:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074bbdcc761d46e8e31fe76c3a2f4f8f/0109934783.jpeg "Green Hills Software ist auch 2023 auf der Embedded World vertreten und zeigt an seinem Stand in Halle 4, 325 verschiedene Demos für Embedded Ingenieure. (Bild: Copyright (c) 2018 ParabolStudio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/a4/54/a4541f4c599a4a7ec5321d90d5f1645b/0112110043.jpeg "Die Anzeigen des Kombiinstruments und des zentralen IVI verschmelzen. In modernen Fahrzeugen spielt die Software eine wichtige Rolle. (Bild: Bosch)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
![Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)](https://cdn1.vogel.de/H4TpkUUxUA9NGq5-yPLmHlLM1j8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/5d/67/5d67e4c73c7d2ad87efc155a20b34c10/0111515949.jpeg "Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/01/c0/01c0704317d4edaf0e573f722c7a9e3e/0107577806.jpeg "Mythen sind in der Embedded-Programmierung weit verbreitet. Wir stellen Ihnen einige vor und klären in einem zweiten Artikel, welche Fakten es gibt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/ee/3e/ee3e6bd1548c02ee07ac5edd7725d5af/77955554.jpeg "Auf einem Embedded-Linux-System direkt lässt sich Software aufgrund der begrenzten Ressourcen nur schlecht debuggen. Das in Linux integrierte Tool GDB erlaubt, die Embedded Software über einen PC extern auf Fehler zu untersuchen. (Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/a1/22/a12273ea61fe7f569b7b6a9f06493bc0/0110643930.jpeg "KI-Modelle spielen eine bedeutende Rolle in vielen Anwendungen, nicht zuletzt bei Lösungen für assistiertes oder gar autonomes Fahrens. (Bild: Mathworks)")
:quality(80)/p7i.vogel.de/wcms/31/90/3190c962e45b69b63d927a7625bfe71a/0108586440.jpeg "Bild 1: KI-Engineering braucht Systemverständnis. (Bild: Fraunhofer IOSB)")
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9fa3523309f9d3d5913fc064fdd92b/0107360831.jpeg "Software hilft beim Meistern der Herausforderungen des neuen Lieferkettenhesetzes. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/1e/d5/1ed5275a8a540a22af56f34386ac3bc8/0107856947.jpeg "Die neueste Version der Univeral Debug Engine ermöglicht die Steuerung der Prozessorkerne für das Debugging, den Test und tiefgreifende Systemanalysen innerhalb einer einzigen Debugger-Instanz. (Bild: PLS Programmierbare Logik & Systeme)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Wie Sicherheit von Modell-basierter Entwicklung profitiert
Bei immer kürzeren Entwicklungszyklen steigt die Komplexität von elektrisch/elektronischen (E/E) Systemen im Auto stetig. Funktionale Sicherheitsnormen wie ISO 26262 schreiben arbeitsintensive Schritte wie die Fehlerbaumanalyse (FTA) und die Failure Mode and Effects Analysis (FMEA) vor, die oft manuell durchgeführt werden. Dieser Beitrag stellt eine semi-automatische Sicherheitsanalyse- und Optimierungsmethodik vor.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/bf/5fbfdf326d5dd/rti-logo-color-200px.jpg "rti-logo-color-200px.jpg (rti)"){kind=logo}
Die Komplexität und die Leistungsanforderungen aktueller sicherheits- und echtzeitkritischer E/E Systeme im Automobil steigen stetig an. Dieser Trend resultiert aus immer fortschrittlicheren Fahrerassistenzfunktionen, welche mehr und mehr Funktionen und Rechenleistung benötigen. Diese Entwicklung wird durch die Vision von hochautomatisierten und autonomen Fahren angetrieben. Solche Systeme müssen immer längere Zeiträume fehlerfrei ohne Fahrereingriff funktionieren, weshalb auch die Sicherheits- und Verfügbarkeitsanforderungen steigen. Um im kostengetriebenen Automobilbereich konkurrenzfähig zu sein, muss die Entwicklung solcher Systeme in immer kürzeren Zyklen stattfinden.
Relevante funktionale Sicherheitsnormen, wie die ISO 26262 für den Automobilbereich, schreiben verschiedene arbeitsintensive und zeitaufwendige Schritte vor. Dazu gehören unter anderem die Spezifikation eines funktionalen Sicherheitskonzepts, die Erstellung von technischen Sicherheitsanforderungen für jedes Sicherheitsziel sowie die Verifikation und Validierung des Systems durch Tests, FTA und FMEA. Diese Schritte werden oftmals manuell und mit wenig bzw. keiner systematischen Wiederverwendung von bereits bestehenden Artefakten durchgeführt.
