Diskussionspapier der SATW-Themenplattform Autonome Mobilität
Wie sicher sollten automatisierte Fahrzeuge sein?
Autoren/Expertengruppe: Wolfgang Kröger (Hauptautor, Mitglied der SATW, Leiter der Themenplattform Autonome Mobilität, em. Prof. ETH), Andreas Burgener und Thomas Rücker (autoschweiz), Bernhard Gerster (Berner Fachhochschule), Stefan Huonder (ASTRA), Thomas Küchler (SOB), Manuel Kugler (SATW), Marco Laumanns (ZFF), Jürg Michel (BLS, ehem. PostAuto), Thomas Probst (Universität Freiburg & SAAM), Reto Schneider (Amstein+Walthert, ehem. SwissRe)
Projektleitung und Redaktion: Christian Holzner (SATW), Stefan Scheidegger (SATW)
November 2024
Kurzfassung
Automatisierte Fahrzeuge versprechen, den Einfluss des Menschen als direkter oder indirekter Verursacher schwerer Unfälle und kritischer Fahrsituationen stark zu reduzieren und so die Verkehrssicherheit weiter zu erhöhen. Sie tun dies, indem die Kontroll- und Fahrfunktionen vom Menschen an ein hoch anspruchsvolles technisches System übergeben werden. Zudem lassen automatisierte Fahrzeuge Vorteile wie eine Steigerung des Fahrkomforts sowie eine Verbesserung des Verkehrsflusses erwarten.
Optimist:innen rechnen mit hochautomatisierten Personenwagen «für alle» und beginnender Marktdurchdringung gegen 2030. Voll automatisierte Fahrzeuge, «Alles-Allein-Könner», werden wohl erst sehr viel später folgen.
Die Prozedur von der Entwicklung über verschiedene Tests bis hin zur Zertifizierung ist noch nicht etabliert [Yurtsever et al. 2020]. Bei dem in Europa weiterhin verfolgten Konzept der «Typengenehmigung» wird vom Hersteller verlangt, gegenüber der Behörde nachzuweisen, dass das Fahrzeug die gestellten Anforderungen an die Sicherheit erfüllt.
Sicherheit wird oft als Abwesenheit von unzumutbarem Unfallrisiko verstanden. Bei automatisierten Fahrzeugen darf das Risiko nicht höher sein als bei konventionellen, von Menschen geführten; die Risikobilanz sollte positiv sein. Diese qualitative Zielvorgabe ist vage und bedarf unseres Erachtens der Konkretisierung. Die Antwort auf die zentrale Frage «Wie sicher ist sicher genug?» sollte sich nicht auf das rein technisch-mathematisch Fassbare beschränken, sondern den gesellschaftlich-kulturellen Kontext miteinbeziehen.
Der Vorschlag der SATW-Arbeitsgruppe ist als Hilfestellung von neutraler, wissenschaftlicher Stelle zu verstehen. Er möchte die Entwicklung und Einführung automatisierter Fahrzeuge unterstützen und mit quantitativen Zielgrössen eine objektive Beurteilung der erzielten Fortschritte bezüglich Sicherheit ermöglichen und helfen, einen gemeinsamen Stand der Technik zu erzeugen.
Der Vorschlag fusst auf vorhandenen Reglementen, Standards und Vorschlägen für autonome Fahrzeuge und aus anderen Bereichen vergleichbaren Nutzens. Danach gilt ein Unfallrisiko für Personen innerhalb des automatisierten Fahrzeugs als unzumutbar, wenn der Wert von 3x10-8 Todesfällen pro Betriebsstunde bzw. von 4x10-7 Todesfällen und Schwerverletzten pro Betriebsstunde überschritten wird. Für zumutbare Unfallrisiken werden zehnfach tiefere Werte vorgeschlagen, also maximal 3x10-9 Todesfälle, respektive maximal 4x10-8 Todesfälle und Schwerverletzte pro Betriebsstunde. Zwischen den beiden Schwellenwerten sollen Kosten-Nutzen Abwägungen erlaubt sein.
Die SATW-Themenplattform Autonome Mobilität schafft Klarheit hinsichtlich der Entwicklungsstufen und zugehöriger Technologien, bereitet deren Entwicklungsstand auf, beleuchtet wesentliche Aspekte einschliesslich Chancen und Risiken und entwickelt bei Problemen geeignete Lösungswege. Übergeordnetes Ziel ist es, unter Wahrung der gebotenen Neutralität die komplexe Thematik fachkundig und faktenorientiert aufzuarbeiten, das allgemeine Bewusstsein zu stärken, gegebenenfalls Initiativen auszulösen und Fehlentwicklungen möglichst früh entgegenzutreten. Der Fokus lag bisher auf automatisierten Einzelfahrzeugen als Ermöglicher zukünftiger vernetzter Mobilität.
1 Einführung
Grundidee und gleichzeitig Entwicklungsziel automatisierter Fahrzeuge (automated vehicle, AV) ist der Übergang der Kontroll- und Fahrfunktionen vom Menschen auf ein hoch zuverlässiges technisches System. Dieses kombiniert anspruchsvolle, grösstenteils neuartige Soft- und Hardware unter Nutzung von Mechatronik, Digitalisierung und Methoden der künstlichen Intelligenz (KI). AV versprechen, die Fahrerin bzw. den Fahrer teilweise oder vollständig von der dynamischen Fahraufgabe zu befreien und so den Fahrkomfort zu steigern, zudem den Verkehrsfluss zu verbessern und die Mobilität effizienter zu gestalten [acatech 2018]. Wegbereiter sind moderne Assistenzsysteme etwa zur Spurhaltung oder Distanzwahrung, die bereits in vielen Wagen eingebaut bzw. für Neuwagen bereits Vorschrift sind.
Als ein Treiber eines weiter gesteigerten Automatisierungsgrades gilt die Erhöhung der Verkehrssicherheit, weil sich der Einfluss des Menschen als klar dominierender Verursacher schwerer Unfälle und kritischer Fahrsituationen noch stärker reduzieren liesse. Die Vorteile beginnen allerdings erst dann zum Tragen zu kommen, wenn viele Fahrzeuge zumindest hochautomatisiert sind und den Verkehr durchdringen. Das sind Fahrzeuge, die in spezifizierten Bereichen und unter restriktiven Bedingungen (Operational Design Domain, ODD) selbständig fahren können (gemäss SAE-Stufe 4).
Bei voller Automatisierung (SAE-Stufe 5) entfallen diese Einschränkungen und die Fahraufgabe wird unter allen üblichen Umständen gänzlich ohne menschliche Hilfe und Eingriffe erfüllt, keine Person muss anwesend sein (s. Abb. 1).
Abb. 1: Automatisierungsstufen gemäss Society of Automotive Engineers (SAE), Stand April 2021
Zwingende Voraussetzung ist die technische Reife und das Nachweisen der Sicherheit des AV im Rahmen des Zulassungsverfahrens: Die Sensorsysteme müssen das Fahrzeug (mit oder gar ohne
Wie sicher sollten automatisierte Fahrzeuge sein? November 2024
Hilfe von aussen) sicher lokalisieren und die sich ständig verändernde Umgebung inkl. allfälliger, mitunter plötzlich auftauchender Hindernisse verlässlich wahrnehmen und die geltenden Verkehrsregeln (inkl. Geschwindigkeitsbegrenzungen, Vorfahrtssituationen) einhalten können. Das sich im AV befindliche, leistungsstarke Computersystem muss enorme Mengen erzeugter Daten1 verarbeiten und daraus Entscheidungen und Steuerungsbefehle ableiten. Das alles muss in Echtzeit geschehen, möglichst unabhängig von einer Verbindung zum Hersteller und von intelligenten Infrastrukturelementen.
Bedingt automatisierte Fahrzeuge der SAE-Stufe 3 sind bereits heute verfügbar und einige im Ausland schon in Betrieb, in der Schweiz wird dies mit der Verordnung zum Autonomen Fahren ab 2025 möglich sein. Ebenso sind spezielle Fahrzeuge der hochautomatisierten SAE-Stufe 4 im (teils kommerziellen) Testbetrieb, wie Flotten von «Robotaxis» in San Francisco. Optimist:innen rechnen mit der Verfügbarbarkeit von für ein breites Kundensegment bezahlbaren Personenwagen der SAEStufe 4 und beginnender Marktdurchdringung gegen 2030, vollautomatisierte Fahrzeuge der SAEStufe 5 werden – wenn überhaupt – wohl erst in den späteren 2040iger Jahren folgen ERTRAC 2022]. Die Einführung wird also schrittweise von der automatisierten Bewältigung von einfachen bis hin zu komplexeren Fahrbedingungen und -situationen erfolgen.
Die gesamte Prozedur von der Basisarchitektur und Entwicklung bis zur Baureife, dem Testen und Verbessern bis hin zur behördlichen Zertifizierung ist nach Ansicht der Autoren noch nicht ausreichend etabliert. Für Europa als Vertragspartei des «Wiener Abkommens»2 zeichnet sich das bisher praktizierte Verfahren der Typengenehmigung ab. Innerhalb eines auditierten mehrstufigen Prozesses hat der Hersteller nachzuweisen, dass das AV die gestellten Anforderungen an die Sicherheit erfüllt. Darunter versteht man das «Freisein von realen und potenziellen Bedingungen, die gesundheitliche Schäden bis hin zum Tod von Personen verursachen können, sei es innerhalb oder in unmittelbarer Nähe eines automatisierten Fahrzeugs, nach dessen auslegungsgemässen Funktionsverlust/gefährlichem Fehlverhalten». Gemäss [EU 2022/1426] gilt das Risiko dann als unzumutbar (unreasonable), wenn es höher ist als das Risiko eines von Menschen geführten Fahrzeugs gleichen Zwecks in einer vergleichbaren Situation und/oder unterhalb eines gesellschaftlich akzeptierten Schwellwerts liegt [ISO 2626].
