Sicurezza funzionale e certificazione continua su Linux

Sulla rapida evoluzione del settore automotive incide lo sviluppo delle tecnologie associate alle nuove metodologie per la realizzazione di veicoli software defined.

Le tecnologie open source, uno dei fattori di questa evoluzione, contribuiscono all'emergere di idee innovative e alla riduzione dei costi. Le iniziative in ambito automotive, tuttavia, risultano complicate dai requisiti di sicurezza funzionale specifici del settore. Comprendere cosa sia la sicurezza funzionale e come può orientare la certificazione continua nel settore automobilistico è fondamentale per capire come le tecnologie open source possono cambiare il comparto.

Concetto applicabile a numerosi settori oltre che a quello automotive, la sicurezza funzionale si basa sul presupposto che qualunque sistema può guastarsi, ma dovrebbe farlo nel modo più prevedibile possibile. In questo modo, è possibile pianificare delle contromisure per il guasto e le sue conseguenze possono essere in larga parte limitate.

La sicurezza funzionale è un concetto diverso dal tentativo di evitare completamente il possibile guasto di un sistema. Sebbene anche questo sia un obiettivo ambizioso, esula dalla finalità del concetto.

La sicurezza funzionale si ottiene:

• Identificando tutti i punti che richiedono un sistema di sicurezza quando lo strumento che viene valutato funziona nel suo specifico contesto.
• Valutando la riduzione del rischio della specifica funzione di sicurezza.
• Accertando il corretto funzionamento della funzione di sicurezza.
• Verificando che la funzione di sicurezza in questione funzioni nel tempo.

Nel caso specifico dei dispositivi elettronici nei veicoli, sicurezza funzionale significa che tutti i componenti elettronici dell'auto, inclusi i dispositivi informatici, non presentano rischi eccessivi durante il funzionamento nel contesto di riferimento e che soddisfano i requisiti dello standard ISO 26262 definiti dall'Organizzazione internazionale per la standardizzazione (ISO). Questo ci porta alla domanda successiva.

Cos'è l'ISO 26262?

ISO 26262 è uno standard internazionale che riguarda la sicurezza funzionale dei sistemi elettrici ed elettronici nei veicoli stradali. Si tratta di un adattamento dello standard per la sicurezza funzionale IEC 61508, pubblicato dalla Commissione elettrotecnica internazionale (IEC). Inizialmente, l'ISO 26262 riguardava solo i veicoli per passeggeri, ma nel 2018 è stato esteso per includere tutti i veicoli stradali ad eccezione dei ciclomotori.

L'ISO 26262 si occupa dei possibili danni causati dal malfunzionamento dei sistemi elettrici ed elettronici (E/E) di un veicolo. Lo standard non riguarda soltanto i componenti E/E del veicolo, ma anche quelli dei rispettivi sottosistemi meccanici. È quindi uno standard che copre molti elementi di un veicolo.

Lo standard ISO 26262 si basa sul rischio: valuta qualitativamente i possibili danni e definisce le misure di sicurezza al fine di mitigare, tenere sotto controllo o evitare guasti sistematici.

Cos'è la certificazione di sicurezza funzionale?

La certificazione della sicurezza funzionale è il processo che dimostra la rispondenza ai requisiti dello standard IEC 61508 e a standard specifici quali ISO 26262. In genere, queste certificazioni sono rilasciate da associazioni di settore ampiamente riconosciute e confermano le qualifiche, le conoscenze e l'esperienza maturata.

Sfide legate alla certificazione di sicurezza funzionale

Per poter dichiarare la conformità agli standard di sicurezza funzionale come l'ISO 26262, i sistemi devono essere accreditati da un ente indipendente che ne certifichi le qualità. L'ente è anche tenuto a occuparsi del follow up con audit di sorveglianza continui, accertandosi che il sistema mantenga lo standard certificato.

Una delle difficoltà nell'acquisizione della certificazione funzionale per i veicoli è data dal fatto che gli standard ISO 26262 sono un adeguamento di quelli creati per l'elettronica del settore automobilistico negli anni Settanta e Ottanta.

Quando si intende ottenere una certificazione con sistemi chiusi, il software viene sviluppato in un ambiente isolato (per tenere fuori dal sistema elementi esterni che possono causare difetti) in cui sono chiari requisiti e specifiche e dove è presente un elevato livello di tracciabilità di requisiti, codice e copertura. I sistemi open source moderni sono però costituiti da centinaia, se non migliaia, di componenti, ognuno dei quali aggrega in sé numerosi progetti. Sebbene tali progetti abbiano approcci simili allo sviluppo software, presentano delle differenze, che si sommano mano a mano che i progetti diventano più complessi.

