Hochautomatisierte Fahrzeuge benötigen nicht nur ein leistungsfähiges Kommunikationsnetz. Funktionale Sicherheit beginnt bereits bei der Versorgung aller sicherheitsrelevanter Komponenten mit elektrischem Strom. Das klingt banaler, als es ist: Denn das Bordnetz, das zentrale Nervensystem eines Fahrzeugs, muss so ausgelegt werden, dass das System jederzeit und ausnahmslos funktionsfähig bleibt.

Es ist ein Zukunftsszenario, das so nie eintreten darf: Im Jahr 2025 fährt ein autonomes Fahrzeug auf der A6 zwischen Nürnberg und Pilsen im dichten Feierabendverkehr. Die Fahrerin ist in einen Zeitungsartikel vertieft.Angenommen, kurz hinter Amberg legt ein Kurzschluss plötzlich die Stromversorgung mehrerer Sensoren im Wagen lahm. In Folge dessen fiele nicht nur die Frontkamera aus, die im oberen Bereich der Windschutzscheibe angebracht ist. Auch beide Radarsensoren in den vorderen Stoßfängern würden ihren Dienst versagen. Das zentrale Fahrerassistenzsystem würde zwar die Fahrerin aktiv zur Übernahme der Fahraufgabe auffordern, wäre aber nicht mehr in der Lage, das Fahrzeug während dieser Übergangszeit noch automatisch zu steuern und weiterzufahren.

Paradigmenwechsel bei hochautomatisierten Fahren

Würde diese Verkehrsteilnehmerin auf dem Fahrersitz wieder zur Zeitung greifen, wenn ihr Auto aus der Werkstatt zurück ist? Wohl kaum. Der geschilderte Fall darf nie eintreten. Und er zeigt den Paradigmenwechsel, den das hochautomatisierte Fahren für viele Komponenten im Fahrzeug mit sich bringt. Tritt in der Welt der Selbstfahrer ein sicherheitsrelevanter Fehler auf, etwa beim Elektronischen Stabilitätsprogramm (ESP) oder der Servolenkung, dann reduziert sich zwar die Verfügbarkeit, die mechanische Grundfunktion bliebe jedoch erhalten. Dargestellt am Beispiel ESP hätte dies zur Folge, dass das Fahrzeug zwar nicht mehr gezielt durch das elektronisch gesteuerte Abbremsen einzelner Räder stabilisiert werden könnte, der Fahrer aber über die hydraulische Zweikreisbremse das Fahrzeug immer noch durch manuellen Eingriff verzögern könnte. Bei der Lenkung würde er zwar nicht mehr von der elektromechanischen Lenkunterstützung profitieren, könnte aber mit Hilfe der Lenkstange noch immer die Richtung vorgeben, in die sich das Fahrzeug bewegt. Dies bezeichnet man als 'Fail Safe', was es in der bisherigen Welt möglich macht, als Strategie zur Fehlerbehebung das System einfach abzuschalten.

Hingegen die Änderung beim hochautomatisierten Fahren ab SAE-Stufe 3 (Bild 3) besteht darin, dass diese Fail Safe-Strategie keine Option mehr ist: ein wahrer Paradigmenwechsel. Denn das Fahrzeug übernimmt in dieser Automatisierungsstufe nicht nur unterstützend die Längs- und Querführung, sondern der Fahrer darf sich dann auch komplett von der Fahraufgabe abwenden. Und selbst im Falle eines Systemfehlers gibt es einen fest definierten Zeitraum zur Übernahme durch den Fahrer - diskutiert werden hier 10 bis 30 Sekunden. Während dieser Zeit muss das System voll funktionsfähig bleiben, es darf nicht schlagartig ausfallen. Dies bezeichnet 'Fail Operational', als neue Sicherheitsstrategie innerhalb des autonomen Fahrzeugs.

Neben den Aktoren wie Lenkung, Bremse und Antrieb betrifft diese Vorgabe auch die für das hochautomatisierte Fahren notwendigen Hochleistungsrechner und die Kommunikationsinfrastruktur im Fahrzeug. Wie bei einem heutigen Cloud-Rechenzentrum darf auch hier das System aus Rechnern, Sensoren, Aktoren und der verbindenden Kommunikations-Infrastruktur nicht ausfallen.

