Anlage 1 AFGBV
Anforderungen an Kraftfahrzeuge mit autonomer Fahrfunktion
(Fundstelle: BGBl. I 2022, 996 - 1006)
Teil 1Funktionale Anforderungenan Kraftfahrzeuge mit autonomer Fahrfunktion
Kraftfahrzeuge mit autonomer Fahrfunktion müssen die im Folgenden dargestellten funktionalen Anforderungen erfüllen. Die geforderten Funktionen können vom Hersteller oder vom Halter oder von beiden in einer möglichen, so genannten Testphase des Kraftfahrzeugs mit autonomer Fahrfunktion ohne Fahrgäste im festgelegten Betriebsbereich nachgewiesen werden.
- 1.
Dynamische Fahraufgabe Das Kraftfahrzeug muss in der Lage sein, durch geeignete Wahl von Fahrpfad und Geschwindigkeit selbstständig und stetig anpassend die Fahraufgabe in dem genehmigten festgelegten Betriebsbereich in allen Situationen sicher zu erfüllen. Dies beinhaltet die Ausrichtung des Fahrverlaufs am veränderlichen Umfeld des Kraftfahrzeugs mit autonomer Fahrfunktion und die Sicherstellung der Übereinstimmung mit gesetzlichen Vorgaben. Der Sicherheit aller Verkehrsteilnehmenden, aller unbeteiligten Dritten und aller Fahrzeuginsassen muss die höchste Priorität bei der Erfüllung der Fahraufgabe eingeräumt werden. Auf unerwartete Ereignisse, auch wenn diese plötzlich auftreten, muss das Kraftfahrzeug mit autonomer Fahrfunktion angemessen reagieren.Kraftfahrzeuge mit autonomer Fahrfunktion, die zur Beförderung von stehenden oder nicht angegurteten Fahrzeuginsassen eingesetzt werden, dürfen im Regelbetrieb eine Beschleunigung von 2,4 Meter pro Sekunde-Quadrat in der Ebene nicht überschreiten. In Abhängigkeit von überprüfbaren Einflussfaktoren auf die Gefährdung von Fahrzeuginsassen und anderen Verkehrsteilnehmenden und unbeteiligter Dritte kann es erforderlich sein, diese Grenze zu überschreiten. Dies kann beispielsweise der Fall sein, wenn sich nur angeschnallte, nicht aber stehende Fahrzeuginsassen im Inneren des Fahrzeugs aufhalten.Das Kraftfahrzeug mit eingeschalteter autonomer Fahrfunktion muss zur Erfüllung der Fahraufgabe mindestens die Anforderungen erfüllen, die in den folgenden Nummern 1.1 bis 1.4 genannt sind.- 1.1
- Generelle KollisionsvermeidungKollisionen mit anderen Verkehrsteilnehmenden und unbeteiligten Dritten müssen vermieden werden, sofern dies durch
- 1.
- Notbremseingriffe oder
- 2.
- andere Teilnehmende des umgebenden Verkehrs, andere unbeteiligte Dritte oder die Insassen des Kraftfahrzeugs mit autonomer Fahrfunktion nicht gefährdende Ausweichmanöver
Kann eine Kollision zur Abwendung einer Gefährdung des Lebens der Insassen des Kraftfahrzeugs mit autonomer Fahrfunktion nur durch eine Gefährdung des Lebens anderer Teilnehmender des umgebenden Verkehrs oder unbeteiligter Dritter vermieden werden (unvermeidbare alternative Gefährdung von Menschleben), darf der Schutz der anderen Teilnehmenden des umgebenden Verkehrs und der unbeteiligten Dritten nicht nachrangig gegenüber dem Schutz der Insassen des autonom fahrenden Kraftfahrzeugs erfolgen. - 1.2
- Interaktion mit anderen Verkehrsteilnehmenden
- a)
- Vorausfahrende Verkehrsteilnehmende auf der Fahrbahn werden erkannt. Es wird jederzeit in jedem Geschwindigkeitsbereich und in jeder möglichen Fahrsituation ein angemessener Sicherheitsabstand eingehalten. Der einzuhaltende Sicherheitsabstand bestimmt sich nach § 4 der Straßenverkehrs-Ordnung.
- b)
- Der Fahrstreifenwechsel vorausfahrender oder nachfolgender Fahrzeuge, der von einem benachbarten Fahrstreifen in den eigenen Fahrstreifen oder aus dem eigenen Fahrstreifen heraus in einen benachbarten Fahrstreifen erfolgt, wird erkannt und bei der Fahraufgabe entsprechend berücksichtigt.
- c)
- Situationen, welche einen Fahrstreifenwechsel bedingen (beispielsweise anhaltende oder langsame Fahrzeuge auf der Fahrbahn, Ende eines Fahrstreifens), werden erkannt und geeignete Manöver zum Fahrstreifenwechsel werden sicher durchgeführt.
- d)
- Einsatzfahrzeuge werden erkannt und geeignete Fahrmanöver sicher durchgeführt.
- 1.3
- Planung der Fahrpfade und GeschwindigkeitenBei Geschwindigkeitsanpassungen kommt es zu keiner vermeidbaren Beeinträchtigung von Insassen, anderen Verkehrsteilnehmenden und unbeteiligten Dritten. Es gelten folgende Anforderungen:
- a)
- Geschwindigkeitsbeschränkungen und Änderungen der Geschwindigkeitsbeschränkung werden erkannt und die Geschwindigkeit wird entsprechend angepasst.
- b)
- Besondere Anforderungen an die Geschwindigkeit werden erkannt und im Geschwindigkeits- und Fahrtverlauf befolgt (beispielsweise in Bereichen vor Schulen und an Arbeitsstellen an Straßen, an Bushaltestellen, Bahnübergängen, in engen Kurvenradien oder bei Gefällen, in Engstellen, in denen der eigene Fahrstreifen vom Gegenverkehr mitbenutzt werden muss).
