The SSP: An Example of High-Assurance Systems Engineering.

Abstract

The SSP is a high assurance systems engineering effort spanning both hardware and software. Extensive design review, first principle design, n-version programming, program transformation, verification, and consistency checking are the techniques used to provide assurance in the correctness of the resulting system.

Full text

       
  
  ! "
#     $

% #&
' 
#  ( 

&  )
  ! "
#     $

& *
'&     
#  ( 

+  
'&  !"  ,
#  ( 


        
      
 ! "  !   
!  ! "!  
    #   
       
 
   ! "-  .   
$  &    
/ "    
     
      "$
0 1  " "  "2   $  
   &3  &  
/   &  $ 
 & 
4  $  " &  
  & 
 $ $    "  '  # 
      ( #(567689555 
    "  "   ( 
-    ) (-   '  #
    +  $   
" !:  " ((*545 708;
< $ &  "  3 
  
6    " &    
    "$  & 
  " &   
  $&  "  
9  -  $& 
 &    
=    "- $  
" "   " 
*/ >0? &     &
    ! "3 
    : -   
  $ "    "  $
&  $   $ "   
$ &     ,&- 
 @    &  
 $ @" ,   
&  . $   & @"
 & A 1   -  $
/  "$  $  $ 
     &  $ 
*/ >4?  ><? &   
       & 
 */ >4?   / 
  (  (BB $   
  - &   3 @-

 "    $     
 */ ><?     
   $  3   A
  3   & %&       
 &      
"  "     

$%      
&   '     
   %     '
     
   ()*+
%&    - &   $ &
      -
    &   
 :  &  -   
" &  %& & (  (BB  
      "  &
$     C;D %& 
 &      %&  
$      " 
%&   $ /  @"
 " &       ( 
(BB    : - %&
   -  & 
-      
 %&        " 3
  "    : 
&    &  
     & "  &
     $  :  &
 $ &-  "  "
&  " %&E    &  3 
 $ &    & 
     ( $ &  /&
"& $       
  $  & : 
$ "      "
 $
,  -     3
%&  "  "   
>   $  $? */ >9?
     &   
   &  $   
    $    
 :- / >=? $ " 2
 @   $ " A   $
 >- - 3 -  ? " 
&  "    -  
$      " "   %&
+ ) >%+)?    $ 
 & $     
 >?      
-   &     
  $   %&
     
  %&   - 
"    &   
     
    
  -   %&
 - "     " 

  %&  " $
& "    "  - " $
      
     
   "   
 1 -      
   $     
    
       / F
        
&      
 "  
     
@     -  @ 
   "   
      &
        G3 H
  %&    @ 
 3      
  $&-      
$  @  
 ! "  &  
        
   %& "-    
   " $&- &  
 $        - 
$ "      %& "
$ "        
       " "2 
  
 "      "  
 %&E  "  " : -
    3 &  $   
      "  $
"  "        

        3 "
    "    
 "     "  
>- " ?   -  
      "       
$    $ > : 4? 
 &    >0?    $ 
 3     @" -
>4?    $     
    $- ><?  *,) 
  "       & 
 @      3-  >6? 
   $  " &   &
 I   -     
  "   &3
SSP Hardware
SSP Class Loader
JVM
classfile
classfile
classfile classfile
classfile
classfile
ROM Image
class
class
class class
class
class
Java Source
Commercial Java Compiler
dynamic
static
Typical JVM Environment
SSP Environment
: 4 :  (      
 $
# $%& ' (()
'  -   $ !, 
   - "    
      $    "
- -  @" 1    
 $      " 
- "   &   $ 
 $ :  -     
 "     "   
$  &  <9J     
 >   "  ?
  "     49)@
SSP Chip
SSP Core
ID
Heap
mem
Stack
mem
State
mem
Prog
mem
State
MC
Stack
MC
Heap
MC
ALU
Prog
MC
: < ,&&$    
      "   
   $   
      $  
   -      
$  3 &   %& & 
 : -    $  
  3   %+)-   
&  $      
      "   
  1   $    $ 
   "  "    
         
        
 "       
        
   :-  " 
    "& $  
       &- 
 2   3   C4;D
1   $     
-         
     $ 
        
       "
  "       
%+) : < "$ $  "  
  !        
       
