VERFAHREN UND VORRICHTUNG FÜR EIN SIGNALTECHNISCH SICHERES SYSTEM Die Erfindung betrifft ein Verfahren zum Steigern einer Rechenleistung eines signaltechnisch sicheren Systems sowie ein entsprechendes signaltechnisch sicheres System.

Der Begriff „signaltechnisch sicher" soll im Zusammenhang mit der vorliegenden Erfindung in Übereinstimmung mit den einschlägigen Industriestandards, wie z.B. IEC 61508, verstanden werden. „Signaltechnisch sicher" bedeutet grundsätzlich, dass die Wahrscheinlichkeit für das Eintreffen einer definierten Gefährdung unterhalb eines vorgegebenen Schwellenwertes liegt. Signaltechnische Sicherheit wird in der Regel dadurch hergestellt, dass Berechnungen redundant durchgeführt werden. Redundanz kann auf Ebene der Hardware oder auf Ebene der Software vorliegen. Es ist weiterhin möglich, Redundanz auf Ebene der Hardware und der Software vorzusehen.

In den entsprechenden Standards, beispielsweise der Interna ^¬ tionalen Elektronischen Kommission (IEC, „International

Electrotechnical Commission") , sind verschiedene Sicherheits- anforderungsstufen oder Sicherheitsintegrationslevel („SIL") vorgegeben, z.B. SIL1, SIL2, SIL3 und SIL4, welche jeweils steigende Sicherheitsanforderungen bezeichnen.

In der modernen Computertechnik wurde bislang die Rechenleistung oder Performance eines Computersystems durch gesteigerte Taktraten verbessert. Dies stößt allerdings an physikalische Grenzen, da die Verlustleistung in der Regel quadratisch zur Taktrate steigt, und die so erzeugte Wärme nicht mehr ausrei ^¬ chend abgeführt werden kann. Als Alternative wurden Prozessoren mit mehreren CPU-Kernen entwickelt, die parallel arbeiten. Dies kann für den herkömmlichen Gebrauch zielführend sein, nicht aber, wenn eine signaltechnisch sichere Berechnung sichergestellt werden muss. Denn Multicore-Prozessoren vereinen die CPU-Kerne auf einem Chip mit gemeinsam zugreifbarem Speicher und sind deshalb nicht ohne weitere Maßnahmen für signaltechnisch sichere Berechnungen geeignet.

Signaltechnisch sichere Rechner, z.B. in der Bahntechnik, im Flugzeugbau, oder in der Kraftwerkstechnik, bestehen aus zwei oder mehr einzelnen voneinander unabhängigen Computern, die sich gegenseitig überwachen.

Bekannt ist es, auf einzelnen Kernen eines Multicore- Prozessors unterschiedliche Anteile (Tasks) eines Programmpa ^¬ ketes, welches SIL4-Sicherheitsanforderungen genügen soll, jeweils in virtuellen Maschinen ablaufen zu lassen. Auf diese Weise können handelsübliche (eventuell gehärtete) Personal Computer, d.h. in Serienfertigung hergestellte Komponenten (so genannte COTS-Komponenten, „commercial off-the-shelf" ) , verwendet werden. Es ergibt sich dabei der Nachteil, dass ein beträchtlicher Anteil der Rechenleistung eines solchen Sys- tems wieder durch die Emulation eingebüßt wird. Weiterhin ist es nicht möglich, eine signaltechnisch sichere physikalische Ein- oder Ausgabe bereitzustellen. Dazu ist nach wie vor ein externer signaltechnisch sicherer Ein- und Ausgaberechner erforderlich .

Die Aufgabe besteht darin, ein signaltechnisch sicheres Sys ^¬ tem mit gesteigerter Rechenleistung bereitzustellen.

Erfindungsgemäß wird ein signaltechnisch sicheres System be- reitgestellt, welches eine erste signaltechnisch sichere Re ^¬ cheneinheit und zumindest eine mit der ersten signaltechnisch sicheren Recheneinheit gekoppelte zweite signaltechnisch si ^¬ chere Recheneinheit umfasst. Die erste signaltechnisch siche ^¬ re Recheneinheit sowie die zumindest eine zweite signaltech- nisch sichere Recheneinheit umfassen dabei jeweils signal ^¬ technisch sichere Ein- und Ausgabeeinheiten. Beispiele signaltechnisch sicherer Ein- und Ausgabeeinheiten, z.B. in der Bahntechnik, sind eine sichere Relaisausgabe, ein Baiisenempfänger, oder verschiedene Zugbusse.

