Die Automatisierung nimmt Fahrt auf! Industrielle und alltägliche Produkte werden zunehmend intelligent (Stichwort: „lernende“ Systeme), passen sich dynamisch an ihre Umwelt an und sind untereinander und/oder mit der physischen Welt vernetzt. Bereits heute führen hochautomatisierte und autonome Cyber-Physical Systems (ACPS) eine Vielzahl von sicherheitskritischen Steuerungsfunktionen in nahezu allen Industriezweigen aus und werden stetig weiterentwickelt. Um nur drei Beispiele zu nennen: Biomediziner erarbeiten, wie Sensoren, Mikro- und Messsysteme verbessert werden können für die automatisierte Erfassung und Verarbeitung von Messdaten, um die Effizienz und Qualität von Diagnose- und Behandlungsprozessen deutlich zu steigern.
In der Energiewirtschaft sind Stromeffizienz und Netzsicherheit wichtige Kriterien für einen Netzausbau, der auf unterschiedlichen Energiequellen basiert. Elektrizität soll so verlustfrei wie möglich erzeugt, transportiert und variabel ins Netz eingespeist und abgenommen werden. Heute gibt es kaum noch Kraftwerke und Netzanlagen ohne Prozessautomatisierungs- und Informationstechnologie. Auch im automobilen Verkehr sind Fahrerassistenzsysteme (FAS) nicht mehr wegzudenken. Derzeit in Serie sind FAS in stark regulierten Bereichen, wie auf Autobahnen, doch der Einsatz von unterstützenden Systemen und Funktionen in komplexeren Situationen steht vor der Einführung. Die FAS ebnen den Weg zum automatisierten bzw. autonomen Fahren.
In den genannten Bereichen verspricht die Automatisierung Abläufe sicherer, effizienter, wirtschaftlicher und komfortabler zu machen - und damit „die Welt ein bisschen besser“.
ACPS - technologische Grundlage
Für die (Hoch-)Automatisierung sind ACPS, welche die digitale mit der physikalischen Welt verbinden, unersetzlich. Die Herausforderungen im Bereich zukünftiger, vor allem sicherheitskritischer ACPS liegen u. a. in einer effizienten und effektiven Entwicklung und stellen Forscher und Entwickler derzeit vor viele Fragen. Die Zusammenführung verschiedenster Daten aus unterschiedlichen Quellen und Werkzeugen sowie das Testen und die Zertifizierung benötigen weitere Anstrengungen. Am Beispiel der Absicherung von hochautomatisierten Fahrfunktionen soll der Stand der Wissenschaft nationaler und europäischer Verbundprojekte für Testen und Zertifizierung von ACPS dargelegt werden.
Wege zu autonomen, lernenden Systemen
Die Automatisierung von Fahrfunktionen erfolgt in Ausbaustufen, die sich an dem sogenannten SAE Levels of Driving Automation orientieren (siehe Abb. 1). Dabei gilt: je höher der Automatisierungsgrad, umso mehr ACPS-Technologie kommt zum Einsatz.
Damit Nutzer ein gerechtfertigtes Vertrauen in die Systeme entwickeln, muss die Sicherheit gewährleistet sein. Dabei sind sowohl die Funktions- als auch die Datensicherheit zwei entscheidende Kriterien. Doch wie können die Systeme in sicherer Umgebung umfassend getestet und geprüft werden und das mit vertretbarem Aufwand? Die vielfältigen Situationen, in denen automatisierte Systeme passende Entscheidungen treffen sollen, sind oft extrem komplex und nicht explizit vorhersagbar.
Es müssen neue und möglichst einheitliche Qualitätsstandards und Methoden entwickelt werden, damit hochautomatisierte Funktionen rechtlich zugelassen werden können, das Nutzervertrauen erlangen und in Serien Anwendung finden. Es gilt nachzuweisen, dass das automatisierte Fahrzeug wenig bis keine Unfälle verursacht – zumindest weniger als ein Mensch – und dennoch effektiv fährt.
