Echtzeitsysteme: 5 Gründe, warum Timing kritisch wird

Ein ERC Advanced Grant für Martina Maggio rückt ein Problem ins Licht, das in vielen Technikdebatten untergeht: Echtzeitsysteme können korrekt programmiert sein und trotzdem gefährlich werden, wenn ihr Timing kippt. Für autonome Fahrzeuge, Robotik und Raumfahrt ist das keine Fußnote, sondern eine Sicherheitsfrage.

Manchmal entscheidet nicht der große Algorithmus. Nicht das spektakuläre KI-Modell. Nicht der Sensor, der ein Hindernis erkennt. Sondern ein paar Millisekunden, die an der falschen Stelle fehlen.

Genau an diesem unscheinbaren Punkt setzt die Forschung von Martina Maggio an. Die Informatikerin an der Universität des Saarlandes erhält einen ERC Advanced Grant für etablierte Spitzenforschung. Bis zu 2,5 Millionen Euro fließen in ein Projekt, das die Sicherheit computergesteuerter Systeme besser zertifizierbar machen soll. Das klingt erst einmal nach akademischem Maschinenraum. Ist es auch. Aber einer, in dem die Zukunft von autonomem Fahren, Robotik und Raumfahrt mitverhandelt wird.

Der Kern: Moderne cyber-physikalische Systeme leben davon, dass Software und physische Welt in genau abgestimmten Zeitfenstern miteinander arbeiten. Ein Roboterarm bewegt sich nicht irgendwann. Ein autonomes Fahrzeug bremst nicht irgendwann. Ein Raumfahrzeug gleicht seine Lage nicht irgendwann aus. Es muss zum richtigen Zeitpunkt passieren.

Und genau dieses „richtig“ ist schwerer zu beweisen, als es in PowerPoint-Folien aussieht.

Echtzeitsysteme sind die stille Infrastruktur autonomer Technik

Wenn über autonome Systeme gesprochen wird, dominiert fast immer die Wahrnehmungsebene: Kameras, Lidar, Sensorfusion, KI-Modelle, Entscheidungslogik. Das ist verständlich. Diese Teile sind sichtbar, medial dankbar und lassen sich gut demonstrieren. Doch darunter liegt eine zweite Schicht, die weniger Glamour hat: Echtzeitsysteme.

Ein Echtzeitsystem ist nicht einfach nur ein schneller Computer. Es ist ein System, bei dem das Ergebnis einer Berechnung nur dann brauchbar ist, wenn es innerhalb eines definierten Zeitfensters kommt. Zu spät ist in solchen Umgebungen nicht bloß ineffizient. Zu spät kann falsch sein.

Wer schon einmal erlebt hat, wie ein Videocall wegen Latenz aus dem Takt gerät, kennt eine harmlose Variante dieses Problems. Bei Robotik, industrieller Steuerung oder autonomer Mobilität ist das gleiche Prinzip weniger witzig. Dort greifen Softwareentscheidungen direkt in Bewegung, Energie, Material und Menschenumgebung ein.

Die Universität des Saarlandes beschreibt Maggios Forschungsziel entsprechend nüchtern: Es geht um computergesteuerte Systeme, die zeitlichen Schwankungen im Betrieb ausgesetzt sind. Diese Schwankungen, in der Fachwelt oft als Jitter diskutiert, sind nicht immer Fehler im klassischen Sinn. Sie entstehen im Zusammenspiel aus Prozessorlast, Betriebssystem, Kommunikation, Sensorik, Aktorik und realer Umgebung.

Wir bei digital-magazin.de sehen hier einen interessanten Bruch in der üblichen KI-Erzählung: Viele Debatten tun so, als würde bessere Intelligenz automatisch bessere Systeme bedeuten. Bei Echtzeitsystemen reicht Intelligenz allein nicht. Das System muss auch pünktlich sein.

Wer sich mit der Sicherheitsseite moderner Software beschäftigt, erkennt den verwandten Denkfehler schnell. Auch bei KI-Agenten und ihren Sicherheitsmustern geht es längst nicht mehr nur darum, ob ein einzelner Schritt logisch korrekt ist. Entscheidend ist, wie viele Komponenten unter Druck zusammenarbeiten.

