:quality(80)/p7i.vogel.de/wcms/b8/20/b8203d9f2b6f6e61bff6c3fda15042d3/0128235802v2.jpeg "Die Forschenden aus dem Lehrstuhl für Robotik, Künstliche Intelligenz und Echtzeitsysteme testen die neue Architektur am Teststand der TUM. Im Bild (von links nach rechts): Chengdong Wu, Nils Purschke und Sven Kirchner. (Bild: besser 3 / TU München)")
:quality(80)/p7i.vogel.de/wcms/79/90/79901d8c1934b11223a53cb900b1aa85/das-20building-2092-20bei-20der-20microsoft-zentrale-20in-20redmond-20--20quelle-20coolcaesar-20via-20wikimedia-20commons-5184x2915v1.jpeg "Das Building 92 bei der Microsoft-Zentrale in Redmond. (Wikimedia Commons)")
:quality(80)/p7i.vogel.de/wcms/31/92/3192d2bddbdb052afd8904128dd7aec1/0123884994v2.jpeg "Projekte zur Entwicklung von Embedded-Systemen, wie auch die Systeme selbst, werden zunehmend komplexer. Modellbasiertes System-Engineering (MBSE) soll dabei helfen, diese zunehmende Komplexität in den Griff zu bekommen. Doch wann stößt das Prinzip an seine Grenzen? (Bild: KI-generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/b0/42/b04293b683f177fa6c781c1e00e1770f/0122968330v2.jpeg "Betrieb, Wartung, Updates: Während der Lebensdauer eines Embedded-Systems sind mehrere Lebenszyklus-Iterationen zu berücksichtigen. (Bild: © metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/53/cc53ebfd9f45b28eb918a8098b63846b/0127825678v1.jpeg "Im zweiten und letzten Teil der Artikelserie zu Latenzen wird gezeigt, wie sich Latenz mit dem richtigen RTOS, Interrupt-Optimierung, Low-Level-Code und Co-Design gezielt senken lässt. (Bild: Green Hills Software)")
:quality(80)/p7i.vogel.de/wcms/ac/ea/acea3ca6c15e0bd261c8bde5d3fe7bfb/0127825678v2.jpeg "Bild 1: Um Latenzzeiten in echtzeitkritischen Systemen verringern zu können braucht es erst einmal Verständnis, wie diese entstehen. Im ersten Teil unserer zweiteiligen Reihe werden die Schlüsselfaktoren untersucht, die sowohl auf Hardware- als auch auf Software-Ebene zur Latenz beitragen. (Bild: Green Hills Software)")
:quality(80)/p7i.vogel.de/wcms/93/d9/93d9211463a0af86eff0b83c359cd880/0127528428v1.jpeg "Mit Aufnahme von PREEMPT_RT in den Mainline-Kernel 6.12 wurde Linux vor etwa einem Jahr nativ echtzeitfähig. Wie kam es zu dieser Entwicklung- und wie lassen sich die Echtzeiteigenschaften von Linuc evaluieren? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9f/9d/9f9d8357928662c1173bad86e63f0fb0/0126749087v2.jpeg "Miss Magic: Für das aktuelle vom KITCar-Team für die Cognitive Autonomous Driving Challenge entwickelte selbstfahrende Modellfahrzeug musste das zugrunde liegende Embedded-System komplett umgestellt werden. Zum Einsatz kamen die Open-Source-Systeme FreeRTOS und micro-ROS. Dabei musste das mit Multithreading unerfahrene Team umfassende Analysem am System durchführen. (Bild: KIT)")
:quality(80)/p7i.vogel.de/wcms/75/3d/753d0fa44b344d363e25c91dc0752635/0129134302v2.jpeg "Volle Säle, reger Austausch: Trotz einer spürbaren Konjunkturflaute gerade im Automotive-Bereich fanden sich erneut um die 1000 Teilnehmer in der Stadthalle Sindelfingen zum ESE Kongress 2025 ein. (Bild: Nicolas Det)")
