Herausforderungen an die Funktionale Sicherheit gemäß ISO für automatisierte Fahrzeuge am Beispiel des Projekts afas

Ähnliche Dokumente
VSVI Seminar Betrieb von Straßen Susanne Schulz Dezernat Verkehrsbeeinflussung. Friedberg, 26. April 2017

Szenarien für Entwicklung, Absicherung und Test von automatisierten Fahrzeugen

Automatisch fahrerlos fahrendes Absicherungsfahrzeug für Arbeitsstellen auf Autobahnen (afas)

Veränderte Fahraufgabe

Funktionale Sicherheit und Simulation

Die Teleoperation als Ansatz zur fahrerlosen Fahrzeugführung

Am Beispiel eines international tätigen Automotive Lieferanten

Rückwärtsfahren bei der Abfallsammlung

FAHRERASSISTENZ UND AUTOMATISIERUNG

Speziell angepasste Gefahrenanalyse / Risikobewertung für die Automobilindustrie nach ISO DIS Gudrun Neumann, SGS Germany GmbH

Rechtliche Rahmenbedingungen zur Genehmigung und Prüfung von AVF Wirtschaftskammer Österreich - Österreich als Testregion für automatisiertes Fahren

Szenarien für Entwicklung, Absicherung und Test von automatisierten Fahrzeugen

Unterstützung des hochautomatisierten Fahrens durch ein Backend Überblick und Motivation

Künstliche Intelligenz im Fahrzeug

Sozio-Controlling im Unternehmen

Auf dem Weg zum automatisierten Fahren

Funktionale Sicherheit für ein Steer-by-Wire System im Langholztransport

FAMOS Galileo for Future AutoMOtive Systems

In welchen urbanen Situationen erhöhen Warnungen die Sicherheit?

Soll mein Auto so fahren wie ich? im Kontext des automatisierten Fahrens

Radikaler Umbruch in der Fahrzeug- und Systemabsicherung. Steffen Kuhn

Rechtliche Bezüge intelligenter Fahrzeugsysteme

Schienenfahrzeuge sicher steuern Ein methodischer Ansatz für Sicherheitsbetrachtungen

Gefährdungsanalyse für Veranstaltungen

Simulationsgestützte tzte Auslegung von Lineardirektantrieben mit MAXWELL, SIMPLORER und ANSYS. Matthias Ulmer, Universität Stuttgart

Auswirkungen der ISO auf die Strukturen von Requirements- und Test- Datenbanken während der Entwicklung

Seminar VSP Stephan Müller Makroskopische Verkehrsmodellierung mit der Einflussgröße Telematik. Stephan Müller

Konzeption und Evaluation eines Ansatzes zur Methodenintegration im Qualitätsmanagement

Zulassung von Fahrerassistenzsystemen

Markenpersönlichkeit - Persönlichkeitsorientiertes Markenmanagement

IAS Ringvorlesung

Funktionale Sicherheit von Maschinen und Anlagen

[2] Gasser, Tom M.; Schmidt, Eike; Bengler, Klaus; Chiellino, Ulrich; Bergisch-Gladbach, Deutschland, Forschungsbericht

Herausforderungen des automatisierten Fahrens am Beispiel des Projekts "Stadtpilot"

Heft 175. IFRS im landwirtschaftlichen Rechnungswesen HLBS. Auswirkungen einer möglichen Einführung - Dr. Christian Janze. 1.

Kernprozess zur System- und Softwareentwicklung. Logische Systemarchitektur f 1. f 2 f 3. f 4 Funktion. Technische Systemarchitektur SG 1 SG 2 SG 3

3. FORUM MOBILITÄT November 2014 in Berlin. Autonomes Fahren: Aktueller Stand und Perspektiven für mobilitätseingeschränkte Menschen

Organisation von Supply Chain Management

Psychische Belastungen am Arbeitsplatz Definition & Umsetzung

Theorieplan 2017 Grundstoff + Zusatzstoff Klasse B + Zusatzstoff Klasse A

M{ZD{ _14R1_MAZ6_V2_COVERS.indd /03/ :59:20

Tim Krämer. Archimetrix - Improved Software Architecture Recovery in the Presence of Design Deficiencies. 08. Mai 2013

Entwurf. Anwendungsbeginn E DIN EN (VDE ): Anwendungsbeginn dieser Norm ist...

