Funktionale Sicherheit und kontinuierliche Zertifizierung auf Linux

In dem Maße, wie Technologien weiterentwickelt werden, um neue und andere Methoden für die Herstellung eines softwaredefinierten Fahrzeugs zu ermöglichen, verändert sich auch die Automobilindustrie rasant.

Im Rahmen dieser Entwicklung können offene Technologien die Branche dabei unterstützen, innovative Ideen voranzutreiben und Kosten zu senken. Dies wird jedoch insbesondere im Automobilbereich durch die Anforderungen an die funktionale Sicherheit erschwert. Um zu verstehen, wie offene Technologien die Automobilindustrie verändern können, müssen Sie zuerst wissen, was funktionale Sicherheit bedeutet und wie sie eine kontinuierliche Zertifizierung der funktionalen Sicherheit beeinflussen könnte.

Funktionale Sicherheit ist ein Konzept, das in vielen Branchen Anwendung findet, einschließlich der Automobilindustrie. Dieses Konzept basiert auf dem Gedanken, dass ein System bei einem möglichen Ausfall so vorhersehbar wie möglich ausfallen sollte. Auf diese Weise kann der Ausfall geplant und der Schaden aufgrund dieses Ausfalls so weit wie möglich minimiert werden.

Funktionale Sicherheit ist nicht zu verwechseln mit dem Konzept, das die Möglichkeit eines Ausfalls vollständig aus dem System auszuschließen versucht. Obwohl dies ebenfalls ein erstrebenswertes Ziel ist, gehört es nicht zum Konzept.

Funktionale Sicherheit wird implementiert durch:

• Identifizieren aller Punkte, bei denen ein Sicherheitssystem erforderlich ist, wenn das zu bewertende Tool in seinem vorgesehenen Kontext eingesetzt wird
• Bewerten der Risikominderung durch diese Sicherheitsfunktion
• Überprüfen, ob die Sicherheitsfunktion greift
• Durchführen von Kontrollen, um zu prüfen, ob die Sicherheitsfunktion auch nach längerer Zeit noch greift

Im speziellen Fall von elektronischen Geräten in Fahrzeugen bedeutet funktionale Sicherheit, dass alle elektronischen Komponenten im Fahrzeug, einschließlich der Computer, bei bestimmungsgemäßem Betrieb keine unangemessenen Risiken bergen und die Anforderungen der ISO-Norm 26262 der Internationalen Organisation für Normung erfüllen. Dies führt uns gleich zur nächsten Frage:

Was ist die ISO-Norm 26262?

Die ISO 26262 ist eine internationale Norm, die die funktionale Sicherheit elektrischer und elektronischer Systeme in Straßenfahrzeugen regelt. Sie ist eine Anpassung der Norm IEC 61508 für funktionale Sicherheit, die von der Internationalen Elektrotechnischen Kommission veröffentlicht wurde. Ursprünglich galt die ISO 26262 nur für Personenkraftwagen, doch im Jahr 2018 wurde sie auf alle Straßenfahrzeuge außer Mopeds ausgeweitet.

Die ISO 26262 befasst sich mit möglichen Schäden, die durch elektronische und elektrische Systeme (E/E-Systeme) in Fahrzeugen verursacht werden, wenn diese versagen. Die Norm gilt nicht nur für die elektrischen und elektronischen Komponenten des Fahrzeugs, sondern auch für die mit diesen Komponenten verbundenen mechanischen Subsysteme. In einem Fahrzeug deckt sie also verständlicherweise eine Menge ab.

Die Norm ISO 26262 ist risikobasiert, d. h. sie bewertet mögliche Schäden qualitativ und skizziert Sicherheitsmaßnahmen, um systematische Fehler abzumildern, zu kontrollieren oder zu vermeiden.

Was ist eine Zertifizierung der funktionalen Sicherheit?

Die Zertifizierung der funktionalen Sicherheit ist der Prozess, bei dem die Leistungsfähigkeit in Bezug auf die Norm IEC 61508 sowie auf spezifische Normen wie ISO 26262 nachgewiesen wird. Diese Zertifizierungen werden häufig von anerkannten Branchenverbänden vergeben und belegen Qualifikation, Wissen und Erfahrung.

Welche Herausforderungen sind mit der Zertifizierung der funktionalen Sicherheit verbunden?

Damit ein System nachweislich einen funktionalen Sicherheitsstandard wie ISO 26262 erfüllt, muss es von einer unabhängigen Stelle zertifiziert werden. Diese Stelle führt auch fortlaufende Überwachungsaudits durch, um sicherzustellen, dass das System seinen zertifizierten Standard weiterhin erfüllt.

Eine der Herausforderungen beim Erwerb einer funktionalen Zertifizierung für Fahrzeuge besteht darin, dass die Normen der ISO 26262 an die Normen angepasst wurden, die in den 1970er und 1980er Jahren für die Elektronik in der Automobilindustrie entwickelt wurden.

Bei der Zertifizierung geschlossener Systeme wird die Software fast wie in einem Reinraum entwickelt (wobei der Schwerpunkt darauf liegt, noch vorhandene Elemente aus dem System herauszuhalten, damit sie keine Fehler verursachen), wobei die Anforderungen und die Spezifikationen klar sind und ein höchstmöglicher Grad an Rückverfolgbarkeit der Anforderungen, des Codes und der Abdeckung besteht. Moderne, offene Systeme bestehen jedoch aus Hunderten oder Tausenden von Komponenten, und dies bei vielen verschiedenen gebündelten Projekten. Diese Projekte haben zwar ähnliche Ansätze für die Softwareentwicklung, sind aber nicht identisch. Die Unterschiede werden umso größer, je komplexer das Projekt wird.

Da die ISO 26262-Normen auf einer Philosophie beruhen, die nicht darauf ausgelegt ist, dass standardisierte Komponenten nahtlos zusammengefügt werden, um ein neues und anderes Ganzes zu schaffen, kommt es zu Engpässen im Zertifizierungsprozess.

Beim derzeitigen Prozess kann die Zertifizierung des Gesamtsystems bei einem komplexen Framework wie einem Kfz-Betriebssystem drei bis fünf Jahre dauern. Selbst die Zertifizierung einer kleinen Konfigurationsänderung kann sehr lange dauern, manchmal sogar fast ein Jahr. Der gesamte Prozess kann unglaublich ressourcenintensiv werden, da ein neuer Zertifizierungsprozess beginnt, wenn sich kleine Komponenten des Gesamtsystems ändern.

Für die Zertifizierung eines wahrhaftig offenen Fahrzeugbetriebssystems, insbesondere eines Linux-basierten Betriebssystems, wird ein neues Paradigma für die Zertifizierung benötigt: ein kontinuierlicher Zertifizierungsprozess für funktionale Sicherheit.

Eine der größten Herausforderungen im Zusammenhang mit funktionaler Sicherheit ist das Change Management.

Derzeit gilt eine Zertifizierung der funktionalen Sicherheit nur für eine bestimmte Softwarekonfiguration auf einer bestimmten Hardware und vorbehaltlich der genehmigten und dokumentierten Bedingungen und Annahmen. Wenn eine Sicherheitslücke auftritt oder wenn neue Anforderungen eingeführt werden, muss die Zertifizierung erneut durchlaufen werden. Mit den herkömmlichen Methoden ist der Aufwand für eine Rezertifizierung selbst bei kleinen Änderungen erheblich.

Mit der kontinuierlichen Zertifizierung der funktionalen Sicherheit sollen die Kosten und die Dauer der Rezertifizierung auf ein Minimum reduziert werden. Dabei werden die bestehenden Systeme fortlaufend zertifiziert, und zwar in einem ähnlichen Tempo, wie Software in der Regel aktualisiert wird, um Sicherheitsprobleme zu beheben oder neue Funktionen hinzuzufügen.

So könnte der Zertifizierungsprozess Teil des Softwareaktualisierungsprozesses werden, was die Belastung durch ständige zeit- und kostenintensive Rezertifizierungen seitens der Automobilhersteller verringern würde. Diese Standardisierung zu einem Open Source-Betriebssystem auf Linux-Basis könnte den Automobilherstellern die Möglichkeit bieten, Updates schneller und mit weniger Ressourcen durchzuführen.

Die kontinuierliche Sicherheitszertifizierung erfordert jedoch einen erheblichen technischen Aufwand, um den Prozess einzuführen und umzusetzen, und kann Änderungen am Zertifizierungsprozess nach ISO 26262 erfordern.

Red Hat In-Vehicle Operating System

Das Red Hat In-Vehicle Operating System ist eine Erweiterung von Red Hat Enterprise Linux für die Automobilindustrie mit dem Ziel, eine funktionssichere Plattform für Innovationen zu bieten. Das Red Hat In-Vehicle Operating System entwickelt sich zu einem neuen Standard für softwaredefinierte Fahrzeuge. General Motors stimmt dem zu und hat das Red Hat In-Vehicle Operating System als Basis für die nächste Generation seiner Computersysteme gewählt.

Die Nutzung von Open Source-Software als wesentlicher Bestandteil der nächsten Fahrzeuggeneration kann den Automobilherstellern zu mehr und beschleunigten Innovationen verhelfen und das Kunden-Erlebnis verbessern. Das Red Hat In-Vehicle Operating System dient der Unterstützung des softwaredefinierten Fahrzeugs durch die Anwendung von Linux auf sicherheitskritische Automobilsysteme, wodurch die Entwicklung beschleunigt, die Kosten gesenkt und Möglichkeiten für neue Services und Umsatzmöglichkeiten geschaffen werden.

Wie bereits erwähnt, birgt dieser Ansatz jedoch manche Herausforderung, und die Probleme in Bezug auf die funktionale Sicherheit müssen behoben werden. Dementsprechend ist Red Hat bestrebt, die kontinuierliche funktionale Sicherheit zu standardisieren und zu kodifizieren, um das Red Hat In-Vehicle Operating System zu realisieren.

Was ist exida, und warum arbeitet Red Hat mit exida zusammen?

exida ist ein führendes Unternehmen im Bereich der funktionalen Sicherheit in verschiedenen Branchen. Das im Jahr 2000 gegründete Unternehmen ist auf die Sicherheit von Automobilsystemen, Alarmmanagement, Cybersicherheit und Verfügbarkeit spezialisiert. Red Hat arbeitet im Rahmen des Projekts mit exida zusammen, um ein im Bereich funktionaler Sicherheit zertifiziertes, sich weiterentwickelndes Linux-Betriebssystem für die Automobilindustrie bereitzustellen, das von Red Hat entwickelt und gemanagt und von exida kontinuierlich zertifiziert wird.

Das Erreichen einer Zertifizierung für funktionale Sicherheit ist natürlich nicht ganz einfach und erfordert eine andere Denkweise und Strategie, wenn es um Open Source geht.

Die Zukunft von softwaredefinierten Fahrzeugen

Die Zukunft des Fahrens wird schon bald einen Innovationsschub erfahren, sobald offene, Linux-basierte Lösungen im Automobilbereich verfügbar sind. Red Hat setzt sich für die zukünftige Entwicklung der kontinuierlichen funktionalen Sicherheit im Automobilbereich ein, die auch die Zukunft des softwaredefinierten Fahrzeugs im Allgemeinen darstellt.
Weitere Informationen zum Red Hat In-Vehicle Operating System.