用于运行计算单元系统的方法和计算单元系统与流程

1.本发明涉及一种用于运行计算单元系统的方法以及一种计算单元系统和一种用于执行所述方法的计算机程序。


背景技术：

2.计算单元系统由多个联网或连接的如下计算单元组成，在这些计算单元的情况下能够实现相互访问诸如存储区之类的资源。在此，尤其是多个计算单元可以被实现为同一物理计算单元上的虚拟计算单元。例如，各个计算单元可以具有不同的功能性，以便共同地提供上级功能性。在车辆中的计算单元上、尤其是在特别高效的计算单元以及其他控制设备上，例如可以通过无线通信系统接收或发送数据，但是同样也必须处理重要的和安全关键的数据。


技术实现要素：

3.根据本发明，提出具有独立专利权利要求的特征的用于运行计算单元系统的方法以及计算单元系统、计算单元和用于执行所述方法的计算机程序。有利的设计方案是从属权利要求以及以下描述的主题。
4.本发明涉及尤其是车辆中的计算单元系统。所述计算单元系统尤其是应被理解为大功率控制设备，所述大功率控制设备通常包含至少一个微控制器和至少一个微处理器系统（并且尤其是表示（在共同外壳中的）不可划分的单元、所谓的“封装（package）”）。这些系统通常包括多个处理器内核和足够的存储器和其他资源，以便托管（hosten）由所谓的管理程序（hypervisor）所管理的多个客体操作系统。因此所涉及的尤其是是特别功率强大的计算单元系统，但是也能够设想其他控制设备。这样的计算单元系统必要时除了如所提到的其他组件之外还具有存储区，并且在所述计算单元系统上运行多个虚拟客体系统（或客体操作系统）和交换系统（vermittlungssystem）。这尤其是进行以便例如在车辆控制设备硬件上提供具有用于安全性、功率、灵活性和功能性的不同功能的不同系统环境。
5.不同的虚拟客体系统典型地借助于管理程序或管理程序系统被代管并且优选地具有安全性分级（sicherheitseinstufung）的不同级别或者可以考虑到（rechnen）不同的安全要求。管理程序（或虚拟机监视器，vmm）例如是创建和执行作为计算单元的虚拟机的计算机软件、固件或硬件。管理程序在其上执行一个或多个虚拟机的计算机或计算单元被称为主体机器，并且每个虚拟机被称为客体机器或客体系统。在此，可以存在“更开放的”客体系统、即只能保证较低的功能上的安全性或只能满足较低的功能上的安全要求的客体系统，并且可以存在“更封闭的”并因此可以保证较高的功能上的安全性或可以满足较高的功能上的安全要求的客体系统。除了提供还要描述的交换功能之外，交换系统本身也可以包含多个客体系统之一并因此尤其是可以提供或执行具有特定的功能上的安全要求的其他功能。
6.在此，功能上的安全性或安全要求尤其是应理解为系统（在这里是客体系统）关于
其如下能力的一个方面：应对对于人类或物质货品的危险、控制发生这样的风险的概率并且减轻事件影响。在汽车技术的上下文中，存在标准、过程和方法来为安全技术提供框架条件，并且根据其与安全相关的能力而将系统划分成多个安全等级。
7.在车辆或汽车的上下文中，“封闭”系统典型地与针对较高的安全性（例如特定的asil等级；在此，asil代表“汽车安全完整性等级（automotive safety integrity level）”）的功能、更加限制性的资源管理和确定性的运行时间行为（laufzeitverhalten）相关联。与此相对，就此而论的“开放”系统通常是被连接到车辆外的计算单元或外部计算单元（所谓的“云”）的所连接的系统，所述系统虽然必要时可能满足苛刻的（anspruchsvoll）功能上的安全要求，但不一定能够（在it安全性意义上）被用于需要安全性的应用。在此，功能安全性（英语：“safety（安全性）”：例如特定功能必须在特定时间点执行）应与it安全性（英语：“security（保障性）”：例如系统可以经受住网络攻击）界定开地来看。
8.在此背景下，尤其是存在两种不同的应用情况，所述两种不同的应用情况涉及在这样的计算单元系统上或在客体系统之间的数据交换。一方面，数据从“更开放的”系统被传输到“更封闭的”系统（所谓的向下或向内；即从用于较低的功能上的安全要求的客体系统传输到用于较高的功能上的安全要求的客体系统），另一方面，数据从“更封闭的”系统被传输到“更开放的”系统（所谓的向上或向外；即从用于较高功能上的安全要求的客体系统传输到用于较低的功能上的安全要求的客体系统）。
9.为了能够以特别有效的方式并且以低的存储器需求实现这种数据传输，在本发明的范畴内现在提出：在计算单元系统上存在的存储区借助于交换系统为了独占访问而总是被分派给多个客体系统中的仅一个客体系统（或必要时被分派给多个所选择的客体系统），并且在此从一个或多个当前客体系统被移除或者被给出（abgeben）。如果交换系统本身同时包含客体系统，则该交换系统也可以给该自身的客体系统分派访问（zugriff）或从该自身的客体系统夺走（wegnehmen）该访问）。因此，该访问被转交。这根据客体系统之一的请求或请求命令进行。在此，进行请求的客体系统可以请求：该客体系统自己获得访问，或者所述进行请求的客体系统也可能想要给出访问。在此，访问尤其是应被理解为读取和/或写入过程。应理解：只要设置有其他存储区，则这样的存储区尤其是也与已经提到的一个存储区无关地可以被分派给一个或可能多个所选择的客体系统。此外，应该提到的是，还可以在计算单元系统上设置如下其他存储区或存储介质，所述其他存储区或存储介质以与客体系统之间的数据交换不同的方式被使用。
10.如上所提到的，交换系统同样可以是虚拟客体系统，但是适宜地可以是有特权的客体系统。这样的、可能也称为“内务管理系统（housekeeping-system）”的系统例如具有如下任务：将资源分派给其他有较少特权的客体系统并且确保系统的可用性和性能。然而，这样的系统也可以附加地履行（erf
ü
llen）其他功能，然而适宜地仅履行具有最高安全要求的这样的功能。
11.可以借助于交换系统尤其是根据所涉及的客体系统或还有其他客体系统的要求而将存储区以独占的方式分派给客体系统，存储区到客体系统的分派同样可以借助于交换系统例如根据请求（再次）被移除。
12.以这种方式，可以（由于存储资源限制）避免数据在不同的客体系统上的冗余存
储。尤其是出于兼容性、可维护性、可扩展性和质量的原因，该方法可以例如基于现有的os/posix机制和实现方案而进行。
13.与自身环境隔离（isolieren）的系统典型地仅具有非常受限的价值（wert）。因此，在具有管理程序的车辆控制设备的情况下，不同的客体系统也应该能够交换大的数据文件。然而，由于具有特别高的性能的车辆计算单元系统还总是车辆控制设备，因此如非易失性存储器之类的硬件资源是成本因素（kostenfaktor）。但是，所描述的方法现在能够实现：可以由客体系统共同使用存储器来交换大的数据文件。可以说是能够实现在无中间副本（“零副本”）的情况下在不同的客体系统之间进行文件交换，其中所述文件交换尽管如此仍然可以满足根据车辆安全技术的安全要求。这通过如下方式而实现：具有较高的功能上的安全要求（“安全性（safety）”）的系统可以管理、有序地（geordnet）允许和收回所有参与方（partei）对共同使用的存储器的访问。来自保障性领域（非安全性领域）的示例可以是：从互联网接收数据，所述数据潜在地是危险的。在现在将所述数据传递到安全关键区域中之前，可以首先在中立区域内对所述数据进行检验，例如证书检查，并且然后才将所述数据传递到安全关键区域中（安全闸门（sicherheitsschleuse））。对此不必使用时间和资源密集的复制过程。
14.因此提供一种用于将存储器或存储资源分派给客体系统的机制，例如作为所谓的块设备（“block device”，在此情况下是一种虚拟硬盘）。实现了：使得这样的块设备动态地对于客体系统而言可用和/或不可用（即给予（gew
ä
hren）或夺走访问）。这可以例如通过控制共同的存储器使用的机制（“存储共享控制机制（storage share control mechanism）”）在例如交换系统中进行。此外，可以为这种机制提供控制装置接口，以便其他客体系统可以请求或释放块设备用于数据交换。
