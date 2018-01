Merken Gemerkt

18.01.2018

Sicherer Stop per Safety Domain Control Unit ADAS

Zusätzlich zu einem zentralen Steuergerät für automatisiertes Fahren, der Assisted & Automated Driving Control Unit, setzt Continental eine Safety Domain Control Unit als Rückfallebene ein, um das Fahrzeug auch bei einem möglichen Funktionsausfall im primären Automationspfad sicher anzuhalten (Safe Stop).

Mit der Safety Domain Control Unit fügt Continental dem hochautomatisierten Fahren eine weitere Sicherheitsebene hinzu. © Continental

Continental setzt damit auf die in der Luftfahrt bewährten Prinzipien der Redundanz und des diversitären Designs: Für jedes zentrale System gibt es eine oder mehrere Rückfallebenen, welche unabhängig voneinander sind. Weil die SDCU gleichzeitig die Funktion des Airbagsteuergerätes übernimmt, ist deren Hochverfügbarkeit laut Anbieter inklusive Energiereserve und einem crash-sicheren Verbauort im Fahrzeug sichergestellt.

Mit der zusätzlichen Rückfallebene der SDCU will Continental dafür sorgen, dass das Fahrzeug auch dann in einen sicheren Zustand gebracht wird, wenn die Hauptautomation ausfällt. Klassische, heute im Einsatz befindliche, sicherheitsrelevante Systeme sind nach dem sogenannten Fail-Safe-Prinzip konstruiert. Das heißt, wenn im System eine Störung vorliegt, wird die Sicherheit aufrechterhalten, indem das fehlerhafte System außer Betrieb genommen wird. Dieser Ansatz ist möglich, weil der Fahrer als unabhängige Rückfallebene zur Verfügung steht und die Aufgaben beispielsweise des Bremsens und Lenkens noch mit seiner Muskelkraft bewältigen kann.

Safe Stop

Jedes hochautomatisierte Fahrzeug muss in der Lage sein, selbsttätig anzuhalten. Darauf sind Level-4-Fahrzeuge wie der Cruising Chauffeur von Continental vorbereitet. Tritt der Fahrer trotz Aufforderung nicht in Aktion, so führt das Auto ein Minimum Risk Manöver durch. Dabei fährt das Fahrzeug entweder selbsttätig auf den Standstreifen und hält dort an oder – falls kein Standstreifen existiert, beziehungsweise dieser blockiert ist – hält es mit eingeschaltetem Warnblinker in der Fahrspur an oder fährt mit abnehmender Geschwindigkeit weiter, bis es einen passenden Haltepunkt für einen Safe Stop findet. Ist der Fahrer nicht mehr als Rückfallebene verfügbar, muss von einem Fail-Safe auf ein Fail-Operational-Prinzip umgestellt werden, welches die Funktionalität in jedem Fall aufrechterhält.

Ein Safe Stop muss auch dann selbsttätig erfolgen, wenn das Fahrzeug durch Selbstdiagnose eine Unsicherheit im System erkennt und die Fahrfunktion weder vom primären Automationspfad noch vom Fahrer aufrechterhalten werden kann. Der primäre Automationspfad muss sich ohne Beeinträchtigung der Sicherheit auch ausschalten können. Nur durch echte Redundanz lassen sich alle möglichen Ausfallszenarien abdecken. Die vollständig vom zentralen Steuergerät, wie der Assisted & Automated Driving Control Unit, unabhängige SDCU verfügt selbst über eine für die Aufgabe des Minimum Risk Manövers ausgelegte Automationslösung.

Sowohl das zentrale Steuergerät als auch die SDCU überwachen sich im Hinblick auf Verfügbarkeit und Funktionsfähigkeit permanent selbst. Sollte auch nur ein Pfad nicht mehr in der Lage sein, das Fahrzeug sicher zu steuern oder das Minimum Risk Manöver auszuführen, leitet der andere Pfad im Notfall den Safe Stop ein. Diese permanente Überwachung erkennt, wenn ein Pfad nicht mehr zur Verfügung steht. Deshalb würde in solchen Situationen der jeweils andere Pfad das Minimum Risk Manöver ausführen. Der Eingriff der Rückfallebene folgt einem fein abgestuften Degradationskonzept, je nach Schwere des erkannten Problems. Für die Selbstüberwachung sowie die gegenseitige Überwachung der Pfade nutzt Continental Softwarefunktionen wie ein Fehlermanagement und die Überwachung der Signalkonsistenzen.

