專利名稱:用于監(jiān)視涉及安全的系統(tǒng)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于監(jiān)視至少一個過程的方法和系統(tǒng),該至少一個過程綁定到涉及安 全的系統(tǒng)中、尤其是在電的、電子的或可編程的電子(E/E/PE)系統(tǒng)中。
背景技術(shù):
裝置或設(shè)備通常是對人來說的一種危險。在此,該危險通常取決于相應裝置或設(shè) 備的作用原理。一般來說,裝置或設(shè)備由電的或電子的系統(tǒng)控制。這樣的(涉及安全的) 系統(tǒng)最終負責將人置于危險之外。因此對這些涉及安全的系統(tǒng)提出高的安全要求,這些安 全要求例如由針對所涉及的人而存在的風險來給出。從而例如通常提出預定的標準、規(guī)則 和/或準則,相應的涉及安全的系統(tǒng)必須滿足這些標準、規(guī)則和/或準則。這樣的標準的示 例可以是EN50128。該標準是用于涉及安全的鐵路軟件的歐洲標準,并且涉及與電信技術(shù)、 信號技術(shù)有關(guān)的軌道應用以及用于鐵路控制和監(jiān)視系統(tǒng)的數(shù)據(jù)處理系統(tǒng)和軟件。為了在涉及安全的系統(tǒng)中實施安全功能,需要證明所有參與該安全功能的部件和 模塊都足夠安全地實施它們各自的功能。就是說,預定標準、規(guī)則和/或準則的遵守在系統(tǒng) 的所有級別和層次中都是必須的。在此需要始終監(jiān)視該系統(tǒng)和始終檢驗參與該安全功能的 部件、模塊和過程。該監(jiān)視通常在證明涉及安全的系統(tǒng)的范圍內(nèi)執(zhí)行。通過該證明,證實所 有預定標準,也就是標準、規(guī)則和/或準則都得到了遵守并且在涉及安全的系統(tǒng)中所執(zhí)行 的過程或處理的(最終)結(jié)果都具有必要的特征或按照相應標準的對應特征。為了避免可能的錯誤源,目前硬件和軟件在與安全有關(guān)的范圍內(nèi)都是最小化的, 也就是僅減少到最需要的數(shù)量。操作系統(tǒng)是特別針對相應的專門硬件實施的。在此,關(guān)于 該操作系統(tǒng)、軟件和/或硬件的實施方式的限制要考慮在內(nèi)。此外,所實施的操作系統(tǒng)針對具體的應用情況而設(shè)計。如果例如想要將已存在的 操作系統(tǒng)再用于其它應用情況,則由于對應操作系統(tǒng)的該非常特別的設(shè)計而通常不太可 能。此外,通常還存在對所采用的部件的約束,這些部件將在對應操作系統(tǒng)的范圍內(nèi)被控 制。例如,特定于飛機領(lǐng)域或特定于工業(yè)應用的操作系統(tǒng)具有非常精確限定的功能范 圍。該操作系統(tǒng)例如是為飛機工業(yè)的需求而設(shè)計的。由此與其它使用領(lǐng)域、如鐵路的匹配 是不可能的。此外,公知的涉及安全的系統(tǒng)的體系還通過這些系統(tǒng)的部件、操作系統(tǒng)和過程的 特殊性而顯得突出。如果現(xiàn)在想要檢驗或監(jiān)視這種非常特別構(gòu)建的涉及安全的系統(tǒng)是否 正確工作,則需要進行精確針對特別構(gòu)成的涉及安全的系統(tǒng)設(shè)計以及為這種系統(tǒng)構(gòu)建的監(jiān) 視。由此,存在一般性地證明涉及安全的系統(tǒng)的需要。在此,需要貫穿性的證明,即達 到涉及安全的系統(tǒng)的所有級別和層、也就是一直達到操作系統(tǒng)級別的證明。目前還不知道 這樣的直到操作系統(tǒng)級別的一般性證明,也就是包括操作系統(tǒng)的硬件和軟件的證明。
發(fā)明內(nèi)容
