Startseite > Automotive > Software + Tools > RTOS und Hypervisor als Basis für das SDV

Maximale Sicherheit fürs Auto

RTOS und Hypervisor als Basis für das SDV

2. Juli 2024, 14:00 Uhr | Autor: José Almeida, Redaktion: Irina Hübner

Die Anforderungen an das Software-Defined Vehicle sind vielfältig. Eine technische Basis eint die Anforderungen jedoch: ein modernes RTOS mit integriertem Hypervisor, in dem sich alle relevanten Komponenten abbilden, sicher miteinander vernetzen und kompatibel betreiben lassen.

▶ Diesen Artikel anhören

Autos, Lastwagen und die meisten anderen Fahrzeuge werden immer mehr zu rollenden Computern. Das gilt für Verbrenner ebenso wie für Elektroautos. Ein Großteil der Innovationen im Automobilsektor basiert auf Software und Elektronik. Autonomes Fahren, Sensoren an vielen Komponenten, Infotainment und virtuelles Cockpit, Assistenzsysteme, Sprachsteuerung, Internetanbindung, Powertrain-Steuerung, beispiesweise für Motor, Kupplung und Getriebe, sowie die Vernetzung von Fahrzeugen erfordern viel Software.

Selbst Lenkung und Bremsen sind in hohem Maße softwaregesteuert und teilweise automatisiert. War Software früher nur nettes Beiwerk, sind moderne Fahrzeuge ohne Software kaum noch funktionsfähig. Die IT im Auto ist mittlerweile ein Hochleistungsrechner. Experten sprechen deshalb auch von Software-Defined Vehicles (SDV).

Jobangebote+ passend zum Thema

Regional Key Account (m/w/d) für Elektronische Bauteile

KOA Europe GmbH, Dägeling

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Sicherheit im SDV ist nicht verhandelbar

Neben Stabilität und Leistungsfähigkeit spielt bei der IT vor allem die Sicherheit eine wichtige Rolle. Das gilt auch und insbesondere für Fahrzeuge. Greifen Cyberkriminelle die Fahrzeugsoftware über Schnittstellen an, besteht nicht nur die Gefahr von Daten- oder Geldverlust, sondern Lebensgefahr. Manipulieren Angreifer die Software in einem modernen Fahrzeug, kann dies zu Fehlfunktionen von Sensoren und damit zum Ausfall wichtiger Funktionen wie Lenkung, Bremsen, Assistenzsystemen, Beleuchtung, Verriegelung oder anderer Komponenten führen. Da moderne Fahrzeuge in vielen Fällen auch über eine WLAN-Schnittstelle und häufig über eine Cloud-Anbindung verfügen, gibt es zahlreiche Einfallstore für Angreifer.

Hinzu kommen die Fähigkeiten der Fahrzeughersteller, über die Cloud die Software im Fahrzeug »Over the Air« zu aktualisieren oder Funktionen zu steuern. Bereits 2017 hat Tesla die Reichweite seiner Fahrzeuge während eines Hurrikans per Fern-Update erhöht. Dies ist nur ein Beispiel für die weitreichenden Möglichkeiten, die über Software in Fahrzeugen gesteuert werden können. Fahrzeuge können per GPS geortet werden und Hersteller sowie Eigentümer können aus der Ferne auf Fahrzeugfunktionen zugreifen. Hierbei entstehen auch Einfallstore für Angreifer und Schadcode, vor denen Fahrzeuge unbedingt abgesichert werden müssen.

Die nächste Evolutionsstufe der Fahrzeugentwicklung

SDVs stellen die nächste Evolutionsstufe in der Fahrzeugentwicklung dar. Heutige Fahrzeuge enthalten Millionen von Codezeilen, weit über hundert softwaregesteuerte Geräte, Anwendungen für Fahrsicherheit und Komfort, Sensoren sowie Dienste und Funktionen, die Fahrzeuge vor Cyberkriminellen schützen müssen. Die Anwendungen im Fahrzeug und natürlich die Fahrzeugfunktionen müssen jederzeit fehlerfrei, leistungsfähig, unabhängig voneinander und sehr sicher funktionieren.

Natürlich ist es wichtig, dass sich die einzelnen Komponenten des SDVs nicht gegenseitig stören. Funktioniert ein Sensor nicht richtig oder ist die Software eines Steuergerätes abgestürzt oder fehlerhaft, darf sich die Beeinträchtigung auf keinen Fall auf andere Komponenten und Softwarebereiche ausbreiten. Dies gilt auch für die Robustheit gegenüber Cyberangriffen. Gelingt es beispielsweise einem Hacker, aus der Ferne in das Multimediasystem des Fahrzeugs einzudringen, darf es ihm nicht möglich sein, von dort aus auf andere Systeme zuzugreifen.

