:quality(80)/p7i.vogel.de/wcms/65/46/654669f191c36807b0b9220d4d1dc17c/0105202171.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/p7i.vogel.de/wcms/16/2b/162b2abbd1b852a9f3f478d6c6fbdede/78352155.jpeg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Bild: VCM)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927700/1927780/original.jpg "Eine Plattform für Trendtechnologien der Zukunft: Die World of QUANTUM bringt ein umfassendes Vortragsprogramm und vielfältige Ausstellungsformate zusammen . (Entwurf, designed by meplan.)")
:quality(80)/images.vogel.de/vogelonline/bdb/1715400/1715459/original.jpg "Linux-Systemanalyse und Debug mit dem Tool gdb: Wer Systemfehlern auf den Grund gehen und sie effizient beheben möchte, ist bei dem Seminar Diagnose von Linux bestens aufgehoben. (GDB Command: Info locals / Linux Screenshots / CC BY 2.0)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/6a/2f/6a2f167401f10f18afdc55b0e90536f9/0109274310.jpeg "Prototyp eines RISC-V Mikroprozessors aus dem Jahr 2013 (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c7/ed/c7ed9c9c90ff814c2297ae8792ac8f6c/0106348259.jpeg "Die kostenfreie ASE-Webkonferenz wird unterstützt von den Unternehmen CODESYC (Sponsor und Referent), Embedded Ocean, Fraunhofer IPT und Siemens (Referenten). (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/f9/5f/f95fcd042af077dc3d66899dc2816e29/0109937725.jpeg "Erhöhte Sicherheit: Security-fokussierte Programmiersprache Rust nun für PikeOS nutzbar (Bild: SYSGO)")
:quality(80)/p7i.vogel.de/wcms/0c/98/0c98fa23317081660e4be5a56e30886f/0109715215.jpeg "Zephyr: Das ist der Name einer griechischen Windgottheit. Dies inspirierte die Promotoren des gleichnamigen RTOS vermutlich dazu, einen Kinderdrachen im Logo zu verwenden. (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/ca/a0/caa05b9965bf706d74a5eb9747d6b2da/0110637610.jpeg "MOSA-Ziele konzentrieren sich darauf, offene Standards und modulare Komponenten zu verwenden, um die Entwicklungskosten zu reduzieren und die Flexibilität von Systemen zu erhöhen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b3/cc/b3ccb847bc3443385fc70791c893c6bf/0110497279.jpeg "Nadine Riederer ist CEO bei Avision. (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/0d/7b/0d7b02fd345ba7ee9b56a483f4b7fb71/0109539496.jpeg "Beides, Glück und Autonomie, brauchen Zeit. So, wie manch melancholischer Teenager die Mühsal der Jugendzeit ausleben muss, gibt es auch für die Autonomie keine schnellen „Wunderlösungen“. (Bild: Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/90/c2/90c20fe3ae6c5c4993c81d5649dc3b5b/0107641254.jpeg "In diesem Artike klärt Rainer Grimm Sie über Fakten der der C++-Programmierung auf. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f8/d0/f8d02766962e82673ccb687468afb87f/0110191797.jpeg "Kein Rätselraten: Eine intelligente Testausführung auf der Ebene der Entwickler und Tester in deren lokalen IDEs ist von entscheidender Bedeutung. (Bild: Jim Barber)")
:quality(80)/p7i.vogel.de/wcms/c3/4f/c34f53bd7509eaf314dc05c003c1c88e/0109159876.jpeg "Systematische Reviews können dabei helfen, die Grundlage für systematische und sinnvolle Verbesserrungen zu schaffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/db/0d/db0d1459248df14128a1fefbe1905bc3/0108765316.jpeg "Mithilfe der QNX-AWS-Cloud-Lösung sollen Entwickler Code, der später in ihren Embedded-Produkten zum Einsatz kommt, in all seinen Varianten testen können, ohne dass sie dafür Hardware benötigen. (Bild: Blackberry)")