.
# ' * (
  $     1( 
    005J   $ 005J " 

  " $     $
"   <9J     
        
"  "     1( $ 
"     2  
 1K, " $     
 .   $ $  $ 
  $ "  " @  
     &-     
  $ /    $  "
  ""    
     $ 2  
< $- $ " @ 1(   
   =  08   
$     $ 055L   8555 
 $ & "     7
 -  & 78L     $
/  $  $   
  $   ;5L  &-   
 = $  &      79L
& 1      $ @  &
   & &    49)@
   & -    
      &-    "
 $
 1(  . $   "
  A     " 
 <4 " "      
 A   "  @
## $% 
+      $     &
   @   $
  3    $ " 
&    $ &   3 
%& & / 1 -  !& 
 C0D  $        
 3 $ "   .
 &     
   .    "
"
+# I   $    "
        $
%&       I   &
"2  %&    "
  
)   I   & )  
 "   )    
 $  
    $   
  %&     
%&   "     
& &    $    
 "   "     
&      &
         !
  $ " & "   & 
"   &     : 
-   &  &  
   $ <4"   & 
&   $     $ <4"
   &F$   '
     "   
 
 " "  $  "
"  >- - /- ?
 &   >-  
?
     '  >-
 - -  -  &- - - ?
    '  >&F$-
 F$?
     
    3 "  "
  >-  - &  " @-  
   " - ?
     $  
        04-8;;
"      $ &  
      "   
       07=-409
"  1    $  
        3 
  1        
     3     >-
--   ?  $  &
      
 &      3
  $  "    G 
 H : -   /
     "  " F $
  "     
/    &  " F
     " $  
        $  &
$   &  "  &

$   3     *
@ -   $        
       
        
   "  3     .
     : - 
 G H " -  +#  $
        -  
 G H   GH  %&  ) 
 $     & . 
   $ 
FPGA SSP
Execution
Log
Execution
Log
Execution
Log
Execution
Log
SSP requirements
and
Bytecode definitions
ML VSSP
Java VSSP
VHDL SSP
coverage
feedback
Design
Coverage
Monitor
==
Comparison
Testing
Results
Selftesting
Code
Test Vector
File
ASIC SSP
: 6 #  !& 
1 -  %&  )  $
  "    " "
     "    
 / $&-      
+#      +#
   " -   - 
       &  
      "  
  -  +#  $
  "    "  &
      
"   &     
 $         
        &
      "&  "  
    G$H "  $ $ 
      @@  
   G$H "   "  "
  -   "   
        "   
   M    && - 
 $ /   +# 
   "   $  
        
    G"  " H
     $  
"  "   
     .  
 -   $    3   
       "K 
      3 
%& "  C06D    /
    / &"    
   (-  
$      "  
 "     &" > 
   &?   "  
 "  -     
 $&-  A -  
       3-
     "  
 "   $    3 
$    "    $
     3  "  " 
 /& : 6    
   : 6  $ $  
      $ &   
1( 
  $    $ !& 
 C05D-  &      
   " & C=D- 
$   &      
 C00D      !
& &  -    $  
  &       : 
-     $     %+)
 $ >   ?   $ > 
 $?      E   
   $     
          $
!         
$     $     
 &    "     1 -
      " A
         $ 
     $ $   
2  $ &   -  $
$     $ & 
 -  $  &   
    $    , "   &
     :  - 
 "     $  
  $   "   
  $  $    &

        
   "      
 "     $   
  "     "
 >     ?  "& 
 " . "$ %&K)  
   $    "2& >
 & A?  A   2 
 1   &-  " . "
$ )  %&   "  
 $        
"    "    & 
   $  !& &  
$
1 -      !&
$ $   &  /& &
  "- "   /& 
+ (%& ' * "
 3   %+)    
"   &"     &   
  /       
   3   %+)   3  
"         "
 %&      " "
$    >0? &3- >4? 
-  ><?  +3   
  $    && 
       
"2    &   
 *      
"     $  
 &  $ 
 2"         
 %&  3    "  
 "        
    $   ,-. -  
 $    
0 *& "     
      .  
       
