For almost 30 years, the airbag has been part of a car’s passive safety components to protect occupants in a crash. In 1980, in the former S-Class from Mercedes-Benz, the system triggered only one driver airbag, though it was composed of 170 parts. Today, highly integrated electronic control units for deployment of front, side or window airbags are standard equipment even in compact cars. At all times, the airbag control was built as an autarkic system for self-contained detection of crash severity and deployment of protection means. With continuing improvements in sensors, electronics and algorithmic concepts for sensor data processing in the airbag control, the time spans between impact and airbag deployment could be reduced to about 30 milliseconds. Every millisecond in reaction time which can be saved, directly contributes to a reduction of injury severity for the occupants. Thus, even shorter time spans for deployment would be desirable. However, the performance of passive safety systems, which react on a collision, and of constructive means, in terms of increased stiffness of the vehicle body, is widely exhausted. The networking and interplay of passive and active safety components, like the electronic stability program or the radar-based headway control, appears to be a promising instrument to compensate for this. Active safety components engage actively into the vehicle dynamics in case of a dangerous driving situation in order to avoid a crash, e.g. if the car turns into a side-slip or the distance to a vehicle in front falls below a certain threshold. If sensor data, which are computed by active safety components in a dangerous driving situation, are communicated to the airbag control, it will be able to react faster and more effective in case a crash cannot be avoided in the following. For example, previous knowledge of a risky situation might be used to lower algorithmic thresholds for airbag deployment in order to achieve a shorter reaction time in case of emergency compared to a purely passive reaction on the impact. Such a networking of active and passive safety has to be performed using the in-car communication infrastructure, consisting of bus systems like CAN or FlexRay and gateways to interconnect single bus segments. Real-time capabilities and timeliness of data transfer – which means data arrives at the receiver within a predefined time interval – are of essential importance for the effectiveness of networked applications for occupant protection. Otherwise, the crash might occur before the passive components were able to receive and process sensor data from active safety systems. For development of networked, highly time-critical vehicle safety systems, sophisticated evaluation of data transmission is indispensable at an early stage of system design. In this dissertation, concepts and methods are presented to conduct comprehensive performance evaluation studies of in-car communication and to support efficient safety systems in future vehicles. A hardware- and software-based measurement infrastructure was built, which allows to figure out effects of data transmission in normal operation mode, the so-called use-case, by evaluation of recorded communication data and to derive important system parameters from the samples. These parameters serve as realistic input for a system model, which resembles the functional and timing behavior of relevant system components using UML-based statecharts and discrete event simulation. The simulation allows for capturing various communication scenarios and for obtaining meaningful performance measures, like end-to-end transmission delays. For the field of time-critical safety applications, measures for the worst-case of system operation are also vitally important. Therefore, the analytical method of Network Calculus was extended to meet the requirements of automotive communication systems and applied to this area for the first time ever. The analytic results resemble guaranteed upper bounds for delays in data transmission and allow, together with the outcomes from real-life measurements and from use-case simulation, for a distinct evaluation of the networked system in early design phases. Performance measures could be obtained for both the use-case and the worst-case of system operation, supporting a comprehensive evaluation, which can be adapted to the actual criticality of the application and leads to a significant increase in performance of future networked vehicle safety systems.

