Sicherer Betrieb fahrerloser automatisierter Fahrzeuge

Mit dem Inkrafttreten der neuen Verordnung über das automatisierte Fahren (VAF) [1] am 1. März 2025 verfügt die Schweiz nun über eine der weltweit fortschrittlichsten landesweiten Regulierungen für automatisierte Fahrzeuge. Die VAF setzt die Revision des Strassenverkehrsgesetzes von 2023 um und schafft erstmals einen nationalen Rechtsrahmen, der automatisiertes Fahren der Stufe 3 auf Autobahnen, fahrerlose Fahrzeuge der Stufe 4 auf definierten Strecken sowie vollautomatische Parksysteme erlaubt. Sie verlangt hohe Standards bezüglich Sicherheit, Cybersicherheit, Typengenehmigung und Meldepflichten und schreibt vor, dass fahrerlose Fahrzeuge durch in der Schweiz ansässige Operatoren überwacht werden müssen. 

Da aktuelle Fahrzeuge noch nicht VAF-typgenehmigt sind, laufen alle heutigen Shuttle- und Logistikprojekte weiterhin unter der Pilotprojektregelung. Die VAF markiert damit den Übergang von Pilotversuchen hin zu einer skalierbaren regulierten automatisierten Mobilität.

Vor diesem Hintergrund konkretisiert das Forschungsprojekt «Minimum requirements for an authorisation to remotely drive automated vehicles in Switzerland» (MB4_20_02E_01) die technischen Grundlagen für sichere Fernüberwachung und Fernintervention. Das Projekt wurde von SwissMoves im Astra-Programm MB4 (Mobilität 4.0) eingereicht, im April 2023 gestartet und im Februar 2025 als Forschungsbericht [2] publiziert. Ziel war es, robuste und praxisnahe Mindestanforderungen für Systeme für den Fernbetrieb (Remote Operation Systems) zu definieren und zu validieren, um einen sicheren und zuverlässigen Betrieb fahrerloser Fahrzeuge zu ermöglichen (Bild 1).

Von den Anforderungen zur Validierung

Um eine solide Basis zu schaffen, wählte das Projektkonsortium (HEIA-FR, BFH, DTC Dynamic Test Center AG, CertX SA, Eraneos Switzerland AG und Loxo AG) einen multidisziplinären Ansatz. Aus einer anfänglichen Datenbank von rund 1000 Anforderungen an das System für den Fernbetrieb (Remote Operation System) von automatisierten Fahrzeugen wurden 247 priorisierte Mindestanforderungen destilliert. Diese wurden systematisch in drei Hauptkategorien eingeteilt: Fernbedienungsstufen-basierte Anforderungen (Remote Operation Level – ROL), die spezifische Funktionen für jede Betriebsstufe definieren, Szenario-basierte Anforderungen, die reale Herausforderungen wie Netzwerkausfälle oder Sensorfehlfunktionen adressieren, sowie 193 Anforderungen an die Cybersicherheit zum Schutz vor internen und externen Bedrohungen. Zur Gewährleistung der Praxistauglichkeit wurden diese Anforderungen durch einen mehrstufigen Prozess validiert. Dieser umfasste szenariobasierte Validierungen, experimentelle On-Site-Tests auf einer spezialisierten Teststrecke sowie Penetrationstests zur Überprüfung der Cybersicherheit.

Taxonomie, Praxistests und Latenz-Toleranz

Ein zentrales Ergebnis des Projekts ist die Entwicklung einer umfassenden Taxonomie für Fernbedienungsstufen, die sogenannten «Remote Operation Levels» (ROL) (Tabelle 1). Diese fünfstufige Klassifizierung (ROL 1 bis ROL 5) schafft eine klare Differenzierung zwischen der lokalen Fernbedienung (ROL 1), des direkten Fernfahrens über ein Netzwerk (Teleoperation, ROL 2), der Fernunterstützung (Teleassistenz, ROL 3 und 4) und der reinen Überwachung (ROL 5). Diese Klassifizierung ist entscheidend, um die Verantwortlichkeiten von Operatoren und Systemen klar zuzuordnen und situationsgerechte Eingriffe zu ermöglichen.

In praktischen Tests mit den Fahrzeugen Loxo Alpha und BFH Smartshuttle wurden kritische Aspekte untersucht. Slalomtests zeigten, dass die Manövrierfähigkeit bei niedrigen Geschwindigkeiten bis 6 km/h selbst bei statischen Netzwerk-Latenzen von bis zu 850 ms stabil bleibt (Bild 2). Dies belegt die technische Machbarkeit der Teleoperation (ROL 2) unter realen Bedingungen. 

