Dialog der Maschinen

Damit es im Straßenverkehr sicherer zugeht oder Strom aus regenerativen Quellen optimal genutzt werden kann, sind cyber-physikalische Systeme gefragt. Sie verbinden Fahrzeuge mit Sensoren, die den Verkehr beobachten, und schicken etwa bei Gefahr Bremsbefehle an Autos. Oder sie verteilen den Strom aus vielen Kraftwerken möglichst effizient an die Verbraucher. Rupak Majumdar, Direktor am Max-Planck-Institut für Softwaresysteme in Kaiserslautern, entwickelt mathematische Methoden, um die Zuverlässigkeit der vernetzten Systeme zu garantieren.

Text: Gordon Bolduan

Alles ist vorbereitet im Konferenzsaal der Universität des Saarlandes. Angestellte der Presseabteilung haben die Tische über den hellen Parkettboden zu einem U zusammengeschoben und darauf Namensschilder platziert. Dazwischen steht das orangeblaue Mikrofon des Deutschlandfunks. Am offenen Ende des U haben sich Reporter des saarländischen Rundfunks samt Kamera und Stativ positioniert. Sie drehen für die Tagesschau. Für einen kurzen Moment macht der Kameramann eine Großaufnahme des Namensschildes, auf dem „Rupak Majumdar“ zu lesen ist. Dann zieht er das Bild groß. Es zeigt einen Mann, der ein schwarzes Sakko und darunter ein hellblaues Hemd ohne Krawatte trägt. Seine Haare sind schwarz, seine Augen hellbraun. Rupak Majumdar stammt aus Indien und ist Direktor des Max-Planck-Instituts für Softwaresysteme in Kaiserslautern, Rheinland-Pfalz. Die Pressekonferenz findet statt, weil drei Informatikprofessoren der Universität des Saarlandes und er den höchstdotierten Preis des Europäischen Forschungsrates gewonnen haben. Mit 9,3 Millionen Euro sollen sie in den nächsten sechs Jahren erforschen, wie sich im World Wide Web der Widerspruch zwischen Sicherheit und Freiheit vereinbaren lässt.

Das Internet ist ein Randgebiet von Majumdars Forschung. Sein Fokus liegt auf den Grundlagen sogenannter cyber-physikalischer Systeme (CPS). Sie versprechen nicht nur wirtschaftliches Wachstum, sondern auch Antworten auf große gesellschaftliche Herausforderungen. Ihre Stärke: Sie sind sowohl in realer als auch in digitaler Welt verankert. Sie verbinden physikalische Sensoren und Steuerungen in Geräten, Gebäuden, Fahrzeugen, medizinischer Ausrüstung mit Kommunikationsnetzen wie dem Internet. Auf diese Weise können physikalische Daten in einer realen Umgebung erfasst und an jedem beliebigen Ort des Erdballs ausgewertet werden. Je nach Bedarf können die Ergebnisse weitere Rechenbefehle auslösen, welche dann wiederum über spezielle Aktoren die reale Welt verändern. Majumdar entwickelt Algorithmen, also Rechenverfahren, die es bereits in der Entwurfsphase ermöglichen, die Zuverlässigkeit solch komplexer Systeme zu erhöhen.

Die Pressekonferenz ist zu Ende. Majumdar wischt schnell auf dem Smartphone empfangene E-Mails weg, dann eilt er zu seinem Fahrzeug. Kaiserslautern ist rund 70 Kilometer von Saarbrücken entfernt. Seit 2010 leitet er dort nicht nur das Max-Planck-Institut, er lebt dort auch mit seiner Frau und seinen zwei Söhnen. Majumdar ist in Eile. Er hat versprochen, seinen älteren Sohn von der Schule abzuholen und zu einem Kindergeburtstag zu bringen. Dafür muss er in rund einer Stunde in Kaiserslautern sein.

