Schlagwort-Archive: ES

Autonomous driving – How to achieve functional safety in highly complex traffic scenarios?

(switch to german)

To anticipate the answer: The decisive advantage in functional safety results from the constructive cooperation of on-board systems and IT back ends.

Emission-free mobility and highly automated driving are the determinant future topics for automotive OEMs and suppliers. Embedded systems (ES) in the vehicle (on-board) together with high-performance back end IT systems (off-board) are the enablers in order to achieve these ambitious goals. The key lies in the intelligent connection of both worlds.

On the way to accomplish highly automated and autonomous driving functions, established OEMs, suppliers and engineering service providers are faced with the task of implementing innovative and highly complex customer functions economically. At the same time, the market is rapidly changing. New and unconventional acting market players such as Google, Apple, Tesla, Faraday, Uber, and others, are radically breaking new ground, both technologically and in terms of business models. This competition comes mainly from the IT world, not from the engineering world. These companies understand the vehicle mainly as a sort of „software on the road„.

The well proven technology access, which has been tried and tested by premium OEMs and their suppliers, is based on a more or less self-sufficient functional representation using on-board sensors and on-board embedded systems in the vehicle. Remember, a little bit more than 20 years ago, vehicles have been largely mechanical, mechatronic and electronic systems with a marginal share of software. Meanwhile, vehicle systems have been technologically expanded by more and more electronics and a rapidly growing share of software. This technological change has been extremely successful: many vehicle functions have been gradually realized completely as embedded systems with integrated software. Today, the functionalities at the cutting edge are complex driver assistance systems up to highly automated driving (level 3 automation / conditional automation). As mentioned before, all on-board and essentially without active communication with the outside world!

Even more challenging is the implementation of functions with the required higher levels of automation (Level 4 and higher / High and Full Automation or Autonomous Driving). Particularly, in the urban environment, e.g. safe passage of a multi-lane urban intersection, there are extremely difficult tasks that cannot be handled safely by state-of-the-art closed on-board solutions.

Provided, we must rely on the exclusive basis of a self-sufficient on-board system solution. Would we gain the confidence to entrust our preschool children (without accompany of adults) to an autonomous vehicle, which should them take to the grandparents living at the other end of the city? That’s hard to imagine!

To implement such highly complex and highly critical applications in a functionally reliable manner, new solutions are needed. One promising approach is to remove definite sub functions of the overall task from the vehicle and outsource them to an IT back end, or implement them at the IT back end, redundantly. This may comprise, for example, the computationally intensive parts of the representation and interpretation of the digital world view, the processing of large amounts of data, the determination of alternative courses of action in the driving strategy using AI methods (AI = Artificial Intelligence), the continuous expansion of the scenario knowledge base (Continuous Learning), the anticipation of the behavior of other road users, the analysis and verification of the ego vehicle’s driving trajectory in view of the traffic rules and quite simply the monitoring of the vehicle and the route from a distant location.

Certainly, it is no coincidence that the new market players mentioned above have recognized the benefits of IT solutions in automotive scenarios right from the start. They take advantage of the resulting flexibility in the technical development and especially they apply IT proven procedures for the validation of driving functions. Also, they adopt the perspectives for potential disruptive changes in mobility concepts.

Enormous pressure on established OEMs, suppliers and engineering service providers results from this situation. Both technological approaches, the classical automotive one and the merely IT based one have their strengths and weaknesses. With respect to future mobility solutions, the benefits of the IT world (including the capability to process large amounts of data, rapid updates, usage of AI methods, deep learning) must be combined with the benefits of the ES world (including the close union of HW and SW, high efficiency, compact algorithms, real-time capability).

The decisive technological requirement arising from this is the connectivity capability of the different subsystems inside the car and the interconnection of the vehicle system with the overall network. The core requirement is the availability of highly secure and operationally reliable data connections with a high-bandwidth. Provided this is ensured, functionally safe applications (Safety) distributed over a heterogeneous system environment of IT and ES systems can be established. At the same time, of course, the highest standards must be applied on data security (IT security). Finally, functional safety is ruled by the simple precept „without security, there is no safety„.

The technological cornerstones for maintaining the functional safety of IT back ends are:

    • Function-dependent end-to-end latency < 20 ms … < 1sec
      (transit time measured from on-board to IT back end, and backwards)
    • 24/7 availability and third-level technical support
    • Protection of data integrity from cyber attacks
    • Anonymization of the data
    • Continuous updating of protective measures
    • Scalability of services

With the advent of the cellular standard 5G, the foundations have been laid for high-security data links with low latencies („signal propagation time„, delay between triggering and the effective execution of an action or response). The highly secure networking between the embedded systems in the vehicles on the one hand and the corresponding IT back ends on the other will thus provide a significant contribution to the further evolutionary steps in driver assistance towards reliable higher automation functions and autonomous driving.