Verfügt ein Fahrzeug über einen WLAN-Hotspot, darf es unberechtigten Personen darüber hinaus nicht möglich sein, die Software im Fahrzeug zu manipulieren. Um diese Anforderungen erfüllen zu können, müssen die Software und das »Betriebssystem« des Fahrzeugs auf maximale Sicherheit, Performance und Stabilität ausgerichtet und optimiert sein – dabei darf es keine Kompromisse geben.

RTOS und Hypervisor als zuverlässige Entwicklungsbasis

In Fahrzeugen werden häufig Real-Time Operating Systems (RTOS) als Betriebssystem eingesetzt. Dafür gibt es verschiedene Gründe. Ein RTOS ist darauf spezialisiert, Aufgaben in speziell de- finierten Zeiträumen zu erledigen. Im Gegensatz zu Betriebssystemen in Computern sind »Hänger« oder langsame Reaktionen in SDVs nicht akzeptabel.

Mehr noch: Ein RTOS muss imstande sein, bestimmte Aufgaben in einer vorher bekannten und festgelegten Zeit auszuführen. Über statische Analysen des Codes können sogenannte Worst-Case Execution Times (WCET) ermittelt werden, die das Mindestmaß für Ausführungszeiten festsetzen. Nur ein deterministisch funktionierendes und hart echtzeitfähiges RTOS kann die Anforderungen an Leistungsfähigkeit, Stabilität und Sicherheit in Fahrzeugen zuverlässig erfüllen.

Wie andere Betriebssysteme sind RTOS Multitasking-fähig, sie können mehrere Aufgaben gleichzeitig ausführen. Im Gegensatz zu herkömmlichen Betriebssystemen, sogenannten General Purpose Operating Systems (GPOS), sind die Zeiten für die Abarbeitung der Tasks jedoch fest definiert und garantiert. Ein RTOS kann Aufgaben priorisieren und die Ressourcen im Fahrzeug so verwalten, dass für dringende Aufgaben immer genügend Leistung zur Verfügung steht.

Virtualisierung in Fahrzeugen so wichtig wie in Rechenzentren

Effiziente RTOS können auf Hypervisoren basieren, die in der Lage sind, Anwendungen ohne Funktionsverlust voneinander zu trennen. Dadurch erhalten Funktionen im Fahrzeug eigene Verarbeitungsbereiche (sogenannte Partitionen), aus denen sie nicht »ausbrechen« können. Es findet eine Virtualisierung der Aufgabe und der dazu notwendigen Hard- und Software statt, ähnlich wie bei virtuellen Computern. Die Vorteile liegen auf der Hand: Auch hier kommt Software zum Einsatz, die maximal sicher, schnell und für den Betrieb im SDV optimiert ist.

Hinzu kommt die Herausforderung, dass bestehende Softwarekomponenten im Fahrzeug mit neuen Schnittstellen kommunizieren müssen. Dabei darf es keine Abstriche bei Leistungsfähigkeit, Stabilität und Sicherheit geben. Hier spielt die Virtualisierung ihre Stärke aus, da sie eine einfache Erweiterung mit beliebig vielen Gastbetriebssystemen ermöglicht. Was in der Unternehmens-IT seit Jahren Standard ist, wird auch im Fahrzeug interessant und wertvoll. Die Virtualisierung bringt eine ungeahnte Flexibilität in das System und bietet gleichzeitig eine Kompatibilität und Sicherheit, die mit Hardware kaum oder zumindest nicht mit vertretbarem Aufwand zu erreichen ist.

Da ein RTOS mit Hypervisor-Funktionalität viele Dienste virtualisiert, also softwarebasiert ausführt, wird deutlich weniger Hardware im Fahrzeug benötigt. Dies reduziert Gewicht, Komplexität, Fehleranfälligkeit und Kosten. Die Aktualisierung der Komponenten kann noch besser per Funk erfolgen. Entsprechende Sicherheitsmaßnahmen sorgen dafür, dass Cyberkriminelle keine Chance haben, die Dienste zu übernehmen. Die neuen, verbindlichen Regularien UNECE R155 und R156 der UN fordern sogar explizit eine Sicherheitsarchitektur für Software im Auto im Allgemeinen und für Gateways im Speziellen. Die Automobilindustrie und ihre Zulieferer wappnen sich gerade hierfür.

