Rad am Draht

Innovationslawine in der Autotechnik

Wissen | Know-how

In Luxusfahrzeugen verwöhnen heute gut 50 vernetzte Kleinstrechner die Insassen, doch die Computerisierung wird schon bald viel weiter gehen: Mit Brake-by-Wire und Steer-by-Wire will die Autoindustrie in den nächsten Jahren Bremsleitungen und Lenksäulen durch Elektronik ersetzen. Das ist nichts weniger als eine Revolution - die dem absturzgeplagten PC-Anwender den Angstschweiß auf die Stirn treibt.

Was treibt dieser Daimler-Fahrer hinter mir bloß? Werde ich beschattet? Statt mich wegzublinken, klebt der seit zehn Minuten hinter mir, egal, ob ich 130 oder 170 fahre. Und so wie der gestikuliert, scheint er mehr auf den Beifahrer als auf den Verkehr zu achten ...

Ganz einfach: Der Fahrer hat „auf Autopilot“ geschaltet. Distronic heißt dieses schicke, extra zu honorierende Spielzeug bei Mercedes-Benz, ganz allgemein Abstandsregeltempomat oder ACC (Adaptive Cruise Control). Per Radar hält es den Abstand zum Vordermann und gibt selbst Gas oder kann eigenmächtig bis zu 20 Prozent der maximalen Bremsleistung zur Wirkung bringen.

Fahrer von Ober- und Luxusklassewagen werden kräftig von Elektroniksystemen umsorgt, die im Auto „Steuergeräte“ heißen. Das sind Mikrocontroller-Baugruppen, die ihre Aufgaben softwaregesteuert erledigen und untereinander zu Netzwerken verbunden sind.

Wenn der Fahrer mal zu zaghaft auf die Bremse tritt, das Steuergerät aber aus der Hastigkeit des Tritts und anderer Parameter errechnet, dass wohl eine Notbremsung gemeint ist, dann steigt das Steuergerät kräftig mit aufs Pedal. Damit dann nichts schleudert, balanciert das ESP den Wagen aus und sorgt für den geringstmöglichen Bremsweg - auch wenn die Hälfte der Räder gerade Aquaplaning betreibt.

In modernen Fahrzeugen stecken noch viele andere elektronische Helferlein: Keyless-Go, also Zentralverriegelungen, die schon bei Annäherung ans Fahrzeug die Türen entriegeln; Alarmanlagen; Einparkhilfen mit Ultraschall-Sensoren oder Kamera; elektrische Parkbremsen, die automatisch einrasten, wenn man das Fahrzeug abstellt (eine Form des Brake-by-Wire); Tipptasten zum Gangwechsel (Shift-by-Wire). Regensensoren, die den Scheibenwischer aktivieren; Reifendrucksensoren, die bei Luftverlust warnen; Lichtsensoren, die selbst das Fahrlicht ein- oder ausschalten.

Der Steuerrechner für elektrisch verstellbare Sitze nebst Lenkrädern merkt sich die Sitzpositionen mehrerer Fahrer und stellt sie auf Tastendruck, über kodierte Schlüssel oder Fingerabdrucksensor wieder ein.

Das Infotainment fehlt natürlich auch nicht: CD-Radios verwoben mit Handy und Freisprecheinrichtung; Navigationssysteme, die womöglich schon Stauinformationen von Telematikdiensten in Echtzeit beziehen und sogleich Ausweichrouten wählen; TV-Displays, über die sich die Kids mittels Video-DVDs ruhig stellen lassen; nicht zu vergessen ein mobiler Internet-Zugang.

Die Aufzählung ist längst nicht vollständig: Weiter verfeinerte Motorsteuerung, neue Automatikgetriebe, Servolenkung, mehrstufige Airbags, Gurtstraffer, aktive Nackenstützen oder intelligent gesteuerte Vier-Zonen-Klimaanlagen und noch etliches mehr ließen sich anführen.

Ebenso ist ein Teil der Zukunftstechniken mit dem klangvollen by-Wire-Suffix längst Gegenwart. Die so genannte Sensotronic im E-Klasse-Mercedes praktiziert Brake-by-Wire mit einem elektromechanischen Bremspedal in Verbindung mit elektrohydraulischer Bremse. Die vollständig elektrisch betätigte Parkbremse gibt es zum Beispiel schon im Jaguar XJ und S-Type, 7er BMW, Lancia Thesis, Rolls Royce Phantom und Audi A8.

Wer zwischen 50 000 und 100 000 Euro in ein Luxusfahrzeug investieren mag, kann all das heute bereits haben. Die anderen können sich immerhin darauf freuen, dass die Neuerungen der Nobelkarossen binnen kurzem auch in die Kompakt- und Kleinstwagen Einzug halten. Die Stotterbremshilfe ABS ist mittlerweile bis unten „durch“, ihre Verfeinerung ESP auf gutem Weg.

Bisher nur in der S-Klasse von Mercedes-Benz findet sich unter dem Schlagwort „Pre-Safe“ ein Maßnahmenpaket, das vorab in Erwartung eines Unfalles ergriffen wird: Die Gurte werden vorgespannt; der Beifahrersitz (bei Einzelsitzen im Fond auch die Rücksitze) fährt in eine Position, die die geringstmögliche Verletzungsgefahr birgt. Wenn das ESP „Umsturzgefahr“ wittert, schließt auch das Schiebedach.

Der neue 5er BMW, der in Kürze auf den Markt kommt, bringt gleich mehrere Neuerungen mit. Die eine heißt Advanced Front Lighting System, worunter beispielsweise Kurvenausleuchtung, Abbiegelicht, später auch ein weiterreichendes Abblendlicht für die Autobahn oberhalb Tempo 120 fällt oder ein breiter streuendes „Stadtlicht“. Auch Opels Signum wird in Kürze AFL bieten.

Luxuriöse 2-Tonner oberhalb 60 000 Euro gehen das Tempo mit dem Vordermann radargesteuert mit (ADR) und haben per regelbarer Luftfederung mehrere Fahrwerksabstimmungen an Bord. Reifendruckkontrolle, ESP oder geschwindigkeitsabhängige Servolenkung finden sich auch in den Klassen darunter. (Bild: Volkswagen)

Mit seiner neuen Aktivlenkung wird der 5er ferner einen ersten Eindruck vom Potenzial der Steer-by-Wire-Technik vermitteln.

Suspension-by-Wire verheißt dereinst ein vollwertiges elektromechanisches Fahrwerk, das Stoßdämpfer und Federung durch elektronisch geregelte Motoren simuliert. Hier bekommt der Kunde gleichermaßen bestmöglichen Federungskomfort und bestmögliche Straßenlage, weil der Feder-Dämpfer-Computer für jeden Beladungs- und Farbahnzustand und jede Geschwindigkeit die beste Abstimmung kennt. Die Vorstufe dazu existiert schon in regelbaren, während der Fahrt verstellbaren Luftfederbeinen im Citroën C5, in der Mercedes S-Klasse, im 7er BMW, im Audi A8 oder VWs Phaeton.

Infrarot-Kameras und/oder Radarsysteme werden uns perfekte Sicht bei Nacht und Nebel bescheren - zum Beispiel durch Einspiegelung der Bilder in die Windschutzscheibe. Diese Head-up-Displaytechnik (HUD) verleiht schon seit etlichen Jahren den Piloten in Kampfflugzeugen den besseren Durchblick. Auch hier ist der neue 5er als Vorreiter zu nennen, wenngleich sein optionales HUD zunächst nur Cockpit-Infos wie Navigationshinweise auf die Frontscheibe projiziert.

Die genannten Kameras können das Einhalten der Fahrspur (lane keeping) überwachen, Fahrzeuge in für den Fahrer toten Winkeln erfassen und in einer langfristigen Vision auch zur Analyse konkreter Verkehrssituationen (Spurwechselassistenz) herangezogen werden. Auch Forschungen zur Verkehrszeichenerkennung laufen bereits. Viele dieser Forschungen finden übrigens bei den großen Zulieferern wie Delphi, Bosch, VDO-Siemens, bei den diversen „Technical Units“ von Continental oder bei SKF statt.

Wer sich mit Technik auskennt, vor allem mit dem Unterschied zwischen Theorie und Praxis, den wird mittlerweile ein ungutes Gefühl beschleichen. Die größte Besorgnis werden die haben, die tagtäglich am Computer den Kampf mit den verbliebenen Bugs in ihren Programmen aufnehmen.

