Schützenpanzer Puma vom Panzergrenadierbataillon 112 bewegen sich auf dem Truppenübungsplatz Oberlausitz durch das Gelände, am 28.04.2020.

Zulassungsrechtliche Herausforderungen zukünftiger Systeme

Zulassungsrechtliche Herausforderungen im Genehmigungsprozess von automatisierten bzw. autonomen Fahrzeugen und Systemen der Bundeswehr

In der Konzeption der Bundeswehr wird die herausgehobene Bedeutung unbemannter Systeme hinsichtlich des Potentials für Einsatzperspektiven und die Fähigkeitsentwicklung festgestellt. Sowohl das Heer als auch die Streitkräftebasis planen automatisierte Landsysteme für die unterschiedlichsten Fähigkeiten. Das Potential ist vielfältig. Wenn ursprünglich ein ggf. möglicher geringerer Personaleinsatz für bestimmte Aufgaben im Fokus stand, lässt die Nutzung solcher Systeme dem Stand der Technik folgend insbesondere im „Teaming“ zwischen Mensch und Maschine deutliche Vorteile erwarten, die den militärischen Nutzen erheblich erweitern können.

Schützenpanzer Puma vom Panzergrenadierbataillon 112 bewegen sich auf dem Truppenübungsplatz Oberlausitz durch das Gelände, am 28.04.2020.
SPz PUMA, Maximilian Schulz/Bundeswehr

Der technologische Fortschritt auf dem Weg zum automatisierten Fahren ist rasant und Forschungsprojekte zeigen immer wieder was zukünftig möglich sein kann. Der Fokus der Forschungsprojekte liegt hierbei auf der grundsätzlichen Demonstration einer Fähigkeit. Im Rahmen dieser Projekte wird die Fähigkeit in einem oft eng definierten Umfeld demonstriert. Eine zuverlässige Funktion und ein sicherer Betrieb sind damit im Regelfall noch nicht gegeben. Die Absperrung des Demonstrationsbereiches, Not-Aus-Einrichtungen und ähnliche Maßnahmen dokumentieren dies. Ist eine Fähigkeit technologisch umsetzbar, muss eine Weiterentwicklung erfolgen, um einen robusten und sicheren Einsatz außerhalb des „Labors“ zu ermöglichen.

Für die Nutzung dieser technologischen Innovationen müssen die äußeren Sicherheitsmaßnahmen soweit reduziert werden können, dass ein Einsatz in der Truppe für den jeweils vorgesehenen Zweck verantwortbar wird – oder anders ausgedrückt: Es ist der Nachweis für ein Dienstfahrzeug (DFzg) zu erbringen, dass dieses sicher im Kraftfahrbetrieb im gesamten vorgesehenen Einsatzspektrum eingesetzt werden kann.

 Genehmigungsprozess zur Erlangung einer militärischen Betriebserlaubnis

Dazu ist im Beschaffungsprozess die Feststellung der sicheren Inbetriebnahme (FSI) als eine Grundlage für die durch die Projektleitung zu erteilende Genehmigung zur Nutzung (GeNu) vorgesehen. Eine unumgängliche Voraussetzung für eine GeNu von Landsystemen ist eine vorhandene militärische Betriebserlaubnis.

Die Zulassung zum Straßenverkehr ist dann nur der auf der Betriebserlaubnis basierende, formale Akt der Zuteilung von Kennzeichen und der Ausstellung einer Zulassungsbescheinigung.

Die Rechtsgrundlage für den gesamten Zulassungsprozess ist das Straßenverkehrsgesetz mit seinen nachgeordneten Verordnungen in Verbindung mit den internationalen Verordnungen, Richtlinien und Regelungen. Diese Rechtsgrundlagen billigen Dienstfahrzeugen der Bundeswehr wegen deren besonderen Einsatzzweckes unter bestimmten Voraussetzungen Ausnahmen zu. Zuständig für die Erteilung der militärischen Betriebserlaubnis für den Straßenverkehr und für den sicheren Kraftfahrbetrieb auch abseits öffentlicher Straßen ist der Leiter Kraftfahrwesen der Bundeswehr (Ltr KfWBw). Er genehmigt Ausnahmen und erteilt ggf. notwendigen Auflagen.

