:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Formal korrekten C-Code durch Benutzung von SPARK programmieren
Ein einfacher Weg zu sicherer Software: Durch den Einsatz der Ada-Variante SPARK ist es möglich, schnell und unkompliziert in C geschriebene Programme automatisch auf Korrektheit zu überprüfen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
Das Schreiben von Software für Applikationen wird noch größtenteils von Menschen gemacht. Menschen machen aber Fehler, in den meisten Fällen eher ungewollte und nicht bewusste. Die Statistik zeigt, das bei 1.000 LOC (Lines of Code) ungefähr 10-15 Fehler auftreten. Wenn wir jetzt uns eine sicherheitsrelevante Anwendung mit ~800.000 Zeilen Code vorstellen, dann können wir annehmen das 8.000 bis 15.000 Fehler darin enthalten sind. Daher braucht die Entwicklung von sicherheitsrelevanten Anwendungen Wege um die Anzahl der Fehler drastisch zu reduzieren.
Formelle Methoden als generelle Stütze beim Programmieren
Formelle Methoden können hier helfen. Aber das gilt nicht nur für sicherheitsrelevante Anwendungen, es gilt auch für Software in unserem alltäglichen Leben. Wie oft werden Benutzer mit schlecht geschriebener Software konfrontiert? Abstürze oder nicht korrekt implementierte Funktionalität sind an der Tagesordnung. Der Benutzer wird zum Beta-Tester. Der Einsatz von formellen Methoden sollte daher auch auf die „alltäglichen“ Anwendungen übertragen werden um die Qualität der Software zu erhöhen.
:quality(80)/images.vogel.de/vogelonline/bdb/1446200/1446201/original.jpg "Bild 1: Aufwände in der Softwareentwicklung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1446200/1446202/original.jpg "Bild 2: Unterschiede zwischen FRAMA-C und SPARK.")
:quality(80)/images.vogel.de/vogelonline/bdb/1446200/1446203/original.jpg "Bild 3: Entwicklungsablauf unter Einsatz von SPARK.")
:quality(80)/images.vogel.de/vogelonline/bdb/1446200/1446204/original.jpg "Bild 4: Pragma Import Beispiele.")
Aber schauen wir erst einmal welche Möglichkeiten im Moment zur Verfügung stehen um die Anzahl der Fehler in der Software zu reduzieren.
Möglichkeiten bei der Fehlersuche und ihre Einschränkungen
Ein weit verbreiteter Ansatz ist die Verwendung von Coding Standards, die jeder Entwickler berücksichtigen muss. MISRA-C ist ein populäres Beispiel. Die Sprachen C und C++ haben viele Möglichkeiten uneindeutig zu sein und Richtlinien helfen hier die mögliche Anzahl von Fehler zu reduzieren. Es macht den Code außerdem besser lesbar für Andere. Im Markt sind Werkzeuge verfügbar die Programmierern helfen diese Standards anzuwenden.
Aber MISRA-C und auch andere Standards helfen nicht Fehler in der Software zu finden. Sie beschränken die Sprachen nur und helfen syntaktische Fehler und uneindeutige Anwendung von Konstrukten zu vermeiden. Selbst wenn die Regeln für einen Standard angewendet werden und syntaktisch korrekter Code vorhanden sind, heißt es noch nicht, dass dieser funktional korrekt arbeitet [7].
Ein weiterer Weg ist die Erhöhung der Anzahl von Tests. Mehr ausgeführte Tests sollten mehr Fehler zum Vorschein bringen, theoretisch. Das Problem bei diesem Ansatz ist, das die Tests meist ausgelegt sind um das richtige Verhalten zu testen. Moderne Entwicklungsprozesse legen sogar fest, das Test noch vor der Entwicklung der Anwendung geschrieben werden müssen. Das zeigt das Problem auf, denn die Tests werden so geschrieben, dass sie das richtige Verhalten der Anwendung wieder spiegeln und sind nicht dafür ausgelegt versteckte Fehler im Programm zu finden.
