Das Ende der
Unübersichtlichkeit
Systemarchitektur im Zeitalter des Internets der Dinge
Die Automobilindustrie und ihre Zulieferer bereiten Autos auf das Internet der Dinge vor. Dabei setzen sie auf Architekturen, die eine höhere Integration der Funktionen und ihre Vernetzung nach außen ermöglichen. Auf der Embedded World 2014 stellte der Automobilzulieferer Continental die ‚Interior Domain Integration‘ vor, eine integrierte Plattform für das vernetzte Fahrzeug. Das System basiert auf dem echtzeitfähigen Hypervisor PikeOS.
(Bild: Sysgo AG)
Die Luftfahrtindustrie hat es vorgemacht. Schon in den 90er Jahren wurde mit der ‚Integrated Modular Avionics‘ die Elektronik im Flugzeug revolutioniert. Individuelle Steuergeräte wurden erstmals in der Boeing 777 und im Airbus A380 auf zentralen Plattformen zusammengefasst, um Energie, Platz und Gewicht zu sparen. Die Automobilelektronik steht vor ähnlichen Herausforderungen. Auch hier gilt es, die ausufernde Zahl der Geräte mit meist kleinen und leistungsschwachen Prozessoren von ihrer isolierten Hardware zu trennen und ihre Funktionen in Software abzubilden. Bis zu 120 Prozessoren pro Fahrzeug und 100 Millionen Zeilen Softwarecode sollen auf einer leistungsfähigen Zentraleinheit zusammengeführt werden. Und wir stehen erst am Anfang der ‚Intelligenz‘ des Autos. Immer neue Multimediaanwendungen, Sicherheitsfunktionen und Assistenzsysteme kommen hinzu, die aus App-Stores dynamisch in der Werkstatt oder gar vom Nutzer selbst geladen werden können. Auch die Mobilfunkindustrie drängt in die Automobilelektronik und erschließt neue Geschäftsmodelle wie Car-to-Go und Versicherungsprämien nach Nutzung und Fahrverhalten.
Die Interior Domain Integration trennt die Applikationen auf dem Hypervisor nach den Kriterien sicher/unsicher und vertrauenswürdig/nicht vertrauenswürdig und weist ihnen unterschiedliche Cores zur Ausführung zu. (Bild: Sysgo AG)
Interior Domain Integration
Continental entwickelt die Interior Domain Integration als zentrale Plattform für vielfältige Funktionen auf Basis des Hypervisors PikeOS. Sie führt Genivi, Autosar, Android und Posix Anwendungen auf einer leistungsfähigen ARM Multi-Core Hardware zusammen und verbindet so Automobilelektronik mit Unterhaltungselektronik und Infotainment. Dadurch entsteht mehr Raum für weitere Applikationen, mehr Flexibilität im Design und eröffnet langfristige Geschäftsmodelle über den Lebenszyklus des Fahrzeugs hinweg. Die damit einhergehenden Sicherheitsprobleme werden gelöst, indem die Anwendungen in der Systemarchitektur nach ihren Sicherheitseigenschaften getrennt werden: nichtvertrauenswürdige Android Apps werden vor der Firewall auf einem separaten Core 4 ausgeführt. Hinter der Firewall kommen vertrauenswürdige, jedoch nicht sicherheitsrelevante Genivi Anwendungen auf Core 2 und 3 zur Ausführung. Die sowohl vertrauenswürdigen als auch sicherheitsrelevanten Posix und Autosar Anwendungen verwenden den Core 1.
PikeOS Systemarchitektur für die Automobilelektronik mit Partitionen für heterogene Softwareanwendungen auf einer zentralen Plattform (Bild: Sysgo AG)
Systemarchitektur einer heterogenen Softwarelandschaft
Der Hypervisor PikeOS ist die Grundlage des neuen Konzepts. Seine Eigenschaften ermöglichen die Zusammenführung einer heterogenen Softwarelandschaft aus bereits vorhandenen und neuen Applikationen nach ihrer jeweiligen Vertrauenswürdigkeit und Sicherheitsrelevanz. Zunächst werden mittels Virtualisierung Container bereitgestellt, die Instanzen unterschiedlicher Gast-Betriebssysteme mit ihren jeweiligen Applikationen (APP) aufnehmen. Für die Interior Domain Integration müssen die Container nun so von einander getrennt werden, das funktionale Sicherheit und Vertrauenswürdigkeit der einzelnen Anwendungen gewährleistet sind.
