisation durchgeführt wurde.

Auch ist es eine Ausgestaltung, dass die erste zeitliche Synchronisation und/oder die zweite zeitliche Synchronisation eine Synchronisation der Systemzeit umfasst. Die Systemzeit kann z.B. eine Uhrzeit eines der beteiligten Rechner sein. Auch kann die Systemzeit, z.B. über ein Netzwerk, von einem anderen Rechner vorgegeben werden.

Eine Weiterbildung besteht darin, dass der jeweilige Rechner ein Fahrzeugrechner eines Schienenfahrzeugs ist.

Weiterhin wird zur Lösung der obigen Aufgabe ein Rechner zur Steuerung mindestens eines weiteren Rechners vorgeschlagen, wobei der Rechner derart eingerichtet ist, dass

- dem mindestens einen weiteren Rechner eine Abschaltaufforderung bereitstellbar ist,

- der Rechner und der mindestens eine weitere Rechner jeweils einen Ruhemodus einleiten, indem

- ein Sichern von in einem flüchtigen Speicher ge- speicherten Daten in einen nichtflüchtigen Speicher erfolgt und

- ein Abschalten des jeweiligen Rechners erfolgt.

Eine Ausgestaltung ist es, dass der Rechner derart eingerich- tet ist, dass

- der Rechner infolge eines ersten Wiederanlauf- Kommandos eine Wiederanlaufaktion durchführt,

- der Rechner dem mindestens einen weiteren Rechner ein zweites Wiederanlauf-Kommando übermittelt, so dass der mindestens eine weitere Rechner infolge des zweiten Wiederanlauf-Kommandos die Wiederanlaufaktion durchführt . Auch wird die vorstehend genannte Aufgabe gelöst durch ein Schienenfahrzeug umfassend einen ersten Rechner und mindestens einen weiteren Rechner,

- wobei der erste Rechner dem mindestens einen weiteren Rechner eine Abschaltaufforderung bereitstellt,

- wobei infolge der Abschaltaufforderung der mindestens eine weitere Rechner einen Ruhemodus einleitet,

- wobei der Ruhemodus eingeleitet wird, indem

- ein Sichern von in einem flüchtigen Speicher ge- speicherten Daten in einen nichtflüchtigen Speicher erfolgt und

- ein Abschalten des jeweiligen Rechners erfolgt.

Eine Ausgestaltung ist es, dass der erste Rechner und der mindestens eine weitere Rechner jeweils den Ruhemodus einleiten .

Auch ist es eine Möglichkeit, dass

- der erste Rechner infolge eines ersten Wiederanlauf- Kommandos eine Wiederanlaufaktion durchführt,

- der erste Rechner dem mindestens einen weiteren Rechner ein zweites Wiederanlauf-Kommando übermittelt,

- der mindestens eine weitere Rechner infolge des zweiten Wiederanlauf-Kommandos die Wiederanlaufaktion durchführt.

Die Ausführungen betreffend das Verfahren gelten für die anderen Anspruchskategorien entsprechend. Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden schematischen Beschreibung von Ausführungsbeispielen, die im Zusammenhang mit der Zeichnung nä- her erläutert werden. Dabei können zur Übersichtlichkeit gleiche oder gleichwirkende Elemente mit gleichen Bezugszeichen versehen sein. Es zeigt:

Fig.l ein beispielhaftes Ablaufdiagramm mit Schritten eines koordinierten Abschaltens mehrerer Rechner sowie mit Schritten eines koordinierten Wiederanlaufens der mehreren Rechner.

Nachfolgend wird beispielhaft von einem Schienenfahrzeug ausgegangen, wobei das Schienenfahrzeug (auch bezeichnet als "Zug") mindestens einen, insbesondere mindestens zwei Wagen aufweist, wobei der Wagen ein Triebfahrzeug, ein Reisewagen, ein Güterwagen oder eine Kombination aus derartigen Abteilen oder Funktionen sein kann. Das Triebfahrzeug weist eine Führerkabine (auch bezeichnet als Bedienplatz) auf und kann mit oder ohne Antrieb ausgeführt sein. Das Triebfahrzeug kann insbesondere eine Lokomotive sein.

Jeder Wagen des Schienenfahrzeugs kann mit einem Fahrzeugrechner ausgestattet sein; stellt der Fahrzeugrechner (ggf. mit der mobilen Kommunikationsschnittstelle) eine ETCS-

Funktion bereit, kann dieser ggf. auch als ETCS-Wagen bezeichnet werden. Grundsätzlich ist es möglich, dass nur die Triebfahrzeuge je einen Fahrzeugrechner (ggf. mit der mobilen Kommunikationsschnittstelle) bzw. dass auch einzelne Wagen, die keine Triebfahrzeuge sind, derartige Fahrzeugrechner

(ggf. mit der mobilen Kommunikationsschnittstelle) aufweisen.