Voraussetzung für die Nutzung dieser Ausnahmemöglichkeiten sind die dringende Notwendigkeit zur Erfüllung des hoheitlichen Auftrages und die gebührende Berücksichtigung der öffentlichen Sicherheit und Ordnung.

In der Straßenverkehrszulassungsordnung (StVZO), als wichtigste Grundlage zur Erteilung der Betriebserlaubnis, sind die Bauvorschriften zum sichern Betrieb des Gesamtsystems festgelegt.

Hierdurch ergibt sich auch die Schnittstelle zur Kraftfahrerin bzw. zum Kraftfahrer der Bundeswehr (KfBw).  Damit diese mit ihren Fähigkeiten (Wahrnehmung, Bewertung des Umfeldes, Fahrentscheidung und Umsetzung) auf Basis der Regeln der Straßenverkehrsordnung (StVO) und im taktischen Einsatz sicher handeln können. Klassischerweise wird hier eine klare Trennung zwischen den Aufgaben des Menschen (KfBw) und der Maschine (DFzg) vorgenommen. Die Kraftfahrer erfüllen ihren Auftrag, das Fahren von A nach B, planen dafür ihre Route und stellen auf dem Weg dorthin das richtige Verhalten nach den Verkehrsregeln bzw. taktischen Regeln und die richtige Bedienung sicher. Ihnen obliegt die Verhaltenssicherheit.

Das Fahrzeug stellt das technische System zur Umsetzung des Fahrerwunsches dar, es muss also technisch sicher sein. Zudem muss es sicher bedienbar sein und erwartungskonform funktionieren.

Durch den Einsatz von Sichtsystemen und Automatisierung bis hin zum unbemannten System verschiebt sich die Schnittstelle zwischen Fahrer und Fahrzeug. Im Falle des Einsatzes von Sichtsystemen zum Fahren (z. B. Kamera-Monitorsysteme (KMS) oder Nachtsichtsysteme) können die Kraftfahrer ihre vorhandenen Fähigkeiten nicht mehr voll zur Erlangung des Situationsbewusstseins einsetzen. Im Falle der Automatisierung übernimmt Dienstfahrzeug einzelne oder alle Handlungsentscheidungen vom Kraftfahrer der Bundeswehr. Die Einfachsten sind dabei das Abstandhalten – also Beschleunigen oder Bremsen oder das Spurhalten – also die Lenkimpulse. Wenn über automatisiertes oder unbemanntes automatisiertes Fahren im eigentlichen Sinne gesprochen wird, muss sich das Fahrzeug sicher entsprechend der Verkehrsregeln verhalten und die Entscheidungen ebenso gut treffen, wie es gute Fahrerinnen und Fahrer könnten.

Der künftige Genehmigungsprozess muss daher die technische Sicherheit und die vormals dem Kraftfahrer der Bundeswehr zugeordnete Verhaltenssicherheit des Gesamtsystems beinhalten. Dieses Gesamtsystem besteht, je nach Automatisierungsgrad, aus dem Dienstfahrzeug und dem Kraftfahrer, ggf. mit Unterstützung der Besatzung oder dem Fahrzeug allein. Bei vernetzten Systemen kann dies auch das Zusammenspiel mehrerer Fahrzeuge beinhalten.

