Jeder spricht vom nächsten Schritt nach ADAS, dem echten autonomen Fahrzeug bei dem der Fahrer nicht mehr im Dauer-Standby sein muss. Es fahren zwar schon viele Testfahrzeuge mehr oder minder autonom auch auf manchen öffentlichen Straßen, allerdings sind sie mit eigentlich unpassender Elektronik ausgerüstet. Serienreife sieht anders aus – besonders, wenn man die anfallenden Kosten, Sicherheits- und Verfügbarkeitsanforderungen mit einkalkuliert.

Schon bald können Autofahrer die Fahrzeiten für andere Arbeiten und Tätigkeiten nutzen.

Schon bald können Autofahrer die Fahrzeiten für andere Arbeiten und Tätigkeiten nutzen.Freescale

Bei Sicherheitsanforderungen kommt sofort ISO-26262 auf den Tisch, auch durchaus oft mit Recht das Thema ASIL-D. Kaum ein Halbleiterhersteller kann aber Mikroprozessoren irgendeiner Art vorweisen, die so entwickelt wurden, dass sie diesen Rufen gerecht werden können. Freescale war mit dem MPC5643L der erste Hersteller mit einer Produktzertifizierung für funktionale Sicherheit. Was gut für eine elektrische Servolenkung ist, kann aber nicht durch einfache Extrapolation hinreichend für autonomes Fahren sein. Warum? Die Bewertung funktionaler Sicherheit kann sich bei komplexen Systemen in Hardware sehr schnell zum Problem entwickeln. Nicht alles, was theoretisch zertifizierbar wäre, lässt sich auch in der Praxis in endlicher Zeit zertifizieren.

Verfügbarkeit

Oft wird nicht bedacht, dass ISO 26262 „nur“ eine Risikobewertung zu Fehlern darstellt. Kaum einer spricht über die Systemverfügbarkeit so, wie in der Netzwerk-Telekommunikationsindustrie darüber nachgedacht wird. Stellen wir uns vor, wir hätten ein autonom fahrendes Serienfahrzeug, dessen Hard- und Software allen nötigen ASIL-Kriterien genügt. Fährt dieses Auto nun alle 25 Minuten korrekt in die nächste Parkbucht und hält, weil es mit der augenblicklichen Fahrsituation überfordert ist, dann ist funktionale Sicherheit sicherlich gegeben. Kundenzufriedenheit erzeugt so ein Verhalten aber mangels Verfügbarkeit der Systemfunktion nicht. Zufriedenheit des Kunden ist mehr als einige ASIL-Level, die auf die Funktionen von Chips und Software verteilt wurden. Exakt dieser Aspekt führt uns zum Problem der hinreichenden Dimensionierung für den komplexesten Fall.

Für wirkliches autonomes Fahren braucht man eine Vielfalt an Sensoren, Sensorfusion, Rechenleistungen und Speichergrößen, die vor kurzem im Automobil noch undenkbar waren. Sieht man einen Kofferraum voll handelsüblicher Technik in heutigen Testfahrzeugen, fragt man sich, wie groß die Lichtmaschine bei solch einem Ansatz in der Serie sein soll, oder wie das mit reinen Elektrofahrzeugen serienreif machbar sein kann, wenn niemand den Wunderakkumulator und das Wunderladegerät erfindet.

Blick auf die Netzwerkbranche

Für die Netzwerkindustrie entwickelt Freescale seit Jahrzehnten High-End Produkte, die über Jahre 24×7 unter Volllast mit akzeptablem Stromverbrauch und wohlspezifizierter Abwärme funktionieren. Ein Auto hat keine 24×7 Anforderungen, braucht jetzt aber für das autonome Fahren vergleichbare Rechenleistungen und Kommunikationsfunktionen wie in der Netzwerkbranche. Nicht jeder Hersteller solcher High-End-Prozessoren hat aber auch die Erfahrung und Fähigkeiten für Automobilelektronik sowie für sicherheitsrelevante Themen. Genauso wenig kann man von einem Hersteller ohne High-End-Erfahrung erwarten, etwas Brauchbares abzuliefern. Einfach einige Cores einkaufen und diese an einen Interconnect zu hängen, führt zu keinem Chip, der die Anforderungen der Applikation erfüllt und der eine Qualifikation für Automobilelektronik besteht. Einen Safety-Controller vor ein High-End-Produkt mit Consumer-Historie zu schalten, ist auch keine Lösung. Sowohl für High-End-Halbleiterprodukte im Embedded-Bereich als auch für die Anforderungen an Automobilelektronik braucht es jahrelange, manchmal jahrzehntelange Erfahrung, um gute Resultate zu erzielen.

