AUFWAND MINIMIEREN

Besser als Testfahrten

Google & Co. fahren Millionen von Kilometern, um die Funktionalität ihrer autonomen Systeme zu testen. Um die Funktionalität wirklich abzusichern, reicht dieses nach Expertenmeinung bei weitem nicht aus.

Das Bundesministerium für Wirtschaft und Energie hat zusammen mit der Autoindustrie, Zulieferern und anderen Experten das Pegasus Projekt durchgeführt, um eine machbare, bezahlbare, aber trotzdem sichere Alternative zur Verifikation und Validierung der Systeme zu entwickeln. Welche Prozesse benötigt werden und welche Prozessänderungen sie erfordert, weiß Dipl.-Ing. Josef Horstkötter, Senior Consultant und Gesellschafter der F+S Fleckner und Simon Informationstechnik GmbH.

Interview Josef HorstkoetterHerr Horstkötter, wo liegt das Problem, Systeme für das autonome Fahren zu verifizieren?

Dipl.-Ing. Josef Horstkötter: Nach den Vorschlägen der Ethik Kommission sind autonome Fahrzeuge bzw. Fahrzeugfunktionen auch dann vertretbar, wenn sie nicht absolut sicher sind. Sie müssen aber deutlich sicherer sein als ein menschlicher Fahrer. Der Mensch ist ein sehr guter Autofahrer. Auf der Autobahn gibt es nur alle gut 600 Millionen Personen-km einen Unfall mit Schwerverletzten oder Toten. Um nach heutigem Stand der Technik nachzuweisen, dass ein System doppelt so gut wie der durchschnittliche Fahrer ist, wären dann über 6 Milliarden Testkilometer notwendig. Dieses ist natürlich weit jenseits jeder Realisierbarkeit.

Daher werden andere Verifikations- und Validierungsmethoden benötigt, die bezahlbar sind, aber die auch die Sicherheit des Systems konkret nachweisen. Andernfalls erreicht man keine gesellschaftliche Akzeptanz der autonomen Fahrzeuge.

Und diese Methoden wurden von dem Pegasus Projekt entwickelt?

Horstkötter: Teilweise. Das Pegasus Projekt verstand sich als ein zentraler Teil, die Sicherheit eines Systems auf Level 3 zu begründen. Insbesondere will es Nachweise für die Sicherheit des Systems schaffen. Hierbei hat es sich auf die Verifikation und Validierung (V&V) konzentriert. Neben der von Pegasus entwickelten Methode sind aber weitere Aufgaben abzuarbeiten, um das System als sicher zu qualifizieren, z.B. „Safety by Design“ oder eine Feldüberwachung.

Konkret erarbeitete Pegasus eine Methode, um belastbare Nachweise für die Sicherheit autonomer Systeme zu erhalten und außerdem eine exemplarische Werkzeugsammlung, die für die Nachweise der Beispiele entwickelt wurden und weiter ausgebaut werden sollen.

Wie ist das Pegasus Projekt zu diesen Ergebnissen gekommen?

Horstkötter: Das Projekt hat sich in 4 Subprojekte aufgeteilt mit dem Ziel, die beiden zentralen Fragen „Wie sicher ist sicher genug“ und „Wie können wir das überprüfen“ zu beantworten.

Hierzu hat eine Gruppe das fahrerische Können des Menschen untersucht. Eine andere hat die etablierten Entwicklungsprozesse erweitert, um z.B. die Abhängigkeit vom beabsichtigten Einsatzbereich (Operational Design Domain, ODD) zu berücksichtigen. Eine dritte Gruppe prüfte, wie man die Systeme testen kann und eine weitere Gruppe achtete darauf, dass die Ergebnisse in zukünftigen Projekten weiterverwendet und weiterentwickelt werden können, also wirklich die Basis für einen neuen Stand der Technik liefern.

Was haben die menschlichen Fahrkünste mit autonomen Systemen zu tun?

