VAIVA GmbH - Safe Mobility

Zurück

Sicherheit im Autonomen Fahren kurz und bündig erklärt (A-Z) – Beginnend mit „A“ wie ASIL

Nina Mederer,

Von: Ole Harms

In den kommenden Monaten werde ich regelmäßig ein paar kurze Schlaglichter auf sicherheitsrelevante Themen werfen, die wichtig sind, um das Autonome Fahren auf die Straße zu bringen. Transparenz ist hier meiner Meinung nach unheimlich wichtig und ich möchte ein wenig dazu beitragen, in dem ich versuche, komplexe Inhalte recht knapp und leicht verständlich aufzubereiten.

Ich werde versuchen, möglichst viele Buchstaben des Alphabetes abzudecken, allerdings nicht zwangsläufig in alphabetischer Reihenfolge. Heute fange ich trotzdem vorne an – mit dem „A“. Dabei kam mir ASIL in den Sinn und ich habe untenstehend zusammengefasst, was nach meiner Ansicht für eine breitere Leserschaft interessant sein könnte, ohne zu sehr in die Details zu gehen.

ASIL ist ein Risikoklassifizierungsschema, das von einer ISO-Norm (genauer: ISO 26262, für alle die hier tiefer einsteigen wollen) definiert wird. Das Akronym steht für Automotive Safety Integrity Level. Die verschiedenen Level – A, B, C, D – sowie ein zusätzliches QM-Level sind das Ergebnis einer Gefährdungs- und Risikoanalyse (englisch: HARA). Durch sie kommt die Definition von Sicherheitsanforderungen, sogenannte „Sicherheitsziele“, für Funktionen und Komponenten in Fahrzeugen, die in Software und Hardware implementiert werden, zustande.

Diese Sicherheitsziele basieren auf einer Analyse von drei Faktoren:

  • Schweregrad (S) der potenziellen körperlichen Schädigung der Insassen / Passagiere
  • Eintrittswahrscheinlichkeit (E) einer Fahrsituation und
  • Kontrollierbarkeit (C) der Fehlfunktion während der Fahrsituation
Bild 1: Entscheidungstabelle für die Bewertung der funktionalen Sicherheit

Je höher die Bewertung, desto schlimmer sind die Auswirkungen (z. B. S3 = lebensbedrohliche, tödliche Verletzungen oder E4 = höchstwahrscheinliches Auftreten). Bei der Festlegung der Bewertung werden immer sowohl der Kontext (z. B. regionsspezifische Wetterbedingungen, Verkehrsdichte) als auch die Interpretation der Situationen berücksichtigt.

Ohne hier zu sehr ins Detail zu gehen, ist es offensichtlich, dass eine Kombination aus S3, E4 und C3 eine hochgefährliche, lebensbedrohliche Situation beschreibt. Für diese Situation wird eine evaluierte Funktion dementsprechend mit einem „ASIL D“ bewertet. Da dies impliziert, dass eine Fehlfunktion zu schweren, lebensbedrohlichen Situationen führen kann, müssen hier besonders strenge Sicherheitsmaßnahmen ergriffen werden.

Es ist sicherlich nicht verwunderlich, dass einige Funktionen, die autonomes Fahren ermöglichen, Situationen ausgesetzt sind, die zu einem ASIL D-Rating führen. Dies betrifft in besonderem Maße die Frontfunktionen, vgl. Bild 2.

Bild 2: Beispiele für funktionale Sicherheitsbewertungen für Autonomes Fahren

Deshalb determinieren die oben genannten Sicherheitsziele („Safety Goals“) jeden Schritt in unserem Entwicklungsprozess – von der Definition einer Funktion, ihrer Spezifikation und Validierung, über die eigentliche Entwicklung bis hin zur Verifikation einer Sicherheitsfunktion. Nur als ein Beispiel: Eine sehr wichtige Eigenschaft dieser Sicherheitsziele ist die Ausfallrate, die im Falle einer ASIL D-Anforderung weniger als 1 FIT (Failure In Time) betragen muss, was einem Fehler in 10 Millionen Stunden oder 0,00000001 Fehlern pro Stunde entspricht. 

Um etwas „anfassbarer“ darzustellen, wie diese Sicherheitsziele letztlich in konkrete Maßnahmen übersetzt werden, können wir das Beispiel der „Perception“ (Umfelderkennung) heranziehen. Das sogenannte „Perception Module“ (Wahrnehmungsmodul) generiert ein Verständnis der Außenwelt und ihrer Interaktion mit dem Fahrzeug auf der Grundlage von Informationen, die von verschiedenen Sensoren bereitgestellt werden – sei es von bestimmten Kameras, Radar- oder Lidar-Sensoren. Wenn nun während der Fahrt ein Kameraausfall erkannt wird, kann sich das Wahrnehmungsmodul weiterhin z.B. auf die Radarsensoren verlassen – die statische oder sich bewegende Objekte erkennen –, um das Fahrzeug wieder in den sicheren Zustand zu bringen.

Letztlich wird die Erreichung von Sicherheitszielen bezogen auf autonome Fahr- und Sicherheitsfunktionen häufig durch Redundanz (z. B. mehrere Sensoren, verschiedene Arten der Datenverarbeitung) auf verschiedenen Ebenen erzeugt. So kann sichergestellt werden, dass der Ausfall eines einzelnen Systems den Gesamtbetrieb des Fahrzeugs nicht beeinträchtigt.