Ein vorausfahrender Lkw verliert Ladung. Eine unbeladene Palette fällt plötzlich auf die Fahrbahn und blockiert die Spur. Was heute noch beim Fahrer für eine Schrecksekunde sorgt, meistert das hochautomatisierte Fahrzeug der Zukunft souverän. Denn es arbeitet mit drei parallelen Systemen: Der „Hauptplaner“ übernimmt den normalen Fahrbetrieb und agiert dabei komfortorientiert. Er bremst und beschleunigt sanft. System zwei, der „Rückfallplaner“, kalkuliert zeitgleich eine Trajektorie, die das Fahrzeug bei Bedarf schnell in eine sichere Position bringt. Das dritte System, der „Überwacher“, prüft permanent, ob sich durch Haupt- oder Rückfallpfad ein Risiko ergibt, und wählt die jeweils sicherste Alternative. Darum wäre die überraschend herausfallende Palette kein Problem für das hochautomatisierte Fahrzeug. Denn selbst im unwahrscheinlichen Fall, dass der Hauptplaner das Hindernis übersieht, würde das Fahrzeug dank des Rückfallplaners sicher ausweichen – oder am Fahrbahnrand stehen bleiben, wenn ein Umfahren nicht möglich sein sollte.
Ein solches Szenario könnte schon bald Realität werden, denn Porsche Engineering arbeitet mit Hochdruck daran, hochautomatisierte Fahrfunktionen (HAF) auf diese Weise sicher und zuverlässig zu machen. Die entscheidende Strategie auf dem Weg dorthin heisst „Dekomposition“: Anstatt das Fahrzeug von einem einzigen System steuern zu lassen, kommen mehrere Planer sowie Überwacher als parallele Instanzen zum Einsatz. „Gemeinsam erreichen die Systeme eine viel höhere Ausfallsicherheit als ein einzelnes“, erklärt Jan Gutbrod, Teamleiter in der Entwicklung Fahrassistenz systeme bei Porsche Engineering.
„Die grösste Herausforderung liegt darin, wirklich alle denkbaren Situationen zu beherrschen“, fasst Albrecht Böttiger, Leiter des Projekthauses ADAS/HAD bei der Porsche AG, zusammen. Sprich: Das Gesamtsystem muss mit unterschiedlichen Fahrzeugtypen und Fahrstilen zurechtkommen, Strassenmarkierungen in verschiedenen Farben erkennen – auch wenn sie verwittert sind – sowie bekannten und unbekannten Hindernissen sicher ausweichen. Hierfür ist ein abgestimmtes Zusammenwirken der drei Teilsysteme notwendig, das sich in Test und Fahrversuch bewähren muss.
Technisch streng getrennte Systeme
In der Luftfahrt zum Beispiel wird schon lange mit parallelen Systemen gearbeitet. Wie sicher sie sind, hängt allerdings entscheidend von der technischen Ausgestaltung ab. „Um eine echte Redundanz zu erreichen, ist es wichtig, Systeme nicht einfach nur zu kopieren“, betont Andreas Nagler, Leiter des Bereichs Systems Engineering and Architecture bei Cariad, dem Software- und Technologieunternehmen des Volkswagen Konzerns. Das bedeutet: Die Instanzen müssen technisch voneinander getrennt werden, also jeweils über eigene Hardware, Software und Daten quellen verfügen. Nur so lässt sich ein sogenannter „Common Cause“-Fehler minimieren, also ein Ausfall aufgrund einer gemeinsamen Ursache.
Um diese technische Trennung zu erreichen, verwendet der Überwacher zum Beispiel nur Objektlisten, um sich ein Bild der Umgebung zu machen. Diese Listen werden von den Fahrzeugsensoren selbst erstellt. Ein Radarsensor etwa liefert eine Aufstellung aller erkennbaren Fahrzeuge oder Gegenstände in der Nähe, inklusive ihrer Bewegungsrichtung. Haupt- und Rückfallplaner arbeiten hingegen nicht mit Objektlisten, sondern mit den Rohdaten der Sensoren, also zum Beispiel mit den Punktwolken von Laserscannern (LiDAR). Ausserdem greifen einige Komponenten auf Kartendaten zu – was der Überwacher wiederum nicht tut.
Auch die Datenverarbeitung unterscheidet sich zwischen den Systemen. Haupt und Rückfallplaner wenden zum Beispiel eine sogenannte Sensordatenfusion an: Meldet etwa nur ein einziger Sensor ein Objekt im Raum, alle anderen Sensoren dagegen ausdrücklich nicht, entscheidet der Algorithmus einer Sensordatenfusion unter Umständen, dieses Signal als Fehlerkennung einzuschätzen und nicht beizubehalten. Der Überwacher dagegen betrachtet alle Sensoren strikt getrennt. Durch die unterschiedliche Arbeitsweise der Einzelsysteme wird erreicht, dass sich jedes ein eigenes Bild der Lage machen kann. Die kombinierten Stärken der Systeme gewährleisten ein sicheres Verhalten.
