Der redundanten Auslegung sicherheitsrelevanter Systeme in automatisiert fahrenden Fahrzeugen kommt eine hohe Bedeutung zu. Die Automobilzulieferer Bosch und Continental arbeiten an diesen Voraussetzungen für das automatisierte Fahren.
Kontinuierliche Eigenüberwachung zweier unabhängiger Steuergeräte bei Continental
Mit einer speziellen Elektronik-Architektur fügt Continental dem hochautomatisierten Fahren eine weitere Sicherheitsebene hinzu. Zusätzlich zu einem zentralen Steuergerät für automatisiertes Fahren, der Assisted & Automated Driving Control Unit, setzt Continental eine Safety Domain Control Unit als Rückfallebene ein, um das Fahrzeug auch bei einem möglichen Funktionsausfall im primären Automationspfad sicher anzuhalten (Safe Stop). Damit baut das Technologieunternehmen nach eigenen Angaben „konsequent auf die in der Luftfahrt bewährten Prinzipien der Redundanz und des diversitären Designs“: Für jedes zentrale System gibt es eine oder mehrere Rückfallebenen, welche unabhängig voneinander sind. Weil die SDCU gleichzeitig die Funktion des Airbagsteuergerätes übernimmt, ist deren Hochverfügbarkeit inklusive Energiereserve und einem crash-sicheren Verbauort im Fahrzeug sichergestellt.
Mit der zusätzlichen Rückfallebene der SDCU sorgt Continental dafür, dass das Fahrzeug auch dann in einen sicheren Zustand gebracht wird, wenn die Hauptautomation ausfällt. Klassische, heute im Einsatz befindliche, sicherheitsrelevante Systeme sind nach dem sogenannten Fail-Safe-Prinzip konstruiert. Das heißt, wenn im System eine Störung vorliegt, wird die Sicherheit aufrechterhalten, indem das fehlerhafte System außer Betrieb genommen wird. Dieser Ansatz ist möglich, weil der Fahrer als unabhängige Rückfallebene zur Verfügung steht und die Aufgaben beispielsweise des Bremsens und Lenkens noch mit seiner Muskelkraft bewältigen kann.
„Genau diese Rückfallebene steht bei hochautomatisierten Fahrzeugen eventuell nicht zur Verfügung, denn der Fahrer darf sich anderweitig beschäftigen und kann nicht unmittelbar aufgefordert werden, nach einem möglichen Ausfall in Sekundenbruchteilen die Fahrzeugführung zu übernehmen“, erklärte Maged Khalil, Leiter Advanced Systems Architecture Design bei Systems & Technology in der Division Chassis & Safety. Jedes hochautomatisierte Fahrzeug muss deshalb in der Lage sein, selbsttätig anzuhalten. Darauf sind Level-4-Fahrzeuge wie der Cruising Chauffeur von Continental vorbereitet. Tritt der Fahrer trotz Aufforderung nicht in Aktion, so führt das Auto ein Minimum Risk Manöver durch. Dabei fährt das Fahrzeug entweder selbsttätig auf den Standstreifen und hält dort an oder – falls kein Standstreifen existiert, beziehungsweise dieser blockiert ist – hält es mit eingeschaltetem Warnblinker in der Fahrspur an oder fährt mit abnehmender Geschwindigkeit weiter, bis es einen passenden Haltepunkt für einen Safe Stop findet.
Ist der Fahrer nicht mehr als Rückfallebene verfügbar, muss von einem Fail-Safe auf ein Fail-Operational-Prinzip umgestellt werden, welches die Funktionalität in jedem Fall aufrechterhält. „Mit der Rückfallebene eines zweiten, unabhängigen Steuergerätes, das ebenfalls in der Lage ist, das Auto anzuhalten, bekommt ein hochautomatisiertes Fahrzeug ein Auffangnetz“, so Khalil weiter. „Damit ist das Fahrzeug bei einer Störung noch in der Lage, auch ohne Fahrereingriff einen sicheren Zustand herbeizuführen. Das ist eine entscheidende Vertrauensgrundlage für die Akzeptanz des automatisierten Fahrens.“
Ein Safe Stop muss auch dann selbsttätig erfolgen, wenn das Fahrzeug durch Selbstdiagnose eine Unsicherheit im System erkennt und die Fahrfunktion weder vom primären Automationspfad noch vom Fahrer aufrechterhalten werden kann. „Der primäre Automationspfad muss sich ohne Beeinträchtigung der Sicherheit auch ausschalten können“, erläuterte Bardo Peters, Leiter Innovationsmanagement Occupant Safety & Inertial Sensors im Geschäftsbereich Passive Safety & Sensorics, die Herangehensweise. „Nur durch echte Redundanz lassen sich alle möglichen Ausfallszenarien abdecken.“ Die vollständig vom zentralen Steuergerät, wie der Assisted & Automated Driving Control Unit, unabhängige SDCU verfügt selbst über eine für die Aufgabe des Minimum Risk Manövers ausgelegte Automationslösung.
