Kommt Embedded Linux in Safety-kritischen Applikationen zum Einsatz, können zwei unterschiedliche Ansätze verfolgt werden: Im ersten, klassischen Ansatz trennt man die Safety-Funktionen (Safety Island) strikt von den übrigen Funktionen. Häufig wird dieser Ansatz mit zwei vollständig getrennten Prozessoren realisiert. In der Safety Domäne kommen unterschiedliche (Echtzeit-) Betriebssysteme oder Lösungen wie QNX oder VXWorks zum Einsatz.
Im zweiten, flexibleren Ansatz werden die Safety-Funktionen auf einem Linux-System ausgeführt. Dieses wird jedoch durch einen Supervisor überwacht, sodass es die Safety-Funktion nicht unkontrolliert beeinflussen oder gar stören kann.
Safety Engineering für Embedded Linux-basierte Systeme
Bei beiden der oben genannten Ansätze unterstützen unsere Safety Engineers und Embedded Linux-Experten Sie bei der Auswahl einer geeigneten Architektur und der zugehörigen Risikoanalyse. Hierbei profitieren Sie von der Erfahrung aus mehreren IEC62304 oder IEC 61508 pflichtigen Projekten, in denen Embedded Linux zum Einsatz kommt.
Die Safety Engineers begleiten im Anschluss auch das gesamte Umsetzungsprojekt und die anschließende Lifecycle Maintenance, um zu gewährleisten, dass nicht nur die Implementierung, sondern auch Tests und Safety Dokumentation standard-konform erfolgen.
Embedded Linux und Safety – Vorteile der Zusammenarbeit mit emlix
Auf Basis unserer Erfahrungen aus unterschiedlichen Domänen, die wir die letzten 25 Jahre sammeln konnten, bieten wir Ihnen Unterstützung in der Systemauslegung unter Berücksichtigung der Eigenschaften „funktionale Sicherheit“ und „Cybersecurity“/ Cybersicherheit. Die integrierte Betrachtung ist Grundlage einer effektiven Gesamtauslegung und einer balancierten Berücksichtigung sich unterstützender oder auch gegensätzlicher Anforderungen. Die Betrachtung von Gesamtsystem bis hin zur SW-Lösung hilft, effiziente Lösung auf passenden Systemabstraktionsebenen zu finden.
■ Integrierte Safety- und Security-Konzepte: Heute sind die beiden Domänen häufig künstlich (personell) getrennt, obwohl sie starke Abhängigkeiten zueinander haben.
■ Safety Engineers und Linux-/Kernel-Experten arbeiten bei Konzeption und Umsetzung eng zusammen. emlix verfügt über vieljährige Erfahrung in beiden Bereichen.
■ Abhängig vom Modell der Zusammenarbeit unterstützen wir Sie beim Erstellen der relevanten Safety-Dokumente
■ Lösungsbasierte Auslegung und Umsetzung auf Basis assessierter Bausteine (EN 61508, ISO26262): Auf Basis unserer OS-Lösung für funktional und cybersichere Systeme basierend auf Linux entwickeln wir für und mit unseren Kunden passende produktspezifische Lösungen im regulierten Umfeld.
Homogene Laufzeitumgebung für kritische und nicht-kritische Applikationen
Für Safety Anforderungen bis zu SIL2 oder ASIL B bietet sich neben dem klassischen Ansatz ein deutlich schlankerer und flexiblerer Ansatz an, bei dem das Linux (sowie weitere Systeme) auf einem Hypervisor läuft. Entscheidend ist dabei jedoch die ebenfalls auf dem Hypervisor laufende Supervisor Software. Sie stellt sicher, dass der Linux Kernel keine unerlaubten, die Safety-Funktion störenden Speicherzugriffe tätigen kann, ohne dass dies sofort detektiert wird.
Wichtig dabei ist: Das Linux-System ist nicht safe und muss es auch nicht sein. Es wird lediglich überwacht. Das hat immense Vorteile
■ Das Linux-System trägt keinerlei Safety-Last. Es muss nicht gemäß eines Safety Standards betrachtet werden.
■ Mit nur wenigen kleinen Einschränkungen kann jegliches Linux-System verwendet werden.
■ Das Linux-System kann einer Standard Lifecycle Maintenance unterliegen.
■ Man erhält eine homogene Laufzeitumgebung für sicherheitsrelevante und nicht-sicherheitsrelevante Applikationen
■ Entwicklerkompetenzen und -kapazitäten müssen nur für ein Betriebssystem vorgehalten werden.
■ Rust, C und C++ Applikationen können direkt auf dem Linux ausgeführt werden. Weitere Sprachen und Compiler können genutzt werden, sofern sie Linux-kompatible ELF-Binaries produzieren.
■ Durch die Integration von sicherheitsrelevanten und nicht-sicherheitsrelevanten Applikationen auf einem SOC ist es möglich, beide mit niedriger Latenz in der Kommunikation zu verbinden und die Leistungsreserven eines Linuxsystems auszunutzen.
■ Die Komplexität der Lifecycle Maintenance wird durch die homogene Betriebssystem-Plattform erheblich reduziert.
■ Die bisher bestehende Kluft zwischen Safety und Open Source-Lösungen ist damit geschlossen.
Unsere Leistungen im Überblick
■ Machbarkeits- und Vorstudien inkl. Prototypenentwicklung
■ Konzeptentwicklung hinsichtlich funktionaler Sicherheit und Cybersicherheit
■ Unterstützung von Sicherheitsanalysen
■ Anforderungsidentifikation, -entwicklung, -analyse und -auswahl
■ Architekturentwicklung (System- und Software)
■ Software Komponentendesign, -entwicklung, -auswahl, -konfiguration
■ Qualifizierung existierender OSS-Software
■ Planung, Organisation und Dokumentation
Was ist der Supervisor
Der Supervisor wurde im Auftrag der Elektrobit Automotive GmbH über mehrere Jahre entwickelt. Im März 2025 hat er ein erstes, positives und sehr weitreichendes Assessment durch den TÜV Nord erhalten. Dieses gilt sowohl im Rahmen der IEC 61508 (SIL2) als auch der ISO 26262 (ASIL B, SeooC). Im Mai 2026 wurde das erste Assessment durch ein Folgeassessment bestätigt.
Diese Lösung steht ab sofort für Projektintegrationen beispielsweise in den Bereichen Robotik/Physical AI, Medical Technology, Industrial Automation und Power Engineering zur Verfügung.
Weiterführende Links und Dokumente
Weitere Informationen und FragenSie haben Fragen zu Safety Engineering oder den Safety Supervisor? Rufen Sie uns gerne an oder senden Sie uns eine email. In einem ersten Austausch bewerten wir gemeinsam mit Ihnen, welches Vorgehen für Sie am effizientesten ist. Ihr AnsprechpartnerUnsere Experten aus dem emlix Solutions-Team |