Zertifizierung • Schiffsbesatzung

Zertifizierung autonomer Fahrzeuge unter deutscher Flagge

Autonome Fahrzeuge können derzeit auf Einzelfallbasis zugelassen werden. Als Rechtsgrundlage hierfür dient § 7 der Schiffssicherheitsverordnung (SchSV). So sollen Stakeholder einen Rahmen für das Erproben und den Betrieb autonomer Fahrzeuge und autonomer Systeme unter deutscher Flagge erhalten.

Für autonome Fahrzeuge gelten zunächst dieselben Vorgaben und Regelungen wie für vergleichbare konventionelle Schiffe (SchSV etc.). Dies betrifft alle Regeln, die sich auch auf Fahrzeuge ohne oder mit reduzierter Besatzung an Bord sinn- und zweckgemäß anwenden lassen.
Die Anlage 1a der SchSV  regelt Anforderungen für verschiedene Fahrzeugtypen, unter anderem Frachtschiffe einschließlich Kleinfahrzeugen und Fahrgastschiffen. Dies umfasst die Bereiche Schiffsausrüstung, Schiffszeugnisse, erforderliche Sicherheitsüberprüfungen (Schiffsbesichtigungen) sowie weitere technische Details.

Die DS berücksichtigt zusätzlich die Besonderheiten des autonomen und/oder ferngesteuerten Betriebs. Das autonome Fahrzeug muss ein vergleichbares Sicherheitsniveau erfüllen wie konventionelle Schiffe. Die DS betrachtet insbesondere das Betriebskonzept (Concept of Operations - ConOps) des autonomen Fahrzeugs im Einzelfall.

Das Bundesministerium für Verkehr (BMV) erarbeitet derzeit zusammen mit den zuständigen Behörden einen neuen Teil der Anlage 1a zur SchSV. Dieser wird technische Regeln spezifisch für autonome Fahrzeuge enthalten; im Einzelnen für:

  1. autonome Fahrzeuge, die die Bundesflagge führen und als Fahrgastschiffe oder Frachtschiffe in der Inlandfahrt eingesetzt werden,
  2. autonome Fahrzeuge, die die Bundesflagge führen und als Fahrgastschiffe oder Frachtschiffe in der Auslandsfahrt eingesetzt werden, sofern sie nicht in den Anwendungsbereich des MASS-Codes der IMO fallen und
  3. Fernsteuerzentralen, die für die Fernsteuerung der in Nr. 1 und 2 genannten Fahrzeuge eingesetzt werden.

Unabhängig von der Art des autonomen Fahrzeugs müssen Sie für einen Antrag (im Rahmen von Einzelfallprüfungen der zuständigen Behörden) stets die folgenden Angaben und Dokumente bereitstellen:

  • Name und Anschrift des Antragstellers (Eigentümer bzw. Betreiber des Fahrzeugs),
  • Kontaktperson im Inland, 
  • Fahrtgebiet, Arbeits- oder Testgebiet und Route (einschließlich Abstand zur Küste),
  • Daten und technische Spezifikationen des autonomen Fahrzeugs,
  • falls einschlägig: Daten und technische Spezifikationen der Fernsteuerzentrale,
  • falls vorhanden: Grundlagen zum Inverkehrbringen des Fahrzeugs; beispielsweise Klassenzertifikat oder CE-Konformitätsbescheinigung (eine CE-Zertifizierung wird allerdings ausdrücklich nicht empfohlen),
  • Nachweis der Zulassung der Schiffsausrüstung in den Bereichen Brandschutz, Rettungsmittel, MARPOL sowie der Navigations- und Kommunikationsausrüstung gemäß MED bzw. nationaler Zulassung durch die DS oder das BSH; bei autonomen maritimen Systemen, für die noch keine harmonisierten Anforderungen existieren: Angaben zum Stand des Zulassungsverfahrens und
  • (Vorläufiges) Betriebskonzept (ConOps): Beschreibung der vorgesehenen Betriebsarten (einschließlich Angaben zu Steuerung und Kontrolle) des Einsatzbereichs und des Betriebsbereichs. Wenn möglich sollte das ConOps bereits vor Einreichen der Unterlagen von einer anerkannten Klassifikationsgesellschaft geprüft werden, mit der ein Auftragsverhältnis zwischen DS und BSH besteht (anerkannte Organisation).

