Neu

msg digital mehr

Mehr Sicherheit im automatisierten Fahrzeug

durch die Nutzung externer Daten

Die Außenwelt: Ein entscheidender Faktor zum sicheren Fahren

Die Entwicklung hochautomatisierter Fahrzeuge hat das Potenzial, die Anzahl der durch fehlerhaftes Fahrverhalten verursachten Verkehrsunfälle zu reduzieren und gleichzeitig die Überlastung von Verkehrswegen zu verringern. Eine genaue Wahrnehmung der Außenwelt ist hierbei ein entscheidender Faktor für ein sicheres und zuverlässiges Fahren.

Denn die Darstellung der Umwelt, die gemeinhin als Umgebungsmodell bezeichnet wird, kann von automatisierten Fahrfunktionen für eine effiziente Bewegungsplanung (motion planning) genutzt werden.

Haben Sie Fragen?

Stephan Rein

Ihr Experte zum Thema

Begrenzte Perspektiven des Ego-​Fahrzeugs

Die Perspektive des betrachteten hochautomatisierten Fahrzeugs, auch Ego-​Fahrzeug genannt, ist jedoch begrenzt, da die Sensoren die Außenwelt hauptsächlich aus dem Blickwinkel dieses Fahrzeugs erfassen. Diese Sensoren haben inhärente Grenzen, z. B. Wetterbedingungen, komplexe Verkehrssituationen oder potenzielle Ausfälle in Form von SOTIF-​Fehlern (Safety Of The Intended Functionality). Die Einbeziehung von Daten aus nahegelegenen Quellen mit unterschiedlichen Blickwinkeln wird mit großer Wahrscheinlichkeit die Genauigkeit des Umgebungsmodells verbessern.

In diesem Zusammenhang ist es wichtig, zwischen drei verschiedenen Wahrnehmungsbereichen zu unterscheiden: Nahbereich, Mittelbereich und den Bereichen außerhalb der Sichtlinien.

  • Nahbereich:

Der Nahbereich bezieht sich auf Objekte, die sich in unmittelbarer Nähe des Ego-​Fahrzeugs befinden. Diese Objekte in ihrer Gänze zu erkennen und zu erfassen, stellt eine besondere Herausforderung dar, da ihre Größe oder Form über das direkte Sichtfeld des Sensors im Fahrzeug hinausgeht.  Daher ist eine verbesserte hochpräzise Objekterkennung im Nahbereich ein wichtiges Ziel für hochautomatisierte Fahrsysteme.

  • Mittel- und Fernbereich:

Die Objekte im Mittel- und Fernbereich des Ego-​Fahrzeugs lassen sich leichter vom Sensor in ihrer Gänze erfassen. Je nach Sensortechnologie können jedoch andere Probleme auftreten, wie z.B. Fake-​Echos oder wetterbedingte Unschärfen. Ein lokaler Ansatz zur Minimierung dieser Effekte ist die Sensorfusion der verschiedenen Sensortechnologien innerhalb eines Fahrzeugs.

  • Bereich außer Sichtweite:

Die Sensortechnologien im Ego-​Fahrzeug funktionieren nicht bei Objekten, die sich in der Nähe, aber außerhalb des Sichtbereiches befinden. Außerhalb des Sichtbereichs kann bedeuten, dass sich Objekte hinter Lastwagen oder Bussen, hinter Gebäudeecken oder hinter Vegetation (z. B. Grünstreifen mit Büschen) befinden, wobei je nach Sensortyp Unterschiede in der Sichtbarkeit auftreten können.

Verbesserte Umgebungsmodelle dank externer Daten

Um diese Probleme zu adressieren, bietet sich der Austausch von Sensordaten zwischen Fahrzeugen (V2V) sowie zwischen Fahrzeugen und Infrastruktur (V2I) an. Noch ungelöst ist dabei die Frage des gegenseitigen Vertrauens und nach der Qualität der Daten aus diesen externen Quellen.

Die Fahrzeughersteller sind verpflichtet, die funktionale Sicherheit ihrer Fahrzeuge, der entsprechenden Sensoren/Geräte sowie der automatisierten Fahrsysteme nachzuweisen. Sich auf externe Sensordaten zu verlassen, widerspricht dieser Anforderung, da die Qualität der Daten, die Umstände der Erfassung und die verwendeten Geräte oder Algorithmen dem empfangenden Ego-​Fahrzeug nicht bekannt sind.

