Die Sicherheit autonomer Fahrzeuge (AV) ist noch nicht perfekt, wird aber bald höher sein als bei einem menschlichen Fahrer. Denn der Mensch ist mit Abstand das schwächste Sicherheitssystem im Auto und für 94 Prozent aller Unfälle verantwortlich. AVs werden sicherlich Fehler machen, sich aber auch schnell verbessern. Damit stellt der sichere Betrieb wohl nicht das Hauptproblem für deren Einsatz dar.

Bild 1: Das System zur Teleoperation muss Sensorik, Bewusstsein und Planung zusammenführen, um Aktionen festzulegen. Dann steuert es das Fahrzeug über eine Hardware-Plattform-Schnittstelle.

Bild 1: Das System zur Teleoperation muss Sensorik, Bewusstsein und Planung zusammenführen, um Aktionen festzulegen. Dann steuert es das Fahrzeug über eine Hardware-Plattform-Schnittstelle. RTI

Doch Sicherheit ist nicht alles. Für eine überzeugende Wirtschaftlichkeit ist das Fahren ohne einen Menschen im Auto erforderlich. Damit ließen sich Parkprobleme beheben und eine automatisierte Warenzustellung sowie gemeinsame Robotertaxis ermöglichen. Allerdings müssten AVs dafür in der Lage sein, mit Ausnahmefällen klar zu kommen. Sie dürften nicht im Verkehr stecken bleiben oder diesen blockieren, weil sie es nicht schaffen, um eine Baustelle oder einen Unfall herum zu navigieren.

In solchen Fällen könnten Hochgeschwindigkeits-Verbindungen einem Fernbediener ermöglichen, das Fahrzeug kurzzeitig zu fahren – via „Live“-Teleoperation. Dies erfordert eine Live-Videokommunikation mit dem Bediener sowie Steuersignale mit geringer Latenz zurück zum AV. Dafür wiederum ist ein sehr schnelles, zuverlässiges, unterbrechungsfreies und permanentes Netzwerk erforderlich. 5G ist jedoch noch Jahre davon entfernt, weshalb Live-Teleoperation angesichts der derzeitigen Infrastruktur eher als zukünftige Lösung anzusehen ist.

Es gibt auch eine zeitnahe Lösung. Erfolgreiche autonome Systeme in anderen Branchen nutzen für Ausnahmefälle ebenfalls Menschen, die den Betrieb per Fernkontrolle unterstützen. Der bewährte Weg hierfür ist die „strategische“ Teleoperation. Solche Systeme bieten einem entfernt sitzenden menschlichen Bediener einen Einblick in die Szene. Dieser gibt dann einen Weg an, dem das AV folgen soll. Das funktioniert mit geringer Bandbreite und hoher Latenz. So kann die NASA beispielsweise Roboter auf dem Mars trotz geringer Bandbreite und 20-minütiger Latenz fahren. Für AVs kann diese Strategie mit nur minimaler Netzwerkkonnektivität funktionieren.

Die Architektur im Auto

Autonomie ist als Evolution zu betrachten. Systeme gestalten sich immer autonomer, indem sie ohne menschliches Eingreifen höhere Zeitspannen und Komplexität bewältigen können. Die heutige Herausforderung besteht darin, eine Architektur zu bauen, die diese Entwicklungen mitgehen kann. Denn nachträgliche Änderungen von bestehenden Architekturen sind äußerst problematisch.

Eck-Daten

Der DDS-Standard hat seinen Ursprung in autonomen Systemen und ist heute Marktführer sowohl für fahrzeuginterne Frameworks als auch für aufstrebende Ökosysteme und Kontrollzentren. In Zukunft kann er dies alles für Automobilsysteme kombinieren. Das konsistente systemweite Datenmodell ist tatsächlich eine neue Architektur. Es ermöglicht ein sich entwickelndes verteiltes System, das mit der Zukunft der Autonomie wachsen kann und die Teleoperation leistungsfähiger macht.

Die ersten wirklichen AVs sollen voraussichtlich sowohl fahrzeuginterne Steuerung als auch Fernüberwachung kombinieren. Die meisten Entwickler und Systemarchitekten denken heute nicht über die Auswirkungen einer engen Verbindung dieser Systeme nach. Dennoch sollte das Design nicht unabhängig voneinander erfolgen. AVs benötigen eine einheitliche Architektur für das Fahrzeug, das Kontrollzentrum, die flächendeckende Konnektivität und die Cloud.

In einem autonomen Fahrzeug sind Sensoren an Hochleistungsprozessoren angeschlossen, die Steuerungsalgorithmen ausführen (Bild 1). Die Fahrzeugsoftware benötigt eine Bereitstellung vieler verschiedener Datenflüsse in Echtzeit. Einige Sensoren wie Video und Lidar erzeugen umfangreiche Daten. Andere Systeme wie Lenk- und Bremssteuerung generieren weniger Daten, brauchen jedoch schnelle, wiederholte Rückkopplungsschleifen. Intelligente Algorithmen müssen Daten unterschiedlicher Art, Größe und Geschwindigkeit einfach finden und darauf zugreifen können. Alle diese Systeme laufen in einer komplexen Umgebung mit vielen verschiedenen Prozessortypen und Netzwerken.

