Das Erreichen einer Zertifizierung für funktionale Sicherheitsstandards bringt ganz neue Herausforderungen mit sich. Als Antwort auf diese Herausforderungen bietet QNX das QNX® OS for Safety. Es wurde speziell entwickelt für Industrie, Schienentransport und Robotiksysteme, die IEC 61508 oder davon abgeleiteten funktionalen Sicherheitsstandards entsprechen müssen. Das Produkt wurde von einer führenden Prüfinstitution, dem TÜV Rheinland, als konformes Element zum Einsatz in Systemen bis IEC 61508:2010 SIL3 vorzertifiziert.
Für den Projekterfolg ist der Wissensstand beim Thema Funktionale Sicherheit und Zertifizierung heute ein besonders wichtiger Faktor. Ein Projekt, bei dem eine Zertifizierung der funktionalen Sicherheit gefordert wird, kann schnell zwei- oder dreimal so viel kosten wie ein Projekt ohne solch eine Anforderung. Oft muss mehr in die Zertifizierung investiert werden als in die eigentliche Entwicklung. Dieser Effekt lässt sich mit Wissen und Erfahrung abschwächen – fehlen diese jedoch, kann er sich enorm verstärken. Die folgende Tabelle zeigt ein denkbares Szenario, um diesen Effekt zu illustrieren, wobei von einem im Bereich Zertifizierung erfahrenen Entwickler-Team ausgegangen wird.
Der Einsatz von bereits zertifizierten Komponenten hilft, das Gesamtprojektrisiko deutlich zu senken. Bei komplexen Plattformen aus Hard- und Software spielt das Echtzeitbetriebssystem eine große Rolle. Ein bereits zertifiziertes OS hilft enorm, Risiken zu reduzieren und ein verlässliches sicherheitskritisches System aufzubauen. Ein zertifiziertes Steuerungssystem, beispielsweise im Industrie-Umfeld, ist ohne ein zertifiziertes OS nur mit großem Aufwand realisierbar. Die Frage “selber machen oder kaufen” erhält damit eine weitere Dimension: Einige Firmen haben selbst entwickelte Legacy-Komponenten im Einsatz, so manches Mal auch ein Betriebssystem. Doch meistens übersteigen die Kosten für die Zertifizierung solcher selbst gebauten Komponenten den Preis einer bereits zertifizierten Lösung um einige Größenordnungen. Schwieriger wird es bei der Hardware, denn vorzertifizierte Hardware-Komponenten sind recht rar.
Das Modular Train Control System (MTCS) von der Firma MEN Mikro Elektronik ist eine vorintegrierte einsatzbereite Plattform, welche das zuverlässige und leicht programmierbare Betriebssystem von QNX Software Systems kombiniert mit der F75P-Hardware. Damit lässt sich dem Kostendruck entkommen und behördliche Anforderungen zur Zulassung werden deutlich leichter erfüllt. MTCS ist sehr flexibel, so dass sich auch für den Integrator Kosten- und Zeitersparnisse ergeben, wenn das System in Züge der nächsten Generation eingebaut wird. Die kombinierte Lösung aus Hard- und Software erlaubt den Aufbau moderner Geräte auf Basis schneller CPUs und Echtzeitsteuerungssoftware, ermöglicht aber gleichzeitig die Weiterverwendung oder Anpassung bestehender Automatisierungsalgorithmen.
Das QNX OS for Safety erfüllt die Anforderungen des Standards für Funktionale Sicherheit, IEC 61508, ebenso wie marktspezifische Standards, die daraus abgeleitet wurden, z.B. IEC 61511 für Fabrikautomatisierung und Prozesssteuerung und Robotik, EN 50128 für Zugsteuerungssysteme, IEC 62304 für medizinische Geräte und ISO 26262 für PKW.
IEC 61508 fordert spezifische Prozesse in Bezug auf die funktionale Sicherheit, die über das hinausgehen, was sich in den Standardqualitätsmanagement-Systemen wie z.B. ISO 9001 findet. Für eine Konformität gemäß IEC 61508 muss ein Unternehmen das Vorhandensein der funktionalen Sicherheitselemente des Prozesses und aller generierten Entwicklungsartefakte nachweisen.
Zertifizierungsanforderungen können den Umfang eines Projekts bedeutend steigern und mehr Geld und Zeit verschlingen als erwartet. Die Betriebssystem-Technologie von QNX Software Systems wird bereits in Millionen betriebskritischer Systeme eingesetzt und die Erfahrung von QNX hilft, Risiken bei der Zertifizierung zu minimieren. Das QNX OS for Safety ist so aufgebaut, dass maximale Verfügbarkeit gewährleistet wird, ohne die Sicherheit zu gefährden. Die Nutzung einer bereits zertifizierten Komponente, die als Basis für die Integrität des gesamten System dient – und genau das tut ja das Betriebssystem – kann enorm zur Sicherheit des Gesamtsystems beitragen und dessen Zertifizierung enorm vereinfachen.
Das QNX OS for Safety hat strenge Prüfungen und Tests des TÜV Rheinland durchlaufen, die gezeigt haben, dass diese Plattform den Anforderungen von IEC 61508:2010 voll entspricht. Für die evaluierte Software, nämlich der QNX® Neutrino® Microkernel, der Prozess-Manager (inkl. Multicore-Support und Zeitpartitionierung), die libc, und die API entsprechend der des QNX Neutrino Standard-RTOS , wurde zertifiziert, dass die Anforderungen erfüllt werden. Bei der Zertifizierung wurde außerdem die Toolchain qualifiziert – also der C-Compiler, Linker und Assembler, die Kernbestandteile der QNX® Momentics® Tool Suite sind. Die Toolchain wurde dabei als TCL 3 klassifiziert und entspricht den Anforderungen für unterstützende Werkzeuge nach IEC 61508.
Die Microkernel-Architektur des QNX Neutrino RTOS stellt sicher, dass Software-Fehler gekapselt werden, so dass nur die fehlerhafte Komponente selbst betroffen ist. Fällt eine Komponente aufgrund eines unerwarteten Fehlers aus, kann sie dynamisch neu gestartet werden, während das System normal weiterläuft. Zusätzlicher Schutz wird durch die QNX-Zeitpartitionierung bereitgestellt: Sie überwacht sicherheitskritische Komponenten, so dass diese nie aufgrund eines Mangels an CPU-Zeit “verhungern”. Die Microkernel-Architektur sorgt durch diese klare Komponententrennung dafür, dass der Umfang der zu zertifizierenden Software gering gehalten werden kann, weil alle OS-Dienste in durch Hardware geschützten Adressräumen laufen, genau wie Applikationen.
Langlebigkeit wird für Software genauso wichtig wie für Hardware
Noch wichtiger ist, dass die Software die Möglichkeit haben muss, sich zu entwickeln und zu erweitern.
Neue Produktfunktionen
Neue Standarddefinition
Neue Komponenten-Add-Ons
Sicherheitskritische Funktionen müssen sauber abgegrenzt und vom Rest des Systems isoliert arbeiten können
In einem Markt mit starkem Wettbewerb kann zukunftssicheres Software-Design der entscheidende Unterschied sein