本發(fā)明所基于的任務是使得可以靈活地和一般性地證明涉及安全的系統(tǒng)。該任務通過具有獨立權(quán)利要求1的特征的方法,通過具有獨立權(quán)利要求11的特征 的裝置,通過具有獨立權(quán)利要求12的特征的計算機程序或通過具有獨立權(quán)利要求14的特 征的數(shù)據(jù)載體來解決。本發(fā)明涉及一種用于監(jiān)視涉及安全的系統(tǒng)的方法,其中該方法具有以下步驟-從監(jiān)視裝置向形成涉及安全的系統(tǒng)的至少一部份的裝置傳送第一過程的監(jiān)視結(jié) 果,該監(jiān)視裝置是為監(jiān)視涉及安全的系統(tǒng)而設(shè)置的;-通過第二過程分析該監(jiān)視結(jié)果,其中第二過程形成涉及安全的系統(tǒng)的過程;-依據(jù)該監(jiān)視結(jié)果計算處理結(jié)果;以及-檢驗所計算的監(jiān)視結(jié)果。為了監(jiān)視涉及安全的系統(tǒng),在監(jiān)視裝置上執(zhí)行第一過程。該第一過程在此被構(gòu)成 為,使得第二過程可通過第一過程被監(jiān)視,即第一過程被構(gòu)成為,使得通過第一過程可檢查 第二過程是否正確運行。在此,通過第一過程可以檢查例如第二過程是否提供正確的結(jié)果, 執(zhí)行正確的過程、步驟或功能和/或還要被執(zhí)行。按照優(yōu)選的實施方式,基于安全的系統(tǒng)可以由多個層、即至少一個層構(gòu)成。第二被 監(jiān)視的過程在該情況下是涉及安全的系統(tǒng)的層之一的過程。涉及安全的系統(tǒng)可以例如具有 以下層的至少一個-應用層,該應用層優(yōu)選可被構(gòu)成為使得可執(zhí)行特定于應用的功能;-中間件層;-操作系統(tǒng)層;或者-硬件層。通過這種用于監(jiān)視涉及安全的系統(tǒng)的優(yōu)選構(gòu)成的監(jiān)視裝置可成束地監(jiān)視多個層。按照本發(fā)明的另一優(yōu)選實施方式,作為操作系統(tǒng)可以采用開放源操作系統(tǒng),例如 Linux0開放源操作系統(tǒng)的使用使得可以靈活和一般性地證明涉及安全的系統(tǒng)。開放源操 作系統(tǒng)(例如Linux)是可免費獲得的并且其結(jié)構(gòu)是透明的,也就是開放源操作系統(tǒng)為證明 涉及安全的系統(tǒng)而提供能匹配和可再使用的基礎(chǔ)。開放源操作系統(tǒng)如Linux的開發(fā)是公開描述的。由此開放源操作系統(tǒng)經(jīng)歷多面的 測試并且滿足預定的安全標準,而向外非透明的幾個特別開發(fā)的操作系統(tǒng)在很多情況下不 經(jīng)歷這種測試強度大和有意識具有安全的開發(fā)。由此,使用開放源操作系統(tǒng)除了匹配能力 和再使用能力的優(yōu)點之外通常還提供滿足高安全標準的優(yōu)點。除了使用整個開放源操作系統(tǒng),也就是使用開放源操作系統(tǒng)的所有模塊之外,按 照優(yōu)選的實施方式可以選擇或確定開放源操作系統(tǒng)的與應用相關(guān)的模塊,并且在一般性證 明的系統(tǒng)的范圍中僅使用開放源操作系統(tǒng)的預定模塊。如果例如Linux被用作開放源操作 系統(tǒng),則可以既使用整個操作系統(tǒng)又使用針對(該應用)選擇的該操作系統(tǒng)Linux的包(模 塊)。通過這樣的預先選擇,一方面避免潛在的錯誤源并減少測試或監(jiān)視功能的個數(shù),另一 方面還通過該預先選擇減少開放源操作系統(tǒng)的模塊所需要的存儲位置。這使得可以靈活地 構(gòu)造對涉及安全的系統(tǒng)的證明。
涉及安全的系統(tǒng)或該涉及安全的系統(tǒng)的層,例如開放源操作系統(tǒng)的層,通過為此 專門開發(fā)的軟件來監(jiān)視。在此,為了監(jiān)視涉及安全的系統(tǒng)的過程(例如完全或部分綁定到 涉及安全的系統(tǒng)中的開放源操作系統(tǒng)的過程)而設(shè)置的監(jiān)視過程管理、觸發(fā)和處理涉及安 全的系統(tǒng)(例如在監(jiān)視操作系統(tǒng)的層的情況下是開放源操作系統(tǒng))的至少一個過程的監(jiān)視 過程的結(jié)果。