Eine Übersicht erklärt Gesamtsystemsicherheit = technische Sicherheit + Verhaltenssicherheit
Gesamtsystemsicherheit = technische Sicherheit + Verhaltenssicherheit

Die technische Sicherheit des Dienstfahrzeuges

Die technische Sicherheit wird deutlich komplexer, denn die sicherheitsrelevanten mechanischen Bestandteile nehmen nur minimal ab. Der Einsatz von Elektronik und Software steigt hingegen exponentiell. Daher wird die technische Sicherheit zunehmend in eine risikobasierte Bewertung übergehen, die ein strukturiertes Vorgehen und eine Qualitätssicherung aller Maßnahmen schon in der Entwicklung erfordert. Hierzu werden aktuell entsprechende in folgender Abbildung dargestellte zivile Normen (weiter-) entwickelt, um ein ausreichendes Maß an Sicherheit zu erreichen.

neue Herausforderungen im Rahmen der Bewertung der technischen Sicherheit
Neue Herausforderungen im Rahmen der Bewertung der technischen Sicherheit

Jeder Risikobewertung liegt ein vorgesehener Verwendungszweck und Daten aus dem Nutzungsprofil zu Grunde – daran fehlt es bei neuen Technologien sehr häufig. Der Verwendungszweck und die Daten aus der Nutzung können ganz erhebliche Auswirkungen auf den Entwicklungsprozess haben. Ein Fehler in einer Automatisierungsfunktion, der in einer bestimmten Situation zu schweren Verletzungen führen kann, wird hinsichtlich des Risikos und der daraus abzuleitenden Maßnahmen komplett anders bewertet, wenn diese Situation ständig vorkommt oder nur sehr selten. Hier müssen neue Bewertungsfähigkeiten geschaffen werden, die zu einem teilweise organisationsbereichsübergreifenden Genehmigungsprozess, z.B. Feststellung der Automotive IT-Safety (IT-Sicherheit und Cybersecurity in (vernetzten) Fahrzeugen) durch den Organisationsbereich Cyber- und Informationsraum (CIR), führen.

Die funktionale Sicherheit wird heute bereits hinsichtlich der Waffenanlage betrachtet. Eine Bewertung der funktionalen Sicherheit des Fahrgestells war mangels sicherheitskritischer Elektronik bisher nicht notwendig. Dies ist mit neuen Technologien allerdings unumgänglich. Im Rahmen der funktionalen Sicherheit wird die Auswirkung eines möglichen Funktionsausfalls bewertet und Maßnahmen zur Vermeidung von systematischen Fehlern oder zufälligen Systemausfällen umgesetzt. Dafür ist für Fahrzeuge die Anwendung der Verfahren und Prozesse der ISO 26262 durch Hersteller und den öffentlichen Auftraggeber (öAG) im jeweiligen Zuständigkeitsbereich unumgänglich.

Teilsysteme eines Dienstfahrzeuges und Dienstfahrzeuge untereinander tauschen künftig mehr Daten aus und werden vernetzt sein. Daher wird eine Gesamtsystembetrachtung notwendig. Dafür werden bisher nicht ausreichend vorhandenen Fähigkeiten zur Aufstellung der Anforderungen und zur Bewertung von Sicherheitskonzepte im Bereich des öAG und des Zentrums für Kraftfahrwesen der Bundeswehr erforderlich. Die Vernetzung der elektronischen Teilsysteme in einem Dienstfahrzeug und mit anderen Dienstfahrzeug, möglicherweise auch Luftfahrzeugen, erhöhen die Schnittstellen über die Cyberangriffe möglich werden. Diese werden zum Sicherheitsproblem für den Kraftfahrbetrieb und den taktischen Auftrag. Das Auffinden und Schließen von Sicherheitslücken gehört dabei ebenso zur Cybersecurity, wie der qualifizierte Entwicklungsprozess, um Sicherheitslücken erst gar nicht entstehen zu lassen.

