Echtzeit und Sicherheit

Anlässlich des Erscheinens der neuen Norm DIN 66253 für die Echtzeitprogrammiersprache PEARL im Jahre 2018 wird die Entwicklungslinie der Sprache während der letzten 50 Jahre nachgezeichnet. Durch Berücksichtigung der im Laufe der Zeit gemachten Erfahrungen weist diese Linie eine eindeutige Richtung auf: Weg von komplexen und hin zu einfachen domänenorientierten Konstrukten, die sich durch sichere Handhabbarkeit und Eignung zur Programmierung solcher automatisierungstechnischer Anwendungen auszeichnen, die hohen Anforderungen an ihre funktionale Sicherheit genügen müssen. Dazu wird dargelegt, wie die neue Sprachversion SafePEARL der internationalen Sicherheitsnorm IEC 61508 gerecht wird. Der Entwicklungsstand der für die Lehre gedachten Sprachversion OpenPEARL wird skizziert.

Zur Erhöhung der Wirtschaftlichkeit und Nachhaltigkeit bei der Produktion von kleinen Losgrößen (Produktionsmargen) ist die Steigerung der Wiederverwertbarkeit von Produktionsmitteln erforderlich. Aus dieser Situation entsteht das Streben nach mehr Modularität und dynamischen Fertigungsstrukturen gegenüber heutigen starr verketteten Produktionslinien. Damit muss auch der Materialtransport dynamischer und kleinteiliger werden. Dieser Anforderung kann z. B. mit autonomen Transportsystemen begegnet werden. In diesem Beitrag wird die Maschinensicherheit bzw. funktionale Sicherheit im Zusammenhang mit flexiblen Transportsystemen betrachtet. Im Fokus steht die Absicherung, dass für sich „eigensichere“ Maschinen, Produkte und Transportsysteme auch in Kombination sicher betrieben werden können. Als Lösung wurde ein Echtzeit-Safety-Management-Service vorgeschlagen und untersucht. Dieser ermöglicht eine kontinuierliche Sicherstellung der Maschinensicherheit durch eine (teil-)automatisierte Risikobeurteilung und eine Anpassung der Safety Maßnahmen.

This concept paper shows some requirements and ideas to realize a secure real-time communication with encryption for industrial plants. At the start we show the reasons for secure real-time communication. Then we will discuss three options to realize and upgrade existing protocols, to implement new protocols and to expand an existing realtime protocol with a FPGA. Then one of these three options will be elaborated more deeply. Finally some remarks for real-time protocols and the key infrastructure will be discussed and the future work and the proceed for realization will be described.

Die Nutzung komplexer Microcontroller Units (MCUs) stellt für Systeme der Luftfahrt eine Herausforderung hinsichtlich der Safety dar, da sie in den wenigsten Fällen nach den Anforderungen der Luftfahrtindustrie entwickelt werden. Die meisten Commercial off-the-shelf (COTS) Hardware-Komponenten für sicherheitskritische Systeme werden dabei hauptsächlich für andere Produkte wie Industrieanlagen und Automobilsysteme entwickelt. Die Luftfahrt kann von diesen Produkten profitieren, jedoch reichen die Sicherheitsmaßnahmen in einigen Bereichen noch nicht vollständig aus. Dazu werden zunächst aktuelle Bemühungen der Avionik-Industrie gezeigt, den geforderten Grad an Sicherheit zu erreichen. Diese Lösungen stellen in vielerlei Hinsicht einen Kompromiss dar, welcher hinsichtlich Space, Weight and Power (SWaP) als suboptimal zu betrachten ist. Daher werden in diesem Artikel Lösungsvorschläge für ausgewählte Defizite erarbeitet, wie die Microcontroller Unit (MCU)-Hersteller die Eignung ihrer Produkte für hochsicherheitskritische Systeme steigern können.

An der Hochschule RheinMain wird seit zwei Jahren im Rahmen der Projektveranstaltung „Wahlprojekt“, die im fünften Semester des Bachelor-Studiengangs Angewandte Informatik angesiedelt ist, ein autonomes Modellfahrzeug entwickelt. Im Beitrag werden neben den technischen Entwicklungen auch die Erfahrungen mit der Lehrveranstaltung über die letzten Jahre aufgezeigt. Dabei werden sowohl die Erfolge als auch die beobachteten Schwierigkeiten angesprochen.

