CES 2018: Continental entwickelt sichere Rückfallebene

Mit einer speziellen Elektronik-Architektur fügt Continental dem hochautomatisierten Fahren eine weitere Sicherheitsebene hinzu, dass das Unternehmen auf der CES in Las Vegas (–12.1.2018) vorstellt. Zusätzlich zu einem zentralen Steuergerät für automatisiertes Fahren, der Assisted & Automated Driving Control Unit, setzt das Technologieunternehmen eine Safety Domain Control Unit als Rückfallebene ein, um das Fahrzeug auch bei einem möglichen Funktionsausfall im primären Automationspfad sicher anzuhalten (Safe Stop).

Damit setzt Continental auf die in der Luftfahrt bewährten Prinzipien der Redundanz und des diversitären Designs: Für jedes zentrale System gibt es eine oder mehrere Rückfallebenen, welche unabhängig voneinander sind. Weil die SDCU gleichzeitig die Funktion des Airbagsteuergerätes übernimmt, ist deren Hochverfügbarkeit inklusive Energiereserve und einem crash-sicheren Einbauort im sichergestellt.

Mit der zusätzlichen Rückfallebene der SDCU sorgt Continental dafür, dass das Fahrzeug auch dann in einen sicheren Zustand gebracht wird, wenn die Hauptautomation ausfällt. Klassische, heute im Einsatz befindliche, sicherheitsrelevante Systeme sind nach dem so genannten Fail-Safe-Prinzip konstruiert. Das heißt, wenn im System eine Störung vorliegt, wird die Sicherheit aufrechterhalten, indem das fehlerhafte System außer Betrieb genommen wird. Dieser Ansatz ist möglich, weil der Fahrer als menschliche Rückfallebene zur Verfügung steht und die Aufgaben beispielsweise des Bremsens und Lenkens noch selbst übernehmen kann.

„Genau diese Rückfallebene steht bei hochautomatisierten Fahrzeugen aber eventuell nicht zur Verfügung, denn der Fahrer darf sich anderweitig beschäftigen und kann nicht unmittelbar aufgefordert werden, nach einem möglichen Ausfall in Sekundenbruchteilen die Fahrzeugführung zu übernehmen“, erklärte Maged Khalil, Leiter Advanced Systems Architecture Design bei Continental in der Division Chassis & Safety. Jedes hochautomatisierte Fahrzeug muss deshalb in der Lage sein, selbsttätig anzuhalten.

Darauf sind Level-4-Fahrzeuge wie der Cruising Chauffeur von Continental vorbereitet. Tritt der Fahrer trotz Aufforderung nicht in Aktion, so führt das Auto ein „Minimum Risk“-Manöver durch. Dabei fährt das Fahrzeug entweder selbsttätig auf den Standstreifen und hält dort an oder – falls kein Standstreifen existiert, beziehungsweise dieser blockiert ist – hält es mit eingeschaltetem Warnblinker in der Fahrspur an oder fährt mit abnehmender Geschwindigkeit weiter, bis es einen passenden Haltepunkt für einen sicheren Stopp findet.

„Mit der Rückfallebene eines zweiten, unabhängigen Steuergerätes, das ebenfalls in der Lage ist, das Auto anzuhalten, bekommt ein hochautomatisiertes Fahrzeug ein Auffangnetz“, so Khalil. Damit ist das Fahrzeug bei einer Störung noch in der Lage, auch ohne Fahrereingriff einen sicheren Zustand herbeizuführen. Das sei „eine entscheidende Vertrauensgrundlage für die Akzeptanz des automatisierten Fahrens“.

Ein Safe Stop muss auch dann selbsttätig erfolgen, wenn das Fahrzeug durch Selbstdiagnose eine Unsicherheit im System erkennt und die Fahrfunktion weder vom primären Automationspfad noch vom Fahrer aufrechterhalten werden kann. (ampnet/jri)