Renault setzt für die eigene SDV-Plattform die relativ neue Programmiersprache Rust ein (Bild: Renault)
Der Trend hin zum Software-Defined Vehicle birgt für die Industrie weiterhin viele Herausforderungen. Eine ganze Reihe von Unternehmen befasst sich bereits mit einer Programmiersprache, die hier deutliche Erleichterungen bringen könnte: Rust. „Eines der Versprechen von SDVs besteht hauptsächlich darin, Updates sehr schnell, überall im Fahrzeug ausliefern zu können, und den Datenfluss zwischen allen Teilen des Fahrzeugs frei zu gestalten, um die Entwicklung neuer datenorientierter Funktionen zu erleichtern“, stellt Frédéric Ameye fest, Cybersecurity & Embedded Systems Expert bei Ampere, der Elektromobilitätsmarke des Renault-Konzerns. Das gehe mit sehr strengen Anforderungen im Bereich Sicherheit und funktionaler Sicherheit einher.
Bei Ampere habe man die Gelegenheit genutzt, die SDV-Plattform in Partnerschaft mit Google und Qualcomm gemeinsam zu entwerfen. „Wir konnten einige Neuentwicklungen von Grund auf beginnen, in Form eines Frameworks, das als Rückgrat all unserer Apps dienen sollte“, berichtet Ameye. Dafür habe man Rust gewählt, für das mehr als 200 Developer geschult wurden. Mit der klaren Entscheidung für die neue Programmiersprache sei es gelungen, sie in verschiedene Teile der Plattform zu bringen und schrittweise die Markteinführungszeit und die Zufriedenheit der Entwickler zu verbessern.
Welche Vorteile bietet Rust gegenüber anderen Sprachen?
Aus Sicht von Stefan Nürnberger, Co-Founder und CEO von Veecle, stellt Rust einen Quantensprung dar. Bei der Gründung des Startups entschied man sich, das Risiko einzugehen und auf die relativ junge Sprache zu setzen. Man habe Pionierarbeit geleistet, um ihre Nutzung im sicherheitskritischen Umfeld im Fahrzeug robust nutzbar zu machen, sagt Nürnberger: „Die Vorreiter waren Volvo und Hyundai, Kia, Genesis und Renault – sie haben als interne Vorgabe eingeführt, dass Neues bevorzugt in Rust entwickelt werden soll“. Aus seiner Sicht sind die wichtigsten Vorteile, dass Rust weniger fehleranfällig ist – rund um den Faktor zwei liege der Zeitgewinn durch die kürzere Fehlersuche in etwa. Zudem könne damit sichergestellt werden, dass Millionen Fahrzeuge nur die vom Hersteller freigegebenen Over-the-Air-Updates erhalten; die Gefahr von Hintertüren nehme deutlich ab.
„Die Programmiersprache erlaubt es besser als andere, Hardware und Betriebssysteme weitgehend zu abstrahieren. Damit kann bereits entwickelter Code später auf noch unbekannter Hardware laufen“, sagt Nürnberger auch. Das trage dazu bei, dass europäische OEMs leichter die deutlich kürzeren Entwicklungszyklen chinesischer OEMs einholen könnten.
„Normalerweise muss man sich zwischen Sicherheit und Zuverlässigkeit versus Performance versus Benutzerfreundlichkeit, etwa Kosten, entscheiden, und man kann nur zwei auswählen. Mit Rust bekommt man alle drei“, lobt Ameye. Ampere setzte Rust in neuen Komponenten vor allem in Bereichen ein, die viel Performance oder Entwicklungsspielraum benötigen, Stichwort fearless refactoring, oder dort, wo Sicherheit besonders wichtig ist. Dazu gehören kryptographische Operationen, Internet-gerichteter Code (der auf Systemen läuft, die direkt Anfragen aus dem Internet empfangen) oder kritischer Firmware-Update-Code. „Wir haben Rust erfolgreich mit bestehenden C- oder C++-Code-Basen sowie mit modellbasiert generiertem Code verbunden: So konnten wir die Vorteile der neuen Technologie nutzen, während der bewährte, qualifizierte Code weiterhin funktionierte“, erinnert sich Ameye.
Automotive Software Strategies 2025:
Frédéric Ameye und Stefan Nürnberger sprechen aktuell bei der Automotive Software Strategies Conference in München. Die ASS ist die Plattform, wenn es um die neuesten Entwicklungen bei softwaredefinierten Fahrzeugen und ihren Architekturen geht. Die Teilnehmer:innen werden die Möglichkeit haben, sich an Diskussionen über neue Trends und Strategien zu beteiligen, insbesondere mit Blick auf China als führenden Markt für softwaredefinierte Fahrzeuge. Verpassen Sie nicht die Gelegenheit, sich mit anderen Fachleuten auszutauschen und wertvolle Einblicke zu gewinnen, die Ihr Unternehmen in dieser sich schnell entwickelnden Branche voranbringen werden. Mehr Infos hier.
Insgesamt sei ein solcher Umstieg nicht ohne Schwierigkeiten, da viele Prozesse in der Branche an den jahrzehntelangen Einsatz anderer Sprachen gebunden sind. „Unser Ökosystem war jedoch sehr offen für diese Idee“, erzählt Frédéric Ameye. So hätte sich Google intern bereits vollständig für den Einsatz von Rust entschieden, während die anderen Tier1- oder Tier2-Partner ihrerseits schon einige Rust-Initiativen gestartet hatten. „Unser Projekt ermöglichte es ihnen, Rust konkret in der Produktion einzusetzen. Einige unserer Partner berichteten von 20 Prozent geringeren Kosten aufgrund ihrer verbesserten Produktivität im Vergleich zu C++“, fasst der Cybersecurity-Spezialist zusammen. Weil sich mit Rust rund 70 Prozent der typischen Fehler eliminieren ließen, sei mehr Zeit verfügbar, sich auf das Testen der verbleibenden 30 Prozent zu konzentrieren.
Wie kann GenAI die Einführung von Rust unterstützen?
Die strategische Entscheidung für die neue Programmiersprache müsse auf Managementebene getroffen werden, meint Stefan Nürnberger. Ein Roadblock sei derzeit, dass noch nicht so viele Entwickler die Sprache beherrschen. Hier setzten aufgrund des Innovationsdrucks viele OEMs derzeit auf die Zusammenarbeit mit Startups. Doch mit der Nutzung von Large Language Models könnte sich diese Lücke bald schneller schließen. Dafür reichert das Startup seinen Stack mit fahrzeugspezifischem Kontext an, um die Ergebnisse der KI zu verbessern.
„Meiner Meinung nach ist es richtig, jetzt viel Vorarbeit zu leisten, damit die Entwickler leichter Software-definierte Funktionen schaffen können“, stellt der CEO fest. Als Beispiel aus der Praxis nennt Nürnberger eine Funktion, mit der ein Kunde für einen Wischblätterwechsel sehr einfach seinen Scheibenwischer per App in die Service-Position fahren kann. „Auf Basis des Sprachmodells kann funktionierender Code dafür innerhalb von 10 Minuten erzeugt werden. Bisher würde man mit einem 20-köpfigen Team neun Monate entwickeln, bis man die Perfektion erreicht hat“, so Nürnberger.
Wo hat Rust noch Probleme?
Aus Sicht von Ameye gibt es perspektivisch jedoch noch einige Hürden. Dazu gehöre etwa das Fehlen eines stabilen ABI (Application Binary Interface) in Rust, was oft noch C-Schnittstellen erfordere. Für die nächste Generation will man Rust in sicherheitskritischen Kontexten (bis ASIL B) einsetzen, um die Entwicklung fortgeschrittener Fahrerassistenzfunktionen zu erleichtern. Hier sei viel komplexer Code zum Beispiel für die Zusammenführung von Kamera- und Radardaten nötig, zugleich müssen sie funktional sicher sein.
„In diesem Bereich muss die Branche noch viel Arbeit leisten, um die ISO 26262-Prozesse an die Rust-Entwicklung anzupassen. Auch wenn es keine großen technischen Hürden für ASIL B gibt, müssen wir dennoch unsere Praktiken, Programmierleitlinien und die Tool-Nutzung gemeinsam anpassen“, sagt der Ampere-Spezialist. Für die höchste Sicherheitsstufe ASIL D könne es hingegen technische Hürden geben. Er empfiehlt, die Arbeit des offiziellen Safety-Critical Consortium der Rust Foundation zu verfolgen.
„Wir müssen auch die Einführung von Rust bei unseren Zulieferern verbessern. Einige ihrer Komponenten sind für die Sicherheit unserer Plattformen hochkritisch, und wir wissen, dass die verbesserten Sicherheitsmechanismen von Rust dazu beitragen können, die Systemkomplexität unserer Fahrzeuge zu reduzieren“, so Ameye. Gerade in Bereichen wie SoC Firmware (System-on-Chip), Hypervisor-Treiber (Virtualisierungs-Software) oder Konnektivitäts-Stacks seien diese Technologien äußerst vorteilhaft für die Gesamtresilienz des Fahrzeugs gegenüber Hackern.
