Technologie
NX NextMotion Drive-by-Wire Steer-by-Wire Sicherheitskonzept Sekundärfunktionen Hard- & Softwareentwicklung Produktion Fahrdynamikschätzer
Branchen
Automotive Logistikanwendungen Land & Forstmaschinen Bau & Bergbau Nutzfahrzeuge ÖPNV & Mover Behindertenmobilität Reisemobile Motorsport
Anwendungsfälle
Autonomes Fahren Platooning Teleoperiertes Fahren Force Feedback Teilautonom Simulation NX NextTwin
Innovationshub
Next Mobility Campus New Mobility Campus Hightechlabor Rennstrecke
Unternehmen
Über uns Unsere Partner Karriere / Jobs Presse Blog
Kontakt
14.02.2025

Sicherheit & Redundanz – Warum Drive-by-Wire fail-operational sein muss

LKWs auf einem Speditionsparkplatz

1. Einleitung: Warum Sicherheit die größte Herausforderung für Drive-by-Wire ist

Drive-by-Wire-Systeme bieten enorme Vorteile in Bezug auf Flexibilität, Gewichtseinsparung und die Integration autonomer Systeme. Doch während mechanische Lenksysteme durch ihre physische Verbindung eine natürliche Redundanz bieten, muss bei einem vollelektronischen System sichergestellt werden, dass die Steuerung auch bei einem Fehler vollständig erhalten bleibt.

Ein zentrales Konzept hierfür ist die Fail-Operational-Architektur. Sie stellt sicher, dass das System auch bei Störungen funktionsfähig bleibt, anstatt in einen sicheren, aber nicht mehr steuerbaren Zustand zu wechseln („Fail-Safe“).

In diesem Blogartikel erklären wir, warum Redundanzkonzepte entscheidend für die Sicherheit von Drive-by-Wire-Systemen sind, welche technologischen Lösungen es gibt und wie Arnold NextG eine der sichersten Steer-by-Wire-Architekturen entwickelt hat.

2. Was bedeutet „Fail-Operational“ & warum ist Redundanz entscheidend?

Ein mechanisches Lenksystem bleibt auch bei einem Ausfall weiterhin steuerbar, da die direkte Verbindung zwischen Lenkrad und Rädern bestehen bleibt. Ein Drive-by-Wire-System benötigt hingegen eine andere Strategie, um dieselbe Sicherheit zu gewährleisten.

„Fail-Operational“ bedeutet, dass das System selbst im Fehlerfall noch funktionsfähig bleibt.

Ohne ein Fail-Operational-Design könnte ein Fehler in der Elektronik dazu führen, dass das Fahrzeug plötzlich nicht mehr lenkbar ist – eine unakzeptable Situation für den Straßenverkehr.

Die Lösung liegt in einer mehrstufigen Redundanzstrategie:

  • Sensorische Redundanz (2oo3-Prinzip) – Es werden drei Sensoren verwendet, von denen mindestens zwei übereinstimmen müssen, um ein Signal als vertrauenswürdig zu betrachten.
  • ECU mit A/B-Seite – Eine Steuerungseinheit mit zwei unabhängigen Verarbeitungspfaden, die das sicherste Signal auswählt.
  • Redundante Aktuatoren – Falls ein elektrischer Stellmotor ausfällt, übernimmt ein Backup-Aktuator die Lenkbewegung.

Durch diese Struktur kann ein Drive-by-Wire-System sicher weiterarbeiten, selbst wenn eine Komponente ausfällt.

3. Technologische Konzepte für Fail-Operational-Architekturen

Sensorische Redundanz (2oo3-Sensorik)

Die 2oo3-Architektur (Two-out-of-Three) stellt sicher, dass fehlerhafte Sensorwerte erkannt und ausgeschlossen werden. Dabei werden drei voneinander unabhängige Sensoren eingesetzt:

  • Falls alle drei Sensoren übereinstimmen, wird das Signal direkt übernommen.
  • Falls ein Sensor abweicht, wird er ignoriert, solange die anderen zwei übereinstimmen.
  • Falls zwei Sensoren unterschiedliche Werte liefern, geht das System in einen sicheren Modus.

