Die versteckte Blackbox im Auto

Airbags sammeln Fahrdaten

Um Leben retten zu können, müssen Airbag-Steuergeräte Bewegungsdaten des Fahrzeugs in Echtzeit erfassen. Nach einem Unfall lassen sich daraus sensible Crash-Daten extrahieren. Das ist nicht immer im Interesse des Halters oder Herstellers.

Von Dieter Spaar

Normalerweise merkt man von den Aktivitäten eines Airbag-Steuergeräts zum Glück wenig, denn für den regulären Fahrbetrieb ist es nicht erforderlich. Erst bei einem Unfall kümmert es sich um die Auslösung der diversen Rückhaltesysteme. Das lebensrettende Feuerwerk aus diversen Front-, Seiten-, Kopf-, Knie-Airbags und den Gurtstraffern muss auf Millisekunden genau gezündet werden. Dabei protokolliert das Steuergerät in den meisten Fällen ganz nebenbei auch den gesamten Unfallablauf – vor allem die Daten zur Längs- und Querbeschleunigung.

Dass Unfalldaten im Airbag-Steuergerät gespeichert werden, ist an sich nichts Neues. So weist beispielsweise die Werkstattdokumentation von BMW darauf hin, dass der Unfalldatenspeicher nach einer bestimmten Anzahl von Vorfällen vollgeschrieben ist und damit der Austausch des Airbags-Steuergeräts notwendig wird. Nähere Details zur Art der gesammelten Unfalldaten finden sich dort allerdings nicht.

Speicherzwang in USA

In den USA schreibt der Gesetzgeber genau vor, welche Daten die Hersteller im Falle des Unfalls im Auto speichern müssen. Die dort übliche Bezeichnung für den Unfalldatenspeicher ist „Event Data Recorder“ (EDR). Im EDR müssen zum einen Daten über den eigentlichen Unfall liegen, etwa die auftretenden Beschleunigungen oder die Zeiten, wann welcher Airbag ausgelöst wurde. Zum anderen muss der Hersteller auch sogenannte „Pre-Crash“-Daten erfassen: Etwa die Fahrzeuggeschwindigkeit oder die Aktivitäten von Gas- und Bremspedal.

Die Fahrzeughersteller können diese Daten als Nachweis nutzen, dass die Rückhaltesysteme fehlerfrei funktioniert haben und damit Regressansprüche abwenden. Die Daten können allerdings auch Hinweise zur Klärung des Unfallhergangs geben. Die Pre-Crash-Daten sind von besonderer Bedeutung. Schließlich geben Sie darüber Auskunft, wie schnell das Fahrzeug kurz vor dem Unfall tatsächlich unterwegs war.

Der Fahrzeugzulieferer Bosch ist nach eigenen Angaben Marktführer, wenn es um das Auslesen und Auswerten der Unfalldaten geht. Zu diesem Zweck bietet das Unternehmen das Auslese-System Crash Data Retrieval (CDR) an, das auch für Privatpersonen frei verfügbar ist [1]. CDR besteht aus einer Windows-Software und einem Hardware-Modul mit diversen Adapterkabeln. Im Prinzip handelt es sich um ein CAN-Bus- und für ältere Fahrzeuge ein K-Line-Interface, mit dem die Daten über die OBD-Schnittstelle (On-Board Diagnose) des Fahrzeugs ausgelesen werden können. Auch für neuere Fahrzeugmodelle, die statt CAN auf das leistungsfähigere FlexRay setzen, ist ein Interface erhältlich.

Das Airbag-Steuergerät analysiert die Bewegungsdaten des Fahrzeugs und zündet im Ernstfall die unterschiedlichen Rückhaltesysteme.

Was in den USA Vorschrift ist, bleibt in Europa weitestgehend dem Hersteller überlassen. Wie sieht es also mit der Speicherung von Unfalldaten bei Fahrzeugen in Deutschland aus? Wenn man sich die Liste der von CDR unterstützten Fahrzeuge [2] ansieht, fällt auf, dass bei den meisten Modellen deutscher Fahrzeughersteller nur die Variante für die USA oder Kanada unterstützt wird. Entsprechende Hinweise gibt es auch von den Fahrzeugherstellern selbst, etwa von Mercedes [3]. Allerdings legt hier schon die Formulierung nahe, dass die Daten prinzipiell auch in Nicht-US-Fahrzeugen vorhanden sind, sich mit dem CDR-Tool aber nicht direkt auslesen lassen.

Blackbox ausgeleuchtet

Um herauszufinden, welche Unfalldaten in deutschen Fahrzeugen tatsächlich gespeichert werden und inwieweit sich diese auslesen und auswerten lassen, untersuchten wir exemplarisch vier Airbag-Steuergeräte, die allesamt aus Unfallfahrzeugen stammen und auf eBay erhältlich waren. Eines stammt aus einer Mercedes C-Klasse von 2015, ein weiteres kommt aus einem Audi A4 Baujahr 2017 und die beiden letzten aus einem 2016er VW Golf und einem 7er-BMW aus dem Jahr 2015.