Dazu entwickeln Forscher aus Industrie und Wissenschaft in verschiedenen Projekten eine integrierte Betrachtung der Entwicklungs-, Test- und Betriebsphasen von ACPS entlang ihres gesamten Lebenszykluses. Dieser sogenannte DevOps-Ansatz für sicherheitskritische Funktionen umfasst die ACPS-Entwicklung (Development) und die Überwachung im laufenden Betrieb (Operations) (siehe Abb. 2). Ursprünglich stammt dieser Ansatz aus dem Software-Engineering und dient dazu, Erfahrungen aus dem Betrieb zurück in die (Weiter-)Entwicklung des Systems zu integrieren. Genau das ist ein Vorteil des DevOps-Zyklus für ACPS: die Einbindung des Systemverhaltens im Feld (einschließlich etwaiger Fehlverhalten und kritischer Situationen) in den Entwicklungs- und Verbesserungsprozess. Er erlaubt eine Rückkopplung von Entwicklung, Test und Anpassung/Updates der Systeme, um letztlich die Entwicklungszyklen zu verkürzen, die Häufigkeit von Aktualisierungen zu erhöhen und zuverlässigere Releases zu erreichen - unter Berücksichtigung von Sicherheit, Variantenmanagement, V&V-Automatisierung, Zertifizierung, Einsatz sowie Überwachung und Diagnose vor Ort.
Verschiedene nationale und europäische FuE-Verbundprojekte widmen sich Entwicklung und Test entlang der DevOps-Methodik. Die Forschungsschwerpunkte der Projekte bauen teilweise aufeinander auf und/oder ergänzen sich. Im Folgenden werden gezielt Schwerpunkte wichtiger Projekte kurz erklärt und in den übergeordneten DevOps-Zyklus eingeordnet.
Virtuelle Simulation
Teile des gesamten aus acht Phasen bestehenden DevOps-Zyklus (siehe Abb. 2) umfassen die Verifikation und Validierung von ACPS-Funktionen, einschließlich Testen. Klassische Testansätze im Bereich des autonomen Fahrens sind aufgrund der enormen Komplexität von Verkehrssituationen nicht praktikabel, teuer und teilweise gefährlich. Es müssten Milliarden von realen Testkilometern bei jedem Freigabezyklus absolviert werden, sodass es erklärtes Ziel ist, so viele physikalische Tests wie möglich von der realen in die virtuelle Welt der Simulation zu verlagern. Bei der virtuellen Simulation wird die Funktion in eine möglichst realistische, rechnergestützte Simulationsumgebung eingebaut, in der das System die riesige Anzahl von Testkilometern „abfährt“ (Model-, Software-, Hardware-, Vehicle-in-the-Loop). So können die erforderlichen Sicherheitsniveaus durch den Einsatz von szenarienbasierten, virtuellen V&V-Methoden und -Tools nachgewiesen werden. Die Überführung von Verkehrsszenarien und Tests in eine virtuelle Simulation (inkl. V & V) ist u. a. ein Bestandteil des EU-Verbundprojektes ENABLE-S3 (www.enable-s3.eu, siehe auch Interview mit Dr. Andrea Leitner, Projektkoordinatorin ENABLE-S3, ab Seite 9).
In ENABLE-S3 arbeiten 68 europäische Partner aus Industrie und Wissenschaft daran, die heutige kostenintensive Verifizierung und Validierung (V&V) durch fortschrittliche und effiziente Methoden zu ersetzen, um den Weg für die Kommerzialisierung von ACPS zu ebnen. Reine Simulation kann die Physik aufgrund ihrer Einschränkungen bei der Modellierung und Berechnung nicht im Detail abdecken. ENABLE-S3 zielt darauf ab, die beiden Welten optimal miteinander zu verbinden.
Ein besonders interessanter Teilbereich des Projektes ist die Validierung des Systems in eher kritischen Verkehrsszenarien. Dafür müssen die Validierungsplattform und die genutzten Modelle selbst validiert sein. Die Projektpartner erarbeiten eine erste Validierung der Simulationsplattform für das autonome Linksabbiegen. Als Grundlage für die rechnergestützte Simulation werden verschiedene Modelle virtuell erstellt:
- ein Fahrzeugmodell
- ein Modell des optischen Abstands und der Geschwindigkeit (Lidar)
- ein Fahrzeug-Umgebungsmodell
- ein GPS Modell
- ein Sensoren-Modell
- ein Lenkungsmodell
- ein 3D-Umgebungsmodell
Liegt eine rechnergestützte Simulation des Szenarios vor, vergleichen die Forscher die V&V-Ergebnisse des „Systems under Test“ (SuT) im Simulator und in realen Feldversuchen anhand definierter „Key Performance Indicators“ (KPIs):
Human KPIs | Description |
Comfort_driver | How comfortable did the test divers feel when turning? |
Feel_safe | Did the driver feel safe? |
Time_to_confirm | Meantime between action request until button for release is pressed |
... and more |
Systems KPIs | Description |
stops | Number of times the car stopped on intersection |
travel_time | Time spent on intersection |
v_at_entry | Velocity when entering the intersection |
v_at_exit | Velocity when exiting the intersection |
α_at_exit | Distance to lane center at exiting intersection |
... and more |
Mit Hilfe der virtuellen Modelle und KPIs werden die in der Realität abgefahren verschiedenen Szenarien anschließend rechnergestützt simuliert. Den Aufbau eines Feldversuchs und der Simulation zeigt beispielhaft Abb. 3 [1].