15.尤其是在类似posix或unix的客体系统的背景下，不仅可以通过由交换系统（内务处理系统（housekeeping-system））托管的网络文件系统为所有相关客体系统提供存储区，其中经由接口使所述网络文件系统对于其他客户而言是可访问的；也可以使得虚拟硬件块设备或存储设备对于其他客体系统而言可见或被提供，其中例如由交换系统或由单独的实体管理所述虚拟硬件块设备或存储设备。
16.与用于共享或提供存储区的所使用的技术无关地，针对转交文件或对存储区的访问而提供到其他客体系统的接口的服务可以例如提供api调用，在api调用的情况下，客体系统可以告知交换系统：已经使数据在共同使用的存储器中可用，并且交换系统现在可以移除由客体系统对这些数据的访问或对存储器的访问，并且例如可以鉴于数据的完整性和/或真实性方面执行检验。
17.与例如另一客体系统相比而言用于较低的功能上的安全要求的客体系统可以特别优选地用于或被设立成：分别经由通信接口而在计算单元系统上接收数据和/或从计算单元系统发送数据。对此的应用示例是所谓的fota，即“空中固件（firmware-over-the-air）”，也即用于计算单元系统的无线地安装（aufspielen）的软件升级。在此情况下接收的数据然后可以被传递给用于较高的功能上的安全要求的另一客体系统，更确切地说经由共同使用的存储区而传递。
18.例如，在“更开放的”客体系统上，可以设置用于通信和数据分布的应用，所述应用接收更新数据并且将所述更新数据向下转发给“更封闭的”客体系统，其中在所述“更封闭
的”客体系统中托管潜在地与安全相关的更新模块。
19.例如，该应用情况遵循以下构思步骤：（必须向下被移动到“更封闭的”客体系统中的）数据由“更开放的”系统中的应用来接收并且被存放在共同使用的存储区中。然后，例如数据的完全性、完整性和真实性可以由“更开放的”的客体系统检验。“更开放的”客体系统然后向“更封闭的”客体系统用信号通知：数据在共同使用的存储区上可用，并且“更封闭的”客体系统应该接管对这些数据的访问。“更封闭的”客体系统然后接管对数据的访问，例如通过封锁（sperren）用于“更开放的”客体系统的访问权限，并且然后对数据执行其他动作，例如进一步检验完整性和真实性。
20.与例如另一客体系统相比而言用于较高的功能上的安全要求的客体系统可以特别优选地用于或被设立成在计算单元系统上接收和/或确定和/或处理传感器数据。对此的应用示例是用于自主或自动化驾驶的应用，所述应用于是尤其是使用这样的传感器数据。对于自主或自动化驾驶的开发、验证和运行，通常必须聚合大量的或收集的传感器数据并且从车辆中提供，以便支持系统用于分析和学习。这意味着，数据从“更封闭的”客体系统被传输到“更开放的”客体系统上，在所述“更开放的”客体系统上例如执行用于上传和用于（外部）通信的应用。
21.该应用情况例如遵循以下构思步骤。（必须向上被移动到“更开放的”客体系统中的）数据在“更封闭的”客体系统中被收集或聚合并且被存放在共同使用的存储区中。于是，只要适宜的话，例如数据的完全性、完整性和真实性就可以由“更封闭的”客体系统检验或者由“更封闭的”客体系统签名和/或加密。“更封闭的”客体系统向“更开放的”客体系统用信号通知：数据在共同使用的存储器中可用，并且“更开放的”客体系统可以或应该请求对该存储区的访问。“更开放的”客体系统然后访问所述数据并且对于所述数据执行动作（例如上传到后端系统中）。根据系统设计而定，所述“更开放的”客体系统在该时间点要么可以将数据本身从存储区移除，要么可以向“更封闭的”客体系统用信号通知：这可以进行并且可以删除数据（例如可以通过以下方式作出关于谁删除数据的决定，即：对数据的授权是否已经被传输给“更开放的”客体系统；所述数据只有在授权的情况下才能被删除）。
22.根据本发明的计算单元系统尤其是在编程技术上被设立成执行根据本发明的方法。