:quality(80)/p7i.vogel.de/wcms/ef/9a/ef9a10566eaa807a8fdad9cbff80246f/0126533084v1.jpeg "Die wachsende Bedeutung agentischer KI wird früher oder später zu einer Abkehr von klassischer UI-Interaktion führen: Werden Business-Anwendungen bald unsichtbar und ihr Branding für Anwender irrelevant? (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/2c/f12ce473545edd2bfd6e6608762ab4e0/0127849318v2.jpeg "Lösungsnah und praxisorientiert: In den Kompaktseminaren des ESE Kongress vermitteln anerkannte Experten konkretes Fachwissen, das Teilnehmer für den Berufsalltag verwenden können - belegt mit Zertifikat. (Bild: Nicolas Det / VCG)")
:quality(80)/p7i.vogel.de/wcms/4c/f0/4cf066b46a5fcfc430a2454a5e82e801/0129279386v1.jpeg "Der Entwickler des beliebten Open-Source-Texteditors Notepad++ hat bestätigt, dass Hacker die Software gekapert haben, um den Nutzern im Laufe mehrerer Monate im Jahr 2025 bösartige Updates zu liefern. Die Spur der Angreifer führt nach China. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/8c/6f/8c6f6442be2e51474edb322865beea87/0128892896v1.jpeg "Eine neuartige Betrugsmasche nutzt fingierte Stellenangebote, um Software-Entwickler dazu zu bringen, über GitHub-Repositorien Malware auf ihre Rechner herunterzuladen. Während Kaspersky bereits seit 3 Jahren international vor sogenanntem \"GitVenom\" warnt, sind inzwischen auch Fälle in Deutschland bekannt geworden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/97/2c/972cdd9c0feba8b1f547ab8b59f20569/0128755598v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ce/6e/ce6efcc7a619f27ab72ec73ddfa4104a/0128150590v2.jpeg "Die neue Variante des Shai-Hulud-Wurms, dass nun das npm-Repository heimsucht, hat bereits über 27.000 Sätze an Zugriffsdaten abgegriffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c3/77/c3773763653a2c21d1bc56edaeb5ee28/0129073638v2.jpeg "FPGAs lösen Performance-Engpässe, gelten aber in der Programmierung als schwer zugänglich. Die universelle Programmiersprache Livt soll die Hürde senken – korrekt, deterministisch und HDL-kompatibel. (Bild: Toby Giessen / VCG)")
:quality(80)/p7i.vogel.de/wcms/87/22/8722bf4b4f589ef0fb8edea072ab2233/0128050160v2.jpeg "Trust in Rust: Gerade wenn es um Speicher- und Anwendungssicherheit geht, könnte es sich für Embedded-Entwickler lohnen, auf Trust als Programmiersprache der Wahl zu setzen. (Bild: Rust Foundation)")
:quality(80)/p7i.vogel.de/wcms/b9/31/b9313f8284d9693b6fa4da6c8f6fc9cd/0127890201v2.jpeg "Bei der Entwicklung von Software für den Automotive-Bereich wird eine große Zahl unterschiedlicher Programmiersprachen eingesetzt. Aber welche Sprache ist am besten geeignet, um den strengen Anforderungen an Cybersecurity zu entsprechen? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/fb/f0/fbf0a08d385a84614563ef9c5f500f90/0126977852v2.jpeg "Das Aufkommen von KI-Assistenten macht sich vor allem bei Skriptsprachen, bei denen häufig „Vibe-Coding“ zum Einsatz kommt, deutlich bemerkbar. Aber auch Programmiersprachen, die für ganz spezielle Aufgabenbereiche zugeschnitten sind, scheinen mit dem Einsatz von GenAI zur Codegenerierung and Bedeutung – oder zumindest Sichtbarkeit – zu verlieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/6a/b4/6ab425994d3a51adb386ff1f6ac057c4/90781066v2.jpeg "Einzelne Vorgänge innerhalb eines Embedded-Systems nachzuvollziehen oder zu analysieren kann sich als Herausforderung gestalten. Linux bietet nativ bereits eine Tracing-Infrakstruktur und hält eine Reihe von Tracing-Tools bereit, mit der sich Ereignisse gezielt steuern oder überprüfen