:quality(80)/p7i.vogel.de/wcms/b8/20/b8203d9f2b6f6e61bff6c3fda15042d3/0128235802v2.jpeg "Die Forschenden aus dem Lehrstuhl für Robotik, Künstliche Intelligenz und Echtzeitsysteme testen die neue Architektur am Teststand der TUM. Im Bild (von links nach rechts): Chengdong Wu, Nils Purschke und Sven Kirchner. (Bild: besser 3 / TU München)")
:quality(80)/p7i.vogel.de/wcms/79/90/79901d8c1934b11223a53cb900b1aa85/das-20building-2092-20bei-20der-20microsoft-zentrale-20in-20redmond-20--20quelle-20coolcaesar-20via-20wikimedia-20commons-5184x2915v1.jpeg "Das Building 92 bei der Microsoft-Zentrale in Redmond. (Wikimedia Commons)")
:quality(80)/p7i.vogel.de/wcms/31/92/3192d2bddbdb052afd8904128dd7aec1/0123884994v2.jpeg "Projekte zur Entwicklung von Embedded-Systemen, wie auch die Systeme selbst, werden zunehmend komplexer. Modellbasiertes System-Engineering (MBSE) soll dabei helfen, diese zunehmende Komplexität in den Griff zu bekommen. Doch wann stößt das Prinzip an seine Grenzen? (Bild: KI-generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/b0/42/b04293b683f177fa6c781c1e00e1770f/0122968330v2.jpeg "Betrieb, Wartung, Updates: Während der Lebensdauer eines Embedded-Systems sind mehrere Lebenszyklus-Iterationen zu berücksichtigen. (Bild: © metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/53/cc53ebfd9f45b28eb918a8098b63846b/0127825678v1.jpeg "Im zweiten und letzten Teil der Artikelserie zu Latenzen wird gezeigt, wie sich Latenz mit dem richtigen RTOS, Interrupt-Optimierung, Low-Level-Code und Co-Design gezielt senken lässt. (Bild: Green Hills Software)")
:quality(80)/p7i.vogel.de/wcms/ac/ea/acea3ca6c15e0bd261c8bde5d3fe7bfb/0127825678v2.jpeg "Bild 1: Um Latenzzeiten in echtzeitkritischen Systemen verringern zu können braucht es erst einmal Verständnis, wie diese entstehen. Im ersten Teil unserer zweiteiligen Reihe werden die Schlüsselfaktoren untersucht, die sowohl auf Hardware- als auch auf Software-Ebene zur Latenz beitragen. (Bild: Green Hills Software)")
:quality(80)/p7i.vogel.de/wcms/93/d9/93d9211463a0af86eff0b83c359cd880/0127528428v1.jpeg "Mit Aufnahme von PREEMPT_RT in den Mainline-Kernel 6.12 wurde Linux vor etwa einem Jahr nativ echtzeitfähig. Wie kam es zu dieser Entwicklung- und wie lassen sich die Echtzeiteigenschaften von Linuc evaluieren? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9f/9d/9f9d8357928662c1173bad86e63f0fb0/0126749087v2.jpeg "Miss Magic: Für das aktuelle vom KITCar-Team für die Cognitive Autonomous Driving Challenge entwickelte selbstfahrende Modellfahrzeug musste das zugrunde liegende Embedded-System komplett umgestellt werden. Zum Einsatz kamen die Open-Source-Systeme FreeRTOS und micro-ROS. Dabei musste das mit Multithreading unerfahrene Team umfassende Analysem am System durchführen. (Bild: KIT)")
:quality(80)/p7i.vogel.de/wcms/75/3d/753d0fa44b344d363e25c91dc0752635/0129134302v2.jpeg "Volle Säle, reger Austausch: Trotz einer spürbaren Konjunkturflaute gerade im Automotive-Bereich fanden sich erneut um die 1000 Teilnehmer in der Stadthalle Sindelfingen zum ESE Kongress 2025 ein. (Bild: Nicolas Det)")
:quality(80)/p7i.vogel.de/wcms/ef/9a/ef9a10566eaa807a8fdad9cbff80246f/0126533084v1.jpeg "Die wachsende Bedeutung agentischer KI wird früher oder später zu einer Abkehr von klassischer UI-Interaktion führen: Werden Business-Anwendungen bald unsichtbar und ihr Branding für Anwender irrelevant? (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/2c/f12ce473545edd2bfd6e6608762ab4e0/0127849318v2.jpeg "Lösungsnah und praxisorientiert: In den Kompaktseminaren des ESE Kongress vermitteln anerkannte Experten konkretes Fachwissen, das Teilnehmer für den Berufsalltag verwenden können - belegt mit Zertifikat. (Bild: Nicolas Det / VCG)")