Sicherheit scheitert oft am Takt, nicht an der Idee

Martina Maggio nennt in der Presseinformation ein Beispiel, das hängen bleibt: den Mars-Hubschrauber Ingenuity. Das Fluggerät war ein technisches Kunststück, keine Frage. Trotzdem kam es zu Problemen, die mit der zeitlichen Abstimmung von Prozessen zusammenhingen. Bildverarbeitung, Bordberechnungen, Steuerung: Wenn solche Teilaufgaben nicht mehr sauber synchron laufen, kann ein ansonsten klug gebautes System plötzlich in Schwingung geraten oder eine Notlandung benötigen.

Das ist die unangenehme Lehre: Sicherheit ist nicht nur eine Eigenschaft des Designs. Sie muss auch in der konkreten Implementierung und im Betrieb halten.

Genau dort wird es knifflig. Viele formale Nachweise betrachten idealisierte Systeme. Sie beweisen etwa, dass ein Fahrzeug bei bestimmter Geschwindigkeit einen Abstand einhält oder dass ein Regler innerhalb bestimmter Parameter stabil bleibt. Solche Beweise sind wichtig. Nur treffen sie nicht immer auf den Schmutz der Praxis: Prozessorkerne sind belegt, Nachrichten treffen minimal später ein, Sensorwerte kommen in leicht verschobenen Takten an, Scheduling-Entscheidungen ändern die Reihenfolge.

Maggios Ansatz will diese Lücke verkleinern. Das Projekt trägt den Titel SCARF, kurz für Scalable CPS Analysis of Robustness to Failures. Es soll untersuchen, wie sich Garantien für cyber-physikalische Systeme trotz unvermeidlicher zeitlicher Schwankungen erhalten lassen. Das Projekt soll nach Angaben der Universität 2027 starten und fünf Jahre laufen.

Das klingt abstrakt, ist aber sehr konkret. Stellen Sie sich einen Industrieroboter vor, der mit einer Kamera Objekte erkennt und mit einem Greifer sortiert. Wenn die Kamera ein Objekt erkennt, der Greifer aber auf Daten reagiert, die schon ein paar Millisekunden zu alt sind, verschiebt sich der gesamte Ablauf. Bei geringer Geschwindigkeit fällt das vielleicht kaum auf. Bei hoher Taktung kann daraus ein Sicherheitsproblem werden.

Oder autonomes Fahren: Ein System erkennt, plant und regelt. Jeder Schritt braucht Zeit. Wenn die Zeitannahmen im Modell nicht zu den tatsächlichen Laufzeiten im Fahrzeug passen, ist die rechnerisch schöne Sicherheitsgarantie plötzlich weniger wert.

In der IT-Sicherheit gibt es einen ähnlichen Moment der Ernüchterung. Auf dem Papier wirkt ein System oft sauber. Erst im Zusammenspiel mit echten Nutzenden, echten Daten und echten Nebenbedingungen zeigt sich, wo es knirscht. Das gilt auch für Sicherheitsforschung rund um KI-Systeme und Regulierung: Der Nachweis muss bis in die Realität reichen, sonst bleibt er ein schönes PDF.

Was der ERC Advanced Grant über die Forschung sagt

Der ERC Advanced Grant ist kein normaler Fördertopf. Der Europäische Forschungsrat vergibt ihn an Forschende mit starkem wissenschaftlichem Profil und ambitionierten Projekten. Laut ERC können Advanced Grants mit bis zu 2,5 Millionen Euro über fünf Jahre ausgestattet werden; in bestimmten Fällen sind zusätzliche Mittel möglich. Der Maßstab ist wissenschaftliche Exzellenz, nicht kurzfristige Produktnähe.

Für Maggio ist die Förderung deshalb auch ein Signal an ein Forschungsfeld, das oft zwischen mehreren Welten sitzt: Regelungstechnik, Informatik, Echtzeitsysteme, Sicherheitszertifizierung. Keines dieser Felder reicht allein aus. Der Roboter fällt nicht deshalb um, weil eine Disziplin allein versagt hat. Er fällt, wenn die Übergänge nicht verstanden werden.

Seit 2020 ist Martina Maggio Professorin für Informatik an der Universität des Saarlandes. Die Hochschule ordnet ihre Arbeit an der Schnittstelle zwischen Regelungstechnik und Echtzeitsystemen ein. Genau diese Schnittstelle ist spannend, weil dort zwei Denkweisen aufeinandertreffen: Die Regelungstechnik fragt, wie ein dynamisches physisches System stabil geführt wird. Die Informatik fragt, wie Software, Berechnung und Ausführung organisiert werden. In modernen autonomen Systemen lassen sich diese Fragen nicht mehr sauber trennen.