Geradezu entsetzt dürften diejenigen sein, deren nagelneues Hightech-Auto schon heute schlimmer zickt als ihr PC: Falsche Warnmeldungen über offene Türen oder angeblich defekte Lampen, bei Regen aufklappende Cabrio-Dächer, nicht verlöschende Airbag-Warnlampen, unmotiviert ausgehende Motoren, pausierende Infotainment-Center, ausfallende Servolenkungen - die Liste ist schier endlos und der Autor durfte einige dieser Effekte schon am eigenen Leib erfahren.

Ein ACC ist als Komfortsystem zur Entlastung bei Kolonnenfahrt gedacht. Es wird manchmal als Lizenz zum noch dichter Auffahren missverstanden.
In ACC-Systemen der Oberklasse dominieren Radar-Systeme, um den Abstand zum Vordermann zu ermitteln; preisgünstigere Lösungen arbeiten mit Infrarot.

Erst kürzlich ging die Story von Thailands Finanzminister Suchart Jaovisidha um die Welt, der nach einem Versagen der Bordelektronik bei glühender Hitze in seinem 520er BMW eingesperrt war: Das Fahrzeug stand, weder Tür noch Fenster ließen sich öffnen, auch die Klimaanlage lief nicht.

Die Autohersteller selbst kennen die Pannenstatistiken bestens. So streute beispielsweise im Jahr 2001 die absolute Häufigkeit etwa zwischen zehn Pannen pro tausend Fahrzeugen (Toyota) bis zu 40 (Fiat, Daewoo) und auch mal darüber, und der relative Anteil von Elektronik-Fehlern liegt recht ausgewogen bei 50 Prozent unabhängig vom Hersteller. Das heißt, sie alle haben hier ein ernstes Problem.

Warum bürdet sich die Automobilindustrie dann diese Menge an Elektronik auf und tüftelt an immer noch mehr, noch aufwendigeren Lösungen? Noch dazu, wo doch der Automobilbau bekanntermaßen eine Domäne der Maschinenbauer und nicht der Elektro-Ingenieure oder Informatiker ist? Auch wenn es zunächst widersinnig klingt, aber ganz maßgeblich deshalb, weil sich das Autofahren nur durch noch mehr Hightech sicherer machen lässt. Ebenso lässt sich anders auch kaum noch Energie sparen.

Im EU-Weißbuch haben sich die Mitgliedstaaten verpflichtet, die Zahl der Verkehrstoten bis 2010 im Vergleich zum Jahr 2000 zu halbieren. 42 000 Tote waren 2000 innerhalb der EU zu verzeichnen, knapp 7500 in Deutschland. Was für ein Kraftakt sich hinter dieser Forderung verbirgt, eröffnet sich erst, wenn man den Verlauf der Kurve von 1990 bis 2000 betrachtet: Seit 1997 etwa tut sich nicht mehr viel, die Kurve flacht ab. Bezogen auf den aktuellen Verlauf ist also ein gewaltiger „Knick nach unten“ vonnöten.

Ein beachtlicher Kraftakt wird nötig sein, um die Zahl der Verkehrstoten, die derzeit eher stagniert, so deutlich wie von der EU gefordert bis 2010 zu senken. (Bild: Eurostat, 2001)

Die Computernachhilfe im PKW wird dabei eine große Rolle spielen. Neben der X-by-Wire-Technik gehören auch Alkoholdetektoren, die betrunkene Fahrer abweisen, oder Kamerasysteme, die eine Übermüdung des Fahrers aus seinen Augenbewegungen ableiten, mit in das Arsenal der Sicherheitsvorkehrungen. Telematik heißt auch nicht nur Stauwarnung per Mobilfunk: Car-to-Car tauschen sich Fahrzeuge in unmittelbarer Nähe dereinst auch direkt über Unfallgefahren aus: So meldet ein Wagen etwa ein Hindernis, Glatteis, Aquaplaning oder Nebel an die nachfolgenden.

Fahrzeuge können und müssen immer noch mechanisch optimiert werden, nicht nur bei der Stabilität der Karosserie oder durch bessere Sitze, sondern etwa auch, um die Verletzungsgefahr für Fußgänger und Radfahrer zu verringern. Nicht zuletzt lässt sich die Verkehrssicherheit durch bessere Straßen und durch eine intelligente Verkehrslenkung erhöhen. Und sollte dieses Rundumpaket keinen Erfolg zeitigen, dürfte die deutsche Volksseele kochen: Dann wird die einzig schnellwirkende und bezahlbare Methode nämlich in einem generellen Tempolimit auf Deutschlands Autobahnen bestehen.

Die aktuelle Motortechnik ist schon recht dicht bei der optimalen Energieausnutzung sowohl von Diesel als auch Benzin angelangt. Stationäre Großdiesel, die mit fester Last und Drehzahl quasi in nur einem Betriebspunkt laufen, erreichen schon mehr als 50 Prozent Wirkungsgrad und holen 1 kWh schon aus weniger als 170 Gramm Benzin oder Diesel heraus. Dennoch ist die Motoroptimierung im Fahrzeug noch nicht abgeschlossen, wenn es darum geht, sich solchen Werten über das volle Drehzahlband in allen Lastbereichen anzunähern. Dafür sollen mehr Sensorik im Motor, noch mehr Intelligenz in der Motorsteuerung und demnächst die elektrische Ventilbetätigung sorgen. Auch stufenlose Getriebe können dabei helfen.

Einer der Gründe, weshalb die Autowelt so erpicht darauf ist, Mechanik und Hydraulik durch Elektrik respektive Mechatronik (Systeme aus Mechanik, Elektronik und Software) zu ersetzen, ist die erhoffte Gewichtsersparnis: Zwischen 0,3 und 0,5 Liter auf 100 Kilometer ließen sich durch das Abspecken um 100 kg sparen.

Steuergeräte, wohin das Auge fällt, auch für Sitze, Türen oder Heckklappe: Unter den vielen Heinzelmännchen gibt es sogar automatische Zuziehhilfen für Türen und Hauben ... (Bild: Volkswagen)

Ein anderer Wunsch nach weniger Mechanik lässt sich unter dem Schlagwort „Energiemanagement“ fassen, also der bestmöglichen Ausnutzung der verfügbaren Energie. Das gelingt am besten mit computergesteuerter Elektrik. Man möchte daher die diversen Nebenaggregate, die ein Motor heute permanent über Riemen oder Zahnräder antreibt - Klimaanlage, Pumpen für Benzin, Wasser, Öl, Bremskraftverstärker, Servolenkung, Getriebeautomatik -, durch elektrische Systeme ersetzen, um sie nur mit dem tatsächlichen Energiebedarf zu betreiben. Eine hydraulische Servolenkung etwa kostet genau dann am meisten Energie, wenn die Lenkunterstützung am wenigsten benötigt wird, nämlich bei hohen Geschwindigkeiten/Motordrehzahlen.

Auch im Prinzip längst bekannte Techniken wie Start-/Stopp-Betrieb des Motors bei haltendem Wagen oder gar die Rückgewinnung kinetischer Energie beim Bremsen bieten Sparpotenzial, erfordern aber auch jede Menge neue intelligente Steuerungstechnik.

Der Hydraulik möchte man sich einerseits aus Umweltgründen entledigen, zum andern weil die zugehörigen Kreisläufe störanfällig sind und aufwendig gewartet werden müssen. Elektromechanische Servolenkungen machen schon den Anfang, die elektromechanische Bremse wird in absehbarer Zeit folgen.

Komplettes Suspension-by-Wire liegt noch in der Zukunft, aber heutige Fahrzeuge mit Luftfederung können die Dämpfercharakteristik schon während der Fahrt variieren. (Bild: Volkswagen)

Mehr Elektronik respektive Mikroprozessoren im Auto erlauben mehr Features (Individualisierung) in Bezug auf Komfort und Technik-Gimmicks und damit auch das Abheben (Diversifizierung) vom Mitbewerb im Idealfall rein durch Software. Dabei sind Zusatzfunktionen, die sich bei gleicher Hardwarebasis nur durch Software erzielen lassen, für die Hersteller von Massenprodukten die Kostensparer schlechthin. Dennoch ziehen viele klangvolle Optionen nicht 1:1 aus den Luxusfahrzeugen in die Mittelklasse, sondern unter gleichem Namen oft in deutlich reduzierter Funktion und Qualität.

Laut BMW finden 90 Prozent der echten Innovationen (im Unterschied zu Detailverbesserungen) beim Fahrzeug im Bereich der Elektronik statt und bei hochwertigen Modellen liege der Anteil an der Wertschöpfung bereits bei 35 Prozent - Tendenz weiter steigend. Auch wenn per Elektronik insgesamt die Herstellungskosten gesenkt werden können, wird laut Chiphersteller Philips in dieser Dekade der Anteil der Elektronik an den Automobilherstellungskosten auf 20 bis 40 Prozent ansteigen. Im Mittel liegt er derzeit bei acht Prozent, in der Oberklasse schon bei 30 bis 40 Prozent.

