:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Automotive Safety und Security mit Linux und Open-Source-Software beherrschen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/bf/5fbfdf326d5dd/rti-logo-color-200px.jpg "rti-logo-color-200px.jpg (rti)"){kind=logo}
Die geltenden Sicherheitsanforderungen für die Automobilindustrie schließen den Einsatz von Open-Source-Software aus – oder nicht? Tatsächlich können gutes OSS-Management, eine SEooC-Strategie und bewährte Linux-Pakete helfen, Automotive-Anwendungen schnell, sicher und vor allem günstig zu entwickeln.
Die Softwarekomplexität für Sicherheitsanwendungen in der Automobilindustrie nimmt weiter zu. Die Anforderungen an solche Automobilfunktionen wie Bordnetzmanagement, ADAS-Verbesserungen und autonomes Fahren (SAE-Level 4 und 5 für autonomes Fahren) haben zu branchenweiten Innovationen geführt. Dazu gehören der verstärkte Einsatz von Ethernet, die Ablösung mechanischer Systeme durch Digitaleinrichtungen und komplexe Entscheidungen, die nicht mehr vom Fahrer, sondern von der Software getroffen werden. Gleichzeitig hat der Technologietrend, Systemfunktionen in weniger, aber leistungsstärkeren Mikroprozessoren zu konsolidieren, zu einer erhöhten Abhängigkeit von 64-Bit-Multicore-Prozessoren (mit mehreren CPU-Kernen auf einem Chip) geführt, die mehr Rechenleistung und reduzierte Materialkosten für das Fahrzeug bieten.
Die zusätzliche Komplexität führt zu immer höher entwickelten Softwarearchitekturen, einschließlich von WLAN- und Mobilfunk-Konnektivitätsprotokollen zur Gewährleistung von Fahrfunktionen und Sicherheit. Die Interaktion von Automobilen mit der Außenwelt stellt eine Herausforderung im Hinblick auf die physische Sicherheit und Netzwerksicherheit dar. Sie stützen sich auf eine komplexe Software, die aufgrund der ständigen Änderung der Cyberbedrohungen für Fahrzeuge ständig weiterentwickelt werden muss. Daher ist es entscheidend, dass die Fahrzeugsoftware kontinuierlich über Over-the-Air-Updates (OTA) aktualisiert wird.
:quality(80)/p7i.vogel.de/wcms/7b/17/7b17029844712d24cc7f2f76f5b95d41/0104709658.jpeg "SEooC: Safety Element out of Context ist eines der Konzepte, die in der internationalen Norm ISO 26262 zur Regelung der funktionalen Sicherheit bei der Produktinnovation in der Automobilindustrie formalisiert wurden.")
:quality(80)/p7i.vogel.de/wcms/00/2f/002f25d0233c5a2294c72bf3380440bd/0104709992.jpeg "Offen und sicher: Auch mit Open Source Software lässt sich eine Automotive-Security-Zertifizierung erreichen.")
:quality(80)/p7i.vogel.de/wcms/30/80/3080c3d5d291980751ab9b52e60d30f9/0104735713.jpeg "S32G3-Prozessor von NXP:
Der in der Industrie weit verbreitete Fahrzeugnetzwerkprozessor vereint ASIL D-Sicherheit, Hardwaresicherheit, Echtzeit- und Anwendungsverarbeitung sowie Netzwerkbeschleunigung in einem Bauteil.")
Automobilhersteller haben die Bewältigung dieser Probleme schrittweise in Angriff genommen, was schwierig und kostspielig sein kann, sowie im Falle des Scheiterns ein größeres Risiko für ihre Kunden und den Ruf dieser Unternehmen darstellt. Deshalb entschlossen sich die Fahrzeughersteller dazu, als Grundlage Open Source Software (OSS) zusammen mit Sicherheitsfunktionen einzusetzen, die beispielsweise von SELinux und OpenSSL bereitgestellt werden.
Einführung von ISO 26262 und Safety Elements out of Context
SEooC (Safety Element out of Context) ist eines der Konzepte, die in der internationalen Norm ISO 26262 zur Regelung der funktionalen Sicherheit bei der Produktinnovation in der Automobilindustrie formalisiert wurden. Dieses Konzept bietet eine gemeinsame Sprache zur Diskussion der Standardkomponenten und Kriterien, wenn man über ihren Einsatz in einem Steuergerät (ECU) zu entscheiden hat. Ein SEooC kann entweder eine Hardwarekomponente (ein Mikrocontroller oder LiDAR-Sensor) oder eine Softwarekomponente (ein Betriebssystem oder ein Datenbankmanager) sein. Für das SEooC bestehen erst dann Sicherheitsanforderungen, wenn es mit anderen Komponenten in einen Zusammenhang gebracht wird.