Management Hardware Software

CE-Kennzeichnung von verfahrenstechnischen Anlagen

1. Die drei Welten einer Führungspersönlichkeit. Jeannette Rappin

Materialflusssystemen

Statistiken. Features

Intelligente Transportsysteme

Geisterfahrer? Was tun?

Die neue ISO 9004 Was wird sich ändern? 04152

4 Cybertronische Systeme Definition und Grundlagen Cybertronische Produkte Cybertronische Produktionssysteme...

Nicht-funktionale Anforderungen

Die IBIS Methode Eine RE-Methode zur Entwicklung Intuitiver Nutzungsschnittstellen

Führerlose Fahrzeuge

Virtuelle Unternehmen

ISO / FuSi Funktionale Sicherheit Road Vehicle - Functional Safety

Vor- und Nachteile der Fehlermaskierung

Stauvermeidung an Tagesbaustellen

Supply Chain Risiken

Automatisiertes Fahren im Individualverkehr

Reißverschluss verfahren

Entwicklung einer sensorlosen Motorregelung für Dentalbohrer nach IEC Dr. Michael Schwarz

Zusicherungen und Laufzeit Überwachungen in der modellbasierten Software Entwicklung

Vertrauen ist gut, Kontrolle ist besser: Eine umfassende Teststrategie als essenzieller Beitrag zum Sicherheitsnachweis


Anwendungsfälle als Rückgrat des Anforderungsmodells für die Entwicklung eines Stammdatensystems. Wien,

Inhaltsverzeichnis.

Innovatives Risikomanagement für die (Software-) Entwicklung von Medizingeräten der Zukunft

Gefährdungsbeurteilung psychischer Belastungen

Fahrerinformation und Fahrerassistenz in der zukünftigen Theoretischen Fahrerlaubnisprüfung. Dipl.-Psych. Bernd Weisse TÜV DEKRA arge tp 21

Rechtliche Hürden. Automatisierte Fahrzeuge als Herausforderung für das Verhaltens-, Zulassungs- sowie Strafund Ordnungswidrigkeitenrecht

Inhaltsverzeichnis. Abbildungsverzeichnis. Tabellenverzeichnis. Abkürzungsverzeichnis

SYSTEMS RE-ENGINEERING

> GIS-Technologien für den automatisierten Verkehr > Andreas Richter agit 2017 >

Unterschiedliche Automatisierungsgrade im Kraftfahrzeug: Auswirkungen auf die visuelle Aufmerksamkeit und die Kontrollübernahmefähigkeit

Inhaltsverzeichnis. Ernest Wallmüller. Software Quality Engineering. Ein Leitfaden für bessere Software-Qualität ISBN:

FH Campus Wien MA23 Projekt: AuSoDoTS. Vienna Institute for Safety and Systems Engineering (VISSE)

Arbeitsstellen kürzerer Dauer

M{ZD{ CX _16R1_CX3_V2_COVERS.indd /05/ :05:24

Verkehrslageberechnung mit Floating Car Data und GIP Karl Rehrl, Salzburg Research Präsentation beim GIP Day 2014, 4.7.

ECO Efficient assessment of COnformity in railway traffic Juni 2011 Mai 2013

ASIM-Fachgruppensitzung am 20. Mai 2009 an der Universität Karlsruhe 1. Bericht der Arbeitsgruppe Unikatprozesse

Johannes Christian Panitz

Operationalisierung einer Nachhaltigkeitsstrategie

Der Einsatz quantitativer Sicherheitsanalysen für den risikobasierten Test eingebetteter Systeme Heiko Stallbaum, Andreas Metzger, Klaus Pohl

Improving the Accuracy of GPS

Logistik im Kontext des ausländischen Markteintritts

Bachelorseminar Customer Relationship Management im Sommersemester 2017

industrial engineering Safety & Security integrierte Entwicklung 1


Modellbasiertes Testen auf Basis des fundamentalen Testprozesses

Auto Ecole Zenner Fragenblatt "Die Bodenhaftung von " Regenreifen " garantiert mir eine einwandfreie Straßenlage."

Simulation als epistemologische Grundlage für intelligente Roboter

Kontakt: Tel

Datenqualität. Imperfektion und erweiterte Konzepte im Data Warehousing. Ingo Beutler. Seminar im Sommersemester 2005

2 Methodik Grundlagen 21 Martin Werdich 2.1 Generelles Vorgehen zur Erstellung der FMEA 21

Risikomanagement als Führungsaufgabe

ISO BASISWISSEN E/E-SYSTEME FUNKTIONAL SICHER ENTWICKELN WAS FORDERT DIE NORM?

