Startseite > Messen + Testen > Testsysteme > Adaptive AUTOSAR im Fokus der Sicherheit

Systemdesign / Safety&Security

Adaptive AUTOSAR im Fokus der Sicherheit

15. April 2019, 16:00 Uhr | M.Sc. Bogdan Gradinaru, Safety Expert CROWN Gabelstapler

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 4

Verifikationspunkte I

Mindestens drei Aspekte sind bei adaptive AUTOSAR als sicherheitsrelevant anzusehen:

die Manifestdatei, in der Sicherheitskonfigurationen mit der Entwurfsphase hinterlegt werden
das serviceorientierte Kommunikationsprotokoll, da sein Determinismus unbestimmt ist
die Middleware/ARA, die Schnittstellen zu unterschiedlichen Programmiersprachen erzeugt

Hinzu kommt ein Konzept zur Bewältigung des hohen Grades der Anwendungsintegration, wie es das zweite AUTOSAR-Ziel ausdrückt. Dies bedeutet ein Konzept für die Multithreading- oder Parallelausführung sowie Schutz durch die Trennung oder Isolierung von Anwendungen.

Ein letzter wichtiger Sicherheitsaspekt für adaptives AUTOSAR ist die Spezifikation einer zentralen Software-Komponente für Plattform-Management. Sie sollte Zustandsüberwachung aber auch Fehlererkennungs- oder Korrekturmechanismen handeln. Diese Aspekte werden im Folgenden weiter ausgeführt.

Die Konfigurationsdatei ist ein zentraler Punkt um Beschränkungen zur Systemsicherheit anzuwenden. Während der Entwurfsphase können in der Manifestdatei, enorm viele kritische Merkmale definiert werden. Darüber hinaus verlangt adaptives AUTOSAR lediglich POSIX-Konformität.

Das Manifest für einen solchen OS-Funktionscluster muss wichtige Sicherheitseinschränkungen spezifizieren: beispielsweise die Ablaufplanung, Interrupts oder verschiedene zu verwaltende OS-Dienste, Betriebssystem-Hooks, Semaphoren oder Alarme, vertrauenswürdige und verdächtige OS-Prozesse, Synchronisierung des Zugriffs auf gemeinsame Ressourcen und die Kommunikation zwischen den Prozessen. Das Kommunikationsprotokoll kann bei der Diensterkennung ebenso im Manifest eingeschränkt werden. Die Diensterkennung bezeichnet dabei die Bindung eines Service-Nehmers an den Anbieter. Sicherheitsrelevante und zeitkritische Dienste können mit einer Konfiguration direkt abgebildet werden: vorausgesetzt, dass sie auf dem spezifischen ECU verfügbar sind. Diese Leistungsbindung in der Entwurfsphase wird als "geplante Dynamik" (planned dynamics) bezeichnet.

Die Middleware-Technologie, zur Erzeugung der Schnittstellen in der infrastruktur-gerechten Programmiersprache, nimmt ebenfalls Auswirkungen. Die Programmiersprache ist wesentlich für die Sicherheit. Die Beschränkung auf Programmierfunktionen, ohne fehleranfällige oder mehrdeutige Konstrukte, ist ein wichtiger Aspekt. API-Signaturbeschreibungen, nämlich die zu verwendenden Datentypen und Rückgabewerte, das Ausnahme-Management oder die Verwendung von Namensräumen (namespaces), sind weitere Aspekte einer Schnittstellenbeschreibung. Dazu definiert adaptives AUTOSAR eine umfassende C++-Codierrichtlinie, die AUTOSAR_RS_CPP14Guidelines-Spezifikation.

Auch hochleistungsfähige Vielkern-Plattformen fordern entsprechende Richtlinien der Parallelverarbeitung und des Multi-Threadings. Das leistet zunächst die Spezifikation AUTOSAR_EXP_ParallelProcessingGuidelines. Das Ausführungs-Management als adaptiver Funktionscluster beschreibt AUTOSAR_SWS_ExecutionManagement. Es definiert ein Konzept für synchrones Ressourcenmanagement in einer Vielkern-Umgebung. Der Funktionscluster "Platform Health Management" ist der zentrale Ort, an dem der Ablauf der Programmausführung gesteuert wird, ähnlich wie es der Software-Watchdog in klassischem AUTOSAR realisiert hat. Die bestehende klassische Plattform bietet also ein sehr detailliertes, umfassendes und gut strukturiertes Set für Fehlererkennungs- und Handhabungsmechanismen.