Elektroniknet Logo

Autonomes Fahren

Umwelterkennung nach ISO 26262

Sicherheit und Zuverlässigkeit beim autonomen Fahren mithlfe verschiedener Sensoren die päzise und schnell Umweltdaten erfassen
© metamorworks | Shutterstock

Beim autonomen Fahren müssen mithilfe verschiedener Sensoren Umweltdaten präzise erfasst und die Informationen schnell verarbeitet werden. Dazu müssen die Kameras, Radar-, Infrarot- und Ultraschallsysteme ausfallsicher sein und Anforderungen der funktionalen Sicherheit erfüllen.

In den heutigen Sicherheitskonzepten für automatisierte Fahrzeuge beginnt die sicherheitsrelevante Wirkkette in aller Regel bei den Sensoren zur Wahrnehmung der Außenwelt. Typischerweise bestehen diese aus einem Set von mehreren Kameras, Radar-, Infrarot- und Ultraschallsystemen. In der Analyse zur Sensortechnik [1] des Bundesministeriums für Wirtschaft und Technologie stellt man gleich zu Anfang fest: »Die Umwelterkennung ist eine zentrale Funktionalität, um die Autonomie von Systemen und deren Zuverlässigkeit und Sicherheit zu gewährleisten.«

Für die uneingeschränkte autonome Führung des Fahrzeuges in bestimmten Verkehrsbereichen wie Autobahnen, Parkzonen oder anderen erlaubten Zonen (Operational Design Domain, ODD) gelangt man für die gesamte Wirkkette zur höchsten Bewertung ASIL D (Automotive Safety Integrity Level) im Maßsystem der funktionalen Sicherheit nach ISO 26262 [2].

Je nach der konzeptionellen Gestaltung und Autonomiestufe ist der Fahrer nicht an der Fahrzeugführung beteiligt und darf sich von der Verfolgung des Verkehrsgeschehens um sich herum je nach Herstellerempfehlung für einen mehr oder weniger kurzen Zeitraum abwenden. Durch den Wegfall der menschlichen Kontrollierbarkeit in der Berechnungsformel für den ASIL, gelangt die Risikobewertung bei den meisten Fehlerursachen auf dieses Höchstmaß.

Umwelterkennung als Teil der Wirkungskette

Die feste Einbindung der Sensorfunktionalität in die gesamte Wirkkette einer autonom gesteuerten Fahrzeugbewegung in einer selbsttätig erkannten befahrbaren Umwelt hat üblicherweise zur Folge, dass die Funktionalität der Sensorik in die Sicherheitsziele mit einfließt. Ein Ausfall eines dieser Systeme kann bei einfachen Architekturen unmittelbar zu einem Unfall führen und stellt damit ein Risiko für Leib und Leben der Verkehrsteilnehmer dar – so die übliche Argumentation.

Beispielsweise kann durch Ausfall eines dieser Sensoren ein Fußgänger oder ein Motorradfahrer, um die am meisten gefährdeten Verkehrsteilnehmer hervorzuheben, nicht signifikant genug detektiert werden. Das hat je nach Situationseinschätzung des autonomen Systems eine Fahrroute auf Kollisionskurs beziehungsweise eine fehlende oder verspätete Bremsreaktion zur Folge.

Um solche Unfälle zu vermeiden, nutzt man die Mannigfaltigkeit von Sensoren, verschiedene Algorithmen sowie redundante Rechenwege. Die Parallelisierung der Rechenaufgabe, den optimalen und kollisionsfreien Kurs zu finden, ist als Maßnahme der »Dekomposition« in der funktionalen Sicherheit wohl bekannt und führt schon einmal zu der Abschwächung der Funktion auf ein moderates ASIL B(D), welches auf den leistungsstarken, aber recht komplexen heutigen Prozessoren eher umsetzbar ist. Auf die Umwelterkennung angewendet, wird der Aufwand dadurch aber nicht geringer.

