Auf welcher Basis könnte das automatisierte Fahren abgesichert und freigegeben werden?

Kurzfassung

Mit automatisiertem Fahren ohne Überwachung betritt die Automobilindustrie nicht nur funk­tio­nal Neuland, sondern in besonderem Maße bei der Absicherung. Selbst die ausgiebigsten Fahrerprobungen können keinen statistischen Nachweis der Sicherheit erbringen. Daraus ergibt sich die Notwendigkeit, alternative Validierungstechniken einzusetzen. Diese sind im Grundsatz schon bekannt, allerdings fehlen für die Anwendung der Konzepte noch viele Grundlagen und vor allem Daten aus dem Feld. Damit gewinnen Verfahren, die diese Daten aus Fahrerprobungen und Feldeinsatz gewinnen, eine hohe Bedeutung für die zukünftige Sicherheitszertifizierung als Grundlage für die Freigabe.

Abstract

With the introduction of automated driving without driver supervision, the automotive industry breaks new ground not just functionally, but particularly in terms of validation. Even the most extended road testing cannot statistically approve the safety of an automated vehicle. This makes the use of alternative validation techniques necessary. In principle, these techniques are already known but in order to apply them many fundamentals are still to be determined, especially field data. Thus, methods to determine this data from road testing and field applications gain a high importance for future safety certifications as a basis for the approval of vehicle automation systems.

1. Problemstellung Absicherung von automatisiertem Fahren

Automatisiertes Fahren ohne Überwachung, also Stufe drei oder höher auf den Definitionsskalen der BASt [1], des VDA [2], der NHTSA [3] und der SAE [4], stellt neue Heraus­forderungen an die Absicherung. Zwar kann dafür auf einige Grundlagen aus der Absicherung der Fahrfunktionen zu den Automatisierungsstufen 1 und 2 zurückgegriffen werden. Allerdings besitzen diese zu dem zukünftigen höher automatisierten Fahrfunktionen erheblich Unterschiede.

Zu der Klasse der kontinuierlich unterstützenden Systeme der Längsführung (z.B. Adaptive Cruise Control), der Querführung (z.B. Lane Keeping Assist) oder deren Kombination besteht der Hauptunterschied, dass deren Funktionsauslegung auf „harte“ und abrupte Eingriffe verzichtet. Durch die Vorhersehbarkeit und geringe Intensität der Reaktion oder auch Nicht-Reaktion bleibt der Fahrer jederzeit in der Lage, das System zu übersteuern. Ergänzt wird dies durch Übernahmeaufforderungen bei Erreichen von Systemgrenzen, so dass mit Übernahmezeiten im Bereich einer Sekunde durch Systemgrenzen bedingte gefährliche Zustände vermieden werden können. In der Klasse der eingreifenden Systeme, hier vor allem die automatischen Notbremssysteme in ihren verschiedenen Ausführungen, ist der Systemeingriff zwar „hart“, wenn die letzte Reaktionsstufe erreicht wird. Dieser letzten Stufe sind allerdings deutliche Vorwarn- und Vorreaktionsstufen vorgeschaltet, so dass der Einsatz der harten Stufe sehr selten erfolgt und der Fahrer zumeist von sich aus auf die Vorstufen reagiert hat, bspw. durch Ausweichen oder Bremsbetätigung. Neben der Vorbedingung des Durchlaufens der Reaktionsvorstufen muss eine sehr hohe Konfidenz der Signalverarbeitung dahingegen erreicht sein, dass die Situation tatsächlich gefährlich ist. Im Zweifel wird auf die Auslösung der harten Reaktion verzichtet. Die primäre Sicherheitsauslegung der Systeme beider Klassen ist auf deren Kontrollierbarkeit ausgelegt, auch wenn diese Ausrichtung zu einer Reduktion der Funktionalität und des Nutzens führt. Entsprechung steht für die Absiche­rung der Nachweis der Kontrollierbarkeit im Vordergrund. Die Absicherung der Funktions­qualität dient „nur“ der Einhaltung des möglichst großen Nutzens für den Endkunden und bei eingreifenden Systemen noch zusätzlich der Einhaltung von Funktionstests für Verbraucherorganisationen (z.B. EURO-NCAP) und bei Lkw der Zulassungsvorschriften. Zur Auslegung von Schwellwerten für eingreifende Systeme erfolgen allerdings auch ausgedehnte Fahrerprobungen mit Datenaufzeichnungen [5, 6]. Anhand dieser Daten können die Auslösealgorithmen optimiert und insbesondere die Zahl der Falschauslösungen minimiert werden, ohne dabei eine Vielzahl an ausbleibenden Reaktionen zu verursachen. Aber letztlich gilt eine Nichtauslösung für eingreifende Systeme als sicherer Zustand, da gegenüber dem bisherigen Funktionsniveau keine Verschlechterung erfolgt. Diese Option steht nichtüberwachtem automatisierten Fahren nicht zur Verfügung, genau so wenig wie die Option nur bis zu einer bestimmten Komfortgrenze zu agieren. Automatisiertes Fahren ohne Fahrerüberwachung verlangt zu jedem Zeitpunkt eine Entscheidung, die bei Bedarf die Grenzen der Fahrphysik auszuschöpfen hat. Zwar bleiben Fragen der Kontrollierbarkeit von Übergaben an und Übernahmen vom „automatischen Fahrer“ weiterhin aktuell und Gegenstand der Absicherung. Aber die Absicherungsfrage verschiebt sich dahin, dass eine Sicherheit des automatischen Fahrens nachzuweisen ist, die im Vergleich zum heutigen Zustand akzeptiert wird.

2. Referenzen der Sicherheit

Als sicher wird ein Zustand angesehen, wenn das Risiko unterhalb des akzeptierten Risikos liegt. Risiko fasst die Auftretenshäufigkeit und den auftretenden Schaden zusammen. Lässt sich dieser auch über verschiedene Schadensklassen hinweg beziffern, wird das Risiko üblicherweise mit dem Produkt aus relativer Häufigkeit und Schaden definiert. Wo dies nicht möglich ist, lässt sich nur die (relative) Häufigkeit des Auftretens von Fällen der jeweiligen Schadensklasse angeben. Zwar gibt es aus der Versicherungswirtschaft monetäre Schadens­werte für unterschiedliche Schadenskategorien, die auch zur volkswirtschaftlichen Betrachtung von Unfallschäden herangezogen werden [1] aber wegen der besonderen Bedeutung  des Schutzes des Lebens und der körperlichen Unversehrtheit (vgl. das Artikel 2 (2) Grundgesetz) sind Verrechnungen mit Sachkosten gesellschaftlich nicht konsensfähig. Für das absolute Risiko eines Todesfalls wurde 1980 die Einheit Mikromort (µM) vorgeschlagen, die eine Todesfallwahrscheinlichkeit von 1 zu einer Million beschreibt.

Neben der Unterscheidung in Schadensklassen ist der Bezug für die relative Häufigkeit zu differenzieren. Zum einen kann eine zeitliche Betrachtung erfolgen, also mit dem Zeitraum, in dem sich eine Person im Straßenverkehr aufhält (exposure time). Ein solches Risiko lässt sich mit anderen zeitbezogenen Maßen vergleichen, wie bspw. der minimalen endogenen Mortalität, die nach der Norm EN50126 auf 200 µM/a festgelegt wurde. Auf heutige Sterbetafeln umgerechnet läge der Wert auf etwa einem Drittel davon. Auf die Stunde umgerechnet ergeben sich daraus Werte von 2,3·10‑2 µM/h bzw. 0,8·10‑2 µM/h. Aus der mittleren Sterblichkeit und der Lebenserwartung berechnen sich Werte von 1,1 µM/h bzw. 1,3 µM/h.

