Page - (000495) - in Autonomes Fahren - Technische, rechtliche und gesellschaftliche Aspekte

47722.4 Die Automation, die den lernenden Fahrer ersetzt lysieren, Planen und Ausführen dargestellt, die nach Tamura et. al. [31] für eine strukturier- te Betrachtung des Adaptionsprozesses notwendig sind. Diese Darstellung lässt sich direkt auf Online-Lernverfahren übertragen. Wird in diesem Prozess eine Adaption des Systems ermittelt, ist diese mit Verfahren der Runtime Verification & Validation zu prüfen, bevor sie auf die ausführende Software angewandt wird. Dabei wird überprüft, ob durch die ge- planten Änderungen das System den sicheren Bereich (viability zone) nicht verlässt. Kon- kret bedeutet dies für das autonome Fahren, dass vor Implementation der Änderung online zu überprüfen ist, ob die aktualisierte Fahrzeugführung die Anforderungen an Sicherheit erfüllt. Die dabei eingesetzten Verfahren wie beispielsweise Modellprüfung (model checking) oder automatische Theorembeweiser (theorem proving) stoßen dabei, wie in Kap. 21 be- schrieben, an ihre Grenzen. Auch der Einsatz von Software-in-the-Loop-Verfahren wäre denkbar, jedoch ist fraglich, ob ausreichend Rechenleistung für solche Verfahren in Serien- fahrzeugen vorhanden ist. 2. Validierung und Verifikation durch Monitoring und Fehlertoleranz Ist eine Überprüfung der Sicherheit des Systems vor Aktualisierung der Software nicht möglich, kann ein Fehler (fault) auftreten und zu einem Ausfall (failure) führen und somit zu einer Gefahr werden. Um dies zu verhindern, ist das System fehlertolerant auszulegen. Ein solches fehlertolerantes System bedarf grundsätzlich zweier Komponenten [32]: zum einen einer Überwachung (monitoring) der Zustände und des Verhaltens des Systems, um basierend auf einer Bewertung zu entscheiden, ob ein Fehler (fault) vorhanden ist. Zum anderen wird eine Redundanz benötigt, an die im Fehlerfall „übergeben“ werden kann. Abb. 22.2 zeigt schematisch diesen Aufbau. Dieses Prinzip entspricht dem menschlichen Überwacher, der im Fehlerfall eines teilautomatisierten Systems die Fahrzeugführung übernimmt. Die durchgeführte Betrachtung zeigt, dass Maschinelles Lernen während des Betriebs besonders für die Absicherung des sicheren Verhaltens eine Herausforderung darstellt. Beide Verfahren, sowohl die Runtime Verification & Validation als auch die Verifikation und Validierung durch Monitoring benötigen ein Maß für sicheres Fahren. Ansätze für ein solches Maß werden in Abschn. 22.4.3 vorgestellt. Einen weiteren Ansatz liefert an dieser Stelle der Vergleich mit dem menschlichen Lernen. Die Teilnehmer des Straßenverkehrs akzeptieren, dass ein Mensch ohne weitere Abb. 22.2 Dynamische Redundanz (nach [32])