Auf hoher Abstraktionsstufe taucht oft das visionäre Ziel des Nullrisikos («Vision Zero») auf. Dabei handelt es sich weniger um eine realistisch erreichbare Zielgrösse als um eine Forderung, durch technologische Entwicklungen und deren Übernahme die Sicherheit von AV fortwährend zu steigern.
«Sicherheit» ist für die Entwicklung, Zulassung und Akzeptanz automatisierter Fahrzeuge von zentraler Bedeutung. Dabei handelt es sich nicht um eine rein technisch-mathematisch zu fassende Grösse, sondern schliesst umfassender den technologischen und gesellschaftlich-kulturellen Kontext mit ein. Es stellt sich die aus anderen Bereichen bekannte zugehörige Frage «Wie sicher ist sicher genug?» Die Antwort muss verschiedene Aspekte und Faktoren einbeziehen und die Interaktion zwischen Fahrzeugen unterschiedlichen Automatisierungsgrades, den Insassen und anderen
1 Laut ADAC pro Fahrzeug ca. 5 GB/min, die benötigte Rechnerleistung gleicht etwa 15 heutigen Laptops.
2 Das UN-Abkommen über den Strassenverkehr wurde 1968 in Wien unterzeichnet, seit 2015 modifiziert; es erlaubt seit 2021 automatisiertes Fahren der SAE-Stufe 3 und 4, der Stufe 5 allerdings nur zu Testzwecken mit Sondergenehmigung.
SATW-Diskussionspapier – Wie sicher sollten automatisierte Fahrzeuge sein? November 2024
verletzbaren Verkehrsteilnehmende berücksichtigen. Eine Antwort zum angestrebten Sicherheitsniveau aus gesellschaftlicher Sicht steht noch aus.
Dieses Dokument ist ein Versuch, eine solche Antwort einzugrenzen und so zur Erzeugung eines gemeinsamen Standes der Technik beizutragen. Es basiert auf Kenntnissen, die im Rahmen der SATW-Themenplattform [SATW 2022] erworben wurden, einhergehend mit einer möglichst umfassenden Aufarbeitung derzeitiger Denk- und Lösungsansätze. Das Dokument beschränkt sich auf das einzelne AV als zentrales Element autonomer Mobilität und lässt die Anforderungen an die benötigte Infrastruktur (Verkehrsleit- und Signalsysteme, Zentralen zur Fernsteuerung im Notfall, Hilfestellung etc.) zunächst ausser Acht. Es gliedert sich in einen eher schlussfolgernden Hauptteil und zwei Anhänge, die die im Hauptteil getroffenen Aussagen belegen. Störungen des Verkehrsflusses durch technische Mängel oder ungenügende Verfügbarkeit von Kommunikationskanälen und einem möglicherweise daraus folgenden Vertrauensverlust bleiben unbeachtet.
2 Zusammenstellung bestehender Beurteilungsansätze und Sicherheitszielgrössen
2.1 Äusserer Rahmen
Automatisierte Fahrzeuge (AV) werden wohl nur dann zur gesamtgesellschaftlichen Realität, wenn Zulassungsverfahren und zugehörige Sicherheitsanforderungen und -nachweise in ausreichendem Umfang etabliert worden sind. Davor müssen noch einige technische Hürden, insbesondere im Bereich der Soft- und Hardware, überwunden werden. Ausserdem muss ein persönlicher Nutzen für eine grosse Käuferschar oder attraktive Geschäftsmodelle für Mobilitätsanbieter ersichtlich sein. Als neuartige Fahrzeugsysteme, auch als Teil zukünftiger autonomer Mobilität, müssen AV ebenfalls auf gesellschaftliche Akzeptanz stossen. Hierzu bedarf es wohl gezielter Marketinganstrengungen der herstellenden Industrie.
Es ist zu erwarten, dass die AV längerfristig die Verkehrssicherheit gegenüber heutigen, von Personen geführten Vehikeln steigern. Hinzu kommt die Hoffnung auf eine Zunahme des Komforts, Harmonisierung des Verkehrsflusses und Nutzungs- und Parkraumoptimierung sowie ermöglichte neue Logistikkonzepte. Diesen Erwartungen stehen Skepsis und Befürchtungen gegenüber, die wegen der Übernahme von Kontroll- und Fahrfunktionen durch anonyme Technik (samt zugehöriger Algorithmen) zu Ängsten kulminieren, denen mit geeigneten Massnahmen zum Aufbau von Vertrauen zu begegnen ist.
Als Referenz für die zu gewährleistende Sicherheit gelten das moderne (mit Assistenzsystemen ausgestattete) von Menschen gefahrene Auto sowie das aktuelle Verkehrs- und Unfallgeschehen. Die gegenwärtige Häufigkeit schwerer Unfälle sollte unterboten werden, «unzumutbare Risiken» gilt es zu vermeiden. Diese gesellschaftliche Anforderung an die Sicherheit hat Vorrang und darf auch durch anderweitige ethische oder ökonomische Überlegungen nicht eingeschränkt werden. Hingegen sind Restrisiken hinzunehmen, die aufgrund ihrer «Kleinheit» und im gesellschaftlich-moralischen Kontext als akzeptabel gelten können. Eine deutsche Ethikkommission fordert eine positive Risikobilanz und die Vermeidung von Dilemmasituationen «by design», der Schutz von Menschen soll Vorrang haben vor anderen Nützlichkeitserwägungen [BMVI 2017].
Der Begriff «Risiko» umfasst – wie auch sonst meist üblich - die Eintrittswahrscheinlichkeit unerwünschter Ereignisse multipliziert mit ihren Konsequenzen (Schadensausmass). Hinsichtlich automatisierten Fahrens heisst dies: Das Risiko umfasst die Wahrscheinlichkeit von Unfallsituationen und deren gesundheitliche Folgen für die beteiligten Personen innerhalb und ausserhalb der involvierten AV.
Neben recht vagen, qualitativen Sicherheitsanforderungen zeichnet sich die Einsicht ab, dass quantitative Sicherheitsziele notwendig sind; erste Vorschläge für solche Werte gibt es bereits. Oft werden diese als Einzelwert(e) gefasst, etwa das maximal zulässige Mortalitätsrisiko. In einigen Bereichen werden quantitative Sicherheitsziele auch als Risikomatrix formuliert; Risikoaversion wird über eine stärkere Gewichtung der Unfallfolgen berücksichtigt, wenn diese sehr hoch sein können.
2.2 Vergleich von Zielgrössen
Neben qualitativ semantisch gefassten Sicherheitsanforderungen, etwa die geforderte «Abwesenheit von unzumutbaren Risiken», gibt es für AV und in anderen Sektoren zu deren Konkretisierung und Operationalisierung Vorschläge für quantitative Sicherheitsanforderungen. Die meisten Vorschläge/Praktiken geben eine Zielgrösse für das individuelle Mortalitätsrisiko an, entweder als alleinigen Wert oder als Teil einer breiteren Schadenspallette, verknüpft mit zugehörigen Eintrittswahrscheinlichkeiten.
Zielgrössen für automatisierte Fahrzeuge
Die EC schlägt gemäss «Implementing Regulation» [EU 2022/1426, Annex II, 7.1.1] ein zulässiges Mortalitätsrisiko von max. 10-7 pro Betriebs-/Fahrstunde vor. Dieser Vorschlag basiert auf aggregierten aktuellen EU-Unfalldaten und gilt für die Markteinführungsphase.
Die einschlägigen ISO-Standards [ISO 26262:2018, ISO 21448:2022] fordern, «unreasonable risks to be avoided (not diluted or minimized)» und die Erfüllung quantitativer Zielgrössen. Dazu zählen die maximale Anzahl von Unfällen pro Betriebsstunde eines Fahrzeugs, siehe MEM, GAMAB:
- Ein technisches System sollte nicht erheblich zur existierenden MEM (minimum endogenous mortality) beitragen, z.B. nicht > 1/20th MEM sein, weil Personen den Risiken mehrerer Systeme ausgesetzt sind, deren Einzelwerte bei 10-6 liegen. Ein neues System sollte besser sein als das alte, woraus konservativ ein Wert von 10 -7 pro Person, pro Jahr folgen könnte.
- Gemäss GAMAB (globalement au moins aussi bon – generell mindestens gleich gut) «muss ein neues System ein Risikoniveau versprechen, das gesamthaft mindestens so niedrig ist wie das eines äquivalenten existierenden Systems»; in Deutschland führt das bspw. zu einem Mortalitätsrisiko im Strassenverkehr von <10-5 pro Person, pro Jahr.
- Kosten-Nutzen-Erwägungen werden für einen Übergangsbereich zwischen dem akzeptablen und inakzeptablen Risiko zugelassen, so gemäss dem Prinzip „as low as reasonably praticable“ (so niedrig wie vernünftigerweise praktizierbar) ALARP. Für die ALARP-Regionen werden folgende Werte genannt: risks higher than about 10-4 per person, per year are unacceptable, risks less than about 10-7 per person, per year are widely accepted (siehe A.1.1).
- Zudem sind Anforderungen von ASIL (Automotive Safety Integrity Level)-Klassen zum Nachweis der funktionalen Sicherheit zu erfüllen, allerdings beschränkt auf angenommene Fehler in elektrischen /elektronischen Hardware-Systemen, während andere Fehlerquellen nur qualitativ
erfasst werden. Die Beurteilungsmatrix (siehe Abb. A.1) weist bspw. für «severity class B3» (schwerste Verletzungen) / «controllability class C3/D» (schwierig) eine zugehörige Ausfallwahrscheinlichkeit von < 10-8 pro Betriebsstunde aus.