Sofern sie nicht bereits Bestandteil des ConOps sind, sollen die folgenden weitere Unterlagen von einer anerkannte Organisation vorgeprüft und bei der DS eingereicht werden:

  • eine Risikoanalyse und -bewertung ("Risk Assessment"),
  • eine Fehlermöglichkeits- und Einflussanalyse (FMEA),
  • sofern nicht im ConOps enthalten: eine Definition der Einsatzmöglichkeiten und Beschränkungen (operational envelope – OE) und
  • eine Beschreibung des Betriebsbereichs (operational design domain ODD).

Wenn Sie einen Antrag stellen möchten, nehmen Sie bitte frühzeitig Kontakt mit dem BSH und der DS auf. So lässt sich klären, für welche Bordsysteme eine gesonderte Zulassung erforderlich ist. Das gilt insbesondere für autonome maritime Navigations-, Sensorik- und Entscheidungssysteme. Darüber hinaus ist das Einbeziehen einer anerkannte Organisation von Vorteil.

Die DS wird im Zuge des Zulassungsverfahrens Besichtigungen an Bord des Fahrzeugs und in der Fernsteuerzentrale durchführen.

(nach oben)

Technische Anforderungen an Fernsteuerzentralen

Die Anforderungen an Fernsteuerzentralen dienen insbesondere dazu, ein umfassendes Situationsbewusstsein („situational awareness“) sowie eine sichere Navigation und Überwachung autonomer Fahrzeuge zu gewährleisten:

  • Sämtliche Navigations-, Überwachungs- und Kommunikationssysteme müssen für das Fernsteuerpersonal akustisch und visuell wahrnehmbar sein und eine zuverlässige Identifikation anderer Fahrzeuge, Hindernisse sowie von Personen im oder auf dem Wasser ermöglichen.
  • Kritische Systeme und Bewegungen des Fahrzeugs müssen fortlaufend überwacht sowie Alarme eindeutig und unter sämtlichen Betriebsbedingungen wahrnehmbar ausgegeben werden.
  • Fernsteuerzentralen und Fahrzeuge müssen mit einer Notstromversorgung ausgestattet werden, die entweder den Betrieb kritischer Systeme für mindestens drei Stunden sicherstellt oder das Fahrzeug in einen sicheren Zustand bzw. eine definierte Rückfallebene versetzen kann. 
  • Ergänzend müssen geeignete Notfallkonzepte vorgehalten werden.
  • Für den Ausfall einer Fernsteuerzentrale muss ein Backup-System vorgehalten werden, das wesentliche Kamera-, Sensor- und Betriebsdaten sowie andere relevante Informationen für den sicheren Betrieb replizieren kann und regelmäßig getestet sowie aktualisiert wird.
  • Fällt die Verbindung zwischen Fahrzeug und Fernsteuerzentrale aus, muss das Fahrzeug in einen sicheren Zustand versetzt und dort gehalten werden, bis die Verbindung zur Haupt- oder Backup-Fernsteuerzentrale wiederhergestellt wurde.

Arbeitsplätze in Fernsteuerzentralen müssen folgendermaßen gestaltet sein: 

  • Fernsteuerpersonal muss jederzeit über ein umfassendes Situationsbewusstsein ("situational awareness") verfügen und sicher in den Schiffsbetrieb eingreifen können. Insbesondere müssen sämtliche relevanten Alarm-, Kamera- und Sensordaten visuell und akustisch wahrnehmbar sein; das Fahrzeug und dessen Umgebung muss umfassend überwacht werden können. Kurs-, Geschwindigkeits-, Positions-, Kamera- und Sensordaten müssen dabei so dargestellt werden, dass sie (einem unmittelbaren Betrieb an Bord vergleichbar) aktuell und detailgenau sind.
  • Einzelne Ausfälle von Verbindungen, Prozessoren oder Anzeigeeinheiten dürfen nicht zu unsicheren oder irreführenden Informationen führen. Bedienelemente kritischer Systeme müssen gegen unbeabsichtigtes Betätigen gesichert sein, zugleich jedoch eine schnelles Bedienen in Notfällen ermöglichen.

Der Schiffseigner bzw. der Betreiber muss im Rahmen einer praktischen Erprobung nachweisen, dass das autonome Fahrzeug Befehle der Fernsteuerzentrale unter sämtlichen vorgesehenen Betriebs-, Wetter- und Entfernungsbedingungen zuverlässig empfängt und sicher ausführt. Hierfür müssen insbesondere gewährleistet sein: eine stabile Kommunikationsverbindung, ausreichende Datenbandbreite, geringe Latenzzeiten sowie ein Schutz vor elektromagnetischen Störungen. Alarm-, Notfall- und Steuerungsdaten müssen korrekt übertragen, priorisiert verarbeitet und fortlaufend überwacht werden.

Zudem müssen sämtliche zwischen Fahrzeug und Fernsteuerzentrale übertragenen Daten validiert werden, um deren Integrität und richtige Reihenfolge sowie das fehlerfreie Verarbeiten von Befehlen sicherzustellen. Kritische Systeme müssen aus der Ferne wiederhergestellt werden können.

Das Fahrzeug muss auch sicher steuerbar und manövrierfähig bleiben

  • bei einer Übergabe der Kontrolle/Überwachung von einem Arbeitsplatz zu einem anderen bzw. von einer Fernsteuerzentrale zu einer anderen sowie
  • bei einer erhöhten Datenlatenz oder einem Wechsel des Datenübertragungskanals.

Befehls- und Kontrollfunktionen dürfen dabei jeweils nur einem verantwortlichen Arbeitsplatz zugeordnet sein. Übergaben von Steuerungs- und Kontrollfunktionen sowie Wachwechsel müssen nach einem festen Prozedere und unter adäquater Informationsweitergabe erfolgen und dokumentiert werden. 

(nach oben)

Technische Anforderungen an das autonome Fahrzeug

Können Ausfälle kritischer Systeme oder Kapazitäten nicht innerhalb der in der Risikobewertung festgelegten Fristen behoben werden, muss das Fahrzeug in einen sicheren Zustand (Fallback State) versetzt werden, der den vorgesehenen Betriebsbedingungen entspricht. Hierzu können insbesondere gehören: das Reduzieren der Geschwindigkeit, das Abschalten nicht wesentlicher Systeme, das Aktivieren von Positionierungssystemen oder die Ausgabe akustischer und optischer Warnsignale .

Jedes Unterbrechen der Verbindung zwischen Fernsteuerzentrale und Fahrzeug muss dokumentiert werden; insbesondere: Dauer, Wiederherstellen der Verbindung, angewandte Wiederherstellungsmaßnahmen sowie eingeleitete Notfallmaßnahmen.

Verliert ein Fahrzeug die Verbindung zur Fernsteuerzentrale, muss es zudem akustische und visuelle Signale ausgeben, um andere Verkehrsteilnehmende darauf hinzuweisen, dass das Fahrzeug möglicherweise manövrierunfähig ist.

Der Eigentümer bzw. der Betreiber des Fahrzeugs muss sicherstellen, dass das Fahrzeug unverzüglich geborgen wird, sofern die Steuerbarkeit nicht in angemessener Zeit wiederhergestellt werden kann.

(Teil-) autonome Fahrzeuge müssen über Notfallsysteme verfügen, die bei einem Verlust der Verbindung zur Fernsteuerzentrale das Fahrzeug automatisch in einen sicheren Zustand versetzen:

  • Diese Systeme müssen an eine primäre sowie eine sekundäre Stromversorgung angeschlossen werden und nach Beheben des Notfalls wieder deaktivierbar sein.
  • Arbeitsplätze in der Fernsteuerzentrale müssen über Einrichtungen verfügen, mit denen die Kraftstoff- oder Energiezufuhr zu den Antriebssystemen des Fahrzeugs im Notfall schnell abgeschaltet und wiederhergestellt werden kann.
  • Die entsprechenden Bedienelemente müssen gegen unbeabsichtigtes Betätigen gesichert werden, zugleich jedoch für Notfälle schnell zugänglich sein.
  • Es muss jederzeit erkennbar sein, ob ein Abschalten aktiviert wurde.