23.以具有用于执行所有方法步骤的程序代码的计算机程序或计算机程序产品的形式实现根据本发明的方法也是有利的，因为尤其是当进行执行的控制设备还被用于其他任务并且因此总归存在时，这引起特别低的成本。用于提供计算机程序的合适的数据载体尤其是磁存储器、光学存储器和电存储器，例如硬盘、闪存、eeprom、dvd等。经由计算机网络（因特网、内联网等）下载程序也是可能的。
24.本发明的其他优点和设计方案从说明书和所附附图中得出。
25.本发明在附图中根据实施例被示意性地示出并且在下面参照附图得以描述。
附图说明
26.图1示意性地示出计算单元系统，根据所述计算单元系统在一种优选实施方式中阐述本发明。
具体实施方式
27.在图1中示出了计算单元系统100，例如功率强大的控制设备，所述计算单元系统在一种优选实施方式中是根据本发明的计算单元系统，并且尤其是在一种优选实施方式中的用于运行计算单元系统100的根据本发明的方法的范畴内也应该根据所述计算单元系统阐述本发明。计算单元系统100尤其是可以是车辆计算单元系统。
28.计算单元系统100具有硬件101，所述硬件例如包括到传感器的接口102、用于例如无线通信的通信接口103、处理器104以及存储区106，例如非易失性存储器。如下管理程序108在计算单元系统100上被执行，其中所述管理程序示例性地托管三个虚拟客体系统或客体操作系统110、120和130，所述虚拟客体系统或客体操作系统例如经由虚拟以太网150而连接。客体系统110是如下交换系统，所述交换系统提供控制装置（steuerung）112，所述控制装置112控制文件系统服务器114并且通过所述文件系统服务器而可以访问存储区106。
29.客体系统120提供应用122，所述应用可以访问文件系统或文件系统服务器114的挂载点（einh
ä
ngepunkt）（“mount（挂载）”）124。客体系统130提供应用132，所述应用同样可以访问文件系统或文件系统服务器114的挂载点（“mount（挂载）”）134。例如，客体系统120可以是“更封闭的”客体系统，而客体系统130则可以是“更开放的”客体系统，即客体系统120与客体系统130相比满足更高的功能上的安全要求。因此，客体系统120被设置用于经由接口102从传感器获取数据或传感器数据160并且对所述数据或传感器数据进行处理，而客体系统130则被设置用于经由通信接口103接收和/或发送数据162。
30.如果客体系统120现在例如已经接收并且处理了传感器数据160，则可能的是这些传感器数据或处理的结果应该被发送给后端系统或被发送到云中。为此，必须将数据转交给客体系统130，所述客体系统130然后在使用通信接口103的情况下将所述数据作为数据162而发送。
31.为此，客体系统120例如经由接口或api接口140向交换系统110提出对于请求访问存储区106的询问。这种访问最初并不存在。交换系统110然后以独占的方式为客体系统120建立这种访问，这用附图标记142表明。在此处应该提到的是，客体系统130在该时间点不具有对存储区106的访问。
32.客体系统120然后可以将数据存放在存储区106，必要时也在进行了特定的安全检验、签名方法等之后进行存放。客体系统120随后通知交换系统：不再需要该访问，并且尤其是应该向客体系统130给予该访问。在这种情况下，客体系统120因此请求应该以独占的方式向客体系统130给予该访问。这同样可以经由接口140进行。
33.交换系统接着以独占的方式向客体系统130提供对存储区106的访问，这用附图标记144表明。客体系统130然后可以访问事先由客体系统120已经存放在那里的、存储区106上的数据，必要时对此进行检验并且经由通信接口103发送。客体系统130随后可以通知交换系统：不再需要该访问。
34.以这种方式，因此可以通过使用仅一个存储区在满足各种各样的安全要求的客体系统之间传输数据。不需要中间复制或其他存储区。
35.应理解：以所述方式、但以相反的顺序，数据也可以由客体系统130接收并且传输给客体系统120。