Stellungnahme des DVR zu EDR und DSSAD

Beschluss vom 28.10.2020 auf der Basis der Empfehlungen des Vorstandsausschusses Fahrzeugtechnik

Beschluss

Anforderungen an zukünftige EDR-Systeme für konventionelle Fahrzeuge[1]

Auf internationaler Ebene kann der bestehende Standard CFR 49 Part 563[2] zunächst als Grundlage dienen. Dabei sollten aber mindestens folgende Erweiterungen bzw. Änderungen aufgenommen werden, um eine Verbesserung der Verkehrssicherheit durch eine exaktere Unfallforschung zu erzielen. Darüber hinaus dienen sie der Produktbeobachtungspflicht und Rechtssicherheit. Aufgrund der derzeitigen Bestimmungen in der General Safety Regulation (GSR) ist nach derzeitigem Stand eine Auswertung nicht möglich. Jedoch sind für die Verkehrssicherheit die folgenden Informationen nötig. Der DVR fordert deshalb:

  1. Speicherung der Beschleunigungswerte in Längs- und Querrichtung über einen Zeitraum von fünf Sekunden vor und, sofern technisch möglich, fünf Sekunden nach dem Ereignis (Event), das die Speicherung von Fahrdaten auslöst. Speicherung der Daten des Lenkwinkelsensors, wenn das Fahrzeug entsprechend ausgerüstet ist, über einen Zeitraum von fünf Sekunden vor dem Ereignis;
  1. Speicherung von Eingriffen[3] von Fahrerassistenzsystemen, wenn das Fahrzeug damit ausgerüstet ist, über einen Zeitraum von fünf Sekunden vor und, sofern technisch möglich, fünf Sekunden nach dem die Speicherung auslösenden Ereignis;
  1. Auslösen eines überschreibbaren Datensatzes („non-deployment event“), zum Beispiel durch eine intelligente Beschleunigungsanalyse (Ruckerkennung), zur Erhöhung der Feststellungswahrscheinlichkeit relativ leichter Anstöße gegen vulnerable Verkehrsteilnehmende, sofern technisch möglich;
  1. Speicherplatz für mindestens sechs statt heute nur drei Ereignisse (wovon ein Speicherbereich für das letzte „non-deployment event“ reserviert ist – ansonsten können „non-deployment events“ wie bisher von „deployment events“ überschrieben werden);
  1. Auslesbarkeit der gespeicherten Daten über eine standardisierte elektronische Fahrzeugschnittstelle (z.B. OBD[4]-2-Schnittstelle); Informationen, wie die Daten abgerufen und interpretiert werden können, sind Berechtigten in einem standardisierten Format (z.B. ISO 22901) zur Verfügung zu stellen;
  1. Die Funktion des Event Data Recorder (EDR) muss nachhaltig gewährleistet werden und im Rahmen der Hauptuntersuchungen überprüfbar sein. Dazu sind entsprechende Prüfmethoden zu entwickeln.

Zusätzliche Anforderungen an EDR-Systeme für automatisiert fahrende Fahrzeuge[5]

  1. Speicherung weiterer für die Fahraufgabe relevanter Datensätze für zukünftige Funktionen (z.B. C-ITS-Signale[6]) sowie Bild- und Objektdaten. Hierfür sind die notwendigen regulatorischen Rahmenbedingungen zu schaffen, beispielsweise auf Basis SAE J3197.
  1. Unfälle mit vulnerablen Verkehrsteilnehmenden müssen möglichst zuverlässig erkannt werden;
  1. Auslösen eines überschreibbaren Datensatzes durch manuelle Anforderung (manually triggered event) soll möglich sein;
  1. Die Funktion des EDR muss auch im Hinblick auf zukünftige Fahrfunktionen nachhaltig gewährleistet werden und im Rahmen der Hauptuntersuchungen überprüfbar sein. Dazu sind entsprechende Prüfmethoden zu entwickeln.
  1. Im Hinblick auf die Datenspeicherung müssen die im letzten Abschnitt genannten offenen Fragen geklärt werden.

Positionen für die Ausgestaltung eines Fahrmodusspeichers (DSSAD) für die Fahrzeugkategorien M1 und N1

Die technischen Anforderungen des Fahrmodusspeichers (Data Storage System for Automated Driving, DSSAD) werden auf internationaler Ebene in der UN/ECE-Arbeitsgruppe EDR/DSSAD der WP.29 im Zusammenhang mit der Änderung der Erarbeitung der neuen ALKS-Regelung (Spurhalteassistenten nach SAE Level 3) erarbeitet.

