安全軟件理論軟硬件協(xié)同設計可行性研究報告

?可修編.?可修編.安全軟件理論與軟硬件協(xié)同披it可打性研究報告一、 項目定義頂目名稱安全軟件理論與軟硬件協(xié)同設廿頂目領域本項目屬于基礎產業(yè)和髙新技術領域，澇及廿算機軟件與理論，系統(tǒng)芯片設itKit算機應用等學科。二、 貝目背景1.項目背景軟件可靠性一直是廿算機界關心的關建課II,1967年歐洲軟件工程先驅者Floyd提出用曲納斷言法來驗證程序的正確性;1969年圖靈獎獲得者Hoare提出使用程序公理系統(tǒng)來驗證程序的性質。七十年代的典型程序語言的數學理論并不淺汝程序的規(guī)說明，因此不能用于軟件的設計和開發(fā)。同時期的工作包括著重于程序性質的后驗證的方法，被用于一些常用算法的分析與正確性證明，但缺之支持規(guī)分析和梧導安全軟件設廿的演算技術。長期以來國際上不少軟件公司投人了大量的人力、物力和財力探索軟件設廿可靠性技術。設廿嚴格安全軟件系統(tǒng)需要解決下述二頂關鍵技術間題：?建立程序和軟件規(guī)的演算系貌，在軟件開發(fā)生命周期各階段均使用數學演算技術來建立軟件設廿和開發(fā)文檔。?設廿完整的演算法則用來指導下述關建開發(fā)任務：從用戶需求導出軟件系統(tǒng)各部件的規(guī)說明；從部件的規(guī)說明演算出低層軟件模挾過程的功能說明。在軟件設廿中用數學理論來指導嚴格安全軟件系統(tǒng)設廿,色括：?同一數學框架中處理程序和軟件規(guī)；?用符號演算實現程序和軟件規(guī)間的演算;?用謂詞演算驗證設廿方法的正確性；?用代數方法從軟件部件的抽象規(guī)說明推算出低層次程序模塊各個過程的規(guī)說明。學科負責人自1985年起對設廿嚴格安全軟件的完備演算理論進行了深人研究，取得了重大突破。主要仰新點有：?演算理論強調了設廿正確軟件的開發(fā)方法和使用數學演算來支持從軟件到程序代碼的轉換;?首先提出程序分解算武并第一次提出了求解規(guī)方程的演算法?;?首次給出程序設廿語言的一套完備的代數定律；?首先給出并證明由抽象數掘類型產生具體數據類型的完備演算法則;?首次為海量并行程序語言BSP培言建立指稱培義和代數轉化方法。主要學術成果fiS：?首次建立規(guī)的數學模型，并發(fā)現求解規(guī)方程（X;Q）＞S和（P；X）＞S的演算法則;?創(chuàng)建基于“上下仿真映照對”數據精化完備理論;?皿建程序代數（He-Hoa「e代數）,并用它來支持編譯器原型的設廿和證明；?提出編程貌一理論和連接各類程序理論的數學法冊。軟件演算理論和數據精化觀呱被譽為是面向模型軟件開發(fā)的一個里程碑，是國師標準規(guī)語言Z的精化理論基礎，是歐洲系貌設計語言B的軟件開發(fā)方法的理論及基碣。學科負責人還參?了包扌舌歐共體"便件編譯器”頂目在的若干國際項目的研究，在前面理論工作的基礎上，提出了“軟硬件混合廿算系統(tǒng)"這一研究方向，同時，在KiOJ立了協(xié)同設廿研究方向，是1996年協(xié)同設廿程序委員會主席。這里提出的怵同設廿系貌與原先的設廿方法不同，如高速鉄路的硬件控制系統(tǒng)，可采用可編程器件，應用軟件方法開發(fā)一f髙速挾路的控制系貌模型，看是否達到要求。