30.09.2021 •

Genehmigungsprozess für autonome Fahrzeuge und Systeme der Bundeswehr

Hartmut Biermann

In der Konzeption der Bundeswehr wird die herausgehobene Bedeutung unbemannter Systeme hinsichtlich des Potentials für Einsatzperspektiven und die Fähigkeitsentwicklung festgestellt. Sowohl das Heer als auch die Streitkräftebasis planen automatisierte Landsysteme für die unterschiedlichsten Fähigkeiten. Das Potential ist vielfältig. Die Nutzung solcher Systeme lässt dem Stand der Technik folgend insbesondere im „Teaming“ zwischen Mensch und Maschine deutliche Vorteile und erweiterten militärischen Nutzen erwarten.

Der technologische Fortschritt auf dem Weg zum automatisierten Fahren ist rasant. Forschungsprojekte zeigen immer wieder, was zukünftig möglich sein kann. Der Fokus liegt hierbei auf der grundsätzlichen Demonstration einer Fähigkeit des autonomen Fahrzeugs. In diesem Rahmen wird die Fähigkeit in einem oft eng definierten Umfeld demonstriert. Eine zuverlässige Funktion und ein sicherer Betrieb sind damit im Regelfall noch nicht gegeben. Die Absperrung des Demonstrationsbereiches, Not-Aus-Einrichtungen und ähnliche Maßnahmen dokumentieren dies. Ist eine Fähigkeit technologisch umsetzbar, muss eine Weiterentwicklung erfolgen, um einen robusten und sicheren Einsatz außerhalb des „Labors“ zu ermöglichen.

Für die Nutzung dieser technologischen Innovationen müssen die äußeren Sicherheitsmaßnahmen so weit reduziert werden können, dass ein Einsatz in der Truppe für den jeweils vorgesehenen Zweck verantwortbar wird. Anders ausgedrückt: Für ein Dienstfahrzeug (DFzg) ist der Nachweis zu erbringen, dass dieses sicher im Kraftfahrbetrieb des gesamten Einsatzspektrums möglich ist.

SPz PUMA
SPz PUMA
Quelle: Maximilian Schulz/Bundeswehr

Genehmigungsprozess zur Erlangung einer militärischen Betriebserlaubnis

Hierfür ist im Beschaffungsprozess die Feststellung der sicheren Inbetriebnahme als eine Grundlage für die durch die Projektleitung zu erteilende Genehmigung zur Nutzung (GeNu) vorgesehen. Eine unumgängliche Voraussetzung für eine GeNu von Landsystemen ist eine vorhandene militärische Betriebserlaubnis. Die Zulassung zum Straßenverkehr ist dann nur der auf der Betriebserlaubnis basierende formale Akt der Zuteilung von Kennzeichen und der Ausstellung einer Zulassungsbescheinigung.

Die Rechtsgrundlage für den gesamten Zulassungsprozess ist das Straßenverkehrsgesetz inklusive aller internationalen und nachfolgenden nationalen Regelungen. Diese Rechtsgrundlagen billigen Dienstfahrzeugen der Bundeswehr wegen ihres besonderen Einsatzzweckes unter bestimmten Voraussetzungen Ausnahmen zu. Zuständig für die Erteilung der militärischen Betriebserlaubnis für den Straßenverkehr und für den sicheren Kraftfahrbetrieb auch abseits öffentlicher Straßen ist der Leiter Kraftfahrwesen der Bundeswehr. Er genehmigt Ausnahmen und erteilt die notwendigen Auflagen.

Voraussetzung für die Nutzung dieser Ausnahmemöglichkeiten ist die dringende Notwendigkeit zur Erfüllung des hoheitlichen Auftrages und die gebührende Berücksichtigung der öffentlichen Sicherheit und Ordnung. In der Straßenverkehrszulassungsordnung, als wichtigste Grundlage zur Erteilung der Betriebserlaubnis, sind die Bauvorschriften zum sicheren Betrieb des Gesamtsystems festgelegt.

