Sicherheit durch Design: Was Steuerungen tun

mobility
safety
control
16. Dezember 2024
In einem früheren Beitrag haben Jared Miller und Niklas Schmid untersucht, was Sicherheit in der Technik bedeutet. Aber wie setzen verschiedene Automatisierungssysteme diese Spezifikationen um?
Cartoon-style illustration of an open laptop with code on screen, overlaid with symbols for warnings and settings.
Teilnehmende
Jared Miller

In unserem letzten Blogbeitrag haben wir uns mit den verschiedenen Aspekten der Sicherheit befasst, die von Regelungstechnikern berücksichtigt werden müssen – von der psychologischen Sicherheit, zu wissen, dass ein System wie erwartet funktioniert, bis hin zur physischen Sicherheit, um Schäden zu vermeiden. Wir haben gesehen, dass verschiedene Spezifikationen manchmal in Konflikt geraten und priorisiert werden müssen; und dass es wichtig ist, sicherzustellen, dass das Ergebnis nicht nur gerade noch akzeptabel, sondern auch sicher genug ist. Wie können wir also ein Regelsystem auslegen, das sicherstellt, dass diese Sicherheitsauflagen eingehalten werden? 

Natürlich gibt es nicht nur eine Antwort. Forschende im Bereich der Regelungstechnik arbeiten mit einer Reihe von Werkzeugen, die auf verschiedene Probleme angewendet werden können. Wenn es um die Regelung realer Systeme geht, sind zwei der vorherrschenden Ansätze die Proportional-Integral-Differential-Regelung (PID) und die modellprädiktive Regelung (MPC). Jeder dieser Ansätze hat unterschiedliche Stärken. 

Wie Regler Entscheidungen treffen 

PID-Regelungsschemata zur Verfolgung eines gewünschten Sollwerts, wie z. B. der Temperatur, basieren auf dem Vergleich der aktuellen Abweichung (proportional), der vergangenen Abweichungen (integral) und der Änderungsrate der Abweichung (derivativ). Die Schweizerischen Bundesbahnen (SBB) beispielsweise verwenden PID-Regler, um das Klima in Zügen zu regeln, indem sie die Differenz zwischen tatsächlicher und gewünschter Temperatur messen. 

Die relative Gewichtung der proportionalen, integralen und derivativen Verstärkungen innerhalb der Berechnung kann zu unterschiedlichen Verhaltensweisen führen; es kann zu einem Überschwingen kommen oder es kann mehr oder weniger Zeit benötigt werden, um den Sollwert zu erreichen, und so weiter. In einigen Fällen kann die korrekte Einstellung dazu beitragen, dass die Sicherheitsanforderungen erfüllt werden, aber PID-Regelungskonzepte können in der Regel weder Sicherheit noch Leistung garantieren.

Im Gegensatz zu diesem gewichteten Summenansatz löst Model Predictive Control (MPC) eine Reihe von Optimierungsproblemen, um den Reglereingang zu bestimmen. In jedem Schritt wird der Eingang bestimmt, der die voraussichtlichen Kosten minimiert. Dieser Prozess wird kontinuierlich wiederholt und passt sich ständig neuen Informationen an. 

MPC zeichnet sich durch die Optimierung innerhalb festgelegter Grenzen aus. Aus diesem Grund arbeitet der NFS-Automation-Forscher Ahmed Aboudonia daran, das PID-Regelsystem der SBB um einen MPC-Regler zu erweitern, um die Effizienz zu verbessern und Energie zu sparen, während gleichzeitig der Komfort der Fahrgäste in Schweizer Zügen gewährleistet wird. 

Deshalb ist MPC auch bei Sicherheitsproblemen nützlich. Sicherheitsvorgaben für “tödliches” und “nicht tödliches” Fehlverhalten können direkt zu den Einschränkungen hinzugefügt werden, die MPC-Optimierungsprobleme leiten – entweder als strikte Beschränkung (d. h. die projizierte Flugbahn in der Zukunft muss die gewünschten Spezifikationen erfüllen) oder als Kosten (es wäre am besten, wenn diese Einschränkungen erfüllt würden; es ist in Ordnung, wenn sie gelegentlich verletzt werden, das kostet aber etwas). 