Im Vorgriff auf internationale Vorgaben regelt die deutsche Verordnung den Betrieb von Kraftfahrzeugen mit automatisierter und autonomer Fahrfunktion [BMDV 2022]. Sie fordert vom Hersteller ein Sicherheitskonzept zur funktionalen Sicherheit. Das Mass an Sicherheit soll höher sein als das bei von Personen geführten Fahrzeugen. Dem geforderten Stand der Technik gilt als entsprochen, wenn die Vorgaben der obigen ISO-Standards sowie der UNECE-Regelung Nr. 155 zur Cyber-Sicherheit erfüllt werden.
Die genannte deutsche Ethikkommission hält die Zulassung von automatisierten Systemen für vertretbar, wenn sie im Vergleich zu menschlichen Fahrleistungen unter vergleichbaren Bedingungen zumindest eine Verminderung von Schäden im Sinne einer positiven Risikobilanz verspricht.
Zielgrössen anderer Bereiche
Für chemische und andere gefährliche Anlagen weist die Risikomatrix der schweizerischen Störfallverordnung (StFV) einen Ankerpunkt zum nicht-akzeptablen Bereich mit einem Zehntel der mittleren Sterbewahrscheinlichkeit (10-3 pro Person, pro Jahr) auf, die Differenz zum akzeptablen Bereich beträgt einen Faktor 100; Schäden werden stärker gewichtet als Wahrscheinlichkeiten (Aversionskoeffizient 2). Z.B. ist einer Anzahl von 100 Todesopfern eine Wahrscheinlichkeit pro Jahr, pro Anlage von 10-7 (nicht-akzeptabel) bzw. 10-9 (akzeptabel) zugeordnet.
Für Bahnreisende gilt allgemein ein Grenzwert ≤ 8.8x10-5 Todesfälle pro Person, pro Jahr.
Für die Luftfahrt gilt gemäss dem Entwurf einer gestuften Risikomatrix des Bundesamtes für Zivilluftfahrt der Schweiz (BAZL), mit einem Übergangsbereich und berücksichtigter Risikoaversion, bspw. für Ereignisse mit 2 bis 6 Todesfällen eine maximale Wahrscheinlichkeit von 10-7 pro Bodenbewegung/Flugstunde als akzeptabel, von 10-5 als nicht-akzeptabel.
Informationen über Zielgrössen im Bereich der Kerntechnik (z.B. Kernschmelzhäufigkeit rechnerisch einmal in zehntausend bzw. einhunderttausend Betriebsjahren) über in der Schweiz gesellschaftlich akzeptierte Unfallrisiken sind in den Anhängen A.2.2 und A.2.5 zusammengestellt.
Fazit
Ein Vergleich der Zielgrössen gestaltet sich generell als schwierig; ein Grund sind unterschiedliche Einheiten. Beispielsweise werden Werte integriert über ein Jahr oder bezogen auf eine Fahrsituation angegeben; unter Annahme einer jährlichen Fahrleistung (bspw. 25 000 km) und mittleren Geschwindigkeit (bspw. 40 km/h) liessen sich die Einheiten ineinander überführen und die Kompatibilität prüfen. Ein anderer Grund sind unterschiedliche Referenzsysteme wie allgemeine Bevölkerungsrisiken, Risiken anderer Aktivitäten, Unfallstatistiken für konventionelle Fahrzeuge oder scheinbar akzeptierte Risiken. Unklar bleibt auch, wie «Todesfälle» definiert sind, ob wirklich nur akute Todesfälle zählen oder schwere Verletzungen mit später Todesfolge einbezogen werden.
3
Vorschlag der
SATW
für AV im Strassenverkehr
Die nachfolgenden Ausführungen sind als Anregungen und Hilfestellung von neutraler wissenschaftlicher Seite zu verstehen und sollen der Erzeugung eines gemeinsamen Standes der Technik und der Vereinheitlichung von Sicherheitsanforderungen dienen. Sie basieren auf möglichst umfassenden Betrachtungen.
Der Vorschlag3 geht davon aus, dass die geforderte bzw. erzielte und gesellschaftlich akzeptierte Sicherheit in anderen Bereichen gleichen Zwecks, wie die Transportsysteme der Bahn und Luftfahrt, zur Orientierung herangezogen werden sollte. Zudem sollte im Vergleichssystem auch eine Übergabe der eigenen Kontrolle an «Andere» stattfinden, oft an ein intelligentes technisches System. Wird der Transport für erforderlich gehalten, kann das damit verbundene Unfallrisiko als von der Nutzerin bzw. dem Nutzer unfreiwillig eingegangen gelten, auch wenn er oder sie sich dessen nicht zwingend bewusst ist. Entstehende Unfälle scheinen als inhärentes Risiko des Verkehrssystems gesellschaftlich akzeptiert zu sein.
Menschliches Leben gilt als vorrangiges Schutzgut, alle Menschen sind gleich wichtig. Es wird angenommen, dass durch das Schützen des Menschen auch der Schutz anderer Güter ausreichend abgedeckt wird. Schutzobjekte umfassen primär die Lenkerin, bzw. den Lenker und andere Personen innerhalb des automatisierten Fahrzeugs (AV) sowie auch andere verletzbare Verkehrsteilnehmende in der näheren Umgebung des Fahrzeugs.
Es wird an dieser Stelle angenommen, dass der Prozess zur Zulassung von AV das in Europa bisher übliche Prinzip der Typengenehmigung [EU 2019/2144] übernimmt4. Das übergeordnete Ziel des Prozesses ist die Vermeidung von Unfallrisiken, die von Fahrleistungen ausgehen. AV sollen auch im Vergleich zu heutigen, von Personen geführten Fahrzeugen und im technischen, moralischen und gesellschaftlichen Umfeld in Punkto Sicherheit als zumutbar gelten. Diese (semantische) Zielvorgabe steht weitgehend im Einklang mit internationalen Reglementen und Standards, ist nach Einschätzung der Autoren aber zu unbestimmt und bedarf der Konkretisierung und Operationalisierung durch quantitative Zielgrössen («targets»).
Es wird die Auffassung geteilt, dass für die Festsetzung der Sicherheitsanforderungen die herstellende Industrie – innerhalb vom Gesetzgeber vorgegebener Rahmenbedingungen – verantwortlich und auch kompetent ist. Gleiches gilt für die für die Zulassung notwendigen Nachweise einschliesslich des virtuellen und physischen Testens. Staatliche Stellen sollten sich auf die Überwachung und Prüfung der Einhaltung der Reglemente und Vorgaben beschränken und adäquate Qualität sichern.
Wohlwissend, dass «Risiko» kein eindeutig definierter Begriff ist und neben der objektiven, mathematisch fassbaren Komponente immer auch eine subjektive, von individueller Wahrnehmung geprägte Komponente aufweist, beschränken sich die folgenden Überlegungen auf das in der Technik und Versicherungswirtschaft gebräuchliche «objektive» Risiko, mit der Eintrittswahrscheinlichkeit von ungewollten Szenarien und deren Schadensfolgen als den bestimmenden Elementen. Beide Elemente werden multiplikativ verknüpft und aufsummiert, sodass sich eine Gesamt-Risikozahl als
3 Zur Begründung im Detail wird auf das Material verwiesen, dass in den Anhängen zusammengestellt ist.
4 Fraglich ist, ob sie sich das auf das Fahrzeug beschränken kann und ob nicht weitere notwendige systemische Komponenten ausserhalb des Fahrzeugs, wie die zur Vernetzung mit anderen Fahrzeugen oder der Infrastruktur, in die Zulassung einfliessen sollten.
Messgrösse ergibt. Diese kann dann über verschiedene Domänen und Bereiche verglichen werden. Die oft ins Spiel gebrachte Aversion gegenüber Ereignissen mit extrem kleiner Wahrscheinlichkeit aber sehr grossen Schäden wird ausser Acht gelassen, da solche Ereignisse bei Annahme angemessener Schutzmassnahmen, bspw. gegen Cyber-Attacken, praktisch ausgeschlossen werden können.
Als quantitatives Target halten wir einen Einzelwert für geeigneter als eine Risikokurve oder eine Risikomatrix. Als «target value» empfehlen wir das aggregierte Todesfall- bzw. Mortalitätsrisiko, dem die Unfallbeteiligten ausgesetzt sind, wenn sie AV-Fahrleistungen innerhalb der definierten Einsatzbedingungen (Operational Design Domain, ODD) in Anspruch genommen werden. Eine zweite, ergänzende Grösse berücksichtigt auch Schwerverletzte unter den Unfallbeteiligten.
Methoden scheinen verfügbar, um entsprechende Nachweise zu führen, was für den Nachweis zumutbarer Risiken im grösseren gesellschaftlichen Umfeld unter Einbezug aller Risikoursachen nicht der Fall ist. Die Validität der Nachweise wird durch den Mangel an zuverlässigen empirischen Daten in der Markteinführungsphase gemindert, lässt sich aber bei zunehmender Marktdurchdringung auf ein verlässliches Mass steigern.
