Einleitung: Warum Sicherheit die größte Herausforderung für Drive-by-Wire ist
Drive-by-Wire-Systeme bieten enorme Vorteile in Bezug auf Flexibilität, Gewichtseinsparung und die Integration autonomer Systeme. Doch während mechanische Lenksysteme durch ihre physische Verbindung eine natürliche Redundanz bieten, muss bei einem vollelektronischen System sichergestellt werden, dass die Steuerung auch bei einem Fehler vollständig erhalten bleibt.
Ein zentrales Konzept hierfür ist die Fail-Operational-Architektur. Sie stellt sicher, dass das System auch bei Störungen funktionsfähig bleibt, anstatt in einen sicheren, aber nicht mehr steuerbaren Zustand zu wechseln („Fail-Safe“).
In diesem Blogartikel erklären wir, warum Redundanzkonzepte entscheidend für die Sicherheit von Drive-by-Wire-Systemen sind, welche technologischen Lösungen es gibt und wie Arnold NextG eine der sichersten Steer-by-Wire-Architekturen entwickelt hat.
Was bedeutet „Fail-Operational“ & warum ist Redundanz entscheidend?
Ein mechanisches Lenksystem bleibt auch bei einem Ausfall weiterhin steuerbar, da die direkte Verbindung zwischen Lenkrad und Rädern bestehen bleibt. Ein Drive-by-Wire-System benötigt hingegen eine andere Strategie, um dieselbe Sicherheit zu gewährleisten.
„Fail-Operational“ bedeutet, dass das System selbst im Fehlerfall noch funktionsfähig bleibt.
Ohne ein Fail-Operational-Design könnte ein Fehler in der Elektronik dazu führen, dass das Fahrzeug plötzlich nicht mehr lenkbar ist – eine unakzeptable Situation für den Straßenverkehr.
Die Lösung liegt in einer mehrstufigen Redundanzstrategie:
Technologische Konzepte für Fail-Operational-Architekturen
Sensorische Redundanz (2oo3-Sensorik)
Die 2oo3-Architektur (Two-out-of-Three) stellt sicher, dass fehlerhafte Sensorwerte erkannt und ausgeschlossen werden. Dabei werden drei voneinander unabhängige Sensoren eingesetzt:
ECU mit A/B-Seite – Auswahl des vertrauenswürdigsten Pfades
Die ECU (Electronic Control Unit) in einem Drive-by-Wire-System besteht aus zwei getrennten Verarbeitungspfaden (A und B). Diese parallelen Rechenstrukturen analysieren unabhängig voneinander die eingehenden Sensordaten und berechnen den optimalen Lenkwinkel.
Die Steuerung wählt dann den vertrauenswürdigsten Pfad, basierend auf internen Plausibilitätsprüfungen und Fehlererkennung. Dadurch wird sichergestellt, dass auch bei Störungen die Lenkung stabil bleibt.
Redundante Aktuatoren für die Lenkkraftübertragung
Falls einer der elektrischen Stellmotoren ausfällt, übernimmt ein Backup-System automatisch die Lenkbewegung. Die Umschaltung erfolgt in Millisekunden, sodass der Fahrer oder das autonome Steuerungssystem keine Einschränkungen in der Steuerung wahrnimmt.
Kritische Szenarien & Sicherheitsmechanismen in der Praxis
Szenario 1: Plötzlicher Sensorausfall während der Fahrt
Ein Fahrzeug mit Drive-by-Wire-System fährt auf der Autobahn, als plötzlich ein Sensorausfall auftritt.
Ohne Redundanz:
Das Steuergerät erhält fehlerhafte Daten und kann keine sichere Lenkberechnung durchführen – die Lenkung fällt aus.
Mit 2oo3-Sensorik:
Das System erkennt den fehlerhaften Sensor, ignoriert dessen Werte und nutzt die verbleibenden zwei Sensoren für eine korrekte Steuerung.
Szenario 2: Defekt eines Lenkmotors in einer Kurve
Beim Durchfahren einer engen Kurve fällt ein Stellmotor des Lenksystems aus.
