Sichere, finanzierbare Technologie bahnt den Weg zum automatisierten Verkehr
Verlässt man sich auf erstklassige, überaus teure Fahrzeugteile, die den automatisierten Verkehr Wirklichkeit werden lassen, so mag das ausreichende Garantien für einen großmaßstäblich Einsatz bieten - ein derart kostenintensives Vorgehen könnte jedoch auch Investoren abschrecken. Um diese schwierige Fragen zu beantworten, hat das Projekt KARYON eine Technik entwickelt, die ihr Verhalten an die Zuverlässigkeit ihrer Sensoren und in Verbindung mit anderen Fahrzeugen anpassen kann. Wenn es in unserer zunehmend vernetzten Welt eine Sache gibt, die Ärger erregt, denn ist es, und sei es auch nur für kurz, das Fehlen der Netzwerkverbindung unter Umständen, wo diese dringend gebraucht wird. Was würde passieren, wenn sämtliche Autos und Flugzeuge in ihrer reibungslosen Funktion gleichermaßen von derartigen Verbindungen abhängig wären? In einem solchen Szenario, das sich anzukündigen scheint, wenn wir selbstfahrende Fahrzeuge als die Zukunft des Verkehrssektors betrachten, ließe der Gedanke an eine verlorengegangene Internetverbindung uns wohl das Blut in den Ader gefrieren. Was auch der Hauptgrund dafür sein dürfte, warum diese Fahrzeuge noch kaum auf unseren Straßen zu sehen sind. Das EU-finanzierte Projekt KARYON (Kernel-based Architecture for safetY-critical cONtrol) wurde im Hinblick darauf initiiert, dieses Problem mit Hilfe einer Technologie zu überwinden, die es einem angeschlossene Fahr- oder Flugzeug gestatten würde, sofort einem Plan B zu folgen, wenn die Konnektivität mit anderen Fahrzeugen nicht den definierten Standards entspricht. Das Projektteam arbeitete von Oktober 2011 bis Dezember 2014 an einer Technologie, die letztlich eine bessere Nutzung des Straßenraums durch Kommunikation zwischen den Fahrzeugen und ein automatisiertes, sensorgestütztes Fahren gestattet, das durch ein Stück Technik mit der Bezeichnung Sicherheitskern ermöglicht wird. Dank des Kerns, der Regeln erstellt, wie auf Unsicherheiten und Störungen der drahtlosen Kommunikation zu reagieren ist, konnte sich das Team auf eine Anzahl kommerziell verfügbarer Sensoren stützen und gleichzeitig ein Maximum an Sicherheit gewährleisten. Der Kern gestattet es, von kooperativer sensorgestützter Funktionalität auf die Ausgangsbasis umzuschalten, wenn die Datenzuverlässigkeit unzureichend ist, etwa wenn der Abstand zwischen den Fahrzeugen größer wird. Antonio Casimiro, der das Projekt für die Universität Lissabon koordinierte, erzählt uns mehr über die Projektergebnisse sowie darüber, was als nächstes kommen wird. Auf der Internetseite des Projekts lesen wird, dass die drahtlose Kommunikation trotz verbesserter Leistung auch neue Sicherheitsrisiken mit sich bringt. Wie kann das sein? Wenn einige der autonomen Steuerfunktionen von Fahrzeugen auf Informationen basieren, die diese normalerweise drahtlos empfangen (was eine gute Idee sein kann, da diese Informationen von Nutzen sein können), so wird die Sicherheit davon abhängig, wie gut das drahtlose Netzwerk funktioniert, etwa, wie gut es in der Lage ist, Nachrichten rechtzeitig zu liefern und Nachrichtenverfälschungen und -verlust zu vermeiden. Das kann die Sicherheit aufs Spiel setzen, da das drahtlose Netzwerk in diesem Fall mit einer Geschwindigkeit gestört werden kann, die oft zu einem Verlust von Informationen führt. Man denke nur an den Verbindungsverlust am Mobiltelefon in einem Auto oder Zug. Kurz und gut: Obgleich die drahtlose Kommunikation für die Kooperation unter den Fahrzeugen und somit zur Verbesserung der Art und Weise, wie autonome Funktionen ausgeführt werden, genutzt werden kann, muss das Design die zusätzlichen Sicherheitsrisiken in Betracht ziehen, die daraus erwachsen. Was genau ist der Sicherheitskern und wie funktioniert er? Der Sicherheitskern stellt ein neues Element in der Architektur eines intelligenten kooperativen Fahrzeugs dar. Er ist für die Einstellung des Betriebsmodus der autonomen Steuerungsfunktionen verantwortlich, sodass die Reihe von Annahmen (wir nennen sie Sicherheitsregeln), anhand von denen der aktuelle Betriebsmodus konzipiert wurde, erfüllt sind. Ziehen wir zum Beispiel in Betracht, dass in einem bestimmten Betriebsmodus das Steuerungssystem etwa derart konzipiert worden sein könnte, dass ein bestimmter Mindestsicherheitsabstand zu einem anderen Fahrzeug einzuhalten ist, und nehmen wir eine maximale Kommunikationsverzögerung zu diesem Fahrzeug an. Der Sicherheitskern ist hier für eine kontinuierliche Bewertung zuständig, ob diese Annahme erfüllt ist, und muss, wenn das nicht der Fall ist, eine Änderung im Betriebsmodus auslösen, sodass der neue Betriebsmodus nicht mehr die gleiche Kommunikationsverzögerung erfordert (annimmt). Infolgedessen kann