Inizialmente, la filosofia su cui si basano gli standard ISO 26262 non prevedeva l'aggregazione di componenti indipendenti in un insieme collettivo, nuovo e diverso; questa realtà complica oggi il processo di certificazione.

Nel sistema esistente, la certificazione di un intero sistema operativo automotive che è costituto da un framework altamente complesso può richiedere da tre a cinque anni. Qualunque modifica anche minima alla configurazione può comportare un significativo aumento dell'intervallo di tempo necessario per ottenere la certificazione, richiedendo a volte fino a un anno. L'intera procedura può richiedere un'elevata quantità di risorse, perché a ogni piccola variazione dei componenti dell'intero sistema corrisponde un nuovo processo di certificazione.

Per ottenere un sistema operativo per veicoli autentico e open source, e nello specifico per quelli basati su Linux, occorre quindi un nuovo paradigma di certificazione fondato su un processo di certificazione della sicurezza funzionale continuo.

Una delle maggiori difficoltà nella sicurezza funzionale è la gestione delle modifiche.

Attualmente, una certificazione di sicurezza funzionale esistente si applica solo a una specifica configurazione software su uno specifico hardware, ed è soggetta a condizioni e presupposti approvati e documentati. In presenza di una vulnerabilità di sicurezza o se vengono introdotti nuovi requisiti, la certificazione deve essere ripetuta. Con i metodi tradizionali, le attività di ricertificazione sono significative anche per le modifiche di minore entità.

L'obiettivo di una certificazione continua della sicurezza funzionale è ridurre il costo e la durata della ricertificazione, in modo che i sistemi in uso siano certificati costantemente a un ritmo parallelo a quello con il quale il software viene aggiornato per correggere problemi di sicurezza o aggiungere funzionalità.

Con questi nuovi criteri, il processo di certificazione potrebbe diventare parte del processo di aggiornamento del software, evitando alle case automobilistiche il carico di avviare ricertificazioni tempestive e costose. Da questa prospettiva, la standardizzazione su un sistema operativo Linux open source offrirebbe loro la possibilità di supportare gli aggiornamenti più rapidamente e con meno risorse.

La certificazione continua richiede tuttavia un notevole impegno di progettazione per mantenere il processo sempre attivo e può implicare modifiche al processo di certificazione ISO 26262.

Sistema operativo Red Hat In-Vehicle

Il sistema operativo Red Hat In-Vehicle è un'estensione di Red Hat Enterprise Linux pensata per il settore automotive con l'obiettivo di offrire una piattaforma di innovazione sicura dal punto di vista funzionale. Il sistema operativo, scelto anche da General Motors come base per il suo sistema di elaborazione di nuova generazione, punta a diventare il nuovo standard per i veicoli software defined.

Scegliere il software open source rendendolo il componente essenziale dei veicoli di nuova generazione può aiutare le case automobilistiche a innovare in modo rapido e su larga scala, e a ottenere una migliore esperienza dei clienti. Il sistema operativo Red Hat In-Vehicle supporta i veicoli software defined applicando Linux ai sistemi automotive critici per la sicurezza, velocizzando lo sviluppo, riducendo i costi e creando opportunità per nuovi flussi di fatturato basati su nuovi servizi.

L'approccio illustrato presenta tuttavia delle sfide, incluse quelle legate alla sicurezza funzionale. In questa direzione si muove l'attività di leadership di Red Hat, indirizzata a standardizzare e a codificare la sicurezza funzionale continua per rendere il sistema operativo Red Hat In-Vehicle il nuovo standard dei veicoli moderni e futuri.

exida e Red Hat: le ragioni della partnership

exida è un leader della sicurezza funzionale in numerosi settori. Fondata nel 2000, l'azienda è specializzata in sicurezza dei sistemi automotive, gestione degli allarmi, sicurezza informatica e disponibilità. L'azienda collabora con Red Hat al progetto che punta a creare un sistema operativo Linux in evoluzione, certificato rispetto alla sicurezza funzionale e specifico per il settore automobilistico, che verrà sviluppato e gestito da Red Hat e certificato in modo continuativo da exida.

Ottenere una certificazione di sicurezza funzionale presenta i suoi problemi e applicare questi processi incentrandoli sull'open source richiede una strategia e un approccio differenti.

Il futuro dei veicoli software defined

Le soluzioni open source basate su Linux che mano a mano saranno adottate in ambito automotive riusciranno a trasformare le esperienze di guida. Red Hat è uno tra i principali contributori allo sviluppo della sicurezza funzionale continua, il cui futuro resta indissolubilmente legato all'evoluzione dell'automotive software defined.
Scopri di più sul sistema operativo Red Hat In-Vehicle.