Hochautomatisiertes Fahren mit Systems Engineering realisieren

Automatisiertes Fahren durch Systems Engineering

Systems Engineering bietet Lösungsansätze und Best Practices

Dieser Artikel von Franz Gaupp und Philipp Katzenbach ist erschienen im prostep ivip ProduktDaten Journal (Ausgabe 07-2019).

Die Entwicklung hoch- und vollautomatisierter Fahrsysteme stellt die Automobilhersteller vor große Herausforderungen. Die Art und Weise, wie entwickelt und abgesichert wird, muss sich verändern. Systems Engineering bietet für diese Herausforderungen geeignete Lösungsansätze und Best Practices, die bereits in anderen Branchen erprobt sind.

Herausforderung Automatisiertes Fahren: Komplexitätssprung und neue Sicherheitsanforderungen

Mit der Weiterentwicklung der Automatisierungsgrade der Fahrzeuge steigen die Systemkomplexität und die Anforderungen an die Sicherheit der Fahrzeuge exponentiell an. Die Grafik unten zeigt die verschiedenen Automatisierungsgrade der Fahrzeuge mit entsprechenden Beispielen. Aktuell sind in vielen Oberklassefahrzeugen Assistenzsysteme (Level 1-2), wie Abstandsregeltempomaten oder Lenkassistenten, verfügbar. Bei diesen Automatisierungsgraden wird der Fahrer zwar unterstützt, er trägt jedoch weiterhin die Verantwortung für die Steuerung des Fahrzeugs. Ab Level 3 erfolgt ein deutlicher Komplexitätssprung, denn ab hier übernimmt das Fahrzeug bereits in bestimmten Fällen diese Verantwortung. So kann der Fahrer z.B. bei der Nutzung des Autobahnpiloten während der Fahrt auf der Autobahn arbeiten oder lesen. Er muss bei Level 3 jedoch in der Lage sein, in nicht beherrschten Situationen, z.B. in einer Baustelle, die Steuerung des Fahrzeugs und die Verantwortung zu übernehmen. Bei Level 4 und 5 entfällt die Rückfallebene Mensch. Das Fahrzeug ist hier vollumfänglich für die Sicherheit verantwortlich.

Automatisierungsgrade der Fahrzeuge (angelehnt an SAE J3016 [1])

Die daraus resultierenden neuen Sicherheitsanforderungen sind ein wesentlicher Treiber der Komplexität in der Entwicklung. Diese Anforderungen müssen identifiziert und in technischen Lösungen realisiert werden. Zudem muss deren Funktionsfähigkeit nachgewiesen werden.

Systems Engineering als Lösungsansatz

Aufgrund des sehr hohen Komplexitätssprungs von Level 1-2 auf Level 3-5 reicht eine evolutionäre Weiterentwicklung nicht aus. Die Entwicklungsprozesse müssen neu gedacht werden. Systems Engineering ist ein interdisziplinärer Ansatz zur Entwicklung und Realisierung komplexer technischer Systeme. Er bietet geeignete Prozesse und Systematiken, die bereits in anderen sicherheitskritischen Branchen, wie der Luftfahrt, erprobt sind [2].  Bei Systems Engineering steht das System und das Zusammenwirken seiner Bestandteile im Vordergrund. Anhand des V-Modells [3] kann man die unterschiedlichen Abstraktionsebenen eines Fahrzeugs visualisieren. 

Automatisiertes Fahren wird über alle Ebenen des V-Modells realisiert – daher ist ein System- oder Komponentenfokus nicht mehr ausreichend.

Bei der Entwicklung hoch- und vollautomatisierter Fahrfunktionen müssen alle Ebenen des V-Modells berücksichtigt werden, denn neben dem Fahrzeug selbst sind hier weitere externe Systeme, wie Backend- oder Infrastruktursysteme relevant – Stichwort „System of Systems“. Aufgrund dieser Tatsache reicht es nicht mehr aus, den Betrachtungsfokus auf Fahrzeugsysteme bzw. -funktionen zu legen. 

Das System wird vom „Groben ins Feine“ heruntergebrochen, jeweils unter genauer Analyse und Beschreibung der Wirkzusammenhänge und Schnittstellen. Dies geschieht im V-Modell zunächst in der „Spezifikation“ (linke Seite) über alle Ebenen hinweg. So wird beschrieben, wie die einzelnen „Puzzleteile“ des automatisierten Fahrzeugs zusammenarbeiten, was sie jeweils beisteuern und wie damit für den Kunden eine nutzbare Funktionalität realisiert wird. Nur mit einer solchen durchgängigen Beschreibung kann sichergestellt werden, dass nach der Integration der Komponenten und Systeme (rechte Seite im V-Modell) die „Puzzleteile noch zusammenpassen“ und damit die Funktionsfähigkeit des automatisierten Fahrzeugs gewährleistet ist.

Zur Entwicklung und Absicherung automatisierter Fahrzeuge muss ein geschlossener Regelkreis, der sowohl die Umwelt als auch viele Einzelfunktionen im gesamten Fahrzeug berücksichtigt, über alle Ebenen des V-Modells betrachtet und heruntergebrochen werden. Nur dann können auch alle Wirkzusammenhänge und Schnittstellen berücksichtigt werden. Dieser Regelkreis muss jederzeit korrekt, entsprechend der Sicherheitsanforderungen, funktionieren. 

Regelkreis automatisierter Fahrfunktionen

Insbesondere aufgrund der Sicherheitsanforderungen muss die Rückverfolgbarkeit von der obersten bis hin zur Komponentenebene im V-Modell sichergestellt sein (vertikale Traceability). Gleichzeitig muss jede dieser Anforderungen auch überprüft und nachgewiesen werden (horizontale Traceability).

Architektur als Schlüssel

Betrachten wir zunächst die linke Seite des V-Modells. Die Neuentwicklung automatisierter Fahrzeuge ist kein linearer Prozess, sondern von vielfältigen und zum Teil unbekannten Wechselwirkungen geprägt. Damit werden die Synchronisation und Koordination der unterschiedlichen Entwicklungsdomänen umso herausfordernder. Benötigt wird deshalb ein entsprechender Ordnungsrahmen. Dazu empfiehlt sich aus Sicht des Systems Engineerings eine geeignete Referenzarchitektur.

Eine geeignete Referenzarchitektur ermöglicht die Orchestrierung der Komplexität

Die Referenzarchitektur dient dazu, die verschiedenen „Puzzleteile“, welche in den Prozessen entstehen, auszurichten und zu strukturieren. Anforderungen, Funktionen und technische Lösungen können anhand der Referenzarchitektur eingeordnet, abgestimmt und integriert werden.

Automatisierte Fahrfunktionen absichern – virtuell und physisch

Auf der rechten Seite des V-Modells geht es um die Integration, Verifikation und Validierung – also um die Absicherung des automatisierten Fahrzeugs. Hier müssen die definierten Anforderungen überprüft und nachgewiesen werden. Dies ist insbesondere für die Sicherheitsanforderungen relevant, da der Nachweis mit einer entsprechend hohen Aussagewahrscheinlichkeit getroffen werden muss.

Bei Anwendung klassischer Testkonzepte für automatisierte Fahrfunktionen geht die Wissenschaft von 6 bis 11 Milliarden Testkilometern für einen Funktionsnachweis in Konformität der ISO 26262 aus [5] [6]. Dies würde mit einer Testflotte von 100 Fahrzeugen im Dauerbetrieb über 500 Jahre dauern [7]. Diese Zahlen legen nahe, dass ein derartiger streckenbasierter statistischer Funktionsnachweis nicht zu erbringen ist.

Vorangetrieben durch Konsortialprojekte, wie dem Projekt PEGASUS [8], hat sich ein szenariobasierter Testansatz als zielführend herauskristallisiert. Dieser legt zugrunde, dass nur ein Bruchteil der Verkehrsszenarien für die automatisierte Fahrfunktion relevant ist. Die Funktionalität des Systems kann also bereits über diesen Bruchteil der relevanten Szenarien nachgewiesen werden.

Neben der Identifizierung dieser relevanten Szenarien besteht hier die Herausforderung, dass ein abstrakt beschriebenes Szenario eine theoretisch unendlich große Menge an Variationen und damit konkreten Testfällen mit sich bringt. Für eine hinreichende Testraumabdeckung sind Simulationen als Verifikations- und Validierungstool notwendig. Zur Validierung der simulierten Ergebnisse sind trotzdem weiterhin teilvirtuelle und reale Erprobungen nötig. Die dort gewonnenen Ergebnisse sind wiederum Eingangsdaten für die Simulationen.

