INTEGRITY-178 tuMP RTOS Green Hills Software

Tổng quan

Từ năm 1997, một nhóm chuyên trách tại Green Hills Software đã tập trung vào các giải pháp phần mềm an toàn và bảo mật để phát triển nền tảng và ứng dụng. Trung tâm phát triển An toàn & An ninh xuất sắc này tọa lạc tại Palm Harbor, Florida và đội ngũ nhân viên có nhiều kinh nghiệm trong ngành điện tử hàng không thương mại và quân sự, cung cấp cho khách hàng những chuyên gia tận tâm hiểu rõ quan điểm của ngành.

Sản phẩm và dịch vụ chứng nhận hoàn chỉnh

Phương pháp chứng nhận của chúng tôi là cung cấp các giải pháp hệ thống phần mềm đã được chứng minh với các chứng chỉ bảo mật hoàn chỉnh và phê duyệt tuân thủ an toàn—chứ không chỉ là tuyên bố “có thể chứng nhận”. Các giải pháp độc đáo của Green Hills Software kết hợp hỗ trợ chứng nhận dành riêng cho khách hàng với các tính năng phần mềm phổ biến được nhiều khách hàng sử dụng lại. Green Hills Software hỗ trợ toàn bộ nỗ lực chứng nhận của khách hàng, bao gồm khả năng tương thích sản phẩm phần cứng/phần mềm, phát triển trình điều khiển thiết bị phần cứng tùy chỉnh, thử nghiệm sản phẩm hoàn chỉnh trên phần cứng của khách hàng, tạo và phân phối dữ liệu vòng đời phù hợp cũng như hỗ trợ kiểm tra. Điều này giúp khách hàng có thể tập trung vào năng lực cốt lõi của mình, giảm rủi ro về tiến độ, chi phí và chứng nhận liên quan đến việc sử dụng các nguồn lực nội bộ hoặc từ nhiều nhà cung cấp.

Chuyên môn nội bộ

Tất cả các hoạt động chứng nhận—bao gồm xác minh độc lập—đều được thực hiện nội bộ. Cách tiếp cận nhà cung cấp duy nhất này giúp đơn giản hóa việc giám sát khách hàng và giảm thời gian cũng như số lượng liên hệ cần thiết để giải quyết các vấn đề tích hợp. Nhóm xác minh nội bộ tận tâm của chúng tôi đảm bảo cho khách hàng rằng các mục tiêu về tính độc lập của DO-178B/C và ED-12B/C được đáp ứng, đồng thời cung cấp quyền tiếp cận trực tiếp với các chuyên gia cần thiết để phát triển thử nghiệm mạnh mẽ và hoàn chỉnh. Nhân viên của Green Hills bao gồm Đại diện Kỹ thuật được chỉ định (DER) được FAA ủy quyền để hỗ trợ trong quá trình chứng nhận và đảm bảo các hoạt động kiểm tra và tuân thủ theo định hướng của khách hàng đều được hiểu rõ và hoàn thành.

Dữ liệu vòng đời RTOS được tạo và các hoạt động xác minh được thực hiện cho từng chương trình chứng nhận cụ thể và (các) nền tảng phần cứng mục tiêu liên quan của nó. Mỗi nỗ lực chứng nhận đều tận dụng tối đa khả năng tái sử dụng, truy xuất nguồn gốc và phả hệ từ các chứng nhận phù hợp trước đó. Green Hills cung cấp Gói hỗ trợ bo mạch (BSP) và các dịch vụ chứng nhận và phát triển trình điều khiển thiết bị, giải phóng khách hàng khỏi RTOS và các vấn đề giao diện phần cứng cấp thấp.

Đối với các dự án không được chịu ảnh hưởng của nước ngoài, tất cả các hoạt động chứng nhận của Palm Harbor—bao gồm cả việc phát triển và xác minh—đều do công dân Hoa Kỳ hoàn thành.

Nguồn gốc đã được chứng minh

INTEGRITY-178 RTOS đã nổi tiếng nhờ sự kết hợp độc đáo giữa các khả năng mạnh mẽ:

• Một hệ điều hành hỗ trợ phân vùng duy nhất đáp ứng cả yêu cầu đảm bảo an toàn DO-178B/C Cấp A và các yêu cầu đảm bảo và chức năng bảo mật Độ bền cao của NSA
• RTOS thực thi phân vùng thương mại đầu tiên được phê duyệt là tuân thủ các mục tiêu DO-178B Cấp A (2002)
• RTOS đầu tiên và duy nhất đạt được chứng nhận bảo mật SKPP/EAL 6+ (2008)
• Đã được chứng minh trong các ứng dụng khách hàng trong thế giới thực từ năm 1997 với hơn 80 gói chứng nhận khách hàng duy nhất DO-178B/C Cấp A/EAL 6+ được phân phối trên hơn 30 bộ vi xử lý khác nhau
• Mã nguồn RTOS được xem xét kỹ lưỡng—có lẽ là mã được xem xét kỹ lưỡng nhất cho đến nay
• RTOS đầu tiên được chứng nhận tuân thủ tiêu chuẩn kỹ thuật FACE™ 3.0
• RTOS đầu tiên và duy nhất là một phần của chứng nhận bảo mật hệ thống giải pháp tên miền chéo (CDS) “Raise the Bar”
• RTOS đầu tiên và duy nhất là một phần của chứng nhận đa lõi cho DO-178C và CAST-32A

Ví dụ các khác hàng đã triển khai:

• Commercial jets: A380, 737, 777, 787
• Military jets: C-5M, F-16, F-22, F-35
• Military propeller:C-130, C-130J, A400M
• Rotary wing: AH-1Z, UH-1Y, T-70, S-92

Tổng quát

INTEGRITY-178 tuMP RTOS được thiết kế cho tính xác định nghiêm ngặt cần thiết trong các hệ thống trên không quan trọng về an toàn nhằm đáp ứng các yêu cầu của RTCA DO-178B/C và EUROCAE ED-12B/C. INTEGRITY-178 là RTOS thương mại đầu tiên được phê duyệt là tuân thủ các mục tiêu DO-178B Cấp A (2002) và INTEGRITY-178 tuMP là RTOS đầu tiên và duy nhất là một phần của chứng nhận đa lõi cho DO-178C và CAST-32A (2021) ).INTEGRITY-178 và INTEGRITY-178 tuMP đa lõi đã được chứng minh trên thực tế với hơn 80 gói chứng nhận dành riêng cho khách hàng DO-178B/C Cấp A/EAL 6+ được phân phối trên hơn 30 bộ vi xử lý khác nhau.

Dựa trên thiết kế vi hạt phân tách hiện đại, INTEGRITY-178 tuMP cung cấp khả năng phân vùng ứng dụng hoàn chỉnh về không gian, thời gian và tài nguyên. Phân vùng đó hỗ trợ nhiều ứng dụng ở các mức độ an toàn và/hoặc bảo mật khác nhau chạy trên cùng một bộ xử lý, trên cùng một lõi hoặc các lõi khác nhau. Nó cũng hỗ trợ phân bổ tài nguyên, phát hiện lỗi và cách ly lỗi để ngăn chặn sự tương tác ngoài ý muốn giữa các ứng dụng độc lập.

INTEGRITY-178 RTOS đảm bảo rằng các lỗi do lỗi trong chương trình hoạt động trong một phân vùng KHÔNG THỂ làm gián đoạn hoạt động của các chương trình được gán cho các phân vùng khác.

Phân vùng mạnh mẽ

Phân vùng mạnh mẽ là khả năng cho phép xác minh một ứng dụng quan trọng về an toàn một cách độc lập với các ứng dụng khác cũng như đo lường độc lập thời gian thực hiện trong trường hợp xấu nhất (WCET). Phân vùng mạnh mẽ do đó làm giảm thời gian và chi phí khi thêm các ứng dụng mới hoặc sửa đổi vào hệ thống hiện có. Thông qua phân vùng mạnh mẽ về thời gian, không gian và tài nguyên, INTEGRITY-178 tuMP giảm thiểu thử nghiệm hồi quy cho các ứng dụng không thay đổi. Nỗ lực giảm bớt này giúp tiết kiệm chi phí đáng kể và thời gian đưa sản phẩm ra thị trường nhanh hơn. Đối với các hệ thống không có phân vùng mạnh mẽ, cả kiểm tra và phân tích hồi quy phải được thực hiện để đánh giá tác động của các ứng dụng mới hoặc đã sửa đổi đối với hoạt động chính xác liên tục và lợi nhuận của các ứng dụng không thay đổi.

Việc phân vùng mạnh mẽ trên bộ xử lý đa lõi phức tạp hơn nhiều so với bộ xử lý lõi đơn. Ngoài việc phân vùng theo thời gian và không gian cho từng lõi, việc phân vùng còn phải tính đến sự tranh chấp khi các lõi xử lý khác nhau truy cập đồng thời các tài nguyên được chia sẻ. Bài viết về vị trí CAST-32A về bộ xử lý đa lõi chỉ định một số yêu cầu để phân vùng mạnh mẽ:

• Các phân vùng phần mềm không thể làm nhiễm bẩn các vùng lưu trữ mã, I/O hoặc dữ liệu của các phân vùng khác
• Phân vùng phần mềm không thể tiêu thụ nhiều hơn mức phân bổ tài nguyên được chia sẻ của chúng
• Lỗi phần cứng duy nhất của một phân vùng phần mềm không thể gây ra ảnh hưởng xấu đến các phân vùng phần mềm khác
• Không có phân vùng phần mềm nào tiêu tốn nhiều hơn thời gian phân bổ của nó trên (các) lõi mà nó thực thi, bất kể các phân vùng đang thực thi trên không có lõi hoạt động nào khác hay trên tất cả các lõi hoạt động khác

Sự chậm trễ về thời gian thực hiện do tranh chấp tài nguyên được chia sẻ có thể ảnh hưởng nghiêm trọng đến WCET, lâu hơn tới 8-12 lần trong một số trường hợp. Sự can thiệp đa lõi đó phải được giảm thiểu để đáp ứng các yêu cầu phân vùng mạnh mẽ. INTEGRITY-178 tuMP cung cấp giải pháp can thiệp đa lõi chung dưới dạng giải pháp giám sát và phân bổ băng thông (BAM). BAM cho phép kiến trúc sư phần mềm phân bổ băng thông cho các tài nguyên được chia sẻ trên cơ sở từng lõi và thực thi các giới hạn đó để giảm thiểu WCET theo yêu cầu về mức đảm bảo thiết kế (DAL) cho các ứng dụng chạy trên mỗi lõi.