Die Grundlage des heutigen Genehmigungsprozesses ist das „Einfrieren“ des Konstruktionsstandes, inklusive der zugehörigen Softwareversionen, als Basis für die Erteilung einer Betriebserlaubnis. Eine erteilte Betriebserlaubnis hat nur Gültigkeit für genau diesen Konstruktionsstand mit genau dieser Software. Eine zusätzliche Herausforderung ist daher in der künftigen, zwingenden Notwendigkeit zu sehen, aus Sicherheitsgründen notwendige Software – Updates unverzüglich vorzunehmen (over the air (OTA)). Gleichzeitig muss für jedes Update sichergestellt sein, dass das Gesamtsystem weiterhin den Vorschriften entspricht und somit seine Betriebserlaubnis erhalten bleibt.

Die Safety Of The Intended Functionality (SOTIF) rundet die Sicherheitsbetrachtung ab, indem systematisch die Gebrauchssicherheit bewertet wird, damit es bei dem sogenannten „bestimmungsgemäßen Gebrauch“ oder zu erwartenden Fehlgebrauch „nur noch“ zu tolerierbaren Restrisiken kommt. Ziel ist es die Wahrscheinlichkeit von bekannten und unbekannten unsicheren Systemzuständen ausreichend zu reduzieren.

Die beschriebenen Tätigkeitsfelder sind im Genehmigungsprozess neu benötigte Fähigkeiten. Da die bisherigen konventionellen Begutachtungsbestandteile bleiben, ist die zusätzlich benötigte Bewertungsfähigkeit mit den derzeit ausgeplanten personellen und materiellen Ressourcen nicht abdeckbar.

 Die Verhaltenssicherheit des Gesamtsystems

Die Verhaltenssicherheit lässt sich nach dem heutigen Stand der Forschung nur durch den Vergleich mit den Entscheidungen und Handlungen von menschlichen Fahrern in der gleichen Situation nachweisen. Dabei ist ein hochautomatisiertes unbemanntes Dienstfahrzeug als ausreichend sicher einzustufen, wenn es alle Situationen mindestens genauso sicher absolviert, wie dies ein erfahrener Kraftfahrer der Bundeswehr leisten würde. Daraus resultiert, dass das Gesamtsystem (KfBw + DFzg oder nur DFzg) alle Situationen mehrfach reproduzierbar durchfahren muss und die Fahrten vergleichend mit dem konventionellen System mit menschlichem Fahrer und unveränderter Schnittstelle zum Fahrzeug bewertet werden. Hierbei sind alle Umgebungsvarianten (Beispiel: einfache bis komplexe Kreuzung, wenig Verkehr bis komplexe Verkehrssituation, einfaches Gelände bis zum Gebirge, usw.), sowie alle Witterungs- und Betriebsbedingungen zu berücksichtigen. Das daraus resultierende Fahrsituationskollektiv ist so groß, dass es nicht alleine durch reale Fahrten abdeckbar ist. Dies gilt insbesondere im Bereich der Bundeswehr, da die im Rahmen des Rüstungsprozesses zur Verfügung stehende Anzahl an Nachweisfahrzeugen im Regelfall sehr gering ist.

Dennoch sind alle Einzelszenare inklusive der änderbaren Parameter zu erstellen, Bewertungskriterien zu entwickeln, in einer Datenbank zu erfassen und im Rahmen der Nachweisführung anzuwenden. Dabei ist im ersten Schritt das regelkonforme Verhalten der Beteiligten zu Grunde zu legen. In einem zweiten Schritt ist die Verhaltenssicherheit auch bei Fehlverhalten des Umfeldes sicherzustellen und notwendiges „eigenes“ Fehlverhalten abzusichern. Ein einfaches Beispiel hierfür ist ein ausgefallenes Fahrzeug in der eigenen Fahrspur und Fahrbahnbegrenzungen, die einen Spurwechsel grundsätzlich verbieten. Die Erstellung dieses umfassenden Fahrsituationskollektivs ist eine drängende, aufwändige und nicht zu unterschätzende Aufgabe, bei der insbesondere die militärischen Besonderheiten zu berücksichtigen sind.