lassen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/ae/44ae9d39a71459d2159041970c5af967/0129272409v2.jpeg "Künstliche Intelligenz hat bereits Einzug in den Betrieb, das Schreiben und das Testen von Software Einzug gehalten. Darum lohnt es sich für Unternehmen und Entwickler, ein Auge darauf zu haben, wie KI-Tests die Software-Entwicklung nahhaltig beeinflussen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/15/73/1573bb05ef0a53c3b4a9473f9b4397f6/0128933070v2.jpeg "Vector Code Testing stärkt sein Produktportfolio mit der RocqStat-Technologie von StatInf für die Timing-Analyse. (Bild: Vector Informatik GmbH)")
:quality(80)/p7i.vogel.de/wcms/e3/ff/e3fff7793f39cb358f0b96db2b06680c/0128775174v1.jpeg "KI-Agenten können Entwickler beim Testen von Embedded-Systemen auf mehreren Ebenen unterstützen. Welche Bereiche profitieren hier besonders - und worauf sollte man an diesen Stellen besonders achten? (Bild: emintes)")
:quality(80)/p7i.vogel.de/wcms/93/b2/93b2dee2b42d98849c80562a53d8b31e/0128754755v2.jpeg "Das Trace32 Tool von Lauterbach beitet vollständige Debug- und Trace-Unterstützung für den Renesas R-Car Gen 5 X5H für eine beschleunigte Entwicklung von Software-Defined Vehicles. (Bild: Lauterbach / Renesas)")
:quality(80)/p7i.vogel.de/wcms/8f/0c/8f0c1365f6635fbdfdd355b102d3d113/0128531933v1.jpeg "Die neu gegründete Agentic AI Foundation soll die Entwicklung offener Tools und Standards für agentenbasierte KI vorantreiben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/22/89/22896600c7f19a5813fa824ee8207dd4/0122524970v2.jpeg "Ein halbautomatischer Webstuhl des französischen Erfinders Basile Bouchon aus dem Jahr 1725, zu sehen im Musée des arts et métiers, Paris. Die Löcher im Papierband gaben vor, welche Nadelöhre gehoben wurden, durch die das Muster der nächsten Reihe im Webstuhl zu laufen hatte. Je nach gewünschten Muster konnten die Lochbänder ausgewechselt werden - das Prinzip programmierbarer Maschinen war geboren. (Bild: Basile Bouchon 1725 loom / Dogcow / CC BY-SA 3.0)")
:quality(80)/p7i.vogel.de/wcms/e7/cf/e7cf5a22f39eddc3235f047c566b747e/0122159010v1.jpeg "Abstraktionsschichten (Symbolbild) (Bild: KI-generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/43/c4/43c4067994de48347a260c6191e88528/0103046501v1.jpeg "(Logo: Rust Foundation)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
Schrittweises Herangehen
Wie bei allen Embedded-Systemen geht dem Entwurf die Definition der Systemanforderungen mit der physikalischen und funktionalen Spezifikation voraus. Sicherheitskritische Systeme erfordern zudem eine umfassende Gefahren- und Risikoanalyse - erst dann folgt der Entwurf der Architektur.
Die Gefährdungsanalyse (Hazard-Analyse) dient dem systematischen Identifizieren von Gefährdungen der menschlichen Sicherheit durch ein System. Zudem wird die Wahrscheinlichkeit ermittelt, dass diese Gefährdungen einen Unfall zur Folge haben. Die Fehlerbaumanalyse (FTA) ist eine häufig verwendete Methode zur Gefährdungsanalyse. Sie basiert auf hierarchischer Top-down-Zerlegung; dabei werden jedoch keine Funktionen zerlegt, wie wir das zu Beginn unserer Ingenieursausbildung gelernt haben, sondern vielmehr unerwünschte System-Events. Damit ist es möglich, Kombinationen von Hardware-, Software-, Bedien- oder sonstiger Fehler zu identifizieren, die zu Sicherheitsgefährdungen führen können.
