[发明专利]实时功能完整性检查系统

说明书

技术领域

本发明属于安全检查领域，具体涉及一种用于计算机的检查系统。

背景技术

在工业控制系统和安全信号系统（应用于航空电子、铁路信号、核电等行业）中，软件系统一般在多个CPU上运行，CPU并不能保证安全软件能够正确的运行。为了确保安全软件的执行正确性和功能完整性，必须采用有效的措施来检测软件功能的完整性，以避免由来自CPU和存储器的随机故障引发系统功能失效、甚至安全事故的发生。该方法可以提高系统的安全性，避免安全事故的发生。

以目前轨道交通信号系统行业为例，安全系统采用2取2或者3取2架构，软件在多个CPU之上运行，运算结果最后经过硬件表决输出，保证能够故障导向安全。但该方式有如下缺点：

1.对具有表决功能的硬件设计要求很高，因为该表决硬件是保证输出安全的关键。

2.由于CPU上面运行的安全软件功能是相同的，容易出现系统性故障，错误的得到危险侧输出，并在2取2表决后输出危险输出。

3.如果某个CPU上运行的安全软件由于随机故障导致软件跑飞，另外一个CPU却不能以及得知该故障，会导致软件功能丧失，可能错误的得到危险侧输出。

发明内容

本发明所要解决的技术问题是提供一种实时功能完整性检查系统，它可以运行额外的功能完整性检查任务，来实现对自身CPU和其他CPU上运行的安全功能进行执行路径完整性检查和执行时间完整性检查，能够实时发现由于随机故障和系统故障导致的系统安全功能失效，使引导系统导向安全，防止安全事故发生。

为了解决以上技术问题，本发明提供了一种实时功能完整性检查系统，包括两个以上的CPU，且在CPU之间存在通信使其可以交换数据；每个CPU上除了运行安全功能软件F₁…F_n外，还运行完整性检查功能F_Supervision，当前CPU的安全功能F_n，由当前CPU的完整性检查功能实现完整性检查，当前CPU的完整性检查功能F_Supervision，由其他CPU的完整性检查功能实现完整性检查；安全功能F_n会根据自身的运行不断的发送执行报告R_Exec到当前CPU的完整性检查功能F_Supervision；完整性检查功能F_Supervision负责根据当前CPU内的执行报告R_Exec，来监控安全功能的执行路径和执行时间完整性，完整性检查功能F_Supervision负责根据当前CPU内的执行报告R_Exec，通过CRC算法产生功能执行校验字W_ExecChk；该校验字W_ExecChk将通过CPU之间的通信发送到其他的CPU，实现通过其他CPU上完整性检查功能F_Supervision对当前CPU上完整性检查功能F_Supervision的监控。

本发明的有益效果在于：运行额外的功能完整性检查任务，来实现对自身CPU和其他CPU上运行的安全功能进行执行路径完整性检查和执行时间完整性检查，能够实时发现由于随机故障和系统故障导致的系统安全功能失效，使引导系统导向安全，防止安全事故发生。适合不同类型的CPU，适合实时性要求较高的系统，实现方式简单，检查算法具有较高的实时性和可靠性，采用多种软件安全技术。

完整性检查功能F_Supervision包括4个模块：当前CPU功能执行路径监控M_CurExecCase；当前CPU功能执行时间监控M_CurExecTime；其他CPU功能执行路径监控M_OthExecCase；其他CPU功能执行时间监控M_OthExecTime。

不同的CPU对当前CPU执行路径完整性的检查采取不同的方式，来实现软件控制流差异化，例如部分CPU使用自动机状态转换的方式，其他CPU使用自动机真值表查表的方式。

不同的CPU对当前CPU执行时间完整性的检查采取不同的方式，来实现软件控制流差异化。例如部分CPU使用系统提供的定时器实现定时，其他CPU使用执行报告的时间戳进行周期检查实现定时。

不同的CPU进行循环冗余校验CRC运行时采用不同的循环冗余校验CRC多项式。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细说明。