Fahrdynamische Grenzwerte im Blick
Die Aufgabe des Überwachers besteht darin, die von Haupt- und Rückfallplaner berechneten Pfade auf mögliche Risiken zu überprüfen. Dafür erstellt er ständig Prognosen mit unterschiedlichen Zeithorizonten. Für die unmittelbar kommenden Meter Fahrweg kann ein sogenannter „ballistischer Ansatz“ verwendet werden: Der Überwacher geht dann davon aus, dass die Objekte ihre Bewegungsrichtung und Geschwindigkeit aufgrund von Trägheit und Masse grundsätzlich beibehalten. Eine zweite Prognose reicht mehrere Sekunden in die Zukunft.
Um das Verkehrsgeschehen so weit vorauszuberechnen, ist eine hochkomplexe Software mit Tausenden von Parametern nötig. Hier fliessen unter anderem Geschwindigkeit, Fahrbahnbebauung, Wetterlage, historische Bewegungsprofile der umgebenden Verkehrsteilnehmer und stehende Autos ein. Diese Prognose bildet die Grundlage für die nun folgende Entscheidung: „Der Überwacher legt die Trajektorien der Pfadplaner in sein Zukunftsszenario hinein“, erklärt Gutbrod. Sollte auf dem geplanten Kurs beispielsweise die sogenannte „Souveränitätszone“ um das Fahrzeug verletzt werden, in die kein Objekt eindringen darf, würde der Überwacher sein Veto einlegen und einen Pfadwechsel einleiten. Er „wirft einen Planer“ ab, wie es die Entwickler ausdrücken.
Dabei muss die Planungssoftware sehr sensibel vorgehen. Stuft der Überwacher die Kritikalität von potenziellen Gefährdungsszenarien zu früh zu hoch ein, kann das Fahrzeug übervorsichtig und dadurch auch unsicher agieren. „Too soon too safe“ nennen Entwickler diesen Effekt. Tritt er auf, wird zum Beispiel viel zu früh gebremst. Ausserdem muss der Überwacher solche Notsituationen erkennen, in denen ein Pfadwechsel nur unnötig Zeit kosten würde und womöglich negative Auswirkungen hätte.
Bei allen Massnahmen gilt es zudem, die vorgegebenen fahrdynamischen Grenzwerte im Blick zu behalten. Taucht – wie im Autobahn-Beispiel – plötzlich ein Hindernis auf, müssen die Systeme so schnell reagieren, dass noch Zeit für eine komfortable Bremsung bleibt. Dabei könnten die Pfade in Zukunft zum Beispiel die Möglichkeit haben, eine „Notfall-Flag“ zu hissen, so Gutbrod: „In diesem Fall könnten Planer den Überwacher darum bitten, Massnahmen jenseits der aktuell gesetzten Grenzwerte zu freizugeben.“
Mit unerwarteten Situationen ganz anderer Art muss das automatisierte Einparken zurechtkommen. Was diese neue Funktion künftig leisten kann, hat Cariad auf der IAA Mobility im letzten September demonstriert: Der Fahrer eines Porsche Cayenne E-Hybrid gab seinen SUV in einer speziellen Übergangszone im Parkhaus ab und erteilte per Smartphone den Befehl zum Einparken. Daraufhin setzte sich der Cayenne automatisch in Bewegung Richtung Parkplatz.
Sofern vom Fahrer gewünscht, wird das Auto künftig zunächst zu einer Ladestation fahren, wo ein Roboteram mit Ladestecker automatisch andockt. Danach rollt es dann automatisch weiter zum eigentlichen Stellplatz. Braucht der Fahrer sein Auto wieder, kann er es per App in die Übergabezone zurückbeordern. Die Vorteile für ihn: Die zeitaufwendige Platzsuche und das Rangieren entfallen, ausserdem kann er die Zeit fürs Nachladen nutzen.
Grundsätzlich lässt sich automatisiertes Parken auf zwei Arten realisieren: Entweder das Fahrzeug steuert sich selbst zum Stellplatz oder die umgebende Infratstruktur übernimmt die Kontrolle. Im letzteren Fall würde das Parkhaus-System dem Fahrzeug über Funksignale die Bahn vorgeben und es beschleunigen oder abbremsen. Die Cariad-Demonstration auf der IAA Mobility wurde auf diese Weise realisiert. Welcher der beiden Ansätze sich beim automatisierten Parken auf lange Sicht durchsetzt, bleibt abzuwarten. „Die Steuerung über die Infrastruktur ist einfacher zu realisieren und abzusichern“, erklärt Böttiger. „Andererseits lassen sich mit dem fahrzeuggestützten automatisierten Parken mehr Parkhäuser nutzen.“ Denkbar sei darum ein langfristiger Trend hin zur kompletten Autonomie, auch im Parkhaus.