der neue Betriebsmodus einen größeren Sicherheitsabstand oder eine geringere Maximalgeschwindigkeit in Kraft setzen, da er sich nicht mehr auf die Annahme der Kommunikationsverzögerung verlässt. Das gleiche gilt für andere Arten von Voraussetzungen, etwa die Qualität der von den Sensoren empfangenen Informationen. Wie gewährleisten Sie, dass das fahrerlose Modell sicher bleibt, wenn die drahtlose Kommunikation zwischen den Fahrzeugen gestört ist? Für den Fall von Kommunikationsfehlern könnte es immer noch möglich sein zu kommunizieren, auch wenn die Qualität dieser Kommunikation geschwächt ist. So könnte es möglich sein, einen Betriebsmodus zu erstellen, der die Sicherheit auf Grundlage des Niveaus der Kommunikationsqualität gewährleistet. Aber lassen Sie uns davon ausgehen, dass die drahtlose Kommunikation völlig gestört ist und das Fahrzeug gar nicht mehr kommunizieren kann. In diesem Fall schaltet der Sicherheitskern zu einem vollständig autonomen Betriebsmodus um, der von keinem drahtlosen Netzwerk abhängt und daher keinen Nutzen aus der Kooperation mit anderen Fahrzeugen zieht. Somit wird die Störung der drahtlosen Kommunikation nicht die Sicherheit beeinträchtigen, solange dieser autonome Modus zur Gewährleistung eines sicheren Betriebs konzipiert wurde, was geschehen kann, indem man sich auf Informationen von lokalen Sensoren verlässt (wie es derzeit bei autonomen Fahrzeugen erfolgt). Die Kosten in den Griff zu bekommen, ist ein wichtiger Teil des Projekts. Wie wollen Sie das schaffen? Das Großartige an dem von uns im Rahmen von KARYON vorgeschlagenen Ansatz ist, dass nicht alle (sicherheitskritischen) Fahrzeugkomponenten immer perfekt funktionieren müssen. Eigentlich müssen sie nicht für die höchste Sicherheitsanforderungsstufe ASIL D zertifiziert werden, wenn man die Fahrzeug-Sicherheitsstandards betrachtet. Genau wie bei den Bauteilen für die drahtlose Kommunikation, die keine spezielle sicherheitstechnische Zertifizierung benötigen und daher kostengünstige Komponenten sind, können auch andere Teile durch preiswertere Komponenten ersetzt werden, die eine niedrigere Integritätszertifizierung aufweisen, aber dennoch den größten Teil der Zeit den erforderlichen Dienst tun. Und tun sie es nicht, ist das System in der Lage, den Betriebsmodus derart anzupassen, dass diese mangelhaft funktionierenden Komponenten auf Kosten einer reduzierten Systemleistung aus dem Sicherheitspfad ausgeschlossen werden. Angesichts der Tatsache, dass die Kosten einiger Bauteile aufgrund der strengen Zertifizierungsanforderungen extrem hoch sind, hat der KARYON-Ansatz die Voraussetzungen geschaffen, um diese Kosten erheblich zu reduzieren. Wie konnten Sie die aktuellen Straßen- und Luftverkehrsregeln in das Kernmodell einbeziehen, das doch ausschließlich auf das effizienteste Verhalten zu setzen scheint? Die konkreten Verkehrsregeln müssen auf der Anwendungsebene, also bei der Konzipierung jedes Betriebsmodus angegangen werden. Daher ist der vorgeschlagene Ansatz typisch in dieser Hinsicht und kann sowohl bei kooperativen Fahrzeug- als auch Luftfahrtanwendungen zum Einsatz kommen. Interessanterweise haben aus Perspektive der Sicherheit die existierenden Sicherheitsstandards in den beiden Domänen viele Gemeinsamkeiten, die etwa die Definition mehrerer Sicherheitsintegritätsstufen betreffen. Daher sind die innerhalb von KARYON entwickelten Konzepte auch in dieser Hinsicht auf beide Domänen anwendbar. Was sind Ihre Pläne für die Kerntechnologie, nachdem das Projekt nun beendet ist? Planen Sie Versuche in der „realen Welt“? In Übereinstimmung mit den zum Zeitpunkt des Vorschlags der Europäischen Kommission unterbreiteten Vorstellungen hatte das Projekt noch nicht die Erwartung, den technischen Reifegrad zu erreichen, der erforderlich ist, um diese Resultate unmittelbar zur Entwicklung eines Endprodukts anzuwenden. Dennoch sind wir überzeugt, dass das Projekt den richtigen Weg eingeschlagen hat, wenn wir vorausschauen auf das, was unserer Meinung nach die zukünftigen Anforderungen in Bezug auf Kosten, Sicherheit und die effiziente Nutzung des Straßen- und Luftraums sein werden. Wir glauben überdies, dass neue Geschäftsmodelle aufkommen werden, die auf Fahrzeugautonomie setzen, welche den Bedarf an Kooperation und Anpassungsfähigkeit steigern werden, dem wir in dem Projekt nachgegangen sind. Man wird konkrete Schritte unternehmen, um die Technologie zu höherer Reife, und zwar den technologischen Reifegrad 7, zu bringen. Dafür sind wir in Kontakt mit wichtigen Akteuren der Fahrzeugindustrie, um das geeignete Konsortium zu schaffen, das in der Lage ist, die vor uns liegende Arbeit erfolgreich zu meistern. Weitere Informationen sind abrufbar unter: KARYON http://www.karyon-project.eu/
Länder
Portugal