- c)
- Zeichen und Weisungen der Polizeibeamten gemäß § 36 der Straßenverkehrs-Ordnung, Wechsellichtzeichen gemäß § 37 der Straßenverkehrs-Ordnung, sonstige Zeichen gemäß der §§ 39 bis 42 der Straßenverkehrs-Ordnung sowie Verkehrseinrichtungen gemäß § 43 der Straßenverkehrs-Ordnung werden erkannt und im Geschwindigkeits- und Fahrtverlauf berücksichtigt.
- d)
- Situationen, in denen die Vorfahrt anderen gewährt werden muss (beispielsweise vor Fußgängerüberwegen, in Kreuzungsbereichen oder Einmündungen), werden erkannt und ohne Gefährdung oder Behinderung der Vorfahrtberechtigten bewältigt. Es ist eine berechnete Zeit bis zum Aufprall von mehr als drei Sekunden bezüglich des Vorfahrtberechtigen einzuhalten. Wird von diesen Werten abgewichen, muss dies ausreichend begründet und auf Basis von systematischen Sicherheitsbewertungen nach dem Stand der Technik dokumentiert werden. Das Erfordernis des Stands der Technik gilt als erfüllt, wenn die Vorgaben der ISO 26262:2018-12 Straßenfahrzeuge – Funktionale Sicherheit erfüllt werden.
- e)
- Bauliche Straßengestaltungen mit Auswirkung auf das Verhaltensrecht (beispielsweise bis zu 5 Meter vom Fahrbahnrand einer vorfahrtberechtigten Straße abgesetzte Radwege nach § 9 Absatz 3 der Straßenverkehrs-Ordnung oder abgesenkte Bordsteine nach § 10 der Straßenverkehrs-Ordnung) werden erkannt und im Geschwindigkeits- und Fahrtverlauf berücksichtigt.
- f)
- Arbeitsstellen an Straßen, temporär veränderte Fahrbahnverläufe oder Fahrbahnmarkierungen werden erkannt und im Geschwindigkeits- und Fahrtverlauf berücksichtigt.
- g)
- Defizite am Zubehör, insbesondere der Verkehrseinrichtungen (zum Beispiel verschlissene, beschädigte, fehlende oder defekte temporäre oder dauerhafte Fahrbahnmarkierungen und Verkehrszeichen, Phantommarkierungen) und der Straßenausstattung, insbesondere solcher nach vorstehenden Buchstaben a bis f werden erkannt und im Geschwindigkeits- und Fahrtverlauf berücksichtigt. Dies gilt insbesondere nach Sturm- und sonstigen Witterungsereignissen.
- 1.4
- Reaktion auf UmweltbedingungenWetter-, Umwelt- und Straßeninfrastrukturbedingungen (beispielsweise Regen, Sichtbehinderung durch Rauch, Schlaglöcher) werden im Geschwindigkeits- und Fahrtverlauf berücksichtigt. Fahrpfad und Geschwindigkeit sind – bis hin zum Stillstand des Fahrzeugs – so zu wählen, dass die in den Nummern 1.1 bis 1.3 gestellten Anforderungen auch bei geänderten Umweltbedingungen erfüllt werden.
- 2.
Risikominimaler Zustand Für Kraftfahrzeuge mit autonomer Fahrfunktion und ohne konventionelle Vorrichtungen zur Ausübung der Fahraufgabe gilt:Das Kraftfahrzeug kann nur auf Veranlassung der Technischen Aufsicht den risikominimalen Zustand verlassen.- 3.
Notfahrfunktion Das Kraftfahrzeug mit autonomer Fahrfunktion muss mit einer Notfahrfunktion ausgestattet sein. Muss sich das Kraftfahrzeug im Falle eines Defekts am Kraftfahrzeug in den risikominimalen Zustand versetzen, muss dies mit der Notfahrfunktion erfolgen. Fahrten mit der Notfahrfunktion dürfen nur bei Schrittgeschwindigkeit und aktivierter Warnblinkanlage erfolgen. Der Übergang der autonomen Fahrfunktion aus der normalen Fahrt in die Fahrt mit der Notfahrfunktion ist von dieser Geschwindigkeitsbegrenzung ausgenommen, sofern ein Abbremsen erforderlich ist.- 4.
Manueller Fahrbetrieb Im manuellen Fahrbetrieb erfüllt eine fahrzeugführende Person die Fahraufgabe. Das Kraftfahrzeug mit autonomer Fahrfunktion muss mit Vorrichtungen ausgestattet sein, die es einer fahrzeugführenden Person ermöglichen, die Fahraufgabe wahrzunehmen.Ist die Steuerung im manuellen Fahrbetrieb auf Geschwindigkeiten nicht höher als Schrittgeschwindigkeit begrenzt, ist es nicht erforderlich, dass die fahrzeugführende Person sich innerhalb des Kraftfahrzeugs mit autonomer Fahrfunktion aufhält. Die Steuerung kann in diesem Fall über eine im Nahfeld des Kraftfahrzeugs befindliche Fernsteuerung ausgeführt werden. Die maximale Distanz, über die eine Fernsteuerung möglich ist, beträgt 6 Meter, gemessen in gerader Verbindung. Die Einhaltung der maximalen Distanz ist vom Hersteller durch geeignete technische Mittel sicher zu stellen.Soll das Kraftfahrzeug mit autonomer Fahrfunktion im manuellen Fahrbetrieb mit Geschwindigkeiten höher als Schrittgeschwindigkeit gesteuert werden, muss es mit einem Sitzplatz für die fahrzeugführende Person ausgestattet sein. Der Sitzplatz ist entsprechend der geltenden Vorschriften zu gestalten.- 5.
Dauerhafte Selbstüberwachung Die zur Wahrnehmung der Fahraufgabe nötige technische Ausrüstung muss vom Kraftfahrzeug mit autonomer Fahrfunktion selbstständig dauerhaft auf ihre Funktionalität hin überwacht werden. Die Überwachung ist so auszuführen, dass eine Beeinträchtigung der technischen Ausrüstung, die zur sicheren Teilnahme des Kraftfahrzeugs mit autonomer Fahrfunktion am Straßenverkehr nötig ist, in den risikominimalen Zustand führt.- 5.1
- Für Kraftfahrzeuge mit autonomer Fahrfunktion und ohne konventionelle Vorrichtungen zur dynamischen Ausübung der Fahraufgabe gilt:
- a)
- Zur dauerhaften Überwachung der technischen Ausrüstung werden nicht personenbezogene technische Daten im Kraftfahrzeug erhoben und gespeichert.
