Autonomes Fahren ist eines der großen Trends in der Automobilbranche. Die ersten Serienfahrzeuge die diese Technologie mit Einschränkungen umsetzten, sind bereits auf dem Markt oder in der finalen Erprobung.
Das Thema wird im nächsten Jahrzehnt mit Sicherheit eines der prägenden Themen für die Entwicklungsabteilungen der Automobilbranche sein. Das wichtigste Ziel wird dabei darin bestehen, die Technologie von der heutigen Beschränkung auf Autobahnfahrten zu befreien und damit autonomes Fahren in allen Verkehrssituationen zu ermöglichen.
Neben vielen kleinen technischen Herausforderungen gibt es einige, von der technischen Realisierung unabhängige Probleme, die es zu lösen gilt bevor diese Vision umgesetzt werden kann. Denn die Möglichkeit autonom zu fahren hat drei Konsequenzen, die immanenten Einfluss auf die Anforderungen an die Sicherheit der Fahrzeugsoftware haben.
In Fahrzeugen die sich autonom bewegen können, muss Software in der Lage sein alle Aktoren zu kontrollieren. Diese Anforderung ist für moderne Mittel- und Oberklassenfahrzeuge in der Regel bereits erfüllt. Der Antriebsstrang mit Motor und Getriebe ist dank E-Gas und elektronisch gesteuertem Automatikgetriebe bzw. automatisiertem Schaltgetriebe ebenfalls längt von Software kontrolliert. Auch Lenkung und Bremse sind seit längerem durch Aktoren steuerbar, die es ermöglichen, hochkomplexe Regelungsalgorithmen umzusetzen. Funktionen wie Licht und Scheibenwischer, werden längst nicht mehr mit Relais und Schaltern betätigt. Wird der Fahrer zum Passagier und damit all diese Funktionen von Software kontrolliert, entstehen unterschiedliche Herausforderungen, denn die falsche
Ansteuerung von Aktoren kann zu gefährlichen Fahrzuständen, oder gar Unfällen führen.
Die Sicherheit wird insbesondere durch die zweite Konsequenz, nämlich die Vernetzung von Fahrzeugen untereinander und mit der Umwelt, bedroht. Diese Technologie bringt insbesondere in Verbindung mit Autonomem Fahren viele Vorteile. Aktionen wie Beschleunigen, Abbremsen oder Richtungsänderungen lassen sich an andere Fahrzeuge kommunizieren. Sensordaten könnten an andere Fahrzeuge weitergegeben werden. Der Verkehrsfluss könnte durch Kooperation der Verkehrsteilnehmer bei der Routenplanung optimiert werden. All diese Anwendungsfälle schaffen etwas, das tatsächlich neu ist – nämlich Schnittstellen, die eine Beeinflussung des Fahrzeugs von außen ermöglichen. Damit wird es nötig, sich in systematischer Art und Weise mit der gesamten Fragestellung der Sicherheit zu beschäftigen, denn Sicherheit von Software kennt zwei Dimensionen.
Functional Safety
Functional Safety hat den Schutz der Umwelt vor dem Fahrzeug zum Inhalt. Cybersecurity wiederum hat den Schutz des Fahrzeugs vor der Umwelt. Bei der Entwicklung moderner Fahrzeuge und deren Software ist die Berücksichtigung der Functional Safety bereits seit langem ein wichtiger Teil der Entwicklung. Spätestens seit der Inkraftsetzung der ISO 26262 („Road vehicles – Functional safety“) im Jahre 2011 findet das Thema verstärkte Beachtung.
Das Thema Cybersecurity dagegen wurde in der Automobilbranche bisher stark vernachlässigt, eine einheitliche Vorgehensweise, wie sie etwa die J3061 der SAE beschreibt, ist gerade erst im Entstehen. Cybersecurity hat die Aufgabe das System vor Manipulationen zu schützten. Das Risiko, das von einer Manipulation ausgeht hängt von zwei Faktoren ab. Wie gravierend wirkt sich eine Manipulation aus und wie leicht ist diese Manipulation herbeizuführen? Für den zweiten Faktor ist es besonders gravierend, wenn eine Manipulation möglich ist ohne physischen Kontakt zum System zu haben. Dies wird insbesondere durch vernetzte Systeme möglich. So könnte man zum Beispiel ein Fahrzeug durch gezielte Falschinformationen zu einer Notbremsung nötigen. Soll der Austausch von Informationen zwischen Fahrzeugen einen Einfluss auf deren tatsächliches Verhalten haben, so müssen diese Informationen vor Manipulation geschützt werden. Die dafür nötigen Techniken sind bekannt und in anderem Kontext bereits seit langem bewährt. Für die Automobilbranche sind Themen wie Authentifizierung von unbekannten Kommunikationspartnern oder der Schutz von Botschaften vor Veränderung größtenteils neues Terrain.
Als dritte Konsequenz neben der Kontrollierbarkeit aller Aktoren durch Software und der Schaffung neuer Schnittstellen nach außen bedeutet Autonomes Fahren aber auch, dass die Zeit, die der Fahrer benötigt, im Notfall die Kontrolle zu übernehmen deutlich erhöht ist. Eine der Grundideen des Funcional Safety-Managements ist es aber, Systeme im Fehlerfall abzuschalten und den Fahrer zu informieren. Dieses Konzept wird damit obsolet und Alternativen müssen entwickelt werden.
Für die aufgezeigten Problemstellungen gibt es bekannte Lösungen, jedoch wird deren Umsetzung eine der größten Veränderungen in der Automobilbranche nämlich den Wandel von einer Maschinenbau geprägten Industrie hin zu einer durch Software geprägten Industrie abschließen. Dies wird es erforderlich machen viele Wege die bereits eingeschlagen wurden, zu Ende zu gehen, aber auch bisher ungewohnte Vorgehensweisen und Methoden werden in der Branche Einzug halten müssen. Denn nur wer für die Lösung aller hier aufgezeigten Probleme eine geeignete Antwort hat, sollte ruhig schlafen können wenn er autonom fahrende Fahrzeuge auf den Markt bringen möchte. Vielleicht ist dies ein Grund, warum erfahrene Software-Hersteller versuchen genau über dieses Thema in den Markt einzudringen.
Autor: Paul Arndt
Leiter des Kompetenzbereichs Cyber Security
INVENSITY GmbH
www.invensity.com
