Kurzfassung
Es war nicht leicht, klare Spielregeln für das Aufspielen neuer Softwarestände in Fahrzeugen zu finden, erklärt Experte Karsten Graef von TÜV SÜD. Er hätte künftig gerne noch mehr Informationen, um die Sicherheit zu gewährleisten.
Anfang des Jahres hat das Bundesministerium für Digitales und Verkehr (BMDV) im Verkehrsblatt 2/2023 das "Merkblatt für die Durchführung von Softwareänderungen durch Fahrzeughersteller als Inhaber der Typgenehmigung oder EU-Fahrzeug-Einzelgenehmigung" (kurz: Merkblatt Hersteller-Softwareänderungen) veröffentlicht. Der Text soll vor allem Automobilherstellern eine Orientierung geben, was im Zuge von Software-Updates zu berücksichtigen ist. Dabei spielt es keine Rolle ob die Updates in der Werkstatt oder "Over-the-Air" erfolgen.
asp: Welche Funktion erfüllt das jüngst veröffentlichte "Merkblatt Hersteller-Softwareänderungen" im Verkehrsblatt 2/2023?
Karsten Graef: In erster Linie hat das Bundesministerium für Digitales und Verkehr (BMDV) anhand von verschiedenen Kategorien erläutert, welche Möglichkeiten Automobilhersteller anhand der aktuellen Rechtslage schon haben, um an bereits in Verkehr gebrachten Fahrzeugen Veränderungen über Software-Updates vorzunehmen. Grundsätzlich wird dem Hersteller die Typgenehmigung in Europa für einen bestimmten Fahrzeugtyp mit klar definierten Eigenschaften erteilt. Das kann im Nachhinein nicht beliebig verändert werden. Nach Inverkehrbringung unterliegt das Fahrzeug aber auch den nationalen Vorschriften des Zulassungsstaats. Und hier gibt es eben keine einheitlichen Vorgaben - auch nicht in den EU-Mitgliedstaaten. Das jetzt im Verkehrsblatt veröffentlichte Merkblatt soll verdeutlichen, wie die Situation bei Software-Änderungen in Deutschland ist.
asp: Wie bindend sind diese Vorgaben?
K. Graef: Die Veröffentlichung im Verkehrsblatt spiegelt die Interpretation des BMDV zur Rechtslage wider. Die Vorschriften sind aufgrund der Trennung von Fahrzeugzulassung und Fahrzeuggenehmigung und der verwobenen nationalen und internationalen Vorschriften ziemlich komplex. Das Merkblatt gibt auf jeden Fall eine Orientierung und ist maßgebend für in Deutschland zugelassene Fahrzeuge.
asp: Wie schwer ist es, allen Interessen gerecht zu werden?
K. Graef: Hier auf einen Nenner zu kommen ist nicht so einfach. Damit man ein bestimmtes Update in einen regulatorischen Rahmen packen kann, hat man sich dafür entschieden, die Software-Änderungen in fünf verschiedene Kategorien einzuordnen, und hat diese Kategorien auch jeweils mit konkreten Beispielen unterfüttert. Angefangen von Kategorie 1, wo es beispielsweise um die Wiederherstellung der Konformität geht, die beispielsweise auch im Zuge eines Rückrufes in der Werkstatt gemacht wird, bis zu Kategorie 5, wozu eine neue Fahrzeuggenehmigung - und das auch noch im Einzelfall - notwendig ist, und Daten in der Zulassungsbescheinigung geändert werden müssen. Insgesamt ist das ein großer Schritt in die richtige Richtung, wenn man bedenkt, dass vor einigen Jahren noch die Auffassung verbreitet war, dass Software kein "Fahrzeug-Teil" im Sinne des Paragraf 19 Abs. 3 StVZO ist. Dort ist explizit vom Ein- oder Anbau von Teilen die Rede. Heute besteht Konsens, dass die Software ein wesentliches Teil des Fahrzeugs ist.
asp: Welche Vorschriften sind relevant?