Dies verhindert Fehlsteuerungen durch fehlerhafte Sensordaten und stellt sicher, dass immer das verlässlichste Signal genutzt wird.

ECU mit A/B-Seite – Auswahl des vertrauenswürdigsten Pfades

Die ECU (Electronic Control Unit) in einem Drive-by-Wire-System besteht aus zwei getrennten Verarbeitungspfaden (A und B). Diese parallelen Rechenstrukturen analysieren unabhängig voneinander die eingehenden Sensordaten und berechnen den optimalen Lenkwinkel.

Die Steuerung wählt dann den vertrauenswürdigsten Pfad, basierend auf internen Plausibilitätsprüfungen und Fehlererkennung. Dadurch wird sichergestellt, dass auch bei Störungen die Lenkung stabil bleibt.

Redundante Aktuatoren für die Lenkkraftübertragung

Falls einer der elektrischen Stellmotoren ausfällt, übernimmt ein Backup-System automatisch die Lenkbewegung. Die Umschaltung erfolgt in Millisekunden, sodass der Fahrer oder das autonome Steuerungssystem keine Einschränkungen in der Steuerung wahrnimmt.

4. Kritische Szenarien & Sicherheitsmechanismen in der Praxis

Szenario 1: Plötzlicher Sensorausfall während der Fahrt

Ein Fahrzeug mit Drive-by-Wire-System fährt auf der Autobahn, als plötzlich ein Sensorausfall auftritt.

Ohne Redundanz:
Das Steuergerät erhält fehlerhafte Daten und kann keine sichere Lenkberechnung durchführen – die Lenkung fällt aus.

Mit 2oo3-Sensorik:
Das System erkennt den fehlerhaften Sensor, ignoriert dessen Werte und nutzt die verbleibenden zwei Sensoren für eine korrekte Steuerung.

Szenario 2: Defekt eines Lenkmotors in einer Kurve

Beim Durchfahren einer engen Kurve fällt ein Stellmotor des Lenksystems aus.

Ohne Redundanz:
Das Fahrzeug verliert plötzlich die Lenkkontrolle – ein gefährlicher Zustand.

Mit Fail-Operational-Architektur:
Der Backup-Aktuator übernimmt die Lenkbewegung in Echtzeit, sodass der Fahrer oder das autonome System die Kontrolle behält.

5. Regulatorische Anforderungen & Sicherheitsstandards für Drive-by-Wire

Die Sicherheit von Drive-by-Wire-Systemen erfordert die Einhaltung strenger Automobilvorschriften und Sicherheitsstandards. Arnold NextG’s Fail-Operational-Architektur erfüllt die höchsten globalen Sicherheitsanforderungen, darunter:

Vereinigte Staaten (FMVSS & NHTSA)

  • FMVSS 126 – Vorschriften für elektronische Stabilitätskontrolle (ESC)
  • SAE J3016 – Klassifizierung der Fahrautomatisierung (einschließlich Level 5)
  • NHTSA Safety Guidelines – Cybersecurity- und Sicherheitsrichtlinien für Drive-by-Wire-Systeme

Europäische Union (UNECE & ISO)

  • ISO 26262 (ASIL-D) – Funktionale Sicherheit für Straßenfahrzeuge
  • UNECE R79 – Vorschriften für Steer-by-Wire-System
  • UNECE R156 – Sicherheitsanforderungen für Software-Updates in Fahrzeugen

Durch die Erfüllung dieser Standards stellt Arnold NextG sicher, dass sein Drive-by-Wire-System weltweit für den Einsatz in konventionellen und autonomen Fahrzeugen bereit ist.

6. Fazit & Ausblick auf Blog 3 (Autonomes Fahren & Drive-by-Wire)

Ein Drive-by-Wire-System kann nur dann eine vollwertige Alternative zu mechanischen Lenksystemen sein, wenn es fail-operational ist. Die Kombination aus 2oo3-Sensorvalidierung, einer ECU mit A/B-Verarbeitungspfaden und redundanten Lenkaktuatoren sorgt dafür, dass das System selbst unter extremen Bedingungen sicher bleibt.

Doch warum ist Drive-by-Wire nicht nur eine Alternative, sondern eine Notwendigkeit für autonomes Fahren auf Level 5? Blog 3 coming soon!