Diese Pflichten kommen auf Autohersteller zu

Europas rechtliche Rahmenbedingungen für das hochautomatisierte Fahren nehmen immer mehr Kontur an. Der jüngste Schritt betrifft die UNECE R 156, die seit Anfang Juli in der EU gilt. Die Vorschrift benennt die Voraussetzungen für Software-Updates in Fahrzeugen. Genauer: Für Software-Updates, die relevant für die Typgenehmigung sind. „Vor Inkrafttreten der R 156 waren typgenehmigungsrelevante Software-Updates gar nicht möglich“, sagt Jann Fehlauer, Geschäftsführer der Dekra Automobil. „Sollte es eine typgenehmigungsrelevante Veränderung geben, schreibt die genannte Vorschrift fest, wie sie zu erfolgen hat.“ Durch Typgenehmigungen erlangt ein OEM die Erlaubnis, ein Fahrzeug oder ein Fahrzeugsystem herzustellen und in Verkehr zu bringen.

Mit dem Aufkommen der Automatisierungsstufen Level 3 und höher werden sicherheitsrelevante Aktualisierungen und ihre zeitnahe und ordnungsgemäße Installation immer wichtiger. Erst R 156 schafft hierfür den Rahmen. Sie beschreibt die Anforderungen, die für Updates erfüllt sein müssen, wenn ein OEM sie nach Zulassung eines Fahrzeugs vornehmen will oder Software von zulassungsrelevanten Bauteilen aktualisieren will.

Was UNECE R 156 festlegt

Der Hersteller muss dafür einen Prozess etablieren, wie sich Software sicher ins Fahrzeug bringen lässt. Der Prozess verdeutlicht auch, wie ein OEM bewertet, dass die bestehende Typgenehmigung weiterhin gilt. Letzteres kann er durch die R 156 erstmals selbst übernehmen. Zuvor war so etwas Aufgabe der vom Kraftfahrtbundesamt beauftragten Prüforganisationen wie TÜV oder Dekra. Der OEM muss nun also eigenständig erkennen, ob ein Update die Typgenehmigung tangiert. Umgekehrt kann ein Hersteller aus wirtschaftlichen Erwägungen darauf verzichten, dass ein bestimmtes Steuergerät updatefähig ist.

Denn für aktualisierungsfähige Komponenten muss ein Hersteller ein funktionierendes Software-Update-Management-System aufgebaut haben. Es wird durch eine Prüforganisation auditiert und im Erfolgsfall zertifiziert. Bei der Typzulassung eines Fahrzeugs muss der Hersteller dieses Zertifikat vorlegen. Das Kraftfahrtbundesamt genehmigt dann letztlich. Alle drei Jahre ist dann ein weiteres Audit durch eine Prüforganisation vorgeschrieben, um das Zertifikat zu verlängern.

Ohne Over-the-air-Updates geht es nicht

Diese neuen Regelungen gelten unabhängig davon, ob ein Update Over-the-Air (OTA) oder per Kabel erfolgt. Durch die wachsende Bedeutung von Software im Fahrzeug werden Updates jedoch zwangsläufig häufiger werden, dies zeigt sich nicht zuletzt in der Welt der klassischen IT-Systeme. Nur so lassen sich Fehler beheben, Funktionen erweitern oder Sicherheitslücken schließen. Für die Akzeptanz der Fahrzeugbesitzer sind daher OTA-Updates unumgänglich. Schließlich will keiner ständig in die Werkstatt fahren müssen, um eine Aktualisierung einzuspielen. Laut einer Befragung der Prüforganisation Dekra und des Marktforschungsinstituts Ipsos unter 1.000 Autobesitzern im vergangenen März kann sich inzwischen knapp die Hälfte vorstellen, Updates über die Funkschnittstelle zu beziehen.

„Over-the-Air-Updates betreffen heute in der Regel einfachere Updates wie Design-Änderungen im Entertainment-System oder Navigationskarten, keine typgenehmigungsrelevanten Veränderungen wie zum Beispiel eine neu gebuchte Assistenzfunktion“, sagt Fehlauer. Das wird so aber nicht bleiben. Soll eine Funkschnittstelle für Updates genutzt werden, sieht R 156 daher weitere Regelungen vor.

Verschärfte Regeln für OTA-Updates

So dürfen zum Beispiel Aktualisierungen während der Fahrt nur eingespielt werden, wenn sie die Sicherheit nicht beeinträchtigen. Zudem muss der Fahrer vor der Aktualisierung Informationen über den Zweck, die geänderten Funktionen und sein eventuell erforderliches Mitwirken bekommen. Vom erfolgreichen Abschluss und von möglichen Änderungen im Benutzerhandbuch muss er ebenfalls erfahren.

Nicht zuletzt muss ein OEM bei einem misslungenen Update entweder den alten Zustand oder einen – ISO-definierten – sicheren Zustand herstellen können. Als sicher gälte zum Beispiel auch, wenn sich Spurhalteassistent oder adaptive Geschwindigkeitsregelung nach fehlgeschlagener Aktualisierung nicht mehr aktivieren ließen.