Ohne Redundanz:
Das Fahrzeug verliert plötzlich die Lenkkontrolle – ein gefährlicher Zustand.
Mit Fail-Operational-Architektur:
Der Backup-Aktuator übernimmt die Lenkbewegung in Echtzeit, sodass der Fahrer oder das autonome System die Kontrolle behält.
Regulatorische Anforderungen & Sicherheitsstandards für Drive-by-Wire
Die Sicherheit von Drive-by-Wire-Systemen erfordert die Einhaltung strenger Automobilvorschriften und Sicherheitsstandards. Arnold NextG’s Fail-Operational-Architektur erfüllt die höchsten globalen Sicherheitsanforderungen, darunter:
Vereinigte Staaten (FMVSS & NHTSA)
Fazit & Ausblick auf Blog 3 (Autonomes Fahren & Drive-by-Wire)
Ein Drive-by-Wire-System kann nur dann eine vollwertige Alternative zu mechanischen Lenksystemen sein, wenn es fail-operational ist. Die Kombination aus 2oo3-Sensorvalidierung, einer ECU mit A/B-Verarbeitungspfaden und redundanten Lenkaktuatoren sorgt dafür, dass das System selbst unter extremen Bedingungen sicher bleibt.
Doch warum ist Drive-by-Wire nicht nur eine Alternative, sondern eine Notwendigkeit für autonomes Fahren auf Level 5? Blog 3 coming soon!
Drive-by-Wire-Systeme bieten enorme Vorteile in Bezug auf Flexibilität, Gewichtseinsparung und die Integration autonomer Systeme. Doch während mechanische Lenksysteme durch ihre physische Verbindung eine natürliche Redundanz bieten, muss bei einem vollelektronischen System sichergestellt werden, dass die Steuerung auch bei einem Fehler vollständig erhalten bleibt.
Ein zentrales Konzept hierfür ist die Fail-Operational-Architektur. Sie stellt sicher, dass das System auch bei Störungen funktionsfähig bleibt, anstatt in einen sicheren, aber nicht mehr steuerbaren Zustand zu wechseln („Fail-Safe“).
In diesem Blogartikel erklären wir, warum Redundanzkonzepte entscheidend für die Sicherheit von Drive-by-Wire-Systemen sind, welche technologischen Lösungen es gibt und wie Arnold NextG eine der sichersten Steer-by-Wire-Architekturen entwickelt hat.
Was bedeutet „Fail-Operational“ & warum ist Redundanz entscheidend?
Ein mechanisches Lenksystem bleibt auch bei einem Ausfall weiterhin steuerbar, da die direkte Verbindung zwischen Lenkrad und Rädern bestehen bleibt. Ein Drive-by-Wire-System benötigt hingegen eine andere Strategie, um dieselbe Sicherheit zu gewährleisten.
„Fail-Operational“ bedeutet, dass das System selbst im Fehlerfall noch funktionsfähig bleibt.
Ohne ein Fail-Operational-Design könnte ein Fehler in der Elektronik dazu führen, dass das Fahrzeug plötzlich nicht mehr lenkbar ist – eine unakzeptable Situation für den Straßenverkehr.
Die Lösung liegt in einer mehrstufigen Redundanzstrategie:
- Sensorische Redundanz (2oo3-Prinzip) – Es werden drei Sensoren verwendet, von denen mindestens zwei übereinstimmen müssen, um ein Signal als vertrauenswürdig zu betrachten.
- ECU mit A/B-Seite – Eine Steuerungseinheit mit zwei unabhängigen Verarbeitungspfaden, die das sicherste Signal auswählt.
- Redundante Aktuatoren – Falls ein elektrischer Stellmotor ausfällt, übernimmt ein Backup-Aktuator die Lenkbewegung.
Technologische Konzepte für Fail-Operational-Architekturen
Sensorische Redundanz (2oo3-Sensorik)
Die 2oo3-Architektur (Two-out-of-Three) stellt sicher, dass fehlerhafte Sensorwerte erkannt und ausgeschlossen werden. Dabei werden drei voneinander unabhängige Sensoren eingesetzt:
- Falls alle drei Sensoren übereinstimmen, wird das Signal direkt übernommen.