Dữ liệu chứng nhận an toàn

Các chuyên gia an toàn và bảo mật nội bộ của Green Hills Software phát triển, xác minh, hỗ trợ và duy trì các quy trình phần mềm tuân thủ DO-178B/C Cấp A và dữ liệu vòng đời cho tất cả các sản phẩm INTEGRITY-178. Thông qua đội ngũ chuyên gia tận tâm này, Green Hills Software hỗ trợ khách hàng trong suốt nỗ lực cấp chứng nhận quan trọng về an toàn và cung cấp dữ liệu chứng minh tuân thủ cần thiết. Dữ liệu vòng đời phần mềm được quản lý như một phần của nỗ lực chứng nhận INTEGRITY-178 tuMP DO-178B/C Cấp A bao gồm tất cả các mục được hiển thị trong danh sách ở bên phải.

Gói chứng nhận cũng bao gồm các dịch vụ của Green Hills Software cho tất cả các hoạt động tuân thủ DO-178B/C Cấp A liên quan đến việc xác minh hệ điều hành INTEGRITY-178 tuMP trên kiến trúc bộ xử lý được chỉ định theo yêu cầu của khách hàng. Tất cả các hoạt động kiểm tra, đánh giá, phân tích và thử nghiệm hệ điều hành INTEGRITY-178 tuMP đều được Green Hills Software thực hiện nội bộ bằng hệ thống bộ xử lý mục tiêu của khách hàng.

• Kế hoạch dành riêng cho khách hàng về các khía cạnh chứng nhận phần mềm (PSAC)
• Gói phần mềm (Phát triển, Xác minh, CM, SQA)
• Tiêu chuẩn phần mềm (Yêu cầu, Thiết kế, Mã)
• Tài liệu yêu cầu phần mềm
• Tài liệu thiết kế phần mềm
• Mã nguồn
• Mã đối tượng thực thi
• Ma trận truy xuất nguồn gốc
• Các trường hợp và quy trình kiểm thử xác minh phần mềm
• Kết quả xác minh phần mềm
• Tính toàn vẹn của phân vùng, thời gian, bộ nhớ và phân tích ngăn xếp
• Báo cáo sự cố
• Bản ghi quản lý cấu hình phần mềm
• Hồ sơ đảm bảo chất lượng phần mềm
• Tóm tắt thành tựu công cụ
• Chỉ số cấu hình môi trường vòng đời phần mềm dành riêng cho khách hàng
• Chỉ mục cấu hình phần mềm dành riêng cho khách hàng
• Tóm tắt Thành tựu Phần mềm dành riêng cho khách hàng (SAS)
• Tài liệu hướng dẫn tích hợp

Tổng quan

INTEGRITY-178 tuMP RTOS được thiết kế để có khả năng đảm bảo bảo mật cao nhất so với bất kỳ hệ điều hành thương mại hoặc trình ảo hóa nào và bao gồm khả năng lưu trữ các ứng dụng bảo mật đa cấp (MLS), chẳng hạn như giải pháp tên miền chéo (CDS). INTEGRITY-178 tuMP xuất phát từ một hệ thống bảo mật lâu đời không chỉ tuyên bố là an toàn mà còn có các chứng chỉ bảo mật để giảm rủi ro và cho phép triển khai trong các hệ thống nhạy cảm nhất. Các chứng nhận đó bao gồm Tiêu chí chung EAL6+, tiêu chuẩn “Độ mạnh mẽ cao” của NSA và tiêu chuẩn “Nâng cao tiêu chuẩn” của NSA dành cho các giải pháp tên miền chéo.

Kiến trúc hạt nhân tách biệt

Khi có nhiều ứng dụng tồn tại trong cùng một hệ thống, những ứng dụng đó có thể ở các cấp độ bảo mật khác nhau. Để đảm bảo rằng những ứng dụng đó chỉ truy cập vào thông tin mà chúng được ủy quyền, hệ thống cần triển khai môi trường vận hành Nhiều cấp độ bảo mật độc lập (MILS). Hệ điều hành MILS tách biệt các ứng dụng và dữ liệu của chúng thành các miền bảo mật khác nhau và cung cấp các cơ chế cho phép giao tiếp được ủy quyền giữa các miền. Hệ điều hành MILS nên bao gồm hỗ trợ lưu trữ các ứng dụng MLS, nhưng hầu hết thì không. Ứng dụng MLS điển hình là một giải pháp đa miền giúp lọc luồng thông tin cụ thể từ cấp độ bảo mật cao hơn đến cấp độ bảo mật thấp hơn.

Lớp cơ sở cho hệ điều hành MILS là hạt nhân phân tách. Hạt nhân tách biệt hoàn toàn cách ly các ứng dụng thành các phân vùng và kiểm soát luồng thông tin giữa các phân vùng và với các tài nguyên bên ngoài. Để tạo cơ sở an toàn nhất có thể, kernel tách là phần mềm duy nhất chạy ở chế độ kernel đặc quyền và chỉ bao gồm các chính sách bảo mật cơ bản. Bốn chức năng bảo mật cơ bản là bảo vệ tất cả các tài nguyên khỏi bị truy cập trái phép, cách ly các phân vùng ngoại trừ các luồng thông tin được cho phép rõ ràng, dọn dẹp tài nguyên và cách ly lỗi. Tất cả các dịch vụ khác được chuyển sang không gian người dùng không có đặc quyền, bao gồm ngăn xếp mạng, hệ thống tệp và ảo hóa. Kết quả là, hạt nhân phân tách cung cấp khả năng kiểm soát luồng thông tin và phân vùng có độ đảm bảo cao, đáp ứng các thuộc tính chính sách bảo mật không thể bỏ qua, có thể đánh giá, luôn được gọi và chống giả mạo (NEAT). INTEGRITY-178 tuMP RTOS là hệ điều hành MILS được triển khai dưới dạng hạt nhân phân tách hỗ trợ các ứng dụng MLS.

INTEGRITY-178 tuMP RTOS là hệ điều hành MILS được triển khai dưới dạng hạt nhân tách biệt hoàn toàn cách ly nhiều phân vùng và kiểm soát luồng thông tin giữa các ứng dụng.

Ảo hóa an toàn

Để cung cấp khả năng ảo hóa trong môi trường an toàn nhất, INTEGRITY-178 tuMP triển khai lớp ảo hóa trong không gian người dùng thay vì trong kernel. Cách tiếp cận này làm giảm kích thước của cơ sở điện toán đáng tin cậy (TCB) do đó giảm kích thước của bề mặt tấn công so với một bộ ảo hóa. Vi nhân phân tách INTEGRITY-178 tuMP sử dụng các tính năng phần cứng tương tự để thực thi cách ly như được sử dụng bởi bộ ảo hóa, nhưng nó vượt xa các tính năng phần cứng đó với thiết kế đảm bảo cao đồng thời giảm thiểu TCB. Lưu ý rằng giảm thiểu TCB không phải là mục tiêu cuối cùng mà chỉ là phương tiện để dễ dàng xác minh. Đối với các hệ thống yêu cầu bảo mật cao, mục tiêu cuối cùng là chứng nhận các yêu cầu đảm bảo an ninh hiện hành.

Di chuyển chức năng ảo hóa vào không gian người dùng mang lại:

• Hiệu suất cao hơn cho các ứng dụng quan trọng về an toàn và thời gian thực, không cần ảo hóa vì chúng chạy trực tiếp trên RTOS máy chủ INTEGRITY-178 tuMP
• Bảo mật chặt chẽ hơn vì mã ảo hóa không có trong kernel, từ đó giảm thiểu kích thước mã và bề mặt tấn công của mã kernel đồng thời phủ nhận các cuộc tấn công ảo hóa thông thường
• Chứng nhận dễ dàng hơn vì mã hạt nhân nhỏ hơn mà không cần ảo hóa và không cần cung cấp bằng chứng chứng nhận cho cả hạt nhân và hệ điều hành khách quan trọng về an toàn chạy trên nó
• An toàn và bảo mật trong tất cả các lớp phần mềm thay vì chỉ cung cấp bảo mật trong bộ ảo hóa và an toàn chỉ trong hệ điều hành khách

Để biết thêm thông tin, hãy tải xuống Tạo nền tảng nhúng đáng tin cậy cho các ứng dụng MLS

Tổng quan

Bộ xử lý đa lõi cung cấp cho các nhà thiết kế hệ thống điện tử hàng không quan trọng về an toàn những lợi ích đáng kể về kích thước nhỏ hơn, công suất thấp hơn và hiệu suất tăng lên, nhưng việc mang lại những lợi ích đó cho các hệ thống quan trọng về an toàn đã chứng tỏ là một thách thức. Điều đó chủ yếu là do sự phức tạp của việc xác nhận và chứng nhận kiến trúc phần cứng và phần mềm đa lõi.