In diesem Artikel wird eine Methode vorgeschlagen, wie das Umgebungsmodell der Fahrzeuge mit externen Daten verbessert werden kann, ohne das Risiko für die funktionale Sicherheit durch minderwertige externe Daten zu erhöhen. Zunächst werden die beiden Konzepte „Local Dynamic Map“ als Form des Umgebungsmodells und “Confidence Level“ als Maß für die Vertrauenswürdigkeit erklärt.  Danach wird die Methode mit Hilfe dieser Konzepte vorgestellt.

Verbesserte Umgebungsmodelle dank externer Daten

Um diese Probleme zu adressieren, bietet sich der Austausch von Sensordaten zwischen Fahrzeugen (V2V) sowie zwischen Fahrzeugen und Infrastruktur (V2I) an. Noch ungelöst ist dabei die Frage des gegenseitigen Vertrauens und nach der Qualität der Daten aus diesen externen Quellen.

Die Fahrzeughersteller sind verpflichtet, die funktionale Sicherheit ihrer Fahrzeuge, der entsprechenden Sensoren/Geräte sowie der automatisierten Fahrsysteme nachzuweisen. Sich auf externe Sensordaten zu verlassen, widerspricht dieser Anforderung, da die Qualität der Daten, die Umstände der Erfassung und die verwendeten Geräte oder Algorithmen dem empfangenden Ego-​Fahrzeug nicht bekannt sind.

In diesem Artikel wird eine Methode vorgeschlagen, wie das Umgebungsmodell der Fahrzeuge mit externen Daten verbessert werden kann, ohne das Risiko für die funktionale Sicherheit durch minderwertige externe Daten zu erhöhen. Zunächst werden die beiden Konzepte „Local Dynamic Map“ als Form des Umgebungsmodells und “Confidence Level“ als Maß für die Vertrauenswürdigkeit erklärt.  Danach wird die Methode mit Hilfe dieser Konzepte vorgestellt.

Local dynamic map (LDM)

Die LDM ist ein Datenspeicher im Fahrzeug, der topografische, Positions-​ und Statusinformationen zu Objekten in einem geografischen Gebiet um das Fahrzeug enthält. Die LDM besteht aus statischen Teilen wie einer hochauflösenden Karte, semistatischen Teilen wie Baustellen oder Wetterbedingungen und dynamischen Teilen wie anderen Fahrzeugen, Radfahrern oder Fußgängern (ETSI EN 302 895 - Local Dynamic Map (LDM).

 

Confidence Level (CL)

Im Rahmen dieses Artikels definieren wir das CL als den Prozentsatz der Wahrscheinlichkeit, dass das reale Objekt dieselben Eigenschaften hat wie die dazugehörige Repräsentation in der LDM. Grob skizziert wird mit diesem Mechanismus jedem Objekt in der LDM als Eigenschaft ein CL zugeordnet. So könnte z.B. eine Ampel aus der HD-​Karte bei entsprechender Spezifikation CL=90% erhalten, während eine Baustelle, deren Informationen von lokalen Behörden bereitgestellt werden, CL=70% erhält. Der CL-Wert interner Daten könnte aus dem Automotive Safety Integrity Level (ASIL) der bereitstellenden Funktion abgeleitet werden. Eine vertrauenswürdige interne Quelle könnte auch ein CL für ein Datenobjekt liefern, in welchem sonstige Bedingungen (z. B. Wetter) berücksichtigt werden.

Grundsätzlich kann hier unterschieden werden zwischen

  • dem Confidence Level einer Quelle und
  • dem Confidence Level von empfangenen Daten.

Bei unbekannten Quellen sind ASIL und die Bedingungen der Datenerfassung nicht bekannt. In der Automobilindustrie befinden sich die Diskussionen über Protokollerweiterungen für Eigenschaften zur Beschreibung der Vertrauenswürdigkeit ausgetauschter Daten noch in einem frühen Stadium. Eine solche Protokollerweiterung könnte das CL für die externe Quelle und/oder die Daten beinhalten.

Grafik eines Fahrzeugs an einer Kreuzung. Andere Verkehrsteilnehmer sind mit unterschiedlichen Farben markiert.

