Page - (000524) - in Autonomes Fahren - Technische, rechtliche und gesellschaftliche Aspekte

50523.6 Aktionen zur Reduzierung des Risikos ten am Fahrzeug können Defekte und Entwicklungsfehler im Fahrzeugführungssystem zu einer verringerten Leistungsfähigkeit führen (vgl. [16]). Ungünstige Licht- und Wetter- verhältnisse erhöhen die Anforderungen an die Robustheit der eingesetzten Sensorik zur Umfeldwahrnehmung. Außerdem führen ungünstige Wetterbedingungen zu schlechteren Straßenverhältnissen. Diese wirken sich direkt auf die Fahrdynamik aus. Aufgrund der Komplexität des Straßenverkehrs und der offenen Menge an möglichen Situationen ist es wahrscheinlich, dass bei der Entwicklung eines Fahrzeugführungssystems nicht alle Situationen berücksichtigt werden können. Gerät das Fahrzeug in eine Situation, die mit der bestehenden Software nicht gelöst werden kann, hat dies einen direkten Einfluss auf das Risiko. Eine große Herausforderung ist das Erkennen der eigenen Leistungsfähigkeit und der Systemgrenzen in solchen Situationen. Das Verhalten der anderen Verkehrsteilnehmer ist nicht immer regelkonform, und so kann es vorkommen, dass sich diese gefährdend ver- halten. In manchen Situationen könnte der Betrieb eines automatisierten Fahrzeugs nicht sicher sein, weil sich andere Verkehrsteilnehmer gefährlich verhalten. Denkbar ist sogar, dass dies mutwillig geschieht, falls das automatisierte Fahrzeug als solches erkannt wird. Auch durch höhere Gewalt kann das Risiko des Betriebs zunehmen, beispielsweise durch Erdbeben und Flutwellen oder durch Sonnenstürme, die zu einer Störung von genutzten Systemen wie eines globalen Navigationssatellitensystems oder der Fahrzeug-zu-Fahr- zeug-Kommunikation führen [12]. Bei der Entwicklung von Fahrerassistenzsystemen nach ISO 26262 wurden solche Ereignisse nicht berücksichtigt [30]. Wie dies bei autonomen Fahrzeugen gehandhabt wird, ist bisher noch offen [61]. 23.6 Aktionen zur Reduzierung des Risikos Unter der Annahme, dass ein automatisiertes Fahrzeug stets mit einem zumutbaren Risiko betrieben werden und gleichzeitig einen möglichst hohen Funktionsumfang bereitstellen soll, sind als Reaktion auf sicherheitsrelevante Ereignisse Aktionen auszuführen, die das Risiko auf einen zumutbaren Wert senken oder diesen erhalten und gleichzeitig einen hohen Funktionsumfang ermöglichen. Eine Reduzierung der Fahrgeschwindigkeit, eine Erhö- hung der Sicherheitsabstände, eine sicherheitsoptimierte Planung von Fahrmanövern, das Verbot bestimmter Fahrmanöver und die Ausführung von Sicherheitsfahrmanövern sind möglich. Das zugrundeliegende Prinzip der funktionalen Degradation (graceful degrada- tion) stammt aus der Biologie und wurde beispielsweise in [40] vorgestellt. In [68] wird u. a. ein Überblick über die Anwendungen der funktionalen Degradation in der Luft- und Raumfahrt, der Kraftwerkstechnologie und weiteren Forschungsbereichen gegeben. Treten Fehler in einem System auf oder sind die Ressourcen eingeschränkt, so werden die „lebens- wichtigen“ Prozesse erhalten und weniger wichtige Prozesse reduziert oder beendet. Bei- spielsweise kann bei einem eingeschränkten Sichtfeld die Geschwindigkeit des Fahrzeugs reduziert werden. Unter bestimmten Bedingungen können jedoch auch diese Aktionen nicht zu einer Reduzierung des Risikos auf einen zumutbaren Wert führen, sodass ein An-