Elektronische Systeme moderner Autos wie das Antiblockiersystem sind in der Lage, die Kontrolle über kritische Systeme wie Lenkung und Bremsen zu übernehmen. Das erhöht die Funktionssicherheit, birgt aber die Gefahr eines unbefugten Zugriffs. Zusätzliche IT-Sicherheitsmaßnahmen sind nötig.
Echtzeitanwendungen erfordern deterministische Antwortzeiten, die nur mit Hilfe eines zugrundeliegenden Echtzeitbetriebssystems erreicht werden können. Mit der Secure Automotive Connectivity Platform (SACoP) hat Sysgo ein vollständig integriertes Software-Framework für den sicheren Datenaustausch von vernetzten Fahrzeugen entwickelt. Dies umfasst sowohl die Fahrzeug-zu-Fahrzeug- (V2V-) und Fahrzeug-zu-Infrastruktur- (V2X-)Kommunikation als auch die interne Kommunikation im Fahrzeug. Die Plattform garantiert Informationssicherheit, indem sie die Datenübertragung durch strikte Kapselung und Trennung aller Kommunikationskanäle schützt. Diese Partitionierung wird ergänzt durch einen sicheren Boot-Prozess, ein integriertes Intrusion Detection System (Angriffserkennungssystem) und eine Firewall.
Die Plattform nutzt die Hypervisor-Technologie des Echtzeit-Betriebssystems (RTOS) PikeOS von Sysgo, mit der kritische und nicht-kritische Infrastrukturen gleichzeitig in einem System ausgeführt werden können. Durch seine Ressourcen- und Zeitpartitionierung erfüllt PikeOS alle wesentlichen Determinismus- und Echtzeitanforderungen und bietet die Möglichkeit, funktional sichere Systeme aufzubauen. PikeOS kann auch kleine Programme bis hin zu ganzen Betriebssystemen separat und sicher virtualisieren. Als Typ-1-Hypervisor läuft PikeOS direkt auf der eingebetteten Hardware und macht das Gesamtsystem so leistungsfähig wie möglich. Darüber hinaus unterstützt PikeOS zertifizierbare Multicore-Designs.
Durch die Kombination von Echtzeitfähigkeit und Hypervisor-Funktionalität in PikeOS zur Ausführung von Anwendungen in streng getrennten Partitionen können insbesondere sicherheitskritische Anwendungen ungestört innerhalb eines vorgegebenen Zeitrahmens ausgeführt werden. Die Plattform ist mit der Separation-Kernel-Version 4.2.3 (Build S5577) nach dem Common-Criteria-EAL3+-Security-Standard und dem ISO-26262-Safety-Standard für die Automobilindustrie vorzertifiziert und ist bis ASIL-D zertifizierbar.
Dies bedeutet, dass für die Planung der Softwarearchitektur nur ein Hardwaresystem erforderlich ist, was die Entwicklungs- und Produktionskosten senkt und die Markteinführung beschleunigt. Die Plattform bietet ein flexibles Software-Framework, mit dem Kunden ihre Software-Architektur so gestalten können, dass die Kommunikation und Updates gesichert sind.
Das Gateway, das verschiedene Protokolle (4G/5G) unterstützt, ermöglicht eine breite Palette von Anwendungen, wie Over-the-Air-Updates ohne Besuch einer autorisierten Werkstatt, V2X-Kommunikation, Konnektivität zum Cloud-Backend oder Upload von Wartungsdaten. Software- und Firmware-Komponenten des gesamten Systems werden über eine sichere Kommunikation mittels FIPS-zertifizierter Transport Layer Security (TLS) aktualisiert. Alle Update-Dateien sind digital signiert, um Manipulationen sicher zu verhindern.
Intern ist ein für die Fahrgäste eingerichteter WLAN-Hotspot durch die Firewall der Plattform geschützt. Das fahrzeuginterne Netzwerk (Ethernet, CAN) ist abgetrennt und kann nur über sichere und überwachte Kanäle erreicht werden. Das Gateway unterstützt Virtual Local Area Networks (VLAN).
Die Plattform verwendet einen sicheren Boot-Mechanismus. Kryptografie und Speicherung werden durch ausführbare Binärdateien und Konfigurationsdateien unterstützt, die ebenfalls digital signiert und in einem sicheren Certified File System (CFS) gespeichert sind. Das Netzwerk Intrusion Detection System (IDS) des Gateways befindet sich in einer separaten Partition, die den Netzwerkverkehr überwacht. Die Isolierung verschiedener Anwendungen in einzelnen Partitionen erhöht nicht nur die Sicherheit, sondern vereinfacht auch die Lizenzverwaltung.
Einer der großen Vorteile der Virtualisierung ist, dass neue Funktionen nicht nur bei Modellwechseln, sondern auch bei bereits im Einsatz befindlichen Fahrzeugen möglich sind. In diesem Zusammenhang wächst die Liste der gewünschten Funktionen von Jahr zu Jahr. Dies erfordert in der Regel die Kombination von bestehenden Softwarekomponenten mit völlig neuen und teilweise inkompatiblen APIs (Application Programming Interfaces). Die Aufrechterhaltung einer stabilen Softwarebasis bei gleichzeitiger Berücksichtigung von Endbenutzerwünschen ist eine Herausforderung.
An dieser Stelle kommt die Virtualisierung ins Spiel. Die SACoP-Konnektivitätsplattform lässt sich leicht erweitern, indem eine beliebige Anzahl von Partitionen mit Gastbetriebssystemen hinzugefügt wird, ohne die Sicherheit zu beeinträchtigen. Die Plattform unterstützt die Integration verschiedener Gastsysteme mit zusätzlichen Anwendungen, darunter PikeOS native, POSIX, Linux (generisch über Hardware-Virtualisierung), AGL (Automotive Grade Linux) und ELinOS, Sysgos robuste Embedded-Linux-Distribution.
Die Entwicklung von Embedded-Applikationen für ein partitioniertes System erfordert eine leistungsstarke Cross-Toolchain: Gut konzipierte und einfach zu bedienende Konfigurations-Tools, Remote-Debugging mit OS-Awareness (Thread-Status, virtuelle Adress-Mappings, etc.), Remote Application Deployment und Timing-Analyse-Tools. Mit der Eclipse-basierten Entwicklungsumgebung Codeo bietet Sysgo eine leistungsfähige integrierte Entwicklungsumgebung (IDE) für eingebettete Systeme, die bereits eine breite Akzeptanz unter den Entwicklern genießt und den gesamten Entwicklungszyklus von frühen Simulations-/Emulationswerkzeugen bis hin zu Software-Update-Mechanismen für eingesetzte Systeme abdeckt.
Eine typische Implementierung der SACoP-Plattform besteht zum Beispiel aus einem Telemaco3P-Prozessor von STMicroelectronics und einem R-CAR H3-Board von Renesas. Das Renesas-Board implementiert ein digitales Cockpit-Display auf der Basis von Automotive Grade Linux (AGL) und ein In-Vehicle-Infotainment-System (IVI). Der Telemaco3P-Prozessor ist die Hardware-Basis für das sichere Gateway, das die Verbindung zur Außenwelt herstellt. Er wird auch verwendet, um den Internetzugang für die Tablets und Smartphones der Fahrgäste bereitzustellen. Die Software basiert auf PikeOS in Verbindung mit ELinOS, einer robusten, langjährig unterstützten und automobilgerechten Linux-Distribution von Sysgo.
Franz Walkembach
Ist Vice President Marketing & Alliances bei Sysgo. Er bringt mehr als dreißig Jahre Erfahrung in der Entwicklung eingebetteter Systeme mit, hauptsächlich in den Bereichen Automobil-OEM, Aftermarket und Softwareentwicklung. Vor seiner Tätigkeit bei Sysgo arbeitete er bei Wind River, wo er das Produkt-/Lösungsangebot definierte, die Kundenbedürfnisse identifizierte und den Umsatz/Gewinn für das Automobilproduktsegment unterstützte. Bei Sysgo leitet er die Marketing- und Partnermanagementaktivitäten. Walkembach hat einen Abschluss als Diplomingenieur in Mechatronik und ist in verschiedenen Industriekonsortien aktiv.