Zwischen Steuergerät und Vehicle Computer Hypervisor: Das Fundament für Software-Defined Vehicles

Von Kernkonzept GmbH 6 min Lesedauer

Anbieter zum Thema

Zentrale Vehicle Computer bündeln diverse Funktionen. Ein sicherer Hypervisor garantiert dabei die strikte Isolation von Software-Domänen – das Fundament für das Software-Defined Vehicle.

Vernetzte Mobilität braucht Sicherheit: Hypervisor-Technologien ermöglichen die zuverlässige Trennung kritischer Funktionen auf zentralen Fahrzeugrechnern.(Bild:  Kernkonzept GmbH)
Vernetzte Mobilität braucht Sicherheit: Hypervisor-Technologien ermöglichen die zuverlässige Trennung kritischer Funktionen auf zentralen Fahrzeugrechnern.
(Bild: Kernkonzept GmbH)

Die Automobilindustrie befindet sich mitten in einem tiefgreifenden Architekturwandel. Klassische Fahrzeugplattformen mit Dutzenden Steuergeräten stoßen an technische, wirtschaftliche und regulatorische Grenzen. Gleichzeitig wachsen die Anforderungen an Software-Integration, Over-the-Air-Updates, funktionale Sicherheit und Cybersecurity. Im Zuge zonaler E/E-Architekturen und zentralisierter Hochleistungsrechner gewinnen deshalb Hypervisor- und Separation-Kernel-Ansätze an Bedeutung. Sie schaffen die Grundlage für die zuverlässige Trennung von sicherheitskritischen Funktionen, Infotainment, Connectivity und KI-Anwendungen auf gemeinsamen Hardware-Plattformen.
Noch vor wenigen Jahren galt die klassische ECU-Architektur mit zahlreichen dedizierten Steuergeräten als Standard moderner Fahrzeuge. Nahezu jede Funktion hatte ein separates System – von Fahrerassistenz und Bremse bis zu Infotainment und Komfortelektronik. Mit dem Aufstieg des Software-Defined Vehicle (SDV) gerät dieses Modell jedoch zunehmend unter Druck.
„Es ist schlicht kaum mehr möglich, weitere Steuergeräte in einem Fahrzeug zu verbauen“, erklärt Dr. Adam Lackorzynski, CTO und Gründer der Kernkonzept GmbH, Spezialist für sichere Virtualisierungs- und Hypervisor-Technologien. „Bereits heute werden mehrere Kilometer Kabel pro Fahrzeug benötigt. Gleichzeitig steigen die Kosten für Entwicklung, Integration und Wartung enorm.“

Mit dem Cortex-R52 wurde Virtualisierung überhaupt erst in die Welt der Echtzeit-MCUs gebracht. Bestehende Hypervisoren mussten dafür grundlegend angepasst werden.

Hypervisor im Auto: Virtualisierung isoliert Mixed-Criticality

Mit der Konsolidierung ehemals physisch getrennter Funktionen entstehen allerdings neue Herausforderungen: Während einzelne Steuergeräte bislang weitgehend isoliert voneinander arbeiteten, teilen sich heute unterschiedliche Anwendungen dieselbe Hardware-Plattform. „Fehlfunktionen einzelner Softwarekomponenten können sich plötzlich auf andere Komponenten auswirken, weil diese nun gemeinsame Rechenressourcen nutzen“, erläutert Lackorzynski. „Genau diese gegenseitige Beeinflussung muss verhindert werden.“
Besonders kritisch wird dies bei sogenannten Mixed-Criticality-Systemen. Hier laufen sicherheitskritische Funktionen wie Bremse, Lenkung oder Fahrerassistenz parallel zu weniger kritischen Anwendungen wie Infotainment, Connectivity oder OTA-Update-Mechanismen.
Damit solche Architekturen beherrschbar bleiben, gewinnt Virtualisierung im Automotive-Umfeld zunehmend an Relevanz. Hypervisor-Technologien partitionieren Hardware in klar getrennte Bereiche und weisen einzelnen virtuellen Maschinen dedizierte CPU-, Speicher- und I/O-Ressourcen zu. So werden vormals physisch getrennte Steuergeräte logisch nachgebildet.
„Ein Hypervisor bildet in Software die getrennten Steuergeräte nach, die vorher physisch voneinander isoliert waren“, erklärt Lackorzynski. „Dadurch lassen sich unterschiedliche Softwarefunktionen unabhängig voneinander integrieren und absichern.“