Abb. 1: Das Fahrzeug in seiner Umgebung

Vergabe des CL an externe Datenquellen

Die Verwendung von Daten aus externen, unbekannten Quellen ist eine Herausforderung für das Ego-​Fahrzeug. Eine Klassifizierung der Informationsquelle hilft dabei, das initiale CL zu bestimmen:

  • Ein autorisiertes, statisches Objekt wie eine Ampel oder ein Schild: Die Quelle gibt sich als offizielles Objekt zu erkennen und die Eigenschaften der Quelle stimmen z. B. mit der HD-​Karte überein. Die Meldung dieser Quelle über den Status der Ampel oder die aktuelle Geschwindigkeitsbegrenzung eines elektronischen Schildes könnte daher einen hohen CL-Wert von 90 % erhalten.
  • Ein autorisiertes, aber dynamischeres Objekt wie z. B. eine bewegliche Ampel oder ein bewegliches Schild, wie es an Baustellen eingesetzt wird, könnte ein niedrigeres CL erhalten.
  • Unbekannte Quellen wie andere Fahrzeuge erhalten ein sehr niedriges CL.

Standardmäßig klassifiziert das Ego-​Fahrzeug die Daten aus der externen Quelle mit demselben CL wie die Quelle selbst.

Verarbeitung von externen Daten

Wir schlagen folgende Strategie für den Umgang mit externen Daten vor und unterscheiden dabei folgende Fälle:

  • Die externen Daten entsprechen den Einträgen in der LDM: Das von einer externen Quelle identifizierte Objekt hat dieselben Eigenschaften wie das entsprechende Objekt in der LDM des Ego-​Fahrzeugs (z. B. gleiche Position, gleiche Bewegungsrichtung usw.). Einerseits kann das Ego-​Fahrzeug nun davon ausgehen, dass die externen Daten korrekt und von einer bestimmten Qualität sind. Andererseits bestätigen die externen Daten die Eigenschaften eines bereits erkannten Objekts. Das Ego-​Fahrzeug kann dadurch ein größeres Vertrauen in sowohl seine eigenen als auch die externen Daten gewinnen, was folgende Auswirkungen mit sich bringt:
    • Das CL des Objekts in der eigenen LDM wird erhöht.
    • Das CL der externen Quelle wird erhöht.
  • Externe Daten widersprechen den Einträgen in der LDM: Die externen Daten unterscheiden sich von der LDM des Ego-​Fahrzeugs dadurch, dass entweder Objekte angezeigt werden, welche in der LDM nicht vorhanden sind oder durch das Fehlen von Objekten, die laut LDM eigentlich existieren müssten. Das Fahrzeug wird daraus ein geringeres Vertrauen in seine eigenen und die externen Daten ableiten:
    • Das CL des Objekts in der LDM wird verringert (falls existent).
    • Das gesamte CL der externen Quelle wird herabgesetzt, oder die Quelle wird von der Bewertung zukünftig ausgeschlossen.
  • Externe Daten zeigen Objekte außerhalb des Sichtbereichs an: Wenn externe Daten Objekte außerhalb des Sichtbereichs des Ego-​Fahrzeugs identifizieren, wird das CL für diese Objekte entsprechend dem CL der externen Quelle festgelegt:
    • Wenn die externe Quelle andere Objekte identifiziert hat, die mit der LDM übereinstimmen, könnte das CL relativ hoch sein.
    • Wenn verschiedene externe Quellen dasselbe Objekt außerhalb des Sichtbereichs zeigen, erhöht sich ebenfalls das CL.
    • Wenn die externen Daten nicht mit der LDM oder den Daten aus anderen externen Quellen übereinstimmen, sollte der CL-Wert für die betreffenden Objekte außerhalb des Sichtbereichs eher niedrig oder gleich Null sein.

Mit dieser Strategie könnte das Ego-​Fahrzeug externe Daten aus Quellen mit niedrigem oder unbekanntem ASIL verwenden, um die eigene LDM zu verbessern, ohne die funktionale Sicherheit des Systems zu beeinträchtigen. Die Strategie ermöglicht die Klassifizierung externer Daten entweder nach dem Anwendungskontext (Ampeln) oder nach dem Grad der Übereinstimmung mit der LDM des Ego-​Fahrzeugs. Der Einfluss einer einzigen externen Quelle auf die LDM fällt zwar gering aus, jedoch steigt die Zuverlässigkeit der LDM enorm, sobald viele externe Quellen das Ego-​Fahrzeug umgeben.

