In der Welt der Zukunft wird man auf weit verbreitete, massiv vernetzte, hochintelligente Systeme bauen. Um diese Vision zu verwirklichen, brauchen wir zuverlässige cloudbasierte cyber-physische Systeme. Die Forschung in dieser Richtung stößt auf ebenso viele Chancen wie Herausforderungen. Derartige Systeme existieren in sich verändernden Umgebungen und interagieren mit anderen Systemen und Menschen, wofür Intelligenz, Autonomie, Sicherheit und Anpassungsfähigkeit erforderlich sind – also eigentlich widersprüchliche Ziele. Ein Beispiel hierfür ist das autonome Fahren.
16. Juli 2020
© iStock.com/cdbrphotography
Verglichen mit Autos, die nur lokale Sensoren und Funktionen nutzen, können vernetzte Fahrzeuge ein viel höheres Maß an Optimierung bieten und völlig neue Möglichkeiten aufzeigen. Natürlich muss ein solches diverse Systeme zusammenfassendes übergeordnetes System – ein sogenanntes »System of Systems« – sicher und zuverlässig sein, um eine ordnungsgemäße Bewältigung von Gefahrensituationen zu gewährleisten und um ununterbrochene Dienste und ein hervorragendes Nutzererlebnis zu bieten. Vernetzte autonome Fahrzeuge haben ein großes Potenzial, nicht nur als selbstfahrende Privatautos, sondern auch für Flotten von autonomen Taxis, Bussen oder Lastwagen, die einen billigeren und sichereren Transport ermöglichen.
Zuverlässige, autonome, cyber-physikalische Systems of Systems (CPSoS) stehen vor einer Fülle von Herausforderungen, die es zu bewältigen gilt, um sie im Alltagsleben einsetzen zu können. Zunächst einmal muss ein zufriedenstellendes Niveau an Sicherheit und Effizienz zu erschwinglichen Kosten erreicht werden. Eine Möglichkeit, dies zu erreichen, besteht in der dynamischen Anpassung der Systemleistung an ein akzeptables Risiko unter Berücksichtigung der aktuellen Situation. Zweitens muss eine stabile Steuerung über die gesamte Ende-zu-Ende-Architektur durch ein vorhersehbares Echtzeitverhalten mit ausreichend niedrigen Latenz- und Jitter-Werten gewährleistet werden. Da derzeit viele verschiedene Anbieter autonome Systeme entwickeln, ist außerdem eine interoperable Konnektivität unerlässlich. Um die Sicherheit zu erhöhen, müssen in dem Konzept die Systemgrenzen erweitert werden, um zusätzliche Bedrohungen für die Sicherheit des Systems zu erkennen und zu entschärfen. Schließlich müssen nahtlose Datenuploads, Aktualisierungen und Wartungsmöglichkeiten vorgesehen werden, um Trainingsdaten zu erfassen und Änderungen zu verteilen, ohne den normalen Betrieb zu beeinträchtigen.
Zusammenfassend lässt sich sagen, dass wir zur Bewältigung dieser Herausforderungen flexible, widerstandsfähige und intelligente Architekturen benötigen, die Informationen und Ressourcen durch die Nutzung verschiedener Dienste bereitstellen, die aber auch die Fähigkeit haben, im Rahmen der sogenannten »Graceful Degradation« ihren Funktionsumfang schrittweise herabzusetzen, wenn diese Dienste nicht mehr verfügbar sind. Diese Architekturen sollten dynamisch sein und sich über die gesamte Kommunikationskette erstrecken, vom Endnutzer (autonome Fahrzeuge) über Edge-Infrastrukturen (straßenseitige Einheiten oder Kameras) bis hin zu den Cloud-Diensten.
