:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/08/c5/08c570a57a8bcb6c8de7662e3ea3ecaf/0112066693.jpeg "Das Open-Source-Projekt Git 2.41 umfasst neue Funktionen und Fehlerkorrekturen von über 95 Mitwirkenden. (Bild: Git)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/ce/99/ce994c9dce9fac6c16e96a2871e6c3be/0110414706.jpeg "Nur im Zuge einer umfangreichen Security-Strategie lässt sich ein heterogenes Endpoint-Universum vor Bedrohungen zu schützen. (Bild: <a href=https://pixabay.com/users/coolvid-shows-18646168/>CoolVid-Shows</a>)")
:quality(80)/p7i.vogel.de/wcms/85/49/854932edf414b2f888be89bd3ddf447c/0111835486.jpeg "Cloud Native Rockstars on stage (oben, v.l.): Thomas Hartinger, Phil Korte, Alina Schneider, Nadège Jakob, Tobias Renk, Sebastian Kister, Volker Zöpfel und Linda Früh, daneben die Juroren Dr. Jens Eckhard und Dr. Nils Kaufmann mit Vorjahres-Preisträgerin Emma Wehrwein. In der unteren Reihe (v.l.) Erik Schubert, Moderatorin Lydia Hundsdörfer und Stephan Augsten von den Vogel IT-Medien, Stefan Jacobs, Juror und Keynote-Speaker Maximilian Hille sowie Preisträger Tim Urlaub. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/19/7b19253be9adc79579f0725469c0776a/0111556272.jpeg "Eine Cloud-Migration harmoniert gut mit den DevOps-Prinzipien, die dadurch ein Revival erleben könnten- (Bild: <a href=https://pixabay.com/users/bearinthenorth-2960032/>Anastasia Borisova</a>)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/d3/13d37d2a255166d3b801341d81ff0cff/0111621162.jpeg "Automobilarchitekturen wandeln sich zu zonalen, zentralen Rechenzentren und schließlich zu Software Defined Vehicles. (Bild: © – vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/53/3253e183359754bee5c1b52b1fc0aff6/0111206462.jpeg "Die Datenbankevolution treibt KI, ML und Deep Learning, was die Art und Weise des menschlichen Wissenserwerbs widerspiegeln soll, weiter an. (Bild: Dimitrios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/dd/55ddac3b4e6f52d4b2584f77a72db2ee/0111768534.jpeg "MariaDB hat die Observability-Funktionen von SkySQL weiter ausgebaut. (Bild: Mohamed Hassan)")
:quality(80)/p7i.vogel.de/wcms/ec/92/ec9271497f9a497ec5c149833911b065/0111435523.jpeg "In den Fachabteilungen wissen die Angestellten genau, welche Tools sie benötigen – warum unkomplizierte Anwendungen nicht selbst bauen lassen? (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/19/1d/191d69675e71d858a172728556fcbafb/0111041367.jpeg "OVHcloud hat mit AI Deploy einen neuen Service für KI-Anwendungen veröffentlicht. (Bild: OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Software Engineering Management Ist ein „Let it Crash”-Paradigma in C++ sicher?
„Lass es abstürzen“ (Let it Crash) ist selbstverständlich keine valide Fehlerbehandlungsoption für ein sicherheitskritisches System. Oder etwa doch?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Mit Blick auf Beispiele wie die Bahn, ein Flugzeug oder ein Atomkraftwerk ist klar, dass niemand mit Verantwortungsbewusstsein möchte, dass ein solches System als Ganzes zusammenbricht. Aber stimmt das immer auch für all seine Komponenten?
Unter Umständen wäre es von Vorteil, wenn eine fehlerhafte bzw. „verrückt spielende“ Kontrolleinheit oder Software-Komponente komplett ausfallen würde – um sofort gegen ein redundantes (oder besser diversitäres) Element ausgetauscht zu werden – anstatt das Gesamtsystem über einen längeren Zeitraum zu kompromittieren.
Das Robustheits-Paradigma „Let it Crash“ (LiC) der Programmiersprache Erlang ist ein etwas anderer Ansatz, um Fehler zu isolieren und zu behandeln. Sehr leichtgewichtige Prozesse im Zusammenspiel mit nachrichtenbasierter Komponentenkommunikation ermöglichen ein klares und einfaches Nebenläufigkeitsmodell. Prozesse können einander überwachen und sich – im Fall einer Prozess-Terminierung – sehr schnell gegenseitig neu starten.
Die bevorzugte Fehlerreaktion für einen Worker-Prozess ist daher, sich selbst zu beenden, falls er eine Situation nicht lokal bewältigen kann. Supervisor-Hierarchien stellen eine angemessene Fehlerbehandlung sicher, indem sie entweder einen alternativen Worker-Prozess starten oder einen erneuten Versuch mit einer neuen Instanz des Ursprungsprozesses wagen. Ein nicht ganz unwichtiger Nebeneffekt ist die Möglichkeit, die fachlichen Aspekte – realisiert durch Hierarchien von Worker-Prozessen – im Sinne von „Separation of Concerns“ komplett vom Error-Handling durch Supervisor-Hierarchien zu trennen.
