Aktive Sicherheit und Automatisiertes Fahren
3. Interdisziplinärer Expertendialog (IEDAS)
1018
2017
978-3-8169-8405-4
978-3-8169-3405-9
expert verlag
Klaus Kompaß
Aspects including adequate validation of necessary functions, assessment of controllability of critical situations caused by road users, a validated prognosis of the potential effectiveness of new systems and many additional similar topics will be specifically addressed as part of this conference proceedings.
Die Aspekte der adäquaten Absicherung der Funktionen, der Prüfung der Beherrschbarkeit von kritischen Situationen durch den Menschen, einer validierten Vorhersage potenzieller Effektivität neuer Systeme und viele ähnliche Themen werden in diesem Tagungsband gezielt adressiert. Aspects including adequate validation of necessary functions, assessment of controllability of critical situations caused by road users, a validated prognosis of the potential effectiveness of new systems and many additional similar topics will be specifically addressed as part of this conference proceedings.
Die Aspekte der adäquaten Absicherung der Funktionen, der Prüfung der Beherrschbarkeit von kritischen Situationen durch den Menschen, einer validierten Vorhersage potenzieller Effektivität neuer Systeme und viele ähnliche Themen werden in diesem Tagungsband gezielt adressiert.
<?page no="1"?> Klaus Kompaß und 40 Mitautoren Aktive Sicherheit und Automatisiertes Fahren <?page no="3"?> Prof. Dipl.-Ing. Klaus Kompaß und 40 Mitautoren Aktive Sicherheit und Automatisiertes Fahren 3. Interdisziplinärer Expertendialog (IEDAS) Mit 118 Bildern und 17 Tabellen Haus der Technik Fachbuch Band 146 Herausgeber: Prof. Dr. Werner Klaffke · Essen <?page no="4"?> Bei der Erstellung des Buches wurde mit großer Sorgfalt vorgegangen; trotzdem lassen sich Fehler nie vollständig ausschließen. Verlag und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Autoren dankbar. © 2018 by expert verlag, Wankelstr. 13, D -71272 Renningen Tel.: + 49 (0) 71 59 - 92 65 - 0, Fax: + 49 (0) 71 59 - 92 65 - 20 E-Mail: expert@expertverlag.de, Internet: www.expertverlag.de Alle Rechte vorbehalten Printed in Germany Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. ISBN 978-3-8169-3405-9 Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http: / / www.dnb.de abrufbar. Bibliographic Information published by Die Deutsche Bibliothek Die Deutsche Bibliothek lists this publication in the Deutsche Nationalbibliografie; detailed bibliographic data are available on the internet at http: / / www.dnb.de <?page no="5"?> Haus der Technik Fachbuch Herausgeber der Reihe Prof. Dr. Werner Klaffke Geschäftsführendes Vorstandsmitglied des Hauses der Technik e.V. Die Konkurrenzfähigkeit einer rohstoffarmen Volkswirtschaft hängt ganz wesentlich vom Faktor „Wissen“ ab. Verbunden mit kreativem Gestaltungswillen wird aus Wissen Kompetenz. Kompetenzvermittlung ist der zentrale Aspekt des Hauses der Technik, die weit über 80 Jahre schon praxisorientiert und disziplinenüberschreitend durch Tagungen, Symposien, Seminare und Workshops qualitativ hochstehend dargestellt wird. Damit arbeiten wir an den Grundlagen für neue Produkte und Dienstleistungen, deren Vermarktung zu Innovationen und damit zu Wertschöpfung führen. Mehr als 70% der erfolgreichen Innovationen, ob inkrementell oder radikal, entstehen aus der Verknüpfung häufig bereits bekannter Elemente, weshalb es geradezu essentiell ist, akademische Schubladen zu verlassen und die Elemente der Kompetenzen intelligent und bedarfsorientiert zu kombinieren. Das geschieht in branchenübergreifenden Innovationsnetzwerken und Technologieclustern, die sich in neuen Wertschöpfungsketten zusammenfinden. Neue Elemente der Netzwerkbildung belebt durch die zunehmende Digitalisierung der Arbeitswelt gesellen sich zu den traditionellen Informationsquellen, zu denen auch die vorliegende Publikation gehört. Die bewährten Haus der Technik Fachbücher befassen sich mit den wichtigen Themen der Technik, der Wirtschaft und angrenzender Gebiete, wie Medizintechnik, Biotechnik und neue Medien. Das Beste, das oft mühsam und mit viel Aufwand von den Veranstaltungsreferenten zusammengetragen wurde, wird damit einem größeren Fachpublikum zugänglich gemacht. Die Haus der Technik Fachbücher dienen den Teilnehmern als nützliches Nachschlagewerk und anderen Interessenten beim Selbststudium zu beruflichem Nutzen und Erfolg. <?page no="7"?> Prelude Today, automated driving is seen as one of the most pivotal and driving issues defining the future of mobility. Modern automobiles already offer partial automation - computer assistance enabling the vehicle to control longitudinal and lateral movement, the “driver” merely present in the role of the supervisor. In the coming years the next steps in the development of highly automated or fully automated driving will become reality, where the driver will temporarily or permanently become a “passenger”, able to dedicate their attention to tasks other than primary vehicle control. The development of the functions, sensors, actuators and the control logic necessary generates a competitive environment between the innovative and creative minds of the automotive and supplier industries and research institutions. This rivalry accelerates development and leads to new ideas and solutions. While considering the required steps for the implementation of the desired goals, the developers are more and more frequently confronted with questions which, when examined more closely, are without competitive character and which call for a unified and common approach. - In the case of highly automated driving systems, it is no longer necessary for the driver to permanently monitor the immediate environment and the vehicle’s behaviour. As a consequence, in the case of a potential handover situation between vehicle and driver, it cannot be assumed that the driver is capable of spontaneously providing the necessary level of attention and readiness that are required to ensure takeover of vehicle control. The allocation of driving capabilities and handover times is completely independent of both the individual functional specifications of the vehicle or the vehicle manufacturer and should be assessed accordingly. The establishment of a neutral catalogue of relevant criteria in order to define handover scenarios would be a valuable and commendable communal undertaking. - The traditional approach involving statistical analysis of accident data to evaluate the impact of implemented measures on traffic safety does not lend itself to the evaluation of future accident avoidance technologies. In view of the slowly climbing rate of distribution of such systems in the vehicle fleet, and the varying level of effectiveness of the differing systems implemented to address the same accident type, accident research analysis by means of retrospective traffic accident data assessment will be unable to deliver either adequate or precise results in the short to midterm future. Additionally, accidents avoided are not visible in accident statistics and the reduction of particular types of accidents is not alone valid proof of the effectiveness of active safety systems. New, prospective methods for the determination of effectiveness of such systems are absolutely essential. This is also clearly a topic not for competitive pursuit between interested parties, but rather lends itself perfectly to harmonisation and standardisation. <?page no="8"?> Prelude - The conventional methods of validation are no longer appropriate for systems possessing higher levels of automation. Many millions of test kilometres must be accrued for each system variation, before an adequate level of reliability can be confirmed. Given the multitude of functions to be assessed, it rapidly becomes clear that a different approach is required, involving a combination of simulative, empirical, stochastic and experimental methods. All involved parties ought to have an interest in developing a standard, in order to define a new state of the art approach and to meet the expectations and requirements of customers and society alike. - Within the context of automated driving it will be necessary to carefully consider and in many cases, redefine legal considerations and questions anew. Within homologation, regulatory and liability law the need exists for a common assessment and if necessary, modification. A collective approach would lend itself to addressing this issue; involving manufacturers, governmental authorities and regulatory bodies, testing institutes and other relevant parties, for example insurance bodies. Although currently any number of congresses and conferences are held which concern the issue of automated driving, this professional discussion amongst experts reserves a unique expectation for itself. Namely, to address many of these challenges for which the competitive aspects can be transcended by a communal approach by interested parties. The expert organisational committee attached great importance to ensuring the dialogue character is highlighted as a defining characteristic of this event. It is the goal of this congress—by encouraging invaluable exchange between assumed competitors—to further progress toward the common goal of Vision Zero - the total avoidance of traffic deaths. Munich, October 2017 Prof. Dipl.-Ing. Klaus Kompaß <?page no="9"?> Vorwort Das automatisierte Fahren wird heute als eines der größten Zukunftsthemen der Mobilität angesehen. Bereits jetzt lassen sich moderne Fahrzeuge teilautomatisiert mit computergesteuerter Längs- und Querführung bewegen, der „Fahrer“ hat dabei lediglich die Aufgabe des Kontrolleurs. In einigen Jahren werden die nächsten Entwicklungsstufen des hoch- oder des vollautomatisierten Fahrens Wirklichkeit, bei denen der „Fahrer“ temporär oder dauerhaft zum „Fahrgast“ wird, der sich während der Reise durchaus anderen Dingen als der primären Fahrzeugkontrolle und -führung widmen kann. Um die Entwicklung der Funktionen, der Sensoren, der Aktuatoren und der Regelintelligenz des Fahrzeugs gibt es viele Wettrennen zwischen den innovativen und kreativen Köpfen der Fahrzeug- und Zulieferindustrie sowie von Forschungseinrichtungen. Der Wettbewerb beschleunigt die Entwicklung und generiert immer neue Ideen und Lösungen. Bei der Betrachtung der notwendigen Schritte zur Umsetzung all dieser Ziele stoßen aber die Entwickler immer häufiger auf Fragen, die genau betrachtet keinen wirklichen Wettbewerbscharakter haben und geradezu nach einem grenzen- und industrieüberschreitenden gemeinsamen Vorgehen rufen. - Wenn der Mensch z.B. bei hochautomatisierten Systemen nicht permanent das Umfeld und die Fahrzeugaktionen überwachen muss, dann kann in einer evtl. notwendigen Übergabesituation des Systems an den Menschen als Not- und Rückfallebene nicht davon ausgegangen werden, dass dieser sofort und spontan zur richtigen und schnellen Reaktion fähig ist. Welche Fahrerleistung und Übernahmezeiten angesetzt werden können, ist durchaus unabhängig von der individuellen Funktionsausprägung des Fahrzeugs oder dem Hersteller des Produkts zu bewerten. Ein neutraler und gemeinsam erarbeiteter Kriterienkatalog bietet sich an. - Wenn es um die vorausschauende Bewertung der Wirksamkeit von zukünftigen Unfallvermeidungsfunktionen geht, dann fällt die alleinige Nutzung altbekannter Statistikauswertungen realer Unfälle schwer. Auch angesichts der doch nur langsam ansteigenden Verbreitungsraten solcher Systeme im Fahrzeugbestand und unterschiedlicher Effekte verschiedener Entwicklungsmaßnahmen im Fahrzeug auf dasselbe Unfallgeschehen wird eine Unfallforschungsanalyse auf Basis von Verkehrsunfallauswertungen lange keine ausreichenden bzw. unpräzise Aussagen liefern können. Darüber hinaus tauchen vermiedene Unfälle in keiner Unfallstatistik auf und auch die Tatsache der Reduzierung bestimmter Unfallarten ist noch kein ausreichender Beweis der Wirksamkeit der Aktiven Sicherheitssysteme. Neue prospektive Wirksamkeitsmethoden sind dringend notwendig. Auch dies ist kein Thema für einen Wettbewerb zwischen den verschiedenen Interessenten, sondern bietet sich für eine Harmonisierung und Standardisierung geradezu an. <?page no="10"?> Vorwort - Zur Absicherung von Systemen höherer Automatisierungsgrade sind die klassischen Methoden der Fahrerprobung nicht mehr angebracht. Viele Millionen Kilometer müssten mit jeder Ausprägung gefahren werden, bevor eine ausreichend hohe Zuverlässigkeitsaussage möglich wäre. Angesichts der Vielzahl von Funktionen wird schnell klar, dass dies nicht zielführend sein kann. Zur Absicherung der Funktionen werden also neue Methoden benötigt, bei denen Simulation, Empirik, Statistik, Stochastik und Versuch kombiniert werden. Alle Beteiligten sollten ein Interesse haben, diese Methodik zu standardisieren, um damit einen Stand der Wissenschaft und Technik zu schaffen und der Verantwortung gegenüber den Kunden und der Gesellschaft gerecht zu werden. - Viele rechtliche Fragen müssen im Umfeld des automatisierten Fahrens überdacht und neu definiert werden. Sowohl im Zulassungsals auch im Verhaltens- oder Haftungsrecht gibt es einen großen Bedarf an einer gemeinsamen Bewertung und ggfs. notwendigen Änderung. Hier bietet sich eine Zusammenarbeit der Hersteller mit den Behörden, den gesetzgebenden Instanzen, Prüfinstituten und auch den Vertretern z.B. der Versicherungen an. Obwohl sich heutzutage viele Tagungen und Konferenzen mit dem automatisierten Fahren beschäftigen, so erhebt dieser Expertendialog den Anspruch, viele dieser überwettbewerblichen Themen zu adressieren und damit eine Alleinstellung reklamieren zu können. Der fachkundige Programmausschuss legte großen Wert darauf, den Dialogcharakter als prägende Eigenschaft dieser Veranstaltung hervorzuheben. Es ist das erklärte Programm dieser Tagung, im Dialog zwischen vermeintlichen Wettbewerbern dem von allen gemeinsam angestrebten Ziel der Vision Zero, also der Reduzierung der Anzahl der Verkehrstoten auf Null, ein gutes Stück näher zu kommen. München, Oktober 2017 Prof. Dipl.-Ing. Klaus Kompaß <?page no="11"?> Contents / Inhalt Prelude / Vorwort 1 Effectiveness Analysis / Wirksamkeitsanalyse .........................1 1.1 RCAR procedure for assessing the performance of Reverse Autonomous Emergency Braking (R-AEB) systems / RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff ................................................................................................ 1 Helge Kiebach, Gerald-Alexander Beese 1.2 Monetary Effectiveness Assessment of Driver Assistance Systems in the Field of Parking and Maneuvering / Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren.................................................................. 17 Julian Schatz, Philip Feig, Johann Gwehenberger, Marcel Borrack, Rolf Behling, Markus Lienkamp 1.3 Prospective safety assessment of highly automated driving functions using agent-based traffic simulation / Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation...................................................................... 40 Lei Wang, Felix Fahrenkrog, Klaus Kompaß 2 Functional Safety / Funktionale Sicherheit .............................60 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases / Ein Sicherheitsnachweis für Machine-Learning im Kontext des automatisierten Fahrens ............................................................................ 60 Simon Burton, Lydia Gauerhof, Christian Heinzemann, Lutz Buerkle 2.2 Functional Safety of Advanced Driver Assistance Systems: Safety and Security / Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security .................................................................................... 75 Max Steiner, Gregor Thomeczek, Oliver Jäger 3 Cyber Security ...........................................................................85 3.1. Secure Vehicle-to-X communication in Europe / Sichere Vehicle-to-X Kommunikation in Europa...................................... 85 Sandro Berndt, Thomas Strubbe, Nicolas Thenée, Markus Ullmann, Christian Wieschebrink <?page no="12"?> Contents / Inhalt 4 Verification and Validation / Nachweis und Absicherung ....101 4.1 Automated Driving: Regulations and Safety Benefits / Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag ................ 101 Antony Lagrange, Ulrich Veh 4.2 Assisted to Automated Driving - Developing Future Test and Rating Procedures / Unterstützung für automatisiertes Fahren / Entwicklung zukünftigerTest- und Bewertungsverfahren .......................................... 113 Matthew Avery 5 Effectiveness / Wirksamkeit....................................................122 5.1. Methodology for Effectiveness Assessment of Road Safety Functions / Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen........ 122 Günther Prokop, Markus Köbe 5.2. A Simulation Framework for Vehicle Safety Testing / Ein Simulationsframework für die Absicherung von Fahrzeugsicherheitsfunktionen............................................................... 135 Marcus Müller, Michael Botsch, Dennis Böhmländer, Wolfgang Utschick 5.3 Method for the efficient testing of future generations of automated driving functions / Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen............................................................... 155 Holger Znamiec, Björn Reuber, Roman Henze 6 Human Factors and Methods / Human Factors und Methoden ...............................................169 6.1 The highly-immersive driving simulator as a tool for validating and testing of ADAS and automated driving / Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen ................................................................................................. 169 Thomas Tüschen, Günther Prokop 6.2 Take-Over Performance in a Wizard of Oz Vehicle in Level 3 Conditionally Automated Driving / Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren.................................................................... 187 Christian Gold, Marie-Lene Meyer, Florian Fischer 6.3 Cyclist interaction on the road and its implications for highly automated vehicle / Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr - Welche Ableitungen können für das hochautomatisierte Fahren getroffen werden? ...................................... 200 Klaus Reinprecht, Oliver Ondrejka The authors / Die Autoren .................................................................................... 219 <?page no="13"?> 1 Effectiveness analysis / Wirksamkeitsanalyse 1.1 RCAR procedure for assessing the performance of Reverse Autonomous Emergency Braking (R-AEB) systems / RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff Helge Kiebach, Gerald-Alexander Beese Abstract More and more vehicles are equipped with a parking and manoeuvring driver assistance system. As parking assistance systems have developed rapidly during the last decades and have become sophisticated, elaborated systems, expectations considering their functionality and reliability have increased from different points of view. Nevertheless, according to latest research performed by RCAR (Research Council for Automobile Repairs; German members are AZT and KTI) during the last years, parking and maneuvering accidents appear to be increasingly relevant. To counter this trend, RCAR developed a procedure for assessing the performance of Reverse Autonomous Emergency Braking (R-AEB) systems in rear collisions. Different test scenarios comprise tests from different ranges and within various maneuvers against a car target, a bollard target, and a pillar target. The procedure aims on promoting and implementing R-AEB systems that prevent or mitigate collisions in real-world reversing situations like parking and maneuvering. With the RCAR R-AEB procedure, a standardized set of conditions that allows objective and repeatable assessments of R-AEB systems representing most common realworld conditions and collisions was created. Within a research project, KTI has conducted studies on the performance of ultrasonic based PDW (Park Distance Warning) systems regarding to the detection range of parking assistance systems. Furthermore, KTI has already tested new car models according to the RCAR R-AEB test procedure. Kurzfassung Die Ausstattungsrate von Pkw mit Parkassistenzsystemen ist in den letzten Jahren gestiegen und die Funktionen und Fähigkeiten dieser Systeme wurden weiterentwickelt. Dennoch zeigen Untersuchungen von RCAR (Research Council for Automobile Repairs) - dem insgesamt 25 Mitglieder und von deutscher Seite das AZT und KTI angehören - dass die wirtschaftliche Relevanz von Park- und Rangierunfällen steigt. Um dieser Entwicklung entgegenzuwirken, hat RCAR eine Testprozedur für "Reverse Autonomous Emergency Braking (R-AEB)" entwickelt und veröffentlicht. Das Testverfahren adressiert hauptsächlich Kollisionen beim Parken und Manövrieren mit anderen Fahrzeugen und schmalen Hindernissen (z. B. Pollern). Das KTI (Kraftfahr- 1 <?page no="14"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff zeugtechnisches Institut GmbH & Co. KG) hat im Rahmen der Entwicklung des RCAR-Tests grundlegende Versuche zu den Fähigkeiten verschiedener ultraschallbasierter Park-assistenzsysteme durchgeführt. Derzeit führt das KTI an ausgewählten Fahrzeugmodellen die Bewertung von R-AEB Systemen in Anlehnung an die RCAR-Testprozedur durch. In dem Beitrag wird der RCAR-Test vorgestellt und das Bewertungsverfahren aufgezeigt. Zudem werden Erkenntnisse zu den grundlegenden Fähigkeiten ultraschallbasierter Einparkhilfen aus mehreren Testreihen dargestellt und diskutiert. 1 Relevanz von Park- und Manövrierunfällen für die Versicherungswirtschaft Aktuelle Untersuchungen mehrerer RCAR-Mitglieder (Research Council for Automobile Reparaturen) und RCAR-Partner zeigen, dass in den letzten Jahren die Relevanz von Park- und Manövrierunfällen in vielen RCAR-Mitgliedsstaaten gestiegen ist [1]. Um die Bedeutung von Schäden durch Park- und Manövrierunfälle zu quantifizieren, haben verschiedene internationale Mitglieder der RCAR P-Safe-Arbeitsgruppe ihre Versicherungsdaten analysiert. Folgende Aspekte sollten näher untersucht werden: • Bedeutung von Park- und Manövrierunfällen mit Blick auf Schadensersatzansprüche aus Haftpflicht und Kasko (z. B. Häufigkeit, Schadendurchschnitt). • Typische Unfallmerkmale (z. B. Ort, Fahrmanöver, Unfallgegner, Lichtverhältnisse). • Anforderungen an Fahrerassistenzsysteme, um typische Park- und Manövrierunfälle vermeiden zu können oder deren Folgen zumindest zu vermindern. Obwohl durch die verschiedenen RCAR-Mitglieder unterschiedliche Datengrundlagen ausgewertet wurden, ähneln sich die Ergebnisse für Australien, Deutschland, Korea, Japan, Schweden, Großbritannien und den USA. So zeigt sich die hohe Relevanz von Park- und Manövrierunfällen z. B. darin, dass sie 15 bis 40 % aller den Versicherer gemeldeten Schadenfälle ausmachen und auf sie 10 bis 30 % der gesamten Schadenkosten entfallen. Eine detaillierte Auswertung zeigt zudem, dass sich 60 bis 80 % der Park- und Manövrierunfälle beim Rückwärtsfahren ereignen. Angestoßene Hindernisse waren in den meisten Fällen andere Fahrzeuge (55 bis 80 %), Masten bzw. Pfosten und Wände. Für Deutschland wurden Untersuchungen des AZT (Allianz Zentrum für Technik) und der UDV (Unfallforschung der Versicherer) herangezogen [1]. Die vom AZT ausgewertete Datengrundlage bildeten 983 Kasko- und 1.000 Kfz- Haftpflichtfälle mit nur Sachschaden, die sich in Deutschland im Jahre 2011 ereigneten und der Allianz gemeldet wurden. Die Auswertung zeigte, dass 44 % der Haftpflicht- und 39 % der Kaskofälle Park- und Manövrierunfälle waren. Insgesamt machten diese Schäden etwa 30 % des gesamten Schadenbedarfes aus. Die durchschnittlichen Schadenkosten für Park- und Manövrierunfälle lagen bei 1.698 € in der Kfz-Haftpflicht und 2.130 € in der Kaskoversicherung. Auffällig war der große Anteil der Fälle, in denen der versicherte Pkw rückwärtsfuhr. Er lag in der Kfz-Haftpflicht bei 83 % und bei der Kaskoversicherung bei 73 %. Ein Vergleich der Daten aus dem Jahr 2011 mit denen aus 2004 bzw. 2007 zeigte eine deutliche Erhöhung der Rele- 2 <?page no="15"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff vanz von Park- und Manövrierunfällen sowohl hinsichtlich der Häufigkeit, als auch der Kosten (Anstieg um mehr als 20 %) In der Untersuchung der UDV wurden 219 Kasko- und 345 Kfz-Haftpflichtfälle mit nur Sachschaden analysiert, die sich in Deutschland in den Jahren 2004 bis 2006 sowie 2012 ereigneten. Es zeigte sich, dass 39 % der Haftpflicht- und 47 % der Kaskofälle Park- und Manövrierunfälle waren. Aus diesen Kollisionen resultierten in der Haftpflicht etwa 30 % und in der Kasko 35 % der gesamten Schadenkosten. Die durchschnittlichen Schadenkosten lagen bei 1.632 € in der Kfz-Haftpflicht und 1.607 € in der Kaskoversicherung. Der Anteil der Fälle, in denen der versicherte Pkw rückwärtsfuhr, lag in der Kfz-Haftpflicht bei 79 % und bei der Kaskoversicherung bei 60 %. Unabhängig von RCAR, hat die HUK-Coburg - mit über elf Millionen versicherten Fahrzeugen größter deutscher Autoversicherer nach Stückzahlen - Parkschäden ihres Fahrzeugbestands analysiert [2]. Demnach kosten in Deutschland die jährlich zwei Millionen Parkschäden insgesamt 3,5 Mrd. €. Der Anteil von Parkschäden an den gesamten Sachschäden wird mit 25 % beziffert. Die Häufigkeit von Parkschäden ist für den betrachteten Fahrzeugbestand in den letzten Jahren nicht gesunken; die Schadenkosten jedoch leicht gestiegen. Eine weitere Studie, die u.a. die Wirkung von Parkassistenzsystemen untersucht hat, stammt vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Das Ziel der Studie bestand darin, ein ebenso realistisches und fundiertes Bild der zu erwartenden Auswirkungen des assistierten und automatisierten Fahrens zu erarbeiten [3]. Die Analyse und ihre Voraussage für den Einfluss auf die Schadenentwicklung bis in das Jahr 2035 ergab u.a., dass Park- und Rangierassistenten bei den Kaskoschäden die mit Abstand höchste Relevanz haben (16 %). Bei den Kfz- Haftpflichtschäden wird Park- und Rangierassistenzsystemen (nach dem Notbremsassistenten) der zweitgrößte Nutzen bescheinigt. Die tatsächlich erwartbare Reduktion wird je nach Ausstattungsrate der Fahrzeugflotte (zwischen 37 und 78 %) mit 4 bis 8 % in Bezug auf alle Unfälle prognostiziert. Indirekt lässt sich der Studie entnehmen, das Parkschäden im Jahr 2015 in Deutschland die Versicherer 3,8 Mrd. € gekostet haben. Zusammengefasst kommen unterschiedliche Analysen übereinstimmend zu dem Ergebnis, dass trotz der aktuell hohen Verbaurate von Einparkhilfen aktuell kein Rückgang bei Parkschäden zu verzeichnen ist. Darüber hinaus zeigt sich, dass die Schadenkosten sogar angestiegen sind. Als Grund hierfür werden zusätzliche Kosten für die Reparaturen im Zusammenhang mit Sensoren von Fahrerassistenzsystemen genannt. Vor diesem Hintergrund zeigt der folgende Beitrag die Fähigkeiten von aktuell in Pkw verbauten Einparkhilfen hinsichtlich der Erkennung und rechtzeitigen Warnung vor Hindernissen auf. Darüber hinaus wird ein neues RCAR-Verfahren zur Bewertung von Parkassistenzsystemen mit selbstständigem Bremseingriff bei Rückwärtsfahrt (Reverse Autonomous Emergency Braking; abgekürzt R-AEB) vorgestellt. 3 <?page no="16"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff 2 Parkassistenzsysteme Fahrzeughersteller bieten eine Vielzahl verschiedener Assistenzsysteme zur Vermeidung von Park- und Manövrierkollisionen an. Nachfolgend werden die wichtigsten derzeit bekannten und eingesetzten Technologien kurz beschrieben. Die älteste und am weitesten verbreitete Technologie zur Vermeidung von Park- und Manövrierunfällen ist die ultraschallbasierte Abstandwarnung mit akustischer Warnung und/ oder visueller Anzeige (im Folgenden Einparkhilfe genannt). Die Einparkhilfe misst mittels Ultraschallsensoren bei geringen Fahrgeschwindigkeiten den Abstand zu Hindernissen und informiert den Fahrer über das Ergebnis. Gemäß [4] ist aktuell etwa jeder zweite Pkw des gesamten Pkw-Bestandes in Deutschland mit einer derartigen Einparkhilfe ausgestattet. Der Park-Assistent basiert auf der Einparkhilfe und erkennt in Vorbeifahrt geeignete Parklücken (in der Regel durch Ultraschallsensoren, teilweise zusätzlich mit Nahbereichsradarsensoren). Bei Bedarf parkt das Fahrzeug durch Lenken selbstständig ein oder aus. Neuere Systeme beschleunigen und bremsen beim Parken automatisch. Eine Rückfahrkamera zeigt dem Fahrer den Bereich hinter einem Fahrzeug in Form eines farbigen und dynamischen Bildes auf einem Bildschirm (z. B. im Infotainment- Display) an. Zusätzlich können unterstützende Informationen, z. B. prognostizierter Fahrschlauch bei momentanen Lenkwinkel, angezeigt werden. Die Funktion Umfeldkamera zeigt auf einem Bildschirm die Fahrzeugumgebung an. Grundlage bildet meist die Rückfahrkamera, welche um Kameras in den Gehäusen der Außenspiegel und teilweise auch durch eine zusätzliche Kamera in der Frontverkleidung ergänzt wird. R-AEB-Systeme erkennen während des Park- oder Manövriervorgangs eine Kollisionsgefahr und leiten automatisch eine Notbremsung ein, um einen Aufprall zu vermeiden oder die Folgen zu mindern. 3 Tests von Parkassistenzsystemen Um Fähigkeiten von Parkassistenzsystemen möglichst realistisch beurteilen zu können und somit die Entwicklung des RCAR R-AEB-Testverfahrens zu unterstützen, wurden im KTI verschiedene Testreihen durchgeführt. In einer ersten Versuchsreihe wurde quasistatisch untersucht, in welchen Bereichen vor und hinter dem Fahrzeug durch Ultraschallsensoren Hindernisse erkannt werden. In einer darauffolgenden zweiten Testreihe wurde die Reaktionsfähigkeit von ultraschallbasierten Einparkhilfen dynamisch getestet. In einer dritten Versuchsreihe werden gegenwärtig Parkassistenzsysteme mit selbstständigem Bremseingriff (R-AEB-Systeme) aktueller Pkw- Modelle in Anlehnung an das RCAR-Prozedere getestet. 3.1 Detektionsbereiche ultraschallbasierter Einparkhilfen In Anlehnung an die ISO 17386 ("MALSO - Leistungsanforderungen und Testverfahren für Manövrierhilfen im Niedergeschwindigkeitsbetrieb") wurden an fünf unter- 4 <?page no="17"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff schiedlichen Fahrzeugen (Audi A8, Skoda Octavia, Suzuki Swift, VW Passat und VW T5) die Erfassungsbereiche der ultraschallbasierten Einparkhilfe ermittelt. Hierfür wurden die Testfahrzeuge auf einem rechteckigen Testfeld mit einer Breite von 160 cm und einer Länge von 260 cm positioniert. Das Testfeld wurde in 416, jeweils 10 x 10 cm große, Quadrate aufgeteilt. Die Versuchsfahrzeuge wurden mit der am weitesten vorn bzw. hinten befindlichen Bauteilfläche an der Nulllinie positioniert (Abbildung 1 links und 2). Damit nicht nur Bereiche vor und hinter dem Fahrzeug untersucht werden, sondern auch seitlich neben den Stoßfängerflanken, befindet sich die Nulllinie bei 50 cm Länge. Demnach überdeckt das Fahrzeug auf einer Länge von 60 cm das Testfeld. Aufgrund unterschiedlicher Größen und Formen variiert die effektive Testfeldgröße je nach Fahrzeug. Die effektive Testfeldgröße ergibt sich durch abziehen der vom Fahrzeug überdeckten Fläche von der gesamten Testfläche. Abbildung 1: Versuchsaufbau mit Testfeld Zur quantitativen Bewertung des Detektionsbereiches der Einparkhilfe wurde das Verhältnis zwischen Anzahl der Quadranten mit erkannten Hindernis zur Größe der effektiven Testfläche herangezogen (im Folgenden Detektionsrate genannt). Als Hindernisse kamen drei Poller mit verschiedenen Höhen (70 cm, 50 cm und 30 cm) und einem Durchmesser von jeweils 7,5 cm zum Einsatz, welche mittig in den Quadraten positioniert wurden (Abbildung 1). Mit dem größten Abstand beginnend, wurden die Hindernisse quadratweise (in 10 cm-Schritten) an das Versuchsfahrzeug angenähert und für jeden Quadranten dokumentiert, ob eine akustische Warnung durch die Einparkhilfe erfolgte. Das Ergebnis zeigt beispielhaft Abbildung 2. Darin sind Quadrate, in denen eine Warnung erfolgte grün dargestellt. Rot sind diejenigen Positionen des Hindernisses dargestellt, in denen keine Warnung erfolgte. Zur Verringerung des Messaufwandes und unter der Annahme, dass die Einparkhilfe - bezogen auf die Fahrzeuglängsachse - symmetrisch arbeitet, wurde an Heck und Front jeweils nur eine Seite betrachtet. 50 cm 70 cm 30 cm Ø = 7,5 cm x y Nulllinie 5 <?page no="18"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff Abbildung 2: Ergebnisdarstellung der statischen Versuche Abbildung 3 zeigt die Leistungsfähigkeit der ultraschallbasierten Parkhilfe in Abhängigkeit von der Hindernishöhe beispielhaft für ein getestetes Fahrzeug. Es wird deutlich, dass die Hinderniserkennung mit abnehmender Objekthöhe verschlechtert. Insbesondere das 30 cm hohe Hindernis wird nur sporadisch erkannt. Es wird zudem deutlich, dass - in Abbildung 3 rechts hinter dem Fahrzeug - blinde Bereiche hinsichtlich der Hinderniserkennung existieren. Es fällt weiterhin auf, dass nach hinten orientierte Sensoren am Fahrzeugheck Hindernisse in einer größeren Entfernung detektieren als nach vorn gerichtete Sensoren. Abbildung 3: Detektionsbereich der Einparkhilfe in Abhängigkeit der Hindernishöhe Abbildung 4 zeigt für verschiedene Fahrzeugmodelle jeweils die Erkennung eines 70 cm hohen Hindernisses auf der rechten Seite hinter dem Heck. In den Tabellen 1 und 2 sind die entsprechenden Zahlenwerte zur quantitativen Bewertung (Detektionsrate) der jeweiligen Einparkhilfe an der Front und am Heck ersichtlich. Es zeigt sich, dass die Erkennungsfähigkeiten von Einparkhilfen verschiedener Fahrzeugmodelle stark variieren. y 0 0 70 cm 30 cm 50 cm 6 <?page no="19"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff Abbildung 4: Detektionsbereich der Ultraschallsensoren am Heck verschiedener Fahrzeugmodelle Tabelle 1: Ergebnisse der Hindernisserkennung an der Front Tabelle 2: Ergebnisse der Hindernisserkennung am Heck Die Detektionsraten der ultraschallbasierten Parkhilfen in Abhängigkeit von der Hindernishöhe zeigt zusammengefasst für die getesteten Fahrzeuge Abbildung 5. Es zeigt sich auch hier - modellübergreifend - die ungenügende Erkennung von niedrigen (z. B. 30 cm hohen) Hindernissen. VW T5 (7H) VW Passat (3C36) Suzuki Swift (FZ/ NZ) Skoda Octavia (5E) Audi A8 (D4/ 4H) 45 % 47 % 28 % 37 % 50 % Kennwert Anzahl Sensoren - vom Fzg. bedeckte Felder - spez. Testfeldgröße - - Hindernishöhe 70 50 30 70 50 30 70 50 30 Detektierte Felder (absolut) 112 122 6 133 95 21 - - 146 101 2 Detektierte Felder (relativ) 31% 33% 2% 36% 26% 6% - - 39% 27% 1% 374 365 370 4 4 4 50 46 42 Audi A8 (D4/ 4H) VW T5 (7H) Skoda Octavia (5E) Suzuki Swift (FZ/ NZ) VW Passat (3C36) Kennwert Anzahl Sensoren vom Fzg. bedeckte Felder spez. Testfeldgröße Hindernishöhe 70 50 30 70 50 30 70 50 30 70 50 30 70 50 30 Detektierte Felder (absolut) 165 138 10 180 138 10 175 172 15 101 146 10 138 11 7 Detektierte Felder (relativ) 45% 37% 3% 50% 38% 3% 47% 46% 4% 28% 40% 3% 37% 3% 2% 45 50 46 370 4 VW Passat (3C36) 369 359 371 366 4 4 4 4 Audi A8 (D4/ 4H) VW T5 (7H) Skoda Octavia (5E) Suzuki Swift (FZ/ NZ) 47 57 7 <?page no="20"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff Abbildung 5: Detektionsrate der Ultraschallsensoren an Front und Heck in Abhängigkeit der Hindernishöhe Zusammengefasst ergeben sich aus den Versuchen zu den Erfassungsbereichen ultraschallbasierter Einparkhilfen in einem statischen Testaufbau folgende wichtige Erkenntnisse: • Rückwärts orientierte Sensoren zeigen eine weiter reichende Hinderniserkennung als nach vorn gerichtete Sensoren. • Die Hinderniserkennung verbessert sich mit zunehmender Objekthöhe. • Einige Fahrzeuge weisen "blinde Flecken" im Erfassungsbereich auf. 3.2 Reaktionsfähigkeiten ultraschallbasierter Einparkhilfen Eine weitere Testreihe des KTI beschäftigte sich mit der Reaktionsfähigkeit von Einparkhilfen mit Ultraschallsensoren in dynamischen Szenarien. Im Rahmen der dynamischen Versuche wurden ausschließlich qualitative technische Aspekte untersucht, jedoch keine quantitativen Vergleiche (z. B. Benchmarks). In Anlehnung an das RCAR Reverse AEB Verfahren fuhren drei verschiedene Fahrzeuge (Audi A8, BMW 3er, VW Passat) aus einer Startposition in 2 m und 6 m Entfernung auf unterschiedliche Hindernissen (Poller, Säule) zu. Darüber hinaus wurden die Positionen der Hindernisse variiert ("zentriert" oder "40 cm versetzt"). Die Ausrichtung der rechteckigen Säule wurde ebenfalls verändert (0 ° und 45 °). Als Bewertungskriterien für die Hinderniserkennung wurde der Zeitpunkt der akustischen Rückmeldung der Parkhilfe herangezogen. Abbildung 6 zeigt die verschiedenen Testaufbauten für die Front- und Heck-Szenarien. Abbildung 6: Testaufbau für dynamische Versuche 35% 29% 3% 41% 33% 3% 0% 10% 20% 30% 40% 50% 60% 70 50 30 Front Heck Hindernishöhe [cm] Detektionsrate 2 m 6 m Hindernisse Poller Säule rückwärts vorwärts 45° 45° 0° 8 <?page no="21"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff Abbildung 7 zeigt die Ergebnisse für die Untersuchung der vorderen und hinteren Ultraschallsensoren mit dem Poller als Hindernis in verschiedenen Positionen. Insbesondere bei der Abstandswarnung durch die vorderen Sensoren zeigen sich zwischen den einzelnen Fahrzeugen zum Teil deutliche Unterschiede. Die Detektionsreichweiten liegen für die vorderen Ultraschallsensoren bei bis zu 80 cm. Bei den hinteren Sensoren liegt die Reichweite deutlich höher, bei einigen Fahrzeugen bei bis zu 150 cm. Die Ergebnisse hinsichtlich der Erkennung von Pollern im dynamischen Testaufbau entsprechen den Ergebnissen der Poller-Erkennung in den statischen Versuchen. Abbildung 7: Testergebnisse der dynamischen Versuche mit Poller Tests zur Erkennung der rechteckigen Säule zeigten heterogene Ergebnisse sowohl für Vorwärtsals auch die Rückwärtsfahrt. So ist die Erkennung bei Vorwärtsfahrt für 0° ausgerichtete Säulen in 2 m und 6 m Abstand (sowohl mittig vor dem Fahrzeug als auch in Offsetposition) vergleichbar mit den Ergebnissen aus den Versuchen mit dem Poller als Hindernis. Dagegen variiert die Erkennung der um 45° gedrehten Säule bei allen Testfahrzeugen sehr stark in Abhängigkeit vom Abstand und der Position des Hindernisses. Abbildung 8 fasst die Ergebnisse für die Erkennung einer Säule vor dem Fahrzeug zusammen. Demnach ist die Hinderniserkennung auch bei Säulen gut solange die Ausrichtung 0° beträgt, also dem Fahrzeug eine ebene Fläche zugewandt ist und die Ultraschallsignale optimal reflektiert werden. Ist die Säule dagegen um 45° verdreht, verschlechtert sich die Hinderniserkennung für alle getesteten Fahrzeuge deutlich. Daraus resultiert eine mangelhafte Reaktionsfähigkeit unabhängig von der Entfernung zum Hindernis. 78 67 58 38 150 135 110 98 24 18 0 0 110 118 0 48 76 74 78 66 135 126 112 87 0 20 40 60 80 100 120 140 160 Audi A8 (4H) BMW 3 Series (F30) VW Passat (3C) 6 m 6 m 2 m 6 m 6 m 2 m Front Heck 2 m 2 m Detektionsentfernung [cm] Min / Max BMW 3er (F30) 9 <?page no="22"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff Abbildung 8: Ergebnisse der dynamischen Versuche mit rechteckiger Säule Zusammengefasst ergaben die dynamischen Versuche mit Blick auf die Erkennung von Poller und Säule folgende Erkenntnisse: • Die Erkennung von Pollern und rechteckigen Säulen (mit einer 0°- Ausrichtung) im dynamischen Testaufbau entspricht den Ergebnissen aus den statischen Versuchen. • Rückwärts orientierte Sensoren zeigen eine bessere Hinderniserkennung als nach vorn gerichtete Sensoren. • Säulen werden besser detektiert, wenn sie seitlich zur Fahrzeuglängsachse versetzt sind; bei Pollern wenn sie sich mittig vor oder hinter dem Fahrzeug befinden. • Die Erkennung von Säulen verschlechtert sich, wenn die ebenen Flächen von den Sensoren abgewandt sind (45° am ungünstigsten). Besonders ausgeprägt ist dieser Effekt bei den hinteren Sensoren. 3.3 RCAR-Prozedere zur Beurteilung selbstständig bremsender Parkassistenzsysteme (R-AEB) Auf Grundlage verschiedener statistischer Analysen wurde von RCAR ein Prozedere zur Beurteilung selbstständig bremsender Parkassistenzsysteme bei Rückwärtsfahrt (R-AEB) erarbeitet und veröffentlicht. Darin wurden in Anlehnung an das reale Unfallgeschehen verschiedene Szenarien mit unterschiedlichen Abständen, Hindernisarten und Fahrmanövern berücksichtigt. Daraus ergeben sich je nach betrachteten Hindernis drei grundsätzlich verschiedene Szenarien: • Poller (car-to-bollard). • Säule (car-to-pillar). • Fahrzeug (car-to-car). Das Verfahren zielt auf eine beschleunigte Ausstattung möglichst vieler Fahrzeuge mit wirksamen R-AEB-Systemen ab. Wirksam meint, dass im realen Verkehrsgeschehen möglichst viele Kollisionen verhindert oder zumindest abgeschwächt wer- 84 8 84 16 68 5 38 18 84 78 70 66 85 68 70 25 32 12 43 32 0 0 0 0 0 20 40 60 80 100 120 140 160 Audi A8 (4H) VW Passat (3C) BMW 3 Series (F30) Front 2 m 2 m 6 m 6 m Min / Max Detektionsentfernung [cm] BMW 3er (F30) 10 <?page no="23"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff den. Detaillierte Definitionen, Hindernisbeschreibungen und notwendige Fahrzeugvorbereitungen und Testumgebungen finden sich in [5]. 3.3.1 RCAR-Test "car-to-bollard" Beim RCAR-Test "car-to-bollard" wird jeweils aus den Abständen von 2 m und 6 m rückwärts geradeaus auf das Hindernis (Poller) zugefahren. Das Hindernis mit einer Höhe von 100 cm und einem Durchmesser zwischen 10 und 13 cm ist entweder mittig zur Längsachse oder um 40 cm zur äußersten Fahrzeugkante nach innen versetzt positioniert (Abbildung 9). Aus den unterschiedlichen Anfahrabständen und Positionierungen zur Fahrzeuglängsachse ergeben sich für den "car-to-bollard-Test" insgesamt vier verschiedene Versuchsaufbauten. Abbildung 9: Versuchsaufbau für RCAR-Test „Car-to-bollard“ 3.3.2 RCAR-Test "car-to-pillar" Die Durchführung des "car-to-pillar"-Szenarios erfolgt analog zum "car-to-bollard" Test (Abbildung 10). Abweichend wird als Hindernis jedoch eine rechteckige Säule eingesetzt, welche derart angeordnet ist, dass eine Ecke auf das Fahrzeug ausgerichtet ist (45°-Ausrichtung). Die Höhe der Säule ist mit 200 cm vorgegeben, die Kantenlänge beträgt zwischen 45 und 55 cm. Abbildung 10: Versuchsaufbau für RCAR-Test „car-to-pillar“ 3.3.3 RCAR-Test "car-to-car" Das für die Tests verwendete - und ein Fahrzeug darstellende - Hindernis soll hinsichtlich radar- und lichtreflektierender Eigenschaften sowie der optischen Signatur einem realen Pkw entsprechen. Empfohlen wird von RCAR das Global Vehicle Target (GVT), welches ebenfalls bei EuroNCAP zur Bewertung von Notbremssystemen verwendet wird. Die Versuche mit einem Fahrzeug-Target gliedern sich in drei Versuchskonstellationen (im Folgenden “test set-ups” genannt): Testfahrzeug Hindernis (Poller) 40 cm Testfahrzeug Hindernis (Säule) 40 cm 11 <?page no="24"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff • Die Längsachsen des Testfahrzeugs und des Car-Targets sind parallel ausgerichtet. Die Überdeckung beträgt 40 cm, gemessen von der Fahrzeugaußenkante (Abbildung 11). • Der Winkel zwischen den Längsachsen des Testfahrzeugs und des Car- Targets beträgt 45°. Die hintere Ecke des Testfahrzeugs befindet sich in Kollisionsstellung mittig am Heck des Car-Targets (Abbildung 12). • Der Winkel zwischen den Längsachsen des Testfahrzeugs und des Car- Targets beträgt 10°. Die hintere Ecke des Testfahrzeugs befindet sich an der B-Säule des Car-Targets (siehe Bild 13). Abbildung 11: Versuchsaufbau für RCAR-Test “car-to-car” (test set-up 1) Abbildung 12: Versuchsaufbau für RCAR-Test “car-to-car” (test set-up 2) Abbildung 13: Versuchsaufbau für RCAR-Test “car-to-car” (test set-up 3) Die Abbildungen 11 bis 13 zeigen die hintere rechte Ecke des Testfahrzeugs im Kontakt mit dem Car-Target. Während der Versuchsdurchführung kann die Orientierung Hindernis („car-target“) 40 cm Testfahrzeug Hindernis („car-target“) Testfahrzeug Hindernis („car-target“) Testfahrzeug 12 <?page no="25"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff jedoch frei gewählt werden. Die “car-to-car” Szenarien werden mit drei unterschiedlichen Fahrmanövern gefahren (Abbildung 14): • Rückwärts, geradeaus. • Rückwärts mit maximalen Lenkeinschlag nach rechts. • Rückwärts mit maximalen Lenkeinschlag nach links. Bei Fahrzeugen die mit einer hydraulischen Servolenkung ausgestattet sind, ist es zulässig, den Test mit etwas weniger als dem maximalen Lenkeinschlag durchzuführen, um eine Beschädigung des Lenksystems zu vermeiden. Abbildung 14: Fahrmanöver und Anfahrabstände für RCAR-Test “car-to-pillar” Hinsichtlich der Ausgangsposition des Testfahrzeugs wird in zwei Anfahrabstände unterschieden: • Beim kurzen Anfahrweg wird beim geradaus rückwärts Fahren 2 m vor dem Kollisionspunkt gestartet. Für das Fahrmanöver mit maximalen Lenkeinschlag wird die Startposition derart gewählt, dass das Testfahrzeug bis zur Kollisionsstellung einen 30°-Bogen durchfährt. Durch diese Beschleunigungs-strecken soll eine Fahrgeschwindigkeit des Testfahrzeugs von 3 km/ h (+ 1) erreicht werden. • Beim langen Beschleunigungsweg wird beim geradaus rückwärts Fahren 6 m vor dem Kollisionspunkt gestartet. Für das Fahrmanöver mit maximalen Lenkeinschlag wird die Startposition derart gewählt, dass das Testahrzeug bis zur Kollisionsstellung einen 90°-Bogen durchfährt. Durch diese Beschleunigungsstrecken soll eine Fahrgeschwindigkeit des Testfahrzeugs von 6 km/ h (+ 1) erreicht werden. Durch die Kombination der verschiedenen Testszenarien, Fahrmanöver und Anfahrabstände ergeben sich bei den “car-to-car” Versuchen insgesamt 18 Varianten: Testfahrzeug Lenkeinschlag nach rechts Lenkeinschlag nach links Geradeaus rückwärts 13 <?page no="26"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff • Drei Szenarien (längsparallel, 45°, 10°). • Drei Fahrmanöver (geradeaus, Linhsbogen, Rechtsbogen). • Zwei Anfahrabstände (Beschleunigungswege: 2 m bzw 30° und 6 m bzw. 90°). 3.3.4 Bewertung der RCAR-Tests Der Test ist beendet, wenn das Testfahrzeug entweder gegen das Hindernis stößt oder durch eine selbstständige Bremsung vorher zum Stillstand kommt. Bremst das Testfahrzeug automatisch ab und verhindert so eine Kollision, werden für weitere 2 Sekunden Daten unmittelbar nach dem automatischen Bremsen aufgezeichnet, um die Reaktion des Testfahrzeugs zu dokumentieren. Das Ergebnis für einen Test ist entweder: • Bestanden: Eine Kollision mit dem Hindernis wurde durch R-AEB vermieden. • Nicht bestanden: Eine Kollision wurde durch R-AEB nicht vermieden. Als nicht bestanden wird ein Test auch dann bewertet, wenn die Geschwindigkeit reduziert wurde. Jeder Test wird zunächst zweimal durchgeführt. Das Gesamtergebnis setzt sich aus beiden einzelnen Ergebnissen zusammen. Sind die Ergebnisse der beiden Tests ungleich, wird ein dritter Test durchgeführt, dessen Ergebnis das Gesamtergebnis bildet. Wird der erste Test bspw. mit “bestanden” gewertet, der zweite dagegen mit “nicht bestanden”, so wird ein dritter Test durchgeführt. Ist das Ergebnis des dritten Tests “bestanden”, so ist auch der gesamte Test bestanden. Wurde der dritte Test dagegen “nicht bestanden”, so ist auch der gesamte Test “nicht bestanden” (Abbildung 15). Die Bewertung eines Testfahrzeug nach diesem Schema zeigt beispielhaft Tabelle 3. Abbildung 15: Bewertungsschema des RCAR-Testprozederes 3.3.5 Durchführung von RCAR-Tests im KTI Die Durchführung der R-AEB Tests erfolgt im KTI wetterunabhängig in einer speziell vorbereiteten Testhalle. So ist für ein genaues und zügiges Positionieren des Testfahrzeugs und der Hindernisse ein präzises Raster auf dem Boden aufgebracht. Bei der Durchführung der Versuche mit verschiedenen Fahrzeugen fiel die teilweise sehr nicht bestanden bestanden bestanden bestanden nicht bestanden nicht bestanden nicht bestanden bestanden bestanden bestanden nicht bestanden bestanden nicht bestanden nicht bestanden bestanden nicht bestanden nicht bestanden nicht bestanden bestanden nicht bestanden bestanden bestanden 14 <?page no="27"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff unterschiedliche Bedienung (bspw. hinsichtlich der Aktivierung bzw. eigenständigen Deaktivierung) einzelner Parkassistenzsysteme auf. Vor Testbeginn werden daher sämtliche Einschaltbedingungen gemäß Bedienungsanleitung in einer Checkliste aufgeführt. Durch Abarbeiten dieser Checkliste wird sichergestellt, dass die Notbremsfunktion des Parkassistenzsystems bei den Versuchen tatsächlich aktiviert ist. Abbildung 16: Halle zur Durchführung der RCAR-Test Zum Schutz vor Schäden bei nicht vermiedenen Kollisionen werden die Testfahrzeuge in den Kontaktzonen mit schützendem Material verkleidet (Abbildung 16). Hierbei ist unbedingt zu beachten, dass keine - auch von außen nicht sichtbaren - Sensoren abgedeckt werden. Abbildung 17: Vorbereitetes Testfahrzeug Tabelle 3: Bewertung der Versuche Datum Uhrzeit Szenario Manöver Bereich Test 1 Test 2 Test 3 Ergebnis 07.03. 14: 10 2 m fail pass fail fail 14: 13 6 m fail pass fail fail 14: 32 2 m pass pass pass 14: 38 6 m pass fail pass pass 15: 10 2 m fail fail fail 14: 59 6 m fail fail fail gerade rückwärts C2C 0.40 m overlap C2C 45° centre C2C 10° B-Pillar 15 <?page no="28"?> 1.1 RCAR-Test zur Bewertung von Parkassistenzsystemen mit Bremseingriff 4 Zusammenfassung und Ausblick Die Weiterentwicklung von Parkassistenzsystemen hat in den letzten Jahrzehnten zu gestiegenen Erwartungen geführt - auch mit Blick auf die Vermeidung von Park- und Manövrierunfällen. Insbesondere die Vermeidung von leichten Kollisionen lässt sich jedoch bis heute in Analysen des realen Unfallgeschehens nicht zeigen. Der internationale Forschungsverbund RCAR hat deshalb das reale Unfallgeschehen mit Blick auf Park- und Manövrierunfällen detailliert ausgewertet und daraus Testszenarien für Parkassistenzsysteme mit automatischer Notbremsfunktion abgeleitet. Ziel ist eine möglichst durchgängige Ausstattung von Fahrzeugen mit wirksamen - d.h. Schadenkosten reduzierenden - Parkassistenzsystemen. Das KTI hat die Entwicklung der RCAR-Tests begleitet und zur Untersuchung der Leistungsfähigkeit verschiedener Parkassistenzsysteme mehrere Versuchsreihen durchgeführt. Dabei zeigte sich, dass die Leistungsfähigkeit von Einparkhilfen (mit ausschließlich warnender Funktion ohne Bremseingriff) im Hinblick auf die Hinderniserkennung eine große Bandbreite zwischen den untersuchten Fahrzeugen aufweist. Aktuell werden im KTI verschiedene Pkw-Modelle mit R-AEB-Systemen (automatischer Notbremsfunktion des Parkassistenzsystems) in Anlehnung an das RCAR-Testprozedere getestet und bewertet. In Zukunft wird das RCAR-Testverfahren weiterentwickelt werden und sich dabei auch weiterhin am realen Unfallgeschehen orientieren. Literatur [1] RCAR: Position paper regarding parking and manoeuvring accidents [2] HUK-Coburg Pressemitteilung: Einparkhilfen mindern Schäden noch nicht, 26.4.2017 verfügbar unter: https: / / www.huk.de/ presse/ nachrichten/ aktuelles/ einparkhilfen.html [3] GDV: Automatisiertes Fahren - Auswirkungen auf den Schadenaufwand bis 2035 [4] DAT-Report 2017 [5] RCAR: Procedure for assessing the performance of Reverse Autonomous Emergency Braking (R-AEB) systems in rear collisions, Version 1.0, January 2017, verfügbar unter: http: / / www.rcar.org/ Papers/ MemberPapers/ Reverse%20AutoBrake%20Test%2 0Procedure.pdf 16 <?page no="29"?> 1.2 Monetary Effectiveness Assessment of Driver Assistance Systems in the Field of Parking and Maneuvering / Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Julian Schatz, Philip Feig, Johann Gwehenberger, Marcel Borrack, Rolf Behling, Markus Lienkamp Abstract Due to growing equipment rates and increasing functional scopes, advanced driver assistance systems (ADAS) are progressively influencing traffic accidents. A reduction in the severity of accidents or a complete avoidance of damages reveal the benefit of respective systems, which may be returned directly to the customer, e.g. through individually adapted insurance rates. To do so, a prospective effectiveness assessment of driver assistance systems, which makes it possible to evaluate future systems on a monetary basis, is needed. In this paper, a monetary effectiveness assessment methodology of driver assistance systems in the area of parking and maneuvering, which according to research results constitute a significant part of motor own damage collisions, is presented. An indepth accident database, created by Allianz Center for Technology (AZT), Allianz Automotive Innovation Center (AIC), Technical University of Munich (TUM) and AUDI AG, is used as basis for the analysis. Real world accidents that are frequently occurring and monetarily relevant are bundled in test scenarios depending on the accident kinematics. ADAS are successively tested within the test scenarios for accident avoidance potential in both simulation and real tests in a speed-dependent manner. For this analysis motor own damage collision cases, but also corresponding third party liability cases, are included in the assessment. The results of the assessment methodology are presented and discussed by means of an exemplary, but realistic, emergency braking system for parking and maneuvering environments. Kurzfassung Durch voranschreitende Ausstattungsraten und zunehmende Funktionsumfänge nehmen Fahrerassistenzsysteme (FAS) verstärkt Einfluss auf das Verkehrsunfallgeschehen. Eine Minderung der Unfallschwere oder eine gänzliche Vermeidung von Schadenfällen ergeben den Nutzen jeweiliger Systeme, der direkt an den Kunden, beispielsweise durch individuell angepasste Versicherungstarife, zurückgegeben werden kann. Grundlage hierfür ist eine prospektive Effektivitätsbewertung von Fahrerassistenzsystemen, die es ermöglicht, zukünftige Systeme monetär zu bewerten. Im Rahmen dieses Papers wird eine hierfür notwendige monetäre Effektivitätsbewertungsmethodik von Fahrerassistenzsystemen im Bereich Parken und Rangieren, das 17 <?page no="30"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren laut Forschungsergebnissen einen bedeutenden Anteil der Vollkasko Kollisionsschäden ausmacht, vorgestellt. Basis stellt eine in-depth Unfallforschungsdatenbank von Versicherungsschäden dar, die durch Allianz Zentrum für Technik (AZT), Allianz Automotive Innovation Center (AIC), Technischen Universität München (TUM) und AUDI AG aufgebaut wird. Durch Analyse und Klassifizierung des Unfallgeschehens werden häufig auftretende bzw. monetär relevante Schadenabläufe in Testszenarien gebündelt und Fahrerassistenzsysteme in sowohl Simulation als auch Realtests geschwindigkeitsabhängig sukzessive auf deren Unfallvermeidungspotential getestet. Dabei fließen einerseits Vollkasko Kollisionsschäden aber auch korrespondierende Krafthaftpflichtschäden in die Bewertung ein. Die Ergebnisse der Bewertungsmethodik werden anhand eines fiktiven, aber realitätsgetreuen, Notbremssystems für Park- und Rangierszenarien dargestellt und diskutiert. 1 Einleitung Fahrzeuge, die mit Fahrerassistenzsystemen ausgestattet sind, können bereits in einer Vielzahl von kritischen Verkehrssituationen eine Minderung der Unfallschwere bzw. eine gänzliche Vermeidung von Unfällen erwirken. Versicherungen und Automobilhersteller können durch ein reduziertes Schadenaufkommen bzw. eine erhöhte Marktpenetration von Fahrzeugen mit Fahrerassistenzsystemen profitieren. Mittels einer monetären Effektivitätsbewertung des jeweiligen Fahrerassistenzsystems, können Kunden ferner durch innovativ schadenbedarfsangepasste Versicherungsprämien Vorteile erzielen, die wiederum den Verkauf von Fahrerassistenzsystemen bei Fahrzeugen allgemein und die Attraktivität des entsprechenden Versicherungsprodukts steigern. Laut Untersuchungen von Gschwendtner [1] treten in Deutschland Verkehrsunfälle mit ausschließlich Sachschaden etwa 42-mal häufiger auf, als Verkehrsunfälle mit Personenschaden. Innerhalb der Verkehrsunfälle ohne Personenschaden zeigen eigene Analysen [2, 3] von Versicherungsdaten eine große Relevanz von Park- und Rangierschäden. Hohe Ausstattungsraten informierender Fahrerassistenzsysteme im Bereich Parken und Rangieren (Einparkhilfe und Rückfahrkamera) bei Fahrzeugen der Luxusklasse lassen an einer uneingeschränkten Wirkungsweise zwischen Mensch und Fahrerassistenzsystem zweifeln [2]. Einen ähnlichen Trend beschreibt auch Gwehenberger [4]. Automatisch intervenierende Park- und Rangiersysteme könnten den potentiellen Unsicherheitsfaktor Mensch durch möglicherweise Überschätzung, Ablenkung oder Deaktivierung des Systems durch den Anwender reduzieren und ermöglichen eine Bewertung auf Basis der technischen Fähigkeiten des Systems. Im Rahmen dieses Papers soll eine monetäre Effektivitätsbewertung eines fiktiven, aber realitätsnahen intervenierenden Fahrerassistenzsystems für Park- und Rangierszenarien verschiedener Fahrzeugklassen durchgeführt und verglichen werden. Hierzu werden zunächst auf Basis einer Unfalldatenauswertung von Versicherungsdaten verschiedene Testprotokolle für Fahrerassistenzsysteme im Bereich Parken und Rangieren anhand definierter Anforderungen bzgl. einer Anwendbarkeit für eine monetäre Effektivitätsbewertung analysiert und bewertet. Des Weiteren wird die ei- 18 <?page no="31"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren gens entwickelte monetäre Bewertungsmethodik [2, 3] durch eine zusätzliche Berücksichtigung korrespondierender Krafthaftpflichtschäden erweitert. Ferner werden für die jeweiligen Fahrzeugklassen relevante Schadencharakteristika und -kinematiken für den Bereich Parken und Rangieren identifiziert und analysiert. 2 Stand der Wissenschaft 2.1 In-depth Unfallforschungsdatenbanken Grundlegende Voraussetzung zur Bestimmung der Effektivität von Fahrerassistenzsystemen sind Unfallforschungsdaten, die das gesamte Unfallgeschehen repräsentativ beschreiben. Diese ermöglichen eine Kategorisierung von Verkehrsunfällen und lassen somit ursachenspezifische Analysen hinsichtlich des Verkehrsunfallgeschehens zu. Können Schadenursache, Schadenablauf und -abbild statistisch erfasst werden, ermöglicht dies eine Auswertung hinsichtlich Fahrerassistenzsystemwirksamkeiten. Sind zudem Informationen bzgl. Reparaturkosten der einzelnen Schadenfälle beispielsweise durch Versicherungsakten bekannt, kann auch der entsprechende monetäre Nutzen ermittelt werden [2]. In Deutschland erfassen eine Vielzahl von Forschungseinrichtungen, Institutionen und Projekten Verkehrsunfalldaten, die für eine Bewertung von Fahrerassistenzsystemen verwendet werden könnte. Etwa 2,4 Millionen polizeilich gemeldete Verkehrsunfälle erfasst das Statistische Bundesamt (DESTATIS) jährlich [5]. Diese werden anhand der Verkehrsunfallanzeigen hinsichtlich Schadenschwere, Unfallursache, Unfallart und Unfalltyp ausgewertet und im Rahmen von amtlichen Statistiken veröffentlicht. Unfallforschungsdatenbanken wie GIDAS (German In-Depth Accident Study) oder AARU (Audi Accident Research Unit) erheben Schadendaten in einer zusätzlichen Datentiefe von bis zu 3.000 Parametern [6, 7]. Aufwendige technische Rekonstruktionen, Untersuchungen bzw. Befragungen durch Mediziner und gegebenenfalls Psychologen ermöglichen eine sehr genaue Nachbildung und Dokumentation des Unfallgeschehens. Damit ein Schadenfall in die Datenbanken von GIDAS oder AARU bzw. vom Statistischen Bundesamt aufgenommen wird, muss jedoch mindestens ein Personenschaden entstanden bzw. der Schadenfall polizeilich gemeldet worden sein. Diese Einschränkung führt zu einer Unterrepräsentierung von Schadenfällen ohne Personenschaden bzw. Schadenfällen ohne polizeilicher Meldung in Bezug auf das Gesamtunfallgeschehen. Eine Verwendung dieser Datenbanken für die Bewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren ist nicht zu empfehlen [2, 3]. Das Highway Loss Data Institute [8-12], Gschwendtner [13, 14] sowie Gwehenberger [4, 15] verwenden für die Bewertung von Fahrerassistenzsystemen Versicherungsschäden als Grundlage. Einer Versicherung liegen neben polizeilich gemeldeten Schadenfällen auch Schadenmeldungen vor, bei denen lediglich ein Sachschaden, auch ohne polizeiliche Meldung, entstanden ist. Zusätzliche beinhalten Schadenakten einer Versicherung einem den Schaden entsprechenden Schadenaufwand, sodass eine zusätzliche monetäre Bewertung ermöglicht wird. Weil gerade im Bereich Parken und Rangieren nur in seltenen Fällen Personenschäden oder polizeiliche Meldungen auftreten, eignet sich eine Versicherungsschadendatenbank besonders gut für eine monetäre Effektivitätsbewertung [2]. 19 <?page no="32"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren 2.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen In der Fachliteratur wird zwischen retrospektiven und prospektiven Effektivitätsbewertungsmethoden von Fahrerassistenzsystemen unterschieden [16, 17]. Dabei betrachtet eine retrospektive Fahrerassistenzsystembewertung bereits erhobene Unfallschadendaten und bewertet ein bereits am Markt etabliertes System durch einen Vergleich von Schadenfällen mit und ohne Systemausstattung. Eine prospektive Bewertung ermöglicht es zukünftige, noch nicht am Markt vertretene Systeme, zu bewerten. Hierzu werden ähnlich der retrospektiven Analyse Unfallschadendaten ausgewertet und mit durch Rekonstruktion bspw. mittels Simulation erzeugten Schadendaten mit entsprechender Fahrerassistenzsystemausstattung verglichen. Mit zunehmend unterschiedlichen Systemausprägungen wird es in der Zukunft besonders aus Versicherungssicht wichtig, auch Systeme bewerten zu können, die noch nicht am Markt vertreten sind. Dies kann unter anderem den Vorteil haben entsprechende Systeme bezüglich ihrer Effektivität bewerten zu können, um damit angepasste Tarifierungen in der Versicherungsprämie zeitgleich zum Markteintritt des jeweiligen Fahrzeugs anbieten zu können. Aufgrund offensichtlich geringer Effektivität informierender Park- und Rangiersysteme und bisher niedriger Marktpenetrationsraten automatisch intervenierender Systeme, muss eine Bewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren auf prospektiver Basis erfolgen. Hierzu wird in [2, 3] eine monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren auf Basis von Versicherungsdaten vorgeschlagen (Abbildung 1). Die Bewertungsmethodik unterscheidet sich dabei grundlegend von der Bewertungsmethodik nach Busch [16], weil eine Rekonstruktion von Versicherungsschadenfällen im Rahmen der prospektiven Bewertung aufgrund großer Fallanzahlen mit teilweise geringer Datenqualität, niedrigen Kollisionsgeschwindigkeiten und Kollisionsschweren, insbesondere bei Schadenfällen verursacht durch Parken und Rangieren, nicht wirtschaftlich durchführbar ist [18]. Abbildung 1: Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen in Anlehnung an [2, 3]. Bildquelle Unfalltypen: [13] Die Bewertungsmethodik unterteilt sich dabei in vier Schritte, die nacheinander durchgeführt werden. Im ersten Schritt wird eine für das zu untersuchende Unfallgeschehen repräsentative in-depth Unfallforschungsdatenbank aufgebaut und analy- , € % % mit FAS % ohne FAS Geschwindigkeitsverteilung Testszenarien Monetärer Nutzen Unfallforschungsdatenbank Simulation Realtest 20 <?page no="33"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren siert. Dabei werden Schadenfälle anhand ihrer Unfallkinematik kategorisiert und Testszenarien für das zu bewertende Fahrerassistenzsystem abgeleitet. Wird beispielsweise eine Versicherungsdatenbank verwendet, können die jeweiligen Testszenarien auch anhand entstehender Reparaturkosten gewichtet werden. Im zweiten Schritt wird die Leistungsfähigkeit des zu untersuchenden Fahrerassistenzsystems in Simulation oder Realtest mittels der zuvor definierten Testszenarien bewertet. Hierzu wird untersucht, bis zu welcher maximalen Geschwindigkeit das Fahrerassistenzsystem innerhalb eines konkreten Testszenarios einen Schaden verhindern kann. Testszenarien und der entsprechende Prüfablauf für Fahrerassistenzsysteme im Bereich Parken und Rangieren sind in [19] definiert. Nachdem die maximal vermeidbare Geschwindigkeit je Testszenario ermittelt wurde, wird im dritten Schritt die Effektivität des jeweiligen Fahrerassistenzsystems bestimmt. Hierzu wird anhand von Geschwindigkeitsverteilungen ermittelt, wie groß der jeweilige Anteil der durch das System vermiedenen Schadenfälle je Testszenario ist. Die Geschwindigkeitsverteilung stellt dabei eine Relation zwischen gefahrenen Stundenkilometern bei Systemeingriff (je applizierter Auslöse-TTC) und der Summenwahrscheinlichkeit bei dieser Geschwindigkeit zu verunfallen. Eine entsprechende Geschwindigkeitsverteilung für den Bereich Parken und Rangieren wurde von Feig [18] veröffentlicht. So kann anhand der durch Simulation oder im Realtest ermittelten Fahrerassistenzsystemfunktionalitäten und der Geschwindigkeitsverteilung ein prozentualer Schadenvermeidungsanteil je Testszenario für das zu untersuchende Fahrerassistenzsystem ermittelt, und somit eine Gesamteffektivität bestimmt werden. Im letzten Schritt der Methodik wird anhand der Annahme, dass große Beschädigungen bei großen Kollisionsgeschwindigkeiten auftreten, der monetäre Nutzen des Fahrerassistenzsystems mittels der indepth Unfallforschungsdatenbank berechnet. Innerhalb der Datenbank werden hierzu alle Schäden, die im Bereich des Wirkfelds des zu bewertenden Fahrerassistenzsystems liegen, einem jeweiligen Testszenario zugeordnet. Nach der Zuordnung werden im nächsten Schritt die jeweiligen Schadenfälle eines Testszenarios nach ihrem Schadenaufwand oder den Reparaturkosten aufsteigend sortiert. Mittels des aus der Geschwindigkeitsverteilung ermittelten Anteils an Schadenvermeidung kann je Testszenario der vermiedene Schaden durch das Fahrerassistenzsystem bestimmt werden. Der Quotient aus der monetären Summe aller vermiedenen Schadenfälle und dem Gesamtschadenaufwand der repräsentativen Unfalldatenstichprobe ergibt den monetären Nutzen des jeweiligen Fahrerassistenzsystems. 2.3 Testprotokolle für FAS im Bereich Parken und Rangieren Für eine prospektive Bewertung von Fahrerassistenzsystemen können Testprotokolle, die das Unfallgeschehen repräsentativ beschreiben, verwendet werden. In der Fachliteratur wurden bis zum jetzigen Zeitpunkt zwei Testprotokolle, das „Procedure for assessing the performance of Reverse Autonomous Emergency Braking (R-AEB) systems in rear collisions“ von der Research Council for Automobile Repairs (RCAR) [20] und das „Testprotokoll für Fahrerassistenzsysteme im Bereich Parken und Rangieren“ von der Technischen Universität München (TUM) [19] veröffentlicht. Dabei begrenzt RCAR das Testprotokoll auf Kollisionen beim Rückwärtsfahren (R-AEB), wobei das TUM Protokoll auch vorwärts gerichtete Park- und Rangierkollisionen adressiert. Damit die jeweiligen Testergebnisse objektiv und reproduzierbar erzeugt werden können, definieren beide Testprotokolle vergleichbare Testvoraussetzungen an 21 <?page no="34"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Fahrzeug und Umgebung. Entsprechende Kollisionsobjekte sind so ausgelegt, dass es bei den jeweiligen Geschwindigkeiten zu keinen Beschädigungen am Testfahrzeug kommen kann. Der Testablauf wird dabei in unterschiedliche Testszenarien gegliedert, bei denen das jeweilige Fahrerassistenzsystem ohne Fahrereingriff eine Kollision vermeiden soll. Kommt es trotzdem zu einer Kollision gilt das jeweilige Testszenario als nicht bestanden. RCAR unterscheidet in drei verschiedene Testmethoden, die sich hauptsächlich in der Wahl des Kollisionsobjekts (Fahrzeug, Poller und Säule) unterscheiden. Tabelle 1 gibt einen Überblick über die jeweiligen Testmethoden und jeweils verwendeten Kollisionsobjekte. Tabelle 1: RCAR Testmethoden und Kollisionsobjekte Testmethode Kollisionsobjekt 1. Reversing car-to-car Fahrzeug Global Vehicle Target (GVT) definiert nach NCAP/ ISO Standard 2. Reversing car-tobollard Poller Höhe: 1 m Grundfläche: rund Durchmesser: 0,10 - 0,13 m Farbe: Schwarz Oberfläche: glatt 3. Reversing car-to-pillar Säule Höhe: 2 m Grundfläche: quadratisch mit 0,45 - 0,55 m Kantenlänge Farbe: Hellgrau Oberfläche: glatt Orientierung: 45° zu Heck des Testfahrzeugs Bei der „Reversing car-to-car“ Testmethode, wird das zu testende Fahrzeug rückwärts mit dem Fahrzeugheck an das Fahrzeugheck eines geparkten Zielfahrzeugs herangefahren. Abbildung 2 zeigt die dabei festgelegten Kollisionsstellungen der Fahrzeuge, die durch sowohl eine gerade und eine gelenkte (maximaler Lenkradeinschlag nach links und rechts) Rückwärtsfahrt des Testfahrzeugs hervorgerufen werden sollen (3 Fahrmanöver je Test). Die Endposition der Fahrzeuge innerhalb des ersten Tests ist dabei durch eine 0,4 m Überlappung am Heck der Fahrzeuge definiert. Beim zweiten Test werden dieselben Heckkollisionsmanöver mit einer Kollisionsstellung von 45° zwischen Testfahrzeug und Zielfahrzeug durchgeführt. Im dritten Test verschiebt sich der Kollisionspunkt zwischen Testfahrzeug und Zielfahrzeug vom Heck des Zielfahrzeugs zur B-Säule. Dabei fährt das Testfahrzeug ähnlich der ersten beiden Szenarien rückwärts in gerader bzw. gelenkter Fahrt gegen die Fahrzeugseite des Zielfahrzeugs und erzielt eine Kollisionsstellung von 10° (Abbildung 2). 22 <?page no="35"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Abbildung 2: RCAR Testprotokoll - „Reversing car-to-car“ Testmethode [20] Bei den Methoden „Reversing car-to-bollard“ bzw. “Reversing car-to-pillar“ (Abbildung 3), wird das Zielfahrzeug als Kollisionsobjekt durch einen Poller bzw. eine Säule ausgetauscht. Dabei wird je Kollisionsobjekt ein Test bei mittiger Positionierung des Objekts zum Heck des Testfahrzeugs und ein Test bei 0,4 m Offset (gemessen von der Fahrzeugaußenseite) bei gerader Rückwärtsfahrt des Testfahrzeugs ohne Lenkeinschlag durchgeführt (1 Fahrmanöver je Test). Abbildung 3: RCAR Testprotokoll - Testmethoden „Reversing car-to-bollard“ und “Reversing car-to-pillar“ [20] Alle Tests werden aus zwei verschiedenen Ausgangspositionen mit unterschiedlichen Ausgangsgeschwindigkeiten des Testfahrzeugs durchgeführt. Bei Testmanövern in Geradeausfahrt wird einerseits mit einem Abstand von 6 m zum Kollisionsobjekt mit einer Geschwindigkeit von 6 km/ h und anderseits mit einem Abstand von 2 m und 3 km/ h Geschwindigkeit getestet. Bei Testmanövern mit Lenkradeinschlag wird jeweils aus einer Ausgangsposition des Testfahrzeugs in 90° zum Kollisionsobjekt mit 6 km/ h Geschwindigkeit bzw. 30° und 3 km/ h Geschwindigkeit in einer Bogenfahrt gemessen. Die Kollisionspunkte, dargestellt in Abbildung 2 und Abbildung 3, sind dabei unabhängig von der Fahrzeugseite des Testbzw. Zielfahrzeugs. Jeder Test wird zwei Mal durchgeführt. Ist das Ergebnis nicht eindeutig, entscheidet eine dritte Durchführung des Tests nach Mehrheitsprinzip über das Bestehen oder Nichtbestehen. 