Aus aktuellen nationalen und internationalen Unfallstatistiken lassen sich Schwellenwerte ableiten; diese stellen die Grenze zum unzumutbaren Unfallrisiko dar. So kann die Forderung berücksichtigt werden, dass das automatisiert fahrende Vehikel mindestens so sicher ist wie ein von Menschen geführtes5. Da automatisiertes Fahren das Unfallgeschehen bzw. die Risikobilanz wegen des Wegfalls menschlicher Fehlerquellen positiv zu beeinflussen verspricht, sollte der Wert des zumutbaren Unfallrisikos niedriger sein; gemäss unseren Überlegungen um den Faktor zehn6
Eine Auswertung der Unfallstatistik der Schweiz7 führt zu einem unzumutbaren Unfallrisiko für Personen in einem im öffentlichen Strassenraum fahrenden AV, wenn der Wert von 3x10-8 Todesfälle oder der Wert von 4x10-7 Todesfälle und Schwerverletzte, jeweils pro Betriebsstunde, überschritten wird. Die vorgeschlagenen Werte für zumutbare Risiken liegen um eine Grössenordnung tiefer, also bei maximal 3x10-9 Todesfälle, respektive maximal 4x10-8 Todesfälle und Schwerverletzte pro Betriebsstunde. Im Bereich zwischen den Schwellenwerten für zumutbare und unzumutbare Risiken sollte das ALARP-Prinzip angewendet werden8 . Diese aggregierten Werte sind als Richtwerte zu verstehen und wurden für die Schweiz abgeleitet. Zusammen mit der entwickelten Logik können sie anderen Ländern des europäischen Raumes zur Orientierung dienen, müssten aber ggfs. unter Nutzung spezifischer Unfallstatistiken angepasst werden. Sie könnten für die Einführungsphase von
5 Es ist zu beachten, dass diese Statistiken keine Auskunft darüber geben, wie viele Unfälle dadurch vermieden worden sind, dass der Lenker fehlerhaftes Verhalten anderer Verkehrsteilnehmer durch intuitives Reagieren neutralisiert und damit einen Unfall verhindert hat. Sobald ein Fahrzeug sich selbst steuert, entfällt dieser sicherheitsstiftende Faktor.
6 Dieser Faktor trägt dem erwarteten Rückgang des Unfallrisikos bei Wegfall menschlicher Ursachen Rechnung und deckt sich mit Ansätzen in anderen Bereichen/Ländern.
7 Laut Mikrozensus 2023 des Bundesamtes für Statistik (BFS) lag 2019 bis 2021 in der Schweiz die Wahrscheinlichkeit, dass eine Person in einem Personenwagen (PW) schwer verletzt oder getötet wurde, im Jahresmittel bei etwa 3x10-7 pro Expositionsstunde, für Todesfälle allein um etwas mehr als einen Faktor 10 darunter. Für die Bahn lag der höchste Wert (2021) für schwer verletzte Insassen bei 3x10-8 pro Expositionsstunde, Tote waren nicht zu beklagen. Die aus gesellschaftlicher Sicht relevanten Wahrscheinlichkeiten, dass Personen im und durch ein nahes Fahrzeug schwer verletzt oder gar getötet wurden, lag für PW bei nahe 10-6, für die Bahn bei fast 2x10-5 pro Expositionsstunde. Die Statistik weist für Trams ähnliche Werte wie für die Bahn aus, Werte für unterschiedliche Arten von Bussen ähneln denen für PW.
8 Also Risiko reduzierende Massnahmen geboten sind, wenn Kosten «nur» proportional ansteigen.
Personenwagen (PW) sowie anderen AV der SAE-Stufe 4 mit zugehörigem ODD gelten, sind fortlaufend anhand eines spezifischen, zentralen Unfallmonitorings zu überprüfen und könnten sich mit zunehmender Einsatzerfahrung und verbesserter Datenbasis im Laufe der Zeit verändern. Eine Aufschlüsselung nach Fahrzeugtypen (neben unterschiedlichen PW auch nach anderen Nutzungsformen von AV) und nach Eisatzbereichen (wie Schnellstrassen/Autobahnen, ländliches oder urbanes Umfeld) wäre wünschenswert, ist aber anhand der derzeitigen Datenlage nicht belastbar möglich.
Die Kommunikationshoheit und Verantwortung für Kommunikationsstrategien sollte beim Staat oder staatlich autorisierten Instanzen liegen, ebenso die Verantwortung für den Umgang mit «Störereignissen», insbesondere aufgetretene Unfälle mit Todesfolge und Schwerverletzten und übersehene Gefahren, die normalerweise von Menschen problemlos bewältigt werden. Eine klare Rollenverteilung zum Nachweis der Sicherheit zugelassener, in Betrieb befindlicher AV und zur Gewährleistung ihrer Sicherheit im Gesamtsystem ist essenziell und muss zügig entwickelt werden, samt zugehöriger Beteiligungsformen und -prozesse.
Ethische Abwägungen müssen in die Richtlinien für das Design (bspw. Vermeidung von Dilemmasituationen) und Programmieren von Algorithmen (bspw. Prioritätensetzung) einfliessen. Die Anforderungen an neue automatisierte Systeme, die Risikobilanz positiv zu beeinflussen, dürfen nicht von ethischen Überlegungen konterkariert werden; eine möglichst positive Risikobilanz ist gesamthaft die wichtigste Zielsetzung.
Referenzen
acatech (2018): Karsten Lemmer (Hrsg.) Studie Neue autoMobilität II. https://www.acatech.de/publikation/neue-automobilitaet-ii/
ASTRA (2023): Unterlagen zur Vernehmlassung zum Autonomen Fahren. In: https://www.astra.admin.ch/astra/de/home/themen/intelligente-mobilitaet/rechtliche-situation/vernehmlassung-verordnung-automatisiertes-fahren.html
Implementing Regulation (EU) 2022/1426 laying down a rule for the application of regulation (EU) 2019/2144 of the European Parliament and Council as regards uniform procedures and technical specifications for the type-approval of the automated driving system (ADS) of fully automated motor vehicles, 5 August 2022
Bundesministerium für Digitales und Verkehr (BMDV), Verordnung zur Regelung des Betriebs von Kraftfahrzeugen mit automatisierter und autonomer Fahrfunktion und…, Drucksache 86/22, Febr. 2022
Bundesministerium für Verkehr und Infrastruktur (BMVI), Bericht der Ethikkommission zum automatisierten und vernetzten Fahren, Juni 2017
ERTRAC, Connected, Cooperative and Automated Mobility Roadmap, 18.02.2022 https://www.connectedautomateddriving.eu/wp-content/uploads/2023/06/Connected-Cooperative-and-Automated-Mobility-RoadmapV10_18022022_ERTRAC.pdf
ISO 26262:2018, Road vehicles – Functional safety, Part 1: Vocabulary, Part 9: ASIL-oriented and safety-oriented analyses
ISO 21448:2022, Road vehicles – Safety of the intended functionality Regulation (EU) 2019/2144 of the European Parliament and Council on type-approval requirements for motor vehicles, and their trailers, and systems, components and separate technical units intended for such vehicles, ... amending Regulation (EU) 2018/858 ...
SATW (2022): Autonomes Fahren. Ein Treiber zukünftiger Mobilität. https://www.satw.ch/de/publikationen/publikation-zum-thema-autonomes-fahren
Yurtsever, E. et al, A survey of autonomous driving: Common practices and emerging technologies, IEEE Access, Vol. 8, 2020
Anhänge – Basismaterial
A 1 Annäherungen an Sicherheitsanforderungen
Die Antwort auf die Frage «Wie sicher ist sicher genug?» darf nicht nur aus technischer Sicht erfolgen. Eine umfassendere Antwort erfordert Interdisziplinarität, um auch andere wichtige Aspekte und Blickwinkel miteinzubeziehen.
A 1.1 Annäherung aus technischer Perspektive, regulatorisch-juristischem Blickwinkel
Anforderungen an die Sicherheit automatisierter Fahrzeuge (AV), zugrundeliegende Denkansätze samt Prinzipien sowie zugehörige Validierungsprozeduren und -methoden sind noch nicht etabliert, jedoch im Entstehen begriffen. Für einzelne Fahrfunktionen wie etwa den Notfall-Spurhalteassistenten (emergency lane-keeping system) [EU 2019/2144] sind solche Anforderungen und Validierungsprozeduren bereits vorhanden. Dazu gehören Richtlinien und Reglemente auf UNECE- und EU-Ebene, Gesetze und Verordnungen auf nationaler Ebene sowie einschlägige Standards.
Das Joint Research Center der EC Ispra schlägt im Entwurf der «Technical Guidelines» für automatisierte Fahrsysteme (ADS) im Hinblick auf deren funktionale und operationelle Sicherheit9 vor:
- The manufacturer shall ensure freedom of unreasonable risks to vehicle occupants and other road users during the vehicle lifetime when compared with comparable transport services and situations within the Operational Design Domain (ODD).
- The manufacturer shall define acceptance criteria from which the validation targets are derived to evaluate the residual risk for the ODD taking into account accident data, data on performances from competently and carefully human driven vehicles and state-of-the-art technology.
Auf den allgemeinen Sicherheitsanforderungen (general safety requirements) fussend wird die Notwendigkeit quantitativer Zielgrössen/Akzeptabilitätskriterien betont. Unter Nutzung aktueller Unfalldaten für Busse, Cars, LKW und Personenautos in der EU hält die EC-Durchführungsverordnung [EC 2022/1426, Annex II, 7.1.1] ein aggregiertes Akzeptanzkriterium von 10-7 Todesfällen pro Betriebsstunde für die Markteinführung von AV bei vergleichbaren Services und Situationen für erwägenswert.
Zudem gefordert wird ein integriertes Sicherheitsmanagement-System, das der Hersteller implementieren muss und das Prozesse zur Erhebung von Fahrzeugdaten einschliesst.