Eines der ehrgeizigsten Ziele der Automobilindustrie verbirgt sich hinter dem Begriff Steer-by-Wire. Diese Technik birgt enormes Potenzial, und zwar gleichermaßen zur Erhöhung wie zur Minderung der Sicherheit.

Das Endziel hinter Steer-by-Wire ist die mechatronische Lenkung ohne mechanische Lenksäule, was unter anderem die Verletzungsgefahr für den Fahrer beim Aufprall verringert. Die Hersteller möchten die Lenksäule auch aus „Package-Gründen“ aus dem Weg haben: Derzeit beeinflusst das Lenksystem ganz maßgeblich die Anordnung von Motor und Getriebe, erst recht, wenn Fahrzeuge mit Links- und Rechtslenkung gefertigt werden müssen. Generell erlauben X-by-Wire-Systeme eine bessere Raumausnutzung, weil bisher direkt vom Motor angetriebene Komponenten nun fast beliebig im Fahrzeug angeordnet werden können - auch leichter zugänglich für den Service.

Vor allem erlaubt ein mechatronisches Lenksystem Eingriffe durch das ESP, das nicht nur durch Bremsen, sondern auch durch Gegenlenken zur Fahrstabilität beitragen kann. Zudem vermag die elektronisch geregelte Lenkung auch den Einfluss von Seitenwind oder Spurrillen automatisch zu kompensieren.

Bis das 42-Volt-Bordnetz kommt, wird allenfalls hybrid gebremst: vorn elektrohydraulisch, hinten sitzen elektro-mechanische Betriebsbremsen mit integrierter Parkbremse. (Bild: Continental Teves)

In letzter Konsequenz ebnet ein Fahrzeug, das sich elektrisch lenken, bremsen und beschleunigen lässt, auch den Weg zu automatischen Leitsystemen. Ob der angetrunkene Fahrer sein Auto dann in Zukunft von einem City-Zentralrechner fernsteuern lässt oder ihn ein das Verkehrsgeschehen verstehender GPS-Autopilot nach Hause chauffiert, wird sich zeigen. An der Vorstufe, nämlich dem Auto, das sich sensorgestützt selbst einparkt, wird indes schon gebastelt.

Beim Steer-by-Wire ist das Lenkrad mechanisch vom Fahrwerk entkoppelt, Straßenunebenheiten schlagen folglich nicht mehr durch. Mehr noch: Die gesamte Lenkcharakteristik lässt sich vollständig per Software definieren. Damit wird nicht nur ein Stufenmodell für Einparken, City-, Landstraßen- und Autobahnfahrt möglich, sondern - das Schlagwort heißt Personalisierung - der Fahrer darf sich eines Tages das Lenkverhalten zwischen sportlich und cruising per Setup selbst feintunen.

Umgekehrt aber sorgt gerade die mechanische Kopplung des Lenkrades über die Lenksäule für das authentische Fahrgefühl. Um den Fahrer weiterhin die richtige Rückmeldung vom Fahrbahnbelag (Schotter, Asphalt, Eis, Schnee) zu liefern, bedarf es eines Force-Feedback-Systems.

Force-Feedback beim Steer-by-Wire hat wenig mit dem rappelnden Lenkrad beim Formel-1-Rennspiel am PC zu tun. Im wirklichen Leben ist allein die „Fahrgefühlsvermittlung“ ein eigenes Forschungsprojekt. Muss man das Stuckern der Vorderachse in der Lenkung spüren? Wenn ja, welche Sensoren liefern verwertbare Signale? Und welches Verhalten muss ein Force-Feedback-Lenkrad bei Asphalt unter dem linken und Schotter unter dem rechten Vorderrad zeigen? Und alles bitte in Echtzeit! Und sicher!

Grundsätzlich sind Zuverlässigkeit und Sicherheit zwei unabhängige Größen: Ein völlig unzuverlässiges Fahrzeug (dauernd Pannen) kann durchaus sicher sein - mit einer Einschränkung: Jedes System, das eine spezifische Form von Sicherheit garantiert, muss dies auch zuverlässig tun. Umgekehrt kann ein sehr zuverlässiges Fahrzeug jämmerliche Bremsen und eine furchtbare Straßenlage haben.

Nicht nur der Kunde wünscht sich ein zuverlässiges und sicheres Fahrzeug, sondern auch der Hersteller, denn es gibt stets psychologische Rückwirkungen von unzuverlässig auf unsicher: „Wie, die Servolenkung geht nicht? Halt mal an, mach den Motor aus, starte neu, siehst Du?“ Wer ein technisch hochgerüstetes Auto fährt, das solchermaßen einem PC ähnelt, der wird der weiteren Computerisierung in Fahrzeugen - erst recht in sicherheitssensiblen Bereichen - sehr misstrauisch gegenüberstehen.

Das ist den Automobilherstellern sehr genau bewusst, und das EU-weite Produkthaftungsgesetz respektive die rigide Rechtsprechung in den USA sorgen durchaus dafür, dass hier niemand leichtsinnig den Kunden zum Betatester etwa für neue Bremssysteme macht.

In Betracht kommt also nur der vorsichtige, schrittweise Ersatz bestehender Systeme durch gänzlich neue im Auto. Es gilt Erfahrungen zu sammeln, die Systeme müssen „Betriebsbewährung“ zeigen. Die hat die über 100 Jahre alte Kfz-Technik auf der Mechanikseite schon lange bewiesen. Mit bestenfalls 20 Jahren Historie ist die Mechatronik davon noch weit entfernt.

Sicherheit im Verkehr meint die für Leib und Leben der Insassen und anderer Verkehrsteilnehmer. In vielen Belangen gibt der Gesetzgeber Sicherheitsanforderungen vor, manchmal sehr konkret: „Lenkanlagen dürfen keine rein elektrischen (...) und keine rein pneumatischen Übertragungseinrichtungen haben.“ Nicht zuletzt sorgen Institutionen wie TÜV oder Dekra sich um unsere Sicherheit: Regelmäßige Inspektionen durch Experten sind ein bedeutsamer Faktor zum Erzielen von Sicherheit - ebenso wie die Schulung von Fahrzeugführern. In der Luftfahrt beruht der hohe Sicherheitsstand keineswegs nur auf technischen Mitteln, sondern regelmäßige Wartung und aufwendig ausgebildetes Personal sind Teil des Sicherheitskonzepts.

Wenn es allerdings darum geht, wie denn nun technische Sicherheit in Verbindung mit Rechnersystemen zu gewährleisten sei, sind die gesetzgeberischen Vorgaben seitens DIN V VDE 0801 und demnächst IEC 61508 eher abstrakt, wie schon der Titel „Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben“ für VDE 0801 andeutet.

„(...) Rein elektrische Übertragungseinrichtungen (...) sind so lange verboten, bis die Vorschriften dieser Richtlinie durch spezielle Vorschriften für diese Einrichtungen ergänzt wurden.“ Das bedeutet für Steer-by-Wire, die Autohersteller müssen zunächst selbst ein System entwickeln und dessen Sicherheit nachweisen respektive nachweisen lassen. Dann können die zugehörigen Richtlinien erarbeitet werden, die schließlich der Gesetzgeber neu festschreibt - ein dorniger Weg.

Vollständiges Brake-by-Wire steht - in deutlich milderer Form - vor ähnlichen Problemen. Nachdem Brake-by-Wire mit Hilfe der elektrohydraulischen Bremssysteme bereits im Einsatz ist, steht als nächstes die rein elektromechanische Bremse bevor (EMB). Hier werden die Bremsklötze auf elektronisches Kommando per Motor/Aktor auf die Scheiben gepresst. Bosch, Conti Teves, aber auch TRW oder Delphi arbeiten an solchen Lösungen, die Analysten wie Frost&Sullivan schon ab 2004 im Einsatz erwarten.

Komplexität bereits in einzelnen Steuergeräten: Heute hat jedes Motorsteuergerät mehr Leistung, Speicher und wohl auch Dokumentation als die ersten PCs von IBM. (Bild: Volkswagen)

Conti-Teves erwartet den breiten Einsatz eher in der nächsten Dekade. Dort hat man zwar EMB-Module weitgehend fertig entwickelt, doch bevor sich diese an allen vier Rädern einsetzen lassen, müssen zwei Bedingungen erfüllt sein: Um den hohen Energiebedarf der Bremsen zu decken, braucht man ein 42-Volt-Netz (siehe Kasten „42 Volt - spannend!“). Ferner muss dieses Bordnetz ausfallsicher gestaltet sein, damit zu jeder Zeit elektrisch gebremst werden kann.