Các cách tiếp cận đơn giản để giảm bớt nỗ lực xác thực có thể phủ nhận lợi ích của bộ xử lý đa lõi bằng cách hạn chế các ứng dụng chạy song song trên nhiều lõi. Tệ hơn nữa, chúng có thể dẫn đến các giải pháp trong trường hợp đặc biệt không thể sửa đổi hoặc mở rộng nếu không xác nhận lại toàn bộ hệ thống. Hai thành phần quan trọng để đạt được khả năng xử lý đa lõi tối ưu là phải có kiến trúc đa xử lý phần mềm linh hoạt và có giải pháp mạnh mẽ ở cấp hệ điều hành để giảm thiểu tranh chấp tài nguyên dùng chung, còn được gọi là giảm thiểu nhiễu đa lõi.

Các lõi xử lý riêng biệt (hiển thị bằng màu xám) chia sẻ nhiều tài nguyên (hiển thị bằng màu xanh lá cây), từ kết nối đến bộ nhớ và I/O.

Kiến trúc đa xử lý phần mềm

INTEGRITY-178 tuMP là một RTOS đa lõi hợp nhất hỗ trợ kết hợp đồng thời Đa xử lý bất đối xứng (AMP), Đa xử lý đối xứng (SMP) và Đa xử lý giới hạn (BMP). Trong AMP, mỗi ứng dụng được gán cho một lõi duy nhất và mỗi lõi được chạy độc lập với rất ít hoặc không có sự phối hợp có ý nghĩa giữa các lõi về mặt lập kế hoạch. Việc tách rời này có thể dẫn đến việc sử dụng không đúng mức do không thể mở rộng tài nguyên ứng dụng trên các lõi vật lý hoặc ảo, thiếu cân bằng tải và khó giảm thiểu tranh chấp tài nguyên dùng chung.

Giải pháp thay thế hiện đại là Đa xử lý đối xứng (SMP), trong đó một hệ điều hành duy nhất kiểm soát tất cả các tài nguyên, bao gồm cả luồng ứng dụng nào được chạy trên lõi nào. Kiến trúc này rất dễ lập trình vì tất cả các lõi đều truy cập tài nguyên “đối xứng”, cho phép HĐH gán bất kỳ luồng nào cho bất kỳ lõi nào. Việc không biết luồng nào sẽ chạy trên lõi nào là một thách thức lớn và là rủi ro đối với hoạt động mang tính quyết định trong các hệ thống quan trọng. Để giải quyết vấn đề này, CAST-32A tham khảo việc sử dụng Bound Multi-Processing (BMP). BMP là một dạng SMP nâng cao và hạn chế, liên kết tĩnh các tác vụ của ứng dụng với các lõi cụ thể, cho phép kiến trúc sư hệ thống kiểm soát chặt chẽ hoạt động đồng thời của nhiều lõi. BMP trực tiếp tuân theo yêu cầu đa lõi trong ARINC 653 Bổ sung 4 phần 2.2.1 trong đó nêu rõ: “Nhiều quy trình trong một phân vùng được lên lịch để thực thi đồng thời trên các lõi bộ xử lý khác nhau”.

Khả năng thay đổi theo thời gian của INTEGRITY-178 tuMP cho phép liên kết các ứng dụng khác nhau với các lõi trong các cửa sổ thời gian phân vùng khác nhau.

Phương pháp tiếp cận Đa xử lý thống nhất biến đổi theo thời gian (tuMP™) của INTEGRITY-178 tuMP mang lại sự linh hoạt tối đa cho việc chuyển, mở rộng và tối ưu hóa các ứng dụng quan trọng về an toàn và bảo mật cho kiến trúc đa lõi. Nó bắt đầu với một hạt nhân được phân vùng theo thời gian chạy trên tất cả các lõi cho phép mọi sự kết hợp giữa các ứng dụng AMP, SMP và BMP được liên kết với một lõi hoặc các nhóm lõi được gọi là nhóm ái lực. Sau đó, nó thêm phương sai thời gian để các cửa sổ thời gian phân vùng không cần phải căn chỉnh giữa các lõi. Tính linh hoạt của phương sai thời gian và sự lựa chọn AMP, SMP hoặc BMP mang lại cho kiến trúc sư phần mềm các công cụ để tối ưu hóa hiệu suất đa lõi quan trọng về an toàn.

RTOS quan trọng về an toàn duy nhất có hỗ trợ đa lõi đầy đủ

INTEGRITY-178 tuMP là RTOS có độ đảm bảo cao duy nhất:

Để biết thêm thông tin, hãy tải xuống Xử lý đa lõi tối ưu cho các ứng dụng quan trọng về an toàn

Là một phần của chứng nhận đa lõi cho DO-178C và CAST-32A

• INTEGRITY-178 tuMP được sử dụng trong Máy tính điện tử hàng không PU-3000 của CMC Electronics, được TSO phê duyệt với tư cách là giám đốc chuyến bay và chứng nhận của nó bao gồm bằng chứng đáp ứng tất cả các mục tiêu trong CAST-32A.

Được chứng nhận theo phiên bản mới nhất của Môi trường năng lực trên không trong tương lai—FACE 3.0—cho cả ba kiến trúc bộ xử lý điện tử hàng không: Arm, Intel và Power Architecture

• INTEGRITY-178 tuMP được chứng nhận tuân thủ Tiêu chuẩn kỹ thuật FACE 3.0 về cả an toàn và bảo mật.

Hỗ trợ các phiên bản mới nhất của ARINC 653

• Được cập nhật vào năm 2015, ARINC 653, Phần 1, Phần bổ sung 4 yêu cầu “Nhiều quy trình trong một phân vùng được lên lịch để thực thi đồng thời trên các lõi bộ xử lý khác nhau”. Bổ sung 5 tiếp tục yêu cầu đó. RTOS chỉ hỗ trợ Đa xử lý bất đối xứng (AMP) không đáp ứng Phụ lục 4 hoặc 5. Tương tự, RTOS hỗ trợ SMP nhưng không nằm trong phân vùng ARINC 653 sẽ không đáp ứng Phụ lục 4 hoặc 5. INTEGRITY-178 tuMP hỗ trợ Bound Multi- Xử lý (BMP) và Đa xử lý đối xứng (SMP) ngoài AMP, tất cả đều nằm trong phân vùng ARINC 653.

Bao gồm giảm thiểu nhiễu đa lõi CAST-32A

• Sự can thiệp từ nhiều lõi truy cập vào cùng một tài nguyên bộ xử lý dùng chung, chẳng hạn như bộ nhớ dùng chung, là một trở ngại lớn đối với hiệu suất xác định. INTEGRITY-178 tuMP cung cấp các thư viện kiểm tra giao diện và cơ chế phân bổ băng thông để giúp các nhà tích hợp hệ thống đáp ứng hướng dẫn CAST-32A.

Đáp ứng tinh thần đa lõi cho IMA

• Các hệ thống Điện tử hàng không mô-đun tích hợp thực sự (IMA) không cần phải được kiến trúc lại nếu ứng dụng được sửa đổi hoặc bổ sung. Chỉ INTEGRITY-178 tuMP cung cấp giải pháp chung cho nhiễu đa lõi giúp tránh được phần lớn việc kiểm tra lại và xác nhận lại nếu không cần thiết.

Hỗ trợ lõi ảo và siêu phân luồng

• INTEGRITY-178 tuMP có một giải pháp chung cho đa xử lý mở rộng sang lõi ảo, cho phép ứng dụng sử dụng tất cả lõi ảo chứ không chỉ lõi vật lý (ví dụ: 8 lõi ảo trên bộ xử lý lõi tứ.)

Cung cấp bằng chứng chứng nhận bảo mật để đáp ứng SKPP cho bộ xử lý đa lõi

• INTEGRITY-178 là hệ điều hành duy nhất từng được chứng nhận theo Hồ sơ bảo vệ hạt nhân phân tách (SKPP) “Độ mạnh mẽ cao” EAL6+ của NSA và INTEGRITY-178 tuMP đáp ứng các yêu cầu tương tự đó đối với bộ xử lý đa lõi.

Tranh giành tài nguyên được chia sẻ

Tất cả kiến trúc phần cứng đa lõi đều bao gồm các tài nguyên được chia sẻ, chẳng hạn như bộ điều khiển bộ nhớ, bộ nhớ DDR, I/O, bộ đệm và kết cấu bên trong kết nối chúng. Sự tranh giành các tài nguyên được chia sẻ này xảy ra khi nhiều lõi bộ xử lý cố gắng truy cập cùng một tài nguyên đồng thời. Trong các ứng dụng quan trọng về an toàn, mối quan tâm chính là làm thế nào sự tranh chấp tài nguyên được chia sẻ như vậy có thể khiến ứng dụng chạy trên một lõi can thiệp vào ứng dụng chạy trên lõi khác, ảnh hưởng tiêu cực đến tính quyết định, chất lượng dịch vụ và cuối cùng là sự an toàn.

Thời gian thực hiện trong trường hợp xấu nhất (WCET) thay đổi tùy theo số lượng lõi gây nhiễu (Kiến trúc năng lượng lõi tứ)

Tác động của nhiễu đa lõi như vậy có thể rất đáng kể. Chỉ với một lõi khác tranh giành cùng một tài nguyên, thời gian thực thi trong trường hợp xấu nhất (WCET) của ứng dụng có thể lâu hơn tới 8 lần. Với lõi can thiệp thứ hai và thứ ba, WCET có thể tăng vọt lên gấp 13 lần. Lưu ý rằng hành vi trong trường hợp xấu nhất này còn tệ hơn nhiều so với tuyến tính 2x, 3x, 4x có thể xảy ra đối với các trường hợp trung bình.

