Professional Articles

Automotive

Automotive Software entwickelt sich zur Verbindung, Integration und Gewährleistung funktionaler Sicherheit

Welche Schritte führten zur Schaffung eines heterogenen Gesamtsystems, das die in ISO 26262 definierten Anforderungen an die funktionale Sicherheit erfüllt?

Die Automobilindustrie und ihre Zulieferer bereiten Autos für das Internet der Dinge vor. Dabei nutzen sie eine Systemarchitektur, die eine bessere Integration von Funktionen und deren Anbindung nach außen unterstützt. Mit der so genannten Interior Domain Integration entwickelt Continental Automotive (Abbildung 1) eine solche integrierte Plattform für vernetzte Fahrzeuge. Das neue System basiert auf einem Hypervisor, der es ermöglicht, Anwendungen auf eine neue Art und Weise zu arrangieren.


Abbildung 1: Ein Automobilzulieferer entwickelt eine integrierte Plattform für vernetzte Fahrzeuge, bei der die Gesamtsicherheit des Automobilsystems im Vordergrund steht und die gleichzeitig die Integration von Automobil- und Verbraucherelektronik sowie Infotainment ermöglicht.

Von anderen Branchen lernen

In den 1990er Jahren revolutionierte die Luftfahrtindustrie die Flugzeugelektronik mit der Integrierten Modularen Avionik (IMA). Mit diesem Ansatz wurden in der Boeing 777 und dem Airbus A380 erstmals einzelne Steuergeräte auf einer zentralen Plattform zusammengefasst, um Größe, Gewicht und Strom zu sparen.

Heute steht die Automobilelektronik vor ähnlichen Herausforderungen wie die Luftfahrt. Auch hier gilt es, die rasant wachsende Zahl von Geräten, die meist über kleine, stromsparende Prozessoren verfügen, von ihrer isolierten Hardware zu trennen und ihre Funktionen in Software abzubilden. Bis zu 120 Prozessoren pro Fahrzeug und 100 Millionen Zeilen Softwarecode sollen auf einer leistungsfähigen Zentraleinheit vereint werden. Und wir stehen erst am Anfang des "intelligenten" Autos. Ständig entstehen neue Multimedia-Anwendungen, Sicherheitsfunktionen und Assistenzsysteme, die dynamisch aus App-Stores in der Werkstatt oder sogar vom Nutzer selbst installiert werden können. Auch die Mobilfunkindustrie hält Einzug in die Automobilelektronik und erschließt neue Geschäftsmodelle wie Car-to-Go und nutzungs- und fahrgewohnheitsabhängige Versicherungsprämien.


Innenraum-Integration

Continental Automotive entwickelt die Interior Domain Integration als zentrale Plattform für eine Vielzahl von Funktionen. Die zentrale Plattform für die Interior Domain Integration, die Continental entwickelt, basiert auf dem PikeOS Hypervisor von SYSGO. Durch die Kombination von GENIVI-, AUTOSAR-, Android- und POSIX-Anwendungen auf einer einzigen leistungsstarken ARM-Multicore-Hardwareeinheit verbindet diese zentrale Plattform die Automobilelektronik mit der Unterhaltungselektronik und dem Infotainment. Dies schafft mehr Raum für zusätzliche Anwendungen, erhöht die Designflexibilität und eröffnet Möglichkeiten für zusätzliche After-Sales-Services und langfristige Geschäftsmodelle über den Lebenszyklus des Fahrzeugs.

Der Einsatz einer solchen Plattform löst auch die damit verbundenen Sicherheitsprobleme, indem die Anwendungen in der Systemarchitektur nach ihren Sicherheitseigenschaften getrennt werden: Nicht vertrauenswürdige Android-Anwendungen laufen auf der anderen Seite der Firewall, auf einem separaten Core 4. Vertrauenswürdige, aber nicht sicherheitsrelevante GENIVI-Anwendungen laufen hinter der Firewall, auf Core 2 und 3. Sowohl die vertrauenswürdigen als auch die sicherheitsrelevanten POSIX- und AUTOSAR-Anwendungen verwenden Core 1, wie Abbildung 2 zeigt.


Abbildung 2: Interior Domain Integration trennt die Anwendungen auf dem Hypervisor nach den Kriterien sicher/unsicher sowie vertrauenswürdig/unvertrauenswürdig und führt sie auf verschiedenen Kernen aus.

Systemarchitektur für eine heterogene Software-Landschaft

Die Funktionen des PikeOS Hypervisors unterstützen das Pooling einer heterogenen Softwarelandschaft aus bestehenden und neuen Anwendungen entsprechend ihrer jeweiligen Sicherheitsrelevanz. Mittels Partitionierung werden zunächst Container für die Instanzen verschiedener Gastbetriebssysteme (Guest OS) mit ihren jeweiligen Anwendungen eingerichtet (Abbildung 3). Die Interior Domain Integration setzt voraus, dass die Container voneinander getrennt werden, damit sie sich nicht gegenseitig stören.


Abbildung 3: Gezeigt wird ein Beispiel für die PikeOS Systemarchitektur für Automobilelektronik mit Partitionen für heterogene Softwareanwendungen auf einer zentralen Plattform.