45° 10° 0,4 m Test 1 Test 2 Test 3 Rot: Testfahrzeug Grau: Zielfahrzeug 0,4 m 0,4 m Test 4 und 5 mit Poller Test 6 und 7 mit Säule 23 <?page no="36"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Im Gegensatz zum RCAR Testprotokoll berücksichtigt das Testprotokoll der TU- München auch Park- und Rangierszenarien bei Vorwärtsfahrt. Als Kollisionsobjekt wird ausschließlich die in der MALSO-Norm ISO 17386: 2010 definierte ISO-Pole mit einem Durchmesser von 0,075 m und 1 m bzw. für Seitenkollisionen 0,8 m Höhe verwendet [21]. Alle Tests, die im Rahmen des Testprotokolls durchgeführt werden, beginnen mit einer Fahrgeschwindigkeit des Testfahrzeugs von 1 km/ h. Diese erhöht sich je erfolgreichem Test - Kollisionsvermeidung zwischen Testfahrzeug und Kollisionsobjekt - um 1 km/ h. Ist die maximale Geschwindigkeit des Fahrerassistenzsystems in einem Testszenario ermittelt, muss diese bei vier Testanläufen drei Mal bestanden werden. Scheitert dies, erfolgt die selbe Prozedur für die nächst niedrigere Geschwindigkeit. Abbildung 4 zeigt die insgesamt acht Testszenarien. Abbildung 4: TUM Testprotokoll - Testszenarien für FAS im Bereich Parken und Rangieren [19] Auf diese Weise wird die Leistungsfähigkeit des Fahrerassistenzsystems in Abhängigkeit des jeweiligen Fahrmanövers und der maximalen Geschwindigkeit, bei der das System einen entsprechenden Schaden vermeiden kann, bestimmt. Die Testszenarien A und B bilden eine Geradeausfahrt vorwärts und rückwärts auf das Kollisionsobjekt (ISO Pole - 1 m) ab. Dabei wird ähnlich dem RCAR Testprotokoll das Objekt zunächst mittig, danach mit einem Offset von 0,5 m, gemessen von der Mitte des Hecks des Testfahrzeugs, durchgeführt. In der Reparatur besonders kostenintensive Streifschäden werden durch die Szenarien E und F adressiert. Dabei wird das Testfahrzeug sowohl vorwärts als auch rückwärts in Geradeausfahrt bei minimaler Überdeckung auf das Kollisionsobjekt (ISO Pole - 1 m) gesteuert, um eine Streifkollision zu erzeugen. Der Startpunkt des Testfahrzeugs befindet sich bei den Testszenarien A, B, E und F zwischen 15 und 20 m vom Kollisionsobjekt entfernt. Kurveninnere bzw. kurvenäußere Kollisionen bei Parken und Rangieren werden durch die Testszenarien C, D, G und H abgedeckt. Dabei adressieren die Szenarien C und D Kollisionen bei Vorwärtsfahrt und die Szenarien G und H entsprechende Kollisionen bei Rückwärtsfahrt. Der Testablauf der jeweiligen Szenarien wird durch eine Kreisfahrt vorwärts bzw. rückwärts mit maximalem Lenkradeinschlag realisiert (Abbildung 5). A F B E D H C G 24 <?page no="37"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Abbildung 5: TUM Testprotokoll - Testablauf der Testszenarien C, D, G und H [19] Die Kollisionspunkte zwischen Kollisionsobjekt (ISO Pole - 0,8 m) und Fahrzeug werden bei den Testszenarios C und H zwischen den Bauteilen Kotflügel, Tür vorne, Tür hinten und Seitenteil variiert um das Unfallgeschehen möglichst genau nachbilden zu können. Bei Testszenario D und G lässt die Kinematik des Tests keine anderen Anstoßpunkte als den Kotflügel und das Seitenteil zu. Damit sich das Kollisionsobjekt an der gewünschten Position an der Fahrzeugseite des Testfahrzeugs befindet, wird das Kollisionsobjekt an der entsprechenden Stelle des Testfahrzeugs positioniert und die Lage auf dem Boden markiert (transparentes Fahrzeug in Abbildung 5). Hierbei ist wichtig, dass sich das Testfahrzeug in Ruhelage bereits auf dem geplanten Wendekreis mit maximalem Lenkradeinschlag befindet. Das Kollisionsobjekt wird im nächsten Schritt zur Seite genommen und das Testfahrzeug bis zur nächsten Position gefahren, dargestellt in Abbildung 5. Hierbei ist wichtig, dass sich das Fahrzeug mit niedriger Geschwindigkeit bewegt, um die Ackermannbedingung zu erfüllen. An diesem Punkt wird ein Klemmen-15-Wechsel (Deaktivierung und anschließende Aktivierung des Zündschalters) durchgeführt und das Kollisionsobjekt aufgestellt. Das Testfahrzeug fährt mit niedriger Geschwindigkeit bis zur dritten markierten Position in Abbildung 5 und beschleunigt an dieser Stelle auf die für den jeweiligen Test gewünschte Geschwindigkeit. 3 Methodik und verfügbare Datenquellen 3.1 Unfallforschungsdatenbankaufbau und -auswertung Für die monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren wird durch Allianz Zentrum für Technik (AZT), Allianz Automotive Innovation Center (AIC), Technische Universität München (TUM) und AUDI AG eine in-depth Unfallforschungsdatenbank auf Basis von 5.000 KFZ Versicherungssachschadenfällen aufgebaut. Das Datenbanklayout und die durchgeführten Auswertungen entsprechend dabei denen in [2] vorgeschlagenen. Mit Hilfe der Unfallforschungsdatenbank soll untersucht werden, welche Anteile an park- und rangierrelevanten Schadenfällen durch die jeweiligen Testprotokolle abgedeckt bzw. adressiert werden können. Schwerpunkt dabei soll eine Untersuchung hinsichtlich Schadenhäufigkeit und Schadenaufwand bei unterschiedlichen Kollisionskinematiken und Kollisionsobjekten sein. Im nächsten Schritt wird die Unfallforschungsdatenbank für eine monetäre Effektivitätsbewertung eines fiktiven Park- und Rangiersystems unter Berücksichtigung korrespondierender Krafthaftpflichtschäden herangezogen. Hierzu r r r r Testszenario C Testszenario D Testszenario G Testszenario H r: Wendekreisradius : Kollisionslage 25 <?page no="38"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren wurde das Unfallgeschehen beim Parken und Rangieren (Vollkasko Kollisionsschäden) verschiedener Audi Modelle in den Schadenjahren 2013 und 2014 analysiert. 3.2 Definition der durch die Testprotokolle adressierbaren Schadenfälle beim Parken und Rangieren Um den Anteil der durch die jeweiligen Testprotokolle [19, 20] adressierbaren Schadenfälle beim Parken und Rangieren identifizieren zu können, muss festgelegt werden, welche Schadenfälle innerhalb der jeweiligen Fahrerassistenzsystemtests abgedeckt werden. Weil das RCAR Testprotokoll [20] nur rückwärtige Schadenfälle adressiert, muss als erste Bedingung gelten, dass nur Park- und Rangiersituationen beim Rückwärtsfahren adressiert werden können. Des Weiteren geht aus den Testmethoden des RCAR Testprotokoll [20] hervor, dass nur Schäden im Heckbereich des Fahrzeugs durch die jeweiligen Tests vermieden werden können. Bei der Auswahl relevanter Park- und Rangierschadenfälle wurden daher nur Schadenfälle mit einer Beschädigung des Fahrzeughecks bis hin zu Beschädigungen im Bereich des linken bzw. rechten Seitenteils berücksichtigt. Bei beiden Testprotokollen wird auf stillstehende Kollisionsobjekte getestet. Park- und Rangiersituationen, bei denen eine Kollision mit beispielsweise querendem oder allgemein fließendem Verkehr stattgefunden hat, wurden allgemein als nicht adressierbar eingestuft. 3.3 Anforderungen an Testprotokolle im Hinblick einer prospektiv monetären Bewertungsmethode Um eine monetäre Effektivitätsbewertung von Fahrerassistenzsystemen durchführen zu können, muss ein verwendetes Testprotokoll bestimmte Anforderungen erfüllen (Abbildung 6). Die im Rahmen des Testprotokolls durchgeführtem Testszenarien für das zu bewertende Fahrerassistenzsystem müssen auf Basis repräsentativer Unfallforschungsdaten ermittelter Unfallkinematiken des jeweiligen Fahrzeugs entstanden sein. So ist sichergestellt, dass die jeweiligen Fahrerassistenzsystemtests die Gesamtheit an Unfallsituationen abdecken. Dabei sollte auf eine möglichst detaillierte Abstufung von möglichen Unfallkinematiken geachtet werden. Diese kann beispielsweise durch repräsentative Beschädigungsmuster am Fahrzeug generiert werden. Die Art des oder der im Test verwendete(n) Kollisionsobjekt(e) sollte(n) repräsentativ zum Unfallgeschehen gewählt werden, um keine Bevorteilung oder Benachteiligung eines Fahrerassistenzsystems zu bewirken. 26 <?page no="39"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Abbildung 6: Anforderungen an ein Testprotokoll zur monetären Bewertung von FAS Verschiedene Arten von Kollisionsobjekten können Targets in Form eines Fahrzeugs, einer Wand, verschiedener Pfosten oder Poller sein. Außerdem müssen entsprechende Objekthöhen und Objektdurchmesser / bzw. -größen festgelegt sein. Im Zweifelsfall sollte immer die für das Fahrerassistenzsystem schwierigere Unfallkinematik bzw. das für das System schwieriger zu detektierende Kollisionsobjekt gewählt werden um dessen Effektivität nicht zu überschätzen. Zusätzlich muss ein differenzierbarer, monetärer Bezug zu den jeweiligen Testszenarien herstellbar sein. Dabei muss der Nutzen, der durch das Bestehen eines bestimmten Tests hervorgeht, quantitativ monetär bestimmbar sein. Des Weiteren sollten qualitative Abstufungen innerhalb der Tests möglich sein. Etwaige Sensitivitäten der Tests und der Einfluss auf die Wirksamkeit der Fahrerassistenzsysteme sollten im Rahmen von Systemtests abgeprüft werden. Hierbei sollte verstärkt auf die Einflussgrößen verursacht durch verschiedene Wetterlagen, wie beispielsweise verschiedene Umgebungshelligkeiten und Reibungswerte geachtet werden. Alle Testszenarien sollten in einem hohen Grad reproduzierbar durchführbar sein. Des Weiteren sollten Ergebnisse der Tests durch mehrmaliges Absichern verifiziert werden, um sicherzustellen, dass das System dem Test auch dauerhaft standhält. 3.4 Berücksichtigung korrespondierender Krafthaftpflichtschäden Analysen von Vollkasko Kollisionsschäden des Audi A8 zeigen, dass bei fast 20 % (Vollkasko Kollisionen) und 15 % (Vollkasko Park- und Rangierkollisionen) mindestens ein oder mehrere weitere Fahrzeuge bzw. andere Beteiligte in Folge beschädigt wurden. Bei der Annahme, dass ein Fahrerassistenzsystem im Falle einer Schadenvermeidung auch den potentiellen Folgeschaden in Form eines Haftpflicht Sach- oder Personenschaden vermeidet, erhöht sich der monetäre Nutzen des Systems (Tabelle 2). [2] Testprotokoll zur monetären Bewertung von FAS Repräsentative Unfallkinematik Repräsentative Art und Größe des Kollisionsobjekts FAS- Funktionsabhängige Abstufung innerhalb von Testszenarien Monetärere Bewertbarkeit in Bezug auf Gesamtunfallgeschehen Systemtests des Fahrerassistenzsystems Absicherung und Reproduzierbarkeit von Ergebnissen 27 <?page no="40"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Tabelle 2: Monetärer Nutzen von FAS unter Berücksichtigung von Krafthaftpflichtschäden Vermeidung durch FAS Monetärer Nutzen Beispiel Alleinunfall Vollkaskoschaden Unfall mit mehreren Beteiligten Vollkaskoschaden zuzüglich Summe entsprechender Krafthaftpflichtschäden Um diesen zusätzlichen, durch die Vermeidung von Krafthaftpflichtschäden verursachten monetären Nutzen je Schadenfall ermitteln zu können, muss eine direkte Zuordenbarkeit zwischen entsprechenden Vollkasko Kollisionsschäden und potentiell korrespondierenden Krafthaftpflichtschäden gegeben sein. Mittels der bei der indepth Unfallforschungsdatenbank verwendete Schadenakten kann eine solche Zuordnung potentieller Krafthaftpflichtschäden durch sogenannte Parallelschadennummern ermittelt werden. Je Vollkasko Kollisionsschadenfall mit mindestens einem weiteren Fahrzeug ist somit eindeutig ermittelbar, um welchen Krafthaftpflichtschadenfall es sich handelt. In-depth Informationen korrespondierender Krafthaftpflichtschäden können im nächsten Schritt entsprechend [2] analog zu den der Vollkasko Kollisionsschäden erhoben und bei der monetären Effektivitätsberechnung des jeweiligen Fahrerassistenzsystems berücksichtigt werden. Neben der Analyse bzgl. des monetären Gesamtnutzens eines Fahrerassistenzsystems kann der Einfluss von Krafthaftpflichtschäden in Form von Zuschlägen auf den Vollkaskoschaden ermittelt werden. Dies kann einerseits unter Berücksichtigung von Schadenhäufigkeiten, aber auch unter monetären Aspekten erfolgen. So kann beispielsweise zu erwarten sein, dass ein SUV mit einer großen Masse und Bauhöhe einen im Vergleich zu einem Kleinwagen größeren monetären Anteil an Haftpflichtschäden je Vollkaskoschäden erzeugt. Des Weiteren werden Analysen bzgl. Häufigkeit und auch monetärem Einfluss von Sach- und Personenschäden innerhalb der Krafthaftpflichtschäden je untersuchtem Fahrzeug ermöglicht. 4 Ergebnisse 4.1 Schadencharakteristik und -kinematik beim Parken und Rangieren Mithilfe der in-depth Unfallforschungsdatenbank wurden für die Analyse eine repräsentative Stichprobe von insgesamt 2.155 Vollkasko Kollisionsschadenfällen ausgewertet, wovon 993 Schadenfälle dem Bereich Parken und Rangieren zugeordnet werden konnten. Tabelle 3 zeigt die jeweilige Verteilung der insgesamt betrachteten Vollkasko Kollisionsschäden und den jeweiligen Anteil an Anzahl und Schadenaufwand (bezogen auf die entsprechenden Vollkasko Kollisionsschäden) beim Parken und Rangieren je Fahrzeugmodell. 28 <?page no="41"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Tabelle 3: Übersicht der analysierten Vollkasko Kollisionsschäden und den jeweiligen Anteilen an Anzahl und Schadenaufwand bei Park und Rangierschäden (P/ R) je Fahrzeugmodell Modell Analysierte Vollkasko Kollisionen Vollkasko P/ R Kollisionen Anteil Anzahl P/ R Anteil Schadenaufwand P/ R A1 480 182 38 % 31% A4 478 201 42 % 32 % A8 255 141 55 % 43 % Q5 478 243 51 % 34 % Q7 464 226 49 % 35 % Mittels der identifizierten in-depth Datensätze an repräsentativen Park- und Rangierschäden für verschiedene Fahrzeugmodelle wurde im nächsten Schritt eine Analyse bzgl. der Adressierbarkeit der im Stand der Wissenschaft vorgestellten Testprotokolle für den Bereich Parken und Rangieren durchgeführt [19, 20]. Hierzu wurden die durch das jeweilige Testprotokoll adressierbaren Schadenfälle ins Verhältnis zur Gesamtanzahl relevanter Vollkasko Park- und Rangierkollisionen (Tabelle 3) gesetzt (Abbildung 7). Weil das RCAR Testprotokoll [20] ausschließlich Schäden im hinteren Fahrzeugbereich beim Rückwärtsfahren in Park- und Rangiersituationen berücksichtigt, fällt die Anzahl adressierbarer Schadenfälle im Vergleich zum TUM Testprotokoll [19] gering aus. So können beispielsweise beim Audi A8 bzw. Audi Q7 durch das RCAR Testprotokoll nur 28 % relevanter Park- und Rangierkollisionen adressiert werden. Das TUM Testprotokoll erreicht beim Audi A8 einen mehr als dreimal so hohen Wert von 90 %. Die verbleibenden 10 % (Audi A8) bis 20 % (Audi Q7) der Schadenfälle konnten dabei aufgrund entweder unbekannter Schadenkinematik keinem Testszenario nach [19] zugeteilt werden, oder es konnte nicht mit ausreichender Sicherheit festgestellt werden, ob ein automatisch intervenierendes Park- und Rangiersystem den Unfall hätte vermeiden können. Abbildung 7: Anteil adressierbarer Vollkasko Park- und Rangierkollisionen durch TUM Testprotokoll und RCAR Testprotokoll je Fahrzeugmodell Im ersten Fall können dies beispielsweise Schadenfälle sein, bei denen lediglich bekannt ist, dass der jeweilige Schaden beim Parken und Rangieren entstanden ist. 0% 20% 40% 60% 80% 100% A1 A4 A8 Q5 Q7 Adressierbarkeit in Bezug auf Schadenhäufigkeit Vollkasko P/ R-Kollisionen TUM Testprotokoll RCAR Testprotokoll 29 <?page no="42"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Schadenursache, -kinematik oder Kollisionsobjekt bleiben unbekannt. Im zweiten Fall können Schadenfälle beim Parken und Rangieren nicht immer durch ein Fahrerassistenzsystem vermieden werden. Sind beispielsweise zwei Fahrzeuge zueinander in Bewegung, kann die Kollision nicht durch das alleinige Verzögern des eigenen Fahrzeugs mit Sicherheit vermieden werden, da das andere Fahrzeug trotzdem eine Kollision hervorrufen kann. Des Weiteren gibt es eine Vielzahl an Schadenkinematiken oder Kollisionsobjekten, die nach heutigem Stand der Technik durch eine Park- und Rangiersystem trotz aufwändiger Sensortechnologie nicht erfasst werden können. Hierzu zählen beispielsweise Kollisionen mit Bordsteinkanten, niedrigen Steinen oder dem fließenden Verkehr beim Ausparkvorgang. Abbildung 8: Anteil adressierbarer Vollkasko Schadenaufwand bei Park- und Rangierkollisionen durch TUM Testprotokoll und RCAR Testprotokoll je Fahrzeugmodell Abbildung 8 zeigt analog zur Analyse in Abbildung 7 die durch die jeweiligen Testprotokolle adressierbaren Anteile am Schadenaufwand, hervorgerufen durch Vollkasko Park- und Rangierkollisionen. Hierbei wird deutlich, dass die zuvor diskutierten, durch das TUM Testprotokoll nicht adressierbaren Schadenfälle, nur einen verhältnismäßig geringen Anteil, zwischen 4 % (Audi Q5) und maximal 15 % (Audi A1) am Schadenaufwand ausmachen. Das RCAR Testprotokoll erreicht Schadenaufwandsanteile bei Park- und Rangierkollisionen zwischen 19 % (Audi Q7) und 30 % (Audi A4). Die Analysen zeigen, dass für die Entwicklung, aber auch für die Bewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren es daher unabdingbar ist, auch Park- und Rangierszenarien bei Vorwärtsfahrt zu adressieren. Zusätzlich müssen Beschädigungen an den Fahrzeugseiten und der Fahrzeugfront berücksichtigt werden. Neben der Schadenkinematik bzw. der Schadenursache ist das jeweilige Kollisionsobjekt, mittels dessen im Rahmen von Testprotokollen getestet wird, entscheidend. Abbildung 9 zeigt verschiedene Gruppen an Kollisionsobjekten und deren relativen Einfluss auf Häufigkeit und Schadenaufwand beim Parken und Rangieren. 0% 20% 40% 60% 80% 100% A1 A4 A8 Q5 Q7 Adressierbarkeit in Bezug auf Schadenaufwand Vollkasko P/ R-Kollisionen TUM Testprotokoll RCAR Testprotokoll 30 <?page no="43"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Abbildung 9: Kollisionsobjekte beim Parken und Rangieren bei Vollkasko Kollisionen Bei der Analyse wurde zwischen den einzelnen Fahrzeugmodellen (Audi A1, A4, A8, Q5 und Q7) entsprechend ihres Beschädigungsaufkommens in den Schadenjahren 2013 und 2014 gewichtet gemittelt. Mindestens 68 % aller Park- und Rangierkollisionen im Vollkaskobereich zeigen keine Beteiligung eines weiteren Fahrzeugs. Diese Schäden wurden durch ein Hindernis (Säule, Pfosten, Baum, Wand, Zaun, Leitplanke, Bordstein, Graben, Blumenkübel oder ähnliches) hervorgerufen und machen etwa 72 % des betrachteten Schadenaufwands beim Parken und Rangieren bei Vollkaskokollisionen aus. Bei etwa 20 % der Schäden und 18 % des Schadenaufwandes kann eine eindeutige Beteiligung von mindestens eines zweiten Fahrzeugs identifiziert und bei den verbleibenden 12 % der Kollisionen bzw. einem Schadenaufwandsanteil etwa von 10 % kann kein Kollisionsobjekt zugeordnet werden. Hierbei ist unbekannt, ob die Kollision mit einem Fahrzeug oder einem anderen Hindernis stattgefunden hat. Auffällig ist, dass mehr als ein Drittel der Schäden (31 %) durch runde Hindernisse, Säule, Pfosten, Baum hervorgerufen wurden. Bei der Auslegung von Testszenarien muss daher auf eine für das jeweilige Unfallgeschehen repräsentative Wahl der Kollisionsobjekte geachtet werden. Im Folgenden wird anhand der im Testprotokoll für Fahrerassistenzsysteme im Bereich Parken und Rangieren dargelegten Testszenarien [19] das Unfallgeschehen bzw. die Unfallkinematik beim Parken und Rangieren mittels der diskutierten Vollkasko Kollisionsschäden näher betrachtet. Tabelle 4 zeigt relative Beschädigungshäufigkeiten verursacht durch Parken und Rangieren zugeteilt auf die einzelnen Testszenarien. Tabelle 4: Relative Häufigkeit auftretender Testszenarien nach [19] beim Parken und Rangieren bei verschiedenen Fahrzeugmodellen A B C D E F G H A1 7 % 21 % 28 % 3 % 16 % 8 % 7 % 12 % A4 7 % 18 % 23 % 6 % 13 % 11 % 7 % 15 % A8 9 % 22 % 23 % 8 % 20 % 9 % 2 % 6 % Q5 6 % 21 % 26 % 6 % 11 % 15 % 2 % 13 % Q7 10 % 16 % 36 % 3 % 9 % 13 % 4 % 8 % 0% 10% 20% 30% 40% Fahrzeug Säule, Pfosten, Baum, etc. Wand, Zaun, Leitplanke, etc. Anderes (Bordstein, Graben, Blumenkübel, etc.) Unbekannt Vollkasko P/ R-Kollisionen Relative Häufigkeit Anteil am Schadenaufwand 31 <?page no="44"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Dabei spiegeln die Beschädigungshäufigkeiten das Unfallgeschehen wieder. Aufgrund unterschiedlicher Reparaturkosten, hervorgerufen durch unterschiedliche Beschädigungsmuster der verschiedenen Testszenarien, ermöglicht eine Betrachtung des anteiligen Schadenaufwandes jedes Testszenarios eine Analyse, die das monetäre Potential in Bezug auf Park- und Rangierunfälle beschreibt (Abbildung 10). Abbildung 10: Schadenaufwand von Park- und Rangierunfällen (Vollkasko Kollisionen) anteilig aufgeteilt auf Testszenarien nach [19] Auffällig ist, dass die kurveninnere Kollision vorwärts (Testszenario C) beim Audi Q7 über 40 % des gesamten Schadenaufwands für Parken und Rangieren ausmacht. Ein Grund hierfür könnte das durch die großen Fahrzeugabmessungen bedingte Übersehen von Objekten auf der Beifahrerseite bei Ein- oder Ausparkvorgängen sein. Bei fast 75 % der Beschädigungen dieses Testszenarios wurde die rechte Fahrzeugseite des Audi Q7 beschädigt. Fast ein Drittel der monetären Aufwendungen beim Parken und Rangieren könnten beim Audi A8 durch die Vermeidung von Streifschäden eingespart werden. Dabei sind Streifschäden in Vorwärtsrichtung (Testszenario E) monetär fast fünfmal so relevant wie Streifschäden beim Rückwärtsfahren (Testszenario F). Überraschend hoch ist der Anteil an Rückwärtskollisionen ohne Lenkeinschlag (Testszenario B). 4.2 Monetäre Effektivitätsbewertung eines fiktiven Notbremssystems für Park- und Rangierszenarien Nachdem in den bisherigen Untersuchungen immer vom Unfallgeschehen bzw. der Unfallkinematik und davon abgeleiteten monetären Potentialen für Fahrerassistenzsysteme gesprochen wurde, soll im nächsten Schritt anhand der in Kapitel 2 beschriebenen monetären Bewertungsmethodik [2, 3] ein fiktives, aber konkretes Fah- 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% A B C D E F G H A1 A4 A8 Q5 Q7 A F B E D H C G 32 <?page no="45"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren rerassistenzsystem für den Bereich Parken und Rangieren bewertet werden. Eigenschaft des zu bewertende Fahrerassistenzsystem soll eine Unfallvermeidung im Rahmen der in [19] definierten Testszenarien bis hin zu einer maximalen Geschwindigkeit von 10 km/ h sein. Dies bedeutet, dass jegliche Park- und Rangiersituationen vorwärts, rückwärts, mit und ohne Lenkeinschlag, sowie Streifkollisionen mit einem Objekt größer 0,075 m im Durchmesser bis hin zu einer Geschwindigkeit von 10 km/ h vermieden werden können. Diese, wenn auch fiktive Art von Konfiguration, entspricht der Funktionsweise zukünftiger Park- und Rangiersysteme und wird im Folgenden mittels der erläuterten monetären Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren prospektiv bewertet. Abbildung 11 zeigt die relativen Anteile der durch das fiktive Fahrerassistenzsystem vermiedenen Schadenfälle in Bezug auf die betrachteten Vollkasko Park- und Rangierschäden definiert nach TUM Testprotokoll [19], Vollkasko Park- und Rangierschäden allgemein, der Gesamtheit an Vollkasko Kollisionen und das Vollkasko Gesamtschadenaufkommen der einzelnen Fahrzeugmodelle. Das Vollkasko Gesamtschadenaufkommen umfasst dabei neben den herkömmlichen Kollisionen jegliche anderen Schadenarten, wie Brand, Explosion, Diebstahl, Hagelschaden etc., auf die ein Fahrerassistenzsystem keinen Einfluss gehabt hätte. Bei einer alleinigen Betrachtung der Vollkasko Park- und Rangierschäden, die nach [19] von einem Fahrerassistenzsystem im Bereich Parken und Rangieren adressiert werden können, erreicht das betrachtete Fahrerassistenzsystem Vermeidungsraten abhängig vom Fahrzeugmodell von 90 bis 93 %. Die verbleibenden 7 % - 10 % Park- und Rangierschäden können vom Fahrerassistenzsystem nicht verhindert werden, weil eine größere Kollisionsgeschwindigkeit als 10 km/ h im Schadenfall vorlag. Den größten Einfluss nicht vermeidbarer Schadenfälle haben dabei kurveninnere Kollision vorwärts (Testszenario C) und Streifkollisionen vorwärts (Testszenario E). Vereinzelt konnten auch kurvenäußere Kollision vorwärts (Testszenario D) und Kollisionen ohne Lenkreinschlag (Testszenario A) aufgrund einer zu großen Kollisionsgeschwindigkeit vom Fahrerassistenzsystem nicht vermieden werden. Abbildung 11: Durch Fahrerassistenzsystem vermiedene Schadenfälle in Bezug auf Vollkasko Park- und Rangierschäden nach [19], Kollisionsschäden und Gesamtschadenaufkommen je Fahrzeugmodell 0% 20% 40% 60% 80% 100% A1 A4 A8 Q5 Q7 Vermiedene Schäden bezogen auf Vollkasko P/ R-Kollisionen nach [19] Vermiedene Schäden bezogen auf Vollkasko P/ R-Kollisionen Vermiedene Schäden bezogen auf Vollkasko Kollisionen Vermiedene Schäden bezogen auf Vollkasko Gesamtschadenaufkommen 33 <?page no="46"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Die Differenz an Schadenfällen zwischen Vollkasko P/ R-Kollisionen nach [19] und Vollkasko P/ R-Kollisionen allgemein resultiert aus den bereits diskutierten Schadenfällen beim Parken und Rangieren, die für ein entsprechendes Fahrerassistenzsystem nicht adressierbar sind. Je Fahrzeugmodell können vom betrachteten Fahrerassistenzsystem zwischen 29 und 45 % der Vollkasko Kollisionen und zwischen 11 und 16 % des Vollkasko Gesamtschadenaufkommens vermieden werden. Je vermiedenem Vollkaskoschadenfall kann einerseits der Schadenaufwand des Vollkaskoschadenfalls aber auch der eines potentiell korrespondierenden Krafthaftpflichtschadenfalls durch das Fahrerassistenzsystem eingespart werden. Dabei wurden beim Audi A1 bei 12 %, beim Audi A4 bei 6 %, beim Audi A8 bei 7 %, beim Audi Q5 bei 10 % und beim Audi Q7 bei 13 % der vermiedenen Vollkaskoschadenfälle auch korrespondierende Krafthaftpflichtschadenfälle vermieden. Somit kann je verhindertem Schadenfall ein durchschnittlicher Gesamtschadenaufwand ermittelt werden, der sich je Fahrzeugtyp aus dem vermiedenen Vollkaskoschaden und einem anteiligen Krafthaftpflichtschadenanteil zusammensetzt (Abbildung 12). Wird nur der Vollkaskoschaden betrachtet, ergibt sich je Fahrzeugmodell ein durchschnittlich verringerter Schaden zwischen 1.700 € und 2.300 € je vermiedenem Park- und Rangierschaden abhängig vom Fahrzeugmodell. Bei zusätzlicher Betrachtung korrespondierender Krafthaftpflichtschäden, erhöht sich der durchschnittlich vermeidbare Schaden um 150 bis 500 € durchschnittlichen Schaden je vermiedenem Vollkaskoschaden. Der größte durchschnittliche Gesamtschaden je vermeidbarem Vollkaskoschaden kann beim Audi Q7 mit 2.300 € durch das untersuchte Fahrerassistenzsystem eingespart werden. Abbildung 12: Durchschnittlicher Schadenaufwand bei vermiedenem Schadenfall je Fahrzeugmodell Abbildung 13 zeigt zusammenfassend die durch die Vermeidung von Park- und Rangierunfällen resultierenden Schadenaufwandsreduktionen in Bezug auf die betrachteten Vollkasko Park- und Rangierschäden definiert nach TUM Testprotokoll [19], Vollkasko Park- und Rangierschäden allgemein, der Gesamtheit an Vollkasko Kollisio- 0 0,5 1 1,5 2 2,5 3 A1 A4 A8 Q5 Q7 Durchschnittlicher Schadenaufwand in Tsd € Vollkaskoschaden je vermiedenem Vollkaskoschadenfall Zusätzlich vermiedener, korrespondierender Krafthaftpflichtschaden Gesamtschaden je vermiedenem Vollkaskoschadenfall 34 <?page no="47"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren nen und das Vollkasko Gesamtschadenaufkommen durch das Fahrerassistenzsystem. Bei einer ausschließlichen Betrachtung der vom Fahrerassistenzsystem adressierbaren Vollkasko Park- und Rangierschäden nach [19] kann das analysierte Fahrerassistenzsystem beispielsweise beim Audi A8 annähernd 75 % des auftretenden Schadenaufwandes vermeiden. Abbildung 13: Verringerter Schadenaufwand je Fahrzeugmodell Werden alle Vollkasko Park- und Rangierschäden betrachtet liegt der Wert bei etwa 69 %. Diese Verringerung an Schadenfällen bewirkt eine Reduktion des Schadenaufwandes in Bezug auf Vollkasko Kollisionsschäden des Audi A8 um annähernd 30 % und in Bezug des Gesamtschadenaufkommens um annähernd 19 %. Im Bereich der Vollkasko Park- und Rangierschadenfälle erreicht der Audi A4 mit dem untersuchten Fahrerassistenzsystem eine Reduktion des Schadenaufwandes nach [19] von fast 83 %. Gepunktet dargestellt ist das jeweilige zusätzliche monetäre Potential, das sich bei Einbezug vermiedener, mit den Vollkaskoschadenfällen korrespondierenden, Krafthaftpflichtschadenfälle ergibt. Dabei wurden Schadenaufwendungen vermiedener Krafthaftpflichtschäden zu denen der entsprechenden Vollkaskoschäden hinzuaddiert. Hierbei ist jedoch zu beachten, dass es bei dieser Betrachtung weniger um eine versicherungstechnische Bewertung, - in diesem Fall müsste zwischen Vollkasko- und Krafthaftpflichtschäden getrennt werden - sondern lediglich um eine monetäre Gesamtnutzenanalyse des jeweiligen Fahrerassistenzsystems geht. 5 Diskussion Für die vorliegende Untersuchung wurden Versicherungsschadenfälle (Vollkasko Kollisionsschäden) von Audi Modellen A1, A4, A8, Q5 und Q7 der Schadenjahre 2013 und 2014 verwendet. Aufgrund der Vielzahl an Schadenfällen wurden bei allen 0% 20% 40% 60% 80% 100% A1 A4 A8 Q5 Q7 Verringerter Schadenaufwand je Jeweiliges Potential durch korrespondierende Krafthaftpflichtschadenfälle Vollkasko P/ R-Kollisionen nach [19] Vollkasko P/ R-Kollisionen Vollkasko Kollisionen Vollkasko Gesamtschadenaufkommen 35 <?page no="48"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren Modellen, außer dem Audi A8, repräsentative Stichproben hinsichtlich des Schadenaufwandes in der Größenordnung von 464 und 480 Schadenfälle verwendet. Für das Fahrzeugmodell Audi A8 wurden alle 255 Schadenfälle ausgewertet. Aufgrund teilweise niedriger Datenqualität, keinen Zugriffsrechten oder für Fahrerassistenzsysteme nicht relevante Schadenursachen, konnten nur 80 % der Schadenakten verwendet werden. Um Effektivitätswerte von Fahrerassistenzsystemen nicht zu überschätzen, wurden nicht verwendbare Schadenfälle als für ein Fahrerassistenzsystem nicht adressierbar eingestuft. Auftretende Schadenaufwände wurden ganzheitlich betrachtet. Zur Analyse des Einflusses korrespondierender Krafthaftpflichtschadenfälle wurden Versicherungsschadenfälle derselben Schadenjahre und derselben Fahrzeugmodelle verwendet. Hierbei wurde je verhindertem Vollkaskoschadenfall ein potentieller, korrespondierender Schadenaufwand eines Krafthaftpflichtschadenfalls zum monetären Potential des Fahrerassistenzsystems hinzuaddiert. Grundidee dabei ist, dass ein Fahrerassistenzsystem bei der Vermeidung eines Vollkaskoschadenfalls auch den zugehörigen Krafthaftpflichtschadenfall vermeidet. Annahme bei dieser Berechnung ist einerseits, dass alle zu den Vollkasko Kollisionsschäden der Schadenjahre 2013 und 2014 korrespondierenden Krafthaftpflichtschadenfälle auch in den Haftpflichtschadenfällen der Schadenjahre 2013 und 2014 wiederzufinden sind. Hierbei kann es vorkommen, dass ein Krafthaftpflichtschadenfall, der mit einen Vollkasko Schadenfall, beispielsweise gemeldet im Dezember 2014, korrespondiert, erst im Jahr 2015 gemeldet wird. Dieser wäre somit nicht in die Betrachtung eingeflossen. Zudem kann bei dieser Betrachtung ein Krafthaftpflichtschadenfall durch das Fahrerassistenzsystem nur dann vermieden werden, wenn auch ein korrespondierender Vollkaskoschaden vorliegt. Krafthaftpflichtschäden, die bei nicht vollkaskoversicherten Fahrzeugen auftreten, bzw. bei nicht gemeldeten Vollkaskoschäden, werden nicht berücksichtigt. Das Krafthaftpflichtpotential liegt dabei noch um einiges höher und wird derzeit im Rahmen des Forschungsprojekts weiter untersucht. 6 Zusammenfassung Im vorliegenden Beitrag wurden Methoden zur Bestimmung der monetären Effektivität von Fahrerassistenzsystemen im Bereich Parken und Rangieren diskutiert. Hierzu wurde gezeigt, dass sich Versicherungsdaten am zuverlässigsten zur Bestimmung der Unfallcharakteristik beim Parken und Rangieren eignen, weil auch nicht polizeilich gemeldete Schäden analysiert werden können. Zudem verfügt eine Versicherung über korrespondierende Schadenaufwendungen, sodass eine monetäre Betrachtung ermöglicht wird. Im nächsten Schritt wurde eine monetäre Bewertungsmethodik zur prospektiven Effektivitätsbestimmung von Park- und Rangierschäden vorgestellt. Testprotokolle für Park- und Rangiersysteme wurden miteinander im Hinblick der Adressierbarkeit realer Park- und Rangierunfälle verglichen und deren Verwendbarkeit für eine monetäre Effektivitätsbewertung [2, 3] diskutiert bzw. Anforderungen formuliert. Zur Bestimmung des monetären Potentials von Krafthaftpflichtschäden wurde eine Methodik entwickelt, die bei einem verhinderten Vollkaskoschadenfall auch möglicherweise vermiedene korrespondierende Krafthaftpflichtschäden berücksichtigt. Des Weiteren wurde eine umfassende Analyse hinsichtlich Schadencharakteristik und -kinematik beim Parken und Rangieren durchgeführt. Dabei konnte abgeleitet werden, dass bei Park- und Rangierkollisionen eine Berücksichtigung von Vorwärts- und Rückwärtskollisionen für die Bewertung und Entwicklung von Fahrerassis- 36 <?page no="49"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren tenzsystemen unabdingbar ist, und entsprechende Kollisionen nur bei etwa 20 % mit anderen Fahrzeugen stattfinden. Ein großer Anteil des Schadenaufwandes, verursacht durch Parken und Rangieren, wird durch kurveninnere Kollisionen vorwärts, aber auch durch Streifschäden vorwärts verursacht. Abschließend wurde eine monetäre Effektivitätsbewertung eines fiktiven Notbremsfahrerassistenzsystems im Bereich Parken und Rangieren durchgeführt. Dabei wurde zunächst der Anteil durch das Fahrerassistenzsystem vermiedener Schadenfälle in Bezug auf Vollkasko Park- und Rangierschäden, Vollkasko Kollisionsschäden und dem Vollkasko Gesamtschaden analysiert und im nächsten Schritt ein durchschnittlicher Schadenaufwand je vermiedenen Park- und Rangierschaden je Fahrzeugmodell bestimmt. Dabei wurden zusätzliche durchschnittliche Schadenaufwandsreduktionen korrespondierender Krafthaftpflichtschäden miteinbezogen. Im letzten Schritt wurden die durch das fiktive Notbremsfahrerassistenzsystem im Bereich Parken und Rangieren vermiedenen Schadenfälle monetär in Bezug zum Schadenaufwand gestellt. Dabei konnten Reduktionen des Schadenaufwandes von bis 83 % bei Vollkasko Park- und Rangierschadenfällen (Audi A4), bis zu 30 % bei Vollkasko Kollisionsschäden (Audi A8) und bis zu 19 % bei Betrachtung des Gesamtschadenaufwandes (Audi A8) abgeleitet werden. Des Weiteren wurde das zusätzliche monetäre Potential bei der Vermeidung korrespondierender Krafthaftpflichtschadenfälle dargestellt. Besonders SUVs (Audi Q5 und Audi Q7) zeigen einen großen Anteil bei korrespondierenden Krafthaftpflichtschäden. Dieser könnte auf die große Bauform und Masse der Fahrzeuge zurückzuführen sein. 7 Contributions und Acknowledgements Julian Schatz (Korrespondenzautor) ist Initiator und Verfasser dieses Papers. Philip Feig leistete einen wesentlichen Anteil an der Entwicklung der Effektivitätsbewertungsmethodik, lieferte wichtige Diskussionspunkte für die Entstehung dieses Papers und arbeitet innerhalb desselben Forschungsprojekts. Dr. rer.nat. Johann Gwehenberger, Marcel Borrack und Rolf Behling unterstützen maßgeblich beim Aufbau der Unfallforschungsdatenbank sowie setzten entscheidende Impulse bei der wissenschaftlichen Diskussion und Umsetzung der Arbeit. Prof. Dr.-Ing. Markus Lienkamp leistete einen wesentlichen wissenschaftlichen Beitrag bei der Konzeption des Forschungsprojektes und hat das Manuskript kritisch auf seinen wissenschaftlichen Inhalt gegengelesen. Prof. Dr.-Ing. Markus Lienkamp steht hinter den Ergebnissen und Schlussfolgerungen der publizierten Arbeit. Als wissenschaftlicher Leiter übernimmt er die Verantwortung für die Integrität des Manuskripts. Das Forschungsprojekt wird finanziert von Allianz Automotive Innovation Center (AIC). Literatur [1] K. Gschwendtner, M. Lienkamp, and M. Kiss, “Prospective Analysis-Method for Estimating the Effect of Advanced Driver Assistance Systems on Property Damage,” in IEEE 17th International Conference on Intelligent Transportation Systems (ITSC), Qingdao, 2014, pp. 372-377. 37 <?page no="50"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren [2] J. Schatz et al., “Evaluation of Future Advanced Driver Assistance Systems Using Real World Property Damage Insurance Claims,” in 25th International Technical Conference on the Enhanced Safety of Vehicles (ESV): not published yet, 2017. [3] P. Feig, J. Schatz, K. Gschwendtner, M. Borrack, and M. Lienkamp, “Monetary and Prospective Benefit Assessment Method for Advanced Driver Assistance Systems,” in 25th International Technical Conference on the Enhanced Safety of Vehicles (ESV): not published yet, 2017. [4] J. Gwehenberger and M. Borrack, “Einfluss von Fahrerassistenzsystemen auf Versicherungschäden,” VKU, vol. 53, no. 10, pp. 342-351, 2015. [5] “Fachserie 8 Reihe 7 - Verkehrsunfälle,” [Online] Available: https: / / www.destatis.de/ DE/ Publikationen/ Thematisch/ TransportVerkehr/ Verkehr sunfaelle/ VerkehrsunfaelleMonat/ VerkehrsunfaelleM2080700151074.pdf? __blob =publicationFile. Accessed on: Oct. 28 2015. [6] Unfallforschung - GIDAS. [Online] Available: http: / / www.bast.de/ DE/ Fahrzeugtechnik/ Fachthemen/ f2-gidas/ f2-gidas.html. Accessed on: Jun. 28 2017. [7] Horst Brunner, “Möglichkeiten der Unfallforschung und ihr Einfluss auf die Weiterentwicklung der Fahrzeugsicherheit,” Berlin, Feb. 26 2008. [8] Highway Loss Data Institute, “Subaru collision avoidance features: an update, Vol. 32, No. 8,” 2015. [Online] Available: www.iihs.org/ media/ 8941f012-991d- 49e0-992c-8bb853b6e829/ - 995536910/ HLDI%20Research/ Bulletins/ hldi_bulletin_32.8.pdf. Accessed on: Apr. 12 2016. [9] Highway Loss Data Institute, “Mazda collision avoidance features, Vol. 32, No. 22,” 2015. [Online] Available: www.iihs.org/ media/ 7d84f7ba-b0d1-4ed9-a4d5e5b82a460787/ 1592277885/ HLDI%20Research/ Bulletins/ hldi_bulletin_32_22.pd f. Accessed on: Apr. 12 2016. [10] Highway Loss Data Institute, “Honda Accord collision avoidance features, Vol.32, No. 33,” 2015. [Online] Available: www.iihs.org/ media/ 98e59e28-6667-478c- 8fb2- 5dd51865fa60/ 794581164/ HLDI%20Research/ Bulletins/ hldi_bulletin_32.33.pdf. Accessed on: Apr. 12 2016. [11] Highway Loss Data Institute, “Mercedes-Benz collision avoidance features: initial results, Vol. 29, No. 7,” 2012. [Online] Available: www.iihs.org/ media/ e368e3e5ff90-4db7-86d1-e7daecc4afc8/ - 1481340172/ HLDI%20Research/ Collisions%20avoidance%20features/ 29.7- Mercedes.pdf. Accessed on: Apr. 12 2016. [12] Highway Loss Data Institute, “Buick collision avoidance features: initial results, Vol. 28, No. 22,” 2011. [Online] Available: www.iihs.org/ media/ cc9c4b27-7a86- 4299-b2d4-10e61eb6b6f5/ - 322649981/ HLDI%20Research/ Collisions%20avoidance%20features/ 28.22- Buick.pdf. Accessed on: Apr. 12 2016. [13] K. Gschwendtner, M. Lienkamp, M. Kiss, and J. Gwehenberger, “"In-Depth"- Sachschadenanalyse, Anforderungen und Potenziale,” (deu), VKU, 2014. 38 <?page no="51"?> 1.2 Monetäre Effektivitätsbewertung von Fahrerassistenzsystemen im Bereich Parken und Rangieren [14] K. Gschwendtner, Sachschadenanalyse zur Potenzialermittlung von Fahrerassistenzsystemen - von der Unfalltypen-Erweiterung zum Kundenwert. München: Dr. Hut, 2015. [15] J. Gwehenberger, “Wie wirksam sind Fahrerassistenzsysteme vom Bagatellschaden bis zum schweren Unfall? ,” (de), VKU, vol. 50, no. 2, pp. 60-65, 2012. [16] S. Busch, Entwicklung einer Bewertungsmethodik zur Prognose des Sicherheitsgewinns ausgewählter Fahrerassistenzsysteme. Düsseldorf: VDI-Verlag, 2005. [17] L. Hannawald, Multivariate Bewertung zukünftiger Fahrzeugsicherheit: Entwicklung eines Modells zur Bewertung zukünftiger Fahrzeugsicherheit unter Berücksichtigung der Wechselwirkungen von Sicherheitssystemen. Düsseldorf: VDI- Verlag, 2008. [18] P. Feig et al., “Deriving System Parameters of a 360° Low Speed Autonomous Emergency Braking Driver Assistance System for Parking and Maneuvering Based on Naturalistic Driving Studies,” in 2017 IEEE International Conference on Vehicular Electronics and Safety. [19] Philip Feig, Julian Schatz, Christian Dörfler, and Markus Lienkamp, “Testprotokoll für Fahrerassistenzsysteme im Bereich Parken und Rangieren,” Technische Universität München, Garching b. München, 2017. [20] Research Council for Automobile Repairs (RCAR), Ed., “Procedure for assessing the performance of Reverse Autonomous Emergency Braking (R-AEB) systems in rear collisions,” Version 1.0, Jan. 2017. [Online] Available: http: / / www.rcar.org/ Papers/ MemberPapers/ Reverse%20AutoBrake%20Test%20 Procedure.pdf. Accessed on: Feb. 01 2017. [21] Transport information and control systems - Manoeuvring Aids for Low Speed Operation (MALSO) - Performance requirements and test procedures, 17386, 2010. 39 <?page no="52"?> 1.3 Prospective safety assessment of highly automated driving functions using agent-based traffic simulation / Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation Lei Wang, Felix Fahrenkrog, Klaus Kompaß Abstract This paper presents a technique used by BMW for assessing safety performance of highly automated driving functions using virtual experiments. The basic technology is an agent-based simulation engine, which is continuously developed as an open source software “Open Platform for Assessment of Safety Systems” (openPASS) under the Eclipse Foundation. Traffic participants or agents are modeled with the proprietary “stochastic cognitive model” (SCM) to describe human traffic participants, as well as sensor and functional models to describe agents with ADAS or automated driving. The paper will present two main designs appropriate for the challenges of safety performance analysis of automated driving. One virtual design, similar to ADAS assessment, involves preliminary identification of specific (rare but important) scenarios that are potentially complex or high-risk. Typically, safety performance of automated vehicles is then tested by repeated virtual trials (simulations). In each trial, characteristics of agents and traffic environments are randomly drawn from appropriate model distributions. These simulations usually have a short temporal and spatial focus and involve relatively few interactions. A second design is a “virtual FOT” simulation, involving generic initial conditions, a longer road section and many interactions. The virtual FOT can reveal scenarios whose risks are not evident a priori, but which emerge in the course of simulation. The applications will illustrate the virtual testing methods in lane-ending and jamapproach scenarios. The analysis is limited to motorway scenarios. Kurzfassung Dieser Beitrag stellt eine auf virtuellen Experimenten basierende Methodik vor, die von BMW für die Wirksamkeitsanalyse von hochautomatisierten Fahrfunktionen eingesetzt wird. Die Basis der Untersuchung sind agentenbasierte Verkehrssimulationen, die mit der Open-Source Software "Open Platform for Assessment of Safety Systems" (openPASS) umgesetzt werden. Die menschlichen Verkehrsteilnehmer bzw. Agenten werden durch das proprietäre "stochastische kognitive Modell" (SCM) simuliert. Neben dem Fahrerverhalten werden in der Simulationsplattform die Sensorik und Funktionslogik von Fahrerassistenzsystemen (FAS) und automatisierten Fahrfunktionen (AF) ebenfalls dargestellt. 40 <?page no="53"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation Für die Wirksamkeitsanalyse von automatisierten Fahrfunktionen werden zwei Simulationsansätze näher erläutert. Beim ersten Ansatz erfolgen analog zum Vorgehen bei FAS Simulationen von Fahrszenarien. Die Fahrszenarien werden hierbei vorher identifiziert und repräsentieren typischerweise die durch die untersuchte Funktion adressierten Unfallszenarien. Die Wirksamkeit einer Funktion wird dann auf Basis wiederholter virtueller Versuche (Trials) ermittelt. Hierbei werden in jedem Trial die Charakteristika von Agenten sowie Parameter der Situation (z.B. der Verkehr) stochastisch aus entsprechenden Verteilungen gezogen. Diese Simulationen haben in der Regel eine kurze Dauer und fokussieren auf einen sehr kleinen Ausschnitt des Verkehrsgeschehens. Der zweite Simulationsansatz ist ein "virtueller Feldversuch". Dieser Ansatz beruht auf generischen Anfangsbedingungen und umfasst die Simulation eines zeitlich wie räumlich längeren Straßenabschnittes. Dadurch treten während der Simulationen viele Wechselwirkungen zwischen den Agenten unter realistischen Bedingungen auf. Mit Hilfe dieses Ansatzes lassen sich neben der Analyse der Auftrittsfrequenz von bekannten Fahrszenarien auch Szenarien aufdecken, die zunächst unbekannt oder als nicht relevant eingestuft worden sind. Abschließend wird die o.g. Simulationsmethodik anhand von zwei Beispielfahrszenarien (Gegenstand im Fahrstreifen und Auffahren auf Stauende) gezeigt. 1 Einleitung Auf der Grundlage umfassender sensorbasierter Umgebungserfassung wird die Vision des automatisierten Fahrens bereits heute in Forschungsfahrzeugen realisiert (z. B. [1, 2]). Ferner unterstützen heutzutage Fahrerassistenzsysteme (FAS) den Fahrer in herausfordernden und kritischen Situationen. Durch AF wird der Fahrer zukünftig - zumindest zeitweise - von der Fahraufgabe befreit werden. Dieser Umstand wird neben einem veränderten Mobilitätsverhalten auch sozioökonomische Aspekte beeinflussen. Es wird dabei von vielen Seiten davon ausgegangen, dass sich sozioökonomisch Vorteile insbesondere in Bezug auf einen verbesserten Verkehrsfluss, einen geringen Energiebedarf und vor allem eine gesteigerte Verkehrssicherheit ergeben [3]. Die Quantifizierung dieser Effekte beschäftigen nicht nur die Automobilhersteller, sondern auch andere Interessensgruppen, wie Zulieferer, Politiker, regulative Institutionen, Versicherungen und Verbraucherschutzorganisationen. Grundsätzlich ist die detaillierte Analyse der Auswirkungen einer Technologie auf die Verkehrssicherheit eine komplexe Aufgabe, die nach einer umfassenden Analyse des Verkehrsgeschehens verlangt (Abbildung 1). Dies gilt auch für AF. Die Herausforderung im Zusammenhang mit AF ist, dass diese Funktionen im Gegensatz zu konventionellen FAS nahezu alle Fahrszenarien adressieren und sich nicht auf einzelne wenige Anwendungsfälle beschränken lassen. Dies bedeutet, dass sowohl (lange) wenig herausfordernde Fahrtanteile, die i. A. mit einem geringen Gefahrenpotential einhergehen, als auch das Fahren in selten auftretenden herausfordernden und kritischen Fahrszenarien berücksichtigt werden müssen. Weiterhin ist zu beachten, dass auch negative Auswirkungen von FAS und AF auf die Verkehrssicherheit nicht auszuschließen sind. Als Beispiele sind mögliche Fehlverhalten einer Funktion oder erhöhtes Unfallrisiko für den rückwärtigen Verkehr etwa durch eine systeminitiierte Gefahrenbremsung zu nennen. Eine umfassende Be- 41 <?page no="54"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation trachtung der Wirksamkeit einer Technologie auf die Verkehrssicherheit bedarf also einer objektiven Verkehrssicherheitsmetrik, die auch mögliche Nebeneffekte berücksichtigt [5, 6, 7, 8]. Abbildung 1: Veränderungen in der Verkehrssicherheit durch eine Technologie, wie z.B. das automatisierte Fahren (nach [4]) 2 Ansätze zur Bewertung der Wirksamkeit Bei der Bewertung der Wirksamkeit einer Technologie hinsichtlich der Verkehrssicherheit muss grundsätzlich zwischen retrospektiven und prospektiven Ansätzen unterschieden werden. Beiden Ansätzen ist gemein, dass für die Wirksamkeitsanalyse ein Gruppenvergleich zwischen einer Gruppe ohne („Baseline“) und einer Gruppe mit der betrachteten Technologie („Treatment“) durchgeführt wird. Beide Ansätze werden im Folgenden kurz vorgestellt bevor auf die notwendigen Adaptionen für die Bewertung automatisierter Fahrfunktionen eingegangen wird. 2.1 Retrospektive Bewertungsverfahren und deren Herausforderungen Die retrospektive Wirksamkeitsanalyse analysiert Unfalldaten, um Informationen über die Ausstattung der in Unfällen involvierten Fahrzeuge zu gewinnen [9]. Hierbei sind sowohl Vergleiche zwischen verschiedenen Fahrzeugen innerhalb einer Fahrzeugklasse als auch Vergleiche zwischen verschiedenen Fahrzeuggenerationen möglich. Die Grundvoraussetzung für die retrospektive Bewertung ist, dass die Technologie bereits in den Markt eingeführt worden ist. Die Markteinführung ist aber nicht die alleinige notwendige Voraussetzung. Eine weitere Voraussetzung leitet sich aus den notwendigen statistischen Analysen ab. Diese verlangen für aussagekräftige Ergebnisse nach einer ausreichend hohen Anzahl an Ereignissen. Da allerdings Verkehrsunfälle grundsätzlich eher selten sind, bedarf es hierfür häufig längerer Beobach- 42 <?page no="55"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation tungszeiträume [5]. Aus diesem Grund ist die retrospektive Wirksamkeitsanalyse auch nicht direkt nach der Markteinführung einer Technologie einsetzbar. Ferner ist zu berücksichtigen, dass ein langer Beobachtungszeitraum dazu führen kann, dass der Effekt einer Technologie durch andere Effekte überlagert werden könnte. Weiterhin muss berücksichtigt werden, dass eine Technologie i.d.R. bei verschiedenen Herstellern unterschiedliche Ausprägungen (z. B. Aktivierungszeitpunkt, Eingriffsstärke) hat. All diese Herausforderungen machen bei einer retrospektiven Wirksamkeitsanalyse eine eindeutige Interpretation der Ergebnisse und kausale Schlussfolgerungen schwierig bis unmöglich [6, 7]. Dies gilt insbesondere dann, wenn detaillierte Aussagen über Konsequenzen einer Maßnahme einer Technologie (Warnung oder Eingriff) in speziellen Fahrszenarien gemacht werden sollen. Als Beispiel sei die Situation eines am Fahrbahnrand wartenden Fußgängers genannt. Diese Situation beinhaltet das inhärente Risiko, dass der Fußgänger plötzlich auf die Fahrbahn treten könnte. In diesem Fall wäre eine Warnung notwendig, um die Aufmerksamkeit des Fahrers auf die Gefahr zu richten und ihm / ihr die Möglichkeit zu geben, die drohende Kollision zu verhindern. In den meisten Fällen wird der Fußgänger allerdings am Fahrbahnrand stehen bleiben, sodass eine Warnung in diesem Fall unnötig wäre und als Fehlalarm empfunden würde. Aus diesem Grund bedarf die Wirksamkeitsbewertung einer Sicherheitsfunktion stets einer gründlichen Analyse einer großen Anzahl von Einzelfällen unter Berücksichtigung vielfältiger Interaktionen auf einer mikroskopischen Ebene. In diesem Zusammenhang sei auch darauf hingewiesen, dass eine holistische Betrachtung der Situation nicht nur bei der finalen Wirksamkeitsbewertung eine Rolle spielen sollte, sondern auch bereits bei der Bewertung der Technologie in der frühen Entwicklungsphase in Hinblick auf Optimierung der Funktion und Maximierung der Wirksamkeit eines Systems. Zusammenfassend kann festgehalten werden, dass die retrospektive Wirksamkeitsanalyse nur eine Ex-post-Bewertung der Technologie zulässt. Folglich lässt dieser Ansatz keine Bewertung einer Technologie in der frühen Entwicklungsphase zu. 2.2. Prospektive Wirksamkeitsanalyse Die prospektive Wirksamkeitsanalyse stellt eine vorwärts gerichtete Bewertung dar, die auch schon vor der Markteinführung einer Technologie möglich ist und die deren Auswirkungen auf die Verkehrssicherheit prognostiziert. Grundsätzlich kommen für diese Analyse verschiede Methoden in Frage, wie z.B. Feldversuche (FOT), Fahrsimulatorstudien oder Simulation. Der Feldversuch stellte eine sehr ressourcenaufwändige Untersuchungsmethodik dar, die zudem i. A. aufgrund der geringen Unfallhäufigkeit keine statische Untersuchung von Verkehrsunfällen erlaubt. Untersuchungen im Fahrsimulator sind dagegen vor allem in Bezug auf die Anzahl der untersuchten Situationen limitiert. Somit fällt die Wahl fast zwangsläufig auf simulative Ansätze, da diese die Untersuchung der Wirkung einer Technologie in verschiedensten Situationen bei überschaubarem Ressourcenaufwand erlauben. Dabei stellt aufgrund des virtuellen Charakters der Analyse die Validität der Situation eine zentrale Herausforderung dar. 43 <?page no="56"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation Der simulative Ansatz für die prospektive Wirksamkeitsanalyse basiert auf dem Konzept der virtuellen Experimente, wie es in Abbildung 2 dargestellt ist. Hierzu wird das reale Verkehrsgeschehen durch simulierten Verkehr ersetzt. Auch die weiteren (realen) Bestandteile, wie Fahrer, Fahrzeug und Funktion, werden durch Modelle ersetzt. Abbildung 2: Prozess der virtuellen prospektiven Wirksamkeitsanalyse Das Grundprinzip dieses Ansatzes basiert auf einer hohen Anzahl an zufällig generierten virtuellen Versuchen, die sowohl für die Kontrollgruppe ohne die zu untersuchende Technologie (Baseline) als auch für die Testgruppe mit der Technologie (Treatment) durchgeführt werden. Zur Bestimmung der einzelnen Versuche werden zunächst relevante Szenarien identifiziert. Diese Szenarien stehen in Zusammenhang mit dem Anwendungsfall der untersuchten Technologie oder stellen in Bezug auf die Verkehrssicherheit herausfordernde Szenarien dar. Aus der Szenarienspezifikation werden dann die einzelnen Trials stochastisch realisiert - durch Variation im Grundaufbau der Fahrszenarien und der Charaktereigenschaften und Verhaltensweisen der Verkehrsteilnehmer (im Folgenden Agenten genannt). Auf Basis der durchgeführten Simulationen können Analysen bzgl. relevanter Indikatoren (z. B. Auftreten eines Unfalls) durchgeführt werden. Abschließend kann die Wirksamkeit einer Technologie durch den Vergleich aller Simulationen für die Baseline- und Treatment-Gruppe auf Basis statistischer Tests quantifiziert werden. Diese Fahrszenarien sind dabei in ihrer zeitlichen wie räumlichen Ausprägung stark limitiert. Das betrachtete Zeitintervall umfasst i.d.R. nur wenige Sekunden. Der zeitliche und räumliche Charakter einer Simulation sowie die Anzahl der betrachteten Agenten kann aber grundsätzlich beliebig skaliert werden. Eine Erweiterung kann theoretisch so weit erfolgen, dass bereits von einem „virtuellen Feldtest“ gesprochen werden kann. Dies stellt eine mögliche Erweiterung des beschriebenen Ansatzes dar. Ziel dieser Erweiterung ist es, Aussagen über die Auftrittshäufigkeit von bestimmten Ereignissen sowie bisher nicht betrachteten oder unbekannten Fahrszenarien zu treffen. Auch die Anzahl der durchgeführten Versuche ist dabei frei skalierbar. Es muss sichergestellt werden, dass die Stichprobengröße für die statistischen Analysen 44 <?page no="57"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation ausreichend groß ist. Dabei ist zu berücksichtigen, dass die benötigte Stichprobengröße i. A. von der Höhe des zu erwartenden Sicherheitseffekts der Technologie abhängig ist. Da Unfälle relativ selten sind, wird grundsätzlich für die Wirksamkeitsanalyse eine hohe Anzahl an Trials benötigt, um eine belastbare Menge an Ereignissen für die Analyse sicher zu stellen. Im Gegensatz zu anderen Methoden lässt sich diese mit Hilfe von virtueller Simulation vergleichsweise schnell und kosteneffizient erzielen. Aufgrund der hohen Komplexität möglicher Sicherheitseffekte einer Technologie - insbesondere AF - bedarf es einer Metrik, die den Effekt einer Technologie adäquat quantifiziert. Idealerweise erfolgt die Bewertung auf zwei Ebenen. Auf der ersten Ebene werden die Verhältnisse zwischen den einzelnen möglichen Systemreaktionen innerhalb der Situations-Systemreaktionsmatrix bewertet (siehe Abbildung 3). Dabei ist ein wesentliches Merkmal die relative Häufigkeit richtiger Systemeingriffe („true positive“) bezogen auf alle betrachteten Fahrszenarien. Dieses Merkmal findet Anwendung analog zu dem in der Medizin verwendeten Merkmal „NNT“ (“number needed to treat”) [11, 12, 13]. Das Merkmal kann dabei für jede Form der Systemreaktion (z. B. Warnung, Eingriff) gesondert bestimmt werden. Abbildung 3: Klassifizierung möglicher Systemeingriffe in dem zeitlichen Verlauf eines Fahrszenarios nach [10] Die zweite Bewertungsebene quantifiziert die Häufigkeit von Kollisionen und deren Folgen in Form von unterschiedlichen Verletzungsschweren oder Sachschäden. Zur Quantifizierung der Unfallfolgen bezogen auf Verletzungen der Fahrzeuginsassen werden i. A. Wahrscheinlichkeitsmodelle - auch Verletzungsrisikofunktionen genannt - eingesetzt. Sie prognostizieren basierend auf den zuvor in der Simulation ergebenen Unfallcharakteristika die Unfallschwere z. B. als Wahrscheinlichkeit einer MAIS (Maximum Abbreviated Injury Scale) Verletzung. Zur Bestimmung der Verletzungsrisikofunktionen gibt es verschiedene gleichwertige Ansätze. Ein weitverbreiteter Ansatz ist die Bestimmung einer Zusammenhangsfunktion (z. B. Regressionsanalyse), die auf existierende Unfalldatenbanken angewendet werden kann (z. B., [12, 14, 15, 16]). Eine Alternative zu den Verletzungsrisikofunktionen stellt die Kollisionssimulation dar. Hierbei werden die Unfallfolgen mittels einer detaillierten „Co-Simulation“ untersucht, die aufgrund der entstehenden Beschleunigungen bei der Kollision eine Bestimmung der Konsequenzen zulässt [17, 18]. 45 <?page no="58"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation 2.3. Modellierung sicherheitsrelevanter Prozesse im virtuellen Verkehr Die Leistung einer Technologie bezogen auf die Verkehrssicherheit hängt von verschiedenen Prozessen bzw. Größen ab. Beispielhaft seien an dieser Stelle genannt: Zustand verschiedener verkehrsbezogener Variablen (z. B. Verkehrsstärke), Dynamiken der Fahrer-Fahrzeug-Einheit unter Berücksichtigung menschlicher Aspekte, involvierter Technologien sowie Umweltbedingungen. Ferner kann die Verkehrssicherheit als Ergebnis des Zusammenwirkens aller Verkehrselemente, namentlich des Fahrer-Fahrzeug-Regelkreises[19], der Infrastruktur und weiterer Umgebungsfaktoren sowie der geltenden Regularien verstanden werden. Im Rahmen der simulativen Sicherheitsbewertung ist eine realitätstreue Verkehrsrepräsentation in der Lage, die Auswirkungen der betrachteten Technologie auf alle sicherheitsrelevanten Prozesse darzustellen. Dieses Ziel ist weitaus anspruchsvoller als bei typischen Verkehrssimulationsanwendungen in der Vergangenheit, die sich mit dem Verständnis der Verkehrsinstabilität, der Optimierung makroskopischer Verkehrsströmungen oder dem Erkennen von Störungen in der Infrastruktur befasst haben. Für die Wirksamkeitsanalyse dagegen sollte die Simulation darüber hinaus in der Lage sein, die reale Leistung einer Technologie und des Fahrers unter Berücksichtigung relevanter technischer und menschlicher Prozesse im Verkehr abzubilden. Dies bedeutet, dass sowohl die Interaktion zwischen dem Fahrer und der betrachteten Technologie als auch die Interaktion mit dem umgebenden Verkehr simuliert werden muss. Betrachtet man AF, so mag die Interaktion im Vergleich zum FAS zwischen Fahrer und der Funktion limitiert sein. Dennoch bleibt die Interaktion mit dem Umgebungsverkehr bestehen (Abbildung 4). Abbildung 4: Mögliche Interaktion zwischen Fahrer-Fahrzeug-Umwelt unter Berücksichtigung eines FAS und einer AF (nach [20]) 46 <?page no="59"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation In der Simulation werden alle dynamischen und menschbezogenen Prozesse als zeitliche Abfolge von einzelnen Zuständen repräsentiert. Dabei können sich diese Zustände sowohl deterministisch als auch stochastisch verändern. Im Zusammenhang mit Prozessen, die zu einem Unfall führen, spielen dabei sich stochastisch verändernde Zustände eine wesentliche Rolle. Folglich müssen die in der Simulation eingesetzten Modelle nicht nur in der Lage sein, deterministische sondern auch stochastische Eigenschaften darzustellen. Ein Beispiel hierzu ist die Reaktionszeit eines Fahrers auf eine Warnung, die über verschiedene Fahrer stark variiert [21]. Wie das Beispiel bereits andeutet, stehen die meisten stochastischen Prozesse in Zusammenhang mit dem menschlichen Handeln. Es steht dabei außer Frage, dass für die meisten Unfälle die Prozesse, die zu diesen führen, zumindest zu irgendeinem Zeitpunkt in Zusammenhang mit menschlichem Verhalten stehen. Somit ist auch klar, dass eine Bewertung der Auswirkung einer Technologie auf die Verkehrssicherheit nur unter Berücksichtigung menschlicher Faktoren möglich ist. Diese Überlegungen haben zur Entwicklung des SCM geführt. Das wichtigste Merkmal dieses Fahrerverhaltensmodells ist die Berücksichtigung der kognitiven Struktur und Anwendung von stochastischen Prozessen zwecks Darstellung eines realistischen Fahrerverhaltens inklusive der Darstellung von Fahrerfehlverhalten. Das SCM- Fahrerverhaltensmodell besteht aus fünf Submodellen (siehe Abbildung 5), die nachfolgend kurz beschrieben sind: Abbildung 5: Übersichtsdarstellung des angewendeten Fahrerverhaltensmodells für die Wirksamkeitsanalyse • „Informationsaufnahme“: Dieses Submodell betrachtet die auditive, haptische und visuelle Wahrnehmung der Umgebung durch den Fahrer. Der Fokus innerhalb des Submodells liegt dabei auf der visuellen Wahrnehmung, die das periphere und foveale Sehen des Fahrers sowie die Blickverteilung berücksichtigt. • “Mentale Umfeldrepräsentation”: Dieses Submodell beschreibt die Erkennung von Situationsmustern auf Basis der aktuellen Informationsaufnahme sowie der Informationen aus dem Gedächtnis, das die Informationen aus den vorherigen Zeitschritten umfasst. Innerhalb des Submodells werden die Informationen zusammengefasst, um die aktuelle mikroskopische Verkehrssituation zu 47 <?page no="60"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation beschreiben und die erforderlichen Merkmale zur Bewertung der Situation für die nachfolgenden Schritte heraus zu filtern. • “Entscheidung”: In diesem Submodell wird die Situation auf Basis der zur Verfügung stehenden Information bewertet und mögliche Lösungsstrategien entwickelt. Das Submodell umfasst auch das Festlegen, welche Lösungsstrategie bzw. Aktion verfolgt werden soll. Dabei ist zu beachten, dass die Auswahl der Lösungsstrategie wiederum einer stochastischen Variation unterliegt. • “Handlungsmuster”: In diesem Modell wird auf Basis eines Handlungskataloges die getroffene Entscheidung in primäre (Beschleunigen, Bremsen, Lenken), sekundäre (z. B. Aktivierung des Fahrtrichtungsanzeigers oder der Hupe) und tertiäre (z. B. Nutzung des Telefons oder des Navigationsgerätes) Fahrhandlungen unterteilt. • “Handlungsimplementierung”: Abschließend werden die Informationen aus dem vorangegangen Submodell genutzt, um die Pedalposition (Fahr- und Bremspedal) sowie die Lenkradwinkelposition, die in letzter Konsequenz in einer longitudinalen und lateralen Beschleunigung des Fahrzeuges resultieren, zu bestimmen. 3 Herausforderungen bei der Bewertung von automatisieren Fahrfunktionen Sicherheitsorientierte FAS agieren mittels Warnungen des Fahrers und Eingriffen in die Fahrzeugdynamik in seltenen, auf die Verkehrssicherheit bezogenen, kritischen Ereignissen. Dabei erfolgen Warnungen oder Eingriffe unmittelbar bevor sich eine drohende Kollision ereignen würde. Automatisierte Fahrfunktionen dagegen agieren kontinuierlich während sie aktiv sind. Dies hat zur Folge, dass es für die Bewertung von AF nicht mehr genügt, ein paar Sekunden in einem Szenario zu betrachten. Vielmehr bedarf es hier einer Betrachtung des Verkehrsgeschehens über einen längeren Zeitraum, der bereits beginnt, bevor eine kritische Situation eintritt. Auf der anderen Seite ist eine gewisse Fokussierung auf bestimmte Szenarien in der Analyse aus technischen Gründen notwendig. Eine Option, den beiden Herausforderungen zu begegnen, ist die Definition von sogenannte „Top-Szenarien“. Die Top-Szenarien repräsentieren Verkehrsszenarien, in denen eine bestimmte (kritische) Fahrsituation auftritt. Der Prozess der Definition der Top-Szenarien ist in Abbildung 6 dargestellt und beruht auf drei Säulen - Analyse von Unfalldaten, Analyse von herausfordernden Fahrsituationen auf Basis der Funktionsbeschreibung sowie auf der Analyse von Dauerlaufsimulation. 48 <?page no="61"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation Abbildung 6: Prozess zur Identifikation von der Top-Szenarien für die Bewertung von AF Grundsätzlich kann eine (oder können) AF auf zwei Wegen zur Steigerung der Verkehrssicherheit betragen. Zum einen durch die unmittelbare Wirkung in einem Fahrszenario. In diesem Fall wird die latente Gefahr der Situation durch das Handeln der Funktion herabgesetzt. Die zweite Möglichkeit, Einfluss auf die Verkehrssicherheit zu nehmen, ist eine einsetzende Harmonisierung des Verkehrsflusses bei steigender Penetrationsrate der Technologie, (siehe beispielsweise [22]), die wiederum zu einer Reduktion von kritischen Fahrszenarien führt. Betrachtet man die durch die Funktion adressierten Fahrszenarien, so muss festgestellt werden, dass der relevante Situationsraum einer AF deutlich größer ist als für ein FAS. In Bezug auf die Bewertung der Wirksamkeit führt dies zu der neuen Herausforderung, dass die Vollständigkeit der Bewertung in Bezug auf den relevanten Situationsraum sichergestellt werden muss. Ein Ansatz, dieser Herausforderung zu begegnen, ist das Schaffen eines agilen, integrierten Prozesses, bei dem die Bewertung kontinuierlich mit neuen Situationen erweitert werden kann. Zusammenfassend kann festgestellt werden, dass die Herausforderungen bei der Wirksamkeitsanalyse von AF die folgenden Aspekte umfassen: realistische Modellierung aller relevanten Prozesse, Abdeckung eines großen und zum Teil unbekannten Situationsraums sowie die Simulationen umfangreicher Szenarien. In den folgenden Unterkapiteln wird auf mögliche Lösungsansätze für die einzelnen Aspekte eingegangen. 3.1. Prozess der Bewertung automatisierter Fahrfunktionen mittels Dauerlaufsimulation Neben den üblichen Forschungsmethoden (z. B. theoretische Risikobewertungen, Testen auf der Straße usw.) bietet die bereits oben genannte Dauerlaufsimulation neue Möglichkeiten für die "Entdeckung" relevanter Szenarien und ermöglicht die Sicherstellung der Abdeckung des relevanten Situationsraums. Bei diesem Ansatz 49 <?page no="62"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation werden keine relevanten Fahrszenarien explizit herbeigeführt (z. B. durch bestimmte, gegebene Einschränkungen). Vielmehr wird ein normaler Verkehrsablauf mit einer Vielzahl von Fahrzeugen über einen längeren Zeitraum simuliert. Im Laufe der Simulation entstehen auf eine natürliche Art und Weise (kritische) Fahrszenarien aufgrund des stochastischen Fahrerverhaltens der Agenten. Die Dauerlaufsimulation ist durch eine besonders hohe Komplexität des Verkehrsablaufes gekennzeichnet, die aus den zahlreichen direkten und erweiterten Interaktionen zwischen Verkehrsteilnehmern besteht. Dies bedeutet, dass für die Simulation auch die Prozesse im manuellen Verkehr, unter Berücksichtigung der hohen Abhängigkeit vom Verkehrskontext sowie den Fähigkeiten und Grenzen menschlicher Fahrer, abgebildet werden müssen [23, 24, 25, 7, 26, 19]. Eine grundsätzliche Frage und somit Gegenstand der Forschung und Entwicklung ist, inwieweit AF Fähigkeiten besitzen, die mit denen der menschlichen Fahrer vergleichbar sind. Einige sicherheitsrelevante Merkmale, wie z. B. Antizipation und defensives Fahren, könnten bei AF noch stärker ausgeprägt sein als bei menschlichen Fahrern. Folglich ist der Ansatz, AF mittels virtueller Dauerlaufsimulationen zu beurteilen, eine anspruchsvolle Anforderung - insbesondere in Bezug auf die Modellierung des menschlichen Verhaltens. Trotz des hohen Entwicklungsaufwands stellt die Dauerlaufsimulation eine sinnvolle Erweiterung dar, um den genannten Herausforderungen bei der Bewertung des automatisierten Fahrens zu begegnen. 3.2. Analyse automatisierter Fahrfunktionen in Top-Szenarien Ein wesentlicher Teil des potentiellen Beitrags von AF zur Verkehrssicherheit resultiert aus der Reduktion von kritischen Situationen und somit der Verringerung der latenten Gefahr einer Kollision. Für die Bewertung von AF bietet es sich an, dass Fahrszenarien zusammengefasst werden, die in unmittelbarem Zusammenhang mit einem bestimmten Konflikttyp stehen. Mittels der virtuellen Simulation der so gruppierten Fahrszenarien ist eine Quantifizierung der Effektivität einer automatisierten Fahrfunktion für spezielle Konflikttypen möglich. Die gesamte Sicherheitsleistung der AF kann dann aus der gewichteten, konfliktspezifischen Leistung bestimmt werden. Die durch solche Gruppierung entstehenden konflikttypspezifischen Szenarien werden, wie anfangs des Kapitels eingeführt, als "Top-Szenarien" bezeichnet. Analog zu dem Vorgehen des virtuellen Designs für FAS kann darauf basierend eine entsprechende Referenzprobe für die Simulation bestimmt werden. Die einzelnen zu simulierenden Fahrszenarien werden stochastisch auf Basis der Verteilung der Szenarienparameter realisiert. Ein besonderes Augenmerk bei der Simulation der Fahrszenarien für eine AF bedarf der Sensorik der Funktion. Die Sensorik der Funktion unterliegt ebenso wie die Gesamtfunktion bestimmter Systemgrenzen, verschiedenen Unsicherheiten sowie Latenzen. Infolgedessen zeigen diese Systeme in der Praxis oftmals stochastische Eigenschaften. Beispielsweise kann die Zeit für eine stabile Objekterkennung mittels einer Kamera von einer partiellen Verdeckung des Objekts oder der Komplexität der Verkehrsszene abhängen. Die Merkmale der Technologie (wie z. B. die zeitgesteuerte "Zeit bis zur Kollision" für ein erkanntes Objekt) unterliegen daher auch korrespon- 50 <?page no="63"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation dierenden Latenzen und Unsicherheiten, die eine angemessene, meist stochastische Modellierung erfordern. Außerdem wirken sich Aktionen der Funktion häufig durch Stimulieren einer Fahrerreaktion (z. B. Warnungen) aus. Somit haben stochastische Merkmale auch bei der Abbildung der Funktion für die Wirksamkeitsanalyse eine große Bedeutung. Mit zunehmender Komplexität der Systeme kann eine valide Nachbildung der Funktionalität einer automatisierten Fahrfunktion erhebliche Anstrengung erfordern. Auch die Überprüfung, dass sich ein abstraktes Funktionsmodell tatsächlich wie die reale Funktion verhält, stellt mit zunehmender Systemkomplexität eine große und ressourcenaufwändige Herausforderung dar. Allerdings kann mit alternativen Ansätzen diese Herausforderung umgangen werden. Anstelle von abstrakten Modellen können reale Komponenten direkt mit der Simulation verbunden werden, indem eine geeignete Testeinrichtung (z. B. Hardware-in-the-Loop) verwendet wird [28]. Allerdings kann sich die Anbindung negativ auf die Simulationszeit auswirken, was wiederum zwangsläufig zu größeren Aufwänden führt. Neben der Wirkung in einzelnen Szenarien wird die Effektivität einer AF durch die Systemgrenzen der Funktion bestimmt. Diese hängen u. a. von Verkehrsbedingungen (z. B. Fahrzeuggeschwindigkeit oder Straßenklasse), Umgebungsbedingungen (Lichtverhältnisse, Wetter), oder weiteren Bedingungen für die automatische Systemaktivierung oder Deaktivierung ab. Darüber hinaus kann die Systemaktivierung durch den Fahrer oder andere menschliche Faktoren die Effektivität beeinflussen. Diese Faktoren müssen bei der Bewertung der Wirksamkeit ebenfalls Berücksichtigung finden. 