- b)
- Eine Beeinträchtigung der technischen Ausrüstung ist der Technischen Aufsicht unverzüglich anzuzeigen.
- 5.2
- Für Kraftfahrzeuge mit autonomer Fahrfunktion und mit konventionellen Vorrichtungen zur Ausübung der Fahraufgabe gilt:Die autonome Fahrfunktion darf nicht erneut aktivierbar sein, solange eine Beeinträchtigung der technischen Ausrüstung besteht.
- 6.
Übertragung von Daten an das Kraftfahrzeug Die zur selbstständigen Bewältigung der Fahraufgabe im autonomen Betrieb notwendigen Daten und Informationen von externen technischen Einheiten (beispielsweise Backends oder Server eines Anbieters, externe Sensoren, Smartphone) müssen vom Kraftfahrzeug sicher empfangen und verwendet werden können. Daten externer Einheiten können im Kraftfahrzeug zur Ausführung der autonomen Fahrfunktionen verwendet werden. Daten und Informationen können beispielsweise bei bestimmten Anwendungsfällen über eine Weitverkehrsnetz-Anbindung (WAN-Verbindung) von einer externen technischen Einheit an das Kraftfahrzeug und vom Kraftfahrzeug an eine technische Einheit übertragen werden. Die Übertragung solcher Daten muss insbesondere den Vorgaben der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 entsprechen und nach dem aktuellen Stand der Technik abgesichert sein. Das Absicherungskonzept muss die in einer Bedrohungsanalyse identifizierten Risiken mit wirksamen Maßnahmen adressieren und eine Datenschutzfolgeabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 beinhalten. Zur Datenübertragung sollte eine zentrale sichere elektronische Steuereinheit (SECU) genutzt werden. Die SECU dient als Informationsgateway im Kraftfahrzeug. Die SECU kommuniziert intern an die Kommunikationsbusse des Kraftfahrzeugs und an den physischen On-Board-Diagnose II-Anschluss (OBD II) oder an eine proprietäre Schnittstelle eines Herstellers. Anforderungen an die Sicherheit im Bereich der Informationstechnik der Datenübertragung sind Teil 5 zu entnehmen. Die Integrität, Authentizität und Verfügbarkeit der Datenübertragung sind sicherzustellen.Die Kommunikation des Kraftfahrzeugs mit autonomer Fahrfunktion mit anderen Fahrzeugen oder mit Infrastrukturkomponenten ist zulässig. Sie muss auf der Basis einer Datenschutzfolgeabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 insbesondere den Anforderungen an die Informationstechnik nach Teil 5 und damit den Vorgaben der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 entsprechen. Während des Betriebs in einer optionalen Testphase ist die Kommunikation des Kraftfahrzeugs mit autonomer Fahrfunktion mit anderen Fahrzeugen und Infrastrukturkomponenten zu testen und gegebenenfalls anzupassen.- 7.
Funktionale Sicherheit und Sicherheit der Funktion - 7.1
- BetriebshandbuchZweck des Betriebshandbuchs ist es, mittels detaillierter Vorgaben den sicheren Betrieb des Kraftfahrzeugs zu gewährleisten und der Technischen Aufsicht die richtige Reaktion auf Fehlerfälle zu ermöglichen.
- 7.2
- SicherheitskonzeptIn dem Sicherheitskonzept ist die Sicherheit der Fahrfunktion zu bewerten. Mit einem systematischen Vorgehen müssen die für die Operational Design Domain (ODD) relevanten gefährlichen Szenarien und Ereignisse identifiziert und in einer Risikoanalyse bewertet werden.Um Gefährdungen zu verhindern oder deren Risiko auf ein akzeptables Maß zu mindern, muss ausgehend von erkannten Risiken für die entsprechenden Szenarien und Ereignisse ein Systemverhalten definiert oder müssen Systemverbesserungen umgesetzt werden.Die Systematik muss dem Stand der Technik entsprechen. Das Erfordernis des Stands der Technik gilt als erfüllt, wenn die Vorgaben der ISO/PAS 21448:2019-01 Straßenfahrzeuge – Sicherheit der beabsichtigten Funktion erfüllt werden. Die ausreichende Vollständigkeit der Szenarien wird auf Basis von Validierungsfahrten oder anderen Datenaufzeichnungen im Fahrbetrieb durch statistische Analysen belegt.
- 7.2.1
- GefährdungsanalyseDie Gefährdungsanalyse benennt und ordnet sicherheitskritische Anteile der autonomen Fahrfunktion. Die Analyse muss aufzeigen, wie die technische Ausrüstung zur Umsetzung der autonomen Fahrfunktion in möglichen Betriebssituationen im Fehlerfall reagiert und welchen Einfluss diese Reaktionen auf die Sicherheit und Kontrollierbarkeit des Kraftfahrzeugs haben. Die Gefährdungsanalyse schließt in jedem Fall die Sicherheit der Fahrzeuginsassen und anderer Verkehrsteilnehmender ein. Die Gefährdungsanalyse schließt auch die Ermittlung von Situationen ein, die für die technische Ausrüstung am schwersten zu bewältigen sind.Die zur Erstellung der Gefährdungsanalyse genutzten Methoden müssen dem Stand der Wissenschaft und Technik entsprechen. Dies wird in Bezug auf die Methoden zur Gefährdungsanalyse vermutet, wenn eine Gefahren- und Risikoanalyse gemäß ISO 26262-3:2018-12 Straßenfahrzeuge – Funktionale Sicherheit – Teil 3: Konzeptphase oder „Hazard Identification and Risk Evaluation“ gemäß ISO/PAS 21448:2019-01 durchgeführt wird.
