
Der Hochleistungsrechner ICAS (In-Car Application Server) in VWs ID-Modellen ist von Elektrobit mitentwickelt worden und läuft auf dem Open-Source-Linux Ubuntu. (Bild: Volkswagen)
Linux hat sich inzwischen in vielen Bereichen als Betriebssystem durchgesetzt: im Rechenzentrum, in der Telekommunikationsinfrastruktur, in Smartphones, bei Fernsehgeräten und in der Medizintechnik. Das nächste Feld könnte das Fahrzeug sein, oder genauer: bestimmte Domänen im Fahrzeug. „Begünstigt wird das durch die Konsolidierung der Steuergeräte, die in neuen Fahrzeugmodellen durch wenige Domänen-Rechner ersetzt werden“, sagt Elektrobit-CTO Christian Reinhard. So kommt zum Beispiel in Volkswagens Elektromodell ID.3 ein In-Car Application Server von Continental zum Einsatz. Desse Betriebssystem, ein Linux-Derivat, stammt von der Continental-Tochter Elektrobit.
„Linux ist ein modernes Betriebssystem, hat zahllose Schnittstellen, viele Tools und viele Leute, die damit entwickeln“, nennt Reinhard die Vorteile. Auch die Automobilbranche gehe anders mit dem Betriebssystem um als noch vor zehn Jahren. „Damals bauten OEMs und große Zulieferer ausgehend vom Kernel ihr Linux-Derivat für das konkrete Einsatzgebiet manuell zusammen. Heute muss die Wartung für 15 Jahre gewährleistet sein – Security, Fehlerbehebung, Updates inklusive.“ Elektrobit setzt deshalb auf Ubuntu-Linux und ist eine Partnerschaft mit Canonical eingegangen. Canonical ist für die lange Wartbarkeit des Kernels und angrenzender Module zuständig, Elektrobit für die Wartbarkeit der Automotive-Safety-Funktionen und -Komponenten.
Linux diente lange als Rumpfbetriebssystem
Pedro Pacheco, Research Vice President bei Gartner für die Mobilitätsbranche, sagt, dass Linux in der Industrie viele Jahre lang als Rumpfsystem fürs Infotainment wahrgenommen wurde. Die Eigenentwicklung MBUX von Mercedes-Benz zum Beispiel beruht auf einem Embedded-Linux des Yocto-Projekts. Auch Toyota, Mazda und Mitsubishi setzten Linux in Fahrzeugen ein. „Initiativen wie Automotive Grade Linux verbreiten mit ihrem offenen Framework nun seit einigen Jahren die Botschaft, dass da noch mehr geht“, sagt Pacheco.
Automotive Grade Linux ist unter dem Dach der Linux Foundation angesiedelt. Darüber hinaus gibt es weitere Konsortien, durch die Linux im Fahrzeug hoffähig werden soll, etwa im Rahmen der Eclipse Software Defined Vehicle Initiative, durch SOAFEE (Scalable Open Architecture für Embedded Edge) oder durch das Projekt ELISA, das auf ein Linux für sicherheitskritische Systeme abzielt. „Interessant ist, dass das Thema Linux sowohl bei OEMs zu finden ist, die eine hohe Softwarekompetenz haben, als auch bei OEMs, die in dieser Hinsicht nicht in der ersten Reihe stehen“, so Pacheco. Die Stärken des Open-Source-Betriebssystems könnten sicherlich solche OEMs am besten ausnutzen, die sehr softwareaffin seien. „Also besonders Newcomer im Markt.“
Ein Konkurrent für Android Automotive?
Ein Betriebssystem, das auf dem Linux-Kernel aufsetzt, ist bekanntlich auch Googles Android Automotive OS. Seine Domäne ist das Infotainment. BMW, Mercedes-Benz, Volvo und Polestar zum Beispiel setzen das Betriebssystem in verschiedenen Umfängen ein. Elektrobit-CTO Reinhard, dessen Unternehmen nicht nur das eigene Linux in der Softwareentwicklung nutzt, sondern auch Android Automotive, erwartet nicht, dass sich die beiden Betriebssysteme ins Gehege kommen werden: „Android bringt für das Infotainment viele Funktionalitäten und ein großes Ökosystem mit – hier sehen wir nicht das Einsatzgebiet unseres Linux.“ Dessen Zielmärkte seien der Bereich Body, perspektivisch auch die Fahrerassistenz. Dazu will Elektrobit noch dieses Jahr sein als ASIL-B (Automotive Safety Integrity Level) zertifiziertes Linux auf den Markt bringen.