若不行，只要修改所開發(fā)的軟件（可由軟件描述直接產生碩件的線路圖），直到設廿出一個滿意的模型化的髙速鉄胳，再實師生產。另外，象西門子公司的自動讀電表的便件控制系貌，汽車上的導航控制系統(tǒng)，洗衣機自動控制的芯片等硬件系統(tǒng)的特點是:要使硬件價榕便宜，設廿時間短，乂要保證硬件設it系貌準確無誤,這導致原先的設計方法很難滿足這種要求。事實上，尺管已有若干工作，但迄今為止，軟更件混合系統(tǒng)的分析和設廿是一f困難的課題，這是規(guī)代控制系貌的復雜性和可用苗片發(fā)展速度的局眼導致的。目前常用舸5!件描寫語言（例如VHDL和VERILOG）允許設廿者在抽象設廿的不同層次間進行自由的混合,在低層設廿方面,如：基本電路（例:晶依管、門電路、寄存器）分層的、結構化的網鏈；在髙層設廿方面，io：設廿操作的行為表達。但實際上缺乏行為語旬。多數設廿方法依頓于仿真器的支持，設廿中的間題通過務次使用仿真程序來發(fā)規(guī)，因而開發(fā)周期和產品的可靠性那受到了很大的眼制。近年來也有應用廿算邏輯方法來驗證徹處理器的正確性的嘗試，包括髙階逍輯驗證工貝H0L、函數編程和抽象狀態(tài)機等技術。然而此類形式的技術不能用來替代傳統(tǒng)的仿真技術。目前急切需要的是一個基于形式化方法的設廿技術，色括使用仿真枝術來支持整個設廿的可視化和開發(fā)過程。形式化的法呱可以讓硬件工程師來選擇各類設廿參數和細節(jié)結構，而最后產品的依系結構仍然由工程設廿人員來確定。有關想法還被應用到各種廿算例中（例:用OCCAM寫的程序和碩件的撤代碼），同時CSP理論得到了充分的發(fā)展，提供了自動工具（OCCAM轉換系統(tǒng)）。該系統(tǒng)被用TT800浮點單元的開發(fā)中，使T800提前一年完成。在工業(yè)界，模折很大程度上被汰為與驗證是同義舸，設廿過程經常遵循由規(guī)得到實現的過程，二者可通過一系列的輸人來進行模01,模擁可以重復進行，這樣，錯娛之處將得以發(fā)規(guī)、改正。1993年至1996年,學科負貫人與Intel公司硬件驗證小組和Cornell大學合作，設廿了-個硬件編譯器。這類溫語言的特征是：(1)對通過同步信息傳送的并行進程、通那作了明確的描述；(2)非常自然地描述數字系統(tǒng)。這個頂目展示了怎樣使用“握手模式的規(guī)”來為延時不敏感電路和時押電路產生一套等價的規(guī)格說明。一個自動工具被用于檢査“低層的實現是否符合了它們的規(guī)”。該研究結果表明，應著重考慮在一f給定的系貌中建立欄念間的聯系，這種聯系在于:M態(tài)圖(用來描術基本電路的行為);(b)延時不撤感代數(Delay-InsensitiveAlebraic)(用來詳細說明延時不敏感電路)；(c)通訊序列進程(用來描述通訊界面);(d)時押進程代數(用來描述同步電路)；⑻控制和數據界面(用來將控制模式和數據模式聯系起來)間的關系，這清楚地說明了要一個貌一構架來處理不同式、榔念間的界面的迫切性。過去幾年里，學科負責人在撤處理器驗證方面也作了一些成功的工作,有些工作采用HOL(fiDHighOrderLogic)系統(tǒng)，有些工作以“功能演算”和“抽象狀態(tài)機"為基礎,不管怎樣，形式化方法始終不能替代已有的模擁方法。所需要的_種方法，是使設計過程能以形式化技術為基礎，但所包含的模扔過程能使設廿形象化，有助于系貌的開發(fā)。