Betrachten wir einmal einen Mikroprozessor für die Automobilindustrie, wie den Fahrzeug-Netzwerkprozessor NXP S32G3 (siehe Bild auf der nächsten Seite). Dieser Prozessor verfügt über zahlreiche Funktionen, die sowohl die Netzwerkkonnektivität (CAN, LIN, Ethernet usw.), einschließlich der funktionalen Sicherheit, als auch die Datensicherheit unterstützen. Gleichzeitig ist der Prozessor auch für den Einsatz in einer Vielzahl von Fahrzeuganwendungen vorgesehen, die jeweils eigene Sicherheitsanforderungen (hinsichtlich der Sicherheitsfunktionen sowie des ASIL-Levels dieser Sicherheitsfunktionen) stellen.
Welche Funktionen des Prozessors verwendet und wie diese für eine bestimmte Funktion eingesetzt werden müssen, wird erst klar, wenn der OEM oder Tier-1-Lieferant entschieden hat, welche Funktionen der Prozessor unterstützen soll. Um die ordnungsgemäße Verwendung in einem sicherheitskritischen Gerät zu bestimmen, ist es notwendig, die Komponente in den jeweiligen Kontext zu setzen.
In einigen Fällen überprüft der Hersteller so viele Funktionen einer Komponente, wie im sicherheitskritischen Kontext als angemessen anzusehen sind. Der Hersteller muss auch eine zusätzliche Dokumentation (ein Sicherheitshandbuch) mit Beschreibungen zur Verfügung stellen, wie die Komponente installiert und verwendet werden muss, um die Sicherheitsaussagen des Herstellers zu untermauern, einschließlich von Chipfunktionen (wie beispielsweise Hardware-Debug-Unterstützung), die nicht im Sicherheitskontext verwendet werden dürfen.
Für handelsübliche Komponenten (wie beispielsweise Mikroprozessoren oder Echtzeit-Betriebssysteme) führt der Hersteller die zuvor erwähnte Analyse, Dokumentation usw. durch und lässt anschließend sein gesamtes Produkt, die zugehörige Dokumentation und seinen Entwicklungsprozess von einem Dritten – zum Beispiel vom TÜV SÜD – überprüfen. Von diesem erhält er eine Bescheinigung, die bestätigt, dass die Komponente für den Einsatz in einem Sicherheitssystem unter allen im Sicherheitshandbuch der Komponente dokumentierten Einschränkungen geeignet ist. Anschließend gilt die Komponente als „zertifiziert“, obwohl ein solches Zertifizierungskonzept für Komponenten in keinem Sicherheitsstandard definiert wird.
Ist es gut, Open Source Software als SEooC zu verwalten?
Das in der ISO 26262 definierte SEooC-Konzept bietet zwar einen Rahmen, der bei der Integration einer externen Komponente in ein Steuergerät zu berücksichtigen ist – kann aber für sich betrachtet nicht den Einsatz von OSS in sicherheitskritischen Systemen rechtfertigen. In der ISO 26262–10:9.1 ist dies recht deutlich festgelegt: „Ein SEooC wird auf der Grundlage von Annahmen in Übereinstimmung mit der Normenreihe ISO 26262 entwickelt. Es ist für die Verwendung in mehreren verschiedenen Elementen vorgesehen, wenn die Gültigkeit seiner Annahmen bei der Integration des SEooC nachgewiesen werden kann.“
Eine Open Source Software wird nicht „... in Übereinstimmung mit der Normenreihe ISO 26262 entwickelt“. Die Entwicklungsstandards für Linux und andere gängige Open-Source-Projekte, wie OpenSSL und Python, sind qualitativ hochwertig und robust (z. B. Standards für allgemeine handelsübliche Software im Vergleich zu Software für ein Sicherheitssystem). Somit darf eine OSS-Komponente im Sinne der strengen Definition für diesen Begriff nicht als SEooC betrachtet werden.
Dennoch ist es wichtig, bei Überlegungen zu einer Open Source Software in einer Fahrzeugsicherheitsanwendung in diesen Begriffen zu denken. Fragen Sie sich also selbst: Welche Annahmen müssen bei der Integration der OSS-Komponente validiert werden? Für eine hochwertige Open-Source-Komponente, die in einem Sicherheitskontext eingesetzt werden soll, haben wir umfangreiche Kenntnisse und Dokumentationen, die mögliche Annahmen hierfür beschreiben. So würde zum Beispiel angenommen, dass jede dokumentierte API einer OSS-Komponente bei jedem gültigen Aufruf wie in der Dokumentation beschrieben funktioniert. Dasselbe würde für Funktionen gelten, die nicht vollständig durch API-Aufrufe gesteuert werden, wie RTLinux, aber zur sicheren Umsetzung aller zeitabhängigen Anforderungen mit Linux erforderlich sind.
