:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Fünf praktische Tipps zum Erlangen der MISRA-Konformität
Coding-Standards wie MISRA:C sollen bereits bei der Entwicklung von Software gewährleisten, dass das Endergebnis auch stabil und sicher ist.Damit Sie über alle Handlungsempfehlungen den Überblick behalten folgen hier fünf Tipps, wie Sie ziemlich sicher einen MISRA-konformen Code erhalten.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/127800/127839/65.png "axivion_LOGO_600x600px.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
Es gibt Dutzende von Tools, die Sie darüber informieren, ob Ihr C- oder C++-Code die MISRA-Regeln verletzt. Das Identifizieren und Behandeln der von einem solchen Analyse-Tool gemeldeten Regelverletzungen kann für den einzelnen Entwickler durchaus eine Herausforderung darstellen, aber für das Entwicklungs-Team insgesamt ist es dennoch nur ein kleiner Teil des Compliance-Prozesses. Für Viele dürfte es eine Überraschung darstellen, dass das MISRA-C:2012-Dokument nicht weniger als sechs Kapitel mit Handlungsempfehlungen enthält, bevor die Richtlinien selbst definiert werden.
Lässt die detaillierte Analyse der Regelverletzungen einmal außen vor und betrachtet alles aus einer höheren Warte, so treten die größeren Fragen über den Prozess insgesamt deutlicher hervor. Auch wenn das MISRA-Dokument „MISRA Compliance:2016“ wesentlich weniger Aufmerksamkeit erregt als die eigentlichen Sprach-Teilmengen, ist es von unschätzbarem Wert für das Verständnis, wie die von Ihrem statischen Analyse-Tool markierten Informationen in den größeren Kontext einer MISRA-konformen Applikation einzuordnen sind.
:quality(80)/images.vogel.de/vogelonline/bdb/1553200/1553252/original.jpg "Bild 1: Ein strukturierter Entwicklungs-Lebenszyklus Ist entscheidend für die MISRA-Konformität, wie die Uniview-Ansicht der TBmanager-Komponente der LDRA Tool Suite verdeutlicht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1553200/1553253/original.jpg "Bild 2: Nutzung eines statischen Analysetools zum Erzwingen der Konformität zu MISRA C:2012.")
Nur allzu leicht könnte man das Wesen der MISRA-Konformität missverstehen und annehmen, eine minimierte Anzahl an Regelverletzungen biete die Gewähr dafür, dass die Applikation in Sachen Safety und Security optimiert ist. Um aber wirksam zu sein, müssen die MISRA-Richtlinien innerhalb eines Gerüsts angewandt werden, das die Vorteile des konformen Codes nutzt und mit jeglichen notwendigen Abweichungen umgeht, denn nur so kann das Konzept der Konformität glaubwürdig sein.
Das Dokument „MISRA Compliance:2016“ umfasst insgesamt 33 Seiten. Ein kurzer Artikel wie dieser kann deshalb unmöglich auf alle darin behandelten Themen eingehen. Allerdings kann ein solcher Beitrag durchaus Einblicke darin geben, wie ein konformes Projekt aussehen könnte. Die darin enthaltenen Tipps sind von Prinzipien abgeleitet, die im MISRA-Compliance-Dokument skizziert werden, und dementsprechend enthalten sie ein gewisses Maß an technischer „Weisheit“ sowie eine Menge gesunden Menschenverstand.
1. Die MISRA-Konformität verlangt nach einem dokumentierten Softwareentwicklungs-Prozess
Die MISRA-Richtlinien sind für die Verwendung in einem formalen Softwareentwicklungs-Prozess vorgesehen. Ein solcher Prozess bietet die Gewähr für vollständige, unzweideutige und korrekte Softwareanforderungen sowie dafür, dass sich alle diese Anforderungen (und nur diese) in den Artefakten widerspiegeln, die in den verschiedenen Phasen des Softwareentwicklungs-Lebenszyklus generiert werden (vgl. Bild 1).
Wenn Ihr Code keine Regelverletzungen enthält, aber dennoch seine gewünschte Funktion nicht erfüllt, bleibt er einfach unzureichend.
2. Nicht alle MISRA-Richtlinien lassen sich durch Analyse-Tools prüfen
Ds macht sich vor allem an den folgenden drei Punkten bemerkbar:
- Die MISRA-C:2012-Richtlinien führten ein System ein, innerhalb dessen jede Richtlinie (guideline) entweder als Regel (rule) oder als Direktive (directive) klassifiziert wird. Üblicherweise sind Regeln hinreichend gut definiert, um durch ein automatisiertes Tool geprüft zu werden, während Direktiven etwas subjektiverer Natur sind. Ein Beispiel ist die Direktive 1.1 in MISRA C:2012. Sie verlangt, dass „jedes von der Implementierung definierte Verhalten, von dem der Ausgang des Programms abhängt, zu dokumentieren und zu verstehen ist“.
- In MISRA C:2012 werden einige Regeln als „unentscheidbar“ bezeichnet. Das bedeutet, dass es grundsätzlich keine Methode geben kann, die allgemein sicher aussagen kann, ob eine Regelverletzung vorliegt oder nicht. Ein Tool kann also vor einem potenziellen Problem warnen oder nicht. In beiden Fällen ist ein gewisses Maß an manueller Intervention erforderlich.
