Stimmt, hier geht es im Moment nur um Steer-by-Wire – also eine Lenkung ohne mechanische Kopplung zwischen Lenkrad und Vorderrädern. Da genügt aber das, was Du etwas weiter oben geschrieben hast, bei weitem nicht. Es braucht mindestens zwei Motoren/Aktuatoren an der Vorderachse, mindestens zwei Sätze Sensoren am Lenkrad, mindestens zwei Steuereinheiten/Rechner mit möglichst unterschiedlicher Hard- und Software-Architektur (wobei die Backup-Einheit nicht zwingend alle Funktionen der Haupteinheit beinhalten muss, das ist im Flieger auch nicht so), zwei komplett unabhängige und an sich schon möglichst ausfallsichere Stromversorgungen für diese beiden Systeme, räumlich getrennt verlegte und gegen Marderbiss und andere externe Faktoren sehr gut gesicherte Kabelbäume… das haben wir ganz sicher (noch) nicht. Andernfalls genügt der Ausfall einer einzigen Komponente, damit das Fahrzeug schlagartig unlenkbar ist – und zwar sowohl für den Fahrer als auch für den Autopiloten.
Kannst Du dazu eine konkrete Quelle benennen oder ist das eine Vermutung?
Ich beziehe mich auf die aktuell gültige EU-Vorgabe Nr. 79 der Wirtschaftskommission der Vereinten Nationen für Europa (UN/ECE) — „Einheitliche Bedingungen für die Genehmigung der Fahrzeuge hinsichtlich der Lenkanlage“ (siehe weiter oben im Thread). Ich bin kein Jurist, aber ich lese die Vorgabe nicht so, wie Du es schreibst. Interessiert mich jetzt wirklich.
Leider gibt es sehr viel Stammtisch-Geblubber zu dem Themen (damit meine ich jetzt nicht Dich persönlich) und die Aufklärung tut der Sache sicher gut.
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:42008X0527(01)&from=DE
Energieversorgungseinrichtung
Für die Lenkanlage und andere Anlagen darf dieselbe Energieversorgungseinrichtung verwen- det werden. Bei einer Störung in einer Anlage, die an dieselbe Energieversorgungseinrichtung angeschlossen ist, muss die Lenkung nach den in Absatz 5.3 genannten entsprechenden Vorschriften für eine solche Störung sichergestellt werden.
Steer by wire sollte in der ER79 definiert sein
eine „Fremdkraftlenkanlage“, bei der die Lenkkräfte ausschließlich von einer oder mehreren Energieversorgungseinrichtungen erzeugt werden
Eine „rein elektrische Übertragungseinrichtung“ ist eine Übertragungseinrichtung, bei der die Lenkkräfte an irgendeiner Stelle der Übertragungseinrichtung nur auf elektrischem Wege übertragen werden.
Wie bekommt man die Genehmigung?
bei Fremdkraftlenkanlagen und Anlagen, für die die Vorschriften des Anhangs 6 dieser Regelung gelten, eine Kurzdarstellung der Konstruktion des Systems und der Ausfallsicher- heitsverfahren, der Redundanzen und der Warnsysteme, die die Betriebssicherheit im Fahr- zeug gewährleisten
Endlich
Bei einem Ausfall der Energiequelle der Steuer-Übertragungseinrichtung müssen bei einer Geschwindigkeit von 10 km/h und dem in Absatz 6 für eine intakte Anlage angegebenen Leistungsniveau mindestens 24 „Achten“ mit einem Bahndurchmesser von 40 m gefahren werden können.
Man kann es wenden und lesen wie man will. Letztendlich steer by wire mit nur einer Stromquelle wird nicht funktionieren… man muss simpel gesagt sagt fähig sein an den Straßenrand zu fahren. Und wenn die einmalige (nicht redundant) Stromversorgung wegfällt, kann man nicht mehr lenken…
Ergo sollten die Lenkwinkelsensoren im ideal Fall auch doppelt bestückt sein… außer man findet eine smarte Schaltung dass zwei Stromversorgungen benutzt werden können…
Ja, genau. Das wollte ich sagen. Man braucht einen Energie-Puffer und eine Fähigkeit („smarte Schaltung“ => Tesla FSD), den Lenkwinkel festzulegen unabhängig vom Lenkrad. Etwas anderes habe ich nicht gesagt. Damit ist ja die These bestätigt.
Mir ging es hierbei nicht um irgendwelche Vorschriften sondern um gesunden Menschenverstand: ich werde mich garantiert nicht in ein Fahrzeug setzen, das beim Ausfall einer einzelnen elektrischen oder elektronischen Komponente von jetzt auf gleich nicht mehr steuerbar ist. Da oben der Vergleich mit den schon lange etablierten FBW-Systemen in der Luftfahrt gezogen wurde, habe ich anhand der dort üblichen Systemarchitekturen nur einmal angeführt, welcher Redundanz-Level notwendig wäre, um bei einem Straßenfahrzeug eine mit einer konventionellen Lenkung vergleichbare Ausfallsicherheit zu erreichen. Und die ist meines Erachtens zwingend erforderlich.
(Die Bedingung, einen Single Point of Failure unbedingt zu vermeiden, wird im mechanischen Bereich natürlich von einer Menge kritischer Komponenten nicht erfüllt – insbesondere im Fahrwerksbereich. Hier ist die nötige Redundanz aber sozusagen in Form von Sicherheitsaufschlägen bei der Dimensionierung gegeben, was bei elektrischen, elektronischen, hydraulischen oder pneumatischen Systemen prinzipbedingt kaum möglich ist.)
Warum reicht bei einer redundanten Stromversorgung ein Sensor? Gibt es etwa einen, der nicht kaputtgehen kann? 
Der Tesla (mit SbW) hat zwei Sensoren:
- Das Lenkrad
- die Autopilot-Software (Wie gesagt: Das Redundanz-System muss das Auto zumindest ordentlich zum Stehen bringen)
Es ist ja auch noch nicht bestätigt, dass das Model S ein SbW nutzt. Es ist einfach nur meine Einschätzung.
Das reicht selbstverständlich nicht.
Ich habe mich mit dem Thema Lenkung und Bremsen gerade näher beschäftig, weil ich das für Schulungen brauche.
Die Redundanz bei der Lenkung ist relativ einfach zu erklären.
Egal welches Teil an der Lenkung ausfällt, muss immer noch ein Notbetrieb vorhanden sein.
Fällt z. Bsp. die Stromversorgung aus, muss ein 2. System weiter laufen.
Ob das mit einem separaten Akku (wie bei USV) und einem 2. Motor läuft, oder eventuell eine hydraulische Verbindung hat ist egal.
Es muss nicht alle Funktionen und Möglichkeiten der normalen Lenkung haben, darf auch schwergäniger sein, aber es muss völlig unabhängig funktionieren.
Das gleiche gilt selbstverständlich auch für alle anderen Komponenten, wie Lenkmotor, Lenkwinkelsensor, CPU, Verkabelung usw.
Alles muss mindestens doppelt vorhanden sein.
Ob zwei Sensoren reichen?
Die nach ECE R79 genehmigtten Systeme von Nissan und Schaeffler habe beide eine dreifache Redundanz.
Bei Nissan schließt im Notfall eine Kupplung wieder die mechanische Übertragung einer klassischen Lenksäule, wodurch das System die Bauraumvorteile verspielt.
Das ursprünglichaus dem behindertgerechten Umbau stammende System von Schaeffler bleibt immer drive by wire und hat so schon über eine Milliarde unfallfreie Kilometer bewährt.
mhund, das lasse ich dann gelten, wenn Level 5 erreicht ist. Dann ist die Automatik jederzeit und unter allen Umständen in der Lage, das Fahrzeug sicher zum Stehen (oder sogar noch ans Ziel) zu bringen. Da dann aber das Lenkrad eh überflüssiger Zierrat ist, erledigt sich das Problem von alleine. Bis dahin ist das aber nicht gegeben, und damit muss die komplette Redundanz auf dem Basissystem (sprich: Lenkrad) gegeben sein.
Für alle anderen Komponenten (Aktuatoren, Controller, Stromversorgung) ist das ohnehin hinfällig, da diese ja gemeinsam von der manuellen und automatischen Steuerung genutzt werden.
Und um das auch klarzustellen: ich habe absolut nichts gegen X-by-wire, habe auch deutlich mehr Flugstunden auf FBW-Airbussen als Fahrstunden auf Teslas. 
Wenn es richtig gemacht ist, dann wird das auch funktionieren. Und es ist auch gut machbar, aber eben nicht ganz so trivial wie man meinen mag. Bei einem System, dessen Ausfall zumeist katastrophale Folgen hätte, muss ein derart hohes Sicherheitsniveau gewährleistet sein, dass es eben ein Stück komplizierter und teurer wird. Erst recht gilt das dann, wenn dieses System weit verbreitet ist und somit auch im Einzelfall sehr unwahrscheinliche Fehler in der Masse mit großer Wahrscheinlichkeit häufiger passieren werden.
So isses. 
Vermutlich haben die schon im Hauptsystem eine Redundanz, bevor überhaupt das Notsystem greift.
z. Bsp. wäre dann der Lenkwinkelsensor 2x im Hauptsystem, zum einen als Reserve und auch als Kontrolle ob der andere richtig misst.
Ein weiterer würde noch für das Notsystem gebraucht.
Ich kenne die Systeme aber nicht und kann das daher nicht sicher sagen.
Wäre aber sehr interessant, wenn jemand dazu was genaueres hätte.
Drei Sensoren sind für ein Fail-operational-System erforderlcih. Bei zweien ist bei einer Diskrepanz zwischen diesen nämlich nicht feststellbar, welcher fehlerhaft ist. Dann kann das System nur einfach aussteigen, aber nicht korrekt weiterarbeiten. Bei drei Sensoren kann man das mit einer Mehrheitsentscheidung hingekommen
Daran hatte ich jetzt nicht gedacht.
Weißt du auch noch, wie die das beim Ersatzsystem geregelt haben, oder ob die überhaupt eines haben?
edit: Der Nissan hat eine Lenksäule, als Ersatzsystem.
Nö, keine Ahnung. Wenn aber eine weitere Rückfallebene in Form einer mechanischen Kopplung vorhanden ist, reicht ja ein fail-passive-System, das bei einer Diskrepanz der Sensorwerte einfach auf dieses Backup zurückschaltet.
Fahrakku plus LiIon-12V-Batterie dürften wohl ausreichen. Evt ist genau deshalb eine LiIon-Batterie verbaut?
@Lemming: Lass es lieber auch für Level 4 gelten. Level 4 ist nach ADAC-Interpretation bereits die Stufe, in der der Mensch schlafen kann. Das System muss nicht alles können, aber es muss immer einen sicheren Zustand einnehmen können, wenn der Mensch trotz Aufforderung nicht übernimmt.
Redundante Stromversorgung haben unsere Autos bereits:
12V Batterie und 12V Inverter.
Soweit ich weiß, haben die aktuellen Modell 3 auch bereits die Lenkmotoren doppelt, die HW3 ist doppelt. Jetzt weiß ich natürlich nicht, wie die Kabelbäume sind, aber Telsa hat ja Ingenieure dafür bezahlt, ein autonomes Fahrzeug zu konstruieren. Sensoren können sich an einem Signalgeber an der Lenksäule auch 5 tummeln, ohne großen Aufwand. Alles in allem denke ich, dass es bereits gelöst ist.
Bezweifle ich stark… kannst ja selber kurz nachschauen… und den zweiten Motor wirst schnell sehen… aber bin mir fast sicher es ist nicht der Fall… bis du nicht ein Foto davon vorlegst, bleib bitte bei der Annahme dass es nur ein Motor ist…
Es wird dort in Wirklichkeit ein Motor sein, aber mit 6 oder 12 Phasen…
Wenn beide Syteme unabhängig genutzt werden können wahrscheinlich ja. Das würde allerdings bedeuten, dass das Lenksystem sowohl mit 400 V als auch mit 12 V laufen müsste, denn derzeit gibt es meines Wissens nur einen 12 V und einen 400 V Kreis.
Bei der Regelung mit den 24 Achterrunden, die das System mit der Notversorgung fahren können muss, ist mir nicht klar, ob die nur am Stück fahrbar sein müssen bevor das Fahrzeug abgestellt wird oder auch noch nach Abstellen des Fahrzeugs etwa zur Bergung. Wenn die 12 V Batterie platt ist, bekommt man nach Abschaltung der Schütze der Fahrbatterie auch das 400 V System nicht mehr ans Laufen.
Um ein Steer-by-wire zu implementieren sind mMn ziemlich viele Änderungen am Fahrzeug nötig. Ich bezweifle deshalb, dass sowas beim Refresh des MS/X implementiert wird. Sowas würde ich eher bei einer völligen Neukonstruktion der Plattform erwarten, wo man dann auch die Bauraumvorteile nutzen könnte.
Jetzt würde ich kein echtes Sterr-by-wire erwarten eher ein direkteres Lenkgetriebe, möglicherweise mit progressiver Übersetzung erwarten, nicht jedoch ein komplettes Steer-by-wire, rein aus ökonomischen Gründen.
Der Aufwand die bestehende MS/X-Plattform zu verändern wäre relativ hoch, der Nutzen vermutlich gering, denn dass die Komponenten billiger sind kann ich mir kaum vorstellen, die Bauraumvorteile kann man in der bestehenden Plattform kaum nutzen und einen Marketingvorteil sehe ich derzeit nicht.
Gruß Mathie
Ich habe leider kein Modell 3… Aber deine Idee zur Umsetzung würde natürlich auch passen, solange die Mechanik funktioniert. Siehe auch die englischen Links unten.
Das Thema Redundanz ist zumindest für Tesla auf dem Schirm.
Redundanz im Kabelbaum
HW3 Redundanz aktiviert
Konstruktion M3 (hier steht die Redundanz der Stromversorgung für die Lenkung, wohl wirklich nur 1 Motor)
Tesla Forum Beitrag, nachdem im Autonomy Day von 2 Motoren geredet wurde, am Schluss jedoch wird festgestellt das es nur einer ist.
Da bin ich jetzt anderer Meinung.
Mit dem neuen Lenkbügel (statt Lenkrad) ist eine herkömmliche Lenkung eher unwahrscheinlich, einfach weil mit dem Bügel das Umgreifen problematisch wird.
Das Steer by Wire ist soweit nichts anders als das aktuelle Lenken des Autopilots.
Unterschiede gibt es hauptsächlich beim Notbetrieb, wenn der Autopilot bzw. das Lenksystem ausfallen sollte.
Da ist jetzt der Faher mit dem Lenkrad das Backup.
Relativ leicht umzusetzen ware es, wenn man die Lenksäule als Notsystem beibehält, wie das bei Nissan gemacht wird. Das Lenkrad wird dort nur mit einer Kupplung abgekoppelt, wenn die Automatik läuft.
Schwieriger wird es wenn die Lenksäule ganz entfallen und auch das Backup elektrisch werden soll.
Wie das genau zu lösen wäre, weiß ich noch nicht.