Ein weiterer Vorteil virtualisierter Komponenten ist das schnelle Hochfahren von Fahrzeugkomponenten, Bussystemen und anderen Bereichen. Kommunikationsschnittstellen sind schneller verfügbar. Durch den Einsatz von Open Source wie Linux oder Android kommen etablierte Technologien zum Einsatz, bei denen Fehler im Quellcode schnell erkannt und behoben werden können. Vorteilhaft sind auch die geringen Lizenzkosten und die umfangreichen Sicherheitsfunktionen, die bei Linux und Android bereits vorhanden sind.

Ein RTOS für höchstmögliche Sicherheit im SDV

PikeOS ist ein Echtzeit-Betriebssystem (RTOS) von Sysgo. Das RTOS basiert auf einem Typ-1-Hypervisor, der in der Lage ist, andere Betriebssysteme, Laufzeitumgebungen und Anwendungen auf eingebetteter Hardware vollständig zu virtualisieren, unter anderem AUTOSAR Adaptive, Android, Linux, ROS und POSIX. Darüber hinaus ist PikeOS nach ISO 26262 auf dem höchsten Level ASIL-D zertifiziert. PikeOS soll es Unternehmen ermöglichen, zertifizierbare, intelligente Geräte mit hohen Qualitäts- und Sicherheitsstandards zu entwickeln. Mit PikeOS lassen sich Spurhalteassistenten, Hinderniserkennung mittels LiDAR, Rückfahrkamerasysteme, digitale Cockpits/IVI, zentrale Gateways und viele andere sicherheitskritische Anwendungen realisieren.

Einer der wichtigsten Bereiche von PikeOS ist die hohe Cybersicherheit, die diese speziell für den Automotive-Einatz geeignete Lösung bietet. Daher wird das Betriebssystem häufig für sicherheitskritische Systeme in SDVs eingesetzt. Der PikeOS Separation Kernel Version 5.1.3 ist nach Common Criteria (EAL5+) zertifiziert. Dies wiederum ermöglicht eine vergleichsweise bequeme und rasche Zertifizierung nach ISO 21434, was für die Cybersicherheit im SDV künftig unverzichtbar ist.

Bereits der Bootvorgang ist bei diesem RTOS abgesichert und die Kommunikation läuft über Transport Layer Security. Hinzu kommt die Verschlüsselung wichtiger Dateien über das sichere Dateisystem »Certified File System« (CFS). Wichtige Komponenten sind eine integrierte Firewall, ein Intrusion Detection System (IDS) sowie das Management des gesamten Softwarelebenszyklus. Das IDS läuft in einer eigenen, gesicherten Partition des Systems. Dazu gehören eine FIPS-zertifizierte Kommunikation mit Transport Layer Security und digital signierte Updates. Gelingt es einem Angreifer dennoch, in das System einzudringen, bleibt er in der entsprechenden Partition isoliert, alle anderen Funktionen sind abgeschottet.

Sichere Automotive Connectivity Platform für Stabilität im SDV

PikeOS ist für die sichere Datenübertragung in vernetzten Fahrzeugen optimiert. Das RTOS ist Teil der Secure Automotive Connectivity Platform (SACoP). Diese hochsichere Plattform für die Kommunikation zwischen Fahrzeugen ermöglicht den Einsatz verschiedener Netzwerktechnologien, darunter 4G/5G, Wi-Fi, Ethernet und CAN. Die Plattform unterstützt verschiedene Gastbetriebssysteme, darunter Linux beziehungsweise AGL sowie Android. Die gesamte Plattform ist verstärkt darauf ausgerichtet, die kritische fahrzeuginterne Kommunikation sowie die Kommunikation zwischen Fahrzeugen maximal zu schützen.

Generell erlaubt SACoP die sichere Kommunikation von Fahrzeugen zu allen möglichen Systemen. Auch die Performance kommt durch die Multi-Core-Unterstützung nicht zu kurz. PikeOS wird häufig in der Avionik eingesetzt und regelmäßig auf dem höchsten Level nach deren Standards zertifiziert, die mitunter die strengsten Anforderungen an softwareseitige Sicherheit haben. Von diesen hohen Sicherheitsanforderungen profitieren Automotive-Anwendungen ebenso.

PikeOS ist darüber hinaus das erste nach SIL-4 zertifizierte RTOS mit Multicore-Unterstützung. Da im Automobilbereich ständig neue Funktionen hinzukommen und Modellwechsel anstehen, bietet die schlüsselfertige Entwicklungsplattform ein sicheres Gateway. Dieses ist für die Kommunikation mit der Außenwelt zuständig, die ebenfalls schnell, stabil und sehr sicher abgewickelt werden muss. Das Gateway verfügt über ein robustes Routing-System inklusive der bereits erwähnten Firewall und der Intrusion Detection. PikeOS zeigt, was aktuell mit RTOS in SDV möglich ist und wie mit optimierten Komponenten die Sicherheit im SDV trotz hoher Leistung und Stabilität gewährt ist.