Transkript:

Herausforderungen an die Funktionale Sicherheit gemäß ISO 26262 für automatisierte Fahrzeuge am Beispiel des Projekts afas Gerrit Bagschik, Andreas Reschka, Torben Stolte Institut für Regelungstechnik, Technische Universität Braunschweig 16. November 2015

Motivation Besondere Gefährdung für die Besatzung des Absicherungsfahrzeugs Abbildung Abbildung Quelle: Hessen Mobil Quelle: Nürnberger Nachrichten, 28.6.2011 Projekt afas: Automatisch fahrerlos fahrendes Absicherungsfahrzeug für Arbeitsstellen auf Autobahnen Niedrigere Funktionale Anforderungen (definiertere Arbeitsumgebung, niedrige Arbeitsgeschwindigkeit) im Vergleich zu typischeren SAE-Level 4 Szenarien 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 2

Zielsetzung Entwicklung eines automatisch fahrerlos fahrenden Absicherungsfahrzeug Entwicklung und Umsetzung eines Sicherheitskonzepts gemäß ISO 26262 Betrachtung rechtlicher Aspekte des automatisierten Fahrens sowie Grenzen einschlägiger Normen der Funktionalen Sicherheit, insbesondere der Norm ISO 26262 Erstmaliger Einsatz eines fahrerlosen Fahrzeugs im öffentlichen Straßenverkehr 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 3

Konsortium 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 4

Agenda Motivation und Zielsetzung Funktionsumfang und Betriebsmodi? Wissenschaftliche Fragestellungen Sicherheitskonzeption 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 5

Funktionsumfang An- und Abfahrt zur Arbeitsstelle durch menschlichen Fahrer High Automation (SAE-Level 4): Vollständige und dauerhafte Längs- und Querführung. Bei Ausbleiben der Fahrerübernahme wird das System selbsttätig in den risikominimalen Zustand zurückkehren. Das Fahrzeugführungssystem übernimmt Längs- und Querführung auf dem Seitenstreifen Geschwindigkeit niedrig (~10km/h) Großer Abstand beim Arbeiten Kleiner Abstand beim Passieren von Ein- und Ausfahrten 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 6

Betriebsmodi Fahrer bewegt Fahrzeug wie ein herkömmliches Fahrzeug 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 7

Betriebsmodi Ausgangsbetriebsmodus des fahrerlosen Betriebs Fahrzeug befindet sich im Stillstand oder wird in diesen gebremst Aktiv bei Überschreitung funktionaler Systemgrenzen 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 8

Betriebsmodi Absicherungsfahrzeug folgt Führungsfahrzeug in geringem Abstand automatisch Funktion wird primär über Steuer- und Zustandsgrößen des Führungsfahrzeugs realisiert 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 9

Betriebsmodi Absicherungsfahrzeug folgt Führungsfahrzeug in großem Abstand automatisch Funktion wird primär über eine Umfeldwahrnehmung des Absicherungsfahrzeugs realisiert 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 10

Wissenschaftliche Fragestellungen Erstmaliger Einsatz eines fahrerlosen Fahrzeugs im öffentlichen Straßenverkehr: Technische Aspekte Normative Aspekte Juristische Aspekte Zielsetzung: Erkenntnisse aus afas als Basis für den wissenschaftlichen Austausch hinsichtlich fahrerloser Fahrzeuge 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 12

Wissenschaftliche Fragestellungen Technische Aspekte Besondere Herausforderung: Fahrerloser Betrieb Aufgaben des Fahrers Implementierung in Hard- und Software Wahrnehmung des Umfelds Wahrnehmung der aktuellen Leistungsfähigkeit des Fahrzeugs Trajektorienplanung und -steuerung Umfeld- und Selbstwahrnehmung Fahrzeugführung Aktorik 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 13