Robustheit versus Sicherheit
Aber was macht das Zusammenspiel von Robustheit und funktionaler Sicherheit (Safety) so komplex? Die beiden Ziele scheinen nur schwer miteinander vereinbar zu sein. Wenn die Sicherheit von Mensch und Umwelt auf dem Spiel steht, geht es um sehr schnelle Reaktionen auf kritische Ereignisse, wie beispielsweise Hardware-Ausfälle.
Im Fall eines Infusionssystems im Operationssaal ist eine solche Reaktion ein sofortiger Stopp jeglicher Förderaktivität und Start der Alarmierung. Gegenüber Ausfällen kritischer Komponenten ist ein solches System bewusst nicht robust. Was im Notfall richtig und wichtig ist, führt jedoch bei gehäuften Fehlalarmen (z.B. durch Programmierfehler oder Hardware-Toleranzen) zur Frustration beim Anwender.
Ein perfekt robustes System auf der anderen Seite würde praktisch nie alarmieren. Im Extremfall würde es jedoch zu lange versuchen, einen Teilausfall zu kompensieren und so ggf. eine sicherheitskritische Reaktion verhindern oder zumindest verzögern.
Ist es also überhaupt sinnvoll, ein Robustheits-Paradigma wie Erlangs „Let it Crash“ in einer sicherheitskritischen Anwendung einzusetzen? Folgende Machbarkeitsstudie gibt darauf eine Antwort.
Szenario der Machbarkeitsstudie
Den technischen Hintergrund bildet ein fiktives Telemonitoring-System für die Überwachung und Betreuung von Patienten in der eigenen Wohnung. Durch das Tragen so genannter „funktionaler Kleidung“ – aus Textilien, in welche kabellose Sensoren integriert sind – können Patienten überwacht werden, ohne durch Kabel oder Sonden in ihrer Bewegungsfreiheit eingeschränkt zu sein.
Jeder Sensortyp misst entweder Temperatur, Herzschlag oder Atemfrequenz und ist jeweils mehrfach vorhanden. So können Ausfälle und Messfehler, zum Beispiel durch eine ungünstige Messposition, kompensiert werden. Um den Energieverbrauch zu reduzieren, sollte zu jedem Zeitpunkt trotzdem nur ein Sensor eines Typs aktiv sein, der Rest befindet sich auf Abruf im stromsparenden Standby.
:quality(80)/images.vogel.de/vogelonline/bdb/1210200/1210254/original.jpg "Bild 1: Szenario der Machbarkeitsstudie")
:quality(80)/images.vogel.de/vogelonline/bdb/1210200/1210255/original.jpg "Bild 2: LiC++ Code – Worker-Thread “Roulette”")
:quality(80)/images.vogel.de/vogelonline/bdb/1210200/1210256/original.jpg "Bild 3: LiC++ Code – Supervisor-Thread “Doctor”")
Mittels Kurzstreckenfunk im ISM-Band (z.B. IEEE 802.15.4) werden die Messwerte an eine Basisstation in der Wohnung des Patienten übertragen. Dieses Gerät hält je eine Verbindung zu den derzeit aktiven Sensoren, kann aber auch andere aufwecken oder in den Standby versetzen und so auf alternative Messpositionen wechseln, falls nötig (Sensor-Ausfall, implausible Daten).
Gleichzeitig hält die Basisstation eine ständige Verbindung zu einem Krankenhaus und transferiert die aktuellen Vitalwerte für eine automatisierte Auswertung oder Beurteilung durch Fachpersonal. Als redundante Maßnahme, zusätzlich zum Krankenhaussystem, ist das Heimgerät in eingeschränktem Maße fähig, schwere Messfehler sowie kritische Situationen zu erkennen. In diesem Fall alarmiert die Basisstation audiovisuell, benachrichtigt das Krankenhaus und sendet eine SMS oder Audionachricht an eine konfigurierbare Telefonnummer.
Implementierung in Erlang
Eine prototypische Implementierung des beschriebenen fiktiven Szenarios als eine in Erlang geschriebene PC-Anwendung ermöglicht den Test verschiedener Varianten von Worker- und Supervisor-Prozesshierarchien. Zusätzlich kann die angestrebte Trennung von Businesslogik und Fehlerbehandlung evaluiert werden.
Die Umsetzung konzentriert sich auf die Software der „Basisstation“ und simuliert die externen Sensoren lediglich. Auch die Anbindung an das Krankenhaussystem wird nur angedeutet. Die implementierte, generische Supervisor-Hierarchie ist ausschließlich dafür verantwortlich, Worker-Prozesse wie Sensortreiber und Datenkollektor initial zu starten und Fehler zu behandeln – indem ausgefallene Prozesse neu gestartet oder ersetzt werden.
Sensortreiber und Datenkollektor auf der anderen Seite beinhalten ausschließlich die Kernfunktionen (Businesslogik) und dafür keine Fehlerbehandlung. So beendet sich ein Sensortreiber einfach selbst, sobald er die Verbindung zum Sensor verliert, und wird durch einen anderen ersetzt. Gleiches passiert, wenn zwar Daten vorhanden aber außerhalb plausibler physikalischer bzw. physiologischer Grenzen sind.