Funktionale Sicherheit
2011 wurde mit der ISO26262 eine automobilspezifische Variante der IEC61508 veröffentlicht, die als Standard für funktionale Sicherheit der Automobilelektronik gilt. Die Sicherheitsrisiken werden für jede Anwendung separat entsprechend der ISO26262 eingestuft. Dabei unterscheidet man zwischen QM (kein Risiko) und ASIL A bis D (geringes bis hohes Risiko). Die Software jeder Anwendung wird anschließend separat nach dem jeweils festgestellten Risiko von unabhängigen Agenturen zertifiziert. Da sich nun alle Anwendungen der Interior Domain Integration in getrennten Containern auf einer Plattform befinden, muss die Systemsoftware gewährleisten, dass diese Trennung auch wirklich funktioniert. Für diese Sicherheit sorgt der sogenannte Separation-Kernel von PikeOS. Seine Aufgabe ist es eine Umgebung zu schaffen, die sich aus Sicht der einzelnen Applikation nicht von einem physikalisch verteilten System unterscheidet. Zeit- und Raumpartitionierung sorgen dafür, dass jede Anwendung für sich allein steht und die anderen nicht ’sieht‘. Sie nutzt ausschließlich die ihr vom Separation-Kernel explizit zugeteilten Hardwareressourcen wie Speicherbereiche, Ressourcen und Applikationssets zu genau festgelegten Zeiten. Die Interpartition Communication kontrolliert den Informationsfluss mit anderen Anwendungen über festgelegte Kanäle und beschränkt die Kommunikation auf bekannte und akzeptierte Instanzen. Die integrierte Plattform von Continental hostet nun mehrere Anwendungen, deren funktionale Sicherheit von unkritisch (Unsafe) bis sehr kritisch (Safe) eingestuft ist. Der Separation-Kernel von PikeOS trennt sie so voneinander, dass sie sich gegenseitig nicht sehen und nicht beeinträchtigen. Alle Anwendungen sind entsprechend ihrer individuellen Kritikalität zertifiziert. PikeOS selbst muss diesen Sicherheitskriterien ebenfalls entsprechen. Das heterogene Gesamtsystem entspricht damit den Anforderungen der funktionalen Sicherheit nach ISO26262. Wenn nun beispielsweise ein unkritisches Multimediasystem unter Android einen Fehler verursacht und abstürzt, wird dadurch ein hoch-priores kritisches Assistenzsystem nicht behindert, sondern läuft ohne Störung weiter.
Vertrauenswürdigkeit
Ein weiteres großes Feld der Sicherheit der Automobilelektronik ist die Security oder Vertrauenswürdigkeit der Elektronik des Autos. Je mehr Unterhaltungselektronik und Infotainment ins Fahrzeug einzieht, desto anfälliger wird die integrierte Plattform für feindliche Angriffe und absichtliche Manipulationen. Daher werden für Applikationen im Auto auch die Regeln der IT-Security wichtig und müssen von der darunterliegenden Systemsoftware unterstützt werden. Dafür gibt es seit Langem das Konzept der Multiple Independent Levels of Security, kurz MILS. Nach MILS werden Systeme in drei horizontale Ebenen mit unterschiedlichen Rechten und Stufen der Vertrauenswürdigkeit getrennt. Die unterste Ebene bildet die Hardware mit weiteren Plattform- und Security-Modulen. Auf Level 2 befindet sich der Separation-Kernel, der die gesamte Kommunikation im System kontrolliert und Rechenzeit und Speicherzugriffe an die einzelnen Anwendungen zuteilt. Nur er ist für Hardwarezugriffe privilegiert (Kernel Mode) und gilt hinsichtlich der Security als vertrauenswürdig (Trusted). Ebenfalls vertrauenswürdig, jedoch nicht für Hardwarezugriffe privilegiert sind alle weiteren Module der Systemsoftware der zweiten Ebene. Mit ihrer Hilfe wird das Gesamtsystem konfiguriert, organisiert und seine Funktionsfähigkeit überwacht. Alle Applikationen sind der dritten Ebene zugeordnet, die allesamt als nicht vertrauenswürdig (Untrusted) gelten und im User-Mode laufen. Der Hypervisor PikeOS ermöglicht eine Systemarchitektur für die Interior Domain Integration, die eine Zusammenführung heterogener Softwareanwendungen in getrennten Containern auf einer Plattform zulässt. Der Separation-Kernel von PikeOS sorgt für eine strikte Trennung der Applikationen. Er liefert Safety- und Security-Funktionen, die die Gesamtsicherheit des Systems Auto gewährleisten und eine Integration von Automobil- und Unterhaltungselektronik und Infotainment ermöglichen.
