Hypervisor based composable systems for the automotive industry : making a secure platform safe

Abstract

Genau wie die Luftfahrt Industrie ist derzeit auch die Automobil Industrie im Umbruch, und beginnt mehrere ECUs (Error Containment Units) in einen Hardware Knoten zu integrieren. Bei diesem Ansatz ist es jedoch äußerst wichtig, dass die Unabhängigkeit der Applikationen - die meist auch unterschiedliche Sicherheitsanforderungen (sowohl Safety als auch Security) haben - erhalten bleibt. Die Unabhängigkeit wird durch Isolation, das heißt zeitliche sowie räumliche Trennung erreicht und wird durch geeignete Kommunikationsmechanismen, die keines dieser Isolationskriterien stören dürfen, ergänzt. Der Ansatz erlaubt, durch die Isolation die Safety- und Security-Eigenschaften zu erhalten und ermöglicht so die modulare Validierung sowie die modulare Zertifizierung von Software. Die Arbeit versucht, die Safety-Kriterien, die von der Automobil Industrie gefordert werden, mit Hilfe von FLOSS (free/libre open source software) zu erfüllen. Die gewählte Vorgehensweise ist, basierend auf dem XtratuM2 Hypervisor mehrere unabhängige Instanzen einer FLOSS-Implementierung der OSEK-Spezifikation (Offene Systeme und deren Schnittstellen für die Elektronik im Kraftfahrzeug) laufen zu lassen, wobei jede dieser Instanzen eine typische Applikation aus dem Automobil Bereich ausführt. Die resultierende Plattform erlaubt es, mehrere unabhängige Applikationen parallel laufen zu lassen, anstatt einen Hardware Knoten für jede der Applikationen zu verwenden. Dieser Ansatz reduziert die Anzahl der Knoten im Fahrzeug und führt so zu einer Reduktion des Gewichtes sowie des Stromverbrauchs. Weiters wird die Ausnutzung der Ressourcen, die moderne CPUs zur Verfügung stellen, verbessert und die Kommunikation zwischen Applikationen vereinfacht.

Following the trend already set by the avionics industry, the automotive industry is reconsidering its current approach towards on-board electronics as well and starts to integrate multiple ECUs (Error Containment Units) into one hardware node. Following this approach it is vital to ensure the independence of residing applications, which often require different levels of safety and security. Independence is achieved by partitioning, that means temporal and spatial isolation, supplemented by communication mechanisms that must not violate the isolation properties. This approach allows the construction of composable systems that simplify the reuse of (legacy) software modules based on temporal and spatial isolation. Furthermore the preservation of dependability, safety and security properties of the individual modules is ensured, enablingmodular validation and certification. This thesis approaches the safety aspects of utilizing free/libre open source software (FLOSS) components, taking the constraints of the automotive industry into account. The approach taken is to use the XtratuM2 hypervisor, and to execute multiple instances of a FLOSS implementation of an OSEK (Offene Systeme und deren Schnittstellen für die Elektronik im Kraftfahrzeug) compliant operating system - each instance running one automotive application - on top of it. The resulting implementation is able to run several independent automotive applications in parallel on the same processor, rather than requiring a single hardware node for each of them. This approach reduces the number of ECUs in the car, leading to a decrease of power consumption and weight, allowing a higher utilization of the hardware nodes and simplifying inter-node communication.