Funktionale Sicherheit
2011 wurde mit der ISO26262 eine automobilspezifische Variante der IEC61508 veröffentlicht, die als Standard für funktionale Sicherheit der Automobilelektronik gilt. Die Sicherheitsrisiken werden für jede Anwendung separat entsprechend der ISO26262 eingestuft. Dabei unterscheidet man zwischen QM (kein Risiko) und ASIL A bis D (geringes bis hohes Risiko). Die Software jeder Anwendung wird anschließend separat nach dem jeweils festgestellten Risiko von unabhängigen Agenturen zertifiziert. Da sich nun alle Anwendungen der Interior Domain Integration in getrennten Containern auf einer Plattform befinden, muss die Systemsoftware gewährleisten, dass diese Trennung auch wirklich funktioniert. Für diese Sicherheit sorgt der sogenannte Separation-Kernel von PikeOS. Seine Aufgabe ist es eine Umgebung zu schaffen, die sich aus Sicht der einzelnen Applikation nicht von einem physikalisch verteilten System unterscheidet. Zeit- und Raumpartitionierung sorgen dafür, dass jede Anwendung für sich allein steht und die anderen nicht ’sieht‘. Sie nutzt ausschließlich die ihr vom Separation-Kernel explizit zugeteilten Hardwareressourcen wie Speicherbereiche, Ressourcen und Applikationssets zu genau festgelegten Zeiten. Die Interpartition Communication kontrolliert den Informationsfluss mit anderen Anwendungen über festgelegte Kanäle und beschränkt die Kommunikation auf bekannte und akzeptierte Instanzen. Die integrierte Plattform von Continental hostet nun mehrere Anwendungen, deren funktionale Sicherheit von unkritisch (Unsafe) bis sehr kritisch (Safe) eingestuft ist. Der Separation-Kernel von PikeOS trennt sie so voneinander, dass sie sich gegenseitig nicht sehen und nicht beeinträchtigen. Alle Anwendungen sind entsprechend ihrer individuellen Kritikalität zertifiziert. PikeOS selbst muss diesen Sicherheitskriterien ebenfalls entsprechen. Das heterogene Gesamtsystem entspricht damit den Anforderungen der funktionalen Sicherheit nach ISO26262. Wenn nun beispielsweise ein unkritisches Multimediasystem unter Android einen Fehler verursacht und abstürzt, wird dadurch ein hoch-priores kritisches Assistenzsystem nicht behindert, sondern läuft ohne Störung weiter.
Vertrauenswürdigkeit
Ein weiteres großes Feld der Sicherheit der Automobilelektronik ist die Security oder Vertrauenswürdigkeit der Elektronik des Autos. Je mehr Unterhaltungselektronik und Infotainment ins Fahrzeug einzieht, desto anfälliger wird die integrierte Plattform für feindliche Angriffe und absichtliche Manipulationen. Daher werden für Applikationen im Auto auch die Regeln der IT-Security wichtig und müssen von der darunterliegenden Systemsoftware unterstützt werden. Dafür gibt es seit Langem das Konzept der Multiple Independent Levels of Security, kurz MILS. Nach MILS werden Systeme in drei horizontale Ebenen mit unterschiedlichen Rechten und Stufen der Vertrauenswürdigkeit getrennt. Die unterste Ebene bildet die Hardware mit weiteren Plattform- und Security-Modulen. Auf Level 2 befindet sich der Separation-Kernel, der die gesamte Kommunikation im System kontrolliert und Rechenzeit und Speicherzugriffe an die einzelnen Anwendungen zuteilt. Nur er ist für Hardwarezugriffe privilegiert (Kernel Mode) und gilt hinsichtlich der Security als vertrauenswürdig (Trusted). Ebenfalls vertrauenswürdig, jedoch nicht für Hardwarezugriffe privilegiert sind alle weiteren Module der Systemsoftware der zweiten Ebene. Mit ihrer Hilfe wird das Gesamtsystem konfiguriert, organisiert und seine Funktionsfähigkeit überwacht. Alle Applikationen sind der dritten Ebene zugeordnet, die allesamt als nicht vertrauenswürdig (Untrusted) gelten und im User-Mode laufen. Der Hypervisor PikeOS ermöglicht eine Systemarchitektur für die Interior Domain Integration, die eine Zusammenführung heterogener Softwareanwendungen in getrennten Containern auf einer Plattform zulässt. Der Separation-Kernel von PikeOS sorgt für eine strikte Trennung der Applikationen. Er liefert Safety- und Security-Funktionen, die die Gesamtsicherheit des Systems Auto gewährleisten und eine Integration von Automobil- und Unterhaltungselektronik und Infotainment ermöglichen.
