So funktioniert ein leistungsfähiges Software-Update-Managementsystem

Ein Software-Update-Managementsystem (SUMS) soll sicherstellen, dass Software-Aktualisierungen auf sichere, funktionale, nachvollziehbare und konforme Weise durchgeführt werden. Konform bedeutet, dass die Software eines Fahrzeugs mit der jeweiligen Typgenehmigung konform ist und bleibt. Dies ist das Ziel der R156.

• Software-Updates für die betreffenden Fahrzeuge werden identifiziert: Sie müssen wissen, welche Fahrzeuge ein Update benötigen. Die Dokumentation der Fahrzeugkonfiguration ist hier der Schlüssel.
• Die Kompatibilität der Software-Updates mit der Gesamtfahrzeugkonfiguration wird geprüft. Man muss wissen, welche Auswirkungen auf Fahrzeugsysteme und Fahrzeugparameter zu erwarten sind.
• Software-Updates und ihr Einfluss auf den Umfang der Typgenehmigung und das Gesamtfahrzeug werden ermittelt. Ein Update ist eine Änderung, die sich auf die gültige Typgenehmigung auswirken kann.
• Es wird sichergestellt, dass Sie die Security-, Safety- und Dokumentationsanforderungen für Software-Updates in der Werkstatt oder Over-the-Air (OTA) erfüllen.
• Und natürlich muss das Managementsystem sicherstellen, dass die Software verfügbar und sicher implementiert ist und dass die Integrität und Authentizität der Software und des Software-Updates gewährleistet ist.

So stellt das SUMS sicher, dass jedes Fahrzeug zuverlässig mit den erforderlichen Updates versorgt werden kann. Das ist leichter gesagt als getan, denn es muss mit unterschiedlichen Konfigurationen eines Fahrzeugtyps umgegangen werden.

Ein SUMS behandelt vernetzte Fahrzeuge so, als ob sie Teil eines Gesamtsystems wären - mit Fahrzeugen, die durch ihre Software definiert sind, abgesehen von der Fahrzeugarchitektur, die die Backend-Server umfasst. Das können Sie im folgenden Diagramm sehen.

Im Zentrum des Gesamtsystems steht natürlich das Software-definierte Fahrzeug. Die verschiedenen Steuergeräte für Chassis, Fahrwerk sowie Sicherheitsaspekte und Gateways haben Schnittstellen, über die sie mit Backend-Servern verbunden sind.

Wie ich schon sagte, ist Konfigurationsmanagement der Schlüsselfaktor. Um sicherzustellen, dass der aktuelle Software-Konfigurationsstand des Fahrzeugs einschließlich der jeweiligen Komponenten ermittelt werden kann, benötigen wir eine Kennung. Hier kommt der RXSWIN ins Spiel. Die RXSWIN, die für Regulatory Software Identification Number steht, ist ein spezieller Identifikator, der von den Behörden gefordert und vom Fahrzeughersteller definiert wird. Sie enthält Informationen über die für die Typgenehmigung relevante Software und ihre Merkmale. Die RXSWIN kann aus dem Fahrzeug ausgelesen werden und ermöglicht die Bestimmung des Homologationsstatus einzelner Funktionen und der zugehörigen Steuergeräte, die unter eine UNECE-Regulierung fallen.

Nehmen wir an, ein Fahrzeughersteller erstellt ein RXSWIN für die Software des Lenksystems in einem Fahrzeug, das unter die UNECE-Regelung Nr. 79 fällt. Der Hersteller würde "RX79" als ersten Teil des RXSWINs verwenden, um die Nummer der UNECE-Regelung anzugeben. Der zweite Teil wäre eine Software-Identifikationsnummer für eine bestimmte Version der Lenksystemsoftware beim Hersteller.

Es ist wichtig zu beachten, dass die RXSWIN für jede Softwareversion in jedem Fahrzeugtyp eindeutig sein sollte und vom Fahrzeughersteller vergeben wird.

Die Notwendigkeit einer systematischen Struktur wird auch dadurch unterstrichen, dass Routinen für den Fall definiert werden müssen, dass ein Update fehlschlägt. Was können Sie tun, wenn eine Aktualisierung fehlschlägt oder unterbrochen wird? Stellen Sie sicher, dass der vorherige Zustand wiederhergestellt werden kann. Außerdem müssen Sie sicherstellen, dass die wichtigsten Schutzziele der Cybersecurity eingehalten werden: Vertraulichkeit, Integrität, Verfügbarkeit der Aktualisierung.