3.3. Ansätze zur Validierung und Verifikation Ein weiteres wichtiges Thema im Zusammenhang mit der simulativen Wirksamkeitsanalyse betrifft den Aspekt der Validierung und Verifikation. Denn die Qualität der eingesetzten Modelle ist für die Gültigkeit des Ergebnisses von zentraler Bedeutung. Validierung und Verifikation sollten, sowohl für einzelne Prozessmodellen, als auch in letzter Konsequenz, auf der Ebene der Gesamtmethodik durch die Überprüfung der Simulationsergebnisse hinschlicht ihrer Korrektheit erfolgen. Dabei sollten geeignete Testverfahren zum Einsatz kommen, die sich für unterschiedliche Modelle durchaus unterscheiden können. Beispielsweise können Testfahrten auf einer Teststrecke genutzt werden, um das Fahrzeugmodell zu überprüfen, während Versuche im Fahrsimulator zur Überprüfung von Aspekten des Fahrermodells herangezogen werden können. 4 Anwendung der Methode zur Wirksamkeitsanalyse Die Durchführung der virtuellen, szenario-basierten Simulation von AF soll im Folgenden beispielhaft für zwei Fahrszenarien auf der Autobahn dargestellt werden. Im Fahrszenario „Hindernis im Fahrsteifen“ wird der virtuelle Fahrer mit einem - aus Fahrersicht plötzlich - auftauchenden Gegenstand konfrontiert. Im Fahrsze- 51 <?page no="64"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation nario „Auffahren auf ein Stauende“ dagegen muss der Fahrer auf eine simulierte Staufront reagieren, wobei verschiedene Geschwindigkeiten für das Stauende berücksichtigt werden. Beide Fahrszenarien sind entsprechend dem in Abbildung 6 beschriebenen Vorgehen hergeleitet worden und repräsentieren entweder ein Szenario, das technisch für die Funktion anspruchsvoll ist (Hindernis im Fahrsteifen), oder aus Unfallsicht ein häufiges bzw. relevantes Szenario (Auffahrkonflikt am Stauende) darstellt. 4.1. Hindernis im Fahrstreifen In diesem Fahrszenario wird die Wirksamkeit einer theoretischen, automatisierten Fahrfunktion bezogen auf die Verkehrssicherheit bei einem Gegenstand, der die Weiterfahrt im Fahrstreifen verhindert, untersucht. Das Fahrszenario ist in Abbildung 7 dargestellt. Der Gegenstand (Hindernis) blockiert den mittleren der drei Fahrstreifen einer Autobahn, sodass der Fahrer im sich nährenden Fahrzeug entweder bremsen, oder eine der benachbarten Fahrstreifen wechseln muss, um nicht mit dem Gegenstand zu kollidieren. Abbildung 7: Top-Szenario „Hindernis im Fahrstreifen“ mit den drei relevanten Fahrzeugen (hellblau) und dem Hindernis (orange) Für die hier durchgeführte Wirksamkeitsanalyse wird sich auf die ersten drei Fahrzeuge, die sich dem Gegenstand näheren, fokussiert. Diese drei Fahrzeuge werden entweder vom SCM-Fahrerverhaltensmodell, das den menschlichen Fahrer repräsentiert, oder von der theoretischen AF gefahren. Der umgebende Verkehr wird immer vom SCM-Fahrerverhaltensmodell gefahren. Dieses Fahrszenario stellt nicht nur für die AF, sondern auch für den menschlichen Fahrer eine komplexe Herausforderung dar, da es einer Reihe von Entscheidungen zur Lösung der Situationen bedarf, die stark von dem wahrgenommen Zustand des Umgebungsverkehrs abhängen. Die möglichen Aktionen des Fahrers in dieser Situation sind das Bremsen im Fahrstreifen (1), ein Fahrstreifenwechsel auf einen benachbarten Fahrstreifen (links 2a, rechts 2b), der Abbruch eines Fahrstreifenwechsel einschließlich der Rückkehr in den ursprünglichen Fahrstreifen (links 3a, rechts 3b) und eine Kombination von Fahrstreifenwechsel und Bremsen (links 4a, rechts 4b). Hierbei ist auch zu beachten, dass, auf Grund der Annäherung des Objektes, der Fahrer unter einem gewissen Zeitdruck steht. Es sei an dieser Stelle auch darauf 52 <?page no="65"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation hingewiesen, dass die Zeit zur Entscheidungsfindung mit der Anzahl der möglichen Optionen „n“ steigt [27]. Sollte der Fahrer keine Reaktion unternehmen, oder mit seiner Aktion zu lange warten, wird er oder sie mit dem Gegenstand kollidieren, was somit die Default-Option (0) darstellt. Darüber hinaus kann der Fahrer bei einer unzureichenden Rückraumüberwachung im Falle eines eingeleiteten Fahrstreifenwechsels mit dem nachfolgenden Verkehr (links -1a, rechts -1b), oder mit einem Fahrzeug, das sich gerade im Totenwinkel befindet, (links -2a, rechts -2b) kollidieren, Somit ergeben sich alleine für diese Situation n = 12 mögliche Endkonstellationen. In den durchgeführten Simulationen sind vor allem zwei Unfalltypen beobachtet worden. Unfälle mit dem Objekt traten vor allem für die Folgefahrzeuge nach dem ersten relevanten Fahrzeug auf. Bei diesen Unfällen war meistens der Blick des Folgefahrzeuges auf das Hindernis sehr lange durch das Vorderfahrzeug blockiert, sodass der Fahrer des Folgefahrzeuges erst sehr spät erkennen kann, dass eine Handlung seinerseits bzw. ihrerseits notwendig ist. In diesem Fall kann i. A. selbst das Einleiten einer der oben beschriebenen Handlungsoptionen (1) - (4), den Unfall nicht mehr verhindern, da das Vermeidungsmanöver durch die physikalischen Gesetze limitiert wird. Den zweite Unfalltyp stellen Unfälle mit einem anderen Fahrzeug in einem der benachbarten Fahrstreifen dar. Diese Unfälle treten auf, wenn der Fahrer einen (plötzlichen) Fahrstreifenwechsel in einen der benachbarten Fahrstreifen, ohne eine hinreichende Absicherung gegenüber dem umgebenden Verkehr, unternimmt. Die für die Simulation angenommene AF unterscheidet sich in ihrem Verhalten in einigen Aspekten vom Verhalten des SCM-Fahrerverhaltensmodells. Zum einem erfolgt die Informationsaufnahme zu jedem Zeitpunkt für alle Umgebungsbereiche um das Fahrzeug, während das SCM- Fahrerverhaltensmodell immer nur aus einem Umgebungsbereich nach einer Blickfixation Informationen aufnehmen kann. Der zweite Unterschied betrifft die Genauigkeit der Einschätzung von Abständen und Geschwindigkeiten. Für die Funktion wird eine genauere Messung als bei der Abschätzung durch den Menschen vorausgesetzt. Der dritte Unterschied ist, dass die Auswahl der Handlungsoption bei der AF deterministisch, abhängig vom Umgebungszustand, erfolgt, wobei die Standardreaktion immer Bremsen ist. Für das menschliche Verhalten wird dagegen eine stochastische Auswahl der Handlung berücksichtigt. Abschließend wird auch davon ausgegangen, dass aufgrund der deterministischen Handlungsauswahl der Funktion sowie der verwendeten Sensorik in den meisten Fällen eine schnellere Reaktion als für den Menschen erfolgt ist. Für die 40.000 durchgeführten Simulationsdurchläufe ist ermittelt worden, ob es eine Kollision gegeben hat und falls ja, ob eines der drei relevanten Fahrzeuge involviert ist sowie zu welchem Zeitpunkt die Kollision aufgetreten ist. Grundsätzlich sind die Simulationen nach dem Auftreten der ersten Kollision - unabhängig vom Umstand, ob eines der relevanten Fahrzeuge involviert gewesen ist oder nicht - abgebrochen worden, da sich durch die Kollision der weitere Verlauf der Simulation stark ändern kann. Als Metrik zur Untersuchung der Wirksamkeit des Systems in der Simulation sind die Überlebenskurven (auch als Kaplan-Meier-Kurven bekannt) für beide Zustände über die jeweils durchgeführten Simulationen genutzt worden, siehe Abbildung 8. Diese Kurven stellen für jeden Zeitpunkt dar, wie viel Simulationsdurchläufe ohne Kollision verblieben sind. Dadurch erlauben diese Kurven nicht nur Rückschlüsse darauf, wie groß ein möglicher Sicherheitsgewinn ist, sondern auch darauf, wann der Sicherheitsgewinn eintritt. 53 <?page no="66"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation Abbildung 8: Ergebnisse der Simulationen des Szenarios „Hindernis im Fahrstreifen“ Die Ergebnisse in Abbildung 8 der Simulation zeigen einen Sicherheitsgewinn der AF gegenüber dem menschlichen Fahrer, der durch das SCM-Fahrerverhaltensmodell verkörpert wird. Die Wahrscheinlichkeit, keinen Unfall in diesem Fahrszenario zu erleiden, ist mit der Funktion um 28,3% höher. Zusätzlich lässt sich auch feststellen, dass mit der Funktion die mittlere Geschwindigkeit bei einem Unfall um 15% niedriger ist. Die Kaplan-Meier Kurven verdeutlichen die Dynamik des Fahrszenarios näher, welches sich in zwei Phasen unterteilen lässt. In der ersten Phase erfolgt die Annäherung an das Hindernis sowie das Ausweichen. Die Phase dauert für die drei Fahrzeuge im Durchschnitt ca. 17 s. In dieser Phase zeigt sich ein deutlicher Sicherheitsgewinn der Funktion gegenüber dem manuellen Fahren. Die zweite Phase umfasst die normale Fahrt nach dem Passieren des Gegenstandes. In dieser Phase können sich natürlich weiterhin Unfälle ereignen, wie z. B. beim Wiedereinordnen im ursprünglichen Fahrstreifen. Allerdings treten in dieser zweiten Phase deutlich weniger Unfälle auf. Auch der Unterschied zwischen manuellem und automatisiertem Fahren ist sehr gering, wie der nahezu parallele Verlauf der Kurven verdeutlicht. Tabelle 1: Einfluss verschiedener Szenarioparameter auf die Wirksamkeit der AF in “Hindernis im Fahrstreifen”-Szenario Anteil Simulation mit Kollision [-] Veränderung des Kollisionsrisikos [-] Parameter Wert SCM Fahrer AF Absolut Relativ Gesamt - 70,1% 41,8% -28.3% -40,4% Verkehrsaufkommen 900 veh./ h 69,1% 38,4% -30.5% -44,4% 1200 veh./ h 71,1% 45,2% -25.9% -36,4% Sichtweite 250 m 69,6% 43,5% -26.1% -37,5% 125 m 70,5% 40,1% -30.4% -43,1% 54 <?page no="67"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation Abschließend ist in Tabelle 1 der Einfluss verschiedener Szenarioparameter (Verkehrsstärke und Sichtweite) auf die Wirksamkeit dargestellt. In allen Szenarien wird das Risiko eines Unfalls zwischen 25% und 31% (relativ 36% und 44%) reduziert. 4.2 Auffahren auf ein Stauende Das zweite betrachtete Szenario “Auffahren auf ein Stauende” ist in Abbildung 9 dargestellt. In diesem Szenario entsteht ein Auffahrkonflikt, während sich das relevante Fahrzeug einem Stauende annähert. Die Herausforderung in diesem Fahrszenario resultiert aus der hohen Geschwindigkeitsdifferenz zwischen dem relevanten Fahrzeug und dem Stauende, welches entweder steht oder sich langsam bewegt (ca. 30 km/ h). Abbildung 9: Top-Szenario „Auffahren auf Stauende“ mit dem relevanten Fahrzeug (hellblau) und den umgebenden Verkehr (schwarz) Die Herausforderungen für einen Fahrer bestehen in dem korrekten Erfassen der Situation sowie in einem adäquaten Reagieren. Eine zu späte oder unangemessene, schwache Bremsreaktion des Fahrers wird zu einem Auffahren auf das Stauende führen. Dagegen kann ein Fahrstreifenwechsel, der bei einer asymmetrischen Staufront zwecks des Überholens des Staubeginns eingeleitet wird, zu einer Kollision mit dem Folgeverkehr führen. In den durchgeführten Simulationen sind vor allem Kollisionen, die auf den ersten Konflikttyp (nicht rechtzeitiges oder zu schwaches Verzögern) zurückzuführen sind, beobachtet worden. Für die Simulationen ist das relevante Fahrzeug mit derselben AF, wie im vorangegangen Szenario, ausgestattet worden. Analog des Vorgehens bei dem Fahrszenario „Hindernis im Fahrstreifen“ ist auch bei diesem Szenario für jeden der 8.000 Simulationsdurchläufe aufgezeichnet, ob und wann sich eine Kollision mit relevanten Fahrzeugen ereignet. Die Ergebnisse für die einzelnen Szenarioparameter sind in Abbildung 10 dargestellt. An dieser Stelle sei auch darauf hingewiesen, dass die Analyse Unfälle einschließt, die nicht durch das relevante Fahrzeug verursacht worden sind (z. B. das rückwärtige Fahrzeug verursacht den Auffahrunfall). Diese Unfälle wären nur über die Ausstattung weiterer Fahrzeuge mit der automatisierten Fahrfunktion adressierbar. 55 <?page no="68"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation Abbildung 10: Vergleich der verbleibenden Wahrscheinlichkeit für eine unfallfreie Simulation zwischen SCM und AF fürs Szenario „Auffahren auf Stauende“ in Abhängigkeit der Geschwindigkeitsvarianz des Verkehrs (hoch vs. niedrig) und der Geschwindigkeit des Stauendes (30 km/ h vs. 0 km/ h) Die Reduktion des Unfallrisikos ist sowohl für eine große wie auch für eine niedrige Geschwindigkeitsvarianz der Fahrgeschwindigkeit auf dem Fahrstreifen sowie für ein stehendes und ein langsam fahrendes Stauende untersucht worden. Das untersuchte System zeigt in allen Szenariokonfigurationen eine Reduktion des Unfallrisikos, siehe Tabelle 2. Tabelle 2: Relative Veränderung des Unfallrisikos für das relevante Fahrzeug durch AF in den verschiedenen Versuchsbedingungen Traffic jam speed 0 km/ h Traffic jam speed 30 km/ h Traffic variance low -27,9% -48,7% Traffic variance high -37,6% -46; 2% 56 <?page no="69"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation 5 Zusammenfassung und Ausblick Die Sicherheitsbewertung für automatisierte Fahrfunktionen bringt neue Herausforderungen mit sich. Im Gegensatz zur Bewertung von FAS muss die Bewertung von AF nahezu alle erdenklichen Fahrsituationen umfassen. Darüber hinaus müssen neuartige, automatisierungsbedingte Szenarien ebenfalls aufgedeckt und bewertet werden. Diesen Herausforderungen muss mit tieferem Verständnis des Verkehrs als kontinuierliche und komplexe Interaktionen zwischen den Verkehrsteilnehmern und deren Umgebung begegnet werden. Dabei spielt die agentenbasierte Verkehrssimulation, die darauf abzielt, den Straßenverkehr realitätsgetreu abzubilden, eine entscheidende Rolle. Diese Anforderung setzt eine umfassende, detaillierte und v.a. valide Modellierung von technischen und psychologischen Prozessen voraus, z. B. der Variation der kognitiven Leistungsfähigkeit in Abhängigkeit von Aktivierung (Yerkes- Dodson) [28]. Aus diesem Grund muss mittelfristig mit erheblichem Aufwand in der Modellierung aller relevanter Akteure (Fahrzeug, System, Fahrer und Umgebungsverkehr) gerechnet werden. Dieser hohe Entwicklungsaufwand zahlt sich allerdings langfristig durch höhere Wirksamkeit von FAS/ AF und substantielle Effizienzsteigerung in der Funktionsentwicklung aus. Die ersten Anwendungen dieser Methode und deren Ergebnisse zeigen bereits ein vielversprechendes Potential für eine fundierte Prognose über die Einflüsse von AF auf die Verkehrssicherheit bereits in einer frühen Entwicklungsphase. In Anbetracht der tiefergreifenden Sicherheitseinflüsse von AF und somit der Wirksamkeitsanalyse ist ein breiter Konsens über die Methode und das Tooling unter den Stakeholdern der Verkehrssicherheit erstrebenswert. Daher hat sich die Initiative " Prospective Effectiveness Assessment for Road Safety " (P.E.A.R.S.) eine standardisierte und harmonisierte Methode für die Wirksamkeitsanalyse von FAS und AF, die von allen Interessensgruppen akzeptiert wird, zum Ziel gesetzt, um ein verlässlicheres Vorhersagemaß für eine objektive Betrachtung der individuellen und gesellschaftlichen Interessen im Zusammenhang mit AF zu ermöglichen. Literatur [1] M. Aeberhard. et al., “Experience, Results and Lessons Learned from Automated Driving on Germany’s Highways” in Intelligent Transportation Systems Magazine, IEEE, 2015, 7(1): 42-57. [2] M. Bahram et al., “Microscopic Traffic Simulation Based Evaluation of Highly Automated Driving on Highways”, in 17th International IEEE Conference on Intelligent Transportation Systems - ITSC 2014, IEEE, 2014. [3] A. Etemad and A. Bartels, “A Stepwise Market Introduction of Automated Driving” in 21st ITS World Congress, Detroit, 2014. [4] C. Hydén, “The development of a method for traffic safety evaluation: The Swedish Traffic Conflicts Technique”, in Bulletin 70, Department of Traffic Planning and Engineering, Lund University, Sweden, 1987. [5] F. Fahrenkrog et al., “Bewertung Aktiver Sicherheit: Vom Test zur Wirksamkeitsanalyse“, in ATZ, 2014, 1(116): 34-39. [6] T. Helmer et al., chapter “Requirements and methods to ensure a representative analysis of active safety systems”, in 11th International Symposium and 57 <?page no="70"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation Exhibition on Sophisticated Car Occupant Safety Systems, Fraunhofer-Institut für Chemische Technologie ICT, ISSN 0722-4087, 2012, pages 6.1-6.18 [7] K. Kompass et al., “Der Beitrag von Fahrerassistenzsystemen zur Aktiven und Passiven Sicherheit - die Integrale Sicherheit als Antwort auf die wachsenden Anforderungen an die Fahrzeugsicherheit“, in 4. Tagung Sicherheit durch Fahrerassistenz, 2010. [8] A. Weitzel et al., “Absicherungsstrategien für Fahrerassistenzsysteme mit Umfeldwahrnehmung“, in BASt-Bericht F98, Bundesanstalt für Straßenwesen, 2014. [9] T. Zangmeister et al., “Simultaneous evaluation of multiple safety functions in passenger vehicles“, in International Technical Conference on the Enhanced Safety of Vehicles, 20th ESV, 2007, pages 07-0174. [10] D. G. Kleinbaum and M. Klein, Logistic Regression. A Self Learning Text. Statistics for Biology and Health, Springer, 2010. [11] R. J. Cook and D. L. Sackett, “The number needed to treat: a clinically useful measure of treatment effect”, in British Medical Journal, 1995, 18: 452-454. [12] T. Helmer, Development of a Methodology for the Evaluation of Active Safety using the Example of Preventive Pedestrian Protection. ISBN 978-3-319- 12888-7, Springer Theses, Springer, 2015. [13] E. Schechtman, “Odds Ratio, Relative Risk, Absolute Risk Reduction, and the Number Needed to Treat - Which of These Should We Use? ” in Value in Health, 2002, 5(5): 431-436. [14] T. Helmer et al., “Injury risk to specific body regions of pedestrians in frontal car crashes modeled by empirical, in-depth accident data”, in Proceedings of the 54th Stapp Car Crash Conference, 2010. [15] T. Helmer et al., “Kinematical, physiological, and vehicle-related influences on pedestrian injury severity in frontal car crashes: multivariate analysis and cross-validation”, in Proceedings of the International Research Council On Biomechanics of Injury (IRCOBI), 2010, pages 181-198. [16] T. Helmer et al., “Predicting the Injury Severity of Pedestrians in Frontal Vehicle Crashes based on Empirical, In-depth Accident Data”, In International Journal of Intelligent Transportation Systems Research, 2011, 9(3): 139-151. [17] I. Ferenczi et al., chapter “Effectiveness analysis and virtual design of integrated safety systems illustrated using the example of integrated pedestrian and occupant protection”, in 12th International Symposium and Exhibition on Sophisticated Car Occupant Safety Systems, Fraunhofer-Institut für Chemische Technologie ICT, 2014. [18] P. Wimmer et al., “A Simulation Method for Virtual Design and Evaluation of Integrated Safety Systems”, in NAFEMS World Congress, 2013. [19] K. Kompass et al. “Safety and Comfort Systems: Introduction and Overview”, in Handbook of Intelligent Vehicles, Editor: A. Eskandarian, Springer, 2012. [20] R. Bernotat, “Anthropotechnik in der Fahrzeugführung“ in Ergonomics, 1970, 13(3): 353-377. [21] NHTSA Driver Performance Data Book, USDOT, 1987. 58 <?page no="71"?> 1.3 Wirksamkeitsanalyse automatisierter Fahrfunktionen mittels agentenbasierter Simulation [22] C. Steinhoff et al., “Problematik präventiver Schaltungen von Streckenbeeinflussungsanlagen“, in BMVBW Forschung Straßenbau 853, Bundesanstalt für Straßenwesen, 2001. [23] C. Domsch and W. Huber, “Integrale Sicherheit ein ganzheitlicher Ansatz für die Fahrzeugsicherheit“, in 17. Aachener Kolloquium Fahrzeug- und Motorentechnik, 2008. [24] T. Helmer et al., “Development of an integrated test bed and virtual laboratory for safety performance prediction in active safety systems (F2012-F05-005)”, in FISITA 2012 World Automotive Congress - Proceedings and Abstracts, ISBN 978-7-5640-6987-2, 2012. [25] W. Huber et al., “Der Fahrer steht im Mittelpunkt - Fahrerassistenz und Aktive Sicherheit bei der BMW Group“, in 24. VDI / VW-Gemeinschaftstagung - Integrierte Sicherheit und Fahrerassistenzsysteme, volume 2048 of VDI-Berichte, Düsseldorf, 2008, pages 123-137. [26] K. Kompass and W. Huber, “Integrale Sicherheit - Effektive Wertsteigerung in der Fahrzeugsicherheit“, in Technischer Kongress, VDA, 2009. [27] W. E. Hick, “On the rate of gain of information”, in Quarterly Journal of Experimental Psychology, 1952. [28] R. M. Yerkes and J. D. Dodson, “The relation of strength of stimulus to rapidity of habit-formation”, in Journal of Comparative Neurology and Psychology, 1908, 18: 459-482. 59 <?page no="72"?> Abstract Machine learning technologies such as neural networks show great potential for enabling automated driving functions in an open world context, for example, for videobased object detection and classification or trajectory planning. However, these technologies can only be released for series production if they can be demonstrated to be sufficiently safe. Existing functional safety standards such as ISO 26262 do not transfer well to demonstrating the safety of machine learning and in particular regarding functional insufficiencies in open context systems. Therefore, convincing arguments need to be developed for the safety of automated driving systems based on such technologies. A structured assurance case, based on the Goal Structuring Notation (GSN) is introduced as a means for providing such an argument. By following the assurance case principles, it becomes clear that a systems engineering approach is required to derive a precise definition of the performance requirements on the function to be implemented on which to base the safety case. This includes an explicit formulation of assumptions and contextual information relevant to the specific application. Kurzfassung Methoden zum Maschinellen Lernen, wie zum Beispiel Neuronale Netze, weisen ein großes Potential für Funktionen zum automatisierte Fahren im offenen Kontext auf. Zu diesen Funktionen gehören Video basierte Objekterkennung und -klassifikation wie auch Trajektorienplannung. Trotz allem können diese Ansätze nur für die Serienproduktion freigegeben werden, wenn ausreichend hohe Sicherheitsanforderungen nachgewiesen werden können. Bereits bestehende Standards zur Funktionalen Sicherheit, wie beispielsweise ISO 26262, können nur bedingt auf Maschinelles Lernen und insbesondere auf funktionale Unzulänglichkeiten im offenen Kontext übertragen werden. Daher muss eine überzeugende Argumentation für die Sicherheit des automatisierten Fahrens mit solchen Methoden aufgezeigt werden. Hierfür wird mit Hilfe der Goal Structuring Notation (GSN) ein strukturierter Sicherheitsnachweis eingeführt. Dabei ist eine systemanalytische Betrachtung nötig, um eine genaue Definition der Funktionsanforderungen an Leistung und Ausführung ableiten und schließlich darauf den Sicherheitsnachweis aufbauen zu können. Diese Definition enthält eine explizite Formulierung der Annahmen und kontextbezogenen Informationen, die eine bestimmte Anwendung betrifft. 2 Functional Safety / Funktionale Sicherheit 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases / Ein Sicherheitsnachweis für Machine-Learning im Kontext des automatisierten Fahrens Simon Burton, Lydia Gauerhof, Christian Heinzemann, Lutz Buerkle 60 <?page no="73"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases 1 Introduction System safety approaches are heavily impacted by the transition from hands-on (Levels 1-2 of [26]) driver assistance to hands-off automated driving (Levels 3-5). When operating in level 3-5, some functions cannot be simply deactivated upon detection of a component hardware fault, but have to remain available to ensure continued safe control of the vehicle (fail operational vs. fail safe) [21]. Moreover, the current driving situation including environmental conditions has to be continually monitored and judgements made regarding subsequent actions, so that critical driving situations are avoided under all possible circumstances [31]. The application of machine learning (e.g. for perception [20]) is seen as a promising answer to some of the functional challenges of highly automated driving (HAD) because of the ability to extract relevant features within an unstructured input space. Nevertheless, systems based on machine learning have to be argued to be acceptably safe before being released into the public domain. On the one hand, adherence to ISO 26262 [17] remains a necessary pre-requisite for demonstrating the safety of HAD in order to ensure a reliable and fault tolerant implementation of the system with respect to random hardware and systematic failures. On the other hand, the standard does not transfer well to the application of machine learning for open context systems, i.e., systems where the operational context and the environmental conditions for operation cannot be exhaustively defined at design time. As an example, the development and verification methods contained within part 6 of the standard do not address the problem that when applying machine learning approaches, the functionality itself is essentially embedded in highly dimensional data matrices [12]. Verification techniques such as coding guidelines and white-box code coverage [23] provide no relevant insights for this kind of functionality. Moreover, ISO 26262 contains little guidance on how to address insufficiencies of the system due inherent restrictions in sensors, actuators or the inadequacy of the target function itself. Although extensions to the standard, such as “Safety of the Intended Function” (SOTIF), aim to address some of these issues, they are mainly considering driver assistance rather than HAD systems [3]. The ability of the system to meet its safety goals must therefore be argued based on “first principles” where adherence to a standard is only one part of the overall argument. An assurance case [16] provides a structured argument that a set of claims regarding the safety of a system is justified for a given function based on a set of assumptions over its operational context. In this way, a justified measure of confidence that a system will function as intended in its environment of use is provided. In this paper we will demonstrate how assurance case approaches can be used to argue the safety of machine learning within the scope of HAD. Firstly, we discuss different uses of machine learning and their impact on reasoning about system safety (Section 2). Using a systematic analysis of claims, context and assumptions, we demonstrate that the question of safety for a machine learning function cannot be answered without a detailed understanding of the system context (Section 3). This argumentation path will focus on mitigating the main causes of functional insufficiencies in machine learning based functions (Section 4). Finally, we summarise techniques that could be used to create the evidence required to support the assurance case claims (Section 5). The Goal Structuring Notation [30] is used to outline the argumentation. However, our example should not be regarded as a comprehensive safety case. In conclusion, we present future work required in this area. 61 <?page no="74"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases 2 Machine Learning and Safety The types of machine learning techniques and their integration context have a significant impact on the ability to argue the overall system safety. The following criteria should therefore be considered when evaluating the impact of machine learning on the overall safety case: • Scope of the Function: Within a HAD functional architecture, various tasks can be implemented using machine learning approaches. The more specific the task is (i.e., for a particular calculation within the overall signal processing chain), the better the performance criteria on the function can be defined, thus facilitating targeted validation and verification. The application of machine learning techniques for end-to-end learning has also been proposed [6]. Such approaches involve the machine learning function performing data fusion of various sensor inputs (e.g. camera and radar data), trajectory planning and decision making and eventual vehicle control (braking, acceleration, steering). Safety requirements for end-toend learning approaches are consequently more abstract due to the higher-level scope of the function (e.g. avoid collisions with other vehicles) thus making the task of formulating and validating measurable performance criteria significantly more difficult [28]. • Learning technique: Probabilistic inference and statistical learning techniques include methods such as Support Vector Machines [7], Gaussian Processes [24], Markov decision process [9] and Bayesian Networks [10]. These approaches build statistical models based on training data and typically exhibit a continuous behaviour with increasing accuracy of results the more they are trained until an overfitting starts to occur. Deep learning algorithms apply multiple processing layers, composed of multiple linear and non-linear transformations to model high-level abstractions within the input data [12]. Examples of which are Convolutional Neural Networks 1 (CNNs, [12, ch. 9]) which show significant potential for processing images [20]. These algorithms add additional challenges due to the lack of transparency and explainability [5] in the features learned at deeper layers and vulnerability to unpredictable “adversarial examples” [11]. Moreover, a suitable set of hyperparameters (e.g. filters, max pooling) need to be chosen to optimise the application-specific performance of a CNN. • Learning time: Machine learning functions that are trained during the development phase (for example using offline supervised learning) can be validated as part of a system release strategy. Online training techniques, such as reinforcement learning, involve continuously adapting the function during execution (i.e. while driving). Furthermore, approaches can be distinguished between centralized training (functions are trained once for all vehicles of a particular type) or decentralized training (in this case individual vehicles learn on their own and differ from each other in their learning progress). Techniques which continue their training online must be embedded within a context that ensures that the function remains within a safe envelope as it adapts to its environment in the field. Therefore, unless a sufficiently complete set of invariants for a safe operating envelope 1 See https: / / www.youtube.com/ watch? v=u6aEYuemt0M for an introduction. 62 <?page no="75"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases can be deterministically defined, decentralized, online training imposes the greatest challenges for safety validation. • Distance between critical events: Events exist that must be handled correctly by the system to ensure safety goals are met but are typically under-represented in the training data for the machine learning function. This is either because they occur rarely in reality or because the collection of sufficient training data itself represents an unacceptable risk (e.g., children appearing suddenly on the road or the car being close to loosing traction). As a result, alternative methods are required to ensure that such situations can be adequately covered during training and validation to ensure that they are equally well handled by the system as commonly occurring situations. The challenges involved in providing a convincing assurance case for the system will heavily depend on the scope of the function as defined by the above dimensions. It is highly recommended that machine learning in series development of HAD systems is initially applied for offline, centrally trained functions, implementing well specified detection tasks which can be supported by plausibility checks based on alternative channels within the system context. One such example application, which shall be referenced in the rest of this paper, is the application of CNNs to detect (i.e. classify and localize) objects based on camera images as part of a collision avoidance system for self driving vehicles. 3 Application Context The argumentation structure of the assurance case outlined in this paper will be described using GSN [30]. A GSN graph provides an overview of the argument by illustrating the relationship between claims, also known as goals (rectangles), their context (boxes with rounded edges) and assumptions (ovals). Claims can either be directly supported by evidence (circles) or an argumentation strategy (parallelogram) can be used to derive a set of refined claims. Subclaims that are not elaborated further in the argument are annoted with a diamond shape (e.g. G2). The Goal G1 that forms the top-level claim of the assurance case scope addressed in this paper will focus on the contribution of the machine learning function to functional insufficiencies in the system and can be defined as follows: • G1: The residual risk associated with functional insufficiencies in the object detection function is acceptable. Arguing the contribution to the residual risk due to functional insufficiencies requires a detailed understanding of the functional and performance requirements on the object detection function within the overall system context. These requirements are referenced by the following Context element C1 of the argument: • C1: Definition of functional and performance requirements on the object detection function. 63 <?page no="76"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases G1 The residual risk associated with functional insufficiences in the object detection and classification function is acc eptable. S1 Argument over causes of functional insufficiencies in machine learning. C1 Definition of functional and performance requirements on the object classification function. A A1 Assumptions on the operational profile of the system. G2 The operating context is well defined and reflected in training data. G4 The function exhibits a uniform behaviour over critical classes of situations. A A2 Assumptions on the inputs to the mac hine learning function. A A3 Assumptions on the performance potential of machine learning. G3 The function is robust against distributional shift in the environment. G5 The function is robust against differences between its training and execution platforms. G6 The function is robust against changes in its system context. C2 Causes of functional insufficiencies in machine learning Figure 1: Assurance Case Structure An assurance case structure at the system level is nevertheless required that leads to a definition of the performance requirements and risk contribution allocated to the machine learning function. An argument is also required that the contributions of sys- 64 <?page no="77"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases tematic failures and random hardware faults are also adequately covered, for example based on an ISO 26262 related argument. The development of these arguments also leads to significant unsolved challenges in the engineering and validation of HAD systems, but are outside the scope of this paper. The derivation of performance (safety) requirements within the system context is one of the key contributions to ensuring overall system safety and requires deep domain and system knowledge. Deriving a suitable set of requirements for open context systems is a non-trivial task in itself, systematic approaches to systems engineering are therefore indispensable. Figure 2 illustrates how a machine learning function could be embedded within its system context. Typical requirements that might be derived at the level of the machine learning function could include for example: Locate objects of class person from a distance of 𝑋1 , with a lateral accuracy of 𝑋2 , a false negative rate of 𝑋3 and false positive rate of 𝑋4 . The parameters 𝑋1, 𝑋2, 𝑋3, 𝑋4 can be functions that depend on the velocity of the ego vehicle or time to collision (TTC), respectively. The distance to an object 𝑋1 and the accuracy 𝑋2 might be also limited by sensor range and resolution and by estimated relevant minimum width of objects (e.g. width of infant legs), while a false negative rate of 𝑋3 and false positive rate of 𝑋4 can be tuned by training, evaluation parameters or system measures (e.g. data fusion). Such requirements provide a clear measure of performance for the machine learning environment, but also imply a number of assumptions on the system context. These assumptions might include that the braking distance and speed are sufficient to react when detecting persons for example 100𝑚 ahead of the planned trajectory of the vehicle and that other system measures are available to decrease the overall false negative and false positive rate to a sufficiently safe level, etc. As indicated in Figure 2, a design by contract approach is recommended whereby each functional component of the system is defined by a set of assumptions that needs to hold in order to ensure the specified behaviour. The following list contains typical assumptions that are relevant for the assurance case: • A1: Assumptions on the operational profile of the system’s environment. For example, the types and occurrence distribution of objects in the environment. • A2: Assumptions on attributes of inputs to the machine learning function. For example, the camera resolution is sufficient to be able to detect persons from a distance of 100m with the required accuracy. • A3: Assumptions on the performance potential of machine learning. For example, the chosen CNN approach has the intrinsic potential, given the right parameterization and set of learning data to fulfil the allocated performance requirements. 4 Causes of Functional Insufficiencies in Machine Learning The inherent uncertainty associated with machine learning techniques coupled with the open context environment leads to different causes of hazards compared to traditional, algorithmic and control law approaches to vehicle control. In order to argue the claim 65 <?page no="78"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases Confidential | CR/ AEX CE-SRA | 06/ 03/ 2017 © Robert Bosch GmbH 2017. All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights. 1 Open Context Assumptions Guarantees Guarantees Assumptions Information processing Guarantees Assumptions Action Additional computer-vision based analysis Guarantees Assumptions Decision Guarantees Assumptions Knowledge Guarantees Assumptions Sensing Alternative sensing methods, e.g. radar CNN for object detection Highly Automated Driving Function Figure 2: Functional architecture of a HAD system that functional insufficiencies within the machine learning function (here: camera based object detection, supervised training) are minimised, it is important to understand the causes of the insufficiencies. The assurance case strategy S1 described here can thus be described as follows: • S1: Argument over causes of functional insufficiencies in machine learning. As interest in machine learning safety has grown, a number of authors [1, 27, 32] have investigated different causes of insufficiencies in machine learning functions. A number of causes that are applicable to the HAD use case described here are summarised below and are positively formulated as sub-goals G2-G6 within the assurance case, which is summarised in Figure 1: • G2: The environmental context is well defined and reflected in training data. One of the key differences in machine learning techniques compared to algorithmic approaches is the lack of a detailed specification of the target function. Instead, the functional specification can be seen to be encoded within the set of training data. Therefore, the planned application context has to be defined in detail in order to ensure that the training data are sufficiently representative for the target function. Regional specifics, classifications of objects, expected scenarios, corner cases and known adversarial examples have to be analysed within the operating context and specified. Moreover, if the training data does not reflect the target operating context, then there is a strong likelihood that the learned function will exhibit insufficiencies. Critical or ambiguous situations, in which the system must react in a predictably safe manner, may occur rarely or may be so dangerous that they are not adequately represented in the training data. This leads to the effect that critical situations remain undertrained in the final function. This challenge of training data coverage is elaborated in chapter 5. • G3: The function is robust against distributional shift in the environment. The system should continue to perform safely even if the operational environment 66 <?page no="79"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases differs from the training environment [1]. This effectively can be formulated as the robustness of the system to react in a shift of distribution between its training and operational environment. Distributional shift will be inevitable in most open context systems, as the environment constantly changes and can adapt to the behaviour of actors within the system. For example, car drivers will adjust their behaviour within an environment in which autonomous vehicles are present, vehicle and pedestrian appearances change over time, etc. Examples of distributional shift might be tested in a black-box testing before releasing the function (see also chapter 5). Changes in environment might also be monitored (see also chapter 5), so that extension or adaptation possibilities are considered within the systems functional specification. • G4: The function exhibits a uniform behaviour over critical classes of situations. An often cited problem associated with neural networks, is the possibility of adversarial examples [8, 11, 22]. An adversarial example is an input sample that is similar (at least to the human eye) to other samples but that leads to a completely different categorisation with a high confidence weighting. It has been shown that such examples can be automatically generated and used to “trick” the network into false classifications. Although it is still unclear to what extent adversarial examples could occur naturally or whether they would be exploited for malicious purposes, from a safety validation perspective, they are useful for demonstrating that features can be learnt by the network and assigned an incorrect relevance [11]. Therefore an argument should be found to minimise the probability of such behaviour especially in critical driving situations. The basis for the decisions made by the trained function should be as transparent as possible and its output accuracy evaluated. Additional potential for insufficiencies comes from overfitting that results from lack of diversity in the training data, eroding the generalisation properties of the CNN. In this case hyperparameters have to be carefully selected and regularization methods have to be applied (see also Figure 3). Regularization methods (e.g. dropout, weight penalties, etc.) help to ensure that neural networks avoid focussing on ”noise” in the input signal, but instead learn a more abstract and generalized function. Finally, a systematic approach to testing shall further emphasize the absence of incorrect classifications of the neural network and is elaborated in more detail chapter 5. Figure 3 shows an example of the next level of detail in the GSN Assurance case and describes the assumptions and context of the sub-claim G4 as well as well as sources of evidence to support the claim. It is assumed that the training data adequately represents the target function (see claim G2) and the sub-claim is being made within the context of a detailed definition of allowable tolerances in the accuracy of the classification function. • G5: The function is robust against differences between its training and execution platforms. Machine learning functions can be sensitive to subtle changes in the input data. When using machine learning to represent a function that is embedded as part of a wider system, the input to the neural network will have typically been processed by a number of elements already, such as image filters and buffering mechanisms. These elements may vary between the training and operation environments leading to the trained function becoming dependent on hidden 67 <?page no="80"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases G4 The function exhibits a uniform behaviour over critic al classes of situations. Results of systematic testing Evaluation of adversarial examples C3 Detailed definition of allowable tolerances in the accuracy of the classification function A A4 Training data adequately represents the target function (see G2) Impact of regularisation methods Saliency analysis of critical and borderline cases Uncertainty calculation Results of hyperparameter optimization Figure 3: Claim G4 and its suggested evidences features of the training environment. It is therefore necessary to understand the differences between training and operational environment, including any potential weaknesses or errors in the training environment (e.g. software defects in open source training libraries) and data leakage resulting from hidden, unnoticed correlations in the environmental context of the provided training samples [18]. • G6: The function is robust against changes in its system context. Vehicle systems are typically developed and deployed in a wide number of system variants which may include different combinations of sensors as well as different positioning of sensors within the vehicle. In addition, over time changes are made to the system design as part of continuous improvement or cost reduction measures. However, hidden data dependencies [27] may exist by training and validating the machine learning function within a given context. Subtle differences between the original context (e.g. a particular camera lens, or installation height) for which the function was trained and the re-use context can lead to functional insufficiencies that may not appear during development and regression testing but may lead to degraded performance in the field. Furthermore, when updating the system it is also necessary to ensure a monotonic performance improvement, i.e. situations that are safely covered in a previous version of the system must also be covered in the new version, even if the overall performance is improved. 5 Sources of Evidence for the Assurance Case The validation of machine learning functions, and in particular neural networks, to the level of integrity required by safety-critical systems is currently an emerging field of 68 <?page no="81"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases research. It is expected that, analogous to traditional algorithmic-based software approaches, a diverse set of complementary evidence based on constructive measures, formal analyses and test methods will be required to make a robust assurance case. In this section we highlight five categories of potential evidence belonging to G2, G3 and G4. The sources of evidence shown here are selected to illustrate key concepts, others are not elaborated for conciseness. Note that each source of evidence can be reused to support a number of claims and that each sub-claim in Figure 1 will depend on more than one source of evidence. • Training data coverage: Open context systems such as HAD are defined by the fact that it is not possible to specify a priori all possible operational scenarios. Applied to the training of neural networks for image processing in HAD, this relates to the high dimensionality and variations in the input images. Criteria therefore need to be applied to define how much training data is required for a particular application and which data will lead to the most accurate approximation of the (unspecifiable) target function. It is expected that a combination of complementary criteria applied in parallel will be most effective and may include: - Training data volume and distribution: A sufficient amount of training data is used to provide a statistically relevant spread of scenarios and to ensure a stabilization of a strong coverage of weightings in the neural network. - Coverage of known, critical scenarios: Domain experience based on well understood physical properties of the system and environment as well as previous validation exercises leads to the identification of classes of scenarios that should exhibit similar behaviour in the function. Although some classes may be obvious and simple to reproduce (day and night driving, weather conditions, traffic situations), other classes may occur rarely and will require targeted data acquisition and possibly synthetic generation to ensure sufficient coverage during training. - Minimisation of unknown, critical scenarios: Other critical combinations of classes will not even be known during system design [2]. A combination of systematic identification of equivalence classes in the training data and statistical coverage during training and validation will therefore be essential to adequately minimise the risk of insufficiencies due to inadequate training data. • Explainability of the learned function: A key component of demonstrating the correctness of traditional safety-critical software are white-box techniques that include manual code review, static analysis, code coverage and formal verification. These techniques allow for an argument to be formulated on the detailed algorithmic design and implementation but cannot be easily transferred to the machine learning paradigms. Other arguments must therefore be found that make use of knowledge of the internal behaviour of the neural networks. Saliency maps [4, 29], based on the back propagation of results in the network to highlight those portions of an image that have greatest influence on classification results, can be used to provide a manual plausibility check of results as well as to determine potential causes of failed tests, e.g., resulting from data leakage. Another line of 69 <?page no="82"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases research tries to generate a natural language explanation referring in human understandable terms to the contents of the input image to explain which features were relevant for the classification. A recent approach in this direction has been presented by Hendricks et al. [14]. Other metrics could be found for neural networks that can be used in the assurance argumentation, e.g. the extent by which weightings are affected by the training data or how well computations of the neural network have been covered by the performed tests. • Uncertainty calculation: Although machine learning approaches offer a promising performance on perception tasks, false negatives (undetected objects), false positives (ghost objects), misclassification and mislocalisation may have safety critical consequences within the overall functional architecture of the system. One way to reduce the impact of these errors is to explictly consider such uncertainties during system design. Thereby, two types of uncertainties can be distinguished. Aleatoric uncertainty covers noise that is inherent in the observation (e.g. sensor or motion noise) and that cannot be reduced by increasing training data. In contrast, epistemic uncertainty captures uncertainty within the model (e.g. uncertainty of parameters) [19] and emphasises that assumptions on the model or the model itself may not represent the reality accurately enough. This has the effect that for a given input class (e.g. a particular vehicle, under similar environmental conditions), the system performs inconsistently within a particular range of error. A high classification uncertainty for a specific input class, belonging to epistemic uncertainty, could indicate inadequacies in the training data or sub-optimal parametrisation of the neural network, etc. Uncertainty quantification can provide information that is used in plausibility and sensor fusion algorithms [19], thus improving the overall robustness and reliability of the subsequent trajectory planning tasks [31]. • Black-box testing: Due to the inherent restrictions of white-box approaches to verification of the trained function, a strong emphasis will need to be placed on black-box testing techniques. These techniques will include targeted testing of the software component containing the learned function including the use of systematically selected test data based on equivalence classes (see discussion of training data selection above). Based on advances in computer graphics realism as well as the possibility to generate labelled data with specific properties, the use of synthetically generated data may also play a role as demonstrated by Richter et al. [25]. This would imply the introduction of an additional assumption into the assurance case, that the synthetic data would lead to test results that are representative of the operational environment. A combination of synthetic, real and manipulated real data, including a detailed analysis of the impact within the network due to the difference input types would be required. System-level vehicle integration tests will also need to form an essential part of the assurance case in order to validate all assumptions made during system development including whether or not sufficient understanding of critical scenarios have lead to an adequate training of the function. In reality, it will not be viable to provide assurance of the required level of system performance through driving test hours alone during the development phase. Therefore evidence will need to be provided for scenario coverage of the tests combined with statistical extrapolation techniques, field-based observations, component and integration tests (including simulation) as well as constructive safety measures. 70 <?page no="83"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases • Run-time measures: An additional source of evidence for minimising the impact of functional insufficiencies will be run-time measures which make use of secondary channels, independent of the machine learning function. - Run-time plausibility checks: Plausibility checks on the outputs of the neural network could involve tracking results over time (e.g. objects detected in one frame should appear in contiguous frames, until out of view) or by comparing against alternative sensor inputs (e.g. radar or lidar reflections). Such plausibility checks may mitigate against insufficiencies that occur spontaneously for individual frames. - Run-time monitoring of assumptions: If certain assumptions regarding the operational distribution are determined to be critical, then they could also be monitored during run-time. Discrepancies between the distribution of objects detected at run-time and the assumptions could indicate either errors in the trained function or that the system is operating within a context for which it was not adequately trained. If such a situation is detected, appropriate actions for mitigating the effect of the discrepancy can be initiated. Software safety cages [13] are an example of such an approach. 6 Conclusions and Future Work The main challenge for using machine learning algorithms for HAD is arguing an adequately low level of residual risk associated with functional insufficiencies resulting from imperfections of the used machine learning algorithms and the impossibility of testing all possible driving situations at design time. Such arguments are not currently supported by the relevant safety norms, most prominently ISO 26262. This paper proposed applying an assurance case approach to determine how such an argument could be formed based on “first principles” by decomposing the safety goals of the system into technical performance requirements on the machine learning function under explicit consideration of assumptions on the system (and components within the system context) environment. The assurance case would be completed by providing systematically derived and diverse evidence to support the claim that various causes of insufficiencies have been sufficiently mitigated against. The assurance case structure presented in this paper raises several issues that require substantial future research activities. First, providing the necessary evidence for the assurance case requires the development of entirely new verification techniques including a demonstration of their effectiveness. This work will require advances in theoretical insights into machine learning as well as large scale experimental research to confirm the effectiveness of proposed measures. Further research will also include the application of dynamic safety cases for systems that apply decentralized, online reinforcement learning techniques, i.e., systems that continue to adapt their behaviour at runtime. These activities have to be integrated into a holistic system engineering approach that supports the structure of the assurance case. This technical research work needs to be complemented by activities within industry to form a consensus on risk evaluation and acceptable argumentation structures for such systems that would feed into future standards. 71 <?page no="84"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases References [1] D. Amodei et al. “Concrete Problems in AI Safety”. In: ArXiv e-prints (June 2016). arXiv: 1606.06565 . [2] Joshua Attenberg, Panos Ipeirotis, and Foster Provost. “Beat the Machine: Challenging Humans to Find a Predictive Model’s “Unknown Unknowns””. In: ACM Journal of Data and Information quality 1.1 (2014). DOI: 10 . 1145 / 0000000 . 0000000 . [3] Carl Bergenhem et al. How to Reach Complete Safety Requirement Refinement for Autonomous Vehicles. Tech. rep. CARS 2015 - Critical Automotive applications: Robustness & Safety, Sep 2015, Paris, France, 2015. [4] Alexander Binder et al. “Layer-wise Relevance Propagation for Deep Neural Network Architectures”. In: Information Science and Applications (ICISA). Vol. 376. Lecture Notes in Electrical Engineering. Springer, 2016, pp. 913-922. ISBN: 978- 981-10-0556-5. DOI: 10.1007/ 978-981-10-0557-2_87 . [5] Davide Castelvecchi. “Can we open the black box of AI? ” In: Nature 538.7623 (2016), pp. 20-23. URL: http: / / www .nature.com / news/ canwe-open-theblack-box-of-ai-1.20731 . [6] Chenyi Chen et al. “DeepDriving: Learning Affordance for Direct Perception in Autonomous Driving”. In: Proc. of the 2015 IEEE International Conference on Computer Vision (ICCV). IEEE, 2015, pp. 2722-2730. ISBN: 978-1-4673-8391-2. DOI: 10.1109/ ICCV.2015.312 . [7] Andreas Christmann and Ingo Steinwart. Support Vector Machines. Ed. by Michael Jordan, Jon Kleinberg, and Bernhard Schölkopf. Springer, 2008. DOI: 10.1007/ 978-0-387-77242-4 . [8] Alhussein Fawzi, Omar Fawzi, and Pascal Frossard. “Analysis of classifiers’ robustness to adversarial perturbations”. In: arXiv: 1502.02590. 2015. DOI: https: / / arxiv.org/ abs/ 1502.02590 . [9] Eugene A. Feinberg and Adam Shwartz, eds. International Series in Operations Research & Management Science, vol. 40. 2002. ISBN: 978-1-4613-5248-8. [10] Nir Friedman, Dan Geiger, and Moises Goldszmidt. “Bayesian Network Classifiers”. In: Machine Learning 29.2 (1997), pp. 131-163. ISSN: 1573-0565. DOI: 10.1023/ A: 1007465528199 . [11] Ian J. Goodfellow, Jonathon Shlens, and Christian Szegedy. “Explaining and Harnessing Adversarial Examples”. In: arXiv: 1412.6572. 2015. URL: https: / / arxiv. org/ abs/ 1412.6572 . [12] Ian Goodfellow, Yoshua Bengio, and Aaron Courville. Deep Learning. MIT Press, 2016. [13] Karl Heckemann et al. “Safe Automotive Software”. In: Knowledge-Based and Intelligent Information and Engineering Systems. Vol. 6884. Lecture Notes in Computer Science. Springer, 2011, pp. 167-176. ISBN: 978-3-642-23865-9. DOI: 10.1007/ 978-3-642-23866-6_18 . [14] Lisa Anne Hendricks et al. “Generating Visual Explanations”. In: European Conference of Computer Vision (ECCV). 2016. URL: http: / / arxiv.org/ abs/ 1603. 08507 . 72 <?page no="85"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases [15] Geoffrey E. Hinton et al. “Improving neural networks by preventing co-adaptation of feature detectors”. In: arXiv: 1207.0580. 2012. URL: https: / / arxiv.org/ abs/ 1207.0580 . [16] IEEE. IEEE Standard Adoption of ISO/ IEC 15026-1 - Systems and Software Engineering - Systems and Software Assurance. Norm. 2014. [17] ISO. ISO 26262: Road vehicles - Functional safety. Norm. 2011. [18] Shachar Kaufman, Saharon Rosset, and Claudia Perlich. “Leakage in Data Mining: Formulation, Detection, and Avoidance”. In: Proceedings of the 17th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. San Diego, California, USA: ACM, 2011, pp. 556-563. ISBN: 978-1-4503-0813-7. DOI: 10.1145/ 2020408.2020496 . [19] Alex Kendall and Yarin Gal. “What Uncertainties Do We Need in Bayesian Deep Learning for Computer Vision? ” In: CoRR abs/ 1703.04977 (2017). URL: http: / / arxiv.org/ abs/ 1703.04977 . [20] A. Krizhevsky, I. Sutskever, and G. E. Hinton. “Imagenet classification with deep convolutional neural networks.” In: Advances in neural information processing systems (2012), pp. 1097-1105. [21] Naveen Mohan et al. “Challenges in architecting fully automated driving; with an emphasis on heavy commercial vehicles”. In: 2016 Workshop on Automotive Systems/ Software Architectures. 2016. DOI: 10.1109/ WASA.2016.10 . [22] Anh Nguyen, Jason Yosinski, and Jeff Clune. “Deep neural networks are easily fooled: High confidence predictions for unrecognizable images”. In: 2015 IEEE Conference on Computer Vision and Pattern Recognition. CVPR’15. 2015, pp. 427- 436. DOI: 10.1109/ CVPR.2015.7298640 . [23] Andrew Piziali. Functional Verification Coverage Measurement and Analysis. Springer US, 2008. ISBN: 978-0-387-73992-2. DOI: 10.1007/ b117979 . [24] Carl Edward Rasmussen and Christopher K. I. Williams. Gaussian Processes for Machine Learning. MIT Press, 2006. ISBN: 0-262-18253-X. [25] Stephan R. Richter et al. “Playing for Data: Ground Truth from Computer Games”. In: arXiv: 1608.02192. 2016. URL: https: / / arxiv.org/ abs/ 1608.02192 . [26] SAE. J3016, Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems. 2013. [27] Sculley et al. “Hidden Technical Debt in Machine Learning Systems”. In: Advances in Neural Information Processing Systems 28 (NIPS 2015) (2015). [28] Shai Shalev-Shwartz and Amnon Shashua. “On the Sample Complexity of Endto-end Training vs. Semantic Abstraction Training”. In: arXiv: 1604.06915. 2016. [29] Karen Simonyan, Andrea Vedaldi, and Andrew Zisserman. “Deep Inside Convolutional Networks: Visualising Image Classification Models and Saliency Maps”. In: arXiv: 1312.6034. 2014. [30] Kelly T. and Weaver R. “The goal structuring notation a safety argument notation”. In: In Proceedings, DSN 2004 Workshop on Assurance Cases (2004). [31] Ömer Sahin Tas et al. “Functional System Architectures towards Fully Automated Driving”. In: 2016 IEEE Intelligent Vehicles Symposium. IEEE, 2016. DOI: 10 . 1109/ IVS.2016.7535402 . 73 <?page no="86"?> 2.1 Arguing Safety of Machine Learning for Highly Automated Driving using Assurance Cases [32] K.R. Varshney. “Engineering Safety in Machine Learning”. In: ArXiv e-prints (Jan. 2016). arXiv: 1601.04126 . 74 <?page no="87"?> 2.2 Functional Safety of Advanced Driver Assistance Systems: Safety and Security / Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security Max Steiner, Gregor Thomeczek, Oliver Jäger Kurzfassung In der Entwicklung von Fahrerassistenzsystemen nach ISO 26262 steht der Aspekt der funktionalen Sicherheit (Safety) im Vordergrund. Sobald Fahrzeugsysteme allerdings vernetzt sind (sowohl untereinander als auch mit der Umgebung), muss auch der Aspekt der Datensicherheit (Security) miteinbezogen werden. Durch die Vernetzung der Fahrzeugsysteme werden sie anfällig gegenüber den gleichen Gefahren durch bösartige Angreifer, die auch Unternehmensnetzwerke bedrohen. Wir präsentieren einen integrierten Entwicklungsprozess, der sowohl die Anforderungen der funktionalen Sicherheit (Safety) als auch der Informationssicherheit (Security) von Beginn an einbezieht. Dieser Prozess ist aus Erfahrungen mit Entwicklungsprozessen gemäß den Anforderungen unterschiedlicher OEM und Tier 1 Zulieferer entstanden. Die bekannten Anforderungen aus der ISO 26262 werden um die Security- Richtlinien aus SAE J3061 erweitert und in einem integrierten Entwicklungsprozess verankert. Dabei können Synergien zwischen den Aspekten Safety und Security genutzt und der Entwicklungsaufwand minimiert werden. Durch den Einbezug von Security in die Entwicklung wird das Risiko für kritische Ausfälle deutlich reduziert. Abstract During the development of advanced driver assistance systems according to ISO 26262 the main focus lies on the safety aspect. As soon as vehicle systems are networked (in-between systems as well as systems and environment), the aspect of security has to be taken into account also. By networking vehicle systems new vulnerabilities arise. They become vulnerable to the same threats by malicious attackers that also threaten corporate networks. We will present an integrated development process which takes into account the requirements for safety as well as security from the beginning of the developmental stage. This process originated from previously gained experiences by experts from several OEM and Tier 1 suppliers. The known requirements coming from ISO 26262 are extended by security guidelines from SAE J3061 and combined into an integrated development process. In doing so, synergies between the aspects safety and security can be used and the development effort can be minimized. By including security requirements into the development the overall risk for critical failures is significantly reduced. 75 <?page no="88"?> 2.2 Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security 1 Einleitung Heutige Fahrerassistenzsysteme (FAS) werden nach ISO 26262 [1] entwickelt. Dabei steht der Aspekt der funktionalen Sicherheit (Safety) im Vordergrund. Damit wird erreicht, dass sie im Fehlerfall in einen sicheren Zustand versetzt werden. Der sichere Zustand besteht meist darin, dass fehlerhafte Funktionen abgeschaltet werden und der Fahrer gewarnt wird. Bei Fahrerassistenzsystemen bis zur Stufe des teilautomatisierten Fahrens (SAE Level 2) ist ein solches Abschalten im Fehlerfall legitim, da der Fahrer während der gesamten Betriebszeit das Fahrzeugverhalten überwacht und die Kontrolle übernehmen kann. Neue FAS der Stufen des hochautomatisierten Fahrens (SAE Level 3) und höher müssen darauf aufbauend noch eine Übergangszeit abdecken, in der die Kontrolle wieder an den Fahrer übergeben wird. Daher muss in der Übergabezeit sichergestellt werden, dass das System auch mit verminderter Leistungsfähigkeit noch zuverlässig arbeitet. Wenn der Mensch nicht mehr zu jeder Zeit die Fahraufgaben überwacht, muss ein System auch gegenüber Manipulationen robust genug sein, dass es noch sicher funktionieren kann. Solche Systeme müssen noch stärker untereinander vernetzt werden als bisher, um die Funktion zu gewährleisten. Da die Fahrzeugsysteme meist noch nicht mit Fokus auf ihre Datensicherheit entwickelt werden, weisen sie zahlreiche Sicherheitslücken auf. Solche vernetzten Systeme sind wie alle anderen Computernetzwerke anfällig gegenüber Angriffen von böswilligen Hackern. Wenn dann auch noch Safety-relevante Systeme vernetzt werden, sind solche Angriffe auch eine Bedrohung auf die Safety eines Fahrzeugs. Die Datensicherheit (Security) kommt somit bei immer mehr Systemen zum Tragen. Spätestens jedoch bei Systemen des hochautomatisierten Fahrens ist eine Berücksichtigung unumgänglich. Hier können neue Ausfallmöglichkeiten auftreten, die mit den bisherigen Analysemethoden nicht betrachtet werden. Um diese neuen Ausfallmöglichkeiten mit zu betrachten, muss der Entwicklungsprozess angepasst werden, der momentan nur Safety einbezieht. Es gibt mehrere Aspekte von Security, die für Fahrzeuge relevant sind: Einerseits sind Angriffe, die Fahrzeugfunktionen manipulieren, kritisch für die Safety der Insassen und der anderen Verkehrsteilnehmer. Features wie zentrale Gateways und Internetverbindungen ohne Berücksichtigung des Aspekts Security führen zu Angriffen, wie es schon 2015 beim Jeep Cherokee demonstriert wurde [2]. Unbegrenzte Zugriffe auf alle Busse über das Gateway ermöglichen weitergehende Angriffe. Das Blockieren von sicherheitsrelevanten Bussen kann dafür sorgen, dass in einer Notsituation ein Eingreifen des Fahrers oder eines Sicherheitssystems verhindert wird und es so zu einem Unfall kommt. Andererseits können gezielte Nachrichten auf einem Bus direkt in die Steuerung eingreifen und so zu gefährlichen Situation führen. Bislang gab es noch keine bekannten Unfälle, die durch Angriffe herbeigeführt wurden. Das kann sich aber schnell ändern, da sich bekannte Sicherheitslücken erfahrungsgemäß immer leichter ausnutzen lassen. So kommt irgendwann die Zeit, dass man sich nur ein Skript auf den heimischen Rechner herunterladen muss und damit dann weltweit nach verwundbaren Fahrzeugen suchen kann. Daher muss es das Ziel von Fahrzeugherstellern sein, Sicherheitslücken schnell zu schließen, um Unfälle zu vermeiden. 