In Zukunft sollen cyber-physikalische Systeme auch bei einem solchen Unterfangen helfen. Laut der Studie agendaCPS der Deutschen Akademie für Technikwissenschaften könnte das dann so aussehen: Majumdar tippt das Fahrtziel in sein Smartphone und gibt zusätzlich die gewünschte Ankunftszeit, Zwischenstationen und Kosten an. Das Smartphone ist über das Internet mit verschiedenen Dienstleistern verbunden, kontaktiert diese und listet danach die Optionen auf. Majumdar entscheidet sich für die Regionalbahn. Sie ist preiswert, und er kann im Zug arbeiten. Das Smartphone schlägt ihm darauf vor, in Kaiserslautern in der Nähe des Bahnhofs das Angebot eines Car-Sharing-Anbieters wahrzunehmen. Mit dem Wagen könne er seinen Sohn von der Schule abholen und ihn zum Kindergeburtstag fahren.

Majumdar stimmt zu. Auf dem Weg zum Saarbrücker Bahnhof piepst sein Handy. Die Kurznachricht besagt, dass ein technisches Problem bei einem vorausfahrenden Zug seinen 20 Minuten später eintreffen lässt, ergo sein Zeitplan gefährdet ist. Alternativ schlägt das System vor, bereits ab Saarbrücken einen Wagen zu mieten. Erneut stimmt Majumdar zu, das System startet im Hintergrund zwei weitere Aktionen: Es storniert das Ticket für die Regionalbahn und bucht den Mietwagen schon ab Saarbrücken. Um weiterhin während der Fahrt arbeiten zu können, klickt Majumdar noch auf die Option „selbstständig fahrendes Auto“. Als er wenige Minuten später die Autotür öffnet, hat das System bereits die komplette Route auf den Bordcomputer des Wagens gesendet.

Das ist möglich, weil das Smartphone mit einer Art virtuellem Butler im Internet verbunden ist. Dieser berechnet dort Majumdars Tagesplanung, basierend auf seinen Vorgaben. Der Assistent fordert stets auch aktuelle Daten an, beispielsweise bei Verkehrsmanagement-Systemen und den Betreibern des öffentlichen Nahverkehrs. Daraus berechnet er Alternativen und stellt diese zur Auswahl. Hat sich Majumdar entschieden, übernimmt der virtuelle Assistent regelmäßig den Realitätscheck. Treten Störungen auf, zeigt er Hinweise auf dem Display des Smartphones an und informiert darüber hinaus alle anderen Beteiligten über die Änderungen.

„In Los Angeles hätte so etwas mein Leben um einiges erträglicher gemacht“, erklärt Majumdar hinter dem Steuer seines Wagens. Sechs Jahre hat er dort als Professor an der University of California gelehrt und geforscht.

Die Szenarien der CPS-Propheten gehen noch weiter. Cyper-physikalische Systeme sollen den Verkehr nicht nur komfortabler und stressfreier, sondern auch sicherer machen. Dazu sollen Laternen, Häuserfassaden, Gehwege und Fahrzeuge mit Sensoren ausgerüstet werden, die frühzeitig gefährliche Objekte und gefährdete Personen erfassen.

Würde sich Majumdar beispielsweise der Schule seines Sohnes nähern und dabei einen haltenden Bus passieren, könnte das Auto plötzlich stark bremsen. Der mögliche Grund: Die Sensorik der Straße könnte ein Kind hinter dem Bus erkannt haben. Als dessen Position ohne zeitliche Verzögerung an den Assistenzdienst in Majumdars Wagen übermittelt wird, entscheidet sich dieser sofort, auf Nummer sicher zu gehen. Er leitet die Bremsung ein und informiert gleichzeitig über sogenannte Fahrzeug-zu-Fahrzeug-Kommunikation die hinter Majumdar fahrenden Wagen. Diese bremsen ebenfalls ab, sodass es keinen Auffahrunfall gibt. Auf diese Weise hofft man, die Anzahl der Verletzten und Toten im Straßenverkehr erheblich zu senken.