Trực tiếp giải quyết vấn đề nhiễu đa lõi này, Nhóm Phần mềm Cơ quan Chứng nhận (CAST), được hỗ trợ bởi FAA, EASA, TCCA và các cơ quan hàng không khác, đã xuất bản một báo cáo quan điểm có hướng dẫn cho các hệ thống đa lõi có tên CAST-32A. RTOS đa lõi INTEGRITY-178 tuMP hỗ trợ phân vùng mạnh mẽ như được định nghĩa trong CAST-32A, cho phép các nhà tích hợp hệ thống xác định thời gian thực thi trong trường hợp xấu nhất (WCET) của một ứng dụng mà không cần bất kỳ ứng dụng nào khác thực thi. Điều này tránh việc kiểm tra lại và xác minh lại toàn bộ hệ thống khi có bất kỳ ứng dụng nào thay đổi.

BAM: Giám sát và phân bổ băng thông

INTEGRITY-178 tuMP bao gồm khả năng Giám sát và Phân bổ Băng thông (BAM) được phát triển cho mục tiêu DAL A để quan sát các kênh nhiễu và giảm thiểu chúng. Dựa trên hơn 60 năm nghiên cứu và phát triển các chiến lược giảm thiểu và phân tích nhiễu đa lõi, BAM giám sát và thực thi việc phân bổ băng thông của kết nối cấp chip tới từng lõi, từ đó kiểm soát quyền truy cập vào tất cả các tài nguyên được chia sẻ

Kiến trúc sư hệ thống quyết định phân bổ bao nhiêu băng thông cho mỗi lõi dựa trên yêu cầu chức năng của ứng dụng hoặc mức độ đảm bảo thiết kế. Khi các ứng dụng trên một lõi cụ thể đạt đến ngưỡng băng thông cho một lượng tử thời gian BAM nhất định, lõi đó sẽ không được sử dụng các tài nguyên dùng chung cho đến lượng tử thời gian BAM tiếp theo. Ví dụ: sử dụng cơ chế này, một ứng dụng DAL-A chạy trên lõi 0 có thể được phân bổ một lượng tài nguyên nhất định, chẳng hạn như 60% tổng băng thông, trong khi 3 lõi còn lại chỉ có thể được phân bổ 15%, 15%, và 10% tương ứng.

	Thời gian thực hiện trong trường hợp xấu nhất (WCET) vẫn ổn định sau khi áp dụng BAM (Kiến trúc năng lượng lõi tứ).

Không giống như các giải pháp cạnh tranh chỉ sử dụng ngưỡng thời gian thô để cung cấp mạng lưới an toàn, lượng tử thời gian BAM tiếp cận ngưỡng thời gian của bộ hẹn giờ phần cứng. Bằng cách đó, BAM giảm thiểu một cách hiệu quả việc sử dụng nhiều tài nguyên của các ứng dụng hoạt động bình thường thay vì chỉ các ứng dụng gặp trục trặc hoặc độc hại.

Khi băng thông từ các lõi gây nhiễu bị giới hạn, thời gian thực thi của ứng dụng sẽ được kiểm soát trở lại và gần như không đổi khi số lượng lõi gây nhiễu tăng lên. Khi ứng dụng trên Core 0 được phân bổ 60% tổng băng thông tài nguyên dùng chung, quá trình thực thi chỉ mất 2,5 lần so với khi ứng dụng tự chạy và duy trì tốc độ thực thi xấp xỉ đó khi một hoặc nhiều lõi can thiệp chạy đồng thời. Phân bổ băng thông lớn hơn có thể làm giảm WCET hơn nữa.

Việc sử dụng cơ chế này BAM cho phép các nhà tích hợp hệ thống xác định và giảm thiểu nhiễu trên các hệ thống dựa trên đa lõi và giải quyết trực tiếp hướng dẫn CAST-32A, giảm đáng kể rủi ro tích hợp và chứng nhận. BAM cũng cho phép các nhà tích hợp hệ thống đạt được các mục tiêu SWaP của họ bằng cách cho phép sử dụng lõi tối ưu. Khi kết hợp với các thư viện tiện ích WCET đa lõi dành riêng cho SoC của Green Hills Software, BAM đảm bảo rằng các phân vùng quan trọng đáp ứng thời hạn yêu cầu, đồng thời cho phép các phân vùng có mức độ quan trọng thấp hơn khác thực thi đồng thời trên các lõi khác mà không ảnh hưởng đến các ứng dụng quan trọng. Điều này vẫn đúng ngay cả khi các phân vùng khác được sửa đổi hoặc khi các phân vùng mới được đưa vào hệ thống. Đây là khả năng quan trọng để duy trì và phát triển các hệ thống quan trọng dựa trên kiến trúc đa lõi.

Sách trắng về ứng dụng Để biết thêm thông tin, hãy tải xuống Giải quyết nhiễu đa lõi cho các ứng dụng quan trọng về an toàn

Tổng quan

RTOS đa lõi INTEGRITY-178 tuMP cung cấp môi trường ảo hóa tùy chọn để chạy hệ điều hành khách đồng thời mang lại mức độ an toàn, bảo mật và hiệu suất cao nhất. Không giống như hầu hết các giải pháp nhúng sử dụng bộ ảo hóa chạy trong không gian hạt nhân để cung cấp sự kết hợp giữa ảo hóa và cách ly, INTEGRITY-178 tuMP tách chức năng ảo hóa khỏi chức năng cách ly, giúp tăng cường tính bảo mật và hiệu suất. Ảo hóa được triển khai dưới dạng một lớp phần mềm tùy chọn chạy trong không gian người dùng, trong khi sự cô lập được phân phối bởi vi hạt nhân tách INTEGRITY-178 tuMP chạy ở chế độ đặc quyền (không gian hạt nhân). Kết quả là giải pháp được chứng nhận an toàn và bảo mật.

Di chuyển chức năng ảo hóa vào không gian người dùng mang lại:

• Hiệu suất cao hơn cho các ứng dụng quan trọng về an toàn và thời gian thực, không cần ảo hóa vì chúng chạy trực tiếp trên RTOS máy chủ INTEGRITY-178 tuMP
• Bảo mật chặt chẽ hơn vì mã ảo hóa không có trong kernel, từ đó giảm thiểu kích thước mã và bề mặt tấn công của mã kernel đồng thời phủ nhận các cuộc tấn công ảo hóa thông thường
• Chứng nhận dễ dàng hơn vì mã hạt nhân nhỏ hơn mà không cần ảo hóa và không cần cung cấp bằng chứng chứng nhận cho cả hạt nhân và hệ điều hành khách quan trọng về an toàn chạy trên nó
• An toàn và bảo mật trong tất cả các lớp phần mềm thay vì chỉ cung cấp bảo mật trong bộ ảo hóa và an toàn chỉ trong hệ điều hành khách

INTEGRITY-178 tuMP tách chức năng ảo hóa khỏi chức năng cách ly giúp tăng cường tính bảo mật và hiệu suất.

Hiệu suất hệ thống tổng thể cao nhất

“Ảo hóa tùy chọn” là thành phần quan trọng để tối đa hóa hiệu suất tổng thể của hệ thống vì mọi loại ảo hóa đều có một số hạn chế về hiệu suất. INTEGRITY-178 tuMP cho phép kiến trúc sư phần mềm chỉ sử dụng ảo hóa khi cần thiết, chẳng hạn như đối với các ứng dụng cũ hoặc các ứng dụng không quan trọng, để các ứng dụng thiết yếu theo thời gian thực và quan trọng về an toàn chạy mà không bị phạt ảo hóa. Kết quả là hiệu suất tổng thể của hệ thống cao hơn, với hiệu suất cao nhất chính xác ở nơi bạn cần.

An toàn khỏi Hyperjacking

Có một quan niệm sai lầm phổ biến rằng các trình ảo hóa vốn dĩ đã an toàn vì chúng sử dụng phần cứng để thực thi không gian địa chỉ ảo và I/O ảo để cô lập các máy ảo. INTEGRITY-178 tuMP và các hệ điều hành phân vùng khác sử dụng các tính năng phần cứng tương tự để thực thi cách ly nhưng không có lỗ hổng bảo mật của trình ảo hóa. Các nhà ảo hóa đã được chứng minh là dễ mắc phải các sai sót có thể cho phép thực thi mã thông qua lỗi tràn bộ đệm và các hoạt động khai thác khác. Ví dụ: lỗ hổng Spectre được tiết lộ vào đầu năm 2018 có thể lừa kẻ ảo hóa rò rỉ bí mật cho ứng dụng khách. Vì các trình ảo hóa chạy bên dưới hệ điều hành khách nên máy ảo, hệ điều hành khách hoặc ứng dụng khách không thể phát hiện được trình ảo hóa bị xâm nhập. Những hoạt động khai thác như vậy thậm chí còn có một cái tên hấp dẫn: hyperjacking. INTEGRITY-178 tuMP an toàn trước hiện tượng hyperjacking vì nó chạy quá trình ảo hóa trong phân vùng không gian người dùng.

Giải pháp an toàn được chứng nhận

Trái ngược với các giải pháp dựa trên phần mềm ảo hóa chỉ tuyên bố cung cấp tính bảo mật và cách ly, INTEGRITY-178 tuMP có nhiều chứng nhận bảo mật để chứng minh đây là giải pháp nhúng an toàn nhất hiện có. Bộ yêu cầu bảo mật cao nhất từng được xác định công khai cho một hệ điều hành là Hồ sơ bảo vệ hạt nhân phân tách (SKPP) do NSA xác định.

Vào năm 2008, INTEGRITY-178 RTOS đã trở thành hệ điều hành đầu tiên và duy nhất được chứng nhận theo SKPP và cùng cơ sở mã đó đồng thời tuân thủ các yêu cầu an toàn được xác định trong RTCA/DO-178B Cấp A. Chứng nhận theo SKPP dành cho cả hai “Độ bền cao” và Tiêu chí chung EAL 6+.