76 <?page no="89"?> 2.2 Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security Die Autoren des Jeep-Hacks von 2015, Miller und Valasek, führten 2016 eine weitere Sicherheitsanalyse an einem gepatchten Jeep durch [3]. Dabei konnten sie per an der OBD-II Schnittstelle angeschlossenem Laptop die Kontrolle über das Fahrzeug erlangen. Steuergeräte, die potenziell Fahrsignale senden können und einem Angriff gegensteuern würden, wurden in den Diagnosemodus versetzt und damit ruhig gestellt. Der Angriff war relativ einfach durchzuführen, da keines der Steuergeräte eine Authentifizierung verlangte. Der genutzte Angriffsweg ist für sich gesehen nicht besonders kritisch, da er schon physischen Zugriff erfordert, was normalerweise die Hürde für einen Angriff sehr hoch setzt. Denn wenn ein Angreifer physischen Zugriff hat, kann prinzipiell alles mit einem System getan werden und es gibt kaum wirkungsvolle Gegenmaßnahmen. Das Problem ist aber, dass es in immer mehr Fahrzeugen Funk-Dongles für die OBD-II Schnittstelle gibt. Diese Funkmodule werden verwendet, um zusätzliche Funktionen am Smartphone sichtbar zu machen oder um Telematikwerte z.B. an einen Verleiher oder Spediteur zu senden. Die Sicherheit des Fahrzeugs hängt dann nur noch von der Sicherheit eines einfachen OBD-Dongles ab. OBD-Bluetooth- Dongles können online schon ab ca. 5 € bestellt werden. Wie bei anderen billigen Netzwerkgeräten kann man dabei nicht davon ausgehen, dass bei der Entwicklung die Datensicherheit im Vordergrund stand. Die einzige, wenn auch sehr fragwürdige Sicherheit besteht darin, dass es für die Fahrzeugsysteme keine öffentliche Dokumentation gibt. Dieses System bzw. Prinzip der Security-through-obscurity funktioniert immer nur so lange, bis jemand die Funktionsweise des Systems verstanden und veröffentlicht hat. Bei Nutzfahrzeugen ist ein Angriff über den Weg der OBD-II- Schnittstelle noch einfacher, da hier die Kommunikationsprotokolle im SAE J1939 [4] standardisiert und öffentlich bekannt sind. Hier sind sogar oft Telematik-Dongles verbaut, die über das Internet angreifbar sind und so Fernzugriff auf das Bordnetz ermöglichen. Ein weiterer Security-Aspekt im Fahrzeug ist die Menge an anfallenden Daten. In einem modernen Fahrzeug werden heutzutage bis zu 25 GB Daten pro Stunde generiert. Ein Teil dieser Daten wird zudem noch gespeichert und teilweise an Server des Herstellers versendet. Je nach Definition handelt es sich dabei um zu schützende persönliche Daten, so dass Datenschutzrechte gewahrt werden müssen. Zumindest lassen sich aus gesammelten Daten Verhaltensweisen des Fahrers ableiten [5]. Daher muss sichergestellt werden, dass die Datensammlung, -übertragung und -speicherung nach aktuellen Standards vollzogen wird. Sinnvoll ist eine Zertifizierung der Datensicherheit nach Standards wie Common Criteria ISO/ IEC 15408 [6]. Ein dritter Aspekt bei der Security von Fahrzeugen ist der Diebstahlschutz. Durch Schwachstellen in Sicherheitssystemen kann ein Fahrzeug entwendet werden, ohne Spuren zu hinterlassen [7]. Die relevante Safety-Norm ISO 26262 verlangt in der aktuell geltenden First Edition keine Betrachtung von Security. Die Second Edition [8] wird diesen Aspekt aufgreifen und verweist für mehr Details auf SAE J3061 [9], in der der Safety- Entwicklungsprozess nach ISO 26262 für Security umgesetzt wird. Im Folgenden wird in Abschnitt 2 zuerst der etablierte Entwicklungsprozess nach ISO 26262 beschrieben. Außerdem wird auf relevante Safety- und Security-Standards 77 <?page no="90"?> 2.2 Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security eingegangen. Daraus ergibt sich dann ein erweiterter Entwicklungsprozess, der die Aspekte Safety und Security abdeckt und so für insgesamt sicherere Systeme sorgt. Wenn beide Prozesse sinnvoll miteinander verzahnt werden, hält sich der Mehraufwand in Grenzen. Dieser erweiterte Entwicklungsprozess wird in Abschnitt 3 beschrieben. 2 Stand der Technik Alle aktuellen Fahrerassistenzsysteme werden nach ISO 26262 [1] entwickelt, um ein ausreichendes Maß an funktionaler Sicherheit (Safety) zu gewährleisten. Dazu gibt es etablierte Entwicklungsprozesse, die dies sicherstellen. Die aktuell gültige Norm ist die First Edition von 2011. Hier wird eine Betrachtung von Aspekten der Datensicherheit (Security) nicht verlangt. Das Wort Security kommt nicht ein einziges Mal in der Norm vor. Daher werden aktuell nur bei den wenigsten Entwicklungen Security- Aspekte betrachtet. Für 2018 ist die Veröffentlichung der Second Edition der ISO 26262 geplant. Im bislang veröffentlichten Entwurf werden Security-Aspekte angesprochen, deren Behandlung aber nicht zwingend verlangt. Es sind Verweise auf Security-Normen hinzugekommen, wie die ISO/ IEC 27000-Reihe [10], die ISO/ IEC 15408 Common Criteria [6] und die Handlungsempfehlungen in SAE J3061 [9]. Davon hilft SAE J3061 bei der Entwicklung am meisten weiter, da hier ein an die ISO 26262 angelehnter Prozess für die Betrachtung der Security-Aspekte beschrieben wird. Die beiden anderen sind Managementnormen (ISO/ IEC 2700X) und allgemeine Informationssicherheitsnormen (Common Criteria). Die wichtigste Neuerung in der Second Edition der ISO 26262 verlangt, dass es einen Austausch zwischen Safety und anderen relevanten Disziplinen, wie z.B. Security geben muss. Damit wird dann erstmals eine Zusammenarbeit von Safety und Security-Experten in einem Standard für Automobilentwicklung gefordert. Für diese Zusammenarbeit gibt es Hilfestellungen im Anhang F des Kapitels 2 zum Safety Management. Dadurch wird dann hoffentlich die jahrzehntelange Trennung der Disziplinen Safety und Security abgeschwächt und im besten Fall aufgehoben. Eine grundsätzliche Berücksichtigung von Security bei der Entwicklung neuer Systeme wird jedoch nicht explizit verlangt. Man kann daher nur hoffen, dass sich Security-Betrachtungen genauso durchsetzen, wie Safety-Betrachtungen. In der MBtech Group wird dieser Prozess des Zusammenwachsens vorangetrieben, indem ein integrierter Safety-Security-Entwicklungsprozess etabliert wird. Die MBtech Group, ein weltweit tätiger Engineering- und Consulting-Dienstleister, unterstützt Hersteller und Zulieferer entlang des kompletten Produktentstehungsprozesses in der Automobilbranche, im Schienenverkehr sowie in der Luft- und Raumfahrt. Wir betreuen beispielsweise die Entwicklung von Fahrerassistenzsystemen, bei denen ein wichtiger Aspekt die funktionale Sicherheit und mit der zunehmenden Vernetzung auch die Datensicherheit ist. Unserer Meinung nach kann es bei vernetzten Systemen keine funktionale Sicherheit geben ohne eine ausreichende Betrachtung der 78 <?page no="91"?> 2.2 Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security Datensicherheit. Der aktuelle Stand des integrierten Safety-Security-Entwicklungsprozesses wird im nächsten Abschnitt erläutert. 3 Integrierter Entwicklungsprozess In diesem Abschnitt wird ein integrierter Safety-Security-Entwicklungsprozess vorgestellt, der den üblichen Prozess aus der ISO 26262 mit den Vorschlägen aus SAE J3061 kombiniert. Zuerst werden die wichtigsten Schritte des Safety-Entwicklungsprozesses beschrieben. Darauf aufbauend wurden von SAE in J3061 Vorschläge erarbeitet, um einen Security-Entwicklungsprozess für den Automobilbereich zu definieren. Diese beiden schon sehr ähnlichen Entwicklungsprozesse wurden so kombiniert, dass eine möglichst enge Abstimmung und möglichst wenig Mehraufwand entstehen. Der wichtigste Punkt ist hier die möglichst enge Zusammenarbeit der Experten für Safety und Security, um ein größtmögliches Maß an funktionaler Sicherheit zu erreichen. 3.1 Etablierter Entwicklungsprozess nach ISO 26262: 2011 In der ISO 26262 wird ein Entwicklungsprozess definiert, der dafür Sorge trägt, dass ein System so entwickelt wird, dass die Ziele der funktionalen Sicherheit eingehalten werden. In Abbildung 1 ist der reguläre Ablauf der Entwicklungsschritte dargestellt. Er besteht im Wesentlichen aus einer Konzeptphase und einer Produktentwicklungsphase. Der erste Schritt in der Konzeptphase ist die Item Definition, in der das zu entwickelnde System inklusive der Systemgrenzen und den Schnittstellen zu anderen Systemteilen beschrieben wird. Darauf aufbauend wird eine Gefahren- und Risikoanalyse erstellt. Deren Ergebnis sind die Sicherheitsziele, die das zu entwickelnde System erfüllen muss. Aus den identifizierten Sicherheitszielen wird ein funktionales Sicherheitskonzept erstellt, in dem Sicherheitsanforderungen formuliert werden, die sich aus den Sicherheitszielen ergeben. In der darauf folgenden Produktentwicklungsphase wird basierend auf den Anforderungen aus dem Sicherheitskonzept die Hardware und die Software entwickelt. Während der Entwicklung wird durch Safety-Tests oder Analysen die Einhaltung der Anforderungen überprüft. Nach der Entwicklung des Systems wird in der Safety Validierung geprüft, ob alle Sicherheitsziele erfüllt werden und das Sicherheitskonzept für eine ausreichende funktionale Sicherheit sorgen kann. 79 <?page no="92"?> 2.2 Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security Abbildung 1: Safety Entwicklungsprozess nach ISO 26262 Bei ASIL (B), C und D Sicherheitszielen werden entwicklungsbegleitend noch Safety Assessments verlangt. In diesen Safety Assessments werden alle Entwicklungsschritte noch einmal von unabhängiger Seite geprüft. Parallel zur Entwicklung des Systems werden Produktion, Betrieb und Wartung geplant. Danach kann das entwickelte System zur Produktion freigegeben werden. Bei Änderungswünschen am Produkt wird in die entsprechende Phase zurückgesprungen und die entsprechenden Aktivitäten ab diesem Punkt neu durchgeführt. 3.2 SAE J3061 Security-Entwicklungsprozess In SAE J3061 [9] wird ein Security-Lebenszyklus definiert, der sich direkt an den Safety-Lebenszyklus aus der ISO 26262 anlehnt. Er wird in die gleichen Phasen eingeteilt: Konzept, Produktentwicklung, Produktion, Betrieb und Wartung. Wenn man Security-Einflüsse eines Systems betrachtet, werden ähnliche Schritte benötigt, wie bei einer Betrachtung von Safety [11]. Zu Beginn der Konzeptphase definiert man das zu betrachtende System mit allen zugehörigen Schnittstellen. Dabei werden zusätzlich zu den Systemgrenzen noch Vertrauensgrenzen mit berücksichtigt. In SAE J3061 wird dieser Vorgang Feature Definition genannt, er entspricht der Item Definition aus der ISO 26262. Darauf aufbauend wird eine Bedrohungs- und Risikoanalyse (englisch: Threat Analysis and Risk Assessment (TARA)) durchgeführt, also das Security-Äquivalent der Gefahren- 80 <?page no="93"?> 2.2 Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security und Risikoanalyse. Hier werden potentielle Bedrohungen identifiziert und deren Risiken bestimmt. Dadurch können nötige Maßnahmen priorisiert werden. In SAE J3061 werden keine spezifischen Methoden für die Analyse vorgegeben, es werden jedoch im Anhang verschiedene geeignete vorgestellt. In einer solch frühen Entwicklungsphase sind es vor allem geführte Brainstorming-Methoden, mit denen möglichst viele Bedrohungen und Angriffsszenarien gefunden werden sollen. Es gibt jedoch keine Kriterien für die Vollständigkeit einer solchen Analyse. Auch darf man in dieser frühen Phase keine Bedrohungen oder Angriffsszenarien ausschließen. Sie werden erst später genauer untersucht und bewertet. Es ist von Seiten SAE eine Klassifizierung analog zu ASIL geplant: Automotive Cybersecurity Integrity Level (ACSIL). Aus dieser Analyse ergeben sich dann Security-Ziele, die sich in Security- Anforderungen zerlegen lassen. Mit diesen Anforderungen wird ein Security-Konzept auf Systemebene erstellt, das genau wie ein Safety-Konzept aufgebaut ist. SAE J3061 fordert hiernach eine Initiale Prüfung des Security-Konzepts und der gesamten Konzeptphase. Mit den Anforderungen aus der Konzeptphase wird dann die Produktentwicklungsphase gestartet. Während der Entwicklung wird durch Security-Tests oder Analysen die Einhaltung der Anforderungen überprüft. Nach der Entwicklung wird eine Security-Validierung analog zur Safety-Validierung durchgeführt, in der die Erfüllung der Anforderungen geprüft wird. Wie auch beim Safety-Lebenszyklus muss die Produktion, der Betrieb und die Wartung geplant werden. Insbesondere muss hier eine Updatestrategie erstellt werden, so dass notwendige Sicherheitsupdates der Software, aber auch der Hardware, ohne größeren Aufwand und zeitnah nach dem Bekanntwerden der Lücken durchgeführt werden können. In Tabelle 1 ist eine Gegenüberstellung der wichtigsten Punkte in den Safety- und Security-Lebenszyklen dargestellt. Tabelle 1: Gegenüberstellung der Gemeinsamkeiten der Safety- und Security- Lebenszyklen Safety Security Konzeptphase Item Definition Feature Definition Gefahren- und Risikoanalyse Bedrohungs- und Risikoanalyse Safety-Ziele Security-Ziele Safety-Anforderungen Security-Anforderungen Entwicklungsphase Safety Tests/ Analysen Security Tests/ Analysen Safety Validierung Security Validierung Planung von Produktion, Betrieb, Wartung Planung des Updateprozesses Produktionsfreigabe Produktionsfreigabe 81 <?page no="94"?> 2.2 Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security 3.3 Kombinierter Entwicklungsprozess In Abschnitt 3.1 wurde der Entwicklungsprozess der ISO 26262 beschrieben, in Abschnitt 3.2 der analoge Prozess aus SAE J3061. Im Folgenden wird eine Kombination aus beiden Prozessen vorgestellt, der sicherstellen soll, dass bei der Entwicklung eines Systems die beiden Aspekte Safety und Security betrachtet werden. In Abbildung 2 ist der in Teil 2 der ISO 26262 [1] definierte Safety-Lebenszyklus (siehe Abbildung 1) um Aspekte der Security erweitert dargestellt (siehe auch Tabelle 1). Der erste Schritt der Konzeptphase ist eine Item Definition in der sowohl die Systemgrenzen und Schnittstellen als auch die durch Security-Gesichtspunkte motivierten Vertrauensgrenzen bestimmt werden. Diese Item Definition sollte gemeinsam mit Experten für Safety und Security erstellt werden. Abbildung 2 : Integrierter Safety/ Security Entwicklungsprozess Aufbauend auf der Item Definition wird eine Gefahren- und Risikoanalyse durchgeführt, um die Safety-Ziele zu bestimmen. Auf Security-Seite wird eine Bedrohungs- und Risikoanalyse durchgeführt und so die Security-Ziele bestimmt. Diese Analysen müssen koordiniert werden. Einerseits können dadurch widersprüchliche Sicherheitsziele vermieden werden, andererseits können sich aus Safety-Zielen Security- Ziele ergeben und umgekehrt. 82 <?page no="95"?> 2.2 Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security Die Konsistenz der verschiedenen Sicherheitsziele wird validiert und die verschiedenen Sicherheitsziele konsolidiert. Bei Bedarf müssen Sicherheitsziele angepasst werden, um Widersprüche zu beheben und Duplikate zu entfernen. Aus den Safety-Zielen werden dann, wie bisher auch üblich, die Safety-Anforderungen abgeleitet und in einem Funktionalen Safety-Konzept zusammengefasst. Analog dazu werden die Security-Ziele in Security-Anforderungen zerlegt, die zusammen ein erstes Security-Konzept ergeben. Wie zuvor werden diese Schritte koordiniert um Mehrfacharbeit und Widersprüche zu vermeiden. Als letzter Schritt in der Konzeptphase wird die Konsistenz der Sicherheitskonzepte geprüft und erst dann die Entwicklung freigegeben. Nachdem die Konzeptphase abgeschlossen ist, kann die Produktentwicklungsphase starten. In dieser Phase werden die identifizierten Sicherheitsanforderungen zuerst weiter verfeinert und dann umgesetzt. Diese Umsetzung wird dann sowohl nach den Gesichtspunkten der Safety als auch der Security gegenüber den Anforderungen verifiziert und gegenüber den Sicherheitszielen validiert. Während der Entwicklung müssen auch noch Anforderungen an die Produktion, den Betrieb und die Wartung erhoben und umgesetzt werden. Um dauerhaft Security-Anforderungen zu erfüllen, ist es notwendig zeitnah Security-Updates durchzuführen. Daher muss in Rahmen der Wartung auch eine Strategie für Security-Updates und deren technische Umsetzung geplant werden. Erst dann kann es eine Freigabe zur Produktion geben. 4 Zusammenfassung Auch im Entwurf der Second Edition der ISO 26262 wird eine Betrachtung von Security nicht explizit verlangt, sondern nur angeraten. Eine solche Betrachtung ist allerdings Grundvoraussetzung für eine vollständige Betrachtung von Safety. Der Entwurf verweist unter anderem auf SAE J3061, wo Hilfestellungen für einen Security- Entwicklungsprozess analog zur ISO 26262 gegeben werden. Zusätzlich wird die Abstimmung von Safety und anderen Disziplinen verlangt, aber nicht genau definiert, wie diese Abstimmung auszusehen hat. In keinem der relevanten Standards für die Automobilentwicklung wird ein Entwicklungsprozess definiert, der sowohl Safetyals auch Security-Betrachtungen berücksichtigt. Daher wurden die Aktivitäten aus ISO 26262 und SAE J3061 kombiniert, um einen solchen zu definieren. In diesem Artikel wurde dieser integrierte Entwicklungsprozess präsentiert, der sowohl die Anforderungen der funktionalen Sicherheit (Safety) als auch der Informationssicherheit (Security) von Beginn an einbezieht. Dieser Prozess ist aus Erfahrungen mit Entwicklungsprozessen gemäß den Anforderungen unterschiedlicher OEM und Tier 1 Zulieferer entstanden. Dabei können Synergien zwischen den Aspekten Safety und Security genutzt und der Entwicklungsaufwand minimiert werden. 83 <?page no="96"?> 2.2 Funktionale Sicherheit von Fahrerassistenzsystemen: Safety und Security 5 Literaturverzeichnis [1] ISO 26262: 2011: Road vehicles - Functional safety - First Edition, 2011. [2] A. Greenberg, "Hackers Remotely Kill a Jeep on the Highway -- With Me in It," 2015. [Online]. Available: http: / / www.wired.com/ 2015/ 07/ hackers-remotely-killjeep-highway/ . [Accessed 12 06 2017]. [3] A. Greenberg, "The Jeep Hackers Are Back to Prove Car Hacking Can Get Much Worse," 2016. [Online]. Available: https: / / www.wired.com/ 2016/ 08/ jeep-hackersreturn-high-speed-steering-acceleration-hacks/ . [Accessed 12 06 2017]. [4] SAE J1939: Serial Control and Communications Heavy Duty Vehicle Network, 2013. [5] ADAC, "ADAC Untersuchung an vier Fahrzeugen - Welche Daten erzeugt ein modernes Auto? ," 2017. [Online]. Available: https: / / www.adac.de/ infotestrat/ technik-undzubehoer/ fahrerassistenzsysteme/ daten_im_auto/ default.aspx. [Accessed 12 06 2017]. [6] DIN ISO/ IEC 15408 Common Criteria for Information Technology Security Evaluation, 3.1r5 ed., 2017. [7] R. Verdult, F. D. Garcia and B. Ege, "Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer," in 24nd USENIX Security Symposium, 2015. [8] ISO/ DIS 26262: Road vehicles - Functional safety - Second Edition, 2016. [9] SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, 2016. [10] ISO/ IEC 2700x Information technology - Security techniques, 2013. [11] C. Schmittner, Z. Ma, C. Reyes, O. Dillinger and P. Puschner, "Using SAE J3061 for Automotive Security Requirement Engineering," in Safecomp 2016 Workshops, 2016. 84 <?page no="97"?> 3 Cyber Security 3.1 Secure Vehicle-to-X communication in Europe / Sichere Vehicle-to-X Kommunikation in Europa Sandro Berndt, Thomas Strubbe, Nicolas Thenée, Markus Ullmann, Christian Wieschebrink Abstract Communication between vehicles and infrastructure components allows providing timely information regarding the actual traffic situation and road hazard warnings, therefore foresighted road users can drive in a safer and more efficient way. This holds true for the immediate surroundings, where tactical information with very low latency of few milliseconds is required (e.g. collision avoidance, platooning), as well as for strategic information with lower latency requirements, but possibly large amounts of data (e.g. routing information, HD maps). Information exchange with the environment will start with services informing or warning the human driver, but with upcoming higher levels of automation it will also be used as cheap addition to built-in sensors (radar, camera, etc.) and will enable vehicles to “look around the corner”. This article deals with the introduction of a technology enabling direct exchange of messages by using a local broadcast mechanism. Based on a standardized communication technology that is broadly agreed on by the automotive industry, the vehicleto-infrastructure communication has been designed to meet highest IT security requirements. Vehicle-to-X communication will be introduced in mass-production vehicles in Europe within few years. Especially IT security and compliance criteria are therefore harmonized on a European level, in order to deploy an interoperable “cooperative system”, seamlessly working across all vehicle brands and across borders. In this article the most relevant activities on a national and international level are elaborated on. Especially the infrastructure related aspects are analyzed and an overview of key management for vehicles and infrastructure components is given. Kurzfassung Die Kommunikation zwischen Fahrzeugen und Infrastrukturkomponenten hilft vorausschauender, sicherer und effizienter zu fahren, indem Verkehrsteilnehmern frühzeitig Informationen über die aktuelle Verkehrssituation und Gefahrensituationen zur Verfügung gestellt werden können. Dies gilt sowohl für taktische Informationen im unmittelbaren Umfeld, die mit Latenzzeiten im Bereich weniger Millisekunden bereitgestellt werden müssen (z.B. Kollisionsvermeidung, Platooning), als auch für strategische Informationen mit geringeren Latenzanforderungen aber möglicherweise höherem Datenaufkommen (z.B. Routinginformationen, hochauflösende Kartendaten). Der Datenaustausch mit der Umgebung wird dabei zu Beginn nur für Dienste mit warnendem oder informativem Charakter für den menschlichen Fahrer genutzt wer- 85 <?page no="98"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa den, mit steigendem Automatisierungsgrad der Fahrzeuge aber zunehmend der kostengünstigen Ergänzung zur im Fahrzeug verbauten Sensorik (Radar, Kamera, etc.) dienen und die Fahrzeuge befähigen „um die Ecke zu schauen“. Im Fokus dieses Beitrags steht die Einführung einer grundlegenden Technologie zum direkten Austausch von Nachrichten in einem lokalen Broadcast-Verfahren. Aufbauend auf einem herstellerübergreifenden Kommunikationsstandard wurde die Fahrzeug-zu-Infrastruktur Kommunikation mit höchsten Ansprüchen an die IT-Sicherheit konzipiert. Die Fahrzeug-zu-X Kommunikation soll in den kommenden Jahren in europäischen Serienfahrzeugen eingeführt werden. Insbesondere die IT- Sicherheitsvorgaben und Abnahmekriterien werden dazu auf europäischer Ebene harmonisiert, um so ein interoperables „kooperatives System“ einzuführen, welches nahtlos sowohl markenals auch länderübergreifend funktioniert. In diesem Beitrag werden die in diesem Zusammenhang wichtigsten Aktivitäten - sowohl national als auch international - betrachtet. Es werden spezielle Sicherheitsfragestellungen für Infrastrukturkomponenten beleuchtet sowie ein Einblick in das Schlüsselmanagement für Fahrzeuge und Infrastrukturkomponenten gegeben. 1 Motivation Verkehrshindernisse detektieren bevor man sie sieht; Gefahren wahrnehmen bevor sie zur Bedrohung werden; schneller, sicherer und entspannter ans Ziel kommen - die angestrebten Vorteile zunehmender Vernetzung im Straßenverkehr sind vielfältig. Einerseits können Verkehrsteilnehmer vorausschauender und sicherer fahren, da sie frühzeitig über die aktuelle Verkehrssituation und Gefahrensituationen informiert werden, andererseits erhalten die Verkehrszentralen aus den Fahrzeugen präzise und umfassende Informationen zur Verkehrslage. Die Steuerung des Verkehrsablaufs kann dadurch noch differenzierter, effizienter und schneller erfolgen, wodurch der Verkehrsfluss verbessert wird. Die langfristigen Effekte der Einführung kooperativer Systeme sind sowohl reduzierte Unfallzahlen und eine insgesamt erhöhte Verkehrssicherheit, als auch sinkende CO 2 -Emissionen durch eine bessere Auslastung des Straßennetzes und weniger Staus. Diese Vision einer sicheren, intelligenten und damit effizienteren Mobilität ist die Motivation für die Vernetzung von Fahrzeugen untereinander und mit Verkehrsinfrastrukturkomponenten („Road Side Units“), wie z.B. Ampeln, Baustellenwarnern oder Schilderbrücken, mittels Funktechnik. Diese „Vehicle-to-Vehicle“- (V2V) bzw. „Vehicle-to-Infrastructure-Kommunikation“ (V2I bzw. I2V) wird zusammenfassend auch als „V2X“ bezeichnet. Die Vielzahl möglicher kooperativer Systeme und Dienste werden im Allgemeinen als Cooperative Intelligent Transport Systems unter dem Kürzel „C-ITS“ zusammengefasst. C-ITS bildet eine - noch recht neue - Teilmenge der Intelligenten Verkehrssysteme („IVS“ oder „ITS“), deren Einführung durch eine EU-Direktive [1] und deren Umsetzung auf nationaler Ebene (IVS Gesetz [2], IVS- Aktionsplan [3]) elementarer Bestandteil der verkehrspolitischen Aufgaben ist. Neben einer Vielzahl bereits abgeschlossener, laufender und geplanter Studien, Feldtests und Projekte gibt es auch auf nationaler und internationaler politischer Ebene großen Rückhalt für die Einführung kooperativer Systeme. So wird die Umsetzung in Europa durch verschiedene Förderaufrufe unterstützt (Connecting Europe Facility CEF, Horizon 2020) und es treffen sich im Rahmen der C-ITS Platform der 86 <?page no="99"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa Europäischen Kommission [4] regelmäßig Experten aus unterschiedlichen Bereichen von Verwaltung und Industrie in thematischen Arbeitsgruppen, beispielsweise zu grundlegenden Fragen des Datenschutzes und der IT-Security, aber auch zu übergeordneten Themen wie Nutzerakzeptanz und der Etablierung langfristig tragfähiger Geschäftsmodelle und -strukturen. Die enge Abstimmung der C-ITS Platform mit den Umsetzungsprojekten stellt einerseits sicher, dass die C-ITS Einführung in Europa auf einheitlichen Grundlagen erfolgt, andererseits fließen auch die bisherigen Erfahrungen der ersten Implementierungen als sogenannte „Lessons Learned“ und „Best Practises“ zurück in den Abstimmungsprozess. Um von Beginn an den größtmöglichen Nutzen erzielen zu können und die beschriebenen positiven Effekte für die Nutzer erlebbar zu machen, bedarf es einer gemeinsam von Straßenbetreibern und Automobilindustrie organisierten Einführung kooperativer Systeme, was wiederum die interoperable Umsetzung und ggf. Profilierung relevanter Standards voraussetzt. 2 Grundlagen der V2X-Kommunikation 2.1 Standardisierung in Europa Mit dem Mandat 453 beauftrage die Europäische Kommission im Jahre 2009 die Standardisierungsgremien mit der Entwicklung herstellerübergreifender Kommunikationsstandards [5], die im weiteren Verlauf dieses Papers im Fokus stehen soll. Die zugrundeliegende Kommunikationsarchitektur wurde bei ETSI (European Telecommunications Standards Institute) als EN 302 665 [6] standardisiert, ebenso die Nachrichtenformate Cooperative Awareness Message (CAM) [7] und Decentralized Environmental Notification Message (DENM) [8]. Die unmittelbare Kommunikation zwischen Fahrzeugen und ihrer Umgebung erfolgt auf Basis eines speziell angepassten WLAN-Protokolls (IEEE 802.11p) im Frequenzbereich 5,855 - 5,925 GHz, welches allgemein als 5,9 GHz-Band bezeichnet wird, in einem Broadcast-Verfahren. Die Nachrichten vom Typ CAM werden von entsprechend ausgerüsteten Fahrzeugen ständig und mit hoher Frequenz versendet (1-10 Hz) und enthalten Informationen wie beispielsweise Position, Richtung, Geschwindigkeit und Fahrzeugtyp (PKW, LKW, Motorrad, Einsatzfahrzeug etc.). Diese Informationen nutzen Empfänger der Nachrichten, um ein digitales Abbild ihrer näheren Umgebung zu erstellen, indem die Daten in der sogenannten Local Dynamic Map (LDM) [9] zusammengefasst werden. Neben der ständig versendeten CAM gibt es den Nachrichtentyp DENM, welcher ausschließlich ereignisbasiert ausgesendet wird. Ausgelöst wird der Versand der DENM durch sogenannte Triggering Conditions, d.h. den Abgleich der Sensordaten mit festgelegten Kriterien, so dass die mittels eines Cause Codes und spezifischen Containern innerhalb der Nachricht Informationen zu definierten Gefahrensituationen übermittelt. Dies können beispielsweise Warnmeldungen bzgl. Baustellen, liegengebliebenen Fahrzeugen, Glatteis, Einsatzfahrzeuge etc. sein. Diese Nachrichten sind ein wichtiges Mittel, um Verkehrsteilnehmer rechtzeitig vor Gefahren zu warnen und so deren Sicherheit zu erhöhen (I2V/ V2V). Darüber hinaus reichern diese Daten die Datengrundlage in Verkehrszentralen an und ermöglichen so ein verbessertes Ver- 87 <?page no="100"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa kehrsmanagement, d.h. entsprechende verkehrstechnische Maßnahmen können schneller und präziser getroffen werden. Neben der hier beschriebenen kurzreichweitigen Funkkommunikation spielt auch die an ein Netzwerk und Backend gebundene Mobilfunkkommunikation, die bereits von verschiedenen Automobilherstellern und -zulieferern eingesetzt wird, ein wichtige Rolle. Auch dieser Kommunikationsweg und das Zusammenspiel verschiedener Technologien ist Gegenstand vieler europäischer Studien und Piloten, wird jedoch im Folgenden nicht näher behandelt. 2.2 Internationaler Kontext Kooperative Systeme, die konform zu den oben beschriebenen Standards sind, werden als „ETSI ITS G5“ bezeichnet. Unter dem Titel Wireless Access Vehicular Environments (WAVE) kommen in den USA eine weitere Gruppe von Standards zum Einsatz. Das auch dort verwendete 5,9 GHz-Band erlaubt den Einsatz identischer Sender-/ Empfänger-Hardware, die Aufteilung der Funkkanäle des innerhalb des 5,9 GHz-Bandes sowie die verwendeten Nachrichtenformate richten sich jedoch nach anderen Standards. Ähnlichkeiten in Struktur und Inhalten der Nachrichtenformate sind vorhanden, so dass sich die Inhalte größtenteils aufeinander abbilden lassen, allerdings sind die Systeme nicht identisch und daher nicht automatisch interoperabel. Ein weiterer Unterschied ist die strikte Begrenzung der Sendeleistung am unteren Ende des 5,9 GHz-Bandes in Europa (Schutz der bestehenden elektronischen Mauterfassungssysteme auf 5,8 GHz), welche in den USA nicht erforderlich ist. Die „ETSI ITS G5“ Kommunikationstechnologie, mit Reichweiten von einigen hundert Metern, wird in den USA auch oft als „Dedicated Short Range Communication“ („DSRC“) bezeichnet - der Begriff „DSRC“ ist in Europa jedoch bereits für die Mauterfassung auf dem benachbarten Frequenzband etabliert. Die in den USA zukünftig verpflichtende Ausstattung von Neufahrzeugen mit kooperativen Technologien ist bereits als Gesetzgebungsverfahren auf den Weg gebracht [10]. Dies stellt auch für die europäischen Fahrzeughersteller und deren Zulieferer ein wichtiges Signal dar und geht mit einer gewissen Investitionssicherheit einher. 2.3 Funktionsweise Die Funkmodule der Fahrzeuge verwenden im 5,9 GHZ Bereich, sowohl auf dem europäischen als auch dem amerikanischen Markt, eine spezielle Wildcard-BSSID als Netzwerkkennung. Alle Teilnehmer (innerhalb der Antennenreichweite) befinden sich somit prinzipiell immer in einem gemeinsamen Funknetzwerk, ohne dass ein Access Point oder eine zentrale Instanz benötigt wird. Das bedeutet, dass der in „normalen“ Netzwerken übliche Handshake beim Verbindungsaufbau entfällt und die Nachrichten im Broadcast gesendet werden. Dies reduziert einerseits den Daten- Overhead, was den schmalbandigen Funkkanal entlastet, andererseits ist das Verfahren notwendig, um den Datenaustausch in dynamischen Verkehrsszenarien mit z.T. sehr hohen Relativgeschwindigkeiten überhaupt zu ermöglichen. Ohne Broadcast bestünde die Gefahr, dass keine (Punkt-zu-Punkt) Verbindungen etabliert wer- 88 <?page no="101"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa den können, da mögliche Kommunikationspartner bereits während des Handshakes die Empfangsreichweite wieder verlassen haben. Außerdem erfolgt die Kommunikation unverschlüsselt, um den hohen Anforderung an die Latenz gerecht werden zu können und die Information für alle Verkehrsteilnehmer zugänglich zu machen, z.B. im Falle des kooperativen Notbremsassistenten. Übertragungsfehler bei verschlüsselten Nachrichten könnten die Nachrichten im schlimmsten Falle unbrauchbar machen, was insbesondere bei sicherheitskritischen Anwendungen als Fehlerquelle ausgeschlossen werden muss. Die Nachrichten werden stattdessen elektronisch signiert und die Authentizität der Nachrichten kann durch den Empfänger geprüft werden, siehe Kapitel 4 und folgende. 3 C-ITS Corridor Rotterdam - Frankfurt - Wien Im „Cooperative ITS Corridor“ [11] sollen kooperative Dienste entlang der Strecke Rotterdam, Frankfurt am Main und Wien, wie in Bild 1 dargestellt, eingeführt werden. Politische Grundlage dieser koordinierten Einführung kooperativer Systeme in Deutschland, Österreich und den Niederlanden ist ein Memorandum of Understanding, welches die Verkehrsminister der drei beteiligten Länder im Juni 2013 unterzeichnet haben. Die Einführung kooperativer Systeme im C-ITS Corridor ist in drei Phasen unterteilt, die in Deutschland folgendermaßen definiert sind: 1. Die Entwicklungsarbeiten und Systemspezifikation werden in Zusammenarbeit des Bundes mit dem Straßenbetreiber Hessen Mobil entwickelt und zunächst mit 2-3 Straßen- und Autobahnmeistereien im Raum Frankfurt/ Main erprobt. 2. Der Roll-out in den weiteren Bundesländern entlang des Korridors (Bayern, Baden-Württemberg, Rheinland-Pfalz, Nordrhein-Westfalen und Niedersachsen) erfolgt im Anschluss an die erfolgreiche Einführung in Hessen. 3. Der Einsatz der Systeme in den übrigen Bundesländern erfolgt sukzessive In den niederländischen und österreichischen Teilprojekten ist ein ähnliches mehrstufiges Vorgehen für den Roll-out der kooperativen Systeme geplant. Bild 1: Verlauf des C-ITS Corridors 89 <?page no="102"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa Zunächst ist im C-ITS Corridor die Implementierung von zwei Diensten vorgesehen, siehe schematische Darstellung in Bild 2. Zum einen gibt es die I2V-Anwendung Baustellenwarnung (Road Works Warning Service - RWWS) für sogenannte "Tagesbaustellen“. Diese mobilen und stationären „Arbeitsstellen kürzerer Dauer“ (AkD) umfassen beispielsweise Mäharbeiten, Markierungsarbeiten, Streckenkontrollen und -Ausbesserungen. Der Arbeitsbereich innerhalb einer solchen AkD wird immer durch (mindestens) eine fahrbare Absperrtafel (FAT - "Sperranhänger"), die von einem Einsatzfahrzeug gezogen wird, abgesichert. Im Rahmen der Anwendung RWWS versendet die FAT Nachrichten mit Baustelleninformationen an sich nähernde Fahrzeuge, um die Aufmerksamkeit der Fahrer und somit die Sicherheit in Baustellen zu erhöhen [12]. Daneben gibt es als V2I-Anwendung den Dienst Verkehrslageerfassung, vollständig als „Kooperatives Verkehrsmanagement unter Einbeziehung von Fahrzeugdaten“ bezeichnet. Hierbei nehmen die fahrbaren Absperrtafeln die Nachrichten der Fahrzeuge innerhalb des Empfangsbereichs auf und verarbeiten, im Einklang mit allen Datenschutzanforderungen, ausschließlich die Daten weiter, die zur Verbesserung des Verkehrsmanagements erforderlich sind. Ziel ist es, durch die Fusion der fahrzeuggenerierten Daten mit Bestandsdaten der Verkehrszentrale eine Verbesserung der Verkehrslageermittlung zu erreichen. Auf Basis der verbesserten Verkehrslageinformationen können beispielsweise verkehrsabhängige Routenempfehlungen, sicherheitsrelevante Warnungen etc. optimiert werden, was wiederum zur Erhöhung der Verkehrssicherheit und der Verbesserung der Verkehrseffizienz beiträgt. Bild 2: Schematische Darstellung der kooperativen Dienste Die Kommunikation zwischen Fahrzeugen und der straßenseitigen Infrastruktur erfolgt in beiden Fällen auf Basis der ETSI ITS G5 Technologie. Der erste Dienst verwendet für die Baustellenwarnung das Nachrichtenformat DENM, die durch den zweiten Dienst angestrebte Verbesserung der Datengrundlage des Verkehrsmanagements basiert auf Empfang und Auswertung der Nachrichtentypen CAM und 90 <?page no="103"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa DENM. Die Sendebzw. Empfangsreichweite der auf den Anhängern montierten Systeme beträgt dabei je nach Streckentopographie bis zu 800 m. Die zentralenseitigen Systeme der Straßenbetreiber und Automobilindustrie nutzen darüber hinaus Mobilfunk und kabelgebundene Netze als weitere Verbreitungswege, beispielsweise über den deutschen Mobilitätsdatenmarktplatz (MDM, [13]) für Verkehrsdaten bzw. vergleichbare Plattformen. Auf dem Weg zum Regelbetrieb kooperativer Systeme gilt es außerdem gemeinsam mit der Automobilindustrie, nicht nur technische, sondern auch organisatorische Lösungen zu finden sowie Rollen und Verantwortlichkeiten zu definieren, die dann auf regionaler, nationaler und internationaler Ebene auszufüllen sind. Als Beispiele seien hier Change Management (z.B. Umstellung einzelner Prozessabläufe, Änderungen an Schnittstellen) und Release Management (z.B. Migration auf neuere Standardversionen, Einführung neuer Dienste und/ oder Nachrichtenformate) genannt, die übergreifend mit allen Beteiligten abgestimmt werden müssen. Auf den im C-ITS Corridor gelegten Grundlagen aufbauend sind bereits weitere Aktivitäten angelaufen. Hervorzuheben ist in diesem Zusammenhang die Rolle der europäischen „C-Roads Platform“, die von der Europäischen Kommission als das maßgebliche Harmonisierungsinstrument für die Einführung kooperativer Systeme benannt ist. Die „C-Roads Platform“ vereint alle neu aufgesetzten nationalen Einführungsprojekte der europäischen Mitgliedsstaaten von Portugal bis Ungarn und von Italien bis Skandinavien. So wird beispielsweise im Rahmen des geförderten CEF- Projektes „C-Roads Germany“ [14] die C-ITS-Einführung in Niedersachsen gestartet und das bestehende hessische C-ITS Diensteportfolio erweitert. 4 IT-Sicherheit von Infrastrukturkomponenten In den obigen Anwendungen kommt der Vertrauenswürdigkeit der ausgetauschten Nachrichten eine große Bedeutung zu. Autofahrerinnen und -fahrer sollen angezeigten Warnmeldungen vertrauen können und nicht durch falsche Meldungen in die Irre geführt werden. Auch die Verkehrslageermittlung ist natürlich auf korrekte und authentische Daten angewiesen, insbesondere, wenn diese wiederum für die Verkehrssteuerung eingesetzt werden. Es darf Angreifern nicht möglich sein, gefälschte Nachrichten zu erzeugen, und auf diese Weise den Verkehr nachteilig zu beeinflussen. Beispielsweise ist es vorstellbar, dass Angreifer zu Sabotagezwecken oder zu eigenem Vorteil Nachrichten verschicken, durch die ein Unfall oder Stau provoziert wird. Angreifer könnten hierzu etwa Nachrichten generieren, die eine Baustelle vortäuschen, oder sich als ein Einsatzfahrzeug ausgeben. Ferner darf es auch nicht möglich sein, dass bereits früher versendete (authentische) Nachrichten zu einem späteren Zeitpunkt wieder eingespielt werden können, z.B. um eine Unfallstelle zu melden, die bereits geräumt wurde. Um die Aktualität der Nachrichten und deren Authentizität zu garantieren wurde in der Spezifikation vorgesehen, dass CAMs und DENMs einen Zeitstempel erhalten und digital signiert werden [6, 15, 16]. Zum Einsatz kommen dabei Signaturen auf Grundlage elliptischer Kurven (ECDSA). 91 <?page no="104"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa Zur Verifikation der Signaturen müssen alle Teilnehmer (Fahrzeuge und Road Side Units) entsprechende digitale Zertifikate verwenden, die die Echtheit der Signaturschlüssel der Teilnehmer nachweisen. Um Fahrzeuge mit den Zertifikaten auszustatten muss eine geeignete Public-Key-Infrastruktur aufgebaut werden, welche die Erzeugung und Verwaltung der Zertifikate sicherstellt (siehe Kapitel 5). Bei der V2V-Kommunikation sind neben den IT-Sicherheitsauch Datenschutzanforderungen zu berücksichtigen. Dies gilt insbesondere für das Schlüsselmanagement bei Fahrzeugen. Für Fahrzeuge ist vorgesehen, dass diese mit zwei Arten von Zertifikaten und kryptographischen Schlüsseln ausgestattet werden, siehe Kapitel 5: • Ein Enrolment Credential (Schlüsselzertifikat längerer Gültigkeitsdauer zur Authentisierung eines Fahrzeugs) und zugehörigen Signaturschlüssel • Eine Menge von gleichzeitig gültigen Authorization Tickets (pseudonyme Zertifikate kürzerer Gültigkeitsdauer) und zugehörige Signaturschlüssel Die pseudonymen Signaturschlüssel und korrespondierenden Authorization Tickets werden für die Signierung der CAMs bzw. DENMs eingesetzt. Aufgrund der Pseudonymität der Authorization Tickets kann ein Empfänger einer CAM/ DENM diese nicht einem konkreten Fahrzeug oder gar einer Person zuordnen. Diese Maßnahme soll dem Datenschutz Rechnung tragen. Zudem werden die Authorization Tickets häufig gewechselt, mit dem Ziel dass CAMs eines Fahrzeugs nicht über längere Strecken verknüpft werden können. Damit soll das Aufzeichnen von durchgehenden CAM-Traces eines Fahrzeugs durch Dritte unterbunden werden. Im Gegensatz zu in Fahrzeugen fahrenden Personen gibt es bei Infrastrukturkomponenten wie der fahrbaren Absperrtafel keinen Personenbezug und daher auch keine besonderen Datenschutzanforderungen. Dies hat unmittelbare Auswirkung auf das Schlüsselmanagement für Infrastrukturkomponenten. Infrastrukturkomponenten erhalten ebenfalls • ein Enrolment Credential (Schlüsselzertifikat längerer Gültigkeitsdauer) Aber anstatt einer Menge gleichzeitig gültiger pseudonymer Authorization Tickets nur • ein für den jeweiligen Einsatz ein kurzzeitig gültiges Authorization Ticket Alle Details bezüglich Zertifikatsformat und -bezug sind in [15, 16] zu finden. Die Signaturerzeugung selbst muss auf sichere Art und Weise erfolgen - gerade in den Road Side Units, die ja der öffentlichen Hand unterliegen und somit ggf. besonders schützenswerte Nachrichteninhalte verteilen. So sind beispielsweise Geschwindigkeitsbegrenzungen, Überholverbote oder ähnliche Anordnungen an spezielle Berechtigungen geknüpft, die ebenfalls in den Zertifikaten kodiert sind. Es ist vorgesehen, dass dies in einer gesonderten Hardwarekomponente auf der Road Side Unit geschieht. Dieses Hardware-Element ist insbesondere auch in der Lage, Signatur-Schlüsselpaare zu erzeugen und den privaten Signaturschlüssel so abzuspeichern, dass er nicht ohne Weiteres durch Unberechtigte ausgelesen oder kopiert werden kann. (Entsprechende Hilfsfunktionen wie die sichere Erzeugung von Zufallszahlen sind ebenfalls vorhanden.) Zusätzlich sind diese Hardware- Komponenten durch spezielle Gegenmaßnahmen in hohem Maße gegen passive, aktive und invasive Seitenkanalangriffe abgesichert. Die Spezifikation [7] sieht vor, dass CAM-Nachrichten von jedem teilnehmenden Fahrzeug bis zu zehn Mal pro Sekunde verschickt werden. Je nach Verkehrsaufkommen ist also zu erwarten, dass unter Umständen hunderte von CAMs pro Sekunde bei einem Empfänger ausgewertet werden müssen. Das Hardware-Element muss entsprechend leistungsfähig sein, um die zugehörigen Signaturen in kurzer Zeit verifizieren zu können. 92 <?page no="105"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa Neben Signaturerzeugung und -verifikation bei Versand und Empfang der Nachrichten gibt es jedoch weitere infrastrukturseitige Funktionen, die unter Gesichtspunkten der IT- Security zu betrachten sind. Insbesondere sind hier verschiedene Internet- Verbindungen zu nennen, die die Road Side Unit während des Betriebes in eine Reihe von Hintergrundsystemen aufbaut. So muss die Road Side Unit rechtzeitig vor dem Ablauf des jeweiligen Kurzzeitzertifikats ein neues Kurzzeitzertifikat bei der entsprechenden Zertifizierungsstelle der PKI beantragen. Für diese Verbindung ist ein Langzeitzertifikat notwendig, das von einer weiteren Zertifizierungsstelle in größeren zeitlichen Abständen ausgestellt wird, siehe Bild 3. Aktuell wird überlegt, die von den Fahrzeugen benötigten Zertifikate über Road Side Units zu verteilen, sofern die Fahrzeuge selbst keine Verbindung per Mobilfunk zu den Zertifizierungsstellen aufbauen können [17]. Dazu müssen die RSUs mit einer entsprechenden (sicheren) Relay-Funktionalität ausgestattet werden. Außerdem unterhält die Road Side Unit eine Verbindung in die Verkehrszentrale, so dass die für das Verkehrsmanagement erforderlichen Inhalte weitergeleitet werden können. Für die Verbindung zur Verkehrszentrale wird im Korridor-Projekt ein TLSgesicherter Kanal aufgebaut. Auch für diese Verbindungen müssen Sicherheitsanforderungen definiert und umgesetzt werden. Dies betrifft zum Beispiel die genauen Protokollabläufe zur Anforderung und Ausstellung der Zertifikate. Die entsprechenden Protokolle werden in der derzeit überarbeiteten ETSI-Spezifikation [15] definiert. Die detaillierten Sicherheitsanforderungen an die Kommunikationskomponente der FAT (die auch Punkte wie die Firmwareupdates und das Erstellen von Log-Dateien umfassen) werden derzeit im Rahmen eines Schutzprofils nach Common Criteria formuliert [18], mit dem Ziel, eine spätere Zertifizierung entsprechender Komponenten zu ermöglichen. Neben der Implementierung der technischen Systeme wird im Cooperative ITS Corridor ein Betriebskonzept entwickelt, das den möglichst störungsarmen Betrieb der Kooperativen Technologien gewährleisten soll. Die notwendigen organisatorischen Rahmenbedingungen, die für die sichere Einbettung der kooperativen Systeme in die betrieblichen Prozesse der Straßenbetreiber erforderlich sind, werden im Rahmen eines IT-Sicherheitskonzeptes nach ISO 27001 [19] bzw. BSI Grundschutz [20] beschrieben. Wichtige Bestandteile des Betriebskonzepts für Systeme zur V2X- Kommunikation dienen daher der Wahrung der Schutzziele • Vertraulichkeit, • Integrität und • Verfügbarkeit aller zu übertragenden Daten. Gewährleistet wird dies über die Schaffung einer geeigneten Betriebsumgebung, unter anderem durch Regelungen und Richtlinien und einer streng reglementierten Organisationsarchitektur. Weiterhin wird eine IT-sichere Systemarchitektur, die beispielsweise Maßnahmen zum Zugangsschutz, zu Datensicherung oder der Netzwerksicherheit implementiert. Nicht zuletzt ergänzen betriebliche Prozesse wie Personalschulungsmaßnahmen, Prozesse zur Betriebsüberwachung oder ein Änderungsmanagement die zuvor genannten Maßnahmen. Die konkrete Ausgestaltung hängt dabei stark vom bestehenden Risiko und dem damit verbundenen Schutzbedarf ab. Je höher der Grad des festgestellten Schutzbedarfs ist, desto restriktiver sind die zu ergreifenden Maßnahmen. 93 <?page no="106"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa 5 Public-Key-Infrastrukturen für C-ITS Die V2X-Kommunikation soll die Sicherheit im Straßenverkehr verbessern und das Unfallrisiko verringern. Wie oben beschrieben müssen die Nachrichten manipulationssicher (integer und authentisch) übertragen werden, damit den Nachrichten vertraut werden kann und es nicht möglich ist, falsche Nachrichten einzuspielen. Zu diesem Zweck wird seit Anfang 2016 eine europäische Certificate Policy für kooperative intelligente Verkehrssysteme in Europa entwickelt, die Sicherheits- und Interoperabilitätsanforderungen, wie z.B. Zertifikatslaufzeiten, Schlüssellängen und Signaturalgorithmen, für die C-ITS Public-Key-Infrastruktur (PKI) definiert. Eine PKI besteht aus einer oder mehreren Certification Authorities (CA), die digitale Zertifikate ausstellen, verteilen und prüfen und somit beglaubigen, dass ein öffentlicher Schlüssel zu einer Entität (hier zu einem Fahrzeug oder zu einer Road Side Unit) gehört. Die C-ITS PKI besteht im Allgemeinen aus einer dreistufigen Hierarchieebene und ist wie folgt zusammengesetzt: • Root-CA (Vertrauensanker der PKI, welche eine selbst-signiertes Zertifikat sowie die Sub-CA Zertifikate ausstellt • Mindestens zwei Sub-CAs (stellt Zertifikate für die End-Entitäten aus) • End-Entitäten (Fahrzeuge und Verkehrsinfrastrukturkomponenten) Die Root-CA ist der Vertrauensanker der PKI, welche selbst-signierte und Sub-CA- Zertifikate ausstellt. Es wird angenommen, dass das selbst-signierte Root-Zertifikat allen anderen Teilnehmern initial auf sichere Art und Weise zur Verfügung gestellt wird. Bei Fahrzeugen kann z.B. das Root-Zertifikat während des (gesicherten) Produktionsprozesses auf der entsprechenden Komponente gespeichert werden. Die Sub-CAs umfassen mindestens je eine von zwei verschiedenen CAs: Eine Enrolment Authority (EA), bei denen sich die End-Entitäten registrieren müssen, und eine Authorization Authority (AA), die die Zertifikate, die oben schon erwähnten Authorization Tickets (ATs), für die eigentliche V2X-Kommunikation ausstellt. Diese Zertifikate besitzen nicht das weitverbreitete X.509-Format, sondern sind speziell in einem kompakten Format kodiert, das im Standard ETSI TS 103 097 definiert ist [16]. Um an dem System teilnehmen zu können, benötigt die End-Entität (EE) zunächst ein Enrolment Credential (EC), das bei der EA beantragt werden muss. Das EC nimmt die Rolle einer Langzeit-Identität für das Fahrzeug ein. Dieses EC ist mehrere Jahre gültig und dient dem Nachweis, dass es sich um eine authentische Entität handelt. Nach dem Erhalt des EC kann die EE die zur V2X-Kommunikation benötigten ATs bei der AA beantragen (gemäß Spezifikation in ETSI TS 102 941 [15]). Das zugehörige Request-Protokoll für die ATs ist im Vergleich zu üblichen Zertifikats- Requests komplexer aufgebaut, da hier Anforderungen zum Schutz der Privatsphäre berücksichtigt wurden. Bei der V2X-Kommunikation können die End-Entitäten pseudonym untereinander kommunizieren, d.h. jeder Empfänger kann feststellen, dass eine Nachricht integer und authentisch ist, jedoch soll es schwer möglich sein auf die entsprechende sendende End-Entität zu schließen, die die Nachricht signiert hat. Aus diesem Grund enthalten die AT-Zertifikate keine Informationen über den Zertifikatsinhaber. Es soll zudem weder der EA noch der AA möglich sein, dass EC eines Fahrzeugs mit den ausgestellten ATs in Verbindung zu bringen. Könnte man eine Zuordnung von ATs zu ECs vornehmen, so könnte man aus den später versendeten CAMs oder DENMs 94 <?page no="107"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa auf ein bestimmtes Fahrzeug schließen. Der AT-Request ist elektronisch signiert um die Authentizität und Integrität zu gewährleisten. Das mitgeschickte EC und einige weitere Daten werden so verschlüsselt, dass nur die EA diesen Teil des Requests entschlüsseln kann. Die AA kann die Korrektheit der Signatur und des EC nicht selbst überprüfen, deswegen wird der entsprechende Datenblock an die EA weitergeleitet, die diesen entschlüsselt und dann die Signatur prüfen kann. Im Falle der Korrektheit wird eine Bestätigung an die AA gesendet. Die AA stellt daraufhin aus den im Request enthaltenen Daten die AT-Zertifikate aus (siehe Bild 3), die eine kurze Gültigkeit haben. Bild 3: Kommunikationsschema zwischen EA und AA beim Zertifikatsantrag Im grenzüberschreitenden europäischen Straßenverkehr wird es häufig vorkommen, dass Fahrzeuge oder Road Side Units V2X-Nachrichten mit Zertifikaten erhalten, die nicht aus der „eigenen PKI“ stammen. Beispielsweise müssen im europäischen Fernverkehr Fahrzeuge aller Hersteller (deutsch, französisch, schwedisch etc.) in der Lage sein, Nachrichten aller Infrastrukturkomponenten (in Spanien, Österreich etc.) zu empfangen und zu verifizieren, unabhängig davon, aus welcher CA deren Zertifikate stammen. Um dies zu gewährleisten gibt es eine zentrale Stelle, den Trust List Manager (TLM), der eine Vertrauensliste herausgibt, auf der alle Root-CA Zertifikate aus den verschiedenen (länder- oder herstellerspezifischen) PKIen hinterlegt sind. Diese Liste wird mit dem privaten Schlüssel des TLM signiert. Für die Verifikation der Liste wird dann der passende öffentliche Schlüssel verwendet, der in dem selbstsignierten TLM Zertifikat enthalten ist. Bei der Verifikation einer Nachricht muss die EE die gesamte Zertifikatskette bis zu der entsprechenden Root-CA prüfen, um die Authentizität und Integrität der Nachricht festzustellen. Es ist angedacht sowohl die 95 <?page no="108"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa Requests als auch das Beziehen der CRL und Vertrauensliste über den G5-Kanal zu ermöglichen. Dadurch, dass die Kanalkapazität sehr beschränkt ist und beispielsweise die Vertrauenslisten sehr groß werden können, sollen Deltalisten verwendet werden, die immer nur die aktuellen Änderungen (neuen Root-CA Zertifikate) der letzten Liste enthalten. Durch die Verwendung von Deltalisten werden die einzelnen Teillisten somit deutlich kleiner und der Kanal entlastet. Die Revokation der Root-CA- und Sub-CA-Zertifikate erfolgt durch eine Certificate Revocation List (CRL), welche von der entsprechenden Root-CA ausgestellt wird. Die CRL ist mit dem privaten Schlüssel der Root-CA signiert und enthält alle revozierten Sub-CA-Zertifikate. Diese Liste wird in regelmäßigen Abständen von der jeweiligen Root-CA neu ausgestellt und muss für jede EE beziehbar und verifizierbar sein. Der Rückruf der EE kann nur über die Sperrung der EC-Zertifikate durch die entsprechende EA geschehen. Die Sperrung der ECs erfolgt durch eine interne Datenbank bei der spezifischen EA; eine Veröffentlichung der gesperrten ECs ist nicht erforderlich. Eine Revokation von den AT-Zertifikaten ist nicht vorgesehen, aus diesem Grund besitzen alle AT-Zertifikate nur eine kurze Laufzeit. Bild 4 fasst die beschriebenen Komponenten und wechselseitigen Beziehungen zusammen und zeigt zusätzlich die mögliche Unterteilung der gesamten PKI in einzelne Segmente, hier beispielhaft für Fahrzeuge und Infrastrukturkomponenten. Bild 4: PKI-Struktur für Fahrzeuge und Infrastrukturkomponenten 96 <?page no="109"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa 6 Analyse der V2V-Kommunikation Wie oben dargestellt, wird jede CAM oder DENM eines Fahrzeugs oder einer Verkehrsinfrastrukturkomponente zur Sicherstellung der Integrität und Authentizität signiert. Dies zieht dabei einige Seiteneffekte nach sich. Jede Signatur vergrößert eine Nachricht deutlich [21]. Dies belastet die sowieso schon begrenzte Kanalkapazität. Sollten aus Gründen der Sicherheit in Zukunft längere Schlüssel für die CAM genutzt werden, könnte dies dazu führen, dass nicht mehr alle Nachrichten versendet werden können. Ein weiteres Problem ist, dass nach aktuellem Standard nur ein einziger Signaturalgorithmus verwendet werden kann. Dies kann zu Problemen führen, falls dieser Algorithmus gebrochen oder nach aktuellem Stand der Technik nicht mehr sicher ist, da in diesem Fall nicht auf einen anderen Algorithmus migriert werden könnte. Somit wären in einem solchen Fall die versendeten Nachrichten, signiert [16], nicht mehr vertrauenswürdig. Aktuell wird an einer neuen Version des Standards gearbeitet, der mehrere Signaturalgorithmen bzw. unterschiedliche elliptische Kurven unterstützt, um Kryptoagilität zu gewährleisten und das kooperative System dadurch auch in Zukunft sicher betreiben zu können. Es wurde oben bereits erwähnt, dass Fahrzeuge beim Versand vom CAMs und DENMs Authorization Tickets in kurzen Abständen wechseln (siehe Kapitel 4), um ein Nachverfolgen von Fahrstrecken zu erschweren. ATs müssen dem entsprechend in größerer Anzahl auf dem sendenden Fahrzeug zur Verfügung stehen und wegen der kurzen Laufzeit auch kurzfristig bei der AA beantragt werden können. Das bedeutet, dass sendende Fahrzeuge über etwa eine regelmäßige Internetverbindung verfügen müssen, die sowohl neue Anforderungen für die Hersteller, wie auch neue Einfallstore für Angreifer bedeuten können. Es sind verschiedene Varianten denkbar, wie der Wechsel der ATs konkret ausgestaltet wird. Unter anderem ist dabei festzulegen, in welchem zeitlichen bzw. räumlichen Abstand jeweils ein neues ATs zur Signierung verwendet wird, und ob einmal verwendete ATs später erneut benutzt werden können. Es muss dabei eine Abwägung zwischen den Anforderungen zur Privatsphäre einerseits und den Kosten zur Ausstellung und Speicherung der ATs andererseits getroffen werden. Aus Datenschutzsicht ist es wünschenswert, viele kurzzeitgültige ATs zu besitzen, deren private Schlüssel nur einmal zum Signieren verwendet werden dürfen. Andererseits birgt eine große Anzahl von vorab ausgestellten ATs auch ein größeres Missbrauchspotential. Hier spielen sogenannte Sybil-Angriffe eine Rolle, bei denen ein einzelnes Fahrzeug eine Vielzahl von verschiedenen Fahrzeugen „simulieren“ kann. Betrachtet man dies aus der Sicht der Verkehrssicherheit, könnten ATs von einem Angreifer dazu verwendet werden, um beispielsweise künstlich Staus zu erzeugen, da vom Empfänger der Nachrichten nicht geprüft werden kann, ob diese von demselben Fahrzeug stammen oder nicht. ATs müssen natürlich auch den Empfängern bekannt gemacht werden, also im Regelfall an die eigentliche CAM oder DENM angehängt werden. Dies bedeutet eine zusätzliche Kanalbelastung. 97 <?page no="110"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa 7 Ausblick Im Jahr 2019 sollen erste mit V2X-Komponenten ausgestattete Fahrzeuge auf den Markt kommen [22, 23]. Daher soll eine europaweit gültige PKI-Policy noch in 2017 fertiggestellt werden, um die Etablierung einer europäischen PKI bis zum Zeitpunkt der Ersteinführung zu ermöglichen. Eine erste Version der Policy steht unter [24] zur Verfügung. Weiterhin wird auch noch an der Fortführung der ETSI-Spezifikationen [15, 16] gearbeitet. Dort sind in den neuesten Versionen der Standards mehrere Domain Parameter für elliptische Kurven, für den Signaturalgorithmus, Zertifikatsantragskonzepte, sowie die Rechtestrukturen in den Root-CA- und Sub-CA-Zertifikaten integriert worden. Ferner werden die Spezifikationen mit dem einschlägigen IEEE- Standard harmonisiert. Infrastrukturkomponenten (Verkehrsschilder, Ampelanlagen etc.) stellen hinsichtlich der Verkehrssicherheit wichtige und sensitive Komponenten dar. Im Zuge einer Digitalisierung dieser Komponenten sind sowohl deren elektronischen Gateways als auch die von ihnen gesendeten Nachrichten entsprechend zu schützen, wie in diesem Beitrag aufgezeigt wird. Die skizzierten Sicherheitsmaßnahmen für Infrastrukturkomponenten sind weitestgehend akzeptiert und können in der beschriebenen Form ausgerollt werden. Im Hinblick auf die Vehicle-to-Vehicle-Kommunikation verbleiben trotz des Konzepts pseudonymer Zertifikate Fragen bezüglich der datenschutzrechtlichen Konsequenzen, die mit dem permanenten Versenden von CAM-Nachrichten durch Fahrzeuge einhergehen. Das Pseudonymkonzept für Fahrzeuge ist ein erster Ansatz, die Pseudonymität bei der Versendung von CAM-Nachrichten zu wahren, jedoch verhindert der Zertifikatwechsel kein Aufzeichnen von CAM-Traces eines Fahrzeugs [25]. Dies liegt darin begründet, dass jedes Fahrzeug mittels der versendeten CAM- Nachrichten eine Datenspur hinterlässt (Geschwindigkeit, Geoposition, Beschleunigung, usw.), die vergleichbar einfach von Dritten erfasst werden kann. Aufgrund der Signierung der CAM-Nachrichten sind diese Daten nicht oder nur sehr schwer anfechtbar, was unter bestimmten Bedingungen datenschutzrechtliche Relevanz bei der Auswertung der Daten erlangen könnte. Es stellt sich somit die Frage, wie das aktuelle System hinsichtlich dieser potentiellen Datenschutzproblematik verbessert werden kann. Betrachtet man hingegen die Konzepte für Infrastrukturkomponenten (siehe Kapitel 5), so lässt sich sagen, dass dort die datenschutzrechtlichen Anforderungen bereits erfüllt sind, da Infrastrukturkomponenten und die von ihnen versendeten Nachrichten keine pseudonymen Eigenschaften besitzen müssen. Literatur [1] Richtlinie 2010/ 40/ EU „Rahmen für die Einführung intelligenter Verkehrssysteme im Straßenverkehr und für deren Schnittstellen zu anderen Verkehrsträgern“,http: / / eurlex.europa.eu/ LexUriServ/ LexUriServ.do? uri=OJ: L: 2010: 207: 0001: 0013: DE: P DF [2] IVS Gesetz, http: / / www.gesetze-im-internet.de/ ivsg/ 98 <?page no="111"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa [3] IVS Aktionsplan, https: / / www.bmvi.de/ SharedDocs/ DE/ Artikel/ DG/ ivs-imstrassenverkehr.html [4] C-ITS Aktivitäten der Europäischen Kommission, Generaldirektion Mobilität und Verkehr (DG MOVE), https: / / ec.europa.eu/ transport/ themes/ its/ c-its_en [5] Standardisierungsmandat M/ 453 EN http: / / ec.europa.eu/ growth/ toolsdatabases/ mandates/ index.cfm? fuseaction=search.detail&id=434 [6] ETSI: ETSI EN 302 665 V1.1.1: Intelligent Transport Systems (ITS); Communications Architecture (2010) http: / / www.etsi.org [7] ETSI: ETSI EN 302 637-2 V1.3.2: Intelligent Transport Systems (ITS); Vehicular Communications; Basic Set of Applications; Part 2: Specification of Cooperative Awareness Basic Service (2015), http: / / www.etsi.org [8] ETSI: ETSI TS 102 637-3 V1.2.2: Intelligent Transport Systems (ITS); Vehicular Communications; Basic Set of Applications; Part 3: Specifications of Decentralized Environmental Notification Basic Service (2010), http: / / www.etsi.org [9] ETSI: ETSI EN 302 895 V1.1.1: Intelligent Transport Systems (ITS); Vehicular Communications; Basic Set of Applications; Local Dynamic Map (LDM), (2014), http: / / www.etsi.org [10] US Department of Transportation, Gesetzgebungsverfahren in den USA vom 13.12.2016, https: / / www.transportation.gov/ briefing-room/ us-dot-advancesdeployment-connected-vehicle-technology-prevent-hundreds-thousands [11] “Cooperative ITS Corridor” Homepage, http: / / www.c-its-corridor.de [12] Zimmermann, M. Cindric-Middendorf, D.: Verkehrssicherheit an Arbeitsstellen kürzerer Dauer in Bezug zu Verkehrsleistung und Arbeitsstellendauer, Straßenverkehrstechnik 09/ 2013, Abstract abrufbar (Stand 07/ 2017) unter http: / / www.strassenverkehrstechnikonline.de/ strassenverkehrstechnik/ heftarchiv/ svt-09-2013.html#c4456 [13] Mobilitätsdatenmarktplatz MDM, http: / / www.mdm-portal.de/ [14] C-Roads Platform, gefördert durch die Connecting Europe Facility der Europäischen Kommission, https: / / www.c-roads.eu/ platform.html [15] ETSI: ETSI TS 102 941 V1.1.1: Intelligent Transport Systems (IST); Security; Trust and Privacy Management (2012) http: / / www.etsi.org [16] ETSI: ETSI TS 103 097 V1.2.1: Intelligent Transport Systems (IST); Security; Security header and certificate formats (2015) http: / / www.etsi.org [17] SCOOP@F, Technical Specifications, http: / / www.scoop.developpementdurable.gouv.fr/ en/ technical-specifications-a22.html [18] Common Criteria for Information Technology Security Evaluation, Part 1: Introduction and General Model, Version 3.1, Revision 5 (2017), http: / / www.commoncriteriaportal.org/ [19] ISO/ IEC JTC1/ SC27: ISO/ IEC 27001: 2013 “Information technology - Security techniques - Information security management systems - Requirements” (2013) [20] BSI: IT-Grundschutz-Vorgehensweise, BSI-Standard 100-2, Version 2.0 (2008), https: / / www.bsi.bund.de 99 <?page no="112"?> 3.1 Sichere Vehicle-to-X Kommunikation in Europa [21] M. Ullmann, C. Wieschebrink, T. Strubbe: Technical Limitations, and Privacy Shortcomings of the Vehicle-to-Vehicle Communication, Proceedings Vehicular 2016: The Fifth International Conference on Advances in Vehicular Systems, Technologies and Applications, pages 15-20, 2016 [22] Pressemitteilung Volkswagen vom 28.06.2017, http: / / vwpress.de/ 8ygG30d0IOX [23] Car 2 Car Communication Consortium, Pressemitteilung von Oktober 2015 https: / / www.car-2 car.org/ index.php? eID=tx_nawsecuredl&u=0&g=0&t=1485513641&hash=1d4 b6dac4fe581b9b6e6c763e2ad7eef5205db59&file=fileadmin/ downloads/ PDFs/ CAR_2_CAR_Communication_Consortium_Press_Release_10_2015.pdf [24] European Commission (EC): Certificate Policy for Deployment and Operation of European Cooperative Intelligent Transport Systems (C-ITS) Release 1 (2017) https: / / ec.europa.eu/ ransport/ sites/ transport/ files/ cits_certificate_policy_release_1.pdf [25] Markus Ullmann, Thomas Strubbe, Christian Wieschebrink: “Misuse Capabilities of the V2V Communication to Harm the Privacy of Vehicles and Drivers”, in International Journal On Advances in Networks and Services, vol 10 no 12., IARIA, 2017, https: / / www.iariajournals.org 100 <?page no="113"?> 4 Verification and Validation / Nachweis und Absicherung 4.1 Automated Driving: Regulations and Safety Benefits / Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag Antony Lagrange, Ulrich Veh , Abstract From a customer perspective, highly-automated driving has the potential to provide a wide variety of attractive functions. These innovations could even change entire business models. Think, for example, of the taxi industry or carsharing schemes. At the same time, it is crucial that new technologies are safe in use and that the relevant prerequisites for type approval are clearly defined. In the short run, an exemption procedure can be used for the EU type-approval framework. A more comprehensive review of the framework is on the way. Requirements which could be translated into industry commitments, regulations and standards are equally important. They are needed to guarantee the necessary safety level on the one hand, without avoiding brand-specific solutions on the other hand. Kurzfassung Mit dem hochautomatisierten Fahren sind zukünftig aus Kundensicht hochattraktive Funktionen verfügbar. Der Einfluss der Funktionen geht bis zur Veränderung von Geschäftsmodellen wie man das zum Beispiel an Überlegungen im Bereich der Taxis oder des Carsharings beobachten kann. Wesentlich hierbei ist jedoch, dass diese neue Technologie neben anderen Eigenschaften sicher im Gebrauch für den Kunden ist und die entsprechenden Rahmenbedingungen zur Zulassung geschaffen werden. Im zeitnahen Bereich ist dabei die Zulassung von automatisierten Fahrzeugen über Ausnahmeregelungen möglich, eine tiefgreifende Überarbeitung der Typzulassung für automatisierte Fahrzeuge ist derzeit in Arbeit. Anforderungen, die über Selbstverpflichtungen, Gesetze oder Normen verankert werden können sind dabei wesentlich, um in relevanten Bereichen ein notwendiges Sicherheitsniveau der Funktionen zu gewährleisten, ohne dabei jedoch die Möglichkeiten zur markenspezifischen Ausprägung zu unterbinden. 1 Europäische Kommission, ACEA Die Europäische Kommission (EK) ist die Institution der Europäischen Union, die zuständig ist für Vorschläge für neue EU-Rechtsvorschriften, Durchführungsbeschlüsse, die Wahrung der EU-Verträge und das Tagesgeschäft der EU. Sie ist insbesondere zuständig für die EU-Rechtsvorschriften für die Betriebserlaubnis von Kraftfahr- 101 <?page no="114"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag zeugen. Die Rechtsvorschriften sind auf EU-Ebene erlassen, werden aber von den Behörden der 28 Mitgliedstaaten durchgeführt. ACEA vertritt die 15 europäischen Hersteller von PKW´s, Vans, LKW´s und Omnibussen. Die Hauptaufgabe dabei ist die Bündelung der gemeinsamen Interessen in den relevanten Bereichen wie zum Beispiel Sicherheit und Homologation sowie die anschließende Vertretung der Interessen gegenüber Organisationen wie Euro NCAP aber auch gegenüber der Europäischen Kommission und dem Europäischen Parlament. 2 Einführung Zur Einordnung der Bedeutung des automatisierten Fahrens ist eine nähere Betrachtung der wichtigsten Kundenwünsche zielführend. Gemäß einer Studie der Boston Consulting Group vom August 2015 [1] ergeben sich die nachfolgenden 3 wesentlichen Kundenwünsche: - 43,5% wünschen, dass sie das Auto verlassen können, es selbständig einen Parkplatz findet und anschließend selbständig parkt. - 39,6% wünschen, dass sie während der Fahrt andere Tätigkeiten durchführen können und diese Zeit produktiv nutzen zu können. - 35,0% wünschen, dass das Fahrzeug während Staus selbständig fährt. Im Rahmen einer Studie zu automatisierten Fahrzeugen im urbanen Umfeld [2] wurden zudem die weltweiten Unterschiede bei der Kundenakzeptanz herausgearbeitet. Auf die Fragestellung “Wie gerne würden sie eine Fahrt in einem vollautomatisierten Fahrzeug unternehmen? ” ergibt sich nachfolgendes Bild der Rückmeldungen. Bild 1: Antworten auf die Fragestellung “Wie gerne würden sie eine Fahrt in einem vollautomatisierten Fahrzeug unternehmen? ” Hieraus ist klar ersichtlich, dass mögliche Kunden eine signifikante Bereitschaft zeigen, sich mit dem Thema auseinanderzusetzen und eine Fahrt in einem entsprechenden Fahrzeug zu unternehmen. Dabei ist in China mit 75% eine noch deutlich größere Bereitschaft erkennbar wobei in allen Fällen der Wunsch grundsätzlich besteht. 102 <?page no="115"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag Dieser ausgeprägte Kundenwunsch ist der Grund dafür, dass neben der Elektrifizierung der Fahrzeuge und der Vernetzung das automatisierte Fahren als ein disruptiver Technologietrend eingestuft wird. Folglich geht die Boston Consulting Group davon aus, dass bis 2030 weltweit ein Potential von bis zu 44 Millionen automatisierten Fahrzeugen besteht und viele Kunden bereit sind mehr als 5.000$ zusätzlich für ein derartiges Fahrzeug zu bezahlen. Betrachtet man diese Einschätzung ganzheitlich, dann besteht damit ein großes Potential für neue Arbeitsplätze entlang der gesamten Wertschöpfungskette. Zudem ergibt sich bei entsprechender Systemgestaltung und Nutzung der Fahrzeuge das Potential zur Steigerung der Produktivität, zur Reduzierung von Verkehrsstaus und zur Erhöhung der Effektivität des Transportsystems im Ganzen. Um das beschriebene Potential im Rahmen einer erfolgreichen Einführung des teil- und hochautomatisierten Fahrens heben zu können ist es zwingend erforderlich, dass die Funktionen so entwickelt werden, dass sie vom Kunden sicher verwendet werden können und sie einen entsprechenden Sicherheitsbeitrag im Straßenverkehr leisten. Dazu sind neben der Gewährleistung eines entsprechenden Ziels für die Sicherheit und die Verfügbarkeit der Funktionen auch eine entsprechende Entwicklungsumgebung einschließlich Methoden und Tools zur Erreichung und zum Nachweis der Ziele erforderlich. Bei hochautomatisierten Funktionen ist die Funktionsabsicherung sowie die Zulassung von besonderer Bedeutung. Mittels der Gestaltung der entsprechenden Mensch-Maschine-Interaktion ist der Fahrer bei teilautomatisierten Funktionen an die Möglichkeiten und Grenzen der Systeme heranzuführen und muss bei hochautomatisierten Funktionen innerhalb eines adäquaten Zeitraums die Fahrzeugführung wieder übernehmen können. Weitere zwingend notwendige Voraussetzungen sind z. B. die Gewährleistung der Datensicherheit und des Datenschutzes sowie die Verfügbarkeit einer erforderlichen Infrastruktur. 