- 7.2.2
- SicherheitsmaßnahmenDas Sicherheitskonzept des Herstellers nach Nummer 7.2 muss aufzeigen, wie die technische Ausrüstung nach dem Stand der Technik Gefährdungen erkennt und durch geeignete Maßnahmen vermindert oder umgeht. Mögliche Sicherheitsmaßnahmen sind insbesondere
- a)
- technische Maßnahmen in der Elektrik- und Elektronikinfrastruktur, Aktivierung von Rückfallebenen oder externe Maßnahmen (beispielsweise Rückgriff auf den Notfahrmodus, Aktivierung eines Notfallsystems, Übersteuerungsfunktion, Überführung in den risikominimalen Zustand),
- b)
- organisatorische Maßnahmen (beispielsweise Eingrenzung des geeigneten Betriebsbereichs, spezifische Anweisungen an die fahrzeugführende Person für den manuellen Fahrbetrieb, Eingrenzung des erlaubten Passagierkreises, Anpassung der Fahrbahn oder der Beschilderung) und
- c)
- technische Maßnahmen, die sicherstellen, dass bei einem Unfallereignis die autonomen Funktionen des Fahrzeugs durch die Einsatzkräfte sicher und erkennbar stillgesetzt werden können, sodass selbstständige Fahrzeugaktionen blockiert und ausschließliche manuelle Betätigungen durch Fahrzeugeinrichtungen möglich sind. Die notwendigen Maßnahmen zum Stillsetzen autonomer Fahrfunktionen sind den Einsatzkräften in geeigneter Form laufend bereitzustellen.
Das Erfordernis des Stands der Technik gilt als erfüllt, wenn die Vorgaben der ISO 26262-4:2018-12 Straßenfahrzeuge – Funktionale Sicherheit – Teil 4: Produktentwicklung auf Systemebene oder ISO/PAS 21448:2019-01 erfüllt werden.
- 7.3
- Periodisch technische FahrzeugüberwachungDurch eine geeignete funktionelle und konstruktive Gestaltung des Kraftfahrzeugs ist die Durchführbarkeit der periodischen technischen Fahrzeugüberwachung sicherzustellen (beispielsweise manueller Fahrbetrieb, Zugänglichkeit von Bremsen). Insbesondere die Befahrbarkeit von Bremsprüfständen, Lichteinstellplätzen, Hebebühnen oder Gruben und die Durchführung aller vorgeschriebenen Prüfungen müssen möglich sein.
- 8.
Sensorik Zur technischen Umsetzung der autonomen Fahrfunktion muss eine Sensorik verwendet werden, die alle für die sichere Erfüllung der Fahraufgabe erforderlichen Gegenstände, Daten oder Personen im Umfeld des Kraftfahrzeugs erfasst und hinsichtlich der Verarbeitung personenbezogener Daten die Vorgaben der Verordnung (EU) 2016/679, des Bundesdatenschutzgesetzes und spezialgesetzlicher datenschutzrechtlicher Vorschriften beachtet. Zur Erfüllung des in Satz 1 genannten Zwecks und unter Einhaltung der genannten Vorgaben kann die Sensorik durch externe Systeme unterstützt werden. Beeinflussen Wetter-, Umwelt- und Infrastrukturbedingungen die Leistungsfähigkeit der Sensorik, werden von der technischen Ausrüstung des Kraftfahrzeugs mit autonomer Fahrfunktion Maßnahmen eingeleitet, um die aus der verminderten Leistungsfähigkeit der Sensorik resultierenden Risiken auszugleichen.Die Sensorik ist in das Sicherheitskonzept des Kraftfahrzeugs mit autonomer Fahrfunktion nach Nummer 7.2 und in die permanente Systemüberwachung nach Nummer 5 einzubinden.- 9.
Alterung und Abnutzung des Systems Das Kraftfahrzeug muss die funktionalen Anforderungen auch bei Alterung und Abnutzung der relevanten Systemkomponenten erfüllen. Beeinflussen Alterungserscheinungen die Leistungsfähigkeit, beispielsweise der Sensorik, gleicht die technische Ausrüstung des Kraftfahrzeugs mit autonomer Fahrfunktion die aus der verminderten Leistungsfähigkeit der Sensorik resultierenden Risiken durch geeignete Maßnahmen aus.
für Fahrzeuge mit autonomer Fahrfunktion
Im Folgenden werden Test- und Validierungsmethoden definiert, anhand derer die Einhaltung der technischen Anforderungen an die autonome Fahrfunktion von den für die Erteilung der Betriebserlaubnis zuständigen Stellen überprüft werden kann. Dabei kann jede Anforderung auf ihre Einhaltung hin mittels Tests überprüft werden.
- 10.
Prüfung und Testfälle Im Rahmen der Prüfungen zur Erlangung der Betriebserlaubnis sowie im Rahmen der Überprüfung der Einhaltung der mit dieser Betriebserlaubnis verbundenen Anforderungen können Tests nach Notwendigkeit durchgeführt werden. Die Testfälle müssen eine ausreichende Testabdeckung für alle Szenarien, Testparameter und Umwelteinflüsse bieten. Die Abdeckung ist gegenüber dem Kraftfahrt-Bundesamt oder gegenüber den vom Kraftfahrt-Bundesamt nach § 3 Absatz 7 beauftragten Stellen zu begründen. Diese Begründung muss eine Validierung oder einen geeigneten Nachweis auf Basis empirischer Datenerhebungen nicht personenbezogener Daten enthalten. Die Testfälle müssen geeignet sein nachzuweisen, dass das Maß an Sicherheit des Kraftfahrzeugs mit autonomer Fahrfunktion höher ist als das Maß an Sicherheit bei Fahrzeugen, die von Personen geführt werden.Die Testfälle müssen geeignet sein, eine hinreichende Robustheit der technischen Ausrüstung zur Umgebungswahrnehmung gegen die Störung von Eingabe-/Sensordaten und ungünstige Umweltbedingungen nachzuweisen.- 10.1
- Künstliche Fehler und Grenzen des BetriebsbereichsZum Test der Anforderungen
- a)
- dürfen künstlich Fehler in der technischen Ausrüstung verursacht werden,
- b)
- darf das Kraftfahrzeug in Umgebungen gebracht werden, welche nicht dem vorgesehenen Betriebsbereich entsprechen.