Die Operatoren beschrieben Szenarien mit hoher Latenz zwar als anspruchsvoll, aber mit entsprechendem Training als beherrschbar. Szenarien wie die «False Positive»-Hinderniserkennung, bei der ein Fahrzeug fälschlicherweise stoppt, bestätigten ausserdem die praktische Relevanz der entwickelten Anforderungen, da solche Situationen durch Ferneingriffe effizient gelöst werden konnten.

Validierung der Cybersicherheit

Ein zentraler Pfeiler des Forschungsprojekts war die Cybersicherheit, da ein Fernlenksystem nur dann als sicher gelten kann, wenn seine Resilienz gegenüber Cyberangriffen nachgewiesen ist. Um dies zu gewährleisten, wurden 193 spezifische Cybersicherheitsanforderungen definiert, die sich an internationalen Standards wie der UN Regulation No. 155 [3], ISO/IEC 27001 und ISA/IEC 62443 orientieren.

Die Validierung dieser Anforderungen erfolgte auf zwei Ebenen: Während prozessuale Anforderungen durch organisatorische Audits gegen spezifische Normen validiert werden können, wurde zur Überprüfung der technischen Robustheit ein rigoroser Penetrationstest (Pentest) durchgeführt. Die Tests konzentrierten sich auf das Loxo-Alpha-1-Fahrzeug und die zugehörige Fernbedienungsstation (Remote Operation Station). Dabei wurde ein Bedrohungsakteur simuliert, der die externen, internen und physischen Perimeter der Systeme angriff. Im Rahmen kontrollierter Penetrationstests wurden, ausgerichtet an den Hauptrisiken, folgende Ziele verfolgt: der Versuch, die Remote-Operator-Stationen zu kompromittieren, der Versuch, die Kontrolle über ein Fahrzeug zu übernehmen sowie die Identifikation von Schwachstellen im Sicherheitsdesign. Die Methodik orientierte sich an etablierten Standards wie MITRE ATT&CK und dem Open Worldwide Application Security Project (OWASP).

Im Rahmen des Projekts wurden 80 der 193 Anforderungen mittels dieses Pentests validiert. Sie halfen, die Vollständigkeit der definierten Anforderungen zu untermauern und zeigten die Resilienz des Systems gegenüber internen und externen Bedrohungen auf. Das Projekt empfiehlt daher, regelmässige Penetrationstests als festen Bestandteil eines Cybersecurity-Risikomanagement-Prozesses zu etablieren. 

Empfehlungen für die Praxis

Die Projektergebnisse liefern eine direkte technische und methodische Grundlage zur Umsetzung der VAF. Insbesondere die Artikel 34 bis 43 der VAF, welche die Verantwortlichkeiten, Qualifikationen und technischen Bedingungen für den Betrieb fahrerloser Fahrzeuge festlegen, werden durch die definierten Anforderungen und die ROL-Taxonomie konkretisiert. Das Projekt schafft damit eine wissenschaftliche Basis für die behördliche Zulassung von Fernbedienungssystemen. 

Aus den Erkenntnissen wurden sieben zentrale Empfehlungen abgeleitet. Dazu gehören die Priorisierung der Sicherheit durch stabile Kommunikationsverbindungen und Redundanz, die kontinuierliche Weiterentwicklung von Testszenarien für komplexe urbane Umgebungen sowie die Integration neuer Technologien wie 5G zur Verbesserung der Skalierbarkeit. Besonders hervorgehoben wird auch die Notwendigkeit, strukturierte und standardisierte Schulungs- und Zertifizierungsprogramme für Operatoren zu etablieren, um sicherzustellen, dass diese auch in kritischen Situationen souverän handeln können.

Laufende Projekte 

Die in der VAF vorgesehenen Einsatzbereiche werden heute bereits in einer Reihe von Pilotprojekten praktisch erprobt. Diese Initiativen liefern wertvolle Erfahrungen für die sichere Integration fahrerloser Fahrzeuge in reale Betriebsumgebungen und geben wichtige Rückmeldungen für die neuen Genehmigungsverfahren.

