Seite - (000525) - in Autonomes Fahren - Technische, rechtliche und gesellschaftliche Aspekte

Sicherheitskonzept für autonome Fahrzeuge506 halten des Fahrzeugs [25], [46] oder, falls dies ebenso zu riskant ist, ein Verlassen des Straßenverkehrs notwendig werden. Bei der funktionalen Degradation ist es nicht nur notwendig, einen sicheren Zustand zu erreichen bzw. zu erhalten, sondern auch die Leistungsfähigkeit zu erhöhen, indem Mecha- nismen zur Selbstheilung und Rekonfiguration angewendet werden. In technischen Syste- men ist der Neustart von Komponenten eine weitverbreitete Aktion zur Wiederherstellung der Leistungsfähigkeit [22], [44]. Ein Neustart benötigt in der Regel einige Zeit, und es kann je nach Systemstruktur vorkommen, dass ein Neustart einer Komponente auch den Neustart oder zumindest eine erneute Initialisierung anderer Komponenten nach sich zieht. Daher werden sicherheitskritische Komponenten häufig (diversitär) redundant ausgelegt (vgl. [3], [28]). Neben der Redundanz gibt es auch für einzelne Komponenten Möglichkeiten zur Wiederherstellung der Funktionalität. Für Sensoren und Aktoren bietet sich die Rekalibrie- rung an, mit deren Hilfe Messwerte bzw. die Umsetzung von Stellwerten abhängig von der aktuellen Situation verbessert werden können. Für das Gesamtsystem können zudem Rekonfigurationsmechanismen genutzt werden, die einen sicheren Betrieb auch nach risikoerhöhenden Ereignissen erlauben [33]. Eine Herausforderung stellt das Erkennen von riskanten Situationen dar. Externe Er- eignisse müssen über die Umfeldwahrnehmung erfasst und richtig interpretiert werden. Technische Fehler am Fahrzeug und im Fahrzeugführungssystem müssen jedoch ebenfalls erkannt werden. Ein Fahrer beobachtet Warn- und Kontrollleuchten und nimmt Ver- änderungen am Fahrzeug, beispielsweise durch technische Defekte, über seine Sinne wahr. In ein autonomes Fahrzeug müssen daher Sensoren und Funktionen integriert werden, die Defekte und Fehler erkennen und anhand ihrer Schwere die aktuelle und zukünftige Leistungsfähigkeit und den möglichen Funktionsumfang ermitteln. Die zu erwartende Komplexität eines Fahrzeugs mit Fahrzeugführungssystem führt zu einer hohen Anzahl an Messwerten. Als Ergebnis wird eine Selbstrepräsentation des Fahrzeugs erstellt, die genutzt wird, um abhängig von der Situation und der Leistungsfähigkeit zu einer Be- wertung des aktuellen Risikos zu gelangen. Darauf basieren dann die o. g. Sicherheits- aktionen [46]. 23.7 Antizipation von Degradationssituationen Aufgrund der hohen Dynamik des Straßenverkehrs und der Eigenschaften von elektrischen und elektronischen Systemen können sicherheitsrelevante Ereignisse in Sekundenbruch- teilen auftreten und erfordern daher eine schnelle Reaktion des Systems. Besser ist es je- doch, wenn sich Situationen, die ein erhöhtes Risiko aufweisen, vorhersehen lassen oder zumindest bei der Planung von Fahrmanövern berücksichtigt werden. Das vorausschauen- de Fahren des Menschen kann in einem Fahrzeugführungssystem noch umfangreicher implementiert werden, da beispielsweise die Überwachung und Nutzung von zahlreichen Messwerten aus dem Fahrzeug direkt erfolgen.