Autonomes Fahren bedeutet mehr als einfach nur „ganz viel ADAS“ im
Fahrzeug einzubauen. Daher wurde SOTIF ins Leben gerufen, ein im Vergleich zu ISO 26262 umfassenderer Teststandard speziell für autonome Fahrzeuge. Das PATAC (Pan Asia Technical Automotive Center) hat Tests gemäß SOTIF durchgeführt.
Anders als bei traditionellen Fahrzeugen besteht bei autonomen Fahrzeugen das Hauptrisiko nicht mehr in einem Systemversagen, sondern in Einschränkungen beim Design der Systemfunktionen, die dazu führen könnten, dass sich das Fahrzeug in einigen Situationen anders verhält als beabsichtigt. Daher erfordert das Testen von Funktionen bei autonomen Fahrzeugen auch eine andere Herangehensweise als bei klassischen Fahrzeugen. In der Folge entstand der SOTIF-Teststandard (andere Bezeichnung: ISO PAS 21448). SOTIF ist eine Ergänzung zum bestehenden ISO-26262-Standard speziell für autonome Fahrzeuge. SOTIF definiert geeignete Methoden, die man für die Tests von Autonomiefunktionen einhalten sollte. Das Vorgehen umfasst sowohl reale Fahrtests als auch Tests mit Simulatoren.
Klassifizierung von Risiken
Um sinnvolle Tests zu definieren, ist es hilfreich, sich zunächst einen Überblick über die prinzipiell möglichen Szenarien zu verschaffen. Üblicherweise werden dabei vier Szenarien unterschieden (Abbildung 1): Bekannte sichere Szenarien, bekannte Risiken, unbekannte sichere Szenarien und unbekannte Risiken. Im Fokus der Funktionstests stehen die bekannten und unbekannten Risiken. Das Überprüfen bekannter Risiken ist dabei die leichtere der beiden Aufgaben, denn dort kann man mit anforderungsbasiertem Testen arbeiten. Dies bedeutet konkret, maßgeschneiderte Testfälle zu entwerfen und diese dann Schritt für Schritt, quasi wie am Fließband, abzuarbeiten.
Testen unbekannter Risiken
Die eigentliche Herausforderung besteht im Überprüfen der unbekannten Risiken – denn wie soll man eine risikobehaftete Situation überprüfen, die man gar nicht kennt und für die man folglich auch keinen klar umrissenen Testfall definieren kann? Die Lösung liegt in der Ausführung besonders variantenreicher Fahrszenarien in einer simulierten, reproduzierbaren Testumgebung mit Hilfe automatischer Tests. Dabei gilt es, Fahrzeug, Umgebungssensoren, d. h. Radar, Lidar, GPS, HD-Karten usw., Umwelteinflüsse wie Regen, Straßeneigenschaften, Schilder, Straßenverkehr, verschiedene Verkehrsteilnehmer, Fußgängen, Radfahrer, und deren Verhalten mit Modellen exakt zu virtualisieren. Nach der Modellierung eines solchen Testszenarios besteht der Vorteil darin, dass man durch das Variieren der Modellparameterwerte unzählige Testfälle – und damit auch die unbekannten unsicheren Szenarien – mit überschaubarem Zeitaufwand abdeckt. Mit Hilfe traditioneller manueller Tests wäre dies gar nicht mehr möglich
Beispiel: Tests des Spurhalteassistenten
Konkrete Tests gemäß SOTIF hat PATAC für die Spurhalteassistenzfunktion (LKA, Line Keeping Assistent) durchgeführt. Beim LKA kommt eine Kamera zum Einsatz, die die Fahrbahnmarkierungen beobachtet und bei einem drohenden Verlassen der Fahrspur automatisch gegenlenkt. Die Lenkmomente, die der LKA dabei über die elektromechanische Lenkung (Electric Power Steering, EPS) erzeugt, sollen einerseits groß genug sein, um die gewünschte Wirkung zu zeigen, andererseits aber auch nicht zu groß, denn dann würden sie den Fahrer stören. Für dieses Szenario wurde ein realer Fahrversuch durchgeführt (Abbildung 2).