Hierdurch ergibt sich auch die Schnittstelle zur Kraftfahrerin bzw. zum Kraftfahrer der Bundeswehr (KfBw), damit diese mit ihren Fähigkeiten (Wahrnehmung, Bewertung des Umfeldes, Fahrentscheidung und Umsetzung) auf Basis der Regeln der Straßenverkehrsordnung und im taktischen Einsatz sicher handeln können. Klassischerweise wird hier eine klare Trennung zwischen den Aufgaben des Menschen und der Maschine vorgenommen. Die Kraftfahrer erfüllen ihren Auftrag, fahren von A nach B, planen dafür ihre Route und stellen auf dem Weg dorthin das richtige Verhalten nach den Verkehrsregeln bzw. taktischen Regeln und die richtige Bedienung sicher. Ihnen obliegt die Verhaltenssicherheit. Das Fahrzeug stellt das technische System zur Umsetzung des Fahrerwunsches dar, es muss also technisch sicher und gut bedienbar sein.

Durch den Einsatz von Sichtsystemen und Automatisierung bis hin zum unbemannten System verschiebt sich die Schnittstelle zwischen Fahrer und Fahrzeug. Im Falle des Einsatzes von Sichtsystemen, wie z. B. Kamera-Monitorsysteme oder Nachtsichtsysteme, können die Kraftfahrer ihre vorhandenen Fähigkeiten nicht mehr voll zur Erlangung des Situationsbewusstseins einsetzen. Im Falle der Automatisierung übernimmt das DFzg einzelne oder alle Handlungsentscheidungen vom KfBw. Die Einfachsten sind dabei das Abstandhalten – also Beschleunigen, Bremsen oder das Spurhalten – sowie die Lenkimpulse. Wenn über automatisiertes oder unbemanntes Fahren im eigentlichen Sinne gesprochen wird, muss sich das Fahrzeug sicher entsprechend den Verkehrsregeln verhalten und die Entscheidungen ebenso gut treffen, wie es gute Fahrerinnen und Fahrer können.

Der künftige Genehmigungsprozess muss daher die technische Sicherheit und die Verhaltenssicherheit des Gesamtsystems beinhalten. Dieses Gesamtsystem besteht, je nach Automatisierungsgrad, aus dem DFzg und dem Kraftfahrer, ggf. mit Unterstützung der Besatzung, oder dem DFzg allein. Bei vernetzten Systemen kann dies auch das Zusammenspiel mehrerer Fahrzeuge beinhalten.

Die technische Sicherheit des Dienst­fahrzeuges

Die technische Sicherheit wird deutlich komplexer. Die sicherheitsrelevanten mechanischen Bestandteile nehmen nur minimal ab. Der Einsatz von Elektronik und Software steigt hingegen exponentiell. Daher wird die technische Sicherheit zunehmend in eine risikobasierte Bewertung übergehen, die ein strukturiertes Vorgehen und eine Qualitätssicherung aller Maßnahmen schon in der Entwicklung erfordert. Hierzu werden aktuell entsprechende, in Abbildung 2 dargestellte, zivile Normen weiterentwickelt.

Jeder Risikobewertung liegen ein Verwendungszweck und Daten aus dem Nutzungsprofil zu Grunde – daran fehlt es bei neuen Technologien sehr häufig. Beide können erhebliche Auswirkungen auf den Entwicklungsprozess haben. Ein Fehler in einer Automatisierungsfunktion, der zu schweren Verletzungen führen kann, wird hinsichtlich des Risikos und der daraus abzuleitenden Maßnahmen anders bewertet, wenn diese Situation ständig vorkommt oder nur sehr selten. Hier müssen neue Bewertungsfähigkeiten geschaffen werden, die zu einem organisationsbereichsübergreifenden Genehmigungsprozess, z. B. bei der Feststellung der Automotive IT-Safety durch den Organisationsbereich Cyber- und Informationsraum (CIR), führen.