Wird das Einparken hingegen von der Infrastruktur gesteuert, müssen hier – genau wie im Fahrzeug – redundante Systeme zum Einsatz kommen. Die Einparksteuerung sollte darum mit mehreren parallelen Instanzen arbeiten. So lassen sich auch Notsituationen sicher beherrschen, zum Beispiel Fussgänger, die plötzlich vor dem Auto auftauchen. Damit ist zu rechnen, da sich autonome und herkömmliche Fahrzeuge noch einige Zeit die Parkhäuser teilen werden.
Notstopp-Konzept für maximale Sicherheit
Hier für Sicherheit zu sorgen, ist eine Aufgabe aller Beteiligten. „Wir werden die Algorithmen der Infrastrukturbetreiber genau überprüfen“, sagt Sebastian Reikowski, Projektleiter Parksysteme bei Porsche Engineering. Um das von aussen gesteuerte Parken sicher zu implementieren, sind aber auch im Fahrzeug umfangreiche Anpassungen nötig. „Die gesamte Kommunikation mit der Infrastruktur über 5G oder WLAN muss verschlüsselt werden, um unberechtigte Zugriffe zu verhindern“, erklärt Reikowski. Reisst die Funkverbindung ab, bleibt das Fahrzeug automatisch stehen. Ausserdem wird ein Notstopp-Konzept benötigt: Sollte das primäre Bremssystem ausfallen, müsste ein sekundäres System anspringen und für einen sicheren Stopp sorgen. Dafür könnte zum Beispiel die Rekuperationsleistung der E-Maschine im Zusammenspiel mit Parkbremse und Parksperre genutzt werden.
Weitere Abstimmungsarbeit ist für einen gemeinsamen Kommunikationsstandard nötig – denn nur dann können Fahrzeuge aller Hersteller den Einparkservice nutzen. Eine Norm, die eine Schnittstelle zwischen Fahrzeugen und Infrastruktur definiert, ist bereits in Arbeit (ISO 23374). „Darüber hinaus muss der Gesetz geber noch definieren, an welchem Punkt die Verantwortung vom Fahrzeug auf die Infrastruktur übergeht, ab wo das Parkhaus etwa für Schäden haften müsste“, ergänzt Experte Reikowski.
Wie generell beim hochautomatisierten Fahren ist hier eine kontinuierliche Verbesserung gefragt. „Es braucht ein neues Mindset: Die Software von Fahrzeugen wird in Zukunft ständig weiterentwickelt – in etwa wie Smartphones heute“, betont Systemarchitekt Nagler von CARIAD. Die Vision dieser „datengetriebenen Entwicklung“: Flotten von Testfahrzeugen sammeln ständig Daten und übertragen sie in die Cloud. Dort werden sie genutzt, um HAF-Algorithmen zu verbessern. So entsteht ein sogenannter „Big Data Loop“. Ein spezieller Algorithmus im Testfahrzeug, „Scene Selector“ genannt, erkennt ungewöhnliche oder bisher noch nicht aufgetretene Situationen und übermittelt sie an einen zentralen Server. Dort werden die Szenen genutzt, um zum Beispiel das Neuronale Netz der Einschererkennung weiter zu trainieren. „Dieses kontinuierliche Lernen ist der Weg zu robusten Systemen“, betont Nagler.
Zusammengefasst
Redundante, streng getrennte Systeme machen hochautomatisierte Fahrfunktionen sicher, indem sie ein Umschalten zwischen verschiedenen Trajektorien ermöglichen. Beim automatisierten Einparken kann das Parkhaus die Steuerung übernehmen. Aber auch in diesem Fall sorgen Notfallsysteme im Fahrzeug für Sicherheit in allen Situationen.
Info
Text erstmals erschienen im Porsche Engineering Magazin, Ausgabe 1/2022.
Text: Constantin Gillies
Illustrationen: Andrew Timmins
Copyright: Alle in diesem Artikel veröffentlichten Bilder, Videos und Audio-Dateien unterliegen dem Copyright. Eine Reproduktion oder Wiedergabe des Ganzen oder von Teilen ist ohne die schriftliche Genehmigung der Dr. Ing. h.c. F. Porsche AG nicht gestattet. Bitte kontaktieren Sie newsroom@porsche.com für weitere Informationen.
