Page - (000510) - in Autonomes Fahren - Technische, rechtliche und gesellschaftliche Aspekte

49123.2 Sicherer Zustand „unreasonable risk“, ISO 26262, Part I, 1.136 [30]). Diese Schwelle ist als nicht akzeptab- ler Wert in einem spezifischen Kontext gemäß gesellschaftlicher, moralischer und ethischer Auffassungen zu sehen (vgl. ISO 26262, Part I, 1.136 [30]). Unter Risiko wird eine Kom- bination aus der Auftrittswahrscheinlichkeit und der Schwere eines Personenschadens verstanden (vgl. „risk“ und „harm“, ISO 26262, Part I, 1.99 und 1.56). Aus diesem Verständnis lässt sich ein sicherer Zustand als ein Zustand mit zumutbarem Risiko eines Systems verstehen. Der häufig verwendete Begriff risikominimaler Zustand (z. B. in [20]) ist missverständlich, da dieser das Risiko nicht in eine Relation zu einem akzeptierten Risiko stellt und auch keine Aussage darüber enthält, ob ein System, das risi- kominimal betrieben wird, auch sicher ist. Die wesentliche Herausforderung bei der Verwendung des Begriffs sicherer Zustand im Sinne eines Zustands mit zumutbarem Risikos für Insassen und weitere Verkehrsteil- nehmer ist die Identifikation einer Schwelle, unterhalb der ein Risiko zumutbar ist. Beim Betrieb eines automatisierten Fahrzeugs hängt das zumutbare Risiko von der aktuellen Situation, in der sich das Fahrzeug befindet, ab. Zur Situation gehören hier analog zu [21] und [43] ‡ alle für eine Fahrentscheidung relevanten stationären und dynamischen Objekte, ‡ die Intention der dynamischen Objekte einschließlich des autonomen Fahrzeugs, ‡ die geltenden rechtlichen Bedingungen, ‡ die Mission des autonomen Fahrzeugs, ‡ die aktuelle Leistungsfähigkeit des autonomen Fahrzeugs. Für ein autonomes Fahrzeug ist daher eine kontinuierliche Ermittlung des aktuellen Risikos basierend auf der aktuellen Situation und ein Abgleich des Risikos mit dem Schwellwert, der als gerade noch zumutbar gilt, notwendig. Im Sinne der Norm ISO 26262 bedeutet dies, dass für jede Situation und ihre zukünftig möglichen Entwicklungen die Auftrittswahr- scheinlichkeit für einen Personenschaden und die Schwere des Personenschadens für jeden beteiligten Verkehrsteilnehmer ermittelt und dann die Handlungsoptionen identifiziert wer- den müssen, die ein zumutbares Risiko ergeben. Eine technische Lösung für dieses Problem ist dem Autor bisher nicht bekannt. 23.2.1 Sicherer Zustand in Fahrerassistenzsystemen im Serieneinsatz In Fahrerassistenzsystemen überwacht der Fahrer das technische System und muss dem Verkehrsgeschehen aufmerksam folgen. Er wird bei der Fahraufgabe unterstützt. In der aktuellen S-Klasse von Mercedes-Benz wird das „DISTRONIC PLUS mit Lenk-Assistent und Stop&Go Pilot“ genannte System angeboten, das den Fahrer sowohl bei der Längsfüh- rung als auch bei der Querführung unterstützt [49]. Der Fahrer muss jedoch weiterhin dem Verkehrsgeschehen folgen, und die Querführung deaktiviert sich nach einer gewissen Zeit, falls der Fahrer die Hände vom Lenkrad nimmt: