:quality(80)/p7i.vogel.de/wcms/b8/20/b8203d9f2b6f6e61bff6c3fda15042d3/0128235802v2.jpeg "Die Forschenden aus dem Lehrstuhl für Robotik, Künstliche Intelligenz und Echtzeitsysteme testen die neue Architektur am Teststand der TUM. Im Bild (von links nach rechts): Chengdong Wu, Nils Purschke und Sven Kirchner. (Bild: besser 3 / TU München)")
:quality(80)/p7i.vogel.de/wcms/79/90/79901d8c1934b11223a53cb900b1aa85/das-20building-2092-20bei-20der-20microsoft-zentrale-20in-20redmond-20--20quelle-20coolcaesar-20via-20wikimedia-20commons-5184x2915v1.jpeg "Das Building 92 bei der Microsoft-Zentrale in Redmond. (Wikimedia Commons)")
:quality(80)/p7i.vogel.de/wcms/31/92/3192d2bddbdb052afd8904128dd7aec1/0123884994v2.jpeg "Projekte zur Entwicklung von Embedded-Systemen, wie auch die Systeme selbst, werden zunehmend komplexer. Modellbasiertes System-Engineering (MBSE) soll dabei helfen, diese zunehmende Komplexität in den Griff zu bekommen. Doch wann stößt das Prinzip an seine Grenzen? (Bild: KI-generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/b0/42/b04293b683f177fa6c781c1e00e1770f/0122968330v2.jpeg "Betrieb, Wartung, Updates: Während der Lebensdauer eines Embedded-Systems sind mehrere Lebenszyklus-Iterationen zu berücksichtigen. (Bild: © metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/53/cc53ebfd9f45b28eb918a8098b63846b/0127825678v1.jpeg "Im zweiten und letzten Teil der Artikelserie zu Latenzen wird gezeigt, wie sich Latenz mit dem richtigen RTOS, Interrupt-Optimierung, Low-Level-Code und Co-Design gezielt senken lässt. (Bild: Green Hills Software)")
:quality(80)/p7i.vogel.de/wcms/ac/ea/acea3ca6c15e0bd261c8bde5d3fe7bfb/0127825678v2.jpeg "Bild 1: Um Latenzzeiten in echtzeitkritischen Systemen verringern zu können braucht es erst einmal Verständnis, wie diese entstehen. Im ersten Teil unserer zweiteiligen Reihe werden die Schlüsselfaktoren untersucht, die sowohl auf Hardware- als auch auf Software-Ebene zur Latenz beitragen. (Bild: Green Hills Software)")
:quality(80)/p7i.vogel.de/wcms/93/d9/93d9211463a0af86eff0b83c359cd880/0127528428v1.jpeg "Mit Aufnahme von PREEMPT_RT in den Mainline-Kernel 6.12 wurde Linux vor etwa einem Jahr nativ echtzeitfähig. Wie kam es zu dieser Entwicklung- und wie lassen sich die Echtzeiteigenschaften von Linuc evaluieren? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9f/9d/9f9d8357928662c1173bad86e63f0fb0/0126749087v2.jpeg "Miss Magic: Für das aktuelle vom KITCar-Team für die Cognitive Autonomous Driving Challenge entwickelte selbstfahrende Modellfahrzeug musste das zugrunde liegende Embedded-System komplett umgestellt werden. Zum Einsatz kamen die Open-Source-Systeme FreeRTOS und micro-ROS. Dabei musste das mit Multithreading unerfahrene Team umfassende Analysem am System durchführen. (Bild: KIT)")
:quality(80)/p7i.vogel.de/wcms/75/3d/753d0fa44b344d363e25c91dc0752635/0129134302v2.jpeg "Volle Säle, reger Austausch: Trotz einer spürbaren Konjunkturflaute gerade im Automotive-Bereich fanden sich erneut um die 1000 Teilnehmer in der Stadthalle Sindelfingen zum ESE Kongress 2025 ein. (Bild: Nicolas Det)")
:quality(80)/p7i.vogel.de/wcms/ef/9a/ef9a10566eaa807a8fdad9cbff80246f/0126533084v1.jpeg "Die wachsende Bedeutung agentischer KI wird früher oder später zu einer Abkehr von klassischer UI-Interaktion führen: Werden Business-Anwendungen bald unsichtbar und ihr Branding für Anwender irrelevant? (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/2c/f12ce473545edd2bfd6e6608762ab4e0/0127849318v2.jpeg "Lösungsnah und praxisorientiert: In den Kompaktseminaren des ESE Kongress vermitteln anerkannte Experten konkretes Fachwissen, das Teilnehmer für den Berufsalltag verwenden können - belegt mit Zertifikat. (Bild: Nicolas Det / VCG)")