Daher heißt mehr Testen nicht unbedingt das alle Fehler gefunden werden. Tests helfen mehr Fehler zu finden, wen diese während der Testphase auftreten. Verschiedene Werkzeuge sind verfügbar, die durch Analyse des Softwarecodes helfen, die notwendigen Test zu finden. Aber die Benutzung der Werkzeuge und die Ausführung der Test verbraucht mehr Zeit im Entwicklungsprozess [6].
Ein weiterer Ansatz könnte die Erhöhung der Anzahl von Reviews sein. Dies erhöht die Möglichkeit das Fehler gefunden werden, ist aber immer noch keine Garantie. Da die Arbeit des Reviews von Menschen ausgeführt wird, sind wir wieder beim ersten Problem, Menschen machen Fehler. Reviews sind also nicht die perfekte Lösung. Es erhöht außerdem den Aufwand und verbraucht mehr Arbeitszeit von Mitarbeitern im Entwicklungsprozess. Reviews machen außerdem nur Sinn wenn die Menge des Codes der angeschaut wird klein ist. Wenn sich die Menge des Codes erhöht oder der Code komplex ist, erhöht sich die Wahrscheinlichkeit das Probleme übersehen werden.
Der nächste mögliche Ansatz ist die Verwendung von statischen Analysewerkzeugen. Das ist ein Schritt in die richtige Richtung und wird als unerlässlich von Herrn Holzmann in seinen zehn Regeln [1] für die Entwicklung von sicherheitsrelevanten System vorgeschrieben. Aber statische Analysewerkzeuge werden keinen funktionalen Fehler im Code finden.
Als Beispiel hierfür können wir eine Funktion betrachten, die Daten in aufsteigender Ordnung sortieren soll, dies aber in absteigender Ordnung macht [8]. Diese Art von Fehler werden statische Analysewerkzeuge nicht finden. In den letzten Jahren ist viel Aufwand betrieben worden um die Qualität der Algorithmen in den Analysewerkzeugen zu verbessern und die Anzahl der „False-Positive“ Meldungen zu reduzieren. „False-Positive“ sind Fehler die die Werkzeuge anzeigen, aber in wirklich sind es gar keine Fehler [8]. Dies hat dazu geführt das statische Code-Analysewerkzeuge sehr nützlich und hilfreich sind. Es hinterlässt aber immer noch die Lücke funktionelle Fehler zu finden.
Eine Kombination aller vorher genannten Methoden ist die Zertifizierung. Für unterschiedliche Industriebereiche gibt es verschieden Prozeduren die befolgt werden müssen und dann von einer Zertifizierungsbehörde abgenommen werden. DO178 oder EN 50128 sind Beispiele hier. Für ISO 26262 gibt es keine offizielle Zertifizierungsbehörde, trotzdem ist sie ein Schritt in die richtige Richtung. Zertifizierung garantiert einen hohen Standard, dass alle Schritte richtig ausgeführt wurden und die Anzahl der Fehler auf ein Minimum beschränkt wurde. Es ist aber immer noch keine Garantie für die totale Abwesenheit von Fehlern.
Ein anderer Weg zum Auffinden von Fehler kann die Verwendung von formellen Methoden sein. Diese sind eine Erweiterung der statischen Analysemethoden, aber mit einer anderen Absicht. Statische Analysemethoden werden verwendet um Fehler in der Software zu finden, formelle Methoden werden verwendet, um vom Anfang an fehlerfreie Software zu entwickeln.
Der Unterschied für den investierten Aufwand zwischen einem Test basierten Ansatz und einem Ansatz der formelle Methoden verwendet kann in Bild 1 gesehen werden. Die rot gestrichelte Linie zeigt die Kosten für das Finden von Fehler in der Software über den Zeitraum eines Entwicklungsprojektes, die durchgezogenen Linien zeigen auf wann wie viele Fehler gefunden werden. In späten Phasen des Entwicklungsprozesses steigen die Kosten für das Beseitigen von Fehler erheblich an, im Vergleich zum Finden der Fehler in früheren Phasen. In traditionellen Entwicklungsprozessen mit einem testbasierten Ansatz ist genau dass der Fall. Die Probleme werden in der Test und der Integrationsphase gefunden und erzeugen so mehr Kosten je später sie entdeckt werden. Dies hat zu Kostenexplosionen in Projekten, Reduktion von geplanten Funktionalitäten oder sogar zum totalen Scheitern von Projekten geführt. Mit der Verwendung von formellen Methoden kann das Auffinden von Fehler in frühere Entwicklungsphasen verlegt werden und somit die Kosten signifikant senken. Es findet ein sogenanntes Frontloading statt. Dies wird auf der rechten Seite von Bild 1 mit der grünen, nicht gestrichelten Linie dargestellt.