Aufgrund der zunehmenden Nutzung generisch implementierter Algorithmen innerhalb von Betriebssystemen ist dort für die statische Laufzeitanalyse von Systemoperationen anwendungs- und kontextspezifisches Wissen (bspw. die Zahl lauffähiger Prozesse) zur zeitlichen Beschränkung kontextabhängiger Vorgänge erforderlich. Gegenwärtige kontextinsensitive Laufzeitanalysen stoßen hier zunehmend an ihre Grenzen, da ihnen die notwendige Kenntnis der zugrundeliegenden Betriebssystemsemantik fehlt. Fehlschlagende Analysen oder übermäßig pessimistische obere Laufzeitschranken (WCET) sind die Folge. Swan, der in diesem Papier vorgestellte Ansatz zur systemweitenWCET-Analyse, bietet hier eine Möglichkeit, derartige Kontextinformationen zu sammeln und aus der Anwendungsdomäne über die Kernschnittstelle hinweg in die statische Laufzeitanalyse zu transportieren. Im Zentrum steht dabei platina, eine Annotationssprache auf Quelltextebene, welche es ermöglicht parametrisch die Kopplung dieser Kontextinformationen zu einzelnen Programmflüssen auszudrücken und durch alle Ebenen des Echtzeitsystems zu propagieren. Diese Kontextinformationen können genutzt werden, um die Überabschätzungen einzelner Betriebssystemoperationen deutlich, für die hier betrachtete Testanwendung einer Quadcoptersteuerung um über 40%, zu verbessern und dabei die Echtzeitfähigkeit auch eigentlich aufgrund ihrer generischen Implementierung nicht echtzeitfähiger Betriebssysteme für bestimmte Kontexte zuverlässig nachzuweisen.

Software für sicherheitsrelevante eingebettete Systeme muss gemäß der Norm DIN EN 61508 bzw. domainspezifischer Derivate entwickelt werden. Dazu zählen die Normen DIN EN 50128 bzw. DIN EN 50657 für die Bahn. Die Normen definieren Anforderungen an den Entwicklungsprozess mit dem Ziel, Fehler in der Software zu vermeiden. Die Entwicklung von Software gemäß diesen Normen ist Voraussetzung für die Begutachtung bzw. behördliche Zulassung entsprechender Systeme.

In diesem Artikel wird ein Referenzmodell zur Spezifikation von Anforderungen und Architektur gemäß der DIN EN 50128 vorgestellt. Dabei steht im Vordergrund, dass sowohl der Entwurf als auch die anzuwendenden Methoden möglichst einfach zu halten sind. Durch die Kombination geeigneter Methoden ist das Modell formal analysierbar. Anhand des Modells und eines hier vorgestellten Fragenkatalogs kann ein Entwicklungsprozess oder eine Methode evaluiert werden.

Dieser Artikel basiert auf der Abschlussarbeit im Master-Studium Elektro- und Informationstechnik an der FernUniversität in Hagen: „Auswahl und Anwendung von Methoden zur Spezifikation von Anforderungen und Architektur für die Softwareentwicklung gemäß DIN EN 50128 bzw. DIN EN 50657“.

Um Formulierungen zu vereinfachen wird in diesem Artikel der Begriff „Methode“ synonym für die Begriffe „Technik“ und „Maßnahme“ verwendet.

In diesem Beitrag wird die Konzeptionierung und Entwicklung einer Arbeitszeiterfassung in Echtzeit unter Zuhilfenahme von RFID in Kombination mit einem Raspberry Pi beschrieben. Zur Verwaltung der erfassten Zeitdaten wurde eine Webanwendung entworfen und implementiert. Das Projekt – bezeichnend „Timekeeper“ genannt – wurde im Rahmen des Moduls „Skriptsprachen“ im Bachelor- Studiengang „Informatik“ der Fachhochschule Südwestfalen erfolgreich angefertigt.