Eine Kerneigenschaft von MPC ist der Begriff der „rekursiven Durchführbarkeit“. Das bedeutet, dass ein System, das bis zu einem bestimmten Zeithorizont (z. B. 30 Sekunden in der Zukunft) als sicher eingestuft wird, auch während der gesamten Ausführung (möglicherweise 4.000 Sekunden) sicher bleibt. Genauer gesagt stellt die Anwendung des von MPC zum aktuellen Zeitpunkt generierten Reglereingangs sicher, dass es möglich ist, im nächsten Schritt wieder das Optimierungsproblem zu lösen und wieder einen Reglereingang zu finden. Nachweise der rekursiven Durchführbarkeit sind für die Gewährleistung der Sicherheit von MPC-basierten Richtlinien von entscheidender Bedeutung. Ein Scheitern der rekursiven Durchführbarkeit könnte dazu führen, dass das System in einer Position landet, in der es unmöglich ist, sicher zu bleiben.

Unabhängig davon, welches Regelsystem verwendet wird, bieten gemeinsam entwickelte Regler und Zertifikate eine gewisse Sicherheit dafür, dass der Regler sicher bleibt, wenn die Regelungsrichtlinie befolgt wird. Diese Zertifizierung kann verwendet werden, um Backup-Regler (Sicherheitsfilter) aufzurufen, die übernehmen, wenn die Trajektorie unsicher wird – beispielsweise in einem autonomen Fahrzeug, bei dem die Beschleunigung reduziert wird, wenn eine Erhöhung der Geschwindigkeit dazu führen würde, dass das Fahrzeug auf das vorausfahrende Fahrzeug auffährt; oder Notfall-Flugsteuerungen, um einen Absturz zu vermeiden, falls der Pilot die falsche Eingabe vornimmt oder beim Manövrieren ohnmächtig wird. 

Was ist mit Unsicherheit?

Sobald der Regler unter Berücksichtigung der Sicherheitsspezifikationen entworfen wurde, wird er in der Regel in einer Simulation getestet, bevor er im realen System eingesetzt wird. Ein Regler, der in einer Simulation gut funktioniert, kann jedoch möglicherweise keine Sicherheit garantieren, wenn er in der realen Welt eingesetzt wird. Diese „Sim2Real“-Lücke kann verschiedene Ursachen haben: Sensorrauschen, nicht kalibrierte Kameras, Windböen, unerwartetes Benutzerverhalten, fehlerhafte Komponenten oder sogar kosmische Strahlung, die Bits im Computer eines Raumfahrzeugs umschaltet.
 

A space satellite catching fire, with planet Earth in the distance
Trotz aller sorgfältigen Arbeit, die in die Konstruktion von Raumfahrzeugen fließt, können sie durch eine Vielzahl von Faktoren beschädigt werden, die in der Simulation nicht vollständig berücksichtigt werden können.

Daher benötigen Regelsysteme Möglichkeiten, trotz solcher Unsicherheiten sicher zu bleiben. Ingenieure können auf zwei Hauptmethoden zurückgreifen, um mit Unsicherheiten umzugehen: robuste oder stochastische Steuerung. Ein System ist robust sicher, wenn es für jeden möglichen Wert der unsicheren Grösse sicher bleibt: zum Beispiel, wenn das Rauschen auf einem Draht immer innerhalb von +-0,1 Volt liegt oder die Windgeschwindigkeit, die auf eine Drohne trifft, immer innerhalb von 10 m/s liegt. Ein System ist stochastisch sicher, wenn es die Sicherheitsbeschränkung mit hoher Wahrscheinlichkeit einhält. Steuerungen, die stochastische Sicherheitsbeschränkungen einhalten, sind im Allgemeinen weniger konservativ als Steuerungen, die robuste Sicherheitsbeschränkungen einhalten, weil eine robuste Regelung immer auf die schlimmste Störung reagieren muss. 