Allerdings ist die Aufenthaltszeit im Verkehrsraum weder bekannt noch ist es der Zweck, Zeit dort zu verbringen. Daher liegt es nahe, einen Transportbezug herzustellen. Dieser kann die Personenverkehrsarbeit sein, gemessen in der Einheit Personenkilometer (pkm).

VerkehrsträgerPersonenkilometer pro Todesfall
Motorrad30 pkm/µM
Pkw500 pkm/µM
ÖPVN6 pkm/µM
Luftfahrt300 pkm/µM

Tabelle: Übersicht Personenkilometer pro Todesfall für verschiedene Verkehrsträger [2]

Tabelle 1 zeigt die Werte für verschiedene Verkehrsträger an, die zwischen 30 (Motorrad) und 300.000 pkm/µM (Luftfahrt) liegen. Für Pkw-Insassen ergibt sich ein Wert von 500 pkm/µM. Da aber Pkw-Insassen besser geschützt sind als bspw. auch vom Unfall betroffene Fußgänger oder Radfahrer, wird damit nur ein Teil des Risikos adressiert. Als nächste Größe könnte die Zahl der Opfer pro Fahrstrecke des Verkehrsmittels als Risikovergleichsmaß dienen. Hier finden sich in der Unfallstatistik zu 2013 für Deutschland für Kraftfahrzeuge ein Wert von 4,6 M/Mrd. km (und auf Autobahnen von 1,9 M/Mrd. km, s. Tabelle 2) [3]. Dieser Bezug erscheint als Vergleichsmaß gut geeignet, wenn die automatisiert fahrenden Fahrzeuge in gleicher Weise eingesetzt werden wie die von Menschen gefahrenen. Ein Autobahn-Chauffeur, der ausschließlich auf Autobahnen genutzt werden kann, hat sich daher mit der Messlatte der Unfallopfer pro Autobahnfahrstrecke messen zu lassen. Schwieriger ist die Betrachtung bei Fahrzeugen, die automatisiert fahrend neue Mobilitäts­dienstleistungen erbringen, weil bei ihnen keine Vorgängerrisiken als Referenz vorliegen. Sucht man für die Absicherung Sicherheitszielwerte, so erscheint die Zahl der Opfer korrekt, die durch Einsatz der neuen Technik verursacht werden. Trotzdem aber sollte man für die Sicherheitsleistung nicht diesen Kennwert heranziehen, sondern die Zahl der Unfälle pro Fahrstrecke (für die jeweilige Unfallfolgenkategorie), da die Zahl der Opfer der Unfälle von vielen Umständen abhängt, die technisch nicht relevant sind, wie bspw. die Zahl der Insassen. Außerdem gibt es zunächst keine bessere Annahme, als die heutigen Vergleichswerte von Opfern pro Unfall als konstant anzusehen. Liegen neue Werte dafür vor, so lassen sich diese über einen Umrechnungsfaktor für eine Neudefinition der Referenz­strecke pro Unfall berücksichtigen. Festzuhalten bleiben Werte für die Referenzstrecken zwischen zwei Unfällen mit Todesfolge zwischen 108 und 109 km. Unfälle mit Personen­schäden ereignen sich etwa 50 Mal häufiger.

KategorieAnzahl VerunglückteAnzahl Getötete
bei Verkehrsunfällen3774813339
   
je 1000 Kfz6,90,1
je 1 Mrd. Kfz-Kilometer5204,6
davon auf Autobahnen1321,9
je 1000 Unfälle mit Personenschaden129711,5
auf Autobahnen160623,2
je 1 Mil. Einwohner468141
   
Benutzer von Pkw 1588
Benutzer von Güterkraftfahrzeugen 148
Benutzer von Motorräder 568
Benutzer von Fahrrädern 3554
Fußgänger 557

Tabelle Unfallkenngrößen 2013 [3]

3. Statistischer Nachweis von Sicherheit

Mit den im vorherigen Abschnitt abgeleiteten Referenzwerten für die Strecke zwischen zwei Unfällen einer bestimmten Kategorie lässt sich unter bestimmten Annahmen errechnen, wie groß die Strecke für einen statistischen Nachweis sein müsste. Auf die Herleitung der Ergeb­nisse sei auf [4] und [5] verwiesen. Unter den Annahmen, dass die Strecke automatisierter Fahrzeuge repräsentativ für den Einsatz gewählt ist und die Unfälle mit einem konstantem Erwartungswert unabhängig voneinander geschehen (=> Poisson-Verteilung), so lässt sich ein etwa zwanzigfacher Wert für die Nachweisstrecke bestimmen, wenn das System nur halb so hohem Risiko wie die Referenz besitzt. Somit wachsen die für eine statistische Absicherung erforderlichen Strecken auf Werte von über 108 km (bei Unfällen mit Verletzten) und 1010 km für Unfälle auf Autobahnen mit Todesfolge. Heute benötigen für die letztgenann­te Strecke 2 Millionen Pkw ein Jahr (bei 5000 km Autobahn pro Jahr und Pkw), eine Zahl, die etwa der Hälfte der in Deutschland pro Jahr neu zugelassenen Pkw entspricht!

Daraus ergibt sich die Schlussfolgerung, dass ein statistischer Nachweis der Sicherheit nicht vor einer Markteinführung erfolgen kann, wohl aber bei einer laufenden Beobachtung einer hinreichend großen Anzahl von im Straßenverkehr genutzten Fahrzeugen im Nachhinein.

Aber warum scheint denn überhaupt dieser statistische Nachweis erforderlich? Schließlich wurden in der Vergangenheit erfolgreich Innovationen in den Verkehr gebracht, ohne diese über solche Vergleichsstrecken zu testen. Und in der Luftfahrt sind noch viel größere Referenz­strecken üblich, ohne dass die Idee diskutiert wird, diese vorab solange zu testen. Warum sollte sich beim automatisierten Fahren hieran etwas ändern?

4. Die Wissenslücke des automatisierten Fahrens

In der kombinierten Darstellung des Drei-Ebenen-Modells für zielgerichtete Tätigkeiten des Menschen nach Rasmussen [6] und der Drei-Ebenen-Hierarchie der Fahraufgabe nach Donges [7] in Bild 1 entspricht diese Absicherung den grün/dunkel hinterlegten Elementen. Getestet werden das Fahrzeug und dessen Verhalten in Längs- und Querrichtung; dabei werden nicht das Verhalten oder die Fähigkeiten des zukünftigen Fahrers getestet, sondern ausschließlich die Möglichkeiten für den Testfahrer, mit Lenk- und Beschleunigungseingriffen das Fahrzeug in den Testfällen zu kontrollieren. Deshalb schneidet die grüne/dunkle Box nur geringfügig den Bereich, der für den Fahrer steht.

Bild1: Drei-Ebenen-Modell für zielgerichtete Tätigkeiten des Menschen nach Rasmussen und Drei-Ebenen-Hierarchie der Fahraufgabe nach Donges basierend auf [6,7]

Für die Automatisierung ohne Fahrerüberwachung fallen nun die Fähigkeiten des Fahrers weg, er fungiert auch nicht mehr als Rückfallebene. Die Fahraufgabe, also das Navigieren, Bahnführen und Stabilisieren/Regeln, wird vom Fahrroboter übernommen. Das bedeutet, für das automatisierte Fahren gibt es keinen Test der Kontrollierbarkeit, sondern ausschließlich den Test der Funktionalität eines technischen Systems. Auf der einen Seite erleichtert es den Test, denn die Unsicherheiten und individuellen Unterschiede des Menschen sind nicht mehr durch den Test abzudecken. Auf der anderen Seite entfällt die Möglichkeit, von heute eingesetzten Testfällen und Testfahrern auf weitere Anwendungsfälle zu schließen. Für das System entfällt der Mensch, der im Allgemeinen fertigkeitsbasiert, regelbasiert sowie wissens­basiert handelt. Bei der Absicherung des autonomen Systems ergibt sich die Sicherheit nun ausschließlich aus dem technischen System Fahrroboter und Fahrzeug (gelbes/helles Feld von Bild 1), die es nachzuweisen gilt.

