Startseite > Messen + Testen > Testsysteme > Zeitanalyse komplexer eingebetteter Systeme

Systemdesign / Echtzeitbenchmarks

Zeitanalyse komplexer eingebetteter Systeme

29. August 2018, 13:48 Uhr | Prof. Dr. Reinhard Wilhelm, Compiler Design Lab, Universität des Saarlandes

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 4

Normen und industrieller Einsatz

Einige internationale Normen legen fest, welche Methoden für die Verifikation von funktionalen wie nichtfunktionalen Eigenschaften sicherheitskritischer Systeme zugelassen sind oder sogar verwendet werden müssen. Eine Pflicht zur Verwendung besteht bei formalen Verifikationsmethoden meist für Systeme auf der höchsten Kritikalitätsstufe.

DO-178B und neuerdings DO178C sind die internationalen Normen für die Entwicklung von Software für zivile kommerzielle Flugzeuge. Beide fordern für die höchste Kritikalitätsstufe den Einsatz formaler Methoden zum Nachweis nichtfunktionaler Eigenschaften wie der Pünktlichkeit, dem Einhalten der Beschränkung des Platzverbrauchs und der Abwesenheit von Laufzeitfehlern.

IEC-61508 Edition 2.0 empfiehlt sehr (highly recommends) statische Zeitanalyse für alle Kritikalitätsstufen. Eine starke Empfehlung ist so gut wie verpflichtend. Ein Kriterium für die Anwendbarkeit einer Methode ist ihre Vollständigkeit. Diese ist, wie wir gesehen haben, durch Testen i.A. nicht zu erreichen. Statische Analysen, die auf der Theorie der abstrakten Interpretation beruhen, akzeptiert die Norm bezüglich ihrer Vollständigkeit als mathematisch bewiesen. Ihre Zuverlässigkeit wird auf der höchsten Stufe angesiedelt.

ISO-26262 (Road Vehicles – Functional Safety) verlangt, dass Echtzeitbedingungen Teil der Systemspezifikation sind und empfiehlt formale Verifikation und verlangt Kontrollfluss- und Datenflussanalyse für die beiden höchsten Kritikalitätsstufen.

aiT wird in sicherheitsbewussten Teilen der Flugzeugindustrie inzwischen routinemäßig eingesetzt [1]. Es wurde bei der Zertifizierung von zeitkritischen Subsystemen des Airbus A380 und des A350 durch die europäische Flugsicherheitsbehörde zugelassen und verwendet und ist damit ein für diese Systeme validiertes Werkzeug. Weiterhin wird es bei Zulieferern und OEMs in der Automobilindustrie eingesetzt. aiT wurde 2011 im Rahmen der Untersuchung der amerikanischen Verkehrssicherheitsbehörde über die unbeabsichtigte Beschleunigung von Toyota-Fahrzeugen [2] als Standardwerkzeug zur Zeitanalyse eingesetzt und konnte zeigen, dass keine WCET-Schranken überschritten wurden. Dies belegt, dass statische WCET-Analysen als Stand der Technik angesehen werden und zur Klärung von Haftungs- und Schadenersatzfragen berücksichtigt werden.

Voraussagbarkeit des Zeitverhaltens

Das Zeitanalyseproblem für 1-Prozessorsysteme war also im Wesentlichen 2001 gelöst [3]. Danach wurden Erfahrungen im industriellen Einsatz und mit vielen verschiedenen Architekturen gesammelt. Daraus ergab sich natürlich die Fragestellung, welche Architektureigenschaften eine effiziente Zeitanalyse mit präzisen Ergebnissen erlauben. Die Forschungen zu diesem Thema waren fruchtbar und führten u.a. zu Empfehlungen für zukünftige Architekturen für zeitkritische Systeme [4].

Eine interessante Erkenntnis ist, dass die Komplexität der Architekturen, welche das Problem der Zeitanalyse schwierig machen, dieselben sind, die auch Tür und Tor für Sicherheitsattacken wie Meltdown und Spectre geöffnet haben.

Zum Schluss noch eine bittere Nachricht: Das Zeitanalyseproblem für Mehrkern- (multi-core-)Architekturen mit geteilten Ressourcen ist noch nicht endgültig gelöst. Das Problem ist die sichere und präzise Berücksichtigung der Ressourcen-Interferenz von Prozessen, die auf verschiedenen Kernen laufen. (ct)