Sowohl das zentrale Steuergerät als auch die SDCU überwachen sich im Hinblick auf Verfügbarkeit und Funktionsfähigkeit permanent selbst. Sollte auch nur ein Pfad nicht mehr in der Lage sein, das Fahrzeug sicher zu steuern oder das Minimum Risk Manöver auszuführen, leitet der andere Pfad im Notfall den Safe Stop ein. „Diese permanente Überwachung erkennt, wenn ein Pfad nicht mehr zur Verfügung steht. Deshalb würde in solchen Situationen der jeweils andere Pfad das Minimum Risk Manöver ausführen“, ergänzte Dr. Lutz Kühnke, Leiter Segment Occupant Safety & Inertial Sensors im Geschäftsbereich Passive Safety & Sensorics. Der Eingriff der Rückfallebene folgt einem fein abgestuften Degradationskonzept, je nach Schwere des erkannten Problems. Für die Selbstüberwachung sowie die gegenseitige Überwachung der Pfade nutzt Continental innovative Softwarefunktionen wie ein effektives Fehlermanagement und die intelligente Überwachung der Signalkonsistenzen.
Redundante Brems- und Lenksysteme von Bosch
Mit der redundanten Auslegung sicherheitsrelevanter Systeme im Fahrzeug treibt auch Bosch die Entwicklung des automatisierten Fahrens voran. Das Unternehmen entwickelt nicht nur redundante Bremslösungen für alle Autonomiestufen, sondern auch redundante Lenkungen. Auf der North American International Auto Show (NAIAS) 2018 präsentierte Bosch unter anderem sein Portfolio an Bremsregelsystemen, darunter redundante Systeme für automatisiertes Fahren.
„Redundanz ist nicht nur die technologische Voraussetzung für automatisiertes Fahren. Sie zeigt den Verbrauchern auch, dass diese hochkomplexen Systeme auf verschiedenste Fahrsituationen ausgelegt sind. Das sorgt für mehr Vertrauen“, sagte Mike Mansuetti, Präsident von Bosch North America.
Bereits 2018 werden erste hochautomatisierte Fahrzeuge (SAE-Level 3) auf den Markt kommen. Sie können unter bestimmten Verkehrs- und Umgebungsbedingungen sicherheitsrelevante Funktionen bereits komplett selbst steuern. Zwar ist der Fahrer immer noch anwesend, doch dauert es einen Moment, bevor er nach Aufforderung durch das System zur Not eingreifen kann. Redundanz gewährleistet, dass zwischenzeitlich alle sicherheitsrelevanten Funktionen aktiv bleiben – selbst im seltenen Fall einer Systemstörung. Für Fahrzeuge mit SAE-Stufe 4 und 5 wird Redundanz umso wichtiger, da sie noch unabhängiger vom Fahrer agieren und sich dessen Eingriff im Bedarfsfall weiter verzögert.
Die Bosch-Lösung für ein redundantes Bremssystem besteht aus der Kombination des elektromechanischen Bremskraftverstärkers iBooster und des Elektronischen Stabilitäts-Programms (ESP). Im seltenen Fall eines Ausfalls einer der beiden Komponenten kann die jeweils andere Komponente die Bremsfunktionen übernehmen, ohne dass der Fahrer eingreifen muss. Sowohl der iBooster als auch das ESP können den Bremsdruck so regeln, dass die Räder nicht blockieren und das Fahrzeug sich auch beim Bremsen lenken lässt. Das redundante Bremssystem von Bosch für automatisiertes Fahren ist im Finale des diesjährigen PACE Awards (Premier Automotive Suppliers’ Contributions to Excellence) von Automotive News.
Wichtig für automatisiertes Fahren ist auch das redundante Lenken, das Bosch ebenfalls vorantreibt. Bereits auf der NAIAS 2017 hat Bosch seine elektrische Servolenkung mit Fail-Operational-Funktion vorgestellt. Damit soll der Fahrer oder Autopilot das Fahrzeug im seltenen Fall eines Fehlers in einen sicheren Zustand manövrieren können – eine Grundvoraussetzung für automatisiertes Fahren.