Hierbei fährt der Fahrer eine gewöhnliche Kurve, gleichzeitig speist der LKA über den CAN-Bus entgegengesetzte Lenkmomente ins EPS. Diese entgegengesetzten Lenkmomente werden von Testlauf zu Testlauf immer weiter erhöht, so dass der Fahrer immer stärker gegenlenken muss. Dies geschieht solange, bis der Punkt erreicht ist, an dem der Fahrer das Fahrzeug nicht mehr in der Spur halten kann. Die Obergrenze für das vom LKA eingespeiste Lenkmoment wird dann knapp unter diesem Punkt angesetzt.
dSPACE Werkzeuge minimieren Testaufwand
In der Entwicklungsumgebung (Abbildung 3) kommen verschiedene dSPACE Hardware- und Software-Werkzeuge zum Einsatz. Bei einem typischen Arbeitsablauf geht es zunächst (Schritt 1 und 2) darum, Testskripte für die anschließenden automatischen Tests zu bekommen. Bei der klassischen Arbeitsweise würde man diese Testskripte manuell erstellen und müsste sie für jeden Testfall neu schreiben, was erheblichen Aufwand bedeuten würde. In der hier gezeigten Arbeitsumgebung geht das erheblich effizienter, denn mit Hilfe von dSPACE AutomationDesk lassen sich aus bereits vorhandenen Testskripten neue Testskripte für verwandte Testfälle automatisch erstellen.
Die Parametrisierung der Testfälle kann dabei mit Hilfe von Excel®-Makrodateien geschehen, was die Arbeit zusätzlich vereinfacht. Auf diese Weise lassen sich durch Variation der Testparameter dann quasi unzählige Testfälle automatisch in kurzer Zeit durchspielen (Schritt 3). Genau dies ist für SOTIF-konforme Tests zwingend notwendig, um mit größtmöglicher Wahrscheinlichkeit auch die unbekannten Risiken abzudecken. Die eigentlichen Tests der Funktionen des autonomen Fahrzeugs erfolgen dann mit Hilfe einer HIL-Testplattform und/oder in einem realen Fahrversuch (Schritt 4 und 5), wobei die dSPACE MicroAutoBox die Rolle des Steuergerätes übernimmt. Sowohl bei den HIL-Tests als auch den realen Fahrversuchen werden die Testprotokolle automatisch erstellt (Schritt 6).
Zusammenfassung
SOTIF ist der erste Standard, der speziell für die Entwicklung autonomer Fahrzeuge ausgelegt ist. Mit Tests nach SOTIF-Standard lassen sich auch Fehler aufspüren, die schon beim Entwurf von Funktionen autonomer Fahrzeuge entstanden sind. Die bei PATAC mit der dSPACE Werkzeugkette aufgebaute Testumgebung ermöglicht automatisierte Tests nach SOTIF. Ein besonderer Vorteil dieser Testumgebung besteht darin, dass sie sowohl reale Fahrtests als auch HIL-Tests unterstützt. Ein weiterer Vorteil ist die Möglichkeit für ein schnelles, automatisches Erstellen von variantenreichen Testfällen.
Über die Autoren
Shang Shiliang
PATAC (Shanghai, China)
Cui Haifeng
PATAC (Shanghai, China)
Yang Chunwei
PATAC (Shanghai, China)
Guo Mengge
PATAC (Shanghai, China)
Über PATAC:
Das 1997 gegründete PATAC (Pan Asia Technical Automotive Center) ist ein Joint Venture von General Motors China LLC und Shanghai Automotive Industry (Group) Corporation (SAIC Motor). Es besteht aus einem Design- und Entwicklungszentrum in Pudong (Shanghai, China) und beschäftigt sich mit der Entwicklung von Shanghai GM-Produkten, fungiert aber auch als das weltweit zweitgrößte technische Entwicklungs- und Konstruktionszentrum von General Motors. Mit dem Ziel, sich als zukunftsweisendes und weltweit einflussreiches Unternehmen der Automobilentwicklung zu etablieren, bietet PATAC verschiedenste Automobilentwicklungsdienstleistungen, unter anderem für Design, technische Entwicklung, Test und Validierung