- 10.2
- Testszenarien, Abweichungen und BestehenskriterienEntsprechend des vorgesehenen Betriebsbereichs wählt das Kraftfahrt-Bundesamt Testszenarien im Rahmen der Prüfung aus. Die Auswahl erfolgt auf der Basis des Katalogs von Testszenarien des Herstellers entsprechend § 3 Absatz 2. Um die Erfüllung der Anforderungen an das Kraftfahrzeug zu prüfen, müssen im Rahmen der Erteilung der Betriebserlaubnis Fahrtests im realen Straßenverkehr durchgeführt werden. Die Prüfung wird durch Simulationen und Durchführungen von Fahrmanövern auf einem Testgelände ergänzt.Abhängig von den im Rahmen der Erteilung der Betriebserlaubnis durch die zuständige Behörde festgelegten Testszenarien, definieren sich die Bestehenskriterien über die nachfolgenden Werte. Weicht der Hersteller von diesen Werten ab, muss er dies ausreichend begründen und dokumentieren. Begründung und Dokumentation sind nach dem Stand der Technik auszuführen. Das Erfordernis des Stands der Technik gilt als erfüllt, wenn die Vorgaben der ISO 26262:2018-12 Straßenfahrzeuge – Funktionale Sicherheit erfüllt werden.
- 10.2.1
- Bestehenskriterien aus UN-Regelung Nr. 152Die Erfüllung der in Nummer 1.1 an das Kraftfahrzeug mit autonomer Fahrfunktion gestellten Anforderungen hinsichtlich der Vermeidung von Kollisionen ist durch die Ableitung von Bestehenskriterien aus den Anforderungen der UN-Regelung Nr. 152 – Einheitliche Bedingungen für die Genehmigung von Kraftfahrzeugen hinsichtlich des Notbremsassistenzsystems (AEBS) in Fahrzeugen der Klassen M1 und N1 (ABl. L 360 vom 30.10.2020, S. 66) zu gewährleisten. Folgende Änderungen des Textes der UN-Regelung Nr. 152 sind dabei anzuwenden:
- a)
- Nummer 5.1.4 die Warnung an den Fahrer, ist nicht anzuwenden.
- b)
- Nummern 5.2.1.2 und 5.2.2.2, von der geforderten Mindestverzögerungsanforderung von 5 Metern pro Sekunde-Quadrat muss unter Berücksichtigung der Eigenschaften des Fahrzeugs im autonomen Betrieb sowie der Umgebungsbedingungen abgewichen werden. Beispielsweise kann bei Fahrzeugen, die während des autonomen Betriebs zum Transport von stehenden Fahrgästen vorgesehen sind, eine geringere Mindestverzögerung zum Schutz der Fahrzeuginsassen erforderlich sein.
- c)
- Nummer 5.2.1.4 Buchstabe a bis e (Einschränkungen der Anforderungen) sind nicht anzuwenden. Neue Einschränkungen, die sich aus der Definition der ODD ergeben, sind denkbar (beispielsweise aus „keine automatisierte Fahrt nachts“ ergibt sich die Einschränkung „bei Tageslicht“).
- d)
- Nummer 5.2.2.4 Buchstabe a ist wie folgt geändert anzuwenden: „Bei querenden zu Fuß Gehenden mit einer seitlichen Geschwindigkeitskomponente von nicht mehr als 7 km/h, bei querenden Rad Fahrenden mit einer seitlichen Geschwindigkeitskomponente von nicht mehr als 25 km/h“. Die Buchstaben b bis e sind nicht anzuwenden.
- e)
- Nummer 5.2.1.4 und 5.2.2.4, die Tabellen sind anhand der Geschwindigkeitsgrenzen der automatisierten Fahrfunktion so anzuwenden, dass über den gesamten Geschwindigkeitsbereich eine relative Kollisionsgeschwindigkeit von „0“ (keine Kollision) gefordert wird.
- f)
- Die Nummern bezüglich Übersteuerung und Abschaltung des Notbremssystems sind nicht anzuwenden.
- 10.2.2
- Verlassen des FahrstreifensDas Kraftfahrzeug mit autonomer Fahrfunktion darf seinen eigenen Fahrstreifen nur in folgenden Fällen verlassen: Während des Manövers „Fahrstreifenwechsel“, für Manövrieren im niedrigen Geschwindigkeitsbereich (beispielsweise beim Einparken, im Bereich enger Kreuzungen), zum Ausweichen bei Hindernissen und bei entgegenkommenden Fahrzeugen, zur Kollisionsvermeidung sowie um Einsatzfahrzeugen auszuweichen.
- 10.2.3
- SicherheitsabstandVorausfahrende Fahrzeuge auf der Fahrspur werden erkannt. Es ist jederzeit, in jedem Geschwindigkeitsbereich und in jeder möglichen Fahrsituationen ein angemessener Sicherheitsabstand einzuhalten.
- 10.2.4
- Fahrstreifenwechsel anderer FahrzeugeDer Fahrstreifenwechsel vorausfahrender oder nachfolgender Fahrzeuge, der von einem benachbarten Fahrstreifen in den eigenen Fahrstreifen oder aus ihm heraus in einen benachbarten Fahrstreifen erfolgt, wird erkannt und bei der Fahraufgabe entsprechend berücksichtigt.