檢驗通過涉及安全的系統(tǒng)的過程的處理結(jié)果,由此識別出涉及安全的系統(tǒng)是 否正確工作或是否引入了干擾。正如已經(jīng)提到的,按照本發(fā)明的方法通過第一過程監(jiān)視第二過程。第一過程由此 是第二過程的上級,從而可以有針對性地證明涉及安全的系統(tǒng)。在此,在優(yōu)選的實施方式中,從存儲在為了監(jiān)視而設(shè)計的裝置中的過程集合中選 擇第一過程。該第一過程或監(jiān)視過程的集合可自由構(gòu)造。監(jiān)視過程具有通用的監(jiān)視過程和 /或特定于應用的監(jiān)視過程,這些通用的監(jiān)視過程使得可以檢驗或檢查涉及安全的系統(tǒng)的 一般性流程或過程或者涉及安全的系統(tǒng)的層的一般性流程或過程(該涉及安全的系統(tǒng)例 如是開放源操作系統(tǒng))。由此保證針對涉及安全的系統(tǒng)的監(jiān)視或證明的靈活性。此外,對監(jiān)視結(jié)果或挑戰(zhàn)的處理可以期望在預定的時間內(nèi)進行。在此,當監(jiān)視結(jié)果 的處理沒有在預定的時間內(nèi)進行時,中斷對監(jiān)視結(jié)果的處理,并且通過第二過程進行對監(jiān) 視結(jié)果的重新處理。由此存在對監(jiān)視的另一次機會,因為可以減緩對該系統(tǒng)的短時過載,并 且由此不需要立刻的干預或不需要立刻的措施來避免危險??梢栽诒O(jiān)視裝置和/或在被監(jiān) 視的裝置中確定對監(jiān)視結(jié)果的處理是否在預定的時間內(nèi)進行。對處理結(jié)果或響應的檢驗可以在監(jiān)視裝置中執(zhí)行。在此,該處理結(jié)果事先由被監(jiān) 視的、具有開放源操作系統(tǒng)的至少一個模塊的裝置傳送給監(jiān)視裝置。此外,對監(jiān)視結(jié)果的處理可以在于將被監(jiān)視的過程的函數(shù)應用于監(jiān)視結(jié)果或挑 戰(zhàn)。在這種情況下,該處理結(jié)果可以對應于被監(jiān)視的過程的函數(shù)的結(jié)果。根據(jù)本發(fā)明方法的實施方式,對處理結(jié)果的檢驗包括通過第一過程來檢查處理結(jié)^ ο此外,如果對處理結(jié)果的檢驗表明處理結(jié)果是錯誤的,則停止涉及安全的系統(tǒng),以 便讓涉及安全的系統(tǒng)處于可能的危險之外。根據(jù)本發(fā)明的優(yōu)選實施例,作為構(gòu)造為用于監(jiān)視的第一被監(jiān)視裝置可以使用所謂 的安全和環(huán)境處理器(SEP)。作為具有開放源操作系統(tǒng)的至少一個模塊的第二裝置,例如可 以設(shè)置主處理器。本發(fā)明還提供一種系統(tǒng),具有構(gòu)成為監(jiān)視涉及安全的系統(tǒng)的裝置,并且該裝置進 一步構(gòu)成為向形成該涉及安全的系統(tǒng)的至少一部分的另一裝置傳送第一過程的監(jiān)視結(jié)果 或挑戰(zhàn),其中該另一裝置通過作為涉及安全的系統(tǒng)的過程的第二過程分析監(jiān)視結(jié)果并且提 供處理結(jié)果或響應。所述另一裝置可以形成涉及安全的系統(tǒng)的一部分,或者還包括整個涉及安全的系 統(tǒng)。第一過程優(yōu)選構(gòu)成為使得可以通過第一過程監(jiān)視第二過程,也就是第一過程是第 二過程的上級。為了監(jiān)視涉及安全的系統(tǒng),第一過程實施在用于監(jiān)視涉及安全的系統(tǒng)的監(jiān)視裝置 上。5