Aus Bild 1 wird ersichtlich, dass dafür zum einen die Aufgabenquantität steigt, die es abzusichern gilt: Der Fahrroboter wird für die unterschiedlichsten Einsatzgebiete wie Navi­gie­ren, Bahnführen und Stabilisieren/Regeln benötigt. Diese Aufgabenquantität wird besonders im öffentlichen Raum ohne Zugangsbeschränkung eine Herausforderung. Auf der anderen Seite ändert sich die Aufgabenqualität des technischen Systems. Aktuelle Systeme sind lediglich ausführend bzw. ständig durch den Menschen überwacht, für das autonom agierende System muss die Ausführung einer Aufgabe jedoch den Ansprüchen an die zu Beginn diskutierte Sicherheit genügen.

Was ist außer den qualitativen Modellen über die Fahraufgabe bekannt? Quantitative Modelle über Standardszenarien wie Folgen im gebundenen Straßenverkehr, Kreuzungs­überquerungen oder Fahrstreifenwechsel liegen vor. [8,9 ]Aber diese adressieren nicht die seltenen Unfälle, zumal diese zumeist von lokalen oder temporären Umständen abhängen, die wiederum nicht einer verallgemeinerbaren Statistik zugutekommen. Auch die Zuverläs­sig­keits­modelle (z.B.[10] erlauben quantitative Aussagen nur mit großer Unsicherheit und besitzen eher deskriptive statt prädiktive Anwendbarkeit. Es bleiben dann noch die Aufzeich­nungen über die geschehenen Unfälle, sei es als Aufzeichnungen der Polizei oder als In-Depth-Analyse in speziellen Projektvorhaben wie die GIDAS in Deutschland.

5. Modell für die Sicherheitsvorhersage

Für mechanische oder elektrische Komponenten finden sich aus Erfahrung oder speziellen Laborversuchen heraus Versagensmodelle, woraus dann eine Vorhersage getroffen wird, wie lange und unter welchen Voraussetzungen diese Komponenten den Anforderungen gerecht werden können. Aber für Aufgaben, die bisher nur der Mensch durchgeführt hat, wie das Autofahren, fehlen diese Modelle. Letztendlich wird nur das unerwünschte Ergebnis des Versagens dokumentiert, die Unfälle selbst. In dem folgenden Ansatz soll dieses Versagen auf eine stark vereinfachte Weise modelliert werden.

Ein Schlüsselelement für dieses Modell ist das kritische Szenario, das hier wie folgt definiert wird:

Ein in Zeitdauer oder Strecke begrenzter Abschnitt, für den die Begleitumstände wie das Verkehrsumfeld, die Absichten und die Trajektorien der für die Kritikalität relevanten Akteure bekannt sind. Die Kritikalität wird über eine zunächst beliebige, aber für die Instanziierung des Modells notwendige Metrik ermittelt und überschreitet bei kritischen Szenarien einen Schwellwert.

Die Zahl der durch menschliche Fahrer (Index hd) verursachten Unfälle nac,hd wird als Produkt aus der Zahl der kritischen Szenarien ncrit,hd, die der Fahrer erlebt, und der Übergangswahrscheinlichkeit ρtr,hd zu einem Unfall modelliert:

nac,hd = ncrit,hdρtr,hd                                    (1)

Auf die Zahl der kritischen Szenarien kann sowohl ein Fahrer (Index hd,ego) mit seinem Fahrverhalten Bhd,ego selbst einwirken als auch das Auftreten von ihm nicht beeinflussbarer Begleitumstände (Ete, exposure of circumstances for potential hazards in traffic environment) kann ursächlich sein: ncrit,hd = fcrit(Bhd,ego,Ete). Die Übergangswahrscheinlichkeit ρtr,hd hängt ebenfalls partiell vom momentanen Können Phd,ego des Fahrers ab und den Fähigkeiten anderer Verkehrsteilnehmer (Index tp): ρtr,hd = ftr(Phd,ego,Ptp).

Die Verknüpfung sowohl zur Entstehung von kritischen Szenarien als auch zum Übergang in den tatsächlichen Unfall ist zumeist eine multikausale Verkettung von Umständen, die auch mit dem Schweizer-Käse-Modell [11]  beschrieben wird, s. Bild 2. Zwar besitzt jede Scheibe eine Zahl von Löchern, die die Entwicklung eines Schadensfalls ermöglichen. Aber nur wenn alle Scheiben an der gleichen Stelle ein Loch besitzen und dieses dann tatsächlich „gefunden“ wird, kommt es zum Unfall. In allen anderen Fällen bleibt es ungeschehen bei einem Beinaheunfall. Anders als im Straßenverkehr werden kritischen Szenarien in der Luftfahrt sowie im Gesundheitswesen nahezu lückenlos aufgezeichnet (Critical Incident Reporting System (CIRS)), woraus sich immer wieder Verbesserungen der Sicherheit ableiten. Im Straßenverkehr bilden die kritischen Szenarien ohne Unfallfolge eine „dunkle Materie“, wie in Bild 3 skizziert. Würde man diese kennen, so könnte man schon viel früher prüfen, in wieweit das automatisierte Fahren ebenfalls in diese kritischen Szenarien geraten würde und weiterhin ließe sich aus der dann für menschliche Fahrer ermittelbaren Übergangswahrscheinlichkeit das notwendige Maß der Kontrollierbarkeit in kritischen Situationen als Testbenchmark definieren. Im Bild des Schweizer-Käse-Modells würde das bedeuten, dass sich damit die für die Fahrzeugführung bestimmenden Scheiben einzeln festlegen lassen würden.

Links: Bild 2 Schweizer-Käse-Modell [11]
Rechts: Bild 3 "Dunkle Materie" Problem [12]

Dieses Unfallvorhersage-Modell könnte für automatisiertes Fahren (Index ad statt hd) übernommen werden, wenn die automatisierten Fahrzeuge die von Menschen geführten Fahrzeuge direkt ersetzen würden, ohne erkennbare Änderung des Verhaltens. Dies ist allerdings nicht zu erwarten. Zum einen wird durch ein defensiveres und die Verkehrsregeln einhaltendes Fahren mehr Sicherheit erwartet, so dass allein deshalb eine Veränderung anzunehmen ist. Von den meisten Entwicklern wird dabei angenommen, dass die Zahl der kritischen Szenarien alten Typs (Index oT) ncrit,ad,oT mit der Automatisierung stark abnimmt wie bspw. zu dichtes Auffahren. Zum anderen verändern sich die Grundlagen für das Fahren. Die maschinelle Wahrnehmung baut auf andere Prinzipien auf, die Verhaltens­generierung entspricht nicht den menschlichen Regeln und das Verhalten der anderen Verkehrsteilnehmer wird sich gegenüber den automatisierten Fahrzeugen verändern, wie schon von den Feldversuchen von Google bekannt [12]. Daher ist mit kritischen Szenarien neuen Typs ncrit,ad,nT zu rechnen, die ihrerseits auch zu nac,ad,nT Unfällen des neuen Typs führen.