Vergleich der TCBs: Links ein monolithischer Kernel mit großer TCB, rechts ein L4Re‑Microkernel mit reduzierter TCB. Hypervisor/Virtualisierung isolieren sicherheitskritische Funktionen von Infotainment/OTA.(Bild:  Kernkonzept GmbH)
Vergleich der TCBs: Links ein monolithischer Kernel mit großer TCB, rechts ein L4Re‑Microkernel mit reduzierter TCB. Hypervisor/Virtualisierung isolieren sicherheitskritische Funktionen von Infotainment/OTA.
(Bild: Kernkonzept GmbH)

Freedom from Interference als zentrale Sicherheitsanforderung

Eine der wichtigsten Anforderungen moderner Fahrzeugarchitekturen lautet „Freedom from Interference“. Gemeint ist die nachweisbare Isolation unterschiedlicher Softwaredomänen, sodass Fehlverhalten oder Angriffe innerhalb einer Partition keine Auswirkungen auf andere Systembereiche haben.Im Kontext funktionaler Sicherheit gemäß ISO 26262 spielt diese Eigenschaft eine zentrale Rolle. Sicherheitskritische Funktionen müssen deterministisch arbeiten und dürfen weder durch Komfortfunktionen noch durch potenziell kompromittierte Software beeinflusst werden. „Für eine Zertifizierung muss nachgewiesen werden, dass die Trennung tatsächlich zuverlässig funktioniert“, erklärt Lackorzynski. „Dafür muss jeglicher Code, der für die Isolation verantwortlich ist, entsprechend entworfen, getestet und zertifiziert werden.“

Hier kommen Mikrokern- und Separationskern-Ansätze ins Spiel. Anders als monolithische Hypervisoren konzentrieren sie sich auf eine möglichst kleine Trusted Computing Base (TCB). Der Kernel enthält nur die unbedingt notwendigen Funktionen zur Isolation und Ressourcenverwaltung. Alle weiteren Dienste wie Dateisysteme, Treiber oder Netzwerkkomponenten laufen separat und voneinander isoliert.
„Der Mikrokern-Ansatz reduziert den sicherheitskritischen Code auf das absolut notwendige Minimum“, so Lackorzynski. „Dadurch wird die Zertifizierung komplexer Systeme überhaupt erst wirtschaftlich möglich.“ Die von Kernkonzept entwickelte L4Re-Technologie verfolgt genau diesen Ansatz. Der L4Re Micro Hypervisor ist sowohl für Safety- als auch Security-Anforderungen ausgelegt und mehrfach zertifiziert – unter anderem nach Common Criteria EAL4+.

