Mehr Vertrauen in automatisierte Systeme schaffen

Kennen Sie eCall? Ehrlich gesagt, ich kannte eCall bisher nicht. Allerdings bin ich auch ein echter Automuffel, bei dem sich Interesse an allem, was unter der Haube respektive Blech werkelt, arg in Grenzen hält. Ein Blick auf die Website von Deutschlands größtem Automobilclub löst jedoch das Rätsel: eCall ist ein Notrufsystem für Automobile. Alle Neufahrzeuge in Europa müssen seit 2018 damit ausgerüstet sein.

Der Notrufdienst funktioniert europaweit gleich: eCall nutzt Mobilfunk und Satellitenortung, um nach einem Unfall aus dem Auto heraus – automatisch oder manuell – eine Telefonverbindung zur einheitlichen Rufnummer 112 der nächstgelegenen Rettungsleitstelle aufzubauen. Zusätzlich zur Sprachverbindung überträgt das im Fahrzeug montierte eCall-System Informationen zum Unfallort, zur Art der Auslösung und zum Fahrzeug.

eCall setzt bei schweren Unfällen Notruf ab

Bei einem schweren Autounfall, bei dem die Airbags auslösen, schickt das System automatisch den Notruf ab. Bei leichten Parkremplern passiert dagegen nichts. Das Notrufsystem kann aber auch bei einem dringenden medizinischen Problem manuell ausgelöst werden – etwa dann, wenn ein Fahrzeuginsasse eine Herzattacke hat, die schnell Hilfe durch einen Notarzt erfordert.

eCall benötigt Empfänger für GPS- und Galileo-Ortungsdaten, eine Mobilfunkantenne, ein Steuergerät mit fest verbauter SIM-Karte, eine Verbindung zum Airbag-Steuergerät und eine Freisprechanlage. Idealerweise verfügt das System auch über eine Pannenruf-Taste, damit bei rein technischen Defekten nicht die 112-Zentralen belastet werden.

Aber welche Daten werden von eCall übermittelt? Wird ein Notruf automatisch oder manuell abgesetzt, gehen laut ADAC folgende Daten an die Rettungsleitstelle:

• Zeitpunkt des Unfalls,
• Auslöseart: manuell oder automatisch,
• die 17-stellige Fahrzeugidentifizierungsnummer (FIN),
• Antriebsart (z. B. Benzin, Diesel, Gas, Elektro) und Fahrzeugklasse,
• Fahrzeugposition,
• die letzten zwei Fahrzeugpositionen (Längen- und Breitengradunterschiede in Bezug zur aktuellen Fahrzeugposition),
• Fahrtrichtung des Autos,
• Anzahl der Insassen (sofern die Sicherheitsgurte angelegt wurden) und
• optionale Zusatzdaten (nicht festgelegt; können beispielsweise eine IP-Adresse enthalten, unter der weitere relevante Daten oder Funktionen abrufbar sind.

Unter Datenschutzaspekten wird eCall als unbedenklich angesehen. Schließlich sendet das Notrufsystem nur unmittelbar nach einem Unfall die obigen Daten an die Rettungsleitstelle und nicht an den Fahrzeughersteller – es sei denn, der Autobesitzer hätte es bewusst anders „konfiguriert“.. Zudem zeichnet eCall keine Daten im Auto auf.

Mehr Datenschutz oder mehr Service?

Anders sieht die Sache bei einem Connected-System aus. Alle Steuergeräte im Fahrzeug generieren weitere Datensignale, die ebenfalls via Telematik an einen Empfänger übertragen werden können. Bei einem Mittelklassefahrzeug sind das schätzungsweise 7000 verschiedene Datenpunkte, die permanent Fahrdaten, Zustände von Betriebsstoffen und einzelnen Komponenten, aber auch Umgebungsdaten des Fahrzeugs senden (Position, Wegstrecke, gefahrene Geschwindigkeit).

Die Kommunikation funktioniert birektional. Das heißt, die im Fahrzeug verbauten Systeme können auch Daten von außen empfangen und verarbeiten – beispielsweise für temporäre Karten-Updates des Navigationssystems oder das digitale Reparaturangebot für einen sich ankündigenden Schadens. Der vorausschauende Wartungshinweis poppt direkt auf dem zentralen Fahrzeugdisplay auf – und lenkt den Kunden direkt in eine Werkstätte des Herstellers.

Mehr Datenschutz oder mehr Service? Diese grundsätzliche Frage stellt sich zunehmend für den Automobilisten. Hat ein anderer Fahrer das Auto genutzt, heißt es vielfach: Sitz und Spiegel wieder passend einstellen, die eigene Lieblingsmusik heraussuchen, die persönlichen Lieblingsorte im Navigationssystem eintragen und ähnliches – erst dann kann es losgehen. Zwar ist es möglich und komfortabel, solche Angaben abzuspeichern, sodass automatisch alle Einstellungen passen, doch scheuen sich viele, dies aus Gründen des Datenschutzes auch zu tun.

Noch heikler wird die Angelegenheit, wenn das Auto auch medizinische Daten erfasst, etwa den Blutzuckerspiegel oder die Herzfrequenz, um im Bedarfsfall eine entsprechende Warnung an den Fahrer auszugeben oder Hilfe zu holen. Denn für den Nutzer ist bisher kaum nachzuvollziehen, ob die Daten im Auto verbleiben oder in einer Cloud verarbeitet werden.

