Operational Design Domain
Sicherheitsaspekte beim Passieren zwischen ODD

In unserem vorherigen Artikel haben wir einige standardisierte Begriffe im Zusammenhang mit dem autonomen Fahren und der Operational Design Domain (ODD) eingeführt. In diesem Artikel befassen wir uns mit den Sicherheitsaspekten des Übergangs durch mehrere ODDs während der Ausführung der dynamischen Fahraufgabe (Dynamic Driving Task, DDT).

mask Ausgetrockneter Boden

Operational Design Domain: Enger Rahmen sorgt für Sicherheit

Die Operational Design Domain (ODD) steckt den Bereich genau ab, in dem automatisierte Fahrfunktionen zum Einsatz kommen dürfen. Somit stellen sie eine grundlegende Voraussetzung für sicheres automatisiertes Fahren dar. Teil 1 einer dreiteiligen Serie über die Bedeutung der ODD.

Operational Design Domain – Enger Rahmen sorgt für Sicherheit Pfeil nach rechts

Autonome Fahrzeuge müssen auf ihrem Weg zum vollständig autonomen Fahren größere Operational Design Domains (ODD) mit unterschiedlichen Betriebsbedingungen unterstützen. Beim Fahren unter sich ändernden Betriebsbedingungen, die von der ODD nicht unterstützt werden, steht die Sicherheit an erster Stelle. So wie Menschen ihr Fahrverhalten an veränderte Fahrbedingungen anpassen, z. B. langsamer fahren bei plötzlichem Regen oder auf verkehrsreichen Straßen, so müssen auch fahrerlose Autos ihr Verhalten anpassen. Bei Menschen kann die Aktion reaktiv sein - das vordere Fahrzeug bremst plötzlich - oder proaktiv - die Ampel wird gelb, und das vordere Fahrzeug bremst möglicherweise. Sich ändernde Betriebsbedingungen, z. B. Wetterbedingungen wie Regen, erfordern ebenfalls eine proaktive Reaktion des Fahrers in Erwartung erhöhter Risiken (d. h. veränderter Sicherheitsanforderungen).

Deutsche Autofahrer lernen die "Halber-Tacho"-Regel, nach der ein Abstand von der Hälfte der aktuellen Fahrgeschwindigkeit zum vorausfahrenden Fahrzeug eingehalten werden muss. Der Mensch schaltet jedoch instinktiv auf größere Abstände um, etwa wenn es zu regnen beginnt. Autonome Fahrzeuge verfügen jedoch nicht über diese menschlichen Instinkte und halten sich strikt an die ihnen zugrunde liegenden Sicherheitsmodelle. Eine Verhaltensanpassung an veränderte Betriebsbedingungen zur Laufzeit ist zwar wünschenswert, aber nicht immer möglich und/oder ausreichend, um das erhöhte Risiko (oder die Sicherheitsanforderungen) zu mindern.

Herausforderungen durch wechselnde Betriebsbedingungen

Wir haben untersucht, welche Auswirkungen eine Laufzeitanpassung an sich ändernde Betriebsbedingungen auf die Sicherheit hat. Beispielszenario: zwei Fahrzeuge fahren hintereinander auf der Autobahn (siehe Abbildung 1). Dieser Anwendungsfall ist besonders wichtig für Funktionen des automatisierten Fahrens (ADS) wie die adaptive Geschwindigkeitsregelung (ACC). Abhängig von der gewählten ODD können die entsprechenden Sicherheitsanforderungen variieren. In unseren Untersuchungen verwenden wir das physikalische RSS-Sicherheitsmodell, um den sicheren Folgeabstand bei gegebenen Geschwindigkeiten der beiden Fahrzeuge zu berechnen. Die Konfiguration des Sicherheitsmodells (z.B. maximale Bremskraft, Reaktionszeit, etc.) hängt von der aktiven ODD ab. Beispielsweise ist die maximale Bremskraft bei der Schnee-ODD aufgrund der glatten Straßen stark reduziert im Vergleich zur Klarwetter-ODD. Änderungen der Sicherheitsanforderungen müssen berücksichtigt und stets erfüllt werden.

Betrachten wir eine Situation, in der unser autonomes Fahrzeug einen für ODDi berechneten Sicherheitsabstand einhält. Wenn sich die Betriebsbedingungen ändern, z. B. wenn es anfängt zu regnen, treten wir in ODDj ein, wodurch neue Sicherheitskonfigurationen in Kraft treten. Daher kann es sein, dass der aktuelle Abstand, obwohl er für ODDi sicher ist, für ODDj nicht sicher ist. Eine einfache Maßnahme wäre, dass unser fahrerloses Auto versucht, den Folgeabstand zu vergrößern. Vom Standpunkt der Sicherheit müssen wir jedoch zusätzlich Folgendes berücksichtigen:

  • ist die aktuelle Bremsleistung des autonomen Fahrzeugs ausreichend, um einen Auffahrunfall zu vermeiden, falls das vordere Fahrzeug eine Vollbremsung durchführt
  • die Zeit, die erforderlich ist, um wieder sicher zu sein, bezogen auf den neuen ODDj.
OOD2 Figure 1b
Bild

Abbildung 1: Kurzfristige Verletzung von Sicherheitszielen aufgrund veränderter Kontextbedingungen, z. B. ODD-Änderung

Wir leiten Schwellenwerte für die Mindestbremsleistung und die Zeit bis zur Sicherheit in Übereinstimmung mit den ISO-26262 Sicherheitsstandards ab. Die Schwellenwerte dienen als effektives Entscheidungskriterium, um festzustellen, ob eine laufende Dynamische Fahraufgabe (DDT) fortgesetzt werden kann oder ob ein ausfallsicheres Minimum Risk Manuever (MRM) durchgeführt werden muss. Darüber hinaus bilden sie einen entscheidenden Teil der Sicherheitsargumente bei der Durchführung einer Sicherheitsanalyse von ADS-Fahrfunktionen in Bezug auf die entsprechenden ODD. Eine ausführliche Darstellung der Forschungsarbeiten finden Sie in unserer Veröffentlichung hier.

Im dritten Teil unserer Serie erörtern wir, wie die tatsächlichen Betriebsbedingungen zur Laufzeit überwacht werden können, um festzustellen, ob das ADS-System innerhalb seiner vorgesehenen ODD(s) arbeitet, und um ODD-Übergänge effektiv zu erkennen.


Dieses Vorhaben wurde im Rahmen des Projekts Unterstützung des thematischen Aufbaus des Instituts für Kognitive Systeme durch das Bayerische Staatsministerium für Wirtschaft, Landesentwicklung und Energie gefördert.

Nächster Artikel

Produktion
Autonome Systeme an der Leine

Gereon Weiss
Gereon Weiß
Safety Engineering / Fraunhofer IKS
Safety Engineering