Die UN-Regelung steht kurz vor dem Abschluss. Die technischen Anforderungen an den DSSAD beschränken sich dabei in erster Linie auf die Ereignisse, die eine Speicherung auslösen sowie die zu speichernden Datenelemente. Dabei ist zu berücksichtigen, dass allein die Anforderungen an einen DSSAD für die hochautomatisierte Fahrfunktion „Spurhalteassistent“ bis 60 km/h festgeschrieben werden. Mithin unterliegen einige Regelungsgegenstände ausdrücklich der regionalen oder nationalen Gesetzgebung und bleiben von der künftigen UN-Regelung unberührt.

  1. Bei der Ausgestaltung künftiger nationaler bzw. europäischer Vorschriften für den DSSAD müssen die Belange der Unfallforschung berücksichtigt werden.
  1. Rechtssicherheit bei der Nutzung von Daten für die Unfallanalyse und -forschung muss gewährleistet sein.

Zu klärende, offene Fragestellungen zum EDR-System für konventionelle Fahrzeuge, zum EDR-System für automatisiert fahrende Fahrzeuge und zum DSSAD:

Um eine effektive Unfallanalyse und -forschung zu ermöglichen, fordert der DVR bei der Weiterbehandlung der Themen EDR und DSSAD die folgenden Punkte dringend zu klären:

  1. Den Zugang zu den Daten über eine standardisierte elektronische Fahrzeugschnittstelle (bspw. OBD/ OTA[7]) und den manipulationssicheren Ort der Speicherung
  1. Anforderungen an den Datenschutz und die Privatsphäre (z.B. im Zusammenhang mit Halterwechsel)
  1. Die Verfügbarkeit der Daten, ihre gesetzliche Legitimierung dieser und der Ausleseprozess
  1. Überprüfung der Funktion des DSSAD, des EDR-Systems für konventionelle Fahrzeuge und des EDR-Systems für automatisiert fahrende Fahrzeuge
  1. Die datenschutzkonforme Weitergabe der Daten zu Forschungszwecken

Erläuterung

Im Jahr 2014 hat der DVR einen Beschluss zur Einführung eines Unfalldatenspeichers (EDR = Event Data Recorder) gefasst. Die zentrale Empfehlung lautet:

Der DVR empfiehlt im Interesse einer verbesserten Unfallforschung, Unfallaufklärung und Unfallanalyse den freiwilligen Einbau von EDR, hier verstanden als Unfalldatenspeicher, der die Daten wenige Sekunden vor und nach einem Unfall speichert, in Kraftfahrzeuge.

Gemäß der am 5. Januar 2020 in Kraft getretenen Allgemeinen Sicherheitsverordnung (General Safety Regulation, GSR)[8] wird künftig für neue Personenkraftfahrzeuge, Lieferwagen, schwere Nutzfahrzeuge und Busse in der Europäischen Union, neben weiteren Sicherheitssystemen, die Ausrüstung mit einem Event Data Recorder (EDR) vorgeschrieben.[9] Die Nutzung eines EDR dient unter anderem der Aufklärung von Unfallursachen sowie der Unfallforschung und -prävention.

Zusätzlich wird mit fortschreitender Automatisierung ab Level 3 (Automatisierter Modus)[10] die Frage der Haftung nach Unfällen oder Verkehrsverstößen an Bedeutung gewinnen. Zukünftig wird zu klären sein, ob die Fahraufgabe zu einem bestimmten Zeitpunkt beim Fahrer/ bei der Fahrerin lag oder von der automatisierten Fahrfunktion ausgeführt wurde. Sowohl zur juristischen Klärung der Haftungsfrage als auch zur schnellen Behebung von denkbaren fahrzeugtechnischen Fehlfunktionen kann die Implementierung eines Fahrmodusspeichers (DSSAD = Data Storage System for Automated Driving), welcher einzelne Datensätze definierter Ereignisse erfasst, beitragen.

Mit § 63a StVG[11] legte der deutsche Gesetzgeber 2017 die Grundlage für die Speicherung von Daten aus einem Fahrmodusspeicher (DSSAD) in automatisiert fahrende Fahrzeuge fest.

Aufgrund der Dringlichkeit für weltweit einheitliche Regelungen zum automatisierten und autonomen Fahren haben Repräsentanten der UNECE WP.29 im Jahr 2019 ein Rahmendokument mit dem Titel „Framework document on automated/autonomous vehicles“[12] erstellt. Unter anderem wurden dabei für die Entwicklung zukünftiger UNECE-Regelungen bezüglich automatisierter und autonomer Fahrzeuge auch die Themen „Event Data Recorder (EDR) and Data Storage System for Automated Driving Vehicles (DSSAD)“ zur Bearbeitung festgelegt. Gegenstand der Arbeitsgruppe EDR/DSSAD ist die Definition technischer Anforderungen als inhaltliche Voraussetzung für entsprechende UN-Regelungen für

  • EDR-Systeme für konventionelle Fahrzeuge (Level 0 – 2)
  • EDR-Systeme für automatisiert fahrende Fahrzeuge (ab Level 3)
  • DSSAD für automatisiert fahrende Fahrzeuge (ab Level 3).