Hersteller der Airbag-Steuergeräte von Mercedes und BMW ist Continental, Bosch beim Audi und TSR beim Steuergerät des Volkswagens. Nach dem Öffnen fallen einem sofort die großen Kondensatoren auf der Platine ins Auge. Sie dienen als Energiepuffer für die Airbag-Auslösung, falls die Energieversorgung durch das Bordnetz beim Unfall unterbrochen ist. Die Mikrocontroller der Airbag-Steuergeräte sind beim Mercedes, VW und BMW ein PowerPC von STMicroelectronics, beim Audi-Steuergerät ein V850 von Renesas. Die verwendeten Mikrokontroller sind speziell für den Automotive-Safety-Bereich ausgelegt und haben zum Beispiel ECC-Speicher (Error Correction Code) für RAM und Flash.

Bei den anderen Chips auf den Platinen handelt es sich um spezielle ASICs von Continental beziehungsweise Bosch, über die man keine Details findet. Sehr wahrscheinlich handelt es sich dabei um die Stromversorgung und die Ansteuerung der Zündkreise für die diversen Rückhaltesysteme. Außerdem befinden sich auf den Platinen Beschleunigungssensoren, die zusammen mit weiteren extern angeschlossenen Druck- und Beschleunigungssensoren die für die Unfallerkennung nötigen Messwerte liefern. Zunächst muss man das Steuergerät unter Strom setzen. Masse und die 12-Volt-Versorgungsspannung lassen sich leicht anhand der Stromversorgung im Steuergerät identifizieren.

Die Anschlüsse für den eigentlichen Betrieb des Steuergeräts sind nicht ganz so leicht zu ermitteln. Im einfachsten Fall existiert eine Anschlussbelegung des Steckers. Ansonsten findet man die Anschlüsse für den CAN-Bus beziehungsweise FlexRay anhand der verbauten CAN- oder FlexRay-Transceiver-ICs, für die es ein Datenblatt gibt. Es handelt sich meist um Standardkomponenten von NXP, TI oder anderen Herstellern. Eine Web-Suche liefert viele Treffer für dazugehörige Datenblätter, wie beispielsweise das zum CAN Transceiver TJA1043T von NXP [4].

Während die Kommunikation über den CAN-Bus vergleichsweise einfach ist, kommt man via FlexRay deutlich mühsamer zum Ziel. So benötigt man einige Dutzend Parameter, die das Timing der FlexRay-Kommunikation beschreiben; jeder Fahrzeughersteller kocht hier sein eigenes Süppchen. Ausgangspunkt für die Analyse der nun verbundenen Steuergeräte ist die Mercedes-Diagnosesoftware Xentry, die zusammen mit Hardware-Diagnose-Systemen gebraucht über eBay erhältlich ist. Wenn man sich die Software genauer ansieht, stellt man fest, dass es einige Sonderfunktionen gibt, die man erst nach Eingabe des zur jeweiligen Funktion passenden Codes nutzen kann.

Die aus dem Mercedes-Steuergerät ausgelesenen Daten legen nach Angaben eines Gutachters einen Unfallverlauf nahe, der dem in diesem Crashtest dargestellten Szenario ähnelt (siehe Kasten).

Zum Kasten: Das sieht der Gutachter

Eine dieser Sonderfunktionen ist das Auslesen der Daten aus dem Event Data Recorder (EDR). Um zu verstehen, wie dieser Prozess im Detail abläuft, schnitten wir die Kommunikation zwischen Xentry und dem Steuergerät mit. Das Airbag-Steuergerät wird zunächst angewiesen, den gewünschten EDR-Datensatz bereitzustellen. Wenn es damit fertig ist, wird der Datensatz ausgelesen. Als Protokoll kommt das für die Diagnose übliche UDS (Unified Diagnostic Services) zum Einsatz.

Die OEM-spezifischen Daten des Event Data Recorders ließen sich auslesen und erlaubten detaillierte Einblicke in das Geschehen vor und während des Unfalls.

Der komplette Datensatz ist etwa 1700 Bytes groß, das Format ist relativ einfach aufgebaut. Nach einer ID aus zwei Bytes für den jeweiligen Eintrag folgen die dazugehörigen Daten. Deren Länge muss allerdings bekannt sein, da keine Längenangabe enthalten ist. Dann folgt die ID des nächsten Eintrags bis zum Ende des Datensatzes. Ganz ähnlich arbeitet auch das Audi Airbag-Steuergerät, aus dem wir sowohl Public-EDR Daten als auch deutlich umfangreichere OEM-spezifische EDR-Daten auslesen konnten (etwa 2400 Bytes). Das BMW-Steuergerät erlaubte ebenfalls das Auslesen von Unfalldaten, allerdings war das Testfahrzeug offensichtlich nicht in einen Unfall mit Airbag-Auslösung verwickelt.