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274573/original.jpg "(D. Kalinsky Associates)")
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274574/original.jpg "(D. Kalinsky Associates)")
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274575/original.jpg "(D. Kalinsky Associates)")
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274576/original.jpg "(D. Kalinsky Associates)")
Eine Fehlerbaumanalyse beginnt mit der Frage “Was sind die 3 (oder 6 oder 7) lebensbedrohlichsten Dinge, die mein System tun könnte?“. Tragen Sie jede Sicherheitsgefährdung, die Ihnen einfällt, als Spitze in jeweils einem eigenen Fehlerbaum ein (siehe Abbildung 3). Dann folgt die Frage „Was könnten die Ursachen für diese Dinge sein?“. Ihre Antwort erscheint als oberste Dekompositionsebene des Fehlerbaums. Nächste Frage: „Und was könnte wiederum diese Dinge verursacht haben?“. Die Antworten kommen auf die nächste Fehlerbaum-Ebene, und so weiter. Sie können dabei UND/ODER-Operatoren verwenden, um logische Verknüpfungen in Ihren Diagrammen zu zeigen (Abbildung 3).
Ein anderes und vielleicht systematischeres Vorgehen zur Gefährdungsanalyse ist die sogenannte Ereignisbaumanalyse – ein Bottom-Up-Ansatz, der die Ergebnisse aus dem Betrieb bzw. Ausfall (Failure) von Systemkomponenten und Untersystemen untersucht. Ein Ereignisbaum wird häufig horizontal dargestellt, siehe Abbildung 4.
Das sicherheitsgefährdende Ereignis (Event) auf oberster Ebene steht links in der Abbildung 4; die am Handling dieses Events beteiligten Komponenten und Subsysteme werden oben horizontal gezeigt. Der Ereignisbaum analysiert folgende Situation: „Wenn bei der Infusionspumpe der Flüssigkeitsdruck ausfällt, gibt das System die erforderliche Warnung aus?“. Die Wahrscheinlichkeiten für erfolgreichen Betrieb bzw. für Ausfall werden für alle beteiligten Komponenten und Subsysteme eingetragen. Nach Errechnen der Wahrscheinlichkeiten ist das Ergebnis in diesem Beispiel, dass in 16,21% der Zeit keine Warnung ausgegeben wird. [Hinweis: Dieses Beispiel ist frei erfunden, um möglichst einfache Zahlen verwenden zu können. Echte medizinische Systeme sind viel zuverlässiger.]
Auf die Gefährdungsanalyse folgt die Risikoanalyse. Risiko wird als die Kombination der Wahrscheinlichkeit und den erwarteten Folgen eines unerwünschten Ereignisses betrachtet. Man könnte es quantitativ z.B. als „Todesfälle je 100 Jahre Systembetrieb“ angeben. Sind die größten Risiken identifiziert, die ein System darstellen könnte, gilt es, sie beim Systementwurf zu berücksichtigen: Die zugrundeliegenden Gefährdungen sind sofern möglich zu vermeiden oder zu beseitigen. Dies lässt sich häufig mit folgenden Maßnahmen umsetzen:
- Hardware-Overrides, um bedenkliche Softwarekomponenten zu umgehen
- Lockouts, um zu verhindern, dass ein System in einen risikoreichen Zustand eintritt
- Lockins, um zu gewährleisten, dass ein System zuverlässig im sicheren Zustand bleibt
- Interlocks, um Abfolgen von Events zu unterbinden und damit Gefährdung zu vermeiden
Wenn sich die Gefährdungen nicht vollständig vermeiden oder beseitigen lassen, gilt es, das Unfallrisiko einzudämmen. Tritt dennoch ein Unfall ein, ist das Risiko zu minimieren, dass Leben gefährdet wird.
