:quality(80)/p7i.vogel.de/wcms/65/46/654669f191c36807b0b9220d4d1dc17c/0105202171.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/p7i.vogel.de/wcms/16/2b/162b2abbd1b852a9f3f478d6c6fbdede/78352155.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927700/1927780/original.jpg "Eine Plattform für Trendtechnologien der Zukunft: Die World of QUANTUM bringt ein umfassendes Vortragsprogramm und vielfältige Ausstellungsformate zusammen . (Entwurf, designed by meplan.)")
:quality(80)/images.vogel.de/vogelonline/bdb/1715400/1715459/original.jpg "Linux-Systemanalyse und Debug mit dem Tool gdb: Wer Systemfehlern auf den Grund gehen und sie effizient beheben möchte, ist bei dem Seminar Diagnose von Linux bestens aufgehoben. (GDB Command: Info locals / Linux Screenshots / CC BY 2.0)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/6a/2f/6a2f167401f10f18afdc55b0e90536f9/0109274310.jpeg "Prototyp eines RISC-V Mikroprozessors aus dem Jahr 2013 (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c7/ed/c7ed9c9c90ff814c2297ae8792ac8f6c/0106348259.jpeg "Die kostenfreie ASE-Webkonferenz wird unterstützt von den Unternehmen CODESYC (Sponsor und Referent), Embedded Ocean, Fraunhofer IPT und Siemens (Referenten). (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/16/13/16134af0074f85bb8fe685fb219f0613/0105905968.jpeg "Generationswechsel: Embedded Software ist essenzieller Bestandteil moderner Fahrzeuge. VW verfolgt auch in diesem Bereich den Plattformgedanken und will konzernweit einheitliche Softwarestrukturen schaffen. Im Bild der neue Elektrobus ID. Buzz mit seinem Urahn „Bulli“. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/f9/5f/f95fcd042af077dc3d66899dc2816e29/0109937725.jpeg "Erhöhte Sicherheit: Security-fokussierte Programmiersprache Rust nun für PikeOS nutzbar (Bild: SYSGO)")
:quality(80)/p7i.vogel.de/wcms/0c/98/0c98fa23317081660e4be5a56e30886f/0109715215.jpeg "Zephyr: Das ist der Name einer griechischen Windgottheit. Dies inspirierte die Promotoren des gleichnamigen RTOS vermutlich dazu, einen Kinderdrachen im Logo zu verwenden. (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/c1/95/c195ad6e40da6d5768b41a22f614bc53/0109633729.jpeg "Zephyr: Das ist der Name einer griechischen Windgottheit. Dies inspirierte die Promotoren des gleichnamigen RTOS vermutlich dazu, einen Kinderdrachen im Logo zu verwenden. (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/f8/d0/f8d02766962e82673ccb687468afb87f/0110191797.jpeg "Kein Rätselraten: Eine intelligente Testausführung auf der Ebene der Entwickler und Tester in deren lokalen IDEs ist von entscheidender Bedeutung. (Bild: Jim Barber)")
:quality(80)/p7i.vogel.de/wcms/c6/94/c69407fa382087d711fbdfe35060d5a9/0109470567.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/40/09/400918cbc997ae1f4d5859a52cff63fc/0108544080.jpeg "Das Crowdfunding Projekt „Learn AIfES“ auf Startnext: Bei Erreichen des Ziels sollen kostenlose Webinare zu AIfES zur Verfügung gestellt sowie neue Demonstratoren und Modelle entwickelt werden. (Bild: Copyright_© pickup_318111476_stock.adobe.com / Fraunhofer IMS)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/0d/7b/0d7b02fd345ba7ee9b56a483f4b7fb71/0109539496.jpeg "Beides, Glück und Autonomie, brauchen Zeit. So, wie manch melancholischer Teenager die Mühsal der Jugendzeit ausleben muss, gibt es auch für die Autonomie keine schnellen „Wunderlösungen“. (Bild: Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/90/c2/90c20fe3ae6c5c4993c81d5649dc3b5b/0107641254.jpeg "In diesem Artike klärt Rainer Grimm Sie über Fakten der der C++-Programmierung auf. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/34/81/3481b79cfa989b5c3d0020dda0d8f8c5/0104828393.jpeg "Bild 1: Untersuchung des mit LTTng erfassten Trace in Percepio Tracealyzer. (Bild: MAB Labs / Percepio)")
:quality(80)/p7i.vogel.de/wcms/17/b1/17b157bb7f0abe15a902c96d8e476296/0109901155.jpeg "EB corbos Linux bietet Automobilherstellern ein Betriebssystem mit den gleichen Funktionen und derselben Flexibilität wie die aktuelle Cloud- bzw. Unternehmenssoftwareentwicklung. (Bild: Elektrobit)")
:quality(80)/p7i.vogel.de/wcms/c3/4f/c34f53bd7509eaf314dc05c003c1c88e/0109159876.jpeg "Systematische Reviews können dabei helfen, die Grundlage für systematische und sinnvolle Verbesserrungen zu schaffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/db/0d/db0d1459248df14128a1fefbe1905bc3/0108765316.jpeg "Mithilfe der QNX-AWS-Cloud-Lösung sollen Entwickler Code, der später in ihren Embedded-Produkten zum Einsatz kommt, in all seinen Varianten testen können, ohne dass sie dafür Hardware benötigen. (Bild: Blackberry)")
:quality(80)/p7i.vogel.de/wcms/eb/a7/eba7fc29ca187ddbb9fb47428f7d3b1f/0108241972.jpeg "Ziel von Cyberattacken ist es, Schwachstellen in Software zu finden, durch die unbeabsichtigtes Verhalten ausgelöst werden kann. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8d/4e/8d4ed6ee6b0a9562be09843898b3b618/0107486832.jpeg "Abb. CI/CD (Bild: Parasoft )")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a5/4f/a54f9c3d047ed21eb790b84ddbec5788/0106777020.jpeg "(Bild: Copyright Gesamtbild: Wibu-Systems; Copyright Schlange: iStock, Serhii Yakovliev)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0e65fe7f4a5726becce16d597522d2/0105884421.jpeg "Praktischer Guide: Wie man TinyML auf MCUs verwendet (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/df/de/dfde99db2fd6a284729aa7388502f129/0107037164.jpeg "Wenn der Preis wichtiger ist als Sicherheit: Es besteht ein Risiko für viele Firmen, sofern VPN und grundlegende Sicherheitsvorkehrungen im Homeoffice nicht obligatorisch sind. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/4a/ab/4aabb6bdf00a882df50eb1d04479358f/0105651748.jpeg "SEGGERs Produktportfolio unterstützt den Arm Cortex-M85. (Bild: Segger)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/24/2e/242e280e4bd31499e2b8cfacbbd48a8b/0105611684.jpeg "Die Erweiterung der Compiler Suite soll das Entwickeln neuer Anwendungen für bestimmte Prozessoren im Automotive-Bereich vereinafchen. (Bild: NXP)")
:quality(80)/p7i.vogel.de/wcms/3e/9b/3e9b96b8ecedb3f6f7bdbbfb210b91f3/0105076406.jpeg "Die frühzeitige Inklusion von Tests sollte zu einem essentiellen Grundbaustein agiler, sicherr Softwareentwicklung werden. (Bild: Clipdealer)")
Mit automatisierten Mutationstests die Testfallgüte prüfen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/127800/127839/65.png "axivion_LOGO_600x600px.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
Bei Bedenken hinsichtlich der Qualität Ihrer Testfälle könnten Mutationstests Abhilfe schaffen. Für Software, die in C/C++ geschrieben ist, geht dies erstmals sogar auf Knopfdruck.
Voraussetzung für die Durchführung von Mutationstests sind eine Anzahl von bestandenen Testfällen für das Testobjekt, das beispielsweise eine Software-Unit beziehungsweise eine Funktion im Sinne von C sein kann. Beim Mutationstest wird die Software (das Testobjekt) verändert („mutiert“) und danach wird geprüft, ob die vorhandenen bestandenen Testfälle diese Mutation aufdecken. Im Fachjargon heißt dies, der Mutant wird durch den Testfall „getötet“. Sollten Mutanten alle Testfälle überleben, befinden die Testfälle auch geänderte Testobjekte (nämlich die mutierten) für in Ordnung. Das ist bedenklich und sollte näher untersucht werden.