Hypervisor-Technologien als Grundlage zonaler Fahrzeugarchitekturen

Mit dem Übergang zu zonalen E/E-Architekturen verändern sich nicht nur die Softwarestrukturen, sondern auch die zugrunde liegende Hardware. Moderne Automotive-SoCs kombinieren heute unterschiedliche Prozessorklassen – beispielsweise leistungsfähige Cortex-A-Kerne mit Echtzeit-MCUs wie Arm Cortex-R52 oder Cortex-R82.
Diese heterogenen Plattformen stellen hohe Anforderungen an Hypervisor-Architekturen. Während klassische IT-Hypervisoren stark auf MMU-basierte Hochleistungsprozessoren ausgelegt sind, müssen Automotive-Hypervisor auch mit ressourcenbegrenzten MPU-basierten Echtzeitkernen umgehen können.
„Mit dem Cortex-R52 wurde Virtualisierung überhaupt erst in die Welt der Echtzeit-MCUs gebracht“, erläutert Lackorzynski. „Bestehende Hypervisoren mussten dafür grundlegend angepasst werden.“ L4Re unterstützt in diesem Zusammenhang sowohl MMU- als auch MPU-basierte Systeme und stellt dabei übergreifend einheitliche APIs bereit. Dadurch können Softwarefunktionen flexibel zwischen unterschiedlichen Hardware-Plattformen verschoben werden.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung
Virtualisierung im Fahrzeug: Hypervisor und Microkernel partitionieren die Hardware, bilden virtuelle Steuergeräte und isolieren sicherheitskritische Funktionen (Bremse, Lenkung, Fahrerassistenz) von weniger kritischen Anwendungen wie Infotainment oder OTA‑Updates. Dadurch wird die Trusted Computing Base reduziert und gegenseitige Beeinflussung verhindert.(Bild:  Kernkonzept GmbH)
Virtualisierung im Fahrzeug: Hypervisor und Microkernel partitionieren die Hardware, bilden virtuelle Steuergeräte und isolieren sicherheitskritische Funktionen (Bremse, Lenkung, Fahrerassistenz) von weniger kritischen Anwendungen wie Infotainment oder OTA‑Updates. Dadurch wird die Trusted Computing Base reduziert und gegenseitige Beeinflussung verhindert.
(Bild: Kernkonzept GmbH)

„Im Sinne des Software-Defined Vehicle müssen sich Softwarekomponenten unabhängig von der CPU-Architektur entwickeln und einsetzen lassen“, erklärt Lackorzynski. „Eine einheitliche Hypervisor-Schicht schafft genau diese Flexibilität.“
Gleichzeitig unterstützt die Virtualisierung die Integration unterschiedlicher Betriebssysteme innerhalb eines gemeinsamen Controllers. Linux, Autosar, Zephyr oder FreeRTOS lassen sich parallel auf derselben Hardware betreiben, ohne dass bestehende Software vollständig angepasst werden muss. „Viele Echtzeitbetriebssysteme greifen direkt auf die Hardware zu und verwalten diese exklusiv“, so Lackorzynski. „Erst ein Hypervisor ermöglicht es, mehrere dieser Systeme parallel und sicher auf einem Controller auszuführen.“

Mit dem Übergang zu zonalen E/E-Architekturen verändern sich nicht nur die Softwarestrukturen, sondern auch die zugrunde liegende Hardware.

Cybersecurity und OTA-Updates sicher beherrschbar machen

Mit der zunehmenden Vernetzung moderner Fahrzeuge rückt neben der funktionalen Sicherheit auch Cybersecurity in den Fokus. Die Norm ISO/SAE 21434 definiert umfangreiche Anforderungen an sichere Fahrzeugarchitekturen. Insbesondere Over-the-Air (OTA)-Updates gelten als zentrales Element des Software-Defined Vehicle. Neue Funktionen, Sicherheitsupdates und Fehlerkorrekturen sollen künftig kontinuierlich eingespielt werden können – ohne Werkstattbesuch.
Damit steigen jedoch die Risiken kompromittierter Softwarekomponenten. Monolithische Systeme bergen hier erhebliche Gefahren: Eine einzelne Schwachstelle kann potenziell das gesamte Steuergerät kompromittieren. „Mikrokern-basierte Systeme begegnen diesem Risiko bereits auf Architekturebene“, erklärt Lackorzynski. „Eine Sicherheitslücke in einer einzelnen Komponente hat deutlich begrenztere Auswirkungen.“
Durch die klare Partitionierung lassen sich zudem einzelne Domänen unabhängig aktualisieren. Für die funktionale Sicherheit kritische Bereiche müssen bei OTA-Updates nicht zwangsläufig verändert werden. „Die Separierung des Systems ist essenzieller Bestandteil einer partiellen OTA-Strategie“, betont Lackorzynski.
Darüber hinaus treten Fragen zur digitalen Souveränität zunehmend in den Fokus, wenn sich Fahrzeuge immer stärker zu vernetzten Datenplattformen mit permanenter Cloud-Anbindung entwickeln. „Eine nachweisbar isolierte und auditierbare Softwareschicht wird künftig zur technischen Voraussetzung für vertrauenswürdige Fahrzeugplattformen“, erklärt Lackorzynski. „Separationskerne und verifizierbare Mikrokerne werden damit nicht nur für funktionale Sicherheit relevant, sondern auch für digitale Souveränität.“