Seit fast 30 Jahren bietet der Airbag als Komponente der passiven Fahrzeugsicherheit den Insassen Schutz bei einem Unfall. 1980, in der damaligen Mercedes-Benz S-Klasse, aktivierte das System lediglich einen Fahrerairbag und bestand aus 170 Bauteilen. Heute sind hochintegrierte, elektronische Steuerungen für Front-, Seiten- oder Kopf-Airbags bereits in Kleinwagen Serienausstattung. Die Airbagsteuerung war seit jeher als autarkes System ausgelegt, das eigenständig die Schwere der Kollision detektiert und die Schutzmittel aktiviert. Durch stetige Verbesserungen im Bereich der Sensorik, der Elektronik im Steuergerät und der algorithmischen Konzepte der Sensordatenverarbeitung konnten die Reaktionszeiten bis zur Auslösung der Airbags auf ca. 30 Millisekunden reduziert werden. Da jede Millisekunde, die die Systeme der passiven Sicherheit nach Kollisionsbeginn früher aktiviert werden können, dazu beiträgt, die Verletzungsschwere der Insassen zu reduzieren, wären jedoch noch kürzere Auslösezeiten wünschenswert. Passive Konzepte allein, also die Reaktion auf eine Kollision, scheinen weitestgehend ausgereizt, ebenso wie konstruktive Maßnahmen zur Erhöhung der Karosseriesteifigkeit. Ein vielversprechender Ansatz ist die Vernetzung von Systemen der passiven Fahrzeugsicherheit mit aktiven Sicherheitskompontenten, wie dem Elektronischen Stabilitätsprogramm oder der Radar-basierten Abstandsregelung. Diese Systeme greifen durch gezielte Aktionen in einer Gefahrensituation in das Fahrgeschehen ein um einen Unfall zu verhindern, z.B. wenn das Fahrzeug ins Schleudern gerät oder der Abstand zum vorausfahrenden Fahrzeug einen kritischen Wert unterschreitet. Werden die Sensordaten, die die aktiven Systeme in einer frühen Gefährdungsphase errechnen, an die Airbagsteuerung kommuniziert und es kommt zur Kollision, kann auf diese schneller und effektiver reagiert werden, z.B. indem Auslöseschwellen in den Airbagalgorithmen bei akuter Gefährdung herabgesetzt werden und bei konkretem Eintritt der Kollision die Airbags mit diesem Vorwissen früher gezündet werden können als bei einer rein passiven Systemauslegung. Eine solche Vernetzung von aktiven und passiven Komponenten muss über die Fahrzeug-interne Kommunikationsinfrastruktur aus Bussystemen wie CAN oder FlexRay und Gateways zur Verbindung einzelner Bussegmente geschehen. Hierbei ist die Echtzeitfähigkeit, also die Übertragung der Daten in einem prädizierbaren Zeitintervall, von essentieller Bedeutung für die Effektivität der vernetzten Fahrzeugsicherheitsfunktionen. Zu lange Übertragungszeiten können dazu führen, dass die Kollision bereits eingetreten ist, bevor die Sensordaten in den passiven Systemen überhaupt empfangen und verarbeitet werden konnten. Für die Entwicklung vernetzter, hochgradig zeitkritischer Systeme der Fahrzeugsicherheit ist somit eine Evaluation der Datenübertragung bereits in frühen Phasen des Entwurfsprozesses unerlässlich. Die vorliegende Dissertation stellt Konzepte und Methoden vor, die für eine umfassende Leistungsbewertung Fahrzeug-interner Kommunikation erarbeitet wurden und die Auslegung effizienter, zukünftiger Sicherheitssysteme entscheidend unterstützen. Es wurde eine Hardware- und Software-basierte Messinfrastruktur geschaffen, die es erlaubt, anhand aufgezeichneter Kommunikationsdaten Effekte bei der Datenübertragung im realen Fahrzeugbetrieb, dem sogenannten use-case, aufzuzeigen und wichtige Systemparameter zu identifizieren. Diese Parameter dienen als realistische Eingabedaten für ein Systemmodell, das Funktionalität und zeitliches Verhalten der relevanten Komponenten mittels UML-basierter Zustandsdiagramme und diskreter Ereignissimulation nachbildet. In der Simulation können verschiedenste Kommunikationsszenarien untersucht und aussagekräftige Leistungskenngrößen, wie Ende-zu-Ende Übertragungslatenzen, ermittelt werden. Gerade im Bereich zeit- und sicherheitskritischer Anwendungen des Insassenschutzes sind jedoch auch Aussagen über das Systemverhalten im schlimmstmöglichen Fall, dem worst-case, von großer Relevanz. Um auch für dieses Szenario gültige Ergebnisse zu erlangen, wurde die analytische Methode des Network Calculus für Fragestellungen der Fahrzeug-internen Kommunikation erweitert und erstmals angewandt. Die analytischen Resultate stellen garantierte obere Schranken für die Verzögerungen bei der Datenübertragung dar und erlauben, zusammen mit den Erkenntnissen aus den Messungen an realen Fahrzeugen und den Ergebnissen der Simulation, eine frühzeitige Bewertung des vernetzten Sicherheitssystems. Leistungskenngrößen können sowohl für den Normalbetrieb wie auch für schlimmstmögliche Systemszenarien ermittelt werden, wodurch eine umfassende, an die Kritikalität der jeweiligen Anwendung angepasste Bewertung in einer frühen Designphase und eine signifikante Effizienzsteigerung zukünftiger, vernetzter Fahrzeugsicherheitsfunktionen möglich ist.