Die Autonomie steht also vielleicht vor der Tür, aber eins ist klar: Mit der traditionellen Automobilarchitektur funktioniert sie nicht. Die heutigen Designs sind viel zu starr, zu abhängig von der Hardware-Implementierung und in intelligenten Systemen unerprobt.

Was ist mit der Cloud?

Die Rolle der Cloud für die Autonomie wird häufig überbewertet. Sollte sich die Kontrolle via Teleoperation oder Sicherheitsfunktionen auf eine Cloud-Verbindung verlassen, wäre es erforderlich, alle Sensorinformationen an die Cloud zu senden, zu verarbeiten und schnell genug an das Fahrzeug zurückzuschicken, um auf externe Ereignisse reagieren zu können. Dies erfordert eine Latenzgarantie und gesicherte Rechenbandbreiten, die weit über die echten Kapazitäten hinausgehen. Die Stärken der Cloud in Bezug auf zentrale Position, generelles elastisches Computing und Speicher bringen für ein AV einfach keinen Mehrwert.

Dennoch spielt die Cloud eine wichtige Rolle. Zum Beispiel lernen KI-Algorithmen, indem sie Trainingsfälle verarbeiten, also Momentaufnahmen, in denen interessante Aktionen wie eine komplizierte Situation oder ein Unfall stattfinden. Deep Learning funktioniert in etwa so, dass ein Mensch oder ein anderes System für diese Trainingsfälle bestimmt, was in dem jeweiligen Fall zu tun ist. Damit wird dann die KI unterrichtet. KI-Autos lernen also nicht von selbst, sondern erhalten die KI-Ergebnisse des Trainings von einer zentralen Quelle. Jedes AV lernt wiederum aus den Erfahrungen der anderen AVs. Die gesamte Flotte lernt folglich von jedem Ereignis und verbessert sich so im Laufe der Zeit.

Da die Cloud Zugriff auf alle Fahrzeuge sowie das Kontrollzentrum besitzt, ist sie der richtige Ort, um Flottenmanagement-Software auszuführen, den Straßenstatus zu erfassen und zu verbreiten und Außendienstmitarbeiter zu den Fahrzeugen zu schicken. Die Cloud ist also ein wichtiger Bestandteil eines AV-Systems, jedoch nur ein Teil der Lösung.

Das Kontrollzentrum

Bild 2: DDS hat sich sowohl in Fahrzeug- als auch Kontrollraum-Anwendungsfällen bewährt. Es bietet ein konsistentes Datenmodell im gesamten System. Das Datenrouting zwischen den Ebenen hilft beim Aufbau einer zuverlässigen, umfangreichen Infrastruktur.

Bild 2: DDS hat sich sowohl in Fahrzeug- als auch Kontrollraum-Anwendungsfällen bewährt. Es bietet ein konsistentes Datenmodell im gesamten System. Das Datenrouting zwischen den Ebenen hilft beim Aufbau einer zuverlässigen, umfangreichen Infrastruktur. RTI

Teleoperation erfordert mehr als fahrzeuginterne und Cloud-Software. Sie braucht jemanden, der das Fahrzeug fernbedient. Ein Kontrollzentrum für eine AV-Flotte muss unter Umständen Hunderte von Bedienern beschäftigen und viele tausend Fahrzeuge überwachen. Wenn ein AV Aufmerksamkeit benötigt, wird es einem Bediener zugewiesen. Dieser kann dann Live-Sensor-Feeds, historische Informationen sowie den Fahrzeugstatus und das Routing anfordern. Deshalb benötigt jede Station Zugriff auf die meisten Daten aus dem gesamten System, ohne vorher sagen zu können, welche bestimmten Informationen sie braucht. Andere Stationen überwachen den gesamten Systemstatus und den Flotteneinsatz. Während eine AV-Flotte einzigartige Herausforderungen mit sich bringt, sind die Anforderungen an die Kontrollzentren eher typisch für diverse Systeme.

Eine Architektur für die Autonomie

Wie lässt sich das alles zu einer zukunftssicheren Architektur zusammenführen? Die eigentliche Herausforderung besteht darin, von der heutigen Technologie auszugehen und eine hochleistungsfähige Autonomie der Zukunft zu entwickeln, ohne die Kernarchitektur zu verändern.

Innerhalb des Fahrzeugs gehen die Tendenzen der Branche dahin, als gemeinsamen Konnektivitätsstandard den Data-Distribution-Service-Standard (DDS) einzuführen. DDS ist die einzige systemübergreifende Ende-zu-Ende-Architektur, die auf einem Standard basiert. Sie bietet Flexibilität, Leistung und nachweislich einen zuverlässigen Betrieb in Tausenden von realen Systemen und intelligenten Maschinen.

