Funktionale Sicherheit
Betriebssicher
Für Embedded-Entwickler ist nicht nur IT-Security, sondern auch Safety – funktionale Sicherheit – wichtig, die Mensch und Umwelt vor Fehlfunktionen schützen soll. Die Norm IEC 61508 erleichtert den Umgang damit.
Sicherheit hat zwei Seiten. Zum einen den Schutz von IT-Systemen vor Angriffen von außen, zum anderen müssen Produkte wie Fahrzeuge, medizinische Geräte oder Flugzeuge auch betriebssicher sein: Von ihnen darf keine Gefahr für Mensch und Umwelt ausgehen. Das sind Aspekte der funktionalen Sicherheit. Im englischsprachigen Raum existiert diese Doppeldeutigkeit nicht, stattdessen spricht man von „Safety“ und „Security“, wobei „Safety“ die funktionale Sicherheit meint, die die Menschen vor den Maschinen schützt, während Maßnahmen der „Security“ das System vor Angriffen von außen absichern.
Teilweise widersprechen sich die beiden Perspektiven: Eine Notausgangstür zum Beispiel würde der funktionalen Sicherheit beziehungsweise Safety am besten genügen, wenn sie durchgängig geöffnet wäre. Unter dem Aspekt der Security ein Horror, weil das Kriminelle geradezu einladen würde (siehe auch „Alle Links“ am Ende des Artikels).
Eine Komplettvernetzung von Fahrzeugen, Fabriken oder medizinischen Geräten macht die Systeme komplexer. Die zentrale internationale Norm in diesem Umfeld stellt IEC 61508 dar, die den Namen „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“ trägt.
Sie wurde erstmals im Jahr 1998 von der International Electrotechnical Commission (IEC) herausgegeben und konzentriert sich auf industrielle Anlagen, die lange im Betrieb bleiben. Branchen wie Automotive, Medizin, Luftfahrt oder die Bahn stehen vor anderen Anforderungen und haben ihre eigene Versionen aus der Grundnorm abgeleitet, darunter:
– DO-178B für die Luftfahrt,
– DIN EN 60601 für Medizingeräte oder
– ISO 26262 für Systeme in Kraftfahrzeugen.
Die Normen definieren Vorgehensmodelle, Arbeitsprodukte sowie anzuwendende Methoden in Entwicklung und Produktion. Viele Werkzeuge berücksichtigen die Vorgaben der Branchen und unterstützen das normgerechte Entwickeln. Hersteller von Embedded-Betriebssystemen bieten oft mehrere Versionen ihres Produkts, die bei der Umsetzung der branchenspezifischen Norm helfen.
Wind River verkauft Varianten seines Echtzeitbetriebssystems VxWorks für IEC 61508 und DO-178B. QNX vertreibt sein Echtzeitbetriebssystem Neutrino als konform mit IEC 61508, ISO 26262 und IEC 62304. Auch Sysgo bietet seinen Hypervisor PikeOS in mehreren Varianten an.
IEC 61508 schreibt ein systematisches Vorgehen beim Erstellen kritischer Applikationen vor. Sie definiert vier Sicherheitsanforderungsstufen, die „Safety Integrity Levels“ (SIL) 1 bis 4. Der Wert wird im Rahmen einer Gefährdungs- und Risikoanalyse ermittelt. In ISO 26262 heißen sie Automotive Safety Integrity Levels (ASIL), in denen die Risiken für den Fahrer und andere Verkehrsteilnehmer im Störungsfall bewertet werden.
Zunehmend verzahnt
Diese Normen berücksichtigen zwar auch Aspekte der IT-Security, aber erst in geringem Maß. Im Zuge der zunehmenden Vernetzung (Internet der Dinge) verschwimmen die Grenzen: Wenn Maschinen im Kontext von Industrie 4.0 über das Internet verbunden sind oder Autos untereinander sowie mit der Verkehrsinfrastruktur kommunizieren, greifen beide immer stärker ineinander. Angriffe von außen wirken sich dann auf die funktionale Sicherheit aus, wenn Hacker die Bremse blockieren.
Diese Erkenntnis hat sich noch nicht überall durchgesetzt. Laut Fraunhofer-Institut IESE arbeiten beide Bereiche noch zu sehr in getrennten Fachwelten. Ein ganzheitlicher Sicherheitsbegriff fehle bislang, zumal Anbieter von Produkten für Informationssicherheit und funktionale Sicherheit nur selten Zusammenhänge zwischen beiden Gebieten herstellen. Auch Systementwürfe berücksichtigen die Abhängigkeiten zu wenig. (jab)