Denn heutige Linux-Distributionen sind nicht auf die speziellen Anforderungen im Fahrzeug ausgelegt. Das Booten dauert zu lang und die Echtzeitfähigkeit ist unzureichend. Wie Linux mit fehlgeschlagenen Updates umgeht, ist ebenfalls unzureichend. In der ISO-Norm 26262 ist geregelt, wie sicherheitsrelevante E/E-Systeme in Fahrzeugen zu entwickeln sind, um funktionale Sicherheit zu erreichen. Der Level ASIL-A ist sozusagen das Basiscamp, ASIL-D der Gipfel der funktionalen Sicherheit. „Für welche Fahrassistenzfunktionen ein ASIL-B-Linux ausreicht, lässt sich gar nicht pauschal sagen“, so Reinhard. „Level 2 ist sicherlich möglich, Level 2+ wohl auch. Bei Level 3 kommt es auf die konkrete Anforderung an. Für ASIL-D-Anwendungen nutzt Elektrobit weiterhin ein proprietäres Betriebssystem.“
Linux kann nicht alles
Mehr als ASIL-B gilt unter vielen Fachleuten bei Linux derzeit aber eh nicht als erstrebenswert. Der Kernel ist viel zu umfangreich, eine noch höhere Zertifizierung wäre extrem aufwendig – wenn überhaupt die technischen Voraussetzungen erfüllbar wären, was keineswegs gesichert ist. Zumal es für ASIL-D-Anforderungen bereits zertifizierte schlanke Lösungen gibt. Auch Harald Ruckriegel sieht die Zukunft von Linux im ASIL-B-Umfeld. Er ist bei der IBM-Tochter Red Hat als Global Automotive Industry Lead für das Thema Software-defined Vehicle verantwortlich. Google betrachtet er als „spannenden Ökosystempartner“, nicht als Konkurrenz. „Wir verstehen uns auch beim Fahrzeug als Basisinfrastruktur-Enabler, wir bewegen uns nicht auf der Ebene der Fahrzeug-Middleware oder der -Services“, stellt er klar.
Red Hat will sein Enterprise Linux ASIL-B-fähig machen. Dazu ist das Unternehmen eine Partnerschaft mit dem akkreditierten Zertifizierer Exida eingegangen. „Die Idee ist, unser Betriebssystem einmal aufwendig zu zertifizieren, während die Re-Zertifizierungen nach Updates dann recht einfach wären“, erläutert Ruckriegel. Bis wann dieses ASIL-B-zertifizierte Linux verfügbar sein wird, ist bislang nicht öffentlich bekannt. Im vergangenen Jahr hatten Red Hat und General Motors jedoch angekündigt, dass der OEM das ASIL-B-Linux als Teil seiner künftigen In-Vehicle-Software-Plattform Ultifi sieht. GM hat angekündigt, Ultifi ab diesem Jahr in „ausgewählte Fahrzeuge der nächsten Generation“ zu bringen. Was immer das heißt.
„Linux bietet die Möglichkeit, Software-Container auszuführen“, sagt Hans Windpassinger, in IBMs Team Global Manufacturing Industries verantwortlich für das Thema Software-defined Vehicle. Die in einem Container befindliche Software bringt ihre eigene Konfiguration und Umgebung mit – ein Ansatz, der sich im Enterprise-Umfeld bereits bewährt. „Die Idee wäre nun, solche Container im Backend zu entwickeln und sie dann automatisiert und regelbasiert auf die zahllosen im Markt befindlichen Fahrzeuge auszuspielen – oder in die intelligente Straßen- und Telekommunikationsinfrastruktur“, sagt Windpassinger. „Einmal entwickeln, überall ausliefern.“