Geffert, A.; Dodinoiu, A.; Lettmann, F.; Lan, T.; Becker, U.:
Szenariobasierte PROFUND-Analyse zur Absicherung der Ortungs-Sollfunktion von automatisierten Straßenfahrzeugen.
Funktionale Sicherheit in der Bahntechnik, Automatisierung und Automobiltechnik. safe.tech 2020, Juli 2020.
Die gesellschaftliche Akzeptanz des automatisierten Fahrens wird entscheidend dadurch beeinflusst werden, welches Maß an Verlässlichkeit (insbesondere Überlebensfähigkeit, Verfügbarkeit und Sicherheit) automatisierte Straßenfahrzeuge erreichen können. Wie sich an der derzeitigen Entwicklung von SOTIF erkennen lässt, stoßen die klassischen Methoden der Automobilindustrie an ihre Grenzen, wenn es darum geht, komplexe Automatisierungssysteme zulassungsfähig und haftbar abzusichern. Dies gilt insbesondere für die Ortungssensorik, deren Sollfunktion – auch intendierte Funktion genannt – probabilistische Anforderungen an die Verlässlichkeit erfüllen muss. Im Rahmen dieses Vortrags soll der aus dem Bahnbereich stammende PROFUND-Ansatz [1] auf die Absicherung der Ortung von automatisierten Straßenfahrzeugen übertragen werden, um mithilfe dieses formalen Ansatzes eine zusätzliche, über die klassischen Absicherungsmethoden der Automobilindustrie hinausgehende Maßnahme zur Gewährleistung von Sollfunktionsverlässlichkeit vorzustellen.
Aufbauend auf bereits veröffentlichten Modellierungsgrundsätzen [2, 3] wird der PROFUND-Ansatz weiterentwickelt, um die Sollfunktion der automobilen Ortungssensorik in Petrinetzen abzubilden. Hierfür wird beispielhaft ein GNSS-basiertes Multi-Sensor-Ortungssystem gewählt, dessen Verlässlichkeit nicht für den praktischen Serieneinsatz ausreicht. Daher bietet sich der aus dem Bahn-Bereich stammende PROFUND-Ansatz an, der mit funktionalen Modellen auskommt und somit imstande ist, einen sicherheitsgerichteten Entwurf schon in einer frühen Phase eines Entwicklungsprozesses zu unterstützen. Funktional bedeutet in diesem Zusammenhang, dass die technische Realisierung einer Funktionalität noch nicht bekannt zu sein braucht.
Da der automatisierte Straßenverkehr aufgrund der begrenzten Beobachtbarkeit seiner
(sicherheits-)relevanten Zustandsgrößen als offenes System gilt, sind – im Gegensatz zum Bahnbereich, in dem sich Vollständigkeit (im Rahmen der Annahmen) nachweisen lässt – szenariobasierte Ansätze zu favorisieren. Aus diesem Grund werden – aufbauend auf dem Modell der Risikogenese [4] – PROFUND-Netze für das Szenario Geradeausfahrt modelliert, die das Verhalten des Verkehrsprozesses und dessen Verlässlichkeit beschreiben. Zusammen mit den hierarchisch darunterliegenden Petrinetzen der Mess- bzw. Steuerungsfunktion ergibt sich ein in Bezug auf das modellierte Szenario vollständiges Netz, das anschließend mit dem Pi-Tool simuliert wird, um Aussagen darüber zu erhalten, wie sich die Verlässlichkeit der Ortungsfunktion auf die Verlässlichkeit des Verkehrsprozesses auswirkt. Auf Basis einer solchen Monte-Carlo-Simulation mit dem Pi-Tool ist es möglich, die Anforderungen an die Ortungssensorik genauer zu bestimmen, da die Grundaussage des Risikogenesemodells berücksichtig wird, dass ein Schaden nicht nur durch eine Gefährdung entsteht, sondern durch die Koinzidenz von Exposition und Gefährdung eintreten kann.
Literatur
[1] Slovák, R.: Methodische Modellierung und Analyse von Sicherungssystemen des Eisenbahnverkehrs. Dissertation, Fakultät für Maschinenbau, Technische Universität Braunschweig, Braunschweig, 2006.
[2] Geffert, A.; Tianxiang, L.; Dodinoiu, A.; Rüdiger, R.; Becker, U.: Formalization of automation risks for dependability-based safeguarding of the nominal function. In: Automatisiertes Fahren 2019, 2019.
[3] Geffert, A.; Dodinoiu, A.; Lan, T.; Becker, U.:
Towards an Integrity-Based GNSS Measurement Quality Model for an In-Depth Understanding of Localization Dependability.
European Navigation Conference (ENC), November 2020. IEEE.
[4] Schnieder, E.: (Verkehrs)sicherheit als regelungstechnische Aufgabe. at 12/14, S. 829–841.