Là một phần của chứng nhận cho SKPP, INTEGRITY-178 đã được NSA phân tích lỗ hổng độc lập và thử nghiệm thâm nhập để chứng minh rằng nó có khả năng chống lại kẻ tấn công có tiềm năng tấn công cao và không cho phép những kẻ tấn công có tiềm năng tấn công cao vi phạm bảo mật. chính sách. Ngoài ra, nó còn được NSA phân tích kênh bí mật để chứng minh rằng nó đáp ứng tất cả các số liệu giảm thiểu kênh bí mật.

Gần đây hơn, vào năm 2018, Văn phòng Quản lý Chiến lược Tên miền chéo Quốc gia (NCDSMO), hiện thuộc phạm vi quản lý của NSA, đã xuất bản một bộ tiêu chuẩn bảo mật mới có tên là “Raise the Bar” (RTB) cho các giải pháp tên miền chéo (CDS). Các tiêu chuẩn RTB cho phép các hoạt động đa miền trên một không gian chiến đấu được kết nối bằng cách đảm bảo rằng CDS có ít nguy cơ bị lỗi, ngay cả khi bị tấn công mạng liên tục. Vào năm 2021, INTEGRITY-178 tuMP đã trở thành RTOS đầu tiên và duy nhất tham gia chứng nhận Raise the Bar.

• Hệ điều hành khách chưa sửa đổi: chạy mọi hệ điều hành chưa sửa đổi, chẳng hạn như Windows, Linux hoặc Android
• Mức độ quan trọng hỗn hợp: chạy đồng thời một hoặc nhiều hệ điều hành khách cùng với các phân vùng quan trọng về an toàn và quan trọng về bảo mật
• Thiết bị và thiết bị ngoại vi dùng chung: cho phép các thiết bị và thiết bị ngoại vi được chỉ định hoặc chia sẻ độc quyền giữa các hệ điều hành khách và các chức năng có độ đảm bảo cao
• Khả năng cấu hình: cung cấp tài nguyên hệ thống, bao gồm bộ nhớ và thiết bị
• Tăng tốc phần cứng: sử dụng khả năng tăng tốc ảo hóa phần cứng có sẵn, chẳng hạn như VT-x và VT-d, để tăng hiệu suất và giảm kích thước phần mềm
• Giám sát tình trạng: cho phép giám sát hiệu suất, phát hiện lỗi và khởi động lại hệ điều hành và ứng dụng khách
• Khách đa lõi: chạy nhiều hệ điều hành khách trên nhiều lõi với cấu hình chồng chéo để tận dụng tính năng cân bằng tải tự động dựa trên mức độ ưu tiên của INTEGRITY-178 tuMP
• Kiểm soát đa lõi: tính linh hoạt để liên kết từng hệ điều hành khách với một lõi trong mô hình Đa xử lý bất đối xứng (AMP) hoặc cho phép HĐH khách đa lõi lên lịch linh hoạt khối lượng công việc trên các lõi được chỉ định trong mô hình Đa xử lý đối xứng (SMP)
• Gỡ lỗi thống nhất: sử dụng trình gỡ lỗi MULTI với khả năng hiển thị và kiểm soát hoàn chỉnh và thống nhất đối với tất cả các thành phần phần mềm thực thi của hệ thống ảo hóa, bao gồm nhân RTOS, lớp ảo hóa, hệ điều hành khách Linux và trình điều khiển thiết bị, các ứng dụng trên hệ điều hành khách và các ứng dụng quan trọng chạy trên RTOS

Hỗ trợ ngôn ngữ được chứng nhận

Hỗ trợ phát triển ứng dụng bằng C, C++ và Ada, bao gồm các tập hợp con thư viện được thiết kế cho các ứng dụng liên quan đến DO-178B Cấp A (và các cấp thấp hơn), Bảo mật đa cấp (MLS) và Bảo mật nhiều cấp độ độc lập (MILS). Các cân nhắc về ngôn ngữ lập trình được xác định trong Sổ tay Công nghệ hướng đối tượng trong Hàng không (OOTiA) đã được sử dụng để lựa chọn các tính năng thư viện hướng đối tượng được hỗ trợ. Hỗ trợ C, C++ và Ada là một phần của sự tuân thủ FACE được chứng nhận cho INTEGRITY-178 tuMP.

Tập hợp con thư viện ANSI C được bao gồm trong INTEGRITY-178 tuMP RTOS. EC++178 là một triển khai quan trọng về an toàn và bảo mật cho cấu hình C++ của Green Hills Software, là tập hợp con của C++ đầy đủ dựa trên sự kết hợp của Embedded C++ và OOTiA.

Hệ thống thời gian chạy Ada có sẵn cho hai cấu hình Ada khác nhau. Hệ thống thời gian chạy Ada tối thiểu GHS (GMART) là hệ thống thời gian chạy Ada đơn tác vụ quan trọng về an toàn và bảo mật dựa trên cấu hình SPARK Ada. GMART cũng có thể được sử dụng trong các ứng dụng đa luồng (trên cơ sở từng quy trình) khi được sử dụng cùng với Dịch vụ bắt buộc ARINC 653 Phần 1. Hệ thống thời gian chạy Ada đảm nhiệm an toàn GHS (GSTART) là hệ thống thời gian chạy Ada đa nhiệm đảm bảo an toàn và bảo mật dựa trên hồ sơ Ravenscar Ada. GSTART hỗ trợ phân tích tính xác định và khả năng lập kế hoạch cho đa tác vụ.

Tập hợp con ANSI C, EC++178, GMART và GSTART có sẵn với đầy đủ tài liệu chứng nhận DO-178C Cấp A sẵn có. Tất cả đều đã chính thức vượt qua Cấp độ A nhiều lần với tư cách là một phần của hệ thống điện tử hàng không và do đó đều được chứng nhận chứ không chỉ có thể chứng nhận.

Hệ thống tệp PJFS-178

Sản phẩm PJFS-178 là hệ thống tệp tin cậy, có độ đảm bảo cao được thiết kế cho chứng nhận DO-178B Cấp A hỗ trợ cả dịch vụ tệp và thư mục. Việc triển khai máy khách-máy chủ có quy mô nhỏ này cung cấp quyền truy cập an toàn khi mất điện vào nhiều thiết bị lưu trữ cơ bản. Máy khách PJFS-178 cung cấp API dựa trên POSIX có thể nằm trong một hoặc nhiều phân vùng ứng dụng. Máy chủ PJFS-178 triển khai hệ thống tệp, xử lý các yêu cầu API đồng thời từ máy khách và quản lý tất cả các thiết bị lưu trữ tệp vật lý và ảo. Máy chủ PJFS-178 cung cấp hỗ trợ phân vùng khi được sử dụng bởi các máy khách chạy trong các phân vùng khác nhau.

Máy chủ PJFS-178 có thể quản lý nhiều thiết bị lưu trữ, được chia thành các khối riêng biệt, mỗi khối có quyền truy cập máy khách riêng. Nhật ký hoạt động được sử dụng để đảm bảo tính toàn vẹn của hệ thống tệp và cung cấp các hoạt động ghi an toàn khi mất điện. Thời gian khởi động rất nhanh vì không cần thực hiện thao tác ‘kiểm tra đĩa’. PJFS-178 cũng có thể được tích hợp với trình điều khiển thiết bị flash cân bằng độ hao mòn DO-178B Cấp A.

Mạng IPFLITE UDP/IP

Sản phẩm IPFLITE cung cấp hệ thống mạng UDP/IP cho chứng nhận DO-178B Cấp A. Việc triển khai máy khách-máy chủ nhẹ này cung cấp hỗ trợ mạng đáng tin cậy cho các thiết bị được kết nối Ethernet. Ứng dụng khách IPFLITE cung cấp API ổ cắm kiểu BSD có thể được sử dụng để truy cập các dịch vụ mạng. Máy chủ IPFLITE cung cấp triển khai ngăn xếp mạng, quản lý nhiều thiết bị Ethernet và xử lý đồng thời các yêu cầu API từ máy khách và các yêu cầu/truyền Giao thức phân giải địa chỉ (ARP). Máy chủ IPFLITE cung cấp hỗ trợ phân vùng khi được sử dụng bởi các máy khách hoạt động trong các phân vùng khác nhau.

Thư viện Giao thức truyền tệp tầm thường IPFLITE (TFTP) cung cấp các dịch vụ TFTP tương thích với các sản phẩm INTEGRITY-178, IPFLITE và PJFS-178. Thư viện TFTP hỗ trợ cả yêu cầu truyền tệp đọc và ghi được tạo thông qua API TFTP hoặc bởi máy chủ nước ngoài.

Mạng TCP/IP GHNet-178

Ngăn xếp GHNet-178 TCP/IP là ngăn xếp IPv4/IPv6 chế độ kép đầy đủ tính năng và hiệu suất cao dành cho các hệ thống nhúng không yêu cầu DO-178C hoặc chứng nhận bảo mật. GHNet-178 được tích hợp với nhiều ứng dụng mạng, giao thức quản lý và bảo mật. GHNet-178 cung cấp một số khả năng tùy chọn, bao gồm ngăn xếp bộ định tuyến nâng cao, thư viện IPSec, FTP, NFS và hỗ trợ bảng nối đa năng cục bộ.