Hilfe für Senioren im Notfall und beim Einkaufen

Auch zwei weitere gesellschaftliche Herausforderungen könnten sich mithilfe cyber-physikalischer Systeme leichter meistern lassen. Damit Senioren so lange wie nur möglich in ihrer gewohnten Umgebung bleiben können, sollen ihre Wohnungen, ihre Häuser mit Sensoren ausgerüstet werden, Elektrogeräte per Sprache steuerbar sein. Vernetzt bilden sie ein cyber-physikalisches System, das Verhaltensmuster des gesunden Bewohners erstellt und im Falle von Abweichungen einen Arzt alarmiert. Das System könnte für demente Menschen, basierend auf ihren Vorräten, auch Einkaufslisten erstellen und die Einnahme von Medikamenten überwachen. Es soll sogar erkennen, wenn Senioren stürzen, und Notfallmaßnahmen einleiten.

Auch bei der Energiewende spielen cyber-physikalische Systeme eine wichtige Rolle. Energie aus Sonne und Wind soll mehr und mehr den Bedarf decken. Doch die Beiträge dieser Energiequellen schwanken naturgemäß. Damit das Angebot dennoch stets die Nachfrage deckt, muss der Strom geschickt geregelt werden. Die Grundlage dafür ist ein riesiges Energieinformationsnetz, das die Steuerung des Stromnetzes mit Verbrauchern, Stromerzeugern und Stromspeichern kombiniert. Wichtige Komponenten dieses gigantischen Systems sind unter anderem Sensoren, die sich in Form von intelligenten Stromzählern in den Haushalten befinden, Informations- und Kommunikationstechnologie und lernfähige Rechenverfahren.

Im Gegensatz zu bisherigen Stromzählern geben sie Verbrauchern unter Berücksichtigung des momentanen Strompreises und der aktuellen Netzlast Hinweise auf Stromfresser und einen sparsameren Verbrauch.

Auch bei der Energiewende spielen cyber-physikalische Systeme eine wichtige Rolle. Energie aus Sonne und Wind soll mehr und mehr den Bedarf decken. Doch die Beiträge dieser Energiequellen schwanken naturgemäß. Damit das Angebot dennoch stets die Nachfrage deckt, muss der Strom geschickt geregelt werden. Die Grundlage dafür ist ein riesiges Energieinformationsnetz, das die Steuerung des Stromnetzes mit Verbrauchern, Stromerzeugern und Stromspeichern kombiniert. Wichtige Komponenten dieses gigantischen Systems sind unter anderem Sensoren, die sich in Form von intelligenten Stromzählern in den Haushalten befinden, Informations- und Kommunikationstechnologie und lernfähige Rechenverfahren. Im Gegensatz zu bisherigen Stromzählern geben sie Verbrauchern unter Berücksichtigung des momentanen Strompreises und der aktuellen Netzlast Hinweise auf Stromfresser und einen sparsameren Verbrauch.

„Ohne zwei entscheidende Entwicklungen der vergangenen Jahre wären solche Szenarien nicht einmal denkbar“, erklärt Manfred Broy, Professor für Informatik an der Technischen Universität München: „Da ist der Siegeszug des Internets, beflügelt durch immer leistungsstärkere und gleichzeitig preiswertere Rechner“, so der Professor. Dann sei da der zunehmende Einsatz eingebetteter Systeme. Das sind kleine Rechner, die in ihrer Leistungsfähigkeit zwar eingeschränkt sind, jedoch über Sensoren und Aktoren die physikalische Welt erfassen und steuern.

Allein diese Systeme stellen Forscher und Ingenieure bereits vor Herausforderungen, was Entwurf und Entwicklung angeht. Cyper-physikalische Systeme erhöhen die Schwierigkeiten um ein Vielfaches. „Die Komplexität der Systeme, die wir bauen wollen, ist immer höher als die Komplexität, die wir noch auf vernünftige Weise überschauen können“, erklärt Majumdar. Das lässt sich auch an den Bremsen eines Autos nachvollziehen.