如上面解釋的,涉及安全的系統(tǒng)可以具有多個層。在給定操作系統(tǒng)的一個層的 情況下,根據(jù)本發(fā)明裝置的優(yōu)選實施方式,作為操作系統(tǒng)可以使用開放源操作系統(tǒng)(例如 Linux)ο在本發(fā)明裝置的實施方式中,用于監(jiān)視涉及安全的系統(tǒng)的裝置具有過程集合,并 且構(gòu)成為可以從該過程集合中確定第一過程。此外,該裝置優(yōu)選還可以構(gòu)成為,使得可以檢驗處理結(jié)果或響應。在此,第一過程 在該檢驗的范圍內(nèi)構(gòu)成為,可以通過第一過程檢查處理結(jié)果。如果處理結(jié)果或響應是錯誤的,則用于監(jiān)視涉及安全的系統(tǒng)的裝置優(yōu)選構(gòu)成為停 止該涉及安全的系統(tǒng)。此外,用于監(jiān)視涉及安全的系統(tǒng)的裝置優(yōu)選構(gòu)成為,使得可以從所述另一裝置接 收處理結(jié)果。如上所解釋的,用于監(jiān)視涉及安全的系統(tǒng)的裝置例如可以是安全和環(huán)境處理 器(SEP)。具有涉及安全的系統(tǒng)的至少一部分的另一裝置,可以是MCP(Main Control Processor,主控制處理器)或主處理器。根據(jù)本發(fā)明的優(yōu)選實施例,該裝置可以構(gòu)成為使得通過第二過程可以處理在預定 時間內(nèi)的監(jiān)視結(jié)果或挑戰(zhàn)。在此,該裝置優(yōu)選可以構(gòu)成為,當?shù)谝唤Y(jié)果沒有在預定時間內(nèi)處 理時,可以中斷對監(jiān)視結(jié)果的處理并且可以通過第二過程重新處理監(jiān)視結(jié)果。此外,第二過程可以優(yōu)選構(gòu)成為使得可以將第二過程的函數(shù)應用于監(jiān)視結(jié)果或挑 戰(zhàn)。按照本發(fā)明的優(yōu)選實施例,具有涉及安全的系統(tǒng)的至少一部分的裝置可以構(gòu)成 為,使得可以向監(jiān)視裝置傳送處理結(jié)果或響應。上述任務還通過計算機程序解決,該計算機程序具有編碼,該編碼構(gòu)成為使得可 以執(zhí)行上面簡述以及下面詳細描述的方法的步驟。計算機程序在此根據(jù)本發(fā)明的優(yōu)選實施 例可以存儲在數(shù)據(jù)載體上。最后,上述任務還可以通過具有上述計算機程序的數(shù)據(jù)載體解 決。本發(fā)明的監(jiān)視由于上述軟件層而確保持續(xù)進行的檢查。對涉及安全的系統(tǒng)的正確 運行的檢驗或檢查部分在分離的硬件(例如watchdog或安全和環(huán)境處理器(SEP))上進 行。通過足夠復雜的、集成在監(jiān)視過程中的要求保證完全的崩饋一也就是如果束縛所有的 系統(tǒng)資源一或存儲器溢出現(xiàn)象以及涉及安全的系統(tǒng)的較小的錯誤都可能被識別出來(挑 戰(zhàn)-響應,任務監(jiān)視,等等)。監(jiān)視涉及安全的系統(tǒng)的硬件(例如SEP)和軟件的協(xié)作確保了足以用于安全完整 度等級(例如SIL 1)的錯誤發(fā)現(xiàn)。通過本發(fā)明還保證應用可以基于由操作系統(tǒng)提供的功能。安全功能由此不需要與 應用有關(guān)或適應地保證。
下面參照附圖中示出的實施例詳細描述本發(fā)明。圖1示出根據(jù)本發(fā)明實施例的用于監(jiān)視涉及安全的系統(tǒng)的系統(tǒng);以及圖2示出具有多個層并且根據(jù)本發(fā)明的實施例被監(jiān)視的涉及安全的系統(tǒng)。
具體實施例方式圖1所示的系統(tǒng)形成用于監(jiān)視涉及安全的系統(tǒng)2的系統(tǒng)1。在此,操作系統(tǒng)層具有 開放源操作系統(tǒng)的至少一個模塊,該開放源操作系統(tǒng)綁定在涉及安全的系統(tǒng)2中。開放源 操作系統(tǒng)按照實施例是Linux。涉及安全的系統(tǒng)2可以是電的、電子的或可編程的電子系統(tǒng) (E/E/PE)。此外,根據(jù)實施例在操作系統(tǒng)的操作系統(tǒng)層中只有整個開放源操作系統(tǒng)的特定模 塊。這些模塊是涉及安全的系統(tǒng)2所必要的模塊,以便通過其它的、非必要的模塊最小化涉 及安全的風險。還可以使用整個開放源操作系統(tǒng)。為了更清楚和更簡單的顯示本發(fā)明,現(xiàn)在描述對操作系統(tǒng)層的監(jiān)視,即監(jiān)視Linux 的至少一個模塊。