< Zurück   INHALT   Weiter >

23 Sicherheitskonzept für autonome Fahrzeuge

23.1 Einleitung

Die Entwicklung von autonomen Fahrzeugen fokussiert sich derzeit auf die Funktionalitäten von Fahrzeugführungssystemen. In zahlreichen Demonstrationen von Versuchsfahrzeugen wurden beeindruckende Fähigkeiten gezeigt (im Folgenden werden die neuesten zuerst genannt). So z. B. bei der Fahrt auf der Bertha-Benz-Route des Karlsruher Instituts für Technologie und der Daimler AG [69], im Projekt Stadtpilot der Technischen Universität Braunschweig [41], [60] den Aktivitäten der Google Inc. [13], [59], dem Forschungsfahrzeug BRAiVE und dem VIAC Projekt des VisLab-Instituts der Università degli Studi di Parma [4], [8], den Forschungsaktivitäten des Sonderforschungsbereichs 28 der Deutschen Forschungsgemeinschaft [31], [55], [57] und den Resultaten bei der DARPA Urban Challenge [51], [52], [53]. Falls die Versuchsträger am öffentlichen Straßenverkehr teilnahmen, war immer ein Sicherheitsfahrer an Bord, der das technische System überwacht hat. Dieser musste eingreifen, falls ein technischer Defekt auftrat, die aktuelle Situation die Fähigkeiten des Fahrzeugs überforderte oder ein anderes Ereignis dies erforderlich machte. Durch diese notwendige Überwachung des technischen Systems sind die gezeigten Versuchsfahrten im öffentlichen Straßenverkehr nach der Klassifikation von Automatisierungsgraden nach [20] als teilautomatisiert einzustufen. Das Ziel zukünftiger Fahrzeugführungssysteme mit höheren Automatisierungsgraden ist jedoch, die Systeme selbstständig in allen Situationen auch ohne überwachende Menschen betreiben zu können.

Bei der Entwicklung von Fahrzeugführungssystemen ist daher ein Sicherheitskonzept notwendig, das die verschiedenen Schritte im Entwicklungsprozess wie z. B. die Spezifikation, den Entwurf, die Entwicklung und den Test der Funktionen abdeckt. Außerdem sind Sicherheitsfunktionen im System notwendig, die einen sogenannten sicheren Zustand erreichen können bzw. diesen zu erhalten versuchen.

23.2 Sicherer Zustand

Die Verwendung des Begriffs sicherer Zustand ist oftmals nicht eindeutig. Sicherheit als relatives Maß ist abhängig von einer individuellen Einschätzung des Betrachters. Sicherheit besteht nach der Norm ISO 26262 in einem Betriebsmodus eines Systems oder einer Anordnung von Systemen, ohne unzumutbares Risiko (vgl. „safe state“, ISO 26262, Part I, 1.102 [30]). Dies beinhaltet, dass Sicherheit nur dann vorliegt, wenn das aktuelle und das zukünftige Risiko unterhalb einer von einer Gesellschaft akzeptierten Schwelle liegen (vgl. „unreasonable risk“, ISO 26262, Part I, 1.136 [30]). Diese Schwelle ist als nicht akzeptabler Wert in einem spezifischen Kontext gemäß gesellschaftlicher, moralischer und ethischer Auffassungen zu sehen (vgl. ISO 26262, Part I, 1.136 [30]). Unter Risiko wird eine Kombination aus der Auftrittswahrscheinlichkeit und der Schwere eines Personenschadens verstanden (vgl. „risk“ und „harm“, ISO 26262, Part I, 1.99 und 1.56).

Aus diesem Verständnis lässt sich ein sicherer Zustand als ein Zustand mit zumutbarem Risiko eines Systems verstehen. Der häufig verwendete Begriff risikominimaler Zustand (z. B. in [20]) ist missverständlich, da dieser das Risiko nicht in eine Relation zu einem akzeptierten Risiko stellt und auch keine Aussage darüber enthält, ob ein System, das risikominimal betrieben wird, auch sicher ist.

Die wesentliche Herausforderung bei der Verwendung des Begriffs sicherer Zustand im Sinne eines Zustands mit zumutbarem Risikos für Insassen und weitere Verkehrsteilnehmer ist die Identifikation einer Schwelle, unterhalb der ein Risiko zumutbar ist. Beim Betrieb eines automatisierten Fahrzeugs hängt das zumutbare Risiko von der aktuellen Situation, in der sich das Fahrzeug befindet, ab. Zur Situation gehören hier analog zu [21] und [43]

• alle für eine Fahrentscheidung relevanten stationären und dynamischen Objekte,

• die Intention der dynamischen Objekte einschließlich des autonomen Fahrzeugs,

• die geltenden rechtlichen Bedingungen,

• die Mission des autonomen Fahrzeugs,

• die aktuelle Leistungsfähigkeit des autonomen Fahrzeugs.

Für ein autonomes Fahrzeug ist daher eine kontinuierliche Ermittlung des aktuellen Risikos basierend auf der aktuellen Situation und ein Abgleich des Risikos mit dem Schwellwert, der als gerade noch zumutbar gilt, notwendig. Im Sinne der Norm ISO 26262 bedeutet dies, dass für jede Situation und ihre zukünftig möglichen Entwicklungen die Auftrittswahrscheinlichkeit für einen Personenschaden und die Schwere des Personenschadens für jeden beteiligten Verkehrsteilnehmer ermittelt und dann die Handlungsoptionen identifiziert werden müssen, die ein zumutbares Risiko ergeben. Eine technische Lösung für dieses Problem ist dem Autor bisher nicht bekannt.

 
< Zurück   INHALT   Weiter >