Forschungsbericht 2013 - Max-Planck-Institut für Softwaresysteme, Standort Kaiserslautern

Reale und virtuelle Welt zusammengeführt: Vorteile und Herausforderungen von Cyber-Physical Systems

Autoren
Majumdar, Rupak
Abteilungen
Rigorous Software Engineering
Zusammenfassung
Cyber-Physical Systems sind Computersysteme, die mit der realen Welt interagieren, etwa fahrerlose Autos, Roboter, medizinische Geräte usw. Sie enthalten Soft- und Hardwarekomponenten, die über Sensoren physische Daten erfassen, verarbeiten und verteilen sowie das physische System über Aktoren beeinflussen. Sie ermöglichen nützliche Anwendungen, ihre Komplexität und die Sicherheitsanforderungen bringen aber auch neue Herausforderungen mit sich. Dieser Beitrag beschreibt einige zentrale Probleme, die sich ergeben, wenn hochsichere Cyber-Physical Systems kosteneffizient entwickelt werden sollen.

Einleitung

Seit einiger Zeit lässt sich ein vermehrtes Zusammenwachsen von eingebetteten Echtzeit-Rechnersystemen mit Kommunikations- und Netzwerktechnologien beobachten. Die daraus entstehenden Systeme werden Cyber-Physical Systems genannt, da sie die virtuelle (Computer-) Welt nahtlos mit der physischen, realen Welt zusammenführen. Cyber-Physical Systems (kurz CPS) bestehen aus eingebetteten Computern, die physische Daten direkt über Sensoren erfassen, über drahtlose oder leitungsgebundene Netzwerke untereinander sowie mit der weltweiten IT-Infrastruktur kommunizieren, anhand der Sensor-Messwerte und globaler Daten sowie Dienste Berechnungen durchführen und schließlich über Aktoren die physischen Abläufe steuern.

Auf diese Weise versprechen diese Systeme eine Fülle innovativer Lösungen für viele unserer heutigen technischen, wirtschaftlichen und sozialen Herausforderungen. Indem sie Daten sowie Dienste überall verfügbar machen und computertechnische Prozesse in die Lage versetzen, auf physische Systeme zu reagieren, können sie für mehr Effizienz, Komfort und Sicherheit sorgen.

Bereits heute sind Cyber-Physical Systems im Einsatz. An Bord eines modernen PKW versehen gleich mehrere vernetzte Computer ihren Dienst. Diese Computer steuern den Motor und die Peripherie (Drive-by-Wire), die Diagnosefunktionen sowie die Informations- und Unterhaltungselektronik. Immer häufiger sind diese Fahrzeugsteuerungssysteme sowohl untereinander also auch mit externen Geräten, Daten und Diensten vernetzt, um zusätzliche Funktionen wie Kollisionsvermeidung, Verkehrsplanung und Erweiterungen für Benutzeranwendungen beizusteuern. So werden Bordnetzwerke z. B. eine zentrale Rolle in zukünftigen automatisierten Transportsystemen spielen.

Auch in der Zukunft der medizinischen Versorgung werden Cyber-Physical Systems das Kernstück bilden. Neben der sogenannten Telemedizin und der Patienten-Fernüberwachung mittels intelligenter medizinischer Sensoren eröffnen CPS die Möglichkeit vollautomatischer Haushalts-Hilfsdienste, eines optimalen Einsatzes von Notfallsystemen und damit einer verbesserten Qualität der Versorgung.

Ein drittes Beispiel sind intelligente Stromversorgungsnetze, sogenannte Smart Grids. Sie führen Energieerzeuger und -verteiler sowie die Energieverbraucher für eine effiziente Energieversorgung zu einem dezentralen Netzwerk zusammen.

Forschungsaufgabe: theoretische Grundlagen

Während Cyber-Physical Systems versprechen, zahlreiche Bereiche zu revolutionieren, ist ihre Planung und Implementierung nach wie vor eine große Herausforderung. Ihre Haupteigenschaft ist die Zusammenführung diskreter/binärer Komponenten (Software, Hardware, digitale Kommunikation) mit kontinuierlich/analog arbeitenden Komponenten (mechanische und elektrische Systeme, physikalische Verfahren wie in Chemieanlagen oder biologischen Systemen). Daher ist ein interdisziplinärer Lösungsansatz notwendig, der sowohl die Experten der einzelnen Fachgebiete, als auch Wissenschaftler der Verfahrenstechnik, Software-Ingenieure, Experten für Echtzeitsysteme, Netzwerkexperten, Maschinenbau-Ingenieure usw. einbindet. Hinzu kommen extrem hohe Sicherheitsanforderungen: In vielen Anwendungsfeldern, wie bei medizinischen Geräten oder großen automatischen Transportnetzen, kann eine Störung katastrophale Folgen haben. In anderen, wie bei intelligenten Versorgungsnetzen oder Energie-Management-Systemen, können bei einem Ausfall unakzeptabel hohe Kosten entstehen. Sicherheit bezieht sich in diesem Zusammenhang jedoch nicht nur auf eine korrekte Funktion, sondern auch auf ein korrektes Zeitverhalten: viele CPS, wie zum Beispiel die Airbag-Betätigung in einem PKW, unterliegen extrem strengem Zeitanforderungen.

