Funktionale Sicherheit

Mixed-ASIL-Systeme praktisch realisieren

4. Juli 2013, 11:01 Uhr | Steffen Keul und Dr. Helmut Brock
Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Technisches Sicherheitskonzept

Für das Gesamtsystem muss der Entwickler sicherstellen, dass es die Sicherheitsanforderungen erfüllt. Keine Software-Komponente im System darf dem entgegenstehen. Für Software-Komponenten ohne sicherheitsrelevante Funktionen ist daher die Einhaltung der Rückwirkungsfreiheit die einzige Sicherheitsanforderung.
Die Rückwirkungsfreiheit von Software-Komponenten ist definiert durch drei Eigenschaften:

  • sichere Speicherzugriffe,
  • korrekte zeitliche Ausführung und
  • sicherer Datenaustausch.

Die Rückwirkungsfreiheit einer Komponente lässt sich durch klassische Verifikationsmaßnahmen nachweisen, zum Beispiel durch Code Reviews. Es existieren auch Ansätze, die Rückwirkungsfreiheit der Basis-Software durch einen speziell entwickelten Code-Checker zu überprüfen. Um auch sicher gegen Hardware-bedingte Störungen zu sein, können weitere Maßnahmen in die Software aufgenommen werden.
Ein modernes AUTOSAR-Betriebssystem wie MICROSAR OS SafeContext (Bild 1) bietet den Schutz vor fehlerhaftem Überschreiben von Speicherinhalten. Hierzu werden die funktionalen Gruppen sogenannten Betriebssystem-Applikationen (OS Application) zugeordnet. Jede OS-Applikation bekommt eine eigene Speicherpartition zugeteilt. In einer solchen Speicherpartition liegen neben den Anwendungsdaten auch kontextrelevante Daten wie Stacks und die Inhalte wichtiger Register. Den Zugriff auf diese Speicherpartitionen schützt eine Memory Protection Unit (MPU), die Bestandteil der Mikroprozessor-Hardware ist.

Bild 1. Anordnung der Schutzmechanismen in der Autosar-Architektur.
Bild 1. Anordnung der Schutzmechanismen in der Autosar-Architektur.
© Vector Informatik

Beim Wechsel der laufenden Task oder der Interrupt Service Routine führt das Betriebssystem einen Kontextwechsel durch. Dabei werden die Kontextdaten gesichert und die MPU so umkonfiguriert, dass sie nur noch die Speicherpartition für die nach dem Wechsel aktive Task oder die Interrupt Service Routine freigibt (Bild 2). Dieses Umschalten geschieht nur durch das Betriebssystem und ist sicherheitsrelevant. Daher wurde das AUTOSAR-Betriebssystem MICROSAR OS SafeContext nach ASIL D eingestuft und gemäß dem in der ISO 26262 definierten Prozess für ASIL D entwickelt.

Bild 2. Die MPU in der Hardware schützt die Speicherpartitionen von unberechtigten Zugriffen. Das Umkonfigurieren der MPU erfolgt durch das Betriebssystem.
Bild 2. Die MPU in der Hardware schützt die Speicherpartitionen von unberechtigten Zugriffen. Das Umkonfigurieren der MPU erfolgt durch das Betriebssystem.
© Vector Informatik

  1. Mixed-ASIL-Systeme praktisch realisieren
  2. Technisches Sicherheitskonzept
  3. Vollständiges Absicherungskonzept
  4. Integration von Anwendungs-Software und Betriebssystem
  5. Ausblick
  6. Die Autoren:

Lesen Sie mehr zum Thema


Das könnte Sie auch interessieren

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Vector Informatik GmbH

Weitere Artikel zu Betriebssysteme