Die drei oben genannten Speichersysteme dienen der Aufklärung von Verantwortung und Haftung bei Unfällen und Verkehrsverstößen. Dies ist auch aus Sicht der Verkehrssicherheit relevant.
er Zweck des Fahrmodusspeichers (DSSAD) ist vornehmlich die Klärung, ob der Fahrer/die Fahrerin oder die Fahrfunktion das Fahrzeug steuerte.

Der DVR nimmt dazu Stellung.

Datenspeicherung und Verkehrssicherheit

Zur Verbesserung der Fahrzeug- und Verkehrssicherheit sind die Ergebnisse der Verkehrsunfallforschung ein wichtiges Element. Je exakter die allgemeinen Unfalldaten[13] sind, desto gründlicher lassen sich Analysen durchführen mit dem Ziel, Vorschläge zur Verbesserung der Fahrzeugtechnik, des Verhaltens von Verkehrsteilnehmenden oder der Verkehrsinfrastruktur zu unterbreiten. Bei Fahrzeugen mit automatisierten Fahrfunktionen nehmen die Ergebnisse der Unfallforschung eine weitere Bedeutung an, wenn erkannt wird, dass diese die Fahrsituation nicht sachgerecht oder optimal erfassen und steuern oder sogar mitursächlich für Unfälle waren.

Die zur Unfallanalyse notwendigen Daten können mit einem robusten, im Fahrzeug verbauten EDR unmittelbar vor, während und nach einem Unfall aufgezeichnet werden. Zu dem hierzu erforderlichen Verfahren nimmt der DVR ebenfalls Stellung.

Positionen für die Ausgestaltung eines Unfalldatenspeichers (EDR) für die Fahrzeugkategorien M1 und N1

Die Verordnung (EU) 2019/2144 legt fest, dass ab Juli 2022 zunächst für die Fahrzeugklassen M1 und N1[14] eine ereignisbezogene Datenaufzeichnung verpflichtend wird. Derzeit werden die technischen Anforderungen des EDR ebenfalls auf internationaler Ebene in der Arbeitsgruppe EDR/DSSAD der WP.29 erarbeitet. Aufgrund des knappen Zeitrahmens bis zur Fertigstellung wurden hier zunächst Anforderungen des US-Standards zum EDR aus dem Jahr 2011 (US 49 CFR 563) in das Basisdokument übernommen. Die dort geforderten Datenelemente bleiben hinter den Vorgaben der VO (EU) 2019/2144 zurück[15].

Um einen gerechten Ausgleich der Interessen - Stärkung der Verkehrs- und Rechtssicherheit durch verbesserte Unfallanalyse, -aufklärung und -forschung sowie technische Grenzen für die Implementierung - zu erzielen, setzt sich der DVR derzeit auf internationaler Ebene für eine zweistufige Einführung des EDR ein. Angesichts der Tatsache, dass neue Fahrzeuge schon ab 2022 die zurzeit diskutierten Regelungen erfüllen müssen, werden in dem verbleibenden Zeitraum nicht alle aus Sicht der Verkehrssicherheit geforderten Anforderungen umzusetzen sein. Die Anforderungen an EDR-Systeme für konventionelle Fahrzeuge stellen daher mittelfristig zu erfüllende Erwartungen dar. Für alle automatisiert fahrenden Fahrzeuge werden zusätzliche Forderungen gestellt.

 

gez.
Prof. Dr. Walter Eichendorf
Präsident

[1] Gemeint sind hier Fahrzeuge Level 0 – 2 (SAE). Level 0 = keine Automatisierung, Level 1 = Assistenzsysteme, die bei der Längs- oder Querführung unterstützen, Level 2 (Teilautomatisierung) = ein oder mehrere Fahreraisstenzsysteme, die gleichzeitig bei der Längs- und Querführung unterstützen

[2] Code of Federal Regulations; Title 49 – Transportation; Volume: 6 Date: 2019-10-01Original Date: 2019-10-01Title: PART 563 - EVENT DATA RECORDERS Context: Title 49 - Transportation. Subtitle B - Other Regulations Relating to Transportation (Continued). CHAPTER V - NATIONAL HIGHWAY TRAFFIC SAFETY ADMINISTRATION, DEPARTMENT OF TRANSPORTATION. 

