Dank Paravirtualisierung laufen auf einem Prozessor gleichzeitig mehrere Betriebssysteme mit unterschiedlicher Kritikalität.

Dank Paravirtualisierung laufen auf einem Prozessor gleichzeitig mehrere Betriebssysteme mit unterschiedlicher Kritikalität.Critical Software

In Automotive, der Medizintechnik und in industriellen Anwendungen sollen oft verschiedene Betriebssysteme und Anwendungen mit unterschiedlicher sicherheitskritischer Einstufung auf einem Prozessor laufen. Um die Kritikalität der höchsten Software-Stufe, zum Beispiel nach ISO 26262, zu erhalten, muss die Software der niedrigsten Stufe an die gleiche Höhe angepasst werden. Das zieht meist einen enormen personellen und finanziellen Adaptionsaufwand nach sich. Der klassische Ausweg war, Anwendungen mit verschiedenen Kritikalitätsstufen auf je einem eigenen Prozessor auszuführen und so zu isolieren. Das Software-Tool Xluna von Crititcal Software ermöglicht eine Isolierung hingegen auf einem einzelnen Prozessor: Es wurde im Auftrag der European Space Agency (ESA) in Darmstadt entwickelt und ist seit Jahren in Weltraumsystemen im Einsatz.

Ein Beispiel soll zeigen, wie Xluna arbeitet: Ein Telekom-Anbieter möchte seine vorhandene, nicht sicherheitskritische Software (zum Beispiel auf Basis von Android, Unix oder Windows) auf das zertifizierte System eines Automobilherstellers bringen. Die Telekom-Anwendung ist komplex, eine Höherzertifizierung auf dem Infotainmentsystem des Automobilherstellers würde einen immensen Aufwand, viel Zeit und Kosten und eine neue Zulassung bedeuten. Der Automobilhersteller hat auf seinem System eine sicherheitskritische Anwendung nach ISO 26262 (zum Beispiel mit RTEMS oder Integrity) laufen und möchte keine neuen Zulassungsverfahren durchlaufen. Xluna löst das Problem, indem es die Anwendung des Telekom-Anbieters mit dessen Betriebssystem separiert, so dass keine neue und weitere Zulassung notwendig ist. Das System des Automobilherstellers wird nicht angetastet; es behält seine Zulassung. Es laufen zwei Betriebssysteme und zwei unterschiedliche Kritikalitätsstufen auf einem Prozessor.

Der Xluna-Microkernel dient als Basis der Paravirtualisierung, um beispielsweise Linux um Userspace auszuführen.

Der Xluna-Microkernel dient als Basis der Paravirtualisierung, um beispielsweise Linux um Userspace auszuführen.Critical Software

Das System

Xluna selbst besteht dabei aus einem Mikrokernel mit einer Virtualisierungsschicht. Echtzeit-Betriebssyteme wie RTEMS laufen dabei in einem privilegierten Modus, um harte Echtzeitbedingungen weiterhin zu erfüllen. Gewöhnliche Betriebssysteme wie Linux oder Windows befinden sich aus Sicht von Xluna im Userspace. Damit kann Xluna die zertifizierten und sicherheitskritischen Anwendungen sauber von den nichtkritischen Teilen isolieren.