Obwohl wir eine OSS-Komponente nicht als SEooC betrachten dürfen, dient sie bei der Analyse zur Verwendung einer Open Source Software als Orientierung, da dieselben Überlegungen berücksichtigt werden müssen – welche OSS-Funktionen sind tatsächlich erforderlich, um die Sicherheitsanforderungen des Objekts zu erfüllen, welche ASIL-Level werden diesen Funktionen zugewiesen und wie verifizieren wir diese Funktionen im Kontext eines sicherheitskritischen Systems?
Management einer OSS im ISO 26262-Kontext
Es ist nützlich, einmal eine andere sicherheitsorientierte Branche – die Medizintechnik – dahingehend zu untersuchen, wie sie Open Source Software (und andere nicht zertifizierte Komponenten) in sicheren Geräten einsetzt. Die speziellen Sicherheitsanforderungen sind in der Automobil- und Medizintechnik vollkommen unterschiedlich. Doch beide Industriebereiche konzentrieren sich bewusst auf die Produktsicherheit, da für sie dieselben juristischen und moralischen Risiken sowie Rufgefährdungsrisiken zutreffen.
Für medizinische Software wurde das „SOUP“-Konzept (Software of Unknown Provenance) als Rahmenwerk für extern entwickelte Softwaremodule definiert. SOUP ist ein etabliertes Softwaremodul, das allgemein verfügbar ist, aber nicht speziell für medizintechnische Geräte entwickelt wurde (IEC 62304:3.29). Die Verwendung eines SOUP in einem medizinischen Gerät muss die folgenden Anforderungen erfüllen (beschrieben in mehreren Abschnitten der IEC 62304):
- Die Anforderungen (hinsichtlich Funktionalität und Leistung) an ein SOUP müssen spezifiziert werden;
- Ausfälle oder unerwartete Ergebnisse müssen berücksichtigt werden, um gefährliche Situationen zu verhindern;
- Bekannte Probleme des SOUP müssen bewertet werden, und jede Anomalie, die zu möglichen Gefahrensituationen führen kann, muss (hinsichtlich Risiko und Gefahr für die Patienten) auf ein akzeptables Maß reduziert werden; und
- Die Wartung und Pflege des SOUP (Upgrades usw.) muss berücksichtigt werden.
Alle mit der SOUP-Nutzung verbundenen Risiken müssen für die Dauer des gesamten Produktlebenszyklus berücksichtigt werden – Entwicklung, Verifizierung, Validierung und Wartung, einschließlich der Minderung von Risiken auf ein akzeptables Niveau. Viele Hersteller von Medizintechnik verwenden mittlerweile Linux- und andere OSS-Pakete, um sich die behördliche Zulassung durch Behörden wie die FDA (USA) und die National Medical Products Administration (NMPA) in China zu sichern.
Obwohl das SOUP-Konzept nicht auf den Automobilmarkt ausgerichtet ist, demonstriert es, wie ein OSS-Modul zum Erfolg einer sicherheitskritischen Automobilkomponente beitragen kann. Das Ziel besteht in der durchgängigen Einführung der Open Source Software für den gesamten Entwicklungslebenszyklus sowie in der Identifizierung und Minderung der bei Verwendung dieser Software eingeführten Risiken. Entscheidend ist es, zu demonstrieren, wie Gefahren auf das in ISO 26262 festgelegte Niveau für Einzelelemente gemindert werden. Dies lässt sich dadurch erreichen, dass Hardware- und Software-Designelemente zur Begrenzung der Wahrscheinlichkeit des Eintretens spezifischer identifizierter Gefahren berücksichtigt werden. Auf diese Weise wird der E-Wert (die Wahrscheinlichkeit einer Exposition) auf ein Niveau gesenkt, das zur Begrenzung des ASIL-Niveaus der untersetzten Sicherheitsforderung auf ein zufriedenstellendes Niveau gemäß ISO 26262-3:6.4.3 und Anhang B führt.
Weitere Designüberlegungen für die Fahrzeugsicherheit
Auch wenn die Einhaltung eines ISO 26262-konformen durchgängigen Entwicklungslebenszyklus bei der Erstellung sicherheitskritischer ECUs entscheidend ist, gibt es beim Einsatz von Open Source Software für funktionsreiche, sichere Geräte weitere Überlegungen, die Anpassungen hinsichtlich der Implementation in den Lebenszyklus nötig machen können:
- Zur Einhaltung der Sicherheit gemäß ISO 26262 muss der Entwickler Gefährdungen identifizieren, die dementsprechenden Sicherheitsanforderungen definieren und diese entsprechenden Teilsystemen zuordnen und zuweisen. Anschließend werden diese Teilsysteme (mit weiter untergliederten Teilanforderungen) sowohl für die Hardware als auch für die Software konzipiert und entwickelt.