Mehr Komplexität: ein Netzwerk von Fahrzeugen

Im Jahr 1978 galt das Antiblockiersystem, ABS, als Meilenstein, um Lenkbarkeit und Spurtreue beim Bremsen zu erhöhen. Siebzehn Jahre später führte der Automobilzulieferer Bosch für die Mercedes-S-Klasse das „elektronische Stabilisierungsprogramm“, kurz ESP, ein. Als Kombination von ABS, Antischlupfregelung und elektronischer Bremskraftverteilung sollte es durch gezieltes Abbremsen einzelner Räder dem Ausbrechen des Fahrzeugs entgegenwirken. 2003 brachte der japanische Autohersteller Honda dann das „Collision Mitigation Brake System“ auf den Markt. Diese Art von Notbremsassistent leitet das Bremsen per Bordcomputer automatisch ein, sobald er eine Situation als kritisch einstuft. Das System erkennt mittels Funkwellen und Laserstrahlen die Entfernung zwischen Fahrzeug und Hindernis. Ist diese zu gering, leitet es sogar eine Vollbremsung ein.

Mehr Funktionalität bedingt mehr Sensoren und Aktoren, deren korrektes Zusammenspiel erhöht die Komplexität. Ein ABS wirkt nur auf die Raddrehzahl und Bremskraft, per ESP werden der Lenkwinkel sowie verschiedene Beschleunigungskräfte überwacht, einzelne Räder gezielt angesteuert und der Motor gedrosselt. Der Notbremsassistent nimmt bereits die Umgebung wahr und erkennt Hindernisse. Aktuelle Technologien wie Computer Vision erkennen bereits Fußgänger. „Das alles spielt sich in einem Fahrzeug ab, und jetzt wollen wir auf ein Netzwerk zugreifen, das sich zwischen fahrenden Autos aufbaut. Das ist noch einmal eine ganz neue Komplexitätsebene“, erläutert Majumdar.

Cyber-physikalisches System mit Verantwortung

Diese zunehmende Komplexität immer zu beherrschen ist nur eine von vielen Herausforderungen, die Forscher auf diesem Gebiet meistern müssen. Aber auch die Gesellschaft ist gefordert. Sie muss sich nicht nur fragen, ob sie Sensoren und Programmcode die Verantwortung für eine Vollbremsung überlässt, sondern auch Regeln und Richtlinien festlegen für andere Einsatzgebiete der cyber-physikalischen Systeme wie die Betreuung von Senioren und die Energieversorgung.

Zuvor muss die Bevölkerung cyber-physikalische Systeme allerdings zunächst akzeptieren. Dazu müssen die Systeme stets verlässlich funktionieren. Sie sollten nicht nur funktionieren, wie Anwender und Ingenieure es erwarten, sondern niemals ausfallen, immer verfügbar sein. Selbst wenn Komponenten durch Schäden und Unfälle ausfallen, müssen die Folgen minimal bleiben. Und dies muss bereits beim Entwurf dieser Systeme sichergestellt werden. Hier kommt Rupak Majumdar ins Spiel.

Die Treppe, eine Kombination aus hellem Holzparkett, Metall und Beton, knarrt, als er zu seinem Büro im dritten Stock des Max-Planck-Instituts für Softwaresysteme in Kaiserslautern hochsteigt. Sechs Etagen umgeben mit Büros, Besprechungs- und Aufenthaltsräumen ein Atrium von quadratischem Grundriss. Mit seinem zweiten Standort in Saarbrücken ist das Institut, neben dem Max-Planck-Institut für Informatik, das zweite innerhalb der Max-Planck-Gesellschaft, das sich ausschließlich der Informatik widmet. An ihm erforschen die Wissenschaftler alle Arten von Strukturen und Verknüpfungen von Softwaresystemen. Majumdar entwickelt hier mit seiner Gruppe Methoden, mit denen sich die Betriebssicherheit von CPS automatisch überprüfen lässt.

Hohe Anforderungen an die Zuverlässigkeit

„Klar sollte das System nie ausfallen“, erklärt er, während er von seinem Büro zur Besprechung mit seiner Gruppe geht. Bisher hätte man die Software zur Not noch einmal starten können. „Aber die Anforderungen sind natürlich viel höher, wenn man das Steuerungssystem für ein Stromnetz entwirft“, sagt Majumdar und fügt hinzu: „Wenn bestimmte Funktionen nicht in einer klar definierten Zeitspanne das richtige Ergebnis liefern, kann das zu hohen Kosten, im schlimmsten Falle zu einer Katastrophe führen.“ Die Zuverlässigkeit sicherzustellen ist schon bei eingebetteten Systemen schwierig. Bei cyber-physikalischen Systemen kommt noch eine weitere Schwierigkeit hinzu. Deren Komponenten arbeiten sowohl in der analog-realen als auch in der digitalen Welt. Dies muss auch bei der Modellierung beachtet werden. Zuverlässigkeit ist in der digitalen Welt als „Robustheit“ definiert. Informatiker verstehen darunter, dass ein System trotz Störungen auf zufriedenstellende Art und Weise weiterarbeitet. In der realen Welt, beschrieben durch Regelungssysteme und Differentialgleichungen, versteht man darunter die „Eingangs-Ausgangs-Stabilität“. Am Beispiel einer Schraubenfeder, an deren Ende ein Gewicht hängt, erklärt, heißt das: Egal, wie sehr man das Gewicht nach unten zieht, beim Loslassen wird das Federpendel nicht weiter ausschwingen, als das Gewicht gezogen wurde. Die Schwerkraft lässt die Schwingung abklingen. Die Eigenschaft, dass das begrenzte Eingangssignal, das Ziehen an der Feder, im System des Federpendels auch ein begrenztes Ausgangssignal, nämlich die Schwingung des Federpendels, hervorruft, bezeichnet man als Eingangs-Ausgangs-Stabilität.

Kopfzerbrechen wegen der menschlichen Faktoren

Robustheit oder Eingangs-Ausgangs-Stabilität lassen sich nur in ihrem Bereich anwenden. Sie für „hybride“ Systeme wie cyber-physikalische Systeme auszudrücken und zu berechnen ist daher nicht möglich. Doch gerade deren Zuverlässigkeit prüfen zu können ist ausgesprochen wichtig, etwa um die stete Stromversorgung aus Sonnen- und Windenergie zu gewährleisten. Majumdar hat dazu einen wichtigen Beitrag geleistet. Er hat die Definition von Eingangs-Ausgangs-Stabilität aus der Welt von realen Reglern so erweitert, dass mit ihr nun auch in der Welt von Bits und Bytes gearbeitet werden kann. Ein wichtiges Puzzlestück, um auch Aussagen über die Zuverlässigkeit von cyber-physikalischen Systemen machen zu können.

Doch nicht nur unterschiedliche Ansätze bei der Modellierung aus der Regelungs- und Softwaretechnik, auch menschliche Faktoren bereiten Majumdar Kopfzerbrechen. Er nennt es die „semantische Lücke“: Bei der Entwicklung eines Regelungssystems kommen verschiedene Spezialisten zum Einsatz. Diese behandeln jedoch nur ihre Abstraktionsebene, was wiederum zu Fehlern im Gesamtsystem führen kann. Majumdar will daher durch eine integrierte Programmanalyse alle Eigenschaften eines solchen Systems überprüfen.

Majumdars Gruppe hat sich im Raum versammelt, der einen weiten Blick über den Campus der Technischen Universität Kaiserslautern bietet. Sie sitzen auf blauen Stühlen an weißen Tischen und schauen auf eine Forscherin, die bereits am Whiteboard steht. Rayna Dimitrova hat ihren Doktor in Saarbrücken gemacht, und jetzt forscht sie in Kaiserslautern. Sie trägt blaue Jeanshosen und einen weißen Fleecepulli. Schnell füllt sie beide Tafeln mit Pfeilen, lateinischen und griechischen Buchstaben, runden und geschwungenen Klammern. Wenn sie etwas erklärt, drückt sie mit ihrer rechten Hand die Kappe des dicken Filzstiftes auf und zu.