Der Saarland Informatics Campus ist dafür ein naheliegendes Umfeld. Dort bündeln Universität und Forschungseinrichtungen wie DFKI, Max-Planck-Institute und weitere Fachbereiche Informatikthemen von KI bis Softwaresysteme. Nach Angaben des Campus arbeiten dort rund 1.100 Wissenschaftlerinnen und Wissenschaftler; etwa 2.600 Studierende aus mehr als 80 Nationen kommen hinzu.

Robotik, Fahrzeuge, Raumfahrt: Warum Timing ein Sicherheitsmerkmal ist

In vielen Unternehmen werden autonome oder halbautonome Systeme noch immer wie normale Softwareprojekte betrachtet: Anforderungen sammeln, Architektur bauen, implementieren, testen, abnehmen. Das funktioniert bis zu einem Punkt. Sobald das System aber in die physische Welt eingreift, reicht diese Logik nicht mehr.

Ein Webshop kann kurz hängen. Ärgerlich, aber selten lebensgefährlich. Ein Robotersystem, das kurz hängt, kann Material beschädigen. Ein Fahrzeug, das kurz hängt, kann Menschen gefährden. Ein Raumfahrzeug, das kurz hängt, verliert im dümmsten Fall eine Mission.

Darum ist Timing nicht nur Performance. Es ist ein Sicherheitsmerkmal.

Die Forschung an Echtzeitsystemen versucht, solche Risiken methodisch greifbar zu machen. Es geht nicht darum, jedes System immer schneller zu machen. Manchmal ist Vorhersagbarkeit wichtiger als maximale Geschwindigkeit. Ein langsamerer, aber verlässlicher Ablauf kann sicherer sein als ein schneller Ablauf mit gelegentlichen Ausreißern.

Das wirkt kontraintuitiv, weil Tech-Marketing seit Jahren auf Geschwindigkeit trainiert ist. Schnellere Chips, schnellere Netze, schnellere Modelle. Nur: Sicherheit liebt nicht immer Tempo. Sicherheit liebt Grenzen, Nachweise und nachvollziehbare Fehlerannahmen.

Das passt zu einer größeren Entwicklung im Digitalbereich. Je mehr Software aus der reinen Informationsverarbeitung herauswächst und Maschinen steuert, desto wichtiger werden harte Nachweise. Bei KI-Agenten in Unternehmensprozessen ist das bereits zu sehen: Autonomie klingt gut, bis jemand erklären muss, wer bei Fehlentscheidungen haftet. Bei cyber-physikalischen Systemen kommt noch Bewegung, Kraft und Material dazu.

Die Zertifizierung hängt an mehr als funktionalen Tests

Ein wichtiges Wort in der Uni-Mitteilung ist „Zertifizierung“. Das klingt trocken, aber darin steckt der eigentliche Hebel. Wenn autonome Systeme in sicherheitskritischen Bereichen eingesetzt werden sollen, reicht ein beeindruckender Labortest nicht. Es braucht Verfahren, mit denen sich Sicherheit belastbar belegen lässt.

Heute ist das in vielen Bereichen mühsam. Tests können zeigen, dass ein System in bestimmten Szenarien funktioniert hat. Sie beweisen aber nicht automatisch, dass es unter veränderten Lasten, anderen Zeitprofilen oder seltenen Synchronisationsproblemen stabil bleibt. Formale Methoden können mehr leisten, stoßen aber an Grenzen, wenn reale Implementierungen, Hardwareeffekte und Ausführungszeiten ins Spiel kommen.

SCARF zielt genau auf diese Skalierungsfrage. Wie lassen sich robuste Garantien für komplexe Systeme analysieren, ohne in theoretischen Mini-Beispielen stecken zu bleiben? Und wie lassen sich die unvermeidlichen Abweichungen des Betriebs so modellieren, dass sie in die Sicherheitsbewertung einfließen?

Das ist kein Problem für ein einzelnes Forschungslabor. Es betrifft Industrie, Zulassung, Normung und Softwareentwicklung zugleich. Wer autonome Systeme bauen will, braucht künftig nicht nur gute Modelle, sondern auch gute Argumente dafür, warum diese Modelle im echten Betrieb nicht auseinanderlaufen.

Nach unserer Recherche bei digital-magazin.de ist genau das der Punkt, an dem viele Debatten über KI und Automatisierung zu weich bleiben. Sie reden über Fähigkeiten. Weniger über Nachweisbarkeit.

Auch Rechenleistung allein löst dieses Problem nicht. Der jüngste Blick auf energieeffiziente Supercomputer und ihre Rolle in Forschung und Simulation zeigt zwar, wie wichtig Infrastruktur für komplexe Berechnungen ist. Aber ein Sicherheitsnachweis für Echtzeitsysteme muss am Ende nicht nur berechnet, sondern im Systemdesign verankert werden.

Sicherheit braucht neue Übersetzer zwischen Theorie und Betrieb

Die vielleicht wichtigste Lehre aus Maggios Projekt liegt nicht in einem einzelnen technischen Verfahren. Sie liegt in der Übersetzungsarbeit. Forschung an Regelungstechnik und Echtzeitsystemen muss so formuliert werden, dass sie in Entwicklungsprozesse, Toolchains und Zertifizierungspfade wandern kann.

Das ist schwer. Wissenschaftliche Genauigkeit und industrielle Nutzbarkeit mögen sich, aber sie sprechen nicht automatisch dieselbe Sprache. Die eine Seite arbeitet mit Modellen, Beweisen und Annahmen. Die andere mit Deadlines, Lieferketten, Hardwarevarianten und Normen.

Gute Sicherheitsforschung muss diese Welten verbinden. Sie muss erklären können, wann ein Timing-Fehler nur ärgerlich ist und wann er ein System kippt. Sie muss zeigen, welche Annahmen realistisch sind. Und sie muss Werkzeuge liefern, die nicht nur in einem Paper funktionieren.

Für autonome Fahrzeuge ist das offensichtlich. Für Robotik ebenfalls. In der Raumfahrt wird es besonders brutal sichtbar, weil Nachbessern nach dem Start selten bequem ist. Doch auch in Fabriken, Logistikzentren oder medizinischer Technik wächst der Druck, solche Fragen sauberer zu beantworten.

Wer hier nur auf mehr KI setzt, macht es sich zu leicht. KI kann Wahrnehmung und Planung verbessern. Sie kann aber auch neue Unsicherheiten in Systeme bringen, deren Timing ohnehin schon schwer zu beherrschen ist. Je stärker autonome Systeme lernende Komponenten nutzen, desto wichtiger wird die Frage, wie deren Ausführung zeitlich eingehegt wird.

Warum dieser Grant mehr ist als eine Uni-Erfolgsmeldung

Natürlich ist ein ERC Advanced Grant auch eine Auszeichnung für Martina Maggio und die Universität des Saarlandes. Aber der größere Wert liegt darin, dass ein eher stilles Thema Aufmerksamkeit bekommt. Echtzeitsysteme sind selten der Star auf Tech-Konferenzen. Trotzdem entscheidet ihre Qualität darüber, ob autonome Technik verlässlich wird.

Das Team von digital-magazin.de schaut bei solchen Meldungen deshalb nicht nur auf die Fördersumme. 2,5 Millionen Euro klingen groß, ja. Spannender ist die Richtung: Europa investiert in Grundlagen, die später darüber entscheiden können, wie sicher autonome Systeme zertifiziert und betrieben werden.

Das passt auch politisch in eine Zeit, in der viel über technologische Souveränität gesprochen wird. Wer autonome Systeme nur nutzt, aber ihre Sicherheitsgrundlagen nicht beherrscht, bleibt abhängig. Von Plattformen, Herstellern, Blackbox-Komponenten oder ausländischen Zertifizierungslogiken.

Der ERC-Grant löst das nicht allein. Aber er setzt an einer Stelle an, an der Grundlagenforschung überraschend praktisch wird. Wenn die Zertifizierung von cyber-physikalischen Systemen genauer, skalierbarer und realistischer wird, profitieren am Ende nicht nur Labore. Dann profitieren Unternehmen, Zulassungsstellen und Menschen, die solchen Systemen im Alltag begegnen.

Was bleibt?

Martina Maggios Forschung erinnert an eine unbequeme Wahrheit: Autonomie ist kein Zaubertrick. Sie ist ein eng getaktetes Zusammenspiel aus Software, Hardware, Sensorik, Aktorik und Umwelt. Wenn der Takt nicht stimmt, hilft auch die eleganteste Logik nur begrenzt.

Gerade deshalb ist SCARF ein spannendes Projekt. Es zielt nicht auf die nächste Demo, sondern auf die Frage, wie Sicherheitsgarantien den Weg aus der Theorie in die Implementierung überstehen. Das klingt weniger glamourös als ein neuer Roboter auf der Bühne.

Aber mal ehrlich: Genau dort entscheidet sich, ob autonome Technik irgendwann so selbstverständlich wird, wie ihre Werbebroschüren schon heute behaupten.