還可以按照適應的方式監(jiān)視涉及安全的系統(tǒng)2的其它層。此外,還可以 與層無關(guān)地監(jiān)視涉及安全的系統(tǒng)2。根據(jù)實施例,監(jiān)視系統(tǒng)1具有兩個裝置11和12,其中裝置11是SEP(安全和安全 處理器)或監(jiān)視處理器,并且設(shè)計為監(jiān)視Linux的至少一個模塊。裝置12例如通過主控制 處理器(MCP)和Linux的至少一個模塊形成。主控制處理器12由SEPll監(jiān)視。SEPll具有監(jiān)視過程111_1,111_2至11 l_n的集合,這些監(jiān)視過程被配置為監(jiān)視操 作系統(tǒng) Linux 的過程 125_1,125_2 至 125_n。監(jiān)視過程 111_1,111_2 至 111_η 形成 Linux 過程125_1,125_2至125_η的上級過程。按照實施例,每個待監(jiān)視的Linux過程125_1,125_2至125_η具有在SEPll上的 負責監(jiān)視SEPll的代表或上級過程111_1,111_2至111_η。但是,該簡單的關(guān)系不應當被 看做限制的。當然可以由至少一個上級過程或監(jiān)視過程111_1,111_2至111_η來監(jiān)視多個 Linux 過程 125_1,125_2 至 125_η,并且一個 Linux 過程 125_1,125_2 至 125_η 由多個監(jiān)視 過程111_1,111_2至111_η監(jiān)視或驗證。首先監(jiān)視過程111_1,111_2至111_η產(chǎn)生監(jiān)視結(jié)果b或挑戰(zhàn)(例如一個數(shù)字或其 它數(shù)據(jù)結(jié)構(gòu))。該監(jiān)視結(jié)果b按照該實施例通過分組編碼器112編碼并且通過接口 113-例 如通用異步接收器發(fā)送器(UART)-發(fā)送給MCP12的接口 121。編碼的以及傳送的監(jiān)視結(jié)果 b在MCP12內(nèi)傳遞給分組解碼器122。分組解碼器122將監(jiān)視過程111_1,111_2至lll_n 的結(jié)果b或監(jiān)視結(jié)果解碼給調(diào)度器123。然后調(diào)度器123將傳送的監(jiān)視結(jié)果b傳遞給相應 待監(jiān)視的Linux過程125_1,125_2至125_n以用于處理。對哪個Linux 過程 125_1,125_2 至 125_n 由哪個監(jiān)視過程 111_1,111_2 至 111_η 監(jiān)視的發(fā)現(xiàn)例如可以通過將相應的監(jiān)視過程111_1,111_2至111_η的標識(ID)與所屬的 監(jiān)視結(jié)果b —起傳送來進行。然后調(diào)度器123還與監(jiān)視結(jié)果b —起接收Linux過程125的 相應ID并且可以將相應的監(jiān)視結(jié)果b正確地傳遞給被尋址的Linux過程125_1,125_2至 125_n0Linux過程125_1,125_2至125_11在該實施例中由Linux安全管理器(LSM) 125管理。相應的Linux 過程 125_1,125_2 至 125_n 接收監(jiān)視過程 111_1,111_2 至 lll_n 的 結(jié)果,并且處理該監(jiān)視結(jié)果b。在此出現(xiàn)下面被稱為處理結(jié)果a或響應的另一個結(jié)果。該處 理結(jié)果a可以類似于監(jiān)視結(jié)果b那樣例如是數(shù)字或其它簡單或復雜的數(shù)據(jù)結(jié)構(gòu)。