Anders stellte sich die Lage beim VW Golf dar: Dort waren die Funktionen zum Auslesen von Unfalldaten nicht vorhanden. Zwar speichert auch dieses Steuergerät Daten, diese enthalten aber sehr wahrscheinlich keine Pre-Crash-Daten oder Beschleunigungswerte. Es scheint sich in erster Linie um technische Details über die Airbag-Auslösung zu handeln. Bei der US-Variante des VW-Airbag-Steuergeräts ist die Funktionalität für das Speichern und Auslesen von Unfalldaten dagegen vorhanden.

Airbag lauscht mit

Aus dem Mercedes Steuergerät ließen sich sämtliche Daten auslesen, die konform zu den US-Vorgaben sind: sowohl Messwerte über den eigentlichen Unfall als auch Pre-Crash-Daten. Zwar sind keine Public-EDR-Daten verfügbar, die OEM-spezifischen EDR-Daten enthalten jedoch schon umfangreiche Informationen.

Beim Audi-Steuergerät sind ebenfalls Beschleunigungsdaten über den Unfall vorhanden, aus denen sich die Geschwindigkeitsänderung leicht ermitteln lässt, allerdings fehlte jegliche Aufzeichnung vor dem Crash. Die Geschwindigkeitsänderungen waren im Falle des Audi relativ klein, es fehlte die entscheidende Information, bei welcher absoluten Geschwindigkeit der Unfall stattfand. Warum beim Audi-Steuergerät keine Pre-Crash-Daten gespeichert sind, ist unklar. Die OEM-spezifischen Einträge sind sowohl beim Mercedes als auch beim Audi hauptsächlich technischer Natur, zum Beispiel Konfigurationsdaten der Treiber-ICs für die Zündkreise.

Bei unseren Untersuchungen fiel zudem auf, dass die Daten nicht unbedingt manipulationssicher gespeichert sind. Beim Mercedes-Airbag-Steuergerät liegen sie im internen Daten-Flash des Mikrocontrollers. Der Zugriff auf dessen internen Flash-Speicher ist nicht eingeschränkt und über Testpads jederzeit möglich. Einzelne Einträge der EDR-Daten finden sich im Speicher-Dump. Da sich der Flash-Speicher auch neu beschreiben lässt, wäre es möglich, die Daten zu manipulieren. Beim Airbag-Steuergerät des Audi ist der Zugriff auf den internen Flash des Mikrocontrollers zwar gesperrt, allerdings werden einige Daten auch in einem externen, seriellen Flash-Baustein gespeichert. Auf diesen kann man problemlos zugreifen, ein Auslöten des ICs ist dazu nicht erforderlich.

Fazit

Auch wenn man aufgrund der geringen Anzahl untersuchter Airbag-Steuergeräte keine allgemeingültige Aussage treffen kann, hat sich gezeigt, dass auch einige Fahrzeuge für den deutschen Markt Unfalldaten speichern.

Beim Airbag-Steuergerät von Mercedes, Audi und BMW war die Funktionalität zum Speichern von Unfalldaten vorhanden, so wie in den USA vorgegeben, beim Steuergerät des VW Golf dagegen nicht. Letzterem fehlt in der EU/Deutschland-Variante die entsprechende Funktionalität. Beim Mercedes hingegen waren vollständige Unfalldaten, inklusive den Pre-Crash-Daten gespeichert, beim Audi waren Unfalldaten, aber keine Pre-Crash-Daten zu finden – was eventuell der Art des Unfalls geschuldet sein kann. Der BMW war nicht in einen Unfall mit Airbag-Auslösung verwickelt.

Die von uns ausgelesenen Informationen erlauben also in mindestens einem Fall detaillierte Rückschlüsse auf den Unfallhergang. Es sollte eindeutige Regeln geben, welche Daten in den Steuergeräten liegen dürfen und was mit derartigen Daten gemacht werden darf, beziehungsweise wer Zugriff darauf erhält. (sha@ct.de)

Das sieht der Gutachter

Einige Airbag-Steuergeräte speichern Fahrzeugdaten auch dauerhaft ab. Doch was kann ein Fachmann daraus lesen? c’t sprach mit dem vereidigten Gutachter Dr. Ingo Holtkötter.

Dr. Ingo Holtkötter

Bei unserer kleinen Stichprobe von Airbag-Steuergeräten gab das Modul von Mercedes die meisten Informationen preis. Was für Rückschlüsse können Sie daraus auf den Unfallhergang ziehen?

Holtkötter: Die aus dem Mercedes-Steuergerät ausgelesenen Daten zeigen zunächst eine starke vorkollisionäre Beschleunigung um 3,5 m/s² über eine Strecke von rund 140 m bis auf eine Eigengeschwindigkeit von 80 km/h. Die anschließende kollisionsbedingte Geschwindigkeitsänderung von etwa 70 km/h in Längsrichtung innerhalb einer Zeit von 100 ms – was einer typischen Kollisionsdauer entspricht – weist auf einen schweren Frontal-Crash etwa mit einem stehenden Lkw oder einem Baum hin. Eine vergleichbare Kollision zeigt der Crash-Versuch (siehe S. 181). Der geringe Queranteil der Geschwindigkeitsänderung von 6 km/h kann durch einen kleinen Winkel oder einen seitlichen Versatz beim Anprall an das Hindernis erzeugt werden.

Interessant ist, dass einerseits kein Bremssignal aufgezeichnet wurde, andererseits aber vorkollisionär noch eine leichte Bremsung von 80 km/h auf 76 km/h erfolgte. Möglich wäre hier ein Eingriff des Notbremssystems „Collision Prevention Assist plus“, das bei dem vorliegenden Fahrzeugtyp zur Serienausstattung gehört.

Auch eine Gegenverkehrskollision mit einem ähnlich schweren und schnellen Pkw wäre anhand der Daten aus dem Steuergerät nicht auszuschließen. Für eine genauere Analyse bräuchte man Informationen über die Schäden am Fahrzeug oder Spuren an der Unfallstelle.

Wie wichtig sind die aus den Airbag-Steuergeräten extrahierten Daten für Ihre Arbeit als Gutachter?

Holtkötter: Besonders die in den Airbag-Steuergeräten gespeicherten Daten sind in der Unfallrekonstruktion von großem Interesse. Zwar lassen sich Verkehrsunfälle schon seit Jahrzehnten problemlos auch ohne diese Daten rekonstruieren, dennoch stellen sie eine wichtige zusätzliche Informationsquelle dar, um das Unfallgeschehen möglichst präzise nachvollziehen zu können.

Bei Gerichtsprozessen stecken wir als Unfallanalytiker oft in der schwierigen Situation, dass uns die Hersteller die Daten aus den Steuergeräten nicht von sich aus zur Verfügung stellen. Wir müssen daher beweissicher zeigen, dass die im Rahmen eines Gutachtens von uns selbst gewonnen Daten fundiert und belastbar sind.

Das gilt insbesondere für die Gerichtsverfahren, bei denen beispielsweise in Produkthaftungsfällen oder bei Fahrzeugdiebstahl die Hersteller kein Interesse haben, den Sachverständigen zu unterstützen. Die Basis für ein gerichtsfestes Gutachten können wir dann nur durch eigene Untersuchungen und gegebenenfalls eigene Crash-Versuche bilden. Zunehmend werden aber auch die Hersteller in die Pflicht genommen, mit gerichtlichen Beschlüssen die Daten und die Erfassungsgrundlagen zumindest für den Unfallanalytiker offenzulegen.

Gibt es andere Stellen im Fahrzeug, wo sich für Sie als Gutachter relevante Daten verstecken?

Holtkötter: Die wichtigsten Daten finden sich im Airbag-Steuergerät, weil es die Hauptaufgabe des Steuergeräts ist, einen Unfall zu erkennen und zu analysieren. Darüber hinaus sind die Steuergeräte der Assistenzsysteme zunehmend interessant, die zum Beispiel die erfassten Radarobjekte oder gar Kamerabilder speichern können. Bei den anderen Steuergeräten finden sich in der Regel lediglich Hilfsinformationen, wie etwa die Fehlermeldungen zu einem kollisionsbedingt ausgefallenen Sensor. Man darf jedoch nicht vergessen, dass es bei unserer Arbeit um beweissichere Analysen geht – die Richtigkeit und die Fehlermöglichkeiten dieser Angaben müssen wir explizit analysieren und aufzeigen. Unsere Untersuchungen zeigen, dass auch die Umgebungsdaten der Fehlerspeichereinträge wie Zeitpunkt und Geschwindigkeitsweite teilweise großen Toleranzen unterliegen. Je nach Aufgabenstellung – zum Beispiel die Aufklärung eines Unfallereignisses oder eines Diebstahls – können auch Informationen aus dem ESP-Steuergerät, dem Motorsteuergerät oder der Telematikeinheit von Bedeutung sein.

Dr. Ingo Holtkötter ist öffentlich bestellter und vereidigter Sachverständiger für Straßenverkehrsunfälle sowie Fahrzeugelektrik und -elektronik. Er ist Geschäftsführer des Ingenieurbüros Schimmelpfennig + Becke, Münster.