Und in C++?
Es existieren bereits seit längerem sehr mächtige Actor-Frameworks für C++ (z.B. www.state-machine.com oder www.actor-framework.org), die auf leichtgewichtige aktive Objekte und nachrichtenbasierte Kommunikation setzen. Doch spätestens seit C++11 gibt uns auch die Programmiersprache selbst (fast) alle Zutaten in die Hand, um einen „Let it Crash“-ähnlichen Programmierstil mit „Hausmitteln“ zu entwickeln:
- Vergleichbar mit Erlang-Prozessen in punkto Leichtgewichtigkeit und guter Verwendbarkeit sind die seit C++11 verfügbaren plattformunabhängigen Standard-Threads (std::thread).
- Nebenläufigkeit im Zusammenspiel mit geteilten Daten erfordert einen aufwendigen und oft fehleranfälligen Schutz dieser Daten (z.B. via Mutex). Während Erlang-Prozesse dieses Problem umgehen, indem sie als echte Prozesse grundsätzlich keine Daten teilen, können zwischen Threads geteilte Daten im Fall von C++ nur per Konvention „verhindert“ werden.
- Auch ohne Daten zu teilen, können Erlang-Prozesse gemeinsam auf einer Datenbasis arbeiten. Per Messaging werden die benötigten Informationsabschnitte verteilt, sowie die Ergebnisse eingesammelt und zentral zusammengeführt. In seinem Buch „C++ Concurrency in Action“ stellt Anthony Williams ein einfaches Message-Passing vor, welches gleiches auch für C++ Standard-Threads möglich macht.
- Wenn ein Erlang-Prozess sich selbst beendet bzw. beendet wird, bekommt ein mit diesem Prozess verlinkter Supervisor eine Nachricht inkl. dem Grund für das Ende des Prozesses. In C++ lässt sich ein Thread via Exception terminieren. Seit C++11 können aufgefangene Exceptions via Exception-Pointer an einen anderen Thread weitergegeben und dort erneut geworfen werden.
Die aus diesen Zutaten entwickelte kleine Header-Only-Bibliothek „LiC++“ ermöglicht die Umsetzung des oben beschriebenen Telemonitoring-Szenarios in C++.
LiC++ Beispiel
Zum Abschluss soll ein kleines Beispiel zeigen, wie C++ „Let it Crash“ aussehen kann. Das zugehörige (und nicht ganz ernst gemeinte) Erlang-Programm stammt aus dem Bruce Tate Buch „Seven Languages in Seven Weeks“. Zum Vergleich kann der Erlang-Code unter der Adresse www.pragprog.com heruntergeladen werden.
Inhaltlich macht der Code folgendes: Ein Worker-Thread „Roulette“ empfängt vom Anwender Zahlen im Bereich von eins bis sechs. Alle Zahlen außer drei führen zu einem „click“. Die Zahl drei beendet den Thread mit einem Knall („bang“). Der Supervisor-Thread „Doctor“ startet und überwacht den „Roulette“-Thread. Wird „Roulette“ beendet, startet der „Doctor“ eine neue Instanz und das Spiel geht weiter.
Zusammenfassung
Es lässt sich zeigen, dass durchaus Szenarien denkbar sind, die ein Robustheits-Paradigma wie „Let it Crash“ in sicherheitskritischen Anwendungen sinnvoll erscheinen lassen. Zudem wird deutlich, dass ein von der Erlang-Community schon länger propagierter, nebenläufigkeitsfreundlicher Programmierstil (spätestens seit C++11) auch in Industriebereichen möglich ist, die hauptsächlich auf C++ setzen.
Es lohnt sich daher, öfter über den Tellerrand schauen, um bewährte Lösungen aus anderen Entwicklungsumgebungen und Sprachen zu evaluieren und ggf. zu adaptieren. Das Beispiel „Let it Crash“ zeigt, dass der Phantasie hier wenige Grenzen gesetzt sind.
Dieser Beitrag stammt ursprünglich von Embedded-Software-Engineering.de, einer Publikation unseres Schwesterportals Elektronikpraxis.
* Christoph Woskowski ist Lead Software Architect für Embedded Systeme bei Zühlke und seit mehr als sieben Jahren im Unternehmen. Er verfügt über eine breite Erfahrung in der Konzeption und Umsetzung von Gerätesoftware. Er hat über viele Jahre in unterschiedlichen Rollen sicherheitskritische Projekte als Software- und Systemarchitekt begleitet.
(ID:44612821)
:quality(80)/images.vogel.de/vogelonline/bdb/1953200/1953267/original.jpg "Apache Beam kann als Programmiermodell für die verteilte Datenverarbeitung bezeichnet werden. Das Modell ist dazu in der Lage, über APIs Datentypen und Data Frames zu verarbeiten. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1922300/1922347/original.jpg "Presto ist eine wertvolle Hilfe für Datenanalysten, die große Datenmengen aus verschiedenen Datenquellen mit hoher Geschwindigkeit analysieren wollen. (T. Joos)")