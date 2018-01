Für Autokäufer kann die agile Software-Entwicklung mit Updates im Feld einen echten Mehrwert bieten. Statt schon beim Kauf alle Bedürfnisse vorausplanen und alle Wünsche erfüllen zu müssen, können Sie ihr Fahrzeug nach und nach erweitern oder verändern. Beispiele dafür sind Multimedia-Pakete, Navigationssoftware oder eine softwaregesteuerte Leistungsdrosselung, wenn sich der Nachwuchs mit frisch erworbenem Führerschein ans Steuer setzt.

Für die Hersteller der Fahrzeuge, Steuergeräte und Steuergerätesoftware bringen die nachträglichen Funktionsupgrades und fortlaufende (Over-the-Air)-Updates dagegen neue Herausforderungen und Risiken mit sich. Gemeinsam gilt es zu gewährleisten, dass die Modifikationen keinesfalls andere, möglicherweise sicherheitsrelevante Softwarefunktionen in Mitleidenschaft ziehen, die auf demselben Steuergerät laufen. Der Trend zur Konzentration von immer mehr miteinander vernetzten Funktionen auf wenigen, zentralen Steuergeräten macht die Aufgabe nicht leichter. Das wirft eine grundsätzliche Frage auf: Wie ist es unter den gegebenen Bedingungen überhaupt wirtschaftlich möglich, in Tests vorab zu validieren und zu verifizieren, sodass die funktionale Sicherheit des Gesamtsystems nach den Upgrades und Updates gewährleistet bleibt?

Praktikable Partitionierung ist gefragt

Klar ist, dass verschiedene Firmen Softwarefunktionen zu ein und demselben Steuergerät beisteuern. Sie müssen sich darauf verlassen können, dass ihre jeweiligen Softwaremodule einander nicht stören und dass etwaige Fehler eines Herstellers nicht auf die anderen zurückfallen können. Wünschenswert wären also klar abgesteckte, voneinander entkoppelte Bereiche, damit jedes Unternehmen nur für den reibungslosen Betrieb der eigenen Software verantwortlich wäre - inklusive aller Tests, die in den gültigen Safety-Standards festgelegt sind. Bei Veränderungen nach dem Produktionsbeginn wäre die Verantwortung ebenfalls auf diesen einen Bereich beschränkt. Eine solche "Freedom-of Interference" wird auch von den Safety-Standards gefordert, ist aber mit klassischen Architekturen auf einem Steuergerät nur schwer nachzuweisen.

Nicht nur unter dem Aspekt der Haftung und der funktionalen Sicherheit ist eine solche Entkopplung geboten. Sie vereinfacht auch die Workflows in der Software-Entwicklung, die oft in global verteilten Teams erfolgt. Und auch unter Security-Gesichtspunkten ergäben sich klare Vorteile: Denn sind die einzelnen Funktionen auf einem Steuergerät klar getrennt, erhöht das den Schutz vor Angriffen von Cyber-Kriminellen. Selbst wenn es Hackern gelänge, sich Zugang zu einer Funktion zu verschaffen, bliebe der Weg in andere Funktionsbereiche der Fahrzeugsteuerung erschwert. Eine wenig reizvolle Aussicht für Kriminelle, die es auf größtmöglichen Schaden beim angegriffenen Automobilhersteller anlegen.

Entkopplung ist sinnvoll - aber wie?

Eine auf Autosar 4.x basierende Architektur definiert bereits grundlegende Mechanismen, um ...

