Von Stefania Sesia, u-blox
Auf dem Weg zu autonomen, fahrerlosen Fahrzeugen wird die Palette an Fahrerassistenzfunktionen mit jeder neuen Fahrzeuggeneration grösser. Fortschritte im Bereich der künstlichen Intelligenz und der maschinellen Bildverarbeitung werden die Entwicklung bis zu ADL5 (Autonomous Driving Level) – also der vollständigen Autonomie – massgeblich beeinflussen.
Bis 2030 werden etwa 70 Prozent der Neufahrzeuge über Funktionen verfügen, die mindestens beim Halten der Fahrspur oder beim Fahrspurwechsel unterstützen. Diese grundlegenden Funktionalitäten des autonomen Fahrens auf Stufe zwei (ADL2) sind im Mittel- und Hochpreissegment bereits heute verfügbar. Gegen Ende des Jahrzehnts wird sich der Markt soweit entwickeln, dass auch günstigere Preisklassen höhere Stufen des automatisierten Fahrens anbieten können. Parallel dazu werden Mobility-as-a-Service-Angebote für den Massenmarkt auf der Basis von ADL4/ADL5 in Weltmetropolen zugänglich sein.
Sogenannte Fahrerassistenzsysteme (ADAS) und autonome Fahrsysteme (ADS) interpretieren für ihre Funktionsweise Daten, die von mehreren Sensoren stammen (Sensor Fusion). Es werden Radar-, Lidar-, Video-, Ultraschall- sowie Kameradaten verarbeitet, um eine genaue Übersicht der Umgebung des Fahrzeugs und seiner Position im Verhältnis zur Umgebung zu kreieren. Darüber hinaus ist der GNSS-Empfänger (Global Navigation Satellite System) der einzige Sensor, der die absolute Position des Fahrzeugs mit hoher Genauigkeit bis auf einen Dezimeter genau angeben kann. Das entspricht einer Genauigkeit auf Fahrspurebene. Mit GNSS können Fahrzeuge also präzise bestimmen, wo sie sich auf der Karte befinden und wie ihre Position in der Umgebung ist.
Geolokalisierung und Informationsaustausch über moderne Technologie
Das ADAS-System könnte diese GNSS-Informationen nutzen, um das beste Fahrzeugverhalten vorzuschlagen bzw. zu entscheiden – z. B. bei der Routenplanung. Dank der drahtlosen Kommunikationstechnologie (5G/V2X) können diese Informationen auch mit anderen Fahrzeugen und Verkehrsinfrastrukturen in der Nähe ausgetauscht werden. Ausserdem ist der kommunikative Austausch der GNSS-Daten/Informationen wesentlich für das sogenannte Geofencing, damit autonome Fahrzeuge in einem bestimmten Bereich bleiben oder eine bestimmte Fahrfunktion basierend auf der Position und Strassenart aktiviert werden kann.
Sobald ein Fahrzeug autonom fahren soll und somit auf seine aktuelle Position angewiesen ist, weil es auf dieser Basis Entscheidungen trifft, stellt sich die Frage nach der Integrität der Informationen. Denn potenziell sind Menschenleben gefährdet. Es ist ein Integritätskonzept erforderlich, definiert als das Mass an Vertrauen, das in die Richtigkeit der vom Ortungssystem gelieferten Informationen gesetzt werden kann. Potenzielle Risiken, die die Integrität gefährden, lassen sich in verschiedene Gruppen einteilen (vgl. Abbildung 1). So sind dies hard- und softwarebedingte Fehlfunktionen im Fahrzeug, Umwelteinflüsse oder unbeabsichtigter Missbrauch. Im Automobilbereich sollte das geringstmögliche Risiko an der Verwendung von unsicheren Informationen von max. 10-8 und 10-6 pro Fahrt garantiert werden.
Potenzielle Risiken für die Integrität (Illustration: u-blox)
Normierte Sicherheitskriterien für Automobilhersteller
Das Umfeld, in dem Kraftfahrzeuge betrieben werden, ist sehr anspruchsvoll. Störquellen, wie Hitze oder Vibrationen, können die Funktionalität beeinträchtigen oder elektronische Schaltungen beschädigen. Ein Fehler in einem autonomen Sicherheitssystem könnte eine Kollision mit Verletzungs- oder Todesfolge verursachen. Die Risiken könnten nicht höher sein. Und in so einem Fall gibt es auch rechtliche Konsequenzen, mit denen man sich auseinandersetzen muss. Die Automobilnorm ISO 26262 wurde daher speziell für das Verhalten eines Systems (wie z. B. des autonomen Fahrens) unter Fehlerbedingungen entwickelt. Automobilhersteller müssen sicherstellen, dass ihre Systeme nach vorgegebenen Sicherheitskriterien entwickelt wurden und den Nachweis erbringen, dass die Risiken von Hardware- oder systematischen Entwicklungsfehlern akzeptabel gering sind.