Das erfindungsgemäße Verfahren zum Steigern einer Rechenleis- tung eines signaltechnisch sicheren Systems umfasst grundsätzlich folgende Schritte:

Bereitstellen einer ersten signaltechnisch sicheren Recheneinheit, welche signaltechnisch sichere Ein- und Ausgabeeinheiten umfasst, und Koppeln der ersten signaltechnisch siche- ren Recheneinheit mit zumindest einer zweiten signaltechnisch sicheren Recheneinheit, welche ebenfalls signaltechnisch si ^¬ chere Ein- und Ausgabeeinheiten umfasst, zu einem signaltechnisch sicheren System. Die grundsätzliche Idee der Erfindung besteht also darin, analog zu einem Multicore-Rechner einzelne signaltechnisch sichere Recheneinheiten als signaltechnisch sichere Komponenten diskret zu einem signaltechnisch sicheren System zu verschalten, wobei die jeweilige signaltechnisch sichere Ein- und Ausgabehardware der jeweiligen Recheneinheiten direkt verwendet werden kann.

Die Erfindung bietet eine Reihe von Vorteilen: Die für das signaltechnisch sichere System erforderlichen signaltechnisch sicheren Ein- und Ausgabekapazitäten bringen die zum Aufbau dieses Systems verwendeten signaltechnischen Recheneinheiten intrinsisch mit. Es ist daher nicht mehr erforderlich, einen separaten signaltechnisch sicheren Ein- und Ausgaberechner hinzuzufügen.

Signaltechnisch sichere Recheneinheiten, wie die erfindungsgemäß verwendete erste und zweite Recheneinheit, sind aus dem Stand der Technik an sich bekannt. Diese werden dort aber einzeln verwendet, und sind speziell für das untere Preisseg ^¬ ment entwickelt worden. Verwendet man nun einen Verbund sol ^¬ cher signaltechnisch sicheren Recheneinheiten mit signaltechnisch sicheren Ein- und Ausgabeeinheiten, lassen sich die Aufgaben zu verwaltender sicherungstechnischer Prozesse auf diese mehreren Recheneinheiten aufteilen. Anwendungsspezifisch erforderliche sichere Ein- und Ausgabeeinheiten (z.B. Sensorik / Aktorik) lassen sich dann an dem System partiell gezielt dort montieren, wo sie benötigt werden.

Allein über die Anzahl solcher signaltechnisch sicheren Recheneinheiten lässt sich die Rechenleistung des daraus gebildeten signaltechnisch sicheren Systems genau skalieren. Die signaltechnisch sicheren Recheneinheiten können Kleinrechner sein, die in etwa die Rechenleistung eines derzeit handelsüb ^¬ lichen Smartphones besitzen.

Somit lassen sich sicherheitskritische Anwendungen auf einfa- che Weise dezentralisiert und ohne einen Performanceverlust, der herkömmlich durch Emulation oder die Verwendung virtueller Maschinen entsteht, auf verschiedene der signaltechnisch sicheren Recheneinheiten des Systems verteilen. Gemäß einer bevorzugten Ausführungsform erfüllen die erste signaltechnisch sichere Recheneinheit und die zumindest eine zweite signaltechnisch sichere Recheneinheit jeweils eine vorgegebene Sicherheitsanforderungsstufe, beispielsweise eine Sicherheitsanforderungsstufe gemäß der Norm 61508 der Inter- nationalen Elektrotechnischen Kommission, besonders bevorzugt die Sicherheitsanforderungsstufe SIL-4.

