Die Entwicklung autonomer Fahrzeuge stellt eine der größten technologischen Herausforderungen unserer Zeit dar. Sicherheit, Zuverlässigkeit und die Fähigkeit zur Einhaltung strenger Normen sind dabei essenziell. Nvidia, als Vorreiter im Bereich KI und Hardware für autonome Systeme, treibt nun die Integration der Programmiersprachen Ada und SPARK in die Entwicklung fahrerloser Autos voran. Diese Initiative hat das Potenzial, die Entwicklungslandschaft sicherheitskritischer Fahrzeugssoftware nachhaltig zu verändern und eine neue Benchmark in Sachen Sicherheit zu setzen. Ada und SPARK sind seit Jahrzehnten bekannt für ihre Zuverlässigkeit in sicherheitsrelevanten Anwendungen, beispielsweise in der Luft- und Raumfahrt oder in Zugsteuerungssystemen.
Die Kombination mit Nvidias DriveOS und dessen leistungsstarker Hardware eröffnet nun Möglichkeiten, die autonome Fahrsysteme schneller, sicherer und überprüfbarer zu machen. Nvidia und AdaCore haben eine offene Referenzentwicklungsumgebung geschaffen, die den Einsatz dieser Sprachen in Verbindung mit ISO 26262-konformer Softwareentwicklung erleichtert. Die ISO 26262 ist der weltweit anerkannte Standard für funktionale Sicherheit in Kraftfahrzeugen. Die enge Verzahnung von Entwicklungsprozess, formaler Verifikation und Zertifizierung macht den Prozess besonders wertvoll für Automobilhersteller und Zulieferer, die ambitionierte autonome Fahrsysteme entwickeln. Das Kernstück von Nvidias Ansatz ist das Betriebssystem DriveOS, das auf der Hardwarearchitektur der DRIVE AGX-Chips aufsetzt.
Der AGX-Orin-Chip auf Grundlage der Ampere-GPU und ARM Cortex A78AE-Prozessorkernen ist bereits bei namhaften Herstellern wie Volvo, Mercedes-Benz, Jaguar Land Rover, GM, Zeekr und Geely im Einsatz und wurde im Januar von der Zertifizierungsstelle TÜD SÜD auf ASIL-D-Niveau zertifiziert, dem höchsten Sicherheitslevel für Fahrzeugsoftware. ASIL-D-Zertifizierung bedeutet, dass die Software besonders restriktive Anforderungen erfüllt, die zur Vermeidung höchster Risiken bei potenziellen Ausfällen erforderlich sind. Der Nachfolger AGX-Thor, der auf der modernen Blackwell-Architektur und Neoverse V3AE-Kernen basiert, befindet sich bereits in der Erprobung. Seine Einführung verspricht nochmals gesteigerte Leistung und Effizienz in der Softwareentwicklung autonomer Fahrzeuge, insbesondere im Bereich der künstlichen Intelligenz. Die Hardwareplattformen von Nvidia sind somit bestens darauf ausgelegt, komplexe autonome Fahrfunktionen mit höchster Sicherheitsgarantie umzusetzen.
Die Besonderheit des Ada-/SPARK-basierten Entwicklungsflusses liegt in der Nutzung formaler Methoden, die es ermöglichen, Eigenschaften des Codes mathematisch zu beweisen. Dies schließt typische Sicherheitslücken wie Pufferüberläufe oder inkorrekte Initialisierungen aus. SPARK, eine Untermenge von Ada, erlaubt darüber hinaus das Schreiben von Assertionen, die während der Verifikation zwingend geprüft werden. Damit können Entwickler sicherstellen, dass kritische Softwaremodule exakt ihren Spezifikationen entsprechen, ohne allein auf umfangreiche Testreihen angewiesen zu sein. Nvidia hat den Referenzprozess als Open-Source auf GitHub veröffentlicht, damit die gesamte Branche von den erarbeiteten Standards und Werkzeugen profitiert.
Ein entscheidender Vorteil ist, dass die Sicherheitsschutzanforderungen nicht als separate Aufgabe betrachtet werden, die erst nach der Entwicklung durch zusätzliche Prüfungen erledigt wird. Stattdessen sind Verifikation, Rückverfolgbarkeit und Anforderungen fest in den Entwicklungsworkflow integriert. Für Entwickler bedeutet das einen Paradigmenwechsel: Sie müssen nicht mehrere Rollen übernehmen, sondern können direkt in ihrem Quellcode sicherheitsrelevante Eigenschaften implementieren und nachweisen. Diese Transparenz und Integration erlaubt eine enorm effizientere Arbeitsweise, die bei konventionellen Methoden so nicht möglich ist. Quentin Ochem von AdaCore beschreibt diesen Ansatz als „Wendepunkt“ für die Entwicklung softwaredefinierter Fahrzeuge.
