[发明专利]通过可认证和合格软件的组合实现计算机系统的完整性

说明书

本发明涉及通过可认证和合格软件的组合实现计算机系统的完整性。一种改善计算机系统完整性的方法包括执行可认证和合格的软件应用程序。可认证软件应用程序由静态程序指令组成，该静态程序指令被顺序执行来处理输入数据以产生输出，并且合格软件应用程序使用通过使用机器学习算法迭代构建的模型来处理输入数据以产生对应输出。根据认证标准，可认证软件应用程序对于计算机系统是可认证的，并且根据认证标准，合格软件应用程序对于计算机系统是不可认证的。该方法还包括通过与对应输出进行比较，对输出进行复核以验证输出，并从而改善计算机系统的完整性。并且该方法包括当比较指示输出与对应输出相差超过阈值时，将生成输出未被验证的警报。

技术领域

本公开总体上涉及计算机系统，并且更具体地，涉及组合可认证和合格软件以改善计算机系统完整性。

背景技术

在许多行业中，诸如航空航天，必须具有高度的完整性。对于这些行业中的许多行业，要求软件满足各种认证标准或安全级别。例如，在航空航天中，由航空电子无线电技术委员会(RTCA)颁布的DO-178要求为软件/硬件系统提供了许多不同的飞行器相关的认证级别。认证旨在确保软件正确且仅按设计运行。这通常意味着从可认证的操作系统(OS)和编译器开始，确保该编译器可以将高级代码准确地翻译为机器语言。然后逐行测试和检查应用程序代码。但甚至这并不意味着结果会达到预期。

图像处理提供了问题的良好示例。尽管许多高完整性系统在可以良好地表征的一两个时变信号上运行，但视频系统本质上更加复杂。输入图像(视频)包括数百万个像素。一个结果是，很难完全表征所有可能的输入。即使软件可以通过其他方式认证，同样难以确保任何图像或视频处理算法在所有条件下都将返回“正确”的结果。通常减轻这种不确定性的一种方法是让受过训练的(合格)人工操作员进行监督。

在某些高完整性的情况下(诸如飞行控制系统)，通过使多个(通常是三个)并行且独立但相同的计算机在相同的输入上运行相同的软件，获得额外的完整性。在这种情况下，预期输出将精确匹配，并使用对输出的比较操作以确保所有计算机产生相同的结果。

基于机器学习的人工智能(AI/ML)采用了截然不同的方法。在一些示例中，AI/ML软件实现了用标记的示例数据集训练的多层、多节点“神经网络”。学习系统调整节点之间的连接以“学习”提供正确结果的拓扑。尽管这些系统可以被“冻结”，从而使得行为是固定的而不是不断发展的，但是像对可认证系统所做的那样，遵循执行线性线程仍然不可行。结果，这些强大系统当前无法被认证。当前有关如何在高完整性应用程序中利用这些系统的讨论涉及“对系统进行资格认证”的想法，就像通过各种情况下的训练和测试/评估对人进行“资格认证”一样。但是在需要高度完整性的系统中，这种方法尚不可接受。

因此，期望具有一种系统和方法，其考虑以上讨论的问题中的至少一些以及其他可能的问题。

发明内容

本公开的示例实施方式涉及组合可认证和合格软件以改善计算机系统完整性。具体地，一些示例实施方式利用不可认证的机器学习软件来复核可认证软件，并从而改善计算机系统完整性。在一些示例中，利用合格软件的对应输出可简单地复核来自可认证软件的输出。

在一些示例中，可以将输出和对应输出进行组合以产生组合输出，并从而不仅改善完整性，而且还改善计算机系统的稳健性。在这方面，不同的软件可以提供具有相应品质因数的相似但略有不同的输出。如果输出在足够程度上一致，则可以对它们进行加权(通过品质因数)并进行组合(例如，在卡尔曼滤波器中)以提供改善的性能。

因此，本公开包括但不限于以下示例实施方式。