Für Fahrzeuge mit 12-V-Anlage hat Conti-Teves jedoch eine Hybrid-Zwischenlösung parat: Das neue System kommt zunächst nur auf die beim Bremsen weniger beanspruchte Hinterachse (geringerer Energiebedarf), an der Vorderachse bleibt ein klassisches hydraulisches Zwei-Kreis-Bremssystem.

Dieses Konzept ist auch deshalb sehr attraktiv, weil es auf relativ ungefährliche Art erlaubt, Erfahrungen und Betriebsbewährung mit einem vollständig neuen System zu sammeln, aber eine klassische Lösung als so genannte Rückfallebene behält.

Insgesamt besteht das Hybrid-System dadurch aus drei unabhängigen Kreisen mit eigener Überwachung der Hinterachse, ist also in sich redundant - ein wichtiger Aspekt zur Gewährleistung technischer Sicherheit. Die EMB-Module selbst werden zwar von einem gemeinsamen Steuergerät bedient, sind jedoch soweit autark, das eines auch bei Ausfall des anderen noch bremsen kann. Theoretisch könnte man sie auch völlig separat ansteuern - allerdings handelt man sich mit mehr Redundanz als tatsächlich nötig nicht nur höhere Kosten, sondern auch eine höhere Ausfallwahrscheinlichkeit ein.

Die EMB-Module von Conti-Teves integrieren ferner eine elektromechanische Feststellbremse, also den Ersatz für die klassische Handbremse. In ihrer mechanischen Ausprägung ist diese zusätzliche und unabhängige (redundante) Bremse Bestandteil des Sicherheitskonzepts: Sollte die Betriebsbremse versagen, lässt sich das Fahrzeug im Notfall auch damit stoppen.

Die in die EMB-Module integrierte Parkbremse (EPB) des Conti-Hybridsystems ist zwar nur für das Halten (Einrasten) beim Stillstand zuständig. Dennoch lässt sich das Fahrzeug bei dauerhaft gehaltener EPB-Taste an allen vier Rädern bremsend (inklusive ABS-Regelung) zum Stillstand bringen - zum Beispiel, falls der Signalgeber am Bremspedal versagt. Aufgabe der Sicherheitstechnik ist es letztlich, für ein im Sinne der Straßenverkehrsordnung zulassungsfähiges Bremssystem genau die richtige Dosis Redundanz auszutüfteln.

Eine ganz andere Dimension an Sicherheitsanforderungen betritt, wer die mechanische Lenksäule im Auto durch eine elektromechanische Lösung ersetzen will. Diese Erkenntnis hat die erste Euphorie mittlerweile auch stark gedämpft, sodass kein Autohersteller mehr „echtes“ Steer-by-Wire in diesem Jahrzehnt erwartet.

Fällt die Bremse aus, so hat der Fahrer noch so manche Alternative, auch wenn durchtrennte Bremsleitungen in Krimis generell zu spektakulären Abstürzen auf Klippen führen. Wenn das Bremssystem tatsächlich komplett versagt, kann der Fahrer runterschalten (auch bei Automatik), kann gerade in Bergen Notauslaufstrecken nutzen, kann Hindernisse umfahren und an vielen Stellen auf unseren Straßen kann er überschüssige Energie durch „Schubbern“ an Leitplanken abbauen - und im Flachland schlicht ausrollen.

Versagt jedoch die Lenkung, gibt es keinerlei Notsystem - bremsen und beten ist alles, was bleibt. Die Lenkung darf nicht ausfallen, sonst ist ein folgenschwerer Unfall so gut wie unvermeidbar. Dessen muss man sich vor allem deshalb bewusst sein, weil manche Verfechter des Steer-by-Wire an dieser Stelle gern den Airbus nach dem Motto „da machen wir das doch auch“ zitieren. Doch die haben leider einiges nicht verstanden.

Wenn in einem Airbus tatsächlich das Seitenruder ausfällt, dann kann der Pilot mit gegenläufigem Höhenruder, mit gegenläufigen Bremsklappen an den Tragflächen und nicht zuletzt mit seinen zwei Triebwerken noch sehr umfassend lenken. Überdies hat er viel mehr Zeit, denn bei kleinen Kursabweichungen kracht er nicht sofort in den Gegenverkehr oder an einen Baum. Steer-by-Wire in der Luft ist folglich etwas total anderes als im Auto - drei so genannte Fall-Back-Ebenen (per Redundanz in Wirklichkeit noch mehr) bleiben dem Piloten zum Lenken und damit zum sicheren Landen.

So zeigen erste Ansätze für Steer-by-Wire, die über eine reine Machbarkeitsstudie hinausgehen, indem sie auch Sicherheitsaspekte berücksichtigen (siehe Kasten „Echtes Steer-by-Wire“), dass sicheres Steer-by-Wire teuer wird - und schwer. Denn das Mindeste, was man für einen elektrischen Not-Lenkbetrieb braucht, ist eine autarke Stromversorgung, sprich: eine eigene Batterie. Mindestens zwei unabhängige Stellmotoren sind überdies nötig und auch der Force-Feedback-Motor macht das Fahrzeug nicht leichter.

Um zu verstehen, warum eine - zumindest theoretisch - 100-prozentig sichere Lenkung so aufwendig gerät, hilft ein Blick auf die verwendete Sicherheitstechnik in Bahn und Flugzeug.

Raffiniertes Gespann aus Klassik und Moderne: Die Aktivlenkung des neuen 5er BMW arbeitet wie bisher mit einer Lenksäule, aber das ESP kann in heiklen Situationen statt einzelne Räder abzubremsen zuvor gegenlenken. (Bild: BMW)

Bei Zügen, die wegen der Gleisführung gar keine Lenkung haben, lassen sich relativ einfache Sicherheitsverfahren anwenden. Vor allem auch deshalb, weil es einen klar definierten sicheren Zustand gibt, in den man einen Zug versetzen kann, wenn etwas nicht richtig funktioniert: Stopp. Sichere Systeme kann man hier ohne Gewissensnot in nur zweifacher Ausführung bauen - sind sich zwei Systeme nicht einig, muss eines davon kaputt sein. Dabei interessiert nicht, welches, sondern nur die sichere Erkennung, dass etwas kaputt ist.

Doch selbst das ist nicht trivial, denn die üblicherweise nicht redundante Logik zur Erkennung, dass etwas defekt ist, muss sehr hohen Sicherheitsanforderungen genügen, nämlich fail-safe sein. Das heißt, sowohl ihr eigener Ausfall als auch der Fall, dass sich die lebenswichtigen überwachten Systeme nicht einig sind, müssen immer dazu führen, dass der Zug hält.

Nur sehr wenige Bauteile erfüllen Fail-Safe-Anforderungen, und die meisten davon, etwa speziell konstruierte Relais, nutzen Mechanik ebenso wie die alten Eisenbahnsignale, deren Kelle nur aktiv angehoben „freie Fahrt“ signalisiert. Wenn ihr Hubmagnet versagt oder der Strom ausfällt, sorgt die hochverlässliche Schwerkraft dafür, dass die Kelle nach unten fällt und bis zur Klärung der Sachlage „Stopp“ befiehlt.

Im Flugzeug ist die Lage komplizierter: Sollten sich im Flug zwei Systeme nicht einig sein, dann ist ein simples „Stopp“ nicht das Mittel der Wahl. Hier muss man stets bis zum nächsten Flughafen weiterfliegen und sicher landen können. Weil sich jedoch mit nur zwei Systemen nicht herausfinden lässt, welches defekt ist und welches noch die richtigen Daten liefert, muss man lebenswichtige Systeme in Flugzeugen dreifach auslegen. Ein sicherer Voter (der wiederum ein Kapitel für sich ist) geht bei Uneinigkeit davon aus, dass die beiden Systeme, die weiterhin gleiche Daten liefern, korrekt arbeiten.

In der Automobilindustrie gehören dreifach-redundante Systeme zu den meistgehassten, nicht nur aus Kostengründen. Eine Dreifachauslegung von Stellmotoren, Akkus, Sensorik und Elektronik bei Steer-by-Wire wäre zwar „very straight“ und sehr sicher, aber aus einem Gewichtsvorteil gegenüber der mechanischen Lenkung würde auf diese Art ein Gewichtsnachteil.