:quality(80)/images.vogel.de/vogelonline/bdb/1540700/1540753/original.jpg "Bild 2: Ein SysML Internal Block Diagram mit vier funktionalen Blöcken und den Ein- und Ausgängen sowie Verbindungen")
:quality(80)/images.vogel.de/vogelonline/bdb/1540700/1540754/original.jpg "Bild 3: Die interne Fehlerfortpflanzung der „controller“-Komponente aus Bild 2")
Um mit der steigenden Komplexität und den immer kürzeren Entwicklungszyklen Schritt zu halten, muss der Automatisierungsgrad in der Spezifikation der technischen Sicherheitsanforderungen sowie die Verifikation und Validierung der Systeme erhöht werden.
Die semi-automatische Safety-Analyse
Ein modellbasierter Systems-Engineering-Ansatz ist notwendig um die Komplexität von zukünftigen E/E Systemen zu beherrschen. Er stellt gleichzeitig die Grundlage für die semi-automatische Safety-Analyse und -Optimierung dar. Wir nehmen an, dass die funktionalen Anforderungen mit existierenden Requirements-Engineering-Methoden erhoben werden und vorliegen. Wie in Bild 1 dargestellt, wird aus den Anforderungen zunächst eine Funktionale Architektur entworfen. Diese ist unabhängig einer technischen Realisierung und besteht aus funktionalen Blöcken mit Ein- und Ausgängen sowie den Verbindungen dazwischen, wie in Bild 2 exemplarisch dargestellt. Als Modellierungssprache kann SysML verwendet werden, es stehen aber auch Alternativen wie die AADL zur Verfügung
Weiterhin nehmen wir an, dass die Sicherheitsziele mit existieren Hazard Analysis & Risk Assessment (HARA) Methoden erhoben werden und vorliegen. Die Sicherheitsziele werden nun mit den Komponenten der Funktionalen Architektur verknüpft. Entsprechend der Arbeiten zu Component Fault Trees [1] und Hierarchically Performed Hazard Origin and Propagation Studies (HiP-HOPS) [2], wird die Fehlerfortpflanzung pro Komponente mittels logischer UND und ODER Gatter zwischen den Ein- und Ausgängen modelliert. An jedem Ein- und Ausgang können dabei verschiedene Fehlermodi auftreten. Außerdem besteht die Möglichkeit, Fehlerursachen und deren Auftretenswahrscheinlichkeit zu modellieren.
Bild 3 zeigt exemplarisch die Fehlerfortpflanzung der „controller“-Komponente aus Bild 2. Der Eingang „in B“ hat einen Fehermodi namens „wrong“, welcher mit der Fehlerursache „basic“ zum Zwischenergebnis „intermediary“ logisch UND-verknüpft (&&) ist. Der Eingang „in A“ hat zwei verschiedene Fehlermodi („wrong value“ und „too late“), welche zusammen mit dem Zwischenergebnis „intermediary“ logisch ODER-verknüpft (||) ist. Das Ergebnis der ODER-Verknüpfung namens „error“ stellt gleichzeitig den einzigen Fehlermodi des Ausgangs „out“ dar.
In dem „Design and Allocation“-Schritt wird aus dem funktionalen Architekturmodell ein technisches Architekturmodell abgeleitet, welches Hardwarebausteine und Softwarekomponenten sowie deren Allokation beinhaltet. Das technische Architekturmodell kann ebenfalls in der SysML modelliert werden. Analog zum funktionalen Architekturmodell wird nun die Fehlerpropagation innerhalb jedes Hardwarebausteins und jeder Softwarekomponente modelliert.
Aus den angereicherten funktionalen oder technischen Architekturmodellen kann nun automatisch der Fehlerbaum für das Gesamtsystem erstellt und analysiert werden. Gleichzeitig kann die FMEA des Systems unterstützt werden, indem zentrale Artefakte wie der Strukturbaum, das Funktionsnetz und das Fehlernetz automatisch aus dem Architekturmodell erzeugt werden. Dies ist noch vor einer konkreten Umsetzung des Systems als Prototyp oder Produkt möglich, wodurch zu einem frühen Zeitpunkt in dem Entwicklungszyklus bereits Erkenntnisse zur funktionalen Sicherheit gewonnen werden können. Ändert sich das Architekturmodell im weiteren Verlauf der Entwicklung, können die modellbasierten Sicherheitsanalysen mit geringem manuellem Aufwand erneut durchgeführt werden. Die automatisch erzeugten FTA- und FMEA-Dokumente stellen außerdem wichtige Merkmale in der Argumentation ausreichender funktionaler Sicherheit für das Gesamtsystem dar.