Daraus ergeben sich dann die folgenden Zusammenhänge:

nac,ad = ncrit,ad,oT + ncrit,ad,nT                                      (2)

nac,ad,oT = ncrit,ad,oT ∙ ρtr,ad,oT; ncrit,ad,oT = fcrit (Bad,ego, Ete,oT); ρtr,ad = ftr(Pad,ego,oT, Pte,oT)         (3)

nac,ad,nT = ncrit,ad,nT ∙ ρtr,ad,nT; ncrit,ad,oT = fcrit (Bad,ego, Ete,nT); ρtr,ad = ftr(Pad,ego,nT, Pte,nT)         (4)

Für das Bild des Schweizer-Käse-Modells bedeutet dies, dass nun einzelne Scheiben auszutauschen sind, für die neu die „Durchlasswahrscheinlichkeit“ bestimmt werden müsste. Bezogen auf das Bild der dunklen Materie ergibt sich die Erwartung, dass sich die Menge der kritischen Szenarien (dunkle Materie) alten Typs verringern wird und hoffentlich durch nicht diese Reduktion kompensierende Übergangswahrscheinlichkeiten damit auch die Zahl der Unfälle alten Typs. Jedoch kommen die kritischen Szenarien neuen Typs hinzu, die ihrerseits mit endlichen Übergangswahrscheinlichkeiten neue Risiken bergen, die so genannten Automatisierungsrisiken.

Das heißt, es reicht nicht, die Fehler des menschlichen Fahrers möglichst weit zu eliminieren, sondern es ist auch eine Abschätzung für neue Fehler zu finden. Für die Absicherungsstrategie des automatisierten Fahrens können die Gleichungen eine Richtung vorgeben:

Es sind die relevanten kritischen Szenarien zu finden und dann dafür die Übergangs­wahr­schein­lich­keit, oder anders ausgedrückt, die Kontrollierbarkeit C=1-ρtr zu bestimmen. Offensichtlich trifft die Annahme von einem kritischen Szenario und nur einer Übergangs­wahr­scheinlichkeit für die vielfältigen Unfallvarianten nicht zu. Somit ist dieser Ansatz auf alle Unfall- und Szenarientypen einzeln auszudehnen und vermutlich auch noch eine Übergangs­wahr­scheinlichkeit in abhängig der erreichten Kritikalität eines kritischen Szenarios in Bezug auf die zu unterscheidenden Unfallschwereklassen zu modellieren. Vereinfacht ausgedrückt reduziert sich der Nachweis der Sicherheit auf den Beweis, dass nac,ad ≤ nac,hd ist. Aber dazu muss zur Problemlösung die bisher dunklen Materie „erhellt“ werden, das heißt, dass als Testfälle möglichst alle kritischen Szenarien gefunden werden, die dann überprüft werden, inwieweit das automatisierten Fahren diesen Szenarien exponiert ist und wie gut es diese zu kontrollieren vermag.

6. Abgeleitete Einführungsstrategien

Wie sich aus dem obigen Unfallvorhersagemodell intuitiv ablesen lässt, führt eine Verein­fachung der Fahraufgabe sowohl zu einem Absinken der Zahl kritischer Szenarien als auch zu einer höheren Kontrollierbarkeit durch den Fahrroboter. Die Fahraufgabe wird vereinfacht durch

  • Reduktion von notwendigen Handlungsalternativen,
  • Verringerung der Fahrgeschwindigkeit,
  • Ausübung auf einfach strukturierte Verkehrsbereiche wie bspw. Autobahnen,
  • Ausübung nur in einem aufwändig vorher getestetem Gebiet und ausgedünntem Straßennetz.

Durch die Kombination einiger dieser Maßnahmen für das Systemdesign lässt sich der Testaufwand schon erheblich verkleinern. Ob dann die Sicherheitsziele tatsächlich erreicht werden, lässt sich erst dann sagen, wenn die Testfälle und die Testaussagen von der Praxis belegt werden.

Bild 4: Entwicklungspfade zum automatisierten Fahren [12]

In Bild 4 finden sich die beiden heute dominierenden Entwicklungspfade wieder. Während die meisten der europäischen Fahrzeughersteller den Automatisierungsgrad evolutionär steigern und dabei eine möglichst große Nutzungsbreite anstreben, fängt Google gleich mit fahrerlosem Fahren an, dieses aber nur in ausgewählten Gebieten. In beiden Ansätzen wird das Wissen, das für die zukünftigen autonomen Fahrzeuge für die Überall-Nutzung benötigt wird, evolutionär aufgebaut. Welcher Weg der erfolgreichere sein wird, wird die Zukunft zeigen, wobei auch eine parallele Evolution sinnhaft erscheint, wenn insbesondere unterschiedliche Geschäfts- und Mobilitätsmodelle verfolgt werden.

7. Potenzielle Validierungskonzepte

Da eine statistische Validierung vor der Markteinführung als unmöglich anzusehen ist, müssen alternative Konzepte für die Validierung gefunden werden. Im Folgenden werden aus [14] folgende mögliche Vorgehensweisen zitiert:

Wiederverwenden freigegebener Funktionen
Die erste und einfachste Möglichkeit für die Validierung ist das Wiederverwenden von bereits freigegebenen Funktionen. Ein erweiterter Funktionsumfang ist jedoch neu abzusichern; je kleiner dabei der neue Bereich ist, desto geringer wird der Aufwand. Die im vorherigen Abschnitt genannte Evolution bietet dafür sehr gute Grundlagen.

Bechleunigung der Validierung
Trotz des evolutionären Ansatzes sind dennoch neue Funktionen abzusichern. Um dies zu beschleunigen, sind prinzipiell zwei Stellschrauben vorhanden: Erstens kann das Was und zweitens das Wie verändert werden. Welche Testfälle sind notwendigerweise zu überprüfen und womit werden diese Tests durchgeführt?

Die Ansätze von Glauner [15] und Eckstein [16] beschreiben dafür das Identifizieren von relevanten bzw. kritischen Situationen im öffentlichen Straßenverkehr: Basierend auf zuvor definierten Ereignisklassen werden während der Testfahrten oder groß angelegten Feld­studien potenziell kritische Situationen identifiziert. Diese kritischen Situationen fließen in die Testfallgenerierung ein, sodass Situationen geringer Kritikalität gestrichen werden können. Dieser Raffung liegt die Annahme zugrunde, dass Situationen, die weniger kritisch sind, durch kritische Situationen abgedeckt werden. Dabei bleibt aktuell als ungelöste Aufgabe die Suche nach einem validen Risikomaß, das im ersten Schritt eine Bewertung und im zweiten Schritt die Auswahl von kritischen Situationen ermöglicht. Dieser Ansatz folgt genau dem Bild des „Erhellens“ der dunklen Materie.

Ein anderes Vorgehen zur Raffung von Testfällen bieten Schuldt et al. [17] Vorgeschlagen wird eine generische Testfallgenerierung, bei der Verfahren des Black-Box-Testings und der Kombinatorik eingesetzt werden, um die Einflussfaktoren auf die vom System ausgehende Sicherheit möglichst ausreichend abzudecken und gleichzeitig redundanzarm und effizient zu sein. Dieser Ansatz basiert auf statistischen Betrachtungen ohne Wissen und Erfahrung über das Testobjekt, aber hat dennoch das Potenzial, die notwendigen Testfälle zu reduzieren.