為了處理監(jiān)視結(jié)果b,Linux過程125_1,125_2至125_n可以應用至少一個預定的 單獨的函數(shù)。在此,監(jiān)視結(jié)果b通過該函數(shù)來計算,即依據(jù)監(jiān)視結(jié)果b計算預定函數(shù)的函數(shù) 結(jié)果,并且作為處理結(jié)果a臨時存儲。然后,實施至少一個單獨的函數(shù)的結(jié)果可以用作處理結(jié)果a。為了顯示處理結(jié)果a的出現(xiàn),采用下面的示例例如從用于監(jiān)視MCP12并由此監(jiān)視Linux操作系統(tǒng)的監(jiān)視過程的集合中選擇監(jiān)視 過程lll_n。監(jiān)視過程111_11產(chǎn)生數(shù)字b作為結(jié)果或監(jiān)視結(jié)果。監(jiān)視結(jié)果b由Linux過程 125_n接收,因為監(jiān)視過程lll_n執(zhí)行對Linux過程125_n的監(jiān)視。Linux過程125_n利用 單獨的函數(shù)fn計算數(shù)字b得到新的結(jié)果a。該處理結(jié)果a被發(fā)送回監(jiān)視過程lll_n。監(jiān)視 過程lll_n然后利用相同的單獨的函數(shù)fn檢驗這兩個結(jié)果b和a是否相互匹配。如果匹 配,則涉及安全的系統(tǒng)2處于安全狀態(tài)。在相反的情況下要引入相應的保證安全的措施,例 如完全停止涉及安全的系統(tǒng)。LSM125是為了在開放源操作系統(tǒng)一在此為Linux-的級別上的涉及安全的功能而 設(shè)置的。這些功能還確定對涉及安全的系統(tǒng)2的服務的實施,這些服務通過涉及安全的系 統(tǒng)2的服務的應用1 控制和提供。由此至少一些Linux過程能夠干預和影響對涉及安 全的系統(tǒng)2的服務或應用126的實施,例如圖1中的Linux過程125_1。在該Linux過程 125_1被測試或監(jiān)視的情況下,同時還測試通過應用1 對相應服務的實施并且檢驗該實 施的安全流程。通過這種方式使得可以通過涉及安全的系統(tǒng)2的所有層進行證明?,F(xiàn)在如果給出處理結(jié)果a,則將該處理結(jié)果傳遞給MCP12的分組編碼器127。分組 編碼器127對處理結(jié)果a編碼并且將編碼的處理結(jié)果a傳遞給用于傳送和接收數(shù)據(jù)的接口 121。該接口 121將編碼的處理結(jié)果a傳送給SEPll或傳送給SEP的接口 113。從那里編碼 的處理結(jié)果a到達分組解碼器114,在分組解碼器114那里被解碼并被傳遞給調(diào)度器115。調(diào)度器115將處理結(jié)果a分配給相應的監(jiān)視過程111_1,111_2至lll_n。這例如 可以如上所述借助一起傳送的ID來進行。相應的監(jiān)視過程111_1,111_2至lll_n對接收的處理結(jié)果a進行分析,例如通過 合適地分析或通過合適地比較監(jiān)視結(jié)果b和處理結(jié)果a來進行。如果通過監(jiān)視過程111_1,111_2至11 l_n對處理結(jié)果a的分析是正面的,則涉及 安全的系統(tǒng)2處于安全狀態(tài)。否則相應地要執(zhí)行保護該系統(tǒng)的措施。緊急情況下通過監(jiān)視 系統(tǒng)1的SEPll促使完全停止涉及安全的系統(tǒng)2。但是可能出現(xiàn)MCP12完全負荷的情況。為了捕獲這種情況,可以為了通過Linux 過程125_1,125_2至125_n處理監(jiān)視結(jié)果而確定這樣一個持續(xù)時間,在該持續(xù)時間內(nèi)進行 對監(jiān)視結(jié)果b的處理。如果對監(jiān)視結(jié)果b的處理不是在預定時間內(nèi)進行,則可以進行另一 次處理嘗試。目前的處理都將結(jié)束,并啟動對監(jiān)視結(jié)果b的重新處理。如果該新的處理也 沒有給出結(jié)果,則涉及安全的系統(tǒng)2被置于安全狀態(tài)。必要時簡單地結(jié)束涉及安全的系統(tǒng) 2的實施。檢驗例如可以在MCP12中通過部件SEP-控制裝置IM和全局的安全控制裝置 (全局安全控制GSC) 128來進行。