- 10.2.5
- Kollisionsvermeidung mit in gleicher Richtung fahrenden FahrzeugenKollisionen mit in gleicher Richtung fahrenden, in den eigenen Fahrstreifen eindringenden Verkehrsteilnehmenden sind innerhalb der durch folgende Ungleichung bestimmten Bedingungen zu vermeiden. Die Ungleichung ist nur gültig für vor dem Kraftfahrzeug mit autonomer Fahrfunktion einscherende Verkehrsteilnehmende, und nur dann, wenn die einscherenden Verkehrsteilnehmer mindestens 0,72 Sekunden vor dem Eindringen sichtbar waren:Folgend werden die Parameter der voranstehenden Ungleichung spezifiziert:
TTCSpurwechsel Zeit bis zum Aufprall (TTC) zum Zeitpunkt des Eindringens in den Fahrstreifen des Kraftfahrzeugs mit autonomer Fahrfunktion in Sekunden. Als Eindringen wird ein Überschreiten der Außenkante des Fahrsteifens um mehr als 30 Zentimeter gewertet. νrel Relativgeschwindigkeit in Meter pro Sekunde [m/s]. Positiv für Annäherung des Kraftfahrzeugs mit autonomer Fahrfunktion an einen einscherenden Verkehrsteilnehmenden, der sich langsamer fortbewegt. τ Zeit in Sekunden, die bis zum Erreichen der Verzögerung α in Meter pro Sekunde-Quadrat vergeht. Typische Werte sind 0,5 Sekunden bis zum Erreichen von 10 Sekunde-Quadrat. Für geringere mögliche Verzögerungen des Kraftfahrzeugs mit autonomer Fahrfunktion sind die Werte entsprechend zu skalieren. Für 6 Sekunde-Quadrat wird daher davon ausgegangen, dass diese Verzögerung in 0,3 Sekunden erreicht wird, 2,4 Sekunde-Quadrat in 0,12 Sekunden. τReaktion Zeit in Sekunden, die für die Einleitung einer Bremsreaktion erforderlich ist. 0,1 Sekunden α Verzögerung in Meter pro Sekunde-Quadrat. 2,4 Sekunde-Quadrat für Kraftfahrzeuge mit autonomer Fahrfunktion, die für die Beförderung von stehenden oder nicht angegurteten Fahrzeuginsassen ausgelegt sind, 6 Sekunde-Quadrat für übrige Kraftfahrzeuge mit autonomer Fahrfunktion. Daraus ergibt sich eine geforderte Kollisionsvermeidung bei Eindringen eines Verkehrsteilnehmenden in den eigenen Fahrstreifen oberhalb der folgenden TTC-Werte (beispielhaft für Geschwindigkeiten in 10 Kilometer pro Stunde-Schritten dargestellt). Diese Anforderungen sind unabhängig von Umweltbedingungen zu erfüllen und sollen bei der Ableitung von Bestehenskriterien berücksichtigt werden.vrel [Kilometer pro Stunde] TTCSpurwechsel [Sekunde] für Kraftfahrzeuge mit autonomer Fahrfunktion mit stehend beförderten Fahrzeuginsassen TTCSpurwechsel [Sekunde] für übrige Kraftfahrzeuge mit autonomer Fahrfunktion 10 0,74 0,48 20 1,32 0,71 30 1,9 0,94 40 2,47 1,18 50 3,05 1,41 60 3,63 1,64 Sollte ein fahrstreifenwechselnder Verkehrsteilnehmender bei geringerer Zeit bis zum Aufprall (TTC) in den Fahrstreifen des Kraftfahrzeugs mit autonomer Fahrfunktion einscheren, kann nicht mehr von einer Kollisionsvermeidung ausgegangen werden. Sofern eine Kollision nicht zu vermeiden ist, sind die Folgen einer Kollision durch Bremsen und damit möglichst großem Geschwindigkeitsabbau unter Abwägung der Gefahr für die Insassen des Kraftfahrzeugs mit autonomer Fahrfunktion aufgrund der Bremsung und der Kollision zu minimieren. Die Regelstrategie des Systems darf sich zwischen Kollisionsvermeidung und Kollisionsabschwächung nur insofern ändern, als eine Bremsung gegenüber einem nicht mehr erfolgreichen Ausweichmanöver priorisiert wird. Ausweichmanöver dürfen nur unter Beachtung der Vorgaben in Nummer 1.1 erfolgen. - 10.2.6
- SpurwechselmanöverDie Bestehenskriterien für Spurwechselmanöver sind der Nummer 5.6.4.6 der UN-Regelung Nr. 79 – Einheitliche Bedingungen für die Genehmigung der Fahrzeuge hinsichtlich der Lenkanlage (ABl. L 318 vom 14.12.2018, S. 1) zu entnehmen. Anforderungen dieser Regelung, die Funktionen betreffen, die sich auf die fahrende Person beziehen, sind nicht anzuwenden. Die Fahrmanöver sind so zu planen, dass keine Gefährdung von anderen am Verkehr Teilnehmenden stattfindet.Die Bestehenskriterien in Bezug auf sichere Spurwechsel und daran, wie eine Gefährdung anderer Verkehrsteilnehmenden beim Spurwechseln zu vermeiden ist, orientieren sich an den Anforderungen der Nummer 5.6.4.7 und 5.6.4.8 der UN-Regelung Nr. 79, wobei für die Geschwindigkeit des sich nähernden Fahrzeugs (vαρρ) die jeweilig in der ODD herrschende Geschwindigkeitsbeschränkung angesetzt werden darf.
- 10.2.7
- Einbiegen und KreuzenHinsichtlich der Interaktion mit anderen am Verkehr Teilnehmenden beim Einbiegen und Kreuzen sind folgende Bestehenskriterien zu berücksichtigen (siehe Abbildung 1):
- Abbildung 1:
- Visualisierung der Abstände beim Einbiegen und Kreuzen. Fall Buchstabe a: Einzuhaltender Abstand zum nachfolgenden Verkehr beim Einbiegen. Fall Buchstabe b: Zusätzlich einzuhaltender Abstand zum Gegenverkehr beim Einbiegen durch den Gegenverkehr. Fall Buchstabe c: Beim Kreuzen einzuhaltender Abstand zum bevorrechtigt kreuzenden Verkehr.
