Safety Automotive Fehlertolerante Systeme im Fahrzeug – von "fail-safe" zu "fail-operational"

Passive- und aktive Sicherheitssysteme im Wandel
Passive- und aktive Sicherheitssysteme im Wandel

Die Fahrzeugtechnologie erlebt zur Zeit einen aufregenden Wandel. Nach dem Siegeszug der passiven Sicherheitssysteme im letzten Jahrzehnt gibt es einen zunehmenden Bedarf an aktiven Sicherheitssystemen und Fahrerassistenzsystemen, um darauf aufbauend teil- oder gar vollautonomes Fahren realisieren zu können. Ein wesentliches Ziel besteht darin, Unfälle proaktiv und automatisiert zu vermeiden, um die Sicherheit der Menschen im Straßenverkehr zu erhöhen.

Im Mittelpunkt dieser Entwicklung steht die funktionale Sicherheit, die je nach Systemauslegung gewährleisten muss, dass im Falle eines Fehlers innerhalb eines solchen Fahrerassistenzsystems von dem System selbst keine Gefährdung ausgeht. Das bedeutet, dass im Fehlerfall – je nach Anforderung – das System entweder abschalten oder einen (Not-) Betrieb aufrechterhalten muss. Gerade wenn sich ein elektrisches oder elektronisches System (E/E-System) aktiv an der Fahrzeugführung beteiligt, ist ein Abschalten im Fehlerfall oftmals nicht möglich, was dann einen entsprechend fehlertoleranten Systementwurf erfordert.

Historie

Die Konzepte der Fehlertoleranz an sich sind mittlerweile bekannt. Gute Startpunkte für Recherchen sind unter anderem für den englischsprachigen Raum die Arbeiten von A. Avizienies und J.-C. Laprie [1] und für den deutschsprachigen Raum das Buch von K. Echtle [2]. Die ersten Anfänge der Fehlertoleranz elektrischer Systeme gehen auf die Arbeiten von Antonin Svoboda in den 1950er Jahren im Rahmen des SAPO Computer, der auf ein „Triple Modular Redundancy“-Konzept beruht, zurück. Wesentliche Impulse folgten anschließend aus der Raumfahrtindustrie, wo ein Bedarf an Computersystemen entstand, die wartungsfrei über viele Jahre hinweg ihren Dienst verrichten können. Eines der bekanntesten Systeme ist das JPL-Self-Testing-and-Repairing-Computersystem, das unter Führung von A. Avizienis entwickelt wurde. Die wesentlichen Prinzipien beruhen auf Selbstdiagnose, Rekonfiguration und Fehlerbehebung, um eine möglichst hohe Zuverlässigkeit und Verfügbarkeit zu erreichen, weil bei einer Sonde keine Wartung durchgeführt werden kann. Ein Nachfolgesystem, das auf redundant aufgebauten Computermodulen beruht, ist in der Voyager-Sonde operabel und hat nach über 30 Jahren Betrieb nunmehr den interstellaren Raum erreicht – und das, obwohl die Sonde Anfang der 1970er Jahre konstruiert wurde.

Das mag vielleicht länger sein als die durchschnittliche Lebensdauer eines typischen Pkw, aber zumindest beim Erwerb des Fahrzeugs erhofft sich so mancher Käufer sicherlich eine ähnliche Perspektive. Im Gegensatz zu einer Weltraumsonde kann ein Fahrzeug zum Glück gewartet werden. Allerdings existieren beim Fahrzeug wesentlich anspruchsvollere Anforderungen an die Sicherheit, während die Sonde im Fehlerfall bloß verloren gehen würde.

Zuverlässigkeit, Verfügbarkeit und Sicherheit

Wesentliche Systemeigenschaften von E/E-Systemen sind die Zuverlässigkeit (Reliability), die Verfügbarkeit (Availability) und die Sicherheit (Safety). In letzter Zeit hat auch der Schutz vor vorsätzlicher Gefährdung und Bedrohung von Menschen und Sachwerten (Security) an Bedeutung gewonnen. Diese Systemeigenschaften werden üblicherweise unter dem Sammelbegriff Dependability geführt [1].

Die Zuverlässigkeit stellt die Wahrscheinlichkeit dar, mit der ein System innerhalb eines definierten Zeitintervalls seine beabsichtigte Funktion erfüllt. Die Verfügbarkeit ist die Wahrscheinlichkeit, mit der ein System zu einem beliebigen Zeitpunkt, über die gesamte Lebensdauer betrachtet, betriebsbereit ist. Üblicherweise wird die Verfügbarkeit über das Verhältnis aus der mittleren Betriebsdauer bis zum Ausfall (Mean Time To Failure, MTTF) zur Summe aus der mittleren Betriebsdauer bis zum Ausfall und der mittleren Reparaturzeit nach einem Ausfall (­Mean Time To Recover, MTTR) ermittelt, also MTTF / (MTTF + MTTR).

Die Sicherheit stellt im Allgemeinen das Nicht-Vorhandensein einer Gefahr für Menschen dar. Bei der funktionalen Sicherheit geht es der entsprechenden Norm ISO 26262 [3] zufolge konkret um die Vermeidung unvertretbarer Verletzungsrisiken –„Absence of Unreasonable Risk“ –, die aus möglichen Fehlfunktionen eines E/E-Systems hervorgehen können. Auf ein Fahrzeug übertragen und vereinfacht ausgedrückt bedeutet Zuverlässigkeit, dass das Fahrzeug die Insassen ohne Ausfall von einem Startpunkt zu einem Zielpunkt bringen sollte, sofern das Fahrzeug beim Startpunkt ordnungsgemäß funktioniert. Verfügbarkeit heißt, dass das Fahrzeug möglichst jederzeit betriebsbereit ist und nicht z.B. fortdauernd defekt in der Werkstatt steht. Sicherheit bedeutet im Prinzip, dass durch das Fahrzeug keine Gefahr für Menschen entsteht. Funktionale Sicherheit besagt, dass Gegenmaßnahmen in der Form von Sicherheitsmaßnahmen – Safety Measures – gewährleisten, dass unvertretbare Verletzungsrisiken, die durch eine Fehlfunktion (Malfunctioning Behavior) eines E/E-Systems entstehen können, vermieden werden.

Es lassen sich vier Maßnahmen [1] benennen, um der Forderung nach diesen Systemeigenschaften Genüge tun zu können. Diese sind:

  • Maßnahmen zur Fehlerprävention (Fault Prevention), um das Auftreten von Fehlern von vornherein zu vermeiden.
  • Maßnahmen zur Fehlertoleranz (Fault Tolerance), um auch mit einer begrenzten Anzahl fehlerhafter Komponenten noch die geforderte Funktion erfüllen zu können.
  • Maßnahmen zur Fehlerbehebung (Fault Removal), um die Anzahl oder die Auswirkung von Fehlern zu vermindern.
  • Maßnahmen zur Fehlervorhersage (Fault Forecasting), um die vorliegende und zukünftige Anzahl von Fehlern und deren Konsequenzen abschätzen zu können.