Eine Kollision bleibt aber ein Unfallrisiko, dem die Norm nur eine winzig kleine Restfehlerrate gestattet. Deswegen finden sich in den Sicherheitszielen oft Forderungen auf das nahezu unbedingte Erkennen von Hindernissen, die sehr schwer zu erfüllen sind. Das abschließende Bewerten von Objekten erfolgt jedoch nach der Auswertung aller Sensoren und ist ein Ergebnis aus der Fusion der Gesamtheit ihrer gelieferten Signale [3].

Da die Umsetzung von Anforderungen mit einem ASIL einen deutlich höheren Entwicklungsaufwand nach sich zieht, der sich bei mehreren Dutzend solcher eingebauten Subsysteme [1] multipliziert, stellt die Entwicklung für die korrekte und fehlerfreie Erkennung der Umwelt einen beträchtlichen Kostenfaktor sowohl für die Automobilhersteller als auch Zulieferer solcher Systeme dar [4].

Grob geschätzt liegt ein Faktor zehn zwischen dem Entwicklungsaufwand für einen ohne ASIL entwickelten und getesteten Prototypen mit einem neuen Item und einem bis zur Serienreife entwickelten Fahrzeug unter normativer Umsetzung von ASIL D. Hinzu kommt, dass die Sensorleistung von zahlreichen »weichen« Faktoren beeinflusst wird wie Wetter, Straßenbeschaffenheit oder landestypischen Eigenschaften. Die Art der Hindernisse in der Infrastruktur, die optische Ausprägung der Verkehrsteilnehmer und der Fahrzeuge sind vielgestaltig.

Die Vielfalt wächst beinahe täglich, da stetig neuartige Produkte in den Verkehr gebracht werden. Entsprechend hoch ist der Testaufwand für die Vielfalt an Szenarien, auch wenn es bereits Anstrengungen zur Standardisierung gibt [5]. Betrachtet man eine Verkehrssituation aus einer Komposition voneinander unabhängiger Ausprägungen für wetterbedingte Sichtbarkeit, wetterbedingte und baulich bedingte Traktionsfähigkeit des Straßenbelages, Lichtverhältnisse, Straßenverlauf, Sichtbehinderungen durch Infrastruktur oder andere Verkehrsobjekte in der Trajektorie, zufällige Hindernisse, Population mit anderen Verkehrsteilnehmern oder Eigenzustände des Fahrzeuges, um nur einige zu nennen, so rechnet sich das leicht auf eine Mannigfaltigkeit von bis zu 1028 hoch.

Das ist eine Zahl, die größer ist als die Anzahl von Atomen in einem Fahrzeug. Das verdeutlicht auch die enormen Anforderungen und Schwierigkeiten, einen Standardsatz von Tests für die Prüfung festzulegen, um ein elektronisches System mit Autonomiefunktionen für den Verkehr zuzulassen, der auch in einer absehbaren Testzeit verarbeitet werden kann.

Hochreaktive Adaption der Fahrleistung

Dieser Beitrag beleuchtet ein alternatives Sicherheitskonzept, das weniger kostenintensiv ist und bei Verwendung des gleichen Entwicklungsbudgets sogar zu einer höheren Produktsicherheit insgesamt führen kann. Man hat spätestens mit der Entwicklung automatisierter Fahrzeuge die Lücke in der Normenlandschaft erkannt.

So geht es nicht nur um die Beherrschung spontaner Hardwareausfälle und darum, die sichere Funktionsausführung weiterhin aufrecht zu erhalten – hierfür ist die ISO 26262 stark –, sondern auch darum, dass es ohne derartiger Ausfälle, aus Sicht des Systems eigentlich beim hardwareseitig ungestörten Ablauf, sprich bei der Ausführung der so gewollten Funktion (Sollfunktion, Intended Function), zu komplexen Situationen mit Performance-Verlusten und unvorhersehbaren Schwächen kommt – mit Gefahren für Leib und Leben, die nicht tolerierbar sind. Das mündete in die ISO/PAS 21448 [6], auch Safety Of The Intended Functionality« (SOTIF) genannt.