Der Ansatz beschrieben von Tatar und Mauss [18] ist ebenfalls für Black-Box-Testing geeignet: zur Generierung von Testfällen wird eine Optimierung eingesetzt. Dabei werden die Eingangsgrößen einer XiL-Simulation so variiert, dass die zu definierende Bewertungs­funktion des Tests optimiert wird. Trotz der Herausforderung der validen XiL-Simulation sowie der benötigten Bewertungsfunktion liefert dieser Ansatz die Möglichkeit, die Testfälle auf die als relevant bewerteten zu fokussieren.

Ein vierter theoretischer Ansatz ist der Einsatz und der Test eines Sicherheitskonzepts mit­hil­fe von formalen Methoden [19] Ähnlich wie für den Menschen als Überwacher und Teil des Sicher­heitskonzepts von aktuellen Fahrzeugen angenommen, könnte ein nachgewiesen siche­­res Sicherheitskonzept den Test der Gesamtfunktionalität des Fahrzeugs in der voll­stän­­digen Repräsentativität überflüssig machen. Somit wäre eine Raffung der Testfälle möglich.

Neben der Möglichkeit während der Testfallgenerierung die Testfälle zu raffen, besitzt die Testdurchführung ebenfalls Potenzial, die Freigabe zu beschleunigen. Wird jedoch von der Realfahrt abgewichen und ein anderes Testwerkzeug für die Testdurchführung gewählt, geht damit immer eine Vereinfachung einher. Dies wird anhand von Bild 5 genauer beschrieben.

Bild 5: Einteilung von Testwerkzeugen für den Test von autonomen Fahrzeugen [5]

Bild 5 unterteilt die Testwerkzeuge in neun Klassen, die sich danach unterscheiden, wie das Fahrzeug bzw. das Umfeld dargestellt werden. Der Insasse wird bei dieser Darstellung dem Fahrzeug zugeordnet, da er sich im Fahrzeug befindet und nicht aktiv in die autonome Fahrt eingreift.

Die Realfahrt bildet sowohl das Umfeld als auch das Fahrzeug real ab. Dementsprechend besteht während dieser Tests die Gefahr von realen Unfällen und deren Auswirkungen. Das Umfeld ist nicht kontrol­liert, sodass Testsituationen basierend auf dem Zufall der Realität ent­ste­hen; dementspre­chend ist die Reproduzierbarkeit für komplexe Situationen mit anderen Verkehrsteilnehmern nicht gegeben. Dieses Testwerkzeug kann frühestens mit ersten straßen­tauglichen Prototypen eingesetzt werden und erfolgt somit am Ende des Entwick­lungs­prozesses.

Eine Alternative ist, reale Fahrzeuge in einem künstlichen Umfeld zu testen: Dies entspricht der Fahrt auf einem Testfeld, denn dort sind zum einen Situationen künstlich hergestellt und zum anderen besitzen die „Verkehrsteilnehmer“ das Bewusstsein, sich in einem Test zu befin­den. Zugunsten der Sicherheit, Variierbarkeit, Beobachtbarkeit sowie der Reproduzier­barkeit wird die Realität vereinfacht. Aus ökonomischen Gesichtspunkten werden zwar Test­fälle gezielt getestet und müssen nicht wie in Realfahrten per Zufall erfahren werden, jedoch kostet der Aufbau des Testfelds zusätzlichen zeitlichen wie finanziellen Aufwand.

Des Weiteren könnte sich ein künstliches Fahrzeug in realem Umfeld bewegen; künstlich bezieht sich in diesem Fall beispielsweise auf die Ausstattung des autonomen Fahrzeugs mit einem Überwacher, der die Möglichkeit hat, in die Fahraufgabe einzugreifen. Dies kann zum einen ein Testfahrer mit Lenkrad und Pedalerie sein oder aber ein technisches System, das aufgrund von leistungsfähigerer (Zusatz-)Sensorik dem Seriensystem überlegen ist. Werden Komponenten künstlich dargestellt, leidet darunter die Realitätsnähe, jedoch wird an Sicherheit, Reproduzierbarkeit sowie Beobachtbarkeit gewonnen.

Neben der Möglichkeit, Umfeld und Fahrzeug künstlich zu gestalten, existieren Werkzeuge, die sich einer virtuellen Repräsentation in Form von Computersimulationen bedienen. Dabei sind die zwei Felder, die real und virtuell kombinieren, grau hinterlegt, da diese strengge­nom­men nicht existieren, denn Sensoren und Steller haben genau die Aufgabe der Wand­lung zwischen virtuellen und realen Signalen. Ein realer Radarsensor kann kein virtuelles Umfeld sensieren und ein virtueller Wechselrichter kann keine reale Spannung erzeugen.

Was jedoch möglich ist, sind Kombinationen aus künstlichem und virtuellem Umfeld bzw. Fahrzeug: Als Beispiel dafür existieren unterschiedliche Konzepte von Vehicle-in-the-Loop (ViL). Um den Kreis aus Aktionen und Reaktionen von Umfeld und Fahrzeug zu schließen, werden reale Komponenten in der Simulation in Form von Modellen abgebildet. Dabei werden entweder die angesprochenen Sensoren bzw. Steller stimuliert, also künstlich angeregt; Beispiele hierfür sind simulationsbasierte Videos als Stimulanz für Kamerasysteme oder Rollenprüfstände als Stimulanz für Antriebssteller – oder die Testwerkzeuge simulieren direkt die Leistungssignale, wie zum Beispiel die elektromagne­tische Welle und versuchen reale Effekte von Sensoren und Stellern in der Simulation mithilfe von Modellen darzustellen. Für weitere Informationen dazu siehe Bock [20] oder Hendricks [21]. Der beschriebene Einsatz von Modellen stellt die Aussagekraft dieser Testwerkzeuge in Frage. Um valide Aussagen mithilfe solcher Modelle zu erhalten, ist der Nachweis zu erbringen, dass diese Modelle keine unzulässigen Vereinfachungen beinhalten; unzulässig ist hier im Kontext der Funktion zu sehen und bedeutet, dass Abweichungen von der Realität nur unterhalb der Toleranzen der Funktion zulässig sind. Wenn jedoch diese Validität nachgewiesen wurde, erlaubt das Testwerkzeug eine größere Sicherheit bei der Testdurchführung, da sich Teile des Umfelds und das Fahrzeug nur noch in der virtuellen Welt begegnen. Aufgrund der virtuellen Komponenten sind diese Testwerkzeuge von einer größeren Variierbarkeit, Beobacht­barkeit und Reproduzierbarkeit gekennzeichnet. Aus ökonomischer Sicht besitzt dieses Testwerkzeug den Vorteil, das virtuelle Umfeld einfach zu variieren oder aber das Fahrzeug in unterschiedlichsten Varianten darzustellen. Von ökonomischem Nachteil könnte sich die Validierung der Modelle erweisen (siehe nachfolgend). Ein Vorteil dieses Testwerk­zeugs ist die Möglichkeit, basierend auf dem simulierten Fahrzeug, bereits frühzeitig in der Entwicklung Tests durchzuführen.

Die letzte Stufe der Abstraktion repräsentiert die Kombination eines virtuellen Fahrzeugs und des virtuellen Umfelds: Das mit Software-in-the-Loop bezeichnete Testwerkzeug stellt dabei den geschlossenen Regelkreis durch die Modellierung relevanter Komponenten in der Simulation dar. Anders als bei den Testwerkzeugen zuvor, ist die gesamte Testwelt virtuell. Die Tests sind sicher, variierbar, beobachtbar und reproduzierbar; außerdem besteht die Möglichkeit, dieses Werkzeug bereits frühzeitig in der Entwicklung einzusetzen. Den ökono­mischen Vorteil bildet die Hardware-Unabhängigkeit, denn somit ist keine Verknüpfung an die Echtzeit mehr vorhanden. Die Ausführung der Tests wird rein durch Rechenleistung begrenzt; Simulationen können Tag und Nacht sowie massiv parallel erfolgen. Demgegen­über steht die geringere Realitätsnähe der virtuellen Testwelt und somit jedes einzelnen Modells: Nur wenn die Validität der eingesetzten Modelle nachgewiesen wurde, besitzen virtuelle Tests die Aussagekraft für eine Freigabe. Dementsprechend muss für die ökono­mische Betrachtung von simulationsbasierten Verfahren vor allem die Validierung der Modelle betrachtet werden. Gerade dabei gibt es noch große Lücken, wie im nachfolgenden Abschnitt gezeigt wird.

Die gleiche Herausforderung existiert für den Einsatz von formalen Methoden. Mitsch [19] schreibt diesbezüglich: „We do (…) prove that collisions can never occur (as long as the robot system fits to the model).” Das bedeutet, auch für formale Methoden bedingt der Realitätsgrad der eingesetzten Modelle die Aussagekraft der Ergebnisse. Eine besondere Herausforderung und somit im Fokus der Forschung steht beispielsweise die Formalisierung der Unsicherheiten von Sensoren oder der Eigenschaft von weiteren Verkehrsteilnehmern.

Die Diskussion der Testwerkzeuge zeigt das Potenzial, die Freigabe zu beschleunigen: Mithilfe von künstlich erzeugtem Umfeld und Fahrzeug können Testfälle gezielt aufgebaut und angefahren werden. Zusätzlich ermöglicht der virtuelle Ansatz, die Tests abhängig von der eingesetzten Rechenleistung zu beschleunigen und zu parallelisieren.

Die Diskussion zeigt aber auch, dass die Validität und somit die Aussagekraft der Tests mit Einführung von künstlichen und virtuellen Komponenten zur Herausforderung wird.

8. Die Validitätsherausforderung

Auch wenn im vorherigen Abschnitt die Möglichkeiten für eine Validierung automatisierten Fahrens vorgestellt wurden, müssen diese Instrumente ihre Validität nachweisen. Diese betrifft einerseits die Validität des Testkatalogs und andererseits die der verwendeten Modelle für XiL-Validierungen. Entsprechend dieser Einteilung werden die Validierungs­herausforderungen getrennt diskutiert.

Validität des Testkatalogs
Einem Testkatalog wird die Validität verwehrt bleiben, wenn die dort enthaltenen Testfälle nicht die für im späteren Einsatz repräsentativen, kritischen Fälle abdecken oder die Bestehenskriterien für die Tests nicht für den zukünftigen Einsatz gelten. Das Grundproblem für die Abdeckung ist die mannigfaltige Dimension des Szenarienraums. Neben einer Vielzahl von Straßeninfrastruktur­bedingungen (Fahrbahngeometrie, -zustand, Bebauung am Straßenrand, Verkehrszeichentyp und ‑ort, Signalanlagen und deren Zustände) kommen viel­fältige Wetterbedingungen (Sonnenstand, Niederschlag, Temperatur, Sichtweite) und unzäh­lige Konstellationen der für ein Szenario relevanten Verkehrspartner (mit variablen Abständen, Geschwindigkeiten, Ausrichtungen, Absichten, Verhaltensweisen, bewegungs­dynamischen Möglichkeiten) hinzu. Schon bei vorsichtigen Versuchen, die wichtigsten Einflussparameter vollfaktoriell für ausgewählte Szenarien zu variieren, erhält man die Erkenntnis, dass die Zahl jede Testmethodik überfordern wird, auch Software-in-the-Loop-Tests. Das heißt, man kommt nicht umhin, die Einflussparameter auf alternative Weise zu kombinieren. Monte-Carlo-Methoden können eine stochastisch erzeugte Testparameter-Untermenge generieren und dabei die Häufigkeiten der Parameter im Feld über eine dazu passende Verteilung repräsentieren. Hier besteht die Herausforderung, dass die Parameter nicht unabhängig voneinander sind, weshalb dann vorab sinnhafte Verknüpfungen erfolgen müssen. Grundsätzlich spricht nichts gegen ein solches Vorgehen, außer dass es bei einer „dichten“ Testfallgenerierung ebenfalls zu aufwändig werden wird wie das vollfaktorielle Vorgehen, bei einer „dünnen“ hingegen wichtige Fälle auslassen könnte.

Ein anderer Ansatz besteht in der Dekomposition der Tests auf die für einen Unfall möglichen Versagensursachen. Der Ansatz verbindet zum einen das Bild des Schweizer-Käse-Modells mit einer retrospektiven Beschreibung des Versagens bei einem Unfall nach Graab [22]. Dort wurden fünf Ebenen vorgestellt, die die verantwortliche Ursache für die Nichtverhinderung des Unfalls kategorisiert. (s. Bild 6) Diese können als Basis für eine Test­fall­dekomposition gesehen werden, so dass gezielt nur für die jeweiligen Ebenen relevanten Testfälle herausgesucht werden. Das Ergebnis ist nun nicht mehr ein binäres (Unfall vs. Nicht-Unfall), sondern es muss den Versagensfall in jeder Ebene nach getrennten Kriterien suchen, wobei nicht ausgeschlossen ist, mehrere Ebenen für einen Testfall zusammenzu­fassen. In der Wahl der Bestehenskriterien besteht die Gefahr, dass diese zu kritisch oder zu wenig kritisch ausgelegt werden. Tendenziell sollte aus Sicht der Autoren der kritische Fall vorgezogen werden und bei Nichtbestehen eine weitere Betrachtung der potenziellen Gefahren anhand von repräsentativen Gesamtszenarien erfolgen.

Bild 6: Dekompositionsebenen für die Testfallgenerierung

Trotz aller theoretischen Ansätze wird immer Zweifel darüber herrschen, ob der Testkatalog für eine Sicherheitszertifizierung vollständig und valide ist. Im Sinne einer Reifegrad­bestim­mung des Testkatalogs könnten vergleichende Fahrerprobungen herangezogen werden. Als Maß für die Reife könnte die Anzahl der Überraschungen pro Erprobungsstrecke dienen. Als Überraschung ist ein Ereignis dann identifiziert, wenn das automatisierte Fahren einen nicht gewünschten Zustand erreicht hat, sei ein Zustand außerhalb der Spezifikation oder ein ungewünschter Zustand, der in den Spezifikationen bisher unberücksichtigt geblieben ist, und dieser im Testkatalog nicht vorgesehen ist. Das Vorgehen ähnelt der Verpflichtung, die in Kalifornien in der Regulierung der Testphase von automatisiertem Fahren vorgesehen ist. Dort muss über jede Übernahme der Fahrfunktion durch den Testfahrer öffentlich [23] berichtet werden. In den meisten Fällen sind die Übernahmen nicht abgedeckten Testfällen (und ggf. nicht abgedeckten Spezifikationen) zuzuordnen und somit nach der Definition Überraschungen, unabhängig davon, ob eine Gefahr davon ausging oder nicht. Die Aufnahme der Szenarien zu jeder Überraschung in den Testkatalog, sei es als Ganzes oder dekomponiert in Bestandteile, führt zu einer stetigen Verbesserung des Katalogs, wodurch die Zahl der Überraschungen pro Strecke in folgenden Fahrerprobungen abnehmen wird, wie in Bild 7 illustriert und von GoogleX in ähnlicher Weise auch so dokumentiert ist. Aus dem Verlauf der Fortschrittsreihe kann auf die Reife des Testkatalogs geschlossen werden und unter bestimmten, durchaus kritisch zu diskutierenden Annahmen auch auf das verblei­ben­den Risiko, wenn den Überraschungen aus den letzten Erprobungsabschnitten ein Risiko­wert zugeordnet werden kann. Neben den Fahrerprobungen mit der Zielfunktionalität kann das im Abschnitt 9 beschriebene VAAFO-Konzept auch aus Fahrten mit Vorgänger­funktionen Überraschungen herausfinden und den Testkatalog verbessern.

Bild 7: Überraschungen pro Fahrstrecke über gefahrene Testkilometer

Validität der Modelle
Neben dem in Abschnitt 7 aufgezeigten grundsätzlichen Konflikt zwischen Aufwand und Validität soll hier kurz auf den Stand heutiger Modelle und deren Validität eingegangen wer­den. Einen hohen Stand der Modellgüte kann der Simulation der Fahrdynamik bescheinigt wer­den, denn diese wird auch zur Homologation von ESC in Fahrzeugvarianten eingesetzt, wofür in besonderem Maße die Fahrphysik korrekt abzubilden ist. Auch die fahrdynamik­erfas­senden Sensoren werden darüber in ausreichender Qualität simuliert. Für die umfeld­erfassenden Sensoren sieht es dahingegen sehr viel schlechter aus. Zum einen stellt die Echtzeit­fähigkeit bei White-Box-Modellen, bei denen die analogen Schaltkreise simuliert werden müssen, eine große Herausforderung dar. Aber selbst wenn dies gelöst wäre, bleibt das Hauptproblem die Simulation der für den Sensor relevanten Umgebung. Auch wenn moderne Raytracing-Algorithmen auf Grafik-Hardware einen hohen Grad an Realismus erreichen, wie die Gaming-Anwendungen immer wieder verblüffend zeigen, so kommen sie bei der Umsetzung für die Modellierung der Umfeldsensoren an die Grenzen. Noch bleibt es schwierig, die vielen optischen Effekte für ein realistisches Kamerabild realitätsgetreu auf ein simuliertes Kamerabild umzurechnen. Noch schwieriger gestaltet sich die Abbildung für Radarsensoren. Das empfangene Radarecho setzt sich aus einer Vielzahl an reflektierten Teilstrahlen zusammen, die aufgrund von Reflektion an Fahrbahnoberflächen, Wänden und anderen Fahrzeugen, über mehrere Pfade an dem Empfänger kommen und dann phasen­korrekt zusammengesetzt werden müssen. Für eine dem Rohsignal korrekt nachempfunde­ne Simulation müsste die Umfeld in Flächenelemente zerlegt werden, die von der Größen­ordnung der Wellenlänge sind (bei 77 GHz Radar 4 mm) und diese mit Oberflächennormale und Reflektionskoeffizient attributiert werden. Neben der schieren Zahl der Elemente, die sich daraus ergeben würde, müsste diese für jeden Zeitschritt verfügbar sein. Dies belegt die Unmöglichkeit einer Radarempfangssignalsimulation. Als Ansatz wird von Cao [24] eine Greybox-Simulation vorgeschlagen, die zumindest die wichtigsten physikalischen Einflüsse auf die Abbildung der Umwelt auf die Sensorergebnisse enthält. Aber hier ist noch ein weiter Weg zu gehen, bis die Umfeldsensormodellierung den Stempel „valide“ erhält, zumal dafür allein etablierte Kriterien noch fehlen.

Für die Verhaltensmodellierung mag schon ein stark vereinfachtes Modell der Umfeldsen­sierung reichen. Problematischer ist die Modellierung des Verhaltens der Verkehrsumwelt. Zum einen sind die Modelle für das Verhalten von Verkehrsteilnehmern im heutigen Verkehr nicht besonders aussagekräftig für die Szenarienmodellierung, zum anderen sind Verhal­tens­änderungen zu erwarten, wenn die Menschen mit autonomen Fahrzeugen konfrontiert werden, allein schon deshalb, weil automatisierte Fahrzeuge voraussichtlich viel vorsichtiger fahren als das menschliche Fahrerkollektiv. Ein anderer Weg als über die Fahrerprobung das Wissen über das Verhalten zu ermitteln, erscheint nicht möglich.

9. Felddatenermittlung

Aus den vorherigen Beschreibungen geht eindeutig hervor, dass es eine große Wissenslücke gibt, die nur durch Daten aus Felderprobung geschlossen werden kann. Für die Gewinnung dieses Wissens bieten sich grundsätzlich drei Verfahren an:

  • Datenaufzeichnung im Fahrzeug von Zeitscheiben, die durch Testfahrer getriggert werden.
  • Over-the-Air-Aufzeichnung mit Labeling und Auswertung im Labor
  • Mitlaufende virtuelle Bewertung der Automation und automatisierte Triggerung von Aufzeichnungen, die ihrerseits over-the-air oder auf anderem Wege zum Entwickler übermittelt werden. Dieses Konzept [25] wird VAAFO (Virtual Assessment of Automation in Field Operation) genannt.

Grundsätzlich ist unerheblich, ob die Messdaten bei aktiver oder emulierter Zielfunktion, einer Vorgängerautomation oder manuellem Fahren erhoben werden, wobei die Aussage­kraft in der Reihenfolge abfällt.

Die erste Alternative der Felddatengewinnung wird schon seit langem in kundennahen Fahr­erprobungen eingesetzt, hat aber Grenzen beim Einsatz in „echter“ Kundenhand. Der finanzielle Aufwand für die Bereitstellung sowie manuelle Auswertung ist bereits aktuell eine Herausforderung. Das zweite Konzept ist technisch das leistungsfähigste, ist aber bzgl. des Schutzes der Privatsphäre zweifelhaft.

VAAFO ist ein Auto-Labeling-Tool, das auf Basis einer ständig neu gestarteten Vorwärts­simulation des Verhaltens eine retrospektive Vergleichsmöglichkeit mit der Realfahrt ermöglicht. Zeigen sich dabei signifikante Unterschiede, so führen diese zu einem Trigger für die Aufzeichnung der in einem Ringspeicher liegenden Werte. In der Vorwärtssimulation können auch neue Funktionselemente verwendet werden, die nicht „scharf“ geschaltet sind. Somit können potentielle Problempunkte ohne Gefahr ermittelt werden, die dann wie oben beschrieben dem Testkatalog hinzugefügt werden. Weitere Details zum Verfahren finden sich in [26].

10. Fazit

Für die Absicherung des automatisierten Fahrens ohne Fahrerüberwachung wurden ver­schie­dene Bausteine vorgestellt, die geeignet erscheinen, eine Validierung der Sicherheit (im Sinne von Safety) zu gewährleisten. Zur Nutzung steht das Instrumentarium zu einem großen Teil noch nicht zur Verfügung. Dies betrifft sowohl das „Was“ als das „Wie“ der Validierung. Dieser Einsicht zufolge haben sich auch Forschungsprojekte konstituiert, die beide Validierungsaufgaben adressieren. Auf die Frage nach dem „Was“ ist das Projekt PEGASUS (Projekt zur Etablierung von generell akzeptierten Gütekriterien, Werkzeugen und Methoden sowie Szenarien und Situationen zur Freigabe hochautomatisierter Fahrfunktionen, 01/2016 - 06/2019) ausgerichtet, während die Methoden zur Validierung im EU-Projekt ENABLE-S3 (European Initiative to Enable Validation for Highly Automated Safe and Secure Systems, 05/2016 - 04/2019) aus der Reihe ECSEL Joint Undertaking im Vordergrund stehen. Letzteres adressiert auch das Thema Security, ein auch für die Sicherheit (Safety) besonders dringliches Thema, denn die Schreckenspotentiale, die die Cyberkriminalität über gehackte autonome Fahrzeuge besitzt, sind in den Zeiten des erlebten Terrorismus mehr als beunruhigend.