- Es sind nicht alle Tools gleich. Einigen wird bescheinigt, sie böten eine umfangreichere Regelüberdeckung als andere, und einige versagen bei etwas subtileren Regelverletzungen. Gibt ein Tool die Meldung aus, dass „keine Regelverletzungen“ vorliegen, kann dies in Wirklich bedeuten: „keine Regelverletzungen bis auf jene, die ich nicht bemerkt habe“.
Eine der Definitionen für das Wort „Tool“ (Werkzeug) im Oxford Dictionary lautet: „Ein Ding, das bei der Ausführung einer Aufgabe hilft“. Sehr treffend: Werkzeuge helfen, aber sie nehmen Ihnen das Erledigen der Aufgabe nicht ab.
3. Richtlinien sind nur dann hilfreich, wenn ein Plan für ihre Durchsetzung existiert
Bei den meisten Richtlinien besteht die zuverlässigste und kosteneffektivste Möglichkeit zu ihrer Durchsetzung darin, ein statisches Analysetool, den Compiler oder eine Kombination aus beiden anzuwenden (siehe Bild 2).
Bei diesen Richtlinien ist unbedingt sicherzustellen, dass das bzw. die zu verwendende(n) Werkzeug(e) erwiesenermaßen geeignet sind und dass ihr Typ und ihre Version spezifiziert und festgelegt sind.
Außerdem muss es Durchsetzungspläne für jene Richtlinien geben, die ein gewisses Maß an manueller Verifikation benötigen.
4. „Abweichung“ ist kein Unwort
Mit großer Wahrscheinlichkeit gibt es in jeder realen Embedded-Applikation einige unvermeidbare Regelverletzungen. Der Umgang mit diesen Regelverletzungen muss durch einen klar definierten Prozess autorisiert und durch eine geeignete „Abweichungs-Aufzeichnung“ unterstützt werden, damit eine Konformitätsbehauptung für die resultierende Applikation glaubwürdig sein kann.
Diese Abweichungs-Aufzeichnungen müssen die verletzte(n) Richtlinie(n), die Rechtfertigungen für diese Regelverletzung(en), die Umstände, unter denen die jeweilige Abweichung zum Tragen kommt, sowie die betreffende Codebasis enthalten.
5. Übernommener Code darf nicht ignoriert werden
Ein Großteil der Dokumentation und viele der Standards, die sich auf funktional sichere und geschützte Embedded-Software beziehen, gehen von der Annahme aus, dass jedes Projekt von Grund auf neu geschrieben wird. Die Praxis sieht jedoch oft anders aus: Häufig müssen die Entwickler auf vorhandenem, entweder im eigenen Haus oder von Dritten entwickeltem Code (z. B. Gerätetreiber sowie Mathematik- oder Grafik-Bibliotheken) aufbauen.
Auch wenn es eindeutig nicht praktikabel ist, die MISRA-Richtlinien rückwirkend auf solchen Code anzuwenden, kommt es im Interesse der MISRA-Konformität darauf an sicherzustellen, dass dieser „übernommene Code“ die Security und Safety des Systems insgesamt nicht kompromittieren kann.
Fazit: Zuverlässige Funktion nicht nur für kritische Systeme gewährleisten
Es ist kein Zufall, dass viele funktional sichere Systeme, die in Übereinstimmung mit Standards wie ISO 26262, IEC 61508 oder DO-178C entwickelt wurden, auf die MISRA-Sprach-Teilmengen zurückgreifen. Dies wiederum kann zu der Annahme verleiten, dass die MISRA-Konformität nur für diese Umgebungen relevant ist.
Dies wäre jedoch ein Trugschluss. Ebenso trifft nämlich zu, dass – neben den Richtlinien in der Sprach-Teilmenge selbst – viele der zugrundeliegenden Anforderungen, die erfüllt sein müssen, damit die MISRA-Konformität zu Recht behauptet werden kann, im Grunde auf dem gesunden Menschenverstand und der Entschlossenheit basieren, es richtig zu machen. Dies aber darf nicht allein den kritischen Systemen vorbehalten bleiben, denn ein System muss nicht unbedingt kritisch sein, um die Motivation dafür zu rechtfertigen, es zuverlässig funktionieren zu lassen.
:quality(80)/images.vogel.de/vogelonline/bdb/1802200/1802272/original.jpg "Coding-Standards können hinsichtlich Security by Design dem Entwickler eine Menge Arbeit einsparen. Doch was sind die Vorzüge und Nachteile der drei gängigsten Standards, und wie kann sich ein Entwickler für den entscheiden, der seinen Ansprüchen am nähsten kommt? (VBM/Logomontage)")
CERT vs. MISRA vs. ISO/IEC 17961
Der richtige Coding-Standard für sichere Embedded Software
:quality(80)/images.vogel.de/vogelonline/bdb/1513200/1513218/original.jpg "Programmierrichtlinien können für bessere Code-Qualität sorgen. Aber können starre Code Guidelines und Regeln saubere Programmierung gewährleisten? (Code / Michael Himbeault / CC BY 2.0)")
Coding-Guidelines: Sind Programmierrichtlinien Fluch oder Segen?
Der Autor
* Mark Pitchford erwarb seinen Abschluss als Bachelor of Science an der Trent University, Nottingham, und ist seit mehr als 20 Jahren Diplomingenieur. Von 2007 bis 2014 arbeitete er als FAE bei LDRA. Im Anschluss wechselte er als Technical Manager für den Bereich EMEA zu Lynx Software Technologies, bevor er im Februar 2017 zu LDRA zurückkehrte. Dort ist er als Technical Specialist tätig.
(ID:45880266)
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "0112255816 (Bild: frei lizenziert)")