Die ISO 21448 wird oft auch mit dem Begriff »Gebrauchssicherheit« charakterisiert. Sie versucht im Übrigen, die Umwelterkennung mit Begriffen wie »Scene«, »Scenery« und »Scenario« in den Griff zu bekommen und setzt sich damit konkret und systematisch mit den »Zutaten« auseinander, welche die Umwelt aus der Sicht der Verkehrstechnik charakterisieren.

Kernpunkt des alternativen Sicherheitskonzeptes für das automatisierte Fahren ist es, die funktionale Sicherheit in der Wirkkette erst dann anzuziehen, wenn das Eigenfahrzeug Entscheidungen bezüglich des Fahrverhaltens trifft. Erst die Bewegung des Eigenfahrzeugs verlangt funktionale Sicherheit, sie muss jeglicher Situation angemessen und sicher sein.

Das bedeutet u.a., dass Fehler der Sensorik nicht mit Sicherheitszielen oder sicheren Zuständen belegt sind. Was auch soll ein sicherer Zustand für einen Sensor bedeuten, wenn bei einer Kamera die Linse durch Schneeflocken oder leichten Schmutz momentan beeinträchtigt ist? Bestenfalls wird man einen solchen Sensor für die Dauer einer Beeinträchtigung, die innerhalb eine gewissen festen Detektionszeit erkannt werden muss, nicht mehr zur Auswertung heranziehen.

Die vorübergehende Blindheit und jede andersartige Beeinträchtigung, die auf die Erkennung eines korrekten Umweltszenariums Einfluss hat, wird aber durch sichere Zustände nicht wirklich gelöst. Außerdem müsste das System – den Grundsätzen der ISO 26262 gemäß – sogar noch in diesem blockierten Zustand verharren, bis das System untersucht, also einer Wartung unterzogen worden ist. Steht kein wirklich vollwertiges zweites System zur Verfügung, welches den Ausfall kompensiert, ist es sofort vorbei mit dem autonomen Betrieb. Lohnt es sich dafür, den gewaltigen, formalen Aufwand für die Umsetzung nach den strengen Richtlinien der Funktionalen Sicherheit zu betreiben?

Im alternativen Konzept wird davon ausgegangen, dass eine hinreichend nicht-diversitäre und möglichst auch diversitäre Redundanz der Sensorsysteme vorhanden ist. Somit muss an der Architektur der Sensorsysteme im Gesamtsystem nach dem Stand der heute erreichten Technik gar nicht viel geändert werden, sofern man gewisse Dinge beachtet, auf die weiter unten näher eingegangen wird.

Anbieter zum Thema

zu Matchmaker+

Durch die hohe materielle Redundanz überlappender Systeme, zum Beispiel überlappende Kameraeinstellungen, die zur Auswertung von realen Objekten herangezogen werden sollen, als auch durch die zeitliche Redundanz führen Einzelfehler, vorübergehende externe Beeinträchtigungen und Mängel in der Signalqualität extrem selten dazu, dass Objekte gänzlich unerkannt bleiben. Die zeitliche Redundanz kann genutzt werden, um die Konfidenz zu den einzelnen Objekten, also die Gewissheit bei der Klassifizierung und Charakterisierung in einem fließendend Algorithmus während der Annäherung, zu verbessern [6].

Analog dem menschlichen vorausschauenden Fahrverhalten darf man sich das so vorstellen, dass die gewählte Geschwindigkeit tendenziell gemäßigt bleibt und Schritt haltend mit der Erkennung der Details von Straßenführung und Hindernissen beschleunigt wird. Das hängt von vielfältigen Eigenschaften wie Wetterbedingungen, aber auch von der Aufmerksamkeit des Fahrers ab, übersetzt auf das autonome System von der momentanen Leistungsfähigkeit der Prozessoren und Sensoren. Fährt man beispielsweise auf der Autobahn mit Tempo 130 km/h auf ein vermeintliches Hindernis in maximaler Sichtweite zu, können fast 300 einzelne Bildframes ausgewertet werden, bis der Punkt unter stetiger Zunahme der Auflösung erreicht ist.