ARINC 653 Part 1 APEX

Sản phẩm Dịch vụ bắt buộc ARINC 653 (Phần 1) đáp ứng các đặc điểm và giao diện được xác định cho hệ điều hành trong ARINC 653 Phần 1, “Giao diện tiêu chuẩn của phần mềm ứng dụng điện tử hàng không Phần 1- Dịch vụ bắt buộc”. ARINC 653 phần 1 xác định giao diện phần mềm Ứng dụng/Điều hành (APEX) có mục đích chung giữa hệ điều hành của máy tính điện tử hàng không và phần mềm ứng dụng.

Thư viện ARINC 653 APEX cung cấp API tuân thủ ARINC 653 cho INTEGRITY-178 RTOS và bao gồm các khả năng theo dõi tình trạng ở cấp mô-đun và cấp phân vùng. Các ràng buộc ngôn ngữ được hỗ trợ cho phép phát triển các ứng dụng ARINC 653 liên quan đến DO-178B Cấp A (và các cấp thấp hơn), MLS và MILS bằng Ada, C hoặc C++. Sản phẩm này bao gồm hỗ trợ cho các phiên bản mới nhất, Phần bổ sung 4 & 5, bổ sung thêm khả năng đa lõi. Cụ thể, tiêu chuẩn này yêu cầu “sử dụng đồng thời nhiều lõi xử lý cho các tiến trình trong một phân vùng” và “hỗ trợ lập lịch các tiến trình có thể chạy trên một trong các lõi xử lý được gán cho phân vùng”. Được kết hợp với nhau, những thứ đó đòi hỏi mối quan hệ cốt lõi của đa xử lý ràng buộc (BMP). INTEGRITY-178 tuMP hỗ trợ mối quan hệ lõi nhiệm vụ và BMP, cũng như mối quan hệ cốt lõi.

ARINC 653 Part 2 Extended Services

Green Hills Software cung cấp các sản phẩm cho năm dịch vụ tùy chọn được xác định trong ARINC 653 Phần 2, “Giao diện tiêu chuẩn của phần mềm ứng dụng điện tử hàng không Phần 2 – Dịch vụ mở rộng”.

Giao diện hệ thống tệp ARINC 653 bao gồm một thành phần hệ thống tệp cấp cao duy nhất được sử dụng với INTEGRITY-178 tuMP và PJFS-178 để cung cấp khả năng hệ thống tệp cho các ứng dụng dựa trên ARINC 653.

Giao diện lịch trình nhiều mô-đun ARINC 653 (Phần 2) cung cấp khả năng cho các phân vùng được ủy quyền để chọn lịch trình mô-đun mới, trong đó lịch trình mô-đun mới bắt đầu ở cuối khung chính. Khả năng thay đổi sang lịch trình mô-đun khác có thể hữu ích cho các trình tự khởi tạo, thích ứng với lỗi thành phần hoặc phản ứng với sự thay đổi chế độ hệ thống theo chỉ dẫn của phi công.

Khả năng mở rộng cổng lấy mẫu ARINC 653 mở rộng các dịch vụ có sẵn để các ứng dụng tuân thủ ARINC 653 sử dụng. Mục đích chính của các dịch vụ này là mang lại sự linh hoạt cao hơn cho ứng dụng khi đọc các thông báo cổng lấy mẫu.

Khả năng Khối bộ nhớ ARINC 653 cung cấp phương tiện để phân vùng truy cập các khối bộ nhớ vật lý cụ thể. Phân vùng được cấp (hoặc từ chối) quyền truy cập vào Khối bộ nhớ theo các đặc quyền truy cập được xác định trong bảng cấu hình. Khả năng này có thể hữu ích để xác định cơ sở dữ liệu chỉ đọc, chẳng hạn như cơ sở dữ liệu điều hướng hoặc ánh xạ tới các thiết bị IO.

Khả năng mở rộng lõi đa bộ xử lý ARINC 653 mang lại sự linh hoạt cao hơn trong việc gán các quy trình (nhiệm vụ) cho lõi. Phần 1 yêu cầu mỗi quy trình phải được xác định để có khả năng chạy trên một lõi bộ xử lý cụ thể, một khả năng còn được gọi là đa xử lý bị ràng buộc (BMP). ARINC 653 Phần 2 cung cấp khả năng cho một quy trình có ái lực chạy trên bất kỳ lõi bộ xử lý nào, một khả năng còn được gọi là đa xử lý đối xứng (SMP). INTEGRITY-178 tuMP cung cấp cả BMP và SMP bên cạnh tính năng đa xử lý bất đối xứng (AMP). Trong Phần 1, mối quan hệ cốt lõi của nhiệm vụ chỉ có thể được đặt trong giai đoạn khởi tạo. Phần 2 nới lỏng hạn chế đó và cho phép thay đổi ái lực trong chế độ hoạt động bình thường nếu được bảng cấu hình cho phép.

INTEGRITY-178 tuMP RTOS được thiết kế để trở thành một phần của giải pháp Kiến trúc hệ thống mở mô-đun (MOSA). Do đó, nó được thiết kế để đáp ứng các tiêu chuẩn đảm bảo cao quan trọng và được chứng nhận cho những tổ chức được liệt kê trong bảng bên dưới có quy trình chứng nhận (nhấp vào các liên kết bên dưới để chuyển đến phần đó.)

ARINC 653

Dòng thông số kỹ thuật 653 của Aeronautical Radio, Inc. (ARINC) giải quyết môi trường vận hành phần mềm cho Mô-đun tích hợp (IMA) và có thể được áp dụng cho các ứng dụng quan trọng về an toàn khác. Thông số kỹ thuật này là một tiêu chuẩn để phân vùng theo thời gian và không gian, cho phép chạy nhiều ứng dụng có mức độ quan trọng khác nhau trên cùng một phần cứng.

Điều này cung cấp một mức độ bảo vệ lỗi trong đó các lỗi trong một phân vùng không được phép ảnh hưởng đến việc thực thi trong các phân vùng khác. Green Hills Software là thành viên tích cực tham gia vào ủy ban kỹ thuật ARINC 653.

ARINC 653 phần 1 xác định giao diện phần mềm Ứng dụng/Điều hành (APEX) có mục đích chung giữa hệ điều hành của máy tính điện tử hàng không và phần mềm ứng dụng. Các bản cập nhật gần đây nhất, Phần bổ sung 4 và 5, bổ sung thêm khả năng dịch vụ bộ xử lý đa lõi. Cụ thể, tiêu chuẩn yêu cầu “Sử dụng đồng thời nhiều lõi bộ xử lý theo các quy trình trong một phân vùng” và “hỗ trợ lập lịch các quy trình có thể chạy trên một trong các lõi bộ xử lý được gán cho phân vùng”. Được kết hợp với nhau, những thứ đó đòi hỏi mối quan hệ cốt lõi của nhiệm vụ đa xử lý ràng buộc (BMP). INTEGRITY-178 tuMP hỗ trợ đầy đủ ARINC 653 phần 1, bao gồm chế độ BMP và tất cả các dịch vụ được yêu cầu.

AARINC 653 phần 2 xác định một tập hợp các dịch vụ tùy chọn, nếu được triển khai, có thể được sử dụng bởi ứng dụng tuân thủ ARINC 653. Green Hills Software cung cấp năm dịch vụ tùy chọn: hệ thống tệp, lịch trình nhiều mô-đun, phần mở rộng cổng lấy mẫu, khối bộ nhớ và phần mở rộng dịch vụ đa lõi. Xem Sản phẩm theo lớp để biết mô tả về từng sản phẩm đó.

Đối với các ứng dụng không phải ARINC 653 cần một số quyền truy cập vào các dịch vụ ARINC 653, Green Hills Software cung cấp Tập hợp con cổng (phần 3.6) và Tập hợp con theo dõi sức khỏe (phần 2.4 và 3.8). Các tập hợp con này đặc biệt hữu ích cho các ứng dụng POSIX trong hệ thống tuân thủ tiêu chuẩn kỹ thuật Môi trường khả năng trên không trong tương lai (FACE) và cho các ứng dụng Ada sử dụng hệ thống Thời gian chạy Ada thực hiện nhiệm vụ an toàn GHS (GSTART).

CAST-32A

Nhóm Phần mềm Cơ quan Chứng nhận (CAST), bao gồm những người tham gia từ FAA, EASA và TCCA, đã xuất bản một báo cáo quan điểm có tên CAST-32A cung cấp hướng dẫn về chứng nhận hệ thống phần mềm trên không thực thi trên bộ xử lý đa lõi (MCP). Mối quan tâm chính là sự can thiệp giữa các ứng dụng chạy trên các lõi khác nhau do sự chậm trễ trong việc truy cập vào các tài nguyên dùng chung do tranh chấp từ các lõi khác. Sự can thiệp đó có thể khiến các ứng dụng quan trọng về an toàn chạy theo cách không xác định hoặc không an toàn, khiến ứng dụng không hoàn thành nhiệm vụ quan trọng về an toàn trong thời gian cần thiết.

Giống như hầu hết các tiêu chuẩn an toàn điện tử hàng không, việc tuân thủ CAST-32A là trách nhiệm cuối cùng của nhà tích hợp hệ thống. Tuy nhiên, đó là một nhiệm vụ rất khó khăn nếu không có sự hỗ trợ đáng kể từ hệ điều hành để quan sát và giảm thiểu nhiễu đa lõi.

Tương tự như cách mà lịch trình phân vùng và hỗ trợ MMU cần được triển khai trong HĐH, việc thực thi giảm thiểu nhiễu đa lõi cần phải có trong HĐH để đạt được khả năng phân vùng đa lõi mạnh mẽ.