Zwei Arten von Sicherheit

Wie genau diese Vorgabe umgesetzt werden sollte, definiert das Konzept der Funktionalen Sicherheit ('Safety'). Sie ist zu unterscheiden von der IT-Sicherheit ('Security'), welche Angriffe von außen betrachtet, beispielsweise durch Hacker. Demgegenüber bedeutet Funktionale Sicherheit, dass jedes einzelne System im Fahrzeug so ausgelegt wird, dass bei einer Fehlfunktion kein nicht tolerierbares Risiko entsteht. Sie wird durch die ISO-Norm 26262 geregelt; die Maßnahmen folgen einer Klassifikation 'ASIL' (Automotive Safety Integrity Level), die die Gefährdung des Nutzers ('Severity'), die Häufigkeit des Auftretens ('Exposure') und die Beherrschbarkeit des Fehlers ('Controllability') berücksichtigt.

Strategien für 100-Prozent-Verfügbarkeit

Beim hochautomatisierten Fahren sind es vor allem drei Maßnahmen, die die erforderliche Funktionale Sicherheit herstellen. Die erste Maßnahme besteht in der redundanten Auslegung von Systemen. In Sachen Sensorik kann dies beispielsweise bedeuten, dass eine Frontkamera um zwei weitere Surround-Kameras an den Seitenspiegeln ergänzt wird. Beim Energie-Bordnetz kann Redundanz im einfachsten Fall darin bestehen, zur Stromversorgung wichtiger Komponenten nicht nur ein, sondern zwei Kabel zu verwenden und diese auch entsprechend mit zwei Steckern anzubinden. Oder das Fahrzeug mit intelligenten Kabeln mit integrierter Sensorik auszustatten, welche sich aktiv selbst überwachen und somit höhere Ausfallsicherheit garantieren. Die zweite Maßnahme ist die Diversität: Um etwa das Umfeld eines Fahrzeugs zu erkennen, wird nicht nur eine Art von Sensor verwendet (Kamera), sondern mehrere unterschiedliche Sensorarten (zum Beispiel Kamera, Lidar und Radar). Auch diese Maßnahme ist auf Kabel und Stecker anwendbar, indem unterschiedliche Bauweisen und Produktions-Chargen verwendet werden. Diversität kann auch bedeuten, Komponenten unterschiedlich anzuordnen oder räumlich zu trennen, um sie unterschiedlichen Umweltbedingungen auszusetzen. Die dritte Maßnahme schließlich liegt in den Komponenten selbst. Sie müssen mit der erforderlichen Robustheit und Leistungsfähigkeit ausgewählt werden. Ein Beispiel sind die Schmelzsicherungen im Bordnetz, deren Reaktionszeiten für diese Anforderungen zu langsam sind und die auch keine Diagnosemöglichkeit ihres Alterungszustands erlauben, um den Ansprüchen an das Bordnetz für hochautomatisiertes Fahren zu genügen. Hier gilt es, diese durch schnelle Leistungshalbleiter mit einer intelligenten Überwachung und Ansteuerung abzulösen, die überdies zur Grundlage einer intelligenten Energieversorgung werden können.

Am Wichtigsten bei alledem: Welche Elektro- und Elektronikarchitektur ein Fahrzeugentwickler auch immer wählt, die sichere Stromversorgung muss von der Architektur mit eingeschlossen sein. Und zwar je früher, umso besser. Mit fundierten Konzepten zu Redundanz, Diversität und den passenden Komponenten unterstützt LEONI Bordnetz-Systeme die Automobilhersteller bei der Funktionalen Sicherheit im Bordnetz hochautomatisierter Fahrzeuge.

Leoni AG veröffentlichte diesen Inhalt am 15 Dezember 2018 und ist allein verantwortlich für die darin enthaltenen Informationen.
Unverändert und nicht überarbeitet weiter verbreitet am 14 Dezember 2018 09:19:04 UTC.

Originaldokumenthttps://www.leoni.com/de/presse/mitteilungen/details/autonomes-fahren-blackout-ausgeschlossen/

Public permalinkhttp://www.publicnow.com/view/135D7659DFDB6A9E1E81DB7CC81D2B112B6FD3BC