Die beschriebene Strategie könnte auch verwendet werden, wenn Datenübertragungsprotokolle in Zukunft Eigenschaften zur Beschreibung der Vertrauenswürdigkeit enthalten. Sie ermöglicht es dem Ego-​Fahrzeug, Fehlverhalten externer Quellen zu erkennen, so dass es geeignete Maßnahmen ergreifen kann.

Ihre Expertinnen und Experten bei msg

Die msg-​Expertinnen und -​Experten gehen gezielt auf Ihre individuellen Bedürfnisse ein.

Unser umfangreiches Know-​how im Systems Engineering (Architektur, Safety, Security) und Testing von modernen hochgradig verteilten Fahrzeugarchitekturen ermöglicht eine erfolgreiche und umfassende Unterstützung im Bereich Cloud-​basierter Remote-​ADAS-Lösungen sowie bei der Konzeption und Absicherung dieser Funktionen für die Realisierung des autonomen Fahrens.

Für die Analyse der dabei umfangreich anfallenden Datensätze zur Absicherung der Fahrfunktionen bringen wir unsere Machine Learning und Analytics-​Kompetenzen mit ein.

Haben Sie Fragen rund um das Thema Sicherheit im automatisierten Fahrzeug? Dann vereinbaren Sie noch heute ein kostenfreies virtuelles Erstgespräch.

Wir freuen uns auf Ihre Nachricht!

Weitere Publikationen

SDV

Werfen Sie mit uns einen detaillierten Blick auf die Herausforderungen und Chancen für Intelligente Fahrassistenzsysteme (ADAS) im Backend und erfahren Sie, warum die Bereitstellung zusätzlicher Informationen für ADAS-​Funktionen so entscheidend ist.

SDV, Quantencomputing

Experten gehen davon aus, dass die Informationssicherheit durch Quanten Computer in Zukunft bedroht sein wird. Mit dem richtigen Maßnahmenplan können sich Unternehmen aber schon heute auf die Verwendung neuer Verschlüsselungstechnologien vorbereiten und so die Risiken durch Quanten Computer mitigieren.

Homologation, SDV, Cybersecurity

Mit dem wachsenden Anteil an Software im Auto steigt auch das Risiko eines Cyberangriffs. Cybersicherheits-Managementsysteme helfen dabei, diese Risiken zu erkennen, zu bewerten und zu bewältigen.

Datenbasierte Ökosysteme, SDV

Die Entwicklung hochkomplexer Fahrfunktionen für autonomes Fahren erfordert verbesserte Sensoren und eine optimierte Datennutzung in der Zusammenarbeit zwischen Autoherstellern, Sensorlieferanten und der Simulationsentwicklung. Datenökosysteme bieten in Verbindung mit digitalen Zwillingen eine effiziente Lösung für sichere und kostengünstige Updates.

Datenbasierte Ökosysteme, SDV

Durch das enge Zusammenspiel zwischen Hardware, Software und Daten im Fahrzeug ergeben sich neue Möglichkeiten für Automobilhersteller. 

SDV

Die Ziele von V2X umfassen die Verbesserung von Sicherheit und Vertrauen im Straßenverkehr. Entdecken Sie, wie das auf globaler Ebene funktioniert und warum es allein nicht genügt.

Homologation, SDV, Cybersecurity

Mit der UN-Regulierung für Cyber Security Management Systeme wird Automobilherstellern ein Rahmen zur Identifizierung, Bewertung und Beherrschung von Cybersicherheitsrisiken bei der Fahrzeugentwicklung vorgegeben. Dabei geht es um die Überwachung von Cyberangriffen sowie um eine wirksame Reaktion auf und eine Analyse von erfolgreichen oder versuchten Angriffen.

Künstliche Intelligenz

Ein Vergleich von klassischen Algorithmen und künstlicher Intelligenz für Fehlerkennung bei V2X-Daten zeigt: Die verbesserten Ergebnisse der KI haben einen hohen Preis.