- Falls ein Sensor abweicht, wird er ignoriert, solange die anderen zwei übereinstimmen.
- Falls zwei Sensoren unterschiedliche Werte liefern, geht das System in einen sicheren Modus.
ECU mit A/B-Seite – Auswahl des vertrauenswürdigsten Pfades
Die ECU (Electronic Control Unit) in einem Drive-by-Wire-System besteht aus zwei getrennten Verarbeitungspfaden (A und B). Diese parallelen Rechenstrukturen analysieren unabhängig voneinander die eingehenden Sensordaten und berechnen den optimalen Lenkwinkel.
Die Steuerung wählt dann den vertrauenswürdigsten Pfad, basierend auf internen Plausibilitätsprüfungen und Fehlererkennung. Dadurch wird sichergestellt, dass auch bei Störungen die Lenkung stabil bleibt.
Redundante Aktuatoren für die Lenkkraftübertragung
Falls einer der elektrischen Stellmotoren ausfällt, übernimmt ein Backup-System automatisch die Lenkbewegung. Die Umschaltung erfolgt in Millisekunden, sodass der Fahrer oder das autonome Steuerungssystem keine Einschränkungen in der Steuerung wahrnimmt.
Kritische Szenarien & Sicherheitsmechanismen in der Praxis
Szenario 1: Plötzlicher Sensorausfall während der Fahrt
Ein Fahrzeug mit Drive-by-Wire-System fährt auf der Autobahn, als plötzlich ein Sensorausfall auftritt.
Ohne Redundanz:
Das Steuergerät erhält fehlerhafte Daten und kann keine sichere Lenkberechnung durchführen – die Lenkung fällt aus.
Mit 2oo3-Sensorik:
Das System erkennt den fehlerhaften Sensor, ignoriert dessen Werte und nutzt die verbleibenden zwei Sensoren für eine korrekte Steuerung.
Szenario 2: Defekt eines Lenkmotors in einer Kurve
Beim Durchfahren einer engen Kurve fällt ein Stellmotor des Lenksystems aus.
Ohne Redundanz:
Das Fahrzeug verliert plötzlich die Lenkkontrolle – ein gefährlicher Zustand.
Mit Fail-Operational-Architektur:
Der Backup-Aktuator übernimmt die Lenkbewegung in Echtzeit, sodass der Fahrer oder das autonome System die Kontrolle behält.
Regulatorische Anforderungen & Sicherheitsstandards für Drive-by-Wire
Die Sicherheit von Drive-by-Wire-Systemen erfordert die Einhaltung strenger Automobilvorschriften und Sicherheitsstandards. Arnold NextG’s Fail-Operational-Architektur erfüllt die höchsten globalen Sicherheitsanforderungen, darunter:
Vereinigte Staaten (FMVSS & NHTSA)
- FMVSS 126 – Vorschriften für elektronische Stabilitätskontrolle (ESC)
- SAE J3016 – Klassifizierung der Fahrautomatisierung (einschließlich Level 5)
- NHTSA Safety Guidelines – Cybersecurity- und Sicherheitsrichtlinien für Drive-by-Wire-Systeme
- ISO 26262 (ASIL-D) – Funktionale Sicherheit für Straßenfahrzeuge
- UNECE R79 – Vorschriften für Steer-by-Wire-System
- UNECE R156 – Sicherheitsanforderungen für Software-Updates in Fahrzeugen
Fazit & Ausblick auf Blog 3 (Autonomes Fahren & Drive-by-Wire)
Ein Drive-by-Wire-System kann nur dann eine vollwertige Alternative zu mechanischen Lenksystemen sein, wenn es fail-operational ist. Die Kombination aus 2oo3-Sensorvalidierung, einer ECU mit A/B-Verarbeitungspfaden und redundanten Lenkaktuatoren sorgt dafür, dass das System selbst unter extremen Bedingungen sicher bleibt.
Doch warum ist Drive-by-Wire nicht nur eine Alternative, sondern eine Notwendigkeit für autonomes Fahren auf Level 5? Blog 3 coming soon!