Diese Eigenschaften kann man mithilfe der Methoden der ISO 21448 analysieren, testen und bewerten. Sie unterstützt Strategien, um vorübergehend eintretende Schwächen und Unzulänglichkeiten der Subsysteme so zu kompensieren, dass eine Fahrfunktion nicht zum sofortigen Abbruch gezwungen werden muss, sondern – beispielsweise unter Einschränkung der Vortriebsgeschwindigkeit – angemessen fortgeführt werden kann.

Diese Anstrengungen haben ein enormes Potenzial, zu einem nutzer- und umgangsfreundlichen Fahrzeugverhalten beizutragen, indem Einschränkungen der Sensortauglichkeit unterhalb ihrer besten Performance lückenlos über kontinuierliche Bereiche hinweg untersucht und bis zu einer optimalen Gebrauchstüchtigkeit hin ausgetestet werden.

Im Gegensatz dazu führt der normative Weg der funktionalen Sicherheit über die Gefahrenanalyse und Risikobewertung (HARA) nur zur Betrachtung harter Fallunterscheidungen der Art »funktioniert nicht mehr« sowie zu der Entwicklung einer entsprechenden Detektion und einer passenden und mehr oder weniger harten Fehlerreaktion. Das ist eine Herangehensweise, die gerade den Fehlermodi der Sensorik nicht gerecht wird. Dazu fallen dann noch die entsprechenden Requirements und Testfälle im Schlepptau für die Entwicklungsarbeit an.

Die neu zu definierende Item-Funktion könnte dann in etwa so lauten: Sichere Berechnung und Ausführung von autonomen Fahrbefehlen mit ASIL D auf der Basis einer kontinuierlich detektierten Umwelt- und einer modellierten Verkehrssituation.

Die Umwelterkennung, die sich sehr stark auf intelligente Softwarealgorithmen stützt, hat dann nur die Einstufung auf die Sicherheitsstufe eines »QM«, gefordert wird wenigstens die Anwendung eines angemessenen Qualitätsmanagementes. Man bedenke aber, dass das Fehlen eines ASIL nicht automatisch bedeutet, Software mit einem niedrigeren Niveau entwickeln und einsetzen zu dürfen. Im Gegenteil, in diesem Konzept bedeutet das die Entwicklung nach einem SOTIF gestützten Verfahren. Im Übrigen entsteht selbst unter dem Aspekt der funktionalen Sicherheit, und indem man deren Prinzipien anwendet, auch keine »bessere« oder gar »sicherere« Software.

Alle Empfehlungen darin (Part 6 der ISO 26262) laufen auf einen guten Qualitätsprozess hinaus, je nach ASIL mit mehr oder weniger hoch angesetzten Ansprüchen, die aber in der Softwaretechnologie allesamt hinlänglich bekannt sind. Auch und gerade mit QM lassen sich sehr gute Funktionen erzeugen. Die mögen zwar nicht am Ende 100% nachgewiesen fehlerfrei sein, aber eine »Unfehlbarkeit« der Software lässt sich auch mit den Mitteln und Methoden der funktionalen Sicherheit nicht erreichen.

So gesehen verliert man keine Qualität durch das Auslassen von funktionaler Sicherheit in der Umwelterkennung und der Maßnahmen, die daraus abgeleitet wurden. Zudem fällt der Dokumentationsaufwand für die – wie bereits ausgeführt – fragwürdigen Sicherheitsziele, sicheren Zustände, Analysen und andere Folgemaßnahmen weg. Die üblichen Sensoren zur Erkennung von Straßenrändern, Infrastrukturen und Objekten sind in dem alternativ definiertem Item zwar ausgegrenzt, es verbleiben aber alle diejenigen Sensoren, die zur Erkennung des eigenen Zustandes und Charakterisierung seiner Eigenbewegung dienen.

Dazu gehören Detektoren für Geschwindigkeit, Lage, Neigungswinkel, Reifendruck und -Temperatur, GPS-Signale bis hin zur Erkennung des aktuellen Eignungszustandes des Fahrers – wichtig bei dem Autonomie-Level 3 – um ihn gegebenenfalls zur Übernahme der Fahrzeugkontrolle aufzufordern. Insofern ist es ein vollständiges Item mit Sensorik und es gibt keinen Konflikt mit der ISO Part 10, 4.2 Note 2, dass das System eines sicherheitsrelevanten Items aus mindestens einem Sensor, Controller und Aktuator bestehen muss.

. Funktionsdiagramm mit der Verteilung der ASIL-Attribute. Sicherheitsrelevant ausgelegt sind nur die Ausführung und Kontrolle über den Fahrzeugantrieb sowie die Kommunikation
Bild 1. Funktionsdiagramm mit der Verteilung der ASIL-Attribute. Sicherheitsrelevant ausgelegt sind nur die Ausführung und Kontrolle über den Fahrzeugantrieb sowie die Kommunikation (Anzeigen, Änderungswünsche, Aufforderungen zum Übernehmen) mit dem Benutzer über den Fahrzeugmodus, insbesondere den Wunsch der Fahrmodi »autonom«, »nicht-autonom« oder »nur assistiert«. Gemäß der SOTIF-Norm gehört die Repräsentation des eigenen Fahrzeuges zur »scene« und damit ebenso zum »scenario«.
© Daimler | Roland Rathmann

Im Folgenden wird nun argumentiert, warum es kein Widerspruch ist, ein autonomes System zu bauen, das sich sicher in einem Raum bewegt, ohne mit Hindernissen zu kollidieren oder die Verkehrsteilnehmer darin zu gefährden, wenn dessen Grenzen und Inhalte selbst nicht nach den Maßstäben der funktionalen Sicherheit modelliert werden. In dem alternativ vorgeschlagenen Modell wird die sicherheitsrelevante Funktion auf eine sichere Berechnung von Zieltrajektorien sowie eine sichere autonome Ausführung zu einer auf Basis der Umweltsensorik modellierten Verkehrssituation mit all seinen Mängeln nach Stand der Technik reduziert.

Die Fehlermöglichkeiten bei der Umsetzung sind natürlich mannigfaltig. Es reicht eine falsch berechnete Verzögerung, um einem vorausfahrenden Auto aufzufahren, eine Fehlberechnung in der Ausweichkurve um ein festes oder bewegliches Hindernis (Person) herum, um zu kollidieren. Von der HARA bekommen wir unverändert das ASIL D, nun geht es aber nicht mehr um das Erkennen des Hindernisses, sondern um das fahrtechnisch machbare und korrekte Annähern und Umfahren. Das Messen der eigenen Fahrzeuggeschwindigkeit ist in hohem Maße sicherheitskritisch, weil sich das geführte Fahrzeug praktisch in einem geschlossenen Regelkreis befindet.

Das ist bereits bei dem Einhalten einer konstanten Geschwindigkeit auf der Autobahn der Fall, selbst wenn keine Hindernisse auftreten, um ruckfrei dem Kurvenverlauf der Straße zu folgen. Insofern sind alle Funktionen, die in der Fahrzeugbewegung eingebunden sind, auf ASIL D ausgelegt, wie Bild 1 verdeutlicht. Wenn man den Aufwand nicht scheut, auch die Prädiktion, d.h. die Vorausberechnung auf die Veränderungen in der Verkehrssituation mit ASIL D zu entwerfen, was auf die Designentscheidung hinauslaufen kann, zwei unterschiedliche Modelle dafür einzusetzen, ist die Schleife der Zielsetzung für die Fahrzeugbewegung als auch seiner Rückmeldung komplett in ASIL D.

Zur Stützung des alternativen Sicherheitskonzeptes sind ein paar wesentliche Maßnahmen unerlässlich. Dazu gehören eine hohe Redundanz in der Sensorarchitektur, eine hohe Agilität bezüglich der stetig zu messenden Sensorleistung sowie die Errechnung einer sicheren Fahrzone.


  1. Umwelterkennung nach ISO 26262
  2. Maßnahmen an der Sensorarchitektur

Das könnte Sie auch interessieren

Verwandte Artikel

TÜV SÜD Automotive GmbH