Vorzugsweise erfüllt auch das erfindungsgemäße signaltech ^¬ nisch sichere System eine vorgegebene Sicherheitsanforde- rungsstufe, beispielsweise eine Sicherheitsanforderungsstufe gemäß der Norm 61508 der Internationalen Elektrotechnischen Kommission, besonders bevorzugt die Sicherheitsanforderungs- stufe SIL-4. Auf diese Weise kann sichergestellt werden, dass die mittels des signaltechnisch sicheren Systems durchgeführten Berechnungen erforderlichen Sicherheitsstandards entsprechen. Gemäß einer weiteren bevorzugten Ausführungsform sind die erste signaltechnisch sichere Recheneinheit und die zumindest eine zweite signaltechnisch sichere Recheneinheit standardi ^¬ siert ausgebildet. Damit kann sichergestellt werden, dass das Koppeln der einzelnen signaltechnisch sicheren Recheneinheiten zu dem signaltechnisch sicheren System problemlos und ohne Anpassungsaufwand erfolgen kann.

Vorzugsweise werden die erste signaltechnisch sichere Rechen- einheit und die zumindest eine zweite signaltechnisch sichere Recheneinheit derart gekoppelt, dass sie ein local area net- work (LAN) bilden. Eine Kopplung kann beispielsweise über I ² C, Ethernet oder SPI erfolgen. Alternative Arten des Kop ^¬ peins, beispielsweise eine parallele Kopplung oder auch pro- prietäre Lösungen, sind möglich.

Es versteht sich, dass in dem Fall, dass mehr als eine zweite signaltechnisch sichere Recheneinheit mit der signaltechnisch sicheren ersten Recheneinheit gekoppelt wird, auch einzelne der zweiten signaltechnisch sicheren Recheneinheiten untereinander gekoppelt werden können. Art und Weise eines daraus entstehenden Netzwerks oder Verbunds von signaltechnisch sicheren Recheneinheiten kann jeweils an die spezifische Anwendung angepasst werden.

Sichere Eingabeeinheiten oder sichere Ausgabeeinheiten der ersten signaltechnisch sicheren Recheneinheit oder der zumindest einen zweiten signaltechnisch sicheren Recheneinheit können ebenfalls anwendungsspezifisch an dem signaltechnisch sicheren System angeordnet werden. Auf diese Weise ist das signaltechnisch sichere System optimal und mit minimalem Aufwand an die jeweilige Verwendung anpassbar. Der Begriff „oder" kann dabei auch als inklusives „oder" verstanden werden .

Eine signaltechnisch sichere Eingabeeinheit einer der signal ^¬ technisch sicheren Recheneinheiten kann beispielsweise als Sensor ausgebildet sein. In analoger Weise kann eine signal- technisch sichere Ausgabeeinheit einer der signaltechnisch sicheren Recheneinheiten als Aktor ausgebildet sein.

Wie bereits erwähnt, kann die Rechenleistung des signaltech- nisch sicheren Systems über die Anzahl der mit der ersten signaltechnisch sicheren Recheneinheit gekoppelten zweiten signaltechnisch sicheren Recheneinheiten skaliert werden. Es wird dadurch möglich, durch einfaches An- oder Abkoppeln einzelner der zweiten signaltechnisch sicheren Recheneinheiten die Kapazität des signaltechnisch sicheren Systems anzupas ^¬ sen .

Wie ebenfalls bereits erwähnt, können Anteile einer auf dem signaltechnisch sicheren System auszuführenden sicheren Anwendung, wie z.B. einzelne so genannte „tasks", auf die erste signaltechnisch sichere Recheneinheit und die zumindest eine zweite signaltechnisch sichere Recheneinheit verteilt werden. Verluste durch Virtualisierung oder Emulation entstehen dabei nicht .

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Es zeigen: ein signaltechnisch sicheres System nach dem Stand der Technik; eine bevorzugte Ausführungsform eines erfindungsge mäßen signaltechnisch sicheren Systems; und

Figur 3 Schritte einer bevorzugten Ausführungsform eines erfindungsgemäßen Verfahrens zum Steigern der Rechenleistung eines signaltechnisch sicheren Systems . In der Figur 1 ist ein signaltechnisch sicheres System 50 nach dem Stand der Technik gezeigt.