K. Graef: Auf nationaler Ebene sind StVZO sowie auch FZV relevant. Auf europäischer Ebene gibt es ebenfalls Richtlinien und Verordnungen (EU-Vorschriften), die verbindliche Anwendung finden. Außerdem gibt es noch verschiedenste UN-Regelungen der Wirtschaftskommission für Europa der Vereinten Nationen (UNECE), die für die Fahrzeuggenehmigung relevant sind und jetzt im Besonderen auch für Software-Updates. Die UNECE hat beispielsweise zwei UN-Regelungen für die Themen Cyber Security und Software-Updates veröffentlicht, welche von der EU ratifiziert wurden. Im Gesamtkontext ist das sehr komplex!
asp: Hat TÜV SÜD bei der Erstellung der Regelungen mitgewirkt?
K. Graef: Ja, wir haben in der Vorbereitung zu dem Merkblatt mitgewirkt und unsere Expertise eingebracht. Am Ende oblag es natürlich dem BMDV, welche Vorschläge in das Merkblatt übernommen werden. Wir haben hier auch eng mit weiteren Prüforganisationen, den Fahrzeugherstellern und Behörden an einem gemeinsamen Vorschlag gearbeitet.
- Ausgabe 3/2023 Seite 44 (324.6 KB, PDF)
"Es ist mittlerweile Usus, dass Fahrzeuge durch Software-Updates verändert werden."
Karsten Graef, TÜV SÜD
asp: Warum ist das jetzt veröffentlichte Merkblatt wichtig für die Praxis?
K. Graef: Es gibt die Sichtweise des BMDV wieder und richtet sich im Speziellen an die Fahrzeughersteller, die solche Updates durchführen. Es ist mittlerweile Usus, dass Fahrzeuge durch Software-Updates verändert werden. Doch wie soll in den oft verschiedensten komplexen Szenarien damit umgegangen werden? Das Merkblatt unterstützt die Fahrzeughersteller, aber auch die Behörden und Prüforganisationen mit Leitlinien. Schwierig ist die praktische Umsetzung aber weiterhin, da Details nicht näher erläutert sind und das Merkblatt auch nur nationale Wirkung hat. Stellen wir uns mal einen Fahrzeughersteller aus Asien vor, der die Gesamtfahrzeug-Typgenehmigung in den Niederlanden gemacht hat und einzelne Systemgenehmigungen (z.B. Bremse und Lenkung) vielleicht noch in weiteren EU-Mitgliedstaaten, nur eben nicht in Deutschland. Woher soll dieser Fahrzeughersteller von dem Merkblatt wissen und wie sollen die Vorschläge, die zum Beispiel in der Zusammenarbeit mit der Genehmigungsbehörde genannt sind, Anwendung finden, wenn auch die betreffende Genehmigungsbehörde dieses Merkblatt gar nicht kennt? Unser Wunsch ist es daher, an der ein oder anderen Stelle noch mehr Details zu geben und vor allem auch weiter an einer internationalen Lösung zu arbeiten.
asp: Wie schwer war es, einen Konsens zu finden?
K. Graef: Es hat trotz regelmäßiger Konsultationen etwa zwei Jahre gedauert, bis wir die verschiedenen Ansichten konsolidiert hatten, Lösungswege erarbeitet und dann den ersten Entwurf für das Merkblatt parat hatten. In manchen Punkten war es tatsächlich ein Ringen um Konsens. Die Interpretationen der Rechtslage sind nicht immer deckungsgleich, am Ende aber verfolgen alle ein gemeinsames Ziel - den Rahmen zu schaffen, Softwareänderungen an bereits in Verkehr befindlichen Fahrzeugen zu ermöglichen. Die Arbeit ist auch noch nicht zu Ende, im Gegenteil. Es gilt weiterhin, sinnvolle Umsetzungen zu ermöglichen. Das Merkblatt, welches im Übrigen doch an der ein oder anderen Stelle von unseren Vorschlägen abweicht, ist dabei erst der Anfang.
asp: Wo gab es schwierige Knackpunkte?