Die deutsche Verordnung zur Regelung des Betriebs von Kraftfahrzeugen mit automatisierter und autonomer Fahrfunktion [BMDV 2022] wurde im Vorgriff auf internationale Vorgaben erlassen. Sie konkretisiert die Vorgaben des Gesetzes zum autonomen Fahren10 und erlaubt «Fahrzeugen ohne Fahrer» die Teilnahme am Strassenverkehr – zunächst allerdings nur in festgelegten/genehmigten
9 EC JRC 2022, 1st JRC Workshop on Technical Guidelines, 13 July 2022
10 BGBl. 2021
Bereichen (ODD). Sie fordert vom Hersteller ein Sicherheitskonzept zur funktionalen Sicherheit unter Beachtung des Stands der Technik:
- Die für die ODD relevanten gefährlichen Gefahren, Szenarien und Ereignisse müssen in einem systematischen Vorgehen identifiziert und mit einer Risikoanalyse bewertet werden.
- Es ist aufzuzeigen, dass Gefährdungen erkannt und durch geeignete Massnahmen vermindert oder umgangen werden. Zudem ist gemäss StVG eine technische Aufsichtsperson vorzusehen, die das Fahrzeug aus einem risikominimalen Zustand (nach Ausfall oder Überforderung des ADS) in den autonomen Fahrbetrieb zurückführt.
- Testfälle müssen eine ausreichende Abdeckung für alle Szenarien, Testparameter und Umwelteinflüsse bieten und geeignet sein nachzuweisen, dass Fahrzeuge mit autonomer Fahrfunktion sicherer sind als von Menschen geführte Fahrzeuge
- Dem Stand der Technik gilt als entsprochen, wenn die Vorgaben der ISO-Standards 26262:2018 und 21448:2022 sowie der UN-Regelung Nr.155 erfüllt werden.
Für hoch- oder vollautomatisierte Fahrzeuge sieht das französische Recht vor, dass Gesamtsysteme, in welchen solche betrieben werden, mindestens das Sicherheitsniveau von bestehenden Systemen mit vergleichbaren Diensten oder Funktionen gewährleisten müssen. Gibt es keine vergleichbaren Systeme, muss das Sicherheitsniveau mittels einer Sicherheitsstudie bestimmt werden. Die Anforderungen an die Sicherheit des Transportsystems werden im Übrigen mittels funktionaler Kriterien beschrieben11
Der Vernehmlassungsentwurf der Schweizer Verordnung zum automatisierten Fahren zielt auf Fahrzeuge der SAE-Stufe 3 und 4, die Stufe 5 gilt als «Vision». Der Entwurf sieht keine Angaben zur Fahrzeugsicherheit vor und stützt sich primär auf die europäischen Regelungen im Rahmen der «Typengenehmigung». Die Schweiz wird diese als übergeordnet übernehmen, in nationales Recht umsetzen und sollte deren Erfüllung im Zuge der Fahrzeugzulassung prüfen (vgl. [ASTRA 2023])12
Einschlägige Standards, unterschiedlich ausgerichtet, spielen bei der Konkretisierung von Sicherheitsanforderungen vor allem in der Entwicklungsphase der AV eine grosse Rolle: - ISO 26262:2018, betrifft die Gefährdung der funktionalen Sicherheit nach Fehlern in elektrischen/elektronischen (E/E) Systemen oder möglichen systematischen Fehlern wie unentdeckte Auslegungs- und Materialfehler, Alterung, Programmierfehler oder unzureichende Updates. Der Nachweis wird primär in der Entwicklungsphase über sog. Automotive Safety Integrity Level (ASIL) geführt: Einer vorgegebenen induktiven Methode13 entsprechend werden mögliche Fehler im System unterstellt, deren Folgen (severity S), Wahrscheinlichkeit (probability E) und Beherrschbarkeit (controllability C) beurteilt und Klassen (Buchstaben mit Zahlen) zugeordnet; schliesslich werden durch Zusammenzählen der Zahlen nach den Buchstaben ASIL-Klassen steigend von A bis D gebildet (s. Abb. A.1). Die ASIL-Klasse mit schwersten Verletzungen (S3),
11 Art. R 3152-2 Ziff. II und III Code des transports
12 Die Vernehmlassung wurde Februar 2024 beendet; die Verordnung tritt voraussichtlich 2025 in Kraft.
13 Ähnlich der Failure Mode and Effects Analysis (FMEA). Zur Gewährleistung, dass das Risiko aufgrund o.g. Fehler Sicherheitsziele zu verfehlen klein ist, werden zudem Sicherheitsanalysen gefordert. Dabei sollen induktive (FMEA, HAZOP; ETA) und deduktive (FTA) Methoden eingesetzt werden, unter Einbezug möglicher abhängiger Fehler; quantitative Analysen setzen eine ausreichende Datenlage voraus [ISO 26262 – 9].
ständigem Auftreten (E4) und schwieriger Kontrollierbarkeit (C3/D) weist beispielsweise eine zugeordnete zulässige Wahrscheinlichkeit für den situativen Funktionsverlust von 10-8 pro Stunde aus.
- ISO 21448:2022 hingegen legt den Fokus auf die Sicherheit der beabsichtigten Funktionalität (SOTIF) in einem Fahrzeug, das frei ist von E/E Fehlern, aber auf die bewusste Wahrnehmung der Fahrsituation durch komplexe Sensorik, Algorithmen und Funkstrecken angewiesen ist.
Diese Norm geht davon aus, dass die funktionale Sicherheit über ISO 26262 nachgewiesen wurde, und konzentriert sich auf die systematische Identifizierung von Bedingungen und funktionalen Mängeln, die die beabsichtigte Funktionalität des Fahrzeugs gefährden könnten; sie empfiehlt dafür geeignete Methoden wie HAZOP and STPA (System Theoretic Process Analysis) und logische Flussdiagramme. SOTIF-Anforderungen sollen sicherstellen, dass unzumutbare (unreasonable) Risiken nicht nur gemindert/minimiert, sondern gänzlich vermieden werden.
Als solche werden Risiken bezeichnet, die im Kontext geltender gesellschaftlicher und moralischer Vorstellungen als unakzeptabel gelten.
Abb. A.1: Beurteilungsmatrix zur Ermittlung von ASIL-Klassen – charakterisiert über Farben von grün (abgedeckt durch Qualitätsmanagement QM) bis rot (gravierend)
Für zumutbare, hinzunehmende Restrisiken fordert die Norm eine Verifizierungs- und Validierungsstrategie, die zeigt, dass diese hinreichend klein sind und quantitative Vorgaben erfüllen. Als solche werden u.a. genannt a) die maximale Anzahl von Unfällen pro Betriebsstunde/Fahrstrecke oder b) Prinzipien, wie dass das verbleibende Risiko eines neuen Systems nicht grösser sein darf als das eines existierenden Referenzsystems gleichen Zwecks und Einsatzgebietes (GAMAB). Als weiteres zulässiges Prinzip gilt das minimale endogene Mortalitätsrisiko einer bestimmten Alters- und Gendergruppe (MEM), das durch ein neues System nicht signifikant erhöht werden darf14. Kosten-NutzenErwägungen werden für einen Übergangsbereich zwischen dem akzeptablen und inakzeptablen Risiko zugelassen, so gemäss dem Prinzip «as low as reasonably praticable» (ALARP), d.h. eine
14 MEM ist ein Mass für das akzeptierte (unvermeidliche) Risiko, durch ein technisches, sicherheitsrelevantes System zu Tode zu kommen, in der Norm EN 50126 konkretisiert zu 2x10-4 Todesfälle pro Person, pro Jahr, dem statistischen Sterberisiko eines europäischen Jugendlichen.
weitere Reduzierung von Risiken ist nicht geboten, wenn damit ein disproportionaler Anstieg der Kosten verbunden wäre15 .
Die einschlägigen Standards lassen bei der Ableitung von Sicherheitszielgrössen zur Vermeidung unzumutbarer Risiken das Heranziehen von Werten zu, die in anderen Bereichen als akzeptabel gelten. Ferner sollten die Art des Risikos (freiwillig, unfreiwillig) und der Expositionspfad (Arbeit) als Einflussgrössen berücksichtigt werden. Die unterschiedlichen Prinzipien lassen sich auf das individuelle Mortalitätsrisiko zurückführen und vergleichen, s. Abb. A.2.
UN-Regelung Nr. 155 zielt auf die Identifizierung unzureichender Abwehr- und Schutzmassnahmen gegen Cyber-Attacken auf das automatisierte Fahrsystem einschliesslich der Kommunikationskanäle, die Nr. 156 regelt Software-Updates.
Abb. A.2: Vergleich akzeptabler und inakzeptabler Mortalitätsrisiken gemäss unterschiedlichen Prinzipien und Risikotypen (Quelle: U. Steininger, TÜV Süd, Vortrag 18.–19. Mai 2022, Würzburg)
A 1.2 Berücksichtigung ethischer, gesellschaftlicher Gesichtspunkte
Hinweise auf mögliche Sicherheitsziele aus ethischer Sicht bietet die Stellungnahme der Ethikkommission des damaligen deutschen Bundesministers für Verkehr und Infrastruktur [BMVI 2017], siehe auch16. Danach hat der Schutz von Menschen Vorrang vor allen anderen Nützlichkeitserwägungen, also vor Tieren, der Umwelt und Sachen. Die Zulassung von automatisierten Systemen ist nur vertretbar, wenn sie im Vergleich zu menschlichen Fahrleistungen unter vergleichbaren Bedingungen zumindest eine Verminderung von Schäden im Sinne einer positiven Risikobilanz verspricht, unter Berücksichtigung aller Gefahren und Situationen, denen das neue System ausgesetzt ist. Technisch unvermeidbare Restrisiken stehen dann einer Einführung nicht entgegen. Die automatisierte, vernetzte Technik sollte die Notwendigkeit einer abrupten Übergabe der Kontrolle an den Fahrer und Unfälle so gut wie praktisch möglich ausschliessen bzw. vermeiden, kritische Situationen einschliesslich Dilemma-Situationen (Entscheid für höher wertiges Schutzgut wie einzelne
15 Values for both regions delivered, e.g., risks higher than participating in road traffic (about 10-4 per person, per year) are unacceptable, risks less than being struck by lightning (about 10-7 per person, per year) are widely accepted [R2A 2004].