Skalierbare Fahrzeugplattformen für kommende Fahrzeuggenerationen

Mit Blick auf zukünftige SDV-Architekturen zeichnet sich ab, dass Hypervisor- und Separationskern-Technologien langfristig zur zentralen Infrastrukturschicht werden. Insbesondere zentrale Vehicle Computer mit konsolidierten Funktionen benötigen Plattformen, die sowohl Hochleistungsanwendungen als auch sicherheitskritische Echtzeitdomänen zuverlässig voneinander trennen können.

Zonale Architektur (L4Re): Zonal‑Controller an den Seiten sind über Busse mit zentralen HPC‑Body‑Controllern verbunden und ermöglichen Partitionierung sowie sichere Isolation sicherheitskritischer und nicht‑kritischer Funktionen.(Bild:  Kernkonzept GmbH)
Zonale Architektur (L4Re): Zonal‑Controller an den Seiten sind über Busse mit zentralen HPC‑Body‑Controllern verbunden und ermöglichen Partitionierung sowie sichere Isolation sicherheitskritischer und nicht‑kritischer Funktionen.
(Bild: Kernkonzept GmbH)

„Mit der weiteren Zentralisierung der Fahrzeugsoftware wird eine grundsolide Separierung im System essenziell“, so Lackorzynski. „Nur so lassen sich die zahlreichen Softwarefunktionen zukünftiger Fahrzeuge sicher und skalierbar auf gemeinsamen Hardware-Plattformen betreiben.“
Zugleich schaffen abstrahierende Hypervisor-Layer die Grundlage, um Software-Investitionen über mehrere Fahrzeuggenerationen hinweg weiterzuverwenden. Anpassungen an neue Hardware erfolgen dann primär innerhalb des Hypervisors bzw. der zugrunde liegenden Abstraktionsschicht. Dadurch entsteht eine deutlich flexiblere Software-Architektur, die sich schneller an neue Hardware-Plattformen, Prozessorgenerationen und regulatorische Anforderungen anpassen kann.

Mikrokernel‑Hypervisor: Schlüssel zur sicheren SDV‑Architektur

Die Transformation zum Software-Defined Vehicle verändert die gesamte Fahrzeugarchitektur grundlegend. Die Konsolidierung vieler einzelner Steuergeräte auf wenige zentrale Rechnerplattformen erhöht zwar Effizienz, Flexibilität und Wartbarkeit, sie stellt OEMs und Zulieferer jedoch gleichzeitig hinsichtlich funktionaler Sicherheit, Echtzeitfähigkeit und Cybersecurity vor enorme Herausforderungen.
Hypervisor- und Separationskern-Technologien entwickeln sich deshalb zunehmend zur Schlüsselkomponente moderner Fahrzeugplattformen. Insbesondere Mikrokern-basierte Ansätze mit minimaler Trusted Computing Base ermöglichen die sichere Isolation unterschiedlicher Domänen und schaffen so die Grundlage für zertifizierbare Mixed-Criticality-Systeme.
Mit Lösungen wie dem L4Re Micro Hypervisor und dem L4Re Betriebssystem-Framework adressiert etwa Kernkonzept genau diese Anforderungen und unterstützt Fahrzeughersteller dabei, sichere, flexible und langfristig skalierbare SDV-Architekturen umzusetzen.