:quality(80)/p7i.vogel.de/wcms/4c/f0/4cf066b46a5fcfc430a2454a5e82e801/0129279386v1.jpeg "Der Entwickler des beliebten Open-Source-Texteditors Notepad++ hat bestätigt, dass Hacker die Software gekapert haben, um den Nutzern im Laufe mehrerer Monate im Jahr 2025 bösartige Updates zu liefern. Die Spur der Angreifer führt nach China. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/8c/6f/8c6f6442be2e51474edb322865beea87/0128892896v1.jpeg "Eine neuartige Betrugsmasche nutzt fingierte Stellenangebote, um Software-Entwickler dazu zu bringen, über GitHub-Repositorien Malware auf ihre Rechner herunterzuladen. Während Kaspersky bereits seit 3 Jahren international vor sogenanntem \"GitVenom\" warnt, sind inzwischen auch Fälle in Deutschland bekannt geworden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/97/2c/972cdd9c0feba8b1f547ab8b59f20569/0128755598v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ce/6e/ce6efcc7a619f27ab72ec73ddfa4104a/0128150590v2.jpeg "Die neue Variante des Shai-Hulud-Wurms, dass nun das npm-Repository heimsucht, hat bereits über 27.000 Sätze an Zugriffsdaten abgegriffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c3/77/c3773763653a2c21d1bc56edaeb5ee28/0129073638v2.jpeg "FPGAs lösen Performance-Engpässe, gelten aber in der Programmierung als schwer zugänglich. Die universelle Programmiersprache Livt soll die Hürde senken – korrekt, deterministisch und HDL-kompatibel. (Bild: Toby Giessen / VCG)")
:quality(80)/p7i.vogel.de/wcms/87/22/8722bf4b4f589ef0fb8edea072ab2233/0128050160v2.jpeg "Trust in Rust: Gerade wenn es um Speicher- und Anwendungssicherheit geht, könnte es sich für Embedded-Entwickler lohnen, auf Trust als Programmiersprache der Wahl zu setzen. (Bild: Rust Foundation)")
:quality(80)/p7i.vogel.de/wcms/b9/31/b9313f8284d9693b6fa4da6c8f6fc9cd/0127890201v2.jpeg "Bei der Entwicklung von Software für den Automotive-Bereich wird eine große Zahl unterschiedlicher Programmiersprachen eingesetzt. Aber welche Sprache ist am besten geeignet, um den strengen Anforderungen an Cybersecurity zu entsprechen? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/fb/f0/fbf0a08d385a84614563ef9c5f500f90/0126977852v2.jpeg "Das Aufkommen von KI-Assistenten macht sich vor allem bei Skriptsprachen, bei denen häufig „Vibe-Coding“ zum Einsatz kommt, deutlich bemerkbar. Aber auch Programmiersprachen, die für ganz spezielle Aufgabenbereiche zugeschnitten sind, scheinen mit dem Einsatz von GenAI zur Codegenerierung and Bedeutung – oder zumindest Sichtbarkeit – zu verlieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/6a/b4/6ab425994d3a51adb386ff1f6ac057c4/90781066v2.jpeg "Einzelne Vorgänge innerhalb eines Embedded-Systems nachzuvollziehen oder zu analysieren kann sich als Herausforderung gestalten. Linux bietet nativ bereits eine Tracing-Infrakstruktur und hält eine Reihe von Tracing-Tools bereit, mit der sich Ereignisse gezielt steuern oder überprüfen lassen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/ae/44ae9d39a71459d2159041970c5af967/0129272409v2.jpeg "Künstliche Intelligenz hat bereits Einzug in den Betrieb, das Schreiben und das Testen von Software Einzug gehalten. Darum lohnt es sich für Unternehmen und Entwickler, ein Auge darauf zu haben, wie KI-Tests die Software-Entwicklung nahhaltig beeinflussen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/15/73/1573bb05ef0a53c3b4a9473f9b4397f6/0128933070v2.jpeg "Vector Code Testing stärkt sein Produktportfolio mit der RocqStat-Technologie von StatInf für die Timing-Analyse. (Bild: Vector Informatik GmbH)")
:quality(80)/p7i.vogel.de/wcms/e3/ff/e3fff7793f39cb358f0b96db2b06680c/0128775174v1.jpeg "KI-Agenten können Entwickler beim Testen von Embedded-Systemen auf mehreren Ebenen unterstützen. Welche Bereiche profitieren hier besonders - und worauf sollte man an diesen Stellen besonders achten? (Bild: emintes)")
:quality(80)/p7i.vogel.de/wcms/93/b2/93b2dee2b42d98849c80562a53d8b31e/0128754755v2.jpeg "Das Trace32 Tool von Lauterbach beitet vollständige Debug- und Trace-Unterstützung für den Renesas R-Car Gen 5 X5H für eine beschleunigte Entwicklung von Software-Defined Vehicles. (Bild: Lauterbach / Renesas)")