Stochastische Beschränkungen können weiter in einzelne Zufallsbeschränkungen oder gemeinsame Zufallsbeschränkungen unterteilt werden. Einzelne Zufallsbeschränkungen gewährleisten die Sicherheit (bis zur festgelegten Wahrscheinlichkeit) separat zu jedem Zeitpunkt. Im Gegensatz dazu gibt eine gemeinsame Zufallsbeschränkung eine Wahrscheinlichkeit für die Sicherheit im Verlauf der gesamten Flugbahn zurück. Beispielsweise könnte eine Regelungsrichtlinie für ein Flugzeug so gewählt werden, dass die Wahrscheinlichkeit, dass das Flugzeug sicher am Ziel landet und alle Beschränkungen während des Fluges einhält, 99,9999 % übersteigt. Gemeinsame Zufallsbeschränkungen sind in der Praxis geeignetere Sicherheitsspezifikationen als individuelle Zufallsbeschränkungen, erfordern jedoch einen höheren Rechenaufwand und technische Sorgfalt bei der Lösung. 

Robuste (harte) Beschränkungen: Sicherheit für jeden möglichen Wert der unsicheren Grösse
Individuelle Zufallsbeschränkungen: Sicherheit zu jedem einzelnen Zeitpunkt mit einer gewissen Wahrscheinlichkeit
Gemeinsame Zufallsbeschränkungen: Sicherheit über die gesamte Flugbahn mit einer gewissen Wahrscheinlichkeit
Verteilungsrobustheit: Sicherheit für alle konsistenten Rauschprozesse mit einer gewissen Wahrscheinlichkeit

Eine Brücke zwischen robuster und stochastischer Sicherheit ist die verteilungsrobuste Sicherheit. Verteilungsrobuste Methoden bieten stochastische Sicherheit gegen alle Rauschprozesse, die ausreichend nahe an einer Referenzverteilung liegen (die in der Regel auf beobachteten Daten basiert) – d. h., tatsächliche Ereignisse werden verwendet, um einen Bereich wahrscheinlicher Rauschwerte abzuleiten, der die „robusten“ Sicherheitsbeschränkungen definiert. Da es theoretisch möglich ist, dass dieser Bereich überschritten wird, müssen alle Sicherheitsbeschränkungen als stochastisch bezeichnet werden, aber innerhalb des wahrscheinlichen Bereichs werden robuste Beschränkungen mit hoher Wahrscheinlichkeit eingehalten. Die verteilungsrobuste Sicherheit findet Anwendung beim Betrieb von Windkraftanlagen und Solarparks, bei denen historische Daten für Wind- und Wolkentrends verwendet werden können, um wahrscheinliche Lärmquellen in der Zukunft zu definieren. 

MPC-Systeme können Regler finden, die die Sicherheit unter all diesen Unsicherheiten gewährleisten – robuste, stochastische und verteilungsrobuste Unsicherheit (solange die rekursive Durchführbarkeit gegeben ist). 

Sicherheit, auf die Sie sich verlassen können

Wie bereits erwähnt, hängt die Bedeutung von „Sicherheit“ stark von der jeweiligen Anwendung ab. Wir haben auch Methoden zur Definition, Quantifizierung und Steuerung der Sicherheit in realen Systemen untersucht. Und wir haben die Tatsache berücksichtigt, dass Sicherheit auf jeder Ebene Vorrang haben muss, wobei operative und reglementarische Entscheidungen den Prozess von den ersten Schritten (Definition von Normen, Risikobewertung usw.) bis hin zu den abschliessenden, fortlaufenden Sicherheitsaudits prägen. 

Regelung kann dazu beitragen, die Sicherheit während des gesamten Lebenszyklus zu gewährleisten. Idealerweise sollte das Ziel des Reglerdesigns darin bestehen, die Sicherheit zu verifizieren, auf die sich die Benutzer verlassen können, ohne darüber nachzudenken ... so selbstverständlich wie das Betätigen eines Lichtschalters.