:quality(80)/p7i.vogel.de/wcms/4c/f0/4cf066b46a5fcfc430a2454a5e82e801/0129279386v1.jpeg "Der Entwickler des beliebten Open-Source-Texteditors Notepad++ hat bestätigt, dass Hacker die Software gekapert haben, um den Nutzern im Laufe mehrerer Monate im Jahr 2025 bösartige Updates zu liefern. Die Spur der Angreifer führt nach China. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/8c/6f/8c6f6442be2e51474edb322865beea87/0128892896v1.jpeg "Eine neuartige Betrugsmasche nutzt fingierte Stellenangebote, um Software-Entwickler dazu zu bringen, über GitHub-Repositorien Malware auf ihre Rechner herunterzuladen. Während Kaspersky bereits seit 3 Jahren international vor sogenanntem \"GitVenom\" warnt, sind inzwischen auch Fälle in Deutschland bekannt geworden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/97/2c/972cdd9c0feba8b1f547ab8b59f20569/0128755598v2.jpeg "KI-Coding liefert Tempo, aber auch Schwachstellen. Richtlinien, Reviews und Security-Tests von IDE-Scanning bis Sandboxing machen den Code belastbar. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ce/6e/ce6efcc7a619f27ab72ec73ddfa4104a/0128150590v2.jpeg "Die neue Variante des Shai-Hulud-Wurms, dass nun das npm-Repository heimsucht, hat bereits über 27.000 Sätze an Zugriffsdaten abgegriffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c3/77/c3773763653a2c21d1bc56edaeb5ee28/0129073638v2.jpeg "FPGAs lösen Performance-Engpässe, gelten aber in der Programmierung als schwer zugänglich. Die universelle Programmiersprache Livt soll die Hürde senken – korrekt, deterministisch und HDL-kompatibel. (Bild: Toby Giessen / VCG)")
:quality(80)/p7i.vogel.de/wcms/87/22/8722bf4b4f589ef0fb8edea072ab2233/0128050160v2.jpeg "Trust in Rust: Gerade wenn es um Speicher- und Anwendungssicherheit geht, könnte es sich für Embedded-Entwickler lohnen, auf Trust als Programmiersprache der Wahl zu setzen. (Bild: Rust Foundation)")
:quality(80)/p7i.vogel.de/wcms/b9/31/b9313f8284d9693b6fa4da6c8f6fc9cd/0127890201v2.jpeg "Bei der Entwicklung von Software für den Automotive-Bereich wird eine große Zahl unterschiedlicher Programmiersprachen eingesetzt. Aber welche Sprache ist am besten geeignet, um den strengen Anforderungen an Cybersecurity zu entsprechen? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/fb/f0/fbf0a08d385a84614563ef9c5f500f90/0126977852v2.jpeg "Das Aufkommen von KI-Assistenten macht sich vor allem bei Skriptsprachen, bei denen häufig „Vibe-Coding“ zum Einsatz kommt, deutlich bemerkbar. Aber auch Programmiersprachen, die für ganz spezielle Aufgabenbereiche zugeschnitten sind, scheinen mit dem Einsatz von GenAI zur Codegenerierung and Bedeutung – oder zumindest Sichtbarkeit – zu verlieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/6a/b4/6ab425994d3a51adb386ff1f6ac057c4/90781066v2.jpeg "Einzelne Vorgänge innerhalb eines Embedded-Systems nachzuvollziehen oder zu analysieren kann sich als Herausforderung gestalten. Linux bietet nativ bereits eine Tracing-Infrakstruktur und hält eine Reihe von Tracing-Tools bereit, mit der sich Ereignisse gezielt steuern oder überprüfen lassen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/ae/44ae9d39a71459d2159041970c5af967/0129272409v2.jpeg "Künstliche Intelligenz hat bereits Einzug in den Betrieb, das Schreiben und das Testen von Software Einzug gehalten. Darum lohnt es sich für Unternehmen und Entwickler, ein Auge darauf zu haben, wie KI-Tests die Software-Entwicklung nahhaltig beeinflussen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/15/73/1573bb05ef0a53c3b4a9473f9b4397f6/0128933070v2.jpeg "Vector Code Testing stärkt sein Produktportfolio mit der RocqStat-Technologie von StatInf für die Timing-Analyse. (Bild: Vector Informatik GmbH)")
:quality(80)/p7i.vogel.de/wcms/e3/ff/e3fff7793f39cb358f0b96db2b06680c/0128775174v1.jpeg "KI-Agenten können Entwickler beim Testen von Embedded-Systemen auf mehreren Ebenen unterstützen. Welche Bereiche profitieren hier besonders - und worauf sollte man an diesen Stellen besonders achten? (Bild: emintes)")
:quality(80)/p7i.vogel.de/wcms/93/b2/93b2dee2b42d98849c80562a53d8b31e/0128754755v2.jpeg "Das Trace32 Tool von Lauterbach beitet vollständige Debug- und Trace-Unterstützung für den Renesas R-Car Gen 5 X5H für eine beschleunigte Entwicklung von Software-Defined Vehicles. (Bild: Lauterbach / Renesas)")
:quality(80)/p7i.vogel.de/wcms/8f/0c/8f0c1365f6635fbdfdd355b102d3d113/0128531933v1.jpeg "Die neu gegründete Agentic AI Foundation soll die Entwicklung offener Tools und Standards für agentenbasierte KI vorantreiben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/22/89/22896600c7f19a5813fa824ee8207dd4/0122524970v2.jpeg "Ein halbautomatischer Webstuhl des französischen Erfinders Basile Bouchon aus dem Jahr 1725, zu sehen im Musée des arts et métiers, Paris. Die Löcher im Papierband gaben vor, welche Nadelöhre gehoben wurden, durch die das Muster der nächsten Reihe im Webstuhl zu laufen hatte. Je nach gewünschten Muster konnten die Lochbänder ausgewechselt werden - das Prinzip programmierbarer Maschinen war geboren. (Bild: Basile Bouchon 1725 loom / Dogcow / CC BY-SA 3.0)")
:quality(80)/p7i.vogel.de/wcms/e7/cf/e7cf5a22f39eddc3235f047c566b747e/0122159010v1.jpeg "Abstraktionsschichten (Symbolbild) (Bild: KI-generiert / DALL-E)")
:quality(80)/p7i.vogel.de/wcms/43/c4/43c4067994de48347a260c6191e88528/0103046501v1.jpeg "(Logo: Rust Foundation)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
Zweikanal-Architekturen
Bei sicherheitskritischen Systemen ohne unmittelbar sicheren Zustand lässt sich der Systembetrieb mithilfe von Zweikanal-Architekturen aufrechterhalten, auch wenn ein Kanal aufgrund eines Fail-Stop anhält. Abbildung 9 zeigt eine Zweikanal-Architektur; jeder Kanal basiert auf der Einkanal-Architektur aus Abbildung 8.
Der zweite Kanal dient als Standby- oder Backup-Kanal, der den Systembetrieb übernehmen kann, wenn im aktuellen Primärkanal Fehler oder Störungen auftreten.
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274573/original.jpg "(D. Kalinsky Associates)")
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274574/original.jpg "(D. Kalinsky Associates)")
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274575/original.jpg "(D. Kalinsky Associates)")
:quality(80)/images.vogel.de/vogelonline/bdb/1274500/1274576/original.jpg "(D. Kalinsky Associates)")
Je nach Anforderung des sicherheitskritischen Systems kann der Standby-Kanal den normalen Systembetrieb weiterführen, wenn er aktiv wird. Oder er überführt das System letztlich in einen sicheren Zustand, nachdem eine möglicherweise lange und komplexe Abfolge von Schritten durchlaufen wurde.