Das SUMS bietet Ihnen eine systematische Methode zur Durchführung zuverlässiger Fahrzeugaktualisierungen, wobei der Schwerpunkt auf Prozessen und Verfahren liegt.

Die Prozesse, die Sie dafür benötigen, drehen sich um Folgendes

• Wie sollen Sie unterschiedliche Versionen von Hard- und Software, die Sie für den Fahrzeugtyp benötigen, für unterschiedliche Systeme und Funktionen protokollieren bzw. erfassen?
• Welche Software ist für die Typgenehmigung wichtig und benötigt eine RXSWIN einschließlich der Definition und Aktualisierung dieses Identifikators?
• Gibt es Abhängigkeiten, insbesondere bei Software-Updates?
• Welche Komponenten sind von Updates betroffen und wie steht es um deren Kompatibilität?
• Inwieweit wirkt sich ein Software-Update auf die Typgenehmigung oder andere vom Gesetzgeber definierte Aspekte aus?
• Inwieweit wirkt sich ein Update auf die Funktionssicherheit oder die Fahrsicherheit aus?
• Wie werden die Fahrzeughalter über Updates informiert?
• Wie wird der Aktualisierungsprozess selbst unter dem Aspekt der Cybersecurity geschützt?
• Wie sollen all diese Punkte dokumentiert werden?

Diese Aufzählung wirft eine wichtige Frage auf: Neben der Cybersecurity für die Fahrzeugakteure ist das Hauptanliegen der Fahrzeughersteller die Rechtssicherheit. Wird alles getan, um die Sicherheit des Fahrzeugs zu gewährleisten? Wie werden Sie mit der Komplexität des vernetzten Fahrzeugs umgehen, dessen Konfigurationen sich im Laufe der Zeit ändern?

Sollte ein Hacker irgendwann doch einen Weg finden, in ein System einzudringen, müssen die Hersteller nachweisen, dass sie alle zumutbaren Anstrengungen unternommen haben, um die Fahrzeuge zu schützen, und dass sie sich an die Vorschriften gehalten haben.

Apropos: Die UNECE-Vorschriften sehen auch vor, dass Sie künftig verpflichtet sind, Angriffe zu melden.

Eine weitere Herausforderung besteht darin, dass der ISO-Standard für Software-Update-Managementsysteme, der weitere Anleitungen für ein SUMS bietet, erst Anfang 2023 veröffentlicht wurde. Der Name dieser neuen Norm ist ISO 24089 Road Vehicles – Software update engineering. In der UNECE-Regelung R.156 können Sie sehen, welche Aktivitäten erforderlich sind. Es ist wichtig zu wissen, dass in der Regelung R.156 nur Anforderungen genannt werden. Wie man diese Anforderungen in der Praxis umsetzt, wird in der neuen ISO 24089 erläutert. In gewisser Weise definiert diese Regelung das Ziel, während ISO 24089 eine Anleitung für den Weg dorthin gibt.

• Wie sollten Sie verschiedene Versionen der Hard- und Software protokollieren oder aufzeichnen, die Sie für den Fahrzeugtyp für verschiedene Systeme und Funktionen benötigen?

• Welche Software ist für die Typgenehmigung wichtig und benötigt eine RXSWIN einschließlich der Definition und Aktualisierung dieses Identifikators?

• Gibt es Abhängigkeiten, insbesondere bei Software-Updates?
  Welche Komponenten sind von Updates betroffen und wie steht es um deren Kompatibilität?

• Inwieweit wirkt sich ein Software-Update auf die Typenzulassung oder andere vom Gesetzgeber definierte Aspekte aus?
  Inwieweit wirkt sich ein Update auf die Funktionssicherheit oder die Fahrsicherheit aus?

• Wie werden die Fahrzeughalter über Updates informiert?
  Wie wird der Aktualisierungsprozess selbst unter dem Aspekt der Cybersecurity geschützt?

• Wie sollen all diese Punkte dokumentiert werden?

Diese Aufzählung wirft eine wichtige Frage auf: Neben der Cybersecurity für die Fahrzeugakteure ist das Hauptanliegen der Fahrzeughersteller die Rechtssicherheit. Wird alles getan, um die Sicherheit des Fahrzeugs zu gewährleisten? Wie werden Sie mit der Komplexität des vernetzten Fahrzeugs umgehen, dessen Konfigurationen sich im Laufe der Zeit ändern?

Sollte ein Hacker dennoch irgendwann einen Weg finden, in ein System einzudringen, müssen die Hersteller nachweisen, dass sie alle zumutbaren Anstrengungen unternommen haben, um die Fahrzeuge zu schützen, und dass sie sich an die Normen gehalten haben.

Apropos: Die UNECE-Vorschriften sehen auch vor, dass Sie künftig verpflichtet sind, Angriffe zu melden.

Eine weitere Herausforderung besteht darin, dass der ISO-Standard für Software-Update-Managementsysteme, der weitere Anleitungen für ein SUMS bietet, erst Anfang 2023 veröffentlicht wurde. Der Name dieser neuen Norm ist ISO 24089 Road Vehicles - Software update engineering. In der UNECE-Regelung R.156 können Sie sehen, welche Aktivitäten erforderlich sind. Es ist wichtig zu wissen, dass in der Regelung R.156 nur Anforderungen genannt werden. Wie man diese Anforderungen in der Praxis umsetzt, wird in der neuen ISO 24089 erläutert. In gewisser Weise definiert diese Regelung das Ziel, während ISO 24089 eine Anleitung für den Weg dorthin gibt.

Dieses Diagramm zeigt, dass organisatorische Abläufe eine Voraussetzung für die schnelle und sichere Aktualisierung der Fahrzeugflotte im Feld sind. Alle Anforderungen wie die Infrastruktur, der Zugang zu Konfigurationsdatenbanken sowie die RXSWIN müssen so geplant, entwickelt und bereitgestellt werden, dass sie mit dem Zeitplan der Fahrzeugentwicklung übereinstimmen. Dies ist auch Teil des Konzepts  Security by Design. Wenn tatsächlich die Entscheidung getroffen wird, dass ein Risiko durch die Freigabe eines Updates abgewendet werden muss, müssen die Software-Update-Prozesse bereits existieren. Nur dann kann die Software-Update-Kampagne auf der Grundlage eines methodischen Ansatzes und klarer Strukturen durchgeführt werden.

Und nicht zu vergessen: Ein Managementsystem sollte einem PDCA-Prozess folgen - Plan > Do > Check > Act. Die Prozesse sollten regelmäßig auf ihre Wirksamkeit und Effizienz überprüft werden. Dazu gehören auch Audits durch unabhängige Kontrollstellen.

Dies ist deshalb so heikel, weil die UNECE-Regelung zwar ausdrückliche Anforderungen stellt, es aber den Herstellern überlässt, wie sie diese Anforderungen erfüllen wollen. Das SUMS ist ein wichtiger Aspekt der Zulassungsprozesse und der Homologation und muss zertifiziert werden. Wie ein CSMS muss auch das SUMS von einer neutralen Stelle geprüft und zertifiziert werden, andernfalls wird dem Fahrzeug keine Typgenehmigung erteilt.

Ich werde dieses Diagramm verwenden, um zu erklären, wie der Prozess funktioniert.

Hier sehen Sie, dass ein SUMS erstellt werden muss, beispielsweise auf der Grundlage der ISO 24089.

Ein Auditor einer von der UNECE gelisteten Zertifizierungsstelle prüft, ob das SUMS und die tatsächlichen Aktivitäten, die wir zuvor besprochen haben, von Ihrem Unternehmen durchgeführt werden und geeignet sind, die gesetzlichen Anforderungen der UNECE R.156 zu erfüllen. Wenn ja, erhalten Sie ein Zertifikat für Ihr Unternehmen, das drei Jahre lang gültig ist.

Um die Fahrzeuge auf den Markt zu bringen, reicht das aber nicht aus. Alle als kritisch eingestuften Bauteile müssen zusätzlich von einer unabhängigen Person zertifiziert werden. Auch dafür erhalten die Hersteller ein Zertifikat in Form eines Systemvalidierungsberichts für jeden Release-Kandidaten. Aus Sicht der Zulassung unterscheidet sich hier ein SUMS von einem Cybersecurity-Managementsystem, denn nur das SUMS beinhaltet zusätzlich den Aspekt der Komponentenzertifizierung.

Als Hersteller benötigen Sie eine Typgenehmigung von der nationalen Zulassungsbehörde, bevor die Produktion beginnt. Die Behörden prüfen, ob alle erforderlichen Zertifikate vorhanden sind und ob sie von einer unabhängigen Stelle auditiert wurden.

Für die Bauartgenehmigung benötigen Sie also

1. Ein Zertifikat für Ihr Cybersecurity-Management-System
2. Ein Zertifikat für Ihr Software-Update-Managementsystem
3. Zahlreiche Zertifikate für relevante Komponenten

Wenn alle Anforderungen erfüllt sind, erhält Ihr Fahrzeug seine Typgenehmigung und Homologation. Dann und nur dann dürfen Sie das Fahrzeug verkaufen.