Das Risiko von Konsumerprodukten im autonomen Fahrzeug

Redakteur: Dipl.-Ing. (FH) Hendrik Härter

Die Automobilindustrie ist getrieben von schnellen Entwicklungszyklen. Doch der Einsatz von Konsumerprodukten im Fahrzeug ist gefährlich. Und mit Blick auf autonom fahrende Fahrzeuge wird Sicherheit noch wichtiger.

Firmen zum Thema

Noch ist der Glaube verbreitet, dass es Komponenten geben wird, die die zusätzlichen Anforderungen der Automobil-Industrie nach Sicherheit erfüllen. Heute kommen aber nahezu alle verwendeten Komponenten wie Kameras, GPS Module oder Module aus dem Konsumbereich.
Noch ist der Glaube verbreitet, dass es Komponenten geben wird, die die zusätzlichen Anforderungen der Automobil-Industrie nach Sicherheit erfüllen. Heute kommen aber nahezu alle verwendeten Komponenten wie Kameras, GPS Module oder Module aus dem Konsumbereich.
(Bild: Continental)

Wer will nicht sein Smartphone im Fahrzeug nutzen oder Internet? Der Druck vom Endverbraucher auf die Automobilhersteller ist groß. Jeder möchte seine bekannte Elektronik im Auto verwenden. Allerdings gibt es einen gewaltigen Unterschied zwischen einem hochkomplexen Fahrzeug und Konsumerelektronik. Beim Smartphone ist sich der Kunde bewusst, dass die Lebensdauer verglichen mit einem Auto beschränkt ist.

Bei Tablet, Laptop oder Computer ist die kurze Lebensdauer von Software und Hardware allgemein akzeptiert. Will man als Anwender auf dem aktuellen Stand sein, oder ein System haben, das auch noch in einigen Jahren funktioniert, muss man regelmäßig die Software aktualisieren. Auch die Hardware muss regelmäßig erneuert oder gleich ausgetauscht werden. Einen Computer, der zehn Jahre ohne Softwareupdate auskommt, gibt es nicht.

Das Problem mit den Anforderungen im Automobil

Smartphones und Tablets müssen nicht bei -20 °C und auch nicht bei 80 °C funktionieren. Doch im Fahrzeug ist das ein geforderter Standard. Die vom ZVEI gesammelten 66 Qualitätsanforderungen basieren letztlich auf sehr schlechten Erfahrungen. Oft stecken Rückrufe hinter diesen Forderungen, und einmal erstellt, sind diese fast nicht mehr wegzubekommen.

Kunden wollen, dass im Auto immer alles funktioniert. Das Antennenmodul im Rückspiegel muss Temperaturen um die 100 °C aushalten. Vom Smartphone auf dem Armaturenbrett wird das nicht erwartet. Hier erntet der Benutzer nur ein mitleidiges Kopfschütteln, während der Automobilhersteller dafür sorgen muss, das alles im Auto immer einwandfrei funktioniert.

Selbstverständlich soll auch der Notruf im Auto immer funktionieren und das über viele Jahre hinweg. Dabei werden in diesen Fällen die gleichen Schlüsselkomponenten eingesetzt, wie im Smartphone oder den Internet-Modulen im Wohnzimmer. Der Grund ist einfach: Es gibt einfach keine kostengünstigen Telefon-Module, Internet-Bausteine oder GPS-Module, die nicht hoffnungslos veraltet sind. Es gibt selbstverständlich im Militär oder Luft und Raumfahrt bessere Module, aber zu Preisen, die im Auto realisierbar sind.