:quality(80)/p7i.vogel.de/wcms/eb/a7/eba7fc29ca187ddbb9fb47428f7d3b1f/0108241972.jpeg "Ziel von Cyberattacken ist es, Schwachstellen in Software zu finden, durch die unbeabsichtigtes Verhalten ausgelöst werden kann. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a5/4f/a54f9c3d047ed21eb790b84ddbec5788/0106777020.jpeg "(Bild: Copyright Gesamtbild: Wibu-Systems; Copyright Schlange: iStock, Serhii Yakovliev)")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/df/de/dfde99db2fd6a284729aa7388502f129/0107037164.jpeg "Wenn der Preis wichtiger ist als Sicherheit: Es besteht ein Risiko für viele Firmen, sofern VPN und grundlegende Sicherheitsvorkehrungen im Homeoffice nicht obligatorisch sind. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
:quality(80)/p7i.vogel.de/wcms/24/2e/242e280e4bd31499e2b8cfacbbd48a8b/0105611684.jpeg "Die Erweiterung der Compiler Suite soll das Entwickeln neuer Anwendungen für bestimmte Prozessoren im Automotive-Bereich vereinafchen. (Bild: NXP)")
Software-Entwicklung gemäß IEC61508
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/127800/127839/65.png "axivion_LOGO_600x600px.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
Teil 3 der Norm IEC 61508 richtet sich an Software-Entwickler sicherheitsgerichteter Systeme. Da viele Softwarefehler auf Spezifikationsmängeln und mangelnder Transparenz in den Abläufen basieren nehmen Entwicklungsprozesse und Methoden in der Norm einen breiten Raum ein.
Für Softwarefehler gilt seit jeher: Kleine Fehler können große Auswirkungen haben. Dabei sind Softwarefehler immer (latent) vorhanden, insbesondere da die Komplexität von Software kontinuierlich steigt.Die Qualität heutiger Software wird nicht allein durch möglichst fehlerfreie Codierung und Tests erreicht, nach verschiedenen Untersuchungen basieren viele Softwarefehler bereits auf Spezifikationsmängeln und mangelnder Transparenz in den Abläufen. Daher nehmen Entwicklungsprozesse und Methoden einen breiten Raum im 3. Teil der IEC 61508 ein.
Softwarefehler sind immer Entwurfs- oder Implementierungsfehler. Im Kontext der IEC 61508 werden diese Fehler als „systematische Fehler“ bezeichnet. Sicherheitskritische Software sind Programmteile, die unmittelbar oder mittelbar die Sicherheit eines Systems durch Fehlfunktionen beeinflussen können. Dabei sind Funktionen der Applikation (z.B. Berechnungen, Ablaufsteuerungen), der Hardware (z.B. Diagnosen wie RAM- Test) und der Kommunikation (z.B. sichere Datenübertragung) unterscheidbar.
Anforderungen der IEC61508-3
Teil 3 der Norm IEC 61508 beschreibt einen Lebenszyklus der Software und schlägt Techniken und Verfahren vor, wie sicherheitsgerichtete Software(teile) entworfen und dokumentiert sein sollte. Alle Tätigkeiten und Ergebnisse des Lebenszyklus müssen dokumentiert werden.
Basierend auf dem Software- Lebenszyklus ist das bekannte V-Modell mit sicherheitskritischen Anforderungen erweitert worden und kann als Grundlage einer Softwareentwicklung nach der IEC61508-3 angewendet werden. Haben sich im Unternehmen andere Software- Entwurfsmodelle (Wasserfall, Spiralmodelle) etabliert, sollte der Zusammenhang zu den vorgeschlagenen Phasen der IEC61508 dargestellt werden. Dabei ist die Rückverfolgbarkeit für sicherheitsgerichtete Funktionen in der Dokumentation elementar: Die Informationskette Spezifikation- Entwurf- Implementierung- Test und zurück muss für jede einzelne Sicherheitsfunktion erkenntlich sein.
Spezifikation der Software-Sicherheitsanforderung
- Beschreibung der sicherheitsrelevanten Funktion
- Beschreibung der Schnittstellen zwischen Hard- und Software
- Trennung zwischen sicherheitsrelevanten und nicht sicheren Programmteilen
- Sicherheitsrelevante Kommunikationsverbindungen
Je nach SIL sind dabei bestimmte Methoden der Beschreibung gefordert (z.B. semi- formale oder formale Methoden).
IEC 61508 Teil-7 enthält generell eine nähere Beschreibung der vorgeschlagenen Methoden. Diese sind jedoch oft in der Softwareentwicklung von Embedded- Systemen nahezu unbedeutend. Äquivalente Methoden und Verfahren sind erlaubt – so ist heute z.B. UML 2.0 ein gängiger Standard, um Software zu entwerfen und zu dokumentieren.