Autonomes Fahren und ein Connected Car sind ohne solche High-End-Rechenleistung und Kommunikation nicht machbar. Ethernet hat das Auto definitiv erreicht, und moderne Sensorik erfordert Datenraten im Gigabit-Bereich. Heute lassen sich mit günstiger Verkabelung 100 MBit/s im Auto problemlos erreichen. 1 GBit/s und mehr ist für Automobile im Kommen und 10 GBit/s für lokale Kommunikation in einem Steuergerät kein Tabuthema mehr. Es gibt eine Vielzahl von Steuergeräten und intelligenten Sensoren, die sich zwingend mit niedriger Latenz zu jeder Zeit unterhalten müssen, damit das Auto nicht im Straßengraben landet. Die Notwendigkeit niedriger Latenz zur rechtzeitigen Entscheidungsfindung erzwingt hohe Datenraten in diesen Systemen, selbst wenn die eigentliche Datenmenge nicht wirklich groß sein sollte. Und hohe Datenraten erzwingen Halbleiter, die damit wirklich gut klar kommen, sie entgegennehmen, verarbeiten, und weiterreichen können.

Systemanwendungen im Bereich ADAS.

Systemanwendungen im Bereich ADAS.Freescale

Für autonomes Fahren ist auch Kommunikation mit der Außenwelt sehr hilfreich, da das Auto zum Beispiel selbst mit laufend aktualisierten Karten die Umwelt besser bewerten kann. In der Welt des autonomen Fahrens darf drahtlose Kommunikation aber keine Voraussetzung sein. Was würden Sie sagen, wenn Ihr Autopilot im Fahrzeug folgendes meldet: „Funkloch! Notbremsung erfolgt!“. Autonomes Fahren kann nur dann erfolgreich werden, wenn diese Funktionalität auch ohne Connected Car zu jeder Zeit perfekt ist.

Security ist essenziell!

Sicherheit bedeutet im Zeitalter des Connected Car auch speziell Angriffssicherheit gegen Manipulation. Wenn sich Ethernet im Auto verbreitet, wenn jedes Auto mit Wi-Fi ausgerüstet ist und Mobilfunknetzzugriff ganz normal für die Elektronik im Automobil ist, wer verhindert dann, dass das Auto gehackt wird? Wer stellt sicher, dass nicht heimlich eine andere Firmware im Steuergerät installiert wird, die das Auto zur kinetischen Waffe macht? Oder könnte sich ein gehacktes Fahrzeug mit autonomer Fahrfunktion selbst stehlen? Natürlich! Der Dieb könnte das sogar Tage oder Wochen vorher schon veranlasst haben und zum Zeitpunkt des Diebstahls irgendwo in der Sonne auf einer Insel sitzen.

Firewalls, Gateways, Intrusion Protection sind auf einmal sehr relevante Funktionen für ein Auto, und nicht mehr nur für das Internet. All dies sind klassische Embedded-Netzwerkthemen. Kann man von jemandem ohne Erfahrung in diesen Bereichen erwarten, die richtigen Ansätze zu nehmen? Kaum. Kann ein Halbleiterhersteller hier helfen? Sicher, wenn er auch die entsprechende Erfahrung in Kommunikations- und Netzwerkprozessoren inklusive kommerzieller Software für diese Anwendungen hat.

Nun könnte man denken, dass es reicht, die schon existierende Sensor- und Aktorentechnik von den Kameras über Radar zu Gaspedal und Lenkung einfach mit einem großen Steuergerät zu verbinden, das in einem Chip mit viel Software die gesamte Funktion des autonomen Fahrens inklusive vieler Sicherheitsaspekte abhandelt. Das ist aber aus mehreren Gründen kein erfolgversprechender Ansatz.