In Bern untersucht das Projekt Dynamic Micro Hub von Loxo und Planzer, wie ein autonomes Transportfahrzeug die städtische Feinverteilung durch automatisierte Zwischentransporte unterstützt. Am Flughafen Zürich betreibt WeRide das erste europäische Level-4-Shuttle im realen Flughafenbetrieb und sammelt Daten zu Fernüberwachung, Funkstabilität und sicherheitsrelevanten Reaktionen. Im Furttal testen STL, SBB und der Kanton Zürich ein Verbundsystem autonomer Shuttles zur Anbindung lokaler Gemeinden an den öffentlichen Verkehr. In Arbon wird erstmals ein standardgrosses automatisiertes Linienfahrzeug unter Fernüberwachung regulär betrieben, während das Ride-Pooling-Projekt AmiGo von PostAuto in St. Gallen zeigt, wie autonome On-Demand-Fahrzeuge den ÖV ergänzen können.

Darüber hinaus untersuchen weitere Projekte zukünftige Einsatzmodelle. Im Kanton Zug wird die Machbarkeit autonomer Ride-Hailing-Dienste analysiert, während in Genf sowohl eine grössere Shuttleflotte als auch ein automatisiertes Busdepot getestet werden, das neue Möglichkeiten für Parkprozesse, Flottenorganisation und betriebliches Verkehrsmanagement aufzeigt.

Auch die Hochschulen leisten einen wichtigen Beitrag zur Weiterentwicklung dieser Technologien. An der Berner Fachhochschule (BFH) werden automatisierte Shuttles auf Basis retrofitteter Plattformen betrieben, um Software-Komponenten für den Level-4-Betrieb und Remote Operation zu erforschen und zu testen. Die Hochschule für Technik und Architektur Freiburg (HTA-FR) arbeitet zusammen mit SwissMoves an mehreren Forschungs- und Entwicklungsprojekten [4–6], unter anderem zu automatisierter Warenlogistik, landwirtschaftlichen Anwendungen sowie zur Automatisierung von Busdepots. 

Diese Projekte verdeutlichen, wie wichtig klare Prozesse, verlässliche Kommunikationsverbindungen und robuste Mechanismen für Fernintervention und Störungsmanagement sind. Das sind Themen, die im Entwurf der Astra-Weisungen eine zentrale Rolle spielen und in der Stellungnahme der SAAM als besonders relevant hervorgehoben werden.

Zusammenfassung und Perspektive

Das Forschungsprojekt MB4_20_02E_01 hat mit der Definition und Validierung von Mindestanforderungen erstmals eine technische Grundlage für den sicheren Betrieb von Systemen für den Fernbetrieb geschaffen. Es verbindet die regulatorischen Anforderungen der VAF mit einer technischen Konkretisierung, wie Verantwortlichkeiten, Qualifikationen, Sicherheitsmechanismen und Kommunikationsanforderungen wirksam umgesetzt werden können.

Die Empfehlungen des Projekts identifizieren klaren Entwicklungsbedarf: Erweiterung der Szenarien, technologische Aktualisierung, Umgang mit variablen Latenzen, Pflege der Anforderungen, Qualifikation der Operatoren und internationale Harmonisierung. Das neue Forschungsprojekt MB4_25_04B «System resilience needs with automated vehicles» mit dem Projektkonsortium HTA-FR mit SwissMoves, CertX, Loxo, Sunrise, RB-Consulting und der Hochschule Kempten knüpft direkt daran an. Es soll untersucht werden, wie Leitstellen, Fahrzeuge und Infrastruktur gegenüber Störungen resilient gestaltet werden können und wie Eskalations- und Wiederanlaufprozesse aussehen müssen. Mit der Ausschreibung MB4_25_02J «Deployment of operators to monitor and support driverless vehicles» wird die Forschung zum Fernbetrieb weitergeführt. Aufbauend auf MB4_20_02E_01 sollen im Rahmen realer Betriebsbedingungen, unter anderem im Kontext des Postauto-Pilotprojekts «AmiGo», empirisch fundierte Erkenntnisse zum Einsatz von Operatorinnen und Operatoren im skalierbaren Flottenbetrieb gewonnen werden.

Damit entsteht eine konsistente Verbindung zwischen VAF-Rahmen, den Aktivitäten von SAAM und SwissMoves sowie der technischen Umsetzung durch die MB4-Projekte. Die Schweiz stärkt dadurch ihre Rolle als internationale Referenz für verantwortungsvolle, sichere und praxiserprobte automatisierte Mobilität in der Schweiz.