[3] Eingriffe sind hier zu verstehen als der Betriebszustand und Grad der Aktivierung im zu speichernden Zeitraum

[4] On Board Diagnose

[5] Gemeint sind hier Fahrzeug ab Level 3 (SAE). Level 3 = bedingte Automatisierung mit der Erwartung, dass der Fahrer jederzeit eingreifen kann, Level 4 = hochautomatisierte Fahrzeugführung, während dieser der Fahrer nicht eingreifen muss, Level 5 = Vollautomatisierung, bei welcher alle Fahraufgaben unter jeder Fahrbahn- und Umgebungsbedingung vom System beherrscht werden, die auch ein menschlicher Fahrer ausführen würde.

[6] Co-operative Intelligent Transport Systems

[7] Automotive Over-The-Air

[8] Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates vom 27. November 2019 über die Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge im Hinblick auf ihre allgemeine Sicherheit und den Schutz der Fahrzeuginsassen und von ungeschützten Verkehrsteilnehmern.

[9] Einführungsdatum für M1, N1: 6. Juli 2022 für neue Fahrzeugtypen, 7. Juli 2024 für neue Zulassungen. Diese Stellungnahme bezieht sich nur auf Fahrzeuge der Klassen M1 und N1.

[10] Die SAE als internationaler Verband der Automobilingenieure (SAE = Society of Automtive Engineers) klassifiziert mit der Norm J3016 sechs Automatisierungsstufen für Fahrzeuge mit Systemen zum automatisierten Fahren. Diese gehen von Level 0 (keine Automatisierung) bis Level 5 (Vollautomatisierung). Level 3 beschreibt das bedingt automatisierte Fahren, bei welchem der Fahrer auf Anforderung jederzeit in der Lage sein muss, einzugreifen.

[11] (1) Kraftfahrzeuge gemäß § 1a speichern die durch ein Satellitennavigationssystem ermittelten Positions- und Zeitangaben, wenn ein Wechsel der Fahrzeugsteuerung zwischen Fahrzeugführer und dem hoch- oder vollautomatisierten System erfolgt. 2 Eine derartige Speicherung erfolgt auch, wenn der Fahrzeugführer durch das System aufgefordert wird, die Fahrzeugsteuerung zu übernehmen oder eine technische Störung des Systems auftritt.

(2) Die gemäß Absatz 1 gespeicherten Daten dürfen den nach Landesrecht für die Ahndung von Verkehrsverstößen zuständigen Behörden auf deren Verlangen übermittelt werden. 2 Die übermittelten Daten dürfen durch diese gespeichert und verwendet werden. 3 Der Umfang der Datenübermittlung ist auf das Maß zu beschränken, das für den Zweck der Feststellung des Absatzes 1 im Zusammenhang mit dem durch diese Behörden geführten Verfahren der eingeleiteten Kontrolle notwendig ist. 4Davon unberührt bleiben die allgemeinen Regelungen zur Verarbeitung personenbezogener Daten.

(3) Der Fahrzeughalter hat die Übermittlung der gemäß Absatz 1 gespeicherten Daten an Dritte zu veranlassen, wenn

  1. die Daten zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis erforderlich sind und
  2. das entsprechende Kraftfahrzeug mit automatisierter Fahrfunktion an diesem Ereignis beteiligt war. 2 Absatz 2 Satz 3 findet entsprechend Anwendung.

(4) Die gemäß Absatz 1 gespeicherten Daten sind nach sechs Monaten zu löschen, es sei denn, das Kraftfahrzeug war an einem in § 7 Absatz 1 geregelten Ereignis beteiligt; in diesem Fall sind die Daten nach drei Jahren zu löschen.

(5) Im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis können die gemäß Absatz 1 gespeicherten Daten in anonymisierter Form zu Zwecken der Unfallforschung an Dritte übermittelt werden.

[12] Vgl. UNECE Inland Transport Committee WP.29: 180th Session, Genf 10.-12. März 2020, Dokument: ECE/TRANS/WP.29/2019/34/Rev.2

[13] Unfalldaten umfassen die Daten des EDR, Zeugenaussagen sowie Ermittlungen am Unfallort

[14] Klasse M1 für die Personenbeförderung ausgelegte und gebaute Kraftfahrzeuge mit höchstens acht Sitzplätzen außer dem Fahrersitz. 
Klasse N1 für die Güterbeförderung ausgelegte und gebaute Kraftfahrzeuge mit einer zulässigen Gesamtmasse bis zu 3,5 Tonnen. 

[15] Siehe hierzu auch: VERONICA – II; Vehicle Event Recording based on Intelligent Crash Assessment; Final Report; EUROPEAN COMMISSION DIRECTORATE-GENERAL FOR ENERGY AND TRANSPORT; 06-10-09