Anforderungen an die Halbleiter

Das Performance-Power-Verhältnis bei einem einzigen klassischen Monsterprozessor ist signifikant schlechter als wenn für wohldefinierte Funktionen auch dedizierte Hardware-Beschleuniger zum Einsatz kommen, um eine Vorverarbeitung zu erreichen und damit in Sensornähe die benötigten Datenmengen zu reduzieren. Thermische Hot-Spots in einem Steuergerät werden nicht nur am Äquator zum Problem, und der reale Stromverbrauch einer solchen Lösung könnte ihr schon ein Ende setzen. Auf keinen Fall dürfen die Ingenieure auf Prozessoren setzen, die sich selbst ab einer bestimmten Temperatur abregeln. Sie können niemals eine deterministische Rechenleistung liefern und wären der Tod für die Anwendung sowie im schlimmsten Fall auch für die Autoinsassen. Die Leistung des gewählten Prozessors muss in einem definierten Abwärmeprofil immer garantiert sein, und das System selbst muss die volle Kontrolle darüber haben und behalten, wie diese Leistung verwendet wird.

Eck-Daten

Ohne verlässliche Partnerschaften zwischen OEM, Zulieferer und Halbleiterhersteller ist das autonome Fahren nicht möglich. Dabei ist es erforderlich, die Anforderungen an die Halbleiter(hersteller) den echten Bedürfnissen der Systeme anzupassen. Gleichzeitig gilt es, neue Regeln rund um die Themenbereiche Systemverfügbarkeit und Risikobewertung aufzustellen, wobei die Kundenzufriedenheit stets mit im Fokus stehen muss. Hierfür sind zum Teil neue Ansätze erforderlich, sodass ein Blick in die Netzwerk- und Telekom-Branche definitiv nicht schadet.

Man kann auch nicht einfach behaupten, dass ein kleinerer ASIL-D-Prozessor zusätzlich schon das Problem lösen wird. Damit bewegt man sich erst mal nur in einem Fail-Safe-Sicherheitsmodus, der den Fahrer wieder erforderlich macht oder ein Fahrzeug eventuell ohne Fahrer noch irgendwie sicher zum Stehen bringt. Allerdings lässt sich dann kaum sagen, auf welcher Spur und in welcher Verkehrssituation das Fahrzeug zum Stehen kommt und welche Auswirkungen das auf die Insassen hat. Auch nur für ein sinnvolles kontrolliertes Fahren an einen sicheren Haltepunkt braucht man einen Fail-Operational-Modus, der für autonome Fahrzeuge noch wirklich hinreichend Rechneraktivität erfordert. Daher ist auch die Einbindung des High-End-Prozessors in das Sicherheitskonzept erforderlich – unabhängig von ASIL-Levels, die er eventuell erfüllen kann (oder eben in der Praxis nicht erfüllen kann).

Oft unterschätzt wird auch die tatsächliche Langzeitverfügbarkeit der Bauteile. Nur wenige Hersteller bieten High-End-Chips für den Embedded-Bereich mit der nötigen Lieferlebensdauer und Qualifikation an. Für sicherheitsrelevante Systeme im Automobil, der Bahntechnik oder der Luftfahrt dauert die Entwicklung und Qualifikation vergleichsweise lange. Diese langen Entwicklungs- und Qualifikationszyklen erfordern verlässliche Partnerschaften. Haben Sie schon einmal versucht, nach fünf Jahren für einen PC noch eine identische Grafikkarte zu kaufen, oder den wirklich identischen Speicher, oder sogar den identischen Prozessor? Die Automobilelektronik muss zukünftig Leistung von Consumer-Systemen erbringen, kann aber nicht nur auf Bauteilen mit Standard-Consumer-Zuverlässigkeit und Servicepaketen bauen. Das klassische Horrorszenario sieht so aus, dass der Hersteller das wichtige Bauteil im Gerät gerade zum Abschluss der Qualifikation abkündigt und aufgrund einer irgendwie gearteten Neuausrichtung nur noch mit den Schultern zuckt. So etwas zu erleben, ist nicht schön und auch der beste Halbleiterhersteller kann dies nicht kurzfristig auffangen.