3 Zulassung von automatisierten Fahrzeugen 3.1 Der Rechtsrahmen für die EU Typgenehmigung Das Inverkehrbringen von Kraftfahrzeugen ist durch EU-Recht geregelt 1 . Diese Rechtsvorschriften sind verbindlich seit 1998 für Autos, seit 2003 für Motorräder und seit 2014 für Nutzfahrzeuge. Seitdem dürfen Fahrzeuge, die mit den Anforderungen der EU-Vorschriften übereinstimmen, überall in der EU registriert werden. Die Mitgliedstaaten dürfen keine nationalen Rechtsvorschriften erlassen, die dem Inverkehrbringen im Wege stehen könnten (z.B. Fahrzeuggenehmigungsregeln oder Straßenverkehrsrecht, das das Inverkehrbringen der Fahrzeuge verhindert). Die EU-Rechtsvorschriften beruhen auf dem Konzept der Typgenehmigung für Fahrzeuge (Homologation). Danach bedarf die Konstruktion des Modells einer Genehmigung durch eine Behörde (die nationale Typgenehmigungsbehörde), bevor das Fahrzeug in Verkehr gebracht werden darf. Die Übereinstimmung des Fahrzeugs mit den einschlägigen EU-Vorschriften (z. B. Einbau von Beleuchtung, Bremsvermögen, Stabilitätskontrolle, Crashtests, Lärm- und Schadstoffemissionen) wird durch Prüfung 1 Richtlinie 2007/ 46/ EG für Pkw, Lkw und Busse, Verordnung (EU) Nr. 167/ 2013 für landwirtschaftliche Traktoren und Verordnung (EU) Nr. 168/ 2013 für Krafträder. 103 <?page no="116"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag von Fahrzeugen der Vorproduktionsphase („Typ“) kontrolliert. Die nationale Genehmigungsbehörde oder ein im Auftrag der Genehmigungsbehörde handelndes Prüflabor (Technischer Dienst) führt dazu umfangreiche Tests durch. Die Genehmigungsbehörde überwacht und prüft anschließend mithilfe einfacherer und nicht destruktiver Tests, dass die Fahrzeuge aus der Serienproduktion mit denjenigen übereinstimmen, die zum Nachweis der Übereinstimmung mit den Vorschriften in der Vorproduktionsphase verwendet wurden („Übereinstimmung der Produktion“) . Mehr als 70 Bereiche der Kraftfahrzeuge sind auf EU-Ebene geregelt (siehe die Beispiele in der nachstehenden Abbildung). Die Rechtsvorschriften der EU werden von der Europäischen Kommission vorbereitet. Der Vorschlag der Kommission wird dann vom Rat (den Mitgliedstaaten) und vom Europäischen Parlament erörtert, geändert und angenommen. In einigen Fällen übertragen das Parlament und der Rat der Kommission die Aufgabe, Durchführungsmaßnahmen zu der Rechtsetzung zu erlassen. Diese Rechtsetzungstechnik wird für das europäische Typgenehmigungsrecht aufgrund seines technischen Charakters intensiv genutzt. Bild 2: Überblick Zulassung von Fahrzeugen 104 <?page no="117"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag 3.2 UN-Regelungen als Teil des EU-Typgenehmigungssystems Die EU hat auch zunehmend die Regelungen unter der Schirmherrschaft der Vereinten Nationen angewendet, damit die EU-Hersteller unter gemeinsamen Regeln auf globaler Ebene arbeiten können. Seit dem 1. November 2014 sind mehr als 50 EU- Richtlinien im Bereich der Fahrzeugsicherheit durch die jeweiligen UN-Regelungen ersetzt worden. Viele andere UN-Regelungen werden als Alternative akzeptiert, um die Einhaltung des EU-Rechts nachzuweisen. Die sogenannten „UN-Regelungen“ sind Regelungen, die dem „1958 Internationalen Übereinkommen über die Konstruktion der Fahrzeuge'' beigefügt sind, das von den Vereinten Nationen verwaltet wird. Derzeit gibt es 141 UN Regelungen und 51 Vertragsparteien des 1958 Übereinkommens, darunter die Europäische Union, Japan, Russland, Südkorea und Australien 2 . Als Verwaltungsauschuss des Abkommens gilt eine Arbeitsgruppe der Vereinten Nationen, das sogenannte Weltforum für die Harmonisierung der Regelungen für Kraftfahrzeuge (WP 29) in Genf. WP 29 ist das Weltforum, wo Teilnehmer (Mitgliedstaaten, Industrie, Nichtregierungsorganisationen (NRO)) aus aller Welt (EU, USA, Japan, Korea, China, Indien usw.) die künftigen Regelungen für Fahrzeuge 3 erörtern. Nach einem Koordinierungsprozess in Brüssel stimmt die Europäische Kommission in der WP 29 im Namen der 28 EU Mitgliedstaaten ab. Die Kommission wird daher intensiv an den Arbeiten der Vereinten Nationen beteiligt, um zu garantieren, dass die Ergebnisse der Vereinten Nationen im Einklang mit den politischen Zielen der EU stehen. Die Mitgliedstaaten sind an den Arbeiten der Vereinten Nationen auf Expertenebene ebenfalls beteiligt. Die Systeme der EU und der Vereinten Nationen ergänzen einander. Im Gegensatz zur EU, die die direkte Zulassung von Fahrzeugen ermöglicht, umfassen die UN- Regelungen nur die Genehmigung von Teilen und Ausrüstungen von Kraftfahrzeugen, nicht jedoch das vollständige Fahrzeug. Darüber hinaus werden normalerweise politischen Themen wie z. B. Schadstoffemissionen oder die verbindliche Ausrüstung mit neuen Sicherheitsvorrichtungen zuerst in Brüssel erörtert, bevor die technischen Anforderungen im Rahmen der Vereinten Nationen beschlossen werden. 2 Andere Vertragsparteien sind Aserbaidschan, Belarus, Bosnien und Herzegowina, Ägypten, Georgien, Kasachstan, Malaysia, Montenegro, Neuseeland, Norwegen, Republik Moldau, San Marino, Serbien, Schweiz, Südafrika, Thailand, die ehemalige jugoslawische Republik Mazedonien, Tunesien, Türkei und Ukraine. 3 WP 29 verwaltet auch das 1998 Übereinkommen über Globale Technische Regelungen für Fahrzeuge (16 globale technische Regelungen), das so genannte „Parallelübereinkommen“, das nur Prüfverfahren und keine Verwaltungszwecke zur Bescheinigungsverfahren umfasst. Es wurde entwickelt, insbesondere für Länder (z. B. USA, China), die nicht die gegenseitige Anerkennung von Genehmigungen unter dem 1958 Abkommen akzeptieren konnten. Das ist anerkennt als der erste Schritt in Richtung eines Beitritts zu dem 1958 Übereinkommen. Die EU ist auch Vertragspartei des Übereinkommens. 105 <?page no="118"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag 3.3 Wie ist bei der Regulierung automatisierter Fahrzeuge vorzugehen? Automatisierte Fahrzeuge stellen die Regulierungsbehörden vor ganz neue Herausforderungen, weil sie komplexere Systeme als reine Maschinenbauerzeugnisse darstellen und die traditionelle Abgrenzung zwischen Fahrzeugaufgaben, die durch Fahrzeugvorschriften reguliert werden, und Fahreraufgaben, die in den Straßenverkehrsvorschriften reguliert werden, auflösen. In den letzten beiden Jahren richtete sich der Blick auf bereits heute auf dem Markt befindliche oder in naher Zukunft auf den Markt kommende automatisierte Fahrzeuge. Bei den Straßenverkehrsvorschriften wurde ein erster Schritt getan mit der Änderung des Wiener Übereinkommens von 1968 über den Straßenverkehr, für das auch die Vereinten Nationen (UN) zuständig sind. Fast alle Mitgliedstaaten wenden dieses Übereinkommen auf den internationalen Straßenverkehr an. Die Änderung ist am 24. September 2015 in Kraft getreten. Demnach stehen „Fahrzeugsysteme, welche die Fahrweise des Fahrzeugs beeinflussen“ und nach den UNECE-Regelungen genehmigt worden sind, mit Artikel 8 des Wiener Übereinkommens von 1968 („Jeder Fahrer muss dauernd sein Fahrzeug beherrschen (...) können.“) im Einklang. Systeme, die vom Fahrer abgeschaltet werden können, gelten ebenfalls als mit dem Übereinkommen vereinbar. In Fragen der Fahrzeuggenehmigung lag der Schwerpunkt der UN bislang auf den notwendigen Änderungen der UNECE-Regelung Nr. 79 über Lenksysteme, und zwar insbesondere um moderne Spurhalte- und Spurwechselassistenten und ferngesteuerte Einparksysteme zu erlauben. Nach EU-Recht ist diese Regelung Voraussetzung für die Genehmigung von Lenksystemen. Eines der mit dieser Regelung verbundenen Probleme besteht darin, dass diese das automatisierte Lenken (d. h. eine so genannte automatische Lenkfunktion) auf eine Höchstgeschwindigkeit von 10 km/ h beschränkt, was den Stand der Technik zum Zeitpunkt der letzten Änderung der Regelung im Jahr 2005 widerspiegelt (nämlich Einpark-Assistenssysteme). Die Facharbeitsgruppe der UN (WP29) leitete auf ihrer Sitzung im März 2015 die Überarbeitung der Regelung Nr. 79 ein und verabschiedete im März 2017 ein erstes Paket von Anforderungen an das automatisierte Lenken auf einer Fahrspur (advanced Lane Keeping Systems nach SAE-Level 2), an ferngesteuerte Einparksysteme sowie Lenkkorrektursysteme. Mit dieser Änderung wurden für diese Systeme vor allem Leistungsanforderungen an die Mensch-Maschine-Schnittstelle eingeführt. Die Diskussionen gestalteten sich schwierig, da in der Automobilindustrie keine einheitliche Position herrschte. Bei den Spurwechselassistenzsystemen (SAE-Level 2) wird die Arbeit mit den gleichen Schwierigkeiten fortgesetzt. Es wird angestrebt, die Gespräche über diese Systeme bis Ende 2017 abzuschließen. Dabei ist darauf hinzuweisen, dass solange von den UN noch keine harmonisierten Anforderungen verabschiedet worden sind im Rechtsrahmen für die EU- Typgenehmigung eine Ausnahmeregelung 4 für jene Fahrzeuge gelten kann, die mit einer Technik ausgestattet sind, welche von der Regelung Nr. 79 noch nicht erfasst wird. Nach diesem Verfahren kann ein Mitgliedstaat im Zuge einer Ad-hoc- Sicherheitsanalyse Fahrzeuge genehmigen, und diese Genehmigung kann EU-weit anerkannt werden, wenn die Kommission nach positiver Stellungnahme durch die 4 Vgl. Artikel 20 und 21 der Richtlinie 2007/ 46/ EG. 106 <?page no="119"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag Mitgliedstaaten so entscheidet. Danach darf das Fahrzeug in der EU in Verkehr gebracht werden wie bei einer „normalen“ EU-Genehmigung. Über dieses Verfahren haben bereits mehrere Modelle ihre Genehmigung erlangt. Allerdings ist dieses Verfahren nicht als Standardpraxis, sondern nur für eine geringe Anzahl von Anträgen praktikabel, weil es für jedes neue Modell einen Beschluss auf EU-Ebene erfordert. Aus diesem Grund ist verfahrensgemäß vorgesehen, dass die Kommission die einschlägigen Änderungen der Rechtsvorschriften auf UN- oder EU-Ebene vorschlägt. Die UN beabsichtigen, die Diskussionen über die Systeme von SAE-Level 3/ 4 insbesondere über Spurhalte- und Spurwechselassistenzsysteme (hands-off) fortzusetzen. In einer Studie der Kommission 5 wurden mögliche Anforderungen an solche Systeme untersucht. Sie ergab unter anderem, dass alternative Prüfverfahren erwogen werden sollten, da unmöglich jede einzelne Situation geprüft werden kann, in der sich ein automatisiertes Fahrzeug befinden kann. Als Alternativmethoden wurden beispielsweise erweiterte Risikoanalysen genannt, die nicht nur die funktionsbezogene Sicherheit, sondern auch die betriebsbezogene Sicherheit, Hardware in the Loop (HiL) sowie Meldungen während des Betriebs erfassen. Es wurde auch eine Lösung für Software-Aktualisierungen per Funkschnittstelle einschließlich Cybersicherheit geprüft, die inzwischen in den UN erörtert wird. Systeme der SAE-Levels 3-4 werden noch drastischere Änderungen der geltenden Rechtsvorschriften erfordern, da sie es dem Fahrzeugführer gestatten, sich über längere Zeit aus der Fahrtätigkeit zurückzuziehen, ihn aber auch zeitweise mit hinreichender Vorwarnzeit dazu auffordern werden, die Fahrzeugführung wieder zu übernehmen. Zudem betrifft die Regelung Nr. 79 lediglich Lenkanlagen (Querführung), wohingegen die Leistung von Systemen nach SAE-Level 3 auch davon abhängt, wie gut das System die Umwelt überwachen kann, wie es die Längsführung (Beschleunigung, Abbremsen) sicherstellen kann und wie dafür gesorgt wird, dass der Fahrer nicht verwirrt wird oder das System unsachgemäß verwendet. Dies erfordert eine umfassendere strategische Überarbeitung des Typgenehmigungsrechts. All dies wurde in Brüssel im Forum der Arbeitsgruppe GEAR 2030 über automatisierte und vernetzte Fahrzeuge diskutiert, in der die einschlägigen Interessenträger und die Mitgliedstaaten zusammentreten, um Empfehlungen für einen EU- Fahrplan zum Thema automatisierte und vernetzte Fahrzeuge zu formulieren, der bis 2030 vorliegen soll. Eine der Empfehlungen dieser Gruppe ist der vorgeschriebene Einbau eines Datenspeichers (Blackbox) in automatisierten Fahrzeugen zur besseren Klärung von Haftungsfragen. Die Gruppe erkannte ferner an, dass es ein allgemeines Konzept für die Genehmigung solcher Fahrzeuge geben muss, insbesondere um die herkömmlichen Typgenehmigungsprüfungen durch Alternativverfahren zu ergänzen, strategische Kernpunkte für die neuen Rechtsvorschriften festzulegen (z. B. Längsführung) und mehr Herstellererklärungen zu verlangen. Da die Einführung automatisierter Fahrzeuge nicht nur mit der Fahrzeugzertifizierung zusammenhängt, hat die Gruppe auch Empfehlungen zu Straßenverkehrssicherheit, Vernetzung, Daten (Cybersicherheit, Datenschutz und Datenzugriff), Infrastruktur, Haftung, gesellschaftlichen Fragen, Forschung und Finanzierung ausgesprochen. 6 Die endgül- 5 https: / / circabc.europa.eu/ sd/ a/ b6f6de76-184e-4967-93dd-9d7f1e1e3984/ item%204-2017- 01%20Commission%20study%20on%20vehicle%20certification.pdf 6 Den Entwurf der Empfehlungen finden Sie hier: https: / / circabc.europa.eu/ sd/ a/ 7077eb79-cc70-4a64-a06a- 20f331d643ce/ 2017%2007%2005%20GEAR%202030%20WG2%20PT1%20Draft%20recommendations.pdf 107 <?page no="120"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag tigen Empfehlungen von GEAR 2030 dürften am 18. Oktober 2017 verabschiedet werden. Die Kommission wird sie in ihrem Vorschlag für eine Lösung für künftige automatisierte und vernetzte Fahrzeuge, die 2030 erwartet werden, aufgreifen. Zusammenfassend lässt sich sagen, dass der Rechtsrahmen für die EU- Typgenehmigung von künftigen automatisierten Fahrzeugen noch im Entstehen begriffen ist. Das derzeitige System ist so flexibel, dass es kurzfristig für die demnächst Marktreife erreichenden automatisierten Fahrzeuge ausreicht. In Anbetracht der Geschwindigkeit, mit der die technologische Entwicklung voranschreitet, und angesichts der zunehmenden Komplexität automatisierter Fahrzeuge wird es jedoch immer dringender erforderlich, das herkömmliche Konzept der Typgenehmigung anhand harmonisierter Prüfungen, die eine Genehmigungsbehörde vor der Markteinführung vornimmt, durch neue Bewertungsmethoden zu ergänzen/ ersetzen. In diesem Zusammenhang ist die Risikobewertung in Bezug auf die betriebsbezogene Sicherheit (Risiken bei „Normalbetrieb“ des Systems) oder ein Verfahren für die Zertifizierung elektronischer Systeme (z. B. Hardware in the loop) zu erwähnen. Voraussetzung dafür sind neue Kompetenzen in den Prüfinstituten. Man könnte argumentieren, dass Länder, die mit Selbstzertifizierung (Prüfungen nach der Markteinführung, wie die USA) arbeiten, einen Vorteil haben, weil mit einer Selbstzertifizierung Fahrzeuge auf den Markt gebracht werden können, bevor es harmonisierte Rechtsvorschriften dazu gibt. Erstens gestattet jedoch das im EU- Recht vorgesehene Ausnahmeverfahren eine rasche Einführung neuer Techniken, zweitens sind selbst in einem System der Selbstzertifizierung einheitliche Prüfungen erforderlich, um auf dem Markt Prüfungen auf Übereinstimmung vornehmen zu können, und drittens ist die Risikobewertung der Bauart eines Fahrzeugs sinnvoller, wenn sie im Rahmen von Prüfungen vor der Markteinführung (wie bei der Typgenehmigung) erfolgt, als bei Prüfungen nach der Markteinführung (weil es damit zu spät ist, die Bauart zu ändern, sobald das Fahrzeug einmal auf dem Markt ist). Andererseits lässt sich die Übereinstimmung von Software-Aktualisierungen bei Gebrauchtfahrzeugen nur durch Prüfungen nach der Markteinführung, nicht aber durch Typgenehmigungsprüfungen überprüfen. Daher ist es eher wahrscheinlich, dass beide Systeme (Typgenehmigung und Selbstzertifizierung/ Marktüberwachung) angewandt werden, wie es bereits bei Schadstoffemissionen (z. B. Nachhaltigkeitsanforderungen) der Fall ist. Man darf auch die Straßenverkehrsvorschriften nicht außer Acht lassen. Da automatisierte Fahrzeuge manche Aufgaben des Fahrers übernehmen, müssen parallel auch die Vorschriften für den Straßenverkehr angepasst werden. Wie in den USA liegt dies auch in der EU in der Zuständigkeit der Mitgliedstaaten. Laut Empfehlung von GEAR 2030 wäre es wichtig, dass die Mitgliedstaaten in ihren Straßenverkehrsvorschriften ähnliche Konzepte verfolgen, um eine Marktfragmentierung zu vermeiden. Die Kommission wird die Mitgliedstaaten bei diesen Bemühungen unterstützen. So hat die Kommission bei den Vereinten Nationen (UN) darauf gedrungen, eine genaue Beschreibung der jeweiligen Aufgaben von Fahrer und Fahrzeug für die verschiedenen SAE-Levels zu entwickeln. Dieses Dokument würde als Diskussionsgrundlage für die Ausarbeitung künftiger Straßenverkehrs- und Fahrzeugvorschriften 108 <?page no="121"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag im Hinblick darauf dienen, welche Tätigkeiten der Fahrer nebenher ausführen darf, während das Fahrzeug automatisiert fährt. 7 4 Vernetzte Fahrzeuge Um die Potentiale des automatisierten Fahrens vollständig heben zu können, müssen die Möglichkeiten, die sich aus dem Datenaustausch der Fahrzeuge untereinander ergeben, genutzt werden. Dabei sind sowohl Fahrzeug-Fahrzeug-, Fahrzeug- Infrastruktur-Kommunikationen als auch die Kommunikation von mobilen Endgeräten der Insassen mit der Umgebung zu berücksichtigen. Hiermit werden unter anderem folgende Funktionen ermöglicht: - Informationen zum Stauende - Informationen zu liegengebliebenen Fahrzeugen, Unfällen und Gegenständen auf der Fahrbahn - Informationen zu temporären Baustellen - Informationen zur Ampelschaltung - Informationen zu herannahenden Rettungsfahrzeugen Dies setzt jedoch voraus, dass mit der Basis der Kommunikation den Daten entsprechend sorgfältig umgegangen wird (Bild 3). Insbesondere ist dabei die Weitergabe der Daten an Dritte präzise zu regeln, um ernsthafte Beeinträchtigungen der Fahrzeug- und Verkehrssicherheit, des Schutzes der persönlichen Daten sowie der Vereinbarung zu Verantwortlichkeiten zu vermeiden. Bild 3: Anforderungen an das Datenmanagement zur Gewährleistung sicherer kommunikationsbasierter Funktionen 7 Siehe: https: / / wiki.unece.org/ download/ attachments/ 50856157/ %28ITS_AD-12-05- 3%29%20Comments%20for%20the%20outcome%20of%202nd%20adhoc%20meeting%20on%20level%20definitions_Canada%20June%20%28Clean%29.pdf? api=v2 109 <?page no="122"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag Um die Sicherheit bei der Handhabung und dem Austausch von Daten zu gewährleisten sind folgende Punkte wesentlich (vgl. auch ACEA-Positionspapiere [3], [4]): Kein Datenaustausch ohne Gewährleistung der Sicherheit und Klärung der Haftung Ein Fahrzeug ist kein Smartphone. Es wird unter konsequenter Erfüllung der Sicherheitsanforderungen und der Qualitätsstandards der Fahrzeughersteller entwickelt, um die daraus hervorgehende Haftung für das Produkt übernehmen zu können. Sicherheitsanforderungen haben vor dem Hintergrund oberste Priorität. Es werden die Soft- und Hardwarestrukturen im Rahmen der Entwicklungsprozesse kontinuierlich verbessert, um Hacking-Angriffe, Manipulationen oder das Einbringen von schädlicher Software ins Fahrzeug zu verhindern. Der Einsatz der neuesten Verschlüsselungstechnologien sowie die Verwendung von Elektronikarchitekturen mit getrennten Bereichen und unterschiedlichen Zugriffsberechtigungen gewährleisten darüber hinaus ein hohes Sicherheitsniveau. Die Klärung der Haftungsfrage hat bis zum Einsatz der vernetzten Funktionen bei hochautomatisierten Fahrzeugen lückenlos zu erfolgen. Hierbei sind neben den Fahrzeugherstellern unter anderem folgende Partner einzubeziehen: - Zulieferer - Telekommunikationsunternehmen - Internetprovider - Dienstleister - Straßenbetreiber Kein Datenaustausch ohne Vertrag oder Zustimmung Der Schutz der persönlichen Daten des Kunden ist von höchster Bedeutung. Vor dem Hintergrund entwickeln die Hersteller die Fahrzeuge und Dienste so, dass Daten nur nach der Zustimmung des Kunden, bei Erfüllung gesetzlicher Anforderungen oder bei Vorliegen eines Vertrag weitergegeben werden. 5 Gewährleistung des Sicherheitsbeitrags durch das automatisierte Fahren Im Laufe der letzten Jahre wurden erfolgreich zahlreiche Systeme der Aktiven Sicherheit zur Erhöhung der Sicherheit im Straßenverkehr eingesetzt. So ist zum Beispiel die Notbremsfunktion sowie die Spurverlassenswarnung bei Nutzfahrzeugen gesetzlich verpflichtend, bei Euro NCAP wurden für Pkw die Notbremsfunktion sowie die Spurverlassenswarnung/ Spurhalteunterstützung ins Rating integriert. Als Erweiterungsstufe der Notbremsfunktion bei Euro NCAP wurde 2016 die Erkennung von Fußgängern und wird 2018 die Erkennung von Radfahrern mit einbezogen. Um die Funktionen des hochautomatisierten Fahrens ebenfalls erfolgreich im Feld zu etablieren und damit die Sicherheit im Straßenverkehr weiter zu erhöhen ist es sinnvoll, die nachfolgend erwähnten Themen zu bearbeiten und die erforderlichen neuen Anforderungen sowie Standards dazu herbeizuführen. Dies ermöglicht es auch, die Systeme besser dem Kunden zu erklären und das Sicherheitsniveau von automatisierten Fahrzeugen gegenüber konventionellen Fahrzeugen klar aufzuzeigen. 110 <?page no="123"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag Betrachtet man die nach SAE-standardisierten Funktionen [5] Level 3-5 so ist im Bereich des Innenraums die Frage zu klären, welche Positionen bei den jeweiligen Automatisierungsstufen und Fahrsituationen der Fahrer einnehmen darf, um im Falle eines Unfalls noch entsprechend geschützt zu sein. Zudem sollte ein Rahmen für Aufgaben vereinbart werden, die während der Fahrt erledigt werden dürfen, ohne die Sicherheit der Insassen und anderer Verkehrsteilnehmer zu gefährden. Der Betrieb von Fahrzeugen mit hohen Automatisierungsgraden nach SAE-Level wird sich signifikant von heutigen Fahrzeugen unterscheiden. Dabei ist gerade bei diesen Fahrzeugen die Gestaltung der Mensch-Maschine-Schnittstelle von großer Bedeutung, da unter anderem die Übernahme der Fahrzeugführung innerhalb einer gewissen Zeit möglich sein muss. Um dies zu gewährleisten sind die Funktionen transparent und intuitiv auszulegen. Damit ist unter Einbezug zielführender Methoden und Tools (zum Beispiel Gebrauchssicherheit) eine Beherrschbarkeit der Funktionen unter allen Umständen sicherzustellen. Zur Entwicklung der Funktionen ist die Beantwortung der Frage wesentlich, wann eine Funktion sicher genug für den Betrieb in Kundenhand ist. Hierzu ist die Definition eines Ziels oder Zielesystems für die Sicherheit und die Verfügbarkeit von automatisierten Fahrfunktionen unabdingbar. Zudem sollten Anforderungen an Methoden angestrebt werden, mit denen der Nachweis zur Zielerreichung geführt wird. Mit der Verfügbarkeit von Zielen und Methoden zu deren Nachweis kann letztlich die Brücke zur Typzulassung oder Selbstzertifizierung der Funktionen geschlagen werden und die notwendigen Unterlagen zum Nachweis zur Verfügung gestellt werden. Wesentlich ist hierbei, dass die verwendeten Ziele und Methoden allgemein anerkannt sind, um die Belastbarkeit damit signifikant zu erhöhen und schließlich das Sicherheitsniveau im Vergleich zur heutigen Situation zu argumentieren. 6 Einsatz der Funktions- und Gebrauchssicherheit zur Entwicklung der Funktionen des automatisierten Fahrens Zur zielgerichteten Entwicklung von Systemen und zur Identifizierung deren Grenzen und damit der Möglichkeit zur Optimierung von diesen sind beispielsweise die Methoden der Gebrauchs- und Funktionssicherheit verfügbar. Die Gebrauchssicherheit stuft dabei Zielfunktionen als sicher ein, wenn der ordnungsgemäße Gebrauch sowie der vorhersehbare Fehlgebrauch keine inakzeptablen Risiken für Personen hervorrufen. Die Zielfunktion ist dabei die definierte und dem Kunden angebotene Funktion einschließlich der Systemgrenzen. Ein Beispiel zur Erreichung der Systemgrenze der Zielfunktion ist in Bild 4 links dargestellt, wo infolge der Fehlinterpretation von Fahrbahnmarkierungen bei Spurhalteassistenten ein im Hinblick auf die Spurhaltung falsches Lenkmoment ausgegeben wird. Die funktionale Sicherheit betrachtet ausschließlich den E/ E-Fehler. Sie stuft Funktionen als sicher ein, wenn deren Fehlfunktionen nicht zu einem inakzeptablen Risiko für Personen während dem Einsatz der Funktionen oder dem vorhersehbaren Fehlgebrauch führen. Als Fehlfunktion wird dabei bezeichnet, wenn eine Funktion nicht wie definiert und dem Kunden angeboten arbeitet. Beispielhaft hierzu ist bei der Spurhalteassistenz ein sprunghaftes Ansteigen des Lenkmoments infolge eines Hardwarefehlers zu nennen (vgl. Bild 4 rechts), was zu vermeiden ist. 111 <?page no="124"?> 4. 1 Automatisiertes Fahren: Zulassung und Sicherheitsbeitrag Werden diese beispielhaft beschriebenen Methoden neben weiteren Methoden gezielt bei der Entwicklung der Funktionen des automatisierten Fahrens eingesetzt, dann kann damit die Transparenz über die möglichen Betriebszustände der Systeme signifikant erhöht werden und in der Folge dadurch erkennbare kritische und vom Kunden nur schwer beherrschbare Bereiche vermieden werden. Die Diskussion um die Anforderungen im Hinblick auf die zu verwendenden Methoden ist vor diesem Hintergrund weiter fortzusetzen. Bild 4: Erreichen der Systemgrenze der Zielfunktion (links) und zu vermeidende Fehlfunktion aufgrund eines Hardwarefehlers (rechts) [6] Literaturverzeichnis [1] Boston Consulting Group: Analyse, Consumer Survey August 2015 [2] WEF: Self-driving vehicles in an urban context, January 2016 [3] ACEA: Principles of Data Protection in Relation to Connected Vehicles and Services, September 2015 [4] ACEA: Position Paper, Access to vehicle data for third-party services, December 2016 [5] SAE International’s new standard J3016: Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems [6] BMW AG: Präsentation zur Gebrauchs- und Funktionalen Sicherheit von Automatisierungsfunktionen, 2016 112 <?page no="125"?> 4. 2 Assisted to Automated Driving - Developing Future Test and Rating Procedures / Unterstützung für automatisiertes Fahren - Entwicklung zukünftigerTest- und Bewertungsverfahren Matthew Avery Abstract The development and availability of automated driving systems is a new challenge for the international regulators who determine what systems can be legally sold and driven on our roads. Discussions on the technical requirements for safe automated steering systems are already actively underway with the UNECE’s WP 29, and are expected to progress increasingly advanced degrees of automated driving over the next few years. The main focus of this paper is steering Reg79 and a subgroup on new functions called ACSF. Improved road safety is expected to be one of the main benefits of automation. But in order to realise these benefits, the transition phase must be carefully managed and there must be careful attention given to the safety features that will underpin this. Insurers see two clear levels of automation, those that support the driver (Assistance) and those that fully automate control (Automated). Insurers are highly supportive of, driver Assistance systems - both those that act in the brief moments before a collision (SAE Level 1) or support, but not replace a driver (SAE Level 2) and those that deliver full Automated driving (SAE Levels 4 on). However, where the vehicle can execute most manoeuvres unaided by the driver, but where the driver is expected to intervene (potentially at very short notice) in an emergency (SAE Level 3) there are significant concerns about public confusion and safety, which may be exacerbated by Level 2, 3 and 4 systems becoming available on similar vehicles at the same time. If regulators allow the development of vehicles that could be described as SAE Level 3, then the insurance industry proposes that these should only be permitted with high levels of robustness and redundancy that largely mimic SAE Level 4 functionalities. A list of minimum system requirements have been defined that maximise safety benefits and minimise risks. Full Automated driving (SAE Levels 4 on) establishes the need to define both the system and circumstances in which it can be safely used. Automated driving will also bring further challenges in determining the system status in the period leading up to an accident. Data capture requirements to establish this have been defined. 1 Introduction Automated Driving is being seen as a major technological advance that will offer far reaching social and economic benefits. These systems and vehicles are already evolving towards ever higher levels of assisted driving. However, the regulations 113 <?page no="126"?> 4. 2 Assisted to Automated Driving - Developing Future Test and Rating Procedures governing the construction and use of vehicles are complex and rapid and transformational technological changes present a significant challenge. ADAS at SAE levels 0, 1 and 2 (SAE, 2016), where systems act only in the brief moments before a collision or where they act only to support and not replace driver inputs are supported by the insurance industry. However, at SAE level 3 the driver is not needed for the driving task but must be capable of resuming control at any moment. The technology in production that is approaching that level, and the systems currently under development, have diverse capabilities and widely differing user interfaces. In combination, these risks to insurers require that a vehicle should only be classified as an Automated Vehicle, once it is at SAE Level 4. Insurers would prefer that systems requiring the driver to act as a redundant backup (i.e. SAE level 3) should not be permitted by the regulations. Figure 1: Stages of automation - Driver Assistance vs Automated Driving However, insurers accept that some sections of the vehicle manufacturing industry see the technologies at SAE Level 3 as vital stepping stones in the development of full automation. Minimum functionalities for both Assisted and Automated driving technologies are also defined to ensure that drivers are aware of their vehicles limitations, are kept as safe as possible and that adequate information is available to insurers in the event of an incident. 2 Assisted Driving (≤ SAE L3, 2019), Current Regulatory approach Currently, assisted and automated driving functions that involve prolonged periods of automatically applied steering at speeds in excess of 10 km/ h are not permitted by R79, though flexible interpretation has allowed some systems to gain approval. 114 <?page no="127"?> 4. 2 Assisted to Automated Driving - Developing Future Test and Rating Procedures Figure 2: Assisted Driving regulatory approach Work is underway to amend this regulation to permit greater levels of automated steering. Either in the existing Regulation or in proposed amendments, the following definitions of automated steering functions have been made: o Corrective Steering Functions (CSF), for example assistance to keep the vehicle within its lane in cross winds; o Automatically Commanded Steering Functions (ACSF) categories A to E covering low speed manoeuvring, continuous lane keeping systems, and automated lane change systems; o Emergency Steering Functions (ESF), for the avoidance of imminent collisions; o Autonomous steering functions, are defined as any automated steering function capable of activating at least partly on the basis of a signal generated offboard the vehicle. ACSF Amendments and Industry Recommendations The proposals for the first set of amendments to R79 are expected to be in force by 2018. They cover corrective steering functions and ACSF of categories A and B1 only (Note ACSF-B1 systems only assist the driver to keep lane they cannot do it for prolonged periods unaided). This means, lane keep assist systems that act only briefly to prevent lane departure (CSF), remote control parking systems (ACSF-A) and lane keep assist systems capable of continuously helping the driver to stay in lane but not capable of doing it without driver input. The regulatory control on such systems is relatively light: o Remote control parking devices must operate on a ‘deadman’s handle’ basis and only in close proximity to the vehicle; o Continuous lane keep assist must monitor drivers hands-on wheel: visual warning at 15 seconds, audio-visual at 30 seconds and full deactivati on at one minute; o No emergency or minimum risk manoeuvres are defined. • The driver is always in charge at all times regardless of any assistance from the vehicle • The driver can take their hands off the wheel for short periods on motorways but remains responsible for monitoring systems and safe operation Today 2019 • Naming • Driver Monitoring • Emergency Manoeuvre • System Redundancy • Geo-fenced Operation • Intelligent Speed Assistance • Misuse • Lateral and Rear Visibility • HMI and Countdown • Safe Stop Timeframe Operation Requirements 115 <?page no="128"?> 4. 2 Assisted to Automated Driving - Developing Future Test and Rating Procedures 3 Five Categories of ACSF Table 1: ACSF Categories A Low speed manoeuvring (Remote Controlled Parking) a function that operates at a speed no greater than 10 KM/ H to assist the driver, on demand, in low speed manoeuvring or parking operations. B1 & B2 Lane keeping [a function which is initiated/ activated by the driver and which keeps the vehicle within its lane by influencing the lateral movement of the vehicle.] C Lane change (Lane change commanded by the driver [a Category B-System including] a function which can perform a single manoeuver (e.g. lane change) when commanded by the driver D Lane change (System indicates possibility of a lane change, driver confirms) [a Category B-System including] a function which can indicate the possibility of a single manoeuvre (e.g. lane change) but performs that function only following a confirmation by the driver.] E Lane change (Lane changes are performed automatically by the system) [a Category B-System] including a function which is [initiated/ activated] by the driver and which can continuously determine the possibility of a manoeuvre (e.g. lane change) and complete these manoeuvers for extended periods without further driver command/ confirmation. Proposals are now being developed for how more advanced systems should be regulated, with decisions on regulations that would be in effect from 2019 onwards are likely to be taken in the coming months. These proposals include discussion of lane control systems capable of keeping vehicles in lane without driver input for prolonged periods (ACSF-B2) and systems capable of executing lane changes initiated by the driver (ACSF-C), initiated by the system but confirmed by the driver (ACSF-D) and without driver input (ACSF-E). Emergency Steering Functions may also be included. It is understood that the driver will retain ultimate responsibility for safe operation of the vehicle. Insurers do not consider that these should be considered as ‘Automated Vehicles’. 4 Insurance industry recommends the following requirements for ACSF-B2, ACSF-C, ACSF-D, and ACSF-E Systems: 1) Terminology to describe system functionality should be accurate and descriptive. The use of words that suggest a higher level of automation than offered are unacceptable; 2) Safety benefits should be maximised by requiring that systems limit vehicle speed to the posted limit for the road and enforce the 2 second rule for following distance; 3) Systems shall be geo-fenced to enforce operation only on roads of Motorway standard; 4) The system must be able to stop the vehicle for a stationary object, either in its lane or encroaching into its lane by a greater amount that it can safely avoid without itself exiting the lane, at any speed up to the lower of 130 km/ h or its maximum designed operating speed. For ACSF-E systems avoiding the obstructing vehicle via an automated lane change is also permissible; 116 <?page no="129"?> 4. 2 Assisted to Automated Driving - Developing Future Test and Rating Procedures 5) The vehicle will monitor driver hands-on wheel. Initial ‘place hands on-wheel’ warning to be issued after no more 30 seconds of driver inattentiveness; a. For ACSF-E systems, alternative ‘driver present’ monitoring such as use of vehicle infotainment system may allow an increased hands-off time, only if strong supporting evidence is presented; 6) System deactivation should occur if hands-on is not detected, despite warnings, for no more than one minute. 7) A ‘three strikes and you’re out’ rule should be implemented to avoid driver abuse of systems; 8) For ACSF-E vehicles, automated lane changes should only be executed when the sensor system has sufficient rearward view to be confident that the manoeuvre can be completed without driver observation or intervention; 9) The minimum risk manoeuvre should initiate a safe stop if drivers become disengaged and the system deactivates. For ACSF-B2, ACSF-C and ACSF-D vehicles, this will be a disengagement of the system allowing the vehicle to slow down and ultimately stop with hazard lights operating. AEB and ELK systems will remain active during the process of stopping. For ACSF-E systems the vehicle will be required to pull over to the side of the road, as far out of running lanes as possible; 10)For ACSF-E systems a degree of system redundancy should be available. This should, as a minimum, cover sensors and should allow the system to safely operate in a “limp home” mode or to a “safe stop” in the event of a single sensor failure. Adequate warning of the situation should be given to the driver. 5 Automated Driving (SAE L4 and beyond, no later than 2021), Alternative Regulatory approach (Light Touch) Technical requirements for Automated Driving The Automated Driving and Electric Vehicles Bill proposes that the Government must define what is meant by an automated vehicle and must ensure that an automated vehicle can always be identified easily. It is considered that any vehicle classified by legislation as an Automated Vehicle, will need to identify the Operational Design Domain(s) in which it is capable of “driving itself”. It may be more consumer friendly for these to be referred to as Automated Modes, or ‘permitted uses’. The following are considered to be key requirements of an Automated Vehicle, which may be able to offer one or more Automated Modes (such as on Motorways and fully separated dual carriageways, low-speed urban roads, car parks etc.) 1) A clear and descriptive naming convention is used that clearly states an Automated Driving system is available. Terminology should clearly differentiate from that used to describe Assisted Driving functionality. 2) A safe system of operation must be supported. Either: a) The system must be able to determine (utilising all the information available to it from on-board and off-board sources) in what circumstances it 117 <?page no="130"?> 4. 2 Assisted to Automated Driving - Developing Future Test and Rating Procedures is able to offer its driver an Automated Mode of operation, taking into account: o The environment in which it is operating (type of road, car park, etc); o Traffic conditions, road pavement conditions etc. o Weather o Connectivity o Speed limit and/ or average traffic speed Or, as a minimum: b) For each Automated Mode, the system must be geo-fenced to those roads and/ or locations where it is deemed safe to operate, e.g. a system designed to provide Automated Driving on motorways and fully separated dual carriageways with grade-separated junctions should be restricted to operation on such roads. The system should also able to take into account: o Traffic conditions, road pavement conditions etc. o Weather o Speed limit and/ or average traffic speed 3) The human driver in an Automated Vehicle operating in Automated Mode shall not be considered a redundant system or solution. 4) Transitions of control or handovers (from Manual to Automated or vice versa) must go through a properly planned and executed “offer and confirm” process. In this way, the Automated mode is only ever engaged, either: a) After the vehicle has understood the planned journey and/ or parking manoeuvre and confirmed it is safe to operate in the Automated Mode including where that Automated Mode will become available and where, if applicable, any handover back to manual control will need to take place; or b) Within the appropriate geo-fenced area. Again, the vehicle must also indicate where, if applicable, any handover to manual control will need to have been completed 5) Once in an Automated Mode of operation, the vehicle must be able to deal with all situations it would reasonably be expected to encounter within that environment, without monitoring or intervention from the driver, until the point of handover from the Automated Mode back to Manual operation. For example, whilst operating on a motorway, it should expect to deal with road-works or pedestrians on the hard shoulder next to a broken-down car. 6) Should the vehicle become aware of a situation (e.g. adverse weather or unsuitable road conditions) that necessitates a handover to the driver’s manual control earlier than the planned handover point, this is permissible provided that a minimum of 60 seconds notice is given to the driver that there will be a revised handover point. 7) Should the driver fail to respond to a request for hand-over to manual control, whether this is at the original planned handover point or at an earlier point requested by the vehicle as described in point 5) above, the vehicle must execute a ‘safe stop’ or ‘safe harbour’ manoeuvre - that is it must safely navigate to and stop at a location away from the main running lanes of the carriageway such as a hard shoulder or refuge and the hazard warning lights should be engaged. 118 <?page no="131"?> 4. 2 Assisted to Automated Driving - Developing Future Test and Rating Procedures 8) A vehicle in an Automated Mode should enforce compliance with the designated speed limit. However, consideration could be given to introducing risk adaptive speed control that can vary dependent on environment or conditions. 9) Ideally, sufficient redundancy will be included to allow an Automated Vehicle operating in an Automated Mode to ‘fail operational’, i.e. it will continue normally with its journey but notify the driver of the issue. As a minimum, the vehicle must fail in a safe manner so that if, for example, a sensor or other component fails then there must be sufficient redundancy for the vehicle to complete the planned journey in a reduced speed ‘limp home’ mode or similar or to execute a ‘safe stop’ or ‘safe harbour’ manoeuvre. 10)An Automated Vehicle may be certified as such at the point of initial deployment or following the introduction of a software or hardware upgrade that enables the functionality of a new or improved Automated Mode. 11)Data shall be recorded in the event of a collision and made available on an equal basis to both manufacturer and insurer such that questions of status of automated systems, extent of driver input and liability can be quickly and impartially assessed. Ownership of a certification process has not been established at this stage. Existing regulations such as Road Vehicle Construction and Use (CAU) and the Road Traffic Act (RTA) currently specify vehicle and driver requirements within the UK. Where there is clear fault or failure in the systems providing that Automated Mode the Motor insurer will be able to pursue recovery against the manufacturer and/ or their systems’ supplier(s). Figure 3: Automated Driving regulatory approach 6 Automated Driving Data Requirements Once a vehicle is capable of driving itself the condition of insurance and, in particular, liability will shift. It is therefore especially relevant that adequate data is recorded to ensure that liability can be identified and rapid compensation offered. In order to identify the at fault party (either the car or the driver) adequate and open access to crash data is vital. Although proposals are in place for the provision of mandatory Data Storage System for Automated driving (DSSA) there are limitations in these existing proposals that will not allow an efficient and fair insurance claims • The driver is free to undertake nondriving tasks with the vehicle fully in charge in defined motorway circumstances. The driver must remain fit to resume driving when the automated section ends • The driver has completely become a passenger and is free to sleep for the entire journey if they wished 2021 2025+ • Naming • Driver Availability • Intelligent Speed Assistance • Cloud or Geo-fencing • Sensor Limitations • System Redundancy • HMI and Countdown • Safe Stop • Data Timeframe Operation Requirements 119 <?page no="132"?> 4. 2 Assisted to Automated Driving - Developing Future Test and Rating Procedures process. Therefore, international insurers have proposed augmented requirements, including the ability to read event data without specialist tools and the provision to transmit this data immediately after an event. It is also important that all events are covered and not just those severe crashes that lead to airbag deployment. Standardised non-discriminating access to this data for all parties with a legitimate interest in an individual case (owner of the vehicle, driver, insurer, vehicle manufacturer, supplier, authorities) should be guaranteed. An independent trustee for the DSSA could possibly guarantee impartial access, while providing for data security and data protection. Therefore, international insurers want to augment those already proposed to include: 1) The identification, classification, fit and functionality of the system 2) Identification as to the status of the automation system(s) (automated mode, transition of control, manual driver mode). 3) Is capable of recording and storing data at all times, including when stationary, in any geographic location and in all automation modes and collects and stores data when appropriately triggered. 4) GPS location of the event - (to ensure appropriate system use). 5) Applies to all systems capable of continuously controlling the steering for a time, including remote parking or distance control systems and whether or not in combination with any automated lane change or speed control functions (ACSF Categories A and B2 Automatically Commanded Steering Functions (up to Level E) ACSF, as defined in proposed amendments to UNECE Regulation 79). 6) Records and stores data 30 seconds before and 15 secs after an incident and stores it for at least six months. 7) Records and stores data in all incidents, including minor crashes, insufficient to trigger the Supplementary Restraint System (SRS) e.g. Seat Belt Pre-tensioners and Airbags. 8) Allows insurers neutral, unbiased access to decoded data either by direct access or via over the air telematics links through a neutral third party data handler. 9) Resists attempts to manipulate or delete recorded and stored data. 10)Data Fields to be recorded and stored are: 1. GPS-event time stamp 2. GPS-event location 3. Automated Status - on or off 4. Automated Mode - Parking or Driving 5. Automated Transition time stamp 6. Record of Driver Intervention of steering or braking, throttle or indicator 7. Time since last driver interaction 8. Driver Seat Occupancy 9. Driver Belt Latch A set of technical and occupant information data has to be recorded that will allow a fact-based assessment of the cause of any collision involving vehicles that have Automated Driving systems. It follows that we must ensure, through implementation of the above proposals, that: • The presence of systems capable of Automated Driving is openly identifiable • System status is known at the time of the incident. 120 <?page no="133"?> 4. 2 Assisted to Automated Driving - Developing Future Test and Rating Procedures • It is possible for the driver as well as the owner of the vehicle to exonerate themselves and be able to prove potential manufacturer liability; and vice versa protection of vehicle manufacturers and suppliers against unjustified claims. • Motor insurers have a level playing field with vehicle manufacturers in terms of the information needed to establish liability when a vehicle capable of Automated Driving is involved in an incident. • The continuous improvement of Assisted and Automated Driving systems and the optimisation of road safety. Accordingly, standardised non-discriminating access to these data for all parties with a legitimate interest in an individual case (owner of the vehicle, driver, insurer, vehicle manufacturer, supplier, authorities) should be guaranteed. The technical requirements for DSSA should be harmonised internationally through the UNECE and implemented in Europe through EU Whole Vehicle Type approval in a timeframe matched to that of the automation systems themselves. 121 <?page no="134"?> 5 Effectiveness / Wirksamkeit 5.1. Methodology for Effectiveness Assessment of Road Safety Functions / Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen Günther Prokop, Markus Köbe Abstract In the past active and passive safety systems have led to a declining number of traffic fatalities. For tests of passive safety systems, there are different standardized test scenarios which are part of the definition of vehicle requirements. However, there is no uniform methodology for evaluating active safety systems. In order to develop active safety systems with the greatest possible positive impact and to make results of effectiveness methods comparable among vehicle manufacturers, suppliers, legislation, consumer protection organizations, interest groups and insurers, a standardized assessment method is required. This methodology includes traffic events from natural driving data as well as accident data which will be analysed to identify dangerous situations by their criticality. All identified dangerous situations are grouped into scenarios within a quantified scenario catalogue. This catalogue is examined with regard to the representativeness of traffic events and forms the basis for further evaluations. On this basis, methods for assessing and testing the safety functions with an holistic view of the driver, the vehicle and the environment emerge. The TU Dresden is making an important contribution with a driver model, the construction of an highly immersive driving simulator and concepts for active safety. Active safety functions are investigated on the basis of all relevant dangerous situations using tools from virtual simulation, driving simulator studies and real-world as well as test driving. A comparison between the results with and without safety function provides a forecast of their effectiveness. As a result, safety functions can be quantitatively and qualitatively assessed using metrics. The international harmonization group "Prospective Effectiveness Assessment for Road Safety" (P.E.A.R.S.) was formed with the aim of creating a uniform and recognized assessment method. A minimum standard as well as a methodology written in an ISO standard for the evaluation of safety functions is a main goal of P.E.A.R.S.. Therefore, it is envisaged to provide a harmonized methodology developed with partners of P.E.A.R.S. to ensure the highest level of acceptance and compatibility with other platforms and data bases. 122 <?page no="135"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen Kurzfassung Aktive und passive Sicherheitssysteme sorgten in der Vergangenheit für eine tendenziell sinkende Zahl an Verkehrstoten. Für den Test sowie die Absicherung passiver Sicherheitssysteme gibt es unterschiedliche standardisierte Testszenarien, welche fester Bestandteil bei der Definition von Kraftfahrzeuganforderungen sind. Für eine Bewertung von aktiven Sicherheitssystemen gibt es bisher keine einheitliche Methodik. Um aktive Sicherheitssysteme mit einem größtmöglichen positiven Einfluss auf das Unfallgeschehen auslegen zu können und diese unter Fahrzeugherstellern, Zulieferern, Gesetzgebung, Verbraucherschutzorganisationen, Interessenverbänden und Versicherern vergleichbar zu machen, bedarf es einer standardisierten Bewertungsmethode. Diese Methodik beinhaltet als Basis, das Verkehrsgeschehen aus der Erhebung natürlicher Fahrdaten sowie aus Unfalldatenbanken zu untersuchen und gefährliche Situationen anhand ihrer Kritikalität zu analysieren. Die identifizierten gefährlichen Situationen werden dann zu Szenarien gruppiert und innerhalb eines quantifizierten Szenarienkatalogs zusammengefasst. Dieser wird hinsichtlich der Repräsentativität auf das gesamte Verkehrsgeschehen untersucht und bildet die Basis für die weitere Bewertung. Auf dieser Basis entstehen dann Methoden zu Bewertung und Test der Sicherheitsfunktionen mit der ganzheitlichen Betrachtung von Fahrer, Fahrzeug und Umwelt. Hier leistet die TU Dresden mit einem Fahrermodell, dem Aufbau des hochimmersiven Fahrsimulators sowie Konzepten für die aktiven Sicherheit einen wichtigen Beitrag. Die Sicherheitsfunktionen werden auf Basis des Verkehrsgeschehens mit Werkzeugen aus virtueller Simulation, Fahrsimulatorstudien und Realfahrten untersucht. Der Vergleich zwischen den Ergebnissen mit und ohne Sicherheitsfunktion liefert eine Prognose über die Effektivität. Im Ergebnis kann unter Nutzung von Metriken die Effektivität der Sicherheitsfunktion quantitativ und qualitativ ermittelt und mit einer Bewertung versehen werden. Mit dem Ziel, eine einheitliche und anerkannte Bewertungsmethode zu erstellen, formierte sich die internationale Harmonisierungsgruppe „Prospective Effectiveness Assessment for Road Safety”. Ziel bei P.E.A.R.S. ist es, für die Bewertung von Sicherheitsfunktionen einen Mindeststandard sowie eine Methodik in einer ISO-Norm zu formulieren. Es ist daher vorgesehen, eine mit Partnern aus P.E.A.R.S. harmonisierte Methodik zu entwickeln, um eine möglichst hohe Akzeptanz und Kompatibilität zu anderen Plattformen und Datenbasen sicherzustellen. 1 Einleitung Fahrerassistenzsysteme werden aktuell immer weiter zu hoch- und vollautomatisierten Fahrfunktionen entwickelt. Da der menschliche Fahrer bereits als sehr guter Fahrregler angesehen werden kann, müssen automatisierte Fahrfunktionen wenigstens so gut wie ein aufmerksamer menschlicher Fahrer sein. Ausgehend davon, dass die meisten Unfälle durch menschliche Fehler verursacht werden, besteht in fehlerfrei funktionierenden automatisierten Fahrfunktionen das Potential, die Anzahl der 123 <?page no="136"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen Verkehrsunfälle und damit einhergehend die Anzahl verunglückter Menschen zu reduzieren. Wie hoch dieses Potential sein kann und welche notwendigen Maßnahmen und Ausprägungen der Fahrfunktionen zur maximalen Ausschöpfung dieses Potentials notwendig sind, bedarf ebenfalls einer wissenschaftlichen Betrachtung. Da der Fahrer bei einer automatisierten Fahrfunktion seine Fahraufgabe abgibt, entstehen hohe Anforderungen an die Funktionssicherheit und Auslegung solcher Systeme. Hierbei ergibt sich zwingend der Bedarf, den Menschen als Fahrer sowie seine Interaktion mit dem Fahrzeug immer besser zu verstehen. Dies mündet in die Fahrerverhaltensmodellierung, der Gestaltung entsprechender Mensch-Maschine- Interaktionsschnittstellen sowie neuartigen Eingriffs- und Regelstrategien, die dem menschlichen Fahrerverhalten gerecht werden. Für die Entwicklung von Fahrfunktionen ist weiterhin eine genaue Kenntnis der gefährlichen Situationen im Straßenverkehr notwendig, die es zu beherrschen gilt. Innerhalb der Entwicklung solcher Funktionen können nur so Anforderungen definiert und die Funktionen selbst optimal ausgelegt werden. Ebenso wichtig ist diese Kenntnis über den Einfluss auf das Verkehrsgeschehen für die Absicherung, den Test sowie die Zulassung dieser Funktionen. Die Beantwortung dieser Vielzahl von Forschungsfragen bedarf einer Vielzahl von Initiativen. Es entsteht die Notwendigkeit einer kontinuierlichen Diskussion der Forschungsergebnisse und Harmonisierung der entstehenden Methoden, damit Ergebnisse unter allen Stakeholdern vergleichbar sind und bleiben. 2 Stand der Technik und Erkenntnisse Grundsätzlich wird innerhalb der simulativen Effektivitätsbewertung eine Menge an Bewertungsszenarien gebildet. Diese Bewertungsszenarien bilden die Ausgangssituation, welche mit Variablen und einem zugehörigen Risiko innerhalb einer Metrik bewertbar ist. Im zweiten Schritt werden die Bewertungsszenarien herangezogen und innerhalb einer Simulation alle Situationen mit einer Fahrzeugsicherheitsfunktion simuliert. Das Ergebnis dieser Simulation lässt sich bspw. in Form einer Geschwindigkeitsänderung, Änderung der Kollisionskonstellation oder gar in der Vermeidbarkeit einer Gefährdungssituation darstellen. Der Vergleich zwischen der Ausgangssituation und der geänderten Situation liefert die Bewertung der Sicherheitsfunktion. In weitreichenden Projekten und Initiativen wird bereits an einer Bewertung für mögliche aktive Sicherheitssysteme gearbeitet [1, 3, 4, 5, 8, 9, 18, 19]. Weiterhin existieren unterschiedliche Ansätze zur Bewertung von Systemen [6, 10, 11, 17, 21, 25, 30, 31]. Die TU Dresden leistet hier mit: einem Fahrermodell [13, 14, 15, 16, 22], dem Aufbau eines Fahrsimulators [23, 26, 27, 28, 29] sowie Konzepten für die aktive Sicherheit [2, 7, 12] unter Einbeziehung von Realfahrversuchen zur Absicherung einen wichtigen Beitrag zur Erhöhung der Methodenvielfalt. 124 <?page no="137"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen Unterschiede zwischen den Ansätzen bestehen in der Quelle sowie Bildung von Bewertungsszenarien, in der Menge und Art der verwendeten Modelle sowie bei den verwendeten Metriken zur Bewertung. Ein weiterer Unterschied stellt die Bewertung des Systems dar. In der passiven Sicherheit ist es Stand der Technik, mit Verletzungsrisikofunktionen einen Effekt zu bewerten. Die passive sowie integrale Fahrzeugsicherheit wird hierbei mit unterschiedlichen Variablen, univariat sowie multivariat bewertet, wodurch kein einheitlicher Standard identifizierbar ist. 3 Bewertungsmethoden und Werkzeuge Die Testbzw. Absicherungskette für Fahrzeugfunktionen wird je nach Untersuchungsgegenstand ausgestaltet. Tabelle 1 zeigt einen Auszug einer möglichen Ausgestaltung für den Testsowie die Absicherung von automatisierten Fahrfunktionen mit den Bestandteilen Fahrer, Fahrdynamik des Egofahrzeugs, umgebender Fahrzeuge und das zu untersuchende Assistenzsystem als teilautomatisierte Fahrfunktion. Werden alle Bestandteile durch eine Simulation abgebildet, so ist das sich ergebende Werkzeug die reine virtuelle Simulation. Eine große Herausforderung hierbei ist die Abbildung des Fahrers in der Simulation und daher Gegenstand aktueller Forschung. [13, 14, 15, 16, 22] Wird hingegen jeder Bestandteil real abgebildet, so findet die Absicherung in einer Realfahrt statt. Tabelle 1: Werkzeuge und Methoden zur Effektivitätsbewertung Werkzeug/ Methode Fahrer Fahrdynamik Egofahrzeug Umgebende Fahrzeuge Assistenzsystem (…) Virtuelle Simulation Simulation Simulation Simulation Simulation (…) Fahrsimulator Real Simulation Simulation Real (HiL) (…) (…) (…) (…) (…) (…) (…) Realfahrt Real Real Real Real (…) Das Werkzeug Fahrsimulator simuliert die jeweilige Situation mit einem realen Fahrer. Dabei ist es wichtig, dass alle Bestandteile für den Fahrer so realistisch wie möglich abgebildet werden, damit die Ergebnisse von Probandenstudien auswertbar sind. 3.1 Hoch-immersiver Fahrsimulator Die Anforderungen an einen Fahrsimulator zur realitätsnahen Abbildung von der Fahrdynamik sind entsprechend hoch. Simulatoren mit „tilt-coodination“ (neigbarer Aufbau) können nur in niedrigen Frequenzen durch Neigung des Aufbaus Kräfte auf den Fahrer übertragen. Schlittensysteme übertragen diese Kräfte durch Translation des Simulators, können allerdings nur Gierbewegungen in einem Zwei-Schlitten- System abbilden. Solche Systeme benötigen einerseits viel Platz und entsprechend 125 <?page no="138"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen viel Energie. Daher bedarf es eines neuartigen Konzepts zur realitätsnahen Simulation der Fahrdynamik. [29] Abbildung 1: Der auto.mobile-driving simulator als Bewertungswerkzeug der Technischen Universität Dresden aus der Kooperation mit der AMST- Systemtechnik GmbH Abbildung 1 zeigt ein solches Konzept, den neuen Fahrsimulator „auto.mobiledriving simulator“ der Technischen Universität Dresden, welcher in Zusammenarbeit innerhalb eines Kooperationsprojekts mit der AMST-Systemtechnik GmbH entsteht. Dieser Simulator ergänzt die Absicherungskette zwischen virtueller Simulation und Realfahrversuch und erweitert die Untersuchung von Szenarien mit einem realen menschlichen Fahrer. Die Besonderheit dieses Simulators besteht in seiner Eigenschaft als selbstfahrender Fahrsimulator mit eigener Antriebseinheit und Rad-Boden-Kontakt äquivalent zum realen Fahrzeug, dessen Fahrdynamik es abzubilden gilt. In der Simulatorkuppel kann ein Fahrzeug, bspw. ein Motorrad oder wie dargestellt ein PKW, mit installiert werden. Diese Kuppel ist drehbar und über einen Tripod neigbar auf der Antriebseinheit angebracht. Durch Translation und Rotation des gesamten Fahrsimulators ist es so möglich, die Fahrdynamik für den Fahrer realitätsnah abzubilden. 3.2 Harmonisierung der Effektivitätsbewertung Ziel ist es, Sicherheitssysteme mit einem möglichst großen positiven Effekt auf die Verkehrssicherheit zu entwickeln. Dabei müssen innerhalb der Konzeptphase sowie der Vorentwicklung Anforderungen an Systeme und Komponenten definieren werden. Innerhalb der Entwicklung müssen Parameter des Sicherheitssystems optimiert und abschließend die Eigenschaften der Systeme und Komponenten hinsichtlich der definierten Anforderungen abgesichert werden. Dies bildet die Motivation, die Bewertung von Sicherheitsfunktionen mit einer harmonisierten Methode durchzuführen. Mit dem Ziel, diese einheitliche und anerkannte Bewertungsmethode zu erstellen, for- Quelle: AMST-Systemtechnik GmbH 126 <?page no="139"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen mierte sich die internationale Harmonisierungsgruppe „Prospective Effectiveness Assessment for Road Safety” (P.E.A.R.S.). [20, 24] Die Betrachtung der Methode umfasst im Wesentlichen drei Punkte: 1. Die Definition von Forschungsfragen, relevanten Forschungszielen und zugehörigen Metriken zur Bewertung. 2. Die Erstellung einer Bewertungsmethode bestehend aus den Eingangsdaten, den verwendeten Modellen und Szenarien, der Simulation mit und ohne Sicherheitsfunktion sowie der Darstellung der Simulationsergebnisse 3. Die Definition eines Standards für einen Bericht, welcher die Bewertung zwischen allen beteiligten Institutionen vergleichbar macht. Das Ziel ist es, diesen Prozess sowie die Methoden abschließend zu beschreiben, als Standard festzulegen und weltweit zu kommunizieren. 4 Granularität von Verkehr und zugehörige Datengrundlagen Für die Zuordnung von Datenbasen zur Beschreibung des Verkehrsgeschehens wird das Verkehrsgeschehen selbst zunächst in drei Ebenen unterteilt: Die makroskopische Ebene beschreibt das globale Verhalten einer großen Menge von Verkehrsteilnehmern (bspw. innerhalb einer Stadt oder einem Land). Die mesoskopische Ebene beschreibt die Interaktion von Verkehrsteilnehmern innerhalb einer Zelle bzw. Situation. Die mikroskopische Ebene beschreibt das aktive bzw. reaktive Verhalten eines einzelnen Verkehrsteilnehmers. Der zeitliche Verlauf kann reduziert in die normale Fahrt, der kritischen Situation selbst sowie dem Unfall eingeteilt werden. Unter Nutzung der Ebenen des Verkehrs und des zeitlichen Ablaufs lässt sich die Matrix in Abbildung 2 aufspannen und mit Datenbasen zur Beschreibung des Verkehrs im zeitlichen Ablauf befüllen. Dazu zählen zunächst sehr individuelle Untersuchungen auf mikroskopischer Ebene wie Laborversuche, Fahrsimulatorstudien sowie Versuchs- und Realfahrversuche je nach Untersuchungsgegenstand. Diese bieten durch die kontinuierliche Beobachtung des Versuchs selbst eine hohe Datenqualität, jedoch ist die Quantität der Daten durch den vergleichsweise hohen Aufwand und Probandenzahl begrenzt. 127 <?page no="140"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen Abbildung 2: Matrix mit den Ebenen des Verkehrs, der zeitlichen Entwicklung einer Situation und zugehörigen Datenbasen Tiefenanalytische Unfalldatenbanken liefern auf der mesoskopischen Ebene eine größere Menge an Daten bei sehr guter Datenqualität. Hierbei werden Unfallstellen nach dem Unfall untersucht. Mit Methoden der Rekonstruktion werden Rückschlüsse auf die vorausgegangene kritische Situation gesucht. Dem entgegen ist es mit der Erhebung natürlicher Fahrdaten möglich, die normale Fahrt detailliert zu untersuchen. Oft werden diese Untersuchungen als Daueraufzeichnungen während der gesamten Fahrt durchgeführt, wodurch auch kritische Situationen und unter Umständen auch Unfälle enthalten sein können. Die Identifikation kritischer Situationen ist bei der Analyse solcher großen Datenmengen eine entsprechende Herausforderung. Beide Datenbasen liefern demzufolge Informationen über die kritische Situation. Behördliche Unfalldatenbanken liefern in der makroskopischen Ebene Informationen über das Unfallgeschehen innerhalb einer Region. So enthält beispielsweise die Datenbank des deutschen Statistischen Bundesamtes (DESTATIS) sämtliche polizeilich gemeldeten Unfälle innerhalb von Deutschland. Dem entgegen ist es möglich, das Normalfahrverhalten über Verkehrsflussinformationen zu analysieren. Die Datenbasen sind hinsichtlich der Validität der Daten entsprechend abzustufen. So hängt die Aussage von Analysen der Erhebung natürlicher Fahrdaten maßgeblich von den gefahrenen Strecken innerhalb der Erhebung ab. Aus der Matrix in Abbildung 2 wird eine entsprechende Lücke (weiß) in der Datenbasis kenntlich, die es aufzulösen gilt. 5 Aufbau eines Katalogs kritischer Szenarien Aktive Sicherheitsfunktionen erkennen kritische Situationen mit dem Ziel, einen drohenden Unfall zu vermeiden. Fahrerassistenzsysteme unterstützen den Fahrer schon heute bei der Ausführung seiner Fahraufgabe. Zukünftige automatisierte Fahrfunktionen jedoch müssen derart ausgelegt sein, bereits mögliche kritische Situationen zu 128 <?page no="141"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen vermeiden. Somit muss die Detektion einer kritischen Situation früher als bisher erfolgen. Folgende Definitionen sind für die weiteren Ausführungen zu beachten: 1. Ein (Bewertungs-)Szenario stellt einen Konflikt dar, der sich durch häufiges Auftreten im Straßenverkehr charakterisiert und durch ein Sicherheitssystem adressiert werden soll (z.B. „Auffahrunfall bei Folgefahrt“). Es beschreibt dabei die Gesamtheit aller möglichen Einzelfälle, die diesem Szenario zuzuordnen sind (vgl. Situation). 2. Ein Szenarienkatalog ist eine Sammlung von Bewertungsszenarien, die das Unfallgeschehen in diskretisierter Form wiedergibt. Da typischerweise nicht alle Szenarien für die Bewertung eines Sicherheitssystems relevant sind, bietet dieses Werkzeug eine Selektionsmöglichkeit der Bewertungsszenarien je nach Untersuchungsgegenstand. 3. Eine Situation stellt einen einzelnen Fall eines Szenarios dar, der durch einen definierten Parametersatz beschrieben wird. Sie kann daher mit einem dokumentierten Fall aus einer Unfalldatenbank beschrieben werden. Zur Detektion und Vermeidung einer kritischen Situation ist eine genaue Kenntnis dieser Situationen erforderlich. Im Kapitel 4 wurden vorhandene Datenbasen bezüglich ihres Informationsgehaltes sortiert. Abbildung 3 zeigt, wie auf der mesoskopischen Ebene die kritischen Situationen unter Nutzung von natürlichen Fahrdaten (engl.: Naturalistic Driving Study, kurz: NDS) und Unfalldaten aufgelöst werden können. Abbildung 3: Vorgehen zur Erstellung des Katalogs kritischer Szenarien Die Analyse der Daten der NDS, üblicher Weise bestehend aus Videodaten und Fahrzeugdaten, liefert die kritische Situation in ihrem zeitlichen Verlauf. Diese kann Anhand zuvor definierter Maße zur Kritikalität einer Situation identifiziert werden. Diese Maße können während der Analyse von NDS Datensätzen immer weiter parametriert und angepasst werden. Eine Beschreibung der Situation mit Parametern ermöglicht es, diese Situation innerhalb einer Datenbank kritischer Situationen abzulegen. Die Analyse von Unfalldaten ermöglicht es direkt, kritische Situationen aus der Unfalldatenbank in eine Datenbank kritischer Situationen zu überführen. Die Rekon- 129 <?page no="142"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen struktion von Unfällen ermöglicht eine Aussage über die Unfallsituation in ihrem zeitlichen Verlauf. Der Vergleich zwischen kritischen Situationen und Unfallsituationen im zeitlichen Verlauf führt auf eine Definition von Kritikalität. Die Gruppierung ähnlicher Situationen führt zu Szenarien und letztlich zu einem Katalog von Szenarien. Dieser Katalog sollte im Rahmen der Harmonisierungsbestrebungen von P.E.A.R.S. entstehen, die Kompatibilität zu anderen Datenbasen und Formaten (bspw. OpenPASS, GIDAS, PCM, ZEDATU usw.) und das Verkehrsgeschehen insgesamt repräsentativ abbilden. Abbildung 4 verdeutlicht das Vorgehen sowie die Analogie zur Unfallforschung. Abbildung 4: Ermittlung kritischer Situationen und Unfallsituationen eines Szenarios sowie Definition von Kritikalität In Abbildung 4 werden zwei Situationen eines „Szenarios 1“ betrachtet. Es sei hier eine „Situation 1.2“ (rot) aus der Normalfahrt heraus kritisch geworden. Diese entstandene Gefahr führte im Verlauf der Situation zu einem Unfall (roter Pfeil). Dieser Unfall wurde durch eine Unfallerhebung in eine Unfalldatenbank überführt. Mit Methoden der Rekonstruktion kann die Unfallsituation in ihrem zeitlichen Verlauf beschrieben werden. Zudem sei hier eine „Situation 1.1“ aus der NDS identifiziert worden. Diese Situation ist aus der Normalfahrt heraus kritisch geworden, so dass eine Gefahr bestand. Diese Gefahr konnte jedoch durch eingreifen eines Beteiligten abgewehrt werden, so dass diese Situation wieder zur Normalfahrt zurückkehrte (grüner Pfeil). Mit Methoden der Bilddatenauswertung sowie der Analyse der Fahrzeugdaten lässt sich diese kritische Situation ebenfalls in ihrem zeitlichen Verlauf abbilden. Eine Beschreibung der Situation ermöglicht es, diese in eine Datenbank kritischer Situationen zu überführen. Die Zuordnung von kritischen Situationen und Unfallsituationen zu einem Szenario ermöglicht es, die Situationen untereinander zu vergleichen. Dieser Vergleich zwischen Situationen, die zum Unfall führten und jenen, die lediglich kritisch wurden, ermöglicht es, die Kritikalität zu ermitteln. Um diesen Vergleich anstellen zu können ist es notwendig, dass die Datenformate sowohl für die Datenbanken als auch die Beschreibung im zeitlichen Verlauf miteinander konsistent sind (blaue Pfeile). 