Ein Stellmotor verändert an einem Überlagerungsgetriebe in der Lenksäule die Übersetzung zwischen Lenkrad und Lenkung. Der kleine Stellmotor nutzt zum Gegenlenken die Kraft der hydraulischen Servolenkung mit. (Bild: BMW)

Grundsätzlich sind auch einfachere Lösungen denkbar: Stellmotoren sind betriebsbewährte Elektromechanik, die man durch Überdimensionierung sehr zuverlässig ausführen kann. So reichen möglicherweise zwei Motoren aus, und die Dreifachredundanz (oder durch Vernetzung und Dezentralisierung eine noch höhere) lässt sich auf die wesentlich preiswertere und leichtere Elektronik konzentrieren.

Vielleicht findet sich auch eine praktikable Idee für ein Fall-Back-System, das wenigstens Notlaufeigenschaften sicherstellt - etwa Notlenken durch einseitiges Bremsen nach Panzermanier. Doch für jegliche Form von Notbetrieb müsste der Gesetzgeber explizit grünes Licht geben, denn die aktuelle Rechtslage besagt: Ein Lenken ohne Lenksäule wird erst erlaubt, wenn die Lösung nachgewiesenermaßen mindestens so sicher ist wie herkömmliche Lenkungsanlagen.

So nimmt es nicht Wunder, dass BMW mit der Aktivlenkung im neuen 5er - auf sehr pfiffige Weise - den klassischen Weg beschreitet, also die bewährte mechanische Lenksäule behält und die Neuerungen nur als Zusatz einbringt. Ein Stellmotor variiert lediglich die Lenkübersetzung abhängig von der Geschwindigkeit. Fällt der Zusatz aus, so tut er das „fail-silent“ und es passiert nichts Schlimmeres als etwa beim Ausfall der Servolenkung.

Dennoch lassen sich über diesen Motor schon alle Vorteile des „elektrischen (Mit-)Lenkens“ demonstrieren, selbst das Wachrütteln eines Fahrers von einem Lane-Keeping-System. Für den Anfang hat sich BMW aber darauf beschränkt, dass das ESP ein drohendes Ausbrechen des Wagens zuerst per Gegenlenken verhindert, und erst wenn das nicht reicht, wie bisher auch Bremseingriffe veranlasst. Bei Ausfall der Aktivlenkung greift das ESP - wie bei Ausführungen ohne Aktivlenkung - entsprechend früher bremsend ein. Da bereits Erkenntnisse vorliegen, dass richtiges Gegenlenken den Bremsweg spürbar verkürzt, wenn die Räder links und rechts auf unterschiedlich haftendem Untergrund laufen, könnte hier eine der nächsten Aufgaben für Steer-by-Wire liegen.

Wir leben schon seit langem mit elektronischen Systemen im Auto, auch durchaus mit bevormundenden: Erst ABS, dann ESP, das immer noch von Generation zu Generation verfeinert wird. All diese Systeme haben bisher gut und sicher genug funktioniert, dass man schon von einer „Betriebsbewährung“ reden kann.

Und ähnlich wie bei Airbags, die auch mal irrtümlich oder gar nicht auslösen, besteht weitgehend Einigkeit darüber, dass die Systeme mehr Leben retten als beenden. Wohl nicht zu unrecht wirbt Firma Mercedes-Benz damit, dass die Zahl der Verkehrsunfälle mit ihren Pkw um 15 Prozent zurückging, seit 1995 ihre Fahrzeuge serienmäßig mit ESP ausgerüstet werden. Dass sich solche Statistiken nicht mit jeder individuellen Erfahrung decken, steht außer Frage.

Doch sind viele Fragen in der Sicherheitstechnik noch unbeantwortet, nicht zuletzt deshalb, weil neue Möglichkeiten auch ständig neue Fragen aufwerfen. Zudem ist die Sicherheitstechnik in Verbindung mit Computersystemen ein sehr junges Pflänzchen: Der oben zitierten VDE 0801 liegt zum Beispiel maßgeblich ein Buch aus dem Jahre 1984 zugrunde.

Computernetzwerk auf Rädern: Allein 45 untereinander vernetzte Steuergeräte bevölkern VWs Flaggschiff Phaeton. Obwohl die Bussysteme die Verkabelung drastisch reduzieren, markiert der Leitungsstrang mit 3860 m Länge in 2110 Zuschnitten bei 64 kg Gewicht Rekord: Ein gut ausgebauter S-Klasse-Mercedes bringt es „nur“ auf 3 km, 39 kg und rund 800 Zuschnitte. (Bild: Volkswagen)

Das beginnt bei der Gewissensfrage, die jedes Fahrerassistenzsystem aufwirft und die jeder Automobilhersteller beantworten muss: Wieweit darf und soll man den Autofahrer bevormunden - etwa durch ein nicht abschaltbares ESP, einen selbst bremsenden oder nur warnenden Tempomaten?

Diese Fragen sind eng verzahnt mit dem Problem, die fahrergerechte Bedienbarkeit bei ständig steigender Funktionsfülle zu gewährleisten. Da liegt seit jeher viel im Argen: Blinkerhebel links oder rechts, keine unterschiedlichen Kontrolllämpchen für Stand- und Fahrlicht -, obwohl der Gesetzgeber hier alles Mögliche reglementiert.

Aber können Sie aus dem Stegreif sagen, wie bei Ihrem Fahrzeug Nebelscheinwerfer und Nebelschlussleuchte eingeschaltet werden? Ob sich der Nebelscheinwerfer ohne Schlussleuchte aktivieren lässt? Haben Sie auch horizontal statt vertikal angebrachte Symbole, sodass Sie nie wissen, was vorn oder hinten sein soll? Warum helfen nicht wenigstens ein rotes und weißes Lämpchen? Da liegt ein echtes Dilemma: Soll man angesichts der Funktionsfülle in modernen Autos auch Zustandsanzeigen erlauben oder ist die Beschränkung auf Warnsignale effizienter?

BMW hat mit dem iDrive-System - ein Multifunktionsdrehknopf zur Menübedienung auf einem Display - einen neuen Weg versucht, die Funktionsfülle in den Griff zu bekommen, aber viel harsche Kritik geerntet. Einige Gegner fragten gar, weshalb solch eine Fahrerablenkung erlaubt wird, das Telefonieren ohne Freisprechanlage indes unter Strafe steht.

Womit ein Ausweg bereits auf der Hand liegt: Spracheingabe. Obwohl die als Diktiersystem etwa für den PC schon etabliert ist und als ausgereift gelten kann, trifft man im Auto auf kaum mehr als Telefonbedienung per Sprache. Die Autohersteller sehen hier durchaus großes Potenzial für mehr Komfort und Sicherheit (Augen bleiben auf den Verkehr gerichtet), kämpfen aber mit Detailproblemen: Die hohen und vor allem sehr unterschiedlichen Fahr- und Umgebungsgeräusche erschweren die Erkennung. Und damit die Erkennung sprecherunabhängig, mehrsprachig und ohne Training funktioniert, sind deutlich höhere Rechnerleistungen nötig als derzeit an Bord verfügbar.

Neue Techniken wie OLEDs erlauben mittelfristig vollelektronische Armaturenbretter, letztlich große, konfigurierbare Displayflächen, die für Abhilfe in mehrererlei Hinsicht sorgen sollen. Viele Fahrer fühlen sich von der Funktionsfülle mittlerweile massiv überfordert, und mit einem konfigurierbaren Cockpit lässt sich die Bedienung perfekt dosieren. Und umgekehrt können technikverliebte Naturen ihre teuer bezahlten Hightech-Extras in einem Flugzeug-ähnlichen Ambiente zur Schau stellen.

Dagegen sieht die Realität trist aus. Ein Luxusklasse-Fahrzeug kommt heute mit einer mehrhundertseitigen Bedienungsanleitung, die längst nicht jeder liest. Gerade bei den Hightech-Gimmicks wie Abstandsregeltempomaten birgt das Gefahren durch nahe liegende Missverständnisse: Voraus-Radar müsste doch ideal sein, um sich im dichten Nebel rechtzeitig vor Hindernissen oder sehr langsamen Fahrzeugen warnen zu lassen. Die Mercedes-Bedienungsanleitung sagt aber: „Die Distronic-Funktion passt sich nicht automatisch den Straßen- und Sichtverhältnissen an, deshalb die Distronic z. B. bei Straßenglätte oder bei Nebel nicht benutzen.“

Grundsätzlich kann ein radargestütztes ACC zwar stehende Objekte erkennen, beim aktuellen Stand der Technik wird darauf aber bewusst verzichtet. Die gesamte Umwelt (Bäume, Masten, parkende Autos, Schilder, Leitplanken) besteht aus ruhenden Objekten. Die exakte Erkennung eines stehenden Objektes in der eigenen Fahrbahn wird damit sehr schwierig. Die Forderung, das System bei unzureichender Sicht nicht zu benutzen, beruht aber auch auf der grundsätzlichen Philosophie hinter einem Assistenzsystem: Das System hilft, aber die Verantwortung liegt weiterhin beim Fahrer. Bei einem radargestützten Nebelblindflug jedoch gäbe der Fahrer genau diese Verantwortung ab.

