Seite - (000647) - in Autonomes Fahren - Technische, rechtliche und gesellschaftliche Aspekte

Entwicklungs- und Freigabeprozess automatisierter Fahrzeuge626 sondere auf Systemauslegungen zu, die eine Zusammenarbeit zwischen vielen spezialisier- ten technischen Designgruppen erfordern. Beispiele von Systemen, bei denen die Fehler- baumanalyse verbreitet angewendet wird, sind Kernkraftwerke, Flugzeuge, Kommunika- tionssysteme, chemische und andere industrielle Prozesse. Der Fehlerbaum selbst ist eine organisierte grafische Darstellung der Bedingungen oder anderer Faktoren, die das Ein- treten eines definierten unerwünschten Vorfalls, den man auch Top Event nennt, verur- sachen oder dazu beitragen [5]. 28.4.4.5 Hardware-in-the-Loop (HIL)-Tests Eine zunehmende Fahrzeugvernetzung stellt besondere Anforderungen an die Absicherung des gesamten Steuergeräteverbunds, z. B. von Bordnetzsicherheit, Buskommunikation, Fahrzeugzustandsmanagement, Diagnose und Flashverhalten. Hardware-in-the-Loop (HIL)-Tests lassen sich anwenden, sobald ein Hardware-Prototyp des Systems oder auch ein Teil davon (z. B. eine elektronische Steuereinheit eines Fahrzeugs) verfügbar ist. In einer software-simulierten, virtuellen Umgebung wird der Prototyp als Device Under Test (DUT) in einen „Loop“ (Kreislauf) eingefügt. Diese soll der echten Umgebung so ähnlich wie möglich sein. Der DUT wird unter Echtzeitbedingungen be trieben [28]. 28.4.5 Prüfkriterien durch Expertenwissen Im Freigabeprozess ist eine Vorgehensweise zur Überprüfung vorzusehen. Für den End- nachweis einer Sicherheitsbestätigung automatisierter Fahrzeuge sind Prüfkriterien im Sinne von „bestanden“ bzw. „nicht bestanden“ zu empfehlen. Unabhängig davon, welche Methoden für den abschließenden Freigabenachweis ausgewählt wurden, sollten sich die Experten darauf einigen, welche Prüfkriterien ausreichend sind, damit das Fahrzeug bestimmte Situationen eines Systemversagens oder Fehlfunktionen erfolgreich bewältigt. Für entsprechende Kriterien sind allgemein anerkannte Werte zum Erreichen der gewünsch- ten Fahrzeugreaktion heranzuziehen. Eine Evaluation kann durch etablierte Methoden er folgen. Auf Basis der Liste potenzieller Gefahrensituationen (S. 622, Abschnitt 28.4.3) ent- wickelt ein Expertengremium die Prüfkriterien für sicheres Fahrzeugverhalten und even- tuell auch relevante Testszenarien. Dafür ist insbesondere ein Team von Systemingenieuren und Unfallforschern erforderlich. Die erste Gruppe bietet Wissen über die genauen System- funktionalitäten, Zeitabläufe und Erfahrungen mit Fehlermöglichkeiten. Unfall forscher tragen ihr Erfahrungswissen über risikobehaftete Verkehrssituationen bei (s. Kap. 17). Jede bekannte risikobehaftete Situation, in die das Fahrzeug geraten könnte, ist zu berücksich- tigen. Zu den identifizierten Risiken spezifiziert der Entwickler mindestens eine mögliche Abhilfemaßnahme im Hinblick auf die Sicherheitsanforderungen. Be zogen auf den ab- schließenden Nachweis gilt das Testszenario als „bestanden“, wenn das automatische Fahr- zeug wie erwartet reagiert oder die Situation anderweitig zufriedenstellend löst.