Es werden schlicht keine kostengünstigen voll qualifizierten und automobilgerechten Komponenten entwickelt. Der Standard Q 100 für automobilgerechte Qualifikation ist nur eine Scheinlösung. Der Test mit 60 Geräten nach Q 100 lassen nur Aussagen zu, dass mit diesen Tests auch 2,4 Prozent defekte Geräte nicht entdeckt werden können. Ebenfalls falsch ist die Aussage, es würden nur automobilgerechte Komponenten nach Q 100 eingekauft. Das von den OEMs geforderte PPM Level von 200 PPM bis 5 PPM für ein Endgerät kann mit dieser Methode nicht qualifiziert werden. Gelöst wird das Problem häufig durch Projektfreigaben, denn damit wird die Verantwortung auf Projektleiterebene verschoben.

Konsumermarkt vs. Automobilkomponenten

Noch glauben die Hersteller, dass es eines Tages Komponenten geben wird, die diese zusätzlichen Anforderungen der Automobilindustrie nach Sicherheit erfüllen. Heute kommen aber nahezu alle verwendeten Komponenten wie Kameras, GPS Module oder Module für Internet-Verbindungen aus dem Konsumbereich. Momentan ist nicht absehbar, wann sich das ändern wird. Im Vergleich zum Konsumermarkt ist der Komponentenmarkt für die Automobilbranche ein Nischengeschäft. Es werden daher nur sehr wenige Komponenten speziell auf die erhöhten Qualitätsanforderungen der Autoindustrie entwickelt. Bei Telekommunikationsanwendungen sind die Qualitätsanforderungen sogar noch geringer.

Komponenten für Telefone oder Kameras speziell für das Automobil zu entwickeln ist zu teuer und die Stückzahlen sind zu gering. Grund ist, dass die notwendigen Anforderungen sehr hoch und die Entwicklungszyklen in der Telekommunikation zu kurz sind, um mit der Anwendung im Auto synchron zu sein. Aber es gibt noch ein zweites Problem: In den letzten Jahren hat sich bei den OEMs ein ausgesprochener Anspruch in Richtung Null-Fehler-Toleranz entwickelt. Das heißt, der Tier 1 oder Komponentenhersteller wird in die Pflicht genommen, einen großen Teil des Schadens für den Ausfall des Produktes den Automobilhersteller zu ersetzen.

Jetzt versteht man sofort die Zurückhaltung, wenn es um das autonome Fahren geht. Auch wenn man versucht die Haftpflicht zu begrenzen, die Gesetze in vielen Staaten werfen im Fall eines tödlichen Unfalls die Frage auf: Wer ist schuld? Liegt ein schuldhaftes Verhalten in der Produktion oder im Design von Soft- oder Hardware vor? Wurden State-of-the-Art-Regeln verletzt?

Die Klärung der Schuldfrage gilt unverändert und ist ein Recht wie eine Pflicht. Sie wird dann zum unwägbaren Risiko, wenn der Fahrer nicht mehr eingreifen kann und die Beweiskette nicht einwandfrei belegbar ist. Kann der Fahrer nicht mehr aktiv eingreifen und es kommt zu Unfällen oder Rückrufen, kann das bei heutigen Schadenersatzforderungen schnell zu vernichtenden Ansprüchen führen.

Fehlertolerantes und robustes System

Sind wir wirklich fehlerfrei? Diese Frage muss man sich bei den extrem komplexen Komponenten in der Herstellung und Programmierung unbedingt stellen. Der Weg kann nur im fehlertoleranten und robusten System liegen. Hier gibt es einige interessante Ansätze; auch zum sogenannten Self Healing. Davon ist man gegenwärtig jedoch noch weit entfernt.

Aktuell arbeiten die Entwickler beim vernetzten Fahrzeug an der Kryptographie, um das Hacken von Fahrzeugen zu unterbinden. Ein Komponentenhersteller hat das in einer ZVEI-Veranstaltung auf den Punkt gebracht. Angenommen: Wir verkaufen eine Schlüsselkomponente an einen Tier-1-Lieferant mit ein Umsatz von einer Million Euro. Die Komponente wird in eine Elektronik eingebaut, die dem Tier-1 etwa 200 Mio. Umsatz bringt. Ein OEM verbaut schließlich das Modul in sein Fahrzeug und macht einen Umsatz von zwei Milliarden Euro. Im schlimmsten Fall sagt die Versicherung dann, dass seit einem bestimmten Datum zehn Prozent aller Fahrzeuge ausfallen. Zudem kommt es zu tödlichen Unfällen. Die Folgen sind Sammelklagen und ein Rückruf mit Schäden in Milliardenhöhe. Hat eine einzelne Komponente diesen Ausfall verursacht, ist das aufgrund des Risikos einer immensen Schadenersatzforderung kein Business-Modell für die Komponentenhersteller.

