TTTechWie wichtig Fail-Operational-Systeme sind, zeigt schon dieses Beispiel: Ein Auto fährt selbstständig mit 130 km/h auf der Autobahn. Das Steuergerät macht einen Rechenfehler, aber das System erkennt den Fehler und deaktiviert die Funktion. Ist damit das Problem gelöst? Keineswegs. Das Fahrzeug wird nach dem Deaktivieren der Funktion nicht mehr gelenkt und folglich besteht die Gefahr, dass es mit einem anderen Fahrzeug kollidiert oder in die Leitplanke kracht.

Bild 1: ASIL-D-Dekompositionen.

Bild 1: ASIL-D-Dekompositionen. TTTech

Im Gegensatz zu heutigen Systemen lässt sich ein Steuergerät für autonomes Fahren im Fehlerfall nicht einfach deaktivieren, weil es weiterhin eine gewisse Funktionalität ausführen muss; diese könnte darin bestehen, den Fahrer zur Übernahme aufzufordern und für eine gewisse Zeit die Spur zu halten. Sollte der Fahrer die Kontrolle nicht übernehmen wollen oder können, muss das Fahrzeug autonom an einem sicheren Ort anhalten. Ein Anhalten des Fahrzeuges auf einem Fahrstreifen, gar auf dem innersten, kann beispielsweise kein sicherer Zustand sein. Diese Notfallfunktion muss daher durchaus eine signifikante Zeitspanne lang aktiv sein.

Eckdaten

Um die notwendige Fehlertoleranz für ADAS-Systeme gemäß Level 4 zu erreichen, sind neue Software- und Hardware-Architekturen notwendig, denn Hardware-Redundanz alleine genügt nicht. Vor allem bei Software-Architekturen sind weit verbreitete Plattform-Sicherheitsmechanismen wie Watchdog und E2E-Kommunikationsabsicherung alleine nicht mehr ausreichend. Erst eine Kombination mit neuen Software-Entwicklungsansätzen erlaubt den Übergang von aktuellen Architekturen zu kommenden Generationen von Fail-Operational-Systemen.

Aus Sicht der ISO 26262 sind drei Klassen an Fehlern zu berücksichtigen: Zufällige Hardwarefehler wie ein Kurzschluss oder durch Strahlung verursachte Datenverfälschung, sowie systematische Hardware- und Softwarefehler, also Bugs in den Implementierungen. Bezüglich zufälliger Hardwarefehler muss nachgewiesen werden, dass die Wahrscheinlichkeit von sicherheitsrelevanten Fehlern ausreichend niedrig ist. Gegen systematische Fehler sind entsprechende Entwicklungsmethoden erforderlich, um Fehler in Spezifikation, Architektur und Implementierung hinreichend zu vermeiden.

Bei solchen Fail-Operational-Systemen liegt der Fokus im Gegensatz zu heute nicht mehr nur auf der Vermeidung oder Detektion von falschem Verhalten sondern explizit auch auf der Vermeidung von Nicht-Verfügbarkeit der Funktion.

Welche Ansätze gibt es heute, und was können wir von der Luftfahrt lernen?

Seite 1 von 512345