Ferner können Fahrzeugrechner vorhanden sein, die unterschiedliche Funktionen bereitstellen. Ein Fahrzeugrechner kann eine Hardware, ein Betriebssystem und zusätzliche Software aufweisen, wobei beim Hochfahren des Fahrzeugrechners, das Betriebssystem sowie die zusätzliche Software geladen und ggf. initialisiert werden. Auf dem Fahrzeugrechner kann ein bekanntes Betriebssystem genutzt werden, das die Aktivierung eines Ruhezustands ermöglicht. In dem Ruhezustand wird beispielsweise von dem Fahrzeugrechner kein Strom oder nur ein sehr geringer Ruhestrom benötigt. Die mehreren Fahrzeugrechner eines Schienenfahrzeugs stellen ein verteiltes System aus Fahrzeugrechnern dar. Die Fahrzeugrechner des Schienenfahrzeugs sind zumindest teilweise sicherheitsrelevant bzw. unterliegen diese sicherheitsrele- vanten Anforderungen. Insbesondere sollen ungültige oder mehrdeutige Zustände zwischen den Fahrzeugrechnern vermieden werden .

Somit soll ein Ruhezustand der Fahrzeugrechner des Schienen- fahrzeugs derart herbeigeführt werden, dass sichergestellt ist, dass beim Hochfahren die Fahrzeugrechner einen koordinierten Zustand haben. Insbesondere kann vorteilhaft sichergestellt werden, dass der Zustand valide und authentisch ist. Beispielsweise kann eine gemeinsame Zeitbasis für die Fahrzeugrechner des Schienenfahrzeugs geschaffen werden. Dies kann durch Synchronisation der auf den Fahrzeugrechnern implementierten Uhren auf eine gemeinsame Systemzeit oder eine gemeinsame zentrale Zeitbasis erfolgen.

Ferner kann einer der Fahrzeugrechner als ein Hauptrechner (Master) agieren. Wenn der Hauptrechner abgeschaltet werden soll, sendet dieser an die weiteren abzuschaltenden Fahrzeugrechner (auch bezeichnet als "Clients") ein Abschaltkommando . Bei dem Abschaltkommando handelt es sich beispielsweise um ein Kommando zum Einleiten des Ruhemodus, insbesondere um ein sogenanntes Hibernate-Kommando, infolgedessen insbesondere ein Abbild der Daten des flüchtigen Speichers auf einen nichtflüchtigen Speicher geschrieben und anschließend der Fahrzeugrechner ausgeschaltet wird. In dem Abschaltkommando kann ein Zeitpunkt oder ein Prozess-Schritt enthalten sein, ab dem das Abbild der Daten angelegt und gespeichert wird.

Optional kann das Abbild mit einem in dem Betriebssystem des jeweiligen Fahrzeugrechners hinterlegten Schlüssel signiert und/oder verschlüsselt werden. Damit kann beim Hochfahren und Laden des Abbilds geprüft werden, ob das Abbild von dem jeweiligen Fahrzeugrechner stammt und ob es modifiziert wurde. Bei einem Hochfahren prüft der Hauptrechner, ob für ihn ein Abbild vorliegt. Ist dies der Fall, so sendet er an die anderen hochzufahrenden Fahrzeugrechner ein Wiederanlauf- Kommando. Infolge des Wiederanlauf-Kommandos wird vorzugsweise zunächst eine gemeinsame Zeitbasis etabliert, indem z.B. die Uhren der Fahrzeugrechner basierend auf einer gemeinsamen Zeitbasis synchronisiert werden. Anschließend werden die jeweiligen gespeicherten Abbilder geprüft und zu einem in dem Wiederanlauf-Kommando festgelegten Zeitpunkt wird die Funktion der Fahrzeugrechner insbesondere synchronisiert fortgesetzt .

Fig.l zeigt ein beispielhaftes Ablaufdiagramm mit Schritten eines koordinierten Abschaltens mehrerer Rechner sowie mit Schritten eines koordinierten Wiederanlaufens der mehreren Rechner .