Nevertheless, there can be no doubt that even with this holistic approach the way to the driverless car that rules the full variety of traffic scenarios („autonomous drivingin the truest sense of the word) is still far away. There may be people who are saying, what’s the matter, that’s possible, Google has done it already. Others have also shown that cars can maneuver in real world traffic scenarios without driver intervention. Yes and no! Here we have to put into perspective, that all of these examples are far away from the required technological maturity and readiness for mass use under arbitrary real traffic conditions. – Let’s do the litmus test and remind ourselves again of the scenario mentioned above: Would we gain the confidence to entrust our preschool children to an autonomous vehicle (without accompany of adults) which should them take to the grandparents living at the other end of the city? – Provided, we can answer in the affirmative without hesitation we have reached the goal, not earlier.

In the medium to long term there will be an extensive technological convergence of the IT world and the ES world. We already see the beginnings of this process. For example, there are more and more dedicated AI chips used in both environments, ES and IT. Among other things this is the progression that is driving and pioneering the convergence. This process has the power to bring together the still separated worlds of ES and IT. An additional transformation pressure comes from those highly complex new automation functions with multiple cross system dependencies. Paradoxically, precisely the use cases that are easy to describe (for example, the car should drive from address A to address B, completely independent from any driver interaction) are calling for a holistic view, thus driving the convergence process.

Autonomes Fahren – Wie kann die nötige Funktionssicherheit in hochkomplexen Szenarien hergestellt werden?

(switch to english)

Um die Antwort vorwegzunehmen: Das entscheidende Plus an funktionaler Sicherheit entsteht durch das konstruktive Zusammenwirken von On-Board-Systemen und IT-Backends.

Emissionsfreie Mobilität und hochautomatisiertes Fahren sind die bestimmenden Zukunftsthemen für Automotive-OEM und Zulieferer. Eingebettete Systeme (ES) im Fahrzeug (On-Board) sind dabei zusammen mit hochleistungsfähigen Backend-IT-Systemen (Off-Board) die Wegbereiter zur Realisierung dieser ambitionierten Ziele. Der Schlüssel liegt in der intelligenten Verbindung beider Welten.

Auf dem Weg zur Realisierung hochautomatisierter und autonomer Fahrfunktionen sehen sich etablierte OEM, Zulieferer und Engineering-Dienstleister der Aufgabe gegenüber, neuartige und hochkomplexe Kundenfunktionen wirtschaftlich zu realisieren. Zugleich verändert sich der Markt rapide durch das Auftreten von neuen und unkonventionellen Mitspielern wie Google, Apple, Tesla, Faraday, Uber und anderen, die sowohl technologisch wie auch bezüglich der verfolgten Geschäftsmodelle teilweise radikal neue Wege gehen. Dieser Wettbewerb kommt überwiegend aus der Welt der IT und versteht das Auto vor allem als „fahrende Software“.

Der bewährte, von den Premium-OEMs und ihren Zulieferern vielfach erprobte Technologiezugang basiert auf der mehr oder weniger autarken Funktionsdarstellung mittels On-Board-Sensorik und eingebetteten Systemen im Fahrzeug. Das ist das Erfolgsrezept mit dem das vormals noch weitgehend mechanische oder mechatronische System Automobil seit mehr als 20 Jahren um immer mehr Elektronik und Software technologisch erweitert wird. Und dies überaus erfolgreich: Viele Fahrzeugfunktionen wurden nach und nach komplett als eingebettete Systeme mit integrierter Software realisiert. An der Spitze der Entwicklung stehen heute komplexe Fahrerassistenzsysteme bis hin zum hochautomatisierten Fahren (Automatisierungsgrad Level 3 / Conditional Automation). Wie gesagt, das alles On-Board und im Wesentlichen ohne aktive Kommunikation mit der Außenwelt!

Noch vielfach komplexer ist die Verwirklichung von Funktionen mit den geforderten höheren Automatisierungsgraden (Level 4 und höher / High und Full Automation bzw. Autonomes Fahren). Insbesondere im urbanen Umfeld, z.B. sicheres Passieren einer mehrspurigen städtischen Kreuzung, stellen sich hier extrem schwierigere Aufgaben die heute noch nicht sicher bewältigt werden können.

Würden wir auf der ausschließlichen Basis einer – autark arbeitenden – On-Board Systemlösung das Vertrauen entwickeln, Kinder im Vorschulalter von einem autonomen Fahrzeug und ohne Begleitung Erwachsener zu den am anderen Ende der Großstadt wohnenden Großeltern bringen zu lassen? Das ist kaum vorstellbar!

Um solche hochkomplexen und hochkritischen Anwendungsfälle funktional sicher umsetzen zu können, braucht man neue Lösungen: Ein erfolgversprechender Ansatz besteht darin, bestimmte Teilfunktionen der Gesamtaufgabe aus dem Fahrzeug herauszunehmen und in ein IT-Backend auszulagern oder dort redundant zu realisieren. Dabei geht es beispielsweise um rechenintensive Anteile der Darstellung und Interpretation des digitalen Weltbilds, die Verarbeitung großer Datenmengen, die Bestimmung von Handlungsalternativen in der Fahrstrategie mittels KI-Methoden (KI = Künstliche Intelligenz), die kontinuierliche Erweiterung der Szenario-Wissensbasis (Continuous Learning), das Voraussehen des Verhaltens anderer Verkehrsteilnehmer, die Plausibilisierung der eigenen Fahrtrajektorie sowie ganz schlicht das Monitoring des Fahrzeugs und der Fahrstrecke von einem anderen Ort aus.