Für eine Mutation sind der Phantasie keine Grenzen gesetzt, jedoch muss das Testobjekt syntaktisch korrekt (kompilierbar) bleiben. Für unseren Zweck sollen die Mutationen subtil sein, d.h. die Veränderung am Testobjekt soll gering sein, beispielsweise indem ‚<’ durch ‚<=’ ersetzt wird. (Dem liegt die Hypothese vom „kompetenten Software-Entwickler“ zu Grunde, von dem man annimmt, dass er zumindest „fast richtige“, jedoch keine „völlig falsche“ Software schreibt. Subtile Mutationen versuchen beispielsweise „off-by-one“-Fehler zu finden.)
:quality(80)/p7i.vogel.de/wcms/1b/c4/1bc40e0eb915760fe1a3b8e6437002c0/91878889.jpeg "Bild 1:
Diese Mutationen führt TESSY standardmäßig durch.")
:quality(80)/p7i.vogel.de/wcms/07/33/0733dff6ea3e0fb18069b80a1b47c9ac/0101779963.jpeg "Bild 2: Das ursprüngliche Testobjekt besteht diese drei Testfälle.")
Grobe Mutationen, beispielsweise das Entfernen eines größeren else-Zweigs, sind eher ungeeignet, denn auch unzureichende Testfälle bemerken dies wahrscheinlich. Typische Mutationen (das Fehlermodell) bei C/C++-Programmen sind die Verfälschung von logischen Ausdrücken (beispielsweise das Ersetzen eines logischen UNDs durch ein logisches ODER); die Verfälschung von arithmetischen Ausdrücken (beispielsweise die Addition eines konstanten Werts in einer Berechnung); die Manipulation von Variablen (beispielsweise Vertauschung von zwei Variablen); die Verfälschung von relationalen Operatoren (beispielsweise der Austausch von ‚<’ durch ‚>’); die Manipulation von Anweisungen (beispielsweise das Entfernen eines else-Zweigs oder das Einfügen einer return-Anweisung).
Die Mutanten, die wir im Folgenden betrachten, enthalten genau eine Mutation. Dem liegt die (empirisch bestätigte) Annahme [siehe Offut] zugrunde, dass ein Testfall, der einen Mutanten mit genau einer (subtilen) Abweichung tötet, auch Mutanten mit komplexeren Abweichungen töten würde (Kopplungseffekt).
TESSY, das Werkzeug zum automatisierten Modul-/Unit-Test von eingebetteter Software, kann Mutationstests auf Knopfdruck durchführen. Voraussetzung ist ein Testobjekt mit einer Menge von Testfällen, die alle bestanden sind. Solange noch nicht bestandene Testfälle für das Testobjekt vorhanden sind, ist Mutationstest sinnlos. TESSY kann logische und relationale Operatoren mutieren. Welche Mutationen genau vorgenommen werden, kann individuell festgelegt werden. Natürlich wirkt sich die Anzahl der vorzunehmenden Mutationen auf die Gesamtlaufzeit des Mutationstests aus.
Beispiel für die Mutation eines Testobjekts
Als Beispiel betrachten wir ein Testobjekt, für das drei bestandene Testfälle vorhanden sind (siehe Bild 2). Diese drei Testfälle erreichen 100% Coverage – sowohl für Zweigüberdeckung als auch für Modified Condition / Decision Coverage (MC/DC).
Nach der Ausführung des Mutationstests durch TESSY erhält man das in Bild 3 gezeigte Ergebnis. Auf der rechten Seite ist dort das Testobjekt dargestellt. Es besteht im Wesentlichen aus zwei if-Anweisungen. In der ersten if-Anweisung wird ‚<‘ als relationaler Operator in der Entscheidung verwendet; in der zweiten if-Anweisung ist es ‚>‘. Diese beiden Operatoren wurden von TESSY mutiert, und zwar gemäß der Standardeinstellung für die Mutation, wie auf der rechten Seite in Bild 1 zu sehen. Somit wird ‚<‘ aus der ersten if-Anweisung zu ‚<=‘ und ‚>‘ aus der zweiten if-Anweisung zu ‚>=‘.
Bild 3 zeigt links oben das Ergebnis der Mutation von ‚<‘ zu ‚<=‘ in der ersten if-Anweisung. Diese Mutation bewirkte das Fehlschlagen eines Testfalls („Mutation caused test failure“), d.h. diese Mutation wurde getötet. Beim Mutationstest ist das Fehlschlagen eines Testfalls positiv, deshalb gibt es für diese Mutation ein grünes Häkchen als Resultat. Links unten in Bild 3 findet sich das Ergebnis der Mutation von ‚>‘ zu ‚>=‘ in der zweiten if-Anweisung. Diese Mutation wurde durch keinen Testfall aufgedeckt („Mutation survived all test cases“), d.h. diese Mutation wurde nicht getötet. Das ist bedenklich, deshalb gibt es das rote Kreuz als Resultat. Logische Operatoren kommen in diesem Testobjekt nicht vor, deshalb können sie auch nicht mutiert werden.
