Sicherheit elektronischer Motorleistungsregelungen gegen Selbstbeschleunigung

Untersuchungsziel
Das Ziel des Forschungsprojektes bestand in der Untersuchung der ausreichenden Sicherheit von elektronischen Motorleistungsregelungen, deren Funktion die elektronische Übertragung der gewählten Gaspedalstellung zur Drosselklappe ist, gegen Selbstbeschleunigung.

Vorgehen
Durchgeführt wurde die Prüfung an einem zufällig ausgewählten Fahrzeug eines Herstellers, in das eine Elektronische Motorleistungsregelung integriert war. Da es für den Aufbau und die Prüfung von sicherheitsrelevanter Kraftfahrzeugelektronik keine nationale Bestimmung bzw. EG-Richtlinie gibt, wurde als Prüfgrundlage für die Untersuchung der Vorschlag "Prüfung von Elektronik-Systemen in Kraftfahrzeugen" (VdTÜV-Forschungsvorhaben Nr. 302) herangezogen. Die Anwendung des Vorschlags bezog sich ausschließlich auf die Prüfung des Systems nach der Black-Box-Testmethode. Dabei
war nicht bekannt, auf welcher Grundlage das Sicherheitskonzept des Herstellers basierte. Die Vorgehensweise bei der Prüfung (Black-Box-Test) wird in ähnlicher Form als Teilprüfung auch im Richtlinienentwurf zu Q 30 StVZO "Prüfung von Systemen mit elektronischen Komponenten in Kraftfahrzeugen" beschrieben.

Ergebnisse
Bei dem vorliegenden E-Gas-System kam es während der Fehlersimulation zur Selbstbeschleunigung des Fahrzeugs durch die Kombination eines von den Sicherheitseinrichtungen unentdeckten Erstfehlers mit einem nachfolgenden zweiten Fehler.
Eine Selbstbeschleunigung des Fahrzeugs trat in Kombination mit einem simulierten Fehler am Masseanschluß des Istwertgebers auf. Dabei wurde bei einem Masseübergangswiderstand von ca. 4000 Ohm die größtmögliche Öffnung der Drosselklappe erreicht, während bei kleineren Widerstandswerten die Drosselklappenöffnung proportional abnahm. Bei Werten über ca. 4000 Ohm erkannten die Überwachungseinrichtungen des E-Gas-Steuergerätes den Fehler und das System schaltete in den Notbetrieb um.

Diskussion und Schlussfolgerungen
Die Selbstbeschleunigung basierte auf dem unerkannten Erstfehler, hervorgerufen durch die Leitungsverbindung zwischen dem Ausgang Notabschaltung des Steuergerätes und der Fahrzeugbatteriespannung 12 V. Dadurch wurde eine Betätigung des Steuergeräteausgangs "Notabschaltung" verhindert. Die Überwachungseinrichtungen des Steuergerätes erkannten den simulierten Fehler nicht, und die Warnlampe im Kombi-Instrument des Fahrzeugs leuchtete nicht auf. Zu einer Beeinträchtigung der Funktion im Normalbetrieb des Fahrzeugteilsystems führte der Fehler nicht. In der Praxis könnte der simulierte Erstfehler durch einen Defekt am Schaltausgang "Notabschaltung" im E-Gas-Steuergerät oder durch ein defektes nachgeschaltetes Relais verursacht werden. Der Zweitfehler am Istwertgeberpotentiometer könnte in
der Praxis durch einen Masseübergangswiderstand herbeigeführt werden.
Zum Erreichen der maximalen Beschleunigung im Normalbetrieb des Fahrzeugs müßte die beschriebene Fehlerkombination mit einem Widerstandswert von ca. 4000 Ohm auftreten. Widerstandswerte, die wesentlich kleiner sind als 4000 Ohm, können als unkritisch angesehen werden.
Die gewählte Sicherheitsklasse 2 des angewendeten Sicherheitskonzeptes fordert eine laufende Kontrolle von Sensoren und Aktuatoren in maximal möglicher Tiefe. Dies wird bei dem Steuergeräteausgang Notabschaltung nicht in voller Konsequenz durchgeführt. Zur Aufdeckung des simulierten Erstfehlers könnte z.B. der Schaltausgang des Steuergerätes beim Einschalten der Zündung durch eine Überwachungsfunktion mehrmals als kurz betätigt und zur Überprüfung wieder
zurückgelesen werden. Würde dabei ein Fehler aufgedeckt, könnte die Elektronische Motorleistungsregelung auf Notbetrieb umgeschaltet und der Fehler dem Fahrer über die Warnlampe im Kombi-Instrument angezeigt werden. Somit wäre sichergestellt, dass ein Erstfehler am Steuergeräteausgang Notabschaltung vor dem Beginn der Fahrt mit dem Fahrzeug erkannt würde. Bei einer Einstufung des E-Gas-Systems in die Sicherheitsklasse 3 des angewandten Vorschlags, hätte der beschriebene Fehler ebenfalls nicht auftreten dürfen.
Das hier dargestellte Prüfergebnis beruht auf der Untersuchung einer Elektronischen Motorleistungsregelung eines Fahrzeugs. Hieraus kann weder abgeleitet werden, inwieweit das Ergebnis sich auf Fahrzeuge des gleichen Typs noch auf die z. Zt. zugelassenen Fahrzeuge am Markt mit unterschiedlichen E-Gas-Systemen übertragen läßt. Wie aus dem beschriebenen Prüfbeispiel zu erkennen ist, würde ein Regelwerk mit vorgegebenen Sicherheitsklassen für die Konzeption und Entwicklung von Fahrzeugelektronik eine wichtige Grundlage bieten. Der Vorteil läge in der Einheitlichkeit der Sicherheitskonzepte für bestimmte sicherheitskritische Aufgaben im Fahrzeug.
Mit den bei der Anwendung des Regelwerkes gesammelten Erfahrungen bestände die Möglichkeit, dieses ständig zu erweitern und auch an neu zu entwickelnde elektronische Systeme anzupassen.