Entwicklungsprozess für funktional sichere Steuergeräte
Rundherum sicher
Fortsetzung des Artikels von Teil 1
Funktionen mit AUTOSAR sicher abgrenzen
Feste Regelwerke und bewährte Entwicklungswerkzeuge sind die Basis. Doch natürlich sind auch im konkreten Steuergerät Vorkehrungen zu treffen, damit sich Fehler nicht ausbreiten und zur Sicherheitsbedrohung werden können. AUTOSAR bietet hierfür eine Grundlage. In der AUTOSAR-Systemsicht ist ein Steuergerät eine Rechenplattform, die sich Entwickler zum Durchsetzen der Sicherheitsziele zunutze machen. Beispielsweise indem sie Software per Hardware Support daran hindern, auf Speicher anderer Software-Funktionen zuzugreifen. Im Ernstfall bleiben Fehler so lokal begrenzt und andere sicherheitsrelevante Software-Applikationen unbeeinträchtigt.
Mechanismen wie diese Memory Protection oder die in AUROSAR ebenfalls vorgesehene Timing Protection setzen eine Projektkonstellation voraus, in der die unterschiedlichen Beteiligten ihre Software-Komponenten als Quell- oder Objektcode offen legen. Ist diese Transparenz nicht gegeben, etwa weil direkte Wettbewerber im Projekt zusammenarbeiten, sind andere Methoden gefragt. ETAS hat dafür den Hypervisor RTA-HVR entwickelt. Er erlaubt es, ein Steuergerät in mehrere strikt voneinander getrennte virtuelle Steuergeräte zu partitionieren. Sicherheitsrelevante Funktionen sind damit komplett voneinander abgeschottet. Die Kommunikation zwischen den Partitionen des Steuergerätes bleibt mit dem Hypervisor möglich, erfolgt aber wie beim Austausch zwischen verschiedenen Steuergeräten über definierte Schnittstellen und nach vorab von den Entwicklern festgelegten Regeln.
Technische und organisatorische Partitionierung
Der Vorteil der Partitionierung liegt in der technischen und organisatorischen Trennung. Teams unterschiedlicher Unternehmen an verteilten Standorten können unabhängig voneinander Software entwickeln, die später abgeschirmt auf ihrer abgetrennten Partition läuft. Gegenseitige Einsicht in Codes im Frühstadium der Software ist dabei nicht nötig.
Diese verteilte, jeweils voneinander abgeschirmte Entwicklung kann jedoch nur zum Ziel einer funktional sicheren Gesamt-Software führen, wenn der Steuergerätehersteller den Prozess koordiniert, überwacht und die Integration übernimmt. Als Verantwortlicher für die funktionale Sicherheit kommt ihm die Aufgabe zu, die Teams über den gesamten Entwicklungsprozess hinweg auf die gemeinsamen Sicherheitsziele und -standards einzuschwören. Das setzt klare Zuständigkeiten voraus. Schon eingangs des Projekts wird vereinbart, welcher Entwicklungspartner wann welche Nachweise für die funktionale Sicherheit erbringen muss und wie diese Nachweise jeweils zusammengeführt werden. Der Steuergerätehersteller erhält von seinen Zulieferern getestete Software-Komponenten samt Dokumentation, um damit den Gesamtnachweis der Sicherheit zu erbringen.
Jobangebote+ passend zum Thema
Umsichtige Projektsteuerung
Der Steuergerätehersteller muss nicht nur mit den Beteiligten klären, welchen Beitrag er von ihnen zur Umsetzung des Gesamtsicherheitskonzepts erwartet. Er muss sie auch über die Vorannahmen zu allen anderen Komponenten auf dem Laufenden halten. Denn diese müssen in der Entwicklungsphase ständig validiert, plausibilisiert und nachjustiert werden. Dieser Aufwand zahlt sich jedoch aus. Denn wenn alle Beteiligten die an sie gestellten Anforderungen auf Basis einer gemeinsamen Sicherheitsphilosophie erfüllen, wird der abschließende Testaufwand reduziert.