Hier ein Beispiel: Eine Herz-Lungen-Maschine in einem OP muss lebenserhaltende Dienste weiter erbringen, auch wenn einer ihrer internen Embedded-Verarbeitungskanäle ausfällt. Die Steuerung eines Kernreaktors müsste bei einem solchen Ausfall dagegen noch lange genug weiterlaufen, um den Reaktor mithilfe einer längeren Aktivitätenabfolge herunterfahren zu können: Graphitstäbe schrittweise und vollständig in die Tiefe des Reaktorkerns absenken, gleichzeitig den Kühlflüssigkeitsfluss im Reaktor beschleunigen und die allmähliche Verlangsamung der Kernreaktion über unzählige Sensoren überwachen – so lange, bis der Reaktor für den Eingriff durch das Bedienpersonal freigegeben werden kann.
Eine Zweikanal-Architektur verursacht höhere Systemkosten als die zuvor beleuchteten Architekturen. Sie beinhaltet redundante Embedded-Verarbeitungskanäle mit redundanter Hardware sowie redundante Sensoren. Der große Vorteil dieser Architektur ist aber, dass der Betrieb im Fehlerfall weitergeführt werden kann.
Zweikanal-Architekturen werden in verschiedenen Varianten verwendet. Wenn die zwei Kanäle in Abbildung 9 dieselbe replizierte Software und Hardware verwenden, kann die Architektur zufällige Fehler gut behandeln, nicht jedoch systematische Fehler aus dem Softwareentwurf oder der Programmierung. Diese würden in beiden Kanälen reproduziert. Wenn dieser Aspekt in Ihrem System eine Rolle spielt, wäre eine heterogene Zweikanal-Architektur bestehend aus zwei Kanälen, die völlig unterschiedlich implementiert wurden, geeigneter. Die Software für die beiden Kanäle könnte beispielsweise von zwei separaten Entwicklungsteams kommen und auf der gleichen Software-Anforderungsspezifikation basieren. Dieses Vorgehen nennt man auch N-Version-Programming bzw. „Dissimilar Software” (diversitäre Software). Die damit verbundenen Entwicklungs- und Materialkosten wären natürlich sehr hoch.
Eine weitere Variante ist die Mehrkanal-Voting-Architektur. Dabei wird das Verfahren der Triple-Modular-Redundanz (TMR), wie sie im Kontext der Sensorfehlererkennung besprochen wurde, auf replizierte Verarbeitungskanäle ausgeweitet. In dieser Architektur gibt es drei (oder mehr) parallel laufende Kanäle. Ein „Voter“ vergleicht die Werte aus diesen Kanälen. Stimmt bei der Mehrheit ein Ausgangswert überein, reicht der Voter diesen als Ausgangwert für das System weiter. Wenn jedoch mehrere Kanäle nicht übereinstimmen, werden sie per Fail-Stop angehalten.
Ein Beispiel für eine Mehrkanal-Architektur in Anwendungen der Luftfahrt ist die Dual-Dual-Redundanz. Vier unabhängige Verarbeitungskanäle sind als zwei Paare mit je zwei Kanälen angeordnet. Ein Paar ist jeweils aktiv, und seine beiden Kanäle gleichen kontinuierlich die Ergebnisse ab. Solange die Kanäle übereinstimmen, bleibt das Paar aktiv. Andernfalls übertragen sie die Steuerung sofort an das andere Paar, welches dann aktiv wird.
Monitor-Aktor-Architektur
Viele sicherheitskritische Systeme haben keinen unmittelbar sicheren Zustand, führen jedoch aufgrund einer Zweikanal- bzw. Mehrkanal-Architektur zu hohen Kosten. Eine kostengünstigere Lösung ist die in Abbildung 10 dargestellte Monitor-Aktor-Architektur.