Edge2Cloud-Anwendungen in Software-Defined Vehicles

Edge2Cloud-Anwendungen in Software-Defined Vehicles ermöglichen den Austausch von (sicherheitsrelevanten) Informationen zwischen verschiedenen Fahrzeugen. Dabei wird der Vorteil der Datenverarbeitung am Edge genutzt, also genau dort, wo die Daten entstehen. Beim SDV ist dies direkt das jeweilige Fahrzeug beziehungsweise dessen Sensorik. Die analysierten Daten werden dann in die Cloud gesendet, wo sie auch von anderen Fahrzeugen genutzt werden können. Diese können ebenfalls zu den Informationen in der Cloud beitragen.

Ein gutes Beispiel ist die Schlaglocherkennung mit LiDAR-Sensoren. Das Fahrzeug sendet Informationen über Schlaglöcher an einen Host, der daraus eine Karte erstellen kann. Diese Karte wird von anderen Fahrzeugen auf der gleichen Strecke genutzt, die ihrerseits ebenfalls Informationen über Schlaglöcher an den Host senden. So entsteht eine umfassende Karte, von der alle Verkehrsteilnehmer profitieren können. Wichtig ist, dass Edge2Cloud-Anwendungen und das verwendete RTOS das höchstmögliche Maß an Datensicherheit, Datenschutz und Datenqualität gewährleisten. Bestehende Vorschriften und Compliance-Richtlinien müssen unbedingt eingehalten werden.

Edge2Cloud gestattet es darüber hinaus, Fahrzeuge zu überwachen und zu steuern, Updates zu verteilen und sicherzustellen, dass alle Geräte, Komponenten und Sensoren im Fahrzeug optimal funktionieren. Sensible Daten müssen jedoch innerhalb der Grenzen des Fahrzeugs bleiben. Die internationalen Vorschriften für den Umgang mit Daten werden immer komplexer. Daher ist es wichtig, dass das eingesetzte RTOS in der Lage ist, Edge2Cloud flexibel bereitzustellen und gleichzeitig die aktuellen Datenschutzbestimmungen vollumfänglich zu erfüllen.

Das System muss in der Lage sein, wichtige Daten zu erkennen und Datensätze zu anonymisieren, bevor sie in die Cloud gesendet werden. PikeOS ist für den Edge2Cloud-Einsatz prädestiniert, da das RTOS ein Cloud-Set-up mit enormem Speicher- und Rechenpotenzial darstellt. Ein Device-Manager sorgt als zentraler Orchestrator dafür, dass jedes Edge-Gerät optimal funktioniert und die Kommunikationsflüsse so reibungslos wie möglich ablaufen. Der modulare Aufbau der PikeOS Edge Platform ermöglicht zudem spezialisierte Partitionen für unterschiedliche Anwendungen.

Virtualisierung bedeutet Vereinfachung

Entwickeln Unternehmen neue Features für das SDV, lassen sich diese Komponenten mit dem Hypervisor im RTOS virtualisieren und sofort mit den notwendigen anderen Komponenten im SDV verknüpfen. Ohne Virtualisierung würde die Integration neuer Funktionen wesentlich länger dauern, die Prozesse wären komplizierter und auch teurer, da Hard- und Software erst angepasst werden müssten. Ein modernes Fahrzeug wie ein SDV lebt von ständigen Innovationen und Verbesserungen. Das Betriebssystem in diesen Fahrzeugen muss damit Schritt halten können und gleichzeitig sicherstellen, dass Insassen und andere Verkehrsteilnehmer bestmöglich geschützt werden.

Der Autor

José Almeida

ist Director Business Line Automotive bei Sysgo. In dieser Position leitet er ein Team, das für die Entwicklung und Implementierung digitaler Automotive-Lösungen für sicherheitskritische Anwendungen zuständig ist. Almeida war zuvor bei Thales Computers tätig, wo er die Koordinierung aller technischen Pre-Sales-Aktivitäten in Asien, dem pazifischen Raum sowie Nordeuropa verantwortete. Bei einem US-amerikanischen RTOS-Anbieter konnte Almeida zudem Erfahrungen im technischen Support sammeln. José Almeida hat einen Ingenieurabschluss in Elektrotechnik von der Ecole Polytechnique de l’Université de Nantes, Frankreich