  $0
4 (     
%&      3 

0,   /      2  "   
 "$     &   
 &   M  & /  
 $       &  
   @ "   & 
< &  "    &
  
6 (  "
+  ', 
          "
  $  %& $&-   .
  $        
C4=D   "  
  &   3    
  E   "   
     
 &     $   
   E  :- 
    "  " 
&3         $
      (4 
 - "    " 
       
    %&      
 $   "  %&  "
     "      %&
          
   &     -
          
        
       
 "     - $     
         
         
$     *,)   
         3  
" 
+ '
      $
& -  -  "   
 /  "  " /  
          $
"      "  " 
G/&H     1  
 $-    " 
3  $      
  "    " "
  "  $ $ 
   

      
     $  
&      
C4DC6DC04DC0<DC4<DC46DC49D    &  
 $   $   
 3  "  "      
$  $ @    E 

1       -   
   $   "   :
- $   &    
      "   
  -   
:  &   -
    "   "  
$ 
( 3   
# /    " " "$
  $   3 : 
-        
" " &  3   
#     " " "$ 
$     
  " " $  
      " 
"    
1   - $ & @ 
   " $   
$       
  "  &
+# $,- '
:      A
   "   "$ 
    - & 
   "  
$ -  @ $  3  $
"     &- $
   $ "  
&     $  
 " 3  >-  3  
          .
   3 ? '-  " 
3    "  " >-
.  3 $ &   .
 ? 1  3  -   
       
@        -
"   .     
$  - @-  
       "  
.       
   " $&-  "  " & 
    $ $ 1  
-   & . "   $
    3  $  >
 ?  "   
   - @-  
   " "   
   ,  & $ C48D
     $-  " 
   "   I 
         
 - $ & &    
   C4=D     
" 
+# )!    *
"
      $     
   (   %& 
      3   & 
"      & 
      %&   
  &      ,&
-    &   $
     "    
 - "   " /-  
    "       
3   $  &  "
. $  &     
 "      ,  
&   $  >0? "- $
    &  " 
    -  >4? - $ 
   &       
    
+# .
: &3 &   $ $  
"         
     1  -
        
  &&        
 >     ? 
        &&
        &  
     "&  /  
         

  >0? 3     & 
 -  >4? 3      
"   >-     
     ?    
"      - 
    A  / 
   
       &3 
$ &  " (4   & 
"     (4 C8DC7D   
 "   & "  (
 1  -   " "
   $  (4     
   &  "  (4
 1  "   &  
  $    
F   C<DC45D )   
"   &     
%+) C0;DC08DC07DC40D
,         
"   &   C<DC0;DC08DC07DC40D
 $    "     
  1  -      
" &    "  "
&  $& ""  C0=D
) -       "  
 "  "&   "
   %& "  1  - $ 
       & $   
   . "   1
      - $     3
  %&       
       
 %+)    &   "  
   /& "$ 
       " 3  
       
      3
      "  
     $ /  
        
-   -    $ 
 
 $    &3   
"       -   
  &     & 
     $    >-
     ? 1     -
        3- (-  "
 %&        3
"  %+) 3      %+) 
3    >3 ?  
       
       3 
"&         3 
3    ,-. - $ $   
      3 "    
$-      & 
( ( -    "   ( N
>(? 1   $- $  "
$   
           
 " "&  "  " 3
  /   -      
   (    
  3    $  &
3 $ /  0 
"   $    
1  -    @ 
   &     
   3  (     
     -  
      3 "
  -  /  3&  
  & " 3  :  
-    & -  -
   2  "  
 /  2
        
 
  
  
$       &  
  $    " 
-  -    
  
+## .
:  &  & -     
&$    3  *,)   $
$   / 1   
      %&  3-  
"   >"? *,)   " 
   " &   
 /  " *,)   " "
2         
%&  3 " "   &3  *,) 1
 ( >*1(?  " &  

   "      "
    "   $ *,) 
      3 $ 
      " $  
"  "   &3
' /-  *0  * 1
( >*1(?   $  "  
  *,)  I    -    
      3-    
   *,)     
- *1(       & 
 > -  "-  - 
 -  3 -   ? 
 - &      
         &
"$
         > 5 
,"2?
   &       
 
:   
0        
      " 
      
 
4 )  3 $  &  
&      $ 
        
       
,     *,)   " 
  ,"2
 "  "     & 
 
 "         
 
  - & 85    &  &
 "       
      $ $   "
  &
' * "  *0  
   " *1(   
    *,) 1  " $  
$&-  *1(       "
   - *1(      
     :  - $ & 
3       "$ *,) 1
   3  $    
    &   $ 
 (   1 ( >(1(?  3
  (1(E     *1(  
*,)  1 *1(       & *,)
-  (1(     %&  3 >
3 "  ?  $  *,)   
 & "      3 & "
 -     "$   3
  *,)     " "
$ - $     
 "  > *,)   $ 
    $     
? (1(      
  3 "  %&  3 $ 
    *,)  -  
  3   &3   "$ 
$ 
!"- (1(  - & 
    &  "    
 : -    & 
  & -      
      M   
   G " H   
 $   3   - (1(  
 "      & 075
'  *0   > 
 44? $ &   *,)  "  
         3  "
   $      $
$   $- $     
3 )    $  $ 
    *1(K(1(- "  .  
 "      $ "  
3
    "   
- " $ $    " "   
 2 $ $   $ "   (1( $
  $ >     9;
    0@  <?-   $ & 
  / F & "   *,) 
 >   ? "    $ *,)
      !" *,) 
  "         
     *,)    $
"     $  !
!      - $ .  "