Vor allem findet DDS bereits in Hunderten autonomer Fahrzeugdesigns Verwendung und wurde speziell für autonome Systeme entwickelt, zunächst für High-End-Flugsysteme, jetzt zunehmend für Boden-, Weltraum- und Unterwasserfahrzeuge. Die beiden bekanntesten Stack-Ökosysteme im Fahrzeug, das forschungsorientierte ROS2 und das produktionsorientierte Autosar Adaptive, verwenden ebenfalls DDS. Diese Branchenkonsolidierung bedeutet, dass die Wahl von DDS mit dem geringsten Risiko für neue Designs verbunden ist.

Zudem stellt DDS auch eine bewährte Architektur für viele operationelle Kontrollzentren dar. Hierzu zählen zum Beispiel alle Kommandozentralen für Marineschiffe, die meisten Drohnen-Bodenkontrollsysteme, der NASA-KSC-Startkontrollraum (Kennedy Space Center) sowie Kontrollräume für die Stromüberwachung großer Wasserkraftwerke. Im Transportwesen überwacht und steuert DDS Zugsysteme, U-Bahn, Flugsicherung und Flughafenbodensysteme. Da sich DDS bereits in AVs ebenso wie in Kontrollzentren bewährt hat, ist es folglich gut positioniert, um den Anwendungsfall der Teleoperation für autonome Fahrzeuge zu übernehmen.

Alleinstellungsmerkmale von DDS

Obwohl DDS Informationen transportiert, ist es weit mehr als eine Konnektivitätstechnologie. DDS ist am besten als datenzentrierte Architektur anzusehen, die ein einfaches Konzept implementiert: einen gemeinsamen globalen Datenraum. Das bedeutet, dass sich alle Daten in jedem Gerät und Algorithmus im lokalen virtuellen Speicher befinden. Anwendungen sprechen nicht direkt miteinander, sondern tauschen Daten aus, indem sie diesen virtuellen gemeinsamen Speicher lesen und schreiben. Dies ist ein sehr neues Design für Fahrzeugsysteme (Bild 2).

Innerhalb des Fahrzeugs liegt der Schwerpunkt auf der Hochgeschwindigkeitsverbindung, Zuverlässigkeit und KI-Integration. DDS ermöglicht dies durch QoS-Garantien (Quality of Service). Fordert ein Algorithmus beispielsweise einen Datenfluss an, gibt er nicht nur an, welche Daten er benötigt. Er kann auch festlegen, wann und wie die Daten fließen. Zum Beispiel gibt es QoS-Garantien für Durchflussrate, Empfindlichkeit des Sensors, Zuverlässigkeit und mehr. Da sich die Daten in einem lokalen Speicher befinden, behindert die Mobilität den Datenfluss nicht. Anwendungen erhalten die benötigten Daten, wann immer sie diese brauchen und unabhängig davon, wo sie sich befinden, selbst wenn das Fahrzeug das Netzwerk wechselt.

Die Kontrollzentren benötigen ein konsistentes Datenmodell und einen dynamischen Zugriff auf viele Datentypen. Möchten Bediener auf ein neues Fahrzeug zugreifen, brauchen sie im Kontrollzentrum eine dynamische, zuverlässige und sichere Verbindung zum Fahrzeug. DDS erleichtert diese, indem es Fahrzeuge und Daten automatisch erkennt, einzelne Datenflüsse mit eindeutigen Berechtigungen sichert und die Zuverlässigkeit und den Austausch von Sicherheitszertifikaten unabhängig vom Transportnetz implementiert.

Nicht zuletzt erfordern Cloud-Algorithmen einen massiven Datenzugriff, der sich über die gesamte Flotte erstreckt. Da jeder Algorithmus in einem datenzentrierten Design nur das sieht, was sein eigener lokaler Speicher anzeigt, führt ein Skalieren nicht zu einer höheren Komplexität. DDS kann auch mit direkten Peer-to-Peer-Netzwerken arbeiten, für die keine zentralen Server erforderlich sind. Damit entfällt die schwierige Wahl des Aufstellungsorts eines Servers ebenso wie die Sorge um die Überlastung von Servern und Server-Failover-Schemata werden vermieden. Aus Systemsicht senden und empfangen alle Algorithmen und Geräte einfach genau das, was sie benötigen und wann sie es benötigen.

Der wohl wichtigste Punkt aber ist, dass die Datenzentriertheit die Entwicklung von Systemen als Ganzes ermöglicht, indem dieselbe Abstraktion im gesamten System verwendet wird. Solange die zugrundeliegende Konnektivität die QoS-Anforderungen erfüllen kann, lassen sich komplette Funktionen transparent von Fahrzeuggeräten auf Domänenserver im Auto oder in die Cloud übertragen.