Notbremse für das Auto

Der Umstand, dass jedes Jahr weltweit mehr als 1,2 Mio. Menschen durch Verkehrsunfälle ums Leben kommen, ist für Hersteller und Zulieferer gleichermaßen Motivation, die Sicherheitssysteme im Automobil beständig weiter zu verbessern.

Elektrische und elektronische Systeme sollen künftig mechanische und hydraulische Systeme wie z.B. Servolenkung und Bremsen im Automobil ersetzen. Auf solche sicherheitsrelevanten Systeme muss sich der Fahrer verlassen können. Sie dürfen im Fehlerfall weder unkontrolliert reagieren noch völlig ausfallen.

Der Umstand, dass jedes Jahr weltweit mehr als 1,2 Mio. Menschen durch Verkehrsunfälle ums Leben kommen, ist für Hersteller und Zulieferer gleichermaßen Motivation, die Sicherheitssysteme im Automobil beständig weiter zu verbessern.

Von der Motorsteuerung über die Fahrwerksregelung, Bremsen und Airbags ist die Elektronik aus praktisch keinem Kfz-System mehr wegzudenken (Bild 1). Der Ersatz von mechanischen und hydraulischen Systemen durch elektronische Steuerungen ermöglicht höhere Freiheitsgrade in der Konstruktion und der Regelung, effizientere Motoren und bequemere, sichere Fahrzeuge.

TRW Automotive (www.trwauto.com) stellte auf dem „TRW Safety Day“ bei Paris ein neues Sicherheitssystem für das Automobil vor: die automatische Notbremse. Sie kombiniert die Daten eines Fernbereichsradars bzw. eines Mittelbereichsradars mit einer Videokamera, die hinter dem Rückspiegel an der Windschutzscheibe angebracht ist und das Geschehen vor dem Fahrzeug im Blickfeld hat. Die Kameradaten werden vom System genutzt, um Objekte zu erkennen und zu klassifizieren. Für die Erkennung einer kritischen Situation werden alle Daten gespeichert und alle 40 ms in einer „Datenfusion“ zusammengeführt und miteinander abgeglichen. Die „kritische Situation“ muss von allen Sensor-Daten unabhängig voneinander verifiziert werden. Erst dann wird die automatische Notbremsung ausgelöst.

Bei der dann folgenden schnellen Abbremsung des Fahrzeuges müssen die eingebauten Fahrerassistenzsysteme mithelfen. Der Hersteller setzt auf die im eigenen Hause entwickelte Stabilitätsregelung „Premium ESC“ (Electronic Stability Control). .

Mit einem kompakten Knie-Airbag-Modul bietet das Unternehmen ein Sicherheitssystem, das den Automobilherstellern größere Freiräume bei der Gestaltung der Fahrgastzelle schafft. Als Bestandteil eines so genannten „Front-Rückhaltesystems“ schützt das Modul die Insassen dadurch, das es die Aufprallfläche im unteren Bereich des Armaturenbrettes abdeckt. Das Modul schützt mit dem Airbag das Knie vor dem Aufprall, Oberschenkel und Becken werden zurückgehalten und die Belastung für den Brustkorb und den unteren Beinbereich reduziert. jw

Der verstärkte Einsatz von Elektronik in sicherheitskritischen Systemen stellt die Entwickler jedoch vor neue Herausforderungen. Die nicht unwesentlichen Qualitätsprobleme und häufigen Ausfälle elektronischer Systeme haben nicht nur zu Ärgernis, sondern auch zu erheblichen Bedenken bezüglich der Sicherheit elektronischer Systeme geführt. Dies wirkt sich wiederum negativ auf die Akzeptanz aus und hat die Markteinführung sicherheitsrelevanter Elektronik verzögert.