Die Wettbewerbsfähigkeit automatisierungstechnischer Produkte begründende Alleinstellungsmerkmale liegen zunehmend in Form von Algorithmen vor, die auf den in den Produkten eingebetteten programmierbaren elektronischen Systemen ausgeführt werden. Eingesetzt in feindlichem Umfeld und insbesondere bei ihrer Aktualisierung bedürfen diese Algorithmen des Schutzes gegen Plagiieren und Umkehrentwicklung. Den notwendigen Schutz gewährleistet eine hybride Rechnerarchitektur bestehend aus einem, obfuskierten Maschinencode abarbeitenden von Neumann-Prozessor und einem mit dem Systembus verbundenen programmierbaren Gatterfeld, das permanent den Busverkehr beobachtet. Erkennt dieses auf den Busleitungen bestimmte Bitmuster, so führt es für außenstehende Betrachter nicht nachvollziehbar geheime Operationen aus, die in seinem flüchtigen Speicher hinterlegt sind, um von Spannungsabfällen und Schutzvorkehrungen gelöscht zu werden. Rekonfigurierungen des Gatterfeldes sind in feindlichem Umfeld dadurch vor Umkehrentwicklung geschützt, dass neue Konfigurierungen in durch Einmalverschlüsselung gesicherten und damit eindeutig authentifizierbaren Datenpaketen übertragen, die bereits vor Auslieferung des Gatterfeldes in dessen flüchtigem Speicher hinterlegten und zur Entschlüsselung benötigten Einmalschlüssel nach Verwendung sofort gelöscht sowie Inhalte der Datenpakete geeignet geprüft werden.

Neu eingeführte Funktionen in der Automobilindustrie, wie zum Beispiel das autonome Fahren, erfordern den Einsatz von performanten Mehrkernprozessoren sowie von komplexen (POSIXkompatiblen) Betriebssystemen. Im Rahmen des branchenspezifischen Preisdrucks kommt es zudem zu einer Konsolidierung von Steuergeräten. Gleichzeitig erfordert der Einsatz im Automobil hohe funktionale Sicherheit (ASIL-Level), was unter anderem robuste Echtzeiteigenschaften der verwendeten Hard- und Software voraussetzt. Als Folge dessen werden zur Trennung von harten und weichen Echtzeitsystemen auf derselben Hardware Hypervisoren eingesetzt. Dieses Paper beleuchtet die Latenzauswirkungen diverser Softwarekonfigurationen auf Hardware der nächsten Generation mithilfe eines vorgestellten Testsetups und dessen Ergebnissen.

Zur Verbesserung der Fehlererkennung in konventionellen Mikroprozessoren kann arithmetische Kodierung, z. B. in Form der AN(BD)-Kodierung zum Einsatz kommen. Allerdings kommen im Standardverfahren zur Dekodierung und Integritätsprüfung Divisionen zum Einsatz, die einen hohen Laufzeitaufwand mit sich bringen und auf vielen günstigen Prozessoren mittels Software zyklenintensiv emuliert werden müssen. Unter Nutzung der Restklassenarithmetik werden bei der sogenannten fastAN(BD)-Methode die Divisionen bei der Dekodierung und Integritätsprüfung durch Multiplikationen ersetzt, wodurch im Vergleich zum Standardverfahren eine signifikante Laufzeitreduktion und eine niedrigere Restfehlerwahrscheinlichkeit erreicht wird.

Der Entwurfsprozess für sicherheitsgerichtete Systeme bedient sich unterschiedlicher rechnergestützter Entwurfswerkzeuge. Spezifikationen werden typischerweise durch Anforderungen oder Anwendungsfälle beschrieben. Der Hardwareentwurf wird mit Hardwarebeschreibungssprachen oder Schaltplänen realisiert. Software wiederum wird mittels sequentiellen Ablaufbeschreibungen von Instruktionen beschrieben, welche von der Hardware unterstützt werden. Auf den ersten Blick erscheinen diese Entwurfsphasen unabhängig voneinander, allerdings können Synergien an den Übergabeschnittstellen von einer Entwurfsphase zur nächsten genutzt werden, um knappe Betriebsmittel zu vermeiden, ungenutzte Betriebsmittel zu minimieren sowie Fehlereinflüsse zu reduzieren. Es wird ein ganzheitlicher Blick von der Spezifikation über den Verhaltens- und Hardwareentwurf vorgestellt, der inhärente Synergien nutzt, um ein betriebsmitteladäquates Gesamtsystem zu entwerfen, welches die spezifizierten Charakteristika exakt erfüllt.