Ein zentrales Problem bei der CPS-Entwicklung ist der Aufbau von theoretischen Modellen für die Zusammenstellung heterogener Komponenten, von denen einige diskret, andere jedoch kontinuierlich arbeiten. Während es sowohl für diskrete Systeme, die mit Automaten arbeiten, als auch für kontinuierliche Systeme in Form von Differentialgleichungen seit langem ausgereifte Theorien gibt, ist die Theorie für hybride Systeme (diskret + kontinuierlich) relativ neu.

So ist beispielsweise die Robustheit eine gewünschte Eigenschaft von Systemen, die Unwägbarkeiten durch ihre Funktionsumgebung ausgesetzt sind: Es muss sichergestellt sein, dass nicht-modellierte, jedoch begrenzte Störgrößen lediglich einen proportional begrenzten Einfluss auf das Systemverhalten im Ganzen haben. Während Robustheit in der kontinuierlichen Regelungstheorie gut erfasst ist, gibt es hierfür im Feld der gemischten, diskret-kontinuierlichen Systeme keine Standardtheorie. In der Vergangenheit hat unsere Gruppe Schritte in Richtung einer solchen Theorie unternommen: zunächst durch Entwicklung des Begriffs Robustheit in diskreten Systemen [1] und anschließend  durch eine Verallgemeinerung von Eingangs-Ausgangs-Stabilität, eines Standardbegriffs für Robustheit in kontinuierlicher Regelung, der sich für diskrete Systeme übernehmen lässt [2].

Ein zweites Beispiel betrifft die Verhaltensäquivalenz: Wann kann eine Komponente in einem System durch eine andere ersetzt werden, ohne dass sich das Verhalten des Gesamtsystems erkennbar ändert? Für diskrete Systeme gibt es hierzu eine umfassend entwickelte Theorie der Prozessäquivalenz auf Grundlage der Bisimulation (Milner). Bisimulation ist eine Relation von Zustandspaaren eines Systems, das als co-induktiv definiert ist. Zwei Zustände sind bisimilar, wenn sie bei einer atomaren Beobachtung übereinstimmen – und wenn bei der Änderung eines Zustands der andere Zustand in der Lage ist, sich so anzupassen, dass die resultierenden Zustände erneut bisimilar sind. Bisimilare Zustände sind beobachtungsäquivalent: Zwei Systeme, die nur verschiedene bisimilare Komponenten aufweisen, sind nicht unterscheidbar. Für kontinuierliche und hybride Systeme ist der Bisimilar-Begriff in der Regel zu exakt: Er kann zwei Zustände unterscheiden, die willkürlich nah beieinander liegen. Man kann jedoch nach Annäherungen der Bisimulation suchen, die erfordern, dass die Zustände „nah“ aneinander, wenngleich nicht äquivalent sind. In den vergangenen Jahren wurde eine umfangreiche Theorie von Epsilon-Bisimulationen für kontinuierliche Hybridsysteme entwickelt. So lässt sich z. B. die Existenz von Epsilon-Bisimulationen mit finiten Zuständen für kontinuierliche Hybridsysteme nachweisen, die gewisse „Genauigkeits“-Eigenschaften aufweisen (inkrementelle Eingangs-Zustands-Stabilität).

Forschungsaufgabe: End-to-End-Argumente in der Planung

Eine zweite Herausforderung bei der Planung und Implementierung von Cyber-Physical Systems ist ein End-to-End-Argument. Betrachten wir die Planung eines Reglers für ein physikalisches Verfahren. Die übliche Entwicklungsfolge teilt sich in verschiedene Expertendomänen auf. Zunächst modelliert der Verfahrensingenieur den Prozess als kontinuierliches dynamisches System. Dann verwendet er Methoden der Regelungstheorie, um einen Regler zu entwickeln, der bestimmte Eigenschaften der Regelstrecke wie Stabilität gewährleistet (die Eigenschaft, dass das System ein gewünschtes Verhalten zeigt). An diesem Punkt ist der Regler eine mathematische Funktion, die die erfassten Werte des Prozesszustands aufnimmt, und Regelgrößen an den Prozess zurückgibt. Die Software-Ingenieure setzen diese Funktion dann als Code um. Und schließlich entscheiden die Experten für Echtzeit-Betriebssysteme, wie die Systemressourcen von allen Tasks genutzt werden.