Horstkötter: Um nachzuweisen, dass ein System besser ist als der Mensch, muss man zuerst wissen, wie gut der Mensch die gleiche Aufgabe meistern würde. Ein Durchschnittswert für eine Autobahnfahrt wie in der Einleitung reicht dafür nicht. Man muss neben dem Durchschnitt auch die speziellen Szenarien, also z.B. Fahrten bei Nacht, bei Regen, bei Nebel, in Baustellen etc. bewerten. In keinem Szenario darf der Automat schlechter sein als der Mensch. Ansonsten muss er die Kontrolle an den Menschen abgeben.

Man muss auch beachten, wie gut ein Mensch in der Lage ist, die Fahrzeugkontrolle zu übernehmen, wenn der Automat an seine Grenzen kommt. Er darf nicht zu sehr abgelenkt sein und muss genug Zeit haben, die Situation zu überblicken. Hierbei resultierende Unfälle sind ggf. dem Automaten anzurechnen, nicht dem Menschen.

Zu der dritten Gruppe: sowohl Software- als auch Systemtests sind doch seit langem etabliert. Was muss hier noch erarbeitet werden?

Horstkötter: Die klassischen Tests der Implementierung (Modultest, Software-Integrationstest, Hardwaretests, Systemintegrationstests und Systemtests) müssen natürlich auch weiterhin durchgeführt werden. Diese sind hauptsächlich anforderungsbasiert, man kann für klare Anforderungen hat auch gute Testfälle erstellen.

Bei den komplexen autonomen Systemen, von denen wir hier sprechen, fehlen jedoch oft solche klaren Anforderungen. Wir wissen zwar, dass sie unter bestimmten Umständen an ihre Grenze kommen. Aber wir haben weder eine Vollständigkeit noch die notwendige Detaillierung der Umstände. Diese fehlenden Anforderungen müssen durch Simulationen und Versuche mit dem echten System (Sensoren, Aktuatoren, Algorithmen) ermittelt werden. Das ist ein zyklischer Prozess von Testen, Verbessern und erneut Testen, bis man den Nachweis hat, dass das System sicher genug ist.

Wie muss man sich das konkret vorstellen?

Horstkötter: Zur Verifikation des Automaten versucht man, möglichst alle Situationen und Szenarien zu identifizieren und zu überprüfen. Dies kann anhand von Simulation, Testfahrten auf dem Testgelände oder Feldtests geschehen.

Simulation ist der preiswerteste und reproduzierbarste Ansatz. Daher liegt hier zuerst der Schwerpunkt auf der Identifikation der Systemgrenzen und seiner Optimierung. Eine Datenbank unterstützt durch die Beschreibung von Szenarien auf 6 unabhängigen Ebenen, die notwendige Vollständigkeit zu erreichen.

Bei den Feldtests versucht man, in der Simulation erkannte Grenzen nachzustellen, um zu überprüfen, dass das reale System sich nicht kritischer verhält als das simulierte. Auch bei extremer Fahrdynamik oder Sensor-Phänomenen ist die Simulation in ihrer Genauigkeit begrenzt, hier sind reale Tests aussagekräftiger.

Im Feldtest kann man kritische Fälle nur eingeschränkt prüfen, aber „Überraschungen“ erleben und neue Szenarien oder Parameter erkennen, an die man vorher nicht gedacht hat.

Und das ist dann die neu entwickelte Methode?

Horstkötter lacht: Ein ganz grober Überblick. Allein schon eine grobe Beschreibung der Methode würde hier den Rahmen sprengen. Wenn man die fertige Idee sieht, ist es oft einfach und logisch, sie aus dem „Nichts“ heraus zu erarbeiten ist aber schwierig. Und natürlich habe ich hier nur die Idee wiedergegeben, der Teufel steckt im Detail, und es wurden viele Details erarbeitet, die es umzusetzen gilt.

Wie bei vielen öffentlich geförderten Projekten sind die Ergebnisse öffentlich, jeder kann sie gerne unter www.PegasusProjekt.de nachlesen. Wir haben uns mit den Ergebnissen intensiv auseinandergesetzt, um unseren Kunden auf ihre Bedürfnisse zugeschnittene Lösungen geben zu können. Das ist der Mehrwert, den wir liefern.

Dann wünsche ich Ihnen viel Erfolg bei der Anwendung der Projektergebnisse in ihren Kundenprojekten!