Planung der Validierung der Software bezüglich der Sicherheit
Die IEC 61508 fordert immer eine Planung der geforderten Tests (Validierungen) im Vorfeld, inklusive Reviews und Begutachtungen (Verifikationen). In der Testplanung werden die Tests mit Erwartungshaltung beschrieben. Auch wann diese Tests von wem auszuführen sind, muss aus der Dokumentation ersichtlich sein. Auf dieser System- Ebene sind die Tests auf die Sicherheitsanforderungen an die Software zu beziehen, nicht auf die fertigen Module (siehe Software- Modultest).
Softwareentwurf und Softwareentwicklung
Zunächst ist eine Softwarearchitektur zu entwerfen. Diese ist bezüglich der definierten Sicherheitsanforderungen zu begutachten (zu verifizieren). Dabei sollte die Softwarearchitektur Informationen zu Programmmodulen und der Trennung zwischen sicherheitsgerichteten und nichtsicheren Programmteilen beinhalten. Softwareschichten, Schnittstellen (auch Software/Hardware-Schnittstellen), Interruptverarbeitung, Daten- und Funktionsgrafen sowie verschiedene andere „Constraints“ (Zeitanforderungen, Determinismus, Prioritäten, etc) können bereits in der Software-Architektur spezifiziert werden.
Der Übergang von der Architektur zum Software-Design ist fließend. Die Vorgaben aus der Architektur werden detailliert. Softwaremodule werden näher spezifiziert (Funktionen, Daten, Schnittstellen), wenn möglich mit semi-formellen Methoden. Dazu geeignet sind Klassendiagramme, Block-Diagramme, Sequenz-Diagramme, Programmablaufpläne und/oder Zustandsautomaten.
Im folgenden Software-Entwurf selber werden eher allgemeine Anforderungen gestellt. Verwendete Werkzeuge und die Programmiersprache sind zu wählen (C ist laut IEC 61508 nur mit Einschränkungen verwendbar!). Dabei spielt die „Betriebsbewährtheit“ der Werkzeuge eine wichtige Rolle. Ein geeignetes Konfigurationsmanagement ist dringend empfohlen.
Insbesondere beim Einsatz der Programmiersprache C in Embedded-Systemen sind, die Empfehlungen der IEC61508-3 zu beachten. Programmierkonventionen mit Spracheinschränkungen (z.B. Vermeidung dynamischer Speicher und Pointer), defensive Programmierung und die Kapselung von Moduldaten und Funktionen (Geheimnisprinzip) werden ebenso erwähnt, wie die strukturierte Programmierung mit beispielsweise:
- Wenige Verzweigungen im Modul
- Einfacher Zusammenhang zwischen Eingangs- und Ausgangsdaten
- Komplexe Bedingungen und Berechnungen als Sprungbedingung vermeiden
- GOTO (unbedingter Sprung) vermeiden
- Keine dynamischen Variablen und keine Objekte
- Vorsicht bei Interrupts, Pointer und rekursiven Routinen!
Zur Verifikation des Codes bezüglich der Sicherheit gibt es weitere Anforderungen:
- Code Reviews
- Modultests
- Integrationstests mit vordefinierten Testfällen/-daten (Funktions- , Black Box-, White Box- und Performance-Test)
- Dokumentation, Versionierung und Rückverfolgbarkeit der Ergebnisse
Die Funktionen der Software können klassifiziert werden. Dabei gibt es sicherheitsrelevante Abstufungen (z.B. anhand einer „Criticality Analyse“ mittels FMECA) der einzelnen Funktionen. Bei sicherheitskritischen Programmteilen sollten Maßnahmen zur Erkennung und Vermeidung von Softwarefehlern definiert werden, auf die in den folgenden Tests besonders eingegangen wird.
Software-Modultest
Im Software-Modultest finden sich Testkonzept und Testfälle. Sie sind je nach Phase vom entsprechenden Entwurf abgeleitet. Testfälle definieren eine Erwartung und ein Resultat (siehe auch IEEE829). Alle relevanten Zweige im Modul sollten durch Tests abgedeckt sein. Aufgrund des Aufwandes ist eine Code- und Decision- Coverage von 100% in der Praxis als gängige Mindestanforderung zu finden.