Bestehenskriterien für sicheres Einbiegen und Kreuzen sind aus den Anforderungen der Nummer 5.6.4.7 und 5.6.4.8 der UN-Regelung Nr. 79 abzuleiten. Für die Annäherungsgeschwindigkeit (vαρρ) darf die in der Fahrsituation gültige Geschwindigkeitsbeschränkung angesetzt werden. Die Anforderungen an die geometrischen Beziehungen zum umlaufenden Verkehr sind vom Spurwechsel auf das Einbiegemanöver entsprechend zu übertragen (Buchstabe a in Abbildung 1).Für das Einbiegen über die Gegenfahrbahn hinweg gilt für die Berücksichtigung des entgegenkommenden Verkehrs, dass – zusätzlich zum Abstand zum nachfolgenden Verkehr auf der Zielstraße – sicherzustellen ist, dass die TTC des bevorrechtigten Gegenverkehrs zum berechneten Kollisionspunkt (Schnittpunkt der Fahrpfade) niemals unter 3 Sekunden sinkt (Buchstabe b in Abbildung 1).Gleiches gilt beim Kreuzen mit bevorrechtigtem Verkehr (Buchstabe c in Abbildung 1): Die TTC des bevorrechtigten Verkehrs zum fiktiven Kollisionspunkt (Schnittpunkt der Fahrpfade) muss mehr als 3 Sekunden betragen.
- 11.
Durchführung von Tests Für die Durchführung der Tests dürfen neben realen Fahrzeugen auch dem Stand der Technik entsprechende Testwerkzeuge eingesetzt werden, die reale Fahrzeuge und andere am Verkehr Teilnehmende ersetzen (beispielsweise Soft-Targets, zu Fuß Gehende-Attrappen, mobile Plattformen). Die Testwerkzeuge müssen hinsichtlich der für eine Leistungsbewertung der Sensorik relevanten Eigenschaften, realen Fahrzeugen und anderen am Verkehr Teilnehmenden entsprechen. Tests dürfen nur so ausgeführt werden, dass die am Versuch beteiligten Personen nicht gefährdet werden. Die jeweiligen Vorgaben des Arbeitsschutzes sind zu berücksichtigen.Die Erfüllung von Anforderungen kann auch durch geeignete Simulation geprüft werden. Dabei sind die Simulationswerkzeuge zu validieren. Die Validierung der Simulationswerkzeuge muss mittels Abgleichs zu einer repräsentativen Auswahl von realen Versuchen erfolgen; es darf kein signifikanter Unterschied zwischen Kennwerten aus Simulation und Fahrversuch bestehen. Das Leistungsvermögen der Sensorik in Bezug auf Erkennung und Klassifizierung von Objekten in Abhängigkeit von unterschiedlichen Entfernungen und Umweltbedingungen ist für die Simulation in realen Tests zu ermitteln. Jede Simulationsreihe ist, falls dies vom technischen Dienst als notwendig erachtet wird, durch reale Tests zu ergänzen.Jede in dieser Verordnung beschriebene Anforderung, die im vorgesehenen Betriebsbereich für den autonomen Fahrbetrieb entsprechend der beantragten Betriebserlaubnis relevant ist und jedes nach Nummer 7.2 identifizierte gefährliche Szenario sind zumindest durch Simulation zu prüfen. Dazu ist das zu testende Kraftfahrzeug im autonomen Fahrbetrieb durch geeignete Wahl der Verkehrsumgebung in die entsprechende Situation zu bringen. Es ist mindestens zu prüfen, wie sich das Kraftfahrzeug mit autonomer Fahrfunktion in den in Nummer 7.2 als gefährlich identifizierten Szenarien verhält. Für diese Prüfung sind mindestens drei Parameterkonstellationen zu wählen.- 12.
Anforderungen an das Testgelände und die Umweltbedingungen Für Prüfungen im Rahmen der Genehmigungserteilung nach § 3 kann der für die Genehmigung vorgesehene festgelegte Betriebsbereich selbst genutzt werden, sofern dort Tests gefahrlos für andere am Verkehr Teilnehmende und unbeteiligte Dritte erfolgen können. Tests sind unter verschiedenen Umweltbedingungen durchzuführen.
- 13.
Allgemeine Anforderungen an den Datenspeicher Im Kraftfahrzeug mit autonomer Fahrfunktion muss ein den Vorgaben der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 entsprechender Datenspeicher integriert sein, der ereignisbasiert und während des Betriebs nach § 9 Absatz 5 und § 15 Daten des Kraftfahrzeugs mit autonomer Fahrfunktion ausschließlich zu dem Zweck der Verbesserung der Verkehrssicherheit erfasst, speichert und verwendet. Die zu erfassenden Daten sind in § 1g Absatz 1 des Straßenverkehrsgesetzes in Verbindung mit Anlage 2 zu dieser Verordnung abschließend geregelt.Der Datenspeicher ist entsprechend den in § 1g des Straßenverkehrsgesetzes und den in dieser Verordnung enthaltenen Datenschutz- und den Vorgaben der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 entsprechender Datensicherheitsvorschriften gemäß dem Stand der Technik auszugestalten. Ein System zur Zugangskontrolle sowie kryptographische Schutzverfahren sind entsprechend der einschlägigen Technischen Richtlinien des Bundesamtes für die Sicherheit in der Informationstechnik vorzusehen. Das Bundesamt für die Sicherheit in der Informationstechnik ist in die konkrete Ausgestaltung der Vorgaben einzubeziehen. Wesentliche Anforderungen an den Datenspeicher sind nachfolgend dargestellt.- 13.1
- Zu speichernde EreignisseIm Folgenden werden die verschiedenen Fälle der Datenaufzeichnung dargestellt.