Unbemannte Fahrzeuge müssen so ausgelegt sein, dass sie vorgesehene Fahrten oder Teilstrecken ohne routinemäßige Wartungsmaßnahmen an den autonomen Systemen durchführen können. Für kritische Systeme muss ein geeignetes Überwachungs- und Wartungskonzept vorgehalten werden. Das Wartungspersonal muss im Hinblick auf die besonderen Risiken bei Betrieb und Instandhalten unbemannter Fahrzeuge entsprechend geschult werden. Wartungsarbeiten während der Fahrt sind nur im Einzelfall und mit Genehmigung zulässig; insbesondere wenn geeignete Sicherheitsmaßnahmen wie der Einsatz eines Begleitschiffes gewährleistet sind.

Konkrete Anforderungen an Bau- und Ausrüstung

Konkrete einzelne Anforderungen an Bau- und Ausrüstung der Fahrzeuge ergeben sich aus den allgemeinen technischen Regeln der Anlage 1a zur SchSV für den jeweiligen Fahrzeugtyp sowie aus speziellen Anforderungen für den autonomen Betrieb, die noch entwickelt werden müssen. Inwieweit von den bestehenden Vorschriften abgewichen wird, hängt von dem jeweiligen Einsatzkonzept ab und insbesondere auch davon, ob Menschen an Bord sind.

Grundsätze

Für autonome Fahrzeuge sowie die zugehörigen Fernsteuerzentralen muss ein dokumentiertes Sicherheitsmanagementsystem entsprechend dem ISM-Code vorgehalten werden. Sofern Fahrzeug und Fernsteuerzentrale von unterschiedlichen Betreibern geführt werden, sind die jeweiligen Sicherheitsmanagementsysteme aufeinander abzustimmen. Sämtliche sicherheitsrelevanten Unterlagen müssen an den jeweiligen Kontrollpositionen verfügbar sein.

Cybersicherheit

Für unbemannte Fahrzeuge müssen angemessene Cybersicherheitsmaßnahmen vorgesehen werden, um sichere Kommunikationsverbindungen zwischen Fahrzeug und Fernsteuerzentrale zu gewährleisten sowie Cyberangriffe und sonstige Cybervorfälle zu verhindern. Hierzu müssen Eigner bzw. Betreiber insbesondere Verfahren zum Autorisieren von Verbindungen, zum Wiederherstellen von Systemen nach Cyberangriffen, zum Herstellen eines sicheren Betriebszustands sowie Notfallpläne für den Ausfall kritischer Systeme entwickeln.

Kritische Ausrüstung

Der Eigner bzw. der Betreiber muss die kritischen Systeme des Fahrzeugs identifizieren sowie geeignete Maßnahmen und Redundanzen für deren Ausfall festlegen:

  • Antriebs- und Steuerungssysteme müssen so ausgelegt sein, dass unter allen zu erwartenden Betriebsbedingungen eine sichere Steuerbarkeit und Mindestmanövrierfähigkeit gewährleistet bleibt.
  • Kritische Systeme müssen über eine Primär- und Notstromversorgung verfügen, deren Funktionsfähigkeit durch regelmäßige Test- und Wartungsprogramme sichergestellt werden muss. Die Notstromversorgung muss eine Funktionsfähigkeit für mindestens drei Stunden sicherstellen.
  • Für sämtliche programmierbaren elektronischen Systeme und Softwareanwendungen von Fahrzeugen und Fernsteuerzentralen müssen geeignete Versionskontrollen implementiert werden. Zugriffsrechte müssen abgestuft nach Funktion und Qualifikation vergeben werden. Daten, Software und Hardware müssen vor unbefugtem oder unbeabsichtigtem Verändern geschützt werden.

Im ConOps müssen kritische Ausrüstung definiert und bei einem Ausfall dieser Ausrüstung zu treffende Maßnahmen bzw. Redundanzen beschrieben werden.

