Segurança funcional e certificação contínua no Linux

O setor automobilístico vem evoluindo rapidamente à medida que as tecnologias avançam permitindo que novas metodologias criem veículos definidos por software.

Como parte dessa evolução, as tecnologias open source podem ajudar a indústria a reduzir custos e continuar desenvolvendo ideias inovadoras. No entanto, os requisitos de segurança funcional fazem com que isso não seja uma tarefa simples para o setor automotivo. Entender o que é segurança funcional e como ela deve moldar uma certificação contínua é apenas o primeiro passo na direção de compreender como as tecnologias open source podem alterar a indústria automobilística.

Segurança funcional é um conceito que se aplica à várias indústrias, incluindo a automobilística. Ela se baseia no conceito de que, se um sistema tiver que falhar, ele deve fazê-lo da maneira mais previsível possível. Dessa forma, a falha pode ser planejada e os danos causados minimizados.

Segurança funcional não é tentar criar um sistema à prova de falhas. Este é um objetivo admirável, mas está fora do escopo do conceito.

A segurança funcional é implementada ao:

• Identificar todos os pontos em que a ferramenta avaliada exige um sistema de segurança, quando executada no seu contexto normal de uso.
• Avaliar a redução de risco oferecida por essa função de segurança.
• Garantir que a função de segurança funciona.
• Realizar verificações periódicas para garantir que a função de segurança continua funcionando.

No caso específico de dispositivos eletrônicos em veículos, a segurança funcional significa que todos os componentes eletrônicos, incluindo dispositivos de computação, estão livres de riscos injustificados quando operados no contexto normal de uso e atendem aos requisitos da ISO 26262, conforme definido pela Organização Internacional de Normalização. Isso leva à próxima pergunta:

O que é a ISO 26262?

A ISO 26262 é uma norma internacional que aborda a segurança funcional de sistemas elétricos e eletrônicos em veículos automotores. Ela é uma adaptação da norma de segurança funcional IEC 61508, publicada pela Comissão Eletrotécnica Internacional. Inicialmente, a ISO 26262 abordava somente carros de passeio, mas, em 2018, ela foi ampliada para incluir todos os veículos automotores, exceto ciclomotores.

A ISO 26262 tem como objetivo abordar os possíveis danos causados por sistemas eletroeletrônicos (E/E) de veículos automotores que apresentem falhas. A norma cobre não somente os componentes eletroeletrônicos do veículo, mas também os subsistemas mecânicos relacionados a eles. Portanto, em um veículo, ela abrange muita coisa.

A norma ISO 26262 é baseada em riscos, o que significa que ela avalia qualitativamente possíveis danos e descreve medidas de segurança para mitigar, controlar ou evitar falhas sistemáticas.

O que é uma certificação de segurança funcional?

A certificação de segurança funcional é o processo em que se demonstra proficiência na norma IEC 61508 e em normas específicas, como a ISO 26262. Essas certificações normalmente são oferecidas por associações com grande reputação no setor e comprovam qualificação, conhecimento e experiência.

Quais são os principais desafios relacionados à certificação de segurança funcional?

Para qualquer sistema alegar que atende a uma norma de segurança funcional como a ISO 26262, é preciso haver um órgão independente que certifique o certifique. Esse órgão também pode realizar auditorias de vigilância contínuas para acompanhar e garantir que o sistema mantém o padrão certificado.

Ao tentar obter uma certificação funcional para veículos, um dos desafios é que as normas ISO 26262 foram adaptadas a partir das normas criadas para eletrônicos usados na indústria automobilística nos anos 1970 e 1980.

No caso de sistemas fechados, ao buscar uma certificação, o software é desenvolvido, praticamente, a partir de um ambiente limpo, com foco em manter os elementos existentes fora do sistema para que não causem defeitos. É necessário que os requisitos e as especificações desse sistema sejam compreendidas e seja possível acompanhar atentamente seus requisitos, códigos e cobertura. Já os sistemas open source modernos são feitos de centenas ou milhares de componentes, com muitos projetos diferentes agregados. Embora esses projetos tenham abordagens de desenvolvimento de software semelhantes, eles não são idênticos. E essas diferenças aumentam conforme o projeto se torna mais complexo.