Die funktionale Sicherheit wird heute bereits hinsichtlich der Waffenanlage betrachtet. Eine Bewertung der funktionalen Sicherheit des Fahrgestells ist mit neuen Technologien unumgänglich. In diesem Rahmen wird die Auswirkung eines möglichen Funktionsausfalls bewertet und Maßnahmen zur Vermeidung von systematischen Fehlern oder zufälligen Systemausfällen umgesetzt. Dafür ist für Fahrzeuge die Anwendung der Verfahren und Prozesse der ISO 26262 durch Hersteller und den öffentlichen Auftraggeber (öAG) im jeweiligen Zuständigkeitsbereich unumgänglich.

Teilsysteme eines Dienstfahrzeugs und Dienstfahrzeuge untereinander tauschen künftig mehr Daten aus und werden vernetzt sein. Daher wird eine Gesamtsystembetrachtung notwendig, für die Fähigkeiten zur Aufstellung der Anforderungen und zur Bewertung der Sicherheitskonzepte im Bereich des öAG und des ZKfWBw erforderlich sind. Die Vernetzung der elektronischen Teilsysteme innerhalb eines und mit anderen Dienstfahrzeugen, möglicherweise auch Luftfahrzeugen, erhöhen die Schnittstellen, über die Cyberangriffe möglich werden. Diese werden zum Sicherheitsproblem für den Kraftfahrbetrieb und den taktischen Auftrag. Auffinden und Schließen von Sicherheitslücken gehört dabei ebenso zur Cybersecurity wie der qualifizierte Entwicklungsprozess, um Sicherheitslücken erst gar nicht entstehen zu lassen.

Auf der heutigen Grundlage des Genehmigungsprozesses hat eine erteilte Betriebserlaubnis nur Gültigkeit für genau diesen Konstruktionsstand mit genau dieser Software. Eine zusätzliche Herausforderung ist daher in der künftigen Notwendigkeit zu sehen, aus Sicherheitsgründen notwendige Software-Updates unverzüglich vorzunehmen (over the air). Gleichzeitig muss für jedes Update sichergestellt sein, dass das Gesamtsystem weiterhin den Vorschriften entspricht und somit seine Betriebserlaubnis erhalten bleibt.

Die Safety Of The Intended Functionality rundet die Sicherheitsbetrachtung ab, indem systematisch die Gebrauchssicherheit bewertet wird. Damit kommt es bei dem sogenannten „bestimmungsgemäßen Gebrauch“ oder zu erwartenden Fehlgebrauch nur noch zu tolerierbaren Restrisiken. Ziel ist es, die Wahrscheinlichkeit von bekannten und unbekannten unsicheren Systemzuständen ausreichend zu reduzieren.

Die beschriebenen Tätigkeitsfelder stellen im Genehmigungsprozess neu benötigte Fähigkeiten dar. Da die bisherigen konventionellen Begutachtungsbestandteile bleiben, ist die zusätzlich benötigte Bewertungsfähigkeit mit den derzeit ausgeplanten personellen und materiellen Ressourcen nicht abdeckbar.

Die Verhaltenssicherheit des Gesamt­systems

Die Verhaltenssicherheit lässt sich nach dem heutigen Stand der Forschung nur durch den Vergleich mit den Entscheidungen und Handlungen von menschlichen Fahrerinnen und Fahrern in der gleichen Situation nachweisen. Dabei ist ein hochautomatisiertes unbemanntes Dienstfahrzeug als ausreichend sicher einzustufen, wenn es alle Situationen mindestens genauso sicher absolviert, wie dies ein erfahrener KfBw leisten würde. Daraus resultiert, dass das Gesamtsystem (KfBw + DFzg oder nur DFzg) alle Situationen mehrfach reproduzierbar durchfahren muss und die Fahrten vergleichend mit dem konventionellen System mit menschlichem Fahrer und unveränderter Schnittstelle zum Fahrzeug bewertet werden. Hierbei sind alle Umgebungsvarianten (einfache bis komplexe Kreuzung, wenig Verkehr bis komplexe Verkehrssituation, einfaches Gelände bis Gebirge, usw.) sowie alle Witterungs- und Betriebsbedingungen zu berücksichtigen. Das daraus resultierende Fahrsituationskollektiv ist so groß, dass es nicht allein durch reale Fahrten abdeckbar ist.

Dennoch sind alle Einzelszenarien inklusive der änderbaren Parameter zu erstellen, Bewertungskriterien zu entwickeln, in einer Datenbank zu erfassen und im Rahmen der Nachweisführung anzuwenden. Dabei ist im ersten Schritt das regelkonforme Verhalten der Beteiligten zu Grunde zu legen. In einem zweiten Schritt ist die Verhaltenssicherheit auch bei Fehlverhalten des Umfeldes sicherzustellen und notwendiges „eigenes“ Fehlverhalten abzusichern. Ein einfaches Beispiel hierfür ist ein ausgefallenes Fahrzeug in der eigenen Fahrspur und Fahrbahnbegrenzungen, die einen Spurwechsel grundsätzlich verbieten. Die Erstellung dieses umfassenden Fahrsituationskollektivs ist eine aufwändige, nicht zu unterschätzende Aufgabe, bei der die militärischen Besonderheiten zu berücksichtigen sind.

Der künftige Genehmigungsprozess im Bereich der Verhaltenssicherheit muss ein hohes Maß an virtuellen Methoden enthalten, die durch reale Fahrten in einer dynamischen Testumgebung und Fahrten im öffentlichen Straßenverkehr sowie im Gelände, ggf. mit Sicherheitsfahrer, validiert und ergänzt werden. Zwingende Voraussetzung für die Nutzbarkeit der Ergebnisse aus der Simulation im Genehmigungsverfahren ist der ausreichende Nachweis, dass die Simulation hinreichend der Realität entspricht. Es wird daher ein digitaler Zwilling für das Dienstfahrzeug, die Sensorik, die Automatisierungssysteme und die Umgebung benötigt. Auch nach Erteilung der Betriebserlaubnis ist eine Überwachung in der Nutzung zu etablieren, die zusätzlich dem Prozess der langfristigen Nachweisführung zuzuordnen ist. Dies wird auf dem zivilen Markt ebenso umgesetzt. Die Daten werden voraussichtlich im Wesentlichen durch den Hersteller gesammelt und ausgewertet.

Zur Umfelderkennung und zur Bewertung des potentiellen Verhaltens anderer Verkehrsteilnehmer ist absehbar, dass künstliche Intelligenz (KI) zum Einsatz kommen wird. Die KI errechnet mit den Daten der Umgebung, basierend auf den implementierten Algorithmen auf Grundlage der Lerndaten, ein Ergebnis, welches dann in eine Handlungsentscheidung für das Fahrzeug umgesetzt wird. Dabei wächst die Ergebnisgüte mit der Erhöhung der Lerndaten. Im Gegensatz zu konventioneller Software kann dabei nicht jeder einzelne Schritt geprüft werden. Es ist mit einer Blackbox zu vergleichen, bei der das Ergebnis, nicht aber der Entscheidungsweg, bewertet werden kann. Insofern gibt es durchaus Parallelen zum menschlichen Fahrer. Auch dieser trifft eine Entscheidung auf Basis der Umgebungswahrnehmung und seines Fahrziels bzw. Auftrages. Neben der konkreten Umgebungserfassung sind die Lerndaten dabei üblicherweise langjährige Erfahrungen im Straßenverkehr als Fußgänger und Radfahrer, vom Kleinkind bis zum Erwachsenen. Darüber hinaus bilden die Kenntnis und das Erlernen der Anwendung der Regeln im Straßenverkehr sowie ein ausreichendes Training mit einer Fahrzeugart mit abschließender Fahrprüfung die Grundlage des sicheren Führens eines Dienstfahrzeuges. Basis für eine im Kraftfahrbetrieb nutzbare KI muss ein vergleichbarer „Erfahrungsschatz“ sein. Unverzichtbare Grundlage hierfür sind umfangreiche Daten. Diese müssen gewonnen und aufbereitet, gespeichert und für den richtigen Einsatz- oder Lernzweck bereitgestellt werden können. Dies erfordert ein systematisches Datenmanagement und eine Dateninfrastruktur, welche noch geschaffen werden muss.