Unabhängig von der jeweiligen Betriebsart bleiben Verantwortung und Entscheidungsbefugnis jederzeit bei dem Schiffsführer über den jedes autonome Fahrzeug verfügen muss. Soweit Entscheidungen Sicherheit und betriebliche Abläufe an Bord betreffen, haben Einschätzung und Entscheidung der Besatzung an Bord Vorrang gegenüber Einschätzung und Entscheidung des Fernsteuerpersonals.

Es müssen geeignete technische und organisatorische Maßnahmen vorgesehen werden, um Kommunikations- und Steuerungssysteme bei Sicherheitsvorfällen isolieren oder abschalten zu können. Systeme müssen zudem in der Lage sein, unbefugte Zugriffe auf Datenverbindungen und Netzwerke zu erkennen.

Kameras und Sensoren an Bord müssen unbefugtes Betreten sowie mögliche Angriffe erkennen können. Darüber hinaus müssen geeignete Maßnahmen für Zugangskontrolle von Personen und Gepäck sowie zur Sicherung der Fernsteuerzentrale gegen unbefugten Zutritt vorgesehen werden.

Im Zusammenhang mit Cyberrisiken müssen insbesondere die Vorgaben der IMO-Resolution MSC.428(98) „Maritime Cyber Risk Management in Safety Management Systems“, das MSC-FAL.1/Circ.3/Rev.3 sowie die einschlägigen Normen IEC 62443 und IEC 63154 berücksichtigt werden.

(nach oben)

Sicherer Betrieb von Fernsteuerzentralen

Für den sicheren Betrieb autonomer Fahrzeuge müssen regelmäßige Notfallschulungen des Fernsteuerpersonals sowie detaillierte Aktions- und Notfallpläne vorgesehen werden für Szenarien wie: Feuer, Grundberührung, Wassereinbruch, Verlassen des Schiffes, Kollisionen, Verbindungsverlust zur Fernsteuerzentrale, Ausfälle kritischer Systeme oder Sensoren, Störungen der Fernsteuerzentrale, Cyberangriffe sowie unbefugtes Betreten.

Darüber hinaus müssen Verfahren für die sichere Übergabe von Steuerungs- und Kontrollfunktionen zwischen Arbeitsplätzen und Fernsteuerzentralen etabliert werden. Diese müssen insbesondere gewährleisten: die eindeutige Zuordnung der Kontrollverantwortung, die Übergabe relevanter Betriebsinformationen sowie die jederzeitige Nachvollziehbarkeit der Kontrollposition .

(nach oben)

Schiffsbesetzung autonomer Fahrzeuge unter deutscher Flagge

Für autonome Fahrzeuge müssen Sie, ebenso wie für konventionelle Fahrzeuge, ein Schiffsbesatzungszeugnis bei der DS beantragen. Die Besetzung von Fahrzeug und Fernsteuerzentrale wird im Einzelfall von der DS vorgegeben.