16 Armin Grunwald, Verantwortliche Gestaltung des autonomen Fahrens. Ethische Aspekte und ihre Relevanz, in [SATW 2022]
ältere Person versus Gruppe Junger) sollten nicht erst entstehen; untersagt ist eine Aufrechnung von Opfern. Es besteht keine ethische Regel, die Sicherheit immer vor individuelle Freiheit setzt.
Die EU Durchführungsvorschrift fordert: «in the event of an unavoidable alternative risk to human life, the ADS shall not provide any weighting on the basis of personal characteristics of humans» [EU 2022/2144. Annex II].
Die Existenz von Unfällen im herkömmlichen Strassenverkehr scheint als inhärentes Risiko des Verkehrssystems akzeptiert zu sein17 .
Es wird allgemein erwartet, dass AV wesentlich schneller zum Stillstand kommen als von Menschen gelenkte und dass ethische Abwägungen in die Programmierrichtlinien für Algorithmen einfliessen und der Mensch die Kontrolle darüber behält bzw. behalten kann.
Hinweise darauf, welche Risiken heute gesellschaftlich akzeptierbar und akzeptiert sind, ergibt sich aus der einschlägigen Gesetzgebung zur Produktehaftung bzw. Produktesicherheit. Massstab bilden die legitimen Sicherheitserwartungen eines vernünftigen Benutzers (Dritten) gemäss den konkreten Umständen für eine bestimmungsgemässe oder voraussehbar bestimmungswidrige Verwendung des Produktes. Fehlerhaft ist ein Produkt dann, wenn es im Zeitpunkt seiner Inverkehrsetzung dem aktuellen Stand von Wissenschaft und Technik nicht entspricht. Diese Grundsätze gelten auch für automatisierte Fahrzeuge, allerdings besteht wohl noch juristischer Klärungsbedarf.
A 1.3 Bedürfnisse zukünftiger Kund:innen
Aus ökonomischer Sicht – und ausgehend von Erfahrungen mit der schleppenden Einführung anspruchsvoller Assistenzsysteme – stellt sich die Frage, ob automatisiertes Fahren relevante Kundenbedürfnisse befriedigen und damit überhaupt ein Geschäftsmodell sein kann. Das gilt für Geschäftskunden wohl schon für Fahrzeuge ab SAE-Stufe 4 in bestimmten Bereichen und Anwendungsfällen, in denen sich durch Einsparungen beim Fahrpersonal, gar Wegfall eines Fahrers, erhebliche finanzielle Vorteile erzielen lassen, wie bei Taxis, Lieferdiensten, Bereitstellungen auf Firmenarealen und Lastkraftwagen im Logistikfernverkehr. Ausgehend von der Zufriedenheit mit heutigen Fahrzeugen und deren hoher Sicherheit ist für Privatkunden, neben Komfortsteigerungen und möglicher Teilnahme am Individualverkehr bisher ausgesparter Gruppen (Kinder, Alte, mobilitätseingeschränkte Personen), die gesteigerte Sicherheit ein möglicher Konsum- oder Kaufanreiz. Dafür braucht es Versachlichung und klare Vorgaben. Es scheint akzeptabel zu sein, dass die Industrie als Schlüsselakteur die Sicherheitsanforderungen entwickelt, umsetzt und die Nachweisführung übernimmt, während die Behörde deren Erfüllung prüft und dafür Vorgaben macht. Die erschwingliche Erfüllung von Kundenbedürfnissen» beeinflusst massgeblich die gesellschaftliche Akzeptanz von AV. Dabei können Wettbewerbs- und Konkurrenzsituationen, unterschiedliche Erwartungen sowie Einzelinteressen von Unternehmen und Individuen zu abweichenden Risikoeinschätzungen führen; Partikularinteressen können sich von den gesellschaftlichen Werten und Erwartungen unterscheiden. Zudem ist der «Mensch» bei der Nutzung von AV meist sehr direkt, «unmittelbar», einbezogen (bspw. als Fahrzeughalter, Insasse, vulnerabler Verkehrsteilnehmer), was zu zusätzlichen Risiken im Falle von Fehlfunktionen/-verhalten führen kann: Während bei Systemen
17 Bundesanstalt für Strassenwesen (BASt), Abschlussbericht der Arbeitsgruppe «Forschungsbedarf Teleoperation», November 2023
mit hohen Sicherheitsanforderungen, wie Zug und Flugzeug, meist «Experten» direkt vor Ort den Betrieb überwachen und mögliche Fehler rasch erkennen können, fehlt bei AV diese Sicherheitskomponente; sie muss möglicherweise durch andere Massnahmen (Leitstelle/technische Assistenz/Remote Operator, automatisierte Monitoring-Funktionen) kompensiert werden.
Die Akzeptanz (und somit der Kaufanreiz) kann schwinden, wenn sich die automatisierten Gesamtsysteme einschliesslich der Kommunikationskanäle zu anderen Fahrzeugen (V2V) und der Infrastruktur (V2X) im Betrieb als unzuverlässig erweisen, sich unerwartete Vorfälle häufen und so der Eindruck entsteht, der Mensch sei dem technischen System überlegen und vertrauenswürdiger.
Dementsprechend kommt dem verlässlichen Nachweis der Zuverlässigkeit und der Bau- und Funktionsreife grosse Bedeutung zu.
A 1.4 Blick auf die vorgeschlagene Nachweismethodik
Das wohl weiterhin verfolgte Prinzip der Typen- oder Einzelgenehmigung enthält den Nachweis, dass das automatisierte Fahrzeug ausreichend verkehrssicher ist; er wird vom Hersteller erbracht und von der Behörde kontrolliert/geprüft. Richtlinien und Reglemente der EU sind übergeordnet und werden sinngemäss von den Mitglieds- und Partnerstaaten übernommen und samt Anforderungen in nationales Recht überführt. Die von der EU vorgeschlagene Nachweismethodik [EC 2022/1426] basiert auf generellen Sicherheitsanforderungen und ruht auf drei Säulen:
1. Umfassende Dokumentation des Herstellers (Erfüllung reglementarischer Vorgaben, Ausschluss unzumutbarer Risiken mittels Analyse/Simulation) und Audit,
2. «track and real world testing»,
3. Monitoring nach der Marktzulassung mit fortlaufender Ergänzung eines parallel erstellten Szenarienkatalogs insbesondere durch Abgleich mit Praxiserfahrung (Unfälle, Beinaheunfälle, unvorhergesehene Situationen).
Der sonst übliche statistische Nachweis kann angesichts mangelnder Daten für das neuartige System nicht (verlässlich) geführt werden. Die verwendeten prädiktiven Methoden und unspezifischen (generischen) Daten sind mit erheblichen Unsicherheiten behaftet, die im Laufe der Zeit abnehmen. Dies ist bei der Festlegung von Sicherheitsanforderungen zu beachten und könnte deren zeitliche Stufung (bei allfälliger Schärfung mit zunehmender Erfahrung) ratsam erscheinen lassen.
A 1.4.1 Sicherheitsnachweise während der Entwicklungsphase
Tests sind ein wesentliches Element in der Kette der Sicherheitsnachweise bis hin zur Zulassung. Der naheliegende Ansatz primär in der Entwicklungsphase wären Realfahrten (real world testing). Dadurch liesse sich das ausreichend ausgereifte Fahrzeug als Gesamtsystem unter realen Umgebungs- und Verkehrsbedingungen erfassen. Die erzielten Ergebnisse wären mit einem hohen Mass an Überzeugungskraft und Vertrauenswürdigkeit verbunden. Ein solches Verfahren ist allerdings sehr aufwendig und zeitraubend18, zudem ineffizient, auch weil nach Verbesserungen oder
18 Gemäss RAND Corp. 2020 wären 440 Millionen störungsfreie Kilometer erforderlich, um die Sicherheit mit hoher Genauigkeit nachzuweisen; bei einer Flotte von 100 automatisierten Fahrzeugen bei fortwährendem Einsatz mit einer mittleren Geschwindigkeit von 40 km/h würde ein solches Testverfahren 12.5 Jahre dauern.
Updates vorherige Tests hinfällig werden könnten und zu wiederholen wären. Unausgereifte Testfahrzeuge könnten ausserdem eine Gefahr für Insassen und andere Verkehrsteilnehmer darstellen.
Als ergänzende Optionen bieten sich der Einbau künstlicher Fehler und bewusstes Fahren ausserhalb des vorgesehenen Betriebsbereiches (ODD) sowie Testen auf Prüfständen und in ausgewiesenen Zonen (bench & track testing) an. Diesbezügliche Anforderungen sind bereits aufgeschlüsselt.
Neben breit praktiziertem physischem Testen sind virtuelle Verfahren/Ersatzmethoden notwendig und als zulässig postuliert. Dazu zählen:
- Systemmodelle, meist mit Zerlegung des komplexen Gesamtsystems in Teilsysteme wie das zur Umgebungswahrnehmung, sowie Modelle für Fahrer und Fahraufgaben mit Zerlegung komplizierter Fahraufgaben in Teilaufgaben;
- analytische Verfahren zur Identifizierung von Risiken, von gravierenden Fehlern und Gefahren;
- validierte Simulationstechniken/-werkzeuge zur Erzeugung einer Vielzahl von situativen Szenarien und Identifizierung «kritischer Szenarien» für vertiefte Analysen und Testzwecke.
