用于安全系统的FPGA不匹配数据包的停止技术方案

本发明专利技术涉及用于安全系统的FPGA不匹配数据包的停止。一种容错故障安全计算机表决系统，包括：基于第一数据包与第二数据包的副本之间比较而生成第一密钥的第一表决模块。第一表决模块确定第一密钥和第二密钥是否是有效密钥。第二数据包是第一数据包的副本。第二表决模块基于第二数据包与第一数据包的副本之间的比较而生成第二密钥。处理模块响应于确定第一密钥和第二密钥是否是有效密钥而基于第一数据包生成输出数据包。第一表决模块被禁止生成第二密钥并第二表决模块被禁止生成第一密钥。

【技术实现步骤摘要】
用于安全系统的FPGA不匹配数据包的停止
本公开涉及容错故障安全(fault-tolerantfailsafe)计算机系统。
技术介绍
该部分提供与并非必须是现有技术的本公开有关的背景信息。本文提供的背景描述通常是为了展现本公开上下文的目的。就该在背景部分中所述的程度、以及在递交时可以并未另外承认作为现有技术的说明书的特征而言，本专利技术所指名的专利技术人的工作并未明确地或隐含地承认作为与本公开相对的现有技术。诸如铁路系统的安全应用可以包括被配置为维持安全应用的安全操作的容错故障安全计算机系统。容错故障安全计算机系统可以包括被配置为控制与安全应用相关联的安全关键硬件和软件的控制操作的多个硬件和软件部件。安全关键硬件和软件被配置为控制安全应用的安全相关功能。例如，行驶在铁路系统上的火车包括制动系统。制动系统被配置为实施至少一个安全相关功能，诸如制动功能。制动系统至少包括制动器和配置用于促动制动器的软件。软件接收指令以促动制动器。例如，火车的操作员可以操作制动系统用户界面以便于指令软件以促动制动器。周期性地，可以由铁路系统的故障部件生成用于促动制动器的错误指令。因此，期望一种被配置为对由外部安全系统接收的指令进行验证的容错故障安全计算机系统。
技术实现思路
该部分提供了本公开的一般概述，并且并非是其全部范围或其全部特征的全面公开。一种容错故障安全计算机表决系统，包括：基于第一数据包与第二数据包的副本之间比较而生成第一密钥的第一表决模块。第一表决模块确定第一密钥和第二密钥是否是有效密钥。第二数据包是第一数据包的副本。第二表决模块基于第二数据包与第一数据包的副本之间的比较而生成第二密钥。处理模块响应于确定第一密钥和第二密钥是否是有效密钥而基于第一数据包生成输出数据包。第一表决模块被禁止生成第二密钥并第二表决模块被禁止生成第一密钥。一种用于容错故障安全计算机的方法，包括：接收第一数据包并且基于第一数据包的副本生成第二数据包。基于第一数据包与第二数据包的副本之间的比较而生成第一密钥。确定第一密钥和第二密钥是否是有效密钥。基于在第二数据包与第一数据包的副本之间的比较而生成第二密钥。响应于确定第一密钥和第二密钥是否是有效密钥而基于第一数据包生成输出数据包。一种容错故障安全计算机表决系统，包括：接收第一数据包并且基于第一数据包的副本生成第二数据包的开关模块。第一表决模块基于在第一数据包与第二数据包的副本之间的比较而生成第一密钥。第一表决模块确定第一密钥和第二密钥是否是有效密钥。第二表决模块基于第二数据包与第一数据包的副本之间的比较而生成第二密钥。处理模块响应于确定第一密钥和第二密钥是否是有效密钥而基于第一数据包生成输出数据包。其他可应用领域将从本文提供的描述而变得显而易见。在该
技术实现思路