為了監(jiān)視,SEP-控制裝置IM從分組解碼器122獲得監(jiān) 視過程的相應ID,如果所屬的監(jiān)視結(jié)果在分組解碼器122中給出的話。將系統(tǒng)2轉(zhuǎn)換到安 全狀態(tài)可以在MCP12中通過安全控制裝置1 進行。在SEPll —側(cè)的一般性安全控制根據(jù)該實施例由部件一全局安全控制裝置8(GSC) 116執(zhí)行,該全局安全控制裝置控制對監(jiān)視過程111_1,111_2至lll_n的實施并且檢 查Linux過程或處理過程的結(jié)果。將該系統(tǒng)轉(zhuǎn)換到安全狀態(tài)可以在SEPll中通過GSC116 進行。圖2示出涉及安全的系統(tǒng)2,該系統(tǒng)具有多個層21,22,23,M并且按照本發(fā)明的優(yōu) 選實施例被監(jiān)視。在該實施例中,涉及安全的系統(tǒng)2具有應用層21、例如是通信框架的中間件層22、 例如是開放源操作系統(tǒng)的操作系統(tǒng)層23和硬件層24。各個層21,22,23可以如上所示被監(jiān) 視。在這些層之間還進行通信或數(shù)據(jù)交換,即這些層相互影響、協(xié)調(diào)、控制和/或檢查。該 通信在圖2中通過層之間的箭頭示出。在此,涉及安全的系統(tǒng)2例如位于主處理器中。監(jiān)視由進行監(jiān)視的裝置如上述 SEPll進行。如果執(zhí)行對應用層21的監(jiān)視,則可以監(jiān)視應用層21的軟件模塊或軟件過程。在 監(jiān)視期間保證應用能正確運行。在此,還可以推斷出下面的層的正確工作或正確運行。在這種情況下SEPll具有這樣的進行監(jiān)視的過程等,這些過程被設(shè)計為監(jiān)視應用 層21。這些進行監(jiān)視的過程的結(jié)果或數(shù)據(jù)被傳送給主處理器上的應用層21,并在那里由應 用層21的相應過程或模塊處理。通過該處理而出現(xiàn)的結(jié)果或數(shù)據(jù)被傳送給SEPll并且由 進行監(jiān)視的過程檢驗或檢查這些結(jié)果或數(shù)據(jù)的正確性。通過類似的方式還可以監(jiān)視中間件層22。對操作系統(tǒng)層23的監(jiān)視同樣可以如上所述執(zhí)行。此外,例如還可以監(jiān)視過程以檢查這些過程是否還“活著“。如果觀察操作系統(tǒng) Linux,則在借助Linux的指令“gr印”啟動涉及安全的系統(tǒng)2或操作系統(tǒng)之后向監(jiān)視裝置 11傳送在Linux上運行的過程的標識符。監(jiān)視裝置11可以初始化例如在清單或列表中的 這樣的過程。然后在涉及安全的系統(tǒng)2的持續(xù)運行中,可以監(jiān)視Linux的過程是否還如期 望地那樣運行,或者這些過程是否一般還存在,尤其是是否存在于“活著的”狀態(tài)。由此本發(fā)明涉及對涉及安全的系統(tǒng)2的監(jiān)視,尤其是對電的、電子的或可編程的 電子(E/E/PE)系統(tǒng)的監(jiān)視。在此,第一過程的第一結(jié)果b由構(gòu)成為監(jiān)視該涉及安全的系統(tǒng) 2的第一裝置11傳送給具有涉及安全的系統(tǒng)2的至少一部分的第二裝置12。第一結(jié)果b通 過第二過程處理,其中第二過程是涉及安全的系統(tǒng)2的過程。通過該處理提供第二結(jié)果a。 接著檢驗第二結(jié)果a,以確定第二過程是否正確工作或正確運行,并由此確定涉及安全的系 統(tǒng)2是否正確工作。
權(quán)利要求
1.一種用于監(jiān)視涉及安全的系統(tǒng)O)的方法,該方法具有以下步驟-從監(jiān)視裝置(11)向形成涉及安全的系統(tǒng)O)的至少一部分的裝置(12)傳送第一過 程(111)的監(jiān)視結(jié)果(b),該監(jiān)視裝置是為監(jiān)視涉及安全的系統(tǒng)(2)而設(shè)置的,-通過第二過程(125)分析該監(jiān)視結(jié)果(b),其中第二過程(125)形成涉及安全的系統(tǒng) O)的過程;-依據(jù)該監(jiān)視結(jié)果(b)計算處理結(jié)果(a);以及-檢驗所計算的處理結(jié)果(a)。