Ist die Validierungsplattform validiert, können durch virtuelles Testen schon im Entwurfsstadium Funktionen von ACPS effizient, schnell und sicher überprüft und angepasst werden.
Entwicklung von Testszenarien
Beim virtuellen Testen werden die Systeme/Funktionen gegen sogenannte Szenarien getestet. Die Entwicklung von Szenarienkatalogen ist u. a. ein Schwerpunkt im nationalen Verbundprojekt PEGASUS (www.pegasus-projekt.info). Übergeordnetes Ziel von PEGASUS ist es, ein Vorgehen für das Testen automatisierter Fahrfunktionen zu entwickeln, um so die rasche Einführung des automatisierten Fahrens in der Praxis zu ermöglichen. Für den szenanrienbasierten Ansatz entwickeln die Projektpartner relevante verkehrliche Situationen bzw. Szenarien, die einerseits diskrete Abläufe beschreiben, z. B. die einzelnen Zustände bei einem Überholmanöver, und andererseits diskrete und kontinuierliche Parameter mit Angabe von Auftrittswahrscheinlichkeiten enthalten. Die Szenarienkataloge dienen als Grundlage für eine Menge von konkreten Testabläufen und bestehen aus
funktionalen Verifikationsprozessen (z. B. ISO 26262 für Automotive),
Sicherheits- und Sicherheitsprozesse (z. B. ISO PAS 21448 / SOTIF (Automobil), ISO 21434 (Automobil)) und
real aufgezeichneten Szenarien .
Die Absicherung von Fahrfunktionen wird im Projekt am Beispiel eines automatisierten Autobahnchauffeurs betrachtet (Automation des SAE-Levels 3). Das automatisierte System wird in einem Ego-Fahrzeug untersucht, das in eine potenziell kritische Situation gebracht wird, auf die das System entsprechend reagieren soll. Anhand der diversen Szenarienkataloge, die sich in verschiedene Kategorien einordnen lassen, werden Risikointegrale erstellt. Die Testspezifikation für die Fahrfunktion erfolgt verzahnt mit dem Testprozess, um die Systemauswirkungen möglichst variabel und realitätsnah zu gestalten. Aufgrund der Vielzahl der notwendigen Tests wird in PEGASUS weitgehend auf eine rechnergestützte Simulation gesetzt, d. h., die Fahrfunktion wird in einer virtuellen Umgebung getestet (siehe Erläuterungen zur Virtuellen Simulation). Regiert das System zeitlich wie auch situativ korrekt? Wie hoch ist die Wahrscheinlichkeit, dass Fehler auftreten? Diese Fragen werden mit dem PEGASUS-Ansatz beantwortet. Allerdings ist es derzeit nicht möglich, die Risikoermittlung durch szenarienbasiertes Testen automatisiert durchzuführen, da zum einen keine vollständige Spezifikation für alle möglichen in der Realität auftretenden Situationen vorliegt und zum anderen für eine Risikoermittlung Informationen über die Häufigkeiten und Szenarienausprägungen in der Realität fehlen. Daher wird die Auftrittshäufigkeit für die Fälle ermittelt, in denen die Funktion die Sicherheit in genau diesem Szenario nicht gewährleisten kann. Dies deckt aber nur eine kleine Anzahl an Situationen ab [2].
Ein Vorteil des in PEGASUS verfolgten szenarienbasierten Ansatzes ist, dass er auf andere Anwendungsfälle übertragen und erweitert werden kann und damit einen Weg aufzeigt, um drängende Probleme in der Absicherung automatisierter Fahrfunktionen anzugehen.