  • Für den sicheren Betrieb autonomer Fahrzeuge muss jederzeit ausreichend qualifiziertes Personal vorhanden sein, um sowohl den Regelbetrieb als auch Notfallsituationen sicher bewältigen zu können. Hierzu zählen der Schiffsführer, die Besatzung an Bord, das Fernsteuerpersonal sowie weiteres technisches Fachpersonal; insbesondere solches, das für den sicheren Betrieb der Fernsteuerzentrale erforderlich ist.
  • Fernsteuerzentralen müssen pro Wache mit mindestens einer Person besetzt sein, die für den Not- und Sicherheitsfunkverkehr qualifiziert ist und über ein gültiges GMDSS-Funkzeugnis verfügt.
  • Sofern Fernsteuerpersonal die Steuerung und Überwachung des Fahrzeugs, die Navigation, die Kommunikation sowie das Einhalten von Verkehrs- und VTS-Anforderungen übernimmt und damit Teil der Besatzung des Schiffes ist, muss es für die jeweiligen Fahrzeugtypen ausgebildet und qualifiziert sein sowie die Aufgaben eines Wachoffiziers wahrnehmen können.
  • Jedem Fernsteuerer darf nur ein Fahrzeug zur selben Zeit zugewiesen sein. Sofern sich der Schiffsführer in der Fernsteuerzentrale befindet, darf er unter Umständen für mehrere Fahrzeuge gleichzeitig verantwortlich sein. Ob dies im Einzelfall zulässig ist, entscheidet die DS auf Basis der vorgelegten Risikobewertung, die insbesondere Personalbedarf, Bedienkonzepte, Alarmmanagement und die eindeutige Zuordnung der Kontrollgewalt berücksichtigt. 
  • Unabhängig von der jeweiligen Betriebsart verbleiben die übergreifende Verantwortung und Entscheidungsbefugnis jederzeit beim Schiffsführer.
  • Personen dürfen sich nur an an Bord eines autonomen Fahrzeugs befinden, wenn auch der Schiffsführer an Bord ist.
  • Es müssen klare Subordinations-, Eskalations- und Berichtswege zwischen Schiffsführer  und Fernsteuerpersonal vorgesehen werden.
  • Sämtliche Informationen, Daten und Bedienoberflächen innerhalb der Fernsteuerzentrale müssen in einer Sprache dargestellt werden, die alle eingesetzten Personen verstehen.

(nach oben)

Sonderfall: Autonome Fahrzeuge im Testbetrieb

Unter welchen Bedingungen ein Testbetrieb autonomer Fahrzeuge in deutschen Gewässern möglich ist, hängt vom konkreten Einzelfall ab.
Fahrzeuge unter deutscher Flagge können nach Einreichen der oben genannten (vorläufigen) Dokumente sowie deren Bewertung und Besichtigung durch die DS eine Genehmigung für Probefahrten im deutschen Küstenmeer beantragen. Sowohl fremdflaggige autonome Fahrzeuge als auch unter deutscher Flagge fahrende autonome Fahrzeuge müssen eine schifffahrtspolizeiliche Genehmigung einholen. 

(nach oben)

Footer Welle
Bild: Logo Deutsche Flagge
FAQ
DGS
DEUTSCHE FLAGGE • REGISTER
Vorteile Deutsche Flagge
Über uns
Schiffsregister
Einflaggen
Ausflaggen
Statistiken
Flaggendokumente
MARITIME MEDIZIN
Seediensttauglichkeit
Seelotseignung
Funkärztliche Beratung
Medizinische Ausstattung • Räumlichkeiten
Medizinisches Handbuch See
Medizinische Wiederholungslehrgänge
Schiffsärzte
Ausgewählte Gesundheitsthemen
AUSBILDUNG • BEFÄHIGUNG
STCW (Änderungen • Hinweise)
Ausbildung Seeleute
Bescheinigungen für Seeleute
Zugelassene Lehrgänge
BESATZUNG • SEE-SOZIALVERSICHERUNG
Schiffsbesetzung
Seearbeitsrecht (MLC)
See-Sozialversicherung
SICHERHEIT (SAFETY • SECURITY)
Sicherer Schiffsbetrieb (ISM) • Arbeitssicherheit
Gefahrenabwehr (ISPS) • Piraterieprävention
Ladung
Seenotrettung • Seeunfälle
SCHIFF • AUSRÜSTUNG
Infos nach Schiffsarten
Autonomes Fahren
Neubau · Umbau
Schiffsbesichtigungen
Schiffsvermessung
Schiffsausrüstung
Seefunk
UMWELTSCHUTZ • KLIMA
Öl • Chemikalien • Schadstoffe (MARPOL-Anlagen I-III)
Schiffsabwasser • Müll (MARPOL-Anlagen IV-V)
Luftqualität • Energie (MARPOL-Anlage VI)
Biofouling Management
Ballastwasser
Schiffsrecycling
HAFTUNG • FINANZEN
Haftung
Förderung
Steuern
Gebühren
HAFENSTAATKONTROLLE
Geschichte • Aufgaben
Besichtigungs-System
Ergebnisse • Rankings
Ablauf der Besichtigungen
Festhalten von Schiffen
Anmelde-Verpflichtungen