Wenn man wissen möchte, welche Testfälle Mutationen getötet haben (d.h. die adäquaten Testfälle), kann man den von TESSY ermittelten „Mutation Score“ ansehen. Der Mutation Score gibt das Verhältnis von getöteten zu der Zahl aller angewandten Mutationen an.
In Bild 4 ist in der Spalte M der Mutation Score der 3 Testfälle dargestellt. Der Tooltip zeigt, dass Testfall 1 eine von zwei Mutationen getötet hat, was den Mutation Score von 50% ergibt. Weder Testfall 2 noch Testfall 3 haben einen Mutanten getötet. Dies kennzeichnet das rote Kreuz.
Am Beispiel haben wir gesehen, dass von zwei Mutationen nur eine von den drei Testfällen getötet wurden. Das hängt grundlegend mit der Qualität der Testfälle zusammen. Bei näherer Betrachtung von Testfallwerten und Quellcode erkennt man, dass die Werte von Testfall 1 so gewählt sind, dass es auf den relationalen Operator in der ersten if-Anweisung ankommt. Die Variable v1 hat im ersten Testfall den Wert 5 und die Variable r1.range_start ebenfalls. Damit lautet die Entscheidung in der ersten if-Anweisung ‚5 < 5‘, was „falsch“ ergibt. Durch die Mutation lautet die Entscheidung in der ersten if-Anweisung ‚5<=5‘, was „wahr“ ergibt. Dadurch liefert der erste Testfall aufgrund der Mutation ein nicht erwartetes Ergebnis („no“ anstelle des korrekten und erwarteten „yes“). Das Fehlschlagen des ersten Testfalls tötet also die Mutation.
Eigentlich ist dem dritten Testfall die Aufgabe zugedacht, die zweite Mutation zu töten. Leider sind aber die Werte des dritten Testfalls schlecht gewählt. Die Variable v1 hat den Wert 9 und r1.range_start+r1.range_len ergibt 5+2=7. Damit lautet die Entscheidung in der zweiten if-Anweisung im Original ‚9>7‘ und in der Mutation ‚9>=7‘. Beide Entscheidungen ergeben „wahr“. Somit liefert Original und Mutation dasselbe (korrekte) Ergebnis, nämlich „no“; der dritte Testfall ist sowohl für Original und Mutation bestanden und tötet die Mutation nicht. Oder etwas flapsiger ausgedrückt: Dem dritten Testfall ist es egal, wie der relationale Operator lautet; der dritte Testfall schaut nicht genau genug hin.
Der Unterschied in der Güte der beiden Testfälle 1 und 3 ergibt sich aus der Verwendung von Grenzwerten („boundary values“). Testfall 1 verwendet mit dem Wert 5 für die Variable v1 den Startwert des Bereichs (startet bei 5 und hat die Länge 2, umfasst also die Werte 5 und 6) und testet somit an einer Grenze. Testfall 3 testet mit dem Wert 9 für die Variable v1 nicht an einer Grenze des Bereichs. Betrachtung von Grenzwerten wird beispielsweise in der IEC 26262:2018 in Tabelle 8 als Methode genannt, wie man zu Testfällen für den Software-Unit-Test kommen kann. Die Methode 1c in dieser Tabelle heißt „Analysis of boundary values“ und ist empfohlen für ASIL A und besonders empfohlen für ASIL B bis D. Die IEC 61508 nennt „boundary value analysis“ beispielsweise in Tabelle B.2 und B.3 von Teil 3. In beiden Tabellen ist diese Methode empfohlen für SIL 1 und besonders empfohlen für SIL 2 bis 4.
Mit Hilfe eines Mutationstests kann man auch Testfallmengen bewerten. Eine Testfallmenge heißt adäquat, wenn sie alle Mutanten aufdeckt. Von zwei adäquaten Testfallmengen ist natürlich diejenige mit weniger Testfällen vorzuziehen. Dies ermöglicht auch den Vergleich von Testfallkonstruktionsverfahren.