Notwendige Voraussetzungen

Basierend auf dem Fahrsituationskollektiv müssen Software, Hardware sowie das Gesamtsystem, bestehend aus DFzg und Kraftfahrer alle relevanten Fahrsituationen in der Simulation absolvieren. Die dafür notwendigen personellen, materiellen und infrastrukturellen Voraussetzungen sind noch zu schaffen. Die dynamische Testumgebung muss die Möglichkeit der Darstellung der Fahrsituation inklusive bewegter Objekte, Verkehrsteilnehmer oder taktischer Komponenten und zudem besondere militärische Rahmenbedingungen ermöglichen. Beispiele hierfür sind das Zu- und Abschalten von Kommunikationsnetzen, Cyberangriffe und Maßnahmen des elektronischen Kampfes. Zwecks Dokumentation und Auswertung ist eine Ausstattung zur Positions- und Messdatenerfassung erforderlich. Die Infrastruktur muss die Darstellung des Fahrsituationskollektivs und die Funktionsprüfung des zu untersuchenden Systems ermöglichen. Eine Kombination mit Simulationsanteilen ist dabei anstrebenswert.

Fazit

Die Automatisierung von Fahrfunktionen bis hin zu autonomen Fahrzeugen erfordert einen neuen Genehmigungsprozess zur Erlangung einer militärischen Betriebserlaubnis. Bereits bei der Risikobewertung muss das Zentrum für Kraftfahrwesen der Bundeswehr als Genehmigungsbehörde in die Projektarbeit einbezogen werden. Die Entwicklung und der Nachweis einer hinreichenden Systemsicherheit umfassen die Bewertungen in einer Kombination aus Simulationen und Fahrversuchen. Hierbei muss das Fahrzeug, sowie die Sensorik als digitaler Zwilling in der Simulation abgebildet werden. Die Fahrversuche müssen mit Sicherheitsfahrer in einer dynamischen Testumgebung, im Straßenverkehr und im taktischen Einsatz erfolgen.

Die zur Nachweisführung zwingend benötigten Fähigkeiten wurden durch das ZKfWBw bereits angezeigt. Um die Aspekte einer Genehmigung schon in der Projektierung zu berücksichtigen, sollte mit dem Aufbau der Bewertungsfähigkeit schnellstmöglich begonnen werden. Insbesondere das Nachweisfeld der Verhaltenssicherheit erfordert eine szenarienbasierte Herangehensweise, die eine stufenweise Freigabe von Funktionen und die Erweiterung der Nutzungsgrenzen ermöglicht.


Mehr zu den Themen:

Verwandte Artikel

Digitaler Schub bei der Bundeswehr in Zeiten der Pandemie

Digitaler Schub bei der Bundeswehr in Zeiten der Pandemie

In vielen Bereichen unserer Gesellschaft hat die COVID-19-­Pandemie den Ruf nach digitalem Wandel nochmals befeuert. Auch die Bundeswehr ist – gerade in Krisenzeiten – auf ein stabiles und sicheres IT-System mit modernen...

AFCEA Fachausstellung 2021

AFCEA Fachausstellung 2021

Konkrete Beispiele für die Digitalisierung der Bundeswehr wird die BWI bei der AFCEA Fachausstellung am 15. und 16. September in Bonn zeigen. Damit greift sie das AFCEA-Jahresthema 2021 auf: „Digitalisierung konkret! Mittel – Wirkungen –...

Alles nur Science-Fiction?

Alles nur Science-Fiction?

In virtuelle Welten einzutauchen – das konnte vor 40 Jahren nur die Besatzung der Enterprise in der gleichnamigen Fernsehserie. Heute ist dies dank Virtual Reality (VR) bereits in vielen Bereichen möglich.

: