Safety-/Security-Software-Architekturen Alles sicher?

Im Fahrzeug dürfen Safety und Security nicht als getrennte Aspekte betrachtet werden.

Funktionale Sicherheit und Security gehen Hand in Hand; weder der ­eine noch der andere Aspekt darf bei der Entwicklung missachtet ­werden. Doch wie lässt sich dem gerecht werden?

Die Anforderungen an die Software-Entwicklung im Automobil wachsen mit der Einführung neuer Technologien wie dem automatisierten Fahren. Dabei steigt die Zahl der Steuergeräte und der Software-Funktionen ebenso wie die Komplexität der einzelnen Funktionen, die immer mehr Fahraufgaben übernehmen. Schätzungen gehen mittlerweile von über 100 Millionen Programmzeilen aus, und ein Premiumfahrzeug kann heute bereits mehr als 100 Steuergeräte beinhalten. Doch wie lassen sich in diesen hochkomplexen Gesamtsystemen sowohl die Anforderungen der funktionalen Sicherheit als auch – besonders im Hinblick auf die zunehmende Vernetzung der Fahrzeuge – der Informationssicherheit erfüllen? Eine hohe Qualität bildet die Grundlage für Software-Entwicklung fürs Automobil und Prozessmodelle wie Automotive SPICE haben sich daher flächendeckend etabliert.

AUTOSAR und funktionale ­Sicherheit

Zu den wichtigsten Bausteinen, mit denen die Industrie diesen funktionalen und nichtfunktionalen Anforderungen begegnet und gleichzeitig die Komplexität zu kontrollieren versucht, gehören entsprechende Software-Architekturen. Eine standardisierte Architektur ist durch AUTOSAR definiert. Sie ermöglicht eine gemeinsame Sprache zwischen Herstellern und Zulieferern. In diesem Rahmen sind nicht nur funktionale Anforderungen an Software-Komponenten festgelegt, sondern auch die Datenformate zur Beschreibung von Applikationen, Schnittstellen und anderen Bestandteilen. Diese Standardisierung ermöglicht auch die mittlerweile häufig eingesetzten Kooperationsmodelle zwischen Endherstellern und einem Ökosystem an Zulieferern. Die verbesserte Zusammenarbeit hat die Wiederverwendung von Software-Komponenten deutlich erhöht und zu einer insgesamt besseren Qualität geführt.

Gleichzeitig steigen die Anforderungen an die funktionale Sicherheit, weil immer mehr aktive oder in die Fahr­dynamik eingreifende Funktionen im Fahrzeug verbaut werden: von Bremsen, zum Beispiel ABS, ESP, oder Lenkung wie EPS bis hin zu aktiven Sicherheitsfunktionen wie Airbags oder eine automatische Notfallbremse, beispielsweise AEB. Solche Systeme sind sicherheitsrelevant, weil ein fehlerhaftes Aktivieren oder ein Ausfall des Systems schwerwiegende Folgen haben kann.

Der Sicherheitsstandard ISO 26262 definiert, wie die Aspekte der funktionalen Sicherheit in der Systementwicklung sowohl auf der Prozessebene als auch auf der Methodenebene umgesetzt werden können. Für Software-Architekturen ist die funktionale Sicherheit ein entscheidender Einflussfaktor. Daher werden Teilaspekte in der Standardisierung bereits beispielsweise durch AUTOSAR gelöst. Grundlegende Integritätsmechanismen wie Überwachung der Systemintegrität, Partitionierung, Zeit- und Ablaufüberwachung oder abgesicherte Kommunikation sind verfügbar und werden bereits in Serienprojekten eingesetzt (Bild 1). Darüber hinaus werden viele system- oder projektspezifische Aspekte der funktionalen Sicherheit individuell betrachtet und gelöst.