:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
MISRA-Konformität So erstellen Sie sicherheitskritische, MISRA-konforme C- und C++-Systeme
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/127800/127839/65.png "axivion_LOGO_600x600px.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
Sicherheitskritische Anwendungen werden oft in C oder C++ implementiert. Doch wie lässt sich die Konformität mit MISRA-C- und C++-Richtlinien erzielen?
Bei der Implementierung sicherheitskritischer Anwendungen wird in der Regel entweder C oder C++ als Programmiersprache verwendet. Aber in vielen Fällen, in denen das sicherheitskritische System in C++ geschrieben wurde, sind auch einige C-Komponenten beteiligt.
Dies kann die Implementierung der Standardbibliothek sein, das RTOS oder ein Utility-Modul, auf das mehrere Projekte gemeinsam zugreifen. Weder in den MISRA-Richtlinien noch im MISRA-Compliance-Dokument ist explizit definiert, welche Maßnahmen in einer solchen Situation zu ergreifen sind, um das erwartete Sicherheitsniveau des Gesamtsystems zu erreichen.
:quality(80)/p7i.vogel.de/wcms/9f/fa/9ffa9ad75033c6576d8576471c174b92/0114845253.jpeg "Bild 1: Ein System, das sowohl C als auch C++ verwendet.")
:quality(80)/p7i.vogel.de/wcms/b2/b0/b2b05d2569e7aec52fbc1b26eeb2bb7d/0114845254.jpeg "Bild 2 Ansatz 1: System als Summe von Teilsystemen.")
:quality(80)/p7i.vogel.de/wcms/56/d5/56d5499ee302d54a5f6b81f33635696c/0114844837.jpeg "Bild 3 Ansatz 2: Gemeinsam genutzte Header werden sowohl nach C- als auch nach C++-Richtlinien geprüft.")
:quality(80)/p7i.vogel.de/wcms/04/2a/042a4beb2a6569cedc7918a7658f6cb9/0114845255.jpeg "Bild 4: Analyse der gesamten Codebasis mit den auf Systemebene anwendbaren Richtlinien.")
Konformitätsnachweis mit MISRA C und MISRA C++
Dieser Beitrag beschreibt einen möglichen Ansatz zum Nachweis der Konformität mit MISRA C und MISRA C++. Der Fokus liegt dabei auf den möglichen Nuancen und Herausforderungen, die bei dem Versuch auftreten, die Konformität mit den MISRA C- und C++-Richtlinien zu erzielen.
Die Sicherheitsnormen IEC 61508 und ISO 26262
Nach Sicherheitsnormen wie IEC 61508 [1] oder ISO 26262 [2] muss Software, die Teil sicherheitskritischer Systeme ist, angemessen verifiziert werden. Dazu empfehlen sie verschiedene Methoden, wie die statische Analyse des Quellcodes. Techniken wie Kontrollflussanalyse, Datenflussanalyse, statische Codeanalyse und statische Analyse auf der Grundlage einer abstrakten Interpretation des Codes werden sowohl auf der Ebene der Softwareeinheit als auch auf der Ebene der Softwareintegration (dringend) angeraten.
Die Programmierung eines komplexen Systems verlangt manchmal die Verwendung mehrerer Programmiersprachen. Die Kombination von C und C++ in einem System ist nicht ungewöhnlich, da diese Sprachen so konzipiert wurden, dass sie ein gewisses Maß an Kompatibilität und Interoperabilität gewährleisten. Heutzutage bietet jeder größere Compilerhersteller kompatible C- und C++-Compiler an, die es ermöglichen, diese Sprachen in einem System zu mischen – sofern bestimmte Regeln eingehalten werden [3].
Sicherheitskritische Systeme, die sowohl C als auch C++ verwenden, müssen – wie alle anderen sicherheitskritischen Systeme – die Anforderungen der Sicherheitsnormen erfüllen. Daher sollten die Methoden der statischen Codeanalyse sowohl auf der Ebene der Softwareeinheit als auch auf der Integrationsebene angewendet werden. Da MISRA C und MISRA C++ die Richtlinien der ersten Wahl für den Einsatz dieser Sprachen in kritischen Systemen sind, liegt es nahe, diese auch für die Verifikation der gemischten C- und C++-Codebasis zu verwenden. Leider definieren weder die MISRA-C- und C++-Richtlinien noch das MISRA-Compliance-Dokument explizit die Maßnahmen, die in einer solchen Situation zu ergreifen sind, um das erwartete Sicherheitsniveau des Gesamtsystems zu erzielen.