Zusammen mit den Systemanforderungen stellen die Ergebnisse aus der Gefährdungs- und der Risikoanalyse eine Leitlinie für den Architekturentwurf von sicherheitskritischen Systemen dar.
Methoden zur Erkennung von Sensorfehlern
Korrekte Sensordaten sind für den sicheren Betrieb so kritisch, dass viele Systeme eine redundante Sensordatenerfassung haben. Das müssen nicht unbedingt Sensor-Replikate sein wie in Abbildung 5, wo zwei identische Sensoren zum Einsatz kommen. Auch funktionale Redundanz käme infrage, also die Messung desselben Wertes auf zwei verschiedene Arten. Zum Bespiel ließe sich die Atmungsrate eines Patienten sowohl über Ausweitung und Zusammenziehen des Brustkorbs messen sowie auch auf Basis der ausgeatmeten CO2-Konzentration.
Redundanz lässt sich auch als analytische Redundanz implementieren; dabei wird ein bestimmter Messwert mit einem anderweitig abgeleiteten Wert abgeglichen, siehe Abbildung 6.
Bespiel: Das Messergebnis eines Positionssensors ließe sich mit folgendem Wert vergleichen: Summe aus vorheriger Position plus Geschwindigkeit, multipliziert mit der Ablaufzeit.
xt = x0 + vavg*t .
Bei bekannter konstanter Beschleunigung wäre die Formel:
xt = x0 + v0*t + ½*aconst*(t)**2.
Der Physikunterricht hat seinen Zweck erfüllt! Stimmen die errechneten und gemessenen Werte annähernd überein, können wir darauf vertrauen, dass der Sensor richtig arbeitet. Noch ein Beispiel: Die Herzfrequenz eines Patienten lässt sich mittels Signalanalyse einer arteriellen Blutdruck-Wellenform extrahieren. Dann kann man sie dem Wert gegenüberstellen, der direkt aus dem elektrokardiographischen Signal (EKG) des Patienten gemessen wurde (analytische Redundanz).
Diese Ansätze lassen sich kombinieren und erweitern. Bei den bisher besprochenen Methoden wissen wir, dass bei einem Sensor etwas nicht in Ordnung ist, wenn die Vergleichswerte nicht übereinstimmen. Manchmal ist es dann am besten, das gesamte Redundanzpaar mittels „Fail-Stop“ abzuschalten. Es ist auch möglich, eine dritte redundante Komponente hinzuzufügen und „Vergleich“ durch „Voting“ zu ersetzen. Erfolgt dies in einem rein replikationsbasierten Design wie in Abbildung 5, entsteht eine sogenannte dreifach modulare Redundanz (Triple Modular Redundancy, TMR). Die verschiedenen Redundanz-Verfahren lassen sich auch kombinieren. Bei Triple-Modular-Redundanzen ist es möglich, einen als fehlerhaft identifizierten Sensor abzuschalten. Die anderen redundanten Elemente laufen sicher weiter.
(ID:44853387)
:quality(80)/p7i.vogel.de/wcms/f4/38/f43837cba74f56ca1546a5c3c70f0737/0123921355v2.jpeg "Trace-Visualisierung in der TRACE32-PowerView-Software: Wenn ein SoC-Hersteller seine Chips von Anfang an so gestaltet, dass sie „einfach und leicht debugbar“ sind, erspart er Kunden in späteren Phasen der Entwicklung viele potenzielle Probleme. (Bild: Lauterbach)")
:quality(80)/p7i.vogel.de/wcms/87/22/8722bf4b4f589ef0fb8edea072ab2233/0128050160v2.jpeg "Trust in Rust: Gerade wenn es um Speicher- und Anwendungssicherheit geht, könnte es sich für Embedded-Entwickler lohnen, auf Trust als Programmiersprache der Wahl zu setzen. (Bild: Rust Foundation)")