K. Graef: Es musste geklärt werden, wie man damit umgeht, dass sich ein Fahrzeug möglicherweise über die Jahre verändert und vielleicht seitens der "Hardware" eben nicht mehr im typgenehmigten Zustand befindet, beispielsweise durch Umbauten, mangelhafte Wartung oder Sonstiges. Allein schon eine veränderte Räder-/Reifenkombination kann einen Einfluss auf Systeme haben. Im Merkblatt geht es zwar explizit um Veränderungen durch Software-Updates. Dennoch kann das nicht getrennt werden vom baulichen Zustand des Fahrzeugs und seinen Eigenschaften. Der Fahrzeughersteller weiß in der Regel nicht, ob und wie ein Fahrzeug vom Besitzer verändert wurde, und spielt dann sein Software-Update auf ein möglicherweise verändertes Fahrzeug, das gar nicht mehr die gleichen Eigenschaften hat wie im Originalzustand bei Auslieferung. Hier stellt sich auch die Frage, ob denn ein Halter, Fahrer oder vielleicht auch das Fahrzeug selbst überhaupt in der Lage ist, dies zu bewerten.
asp: Kann man das an einem konkreten Beispiel erläutern?
K. Graef: Nehmen wir an, ein Fahrzeug ist mit einem Spurhalteassistenten ausgestattet. Jetzt soll durch ein Software-Update zusätzlich eine Funktion eingeführt werden, die bei langsamen Stausituationen eine Rettungsgasse bildet. Für die Funktion, die ins Lenkverhalten eingreift, kann es durchaus relevant sein, wenn das Fahrzeug, beispielsweise durch eine andere Bereifung ein verändertes Lenkverhalten aufweist. Hier entsteht eine Unschärfe, die es zu vermeiden und vor allem vorab zu bewerten gilt. Von einer geänderten Bereifung weiß der Hersteller ja in der Regel nichts.
asp: Wie geht man mit solchen Situationen um?
K. Graef: Die Idee war dabei, bereits bei der (Typ-)Genehmigung einer solchen Softwareänderung auch schon zu bewerten und zu beschreiben, welche Änderungen einen Einfluss auf die sichere Funktion haben könnten, und diese vor Installation auf die Beschaffenheit des Fahrzeugs hin zu prüfen. Leider ist dies nicht vollständig wie von uns vorgeschlagen übernommen worden. So wie es beschrieben ist, können nur solche Softwareupdates durchgeführt werden, bei denen eine Beschaffenheitsprüfung durch das Fahrzeug selbst durchgeführt werden kann. Hier stößt man aber wieder an Grenzen. Wenn das nicht möglich ist, soll nun der Halter vor einem Software-Update aktiv bestätigen, dass sich das Fahrzeug noch im Originalzustand befindet. Das Problem dabei: Der Fahrer ist nicht unbedingt gleich der Halter und kann der Fahrer die Situation überhaupt richtig einschätzen, wenn das technische Verständnis fehlt?
asp: Kann eine Leistungssteigerung per Software-Update problematisch sein?
K. Graef: Folgender Fall ist vorstellbar: Das Fahrzeug hat laut Typgenehmigung eine Leistung von 150 kW und eine Höchstgeschwindigkeit von 200 km/h. Nun wird das Fahrzeug aber in einer geringeren Leistungsstufe bestellt, beispielsweise mit 120 kW Leistung und einer Höchstgeschwindigkeit von 150 km/h. Nun reicht es ja, wenn der Halter auch nur Reifen montieren lässt, die bis 150 km/h zugelassen sind. Wenn dann irgendwann per Software-Update - zum Beispiel bei einem Halterwechsel oder auch nur begrenzt für ein Wochenende - eine Leistungssteigerung und Erhöhung der Höchstgeschwindigkeit ermöglicht werden soll, wäre diese Bereifung plötzlich nicht mehr ausreichend. Weiß denn der Fahrer, ob seine Reifen überhaupt für diese Geschwindigkeiten ausgelegt sind? Was, wenn es nicht nur die Reifen betrifft, sondern vielleicht auch die Ausführung der Bremsscheiben?
asp: Wie ist das gelöst?