Szenario: C und C++ in einem einzigen System
Das häufigste Szenario für die gleichzeitige Verwendung von C und C++ in einem einzigen System besteht darin, dass einige Module (Subsysteme) in C und andere Module (Subsysteme) in C++ geschrieben sind. Letztere können mit den ersteren über eine wohldefinierte API interagieren, die als ein Satz von Funktionen implementiert ist.
Betrachten wir das Beispielsystem, das aus dem in C geschriebenen Modul der Sensorbibliothek (Bild 1) und der in C++ geschriebenen GUI- und Controller-Anwendung (Bild 2) besteht. Wir erörtern nun die möglichen Ansätze, um die Einhaltung der MISRA-C- und MISRA-C++-Richtlinien für ein solches Projekt zu erreichen.
Wir gehen davon aus, dass das für die statische Codeanalyse gewählte Werkzeug Folgendes analysieren kann:
- Sowohl C- als auch C++-Code,
- Code gegen die MISRA-C-Richtlinien,
- Code gegen die MISRA-C++-Richtlinien.
Ein System als eine Summe von Subsystemen
Im ersten Ansatz versuchen wir, die gesamte MISRA-Konformität unseres Systems zu beanspruchen, indem wir behaupten, dass sie gegeben ist:
- MISRA-C-Konformität des C-Moduls (Bild1),
- MISRA-C++-Konformität des C++-Moduls (Bild 2).
Wir versuchen, diesen Ansatz zu implementieren, indem wir C- und C++-Module als getrennte Subsysteme betrachten und die statische Codeanalyse so konfigurieren, dass sie durchgeführt werden kann:
- MISRA-C-Prüfung der Quell- und Headerdateien, aus denen das C-Modul besteht (Bild 1)
- MISRA-C++-Prüfung der Quell- und Headerdateien, aus denen das C++-Modul besteht (Bild 2).
Allerdings berücksichtigt dieser Ansatz nicht, dass die Headerdateien der Sensorbibliothek (Bild 1) als C++-Code kompiliert werden, wenn sie in die C++-Quelldateien der GUI- und Controller-Anwendung (Bild 2) enthalten sind. Das bedeutet: Unser ursprünglicher Ansatz ist unvollständig, da er die MISRA-C++-Konformität dieser Headerdateien nicht gewährleistet.
Gemeinsame Headerdateien sind sowohl C als auch C++
Im nächsten Ansatz modifizieren wir unsere ursprüngliche Lösung, indem wir gemeinsam genutzte Header als Elemente sowohl des C-Moduls (Bild 1) als auch des C++-Moduls (Bild 2) analysieren. Dies führt dazu, dass die gemeinsam genutzten Header sowohl nach den MISRA-C- als auch nach den MISRA-C++-Richtlinien untersucht werden.
Bei diesem Ansatz muss man darauf achten, dass der Code sowohl mit MISRA C als auch mit MISRA C++ konform ist. Dateien, die sowohl als C- als auch als C++-Code kompiliert werden, müssen entsprechend geschrieben werden, z. B. durch bedingte Kompilierung, um sicherzustellen, dass die externe C-Deklaration zur Benennung von Funktionen zum Einsatz kommt, wenn die Datei als C++ kompiliert wird, oder um das C-Schlüsselwort _Noreturn vom C++-Attribut [[noreturn]] zu unterscheiden. Außerdem müssen semantische Unterschiede zwischen den Sprachen C und C++ berücksichtigt werden, da derselbe Quellcode je nach Sprache eine unterschiedliche Bedeutung haben kann, was wiederum zu unvorhergesehenem Verhalten des Codes führen kann. Beispiele für solche Situationen sind:
- Typ eines Zeichens (Literal),
- Typ einer Aufzählungskonstanten,
- Verkettung von const-Objekten.