2.根據(jù)權(quán)利要求1所述的方法,其中從存儲在監(jiān)視裝置(11)中的過程的集合中確定第 一過程(111)。
3.根據(jù)權(quán)利要求1或2所述的方法,其中為了分析監(jiān)視結(jié)果(b)而設(shè)置預定的時間。
4.根據(jù)權(quán)利要求3所述的方法,其中,當?shù)谝槐O(jiān)視結(jié)果(b)的分析沒有在為此設(shè)置的 時間內(nèi)進行時,中斷對該監(jiān)視結(jié)果(b)的分析,并且通過第二過程(125)進行對該監(jiān)視結(jié)果 (b)的重新分析。
5.根據(jù)權(quán)利要求3或4所述的方法,其中,在監(jiān)視裝置(11)和/或在涉及安全的系統(tǒng) ⑵的裝置(12)中確定對監(jiān)視結(jié)果(b)的分析是否在預定的時間內(nèi)進行。
6.根據(jù)上述權(quán)利要求之一所述的方法,其中對處理結(jié)果(b)的分析包括將第二過程 (125)的預定函數(shù)應用于監(jiān)視結(jié)果(b)。
7.根據(jù)權(quán)利要求1-6之一所述的方法,其中,對處理結(jié)果(a)的檢驗在監(jiān)視裝置(11) 中執(zhí)行。
8.根據(jù)權(quán)利要求7所述的方法,其中所述處理結(jié)果(a)由涉及安全的系統(tǒng)(2)的裝置 (12)傳送給監(jiān)視裝置(1)。
9.根據(jù)權(quán)利要求1-8之一所述的方法,其中所述處理結(jié)果(a)通過第一過程(111)檢驗。
10.根據(jù)權(quán)利要求1-9之一所述的方法,其中,如果對監(jiān)視結(jié)果(a)的檢驗說明處理結(jié) 果(a)是錯誤的,則停止涉及安全的系統(tǒng)O)。
11.一種用于監(jiān)視涉及安全的系統(tǒng)O)的系統(tǒng)(1),具有-監(jiān)視裝置(11),在該監(jiān)視裝置上運行第一過程(111),該第一過程產(chǎn)生監(jiān)視結(jié)果(b), 該監(jiān)視結(jié)果被傳送給形成該涉及安全的系統(tǒng)O)的至少一部分的另一裝置(12),其中涉及 安全的系統(tǒng)O)的第二監(jiān)視過程(125)為了計算處理結(jié)果(a)而將接收的監(jiān)視結(jié)果(b)發(fā) 送回第一過程(111)以用于檢驗。
12.—種計算機程序,該計算機程序具有編碼,該編碼構(gòu)成為使得可以執(zhí)行根據(jù)權(quán)利要 求1至10之一所述方法的步驟。
13.根據(jù)權(quán)利要求12所述的計算機程序,其中所述計算機程序存儲在數(shù)據(jù)載體上。
14.一種具有根據(jù)權(quán)利要求13所述的計算機程序的數(shù)據(jù)載體。
全文摘要
一種用于監(jiān)視涉及安全的系統(tǒng)(2)的系統(tǒng),具有監(jiān)視裝置(11),在該監(jiān)視裝置上運行第一過程(111),該第一過程產(chǎn)生監(jiān)視結(jié)果(b),該監(jiān)視結(jié)果被傳送給形成該涉及安全的系統(tǒng)(2)的至少一部分的另一裝置(12),其中涉及安全的系統(tǒng)(2)的第二監(jiān)視過程(125)為了計算處理結(jié)果(a)而將接收的監(jiān)視結(jié)果(b)發(fā)送回第一過程(111)以用于檢驗。
文檔編號G06F21/55GK102047263SQ200980119336
公開日2011年5月4日 申請日期2009年3月24日 優(yōu)先權(quán)日2008年5月28日
發(fā)明者H·卡爾, R·波爾施, S·羅特鮑爾 申請人:西門子公司