Solange Modellversuche zum sammeln von Erfahrungen laufen, mag es bezüglich der Haftung zu Ausnahmefällen kommen. Aber für das Massenprodukt im Angesicht von Haftungsrisiken gibt es heute keine Lösung, um unternehmenskritische Geschäfte zu vermeiden. Jeder wird beim Hype des autonomen Fahrens mitmachen, ohne sich ernsthaft zu engagieren. Die Presse bejubelt Fahrzeuge als innovativ, die in jedem Crash-Test gnadenlos durchfallen. Es werden Modelle begrüßt, die sich aufgrund der zu erwartenden Stückzahlen, mit Gewinn und Risiken nicht rechnen lassen.

Sicherheitsstandards und qualifizierte Komponenten

Die deutsche Elektronikindustrie wird in der Regel weder von Hatch Fonds noch von Joint Venture Capital finanziert: Investitionen und Gewinn sollte in Einklang gebracht werden. Das müssen wir auf einer seriös kalkulierte Entwicklungsbasis betreiben. Auf diese Anforderungen gehen die Automobil- und die Zulieferindustrien in Europa ein.

Es gibt von der EU geförderte Projekte wie TRACE, die sich diesem Thema widmen und Lösungen erarbeiten. Hier diskutieren 40 OEMs, Tier1s, Universitäten und Institute aus ganz Europa, wie sich eine Methode erarbeiten lässt, um Systeme und Komponente zu qualifizieren. Zudem wird diskutiert, welche neuen Standards wir benötigen, um sichere Produkte zu schaffen, die auch im Hinblick auf autonomes Fahren zukunftsträchtig sind.

Ein richtiger Schritt dabei ist teilautonomes Fahren zu realisieren. Hier kann und muss der Fahrer immer im Störfall eingreifen. Autonomes Fahren auf besonderen Strecken ist leicht zu realisieren. Wichtig dabei ist, nach alternativen Lösungen zu suchen, anstatt Konsumerprodukte ins Fahrzeug zu bringen. Denn Sicherheit-Standards dürfen nicht gesenkt werden. Dazu sind bereichsübergreifende Lösungen und die Zusammenarbeit aller Hersteller, vertikal wie parallel, notwendig, da aktuelle Hard- und Software zu komplex ist, um noch von kleinen Gruppen allein ganzheitlich betrachtet werden zu können.

Die Elektronik wird sehr viel teurer, wenn wir die Zuverlässigkeit und robustes Design in den Vordergrund stellen. Denn nicht alle verfügbaren Komponenten eigenen sich für das Auto. Fehlertolerantes Design und Fertigung sind der Ausweg und die einzige brauchbare Alternative zur simplen Null-Fehler-Strategie.

Wir müssen uns von zwei Dingen verabschieden: Konsumerelektronik ist nicht für zehn Jahre Dauerbetrieb unter harten Bedingungen verfügbar. Alle Fertigungsschritte in der gesamten Wertschöpfungskette lassen sich nur gemeinsam optimieren. Häufig liegt die Lösung nicht in der Bereitstellung einer zuverlässigen Komponente, denn deren Schwächen kann man im System ausgleichen. Es gibt Rückkopplungen, wie die Schwachstellen-Analyse bei den Komponenten. Beispielsweise indem gezielt ein Down-Grade im System durchgeführt wird oder Software-Updates eingefordert werden.

(ID:45167664)