K. Graef: In diesem speziellen Fall bedeutet es, dass Updates mit Leistungssteigerung nur möglich sind, wenn eine Einzelabnahme erfolgt ist oder wenn ohnehin in den Papieren die bauartbedingte Höchstgeschwindigkeit von den 200 km/h und die höhere Leistung hinterlegt sind. Dann müssen sowieso Reifen montiert werden, die den Fahrzeugdokumenten entsprechen. Wenn in den Dokumenten nur 150 km/h steht, aber dann die Leistung und auch die Höchstgeschwindigkeit erhöht wird, erlischt die Betriebserlaubnis des Fahrzeuges. Es benötigt also eine unverzügliche Begutachtung nach Paragraf 21 StVZO, die Genehmigung im Einzelfall bei der Behörde und die Neuausstellung der Fahrzeugdokumente (Einzelgenehmigung + Änderung der Fahrzeugdokumente). Es ist daher zu erwarten, dass Fahrzeughersteller solche Änderungen gar nicht anbieten werden, wenn sie für den Halter zu komplex werden. Uns ist heute nur ein Fall bekannt in dem genau dieses Verfahren notwendig ist, das ist eine Leistungssteigerung des Polestar 2, welche direkt über den Fahrzeughersteller angeboten wird.
asp: Kann der aktuelle Softwarestand im Rahmen der HU geprüft werden?
K. Graef: Ja und nein. Ja, weil wir grundsätzlich Möglichkeiten bei der Hauptuntersuchung haben, Software zu prüfen. Teilweise wird das auch schon praktiziert: Unter anderem wurde im Rahmen der HU überprüft, ob die vorgeschriebene Softwareänderung nach dem Dieselskandal tatsächlich bei den betreffenden Fahrzeugen durchgeführt wurde. Nein, weil nicht immer alle notwendigen Daten und Informationen zur Verfügung stehen, die dafür notwendig wären. Nehmen wir das Beispiel "Functions-on-Demand". Aktuell wird daran gearbeitet, wie wir im Rahmen der Hauptuntersuchung solche zeitweise oder dauerhaft vom Hersteller freigeschalteten Funktionen überprüfen können. Es muss dabei auch geklärt werden, bei welchen Funktionen das denn allein auf elektronischem Wege möglich ist oder ob es sogar eine Funktionsprüfung geben muss. Sicher wird man nicht das gesamte Spektrum an denkbaren Funktionen in einer Funktionsprüfung abdecken können. Nehmen wir als Beispiel einen Abstandsregeltempomat bis 210 km/h. Diesen werden wir nicht bei jeder Hauptuntersuchung auf korrekte Funktion im Hinblick auf alle Parameter prüfen können, keiner hat mal eben eine Teststrecke vor der Prüfstelle, die das ermöglicht, und es würde auch vom Sinn und Zweck der Hauptuntersuchung abweichen. Aber wir könnten überprüfen, ob die Grundvoraussetzungen noch gegeben sind, um hier am Thema Software zu bleiben - ist der korrekte Softwarestand installiert und sind die Systeme kalibriert? Insgesamt nehmen die "Software" und Fahrzeugdaten im Rahmen der HU einen immer größeren Stellenwert ein. Um den ureigenen Zweck der Hauptuntersuchung - einen Beitrag zur Verkehrssicherheit und zum Umweltschutz zu leisten - aufrechtzuerhalten, benötigen wir vertiefte Informationen und Zugänge zum Fahrzeug. Einen Softwarestand auf Aktualität zu überprüfen ist dabei nur ein kleiner Schritt.