Doch auch im rein technischen, zum Teil auch konzeptionellen Bereich lauert manche Sicherheitstücke. So liegt ein Bestreben der Autohersteller darin, sicherheitsrelevante Systeme von anderen zu isolieren. Das Infotainment etwa (Radio, DVD-Player, Internet-Zugang, Navigation) bleibt getrennt von Servo-Lenkung, ESP und Reifendrucksensor. Auch so profane Dinge wie elektrische Fensterheber oder Sitzverstellung gelten nicht als sonderlich sicherheitsrelevant.

Doch haben Sie mal die Gischt erlebt, die ein LKW beim Überholen in strömendem Regen gegen die Scheiben sprüht? Spätestens beim Gedanken daran findet man Autos bedenklich, die bei jedem zwanzigsten Anlassen alle Fenster runterkurbeln. Zwei-Meter-Recken werden es auch durchaus bedrohlich finden, wenn ihnen der elektrisch verstellbare Sitz bei Tempo 200 eigenmächtig die Knie unters Armaturenbrett klemmt.

Die Entwickler in der Automobilindustrie stehen allein durch die Fülle der Neuerungen vor gewaltigen Herausforderungen. Wie üblich stecken viele Teufel im Detail, und an jeder scheinbar simplen Neuerung hängt ein Rattenschwanz von Folgeproblemen. Der Übergang von 14 auf 42 V ist nötig, aber tückisch, die Langzeitversorgung mit Chips ein Drama. Plötzlich steht das Thema Datensicherheit zur Debatte, das auf eine Infrastruktur im Fahrzeug trifft, die nie dafür konzipiert war. Diese „Randthemen“ finden Sie in den Textkästen beleuchtet.

Komplexität ist kein Privileg der oberen Klassen mehr: Auch der Golf der fünften Generation - der Touran ist seine erste Manifestation - kann schon als rollendes Computernetzwerk durchgehen. (Bild: Volkswagen)

Daneben erweisen sich scheinbare Kleinigkeiten langsam als Nadelöhr, so etwa das Flashen der kompletten Firmware eines Oberklasse-Fahrzeugs: In heute laufenden Entwicklungen sind rund 5 GByte Software im Spiel, deren Download ins Fahrzeug schon mal 24 Stunden dauern kann - wenn man ihn nicht optimiert.

Hinzu kommen immer höhere Anforderungen an die Bandbreite, Zuverlässigkeit und Sicherheit der Bussysteme, die diese ständig zunehmenden Datenmengen im Fahrzeug transportieren müssen. Längst sind mehrere Bussysteme für verschiedene Aufgaben parallel im Einsatz: Der MOST-Bus (optisch) für Infotainment, ttp und FlexRay für sicherheitsrelevante Aufgaben, lin- und Can-Bus für eher einfache Steuerungen. Die Liste ist keineswegs vollständig, und allein den Can-Bus gibt es im Fahrzeug in diversen Varianten.

Damit wird offensichtlich, wie das Hauptproblem heißt: Komplexität. Auf Konferenzen zur Automobilelektronik ist das derzeit das „Stöhnwort“ Nummer 1. Denn die Komplexität steigt sowohl spezifisch in immer mehr Baugruppen, die als mechatronische Systeme andere ersetzen, aber vor allem dadurch, dass immer mehr Systeme miteinander vernetzt werden, letztlich sogar Netze (die verschiedenen Bussysteme) wiederum miteinander interagieren. Die Bilder zum VW-Phaeton vermitteln einen Eindruck der Komplexität, auf die man in ähnlicher Ausprägung auch im 7er BMW, im Audi A8, in der S-Klase oder im neuen Jaguar XJ trifft.

Speziell die Vernetzung birgt ein ungeheures Fehlerpotenzial - im Sinne des Wortes potenziert sie die Fehlermöglichkeiten. Die alte Autobauerweisheit, dass jedes eingesparte Bauteil - im Elektrikbereich bevorzugt Kontakte - nicht nur Kosten, sondern auch Fehler senkt, gilt hier etwas abstrakter: Jede zusätzliche Schnittstelle erhöht die Fehlermöglichkeiten.

So wird immer wieder der Ansatz für „schnittstellenminimale Systeme“ propagiert, weil diese Vorteile bei der Integration und Instandhaltung bieten. Doch gerade durch die Vernetzung lassen sich sinnvoll Kosten sparen, weil sonst beispielsweise die Sensorik in unabhängigen Teilsystemen mehrfach bereitgestellt werden muss, wo sich vernetzte Systeme einfach austauschen können.

Ein Fahrzeug mit ESP bedeutet, es liegen alle wichtigen Informationen zur Neigung, Geschwindigkeit und Beschleunigung des Fahrzeugs in diversen Achsen vor und überdies muss eine elektrisch betätigbare Bremsanlage vorhanden sein: Ein wenig Software dazu, und fertig ist die Berganfahrhilfe oder die intelligente Automatik, die bergab das Tempo hält. Und wenn sich beim stehenden Fahrzeug die Neigung zu stark ändert, dann sieht sich die Alarmanlage mit einem „nicht autorisierten Abschleppversuch“ konfrontiert.

Auch diverse sicherheitstechnische Fortschritte lassen sich erst durch Vernetzung realisieren: Das ESP greift nicht mehr nur mittels Motor und Bremse ein, sondern verhindert Gangwechsel (Lastwechselreaktionen) der Automatik in scharf gefahrenen Kurven, legt das Fahrwerk bei höherer Geschwindigkeit straffer aus und greift in Kürze auch in die Lenkung ein. Es wird zukünftig auch Informationen von Radar und Kameras verarbeiten. Im neuen 5er vernetzt BMW die Lichtanlage (AFL), ESP und Aktivlenkung und schafft damit wieder neue Schnittstellen zwischen bisher autarken Systemen. Die Idee zum nächsten Schritt, das Kurvenlicht mit dem GPS-Navigationssystem zu koppeln, ist längst geboren.

Steigende Komplexität also, wohin das Auge reicht. Wenn man sie beherrscht, kann eine beachtliche Sicherheitssynergie gerade darin liegen, dass sich diverse Steuergeräte gegenseitig überwachen oder sogar als dezentraler Rechnerverbund die Arbeitslast untereinander aufteilen. Im Idealfall kommt man hier schnell zu einem mehrfach-redundanten System.

Einen Weg zur Beherrschung erhoffen sich die Sicherheitsexperten im Automobilbereich von modularer Sicherheitstechnik, auch Composability genannt. In gewisser Weise praktiziert die Autoindustrie Composability durch ihr Zulieferermodell schon lange: Jedes zugelieferte Modul ist akribisch vom Automobilhersteller spezifiziert und der Zulieferer garantiert, dass er nach IEC 61508 sein Bestes auf aktuellem Stand der Technik getan hat.

In der Flugzeugindustrie aber ist man keineswegs davon überzeugt, dass Composability bei Sicherheitstechnik funktioniert, ja nicht mal, ob es überhaupt funktionieren kann: Wenn man fünf sichere Module miteinander verschaltet, hat man eben nicht automatisch ein sicheres System gebaut, das halt nur etwas komplexer ist. Das kleinste Modul eines Flugzeugs, das sich sicherheitstechnisch zertifizieren lässt, ist folglich das Flugzeug - als Ganzes, auch und gerade bei „fliegenden Computern“ wie Boeings 777.

Eine Orientierung an den Maßstäben und Methoden der Flugzeughersteller kann das Schlechteste nicht sein. Kevin R. Driscoll von Honeywell, ein Experte für Sicherheitsfragen in der Flugzeugelektronik (Avionics), die auch X-by-Wire umfasst, postuliert, dass für sicherheitskritische Systeme im Auto dieselben, wenn nicht gar höhere Maßstäbe als im Flugzeug anzulegen seien.

Avionics darf nicht mehr als einen katastrophalen Fehler in einer Milliarde Stunden haben (10-9 Wahrscheinlichkeit). Das Problem sei, dass selbst in der Luftfahrt die Spezialisten rar sind, die solche Systeme entwerfen können, während sie in der Automobilindustrie noch so gut wie nicht existent seien.