形武化的規(guī)呱被引用進來，能幫Bl碩件工程師更正確地it算參數,考慮設計細節(jié)，為工程判斷上的決策提供方法。這種將形式語義和可驗證的模折器組合起來的方法將為工程設廿帶來更髙的可靠性。解決仿真與合成的不一致性是關鍵間題。在軟硬件混合系貌設廿的不同階段所使用的系統(tǒng)語言是不同的。在需求分析階段，時段邏輯語言和通訊進程代魏會用來描寫系統(tǒng)的實時性質以及它和周邊環(huán)境的交互功能。設廿階段會使用一個并行語言來實現需求階段所提出的函數和非函數功能，高級分解器會將這樣一個程序自動分解為軟件子系統(tǒng)和硬件子系統(tǒng)的描寫，機器語言和網表語言Q是軟件編譯器和硬件綜合器的目標語言。為了保證設廿方法的正確性，設廿過程被用到的務類語言就必須在同一語義框架中）111以形式化處理。這也被用來保證多類轉換器（軟硬件分析器,硬件綜合器,軟件編譯器）設廿的正確牲。為了支持產品的優(yōu)化設廿,協(xié)同設廿方法還得提供一套精化法呱用來實現語義等價設廿之間的轉換，并基于代魏語義進行等價性證明。在此基礎上，說明仿真器的工作與形式化描述的一致性。上述這些使得系統(tǒng)設廿可逐步引人多類優(yōu)化來堿少物理資源的共享和控制邏輯的切換。同時,工具也是必需的。怵同設廿技術所使用的多類支持工貝ais：系統(tǒng)性能分林工具、系統(tǒng)分解器、交互式仿真器等。這里的主要挑戰(zhàn)是設廿一個軟便件混成系統(tǒng)的統(tǒng)一語義框架用來處理、驗證多類轉換系統(tǒng)的正確tto]i是基于培義等價變換設廿方法的數學基礎，也是構造多類工具的邏輯基礎。由于在混成型系貌設計各個階段設廿人員會使用各種不同規(guī)、編程和設it語言與武，而多種文檔之同的轉換艮依賴于培義等價轉換軟件,為這一大類語言設廿共同的語義模里就成為整個設廿方法的關鍵難點。為了械少模型的復雜性，設it方法也得建立不同的語言之間的連接技術和變換法般。語義等價性間題是必須討論和解決的。在軟硬件混成系貌中，碩件的并行機制是建立在共享變量和信號呃動之上的，但軟硬件之間的交互依賴于同步通訊機制。這種統(tǒng)一的語義框架就不得不淺及一個面向通訊和狀態(tài)共享的混合型并行語言。這是在國際上還未研究過的難題。便件設廿語言VERILOG包含鄉(xiāng)類在軟件編程語言中從未使用過的結構和語句，它們的形式化描述和相應的精化法呱被國際廿算機界認為是對傳統(tǒng)語義研究的一個挑戰(zhàn)。為了增加該工具的靈活性,除了進行多類性能分林之外,還包括與用戶直接交互的通訊手段，這也?jjut該軟件工具設廿和實施的復雜性。還有一個技術難點涉及到軟硬件子系鋭之間的通訊界面的設it,采用傳統(tǒng)方法(同步或異步)使該部件結構規(guī)化，但會影喑整個混威系貌的性能，并且不利干系統(tǒng)的單茹片實現方案。為了塔加系統(tǒng)的安全性和可楊植性，本項目實施技術將不固定軟碩件通訊界面的協(xié)議，而根據用戶對系貌的要求(處理速度、信息量)來設廿面向應用的專用通訊界面。在系統(tǒng)的單茹片實施方案中，界面描寫最終們可用碩件來實現。在設廿實時嵌人武系統(tǒng)中，由于可用的硬件資滌眼制(性能、助耗、面枳)，產品的優(yōu)化是一個重要課題。