Schritt für Schritt zur besten Abstraktion

Dimitrova beschäftigt sich mit der Verfeinerung von Abstraktionen. „Das ist das Spiel“, erklärt Majumdar: „Wir werfen bestimmte Informationen weg, stellen aber sicher, dass wir noch genug Informationen für die Analyse haben.“ Dieser Ansatz ist auch für das Überprüfen der Systemmodelle geeignet. Bisherige Verfahren haben einen entscheidenden Nachteil: Will man alles genau modellieren, wird die Menge der möglichen Zustände, die ein solches System einnehmen könnte, so groß, dass zu viele Computer zu lange an dem Modell herumrechnen. Wenn dies überhaupt noch möglich ist. Majumdar und andere Forscher haben den Ansatz zum „Counterexample-Guided Abstraction Refinement“ weiterentwickelt. Man startet dabei mit einer sehr grobkörnigen Abstraktion. Anstatt alles zu modellieren, tut man dies nur so grob wie möglich. Findet das Rechenverfahren einen Fehlerkandidaten, wird dieser als Ausgangspunkt benutzt, um das Modell an dieser Stelle genauer zu beschreiben. Das macht man so lange, bis die Analyse keinen Fehlerkandidaten mehr findet. Auf diese Weise erarbeiten sich die Forscher Schritt für Schritt die beste Abstraktion. Mit deren Hilfe können die Forscher letztlich mathematisch beweisen, dass das System als Ganzes korrekt arbeitet.

Nach dem Vortrag sitzt Majumdar in seinem Büro und geht seine E-Mails durch, die Füße wippen unter dem Tisch im Takt der Tasten. Ein Dinosaurier, ausgemalt mit allen möglichen Buntstiftfarben, hängt an der Schranktür und bildet damit einen starken Kontrast zum Whiteboard. Das haben zu viele Formeln in roter, blauer und schwarzer Farbe in eine graue Fläche verwandelt. In der linken oberen Ecke steht die To-do-Liste. Die ersten zehn Aufgaben sind in großer schwarzer Schrift notiert, danach sind die Buchstaben rot und klein. „Wir machen Fortschritte, aber viele Fragen sind noch unbeantwortet“, erklärt Majumdar. Wie kann man prüfen und bescheinigen, dass die Systeme selbst bei böswilligen Angriffen funktionieren? Wie sicherstellen, dass sie die Daten ihrer Nutzer schützen? Und wie kann man dafür sorgen, dass ihre Handhabung selbst Laien keine Schwierigkeiten bereitet?

Es ist schon lange dunkel, als er in seinen Mercedes-Benz steigt und nach Hause fährt. Eins ist sicher: Wenn sich die cyber-physikalischen Systeme entwickeln wie erhofft, muss er sich um die Sicherheit auf seinem Heimweg weitaus weniger Sorgen machen.

AUF DEN PUNKT GEBRACHT

  • Cyber-physikalische Systeme können den Straßenverkehr sicherer machen, bei der Logistik für mehr Effizienz sorgen oder in einem Elektrizitätsnetz mit schwankendem Stromangebot eine kontinuierliche Versorgung sichern.

  • Zuverlässigkeit wird in der Informatik mit Modellen untersucht, die nicht kompatibel sind mit den Modellen aus der physikalischen Welt. Um zu garantieren, dass ein hybrides, also in beiden Welten verankertes System zuverlässig funktioniert, ist ein umfassendes Modell nötig.

  • Max-Planck-Forscher entwickeln Methoden, welche die Zuverlässigkeit von cyber- physikalischen Systemen sicherstellen. Um deren hohe Komplexität beherrschen zu können, suchen die Wissenschaftler nach sinnvollen Abstraktionen. Diese helfen ihnen, letztlich die Zuverlässigkeit des gesamten Systems zu gewährleisten

Weitere interessante Beiträge

Zur Redakteursansicht