Das kann man auch positiv sehen: Es gibt also doch noch Studienrichtungen, wo man mit hoher Sicherheit nach dem Abschluss eine Anstellung findet. Und die Lenksäule wird uns im Auto wohl noch längere Zeit begleiten. (gr)

[1] Tagungsband IIR Automobil-Technologie-Kongress „AutoTec - Innovationsmotor Technik“, Baden-Baden, 28. bis 31. Januar 2003 (Kontakt: www.iir.de)

[2] Tagungsband Elektronik-Systeme im Automobil, 7. Euroforum-Jahrestagung, München, Februar 2003 (Kontakt: www.euroforum.de)

[3] Tagungsband TTA-Group Forum „Safety in Automotive Industry“, München, 15. November 2002 (Kontakt: www.ttagroup.org)

Kommt es bei konventionellen Lenkanlagen zu einem Ausfall der Servo-Unterstützung, so ist das Fahrzeug, wenn auch mit größerem Kraftaufwand, weiterhin lenkbar. Ähnlich die Bremsunterstützung ABS: Fällt sie aus, dann nach dem Fail-Safe-Prinzip, in diesem Fall als „fail silent“: Im Fehlerfall darf sie keine Vollbremsung (womöglich einzelner Räder) veranlassen, sondern muss sich aus allen Bremsaufgaben heraushalten. Die (hydraulische) Bremsanlage als mechanische Rückfallebene funktioniert weiter, nur ohne ABS-Hilfe.

Bei X-by-Wire-Systemen soll eine mechanische Rückfallebene jedoch auf Dauer ganz entfallen, weil eine Dopplung aus vollwertigen mechatronischen und mechanischen Systemen keine Vorteile bringt. Ein zukünftiges Steer-by-Wire-System (siehe Bild unten) besteht dann nur noch aus den Modulen Lenkrad, Lenkgetriebe, Steuergerät und Batterie. Über das Lenkrad gibt der Fahrer den Lenkwinkel vor und erhält darüber auch die Rückmeldung des „Lenkgefühls“ (Force-Feedback).

Das Lenkrad ist über die Lenksäule mit einem Gleichstrommotor mit integrierter Antriebselektronik verbunden, der das Rückmeldemoment erzeugt. Winkelsensoren erfassen den Lenkwinkel, kapazitive Drehmomentsensoren messen das Lenkradmoment. Die Lenkwinkelvorgabe vom Fahrer setzt das Lenkgetriebemodul in eine Lenkbewegung der Vorderräder um, des Weiteren wird die Rückmeldekraft aus dem Rad/Straße-Kontakt ermittelt.

Grundkonzept, Redundanzstruktur Fahrer Lenkvorgabe, Redundanzstruktur Rückmeldung

Zwei elektrisch kommutierte (bürstenlose) Gleichstrommotoren treiben ein winkelüberlagerndes Planetengetriebe mit selbsthemmenden Antriebswellen und damit direkt das Lenkgetrieberitzel an. In das Überlagerungsgetriebe sind ebenfalls Winkel- und Drehmomentsensorik implementiert. Aus den Messdaten des Lenkrad- und des Lenkgetriebemoduls ermittelt das Steuergerät die Ansteuersignale für die elektrischen Antriebe, gleichzeitig überwacht es auch alle Systemkomponenten. Im Fehlerfall aktiviert das Steuergerät die Fahrerwarnung. Ans Bordnetz ist das Lenksystem über ein Batteriemodul mit eigener Pufferbatterie angeschlossen, um eine Notversorgung im Fehlerfall zu gewährleisten.

In dieser Machbarkeitsstudie für ein Steer-by-Wire-System sind bereits sicherheitstechnische Überlegungen eingeflossen (unter anderem DIN V 19250, 1994 und DIN V 19251, 1995). Das System soll daher in folgender Weise fehlertolerant sein:

  • Die Lenkvorgabe des Fahrers muss bei Auftreten eines Fehlers erhalten bleiben, unabhängig von der Fehlerart und der Lokalität des Fehlers.
  • Das Gegenmoment am Lenkrad darf bereits bei einem Fehler ausfallen.
  • Jeder Fehler muss systemseitig zuverlässig erkannt und registriert werden.
  • Der Fahrer muss bei Auftreten eines sicherheitsrelevanten Fehlers zuverlässig gewarnt werden.

Diese Anforderungen sollen sich durch mehrfache Auslegung gleichzeitig in Betrieb befindlicher Komponenten (aktive, funktionsbeteiligte Redundanz) wie in den Bildern in der Mitte und rechts unten erreichen lassen.

  • dreifache Redundanz der Winkelsensorik (WS) im Lenkrad- und im Lenkgetriebemodul
  • dreifache Redundanz der Steuergeräte (SG)
  • zweifache Redundanz der Aktuatorik (Akt) im Lenkgetriebemodul
  • zweifache Redundanz der Drehmomentsensorik (MS) in Lenkrad- und Lenkgetriebemodul
  • einfach ausgelegte Aktuatorik im Lenkradmodul
  • Jedem Steuergerät ist ein Satz Sensorik zugeordnet; jedes Steuergerät berechnet unabhängig ein Ansteuersignal für jeden der drei Aktuatoren.
  • Ausfallsichere Mehrheitsentscheider (Voter) bestimmen durch Majoritätsredundanz (2-von-3-Auswahl für das Fahrer-Lenkvorgabe-/Lenkgetriebemodul, 1-von-2-Auswahl für das Rückmeldungs-/Lenkradmodul) für jeden Aktuator, welches Ansteuersignal verwendet wird. Fehlerhafte Größen werden von der Bildung der Ausgangsgröße ausgeschlossen.
  • zwei unabhängige Energieversorgungen für jede einzelne Komponente
  • zusätzliche Batterie neben dem Bordnetz (nicht im Bild gezeigt)
  • Jeder Aktuator wird von jedem Steuergerät überwacht.
  • Die Fahrerwarnung bei drohendem Teilsystemausfall ist zweifach redundant.

Aus: Irina Theis, Das Steer-by-Wire System im Kraftfahrzeug, Analyse der menschlichen Zuverlässigkeit, http://tumb1.biblio.tu-muenchen.de/publ/diss/mw/2002/theis.pdf

Obwohl moderne Luxus-Fahrzeuge wie der aktuelle 7er BMW bis zu 80 Steuergeräte mit sich herumfahren, ist die Automobilindustrie weltweit mit acht Prozent ein ganz kleines Licht als Abnehmer von Prozessorchips. Computertechnik und Telekommunikation dominieren den Weltmarkt mit 42 und 25 Prozent.

Das hat diverse Konsequenzen. Zunächst bauen die großen Chip-Hersteller keine maßgeschneiderten „Auto-Prozessoren“, sondern Autohersteller und ihre Zulieferer müssen nehmen, was der IT-Markt bietet.

In der Computertechnik sind die Entwicklungszyklen um Größenordnungen kürzer als im Automobilbau, und das größte Problem der Autohersteller ist die Langzeitverfügbarkeit von Chips. Drei Jahre dauert die Entwicklung des Chips, drei Jahre Entwicklung und Test im Auto folgen, fünf bis zehn Jahre Produktion und zehn Jahre Ersatzteillieferbarkeit gelten in der Autobranche - Chip-Hersteller und -Lieferanten können da nur müde lächeln. Selbst wenn sich mehrere kleinere Chip-Hersteller ganz dem Automobilmarkt widmen würden - von acht Prozent des Weltmarktes kann man leben -, nach zehn Jahren laufen entweder die Fabs nicht mehr oder es gibt die „ur-alten kleinen Wafer“ nicht mehr, oder die Lacke und anderes Zubehör.

Derselbe Chip ließe sich zwar in neuer Fertigungstechnologie weiter produzieren (Z80-Prozessoren kann man nach über 20 Jahren immer noch kaufen), doch ein geshrinktes Design oder modifizierte Halbleitertechnik (CMOS statt NMOS etwa) ergibt in Wahrheit einen völlig neuen Chip: Andere Pegelschwellen, andere Treiberlasten, andere Signalkurven, anderes Timing.

Wenn hier kein Ausweg gefunden wird, heißt das unter anderem, dass ein heute gefertigtes Auto wohl in 30 Jahren keinen fahrbaren Oldtimer mehr abgibt, weil Fehler in der Elektronik nicht mehr zu beheben sind. Dass die einfachste Abhilfe - Bevorratung und Lagerhaltung - auch extrem teuer ist, leuchtet wohl ein. Und auch Elektronik altert rein durch Lagerung - es gibt mit Sicherheit Ausschuss.

Eine Idee setzt auf Rückwärtskompatibilität: Die nächste Generation Steuergeräte für vergleichbare Aufgaben übernimmt die des Vorgängers mit. Das liest sich allerdings viel einfacher, als es ist. Abgesehen von den genannten Unterschieden zwischen Chip-Generationen erfordert schon heute der Ersatz eines defekten Steuergerätes unter Umständen, dass die Softwareversionsstände diverser mit ihm vernetzter Steuergeräte auf einen neuen Stand zu bringen sind.

Mechatronische Systeme brauchen jede Menge Leistung. Aktuelle Lichtmaschinen liefern etwa 600 Watt, heute bei Neuwagen etwa 1 kW. Schon für 2005 wird der Leistungsbedarf in der Luxusklasse auf 6 kW prognostiziert: Elektrische Servolenkung, Klimaanlage, Ventiltriebe, Bremsen und mehr brauchen diese Leistung.

Bliebe es bei der klassischen 14-Volt-Versorgung, bräuchte man noch dickere Kabel als derzeit schon. Die Kabelbäume in Phaeton und S-Klasse liegen den Herstellern aber heute schon viel zu schwer im Wagen. Mit dem Umstieg auf ein 42-V-Bordnetz könnte man die dreifache Leistung bei gleichem Kabelquerschnitt handhaben.

42-V-Technik ist seit etwa fünf Jahren ein Dauerthema - fast schon ein Running Gag auf Konferenzen. Jeder will und braucht sie, doch keiner kann sich mehr als kleine Subsysteme damit leisten. Es geht dabei nicht nur ums Geld, obwohl zu Beginn natürlich alle elektrisch betriebenen Systeme (Motoren, Relais, Aktoren, Lampen, Steuergeräte, Infotainment) aufgrund kleiner Stückzahlen deutlich teurer kämen.

Viel beängstigender für die Autohersteller ist aber die Vorstellung, dass sie sich auf einen Schlag einen Riesenbatzen völlig neue Systemtechnik - und jedes echte 42-V-System ist ein Neudesign - ins Fahrzeug holen müssten, mit der sie noch keine Betriebserfahrungen sammeln konnten. Eine Pannenlawine, die auf unerfahrene Servicetechniker trifft, wäre nicht auszuschließen.

Die Automobilindustrie hat vermutlich richtig gehandelt, den Umstieg auf 42 V nicht zu überstürzen, denn die ersten praktischen Erfahrungen zeigen, dass die scheinbar läppische Verdreifachung der Betriebsspannung unerquickliche „Nebenwirkungen“ hat. Wo in einem Kabel mit 1 Ohm Gesamtwiderstand bei einem Kurzschluss (abgescheuerte Isolation) „nur“ 14 Ampere fließen, sind es nun 42 - da ist eine Leitung schon mal verdampft, wenn die 10-A-Sicherung genauso träge reagiert wie zuvor. Ergo: Schnelle Halbleitersicherungen werden die Schmelzsicherungen ablösen müssen und vielleicht sind neue Vorkehrungen gegen Kabelbrand nötig.

Höhere Spannung bedeutet auch stärkere Korrosion an Kontakten - und zwar beträchtlich, erst recht in salzhaltiger Luft. Ebenso belastet es Steckverbinder erheblich heftiger, wenn sie bei gleichem Strom im Betrieb abgezogen werden - es stecken wesentlich höhere Energien in den vielen induktiven Lasten, die sich in Lichtbögen Bahn brechen. Es gibt daher Überlegungen, Steckverbindungen mit Sensoren auszustatten, um sie vor der eigentlichen Lasttrennung per Halbleiter stromlos zu schalten. Mechanische Leistungsschalter dürften aus demselben Grund Kombinationen aus Tipptaster und Leistungshalbleiter weichen - was allerdings auch in Autos mit 14-Volt-Netz heute schon weit verbreitet ist.

Ebenso wird im Buch der EMV und Störimpulse ein neues Kapitel aufgeschlagen, wenngleich hier die Befürchtungen gering sind: Störimpulse fängt man sich eher durch große Ströme ein, und eben die werden in 42-V-Technik zunächst eher geringer ausfallen.

Der Übergang wird sich folglich zweigleisig vollziehen: 42 V für neue Komponenten, die man anders nicht effizient betreiben kann, 14 V überall dort, wo erprobte und preisgünstige Technik ausreicht. Dabei werden übergangsweise auch zwei separate Batterien zum Einsatz kommen. Das erhöht zwar das Gewicht, doch wird man ohnehin bald redundante Energiebildn für sicherheitsrelevante Anwendungen brauchen. Trivial ist dieses Vorgehen dennoch nicht, denn in einem gemischten 14/42-V-Bordnetz müssen die einzelnen Pfade gegen Kurzschlüsse auch untereinander abgesichert werden - eine ganz neue Variante in der Autoelektrik, zu der ebenfalls keine Erfahrungen vorliegen.

Durch den Bedarf an Hochleistungsgeneratoren, die sich nicht mehr per einfachem Keilriemen antreiben lassen, dürfte dann endlich die Stunde des Kurbelwellenstarters (KSG) schlagen. Dieses direkt auf der Kurbelwelle sitzende Aggregat dient gleichermaßen als Anlasser und 42-V-Lichtmaschine (ein Gerät kann also entfallen).

Das ISAD-System sitzt direkt auf der Kurbelwelle und fungiert gleichermaßen als Starter und Lichtmaschine. (Bild: Continental)

Schon heute verspricht Continental ISAD, dass deren „Integrated Starter Alternators with Damping functions“ (ISAD) einen geräuschärmeren Start mit weniger Emissionen schafft als herkömmliche Anlasser. Zudem liege der Wirkungsgrad als Generator bei 90 Prozent, wo die klassische Lichtmaschine nur rund 50 Prozent bietet. Mittelfristig seien KSGs auch die erste Wahl, wenn es um die Rückgewinnung kinetischer Energie beim Bremsen geht. Nicht zuletzt soll ein KSG die Schwungscheibe (weitere Gewichtsersparnis) durch eine intelligente Regelung (Damper) ersetzen und so die Motorlaufruhe erhöhen.

Doch das ISAD von Continental beispielsweise wird erst ab 2004 bei zwei Fahrzeugen von General Motors in Serie gehen. Dass KSGs trotz ihrer Vorzüge noch kaum im Einsatz sind, hat einen einfachen Grund: Sie passen nicht ohne massive mechanische Änderungen des Antriebsstrangs ins aktuelle Design.

Datenschutz, Vertraulichkeit und Datensicherheit erlangen auch im Auto Bedeutung, und keineswegs nur für neue Mobildienste, bei denen die Authentizität eines Benutzers und so etwa die Abrechnungsmodalitäten - nicht zuletzt für Audio- und Video-Dateien - im Griff bleiben müssen.

Die zunächst allgemein begrüßte Methode, per integrierten Mobiltelefon und GPS-Navigation gestohlene Autos orten zu können, treibt in der Praxis kuriose Blüten: So soll es in den USA bereits eine spürbare Tendenz geben, mit dem OnStar-System ausgestattete Dienstwagen zu meiden, wenn bestimmte Fahrten anstehen - weil sonst die Ehefrau durch einen Kontrollanruf erfahren kann, wo sich das Fahrzeug gerade aufhält. Honi soit qui mal y pense. Doch viel wichtiger die Frage: Vertraulichkeit und Auto, wer wäre vor zehn Jahren darauf gekommen?

Eine andere Frage lautet: Wem gehören eigentlich die Daten in meinem Auto, die jede Werkstatt schon seit längerem per Diagnosestecker abfragt? Da wurde schon manchem Dienstwagenquäler - geschaltet wird erst im roten Bereich - die Kulanz verweigert, als bei 10 000 km der Motor verreckte, weil er denselben schon in der Einfahrzeit regelmäßig überdreht hat. Die Bordelektronik hatte alles brav protokolliert.

In den USA laufen Bestrebungen, Logs über den Fahrverlauf in so genannten Black Boxes, wie sie in der Luftfahrt üblich sind, zu führen, um Unfallhergänge rekonstruieren zu können. Und IBM in Deutschland arbeitet im Auftrag von Versicherern an einem System, das eines Tages für unsere Haftpflichtprämie relevant werden soll: „Pay as you drive“ ist die Idee dahinter, also abhängig von der Fahrweise bezahlen.

Verschlüsselung wird in die Fahrzeugdatenstruktur als Schutz vor Missbrauch einziehen müssen. Wenn unsere Autos tatsächlich eines Tages Firmware-Updates per Mobilfunk oder gar an jeder Tankstelle per Bluetooth erhalten - am besten noch, ohne dass wir davon erfahren -, dann sollte nicht jeder abgedrehte Hacker Überraschungen ins ESP implementieren können.

Das Hauptproblem ist, dass man das Thema Datensicherheit in der bisherigen Entwicklung der Kfz-Elektronik erst viel zu spät als relevant bemerkte und streng genommen kein Gesamtkonzept hat, sondern nur einen Flickenteppich abhängig vom Alter der Systemlösungen.

Kommentare

Anzeige