FRAMA-C als eine mögliche formelle Methode
Es gibt zwei Wege, formelle Methoden anzuwenden. Auf der einen Seite gibt es den Ansatz von FRAMA-C [2]. Wie der Name schon sagt, dieser Ansatz arbeitet mit der Programmiersprache C. FRAMA-C stellt eine Plattform da, die mit mehreren verschiedenen Werkzeugen den Code formell überprüfen kann. Diese Werkzeuge werden Prover genannt.
Um dieses aber den Werkzeugen zu ermöglichen muss der C-Code mit zusätzlichen Kommentaren versehen werden, die den Provern erklären wie der Code funktionieren soll. Dies stellt zusätzlichen Aufwand für die Entwickler dar. Es bedeutet auch, dass eine zusätzliche Sprache gelernt werden muss, den die Kommentare müssen in ACSL (ANSI/ISO C Specification Language) [9] geschrieben werden. Dieser Ansatz hat Erfolge aufgezeigt. Er verlängert aber auch die Entwicklungszeit, weil zusätzlicher Aufwand betrieben werden muss und mehr Zeit für das Schreiben des Programms aufgewendet wird, durch das Einfügen der notwendigen Kommentare.
Alternative Methode mit SPARK
Anstatt zwei Sprachen zu kombinieren gibt es einen effizienteren Ansatz, der alle notwendigen Konstrukte in einer Sprache enthält. Dieser Ansatz wird mit SPARK [11] verfolgt. Die Unterschiede zwischen FRAMA-C und SPARK können in Bild 2 gesehen werden. SPARK ist kein Weg um Fehler zu finden, sondern ein Weg die volle Fehlerfreiheit in der Software zu garantieren. Die Mathematik dahinter ist mit der von FRAMA-C vergleichbar und es können die gleichen Prover eingesetzt werden. Nur der Ansatz unterscheidet sich. FRAMA-C arbeitet mit Annotationen in der Form von Kommentaren, SPARK ist eine Untergruppe der Programmiersprache Ada und enthält alle notwendigen Annotationen in der Sprache selber. Wie von dem Experiment von Christophe Garion und Jérôme Hugues gesehen werden kann, erfordert die schwächere Semantik von C doppelt so viele Annotationen und bedeutet daher doppelt so viel Arbeit [2]. Die beiden haben die komplette Fehlerfreiheit in C und SPARK Laufzeitbibliotheken für AADL überprüft, unter der Verwendung von FRAMA-C für die C Version der Bibliothek und SPARK für die ADA Variante, unter Verwendung des Werkzeuges GNATprove. SPARK ist also ein mit weniger Aufwand versehender Ansatz als FRAMA-C, weil der Programmierer in der gleichen Sprache arbeiteten kann, in der er den Code und die Bedingungen zur Überprüfung der korrekten Funktionsweise schreibt.
Ein Hindernis bei der Benutzung von SPARK ist allerdings die Voraussetzung eines Ada 2012 Compilers für die verwendete Hardware. Auch wenn es sehr gute Unterstützung für viele Plattformen gibt, so ist es doch weniger wahrscheinlich einen Ada 2012 Compiler für exotische Plattformen zu finden. Es ist hier wahrscheinlicher einen ISO kompatiblen C-Compiler zur Verfügung zu haben. Aber in dem Fall, dass es keinen Ada Compiler für eine Plattform gibt, ist es trotzdem möglich die Vorteile von SPARK zu benutzen.
(ID:45474853)
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "0112255816 (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/6a/2f/6a2f167401f10f18afdc55b0e90536f9/0109274310.jpeg "Prototyp eines RISC-V Mikroprozessors aus dem Jahr 2013 (Bild: frei lizenziert)")