Entwicklung und Verbesserung von Testmethoden in Testzentren
Um die beschriebenen virtuellen, simulationsbasierten Testmethoden entwickeln zu können, ist die Übertragung der gegenständlichen Welt mit ihren physikalischen Bedingungen in die virtuelle Welt nötig. Dies geschieht vorrangig oder in Kooperation mit speziellen Testzentren. Häufig sind die Areale als Großforschungsanlagen angelegt, die neben realen Teststrecken - sie bestehen zum Teil aus öffentlichen und privaten Teststrecken - ein weites Spektrum der Verkehrsforschung abdecken, z B. mit entsprechenden Testfahrzeugen, Datensammel-, Auswertungs- bzw. Interpretationswerkzeugen, Simulationsanlagen, geschultem Personal, etc. In Deutschland ist u. a. die Großforschungsanlage „Anwendungsplattform Intelligente Mobilität“, kurz: AIM, sowie in Erweiterung des Braunschweiger Umfelds das Testfeld Niedersachsen mit Unterstützung des Bundes, des Landes Niedersachsen und der Stadt Braunschweig entstanden (siehe z. B. SafeTRANS News 2/2017, Seiten 6 und 10). In Österreich wird im ALP.Lab in der Steiermark automatisiertes Fahren erprobt (siehe SafeTRANS News 2/2017, Seite 20). Die Testzentren ermöglichen neue Testmethoden zu entwickeln, zu prüfen und letztlich auch ACPS-Funktionalitäten zu testen. Sie schaffen einmalige Bedingungen, um Funktionen im realen Verkehr sowie in der Simulation zu prüfen und Know-how an einem Standpunkt zu bündeln. Oft sind die Testzentren in nationale und europäische FuE-Projekte eingebunden.
The way forwad: Themen zukünftiger Projekte
Die beschriebenen Entwicklungen bedingen sich gegenseitig: Testszenarien sind eine wichtige Grundlage für das virtuelle Testen basierend auf Simulationen und Testzentren helfen die Entwicklungs- und Testprozesse kontinuierlich weiterzuentwickeln durch ihre hochkarätige Ausstattung.
Aus den verschiedenen und ineinandergreifenden Ansätzen sowie der Komplexität des Themenfeldes ergeben sich weitere Forschungsfragen und Schwerpunkte im DevOps-Zyklus. In der Roadmap „Hochautomatisierte Systeme: Testen, Safety und Entwicklungsprozesse“ (Hrsg. SafeTRANS, 2017) wurde u. a. die Update-Fähigkeit im Betrieb von ACPS als Forschungsschwerpunkt identifiziert. Ein nationales Projekt, das sich aktuell in der Antragsphase befindet, greift dieses Thema auf. Andere Schwerpunkte in geplanten europäischen Projekten betreffen die Funktions- und Datensicherheit sowie den Datenschutz speziell im Automobilbereich bzw. das Testen, Validieren und Zertifizieren von ACPS in verschiedenen Anwendungsdomänen unter besonderer Berücksichtigung von künstlicher Intelligenz.
Mit Hilfe koordinierter Roadmapping-Prozesse werden Themen und Projekte auf nationaler und europäischer Ebene abgestimmt, angestoßen und initiiert. Für weitere FuE-Themen erarbeitet SafeTRANS aktuell in zwei Arbeitskreisen Forschungsroadmaps zu den Themen „Branchenübergreifende Prozesse, Methoden und Technologien für Safety und Security hochautomatisierter Systeme“ (kurz: AK PMT4S&SS) sowie „Resiliente, evolutionäre und lernende CPS“ (kurz: AK REL-CPS, mehr zu den SafeTRANS Arbeitskreisen unter: www.safetrans-de.org/de/Aktivitaeten/Roadmapping_AKs_2018.php. Ziele der Arbeitskreise umfassen die Entwicklung von forschungsstrategischen Leitlinien an der sich Wissenschaft, Industrie und Politik bei Weiterentwicklungen von ACPS orientieren können sowie die Überführung der erarbeiteten Ergebnisse in Normungsgremien und Weiterführung der Handlungsempfehlungen.
Neben Unterstützung in den genannten Forschungsbereichen engagiert sich SafeTRANS auf methodischer Ebene für die Interoperabilität von Entwicklungswerkzeugen für ACPS. Dafür ist SafeTRANS u. a. im ICF, dem IOS Cooperation Forum innerhalb von ARTEMIS-IA, aktiv (mehr zur IOS und dem ICF siehe SafeTRANS News 1/2017), denn leistungsfähige Simulationswerkzeuge und -methoden sind Voraussetzung für die Senkung von Entwicklungskosten, Verkürzung von Entwicklungszeiten und Gewährleistung von Sicherheit.
Mit Hilfe abgestimmter FuE-Verbundaktivitäten gehen die strategische, methodische und technologische Entwicklung für zukünftige ACPS Hand in Hand.
[1] Gerald Temme, Fabian Utesch, DLR, Validation & Verification by Simulation. AAET-Ausstellung, März 2018
[2] Hardi Hungar, Frank Köster, DLR. Formalisierung von Szenario-Klassen zur Absicherung automatisierter Fahrfunktionen. AAET, März 2018