軟硬件轉換器和分解器設廿中將結合多類分析優(yōu)化技術來減少元器件的數目，增加元器件在硬件子系統(tǒng)中的重用性。將對應的結構重組(Reconfigurable)也是-個技術難點。將為軟硬件混合系統(tǒng)的可組合描寫、分林和設廿提供一個綜合性的理論框架和設廿方法，它們具有下屬幾個特征:它能處理多類函數和非函數的需求分析,提出模塊化和優(yōu)化的處理方案?；谛挝浠夹g，從而保證目標產品的可靠性和安全性。能容納多類不同開發(fā)培言,并提供它們之間語義等價轉換的法則。與硬件系統(tǒng)設計密切聯系的軟件方面，規(guī)格說明的形式化及相應的開發(fā)方法和驗證工貝還未設廿出來。更進一步講，許多現有的形式化方法缺乏足筋的應用圍，它們沒有將許多性質(如:可靠性、安全性)進行組合考慮。軟硬件混合系統(tǒng)關鍵挑戰(zhàn)是:為硬件、軟件的協(xié)同設計尋找一個貌一構架，使我們的設廿能眼上“半導體設備及相應軟件”復雜性的飛速増加。另外,也要求我們在這相同的構架，既要解決模擁與數字設備，同時也要解決多時押系統(tǒng)間題。準備采用IntervalTemporalLogic(iITL)作為高層規(guī)的描述工具,與其它邏輯不同，ITL既能用來描述順序系統(tǒng)，Q能用來描述并行系貌，同時ITLQ強有力地支持工業(yè)界應用系統(tǒng)的安全性、實時性、可靠性等性質。由于模扔方法丈花時間，最終不能絕對保證硬件設廿的準確性。而向實際工業(yè)界應用的硬件系統(tǒng)，首先要保證準確，同時艮要提高開發(fā)速度,所以要研究面向“這些工業(yè)系統(tǒng)"硬件設it的軟件開發(fā)方法，“硬件規(guī)"用ITL來描述，使設廿的準確性!0約到上述ITL公式的準確性。用本學科研究提供的軟、硬件混合設廿方法，對于硬件系統(tǒng)的設廿而言,只要寫出相應的軟件描述即可。學科負責人在英國工作期間已經將這類方法使用在SONY公司的VCD穩(wěn)定器和西敏寺銀行的智能卡設it±o前者產品成本不到一美元,后者得到了英國工貿部LEVEL-5產品安全證書（最髙可靠性）。無論嚴格安全軟件理論還是廿算機軟班件協(xié)同設廿，均站在國際前列。三、頂目建按目標在嚴格安全軟件理論與數據精化法則方面:貝備國際級影響；形成與歐美相當水平的學派;培養(yǎng)出一個良好的學術梯臥；并推出廿算機軟硬件加同設計平臺，為SOC（SystemOnChip）的設廿提供先進的開發(fā)工貝。這將是典型的具有原皿性和自主知識產權的產、學、研密切結合的標志性成果。我國SOC能力十分薄弱，在汽車、航天、家電、醫(yī)療行業(yè)和金融界等，這樣的平臺有著極為廣泛的應用前景?，F在，我國研究人員往往去西方發(fā)達學習、訴間。建議重點學科若被批準，相信國外的研究人員將到這里來學習、訴間。四、項目建按所需經貴本項目建設總投入經費900JJ元，其中中央專項資金1OOJJ元（即廿委100H元)，XX市政府配套100開元，學校自籌資金(學校教育產業(yè)及事業(yè)收費收人等)700開元。具體資金投向為：設備與壞境730牙元；國際學術活動70JJ元;學科建設資料100JT元。本頂目抑購的代表性儀器設備有：SUN服務器、主要用于怵同廿算的IBM主機、用于科學計算的IBM小型機等。五、項目建按巳有條件、優(yōu)勢和特點學科所在的軟件學院是35所軟件學院之一，學校、