Sie sind auf Seite 1von 297

> agendaCPS

Integrierte Forschungsagenda
Cyber-Physical Systems

Eva Geisberger/Manfred Broy (Hrsg.)

acatech STUDIE
März 2012
Titel

Herausgeber:
Dr. Eva Geisberger Prof. Dr. Dr. h. c. Manfred Broy
fortiss GmbH Technische Universität München, Institut für Informatik
Guerickestraße 25 Boltzmannstraße 3
80805 München 85748 Garching
E-Mail: geisberger@fortiss.org E-Mail: broy@in.tum.de

Reihenherausgeber:
acatech – Deutsche Akademie der Technikwissenschaften, 2012

Geschäftsstelle Hauptstadtbüro
Residenz München Unter den Linden 14
Hofgartenstraße 2 10117 Berlin
80539 München

T +49(0)89/5203090 T +49(0)30/206309610
F +49(0)89/5203099 F +49(0)30/206309611

E-Mail: info@acatech.de
Internet: www.acatech.de

Koordination: Ariane Hellinger


Redaktion: Ariane Hellinger, Heinrich Seeger, Linda Tönskötter
Layout-Konzeption: acatech
Konvertierung und Satz: Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS,
Sankt Augustin

Die Originalfassung der Publikation ist verfügbar auf www.springerlink.com


Kolumnentitel
Inhalt

> inhalt

Geleitwort 7

Kurzfassung 9

Projekt 13

1 Einführung 17
1.1 Ziele und Struktur des Berichts 17
1.1.1 Struktur des Berichts 18
1.2 Cyber-Physical Systems – Trends und Charakterisierung 19
1.2.1 Optionen konvergierender CPS-Trends 20
1.2.2 Initiale Charakterisierung von Cyber-Physical Systems 22
1.3 Cyber-Physical Systems, ihre Bedeutung und Chancen für den Wirtschaftsstandort Deutschland 22
1.4 Methodik und Vorgehen 25
1.4.1 Szenarienanalyse und strukturierte Ableitung von CPS-Fähigkeiten und Kerntechnologien 25
1.4.2 Validierung der Ergebnisse 28

2 Cyber-Physical Systems: Visionen, Charakteristika und neue Fähigkeiten 29


2.1 Ineinandergreifende Anwendungsbereiche 29
2.2 Smart Mobility – Assistenz, Komfort und Sicherheit durch kooperierende Systeme 31
2.2.1 CPS als umfassende Planungs- und Mobilitätsassistenten 32
2.2.2 Sicherheit im Verkehr durch kooperierende Systeme 34
2.2.3 Effiziente und sichere Fahrt und Koordination auf engem Raum durch autonome Systeme 36
2.2.4 CPS-Mehrwert und Nutzenpotenziale für die mobile Gesellschaft 39
2.3 Individuelle und sichere Versorgung – integrierte Betreuung in der Medizin 40
2.3.1 CPS in Telemedizin, Ferndiagnose und bei der Betreuung zu Hause 41
2.3.2 Nachsorge und Betreuung in vertrauter Umgebung 43
2.3.3 CPS als Unterstützung bei der automatischen Erkennung einer Notfallsituation und in der
Erstversorgung 45
2.3.4 CPS-Mehrwert und Nutzenpotenziale 47
2.4 Smart Grid 48
2.4.1 Micro Grid 49
2.4.2 Identifizierte Mehrwerte und Dienste 52
2.5 Intelligente Fabrik – vernetzte, adaptive und echtzeitfähige Produktion 53
2.5.1 Auftragsabwicklungsprozess – Szenario und Teilszenarien 55
2.5.2 Szenario zum Produkt- und Produktionsentstehungsprozess 57
2.5.3 CPS-Mehrwert und Potenziale 58

3
agendaCPS

2.6 Charakteristische Fähigkeiten und Potenziale von Cyber-Physical Systems 59


2.6.1 Eigenschaften und neuartige Fähigkeiten von Cyber-Physical Systems 60
2.6.2 Nutzen und Mehrwert für Gesellschaft und Wirtschaft 67

3 CPS-Themenfelder 69
3.1 Intelligente Infrastruktur und erforderliche Domänenmodelle 70
3.1.1 Infrastruktur für interoperable und verlässliche CPS-Dienste 70
3.1.2 Referenzarchitekturen und Aufbau von Domänenwissen 72
3.1.3 Herausforderungen 73
3.2 Vernetztes Handeln in ungewissen physikalischen und sozialen Umgebungen 74
3.2.1 Das Schalenmodell soziotechnischer CPS-Anwendungen 75
3.2.2 Zunehmend ungewisses Verhalten in der vernetzten Welt 78
3.2.3 Verteiltes Handeln in offenen physikalischen und sozialen Umgebungen 81
3.2.4 Verlässlich handelnde Cyber-Physical Systems – neue Fähigkeiten und Herausforderungen 86
3.3 Mensch-Maschine-Interaktion und geteilte Kontrolle 86
3.3.1 Koordiniertes Situationswissen und Kontextintegration ermöglichen intuitive Nutzung 88
3.3.2 Herausforderung geteilte Kontrolle 89
3.4 Wesentliche Akzeptanzfaktoren: Brauchbarkeit, Transparenz, Sicherheit und Aufbau von Vertrauen 92
3.4.1 Integrierte Dienste mit beherrschbarer Komplexität 93
3.4.2 Verlässlichkeit und Transparenz – Voraussetzungen für Gestaltungsfähigkeit und Vertrauen 94
3.5 Zusammenfassung von CPS-Fähigkeiten und der wesentlichen Herausforderungen, die sich daraus ergeben 95
3.6 Revolutionäre und evolutionäre Systeme mit ihren Herausforderungen für das Engineering 99
3.6.1 Evolution und Engineering 100
3.6.2 Technologie- und Forschungsfelder für das Engineering 101

4 Politische und gesellschaftliche herausforderungen 105


4.1 Technikfolgen, gesellschaftliche Spannungsfelder und interdisziplinäre Forschungsfragen 105
4.1.1 Sicherheitsfragen vernetzter intelligenter und interaktiver Technik 106
4.1.2 Individuelle Akzeptanz- und Gestaltungsfragen der Technik 108
4.1.3 Gesellschaftliche Herausforderungen durch global vernetzte interaktive Cyber-Physical Systems 111
4.1.4 Governance – gesellschaftliche Steuerung offener soziotechnischer Systeme 112
4.1.5 Folgerungen für eine reflexive und partizipative Technikgestaltung und Technikfolgenanalyse 115
4.2 Privatsphäre und Datenschutz 117
4.2.1 Rechtliche Grundlagen des Datenschutzes 119
4.2.2 Erweiterte Sicht: Schutz der Privatsphäre 120
4.2.3 Schutzziele für einen risikobasierten Gestaltungsansatz 121
4.2.4 Folgerungen 124

4
Inhalt

5 Technologie- und Engineering-Herausforderungen 127


5.1 Technologien zur Realisierung der besonderen Fähigkeiten von Cyber-Physical Systems 127
5.1.1 B1: Physikalische Situationserkennung 129
5.1.2 B2: Planendes und vorausschauendes ganz oder teilweise autonomes Handeln 130
5.1.3 B3: Kooperation und Verhandeln 132
5.1.4 B4: Mensch-Maschine-Interaktion 133
5.1.5 B5: Lernen 135
5.1.6 B6: Evolution: Strategien der Selbstorganisation und Adaption 136
5.1.7 B7: Basistechnologien 137
5.1.8 Zusammenfassung der für Cyber-Physical Systems benötigten Technologien 141
5.2 Technologien zur Umsetzung nichtfunktionaler Anforderungen – Sicherheit und Schutz der Privatsphäre 142
5.2.1 Verlässlichkeit 143
5.2.2 Betriebssicherheit und funktionale Sicherheit 144
5.2.3 IT-Sicherheit: Systemeigenschaften und Engineering-Fragen 146
5.2.4 Privatsphäre 149
5.3 Engineering-Konzepte und Kompetenzen 152
5.3.1 Nutzerzentierte, partizipative und virtuelle Verfahren für Erhebung, Entwurf und Bewertung 153
5.3.2 Zentrale Bedeutung des Requirements Engineering 154
5.3.3 Umfassende und integrierte Mensch-, System- und Architekturmodelle 157
5.3.4 Domänen-Engineering und Systemmanagement 165
5.3.5 Qualitäts-Engineering 167
5.4 Zusammenfassung der technologischen Herausforderungen 170

6 Geschäftsmodelle und Ökosysteme 175


6.1 Ausgangsbasis und Herausforderungen des Wandels 175
6.1.1 Begriffsklärung 177
6.2 Auswirkungen und Chancen von Cyber-Physical Systems für Geschäftsmodelle und Ökosysteme 179
6.2.1 Nutzenversprechen 179
6.2.2 Architektur der Wertschöpfung 181
6.2.3 Ertragsmodell 186
6.3 Disruptives Innovationspotenzial von Cyber-Physical Systems 186
6.4 Zusammenfassung 188

7 Standortbestimmung, Analyse und Schlussfolgerungen 191


7.1 Erforderliche integrierte Innovationsanstrengungen 191
7.2 SWOT-Analyse 195
7.2.1 Stärken und Schwächen des Innovationsstandorts Deutschlands im Bereich der
Cyber-Physical Systems 195
7.2.2 Chancen und Risiken des Innovationsstandorts Deutschlands im Bereich der
Cyber-Physical Systems 200
7.2.3 Strategische Handlungsfelder 202

5
agendaCPS

Anhang A: Stand der Forschung und Technik 207


A.1 Programme und regionale Schwerpunkte 207
A.1.1 Deutschland 207
A.1.2 Europa 210
A.1.3 USA 214
A.1.4 BRICS-Staaten und Asien 216
A.2 Stand der Forschung und Technik 218

Anhang B: Interoperabilitäts- und Quality-of-Service-PlattformDienste


am Beispiel der Domäne Fahrzeug 223
B.1 Einführung 223
B.2 Herausforderungen 224
B.3 Beschreibung der Dienste 225
B.3.1 Komponentenmanagement 225
B.3.2 Physikalische Umwelt- und Kontexterkennung 227
B.3.3 Dynamische Verwaltung 228
B.3.4 Diensteinteraktion 231
B.3.5 Quality of Service 232
B.3.6 Sicherheit: Betriebs- und IT-Sicherheit 233
B.3.7 Intermodalität und Interoperabilität 236

Anhang C: ERGEBNISSE Umfrage Mittelstand 237

Glossar 241

Literaturverzeichnis 261

Abbildungsverzeichnis 293

Autorenverzeichnis 295

6
Geleitwort

Geleitwort
von Wolfgang Mayrhuber, ehemaliger Vorstandsvorsitzender Deutsche Lufthansa AG
und acatech Präsidiumsmitglied

Wir leben im Zeitalter der Vernetzung. Produktivitäts­potenzialen vorangetrieben wird. Es liegt


Seit Jahrhunderten tragen Verkehrs- deshalb auch im Interesse der Unternehmen, diesen Trend
mittel zu Lande, zu Wasser und in der in ihre Strategien zu integrieren.
Luft dazu bei, Menschen und Güter
global zu vernetzen. Durch die dyna- Der Siegeszug der CPS-Technologien ist in dem immensen
mische Entwicklung der Informations- unmittelbaren pragmatischen Nutzen für den Menschen
und Kommunikationstechnologie ist durch mehr Komfort, Zeitsouveränität, Ubiquität, Zuver-
nun auch ein informationstechnisches lässigkeit, Information und Effizienz begründet. Und da-
Kommunikationsnetz entstanden, das wie ein „Nerven­ mit besteht ein enormes Potenzial, durch Cyber-Physical
system“ die Welt umspannt. Die Zukunft liegt in der intelli- Systems neue Geschäftsmodelle zu entwickeln: So können
genten Kombination der „realen“ und der „virtuellen“ Welt, durch CPS-Technologien beispielsweise Fluggesellschaften
in Cyber-Physical Systems (CPS). ihre Passagierbetreuung entlang der gesamten Service­kette
verbessern, indem Reise­routen optimiert oder Wartezeiten
Die aktuelle Studie im Rahmen des acatech Themennetz- verkürzt werden. Auch für Menschen, die auf spezielle
werks „Informations- und Kommunikationstechnologien“ Versorgung angewiesen sind oder während der Reise eine
knüpft nach dem Projekt „Intelligente Objekte“ erneut an Krankheit erleiden, kann das Betreuungs- oder Behand-
den Megatrend „Internet der Dinge“ an und untersucht die lungsspektrum durch tele­medizinische Anwendungen an
Chancen und Herausforderungen des Technologietrends Bord ergänzt werden.
Cyber-Physical Systems. Dabei handelt es sich um Systeme,
die durch die Verknüpfung von eingebetteten Systemen In den Bereichen der Smart Logistic sind ebenfalls Lösun-
untereinander und mit webbasierten Diensten entstehen. gen zur digitalen Vernetzung über die gesamte Supply
Als acatech Präsidiumsmitglied habe ich das Projekt beson- Chain hinweg denkbar. Damit würde nicht nur logistik-
ders aufmerksam verfolgt, auch wegen des breiten Unter- übergreifende, intermodale Steuerung von Gepäck oder
suchungsspektrums und der visionären Szenarien, in denen Fracht ermöglicht, sondern zudem höherer Kundennutzen
neben den technischen Fragestellungen auch unterneh- durch Real Time Locating geschaffen werden. Hier könn-
merische und gesellschaftliche Aspekte im Fokus stehen. ten industrie­übergreifende Standards zur schnelleren und
Das Vorhaben, dessen sich das Projektteam in breiter Zu- breiteren Implementierung beitragen. Und schließlich er-
sammensetzung aus Großunternehmen, KMU, Forschungs- öffnen Verkehrssteuerungssysteme bis hin zur Luftraum-
einrichtungen und Verbänden angenommen hat, war sehr steuerung vielfältige Anwendungspotenziale. Optimale
ambitioniert. Wir freuen uns sehr, dass nun – erstmalig im Flugprofile ohne Verzögerungen und Warteschleifen
deutschsprachigen Raum – eine umfassende Analyse zu würden in der Folge zu Treibstoffeinsparung und einem
Cyber-Physical Systems vorliegt. Die Studie macht deutlich, verminderten Treibhausgasausstoß führen. Cyber-Physical
wie weitreichend unternehmerische Strategien beeinflusst Systems können einen großen Beitrag zur effizienten Res-
werden, um diese komplexen Systeme entwickeln und be- sourcenausschöpfung leisten.
herrschen zu können.
Mit diesem Projekt hat acatech erneut eine Plattform ge-
Der damit verbundene Wandel wird unausweichlich boten, um unterschiedlichste Akteure zusammenzubringen
sein, da seine Dynamik von vielfältigen Änderun- und vorwettbewerblich zusammenzuarbeiten. Nun muss
gen der Kunden­anforderungen und Flexibilitäts- und die entsprechende Technologie- und Handlungskompetenz

7
agendaCPS

für Cyber-Physical Systems auch nach diesem Projekt durch Cyber-Physical Systems werden in allen relevanten Infra-
interdisziplinäre Forschungsprojekte gemeinschaftlich strukturbereichen eine Rolle spielen und zu bahnbrechen-
voran­getrieben werden. Für zukunftsorientierte und inno- den Entwicklungen führen: beim Ressourcen­management,
vationsgetriebene Fluggesellschaften wie Lufthansa ist es der Steuerung des Energiemixes oder der Elektromobilität
selbstverständlich, hierbei Projekte in enger Kooperation sowie als neue Servicekomponente für Nutzer. Diese Studie
mit der Wissenschaft durchzuführen. zeigt sehr klar das Innovationspotenzial auf und identifi-
ziert gleichzeitig ein breites Spektrum konkreter Handlungs-
Aus unserer Sicht stehen wir nun aber an einer entscheiden- felder.
den Wegmarke: die Wettbewerbsfähigkeit von Cyber-Physical
Systems kann nur dann sichergestellt werden, wenn die Es bleibt die Herausforderung jeder innovativen Technologie,
Politik geeignete Rahmenbedingungen schafft und die In- sie zur Marktreife zu entwickeln und die Akzeptanz der Men-
dustrie eine flexible und schnelle Integration in strategische schen, die sie benutzen, zu erreichen. Die vorliegende Studie
Konzepte im Blick hat. Das muss das gemeinsame Ziel sein. macht dies anschaulich deutlich – ich wünsche Ihnen eine
Dann haben wir in Deutschland eine gute Chance, zum anregende Lektüre!
Leitanbieter für Cyber-Physical Systems zu werden.

Wolfgang Mayrhuber

8
Kurzfassung

Kurzfassung

Der anhaltende rasche Fortschritt der Informationstechnik einen rasanten Wandel in Wirtschaft und Gesellschaft vor-
mit seiner exponentiellen Zunahme an Rechen-, Erfassungs-, an. Es entsteht ein nachhaltiger Strom von Innovationen,
Übertragungs- und Speicherkapazität ermöglicht in Kombi- den es zu gestalten gilt. Cyber-Physical Systems erfordern
nation mit der Mikrosystemtechnik immer leistungsfähigere domänenübergreifende Kooperationen für eine interaktive
Peripherie-, Kommunikations- und Steuerungssysteme, die Wertschöpfung in wirtschaftlichen Ökosystemen.
zudem immer stärker miteinander vernetzt werden. Umfas-
sende IT-Systeme führen in Verbindung mit dem Internet Die Erschließung dieses Innovationsfelds erfordert gezielte
zu einer ständigen Ausweitung der Zahl, Leistungsfähigkeit politische, wirtschaftliche, technologische und methodi-
und Komplexität von Anwendungen. Softwareintensive Sys- sche Anstrengungen. Zu bewältigen ist ein Komplex von
teme und Geräte werden zu alltäglichen Gebrauchsgegen- Fragen und Herausforderungen für die bedarfsgerechte Ge-
ständen. Sie wandeln sich durch ihre vielfältige Vernetzung staltung und Nutzbarmachung von Cyber-Physical Systems
und die Einbindung von Daten und Diensten aus globalen samt Anwendungen.
Netzen zu integrierten, übergreifenden Lösungen, die alle
Lebensbereiche zunehmend durchdringen und verknüpfen. Deutschland gehört hinsichtlich der Vorstufen zu Cyber-Phy-
Es entstehen offene, vernetzte Systeme, die mithilfe von sical Systems – eingebettete Systeme, integrierte Sicherheits-
Sensoren Daten zu Situationen der physikalischen Welt lösungen und Engineering komplexer Systemlösungen –
erfassen, sie interpretieren und für netzbasierte Dienste zu den Weltmarktführern. Diese Position kann unter dem
verfügbar machen sowie mittels Aktoren direkt auf Pro- hohen Innovationsdruck der Cyber-Physical Systems nur
zesse in der physikalischen Welt einwirken und damit das gehalten und ausgebaut werden, wenn Deutschland auch
Verhalten von Geräten, Dingen und Diensten steuern kön- seine CPS-Innovationsführerschaft sichert und die Markt-
nen. Bei solchen Systemen sprechen wir von Cyber-Physical führung bei eingebetteten Systemen ausbaut, um den
Systems (CPS); daraus entstehen Systemlandschaften und Wandel hin zu Cyber-Physical Systems und deren Potenziale
soziotechnische Systeme mit innovativen ja revolutionären zu nutzen. Es ist erklärtes Ziel des Projekts agendaCPS und
Anwendungen. der vorliegenden integrierten Forschungsagenda Cyber-
Physical Systems, einen Maßnahmenkatalog zu erarbeiten,
Zukünftige Cyber-Physical Systems werden in bisher kaum der die Notwendigkeit aufzeigt, an der CPS-Evolution und
vorhersehbarer Weise Beiträge zu Lebensqualität, Sicherheit dem damit einhergehenden Wandel in Wirtschaft und Ge-
und Effizienz sowie zur Versorgungssicherheit in den Berei- sellschaft nicht nur teilzunehmen, sondern diese Revolution
chen Energie, Wasser oder Medizin leisten und damit zur im globalen Wettbewerb mit anderen Industrien und Tech-
Lösung zentraler Herausforderungen unserer Gesellschaft nologiestandorten maßgeblich mitzugestalten.
beitragen. So erfassen etwa moderne Smart-Health-Systeme
mittels Sensoren Gesundheitsdaten, vernetzen Patienten- Der schnelle technologische Wandel durch Cyber-Physical
daten und Patienten, Ärzte sowie Therapeuten miteinan- Systems schafft neue wirtschaftliche Möglichkeiten und
der und ermöglichen Ferndiagnosen sowie medizinische führt in wichtigen Branchen zu disruptiven Änderungen von
Versorgung zu Hause. Intelligente Cyber-Physical Systems Märkten und Geschäftsmodellen. Dieses Moment zu nutzen
koordinieren den Verkehrsfluss, unterstützen Menschen in erfordert schnelles Handeln.
kritischen Situationen und reduzieren Energieverbräuche –
sowohl im Verkehr als auch, mittels intelligenter Steuerung, Deshalb analysiert und charakterisiert die agendaCPS
in Energienetzen. Diese weitreichenden Fähigkeiten treiben die Fähigkeiten, Potenziale und Herausforderungen von

9
agendaCPS

Cyber-Physical Systems: Nutzen und Mehrwert für Gesell- Auf der Basis der Ergebnisse dieser Analysen, der Vorarbei-
schaft und Wirtschaft sowie Anforderungen an Technolo- ten der Nationalen Roadmap Embedded Systems sowie der
gie, Forschung, Wirtschaft und Politik zur Steigerung der Ermittlung des Standes von Forschung und Technik schließt
Innovations- und Wettbewerbsfähigkeit Deutschlands auf die Agenda mit einer differenzierten SWOT-Analyse und der
diesem Gebiet. Wesentliche Beiträge sind die Analyse der Ableitung vordringlicher Handlungsfelder.
Herausforderungen und offenen Fragen hinsichtlich Sicher-
heit, Risiken und Akzeptanz von CPS-Technologie mitsamt Die Schlussfolgerungen weisen auf strategische Maßnah-
ihren Anwendungen sowie die Ableitung entsprechender men und Themenfelder hin, die Deutschland einen Inno-
Maßnahmen. vationsvorsprung bei Cyber-Physical Systems verschaffen
können. Diese besitzen eine große Hebelwirkung; sie sind
Die Herausforderungen sind vielfältig; sie betreffen Gesell- unverzichtbar für eine nachhaltige Innovationsfähigkeit auf
schaft und Wirtschaft: allen Gebieten der Wirtschaft und, um gesellschaftlichen
Herausforderungen zu entsprechen.
—— Gesellschaft: Es wird erwartet, dass Cyber-Physical Sys-
tems zur Lösung gesellschaftlicher Aufgaben beitragen, Das sind die Kernaussagen zu den strategischen Hand-
etwa Versorgung, selbstbestimmtes Leben und Sicher- lungsfeldern:
heit im Alter. Ungelöst sind in solchen Zusammen­
hängen Herausforderungen hinsichtlich Datenschutz, —— Es gilt, einen Strategiewechsel und ein Umdenken auf
Schutz der Privatsphäre und Mensch-Maschine-Inter­ allen Ebenen der Wertschöpfung einzuleiten, hin zu offe-
aktion. Dazu kommen Fragen, deren Beantwortung nen, interaktiven Märkten, Lebensräumen und ihren Pro-
die CPS-Akzeptanz beeinflusst, etwa nach individueller zessen, zu Infrastruktur- und Versorgungssystemen mit
Handlungsfreiheit, Governance und Fairness in der ver- integrierten, interaktiven vernetzten Dienstleistungen.
teilten Steuerung, zudem nach Selbstorganisation und Das erfordert entsprechende Forschungsschwerpunkte,
-steuerung von Infrastruktur- und Versorgungssystemen. im Einzelnen erweiterte Mensch-Maschine-Interaktion,
—— Wirtschaft: Das CPS-Potenzial hängt eng zusammen Requirements Engineering, die Entwicklung von An-
mit dem Wandel von Produkten zu integrierten, inter- forderungs- und Domänenmodellen und innovativer
aktiven Dienstleitungen und Lösungen. Die Wertschöp- Architekturen sowie ein interdisziplinäres Systems En-
fungen, die dabei in wirtschaftlichen Ökosystemen gineering und integrierte Qualitätssicherung auf allen
erbracht werden, erfordern vielfältige neue Architektu- Ebenen der Anforderungs- und Systementwicklung.
ren und Geschäftsmodelle sowie offene Standards und —— Unabdingbar ist die interdisziplinäre Ausrichtung von
Plattformen für die Interoperabilität von Systemen. Forschung, Entwicklung und Systemgestaltung; zudem
—— Wissenschaft und Forschung: Es entstehen neue Tech- gilt es, Technikfolgenanalyse, Akzeptanzforschung und
nologien sowie integrierte Modelle und Architekturen, interaktive Systemgestaltung zu integrieren.
insbesondere Menschmodelle und ganzheitliche Model- —— Neuartige wirtschaftliche Ökosysteme entstehen; sie
le für die Mensch-Maschine-Interaktion und -Kooperati- erfordern passende Wettbewerbsstrategien und Wert-
on. Das erfordert interdisziplinäres Engineering und ein- schöpfungsarchitekturen, um Innovationsfähigkeit,
schlägige Kompetenz beim Einsatz und Betrieb für die Vielfalt, Sicherheit und Vertrauen zu schaffen.
Beherrschung der Technologie und zur Sicher­stellung —— Modelle und Standards für die erforderliche Qualität
nichtfunktionaler Anforderungen. von Cyber-Physical Systems sind zu entwickeln und
durchzusetzen.

10
Kurzfassung

—— Es bedarf eines nachhaltigen Aufbaus von Technologie- Konkrete Handlungsempfehlungen mit operationalem Cha-
und Handlungskompetenz in Bildung und Ausbildung rakter für Politik, Wissenschaft und Wirtschaft finden sich
sowie einer Sicherung der Standortbedingungen. im Band „acatech Position“, der anlässlich des 6. Nationa-
len IT-Gipfels im Dezember 2011 in München der Öffentlich-
Die Rolle der Software für die Beherrschung, Gestaltung keit vorgestellt wurde.
und Nutzung von Daten und Diensten sowie für die Ver-
netzung der virtuellen mit der physikalischen Welt wird
dominant. Von entscheidender Bedeutung in diesem Zu-
sammenhang ist die Fähigkeit zur Beherrschung von gro-
ßen, vernetzten, langlebigen Softwaresystemen.

11
Projekt

Projekt

Auf Grundlage dieser Studie entstand in dem Projekt auch >> Fachliche Leitung
die acatech POSITION Cyber-Physical Systems. Innovations-
motor für Mobilität, Gesundheit, Energie und Produktion —— Dr. Eva Geisberger, fortiss GmbH
(acatech 2012).
>> Projektgruppe
>> Autoren
—— Dr. Heinz Derenbach, Bosch Software Innovations
—— Dr. Eva Geisberger, fortiss GmbH GmbH
—— Prof. Dr. Dr. h. c. Manfred Broy, Technische Universität —— Prof. Dr.-Ing. José L. Encarnação, Technische Universität
München Darmstadt
—— Dr. María Victoria Cengarle, fortiss GmbH —— Prof. Dr. Otthein Herzog, Universität Bremen und
—— Patrick Keil, fortiss GmbH Jacobs University Bremen
—— Jürgen Niehaus, SafeTRANS e. V. —— Prof. Dr. Wolfgang Merker
—— Dr. Christian Thiel, BICCnet Bavarian Information and —— Hannes Schwaderer, Intel GmbH
Communication Technology Cluster —— Dr. Reinhard Stolle, BMW AG
—— Hans-Jürgen Thönnißen-Fries, ESG Elektronik-
system- und Logistik-GmbH >> Konsortialpartner

>> mit Beiträgen von —— fortiss GmbH, An-Institut der Technische Universität
München
—— Theo von Bomhard, Robert Bosch GmbH
—— Dr. Christian Buckl, fortiss GmbH >> Aufträge
—— Denis Bytschkow, Center for Digital Technology and
Management (CDTM) und fortiss GmbH —— BICCnet Bavarian Information and Communication
—— Fabian Dany, Center for Digital Technology and Technology Cluster
Management (CDTM) —— Fraunhofer IOSB
—— Stefan Greiner, acatech Geschäftsstelle —— OFFIS e. V.
—— Jürgen Hairbucher, Intel GmbH —— SafeTRANS e. V.
—— Marit Hansen, Unabhängiges Landeszentrum für
Datenschutz Schleswig-Holstein (ULD) >> Projektkoordination
—— Dr. Christoph Krauß, Fraunhofer AISEC
—— Prof. Dr. Bernd Krieg-Brückner, Universität Bremen und —— Ariane Hellinger, acatech Geschäftsstelle
DFKI GmbH —— Dr. Christian Thiel, BICCnet Bavarian Information and
—— Oliver Peters, Robert Bosch GmbH Communication Technology Cluster
—— Dr. Olaf Sauer, Fraunhofer IOSB
—— PD Dr. Bernhard Schätz, fortiss GmbH >> Projektlaufzeit

>> Projektleitung 1. Mai 2010 – 31. Januar 2012

—— Prof. Dr. Dr. h. c. Manfred Broy, Technische Universität


München

13
agendaCPS

>> Finanzierung —— Prof. Dr. habil. Claudia Eckert, Technische Universität


München
Das Projekt wurde im Rahmen der Hightech-Strategie der —— Maximilian Engelken, Center for Digital Technology
Bundesregierung durch das Bundesministerium für Bildung and Management (CDTM)
und Forschung gefördert (Förderkennzeichen 01/S10032A —— Dr. Hieronymus Fischer, ESG Elektroniksystem- und
01/S10032B). Logistik-GmbH
—— Axel Foery, Cisco Systems GmbH
—— Dr.-Ing. Oliver Frager, teamtechnik Maschinen und
Anlagen GmbH
—— Dr. Ursula Frank, Beckhoff Automation GmbH
—— Martin Gangkofer, ESG Elektroniksystem- und Logistik-
GmbH
—— Manuel Giuliani, fortiss GmbH
Projektträger: Projektträger im Deutschen Zentrum für Luft- —— Rainer Glatz, VDMA
und Raumfahrt (PT-DLR), Softwaresysteme und Wissens- —— Stephan Gurke, ZVEI
technologien. —— Martin Hiller, Cassidian
—— Dr. Jan Hladik, SAP AG
acatech dankt außerdem den folgenden Unternehmen für —— Harald Hönninger, Robert Bosch GmbH
ihre Unterstützung: BMW AG, Intel GmbH, Robert Bosch —— Tobias Hoppe, Otto-von-Guericke-Universität Magde-
GmbH. burg
—— Gerd Hoppe, Beckhoff Automation GmbH
>> Wir danken den folgenden Personen für —— Thomas Janke, SAP AG
ihre Expertise und wertvollen Beiträge: —— Josef Jiru, Fraunhofer ESK
—— Prof. Dr. Bernhard Josko, OFFIS e. V.
—— Dr. Ralf Ackermann, SAP AG —— Bernd Kärcher, Festo AG & Co. KG
—— Prof. Dr. Bernhard Bauer, Universität Augsburg —— Dr. Frank Kargl, Universität Twente
—— Gülden Bayrak, Technische Universität München, AIS —— Dr. Ingolf Karls, Intel GmbH
—— Klaus Beetz, Siemens AG, CT —— Dirk Kaule, BMW AG
—— Andreas Beu, User Interface Design GmbH —— Thomas Kellerer, Intel GmbH
—— Ottmar Bender, Cassidian —— Maged Khalil, fortiss GmbH
—— Thomas Benedek, BMW Car IT GmbH —— Stefan Kiltz, Otto-von-Guericke-Universität Magdeburg
—— Dr. Susanne Bührer-Topcu, Fraunhofer ISI —— Dr. Cornel Klein, Siemens AG, CT
—— Anne Burger, MedVenture Partners —— Dr. Martin Knechtel, SAP AG
—— Andrea Cato, Intel GmbH —— Tanja Kornberger, Center for Digital Technology and
—— Prof. Dr.-Ing. Jana Dittmann, Otto-von-Guericke Univer- Management (CDTM)
sität Magdeburg —— Till Kreiler, NAVTEQ
—— Prof. Dr.-Ing. Jörg Eberspächer, Technische Universität —— Frank Lafos, Intel GmbH
München —— Falk Langer, Fraunhofer ESK
—— Prof. Dr. Ulrike Lechner, Universität der BW München

14
Projekt

—— Dr. Enno Lübbers, Intel GmbH —— Prof. Dr. Peter Struss, Technische Universität München
—— Dr. Andreas Lüdtke, OFFIS e. V. —— Carolin Theobald, ZVEI
—— Dr. Christine Maul, Bayer Technology Services GmbH —— Dr. Mario Trapp, Fraunhofer IESE
—— Dr. Christoph Mayer, OFFIS e. V. —— Dr. Mathias Uslar, OFFIS e. V.
—— Christian Menkens, Center for Digital Technology and —— Bernhard Vogel, Siemens AG, Healthcare
Management (CDTM) —— Prof. Dr.-Ing. Birgit Vogel-Heuser, Technische Universi-
—— Jochen Meyer, OFFIS e. V. tät München, AIS
—— Dr. Mark Müller, Bosch Software Innovations GmbH —— Jürgen Weis, ESG Elektroniksystem- und Logistik-GmbH
—— Dr. Stefan Ochs, Bayer Technology Services GmbH —— Dr. Gerhard Weiss, Maastricht University
—— Claus Oetter, VDMA —— Dr. Kay Werthschulte, ESG Elektroniksystem- und
—— Dr. Josef Papenfort, Beckhoff Automation GmbH Logistik-GmbH
—— Christian Patzlaff, ESG Elektroniksystem- und Logistik- —— Dr. Chris Winkler, Siemens AG, CT
GmbH —— Dr. Matthias Winkler, SAP AG
—— Tobias Paul, ESG Elektroniksystem- und Logistik-GmbH —— Dr. Thomas Wittig, Robert Bosch GmbH
—— Dr. Holger Pfeifer, Technische Universität München —— Stephan Ziegler, BITKOM
—— Gerd Pflüger, Cisco Systems GmbH
—— Prof. Dr. Dres. h. c. Arnold Picot, Ludwig-Maximilians- >> Projektbeirat
Universität München
—— Dr. Daniel Ratiu, fortiss GmbH —— Dr. Reinhold Achatz, Siemens AG
—— Sebastian Rohjans, OFFIS e. V. —— Prof. Dr. Heinrich Dämbkes, Cassidian
—— Benedikt Römer, Center for Digital Technology and —— Prof. Dr. Werner Damm, Universität Oldenburg
Management (CDTM) (Sprecher des Beirats)
—— Oliver Roos, Intel GmbH —— Dr. Klaus Grimm, Daimler AG
—— Christine Rossa, Robert Bosch GmbH —— Harald Hönninger, Robert Bosch GmbH
—— Dr. Harald Rueß, fortiss GmbH —— Prof. Dr. Peter Liggesmeyer, Fraunhofer IESE
—— Dr. Oliver Sander, Karlsruher Institut für Technologie
KIT
—— Andreas Schmid, Center for Digital Technology and
Management (CDTM)
—— Martin Schneider, ESG Elektroniksystem- und Logistik-
GmbH
—— Dr. Ralf Schulz, BMW AG
—— Michael Schwarz, Cisco Systems GmbH
—— Dr. Christian Schwingenschlögl, Siemens AG, CT Wir danken Herrn Johann Wiesböck für die engagierte
—— Dominik Sojer, Technische Universität München Unter­
stützung und die gemeinsame Durchführung der
—— Stephan Sommer, Technische Universität München Online-Befragung in „ElektronikPraxis“.
—— Dr. Thomas Stauner, BMW AG
—— Dr. Rainer Stetter, ITQ GmbH Wir danken Herrn Heinrich Seeger für das fachliche Lekto-
—— Dr. Thomas Stiffel, Bosch Software Innovations GmbH rat und das große Engagement.

15
Vorbemerkung
Alle Personenbezeichnungen in der agendaCPS – Integrierte
Forschungsagenda Cyber-Physical Systems beziehen sich
ungeachtet ihrer grammatikalischen Form in gleicher Weise
auf Frauen und Männer.
Einführung

1 Einführung

Das Projekt Integrierte Forschungsagenda Cyber-Physical demzufolge keine in sich abgeschlossenen Einheiten. Es
Systems (im Folgenden kurz agendaCPS) wurde durch sind vielmehr offene soziotechnische Systeme, die durch die
acatech, die Deutsche Akademie der Technikwissenschaf- hochgradige Vernetzung der physikalischen, sozialen und
ten, angestoßen. Das Projekt wird durch das Bundesminis- virtuellen Welt sowie durch die intelligente Nutzung von
terium für Bildung und Forschung (BMBF) gefördert und Informations- und Kommunikationstechnologien entste-
unter maßgeblicher Beteiligung von fortiss, einem An-Ins- hen. Durch die rasante Entwicklung der zugrundeliegenden
titut der Technischen Universität München, durchgeführt. Technologien und ihre vielfältigen Aspekte sind Cyber-
Physical Systems ein komplexer Untersuchungsgegenstand:
Ihre Anwendungsfelder und ihr Nutzenpotenzial entwickeln
1.1 Ziele und Struktur des Berichts und verändern sich schnell. Die agendaCPS will vor allem
den inhärenten Wandel der Technologien und ihrer An-
Die Agenda Cyber-Physical Systems will Technologie- wendung aufzeigen. Cyber-Physical Systems eröffnen weit­
trends und Innovationspotenzial im Zusammenhang mit reichende Möglichkeiten durch funktionale Verbindung der
Cyber-Physical Systems (CPS) ganzheitlich und systema- physikalischen und der softwarebasierten, virtuellen Welt.
tisch erfassen und daraus Schlussfolgerungen zu zentra- Dadurch werden künftig nicht nur einzelne Industriezweige
len Forschungs- und Handlungsfeldern ableiten. Anhand verändert, sondern – über „intelligente“ Mensch-Maschine-
wesentlicher Anwendungsfelder wird illustriert, welchen Kooperation – langfristig auch die Gesellschaft.
Stellenwert das Thema für Wirtschaft und Gesellschaft hat.
Das Ziel der agendaCPS ist es, die Stellung Deutschlands Um die genannten übergeordneten Ziele zu erreichen, will
auf dem Gebiet der Cyber-Physical Systems zu festigen und die Agenda:
auszubauen.
—— einen Gesamtüberblick über das Phänomen und Wis-
Cyber-Physical Systems stehen für die Verbindung von phy- sensgebiet Cyber-Physical Systems geben,
sikalischer und informationstechnischer Welt. Sie entstehen —— einige wichtige Anwendungsfelder für Cyber-Physical
durch ein komplexes Zusammenspiel Systems und ihr Nutzenpotenzial beschreiben,
—— die zentralen Fähigkeiten und Eigenschaften von
—— von eingebetteten Systemen, Anwendungssystemen Cyber-Physical Systems sowie technologische und
und Infrastrukturen – zum Beispiel Steuerungen im gesellschaftliche Herausforderungen, die daraus ent­
Fahrzeug, intelligente Kreuzungen, Verkehrsmanage- stehen, darlegen,
mentsysteme, Kommunikationsnetze und ihre Verknüp- —— das wirtschaftliche Potenzial von Cyber-Physical
fungen mit dem Internet Systems erläutern,
—— auf Basis ihrer Vernetzung und Integration —— die wichtigsten Forschungsfelder herausarbeiten und
—— und der Mensch-Technik-Interaktion in Anwendungs­ strukturieren sowie die erforderlichen Innovations­
prozessen. anstrengungen ableiten,
—— Handlungsempfehlungen für Entscheidungsträger aus
Cyber-Physical Systems, wie sie sich zum Beispiel in ver- Wissenschaft, Wirtschaft, Politik und Gesellschaft geben,
netzten Mobilitätsdiensten1 oder in der integrierten Fern- —— das Bewusstsein für die Chancen und Herausforderun-
betreuung von Patienten durch mehrere Dienstleister, etwa gen, sowohl innerhalb von Fachkreisen als auch der Ge-
Ärzte, Physiotherapeuten und Apotheken, entwickeln, sind sellschaft insgesamt, wecken und

1 Kursiv gesetzte Begriffe oder Begriffsteile im Text verweisen im Folgenden auf Erläuterungen dieser Begriffe im Glossar.
17
agendaCPS

—— einen Beitrag zur wissenschaftlichen Diskussion über aufgezeigten Szenarien und ihrer tiefer gehenden Analyse
Cyber-Physical Systems leisten. herausgearbeitet. Im Einzelnen geht es dabei um

Insbesondere dienen die Analysen der Agenda als Basis für —— erforderliche intelligente Infrastrukturen, Anwendungs-
umfassende Handlungsempfehlungen. architekturen und Kommunikationsplattformen,
—— Herausforderungen des vernetzten Handelns in un-
gewisser Umgebung, einschließlich der Kontrolle
1.1.1 Struktur des Berichts und Sicherheit der Systeme – das umfasst sowohl die
Betriebssicherheit (Safety) als auch die IT-Sicherheit
Der Zielsetzung der Agenda folgend werden in Kapitel 2 (Security) – samt des Schutzes der Privatsphäre,
zunächst Technologie- und Anwendungstrends von Cyber- —— die Gestaltung der Mensch-System-Kooperation mit den
Physical Systems anhand ausgewählter Zukunftsszenarien Herausforderungen hinsichtlich intuitiv beherrschbarer
herausgearbeitet. Diese sind die Grundlage für die Charak- und sicherer Interaktion zwischen Menschen und Sys-
terisierung von Cyber-Physical Systems, ihrer Fähigkeiten so- temen und
wie ihres Nutzen- und Innovationspotenzials. Ausgewählte —— Faktoren der Akzeptanz von Cyber-Physical Systems und
Anwendungsfelder und -szenarien sind: die Konsequenzen für ihre Ausgestaltung.

—— intelligente Mobilitätskonzepte mit umfassenden Ko­ Über das Internet vernetzte Cyber-Physical Systems sind
ordinations-, Komfort- und Sicherheitsdiensten, allgegenwärtig. Das führt zu tiefgreifenden Veränderun-
—— Telemedizin und umfassende Betreuung von Patienten – gen im privaten wie öffentlichen Leben. Folgerichtig unter-
auch über medizinische Anwendungsplattformen und sucht die Agenda in Kapitel 4 Technologiefolgen mit dem
mithilfe von Communities im Internet, Schwerpunkt auf der Gestaltung der Mensch-Technik-Inter-
—— Smart Grid, also die verteilte und teilweise autono- aktion. Das ist von besonderer Bedeutung, denn Systeme
me Steuerung von Stromerzeugung, Speicherung, und Dienste entfalten ihren Nutzen nur dann und werden
Verbrauch und Netzbetriebsmitteln in Netzen der nur dann akzeptiert, wenn sie sich an den Bedürfnissen
Elektrizitäts­versorgung, sowie von Nutzern und Kunden orientieren und von diesen als
—— eine intelligente und flexibel vernetzte Produktion. beherrschbar und vertrauenswürdig erfahren werden. Diese
beiden Kriterien sind unverzichtbare Voraussetzungen für
Im Rahmen systematischer Analysen dieser Szenarien wer- sichere und selbstbestimmte Nutzung von Cyber-Physical
den wesentliche Eigenschaften und neue Fähigkeiten von Systems.
Cyber-Physical Systems charakterisiert. Diese werden unter
folgenden Gesichtspunkten analysiert: zunehmende Offen- Die Ergebnisse der Analyse von Cyber-Physical Systems aus
heit der Systeme, intelligente teilautonome Vernetzung, Ad- Kapitel 2 bis 4 bilden die Grundlage, auf der wesentliche
aption und neue Formen der Mensch-Maschine-Interaktion. Forschungsfragen und Entwicklungsziele für Cyber-Physical
Systems identifiziert werden. In Kapitel 5 werden relevante
Auf der Grundlage dieser Charakterisierung werden dann Technologien, Engineering-Konzepte, Forschungsansätze
in Kapitel 3 offene Fragen und Herausforderungen für die und Herausforderungen für die Gestaltung und Umset-
zukünftige Gestaltung und Umsetzung der Fähigkeiten zung der Fähigkeiten von Cyber-Physical Systems identifi-
und Potenziale von Cyber-Physical Systems im Rahmen der ziert. Dies erlaubt eine erste Einschätzung, inwieweit die

18
Einführung

Forschungsziele hinsichtlich der Erarbeitung erforderlicher Zusammenarbeit aller Beteiligten in offenen Innovations-
Schlüsseltechnologien erreichbar sind. und Ökosystemen ist eine Grundvoraussetzung, um das
Potenzial dieser Technologie in seiner Gesamtheit zu er-
Aufgrund des dynamischen und evolutionären Charakters schließen. Die agendaCPS will einen Beitrag leisten, dieses
von Cyber-Physical Systems und ihrer Anwendungen sind Verständnis zu fördern.
neue interdisziplinäre Entwicklungsmethoden und -techni-
ken, die Nutzer und Kunden einbinden, für eine situations­
gerechte Adaption und Integration der Systeme erforderlich. 1.2 Cyber-Physical Systems – Trends und
Das macht es notwendig, die Konzepte für die System­ Charakterisierung
entwicklung (Systems Engineering) zu erweitern, sodass sie
Betrieb, Wartung und Weiterentwicklung bis hin zum strate- Die Informations- und Kommunikationstechnologie (IKT)
gischen Marketing über Unternehmensgrenzen hinweg ein- sticht seit ihrem Bestehen durch eine anhaltende Folge
schließen. Realisiert werden die neuen Konzepte letztlich in schneller technologischer Fortschritte hervor. Immer stärker
kooperativen Unternehmensverbünden, die wirtschaftliche miniaturisierte integrierte Schaltungen sowie das anhal-
Ökosysteme bilden. Auf Basis dieser Sichtweise werden die tend rapide Wachstum von Rechenleistung und Bandbreite
technischen, methodischen und wirtschaftlichen Heraus­ in Netzwerken sind nur die am stärksten ins Auge fallen-
forderungen für Unternehmen und ihre Geschäftsmodelle den Phänomene. In den letzten Jahren hat dieser rasante
in Kapitel 6 analysiert. Fortschritt dazu geführt, dass Rechenleistung und Netz-
werkbandbreite praktisch im Überfluss zur Verfügung ste-
Kapitel 7 fasst die Analysen der Agenda hinsichtlich Cyber- hen und Informationstechnologie überall einsetzbar wird.
Physical Systems und ihrer Potenziale, Herausforderungen Preiswerte Kleinstrechner und die verbesserte Mobilfunk­
und erforderlichen Forschungsaktivitäten zusammen. Auf- abdeckung haben die Reichweite und Vernetzung von Soft-
bauend auf diesen Ergebnissen und der entsprechenden ware über den Einsatz in Großrechnern und Heim-PCs auf
Analyse der Stellung Deutschlands im internationalen mobile Endgeräte wie beispielsweise Notebooks, Tablet-PCs
Vergleich werden im Rahmen einer Gegenüberstellung von und Smartphones erweitert. IT ist allgegenwärtig, die Visi-
Stärken und Schwächen sowie Chancen und Risiken Wege on vom Ubiquitous Computing ist Wirklichkeit geworden.
für die Bewältigung der Herausforderungen aufgezeigt. Die Vormals proprietäre, geschlossene Systeme – eingebettete
Schlussfolgerungen zeigen auf, in welchen Feldern der For- Systeme und Geräte, IT-basierte Informations- und Manage-
schung, der integrierten Ausbildung, der Politik und Wirt- mentsysteme – werden zunehmend offen und mit anderen
schaft Handlungsbedarf besteht. Systemen verbunden. Im Zuge dieses Trends entstehen of-
fene, vernetzte, flexibel agierende und interaktive Systeme,
Die evolutionäre Entwicklung von Cyber-Physical Systems die die physikalische Welt nahtlos mit der virtuellen Welt
ist das Ergebnis der Wechselwirkung zwischen technischen der Informationstechnik verknüpfen. Softwareintensive Sys-
Forschritten, der sich daraus ergebenden gesellschaftlichen teme und Geräte wandeln sich durch ihre vielfältige Ver-
und wirtschaftlichen Potenziale und der möglichen Nut- netzung und die Einbindung von Daten und Diensten aus
zung in wirtschaftlichen und sozialen Prozessen. Deshalb globalen Netzen zunehmend zu integrierten, übergreifen-
ist für das Verständnis von Cyber-Physical Systems eine den Diensten und Lösungen, die in allen Lebensbereichen
inte­grierte Betrachtung und eine partizipative Entwicklung genutzt werden.
erforderlich. Die entsprechende Interdisziplinarität und

19
agendaCPS

1.2.1 Optionen konvergierender CPS-Trends sowie das „Gedächtnis“ der digitalen Komponenten
auch für die vernetzte Kontrolle, Koordination und
Cyber-Physical Systems sind das Ergebnis der Fortentwick- Optimierung genutzt, beispielsweise beim Waren-
lung und integrierten Nutzung zweier dominanter Innova- fluss, in Wartungsprozessen oder für das Flotten­
tionsfelder: Systeme mit eingebetteter Software einerseits, management. Zunehmend können auch Kunden
globale Datennetze wie das Internet mit verteilten und den Status und das Zusammenspiel von Dingen
interaktiven Anwendungssystemen andererseits. Dafür exis- und Diensten über das Internet verfolgen und inter­
tiert eine leistungsfähige Infrastruktur aus Sensoren, Akto- aktiv eingreifen.
ren und Kommunikationsnetzen, derer sich global agieren- b) Klassische IT- und Verwaltungsaufgaben werden
de und kooperierende Unternehmen bedienen. zunehmend in die Cloud, also an weltweit verteil-
te externe Dienstleister, ausgelagert; ihr Betrieb ist
Folgende Technologien und Trends wirken dabei als wesent- dadurch unabhängig von ortsgebundenen Rechen-
liche Treiber: zentren. Das gilt auch für Aufgaben aus dem Be-
reich verteilter Koordination, des Betriebs und des
1. Die Nutzung leistungsfähiger intelligenter eingebetteter Billings. Das Business Web ermöglicht es, die Fähig-
Systeme, mobiler Dienste und eines allgegenwärtigen keiten und Dienste von Cyber-Physical Systems im
(Ubiquitous) Computing: Internet abzubilden und als Internetdienste nutzbar
Grundlage und wesentliche Komponenten von Cyber- zu machen. Es bildet die Basis für integrierte web-
Physical Systems sind leistungsstarke eingebettete basierte Geschäftsmodelle.
Systeme, die bereits heute als geschlossene Syste-
me kooperativ und vernetzt agieren. Vor allem in der 3. Die Nutzung des semantischen Webs und von Verfah-
Auto­mobilbranche und der Luftfahrt, aber auch in der ren des Web 2.0 und der interaktiven Gestaltung inte­
Produktion existieren ortsgebundene und zunehmend grierter Dienste:
mobile Sensor-, Regelungs- und Steuerungsdienste. a) Durch die Möglichkeiten der nutzerbestimmten
Durch zunehmende offene Vernetzung, Interaktion, Interaktion und des entsprechenden Aufbaus von
Kooperation und Nutzung von Mobilitätsdiensten und Wissens- und Kommunikationsnetzen sowie von so-
weiteren Diensten aus dem Netz entstehen neue Opti- zialen Interessensgemeinschaften im Netz (Social
onen und Nutzungspotenziale in vielen Anwendungs- Communities) entstehen nicht nur große Menge
und Lebensbereichen. von Daten und Informationen, die für die gezielte
Ansprache potenzieller Kunden genutzt werden
2. Die Nutzung des Internets als Business Web, also als können. Besonders im Rahmen sich selbst organi-
Plattform für wirtschaftliche Kooperationen, mit zwei sierender Fach-, Anwendungs- und Interessensgrup-
sich ergänzenden Ausprägungen: pen entstehen Anforderungen und Nachfragen
a) Vor allem im Handel und in der Logistik, aber auch nach neuen Diensten, integrierten Lösungen und
in Anwendungsbereichen, etwa der Fernwartung Dienstleistungen; das gilt auch für Business-to-
von Geräten, werden intelligente, vernetzte und Business-Anwendungen und Unternehmenskoopera-
mit Sensoren ausgestattete Komponenten genutzt, tionen. Diese wiederum können als Dienste aus der
zum Beispiel RFID-Technik. Zunehmend werden vernetzten virtuellen, physikalischen und sozialen
dabei die Zustands- und Umgebungsbeobachtung Welt durch Cyber-Physical Systems erbracht werden.

20
Einführung

b) Einen Beitrag zu solchen Innovationen können trieben aus einer speziellen Problemstellung von
Entwicklergemeinschaften (Communities) leisten. Nutzern und Kunden oder einem fachspezifischen
Sie sind meist um Entwicklungsplattformen herum sozialen Netzwerk.
organisiert; dabei handelt es sich normalerweise
um Open-Source-Initiativen, die Software mit offe- Über die Wechselwirkung zwischen diesen Trends, insbe-
nen Quellcodes entwickeln, und zwar entweder in sondere durch die evolutionäre Dynamik der offenen Inter­
Selbst­organisation oder unter der Lenkung durch aktion mit Nutzern und Kunden sowie der damit möglichen
ein Unternehmen oder Konsortium. Andere selbst­ Anwendungen aus (1) und (2), entstehen große Potenziale
organisierte Communities sind auf bestimmte für Innovationen und künftige Wertschöpfung. Die Folge
Anwendungsfelder spezialisiert, werden also ge- sind dynamische, auch disruptive, Veränderungen von

Abbildung 1.1: Evolution vom eingebetteten System zum Internet der Dinge, Daten und Dienste

Vision: Internet der Dinge, Daten und Dienste


z. B. Smart City

Cyber-Physical Systems
z. B. intelligente vernetzte Kreuzung

Vernetzte eingebettete Systeme


z. B. autonomes Fliegen

Eingebettete Systeme
z. B. Airbag

21
agendaCPS

Märkten, Industrie- und Geschäftsmodellen. Abbildung Cyber-Physical Systems ermöglichen eine Reihe von neuarti-
1.1 veranschaulicht diese Entwicklung aus Sicht der Fach­ gen Funktionen, Diensten und Eigenschaften, die über die
gemeinde, die sich mit eingebetteten Systemen befasst. heutigen Fähigkeiten eingebetteter Systeme mit kontrol-
liertem Verhalten weit hinausgehen. Leistungsstarke Cyber-
Auf der Ebene der Technologie geschieht zweierlei: Zum ei- Physical Systems können ihre verteilte Anwendungs- und
nen wird die vernetzte sowie zunehmend intelligente RFID- Umgebungssituation unmittelbar erfassen, zusammen mit
und Sensortechnologie weiterentwickelt, meist bezeichnet den Nutzern interaktiv beeinflussen und ihr Verhalten im
als Internet der Dinge [BMW09, UHM11b], mit Auswirkun- Hinblick auf die jeweilige Situation gezielt steuern. Auf die-
gen auf Handel und Logistik. Zum anderen werden – für sem Weg erbringen die Systeme ihre Dienste
das Internet der Dienste – Angebote und Technologien im
Bereich Online-Handel beziehungsweise -Dienstleistungen —— weitgehend ortsunabhängig,
und Medienwirtschaft immer umfassender ausgebaut; sie- —— jedoch kontextspezifisch („Context Aware“),
he auch das Theseus-Forschungsprogramm [BMW10b]. —— angepasst an die Erfordernisse der Anwendungs­
situation,
—— teilautonom,
1.2.2 Initiale Charakterisierung von —— teilautomatisiert,
Cyber-Physical Systems —— multifunktional sowie
—— vernetzt und verteilt für die jeweiligen Anwender und
Cyber-Physical Systems umfassen eingebettete Systeme, Stakeholder.
also Geräte, Gebäude, Verkehrsmittel und medizinische Ge-
räte, aber auch Logistik-, Koordinations- und Management- Beispiele sind die situationsgerechte Steuerung integrier-
prozesse sowie Internet-Dienste, die ter Verkehrslösungen oder die Koordination medizinischer
Dienste über das Internet. Besonders bemerkenswert ist die
—— mittels Sensoren unmittelbar physikalische Daten er- direkte Einbindung von Cyber-Physical Systems in die physi-
fassen und mittels Aktoren auf physikalische Vorgänge kalische Realität („Real World Awareness“).
einwirken,
—— Daten auswerten und speichern sowie auf dieser Grund- Die Analyse dieser Charakterisierung und der neuen
lage aktiv oder reaktiv mit der physikalischen und der Fähigkeiten von Cyber-Physical Systems und ihres vielfälti-
digitalen Welt interagieren, gen Anwendungs- und Innovationspotenzials ist ein zentra-
—— mittels digitaler Netze untereinander verbunden sind, ler Beitrag der vorliegenden Agenda.
und zwar sowohl drahtlos als auch drahtgebunden, so-
wohl lokal als auch global,
—— weltweit verfügbare Daten und Dienste nutzen, 1.3 Cyber-Physical Systems, ihre Bedeutung
—— über eine Reihe multimodaler Mensch-Maschine-Schnitt- und Chancen für den Wirtschafts-
stellen verfügen, also sowohl für Kommunikation und standort Deutschland
Steuerung differenzierte und dedizierte Möglichkeiten
bereitstellen, zum Beispiel Sprache und Gesten. Die Fortschritte der Informations- und Kommunikationstech-
nologien (IKT) und ihrer Vernetzung führen zur Verbindung
vormals getrennter Branchen und zur Integration von IKT in

22
Einführung

Produkte und Dienstleistungen. Nahezu jede Branche nutzt Chance für Deutschland, sich als führender Anbieter von
heute IKT zur Verbesserung ihrer internen Prozesse. Her- Cyber-Physical Systems zu etablieren. Zum Beispiel ist ein
steller werten ihre Produkte verstärkt durch eingebettete Routenmanagement für batteriebetriebene Autos oder die
Informationstechnologie und integrierte Dienstleistungen Integration von Elektrofahrzeugen in die Energie-Infrastruk-
auf. Durch die Möglichkeiten der vernetzten Datengewin- tur3 ohne Cyber-Physical Systems gar nicht denkbar. – Die
nung und der interaktiven Begleitung von Kunden- und Zeit drängt, denn in der Automobilbranche hat der Wett-
Nutzerprozessen ergeben sich große Potenziale für Inno- lauf um die Vernetzung der Fahrzeuge4 und um eine um-
vationen und neue Geschäftsmodelle. Information samt fassende Begleitung der Fahrer in verschiedenen Fahr- und
ihrer intelligenten Verarbeitung wird zunehmend zum er- Kommunikationssituationen längst begonnen.
folgsentscheidenden Wettbewerbsfaktor. Dazu gehört die
sinnvolle Nutzung von Daten und Informationen, wie sie in Die Medizintechnik ist eines der größten Wachstumsfelder
Cyber-Physical Systems entstehen. Besonders wichtig ist es weltweit. Die Investitionen in Forschung und Entwicklung
jedoch, zu verstehen, wie aktuelle und zukünftige Kunden­ machen in der Branche rund acht Prozent des Umsatzes aus
bedürfnisse besser durch vernetzte intelligente Technik ad- – etwa doppelt so viel wie im Durchschnitt aller Industrien
ressiert werden können. Diese rasante Entwicklung wirkt [BW08]. Es wird dort geschätzt, dass die Umsätze in der
sich massiv auf die Zukunftsperspektiven von Branchen aus, Medizintechnik bis 2020 in Deutschland um etwa acht Pro-
in denen Deutschland eine Vorreiterrolle einnimmt. zent pro Jahr zunehmen.

Kaum eine Branche verdeutlicht das Potenzial und die Re- Neben telemedizinischer Überwachung von Vitalwerten,
levanz von Cyber-Physical Systems klarer als die Automobil­ implantierten Geräten und integrierter Patientenbetreuung
branche. Der weitaus größte Teil der Innovationen, die bieten vernetzte Sensorik und innovative Geräte verbesserte
Sicherheit, Komfort oder Effizienz steigern, entsteht heute Diagnose und Behandlungsmöglichkeiten sowie zahlreiche
durch Cyber-Physical Systems. Die Fahrzeuge werden ver- Chancen, Prozesse in der Gesundheitsversorgung zu opti-
netzt – untereinander, mit Objekten im Umfeld und zuneh- mieren, etwa Notfalleinsätze oder eine bessere individuelle
mend auch mit externen Informationssystemen oder den Versorgung von Patienten in Krankenhäusern. Viele dieser
mobilen Endgeräten der Fahrer und anderer Beteiligter. Innovationen entstehen erst dadurch, dass bisher getrennt
Da die deutsche Automobilindustrie mit rund 20 Milliar- genutzte Geräte miteinander kommunizieren und dass Da-
den Euro mehr als ein Drittel der gesamten industriellen ten und Informationen situationsspezifisch verknüpft wer-
Forschungs- und Entwicklungsinvestitionen in Deutschland den. Der demografische Wandel wird zu verstärkter Nach-
erbringt und zirka 715.000 Arbeitsplätze bietet [Sta11], ist frage nach Unterstützung für ein selbstbestimmtes Leben
es für den Wirtschaftsstandort Deutschland unerlässlich, alter Menschen zu Hause führen. Sogenannte AAL-Lösun-
gerade im Automobilbereich bei Erforschung und Entwick- gen (Ambient Assisted Living, siehe auch Abschnitt 2.3)
lung sowie beim Einsatz von Cyber-Physical Systems eine sind nur mithilfe von Cyber-Physical Systems realisierbar.
führende Rolle einzunehmen. Besonders die Verbindung
mit dem Trend zur Elektromobilität2 bietet hier eine große

2 Siehe beispielsweise [BBD+11].


3 Ohne die Optimierung von Ladezeiten beziehungsweise die Abstimmung von Ladevorgängen und Energieangebot würde der Spitzenbedarf
auch schon bei geringer Verbreitung von Elektrofahrzeugen auf kritische Niveaus ansteigen, das heißt, das Aufladen der Batterie von Elektro­
fahrzeugen muss entweder durch den einzelnen Nutzer oder durch einen Serviceprovider kontrolliert werden können; siehe hierzu [GMF09,
Sch10b].
4 Siehe zum Beispiel [car11].

23
agendaCPS

Fossile Energieträger werden knapp, Klimaschutz immer mieren können. Selbstorganisation durch zielorientierte Ver-
bedeutender. Effizienz und Nutzenoptimierung und indi- handlungen von Werkstücken, Anlagen und Materialfluss-
viduelle Bedarfsdeckung beim Erzeugen, Verteilen, Spei- Systemen führen dazu, dass auch diese Prozesse wesentlich
chern und Verbrauchen von Energie sind deshalb zentrale flexibler werden: Heute fußen sie auf zentralen Planungs­
Themen, sowohl für die Energiewirtschaft als auch für die instanzen, zukünftig werden sie von verteilten Optimie-
Konsumenten – öffentliche und private Haushalte in Städ- rungsansätzen geprägt sein.
ten, Gemeinden und Landkreisen sowie Unternehmen – und
für die Politik. Daraus ergeben sich zahlreiche Herausforde- Vor allem die Mobilkommunikation ist eine Basistechno-
rungen: Neben der schwankenden Verfügbarkeit von Strom logie für Cyber-Physical Systems, da die Vernetzung und
aus erneuerbaren Energien und der Dezentralisierung der Integration von mobilen Geräten über eine zuverlässige
Energiegewinnung und Verteilung über Smart Grids gilt es, und leistungsfähige Mobilfunk-Infrastruktur die Grundlage
unterschiedlichsten Anforderungen Rechnung zu tragen, für viele Anwendungen bildet. Bis 2014 wird der Anteil
die sich aus Verbraucherprozessen ergeben. Cyber-Physical der deutschen Bevölkerung, der mobil das Internet nutzt,
Systems werden hier eine entscheidende Rolle bei Netz­ von 21 auf mehr als 40 Prozent wachsen.7 Auch Lokalisie-
management, Verbrauchskoordination und -optimierung rung und Navigation weisen ein hohes Wachstumspoten-
sowie Erzeugungsplanung spielen. zial auf; bis 2014 wird eine Verdoppelung des weltweiten
Markts für Endgeräte mit integrierten Satellitennavigations-­
Gerade im Maschinen- und Anlagenbau5 beziehungsweise Empfängern gegenüber dem Niveau des Jahres 2009 er-
in der Automatisierungstechnik werden das Potenzial wartet8. Neue Programme wie das Satellitensystem Galileo
und die Herausforderungen von Cyber-Physical Systems mit erhöhter Präzision und einfacherem Marktzugang er-
deutlich.6 Die sensorgestützte Vernetzung von intelligenten möglichen eine weitere Verbreitung und neuartige Anwen-
Maschinen und Produkten untereinander und mit übergrei- dungen, insbesondere in vernetzten Systemen. Darüber
fenden Produktionsplanungs-, Energiemanagement- oder hinaus können Mobilfunkdaten und Geoinformationen für
Lagersystemen – auch über Unternehmensgrenzen hinweg zahlreiche Anwendungen genutzt werden, etwa zur Routen­
– ermöglicht Qualitäts-, Optimierungs- und Effizienzsteige- optimierung und Stauvermeidung, indem Stauinformatio-
rungen. Diese ergeben sich besonders aus flexiblen Anpas- nen aus aktuellen Bewegungsprofilen vernetzter Fahrzeuge
sungen der Produktion an Kundenprozesse sowie der ent- und Verkehrsteilnehmer abgeleitet werden.
sprechenden Steuerung global verteilter Logistikprozesse.
Deutschland bietet dabei einmalige Entwicklungsbedin-
Cyber-Physical Systems sind fähig zu standardisierten gungen für Anwendungen von Cyber-Physical Systems, und
Selbstbeschreibungen und zur Selbstorganisation nach zwar schon vor Inbetriebnahme der tatsächlichen Infra-
standardisierten Mechanismen. Das führt dazu, dass Fabri- struktur; ein Beispiel dafür ist die Testumgebung GATE für
ken und Produktionssysteme sich auch über Unternehmens- Galileo [GHW10].
grenzen hinaus in ihren Produktions- und Logistikprozessen
an individuelle Kundenanforderungen anpassen und opti-

5 Im deutschen Maschinen- und Anlagenbau waren Ende 2010 etwa 913.000 Menschen beschäftigt, in zahlreichen Teilbranchen sind deutsche
Unternehmen Marktführer. Siehe [VDM11].
6 Siehe auch „Industrie 4.0: Mit dem Internet der Dinge auf dem Weg zur 4. industriellen Revolution“ [KLW11].
7 Siehe [GS10]. Unverzichtbar für die ständige Vernetzung von Endgeräten ist die Einführung und Durchsetzung des „Long Term Evolution“ (LTE)-

Mobilfunkstandards und der dazugehörigen Netze.