Framework IND²UCE will Datensouveränität sichern

Unter dem Namen „IND²UCE“ (Produktname: MYDATA Control Technologies) entwickeln Forscherinnen und Forscher des Fraunhofer-Instituts für Experimentelles Software Engineering IESE im Rahmen des Projekts SECREDAS deshalb ein Framework, über das sich die Nutzung aller persönlichen Einstellungen je nach Situation und Belieben einschränken lässt und Ende 2020 fertig sein soll.

Man möchte die WhatsApp-Nachrichten gerne auf dem Display des Autos angezeigt bekommen – es sei denn, man ist nicht alleine im Auto? Im Mietauto sollen die gleichen Kontakte und Playlists angezeigt werden wie im eigenen Fahrzeug und Sitz, Lenkrad und Spiegel direkt passend eingestellt sein? Die Gesundheitsdaten, etwa die Messung der Herzfrequenz, sollen im Auto verbleiben und nicht an eine Cloud geschickt werden – es sei denn, es ist dringende Hilfe geboten, die dann automatisch herbeigerufen werden soll, etwa nach einem Unfall?

Solche Dinge soll der Nutzer künftig über eine App selbst einstellen können, und diese Privacy-Vorgaben werden per Smartphone in jedes Fahrzeug übertragen, das der Anwender gerade nutzt, egal ob Dienstwagen, Mietfahrzeug oder Privatwagen. Die erforderlichen Framework-Komponenten werden dazu ins Auto integriert. Eine Anfrage – beispielsweise, ob die Daten über die Herzfrequenz des Nutzers an die Cloud gesendet werden dürfen – läuft zunächst über den „Policy Decision Point PDP“. Dieser prüft, ob sie zulässig ist. Falls ja, sendet der PDP eine Freigabe an das „Enforcement“ oder aber gibt diesem die Information, welche Daten vor dem Verschicken zu löschen oder zu anonymisieren sind.

Klassische Algorithmen überwachen neuronale Netze

Noch mehr Überzeugungsarbeit ist zu leisten, wenn es um Technologien wie selbstfahrende Autos geht. Lebendigen Fahrern traut man üblicherweise bessere Entscheidungen im Straßenverkehr zu als einer Software. Um das Vertrauen in vernetzte automatisierte Systeme in Mobilität und Medizin zu stärken – sei es in puncto Sicherheit oder Datenschutz -, hat sich das Konsortium des Projekts „Product security for cross do-main reliable dependable automated systems SECREDAS“ zum Ziel gesetzt. Insgesamt 69 Partner aus 16 europäischen Ländern beteiligen sich an dem Projekt, darunter auch das Fraunhofer IESE.

Bei autonom fahrenden Autos spielen neuronale Netze bei der Steuerung und Situationserkennung eine immer größere Rolle. Ist die Ampel rot? Kreuzt ein anderes Fahrzeug den geplanten Fahrweg? Die Schwierigkeit besteht darin, dass sich die Art und Weise, in der die neuronalen Netze ihre Entscheidungen treffen, nicht bis ins Detail nachvollziehen lässt.

„Wir entwickeln daher einen Safety Supervisor, der die Entscheidungen des neuronalen Netzes live überwacht, sodass auf Basis dieser Bewertungen notfalls regulierend eingegriffen werden kann“, erläutert Mohammed Naveed Akram, Wissenschaftler am Fraunhofer IESE. „Dieser Supervisor basiert auf Algorithmen, die sich klassische Ansätze zunutze machen. Über diese erfassen wir nicht die Gesamtsituation wie die neuronalen Netze, sondern kritische Eckpunkte. Im Rahmen des SECREDAS-Projekts beschäftigen wir uns vor allem mit der Frage nach geeigneten Metriken; die Einleitung geeigneter Gegenmaßnahmen zur Kontrolle des Risikos ist Gegenstand weiterführender Arbeiten.“

Ein konkretes Beispiel

Wie das genau vonstattengeht, lässt sich am besten an einem Beispiel erklären, etwa an einer Kreuzung. Das neuronale Netz ist darauf ausgelegt, die Gesamtsituation zu erfassen: Welche Vorfahrtregeln gelten, ist die Ampel rot oder grün, befinden sich Fußgänger innerhalb des Gefahrenbereichs, kreuzen andere Autos den geplanten zukünftigen Fahrweg? Dies können die Algorithmen des Safety Supervisors zwar nicht, doch setzen sie stattdessen auf bestimmte Metriken.

Solche wären beispielsweise die „General-time-to-collision (GTTC)“, also die Zeit bis zu einem Zusammenprall unter Berücksichtigung der voraussichtlichen Trajektorie oder die „Worst Case Impact Speed“-Metrik zur Beurteilung der Schadensschwere auf Basis der voraussichtlichen Kollisionsgeschwindigkeit. Steuert das Auto nun auf einen anderen Verkehrsteilnehmer zu, der dem neuronalen Netz entgangen sein sollte, erkennen die Algorithmen des Safety Supervisors, dass der Abstand zu den anderen Verkehrsteilnehmern in gefährlichem Maße schrumpft.

Sie können dann das Kommando übernehmen und bremsen das Auto ab, falls die autonome Steuerung versagt. In einer Simulation haben die Forscherinnen und Forscher die Tauglichkeit dieser Metriken für verschiedene Gefahrensituationen evaluiert. Das Ergebnis kann sich sehen lassen. „Der Ansatz, die neuronalen Netze über klassische Ansätze jederzeit und live zu überprüfen, kann zusammen mit einem dynamischen Risikomanagement die Sicherheit deutlich erhöhen“, fasst Fraunhofer-Wissenschaftler Akram zusammen.

Autor: Jürgen Schreier

(c)2020
Vogel Communications Group