Die semi-automatische Safety-Optimierung
Sofern die FTA-Ergebnisse nicht den erforderlichen Zuverlässigkeitswerten entsprechen, besteht die Möglichkeit die funktionale oder technische Architektur automatisch zu verbessern. Voraussetzung dafür ist ein Katalog mit Sicherheitsmechanismen, welche als Modelltransformationen abgelegt sind. Beispielhaft für einen Sicherheitsmechanismus sei die Replikation einer kritischen Komponente mit anschließendem Vergleich beider Ergebnisse genannt (Dual Modular Redundancy). Ein (heuristischer) Optimierungsalgorithmus, z.B. ein evolutionärer Algorithmus, wendet iterativ geeignete Sicherheitsmechanismen auf kritische Komponenten an und führt nach jedem Schritt erneut die FTA durch. So kann die Pareto-Front zwischen der Zuverlässig des Gesamtsystems und den Kosten, die durch die Laufzeit, den Speicherbedarf, die Chip- oder Platinenfläche und die finanziellen Kosten der zusätzlichen Komponenten der Sicherheitsmechanismen entstehen, ermittelt werden. Der Ansatz erleichtert zudem den Austausch von bewährten Sicherheitsmechanischen zwischen Geschäftseinheiten in Form von Modelltransformationen.
Zusammenfassung und Ausblick
Der vorgestellte Ansatz zur semi-automatischen Safety-Analyse und -Optimierung ist Teil eines modellbasierten Systems Engineering Prozess und erleichtert die Entwicklung von sicherheitskritischen Produkten. Wir haben den Ansatz in einem prototypischen Werkzeug umgesetzt und evaluieren ihn zurzeit in Zusammenarbeit mit mehreren Geschäftsbereichen der Robert Bosch GmbH.
:quality(80)/images.vogel.de/vogelonline/bdb/1539500/1539553/original.jpg "Autonome und ADAS-Systeme müssen in der Lage sein, Verkehrsschilder sicher zu erkennen. Aber welche Auswirkungen hat es für die Security, wenn das System mit verschmutzten oder gar manipulierten Verkehrszeichen zu tun bekommt? (Peter H auf Pixabay)")
Safety oder Security: Sicher unterwegs in einer manipulierten Umwelt
:quality(80)/images.vogel.de/vogelonline/bdb/1692600/1692620/original.jpg "(Clipdealer)")
Absichern von offenen E/E-Systemen mit Hilfe virtueller Prototypen
Quellenverzeichnis
[1] B. Kaiser, P. Liggesmeyer und O. Mäckel, „A New Component Concept for Fault Trees,“ in Proceedings of the 8th Australian Workshop on Safety Critical Systems and Software, 2003.
[2] Y. Papadopoulos, M. Walker, D. Parker, E. Rüde, R. Hamann, A. Uhlig, U. Grätz und R. Lien, „Engineering failure analysis and design optimisation with HiP-HOPS,“ Engineering Failure Analysis, Bd. 18, Nr. 2, pp. 590-608, 2011.
(Dieser Beitrag wurde mit freundlicher Genehmigung der Autoren dem Tagungsband Embedded Software Engineering Kongress 2017 entnommen.)
* Dr.-Ing. Peter Munk ist Forschungsingenieur bei der Forschung und Vorausentwicklung der Robert Bosch GmbH.
* Dr.-Ing. Arne Nordmann forscht seit 2015 bei Bosch Corporate Research an Modell-basierten Ansätzen zur Analyse von (funktionaler) Sicherheit in Architekturen zum hoch-automatisiertem Fahren.
* Dr.-Ing. Eike Thaden erforscht bei der Robert Bosch GmbH Methoden zur modellbasierten Analyse und Optimierung sicherheitskritischer eingebetteter Systeme mit dem Schwerpunkt funktionale Sicherheit (Safety).
* Rakshith Amarnath ist als Forschungsingenieur in der Forschung und Vorausentwicklung der Robert Bosch GmbH tätig.
* Markus Schweizer hat mehr als 20 Jahre Erfahrung in der Embedded Software-Entwicklung für Automotive Anwendungen. Bei der Robert Bosch GmbH leitet er ein Projekt, das die Anwendung Modell-basierter Safety-Analysen für komplexe Systeme, wie dem (hoch-) automatisierten Fahren, untersucht.
* Dr. Simon Burton hat zurzeit die Rolle des Chief Experts der Forschung und Vorausentwicklung der Robert Bosch GmbH inne, in welcher er die Forschungsstrategie in den Bereichen funktionale Sicherheit, Security, Zuverlässigkeit und Verfügbarkeit von Software-intensiven Systemen koordiniert.
(ID:45831407)
:quality(80)/images.vogel.de/vogelonline/bdb/1949600/1949646/original.jpg "Sweetspot der Architekturarbeit. (Fraunhifer IESE)")
:quality(80)/p7i.vogel.de/wcms/7b/17/7b17029844712d24cc7f2f76f5b95d41/0104709658.jpeg "SEooC: Safety Element out of Context ist eines der Konzepte, die in der internationalen Norm ISO 26262 zur Regelung der funktionalen Sicherheit bei der Produktinnovation in der Automobilindustrie formalisiert wurden. (Bild: © metamorworks - stock.adobe.com)")