Zur Erreichung der Nachweispflichten für Level 3-5 bedarf es also intelligenter Absicherungsstrategien. Diese müssen folglich folgende Herausforderungen berücksichtigen:

  1. das noch höhere Maß an systemischer Komplexität und Vernetzung insbesondere durch Software-Anteile,
  2. das szenariobasierte Testen als weitgehend neuer Ansatz zum funktionalen Nachweis von Fahrzeugfunktionen,
  3. der Großteil der Absicherungsumfänge findet virtuell statt.

In einer „In-the-Loop“-Absicherung wird die getestete Funktion/Komponente in einem Regelkreislauf integriert, indem Ein- und Ausgangsgrößen simuliert werden. Es können hierbei sowohl reale Komponenten (HIL: Hardware in the Loop) als auch Software (SIL: Software in the Loop) getestet werden. Für die Verifikation und Validierung der automatisierten Fahrfunktion auf Basis der erarbeiteten Architekturen ist eine solche (teil-)virtuelle Absicherung unerlässlich. Wie in der Tabelle schematisch dargestellt, liegen die Stärken des rein virtuellen Testings in einer SIL-Umgebung darin, hochvariant eine große Anzahl von Kilometern testen zu können, während HIL-Tests sowie Tests in realen Versuchsträgern validere Aussagen hinsichtlich der finalen Funktionalität im Fahrzeug treffen können. 

Vor- und Nachteile verschiedener virtueller Testumgebungen

Die virtuelle Absicherung substituiert folglich eine Hardware-basierte Absicherung nicht vollständig. Diese dient weiterhin der Validierung der virtuellen Testumfänge sowie der realitätsnahen Verifikation der Funktionalität. Im Rahmen der „In-the-Loop“-Absicherung ist neben dem Virtualisierungslevel des Fahrzeugs und seiner funktionalen Wirkkette auch die virtuelle Umwelt des Fahrzeugs von großer Bedeutung. Auf Basis der Informationen aus der Szenariobeschreibung wird die virtuelle Umwelt, im Sinne einer virtuellen Realität (GroundTruth), generiert. Die GroundTruth ist wiederum Eingangssignal für die verschiedenen Sensormodelle (Kamera, LIDAR, Radar usw.) und schließt den Regelkreislauf zum virtuellen Fahrzeug. Die Herausforderung liegt darin, die virtuelle Welt in all ihren verschiedenen Informationsschichten, derart abzubilden, dass damit eine valide Aussage bezüglich der (Gesamt-) Funktionalität getroffen werden kann.

Um den Funktionsnachweis zu erbringen, bedarf es einer Teststrategie, die von der Architektur abgeleitet wird. Diese Teststrategie muss die verschiedenen Virtualisierungslevel im Entwicklungs- und Absicherungsprozess berücksichtigen. Zu koordinieren, welche Absicherungsszenarien, mit welcher Variation, in welcher Absicherungsumgebung, mit welchem Abstraktionslevel getestet werden, ist zentrale Aufgabe des V&V-Managements. 

Aus Sicht des Systems Engineerings lassen sich hier folgende Erfolgsfaktoren ableiten:

  1. Systematische Planung der Integration bzw. Verifikation & Validierung anhand kritischer Schnittstellen und systematischer Eingrenzung des Szenarienraums 
  2. Frühes integratives & funktionales Testing durch Nutzung von „In-the-Loop“-Simulationen
  3. Schaffung einer digitalen Infrastruktur zur virtuellen Absicherung inkl. der notwendigen Prozesse, Modelle und Simulationsframeworks. 
Keine evolutionäre Weiterentwicklung: Prozesse und Organisation neu aufstellen

Die Fahrzeughersteller haben sich in den vergangenen Jahrzehnten darauf konzentriert, ihre bestehenden Fahrzeuge und deren effiziente Entwicklung und Produktion immer weiter zu perfektionieren. Der Fokus lag damit oft auf einzelnen Komponenten und deren Weiterentwicklung, die Architektur wurde nicht prinzipiell neu erarbeitet. Dementsprechend optimierte sich die Organisation in der Fahrzeugentwicklung auch sehr arbeitsteilig und domänenspezifisch.