中的描述和特定示例仅意在示意说明的目的并且不意在限制本公开的范围。附图说明本文描述的附图仅是为了所选择的实施例而非所有可能实施方式的示意说明的目的，并且不意在限制本公开的范围。图1是根据本公开原理的容错故障安全计算机系统的功能框图。图2是根据本公开原理的容错表决系统的示例的功能框图。图3是根据本公开原理的容错表决系统的可替代的示例的功能框图。图4是图示根据本公开原理的容错表决方法的流程图。贯穿附图的几个视图，对应的附图标记指示对应的部件。具体实施方式现在将参照附图更全面描述示例实施例。现在参照图1，通常在100处示出示例性的容错故障安全计算机系统的功能框图。系统被配置为与各种安全应用(SA)和/或安全关键系统(SCS)交互。SA可以包括彼此交互并通信的多个SCS以便于执行SA。通过非限定性示例的方式，SA的一个示例包括铁路系统。铁路系统包括多个SCS。多个SCS包括但不限于与在铁路系统上运营的火车相关联的系统。与火车相关联的系统可以包括制动系统、加速系统、警报系统、和/或与火车相关联的任何其他合适的系统。系统100控制各个SA和/或SCS的各个部件，诸如铁路系统。各个部件包括SA和SCS的影响SA和SCS的安全的部分。这些部件可以称作安全相关部件并且可以包括安全关键硬件和软件。通过非限定性示例的方式，安全相关部件包括制动系统的部件，诸如制动器以及被配置为控制制动器的软件。安全关键硬件和软件从SA和/或SC接收数据元素。例如，火车的操作员可以期望应用火车的制动器。操作员与操作员界面交互，诸如通过促动制动杆。响应于促动制动杆，生成信号并将信号传送至控制了制动系统的操作的安全关键硬件和软件。系统100与安全关键硬件和软件协作以确保铁路系统的诸如制动器的部件安全地操作。例如，安全关键硬件和软件基于制动杆信号而传送数据包。系统100验证数据包。安全关键硬件和软件基于该验证而操作制动系统。用于本文所述实施例的其他可能应用包括但不限于航空系统的部件、医疗系统的部件、石油和天然气控制系统的部件、智能电网系统的部件以及各种制造系统的部件。在一些实施方式中，系统100从SA和/或SCS(诸如铁路系统)接收多个输入数据包。系统100被配置为基于多个输入数据包而生成多个输出数据包，并将多个输出数据包传送至SA和/或SCS的各个安全相关部件。例如，如以下详细描述的，系统100确定多个输入数据包中的第一数据包是否是有效数据包。当系统100确定第一数据包是有效数据包时，系统100基于第一数据包生成第一输出数据包，并将第一输出包传送至铁路系统的至少一个安全相关部件。第一输入包包括至少一个安全相关部件的多个数据元素控制操作。数据元素可以包括传感器数据和/或输入/输出(I/O)点状态。至少一个安全相关部件可以是如上所述的火车制动器。多个数据元素也可以控制SA和/或SCS的非安全相关部件的操作。输入数据包根据传输协议传送。例如，铁路系统的部件可以根据预定的包装标准包装或打包输入数据包。铁路系统的部件随后根据传输协议传输和/或传送多个输入数据包。系统100被配置为接收根据传输协议传送的数据包。进一步，系统100被配置为根据预定的包装标准解释或解包所包装或所打包的数据包。以此方式，系统100从第一数据包提取数据元素并随后基于数据元素生成输出数据包。输出数据包包括基于数据元素的指令集。输出数据包也可包括控制I/O的操作指令、读取输入以便于收集信息的请求、健康消息通信、用于进程间通信的请求、或任何其他合适的指令或元素。指令集包括指示安全关键硬件和软件的至少一个以执行过程的至少一个指令。例如，指令集可以指示安全关键软件以执行制动过程。制动过程包括硬件制动指令。硬件制动指令被传送至安全关键硬件。安全关键硬件执行制动指令。例如，安全关键硬件应用制动器。系统100确定是否将包括数据元素的输出数据包传送至安全关键硬件和软件。例如，系统100确保多个输入数据包中的每一个输入数据包满足预定的安全标准。预定的安全标准包括确定铁路系统是否以安全方式在操作。系统100对多个输入数据包中的每一个输入数据包由铁路系统有效地或有意地传输进行验证。铁路系统可以传送由于铁路系统内的硬件或软件故障引起的错误的输入数据包。系统100被配置为确保不将错误传送的数据包传送至安全关键硬件和软件，并且因此，不根据错误数据包操作安全关键硬件和软件。换言之，系统100确保铁路系统和/或任何其他SA和SCS以安全方式操作。在一个本文档来自技高网...