- Die Untergliederung ist so detailliert wie möglich durchzuführen, einschließlich einer Analyse der Fähigkeiten der OSS zur Erfüllung dieser untergliederten Teilanforderungen sowie weiterer Gefährdungen, die sich aus ihrer Verwendung ergeben könnten. Auf diese Weise kann der Benutzer (bei Bedarf) Maßnahmen zur Risikominderung definieren, um die Wahrscheinlichkeit des Auftretens einer Gefahr zu begrenzen und den Schweregrad zu verringern, falls bzw. wenn diese Gefahr auftritt.
- Mehrere Sicherheitsanforderungen in einem System werden durch dieselben von der durch die Open Source Software bereitgestellten Fähigkeiten unterstützt.
- Der Einsatz einer modernen ALM-Lösung kann die Gesamtverfolgbarkeit dieser Anforderungen gewährleisten, insbesondere wenn im ersten Schritt oder während einer Iteration während der Entwicklung des Geräts neue Gefahren (und neue Sicherheitsanforderungen) identifiziert werden.
- Die Risikominderungen werden im Rahmen eines ISO 26262-konformen Entwicklungsprozesses verwaltet. Findet die Risikominderung getrennt von der Open Source Software statt, so ist sie Bestandteil der Software, die vom Geräteentwickler geschrieben wird. Sie muss daher auf dieselbe Weise entwickelt werden. Infolgedessen ist es erforderlich, sie in den ISO-26262- Entwicklungsprozess des Entwicklers zu implementieren.
- All dies muss hinsichtlich Dokumentation, Implementation, Validierung und Verifizierung demselben Standard gerecht werden, den der Geräteentwickler für den Rest seiner Implementierung verwendet.
- Im Hinblick auf neue OSS-Versionen müssen die Entwicklungsunternehmen regelmäßig die Problemlisten für die im Gerät eingesetzten OSS-Module überprüfen und bestimmen, ob neue Probleme zur Beeinträchtigung der Fahr- oder Datensicherheit beim Endgerät führen können und nicht vermieden werden können.
- Es ist entscheidend, dass die OSS-Community groß gefasst und engagiert ist, gut definierte Entwicklungsmethoden bietet, Probleme erkennt, verfolgt und behebt sowie bei Bedarf auftretende Fragen beantwortet. Projekte wie Linux, glibc und OpenSSL sind einige Beispiele für Communities, die Module für sichere Systeme unterstützen, da sie alle oben genannten Anforderungen erfüllen.
Bei den Überlegungen, ob eine Open-Source-Software in einem Gerät mit Sicherheitsanforderungen für die Automobilindustrie eingesetzt werden kann, ergeben sich Herausforderungen, da kein OSS-Paket nach den Standards entwickelt wurde, die gemäß ISO 26262 oder anderen Sicherheitsnormen erwartet werden. Obwohl es einen gewissen Aufwand erfordert, können diese Pakete auch in einem Sicherheitskontext zur Anwendung gelangen, ohne die Sicherheitsziele eines Geräts zu beeinträchtigen. Siemens Embedded verfügt über jahrzehntelange Erfahrungen, die OEMs oder Tier-1- bzw. Tier-2-Lieferanten für die Automobilindustrie bei der Meisterung dieser Anforderungen und bei der erfolgreichen Bereitstellung einer Open-Source-Software in ihren Geräten unterstützen können.
:quality(80)/images.vogel.de/vogelonline/bdb/1794300/1794382/original.jpg "Bild 1: Diverse Software-Architekturen erfordern Software-Standards mit einem skalierbaren Ansatz. (eSol)")
Multikernel-OS
Ein Automotive-Betriebssystem für neue Herausforderungen
:quality(80)/p7i.vogel.de/wcms/a2/96/a296fb589176c0ef73d1650a9a2f54db/0104795891.jpeg "Das Branchenbarometer „Automotive FLOSS. State of Practice“ von Kugler Maag Cie zeigt: Alle befragten Unternehmen nutzen mindestens ein eingebettetes System, das FLOSS einsetzt. Trotzdem ist die Nutzung (noch) überschaubar. Wird sich dies mit kommenden Fahrzeugarchitekturen verändern? (Bild: Kugler Maag Cie)")
Open Source und Automotive-Applikationen
So viel Open Source wird in der Automobilindustrie bereits genutzt
* Robert Bates ist Chief Safety Officer for Embedded Platform Systems bei Siemens Digital Industries Software.
(ID:48228480)
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/a7/93/a793dc60bdb11ec46e634041e7791dba/0110078725.jpeg "Projekt OSSelot: Der Ozelot gab der FOSS-Kuratierungsdatenbank von OSADL ihren Namen. (Bild: Leonardo - stock.adobe.com)")