Mutationen können zu Endlosschleifen führen
Durch eine Mutation kann eine Endlosschleife entstehen. Dies tötet die Mutation. Allerdings muss die Endlosschleife festgestellt, abgebrochen und danach der Mutationstestprozess fortgesetzt werden. TESSY kann Tests bei Überschreiten einer bestimmten Ausführungszeit automatisch abgebrechen.
Im in Bild 5 gezeigten Beispiel wurde die Funktion count() mit einem Testfall getestet. Dieser Testfall hat den Eingabewert 10 für den Parameter x und mit dem Return-Wert 1 das korrekte Ergebnis. Dieser Testfall tötet alle vier auf der linken Seite von Bild 5 angegebenen Mutationen. Allerdings wird die dritte Mutation (von ‚<=‘ zu ‚>=‘) nicht durch Fehlschlagen des Testfalls getötet, sondern es entsteht eine Endlosschleife. TESSY ist so eingestellt, dass Endlosschleifen nach 10 Sekunden Ausführungszeit automatisch abgebrochen werden. Dies ist für die dritte Mutation eingetreten und TESSY bewertet diese Mutation als getötet. Danach wird noch die vierte Mutation durchgeführt.
Äquivalente Mutanten sind ein Problem
Bei der Mutation können äquivalente Mutanten entstehen. In diesem Fall unterscheidet sich das nach außen sichtbare Programmverhalten nicht (schwache Mutation); Original und Mutant sind funktional äquivalent. In der Praxis muss ein Mensch entscheiden, ob Original und Mutant funktional äquivalent sind. Hilfreich für die Untersuchung ist hierbei, wenn lediglich jeweils eine einzige Mutation vorgenommen wird, was beim Mutationstest mit TESSY der Fall ist. Äquivalente Mutanten sind ein Schwachpunkt des Mutationstests.
Bild 6 stellt ein Beispiel für eine äquivalente Mutation dar. Für die Mutation des relationalen Operators ‚<‘ zu ‚<=‘ ergibt sich für den Eingabewert 0 zwar ein anderes internes Programmverhalten (in der Mutation wird der then-Zweig durchlaufen, im Original nicht), der Rückgabewert ist jedoch in beiden Fällen der korrekte Wert 0, d.h. das veränderte interne Programmverhalten ist nach außen nicht sichtbar (schwache Mutation).
Mutationstests in Standards wie IEC 61508 oder ISO 26262
Die IEC 61508 bezeichnet den Mutationstest als „Durchführung von Testfällen nach Fehlereinpflanzung“ und empfiehlt dies für Safety Integrity Level (SIL) 2 bis 4 (in Tabelle B.2 von Teil 3).
Die IEC 61508 führt auch aus (in Abschnitt C.5.6 von Teil 7), dass man aus der Anzahl der Fehler, die eine Testsuite in einem originalen Testobjekt entdeckt, und der Zahl der Mutationen, die diese Testsuite entdeckt, eine Abschätzung für die Gesamtzahl der im Testobjekt vorhandenen Fehler finden kann (prädizierend). Das Verhältnis der erkannten Mutanten zur Gesamtzahl der Mutanten ist gleich dem Verhältnis der gefundenen Fehler im originalen Testobjekt zu der Gesamtzahl der Fehler im originalen Testobjekt. Diese Abschätzung setzt natürlich die gleiche statistische Verteilung von Arten und Positionen der Mutationen und der tatsächlichen Fehler voraus; wenn beispielsweise die tatsächlichen Fehler fehlerhafte Berechnungen sind, jedoch keine arithmetischen Mutationen verwendet werden, wird die Abschätzung kaum zutreffen.
Die ISO 26262:2018 erwähnt Mutationstest lediglich in einer Fußnote zur Methode „Fault Injection Test“ in Tabelle 7 von Teil 6, die Methoden zur Software-Unit-Verifikation aufführt und in Tabelle 10, die Methoden zur Verifikation der Software-Integration aufführt. Allerdings werden hier „code mutations“ in einen Topf mit Verfahren des Robustheitstests wie das willkürliche Verändern (Korrumpieren) von Datenspeicher oder CPU-Registern geworfen.
Durch das Korrumpieren beispielsweise von Werten von Variablen im Datenspeicher liest das Testobjekt nicht die Werte zurück, die dort vorher abgespeichert war und das Testziel dieser Fault Injection ist es, herauszufinden, ob das Testobjekt damit zurechtkommt. Konkreter formuliert: Erkennt (beispielsweise aufgrund redundanten Speicherung der Werte) das Testobjekt beispielsweise einen Bitflip durch kosmische Strahlung und reagiert darauf geeignet? Eine solche Fragestellung unterscheidet sich fundamental vom Ziel des Mutationstests, nämlich die Qualität der Testfälle zu bewerten und durch bessere Testfälle möglicherweise Programmierfehler aufzudecken.
Fazit: Mutationstests sorgen für höhere Softwarequalität
Mutationstest haben einen großen Nutzen, denn sie decken unzureichende Testfälle auf, die daraufhin verbessert werden können, was in der Folge die Qualität der getesteten Software sichert. Mit TESSY können Mutationstest ohne weiteren Aufwand auf Knopfdruck durchgeführt werden.
Diesen Beitrag lesen Sie auch in der Fachzeitschrift ELEKTRONIKPRAXIS Ausgabe 19/2020 (Download PDF)
Der Autor
* Frank Büchner hat ein Diplom in Informatik von der Technischen Hochschule Karlsruhe. Seit mehreren Jahren widmet er sich dem Thema Testen und Software-Qualität. Seine Kenntnisse vermittelt er regelmäßig durch Vorträge und Fachartikel. Momentan arbeitet er als „Principal Engineer Software Quality“ bei der.Hitex GmbH in Karlsruhe.
Literatur
[61508] IEC 61508:2010
[26262] ISO 26262:2018
[Liggesmeyer] Liggesmeyer, Peter: Software-Qualität: Testen, Analysieren und Verifizieren von Software. 2. Auflage, Heidelberg, Berlin, 2009. Spektrum Akademischer Verlag.
[Hoffmann] Dirk W. Hoffmann, Software-Qualität. Springer-Verlag Berlin Heidelberg, 2008.
[Offut] A. Jefferson Offut, Clemson Univeristy: Investigations of the software testing coupling effect, in ACM Transactions on Software Engineering and Methodology, New York, Volume 1 Issue 1, Jan. 1992.
:quality(80)/p7i.vogel.de/wcms/2c/18/2c18d64e14a98b9839e3559ea0e9f578/0101945267.jpeg "Fehlerhafte Testabdeckung: Eine falsche Annahme bei der Ermittlung der Code Coverage kann gerade bei sicherheitskritischen Systemen fatale Auswirkungen haben – nicht nur, wenn es um die Zertifizierung geht. (Bild: gemeinfrei)")
Die häufigsten Irrtümer über Code-Coverage
:quality(80)/p7i.vogel.de/wcms/03/7c/037cd85dd036cb4abbadcb9e18330fa3/77877805.jpeg "100% Code Coverage beim Testen von Software ist noch lange keine Garantie für fehlerfreien Programmcode. Wie legt man saubere Testfälle an, mit denen keine Bugs übersehen werden? (Bild: Clipdealer)")
Sind Ihre Testfälle gut genug? Was Testfallgüte für die Fehlerfindung bedeutet
:quality(80)/images.vogel.de/vogelonline/bdb/469100/469176/original.jpg "Funktionsschema: Ablauf des Mutationstests mit dem Werkzeug Tessy. Beim Mutationstest wird die Software verändert. Danach wird geprüft, ob die Mutation von den vorhandenen Testfällen aufgedeckt wird. (Hitex)")
Test- und Qualitätssicherung
Mutationstest – ein Plädoyer für eine vernachlässigte Testtechnik
(ID:46871680)
:quality(80)/images.vogel.de/vogelonline/bdb/1945700/1945716/original.jpg "Die Common Weakness Enumeration (CWE) kann helfen, einen Überblick möglicher Schwachstellen zu pflegen, um darauf basierend Prüfpläne auszuarbeiten, die sowohl gründlich als auch realistisch sind. Aufgrund immer neuer Angriffsszenarien muss diese Liste allerdings regelmäßig konsultiert werden. (Clipdealer)")
:quality(80)/images.vogel.de/vogelonline/bdb/1954800/1954843/original.jpg "Aus komplexer Software wird so eine Stadt, die sich virtuell bereisen lässt, und in der man direkt an Hotspots eingreifen kann, wenn Probleme bemerkbar werden. (Axivion)")