Wissenschaftliche Fragestellungen Technische Aspekte Umfeldwahrnehmung Unterschiedliche Wahrnehmungstechnologien mit unterschiedlichen Stärken und Schwächen Abhängig von Umgebungsbedingungen und Anwendungsfall Erkennung von Seitenstreifenmarkierung, Führungsfahrzeug und Hindernissen auf dem Fahrstreifen: Wie kann fehlerfreie Wahrnehmung gewährleistet werden? Permanente Einschätzung der Leistungsfähigkeit (kein Fahrer als sensorische Redundanz) Umfeld- und Selbstwahrnehmung Fahrzeugführung Aktorik 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 14

Wissenschaftliche Fragestellungen Technische Aspekte Fahrzeugführung/Aktorik Fahrzeugführung/Trajektorienplanung Bewegung nur innerhalb des definierten Arbeitsumfelds Berücksichtigung der gegebenen Systemgrenzen (Beschleunigung, Lenkwinkel etc.) Aktorik Keine Rückfallebene durch korrigierende Eingriffe des Fahrers Entwicklung geeigneter Strategien, die Rückfallebene Mensch zu ersetzen Umfeld- und Selbstwahrnehmung Fahrzeugführung Aktorik 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 15

Wissenschaftliche Fragestellungen Technische Aspekte Validierung Offenes System: nicht quantitativ erfassbare Menge an Situationen afas: Trotz Einschränkung der Einsatzumgebung: Wie können offene Systeme validiert werden? Wann ist die Validierung ausreichend? Sicherheitskonzept? Umfeld- und Selbstwahrnehmung Fahrzeugführung Aktorik 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 16

Wissenschaftliche Fragestellungen Normative Aspekte ISO 26262: Stand der Technik bei der Entwicklung von EE-Systemen in Kraftfahrzeugen Fragestellungen: Ist die ISO 26262 für die Entwicklung fahrerloser Fahrzeuge geeignet? Wo sind die Grenzen bei der Absicherung offener Systeme? Wann ist ein offenes System sicher? Lässt sich Sicherheit anhand von Metriken messen? 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 17

Wissenschaftliche Fragestellungen Juristische Aspekte Fahrerlose Fahrzeuge sind derzeit nicht zulassungsfähig. Haftungsrecht: Produkthaftung Gefährdungshaftung Amtshaftung Verhaltensrecht: Wiener Konvention (1968) und aktuelle Anpassung (2014) Ziele: Erteilung einer Ausnahmegenehmigung für den fahrerlosen Betrieb Ableitung verallgemeinerungsfähiger Aspekte für den zukünftigen fahrerlosen Betrieb von Straßenfahrzeugen 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 18

Sicherheitskonzeption Sicherheitskonzept zentrale Herausforderung Vorgehen in Anlehnung an ISO 26262 Einsträngiges Vorgehen bei einleitenden Schritten, Entwicklung und Systemvalidierung Sicherheitskonzeption zweisträngig Funktionale Systembeschreibung (Item Definition) Gefährdungsanalyse und Risikobewertung (G&R) Systementwicklung der Projektpartner Sicherheitskonzept Sicherheitskonzept Sicherheitsziele (SiZi) Validierung 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 19

Exkurs: Automotive Safety Integrity Level ASIL = Automotive Safety Integrity Level Einstufung der Systemausfälle nach: Auswirkung Beherrschbarkeit Auftrittswahrscheinlichkeit Beeinflusst Vorgaben für Kriterien bei der späteren Entwicklung Severity Exposure Controllability C1 C2 C3 S1 E1 QM QM QM E2 QM QM QM E3 QM QM A E4 QM A B S2 E1 QM QM QM E2 QM QM A E3 QM A B E4 A B C S3 E1 QM QM A E2 QM A B E3 A B C E4 B C D 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 21 Quelle: ISO 26262:2011-3

Strukturierte Vorgehensweise G&R Bestandteile einer potenziell gefährlichen Situation: Szene und Betriebszustand und Fehlfunktion oder Überschreitung der Systemgrenzen 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 22

Begriff Szene Dynamische Elemente Fahrzeuge Fußgänger Szenerie Fahrstreifen Stationäre Elemente Vegetation Wetter Selbstrepräsentation von Akteuren und Beobachtern Fähigkeiten (z.b. Sichtweite) Zustandsgrößen Attribute Nach: Defining and Substantiating the Terms Scene, Situation, and Scenario for Automated Driving Ulbrich et al. 2015 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 23

Begriff Szene 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 24

Bestandteile Szene afas (Relevante) Bestandteile einer Szene im Kontext afas Leitinfrastruktur (rechte und linke Begrenzung) Leitinfrastruktur Breite Leitinfrastruktur Krümmung Objektkonstellation Seitenstreifen Verkehrskonstellation rechter Fahrstreifen Maximale Geschwindigkeit Verkehr Wetterbedingungen Fahrzustand Absperrfahrzeug 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 25

Diskretisierung Szene Leitinfrastruktur Markierung, Leitplanke, Grasnabe Breite, Krümmung, Wetter Zulässig, nicht zulässig Objektkonstellation Seitenstreifen Kein Objekt, Objekt (verletzlich), Objekt (nicht verletzlich) Verkehrskonstellation Fließender Verkehr Maximale Geschwindigkeit Verkehr Unbegrenzt Fahrzustand Absperrfahrzeug Stehend, fahrend (10 km/h) 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 26

Identifikation von Fehlfunktionen Nutzung von Fähigkeitennetzen Strukturierung der einzelnen Fähigkeiten Abbildung von Abhängigkeiten Gliederung und Ebenen Jede Fähigkeit als Funktion Bestimmte Fehlerzustände spezifisch Inspiriert durch HAZOP -Methodik 1 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 27 1: Hazard and Operability Study

Fähigkeitennetz Abstand halten Geschwindigkeit halten Folgeobjekt auswählen Dynamische Objekte auswählen Lenkwinkel auswerten Fahrzeug verzögern Fahrzeug beschleunigen Fahrerwunsch ermitteln Objekte erkennen Lenkwinkel ermitteln Geschwindigkeit ermitteln Bremskraft erzeugen Antriebskraft erzeugen Umfeldsensorik Fahrzeugsensorik Bremse Antrieb HMI 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 28

Fehlfunktionen Kategorisierung Fähigkeiten Wahrnehmung Planung Bewegung HAZOP Schlüsselwörter Wahrnehmung Kein, nicht vorhanden, fehlerhaft, zu groß, zu klein Planung Nicht relevantes, relevantes XX nicht, kollidierend, physikalisch nicht möglich Bewegung Ausbleibend, falsch, ungewollt, zu groß, zu klein Keine Fehlfunktion für Überschreitung der Systemgrenze 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 29

Strukturierte Vorgehensweise G&R PerformedInMode Function Malfunction RoadInfrastructure RoadInfrastructureWidth RoadInfrastructureCurvature is part of Event TrafficConstellation TrafficMaximalVelocity is part of Scene Relevant Hazardous WeatherConditions RelevantObject OutOfBoundaries DrivingState 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 30

Auswertung Vorgehensweise Betrachtungsweise Einzelfehler Funktionen werden pro Betriebsmodus ausgeführt Modus Fälle Relevante Fälle Gefährliche Fälle Manueller Betrieb Sicheres Anhalten 5328 372 238 5328 344 105 Folgebetrieb 5328 377 170 Gekoppelter Betrieb 5328 368 237 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 31

Ergebnisse der G&R Wesentliche Ergebnisse (aktueller Stand): Kritischster Fall: Ungewolltes Aktivieren des automatisierten Betriebs im manuellen Betrieb führt zu Lenkeingriff Volleinschlag der Lenkung im automatisierten Betrieb ASIL D für Lenkung und Fahrentscheider Besondere Herausforderung Umfeldwahrnehmung: Erkennen von Seitenstreifenmarkierung ASIL B 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 32

Weitere Vorgehensweise Detaillierte Auswertung Welche Situationen führen zu gleichen Hazards? Äquivalenz -Parameter z.b. hat Krümmung keine Auswirkung auf Bremsaktuator Nutzung modellbasierter Ansätze zur Generierung Automatisierte ASIL Vorschläge Beziehungen zu Testfallgenerierung 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 33

Zusammenfassung und Ausblick Aufbau eines fahrerlosen Absicherungsfahrzeug Niedrige Geschwindigkeiten und vergleichsweise einfaches Umfeld Aber: Besondere Gefährdungen für den fließenden Verkehr Schwerpunkt Sicherheitskonzeption nach ISO 26262 Klärung technischer, normativer und rechtliche Fragestellungen mit hoher Relevanz für das automatisierte Fahren Leitfaden für die Absicherung fahrerloser Fahrzeuge mit weit größerem Funktionsumfang 16. November 2015 Gerrit Bagschik, Andreas Reschka, Torben Stolte Seite 34

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback