Schwerpunkte

Sicher per Funk

Over-The-Air-Updates für Steuergeräte

08. Juni 2021, 08:30 Uhr   |  Autor: Osvaldo Romero, Redaktion: Irina Hübner

Over-The-Air-Updates für Steuergeräte
© NXP | elektroniknet.de

Over-the-Air-Updates sind inzwischen Standard. In sicherheitskritischen Anwendungen wie im Automotive-Sektor muss ihr Einsatz jedoch mit großer Sorgfalt erfolgen. Ein zuverlässiger Betrieb während des Updates und durchgängige Sicherheit lassen sich durch speziell dafür ausgelegte Hardware erreichen.

Die Funktionalität von Elektronikprodukten wird überwiegend durch Embedded-Software definiert. Heute ist es üblich, diese Funktionalität auch nach der Auslieferung und Inbetriebnahme eines Produkts durch Software-Updates über eine Kommunikationsschnittstelle zu erweitern und zu ergänzen. In der Regel erfolgt das per Fernzugriff auf das Produkt, oft als Over-the-Air-Update (OTA) bezeichnet.

Zunächst ist es wichtig, den Unterschied zwischen Software-Updates und neuer Software, zum Beispiel einer Anwendung oder App zu verstehen. Apps sind als verpackte Programme konzipiert, die von der Host-Software ausgeführt werden, ohne die Gesamtfunktion des Produkts zu verändern. Software-Updates hingegen verändern die Funktion des Produkts grundlegend. Führt eine App dazu, dass das Produkt nicht mehr funktioniert, wird es in der Regel durch einen Neustart wieder voll funktionsfähig. Ist ein Software-Update beschädigt oder enthält es einen Fehler, funktioniert das Produkt möglicherweise nicht mehr. In diesem Fall ist es unwahrscheinlich, dass das Problem durch einen Neustart behoben wird.

Viele Elektronikgeräte für Endverbraucher wie Smartphones, Tablets, Smart-TV-Geräte und Set-Top-Boxen können heute eigenständige Apps ausführen. Eine weitaus größere Zahl vernetzter Geräte, die nicht für die Ausführung eigenständiger Apps ausgestattet ist, akzeptiert jedoch OTA-Updates für die Software. Das ist auch bei vielen Produkten aus den Bereichen der Industrie, Medizintechnik und Automobilbranche der Fall. Diese hochzuverlässigen Anwendungen müssen den Komfort von OTA-Updates gegenüber den möglichen Risiken einer dauerhaften Deaktivierung eines Geräts (Bricking) abwägen.

 Die Komponenten der OTA-Architektur

Um zu vermeiden, dass ein Gerät durch ein fehlgeschlagenes OTA-Update lahmgelegt wird, müssen Entwickler mögliche Fehlerquellen identifizieren und minimieren. Dafür erstellen sie eine Architektur auf Systemebene mit drei Hauptkomponenten: Die Telematikeinheit kommuniziert mit dem Server, der das Update bereitstellt. Das Gateway oder ein Manager übernimmt dann den lokalen Empfang und die Verteilung des Updates. Der Client ist schließlich die Komponente, die mit dem Update ausgestattet wird.

Die Automobilbranche ist ein hervorragendes Beispiel für hochzuverlässige Anwendungen. Bei der Umsetzung von OTA-Updates muss hier ein strenger Prozess eingehalten werden. Es darf kein Szenario auftreten, bei dem ein Steuergerät (ECU) während oder nach einem OTA-Update funktionsunfähig werden könnte. Sicherheit ist entscheidend und muss in jeder Phase des Prozesses sichergestellt werden. Dies setzt auch eine Verschlüsselung und Authentifizierung mit Schlüsseln und Zertifikaten voraus, die sicher und manipulationsgeschützt gespeichert sind (Bild 1).

OTA-Architektur, wie sie in einer Automotive-Umgebung zum Einsatz kommen kann
© NXP

Bild 1. OTA-Architektur, wie sie in einer Automotive-Umgebung zum Einsatz kommen kann.

Grundsätzlich beinhaltet der empfohlene Ablauf eines OTA-Updates, dass die Telematikeinheit zunächst über ein neues Software-Update informiert wird. Die Einheit authentifiziert anschließend die Quelle und stellt eine sichere Verbindung zum Server her, um die Datei herunterzuladen. Nach dem Empfang übergibt die Telematikeinheit die Software an das Gateway/den Manager, um sie für den Client vorzubereiten. In den meisten Fällen kann der Client, zum Beispiel eine ECU in einer Automotive-Anwendung, das Update selbst installieren, indem er die in seinem nichtflüchtigen Speicher abgelegte Software überschreibt oder ersetzt.

Für sicherheitsrelevante Anwendungen ist dies der wichtigste Teil des OTA-Prozesses. Dabei wird das Update entweder im laufenden Prozess installiert oder in einer Phase, in der der Client nicht im Betrieb ist. In jedem Fall muss der Prozess sorgfältig durchdacht werden.

Seite 1 von 2

1. Over-The-Air-Updates für Steuergeräte
2. Client-basierte Ansätze für OTA-Updates

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

NXP Semiconductors Germany, NXP Semiconductor Netherlands B.V.