Durch eine Gefahrenrisikobewertung (HARA) kann der Automobilhersteller oder der Systemeigentümer die potenziellen Risiken durch verschiedene Bedrohungen und Fehlerquellen abschätzen und bewerten. In bestimmten Fällen, insbesondere bei hochautomatisierten Fahrlösungen, werden dem GNSS-Empfänger auch spezifische Sicherheitsziele mit einer entsprechenden Vorgabe zum «Automotive Safety Integrity Level» (ASIL) zugeschrieben. Ziel ist immer, Anforderungen an die Implementierung von Hardware und Software zu stellen, um Fehlfunktionen oder Gefahren zu vermeiden. So wurde eine zusätzliche Norm für die funktionale Sicherheit eingeführt (ISO 21448). Sie sorgt dafür, dass Gefahren durch Leistungsmängel bei den Systemelementen, welche durch externe Einflüsse (z. B. Umweltbedingungen) bei der Implementierung verursacht wurden, vermieden werden.
Im Falle von GNSS ergeben sich die mit den Umweltbedingungen verbundenen Risiken aus Fehlern in den Konstellationen und in den GNSS-Systemteilen im weiteren Sinne. Dabei kann es sich um grosse Fehler handeln, die durch atmosphärische Störungen wie troposphärische und ionosphärische Stürme, ionosphärische Szintillation, Mehrwegverzerrungen der direkten oder reflektierten Signale (Non-Line-Of-Sight) und andere Bedrohungen durch andere Sensoren (z. B. Trägheits- oder Radgeschwindigkeitssensoren) entstehen.
Integritätsbestimmung und Fehlerbenachtichtigungen als Herausforderung
Eine der grössten Herausforderungen für das Integritätskonzept besteht darin, hinreichend enge Grenzen für den Schutzgrad in Verbindung mit sehr niedrigen Zielintegritätsrisiken zu bestimmen, z. B. 10-6 /pro Fahrt oder weniger. Daher müssen auch Fehler berücksichtigt werden, die mit sehr geringer Wahrscheinlichkeit auftreten können. Die Forschung ist auf diesem Gebiet sehr aktiv und u-blox leistet Pionierarbeit bei fortschrittlichen Techniken.
Folgendes Beispiel zeigt die Bedeutung der Integrität. Nehmen wir ein Fahrzeug, welches die Positionsinformationen verwendet, um bestimmte Funktionen des autonomen Fahrens zu aktivieren. Im ersten Fall der nachstehenden Abbildung (linke Seite) wird die Fahrzeugposition fälschlicherweise auf die falsche Strasse projiziert. Wenn diese Situation nicht erkannt und keine Warnung gesendet wird, könnte eine spezifische Funktion des autonomen Fahrens fälschlicherweise auf einem Strassentyp aktiviert werden, der dazu nicht bestimmt ist. Im zweiten Beispiel (rechte Seite) hingegen liegt der Positionsfehler innerhalb der Protection-Level- und Alert-Limit-Grenze. Dies ist eine normale Betriebsbedingung. Es ist erwähnenswert, dass in diesem Beispiel auch eine genaue und zuverlässige Karte erforderlich ist.
Beispiel Positionsinformationen falsch vs. richtig (Illustration: u-blox)
Bedarf an sicheren Komponenten wie GNSS wird steigen
Damit ein autonomes Sicherheitssystem korrekt funktionieren kann, muss die Position des Fahrzeugs in seiner Umgebung, in der Nähe anderer Fahrzeuge und Objekte, bekannt sein. Diese Position ist eine Schätzung und unterliegt Umwelteinflüssen, Hardware- und Entwicklungsfehlern im System. Die Integrität ist ein Mass für das Vertrauen in die Richtigkeit der gelieferten Informationen. GNSS-Sensoren liefern absolute Positionsinformationen und ergänzen andere ADAS/ADS-Sensoren in sensorverknüpften Systemen. Zur Integrität innerhalb des Systems gehört auch, dass die Benutzer rechtzeitig gewarnt werden, wenn sie das System nicht benutzen sollen. Die Einhaltung der Automobilnorm ISO 26262 gewährleistet, dass sich ein autonomes Sicherheitssystem in einer Fehlersituation vorhersehbar verhält. Die Einhaltung der ergänzenden Norm ISO 21448 gewährleistet die Funktionsfähigkeit des Systems unter ungünstigen Bedingungen. Immer mehr Neufahrzeuge werden mit autonomen Sicherheitsfunktionen ausgestattet, und wir glauben, dass der Bedarf an Sicherheitskomponenten wie GNSS mit der Einführung des hochautomatisierten Fahrens und fortgeschrittener V2X-Anwendungen drastisch steigen wird.