:quality(80)/p7i.vogel.de/wcms/8f/0c/8f0c1365f6635fbdfdd355b102d3d113/0128531933v1.jpeg "Die neu gegründete Agentic AI Foundation soll die Entwicklung offener Tools und Standards für agentenbasierte KI vorantreiben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/22/89/22896600c7f19a5813fa824ee8207dd4/0122524970v2.jpeg "Ein halbautomatischer Webstuhl des französischen Erfinders Basile Bouchon aus dem Jahr 1725, zu sehen im Musée des arts et métiers, Paris. Die Löcher im Papierband gaben vor, welche Nadelöhre gehoben wurden, durch die das Muster der nächsten Reihe im Webstuhl zu laufen hatte. Je nach gewünschten Muster konnten die Lochbänder ausgewechselt werden - das Prinzip programmierbarer Maschinen war geboren. (Bild: Basile Bouchon 1725 loom / Dogcow / CC BY-SA 3.0)")
:quality(80)/p7i.vogel.de/wcms/e7/cf/e7cf5a22f39eddc3235f047c566b747e/0122159010v1.jpeg "Abstraktionsschichten (Symbolbild) (Bild: KI-generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/43/c4/43c4067994de48347a260c6191e88528/0103046501v1.jpeg "(Logo: Rust Foundation)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
Shutdown-Systeme
Wenn ein sicherheitskritisches System in einem unmittelbar sicheren Zustand ist, wie links in Abbildung 2 gezeigt, lässt sich eine gefährliche Situation sofort nach Erkennung mithilfe eines Shutdown-Systems beenden. Siehe hierzu Abbildung 7.
Das Shutdown-System ist eine spezielle Einheit zum Identifizieren gefährlicher Situationen. Sobald eine Gefährdung entdeckt wird, wird das gesamte System in einen sicheren Zustand gebracht (“OFF”), in dem es keine Gefährdung von Menschenleben verursacht. Das Shutdown-System ist unabhängig vom Primärsystem, welches normalerweise die Kontrolle hat, und arbeitet parallel dazu.
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274573/original.jpg "(D. Kalinsky Associates)")
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274574/original.jpg "(D. Kalinsky Associates)")
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274575/original.jpg "(D. Kalinsky Associates)")
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274576/original.jpg "(D. Kalinsky Associates)")
Um sicherzustellen, dass das Shutdown-System komplett unabhängig ist, verfügt es über eigene Sensoren. Ein Diagnose-Subsystem gewährleistet die Integrität des Shutdown-Systembetriebs. Entdeckt das Diagnose-Subsystem, dass die Entscheidungen des Shutdown-Systems möglicherweise unzuverlässig sind, kann es das gesamte System sofort in einen sicheren Zustand bringen (“OFF”). So wird verhindert, dass das Primärsystem weiterläuft, wenn kein zuverlässiges Monitoring durch ein parallel laufendes Shutdown-System stattfindet.
Ein solcher Entwurf würde sich für ein Bestrahlungssystem zur Krebstherapie eignen. Das Primärsystem arbeitet als Nuklearteilchenbeschleuniger, der einen hochkonzentrierten Strahl auf einen streng eingegrenzten Bereich auf dem Körper des Patienten richtet. Die Sensoren im Primärsystem überwachen die Strahlendosis auf dem Target. Das Shutdown-System verwendet Strahlungssensoren an anderen Körperstellen und an verschiedenen Stellen im Behandlungsraum, und es überwacht auch die Strahlendosis auf dem Target. Das Shutdown-System selbst wird mithilfe eines eigenen Diagnose-Subsystems ausgewertet.
Wie wir noch sehen werden, sind für das Primärsystem in Abbildung 7 verschiedene Architekturentwürfe denkbar. Manche sind sehr komplex und beinhalten eine umfassende Redundanz. Für ein Shutdown-System selbst gibt es jedoch keine Redundanz; damit stellt es einen potentiellen Single Point of Failure dar. Ein einziges fehlerhaftes Shutdown-System könnte also den Betrieb in einer Bestrahlungspraxis komplett zum Erliegen bringen. Patienten würden auf andere Weise gefährdet - ihre medizinische Behandlung bliebe aus. Aus diesem Grund verfügen manche sicherheitskritischen Systeme über zweifache, parallel arbeitende Shutdown-Systeme (mit UND/ODER-Logik für die Entscheidung, wann das Primärsystem abzuschalten ist).