Analysieren wir ein einfaches Automobilszenario, z. B. mehrere autonome Fahrzeuge auf einer Autobahn, das mit cloudbasierten Systemen verbessert werden kann. Das Ziel ist es, die Geschwindigkeit zu maximieren und dabei gleichzeitig die Sicherheit zu gewährleisten. Die bordeigenen Sensoren und die eingebettete Software, die für den Stadtverkehr ausgelegt sind, funktionieren nur bei Geschwindigkeiten von bis zu 80 km/h sicher. Die Straßeninfrastruktur umfasst jedoch leistungsstarke Sensoren, wie z. B. hochwertige Kameras, die einen vollständigen Überblick über die Straße bieten. Der Cloud-Dienst erfasst, kombiniert und analysiert die Daten der Kameras und ermöglicht es den Fahrzeugen, ihre Geschwindigkeit auf 130 km/h zu erhöhen, solange zwischen Fahrzeug und Cloud ein zuverlässiger Datenaustausch besteht. Dies veranschaulicht, wie die Leistungsfähigkeit verbessert werden kann, ohne die Sicherheit zu beeinträchtigen.
Es ist jedoch unbedingt erforderlich, dass das System trotz Verbindungsunterbrechungen oder Nichtverfügbarkeit der Cloud weiter funktioniert, z. B. wenn sich das Fahrzeug außerhalb der Reichweite der straßenseitigen Einheit befindet oder wenn die Informationen aus der Cloud zu verzögert eintreffen, um nutzbar zu sein. In diesem Fall muss das System die Leistung auf ein akzeptables Risikoniveau herabsetzen, z. B. die Geschwindigkeit des Fahrzeugs reduzieren, damit es sicher fährt.
© iStock.com/kokouu
Außerdem sind die Übergänge zwischen den verschiedenen Betriebsarten kritisch. Bei der Konzeption muss die Zeit berücksichtigt werden, die das System benötigt, um Störungen zu erkennen und zu beheben, einschließlich etwaiger Verzögerungen. Das System muss seine Fähigkeit, Störungen sicher zu erkennen und die Geschwindigkeit entsprechend zu reduzieren, ständig überwachen. Im genannten Beispiel liefert der Cloud-Dienst Informationen zu sicheren Überholabständen, während das lokale Fahrzeugsystem die sichere Geschwindigkeit berechnet.
Der Cloud-Dienst in diesem Beispiel bietet eine erweiterte Sensorreichweite und muss daher ähnlich wie die lokalen Sensoren zuverlässige Informationen in Echtzeit liefern. Um die Nutzung einer gemeinsamen Straßeninfrastruktur und von Cloud-Diensten durch Fahrzeuge verschiedener Hersteller zu ermöglichen, ist Interoperabilität erforderlich. Darüber hinaus müssen die Systeme über kompatible APIs verfügen und die Sicherheitsgarantien und -anforderungen aufeinander abstimmen. Da mit den neuen Verbindungen auch neue Angriffsziele hinzukommen, was das Potenzial erhöht, Menschenleben durch Hackerangriffe auf die Teilsysteme des Fahrzeugs zu gefährden, muss jede Ebene des Systems – von den eingebetteten Teilsystemen und der Straßeninfrastruktur bis hin zu den Cloud-Diensten – die Sicherheit (Security) gewährleisten und mögliche Sicherheitsrisiken (Safety) eindämmen. Um den kontinuierlichen Betrieb des Fahrzeugs aufrecht zu erhalten, müssen Aktualisierungen durchgeführt werden, ohne die Funktionsfähigkeit des Systems zu unterbrechen.
Unser Ansatz zur Bewältigung der oben genannten Herausforderungen besteht darin, ein einzigartiges Gleichgewicht zwischen Resilienz, Flexibilität und Intelligenz zu finden. Die Sicherheit als wichtigste Anforderung muss dabei stets gewährleistet sein. Dies setzt voraus, dass das System belastbar genug ist, um mit ungünstigen Bedingungen wie der Nichtverfügbarkeit der Cloud umzugehen, indem es auf einen lokalen Betrieb heruntergestuft wird oder ein Manöver mit minimalem Risiko durchführt, z. B. das Fahrzeug sicher anzuhalten. Außerdem muss es intelligent genug sein, um sich kontinuierlich an die aktuelle Umgebung anzupassen und in unerwarteten Situationen zu reagieren. Zuverlässigkeit ermöglicht einen unterbrechungsfreien Betrieb und ein hervorragendes Nutzererlebnis. Andererseits erwarten die Nutzer solcher Fahrzeuge zwar Sicherheit und Zuverlässigkeit, doch den größten Einfluss auf das Nutzererlebnis haben die Leistung und die Effizienz des Fahrzeugs, was wiederum Flexibilität für eine einfache Neukonfiguration erfordert. Unser Ansatz besteht darin, angesichts der Systemanforderungen und der verfügbaren Ressourcen einen Kompromiss zwischen diesen Anforderungen zu finden.
Wir bieten mehrere Methoden an, um diesen Kompromiss zu erreichen. Die erste davon ist die schwächengesteuerte Anforderungsverfeinerung. Dabei handelt es sich um einen iterativen Prozess, bei dem die Schwachstellen des Systems – also jede Abweichung von seiner vorgesehenen Funktion – aufgedeckt und Gegenmaßnahmen in das System integriert werden. Mit dieser Methode kann bereits in der Konzeptionsphase ein zufriedenstellendes Niveau an Sicherheit und Effizienz erreicht werden. In unserem Beispiel besteht eines der Hauptrisiken in einem Verlust der Konnektivität, was durch die Überwachung des Verbindungsstatus und die Nutzung der Degradation für die eventuell erforderliche Umstellung auf lokalen Betrieb gelöst werden kann.
Cloudbasierte Ansätze versprechen oft vielfältige Vorteile gegenüber lokalen Lösungen. Darüber hinaus sind jedoch in der Regel zusätzliche Informationen erforderlich, um zu entscheiden, welche Option gewählt werden soll. Wir können beispielsweise eine (abstrakte) Fallstudie erstellen, indem wir den Entwurfsprozess durchführen und spezifische Szenarien untersuchen. Außerdem können wir können unsere Erfahrungen mit ähnlichen Fällen aus der Vergangenheit einbringen. Kontaktieren Sie uns für mehr Informationen:
Zweite Möglichkeit: anpassungsfähige Architekturen, die es erlauben, die Systemstruktur je nach Verfügbarkeit der Dienste und Ressourcen im Laufe der Zeit zu verändern. In unserem Beispiel ändert das System dynamisch seine Grenzen von einem einzelnen Fahrzeug zu einem System von Systemen, das aus mehreren Fahrzeugen, Edge-Systemen und Cloud-Netzen besteht, wodurch Flexibilität und Leistung erhöht werden.
Eine weitere Methode sind schrittweise Upgrades und Downgrades, die es dem System – wenn auch nur eingeschränkt – ermöglichen zu arbeiten, wenn Dienste oder Ressourcen ausfallen oder nicht mehr verfügbar sind. Der unterbrechungsfreie Wechsel zwischen Cloud- und lokalem Betrieb bietet die bestmögliche Leistung in der aktuellen Situation. Ein weiteres Angebot beinhaltet eine sichere Handhabung der Updates im Laufe der Systemlebensdauer, wodurch Softwareupdates ohne Systemunterbrechung durchgeführt werden können. Unser Ansatz konzentriert sich außerdem auf die Steigerung der »Selbstwahrnehmung« des Systems, d. h. die Fähigkeit, seine Kapazitäten selbst einzuschätzen, um die korrekte Erkennung und Bewältigung von Fehlern zu gewährleisten und so die erforderliche Leistung und Sicherheit unabhängig von der jeweiligen Situation aufrecht zu erhalten. In unserem Beispiel ist eine ständige Überwachung der Konnektivität und möglicher Fehler erforderlich, um das System erfolgreich an die aktuellen Bedingungen anzupassen.
Dieses Vorhaben wurde im Rahmen des Projekts Unterstützung des thematischen Aufbaus des Instituts für Kognitive Systeme durch das Bayerische Staatsministerium für Wirtschaft, Landesentwicklung und Energie gefördert.