RTOS đa lõi INTEGRITY-178 tuMP bao gồm các khả năng, công cụ và thư viện cụ thể để giải quyết trực tiếp hiện tượng nhiễu đa lõi và hỗ trợ tuân thủ CAST-32A. Những khả năng đó cung cấp khả năng phân vùng mạnh mẽ đa lõi, giúp INTEGRITY-178 tuMP trở thành RTOS đầu tiên và duy nhất trở thành một phần của chứng nhận đa lõi cho DO-178C và CAST-32A. INTEGRITY-178 tuMP bao gồm khả năng Giám sát và Phân bổ Băng thông (BAM) để quan sát các kênh nhiễu và giảm thiểu chúng bằng cách kiểm soát quyền truy cập vào tất cả các tài nguyên được chia sẻ. Kiến trúc sư hệ thống quyết định phân bổ bao nhiêu băng thông cho mỗi lõi dựa trên yêu cầu chức năng của ứng dụng hoặc mức độ đảm bảo thiết kế. BAM thực thi các phân bổ đó, do đó hạn chế tác động của bất kỳ nhiễu đa lõi nào không vượt quá thời gian thực hiện tối đa cho một ứng dụng nhất định. Green Hills Software cũng cung cấp các thư viện tạo nhiễu và tạo DMA để mô phỏng nhiễu vượt quá những gì được tìm thấy trong các ứng dụng thông thường. Khi kết hợp với nhau, các thư viện tạo nhiễu và DMA cũng như cơ chế thời gian chạy BAM cung cấp các công cụ cần thiết cho nhà tích hợp hệ thống để xác định thời gian thực thi trong trường hợp xấu nhất đa lõi, giảm thiểu nhiễu và giảm thiểu nỗ lực chứng nhận cũng như rủi ro cho các hệ thống đa lõi.

Để biết thêm chi tiết về các mục tiêu CAST-32A và cách INTEGRITY-178 tuMP đáp ứng chúng, hãy xem trang web CAST-32A của chúng tôi

Để biết thêm thông tin, hãy xem sách trắng của chúng tôi “Giải quyết nhiễu đa lõi cho các ứng dụng quan trọng về an toàn“.

DO-178B/C và ED-12B/C

DO-178 “Những cân nhắc về phần mềm trong chứng nhận thiết bị và hệ thống trên không” do Ủy ban kỹ thuật vô tuyến hàng không (RTCA) xuất bản là tiêu chuẩn chính để phát triển phần mềm điện tử hàng không thương mại. Các cơ quan chứng nhận như FAA, EASA và Transport Canada đều sử dụng DO-178 như một phương tiện được chấp nhận để thể hiện sự tuân thủ các quy định hiện hành về khả năng đủ điều kiện bay đối với các khía cạnh phần mềm của chứng nhận thiết bị và hệ thống trên không. Tiêu chuẩn này là nỗ lực chung với EUROCAE và được gọi là ED-12 ở Châu Âu. Hầu hết các chứng nhận đã được thực hiện với DO-178B/ED-12B, nhưng hiện nay DO-178C/ED-12C được khuyến nghị cho những nỗ lực mới.

Các ứng dụng khác nhau trong hệ thống điện tử hàng không có thể có mức độ quan trọng về an toàn khác nhau, được gọi là Cấp độ đảm bảo thiết kế (DAL). Các cấp độ dao động từ DAL A, khi hư hỏng sẽ là thảm họa, đến DAL E, khi hư hỏng sẽ không ảnh hưởng đến an toàn. Yêu cầu đối với các cấp độ cao hơn lớn hơn đáng kể về số lượng, độ khó và mức độ độc lập giữa phát triển và xác minh.

INTEGRITY-178 tuMP đã nhiều lần đáp ứng thành công các mục tiêu chứng nhận DO-178B DAL A, trên một số kiến trúc SOC đa lõi khác nhau, mỗi kiến trúc có một thiết kế lõi khác nhau. Các tạo phẩm chứng nhận hiện có sẵn cho bản sửa đổi mới nhất, DO-178C, dành cho Kiến trúc Intel, Arm và Power đa lõi. Ngoài ra, Green Hills Software có nhân viên là Đại diện Kỹ thuật được chỉ định của FAA (DER) và khách hàng của chúng tôi có thể tận dụng chuyên môn này để hỗ trợ chứng nhận phần mềm của riêng họ.

DO-297

DO-297 “Hướng dẫn phát triển và chứng nhận hệ thống điện tử hàng không mô-đun tích hợp (IMA)” do RTCA xuất bản, cung cấp hướng dẫn về cách sử dụng nền tảng điện toán hiệu suất cao để lưu trữ nhiều ứng dụng trên một bộ xử lý hoặc mạng bộ xử lý phân tán. IMA cho phép tăng khả năng và độ phức tạp của hệ thống điện tử hàng không đồng thời giảm kích thước, trọng lượng và công suất (SWaP) của các hệ thống đó. Các mục tiêu cấp cao hơn bao gồm cung cấp các lộ trình nâng cấp hiệu quả về mặt chi phí, giới thiệu các khả năng vận hành mới, cho phép bảo trì nhanh chóng và hiệu quả, đồng thời tránh tình trạng lỗi thời sớm.

Nhiệm vụ chính của nền tảng IMA là thực thi phân vùng mạnh mẽ cho phép nhiều ứng dụng chia sẻ nền tảng và tài nguyên của nó. Khả năng phân vùng mạnh mẽ đảm bảo mọi ứng dụng được lưu trữ đều không có tác dụng ngoài ý muốn đối với các ứng dụng được lưu trữ khác. Là thành phần chính ở cấp nền tảng IMA, hệ điều hành (OS) chịu trách nhiệm triển khai phân vùng mạnh mẽ. Trong hệ thống đa lõi, điều đó bao gồm việc giảm thiểu nhiễu đa lõi như được mô tả trong CAST-32A.

Đặc điểm chính tương ứng của các ứng dụng IMA chạy trên nền tảng IMA là các ứng dụng có thể sửa đổi độc lập. Điều này yêu cầu mỗi ứng dụng phải có thể sửa đổi được mà ít hoặc không ảnh hưởng đến các ứng dụng khác cũng như tài nguyên và mô-đun nền tảng. Khả năng sửa đổi ứng dụng một cách độc lập là cần thiết để đáp ứng các mục tiêu của IMA là cung cấp lộ trình nâng cấp hiệu quả về mặt chi phí và giới thiệu các khả năng vận hành mới mà không cần kiểm tra lại và xác minh lại toàn bộ hệ thống. Nhiễu đa lõi là trở ngại lớn cho mục tiêu này vì nhiễu từ ứng dụng đã sửa đổi có thể khiến ứng dụng hiện tại không thực thi chính xác hoặc ngược lại. Do đó, để đáp ứng các mục tiêu của DO-297, hệ điều hành phải triển khai một giải pháp rộng rãi để giảm thiểu nhiễu đa lõi.

Để biết thêm thông tin, hãy xem Ghi chú công nghệ của chúng tôi “IMA đa lõi yêu cầu giảm thiểu nhiễu đa lõi”.

DO-326 và DO-356

DO-326A/ED-202A “Đặc tả quy trình an ninh đủ điều kiện bay” cung cấp hướng dẫn về các quy trình xử lý mối đe dọa tương tác điện tử trái phép có chủ ý đối với an toàn máy bay. Sự tương tác trái phép đó bao gồm các mối đe dọa như hậu quả của phần mềm độc hại và dữ liệu giả mạo cũng như các tác động logic của hệ thống bên ngoài lên hệ thống máy bay. DO-356A/ED-203A “Các phương pháp và điều cần cân nhắc về an ninh đủ điều kiện bay” là tài liệu đồng hành cung cấp một bộ phương pháp khả thi để tuân thủ hướng dẫn DO-326A/ED/202A. Nó bao gồm 14 nguyên tắc ở cấp độ máy bay, cấp độ hệ thống và cấp độ hạng mục, từ “Phòng thủ theo chiều sâu” và “Ngăn chặn vượt qua các rào cản an ninh” đến “Độc lập & cô lập” và “Kiểm soát quyền truy cập vào các kết nối”.

Không giống như DO-178B/C, các tài liệu này cung cấp hướng dẫn hầu như chỉ ở cấp độ hệ thống chứ không phải ở cấp độ thành phần. Do đó, đóng góp chính của hệ điều hành hoặc trình ảo hóa là cung cấp cơ sở an toàn để nhà tích hợp có thể làm theo hướng dẫn và đáp ứng các mục tiêu. INTEGRITY-178 tuMP cung cấp cơ sở an toàn nhất cho bất kỳ hệ điều hành nào với chứng nhận NAIP của Hồ sơ bảo vệ hạt nhân phân tách (SKPP) của NSA đến “HighRobustness”/EAL 6+. Bởi vì SKPP trực tiếp giải quyết các hệ điều hành và bao gồm việc kiểm tra và phân tích thâm nhập của NSA, đây là một con đường đã được chứng minh để cung cấp mức độ bảo mật đủ điều kiện bay cao nhất.

Để biết thêm thông tin, hãy xem sách trắng của chúng tôi “Tạo nền tảng nhúng đáng tin cậy cho các ứng dụng MLS”.

FACE

Hiệp hội Môi trường Năng lực Hàng không Tương lai là sự hợp tác của chính phủ và ngành nhằm xác định một môi trường điện tử hàng không mở cho tất cả các loại nền tảng hàng không quân sự. Tiêu chuẩn kỹ thuật FACE™ là tiêu chuẩn điện tử hàng không mở giúp cho các hoạt động điện toán quân sự trở nên mạnh mẽ hơn, có khả năng tương tác, di động và an toàn hơn. Tiêu chuẩn xác định năm phân đoạn kiến trúc, bao gồm Phân đoạn Hệ điều hành.

Bản cập nhật lớn mới nhất cho Tiêu chuẩn Kỹ thuật FACE, Phiên bản 3.0, thể hiện sự cải tiến đáng kể so với phiên bản 2.1.1 trước đó ở chỗ nó đề cập đến việc sử dụng bộ xử lý đa lõi trong các ứng dụng quan trọng về an toàn. Tiêu chuẩn kỹ thuật hiện yêu cầu bất kỳ Phân đoạn hệ điều hành nào yêu cầu hỗ trợ các phân vùng đa lõi để đáp ứng ARINC-653 Phần 1 Phần bổ sung 4, bao gồm yêu cầu về hoạt động đa lõi như được định nghĩa trong Phần 2: “Nhiều quy trình trong một phân vùng được lên lịch để thực thi đồng thời trên các bộ xử lý khác nhau lõi.” Trong ARINC-653, mỗi ứng dụng được gọi là phân vùng và có không gian bộ nhớ riêng.

Là nhà cung cấp hệ điều hành duy nhất là thành viên sáng lập của FACE Consortium, Green Hills Software cam kết chứng nhận sự phù hợp cho từng bản cập nhật của Tiêu chuẩn Kỹ thuật FACE. INTEGRITY-178 tuMP RTOS là RTOS đầu tiên được chứng nhận Phiên bản 3.0 cũng như Phiên bản 2.1.1 trước đó. Trong mỗi trường hợp, chứng nhận bao gồm:

• Cả hồ sơ cơ sở an toàn và bảo mật
• Trên Intel®, Arm® và Power Architectures®
• Với sự hỗ trợ C, C++ và Ada đã được xác minh

Ví dụ về triển khai với INTEGRITY-178 tuMP yêu cầu tuân thủ FACE bao gồm:

• Hệ thống Huấn luyện Chiến đấu Chiến thuật Tăng cường II của Hải quân Hoa Kỳ (TCTS II)
• Chương trình hiện đại hóa GPS/INS (EGI-M) nhúng cho Northrop Grumman
• Nâng cấp phần mềm đa lõi cho Modem dữ liệu cải tiến của quân đội Hoa Kỳ (IDM-401)
• Bộ điều khiển tác chiến điện tử AN/ALQ-213(v5) của Terma Bắc Mỹ, được triển khai trên F-16 của Không quân Hoa Kỳ
• Máy tính điện tử hàng không PU-3000 của CMC Electronics, được triển khai trên máy bay động cơ phản lực thân rộng của quân đội

MOSA

Vào tháng 1 năm 2019, các Bộ trưởng Lục quân, Hải quân và Không quân đã ban hành một bản ghi nhớ chung về “Các phương pháp tiếp cận hệ thống mở mô-đun cho hệ thống vũ khí của chúng ta là một mệnh lệnh chiến tranh”. Bản ghi nhớ đó nêu rõ rằng các tiêu chuẩn hỗ trợ của MOSA, chẳng hạn như Tiêu chuẩn kỹ thuật FACE, phải được đưa vào tất cả các yêu cầu, hoạt động lập trình và phát triển ở mức tối đa có thể. Là thành viên sáng lập duy nhất của FACE Consortium từ cộng đồng RTOS, Green Hills Software hỗ trợ các khái niệm và cách tiếp cận MOSA cũng như cam kết về kiến trúc hệ thống mở.

Thông qua các đối tác phần cứng, Green Hills Software mở rộng hệ sinh thái MOSA của chúng tôi để bao gồm các giải pháp kết hợp hệ điều hành tuân thủ FACE của chúng tôi với các bo mạch xử lý phù hợp với SOSA. Ví dụ, xem:

Abaco bổ sung hỗ trợ cho INTEGRITY-178 tuMP trên SBC3511 trong Hệ thống điện tử hàng không và các ứng dụng quan trọng về bảo mật

“Nâng cao tiêu chuẩn” cho các giải pháp tên miền chéo

Raise the Bar (RTB) là một bộ tiêu chuẩn an ninh mạng do Văn phòng Quản lý & Chiến lược Tên miền chéo Quốc gia (NCDSMO) thuộc Cơ quan An ninh Quốc gia (NSA) công bố. Được xuất bản lần đầu tiên vào năm 2018, các tiêu chuẩn RTB là một bộ nguyên tắc và yêu cầu bảo mật dành cho các giải pháp tên miền chéo (CDS) được chính phủ Hoa Kỳ triển khai để bảo vệ Hệ thống An ninh Quốc gia. Các tiêu chuẩn RTB vượt xa các biện pháp kiểm soát của Khung quản lý rủi ro (RMF) của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) mà nhiều cơ quan chính phủ thực hiện. Các tiêu chuẩn RTB đảm bảo rằng hệ thống CDS có ít nguy cơ bị lỗi, ngay cả khi bị tấn công liên tục. RTB được thiết kế để chống lại các mối đe dọa đang gia tăng bằng cách liên tục cải thiện hiệu quả của CDS. Hệ thống CDS là một phần quan trọng của môi trường hoạt động đa miền, nơi các chiến binh cần dữ liệu trong tầm tay để đưa ra quyết định theo thời gian thực.

INTEGRITY-178 tuMP là RTOS đầu tiên và duy nhất nằm trong chứng nhận thành công về Nâng cao tiêu chuẩn Bar. Khả năng của RTOS nhằm đáp ứng bộ tiêu chuẩn đang phát triển này bắt nguồn trực tiếp từ phả hệ INTEGRITY-178 nhằm đạt được Hồ sơ bảo vệ hạt nhân phân tách (SKPP) do NSA xác định cho “Độ bền cao” và Tiêu chí chung EAL6+.

Để biết thêm chi tiết về cách INTEGRITY-178 tuMP được sử dụng trong hệ thống được chứng nhận theo tiêu chuẩn RTB, hãy xem trang web Raise the Bar của chúng tôi.

POSIX

INTEGRITY-178 tuMP RTOS được thiết kế để hỗ trợ các ứng dụng có mức độ quan trọng khác nhau, bao gồm các ứng dụng không yêu cầu bằng chứng chứng nhận cho các thư viện COTS được liên kết trực tiếp với ứng dụng. Đối với các ứng dụng như vậy, INTEGRITY-178 tuMP cung cấp hai loại hỗ trợ cho các tập hợp con của môi trường thời gian chạy Giao diện Hệ điều hành Di động (POSIX) tương thích với Unix.

INTEGRITY-178 tuMP hỗ trợ môi trường thời gian chạy SCA POSIX, được xác định trong Đặc tả Kiến trúc Truyền thông Phần mềm (SCA). Cấu hình SCA POSIX dựa trên Cấu hình hệ thống bộ điều khiển thời gian thực (PSE52) như được xác định trong IEEE Std 1003.13-1998, POSIX 1003.13: Cấu hình môi trường ứng dụng được tiêu chuẩn hóa – Hỗ trợ ứng dụng thời gian thực POSIX (AEP). Trong bối cảnh hỗ trợ tiêu chuẩn kỹ thuật FACE, INTEGRITY-178 tuMP hỗ trợ tập hợp con API POSIX (IEEE std 1003.1-2008) được xác định trong mỗi cấu hình FACE được hỗ trợ, cụ thể là Cấu hình bảo mật và cấu hình Cơ sở an toàn.

SKPP và tiêu chí chung

Năm 2007, Tổng cục Bảo đảm Thông tin của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã xuất bản “U.S. Hồ sơ bảo vệ của Chính phủ đối với hạt nhân phân tách trong môi trường yêu cầu độ bền cao” Phiên bản 1.03. Chức năng bảo mật chính của hạt nhân phân tách là phân vùng hoặc tách các đối tượng và tài nguyên của hệ thống thành các lớp tương đương với chính sách bảo mật và thực thi các quy tắc đối với các luồng thông tin được ủy quyền giữa và trong các phân vùng. Một sản phẩm có độ bền cao là sự bảo vệ cần thiết cho các môi trường nơi sự hiện diện của cả các tác nhân đe dọa phức tạp và tài nguyên có giá trị cao khiến khả năng xảy ra nỗ lực xâm phạm là cao.

Hồ sơ bảo vệ hạt nhân phân tách (SKPP) đó dựa trên “Tiêu chí chung để đánh giá bảo mật công nghệ thông tin, Phiên bản 2.3”. SKPP bắt đầu với bộ yêu cầu Tiêu chí chung cho Đảm bảo Đánh giá Cấp 6 (EAL6), sau đó bổ sung thêm 17 yêu cầu chức năng và 19 yêu cầu đảm bảo khác. Ngoài ra, nhiều yêu cầu về Tiêu chí chung đã được cải tiến trong SKPP.

Năm 2008, INTEGRITY-178 RTOS trở thành hệ điều hành thương mại đầu tiên và duy nhất được chứng nhận theo SKPP và Tiêu chí chung để đánh giá bảo mật CNTT (Phiên bản 2.3) ở mức đảm bảo EAL 6+, Độ đảm bảo cao. Chứng nhận liên quan đến việc phân tích và thử nghiệm trực tiếp của NSA. Điều đó bao gồm cả việc kiểm tra kênh bí mật của NSA để chứng minh rằng sản phẩm đáp ứng các số liệu giảm thiểu kênh bí mật cũng như phân tích lỗ hổng và kiểm tra thâm nhập của NSA để chứng minh rằng sản phẩm có khả năng chống lại kẻ tấn công có tiềm năng tấn công cao.

Vào năm 2011, NSA đã ngừng chứng nhận chung cho SKPP để ủng hộ việc đánh giá các hệ điều hành và hạt nhân phân tách như một phần của hệ thống chính phủ cụ thể trong bối cảnh các chương trình cụ thể. NSA tiếp tục khuyến nghị sử dụng hạt nhân phân tách và các yêu cầu trong SKPP. Các chương trình được ghi nhận tiếp tục sử dụng các yêu cầu trong SKPP như một con đường để chứng nhận hệ thống đạt được độ bền cao.