Neben Guttests, Grenzwerten, Über- und Unterläufe sollten alle Funktionalitäten getestet werden, die als Sicherheitsfunktion definiert sind und zu sicheren Reaktionen im System führen können. Bei den Tests kann grundsätzlich zwischen statischen und dynamischen Tests unterschieden werden:
Statische Tests:
- Reviews/ Code Inspection/ Walkthrought
- Statische Analyse (z.B. PC-Lint)
Dynamische Tests:
- Funktionaler, Stress-, Reaktions-, Performance-Test
- Datenfluss- und Interface-Test
Integrationstest (Module)
Analog den Modultest werden hier Tests „auf höherer“ Ebene gefordert. Unterschieden werden können grundsätzlich Modul-Integrationstest (Test mehrerer Module im Zusammenspiel und Integrationstest (Test der Module und Teilsysteme auf der Zielhardware). Überschneidungen, auch mit der Validierung der Softwaresicherheitsanforderungen, sind oft nicht zu vermeiden – hier sollte eine projektbezogene herangehensweise definiert werden.
Wichtig ist, dass alle Software-Tests auf einer(!) Softwareversion nach Spezifikation und Testplan durchgeführt werden und jederzeit auf einer beliebigen Version reproduzierbar sind. Empfohlen sind folgende Methoden: Black-Box- und Performance Tests mit Grenzwert-Analyse, Ablauf-Analyse, Stress- und Performance-Tests.
Software Validierung/Verifikation
Für die Software-Validierung sind Testplanungen und Testfälle von der Spezifikation der Software-Sicherheitsanforderung abgeleitet und der Zusammenhang ist rückverfolgbar. Die Validierung soll durch Simulation oder Stimulation durchgeführt werden:
- Eingangssignale
- Ereignisse im Vorgriff
- Unerwünschte Zustände, die eine Reaktion des Systems erfordern
- Grenzwert-Analyse, Prozess-Simulation
- Ablauf-Analyse, Performance-Test
Softwaremodifikation
Die Softwaremodifikation beginnt mit einer Anforderung zur Änderung der Software. Diese enthält die geforderte Änderung und den Änderungsgrund. Es folgen eine Einschätzung bezüglich der Beeinflussung von Sicherheitsfunktion, eine detaillierte Änderungsdokumentation inklusive Testfälle und erneut auszuführende vorhandene Tests. Eventuell muss nach der Änderung sogar die gesamte Software neu verifiziert werden.
Abläufe und Tätigkeiten erfolgen dabei nach einem (Teil-) Prozess, der im FSM (Functional Safety Management) definiert wurde (siehe 1. Teil dieser Artikelreihe). Die Rückverfolgbarkeit der Softwareänderungen (Konfigurationsmanagement) ist erforderlich.
Beurteilung der funktionalen Sicherheit
Die Ergebnisse der einzelnen Phasen sind, wie in der IEC61508 Teil 1, Abschnitt 8 vorgegeben, einer Beurteilung zu unterziehen. Festgelegt wird, je nach erforderlichem SIL, der minimale Grad der Unabhängigkeit derjenigen, die die Beurteilung ausführen. Die erforderlichen Tätigkeiten dazu sind in der Tabelle A.10 definiert. Die Beurteilung kann aufgrund von Checklisten, Wahrheitstabellen, Komplexitätsmetriken, Versagensanalyse (auch mit gemeinsamer Ursache für diversitäre Software) oder Zuverlässigkeitsdiagrammen geprüft werden.
Die Programmiersprache C
Streng typisierte Programmiersprachen sind nach der IEC 61508 empfohlen (ADA, Pascal), C jedoch nicht (nur mit Einschränkungen). Aber: C ist in der Softwareentwicklung von Embedded-Systemen de facto Standard. Es gibt eine Zuordnung der C-Befehle zu Assembler-Instruktionen, um die Abhängigkeit von einer Laufzeitumgebung zu minimieren. Mit C kann (relativ) hardwarenah programmiert werden (Speicherzugriffe und hardwarenahe Konstrukte). Es gibt bewährte Compiler und Debugger für C unter fast allen Umgebungen.
Know-How in der C-Programmierung ist (meist) vorhanden und die Investition ist bereits erfolgt (Compiler, Debugger, Editoren, etc.). Funktionen der Standardbibliothek stehen in den meisten Umgebungen zur Verfügung, dadurch sind C Programme gut portabel. Vorsicht: Nicht immer wird die Standardbibliothek voll unterstützt!
Laut IEC61508 ist C nicht uneingeschränkt empfohlen. Warum?
- C ist flexibel, weil nur sehr eingeschränkte Prüfungen bei Speicherzugriffen, Variablentypen und Stacknutzung durchgeführt werden. Dadurch können die Compiler (anders als z. B. in Pascal) nur sehr eingeschränkt bei der Fehlersuche helfen.
- C enthält kritische Funktionen, z. B. gets() kann fremde Speicherbereiche überschreiben (bei zu langer Eingabe). Der Fehler ist nicht erkennbar oder prüfbar.
- Modularisierung in C erfolgt auf Dateiebene. Die Bekanntgabe der Funktions- und Datenschnittstellen erfolgt in Headerdateien. Das ist insgesamt ein sehr schwach ausgeprägtes Modulkonzept.
- Wegen der Hardwarenähe der Programmiersprache können manche Sprachkonstrukte (z.B. Bitmasken oder Zeigerarithmetik) zu Annahmen über die Byte-Reihenfolge (Endianess) oder Wortbreite führen, was die Portabilität auf andere Prozessoren einschränkt.
Die „Mängel“ in C lassen sich gut klassifizieren. Hier einige Beispiele, die jedem Programmierer sofort einleuchten:
Unspezifiziertes Verhalten in C:
- Die Repräsentation von Fließkomma-Datentypen.
- Die Reihenfolge, in der Ausdrücke (+, -, *, /, &, &&, …) ausgewertet werden.
- Die Reihenfolge und Kontinuität von Speicher, welcher durch die Funktionen calloc, malloc und realloc angefordert wurde.
- Ein Funktionspointer wird benutzt, um eine Funktion aufzurufen, die nicht mit der Deklaration der originalen Funktion kompatibel ist.
- Ein Funktionspointer wird in einen Pointer auf ein Objekt oder umgekehrt umgewandelt.
- Ein Bit-Feld ist mit einem anderen Typ definiert als int, signed int oder unsigned int.
- In den stdio-Funktionen existieren diverse undefinierte Verhaltensmuster.
Implementierungsabhängiges Verhalten in C:
- Bei einem „einfachen“ char kann nicht mit Bestimmtheit gesagt werden, ob dieser signed oder unsigned ist.
- Das Ergebnis einer Konvertierung eines int in einen kürzeren int oder das Ergebnis der Konvertierung eines unsigned int in einen signed int lässt sich nicht darstellen.
- Auf einen signed int wird eine bitweise Operation angewendet.
- Das Verhalten von calloc, malloc und realloc, wenn die angeforderte Speichergröße Null ist.
Warum MISRA-Regeln?
Die Frage ist, wenn es in C so viele unspezifizierte und unprüfbare Fälle geben kann, wie kann die Software trotzdem „sicherer“ werden? Natürlich lässt sich argumentieren, dass Profis um die kritischen Stellen wissen und damit umgehen können. Leider sind nicht alle Programmierer Profis. Daher gehen die MISRA-Regeln von Basis-Voraussetzungen aus und versuchen durch diverse empfohlene oder geforderte Einschränkungen unsichere Konstrukte in C von vornherein zu verhindern.
Im Folgenden einige Beispiele von häufigen Fehlerquellen in C:
- Programmierer machen Fehler: Vertipper (z. B. „=“ statt „==“ in einer if-Anweisung) oder der zu implementierende Algorithmus wurde falsch interpretiert.
- Der Programmierer versteht die Sprache falsch (z. B. die Rangfolge von Operatoren).
- Der Compiler erzeugt Code anders, als vom Programmierer erwartet. Nicht alle Features sind eindeutig definiert und können sich von Compiler zu Compiler unterscheiden.
- Der Compiler selbst enthält Fehler: Compiler und Linker sind ebenfalls nur Software. Sie halten nicht immer den Sprach-Standard ein. Die Compiler-Programmierer können Standard falsch interpretiert haben.