Nvidia hebt zudem hervor, dass komplexe Sicherheitszertifizierungen für Software dadurch erheblich entmystifiziert werden. Seit Jahrzehnten galt funktionale Sicherheit als aufwändig, abstrakt und schwer zugänglich. Mit offenem Zugang zu Dokumentationen und geprüften Prozessen sinken Einstiegshürden für Unternehmen, die in den Markt der autonomen Fahrzeugsysteme einsteigen wollen. Natürlich bringt die Einführung einer neuen Programmiersprache und eines neuen Entwicklungsparadigmas Herausforderungen mit sich: Teams müssen umgeschult, Werkzeuge angepasst und Abläufe neu definiert werden. Allerdings eröffnet der verifikationsgetriebene Prozess langfristig tiefere Einblicke in Softwareeigenschaften, die anderweitig nur mit großem Aufwand zu gewinnen wären.
Traditionelle Programmiersprachen wie C++ bieten zwar Flexibilität, aber auch Risiken durch undefiniertes Verhalten, das bei sicherheitskritischen Systemen aufwendig minimiert werden muss. Ada und SPARK setzen konsequent auf Vorbeugung von Fehlerquellen. Zudem unterstützt der Referenzprozess nicht nur die formale Verifikation, sondern erlaubt auch nicht-formale Prüfungen nebeneinander. Das heißt, Softwarekomponenten können flexibel nach Bedarf und Kritikalität abgesichert werden. Dies unterstützt Automobilhersteller dabei, Ressourcen effizient zu steuern und gleichzeitig die geforderte Sicherheit zu gewährleisten.
Kritisch ist, dass der Prozess aktuell Software-Einheiten betrifft, die vollständig in Ada entwickelt werden. Eine Mischung mit anderen Sprachen wie C / C++ ist im aktuellen Rahmen nicht vorgesehen. Das betont die klare Fokussierung auf eine sehr kontrollierte Entwicklungsumgebung mit maximalem Fokus auf Sicherheit. Darüber hinaus umfasst der Prozess weder architektonische Designentscheidungen noch Aspekte wie Parallelität oder das Portieren bestehender Software auf Ada/SPARK. Hier bleiben also weitere Herausforderungen bestehen, aber auch Möglichkeiten zur Weiterentwicklung.
Nvidia sieht den Referenzfluss als evolutionäres Werkzeug, das individuell angepasst und erweitert werden kann. Die Tatsache, dass der Prozess von einer unabhängigen Stelle wie TÜD SÜD zertifiziert wurde, verleiht ihm Glaubwürdigkeit und Reife, die für Zulassung und Produktion maßgeblich sind. Diese hohe Güte und offene Verfügbarkeit bilden ein solides Fundament für künftige Innovationen im Bereich autonomer Fahrzeuge. Der CEO von Nvidia, Jensen Huang, beschreibt die lange Entwicklungszeit von über einem Jahrzehnt für autonome Systeme als Vorbereitung für den aktuellen Durchbruch. Nun falle es leichter, KI intelligent, sicher und integriert sowohl in der Fertigung als auch im Fahrzeug selbst einzusetzen.
Die Kombination von leistungsfähiger Hardware, bewährten Programmiersprachen und offenen Entwicklungsprozessen ist ein Schlüssel für diese Transformation. Auch namhafte Automobilhersteller wie Toyota, als größter Fahrzeugproduzent der Welt, setzen auf diese Lösungen, was den Trend eindrucksvoll unterstreicht. Die Einführung von Ada und SPARK in den Entwicklungsprozess autonomer Fahrzeuge könnte einen Paradigmenwechsel markieren: Weg von der reaktiven Fehlerbehebung hin zu einer proaktiven „Beweisführung“ von Softwarekorrektheit auf Quellcodeebene. Dies erhöht nicht nur die Qualität, sondern ermöglicht auch eine bessere Nachvollziehbarkeit und Vertrauen in Fahrzeugsysteme, was für Verbraucher und Regulierungsbehörden gleichermaßen von Bedeutung ist. Zusätzlich fördert die offene Bereitstellung die Zusammenarbeit und Innovation innerhalb der Branche.
Entwickler und Unternehmen können auf bewährten Grundlagen aufbauen, von gegenseitigem Austausch profitieren und so schneller skalieren. Damit trägt Nvidia nicht nur zur Technologieführung bei, sondern auch zur Etablierung sicherer Standards, die die Akzeptanz autonomer Fahrzeuge in der Gesellschaft fördern. Zusammenfassend steht die Zusammenarbeit von Nvidia mit AdaCore und der offene Referenzfluss für Ada und SPARK für eine neue Ära der sicherheitsgerechten Fahrzeugsoftware. Die Kombination aus leistungsfähiger Hardware, formaler Verifikation und einem transparenten Entwicklungsprozess schafft eine robuste Basis für autonome Fahrsysteme der nächsten Generation. Hersteller, Zulieferer und Entwickler erhalten so ein mächtiges Werkzeug, um den komplexen Anforderungen der funktionalen Sicherheit gerecht zu werden und zugleich Entwicklungszeiten zu verkürzen.
Die Zukunft der autonomen Mobilität wird maßgeblich von solchen Innovationen geprägt, die Sicherheit und Effizienz intelligent miteinander verbinden. Die offene Bereitstellung des Referenzprozesses hebt dabei Barrieren auf und ermöglicht eine breitere Adoption, von der letztendlich Fahrer, Hersteller und Gesellschaft gleichermaßen profitieren.