  "    *,)   
$  " (1(     $ "  
     "F    $
-     *,)  /
$    $  *1(  $ " 
  ;5L   -  (1( $ "
  055L !   3   
    I  .   
$   .  , -   
   (1(  055L  -   
$ "        $ (1(
  
 $       
" F        
 (1(E  $     
  $   &  "&
   3 "- & -   
 "  (1( $  " "  
!&-     "   &
  (1(  "     
 
(  " 1  
 (1( &3 &    
"      $-    "
  G "  AH  
    3    
" /  I  $   "  
  "       
  *,)   $  (1( &3
*1(  (1(  & -  
  " =;55   "  -
$ %&  
O *1(K(1(       
      &    
 &    %&  
     :-   $ &
  *1(  (1(-  & " 
  -  $  & 1  - 
"       " & 3
>$ <4J"  -   & 4P4=5555 
" ?
1 *
  .     $ 3
 .  "   "$  $  $
)        " " 
 &      $ "
&   >0?  - >4?  $ 
  &- >4? $   &
-  ><?     - 
"      &  
  /    @
"
 .       
        &
   >-     %&
-       & &
    - ? , &  
   .   $    
/
C0D  &@ 1 2 %   
 1 $ - &00- !04- #
0789
C4D  M&- ( J-  J- 
 )-  ( * % - 
3%1 1 ( J   J-  - 1
   *$    
- & 09   !  
 ( - :- 0778 &

C<D *"  M  O O %  
       %
   ()- 6<>0?0==074- % 077=
C6D ) &  M -  J-  % +2 
     *
 !*5040- ( &    1
- 4550
C9D % (  %& & 1   #
 (, %- 4948- % 455<
C=D #      #  H  M
     )& $ "
2  (  -H 1   
$ - & 00-  04-  09000;-
0789
C;D %    )  '
3 4 % 5 
KK2&K K$K&K 
C8D ) J-  )-  %  )
/ % ,4 % % J$
  "- % 4555
C7D ) J-  )-  %  )-  
 / % ,4 / 
J$   "- % 4555

C05D % ( J  !  & % 3 
 6 1 2  # 
 :(09 : 1 
  : (- % 0789
C00D  J  ! & %    
   7 8 3  ()
1,: $  !- 09>0?49I
<9- % 0775
C04D * Q  9  5 
,  %    
" - + 96-  0I=6- 455<
C0<D * Q-  +-  % +  
   #
C06D     : O  ' 2 .
 " :    -
* - )- 0777
C09D %  )( %   ; ! 
 % ,  - < /#
      1 1
    
- !& 4555
C0=D %  )  = % . 2"
% 3 J$   "-
077=
C0;D %  )    '  
 1 * ,   M .-  - 
  * 1   &-
 0<70=4-  "- 0777 !( 0;05
C08D %  )    ' 
 '2.  %/3: ) - "  
  $- ) M  ) @
> ?- 1, -  -  44;475- 455<
C07D %  )  *"  M .0
; ,    /
. 1 * +. > ?-  *
  1      
 - )1 - 077=
C45D %  )-  -  ) J %
. /    / 
 7   %.>*7?@ ;  >
 % 1   (-
6;>7?-  70<74=- - 0778
C40D %  )    ' 
 1 * ,   M .-  - (
  #* 1   &-
!( 0;05-  0<70=4 +- M
0777
C44D    "  
 4 % ; %   >
 + 0775
C4<D  +     1 ) &
 M  * +-  - * M 
 >*'E50?- & 97K6  
!   (  &
 "- " 4550
C46D  + 3 6  
  1 % %-  -
    >E55?-
  - - % 4555
C49D  +   . 1 *$
 /   >* E77?-
-  !  (  >0777?
C4=D  I KK K$K
KMK 
C4;D +  - % ) (&-   % #
%    < /# 
 1 ( + <0- ! 6- - 0778-
 <9<=
C48D + -  *-  
 - 4 % >
 .  < % 
 &  ( & 98-  