Fall 1: Autonome Fahrt im festgelegten Betriebsbereich
Fall 2: Autonome Fahrt im festgelegten Betriebsbereich mit Ereignis (beispielsweise Unfall)
Fall 3: Autonome Fahrt im festgelegten Betriebsbereich mit Ereignis und anschließender Überführung des Kraftfahrzeugs in den risikominimalen ZustandLegende:Zeitpunkt Beschreibung tS Beginn der Fahrt (Starten des Kraftfahrzeugs) tE Ende der Fahrt t0 Unfallereignis t0P Anforderung oder Eingabe der Technischen Aufsicht tR Auslösung des risikominimalen Zustands - 13.2
- Technische Vorgaben für das Speichern, Auslesen und Übertragen von DatenDas System der Datenspeicherung darf nicht flüchtig sein. Die gespeicherten Daten müssen im stromlosen Zustand erhalten bleiben.Ergänzende technische Anforderungen für den Datenspeicher:
- a)
- Der Zugang zu den im Kraftfahrzeug mit autonomer Fahrfunktion gespeicherten Daten erfolgt über die normierte 16-polige On-Board-Diagnose-Schnittstelle (16-polige OBD-Schnittstelle) über ein Kommunikationsmodul nach ISO 22900-1:2008-03 Straßenfahrzeuge – Modulare Kommunikationsschnittstelle im Fahrzeug (MVCI) – Teil 1: Hardwaredesign Anforderungen unter Verwendung der proprietären Software des Herstellers oder über die proprietäre Schnittstelle. Ergänzend dazu müssen in bestimmten Situationen oder nach bestimmten Ereignissen die Daten direkt über eine Weitverkehrsnetz-Anbindung (WAN-Verbindung) an die zuständige staatliche Stelle gesendet werden.
- b)
- Der Zugang und das Herunterladen der gespeicherten Daten über die normierte 16-polige OBD-Schnittstelle oder über die proprietäre Schnittstelle darf nur durch das Kraftfahrt-Bundesamt und die zuständige Behörde erfolgen, sofern dies für deren jeweilige Aufgabenerfüllung nach dieser Verordnung erforderlich ist.
- c)
- Im Reparaturfall erfolgt der Zugang zum Datenspeicher im Kraftfahrzeug mit autonomer Fahrfunktion über die normierte 16-polige OBD-Schnittstelle über ein Kommunikationsmodul nach ISO 22900 nur unter Verwendung der proprietären Software des Herstellers oder über die proprietäre Schnittstelle.
- d)
- Die Datenspeicherung und die Datenübermittlung an das Kraftfahrt-Bundesamt und die zuständige Behörde haben den Anforderungen an die Sicherheit im Bereich der Informationstechnologie (Teil 5) zu genügen. Insbesondere müssen die Daten dem Stand der Technik gemäß unter Beachtung der Vorgaben der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 vor Manipulation und missbräuchlicher Verwendung geschützt werden.
an Mensch-Maschine-Schnittstellen
- 14.
Interaktion Ein Kraftfahrzeug mit autonomer Fahrfunktion, das autonom innerhalb eines festgelegten Betriebsbereichs betrieben wird, erfordert nur in Ausnahmesituationen eine Interaktion mit der Technischen Aufsicht.Insbesondere ist die Mensch-Maschine-Schnittstelle unter Berücksichtigung der folgenden zwei Ausnahmesituationen zu gestalten.- 14.1
- Die Technische Aufsicht erteilt eine Fahrmanöverfreigabe an das Kraftfahrzeug mit autonomer FahrfunktionDie technische Ausrüstung versetzt das Kraftfahrzeug in den risikominimalen Zustand, da die Fortsetzung der Fahrt aufgrund einer Verkehrssituation nicht fortgesetzt werden kann. Das Verlassen des risikominimalen Zustands erfolgt mit Unterstützung der Technischen Aufsicht. Folgendes ist hierbei zu beachten:
- a)
- Die autonome Fahrfunktion kann initial der Technischen Aufsicht mögliche Fahrmanöver zur Fortsetzung der Fahrt vorschlagen und ausreichend Daten zur Beurteilung der Situation liefern.
- b)
- Wird durch die Technische Aufsicht ein Fahrmanöver vorgegeben, so muss dieses durch die autonome Fahrfunktion validiert werden.
- 14.2
- Übernahme der Fahraufgabe durch manuelle Steuerung außerhalb des festgelegten BetriebsbereichsErreicht die autonome Fahrt die Grenzen des festgelegten Betriebsbereichs, muss das Kraftfahrzeug durch die autonome Funktion in den risikominimalen Zustand versetzt werden. Wird die Fahrt außerhalb der Grenzen des festgelegten Betriebsbereichs durch eine fahrzeugführende Person fortgesetzt, ist die fahrzeugführende Person mittels eines geeigneten Interaktionskonzepts zur Aktivität aufzufordern. Sofern das Stehenbleiben des Kraftfahrzeugs mit autonomer Fahrfunktion den umlaufenden Verkehr oder Dritte behindern würde, ist die Aufforderung durch einen entsprechenden Hinweis zu ergänzen. Die Aufforderung ist in ihrer Intensität fortlaufend zu steigern. Die Aufforderung kann beispielsweise durch Signaltöne in zunehmender Lautstärke oder durch Vibrationen mit zunehmender Intensität erfolgen.
an die Sicherheit im Bereich der Informationstechnologie
- 15.
- Sicherheit in der InformationstechnologieDie vom Hersteller zu erfüllenden Anforderungen bezüglich der Sicherheit im Bereich der Informationstechnologie sind den Anforderungen der jeweils geltenden Fassung der UN-Regelung Nr. 155 – Einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems (ABl. L 83 vom 9.3.2021, S. 30) mit Maßgabe des Folgenden zu entnehmen: Die Anforderungen der Nummern 1, 3, 4, 5.3.1 bis 5.3.5 entfallen. Das Sicherheitskonzept muss den Vorgaben der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 entsprechen und eine Datenschutzfolgeabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 beinhalten.
- 16.
- Sicherheit der FunkverbindungenDie Verbindungen sind so auszuführen, dass der Schutz gegen einen unerlaubten Zugriff auf die Verbindungen die Vorgaben der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 umsetzt. Der Aufbau der Verbindung und die Datenübertragung sind nach dem Stand der Technik mit der Nutzung offener und etablierter Standards zu sichern und zu verschlüsseln (beispielsweise mit TLS 1.3 wie in der Technische Richtlinie TR-02102-2 Kryptographische Verfahren: Empfehlungen und Schlüssellängen, herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik im Januar 2020 und auf der Internetseite des Bundesamt für Sicherheit in der Informationstechnik veröffentlicht).
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.pdf;jsessionid= 55C61697617F17382A64C6612D32125B.internet082?__blob=publicationFile&v=1
Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.