- Laufzeit-Fehler wie: Arithmetische Fehler (z. B. Division durch Null), Über- und Unterläufe, Gültigkeit von Pointer-Adressen, Fehler bei Array-Grenzen.
Regeln gemäß MISRA-C-2004
Die MISRA ist eine US-amerikanische Vereinigung von Herstellern, Zulieferern und Beratern aus dem Bereich der Automobilindustrie, welche Richtlinien zur Entwicklung und zum Einsatz sicherheitskritischer Software entwickelt. Darunter ist die Richtlinie MISRA-C eine der bekanntesten und wichtigsten im Bereich Embedded-Systeme.
Das Werk beinhaltet 141 Regeln insgesamt. Einige der Regeln sind nicht zwingend; ihre Befolgung wird jedoch empfohlen. Die Regeln sind in 21 Kategorien unterteilt. Hier einige Beispiele:
- Regel 14: Der Typ char sollte immer als signed char oder unsigned char deklariert werden. Der Datentyp char wird in Abhängigkeit vom Compiler entweder als signed oder als unsigned interpretiert.
- Regel 70: Funktionen sollten nicht sich selbst aufrufen (sowohl direkt, als auch indirekt).
- Regel 104: Nicht-konstante Pointer zu Funktionen sollten nicht verwendet werden.
- Regel 118: Dynamische Speicheranforderung (calloc, malloc, realloc, free) sollte nicht verwendet werden.
Der große Vorteil von MISRA ist, dass es Tools gibt, die die Einhaltung der meisten Regeln im Code prüfen und Hinweise ausgeben. Während Softwarestruktur, Konventionen und andere Empfehlungen meist nur auf „Good-Will-“ oder Review-Basis funktionieren, können diese Regeln durch toolbasierte Tests geprüft werden. Weiterführend gibt es die MISRA 2008, die nochmals das Regelwerk erweitert.
Sollte MISRA als Einschränkung zu C in Ihrem Unternehmen neu eingeführt werden, sprechen Sie vorher mit Ihren Entwicklern. Nicht alle Regeln sind unumstritten und bei Programmierern beliebt. Kompromisse können von Fall zu Fall durchaus erlaubt sein.
Quellen:
DIN EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer, programmierbar elektronischer Systeme, Teil 1-7, November 2002
Sicherheitstechnik für Komponenten und Systeme, Peter Wratil, Michael Kieviet, Hüthig Verlag 2007
Elektronische Sicherheitssysteme, Josef Börcsök, Hüthig Verlag 2004
Functonal Safety, A Straightforward Guide to IEC 61508 and Related Standard, David J Smith & Kenneth G L Simpson, Butterworth/Heinemann Verlag 2001
Software Criticality Analysis, TÜV Süddeutschland, H.Spiess, 2000
Einführung zur IEC61508, TÜV Süddeutschland, TÜV Automotive GmbH, 2003
IEC 61508- Teil 3; Sicherheitsgerichtete Softwareentwicklung, Olaf Winne, Design&Elektronik Forum „Sichere System“, 2004
Modeling for Reliability Analysis, Jan Pukite und Paul Pukite, IEEE Press 1998
Herleitung und Nachweis der SIL-3 Klassifizierung nach der Norm IEC61508-2 für ein zweikanaliges Mikrocontrollersystem, HTWK Leipzig, Quategra Gmbh; Jens Kleemann, 2008
Safer C, Les Hatton, Mcgraw-Hill Publ.Comp.,März 1995
(ID:45384186)
:quality(80)/images.vogel.de/vogelonline/bdb/1945700/1945716/original.jpg "Die Common Weakness Enumeration (CWE) kann helfen, einen Überblick möglicher Schwachstellen zu pflegen, um darauf basierend Prüfpläne auszuarbeiten, die sowohl gründlich als auch realistisch sind. Aufgrund immer neuer Angriffsszenarien muss diese Liste allerdings regelmäßig konsultiert werden. (Clipdealer)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937300/1937327/original.jpg "Das mit Abstand am häufigsten verwendete Python (CPython) ist bereits in C implementiert und dürfte vielen Entwicklern bereits geläufig sein. Doch wann ist es nötig, das verwendete Python zu erweitern? Wann ist es eher ratsam, statt in C eine einbettung in C++ vorzunehmen? (gemeinfrei)")