Um solche Probleme zu vermeiden, ist es sinnvoll, die gemeinsamen Header-Dateien so einfach wie möglich zu halten und im Idealfall nur die API-Definition aufzunehmen, die für die Interoperabilität der Module erforderlich ist. Dazu gehören Typdefinition und nicht-definierende Erklärungen von Funktionen. Andere Definitionen, insbesondere solche von Funktionen (einschließlich Funktionen mit interner Verknüpfung), sollten nicht in den gemeinsamen Headerdateien enthalten sein, damit es nicht zu einem unerwarteten Verhalten kommt.
Werden die gemeinsamen Headerdateien so einfach wie möglich gehalten, trägt dies auch zur Konformität mit MISRA C und MISRA C++ bei, da einige der Richtlinien, die im Kontext einer bestimmten Sprache definiert wurden, sich nicht strikt auf Code anwenden lassen, der sowohl in C als auch in C++ kompiliert wurde. Die MISRA-C:2012-Regel 11.9 schreibt vor, dass „NULL" die einzig zulässige Form der Null-Zeiger-Konstante ist, während MISRA C++:202x in solchen Fällen die Verwendung von „nullptr" vorschreibt. Die MISRA-C:2012-Regel 10.x enthält mehrere Anforderungen an den Gebrauch von Ausdrücken arithmetischer Typen unter Verwendung des Konzepts des essentiellen Typmodells – wobei diese Anforderungen nicht direkt auf C++-Code anwendbar sind, da das essentielle Typmodell nicht für die Verwendung im Kontext der Sprache C++ vorgesehen ist.
Dieser Ansatz ist vollständiger als der vorherige, da er die gemeinsam genutzten Header als C- oder C++-Code betrachtet, je nachdem, in welcher Sprache die Übersetzungseinheit, zu der sie gehören, kompiliert wurde. Sowohl MISRA C als auch MISRA C++ enthalten eine Reihe von Richtlinien, die auf das gesamte System angewendet werden müssen. In MISRA Compliance:2020 wird erwähnt, dass diese Regeln bei der Analyse der gesamten Codebasis zu überprüfen sind, was in unserem Fall C- und C++-Code einschließt. Leider erfüllt unser derzeitiger Ansatz diese Kriterien nicht, da er keine Analyse auf Gesamtsystemebene beinhaltet, d. h. es gibt keine Analyse, die die Integration des C-Moduls (Bild 1) und des C++-Moduls (Bild 2) verifiziert.
Überprüfung der Konformität mit Regeln auf Systemebene
Im nächsten Schritt betrachten wir die Anwendbarkeit der MISRA-C- und MISRA-C++-Regeln auf Systemebene auf die gesamte Codebasis, die sowohl C-Module als auch C++-Module enthält. Die aktuelle Version von MISRA C:2012 schließt 53 Richtlinien auf Systemebene ein, MISRA C++:2008 beinhaltet keine explizite Klassifizierung des Umfangs, und die für das öffentliche Review veröffentlichte Version von MISRA C++:202x umfasst 35 Richtlinien auf Systemebene. Unter den Richtlinien auf Systemebene gibt es einige, die nicht auf gemischte C- und C++-Codebasen anwendbar sind.
Die MISRA-C:2012-Regel 5.8 verlangt, dass alle Bezeichner von Funktionen mit externer Verknüpfung eindeutig sein müssen. Während dies im Kontext der Sprache C sinnvoll ist, sollte es nicht auf C++-Code angewendet werden, denn dadurch würde die Verwendung von Funktionsüberladungen völlig unmöglich.
Darüber hinaus gibt es die MISRA-C:2012-Regel 17.11, welche die Verwendung des Funktionsspezifizierers "_Noreturn" für Funktionen vorschreibt, die niemals zurückkehren. Diese Regel kann nicht wörtlich auf C++ angewendet werden, da in dieser Sprache kein solches Schlüsselwort existiert. Um dem Geist der MISRA-C:2012-Regel 17.11 zu folgen, sollte das Attribut "[[noreturn]]" in C++-Code zum Einsatz kommen. Solche Richtlinien dürfen nicht wörtlich auf eine gemischte Codebasis aus C und C++ angewendet werden.
Es gibt einige Richtlinien auf Systemebene, die nur in MISRA C oder MISRA C++ existieren, aber sie können sicher zur Überprüfung der gesamten Codebasis herangezogen werden, da sie entweder nie für eine andere Sprache gelten oder ihre Anwendung sicher und ohne unerwünschte Folgen möglich ist. MISRA C++:202x enthält eine Regel, die verlangt, dass bei der Deklaration von Mitgliedsfunktionen die Funktionsspezifikationen "virtual", "override" und "final" angemessen verwendet werden. Es ist klar, dass die Regel niemals einen nicht konformen Code in der Sprache C auslösen wird, in der es diese Mitgliedsfunktionen nicht gibt. Die MISRA-C:2012-Regel 2.5 verbietet unbenutzte Makrodefinitionen. Obwohl diese Regel nicht in den MISRA-C++-Richtlinien enthalten ist, wird ihre Anwendung auf den C++-Code keinen Schaden anrichten. Solche Richtlinien lassen sich ohne Bedenken auf die gemischte C- und C++-Codebasis anwenden.
Einige Richtlinien auf Systemebene verlangen eine Datenfluss- und Kontrollflussanalyse des Quellcodes, um festzustellen, ob der Code konform ist oder nicht. In vielen Fällen enthalten sowohl MISRA C als auch MISRA C++ übereinstimmende Versionen der Richtlinie, z. B:
- Der Wert eines Objekts darf nicht gelesen werden, bevor er gesetzt wurde (MISRA-C:2012-Regel 9.1, MISRA-C++:2008-Regel 8-5-1, MISRA-C++:202x-Regel),
- Funktionen dürfen sich weder direkt noch indirekt selbst aufrufen (MISRA-C:2012-Regel 17.2, MISRA-C++:2008 Regel 7-5-4, MISRA-C++:202x-Regel),
- Ein Objekt darf keinem überlappenden Objekt zugewiesen werden (MISRA-C:2012-Regel 19.1, MISRA-C++:2008-Regel 0-2-1, MISRA-C++:202x-Regel).
Um zu überprüfen, ob der Code diesen Regeln entspricht, muss eine statische Codeanalyse für die gesamte Codebasis mit einem statischen Codeanalysetool erfolgen, das den Daten- und Kontrollfluss zwischen C- und C++-Code verfolgen kann. Dies ist notwendig, um eine Nichtkonformität zu melden, z. B. wenn ein nicht initialisiertes Objekt vom C-Code an den C++-Code übergeben wird, der seinen Wert liest.
Die Anwendung von MISRA C und MISRA C++ auf der Systemebene auf eine gemischte C- und C++-Codebasis erfordert eine gründliche Analyse dieser Richtlinien, um zu bestimmen, welche anzuwenden sind und welche nicht. Eine solche Analyse würde den Rahmen dieser Arbeit sprengen – hier gehen wir davon aus, dass ein Satz von auf Systemebene anwendbaren Richtlinien auf die gesamte Codebasis angewendet wird.
Weder die MISRA-C- und C++-Richtlinien noch das MISRA-Konformitätsdokument definieren explizit, was es bedeutet, dass ein Projekt, das gemischten C und C++ Code enthält, mit MISRA C und MISRA C++ konform ist. Es ist daher fraglich, ob ein solches Projekt offiziell MISRA-Konformität beanspruchen kann. Dennoch sollte man versuchen, die MISRA-Richtlinien auf ein solches Projekt anzuwenden. Die Umsetzung des vorgeschlagenen Ansatzes, bei dem der gesamte in C kompilierte Code gegen die MISRA-C-Richtlinien und der gesamte in C++ kompilierte Code gegen die MISRA-C++-Richtlinien und zusätzlich die gesamte Codebasis gegen die auf Systemebene anwendbaren MISRA-C- und C++-Richtlinien geprüft wird, kann ein hohes Maß an Vertrauen in das Sicherheitsniveau des Gesamtsystems schaffen. Er eignet sich dazu, um die Konformität mit den relevanten Normen zur funktionalen Sicherheit zu behaupten. (mk)
(ID:49760835)
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "0112255816 (Bild: frei lizenziert)")
![Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)](https://cdn1.vogel.de/UGbXqgVVeVJNAuf_PrgzWWtdzWk=/392x392/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/5d/67/5d67e4c73c7d2ad87efc155a20b34c10/0111515949.jpeg "Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)")