Der künftige Genehmigungsprozess im Bereich der Verhaltenssicherheit muss ein hohes Maß an virtuellen Methoden enthalten, die durch reale Fahrten in einer dynamischen Testumgebung und Fahrten im öffentlichen Straßenverkehr sowie im Gelände, ggf. mit Sicherheitsfahrer, validiert und ergänzt werden. Zwingende Voraussetzung für die Nutzbarkeit der Ergebnisse aus der Simulation im Genehmigungsverfahren ist der ausreichende Nachweis, dass die Simulation hinreichend der Realität entspricht. Es wird daher ein digitaler Zwilling für das Dienstfahrzeug, die Sensorik, die Automatisierungssysteme und die Umgebung benötigt. Auch nach Erteilung der Betriebserlaubnis ist eine Überwachung in der Nutzung zu etablieren, die zusätzlich dem Prozess der (langfristigen) Nachweisführung zuzuordnen ist. Dies wird auf dem zivilen Markt ebenso umgesetzt und die Daten voraussichtlich im Wesentlichen durch den Hersteller gesammelt und ausgewertet – ein Aspekt, der unter militärischen Gesichtspunkten ggf. anders gehandhabt werden muss.

Aufbau des Genehmigungsprozesses zum Nachweis der Verhaltenssicherheit
Aufbau des Genehmigungsprozesses zum Nachweis der Verhaltenssicherheit

Zur Umfelderkennung und zur Bewertung des potentiellen Verhaltens anderer Verkehrsteilnehmer ist absehbar, dass künstliche Intelligenz (KI) zum Einsatz kommen wird. Die KI errechnet mit den Daten der Umgebung, basierend auf den implementierten Algorithmen auf Grundlage der „Lerndaten“[1], ein Ergebnis, welches dann in eine Handlungsentscheidung für das Fahrzeug umgesetzt wird. Dabei wächst die Ergebnisgüte idealerweise mit der Erhöhung der Lerndaten. Im Gegensatz zu konventioneller Software kann dabei nicht jeder einzelne Schritt geprüft werden. Es ist mit einer Blackbox zu vergleichen, bei der das Ergebnis, nicht aber der Entscheidungsweg bewertet werden kann. Insofern gibt es durchaus Parallelen zum menschlichen Fahrer. Auch dieser trifft eine Entscheidung auf Basis der Umgebungswahrnehmung und seines Fahrziels bzw. Auftrages. Neben der konkreten Umgebungserfassung sind die Lerndaten dabei üblicherweise langjährige Erfahrungen im Straßenverkehr als Fußgänger und Radfahrer, vom Kleinkind bis zum Erwachsenen. Darüber hinaus bilden die Kenntnis und das Erlernen der Anwendung der Regeln im Straßenverkehr, sowie ein ausreichendes Training mit einer Fahrzeugart und einem konkreten Fahrzeug mit abschließender Fahrprüfung die Grundlage des sicheren Führens eines Dienstfahrzeuges.

Basis für eine für den Kraftfahrbetrieb nutzbare künstliche Intelligenz muss ein vergleichbarer „Erfahrungsschatz“ sein. Die unverzichtbare Grundlage für den Einsatz künstlicher Intelligenz sind umfangreiche Daten. Diese müssen gewonnen und ggf. aufbereitet, gespeichert und für den richtigen Einsatz- oder Lernzweck bereitgestellt werden können. Dies erfordert ein systematisches Datenmanagement und eine Dateninfrastruktur in der Bundeswehr, welche noch geschaffen werden muss.