Die Markteinführung des nichtüberwachten automatisierten Fahrens kann auch bei bestmög­lichen Vorarbeiten zur Validierung nicht auf Basis eines Sicherheitsnachweises erfolgen, der sich an den im Anfang des Artikels genannten Sicherheitszielen messen kann. Die Prognose aus der Absicherung mit den genannten Methoden kann sich nur im Einsatz bewähren. Trotzdem sollte die Prognose es erlauben, eine angemessene Zahl an Fahrzeugen zuzu­lassen. Diese Zahl kann sich aus einer konservativen Risikoprognose bestimmen lassen. Ist dieses Risiko für die anderen Verkehrsteilnehmer ohne Bedeutung, bspw. unterhalb der Jahresschwankungen der Unfallzahlen, so lassen sich Fahrstrecken realisieren, die zunächst die Prognose verbessern helfen bis zum Zeitpunkt, an dem ein Nachweis über mehr oder weniger Sicherheit auf statistischer Basis gelingt. Veröffentlichte [26] und noch nicht veröffentlichte Modellrechnungen zeigen, dass die Einführung unter diesem Vorbehalt die Innovationsgeschwindigkeit nicht verringert, sondern im Gegenteil eine sehr schnelle Marktdurchdringung ermöglichen könnte, falls die Voraussetzungen der erwarteten Sicherheit und der Marktnachfrage vorliegen.

11. Literaturangaben

[1]    Gasser, T. M., Arzt, C., Ayoubi, M., Bartels, A., Bürkle, L., Eier, J., Flemisch, F., Häcker, D., Hesse, T., Huber, W., Lotz, C., Maurer, M., Ruth-Schumacher, S., Schwarz, S. u. Vogt, W.: Rechtsfolgen zunehmender Fahrzeugautomatisierung. Gemeinsamer Schlussbericht der BASt-Projektgruppe "Rechtsfolgen zunehmender Fahrzeugautomatisierung" Dokumentteil 1. Wirtschaftsverlag NW (2012) Heft F 83

[2]    Bundesministerium für Verkehr und digitale Infrastruktur: Verkehr in Zahlen 2014/2015 43.

[3]   Statistisches Bundesamt: Verkehrsunfälle - Fachserie 8 Reihe 7 - 2013 (2013)

[4]    Winner, H., Hakuli, S., Lotz, F. u. Singer, C. (Hrsg.): Handbuch Fahrerassistenzsysteme. Grundlagen, Komponenten und Systeme für aktive Sicherheit und Komfort. Wiesbaden: Springer Vieweg 2015

[5]    Maurer, M., Gerdes, J., Lenz, B. u. Winner, H. (Hrsg.): Autonomes Fahren. Technische, rechtliche und gesellschaftliche Aspekte. Wiesbaden: Springer Vieweg 2015

[6]   Rasmussen, J.: Skills, Rules and Knowledge; Signals, Signs, and Symbols, and Other Distinctions in Human Performance Models. IEEE Transactions On Systems, Man, and Cybernetics, vol.smc-13 MAY/~1983 No. 3

[7]    Donges, E.: Fahrerverhaltensmodelle. In: Winner, Hakuli et al. (Hg.) 2011 – Handbuch Fahrerassistenzsysteme

[8]    Reichart, G.: Menschliche Zuverlässigkeit beim Führen von Kraftfahrzeugen. VDI-Verlag 2001

[9]    Schnieder, E. u. Schnieder, L.: Verkehrssicherheit. Maße und Modelle, Methoden und Maßnahmen für den Straßen- und Schienenverkehr. VDI-Buch. Berlin, Heidelberg: Springer Vieweg 2013

[10]  Reichart, G.: Zuverlässigkeit beim Führen von Kraftfahrzeugen. Fortschrift-Berichte Nr. 7, VDI-Verlag, Technische Universität München Diss. Düsseldorf 2001 2001

[11]  Gründl, M.: Fehler und Fehlverhalten als Ursache von Verkehrsunfällen und Konsequenzen für das Unfallvermeidungspotenzial und die Gestaltung von Fahrerassistenzsystemen. 2005

[12] Winner, H., Wachenfeld, W. u. Junietz, P.: (How) Can Safety of Automated Driving be Validated? 7. Grazer Symposium Virtuelles Fahrzeug. Graz 2016

[13] Urmson, C.: Google Self-Driving Car Project. SXSW Interactive 2016. 2016

[14]  Wachenfeld, W. u. Winner H.: Die Freigabe des autonomen Fahrens. In: Maurer, M.,

[15] Glauner, P., Blumenstock, A. u. Haueis, M.: Effiziente Felderprobung von Fahrerassistenzsystemen. UNI DAS eV (ed.) 8, S. 5–14

[16] Eckstein, L. u. Zlocki, A.: Safety Potential of ADAS - Combined Methods for an Effective Evaluation. ESV 2013

[17]  Schuldt, F., Saust, F., Lichte, B., Maurer, M. u. Scholz, S.: Effiziente systematische Testgenerierung für Fahrerassistenzsysteme in virtuellen Umgebungen. AAET 2013

[18] Tatar, M. u. Mauss, J.: Systematic Test and Validation of Complex Embedded Systems. ERTS 2014. Toulouse 2014

[19]  Mitsch, S., Ghorbal, K. u. Platzer, A.: On Provably Safe Obstacle Avoidance for Autonomous Robotic Ground Vehicles. Robotics Science and Systems (RSS) 2013, abgerufen am: 27.06.2014

[20]  Bock, T.: Bewertung von Fahrerassistenzsystemen mittels der Vehicle in the Loop-Simulation. In: Winner, Hakuli et al. (Hg.) 2012 – Handbuch Fahrerassistenzsysteme, S. 76–83

[21]  Hendriks, F., Tideman, M., Pelders, R., Bours, R. u. Liu, X.: Development tools for active safety systems: Prescan and VeHIL. Vehicular Electronics and Safety (ICVES). 2010

[22]  Graab, B., Donner, E., Chiellino, U. u. Hoppe, M.: Analyse von Verkehrsunfällen hinsichtlich unterschiedlicher Fahrerpopulationen und daraus ableitbare Ergebnisse für die Entwicklung adaptiver Fahrerassistenzsysteme. Audi Accident Research Unit (AARU) (2008)

[23] State of California, Departement of Motor Vehicles: Autonomous vehicles testing regulations

[24] Cao, C.T., Kronenberg, K. u. Poljansek, M.: Adaptive transmission control. Google Patents. 1999. www.google.com/patents/US5954777

[25]  Wachenfeld, W. u. Winner, H.: Virtual Assessment of Automation in Field Operation A New Runtime Validation Method. 10. Workshop Fahrerassistenz-systeme, S. 161

[26] Horn, M. u. Watzenig, D.: Automated Driving: Safer and More Efficient Future Driving. Springer International Publishing 2016 (In Veröffentlichung)

Autor

H. Winner, W. Wachenfeld, P. Junietz
Fachgebiet Fahrzeugtechnik, Technische Universität Darmstadt

Diese Veranstaltungen könnten Sie auch interessieren

Der für Sie ausgewählte Bereich

  • Automobil
    IT-Security