Es gibt sogar sicherheitskritische Systeme mit drei parallel arbeitenden Shutdown-Systemen; Entscheidungen werden dann auf Basis eines Votings in der Triple-Modular-Redundanz getroffen. Ein fehlerhaftes Shutdown-System kann so identifiziert und heruntergefahren werden. Die übrigen Shutdown-Systeme laufen zuverlässig als Redundanz weiter, und das Primärsystem erbringt weiter seinen Dienst.
Einkanal-Architektur mit Aktor-Monitoring
Die Idee eines Shutdown-Systems lässt sich in kleinerem Umfang auch innerhalb eines Primärsystems anwenden, wie in Abbildung 8 dargestellt. Die Ellipsen stehen für größere Systemaktivitäten, die je nach Systemumfang als Software-Tasks oder -Prozesse entweder auf separaten Prozessoren oder einem gemeinsam genutzten Prozessor implementiert werden können. Ein einfaches Primärsystem ist nach dem „Input-Process-Output“-Entwurfsmuster strukturiert. Dies entspricht der Sequenz “Data Acquisition --> Processing/Transformations --> Output/Control” (siehe Bild 8). Aus Kostengründen greifen hier das Primärsystem und das Shutdown-Monitoring für die Sensordaten-Integritätsprüfung (links unten) gemeinsam auf den-/dieselben Eingangssensor/en zu.
Das Prinzip des Shutdown-Monitoring lässt sich auch auf die Ausgangsseite eines Systems ausweiten; dies wird als Aktor-Monitoring bezeichnet (rechts in Abbildung 8 für ein sicherheitskritisches Medizinsystem). Aktor-Monitoring lässt sich auf verschiedene Weise implementieren, jeweils mit unterschiedlichem Kosten-/Nutzen-Verhältnis. Die einfachste Form ist dabei das sogenannte „End-around“ Monitoring. Hier werden einfach die Anweisungen an die Ausgangsaktoren auf Gültigkeit geprüft, bevor sie dort ankommen. „Wrap-around“ Monitoring ist anspruchsvoller. Hier wird überprüft, ob die Ausgangsaktoren tatsächlich gültige Ausgaben erzeugen, die dann beim zu behandelnden Patienten ankommen. Eine dritte und oft kostenintensivere Methode ist „Actuation Result“ Monitoring. Dabei verifizieren unabhängige Sensoren, ob das System tatsächlich die beabsichtigten Werte liefert.
Ein solcher Entwurf würde sich für einen Infusionspumpen-Regler eignen. Angenommen, ein Schrittmotor ist für das Pumpen der Flüssigkeit zuständig. Mithilfe von End-around Monitoring ließe sich überprüfen, ob der Schrittmotor die korrekten (oder zumindest „sinnvollen“) Anweisungen erhält. Beim Wrap-around Monitoring könnte ein Durchfluss-Sensor prüfen, ob dem Patienten die korrekte (oder zumindest „sinnvolle“) Flüssigkeitsmenge zugeführt wird. Und beim Actuation Results Monitoring wiederum ließe sich mithilfe einer invasiven Sonde in der Blutbahn des Patienten die Konzentration spezieller Medikamente oder anderer Stoffe messen, die die Infusionspumpe dorthin transportiert hat.
Architekturen mit Shutdown-System sowie auch mit Einkanal-Lösung haben eine signifikante Schwäche: Sie können nicht sicher weiterlaufen, wenn Fehler auftreten. Sie haben Single Points of Failure, diese sind oben in Abbildung 8 dargestellt. Das heißt, diese Architekturen eignen sich nur für sicherheitskritische Systeme mit einem unmittelbar sicheren Zustand (linker Bereich in Abbildung 2).
(ID:44853387)
:quality(80)/p7i.vogel.de/wcms/f4/38/f43837cba74f56ca1546a5c3c70f0737/0123921355v2.jpeg "Trace-Visualisierung in der TRACE32-PowerView-Software: Wenn ein SoC-Hersteller seine Chips von Anfang an so gestaltet, dass sie „einfach und leicht debugbar“ sind, erspart er Kunden in späteren Phasen der Entwicklung viele potenzielle Probleme. (Bild: Lauterbach)")
:quality(80)/p7i.vogel.de/wcms/87/22/8722bf4b4f589ef0fb8edea072ab2233/0128050160v2.jpeg "Trust in Rust: Gerade wenn es um Speicher- und Anwendungssicherheit geht, könnte es sich für Embedded-Entwickler lohnen, auf Trust als Programmiersprache der Wahl zu setzen. (Bild: Rust Foundation)")