Verfahren zum Betreiben eines sicherheitskritischen Rechnersystems

Verfahren zum Betreiben eines sicherheitskritischen Rechnersystems (12), das mindestens zwei redundante Kanäle (14, 16) zur Bearbeitung einer Berechnungsaufgabe aufweist, wobei die Kanäle (14, 16) unabhängig voneinander Ergebnisse (40, 42) für die Berechnungsaufgabe generieren, der Gesundheitszustand jedes einzelnen Kanals (14, 16) gesondert überwacht wird, jedem Kanal (14, 16) ein eigener Entscheider (30, 34) zum Freischalten oder Sperren der Ausgabe der Ergebnisse (40, 42) nachgeschaltet ist, und in Abhängigkeit vom Gesundheitszustand der Kanäle (14, 16) höchstens einer dieser Kanäle (14, 16) für die Ausgabe der Ergebnisse (40, 42) freigeschaltet wird, wobei mit Hilfe eines Tokens sichergestellt wird, dass die Ausgabe der Ergebnisse (40, 42) für alle übrigen Kanäle (14, 16) gesperrt wird. A method for operating a safety-critical computer system which has at least two redundant channels for processing a calculation task. The channels generate results for the calculation task independently of one another. The health status of each individual channel is monitored separately. A separate decider for enabling or blocking output of the results is connected downstream of each channel. Depending on the health status of the channels, at most one of these channels is enabled for output of the results. It is ensured with the aid of a token that output of the results is blocked for all other channels.