Beispielhaft sind in Fig.l dargestellt ein Masterrechner 101 und zwei Clients 102 und 103. In einem Schritt 110 sind oder werden die Uhren der einzelnen Rechner 101 bis 103 synchronisiert. Dies kann z.B. erfolgen, indem die Uhren aller Rechner 101 bis 103 mit einer zentralen Uhr (nicht in Fig.l dargestellt) abgeglichen werden oder die Uhren der Clients 102 und 103 können mit der Uhr des Masterrechners 101 abgeglichen werden. Im Anschluss an den Schritt 110 laufen die Uhren der Rechner 101 bis 103 (im Wesentlichen) synchron.

Der Masterrechner 101 erhält eine Aufforderung 111, den Ruhe- modus einzuleiten. Infolge der Aufforderung 111 schickt der Masterrechner 101

- eine Abschaltaufforderung 112 an den Client 102 und

- eine Abschaltaufforderung 113 an den Client 103, wobei jede der Abschaltaufforderungen 112 und 113 einen Ab- schaltzeitpunkt tx umfasst. Beispielsweise kann es sich bei dem Abschaltzeitpunkt tx um einen Zeitpunkt in der Zukunft handeln, der den Clients 102 und 103 erfahrungsgemäß ausreichend Zeit lässt, momentan anstehende oder bereits begonnene Aufgaben zu Ende zu bringen bzw. in einen definierten Zustand überzuführen .

Optional kann ein Client (hier beispielhaft gezeigt für den Client 103) dem Masterrechner 101 eine Nachricht 114 übermitteln, in der er die Verschiebung des Abschaltzeitpunkts (z.B. um eine vorgegebene Zeitdauer) vorschlägt. Der Masterrechner 101 kann infolge der Nachricht 114 neue Abschaltaufforderungen versenden, die einen anderen, späteren Abschaltzeitpunkt enthalten. Sollte die Nachricht 114 einen Vorschlag für eine zeitliche Verschiebung enthalten, kann dieser Vorschlag von dem Masterrechner 101 in den neuen Abschaltaufforderungen berücksichtigt werden. Mit Erreichen des Abschaltzeitpunkts tx, leitet der Masterrechner 101 gemäß einem Schritt 116, der Client 102 gemäß einem Schritt 115 und der Client 103 gemäß einem Schritt 117 jeweils den Ruhezustand ein. Die Schritte 115 bis 117 können umfassen, dass jeweils ein Abbild der Daten des flüchtigen Speichers auf einen nichtflüchtigen Speicher geschrieben und anschließend der jeweilige Rechner ausgeschaltet wird. Optional kann das Abbild mit einem Schlüssel verschlüsselt und/oder signiert werden.

Nach einiger Zeit erhält der Masterrechner 101 ein Wiederanlauf-Kommando 118 (Wake-Up-Kommando) , woraufhin er das Abbild der Daten aus dem nichtflüchtigen Speicher liest (optional auf Korrektheit und/oder Authentizität prüft) und in den flüchtigen Speicher zurückschreibt (vergleiche Schritt 119) .

Sollte der (optionale) Schritt der Überprüfung des Abbilds ergeben, dass dieses fehlerhaft ist oder dass dessen Authentizität nicht gegeben ist, kann eine Fehlermeldung ausgegeben werden und die weitere Bearbeitung unterbrochen bzw. angehalten werden.

Ansonsten kann der Masterrechner 101 - an den Client 102 ein Wiederanlauf-Kommando 120 und

- an den Client 103 ein Wiederanlauf-Kommando 122 übermitteln, wobei jedes der Wiederanlauf-Kommandos 120, 122 einen Zeitpunkt ty enthält, ab dem die Clients 102 und 103 ihre Arbeit fortsetzen sollen.

Infolge des Wiederanlauf-Kommandos 120 führt der Client 102 einen Wiederanlauf 121 und der Client 103 einen Wiederanlauf 123 durch (jeweils optional mit Korrektheits- und Authentizitätsprüfung) . Nach erfolgreichen Wiederanläufen 119, 121 und 123 werden in einem Schritt 124 die Uhren der Rechner 101 bis 103 synchronisiert (vergleiche hierzu auch die Ausführungen zu Schritt 110) und mit Erreichen des Zeitpunkts ty setzen der Masterrechner 101 und die Clients 102 und 103 ihre Arbeit in dem sicherheitsrelevanten Umfeld fort.

Hierbei besteht ein Vorteil insbesondere darin, dass der Hibernate-Prozess für mehrere Fahrzeugrechner eines Schienenfahrzeugs koordiniert wird, so dass er für sicherheitsrelevante Systeme einsetzbar ist. Somit verkürzen sich die Wiederanlaufzeiten, da Einschaltprüfungen unterbleiben können.

Obwohl die Erfindung im Detail durch das mindestens eine gezeigte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht darauf eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.