【技术保护点】
1.一种容错故障安全计算机表决系统，包括：第一表决模块，所述第一表决模块基于第一数据包与第二数据包的副本之间的比较而生成第一密钥，并且确定所述第一密钥和第二密钥是否是有效密钥，其中所述第二数据包是所述第一数据包的副本；第二表决模块，所述第二表决模块基于所述第二数据包与所述第一数据包的副本之间的比较而生成所述第二密钥；以及处理模块，所述处理模块响应于确定所述第一密钥和所述第二密钥是否是有效密钥而基于所述第一数据包生成输出数据包；并且其中所述第一表决模块被禁止生成所述第二密钥并且所述第二表决模块被禁止生成所述第一密钥。

【技术特征摘要】
2017.03.10 US 15/455,6191.一种容错故障安全计算机表决系统，包括：第一表决模块，所述第一表决模块基于第一数据包与第二数据包的副本之间的比较而生成第一密钥，并且确定所述第一密钥和第二密钥是否是有效密钥，其中所述第二数据包是所述第一数据包的副本；第二表决模块，所述第二表决模块基于所述第二数据包与所述第一数据包的副本之间的比较而生成所述第二密钥；以及处理模块，所述处理模块响应于确定所述第一密钥和所述第二密钥是否是有效密钥而基于所述第一数据包生成输出数据包；并且其中所述第一表决模块被禁止生成所述第二密钥并且所述第二表决模块被禁止生成所述第一密钥。2.根据权利要求1所述的系统，其中所述第一表决模块包括第一输入表决模块和输出表决模块，并且其中所述第二表决模块包括第二输入表决模块。3.根据权利要求2所述的系统，其中所述第一输入表决模块响应于所述第一输入表决模块确定所述第一数据包与所述第二数据包的所述副本相同而生成所述第一密钥，并且其中所述第一输入表决模块将所述第一数据包和所述第一密钥传送至所述输出表决模块。4.根据权利要求3所述的系统，其中所述第二输入表决模块响应于所述第二输入表决模块确定所述第二数据包与所述第一数据包的所述副本相同而生成所述第二密钥，并且其中所述第二输入表决模块将所述第二数据包和所述第二密钥传送至所述输出表决模块。5.根据权利要求4所述的系统，其中所述输入表决模块还将根据所述第二数据包确定的顺序号传送至所述输出表决模块。6.根据权利要求5所述的系统，其中所述输出表决模块基于所述第一密钥和所述第二密钥而确定所述第一数据包是否有效。7.根据权利要求5所述的系统，其中所述输出表决模块还基于所述顺序号而确定所述第一数据包是否有效。8.根据权利要求7所述的系统，其中所述输出表决模块基于确定所述第一密钥是复杂密钥而确定所述第一密钥是否是有效密钥，并且其中所述输出表决模块基于确定所述第二密钥是复杂密钥而确定所述第二密钥是否是有效密钥。9.根据权利要求4所述的系统，其中所述输出表决模块基于所述第一密钥和所述第二密钥而确定所述第一数据包是否有效。10.根据权利要求9所述的系统，其中所述输出表决模块还基于所述顺序号而确定所述第一数据包是否有效。11.根据权利要求10所述的系统，其中所述输出表决模块基于确定所述第一密钥是复杂密钥而确定所述第一密钥是否是有效密钥，并且其中所述输出表决模块基于确定所述第二密钥是复杂密钥而确定所述第二密钥是否是有效密钥。12.根据权利要求1所述的系统，其中所述处理模块将所述输出数据包传送至安全应用的至少一个安全相关部件。13.根据权利要求12所述的系统，其中所述输出数据包是所述第二数据包。14.根据权利要求12所述的系统，其中所述至少一个部件根据与所述输出数据包相关联的一个或多个数据元素而操作。15.根据权利要求1所述的系统，其中所述第一表决模块基于所述第一表决模块确定所述第一数据包和所述第二数据包的所述副本不相同而丢弃所述第一数据包并且生成故障指示。16.根据权利要求1所述的系统，其中所述第二表决模块基于所述第二表决模块确定所述第二数据包和所述第一数据包的所述副本不相同而丢弃所述第二数据包并且生成故障指示。17.根据权利要求1所述的系统，其中所述第一表决模块基于所述第一表决模块确定所述第一密钥和所述第二密钥中的一个不是有效密钥而丢弃所述第一数据包并且生成故障指示。18.一种用于容错故障安全计算机的方法，包括：接收第一数据包并且基于所述第一数据包的副本生成第二数据包；基于所述第一数据包与所述第二数据包的副本之间的比较而生成第一密钥并且确定所述第一密钥和第二密钥是否是有效密钥；基于所述第二数据包与所述第一数据包的副本之间的比较生成所述第二密钥；以及响应于确定所述第一密钥和所述第二密钥是否是有效密钥而基于所述第一数据包生成输出数据包。19.根据权利要求18所述的方法，进一步包括：禁止基于所述第一数据包和所述第二数据包的副本生成所述第一密钥，以及禁止基于所述第二数据包和所述第一数据包的副本生成所述第二密钥。20.根据权利要求18所述的方法，进一步包括：响应于确定所述第一数据包与所述第二数据包的所述副本相同而生成所述第一密钥，并且传送所述第一数据包和所述第一密钥。21.根据权利要求20所述的方法，进一步包括：响应于确定所述第二数据包与所述第一数据包的所述副本相同而生成所述第二密钥，并且传送所述第二数据包和所述第二密钥。22.根据权利要求21所述的方法，进一步包括：将根据所述第二数据包确定的顺序号传送至所述输出表决模块。23.根据权利要求22所述的方法，进一步包括：基于所述第一密钥和所述第二密钥确定所述第一数据包是否有效。24.根据权利要求23所述的方法，进一步包括：还基于所述顺序号确定所述第一数据包是否有效。25.根据权利要求24所述的方法，进一步包括：基于确定所述第二密钥是复杂密钥而确定所述第二密钥是否是有效密钥，并且其中所述输出表决模块基于确定所述第二密钥是复杂密钥而确定所述第二密钥是否是有效密钥。26.根据权利要求21...

【专利技术属性】
技术研发人员：加里·珀金斯，马尔科姆·J·鲁什，安德鲁·波尔特，
申请(专利权)人：雅特生嵌入式计算有限公司，
类型：发明
国别省市：美国,US