Die Weiterentwicklung vieler Systeme von der Optimierung eines in der grundlegenden Funktionsweise mechanischen Systems hin zu rein elektromechanischen Systemen lässt mehr und mehr die mechanische Rückfallebene wegfallen. Dies führt zu einer erhöhten Abhängigkeit von der Elektronik, um die Sicherheit zu gewähren. Damit ist bei so genannten „X-by-Wire“-Systemen auch in der Kfz-Technik der Punkt erreicht, den Gene Kranz, Apollo 13 Flight Director, einst treffend kommentierte: „Failure is not an Option“.

Entscheidend: Verlässlichkeit

Somit wären auch die drei Aspekte identifiziert, die bei der Auslegung elektronischer Steuerungen zu berücksichtigen sind: Funktionsfähigkeit, Verfügbarkeit und Sicherheit, zusammengefasst unter dem englischen Schlagwort „Dependability“ oder „Verlässlichkeit“. Der weit verbreitete Einsatz von Elektronik in sicherheitskritischen Systemen hat das IEC dazu veranlasst, einen Maßnahmenkatalog zur Gewährleistung der Sicherheit zu erstellen. Diese als IEC 61508 bekannte Norm wird von TÜV und VDA als gegenwärtiger Stand der Technik auch in der Automobiltechnik empfohlen und als Maßstab für die Zertifizierung zukünftiger Systeme anerkannt. Erforderlich werden also Maßnahmen, die alle Aspekte der so genannten „Dependability“ adressieren. Das Ziel ist, unter Berücksichtigung der allgemein anerkannten Normen ein System zu entwickeln, das mit hoher Wahrscheinlichkeit unter allen Umständen in der Lage ist, die vorgesehenen Funktionen zu erfüllen und im Fehlerfall unter keinen Umständen die Sicherheit der Insassen oder Umgebung gefährdet. Die Frage ist, inwiefern neue Konzepte bei den Halbleitertechnologien und Rechnerarchitekturen diese Bemühungen unterstützen können.

Dem gegenüber steht die steigende Anfälligkeit der Elektronik gegenüber Umwelteinflüssen. Die immer kleiner werdenden Halbleiterstrukturen weisen immer höhere Empfindlichkeiten auf. Gegenwärtige Untersuchungen zeigen, dass z.B. die Soft Error Rate (SER), das heißt die durch Strahlung verursachte Fehlerrate, sich über die Prozessgenerationen verdoppelt. In gegenwärtigen 130-nm-Tech-nologien sind im Wesentlichen die Speicherzellen betroffen. Laut der iRoC Technologies Corp. [1] sind zum Beispiel bei Speichern 1000 FIT (Failure In Time) pro Mbit zu erwarten. Die Meinungen divergieren, ab wann die Logik betroffen sein wird, aber im Allgemeinen wird angenommen, dass spätestens mit 65-nm-Strukturen die FIT-Rate auch bei der Logik ansteigen wird.

„X-by-Wire“-Systeme gibt es in der Luftfahrt bereits seit den 80er Jahren. Am Beispiel eines „Fly-by-Wire“-Systems wie z.B. beim Airbus A340 lassen sich die Kernanforderungen ableiten: Redundanz und Diversität. Dabei hören die Gemeinsamkeiten auch schon auf, denn ein fünffach redundantes System mit drei Haupt- und zwei Nebenrechnern samt Hardware und Software-Diversität ist sicherlich nicht in der Form auf die Automobil-Technik übertragbar. Bei der Realisierung einer verlässlichen Rechnerarchitektur sind die Spezifika der jeweiligen Umgebung mit zu berücksichtigen, in diesem Fall also Raum und Kosten. Die Anforderungen an die Rechenleistung und Speichergröße sowie Halbleitertechnologie setzen dabei – über die Siliziumkosten und das verfügbare Einbauvolumen – den Rahmen zur Implementierung der durch Normen und die Systemarchitektur vorgeschriebenen Redundanz. Das begrenzte Raumangebot in Fahrzeugen verlangt Maßnahmen möglichst auf Steuergeräte- oder Chip-Ebene.