Gewährleistung der funktionalen Sicherheit in Fahrzeugen

Die Verabschiedung der ISO 26262 im Jahr 2011 war im Wesentlichen eine automobilspezifische Version der IEC 61508 zur Standardisierung der funktionalen Sicherheit von Automobilelektronik. Nach der Norm ISO 26262 werden Sicherheitsrisiken für jede Anwendung separat klassifiziert. Dabei wird zwischen QM (kein Risiko) und ASIL A bis D (geringes bis hohes Risiko) unterschieden. Die Software jeder Anwendung wird dann separat nach dem von unabhängigen Stellen ermittelten Risiko zertifiziert.

Da alle Anwendungen der Interior Domain Integration in getrennten Containern auf einer Plattform untergebracht sind, ist es die Aufgabe des Separationskerns in PikeOS, dafür zu sorgen, dass diese Trennung tatsächlich funktioniert. Die Aufgabe des Kernels besteht darin, eine Umgebung zu schaffen, die sich aus Sicht der einzelnen Anwendungen nicht von einem physisch getrennten System unterscheidet. Die zeitliche und räumliche Partitionierung sorgt dafür, dass jede Anwendung autonom ist und die anderen Anwendungen nicht "sieht". Sie nutzt nur die Hardware-Ressourcen, die ihr vom Separationskernel ausdrücklich zugewiesen wurden. Dazu gehören Speicherbereiche, Ressourcen und Anwendungssätze zu genau festgelegten Zeiten. Die Inter-Partition-Kommunikation steuert den Informationsfluss mit anderen Anwendungen über feste Kanäle und beschränkt die Kommunikation auf bekannte und akzeptierte Instanzen.

Die integrierte Plattform von Continental kann mehrere Anwendungen beherbergen, die nach funktionalen Sicherheitsstufen klassifiziert sind: Unkritisch (unsicher) bis hochkritisch (sicher). Der PikeOS Separationskernel trennt diese voneinander, so dass sie sich nicht gegenseitig sehen und stören können. Alle Anwendungen werden entsprechend ihrer individuellen Kritikalität zertifiziert. Auch PikeOS selbst muss diese Sicherheitskriterien einhalten. Das heterogene Gesamtsystem erfüllt somit die in der ISO 26262 definierten Anforderungen an die funktionale Sicherheit. Wenn beispielsweise ein unkritisches Multimediasystem, das auf Android läuft, einen Fehler verursacht und abstürzt, wird dadurch ein hochpriores, kritisches Assistenzsystem nicht beeinträchtigt. Stattdessen läuft das kritische Assistenzsystem normal weiter.


Überwindung von Schwachstellen durch Sicherheitsregeln

Je mehr Unterhaltungs- und Infotainment-Elektronik im Fahrzeug Einzug hält, desto anfälliger ist die integrierte Plattform für böswillige Angriffe und gezielte Manipulationen. Aus diesem Grund ist es wichtig, IT-Sicherheitsregeln (Security) für Anwendungen im Auto zu definieren, die von der zugrunde liegenden Systemsoftware unterstützt werden müssen.

Zu diesem Zweck gibt es seit langem das Konzept der "Multiple Independent Levels of Security" (MILS), das seinen Ursprung in militärischen Anwendungen hat. MILS gliedert Systeme in drei horizontale Ebenen mit unterschiedlichen Rechten und Stufen der Vertrauenswürdigkeit.

Die unterste Ebene wird von der Hardware mit anderen Plattform- und Sicherheitsmodulen gebildet. Ebene 2 enthält den Separationskern, der die gesamte Kommunikation im System kontrolliert und den verschiedenen Anwendungen Rechenzeit und Speicherzugriff zuweist. Nur der Separationskern verfügt über Hardware-Zugriffsprivilegien (Kernel-Modus) und gilt als vertrauenswürdig in Bezug auf die Sicherheit (Trusted). Alle anderen Module der Systemsoftware auf der zweiten Ebene gelten ebenfalls als vertrauenswürdig, haben aber keine Hardware-Zugriffsprivilegien. Diese Methodik hilft bei der Konfiguration, Organisation und Überwachung der Funktionalität des gesamten Systems. Alle Anwendungen werden der dritten Ebene zugeordnet, gelten als nicht vertrauenswürdig (untrusted) und laufen im Benutzermodus.

Der PikeOS Hypervisor unterstützt eine Systemarchitektur für Interior Domain Integration, die eine Kombination von heterogenen Softwareanwendungen in separaten Containern auf einer einzigen Plattform ermöglicht. Der Separationskernel in PikeOS ermöglicht eine strikte Trennung der Anwendungen. Er bietet Sicherheitsfunktionen, die die Gesamtsicherheit des Automobilsystems gewährleisten, und ermöglicht die Integration von Automobil- und Unterhaltungselektronik sowie Infotainment.

Mehr Informationen unter www.sysgo.com/pikeos

  • Next

    A Modular Train Control System through the Use of certified COTS HW/SW and qualified Tools Read more
PikeOS RTOS & Hypervisor

PikeOS
RTOS & Hypervisor

Learn more

PikeOS for MPU

PikeOS for MPU

Learn more

ELinOS Embedded Linux

ELinOS
Embedded Linux

Learn more

Need more Information?


Contact us