130 <?page no="143"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen 6 Zusammenfassung und Ausblick Die entwickelte Methodik ermöglicht es künftig, aus verfügbaren Datenbasen kritische Situationen anhand ihrer Kritikalität zu identifizieren und zu Szenarien zu gruppieren. Damit ist die Datenbasis aus der realen Welt sowie die Baseline, wie in der Gesamtübersicht in Abbildung 5 dargestellt, identifiziert. [11, 20] Abbildung 5: Gesamtübersicht zur Bewertung von Sicherheitsfunktionen [11] Im weiteren Verlauf wird das Verkehrsgeschehen aus der Baseline innerhalb der Simulation mit Werkzeugen aus Tabelle 1 mit und ohne Sicherheitsfunktion untersucht. Der Vergleich zwischen den Ergebnissen ohne Sicherheitsfunktion und mit Sicherheitsfunktion liefert eine Prognose. Unter Nutzung von Metriken kann der Nutzen der Sicherheitsfunktion qualitativ und quantitativ ermittelt werden und im Ergebnis mit einer Bewertung versehen werden. Künftig werden weitere Forschungsfragen innerhalb der Bewertung von Sicherheitssowie automatisierter Fahrfunktionen zu beantworten sein, um die Gesamtübersicht aus Abbildung 5 mit harmonisierten Methoden verwirklichen zu können. Diese anzustrebende „Konsens“-Bewertungsmethode ist mit ihren Bausteinen in Abbildung 6 dargestellt. Diese Methodik leistet einen großen Beitrag in den Bereichen Datengrundlage sowie Testmethoden. Weitere künftige Fragestellungen werden folgende Schwerpunkte haben: Modelle für Fahrer, Fahrzeug und Systeme sowie Umwelt und Verkehr Testmethoden in ihren Ausprägungen nach Tabelle 1 für virtuelle Simulation, Fahrsimulatorstudien sowie Realfahrversuche Metriken mit Parametern zur Bewertung sowie Risikofunktionen Bewertung der Ergebnisse aus Untersuchungen hinsichtlich Verfizierung und Validierung 131 <?page no="144"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen Abbildung 6: Bausteine der "Konsens"-Bewertungsmethode [20] 7 Literatur [1] ADVISORS: EU project on Method to assess the impact of ADAS w.r.t. safety & environmental performance. Web-page: http: / / www.advisors.iao.fraunhofer.de/ [2] Beitelschmidt M., Büttner K., Quarz V.: "MBS-Based Simulation of Motorcycle Dynamics in a Co-Simulation Environment" - 11th Mini Conference on Vehicle System Dynamics, Identification and Anomalies, Budapest, 2008 [3] DaCoTA: EU project on Analysis of data from 30 European countries as input for decision-making tools. Web-page: http: / / www.dacota-project.eu/ [4] eIMPACT: EU project on Methodology for assessing the socio-economic effect of safety systems. Web-page: http: / / www.eimpact.info/ [5] euroFOT: EU project on Field tests of ADAS functions. Web-page: http: / / wwweurofot-ip.eu/ [6] Hannawald, L., and Kauer, F.: "ACEA Equal Effectiveness Study." [7] Hans, S., Krehel, M., Köbe, M., Prokop, G.: A Cascaded Model-Predictive Approach To Motorcycle Safety, 13th International Symposium on Advanced Vehicle Control, 2016 [8] IMVITER: EU project on Implementation of Virtual Testing procedures in existing (passive) safety standards. Web-page: http: / / www.imviter.com/ [9] interactive: EU project on Impact assessment for active safety systems by accident re-simulation. Web-page: http: / / www.interactive-ip.eu/ [10] Kates, R., Jung, O., Helmer, T., Ebner, A., Gruber, C., and Kompass, K.: "Stochastic simulation of critical traffic situations for the evaluation of preventive pedestrian protec-tion systems ." 2010. 132 <?page no="145"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen [11] Lewerenz P., Prokop G., Wech L., Steininger U.: "Konzept zur Wirksamkeitsanalyse warnender Fahrerassistenzsysteme" - 10. VDI-Tagung Fahrzeugsicherheit, Berlin, 25.-26. November 2015 [12] M. Krumnow, Robert Richter, P. Lewerenz, T. Schubert, S. Uebel : Dresden „Using Online Data from Local Traffic Management Centers to Assist an Energy-Efficient Driving Behavior“ - 3rd International Conference on Energy Efficient Vehicles (ICEEV 2014) [13] Mai M., Tüschen T., Prokop G.: „A physiological based Driver Model for longitudinal Vehicle Guidance and its Challenges in Validation” - 3rd International Symposium on Future Active Safety Technology Towards zero traffic accidents (FAST-zero), Göteborg, 09.-11. September 2015. [14] Mai M., Wang L., Helmer T., Prokop G.: „Numerical driver behaviour model for stochastic traffic simulation for the evaluation of driver assistance systems and automated driving functions” - 7. Tagung Fahrerassistenz, München, 25.-26. November 2015. [15] Mai M., Wang L., Prokop G.: „Advancement of the car following model of Wiedemann on lower velocity ranges for urban traffic simulation” - The Driving Simulation Conference 2016 VR, Paris, 07.-09. September 2016. [16] Mai M.: „Simulation der sensorischen Wahrnehmung des Fahrers als Teil eines Fahrerverhaltensmodells zur Entwicklung und Bewertung warnender Fahrerassistenzsysteme“ - 9. VDI-Tagung Fahrzeugsicherheit, Berlin, 20.-21. November 2013. [17] Ondřej Vaculín, Lothar Wech, Udo Steininger, Per Lewerenz, Günther Prokop : “Virtuelle Prüfungen als Ergänzung von realen Prüfungen für die Typgenehmigung von Fahrerassistenzsystemen“, 2. Expertendialog Methodenentwicklung für Aktive Sicherheit und Automatisiertes Fahren (ehemals Tagung "Fahrerassistenz und Aktive Sicherheit"), 2016 [18] PEGASUS (Projekt zur Etablierung von generell akzeptierten Gütekriterien, Werkzeugen und Methoden sowie Szenarien und Situationen zur Freigabe hochautomatisierter Fahrfunktionen) Web-page: http: / / www.bmwi.de/ DE/ Mediathek/ monatsbericht,did=752974.html [19] PReVENT: EU project on General methodology on evaluation of ADAS function. Web-page: http: / / www.prevent-ip.org/ [20] Prokop G., Köbe M.: "Harmonisierung von Methoden zur Effektivitätsbewertung von Sicherheitsfunktionen" - 10. VDI-Tagung Fahrzeugsicherheit, Berlin, 25.-26. November 2015 [21] Prokop G., Mai M., Schlag B., Weller G., Gruber C., Tomasch E., Wimmer P.: "Effektivitätsbewertung warnender Fahrerassistenzsysteme durch Fahrerverhaltensmodelle" - 28. VDI/ VW-Gemeinschaftstagung "Fahrerassistenz und Integrierte Sicherheit", Wolfsburg, 10.-11. Oktober 2012 [22] Prokop G., Mai M., Weller G., Heyne F.: „Fahrerverhaltensmodell zur prospektiven Effektivitätsbewertung der aktiven Sicherheit“ - 16. Technischer Kongress des VDA, Hannover, 20.-21. März 2014. [23] Prokop G., Mai M., Weller G., Heyne F.: „Fahrerverhaltensmodell zur prospektiven Effektivitätsbewertung der aktiven Sicherheit“ - 16. Technischer Kongress des VDA, Hannover, 20.-21. März 2014. 133 <?page no="146"?> 5.1. Methodik zur Bewertung sicherheitserhöhender Fahrfunktionen [24] Sander, U. et al: A COMPREHENSIVE AND HARMONIZED METHOD FOR ASSESSING THE EFFECTIVENESS OF ADVANCED DRIVER ASSISTANCE SYSTEMS BY VIRTUAL SIMULATION: THE P.E.A.R.S. INITIATIVE; Paper 15-370; ESV Conference, Gothenburg, 2015 [25] Sander, U.: PREADICIO - Prediction of Accident Evolution by Diversification of Influence factors in Computer simulation [26] Tüschen T., Kocksch F., Rinnert T., Beitelschmidt D., Prokop G.: "Design of a dual suspension kinematics for a highly dynamic driving simulator" - ITI Symposium, Dresden, 11. November 2015 [27] Tüschen T., Prokop G.: "Systemauslegung eines hochdynamischen Fahrsimulators mittels einer FMU Co-Simulation" - ITI Symposium 2014, Dresden, 4.-5. November 2014 [28] Tüschen Th., Prokop G.: "Development of a highly dynamic driving simulator" - 16th ITI-Symposium, Dresden, 12. Oktober 2013Prokop G., Mai M., Schlag B., Weller G., Gruber C., Tomasch E., Wimmer P.: "Effektivitätsbewertung warnender Fahrerassistenzsysteme durch Fahrerverhaltensmodelle" - 28. VDI/ VW-Gemeinschaftstagung "Fahrerassistenz und Integrierte Sicherheit", Wolfsburg, 10.-11. Oktober 2012 [29] Tüschen, T., Kocksch, F., Beitelschmidt, D., Prokop, G.: „auto.mobile-driving simulator“ - suspensions design of a wheel-based driving simulator, 7th International Munich Chassis Symposium, 2016 [30] Van Noort, M., Taoufik, B., Fahrenkrog, F., and Dobberstein, J. "SIMPATIO- The Safety Impact Assessment Tool of Interactive." IEEE INTELLIGENT TRANSPORTATION SYSTEMS MAG-AZINE, 2015: 80-90. [31] Wille, J.; Zatloukal, M.: rateEFFECT, Effectiveness Evaluation of Active Safety Systems 134 <?page no="147"?> 5.2 A Simulation Framework for Vehicle Safety Testing / Ein Simulationsframework für die Absicherung von Fahrzeugsicherheitsfunktionen Marcus Müller, Michael Botsch, Dennis Böhmländer, Wolfgang Utschick Abstract With the advent of semi-autonomous vehicles on the roads, questions about their reliability arise. Due to the significantly improved environmental perception, the complexity an algorithm needs to deal with has drastically increased over the last years. Utilizing sensors such as lidar, radar, and camera, the number of system states a safety critical algorithm has to cover became almost infeasible for validation on the test track. In this paper, a simulation framework is presented, which is dedicated to identifying challenging situations for vehicle safety algorithms. The results can be used to concentrate the test-track efforts to scenarios, which are most likely to trigger an undesired system behavior. Situations of interest are those, which cause obvious misbehavior of the system-under-test, as well as unrobust situations resulting in large changes in the output when the input is only slightly varied. The framework comprises multiple modules responsible for a continuous simulation of the pre-, inand post-crash phases. The open source traffic simulation tool SUMO provides realistic traffic scenarios, while the combination of a vehicle dynamics model and a newly developed mass-spring model are used to approximate the vehicle movement even during the Inand Post-Crash phases. Driver actions, as well as sensor information, are varied in multiple instances of the framework in order to guarantee a high coverage of the possible system states. The scenarios are always motivated by a reasonable “real world” background, rather than random sampling. With a focus on crash scenario analysis, a rule-based filter ensures that preferably situations with a high collision probability are chosen. Using this technique, millions of random crash situations are generated within days, where a comparable number would take years to observe in the real world. The framework is used in the development process of pre-crash functions. It successfully is employed to evaluate the quality of predictive algorithms dealing with the uncertainties of future events. The data generation aspect of the framework is utilized for vehicle safety-related machine learning tasks. 135 <?page no="148"?> 5.2 A Simulation Framework for Vehicle Safety Testing Kurzfassung Schon vor dem Verkaufsstart der ersten semi-autonomen Fahrzeuge, spätestens jedoch seitdem diese auf den Straßen unterwegs sind, stellt sich die Frage nach deren Zuverlässigkeit. Durch die Entwicklungen der letzten Jahre auf dem Gebiet der Umfeldsensorik, ist auch die Komplexität aktueller Algorithmen gestiegen. Sensoren wie Lidar, Radar oder Kamera, erlauben gegenüber konventioneller Sensorik, die Erfassung einer signifikant gesteigerten Zahl an Situationen, welche von den angeschlossenen Algorithmen beherrscht werden müssen. Es erscheint unrealistisch, die große Anzahl der theoretisch möglichen Systemzustände umfassend durch Absicherung auf der Teststrecke zu validieren. In dieser Arbeit wird ein Simulationsframework vorgestellt, dessen Aufgabe es ist, diejenigen Situationen zu identifizieren, welche einen gegebenen Vehicle Safety Algorithmus an seinen Grenzen und ggf. darüber hinaus bringt. Die Ergebnisse können dann dafür verwendet werden, die Absicherungsbemühungen auf der Teststrecke auf die Szenarien zu konzentrieren, die am wahrscheinlichsten ein ungewolltes Systemverhalten provozieren. Interessant sind dabei besonders solche Situationen, die ein offensichtliches Fehlverhalten des getesteten Systems herbeiführen, ebenso wie nicht robuste Szenarien, bei welchen kleine Änderungen in den Eingangsgrößen zu besonders großen Änderungen des Ausgangs führen. Das Framework vereint mehrere Module welche eine durchgängige Simulation der Pre-, In- und Post-Crash-Phasen ermöglichen. Das Open-Source-Tool SUMO stellt dafür Simulationen realistische Verkehrsszenarien zur Verfügung, während eine Kombination aus einem Fahrdynamikmodell und einem neu entwickelten Feder- Masse-Modell für die Bewegungsschätzung des Fahrzeugs während der IN- und Post-Crash-Phase verantwortlich sind. Fahreraktionen und Sensorinformationen werden entlang der Prozesskette mehrfach variiert, um eine maximale Abdeckung der möglichen Systemzustände zu gewährleisten. Diese Variationen erfolgen dabei nicht als zufällige Streuung, sondern begründen sich auf realitätsnahen Verkehrssimulationen. Da die Analyse von Unfallszenarien im Mittelpunkt steht, stellt ein regelbasierter Filter sicher, dass vorzugsweise Situationen mit hoher Kritikalität für die weitere Simulation ausgewählt werden. Durch diese Technik können Millionen zufälliger Kollisionen binnen weniger Tage generiert werden, während es Jahre dauern würde, eine vergleichbare Zahl an realen Unfällen zu beobachten. Das Framework wird im Entwicklungsprozess Pre-Crash Algorithmen verwendet. Es konnte bereits erfolgreich eingesetzt werden um Schwachstellen vorausschauender Algorithmen zu identifizieren, deren größte Herausforderung darin besteht, mit den Vorhersageunschärfen zukünftiger Ereignisse umzugehen. Die mit dem Framework generierten Verkehrs- und Unfalldaten konnten im Rahmen von Machine-Learning- Anwendungen für Fahrzeugsicherheitszwecke genutzt werden. 136 <?page no="149"?> 5.2 A Simulation Framework for Vehicle Safety Testing 1 Introduction Testing a new safety function, such as the seat belt tensioner, follows strict and comparatively simple rules. The system-under-test (SUT) has to prove proper functioning under certain predefined test track and crash load cases. Additionally, a long-term test is carried out under real traffic conditions. If these tests are successfully passed, the function usually gets approved and thus is ready to be released. With the latest generation of sensors and the possibilities coming along with it, this is changing. The validation of the upcoming advanced driver assistant systems (ADAS) will take considerably more effort than ever before. This new level of complexity was reached, when the first functions, such as the Autonomous Emergency Braking (AEB) [1], started utilizing exteroceptive sensors like lidar, radar or camera. With the new sensor technologies involved, some new challenges arose. Conventional sensors, like acceleration or pressure sensors, deliver information only about the vehicle in which they are integrated. This keeps the complexity low enabling robust decision making for tasks like triggering an airbag or a belt tensioner. Exteroceptive sensors by contrast stream information about the vehicle environment, which leads to a high level of complexity in the signal processing. Objects like other cars or persons can be recognized in the camera image and can be augmented with size, distance and velocity information from lidar and radar. With these capabilities, safety measures can be triggered even ahead of an accident, like in the case of the AEB. Whereas conventional sensors and the corresponding signal processing are robust due to the manageable complexity, exteroceptive sensors and the algorithmic interpretations of their data are subjects to uncertainties. The latter range from sensor noise and weather influence [2, 3] to sophisticated classification tasks like separating a flying around plastic bag from obstacles causing severe accidents. That confusions between such objects can lead to serious consequences became clear in the 2016 case of a semi-autonomously driving Tesla Model S, which failed to recognize a white truck against a brightly lit sky ending in a fatal collision [4]. Entirely avoiding situations like this is probably impossible to achieve because the number of normal and extraordinary scenarios an algorithm has to deal with is infinite. However, optimising the testing and validation processes will help to identify weaknesses in the algorithms and improve their performance to a level beyond human capabilities. The Accident Hypothesis Framework (AHF) presented in this work aims to contribute to the field of testing and validation of vehicle safety functions. As stated above, the possibility space a safety function has to deal with can be infinitely large. This means that even millions of driven test kilometres and years of simulation will not result in a full coverage of all possible scenarios. Nevertheless, there are situations more relevant than others. To improve the testing efficiency, the presented framework focuses on those situations, most likely to occur in the real world, rather than randomly sampled ones, which might be very unlikely or even physically impossible, as discussed in [5]. This is accomplished by combining modules taking care of the vehicle dynamics and the crash force calculation with the traffic simulation tool SUMO [6], further discussed in Section 2.1. 137 <?page no="150"?> 5.2 A Simulation Framework for Vehicle Safety Testing The contradiction the AHF thereby has to overcome is the requirement of a low computation time for quickly generating a large number of scenarios, while at the same time providing a high level of accuracy, necessary for a proper decision-making in safety relevant applications. Other research projects in this domain, usually either model traffic from an abstract macroscopic point of view, with their focus on traffic flow, fleet management or traffic jam avoidance rather than physical modelling of individual vehicles. On the other hand, there are projects with a focus on only a few very specific traffic scenarios, which shall be modelled with a very high level of detail. Two examples of the former type are described in [7] and [8], with the topics car2xcommunication and traffic routing, both requiring more of a distribution of vehicle positions rather than detailed simulations of single vehicles. Simulations with the Finite Elements Method (FEM), on the other hand, are an example of very intense simulation efforts in order to synthesize highly detailed data at the expense of time and hardware requirements [9]. In the field of vehicle safety and accident research, FEMsimulations provide state-of-the-art crash simulations. Although these simulations are carried out on high-performance computers, simulating a single 200 milliseconds crash can take up to multiple days to finish. In order to use such time-consuming methods, one should already know beforehand what scenarios to simulate, whereas testing millions of situations becomes an infeasible task. Distinguishing the previous examples according to their level of detail into low and high complexity vehicle simulations, the AHF lines up with them at an intermediate complexity level. It takes a more abstract look at road traffic and vehicle accidents than FEM-simulations but still is more detailed than macroscopic traffic simulations. The framework addresses the logical layer of the process chain depicted in Figure 1, where the sensor data has already been interpreted as a map of the environment. This map (or object list), containing information about surrounding objects, their position, size or velocity forms the input to many of the modern driver assistance systems. Figure 1: Simplified Processing Chain with Perception and Logic Layer Following the “divide and conquer” approach and separating the perception part with the sensors, from the logic part with the algorithms, the testing complexity reduces, leaving the analysis of uncertainties in the perception as a separate task. Thus, the AHF generates large numbers of realistic crash constellations fast and with a high level of detail. It combines the two aspects of a macroscopic traffic network simulation and detailed vehicle physics modelling further explained in Section 2. Section 3 concludes the paper with a short summary and a discussion about aspects of future work. Throughout this work, vectors and matrices are denoted by lower and upper case bold letters and random variables are written using sans serif fonts. A lowercase bold letter represents a column vector. 138 <?page no="151"?> 5.2 A Simulation Framework for Vehicle Safety Testing 2 Accident Hypothesis Framework In this section, the Accident Hypothesis Framework is introduced. First, a short overview is given before afterwards the different modules of the framework are described in more detail. The goal of the AHF is the efficient generation of a large number of realistic, safety critical traffic scenarios. Those scenarios usually start more than one second before a collision of two traffic participants and last until the end of the collision. A vehicle safety function or algorithm can be tested with the AHF in a software in the loop (SiL) fashion like shown in Figure 2. The AHF simulation acts as the input to the SUT, while any feedback from the SUT directly can be taken into account by the simulation (closed loop). During the simulation, all vehicle specific information like velocity, acceleration, yaw angle and rate, slip, size, mass, vehicle type, desired trajectory etc. are available to the SUT. When a collision is simulated, additional details about the crash forces and the movement of the cars during and after the collision become available as well. Figure 2: Software-In-the-Loop Testing with the AHF As can be seen in Figure 3, SUMO is the first module of the framework and represents the source of realistic everyday traffic scenarios. Because cars in SUMO do not collide, a step called candidate selection watches the SUMO traffic simulation, searching for situations with high crash potential. When a critical situation is found, an adequate snippet of the SUMO simulation is reproduced in Matlab. Only the two cars of interest and the corresponding part of the road network, instead of the whole scenario, are recreated and simulated in Matlab. For this purpose, all vehicle parameters are adopted from SUMO. A dynamics model is applied to each car, introducing a new physical layer to the simulation. With respect to physical influences like friction, longitudinal and lateral forces, each car follows its own SUMO-inherited trajectory. Applying a driver mistake, such as a forbidden U-turn, to one of the cars, increases the chance for an accident to occur. 139 <?page no="152"?> 5.2 A Simulation Framework for Vehicle Safety Testing Figure 3: AHF Overview Every situation has the potential to develop in various different ways. The AHF allows following and analyzing these ways as it creates multiple simulation branches. The branches are based on the original situation, with slightly varied conditions for each of them. As a first step, the driving style of the participants is considered either, defensive, moderate or sporty, leading to nine possible combinations, simulated one after another. An unavoidability detector is activated, as soon as a collision is possible, scanning for evasion trajectories. A situation is called unavoidable if no evasion trajectory can be found anymore. Because of its special importance for many safety applications, the period between the point of unavoidability and the collision is separated into even finer sampled child simulations. For each of the nine driving style simulations, another 6,400 driver hypotheses are added on top, leading to a total of 9*6,400 = 57,600 trajectories, all derived from a single SUMO situation. The driver hypotheses are combinations of steering and braking maneuvers of both, the EGO or the opponent car (OC). All trajectories, which are found unavoidable, result in a collision. When this happens, a mass-spring model, discussed in Section 2.8, calculates the interaction between both crash participants. The accelerations of both cars are tracked and finally used in the crash severity estimator to tag each collision with a severity label. 140 <?page no="153"?> 5.2 A Simulation Framework for Vehicle Safety Testing 2.1 SUMO SUMO, which is short for “Simulation of Urban MObility'', is an open source traffic simulation tool, maintained by the traffic department of the DLR 1 . Started in the year 2000, the tool has been used in a large number of projects inside and outside the DLR. One example is its deployment during the soccer world championship in 2006 as “short term traffic forecast'' in and around the City of Cologne. SUMO is also gaining importance in the emerging field of car2car and car2x communication [7]. Connected to third-party tools like the network simulation tool VANET, SUMO allows analyzing communication networks under the constantly changing influences of a road traffic system. Because for a testing framework a wide variety of traffic scenarios is required, SUMO is the tool of choice to provide the general traffic environment, from which the everyday-situations are extracted that are the basis of the subsequent crash simulations. Figure 4: SUMO Graphical User Interface In order to generate the necessary data and produce a whole traffic history, instead of simply arranging predefined crash scenarios, an entire traffic ecosystem needs to be simulated. From a selection of different simulation tools, SUMO was chosen for this task for the following reasons: • Open Source • Widely accepted within the field of traffic research • Available Interfaces (Matlab, Java, Python) • Large possible network size. In the user manual, SUMO is introduced as a “microscopic traffic flow simulation''. Within the scope of macroscopic, microscopic, sub-microscopic and mesoscopic simulations, the microscopic design of SUMO represents a tradeoff between traffic network size on the one hand, and the level of detail and complexity of each individ- 1 German Aerospace Center („Deutsches Luft- und Raumfahrtzentrum'') 141 <?page no="154"?> 5.2 A Simulation Framework for Vehicle Safety Testing ual car on the other hand. Thus, SUMO is capable of simulating thousands of single cars in an interacting real-world-like road traffic network. In macroscopic networks, cars are often grouped together and processed as group units, which allows large network sizes. Sub-Microscopic networks, in comparison, provide adjustable variables for driver preferences or physical car parameters. Computing those physical parameters over time and for all vehicles limits the total number of processable cars inside the network. However, SUMO extends the microscopic approach by some sub-microscopic aspects. This still allows networks of the size of whole cities with thousands of cars but also enables the observation and manipulation of single cars like shown in Figure 4. SUMO works with scenarios such as the Joined Bologna Scenario [10], one of the most advanced community projects, considering large parts of the Italian city of Bologna. This includes information about traffic lights, bus lines, traffic demand and much more, producing a realistic simulation of the city traffic. Among the standard vehicle parameters like mass or size, SUMO allows specifying many additional variables, such as the emission class or the battery load percentage for electric vehicles. All these parameters are available to the AHF. 2.2 Candidate Selection Before the actual computationally intensive simulation with the two-track and the mass-spring model is started, the candidate selection determines the crash potential of each situation. Not every situation is a good crash candidate. An average German driver, for example, is involved in an accident only once every 300,000 kilometers [11]. The candidate selection performs computationally inexpensive checks on whether a situation fulfills the requirements to evolve into one out of five different accident types. Figure 5: Candidate Selection Rule Set for Lane Change Maneuver 142 <?page no="155"?> 5.2 A Simulation Framework for Vehicle Safety Testing One trivial requirement, for example, is that there will not be a crash between two participants if no second car is within reach of the observed car. Certain types of accidents are less likely or even impossible to occur if some general preconditions are not fulfilled. The five accident types the candidate selection tries to find within the SUMO situation are lane change, U-turn, head on, rear end and junction. In the case of a lane change, the environment of the EGO vehicle is scanned for other cars the EGO might collide with when a lane change is carried out. Figure 5 exemplarily shows the set of rules which determine, whether a situation is a candidate for a lane change collision. The rules must be chosen with care, as they highly influence the output of the whole simulation process. If the rules are chosen too strictly, then only very limited, similar situations are accepted. Setting them too loosely leads to an increasing number of situations that might not lead to an accident at all. The candidate selection is closely related to the driver mistake explained in the next section. The Candidate Selection checks whether a certain maneuver might lead to a collision and prevents non-critical situations from being simulated. The driver mistake on the other side receives the information from the candidate selection about a possible accident type and creates the corresponding driving maneuver accordingly. 2.3 Driver Mistake The traffic scenarios from SUMO do not lead to collisions. For that reason, a driver mistake needs to be added to make the vehicles collide. SUMO uses so-called carfollowing-models, to simulate individual vehicles [12]. These models imitate a perfect driver, maintaining proper speed and safety distance. In the rare case of a collision, SUMO teleports the affected vehicles to a safe spot, because vehicle dynamics and crash physics are not part of the SUMO traffic network simulation. Figure 6: Different Driver Mistake Maneuvers (Desired Accident Types) 143 <?page no="156"?> 5.2 A Simulation Framework for Vehicle Safety Testing In order to produce a collision, one of the five maneuvers shown in Figure 6 is carried out. Which maneuver is chosen depends on the Candidate Selection. It beforehand has determined, which maneuver most likely results in a collision. The maneuver parameters, such as the execution speed or the target lane are randomized, to avoid that the same maneuvers are carried out over and over again. Varying maneuver parameters like the curve radius or the desired target lane the created scenarios are already very different. The randomized maneuvers are applied to the changing road and vehicle constellations taken from SUMO, resulting in unique traffic scenarios. With all randomness involved, the use of the two track-model ensures, that all simulated trajectories are physically plausible. The fact, that realistic road networks are used in the process, accounts for the circumstance, that the geometry of a road network carries a priori knowledge about the probabilities of certain crash constellations. 2.4 Vehicle Dynamics Model The planar motion of four-wheel cars can be described accurately using a two-track model. The two-track model used in the Accident Hypothesis Framework has already been discussed in detail in [13]. It is a nonlinear planar vehicle dynamic model, which describes the vehicle as a rigid body and models the forces that act on the four tires utilizing the “magic tire formula” [14]. The longitudinal slip can be modeled to be a function of the gas pedal and the brake pedal positions. The side slip can be modeled to be a function of the steering-wheel angle [15]. Thus, the planar location and orientation of the vehicle can be predicted based on hypotheses about the steeringwheel angle in combination with brake and gas pedal positions. Such a driver model for predictions in traffic scenarios is implemented for this work and each hypothesis of the driver inputs leads to a predicted trajectory. 2.5 Driving Style The driving style model is a simple approach to account for the different types of drivers. Even a single person changes his driving style depending on, whether he is, for example, in a hurry, relaxed or tired. Those differences emerge in various fashions, such as a reduced attention, increased speeding tendency or ignoring of traffic signs and safety gaps. In the AHF, these effects of different driving styles are reduced to three different levels of situation awareness. The defensive driver is assumed to recognize the imminent danger at a time-to-collision (TTC) of 2.0 seconds, starting to reduce his velocity from that point on. The moderate driver takes a bit longer and reduces his velocity only from 1.5 seconds before a crash, while the sporty driver brakes last at a TTC of 1.0 seconds. Applying this idea of three different driving styles to both crash participants leads to nine possible combinations being simulated one after another. All types of drivers try to reduce their speed by 33% in that time. The emergency braking starts later with the driver hypotheses, further explained in Section 2.7. The different driving styles increase the diversity of the simulations, generated by the AHF. 144 <?page no="157"?> 5.2 A Simulation Framework for Vehicle Safety Testing 2.6 Unavoidability Detector The unavoidability detector works by the same principle as the later simulation of the driver hypotheses (see Section 2.7). It starts from the current situation of a vehicle and calculates its further movement by utilizing the two-track model from Section 2.4 together with a control sequence of steering and braking maneuvers. In order to ensure that all possible maneuvers lead to a crash, the unavoidability detector considers as few as 13 combinations of steering, braking and accelerating per traffic participant, which results in a total of 169 simulations necessary to decide whether two vehicles will collide or not. This number of trajectories has been found out of ten thousands of possible trajectories to be sufficient for our simulations of urban traffic scenarios with a maximum TTC of 800 milliseconds. Figure 7: Unavoidability Detector Searching for Collision-Free Trajectories Figure 7 shows the unavoidability detector finding evade trajectories (blue and yellow) for three different scenarios. 2.7 Driver Hypotheses After a crash is found unavoidable, the simulation is further divided into additional child simulations. Each of these child simulations calculates the consequences of one particular pair of driver hypotheses. A driver hypothesis is an assumption about the steering and braking actions a driver performs between the unavoidability and the crash. One hypothesis consists of a desired acceleration and steering angle. Those values remain constant as it is assumed that milliseconds before a collision no complicated maneuvers are performed anymore. The acceleration and steering angle values are fed into the two-track model in order to calculate the movement of both, the EGO and OC until the crash occurs. The hypotheses for the steering wheel angle lie in the range [-720°, +720°]. The minimum and maximum possible acceleration depend on the car, but usually do not exceed the range [-9 m/ s², +5 m/ s²]. Per vehicle eight braking and ten steering maneuvers are analyzed, leading to a total of 6,400 driver hypotheses being simulated. Driver actions like steering, braking or accelerating can have a significant impact on the outcome of the collision. Figure 8 illustrates this influence at the example of a pre-crash situation (red and green) 512 ms ahead of an unavoidable accident. 145 <?page no="158"?> 5.2 A Simulation Framework for Vehicle Safety Testing Figure 8: Unavoidable accident with a TTC of 512 ms along with nine predicted crash constellations (cyan and pink) and the corresponding crash severity distribution The left side of the figure shows a selection of nine possible crash constellations, while on the right the crash severity distribution of all 6,400 driver hypotheses is depicted. A crash severity of one stands for an accident, comparable to a 50 km/ h wall crash. More details about how the crash severity is calculated are presented in Section 2.9. It is apparent that a certain number of driver hypotheses is necessary to achieve an accurate estimate of the crash severity distribution. This is important because comprehensive testing requires that all aspects of a traffic situation, from low to high severity outcome, have been analyzed. 2.8 Mass-Spring Model Because the cars start interacting with each other, the in-crash phase requires a more sophisticated modeling. In the domain of crash severity estimation, popular approaches for this kind of interaction are the impact model and the mass-spring model [16]. As the impact model is not suitable for the continuous calculation of crash forces, a mass-spring model is used to determine the required in-crash movement of both vehicles. Figure 9: Crashing vehicles with superimposed mass-spring model 146 <?page no="159"?> 5.2 A Simulation Framework for Vehicle Safety Testing In the adopted one-dimensional mass-spring model, the cars are represented through their masses and as well as their positions and along the axis of their relative movement. The car structures are modeled through two springs with their primary characteristic being their stiffnesses and . A third mass with position completes the mass-spring model by connecting the two springs and thereby, forming a line of three masses interlinked by the two springs, as shown in Figure 9. As the cars have the initial velocities and , with being the time the crash began, the displacements of the springs are changing over time resulting in the two forces: , . (1) Since the forces within the system must be equally large on the left and right side of the virtual mass and thus, t ! 0, (2) together with Equation (1) it holds that . (3) To compute the change in position of the masses, the system, with , and participant identifier 1,2 , is discretized. Using numerical integration with small values for the integration time , the resulting equations are: 1 1 0.5 1 , (4) 1 1 , (5) 1 1 , (6) with being the discrete equivalent to . The relative positions, velocities and accelerations of the two cars at are used as initial values. Masses and stiffnesses were manually tuned to approximate the shape of real crash pulses taken from [17]. The mass-spring model cannot reproduce the crash pulse in detail, but its main characteristics, like the maximum acceleration as well as the duration of the accident, can be matched quite well [17]. Finally, to obtain the overall movement of the crash participants, the crash forces from the mass-spring model are added to the two-track model. Therefore, the displacements 147 <?page no="160"?> 5.2 A Simulation Framework for Vehicle Safety Testing and , gained from the Equations 4, 5 and 6, are used with the discretized versions of the Equations 1 and 2. This results in the crash forces for both cars c, and c, . These scalar crash forces, which act on the cars along the crash direction of the mass-spring model, are now being interpreted as vectors with a longitudinal and lateral component in the two-dimensional space of the two-track model. The resulting vector components c, long and c, lat are now added to the two-track model equations 1 cos c, lat sin c, long , (7) 1 cos c, long sin c, lat , (8) 1 , ℓ c, lat c, long , (9) where , and denote the derivatives of the velocity, the slip angle and the yaw-rate calculated by the two-track model [13], , is the yaw moment of inertia, ℓ and define the longitudinal or lateral distance of the point of contact from the center of gravity of either car one or car two. For simplicity, the point of contact is assumed as the center of the overlap region of both cars. Now running the two-track model with the updated quantities , and combines the effects of the tire forces from the magic tire formula with those of the crash forces from the massspring model. 2.9 Crash Severity Estimator The term crash severity is often used in different contexts and with different meanings. In this paper, the term refers to the physical consequences of car accidents, in the sense, that the forces affecting the driver during a crash are estimated to quantify his load. It has been shown by established crash severity measures like the Occupant Load Criterion (OLC, [18]) or the Frontal Crash Criterion (FCC, [19]) that the crash acceleration data, or pulse for short, carry valuable information about the injury risks of the occupants. They correlate closely with measures like the Head Injury Criterion (HIC36) or the Chest Injury Criterion (Chest3ms) [18]. The OLC and the FCC are designed to work with recorded acceleration data rather than predicted crash pulses and they both address frontal collisions only. Thus, a prototypical crash severity measure is introduced, which accounts for the fact that predicted acceleration data, stemming from accidents of various types, is processed in this work. The prototypical crash severity measure utilizes the crash pulse a car . The crash pulse is a vector as both, longitudinal and lateral acceleration are taken into account, to illustrate the changes in crash severity over all types of accidents, like oblique, frontal, rear end or side collisions. To account for the differences in those crash types, the cars are divided into three stiffness zones. The front and rear end bumper regions are modeled by two zones of moderate stiffness while the passenger compartment is represented by a high stiffness zone. This follows the real design of most vehicles, with crumple zones in the front and rear, to absorb kinetic energy, and a very robust passenger compartment, to protect the occupants. Due to the absence of crumple zones 148 <?page no="161"?> in the s This de thereby in an a tive occ This ho belt or A conc and d o2 and as work when t work is where time th occupa when th the car Figure side of a ca ependency y the crash accident. B cupant-to-c olds given airbag. Int ceptional e 2c is depict ssuming a the occupa s equal to t occ is the e occupan ant body a he kinetic r, is comple e 10: Conce cupan 5.2 A Si ar, the cras y is appro h pulse cha By integrati car (o2c) v that the d egrating ag xample of ted in Figu complete ant hits the he force F CS e mass of nt hits the nd the inte energy, ca etely transf eptional Sk t-to-Car Ve mulation Fra sh severity oximated in ange with t ng over th velocity can v o2c river is no gain leads d o2c the longitu re 10. Follo E kin,o2c transform W o2c e interior o o2c , with S F o2c f the occup interior an erior. Thus aused by th formed into ketches of elocity (mid amework for V y tends to b n the simu the numbe he longitud n be formu a car ot decelera s to the rela v o2c udinal com owing the 1 2 occ v o ation of th c F o2c s oi , of the car, 1 2s oi occ v pant, v o2c d s oi is the s, the used he velocity o mechani f the Longit d) and Occ Vehicle Safe be higher i ulation as er and type inal and la ulated as d . ated by any ative occup d . mponents o known equ o2c , he kinetic e the crash v o2c oi , oi is the e bilateral d CS repre y difference cal work. tudinal Veh cupant Dis ety Testing in side cras the spring e of stiffnes ateral acce y restraint pant displa of all three uation for t energy int h severity relative o deformatio esents the e between hicle Crash placement sh scenari g stiffness ss zones i eleration, t system lik acement e signals a the kinetic to the mec (CS) used o2c-velocity on distance force that the occup h Pulse (le t (right) ios [20]. ses and nvolved he rela- (10) ke seat- (11) a car , v o2c energy (12) chanical (13) d in this (14) y at the e of the t results ant and eft), Oc- 149 <?page no="162"?> 5.2 A Simulation Framework for Vehicle Safety Testing To determine v o2c oi , the driver displacement needs to be continuously evaluated regarding a collision of the driver with the interior. The maximum allowed displacement (red dotted line) depends on the direction in which the driver is moving as well as the yaw angle of the car . The distance an occupant can move towards the mid of the car or the steering wheel before he hits the interior is assumed to be larger than the maximum possible way the occupant can move towards the door or the seat. Furthermore, the deformation s oi also depends on which soft or hard part of the interior is hit by the driver. Therefore, parameters are used in the simulations to model different deformations s oi , depending on the point of contact between occupantand car. The resulting prototypical crash severity measure CS is intentionally used as a relative comparison of different accident types rather than an absolute measure. For this reason, crash severities are expressed as normalized values, with a reference crash severity CS = 1 comparable to a 50 km/ h wall crash. This reference value was chosen because 50 km/ h is the default speed limit in the city of Bologna. A 50 km/ h wall crash is equivalent to the case of two identical cars, both driving with 50 km/ h, suffering from a frontal collision. This is the worst case scenario, as the vehicles in the simulation do not drive faster than the 50 km/ h speed limit, even though crash severities beyond one are possible if an occupant suffers from the increased forces of a side collision. In this case, the very high forces, which appear due to the lack of crumbling zones, can result in a CS larger than one. 2.10 Results Combining the previously described modules to a connected simulation chain, a continuous simulation, starting from a normal traffic scenario, through the preand inuntil the post-crash phase is realized. Figure 11 exemplarily shows the visualization of all phases. Figure 11: Continuous Simulation of Pre-, Inand Post-Crash Phase 150 <?page no="163"?> 5.2 A Simulation Framework for Vehicle Safety Testing In the process of running the AHF for multiple days, a large number of pre-, inand post-crash data is generated. For later use, the simulation history and results are stored in a database. The high diversity of the generated data is shown in Figure 12, where 18.7 Million crash constellations are depicted, nearly seamlessly filling the space of possible car positions at t 0 . While the distribution of crash types within the simulation data follows real-world distributions like [21], indicating some level of realism, the exact ratio of front-, rearand side crashes still differs from the real world statistics. An overrepresentation of headon collisions in the simulation, for example, can be ascribed to the fact, that the preconditions which must be met to simulate maneuvers leading to a head-on collision are more likely to occur than those, necessary for more complicated maneuvers such as U-turn. But as there are millions of instances available for each crash type, any desired distribution can be sampled from the generated data. Figure 12: Crash Constellations of 18.7 Million Simulations "normalized" by the EGO-Vehicle (red) The total duration of one simulation depends on the number of simulation steps in the pre-, inand post-crash phases. On average the simulation of 6,400 trajectories, containing the simulation of the two-track model and the mass-spring model, took 269 seconds on an Intel i7 2.3 GHz computer. This means 42 milliseconds per trajectory. But this time is expected to significantly decrease when the simulation is transferred to a more time-efficient programming language and carried out on specialized embedded hardware. Figure 13: Varying Crash Severity Distributions at Approximately 512 (left), 357 (mid), and 69 (right) Milliseconds Ahead of a Crash 151 <?page no="164"?> 5.2 A Simulation Framework for Vehicle Safety Testing In Figure 13 an exemplary AHF pre-crash phase is depicted along with the corresponding crash severity distribution based on the driver hypotheses. As expected, it can be seen, that the standard deviation of the distribution reduces over time, until the actual crash occurs. This is a valuable information, which, for example, can be used to fire a safety measure ahead of a collision, only when the crash severity distribution lies within a predefined band. An idea presented in [13], using the generated AHF data with a statistical learning method, in order to estimate the reliability of crash severity predictions. 2.11 Limitations The supported maneuvers in the Candidate Selection allow the analysis of five very common accident types. However, there are still more types to cover. One of the most important types not implemented are self-accidents, which would require the existence of obstacles like trees. Moreover, crashes with three or more participants are not included yet. Furthermore, accidents with pedestrians are not considered. Indeed, SUMO supports pedestrian simulation, but it has not been built into the Joined Bologna Scenario so far. As there were some improvements made to the pedestrian model in the recent SUMO versions, this will perhaps change in the near future. Furthermore, no data on the car types or lengths within the traffic of Bologna was available to the scenario creators. That is why only very few vehicle types were included in the Bologna Scenario. One of those types is bus. Buses are not simulated within the Accident Hypothesis Framework as they, on the one hand, are difficult to compare with normal cars in terms of braking distance, acceleration and TTC. On the other hand, the dynamics model is designed for the use with cars and needs adaption to be applicable for buses too. Another part not yet considered are varying road conditions like wet or icy pavement, even though the corresponding parameters are already present in the model and just need to be varied in future runs. 3 Conclusions and Future Work Testing and validating modern vehicle safety functions and driver assistance systems takes a lot of effort compared to the validation of conventional functions. The number of system states, which need to be evaluated, has drastically increased over the past years. Simulations have already become an essential part of the validation process and will gain even more importance in the future. Apart from time intensive high precision simulations like the Finite Elements Method, a demand for time efficient testing methods arose. These methods are necessary, in order to drive virtually millions of test kilometers in feasible time. In this work, a simulation framework is presented, providing the capability of simulating a large number of critical traffic scenarios in short time. Addressing the logic layer with the ADAS algorithms, the framework produces descriptions of other cars in the environment of the EGO vehicle, allowing a software in the loop fashioned testing of algorithms. The traffic network simulator SUMO is utilized to produce realistic precrash scenarios. Possible crash constellations are obtained by using a two-track dynamics model to simulate the vehicle trajectories based on various driver hypotheses. A mass-spring model is used to simulate the in-crash phase and estimate the crash forces. Based on these crash forces, a prototypical crash severity measure is 152 <?page no="165"?> 5.2 A Simulation Framework for Vehicle Safety Testing defined to compare accidents of various types with each other and determine the crash severity distribution of the different driver hypotheses. The results of the simulation framework are highly promising as the generated crash data match our real-world observations to a great extent. Future work includes the further improvement of the traffic simulation by taking more real-world data, like the distribution of vehicle masses, into account. The probabilities of the driver hypotheses can be improved by changing the uniform distribution to one with individually weighted trajectories. The 1D mass-spring model will be extended to a 2D model to better represent the crash angle dependency of the crash pulse. Finite element crash simulations along with real crash data will be used to tune the mass-spring models and adjust the model parameters, including the spring stiffnesses. Literature [1] Kaempchen, N., Schiele, B., & Dietmayer, K. (2009). Situation assessment of an autonomous emergency brake for arbitrary vehicle-to-vehicle collision scenarios. IEEE Transactions on Intelligent Transportation Systems, 10(4), 678-687. [2] Rasshofer, R. H., Spies, M., & Spies, H. (2011). Influences of weather phenomena on automotive laser radar systems. Advances in Radio Science, 9(B. 2), 49-60. [3] Hasirlioglu, S., Kamann, A., Doric, I., & Brandmeier, T. (2016, November). Test methodology for rain influence on automotive surround sensors. In Intelligent Transportation Systems (ITSC), 2016 IEEE 19th International Conference on(pp. 2242-2247). IEEE. [4] https: / / www.tesla.com/ de_DE/ blog/ tragic-loss [5] Rose, N. A., Fenton, S. J., & Hughes, C. M. (2001). Integrating Monte Carlo simulation, momentum-based impact modeling, and restitution data to analyze crash severity (No. 2001-01-3347). SAE Technical Paper. [6] Krajzewicz, D., Erdmann, J., Behrisch, M., & Bieker, L. (2012). Recent development and applications of SUMO-Simulation of Urban MObility. International Journal On Advances in Systems and Measurements, 5(3&4), 128-138. [7] Riebl, R., Günther, H. J., Facchi, C., & Wolf, L. (2015, June). Artery: Extending Veins for VANET applications. In Models and Technologies for Intelligent Transportation Systems (MT-ITS), 2015 International Conference on (pp. 450-456). IEEE. [8] Bonert, M., Brockfeld, E., Ernst, I., Krajzewicz, D., Ruhé, M., & Wagner, P. (2006). SOCCER Verkehrslageerfassung und-prognose während der Fußball-WM. [9] Turner, M. J. (2012). Stiffness and deflection analysis of complex structures. journal of the Aeronautical Sciences. [10] Bieker, L., Krajzewicz, D., Morra, A., Michelacci, C., & Cartolano, F. (2015). Traffic simulation for all: a real world traffic scenario from the city of Bologna. In Modeling Mobility with Open Data (pp. 47-60). Springer, Cham. 153 <?page no="166"?> 5.2 A Simulation Framework for Vehicle Safety Testing [11] Deutsches Statistisches Bundesamt. DESTATIS https: / / www.destatis.de/ DE/ ZahlenFakten/ Wirtschaftsbereiche/ TransportVerkehr/ Verkehrsunfaelle/ Verkehrsunfaelle.html/ [Accessed: 17.07.17] [12] Krauß, S. (1998). Microscopic modeling of traffic flow: Investigation of collision free vehicle dynamics (Doctoral dissertation). [13] Müller, M., Nadarajan, P., Botsch, M., Utschick, W., Böhmländer, D., & Katzenbogen, S. (2016, November). A statistical learning approach for estimating the reliability of crash severity predictions. In Intelligent Transportation Systems (ITSC), 2016 IEEE 19th International Conference on (pp. 2199- 2206). IEEE. [14] Bakker, E., Nyborg, L., & Pacejka, H. B. (1987). Tyre modelling for use in vehicle dynamics studies (No. 870421). SAE Technical Paper. [15] Baffet, G., Charara, A., & Lechner, D. (2008). Estimation of tire-road forces and vehicle sideslip angle. In Advances in robotics, automation and control. InTech. [16] Appel, H., Krabbel, G., & Vetter, D. (2013). Unfallforschung, Unfallmechanik und Unfallrekonstruktion. Springer-Verlag. [17] Pawlus, W., Karimi, H. R., & Robbersmyr, K. G. (2011). Development of lumped-parameter mathematical models for a vehicle localized impact. Journal of mechanical science and technology, 25(7), 1737-1747. [18] Kübler, L., Gargallo, S., & Elsäßer, K. (2008). Characterization and evaluation of frontal crash pulses with respect to occupant safety. In Airbag. 9th International Symposium and Exhibition on Sophisticated Car Occupant Safety Systems, ICT. [19] Huang, M. (2002). Vehicle crash mechanics. CRC press. [20] Burg, H., & Moser, A. (Eds.). (2009). Handbuch Verkehrsunfallrekonstruktion: Unfallaufnahme, Fahrdynamik, Simulation. Springer-Verlag. [21] DESTATIS, “Verkehr Fachserie 8, Reihe 7, Verkehrsunfälle 2014,” Statistisches Bundesamt, yearly published, Wiesbaden, 2014. 154 <?page no="167"?> 5.3 Method for the efficient testing of future generations of automated driving functions / Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen Holger Znamiec, Björn Reuber, Roman Henze Abstract In this paper, a method for the efficient testing of new automated driving functions is described. This method is an approach to reduce the large expense of testing and validation of new systems in the context of higher automated driving. The developed procedure is designed for the functional testing or the validation of driving functions. Therefore, relevant scenarios have to be identified and described. The test-case generation decomposes the relevant scenarios into a structured and defined amount of test-cases, which later can be executed in simulation, on the testtrack or within field operational tests. Kurzfassung In diesem Beitrag wird ein Verfahren zur effizienten Erprobung neuartiger automatisierter Fahrfunktionen beschrieben. Diese Methodik stellt einen Ansatz dar, den großen Aufwand für die Erprobung und Validierung neuartiger Systeme im Rahmen des höher automatisierten Fahrens zu reduzieren. Die Systematik ist für die Anwendung zur Funktionsprüfung oder die Validierung von Fahrfunktionen entwickelt. Hierfür müssen relevante Szenarien aus dem späteren Anwendungsgebiet identifiziert und beschrieben werden. Die Testfallgenerierung zerlegt anschließend die charakteristischen Szenarien strukturiert zu einer definierten Anzahl von Testfällen, die später in der Simulation, auf Prüfgeländen sowie im öffentlichen Straßenverkehr erprobt werden sollen. 1. Einleitung Heutige Validierungsmethoden für Fahrerassistenzsysteme sind mit hohem Aufwand während der Testdurchführung verbunden, welcher bereits während des Produktentwicklungsprozesses und im Anschluss dessen auftritt. Werden diese Methoden auf das hochautomatisierte Fahren angewendet, resultieren aufgrund der höheren Anzahl involvierter Anwendungsfälle („use-cases“) ein noch höherer Aufwand [1]. Diese können durch die hier entwickelte Methodik, welche ursprünglich auf das funktionale Testen von Fahrfunktionen zugeschnitten ist, signifikant reduziert werden. 155 <?page no="168"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen Dadurch wird eine ökonomische und wichtiger noch sichere Gültigkeit für das Testen automatisierter Fahrfunktionen erreicht. Um den Aufwand für das Testen hochautomatisierter Fahrfunktionen zu reduzieren, sollte der Test auf verschiedenen Testumgebungen, insbesondere Simulation, Prüfgeländen und Tests im realen Straßenverkehr, z.B. auf Autobahnen, übertragen werden. Nach SAE International bezeichnet der Ausdruck hochautomatisierte Fahrfunktionen, automatisierte Fahrsysteme, die Level 3 des automatisierten Fahrens zuzuordnen sind [2]. Neben der Entwicklung der Methodik zur Erprobung neuer Generationen von automatisierten Fahrfunktionen liegt der Fokus dieses Papers auf der Testfallgenerierung, einem Ansatz zur Einteilung generierter Testfälle („test-cases“) auf verschiedene Testumgebungen und einem Testmanager für die effiziente und präzise Durchführung von Tests in der Realität. Das Vorgehend er Gesamtmethodik kann in drei Schritte unterteilt werden: die Szenarienentwicklung, die Testfallgenerierung und im letzten Schritt die Durchführung und Bewertung der Tests. 2. Entwicklung der Methodik Die größte Motivation für die Entwicklung dieser Methodik ist ihre potentielle Verwendung als Richtlinie für Homologationstests, Serienzulassung oder für Verbrauchertests (z.B. Performancebewertungen [3]). Im Sinne funktionaler Tests automatisierter Fahrfunktionen wird das Verhalten eines automatisierten Gesamtsystems in seiner typischen Umgebung beobachtet und im Anschluss bewertet. Der Ausdruck „automatisiertes System“ bezeichnet dabei die Fahrfunktion selbst im Verbund mit dem automatisierten Fahrzeug, welches ganzheitlich getestet werden soll. Als Basis für die Methodik wird das automatisierte System als gegeben angesehen, welches unter Umständen als Prototyp (z.B. „noch nicht fehlerfrei“) aber funktionstüchtig und bereit zum Test als Gesamtsystem vorliegt. Im Folgenden wird der Ausdruck „automatisiertes System“ äquivalent zum Ausdruck „vehicle-under-test“ (VUT) verwendet. Die Fahrfunktion wird in diesem Beitrag beispielhaft durch einen Autobahn Chauffeur beschrieben, der ein automatisiertes System des Levels 3 nach SAE darstellt [2]. Er besitzt die Fähigkeit, Autobahnen automatisiert zu befahren, nahezu alle Anwendungsfälle von der Auffahrt bis zur Abfahrt eingeschlossen. Im Fall des funktionalen Testens eines hochautomatisierten Systems werden im ersten Schritt der Methodik charakteristische Anwendungsfälle des Autobahn Chauffeurs in einen modularen Szenarienkatalog aufgenommen. Dies ist der erste Ansatz der Methodik, da die Vielfalt verschiedener Szenarien, in denen die Funktion unter Umständen genutzt werden könnte, schnell zu einer schwer überschaubaren Menge an Testfällen führen würde [1]. Abbildung 1 veranschaulicht die Hauptschritte der entwickelten Methodik als Flussdiagramm. 156 <?page no="169"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen Abbildung 1: Schematische Übersicht der Methodik Nach der Identifikation der Anwendungsfälle werden diese auf objektive Beschreibungen der benötigten charakteristischen Umgebung reduziert und im weiteren Verlauf als Basis-Szenarios (base-scenarios) bezeichnet. Diese Basis-Szenarios werden zunächst durch eine Sammlung verschiedener generischer Rahmenbedingungen beschrieben, um auf dieser Ebene eine möglichst breite Abdeckung aller möglichen Szenarien zu gewährleisten. Das bedeutet, dass bisher keine konkreten Werte für jede Rahmenbedingung bestimmt worden sind. Der Übergang zu spezifischen Rahmenbedingungen ist ein zentraler Aspekt der Testfallgenerierung. Teil dessen ist eine strukturierte und effiziente Spezifikation und Variation der generischen Rahmenbedingungen. Aus der Kombination mit den Test- Spezifikationen resultieren die verschiedenen Testfälle, die noch den verschiedenen Testumgebungen zugeordnet werden. Die Testfallgenerierung wird gefolgt von der Testdurchführung sowie -bewertung des Verhaltens der Fahrfunktion als Ergebnis der Methodik. Für die Entwicklung der Methodik wurden die folgenden Anforderungen zu Grunde gelegt. Mit zunehmender Komplexität automatisierter Fahrfunktionen werden auch neue und komplexere Anforderungen nicht nur an die Testdurchführung selber, sondern an die Gesamtmethodik an sich gestellt. Diese Anforderungen für die entwickelte Methodik können dabei in Anlehnung an [4],[5] in erstens Effektivitätsanforderungen: - Repräsentativ und valide - Variabel und modular - Beobachtbar und bewertbar und zweitens Effizienzanforderungen: - Ökonomisch - Verständlich und transparent - Vergleichbar und reproduzierbar gegliedert werden. execution, assessment use-cases basescenarios generic parameters scenario development testexecution coordination, management test-cases testspecifications specific parameters test-case generation distribution, test environments test assessment 157 <?page no="170"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen Die zuvor beschriebenen grundsätzlichen Schritte der Methodik für effizientes Testen automatisierter Fahrfunktionen unter Berücksichtigung der hier gestellten Anforderungen werden in den nachfolgenden Kapiteln detailliert erläutert. 3. Szenarienentwicklung Der erste elementare Schritt der Methodik ist die Szenarienentwicklung. Sie verfolgt in der Prozesskette das Ziel, relevante Szenarien für die anschließende Testfallgenerierung zu definieren. Als Startpunkt dafür dient die Funktion des automatisierten Fahrens mit ihrem entsprechenden funktionalen Umfang. Auf Basis dessen werden im nächsten Schritt verschiedene Anwendungsfälle, die das System adressiert, identifiziert. Als Beispiel für einen solchen Anwendungsfall kann hier eine automatisierte Auffahrfunktion für eine Autobahnauffahrt angeführt werden. Auf der nächsten Ebene werden spezifische Basis-Szenarien mithilfe der abgeleiteten Anwendungsfälle beschrieben. In diesem Fall wäre das Basis-Szenario „Autobahnauffahrt“ die dem Anwendungsfall „Auffahren und Einfädeln“ zu Grunde liegende Umfeldbeschreibung. Dies sollte für den weiteren Gebrauch charakterisierbar werden, was durch das Einführen generischer Rahmenbedingungen geschieht. Dafür werden zunächst jedem Basis-Szenario statische und dynamische Rahmenbedingungen zugeordnet. In diesem Kontext beschreiben die statischen Rahmenbedingungen grundsätzlich das stationäre Design eines Szenarios, beispielweise durch die Länge der Autobahnauffahrt, die Verkehrsregulierung im betrachteten Streckenabschnitt oder die Anzahl der vorliegenden Fahrspuren. Um die Effizienz zu erhöhen werden nur solche Rahmenbedingungen in Erwägung gezogen, die einen signifikanten Einfluss auf das zu untersuchende funktionale Verhalten haben. Dies hängt von der angedachten Bewertung und den relevanten Einflüssen involvierter Rahmenbedingungen ab. Der Anspruch, ein Szenario bis ins letzte Detail vollständig zu beschreiben, wird hier nicht weiterverfolgt. Andere Rahmenbedingungen, die bis zu diesem Punkt nicht aufgenommen wurden, sollten für den weiteren Verlauf Werte in einem statistisch durchschnittlichen Intervall aufweisen, um eine gültige Darstellung der Realität zu erzielen. Zusätzlich dazu werden dynamische Rahmenbedingungen berücksichtigt, unter denen alle im Laufe des Szenarios veränderlichen Rahmenbedingungen zusammengefasst sind. In diese Kategorie fallen zum Beispiel die Geschwindigkeiten und Positionen der Objektfahrzeuge innerhalb des Szenarios. Die Gesamtheit der Basis-Szenarien, die mithilfe der Anwendungsfälle identifiziert wurde, wird in tabellarische Form mit den entsprechenden Rahmenbedingungen zusammengefasst. Diese Sammlung wird innerhalb der Methodik als Szenarienkatalog bezeichnet. Mit der Sammlung allgemeiner Szenarien stellt der Szenarienkatalog die entscheidende Basis für die anschließende Testfallgenerierung, in der die allgemeinen Szenarien konkretisiert werden, bereit. Diese Prozesskette ist in Abbildung 2 veranschaulicht. 158 <?page no="171"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen Abbildung 2: Prozesskette der Szenarienentwicklung. Schließlich bleibt zu erwähnen, dass das VUT in dieser Beschreibung nicht spezifiziert wird, da dessen Verhalten Teil der Bewertung ist und daher nicht im Voraus beschrieben werden kann. 4. Testfallgenerierung Aufgabe der Testfallgenerierung ist das Erzeugen einer strukturierten und festgelegten Anzahl an Testfällen anhand der gesammelten Basis-Szenarien, indem Werte einer jeden Rahmenbedingung aus zugehörigen statistischen Verteilungen eingesetzt werden und dadurch sogenannte spezifische Rahmenbedingungen entstehen. Nachdem alle relevanten Szenarien identifiziert und in den modularen Szenarienkatalog aufgenommen wurden, erfolgt eine strukturierte und logische Testfallgenerierung, wobei die Basis-Szenarien durch Spezifikation, Kombination und Variation der Rahmenbedingungen angepasst werden. Die Spezifikation wird innerhalb der statistischen Verteilung jeder Rahmenbedingung auf Basis verschiedener Regeln vorgenommen. Mithilfe dieses Ansatzes kann effizient ein hoher Testumfang erzielt werden. Das Resultat dieser Testfallgenerierung ist eine diverse Verteilung relevanter Testfälle. Um effiziente und vergleichbare Ergebnisse zu erzielen, werden die Testspezifikationen als Teil der Testfallgenerierung definiert. Daher werden Kriterien wie Startbedingungen, Endbedingungen und generelle Testbedingungen für jeden Testfall definiert. Für die Testdurchführung suggeriert die Methodik drei unterschiedliche Testumgebungen: die Simulation, die Realfahrt auf Prüfgeländen und die Realfahrt auf öffentlichen Straßen, insbesondere Autobahnen. 