Serienreife?

Mit der heute verwendeten Technik kann man ein Auto recht sicher auf einer Autobahn fahren lassen. Da gibt es selten ungewöhnliche Einflüsse, keine Kreuzungen, und es geht fast immer geradeaus. Wie gut so ein semi-autonomes Fahrzeug im Allgemeinen auf wirklich ungewöhnliche und auch gefährliche Situationen reagiert, muss noch bewertet werden. Einem Kunden ist aber wohl kaum klar, dass autonomes Fahren in heutiger Lesart bedeutet, dass das Fahrzeug nicht überall und immer autonom fährt. Er muss nach der Autobahnfahrt bei der Zielausfahrt rechtzeitig wieder aufwachen, wenn er verhindern will, dass das Auto einen Rückstau verursacht, bis er wieder übernommen hat, weil die Technik mit allgemeinen Landstraßen nicht klarkommt.

Kann man mit jetzigen Algorithmen und Technik ein serienreifes Auto bauen, dem man sagt: „Fahre zu Onkel Franz auf den Bauernhof“ und erwarten, dass das Auto dort auch sinnvoll auf einem Hof mit Traktoren und sonstigem Gerät parkt? Kaum. Bereits in einer Näherung dieses Problems steckt noch viel Forschung und Entwicklung. Die großserientauglichen Halbleiter brauchen erst noch Definitionsarbeit, die wiederum von laufenden Ergebnissen in der Steuergerätentwicklung für die neuesten ADAS-Systeme abhängt. Das ist für ein gutes Endergebnis auch völlig in Ordnung. Allerdings ist sicher, dass die heutigen serienreifen ADAS-Systeme und die semi-autonomen Prototypen trotz aller Erfolge noch lange nicht für universell einsetzbare autonome Fahrzeuge seriennah sind.

Impulse für die Entwicklung

Wie sollte nun die ideale Situation für die Entwicklung von Systemen für autonomes Fahren aussehen, wenn autonomes Fahren für den Kunden so selbstverständlich und einfach werden soll wie die Benutzung des Lenkrads? Natürlich braucht man einen langen Atem, den nötigen Systemunterbau, die richtigen Vorentwicklungen, Forschungsergebnisse, sehr gute Software-Ingenieure sowie die langjährigen und vertrauensvollen Entwicklungspartnerschaften vom OEM bis zum Komponentenhersteller.

Wichtig ist eine balancierte Architektur, die Redundanz und Funktionsverteilung zwischen mehreren Chips so erreicht, dass kein konstruktionsbedingter unerwarteter „Single Point Of Failure“ durch Komplexität oder Konzentration entsteht. Da es derzeit schlicht unwahrscheinlich ist, Halbleiter zu nutzen, die gleichzeitig mit sehr hohen Frequenzen und Rechenleistungen arbeiten und gemäß ASIL-D klassifiziert sind, gilt es auch, Sicherheitskonzepte neu zu bewerten und mit angemessener Redundanz in den unterschiedlichen Prozessoren und Elementen des Systems zu verankern.

Man braucht daher auch einen Halbleiterpartner, der von CAN über Bildverarbeitung bis zu Multicore im Gigahertzbereich und 10-GBit/s-Ethernet die Themen mit entsprechenden Experten beherrscht, der bei Deeply-Embedded und 24×7 nicht zusammenzuckt, der in der Lage ist, Bauteile mit diesen diversen Funktionen zusammen mit den Kunden zu entwickeln, und der die Bauteile mit der nötigen Qualifikation dann auch garantiert so lange liefert, wie sie verbaut werden sollen.

Freescale hat die Kommunikationsprozessoren erfunden und liefert nicht nur moderne High-End-Bauteile sondern auch weiterhin immer noch Prozessoren, die ursprünglich Anfang der 1990er Jahre auf den Markt kamen.