Notwendige Voraussetzungen

Basierend auf dem oben genannten Fahrsituationskollektiv müssen Software, Hardware, das Gesamtsystem, bestehend aus Dienstfahrzeug und Kraftfahrer alle relevanten Fahrsituationen in der Simulation absolvieren. Die dafür notwendigen personellen, materiellen und infrastrukturellen Voraussetzungen sind erst noch durch die Bundeswehr zeitnah zu schaffen. Die dynamische Testumgebung (urban und Gelände) muss die Möglichkeit der Darstellung der Fahrsituation inklusive bewegter Objekte, Verkehrsteilnehmer oder taktischer Komponenten ermöglichen und zudem besondere militärische Rahmenbedingungen ermöglichen. Beispiele hierfür sind das Zu- und Abschalten von Kommunikationsnetzen, Cyberangriffe und Maßnahmen des elektronischen Kampfes. Zur Dokumentation und Auswertung ist eine Ausstattung zur Positions- und Messdatenerfassung und zum Handling großer Datenmengen erforderlich. Die Infrastruktur muss die Darstellung des Fahrsituationskollektivs und darüber hinaus die Funktionsprüfung des zu untersuchenden Systems ermöglichen, zumindest soweit dies für die Durchführung der dynamischen Tests notwendig ist. Eine Kombination mit Simulationsanteilen ist dabei anstrebenswert.

Abschätzung des zeitlichen Vorlaufs für das Erreichen der Prüffähigkeit der sicheren Führbarkeit bzw. des sicheren Betriebes
Abschätzung des zeitlichen Vorlaufs für das Erreichen der Prüffähigkeit der sicheren Führbarkeit bzw. des sicheren Betriebes

Wie aus vorstehender Abbildung ersichtlich, werden bereits in der vorangestellten Untersuchungsphase umfangreiche Ressourcen im Hinblick auf Personal und Haushaltsmittel für Forschung und Testentwicklung notwendig. Zudem ist die Zusammenführung der in unterschiedlichen Dienststellen vorhandene Fachexpertise notwendig sowie diese zu bündeln und zu koordinieren. Da schon begonnene Projekte die genannten neuen Technologien nutzen werden, ist es erforderlich die benötigte Bewertungsfähigkeit so schnell wie möglich aufzubauen.

Fazit:

Die Automatisierung von Fahrfunktionen bis hin zu autonomen Fahrzeugen erfordert einen neuen Genehmigungsprozess zur Erlangung einer militärischen Betriebserlaubnis. Bereits bei der Risikobewertung muss das Zentrum für Kraftfahrwesen der Bundeswehr als Genehmigungsbehörde in die Projektarbeit einbezogen werden. Die Entwicklung und der Nachweis einer hinreichenden Systemsicherheit umfassen die Bewertungen in einer Kombination aus Simulationen und Fahrversuchen. Hierbei muss das Fahrzeug, sowie die Sensorik als digitaler Zwilling in der Simulation abgebildet werden. Die Fahrversuche müssen mit Sicherheitsfahrer in einer dynamischen Testumgebung, im Straßenverkehr und im taktischen Einsatz erfolgen.

Die zur Nachweisführung zwingend benötigten Fähigkeiten wurden durch das ZKfWBw bereits angezeigt. Um die Aspekte einer Genehmigung schon in der Projektierung zu berücksichtigen, muss mit dem Aufbau der Bewertungsfähigkeit umgehend begonnen werden, damit die fachlich zuständigen Stellen, die Bedarfsträger, forschende Institutionen in einem übergreifenden Ansatz hierzu befähigt werden. Insbesondere das Nachweisfeld der Verhaltenssicherheit erfordert eine szenariobasierte Herangehensweise, die eine stufenweise Freigabe von Funktionen und die stufenweise Erweiterung der Nutzungsgrenzen ermöglicht.

Die besondere Herausforderung besteht in der zeitlichen Abstimmung aller erforderlichen Planungskategorien Personal, Material, Infrastruktur und Organisation. Nur wenn die Fähigkeit zeitgerecht aufgebaut wird, kann das große Potential der neuen Fahrzeugtechnologien militärisch zum Betrieb genehmigt und genutzt werden.

Text und Grafiken: Autorenteam LogKdoBw ZKfWBw

 

[1] Lerndaten sind Daten, mit denen ein KI-Algorithmus trainiert wird, aus denen er „lernt“.