Unglücklicherweise öffnet sich jedoch eine semantische Lücke zwischen der Sicht der Verfahrenstheoretiker auf den Regler und dem zugehörigen Code der Software-Ingenieure. Während der Verfahrensingenieur in der Welt mathematischer Realen arbeitet, verwendet das implementierte System starr-präzise Arithmetik. Darüber hinaus werden die Funktionen nicht unmittelbar berechnet, denn sie müssen sich Rechner- und Kommunikationsressourcen mit anderen Tasks teilen. Und schließlich kann das Kommunikationsmedium (z. B. das Netzwerk) Verzögerungen zwischen den Sensoren, den Berechnungstasks und den Aktoren bewirken. Das bedeutet, die von den Berechnungen des Verfahrenstechnikers garantierten Eigenschaften gelten möglicherweise nicht für das implementierte System. Während beispielsweise der mathematische Regler das System nachweislich stabil macht, ist die Implementierung instabil.

In kürzlich vorgelegten Arbeiten hat unsere Gruppe eine integrierte Analyse vorgestellt, mit der die gesamten Eigenschaften von Regelungssystemen überprüft werden können. Zentrale Idee hierbei ist ein Separationstheorem, das den Unterschied der Trajektorien des mathematischen Systems und der Implementierung als Produkt zweier Faktoren begrenzt, von denen einer ausschließlich mittels Verfahrenstheorie berechnet und der andere über Programmanalysen abgeschätzt werden kann. Mithilfe des Separationstheorems und einiger neuartiger Methoden zur Programmanalyse sind wir in der Lage, die Verhaltensgrenzen des implementierten Systems nachzuweisen [3]. Auf diese Weise lassen sich Eigenschaften nachweisen, beispielsweise in der Form: „Die Abweichung der Implementierung vom Idealverhalten ist auf 1 cm begrenzt.“

Schlussbemerkung

Nach unserer Überzeugung hat die Forschungswelt die großen Probleme im Feld der Cyber-Physical Systems bislang nur sehr oberflächlich behandelt. Viele dringliche, offene Fragen sind nach wie vor unbeantwortet. Wie lassen sich weitere Randbedingungen der Implementierung, wie Kommunikation und Stromversorgung, handhaben? Wie lassen sich Systeme entwickeln, die sich berechenbar verhalten? Wie kann man eine koordinierte Planungsmethodik entwickeln? Wie kann man prüfen und bescheinigen, dass Systeme selbst bei böswilligen Angriffen korrekt funktionieren? Wie kann man sicherstellen, dass Systeme vertrauenswürdig sind und die Daten der Nutzer schützen? Und schließlich, da davon auszugehen ist, dass normale Menschen und nicht nur geschulte Ingenieure mit den Systemen tagtäglich umgehen werden: Wie kann man dafür sorgen, dass diese Systeme auch für Laien anwenderfreundlich sind?

Nach unserer Meinung steckt die Forschung in Bezug auf robuste und zuverlässige Cyber-Physical Systems noch in den Kinderschuhen. In den kommenden Jahren werden wir technische Entwicklungen erleben, die viele der hier aufgezeigten theoretischen und die Implementierung betreffenden Herausforderungen überwinden werden. Diese Fortschritte werden den Weg zu revolutionären neuen Produkte und Dienstleistungen zum Wohle unserer Gesellschaft ebnen.

Literaturhinweise

1.
Majumdar, R.; Render, E.; Tabuada, P.
Robust discrete synthesis against unspecified disturbances
in: HSCC'11 - Proceedings of the 14th International Conference on Hybrid Systems: Computation and Control. ACM, New York, NY, 2011, pp. 211-220
2.
Tabuada, P.; Balkan, A.; Caliskan, S.; Shoukry, Y.; Majumdar, R.
Input output robustness for discrete systems
in: EMSOFT'12 - Proceedings of the International Conference on Embedded Software 2012. ACM, New York, NY, 2012, pp. 217-226
3.
Anta, A.; Majumdar, R.; Saha, I.; Tabuada, P.
Automatic verification of control system implementations
in: EMSOFT'10 - Proceedings of the International Conference on Embedded Software 2010. ACM, New York, NY, 2010, pp. 9-18
Zur Redakteursansicht