Wie bereits dargelegt, spielt die der FMEA ähnliche semi-quantitative Methodik zur Bestimmung der ASIL-Klassen und letztlich zum Nachweis der funktionalen Sicherheit eine grosse Rolle. Sie wird von Herstellern breit angewandt, von Behörden als Stand der Technik akzeptiert und stichprobenartig überprüft; die erzielbare Qualität/Vollständigkeit hängt von dem betriebenen Aufwand, der Datenlage und der Kompetenz der Analytiker ab. Darüber hinaus werden – mit gebührender Skepsis – andere bekannte Methoden wie die deduktive Fehlerbaumanalyse und induktive HAZOP Study eingesetzt, die nach dem Zerlegungs- und Kausalitätskettenprinzip arbeiten. Hinzu kommt STPA, die das Gesamtsystem – und nicht voneinander unabhängige Teilsysteme – modellmässig abbildet. Neben kombiniert eingesetzten analytischen Verfahren basiert der Einzelnachweis der Sicherheit der beabsichtigten Funktionalität (SOTIF) auf der Evaluation gängiger Unfallstatistiken und für AV erhobener Daten, dem «engineering judgment» und der Anwendung von Systematiken wie tabellarische Verfahren und Flussdiagramme.
Wie bereits dargelegt ist die Identifizierung und Analyse von unterstellten Verkehrssituationen (Szenarien) ein wesentliches Element der Sicherheitsnachweisführung. Von dem automatisierten Fahrsystem (ADS) wird verlangt, dass es - Schwächen und Fehler selbst erkennt und sicher darauf reagiert, - sich in den «Zustand minimalen Risikos» (etwa durch Fahren auf den Randstreifen) bringt, wenn es den vorgesehenen Einsatzbereich (ODD) verlässt oder an seine Grenzen stösst, - vorausschauendes Verhalten zeigt und sicher mit anderen Verkehrsteilnehmern interagiert und dabei Verkehrsregeln beachtet.
[EU 2022/1426, Annex III] fordert «the consideration of the most relevant scenarios for the ODD» und unter-scheidet zwischen zwei Arten von Szenarien. Für die in dem «minimum set» aufgelisteten Szenarien muss der Hersteller demonstrieren, geprüft von der Behörde, dass das «Fahrzeug innerhalb seines ODD» frei ist von unangemessenen Risiken. Zu diesen Szenarien zählen Beibehalten und Wechsel der Fahrspur, Wende-, Überquerungs- und Notfallmanöver, Vermeidung von Kollisionen mit anderen Verkehrsteilnehmern, sicheres Fahren auf Schnellstrassen samt Ein- und Ausfädelmanövern, Valet Parking etc.
Zu der zweiten Art von Szenarien gehört die Vielzahl solcher, die nicht in dem «minimum set» enthalten sind, aber Restrisiken ausmachen, mit denen das ADS behaftet ist. Für sie ist der Nachweis zu führen, dass sie im gesellschaftlichen und moralischen Kontext als tolerierbar gelten können. Bei diesen Szenarien wird unterschieden zwischen «nominal» (Elemente im ODD), «critical» (besondere Verkehrs- und Umgebungsbedingungen, Kommunikationspannen etc.) und «failure scenarios». Zu ihrer Identifizierung werden Prinzipien vorgeschlagen; bei den methodischen Ansätzen wird zwischen «datenbasiert» und «wissensbasiert» unterschieden. Für die zu verwendenden Analysemethoden gibt es lediglich allgemeine Vorgaben (induktive Methoden) und einzelne spezifische Vorschläge (STPA); für die eingesetzten «virtual toolchains» zeichnen sich Anforderungen ab wie die Darlegung des methodischen Ansatzes und der Annahmen sowie der Grenzen und Unsicherheiten. Für die Auswahl geeigneter Methoden und die Qualität der Nachweise ist letztlich der Hersteller verantwortlich; ihm wird ein grosser Ermessensspielraum zugestanden, allerdings unter Beachtung des Standes der Technik.
A 1.4.2 Sicherheitsnachweise während der Betriebsphase Da der statistische Nachweis, dass das hoch automatisierte Fahrsystem/Fahrzeug alle Sicherheitsanforderungen erfüllt, vor der Marktzulassung nicht zuverlässig erbracht werden kann, zeichnen sich für die Betriebsphase Anforderungen hinsichtlich Monitorings und Kontrolle (surveillance) ab [2022/1426, Annex II]. Voraussichtlich müssen die Fahrzeuge mit einem integrierten Speicher (Blackbox) zur Erfassung ereignisbasierter Daten ausgestattet sein. Die Hersteller sollen verpflichtet werden, gravierende Störungen und Unfallereignisse sowie Aktivierungen und Deaktivierungen des ADS zu erfassen und für fortlaufende Software-Updates und Systemverbesserungen zu nutzen; sicherheitskritische Vorkommnisse sind einer dafür vorgesehenen amtlichen Stelle sofort zu melden. Ferner sind real erlebte Szenarien und kritische Situationen mit denen zu vergleichen, die vorab untersucht worden sind und auf denen die Zulassung basierte.
Die Sicherheit ist also keine konstante Grösse, sollte sich kontinuierlich steigern lassen, kann aber aufgrund fehlerhafter Nachbesserungen zeitweise sogar abnehmen.
Für den Fall, dass das ADS Fehler aufweist, es überfordert ist, an seine Grenzen stösst, sind Massnahmen vorzusehen und zu validieren, die der Überführung des Fahrzeugs in einen Zustand «minimalen Risikos» und der Rückkehr in den Betriebszustand mit oder ohne Hilfe von aussen19 dienen.
A 1.4.3 Einschätzung der Leistungsfähigkeit benötigter Nachweismethoden
Es gibt etablierte Standards und Rahmenwerke teils mit Flussdiagrammen, die sich mit der funktionalen und operationellen Sicherheit automatisierter Fahrsysteme befassen (ADS). Die empfohlenen Methoden folgen hauptsächlich dem Prinzip der Zerlegung des Gesamtsystems und der Fahraufgaben in einzelne Elemente und dem Ansatz linearer Kausalketten ohne Rückkoppelungen.
EC JRC 2022 hält die Festlegung eines Akzeptabilitätskriteriums für nötig und machbar, bspw. basierend auf Todesfallraten pro Betriebsstunde oder Fahrstrecke. Nachweismethoden zur Ermittlung von Wahrscheinlichkeiten von Situationen (conditions), die zum Tod der Fahrerin oder des Fahrers
19 Die deutsche Regelung sieht dafür «eventbasiert» eine als Technische Aufsicht (TA) eingesetzte hoch qualifizierte Person vor, die u.a. das Verlassen des risikominimalen Zustands ermöglichen und unterstützen soll; der Schweizer Regelungsentwurf schlägt einen «Operator» vor.
(oder von Fahrzeuginsassen) und/oder anderer Verkehrsteilnehmer:innen führen können, gelten durch Kombination vorhandener Methoden und Ansätze für vor der Markteinführung als «entwickelbar», geeignete Schritte zur Ermittlung von dominierenden Szenarien werden empfohlen.
Aus Sicht der Sicherheitsanforderungen und Nachweismethoden empfiehlt sich eine Unterscheidung zwischen Erstzulassungs- und Marktdurchdringungsphase, bei zunächst sehr begrenzter empirischer und statistischer Datenlage verbunden mit erheblichen Unsicherheiten und am Ende der Entwicklungsphase verbleibendem «Potential für Überraschungen», und dann grossem Datenpool, gesteigerten Feldbeobachtungen und somit gesicherteren Nachweisen.
A 2 Prinzipien und abgeleitete Sicherheitszielgrössen der Schweiz in anderen Sektoren
Generell haben in der Schweiz Schutzzielkonzepte, die auf einer probabilistischen Risikoanalyse und Risikobeurteilung mit quantitativen Zielgrössen beruhen, ähnlich wie in den Niederlanden und Grossbritannien, eine gewisse Tradition. Im Gegensatz dazu verfolgen andere Länder wie Deutschland (zum Teil wegen eines anderen Rechtssystems) eher deterministische Konzepte20
A 2.1 Schutz der Bevölkerung und Umwelt vor schweren Schädigungen durch Störfälle
Die Störfallverordnung (StFV)21 erfasst Risiken, die von Betrieben mit chemischem oder biologischem Gefahrenpotential sowie vom Transport gefährlicher Güter oder deren Beförderung mit Rohrleitungen ausgehen. Bei der Schadensbestimmung berücksichtigt werden Fremdpersonen ausserhalb und auch innerhalb des Areals.
Das Risiko wird als Diagramm dargestellt, gebildet aus kumulierter Eintretenswahrscheinlichkeit pro Jahr (Abszisse) und Ausmass (Ordinate) einer Vielzahl von Störfallszenarien. Neben Todesopfern (manifestiert innerhalb von 30 Tagen) und Verletzten werden andere Schadensarten erfasst und zu einem Störfallwert zusammengeführt. Linien grenzen den Bereich akzeptabler und nicht-akzeptabler Risiken ab, dazwischen liegt ein Übergangsbereich.