4.1 Testfallgenerierung Im ersten Schritt der Testfallgenerierung werden die statistischen Verteilungen für jede generische Rahmenbedingung identifiziert. Innerhalb dieser Verteilungen findet automated driving function use-cases base-scenarios static parameters dynamic parameters 159 <?page no="172"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen eine strukturierte Variation und Kombination der Rahmenbedingungen statt. Um statische Rahmenbedingungen festzulegen, werden primär reale Charakteristiken verwendet. Beispielsweise werden reale Autobahnauffahrten analysiert, um die Verteilung statischer Rahmenbedingungen wie die Verteilung der Länge von Beschleunigungsstreifen zu erhalten. Zusätzlich werden nationale Richtlinien für den Bau von Autobahnen herangezogen, in denen die Grenzen der Rahmenbedingungen vordefiniert sind [6]. Das Ergebnis ist eine statistische Verteilung innerhalb einer Datenbank für jede einzelne Rahmenbedingung. Auf Basis der dynamischen Rahmenbedingungen wird hauptsächlich das Verhalten der Objektfahrzeuge untersucht. Dies geschieht basierend auf einer Bewertung der am Institut für Fahrzeugtechnik aufgenommenen Messdaten. Mit hochgenauer Referenz-Laserscannersensorik können Daten wie dynamisches Verhalten, Spurwechselverhalten und insbesondere das Distanzverhalten von Fahrzeugen im fließenden Verkehr aufgenommen und später ausgewertet werden. Besonders im Bereich von Autobahnauffahrten hat die Lücke im fließenden Verkehr, in die sich das VUT einfädeln soll, einen entscheidenden Einfluss auf den Erfolg des angestrebten Fahrmanövers. Wenn statistischen Verteilungen für alle Rahmenbedingungen, sowohl statische als auch dynamische, identifiziert sind, beginnt der anspruchsvollste und stets zu verfeinernde Teil der Methodik: die strukturierte Testfallgenerierung. Abbildung 3 zeigt eine beispielhafte Verteilung der Länge von Beschleunigungsstreifen auf einer deutschen Autobahn. Dafür wurden 133 Autobahnauffahrten in einem Testfeld um Frankfurt analysiert. Anhand einer solchen Verteilung wird die Variation des Wertes für eine spezifische Rahmenbedingung vorgenommen. Abbildung 3: Verteilung der Längen von Beschleunigungsstreifen auf einer deutschen Autobahn nahe Frankfurt. Daten von 133 Autobahnauffahrten wurden analysiert. Um den Gesamtaufwand zu reduzierten, muss die Schrittweite pro Rahmenbedingung Bedacht ausgewählt werden. Eine sehr feine Abstufung kann abhängig von der Kombinatorik zu einer sehr hohen Zahl an Testfällen führen. Die Anzahl der Stützpunkte und die Schrittweiter werden durch eine Funktion der physischen Signifikanz der individuellen Rahmenbedingung bestimmt (zum Beispiel besitzt die Lücke im fließenden Verkehr eine feinere Abstufung als die Länge des Beschleunigungsstreifens). Allerdings ist die Testfallgenerierung Teil laufender Forschungsaktivitäten und in ihrer Entwicklung noch nicht finalisiert. Nach der am Institut für Fahrzeugtechnik durchgelength of acceleration lanes length in m frequenzy (∑133) 0 5 10 15 20 25 0 50 100 150 200 250 300 350 400 450 500 550 600 650 700 750 800 850 900 950 1000 160 <?page no="173"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen führten Forschung sowie basierend auf verschiedenster Literatur (bspw. [4],[7]), ist der Einsatz klassische Methoden der Kombinatorik wie Äquivalenzklassenbildung oder Grenzwertanalyse für diese Problemstellung schwierig. Prinzipiell korrespondieren die individuellen Rahmenbedingungen bereits mit den äquivalenten Klassen. Eine Grenzwertanalyse ist hier nur bedingt von Nutzen, da eine Kombination des Extremums einer Rahmenbedingung mit einem anderen bezogen auf eine bestimmte Anwendung nicht notwendigerweise aussagekräftig ist bzw. zu einem realistischen Testfall führt. Die große Herausforderung ist, die Rahmenbedingungen so zu kombinieren und zu variieren, dass eine limitierte Anzahl an realistischen und aussagekräftigen Testfällen erstellt wird, wobei zugleich die Gesamtabdeckung sehr hoch ist. Der Fokus liegt bei der Testfallgenerierung zunächst auf der automatisierten Generierung der Fälle, die mit einer hohen Wahrscheinlichkeit auftreten, wenn eine solche Funktion genutzt wird. Der Ansatz dafür besteht aus der Identifikation eines charakteristischen Falls entsprechend dem Basis-Szenario und der Anpassung anderer Rahmenbedingungen die einen Einfluss auf das Verhalten der Funktion, wie die zuvor beschriebene Lücke im fließenden Verkehr, haben. Daraufhin wird durch eine Daten- und Regelbasierte sowie automatische Testfallgenerierung eine Variation relevanter Grundparameter des charakteristischen Falles vorgenommen. In der Testfallgenerierung werden nur die Rahmenbedingungen definiert, die in der Szenarienentwicklung identifiziert wurden. Rahmenbedingungen, die diese Grundparameter für eine gesamtheitliche Beschreibung eines Szenarios übersteigen, werden auf Standardwerte gesetzt (siehe Kapitel 3). Ein Beispiel dafür wäre die Beschaffenheit Fahrbahnoberfläche. Dieser Aspekt ist durchaus relevant im Sinne einer vollständigen Absicherung, allerdings hat er für die Verifikation der korrekten Funktionalität eher zweitrangige Wichtigkeit. Auf diese Art kann eine Bandbreite von Umgebungsvariablen von Beginn an auf Standardwerte festgelegt werden. 4.2 Prozess der automatisierten Testfallgenerierung Durch Automatisierung kann insbesondere im virtuellen Testen ein enormer Anstieg der Effizienz erzielt werden. Die automatisierte Testfallgenerierung erfolgt in Anlehnung an [8]. Abbildung 4 zeigt den grundsätzlichen Prozess auf verschiedenen Ebenen und somit den Prozess der automatisierten Testfallgenerierung. Durch dieses Design werden Grundparameter auf Basis ihrer Bedeutung und Wichtigkeit voneinander getrennt. Die Variation der individuellen Rahmenbedingungen kann auf einer tieferen Ebene durchgeführt werden und auf bereits definierte Rahmenbedingungen auf höheren Ebenen gestützt werden, sodass ein Baumdiagramm durch Kombinatorik der Rahmenbedingungen schrittweise erstellt wird (siehe Abbildung 5). Auf diesem Weg wird eine hohe Testabdeckung effizient und verständlich erzielt. 161 <?page no="174"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen Abbildung 4: Ebenen der strukturierten automatisierten Testfallgenerierung (nach [8]). Abbildung 4 zeigt die verschiedenen Ebenen der strukturierten Testfallgenerierung. Hinter den individuellen Ebenen befinden sich die Rahmenbedingungen, die im nächsten Schritt innerhalb spezifiziert werden. Diese weitere Regelung hat den großen Vorteil, den Inhalt weiter zu strukturieren, sodass es möglich ist, eine verständliche Anpassung der Rahmenbedingungen auf den Ebenen durchzuführen. Auf jeder Ebene wird eine handhabbare Anzahl von Rahmenbedingungen bestimmt und ein Baumdiagramm wie in Abbildung 5 gezeigt erstellt. Die individuellen Ebenen sollen nachfolgend kurz andiskutiert werden. Abbildung 5: Kombination und Variation von Rahmenbedingungen auf bestimmten Ebenen der strukturierten Testfallgenerierung Abhängig vom Basis-Szenario sind die Topologie und konkrete Streckenführung auf der ersten Ebene durch statische Rahmenbedingungen definiert. Auch an dieser Stelle sei beispielhaft die Länge der Beschleunigungsstreifen erwähnt. Anschließend wird eine situative Anpassung durch weitere statische Rahmenbedingungen der Topologie vorgenommen. Spezielle Eigenschaften wie zum Beispiel die Regulierung der erlaubten Höchstgeschwindigkeit werden aufgestellt. Auf der nächsten Ebene werden die dynamischen Rahmenbedingungen durch die dynamische Anpassung topology situational adaption dynamic adaption par. 1 par. 2 par. 4 par. 3 162 <?page no="175"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen definiert (Anzahl anderer Verkehrsteilnehmer, Lücke im fließenden Verkehr, relative Bezüge, etc.). Nach dem vorherigen Prozess werden die Testspezifikationen für den Testfall erzeugt. Diese sind für jeden Testfall eines Basis-Szenarios größtenteils identisch. Zusätzlich zu den zuvor erwähnten Bedingungen wie Anfangs- und Endwerte, werden auch die Bewertungskriterien für die Evaluation des entsprechenden Testfalls für ein entsprechendes Basis-Szenario spezifiziert. Diese Kriterien sind insbesondere für die Testfallgenerierung am Ende der Methodik von essentieller Bedeutung. Basierend auf den Bewertungskriterien werden letztendlich die Performance oder der zu evaluierende Aspekt der automatisierten Fahrfunktion festgelegt und somit die Vergleichbarkeit des Ergebnisses hergestellt. 4.3 Testfallverteilung Eine Hauptanforderung an die Testfallgenerierung ist das Erstellen der Testfälle unabhängig von der Testumgebung. Mit der Generierung von Testfällen aus Anwendungsfällen liegt bereits eine Systematik vor und die nahezu unendliche Anzahl an Kilometern, um alle relevanten Szenarien im Realverkehr abzudecken kann so nachvollziehbar dargestellt werden. Nichtsdestotrotz ist das Ergebnis der Testfallgenerierung eine große Anzahl an Testfällen, die wiederum durchgeführt werden müssen und wie zuvor mit einer großen Anzahl an Testkilometern verbunden sind. Daher ist die Herausforderung, eine Verteilung der Testfälle auf die entsprechenden Testumgebungen zu realisieren. Abbildung 6 zeigt das Prinzip der Verteilung in dieser Methodik. Abbildung 6: Ansatz zur Verteilung der Testfälle auf unterschiedliche Testumgebungen. Obwohl Simulationen immer realistischer werden, ist das Level der Abstraktion aufgrund der hohen Anzahl relevanter Umgebungsparameter für die Validierung eines Gesamtsystems zu hoch [4]. Nichtsdestotrotz sollte das Langzeitziel für die Reduktion des Aufwandes für Realfahrttests das virtuelle Testen sein. Der Ansatz dieser Methodik ist die Kombination beider Testarten und dadurch die bereits intensive Verringerung des Aufwandes auf dem Weg hin zur rein virtuellen Validierung. Um die Testfälle auf verschiedene Testumgebungen aufzuteilen, wird in der Testfallgenerierung test-cases distribution, test environments 163 <?page no="176"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen eine Testfallklassifizierung („test-case classifier“) vorgenommen, wobei Parameter für die Klassifizierung berechnet werden (siehe Abbildung 6). Diese Parameter stützen sich auf verschiedene Kriterien. Derzeit basiert die Klassifizierung auf den drei folgenden Hauptkriterien: Kritikalität des Testfall, Vereinbarkeit mit der Gesetzgebung und Umsetzbarkeit für die Testfalldurchführung in Bezug auf jede Testumgebung (siehe Abbildung 7). Abbildung 7: Kriterien der Testfallklassifizierung. Die Entwicklung der Zulassungstests betreffend und nicht notwendigerweise Tests aus der Verbraucherperspektive sollten darüber hinaus übergeordnete Kriterien wie Ökonomie und die Qualität der Implementierung berücksichtigt werden, allerdings wurden diese bislang nicht umgesetzt. Die Klassifizierung wird mithilfe eines regelbasierten Modells berechnet, welches einige Subkriterien für die Bewertung jedes Testfalls verwendet. Die Subkriterien sind nahezu identisch mit den Rahmenbedingungen, die das Basis-Szenario beschreiben. Daher wird eine Bewertung für jede Rahmenbedingung definiert. Im Falle der Kritikalitätsbewertung werden Rahmenbedingungen wie die Relativgeschwindigkeit oder Distanzen bewertet. Abbildung 8: Bewertung eines beliebigen Testfalls"n" basieren auf verschieden Kriterien Abbildung 8 zeigt die Bewertung eines Testfalls angesichts einer beispielhaften Anzahl an Subkriterien. Basieren auf diesen kalkulierten Subkriterien kann ein Vorschlag abgegeben werden, den analysierten Testfall in einer bestimmten Testumgebung durchzuführen. In diesem Beispiel ist die Bewertung des Testfalls durch ein criticality feasibility legal aspects distribution by rating crit. 1 crit. 2 crit. 3 crit. 4 crit. 5 crit. 6 crit. 7 crit. x test-case “n“ (e.g. driveway) highway test-track simulation 0 4 6 10 8 164 <?page no="177"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen Netzdiagramm visualisiert. Je mehr sich die Bewertung eines Kriteriums in der Mitte des Diagramms befindet, desto eher kann der Testfall nur im Rahmen einer Simulation durchgeführt werden. Je mehr sich die Bewertung am äußeren Rahmen des Diagramms befindet, desto eher kann der Testfall auf einer öffentlichen Autobahn durchgeführt werden. Der Übergang in der Mitte repräsentiert das Prüfgelände. In diesem Bereich ist nicht immer eine eindeutige Empfehlung möglich. Die effektivste Testumgebung ist die Simulation. Die realistischste Umgebung mit dem geringsten Level an Abstraktion liegt hingegen bei einem Realfahrttest auf einer öffentlichen Autobahn vor. Die Testfallverteilung versucht zwischen diesen gegenüberstehenden Eigenschaften einen Kompromiss zu finden. Zusätzlich dazu kann das Prüfgelände als Testumgebung für Testfälle verwendet werden, in denen eine hohe Reproduzierbarkeit in der Realität von Nöten ist. Nicht alle Testfälle können in der Realität untersucht werden, allerdings sollten solche für die es möglich ist, zusätzlich in der Simulation getestet werden. Dadurch kann der Rahmenbedingungssatz für diese schon „realitätsgeprüften“ Testfälle in der Simulation variiert werden und somit eine höhere Testabdeckung erzielt werden. Dies ist der zentrale Ansatz der Methodik um den hohen Aufwand für in der Realität abgefahrenen Kilometer zu reduzieren. Das Ziel ist es, alle repräsentativen Testfälle in der Realität (auf Prüfgeländen und Autobahnen) zu testen und die Variation der charakteristischen Rahmenbedingungen beispielweise hin zu kritischen Werten in der virtuellen Umgebung durchzuführen. So kann eine überschaubare Anzahl von Testfällen für den Test in der Realität in gewissen Grenzen eine hohe Anzahl virtueller Testfälle abdecken. 5. Testdurchführung und Bewertung In diesem Teil des Beitrags werden die Testdurchführung und Bewertung beschrieben, die auf die Testfallgenerierung folgen. Alle drei Testumgebungen haben unterschiedliche Eigenschaften. Teilweise sind diese, wie zuvor beschrieben, bereits in die Klassifizierung der Testfälle einbezogen. Zusätzlich dazu ist die größte Herausforderung eine exakte Ausführung der Testfälle in der entsprechenden Testumgebung zu garantieren. Dies stellt für die Simulation kein Problem dar, da die Rahmenbedingungen direkt in der Simulationssoftware umgesetzt werden und davon ausgegangen werden kann, dass diese korrekt ausgeführt und eingehalten werden. Auf öffentlichen Straßen kann nur eingeschränkt Einfluss auf die vorgegebenen Rahmenbedingungen genommen werden. Statische Rahmenbedingungen können eingehalten werden, indem das Testfeld und die darauffolgende entsprechende korrekte Auswahl an Szenenelementen (z.B. Autobahnauffahrt) analysiert und dementsprechend ausgewählt werden. Dynamische Rahmenbedingungen können hier kaum beeinflusst werden. Im öffentlichen Straßenverkehr können diese Testfälle nicht reproduzierbar dargestellt werden. In der Realität liegt daher der Fokus auf der reproduzierbaren, exakten Ausführung von Testfällen auf Prüfgeländen. Die wichtigste Voraussetzung ist jedoch, dass die Testfälle nach wie vor nahezu identisch in jeder Testumgebung durchgeführt werden können, um eine hohe Vergleichbarkeit zu erzielen und nur so eine hohe Testabdeckung mit minimalem Aufwand ermöglicht wird. Da die identifizierten Rahmenbedingungen auf Autobahnen kaum beeinflusst werden können, werden die bei Realfahrten auftretenden Rahmenbedingungen aufgezeichnet und anschließend in der Simulation und auf Prüfgeländen rekonstruiert. 165 <?page no="178"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen 5.1 Testdurchführung Ein anderer wichtiger Aspekt der Testmethodik ist die korrekte Durchführung der Testfahrten. Dabei gibt es einige wichtige Voraussetzungen. Daher ist die Koordination der individuellen Testteilnehmer essentiell für eine korrekte Testsequenz. Speziell bedeutet dies, dass sowohl Geschwindigkeit als auch Position aller Objekte relativ zum VUT gemäß den vorgegebenen Kriterien des entsprechenden Testfalls eingehalten werden müssen. Dieser Aspekt beinhaltet zwei Unteraufgaben. Einerseits die angestrebte Bereitstellung von Fahranweisungen an die Objektfahrzeuge für die spezifische Testdurchführung und andererseits die Beobachtung aller notwendigen Bedingungen, die für die Validität des Testfalls essentiell sind. Ein Testmanager-Tool wird für die unkomplizierte und flexible Handhabung dieser Aufgaben verwendet. Sein Funktionsprinzip beruht auf mehreren Schritten. Zunächst wird ein zuvor generierter Testfall, der einen definierten Satz an Rahmenbedingungen enthält, eingelesen und mithilfe eines grafischen Userinterface visualisiert. So kann die Vorbereitung auf einen bestimmten Testfall schnell und einfach durchgeführt werden. Die Beobachtung insbesondere der dynamischen Rahmenbedingungen wird mithilfe hochgenauer Laserscanner vorgenommen, in Hinsicht auf die Ermittlung der Verteilung der dynamischen Rahmenbedingungen. Nun wird diese Technologie eingesetzt, um die genaue Testausführung zu observieren. Weiterhin sind die Objektfahrzeuge mit einer Client Variante des Tools ausgestattet, welches im Verlauf des Testfalls korrespondierende Fahranweisungen empfangen kann. Dies geschieht über kabellosen Kommunikation, abhängig vom jeweiligen Testfall und der Eigenbewegung des VUT. Als Konsequenz dessen können die Objektfahrzeuge ihr Bewegungsverhalten stetig an leichte Abweichungen anpassen, die durch verschiedene Einflüsse auftreten können. Zusätzlich sind Toleranzbereiche definiert, die die leichten Abweichungen vom angedachten Bewegungsablauf der anderen Testteilnehmer auffangen und dadurch eine sofortige Testunterbrechung verhindern. Das zentrale und kontinuierliche Überwachen durch den Testmanager garantiert eine gültige Testausführung, die nach dem Testfall ebenfalls aufgezeichnet wird. Abbildung 9 zeigt das Testmanager-Tool, welches am Institut für Fahrzeugtechnik der TU Braunschweig entwickelt wurde. Der Screenshot zeigt die Überwachung der Geschwindigkeiten und der Lücke zwischen zwei Fahrzeugen, in die das VUT sich einfädeln soll. Für die Koordinierung der Teilnehmer, zeigt das Tool die Anweisungen und die Abweichung von den Zielzuständen der zwei involvierten Objektfahrzeuge. 166 <?page no="179"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen Abbildung 9: Layout des entwickelten Testmanager- und Koordinierungstools für ein „Auffahren und Einfädeln” Szenario 5.2 Testbewertung Die Testbewertung folgt auf die Testdurchführung und legt den Fokus nun auf das VUT. Hierbei wird die funktionale Performance des Tests bewertet. Abhängig vom untersuchten Objekt kann dies auf der Basis verschiedener Kriterien und Detailtiefen geschehen. Ein extrem wichtiges Kriterium ist die Erfüllung gesetzlicher Regularien, da ein Abweichen von diesen sehr wahrscheinlich nicht akzeptabel ist. In diesem Fall wird beispielsweise der benötigte Sicherheitsabstand beurteilt. Weiterhin können diese Kriterien auch dafür verwendet werden alle sicherheitsrelevanten Aspekte zusammenzufassen. Werden diese „harten“ Kriterien nicht erreicht, resultiert in allen Fällen in einem Scheitern des Testfalls, da diese Kategorie von Kriterien entscheidend für die Qualität der Funktion ist. „Weiche“ Kriterien sind darüber hinaus als solche beschrieben, die nicht direkt die Zulässigkeit eines Testfalls beeinflussen, aber von signifikanter Bedeutung sind. Das schließt beispielsweise die Bewertung des Fahrkomforts ein. Konkret könnte ein definierter Prozess des Einfädelns auf eine Autobahn beurteilt werden. Es sollte jedoch mithilfe angemessener Methoden berücksichtigt werden, dass die Bewertung eines solchen Aspekts ein signifikantes Maß subjektiven Empfindens beinhaltet [9],[10]. Eine Bewertung wird innerhalb der Methodik mittels eines parametrisierbaren Bewertungstools durchgeführt, welches abhängig von der Anwendung eine ganzheitliche Evaluation der zu untersuchenden Funktion ermöglicht. So ist ebenfalls eine spezifische Gewichtung der Kriterien möglich. Gleichermaßen kann dieses Tool mit geringem Aufwand durch weitere Kriterien ergänzt werden. 167 <?page no="180"?> 5.3 Methodik für das effiziente Testen zukünftiger Generationen automatisierter Fahrfunktionen 6. Fazit Heutige Validierungsmethoden und Testverfahren von automatisierten Fahrfunktionen führen zu hohem Aufwand aufgrund des hohen Anteils von Tests, die in der Realität durchgeführt werden. Daher wird es immer wichtiger, die existierenden Methoden zu verbessern und neue Prozesse zu entwickeln um die steigende Anzahl verschiedener Szenarien abzudecken sowie zu testen, die von automatisierten Fahrfunktionen adressiert werden. Die entwickelte Methodik folgt dem Ansatz des effizienten Beschreibens modularer Szenarien und kombiniert verschiedene Testumgebungen. Innerhalb dieser Methodik wurde eine Kette von Komponenten und Tools entwickelt um einen effizienten Testprozess für neue Funktionen zu erreichen. Die größten Herausforderungen sind die Definition bestimmter Testfälle und wo diese unter vorgegebenen Voraussetzungen durchzuführen sind. Daher wurde in dieser Methodik eine strukturierte Testfallgenerierung entwickelt. Die entstandenen Testfälle werden anschließend drei verschiedenen Testumgebungen zugeordnet, um die Anzahl der in der Realität gefahrenen Testkilometer zu reduzieren. Im letzten Schritt kann eine exakte Ausführung und Bewertung unter bestimmten Kriterien mithilfe von neuen Tools und Ansätzen, die als Teil dieser ganzheitlichen Methodik vorgestellt wurden, erreicht werden. Literatur [1] Wachenfeld, W., Winner, H.: Die Freigabe des autonomen Fahrens. Autonomes Fahren. Springer Vieweg, 2015. [2] SAE International, online: https: / / www.sae.org/ misc/ pdfs/ automated_driving.pdf, accessed June 2017. [3] Seiniger, P., Weitzel, A.: Testverfahren für Verbraucherschutz und Gesetzgebung, Handbuch Fahrerassistenzsysteme, Springer Vieweg, 2015. [4] Lachmann, R., Schaefer, I.: Herausforderung beim Testen von Fahrerassistenzsystemen. TU Braunschweig, 2015. [5] Breuer, J.: Bewertungsverfahren von Fahrerassistenzsystemen. Handbuch Fahrerassistenzsysteme. Vieweg Teubner, 2012. [6] Forschungsgesellschaft für Strassen- und Verkehrswesen e.V.: Richtlinien für die Anlage von Autobahnen (RAA), FGSV-Verlag, 2008. [7] Saust, F., Müller, T., Marten Wille, J., Maurer, M.: Entwicklungsbegleitendes Simulations- und Testkonzept für autonome Fahrzeuge in städtischen Umgebungen, TU Braunschweig, 2009. [8] Schuldt, F., Lichte, B., Maurer, M., Scholtz, S.: Effiziente systematische Testgenerierung für Fahrerassistenzsysteme in virtuellen Umgebungen, TU Braunschweig, 2014. [9] Bock, T.: Bewertung von Fahrerassistenzsystemen mittels der Vehicle in the Loop-Simulation. Handbuch Fahrerassistenzsysteme. Vieweg Teubner, 2012. [10] Krauns, F., Sonka, A., Henze, R., Küçükay, F.: Objektivierung kombinierter Längs- und Querführung, AAET, 18. Symposium AAET 2017 - Automatisierungssysteme, Assistenzsysteme und eingebettete Systeme für Transportmittel, Braunschweig, 2017. 168 <?page no="181"?> 6 Human Factors and Methods / Human Factors und Methoden 6.1 The highly-immersive driving simulator as a tool for validating and testing of ADAS and automated driving/ Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen Thomas Tüschen, Günther Prokop Abstract With the increasing amount of assisting and automated driving functions, the use of valid driving simulators is becoming more and more crucial. However, the requirements for driving simulators also increase with the required simulation validity. In this paper it is shown, based on a theoretical derivation as well as an exemplary driving scenario, that current state-of-the-art simulators have conceptually difficulties to fulfill these requirements. For this reason a new and highly immersive driving simulator concept is developed at the Technical University Dresden which fulfils the given demands. The new auto.mobile-driving simulator concept eliminates the travel restriction of current driving simulators without affecting the dynamics of the system. The fact that the simulator is based on wheels will vastly improve the quality of simulator studies. Kurzfassung Mit der zunehmenden Entwicklung von assistierenden und automatisierten Fahrfunktionen wird der Einsatz von validen Fahrsimulatoren immer ausschlaggebender. Jedoch steigen mit der erforderlichen Simulationsvalidität auch die Fahrsimulatoranforderungen. Im vorliegenden Beitrag wird theoretisch sowie anhand eines plakativen Beispiels hergeleitet, dass aktuelle Fahrsimulatoren diese Anforderungen konzeptionell nicht erfüllen können. Aufgrund dessen wird an der Technischen Universität Dresden ein neuartiges Fahrsimulatorkonzept entwickelt, welches den gegebenen Anforderungen gerecht wird. Der auto.mobile-driving simulator erlaubt, mit Hilfe eines selbstfahrenden Bewegungsmoduls, seinen Bewegungsraum ohne Einschränkung seiner Systemdynamik an die Anforderungen anzupassen. 169 <?page no="182"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen 1 Motivation Die gegenwärtige Entwicklung in der Automobilindustrie zeigt zwei deutliche Trends auf. Die Entwicklung von automatisierten Fahrfunktionen / Assistenzfunktionen [VDA15] sowie die Virtualisierung des Entwicklungsprozesses [BRA16]. Hierbei stellt insbesondere beim automatisierten/ assistierten Fahren die Einbindung des Fahrers in den Entwicklungsprozess eine neue Herausforderung dar. Während beim vollautomatisierten Fahren (Stufe 5) der Fahrer keine aktive Rolle mehr in der Fahrzeugführung spielt, wechselt bei weniger hoch automatisierten Fahrzeugen die Fahraufgabe zwischen Fahrzeug und Fahrzeugführer [SAE14, VDA15]. In der ausschließlich softwareseitigen Simulation wird das Fahrerverhalten nur simulativ modelliert [MAI17]. Kritische Übergabeszenarien von automatisierten Fahrfunktionen sind so nicht oder nur unzureichend valide darstellbar [MAI15]. Hiermit ist der Einsatz von Driver-in-the-Loop Simulation, respektive Fahrsimulatoren notwendig. Insbesondere trifft dies auf die funktionale Absicherung von assistierenden und automatisierten Fahrfunktionen zu, für die aktuell neue Absicherungsmethoden entwickelt werden [PRO17]. Fahrsimulatoren bieten die einzigartige Möglichkeit, entgegen der ausschließlichen Simulation oder Feldversuchen, Fahrszenarien frei programmierbar, reproduzierbar und sicher darzustellen. Somit stellen sie das theoretisch optimale Entwicklungswerkezeug dar. Der Grund für die aktuell nicht standardisierte Nutzung von Fahrsimulatoren in der Automobilentwicklung kann mit zwei Schwerpunktproblemen angenommen werden. Einerseits die u.U. sehr geringe Immersion (Maßgabe bzgl. der Güte des Eintauchens in eine virtuelle Umgebung [GRA03]) und andererseits der Simulator Sickness [BRO10]. Untersuchungen konnten beispielsweise zeigen, dass Probanden die unter aufkommender Simulator Sickness litten, ihren Fahrstil unbewusst entsprechend einem angenehmeren Fahrgefühl adaptierten [DOM13, SAH13]. Dies wiederum birgt die noch nicht belegbare Gefahr, dass Ergebnisse von Fahrsimulatorstudien durch das unbewusste Fehlverhalten der Probanden u.U. zu falschen Rückschlüsse in der Entwicklung oder Funktionsabsicherung führen. Als Annahme muss formuliert werden, dass Ergebnisse von solch kritischen Fahrsimulatorstudien nicht als generell valide eingestuft werden dürfen. Die Fahrsimulatorindustrie adressiert zwar diese Problematik und den Bedarf nach immersiveren Fahrsimulatoren mit immer komplexeren Systemen [ZEE10, MUR09]. Aber gerade in Hinblick auf die Bewegungssysteme der Fahrsimulatoren liegt zumeist die gleiche Konzeptidee zugrunde, womit ein notwendiger Entwicklungssprung nicht möglich ist und relevante Anforderungen an Fahrsimulatoren unerfüllt bleiben. Sowie notwendige Untersuchungen hinsichtlich der Validität aufgrund fehlender Werkzeuge schwierig sind. 170 <?page no="183"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen 2 Das Werkzeug “Fahrsimulator” 2.1 Bewegungswahrnehmung Der Mensch nimmt Informationen zu seiner Orientierung, Geschwindigkeit sowie Beschleunigung im Raum über unterschiedliche Wahrnehmungsorgane wahr (Tabelle 1). Das Bewegungssystem eines Fahrsimulators stimuliert davon primär die vestibuläre sowie somatosensorische Wahrnehmung. Tabelle 1: Wahrnehmungsorgane nach [FIS09] Auslösender Reiz Rezeptor Wahrgenommene Größe Translation Eigenbewegung vestibulär Beschleunigung Eigenbewegung propriozeptiv Bildänderung visuell Geschwindigkeit Vibrationen somatosensorisch Geräusche auditiv Bild visuell Position Rotation Eigenbewegung vestibulär Drehbeschleunigung Eigenbewegung vestibulär Drehgeschwindigkeit Bildänderung visuell Bild visuell Orientierung Körperlage propriozeptiv Dabei identifiziert nicht ein Organ allein die eineindeutige Position und Bewegung im Raum, sondern die einzelnen Signale werden im Gehirn zu einer Bewegungsempfindung fusioniert. Wie und vor allem mit welcher Gewichtung die Informationsfusion exakt funktioniert, wird noch erforscht. Tabelle 1 ist z.B. zu entnehmen, dass die Beschleunigungswahrnehmung nicht durch das Auge erfolgt, sondern diese vorrangig durch das somatosensorische sowie vestibuläre System wahrgenommen wird. [FIS09] Grundsätzlich bedeutet das für die Bewegungswahrnehmung des Menschen, dass eine gewisse Diskrepanz in den Signalen, wie z.B. zu einander abweichende Informationen, vom Gehirn über quasi redundante Wahrnehmungssysteme kompensiert werden kann. Wiederum kann es bei einer zu großen Unstimmigkeit einzelner Bewegungsinformationen, z.B. aufgrund einer Asynchronität der Signale, zu einem Unwohlsein bis hin zur Übelkeit (Simulator Sickness) kommen. [STE98, PUR08] Ferner hat das menschliche Wahrnehmungssystem Schwächen, welche für den Betrieb von Simulatoren sehr relevant sind und ihren Einsatz überhaupt erst ermöglichen. Dem Vestibularorgan ist es z.B. nicht immer eindeutig möglich Drehbewegungen um die Quer- und Längsachse von translatorischen Beschleunigungen zu differenzieren. Des Weiteren kann das Vestibularorgan, in Abhängigkeit der kognitiven 171 <?page no="184"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen Auslastung sowie Umgebungseinflüssen, Beschleunigungen unterhalb der Wahrnehmungsschwellen des Menschen nicht wahrnehmen [PUR08]. Aufgrund dessen, dass die menschliche Wahrnehmung nicht deterministisch beschrieben werden kann, ist eine eindeutige Quantifizierung der Wahrnehmungsfehler nicht möglich. Dennoch konnte eine für den Einsatz von Fahrsimulatoren allgemein anerkannte Wahrnehmungsschwelle (absolut) von rotatorische Geschwindigkeiten von 6 o / s identifiziert werden. [JAM12, NES12, FAN14, FLO15, COL15] 2.2 Funktionsweise Fahrsimulatoren 2.2.1 Allgemeine Fahrsimulatorstruktur Die grundlegende Aufgabe eines Fahrsimulators ist die möglichst reale Nachbildung der auf den Menschen wirkenden Stimuli der simulierten Fahrzeuganwendung. Eine eindeutige Definition welche Darstellungsmöglichkeiten und -güte ein Fahrsimulator im Allgemeinen aufweisen muss, existiert nicht und wird primär durch die zu untersuchende Fragestellung getrieben. Daraus resultieren unterschiedliche Beschreibungen, welchen Umfang ein Fahrsimulator aufweisen muss und welche Untersuchungen auf diesem valide durchführbar sind. Bild 1: Darstellungssysteme Fahrsimulator 172 <?page no="185"?> Eine al Sie bei struktu lisierun Schem zeiten e t 1 : Fa t 2 : A / Umw t 3 : S mati t 4 : U Fahrsim stellend toren o dynam teme s den. 2.2.2 Die Tilt Differen Proban die Gra Schwäc rische sugger den ge Richtun 20 − 30 6.1 Der hoc llgemeine inhaltet de r. Diese w ngs-, dem A atisch kan einzelner S ahrer Input Aufnahmeweltsimula Simulation onen an B Umsetzung mulatortype den System oder Bildsc ischer Fah sind, desto Tilt-Coordi t-Coordina nzierung v nd im Simu avitationsk che des ve Beschleun riert. Somit efühlt zu ng. MITTE 0° Neigung chimmersive von Assiste und umfas en Fahrer, iederum is Audio- und nn der Sign Systeme, w t -Verarbeitu ation des Ego-F Bewegungs g der Darst en können me können chirme), ab hrsimulator o höher ka ination Tec ation Techn von transla ulator (inkl raft eine estibulären nigung und t ergibt sic , = ∙ s ELSTÄDT [ gswinkel bz Bild e Fahrsimulat nzfunktionen ssende Fa die Fahrze st in ihre D d Bewegun nalablauf, o wie folgt da ung Fahrer Fahrzeugve ssystem tellungsinfo n im Allgem n sich unte ber auch z r). Je umfa nn die Imm chnik nik nutzt e atorischen . Visualisie e auf den P n Systems d dem Pro ch (Annahm sin = ; [MIT83] sc zw. _ d 2: Tilt-Co tor als Werkz n und automa ahrsimulato eug-/ Umwe Darstellungs ngssystem. ohne Berü argestellt w reingabe u erhaltens, ormationen meinen se erscheiden zum Teil k angreicher mersion de eine vestib und rotato erungssyst Probanden interpretie obanden w me kleine ; , = − chränkt die = 3,4 − 4 oordination zeug zur Abs atisierten Fa or-Wirkstru eltsimulatio ssysteme . ücksichtigu werden. nd Überga der Umwe n und Wah ehr untersc (z.B. eine komplett en r und quali es Fahrsim bulären Wa orischen B tem) um d wirkende ert die Neig wird eine L Winkel) di − ∙ cos ≈ esen Effekt 4,9 ⁄ e n nach [FIS sicherung un hrfunktionen ktur ist in on sowie d untergeglie ng von pot abe an Fah elt und Übe hrnehmung chiedlich a Visualisie ntfallen (z. itativer die mulators an ahrnehmun Beschleunig en Winkel Kompon gung demn Längs-/ Que ie Neigung ≈ − . Dies t bis zu m ein. S09] nd Bewertung n Bild 1 darg die Fahrsim edert: dem tenziellen hrzeugergabe der g durch Fa ausfallen. D erung über .B. statisch e Darstellu ngenomme ngsschwäc gungen. W l geneigt nente (Bild nach als tra erbeschleu g für den P s gilt analo maximal g gestellt. mulatorm Visua- Latenzr Inforhrer Die dar- Projekher und ngssysen werche der Wird der t, erhält d 2). Die anslatounigung Probanog in - _ = 173 <?page no="186"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen Eine weitere und elementarere Einschränkung ist die Winkelgeschwindigkeit der Neigung. Damit der Proband das Tilt-Coordination nur als translatorische Beschleunigung wahrnimmt, muss die Neigungsänderung unterhalb der Wahrnehmungsschwelle des Probanden liegen. Bei der Nutzung von Tilt-Coordination in Fahrsimulatoren, wird das Bild (bzw. die Projektionsfläche) mit dem Probanden geneigt. Dies führt dazu, dass der Mensch seine Neigung nicht visuell wahrnimmt. Wenn die Neigungsgeschwindigkeit oberhalb der Wahrnehmungsschwelle liegt, kann es, aufgrund der widersprüchlichen Informationen der Sinnesorgane, zum Unwohlsein des Probanden führen (Simulator Sickness). Unter Berücksichtigung der Wahrnehmungsschwelle von _ 6 °⁄ (siehe 2.1) ergibt sich somit eine maximale Änderung der Tilt-Coordination Beschleunigung von _ · sin 6 °⁄ 0,85 ⁄ . Kurz gefasst. das Tilt-Coordination wird eingesetzt, um den Arbeitsraum des Simulators maßgeblich zu reduzieren. Entweder indem aktiv eine Beschleunigung durch das Neigen des Probanden simuliert wird oder über Kompensationsbeschleunigungen, welche für die Rückführung des Simulators auf eine Ausgangsposition genutzt werden. 2.2.3 Motion Cueing Algortihmus Unter Zuhilfenahme von Wahrnehmungsschwächen des Vestibularsystems ist es möglich die darzustellenden Beschleunigungen im Fahrsimulator zu skalieren (allgemein gebräuchliche Skalierungsfaktoren 0,5 0,7) sowie über sublementierende Bewegungen (Tilt-Coordination) darzustellen. Trotz dieser kalkulierten Fehleindrücke, nimmt der Proband die Bewegungsdarstellung noch als real wahr. [FIS09] Dies erlaubt eine Reduzierung des notwendigen Bewegungsraums des Fahrsimulators sowie der zu simulierende Fahrdynamik. Diese Anpassung der Bewegungsdarstellung sowie deren Aufteilung auf die jeweiligen Darstellungssystem werden im Motion Cueing Algorithmus oder auch Motion Filter umgesetzt (siehe beispielsweise Figue 7). Des Weiteren führt dieser den Simulator wieder in seine Ausgangsstellung zurück, um den maximal verfügbaren Bewegungsraum zur Verfügung stellen zu können. 2.3 State-of-the-Art Fahrsimulatoren Der Großteil der in der Automobilindustrie verwendeten Fahrsimulatoren besitzt ein sehr ähnliches Systemdesign. Das Kernelement des Bewegungssystems stellt eine Parallel-Kinematik dar, welche zumeist als Hexapod ausgeführt ist [STO06]. Der Hexapod ermöglicht, in Abhängigkeit der installierten Zylinderlängen, eingeschränkte Bewegungen von jeweils drei rotatorischen und translatorischen Freiheitsgraden (FHG). Auf diesem ist ein Visualisierungsdom angebracht, in dem ein Fahrzeug-Mockup sowie die visuelle und akustische Außendarstellung installiert ist. 174 <?page no="187"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen Dieser Typ von Fahrsimulatoren hat den konzeptionellen Nachteil des sehr beschränkten Bewegungsraums. Selbst bei großen Hexapoden liegt dieser maximal im Bereich von 1 - 2 m [STO06]. Aufgrund dessen muss ein möglichst hoher Beschleunigungsanteil über das Tilt-Coordination realisieren werden. Was wiederum zu Fehlwahrnehmungen sowie im schlimmsten Fall zur Simulator Sickness führen kann. Aufgrund des aufgeführten Problems werden Hexapoden bei High-end Fahrsimulatoren mit einem einfachen oder auch doppelten Schienensystem erweitert (Bild 3) [ZEE10, MUR09]. Somit ist eine Erweiterung des Bewegungssystems in Abhängigkeit der installierten Schienenlänge möglich. Bild 3: links: Daimler [ZEE10]; rechts: Toyota [MUR09] 3 Kritische Anforderungen an Fahrsimulatoren Die fahrdynamisch kritischen Anforderungen an das Bewegungssystem von Fahrsimulatoren können in zwei Kategorien unterteil werden. Einerseits stellen niederfrequente bzw. dauerhafte Beschleunigungen mit einer mittleren bis hohen Amplitude ein Problem für Fahrsimulatoren dar (Bild 4). Diese treten in schnellen und langen Kurvenfahrten auf, wie z.B. der Zu-/ Auffahrt einer Autobahn oder einem sicherheitskritischen Bremsmanöver aus hohen Geschwindigkeiten bis hin zum Stilltand. Um diese Manöver im Fahrsimulator realistisch nachzubilden, braucht dieser entweder einen sehr großen Bewegungsraum oder muss den Hauptbestandteil der Beschleunigungen über das Tilt-Coordination darstellen. Bild 4: Niederfrequente Fahrmanöver 175 <?page no="188"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen Die zweite kritische Anforderung sind hochfrequente Beschleunigungen mit großen Amplituden. Beispielhaft können sicherheitskritische Ausweichmanöver genannt werden, wie z.B. dem ISO Lane Change (Bild 5). Des Weiteren können auch in urbanen Fahrsituationen, wie einer schnell durchfahrenen 90°-Kurve, hochfrequente Beschleunigungen mit großen Amplituden auftreten. Insbesondere in Bezug auf die letzten genannten Fahrmanöver ist zusätzlich zu beachten, dass entsprechend des gefahrenen Kurvenradius eine starke Gierbewegung simuliert werden muss. Diese muss durch das Bewegungssystem des Fahrsimulators darstellbar sein. Bild 5: Höherfrequente Fahrmanöver 4 Projektion Anforderungen auf bestehende Fahrsimulatorkonzepte 4.1 Theoretische Betrachtung Beim Tilt-Coordination ist es wichtig, dieses unterhalb der menschlichen Wahrnehmungsschwellen zu betreiben. Andernfalls nimmt es der Proband als Fehldarstellung wahr, was im schlimmsten Fall zu Simulator Sickness führen kann. Wie in Kapitel 2.2.2. dargestellt, wird das Tilt-Coordination durch den maximalen Tilt-Winkel ( _ 20 30°) sowie Tilt-Winkelgeschwindigkeit ( _ 6 °⁄ ) eingeschränkt. Dies wiederum erlaubt eine maximal dargestellte Beschleunigung von _ 3,4 4,9 ⁄ und eine maximale Beschleunigungsänderung von _ 0,85 ⁄ . Unter der vereinfachenden Annahme einer harmonischen Schwingung als Simulatoreingangssignal, kann die maximal darstellbare Frequenz ( _ ) der darzustellenden Beschleunigung ( _ 4,9 ⁄ ) über das Tilt-Coordination nach BETZ wie folgt berechnet werden [BET15]: Zur Darstellung von Beschleunigungsänderungen über 0.033Hz reicht der ausschließliche Einsatz von Tilt-Coordination nicht aus und muss mit einer realen translatorischen Beschleunigung (z.B. Hexapod, Schlitten) überlagert werden. Hieraus _ 2 _ _ 0.033 (1) 176 <?page no="189"?> wiederu Coordin Aufgrun raumgr einem (Bild 6) ringen Die Erw de abe tors ste zu eine Hexapo xapods wendig Da abe reichen den. D muss d ten von Allein f Kraftbe raums gewich wäre. [T 6.1 Der hoc um resultie nation eine nd der da röße auf e einschlittig ). Der vorr Gierbeweg Bild weiterung er das folge eigt mit de em deutlic od Kombin s von ge Antriebs er ein einfa nd ist, mus a der erst dieser nun n = 1 für die Bew edarf des S auf ±111 ts so zune TUE16a] chimmersive von Assiste ert, dass d en Arbeitsr arzustellend in zweiach gen Syste rangige Ein gungen z.B d 6: Fehlpo eines zwe ende Prob er Schlitten ch erhöhte nation, mit = 4 , ber skraft für di aches Schl ss das gew te Schlitten mitbeweg 16 resultie wegung de Simulators würde d ehmen, da = ± , = e Fahrsimulat nzfunktionen ie Darstell raum der G den Gierb hsiges Sch em [z.B.ZE nsatz von B. Autobah ositionierun ifachen Sc blem impliz nlänge und en Kraftbe einer Schl rechnet sic ie Bewegu ittensystem wählte Bei n (inkl. He gt werden. ert daraus e es zweiten um den F der Kraftbe ass der Be _ = ± _ (2 = = ( tor als Werkz n und automa ung der Be Größe (± ) ewegung hienensyste EE10] zu einschlittig hnfahrten. ng Einschli chienensys zieren. Die d führt so, edarf. Am littenlänge ch für die ung auf ein m für den a spiel um e exapod) au Bei einer ein Kraftbe n Schlittens Faktor 5. B edarf in A etrieb tech ± _ ∗ _ ∗ = ) ∗ zeug zur Abs atisierten Fa eschleunig benötigt. bezieht si em. Da ein einer Feh gen System [TUE16a] ittiges Sys stems auf e bewegte bei gleich m Beispiel von 15 u Beschleun em Schlitte allgemeine einen zwe uf dem zwe Gewichtsa edarf von: s mit einer ei einer Er bhängigke hnisch wie ⁄ 2 ) ≈ ±111 19.62 = 98. sicherung un hrfunktionen gung ( _ ch die be ne große G hlausrichtu men sind S tem [TUE1 die benöti Gesamtm bleibender einer ein und einem nigung en wie folg en Auslegu iten Schlitt eiten Schli annahme d r Länge vo rweiterung it der Sch wirtschaft 1 1 nd Bewertung n ) über d erechnete A Gierbeweg ng führen Szenarien 16a] gten ±111 asse des r Systemdy nfachen Sc m Gewicht d = 0,5 gt: ungsfall nic ten erweite itten instal des ersten on 15 st des Bewe hlittenlänge tlich nicht g das Tilt- Arbeitsung auf n würde mit ge- 1 wür- Simulaynamik, chlittendes Hedie notcht ausert werlliert ist, n Schliteigt der egungse bzw. sinnvoll (2) (3) (4) 177 <?page no="190"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen 4.2 Praktische Betrachtung 4.2.1 Aufbau der praktischen Betrachtung Da die vorangegangene theoretische Betrachtung stark vereinfacht ist, wird folgend die Problematik anhand eines praktischen Beispiels erörtert. Hierfür wird zunächst ein häufig genutzter „Standard“ Motion Cueing Algorithmus eines 8 FHG Systems (Hexapod mit doppeltem Schienen System wie z.B. Bild 3: rechts) aufgebaut. Dieser kann mit zwei unterschiedlichen Sets parametriert werden (Tabelle 2), womit die Aufteilung der translatorischen Beschleunigung auf die Darstellungssysteme (Hexapod, Schienensystem, Tilt-Coordination) angepasst werden kann. Als Eingangsdaten dient ein Fahrszenario, in dem ein verbrennungsmotorisches Mittelklassefahrzeug aus dem Stand auf 120 ⁄ beschleunigt und nach Erreichen der Zielgeschwindigkeit einen ISO Spurwechsel vollzieht. 4.2.2 Genutzter Motion Cueing Algorithmus Folgend ist eine vereinfachte Version des 8 FHG Motion Cueing Algorithmus (kurz MCA) nach FISCHER [FIS11] modelliert (Bild 7). Als Eingangswerte des MCA dienen die Längs- und Querbeschleunigung ( ; ) sowie Gierrate ( ) des simulierten Fahrzeugs. Die Gierrate wird lediglich skaliert und vom Simulator direkt umgesetzt. Die Längs- und Querbeschleunigungen werden hingegen mittels einer Kombination von Hochpässen auf die einzelnen Darstellungssysteme verteilt. Dabei werden die hochfrequenten Beschleunigungsanteile durch die translatorische Bewegung des Hexapods dargestellt; die mittleren Frequenzanteile über das Schlittensystem und die niederfrequenten Anteile über das Tilt- Coordination. Des Weiteren werden die einzelnen Systeme wieder in ihre Ausgangslage zurückgeführt und eine Kompensationsbewegung über das nächst trägere Darstellungssystem ausgeführt. Die folgenden Vereinfachungen wurden im 8 FHG MCA getroffen: das System kann frei gieren die Darstellung von Längs- und Querdynamik erfolgt analog zueinander die Darstellung von Nick-,Wank- und Hubbewegungen werden vernachlässigt 178 <?page no="191"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen Bild 7: 8 FHG MCA nach [FIS11] Die Parametrierung des 8 FHG MCA erfolgt mit den in Tabelle 2 dargestellten Größen. Das Filterparameter Set 1 entspricht der Empfehlung nach FISCHER [FIS11] für ein 8 FHG System. Das Filterparameter Set 2 stellt die hier vorgenommene Anpassung hinsichtlich eines wahrnehmungsoptimierten Tilt-Coordination dar. Tabelle 2: 8 FHG MCA Parametrierung Block Typ Parameter Set 1 [FIS11] Set 2 H mf Hochpass 1.Ordnung ⁄ ] 4 4 H lf Hochpass 2.Ordnung ⁄ ] 0,65 0,05 H hw Hochpass 2.Ordnung ⁄ ] 0,5 0,5 H sw Hochpass 2.Ordnung ⁄ ] 0,1 0,1 Block Funktion L IS Transformationsmatrix: Inertialauf Fahrersystem L SI Transformationsmatrix: Fahrerauf Inertialsystem Scale Skalierung mit Faktor 0,6 (üblicher Faktor bei MCA) Tilt Coord sin ; sin 4.2.3 Ergebnis Parameter Set1 In Bild 8 sind die Eingangsgrößen des MCA dargestellt sowie dessen Ausgangsgrößen, welche in Summe die Eingangsgrößen ergeben. Des Weiteren ist der benötigte Arbeitsraum des Hexapods sowie des Schlittensystems dargestellt. Zusätzlich zur Tilt-Coordination Beschleunigung (korreliert zum Tilt-Winkel) ist die kritische Tilt-Winkelbeschleunigung für Längs- und Querrrichtung dargestellt. Im Diagramm in blau verzeichnet sind die positive und negative Wahrnehmungsschwelle 179 <?page no="192"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen der Tiltbzw. Neigungsgeschwindigkeit. Prinzipiell darf dieses Limit für eine realistisch wahrgenommene Beschleunigung (siehe Kapitel 2.2.2 und 4.1) betragsmäßig nicht vom Tilt-Coordination überschritten werden. Mit dem hier genutzten Parameter- Set wird dieses Limit jedoch um bis zu 500% überstiegen. Bild 8: 8 FHG MCA Set 1 Beschleunigungen und Arbeitsraum 180 <?page no="193"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen 4.2.4 Ergebnis Parameter Set2 Bild 9 entspricht inhaltlich Bild 8. Das Parameter Set 2 ist hingegen so gestaltet, dass die Wahrnehmungsschwellen bzw. die Limits der Tilt-Coordinationen Winkelgeschwindigkeit nicht überschritten werden. Dies führt zu einer erheblichen Erweiterung des Schlittenarbeitsraum um 22 bzw. von 1000%. Bild 9: 8 FHG MCA Set 2 Beschleunigungen und Arbeitsraum 181 <?page no="194"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen 4.2.5 Schlussfolgerung Deutlich im Vergleich der zwei Parameter Sets zu erkennen, ist der erweiterte Arbeitsraumbedarf bei Einhaltung der Wahrnehmungsschwellen bzw. Tilt-Coordination Limits. Dies korreliert auch mit den Ergebnissen der theoretischen Betrachtung bzgl. des Einsatzes von Tilt-Coordination. In Abhängigkeit des eingesetzten Fahrsimulators und der verbauten Hardware können die eingesetzten MCA hinsichtlich des zur Verfügung stehenden Arbeitsraums optimiert werden und diesen besser nutzen, als hier dargestellt. Dennoch ermöglichen auch diese Anpassungen nicht die allgemeingültige Einhaltung der Tilt- Coordination Limits ohne eine erhebliche Erweiterung des Arbeitsraums. Kurz gefasst, das Tilt-Coordination kann nur in einem niedrigen Frequenzbereich eingesetzt werden kann. Dies wiederum bedarf eines großen Arbeitsraums, welchen aktuelle Fahrsimulatoren nicht bieten können. Womit die Wahrnehmungsschwellen bewusst verletzt werden müssen und das Risiko einer nicht validen Simulation in Kauf genommen werden muss. 5 “auto.mobile-driving simulator” Bild 10: auto.mobile-driving simulator [AMS17] 182 <?page no="195"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen Im Unterschied zu herkömmlichen Fahrsimulatoren wird der auto-mobile.driving simulator (Bild 10) [TUE16a, TUE16b] im wörtlichen Sinne als automobiles Versuchsfahrzeug ausgeführt, welches sich auf einer ebenen Fläche ungebunden bewegen kann. Die ebene Bewegung des Fahrsimulators auf der Fahrfläche wird mittels vier elektrisch angetriebenen, lenkbaren Radpaaren realisiert. Durch eine entsprechende Ausrichtung des Simulators und des darin installierten Fahrzeugcockpits, lassen sich die auf den Fahrer wirkenden Längs- und Querbeschleunigungen sowie ein freies Gieren abbilden. Die dem Fahrer zu vermittelnden Nick-, Wank- und Hub- Bewegungen werden über Aktuatoren unter dem Fahrzeugcockpit erzeugt. Somit erlaubt das neuartige auto-mobile.driving simulator Konzept eine realitätsgetreue Simulation des dynamischen Fahrverhaltens. Um selbst bei hochdynamischen Fahrmanövern eine zuverlässige Kraftübertragung der Reifen an die Fahrbahn zu gewährleisten, ist der Einsatz eines speziellen Fahrwerks erforderlich. Des Weiteren kann vor allem auf Freiflächen nicht garantiert werden kann, dass die Fahrbahn keine Unebenheiten wie z.B. Gullydeckel oder Fugen aufweist. Diese unerwünschten Erregungen, welche die Wahrnehmung des Probanden beeinflussen würden, müssen unterbunden werden. Hierfür steht dem automobile.driving simulator eine einzigartige und komplexe zweistufige Fahrwerkskinematik zur Verfügung. Die Simulationskuppel dient der Visualisierung des Fahrmanövers sowie der Einbringung eines variablen Cockpits, welches an das simulierte Auto frei angepasst werden kann. Dank der Variabilität der Simulationsumgebung ist es so möglich, unterschiedliche Fahrzeuge im auto-mobile.driving simulator zu simulieren und dabei die Fahrer-Fahrzeug-Interaktion realitätsgetreu abzubilden. Im Konzept des auto-mobile.driving simulator ist sowohl die Anwendung in einer speziellen Halle, als auch auf geeigneten Fahrflächen im Freien vorgesehen. Durch die Nutzung des Simulators auf einer Freifläche kann der zur Verfügung stehende Bewegungsraum für spezielle Anforderungen expandiert werden. Somit lassen sich selbst außergewöhnliche Fahrmanöver, hochqualitativ darstellen. 6 Zusammenfassung Da beim Einsatz von automatisierten und assistierenden Fahrfunktionen die Übergabe der Fahraufgabe zwischen Mensch und Fahrzeug sicherheitsrelevant ist, steht der Mensch immer weiter im Entwicklungsfokus der Automobilindustrie. Dadurch wird auch der Einsatz von Fahrsimulatoren immer wichtiger. Insbesondere die Validität und Vergleichbarkeit von Simulatorstudien sind aktuell aber noch große Kritikpunkte hinsichtlich des Einsatzes von Fahrsimulatoren. Dies kann primär darauf zurückgeführt werden, dass herkömmliche Fahrsimulatoren in ihrem Arbeitsraum stark eingeschränkt sind und somit übermäßig auf kompensierende und unnatürliche Bewegungsdarstellungen zurückgreifen müssen. Ein Verzicht dieser ungewollten Kompensationsbewegungen würde aber einen deutlich größeren Arbeitsraum benötigen. Am Beispiel einer Beschleunigung auf 120 ⁄ und einem anschließenden Spurwechsel konnte gezeigt werden, dass eine Erweiterung des Arbeitsraum von 22 notwendig wäre, um eine „realistische“ Bewegungsdarstellung zu ermöglichen. Eine solche Erweiterung würde aber im Gegenzug die Systemdynamik unzulänglich beinträchtigen. 183 <?page no="196"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen Da aktuelle Fahrsimulatoren den Ansprüchen der gegenwärtigen und vor allem zukünftigen Fahrzeugentwicklung nicht genügen, wurde an der TU Dresden ein neuartiges Fahrsimulatorkonzept entwickelt. Dieses basiert auf einem selbstfahrenden Aufbau, welcher stationär nicht in seinem Arbeitsraum beschränkt ist. Somit kann der Bewegungsraum und damit auch die Qualität/ Validität der Simulation in Abhängigkeit der zur Verfügung stehenden Fahrfläche ohne Einbußen der Systemdynamik erhöht werden. Literatur [AMS17] AMST Systemtechnik GmbH (2017). www.drivingsimulator.de [BET15] Betz A. (2015). Feasibility Analysis and Design of Wheeled Mobile Driving Simulators for Urban Traffic Simulation. PhD Thesis, Darmstadt [BRA16] H.H. Braess, I. D. I. E., Breitling, I. T., Weissinger, J., Grawunder, D. I. N., Hackenberg, I. U., Liskowsky, I. V., & Widmann, I. U. (2016). Produktentstehungsprozess. In Vieweg Handbuch Kraftfahrzeugtechnik (pp. 1257-1369). Springer Fachmedien Wiesbaden. [BRO10] Brooks, J. O., Goodenough, R. R., Crisler, M. C., Klein, N. D., Alley, R. L., Koon, B. Logan W., Ogle J., Tyrrell R., Wills, R. F. (2010). Simulator sickness during driving simulation studies. Accident Analysis & Prevention, 42(3), 788-796. [CAR12] Carsten, O., Lai, F. C., Barnard, Y., Jamson, A. H., & Merat, N. (2012). Control task substitution in semiautomated driving: Does it matter what aspects are automated? . Human factors, 54(5), 747-761. [COL15] Colombet, F.; Fang, Z.; Kemeny, A. (2015). Pitch tilt rendering for an 8- DOF driving simulator, Proceedings of the Driving Simulation Conference Europe 2015, pp.55, Stuttgart, Germany [DOM13] Domeyer, J. E., Cassavaugh, N. D., & Backs, R. W. (2013). The use of adaptation to reduce simulator sickness in driving assessment and research. Accident Analysis & Prevention, 53, 127-132 [FAN14] Fang, Z.; Colombet, F.; Collinet, J.-C.; Kemeny, A. (2014). Roll Tilt Thresholds for 8 DOF Driving Simulator. Proceedings Driving Simulator Conference 2014, Paris [FIS09] Fischer, M. (2009). Motion-cueing-algorithmen für eine realitätsnahe bewegungssimulation. Berichte aus dem DLR-Institut für Verkehrssystemtechnik, 5. [FIS11] Fischer, M., Sehammar, H., & Palmkvist, G. (2011). Applied motion cueing strategies for three different types of motion systems. Journal of Computing and Information Science in Engineering, 11(4) [FLO15] Colombet, F.; Fang, Z.; Kemeny, A. (2015). Pitch tilt rendering for an 8- DOF driving simulator. Proceedings Driving Simulator Conference 2015, Tübingen [GRA03] Grau, O. (2003). Virtual Art: from illusion to immersion. MIT press [JAM12] Jamson, A. H. (2012). An optimisation of Classical motion cueing in the University of Leeds Driving Simulator. Proceedings Driving Simulator Conference 2012, Paris 184 <?page no="197"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen [LAR14] Larrson, A. F. L.; Kirchner, K.; A.; Hultgren, J. (2014). Learning from Experience: Familiarity with ACC and Responding to a Cut-in Situation in Automated Driving. Transportation Research Part F: Traffic Psychology and Behaviour, pp. 229-237 [MAI15] Mai, M., Tüschen, T., & Prokop, G. (2015). A physiological based Driver Model for longitudinal Vehicle Guidance and its Challenges in Validation. In FAST-zero'15: 3rd International Symposium on Future Active Safety Technology Toward zero traffic accidents, 2015. [MAI17] Mai, M. (2017). Fahrerverhaltensmodellierung für die prospektive, stochastische Wirksamkeitsbewertung von Fahrerassistenzsystemen der Aktiven Fahrzeugsicherheit. Dissertation, Dresden [MER14] Merat, N., Jamson, A. H., Lai, F. C., Daly, M., & Carsten, O. M. (2014). Transition to Manual: Driver Behaviour when Resuming Control from a Highly Automated Vehicle Transportation Research Part F: Traffic Psychology and Behaviour, pp. 274-282,. [MIT83] Mittelstädt, H. (1983). A new solution to the problem of the subjective vertical. Naturwissenschaften, Bd. Volume 70, Nr. Issue 6, pp. 272-281. [MUR09] Murano, T; Yonekawa, T; Nagiri, S. (2009) Development of High- Performance Driving Simulator. SAE Int J. Passeng Cars. Mech Syst 2. [Nes12] Nesti A., Masone C., Barnett-Cowan M., Giordano P., Bulthoff H., Pretto P. (2014). Roll rate thresholds and perceived realism in driving simulation. Proceedings Driving Simulator Conference 2014, Paris [PRO17] Prokop, G.; Köbe, M. (2017). Methodology for Effectiveness Assessment of Road Safety Functions Proceedings IEDAS 2017 - Active Safety And Automated Driving, Essen, Germany [PUR08] Purves, D.; Augustine, G.; Fitzpatrick, D.; Hall, W.; LaMantia, A.-S.; McNamara, J.; Williams, S. (2008). Neuroscience 4th ed.; Sunderland, Mass. : Sinauer Associates [SAE14] On-road Automated Vehicle Standards Committee (2014). SAE J3016: Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems. SAE International [SAH13] Sahami, S., & Sayed, T. (2013). How drivers adapt to drive in driving simulator, and what is the impact of practice scenario on the research? . Transportation research part F: traffic psychology and behaviour, 16, 41-52. [STE98] van der Steen, F. A. M. (1998). Self-motion Perception: Proefschrift. [STO06] Stöbe, M. (2006). Die Fahrsimulation des DLR - Funktionen und Anwendungsmöglichkeiten. [TUE16a] Tüschen, T.; Kocksch, F., Beitelschmidt, D.; Prokop, G. (2016). ‘auto. mobile-driving simulator’-suspensions design of a wheel-based driving simulator. In 7th International Munich Chassis Symposium 2016 (pp. 411- 434). Springer Fachmedien Wiesbaden. [TUE16b] Tüschen, T., Beitelschmidt, D., & Prokop, G. (2016). Control system of a wheel-based “auto. mobile-driving simulator”, In Advanced Vehicle Control: Proceedings of the 13th International Symposium on Advanced Vehicle Control (AVEC'16), September 13-16, Munich, Germany (p. 275). CRC Press. 185 <?page no="198"?> 6.1 Der hochimmersive Fahrsimulator als Werkzeug zur Absicherung und Bewertung von Assistenzfunktionen und automatisierten Fahrfunktionen [VDA15] Verband der Automobilindustrie (2015). Automatisierung - Von Fahrerassistenzsystemen zum automatisierten Fahren. VDA, Berlin. [ZEE10] Zeeb, E. (2010). Daimler's New Full Scale High-dynamic Driving Simulator - A Technical Overview. Proceedings of the Driving Simulation Conference Europe 2010, pp. 157. 186 <?page no="199"?> 6.2 Take-Over Performance in a Wizard of Oz Vehicle in Level 3 Conditionally Automated Driving / Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren Christian Gold, Marie-Lene Meyer, Florian Fischer Abstract Highly automated automotive systems can be expected to enter the market within the next few years. For the development of such functions, an understanding of the driver-system interaction has to be gained to adapt the interface design to the drivers’ needs. The determination of drivers’ performance limits and of the effect of vehicle automation on the driver is a major current research topic in the field of humanmachine-interaction. Driving simulation is used for the vast majority of studies conducted, as prototypes for on-road testing of subjects in real traffic situations are currently not available. Besides various advantages of driving simulation, there are several constraints of the results’ validity. Therefore, this study used a real-vehicle prototype to measure takeover performance of participants. This complements knowledge from driving simulation and enables a cross-validation of results. It was accomplished by applying the so called Wizard of Oz method on an on-road prototype. Here, the participant interacts with a highly automated system, while in fact the function is simulated by a hidden examiner (Wizard). The purpose of the experiment is the validation of the prototyped concept and the confirmation of the related safety concept on a closed test track. Furthermore, trust, comfort and safety-perception of the participants were measured. Additionally, the take-over performance of the drivers in scenarios with 6 and 8 seconds time-budget was assessed. The system limit was represented by an obstacle in the current lane, in accordance with scenarios used in divers driving simulator studies. The assessment of take-over performance and controllability was based on timing and quality aspects of the take-over. The Wizard of Oz concept showed a high immersion of participants with high reported levels of trust, comfort and safety. The results are in line with driving simulation experiments, especially regarding timing aspects of the take-over. This underlines the validity of both the Wizard of Oz and the driving simulation. Kurzfassung Es ist zu erwarten, dass hochautomatisierte Fahrzeugfunktionen innerhalb der nächsten Jahre Einzug in Serienfahrzeuge halten werden. Für die Entwicklung dieser Funktionen ist es wichtig die Interaktion zwischen Fahrern und hochautomatisierten Systemen zu verstehen, um die Schnittstellengestaltung an die Eigenschaften des Fahrers eines hochautomatisierten Fahrzeugs anzupassen. Die Ermittlung von Fahrerleistungsgrenzen und die Auswirkungen einer Automatisierung der Fahraufgabe 187 <?page no="200"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren auf den Fahrer ist derzeit ein wichtiges Forschungsfeld im Bereich der Mensch- Maschine-Interaktion. Ein Großteil der Studien findet hierbei in der Fahrsimulation statt, da Versuchsträger für den Probandenbetrieb im derzeitigen Entwicklungsstadium nicht im Realverkehr eingesetzt werden können. Neben unterschiedlichen Vorteilen der Fahrsimulation, bringt diese aber auch Einschränkungen der Validität mit sich. Daher wurde in der hier vorgestellten Studie die Übernahmeleistung von Probanden im Realfahrzeug gemessen, um Erkenntnisse aus der Fahrsimulation durch Realfahrzeugdaten zu ergänzen und Rückschlüsse auf die Übertragbarkeit von Ergebnissen aus Fahrsimulationsversuchen ziehen zu können. Dies wurde durch den Einsatz der so genannten Wizard of Oz Methodik möglich, welche im Kontext des automatisierten Fahrens auf dem Prinzip beruht, dass Probanden mit einem hochautomatisierten Fahrzeug interagieren, während die Funktionalität in Wirklichkeit und für den Fahrer verborgen von einer Person (Wizard) dargestellt wird. Ziel dieses Experiments war die Validierung des Versuchsträgerkonzepts und Bestätigung des Sicherheitskonzepts auf einer Teststrecke, sowie die Messung von Vertrauen, Komfort und Sicherheitsempfinden der Probanden. Zusätzlich wurde die Übernahmeleistung von Probanden in zeitkritischen Übernahmesituationen mit einem Zeitbudget von 6 und 8 Sekunden gemessen. Die Systemgrenze wurden durch ein Hindernis auf dem aktuellen Fahrstreifen simuliert, analog zu Szenarien wie sie in unterschiedlichen Fahrsimulator-Studien zum Einsatz kamen, um eine vergleichbare Datenbasis für den Abgleich von Realfahrzeugstudien und Fahrsimulation zu generieren. Die Bewertung der Übernahmeleistung bzw. Beherrschbarkeit der Übernahme erfolgte anhand zeitlicher und qualitativer Aspekte der Übernahme. Das Wizard of Oz Konzept konnte eine hohe Immersion bei den Probanden erzeugen, welche hohe Wertungen hinsichtlich Vertrauen, Komfort und Sicherheitsempfinden angaben. Die Ergebnisse lassen eine hohe Übereinstimmung der Ergebnisse aus Wizard of Oz und Fahrsimulation erkennen, vor allem hinsichtlich der zeitlichen Übernahmeparameter, was die Validität der Fahrsimulation und des Wizard of Oz Konzept gleichermaßen nahelegt. 1 Einleitung Auf dem Weg zu höher- und hochautomatisierten Fahrfunktionen stellen sich große Herausforderungen in unterschiedlichen Bereichen der Entwicklung. Aspekte die aus anderen Domänen bereits bekannt sind und durch Automatisierung entstehen, werden auch im Straßenverkehr zunehmend relevant. So könnten Automatisierungseffekte, wie sie etwa von Bainbridge (1983) oder Sarter et al (1995) beschrieben werden, auch den Fahrer eines automatisierten Straßenfahrzeuges beeinflussen. Daraus ergeben sich Anforderungen an die Gestaltung solcher Systeme und Aufwände für die Untersuchung und Absicherung hochautomatisierter Fahrzeuge. Seit einigen Jahren ist in diesem Bereich ein deutlicher Anstieg der Forschungsaktivitäten zu beobachten, mit zahlreichen Laborstudien und Untersuchungen in Fahrsimulatoren. Neben der Funktions- und Sensorentwicklung ist hierbei insbesondere von Interesse, wie sich das Verhalten des Fahrers unter Einfluss von Automatisierung ändert, welche Fahrerleistungsgrenzen bei der Wiederaufnahme der Fahrzeugführung existieren, oder wie sich die Komfortwahrnehmung des Fahrers im hochautomatisierten Fahrzeug unterscheidet. Flankiert werden diese Untersuchungen von zahlreichen 188 <?page no="201"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren anderen Aspekten, wie der optimalen Gestaltung einer Mensch-Maschine- Schnittstelle, oder einer optimalen Ausprägung von Trajektorienverläufen. Wichtige Grundlagen wurden hier insbesondere in der Fahrsimulation gelegt, einer sicheren Umgebung die keine serienreifen Reglerkonzepte erfordert, sondern vielmehr eine hochautomatisierte Funktion in der reproduzierbaren Umwelt der Fahrsimulation simuliert. Die Fahrsimulation ermöglicht gleichzeitig auch hochdynamische Versuche zur Kontrollierbarkeit hochautomatisierter Funktionen, die im Realverkehr zu einer unzulässig hohen Gefährdung von Proband und Fremdverkehr führen würden. Während Reproduzierbarkeit und Sicherheit den Einsatz der Fahrsimulation unerlässlich machen, ist eine Übertragbarkeit auf die Realität Prinzip bedingt immer nur mit Einschränkungen möglich. Zudem stellen sich mit zunehmender Konzeptreife immer spezifischere Fragestellungen, die eine immer höhere Validität der eingesetzten Methodik erfordern. Insbesondere die Betrachtung des Fahrerverhaltens und der Auswirkung von Automatisierung auf den Fahrer benötigen eine hohe Immersion des Fahrers beziehungsweise Abbildungstreue des Versuchssettings. Hier stoßen die derzeitig zur Verfügung stehenden Methoden an ihre Grenzen, sodass Fragestellungen zunehmend „auf die Straße“ gebracht werden müssten. Auch wenn zahlreiche prototypische Umsetzungen von Reglerkonzepten bereits heute im Straßenverkehr getestet werden, so erfordern diese stets einen aufmerksamen Sicherheitsfahrer/ Entwicklungsingenieur, der bei Bedarf jederzeit eingreifen kann, um Unzulänglichkeiten der Funktion zu korrigieren. Solch prototypische Regler eignen sich daher nicht für Probandenversuche im Realverkehr bei höheren Geschwindigkeiten. Diese Methodenlücke füllt das so genannte Wizard of Oz Konzept, welches im Folgenden näher erläutert wird. 2 Die Methode Wizard of Oz Die Methode Wizard of Oz (WoOz) hat eine lange Historie in der Forschung zur Mensch-Maschine-Interaktion (MMI). Sie kommt zumeist dort zum Einsatz, wo eine Interaktion mit einer künstlichen Intelligenz stattfinden soll, die aber noch nicht existent ist, oder deren Umsetzung für den Versuchszweck zu aufwendig wäre. Anfänglich wurde diese Methode bei der Sprachinteraktion eingesetzt, etwa um eine Interaktion mit einem Sprachcomputer zu simulieren (z.B. Salber & Coutaz, 1993; Klemmer et al., 2000). Auf diese Weise kann der Proband Spracheingaben tätigen, die von einem verdeckt interagierenden Versuchsleiter in Funktionsverhalten umgesetzt werden. Auch multimodale Interaktion wurde über die WoOz-Technik dargestellt (z.B. Dahlbäck et al., 1993), etwa um Gesteneingaben zu ermöglichen, ohne entsprechende Sensorik befähigen zu müssen (Lee & Billighurst, 2008). Im Fahrzeugkontext wurde die Methode etwa zur Steuerung von Infotainmentsystemen über Spracheingaben (Manstetten et al. 2001) oder Gesten (Alpern & Minardo, 2003) eingesetzt. Für die Simulation automatisierter Fahrfunktionen wurden im Projekt H-Mode (Schieben et al., 2009) und HAVEit (Flemisch et al., 2010) so genannte Theatersysteme eingesetzt, bei denen ein zweiter Fahrer (Wizard / Confederate) die Steuereingaben der Automatisierung über einen zweiten Fahrerarbeitsplatz simuliert (vgl. Abbildung 1). Der Wizard kann dabei durch einen Vorhang für den Probanden verdeckt operieren, wodurch die Immersion zusätzlich erhöht werden kann. Ein ähnliches Konzept findet sich etwa auch bei Schreiber (2012), bei welchem der Wizard für den Probanden verdeckt in einem eigenen Raum positioniert ist. 189 <?page no="202"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren Die Methode wurde von Petermann und Schlag (2010) auch auf den Straßenverkehr übertragen (vgl. Abbildung 2). Der Wizard konnte hier über eine redundante Lenkung und Pedalerie Fahreingaben aus dem Fond des Fahrzeugs tätigen. Er war dabei durch eine Trennwand und verdunkelte Scheibe vom Vorderraum und damit Probanden getrennt. Auf diese Weise konnten unterschiedliche Automatisierungsstufen auf der Autobahn dargestellt werden und das Transitionsverhalten des Probanden zwischen unterschiedlichen Assistenzfunktionen und Automatisierungsstufen gemessen werden. Abbildung 1: Theatersystem zur Simulation von automatisierten Fahrfunktionen (Schieben et al., 2009). Abbildung 2: Wizard of Oz Fahrzeug (Petermann & Schlag, 2010). 3 Methodik Für die Untersuchung von Fragestellungen hoch- und vollautomatisierter Fahrzeugführung wurde bei BMW ein WoOz-Versuchsträger aufgebaut. Ähnlich wie bei Petermann & Schlag (2010) befindet sich der Wizard für den Probanden verdeckt mittig 190 <?page no="203"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren im Fond des Fahrzeugs und ist durch eine Trennwand mit halbdurchlässiger Scheibe akustisch und visuell vom Vorderraum des Fahrzeugs getrennt (vgl. Abbildung 3). Der Proband sitzt auf dem Fahrersitz und kann die Fahrzeugführung an die Automation (den Wizard) übergeben und wieder übernehmen. Als dritte Instanz ist ein Versuchsleiter auf dem Beifahrersitz anwesend, der den Versuchsablauf steuert und gegebenenfalls instruierend eingreifen kann. Abbildung 3: Wizard of Oz Aufbau. In einem ersten Probandenversuch auf abgesperrtem Testgelände wurde die Übernahmeleistung von 20 Probanden in dem WoOz-Versuchsträger untersucht. Dieser Versuch und dessen Ergebnisse werden im Folgenden vorgestellt. 3.1 Fragestellung Wie schnell und wie gut der Fahrer nach einer Periode automatisierter Fahrzeugführung wieder in die Fahraufgabe zurück findet ist ein Kernaspekt der Kontrollierbarkeitsbetrachtung hochautomatisierter Fahrzeugführung (Gold & Bengler, 2014). Unterschiedlichste Fahrsimulationsstudien befassen sich mit der Leistungsfähigkeit des Fahrers in solchen Situationen und untersuchen den Einfluss unterschiedlicher Einflussparameter wie situativer Aspekte (z.B. Damböck et al. 2012), der Fahrfremden Tätigkeit (z.B. Gold et al. 2015) oder der Komplexität der Verkehrsumgebung (z.B. Gold et al. 2016; Radlmayr et al. 2014). Alle genannten Versuche haben gemein, dass die Datenerhebung in der Fahrsimulation stattgefunden hat, was Vorteile in Bezug auf Reproduzierbarkeit und vor allem Sicherheit der Versuchspersonen hat. Auf der anderen Seite bieten die eingesetzten Simulatoren stets nur ein skaliertes und abstrahiertes Abbild der Realität, was Einflüsse auf das Fahrerverhalten und damit die Validität der Ergebnisse haben kann. Für die Kontrollierbarkeitsbewertung von hochautomatisierten Fahrfunktionen ist der Transfer der Fragestellungen auf reale Versuchsumgebung unerlässlich, bisher mangels ausreichend sicherer Testumgebungen aber meist nicht möglich. Über einen Versuch in einem WoOz-Versuchsträger soll die Eignung der Methode WoOz für den Einsatz als Untersuchungswerkzeug für Fragestellungen hochautomatisierter Fahrzeugführung bestätigt werden. Als Kriterium dient hier nicht nur die er- 191 <?page no="204"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren folgreiche Messung von Aspekten der Fahrerleistung in der Versuchsumgebung, sondern es werden auch von Probanden berichtete Aspekte wie Vertrauen, Akzeptanz oder Komfort zur Bewertung der Methode herangezogen. Die hierbei stattfindende Messung von Fahrerleistung in kritischen Übernahmesituationen dient weiterhin einer ersten Validierung von Erkenntnissen aus der Fahrsimulation. 3.2 Testszenario Für die Bewertung der Kontrollierbarkeit von Übernahmesituationen und für die Messung der Fahrerleistung in solchen Situationen eignen sich vor allem beanspruchende Szenarien in denen der Fahrer über Spurwechselund/ oder Bremsmanöver kollisionsverhindernd und innerhalb eines begrenzten Zeitbudgets eingreifen muss (Gold et al. 2017). In der Fahrsimulation wurde dies zumeist über ein Hindernis auf der aktuellen Fahrspur des Ego-Fahrzeugs dargestellt. Über den Warnzeitpunkt kann so das Zeitbudget eingestellt werden, welches dem Fahrer für die Reaktion auf das Hindernis verbleibt. Außerdem kann über Parameter wie die Verkehrsdichte des umliegenden Verkehrs die Komplexität des Szenarios beeinflusst werden. Angelehnt an dieses Testszenario wurde auf einem abgesperrten Testgelände eine Versuchsstrecke über Pylonengassen aufgebaut. Der Rundkurs bestand aus einer zweispurigen Strecke mit zwei Geraden von jeweils ca. 1000m Länge, mit Haarnadelkurven an den Enden (vgl. Abbildung 4). Abbildung 4: Versuchsstrecke, schematische Darstellung. TOR: Take-Over Request. Auf den geraden Streckenabschnitten war der rechte Fahrstreifen an zwei Stellen durch liegende Pylonen blockiert, sodass ein Wechsel auf den linken Fahrstreifen notwendig wurde. Diese Pylonenhindernisse wurden entweder durch das automatisierte Fahrzeug mittels Spurwechsel umfahren, oder dienten als Prüfsituation, in der die Fahrzeugführung 6 bzw. 8 Sekunden vor Erreichen der Pylonen an den Probanden übergeben wurde. Die Strecke konnte mit einer Geschwindigkeit von 80 km/ h befahren werden, wobei die Geschwindigkeit an den Kurven auf etwa 30 km/ h reduziert werden musste. Eine Runde benötigte unter diesen Rahmenbedingungen etwa 2 Minuten. 192 <?page no="205"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren 3.3 Versuchsablauf und Variablen Nach einer Begrüßung und der Abfrage unterschiedlicher Aspekte zur Vorerfahrung mit Automatisierung in einem Eingangsfragebogen, wurden die Probanden mit dem Versuchsträger und der Schnittstelle zur Bedienung der Automatisierung vertraut gemacht. Anschließend konnten sich die Probanden in einer Eingewöhnungsfahrt auf der Versuchsstrecke an die Streckenführung und das Fahrzeug gewöhnen. Hierbei wurde auch die HAF-Funktion testweise aktiviert und deaktiviert sowie die unterschiedlichen Anzeigen der Systemzustände erlebt. Hatten die Versuchspersonen ein entsprechendes Systemverständnis signalisiert, begann die eigentliche Versuchsfahrt. Hierbei fuhren die Probanden im HAF-Modus auf dem in 3.2 beschriebenen Rundkurs. Das Fahrzeug hielt sich hierbei an das Rechtsfahrgebot und reagierte mittels eines Fahrstreifenwechsels selbstständig auf die Pylonenhindernisse. Dem Probanden wurde während der hochautomatisierten Fahrt eine fahrfremde Tätigkeit in Form des Spiels „Tetris“ auf dem Infotainment Display in der Mittelkonsole angezeigt. Die Bedienung erfolgte über die Bedienelemente (Dreh-Drück-Steller) im Fahrzeug. Die Aufgabe erzeugt hohen Handlungsdruck und erlaubt nur kurze Blickabwendungen. Sie entzieht der Fahraufgabe dadurch visuelle und kognitive Aufmerksamkeitsressourcen der Probanden. Nach etwa 10-minütiger HAF-Fahrt wurde eine Übernahmesituation vor einem der Pylonenhindernisse ausgelöst. Ein Teil der Probanden erhielt die Übernahmeaufforderung 133 Meter vor dem Hindernis, der andere Teil 178 Meter, was einem Zeitbudget von 6 bzw. 8 Sekunden entspricht (Unabhängige Variable, Zwischensubjektfaktor). Die Probanden mussten in dieser Situation die fahrfremde Tätigkeit unterbrechen, kognitive und physische Fahrbereitschaft herstellen (Hände an das Lenkrad, Füße auf die Pedale) und auf das Hindernis durch eine Zielbremsung oder einen Fahrstreifenwechsel nach links reagieren. Zur Übernahme der Fahrzeugführung mussten die Probanden die Automation durch einen Knopfdruck am Lenkrad deaktivieren, welcher für den Wizard das Signal darstellte die Fahrzeugführung wieder an den Probanden zu übergeben. Für einen reinen Bremseingriff durch den Fahrer war keine vorherige Übergabe der Fahrzeugführung notwendig. Bei ausbleibender Fahrerintervention hat der Wizard eine Zielbremsung auf das Pylonenhindernis zur Kollisionsvermeidung vorgenommen (Minimal Risk Maneuver, MRM). Das beschriebene Szenario ist vergleichbar mit Fahrsimulationsversuchen in denen der Ego-Fahrstreifen durch ein Hindernis/ Unfallfahrzeug blockiert und der Nachbarfahrstreifen nicht durch Fremdverkehr belegt war (vgl. z.B. Gold et al. 2013, Lorenz et al. 2014, Kerschbaum et al. 2015). Im Anschluss wurden die HAF-Fahrt und die fahrfremde Tätigkeit fortgesetzt. Nach etwa 10 Minuten erfolgte eine zweite Übernahmesituation zur Messwiederholung mit den gleichen Bedingungen wie in der ersten Situation. Die Versuchsfahrt wurde im Anschluss beendet und die Einstellung zur automatisierten Fahrzeugführung wurde über einen Abschlussfragebogen erhoben. Als abhängige Variablen wurden zeitliche und qualitative Aspekte der Übernahme betrachtet. Hinsichtlich der zeitlichen Aspekte der Übernahme wurden unterschiedliche Zeitdauern gemessen, jeweils ausgehend von dem Zeitpunkt der Übernahmeaufforderung. Die unterschiedlichen abhängigen Variablen waren hierbei: • Blickreaktionszeit: Zeitdauer, ausgehend vom Zeitpunkt des TORs, bis sich der Blick des Probanden von fahrfremder Tätigkeit (Tetris) löst. • Eyes on Road Time: Zeitdauer, ausgehend vom Zeitpunkt des TORs, bis Blickzuwendung zur Szenerie. 193 <?page no="206"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren • Hands-On Time: Zeitdauer, ausgehend vom Zeitpunkt des TORs, bis Hände des Probanden das Lenkrad berühren. • Fahrerbestätigung: Zeitdauer, ausgehend vom Zeitpunkt des TORs, bis Fahrer durch Knopfdruck den Wunsch zur Deaktivierung der HAF-Funktion äußert. • Übergabe: Zeitdauer, ausgehend vom Zeitpunkt des TORs, bis der Wizard die Fahrzeugführung wieder vollständig an den Probanden übergeben hat (Transition abgeschlossen). Für die Bewertung der qualitativen Aspekte wurde der Betrag der maximalen • Querbeschleunigung und • Längsbeschleunigung ausgewertet, welche der Proband in der Übernahmesituation (zwischen TOR und Hindernis) erzeugt hat. Hohe Beschleunigungen deuten hierbei auf eine als im Sinne der Kontrollierbarkeit kritischer zu bewertende Übernahme hin. 4 Ergebnisse An der Studie nahmen 20 Probanden im Alter von 20 bis 56 Jahren (m=39; SA= 10) teil, die zum Zeitpunkt der Erhebung Mitarbeiter der BMW Group waren. Die Probanden waren in keinem Bereich angestellt, der direkt an der Entwicklung von Fahrerassistenz oder automatisierten Fahrfunktionen arbeitet. Neunzehn Probanden hatten eine fahrdynamische Grundausbildung (Fahrsicherheitstraining) und alle Probanden waren in Besitz einer gültigen Fahrerlaubnis. Von den 20 Probanden waren 4 weiblich und 16 männlich. In Abbildung 5 sind Ergebnisse der Fragebogenerhebung dargestellt. Die Erhebung erfolgte teilweise über mehrere Items, auf einer Likert-Skala von 1 bis 7. Im Ergebnis ergibt sich kein Unterschied der Akzeptanz automatisierter Fahrzeugführung hinsichtlich des Erhebungszeitpunkts vor und nach der Versuchsfahrt. Die Attribute Vertrauen, Sicherheit und Komfort zeigen mit Werten größer 6 sehr hohe Beurteilungen, was für ein positives Erlebnis der automatisierten Fahrt im WoOz-Fahrzeug spricht. Abbildung 5: Subjektive Beurteilung Automatisierungserlebnis. Für die Auswertung der Übernahmezeit und / -qualität konnten nicht alle Datensätze verwendet werden. Bei 2 Datensätzen kam es zu technischen Fehlern bei der Datenaufzeichnung. In weiteren 2 Übernahmesituationen kam es zu einer Gefahrenbremsung durch den Wizard (Minimal Risk Maneuver, MRM), nachdem kein rechtzeitiger Fahrereingriff erfolgte. In diesen Situationen kann keine Übernahme durch den Fahrer bewertet werden. Es ergibt sich ein Datensatz mit 32 Übernahmen von 16 194 <?page no="207"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren Probanden, gleichverteilt zu je 8 Probanden auf die Bedingungen „6s Zeitbudget“ und „8s Zeitbudget“. Die Ergebnisse hinsichtlich der zeitlichen Aspekte der Übernahme sind in Abbildung 6 und hinsichtlich der qualitativen Aspekte in Abbildung 7 dargestellt. Abbildung 6: Ergebnisse zeitlicher Aspekte der Übernahme. Abbildung 7: Ergebnisse qualitativer Aspekte der Übernahme. Die statistische Analyse des Datensatzes mittels multivariater Anova ergibt für ein Signifikanzniveau von α=0.05 weder für die Messwiederholung (F (7,8) =2,327; p=0,130) noch für die Zwischensubjektvariable Zeitbudget (F (7,8) =2,565; p=0,105) oder deren Interaktion (F (7,8) =0,921; p=0,537) einen signifikanten Haupteffekt. Am ehesten ist beim Innersubjektfaktor Wiederholung eine schnellere Blickzuwendung in der zweiten Übernahmesituation (p=0,084) und beim Zwischensubjektfaktor Zeitbudget eine geringere Querbeschleunigung bei der Bedingung mit einem höheren Zeitbudget (p=0,072) zu vermuten. 5 Interpretation Die subjektive Bewertung der Probanden zeigt eine hohe Immersion, bei hohem Vertrauen, Komfort und Sicherheitsempfinden. Dies lässt den Rückschluss zu, dass die Methode Wizard of Oz geeignet ist hochautomatisiertes Fahren im Realfahrzeug abzubilden. Der Proband wird in einen Zustand versetzt, der dem Einfluss einer regelungstechnisch umgesetzten HAF-Funktion sehr ähnlich ist. Bei korrekter Anwendung funktioniert die „Verdeckung“ der WoOz-Technik nahezu perfekt. Nur ein Proband von 20 Versuchspersonen hat eine weitere Person im Rückraum des Fahrzeugs vermutet, trotz eines meist technischen Berufshintergrunds der Probanden. 195 <?page no="208"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren Die Ergebnisse der Fahrerleistung zeigen weder einen signifikanten Einfluss der Messwiederholung noch des Zeitbudgets. In Anbetracht der Stichprobengröße, wäre hier nur ein sehr großer Effekt statistisch signifikant nachweisbar. Es zeigen sich auch deskriptiv keine eindeutigen Einflüsse von Messwiederholung und Zeitbudget. Basierend auf Erkenntnissen aus der Fahrsimulation wäre eine spätere Übernahme des Fahrers bei gleichzeitig reduzierter Dynamik in der Bedingung mit 8s Zeitbudget zu erwarten (vgl. Gold et al. 2013). Deskriptiv deuten die Daten aber eher auf eine schnellere Übernahme der Probanden in dieser Bedingung hin (vgl. Abbildung 6; Fahrerbestätigung, Mittelwertdifferenz 0,316s; p=0,224), was wiederum der Stichprobengröße geschuldet sein kann. Auch bezüglich der Messwiederholung wäre ein Einfluss zu erwarten gewesen (vgl. Gold & Bengler 2014), tritt aber in diesem Versuch ebenfalls nicht signifikant in Erscheinung, obwohl Lerneffekte bei der Modellierung der Übernahmeleistung als einer der wichtigsten Einflussfaktoren identifiziert werden konnten (Gold 2016). Die Ergebnisse ermöglichen weiterhin einen Abgleich der Fahrerleistung mit Ergebnissen aus der Fahrsimulation. So kommen die gemessenen Fahrerleistungsparameter auch in Fahrsimulationsversuchen zum Einsatz und können deshalb leicht gegenübergestellt werden. Während die Längs-/ und Querbeschleunigung, sowie Blickreaktionszeit, Eyes On Road Time und Hands-On Time in gleicher Ausprägung in der Literatur berichtet werden, so unterscheidet sich die Übernahmezeit im WoOz- Fahrzeug von der Applikation in der Fahrsimulation. Konzeptbedingt muss der Fahrer im WoOz-Fahrzeug die Transition per Knopfdruck (Fahrerbestätigung) anfordern, bevor der Wizard die Fahraufgabe wieder übergibt (Übergabe). In den referenzierten Fahrsimulationsversuchen kann der Proband die Fahrzeugführung durch signifikante Lenk-/ Fahrpedaleingabe übernehmen, ohne dies vorher per Tastendruck quittieren zu müssen. Es ist anzunehmen, dass die Übernahme in diesem Fall für den Probanden intuitiver und kognitiv weniger anspruchsvoll ist und somit schneller vonstattengeht. Zwei Probanden bestätigten die Übernahme nicht rechtzeitig, versuchten aber dennoch die Funktion zu übersteuern. Diese Art der Reaktion führte letztendlich zu einem MRM und Ausschluss von der Auswertung, zeigten aber auch den erhöhten kognitiven Aufwand für die Übernahme im Vergleich zu den Konzepten aus der Fahrsimulation. Tabelle 1 zeigt einen Vergleich des hier berichteten WoOz-Experiments mit Ergebnissen aus der Fahrsimulation. Da die Haupteffekte keine Signifikanz zeigten, wurden die Ergebnisse der Messwiederholung und der unterschiedlichen Zeitbudgets gemittelt und als gemeinsamer Wert in die Tabelle übernommen. Der Vergleich erfolgt mit Experimenten aus der Fahrsimulation mit vergleichbarem Szenario (Statisches Hindernis), 7s Zeitbudget, ohne Fremdverkehr innerhalb der Situation, 120km/ h Ego-Geschwindigkeit und mit visuell-motorischer fahrfremder Tätigkeit (SuRT). Außerdem erfolgt ein Abgleich mit dem Regressionsmodell von Gold (2016). Die Blickreaktionszeit im WoOz-Versuchsträger bewegt sich in einem sehr ähnlichen Bereich im Vergleich zur Fahrsimulation. Die Mittelwerte weichen weniger als 100ms voneinander ab. Die EyesOnRoad-Zeit ist hingegen im Realfahrzeug erkennbar länger als in der Fahrsimulation. Die Videodaten zeigen hier längere Fixationen des Lenkrads und der Taste durch welche die Fahrerbetätigung erfolgt. Hier scheint das Übernahmekonzept des WoOz zu einer verzögerten/ verlängerten Blickzuwendung im Vergleich zur Fahrsimulation zu führen, bei welcher das System ohne vorherige Fahrerbestätigung übersteuert werden kann. Die Werte der Hands-On Time liegen ebenfalls in einem ähnlichen Bereich. Lediglich im Experiment von Kerschbaum et al. (2015) wurden kürzere Zeiten gemessen, was auch in dem darin 196 <?page no="209"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren eingesetzten transformierbaren Lenkradkonzept begründet sein könnte. Die in der Fahrsimulation gemessene Übernahmezeit liegt zwischen 2,64 und 2,89 Sekunden und damit etwa 0,5 Sekunden über der Zeit der Fahrerbestätigung und 0,25 Sekunden unter der Zeit für die Übergabe durch den Wizard. Nimmt man die Bestätigung des Fahrers als mit der Übernahmezeit am ehesten vergleichbar an (vgl. Marberger et al. 2017), dann ist die Übernahme im WoOz als tendenziell schneller im Vergleich zur Fahrsimulation zu werten. Bezüglich der Übernahmequalität und hier der Beschleunigung zeigen sich geringere Beschleunigungen im Realfahrzeug. Dies könnte zum einen durch Fahrsimulationseffekte begründet werden, da die Dynamikrückmeldung nur skaliert darstellbar ist, was zu stärkeren Fahrereingaben führen kann. Weiterhin unterscheidet sich zwar nicht das zur Verfügung stehende Zeitbudget, wohl aber die Geschwindigkeit des Ego-Fahrzeugs. Bremsmanöver und Spurwechselmanöver können somit im WoOz mit geringerer Dynamik ausgeführt werden. Tabelle 1: Abgleich der Ergebnisse mit der Fahrsimulation. Zusammenfassend kann festgestellt werden, dass der zeitliche Ablauf der Übernahme im WoOz, trotz abweichendem Transitionskonzept, den Erkenntnissen aus der Fahrsimulation folgt. Es ergeben sich kaum Abweichungen zu den in der Fahrsimulation gemessenen Werten, was die Validität sowohl auf Seiten der Fahrsimulation, als auch bezüglich des WoOz-Konzepts nahelegt. Bei den qualitativen Fahrparametern (Beschleunigung) ergeben sich Abweichungen, die durch die Versuchsumgebung und Szenariengestaltung allerdings erwartungsgemäß waren. Es konnte in diesem Versuch aufgezeigt werden, dass sich der WoOz- Versuchsträger und die damit verbundene Versuchsmethodik wie auch die Fahrsimulation sehr gut für die Bewertung hochautomatisierter Fahrfunktionen eignen. Die Immersion der Probanden, die Anwendbarkeit als Forschungswerkzeug und die Güte der Ergebnisse konnten nachgewiesen werden. Danksagung Diese Arbeit entstand im Rahmen des Verbundprojekts Ko-HAF - Kooperatives Hochautomatisiertes Fahren und wurde vom Bundesministerium für Wirtschaft und Energie aufgrund eines Beschlusses des Deutschen Bundestages gefördert. 197 <?page no="210"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren Literatur [1] Alpern, M., & Minardo, K. (2003). Developing a Car Gesture Interface for Use as a Secondary Task. CHI'03 extended abstracts on Human factors in computing systems. ACM, 932-933. [2] Bainbridge, Lisanne (1983): Ironies of Automation. In: Automatica 19 (6), S. 775-779 [3] Dahlbäck, N., Jönsson, A., & Ahrenberg, L. (1993). Wizard of Oz studies — why and how. Knowledge-Based Systems, 6(4), 258-266. https: / / doi.org/ 10.1016/ 0950-7051(93)90017-N [4] Damböck, Daniel; Farid, M.; Tönert, L.; Bengler, K. (2012): Übernahmezeiten beim hochautomatisierten Fahren. In: 5. Tagung Fahrerassistenz 5, zuletzt geprüft am 22.05.2012. [5] Flemisch, Frank; Nashashibi, Fawzi; Rauch, Nadja; Schieben, Anna; Glaser, Sebastien; Temme, Gerald et al. (2010): Towards Highly Automated Driving: Intermediate report on the HAVEit-Joint System. In: European Road Transport Research Arena 3. [6] Gold, C. (2016). Modeling of Take-Over Performance in Highly Automated Vehicle Guidance. (Dissertation). Technische Universität München, München. [7] Gold, C.; Dambock, D.; Lorenz, L.; Bengler, K. (2013): Take over! How long does it take to get the driver back into the loop? In: Proceedings of the Human Factors and Ergonomics Society Annual Meeting 57 (1), S. 1938-1942. DOI: 10.1177/ 1541931213571433. [8] Gold, Christian; Bengler, K. (2014): Taking Over Control from Highly Automated Vehicles. In: Proceedings of the 5th International Conference on Applied Human Factors and Ergonomics, AHFE 2014, Krakow, Poland 19-23 July 5. [9] Gold, C., Berisha, I., & Bengler, K. (2015). Utilization of Drivetime - Performing Non-Driving Related Tasks While Driving Highly Automated. Proceedings of the Human Factors and Ergonomics Society Annual Meeting., 59(1). [10] Gold, C., Körber, M., Lechner, D., & Bengler, K. (2016). Taking over control from highly automated vehicles in complex traffic situations: the role of traffic density. Human factors, 58(4), 642-652. [11] Gold, C., Naujoks, F., Radlmayr, J., Bellem, H., & Jarosch, O. (2017). Testing Scenarios for Human Factors Research in Level 3 Automated Vehicles. Proceedings of the 8th AHFE International Conference, Los Angeles, USA, 8. [12] Kerschbaum, Philipp; Lorenz, Lutz; Bengler, Klaus (2015): A Transforming Steering Wheel for Highly Automated Cars. In: 2015 IEEE Intelligent Vehicles Symposium (IV). [13] Klemmer, S. R., Sinha, A. K., Chen, J., Landay, J. A., Aboobaker, N., & Wand, A. (2000). Suede: a Wizard of Oz prototyping tool for speech user interfaces. Proceedings of the 13th annual ACM symposium on User interface software and technology. ACM, 1-10. [14] Lee, M., & Billinghurst, M. (2008). A Wizard of Oz Study for an AR Multimodal Interface. Proceedings of the 10th international conference on Multimodal interfaces. ACM, 249-256. 198 <?page no="211"?> 6.2 Übernahmeleistung in einem Wizard of Oz Versuchsträger beim hochautomatisierten Fahren [15] Lorenz, L.; Kerschbaum, P.; Schumann, J. (2014): Designing take over scenarios for automated driving: How does augmented reality support the driver to get back into the loop? In: Proceedings of the Human Factors and Ergonomics Society Annual Meeting 58 (1), S. 1681-1685. DOI: 10.1177/ 1541931214581351. [16] Manstetten, D., Krautter, W., Grothkopp, B., Steffens, F., & Geutner, P. (2001). Using a Driving Simulator to Perform a Wizard-of-Oz Experiment on Speech- Controlled Driver Information Systems. Proceedings of the 1st Human-Centered Transportation Simulation Conference. [17] Marberger, C., Mielenz, H., Naujoks, F., Bengler, K., Radlmayr, J., & Wandtner, B. (2017). Understanding and applying the concept of “driver availability” in automateddriving. Proceedings of the 8th AHFE International Conference, Los Angeles, USA, 8. [18] Petermann, I.; Schlag, B. (2010): Auswirkungen der Synthese von Assistenz und Automation auf das Fahrer-Fahrzeug System. In: AAET 2010 - Automatisierungssysteme, Assistenzsysteme und eingebettete Systeme für Transportmittel, S. 383-403, zuletzt geprüft am 31.07.2013. [19] Radlmayr, J.; Gold, C.; Lorenz, L.; Farid, M.; Bengler, K. (2014): How Traffic Situations and Non-Driving Related Tasks Affect the Take-Over Quality in Highly Automated Driving. In: Proceedings of the Human Factors and Ergonomics Society Annual Meeting 58 (1), S. 2063-2067. DOI: 10.1177/ 1541931214581434. [20] Salber, D., & Coutaz, J. Applying the Wizard of Oz technique to the study of multimodal systems, Vol. 753, pp. 219-230. https: / / doi.org/ 10.1007/ 3-540- 57433-6_51 [21] Sarter, Nadine B.; Woods, David D. (1995): How in the World Did We Get into That Mode? Mode Error and Awareness in Supervisory Control. In: Human Factors 37 (1), S. 5-19. [22] Schieben, Anna; Schmidt, Albrecht; Dey, Anind; Seder, Thomas; Juhlin, Oskar; Heesen, Matthias et al. (2009): The theater-system technique: agile designing and testing of system behavior and interaction, applied to highly automated vehicles. In: AutomotiveUI (43-46), S. 43. DOI: 10.1145/ 1620509.1620517. [23] Schreiber, M. (2012). Konzeptionierung und Evaluierung eines Ansatzes zu einer manöverbasierten Fahrzeugführung im Nutzungskontext Autobahnfahrten (Dissertation). Technische Universität Darmstadt, Darmstadt. 199 <?page no="212"?> 6.3 Cyclist interaction on the road and its implications for highly automated vehicles / Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr - Welche Ableitungen können für das hochautomatisierte Fahren getroffen werden? Klaus Reinprecht, Oliver Ondrejka Abstract The advancing development of highly-automated vehicles poses a challenge for many areas in society and research. In addition to legal and technical problems, questions regarding the "behavior" of highly-automated vehicles are becoming increasingly relevant. Thus, by (partly) removing the driver from the driving task, a highly-automated vehicle must be able to solve social situations which the driver has so far managed non-verbally and with the aid of so-called implicit rules. An example of this is the interaction with vulnerable road users (VRU). In many situations, drivers and VRU interact with eye contact, facial expressions and gestures, thus enabling a safe and smooth flow through of traffic. Hence, which "social" behaviors a highlyautomated vehicle will have to handle in the future is the topic of the current study. In total 28 cyclists (M = 29.1 years; SD = 7.0) participated in the study. The rides consisted of different predefined road scenarios (i.e. approaching a junction) on a 3.2 km round course with approx. 15 min of length. Participants' interaction behavior with other road users was analyzed using an eye-tracking device. The results offer insights into the gaze and interaction behavior of cyclists in different road scenarios. In addition, challenges for object recognition and adequate situation interpretation are presented. Kurzfassung Die voranschreitende Entwicklung von hochautomatisierten Fahrzeugen stellt eine Herausforderung in vielen Bereichen dar. Neben rechtlichen und technischen Problemstellungen werden zunehmend auch Fragestellungen hinsichtlich des „Verhaltens“ von hochautomatisierten Fahrzeugen relevant. So muss z.B.: durch das Herausnehmen des Fahrers aus dem Fahrgeschehen ein hochautomatisiertes Fahrzeug auch „soziale“ Situationen lösen können, die der Fahrer bisher nonverbal und mit Hilfe sogenannter impliziter Regeln bewältigt hat. Ein Beispiel dafür ist die Interaktion mit schwächeren Verkehrsteilnehmern, den „Vulnerable Road Users“ (VRU). In vielen Situationen interagieren Fahrer und VRU mit Hilfe von Blickkontakt, Mimik und Gestik und ermöglichen erst dadurch einen sicheren und reibungslosen Verkehrsfluss. Welches soziale Verhalten sollte/ muss demnach auch ein hochautomatisiertes Fahrzeug in der Interaktion mit VRU ebenfalls beherrschen? Welche Anforderungen 200 <?page no="213"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr stellen sich an Objekterkennung und Situationsinterpretation? Um sich diesem Themenschwerpunkt anzunähern wurde eine Blickverhaltensstudie mit Fahrradfahrern durchgeführt und deren Blick-/ Interaktionsverhalten mit anderen Verkehrsteilnehmern in unterschiedlichen Situationen analysiert. Insgesamt nahmen 28 Personen mit einem Durchschnittsalter von 29.1 (SD = 7.0) Jahren an der Untersuchung teil. Befahren wurden unterschiedliche Straßenabschnitte und Kreuzungstypen in München mit einer Gesamtlänge von 3.2 km und einer Fahrdauer von ca. 15 Minuten. Im Vortrag werden Ergebnisse zum Blickverhalten von Fahrradfahrern in unterschiedlichen Interaktionssituationen vorgestellt. Zusätzlich werden die Herausforderungen an eine adäquate Situationsinterpretation aufgezeigt. 1 Einleitung Untersuchungen zu Fahrverhalten im Straßenverkehr werden mittlerweile von jedem Automobilhersteller und jedem wissenschaftlichen Institut mit dem Fokus auf die Mensch-Maschine-Interaktion durchgeführt und für die Entwicklung von Fahrzeugapplikationen verwendet. Dabei wird bisher hauptsächlich das Verhalten von Fahrern im Personenkraftwagen (PKW) und je nach Hersteller auch von Fahrern im Lastkraftwagen (LKW) betrachtet. Mit der fortschreitenden Automatisierung, welche auch eine zunehmende Vernetzung aller Verkehrsteilnehmer (im Folgenden: VT) mit sich bringt, wird es relevant, diesen Horizont zu erweitern und sich auch auf das Verhalten von anderen Verkehrsteilnehmern zu konzentrieren. Dabei spricht man hauptsächlich von schwächeren/ verletzlichen Verkehrsteilnehmern, den Vulnerable Road Users (VRU). Darunter versteht man “…non-motorised road users, such as pedestrians and cyclists as well as motor-cyclists and persons with disabilities or reduced mobility and orientation" [1]. Fahrradfahrer (im Folgenden: FRF) sind ein Teil dieser VRU und machen eine durchaus bedeutsame Schnittmenge davon aus. Alleine in Deutschland gibt es laut Schätzungen ca. 70 Millionen Fahrräder [2], rund 73 % der Bundesbürger besitzen ein eigenes Fahrrad [3]. Knapp 30 Prozent der Deutschen legen pro Jahr zwischen 501 und 1.500 Kilometer mit dem Fahrrad zurück [4]. Der Anteil von FRF im Gesamtverkehr liegt bei ca. 10 % [2]. Man sieht an diesen Zahlen, dass FRF eine durchaus relevante Größe im Straßenverkehrsgeschehen sind. Bisher gibt es jedoch nur wenige Befunde über Fahrradfahrerverhalten im Straßenverkehr. Finden Untersuchungen im realen Straßenverkehr dazu statt, dann handelt es sich dabei meist um Beobachtungsstudien, die keine direkt objektiven Maße des Verhaltens erheben, und somit teilweise nur wenig präzise Aussagen zulassen. Dabei ist es für die Verkehrssicherheit durchaus relevant zu wissen, wie und wo sich FRF im Straßenverkehr bewegen. FRF sind nicht nur ein Teil des Verkehrsgeschehens sondern auch ein Teil des Unfallgeschehens. D.h.: FRF sind in Unfälle verwickelt, die durch sie selbst oder andere VT verursacht wurden. Um dem hochgesteckten Ziel der „Vision Zero“, also keine Verkehrstoten im Straßenverkehr [5] die auf EU- Ebene und mittlerweile in vielen Ländern politisches Programm ist, ein Stück näher zu kommen, ist es also bedeutend auch den FRF als mögliche Fehlerquelle zu betrachten und diese Fehler durch entsprechende Maßnahmen (z.B.: bessere Infrastruktur, Entwicklung von Assistenzsystemen für FRF bzw. PKW,…) abzufangen. 201 <?page no="214"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Im Jahr 2015 wurden insgesamt 78.176 Unfälle mit/ durch FRF mit Personenschaden registriert. Bezogen auf alle Unfälle mit Personenschaden im Straßenverkehr sind FRF in jedem 4. Unfall verwickelt. Rund 10 % der Getöteten im Straßenverkehr sind FRF [6]. Wie sich dieses Unfallgeschehen in den letzten 15 Jahren entwickelt hat, und wie sich dies im Vergleich zum gesamten Unfallgeschehen verhält, ist Abbildung 1 zu entnehmen. Abbildung 1: Getötete im Straßenverkehr insgesamt und für FRF. Besonders interessant in Zusammenhang mit der vorliegenden Studie ist dabei, mit welchen anderen VT die Unfälle auftreten. Nachfolgende Aufstellung gibt einen kurzen Überblick darüber. Tabelle 1: Alleinunfälle und Unfälle mit Beteiligten. Beteiligte Anzahl Gesamt Anzahl Getötete Verhältnis Gesamt/ Getöteten Alleinunfälle 14.212 84 1: 169 Zusammenstoß mit anderen Beteiligten, davon… 61.393 279 1: 220 Güterverkehr 3.226 72 1: 45 Personenkraftwagen 46.325 156 1: 296 Fahrradfahrer 6.898 10 1: 689 Wie man Tabelle 1 entnehmen kann, finden Unfälle mit Personenkraftwagen am häufigsten statt. Unfälle mit dem Güterverkehr sind am seltensten, die Wahrscheinlichkeit, dass diese für den FRF tödlich enden jedoch am größten. Die Frage, die sich hier stellt ist, welche Fehler von welchen VT gemacht werden, so dass es zu diesen Unfällen kommt. Vielleicht werden FRF übersehen, oder achten auch weniger auf die Verkehrsregeln. Womöglich sind diese auch durch die teils komplexen Verkehrsknotenpunkte mit häufigen Wechseln zwischen Fahrradweg und „normaler“ Straße besonders gefährdet oder es findet durch die unterschiedlichen Kommunikationsmöglichkeiten von FRF und anderen Verkehrsteilnehmern (z.B.: Hupen vs. Klingeln; Blinker vs. Handzeichen) Missverständnisse statt. 202 <?page no="215"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Laut statistischem Bundesamt [6] sind bei 12.2 % der Unfälle mit Personenschaden FRF als Hauptverursacher des Unfalls zu sehen. Dabei entfallen 22 % der dabei gemachten Fehler auf falsche Straßenbenützung, 10.5 % auf Fehler beim Abbiegen, Wenden, Ein- und Ausfahren, 9.5 % auf Vorfahrtfehler, 7.5 % auf überhöhte Geschwindigkeit und 6.6 % auf Alkoholeinfluss. Ablenkung wird als unbekannte Größe erwähnt, Zahlen dazu gibt es jedoch nicht [7]. Man sieht hier, dass der maßgeblichste Fehler darauf beruht, dass Fahrer die falsche Fahrbahn benutzen. Ob diese dann selbst andere VTs übersehen, oder selbst übersehen werden, ob sie zusätzlich zu schnell sind oder sich nicht durch vorgeschriebene Handzeichen ihr Vorhaben kommunizieren, bleibt unklar. Die Zahl der Unfälle durch Erkenntnisse über Unfallursachen zu reduzieren ist demnach der erste Grund für die Relevanz dieses Themas. Der zweite Grund, der dafür spricht, das Verhalten von FRF wissenschaftlich zu betrachten ist, dass durch die zunehmende Weiterentwicklung der Automatisierung seitens der Fahrzeuge (v. a. PKW) keine zusätzlichen kritischen Situationen bzw. Unfälle im Straßenverkehr geschaffen werden dürfen. Dies bedeutet, dass durch die voranschreitende Automatisierung die Fahrzeuge auch auf FRF reagieren müssen. FRF sind sensorisch jedoch sehr schwer zu erfassen sowie in ihrem Verhalten oftmals sehr schwer vorherzusagen. Diese zwei Aspekte sind in Zusammenhang mit hochautomatisierten Fahrzeugen jedoch unerlässlich. Für die technische Entwicklung spielt es eine Rolle, ob FRF auf den für sie vorgesehenen Flächen fahren oder nicht, ob sich diese an die Straßenverkehrsordnung (StVo) halten und ob FRF mit Fahrzeugen immer auf einer sensorisch erfassbaren Ebene interagieren oder auch „zwischenmenschliche“, für Maschinen kaum nachvollzieh- und vor allem nachkonstruierbare Prozesse die entscheidende Rolle spielen. Diesen Themen muss man sich stellen, wenn man gute, sichere Hochautomation in den Straßenverkehr bringen will. Bevor man sich dieser Thematik annimmt, muss allerdings erst prinzipiell geklärt werden, wie das Interaktionsverhalten von FRF und anderen VT aussieht. Diesbezüglich gibt es keine bzw. kaum Erkenntnisse. Im Lexikon der Psychologie wird Interaktion als: „…das Zusammenspiel von zwei (oder mehr) Merkmalen, Größen, Variablen, Konstrukten, Personen oder Verhaltensweisen…“ [8] definiert. Soziale Interaktion meint dabei „…die gegenseitige Beeinflussung von Individuen innerhalb von und zwischen Gruppen und die dadurch entstehenden Änderungen des Verhaltens oder der Einstellungen, Meinungen, etc….“ [9]. Diese soziale Interaktion spielt im Zusammenhang mit FRF im Straßenverkehr eine bedeutende Rolle. Durch empirische Untersuchungen muss jedoch erstmal eine Grundlage geschaffen werden, wie FRF mit anderen Verkehrsteilnehmern überhaupt interagieren, und an welchen Stellen in diesem Interaktionsgeschehen Fehler passieren können, die zu Unfällen führen. Andererseits geht es aber auch darum zu wissen, ob und wie die Kommunikation seitens der FRF in Zukunft über Sensorik überhaupt erfasst werden kann, was eine Grundlage für hochautomatisiertes Fahren in solchen Situationen darstellt. Dabei stellt sich die Frage, wie man Interaktionsverhalten von FRF operationalisieren sollte, d.h.: Welchen beobachtbaren Parameter man für derartige Analysen verwendet. Aus dem verkehrspsychologischen Kontext von Fahrzeuglenkern weiß man, dass über 90 % der Informationen visuell wahrgenommen werden [10]. 203 <?page no="216"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Besonders in komplexeren, meist innerstädtischen Verkehrssituationen muss auch der FRF eine Vielzahl an Informationen visuell aufnehmen, um sich sicher bewegen zu können. Bisher gibt es jedoch nur wenige Arbeiten, die sich mit dem Blickverhalten von FRF beschäftigen. Die Bundesanstalt für Straßenwesen berichtet, dass bei jedem vierten Unfall von einem visuellen Wahrnehmungsfehler des Radfahrers ausgegangen werden kann [7]. Nachfolgend sollen ein paar Befunde, die sich mit Blickverhalten von FRF beschäftigen, dargestellt werden. Hoeppe [11] widmete sich in seiner Studie der Konfliktpunktwahrnehmung von FRF. 50 Probanden wurden innerorts Radfahrsituationen präsentiert. Sechs Bilder waren für 3.6 Sekunden zu sehen. Zur Beurteilung des Blickverhaltens wurden Augenbewegungen herangezogen. Am häufigsten wurde der Fluchtpunkt fixiert, viele der in den Situationen dargestellten Gefahrenpunkte wurden jedoch überhaupt nicht fixiert. Bernhardt [12] untersuchte das Blickverhalten bei FRF. Die Hypothese war, dass Menschen, die angeben öfter Fahrrad zu fahren, häufiger in Bereiche schauen, in denen eine potentielle Gefahr drohen kann. Dabei wurde ein 7-minütiger Film aus Radfahrerperspektive gedreht und den Probanden gezeigt. Dabei saßen die Probanden auf einem fest installierten Fahrrad und sahen das Video in echten Dimensionen, mithilfe eines Beamers und einer Leinwand. Die Theorie, dass erfahrende Radfahrer häufiger und länger in Gefahrenbereiche blicken, konnte nicht bestätigt werden. In einer Studie von Platho [13] wurden sechs Probanden Videos mit verschiedenen Verkehrssituationen gezeigt. Die Aufgabe bestand unter anderem daraus, laut zu denken, wo sie als FRF hinschauen würden. Die Aufmerksamkeit wird dabei primär auf die Bereiche ausgerichtet, in denen Kraftfahrzeuge zu erwarten sind. Zudem wird sich auf den für sich selbst sichersten Weg durch den Verkehr konzentriert. Die Beobachtung der Bereiche rechts des Fahrrads und der Blickkontakt zu PKW-Fahrern an Einmündungen und Kreuzungen sind besonders wichtig. Der Blickkontakt wurde als wichtige Sicherheitsstrategie beim Radfahren aufgeführt. Man sieht anhand dieser kurzen Aufstellung, dass viele Untersuchungen zu Blickverhalten von FRF nicht im realen Straßenverkehr stattfinden, sondern die relevanten Situationen als Bild oder Video gezeigt werden. Wie sich diese dann tatsächlich im Straßenverkehr verhalten, kann nicht geklärt werden. Es ist jedoch durchaus bedeutsam, ob FRF beispielsweise auf potentielle Gefahrenquellen achten und so potentielle Fehler von HAF-Fahrzeugen abfangen könnten. Diese methodische Einschränkung führt zusätzlich dazu, dass man keine Einschätzung darüber hat, welche Verkehrskonstellationen in Zusammenhang mit FRF überhaupt wie oft vorkommen. Es gibt keine Erkenntnisse darüber, wie oft FRF und PKW an ungeregelten Kreuzungen zusammentreffen und die Situation über eine nonverbale soziale Interaktion (z.B.: Blickkontakt, Gestik,…) auflösen. Die Konsequenz davon ist, dass man auch nicht weiß, ob man dies überhaupt in der Entwicklung von hochautomatisierten Fahrzeugen betrachten muss oder es sich dabei um einen verschwindend geringen Anteil handelt. In dieser Arbeit sollen grundlegende Erkenntnisse dazu geschaffen werden. Zusammenfassend kann man sagen, dass es in diesem Artikel darum geht, erste Erkenntnisse über das Blickverhalten von FRF im realen Straßenverkehr zu generieren. Die hohe Anzahl an tödlichen Unfälle mit FRF und die Bedeutung des Interaktionsverhaltens FRF-PKW in Bezug auf die Entwicklung von HAF sind Grund genug, sich dieser Thematik zu widmen. Im nächsten Abschnitt wird die Methodik der Studie näher erläutert. 204 <?page no="217"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr 2 Methode 2.1 Versuchsstrecke Als Versuchsstrecke wurde eine ca. 3.2 km lange Strecke im Münchner Norden gewählt. Der Start und das Ende der Strecke fanden an der Ecke Frankfurter Ring/ Knorrstraße statt. Die durchschnittliche Fahrzeit betrug 15 Minuten. Insgesamt wurden 35 Höhenmeter absolviert. Das Hauptkriterium für die Strecke war, möglichst viele verschiedene Straßentypen und Kreuzungstypen zu befahren. Folgende Streckenabschnitte kamen in der Versuchsstrecke vor: Straße (rot, 1473 m) Radweg (schwarz, 1027 m) Radstreifen (Radweg und Gehweg getrennt, grün, 712 m) Diese waren durch sechs geregelte und sechs ungeregelte Kreuzungen verbunden. Abbildung 2 gibt einen skizzierten Überblick über den Streckenverlauf und die Kreuzungspunkte. Abbildung 2: Versuchsstrecke. *geregelte Kreuzung, + ungeregelte Kreuzung; Grün = Radstreifen; Rot = Radweg; Schwarz = Straße. 2.2 Versuchsträger und Messtechnik Als Versuchsträger (Abbildung 3) diente ein Citybike 26 Zoll mit 7-Gang Schaltung mit Drehgriff, Rücktrittbremse, Vorderwie Hinterbremse. Um das Blickverhalten zu erfassen, wurde das System Dikablis 2.5 (Abbildung 4) verwendet, welches über eine Augen- und eine Feldkamera verfügt mit einer Aufzeichnungsrate von 25 Hz. Der für die Blickmessung notwendige Messlaptop wurde am Gepäcksträger befestigt. Für die Blickerfassung mussten zusätzliche Marker positioniert werden. Die Herausforderung dabei ist, dass diese prinzipiell stabil und 205 <?page no="218"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr ständig im Bild der Feldkamera sein müssen, um im Anschluss an die Erhebung eine automatisierte Auswertung zu ermöglichen. Diese Marker wurden auf einer flexiblen Aluminium-PVC Verbundkonstruktion montiert, welche an der Mittelstange des Fahrrads befestigt wurde. Um auch Fahrdaten mit aufzuzeichnen wurde ein Move Bike Computer als Android- App (Abbildung 4) verwendet. Abbildung 3: Versuchsträger. Abbildung 4: Blickerfassungssystem Dikablis 2.5 (links) und Oberfläche des Move Bike Computer (rechts). 2.3 Versuchsmaterial Neben der Blick- und Fahrdatenerfassung wurde vor und nach den Fahrten eine Befragung durchgeführt. Für die Befragung wurde folgendes Versuchsmaterial verwendet: Einwilligungserklärung Demografisches Datenblatt Fragebogen zum Fahrradfahrverhalten Zweck der Nutzung Dauer der Nutzung Fahrstilbeschreibung 206 <?page no="219"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Einhaltung von Verkehrsregeln Wahrnehmung anderer VT Durchführen von ablenkenden Tätigkeiten währen der Fahrradfahrt Fragebogen zur Kenntnis von Verkehrszeichen & Verkehrsregeln Diese umfangreichen Fragebögen wurden eingesetzt, um ein grundlegendes Verständnis für die Art und Weise zu erlangen, wie FRF sich im Straßenverkehr bewegen. 2.4 Versuchsdesign und -ablauf In dieser Untersuchung wurden drei unabhängige Variablen eingeführt. Einmal der Streckenabschnitt (Radstreifen, Radweg, Straße), der Kreuzungstyp (ungeregelte vs. geregelte Kreuzung) und die Fahrtwiederholung (1. Fahrt, 2. Fahrt). Daraus ergibt sich ein 3x2x2 Design mit Messwiederholung auf allen drei Faktoren (Tabelle 2). Dies bedeutet, alle Teilnehmer durchfuhren die gesamte Strecke mit allen Streckenabschnitten und Kreuzungen zweimal. Tabelle 2: Versuchsdesign. Streckenabschnitt Radstreifen Radweg Strasse Kreuzungstyp GR UGR GR UGR GR UGR Fahrt 1 28 28 28 28 28 28 28 2 28 28 28 28 28 28 28 28 28 28 28 28 28 ∑ = 28 GR: Geregelte Kreuzung; UGR: Ungeregelte Kreuzung. Der Versuchsablauf ist in Abbildung 5 dargestellt. Nach der Begrüßung wurde ein demografisches Datenblatt und eine Einverständniserklärung vorgegeben, sowie das Blicksystem kalibriert und die Versuchsteilnehmer instruiert, sich so zu verhalten, wie sie es auf ihren Alltagsfahrten immer machen. Abbildung 5: Versuchsablauf. Die beiden Fahrten fanden unmittelbar hintereinander statt. Nach der ersten Fahrt wurde vom Versuchsleiter eine kurze Kontrolle der Kalibrierung vorgenommen und eventuelle Wegunklarheiten abgeklärt. Zur Sicherheit war am Versuchsträger die Telefonnummer des Versuchsleiters verzeichnet, so dass dieser jederzeit erreicht werden konnte. Begrüßung & Versuchsvorbereitung 15 min Fahrt 1 15 min Versuchsablauf (ca. 65 min) Fragebögen 15 min Fahrt 2 15 min Fahrtkontrolle durch VL 5 min 207 <?page no="220"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr 2.5 Stichprobe Es nahmen 28 Personen (8 davon weiblich) an der Untersuchung teil. Das Durchschnittsalter betrug 29.1 Jahre (SD = 7.0 Jahre, Range 19 - 47 Jahre). Die Teilnehmer hatten ihren Führerschein im Mittel 12 Jahre (SD = 6.9). Bei mehr als der Hälfte der Personen war aufgrund einer diagnostizierten Sehschwäche die Benutzung einer Brille/ Kontaktlinsen während der Testung notwendig, was mit dem benutzten Blickerfassungssystem jedoch problemlos möglich ist. Die Teilnehmer gaben an, in einem guten bis sehr guten gesundheitlichen Zustand zu sein und es lag ein überwiegend gutes Fitnesslevel der Teilnehmer vor. Mehr als die Hälfte der Teilnehmer geben an, mehrmals die Woche mit dem Fahrrad sowie mit dem Auto zu fahren (Abbildung 6). Abbildung 6: Nutzung Fahrrad und PKW (links) und durchschnittliche Nutzungszeit/ Woche (rechts). So kann sichergestellt werden, dass es sich nicht um Teilnehmer handelt, die nur für diese Untersuchung mit dem Fahrrad fahren, sondern um jene, die Erfahrung mit dem alltäglichen Fahrgeschehen aus der Perspektive eines FRF haben. 2.6 Datenanalysen Die Analysen teilen sich in drei größere Blöcke. Einmal wurden die vorgegebenen Fragebögen ausgewertet, andererseits die objektiven Blickdaten, welche sich nochmals in Analysen zu den Streckenabschnitten und Analysen zu den Kreuzungspunkten unterteilen. Die Daten wurden jeweils für die erste und die zweite Versuchsfahrt getrennt analysiert. Da der Fokus dieses Artikels auf den Kreuzungssituationen liegt, wird auf die Analyse der Streckenabschnitte hier nicht näher eingegangen. Die Ergebnisse zum Blickverhalten in den unterschiedlichen Streckenabschnitten können [14] entnommen werden. An den Kreuzungen wurde das Blickverhalten der FRF bei der Kreuzungsannäherung in zwei Bereiche, den Fern- und Nahbereich unterteilt. Der Fernbereich stellt hierbei eine Entfernung zum Kreuzungsmittelpunkt von ca. 20 m bis ca. 10 m vor der 0 2 4 6 8 10 12 14 selten gelegentlich mehrmals in der Woche täglich [ ] Nutzung von Fortbewegungsmitteln Rad Auto 0 2 4 6 8 10 12 < 30 min 30 min bis 2 h 2 bis 5 h > 5 h [ ] Wieviel fahren Sie durchschnittlich in einer Woche? 208 <?page no="221"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Kreuzung dar. Der Nahbereich beginnt ca. 10 m vor der Kreuzung und endet am Kreuzungsmittelpunkt. Die Analysen an den Kreuzungssituationen machte eine manuelle Auswertung erforderlich. Dies bedeutet, für jeden Teilnehmer wurden die jeweiligen Kennzahlen (Blicke zu anderen VT) von einem Bewerter manuell ausgezählt und festgehalten. Aufgrund der hohen Dynamik der zu bewertenden Verkehrssituationen wurde das Blickverhalten objektbezogen ausgewertet. Zusätzlich wurden alle außergewöhnlichen Sondersituationen (z. B.: bezüglich Gestik des FRF) notiert. 3 Ergebnisse In diesem Ergebnisteil sollen zuerst relevante Ergebnisse der Befragung und danach die objektiven Blickdaten vorgestellt werden. Bezogen auf die Blickdaten wird in diesem Beitrag nur auf die Kreuzungssituationen eingegangen. Ausgeschlossen von der Analyse wurde jene FRF die ein verkehrswidriges Verhalten (z. B. Fahren auf Bürgersteig) zeigten. Hinsichtlich der Befragung waren vor allem wahrnehmungspsychologische Aspekte relevant. Fast die Hälfte der Fahrer gab an, sich beim Fahren maßgeblich an akustischen Reizen zu orientieren. Ca. 20 % der Befragten gaben an, mit Kopfhörern Rad zu fahren und währenddessen kaum Umgebungsgeräusche wahrzunehmen. Ein Drittel der Teilnehmer gab an, beim Radfahren gelegentlich bis immer das Mobiltelefon zu nutzen, wobei ca. die Hälfte damit telefoniert und die Hälfte dieses zur Navigation nutzt (Abbildung 7). Abbildung 7: Verwendung Mobiltelefon. Bezüglich der visuellen Wahrnehmung ist interessant, dass Ampeln im Durchschnitt öfter wahrgenommen werden als Verkehrsschilder (Abbildung 8). Dies bestätigt sich auch darin, dass einige abgefragte Verkehrsschilder (vor allem Gebotsschilder bezüglich Straßen-/ Radwegbenutzung) bei einigen Teilnehmern überhaupt nicht bekannt sind. PKW und LKW werden öfter wahrgenommen als FRF und Fußgänger, und die FRF beschreiben, dass sie fahrrelevante Aspekte unter Zeitdruck weniger beachten als ohne Zeitdruck. 35,7 32,1 25,0 3,6 3,6 0 25 50 75 100 0 5 10 15 [%] [ ] Wie häufig verwenden Sie ein Mobiltelefon während des Fahrradfahrens? 46,4 17,9 46,4 32,1 3,6 0 25 50 75 100 0 5 10 15 [%] [ ] Wozu nutzen Sie Ihr Mobiltelefon beim Fahrradfahren? 209 <?page no="222"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Abbildung 8: Wahrnehmungsaspekte der FRF (links) und Beeinträchtigung durch Zeitdruck (rechts). Einige Fragen bezogen sich auf das Verhalten gemäß der StVo. Die Fahrer gaben an, bei Fußgängerübergängen fast immer weiterzufahren und nicht abzusteigen. Desweiteren fährt ein Drittel der Fahrer in Einbahnstraßen fast immer bzw. immer entgegen der erlaubten Richtung. Nur die Hälfte der FRF geben an, an Stoppschildern anzuhalten (Abbildung 9). Abbildung 9: Verhalten an Fußgängerübergängen (links) und in Einbahnstraßen (rechts) und an Stoppschildern (unten). Man sieht hier anhand dieser kurzen Auswahl an Befragungsergebnissen, dass für die Sicherheit problematisches Verhalten durchaus häufig auftritt (Nutzung Mobiltelefon, Kopfhörer, Fahren gegen die Einbahnstraße). wenig 2 3 4 stark [M] Wie stark nehmen Sie folgende infrastrukturellen Aspekte beim Fahrradfahren wahr? 18,2% 59,1% 22,7% 0% 20% 40% 60% 80% 100% 0 2 4 6 8 10 12 14 eher unwahrscheinlich wahrscheinlich auf jeden Fall [ ] Achten Sie unter Zeitdruck weniger auf Verkehrsregeln und andere Verkehrsteilnehmer? 210 <?page no="223"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr FRF können sich aufgrund der geringen Fahrradbreite und der sehr direkten Lenkung und Geschwindigkeitsregulation flexibler im Verkehrsraum bewegen als motorisierte VT und scheinen dies auch zu nutzen. Diese Informationen liefern zwar wertvolle Erkenntnisse über das FRF-Verhalten an sich, nicht aber über ihr spezifisches Blickverhalten in unterschiedlichen Situationen. Um das Verhalten von FRF greifbarer zu machen, wurden im Anschluss an die Befragungsanalysen die Blickdaten ausgewertet. Einerseits liegt der Fokus darauf, Informationen über grundlegendes Blickverhalten von FRF zu erhalten, andererseits ist auch die Frage, ob und wie es Abhängigkeiten von der jeweiligen Situation (Kreuzungstyp, Nah-, Fernbereich) gibt, die auf eine unterschiedliche Aufmerksamkeitsverteilung der FRF schließen lassen. Im Folgenden werden einige relevante Parameter dieses Blickverhaltens dargestellt. Dabei wird auf die mittlere Blickdauer, die Blickfrequenzen und die prozentuelle Blickzuwendung fokussiert. Interessante Ergebnisse gibt es bezüglich der mittleren Blickdauer auf querende (kreuzende und abbiegende) Fahrzeuge (Abbildung 10) im Vergleich zu entgegenkommenden Fahrzeugen(Abbildung 11). Findet man über die Bereiche und Kreuzungstypen hinweg bei querenden Fahrzeugen keine großen Unterschiede in der mittleren Blickdauer, so findet man bei den entgegenkommenden Fahrzeugen im unmittelbaren Bereich der ungeregelten Kreuzungen die längsten Blickdauern. Das bedeutet, FRF fokussieren im Mittel am längsten auf ein entgegenkommendes Fahrzeug, wenn sie sich unmittelbar an einer ungeregelten Kreuzung befinden. Abbildung 10: Mittlere Blickdauer auf querendes Fahrzeug. NB = Nahbereich; FB= Fernbereich. NB geregelt FB geregelt NB UNgeregelt FB UNgeregelt 0.0 0.5 1.0 1.5 2.0 Mittlere Blickdauer auf querendes Fahrzeug Kreuzungsabschnitt [Sek.] 211 <?page no="224"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Abbildung 11: Mittlere Blickdauer auf entgegenkommendes Fahrzeug. NB = Nahbereich; FB= Fernbereich. Interessant wird dieses Ergebnis vor allem, wenn man es in Bezug zu den Blickfrequenzen setzt (Abbildung 12). Das bedeutet, wie oft sehen die Fahrer zwischen anderen Blickbereichen und dem querenden/ entgegenkommenden Fahrzeugen hin und her. Abbildung 12: Blickfrequenz auf querendes Fahrzeug. NB = Nahbereich; FB = Fernbereich. NB geregelt FB geregelt NB UNgeregelt FB UNgeregelt 0.5 1.0 1.5 Mittlere Blickdauer auf entgegenkommendes Fahrzeug Kreuzungsabschnitt [Sek.] NB geregelt FB geregelt NB UNgeregelt FB UNgeregelt 0.00 0.10 0.20 0.30 Blickfrequenz auf querendes Fahrzeug Kreuzungsabschnitt [1/ Sek.] 212 <?page no="225"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Abbildung 13: Blickfrequenz auf entgegenkommendes Fahrzeug. NB = Nahbereich; FB = Fernbereich. Man kann in Abbildung 12 und Abbildung 13 sehen, dass diese bei den querenden Fahrzeugen im ungeregelten Kreuzungsnahbereich am größten ist, bei den entgegenkommenden kann man hier keine Unterschiede finden. Dies bedeutet, FRF werfen einem querenden Fahrzeug in dieser Situation viele kurze Kontrollblicke zu, während sie ein entgegenkommendes Fahrzeug länger fokussieren. Dies könnte darauf hindeuten, dass sie erst prüfen, ob das entgegenkommende Fahrzeug nicht doch noch abbiegt oder kreuzt, dann eine Entscheidung treffen und dann weiterfahren. Diese Entscheidung benötigt jedoch Zeit, und so kommen die längeren mittleren Blickdauern zustande. Bei den querenden Fahrzeugen ist aufgrund des Verhaltens der Fahrzeuge (z.B.: Blinken) die Handlung des Fahrzeugs eindeutig und wird nur mehr kurz, aber ständig geprüft. Für die Summe der visuellen Aufmerksamkeit, die den Fahrzeugen in den unterschiedlichen Situationen geschenkt wurde, wurde die prozentuelle Blickzuwendung betrachtet. Es kann gezeigt werden, dass unabhängig, ob das Fahrzeug quert oder entgegenkommt, diesem die meiste Aufmerksamkeit im ungeregelten Nahbereiche geschenkt wird (Abbildung 14 und Abbildung 15). In der Gesamtzeit der visuellen Aufmerksamkeit macht es keinen Unterschied, ob das Fahrzeug öfter mit kurzen Fixationsdauern oder weniger oft mit langen Fixationsdauern vom FRF betrachtet wird. NB geregelt FB geregelt NB UNgeregelt FB UNgeregelt 0.00 0.10 0.20 Blickfrequenz auf entgegenkommendes Fahrzeug Kreuzungsabschnitt [1/ Sek.] 213 <?page no="226"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Abbildung 14: Prozentueller Blickanteil auf querendes Fahrzeug. NB = Nahbereich; FB= Fernbereich. Abbildung 15: Prozentueller Blickanteil auf entgegenkommendes Fahrzeug. NB = Nahbereich; FB= Fernbereich. Die Ergebnisse weisen darauf hin, dass FRF ihr Blickverhalten der jeweiligen Situation anpassen. Sie prüfen bei eindeutigen Signalen immer wieder, ob sich der Fahrzeuglenker entsprechend verhält, liegen keine Signale vor, fokussieren sie die beteiligten Fahrzeuge länger, um zu einem Schluss zu kommen, ob diese für sie relevant werden könnten oder nicht. Neben diesen gerade vorgestellten Blickdaten wurde zusätzlich ausgewertet, ob und inwiefern es „Sondersituationen“ bezüglich des Verhaltens der FRF gibt, die über das Blickverhalten hinausgehen und relevant für die Interaktion der FRF mit anderen Verkehrsteilnehmern sind. Da die Kreuzungen sehr unterschiedlich beschaffen sind, und natürlich auch bei jeder Durchfahrt die Verkehrskonstellation verschieden ist, ist hier eine Mittelwertbildung nicht sinnvoll. Hier wurden die Blickdaten in den Kreuzungssituationen ebenfalls manuell ausgewertet. NB geregelt FB geregelt NB UNgeregelt FB UNgeregelt 0 5 10 15 20 Prozentuelle Blickzuwendung auf querendes Fahrzeug Kreuzung [%] NB geregelt FB geregelt NB UNgeregelt FB UNgeregelt 0 5 10 15 Prozentuelle Blickzuwendung auf entgegenkommendes Fahrzeug Kreuzung [%] 214 <?page no="227"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Im Folgenden werden exemplarisch einige besonders interessante Situationen dargestellt. An geregelten Kreuzungen fiel vor allem ein Aspekt auf. Queren FRF relativ alleine die Straße, dann achten sie stark auf jene Fahrzeuge, die die eigene Trajektorie kreuzen könnten (Abbildung 16, rechts). Darauf lassen die häufigen Fixationen nach links und rechts schließen. Queren mehrere andere FRF und auch Fußgänger die Straße, dann fährt ein Großteil der FRF „mit dem Strom“ mit und fixieren den querenden/ abbiegenden Verkehr kaum (Abbildung 16, links). Dies könnte zwei Gründe haben. Einerseits könnte dies ein soziales Phänomen sein, indem die FRF in der Gruppe annehmen, dass die Teilnehmer dieser Gruppe die Straße nicht queren würden, wenn das querende/ abbiegende Fahrzeug nicht stehenbleiben würde. Man vertraut also darauf, dass „irgendwer“ schon darauf achten wird. Andererseits könnten die visuellen Kapazitäten in der Situation schon gebunden sein, so dass keine mehr für den übrigen Verkehr bleibt. Die FRF achten also eher darauf, selbst mit keinem entgegenkommenden Fußgänger oder anderem FRF zu kollidieren als auf den querenden Verkehr. Abbildung 16: Geregelte Kreuzung mit viel Fußgänger/ FRF-verkehr (links) und ohne (rechts). Desweitern konnten einige Interaktionen festgestellt werden, die über eine Fixation des Gesichts anderer VT ablaufen. Dies betrifft vor allem Vorfahrtsituationen, in denen der FRF entweder Vorfahrt hätte, aber dem PKW die Vorfahrt gibt oder der PKW Vorfahrt hätte, aber dem FRF Vorfahrt gewährt (Abbildung 17). Abbildung 17: Fixationen auf das Gesicht der PKW-Lenker in Vorfahrtsituationen. 215 <?page no="228"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr In all diesen Situationen findet eine Fixation auf das Gesicht des PKW-Fahrers statt. Diese kommt auch bei uneindeutigen Situationen vor. Abbildung 18 (links) zeigt z.B. einen Spurwechsel des PKWs in der Mitte der Kreuzung, um sich danach auf der entsprechenden Abbiegespur einzureihen. Eine andere interessante Situation ist Abbildung 18 (rechts) zu entnehmen. Der FRF hat das Handzeichen zum Linksabbiegen bereits gegeben, der PKW nähert sich allerdings erst danach der Kreuzung. Der FRF fixiert den Fahrer des PKW und deutet nochmals nach links, um sein Vorhaben zu verdeutlichen. Abbildung 18: Spurwechsel- (links) und Abbiegesituation (rechts). Für eine Aussage darüber wie häufig solche Situationen sind und wie oft diese Art der Interaktion über das Verhalten der beteiligten VT entscheidet, ist es erforderlich, die entsprechende Teilmenge dieser Interaktionen an allen aufgetretenen Begegnungen mit PKW zu bestimmen. In dieser Studie wurden über alle FRF hinweg insgesamt 168 ungeregelte und 140 geregelte Kreuzungen durchfahren. Da alle diese Interaktionen an ungeregelten Kreuzungen auftraten, wurde nur auf die Begegnungen an ungeregelten Kreuzungen fokussiert. Insgesamt trafen die FRF über alle ungeregelten Kreuzungen hinweg auf 75 PKW. In 6 Situationen, d.h. in 8 % dieser Situationen klärte die Gestik des FRF die Situation auf. Grundsätzlich bezog sich diese auf das Verständigen hinsichtlich der Vorfahrt. Wie man den Ergebnissen entnehmen kann, findet ein Interaktionsverhalten dieser Art zwischen FRF und anderen Verkehrsteilnehmern relativ selten statt. Im Zweifelsfall entscheidet es jedoch darüber, ob es zu einem Unfall kommt oder nicht. Im folgenden Abschnitt werden die Ergebnisse noch kurz zusammengefasst und diskutiert. 4 Fazit Ziel dieser Studie war es, erste Erkenntnisse über das Blickverhalten von FRF zu gewinnen. Zusätzlich sollte eine umfangreiche Befragung Aufschluss darüber geben, wie sich FRF im Straßenverkehr verhalten, Verkehrsregeln beachten, Straßentypen benutzen und sich von verschiedenen Aspekten ablenken lassen. Da die FRF bei der Durchführung der Studie aus Sicherheitsgründen die Instruktion bekommen haben, 216 <?page no="229"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr sich gemäß der StVo zu verhalten und das Mobiltelefon nicht zu benutzen, wäre eine Erhebung auf Verhaltensebene hier nicht möglich gewesen. Zu den Ergebnissen der Befragung kann man sagen, dass FRF ein durchaus kritisches Verhalten zeigen. Grund dafür könnte sein, dass sich FRF nicht als „Gefahr“ für andere VT sehen, was dazu führt, dass sie z. B. bei Stoppschildern nicht anhalten. Die Gefahr, die für sie selbst dadurch entsteht wird möglicherweise nicht so ernst genommen oder unterschätzt. Hinzu kommt, dass es durch den geringen Bauraum und die hohe Flexibilität von FRF aus raumtechnischer Sicht möglich ist, sich durch den Verkehr zu „mogeln“ (z.B. Fußgängerübergänge benutzen, Einbahnstraßen entgegen der Fahrtrichtung benutzen) ohne diesen ernsthaft zu behindern. Diese Aspekte können dazu führen, dass FRF eine Vielzahl an Verstößen begehen, die jedoch aufgrund dessen sie nicht motorisiert sind als „nicht so schlimm“ bewertet werden. Diese Erkenntnisse sind nützlich, wenn man eine Einschätzung treffen muss, wo und wie sich FRF im Straßenverkehr bewegen. Dies ist besonders für die Entwicklung der Sensorik von hochautomatisierten Fahrzeugen relevant, um zu wissen, auf welchen Bereichen der Umgebung für die maschinelle Erkennung das Hauptaugenmerk liegen sollte. Des Weiteren ist es von Bedeutung, inwiefern mit der Aufmerksamkeit der FRF zu rechnen ist. Ein telefonierender FRF der gegen die Einbahn fährt verhält sich zwar verkehrswidrig, im Unfallfall könnte ein menschlicher Unfallgegner diese Fehler jedoch vielleicht kompensieren und einen Unfall verhindern, während ein automatisiertes Fahrzeug nur reagiert, wenn es auch auf diese Situationen entsprechend „geschult“ ist. Bezüglich des Blickverhaltens an Kreuzungen kann gesagt werden, dass FRF interessante Blickmuster im Vergleich von entgegenkommenden und querenden Fahrzeugen zeigen. Querende PKW sind in ihrer Aktion eindeutiger als entgegenkommende, die im Mittel länger fokussiert werden, obwohl sie eigentlich den FRF nicht wirklich tangieren. Dieses Wissen könnte dafür genutzt werden, zu entscheiden, welchen Zeitpuffer ein HAF-Fahrzeug beispielsweise zur Verfügung hat, eventuelle Fehler zu korrigieren, da der FRF bereits seine Aufmerksamkeit auf das Fahrzeug gerichtet hat und diesen kompensieren kann. Auch die Information, wie lange kreuzende Fahrzeuge aus unterschiedlichen Richtungen kommend fokussiert werden, kann dazu beitragen, besser einzuschätzen, welche Trajektorie FRF planen und wie daher auf diese reagiert werden muss. Bezüglich des Interaktionsverhaltens konnte gezeigt werden, dass sich FRF bei der Querung geregelter Kreuzungen anders verhalten, wenn sie alleine queren, als wenn sie mit anderen FRF und Fußgängern queren. Uneindeutige Situationen wurden mittels Kontaktaufnahme durch eine Fixierung des Gesichts des anderen Verkehrsbeteiligten gelöst. Diese Anzahl war mit ca. 8 % (für PKW) relativ gering, könnte aber im Unfallfall die entscheidende Rolle spielen. Die relevante Frage ist: Braucht man derartige Erkenntnisse für die Entwicklung von hochautomatisierten Fahrzeugen? Ja, denn sie können einen Anhaltspunkt liefern, wie sich andere VT im zu überwachenden Verkehrsraum verhalten und somit dazu beitragen, besser einzuschätzen, inwiefern diese in die technische Entwicklung mit einbezogen werden müssen. 217 <?page no="230"?> 6.3 Erkenntnisse über das Interaktionsverhalten von Fahrradfahrern im realen Straßenverkehr Um die Erkenntnisse noch zu erweitern soll auf dem Prinzip der vorliegenden Studie mit einem weiterentwickelten Versuchsträger und einer größeren Stichprobe auf einer längeren Strecke mit dem Hauptaugenmerk auf unterschiedliche Verkehrsknotenpunkte aufgebaut werden. Literatur [1] https: / / ec.europa.eu/ transport/ themes/ its/ road/ action_plan/ its_and_vulnerable_r oad_users_en (letzter Zugriff: 09.07.2017). [2] Schreck, B. (2016). Radverkehr - Unfallgeschehen und Stand der Forschung. Zeitschrift für Verkehrssicherheit, 2/ 62, 63-77. [3] https: / / de.statista.com/ statistik/ daten/ studie/ 668553/ umfrage/ umfrage-zumbesitz-eines-fahrrades-in-deutschland/ (letzter Zugriff: 03.07.2017). [4] https: / / de.statista.com/ statistik/ daten/ studie/ 535041/ umfrage/ nutzungshaeufigke it-von-fahrraedern-als-verkehrsmittel/ (letzter Zugriff: 29.06.2017). [5] http: / / fevr.org/ welcome-to-eu-commission-white-paper (letzter Zugriff: 10.07.2017). [6] https: / / www.destatis.de/ DE/ Publikationen/ Thematisch/ TransportVerkehr/ Verkeh rsunfaelle/ VerkehrsunfaelleJ2080700167004.pdf? __blob=publicationFile (letzter Zugriff: 09.07.2017). [7] https: / / www.bast.de/ DE/ Publikationen/ Foko/ 2017-2016/ 2016-24.htmlGIDAS, (letzter Zugriff: 09.07.2017). [8] http: / / www.spektrum.de/ lexikon/ psychologie/ interaktion/ 7296 (letzter Zugriff: 09.07.2017). [9] Dorsch, F. (Hg.) (1976): Psychologisches Wörterbuch. Anhang: Tests und Testautoren, Bibliographie. 9., vollst. neubearb. Aufl. Bern: Huber. [10] Hills, B.L. (1980). Vision, visibility and perception in driving. Perception, 3, 434- 467. [11] Hoeppe, E. (2004): Wohin sehen Radfahrer in Knoten? Konfliktpunktwahrnehmung von Radfahrern. In: Verkehrspsychologie. Mobilitaet - Sicherheit - Fahrerassistenz, S. 281-296. [12] Bernhard, J. (2008): Untersuchung zum Blickverhalten von Fahrradfahrern. (Diplomarbeit). [13] Platho, Christina; Paulenz, Andrea; Kolrep-Rometsch, Harald (2016): Wahrnehmungspsychologische Analyse der Radfahraufgabe. Bremen: Fachverlag NW (Berichte der Bundesanstalt für Strassenwesen Mensch und Sicherheit). Online verfügbar unter http: / / bast.opus.hbznrw.de/ volltexte/ 2016/ 1749/ pdf/ M267_barrierefreies_Internet_PDF.pdf. [14] Reinprecht, K. (2017). Erkenntnisse über das Blickverhalten von Fahrradfahrern in realen Fahrsituationen. Vortrag auf dem DLR-Verkehrskolloquium. [02.02.2017] 218 <?page no="231"?> The authors / Die Autoren Prof. Dr.-Ing. Klaus Kompaß BMW Group München Matthew Avery Thatcham Research Berkshire, UK Dipl.-Ök. Gerald-Alexander Beese KTI GmbH & Co. KG Lohfelden Dipl.-Ing. (FH) Rolf Behling Allianz Global Automotive Unterföhring Sandro Berndt Bundesanstalt für Straßenwesen (BASt) Bergisch Gladbach Dr. Dennis Böhmländer Entwicklung Unfallerkennung AUDI AG Ingolstadt Dipl.-Ing. (FH) Marcel Borrack Allianz Zentrum für Technik Ismaning Prof. Dr.-Ing. Michael Botsch CARISSMA Technische Hochschule Ingolstadt Ingolstadt Dr. Lutz Buerkle Robert Bosch GmbH Corporate Research Renningen Dr. Simon Burton Robert Bosch GmbH Corporate Research Renningen Dr.-Ing. Felix Fahrenkrog BMW Group München Philip Feig M.Sc. Technische Universität München München Florian Fischer BMW Group München Lydia Gauerhof Robert Bosch GmbH Corporate Research Renningen Dr.-Ing. Christian Gold BMW Group München Dr.rer.nat. Johann Gwehenberger Allianz Zentrum für Technik Ismaning Dr. Christian Heinzemann Robert Bosch GmbH Corporate Research Renningen Dr.-Ing. Roman Henze Institut für Fahrzeugtechnik Technische Universität Braunschweig Braunschweig Oliver Jäger AKKA Germany GmbH Mannheim 219 <?page no="232"?> Dipl.-Ing. (FH) Helge Kiebach MEng (TAR) KTI GmbH & Co. KG Lohfelden Dipl.-Ing. Markus Köbe Technische Universität Dresden Dresden Antony Lagrange Europäische Kommission Brüssel Prof. Dr.-Ing. Markus Lienkamp Technische Universität München München Marie-Lene Meyer BMW Group München Marcus Müller M.Sc. CARISSMA Technische Hochschule Ingolstadt Ingolstadt Oliver Ondrejka B.Sc. Inspectio Forschungsinstitut Garching b. München Prof. Dr.-Ing. Günther Prokop Technische Universität Dresden Dresden Dr. Klaus Reinprecht Inspectio Forschungsinstitut Garching b. München Björn Reuber M.Sc. Institut für Fahrzeugtechnik Technische Universität Braunschweig Braunschweig Julian Schatz M.Sc. Technische Universität München München Dr. Max Steiner MBtech Group GmbH & Co. KGaA Mannheim Thomas Strubbe Bundesamt für Sicherheit in der Informationstechnik Bonn Nicolas Thenée Bundesamt für Sicherheit in der Informationstechnik Bonn Dr. Gregor Thomeczek MBtech Group GmbH & Co. KGaA Mannheim Dipl.-Ing. Thomas Tüschen Technische Universität Dresden Professur Kraftfahrzeugtechnik Dresden Prof. Dipl.-Ing. Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik, Bonn Hochschule Bonn-Rhein-Sieg St. Augustin Prof. Dr.-Ing. Wolfgang Utschick Methoden der Signalverarbeitung Technische Universität München München Dr. Ulrich Veh European Automobile Manufacturers’ Association - ACEA Brussels Dr. Lei Wang BMW Group München Christian Wieschebrink Bundesamt für Sicherheit in der Informationstechnik Bonn Holger Znamiec M.Sc. Institut für Fahrzeugtechnik Technische Universität Braunschweig Braunschweig 220 <?page no="233"?> Prof. Dipl.-Ing. Klaus Kompaß und 50 Mitautoren Methodenentwicklung für Aktive Sicherheit und Automatisiertes Fahren 2. Expertendialog zu Wirksamkeit - Beherrschbarkeit - Absicherung: 2017, 253 S., 88 Abb., 12 Tab., 54,00 €, 64,00 CHF (Haus der Technik Fachbuch, 144) ISBN 978-3-8169-3365-6 Zum Buch: Im vorliegenden Themenband steht die Methodenentwicklung für Aktive Sicherheit und Automatisiertes Fahren inhaltlich im Vordergrund. Dabei wird der Verkehrsteilnehmer nicht ausschließlich unter seiner rein physikalischen Belastbarkeit betrachtet, sondern es finden auch seine kognitiven Fähigkeiten, die Wahrnehmungs- und Reaktionsfähigkeiten Berücksichtigung. Nach wie vor liefert auch die Unfallforschung wertvolle Ergebnisse, jedoch muss hierzu die retrospektive durch eine prospektive Analyse ergänzt werden. Grund hierfür ist, dass eine Absicherung anhand von wenigen Einzeltests die Gefahr birgt, die Realität nicht ausreichend und repräsentativ abzubilden. Daher stehen hier vor allem Aspekte der Absicherung von Systemen der Aktiven Sicherheit, Methoden der Controllability, der Beherrschbarkeit von kritischen Situationen durch den Menschen, und eine neue Unfallforschung zur Vorhersage potenzieller Effektivität neuer Systeme der Unfallvermeidung im Fokus. Ferner werden bereits erreichte Ziele und noch offene Aufgaben in den Prozessen, Methoden und Tools der Fahrerassistenzsysteme und der Aktiven Sicherheit dargelegt. Die Interessenten: Fach- und Führungskräfte aus dem Umfeld Fahrzeughersteller, Zulieferer, Entwicklungs-Dienstleister der Fahrzeugsicherheit, Automobilindustrie, Versicherer, technische Überwachungsvereine, Behördenvertreter etc. sowie Verkehrspsychologen und Unfallforscher. Die Autoren der einzelnen Beiträge sind ausgewiesene Fachleute. Sie sind Experten in den jeweiligen Fachgebieten und kommen aus Unternehmen und Institutionen, die in der jeweiligen Forschung führend sind. Sie befassen sich seit vielen Jahren mit den Themen Fahrzeugsicherheit, Fahrerassistenz und hochautomatisiertes Fahren. Der Band wird unter der Leitung von Prof. Dipl.-Ing. Klaus Kompaß, Leiter Fahrzeugsicherheit der BMW AG, und 13 Programmbeiräten zusammengestellt. Blätterbare Leseprobe und einfache Bestellung unter: www.expertverlag.de/ 3365 Bestellhotline: Tel: 07159 / 92 65-0 • Fax: -20 E-Mail: expert@expertverlag.de <?page no="234"?> Prof. Dipl.-Ing. Klaus Kompaß und 30 Mitautoren g Fahrerassistenz und Aktive Sicherheit Wirksamkeit - Beherrschbarkeit - Absicherung 2015, 246 S., 121 Abb., 15 Tab., 49,00 €, 64,00 CHF (Haus der Technik Fachbuch, 137) ISBN 978-3-8169-3310-6 Zum Buch: Die in diesem Themenband behandelten Themen "Fahrerassistenz" und "Aktive Sicherheit" unterscheiden sich wesentlich von der passiven Sicherheit. Der Autofahrer wird nicht unter seiner rein physikalischen Belastbarkeit betrachtet, sondern es werden auch seine Wahrnehmungs- und Reaktionsfähigkeiten berücksichtigt, denn eine rein retrospektive Unfallforschung liefert keine ausreichenden Ergebnisse. Diese muss durch eine prospektive Analyse ergänzt werden. Zudem birgt eine Absicherung anhand von wenigen, ausgesuchten, repräsentativen Einzeltests die Gefahr nicht ausreichender Realitätsabdeckung. Daher werden insbesondere Aspekte der Absicherung von Systemen der Aktiven Sicherheit beleuchtet und Methoden der Controllability, der Beherrschbarkeit von kritischen Situationen durch den Menschen, erörtert sowie eine neue Unfallforschung zur Vorhersage potenzieller Effektivität neuer Systeme der Unfallvermeidung vorgestellt. Inhalt: Datengrundlagen zur Bewertung Integraler Sicherheit - Wirksamkeitsbewertung im realen Fahrversuch - Fahrsimulator-gestützte Wirksamkeitsbewertung von Fahrerassistenz-Systemen - Gesamthafte Bewertung der Sicherheitsveränderung durch FAS / HAF im Verkehrssystem: Der Beitrag von Simulation - Grundlegende Zusammenhänge von Automatisierung und Fahrerleistung - Methodenbaukasten zur Bewertung der automatisierungsrelevanten Dimensionen der Fahrer-Fahrzeug Interaktion - Vom Tempomat zur automatischen Längsführung: Fragen und Antworten zur Beherrschbarkeit - Beherrschbarkeit fehlerhafter Eingriffe in die Fahrzeugquerdynamik - Von der Beherrschbarkeit zur Gebrauchssicherheit: Sicherheitsbewertung von Assistenzsystemen- Konzeptvergleich: Prüfanlagen für präventiven Fußgängerschutz - Global RADAR Validation: Driving Gigameters and Digesting Petabytes - Arbeitskreis "Safety, Testen und Entwicklungsprozesse für hochautomatisierte Systeme": Ein Statusbericht - Overview of main accident scenarios in car-to-cyclist accidents for use in AEB-system test protocol - Absicherungsmethoden für FAS und automatisiertes Fahren Die Interessenten: Fach- und Führungskräfte aus dem Umfeld Fahrzeughersteller, Zulieferer, Entwicklungs-Dienstleister der Fahrzeugsicherheit, Automobilindustrie, Versicherer, technische Überwachungsvereine, Behördenvertreter etc. sowie Verkehrspsychologen und Unfallforscher Die Autoren der einzelnen Beiträge sind ausgewiesene Fachleute. Sie sind Experten in den jeweiligen Fachgebieten und kommen aus Unternehmen und Institutionen, die in der jeweiligen Forschung führend sind. Sie befassen sich seit vielen Jahren mit den Themen Fahrzeugsicherheit, Fahrerassistenz und hochautomatisiertes Fahren. Blätterbare Leseprobe und einfache Bestellung unter: www.expertverlag.de/ 3310 Bestellhotline: Tel: 07159 / 92 65-0 • Fax: -20 E-Mail: expert@expertverlag.de