As normas ISO 26262 se baseiam em uma filosofia que não contemplava componentes prontos para uso encaixando-se para criar um todo novo e diferente. E isso atrapalha o processo de certificação.

No caso de um framework complexo como um sistema operacional automotivo, o processo de certificação de um sistema completo pode levar de três a cinco anos. E se houver qualquer modificação na configuração, pode levar meses para que essa modificação seja certificada. O processo completo pode exigir uma incrível quantidade de recursos, uma vez que será preciso iniciar um novo processo de certificação a cada alteração de pequenos componentes do sistema geral.

Portanto, para que um sistema operacional open source para veículos tenha sucesso, especialmente os baseados no Linux, é necessário que criemos um novo paradigma: um processo de certificação de segurança funcional contínuo.

Um dos maiores desafios da segurança funcional são as mudanças na gestão.

Atualmente, quando existe uma certificação de segurança funcional, ela se aplica a uma configuração de software específica em um hardware específico, e está sujeita às condições e hipóteses aprovadas e documentadas. E, se houver uma vulnerabilidade de segurança ou novos requisitos forem apresentados, a certificação precisará ser refeita. Com os métodos tradicionais, o esforço para uma nova certificação é significativo, mesmo para pequenas mudanças.

O objetivo da certificação de segurança funcional contínua é minimizar o custo e a duração da nova certificação. Assim, os sistemas em vigor podem ser constantemente certificados, com uma frequência semelhante a das atualizações de software para corrigir problemas ou adicionar funcionalidades.

Com essa nova validação, o processo de certificação se tornaria parte do processo de atualização do software, reduzindo o esforço e o custo de realizar constantes novas certificações para as montadoras. Desse ponto de vista, a padronização com um sistema operacional open source baseado no Linux daria aos fabricantes de automóveis a capacidade de realizar atualizações com mais velocidade e menos recursos.

No entanto, colocar em prática um processo de certificação de segurança contínua exige grande esforço de engenharia e pode envolver mudanças no processo de certificação ISO 26262.

Red Hat In-Vehicle Operating System

O Red Hat In-Vehicle Operating System é uma extensão do Red Hat Enterprise Linux para a indústria automobilística, com o objetivo de oferecer uma plataforma funcionalmente segura para inovação. O Red Hat In-Vehicle Operating System vem se estabelecendo como o novo padrão para veículos definidos por software. A General Motors concorda e já escolheu o Red Hat In-Vehicle OS como a base para seu sistema computacional da próxima geração.

Adotar o software open source como um componente essencial dos veículos da próxima geração pode ajudar os fabricantes de veículos a inovar mais rápido e aprimorar a experiência do cliente. O Red Hat In-Vehicle Operating System tem como objetivo oferecer suporte a veículos definidos por software por meio da utilização do Linux nos sistemas automotivos essenciais à segurança, acelerando o desenvolvimento, reduzindo custos e gerando oportunidades de criar novos serviços e fluxos de receita.

Mas, como mencionamos, essa abordagem tem seus obstáculos, e as dificuldades com a segurança funcional devem ser resolvidas. Esses pilares são o foco dos esforços de liderança da Red Hat para padronizar e codificar a segurança funcional contínua e tornar o Red Hat In-Vehicle Operating System possível.

O que é a exida, e por que a Red Hat fez parceria com ela?

A exida é líder em segurança funcional em diversos setores. Fundada em 2000, a empresa é especializada em segurança de sistemas automotivos, gerenciamento de alarmes, cibersegurança e disponibilidade. A Red Hat se uniu à exida para criar um sistema operacional Linux evolutivo e com certificação de segurança funcional para a indústria automobilística. Nessa parceria, a Red Hat é responsável pelo desenvolvimento e manutenção e a exida pela certificação contínua.

Conquistar a certificação de segurança funcional é um trabalho complexo, e fazer isso aplicando a filosofia open source requer visão e estratégia.

O futuro de veículos definidos por software

O futuro da experiência de dirigir se abrirá para uma onda de inovação quando houver mais soluções open source e baseadas em Linux disponíveis para automóveis. A Red Hat leva muito a sério sua posição de líder no desenvolvimento do futuro da segurança funcional contínua no setor automotivo, uma vez que este é, também, o futuro dos veículos definidos por software em geral.
Mais informações sobre o Red Hat’s In-Vehicle Operating System.