Es ist gewiss kein Zufall, dass die oben genannten neuen Marktplayer von Anfang an den Nutzen von IT-Lösungen erkannt und die damit verbundene Flexibilität in der Entwicklung, der Validierung und der revolutionären Veränderung des Gesamtsystems Automobil oder allgemeiner von Mobilitätskonzepten insgesamt für sich nutzbar zu machen suchen.

Aus diesem Spannungsfeld erwächst ein enormer Druck auf die etablierten OEM, Zulieferer und Engineering-Dienstleister. Beide technologischen Ansätze haben ihre Stärken und Schwächen, es kommt darauf an, bezüglich künftiger Mobilitätslösungen die Vorteile der IT-Welt (u.a. Verarbeitung großer Datenmengen, schnelle Updates, Einsatz KI-Methoden, Deep Learning) mit den Vorteilen der ES-Welt (u.a. enge Verzahnung von HW und SW, hohe Effizienz, kompakte Algorithmen, Echtzeitfähigkeit) zu verknüpfen.

Die entscheidende daraus erwachsende technologische Anforderung ist die Vernetzungsfähigkeit der Teilsysteme und Systeme im Gesamtverbund. Es geht dabei um sichere, nein, um hochsichere und absolut verlässliche Datenverbindungen in hoher Bandbreite. Nur dann, wenn dies gewährleistet ist, lassen sich funktional sichere Anwendungen (Safety) in einem heterogenen Systemumfeld aus IT- und ES-Systemen darstellen. Gleichzeitig müssen natürlich höchste Maßstäbe an die Datensicherheit (Security) gelegt werden, denn es gilt, „Ohne Security gibt es keine Safety“.

Die technologischen Eckpunkte für die Einhaltung der funktionalen Sicherheit von IT-Backends sind:

  • Funktionsabhängig definierte End-to-End-Latenz < 20 ms … < 1 sec (Laufzeit von On-Board zu IT-Backend und zurück)
  • 7×24-Verfügbarkeit und technischer Third-Level Support
  • Schutz der Daten-Integrität vor Cyber-Angriffen
  • Anonymisierung der Daten
  • Kontinuierliche Aktualisierung der Schutzmaßnahmen
  • Skalierungsfähigkeit der Services

Mit dem Aufkommen des Mobilfunkstandards 5G sind die Grundlagen für hochsichere Datenverbindungen mit geringen Latenzen (“Signallaufzeit“, Verzögerung zwischen dem Auslösen und dem tatsächlichen Durchführen einer Aktion oder Reaktion) gelegt. Die hochsichere Vernetzung zwischen den eingebetteten Systemen in den Fahrzeugen mit den geeigneten IT-Backends wird so einen maßgeblichen Beitrag für die weiteren Evolutionsschritte in der Fahrerassistenz hin zu verlässlichen höheren Automatisierungsfunktionen und zum autonomen Fahren leisten.

Dennoch kann kein Zweifel daran bestehen, dass auch mittels dieses holistischen Lösungsansatzes der Weg zum alle Verkehrsszenarien beherrschenden fahrerlosen Auto („autonomes Fahren“ im eigentlichen Wortsinne) noch weit ist. Da mag jetzt der eine oder andere einwenden, wieso denn, das geht doch, Google macht das doch schon. Auch andere haben schon gezeigt, dass sich Autos ohne Fahrereingriff im Verkehr bewegen können. Ja und nein! Hier muss man relativieren, das ist noch lange nicht die erforderliche technologische Reife für den Masseneinsatz unter beliebigen realen Verkehrsbedingungen. – Machen wir doch den Lackmustest und rufen uns noch einmal das obige Szenario in Erinnerung: Würden wir die eigenen Kinder im Vorschulalter von einem solchen autonomen Fahrzeug und ohne Begleitung Erwachsener zu den am anderen Ende der Großstadt wohnenden Großeltern bringen zu lassen? – Dann, wenn wir diese Frage ohne Zögern mit JA beantworten können, erst dann haben wir das Ziel erreicht, nicht eher.

Mittel- bis langfristig wird es zu einer weitgehenden technologischen Konvergenz der IT-Welt und der ES-Welt kommen. Die Ansätze dazu sehen wir schon heute. Z. B. gibt es immer mehr dedizierte KI-Chips, die sowohl im ES- als auch im IT-Umfeld Verwendung finden. U. a. ist es diese Entwicklung, die als Treiber und Wegbereiter die einst völlig getrennten Welten ES und IT einander näherbringt. Ein weiterer Transformationsdruck entsteht durch die hochkomplexen und vielfachen Abhängigkeiten unterliegenden neuen Automatisierungsfunktionen. Paradoxerweise sind es dabei gerade die aus der menschlichen Perspektive heraus eher einfach zu beschreibenden Use Cases (z.B., das Auto soll völlig selbständig von Adresse A zu Adresse B fahren), die nach einer ganzheitlichen Betrachtung rufen und so den Konvergenzprozess vorantreiben.