Die Entwicklung der Level 3-5 Fahrzeuge hat jedoch andere Prämissen. Die Anforderungen und Architekturen sind neu. Automatisiertes Fahren wird nur unter Beteiligung sehr vieler Technologien, Systeme und Komponenten realisiert, die über das ganze Fahrzeug verteilt sind. Aufgrund dieser starken Vernetzung wird in der aktuellen domänenspezifischen Organisation die Koordination der Entwicklung „quer“ zu bestehenden Verantwortungsbereichen erfolgsentscheidend (vgl. Abb. 5).

Für automatisiertes Fahren müssen die Prozesse abteilungs- und bereichsübergreifend koordiniert werden

Damit muss eine viel stärkere Prozessorientierung als bisher innerhalb der Entwicklung realisiert werden. Systems Engineering bietet als prozessorientierter Ansatz daher einen geeigneten „Blueprint“ an. Die Prozesse im Systems Engineering sind immer durchgängig und domänenübergreifend konzipiert und betreffen das System als Ganzes – fokussiert werden die Verbindungen der Elemente, nicht die Elemente selbst.

Für eine erfolgreiche Neuausrichtung der Fahrzeugentwicklung müssen diese Prozesse durch neue Rollen mit durchgehenden Verantwortlichkeiten etabliert werden. Dazu zählen insbesondere Rollen, die die unterschiedlichen Systems Engineering Prozessketten verantworten, z.B. Systemarchitekten oder Verifikations- & Validierungsmanager. Weiterhin werden neue Rollen, die für wichtige Querschnittsthemen der automatisierten Fahrzeuge zuständig sind, benötigt. Beispielsweise müssen für „Cyber Security“ ganz neue Querschnittskompetenzen und Rollen aufgebaut und in die Prozesse integriert werden. Für das Thema „Safety“ gilt es, bereits vorhandene Rollen zur „funktionalen Sicherheit“ noch deutlich zu erweitern.

Systems Engineering als Framework

Wie beschrieben stellt die Realisierung hoch- und vollautomatisierter Fahrfunktionen eine immense Herausforderung für die gesamte Branche dar. Eine ganzheitliche und vernetzte Denk- und Arbeitsweise wird notwendig. Ohne die konsequente Anwendung von Systems Engineering vom Anforderungs- über das Architektur- und V&V-Management ist diese Herausforderung aufgrund ihrer Komplexität nicht zu beherrschen. Die technischen Neuerungen werden dabei nur erfolgreich sein, wenn auch die Themen Prozesse und Organisation in gleichem Maße angegangen werden.

Literaturverzeichnis

[1] www.sae.org/standards/content/j3016_201806/
[2] Vgl.: Steffen, D.; Schulze, S.-O.; Gaupp, F.: OPPORTUNITY: Systems Engineering – Produktentwicklung erfindet sich neu, 2. Auflage, 2019
[3] VDI 2206: Entwicklungsmethodik für mechatronische Systeme
[4] in Anlehnung an Rühl, M. (dSPACE GmbH); Heinkel, H.-M. (Robert Bosch GmbH): Systems Engineering – Testen autonomer Fahrfunktionen mit virtuellen Steuergeräten, Vortrag Prostep Symposium 2018
[5] Winner, H.; Wachenfeld, W.: The Release of Autonomous Vehicles, 2016
[6] Kalra, N.; Paddock, S.M.: Driving to Safety: How Many Miles of Driving Would it Take to Demonstrate Autonomous Vehicle Reliability, 2016
[7] Ebd.
[8] PEGASUS: „Projekt zur Etablierung von generell akzeptierten Gütekriterien, Werkzeugen und Methoden sowie Szenarien und Situation zur Freigabe hochautomatisierter Fahrfunktionen“

Ihre Ansprechpartner

Franz Gaupp

Senior Teamleiter

Stuttgart, Deutschland
Kontakt aufnehmen

Philipp Wibbing

Partner, Geschäftsfeldleiter

Paderborn, Deutschland
Kontakt aufnehmen