Geffert, A.; Lan, T.; Dodinoiu, A.; Becker, U.:
Orthogonale Verlässlichkeitseigenschaften für das automatisierte Fahren.
10. Tagung Automatisiertes Fahren, März 2022. Lehrstuhl für Fahrzeugtechnik (TU München) mit TÜV SÜD Akademie.
Die Auslegung sicherheitsrelevanter Systeme unterliegt häufig einem bedeutsamen Zielkonflikt: Soll das System im Zweifelsfall mehr Sicherheit oder mehr Verfügbarkeit gewährleisten? Stehen beim Systementwurf keine weiteren Freiheitsgrade zur Verfügung, so bleibt häufig nur die Möglichkeit, sich für eine der beiden Varianten zu entscheiden. Beispielsweise lässt sich das System dahingehend parametrieren, dass die Verfügbarkeit auf Kosten der Sicherheit optimiert wird – oder umgekehrt. Auch ein Kompromiss wäre denkbar, jedoch nur mit jeweils mäßigen Ergebnissen. Erst durch Hinzunahme weiterer Entwurfsfreiheitsgrade (z. B. Überwachung, Redundanz, komplementäre Sensorik) lässt sich dieser Konflikt – die zuvor systemimmanente Entweder-oder-Beziehung – in ein Sowohl-als-auch umkehren und somit eine Optimierung von Sicherheit und Verfügbarkeit zugleich erzielen. Dieser qualitativ beschriebene Zusammenhang lässt sich mithilfe des Verfügbarkeits-Sicherheits-Diagramms [2] quantifizieren und grafisch veranschaulichen. Verfügbarkeit und Sicherheit werden darin als (nahezu) orthogonale Eigenschaften verstanden, da sie als emergente Systemeigenschaften das Verlässlichkeitsverhalten eines Verkehrs- bzw. Fahrzeugsystems charakterisieren. Dabei wird auf den im Bahn-Bereich etablierten Terminus der Verlässlichkeit zurückgegriffen, der die Eigenschaften Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit zusammenfasst [2].
Bei Systemen des automatisierten Fahrens kommen über die Sicherheit und Verfügbarkeit hinaus auch Anforderungen an die Kontinuität hinzu. Beispielsweise muss die Lokalisierungsqualität eines automatisierten Fahrzeugs bei einem automatisierten Überholmanöver für eine definierte Zeitdauer den spezifizierten Mindestanforderungen genügen, und zwar kontinuierlich. Anderenfalls resultieren Risiken (Minderung der Sicherheit) oder ein Abbruch des Überholvorgangs (Minderung der Verfügbarkeit). Daher wird im Rahmen dieses methodenorientierten Beitrags ein Vorschlag erarbeitet, wie das seit Längerem bekannte Verfügbarkeits-Sicherheits-Diagramm um eine weitere Koordinatenachse für die Kontinuität erweitert werden kann. Ein solches Diagramm bietet auch den Vorzug, die Verlässlichkeit von Automatisierungssystemen besser vergleichen und beurteilen zu können. Die Erweiterung um die Kontinuitätsachse lässt sich gedanklich herleiten, indem die Verfügbarkeit als Intervallverfügbarkeit [3] interpretiert wird, bei der das definierende Intervall durch die Kontinuität gegeben ist. Dadurch ergeben sich zwei Grenzfälle: (1) Wenn das Zeitintervall der Kontinuität gleich null ist, lässt sich auf der Verfügbarkeitsachse die Punktverfügbarkeit ablesen. (2) Die großen Werte auf der Kontinuitätsachse müssen (mindestens) die Dauer des betrachteten Fahrszenarios abdecken, sodass sich die Verfügbarkeit des automatisierten (Überhol-)Manövers ablesen lässt.
Die Diskussion bzw. Veranschaulichung dieses dreidimensionalen Diagramms erfolgt mithilfe simulierter Messwerte, und zwar am Beispiel GNSS-basierter Multi-Sensor-Lokalisierungssysteme für automatisierte Straßenfahrzeuge. Dabei wird nicht die klassische – gerätetechnische – Verlässlichkeit, sondern die Verlässlichkeit der Sollfunktion (resultierend aus der Messqualität des Lokalisierungssystems) betrachtet. Den Schwerpunkt der Veranschaulichung bilden Verlässlichkeitsoptimierungen anhand von Sensorqualität und
-diversität sowie anhand von stochastischer und deterministischer Datenfusion (Kalman-Filter, Voter). Weitere Ansätze (z. B. Integritätsüberwachung, architekturale Entwurfsentscheidungen) werden ebenso erwähnt.
Literatur