Das System 50 umfasst einen herkömmlichen Personal Computer 20 mit mehreren Prozessorkernen. Auf den Prozessorkernen laufen diversitäre Emulatoren 30, 31. Verschiedene Anteile

(„tasks") A und B, 40, 41, einer zu berechnenden Anwendung werden mittels der Emulatoren 30, 31 in redundanter Weise berechnet. Zur signaltechnisch sicheren Ein- und Ausgabe um- fasst das System 50 einen über eine Kopplung 11 mit dem Personal Computer 20 gekoppelten signaltechnisch sicheren Ein- und Ausgaberechner 15 mit signaltechnisch sicheren Ein- und Ausgabeeinheiten 12, 13. In Figur 2 ist eine bevorzugte Ausführungsform eines signal ^¬ technisch sicheren Systems 60 gemäß der vorliegenden Erfindung gezeigt.

Das erfindungsgemäße System 60 umfasst eine erste signaltech- nisch sichere Recheneinheit 10, welche signaltechnisch siche ^¬ re Ein- und Ausgabeeinheiten 12, 13 umfasst, und zumindest eine mit der ersten signaltechnisch sicheren Recheneinheit 10 über eine Kopplung 11, 111 gekoppelte zweite signaltechnisch sichere Recheneinheit 110, welche ebenfalls signaltechnisch sichere Ein- und Ausgabeeinheiten 112, 113 umfasst.

Wie in Fig. 2 angedeutet, kann das signaltechnisch sichere System 60 eine Mehrzahl zweiter signaltechnisch sicherer Recheneinheiten 110, 210, 310 umfassen, die jeweils mit der ersten signaltechnisch sicheren Recheneinheit 10 direkt oder indirekt gekoppelt sind, beispielsweise in einem so genannten „local area network" (LAN) . Auch einzelne der zweiten signaltechnisch sicheren Recheneinheiten 110, 210, 310 können direkt miteinander gekoppelt sein (nicht gezeigt) .

In dem gezeigten Beispiel entsprechen die signaltechnisch sicheren Recheneinheiten 10, 110, 210, 310 der Sicherheitsan- forderungsstufe SIL-4 nach IEC61508. Einzelne Anteile A und B, 40, 41 einer redundant zu berech ^¬ nenden Anwendung können dabei auf verschiedene der signal ^¬ technisch sicheren Recheneinheiten 10, 110 verteilt werden.

Die signaltechnisch sicheren Recheneinheiten 10, 110, 210, 310 sind im gezeigten Beispiel standardisiert ausgebildet und können daher ohne technische Probleme ge- und entkoppelt wer ^¬ den, wodurch die Rechenleistung des signaltechnisch sicheren Systems 60 im Wesentlichen genau mit der Anzahl der signal ^¬ technisch sicheren Recheneinheiten 10, 110,210, 310 skaliert.

Signaltechnische Ein- und Ausgabeschnittstellen 12, 13, 112, 113 der signaltechnisch sicheren Recheneinheiten 10, 110, wie beispielsweise Sensoren oder Aktoren, können bedarfsweise in das System 60 integriert werden.

Figur 3 zeigt exemplarisch Schritte einer bevorzugten Ausführungsform eines Verfahrens zum Steigern der Rechenleistung eines signaltechnisch sicheren Systems.

In einem ersten Schritt Sl wird, quasi als Ausgangssystem, eine erste signaltechnisch sichere Recheneinheit 10 bereitge ^¬ stellt, welche signaltechnisch sichere Ein- und Ausgabeein- heiten 12, 13 umfasst.

In einem zweiten Schritt S2 wird die erste signaltechnisch sichere Recheneinheit 10 mit zumindest einer zweiten signal ^¬ technisch sicheren Recheneinheit 110 gekoppelt, welche eben- falls signaltechnisch sichere Ein- und Ausgabeeinheiten 112, 113 umfasst. In dieser Weise wird ein signaltechnisch siche ^¬ res System 60 gebildet, welches eine Rechenleistung bereit ^¬ stellt, die im Wesentlichen der Summe der Rechenleistungen der gekoppelten signaltechnischen Recheneinheiten 10, 110 entspricht.

Obwohl die Erfindung im Detail durch bevorzugte Ausführungs ^¬ beispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.