Wenn die Lieferanten die Plausibilität der Annahmen überprüfen und die Reaktion ihrer Software-Komponenten auf fehlerhafte oder zum falschen Zeitpunkt eingehende Daten testen, kommt beim Steuergerätehersteller bereits robuste Software an, die dieser dann umso leichter zum Gesamtsystem zusammenführen kann. Als Projektsteuerer hat er es in der Hand, den Prozess eng entlang der vorab definierten Sicherheitsziele zu führen und die Umsetzung in Assessments und Audits bei seinen Lieferanten zu überwachen. Die Erfahrung zeigt, dass solche Überprüfungen oft unterschiedliche Interpretationen von Sicherheitszielen, Vorannahmen und Normen zu Tage fördern, die bei zu später Entdeckung teuren Korrekturbedarf auslösen. Genau darum sind die Überprüfungen fest in der Sicherheitsnorm ISO 26262 verankert.
Umfassende Lösungen
Wo es gelingt, Expertise in der Steuergeräteentwicklung, bewährte Werkzeuge einer normgerechten Entwicklung sowie moderne Methoden wie die virtuelle Validierung durch Modell-, Software- und Hardware-in-the-Loop-(MiL-, SiL- oder HiL-)Tests zusammenzuführen, lässt sich die funktionale Sicherheit von Steuergeräte-Software sicherstellen. Die Experten von ETAS bieten hierfür Werkzeuge, Services und Consulting an. So stehen Entwicklern und Applikateuren von Steuergeräte-Software umfassende Lösungen für alle Entwicklungsschritte zur Verfügung, mit denen sie die Tests jeweils exakt dem Stand ihrer Software anpassen können. Funktions- und Sicherheitstests von Teilmodulen sind ebenso umsetzbar wie Tests von Gesamtsystemen mit Steuergerät, Datenbussen, Stromnetz und Peripherie. Das ermöglicht die Beherrschung des immer komplexer werdenden Entwicklungsprozesses von Steuergeräten sowie speziell der entsprechenden Software.
Damit das auch in kollaborativen, über verschiedene Standorte und Unternehmen verteilten Projekten gelingt, ist umsichtige Projektsteuerung unabdingbar. Im Umfeld von AUTOSAR gibt der Hypervisor ETAS RTA-HVR die Möglichkeit, Funktionen sicher gegeneinander abzugrenzen, ohne alle Details offenzulegen. Denn er erlaubt die Partitionierung von Steuergerät und Organisationen. Die Bedatung kann mit unabhängig voneinander entwickelten Software-Komponenten und -funktionen erfolgen, die dann auch im Fahrbetrieb abgeschottet voneinander arbeiten. So lassen sich sicherheitsrelevante Funktionen gegen jeden Eingriff von außen abschirmen. Tritt im Lebenszyklus des Fahrzeuges doch ein Fehler auf oder wird Schad-Software ins vernetzte Fahrzeug eingeschleust, ist die Störung zudem auf die einzelne Partition begrenzt; das ermöglicht es, die Sicherheit der Fahrzeuginsassen auch im Worst Case zu gewährleisten. Denn schließlich vertrauen wir ihr alle unser Leben an.
Der Autor
| Dr. Simon Burton |
|---|
| studierte Informatik an der University of York, an der er auch über das Thema „Verifikation und Validierung von sicherheitskritischen Systemen“ promovierte. Seine Erfahrungen als Berater kommen aus zahlreichen Industriezweigen, wie Automotive, Telekommunikation sowie Luft- und Raumfahrt. Seit Anfang 2012 ist er Director Global Embedded Software Services bei der ETAS GmbH in Stuttgart. Dieser Bereich bietet unabhängig von den ETAS-Werkzeugen Beratungs- und Entwicklungsdienstleistungen an. |
- Rundherum sicher
- Funktionen mit AUTOSAR sicher abgrenzen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
ITK Engineering
Kombiniertes Testen ermöglichen
Architekturen und Degradationsmechanismen für…
Auf alles vorbereitet sein
ETAS
Interaktive Dokumentation erleichtert Steuergeräte-Applikation
Professor Ferdinand Porsche Preis
Innovatives Airbag-System für Motorradfahrer
Conti TechShow 2015:
Was unsere Autos in Zukunft können werden
Basisseminar
Einführung in die Welt der Funktionalen Sicherheit