In dieser Architektur gibt es keine replizierten, identischen Kanäle, sondern heterogene Kanäle, die sich voneinander unterscheiden. Es gibt nur einen primären Aktor-Kanal, der das System normalerweise steuert (oberer Bereich in Abbildung 10). Der Betrieb und die Ergebnisse dieses Kanals werden von einem separaten, einfacheren Monitoring-Kanal untersucht (mittlere Ebene im Bild). Wenn der Monitoring-Kanal einen Fehler im Aktor-Kanal entdeckt, kann dieser nicht normal weiterlaufen, und die Steuerung des Systems wird einem separaten Sicherheitskanal übertragen (unten im Bild). Dieser muss veranlassen, dass das System in einen sicheren Zustand gebracht wird. Je nach Anforderung des sicherheitskritischen Systems führt er es dazu durch eine möglicherweise lange und komplexe Abfolge von Schritten.
Die Monitor-Aktor-Architektur bietet sich als sinnvolle und kostengünstige Alternative für Applikationen wie z.B. die Steuerung chemischer Prozesse oder elektrische Fensterheber im Auto oder auch für Applikationen an, bei denen eine sanfte Leistungsminderung von Funktionen möglich und sinnvoll ist, z.B. Brake-By-Wire-Systeme. Die sanfte Leistungsminderung der Systemfunktion kann dabei im Sicherheitskanal implementiert werden.
Resümee
Die Auswahl einer Architektur für ein sicherheitskritisches System sollte nicht nur auf der herkömmlichen Systemanforderungsdefinition basieren, sondern auch auf einer gründlichen Gefährdungsanalyse mit anschließender Risikoanalyse. Beim Systementwurf können Kombinationen aus redundanten Sensorkonfigurationen, Shutdown-Systemen, Aktor-Monitoring, Mehrkanal-Architekturen und/oder Monitor-Aktor-Strukturen zum Einsatz kommen. Solche Embedded-Systemarchitekturen sind quasi unbezahlbar – ihr wahrer Wert liegt darin, dass sie Menschenleben schützen.
:quality(80)/images.vogel.de/vogelonline/bdb/1269400/1269444/original.jpg "Menschen in einer Warteschlange: Die richtige Dimensionierung einer Message-Warteschlange für Embedded-Systeme kann ein kitzliges Unterfangen werden. (gemeinfrei/Pixabay)")
Queuing – Warteschlangentheorie für Embedded-Software
:quality(80)/images.vogel.de/vogelonline/bdb/1257800/1257863/original.jpg "Durchgängig geöffnet: Hohe Verfügbarkeit von eingebetteten und vernetzten Systemen hängt von einer Vielfahl von Faktoren ab, darunter Hardware-Redundanz sowie softwarebasierten Fehlertoleranzverfahren. (gemeinfrei/Pixabay)")
Zuverlässigkeit
Design Patterns für hohe Verfügbarkeit
:quality(80)/images.vogel.de/vogelonline/bdb/1248600/1248691/original.jpg "Wo steckt der Fehler? Bestimmte Defekte in Multitasking-Software im Embedded-Umfeld lassen sich mit Hilfe von Tools für die statische Analyse aufsprüren. (gemeinfrei)")
Statische Analyse
Bugs und Defekte in Multitasking-Software eliminieren
* David Kalinsky ist Berater, Trainer und Dozent für Echtzeit- und Embedded-Programmierung in Sunnyvale/Kalifornien (USA)
(ID:44853387)
:quality(80)/p7i.vogel.de/wcms/f4/38/f43837cba74f56ca1546a5c3c70f0737/0123921355v2.jpeg "Trace-Visualisierung in der TRACE32-PowerView-Software: Wenn ein SoC-Hersteller seine Chips von Anfang an so gestaltet, dass sie „einfach und leicht debugbar“ sind, erspart er Kunden in späteren Phasen der Entwicklung viele potenzielle Probleme. (Bild: Lauterbach)")
:quality(80)/p7i.vogel.de/wcms/87/22/8722bf4b4f589ef0fb8edea072ab2233/0128050160v2.jpeg "Trust in Rust: Gerade wenn es um Speicher- und Anwendungssicherheit geht, könnte es sich für Embedded-Entwickler lohnen, auf Trust als Programmiersprache der Wahl zu setzen. (Bild: Rust Foundation)")