Als Ankerpunkt zum nicht-akzeptablen Bereich dient ein Zehntel der mittleren Individual-Sterbewahrscheinlichkeit (10-3 pro Jahr), die Differenz zum akzeptablen Bereich beträgt zwei Grössenordnungen. Schäden werden stärker gewichtet, und zwar über einen Aversionskoeffizienten mit dem (politisch gesetzten) Wert 2. Dem Störfallwert 0.6 ist eine Anzahl von 100 Todesopfern zugeordnet, mit einer entsprechenden Wahrscheinlichkeit pro Jahr und Anlage von 10-7 bzw. 10-9. Diese Werte liessen sich am ehesten in Sinne eines Benchmarks nutzen.
A 2.2 Schutz der Öffentlichkeit vor Kernkraftwerksunfällen
Zielgrössen im Bereich der Kerntechnik gibt es nicht in direkter Form zulässiger Risiken, sondern über Hilfsgrössen («target values») als Genehmigungsanforderungen an Sicherheitseinrichtungen. Traditionell im Vordergrund steht die Erfüllung deterministischer Vorgaben, d.h. der Nachweis der Beherrschung des grössten anzunehmenden Unfalls (GaU), gegen den die Anlage auszulegen ist,
20 Det Norske Veritas 2010
21 Die StFV wurde als Reaktion auf die Brandkatastrophe vom Nov. 1986 in Schweizerhalle im April 1991 in Kraft gesetzt, wird periodisch neuen Gegebenheiten angepasst und durch ein modular aufgebautes Handbuch ergänzt [BAFU 2018].
ohne dass gravierende Umgebungsbelastungen zu befürchten sind. Darüber hinaus muss jetzt nachgewiesen werden, dass die Summen-Eintrittshäufigkeit von Kernschmelzunfällen (core damage frequency, CDF) unter einem bestimmten Wert liegt, z.B. 10-4 bzw. 10 -5 pro Reaktor-Jahr für Alt- bzw. Neuanlagen. Für Kernschmelzunfälle kombiniert mit frühem Versagen der Sicherheitshülle und Freisetzung grosser Mengen an radioaktiven Stoffen in die Umgebung gilt allgemein ein um eine Grössenordnung kleinerer Wert. Die Nachweise werden mit Hilfe der Methodik probabilistischer Risikoanalysen (PRA) erbracht, die Ergebnisse werden periodisch aufdatiert; sie werden darüber hinaus an Betriebs- und Unfallerfahrungen mit betriebenen Anlagen gespiegelt, die einen kumulierten Erfahrungsschatz von weltweit rund 18’000 Reaktorbetriebsjahren aufweisen.
Die Folgen schwerer, die Auslegung der Anlage überschreitender Unfälle (Super-GaU) für die Umgebung wurden im Rahmen von akademischen Studien abgeschätzt. Als Schadensmessgrössen dienen dabei die Anzahl unmittelbar und verzögert eintretender strahlungsbedingter Todesfälle und der von Schutzmassnahmen Betroffenen sowie die Höhe finanzieller Schäden; psychische Schäden werden meist nicht erfasst. Die Ergebnisse dienen der Abschätzung gesellschaftlicher kerntechnischer Unfallrisiken und deren Einordnung in die Risikolandschaft.
A 2.3 Bahntransport
Der Kursverkehr innerhalb des Bahnnetzes ist (noch) nicht automatisiert, allerdings gibt es digitalisierte Assistenzsysteme sowie Steuerungs- und Sicherungssysteme. Die Beurteilung der Sicherheit (safety) ist Teil eines Prozesspaketes (RAMS), das auch die Zuverlässigkeit, Verfügbarkeit und Wartung (maintenance) einschliesst und in einer Norm [EN 50126] spezifiziert ist. Der Sicherheitsnachweis wird als Prozess verstanden (siehe Abb. A.3).
Abb. A.3: Sicherheitsprozess gemäss EN 50126/2
Aussagen zur Sicherheit, d.h. zur Abwesenheit von unzumutbaren systemischen Risiken, beinhalten:
- Statistische Werte auf der Basis von Betriebserfahrungen (Risikoanalyse, Sicherheitszahlen);
- Angaben zum Prozessablauf (Einhalten von Vorschriften, Risikomanagementverfahren nach Verordnung (EU) 402/2013, Betriebskultur);
- Erfüllung von Akzeptabilitätskriterium (Risikoakzeptanzkategorien, s. Abb. A.4, SIL22, MEM, ALARP23, GAMAB/GAME).
Der Mortalitätsgrenzwert (Todesfälle pro Person, pro Jahr) für Bahnreisende ist mit ≤ 8.8x10-5 vorgegeben, der effektive Wert24 für die Schweizer Bahnen liegt bei ≈ 5x10-8
Abb. A.4: Risikoakzeptanzkategorien gemäss EN 50126-1
A 2.4 Luftverkehr
Die Automatisierung der Luftfahrt, bzw. der Flugzeugführung, nimmt zu, ist aber nur der Automatisierungsstufe SAE-2 vergleichbar, weil die Flugüberwachung und -kontrolle bei der Crew liegt. Unfälle sind selten und geschehen meist bei Start- oder Landung. Dementsprechend werden Unfallraten per Flug (und nicht per Reisestrecke) angegeben. Typische Werte liegen bei einem tödlichen Unfall pro 10 Millionen Flügen und scheinen akzeptiert zu sein als «unfreiwillig eingegangene» Risikoexposition.
Datenanalysen zeigen, dass die Einführung eines neuen Technologietyps die Zahl fataler Unfälle steigen lässt, die dann zurückgeht und 5 bis 10 Jahre nach der Einführungsphase den Wert der bisher eingesetzten Maschinen, des «alten» Standes der Technik, unterschreitet [Junietz et al. 2019].
Für den Umgang mit Risiken der schweizerischen Luftfahrt (primär Flughafen bezogen, alle Fachbereiche einschliessend, aus Sicht der Flugzeuginsassen) hat das Bundesamt für Zivilluftfahrt (BAZL) eine Risikomatrix entworfen, mit erwartetem Schadensausmass und zugehöriger Eintrittshäufigkeit
22 Für Anwendungen der Norm EN 50126 i.d.R. SIL4 mit Fehlertoleranz < 10-9 (exkl. fail-safe).
23 «reasonably achievable»: Als Sicherheitsnutzen für einen verhinderten Toten ist für die Gruppen «Anwohner», «Reisende im Zug» und «Mitarbeitende» jeweils ein Betrag von 6.5 Mio. CHF anzuwenden (Sicherheitspolitik Bundesamt für Verkehr, BAV)).
24 Gemäss Methode zur Beurteilung des individuellen Risikos des BAV.
als Achsen25 und einem Übergangsbereich (gelb) zwischen dem akzeptablem (grün) und inakzeptablen (rot) Risiko, in dem das ALARP-Prinzip angewendet werden darf. Die Grenzlinien berücksichtigen Risikoaversion; für Schwereklasse M (2-6 Todesfälle) beträgt bspw. die akzeptable Wahrscheinlichkeit max. 10-7, die inakzeptable 10-5, jeweils pro Bewegung am Boden/Flugstunde (siehe Abb. A.5).
Abb. A.5: Entwurf der Risikomatrix des Bundesamtes für Zivilluftfahrt (BAZL)
A 2.5 Gesellschaftlich akzeptiertes Notfall-Risiko
Einen Hinweis auf das de-facto gesellschaftlich akzeptierte Risiko in der Schweiz gibt die kürzlich erschienene Risikoanalyse «Katastrophen und Notlagen Schweiz 2020» [Bundesamt für Bevölkerungsschutz (BABS), 17.11.2021].
Sie beziffert aggregierte Schäden, so die eines schweren Kernkraftwerksunfalls auf etliche zehn Milliarden Franken bei einer Eintrittshäufigkeit von einmal in 3 Millionen Jahren; die Folgen des Absturzes eines Flugobjekts werden mit einigen Milliarden Franken bei einer Häufigkeit von einmal in 30 Jahren angegeben, die eines Gefahrgutunfalls Schiene mit knapp über eine Milliarde Franken bei einer Häufigkeit von einmal in drei Millionen Jahren. Das höchste gesellschaftliche Risiko wird in einer Strommangellage gesehen mit Schäden von mehreren hundert Milliarden Franken bei einer Häufigkeit von einmal in 30 Jahren (siehe Abb. A.6).
25 Angelehnt an die Methodik und Risikomatrix mit Übergangsbereich der Aviation Risk Management Solutions (ARMS); die European Aviation Safety Agency (EASA) hat 2022 das European Risk Classification Scheme (ECRS) erlassen zur Klassifizierung von Einzelereignissen, es enthält aber keine Aussagen über Risiken und deren Zulässigkeit.
Abb. A.6: Risikodiagramm für nicht mutwillig herbeigeführte Ereignisse
Über die SATW
Die Schweizerische Akademie der Technischen Wissenschaften SATW ist das bedeutendste Expertennetzwerk im Bereich Technikwissenschaften in der Schweiz und im Kontakt mit den höchsten Schweizer Gremien für Wissenschaft, Politik und Industrie. Das Netzwerk besteht aus gewählten Einzelmitgliedern, Mitgliedsgesellschaften sowie Expertinnen und Experten.
Die SATW identifiziert im Auftrag des Bundes industriell relevante technologische Entwicklungen und informiert Politik und Gesellschaft über deren Bedeutung und Konsequenzen. Als einzigartige Fachorganisation mit hoher Glaubwürdigkeit vermittelt sie unabhängige, objektive und gesamtheitliche Informationen über die Technik – als Grundlage für eine fundierte Meinungsbildung. Die SATW fördert auch das Technikinteresse und -verständnis in der Bevölkerung, insbesondere bei Jugendlichen. Sie ist politisch unabhängig und nicht kommerziell.