8 Siehe „Global Navigation Satellite Positioning Solutions: Markets and Applications for GPS“ [ABI09].

24
Einführung

In der Logistik und dem Warentransportwesen hat sich Dies zeigen auch die aktuellen Beiträge über neue IKT-
eine mit der Produktion vernetzte Technologie zur Identi- und CPS-getriebene Dienstleistungen, Anwendungen und
fizierung, Lokalisierung und Statusermittlung durchgesetzt. Geschäftsmodelle auf dem „Mobile World Congress 2012“
Der Einsatz von Cyber-Physical Systems in der Logistik bie- [RGH12, Sch12, Ohl12, GL12, Kes12]. Allen Beispielen
tet mit intelligenten, aktiven Objekten und großen offenen gemeinsam ist die Verlagerung der Wertschöpfung in
Infrastrukturnetzen Chancen für neue Anwendungen. Dazu vielfältig, auch branchenübergreifend, kooperierende Un-
zählen etwa durchgängige Ortung (Position Tracking) und ternehmensverbünde. Unternehmen unterschiedlicher
Zustandsabfragen in Echtzeit; diese Funktionen eröffnen Größe, aus verschiedenen Industriesegmenten und An­
neue Möglichkeiten zur Koordinierung, Planung und Kon- wendungsbereichen kooperieren verstärkt untereinander
trolle von Warentransporten. Gleichzeitig zeigen sich in und mit Dienstleistern, Softwareherstellern und Telekom-
diesem Umfeld klar die Herausforderungen hinsichtlich munikationsanbietern. Auf diese Weise wirken Kompeten-
Vernetzung und Koordination, die Cyber-Physical Systems zen zusammen, die für Innovationen in allen Bereichen
erfüllen müssen.9 der Wertschöpfung von Cyber-Physical Systems notwendig
sind. In enger Interaktion mit den Kunden und Nutzern der
In der Heim- und Gebäudeautomation ermöglichen es Systeme führt das zu branchenübergreifenden Produktinno-
Cyber-Physical Systems, die Unterhaltung und Wartung vationen, die bestehende Marktgrenzen verschieben, und
von Gebäuden, Anlagen, Wohn- oder Gewerbegebieten in zu einem beschleunigten Konvergieren bisher getrennter
die Lebens- und Arbeitsprozesse zu integrieren. Unterstüt- Märkte.
zend wirken hier integrierte Sicherheitskonzepte und die
Steigerung der Energieeffizienz, zum Beispiel durch intel-
ligentes Management dezentraler Energieerzeugungssys­ 1.4 Methodik und Vorgehen
teme, etwa Photovoltaik.10 In Industrie- und Produktions-
gebäuden kommen zusätzliche Anwendungen hinzu, etwa Abbildung 1.2 gibt einen Überblick über das Vorgehen und
Interaktionen von Gebäude- und Maschinensteuerungen. das Strukturierungskonzept der Agenda. Den Kern bildet
Das setzt allerdings voraus, dass bisher getrennte Systeme die Modellierung und Analyse von Zukunftsszenarien, an-
zusammenwirken. Die Gebäudeautomationsbranche rech- gelehnt an die im Requirements Engineering bewährte Ana-
nete für das Jahr 2011 mit einem Umsatzwachstum von lyse von Anwendungsfällen („Use Cases“) und Szenarien.
fünf Prozent. Entscheidende Wachstumstreiber sind Inves-
titionen in Mess-, Steuer- und Regeltechnik sowie in die
damit verbundene Gebäudeleittechnik. Sie amortisieren 1.4.1 Szenarienanalyse und strukturierte
sich erheblich schneller als Investitionen in andere ener- Ableitung von CPS-Fähigkeiten und
getische Maßnahmen; zudem lassen sie sich über die In- Kerntechnologien
teraktion mit Produktionsanlagen und Fahrzeugen zur
Effizienzsteigerung nutzen. Um die erforderlichen Eigenschaften und Fähigkeiten von
Cyber-Physical Systems aber auch die Herausforderungen
All diese Beispiele zeigen das enorme Innovationspotenzial für ihre innovative Ausgestaltung zu ermitteln, werden Nut-
und den Wandel im täglichen Leben und in den Wirtschafts- zungsszenarien erarbeitet.
prozessen, den Cyber-Physical Systems auslösen können.

9 Siehe hierzu unter anderem den Sonderforschungsbereich „Modellierung großer Netze in der Logistik“ [SFBa].
10 Das Potenzial ist enorm, werden doch über 40 Prozent der Energie in Deutschland in Gebäuden verbraucht [BRO11].

25
agendaCPS

Abbildung 1.2: Methodik und Vorgehen im Projekt agendaCPS: Aus CPS-Nutzungsszenarien [hellblau] mit unterschiedlichen Nutzungszielen und
Stakeholderanforderungen [blau] werden die charakteristischen Eigenschaften von Cyber-Physical Systems [blau] und ihre erforderlichen Fähig-
keiten (CPS-Capabilities) [blau] abgeleitet, aus diesen wiederum die ökonomischen und gesellschaftlichen Herausforderungen [blau] sowie die
benötigten Technologien [blau]. Aus all dem wird der Handlungsbedarf in integrierter Forschung und Bildung [dunkelblau] bestimmt.

ANALYSE- UND STRUKTURIERUNGSKONZEPT DER AGENDA

Szenarien CPS-Charakteristika

(1) Cyber-Physical
(2) System of Systems
(3) Kontext-adaptiv
(4) Verteilt, kooperativ
Ziele/Anforderungen (5) Mensch-System-Koop.
(Stakeholder)
Herausforderungen
CPS-Capabilities
Gesellschaftliche Herausforderungen
(a) Nutzen/Benefit – Akzeptanzfaktoren
(b) Systemfähigkeiten „Realisierungs-“ Herausforderungen
– Dienste/funktional – Technologien und Engineering
– Quality in Use Geschäftsmodelle
CPS-Technologien – Wertschöpfung in Ökosystemen
– Quality of Service
– Compliance
(c) Technologien
– Architektur (Umgebung)
(d) Engineering
– Anwendungsebene Folgerungen
– Funktionsebene
– Komponentenebene – Forschungsthemen
– SW-/HW-Ebene – Ausbildung
– Methoden, Techniken – Rahmenbedingungen
– Architekturkonzepte
– Validierung & Verifikation

1.4.1.1 Analyse und Strukturierungskonzept der Agenda Auf Basis dieser Analyse ihrer Fähigkeiten werden die neu-
Anhand der Beschreibung von Szenarien und Beteiligten en evolutionären und revolutionären Eigenschaften von
beziehungsweise darin agierender Komponenten, Systeme Cyber-Physical Systems systematisch charakterisiert:
und Dienste, die sich entsprechend optimaler Annahmen
verhalten, werden (1) Verschmelzung von physikalischer und virtueller Welt
(2) System of Systems mit dynamisch wechselnden System-
—— Nutzer und Stakeholder der Anwendungen erfasst, grenzen
—— ihre Ziele sowie die Funktionsweise und Architektur (3) kontextadaptive und teils oder ganz autonom handeln-
(Inter­
aktion, Rollen und Aufgaben) der Anwendung de Systeme, aktive Echtzeitsteuerung
analysiert und (4) kooperative Systeme mit verteilter, wechselnder Kontrolle
a) Nutzen und Mehrwert für die Stakeholder sowie (5) umfassende Mensch-System-Kooperation
b) Fähigkeiten beteiligter Cyber-Physical Systems
(sowohl einzelner als auch vernetzter) und darauf Mit diesen Eigenschaften und Fähigkeiten verbunden sind
basierender Dienste vielfältige Möglichkeiten und Herausforderungen bei der
herausgearbeitet. Realisierung und Beherrschung innovativer CPS-Dienste

26
Einführung

und -Anwendungen. Antworten sind zu geben auf offene Kunden und Endanwendern auch um im weiteren Sinn be-
Fragen, etwa nach der gesellschaftlichen Akzeptanz, nach troffene Unternehmen, Organisationen oder gesellschaft-
Zielkonflikten und erforderlichen Garantien von erweiterter liche Gruppen handeln. Aufgezeigt wird, welchen Nutzen
Betriebs- und IT-Sicherheit, Verlässlichkeit und Schutz der sowie welche Dienste und Leistungen Cyber-Physical Sys-
Privatsphäre. Ferner gilt es, fehlende Gestaltungs- und Lö- tems für diesen Kreis erbringen und welcher Mehrwert
sungskonzepte, erforderliche Technologien und grundle- durch ihren Einsatz entsteht (Value/Quality in Use, Nutzen­
gende Forschungsfragen zu identifizieren und erforderliche versprechen). Beispiele für Nutzeneffekte sind etwa effizien-
Lösungs- und Bewältigungsstrategien aufzuzeigen. Auch te medizinische Versorgung, mehr Sicherheit und Schutz im
das geschieht auf der Grundlage der Use-Case- und Szena- Straßenverkehr allgemein oder mehr Komfort und Assistenz
rio-Analysen, ebenso wie die strukturierte Beschreibung der für Fahrer und Mitfahrer im Stadtverkehr im Besonderen.
CPS-Kerntechnologien und Engineering-Kompetenzen.
(b) Systemfähigkeiten (System Capabilities)
CPS-Trends, Systemwandel und Dynamik der Innovationen bezeichnet Fähigkeiten (Funktionen, Dienste, Eigenschaf-
stellen traditionelle Systementwicklungen, Industrien und ten), die Cyber-Physical Systems besitzen oder erbringen
Dienstleister vor große wirtschaftliche Herausforderun- und die benötigt werden, um den unter (a) dargestellten
gen. Der genannte Systemwandel und die offen vernetzte Nutzen einer CPS-Anwendung zu schaffen oder den mit
Komplexität von Cyber-Physical Systems machen es erfor- der Anwendung verbundenen Herausforderungen und Ri-
derlich, entsprechende Aufgaben beziehungsweise Rollen siken (Datenschutz, Datensicherheit, Kontrollverlust) zu be-
der beteiligten Unternehmen zu entwickeln, dazu neue gegnen – gegebenenfalls im Zusammenspiel mit anderen
Geschäftsmodelle sowie Organisations- und Kooperations- Systemen und Beteiligten. Ebenso wie unter (a) werden er-
formen. Auch diese Architektur der Wertschöpfungsnetze forderliche Fähigkeiten betrachtet, damit ein Gesamtsystem
und Anwendungsplattformen wird durch die Analyse und von relevanten Anwendungssituationen, -prozessen und
Modellierung der CPS-Szenarien und der dahinterliegenden -zielen funktioniert. Dazu gehören sowohl generische Fähig-
Systemarchitekturen erfasst. keiten, etwa das Auffinden geeigneter Dienste im Internet
oder der Schutz personenbezogener Daten als auch anwen-
Auf der Basis der Analyseergebnisse werden in Kapitel 7 dungsspezifische Fähigkeiten, zum Beispiel Routenoptimie-
die zentralen Herausforderungen zusammengefasst, die Cy- rung, die Beeinflussung des Verkehrsflusses an Kreuzungen
ber-Physical Systems für Forschung, Entwicklung, Wirtschaft mittels Taktung der Ampelphasen entsprechend aktuellen
und Gesellschaft bedeuten, und erforderliche Anstrengun- Messungen nach einer festgelegten Strategie, die sichere
gen, vor allem im Bereich der Ausbildung und des Aufbaus Kommunikation zwischen Fahrzeugen sowie der Aufbau ei-
von Engineering-Kompetenzen, abgeleitet. nes Umgebungsmodells samt Lagebestimmung.

1.4.1.2 Taxonomie der CPS-Fähigkeiten (c) CPS-Technologien (Technologies)


Die Analyse charakteristischer Anwendungsszenarien iden- umfassen bestehende ebenso wie noch zu entwickelnde
tifiziert und strukturiert die Fähigkeiten von Cyber-Physical Komponenten, Techniken und Verfahren (für Software,
Systems nach den folgenden vier Gesichtspunkten: Elektronik, Mechanik), die für die Realisierung von CPS-
Anwendungen benötigt werden, um die unter (b) aufge-
(a) Nutzen (Benefit) führten Systemfähigkeiten zu beherrschen und den unter
bezeichnet den Nutzen und den Mehrwert eines Cyber-Phy- (a) beschriebenen Nutzen zu realisieren. Beispiele für CPS-
sical Systems für Nutzergruppen. Dabei kann es sich neben Technologien sind Mustererkennung, intelligente Sensoren,

27
agendaCPS

Echtzeitregelung, IP-Protokolle als Regelwerke der für die Umsetzung nichtfunktionaler Anforderungen, zum
Internet-Kommunikation oder Verschlüsselungstechni- Beispiel Brauchbarkeit, Verlässlichkeit, Betriebssicherheit,
ken. Technologien betreffen unterschiedliche System­ IT-Sicherheit oder Schutz der Privatsphäre.
ebenen und Architekturen: Gesamtsystem, Mensch-System-
Um­gebungs-Interaktion und Schnittstellen, Vernetzung,
Subsysteme, Software und Hardware, Sicherheitstechniken 1.4.2 Validierung der Ergebnisse
und Kommunikationstechnik.
Die Analysen wurden unterstützt und begleitet durch Exper-
(d) Engineering-Kompetenzen ten-Workshops, Interviews und die systematische Analyse
(Engineering Capabilities) aktueller Forschungsprogramme, Projekte und Anstrengun-
umfassen erforderliche Engineering-Fähigkeiten und Fertig­ gen in Wissenschaft und Praxis. Ergebnisse und zentrale
keiten (Prinzipien, Verfahren, Methoden, Techniken und Aussagen des Projekts wurden in mehreren Iterationen im
Best Practices sowie integrierte Werkzeugkonzepte verschie- Rahmen von Workshops mit Industrie- und Forschungs­
dener Disziplinen) für die zielführende Entwicklung, Gestal- partnern hinterfragt und systematisch konsolidiert.
tung, Realisierung und den Betrieb sowie für die Evolution
und den nachhaltig lohnenden Einsatz von Cyber-Physical Die in diesem Dokument präsentierten Ergebnisse sind als
Systems, dies durch Nutzung der unter (a) und (b) zusammen­ Ausgangspunkt für weitere vertiefende Untersuchungen zu
gefassten Fähigkeiten und Eigenschaften. Beispiele für CPS-Kernfähigkeiten und -Technologien, ihren Potenzialen,
solche Kompetenzen sind Methoden der Modellierung, An- Herausforderungen und erforderlichen (Forschungs-)Anstren-
forderungsspezifikation, Konstruktion und der durchgängi- gungen zu verstehen. Damit soll der Grundstein für eine offe-
gen Qualitätssicherung (Validierung und Verifikation), aber ne und umfassende Diskussion der gesellschaft­lichen Bedeu-
auch der Einsatz von Architekturprinzipien und Konzepten tung von Cyber-Physical Systems gelegt werden.

28
Visionen, Charakteristika und Fähigkeiten

2 Cyber-Physical Systems: Visionen,


Charakteristika und neue Fähigkeiten
Cyber-Physical Systems können ihr Potenzial in vielerlei Sze- und zwar sowohl hinsichtlich Technologie, Gestaltung und
narien entfalten. Das gilt in besonderem Maß, wenn unter­ Einsatz der Systeme als auch der damit verbundenen He­
schiedliche Anwendungsbereiche zusammentreffen, wie rausforderungen für die Forschung und Entwicklung inno-
beispielsweise in einer „intelligenten Stadt“ („Smart City“). vativer Sys­teme und Anwendungen.
Abbildung 2.1 skizziert exemplarisch mögliche CPS-Anwen-
dungssysteme und ihre Beziehungen untereinander als Entsprechend der erklärten Methodik der Agenda (siehe
Bestandteile „intelligenter Städte“ und Wirtschafts­räume. Abschnitt 1.4) bilden diese Ergebnisse die Basis für eine
Zukünftige CPS-Szenarien und ihre Nutzenpotenziale sind detaillierte Analyse und Bestimmung des Standes der Tech-
in verschiedenen ineinandergreifenden Anwendungs­ nologie (Kapitel 5) sowie der Innovationsfähigkeit Deutsch-
bereichen und -szenarien denkbar. lands auf dem Gebiet der Cyber-Physical Systems (Kapitel
6 und 7).
Um Cyber-Physical Systems und ihre Potenziale zu charakte-
risieren und die mit ihnen verbundenen Herausforderungen
zu analysieren, werden zunächst wesentliche CPS-Szenarien 2.1 Ineinandergreifende Anwendungs­
beschrieben: bereiche

—— intelligente Mobilität (Smart Mobility) Abbildung 2.1 veranschaulicht in einer Art Beziehungs­
—— Fernbetreuung und -diagnose in der Medizin (Smart modell einen wesentlichen Aspekt der zukünftigen Entwick-
Health) lung: Die Zukunftsszenarien entwickeln sich nicht isoliert,
—— intelligente Energienetze (Smart Grid) sondern stehen im Rahmen übergreifender Nutzungs­
—— intelligent vernetzte Produktion (Smart Factory). szenarien in vielfältigen Beziehungen, Abhängigkeiten und
Wechselwirkungen zueinander. Diese Wechselwirkungen
Leseanleitung für die Szenarien: gehen soweit, dass ohne bestimmte Entwicklungen in ei-
Die nachfolgenden Zukunftsszenarien sind in Form beispiel- nem Szenario Voraussetzungen in benachbarten Szenarien
hafter zukünftiger Nutzungsszenarien beschrieben. Als an- fehlen können, um die dort vorhandenen Möglichkeiten
schauliche Visionen verdeutlichen sie Innovationspotenzial, vollständig zu entfalten.
neue Funktionalitäten und Mehrwert von Cyber-Physical
Systems für Gesellschaft und Wirtschaft. Die Ausgangsbasis für die folgende Beschreibung dieses
Beziehungsmodells soll ein Szenario der Elektromobilität
Insbesondere aus den beiden ersten Szenarien, Smart Mobi- sein, dessen Beziehungen und Wechselwirkungen mit den
lity und Smart Health, werden die besonderen Fähigkeiten anderen Bereichen dargestellt werden.
und Nutzenpotenziale von Cyber-Physical Systems abge­
leitet und in diesem Zusammenhang analysiert. Ausführ- So greifen die Bereiche Elektromobilität und Produkti-
lich und systematisch dargestellt wird ihre Bedeutung in on und Logistik ineinander. Wesentliche Aspekte wie die
Abschnitt 2.6. kontextbezogene Optimierung von Routenplanung und
Verkehrsführung erlangen eine besondere Bedeutung für
Ebenfalls auf der Grundlage der Szenarienanalyse findet elektrisch betriebene Fahrzeuge, denn die Routen der Fahr-
in den anschließenden Kapiteln 3 und 4 eine umfassende zeuge müssen verbindlich entlang der Ladestationen geplant
Auseinandersetzung mit Fragen und Anforderungen statt, werden. Sobald ein Elektrofahrzeug an eine Ladestation

29
agendaCPS

Abbildung 2.1: Ineinandergreifende CPS-Anwendungsbereiche und übergreifende Nutzungsprozesse. Die Szenarien sind in den Abschnitten 2.2
bis 2.5 detailliert beschrieben.

SMART CITY – DOMÄNENÜBERGREIFENDE PROZESSE – LEBEN, ARBEIT, KULTUR UND FREIZEIT

Mobilität Gesundheit Governance Gebäudemanagement Produktion


Logistik

Ambient Assisted Living Smart Home

Smart Mobility Smart Factory

E-Health

E-Mobility Micro Grid Smart Logistics

CPS-Plattform Smart Grid ...

Kommunikationsnetze, Versorgungsinfrastruktur und -systeme

Szenario im Dokument beschrieben


Szenario nicht im Dokument beschrieben

angeschlossen wird, wird es zum integrativen Bestandteil Zeiten verlegt werden, in denen Strom kostengünstig ver-
des Smart Grid und kann dadurch auch beispielsweise als fügbar ist. Diese Zeiten sind zukünftig ebenfalls flexibel.
Spitzenlastpuffer genutzt werden. Speziell in einem Grid, Im Gegenzug hat das Starten, Stoppen oder Ver­legen von
das stark auf regenerative Energien ausgerichtet ist, gilt es, Produktionsschritten eine rückkoppelnde Wirkung auf das
nicht nur den regionalen und zeitlichen Bedarf an Lade- Smart Grid. Smart Factory und Smart Grid sind somit eng
strom zu planen, sondern auch die Potenziale wirklich zu miteinander verwoben. Die Verbindung zwischen Smart
heben, die für eine größere Anzahl an Ladestationen ange- Factory und Kunden bilden die Smart Logistics. Transport-
schlossener Elektrofahrzeuge als Spitzenlastpuffer dienen kosten sind wesentlicher Bestandteil der Planung, wenn
können. es um die Flexibilisierung über Produktionsstätten hinweg
geht. Letztlich gelangen fertige Produkte über die Smart
Für die im Szenario Smart Factory beschriebene vernetzte Logistics zu den Kunden.
und flexibel integrierte Produktion wird die Verfügbarkeit
von Energie zum richtigen Zeitpunkt zu einer wichtigen Private Haushalte und Betriebe fungieren somit nicht nur
Steuergröße. Energieintensive Produktionsschritte sollten in als Knotenpunkte in intelligenten Logistiknetzwerken,

30
Visionen, Charakteristika und Fähigkeiten

sondern auch im Smart Grid. In Form intelligenter Strom­ len der Beteiligten lassen sich Cyber-Physical Systems in
zähler (Smart Meter) und weiterer Sensoren aus dem Bereich folgenden Hinsichten unterscheiden:
der intelligenten Gebäudetechnik (Smart Home) gelangen
Cyber-Physical Systems in private Umgebungen und ermög- —— Grad der Vernetzung, gegebenenfalls in Echtzeit, und
lichen damit eine Vielzahl neuer Dienste (Home Automati- der Kooperation der Teilsysteme
on Services). Diese erhalten eine besondere Bedeutung für —— Art und Umfang der Mensch-System-Interaktion. Diese
ältere Menschen im Bereich Ambient Assisted Living (AAL): ist in industriellen Anwendungen geprägt durch kom-
Cyber-Physical Systems können es möglich machen, dass plexe Bedien-, Überwachungs- und Koordinationsauf­
ältere Menschen länger eigenständig in ihren Wohnungen gaben, während die Systeme sich im Bereich der priva-
leben. Zu diesem Zweck werden Cyber-Physical Systems aus ten Nutzung an Kontext, Bedürfnisse und Fähigkeiten
den Bereichen Smart Home und E-Health miteinander kom- der Nutzer interaktiv anpassen müssen; das gilt in be-
biniert. Ein solches System erkennt beispielsweise, wenn sonderem Maß für AAL-Anwendungen. Nur durch diese
sich in einem Raum über einen definierten Zeitraum hin- Anpassungen können sie Situationen mithilfe vernetz-
weg niemand mehr aufhält, während dort Herd oder Bügel- ter Sensor- und Anwendungsdaten zutreffend interpre-
eisen eingeschaltet ist, und löst einen Alarm aus. tieren und, diesen komplexen Anforderungen entspre-
chend, auf interaktive Weise koordinieren und steuern.
Diese Systeme können für ältere Menschen erhebliche Hil- —— Grad der Offenheit und Autonomie beim Lösen von
fe leisten; ihren Nutzen entfalten sie aber auch im Bereich Kommunikations-, Koordinations-, Steuerungs- und
der Smart Mobility. Die künftigen Fahrerassistenzsysteme Entscheidungsaufgaben und die daraus resultierende
kommen gerade älteren Menschen zugute, die damit länger Verlässlichkeit und Berechenbarkeit für Nutzer bezie-
aktiv am Straßenverkehr teilnehmen können. Damit schließt hungsweise für verbundene Systeme
sich der Kreis.
Die zugrundeliegenden Infrastruktursysteme müssen
In dieser Hinsicht zeigt die Abbildung auch eine Unter- besonders hohe Anforderungen hinsichtlich Verlässlich-
scheidung zwischen unterschiedlichen Cyber-Physical Sys- keit, Sicherheit – sowohl Betriebssicherheit als auch IT-
tems: Einerseits gibt es horizontal ineinandergreifende Sicherheit – und Integrität erfüllen.
Infrastruktursysteme, zum Beispiel in Echtzeit vernetzte
Smart Grids, Verkehrsmanagementsysteme oder globa-
le Logistiknetze. Andererseits sind hierauf aufsetzende 2.2 Smart Mobility – Assistenz, Komfort und
interoperable CPS-Anwendungssysteme und -szenarien Sicherheit durch kooperierende Systeme
möglich, etwa im Rahmen der genannten integrierten
Konzepte für das Gebäudemanagement (Smart Home) Die Teilszenarien innerhalb des Gesamtszenarios Smart
mit Unterstützung älterer Menschen im Bereich AAL oder Mobility beschreiben die Zukunft der Mobilität unserer
die individuelle Nutzung intelligent vernetzter Sicherheits- Gesellschaft unter Ausnutzung der rasanten Entwicklung
und Assistenzsysteme im Straßenverkehr (siehe auch Ab- der Informations- und Kommunikationstechnologie. Diese
schnitt 2.2). beruht auf einer umfassenden Umwelterfassung und Ver-
netzung von Transportmitteln beziehungsweise Fahrzeu-
Abhängig von den Aufgaben und Einsatzzielen der Sys­ gen, Verkehrsinfrastruktur und Individuen. Das schafft
teme, den jeweiligen Anwendungskontexten und den Zie- innovative Möglichkeiten, sowohl individuelle Bedürfnisse

31
agendaCPS

als auch gesellschaftspolitische Aspekte zu berücksichtigen verbunden und macht ihr Vorschläge für die Fahrt vom Mün-
und hierbei unter anderem Beiträge zur Unfallvermeidung, chener Westen zur Abholung ihrer Kinder in der Münchener
Innenstadt und weiter zu ihrer Mutter in den Münchener
zum Umgang mit begrenzten Energieressourcen und zur Re- Osten. Sie entscheidet sich dafür, bis zum S-Bahnhof nahe dem
duzierung der Umweltbelastung zu leisten. Gymnasium ihrer Kinder mit öffentlichen Verkehrsmitteln zu
fahren, da dies die energieeffizienteste und preiswerteste Alter-
native ist. Dort will Frau Müller sich mit ihren Kindern treffen
Sabine Müller ist Geschäftsfrau und lebt mit ihrem Mann und die Reise zu ihrer Mutter mit einem Car-Sharing-Fahrzeug
und ihren zwei Söhnen in einer Kleinstadt im Westen Mün- (CSF) fortsetzen. Hierbei entscheidet sie sich explizit für ein
chens. Ihr Haus befindet sich in einem Neubauviertel mit Hybrid-Fahrzeug mit der Fähigkeit des autonomen Fahrens.
einer modernen CPS-Infrastruktur: Echtzeit-Internet ist überall Die notwendigen Reiseunterlagen wie S-Bahn-Ticket und CSF-
verfügbar, Objekte innerhalb des Viertels sind mit Sensoren Autorisierung werden auf das Mobilgerät von Frau Müller
ausgestattet, miteinander vernetzt und tauschen Daten in übertragen.
Echtzeit aus.
(2) Vor Fahrtantritt wird Frau Müller über ihr Mobilgerät darü-
ber informiert, dass es bei der S-Bahn München eine Stellwerks-
störung gibt und deshalb mit erheblichen Verspätungen zu
In den folgenden Abschnitten werden anhand von Aus- rechnen ist. Über ihr Mobilgerät wird ihr vorgeschlagen, bereits
schnitten aus einem fiktiven Tagesablauf von Frau Müller ab ihrem Zuhause ein CSF zu buchen. Frau Müller folgt dem
Vorschlag, worauf ihr ursprüngliches S-Bahn-Ticket automatisch
drei visionäre CPS-Szenarien illustriert, ihre Funktions­weisen storniert und die CSF-Autorisierung bereits ab ihrem Zuhause
knapp erläutert, die damit verbundenen neuen Fähigkeiten auf ihr Mobilgerät übertragen wird. Kurz darauf wird Frau Mül-
von Cyber-Physical Systems identifiziert und anschließend ler über die bevorstehende Ankunft des CSF informiert.
Mehrwert und Potenzial von Cyber-Physical Systems für (3) Gleichzeitig werden auch die Kinder informiert, dass ihre
Mutter sie nun mittels eines CSF direkt am Gymnasium abho-
Nutzer, Gesellschaft und Wirtschaft zusammengefasst. len wird.

Es werden folgende Szenarien betrachtet:


Funktionsbeschreibung
—— Cyber-Physical Systems als umfassende Planungs- und Frau Müller ist über ihr Mobilgerät mit dem Internet und
Mobilitätsassistenten ihrer eigenen Private Cloud11 vernetzt. Ein Assistenzdienst –
—— Sicherheit im Verkehr durch kooperierende Systeme eine „Assistenz-App“12, die lokal auf einem Mobilgerät oder
—— effiziente und sichere Fahrt sowie Koordination auf in der Cloud läuft – erstellt automatisch nach Vorgabe
engem Raum durch autonome Systeme. Vorschläge zur Tagesplanung und übernimmt auch die Pla-
nung von Reisen. Auf Basis der Informationen über Datum,
Uhrzeit, Ziel, Zwischenziel und des maximalen Budgets er-
2.2.1 CPS als umfassende Planungs- und mittelt der Assistenzdienst verschiedene Alternativen. Hier-
Mobilitätsassistenten zu fordert er Daten über Verkehrsaufkommen und Staus für
die gesamte Strecke sowie über die Schulzeiten der Kinder
Szenario von Dienstleistern – vom Betreiber des öffentlichen Nah­
(1) Frau Müller trägt den Besuch bei ihrer Mutter am Freitag­ verkehrs, vom Car-Sharing-Center oder Verkehrsmanage-
vormittag in ihr Mobilgerät ein: Sie gibt nur ihre Zeit- und mentsystemen13 aus dem Netz an. Die berechneten Alter-
Ortsziele an sowie einen maximalen Kostenbetrag für die
Gesamtstrecke. Das Mobilgerät ist mit diversen Dienstleistern nativen werden in einer Rangfolge angezeigt.

11 Eine Privat Cloud bietet Zugang zu abstrahierten IT-Infrastrukturen innerhalb des eigenen Umfelds.
12 Auch Softwareassistenz oder Electronic Coach genannt.
13 Ein Verkehrsmanagementsystem kann für einen Verkehrsabschnitt realisiert sein oder nur virtuell existieren beziehungsweise verteilt in den

beteiligten Fahrzeugen. Es wird sich in der Regel nicht um ein zentrales, allumfassendes Verkehrsmanagementsystem handeln, sondern um
mehrere kooperierende Verkehrsmanagementsysteme.

32
Visionen, Charakteristika und Fähigkeiten

Abbildung 2.2: Vernetzte Komponenten und Beteiligte der umfassenden Mobilitätsassistenz und ihre situationsspezifische Koordination, symboli-
siert durch direkte Verbindungen zwischen Beteiligten und mit global vernetzten CPS-Diensten

SCH
ULE

CAR
SHA
RIN
G

33
agendaCPS

Nach Auswahl einer Alternative überwacht der Assistenz- 2.2.2 Sicherheit im Verkehr durch
dienst im Hintergrund stets die Reiseplanung und gibt Hin- kooperierende Systeme
weise, sobald ein Problem beziehungsweise eine Änderung
bei der ausgewählten Route auftritt. Ist eine neue Route oder Szenario
ein alternatives Verkehrsmittel auf Teilstrecken erforderlich Frau Müller befindet sich auf dem Weg zur Schule ihrer Kin-
der. (15) Das Fahrzeug bewegt sich auf das Gymnasium zu.
und verschieben sich dadurch Abfahrtszeiten oder Zwischen- Gleichzeitig unterstützt das mit einer Back-end-Infrastruktur
halte entlang der Route, informiert der Dienst zum einen alle und mit anderen Verkehrsteilnehmern vernetzte Fahrzeug
Beteiligten – Frau Müller und ihre Kinder –, zum anderen Frau Müller in einem hohen Grad bei der Fahrzeugführung.
(16) Beispielsweise verringert es selbstständig die Geschwin-
kümmert er sich um die neue Route inklusive Anforderung digkeit bei vorgeschriebener Geschwindigkeitsbegrenzung.
beziehungsweise Buchung der alternativen Verkehrsmittel. (17) Bei der Vorbeifahrt an einem haltenden Schulbus mit
eingeschaltetem Warnblinklicht in unmittelbarer Nähe des
Gymnasiums leitet das Fahrzeug plötzlich selbstständig eine
Die Daten des Assistenzdienstes werden auch an den Vollbremsung ein. Frau Müller sieht ein Kind hinter dem
Service-Computer im CSF weitergegeben und lösen hier Schulbus direkt vor ihr Fahrzeug laufen. Dieses kommt recht-
zeitig zum Stehen und ein Blick in den Rückspiegel überzeugt
verschiedene Aktionen aus; zum Beispiel wird das Ziel Frau Müller, (18) dass auch die hinter ihr fahrenden Fahr-
samt Umweg über die Schule ins Navigationssystem einge­ zeuge rechtzeitig autonom abgebremst haben. Nach einer
speichert, das voraussichtliche Verkehrsaufkommen samt zu Schrecksekunde setzt Frau Müller die Fahrt fort.
erwartender Staus für die gesamte Strecke wird abgefragt (19) Am Gymnasium steigen die Kinder ein und Frau Müller
verlässt mit dem Auto das Gelände des Gymnasiums. (20)
und die Reise wird vorbereitet, indem etwa Filme, Musik Gerade losgefahren, bekommt Ihr Fahrzeug die Meldung,
und aktuelle Informationen heruntergeladen werden, um dass die Feinstaubbelastung den Tageshöchstwert überschrit-
den CSF-Insassen die Fahrzeit zu verkürzen. ten hat und nur noch emissionsfreie Fahrzeuge zur Weiter-
fahrt berechtigt sind. Das Fahrzeug prüft, ob die vorhandene
Batteriekapazität ausreicht und schaltet auf Elektrobetrieb
Identifizierte Dienste und Fähigkeiten und ihr um. Frau Müller setzt ihre Fahrt in den Münchener Osten zu
Mehrwert ihrer Mutter fort.

In den Schritten (1) und (2) wird deutlich, wie Cyber-Physi-


cal Systems als Planungs- und Koordinationsassistenz eine Funktionsbeschreibung
Reise komfortabel, stressfrei und effizient gestalten und Die Sensorik der Infrastruktur auf der Straße zum Gymnasi-
dabei Aspekte wie Ökologie und Ökonomie unterstützen um – in Laternen, Häusern, der Schule, auf Gehwegen etc. –
können. Das erfordert die Fähigkeit, auf neue Situationen sowie der fahrenden und parkenden Fahrzeuge erfasst
einzugehen, da die einzelnen Systeme untereinander stän- gefährliche, aber auch gefährdete Objekte und Personen.
dig reiserelevante Informationen – etwa über Wetter, Ver- Deren Position wird über die Infrastruktur der Straße bezie-
kehr und Ressourcen – austauschen. Frau Müllers Assistenz­ hungsweise über eine Fahrzeug-zu-Fahrzeug-Kommunikation
dienst koordiniert und steuert diverse Teilsysteme und kann, übermittelt. Die Kommunikation findet stets in Echtzeit statt,
basierend auf den eintreffenden Informationen, bei Bedarf also ohne Verzug. Im Fahrzeug von Frau Müller verarbeitet
automatisch Vorschläge für ein Umplanen der Reise ma- der Assistenzdienst die Informationen und trifft daraufhin
chen. Sie muss sich deshalb nicht selber um Änderungen eine Entscheidung für eine Gegenmaßnahme – hier: Voll-
im Reiseablauf informieren und spart so Zeit. bremsung. Gleichzeitig werden alle anderen Fahrzeuge in der
Umgebung darüber informiert, und zwar über die Infrastruk-
tur und über andere Fahrzeuge. Bei Bedarf leiten die Fahrzeu-
ge in der Umgebung auch Gegenmaßnahmen ein, etwa die
Bremsung der Fahrzeuge hinter dem von Frau Müller.

34
Visionen, Charakteristika und Fähigkeiten

Identifizierte Dienste und Fähigkeiten und ihr Mehrwert Um die im Szenario-Ausschnitt beispielhaft beschriebenen
In den Schritten (16), (17) und (18) wird deutlich, wie die Gefahren abwehren zu können, müssen Cyber-Physical
Assistenzsysteme im Fahrzeug von Frau Müller in Kombi- Systems selbst Entscheidungen treffen und automatisch
nation mit der lokalen Infrastruktur (Sensoren an der Stra- umsetzen. Im Szenario wird die Geschwindigkeit bei der
ße, an Fußgängerüberwegen, im Bus etc.) sowie mit Ver- Wahrnehmung des Schulbusses verringert; bei der Wahr-
kehrsmanagementsystemen in Gefahrensituationen sofort nehmung des Kindes werden eine Vollbremsung des CSF
reagieren und notwendige Gefahrenabwehrmaßnahmen von Frau Müller und in der Folge automatische Bremsungen
einleiten können. Die Anzahl der Verletzten und Toten im der Fahrzeuge dahinter eingeleitet. Eine besondere Heraus-
Straßenverkehr kann dadurch wesentlich gesenkt, die Ver- forderung besteht darin, dass man hier nicht vom Idealfall
kehrssicherheit stark erhöht werden. ausgehen kann, in dem alle Beteiligten miteinander ver-
netzt sind und alle relevanten Informationen austauschen.
Das hat auch einen großen ökonomischen Effekt: Verkehrs- Entscheidungen müssen daher basierend auf unscharfem
unfälle verursachen allein in Deutschland jährlich – direkt Wissen getroffen werden, ohne hierdurch eine zusätzliche
und indirekt – einen Schaden von zirka 30 Milliarden Euro Gefährdung herbeizuführen.
[BAS11], der durch den Einsatz von Cyber-Physical Systems
bedeutend verringert werden kann.

Abbildung 2.3: Illustration der Vernetzung und adaptiven Echtzeitkoordination der Fahrzeuge und der intelligenten Infrastruktur in einer Gefahren­
situation

35
agendaCPS

2.2.3 Effiziente und sichere Fahrt und Funktionsbeschreibung


Koordination auf engem Raum durch Das autonome Fahrzeug verfügt über die Information, auf
autonome Systeme welchen Strecken autonomes Fahren aufgrund der vorhan-
denen Infrastruktur zugelassen ist. Auf solchen Strecken
Szenario müssen eine voll ausgestattete Infrastruktur und eine hohe
(4) Während Frau Müller auf einer Landstraße Richtung Auflösung des Umweltwissens vorhanden sein. Beim Über-
Auto­bahn fährt, erfährt sie über andere vernetzte Autos von
einem Unfall auf der vor ihr liegenden Strecke. Das zentrale gang vom teilautonomen in den autonomen Modus muss
Verkehrsmanagement schlägt Frau Müller zudem eine Alter- ein kontrollierter und sicherer Übergang durch die Mensch-
nativ-Route vor und berücksichtigt dabei ihre zuvor gemach- Maschine-Schnittstelle gewährleistet sein. Das CSF von Frau
ten Zeit-, Orts- und Kostenvorgaben. (5) Frau Müller schlägt
die vorgeschlagene Alternativ-Route ein und gelangt mit nur Müller kommuniziert sowohl mit anderen Fahrzeugen als
kurzer Verspätung zur Autobahnauffahrt. auch mit der Infrastruktur. Weiterhin wird stets ihre Position
(6) Kurz vor der Auffahrt auf die Autobahn wird Frau Müller mit einem oder mehreren Verkehrsmanagementsystemen
darüber informiert, dass gleich die Kontrolle vom Fahrzeug
abgeglichen, die auf Basis der Daten der Infrastruktur und
übernommen wird. Frau Müller erteilt ihre Zusage und (7)
das Fahrzeug übernimmt mit der Auffahrt auf die Autobahn der Fahrzeuge auf dem Autobahnabschnitt über ein virtuel-
die Kontrolle. les Gesamtmodell der Umgebung verfügen. Das Modell be-
(8) Da durch einen Unfall auf der Landstraße eine Zeitver- sitzt Informationen über feste und bewegliche Objekte samt
zögerung eingetreten ist, schlägt das Fahrzeug vor, sich in
einen Konvoi auf der Premiumspur einzureihen. Dieser Service
ihrer Bewegungsrichtungen und -geschwindigkeiten, über
ist extra zu vergüten, wobei die Buchung und Abrechnung geplante Aktionen sowie über die Art der Objekte und deren
automatisch über das Fahrzeug erfolgen. Frau Müller stimmt Gefährdungsgrad. Zu berücksichtigen ist hierbei auch, dass
zu und das Fahrzeug reiht sich in den Konvoi ein.
auf der Autobahn auch nichtvernetzte beziehungsweise nur
(9) Während der Fahrt im Konvoi beantwortet Frau Müller
auf ihrem Mobilgerät E-Mails und informiert sich über Neuig- teilautonom agierende Verkehrsteilnehmer zugelassen sind.
keiten. (10) Währenddessen verlässt der Konvoi die Premium­
spur – eine kostenpflichtige Schnellspur für voll autonome Auf Straßen mit einer Infrastruktur für autonomes Fahren wird
Fahrzeuge –, um einem Krankenwagen Vorfahrt zu gewähren, der Mehrwert eines vernetzten, verteilten und kooperieren-
und reiht sich danach wieder auf die Premiumspur ein. den Verkehrsmanagements deutlich: Sonderfahrzeuge kön-
(11) Dem CSF von Frau Müller wird auf Basis einer optimalen nen gesondert behandelt werden, etwa der Krankenwagen
Verkehrsauslastung eine andere als die ursprünglich genann-
te Ausfahrt zugewiesen, sodass sie ihre Fahrt auf einer nicht in Schritt (10), der so priorisiert wird, dass die Verkehrs-
für das autonome Fahren geeigneten Straße wird fortsetzen teilnehmer, die seine Fahrt verlangsamen würden, auto-
müssen, auch hier mit optimaler Routenführung (12). Nach matisch auf andere Spuren ausweichen. Dazu muss der
einiger Zeit wird Frau Müller darauf hingewiesen, dass in Kür-
ze die Autobahn verlassen und dabei die Kontrolle über das Kranken­wagen einen zu priorisierenden Notfall anmelden.
Fahrzeug wieder an sie übergeben wird. Frau Müller beendet Basierend auf seinen Start- und Zielkoordinaten und den
ihre Arbeit mit dem Mobilgerät und wendet sich wieder dem
erfragten Verkehrsdaten wählt der Krankenwagen einen op-
Straßenverkehr zu. Sie bestätigt ihre Bereitschaft zur Über-
nahme der Kontrolle. (13) Kurz darauf schert das Fahrzeug timalen Weg. Die Fahrzeuge entlang dieses Wegs erhalten
aus dem Konvoi aus und verlässt die Autobahn, (14) wobei eine Mitteilung über die Prioritätsfahrt. Dem Kranken­wagen
die Kontrolle an Frau Müller zurückgegeben wird.
wird beispielsweise auf der Premiumspur der Autobahn Vor-
rang eingeräumt und der Konvoi bekommt die Anweisung,
die Premiumspur vorübergehend zu verlassen und sie nach
Passieren des Krankenwagens wieder zu benutzen.

36
Visionen, Charakteristika und Fähigkeiten

Abbildung 2.4: Illustration der Modiwechsel vom teilautonomen zum autonomen Fahren und umgekehrt (Szenario-Schritte 8 bis 12)

SCH
ULE

Wechsel Wechsel
Start teilautonomes in den autonomes in den teilautonomes Ziel
Fahren autonomen Fahren teilautonomen Fahren
Modus Modus

150
120
100

37
agendaCPS

Auf der Premiumspur sind nur Fahrzeuge zugelassen, die denen Informationen über Verkehrsauslastung und Staus
über eine entsprechende Vernetzung verfügen. Aus diesem auf dem Weg zum Ziel von Frau Müller.
Grund ist die Premiumspur auch stets mittels der Infrastruktur
und der Sensorik vernetzter Fahrzeugs auf nicht autorisierte Beim Übergang vom vollautonomen Modus auf einen
Fahrzeuge hin zu überwachen; bei Verstößen müssen Ge- teilautonomen Modus, in diesem Szenario also beim Ver-
genmaßnahmen eingeleitet werden. Die Benutzung der lassen der Autobahn, muss ein sicherer Kontrollübergang
Premiumspur wird automatisch über das CSF von Frau Mül- gewährleistet sein. Insbesondere ist eine Fehlerbehandlung
ler mit dem Betreiber der Premiumspur abgerechnet. Die vorgesehen, falls der Fahrer nicht die Kontrolle übernehmen
Sicherheitsabstände auf der Premiumspur sowie die gefah- kann, weil er beispielsweise durch gesundheitliche Beein-
renen Geschwindigkeiten können je nach Verkehrssituation trächtigung, Übermüdung oder Unaufmerksamkeit nicht
dynamisch angepasst werden. Die Zuweisung beziehungs- dazu in der Lage ist. Die Übergabe wird über akustische
weise Auswahl einer Ausfahrt erfolgt aufgrund der vorhan- und visuelle Signale rechtzeitig angekündigt.

Abbildung 2.5: Illustration der automatischen Änderung der Fahrspuren-Modi im Falle eines Krankentransportes

150
120
100
Szenario-Schritt 9
■ Spur für autonomes Fahren

150
120
Szenario-Schritt 10 100
■ Spur für autonomes Fahren
■ Notfallspur

38
Visionen, Charakteristika und Fähigkeiten

Identifizierte Dienste und Fähigkeiten und ihr Mehrwert in der Private Cloud mit ihrem CSF vernetzt ist und ihr Profil
In Schritt (7) gibt Frau Müller die Kontrolle an das CSF ab; kennt, kann automatisch über ihre Kreditkarte abgerechnet
dieses fährt dann auf der Autobahn voll autonom. So ist werden.
eine sichere und effiziente Fahrt auf engem Raum gewähr-
leistet. Durch die Vernetzung mit anderen Fahrzeugen so-
wie über kooperierende Verkehrsmanagementsysteme ist 2.2.4 CPS-Mehrwert und Nutzenpotenziale für
eine sichere Steuerung des Gesamtverkehrs möglich. Die die mobile Gesellschaft
Zahl der Unfälle und damit auch die Zahl der Verletzten
und Toten im Straßenverkehr kann dadurch drastisch ge- Mobilität ist einer der wichtigen gesellschaftlichen Trends
senkt werden. Zwar werden 90 Prozent aller Verkehrs­unfälle und eine der wesentlichen Zielvorgaben. Aus dem kon­
gemeinhin auf menschliches Versagen zurück­geführt, tat- sequenten Einsatz von Cyber-Physical Systems ergibt sich
sächlich jedoch sind nicht nur Verkehrsteilnehmer, sondern für die mobile Gesellschaft daher folgender Nutzen und
auch Personen und Prozesse im Zusammenhang mit Ge- Mehrwert:
staltung, Engineering, Organisation und Kommunikation
der Umgebungs- und System­ komponenten beteiligt.14 —— Erhöhung der Verkehrssicherheit, etwa durch
Notwendig für die Realisierung des autonomen Fahrens —— Erkennen von Gefahren und Hindernissen unter Ein-
sind interoperable Infrastrukturen an den Fahrwegen, die beziehung des Austauschs von Informationen mit
Vernetzung der Verkehrsteilnehmer untereinander sowie anderen Akteuren
der damit verbundene stetige Austausch von Informatio- —— automatische Gefahrenabwehr
nen über aktuelle Fahrzeugpositionen und die Verkehrs­ —— optimales Verkehrsmanagement und hierdurch
lage insgesamt. Hierbei unterstützen intelligente Verkehrs­ Stauvermeidung
managementsysteme, welche aufgrund der Informationen —— autonomes Fahren und hierdurch Verhindern von
aus Infrastruktur und Verkehrsteilnehmer in der Lage sind, menschlichen Fehlern der Fahrer
ein virtuelles Abbild der Umgebung aufzubauen und ent- —— Höherer Komfort für einzelne Verkehrsteilnehmer, bei-
sprechende Handlungsempfehlungen in Bezug auf Ver- spielsweise durch
kehrsauslastung und Staus zu geben, beispielsweise wie in —— autonomes intelligentes Aufarbeiten von Informati-
Schritt (11). Die Verkehrsmanagementsysteme erbringen onen und Verkehrsmanagement
dadurch einen entscheidenden Mehrwert hinsichtlich Öko- —— verbesserte Assistenz der Fahrer bis hin zur vollstän-
nomie und Ökologie; sie sparen Treibstoff und verringern digen Übernahme der Kontrolle
Emissionen. —— Zeitersparnis durch intelligente Assistenten
—— Verbesserung der ökologischen Bilanz durch
In Schritt (8) unterstützen Cyber-Physical Systems bei der —— Reduzierung der Umweltbelastung infolge des ver-
Wahl einer Premiumspur und deren automatischer Abrech- besserten Verkehrsmanagements und hierdurch
nung, die aufgrund der Informationen über die jeweils aktu- geringerer CO2-Ausstoß aufgrund geringeren Treib-
elle Position des Fahrzeugs von Frau Müller detailliert und stoffverbrauchs
absolut genau ist. Da der Assistenzdienst von Frau Müller

14 Menschliche Fehler werden auch als Folge oder Symptome von tieferliegenden Fehlern im System untersucht; siehe auch [Spi63, Dör89, Rea74,

Spre07]. Aktuelle Untersuchungen in den Bereichen Luftfahrt, Kernkraftwerke und Medizintechnik, darunter [LPS+97, Hol98], erforschen
zusätzlich die Fragen, ob und unter welchen Bedingungen die Fehler- und Unfallanfälligkeit der Systeme, steigt – durch komplexe Wechselwir-
kungen der beteiligten Systeme untereinander und mit Menschen, wie es bei Cyber-Physical Systems der Fall ist.
39
agendaCPS

—— Verbesserte Ökonomie durch Privat Cloud sowie durch automatischen Zugriff auf das
—— Einsparung von Treibstoff und hierdurch geringere Profil der Akteure in der Privat Cloud.
Kosten
—— bessere Ausnutzung von Verkehrsmitteln und Ver- Als Voraussetzungen dieser Systemfähigkeiten ist jedoch
kehrsinfrastruktur, basierend auf den zur Verfügung eine Reihe von Herausforderungen zu bewältigen, darunter
gestellten Informationen und Diensten
—— Zeitgewinn durch Stauvermeidung —— die Realisierung einer flächendeckenden, intelligenten
—— weniger Unfälle und hierdurch geringere Schäden Infrastruktur mit standardisierten Schnittstellen,
—— die Vernetzung aller Verkehrsteilnehmer untereinander
Der Mehrwert basiert auf folgenden spezifischen Fähig­ und mit den notwendigen Dienste-Providern unter Ein-
keiten von Cyber-Physical Systems: beziehung und Berücksichtigung von Betriebssicherheit,
IT-Sicherheit und Privatsphäre,
—— Vernetzung und automatischer Austausch von Infor- —— die Verlässlichkeit der Systeme für autonomes Bremsen
mationen mit der Infrastruktur sowie, durch Sensoren, oder Ausweichen von Hindernissen unter Verwendung
Objekte und Aktoren, untereinander externer gesicherter Daten,
—— verteilte Information und Informationsverarbeitung, —— die Echtzeitfähigkeit, insbesondere in Bezug auf die
die ein virtuelles Abbild des Gesamtverkehrs darstellt Verkehrssicherheit und für die Realisierung von autono-
und hierdurch Verkehrssteuerungs- und Koordinations­ mem Fahren,
dienste zur Verfügung stellt —— die Benutzerakzeptanz und die rechtlichen Rahmen­
—— Treffen eigener Entscheidungen durch Cyber-Physical bedingungen für autonomes Handeln,
Systems und die automatische Umsetzung dieser Ent- —— die geeignete und akzeptierte Mensch-Maschine-Inter-
scheidungen, etwa zur Gefahrenabwehr, zum Teil ba- aktion sowie
sierend auf unvollständigen Daten und unscharfem —— die Schaffung sowohl der rechtlichen Bedingungen als
Wissen auch der Rahmenbedingungen als Voraussetzungen für
—— Übertragung von globalen und lokalen Daten in Echtzeit den Einsatz von Cyber-Physical Systems.
—— kontextsensitives Verhalten des Cyber-Physical Systems;
das Fahrzeug weiß, wo es autonom fahren darf und wo Diese Herausforderungen enthalten eine Mischung aus
nicht, und kann dies dem Fahrer mitteilen. Forschungsfragestellungen und Erfordernissen hinsichtlich
—— sicherer Moduswechsel zwischen autonomem und teil- Gestaltung, Technologie und Engineering der Systeme,
autonomem Fahren ihrer Organisation und erforderlichen Infrastruktur sowie
—— Anreicherung beziehungsweise Integration von Daten hinsichtlich gesellschaftlicher und rechtlicher Rahmen­
aus unterschiedlichen Quellen bedingungen.
—— dynamische Anpassung der Route an Umgebungsbedin-
gungen, etwa Wetter, Unfälle oder Verkehrsaufkommen
—— autonomes Fahren an sich 2.3 Individuelle und sichere Versorgung –
—— intelligente Assistenten, die bei der Reiseplanung integrierte Betreuung in der Medizin
und -durchführung unterstützen, etwa auch automati-
sches Billing auf der Premiumspur durch Ortung, Ver- Die Teilszenarien des Gesamtszenarios „Individuelle und
folgung und Rückgriff auf Bezahlinformationen in der sichere Versorgung Situationserkennung und integrierte

40
Visionen, Charakteristika und Fähigkeiten

Betreuung in der Medizin“ beschreiben eine mögliche Zukunft Anleitung, wie sie ihre Wochenmedikation vorzubereiten hat,
der Medizinversorgung unserer Gesellschaft unter Ausnutzung hat ihr die Angst genommen, etwas durcheinander zu brin-
gen. Auf ihren Wunsch hin wird sie nur noch am Nachmittag
der rasanten Entwicklung der Informations- und Kommu- an die Medikamente erinnert, da sie zu dieser Zeit keine feste
nikationstechnologie und, in der Folge, mit CPS-Unterstüt- Mahlzeit eingeplant hat, ihre Medikamente aber immer am
zung. Sie beruhen auf einer umfassenden Vernetzung von Esstisch liegen.

Patienten und Ärzten untereinander sowie auf der Gesund- (2) Bisher hat sich Frau Huber gern mit ihren Freundinnen
getroffen, doch seit einiger bleibt sie den Treffen immer häu-
heitsüberwachung mithilfe moderner Smart-Health-Systeme. figer fern. Auch das passive System hat Veränderungen in ih-
Eine solche Vernetzung schafft innovative Möglichkeiten, rem Verhalten festgestellt, außerdem ein deutlich reduziertes
Bewegungsverhalten und Gewichtszunahme. Da sich diese
individuelle medizinische Bedürfnisse zu berücksichtigen
Veränderungen schneller als erwartet einstellen, empfiehlt
und die steigende Zahl immer älterer Menschen optimal zu das System Frau Huber, sich schon vor dem nächsten turnus-
unterstützen. Gleichzeitig leistet sie einen wertvollen Beitrag mäßigen Besuch mit ihrem Hausarzt in Verbindung zu setzen.
Über ihr System kann sie komfortabel einen Termin direkt
zur Kostenoptimierung im Gesundheitswesen bei gleich­ mit dem Praxissystem ihres Hausarztes vereinbaren. Dieser
bleibender oder sogar steigender Qualität der Versorgung. empfiehlt ihr mehr Bewegung und bittet Frau Huber, jeden
Morgen nach dem Aufwachen ihren Blutdruck zu messen. Ein
Die Mutter von Frau Müller, Rosi Huber, ist 70 Jahre alt und Blutdruck-Messgerät bekommt sie auf Rezept in der Apotheke
Rentnerin und lebt im Münchener Osten allein in einem alten und kann es problemlos in ihr heimisches System integrieren,
Bauernhaus. Sie hat nie den Führerschein gemacht, da sie genauso wie einen tragbaren Bewegungssensor. Die Geräte
früher immer mit ihrem Mann mitfuhr. Seit seinem Tod vor erscheinen nach dem Einschalten sofort auf ihrem Traings-
ein paar Jahren hat Frau Huber leichte Depressionen. Sie ist system und sie braucht nur noch den auf der Verpackung
aber dennoch froh, dass sie noch nicht so viele Medikamen- aufgedruckten Code einzutragen. Auch ihre Daten kann Frau
te braucht wie zum Beispiel ihre Freundinnen, mit denen sie Huber selber verwalten: Ihr System stellt eine Anfrage an ei-
sich gern trifft. Besonders stolz ist sie darauf, keine Diabetes nen Service, der ihr eine einfache Übersicht, welche Daten
zu haben. Bisher konnte sie alles noch gut bewältigen, aber für welchen Facharzt gebraucht werden, zusammenstellt.
ihre Sorge, hilflos in eine gefährliche Situation zu geraten, Diese Daten kann sie dann freigeben; der zugreifende Arzt
hat sie bewogen, ein Smart-Health-System anzuschaffen. Die- muss diesen Zugriff legitimieren. Die Kamera in Frau Hubers
ses soll sie passiv überwachen, aber auch bei medizinischen Eingabegerät macht ein Bild von ihr, das in der Cloud durch
An­gelegenheiten unterstützen und im Notfall Hilfe rufen. eine spezielle Funktion ausgewertet wird. Dieselbe Funktion
Neben der passiven Verhaltensbeobachtung gibt es noch ein benutzt auch ihre Türsprechstelle, die ihr die Namen von
Modul für die tägliche Blutdruck- und Gewichtsüberwachung, Besuchern anzeigen kann. – Nach ein paar Tagen hat sich
die Medikation und die Notruffunktion. Alle Funktionen de- Frau Hubers Situation weiter verschlechtert und ihr Hausarzt
cken momentan nur die Grundbelange ab, lassen sich aber an überweist sie an einen Internisten, der sie zu einer genaueren
veränderte Bedürfnisse anpassen. Untersuchung in eine stationäre Klinik einweist. Beide Ärzte
haben sich die ungewöhlichen Bewegungsmuster der letzten
Tage in ihrer Wohnung, die Frau Huber selbst gar nicht auf­
gefallen waren, nicht erklären können. Ihrem Hausarzt hat
Frau Huber zuvor die Freigabe erteilt, ihre Daten regelmäßig
2.3.1 CPS in Telemedizin, Ferndiagnose und zu überwachen. – Noch am Tag der Einweisung erleidet Frau
Huber einen leichten Hirnschlag, der schnell behandelt wer-
BEI DER Betreuung zu Hause den kann. Im System ist für Notfälle eine Interventionsanlei-
tung hinterlegt. Familienangehörige werden per SMS infor-
Szenario miert, die Zeitung wird abbestellt und die Wohnung bewacht.
(1) Seit sich Frau Huber das System zu Hause hat installieren
lassen, ist einige Zeit vergangen. Die in der Wohnung verbau-
ten Sensoren haben ihre Bewegungsgewohnheiten erfasst Funktionsbeschreibung
und in einem Profil hinterlegt. Frau Huber nimmt die kleinen Als Grundlage für Bewertungen des Gesundheitsstatus wer-
Geräte längst nicht mehr wahr. Auch die tägliche Gewichts- den Daten unterschiedlicher Sensoren, Auswertungs- und
messung morgens im Bad ist zur Routine geworden. Und die
Bestandsdaten sowie Parameter miteinander verknüpft

41
agendaCPS

und anhand bekannter, definierter oder erlernter Modelle Gründen der Akzeptanz sowie der Bedarfs- und Kosten-
vorausgewertet. Die Sensoren, die die Grundlage für der- kontrolle individuell ausgewählt werden können. Ein nahe­
artige komplexe Bewertungsmodelle liefern, müssen aus zu gesunder Nutzer wird sich zum Beispiel eher für eine

Abbildung 2.6: Vernetzte Beteiligte einer integierten Gesundheitsbetreuung in der Telemedizin

Patienten

Medizinische Betreuer

TAXI
Dienstleister

42
Visionen, Charakteristika und Fähigkeiten

passive Überwachung entscheiden, als sich einen Sensor Kamera, Personen zu identifizieren. Das kann den Zweck
implantieren zu lassen. Die passiven Sensoren aus dem Sze- haben, eine Tür zu öffnen oder auch, eine Datenfreigabe
nario sind mit einem lernfähigen Algorithmus gekoppelt, zu erreichen. Auch einfache eingebettete Systeme können
der Verhaltensmuster erfassen kann, um daraus individuelle auf diese Weise mächtige Funktionen erhalten. Andere Sen-
Patientenprofile zu erstellen, anhand derer Veränderungen soren, etwa ein portabler Notrufsensor, könnte anhand der
im oder akute Abweichungen vom aktuellen Status erkannt Position unterschiedliche Hilfsdienstleister auswählen. In
werden können. Als Basis der Auswertung fungieren Daten einem anderen Kontext könnte der gleiche Sensor Mobili-
und Ereignisse, die in ausreichender Zahl durch die verwen- tätsmöglichkeiten wie Taxi, Bus oder regionale Angebote
deten Systeme erfasst worden sind. Cyber-Physical Systems, auswählen, abhängig von Standort und Uhrzeit.
die zusätzlich Data-Mining-Funktionen integrieren, können
aufgrund der Massendaten aus anderen Systemen individu- In all diesen Zusammenhängen ist der Datenschutz für alle
alisierte Ergebnisse liefern und häufig sogar für die Vorher- Teilnehmer im System sehr wichtig. Nicht nur Patienten­
sage medizinischer Ereignisse verwendet werden. daten, sondern auch Praxisdaten der Mediziner müssen
in unterschiedlichem Maß geschützt werden. Das System
Die gewonnen Informationen können in anderen Sys­temen muss die Patienten dabei unterstützen, dafür zu sorgen,
und Einrichtungen verwendet werden, um geeignete Inter­ dass nur die Daten freigegeben werden, die gesetzlich frei-
ventionen auszulösen beziehungsweise vorzuschlagen. gegeben werden dürfen.
Diese Interventionen können durch Personen oder Systeme
ausgeführt werden, die in der Lage sind, untereinander ihre
Verantwortlichkeiten abzustimmen und mit Frau Huber beim 2.3.2 Nachsorge und Betreuung in
Bewerten ihres Gesundheitszustands zu interagieren. Auf vertrauter Umgebung
diese Weise lassen sich leicht Schnittstellen zu Mobilitäts-
diensten, Apotheken, Therapeuten, Ärzten, Fallmanagern, Szenario
Haus- und Gebäudemeistern und Servicekräften herstellen. (3) Frau Huber wird nach einigen Tagen aus der Klinik ent-
lassen und in eine Rehabilitationsklink überwiesen. Es ist ihr
großer Wunsch, schnell wieder in ihre gewohnte Umgebung zu
Neben Daten, die aktuell zur Laufzeit erfasst werden, kommen und ihr Leben weiterleben zu können. Zusammen mit
können auch Daten aus der Vergangenheit relevant sein. den Ärzten der Rehabilitationseinrichtung entscheidet sie sich
dafür, ihr heimisches System um eine Rehabilitationskompo-
Darum gilt es, alle möglicherweise wichtigen Daten und nente erweitern und einen Teil der Behandlung in ihrem Haus
Informationen in den verteilten Systemen aufzuspüren und durchführen zu lassen. Die Klinik und Ihr Hausarzt werden sie
zusammen mit einem Therapeuten dabei unterstützen. Alle Be-
sinnvoll miteinander zu verknüpfen.
teiligten bekommen Zugriff auf die für sie relevanten Daten.
Frau Huber bekommt Trainingsgeräte geliefert, die ein Installa-
Die Funktionen, die zur Erfüllung des Zwecks eines Systems teur in das System einbindet. Er kann das System von seinem
Betrieb aus fernüberwachen und fernwarten und so schnell auf
benötigt werden, können aus verteilen Systemen stammen. Störungen reagieren. Die medizinischen Daten sieht er nicht.
Generische und domänenspezifische Funktionen können Frau Hubers Bewegungssensor wird jetzt auch für die Über-
automatisch oder manuell miteinander verknüpft, Systeme wachung und Steuerung des täglichen Lauftrainings ver-
wendet; auch ihren Notrufsender hat sie immer dabei. Die
auf diese Weise um neue Funktionen ergänzt oder manu- Waage, die bisher nur eine Kontrollfunktion hatte, wird nun
elle in automatisierte Funktionen überführt werden. Gene- zusätzlich ein Teil des Diätprogramms. Da es etwas dauern
rische datenbankgestützte Netzwerkfunktionen wie etwa wird, bis sie sich wieder mit ihren Freundinnen treffen kann,
erhält Frau Huber Zugang zum Online-Patientenportal, über
Gesichtserkennung befähigen alle Geräte mit eingebauter

43
agendaCPS

das sie viele Informationen und Hinweise für ein unabhän­ nischer Datenbanken werden Sensordaten mit Symptomen
gigeres Leben mit ihrer Erkrankung erhält. Sie kann sich über abge­glichen, um daraus geeignete Diagnoseempfehlun-
das Portal außerdem mit anderen Patienten austauschen, die
in einer ähnlichen Situation sind. Das gibt ihr Kraft, die lange gen ableiten zu können. Frau Huber hat mit ihren Daten
Behandlung durchzuhalten. im Rahmen ihrer Behandlung auch einen Beitrag dazu
Das unterstützte Bewegungs- und Koordinationstraining geleistet, die Datengüte zu erhöhen. Je mehr spezifische
zeigt bald Erfolg: Ärzte und Therapeuten müssen eher darauf
achten, dass Frau Huber sich nicht übernimmt, als dass sie Datenbanken im System miteinander verknüpft sind, desto
sie noch motivieren müssen. Außerdem liegen alle Messwerte höher kann der Wert einer Dienstleistung sein. Eine Ergän-
etwas über der vom System errechneten Erwartungskurve. Da-
zung durch eine pharmazeutische Datenbank könnte etwa
rum kann schneller die Erhaltungsphase beginnen, während
derer Frau Huber noch eine Weile dabei unterstützt wird, ihre Neben­ wirkungen von Präparaten direkt beim Patienten
Ernährungs- und Bewegungsgewohnheiten beizubehalten. abfragen. Das würde Frau Huber helfen, aber auch ihren
Bald schon jedoch kann sie wieder mit ihren Freundinnen
zusammensitzen.
Ärzten wertvolle Informationen liefern.

Hier findet sich eine wesentliche Herausforderung: Gerade


Funktionsbeschreibung für ältere Menschen sind telemedizinische Geräte oft zu
Cyber-Physical Systems vernetzen nicht nur technische Sys- kompliziert. Tägliche Messungen müssen deshalb häufig
teme miteinander, sondern auch Dienstleister. Dazu müs- von Angehörigen vorgenommen werden, die aber normaler­
sen die Systeme in der Lage sein, übergreifende Abläufe weise die gemessenen Werte nicht interpretieren oder Sym-
zu koordinieren. Das Training von Frau Huber kann erst ptome nicht deuten können. Deshalb benötigen sie Unter­
beginnen, wenn der Haus- und Gebäudemeister die Sys­ stützung. Oft können die Angehörigen außerdem, meist
teme eingebaut und geprüft hat. Bei Störungen müssen aus beruflichen Gründen, nicht an den Arztterminen teil-
Eskalationsmechanismen in Gang gesetzt werden. Sollte nehmen und erhalten keine Kenntnis von Entscheidungen
ein Dienstanbieter ausfallen, muss das System eine Alter- der Ärzte. Es müssen Wege gefunden werden, die Angehö-
native finden oder das Problem an eine definierte Instanz rigen einzubinden. Bis dieser Punkt erreicht ist, können In-
weiterleiten. formationsportale fehlendes Wissen liefern und Fragen be-
antworten. Qualität und Sicherheit dieser Art von Beratung
Medizinische Dienstleistungen basieren, wie Frau Hubers könnten mit einer Moderation durch erfahrenes medizini-
Bewegungs- und Koordinationstraining, auf sehr individu- sches Personal sichergestellt werden. Solche Portale werfen
ellen Konfigurationen im Bereich der Verordnung und der freilich Datenschutzfragen auf, die es zu beantworten gilt.
Überprüfung der Ergebnisse. Die Systeme, die ja in einem
sicherheitskritischen Kontext funktionieren müssen, benö­ Neben der Telemedizin sind die oben geschilderten Mög-
tigen deshalb nicht nur im Bereich der Komponenten, lichkeiten von Cyber-Physical Systems auch in einem allge-
sondern auch in der Ablaufsteuerung ein hohes Maß an meineren Gebiet relevant, nämlich dem der altersgerechten
Flexibilität. Geeignete Standards sorgen zudem dafür, dass Assistenzsysteme für ein gesundes und unabhängiges Le-
die Daten zwischen Teilsystemen ausgetauscht und in der ben im Alter (Ambient Assisted Living, AAL). Dazu gehören
entsprechenden Syntax und Semantik automatisch von Sys- technikbasierte Konzepte, Produkte und Dienstleistungen
tem verarbeitet werden können. zur situationsabhängigen Unterstützung von Menschen mit
besonderen Bedürfnissen im Alltag. Diese Dienste, das ist
Einige der beschriebenen Funktionen basieren auf Wis- sehr wichtig, müssen unaufdringlich sein, dürfen die betreu-
sensdatenbanken und Wissensmodellen. Mithilfe medizi- ten Personen also nicht stigmatisieren. Das Ziel des AAL

44
Visionen, Charakteristika und Fähigkeiten

sind Erhalt und Förderung der Selbstständigkeit von Men- werden. Aus der Datenlage ermittelt der Mitarbeiter in der Not-
schen jeden Alters in ihrer gewohnten Umgebung sowie die rufzentrale, dass es sich vermutlich um einen Schwächeanfall
handelt. Er übermittelt die Daten von Frau Huber an einen
Steigerung ihrer Lebensqualität durch die Verbesserung von Krankenwagen, dessen Besatzung nach dem Rechten sehen
Hilfs- und Unterstützungsdienstleistungen. soll.
(5) Das Team des Krankenwagens verschafft sich einen kur-
Eine AAL-Umgebung, beispielsweise das eigene Heim, wird zen Überblick über den Standort von Frau Huber, ihre momen-
tanen Vitaldaten und ihre Krankenakte. Der Krankenwagen
zur Kompensation von altersbedingt verringerten physi- wird von einem speziellen System an den Standort von Frau
schen oder kognitiven Fähigkeiten, je nach Bedarf, nach Huber navigiert. Inzwischen hat ein anderer Spaziergänger
die Notsituation von Frau Huber bemerkt und kommt ihr zu
und nach mit CPS-Geräten ausgestattet, die Assistenzfunk-
Hilfe; das Smart-Health-Gerät leitet ihn bei gezielten Hilfs-
tionalität bieten und von den Nutzern gesteuert werden maßnahmen an.
können. Beispiele sind Licht, Heizung, Fensterrollos, Tü- Auf dem Weg zum Einsatzort stellen die Sanitäter anhand der
aktuellen Vitaldaten fest, dass sich Frau Hubers Puls kontinu-
ren, Bett oder die Küchenzeile. Die Geräte kommunizieren ierlich verschlechtert. Sie vermuten daher, dass sie sich bei
mit den Nutzern – über Mobilgeräte, gegebenenfalls mit dem Sturz eine Verletzung zugezogen und in der Zwischenzeit
Sprachdialog – und untereinander. Auf diese Weise wird eine erhebliche Menge Blut verloren hat. Als die Sanitäter
den Krankenwagen verlassen, nehmen sie daher die nötige
im AAL die Umgebung selbst zu einem intelligenten Cyber- Ausrüstung mit, um einen Druckverband anlegen zu können.
Physical System, das mitdenkt und vorausplant. Es erstellt Weil Frau Huber sich auf einem nicht befahrbaren Waldweg
Einkaufslisten nach Wünschen der Nutzer, abhängig von befindet, legen die Rettungssanitäter das letzte Stück zu Fuß
zurück, wobei ihnen ein Mobilgerät den Weg weist. Am Ziel
den vorhandenen Vorräten, erinnert an die Einnahme von angelangt, übernehmen sie die Betreuung von dem Ersthelfer
Medikamenten, überwacht die tägliche Flüssigkeitsaufnah- und stellen fest, dass Frau Huber sich bei dem Sturz an einem
me oder erkennt Stürze. Auch mobile Geräte wie intelligen- spitzen Ast eine Arterie am Bein verletzt hat und tatsächlich
viel Blut verliert. Die Sanitäter setzen einen Druckverband,
te Rollstühle, Rollatoren oder Haushaltsroboter werden in tragen Frau Huber zum Rettungswagen und machen sich auf
die Kooperation eingebunden [KBRSG11]. den Weg zum Krankenhaus. Unterwegs übermitteln sie die
elektronische Krankenakte, zusammen mit der aktuellen Dia-
gnose, an die Notaufnahme. Aus den Daten können die dorti-
gen Mitarbeiter die Blutgruppe von Frau Huber ermitteln und
2.3.3 CPS als Unterstützung bei der eine Bluttransfusion vorbereiten. Als Frau Huber im Kranken­
haus eintrifft, ist alles bereit; sie kann ohne Zeit­verlust opti-
automatischen Erkennung einer
mal versorgt werden.
Notfallsituation und in der
Erstversorgung
Funktionsbeschreibung
Szenario Sensoren von Patienten sind in der Lage, Notfälle zu erken-
(4) Frau Huber geht im Wald spazieren. Plötzlich wird ihr nen. Aus der Kombination verschiedener Werte wie Puls,
schwarz vor Augen und sie sackt in sich zusammen. Die Sen-
soren ihres Smart-Health-Systems regis­trieren einen plötzlich Blutdruck und Atemfrequenz sowie dem Bewegungsprofil
abfallenden Puls und eine sturz­ähnliche Bewegung. Als erste lässt sich ein relativ exaktes Bild des aktuellen Befindens
Reaktion fordert das Smart-Health-System Frau Huber akustisch ermitteln. Die Informationen laufen dazu zunächst auf dem
auf, einen bestimmten Knopf an ihrem Mobilgerät zu drücken,
falls trotz der gemessenen Daten alles in Ordnung sein sollte. patienteneigenen Mobilgerät zusammen und werden auf
Als Frau Huber darauf auch nach mehrfacher Aufforderung Auffälligkeiten hin untersucht. Vermutet das System eine
nicht reagiert, setzt das System einen Notruf ab. In der Not-
kritische Situation, versucht es zunächst, das Problem lokal
rufzentrale kann über eine Verbindung mit dem Smart-Health-
System die Position von Frau Huber bestimmt und auf die zu lösen. Dazu wird der Patient vom Mobilgerät auf das ver-
Sensordaten sowie die elektronische Krankenakte zugegriffen meintliche Problem aufmerksam gemacht und aufgefordert,

45
agendaCPS

einen eventuellen Fehlalarm anzuzeigen. Zeigt ein Bewe- auszuwählen und mittels einer Navigationslösung auf sei-
gungssensor beispielsweise einen Sturz an, muss nicht unbe- nem Mobilgerät an den Ort des Geschehens zu lotsen.
dingt etwas passiert sein und ein Notruf ausgelöst werden.
Wird die Entscheidung getroffen, einen Krankenwagen
Reagiert der Patient nicht, löst das Mobilgerät einen Not- zu entsenden, können die gesundheitsrelevanten Daten
ruf aus und übermittelt seine aktuellen Daten sowie die unmittelbar dorthin übermittelt und noch während der
Kranken­akte an die Notrufzentrale. Auf Basis dieser In- Fahrt ausgewertet werden. So kann sich das Team im
formationen lässt sich dort eine fundierte Entscheidung Krankenwagen optimal auf den Einsatz vorbereiten und
treffen, wie am besten zu reagieren ist. Handelt es sich während der Fahrt anhand aktueller Sensorwerte den Pa-
beispielsweise nicht um eine lebensbedrohliche Situation, tientzustand abschätzen. Auch an das Krankenhaus selbst
kann etwa als erster Schritt auch ein Verwandter oder Nach- können die Daten bereits übermittelt werden, sodass,
bar informiert werden, um nach dem Rechten zu sehen. Die etwa für eine erforderliche Notoperation, alles vorbereitet
über die Mobilgeräte des Patienten und von möglichen werden kann.
Ersthelfern ermittelten Ortsinformationen können genutzt
werden, um zunächst einen geeigneten Helfer in der Nähe

Abbildung 2.7: Illustration der Koordinationsbeziehungen im beschriebenen Notfallszenario

Notrufzentrale Smart Health Geschützte


Gesundheitsdaten

46
Visionen, Charakteristika und Fähigkeiten

2.3.4 CPS-Mehrwert und Nutzenpotenziale —— bessere Versorgung, basierend auf der notwendiger
Gesundheitsinformationen über die gesamte Not-
Der demografische Wandel konfrontiert das bestehende fallkette hinweg
Gesundheitssystem mit enormen Herausforderungen. Der —— lokale Interventionsunterstützung und Verhaltens-
konsequente Einsatz von Cyber-Physical Systems kann einen empfehlungen im Notfall
wesentlichen Beitrag zur Bewältigung dieser Herausforderun- —— Effizienzsteigerung bei der Inanspruchnahme medizini-
gen leisten. Das verspricht folgenden Nutzen und Mehrwert: scher Leistungen für den Patienten, etwa durch
—— eingesparte Wege beim Einsatz von Ferndiagnose
—— Verbesserung der Qualität medizinischer Entscheidun- und Telemedizin
gen, etwa durch —— effizientere Prozesse, etwa bei der Terminvergabe
—— Möglichkeiten zur Einbeziehung medizinisch rele- oder mithilfe elektronischer Rezepte
vanter Sensorinformationen —— das Auffinden von verfügbaren Fachärzten in der
—— Aggregation aller gesundheitsrelevanten Informati- Umgebung
onen aus unterschiedlichen Quellen in einer elek­ —— Hochwertige Betreuung der Patienten zu Hause durch
tronischen Patientenakte an einem zentralen Ort —— Unterstützung von Selbstmanagement und Selbst-
—— optimale Verfügbarkeit der Informationen aus der wahrnehmung der Patienten
elektronischen Patientenakte am jeweils benötig- —— Stärkung des Sicherheitsgefühls durch Aufklärung
ten Ort und Feedback
—— automatisierte Analyse der aggregierten Daten zur —— Erkennen von Symptomen bereits vor der Eigen-
Identifikation bislang unentdeckter medizinischer wahrnehmung der Patienten, woraus sich preis­
Auffälligkeiten und die Unterbreitung möglicher wertere Behandlungsoptionen ergeben können
Therapievorschläge —— Effizienzsteigerung für medizinische Leistungserbringer,
—— Steigerung der Qualität medizinischer Therapiemaß- beispielsweise durch
nahmen, beispielsweise durch —— automatisierte Erhebung von Daten über Sensoren
—— Vermeiden von Fehlern mittels einer Verbesserung —— automatisierte Aggregation und Analyse medizi-
der Informationstransparenz über die gesamte Ket- nischer Daten und Unterbreitung von Therapie­
te der Leistungserbringung durch Ärzte, Apotheker, vorschlägen durch das System
Therapeuten etc. —— Verkürzung von Terminen durch schnelle Verfügbar-
—— automatische Identifikation von Problemen, die keit einer umfassenden Patientenakte
während einer Therapiemaßnahme auftreten, mit- —— Einsparung von Hausbesuchen beim Einsatz von
tels der Erfassung und automatischen Analyse von Ferndiagnose und Telemedizin
Sensorwerten —— Optimierung und Digitalisierung administrativer
—— bessere Einbindung von Patienten und die daraus Prozesse wie Terminvereinbarung oder Rezepterstel-
resultierende Steigerung der Compliance lung und -verarbeitung
—— Verbesserung der Notfallversorgung, beispielsweise durch
—— automatische Identifikation von Notfällen Zu diesen direkten gesellen sich indirekte Nutzeneffekte,
—— schnellere Versorgung vor Ort durch gezielte Aus- die sich aus einer umfassenden Veränderung der Versor-
wahl und Navigation in der Nähe befindlicher Erst- gungsstruktur ergeben. Mehrere Leistungserbringer könn-
helfer zum Ort des Notfalls ten, etwa bei der ganzheitlichen Betreuung von Patienten,

47
agendaCPS

koordiniert zusammenarbeiten und auf diese Weise Behand- so volatilen Verbrauch gegenüber. Um die Stabilität in der
lungslücken schließen. Aus der individuellen Zusammen- kommenden Zeit zu gewährleisten, muss als eine wichtige
stellung vorhandener Leistungskomponenten in Diagnose Voraussetzung das Stromnetz „intelligent“ werden durch
und Therapie könnten neue Behandlungsformen entstehen; die Vernetzung von Stromerzeugern und -speichern, der
laufende Behandlungen ließen sich möglicherweise zeitnah Netzsteuerung und der elektrischen Verbraucher mithilfe
und situationsgereicht anpassen. Darüber hinaus würden von Informations- und Kommunikationstechnologie. Mit
Wirksamkeitsnachweise von Behandlungen durch langfris- der Vernetzung unterschiedlichster Komponenten entsteht
tige Nachverfolgung erleichtert oder gar erst ermöglicht. ein großes Energieinformationsnetz beziehungsweise ein
Mithilfe telemedizinischer Verfahren schließlich könnte fer- Smart Grid. Außer der stabilen Energieversorgung ermög-
ner die Versorgung in strukturschwachen Gegenden verbes- licht der ganzheitliche Einsatz von IKT weitere vielfältige
sert und in schwierigen Fällen medizinische Kompetenz aus Funktionen und Dienste in Rahmen des Smart Grid.
dem europäischen Raum hinzugezogen werden.
Die hohe Vernetzung im Smart Grid ermöglicht unterschied-
Auch eine domänenübergreifende Nutzung von Cyber-Phy- liche Varianten von Nutzung und Betrieb der Energie­
sical Systems ist vorstellbar. Für komplexe Behandlungen versorgung. Dazu gehören unter anderem das Micro Grid,
und Lebenssituationen könnte etwa ein einrichtungsüber- bei dem die Vernetzung lokaler Erzeuger und Verbraucher
greifendes Fallmanagement greifen oder es ließen sich dazu genutzt wird, eine lokale Optimierung der Strom­
Krankheits- beziehungsweise Behinderungsinformation für einspeisung und -nutzung zu erreichen, und das virtuelle
die Inanspruchnahme domänenübergreifender Angebote, Kraftwerk (Virtual Power Plant, VPP), bei dem viele dezen-
etwa zur Reiseplanung, heranziehen. trale Erzeuger zu einem virtuellen Kraftwerk aggregiert
werden, um eine bedarfsgerechte und sichere Energiever-
teilung und einen höheren Wirkungsgrad der Energie zu
2.4 Smart Grid erreichen. Die dezentralen Erzeuger können Photovoltaik-
anlagen, kleine Windkraftwerke und Biogasanlagen sowie
Die Energieversorgung in Deutschland und Europa steht Micro-KWK-Anlagen sein. Deren Bündelung ermöglicht eine
vor einem großen Wandel und enormen Herausforderun- interne Steuerung kleiner Erzeuger, hilft, unkontrollierte
gen. Jederzeit verfügbare konventionelle Kraftwerke – Kern- Schwankungen im Netz zu vermeiden und trägt damit zur
energie, Kohle und Gas – werden zum Teil durch volatil Stabilität des Systems bei.
verfügbare erneuerbare Energiequellen, vor allem Wind-
und Solarenergie, ersetzt. Dieser Wandel ist politisch und Außerdem werden derzeit weitere Smart-Grid-Konzepte
gesellschaftlich, im Hinblick auf das steigende Umwelt­ zur Integration stationärer Speicher und Elektrofahrzeuge
bewusstsein der Bevölkerung, gewollt und hat bedeutende untersucht. Um die Anwendungsmöglichkeiten des Smart
Konsequenzen. Grid zu verdeutlichen, befasst sich der folgende Abschnitt
anhand eines Anwendungsbeispiels aus Verbrauchersicht
Für eine stabile Energieversorgung muss im Elektrizitäts- mit dem Micro Grid. Dabei werden neuartige Funktionen
netz das Angebot stets der Nachfrage entsprechen. Die Sta- und Möglichkeiten des Smart Grid aufgezeigt, die innovati-
bilität wird heute durch eine zentrale Steuerung erreicht, ve Anwendungen und damit auch neue Geschäftsmodelle
indem die Produktion der Nachfrage folgt. In Zukunft für kleinere und mittlere Unternehmen ermöglichen. Das
steht volatile und dezentral erzeugte Energie einem eben- Szenario zeigt Akteure, Geräte und deren Interaktion.

48
Visionen, Charakteristika und Fähigkeiten

2.4.1 Micro Grid dass das Micro-Grid-Konzept sich vor allem für Besitzer von
Industrie­
anlagen, großer Gebäudekomplexe oder vieler
Das Micro Grid ist ein Konzept, bei dem die Stromversorgung kleinerer Gebäude rechnet. Dem Betrieb eines Micro Grid
und die Regelung der Stabilität überwiegend lokal, beispiels- im privaten Bereich stehen neben den technischen Heraus­
weise in einer kleinen Gemeinde, stattfinden. Dazu werden forderungen umfangreiche Regularien entgegen, insbe-
im Micro Grid dezentrale Stromerzeuger wie Photovoltaik- sondere die Forderung nach der freien Wahl des Strom­
anlagen, Windkraftanlagen, Brennstoffzellen, Micro-KWK- anbieters, der eben auch außerhalb des Micro Grid gewählt
Anlagen, Energiespeicher wie Schwungräder und Batterien, werden können muss.
eine intelligente Verbrauchssteuerung und der Netzbetrieb
koordiniert eingesetzt, um den Energiebedarf lokaler Konsu- 2.4.1.1 Ein Micro-Grid-Anwendungsszenario
menten zu decken und gleichzeitig das Netz stabil zu halten. Frau Mayer ist vor kurzem in ihr neues Haus in einer kleinen
Gemeinde in der Nähe von München eingezogen. Aufgrund
Zusätzlich zum Anschluss an das große Energienetz können ihrer umweltbewussten Lebensweise verfügt ihr Haus über
Micro Grids in Teilen eine autonome Energieversorgung (In- die neuesten umweltschonenden Technologien. Dazu gehö-
selversorgung) gewährleisten, beispielsweise für eine kleine ren eine Solardachanlage (Photovoltaik und Wärme), ein klei-
ner Energiespeicher und eine Mikro-Kraft-Wärme-Kopplung
Gemeinde. Bei Bedarf tragen sie durch ihr Systemverhalten (Mikro-KWK) als zentrale Heizungsanlage im Keller. Zusätz-
dazu bei, die Gesamtsystem-Stabilität zu erhöhen, etwa, in- lich verfügt sie über einige intelligente Hausgeräte – da­
runter Klimaanlage, Heizung, Kühlschrank, Waschmaschine,
dem weitgehend autonome Versorgung ermöglicht wird. In
Spülmaschine –, ein Elektrofahrzeug und eine moderne CPS-
einem idealen Micro Grid würde die dezentral erzeugte Ener- Infrastruktur, bestehend aus einem Smart Meter und einem
gie am Entstehungsort genutzt, wodurch lange Transporte intelligenten Energy Gateway.
und damit verbundene Verluste vermieden würden. Kurz nach ihrem Einzug erfährt Frau Mayer von einem Angebot
der Musterstadt Micro Grid GmbH. Das mittelständische Unter-
nehmen ermöglicht allen Bewohnern des Ortes die Teilnahme
Die Schwankungen bei der Energieerzeugung aus erneuer- an ihrem Micro Grid und verspricht eine effiziente Verteilung
baren Quellen werden durch lokale Nutzung zusätzlicher von erneuerbaren Energien in der Gemeinde, um eine effiziente
und umweltschonende Energie­nutzung zu garantieren.
Erzeuger – beispielsweise Microanlagen mit Kraft-Wärme-
Als Stromabnehmerin und gleichzeitige Besitzerin von Erzeu-
Kopplung (KWK) – durch Speicherkapazitäten oder intelli- gungsanlagen kann Frau Mayer als Prosumer (gleichzeitig
gente Verbraucher ausgeglichen. Allerdings wären dazu in Erzeuger und Verbraucher, Producer und Consumer) am Micro
Deutschland umfangreiche Speicher notwendig, die derzeit Grid teilnehmen. Ihr Haus wird automatisch durch die Mus-
terstadt Micro Grid GmbH angebunden; Standardtechnik mit
für solch einen Betrieb deutlich zu teuer sind. Das Micro Plug-and-Play-Eigenschaften sorgt für nahtlose Integration.
Grid wird von einem menschlichen Operator oder alterna- Als Teilnehmerin des Micro Grid plant Frau Mayer morgens
tiv durch intelligente Softwarelösungen, auch als Agenten per Mobilgerät den anstehenden Tag. Zunächst stellt sie ein,
bezeichnet, intern koordiniert. Das über dem Micro Grid dass sie von 8 bis 18 Uhr auf der Arbeit ist. Währenddes-
sen können Hausgeräte wie Kühlschrank, Gefriertruhe und
liegende Netz wird als ein zusätzlicher Erzeuger oder Ver- die Klimaanlage vom Micro-Grid-Betreiber als intelligente
braucher betrachtet, abhängig von der aktuellen Leistungs- Verbraucher geregelt werden. Außerdem hat Frau Mayer mor-
gens die Waschmaschine und den Geschirrspüler vorbereitet
bilanz. Damit kann Energie zwischen dem Micro Grid und
und stellt im Smartphone ein, dass die Waschmaschine und
dem übrigen System gehandelt werden. der Geschirrspüler gelaufen sein sollen, bevor sie von der Ar-
beit kommt. Die Angabe eines Zeitraums für den Betrieb die-
ser Geräte gewährt dem Micro Grid Flexibilität für den Strom-
Das Micro Grid kann sowohl von institutionellen Einrich-
bedarf. So kann ein Waschvorgang nicht nur zeitlich flexibel
tungen als auch von kleinen und mittleren Unternehmen gestartet werden, sondern bei Spitzen auch pausieren und so
betrieben werden. Dabei sollte jedoch beachtet werden, die Lastkurven glätten.

49
agendaCPS

Funktionsbeschreibung nutzt das Micro Grid die lokale Produktionsprognose unter


Die Einstellungen werden über einen sicheren Kommuni- Berücksichtigung der aktuellen Wetterprognose, der erwar-
kationskanal an die Musterstadt Micro Grid GmbH über- teten Strompreise und der Lastprognose des Netzes im Hin-
mittelt. Diese nutzt diese Daten, um mithilfe intelligenter blick auf die lokale Netzstabilität.
Verbrauchsmanagement-Algorithmen eine Optimierung der
Energielast in der Gemeinde auf ihrer speziellen CPS-Infra- Die Musterstadt Micro Grid GmbH bietet als weitere Funkti-
struktur zu kalkulieren; die zeitliche Planung dabei richtet on die Regelung der Raumtemperaturen an, die Frau Mayer
sich nach Frau Mayers Vorgaben hinsichtlich Kosten, Eigen- ebenfalls über ihr Smartphone einstellen kann. Dazu steu-
verbrauch und Umweltverträglichkeit. Für die Optimierung ert die Gesellschaft die Steuerung der Klimaanlage und der

Abbildung 2.8: Schematischer Ausschnitt eines Micro Grid in der vernetzten Energieversorgung (Smart Grid)

Physisches Micro Grid

Vernetzte Steuerung, Virtuelles Kraftwerk

Physikalische und virtuelle Energienetzverbindungen

Bestehende physikalische Netzverbindungen

Virtuelles Steuerungsnetz

50
Visionen, Charakteristika und Fähigkeiten

Mikro-KWK so, dass jederzeit ein komfortables Hausklima Frau Mayer bindet außerdem ihr Elektrofahrzeug in das
entsteht. Im Gegenzug erhält das Micro Grid einen wei- Micro Grid ihrer Gemeinde ein. Während das Auto zu Hause
teren steuerbaren Verbraucher, der in den Optimierungs­ oder am Arbeitsplatz parkt, kann die Musterstadt Micro Grid
algorithmen berücksichtigt werden kann. Im Gegensatz GmbH den Speicher nutzen, um von Preisschwankungen
zu einem einfachen Thermostat wird das Hausklima da- im Energiehandel zu profitieren. Der Speicher kann Energie
mit zusätzlich im Hinblick auf den aktuellen Strompreis aufnehmen, wenn die erneuerbaren Energieerzeuger mehr
oder die Netzlast geregelt. Damit unterstützt die Micro- Energie produzieren als verbraucht wird. Umgekehrt kann
KWK die Netzstabilität und verringert den Bedarf an teu- der Speicher die Energie zurückpeisen, wenn im Netz mehr
ren Energie­speichern. Der Micro-Grid-Operator – oder ein verbraucht als produziert wird. Der Micro-Grid-Betreiber kann
Agent – kann in seinen Optimierungen die Strompreise die Speicher für verschiedene Formen des Energiehandels
und die Last berücksichtigen und die Micro-KWK-Anlage nutzen. Elektrofahrzeuge sind dabei bestens zur Kontrolle
im Hinblick auf diese beiden Faktoren planen und an- der Netzstabilität und für die Primärregelung im Regelener-
steuern und damit entweder das Netz stabilisieren oder giemarkt geeignet, da die Lastflusssteuerung sehr schnell
wirtschaftlich handeln. Frau Mayer kann den aktuellen geregelt werden kann. Vor allem lokale Netz­ engpässe
Verbrauch und die Erzeugung der Photovoltaikanlagen je- können mit Elektrofahrzeugen schnell ausgeglichen und
derzeit auf ihrem Smartphone beobachten; das ermöglicht ins­besondere lokale Lastspitzen geglättet werden. Den ge-
ihr intelligenter Zähler (Smart Meter), der an das Internet wünschten Ladezustand ihrer Autobatterie mit den entspre-
angeschlossen ist und Erlöse sowie Kosten jederzeit trans- chenden Zeitpunkten kann Frau Mayer wieder mit ihrem
parent macht. Am Ende jeder Woche findet eine Abrech- Smartphone einstellen. Die koordinierte Steuerung der Lade-
nung mit der Musterstadt Micro Grid GmbH statt und der funktion von Elektrofahrzeugen in der Gemeinde übernimmt
Saldo aus Erlösen und Kosten wird automatisch mit Frau die Musterstadt Micro Grid GmbH. Dabei achtet sie darauf,
Mayers Konto verrechnet. dass sowohl Netzengpässe als auch das Mobilitätsbedürfnis
der teilnehmenden Personen nicht eingeschränkt werden.
Im Fall einer Störung oder bei einer starken Verschmutzung
der Photovoltaikanlage, also wenn weniger Strom produ- Im Hinblick auf eine steigende Volatilität der Energie­
ziert wird, wird Frau Mayer unverzüglich per Mobilgerät produktion durch vermehrte Nutzung erneuerbarer Energie-
benachrichtigt. Die Art des Problems wird ausgewertet, das träger kann das Micro Grid als Cyber-Physical System zur
weitere Vorgehen empfohlen. So kann sie bei Bedarf gleich Stabilisierung des Energienetzes beitragen und so einen Teil
einen Dienstleister, beispielsweise einen Elektromeister, mit der ansonsten benötigten Großkraftwerke einsparen. Für
der Behebung des Fehlers beauftragen. die Planung des Betriebs stehen dem Micro Grid hierfür die
bereitgestellten Daten der Teilnehmer sowie verschiedene
Die Musterstadt Micro Grid GmbH nutzt das Wissen über Optimierungs- und Steuerungsalgorithmen zur Verfügung.
die lokale Erzeugung und den Verbrauch, um am Energie- Wetterprognosen unterstützen die Planung mit einer besse-
handel teilzunehmen. Die Preise sind dabei jederzeit über ren Voraussagbarkeit der Energieproduktion durch erneuer­
die Energiebörse oder über die Musterstadt Micro Grid bare Energieträger, vor allem durch die Sonne. Außerdem
GmbH und für die Verbraucher verfügbar. Lokale Über- besteht die Möglichkeit zur Verbrauchssteuerung durch
schusse können am Energiemarkt verkauft, bei Bedarf kann Preissignale oder den direkten Zugriff auf Verbrauchergerä-
zusätzliche Energie eingekauft werden. te und Stromspeicher. Neue Geräte müssen sich ohne Konfi-
gurationsaufwand, also nach dem Plug-and-Play-Verfahren,

51
agendaCPS

einbinden lassen; das System hat sich während der Lauf- deutung und schafft für das Energieversorgungssystem eine
zeit dynamisch an die Änderungen anzupassen. Bei Stö- Reihe zusätzlicher Werte. So kann das Smart Grid zu mehr
rungen oder Notfällen muss es automatisch reagieren. Zur Transparenz führen, schafft damit ein höheres Bewusstsein
Be­hebung der Probleme können zusätzliche Funktionen bezüglich des Energieverbrauchs und reduziert den Energie­
Empfehlungen geben oder unverzüglich Dienstleistungs­ bedarf. Weiterhin erhöht es die Flexibilität aufseiten der
betriebe beauftragen. Verbraucher und ermöglicht so den flächendeckenden Ein-
satz erneuerbarer Energieerzeuger unter Bei­behaltung der
Das Erfassen des Energieverbrauchs mit hoher zeitlicher Versorgungssicherheit. Für unsere Gesellschaft bedeutet
Auflösung ermöglicht es Frau Mayer, mit beliebigen End- das eine erhöhte Lebensqualität und die Möglichkeit zu ei-
geräten ortsunabhängig nicht nur Informationen zum nem nachhaltigen Umgang mit den Ressourcen.
Energieverbrauch abzurufen. Ihr persönlicher Energie­
beratungsagent analysiert außerdem ihren Verbrauch und Als Bestandteil des Smart Grid konzentriert sich das Micro
gibt Sparhinweise. Grid besonders darauf, vorhandene Energie lokal zu nutzen
und damit Transportverluste sowie Netzentgelte zu vermei-
Auch das elektrische Netz kann durch den Zugriff auf die viel- den. Die Steuerung flexibler Komponenten kann von Micro-
fältigen Daten stabil geführt werden. Allerdings bekommt es Grid-Operatoren beziehungsweise automatisierten Software
keinen direkten Zugriff auf die persönlichen Daten von Frau Agenten koordiniert werden. Dazu verwenden diese Algo-
Mayer, sondern auf aggregierte Daten vieler Kunden, das je- rithmen, Visualisierungswerkzeuge und Dienstleistungen,
doch in Echtzeit. wie zum Beispiel eine Wetterprognose sowie Entwicklungs-
und Wartungsdienstleistungen bezüglich Energie- und IKT-
Der lokale Energiespeicher bietet durch die intelligente Infrastruktur. Die Bereitstellung und Integration derartiger
Einbindung mehrere Vorteile: Die Kombination mit der Dienstleistungen im Smart Grid fördert innovative Lösun-
Photovoltaikanlage erhöht deren Eigenverbrauch. Gleich- gen und damit die Entstehung neuer Geschäftsmodelle und
zeitig kann der Energiespeicher als Vorladespeicher für eine Start-up-Unternehmen. Folglich werden neue Arbeitsplätze
schnellere Betankung des Elektrofahrzeugs genutzt werden. geschaffen und der Wirtschaftsstandort Deutschland wird
Aus Systemsicht dient er dazu, die Volatilitäten zu glätten. gestärkt. Vor allem ländliche Gebiete profitieren von den
Diese drei Funktionen können im Widerspruch zueinander installierten erneuerbaren Energieerzeugern, die gepflegt
stehen. Ein Broker-System sorgt deshalb in Abstimmung mit und gewartet werden müssen.
den Agenten der Anlagen dafür, dass diese immer zum Nut-
zen von Frau Mayer eingesetzt werden. Außer einer umweltschonenderen Energieerzeugung kön-
nen Verbraucher mithilfe erneuerbarer Energie beziehungs-
weise ihrer Erzeuger und steuerbarer Komponenten von
2.4.2 Identifizierte Mehrwerte und Dienste günstigen Tarifen profitieren und so Kosten sparen. Durch
steuerbare Energieverbraucher und Speicher kann die Vo-
Energie berührt grundlegende Bedürfnisse unserer Gesell- latilität gepuffert, Spitzenlasten können reduziert werden.
schaft. Eine hohe Versorgungssicherheit und Verfügbarkeit Das vereinfacht den Netzbetrieb und ermöglicht einen
von günstiger Energie spielt für das Wirtschaftswachstum wirtschaftlicheren Einsatz der Großkraftwerke. Strom kann
eine wesentliche Rolle. Im Hinblick auf den bevorstehenden durch das als Stadtwerk agierende Micro Grid also viel
Energiewandel ist das Smart Grid von entscheidender Be- günstiger eingekauft werden; außerdem tragen vermiedene

52
Visionen, Charakteristika und Fähigkeiten

Netzentgelte zu einem verringerten Energiepreis bei. Lokale —— den Kauf einer kundenspezifischen Küche, wodurch der
Versorger können die Prognosen und das Potenzial der Ver- Einsatz und die Potenziale von Cyber-Physical Systems im
schiebung von Lasten und dezentraler Erzeugung nutzen, Auftragsabwicklungsprozess verdeutlicht werden, sowie
um Gewinne an der Energiebörse zu erzielen. —— die Selbstkonfiguration produktionsnaher IT-Systeme
als Beispiel für Potenziale von Cyber-Physical Systems
Die Daten können vom Netz ausgewertet und zur Diagnose im Produkt- und Produktentstehungsprozess.
verwendet werden. So lassen sich frühzeitig Gefährdungs-
situationen erkennen und zur automatisierten Auslösung Auf den ersten Blick erscheint das Szenario des Kaufs einer
einer Reaktion nutzen. Das vermeidet Stromausfälle oder kundenspezifischen Küche recht banal, zumal es aus dem
sonstige Eingriffe in die zuverlässige Versorgung der Kun- Business-to-Consumer-Bereich stammt und damit die Busi-
den. Gleichzeitig wird der Netzausbau durch eine bessere ness-to-Business-Anforderungen, beispielsweise die Beschaf-
Auslastung vermieden und so die Kosten der Kunden für fung einer komplexen Maschine oder Anlage durch einen
die Benutzung des Netzes gesenkt. industriellen Anlagenbetreiber und die Rekonfiguration
seines Produktionssystems, nur teilweise abbildet. Gleich-
Endnutzer profitieren davon, außer durch die Kostenerspar- wohl ist dieses vereinfachte Anwendungsszenario geeignet,
nis, in mehrfacher Hinsicht. Ein intelligentes Smart-Meter- beispielhaft die produktionsspezifischen Fähigkeiten von
Gerät lässt sich dabei immer und überall per Mobilgerät Cyber-Physical Systems zu illustrieren.
einstellen. So können Verbraucher immer sehen, was bei
ihnen passiert. Sollte etwa einmal Herd oder Bügeleisen Insgesamt verfolgt die Produktion die folgenden bekannten
noch an sein, wird der Besitzer sofort darüber informiert. Zielgrößen [AR11]:
Außerdem kann der Verbrauch bestimmter Geräte über de-
ren Funktion Aufschluss geben. Sollte etwa ein Kühlschrank —— vom Kunden geforderte Qualität, die robuste Produkti-
mehr als sonst verbrauchen, kann der Nutzer einen Hinweis onsprozesse erfordert,
erhalten, den Kühlschrank zu enteisen oder ein neues, ener- —— Geschwindigkeit und Zeit, bezogen auf Innovationen,
giesparendes Gerät zu kaufen. Ferner wird das Elektrofahr- Durchlaufzeiten und den Anlauf von Anlagen sowie
zeug zu Hause oder am Arbeitsplatz immer ausreichend —— wettbewerbsfähige Herstellungskosten, die sich auf das
geladen, Fahrten zur Tankstelle werden vermieden. Nutzer Volumen der Investitionen in Anlagen und IT auswirken.
können außerdem ihre Energiedaten analysieren und ihre
Häuser im Hinblick auf den Energieverbrauch optimieren. Diese Ziele sind auch als Restriktionen bei der Gestaltung
von IT-Architekturen und -Systemen in Produktionsunter-
nehmen zu verstehen. Aus diesen Restriktionen erklärt sich
2.5 Intelligente Fabrik – vernetzte, adaptive unter anderem, warum viele moderne Technologien, die
und echtzeitfähige Produktion sich im Konsumgütermarkt längst durchgesetzt haben, in
der Produktion erst langsam Einzug halten. Das gilt etwa
Die zwei grundlegenden Prozesse eines produzierenden für intelligente Endgeräte wie Smartphones, mit denen sich
Unter­
nehmens sind Auftragsabwicklung sowie Produkt- wichtige Informationen aus der Fertigung dezentral bereit-
und Produktionsentstehung. Sie werden im Folgenden stellen ließen, oder 3D-Visualisierungen des Fabrikbetriebs.
durch zwei Szenarien abgebildet, und zwar

53
agendaCPS

Neben dem bekannten Dreiklang aus Qualität, Zeit und —— Echtzeitfähigkeit, die es nötig macht, dass Informati-
Kosten ergeben sich neue Erfolgsfaktoren für die zukünfti- onen schnell berechtigten Nutzern zur Verfügung ge-
ge Produktion [BBE07], etwa die stellt werden, sowie
—— Netzwerkfähigkeit und damit die Erweiterung des Blick-
—— Wandlungsfähigkeit für viele neue Produktvarianten, felds von einem Unternehmen auf Verbünde von Stand-
die Integration und Interoperabilität in der produktions- orten oder Firmen.
nahen IT erfordern,

Abbildung 2.9: Beispiele für ausgetauschte Informationen der Beteiligten in der Produktion

Kunden (B2B1 & B2C2) Lieferanten

Beispielfunktionen:
kommunizieren, verhandeln
interpretieren und konfigurieren
visualisieren und simulieren
Kapazitäten abgleichen Material
Spezifikationen Kapazitäten
Liefertermine Liefertermine
Mengen Mengen

vernetzte CPS-Produktionsintegration

Produktspezifikationen Anlagen und


Geometrie Selbstbeschreibung
Kinematik Produktspezifikationen Aufträge Geometrie
Stücklisten Stücklisten Termine Kinematik
Arbeitspläne Arbeitspläne Materialverfügbarkeit Logik
langfristige Kapazitäten

Produktentwickler Fabrikbetreiber Fabrikausrüster

1
Business to Business
2
Business to Consumer

54
Visionen, Charakteristika und Fähigkeiten

Aufgrund der Position von Cyber-Physical Systems am Funktionsbeschreibung


Schnittpunkt der genannten Unternehmensprozesse müs- Eine kundenspezifische Küche soll mit den Anforderungen
sen sie außerdem über den kompletten Lebenszyklus von eines gegebenen Budgets, der Verwendung ökologisch ein-
Produkt und Produktion vernetzt sowie in die tradierten IT- wandfreier Materialien und definierter Energieeffizienzklas-
Architekturen von Unternehmen integriert werden. Das gilt sen der Elektrogeräte hergestellt werden. Basierend auf den
auch dann, wenn zukünftig produktionsnahe Anwendun- kundenspezifischen Vorgaben – Maße, 3D-Konfiguration,
gen aus einer Cloud als Dienste bezogen werden. Komponenten, Kostenrahmen sowie Nachhaltigkeit hinsicht-
lich CO2-Footprint und Ökosteuer – ermittelt der Assistenz-
dienst mithilfe eines Produktionsmanagementsystems das
2.5.1 Auftragsabwicklungsprozess – ideale Produktionssystem, die Herstellkosten und mögliche
Szenario und Teilszenarien Lieferzeiten. Dazu bedarf es der Fähigkeit zu echtzeitfähiger,
kontextadaptiver Kommunikation, der Vernetzung verteilter
Szenario Produktionseinheiten über Unternehmensgrenzen und der
(1) Familie Müller will sich eine neue Küche anschaffen. (2) Umsetzung von Verhandlungsstrategien. Das Produktions-
Auf der Basis der gewünschten Konfiguration der Küche –
etwa Komponenten, Schränke, Arbeitsplatte, Elektrogeräte und managementsystem kommuniziert mit infrage kommenden
Design – sowie weiterer Faktoren wie Preis, Energieeffizienz Produktionseinheiten seines Netzwerks. Zusätzlich berück-
und Liefertermin stellt Familie Müller mithilfe eines Assistenz­ sichtigen die Produktionseinheiten ihren eigenen Standort,
dienstes ihre Wunschküche online zusammen. (3) Zu dem
Zweck fragt der Assistenzdienst nach der Freigabe durch die Fa- ihren Auslastungsgrad, die Logistikkosten, die Kompatibili-
milie über ein Produktionsmanagementsystem des Küchenan- tät der Produktionseinheiten verschiedener Hersteller unter-
bieters direkt die infrage kommenden Produktionseinheiten
einander – hier ist horizontale Vernetzung zur Interaktion
der Hersteller der Küchenkomponenten und -geräte ab.
Die Abfrage ergibt, dass sich alle Produktionseinheiten zur von Produktionseinheiten gefragt – das Wertschöpfungs­
Fertigung der gewählten Komponenten beim Hersteller A netzwerk, ausgehend vom Rohmaterial über Zwischenstufen
in Deutschland und alle Produktionseinheiten zur Fertigung
der Arbeitsplatte beim Hersteller B in Osteuropa befinden
bis hin zur fertigen Küche, sowie die vertraglichen Bedingun-
und die Küche zum Wunschtermin im Kostenrahmen geliefert gen der Hersteller und Lieferanten. Aufgrund der Planung
werden kann. (4) Familie Müller erteilt daraufhin über den erwerden Produktionseinheiten unterschiedlicher Produkti-
Assistenz­dienst den Auftrag. Nach der Auftragsvergabe über-
wacht und steuert das Produktionsmanagementsystem des onsbetreiber an unterschiedlichen Orten ausgewählt: Im be-
Anbieters den gesamten Prozess bei den Sublieferanten der trachteten Szenario erhält Betreiber A in Deutschland den
einzelnen Komponenten. Auftrag zur Fertigung der Möbelstücke sowie Betreiber B in
(5) Einige Zeit nach Auftragsvergabe – die Fertigungsauf- Osteuropa den Auftrag zur Fertigung der Arbeitsplatte. Ko-
träge sind inzwischen bei den Sublieferanten eingetroffen
– entscheidet sich Familie Müller für ein anderes Design ordiniert werden die Aufträge über Cyber-Physical Systems.
der Arbeitsplatte. (6) Über den Assistenzdienst wird nach
der Möglichkeit und den Bedingungen einer Auftrags­ Die wegen Auftragsänderungen erforderlichen Anpas­
änderung gefragt. Der Assistenzdienst ermittelt mithilfe des
Produktionsmanagementsystems, dass ein anderes Ferti- sungen in der Produktion werden durch die beteiligten Pro-
gungsverfahren sowie eine aufwändige Vorbehandlung der duktionseinheiten selbstständig, unter Einbindung neuer
Roharbeitsplatte erforderlich sind und fragt nach idealen Pro-
Produktionseinheiten oder auch unter Einbeziehung weite-
duktionseinheiten zu diesen Zwecken. Preisänderungen so-
wie die Auswirkungen auf den Wunschtermin werden Familie rer Betreiber, durchgeführt; eventuelle Zusatzkosten werden
Müller mitgeteilt. (7) Familie Müller bestätigt die Auftrags­ dem Endkunden mitgeteilt. Dieser bestätigt die Auftrags-
änderung, woraufhin einem Sublieferanten B in Osteuropa
änderung über einen Assistenzdienst, der direkt mit dem
diese Änderung verbindlich mitgeteilt wird.
Produktionsmanagementsystem kommuniziert.

55
agendaCPS

Eine Änderung im Produktionsablauf kann sich auch —— selbstständige Verhandlung von Cyber-Physical Systems
durch den Ausfall einer Komponente ergeben. Ähnlich über Unternehmensgrenzen hinweg, orientiert an den
wie bei einer Auftragsänderung organisiert sich das Cy- globalen Zielen des Kundenauftrags,
ber-Physical System neu, um den Ausfall unter gegebenen —— Anpassung oder Umkonstruktion beziehungsweise
Randbedingungen – Liefertermin, Verfügbarkeit, Kosten Evolution von Produktionseinheiten, während der
etc. – zu kompensieren. Produktions­auftrag bereits auf die Ressourcen verteilt
(eingelastet) worden ist,
Identifizierte Dienste und Fähigkeiten und ihr —— Auswahl potenzieller Alternativressourcen, um das
Mehrwert Produkt entsprechend den Zielen des Kundenauftrags
Die Szenarien erfordern folgende Fähigkeiten und Dienste: herzustellen,
—— selbstständige Simulation des Gesamtprozesses mit
—— Kommunikation durch Vernetzung der Produktions­ den Alternativressourcen und Interpretation des Ergeb-
einheiten und der Hersteller, nisses,
—— standortübergreifender Abgleich der Restriktionen, —— Änderung der ursprünglichen Arbeitsgangfolge und
beispielsweise Termine, Kapazitäten, Materialverfüg­ Umsteuern des Auftrags auf Alternativressourcen,
barkeit, —— Einbindung von Ressourcen in das Produktionsnetzwerk
—— selbstständiges Einplanen der Aufträge auf den mit Methoden der Selbstbeschreibung, Interoperabilität
Produktions­einheiten, und Selbstkonfiguration,
—— permanente Überwachung der Auftragszustände samt —— Online-Kopplung an die digitale Fabrik, Datenüber­
Kommunikation von Abweichungen im Produktions- nahme und permanenter Abgleich mit den Planungs-
netzwerk, daten, um in Echtzeit auf Änderungen reagieren zu
—— Erkennen mittels Cyber-Physical Systems, welche Enti- können,
täten im Auftragsabwicklungsprozess von Änderungen —— Online-Kopplung an die Automatisierungsebene, um
betroffen sind, durchgängige vertikale Integration zu erzielen; dafür
—— Information der Betroffenen über Auftragsänderungen, sind beispielsweise gemeinsame Modelle von Anlagen
—— Entgegennahme und Verarbeitung der Rückmeldung auf Basis mechatronischer Bibliotheken [PLSD11] erfor-
der Betroffenen auf die Auftragsänderung, derlich,
—— Auftragsänderung trotz Auftragsbestätigung und der —— konsistenter Datenaustausch mit anderen Cyber-Physi-
begonnenen Fertigung der Küchenteile, cal Systems auf der Ebene der Produktionsleitsysteme
—— Veranlassen der Information des Endkunden, (Manufacturing Execution Systems, MES), beispiels­
—— Einholen von Angeboten der Produktionseinheiten, weise Logistikanwendungen, im Sinn einer durchgän­
—— Bewerten der Angebote entsprechend übergeordneter gigen horizontalen Integration,
Ziele wie Kosten und Termine, —— übergreifende Auswertungen von MES-Datenbeständen
—— neue Zuordnung der Produktionseinheiten zu Herstel- mithilfe von Data-Mining-Verfahren, um die Produktion
lern und Einbindung der neuen Produktionseinheit in im Sinn eines selbstoptimierenden Systems zu realisie-
das Produktionsnetzwerk, ren [BKS11, S. 65], etwa, indem das MES Zusammen-
—— Integration anderer, neuer Produktionseinheiten wäh- hänge zwischen Qualitätsdaten und Prozessparametern
rend des Betriebs, verfolgt und bei Bedarf Prozessparameter regelt,

56
Visionen, Charakteristika und Fähigkeiten

—— Suche von zusammenhängenden Daten in unterschied- Komponenten kennen ihre Fähigkeiten und wissen, in wel-
lichen, meist proprietären, MES- oder Fabrik-Daten­ che Anlagen sie eingebaut werden können. Gegebenenfalls
beständen, sodass beispielsweise Informationen zu ei- ändern sie Konfigurationseinstellungen selbstständig, um
nem Sachverhalt verknüpft werden können. sich an die Fertigungsaufgabe und an die Anlage, in die
sie eingebaut werden, anpassen zu können. Außerdem ist
Hieraus ergeben sich folgende Anforderungen an Cyber- die ihnen eigene Intelligenz verschlüsselt und so geschützt,
Physical Systems und die Abstützung auf folgende Techni- dass sie nicht von Unbefugten kopiert werden kann.
ken und Methoden:
Künftig werden intelligente Produkte auch aus sensorischen
—— Adaptivität der Wertschöpfungskette Materialien hergestellt. Vorprodukte oder Halbzeuge haben
—— Heterogenität der Produktionseinheiten (unterschied­ entweder inhärente sensorische Eigenschaften oder ent­
liche Versionen und Hersteller), halten verteilte Netzwerke vieler intelligenter Sensorknoten;
—— vertikale Vernetzung, durchgängige Werkzeugkette auf der sie erfassen vielfältige Parameter gleichzeitig, verarbeiten
Ebene des Enterprise Resource Planning, ERP, und der MES, Daten lokal vor und erkennen Störungen beziehungsweise
—— Datenkopplung über Unternehmensgrenzen hinweg, Notsituationen. Solche sensorischen Materialien können
—— horizontale Vernetzung zur Interaktion von Produktions- schon während des Produktionsprozesses aktuelle Parame-
einheiten, ter wie Temperatur, Bearbeitungsdruck, Lage oder Beschleu-
—— Interoperabilität der Produktionseinheiten von unter- nigung erfassen und sich mit den Bearbeitungsmaschinen
schiedlichen Herstellern, abstimmen, um ihnen diese Daten zu übermitteln. Umge-
—— Skalierbarkeit von Produktionseinheiten, kehrt werden die tatsächlichen Bearbeitungsparameter der
—— dynamische Rekonfiguration zur Laufzeit, Maschinen in das Produkt übernommen [vTFN09, CEW09].
—— Methoden zur Konfiguration und Konsistenzanalyse,
—— Methoden zur Unterstützung von Verhandlungen wie (1) Hersteller A hat den Auftrag, für Familie Müller die
Möbel­stücke ihrer neuen Küche zu produzieren. (2) Hersteller
Mehrzieloptimierung, A hat den Produktionsablauf so optimiert, dass eine Produk-
—— Methoden zur Umsetzung von physikalische Kontext- tionsanlage in der Lage ist, mehrere Produktlinien mit unter-
und Situationserfassung (Situation Awareness, Context schiedlichen Produktgenerationen zu produzieren. (3) Familie
Müller hat sich für eine Küche der Produktionslinie der neues-
Awareness). ten Produktgeneration entschieden. Die dafür notwendigen
Werkstoffe müssen in bestimmter Weise verarbeitet werden.
Sie teilen der Produktionsanlage ihre Eigenschaften mit,
wodurch die Maschinen automatisch richtige konfiguriert
2.5.2 Szenario zum Produkt- und werden. Zum Beispiel wird de richtige Säge ausgewählt und
Produktions­entstehungsProzess das Material korrekt vorbehandelt. (4) Aufgrund des kurzfris-
tigen Ausfalls eines speziellen Rohstoffs muss ein Element
der Küche von Familie Müller mit einem alternativen Rohstoff
Aktuelle Entwicklungen deuten darauf hin, dass sich der angefertigt werden. Für Familie Müller bedeutet das keinerlei
Prozess der Planung und Inbetriebnahme einer Fabrik, ihrer Qualitätseinbußen oder Abstriche am Design; jedoch muss
der neue Rohstoff besonders verarbeitet werden. (5) Der
Anlagen und von deren Komponenten künftig grundlegend alter­native Rohstoff teilt zu Beginn des Produktionsprozesses
verändern wird: Anlagen werden aus mechatronischen Kom- der Produktionsanlage seine Eigenschaften mit. (6) Da die
ponenten zusammengebaut, die durch dreidimensionale Produktionsanlage diesen Rohstoff bisher noch nicht verar-
beitet hat, fragt sie über eine entsprechende Datenbank eine
Geometrie, Kinematik und Logik in Form von Steuerungs- optimale Konfiguration aufgrund der Rohstoffeigenschaften
programmen gebildet werden [PLSD11]. Diese intelligenten an. (7) Die Konfiguration wird in die Produktionsanlage

57
agendaCPS

geladen und der alternative Rohstoff kann, ohne Auswirkun- Potenziale für Anlagenbetreiber in der kontinuierlichen
gen auf den Wunschtermin der Familie Müller, umgehend und diskreten Produktion
verarbeitet werden.
Vor allem Anlagenbetreiber treiben Mechanismen zur Schaf-
fung von Interoperabilität gemeinsam mit ihren Lieferanten
Identifizierte Dienste und Fähigkeiten und ihr voran, hauptsächlich mit dem Ziel, Anlagen und deren Kom-
Mehrwert ponenten schneller in ihre Produktionssysteme integrieren
—— Bereitstellung einer Selbstbeschreibung in einem ma- zu können. Ein zusätzliches Ziel von Anlagenbetreibern ist
schinenlesbaren, möglichst standardisierten Format, es, Anlagen- und Komponentenhersteller austauschbar zu
—— eigenständige Definition der noch zu schaffenden machen, damit die Bindung an die Lieferanten ihrer Aus­
Vo­raussetzungen für die Selbstkonfiguration samt Be- rüstungen in der Produktion zu reduzieren und letztlich Kos-
schaffung der erforderlichen Daten aus dem Prozess der ten zu senken. Dass Produktionsanlagen und Komponenten
Produkt- und Produktionsentstehung, zukünftig durch Cyber-Physical Systems repräsentiert wer-
—— Einlesen und Interpretation der Selbstbeschreibung so- den, wird diese Entwicklungen nur verstärken.
wie Selbstkonfiguration,
—— eigenständiges Änderungsmanagement und Informati- Weiteres Potenzial für Anlagenbetreiber liegt darin, dass
onen über Änderungen an andere betroffene Entitäten, Cyber-Physical Systems und ihre eingebettete Software
—— Selbstorganisation, beispielsweise bei der Fertigungs- zentral administrierbar werden. Damit können die IT-Ab­
steuerung durch Verhandlungsmechanismen zwischen teilungen der Unternehmen oder der Unternehmensnetz-
Werkstücken, Maschinen und Materialfluss-Systemen, werke ihren Anwendern punktgenau die Funktionalitäten
—— Extraktion von Wissen, beispielsweise aus dem zur Verfügung stellen, die sie zur Ausführung ihrer Arbeiten
Produktions­ prozess, und Rückführung in die Fabrik­ benötigen.
planung.
—— Basierend auf den bauteil-inhärenten Informationen Aufgrund des Wettbewerbsdrucks gehen immer mehr
sollen Fertigungs- und Montageprozesse geplant und Anlagenbetreiber dazu über, ITIL15-Prinzipien aus der
überwacht und die Produktion soll in Echtzeit geplant kommerziellen Informationstechnik auch für die produkti-
sowie gesteuert werden. Mit diesen neuen Möglich­ onsnahe IT anzuwenden, beispielsweise definierte Service-
keiten kann die Qualität signifikant erhöht und Kosten Level-­Agreements zu treffen. Es ist zu erwarten, dass sie
durch Ausschuss können vermieden werden. auch bei Cyber-Physical Systems solche Tendenzen verfol-
gen und zunehmend fordern werden. Darauf müssen zu-
künftige CPS-Anbieter vorbereitet sein.
2.5.3 CPS-Mehrwert und Potenziale
Potenziale für Systemintegratoren und IT-Systemhäuser
Im Folgenden sind zunächst einige Prognosen für verschiede- Aus den oben beschriebenen Zukunftsszenarien ergeben
ne Branchen beziehungsweise Hierarchieebenen der industri- sich neue Märkte für unabhängige IT-Dienstleister, die zwi-
ellen Produktion beschrieben, die sich aus den oben genann- schen Softwareherstellern und Anlagenbetreibern verortet
ten Szenarien und CPS-Entwicklungen ableiten lassen: und viel mehr mit Wartung, Konfiguration und Parame-
trierung beschäftigt sind als mit Programmierung. Dieser
Trend zeichnet sich bereits ab: In einer aktuellen Studie der
Beratungsgesellschaft Roland Berger Strategy Consultants

15 Information Technology Infrastructure Library, eine Sammlung von Best Practices für das IT-Service-Management.

58
Visionen, Charakteristika und Fähigkeiten

[Ber10b] heißt es, europäische IT-Anbieter einer neuen Ge- —— weltweite Betreuung der Anlagen rund um die Uhr an
neration benötigten „hohe Kompetenz an der Schnittstelle jedem Tag (24/7) und entsprechende Serviceverträge
zwischen Industrie/Automationstechnik und IT“. durch Online-Zugriff auf den Zustand der Anlagen.

Potenziale im Maschinen- und Anlagenbau Potenziale für Hersteller von Automatisierungsgeräten


Der Trend im Maschinen- und Anlagenbau geht deutlich und -komponenten
in Richtung intelligenter Vernetzung der Produktions­ Für die zukünftige Wettbewerbsfähigkeit der deutschen
komponenten und funktionalen Engineerings durch inter- produzierenden Industrie sind die Automatisierungstechnik
disziplinäre, mehrere Aufgaben integrierende Verbindun- und die industrielle IT in den kommenden Jahren Schlüssel-
gen von Mechanik, Elektrik und Software. Maschinen- und technologien. Es ist zu erwarten, dass gerade Unternehmen
Anlagenbauer werden künftig mechatronische Elemente zu dieser Branche von der Entwicklung hin zu Cyber-Physical
intelligenten Produktionsanlagen kombinieren. Für diese Systems am meisten betroffen sein werden. Zu den Haupt-
Unternehmen ergeben sich neue Geschäftsmöglichkeiten, Produktgruppen dieser Branche zählen Sensoren, Aktoren,
beispielsweise die Verbesserung der eigenen Anlagen durch Feldbussysteme, Steuerungen wie SPS, NC- und Roboter-
die Nutzung von Felddaten aus dem Betrieb oder durch die steuerungen, Produkte mit Mensch-Maschine-Schnittstellen,
vorbeugende Instandhaltung von Anlagen ihrer Kunden. zum Beispiel SCADA16-Systeme und elektrische Basisproduk-
te wie Antriebe oder Regler. Maschinen- und Anlagen­bauer
Der Maschinen- und Anlagenbau steht im internationa- ermöglichen durch die Produkte der Automatisierungs­
len Wettbewerb; vor allem im Low-Cost-Segment haben branche die oben genannten zusätzlichen Dienstleistungen.
chinesische Hersteller bereits den Markt übernommen Dabei ist es für Automatisierungsanbieter elementar, durch
[Ber11a]. Für die mittleren und oberen Qualitäts- und Preis- die Entwicklung zu Cyber-Physical Systems die Chancen zur
segmente bieten Cyber-Physical Systems den deutschen Modularisierung ihrer Produkte und den Aufbau von Platt-
Herstellern gute Chancen, um ihren Kunden durch zusätz- formkonzepten zu nutzen, sodass sie viele verschiedene An-
liche Dienstleistungen einen wettbewerbsrelevanten Mehr- wendungen kundenspezifisch wirtschaftlich herstellen und
wert zu bieten. Diese sind beispielsweise liefern können [Ber09, Ber10a, FS09].

—— Energiedatenüberwachung und Energiedatenmanage-


ment durch Sensorik und Verarbeitungsfähigkeiten der 2.6 Charakteristische Fähigkeiten und
Maschinen Potenziale von Cyber-Physical Systems
—— vorbeugende Instandhaltung durch Zugriff auf Feld­
daten mittels Sensorik samt entsprechender Lebens­ Die skizzierten CPS-Szenarien aus den Bereichen Mobilität,
zyklusmodelle Gesundheit, intelligente Energieversorgung und Produktion
—— Lebenszyklus-Kostenrechnung (Life Cycle Costing, LCC), demonstrieren die vielfältigen Funktionen und anspruchs-
zur Unterstützung beim Kostenmanagement vollen Dienste, die Cyber-Physical Systems leisten können.
—— kundenorientierte und treffsichere Anlagenkonfigurati- Die innovativen Fähigkeiten von Cyber-Physical Systems
onen für spezifische Anwendungsfälle durch Kombinati- werden besonders deutlich durch die Vielfalt der Anwen-
on von Cyber-Physical Systems und Komponenten statt dungsmöglichkeiten vernetzter softwarebasierter Systeme
überdimensionierter Entwicklungen (Over-Engineering) und Dienste, zum Beispiel aus dem Internet.

16 Supervisory Control and Data Acquisition (SCADA).

59
agendaCPS

Im Folgenden werden die Systemeigenschaften und Fähig- der entsprechenden Echtzeitsteuerung von Systemen und
keiten von CPS charakterisiert und erste Schlüsse gezogen, Komponenten zu verschmelzen. Eine Herausforderung, be-
welche Anforderungen an Technologien und welche Heraus­ sonders für das Engineering, besteht in diesem Zusammen-
forderungen für das Engineering sich daraus ergeben. hang darin, kontinuierliche Systeme aus der Regelungs- und
Steuerungstechnik sowie diskrete Systeme aus der Informa-
tik miteinander zu kombinieren. Cyber-Physical Systems
2.6.1 Eigenschaften und neuartige erfassen und verarbeiten, hochgradig parallel und verteilt,
Fähigkeiten von Cyber-Physical Systems dedizierte sensorische Daten der Umgebung, fusionieren
und interpretieren sie und steuern beziehungsweise regeln
Mit den Mitteln der in Abschnitt 1.4 zusammengefassten in Echtzeit das Verhalten der beteiligten Aktoren.
Szenarienanalyse werden Cyber-Physical Systems in fünf
aufeinander aufbauenden Dimensionen charakterisiert, die Hier einige Beispiele aus den Szenarien:
eine Evolution hin zu zunehmender Offenheit, Komplexität
und Intelligenz nachzeichnen: —— Im Szenario Smart Mobility werden in Bezug auf
autonom fahrende Fahrzeuge Informationen über
(1) Verschmelzung von physikalischer und virtueller Welt Geschwindig­keit, Abstand zu Objekten, Fahrbahnfüh-
(2) System of Systems mit dynamisch wechselnden System- rung und die aktuelle Situation auf der Strecke (Verkehr,
grenzen Wetter, Fahrbahnzustand, Unfälle etc.) erfasst. Diese
(3) kontextadaptive und ganz oder teilweise autonom han- werden mit Informationen über Lage, Ziel und Fähig­
delnde Systeme; aktive Steuerung in Echtzeit keiten des Fahrzeugs – sowie des Fahrers und der Insas-
(4) kooperative Systeme mit verteilter, wechselnder Kontrolle sen – verknüpft, sodass auf dieser Basis das Verhalten
(5) umfassende Mensch-System-Kooperation des Fahrzeugs gesteuert wird.
—— Im Szenario Smart Grid werden die aktuelle Energie­
Die stufenweise Erweiterung von Cyber-Physical Systems gewinnung sowie der aktuelle Energieverbrauch erfasst.
sowie ihrer Fähigkeiten und Eigenschaften bringt wach- Es wird ein globales Lagebild erstellt – auch mithilfe
sende Herausforderungen mit sich, was eine brauchbare von Prognosen und Hochrechnungen, die aus Markt-
Gestaltung und das Engineering der Systeme angeht, aber und Umweltdaten gewonnen werden – und in Echtzeit
auch im Hinblick auf ihre sichere und vertrauensvolle Be- werden Energieproduktion, Verteilung und Speicherung
herrschung (siehe hierzu Kapitel 3 bis 5). gesteuert.
—— Im Szenario Smart Factory bildet das Produktionsma-
(1) Verschmelzung von physikalischer und virtueller nagementsystem mit den einzelnen Produktionsein­
Welt heiten der Betreiber ein Cyber-Physical System mit dem
Beschleunigte Miniaturisierung, stark gestiegene Rechen- Ziel, individuelle Kundenwünsche bis kurz vor Ferti-
leistung und rasante Fortschritte der Steuerungstechnik gungsbeginn berücksichtigen zu können und trotzdem
in den Informations- und Kommunikationstechnologien die Auslastung der Produktionsanlagen zu maximieren.
bilden die Grundlagen für eine wesentliche Fähigkeit von Das wird erreicht, indem Konfigurationen, beispiels­weise
Cyber-Physical Systems: physikalische und virtuelle Welten von Komponenten spezifischer Anbieter, während der
mit den Möglichkeiten einer lokalen und globalen physi- Produktion in Echtzeit aus der virtuellen Welt neu gela-
kalischen Situationserkennung (Physical Awareness) und den werden, um neue Werkstoffe bearbeiten zu können.

60
Visionen, Charakteristika und Fähigkeiten

Dies ist ein Beispiel dafür, wie sich Fabriken für unter- kontrollierten Bereichs von Cyber-Physical Systems; diese
schiedliche Anforderungen auch auf logischer Ebene kooperieren also mit anderen Systemen, Teilsystemen oder
wandeln.17 Diensten der Umgebung – Beispiele:

Cyber-Physical Systems zeichnen sich also dadurch aus, —— Im Szenario Smart Mobility vernetzt sich das autonome
dass sie eine Vielzahl von parallel arbeitenden und ver- Fahrzeug dynamisch mit einer ortsfesten Infrastruktur
netzten Sensoren, Rechnern und Maschinen umfassen, die und mit anderen Fahrzeugen und bildet mit diesen ein
Daten erfassen und interpretieren, auf dieser Grundlage Cyber-Physical System.
entscheiden und physikalische Prozesse der realen Welt —— Im medizinischen Notfall leitet das Cyber-Physical Sys-
steuern können. tem das Fahrzeug mit dem Patienten mithilfe von Geo-
daten-basierten Diensten (Location-based Services) zum
Fähigkeiten nächsten Arzt oder Krankenhaus, informiert diese vorab
Wesentliche Merkmale der oben angeführten Beispiele sind über das Eintreffen des Patienten und seinen Gesund-
die unmittelbare Erfassung, Vernetzung, Interaktion und heitszustand und gibt den Angehörigen Bescheid, zum
Steuerung beziehungsweise Beeinflussung der physikali- Beispiel via Mobilgerät.
schen und digitalen Welt. Die Systeme haben die Fähigkeit —— Mobile Diagnosegeräte oder Dienste aus dem Internet
suchen neue Haushalts- oder andere intelligente Geräte
—— zur parallelen Erfassung mittels Sensoren, Fusionierung (Smart Appliances) in Gebäuden, konfigurieren diese
und Verarbeitung physikalischer Daten der Umgebung, und integrieren sie in das Gebäudemanagement und
und zwar lokal und global sowie in Echtzeit (physikali- den laufenden Betrieb. Wenn erforderlich, koordinieren
sche Situationserkennung) sie weitere Schritte.
—— zur Lageinterpretation auf Basis der erfassten Informati- —— Produktionsanlagen binden aktualisierte Firmware-Versio-
onen im Hinblick auf die gesetzten Ziele nen von Anlagenkomponenten direkt in das Produktions-
—— zur Erfassung, Interpretation, Ableitung und Prognose CPS ein und informieren bei Bedarf überlagerte IT-Sys­
von Störungen, Hindernissen und Risiken teme über Änderungen, etwa von Steuerungsvariablen.
—— zur Einbindung, Regelung und Steuerung von Kompo-
nenten und Funktionen sowie zur Interaktion mit ihnen In diesen Beispielen erfordern die jeweilige Anwendungs-
—— zur global verteilten und vernetzten Steuerung und Re- situation und die anstehenden Aufgaben eine gezielte
gelung in Echtzeit. Kooperation mit festen oder zu bestimmenden Diensten
und Systemen der lokalen Umgebung und des Internets.
Die nächste Stufe von Cyber-Physical Systems besteht in so- Abhängig von Anwendungssituation und Aufgabe bilden
genannten System of Systems, die in kontrollierten Systemver- unterschiedliche Cyber-Physical Systems für eine begrenzte
bünden mit dynamisch wechselnden Systemgrenzen agieren. Zeit ein System of Systems. Dabei handelt es sich um einen
temporären Verbund von Systemen, die einem gemeinsa-
(2) System of Systems mit dynamisch wechselnden men Zweck dienen und aufgrund ihres Zusammenspiels er-
Systemgrenzen weiterte Funktionalitäten anbieten. Cyber-Physical Systems
Beim multifunktionalen Einsatz von Geräten und Systemen haben die Fähigkeit, aktiv Dienste und Kooperationen mit
werden Dienste und weitere CPS-Komponenten dynamisch anderen Systemen oder Teilsystemen – die zum Teil an-
genutzt und eingebunden, Das gilt auch außerhalb des fangs noch nicht identifiziert sind – aufzubauen und neue

17 Wandlungsfähigkeit von Fabriken ist definiert bei [WRN09, S. 121ff].

61
agendaCPS

beziehungsweise zusammengesetzte Komponenten und Lage sein, ihnen die Aufnahme zu verweigern und das
Dienste kontrolliert anzubieten. in dieser Situation für die Nutzer beziehungsweise die
Anwendung optimale Verhalten auszuwählen, zu ko­
Fähigkeiten ordinieren und zu steuern sowie Garantien hinsichtlich
Cyber-Physical Systems müssen in System of Systems folgen- Verlässlichkeit und Sicherheit (Compliance) der Systeme
de Fähigkeiten aufweisen: sicherzustellen.
—— Zugangssicherung und Kontrolle für systemeigene Da-
—— Interpretation der Umgebungs- und Situationsdaten über ten und Dienste.
mehrere Stufen, auch abhängig von unterschied­lichen
Anwendungssituationen, also auf Basis komplexer Um- (3) Kontextadaptive und ganz oder teilweise autonom
gebungs-, Situations- und Anwendungsmodelle handelnde Systeme
—— gezielte Auswahl, Einbindung, Abstimmung und Nut- Ein besonders wichtiges Merkmal von Cyber-Physical Sys-
zung von Diensten – abhängig von Situationen sowie tems ist ihre Fähigkeit, sich an Umgebungssituationen und
von lokalen und globalen Zielen sowie vom Verhalten Anwendungserfordernisse anzupassen (Kontextadaptivi-
anderer beteiligter Dienste und Komponenten tät) und dadurch teilautonom oder vollständig autonom zu
—— Komposition und Integration, Selbstorganisation und handeln: Bezogen auf ihre jeweilige Aufgabe, erfassen sie
dezentrale Kontrolle von Diensten: Abhängig von der – bei Bedarf unter Nutzung entsprechender Dienste – die
Anwendungs- und Umgebungssituation sowie der anwendungsrelevante Umgebung und die dortige Umge-
aktuellen Aufgabe erkennen Cyber-Physical Systems, bungssituation, interpretieren sie und berechnen, steuern
welche Dienste, Daten und Funktionen zur Erfüllung und koordinieren ein für die Beteiligten nützliches und
der Aufgabe benötigt werden und suchen diese, wenn wertvolles Systemverhalten.
erforderlich, aktiv bei anderen, zum Teil unbekannten,
möglicherweise im Netz verfügbaren Teilsystemen und Dieses Merkmal ist deswegen von wesentlicher Bedeutung,
binden sie dynamisch ein. weil es nicht nur Kommunikation und Koordination um-
—— Bewerten des Nutzens und der Qualität zur Verfügung fasst. Dazu gehören vielmehr auch der der gesamte Bereich
stehender Komponenten und Dienste: Um den Nutzen der Steuerung, also Aktorik und physikalische Prozesse,
und die Qualität einzelner oder dynamisch entstehen- ebenso wie Informations- und Managementprozesse über
der Gesamtdienste bewerten und gewährleisten zu Netze wie das Internet. Dies wird durch die Szenarien deut-
können, müssen Cyber-Physical Sytems die Qualität lich:
neuer Dienste und Funktionen ermitteln und bewerten
können, wie sich ihre Einbindung auf die Dienstqualität —— Das im Szenario Smart Mobility von Frau Müller gemie-
insgesamt auswirkt. Neben funktionalen Qualitäten, tete Car-Sharing-Fahrzeug besitzt bei der Annäherung
Nützlichkeit und Brauchbarkeit gilt es, möglicherweise an den Schulbus ein umfassendes Wissen über den
entstehende Risiken zu bewerten und festzulegen, wel- aktuellen Systemkontext, besonders die Anwendungs-
che Garantien hinsichtlich Zuverlässigkeit, Sicherheit und Umgebungssituation (Position, Beteiligte im Stra-
und Vertrauenswürdigkeit eingehalten werden müssen ßenverkehr, deren Rolle und übliches beziehungsweise
(Quality of Services). regelhaftes Verhalten). Die erforderlichen Situations-
—— Verlässlichkeit: Bei nicht ausreichender Qualität neuer und Ereignisinformationen holt sich das Fahrzeug von
Einzeldienste muss das Cyber-Physical System in der den vernetzten Komponenten der Umgebung ab, zum

62
Visionen, Charakteristika und Fähigkeiten

Beispiel Bewegungsinformation vom RFID-Tag [KOT11] über ein umfassendes Modell der aktuellen Anwen-
an der Kleidung des Kindes und weitere Informationen dungssituation zu verfügen,
vom intelligenten Kamerasystem beziehungsweise von —— kontinuierliche Erheben, Beobachten, Auswählen, Verar-
der ortsfesten Infrastruktur. Das Cyber-Physical System beiten, Bewerten, Entscheiden, Kommunizieren (mit Sys-
führt diese Informationen zusammen, bewertet die Situ- temen, Diensten und Beteiligten) der Umgebungs-, Situ-
ation und passt sein Verhalten entsprechend an, etwa, ations- und Anwendungsdaten, vieles davon in Echtzeit,
indem es automatisch bremst. —— gezieltes Einholen relevanter Informationen sowie Ein-
—— Während einer Autofahrt registriert der medizinische binden, Koordinieren und Steuern von Diensten,
Begleiter (Cyber-Physical System) gefährlich hohe Blut- —— Anpassung und Aktualisierung der Interaktion mit an-
druckwerte, informiert den Patienten, veranlasst das deren Systemen und Diensten sowie ihre Koordination
Auto, an die Seite zu fahren, und beschafft von der und Steuerung,
lokalen Infrastruktur Informationen über das nächst­ —— Erkennung, Analyse und Interpretation des zu erwarten-
gelegene Betreuungszentrum mit mobilen Diensten. den Verhaltens von Objekten, Systemen und beteiligten
—— Im Szenario Smart Health verbinden sich eine Vielzahl Nutzern,
mobiler Endgeräten untereinander und, über eine Ge- —— Erstellung eines Anwendungs- und Domänenmodells
sundheitsplattform, mit den IT-Systemen von Dienst­ der Beteiligten samt ihrer Rollen, Ziele und Anforderun-
leistern. Auch das geschieht dynamisch und angepasst gen, der verfügbaren Dienste und der zu bewerkstelli-
an die jeweilige Aufgabe. genden Aufgaben,
—— Im Szenario Smart Factory wird automatisch eine —— Festlegung von Zielen, auch unter Berücksichtigung
„Verbaut“-Meldung erzeugt, wenn sich eine per RFID- und Abwägung von Alternativen in Bezug auf Kosten
Tag identifizierte Zulieferkomponente dem Endprodukt und Risiken, sowie Planung und Festlegung von entspre-
bis auf eine definierte Distanz genähert hat. chenden Maßnahmen, aufgeteilt in Handlungsschritte,
—— Erkenntnis der eigenen Situation samt Zustand und
Diese Anwendungen sind dadurch gekennzeichnet, dass sie Handlungsmöglichkeiten sowie Selbstorganisation und
das Systemverhalten an wechselnde, auch unvorhergesehe- Koordination sowie
ne und neue Nutzungssituationen und Ereignisse anpassen —— Lernen, zum Beispiel geänderter Arbeits- und Logistik-
können, und das mit zunehmender Autonomie, Systeme prozesse oder der Gewohnheiten und Vorlieben von Pa-
und Teilsysteme greifen dabei zunehmend selbstständig in tienten im AAL-Szenario, und entsprechendes Anpassen
Abläufe ein und entscheiden über das weitere Verhalten des eigenen Verhaltens.
der Anwendung. Voraussetzung dafür ist die Fähigkeit von
Cyber-Physical Systems zu umfassendem Wahrnehmen, Aus- Der Grad der Offenheit in den verschiedenen Szenarien
wählen, Interpretieren, Entscheiden und Handeln. differiert zwar stark; zum Beispiel gibt es unterschiedlich
starke Restriktionen in Hinblick auf Art und Anzahl der Sys-
Fähigkeiten teme und Dienste, die dynamisch eingebunden werden. Ge-
Um kontextadaptiv handeln zu können, müssen Cyber- rade diese charakteristische Eigenschaft, erlaubt es Cyber-
Physical Systems folgende Fähigkeiten aufweisen: Physical Systems jedoch, ihr volles Potenzial zu entfalten.
Abhängig von der jeweiligen Situation und Aufgabe kön-
—— umfassende und durchgängige Kontexterfassung (Con- nen verschiedene Systeme und Dienste derart kombiniert
text Awareness), also die Fähigkeit, zu jedem Zeitpunkt und integriert werden, dass optimaler Nutzen entsteht.

63
agendaCPS

Beim Einsatz in wechselnden Kontexten und mit dynamisch Systeme und Dienste handeln, aber auch um Menschen
wechselnden Systemverbünden entwickeln sich zunehmend oder soziale Gruppen.
neue, nicht vorherbestimmte Kooperationen und Dienste.
Der Einsatz von Cyber-Physical Systems ist verknüpft mit Bereits die Szenarienbeispiele für Smart Mobility sind
einer kontinuierlichen Evolution von Systemen, Anwen- durch verteilte Kontroll- und Entscheidungsaufgaben ge-
dungen und Einsatzmöglichkeiten. Es ist wichtig, die Ver- kennzeichnet. Der Anwendungszustand in Abhängigkeit
wendung von Begriffen menschlicher Verhaltensweisen von den verfügbaren Informationen, Systemen, Netzen
im Kontext von Cyber-Physical Systems zu erklären: Es gibt und Kommunikationsmöglichkeiten in ihrer jeweiligen
seit Jahren eine fruchtbare Diskussion18 in der Informatik Um­gebung bestimmt den weiteren Ablauf, der verlässlich
und künstlichen Intelligenz (KI) [Tur50, Wei76, Dör89], sein soll und eine Kooperation mit interaktiven Kontrollauf­
Biologie/Hirnforschung [Spi00], Kognitionspsychologie gaben erfordert; hierfür einige Beispiele:
[Fun06], und der Technik-Soziologie [Wey06a, RS02].
—— Im Szenario Smart Mobility erfordert die Entscheidung
(4) K
 ooperative Systeme mit verteilter, wechselnder des autonomen Fahrzeugs (CPS) von Frau Müller, eine
Kontrolle Vollbremsung durchzuführen, im Vorfeld mehrere ab-
Aus den CPS-Szenarien und ihrer Charakterisierung ergeben gestimmte Aktionen von Teilsystemen. Zum einen gilt
sich folgende umfassende Bestandteile und Charakteristika es, die Situation zu erkennen und zu bewerten, also po-
von Cyber-Physical Systems: Es handelt sich um tenzielle Gefährdungen durch alle Beteiligten zu erken-
nen, aber auch, Informationen aus dem Kamerasystem
—— intelligente eingebettete Systeme, in der ortsfesten Infrastruktur, aus Smart Tags an der
—— global vernetzte und kooperierende Systeme (auch über Kleidung des Kindes, aus Sensoren des Schulbusses zu
verschiedene Arten von Diensten und Dienstleistungen bewerten und gegebenenfalls weitere Kinder, Fahrzeu-
hinweg) sowie ge und Fahrzeuginsassen nachfolgender Autos in die
—— in unterschiedlichen sozialen Lebens- und Wirtschafts- Situations­analyse einzubeziehen. Zum anderen ist eine
prozessen (räumlich und sozial verteilten Kontexten) gemeinsame Abstimmung der Handlungsziele und der
handelnde und kooperierende Systeme. folgenden koordinierten Schritte (Bremsen, Ausweichen,
Kind warnen, Erkennen nachfolgender Fahrzeuge) erfor-
Besonders der letzte Aspekt macht deutlich, dass Cyber-Phy- derlich. Das CSF von Frau Müller erkennt in Kooperation
sical Systems meist keiner zentralen Kontrolle unterliegen mit den umgebenden Systemen (Sensoren des Schulbus-
und ihr sinnvolles und zielführendes Verhalten das Ergebnis ses, Smart Tag an der Kleidung des Kindes) und der orts-
vielfacher Interaktion und Koordination zwischen ganz oder festen Infrastruktur die Gefahr, bewirkt eine Vollbrem-
teilweise autonom handelnden Akteuren ist. Dabei kann es sung und unternimmt anschließend weitere koordinierte
sich um softwaregesteuerte Maschinen beziehungsweise Schritte, etwa das Warnen nachfolgender Fahrzeuge.

18 Beider Modellierung und Entwicklung intelligenter Systeme werden generell Begriffe wie Wissen, Erkennen, Lernen, Handeln sowohl für das
Handeln von Menschen als auch von Maschinen verwendet, obwohl man bei autonom handelnden Maschinen wie Robotern oder Software-
Bots im Internet nicht von menschlichem Verhalten sprechen kann. Im Kontext der CPS-Szenarien und ihrer Analyse stehen allerdings Einsatz,
Weiterentwicklung und Grenzen von Technologien im Vordergrund, zum Beispiel von Multiagentensystemen, Ontologien, Mustererkennung,
Maschinellem Lernen oder Planungskonzepten in der Robotik (siehe auch Kapitel 5: Technologien zur Umsetzung der CPS-Fähigkeiten). Das gilt
auch für das Thema Mensch-Maschine-Interaktion (siehe Abschnitt 5 dieses Teilkapitels). Insbesondere besteht in der Informatik, der Kogniti-
onspsychologie und den Naturwissenschaften eine lange Tradition des gegenseitigen Nutzens der Erklärungs- und Konstruktionsmodelle der
jeweils anderen Disziplin, beispielsweise das Paradigma der Informationsverarbeitung in der Psychologie, neue Konzepte der Sensortechnolo-
gien aus den aktuellen Erkenntnissen der Biologie und Neurowissenschaften etc.

64
Visionen, Charakteristika und Fähigkeiten

—— Mehr noch gilt das Kooperationsgebot für das gemein- —— verteilte, kooperative und interaktive Bestimmung der
same autonome und teilautonome Fahren auf Auto- durchzuführenden Schritte in Abhängigkeit von der
bahnen oder Ringstraßen in Städten. Umfangreiche, Lage­bewertung, von den lokalen Zielen einzelner Ak-
verteilte Abstimmungs- und Koordinationsaufgaben teure und den globalen Zielen der Gemeinschaft, zu
sind hierbei zu erfüllen, besonders dann, wenn unbere- der diese Akteure gehören: Die finale Entscheidung
chenbare Situationen und Ereignisse sowie wechselnde, wird dabei zwischen den Beteiligten verhandelt und
konkurrierende Ziele der Beteiligten eine Rolle spielen, in Koordination abgeschätzt. Es herrscht folglich eine
wie das im öffentlichen Straßenverkehr meist der Fall ist. eigene und gemeinsame Kontroll- und Entscheidungs-
autonomie.
Weitere Beispiele für verteilte Kontrolle und die erforder- —— Einschätzung der Qualität der eigenen und fremden
liche Koordinations- und Kooperationsfähigkeit von Cyber- Dienste und Fähigkeiten,
Physical Systems sind: —— kooperatives Lernen und Anpassung an Situationen
und Erfordernisse
—— verteilte Kontrolle im Not- oder Katastrophenfall, zum
Beispiel bei einem Unfall, innerhalb eines Tsunami- (5) Umfassende Mensch-System-Kooperation
Warnsystems mit Evakuierungs- und Versorgungs­ Cyber-Physical Systems können den emotionalen und phy-
logistik, bei einem Vulkanausbruch oder, abhängig von sischen Zustand ihrer Nutzer – Aufmerksamkeit, Erregtheit
Aschemessungen und Wetterdaten, bei der Koordinati- etc. – unmittelbar erfassen und interpretieren, eine Diag-
on des Flugbetriebs, nose erstellen, biologische Zustandsgrößen messen oder
—— im Bereich Produktion die mögliche automatische Rekon- die Mimik erfassen und interpretieren. Das ist möglich
figurationen von Produktionssystemen im Fall neuer Pro- mithilfe spezifischer, medizinischer, auf Menschen zielender
duktvarianten oder verteilte Produktions- und Handels­ Bewegungs- und andersartiger intelligenter Sensoren und
logistik (mittels Smart Tags) einschließlich adaptiver Interpretationstechnologien. Anhand dieser Informationen
Kundeninformation und Abrechnung über das Internet. können Cyber-Physical Systems dann auf ihre Umgebung
einwirken, indem sie Systemreaktionen, Verkehrswege und
Grundsätzlich ist hier zwischen Mensch-Maschine-Inter­ Lebensräume verändern, Lebensfunktionen steuern oder
aktion, geteilter Kontrolle (Shared Control) und der ver- beispielsweise Bio-Feedback-Methoden zur Entspannung ei-
teilten Kontrolle zwischen verteilten Hard- und Software­ nes Patienten einsetzen. So sind sie in der Lage, direkt oder
systemen zu unterscheiden (siehe folgenden Abschnitt: indirekt Menschen, sogar Menschengruppen, sowie deren
umfassende Mensch-System-Kooperation). Verhalten und Gefühle zu erfassen und über Reaktionen
zu beeinflussen. Cyber-Physical Systems führen demnach
Fähigkeiten langfristig zu einer umfassenden engen Mensch-System-
Die aufgeführten Beispiele verlangen folgende umfassende Kooperation, die in einigen Bereichen weit über heutige
Fähigkeiten der Systeme, damit diese miteinander und mit Konzepte hinausgehen wird. Das wirft Fragen geeigneter
Menschen kooperieren können: Interaktionskonzepte zwischen Mensch und Maschine bis
hin zu Akzeptanzfragen auf, die in den Kapiteln 3 und 4
—— verteilte, kooperative und interaktive Wahrnehmung behandelt werden.
und Bewertung der Lage,

65
agendaCPS

(5.1) Der Mensch als prägendes Element des konsole oder über ein Head-up Display19 auf die Dienste zu,
Systemverhaltens zu Hause dann über Fernseher, Tablet-PC und andere Mobil­
Cyber-Physical Systems sind Systeme, in denen Menschen geräte, oder per Sprachbefehl an ein Mikrofon im Raum
und Menschengruppen passive oder aktive Teile eines Sys- oder am Kragen.
tems sind. Beispiele sind
Am Ende verflüchtigt sich der Eindruck, über ein speziel-
—— Verkehrsleitsysteme, die koordiniertes Fahren in Kolon- les Gerät mit Cyber-Physical Systems zu interagieren; diese
nen ermöglichen, werden als umfassend und allgegenwärtig empfunden. Die
—— Ambient Assisted Living (AAL) für das Wohnen im Alter, Nutzer interagieren mit einer Vielzahl von Einzelgeräten,
samt dazu erforderlicher Technik zur Gebäudeautomati- die in die Umgebung integriert sind, und gewinnen den Ein-
sierung und integrierter Assistenzsysteme, druck, mit einem einzigen System zu kommunizieren. Das
—— im Internet organisierte soziale Gemeinschaften, bei- wird besonders ausgeprägt in sogenannten Smart Rooms
spielsweise mit zugehörigen Mobilitäts- oder Liefer- sein, die viele Sensoren, und andere Schnittstellen zwischen
diensten. Mensch und Maschine aufweisen.

Die Systeme begleiten Menschen, führen in ihrem Auftrag Cyber-Physical Systems werden für die Nutzer allgegen­
und gemeinsam mit ihnen Aufgaben durch und steuern wärtig20. Sie sind ständig von Diensten umgeben, die sie
interaktiv hochintegrierte Anwendungen sowie Geschäfts- mit Informationen versorgen, etwa über neue Reiserouten
und Nutzungsprozesse in vielen Lebensbereichen. Durch die und Reisemittel, Verkehrsflüsse oder bevorstehende Termi-
umfassende Vernetzung und Öffnung der Systeme sowie die ne, etwa für Vorsorgeuntersuchungen. Gleichzeitig wirken
Verlagerung von Wissen, Funktionen und Diensten in das In- diese, bewusst oder unbewusst wahrgenommenen, Dienste
ternet sind Cyber-Physical Systems und ihre Dienste normaler­ im Sinn der Nutzer auf die Umwelt ein, etwa durch Buchen
weise offen zugänglich und nutzbar. Im Zusammenspiel einer Autobahn-Premiumspur oder Insulinabgabe durch
mit der vielfältigen Nutzung von Cyber-Physical Systems, Implantate. Die Grenzen zwischen Mensch und Technik ver-
geprägt durch die Bedürfnisse, Ziele und Anforderungen schwinden in dieser Interaktionserfahrung; Nutzer beziehen
der verschiedenen Menschen, Unternehmen und sozialen Informationen durch beliebige weltweit verteilte Dienste
Gruppen entwickeln sich Cyber-Physical Systems zu umfas- und können mittels Cyber-Physical Systems global handeln.
senden Mensch-System-Kooperationen mit evolutionären,
teils sogar revolutionären Fähigkeiten. Das wird zu gesellschaftlichen Veränderungen führen,
etwa im Individualverkehr. Durch Teleinformation und Tele-
(5.2) Erosion der Mensch-Maschine-Grenzen wirkung werden manche Reisen überflüssig. In Ballungsräu-
Die Dienste von Cyber-Physical Systems sind für Menschen men können viele Nutzer durch die enge informationelle Ver-
ortsunabhängig verfügbar. Um mit diesen Diensten oder zahnung der Mobilitätsangebote zu dem Schluss gelangen,
mit einem persönlichen Softwareagenten zu interagieren, dass sie kein eigenes Fahrzeug mehr benötigen. Dazu tragen
sind Nutzer also nicht auf ein bestimmtes Gerät, etwa das die neuen Möglichkeiten von Cyber-Physical Systems wesent-
persönliche Mobilgerät, festgelegt. Stattdessen greifen sie lich bei, wie sie im Smart-Mobility-Szenario beschrieben sind.
im Auto beispielsweise über eine Anzeige in der Mittel­ Ferner ergeben sich durch die Möglichkeit des autonomen

19 Anzeigesystem in Fahrzeugen oder Flugzeugen, das wichtige Informationen in das Sichtfeld projiziert, sodass der Nutzer den Kopf oben (Head
up) halten kann.
20 Hierfür hat Intel den Begriff Compute Continuum, zu Deutsch etwa Rechnerkontinuum, geprägt.

66
Visionen, Charakteristika und Fähigkeiten

Fahrens Chancen für neuartige Geschäftsmodelle, etwa in den technischen Fragestellungen eine Reihe grundlegender
den Bereichen Car-Sharing und Flottenmanagement. juristischer und gesellschaftlicher Fragen auf.

Erforderliche Fähigkeiten der Mensch-Maschine Eine Aufstellung der neuen Fähigkeiten und Anforderun-
Interaktion gen an Cyber-Physical Systems, ergänzt um die damit ver-
Cyber-Physical Systems müssen menschliches Verhalten bundenen Herausforderungen, ist in Abschnitt 3.5 zusam-
auch auf physikalischer Ebene integrieren. Daraus ergibt mengefasst.
sich Unterstützung mithilfe unmittelbarer Integration
von Sensorik und Aktorik, zum Beispiel in Form mecha-
nischer Gliedmaßen. Das führt wiederum – bewusst oder 2.6.2 Nutzen und Mehrwert für Gesellschaft
unbewusst – zur Erweiterung der Handlungsfähigkeit und und Wirtschaft
menschlichen Wahrnehmung.
Neben den in den Szenarien beschriebenen Potenzialen
Die Fähigkeit der Mensch-Maschine-Interaktion zielt in fünf gibt es weitere Beispiele für den konkreten Nutzen von
Richtungen: Cyber-Physical Systems, an deren Umsetzung zum Teil be-
reits intensiv gearbeitet wird:
—— intuitive Unterstützung dank verbesserter Schnitt­
stellen, zum Beispiel multimodale, aktive und passive —— Systeme zur Vorhersage und Erkennung von Katastro-
Steuerung, phen sowie für deren koordinierte Bewältigung, zum
—— vergrößerte Wahrnehmung und Handlungsfähigkeit Beispiel
von Menschen dank grenzenloser und virtueller Ver­ —— Tsunami-Warnsysteme mit verteilter Erkennung und
netzung von Systemen, Auswirkungsanalyse von Meeresbeben, einschließ-
—— vergrößerte Wahrnehmung und Handlungsfähigkeit lich der Möglichkeit zu vernetzer und koordinierter
von Gruppen von Menschen, etwa von Diabetespatien- Warnungs-, Planungs-, Evakuierungs- und Versor-
ten oder Fahrern einer Elektromobilflotte, gungsaktivitäten, samt entsprechender Manage-
—— Erkennung und Interpretation menschlicher Zustände mentsysteme zur Organisation von Rettung sowie
und menschlichen Verhaltens. Das umfasst einerseits der Versorgung mit Medizin, Wasser, Lebensmitteln,
Gefühle, Bedürfnisse und Absichten, aber auch das Er- Unterkünften etc.
kennen des Zustands und der Umgebung von Mensch —— autonome Roboter und Drohnen als spezialisierte
und System. CPS-Komponenten, die etwa bei Chemieunfällen,
—— erweiterte Intelligenz im Sinne der Fähigkeit zu inte­ Brandkatastrophen, Erdbeben oder anderen Unfäl-
grierten, interaktiven Entscheidungen und Handlungen len in koordinierten Einsätzen die Lage erkunden,
von Systemen und einzelnen Personen beziehungsweise nach Verletzten suchen oder gefährliche Stellen
Menschenmengen, einschließlich Lernfähigkeit. und Materialien aufspüren und beseitigen können.
Beispiele sind der Robotereinsatz in verstrahlten
Während es Bereiche gibt, in denen Cyber-Physical Sys- Bereichen nach dem Atomunfall in Fukushima oder
tems ihre Dienste weitgehend unsichtbar für Menschen auch die jährlich stattfindende „Save-and-Rescue-
erbringen, etwa in Energienetzen, werfen besonders die Challenge“ für „Unmanned Aerial Vehicles“ (UAVs)
Einsatzgebiete autonome Mobilität und E-Health neben in Australien [UAV10].

67
agendaCPS

—— Konzepte der Sicherheitsüberwachung und -unter­ genüberstehen. So gilt es neben den technischen Heraus-
stützung, zum Beispiel bei Großveranstaltungen mit forderungen der Echtzeitvernetzung, physikalischen Kon-
verteilter Beobachtung der Lage, Ausschau nach mög- texterfassung und koordinierten Steuerung die Optionen
lichen Angriffen, aber auch Möglichkeiten zur Erken- der aktuellen Technologietrends mit den Möglichkeiten der
nung und Kontrolle von Paniksituationen. Das umfasst interaktiven Lösungsgestaltung zu nutzen. Folgende Ziele
beispielsweise die mit den Einsatzkräften koordinierte müssen umgesetzt werden:
Unterstützung beim Evakuieren von Menschen und bei
der gezielten medizinischen Versorgung Verletzter (sie- —— eine situations- und anwendungsspezifische Kontext­
he die „hitec“-Sendung „Späher, Scanner und Sensoren“ erfassung und koordinierte Bewertung von Kontexten
in 3sat vom 10. Oktober 2011 [3sa11]). —— eine in soziale Prozesse und Absichten integrierte Hand-
—— vernetzte Service-Roboter – hochspezialisierte und zu- lungssteuerung
nehmend vernetzte Roboter für vielfältige Assistenz- —— eine derart ausgestaltete Mensch-Maschine-Interaktion
und Steuerungsaufgaben in verschiedenen Anwen- und -Kooperation, dass die Beteiligten die Technik für
dungsbereichen aus Wirtschaft und gesellschaftlichem ihre Ziele nutzen, komponieren und sicher einsetzen
Leben. Beispiele sind können, und zwar in Produktions- und Arbeitsprozessen
—— vernetzte autonome „Automated Guided Vehicles“ sowie im privaten Leben und in gesellschaftlichen Kon-
(AGV) in Containertransportplattformen für den texten, sowie
koordinierten Transport und die Verladung von —— die vielfältige Unterstützung mittels ganz oder teilweise
Containern auf Schiffe, auch im Rahmen globaler autonomer Technik in Wirtschafts-, Arbeits- und indivi-
Logistikprozesse duellen Nutzungsprozessen
—— intelligente, mit weiteren Systemen und Versor-
gungseinrichtungen vernetzte Rollstühle für ein Bedeutung für die Wertschöpfung der Unternehmen
selbstbestimmtes mobiles Leben älterer Menschen Die Funktionsbeschreibungen in den Szenarien zeigen deut-
zu Hause lich, welche Komponenten und Beteiligten, aber auch, welche
—— weitere Anwendungen wie neuartige Service-­ Infrastrukturen und Kommunkationsplattformen mit den je-
Robotikanwendungen aus der BMBF-Studie EF- weiligen Diensten in ihrer Vernetzung und Komplexität zusam-
FIROB [HBK11], zum Beispiel das Bewegen von menarbeiten beziehungsweise koordiniert werden müssen.
Patienten in der Pflege, oder Assistenzdienste in der
Milchviehwirtschaft, die allerdings kaum auf die Hier liegt ein enormes Innovationspotenzial, sowohl in der
Fragen der Mensch-System-Interaktion eingehen. Entwicklung und Gestaltung der einzelnen Komponenten,
beispielsweise eingebetteter Systeme, als auch in den ver-
Mittels dieser Fähigkeiten sind Cyber-Physical Systems in teilten Wertschöpfungsketten und -netzen ihrer Produktion,
der Lage, unterschiedliche Aufgaben zu übernehmen, sei es Integration, Koordination und Qualitätssicherung – Validie-
im Alleingang, in Zusammenarbeit mit anderen Systemen, rung und Verfikation – sowie in der interaktiven partizipati-
Komponenten oder Diensten aus dem Internet, besonders ven Gestaltung der Anwendungsprozesse mit den Kunden
jedoch mit und für Menschen. und Nutzern.

Alle hier aufgeführten Beispiele veranschaulichen die Die Chancen und Herausforderungen von Cyber-Physical
Heraus­forderungen, denen wir in Forschung, Entwicklung, Systems werden umfassend in den folgenden Abschnitten
Gestaltung und Einsatz vernetzter intelligenter Technik ge- untersucht.

68
CPS-Themenfelder

3 CPS-THEMENFELDER

Die in Kapitel 2 präsentierten visionären Anwendungs- Validierung und Verifikation sowie den Aufbau von De-
szenarien geben Hinweise auf die Themenfelder und For- monstratoren (siehe Abschnitt 3.6)
schungsgebiete, die für eine sinnvolle Gestaltung und Be- —— das Umsetzen der Ergebnisse in praxistaugliche Inno-
herrschung von Cyber-Physical Systems erforderlich sind. Zu vationen, mit denen sich deutsche Unternehmen einen
diesen Forschungsgebieten zählen: internationalen Wettbewerbsvorteil verschaffen können
(siehe Abschnitt 3.6)
—— der Aufbau und die Gestaltung intelligenter vernetzter
Infrastrukturen, Anwendungsarchitekturen und CPS- Die Öffnung der Anwendungssysteme, ihre gesteigerte Ad-
Plattformen (physikalischer ebenso wie logischer und aptions- und Kooperationsfähigkeit sowie eine zunehmend
wirtschaftlicher Art) für interaktive Gestaltung von Cyber-Physical Systems auf Initi-
—— verteilte Datenerfassung, koordinierte Verarbeitung, ative und unter Beteiligung von Nutzern beziehungsweise
Interpretation und entsprechende Handlungssteue- Nutzergruppen mit unterschiedlichen Zielen führen dazu,
rung (Sensorik und Aktorik) dass sich die Erfolgs- und Akzeptanzfaktoren von Cyber-
—— möglichst weitgehende Interoperabilität innerhalb Physical Systems kaum einheitlich bestimmen lassen.
einzelner und zwischen verschiedenen Anwen-
dungsdomänen und Integration neuer oder er­ Akzeptanzfaktoren: Zum einen sind die wesentlichen Ak-
weiterter Anwendungen zeptanzfaktoren wie Brauchbarkeit, intuitive Nutzbarkeit,
—— Erarbeitung von Domänenmodellen, also von for- Beherrschbarkeit und Vertrauenswürdigkeit der Systeme ab-
malisiertem Anwendungswissen, einschließlich An­ hängig von ihrer Anpassung an diverse Nutzungskontexte
forderungs- und Funktionsmodellen sowie Referenz- und der sicheren Integration in diese Kontexte. Zum ande-
architekturen (siehe Abschnitt 3.1) ren sind Anforderungen von Kunden und Märkten durch
—— die Herstellung der Sicherheit (Betriebs- und IT-Sicher- den globalen und vernetzten Einsatz von Cyber-Physical
heit) der Kommunikations- und Anwendungsdienste Systems sowie durch die Vielfalt und Dynamik gesellschaft-
von Cyber-Physical Systems samt Risikominimierung licher Veränderungen nur schwer bestimmbar und einem
bei ihrer Nutzung auch mit neuen Kooperationen in ständigen Wandel unterlegen. Dieser Wandel wird auch
Systemlandschaften und Einsatzumgebungen, die un- beeinflusst durch den Fortschritt in der IKT.
gewiss und offen sind und sich evolutionär entwickeln
(siehe Abschnitt 3.2) Evolutionäre Entwicklung: Neben den technologischen
—— eine partizipative Gestaltung der Mensch-Maschine- Forschungsfragen hinsichtlich der Fähigkeiten intelligenter
Interaktion mit transparenten Kontrollstrukturen, Ent- Cyber-Physical Systems liegen die größten Herausforderun-
scheidungswegen und integriertem Situations- und gen in ihrer sozialen Kooperations- und Adaptionsfähigkeit
Kontextwissen (lokal, regional, global) für die individu- sowie ihrer evolutionären Entwicklung. Allgemein adressiert
ell beherrschbare Nutzung und interaktive Gestaltung das alle Faktoren der involvierten Menschen (Menschlicher
der Anwendungsprozesse (siehe Abschnitte 3.3, 3.4 Faktor). Hier sind interdisziplinäre Konzepte und Kompe-
und Kapitel 4) tenzen erforderlich, die ein partizipatives Engineering unter
—— das Schaffen von Verlässlichkeit und Vertrauen in funk- Einbindung der Nutzer vorsehen, denn nur damit lassen
tionierende CPS-Lösungen bei allen Beteiligten durch sich brauchbare und beherrschbare CPS-Innovationen ent-
gemeinsame prototypische Erprobung, umfassende wickeln (siehe Abschnitt 3.6).

69
agendaCPS

3.1 Intelligente Infrastruktur und —— eine darauf aufbauende CPS-Plattform samt Middle­
erforderliche Domänenmodelle ware, die die erforderliche Interoperabilität, Erweiter-
barkeit und Anwendungsintegration von Cyber-Physical
Die Analyse der CPS-Szenarien im vorhergehenden Ab- Systems ermöglicht sowie sicherstellt, dass die Koordi-
schnitt sowie auch aktuelle Studien zu den Herausforderun- nations- beziehungsweise Abstimmungsdienste grund-
gen zukünftiger eingebetteter Systeme (Nationale Road- legende Verlässlichkeit und Sicherheit aufweisen.
map Embedded Systems [ABB+09]) und Studien zu ihrer
Einbindung in ein Internet der Dinge und Dienste (aktuelle Abbildung 3.1 zeigt die Komponenten und Protokolle bei-
Studien und Bücher: [BMW08, BMW10a, AB+11, FM+05, spielhaft im Bereich Ambient Assisted Living (AAL), die für
Mat07, UHM11b]), verdeutlichen die wichtigsten Voraus- eine integrierte umfassende Betreuung älterer oder kranker
setzungen beziehungsweise die notwendigen Basisinvesti- Menschen benötigt werden.
tionen für die erfolgreiche Umsetzung von Cyber-Physical
Systems. Eine CPS-Plattform weist zahlreiche generische Funktionen
auf, zum Beispiel die Abstimmung und Synchronisation he-
Erforderlich ist der sukzessive Auf- und Ausbau standar- terogener Protokolle, die Einbindung von Internetdiensten
disierter, flexibler Infrastrukturen und Kommunikations- und die Sicherstellung grundlegender Quality-of-Service-
plattformen. Es gilt deshalb, interoperable und kompati­ Garantien, die für die Anwendung erforderlich sind, etwa
ble CPS-Komponenten und -Dienste mit entsprechenden hinsichtlich der Interoperabilität der Infrastruktur, Daten-
Schnittstellen und Protokollen auszustatten. Das schließt integrität oder Echtzeitfähigkeit. Ergänzend dazu gilt es,
auch den Aus- und Aufbau physikalischer Umgebungs- domänenspezifische Systemarchitekturen aufzubauen, um
komponenten und Architekturen ein, also etwa intelligente die einzelnen Anwendungsbereiche miteinander verbinden
Verkehrsinfrastrukturen, Schranken oder Jalousien bei der und in das Gesamtsystem integrieren zu können.
Nutzung von autonomen Robotern – jeweils ihrerseits aus-
gestattet mit Sensoren, Kommunikationstechnik und minia- Das ist eine Mammutaufgabe, denn intelligente Infra-
turisierten Steuerungen. strukturen allein reichen nicht aus, um Cyber-Physical
Systems umfassend zu realisieren. Wenn etwa Fahrzeuge
mit der ortsfesten Infrastruktur oder simultan mit koope-
3.1.1 Infrastruktur für interoperable und rierenden Verkehrsmanagementsystemen kommunizieren
verlässliche CPS-Dienste und gleichzeitig auf globale Informations-, Wartungs- oder
Abrechnungsdienste über das Internet zugreifen sollen,
Neben einer Ausstattung der Umwelt mit zunehmend müssen domänenspezifische und domänenübergreifende
leistungsstarken Sensoren, Aktoren, integrierten Rechnern Standardarchitekturen, Schnittstellen und Protokolle auf-
sowie standardisierten Schnittstellen und Protokollen wird gebaut und verbindlich vereinbart werden. Die Heraus-
Folgendes benötigt: forderung besteht in diesem Fall besonders in der Aus­
gestaltung interoperabler Schnittstellen auf der Ebene der
—— eine leistungsfähige Kommunikationsinfrastruktur – Anwendungsdienste und ihrer spezifischen Integration,
also Netze mit hohen Bandbreiten, die verlässlich sowie sodass durchgängige situations- und kontextgerechte Nut-
überall und jederzeit zugänglich ist –, und zungsprozesse21 möglich werden. Diese Prozesse müssen

21 
Der European Telecommunication Standards Institute (ETSI) unterscheidet hier verschiedene aufeinander aufbauende Interoperabilitätsstufen:
Protocol-, Service-, Application- und User-perceived Interoperability [ETS94].

70
CPS-Themenfelder

einerseits die genannten interoperablen und verlässlichen —— das Standardisierungs- und Architektur-Framework im
Dienste bieten und sich andererseits an die evolutionäre Bereich Smart Grids (AMI/FAN Architecture Framework
Ausweitung von CPS-Diensten und entsprechender Erfor- [son09]),
dernisse anpassen. —— die Standardisierung im Bereich Telekommunikation und
intelligenter Transportsysteme (ETSI ITS Architecture
Aktuelle Beispiele zur Umsetzung sind domänen- bezie- Framework [Eve10], das von verschiedenen Bundesmi-
hungsweise industriespezifische und internationale Stan- nisterien22 geförderte Projekt „Sichere intelligente Mobili-
dardisierungsbemühungen wie tät“ (SimTD) [sim11]),
—— die Schnittstellenintegration und Interoperabilitäts-
—— das EPC-Global Architecture Framework aus dem initiativen im Bereich Ambient Assisted Living (AAL)
Bereich des globalen Handels und globaler Logistik [Eic10],
[UHM11a, WS07],

Abbildung 3.1: Überblick über Basiskomponenten und Technologien im Bereich Ambient Assisted Living (AAL) (aus [Eic10])

AMBIENT ASSISTED LIVING


plattformen
Software-

AAL- eGK und Tele- internetbasierte


Terminologien Laufzeit- Gesundheits- Integrations-
Infrastrukturen matik Infra-
umgebungen akten profile
strukturen

der
formate
Daten-

der Medizin- der Gebäude-


Informations- Zeichensätze
technik automation
technik
Kommuni-

protokolle

der
kations-

der Medizin- Schnittstellen


Informations- für Hausgeräte
technik für Smart Metering
technik
Bussysteme
Netzwerke

Feldbusse der
Steckvor- drahtlose
und

Kabel Ethernet Powerline Gebäude-


richtung automation Netze
Sensoren
Geräte
und

22 Bundesministerium für Wirtschaft und Technologie, Bundesministerium für Bildung und Forschung , Bundesministerium für Verkehr, Bau und
Stadtentwicklung.
71
agendaCPS

—— die Standardisierung in der Produktion, zum Beispiel Nutzern. Die Übereinstimmung und damit die Anpassungs-
universelle Schnittstellen zwischen Anlagensteuerun- fähigkeit an die unterschiedlichen Anforderungen der je-
gen und Produktionsleitsystemen („Manufacturing Exe- weiligen Anwendungssituationen sind damit essenziell für
cution Systems“, MES; VDI 5600 und aufbauende IEC- den korrekten Einsatz und die Akzeptanz von Cyber-Physical
Gremien), die Standardisierung der Selbstbeschreibung Systems.
von Produktionsanlagen und deren Komponenten, etwa
durch das Datenformat AutomationML (IEC-Project
PNW 65E – 161 Ed.1 [aML11]), um eine durchgängige 3.1.2 Referenzarchitekturen und Aufbau von
Beschreibung aller Stufen vom Engineering bis zum Be- Domänenwissen
trieb der Produktionsanlagen zu gewährleisten.
Um ihre Fähigkeiten zur Erfassung und Interpretation kom-
Grundsätzlich ist beim Aufbau solcher Referenzarchitektu- plexer Anwendungssituationen und zur Interaktion und
ren und ihrer Standardisierung zwischen CPS-generischen Kooperation mit Teilsystemen und Menschen umsetzen zu
Komponenten, Schnittstellen, Protokollen, Daten und können, müssen Cyber-Physical Systems über ein gewisses
Diensten zu unterscheiden und solchen, die spezifisch für Maß an „Wissen“ (Wissensmodell) verfügen oder es über
Anwendungsdomänen sind. Es gilt, Aufgaben der Kommu- Dienste erwerben können. Das umfasst etwa Wissen über
nikation, Synchronisation und Interoperabilität von Cyber- spezifische Anwendungen in Form von Domänenmodel-
Physical Systems sowie Dienste für die Organisation von len samt deren Architekturkonzepten, Komponenten und
Komponenten, für das Management und die Sicherstellung Diensten sowie Wissen über die Ziele und Anforderungen
grundlegender Quality-of-Service-Anforderungen in einer der Anwendung und der Nutzer.
einheitlichen CPS-Plattform und -Middleware festzulegen.
Zu beachten sind dabei etwa die IT-Sicherheitsstandards Für die Entwicklung von Cyber-Physical Systems müssen
im IPv6-Protokoll [HV08], Universal Plug and Play [JW03] deshalb nicht nur domänenspezifische Referenzarchitektu-
sowie Geräteprofile [OAS09]. Soweit möglich sollen auch ren, Funktionen und Diensten aufgebaut werden. Darüber
allgemein nutzbare Anwendungsdienste einheitlich gestal- hinaus gilt, es, schrittweise Domänenmodelle zu schaffen,
tet werden, zum Beispiel Abrechungs-, Bezahl-, Buchungs-, und zwar formalisierte und adaptiv erweiterbare Wissens-
Kalender- oder Reisedienste sowie die Interaktion zwischen modelle, die folgende Bereiche umfassen:
den Beteiligten. Nur wenn die Dienste einheitlich gestaltet
sind, lassen sie sich in verschiedenen Anwendungsberei- —— physikalische Anwendungswelten, ihre Strukturen und
chen einsetzen und in die CPS-Plattform integrieren. Regeln
—— Rollen, Verhalten und die Bedeutung der jeweiligen Kom-
Zudem betrifft die Standardisierung nicht nur die Kommu- ponenten für die Anwendung, die Stakeholder und die
nikation mit Geräten, Software- und Netzkomponenten oder Nutzer
Diensten sowie ihre Interaktion untereinander. Vielmehr —— Referenzanwendungen und Anforderungsmodelle, Pro-
führt sie auch zu einer zunehmenden Vereinheitlichung zesse, Funktionen und Interaktionsmuster
der Anwendungsprozesse und ihrer Kontextinformationen. —— Anwendungs- und Geschäftsregeln
Diese können wiederum von Cyber-Physical Systems in ähn- Qualitätsanforderungen auf unterschiedlichen Einsatz­
lichen Situationen wiederverwendet werden, und zwar bei ebenen zur einheitlichen Bewertung von Diensten und
der Steuerung von Systemen und der Kommunikation mit der jeweiligen Kooperations- und Kompositionsoptionen.

72
CPS-Themenfelder

Auch hier ist zu unterscheiden zwischen Qualitätsanforde- Komposition der Architekturen, Schnittstellen und Do-
rungen mänenmodelle auf allen Systemebenen; technische, se-
mantische und nutzersichtbare Interoperabilität
—— aus Sicht der Nutzer, der nutzenden Systeme und —— erforderliche vertikale und horizontale Interoperabi-
ihre jeweiligen Einsatzkontexte (zum Beispiel Er- lität sowie entsprechende Kommunikations-, Abstim-
weiterungen der Quality-in-Use-Konzepte in der mungs- und Integrationsmechanismen zwischen den
ISO-Norm ISO 912623 [ISO10] oder die für Cyber- einzelnen Komponenten und Ebenen (siehe dazu auch
Physical Systems erweiterten Usability-Kriterien der Abschnitt 5.3.3.2),
ISO 9241-11024) —— Definition generischer CPS-Kommunikationsarchitek-
—— an einzelne Dienste hinsichtlich vereinbarter Garan- turen sowie von CPS-Plattformen und -Middleware mit
tien und -standards (Quality of Service) grundlegenden Diensten der Interoperabilität, Kompo-
—— an darunter liegende Systemarchitekturen, Schnitt- sition, Synchronisation und Qualitätssicherung (siehe
stellen und Protokolle25 dazu auch Abschnitt 5.3.3 und Anhang B),
—— zur Erfüllung von Compliance-Vorgaben —— Definition von Referenzarchitekturen domänenspezi-
fischer und -übergreifender Kontext-, Umgebungs- und
Diese Domänenmodelle umfassen Strategien und Konzepte Anforderungsmodelle sowie entsprechender Nutzungs-
prozesse und ihres Einsatzes (Tailoring) in konkreten
—— zur Einordnung von CPS-Situationen und Anwendungen, CPS-Anwendungen,
—— für entsprechende Rollen und Anwendungsarten; es —— Entwicklung geeigneter Methoden und Techniken der
muss zum Beispiel garantiert werden, dass Anforderun- Adaption und der dynamischen Konfigurierbarkeit, des
gen hinsichtlich Betriebssicherheit, IT-Sicherheit und des Lernens und der Erweiterung von Funktionalitäten und
Schutzes der Privatsphäre erfüllt werden, Diensten sowie
—— für die Verhandlungen zwischen Teilsystemen und ihre —— Harmonisierung der unterschiedlichen Entwicklungs-
Koordination, die sich nach fachlich vereinbarten Nor- dynamiken einzelner CPS-Komponenten, Systeme und
men oder Standards abspielen müssen. Anwendungsdomänen und ihrer Lebenszyklen, ein-
schließlich der Sichtweise ihrer verschiedenen Akteure
Das erfordert spezifische Strukturen und Bestandteile von in allen Bereichen der Systementwicklung.
CPS-Architekturen.
Wenn es darum geht, Rahmenbedingungen für den Einsatz
ganz oder teilweise autonom handelnder Cyber-Physical
3.1.3 Herausforderungen Systems festzulegen, etwa im Bereich intelligenter Mobili-
tätskonzepte (siehe Abschnitt 2.2) liegen die Herausforde-
Herausforderungen für den Auf- und Ausbau intelligenter rungen vor allem in der
Infrastrukturen, Infrastruktursysteme und Domänenmodelle
für Cyber-Physical Systems sind —— Gestaltung und rechtlichen Absicherung der automati-
schen Adaptions- und Kooperationsmechanismen. Fol-
—— domänenübergreifende Standardisierung, Interope- gende rechtliche Fragen sind zu beantworten: Welche
rabilität und kontextabhängige Integrierbarkeit sowie Risiken sind damit verbunden? Wer ist verantwortlich

23 Inzwischen erweitert und in der ISO/IEC 25000 Norm aufgegangen.


24 Die Norm EN ISO 9241 ist ein internationaler Standard, der Richtlinien der Interaktion zwischen Mensch und Computer beschreibt [ISO09].
25 Siehe hierzu auch das Systemebenenkonzept in Kapitel 5.3.3.

73
agendaCPS

im Fall von Schäden und Unfällen? Wer übernimmt die Ganz oder teilweise autonomes vernetztes Handeln
Gewährleistung? – siehe auch Abschnitt 3.2, Cyber-Physical Systems zeichnen sich, wie oben geschildert,
—— Gestaltung und Festlegung von Umgebungsbedin- durch die Fähigkeit zu komplexer Umgebungs- und Situa-
gungen: Welche physikalischen Voraussetzungen und tionserfassung aus: Die Systeme interpretieren die mittels
welche Verhaltensregeln müssen in der Umgebung Sensordaten und Nutzereingaben erfasste physikalische
und den erforderlichen intelligenten Infrastrukturen und soziale Umgebung, auch in Hinblick auf menschliches
beziehungsweise Infrastruktursystemen gelten, um die Verhalten, menschliche Absichten, Ziele und Prozesse auf
erforderliche Sicherheit und Akzeptanz der Systeme Basis vielfältiger Daten und Aussagen, die auf unterschied-
zu erzielen? Was sind die Kosten – im Vergleich zum liche Weise erfasst, von anderen Systemen zur Verfügung
Nutzen – für diesen Aus- oder Umbau (monetär, Um- gestellt und aus diesen unterschiedlichen Quellen kombi-
welt, Lebensraum und -bedingungen) und wer trägt niert werden. Da in diesem global vernetzten Kontext der
diese Kosten? CPS-Szenarien Korrektheit und Integrität der Daten schwer
—— wirtschaftlichen und gesellschaftlichen Auseinander- zu bestimmen sind, steigt das Risiko, dass die Systeme auf
setzung mit den Chancen und Risiken der neuen Tech- Basis potenziell ungewisser oder möglicherweise wider­
nik und ihrer Anwendungen; siehe auch Abschnitt 4.1. sprechender Informationen eine konkrete Situation falsch
bewerten, in der Folge falsch entscheiden oder dadurch
weiteres Verhalten unangemessen beeinflussen oder be-
3.2 Vernetztes Handeln in ungewissen stimmen. Das kann insbesondere zu sicherheitskritischem
physikalischen und sozialen Umgebungen Verhalten führen.

Eine wesentliche Herausforderung im Zusammenhang mit Darum ist es wichtig sicherzustellen, dass Cyber-Physical
Cyber-Physical Systems ist ihr maschinelles, ganz oder teil- Systems und ihre Komponenten unter diesen Umständen
weise autonomes und vernetztes Handeln in ungewisser in höchstem Maße akzeptabel und robust handeln; solche
Umgebung. Durch die zunehmende Öffnung bisher isoliert sicherheitskritischen Systeme („Safety-critical Systems“)
agierender, gezielt für eine bestimmte Aufgabe entwickelter müssen deshalb erweiterte Betriebssicherheit aufweisen.
Hardware- und Softwaresysteme sowie durch ihren zuneh- Aber auch dann, wenn sie nicht sicherheitskritisch sind,
mend kooperativen Einsatz in erweiterten Anwendungen müssen Cyber-Physical Systems immer so handeln, dass sie
und sozialen Kontexten entstehen neue Möglichkeiten. Diese ihre Nutzer bei deren Absichten und Aufgaben optimal
haben ein immer ungewisseres und schwerer vorhersagbares unterstützen, sie jedoch keinesfalls behindern.
Verhalten der Systeme zur Folge, das durch technische allein
Maßnahmen kaum kontrollierbar ist. Dieses Verhalten wie- Die Forderung nach korrektem und zuverlässigem vernetz-
derum führt zu Herausforderungen hinsichtlich erweiterter ten Verhalten in verschiedenen Anwendungskontexten und
Fragen der Betriebs- und IT-Sicherheit der Systeme, aber auch in Kooperation mit vielfach vernetzten Systemen umfasst
Fragen nach der bestmöglichen Mensch-Maschine-Interaktion auch die Forderung nach entsprechenden Fähigkeiten des
und -Kooperation. Gleichzeitig besteht ein erweitertes Gefähr- Gesamtsystems und seiner Komponenten:
dungspotenzial, weshalb Fragen nach der Rechts­sicherheit,
aber auch der Gewährleistung des Privatsphäre- und des —— möglichst korrektes und angemessenes Erfassen und
Know-how-Schutzes der an der vernetzten Wertschöpfung be- Bewerten von Situationen in Abstimmung mit den An-
teiligten Unternehmen beantwortet werden müssen. wendungszielen und -kontexten der Beteiligten,

74
CPS-Themenfelder

—— Überprüfung und gegebenenfalls Sicherstellung der eines Schalenmodells soziotechnischer CPS-Anwendungen


Korrektheit und Qualität von Informations-, Kommuni- erläutert.
kations- und Steuerungsdiensten der beteiligten Syste-
me und Komponenten,
—— Strategiebildung einschließlich Planung, Verhandlung 3.2.1 Das Schalenmodell soziotechnischer
und Kooperation zur Erreichung und vernetzten Erbrin- CPS-Anwendungen
gung der Dienste in der erforderlichen Qualität (nicht-
funktionale Anforderungen), Abbildung 3.2 verdeutlicht den offenen, viele Lebensberei-
—— transparente, für Nutzer verständliche und beherrsch­ che durchdringenden Charakter von Cyber-Physical Systems
bare Mensch-Maschine-Interaktion, um Fehlbedienun- mithilfe einer schematischen Darstellung zweier Anwen-
gen und fehlerhaften Einsatz der Systeme und damit dungsdomänen, und zwar Mobilität und Gesundheit. Das
eine Gefährdung der Umgebung und der Beteiligten zu Modell charakterisiert die Beteiligten einer Domäne, also
vermeiden sowie Systeme, Nutzer und Stakeholder, sowie ihre Interaktionsbe-
—— Fähigkeit, auch im Notfall, bei unsicherer Lage und ziehungen hinsichtlich Kontrollierbarkeit, Definiertheit und
ungewissen Handlungsfolgen, die Entscheidung zu Vorhersehbarkeit ihres Verhaltens. Dabei werden die fol-
treffen, eine gewünschte Funktionalität gegebenenfalls genden Bereiche im Sinn von Aktionsfeldern unterschieden:
nicht zu erbringen – aber nur dann, wenn Benutzer da-
durch nicht stärker gefährdet werden. —— Kontrollierter Kernbereich (1): Dieser Bereich umfasst
klassische geschlossene eingebettete Systeme eines
Inwieweit in diese Abwägungen und Entscheidungen Nut- Anwendungsgebietes (beispielsweise die Heizanlage
zer und Beteiligte einbezogen werden, hängt neben der eines Gebäudes), die gekennzeichnet sind durch kon­
Art, dem Einsatzgebiet und der Aufgabe der Systeme auch trollierte Kommunikation und Interaktion mit der Um-
von den jeweiligen Rollen und Fähigkeiten der beteiligten gebung. Die Betriebssicherheit und die Vorhersagbar-
Personen ab. Zum Beispiel bei der Koordination und Über- keit des Systemverhaltens sind bei korrekter Bedienung
wachung von Energiediensten in Smart Grids oder globa- gewährleistet.
len Logistiknetzen sind die Rollen und Fähigkeiten anders —— Spezifizierter Bereich (2): In diesem Bereich koope-
verteilt als im Bereich Ambient Assisted Living (AAL) oder rieren Systeme und Komponenten des Anwendungs-
im Zusammenhang mit Mobilitätsszenarien, wie sie in Ab- gebiets. Dabei verhalten sie sich für vorherbestimmte
schnitt 2.2 geschildert wurden. In jedem Falle sind die Be- und abgegrenzte Nutzungssituationen auf spezifizierte
herrschbarkeit und die Möglichkeit zur Mitgestaltung des Weise. Ungewiss ist ihr Verhalten dagegen in nicht vor-
Systemverhaltens durch den Nutzer wesentliche Faktoren hersehbaren, nicht regelkonformen Situationen, also
der Sicherheit, Qualität und, ganz besonders, der Akzeptanz wenn etwa Kinder ihre mit einem Smart Tag ausgestat-
von Cyber-Physical Systems (siehe dazu auch Kapitel 4). tete Kleidung auf die Straße werfen (siehe Mobilitäts-
szenario im Abschnitt 2.2.2). Nutzer mit regelhaftem
Diese Fähigkeiten von Cyber-Physical Systems schlagen sich Verhalten beziehungsweise entsprechender Ausbildung
auch in ihrer Architektur, den einzusetzenden Technologien und Fachkompetenz sind Teil des Bereichs. Die Kommu-
und im Engineering der Systeme nieder (siehe dazu auch nikation innerhalb der Bereiche (1) und (2) ist kontrol-
Kapitel 5). In den folgenden Abschnitten werden die ge- liert und zielgerichtet.
nannten Herausforderungen anhand der Szenarien und

75
agendaCPS

—— Bereich der offen vernetzten Welt (3): In dieser offenen inneren Bereiche in ihrem Kontext nutzen. Auf diese Wei-
Umgebung befinden sich Nutzer, Akteure – auch Grup- se kann neues Nutzungspotenzial, es können aber auch
pen –, Systeme, Dienste und Daten – auch aus dem Inter- neue Risiken entstehen.
net –, die in einem oder in mehreren Anwendungsberei-
chen agieren. Aus Sicht der inneren Bereiche, also ihrer Zum Beispiel ist es bereits möglich, mithilfe weltweit über
Komponenten, sind sie charakterisiert durch reduzierte das Internet vernetzter Sensoren und Steuerungsgeräte –
Verlässlichkeit hinsichtlich ihrer Quelle und ihrer Kommu- etwa im Rahmen der Online-Dienste von Pachube ([Pac11,
nikation. Auch ihre Kontexte, Ziele und Verhaltensweisen PCM11]) – das Geschehen in der Umgebung eines Ferien-
lassen sich nicht klar einordnen und interpretieren.26 hauses zu beobachten, bei Bedarf Sicherungsmaßnahmen
Entscheidend ist dabei, dass Nutzer und Komponenten zu veranlassen und entsprechende Geräte, etwa für das He-
aus der Umgebung oder Dienste aus dem Internet ad runterlassen von Sicherungstüren, anzusteuern.27
hoc miteinander interagieren und die Komponenten der

Abbildung 3.2: Überblick über die Domänenstruktur nach dem Grad der Vorhersagbarkeit des Verhaltens der beteiligten Systeme und Menschen

Anwendungsdomäne X, z. B. E-Health
Anwendungsdomäne Y, z. B. Smart Mobility
t1
t2 t3

Bereich 1

Bereich 2
Bereich 3
Bereich 1

Bereich 2
sichere, kontrollierte Kommunikation
unsichere, unbestimmte Kommunikation
Beteiligte, Nutzer, Stakeholder Bereich 3
geschlossene Systeminteraktion zur Umgebung
Szenarioausschnitt zum Zeitpunkt t1, t2, t3,...
Komponenten, Systeme, Funktionen,
kontrollierte Dienste
Dienste (ad hoc vernetzt, unsicher)

26 Aus Sicht der spezifizierten Anwendungsdomäne (den inneren Bereichen).


27 Die Sicherheits- und Rechtlage ist dabei allerdings heute noch nicht geklärt.

76
CPS-Themenfelder

Die Abbildungen 3.2 und 3.3 veranschaulichen das Po- über die Bereiche 1 bis 3 liegen, symbolisieren die sich dy-
tenzial domänenübergreifender Vernetzung am Beispiel namisch ändernden Szenarienausschnitte der beiden An-
der gezielten Interaktion der beiden Szenarienausschnitte wendungsbereiche, also die operativen Systemgrenzen zu
aus den Abschnitten 2.3 (Smart Health) und 2.2 (Smart einem gegebenen Zeitpunkt:
Mobility). Die hellblauen Felder, die in Abbildung 3.2 quer

Abbildung 3.3: Domänenübergreifende Koordination am Beispiel der Szenarioaussschnitte aus den Abschnitten 2.3 (Smart Health) und
2.2 (Smart Mobility)

Szenario
E-Health

Notrufzentrale Smart Health Geschützte


Gesundheitsdaten

Szenario
Smart Mobility

150
120
100

77
agendaCPS

—— Szenario 2.3.3: Automatische Erkennung einer Notfall- 3.2.2 Zunehmend ungewisses Verhalten in
situation und Erstversorgung – Hier wird Frau Huber der vernetzten Welt
nach einem Schwindelanfall (Schritt 4) von herbei­
eilenden Sanitätern erstversorgt (Schritt 5) und in die Global vernetzte Systeme, die sich an Situationen und
Notaufnahme des nächstgelegenen Krankenhauses Kontexte anpassen sowie über Domänengrenzen hinweg
gebracht. kooperieren können, sind sehr komplex. Das birgt eine inhä-
—— Szenario 2.2.3: CPS als umfassender Mobilitätsassis- rente Unsicherheit bis hin zur Gefährdung für die Menschen
tent – Hier muss in Schritt (10) der Konvoi mit dem durch ungewisse, nicht aufeinander abgestimmte Nutzung
Car-Sharing-Fahrzeug von Frau Müller die Premiumspur und das daraus resultierende Verhalten von Cyber-Physical
verlassen und einem Krankenwagen den Vorrang ge- Systems, ihrer Teilsysteme und Dienste. Die Öffnung bisher
währen. Dies könnte beispielsweise der Krankenwagen geschlossener und damit gesicherter eingebetteter Systeme
aus dem zuvor geschilderten Szenario sein. und ihre Nutzung in vernetzten Anwendungen können also
in ihrer Verkettung nicht absehbare Effekte und auch Schä-
Die Verkehrssituation und die beteiligten Fahrzeuge pas- den verursachen. Auch hinsichtlich der IT-Sicherheit und des
sen sich an die veränderten Anforderungen an. Auf der Schutzes der Privatsphäre Beteiligter bedeuten die offene
Premium­spur muss zwar damit gerechnet werden, dass Nutzung und die Verkettung von Daten und Diensten ein
Sonder­fahrzeugen wie Polizei, Feuerwehr oder Kranken­ Risiko für jede einzelne Anwendung beziehungsweise jede
wagen Vorrang eingeräumt werden muss. Weder der Zeit- CPS-Komponente bis hin zum Kontrollverlust.
punkt noch die konkret Mitwirkenden sind jedoch vorher
bekannt. Als Ursachen beziehungsweise Auslöser auftretenden Fehl-
verhaltens der Systeme kommen folgende Faktoren infrage:
Diese Ausschnitte und die beschriebenen Veränderungen
machen deutlich, dass die Grenzen zwischen den CPS- —— unmittel- und mittelbare Fehlinterpretation und -nut-
Anwendungsszenarien offen sind und sich verschieben. Je zung sowie falsche Propagierung von Daten, Diensten,
nach Situation und den Handelungsschritten der Beteilig- Funktionen und Komponenten,
ten umfasst das Cyber-Physical System – also der Anwen- —— Unzuverlässigkeit der verteilten und vernetzten Kompo-
dungsausschnitt – auch neue, ungewisse, sich wandelnde nenten und Dienste,
und unvorhersehbare Akteure sowie Komponenten. —— fehlerhafte Bedienung und Einsatz der Systeme,
—— unaufgelöste oder nicht auflösbare Zielkonflikte sowie
Damit steigt aber auch die Herausforderung, Ziele, Ab­ —— Manipulation von Systemen oder Angriffe auf ihre
sichten und Verhalten der Beteiligten in Einklang zu brin- Schwachpunkte.
gen. Das ist notwendig, um einen möglichst sicheren Ablauf
zu gewährleisten und ungewolltes Verhalten, möglichen Neben Mängeln in den Schutzmechanismen der Systeme
Schaden und die Gefährdung von Menschen zu verhindern und hinsichtlich der Anpassungsfähigkeit während ihrer Ein-
oder zumindest zu begrenzen. Dies erfordert geeignete Stra- satzzeit können weitere Ursachen in der fehlerhaften Gestal-
tegien, Konzepte und Technologien. tung und Entwicklung liegen; manche Systeme oder Teilsyste-
me sind für den erweiterten Einsatz in CPS-Szenarien darum
nicht geeignet. Beispiele für Mängel sind wie folgt:

78
CPS-Themenfelder

—— Ereignisse, Entwicklungen, Nutzer- und Kundenbedürf- betriebnahme bis zur Außerbetriebnahme in einem kontrol-
nisse sowie Anforderungen in der Umgebung – also in lierten Rahmen eingesetzt werden. Dieser kontrollierte Rah-
der Anwendungswelt –, die nicht rechtzeitig gesehen men umfasst insbesondere die Festlegung eingeschränkter
oder falsch eingeschätzt werden (Bereich 3 in Abbil- Nutzergruppen – zum Beispiel geschulte Fahrzeugnutzer
dung 3.2), oder eingewiesenes Bedienpersonal – und eingeschränkter
—— fehlende, unzureichende oder unpassende Integrations- Nutzungsbedingungen – etwa zulässige Betriebstemperatu-
oder Kompositionskonzepte in der Spezifikation, dem ren oder Fahrzeuggeschwindigkeiten –, für die eine sichere
Entwurf und der Entwicklung der Systeme, Systemnutzung gewährleistet ist. Auch wenn diese Systeme
—— fehlende oder unzureichende Konzeption einer be- normalerweise keine geschlossenen Systeme darstellen, so
darfsgerechten Mensch-Maschine-Interaktion. Heraus- weisen sie dennoch eine klar definierte Systemgrenze und
forderungen sind hierbei insbesondere die Anpassung Umgebung auf. Entsprechend der Klassifikation von Ab-
an Nutzersituation und Nutzungskontext mit geteilter schnitt 3.2.1 sind sie damit Systeme im kontrollierten Kern,
Kontrolle und die Gestaltung des vernetzten Verhaltens also in Bereich 1. Diese Begrenzung spiegelt sich in Normen
von Cyber-Physical Systems. und Standards wie der IEC 61508, der DO 178B oder der
—— fehlende oder unsichere Konzepte und Mechanismen in ISO 26262 wider.
den zugrundeliegenden Kommunikations- und Vernet-
zungsinfrastrukturen sowie in deren Architekturen. Künftigen Nutzungsszenarien wird dieses rigide Modell ei-
ner Klasse kontrollierter Systeme aber in vielerlei Hinsicht
Speziell zur Validierung und Verifikation dieser hochgradig nicht mehr gerecht. Das gilt insbesondere für zukünftige
adaptiven Systeme müssen zwingend erweiterte Methoden Systemlebenszyklen, bei denen Teile von Systemen außer
– zum Beispiel modellbasierte Simulation – entwickelt und Betrieb gehen und von Nutzern neue Teile als Ersatz in
eingesetzt werden. Betrieb genommen werden. Ein Beispiel ist das Einbinden
eines neuen Mobilgeräts in die Mensch-Maschine-Schnitt-
3.2.2.1 Erweiterte Betriebssicherheit – gefährdungs- stelle eines Fahrzeugs. Bei CPS-artigen Systemen dagegen
freie Cyber-Physical Systems in unkontrollier- sind solche dynamischen Konfigurationen essenzieller Be-
ten Umgebungen standteil der Nutzung, da sie nur im Verbund funktionieren;
Cyber-Physical Systems durchdringen den Alltag stark. Ihre Telematikfunktionen sind zum Beispiel auf ein Smartphone
Betriebssicherheit kann deshalb mit den Methoden der mit- im Fahrzeug angewiesen. Bereits aufgrund der geteilten
telbaren Sicherheit – beispielsweise durch Beschränkung Eigentumsverhältnisse durch unterschiedliche Betreiber
der Zugangsmöglichkeiten – oder der hinweisenden Sicher- solcher Systeme und der damit verbundenen Fragen nach
heit – etwa durch Nutzerschulungen – nicht ausreichend ge- der rechtlichen Verantwortung ist eine umfassende Kontrol-
währleistet werden. Stattdessen ist ein umfassender Einsatz le solcher Systeme nicht mehr möglich. Aus diesem Grund
von Konzepten funktionaler Sicherheit (Functional Safety) müssen hier Systeme geschaffen werden, bei denen statt
notwendig sowie von Methoden, die die Risiken auf ein ak- kontrollierter Strukturen nur noch klar definierte Anwen-
zeptables Maß reduzieren. dungsdomänen und -plattformen vorausgesetzt werden.

Bisher fußt die funktionale Sicherheit von Cyber-Physical Im Gegensatz zum kontrollierten Kern werden in diesen defi-
Systems auf der Annahme, dass diese vom Zeitpunkt der In- nierten Domänen zwar ebenfalls die Parameter der sicheren

79
agendaCPS

Nutzung verbindlich festgelegt. Aber deren Einhaltung Risiken gehen von Innentätern aus. Weitergehende IT-Sicher-
wird nicht nur durch die Strukturen außerhalb des Systems heits-Mechanismen sind deshalb kaum notwendig. Beispiels-
sichergestellt, sondern weitestgehend durch das System weise wird die Steuerung von medizinischen Geräten nicht
selbst. Nicht die Konstrukteure sorgen für Betriebssicherheit als sicherheitskritisch im Sinne der IT-Sicherheit eingestuft
in der Konstruktion (Safety at Build Time), sondern die Sys- und deshalb nicht vor Angriffen geschützt, weil sie innerhalb
teme selbst wirken auf die Betriebssicherheit zur Laufzeit kontrollierter, nicht vernetzter Bereiche (Ebene 1) eingesetzt
(Safety at Runtime) ein. Wesentliche Fähigkeiten solcher werden. Ähnliches gilt für Fabriksteueranlagen.
Systeme sind die sichere Einbindung von Systemteilen, die
Überwachung des Betriebs zur Erkennung von Gefahren Cyber-Physical Systems werden prinzipiell aber in unsiche-
durch Ausfälle und Fehlbedienungen sowie das Bereitstel- ren, offenen Umgebungen betrieben und sind intensiv mit
len von umfassenden Verfahren zum aktiven Vermeiden einer unsicheren Umgebung vernetzt. Hierdurch ergeben
von Gefahren für Systeme und Menschen (Fail-safe- und sich vielfältige Risiken. Der Angriff des Stuxnet-Wurms
Fail-operational-Verfahren). [Lan11] etwa hat drastisch verdeutlicht, welche Folgen un-
zureichende IT-Sicherheit haben kann. Ein weiteres Beispiel:
Für die Nutzer der Systeme lassen sich keine Spezialkennt- Bei der Kommunikation zwischen Fahrzeugen („Car2Car“)
nisse oder spezifische Schulung voraussetzen. Beispielswei- sind die Kommunikationspartner an sich bekannte und kon-
se kann nicht jeder Autofahrer immer für die neueste Ver- trollierte Systeme. Jedoch könnte ein Angreifer versuchen,
sion seiner Routenplaner-Dienste geschult werden. Damit sich einen Vorteil zu verschaffen, indem er Falschinformati-
beim laienhaften Bedienen der Systeme keine Gefahren onen sendet – etwa „Ich bin ein Krankenwagen“ – und sich
entstehen, sind Konzepte für eine intuitive und transparen- dadurch illegal freie Fahrt verschaffen.
te Nutzerinteraktion erforderlich, die für eine sichere und
geteilte Kontrolle zwischen Menschen und Systemen sorgen. Abbildung 3.2 macht die Öffnung der Systeme anschaulich.
Dazu gehört, neben transparenter Gefahrenmeldung und Es gibt zwar immer noch in sich selbst sichere, geschlossene
Aufmerksamkeitslenkung durch das System, dass Nutzer Systeme (Bereich 1). Diese sind nun aber vielfältig vernetzt
und Maschinen das gleiche Bild einer Situation haben und und dadurch potenziellen Angriffen ausgesetzt. Hier ist ein
demzufolge konsistent agieren (siehe auch Abschnitt 3.3). erweiterter Schutz vor Angriffen von außen nötig, der etwa
durch Abschottung des Systems, den Schutz des Netzwerks,
Für die kontrollierte Einbindung neuer, bisher unbekannter in dem es sich befindet (Perimeterschutz) oder durch dedi-
Dienste aus der offen vernetzten Welt (Bereich 3) und die zierte und kontrolliere Übergänge zu den Bereichen 2 und 3
Kooperation mit ihnen werden Konzepte und Strategien erzielt werden kann.
benötigt, die eine Bewertung von Risiken und einen ange-
passten Umgang damit ermöglichen – immer in direkter Cyber-Physical Systems unterscheiden sich deutlich von
Abstimmung mit den Nutzern. klassischen Systemen, die sich leicht in ihren Perimetern
schützen lassen, etwa durch Firewalls. Die Angreifermodel-
3.2.2.2 IT-Sicherheit – Angriffsmöglichkeiten auf le unterscheiden sich deutlich: Bei Cyber-Physical Systems
Cyber-Physical Systems müssen nicht nur Angreifer beachtet werden, die von au-
Durch die offene unsichere Umgebung ergeben sich auch ßen versuchen, den Perimeterschutz zu umgehen. Vielmehr
neue Herausforderungen für die IT-Sicherheit. Geschlossene stellen insbesondere innere Risiken, etwa vermeintlich be-
Systeme sind vor Angriffen von außen relativ gut absicherbar; kannte, tatsächlich aber kompromittierte Systeme, die sich

80
CPS-Themenfelder

bösartig verhalten, eine große Herausforderung bei der Technologie und Einsatz der Systeme, aber auch neue Risi-
Absicherung dar. Hier gilt es, neue Sicherheitsverfahren für ken; es ergeben sich Fragen, die sich derzeit kaum beant-
Cyber-Physical Systems zu entwickeln. worten lassen. Aufgrund der weitreichenden Eingriffe von
CPS-Anwendungen in alltägliche soziale Interaktions- und
3.2.2.3 Privatsphären- und Know-how-Schutz Handlungsprozesse geht es hierbei besonders um sozio-
Eine weitere große Herausforderung besteht neben der IT-­ technische Gestaltungsanforderungen und die geeignete
Sicherheit im Schutz der Privatsphäre der Betroffenen, ge- Mensch-Maschine-Interaktion. Neben der Beschäftigung
rade weil Cyber-Physical Systems das Potenzial für eine um- mit Technologiefragen ist auch ein gemeinsames Festlegen
fangreiche Überwachung bergen: Es wäre gesellschaftlich der Qualitätsvorgaben und Rahmenbedingungen sowie die
inakzeptabel und würde zudem das Recht auf informatio- Abstimmung auf gesellschaftlicher, politischer und wirt-
nelle Selbstbestimmung28 verletzen, wenn das Beobachten, schaftlicher Ebene erforderlich. Die einzelnen Aspekte des
Überwachen und Nachvollziehen („Tracking“) der Handlun- verteilten Handelns in offenen Umgebungen werden in den
gen einer Person zum Normalfall würden. Schon ein ungutes folgenden Unterabschnitten verdeutlicht.
Gefühl der Betroffenen kann zu massiven Akzeptanzproble-
men führen. Darum ist es notwendig, dass alle Beteiligten 3.2.3.1 Systemebenen vernetzter CPS-Technologie
die Datenverarbeitungsprozesse und ihre Auswirkungen hin- Die Entwicklungsstufen der Bremssysteme in Kraftfahr­
reichend kennen und verstehen. Das gilt sowohl für die Sys- zeugen verdeutlichen die Technologie- und Komplexitäts-
tembetreiber als auch für diejenigen, deren Daten verarbeitet sprünge eingebetteter Systeme und die neue Qualität der Sys-
werden oder auf die sich Entscheidungen auswirken können, temanforderungen auf dem Weg zu offenen Cyber-Physical
die durch Cyber-Physical Systems vorbereitet werden. Systems; siehe Abbildung 3.4.

Darüber muss dem Schutz des firmeneigenen Know-hows Zur Vermeidung von Verkehrsunfällen setzt die Automo-
große Aufmerksamkeit gewidmet werden. Denn Cyber- bilindustrie bei der Weiterentwicklung von sicherheits­
Physical Systems arbeiten vernetzt; es werden spezialisierte kritischen Funktionen, etwa der Bremsfunktion, längst auf
Funktionen und Dienstleistungen angeboten und genutzt. klassische eingebettete Systeme, zunehmend aber auch
Kooperationen, sowohl bei der Entwicklung als auch im ver- auf Cyber-Physical Systems. Ein früher Meilenstein in dieser
netzten Betrieb von Cyber-Physical Systems, bedingen eine Entwicklung war das 1978 eingeführte Antiblockiersystem
Öffnung der Unternehmen; selbst Kernbereiche der Unter- (ABS), das die Lenkfähigkeit während des Bremsvorgangs
nehmenskompetenz können nicht mehr vollständig nach erhält. 1995 führte dann Bosch das Elektronische Stabi-
außen abgeschottet werden. Hier sind dringend Technolo- litätsprogramm (ESP) ein; es sorgt für die aktive Vergabe
gien, aber auch Gesetzesregelungen erforderlich. von Verzögerungsmomenten auf einzelne Räder und erhält
damit die Steuerfähigkeit im Grenz-Lenkbereich. Und 2003
führte Honda das „Collision Mitigation Brake System“ ein,
3.2.3 Verteiltes Handeln in offenen physikali- ein aktives Bremsassistenzsystem (ABA); es leitet automa-
schen und sozialen Umgebungen tisch Bremsvorgänge ein, wenn die minimale Bremsdistanz
eines Fahrzeugs zu einem anderen Objekt unterschritten
Durch die Optionen der offenen Kooperation und automa- wird. Anhand dieser drei Meilensteine zeigt sich die suk-
tischen Verkettung von CPS-Komponenten während des zessive Erweiterung von physikalischen Grundfunktiona-
Betriebs und in Echtzeit entstehen neue Anforderungen an litäten durch Informationsverarbeitung: von der reaktiven

28 Volkszählungsurteil, BVerfGE 65, 1, 1983.


81
agendaCPS

Abbildung 3.4: Entwicklungsstufen von Cyber-Physical Systems am Beispiel von Bremssystemen

EVOLUTION ZU CYBER-PHYSICAL SYSTEMS AM BEISPIEL DER BREMSFUNKTION

Mit jeder Entwicklungsstufe steigende Umgebungs-/Domänenmodell


– nutzerzentrierte Funktionalität MMS
– Vernetzung und Einbettung in die Umgebung
– Komplexität möglicher Wirkketten MMS

– Koordination beteiligter Systeme


– Mensch-Maschine-Kooperation
– vielfältige Nutzungsrisiken adaptive und interaktive
Handlungssteuerung
ABA

Umgebung
… Systemkooperation in
… offener sozialer
Umgebung
Mensch-System-
multifunktionaler Kooperation
Systemverbund
komplexes Umgebungs-
ESP
einfaches physikalisches und Domänenmodell
Umgebungsmodell
umfassende verteilte
aktives Steuern und Datenauswertung für die
autonome Kontrolle Bremsunterstützung
multifunktionales
Input Output Bremsauslösung in Bremsen, auch auf fern-
eingebettetes System
ABS kritischen Situationen gesteuerter Weise, durch
logische Wirkketten wird übernommen. Infrastruktursysteme
aktives Steuern und (z. B. durch Polizei und
Monitored Controlled
Regeln Notfallhilfe)

monofunktionales Stabilität im Brems-


eingebettetes System vorgang wird unterstützt.
reaktives Steuern
und Regeln
Lenkfähigkeit beim
Bremsvorgang bleibt
physikalische erhalten.
Grundfunktionalität

1978 1995 2003 (demnächst)

Am Beispiel sieht man auch das Spektrum wichtiger nichtfunktionaler Eigenschaften:


– funktionale Sicherheit
– Verlässlichkeit
– Bedien- und Beherrschbarkeit (Mensch-Maschine-Interaktion, geteilte Kontrolle)
– valides mentales Modell; korrekte Einschätzung des Nutzers im Hinblick auf die Leistungsfähigkeit des Systems
– Compliance – erwartungskonformes Verhalten, Einhalten von Vorgaben, Normen und Standards,
einschließlich Engineering
– IT-Sicherheitsthemen beim Bremsen aus vernetzten Systemen heraus

82
CPS-Themenfelder

Optimierung (ABS) über die aktive Überregelung (ESP) bis nen etwa im Fahrzeugsverbund erhobene Verkehrsdaten
zur autonomen Kontrolle (ABA). genutzt werden, um in Situationen reagieren zu können,
die durch ABA nicht erkennbar sind. Durch die Weiter­
Mit dieser Entwicklung einher geht stets die vollständige leitung von Verkehrsflussinformationen von vorausfahren-
oder teilweise Ablösung von physikalischen Wirkketten den Fahrzeugen – zum Beispiel Fahrgeschwindigkeit oder
(Bremspedal – Hydraulikleitung – Bremszylinder) durch in- Bremsvorgänge – die um Ortsdaten ergänzt werden, kön-
formationstechnische Wirkketten (Bremspedal – Positions- nen nachfolgende Fahrzeuge vor vermuteten Hindernis-
sensor – Busleitung – Steuergerät – Busleitung – Aktor – sen gewarnt, eine Notbremsung kann eingeleitet werden.
Bremszylinder). Das erlaubt einerseits eine wesentliche Ver- Das ist auch dann der Fall, wenn der automatische Brems­
besserung und Erweiterung der Funktionalität, wie oben assistent, zum Beispiel wegen kurvenreicher Verkehrsfüh-
beschrieben. Gleichzeitig steigen jedoch die Komplexität rung, die Hindernisse nicht erkennen kann. Voraussetzung
des Systems, die Gefahr des Versagens und damit das für solche Funktionalitäten ist, neben den Funktionen im
Nutzungsrisiko. Der Komplexitätszuwachs zeigt sich, außer Fahrzeug, auch die entsprechende In­frastruktur um die
anhand des gestiegenen Funktionsumfangs, insbesondere Fahrzeuge herum, zum Beispiel GPS und Mobilfunknetze
durch zunehmende Vernetzung und Einbettung der Syste- mit der Möglichkeit zur Datenübertragung.
me in ihre physikalische Umgebung: Wirkt ein ABS nur auf
Raddrehzahl und Bremskraft, kommen beim EPS der Lenk- Mit der Komplexität steigt naturgemäß auch das Risiko
vorgang sowie diverse Beschleunigungskräfte hinzu. Beim von Funktionsausfällen. Um die oben beschriebenen Funk-
ABA schließlich ist zusätzlich noch die Fahrzeugumgebung tionen zuverlässig realisieren zu können, ist sicherzustel-
in Form von Hindernissen einzubeziehen. Aktuelle Entwick- len, dass vorausfahrende Fahrzeuge Gefahrensituationen
lungen verfolgen ein autonomes Bremsen beim Erkennen korrekt melden, diese Meldungen korrekt weitergegeben
möglicher Kollisionen mit Fußgängern oder eine veränderte werden und betroffene Fahrzeuge Notbremsungen korrekt
Bremswirkung beim Erkennen von Unaufmerksamkeit des ausführen können.
Fahrers. Jeder Zuwachs der Vernetzung und des Grades der
Einbettung ist mit einer enormen Komplexitätssteigerung Physikalische, situative und strategische Erfassung der
verbunden, und zwar in der Erfassung von Umgebungen Umgebung: Das Beispiel zeigt deutlich die steigenden An-
und Situationen bei der Abbildung möglicher und tatsäch- forderungen an die Fähigkeit der Systeme, ihre Umgebung
lich auftretender Wirkketten sowie hinsichtlich der situati- zu erfassen. Die Anforderungen reichen von der Erfas-
onsgerechten Koordination und Steuerung der beteiligten sung einfacher physikalischer Daten und ihrer Fusion zu
Systeme und Komponenten. physikalischen Umgebungsinformationen wie Abstand,
Lage oder Geschwindigkeit (Physical Awareness) über
Um dem weiter steigenden Sicherheitsbedürfnis nachzu- die Ermittlung der situativen Bedeutung dieser Informa-
kommen, gehen neuere Entwicklungen nun sogar über tionen (Situation Awareness) bis hin zur Einbeziehung
diese Integrationsstufen – ABS mit dem Einzelsystem umfangreicher Kontext­informationen für die angemesse-
Bremse, EPS mit dem Systemverbund Bremse und Lenkung ne Situations­bewertung (Context Awareness) und Hand-
sowie ABA mit dem Systemverbund Antrieb, Karosserie lungssteuerung – auch in Kooperation mit anderen Syste-
und unmittelbare Systemumgebung – hinaus. Es werden men. Um derart komplexe Anforderungen zu erfüllen, sind
Teile der Umgebung einbezogen, insbesondere andere neben physikalischen Umgebungsmodellen zunehmend
Fahrzeuge und die Kommunikationsinfrastruktur. So kön- komplexe Situations- und Kontextmodelle aufseiten der

83
agendaCPS

Systeme als Teil von Umgebungs- und Domänenmodellen In technischer Hinsicht ist zu fragen: Wie viel verteilte
erforderlich. Kontext­information wird für eine Entscheidung wie im Mo-
bilitätsszenario benötigt? Können diese Informationen mit-
Mit der Autonomie der Systeme steigen jedoch gleich­zeitig hilfe von CPS-Technologien zuverlässig gewonnen werden?
die Erwartungen der Nutzer an ihre Verlässlichkeit. Es er-
geben sich ganz neue Herausforderungen an die Mensch-­ Beispielsweise könnte
Maschine-Interaktion. Für die Kooperation zwischen Syste-
men und Nutzern gilt es, geteilte Kontrolle zu realisieren. —— es sein, dass nicht das Kind auf die Straße läuft, son-
Das ist zum Beispiel dann der Fall, wenn ein System nicht si- dern nur seine Kleidung, die mit einem Smart Tag
cherstellen kann, dass alle Hindernisse zuverlässig erkannt ausgestattet ist, dorthin geworfen wird. Wird hier eine
werden oder, in einer komplexen Fahrsituationen, dass zweite Beobachtung, etwa durch eine Kamera mit Inter-
Bremsen angemessen ist. Hier treffen technische, soziale pretationskompetenz, benötigt?
und rechtliche Aspekte aufeinander. —— es sein, dass die folgenden Fahrzeuge nicht mit CPS-
Technik ausgestattet sind und daher nicht oder ver­
3.2.3.2 Systeme mit verteiltem Risiko zögert reagieren können,
Beispiele für neue Risiken sowie ungeklärte Fragen der Ent- —— und nicht über eine kompatible Technik oder Entschei-
wicklung und des Einsatzes der Technologie lassen sich an- dungslogik verfügen und falsch oder überhaupt nicht
hand der Szenarien aus Abschnitt 2 aufzeigen. reagieren
—— es angesichts der möglichen negativen Auswirkungen
So bremst beispielsweise im Mobilitätsszenario aus Ab- einer Vollbremsung mehr Sinn haben kann, dem Kind
schnitt 2.2.2 das Fahrzeug von Frau Müller plötzlich voll- seitlich auszuweichen. Frau Müller hätte das als Fahre-
ständig ab, um einen möglichen Zusammenstoß mit einem rin möglicherweise erkannt und entsprechend reagiert.
auf die Fahrbahn laufenden Kind zu vermeiden. Diese Voll-
bremsung sowie das Abbremsen der Fahrzeuge, die sich
dahinter befinden, sind das Ergebnis vernetzter Echtzeit­ Diese Fragen zeigen auf, welche grundlegenden Heraus­
kooperation zwischen Sensorsystemen in der Infrastruktur – forderungen darin bestehen, den komplexen Kontext in
zum Beispiel in Verkehrszeichen, Kamerakomponenten oder offen vernetzten Systemszenarien angemessen zu erfas-
Smart Tags beziehungsweise RFID-Tags an der Kleidung des sen und zu interpretieren sowie mithilfe autonomer Tech-
Kindes – und den Fahrzeugen. Frau Müller ist an der Kom- nik adäquat zu reagieren. Zudem wird deutlich, dass in
munikation und Entscheidung nicht aktiv beteiligt. technik­zentrierten Szenarien Menschen und ihr vielfältiges
Tun, ihre Ziele, ihre unterschiedlichen Interessen und Ver-
Abgesehen von der Frage, inwieweit nach geltendem Recht antwortungen, aber auch ihre Fähigkeiten, intelligent und
eine autonome Vollbremsung ohne Beteiligung des Fahrers umsichtig zu reagieren, angesichts des isoliert betrachteten
im öffentlichen Verkehr zugelassen ist, stellen sich anhand Sicherheitsziels – hier autonom vor dem Kind zu bremsen –
dieses Beispiels eine Reihe von Fragen: nach der techni- meist ausgeblendet werden.
schen Realisierbarkeit, nach neuen Risiken, nach der Rolle
der beteiligten Personen sowie nach möglichen Auswirkun- Diese Schwierigkeiten erfordern erweiterte Konzep-
gen und gesellschaftlichen Akzeptanzproblemen. te und umfassende Verfahren der Risikobetrachtung,
-analyse und -bewertung, und zwar in allen Feldern der

84
CPS-Themenfelder

Anforderungs­erhebung, Systemgestaltung und Entwick- textes in den verteilten Informations- und Handlungs-
lung sowie des Einsatzes von Cyber-Physical Systems. modellen von Cyber-Physical Systems und nach
—— Anwendungszielen, Zielsystemen, möglichen Konflikten
3.2.3.3 Cyber-Physical Systems als Vertreter sozialer und Regeln, Vorgehensweisen und Rahmenbedingun-
Akteure (Menschen) gen, die übergeordnet beziehungsweise in der jewei-
In der offen vernetzten Welt (Bereich 3 in Abbildung ligen Gruppe, Organisation oder Gesellschaft gelten
3.2) werden Cyber-Physical Systems und ihre Dienste zu- sollen.
nehmend in vielfältigen nicht vorherbestimmten sozialen
Prozessen und Kontexten genutzt. In dem Maße, in dem Cyber-Physical Systems sind nur dann brauchbar und
CPS-Dienste vernetzt sind und kontextadaptiv autono- können nur dann verlässlich eingesetzt werden, wenn
me Entscheidungen treffen oder Aktionen durchführen Domänen­modelle mit formalisiertem Anwendungswissen
können, handeln sie als eigenständige Vertreter sozialer existieren. Diese Modelle müssen verbindlich ausgehan-
Akteure – Personen, Gruppen oder Organisationen – mit delt und umgesetzt werden – Letzteres in Form standar-
entsprechenden Zielen, Interessen und Aufgaben. Das wird disierter Spezifikationen, Architekturen und ihrer Schnitt-
in den Szenarien im Bereich der Mobilität, der fernmedizi- stellen, in Rahmenbedingungen für den Einsatz sowie in
nischen Betreuung oder des Ambient Assisted Living (AAL) einheitlichen Validierungs-, Verifikations- und umfassen-
deutlich. Beispielsweise wird im Mobilitätsszenario in Ab- den Prüfricht­linien.
schnitt 2.2 dem Fahrzeug von Frau Müller eine andere als
die ursprünglich genannte Ausfahrt von der – autonom Neben grundlegenden Fragen der Beherrschbarkeit und
befahrenen – Autobahn zu­gewiesen, damit die Auslastung Akzeptanz dieser Systeme sowie damit verbundenen ge-
der Verkehrswege optimal balanciert ist. Frau Müller muss sellschaftlichen Fragen besteht auch hier die wesentliche
ihre Fahrt auf einer Straße fortsetzen, die nicht für auto- Herausforderung in der Gestaltung der Mensch-Maschine-
nomes Fahren geeignet ist, freilich auch hier mit optima- Interaktion. In dem Maß, in dem Menschen von vernetzter
ler Routenführung. Das System wägt in diesem Fall zwi- Technik und ihren Diensten abhängig sind, geht es auch
schen dem individuellen Interesse Frau Müllers – auf dem darum, sicherzustellen, dass die Systeme intuitiv bedienbar
schnellsten Weg zum Ziel zu gelangen, ohne selbst steuern sind, individuell durch Nutzer oder Betroffene kontrolliert
zu müssen – und dem sozialen Interesse an einer optima- und nachvollzogen werden können – geteilte Kontrolle –
len Auslastung der Verkehrswege ab. Im Medizinszenario und verlässlich handeln.
in Abschnitt 2.3 trifft das System von Frau Huber eigen-
ständige Entscheidungen: Mittels hinterlegter Interventi- Im Kontext der offenen soziotechnischen Anwendungen
onsanleitung werden im Notfall Familienangehörige per von Cyber-Physical Systems sind die jeweiligen Interessen,
SMS benachrichtigt, die Zeitung wird abbestellt und es Ziele, Absichten und Kontexte der Beteiligten wechselhaft
wird ein Wachdienst für die vorübergehend leerstehende und können sich plötzlich ändern. Darüber hinaus sind sie
Wohnung beauftragt. auch nur sehr bedingt mittels CPS-Kontexterfassung korrekt
erhebbar und sollen dies möglicherweise auch nicht sein.
Daraus entstehen Fragen nach Schließlich müssen persönliche Interessen und Persönlich-
keitsrechte gewahrt werden, etwa der Schutz der Privat-
—— der geeigneten Erfassung und Abbildung von Zielen sphäre. Demnach ist die Unterstützung des selbstbestimm-
und Intentionen der Menschen und ihres sozialen Kon- ten (strategischen) Handelns von Menschen das oberste

85
agendaCPS

Ziel von Cyber-Physical Systems und zugleich die größte He- Als wesentliche Fähigkeiten von Cyber-Physical Systems
rausforderung bei ihrer Entwicklung (siehe dazu Kapitel 4). sind erforderlich:

—— erweiterte und umfassende Risikoanalyse und


3.2.4 Verlässlich handelnde Cyber-Physical ­-bewertung, auch von möglichen Vernetzungs- und
Systems – neue Fähigkeiten und Handlungsoptionen,
Herausforderungen —— strategisches und planendes Handeln samt entspre-
chenden Verhandelns, Koordinierens und Kooperierens
Durch die offene Vernetzung von Cyber-Physical Systems bei unsicheren Zielen und Lösungswegen sowie
und ihre verkettete Nutzung in verschiedenen Einsatzkon- —— kontinuierliches Erfassen und Bewerten von Kontex-
texten können Fehler und Fehlentscheidungen bei allen ten (Context Awareness), dazu
Beteiligten jederzeit auftreten. Diese systemimmanen- —— kontinuierliches Lernen und Anpassen des Kontext­
te Eigenschaft wird in der US-amerikanischen Studie zu wissens (Kontextmodells) sowie Identifikation und Be-
­“Ultra-Large-Scale Systems” [FGG+06] mit “Normal Failure” reitstellung entsprechender Handlungsoptionen.
– Scheitern als Normalfall – bezeichnet. Sie erfordert den
systematischen Umgang mit diesem Fehlverhalten und sei- Die wesentlichen Herausforderungen bestehen in der
nem möglichen Ursachen zur Verringerung entsprechender
Risiken und entsprechend auftretender negativer Folgen. —— Kontrolle und Beherrschung des zunehmend autono-
men Handelns der vernetzten Technik,
Eine wesentliche Eigenschaft von Cyber-Physical Systems —— Gestaltung verlässlicher und für Menschen berechen-
ist in diesem Kontext ihre Fähigkeit, Phänomene der ver- bar handelnder und interagierender Systeme,
netzten Welt zu beobachten, Vorhersagen auf der Grund- —— Erarbeitung, gesellschaftlichen Abstimmung und
lage von Berechnungen zu machen und aktiv negativen Festlegung benötigter und sozial beabsichtigter Re-
Effekten entgegenzuwirken. Möglich ist etwa geln, Richtlinien und Verhaltensvorschriften (Compli-
ance-Vorgaben, Policies).
—— die global vernetzte Erfassung von Wetterdaten, die —— Erforschung der Gestaltung der Mensch-Maschine-Inter-
Vorhersage von Engpässen in der Energiegewinnung aktion sowie der koordinierten Kontrolle und Steuerung
aus Solaranlagen und die dynamische Anpassung der von CPS-Komponenten.
Energieverteilung in Smart Grids, bevor es zu einer Ver-
knappung in einzelnen Regionen kommt, oder
—— die vernetzte Erfassung des Verkehrsaufkommens in 3.3 Mensch-Maschine-Interaktion und
Städten durch eine verteilte intelligente Infrastruktur, geteilte Kontrolle
die Vorhersage von Staus und Wartezeiten und die dy-
namische Entzerrung und Regelung des Verkehrs, zum Neben den Aspekten Sicherheit und integrierte Kontrol-
Beispiel durch Anpassen der Ampelschaltungen oder le bestehen die wesentlichen Erfolgsfaktoren vernetzter
gezieltes Lenken der Fahrzeuge. Cyber-Physical Systems in der gezielten Anpassung ihres
Verhaltens an die jeweiligen Einsatzziele unter der Berück-
sichtigung der funktionalen und nichtfunktionalen Anforde-
rungen von Nutzern und Stakeholdern. Wie in Abschnitt 3.2

86
CPS-Themenfelder

dargestellt, sind diese Anforderungen in offen vernetzten —— Fehlertoleranz (Verhindern schwerer Fehler, Möglich-
Umgebungen uneinheitlich und widersprüchlich. Sie kön- keit zur Korrektur geringfügiger Fehler
nen meist nur mittels sozialer Interaktion und Mensch-Ma- —— Lernförderlichkeit (geringer Zeitaufwand und ein­
schine-Kooperation zufriedenstellend gelöst und beherrscht facher Zugang zum Erlernen, Ermutigung zum Auspro-
werden. Ob Cyber-Physical Systems brauchbar sind, hängt bieren neuer Funktionen)
auch in diesen Kontexten davon ab, inwieweit bei allen Ak-
teuren – einschließlich der kooperierenden Systeme – ein Einerseits bestimmen diese Kriterien wesentlich die Qua-
erforderliches Maß an Übereinstimmung hinsichtlich der lität der Mensch-Maschine-Interaktion und ermöglichen
Ziele der Beteiligten und der Interpretation des Kontextes damit eine sichere und angemessene Beherrschbarkeit von
hergestellt sowie in Domänen- und Architekturmodellen des Cyber-Physical Systems. Andererseits weisen sie gerade im
Anwendungsgebietes abgebildet werden kann. Bezug auf die neuen Fähigkeiten von Cyber-Physical Sys-
tems auf offene Fragen der Mensch-Maschine-Kooperation
Die internationale Standardisierungsorganisation be- und mögliche Grenzen ganz oder teilweise autonom han-
schreibt im Standard ISO 9241-110 [ISO09] Usability, also delnder Cyber-Physical Systems hin. Zum Beispiel
Benutzerfreundlichkeit oder Gebrauchstauglichkeit, als:
—— hängt die Angemessenheit einer CPS-Interaktion und
„Das Ausmaß, in dem ein Produkt durch bestimmte des Gesamtverhaltens eines Systems für das Erfüllen
Benutzer in einem bestimmten Benutzungskontext einer Aufgabe davon ab, inwieweit es gelingt, Ziele,
genutzt werden kann, um bestimmte Ziele effektiv, Absichten, Handlungs- und soziale Interaktionsprozesse
effizient und zufriedenstellend zu erreichen.“ der Beteiligten in Domänenmodellen sowie in verteil-
ten Verhaltens- und Interaktionsmodellen zu erfassen,
Ferner fasst die ISO wesentliche Gestaltungskriterien für die die das kontinuierliche Wahrnehmen und Bewerten von
Mensch-Maschine-Interaktion wie folgt zusammen:29 Kontexten beschreiben.
—— hängen auch die Steuerbarkeit und Selbstbeschrei-
—— Aufgabenangemessenheit (Vollständigkeit und Effek- bungsfähigkeit von Cyber-Physical Systems, neben der
tivität der Aufgabenerfüllung, angemessenes Verhält- geeigneten Domänenmodellierung, davon ab, ob die
nis zwischen Funktionsangebot und –bedarf, Effektivi- Konzeption der Mensch-Maschine-Interaktion in Hin-
tät und Effizienz der Aufgabenunterstützung) blick auf Kooperation und koordinierte Kontrolle in
—— Steuerbarkeit (Kontrollierbarkeit des Ablaufs und zeit- den Domänen- und Verhaltensmodellen der beteiligten
lich unabhängige Eingriffsmöglichkeiten) CPS-Komponenten den Nutzern und Aufgaben ange-
—— Selbstbeschreibungsfähigkeit (Transparenz des Inter- messen sowie hinreichend anpassungsfähig sind.
aktionsablaufs, Verständlichkeit und Rückmeldung)
—— Erwartungskonformität (konzeptuelle Übereinstim-
mung, Kompatibilitäten, Kalkulierbarkeit und Berück-
sichtigung von Erfahrungswissen)
—— Individualisierbarkeit (Anpassung an Möglichkeiten
und Wünschen der Nutzer)

29 DieseNorm ist zwar im Bereich der Definition von ergonomischen Anforderungen für Bürotätigkeit mit Bildschirmgeräten entstanden, hat
sich aber in der Praxis als Richtlinie für interaktive Produkte bewährt. Siehe auch Ergebnisse des BMBF-Verbundprojekts „Erlebnis Automat“ in
[BBB+11].
87
agendaCPS

3.3.1 Koordiniertes Situationswissen und Cyber-Physical Systems müssen sich tunlichst so verhalten,
Kontextintegration ermöglichen dass es für Menschen nachvollziehbar und berechenbar ist;
intuitive Nutzung nur dann ist eine intuitive, transparente und beherrschbare
Mensch-Maschine-Interaktion gewährleistet.
Für alle genannten Qualitätsfaktoren, insbesondere aber
für Selbstbeschreibungsfähigkeit, Erwartungskonformität Gerade im Falle passiver Mensch-Maschine-Interaktions-
und intuitive sichere Nutzung von Cyber-Physical Systems, anteile stellen sich Fragen hinsichtlich der erforderlichen
ist entscheidend, ob es gelingt, adäquate Anwendungs- korrekten, der Situation angemessenen und von den Be-
und Interaktionsmodelle sowie Nutzungsschnittstellen teiligten gewollten beziehungsweise akzeptierten Kontext­
zu entwickeln und zu integrieren. Nur dann nämlich lässt interpretation sowie nach der erforderlichen, autonomen
sich Übereinstimmung zwischen den beteiligten CPS-Kom- oder interaktiven Verhaltenssteuerung der CPS-Komponen-
ponenten und ihren Nutzern hinsichtlich der Situations-, ten. Beispiele sind Situationen, in denen
Options- und Handlungsmodelle erzielen; siehe auch das
Mobilitätsszenario aus Abschnitt 2.2.2. Zu diesem Zweck —— ein Kamerasystem im öffentlichen Raum die Verkehrs-
gilt es folgende Fragen zu beantworten: situation vor einer Schule beobachtet (siehe Szenario
in Abschnitt 2.2.2), die Lage interpretiert und mit den
—— Wer – System, Nutzer, Beteiligte – benötigt welche In- beteiligten Fahrzeugen kooperiert oder Informationen
formationen über Situation, Beteiligte, Zustand, Dienste austauscht,
und Fähigkeiten in welcher Übermittlungsform (multi- —— Sensoren im Bereich des AAL das Verhalten und die
modale Schnittstellen und Dialoge), um angemessene gesundheitliche Verfassung älterer Menschen beob-
und korrekte Entscheidungen treffen zu können? achten, aufgrund dieser Beobachtung auf Handlungs­
—— Wie muss das Verhalten von Cyber-Physical Systems absichten der Menschen schließen und selbstständig
an Situationen, Nutzer und Bedingungen angepasst Türen öffnen, die Öffnungsgeschwindigkeit der Türen
werden, um größtmögliche Transparenz und intuitive und Geschwindigkeit des Rollstuhls aneinander anpas-
Steuerungsmöglichkeit für die Nutzer zu gewährleisten? sen oder bei Bedarf eigenständig Hilfe herbeirufen,
—— Welche Kontext- und Umgebungsausschnitte, Situati- —— in Bürogebäuden die Jalousien der Konferenzräume
onsinformationen und Sichtweisen von Nutzern und nicht nur aufgrund der Wetterverhältnisse – festgestellt
verteilten CPS-Komponenten müssen wie und durch von Sensoren – gesteuert werden, sondern auch auf-
wen miteinander in Beziehung gesetzt und integriert grund der Beobachtung von Belegung und Aktivitäten,
werden? etwa Vorträge oder Gespräche.
—— Wie explizit, interaktiv und wie gut sichtbar für Nutzer
werden Kontexte vom System wahrgenommen, interpre- Insbesondere der Umstand, dass Cyber-Physical Systems
tiert und integriert? in wechselnden Umgebungen, domänenübergreifend und
—— Wie regelhaft, interaktiv oder autonom – etwa durch weltweit adaptiv operieren, verdeutlicht die neuen Her-
Festlegen von Operationsmodi – und in welcher Form ausforderungen und Anforderungen an eine Nutzern und
– etwa durch geeignete multimodale Interaktion – Situationen angemessene Mensch-Maschine-Interaktion
muss adaptives Verhalten gestaltet werden, um nicht und -Koordination. Vor allem der Aspekt der intuitiven
zu irritieren? Schnittstelle und Interaktion ist hochgradig abhängig

88
CPS-Themenfelder

von den jeweiligen Erfahrungen und kulturell geprägten Systems ganz oder teilweise autonom handeln, beispiels-
Erwartungen der nutzenden Personen. Hier müssen die weise gemeinsam mit Menschen andere CPS-Komponenten
Anforderungen jeweils angepasst oder gar neu bestimmt koordinieren, kontrollieren und steuern. Dazu zählen etwa
werden.
—— geteilte Kontrolle und ganz oder teilweise autonome
Neben den oben genannten Fragen muss die interdiszipli- Steuerung der Verkehrssysteme und Fahrzeuge, wie in
näre Forschung und experimentelle Erprobung der Mensch- den Mobilitätsszenarien in Abschnitt 2.2 geschildert,
Maschine-Interaktion von Cyber-Physical Systems daher fol- oder
gende wesentliche Ziele verfolgen: —— die durch Mensch und Maschine koordinierte Bedie-
nung und Steuerung von Gebäudeelementen, etwa
—— Bestimmung von Prinzipien mit allgemeiner Geltung Schließsystemen oder Türen, und von Transport- oder
für intuitiv und einfach konzipierte Mensch-Maschine- Hilfsmitteln, etwa Rollstühlen oder Gehhilfen in AAL-
Schnittstellen und -Kooperation, Szenarien.
—— Entwicklung von Mechanismen, nach denen die Sys-
teme lernen und ihr Verhalten an Nutzererfordernisse Neben Forschungsfragen, die sich damit befassen, wie
und Umgebungsbedingungen sowie an Domänen- und Menschen und CPS-Komponenten Situationen sowie Kon-
Anwendungserfordernisse anpassen, texte übereinstimmend erfassen und interpretieren kön-
—— Konzeption und Einhaltung des Prinzips „Einfachheit nen (Situation Awareness und Context Awareness), liegen
trotz Multifunktionalität“ auf eine Weise, dass sowohl die Herausforderungen in der interaktiven, koordinierten
die Interaktion als auch das völlig oder teilweise auto- Bewertung und ziel- sowie nutzergerechten Integration von
nome CPS-Verhalten so einfach wie möglich gestaltet Kontexten und Steuerung von Verhaltensweisen in alltäg-
sind und sich an Kultur und Erfahrung der Nutzer sowie lichen Anwendungssituationen sowie der CPS-Nutzung
an gesellschaftlichen Vereinbarungen orientieren. Nö- durch Laien. Piloten sind zum Beispiel einschlägig ausgebil-
tig ist, dass sie schließlich ihre Funktionalität an den Er- det und auf kritische Situationen geschult. In dem Zusam-
fordernissen der Beteiligten und deren Kontrollwünsche menhang sind folgende Themen zu erforschen:
oder -fähigkeiten ausrichten,
—— Gewährleistung möglichst ausgeprägter Flexibilität —— gegenseitige Wahrnehmung und Interpretation von
von Möglichkeiten für die Nutzer, im Zweifel einzugrei- Systemen und Menschen, ihre Zustände, Fähigkei-
fen und sich die Situationsbewertung, Handlungsent- ten, Operations-, Betriebs- und Handlungsmodi etc.
scheidung und Steuerung vorzubehalten. ­(X-Awareness)
—— Selbstwahrnehmung und -einschätzung (Self-Aware-
ness) im jeweiligen Nutzungskontext
3.3.2 Herausforderung geteilte Kontrolle —— Mensch-Maschine-Interaktion, -Kooperation und -Ab-
stimmung sowie integrierte Handlungskontrolle
Besonders kritisch sind die beschriebenen Aspekte in An- —— Mögliche Verwechslung von Betriebsarten (Modus-
wendungen mit geteilter Kontrolle („Shared Control“30). Da- verwechslung, Mode Confusion) beziehungsweise
bei handelt es sich um Systeme, in denen Cyber-Physical diffuse oder mangelnde Übereinstimmung zwischen

30 DerBegriff „Shared Control” ist geprägt durch seine Verwendung in der Luftfahrt, beispielsweise für geteilte Kontrolle zwischen Piloten und
Flugzeugsteuerung [Lev95, EBJ03].

89
agendaCPS

der Einschätzung der Nutzer von Situation, Zustand „Selbst ein so simpler Vorgang wie die Betätigung
und Aktionen sowie Handlungsoptionen des Systems des Scheibenwischers…“ kann zu Modusverwechs-
einerseits und den realen Bedingungen und Hand- lung führen: „Ist der Scheibenwischer inaktiv, kann
lungsoptionen der Anwendung andererseits – mit den dies entweder bedeuten, dass das Gerät nicht ein-
Folgen möglicherweise gefährlicher Fehlbedienungen geschaltet ist oder dass es eingeschalten ist, aber
sowie von Frustration und Akzeptanzproblemen. nicht genügend Feuchtigkeit registriert, um sich
selbsttätig zu aktivieren. Zudem hat der Regen­
Im Zusammenhang mit Assistenz- und Komfortfunktionen sensor […] einen echten ‚Defekt’ […]: Wird die Zün-
ganz oder teilweise autonomer CPS-Steuerung in offener so- dung ausgeschaltet, bleibt die Einstellung nicht ge-
zialer Umgebung existieren besondere Herausforderungen, speichert, sondern das Gerät schaltet sich ebenfalls
nämlich aus, obwohl der Hebel in der Stellung ‚Ein’ steht.
Dies steht im krassen Gegensatz zur gewohnten Pra-
—— Entwicklung von Methoden zutreffender Interpre- xis, dass die Scheibenwischanlage beim erneuten
tation von Absichten, Verhalten und Fähigkeiten der Betätigen der Zündung in dem Modus verbleibt,
beteiligten Personen bei passiver Mensch-Maschine- der der Hebelstellung entspricht. Der Regensensor
Interaktion, etwa beim Beobachten einer Situation hingegen muss zunächst aus- und dann wieder ein-
(Stichwort Nutzer­modellierung) geschaltet werden. Selbst in der Stellung ‚Ein’ kann
—— Behandlung beziehungsweise Verhinderung der der Scheibenwischer also ausgeschalten sein – eine
­Vigilanzproblematik durch Assistenz- und Komfortfunk- nur schwer behebbare Quelle von Irritation.“ (Siehe
tionen: Nutzer erlernen möglicherweise erforderliche [Wey06b, S.5].)
Handlungen nicht mehr und verlieren die Kontrolle in
kritischen Situationen, weil sie zu sehr auf das System Durch die Vielzahl von CPS-Assistenzfunktionen,
vertrauen, etwa bei der autonomen Fahrzeugsteuerung die nicht – wie in komplexen Fahrsituationen erfor-
in den Mobilitätsszenarien in Abschnitt 2.2 (siehe auch derlich – integriert und priorisiert sind, entstehen
Abschnitt 4.1.1). Situationsbilder, widersprüchliche Informationen
—— Mit Nutzern koordinierte Erfassung und Bewertung und Wahrnehmungen, die Fahrer nicht beurteilen
von Situationen samt situationsabhängiger Priorisie- und auf die sie nicht mehr angemessen reagieren
rung und Integration von CPS-Funktionen sowie passen- können, vom Beherrschen der Situation ganz zu
der Lenkung der Aufmerksamkeit der Nutzer. Das Ziel schweigen. Beispielsweise besteht das Risiko einer
ist es hier auch, Irritation, Überforderung und fehler- Überforderung „[…] durch zu viele Assistenzsysteme,
hafte Handlungen der Nutzer zu vermeiden. – Weyer die unkoordinierte Anzeigen und Warnmeldungen
[Wey06b] und Schulz [Sch07b] beschreiben Irritatio- abgeben und so den Fahrer in Stresssituationen ver-
nen, Modusverwechslung und zunehmenden Kompe- setzen können […]“; siehe [Wey06b, S.6; SG05].
tenzverlust von Fahrern hoch technisierter vernetzter
Fahrzeuge schon bei sehr einfachen Bedienaufgaben
anhand folgender Beispiele:

90
CPS-Themenfelder

Abbildung 3.5 verdeutlicht die Komplexität der Mensch- —— Handeln der vernetzten Technik in einer Form, die für
Maschine-Schnittstelle und der geteilten Kontrolle mit fol- Nutzer in jeder Situation berechenbar und einschätz-
genden Aspekten: bar ist.

—— koordinierte Abbildung und Integration von Kontex- Nutzerzentriertes, experimentelles und partizipatives
ten sowie Mensch-Maschine-Interaktion, auch mithilfe Engineering: All diese Herausforderungen erfordern ein
multi­modaler und lernender Schnittstellen. Erforder- nutzerzentriertes, experimentelles und partizipatives Heran-
lich ist hierzu, neben technischer und semantischer gehen an Gestaltung, Entwurf und Fortentwicklung von Cy-
Inter­operabilität der Dienste und Funktionen, eine ber-Physical Systems und ihren Diensten (siehe auch User-
für die Nutzer sichtbare Integration von Kontexten centered Engineering in Abschnitt 5.3). Das bedeutet, dass
und Prozessen (siehe auch nachfolgenden Abschnitt die Mensch-Maschine-Interaktion entsprechend den oben
3.4 zur Integration der Komplexitätsdimensionen von genannten Herausforderungen gestaltet werden muss. Das
Cyber-Physical Systems) gilt auch für die schrittweise Entwicklung, Standardisierung

Abbildung 3.5: Beispiel für Automation im Fahrzeug und die zunehmende Komplexität der Mensch-Maschine-Interaktion

(Quelle: BMW AG)

91
agendaCPS

und Normierung von domänenspezifischen und domänen- zeitliche Flexibilität, effiziente Abwicklung, permanente
übergreifenden, auch international gültigen, Mustern für Erreichbarkeit und Verfügbarkeit der Dienste)
das CPS-Verhalten. Wichtige Fragen, auch aus gesellschaft- b) Gestaltungsmöglichkeit für Nutzer nach ihren eigenen
licher Sicht, sind in dem Zusammenhang: Erfordernissen
c) Klarheit der Anforderungen für geteilte Kontrolle
—— Grenzen: Wo liegen die Grenzen autonom handeln- d) Gestaltungsfreiheit und Handlungs- sowie Entschei-
der Cyber-Physical Systems im Kontext beherrschbarer dungsautonomie für Nutzer
Mensch-Maschine-Interaktion? e) Sicherheit und gesundheitliche Unbedenklichkeit
—— Vorgaben: Welches sind die erforderlichen Vorgaben, f) Hilfe bei Fehlern oder Versagen des Systems, auch
Anwendungsarchitekturen samt intelligenter Infrastruk- durch Menschen (etwa Service-Personal)
turen, Umgebungs- und Rahmenbedingungen für ganz g) Wahrung der Anonymität, also Schutz der persönlichen
oder teilweise autonomes vernetztes Handeln von CPS- Daten und der Privatsphäre von Nutzern
Diensten und ihrer Mensch-Maschine-Interaktion in ver- h) Erlebnisfähigkeit, also Freude an der Nutzung, („… was
schiedenen Anwendungsgebieten? man damit alles anstellen kann!“)
i) Im AAL-Kontext: Aufrechterhaltung menschlicher Be-
Diese Fragen gilt es zu beantworten, damit eine intuitive ziehungen
und sichere Nutzung von Cyber-Physical Systems möglich
wird (siehe auch Abschnitt 4.1 zu den gesellschaftlichen Anforderungen, die sich aus offener Vernetzung und Nut-
Herausforderungen). zung der CPS-Dienste in sozialen Lebensräumen, Prozessen
und Netzwerken ergeben, sind so komplex, dass sie sich
ohne menschliche Erfahrung und Lenkung nicht erfüllen
3.4 Wesentliche Akzeptanzfaktoren: Brauch- lassen. Das hängt zudem damit zusammen, dass man es in
barkeit, Transparenz, Sicherheit und diesem offen sozialen Kontext mit uneinheitlichen Anforde-
Aufbau von Vertrauen rungen hinsichtlich Quality in Use und Quality of Services
zu tun hat. Diese gilt es zutreffend zu spezifizieren.
In den folgenden Abschnitten sind die Akzeptanzfaktoren
von Cyber-Physical Systems zusammengefasst, die aus Sicht Immer wichtiger werden auch gesellschaftliche Werte und
der Nutzer und der an der Anwendung Beteiligten wesent- Akzeptanzfaktoren, etwa
lich sind. Diesen Faktoren liegen empirische Studien und
Expertenbefragungen zu Trends und Entwicklungen im Be- —— ökologische Nachhaltigkeit der Produkte und ihres Ver-
reich intelligenter eingebetteter Systeme, intelligenter Auto- haltens,
maten, Mobilitätsanwendungen und von Internetdiensten —— Fragen des Umweltschutzes und
zugrunde.31 Sie sind gleichzeitig Voraussetzungen für die —— Fairness gegenüber allen Beteiligten an ökonomischen
erfolgreiche Gestaltung, Entwicklung und Einführung der und sozialen Prozessen.
Systeme in den genannten Anwendungsbereichen.
Außerdem hängt die Akzeptanz von Einstellungen und
a) Brauchbarkeit, Nützlichkeit (Dienste, integriert in den Eigenschaften der Nutzer ab, etwa Alter, Geschlecht oder
Nutzungskontext, intuitive Mensch-Maschine-Interaktion, Wertvorstellungen, sowie von kulturellen Rahmen- oder

31 AktuelleStudien zu Trends und Entwicklungen im Bereich Automaten [BBB+11], BMBF/VDE Innovationspartnerschaft AAL [Eic10, MM10],
Assistenzsysteme [BK09], Vom Internet zum Outernet [JS10], Studien vernetzter Dienstleistungen [BMW08, BMW09a, BMW10a, HW11],
Foresight-Prozess des BMBF [CGW09] und BITKOM-Studien “Smart Cities” [BIT11a] und Automobil [BIT11b].
92
CPS-Themenfelder

Kontextbedingungen, zum Beispiel davon, ob eine Anwen- Im Kontext der offen vernetzten Systeme und Lebens­räume
dung privat oder in einem Arbeitsprozess genutzt wird. gilt es insbesondere, die relevanten Umgebungen und An-
Auch das gilt es bei der Gestaltung von CPS-Diensten zu wendungsdomänen nach lokalen, regionalen und globalen
untersuchen und zu berücksichtigen. Anforderungen, Architekturen und Topologien zu struk-
turieren. Zu dem Zweck müssen folgende Kontexte und
Wesentliche Erfolgs- und Qualitätsfaktoren: Diese Ergeb- System­ebenen betrachtet und das Verhalten der beteiligten
nisse aktueller Untersuchungen und Studien bestätigen CPS-Komponenten abgestimmt beziehungsweise integriert
die genannten CPS-Herausforderungen, die vordringlich in werden:
Forschung und nachhaltiger Entwicklung erfasst, bestimmt
und umgesetzt werden müssen: Cyber-Physical Systems a) lokale Situation und Umgebung einer CPS-Anwen-
müssen nützlich sein, sich verständlich verhalten, nach in- dung: Hier sind vordringlich der lokale Kontext, un-
dividuellem Bedarf gestaltet werden können, sowie Sicher- mittelbare Ziele und meist nur wenige Nutzer und
heit, Verlässlichkeit und den Schutz der Privatsphäre in dem Beteiligte relevant. Beispielszenarien für einen lokalen
Maß gewährleisten, wie es den jeweiligen sozialen Struktu- Einsatzkontext sind die Autofahrt von Frau Müller vor
ren und vereinbarten Regeln entspricht (Compliance). der Schule ihrer Kinder (siehe Abschnitt 2.2.2), ihre
Auf- und Abfahrt auf die Autobahn (autonome Fahrt
im Konvoi, siehe Abschnitt 2.2.3) oder die Mobilitäts-
3.4.1 Integrierte Dienste mit beherrschbarer unterstützung und Betreuung von älteren oder kranken
Komplexität Menschen zu Hause durch vernetzte CPS-Komponenten
und Dienste, zum Beispiel die Steuerung von Gebäuden
Eine grundlegende Eigenschaft von Cyber-Physical Systems und Türen, Rollstühlen, Medien oder Kommunikations-
ist ihr offen vernetztes Wirken in globalen, sowohl physi- anlagen in Smart Homes [Eic10, MM10].
kalischen und räumlichen als auch sozialen, politischen
und wirtschaftlichen Strukturen. Dies birgt einerseits ein b) räumlich verteilte und vernetzte Gruppen mit ge-
enormes Nutzenpotenzial, anderseits aber auch die Heraus- meinsamen Themen, Zielen oder Problemen: Das
forderung, Kontexte, Ziele und Informationen angemessen wären etwa Anwendungen in den Bereichen E-Health
auszuwählen und zu interpretieren. Außerdem muss sicher- und AAL mit Patienten, Ärzten, Physiotherapeuten, Be-
gestellt werden, dass richtige Entscheidungen getroffen treuungs- und Notfalleinrichtungen. Es würden dabei
werden, sowohl autonom durch das System, interaktiv mit aber auch Dienste assoziierter Versorgungs- und Kultur-
den Beteiligten oder durch die Nutzer allein. einrichtungen einbezogen, möglicherweise auch Social
Communities und andere Interessengruppen im Inter-
Kontrollierte CPS-Selbstorganisation: Ob die zuvor ge- net. Ein solches Anwendungsszenario wäre etwa die in-
nannten Anforderungen erfüllt werden, ist deshalb unter tegrierte Betreuung in Notsituationen, wobei individuel-
anderem davon abhängig, inwieweit es gelingt, kritische le Betreuung, Verlässlichkeit und Vertrauenswürdigkeit
Effekte zu begrenzen, wenn technische Systeme ganz oder gewährleistet sein müssten – eine hohe Anforderung an
teilweise autonom und vernetzt in offener Umgebung die CPS-Dienste sowie an die beteiligten Personen, Ein-
agieren. richtungen, Komponenten und Infrastrukturen.

93
agendaCPS

c) integrierter Einsatz der Anwendungssysteme aus a) 3.4.2 Verlässlichkeit und Transparenz – Vor-
und b) unter Berücksichtigung der gesellschaftlichen aussetzungen für Gestaltungsfähigkeit
Ziele und Rahmenbedingungen: Gemeint sind inte­ und Vertrauen
grierte Szenarien, etwa Notversorgung vor Ort (siehe
Szenario 2.3.3), Verkehrssteuerung für den schnellst- Die vielfältigen Dimensionen und Integrationsanforderun-
möglichen Krankentransport (Freimachen der Premium­ gen machen die Komplexität der CPS-Anwendungen deut-
spur in Szenario 2.2.3), Vorbereitung der Erstversor- lich. Insbesondere zeigen sie die Herausforderung, verläss-
gung im Krankenhaus (Szenario 2.3.3), oder integrierte liche und vertrauenswürdige Strukturen zu schaffen. Neben
Versorgungs- und Mobilitätsszenarien aus den Anwen- der Ausrichtung und Anpassung an übliche Verhaltens­
dungs- und Technologiendomänen AAL, E-Health, weisen und gesellschaftliche Regeln gilt es, transparente
Smart Home, Smart Mobility etc. Neben der interakti- Strukturen für die Nutzer zu schaffen und auf allen System­
ven und ganz oder teilweise autonomen Abstimmung, ebenen sicher und verlässlich zu handeln.
Priorisierung und Verhaltensintegration der Ziele und
Kontexte nach vereinbarten Regeln sind hier übergeord- Das bedeutet vor allem, dass Komponenten, Kommunika-
nete Anforderungen zu berücksichtigen, zum Beispiel tion, Teilsysteme, Systeme und Dienste zuverlässig funkti-
Sicherheit und Schutz aller Beteiligten, Umweltschutz onieren müssen und nicht fremdbestimmt handeln. Außer-
oder gesellschaftliche Aufgaben. Zu Letzteren gehö- dem müssen die Systeme Risiken, Gefahren oder mögliche
ren etwa eine integrierte und faire Gesundheits- und Fehlentwicklungen zuverlässig erkennen, davor warnen und
Energie­versorgung oder der Schutz der Privatsphäre; gegebenenfalls Gegenmaßnahmen ergreifen.
siehe auch Kapitel 4.
Der systematische Aufbau verlässlicher und vertrauens­
d) Integration der Anwendungsszenarien und ihrer An- würdiger Cyber-Physical Systems erfordert Konzepte, die
forderungen aus a), b) und c) in weitgehend sicherstellen, dass
—— aufeinander abgestimmte Domänen- und Nutzungs­
modelle, —— CPS-Dienste nicht ausfallen, hochgradig verfügbar sind
—— interoperable Architekturen und Plattformen für und im Fall eines Teilausfalls eine funktionierende Alter-
CPS-Anwendungen, -Funktionen und -Komponen- native mit angemessener Qualität bereitstellen,
ten auf allen Abstraktions- und Systemebenen, —— Cyber-Physical Systems, ihre Dienste und ihre Inter­
—— offen interoperable und modulare Architekturen und aktion einschließlich Verkettung und Kooperation mit
Plattformen für Infrastruktur und Kommunikation. weiteren Diensten so funktionieren, wie Nutzer und
Stakeholder es erwarten,
Eine Beschreibung der benötigten CPS-Funktionen, Diens- —— Cyber-Physical Systems ihre Anwender bei der Nutzung
te, Systemarchitekturen und Infrastrukturen findet sich in neuer erweiterter Dienste oder in neuen unbekannten
den Abschnitten 5.3 und Anhang B. Situationen unterstützen, etwa durch automatische An-
passung,
—— Cyber-Physical Systems Fehler oder Fehlentwicklungen
erkennen – im eigenen Wirkungsbereich und darüber
hinaus –, und aktiv sowie koordiniert eingreifen,
—— bei Risiken, Unfällen und Schäden die Folgen minimiert
werden.

94
CPS-Themenfelder

Zudem werden Konzepte für IT-Sicherheit benötigt, etwa unterschiedlichen Ziele, Interessen, Regeln und kulturellen
Vereinbarungen abgestimmt sein, desgleichen auf mögli-
—— Betriebsmodi für Notfälle, in die Cyber-Physical Systems che Konflikte und unklare Entscheidungssituationen. Das
umschalten können, wenn sie angegriffen werden. Der hat Auswirken auf die Gestaltung und Realisierung, aber
Ausfall der IT-Sicherheit darf keinen unkontrollierten auch auf die Begrenzung des teilautonomen Handelns
Einfluss auf die Betriebssicherheit haben. der Systeme. Die Systeme müssen im Sinne der Nutzer
—— Garantiemechanismen der IT-Sicherheit: Cyber-Physical und der Gesellschaft, innerhalb derer sie genutzt werden,
Systems müssen gewährleisten, dass zum Beispiel ver- vertrauens­voll und verlässlich handeln können.
schlüsselte Daten vertraulich bleiben und Verschlüsse-
lungsalgorithmen in absehbarer Zeit nicht geknackt Qualität: Das macht es erforderlich, nichtfunktionale An­
werden können. Ein Problem hierbei sind häufig lange forderungen umfassend in Spezifikation zu erfassen, zu prä-
Lebenszyklen von eingebetteten Systemen, sodass die zisieren und im Entwurf sicherzustellen. Außerdem bedarf
Sicherheitskonzepte unterdessen veralten. es einer integrierten Qualitätssicherung in allen Bereichen
—— Erkennen und Verhindern von direkten Angriffen auf der Entwicklung und des Einsatzes von Cyber-Physical Sys-
die verteilten Komponenten, etwa in der Form, dass tems. Entscheidend ist die interaktive Mitgestaltung durch
Daten oder kryptografische Schlüssel ausgelesen, bös- die Nutzer und Beteiligten.
artige Firmware-Versionen aufgespielt oder gar Geräte
zerstört werden.
3.5 Zusammenfassung von CPS-Fähigkeiten und
Verlässlichkeit im Sinn der oben genannten Garantien ist der wesentlichen Herausforderungen, die
eine wesentliche Anforderung an Cyber-Physical Systems. sich daraus ergeben
Damit Nutzer und Systeme untereinander Vertrauensbezie-
hungen aufbauen können, sind neben Methoden der Quali- Abbildung 3.6 zeigt eine Zusammenfassung der CPS-Cha-
tätssicherung sowie Techniken zur Validierung und Verifika- rakterisierung aus Abschnitt 2.6 und fasst in der rechten
tion auch Mechanismen wie Zertifizierung oder Gütesiegel Spalte die neuen Fähigkeiten und wesentlichen Anforde-
erforderlich, dazu schließlich umfassende organisatorische rungen an Cyber-Physical Systems für brauchbare und inno-
Maßnahmen im operativen Einsatz. vative Anwendungen zusammen.

Entsprechend dem offenen Charakter von Cyber-Physical Die Realisierung dieser Fähigkeiten einschließlich Klärung
Systems, die in soziotechnischen Kontexten handeln, können und Schaffung der erforderlichen Rahmenbedingungen
Widersprüche und Zielkonflikte jedoch nicht ganz vermieden und der Bildung eines gesellschaftlichen Konsens’ sind
werden. Sie sind nur bedingt auf Systemebene lösbar. Kern der Forschungsthemen und umfassenden Handlungs-
felder, die in dieser Agenda diskutiert werden.
Compliance: Cyber-Physical Systems, speziell die Definition
ihrer Mensch-Maschine-Interaktion, müssen daher auf diese

95
agendaCPS

Abbildung 3.6: CPS-Charakterisierung und erforderliche neue Fähigkeiten

(1) CyBER-PHySICal, SEnSoREn/ (2) SySTEMS oF SySTEMS (SoS),


(3) KonTExT-aDaPTIVE UnD (TEIl-)
aKToREn, VERnETzT (loKal-GloBal), VIRTUEll, KonTRollIERTER VERBUnD MIT
aUTonoM HanDElnDE SySTEME
ECHTzEITSTEUERUnG DynaMISCHEn GREnzEn

- parallele Erfassung (Sensoren), - Interpretation der Umgebungs- und - umfassende, durchgängige Kontext-
Fusionierung, Verarbeitung physikalischer Situationsdaten über mehrere Stufen, wahrnehmung
Daten der Umgebung, lokal, global und in abhängig von unterschiedlichen
Echtzeit (Physical Awareness) Anwendungssituationen - kontinuierliches Erheben, Beobachten,
Auswählen, Verarbeiten, Bewerten,
- Lageinterpretation im Hinblick auf - gezielte Auswahl, Einbindung, Abstimmung Entscheiden, Kommunizieren der
Erreichung der Ziele und Aufgaben des und Nutzung von Diensten – abhängig von Umgebungs-, Situations- und
Anwendungsdaten (vieles in Echtzeit)
Systems Situation, lokalem und globalem Ziel und
Verhalten - gezielte Anpassung der Interaktion,
- Erfassung, Interpretation, Ableitung, Koordination, Steuerung mit/von anderen
Prognose von Störungen, Hindernissen, - Dienstkomposition und -integration, Systemen und Diensten
Risiken dezentrale Kontrolle: Erkennen fehlender
Dienste, Daten, Funktionen und aktive - Erkennung, Analyse und Interpretation der
- Interagieren, Einbinden, Regeln und Suche sowie dynamische Einbindung Pläne und Absichten der Objekte, Systeme
Steuerung von Systemkomponenten und und beteiligten Nutzer
-funktionen - Selbstorganisation
- Modellerstellung von Anwendungsgebiet
- global verteilte, vernetzte Echtzeitsteuerung - Bewerten des für die Anwendung und -domäne, Beteiligten samt ihrer Rollen,
und -regelung erforderlichen Nutzens und Qualität Ziele und Anforderungen, verfügbaren
Dienste und Aufgaben
(QoS, Gesamtqualität) von einzubindenen
Komponenten, Diensten – auch hinsichtlich - Festlegung von Zielen und Handlungs-
möglicher Risiken schritten unter Berücksichtigung und
Abwägung von Alternativen in Bezug auf
- Verlässlichkeit im Sinne garantierter QoS Kosten und Risiken
(Compliance)
- Selbstwahrnehmung im Sinne Wissens über
- Zugangskontrolle systemeigener Daten und eigene Situation, Zustand und
Dienste Handlungsmöglichkeiten

- Lernen, etwa geänderter Arbeits-, Logistik-


prozesse, Gewohnheiten, Interaktions-
verhalten etc. und entsprechende
Verhaltensanpassung

zunehmende Öffnung, Komplexität, autonomie, „Smartness“ und

96
CPS-Themenfelder

zEnTRalE FäHIGKEITEn UnD nICHT-


(4) KooPERaTIVE SySTEME MIT (5) UMFaSSEnDE MEnSCH-SySTEM- FUnKTIonalE anFoRDERUnGEn
VERTEIlTER, wECHSElnDER KonTRollE KooPERaTIon QUalITy In USE
QUalITy oF SERVICE (QoS)

- verteilte, kooperative und interaktive - Intuitive,


multimodale, aktive und passive - X-Awareness durch korrekte
Wahrnehmung und Bewertung der Lage MMI-Unterstützung (vereinfachte Wahrnehmung und Interpretation von
Steuerung) - Situation und Kontext
- verteilte, kooperative und interaktive - Selbst-, Fremd-, Mensch-Modell
Bestimmung der durchzuführenden Schritte - Unterstützung einer weiteren (Raum, Zeit) in Bezug auf Zustand, Ziele, Intentionen,
– in Abhängigkeit von der Lagebewertung, und vergrößerten Wahrnehmung, Handlungsfähigkeiten
von den Zielen einzelner Akteure und von Unterstützung einer erweiterten
den Zielen der diesen Akteure Handlungsfähigkeit einzelner und mehrerer - Lernen und Adaption (Verhalten)
einschließenden Gemeinschaft (lokale vs. Menschen (Gruppen)
globale Ziele) - Selbstorganisation
- Erkennung und Interpretation
- koordinierte Verarbeitung von Massendaten menschlichen Verhaltens inklusive - Kooperation, Aus-/Verhandeln und
Gefühlen, Bedürfnisse und Absichten Entscheiden (in definierten Grenzen –
- koordinierte Abschätzung und Verhandlung Compliance)
der letztendlich getroffenen Entscheidung, - Erfassung und Bewertung von Zustand
d. h. eigene und gemeinsame Kontroll- und und Umgebung von Mensch und System - Entscheidungen unter unsicherem Wissen
Entscheidungsautonomie (Ausdehnung der Wahrnehmungs- und
Bewertungsfähigkeiten) - Bereitstellen und gegebenenfalls
- Entscheidung unter unsicherem Wissen Sicherstellen von QoS-Garantien
- Integrierte und interaktive Entscheidung
- kooperatives Lernen und Anpassen an und Handlung von Systemen und Mensch, - Umfassendes Sicherheitskonzept
Situationen und Erfordernisse Menschenmengen (Verlässlichkeit, Betriebs- und IT-Sicherheit)

- Einschätzung der Qualität der eigenen und - Lernfähigkeit - Transparente MMI, geteilte Kontrolle –
fremden Dienste und Fähigkeiten integrierte Situationsbewertung und
berechenbares Handeln
- Fähigkeiten der Selbstorganisation im
Verbund - Risikomanagement

- Proaktives, strategisches und verlässliches


Handeln

- Schutz der Privatsphäre

Evolution der Systeme (mit disruptiven Effekten in den anwendungswelten)

97
agendaCPS

Neben Forschungsanstrengungen in Richtung neuer Fähig- —— Entwicklung von Normen und Standards für die quali-
keiten und Kerntechnologien (siehe auch Kapitel 5) sind fizierte Entwicklung und Zertifizierung der Systeme
für die Umsetzung und Beherrschung der skizzierten CPS-
Anwendungen folgende Anstrengungen erforderlich: Wichtige Themen im Zusammenhang mit der Erforschung
entsprechender CPS-Technologien und -Konzepte sind,
—— Aufbau von intelligenten Infrastrukturen, Kommuni- neben unterschiedlichen Dynamiken und Kulturen der
kationsplattformen und Middleware für die Realisie- beteiligten Anwendungsgebiete, Systeme, Akteure und
rung integrierter und interoperabler CPS-Dienste, dazu Disziplinen:
das Sicherstellen grundlegender Quality of Services; sie-
he auch Abschnitt 5.3.3 und Anhang B —— zunehmender Kontrollverlust in offenen sozialen Um-
—— Aufbau von Domänenmodellen, Referenzarchi­ tek-­ gebungen mit vernetzt und ganz oder teilweise auto-
­turen und Anwendungsplattformen auf allen System­ nom interagierenden Systemen und Akteuren. Damit
ebenen als Voraussetzung für die korrekte Wahrneh- verbunden sind wiederum Fragen, Methoden und Kon-
mung und Interpretation von Situationen und Kontex- zepte zur Sicherstellung
ten, für die Prozessintegration und für ein verlässliches —— der erforderlichen Verlässlichkeit der Systeme hin-
Handeln beziehungsweise Steuern der Systeme. Das sichtlich der erweiterten Betriebs- und IT-Sicherheit
umfasst zum Beispiel sowie des Schutzes der Privatsphäre, aber auch wei-
—— Modelle der physikalischen Umgebung, ihrer Archi- terer nichtfunktionaler Anforderungen, etwa Perfor-
tektur und ihrer Beteiligten samt deren Aufgaben, manz und Energieeffizienz.
Rollen und Interaktionsbeziehungen, —— des erforderlichen Know-how-Schutzes in offenen
—— funktionale und nichtfunktionale Modelle zum Fest­ Wertschöpfungsnetzen (CPS-Ökosystemen),
legen von Anforderungen der direkt oder indirekt Be- —— ungewisse und verteilte Risiken, die mit Cyber-Physical
teiligten (Stakeholder, Systeme und Komponenten), Systems einhergehen, und die quantitativ kaum und qua-
—— Anforderungen an den Entwurf der beteiligten Sys- litativ meist nur subjektiv eingeschätzt werden können,
teme und Komponenten, —— Entscheidungen auf der Grundlage unsicheren Wis-
—— Anwendungs- beziehungsweise Referenzarchitektu- sens seitens der Systeme und Nutzer, die hierzu Strate-
ren mit Prozessmodellen, Funktions- und Dienste- gien und Handlungskonzepte benötigen,
architekturen, Interaktionsmuster sowie Realisie- —— angemessenes und faires Handeln von Cyber-Physical
rungsarchitekturen. Zu Letzteren gehören logische Systems in Vertretung sozialer und wirtschaftlicher Ak-
Architekturen, etwa zur Realisierung spezifischer teure – Einzelpersonen oder Gruppen – und gegebenen-
­Sicherheits- oder Performanzanforderungen, aber falls das Lösen von Zielkonflikten,
auch Hardware- und Softwarearchitekturen, Platt­ —— interdisziplinär, also gesellschaftlich umfassend zu be-
formen und Kommunikationsarchitekturen sowie or- stimmende
ganisatorische Rahmenbedingungen und Standards, —— Rahmenbedingungen32 sowie
—— Qualitätsmodelle sowie Modelle für Domänen- oder —— Domänen- und Qualitätsmodelle samt Regeln und
Geschäftsregeln („Business Rules“), Zielmodelle Policies (Compliance-Vorgaben) als Vorgaben für
oder unternehmensspezifische Geschäftsmodelle ganz oder teilweise autonomes Handeln und Ent-
zur Überprüfung und Validierung von CPS-Diensten scheiden der Systeme,
und Anwendungen.

32 Zum
Beispiel erforderliche Infrastrukturen von Cyber-Physical Systems, deren Sicherheit und Qualität, Standardisierung, Normen und rechtliche
Rahmenbedingungen etc.

98
CPS-Themenfelder

—— Aspekte einer verlässlichen Mensch-Maschine-Inter- gien bergen ein großes Potenzial für revolutionäre CPS-
aktion, etwa Anwendungen mit disruptiver Wirkung. Mit klassischen
—— einfache und intuitive Mensch-Maschine-Inter­ Konzepten und Methoden des Engineering lassen sie sich
aktion für multifunktionale Dienste und Nutzungs­ jedoch kaum beherrschen.
möglichkeiten,
—— semantische und für die Nutzer sichtbare Dienste­ Die beiden Pole der Fortentwicklung von Cyber-Physical
integration, abhängig von der Situation sowie von Systems stellen zugleich die wichtigsten Herausforderun-
lokalen, regionalen und globalen Prozess- und gen für das Engineering dar: zum einen, verlässliche und
Handlungskontexten, sichere Systeme mit nachhaltiger Wertschöpfung zu ent­
—— passive Mensch-Maschine-Interaktion, also bewuss- wickeln, zum anderen die Orientierung von Systemen, of-
tes oder unbewusstes Beobachten und Überwa- fenen Innovationsverbünden und Vorgehensweisen auf
chen von Menschen und Gruppen, wobei es auf neue Anwendungen und Dienste. Das erfordert eine ite-
korrekte oder gewünschte Interpretation durch das rative Vorgehensweise, aber auch exploratives Arbeiten
Cyber-Physical System ankommt, in Wertschöpfungskooperationen und wirtschaftlichen
—— Vigilanzproblematik33, also mangelnde Aufmerk- Ökosystemen. Hier sind die Beteiligten in verteilten, auch
samkeit, samt inhärentem Kontrollverlust wechselnden Kooperationen mit Rollen und Aufgaben aus
allen Bereichen der Systemgestaltung und -beherrschung
Aus 1 bis 4 ergibt sich zudem die Anforderung, komplexe zusammen­geschlossen. Das betrifft alle Phasen und Ebe-
Situationen mit derselben Umsicht zu bewerten, wie Men- nen der Systementwicklung:
schen es können, und erforderliche Features34 zu priorisie-
ren, zu integrieren und anzuwenden. —— Entwicklung, Produktion und Verwertung,
—— Betrieb und Wartung,
—— Dienstleistung, Beratung, Anpassung und Weiter­
3.6 Revolutionäre und evolutionäre Systeme entwicklung,
mit ihren Herausforderungen für das —— aber auch mittel- und langfristige Aufgaben der
Engineering Strategie­entwicklung und Evolution.

Neben der offensichtlichen Herausforderung, die erfor- Das gilt für Unternehmen, Akteure und Teile von Verbün-
derlichen Technologien zu beherrschen, ist das Enginee- den, also für alle Beteiligten am umfassenden Engineering
ring damit konfrontiert, dass Nutzer und Umgebung in der Systeme. Ihre gemeinsame Aufgabe innerhalb von Öko-
unvorhersehbarer Weise auf die Gestaltung der Systeme systemen ist es, langfristige Konzepte und Kooperation für
einwirken, wodurch sich diese einerseits evolutionär, an- Strategien und Anwendungsplattformen aufzubauen.
dererseits in teils revolutionären Sprüngen entwickeln. In
beiden Fällen erfordert die Vernetzung und Konvergenz Für all diese Phasen und Aufgaben der CPS-Wertschöpfung
der Technologien und Anwendungen ein integriertes gilt, dass nachhaltige sowie disruptive, also revolutionäre
Vorgehen sowie die Entwicklung neuer oder zumindest Innovationen nur in offener und umfassender interdiszi­
erweiterter Engineering-Konzepte. Intelligente Technolo- plinärer Zusammenarbeit entstehen können. Sie sind die

33 
Zum Beispiel mangelnde Aufmerksamkeit von Fahrzeugführern, weil die sich zu sehr auf Assistenz- und Komfortfunktionen im Fahrzeug
verlassen.
34 Feature steht hier als Überbegriff für Dienst oder Funktionalität sowie für Qualitäten wie Sicherheit oder Performanz.

99
agendaCPS

Ergebnisse von Interaktion und Kooperation zwischen verstärken, sind adaptive und evolutionäre Mechanismen
Nutzern, Akteuren und Stakeholdern aus den Anwendungs- zunehmend wichtige Bestandteile CPS-artiger Systeme; sie-
domänen, erfordern aber auch die Abstimmung unter den he auch Abschnitt 5.2. Das gilt besonders auf der Ebene
Ingenieursdisziplinen der Cyber-Physical Systems. der Infrastruktur.

Evolution und interaktive Adaption: Die interaktive An-


3.6.1 Evolution und Engineering passung und veränderte Nutzung von CPS-Diensten in
neuen Anwendungskontexten durch Nutzer stellt in Ver-
Für die offene Entwicklung innovativer CPS-Dienste und An- bindung mit der Koordination und Anpassung von CPS-
wendungen sind verschiedene Evolutionsformen von Cyber- Funktionen und -Diensten während des Einsatzes die zweite
Physical Systems von Bedeutung: Form der Evolution dar. Sie ist im Wesentlichen durch die
CPS-Fähigkeiten in den Spalten (3) bis (5) in Abbildung
Autonome Evolution und Adaption während der Lauf- 3.6 charakterisiert. Die Evolution wird bestimmt durch die
zeit der Systeme: In klassischen, insbesondere in großen Wechselwirkung zwischen dem jeweiligen Einsatzkontext
und global eingebetteten Systemen wie dem Telekommu- – also Situation, Aufgaben, Ziele, Möglichkeiten und An-
nikationsnetz oder Systemen des Zivilschutzes spielen Ad- wendungsverhalten der Akteure und Systeme – aber auch
aption und Evolution während der Laufzeit des Systems den physikalischen Umweltbedingungen. Die einzelnen
eine wesentliche Rolle. Um die Verlässlichkeit solcher Adaptions­schritte von Cyber-Physical Systems werden so-
Systeme sicherzustellen, werden adaptive Mechanismen wohl passiv – also durch Beobachtung, Anpassung und das
wie Selbstheilung (Self-Healing) oder dynamische Rekon­ Lernen des Systems – als auch aktiv von der Umgebung und
figuration bei Ausfällen, etwa dynamisches Re-Routing bei den Beteiligten selbst ausgelöst.
Ausfall von Teilnetzen, von Anfang an integriert. Evolu-
tionäre Mechanismen wie die Neuinstallation von Funk- Evolution und Innovation durch explizite Engineering-
tionalitäten im laufenden Betrieb werden bereitgestellt, Prozesse: Evolution und Innovation können in einer
zum Beispiel die Integration neuer Protokolle in Telekom- dritten Form auch explizit gesteuert werden: durch inter­
munikations-Switches, um die Langlebigkeit der Systeme disziplinäres Engineering, Analysieren der Umgebungs- und
sicherzustellen. Anwendungsfelder mit abgestimmten Innovations- und
Adaptionsschritten sowie durch den Einsatz von Rückkopp-
Durch die Vernetzung unterschiedlicher Domänen und Pro- lungsmechanismen aus der Anwendung. Dazu gehören
zesse in Cyber-Physical Systems entstehen jedoch Wechsel- Mechanismen zur systematischen Konstruktion, Validierung
wirkungen zwischen den Systemen und Rückkopplungen und Verifikation. Wesentliche Erhebungs-, Rückkopplungs-
zwischen Systemen und Nutzung: So verhindert ein Ausfall und Evolutionsmechanismen zu diesem Zweck sind der
der Telekommunikation die Fernwartung von Anlagen oder experimentelle und explorative Einsatz von Prototypen so-
neue Funktionen verändern die Art der CPS-Nutzung, wes- wie erweiterte Methoden der Anforderungserhebung und
halb wiederum zusätzliche Funktionen notwendig werden. Validierung. Das schließt die Beobachtung und Analyse der
Angesichts solcher Wechselwirkungen, die sich gegenseitig beiden zuvor genannten Evolutionsformen ein.

100
CPS-Themenfelder

3.6.2 Technologie- und Forschungsfelder für —— Entwicklung von Anforderungs-, Umgebungs- und
das Engineering Domänen­modellen, einschließlich Rollen-, Nutzer-, Inter­
aktions- und Verhaltensmodelle zur Erhebung, Validie-
Aufgrund dieser und der in den vorigen Abschnitten ge- rung und Verifikation von Anforderungen, sowie von
nannten Charakteristika lassen sich die folgenden sechs For- Situations- und Kontextmodellen samt ihrer Integration
schungsthemen für das CPS-Engineering zusammenfassen: (siehe auch Abschnitt 3.6.2.5),
—— durchgängige Methoden und Modelle zum Verfolgen
3.6.2.1 Nutzer- und nutzungszentrierte Ent­­­wicklung – von Anforderungen und ihrer Änderungen – über den
Dynamik der Anforderungen Entwurf und die Komposition vernetzter, verketteter
Neben dem Einsatz der erforderlichen Technologien CPS-Komponenten und Dienste hinaus – um ihre Um­
zur Erhebung und Realisierung neuer Mensch-System- setzung sicherstellen und Auswirkungen von Änderun-
Inter­aktionsformen (siehe auch CPS-Fähigkeiten der gen oder Alternativen abschätzen zu können. In dem
Mensch-­Maschine-Interaktion) sowie von Adaptions- und Zusammenhang werden die Komposition und Inte­
Kooperationstechnologien während der Systemlaufzeit gration der beteiligten CPS-Komponenten und -Dienste
(Kontextlernen, Evolution und Selbstorganisation) sind fol- kontinuierlich validiert und verifiziert, sowohl hinsicht-
gende Engineering-Konzepte und Anstrengungen für eine lich der Anforderungen an ihre Qualität als auch der
nutzer- und nutzungszentrierte Entwicklung erforderlich: erforderlichen Garantien in ihrer Anwendung.

—— explorative und beobachtende Verfahren, Entwicklung Das erfordert durchgängige und aufeinander zugeschnitte-
und Einsatz von Demonstratoren, ne Verfahren, Konzepte, Methoden und Techniken für Ent-
—— Prüf- und Messmethoden zum Ermitteln der Quality of wurf, Entwicklung, Produktion, Wartung und Evolution von
Experience und Quality in Use35, Cyber-Physical Systems und ihrer Komponenten.
—— Methoden der Nutzerpartizipation
—— durchgängig nutzerzentrierter Entwurf, der das Verfol- 3.6.2.2 Umgebungs- und Domänenmodelle mit
gen von Anforderungen, sowie die Anwendungsinte­ integrierten Anwendungsplattformen
gration, und Validierung ermöglicht, Das Engineering ist mit folgenden Anforderungen konfron-
—— erweiterte Problemlösungsmethoden, also iterative tiert:
Methoden und Techniken für die Abgrenzung und Fest­
legung von Aufgaben- oder Untersuchungsbereichen —— Aufbau generischer und domänenspezifischer Anforde-
und -umfängen (Scoping) sowie von Problemen und rungs-, Situations-, Umgebungs- und Qualitätsmodel-
Zielen, le, die sich als Baukasten verwenden lassen, aus dem
—— Einbindung der Nutzer in den Innovations- und Entwick- Komponenten mit verlässlicher Qualität interoperabel36
lungsprozess, zusammengesetzt werden können,
—— virtuelle Methoden, etwa die Entwicklung und der Ein- —— Scoping, Tailoring, also die Auswahl von Prozessbau­
satz von Prototypen und Simulationsmodellen für Vali- steinen vor Beginn des Engineerings und die dynami-
dierung und Verifikation von Qualitätsanforderungen, sche Anpassung der Entwicklungsaktivitäten im weite-
ren Verlauf,

35 Siehe auch ISO-Norm ISO/IEC 9126 zur Softwarequalität – inzwischen aufgegangen in der Norm ISO/IEC 25000 [ISO10].
36 Das bezieht sich auf alle Ebenen der Interoperabilität – technische, semantische und nutzersichtbare (siehe auch Abschnitt 3.1).

101
agendaCPS

—— Erweiterung und Integration domänenübergreifender —— standardisierte Festlegung und Definition von Garantie-
Szenarien und Anwendungen, und Prüfkonzepten auf allen Abstraktionsebenen. Dies
—— Plattform-Engineering und die Herausforderung unter- umfasst die Anforderungen an die Systeme und Nut-
schiedlicher Dynamik und Lebenszyklen von CPS-Kom- zungsschnittstellen, die Architekturkonzepte sowie das
ponenten; siehe auch Abschnitte 3.6.2.5 und 3.6.2.6. Interaktions- und Kompositionsverhalten,
—— Erarbeiten von Qualitätsmodellen, Normen, Standards
3.6.2.3 Erweitertes Engineering von Zielen und und Policies,
Anforderungen —— Erarbeiten, Festlegen und Standardisieren generischer,
Für Scoping, Tailoring und situationsspezifische Nutzung, also für alle Cyber-Physical Systems gültiger, und domä-
also für die Suche und Auswahl, von CPS-Komponenten nenspezifischer Gefährdungskonstellationen, also von
sowie die Kooperation mit ihnen und die Abstimmung mit Mustern im Domänen-Engineering
den Zielen der Dienste ist es erforderlich —— einheitliche Definition von Sicherheits- beziehungs­
weise Gefährdungsstufen oder Klassen in ungewisser
—— Zielsysteme als Erweiterungen von Domänenmodellen Umgebung.
aufzubauen, die lokale, regionale und globale Kontexte
abbilden können. Diese Kontexte sind repräsentiert in Hierzu gehören auch der evolutionäre Aufbau und die
Viewpoints aller Stakeholder, also in ihren Zielen, Inter- Klassifizierung von qualitätsrelevanten Architektur- und
essen und Beziehungen, die es formalisiert und struktu- Verhaltensmustern mit erweiterten Test- und Verifikations-
riert abzubilden gilt. methoden. Die Muster dienen dann auch als Basis für Zerti-
—— Anforderungen hinsichtlich Risiken, Machbarkeit und fizierungen und für Vertrauenssiegel.
Einhaltung von Garantien, Validierung und Verifikation
differenziert und kontinuierlich zu bewerten und zu pri- 3.6.2.5 Interoperabilität: Management offener
orisieren sowie Plattformen, Referenz­modelle und Standards
—— das Verhältnis zwischen Kosten und Nutzen der Kompo- Die oben genannten Engineering-Aufgaben, besonders die
nenten und Dienste sowie ihren Return on Investment offene Vernetzung heterogener Komponenten und Dienste
(RoI) zu untersuchen. über viele CPS-Anwendungen, erfordern

3.6.2.4 Risiko-Engineering, erweiterte Betriebs- und —— Definition und Gestaltung grundlegender (domänen-
IT-Sicherheit sowie Garantien übergreifender und generischer) Infrastruktur- und Kom-
Weil die Nutzung von Cyber-Physical Systems erhöhte Ri- munikationsplattformen von Cyber-Physical Systems mit
siken mit sich bringt, sind erweiterte Engineering-Metho- entsprechenden Protokollen und Basisfunktionen oder
den für eine differenzierte Analyse und Bewertung dieser Diensten. Das ist auch für die Sicherstellung der gefor-
Risiken notwendig, vor allem hinsichtlich der technischen derten Qualitätsgarantien nötig.
Machbarkeit. Das umfasst etwa Interoperabilität, semanti- —— domänenspezifische Entwicklung und Aufbau von
sche Integration und Qualitätsgarantien. Um Betriebssicher- Anwendungsplattformen mit Funktions- und Dienste-
heit, IT-Sicherheit, Performanz und Schutz der Privatsphäre architekturen, von dazugehörigen Anforderungs-, Archi-
zu gewährleisten, sind folgende Methoden des Risiko-­ tektur- und Qualitätsmodellen sowie von Standards und
Engineerings erforderlich: Verfahrensweisen.

102
CPS-Themenfelder

3.6.2.6 Unterschiedliche Dynamiken und Diese vielfältigen Probleme machen außerdem die Berech-
Charaktere von Systemkomponenten nung der Kosten-Nutzen-Verhältnisse und des Return on
und -diensten Investment von Cyber-Physical Systems sehr schwierig. Das
Eine wesentliche Herausforderung für das Engineering ist stellt wiederum Anforderungen hinsichtlich
das Zusammentreffen der Aspekte „cyber“ und „physical“,
also von CPS-Komponenten unterschiedlichen Charakters. —— Versions-, Release-, Konfigurations- und Kompatibilitäts-
Diese umfassen physikalische Objekte wie Straßen und me- management, aber auch der Methoden von Entwurf
chanische Geräte, aber auch Netzinfrastruktur, Elektronik, und Realisierung,
Sensorik und Software mit unterschiedlichen Lebenszyklen. —— differenzierter Methoden und integrierter Verfahren so-
wie Vorgehens- und Prozessmodelle,
Software auf mobilen Endgeräten oder PCs wird nahe- —— Integration und Abstimmung von Vorgehensweisen
zu wöchentlich aktualisiert, Endgeräte werden innerhalb und Engineering-Ansätzen sowie
weniger Jahre ausgetauscht. Infrastruktur und komplexe —— Integration heterogener Schnittstellen, Protokolle und
Engineering-Produkte wie Züge oder Flugzeuge werden je- Konzepte zur Sicherstellung übergeordneter beziehungs­
doch mehrere Jahrzehnte lang genutzt. Sie können darum weise von der Anwendung geforderter Qualitäts- und
nur eingeschränkt mit Cyber-Physical Systems zusammen­ Garantieanforderungen (siehe auch die in den vorigen
arbeiten und deren neue Fähigkeiten nutzen. Zum anderen Abschnitten angeführten Fragen zu Inter­operabilität,
werden verbindliche Qualitätsanforderungen hinsichtlich Integration und Standards).
Verlässlichkeit und Vertrauenswürdigkeit gestellt, die im
Rahmen der Vernetzung und Verkettung von CPS-Diensten Mit der Öffnung, der domänenübergreifenden Vernetzung
oder -Anwendungen realisiert werden müssen. und der öffentlichen Nutzung der Anwendungsplattformen
werden darum Anpassungen und Fortentwicklungen not-
wendig, und zwar der dazugehörigen Modelle, Plattformen
und Standards sowie der Referenzarchitekturen, -dienste
und -prozesse. Das erfordert wiederum Aktivitäten zur Ab-
stimmung mit allen Stakeholdern – also mit Endanwendern
und Unternehmen innerhalb der Wertschöpfungsnetze und
Ökosysteme –, aber auch mit relevanten gesellschaftlichen
Gruppen und politischen Vertretern.

103
Politik und Gesellschaft

4 Politische und gesellschaftliche


herausforderungen
Heutzutage lässt sich das volle Potenzial von Cyber-Physical sie im gesellschaft­lichen und politischen Dialog zu bewer-
Systems nur in Ansätzen erfassen. Viele der dadurch aus- ten und ihnen ge­gebenenfalls bei der Gestaltung und Si-
gelösten gesellschaftlichen Entwicklungen sind kaum pro- cherung der Systeme entgegenzuwirken. Vor dieser Aufga-
gnostizierbar, zumal die Ausprägungen von Cyber-Physical be stehen insbesondere diejenigen, die CPS-Technologie
Systems in hohem Maße von der technischen, organisatori- vorantreiben und verantworten.
schen und juristischen Gestaltung im nationalen, aber auch
im internationalen Kontext abhängig sind. Die Auswirkun- Um gesellschaftliche Potenziale zu heben, gleichzeitig künf-
gen des Vordringens vernetzter Softwaresysteme und ihrer tigen Risiken zu begegnen und nützliche, akzeptable und
Dienste in nahezu alle Lebensbereiche führt zu kaum vor- beherrschbare Cyber-Physical Systems zu entwickeln und zu
hersehbarem Wandel. betreiben, ist es unumgänglich, sich sowohl auf der techni-
schen als auch auf der politischen und gesellschaftlichen
Die Entwicklung hin zu einer vernetzten und durch Informa- Ebene mit der Technik und ihren möglichen Auswirkungen
tions- und Kommunikationstechnologien geprägten Welt auseinanderzusetzen. Das bedeutet, Chancen gegen Risi-
ist in vollem Gange und scheint unumkehrbar. Fragen nach ken sowie Kosten gegen Nutzen abzuwägen, die Ergebnis-
gesellschaftlichen Werten und ihrer Gefährdung werden se zu bewerten und in interdisziplinärer Zusammenarbeit
derzeit intensiv diskutiert. Zu den Themen gehören, neben entsprechende Anforderungen an Technik, Systeme und die
der Möglichkeit intensiverer Mitwirkung und vielfältiger Ge- Gestaltung der Interaktion sowie der Rahmenbedingungen
staltung des individuellen Lebens, auch negative Aspekte. für den CPS-Einsatz festzulegen.
Zu denen Ängste, etwa vor der Beeinträchtigung der Privat-
sphäre, dem Kontrollverlust einzelner oder ganzer Staaten,
vor übermäßiger Überwachung und Einschränkung freiheit- 4.1 Technikfolgen, gesellschaftliche
licher Grundrechte, aber auch vor einer digitalen Spaltung Spannungsfelder und interdisziplinäre
der Gesellschaft gehören [CSH04, Zil09, Sch10a37, KR11, Forschungsfragen
Sch07a, Bau09, Par11, 3sa11].
Die interdisziplinäre Analyse von Technikfolgen und die da-
Cyber-Physical Systems stellen Gesellschaftssysteme vor mit einhergehende Gestaltung der Technik werden durch
große Veränderungen, die sich aus der Durchdringung Cyber-Physical Systems vor umfassende Herausforderungen
und tiefgreifenden Veränderung sozialer Interaktionen, gestellt. Eine erste Zusammenstellung relevanter Themen-
Prozesse und Strukturen ergeben. Grundlegend dafür sind felder umfasst:
die CPS-Fähigkeiten zur umfassenden Kontexterfassung
(mittels Sensorik) sowie die Möglichkeit der global vernetz- —— neue Fragen der Sicherheit für Nutzer,
ten und in alltägliche Prozesse integrierten ganz oder teil­ —— unbekannte Risiken einer veränderten Mensch-Maschine-
weise autonomen Handlungssteuerung (mittels Aktorik). Interaktion,
Das macht eine umfassende Analyse der Technikfolgen —— Fragen der akzeptablen Technikgestaltung sowie
und der Mensch-Technik-Kooperation notwendig. Neben —— neue Anforderungen hinsichtlich gemeinsamer Steue-
den Potenzialen, dem Mehrwert und den wünschenswer- rung offener komplexer soziotechnischer Systeme durch
ten Dienstleistungen gilt es daher, zu erwartende Verän- Mensch und Maschine.
derungen und positive wie negative Auswirkungen der
CPS-Technologie zu untersuchen und zu dokumentieren,

37 „Plug & Pray – Von Computern und anderen Menschen“, Dokumentarfilm von Jens Schanze.
105
agendaCPS

Diese Themen sollten im Rahmen einer interdisziplinären Nutzung im Alltag: Cyber-Physical Systems besitzen durch
CPS-Akzeptanzforschung koordiniert bearbeitet werden. ihren offenen, interaktiven Charakter und die Nutzung in
alltäglichen Kontexten – in offenen sozialen Umgebungen –
Grundlage für die Auswahl der Themen sind zum einen einen hohen Komplexitätsgrad, der im Vergleich zur geschlos-
die Ergebnisse aktueller Studien zu Technikfolgen [ML08, senen technisierten Arbeitswelt, etwa der Luftfahrt oder der
Hil07] und Analysen der Techniksoziologie [Wey06a, Automatisierungstechnik, durch Verkettungsmöglichkeiten
Wey06b, Wey06c, Wey11a, FW11]. Dazu kommen Ergebnis- noch zunimmt (siehe Abschnitte 3.2 und 3.3). Diese an sich
se des BMBF-Foresight-Prozesses „Zukunftsfelder neuen Zu- schon komplexen systemischen Bedingungen potenzieren sich
schnitts“ [CGW09] sowie die in Abschnitt 1.4 beschriebene zudem durch die vielfältigen Ziele, Prozess- und Situations­
Methode der Szenarienanalyse und der Systemcharakteri- anforderungen der Mitwirkenden, durch nicht ausgebildete
sierung (siehe auch [Hei11]). Nutzer sowie durch unvermutete und in ihrem Verhalten für
das System unberechenbare Beteiligte. Diese werden mögli-
In den folgenden Abschnitten werden die einzelnen cherweise ohne eigene Absicht mit der Technik konfrontiert,
Themen­felder dargestellt. mit der sie dann gezwungenermaßen interagieren.

Entscheiden auf Basis von unsicherem Wissen: Auf bei-


4.1.1 Sicherheitsfragen vernetzter den Seiten – sowohl auf der hochgradig verteilten System-
intelligenter und interaktiver Technik seite als auch auf der Seite der Menschen, die die Technik
nutzen und mit ihr interagieren – wird ein ständiges Ab­
Eine wesentliche Frage bei der Analyse der CPS-Szenarien wägen, Entscheiden und Handeln auf Basis von unsiche-
und -Visionen betrifft neue, heute noch nicht übersehbare rem Wissen erforderlich.
Sicherheitsrisiken. Bereits an der Analyse aktueller Flug-
zeug- oder Verkehrsunfälle mit intelligenter Technik (siehe Neue Fragen beherrschbarer Mensch-Maschine-Inter­
[LPS+97, Wey06b]) wird deutlich, dass die komplexe Ver- aktion: Der Einsatz von Cyber-Physical Systems führt nicht
kettung von Ereignissen, unverstandene Wechselwirkungen nur zu neuen Fragen nach der Beherrschbarkeit der Tech-
zwischen Systemverhalten und direkter oder erweiterter nologie und erweiterten Themen für die Sicherheits- und
Umgebung und die Mensch-Maschine-Interaktion vielfälti- Risikoforschung, wie sie in den Kapiteln 3 und 5 zusam-
ge Quellen für Fehlverhalten und Unfälle sein können. mengefasst sind. Es stellen sich auch umfassende Fragen
nach der erforderlichen Gestaltung der Systeme sowie der
Die Frage, durch welche Maßnahmen auf den verschiedenen Mensch-Maschine-Interaktion und -Kooperation, besonders
Ebenen der Gestaltung, der Entwicklung und des Einsatzes im Hinblick auf die Auswirkungen auf direkt oder indirekt
der Systeme derartige Unfälle in Zukunft zu verhindern wer- Beteiligte, Nutzer und Stakeholder.
den können, muss intensiv erforscht werden. Die Forschung
muss sich nicht nur auf die Technologie, sondern künftig auch Eingebettete Systeme im Automobil- beziehungsweise
auf Organisation und Training sowie auf einheitliche Sicher- im Individualverkehr haben in den letzten drei Jahrzehn-
heitskulturen und Strategien zur Konfliktlösung beziehen. Im ten enorme Beiträge zur passiven und aktiven Sicherheit
Mittelpunkt müssen die Fragen der geteilten Kontrolle und geleistet; die Zahlen von Unfallopfern sind nicht zuletzt
eventueller Diskrepanzen zwischen Menschen, ihren Anforde- dadurch seit vielen Jahren rückläufig. Zugleich führt die
rungen, und autonom agierenden Systemen stehen38. steigende Anzahl von Assistenz- und Kontrollfunktionen

38 Sowerden in [Tra09] Experten beispielsweise mit folgender Aussage zitiert: „Piloten verstehen das Flugzeug nur an der Oberfläche. Tief hinein-
schauen in die Steuerungssoftware kann kaum noch jemand“.
106
Politik und Gesellschaft

und deren systemseitige Integration zu einer Verschiebung —— Ereignisse und Zusammenhänge in ihr Verhalten ein­
der Rolle und einer veränderten Beziehung zwischen Fahrer beziehen, die außerhalb der Wahrnehmung und des
und Umwelt sowie Fahrzeug und Umwelt: Fahrzeuge über- Situationsverständnisses der Nutzer liegen,
nehmen zunehmend Wahrnehmungs-, Koordinations- und —— meist kein regelhaftes oder normales Verhalten, wie sozi-
Steuerungsaufgaben von ihren Fahrern. Neben des in Ab- ale Akteure es aufweisen, zeigen. Das System­verhalten
schnitt 3.3 angesprochenen Problems der Vigilanz, also der gehorcht nicht sozial vereinbarten, erlernten Regeln
fehlenden Aufmerksamkeit des Fahrers, kann die vernetzte der Interaktion, sondern Zielen und funktionalen
Technik mit ihrer Vielfalt an meist unkoordinierten39 Assis- Gesetzen der Systemdefinition und Konstruktion. Ab-
tenzfunktionen, besonders in außergewöhnlichen und kriti- bildung 4.1 zeigt einen Vergleich der Interaktion und
schen Fahrsituationen, zu Stress und Überforderung führen. Kooperation von Menschen mit konventioneller Technik
Fahrer, aber auch weitere an Verkehrssituationen Beteiligte und avancierter Technik.
wie Fußgänger oder Radfahrer, stehen diesen Situationen
oft hilflos gegenüber. Weil sie es gewohnt sind, von Assis- Wie auch die Fragen im Falle der Vollbremsung des Fahr-
tenzsystemen umfassend unterstützt zu werden und diese zeugs von Frau Müller in Abschnitt 3.2.3.1 verdeutlichen,
alltägliche Koordinations-, Entscheidungs- und Handlungs- kann dies zu einer faktischen Entmündigung der Fahrer
aufgaben übernehmen, fehlt ihnen auch die hierfür erfor- führen (siehe auch [Wey06b, S.7]); bei Unfällen ist es unter
derliche Lernerfahrung; siehe auch [Wey06b]. Umständen schwierig, die juristische Verantwortung zuzu-
weisen.
Auch wegen der zunehmenden Öffnung von Fahrzeugen
und ihrer Vernetzung mit Umfeldsystemen wie intelligenten Zu beantworten ist die Frage der Verantwortung für ent-
Ampelsteuerungen oder übergeordneten Verkehrsleitsyste- standene Schäden oder Verletzungen von Personen durch
men können Fahrer Systeme und auftretende Situationen Unfällen infolge von ganz oder teilweise autonomer Ko­
oft nicht nachvollziehen. Sie können Verhalten und Mög- operation der Systeme in öffentlichen Fahrsituationen.
lichkeiten der Systeme nicht korrekt einschätzen, weil diese Dazu zählen etwa

Abbildung 4.1: Vergleich der Interaktion von Menschen mit konventioneller und mit avancierter (intelligenter) Technik [Wey06a]

HYBRIDE SYSTEME – INTERAKTION VON MENSCHEN MIT ...

KONVENTIONELLER AVANCIERTER
MENSCHEN
TECHNIK TECHNIK

vollständig undurchschaubar,
Berechenbarkeit regelhaftes Verhalten
berechenbar irregulär

Zuschreibung von
ja nein teils/teils
Handlungsfähigkeit

a) instrumentell a) instrumentell
a) strategisch (Konstrukteur)
Handlungstypus (Konstrukteur)
b) kommunikativ b) strategisch b) adaptiv (Nutzer)
(Nutzer)

39 Meist getrennt und für die Integration in bestehende Fahrzeugfunktionen entwickelt.


107
agendaCPS

—— die selbstständige Vollbremsung der Fahrzeuge (siehe Dies führt letztlich zu folgenden, noch nicht abschließend
Abschnitt 2.2.2), beantworteten gesellschaftlichen Fragen:
—— die Auffahrt auf eine Autobahn – oder die Abfahrt –,
bei der autonom fahrende und kooperierende Systeme —— Wie viel Abhängigkeit von der vernetzten Technik wol-
vollständige Kontrolle ausüben; siehe Abschnitt 2.2.3. len wir uns in den einzelnen Lebensbereichen leisten
können und wollen?
Erweiterte Verantwortung des Engineerings: Bereits an —— Wie viel Technikverständnis sollte zur Allgemeinbildung
diesen beiden Beispielen werden die neuen und erweiter- und Ausbildung gehören, damit Menschen kompetent
ten technischen Aufgaben sowie die Verantwortung eines mit anspruchsvoller Technik umgehen können?
interdisziplinären Engineerings und der beteiligten Strate-
gen und Ingenieure deutlich. Auch im Sinne einer erhöhten Neben einem interdisziplinären Engineering sind daher
Akzeptanz und „Akzeptabilität“ intelligenter Systeme ist Bewusstseinsbildung der Nutzer und eine gesellschaftliche
eine Abkehr von dem Tunnelblick der technischen Mach- Diskussion darüber erforderlich, wie wir mit den künftigen
barkeit hin zu einer interdisziplinären und partizipativen gesellschaftlichen Veränderungen und Risiken umgehen
Gestaltung und Konstruktion intelligenter vernetzter Tech- möchten, die mit der Nutzung dieser intelligenten, ver-
nik erforderlich – einer Technik, die umfangreiche Unter- netzten Technik verbunden sind. Das Ziel sollte es sein, die
stützung bietet, aber für den Menschen berechenbar be- neuen Anforderungen an die Gestaltung der Systeme, ihren
ziehungsweise abschätzbar ist und ihm nach wie vor die Einsatz und die erforderlichen Rahmenbedingungen und
gesellschaftlichen Entscheidungsspielräume für das eigene Vorgaben für die Entwicklung zu erkennen, darüber zu dis-
Handeln ermöglicht. kutieren und zu gesellschaftlichem Konsens zu gelangen.40

Abhängigkeiten: Neben den Fragen nach der sicheren


Beherrschbarkeit der CPS-Technologie und ihrer Anwendun- 4.1.2 Individuelle Akzeptanz- und
gen (siehe Abschnitt 3.2) entstehen in allen Anwendungs- Gestaltungsfragen der Technik
bereichen vielfältige Abhängigkeiten von Cyber-Physical
Systems und ihren intelligenten offenen Infrastrukturen. Neben neuen Fragen der Sicherheit und Beherrschbar-
Diese machen sowohl den Einzelnen als auch Wirtschaft keit sowie der Mensch-Maschine-Kooperation sind für die
und Gesellschaft in einem weitaus höheren Maße verletz- bedarfsgerechte Gestaltung von Cyber-Physical Systems
lich, falls die intelligente Technik nicht richtig funktioniert, mögliche Technikfolgen und damit verbundene Fragen der
ausfällt oder manipuliert wird. In diesem Sinne bestehen Akzeptanz seitens der Nutzer differenziert zu untersuchen.
die Herausforderungen in punkto Sicherheit nicht nur in Dazu gehören gesellschaftlich geprägte Wertvorstellungen
der verlässlichen Gestaltung und Sicherung der Systeme und ethische Fragen, aber auch spezifische Nutzeranfor-
hinsichtlich Betriebssicherheit, IT-Sicherheit, Schutz der derungen und Akzeptanzkriterien einzelner Gruppen oder
Privat­sphäre und Know-how, sondern auch in den Aufga- Kulturkreise, für die die Systeme entwickelt und eingesetzt
ben, jeden Einzelnen und die Gesellschaft insgesamt dazu werden.
zu befähigen, auch ohne umfassende Technikunterstützung
sicher und selbstbestimmt zu handeln.

40 Siehe hierzu auch die Forderungen nach einem gesellschaftlichen Diskurs über das Verhältnis Mensch-Technik aus dem BMBF-Foresight-Prozess

zu Zukunftsfeldern neuen Zuschnitts [CGW2009].


108
Politik und Gesellschaft

Einerseits bieten die CPS-Technologien eine Fülle positiver warteten Rückwirkungen, die das eigene Handeln beim
gesellschaftlicher Nutzenaspekte: Gegenüber auslöst (siehe Webers Handlungs­ theorie
[Web02] und [Wey06a, S.15]). Das ist in der Interaktion
—— höhere Eigenständigkeit und Autonomie auf Basis um- mit intelligenter Technik jedoch nur begrenzt möglich,
fassender Informationsversorgung und Assistenz wie in Abschnitt 4.1.1 gezeigt. Hier werden die He­
—— höheren Komfort rausforderungen bei der Fortentwicklung der Mensch-­
—— starke Einbindung in soziale Kontexte durch umfassen- Maschine-Interaktion hin zu einem Handeln der Tech-
de Vernetzung nik, das nach menschlichen Interaktionsanforderungen
—— Teilhabe an gesellschaftlichen Prozessen reguliert ist, deutlich.
—— flexible Mitgestaltung von Technik und ihrer Nutzung Im BMBF-Foresight-Prozess zum Zukunftsfeld Mensch-
durch Variabilität in Nutzungskonzepten Maschine-Kooperation [CGW09] wird diese Forderung
an die Technik mit der Forderung nach einem „Roboter-
Andererseits jedoch gilt es, negative Auswirkungen zu knigge“ zusammengefasst, also nach gesellschaftlich
analysieren und ihnen entgegenzuwirken. Wesentliche bestimmten sozialen Normen, die das Handeln der Sys-
Ansatzpunkte für die Bestimmung von Akzeptanzfaktoren, teme und ihre Mensch-Maschine-Interaktion regulieren.
Anforderungen an die Systeme und die Mensch-Maschine-­ —— Überwachung und Beeinflussung: Sammlung und
Interaktion sind Ergebnisse empirischer Akzeptanz­ Auswertung von Daten vieler Lebensbereiche bergen
forschung in konkreten Anwendungsszenarien. Nicht nur die Gefahr der Überwachung und Beeinflussung. Be-
unter dem Sicherheitsaspekt zeigen diese Untersuchungen sonders durch die CPS-Sensorik wird sich die wenig
folgende mögliche negative Auswirkungen des Einsatzes begrenzte und für Nutzer weitgehend intransparente
intelligenter Technik auf Menschen und ihr Wohlbefinden: Datenerfassung stark erhöhen, mit der Gefahr der Ein-
schnitte in Privatsphäre oder Handlungsautonomie von
—— Unbehagen, Stress und Überforderung, angefangen Menschen [KR11, Par11, ML08].
mit einem Störgefühl, der sogenannten „Kognitiven —— Vertrauensverlust: Mit der Zunahme derartiger Ein-
Dissonanz“41 im Umgang mit der undurchschaubaren schnitte in die Grundlagen persönlicher Handlungs-
Technik und ihrem für Menschen nicht nachvollziehba- freiheit führt die allgegenwärtige Nutzung vernetzter
ren Handeln. Eine intelligente Maschine verunsichert Informations- und Kommunikationstechnologien auch
Menschen, weil sie sich teils in scheinbar gewohnten zu einer Erosion des Vertrauens [Mat03]. Das gilt nicht
Mustern bewegt, teils aber völlig erratisch verhält; diese nur für das Vertrauen in die Technik und die dahinter
Nichtvorhersehbarkeit stellt das gewohnte Verhältnis stehenden Produzenten und Betreiber, sondern auch in
von Mensch und Technik infrage [Wey06a]; siehe auch Regulatoren, Politik und die Gesellschaft, entsprechend
das Beispiel unter 4.1.1. dem Befund, dass „[….] Technik eben immer auch ein
—— Gefühlter oder realer Freiheitsverlust, Verringerung Repräsentant so empfundener ‚Macht’ gewesen ist,
der Handlungsfreiheit und der Fähigkeit zum strategi- und damit von ‚Ohnmacht’ des Einzelnen“ [aca11a].
schen Handeln im sozialen Kontext bis hin zu passiv- Beispielsweise wehren sich Bürger in der kanadischen
reaktivem Verhalten. Strategisch, zweckrational han- Provinz British Columbia gegen die Absicht des staat-
delnde Akteure beziehen in ihre Pläne ihr Gegenüber lichen Stromversorgers BC Hydro, in allen Haushalten
und dessen zu erwartende Strategien ein, ferner die er- Smart Meter zu installieren. Grund der Ablehnung:

41 KognitiveDissonanz bezeichnet in der Psychologie und der Sozialpsychologie einen als unangenehm empfundenen Gefühlszustand, der da-
durch entsteht, dass ein Mensch mehrere Kognitionen hat – Wahrnehmungen, Gedanken, Meinungen, Einstellungen, Wünsche oder Absichten –
die nicht miteinander vereinbar sind.
109
agendaCPS

Die Geräte ermöglichen es dem Stromversorger und da- angesteuert werden. Jede der vertikalen Spalten ent-
mit auch staatlichen Stellen, detaillierte Informationen spricht einem Tag.“ [Zei11]
über Anwesenheit oder Verhalten der Bewohner zu sam- —— Navi-Hersteller TomTom gibt Geschwindigkeitsdaten
meln. Zudem hat sich in der Nachbarprovinz Ontario, seiner niederländischen Kunden an die Polizei weiter
wo die Geräte bereits eingeführt worden sind, gezeigt, (anonymisiert). Die Behörden ermitteln damit die per-
dass danach die Stromkosten, statt zu sinken, teils dras- fekten Standorte für Radarfallen [Ber11b].
tisch gestiegen sind [Cal12]. —— „Carrier IQ wird derzeit überrollt von der Empörung der
—— Einengung der persönlichen Handlungsfreiheit bis Handybesitzer, auf deren Geräten das Programm der Fir-
hin zu normiertem Verhalten. Das kann vielfältige Ur­ ma läuft. Unbemerkt und ungefragt scannt es Vorgän-
sachen haben, etwa Haftungsgründe, Angst vor Über- ge auf derzeit 141 Millionen Geräten und schickt Infor-
wachung und vor falschen Interpretationen des eige- mationen über abgerissene Gespräche, nicht gesendete
nen Verhaltens sowie vor kriminellem Missbrauch und SMS und stromfressende Anwendungen an die Netzbe-
ferngesteuerten Angriffen auf die Steuerung intelligenter treiber, um bei Ferndiagnose und Markt­forschung zu
Technik, etwa auf Bremssysteme im Fahrzeug [CMK+11] helfen. […] Verbraucher in den USA haben eine Sammel-
oder implantierte Insulinregulatoren im Körper [Han11]. klage eingereicht. [….] Coward sagt: ‚Der Mediensturm
hat uns komplett überrascht – wir waren es bislang
Die im Folgenden angeführten Beispiele machen deutlich, nicht gewohnt, mit Privatkunden umzu­gehen, unsere
dass hinsichtlich dieser möglichen Auswirkungen die ge- Kunden sind die Netzbetreiber’.“ [SL11]
sellschaftlichen und rechtlichen Fragen zum Umgang mit —— Vor allem im Gesundheitssektor stellen sich Fragen des
Massendaten, die bei der CPS-Nutzung anfallen, bisher Umgangs mit kollektiv erfassten Patientendaten. Wem
nicht hinreichend geklärt sind, etwa nach der Verknüpfung gehören diese? Darf eine Krankenkasse Daten aus einer
der erfassten Daten einer Person oder nach „kollektiver Pri- Fernüberwachung – etwa die mittels eines Cyber-Physi-
vacy”, wie sie in den folgenden Beispielen angesprochen cal Systems übertragene Insulin-Werte eines Diabetikers
werden (siehe zur Vertiefung auch Kapitel 4.2): – auch für die Überprüfung der Therapietreue nutzen,
wenn sie für die Notfallüberwachung mittels Telemoni-
—— „Sechs Monate seiner Vorratsdaten hat der Grünenpoli- toring bezahlt? Das ist relevant, wenn man weiß, dass
tiker Malte Spitz von der Telekom eingeklagt und ZEIT Krankenkassen bereits in Erwägung ziehen, Betrags­
ONLINE zur Verfügung gestellt. Auf Basis dieser Daten boni für die Therapietreue von Patienten einzuführen.
können Sie all seine Bewegungen dieser Zeit nachvoll-
ziehen. Die Geodaten haben wir zusätzlich mit frei im Neben Fragen hinsichtlich Verantwortung und Haftung
Netz verfügbaren Informationen aus dem Leben des bei Unfällen in intelligenten Anwendungen stellen sich
Abgeordneten (Twitter, Blogeinträge und Webseiten) gesellschaftliche und rechtliche Fragen bezüglich Haltung,
verknüpft. Zugriff und Verwendung anfallender, mitunter riesiger Men-
—— Mit der Play-Taste startet die Reise durch Malte Spitz’ gen von personen- und nicht personenbezogenen Daten.
Leben. Über den Geschwindigkeitsregler können Sie Wem gehören die Daten und wer darf diese zu welchem
das Tempo anpassen oder an beliebigen Punkten mit Zweck nutzen? Welche Analysen sind mit diesen Daten er-
der Pause-Taste anhalten. Zusätzlich zeigt der darunter laubt? Wer schützt diese Daten vor Missbrauch und damit,
stehende Kalender, wann er noch an diesem Ort war – direkt oder indirekt, die betroffenen Personen?
gleichzeitig kann darüber jeder beliebige Zeitpunkt

110
Politik und Gesellschaft

4.1.3 Gesellschaftliche Herausforderungen Gesellschaftliche Spannungsfelder, Befürchtungen und Fra-


durch global vernetzte interaktive gen der Fairness, über die bereits im Kontext der rasanten
CYBER-PHYSICAL SYSTEMS Entwicklung des Internets, der Netze und ihrer allgegen-
wärtigen digitalen Dienste diskutiert worden ist, gewinnen
Die Komplexität, der Durchdringungsgrad und der Wir- durch umfassendere Datengewinnung und intelligente
kungsradius von Cyber-Physical Systems sind nur schwer ab- Steuerungs­macht von Cyber-Physical Systems an Brisanz.
schätzbar und von keiner wissenschaftlichen Einzeldisziplin Dabei geht es unter anderem um
adäquat zu erfassen. Die menschlichen Wissensbestände
und die intelligent vernetzte Technik müssen auf der ganzen —— ein mögliches Auseinanderdriften der sozialen Schich-
interdisziplinären Bandbreite betrachtet werden. Dabei gilt tung und eine Verschärfung von Spannungen zwischen
es, auch über die Grenzen von Märkten und Domänen hin- „Literates“ und „Illiterates“, „Natives“ und „Non-Nati-
auszuschauen und Schlüsse zu ziehen, denn Phänomene der ves“, „Haves“ und „Have-nots“, „Drop-outs“ sowie Ver-
Finanzsysteme – sie sind auch für Experten kaum mehr durch- weigerern. Hier geht es also um die Auswirkungen der
schaubar – lassen sich durchaus auf global vernetzte Kontroll- Existenz von Cyber-Physical Systems auf Personengrup-
und Steuerungssysteme wie etwa Smart Grids übertragen. pen, die nicht das technische Know-how oder die Zu-
griffsmöglichkeiten haben, an Cyber-Physical Systems
In dieser Hinsicht sinkt die Bedeutung des physikalisch- teilzunehmen, oder die bewusst darauf verzichten.
geografischen Raums als Ordnungsprinzip für Ursache und —— den möglichen Verlust der Problemlösungsfähigkeit
Wirkung durch die Möglichkeiten des Internets und global und der Handlungskompetenz Einzelner, aber auch
vernetzter intelligenter Cyber-Physical Systems. Neue Ord- von gesellschaftlichen Gruppen. Dieser Verlust kann
nungsprinzipien – zum Beispiel Topologien von technischen aus einem verstärkten Gebrauch begleitender und
und soziotechnischen Netzwerken mit Datenbeständen, autonomer Technik und dem damit einhergehenden
Zugriffs-, Nutzungs- und Eigentumsrechten, Akteuren und zunehmend passiven und konformen Verhalten resul-
komplexen technischen und politischen Steuerungssys­ tieren.
temen – werden langfristig bedeutsamer werden als die bis- —— die steigende Abhängigkeit gesellschaftlicher Gruppen
herige Kontrolle über das physikalische Territorium [Hil07]. und grundlegender staatlicher Aufgaben von Cyber-
Physical Systems und ihren koordinierenden Diensten.
Es ist zu erwarten, dass Fragen hinsichtlich Fairness und Das berührt das Thema der Cyber-Physical Systems im
neuer Konfliktformen im Zusammenhang mit entstehenden Zusammenhang mit den erforderlichen Infrastrukturen;
Netzen und CPS-Infrastrukturen sowie ihrer Kontroll- und siehe auch Abschnitt 4.1.4
Steuerungsmechanismen zwingend beantwortet werden —— grundlegende Fragen und Analysen der Technologie­
müssen. Diese Fragen gelten gerade hinsichtlich der globa- folgen und der Macht der Technik bei der Gestaltung
len Dimension von Cyber-Physical Systems: Viele der Syste- der Gesellschaft, also beim sozioökonomischen und ins-
me und vernetzten Dienste kommen aus Ländern, die deut- titutionellen Wandel [DW07]42
sche Sicherheits-, ethische und Qualitätsmaßstäbe nicht —— einen durch „männliche Technik“ [Dög01]43 zunehmend
beachten und nun in geeigneter Form mehr oder minder zu bestimmten sozioökonomischen Wandel. Zusätzliche As-
integrieren sind – umgekehrt gilt es natürlich, die Maßstäbe pekte liefern der meist aus wirtschaftlicher Perspektive
anderer Kulturen zu berücksichtigen. diskutierte geringe Frauenanteil in den MINT44-Fächern

42 Eine Beobachtung ist auch, dass in dessen vielfältigen Beiträgen (300 Seiten) der Begriff Geschlecht nicht vor kommt; siehe auch [Dög01].
43 [Dög01]: Tagungsbeitrag von Peter Döge, der auch die „Androzentrische Selektivität im Prozess der politischen Techniksteuerung“ aufzeigt.
44 MINT: Mathematik, Informatik, Naturwissenschaft und Technik.

111
agendaCPS

und -Berufen sowie die aktuelle Diskussion über den ge- b) interaktive soziotechnische Anwendungssysteme
ringen Frauenanteil in der Piratenpartei [Hof11]. und Prozesse in Arbeits- und Lebensräumen – auch
—— lokale und globale ökologische Nachhaltigkeit und Fair- virtuellen, etwa in sozialen Fach- oder Lebensgemein-
ness. Das gilt hinsichtlich knapper Rohstoffe und von schaften im Internet („Communities”); intelligente inter-
Energie, die für Herstellung und Betrieb der Technik aktive Situations- und Kontexterkennung und auf die
benötigt werden. Ihre faire Gewinnung und Verteilung Bedürfnisse der Nutzer zugeschnittene Mensch-Technik-
sowie globale und lokale politisch-wirtschaftliche Span- Kooperation sind hier entscheidende Innovationen.
nungsfelder stellen große Herausforderungen dar.
Die angemessene Ausgestaltung großtechnischer Infra-
Diesen Fragen und Befürchtungen stehen die Potenziale struktursysteme ist eine wesentliche Voraussetzung für die
der Cyber-Physical Systems gegenüber, zum Beispiel, die differenzierte Entwicklung der Anwendungssysteme, die
bessere Versorgung in strukturschwachen Gegenden oder diese Infrastruktur nutzen [Deg02]:
die Möglichkeit zur eigenständigen und mobilen Lebens­
führung und damit zur Teilhabe am gesellschaftlichen Le- „Systeme erster Ordnung sind zweckoffene und damit funk-
tionsunspezifische Infrastruktursysteme wie Verkehrs-, Trans-
ben auch bei körperlichen oder geistigen Beeinträchtigun- port- und Kommunikationsinfrastrukturen. Mit Systemen
gen mit­hilfe von AAL-Systemen. zweiter Ordnung dagegen sind intersystemische Überbauten
gemeint, in denen Teile der Systeme erster Ordnung für eine
spezielle Aufgabe zusammengeführt werden. Dabei handelt
es sich um gesellschaftliche Domänen, „in denen fortschrei-
4.1.4 Governance – gesellschaftliche tend Teile ‚autonomer’ technischer Netzstrukturen des Trans-
ports, der Kommunikation und des Datenaustausches, der
Steuerung offener soziotechnischer
Ver- und Entsorgung für die je eigenen Systemzwecke rekom-
Systeme biniert und mit einer eigenen institutionellen Identität verse-
hen werden“. Beispiele hierfür sind die grenzüberschreitende
Beseitigung gefährlicher Abfälle im Entsorgungswesen, die
Mit Governance bezeichnet man das Steuerungs- und Re- Strukturen des organisierten Massentourismus in der Freizeit-
gelungssystem einer politisch-gesellschaftlichen Einheit. industrie oder der Aufbau eines überregionalen technischen
Bevor im CPS-Kontext auftretende Governance-Fragen erläu- Systems der Transplantationsmedizin im Gesundheitswesen.“ –
ebenso wie die zuvor genannten großen Logistiksysteme.
tert werden, folgt zunächst ein kurzer einführender Exkurs Die übergeordneten Systeme und Domänen sind dabei hoch­
zur Struktur der Systeme, da die Ausgestaltung der Infra- gradig abhängig von ihrem netztechnischen Unterbau (erster
struktur für Cyber-Physical Systems eine der grundlegenden Ordnung).
Governance-Herausforderungen ist.
Die in [Deg02] diskutierten Beispiele zeigen, „dass groß-
Die CPS-Szenarien, die in den vorangegangenen Abschnit- technische Systeme quer zu ausdifferenzierten Funkti-
ten beschrieben wurden, lassen sich auch mithilfe ihrer cha- onssystemen (Anwendungsdomänen) liegen und damit
rakteristischen Fähigkeiten45 in folgende Arten von vernetz- eine konstitutive Voraussetzung für eine fortschreitende
ten soziotechnischen Systemen differenzieren; Abschnitt 2.1: Differen­zierung der Gesellschaft bilden“ [Eka94].

a) großtechnische Infrastruktursysteme erster und zweiter Dieser Exkurs in die Theorie der Wissenschaft der Soziotechnik
Ordnung; vernetzte intelligente Sensorik zur physikalischen verdeutlicht zum einen die Erfordernisse einer differenzierten
Situationserkennung und bedarfsgerechten Steuerung Betrachtung und Klassifizierung von Cyber-Physical Sys-
stellen hier die wesentlichen Innovations­potenziale dar. tems, ihrer Anwendungen und ihrer vernetzten, autonomen

45 Siehe Tabelle in Abbildung 3.6.


112
Politik und Gesellschaft

Interaktionsstrukturen. Zum anderen wird aber auch die Be- der Umgebung weitergibt und auf diese Weise die op-
deutung einer tiefer gehenden Analyse der Mensch-Technik- timale Geschwindigkeit für eine Grüne-Welle-Fahrt be-
Interaktion und -Kooperation für die Beantwortung von Fra- stimmt. Mögliche Risiken sind emergente, also spontan
gen nach der technischen, gesellschaftlichen und wirtschaft- auftretende, unkalkulierbare Effekte, Fairnesskonflikte
lichen Ausgestaltung der Systeme und ihrer Dienste deutlich. und Verlust der Kontrolle über Sicherheit und Qualität.

Weyer und Cramer thematisieren in ihren Analysen der Der Governance-Modus 2, also die Selbstorganisation, bringt
Governance und Steuerung komplexer vernetzter „hybrider allerdings ein Problem mit sich: Die selbstorganisierte Ab-
Systeme“46 am Beispiel des Verkehrs [Wey06b] und gro- stimmung individueller und nutzenmaximierender Akteure
ßer Netze in der Logistik [CW07]47 Fragen der Steuerung kann zu unvorhersehbaren systemischen Effekten führen,
in offenen soziotechnischen Infrastruktursystemen. Zum die wiederum nicht beabsichtigte Folgen nach sich ziehen
Beispiel diskutieren sie, inwieweit sich die gegensätzlichen können. Zum Beispiel kann sich der Verkehr in Wohngebie-
Konzepte der zentralen Koordination und Steuerung so- te verlagern. Selbst eigenständige Abstimmungen techni-
wie der dezentralen Selbstkoordination von geschlossenen scher Funktionseinheiten untereinander können derartige
Systemen, etwa einem Containerterminal, die durch sehr Effekte hervorbringen, zum Beispiel die zufällige Bildung
disziplinierte Teilnehmer gekennzeichnet sind, auf offene von Container-Clustern auf einem Terminal [CW07].
Systeme mit wenig disziplinierten Akteuren wie den Stra-
ßenverkehr übertragen lassen. Verteilte Kontrolle und Fairness von Cyber-Physical
Systems: Viele Cyber-Physical Systems sind Infrastruktur­
Wenn alle Teilnehmer solcher Netzwerke in Echtzeit elek- systeme, die teilweise autonom handeln, zum Beispiel
tronisch untereinander kommunizieren können, bestehen Smart Grids oder Systeme für die Verkehrslenkung. Im Mo-
beide Koordinationsoptionen – zentral und dezentral selbst­ bilitätsszenario in Abschnitt 2.2.3 wird beispielsweise Frau
organisierend. Unter dieser Prämisse lassen sich für große Müller eine andere Autobahnausfahrt zugewiesen, als es
Infrastruktursysteme folgende Ziele und Effekte aufzeigen: für den direkten Weg zur Schule ihrer Kinder optimal wäre.
Diese Systementscheidung wird in Abhängigkeit von der
—— Governance-Modus 1: zentrale Koordination und Kon­ Verkehrssituation und der Kommunikation, Ko­ordination
trolle mit den Eigenschaften der globalen Optimierung, und Berechnung der beteiligten Systeme getroffen.
hierarchischen Steuerung und Verlust von Autonomie;
zu den Risiken zählen totale Kontrolle und der Verlust Neben den handelnden Personen in Technologie- und En-
von Lern- und Adaptionsfähigkeit der menschlichen gineering trägt deshalb auch die Politik eine große Ver­
Nutzer antwortung für die Gestaltung und verteilte Steuerung der
—— Governance-Modus 2: dezentrale Selbstkoordination Systeme sowie für die Festlegung von Rahmenbedingungen
mit lokaler Optimierung, zum Beispiel individuelle Nut- und internationalen Vereinbarungen. Dabei geht es um
zung eines Navigationssystems mit dynamischer Rou-
tenplanung und dezentraler Verhandlung. Ein Beispiel —— die Abwägung („Trade-off“) zwischen zentraler und de-
ist die Grüne-Welle-App „Signal-Guru“ [KPM11, Sch11], zentraler, selbstorganisierender Systemsteuerung – so­
die lokale Ampelphasen erfasst, an andere Fahrzeuge in wohl für das gesellschaftliche und politische Aushandeln

46 Das Konzept einer „Hybridperspektive“ [Ram03, S. 312] betont hier das „Mit-Handeln technischer Artefakte“ in hybriden Konstellationen zwi-
schen Menschen und Maschinen verteilten Handelns [RSS02, S. 13].
47 Ergebnisse des Teilprojektes M14 „Der Mensch in der Logistik“ innerhalb des DFG-Sonderforschungsbereichs 559 „Modellierung großer Netze

der Logistik“ [SFBa].


113
agendaCPS

und Festlegen als auch für die technische Umsetzung —— der Verteilung von Aufgaben sowie von Kontroll- und
der autonomen Verhandlungen in Echtzeit und zur Lauf- Entscheidungshoheiten auf Nutzer, soziale Gruppen,
zeit der Systeme, und hierbei Unternehmen, Organisationen, Regionen und Staaten
—— Kontrolle, Beherrschung und Umgang mit emergentem —— notwendiger Bedingungen in Gesellschaft und Umwelt
Verhalten, für bedarfsgerechte Gestaltung und Einsatz von Cyber-
—— die sinnvolle Begrenzung autonomen Verhaltens, Physical Systems sowie
—— Fairness sowie —— neuer Geschäftsmodelle in regionalen und verteilten
—— bedarfsgerechte Gestaltung der Umgebung und dafür Unternehmensverbünden samt neuer Formen der In-
erforderliche Rahmenbedingungen, auch im Hinblick vestition und der Verteilung von Erträgen („Revenue
auf ökologische Nachhaltigkeit. Sharing“).

Die wichtigsten Fragen sind die nach der Kontroll- und Auch in zukünftigen offenen soziotechnischen Systemen
Überwachungshoheit über Systeme für die grundlegende werden nicht alle Beteiligten und ihre Intentionen elek­
Versorgung mit Energie, Gesundheit und Mobilität. Es ist tronisch erfasst werden können oder wollen, beispiels­weise
von gesellschaftlicher und wirtschaftlicher Bedeutung, den zum Zweck der Optimierung des Verkehrs. Wesentliche
Zugang zu diesen Diensten und Ressourcen fair zu vertei- Engineering-Herausforderung für die Gestaltung fair lenk-
len, um Akzeptanz zu schaffen. Zu berücksichtigen sind fer- barer soziotechnischer Systeme und Anwendungen ist die
ner Risiken – Einengung der Privatsphäre und der persön­ disziplinübergreifende Bestimmung der Ziele und Anfor-
lichen Handlungsfreiheit – und in der Folge der Verlust von derungen aller Beteiligten einschließlich der erforderlichen
Vertrauen in die gesamten Systeme; siehe auch Abschnitt Mensch-Maschine-Kooperation sowie ihrer Realisierung.
4.1.2. In diesem Zusammenhängen stellt sich dann wieder- Zu solchen Systemen – die auch Fragen der Unterstützung
um die Frage nach der Datenhoheit: Wer darf CPS-relevante sozialer Aktivitäten aufwerfen – gehören
Daten erheben? Wem gehören sie? Wie sind die Zugangs-
rechte Dritter, für historische Primärdaten, aber auch für —— Verkehr in Städten und ländlichen Regionen,
daraus abgeleitete Daten, definiert? —— Energie- und Gebäudemanagement in Wohn- und Ge-
werbegebieten, Krankenhäusern oder Flughäfen,
Mit dem Fortschreiten der vernetzten intelligenten Technik, —— intelligente Energiegewinnung, Vernetzung, Verteilung,
dem damit verbundenen Wandel und den Aufgaben und Speicherung und Verbrauch in Infrastrukturnetzen
Problemen, die mit CPS-Technik gelöst werden sollen, ge- (Smart Grid, Micro Grid),
winnen Fragen des fairen und transparenten Managements —— umfassende Unterstützung im Bereich AAL samt Inte­
komplexer soziotechnischer Systeme mehr Aufmerksamkeit gration der CPS-Domänen Gebäudemanagement, Mo-
– vor allem: Wer soll die vielfältigen soziotechnischen Sys- bilität und Telemedizin.
teme und Teilsysteme steuern und betreuen? Solche Fragen
und Veränderungen stehen auch bevor hinsichtlich Die Frage nach sozialen Auswirkungen und der Gestaltung
der Mensch-Maschine-Interaktion wird in der Wissenschafts-
—— bestehender, aber auch neu zu definierender Verhält- und Fachgemeinschaft, die sich mit autonomen geschlos-
nisse und der Koordination lokaler, regionaler und senen Systemen und Technologien befasst, zu häufig
globaler Ziele, Interessen mit entsprechender Mensch- ausgeblendet. Das zeigt auch die vom BMBF in Auftrag
Maschine-Interaktion und technischer Steuerung, gegebene Studie „Selbstorganisierende adaptive Systeme –

114
Politik und Gesellschaft

Analyse der Chancen und Risiken sowie der Gestaltungs­ auch die Analysen in den Abschnitten zuvor). Speziell
ansätze neuer IKT-Ansätze“ [EG10]. durch die umfassend vernetzte Sensorik und Steuerungs-
logik von Cyber-Physical Systems dringen zunehmend
Mechanismen der Arbeitswelt in die Alltagswelt vor –
4.1.5 Folgerungen für eine reflexive und Schlagwort Funktionalisierung und Beschleunigung. Mit
partizipative Technikgestaltung und ihrer unaufhaltsamen Durchdringung und Beeinflussung
Technikfolgenanalyse aller Lebensbereiche stellen sich auch hier grundlegende
Fragen externer Technik.
In der Summe zeigen die aktuellen Technikfolgenanalysen
und die angesprochenen Herausforderungen eine enge Was die Entwicklung vernetzter intelligenter Technik in so-
Wechselwirkung zwischen der Entwicklung der Mensch- ziotechnischen Systemen angeht, lassen sich die bisherigen
Technik-Kooperation [aca11a]48 und der Technikentwick- Analyseergebnisse folgendermaßen zusammenfassen:
lung als Ergebnis eines „sozialen Konstruktionsprozesses“,
auch im Sinne von [CW07] in [DW07]: —— Komplexe Technik wurde in erster Linie in der Arbeits-
welt eingesetzt, und zwar als Instrument zur Steigerung
„Technik an sich hat keine soziale Gestaltungsmacht; das der ökonomischen Effizienz; siehe [aca11a]. Dem ent-
belegen allein die vielen gescheiterten beziehungsweise sprechen auch die vordringlichen Ziele und der erhoffte
nicht realisierten Innovationen. Technikkonstruktion bleibt Mehrwert in den CPS-Szenarien Produktion, Logistik,
bei aller Eigentätigkeit von Technik immer ein sozialer Kon- Mobilität und Energie sowie zunehmend auch in der
struktionsprozess, in dem technische Optionen genutzt oder Medizin, wo sich mit der Gesundheitskarte Rationalisie-
nicht genutzt werden. Dabei bilden die Potenziale, die die rungserwartungen verbinden. Auf die veränderten Ziele
technische Entwicklung bietet, eine wichtige Ressource. Es und Anforderungen an die Technik im Kontext alltäg-
wäre aber kurzschlüssig, das Auftauchen einer neuen Tech- licher sozialintendierter Koordinations- und Kooperati-
nik unmittelbar mit gesellschaftlichem Wandel zu assoziie- onsaufgaben – etwa die Betreuung älterer Menschen
ren. Der Prozess ist wesentlich vielschichtiger, und nur eine zu Hause im Ambient Assisted Living – ist die bisherige
detaillierte Betrachtung der Wechselwirkungen zwischen Technikgestaltung kaum ausgerichtet. Das gilt ebenso
den Ebenen macht deutlich, welche Rolle Technik und wel- für die grundlegenden Konstruktions- und Wirtschafts­
che die Akteure in diesem Prozess spielen“. prozesse. Siehe hierzu auch die aktuelle Diskussion hin-
sichtlich neuer Geschäftsmodelle und disruptiver Effek-
Um soziotechnische Systeme reflexiv und partizipativ gestal- te in der industrialisierten Wirtschaft durch die digitale
ten zu können, ist eine differenzierte und tiefer gehende Technik und ihre offen vernetzten Systeme und Dienste
Betrachtung der Interaktion und Kooperation zwischen in [Fra03a, Kit09, Cus10] und die Bemühungen um Er-
Menschen und Maschinen erforderlich, und zwar in den klärung und Annäherung in Kapitel 6.
Bereichen Produkt- und Alltagstechnik, Arbeitstechnik und —— In der Gesellschaft wird Technik vornehmlich als
externe Technik, etwa Chemiewerke oder Atomkraftwerke. Konsumgut erlebt [aca11a]. Eine tiefere Auseinander­
setzung findet, außer in der Arbeitswelt, nur bei technik­
Aus allen drei Perspektiven gilt es, die der CPS-Technik zu- affinen Menschen statt, also bei einem kleinen Teil der
grundeliegenden Visionen zu untersuchen, und auch die Bevölkerung. Insgesamt kann man von einer gewissen
Frage nach der Verteilungsgerechtigkeit zu stellen, (siehe Hilflosigkeit vieler Menschen im Umgang mit Technik

48 [aca11a]:
„Technik und Gesellschaft entwickeln sich nicht isoliert voneinander, sondern sind in vielfältiger Weise miteinander verbunden. Das
Verhältnis von Technik und Gesellschaft ist nicht durch eine einseitige Beeinflussung, sondern durch eine „Ko-Evolution“ gekennzeichnet.“

115
agendaCPS

ausgehen; die Befürchtung einer sozialen Spaltung in sammenhang auch die durch ihre Anwendung induzierten
„Digital Natives“ und „Non-Natives“ entbehrt nicht der Organisationsformen und Strukturen, die als Zwang erlebt
Grundlage. Eine mögliche Verschärfung dieser Proble- werden.“ [aca11a]
matik im Umgang mit vernetzter intelligenter Technik
im Bereich der Assistenzdienste wird in Abschnitt 4.1.2 Folgerungen für die Technikentwicklung
diskutiert. In diesem Sinn ist eine Technikentwicklung erforderlich, die
auf allen Ebenen eine reflexive und partizipative Gestal-
Angesichts des Wandels der CPS-Technik sowie der Inter­ tung neuer Formen soziotechnischer Systeme erlaubt und ei-
aktion und Kooperation zwischen Menschen und Maschi- nen intensiven gesellschaftlichen Diskurs über wünschens-
nen ergeben sich daraus vor allem Herausforderungen werte Entwicklungspfade der Technisierung fördert. Das
durch trifft für die Mikroebene der Mensch-Maschine-Interaktion,
der Vernetzung und Verkettung im lokalen, regionalen oder
—— die Allgegenwart der Technik, globalen Bereich ebenso zu wie für die Makroebene der
—— ihre Interaktivität, Governance-Strukturen.
—— die Intransparenz der vernetzten Technik und
—— das Einfordern von unmittelbaren Entscheidungen der Dies bedingt und erfordert umfassende Veränderungen in
Nutzer ohne sicheres Wissen. der interdisziplinären Forschung und Praxis, speziell

Wenn man alle Herausforderungen zusammen betrachtet, —— neue Inhalte, Ziele und interdisziplinäre Formen in For-
hängt die Zufriedenheit der Nutzer mit der Technik und da- schung und Ausbildung,
mit deren Akzeptanz im Grunde ab von —— neue Formen interdisziplinären Engineerings der intelli-
genten Technik, ihrer Systeme, Anwendungen, Funktio-
—— ihrer Anpassung an die Erfordernisse der Nutzer und an nen und begleitenden Dienstleistungen und
den Nutzungskontext —— die Einführung und Etablierung eines erweiterten
—— ihrer Beherrschbarkeit, sodass Menschen ihre Rolle als Risiko- und Qualitäts-Engineerings.
Entscheider und Problemlöser sowie damit ihre Hand-
lungs- und Gestaltungsautonomie behalten. Von einem empirischen Herantasten ausgehend, umfasst
dieser Ansatz das Entwickeln neuer Konzepte der System-
Bei der Arbeit an neuen Konzepten für die Steuerung offe- steuerung, dazu Koordinationsleistungen in der Mensch-
ner, komplexer soziotechnischer Systeme (Governance) gilt Maschine-Interaktion in den verschiedenen Anwendungs-
es daher Folgendes zu berücksichtigen: „Diese ambivalente domänen und ihren Cyber-Physical Systems (siehe auch
bis skeptische Haltung gegenüber einer Reihe von externen Abschnitt 5.3 zu den Herausforderungen des Engineerings).
Techniken ist weitgehend auf den wahrgenommenen Ver-
lust an Kontrolle der eigenen Lebenswelt und der eigenen Ebenso notwendig sind umfassende Anstrengungen im Be-
Lebenszeit zurückzuführen. Nichts, das weiß man aus der reich der Technikbildung. Anderenfalls werden wir nicht in
Glücksforschung, tangiert das individuelle Wohlbefinden der Lage sein, die Potenziale dieser intelligenten Technik zu
der Menschen so sehr wie das Gefühl der Fremdbestim- nutzen und ein ebenso leistungsfähiges wie nachhaltiges
mung, sei es am Arbeitsplatz, durch soziale Ungleichheit Wirtschaftssystem im Bereich von Cyber-Physical Systems
oder durch Technik. Zur Technik gehören in diesem Zu- aus- und aufzubauen.

116
Politik und Gesellschaft

Folgerungen für die Akzeptanzforschung 4.2 Privatsphäre und Datenschutz


[Ren05] beschreibt den Wandel der Akzeptanzforschung
vom Mittel zur Beeinflussung der Bevölkerung durch Beim Einsatz von Cyber-Physical Systems werden mithilfe
gezielte Risiko- und Technikkommunikation hin zu ei- von Sensoren große Datenmengen erfasst, über digitale
ner empirischen Dienstleistung für die Gesellschaft. Ak- Netze ausgetauscht und verarbeitet. Die Daten dienen als
zeptanzforschung dient heute als Indikator dafür, wie Grundlage für Entscheidungen, die wiederum dazu führen,
die Bevölkerung den technischen Wandel und seine dass Aktoren direkt auf physikalische Vorgänge einwirken
Geschwindig­keit bewertet. oder dass weitere durch Software unterstützte Prozesse in
Gang gesetzt werden. In diesem Zusammenhang ist bereits
Für die Herausforderungen im Zusammenhang mit der heute absehbar, dass CPS-Technologie erheblichen Einfluss
Abschätzung von Risiken und Folgen von Cyber-Physical auf unsere Privatsphäre und den Datenschutz haben wird.
Systems und der systematischen Gestaltung akzeptabler Zum Beispiel könnten umfassende Daten über eine Person
CPS-Technologien und Anwendungen wäre nun jedoch eine gesammelt werden, um diese in vielen Bereichen des Le-
tiefer gehende Auseinandersetzung mit der CPS-Technolo- bens besser unterstützen zu können. Gleichzeitig birgt diese
gie und ihrer Mensch-Maschine-Interaktion wünschenswert. Sammlung jedoch das Risiko, dass andere Menschen oder
Wir brauchen eine Akzeptanzforschung, die als Hilfsmittel Organisationen die Daten über den vorgesehenen Zweck
der Technikgestaltung und Erforschung der Mensch-System- hinaus verwenden.
Kooperation fungieren kann; siehe auch [Wey06a, FW11].
Ihre spezielle Aufgabe besteht zudem darin, auf den techni- Nicht immer handelt es sich dabei um einen klaren Miss-
schen Wandel aufmerksam zu machen und auf die Gestal- brauch. Aber da diese zusätzlichen Verarbeitungsmöglich-
tungsmöglichkeiten, die sich daraus ergeben. Dann kann keiten den Betroffenen – und oft auch dem Gesetzgeber
Akzeptanzforschung gezielt die erforderlichen gesellschaft- – im Vorfeld nicht bewusst sind, ist eine Verwendung der
lichen und politischen Dialoge und Auseinander­setzungen Daten zu anderen als den ursprünglich genannten Zwecken
mit den Akteuren rund um Cyber-Physical Systems ein­ stets kritisch zu betrachten. Das kam im Volkszählungsurteil
fordern und moderieren. [BVe83] des Bundesverfassungsgerichts bereits 1983 unter
dem Stichwort „informationelle Selbstbestimmung“ zum
Mögliche mit technischen Neuerungen und Disruptionen Ausdruck.
verbundene Befürchtungen erfordern eine sorgfältige und
transparente Auseinandersetzung mit den gesellschaft­ Das folgende Beispiel veranschaulicht das. Cyber-Physical
lichen Auswirkungen der CPS-Technologien. Durch bewuss- Systems werden darin eigentlich eingesetzt, um Personen
te und partizipative Gestaltung sowie offenen Umgang mit bei der Navigation im Verkehr zu unterstützen; die Daten
den Kernfragen, sprich Risiken und ihrer Begrenzung, kön- geben aber vielfältige weitere Informationen preis:
nen breite Akzeptanz erreicht und die Potenziale der neuen
Technologie ausgeschöpft werden. Die zum Zweck der Navigationshilfe übermittelten Infor-
mationen über den jeweiligen Aufenthaltsort sind zum
Beispiel auch interessant für Einbrecher, die sich einen
Überblick über Abwesenheiten vom Wohnhaus verschaf-
fen wollen, oder für Stalker, für die eine möglichst genaue
Positionsbestimmung einer Person interessant ist. Verfolgt

117
agendaCPS

man die ortsbezogenen Daten über einen längeren Zeit- Verkehrsteilnehmer unterwegs waren; in Verbindung mit
raum, kann man zudem regelmäßiges Verhalten erkennen, weiteren Sensordaten kann daraus etwa auf eine riskante
etwa den Weg zum Arbeitsplatz, zu Verwandten und Be- Fahrweise geschlossen werden. In diesem Kontext lassen
kannten, zu bevorzugten Einkaufsgelegenheiten oder Frei- sich verschiedene Auswertungszwecke denken. So ließe sich
zeitaktivitäten. Diese Informationen sind zum Beispiel für festlegen, ob und wann in Gefahrensituationen die Auto-
Werbe­treibende wertvoll, die möglichst gezielt bestimmte steuerung per Cyber-Physical System geleistet wird, ob ein
Personen adressieren wollen. Sie könnten etwa dynamisch Arbeitgeber eine Warnung ausspricht, falls das Autofahren
angepasste Werbetafeln an den Wegen aufstellen, sogar auch im dienstlichen Kontext relevant ist, ob Aufschläge
Routingvorschläge von Navigationssystemen ließen sich so auf die Versicherungsprämie aufgrund riskanter Fahrweise
gestalten, dass die Wege an der Werbung vorbeiführen. erhoben werden, ob automatisch Strafzettel vergeben oder –
in extremen Fällen – Fahrverbote verhängt werden.
Außerdem lässt sich aus Informationen über Aufenthalts-
orte zu verschiedenen Zeitpunkten entnehmen, wie schnell

Abbildung 4.2: Durch die Verkettung von Daten aus bisher getrennten Lebensbereichen entsteht ein umfassendes Profil einer Person.

!!!!!!!!
150
120
100

Demonstration E-Health Smart Mobility

118
Politik und Gesellschaft

Wie durch die Verkettung von Daten, die in Cyber-Physical In Abschnitt 4.2.1 werden die rechtlichen Grundlagen des
Systems erhoben werden, ein umfassendes Profil eines Men- Datenschutzes kurz erläutert. Anschließend gibt Abschnitt
schen entstehen könnte, wird in Abbildung 4.2 skizziert. 4.2.2 eine Definition des Begriffs „Privatsphärenschutz“, die
den Datenschutzbegriff erweitert und damit die komplexe
Rücksichtnahme auf die Privatsphäre ist speziell dann wich- Datenverarbeitung von Cyber-Physical Systems umfassen-
tig, wenn besonders schützenswerte Daten verarbeitet wer- der adressiert. Abschnitt 4.2.3 beschreibt einen Gestal-
den. Im Gesundheitsbereich können Cyber-Physical Systems tungsansatz mithilfe von Schutzzielen. Abschnitt 4.2.4 fasst
zum Beispiel medizinische Daten erfassen und analysieren, schließlich die Folgerungen aus den zuvor ausgeführten
um Menschen via Ambient Assisted Living [ULD10] im Aspekten zusammen.
Altersalltag zu unterstützen. Dabei ist offensichtlich nicht
nur die informationelle, sondern auch die körperliche und
räumliche Privatsphäre [KSWK10] betroffen. 4.2.1 Rechtliche Grundlagen des
Datenschutzes
Andere Anwendungsfelder von Cyber-Physical Systems ha-
ben gar keine oder nur wenig Berührungspunkte zu Men- Für Cyber-Physical Systems werden vor allem in Anwen-
schen, etwa im Logistik- oder Produktionsbereich. Hier ist dungsbereichen, in denen personenbezogene Daten von Be-
die Datenschutzrelevanz weniger ausgeprägt, wenn auch deutung sind, rechtliche Regelungen erforderlich sein. Das
nicht immer vollständig zu verneinen. Insbesondere muss betrifft nicht nur die gesetzlichen Ebenen der Telekommuni-
hier ein Augenmerk auf den Datenschutz der Beschäftigten kation und der Telemedien, sondern auch die föderalen le-
in den jeweiligen Anwendungsbereichen gelegt werden. gislativen Ebenen – Bundes- und Landesdatenschutz­gesetze
– und, aufgrund der hochgradigen Vernetzung, auch die Ge-
Vor dem Hintergrund der Komplexität und der Intranspa- setzgebung auf europäischer Ebene, gegebenenfalls sogar
renz von Cyber-Physical Systems könnte es allerdings auch im internationalen Rahmen.
zu einer Rückentwicklung des Datenschutzbewusstseins
kommen: Bei Nutzern sozialer Netzwerke etwa ist ein sehr Der Datenschutz ist in Deutschland rechtlich normiert. Es
hohes Maß an Toleranz gegenüber der Verwendung per- geht dabei allerdings nicht in erster Linie um den Schutz von
sonenbezogener Daten zu beobachten. Eine andere denk­ Daten, sondern um den Schutz von Persönlichkeits­rechten.
bare Folge wäre die Ablehnung von Cyber-Physical Systems Im Bundesdatenschutzgesetz (BDSG) heißt es: „Zweck die-
insgesamt, weil ein Gefühl des Überwachtwerdens besteht ses Gesetzes ist es, den Einzelnen davor zu schützen, dass er
(siehe Abschnitt 3.4, Zentrale Akzeptanzfaktoren). Um un- durch den Umgang mit seinen personenbezogenen Daten
erwünschte Technologiefolgen zu vermeiden oder weitest- [Eur50, Eur95, Eur02, Eur09]50 in seinem Persönlichkeits-
gehend zu reduzieren, wird es daher maßgeblich auf die recht beeinträchtigt wird.“
konkrete Ausgestaltung von Cyber-Physical Systems ankom-
men. Der folgende Abschnitt beschreibt wichtige Eckpfeiler In Deutschland leiten sich wesentliche Elemente des Daten­
für eine Technikgestaltung, die Anforderungen in Bezug auf schutzes aus dem Grundgesetz ab, konkretisiert in zwei
den Schutz der Privatsphäre und damit den Datenschutz Urteilen des Bundesverfassungsgerichts: das „Recht auf
angemessen berücksichtigt.49 informationelle Selbstbestimmung“ (1983) und das „Recht

49 Wesentliche Teile dieser Betrachtungen zum Thema Schutz der Privatsphäre und Cyber-Physical Systems werden gleichzeitig in [HT12] veröffentlicht.
50 BDSG: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natür-

lichen Person (Betroffener).“


119
agendaCPS

auf Gewährleistung von Vertraulichkeit und Integrität in- niveau nachgewiesen werden kann. Dies ist im Einzelfall in
formationstechnischer Systeme“ (2008), auch bekannt der jeweiligen Konstellation zu prüfen.
als „IT-Grundrecht“. In Deutschland ist die Verarbeitung
personen­bezogener Daten nur zulässig, wenn eine entspre- Für die juristische Ausgestaltung von Cyber-Physical Sys-
chende Rechtsgrundlage vorliegt oder wenn die Betroffe- tems bedeutet dies, dass auf eine Vereinbarkeit mit gel-
nen eingewilligt haben. Insbesondere für den öffentlichen tendem Datenschutzrecht in allen Ländern, in denen die
Sektor regeln daher zahlreiche detaillierte Bestimmungen Systeme zum Einsatz kommen sollen, zu achten ist. Ein ge-
Datenschutzfragen, die in einem CPS-Szenario, passend nerelles Problem bei dem Versuch, garantiert rechtskonfor-
für den jeweiligen Anwendungsbereich, anzulegen wären. me Systeme hinsichtlich des Datenschutzes zu entwickeln,
Nach­ rangig gelten das Bundesdatenschutzgesetz bezie- besteht darin, dass der Datenschutz international nicht
hungsweise die Landesdatenschutzgesetze. Da Cyber-Phy- einheitlich ist, sondern zumeist unterschiedliche nationa-
sical Systems sowohl eine telekommunikative als auch eine le Rechts­normen gelten. Das kompliziert sich noch, wenn
telemediendienstliche Ebene aufweisen, sind neben den Komponenten länderübergreifend mittels Vernetzung zu-
Normen, die sich auf den jeweiligen Anwendungsbereich sammenwirken. In diesem Bereich stehen noch ausführ­
beziehen, auch das Telekommunikationsgesetz (TKG) und lichere rechtliche Untersuchungen aus.
das Telemediengesetz (TMG) zu berücksichtigen.

Auf der Ebene der Europäischen Union gibt es für die 4.2.2 Erweiterte Sicht: Schutz der
rechtliche Normierung von Datenschutz neben der ge- Privatsphäre
meinsamen Basis der Persönlichkeitsrechte in Art. 8 der
Europäischen Menschenrechtskonvention [Eur50] harmoni- Die heutigen Datenschutzgesetze gehen davon aus, dass
sierte Regelungen, die von den Mitgliedstaaten in eigenen man für jeden Verarbeitungsschritt stets eindeutig bestim-
– möglicherweise im Detail abweichenden – Datenschutz- men kann, ob es sich um personenbezogene Daten handelt
normen umgesetzt werden müssen: Die Regelungen der oder nicht, und dass es einen klaren Verantwortlichen für
EU-Datenschutzrichtlinie [Eur95] wurden für Deutschland die Datenverarbeitung gibt, der auch seiner Verantwortung
in das BDSG, die der E-Privacy-Richtlinie [Eur02, Eur09] in gerecht werden kann. Beides kann allerdings bei Cyber-
das TKG und das TMG aufgenommen. Durch die Harmoni­ Physical Systems Probleme aufwerfen, insbesondere dann,
sierung auf EU-Ebene wird in allen Mitgliedstaaten ein wenn mehrere Betreiber in einzelne Komponenten oder
angemessenes Datenschutzniveau erreicht, das Übermitt- Verarbeitungsschritte involviert sind. Die erfassten Daten
lungen personenbezogener Daten zwischen diesen Staaten werden, einzeln betrachtet, häufig keinen Personenbezug
rechtlich ermöglicht. So gilt, dass für die Übermittlung per- aufweisen. In der Kombination allerdings können sie sehr
sonenbezogener Daten an Stellen in anderen Mitgliedstaa- viele Informationen über Betroffene beinhalten, auch wenn
ten der Europäischen Union, in anderen Vertragsstaaten für den jeweiligen Zweck nur ein Ausschnitt des angehäuf-
des Abkommens über den Europäischen Wirtschaftsraum ten Wissens notwendig ist [BDF+06]. Außerdem kann es
oder der Organe und Einrichtungen der Europäischen Ge- sein, dass die Daten nicht nur Einzelnen zuzurechnen sind,
meinschaften dieselben Erlaubnisnormen bestehen wie sondern dass gleich Gruppen von Personen in ihren Persön-
für Übermittlungen im Inland. Bei Drittstaaten gilt das lichkeitsrechten betroffen sind, möglicherweise sogar, ohne
nur dann, wenn ebenfalls ein angemessenes Datenschutz­ dass ein individueller Personenbezug hergestellt werden

120
Politik und Gesellschaft

kann [RBB+08]; siehe auch die Beispiele am Ende dieses ma, welche Konfigurationen der Nutzer vorgenommen
Abschnitts. hat und welche Nutzungs-, Interessens- und Persönlich-
keitsprofile in ihrem Datenbestand vorhanden sind.
Zwar hat schon eine frühe, oft zitierte Definition von Privat­ Die Namen aller Nutzer, die eine Übereinstimmung
sphäre den Gruppengedanken aufgenommen: „[…] the von mindestens 75 Prozent in ihren Konfigurationen
claim of individuals, groups, or institutions to determine oder Profilen aufweisen (das sind einige Zehntausend),
for themselves when, how, and to what extent informati- werden ebenfalls an die Ermittlungsbehörden gegeben
on about them is communicated to others“ [Wes67]. Die und zusätzlich an die Grenzkontrollen kommuniziert,
Rede ist also vom Anspruch von Individuen, Gruppen oder wo ihnen vorsorglich die Einreise verweigert wird.
Institutionen, für sich selbst zu bestimmen, wann, wie und —— Wie sich die Zugehörigkeiten zu einer abstrakten
in welchem Umfang Informationen über sie an andere kom- Gruppe für Einzelpersonen auswirken können, zeigt
muniziert werden. Bisher jedoch ist dieser Aspekt im Daten- beispielsweise die Praxis des Redlinings in den USA:
schutzrecht, das nur Einzelne adressiert, nicht umfassend Banken vergeben an Einwohner bestimmter Stadtteile
berücksichtigt worden. keine Kredite.51 Ein anderes Beispiel ist die Erfahrung
eines Mannes aus Atlanta, dessen Kreditrahmen mit
Für jede Verarbeitung von Daten, bei denen nicht immer folgender Begründung gekürzt wurde: „Andere Kun-
von vornherein absehbar ist, ob sie für sich genommen oder den, die ihre Karte in den Geschäften benutzt haben,
in Kombination aktuell oder künftig einen Personenbezug in denen Sie kürzlich eingekauft haben, wiesen in der
aufweisen, bietet sich eine Erweiterung der Betrachtung Vergangenheit American Express gegenüber eine gerin-
über den herkömmlichen Datenschutzbegriff hinaus an, bei ge Rückzahlungsmoral auf.“ [And12]
der die Beteiligten an der Informationsanreicherung mit
allen Verarbeitungsschritten einbezogen werden müssen Aus dieser erweiterten Perspektive bedeutet Schutz der
[ULD07]. Denn von Entscheidungen auf der Basis der er- Privat­sphäre, über die informationelle Selbstbestimmung
hobenen und verarbeiteten Daten sind nicht nur Einzelne hinaus, den Schutz einzelner Menschen oder Gruppen
betroffen, sondern auch Gruppen. vor der Beeinträchtigung ihrer Privatsphäre und damit zu-
sammenhängender Persönlichkeitsrechte. Privatsphäre be-
Fehler oder Ungenauigkeiten im Prozess der Informations- schreibt also den individuellen privaten Raum, in dem ein
anreicherung und Entscheidungsgenerierung können nicht Mensch sein Recht auf freie Entfaltung der Persönlichkeit
ausgeschlossen werden, sodass auch False-Positive-Betroffe- wahrnehmen kann.
ne denkbar sind. Dies zeigt sich etwa in den folgenden zum
Teil fiktiven, aber nicht unrealistischen Szenarien:
4.2.3 Schutzziele für einen risikobasierten
—— Die US-amerikanische Firma YourCPS betreut diverse Gestaltungsansatz
Cyber-Physical Systems und die darauf basierenden An-
wendungen in der ganzen Welt. Als bekannt wird, dass Wie bereits in Abschnitt 4.2.1 ausgeführt, reicht es für
ein Nutzer eines ihrer Systeme ein politisch motiviertes das Sicherstellen von Rechtskonformität einer Anwendung
Attentat ausgeführt hat, sperrt die Firma sofort sein nicht aus, allgemeine Prinzipien umzusetzen. Vielmehr gilt
Nutzerkonto und meldet an die Ermittlungsbehörden, es, für den jeweiligen Anwendungskontext die einschlä-
mit wem er Kontakt hatte. Außerdem analysiert die Fir- gigen Rechtsnormen konkret zu identifizieren und ihre

51 „Der
Zugriff auf Verbraucherkredite, sowohl hinsichtlich ihrer Höhe wie auch ihrer Anzahl, weist eine negative Korrelation zur rassenmäßigen
Zusammensetzung des Wohnumfelds einer Person auf.“ [CC08].
121
agendaCPS

Anforderungen durch geeignete Gestaltung der Anwen- sind, existieren bislang keine fertigen Kataloge mit einer
dung zu erfüllen. Ohne den Anwendungskontext im Voraus Auflistung von Maßnahmen, doch ergeben sich viele aus
zu kennen, ist es nur selten möglich, Rechtskonformität zu der Fachliteratur. Bei der Auswahl der geeigneten Maß-
schaffen. nahmen müssen zudem die Ergebnisse einer Risikoanalyse
einfließen.
Allerdings enthalten Normen wie das Bundesdatenschutz-
gesetz, die Landesdatenschutzgesetze und das Medien- Die Schutzziele müssen für Cyber-Physical Systems unter an-
recht einige allgemeine Anforderungen an die Gestaltung derem bezogen werden auf
von technischen Systemen, insbesondere zu Datenvermei-
dung und Datensparsamkeit sowie zu Transparenz, die —— die einzelnen Komponenten und das aus diesen Kom-
beim Systementwurf berücksichtigt werden sollten. Diese ponenten zusammengesetzte Gesamtsystem,
generalisierten Anforderungen an Technikgestaltung, aber —— die Daten, die vom System in seinem gesamten Leben
auch weitere Grundwerte, die sich in den rechtlichen Nor- erzeugt oder verarbeitet werden,
men finden, hatten Einfluss auf die Diskussion um spezi- —— die Prozesse der Datenverarbeitung sowie
elle Daten­schutz- oder – in der erweiterten Begrifflichkeit —— den Kontext, beispielsweise die räumlichen Gegeben-
– Privat­sphärenschutzziele, die bei Entwicklung und Betrieb heiten, die Situation in Bezug auf eine Freiwilligkeit der
von informationstechnischen Systemen anzulegen sind. Nutzung, die Einbindung in ein Geschäftsmodell, etwa
in Bezug auf Abrechnung.
Bereits seit mehreren Jahrzehnten wird im Bereich der In-
formationssicherheit mit den drei Schutzzielen Vertraulich- Dieser Kanon aus den sechs Schutzzielen für IT-Sicherheit
keit, Integrität und Verfügbarkeit gearbeitet. Diese sind vor und Privatsphäre ist sowohl einsetzbar für die Abschätzung
einigen Jahren um drei spezielle Privatsphärenschutzziele von Technologiefolgen als auch für die Auswahl konkreter
ergänzt worden: Transparenz, Intervenierbarkeit und Nicht- Gestaltungsoptionen bei der Entwicklung von Cyber-Physi-
verkettbarkeit [RB11, RP09b]; siehe auch Abschnitt 5.2.4. cal Systems und von Maßnahmen während ihres Betriebs;
siehe hierzu auch Abschnitt 5.2.4.
Ein Privatsphärenschutzziel stellt, wie ein Schutzziel aus der
IT-Sicherheit, eine grundlegende Anforderung an ein Sys- Transparenz
tem, beispielsweise an ein informationstechnisches System Unter Transparenz eines Systems versteht man, dass seine
dar, die nur zu einem gewissen Grad umzusetzen ist. Oft Funktionsweise und Wirkung für Betroffene und Betreiber
ist eine vollständige Umsetzung der Schutzziele nicht mög- jederzeit in ausreichendem Maß verständlich und nachvoll-
lich oder erfordert unverhältnismäßig hohen Aufwand. Bei ziehbar sein muss. Das umfasst Informationen über den
der Anwendung von Schutzzielen geht man standardisiert vollständigen Lebenszyklus der Daten, von ihrer Entste-
vor: Als Erstes wird der Schutzbedarf des Systems und der hung bis zur Löschung: welche Dienstleistungen erbracht
verarbeiteten Daten festgestellt. Zu diesem Zweck wird die werden, welche Sensoren und Aktoren wo installiert sind
Art und Höhe eines potenziellen Schadens bei Beeinträch- und auf welche Weise sie tätig werden, welche Daten von
tigung eines Schutzziels abgeschätzt. Für die IT-Sicherheit wem erfasst werden, wohin sie übertragen werden, wie und
sind Schutzmaßnahmen, die dem Stand der Technik genü- von wem sie verarbeitet und zu welchem Zweck sie ausge-
gen, beispielsweise in den IT-Grundschutzkatalogen auf- wertet werden und wann sie durch wen auf welche Weise
geführt. Da die Privatsphärenschutzziele noch relativ jung gelöscht werden. Auch die Entscheidungen oder Aktionen,

122
Politik und Gesellschaft

die von einem Cyber-Physical System vorbereitet oder um- Zudem sind Einsperr-Situationen zu vermeiden: Betroffenen
gesetzt werden, müssen transparent sein: Sie dürfen nicht muss es möglich sein, ihre Daten aus einem Cyber-Physical
außerhalb des Erwartungshorizonts der Betroffenen liegen System herauszulösen und gegebenenfalls alternative Sys-
und sie müssen nachvollzogen werden können. Dazu ge- teme zu verwenden. Ein aktueller Entwurf der EU-Daten­
hört, dass die wirtschaftlichen Interessen der Beteiligten schutzverordnung sieht dieses Recht auf „Portabilität“
sichtbar sind, etwa dann, wenn Routenplanungssysteme personen­bezogener Daten vor [Lük11].
gegen Werbegelder die Fahrt an bestimmten Geschäften
vorbei planen. Auch für Systembetreiber ist die Intervenierbarkeit eine
wichtige Voraussetzung dafür, Cyber-Physical Systems zu
Transparenz im Kontext von Cyber-Physical Systems bedeu- beherrschen: Jeder Prozess und jede Komponente muss
tet dagegen nicht, dass die massenhaft fließenden Daten in einem kontrollierten Betrieb gefahren werden, den die
zwischen Sensoren, Aktoren und weiteren Komponenten Betreiber im Bedarfsfall beeinflussen und auch abbrechen
sowie die durch Auswertung der Daten entstehenden In- können.
formationen ständig an alle Beteiligten aktiv kommuniziert
werden. Vielmehr ist eine automatische Auswahl des Detail- Nichtverkettbarkeit
lierungsgrades notwendig; siehe Abschnitt 3.3. Mit Nichtverkettbarkeit bezeichnet man eine Anforderung
des Datenmanagements, Daten und Prozesse aus unter-
Intervenierbarkeit schiedlichen Kontexten zu trennen. – Überhaupt sollen Da-
Intervenierbarkeit bedeutet, dass die Beteiligten dem Sys- ten möglichst gar nicht entstehen, wenn sie nicht erforder-
tem nicht hilflos ausgeliefert sind, sondern aus eigener lich sind; Datenvermeidung ist eine zwingende Folgerung
Souveränität eingreifen können, wenn es ihnen erforderlich aus dem Schutzziel der Nichtverkettbarkeit. – Das Ziel ist es,
scheint. Risiken durch Ansammlungen von umfassend auswert­baren
Daten und Auswertungen zu beliebigen Zwecken zu ver-
Betroffene können souverän jederzeit und überall darüber hindern. Nichtverkettbarkeit bedeutet zudem, dass Daten
bestimmen, inwieweit sie von den Cyber-Physical Systems aus getrennten Kontexten tatsächlich getrennt und nicht
beobachtet und sie betreffende Daten von diesen Syste- als Datenkette verarbeitet werden. Das erreicht man etwa
men verarbeitet werden können. Dazu kann auch gehören, durch Separierung der Datenbestände und Vermeidung
dass Betroffene die Systeme beeinflussen und abschalten derselben Kennzahlen beziehungsweise Identifikatoren,
können, zumindest vorübergehend und in Bezug auf die also von eindeutigen Kennzeichen eines Datensatzes, zum
Auswirkungen auf sie selbst. Beispielsweise kann es für Beispiel der Telefonnummer. Hinzu kommt die Garantie der
Betroffene sinnvoll sein, zwischen einer auf sie zugeschnit- Zweckbindung: Für jede Datenerhebung wird im Vorfeld ein
tenen personalisierten Nutzung von Cyber-Physical Systems Zweck bestimmt und die Daten werden nur für den Zweck
und einer nicht-personalisierten Nutzung vergleichen und verarbeitet und ausgewertet, für den sie erhoben wurden.
umschalten zu können: Um Komplexität zu reduzieren, wer- Schließlich sind die Daten zu löschen, sobald sie nicht mehr
den in diesen Systemen bei personalisierter Nutzung den benötigt werden.
Betroffenen häufig weniger Entscheidungsmöglichkeiten
präsentiert, sodass eine nichtpersonalisierte Nutzung den Zwar ist eine Menge an Maßnahmen möglich, um Nicht­
Entscheidungsraum vergrößern kann. verkettbarkeit zu erreichen (siehe auch Abschnitt 5.2.4), je-
doch sind viele in ihrer Effektivität beschränkt: Selbst wenn

123
agendaCPS

man ständig wechselnde Identifikatoren für verschiedene Konzeption und Gestaltung der technischen Systeme, der
Kontexte vorsieht, kann eine Verkettung durch Dritte mög- organisatorischen Abläufe und der Geschäftsmodelle. Nicht
lich sein, indem diese das Verhalten von den sie interes- immer ist freilich im Entwurfsstadium genau bestimmbar,
sierenden Personen auf andere Weise beobachten. Hinzu welche rechtlichen Normen beim späteren Einsatz gelten
kommt, dass den Betroffenen schon im Sinne der Transpa- werden; zudem ist damit zu rechnen, dass die rechtlichen
renz von Cyber-Physical Systems ein möglichst konsistentes Regelungen angepasst werden. Deshalb bietet es sich an,
Bild – durch Verkettung von sie betreffenden Informationen – die allgemeinen Privatsphärenschutzziele – Transparenz,
dargestellt werden sollte, sodass intelligente Geräte für Intervenierbarkeit und Nichtverkettbarkeit – als Ausgangs-
Betroffene möglicherweise eine Vielzahl von Daten zusam- punkt für den Systementwurf zu nehmen.
menführen.
Während für die bekannten IT-Sicherheitsschutzziele –
Werden die Privatsphärenschutzziele verletzt oder nur un- Vertraulichkeit, Integrität und Verfügbarkeit – bereits um-
zureichend umgesetzt, entstehen gesellschaftliche Span- fangreiche Maßnahmenkataloge existieren, gehören die
nungsfelder, die weit über den herkömmlichen Datenschutz Maßnahmen für die Privatsphärenschutzziele noch nicht
hinausreichen. Zum Beispiel bei mangelnder Intervenierbar- zum Standardwerkzeugrepertoire für Entwicklung, Gestal-
keit können automatische Aktionen oder Entscheidungen tung und Betrieb von informationstechnischen Systemen.
von Cyber-Physical Systems nicht rückgängig gemacht Hier besteht ein Nachholbedarf in der Entwicklung von
werden. Ohne Transparenz werden die Systeme von weiten Maß­nahmen und beim Identifizieren von Wechselwirkun-
Bevölkerungsteilen abgelehnt, außerdem ist die Frage der gen und möglichen Spannungen zwischen den jeweiligen
Haftung nicht zu beantworten. Ohne ein Verknüpfungs- Schutzzielen oder den sie umsetzenden Maßnahmen. Ge-
verbot ist ein – auch administrativ motivierter – Trend zu rade Techniken zur Nichtverkettbarkeit können bei Cyber-
umfassender Verkettung, Zusammenführung von partiellen Physical Systems das Risiko von missbräuchlicher Daten-
Identitäten und damit auch eine Machtkonzentration zu nutzung stark reduzieren, lassen sich aber nur schwer
erwarten. nachträglich auf bestehende Systeme aufpfropfen.

Die sechs Schutzziele eignen sich auch dafür, entgegen­ Für den nationalen und europäischen Kontext sollte –
gesetzte Pole der Spannungsfelder zu identifizieren, um beispielsweise im Rahmen einer juristischen Studie oder
dann eine Balance zu finden. So können etwa die Ziele einer interdisziplinären Begleitforschung ähnlich einer
Vertraulichkeit und Nichtverkettbarkeit im Konflikt mit dem Technikfolgenabschätzung – geprüft werden, inwieweit die
der Transparenz stehen, weil sie ein Nachvollziehen von Pro- aktuellen Gesetze ausreichen, um ein ausreichendes Privat-
zessen erschweren. sphärenschutzniveau zu erreichen. Wo das nicht der Fall ist,
sollte festgestellt werden, welcher gesetzgeberische Bedarf
besteht und in welchen Aspekten eine geeignete Selbst­
4.2.4 Folgerungen regulierung unterstützt werden sollte.

Bei der Gestaltung von Cyber-Physical Systems sollte nach Beispielsweise wäre in einer juristischen oder interdiszipli-
dem Prinzip Privacy by Design verfahren werden: Von An- nären Studie zu untersuchen, inwieweit in Cyber-Physical
fang an sollten datenschutzrechtliche Anforderungen mög- Systems verkettbare Daten angehäuft werden dürfen, un-
lichst weitgehend umgesetzt werden, also bereits in der ter welchen Bedingungen sich informierte und freiwillige

124
Politik und Gesellschaft

Einwilligungen der Betroffenen einholen lassen, wie sich die Möglichkeiten der CPS-Überprüfung auf Einhaltung von
Datenschutzverantwortung auf die Betreiber verschiedener Privatsphären- und IT-Sicherheitskriterien durch interne
interagierender CPS-Teile verteilt, wie sich dies verständlich oder externe Auditoren sowie – zumindest teilweise – durch
an Betroffene kommunizieren lässt und diese möglichst Betroffene sollten entwickelt werden. Wesentlich ist zudem
komfortabel, effektiv und ohne übergroßen Zeitaufwand das Herausarbeiten von Best Practices, eine Definition des
ihre Selbstbestimmung ausüben können – möglicherweise Standes der Technik, an dem sich Privacy by Design orien-
auch mithilfe von Werkzeugen oder sie unterstützenden Or- tieren sollte und verpflichtende Standardeinstellungen von
ganisationen. Dazu gehört eine Untersuchung, in welchem Systemen, die den Schutz der Privatsphäre fördern – das
Ausmaß Menschen ihre Entscheidungen an Geräte oder Prinzip Privacy by Default.
Agenten delegieren und auf detaillierte Informationen über
die Funktionsweise der Systeme verzichten können.

125
Technologie und Engineering

5 TECHNOLOGIE- UND ENGINEERING-


HERAUSFORDERUNGEN
Zur Realisierung von Cyber-Physical Systems bedarf es ei- und Qualitätsmanagements zusammen, auch im Hinblick
ner Fülle von Technologien und Engineering-Verfahren, die auf die umfassende Mensch-Maschine-Interaktion und
in diesem Kapitel dargestellt werden. Betrachtet werden Mensch-System-Kooperation.
insbesondere Technologien, die spezifisch zur Realisierung
der besonderen Fähigkeiten und Eigenschaften von Cyber-
Physical Systems sowie ihrer Erforschung beitragen, und 5.1 Technologien zur Realisierung der
ihre Einbindung in interdisziplinäre Gestaltungs- und Ent- besonderen Fähigkeiten von Cyber-
wicklungsverfahren. Physical Systems

Eine Auswahl heute bereits existierender Technologien für Um die Fülle der neuartigen Fähigkeiten von Cyber-Physical
Cyber-Physical Systems wird in Abschnitt 5.1 beschrieben. Systems (siehe auch Abschnitt 2.6 und Kapitel 3) zu reali-
Neben der Darstellung der jeweiligen Technologie und sieren, bedarf es einer Vielzahl von Technologien. Für die
ihres Beitrags zu Cyber-Physical Systems werden die Unzu- Realisierung einzelner Fähigkeiten sind die erforderlichen
länglichkeiten in Bezug auf die umfassende Realisierung Methoden noch nicht verfügbar oder ungenügend er-
der jeweiligen CPS-Fähigkeiten knapp analysiert. forscht. Deshalb ist eine genaue Identifizierung der benö-
tigten Technologien nur eingeschränkt möglich. In diesem
Zur Sicherstellung wesentlicher nichtfunktionaler Anfor- Kapitel werden die Technologien und funktionalen Grup-
derungen und zu garantierender Qualitätseigenschaften pierungen von Technologien beschrieben, die aus heutiger
von Cyber-Physical Systems werden ebenfalls Technolo­gien Sicht zur Realisierung der neuen CPS-Fähigkeiten beitragen
benötigt. Diese beziehen sich besonders auf Anforderun- können. Sie sind in sieben Bereiche (B1 – 7) gruppiert:
gen hinsichtlich Quality in Use, funktionaler Sicherheit,
IT-­Sicherheit und des Schutzes der Privatsphäre. Die benö- —— B1 – Physikalische Situationserkennung: Die Fähig-
tigten Technologien werden in den Abschnitten 5.2 und keit des Erfassens und Erkennens von Objekten und
5.3 beschrieben und es werden die Herausforderungen physikalischer Umgebungsbedingungen (Physical Awa-
diskutiert, denen sich das Engineering bei der geeigneten reness) ist eine der wesentlichen Fähigkeiten von Cyber-
Erhebung, Festlegung und Sicherstellung nichtfunktionaler Physical Systems; sie dient besonders als Grundlage für
Anforderungen gegenübersieht. die weitergehende Analyse von Anwendungssituati-
onen samt der beteiligten – technischen und mensch-
Voraussetzung für die Realisierung von Cyber-Physical Sys- lichen – Akteure, ihres Zustands, ihrer Ziele und ihrer
tems sind intelligente Infrastrukturen und CPS-Plattformen Aktionsmöglichkeiten (X-Awareness).
(siehe Abschnitt 3.1). Eine Beschreibung grundlegender Technologien: Sensorfusion (T1), Mustererkennung
Aufgaben und Dienste einer CPS-Plattform und -Middle­ (T2), Situationskarten (T3)
ware findet sich in Anhang B. Der offene, soziotechnische
und evolutionäre Charakter von Cyber-Physical Systems —— B2 – Planendes und vorausschauendes ganz oder
stellt das Engineering der Systeme sowie ihre Gestaltung teilweise autonomes Handeln: Cyber-Physical Systems
und Beherrschung vor große Herausforderungen. Abschnitt können teil- oder vollautonom handeln, um Ziele zu
5.3 fasst diese Herausforderungen des Engineerings mit erreichen, die typischerweise durch Anwender vorge-
den erforderlichen integrierten Modellierungs- und Archi- geben werden oder sich aus der jeweiligen Situation
tekturkonzepten und den Aufgaben des komplexen System- ergeben. Technologien aus diesem Bereich sind für die

127
agendaCPS

charakteristischen Fähigkeiten 1 – 5 aus Abschnitt 2.6 aussetzung dafür ist die Fähigkeit, Wissen aufzubauen,
sowie für die Fähigkeiten X-Awareness und kontext­ beispielsweise über Situationen beziehungsweise das
adaptives und kooperatives Handeln relevant. Verhalten von Menschen oder aus den Erfahrungen
Technologien: Multikriterielle Situationsbewertung vergangener Anwendungen und Kontextinteraktion.
(T4), Künstliche Intelligenz (T5) Mögliche Technologien hierzu kommen aus dem Be-
reich des maschinellen Lernens und unterstützen die
—— B3 – Kooperation und Verhandeln: Cyber-Physical Sys- CPS-Fähigkeiten Lernen und Adaption.
tems kooperieren miteinander, um Ziele zu erreichen. Technologien: Maschinelles Lernen und Data Mining
Das spiegelt sich sowohl in der Einbindung neuer (T10)
Dienste in existierende Cyber-Physical Systems wieder
als auch in der kooperativen Erkennung, Bewertung —— B6 – Evolution: Strategien der Selbstorganisation und
und Abstimmung von Situationen beziehungsweise Adaption: In diesem Bereich sind bereits existierende
dem Aushandeln von Handlungsstrategien. Technolo­ Technologien für die Fähigkeiten der Selbst­organisation
gien, die dazu in der Lage sind, unterstützen die Fähig­ in Kommunikationsnetzen und der Produktion zusam-
keiten kooperatives Handeln und X-Awareness. mengefasst.
Technologie: Multiagentensysteme (T6) Technologien: Selbstorganisation in der Produktion
(T11), Selbstorganisierende Kommunikationsnetze (T12)
—— B4 – Mensch-Maschine-Interaktion: Cyber-Physical
Systems unterstützen Menschen in ihren Handlungen —— B7 – Basistechnologien: Dieser Bereich fasst grund-
und Absichten, übernehmen Aufgaben und bringen da- legende Technologien zusammen, die zur Realisierung
durch einen sehr hohen Nutzwert. Gleichzeitig entschei- von Cyber-Physical Systems benötigt werden. Sie liegen
den und handeln sie teilweise autonom und bestimmen insbesondere in den Bereichen Sensor- und Aktortech-
dadurch menschliches Verhalten und soziale Prozesse nologien, Kommunikationsnetze, effiziente Verarbei-
mit. Diese Fähigkeiten bergen zwar ein großes Nutzen- tungseinheiten, verteilte Regelungen und in den für die
potenzial; allerdings steht die Beherrschung der akzep- Situationserkennung und adäquate Handlungssteue-
tablen Gestaltung der Mensch-Maschine-Inter­aktion rung besonders wichtigen Domänenmodellen und On-
noch weitgehend aus. Der Bereich B4 beschreibt aktu- tologien.
elle und vielversprechende Technologien der Mensch- Technologien: Domänenmodelle, Ontologien und do-
Maschine-Interaktion, wie sie für „Human Awareness” mänenspezifische Sprachen (T13), Sensor- und Aktor-
und Adaption benötigt werden. technologie (T14), Kommunikationsinfrastruktur und
Technologien: Mensch-Maschine-Schnittstelle und Inter- -plattform (T15), effiziente parallele Verarbeitungs­
aktionsmodalitäten (T7) Absichts- und Planerkennung einheiten (T16), verteilte stabile Regelungen (T17)
(T8), Nutzer- beziehungsweise Menschmodelle, Human
Awareness (T9) Auch in den Technologiefeldern der eingebetteten Syste-
me sowie der Kommunikations- und Internettechnologien,
—— B5 – Lernen: Cyber-Physical Systems passen sich in ih- die zu Cyber-Physical Systems beitragen, gibt es noch viele
rem Verhalten und ihrer Art, zu kooperieren, an Kontext­ unbeantwortete Fragen. Dafür sei auf einschlägige Studien
anforderungen an; siehe charakteristische Fähigkeiten verwiesen ([ABB+09, ART11, BIT08, BMW09a, BMW10a]).
unter Punkt 3 in Abschnitt 2.6. Eine wesentliche Vor-

128
Technologie und Engineering

5.1.1 B1: Physikalische Situationserkennung temtechnischen, ökonomischen und ökologischen Gründen


ist es sinnvoll, bereits vorhandene und zukünftige Sensoren
Zur Analyse und Interpretation von Situationen und Kon- nicht isoliert zur Umsetzung einzelner Funktionen vorzu-
texten ist zunächst die Erfassung der Umwelt (Erfassen sehen, sondern frühzeitig übergreifende Sensorverbünde
von Objekten der realen Welt, Physical Awareness) nötig. anzustreben. Hierbei stellen sich die Fragen, wie vertrauens­
Heutige Technologien, die hierzu einen Beitrag leisten kön- würdig die Sensordaten sind, welche spezifischen Eigen-
nen, sind Sensorfusion, Mustererkennung und Situations­ schaften die Sensoren haben und wie korrekte Entschei-
erkennung mittels Situationskarten. dungen durch das Cyber-Physical System getroffen werden
können.
5.1.1.1 T1 – Sensorfusion
Sensorfusion bezeichnet die Verknüpfung von Daten mehre- 5.1.1.2 T2 – Mustererkennung
rer unterschiedlicher Sensoren zur Ableitung von präziseren Die ingenieurgeprägte Informatikdisziplin Mustererkennung
Messdaten oder höherwertigen Daten. Sensorfusion wird (Pattern Recognition, [Web02a]) umfasst Algorithmen und
einerseits eingesetzt, um fehlerhafte Messdaten einzelner Systeme, um Muster in eingehenden Daten zu erkennen, sie
Sensoren erkennen und korrigieren zu können, aber auch, mit vorhandenen Mustern zu vergleichen und die erkannten
um Rückschlüsse auf den Systemzustand, die nur mithilfe Muster Klassen zuzuordnen. Ein Beispiel ist das Erkennen
mehrerer Sensoren möglich sind, ziehen zu können. von Menschen in Frontkamerabildern von Fahrzeugen, um
Fahrer vor Kollisionen warnen zu können.
Sensorfusion wird aus unterschiedlichen Gründen ein-
gesetzt. Dringend notwendig ist für sicherheitskritische Für die Erfassung bestimmter Situationen in der physikali-
Systeme die Verwendung unterschiedlicher redundanter schen Welt ist Mustererkennung unerlässlich, da die Tech-
Sensoren, um Fehlentscheidungen auf Basis falscher Mess­ nik den Schritt von ungeordneten Datenmengen (Mess-
ergebnisse zu vermeiden. Aus Kostengründen wird häufig werten) hin zur Bedeutungserkennung vollzieht und so die
ein Verbund von kostengünstigen, aber fehleranfälligen Basis für eine umfassende Situationsbewertung schafft
anstelle von sehr teuren, aber zuverlässigeren Sensoren ein- – siehe T4, Multikriterielle Situationsbewertung, und T5,
gesetzt. Künstliche Intelligenz.

Zudem ist es bei komplexen Systemen zumeist gar nicht Für viele Bereiche der Mustererkennung bestehen schon
möglich, die erforderlichen Informationen direkt zu er­ erprobte Algorithmen, etwa für Clusteranalyse, Klassifika-
heben. Diese können nur über Ableitungen aus unter- tion, Regression und Sequenzanalyse. Bei der Arbeit an
schiedlichen Sensordaten ermittelt werden. Ein Beispiel Stand- und Bewegtbildern wird auf Algorithmen aus dem
hierfür ist die Bestimmung, ob ein Autofahrer die Spur verwandten Feld des maschinellen Sehens („Computer Visi-
absichtlich wechseln will; diese Information lässt sich on“) zurückgegriffen. Weitgehend durchgesetzt haben sich
nur mithilfe verschiedener Sensoren gewinnen: Blinker, datengetriebene Methoden, die auf statistischen Modellen
Abstandssensorik zu anderen Fahrzeugen, Kameras, aber beruhen.
auch Nutzerbeobachtung.
Beim Einsatz in komplexen Umgebungen bestehen noch
Bis zum Jahr 2017 werden einer Studie zufolge weltweit ungelöste Probleme. So entstehen zu jedem Zeitpunkt Zig-
pro Mensch tausend Sensoren existieren [Rab08]. Aus sys- tausende mathematisch hochdimensionaler Mess­ werte.

129
agendaCPS

Um die gerade aktuelle Aufgabe zu erfüllen, müssen Aufwandes nicht implementierbar, es existieren bisher nur
jedoch normalerweise aus der Gesamtzahl der Dimensi- Approximationen. Über Prognose-Modelle für physikalische
onen nur bis zu hundert aussagekräftige analysiert wer- Objekte – etwa mittels Kalman-Filter – kann die weitere Ent-
den. Welche das sind, muss durch Algorithmen ermittelt wicklung der Situation abgeschätzt werden.
werden, die das Problem der Merkmalsauswahl („Feature
Selection“) lösen. In der Praxis müssen viele der Muster­ Ungelöst ist die Aufgabe der Zusammenführung von Da-
erkennungsalgorithmen noch von Experten eingestellt ten verteilter Sensoren bei ausgedehnten und teilweise
werden, um ihre Aufgabe zu erfüllen. Bei der Vielzahl an verdeckten Objekten (siehe T1 Sensorfusion); bei Karten
Aufgaben im Cyber-Physical Systems ist das nicht mehr re- gilt es, Informationen zusätzlich auf semantischer Ebene zu-
alistisch, es müssen Verfahren entwickelt werden, die sich sammenzuführen. Dabei müssen auch die unterschiedliche
selbst einstellen („Self Calibration“). Zuverlässigkeit und Genauigkeit der beteiligten Sensoren
und Mustererkennungsalgorithmen berücksichtigt werden
Bei längeren Betriebszeiten verschieben sich die zu erken- [Thi10].
nenden Muster mit der Zeit („Drift“). Das zu erkennen, stellt
ein noch ungelöstes Problem dar.
5.1.2 B2: Planendes und vorausschauendes
5.1.1.3 T3 – Situationserkennung durch ganz oder teilweise autonomes Handeln
Situationskarten
Die von Sensoren (T14) und Algorithmen zur Muster­ Anhand der erkannten Situation (B1) und von Zielvor­
erkennung (T2) gelieferten Informationen über die physi- gaben der Nutzer – siehe T8 Absichts- und Planerkennung
kalische Wirklichkeit werden zu einer „mentalen Karte“ der – sind Cyber-Physical Systems in der Lage, Strategien zur
physikalischen Situation zusammengeführt. Es entsteht Reaktion im Sinn der Zielerreichung zu entwickeln und
eine dynamische Belegungskarte, in die erkannte Objekte diese ganz oder teilweise autonom umzusetzen. Zu den
und Subjekte im Zeitverlauf eingetragen sind. heute verfügbaren Technologien gehört die multikriteri-
elle Situationsbewertung; hauptsächlich werden jedoch
Über solche Karten kann das System Situationen erkennen Verfahren und Ansätze der Künstlichen Intelligenz in den
und darauf reagieren und planen. An einer Kreuzung muss Bereichen Entscheiden, Planen und Prognose zum Einsatz
das Fahrerassistenzsystem beispielsweise wissen, wie viele kommen. Die Herausforderung besteht darin, dass die
Autos oder Fußgänger gerade wo unterwegs sind. Erste Ziele unklar sind oder widersprüchlich. Autonomes Han-
Ansätze zur Verwendung von Situationskarten finden sich deln muss deshalb immer von einer Folgenabschätzung
schon in autonomen Robotern. begleitet sein, auch, was den Einfluss auf die Gesellschaft
betrifft (siehe Kapitel 6).
Eine Reihe technologischer Herausforderungen ist noch
nicht bewältigt: Problematisch ist etwa die Objektzuord- Domänenmodelle, die eine Voraussetzung für jede Art von
nung über die Zeit, die heute über Multiinstanz-Filteran­ planendem und vorausschauendem Handeln sind, werden
sätze gelöst wird. Ein geschlossener Ansatz wäre die Statis- in B7 behandelt.
tik für endliche Zufallsmengen („Finite Set Statistics“, FISST
[Mah03]), die auch das Klassenzuordnungsproblem (siehe
T2 – Mustererkennung) integriert. FISST ist aber wegen des

130
Technologie und Engineering

5.1.2.1 T4 – Multikriterielle Situations­bewertung lage quantifiziert werden können. Ähnliches gilt, wenn die
Für ganz oder teilweise autonome Entscheidungen von zuliefernden Sensoren in unterschiedlichem Ausmaß ver-
Cyber-Physical Systems müssen aktuelle Situationen in trauenswürdig sind.
Echtzeit analysiert, interpretiert und anhand verschiedener
Kriterien bewertet werden, und zwar auf der Basis der je- Ein möglicher Lösungsansatz in begrenzten Domänen ist
weils zur Verfügung stehenden Informationen. Daten über die Erstellung von situationsspezifischen Schemata, die
die physikalische Situation – siehe B1, Situationserfassung – eine Rangfolge für vorhergesehene Einflussfaktoren und
werden dabei verknüpft mit Domänenmodellen (siehe B7), Ziele vorgeben.
welche die Zusammenhänge und Handlungsmöglichkeiten
modellieren. In komplexen Situationen müssen die Systeme 5.1.2.2 T5 – Ansätze der Künstlichen Intelligenz
mehrere Analysen und Bewertungen vornehmen: der Akteu- Künstliche Intelligenz (KI) [RN09] ist ein Teilgebiet der Infor-
re – gemeint sind Menschen und Gegenstände, allgemein: matik, das sich mit der Automatisierung intelligenten Ver-
Objekte –, ihrer Eigenschaften und aktuellen Handlungen haltens befasst. Techniken aus der KI sind notwendig, damit
und der möglichen Entwicklungen der Situation, also der Cyber-Physical Systems intelligent auf die Umwelt reagieren,
Dynamik der Aktionen und Handlungsstrategien der Ak- Ziele im Nutzerauftrag verfolgen und dabei mit anderen
teure. Wenn die Sensoren eines Cyber-Physical Systems Systemen kooperieren können. Beispiele aus den Szenarien
beispielsweise im Szenario Smart Mobility einen Schulbus in Kapitel 2 sind die automatische Planung der Produktion
erfassen, dann wird die Umgebung auch nach Kindern einer Küche oder das Umplanen einer Reiseroute.
abgesucht und es wird ihr mögliches Verhalten analysiert:
Gehen sie langsam und sicher entlang der Straße auf dem Entscheidungen können durch KI getroffen werden, indem
Bürgersteig oder spielen sie mit einem Ball? Eingabewerte über die Umgebung ermittelt werden, aus
denen mithilfe von Deduktionsmechanismen Schlüsse ge-
Die Szenarien sind unter unterschiedlichen Gesichtspunk- zogen werden können. Das setzt für die Wissensdomänen
ten zu bewerten, die für eine Entscheidungsfindung re­ umfassende formale Regelsysteme (siehe T13, Domänen-
levant sind. Ziele können auch konträr sein: So könnte etwa modelle) voraus, die für komplexe Situationen mit unbe-
die Sicherheit des Fahrers gegen die eines Kindes abge­ kannten Teilnehmern heute allerdings noch nicht erstellt
wogen werden müssen. werden können.

Eine Herausforderung ist es in dem Zusammenhang, in Zum Umgang mit unsicherem Wissen – in Cyber-Physical
Echtzeit Bewertungen vorzunehmen, um Aktionen schnell Systems entstehend etwa durch unsichere Sensoren oder
genug auslösen zu können. Dabei spielt nicht nur die Ver- fremde Dienste – werden Bayes‘sche Netze eingesetzt, die
arbeitungsgeschwindigkeit der Geräte eine Rolle; siehe dieses Wissen zueinander in Beziehung setzen und eine
T16, effiziente parallele Verarbeitungseinheiten. Auch sind gemeinsame Wahrscheinlichkeitsverteilung darstellen. Zum
aggregierte Informationen nicht immer verfügbar; zum expliziten Modellieren von Unwissen kann die Evidenz­
Beispiel muss das Lagebild einer kompletten Kreuzung theorie von Dempster und Shafer eingesetzt werden; mit ihr
erst errechnet werden. Weiter muss eine Bewertung auch lassen sich Informationen aus unterschiedlichen Quellen
unter der Bedingung einer Unsicherheit möglich sein; die unter Berücksichtigung von deren Glaubwürdigkeit zu einer
Un­sicherheit muss dann allerdings als Entscheidungsgrund- Gesamtaussage zusammensetzen.

131
agendaCPS

Auf der Grundlage von Informationen über die Umgebung auf semantischer und nutzersichtbarer Ebene, wo es um die
eines Systems können mit Planungsansätzen („Planning“) Interoperabilität in Bezug auf die Bedeutung von Daten
die nächsten Aktionen eines Systems berechnet werden. geht; siehe T13, Ontologien.
Das bekannteste Beispiel für einen solchen Ansatz ist der
Stanford Research Institute Problem Solver (STRIPS) [FN71]. 5.1.3.1 T6 – Multiagentensysteme
Seit der Entwicklung von Planungsalgorithmen [PB03], die Ein zentrales Paradigma der Künstlichen Intelligenz ist der
mit Unsicherheit umgehen können, und der Einführung sogenannte Agent. Ein autonomer Agent ist eine Soft-
ge­eigneter Beschreibungssprachen [GMP+06], die als Zwi- wareeinheit, die selbstständig in ihrer Umgebung handelt,
schenschicht zwischen High- und Low-level-Komponenten um Aufgaben im Auftrag von Menschen zu erfüllen. In Multi­
eines eingebetteten Systems dienen, kommt Planning auch agentensystemen kooperieren und verhandeln Agenten mit
in der Robotik zum Einsatz. Trifft die Ausführung eines Plans anderen Agenten. Mit ihrer Umgebung können Agenten
auf Hindernisse, etwa durch den Ausfall einer Komponente durch Sensoren und Aktoren interagieren. Intelligente Agen-
in der Produktion, werden über „Plan-Repair“-Algorithmen ten sind zu einer aufgabenorientierten Problemlösung durch
alternative Aktionen berechnet. Das verteilte, kooperative autonome, reaktive und zielgerichtete Anwendung geeigne-
Erstellen von Plänen ist eine Herausforderung. ter Methoden der Künstlichen Intelligenz (siehe T5) fähig.

Die Stärke neuronaler Netze ist der Umgang mit großen Eingesetzt wird diese Technik beispielsweise in Frau Mül-
Datenmengen und das Zulassen unscharfer Anfragen etwa lers Assistenzdienst aus dem Mobility-Szenario in Kapitel 2:
mithilfe von Assoziativspeichern; ihr Einsatz im CPS-Umfeld Ihr Agent plant nach ihren Vorgaben den Tagesablauf
ist daher vielversprechend. und stimmt sich dafür mit den Kalenderagenten anderer
Nutzer ab. Bei Änderungen der Reiseroute handelt er mit
Kooperatives Handeln modelliert die Künstliche Intelligenz Infrastrukturagenten die Preise aus und schlägt Routenän-
über Multiagentensysteme (siehe T6). derungen vor. Im Bereich der Produktion [MVK06] kann auf
Fehlfunktionen lokal reagiert werden, ohne dass eine zen­
Thematisch eng verwandt mit der KI sind die Techniken trale Steuerung eingreifen muss. Die optimale Ressourcen-
Mustererkennung (T2) und maschinelles Lernen (T10). belegung wird zwischen den einzelnen Einheiten verhandelt.

Durch den Einsatz einer großen Menge Softwareagenten


5.1.3 B3: Kooperation und Verhandeln kann das Zusammenwirken zahlreicher vernetzter Teilneh-
mer simuliert werden [KNR+11]. Das erlaubt die Vorher-
Kooperations- und Verhandlungsfähigkeit ermöglichen es, sage von Gruppenverhalten und dadurch zum Beispiel die
dass Cyber-Physical Systems verteilte Leistungen erbringen Prognose von Verkehrsfluss und Staus.
sowie Lösungsstrategien verteilt und koordiniert erstellen,
beides in Echtzeit. Ziel ist die Etablierung eines abgestimm- Für Wege zur Zielerreichung werden Planer verwendet, siehe
ten Gruppenverhaltens. Nötige Technologien finden sich vor oben, T5; die Kommunikation zwischen den Agenten basiert
allem im Bereich der Multiagentensysteme. Eine wichtige auf einem gemeinsamen Wortschatz (siehe T13, Ontologien).
Voraussetzung in diesem Bereich ist die Interoperabilität der
Teilsysteme, sowohl auf technischer Ebene – also bei den Bei der Interaktion der Agenten besteht die Schwierig-
Kommunikationsschnittstellen und -protokollen – als auch keit, dass jeder seine eigenen Ziele verfolgt. Die einzelnen

132
Technologie und Engineering

Agenten sind dann „egoistisch“ und verfügen über keine 5.1.4 B4: Mensch-Maschine-Interaktion
Gesamtsicht des Systems. Es wäre natürlich wünschens-
wert, sich dabei an Kriterien wie der Pareto-Effizienz – ein Zur möglichst optimalen Unterstützung von Anwendern
Zustand, in dem es unmöglich ist, einen Beteiligten besser durch Cyber-Physical Systems sind neue Lösungen im Bereich
zu stellen, ohne zugleich einen anderen Beteiligten schlech- Mensch-Maschine-Interaktion (MMI) nötig. Das betrifft zum
ter zu stellen –, und dem Gesamtnutzen („Social Welfare“) einen die Interaktionsschnittstellen zwischen Menschen und
zu orientieren. Ein Hauptgegenstand der Forschung bei technischen Systemen, die sowohl komplexe Interaktionen
Multi­agentensystemen ist deshalb die Suche nach Inter­ multimodal und in Echtzeit unterstützen müssen als auch
aktionsformen und Regelwerken, die für alle Beteiligten fair eine situationsadäquate Vermittlung des jeweilig relevanten
sind. Die Ansätze beruhen auf der Spieltheorie [Osb03] und Systemzustands, der Situation und der Handlungsalterna-
beziehen Ansätze wie das Nash-Gleichgewicht ein; dabei tiven ermöglichen müssen. Zum anderen ist es notwendig,
handelt es sich um Situationen, in denen kein Spieler einen dass Cyber-Physical Systems die Absichten der Anwender er-
Vorteil erzielen kann, wenn er einseitig von seiner Strategie kennen und – vergleichbar mit der vorausschauenden Situa-
abweicht. Techniken sind Voting, Auktionen und Koalitio- tionserfassung in B2 – menschliches Verhalten antizipieren.
nen. Beim „General-Game-Playing“ wird versucht, die Regeln Heutige Technologien, die Beiträge hierzu leisten können,
von Spielen in einer allgemeinen maschinenles­baren Spra- liegen im Bereich der Mensch-Maschine-Schnittstellen, der
che darzustellen. Absichtserkennung sowie der Nutzer- und Menschmodelle.

Eine Herausforderung bei Multiagentensystemen liegt in Weitere Technologien sind die multikriterielle Situations­
der geteilten Kontrolle: Nutzer müssen festlegen können, bewertung (siehe T4) und das maschinelle Lernen (siehe
wie viel Autonomie sie ihren Agenten zugestehen. Außer- T10). Auch in diesem Bereich spielen adäquate Umgebungs-
dem müssen sie jederzeit eingreifen und die getroffenen und Domänenmodelle eine entscheidende Rolle (siehe T13).
Entscheidungen nachvollziehen können.
5.1.4.1 T7 – Mensch-Maschine-Schnittstelle und
Bei Cyber-Physical Systems tritt das Phänomen der Vertei- Interaktionsmodalitäten
lung in den Vordergrund. Zentrale Ansätze für die Kommu- Interaktion zwischen Menschen und Cyber-Physical Systems
nikation wie das Blackboard reichen nicht mehr aus, bis- sind nicht auf eine Modalität wie eine Tastatur beschränkt.
herige Verhandlungsregeln werden bei vielen Teilnehmern Der Zugang zu Systemen ist über beliebige Modalitäten
schon rein rechnerisch zu komplex. möglich, etwa über berührungsempfindliche Bildschirme,
Sprache oder Gestik. Beispielsweise kann Frau Müller aus
Durch offene Kooperation mit unterschiedlichen Partnern dem Mobility-Szenario in Kapitel 2 auf die Nachfrage, ob
ist es schwieriger, Manipulationen der Entscheidungs­ sie auf die kostenpflichtige Premiumspur wechseln will, ein-
prozesse von Agenten zu verhindern. Nötig zu diesem Zweck fach mit einem Nicken antworten.
sind gekoppelte technische und ökonomische Maßnahmen
[Wei00]. Dazu gehört die Entwicklung von Interaktions­ Dazu ist es jedoch nötig, dass die Interaktionslogiken, die
regeln, die es den Agenten erlauben, zum eigenen Vorteil die Regeln für die Interaktion bestimmen – zum Beispiel
zu handeln, dabei den Nutzen des Gesamtsystems zu maxi- die Anzahl und Reihenfolge von Eingabeoptionen – unab­
mieren und es stabil zu halten; siehe auch [Woo09]. hängig von der Modalität sind. Logik und Präsentations-
schicht müssen also voneinander getrennt sein.

133
agendaCPS

Außerdem muss sich die Nutzerschnittstelle an die Modalität forscht und teilweise schon vermarktet. Neben der nötigen
anpassen, indem sie berücksichtigt, wie viele Informationen Interpretation nichtstandardisierter Nutzungsmuster durch
und Auswahloptionen von dieser angezeigt werden können. Menschen – zum Beispiel unbekannter Handbewegungen
Das ist wesentlich, denn zum Beispiel bei einer Bedienung – und der Erschließung neuer Modalitäten gilt es hier, die
über Sprache kann ein System weniger Wahlmöglichkeiten Technik robust zu gestalten und sie in allen Alltagssituati-
vorschlagen als bei der Darstellung per Bildschirm. onen nutzbar zu machen, wie es zum Beispiel beim Iphone
geschehen ist.
Weniger Wahlmöglichkeiten – siehe auch B2, planendes
Handeln – haben auch den Effekt, dass die Nutzer nicht über- Die Konfiguration technischer Systeme ist aufwändig und
fordert werden und das Gefühl haben, die Kontrolle über das erfordert viel Fach- und Erfahrungswissen [Nor96]. Dieses
System zu besitzen, weil sie die angebotenen Wahlmöglich- Wissen bleibt in den Köpfen der jeweiligen Experten und
keiten verstehen (siehe auch T8 Absichtserkennung). steht anderen nicht zur Verfügung. Um diese Situation bei
Cyber-Physical Systems zu verbessern, müssen optimierte
Beim Entwurf der Interaktion ist freilich darauf zu achten, Para­metersätze als Best-Practice-Anwendungen gespeichert
dass Handlungsmuster entstehen, die von den Nutzern als werden und anderen Nutzern zur Verfügung stehen.
natürlich empfunden werden. Ein Vorgehensmodell zu die-
sem Zweck gibt der User-centered-Design-Prozess, wie er in 5.1.4.2 T8 – Absichts- und Planerkennung
der ISO 9241-210 beschrieben ist, den Entwicklern an die Absichtserkennung (Intention Recognition) bezeichnet die
Hand. Das Modell ist allerdings immer noch auf einzelne Fähigkeit, die Absichten eines Agenten – wobei in diesem
Produkte beziehungsweise Programme ausgelegt und muss, Abschnitt Agent einen Menschen oder ein technisches Sys-
wie auch andere Ansätze zum Usability-Engineering, für tem bezeichnet – durch Analyse seiner bisherigen Hand-
verteilte Netzwerke von Diensten und Interaktionspunkten lungen oder der Auswirkungen dieser Handlungen auf die
erweitert werden. Umgebung zu erkennen. Planerkennung (Plan Recogniti-
on) erweitert Absichtserkennung um die Möglichkeit, auch
Durch die verteilte Dimension von Cyber-Physical Systems zukünftige Handlungen des Agenten anhand seines bis-
kommt die Herausforderung hinzu, dass, obwohl man herigen Verhaltens vorherzusagen. Beide Fähigkeiten sind
Dienste unterschiedlicher Anbieter nutzt, diese auf gleiche für Cyber-Physical Systems von wesentlicher Bedeutung,
Weise zu bedienen sein müssen. Beispielsweise muss auch um Nutzer möglichst optimal und autonom – auch ohne
Frau Müllers neues Auto die erhobene Hand als Stopp­ detaillierte Zielvorgabe über die Mensch-Maschine-Schnitt-
befehl interpretieren. stelle (T7) – beim Erreichen von Zielen zu unterstützen.

Die Interaktionsmodalitäten selbst haben in den vergange- Absichtserkennung ist seit mehr als dreißig Jahren ein For-
nen Jahren einen Entwicklungssprung vollzogen. Für einfa- schungsthema [Sad11]. Durch die Anwendungen von logik-
che Anwendungen sind Gesten- und Körperinteraktionen, sowie von wahrscheinlichkeitsbasierten Methoden konnten
beispielsweise mit Microsofts Steuerungsmodul Kinect52, große Fortschritte erzielt werden. Durch neue Applikatio-
im Massenmarkt verfügbar. Bedienelemente, die sich in die nen, wie sie durch Cyber-Physical Systems ermöglicht wer-
Lebensumgebung integrieren, wie Informationstische, wer- den, entstehen jedoch neue Herausforderungen, ins­
den unter dem Sammelbegriff „Tangible User Interfaces“ er- besondere die Auswahl der richtigen Absichtshypothese, die

52 Siehe
hierzu auch die anwendungsbezogenen Forschungsarbeiten im Bereich AAL [SS11] und der Unterstützung „[...] junger Erwachsener mit
motorischer Behinderung“ [Hua11].

134
Technologie und Engineering

Berücksichtigung eingeschränkter Beobachtbarkeit des Für eine CPS-gestützte Nutzung dienen Modelle als virtuel-
Agenten, die Analyse und Zuordnung verschränkter Hand- le empathische Beifahrer innerhalb intelligenter Assistenz-
lungen bei simultanen multiplen Absichten des Agenten systeme dazu, den aktuellen Motivations- und Belastungs-
sowie die Erkennung und Zuordnung alternativer Hand- zustand von Nutzern zu diagnostizieren. Auf diese Weise
lungsfolgen zur Erreichung des gleichen Ziels. Darüber hi- können sie ihnen gezielte Hilfestellungen beim Erledigen
naus ist Absichtserkennung für kooperierende Agenten mit von Aufgaben geben und somit die Interaktion zwischen
eingeschränkten Handlungsmöglichkeiten – etwa bei Men- Mensch und Maschine situationsabhängig unterstützen.
schen mit Behinderungen – bisher nur in Ansätzen möglich. Bei solchen Modellen werden zum Beispiel Nutzeraktionen
als Input genutzt, wie in T8 – Absichtserkennung, sowie
Für die Erkennung der Absichten und Pläne spielen neben psychophysiologische Messdaten, etwa Augenbewegun-
diesen Techniken auch Nutzer- und Menschmodelle (T9), gen, Hautleitwiderstand, Lidschlussrate, um Zustände wie
maschinelles Lernen (B5) und Domänenmodelle (T13) eine Stress, Abgelenktheit oder Vigilanz abzuleiten.
große Rolle.
Zur Erstellung von Nutzer- und Menschmodellen gibt es
5.1.4.3 T9 – Nutzer- beziehungsweise Mensch­modelle, unterschiedliche technische Ansätze wie regelbasierte Pro-
Human Awareness duktionssysteme, Bayes’sche Netze, mathematische Kon­
Nutzer- beziehungsweise Menschmodelle ermöglichen trolltheorie, Markow‘sche Entscheidungsprozesse und Kom-
die Diagnose, Simulation, Vorhersage und Unterstützung binationen dieser Methoden.
menschlichen Verhaltens bei der Interaktion mit techni-
schen Systemen. Die aktuelle Forschung betrachtet zwei Wesentliche Aufgaben für die zukünftige Forschung sind
Anwendungsmöglichkeiten: als „virtuelle Testfahrer“ und die Modellierung relevanter Charakteristika und die Vorher-
als „virtuelle empathische Beifahrer“. sage menschlichen Verhaltens bei der Interaktion mit multi­
modalen Mensch-Maschine-Schnittstellen, die Inte­ gration
Als virtuelle Testfahrer sollen die Modelle zur Sicherheits- kognitiver und anthropometrischer Modelle sowie umfassen-
abschätzung unterschiedlicher Auslegungen technischer de Validierungen der Modelle. Eine Integration der Modelle
Systeme dienen. Zu diesem Zweck lassen sich einige Model- in die Planung des Vorgehens von Cyber-Physical Systems
le mit formalen Systementwürfen koppeln, um im Rahmen muss erforscht werden; siehe B2 – Situationserkennung. Au-
einer Co-Simulation eine große Anzahl möglicher Einsatz- ßerdem besteht eine wesentliche Herausforderung darin, für
szenarien zu analysieren. die daraus resultierenden Modelle formale Semantiken zu
definieren und mit formalen Systementwürfen semantisch
Heutige Forschungsansätze versuchen Erkenntnisse aus zu integrieren. Beispiel: Wenn ein Menschmodell den Begriff
der Kognitionspsychologie und anthropometrischen For- „Auge“ mit einer bestimmten Bedeutung verwendet, muss
schung in die Systementwicklung zu übertragen und zielen sichergestellt sein, dass diese Bedeutungszuweisung im ge-
auf dieser Basis zum Beispiel auf die Vorhersage der Aus- samten System bekannt ist; siehe T13 – Ontologien.
wirkungen eines neuen Systems auf die Aufmerksamkeit
der Nutzer, potenziellere Fehlbedienungen und auf das
Komfort­empfinden und die physikalische Erreichbarkeit 5.1.5 B5: Lernen
und Erkennbarkeit von Bedienelementen ab.
Adaptive Cyber-Physical Systems stellen sich auf ihre Nut-
zer sowie auf neue Situationen ein. Das heißt, sie lernen,

135
agendaCPS

was Nutzer in einer bestimmten Situation erreichen wollen Herausforderungen bestehen im Umgang mit den entste-
(siehe T8 Absichtserkennung), wie sie das System bedienen henden riesigen Datenmengen, auf die viele Algorithmen
möchten (siehe B4 Mensch-Maschine-Interaktion), und pas- noch nicht ausgelegt sind. Außerdem sind die Datenbestän-
sen sich seiner Sprache an. Die planenden Komponenten de in verteilten Datenbanksystemen räumlich ausgebreitet.
von Cyber-Physical Systems lernen, welche Verhaltenswei- Lösungsansätze finden sich bei den Online-Lernverfahren
sen und Pläne in bestimmten Situationen zum Erfolg füh- und Multiple-Classifier Systems [MCS11], die Wissen meh-
ren, und tauschen dieses Wissen auch untereinander aus. rerer Algorithmen zusammenführen. Im Bereich Multi­
Basierend auf den großen Mengen der vorhandenen – von agentensysteme (siehe T6) werden Algorithmen untersucht,
Sensoren und kooperierenden Systemen erhaltenen – Daten die auf verteiltes Lernen ausgelegt sind.
lassen sich außerdem mit den Methoden des maschinellen
Lernens konkrete Fragen beantworten oder neues Wissen Für den Großteil der Daten ist keine Zuordnung („Label“)
generieren. Neben den in B4 und B1 behandelten Techno- vorhanden, die beschreibt, welches Konzept in den aktuel-
logien sind hier aus heutiger Sicht insbesondere Techniken len Messwerten beobachtet werden kann. Die Forschungs-
zum maschinellen Lernen und Data Mining sowie aus dem richtung teilüberwachtes Lernen (partially- and semi-super-
Bereich Multiagentensysteme notwendig. vised Learning) entwickelt Verfahren, die es erlauben, mit
nur wenigen Zuordnungen auszukommen.
5.1.5.1 T10 – Maschinelles Lernen und Data Mining
Auf Grundlage der theoretischen Informatik und Mathema- Sind die gesuchten Konzepte unscharf definiert oder un-
tik gewinnen Computer mittels Maschinellem Lernen (Ma- bekannt, können heutige Algorithmen das Problem nicht
chine Learning) [Bis07] aus vorhandenen Datenmengen lösen.
Wissen. Das geschieht entweder vor dem Hintergrund kon-
kreter Fragestellungen („Was ist typisch für einen Stau?“)
oder, in der Disziplin Data Mining, um allgemein neue Er- 5.1.6 B6: Evolution: Strategien der Selbst­
kenntnisse zu generieren. organisation und Adaption

Derartige Algorithmen sind notwendig, um die via Cyber- Für die Kooperation und das kontextadaptive, ganz oder
Physical Systems zur Verfügung stehenden Datenmengen teilweise autonome Handeln sind Strategien zur Selbstorga-
nutzbar zu machen. Im Maschinenbau können die Verfah- nisation und Adaption erforderlich. Heutige Technologien
ren angewendet werden, um die Produktion insgesamt als hierzu sind vor allem im Bereich der Produktion, der Kom-
sich selbst optimierendes System zu gestalten, bei der die munikationsnetzwerke und Multiagentensysteme zu finden.
Produktionssteuerung – Manufacturing Execution System,
MES – aus ihren historischen Datenbeständen die optima- 5.1.6.1 T11 – Selbstorganisation in der Produktion
len Prozessparameter ermittelt [BKS11, S.65]. In der Medizin Leitidee dieses Prinzips, das seit Ende der 1990er Jahre
kann ein System, das die normalen EKG-Werte eines Nutzers für die Produktion erprobt wird [BS00, SB01], sind indivi-
gelernt hat, auf Abweichungen hinweisen. Reinforcement duell identifizierbare Werkstücke, die sich eigenständig
Learning ermöglicht es Systemen, Rückmeldungen über durch die Produktion bewegen, von der Teilefertigung
den Erfolg von Aktionen zu verarbeiten und sich so in einer bis in die Montage. Flexible Bearbeitungsmaschinen und
Rückmeldungsschleife immer besser an die aktuelle Situati- Montage­ anlagen kennen selbst ihr Fertigungsvermögen
on und künftige ähnliche Situationen anzupassen. und passen sich eigenständig an wechselnde Aufgaben an.

136
Technologie und Engineering

Die Werkstücke, Anlagen und Transportsysteme organi- und Konfiguration, sichere Kommunikationsnetze unter-
sieren Arbeitsabläufe dezentral und selbstständig. Dabei einander aufzubauen, kooperativ zu betreiben und Daten
berücksichtigen sie stets den aktuellen Status der Produk- auszutauschen. Dazu sind Technologien zur verteilten Ver-
tion, beispielsweise Anlagenstörungen oder Lieferengpässe waltung, Konfiguration und Kontrolle sowie zum verteilten
eines Zulieferers. Betrieb erforderlich; zusätzlich müssen Mechanismen eta-
bliert werden, um die Kosten fair auf alle Teilnehmer zu
Dazu müssen Produkte, Produktionseinheiten und -pro- verteilen.
zesse, deren Steuerungen und die MES-Funktionen (siehe
Abschnitt 2.5) – alle repräsentiert durch Cyber-Physical Sys- Aufgrund der besonderen Qualitätsanforderungen an die
tems – in der Lage sein, sich miteinander konsistent zu syn- Kommunikation (siehe Abschnitt 5.2) können dazu nicht
chronisieren. Dazu sind erhebliche Forschungsanstrengun- einfach vorhandene Technologien verwendet werden. Viel-
gen für Methoden, Werkzeuge und Softwarekomponenten mehr bedürfen die vorhandenen Konzepte einer Anpassung
sowie zur Standardisierung nötig. [SAL+03]. Forschungsansätze hierfür sind die Arbeiten im
Bereich der Ad-hoc-Sensornetze [WS10], die Protokolle für
Eine wichtige Voraussetzung dafür, dass solche Plug-and- das aktive und das reaktive Finden von Kommunikations-
work-Mechanismen greifen, ist semantische Interoperabili- pfaden untersuchen. Aktiv ist zum Beispiel das „Highly
tät. Auf diesem Feld ist noch Forschungsarbeit zu leisten; Dynamic Destination-Sequenced Distance Vector Routing
siehe Ansätze in [SMS11] und B3. Protocol“, zu den reaktiven Techniken zählt der „Ad hoc on-
Demand Distance-Vector“. Voraussetzung für Ad-hoc-Kom-
5.1.6.2 T6’ – Multiagentensysteme munikation ist deren Standardisierung, da neue Geräte­
Multiagentensysteme, wie in T6 eingeführt, bestehen aus paarungen eine gemeinsame Sprache benötigen.
unabhängigen Softwareagenten, die jeweils individuelle
Ziele verfolgen und zu deren Erreichung mit anderen Agen-
ten und Diensten kooperieren. Durch die Interaktionen ent- 5.1.7 B7: Basistechnologien
steht ein selbstorganisierendes Gesamtsystem [BCHM06],
das bei entsprechender Gestaltung der Interaktionsregeln Voraussetzung für das Erkennen von Situationen, das Vor-
auch den Zugang zu begrenzten Ressourcen selbst regelt. ausplanen und Kooperieren sind Modelle der jeweiligen An-
wendungsdomäne in maschinenverarbeitbarer Form. Dazu
5.1.6.3 T12 – Selbstorganisierende Kommunikations- gehören Ontologien und domänenspezifische Sprachen.
netze
Aufgrund der Veränderungen von Umwelt und Anforde- Das weitere CPS-Fundament besteht aus geeigneten Sen-
rungen ist die Flexibilität der CPS-Kommunikationsnetze soren und Aktoren sowie aus einer Kommunikationsinfra-
un­bedingt notwendig, um einen störungsfreien und zuver- struktur und aus Geräten, welche die von den Sensoren
lässigen Betrieb gewährleisten zu können. gelieferten großen Datenmengen in Echtzeit verarbeiten
können. Unter anderem sind Computer mit Mehrfach-Pro-
Neben der Erweiterung der bereits vorhandenen Infrastruk- zessorkernen – Multicore – erforderlich. Auch wegen der
tur um Techniken zum Adressieren mobiler Teilnehmer sind Echtzeitanforderung können die Daten jedoch nicht zentral
Technologien notwendig, die es den Netzteilnehmern erlau- verarbeitet werden, was eine verteilte Regelung notwendig
ben, ad hoc, also zur Laufzeit und ohne explizite Planung macht.

137
agendaCPS

5.1.7.1 T13 – Domänenmodelle, Ontologien und In jeder Domäne existieren spezifische Ontologien. Ein
domänenspezifische Sprachen Cyber-Physical System kauft beispielsweise ein Ticket bei
Das in einer Anwendungsdomäne relevante Wissen muss in einer neuen Fluggesellschaft, deren Cyber-Physical Sys-
einem Domänenmodell beschrieben werden, um ein auto­ tems das Wort „Weiterreise“ nicht kennt. Daher ist eine
nomes Erkennen der Situation (B1), ein Planen (B2) und übergreifende Kommunikation nur möglich, wenn sich die
Lernen (B5) zu ermöglichen. Diese formale Beschreibung Begriffe der Ontologien untereinander abbilden lassen.
ermöglicht erst die Kooperation verschiedener Teile von Dieser Vorgang wird mit Ontology Mapping, Ontology Me-
Cyber-Physical Systems (B3). Ferner wird dadurch eine hö- diation oder Ontology Alignment [KS03] bezeichnet. Auf
here Autonomie in der Verarbeitung von Informationen und diese Weise lässt sich Wissen auch über Domänengrenzen
beim Planen realisierbar. hinweg austauschen.

Hierfür werden die in einer Domäne relevanten Konzepte Herausforderungen ergeben sich bei der Erstellung der On-
von Experten in standardisierten Ontologien erfasst. Da- tologien. Denn hier muss genau abgegrenzt werden, wel-
bei handelt es sich um Beschreibungen hierarchischer Be­ che Konzepte noch erfasst werden und welche außerhalb
ziehungen zwischen Konzepten und Objekten. In Ontologi- der Domänengrenze liegen. Für die Umsetzung der DSLs
en erfasstes Wissen kann dann ausgetauscht werden – ein in Verhalten kann es nur domänenspezifische Ansätze für
zentraler Ansatz des semantischen Web. Für die Beschrei- Modelltransformation geben; diesen Schritt sind erst sehr
bung von Ontologien sind die bekanntesten Vertreter die wenige Domänen gegangen.
Ontology Web Language (OWL) aus dem semantischen Web
und die Sprache des CYC-Projekts aus der Künstlichen Intel- In allen Technologien ergibt sich das Problem, dass Konzep-
ligenz [Len97]. te, die unscharf und deshalb nur teilweise erfüllbar sind,
große Herausforderungen für die Modellierung mit sich
Um weiteres Domänenwissen in Modelle einzubringen, bringen, obwohl sie für Menschen intuitiv verständlich sind.
können an die jeweilige Domäne angepasste Sprachen
(domänenspezifische Sprachen, Domain-specific Langua- 5.1.7.2 T14 – Sensor- und Aktortechnologie
ges, DSL) verwendet werden. Das sind formale Sprachen, Sensoren und Aktoren dienen der Beobachtung und Be­
basierend auf Ontologien und mit eigener Grammatik, die einflussung der physikalischen Umwelt von Cyber-Physical
alle Konzepte, Objekte und Handlungsmöglichkeiten einer Systems. Sensoren nehmen dabei physikalische oder che-
eng abgegrenzten Domäne enthalten. Um solche Sprachen mische Eigenschaften wie Temperatur, Feuchtigkeit, Schall
zu entwickeln, existieren Vorgehensweisen, zum Beispiel oder die stoffliche Beschaffenheit der Umgebung qualitativ
der Meta-Object-Facility-Standard, und Werkzeuge wie das oder quantitativ auf und wandeln die so erhaltenen Mess-
Meta Programming System [Dmi04]. Das Umsetzen in Ver- werte in eine digital weiterverarbeitbare Form um. Aktoren
halten bewerkstelligen dann Übersetzer, die aus den in DSL setzen digitale Stellwerte in mechanische Bewegung oder
geschriebenen Aussagen Programme in einer Computer- andere physikalische Größen wie Druck oder Temperatur
Hochsprache wie C erzeugen. Erste Ansätze hierfür gibt um und beeinflussen so die Umgebung.
es in Mechanismen wie Profiles in OWL oder Views in der
Sprache Bio Portal [RLM+06]. Die Bandbreite der für Cyber-Physical Systems einsetz-
baren Sensoren reicht dabei von einfachen Messfühlern
für einzelne physikalische Messgrößen über komplexe

138
Technologie und Engineering

Umwelt­erkennungssensoren – wie Video und Radar – Entwicklung völlig neuer Sensoren wie Biosensoren oder
oder im Körper implantierbare Biosensoren zur Aufnahme solchen zur Gehirn-Computer-Interaktion (siehe [ABB+09])
komplexer medizinisch relevanter Vorgänge bis hin zu sowie eine Verbesserung der drahtlosen oder drahtgebun-
Sensornetz­werken, in denen eine große Anzahl oft auch denen energieeffizienten Kommunikationsfähigkeit wich-
heterogener Sensoren integriert ist. Wie die in Kapitel 2 tige Voraussetzungen zur Realisierung von Cyber-Physical
dargestellten Szenarien deutlich machen, nehmen Cyber- Systems. Weitere Herausforderungen ergeben sich für den
Physical Systems ihre Umwelt typischerweise über eine gro- Nachweis der funktionalen Sicherheit von Sensoren und
ße Menge verteilter, heterogener Sensoren wahr, die damit Aktoren, für Konzepte der Skalierbarkeit, der Organisation
eine wichtige Basis für alle Technologien der Bereiche B1, sowie für selbstkonfigurierende Regelungskonzepte.
B2 und B4 sind.
5.1.7.3 T15 – Kommunikationsinfrastruktur und
Analog reicht die Bandbreite der in Cyber-Physical Systems -plattform
eingesetzten Aktoren von einfachen, oft mechanischen Die Verfügbarkeit von Cyber-Physical Systems hat starke
Stellgliedern in Regelkreisen, etwa Ventilsteuerungen, über Auswirkungen auf die Forschung und Entwicklung verteilter
elektromechanische und hydraulische Antriebe bis hin zu Systeme in großem Maßstab – Beispiele dafür sind Elektro-
komplexen Steuerungen wie der Längs- und Querführung mobilität oder das Internet der Energie – und damit auch auf
von Fahrzeugen oder ganzer Verkehrsflüsse durch das ko­ die benötigten Kommunikationsinfrastrukturen. Informa-
ordinierte Zusammenspiel einer Vielzahl heterogener Akto- tions- und Kommunikationstechnik machen Computer und
ren in Aktornetzen. deren Vernetzung durch hierarchische Kommunikations­
infrastrukturen zunehmend allgegenwärtig. Persönliche
Herausforderungen in diesem Bereich (siehe auch [GMA09b, Netze (Personal Area Networks, PAN), etwa auf der Grund-
HGZ09, MM06, HSMS07, ABB+09]) betreffen zum einen die lage der Nahbereich-Funkstandards Bluetooth und Zigbee,
Erhöhung der Präzision und Geschwindigkeit von Sensoren, werden verwendet, um Knoten untereinander oder mit ei-
die für eine detaillierte physikalische Situationserkennung nem größeren Netz kommunizieren zu lassen. Lokale Netze
in Echtzeit, wie sie für Cyber-Physical Systems gefordert ist, (Local Area Networks, LAN), beispielsweise mit WiFi, gestat-
bisher oft nicht ausreichend sind. Zum anderen ergeben sich ten Knoten und Systemen die Kommunikation mit sehr viel
durch den Einsatz in unterschiedlichen, oft rauen Umgebun- höheren Datenraten und über größere Entfernungen. Weit-
gen sowohl erhöhte Anforderungen an die Robustheit und verkehrsnetze (Wide Area Networks, WAN) mit zellularen
Langlebigkeit von Sensoren und Aktoren als auch an ihre Mobilfunktechnologien der dritten, vierten und gar fünften
Baugröße und den Bedarf an Energie, die im Extremfall au- Generation (3G, 4G, 5G) erstrecken sich über große räum-
tark gewonnen werden muss. In den letzten Jahren wurde liche Bereiche und erlauben Knoten, Systemen und System
begonnen, die Intelligenzfähigkeit von Sensoren durch Ver- of Systems draht­gebundene und drahtlose Kommunikation.
größerung ihrer Rechen- und Speicherkapazität zu erhöhen.
Cyber-Physical Systems bringen weitere Anforderungen an
Dies ist ein weiterer Trend, dessen Fortsetzung und Verstär- diese heterogene und hierarchisch organisierte Kommu-
kung für die Realisierung von Cyber-Physical Systems nütz- nikationsinfrastruktur mit sich, die bisher wenig oder gar
lich ist, um Dienste wie die Sensorfusion (siehe T1) oder nicht adressiert worden sind. Die Emergenz von Cyber-
Objekterkennung (siehe T2) schon in den Außenknoten der Physical Systems – also die Tendenz, aus dem Zusammen-
Netzwerke erbringen zu können. Schließlich sind auch die spiel von Komponenten und Eigenschaften spontan neue

139
agendaCPS

Verhaltenseigenschaften auszubilden – verlangt, dass eben- bei elektronischer Hardware führt zu Leistungssteigerungen
so spontane Kommunikationsverbindungen effizient und auf folgenden Gebieten:
effektiv auf Mikro- und Makrosystemebene möglich sind.
—— Bessere Leistungsfähigkeit und hochparallele Architek-
Datenverbindungen, insbesondere drahtlose, sind fehler- turen. Auch in Zukunft werden immer mehr, dazu bes-
behaftet und durch Zeitvarianzen (Latenzen) geprägt. Die sere und höher getaktete Rechenkerne auf einem Chip
Kommunikationsinfrastrukturlösungen für Cyber-Physical integriert werden können (Multicore-Ansatz).
Systems müssen eine möglichst kohärente, einheitliche —— Zusätzliche Hardwarefunktionen für Spezialaufgaben
Dienstqualität für alle Systemkomponenten sicherstellen. (Multimedia, Grafik, Videoanalyse, Bildverarbeitung,
Die CPS-Kommunikationsinfrastruktur ist anfällig für das Echtzeit, IT-Sicherheit) führen zu Chips mit dedizierten
Blockieren, Unterbrechen und Abhören der Datenverbin- Kernen für spezielle Aufgaben.
dungen. Um das Vertrauen in die übertragenen Daten —— E/A-Verarbeitung inklusive Funkempfänger wird noch
jederzeit sicherzustellen, muss eine optimale Datensiche- tiefer in die Chips integriert. Chips lassen sich noch stär-
rung auf der Ebene der Knoten, über die Systeme bis hin ker auf geringen Stromverbrauch und geringe Wärme­
zur komplexen Vernetzung von Systemen gewährleistet abfuhr optimieren.
werden. Cyber-Physical Systems zeichnen sich durch einen —— Neue Methoden der Energiegewinnung (Energy Har-
hohen Grad an Offenheit und Adaptivität aus, wozu die vesting) erlauben Cyber-Physical Systems ohne externe
Kommunikationsinfrastruktur entscheidend beiträgt. Das Energiezufuhr.
korrekte Funktionieren der Kommunikation auf allen Ebe- —— Hardwareunterstützte Virtualisierung erlaubt die Kon-
nen erfordert das ständige Beobachten und Verifizieren der solidierung von Cyber-Physical Systems, etwa im Fahr-
Dienstqualität der Verbindungen im System und automati- zeug, ohne Einbußen bei Echtzeit, Sicherheit, Funktion
sche Anpassungen bei Veränderungen des Systems. Selbst- und Leistung.
organisierende Netze (Self-organising Networks, SON) sind
eine mögliche Antwort darauf. Weitere Herausforderungen liegen in der Einbindung neu-
er Technologien in die Entwicklungsprozesse, insbesondere
Cyber-Physical Systems werden in dynamischen Echtzeit­ unter Ausnutzung der Parallelität und unter Berücksichti-
umgebungen zum Einsatz kommen. Dafür müssen Kom- gung der Einhaltung von Garantien wie Betriebs- und IT-Si-
munikationsinfrastrukturen bezüglich Robustheit, Rekonfi- cherheit. Ein Beispiel hierfür ist die Verwendung von Multi­
gurierbarkeit, Adaptionsfähigkeit und Leistungsfähigkeit, core-Prozessoren in sicherheitskritischen Anwendungen wie
nicht nur für den Zugang zur Cloud analysiert, transfor- der Avionik, die heute technisch relativ einfach möglich ist.
miert, erforscht und neu entwickelt werden. Die Frage nach einem zertifizierbaren Nachweis nichtfunk-
tionaler Eigenschaften wie Betriebs- und IT-Sicherheit ist
5.1.7.4 T16 – Effiziente parallele Verarbeitungs­ hingegen noch weitgehend unbeantwortet.
einheiten
Intelligente Geräte für Cyber-Physical Systems verfügen über Eine Zusammenfassung der Herausforderungen beim Ein-
großes Innovationspotenzial. Es wird in Zukunft möglich satz von Multicore-Prozessoren in eingebetteten Sys­temen
sein, noch mehr Funktionen in einem einzelnen Chip unter- findet sich im Positionspapier [Arb11] des Multicore-­
zubringen, den Stromverbrauch zu optimieren und Kosten Arbeitskreises des Bayerischen IKT-Clusters BICCnet.
und Platzbedarf zu reduzieren. Der anhaltende Fortschritt

140
Technologie und Engineering

5.1.7.5 T17 – Verteilte stabile Regelungen Es bedarf daher einer Integration von Methoden aus bei-
Verteilte Regelungen sind Regelkreise oder -netze, bei de- den Fächern.
nen die signalverarbeitenden Komponenten nicht zentral,
sondern geographisch verteilt und gegebenenfalls sogar
hierarchisch angeordnet sind. Hierdurch erlauben sie die 5.1.8 Zusammenfassung der für Cyber-Physical
Beherrschung komplexerer verteilter Systeme, für die zen­ Systems benötigten Technologien
trale Regelung nicht möglich ist (vgl. [ABB+09]), und ins-
besondere die für Cyber-Physical Systems notwendige Be- Abschließend werden die beschriebenen Herausforderungen
einflussung der Umwelt, abhängig von Sensorwerten durch zusammengefasst.
Interaktion verteilter Teilsysteme.
X-Awareness ist eine zentrale Eigenschaft von Cyber-Physical
Heutige verteilte Regelungen sind im Wesentlichen auf Systems: die korrekte Wahrnehmung und Interpretation von
einzelne Systeme beschränkt, etwa im Automobil durch die Situation und Kontext (Situation Awareness, Context Awa-
Integration einzelner Regelungssysteme für die Fahrstabili- reness), die Erkennung sowohl des eigenen Zustands als
tät – wie ESP und aktive Federung – in einem „Integrated auch des Zustands und der Qualität von CPS-Diensten und
Vehicle Dynamics Management“ [ABB+09] oder in den -Komponenten und nicht zuletzt des Zustands, der Ziele und
Systemen zur Positionsfindung sowie zur Gelände- und Ob- Absichten der Anwender (Human Awareness). Hierzu ist
jekterkennung in den Fahrzeugen der „Desert and urban zunächst das Erkennen der – physikalischen, informations-
Challenge“ der DARPA [CPS08]. Für Cyber-Physical Systems technischen und menschlichen – Umwelt nötig sowie, darauf
ist eine solche Vernetzung jedoch zum einen über System- aufbauend, die Interpretation und Bewertung der erkannten
grenzen hinweg nötig, zum anderen müssen solche Regel- Situation im Hinblick auf die eigenen Ziele und diejenigen
kreise dynamisch auf- und abgebaut werden können, bei- anderer Akteure. Die hierzu in den Bereichen B1, B2, B3, B4
spielsweise für Ad-hoc-Regelkreise kooperierender Systeme. und B7 aufgeführten Technologien sind heute nicht ausrei-
chend leistungsstark für den Grad der X-Awareness, der für
Schwierigkeiten ergeben sich durch Verbindungsausfälle, Cyber-Physical Systems erforderlich ist. Herausforderungen
durch von variierenden Kommunikationslatenzen erzeugte liegen zunächst in einer Verbesserung von Sensortechnolo-
Signalschwankungen („Jitter“) sowie durch Paketverluste, gien, dann aber in einer Verbesserung der Erkennung kom-
die das Reglerverhalten typischerweise sehr stark beein- plexer Situationen und der dazu nötigen Verarbeitung und
flussen und leicht zur Instabilität der Regelung führen – auch semantischen – Aggregation großer Datenmengen in
können. Deshalb werden Regelungskonzepte sowie zuge- Echtzeit sowie in der ebenfalls in Echtzeit benötigten Analyse
hörige Entwicklungs- und Analyseverfahren und -werkzeu- und Bewertung von Situationen bei mehreren Akteuren und
ge benötigt, die die Entwicklung von Regelalgorithmen damit möglicherweise konfliktbehafteten Zielen.
erlauben, die gegen diese Effekte robust, dazu skalierbar,
hierarchisch und die adaptiv beziehungsweise in der Lage Verfahren und Technologien zur Zusammenführung von Per-
sind, sich selbst zu rekonfigurieren [ABB+09]. spektiven auf eine Situation, die durch verschiedene Akteure
wahrgenommen und analysiert wird, sowie der Umgang mit
Eine weitere, grundsätzliche Schwierigkeit besteht darin, unsicherem Wissen spielen hierbei eine ebenso große Rolle
dass die Disziplinen Regelungstechnik und Informatik im- wie Methoden zur Einschätzung der eigenen Situation und
mer noch weitgehend voneinander getrennt sind [CPS08]. Fähigkeiten (Selbstwahrnehmung, Self-Awareness). Für den

141
agendaCPS

Bereich der Erkennung und Interpretation menschlichen Ver- Im engen Zusammenhang hiermit steht die Eigenschaft des
haltens und der Wünsche, Ziele und Absichten der Nutzer Lernens und der Verhaltensadaption, die sowohl für die ge-
(Human Awareness) bestehen Herausforderungen in der Vor- zielte Auswahl und Einbindung von Diensten – abhängig von
hersage menschlichen Verhaltens (Absichtserkennung) und den jeweiligen Zielen, der Anpassung an geänderte Prozesse,
der Gestaltung entsprechender multimodaler Schnittstellen menschliche Gewohnheiten und menschliches Verhalten –
für die Mensch-Maschine-Interaktion, die zum einen die Ein- benötigt wird als auch zur Anpassung an Situationserforder-
gabe auch höherwertiger Ziele über beliebige Modalitäten nisse. Hier sind vor allem Technologien aus den Bereichen B5
erlauben, zum anderen dem Nutzer ein Bild der Situation ver- und B6 sowie entsprechende Domänen- und Menschmodelle
schaffen, das seinem momentanen Aufmerksamkeitsprofil, (B7, B4) von großer Bedeutung. Herausforderungen sind hier,
aber auch dem Zustand des Systems und der Situation selbst neben dem Umgang mit den entstehenden großen Daten-
gerecht wird. Zentrale Herausforderung ist die geeignete Ge- mengen sowie der semantischen Annotation von Daten,
staltung der Mensch-Maschine-Interaktion, sodass sie dem die Erstellung und Validierung von Domänen- und Mensch­
Nutzer eine situationsgerechte Koordination und Steuerung modellen – einschließlich unscharfer Konzepte – sowie deren
von Cyber-Physical Systems ermöglicht. Transformation in Handlungs- und Lernstrategien.

Die Erstellung und Validierung geeigneter Domänenmodelle Sowohl für die Fähigkeit zur Selbstorganisation als auch zur
– hier besonders von Nutzermodellen – ist eine wesentliche, Adaption an eine veränderliche Umwelt, technische Um-
bis heute nicht hinreichend gelöste, Voraussetzung für eine gebung und neue (gelernte oder erschlossene) Ziele sind
umfassende X-Awareness. Strategien zur Koordination erforderlich. Komponenten und
Dienste müssen sich dabei ohne explizite Planung und Kon-
Kontextadaptives, kooperatives Handeln ist eine weitere zen- figuration zu Zweckverbünden zusammen­schließen können.
trale Eigenschaft von Cyber-Physical Systems. Kontinuierliche Beispieltechnologien hierzu finden sich in Bereich B6. Die
Kontext- und Prozessinteraktion, kooperatives Handeln zum größte Herausforderung hierbei liegt in der semantischen
Erreichen von Zielen sowie kontextabhängiges, autonomes, und nutzersichtbare Interoperabilität, die ebenfalls einer
aktives Handeln verlangen dabei, aufbauend auf der be- Standardisierung bedarf (siehe auch Abschnitt 5.3.3).
nötigten X-Awareness, weitere Technologien, wie sie in den
Bereichen B2, B3 und B7 dargestellt sind. Die mögliche Ver-
arbeitungs- und Kommunikationsgeschwindigkeit von Prozes- 5.2 Technologien zur Umsetzung nichtfunk-
soren und Kommunikationsmedien spielt eine bedeutende tionaler Anforderungen – Sicherheit und
Rolle für die Echtzeit- und Reaktionsfähigkeit von Cyber- Schutz der Privatsphäre
Physical Systems; Interoperabilität sowohl auf technischer als
auch auf semantischer Ebene ist dafür ebenso erforderlich. Im Folgenden werden Technologien analysiert, die der
Auf Anwendungsebene bestehen wesentliche Herausforde- Sicher­
stellung nichtfunktionaler Anforderungen im Hin-
rungen, die mit den heute vorhandenen Technologien nur blick auf Sicherheit und Schutz der Privatsphäre dienen.
teilweise bewältigt werden können: geeignete Domänen­ Dabei handelt es sich um Leistungsmerkmale von Sys-
modelle für komplexe Umgebungen, die Verfolgung von meh- temen, die für eine sichere Nutzung unter den spezifi-
reren konkurrierenden Zielen, der Umgang mit unsicherem schen Rahmen­bedingungen und Herausforderungen von
Wissen, Verhandlungsstrategien, geteilte Kontrolle und faire Cyber-Physical Systems relevant sind. Nicht betrachtet
Inter­aktionsregeln. werden hier lösungsorientierte Engineering-Aspekte, etwa

142
Technologie und Engineering

Architekturen und Organisationsformen, die konstruktiv zur zustellen, dass das Erreichen der Sicherheitsziele durch die
Umsetzung solcher Technologien beitragen können; sie wer- Systemänderungen nicht gefährdet wird.
den in Abschnitt 5.3 beschrieben.
Da solche Änderungen Systemteile unterschiedlicher Ver-
antwortungsbereiche und Anwendungsdomänen betreffen
5.2.1 Verlässlichkeit können, müssen diese Mechanismen zusätzlich Verfahren
zur Selbstreflektion und Selbstdokumentation eines Ge-
Unter Verlässlichkeit (Dependability) wird meist eine Kom- samtsystems unterstützen, also Verfahren, um Informati-
bination klassischer Aspekte der Betriebssicherheit und der onen über den aktuellen Aufbau und die Funktion eines
IT-Sicherheit verstanden, beispielsweise der Eigenschaften Systems durch Anfragen an das System selbst unmittelbar
funktionale Sicherheit (Functional Safety) [ALRL04], Zuver- erhalten zu können.
lässigkeit (Reliability), Verfügbarkeit (Availability), Vertrau-
lichkeit (Confidentiality), Integrität (Integrity) und Wartbar- Durch die Integration sicherer Mechanismen zur Laufzeit-
keit (Maintainability). Techniken zur Umsetzung der ersten wartung, -pflege und -entwicklung in CPS-artige Systeme
drei Systemeigenschaften werden im Abschnitt 5.2.2 einge- wird es möglich, Teile eines Systems im Betrieb zu ver­
führt, Techniken zur Umsetzung der Systemeigenschaften ändern oder zu tauschen, ohne dass die Betriebs- oder
Verfügbarkeit, Vertraulichkeit und Integrität im Abschnitt Daten­sicherheit des Systems gefährdet wird. So lässt sich
5.2.3. die Verlässlichkeit des Systems durchgängig sicherstellen,
was erforderlich ist, da Cyber-Physical Systems im Betrieb
Da aber einige der in Abschnitt 3.2.3 diskutierten Heraus- kontinuierlichen Änderungen unterworfen sind.
forderungen für Betriebs- und IT-Sicherheit gleichermaßen re-
levant sind oder die Wartbarkeit der Systeme betreffen – die Aktuelle Mechanismen zur Laufzeitwartung, -pflege und
wegen der Langlebigkeit von Cyber-Physical Systems beson- -entwicklung bieten zwar Verfahren zum Tausch von Sys-
ders bedeutsam ist –, sind diese Technologien eine Grund- temteilen, ohne ein ganzes System außer Betrieb zu neh-
voraussetzung für die Verlässlichkeit der Cyber-Physical men (beispielsweise in der Telekommunikation). Allerdings
Systems. Sie werden im Folgenden dargestellt. werden hier im Allgemeinen keine Verfahren zur Prüfung
der Auswirkung auf die Sicherheitsziele bereitgestellt, und
5.2.1.1 Sichere Mechanismen zur Laufzeit­wartung, somit keine „safety@runtime“- und „security@runtime“-­
-pflege und -entwicklung Aspekte adressiert. Auch die Selbstreflektion und -dokumen­
Mechanismen zur Laufzeitwartung und -pflege umfassen tation von Systemen findet sich heute nur im geringen
Technologien, die Systemänderungen erlauben, ohne Maße, beispielsweise im Maschinen- und Anlagenbau.
dass das System hierfür außer Betrieb genommen werden
muss. Drei Arten von Systemänderungen gilt es zu unter­ 5.2.1.2 Integrierte Betrachtung von Betriebs- und
scheiden: korrektive Änderungen zur Fehlerbehebung, Datensicherheit
perfektive Änderungen zum Verbessern oder Erweitern Eine integrierte Betrachtung von Betriebs- und Datensicher-
von Funktionen oder adaptive, also anpassende Änderun- heit bei der Systementwicklung erstreckt sich auf den ge-
gen. Weil die Systeme hohe Anforderungen hinsichtlich samten Prozess – von der Definition der Systemfunktionen
ihrer Betriebs- und Datensicherheit erfüllen müssen, gilt über ihre Entwicklung und Implementierung in Soft- und
es, durch selbstständige Prüfung und zur Laufzeit sicher­ Hardware, deren Integration und Test sowie die begleitenden

143
agendaCPS

Prozesse wie In- und Außerbetriebnahme des Systems bis weise der Fähigkeit, auch bei auftretenden Fehlern weiter
hin zur Anpassung der organisatorischen Prozesse bei der zu funktionieren – zwei weitere Eigenschaften: Robustheit
Nutzung. Gerade in Cyber-Physical Systems mit ihrer kom- – also die Sicherung der Grundfunktionalität im Fehlerfall
binierten Unterstützung von technischen und betrieblichen – und Wiederherstellbarkeit – einfache Bereitstellung von
Prozessen ist eine Trennung von Sicherheitsaspekten in Be- Funktionen nach einem Ausfall. Da Robustheit und Fehler-
triebs- und Datensicherheit nicht möglich, ohne die gesamte toleranz meist auch als typische Aspekte der funktionalen
Verlässlichkeit des Systems zu gefährden. So kann die unzu- Sicherheit gesehen werden, adressieren aktuelle Sicherheits-
lässige Veränderung von Daten – also der Verlust der Integri- normen wie die Familien der IEC61508 beide Aspekte in
tät – ­Sicherheitsfunktionen außer Kraft setzen; ebenso kann der Forderung nach einer ganzheitlichen Vorgehensweise
ein störender physikalischer Einfluss – und damit ein Ausfall zur Entwicklung sicherer Systeme.
– zur Einschränkung der Integrität von Daten führen.
5.2.2.1 Zuverlässige Multicore-Prozessoren
Aktuelle Ansätze zur Entwicklung von Systemen bedienen Zuverlässige Multicore-Prozessoren – das sind Prozessoren mit
meist nur einen Aspekt der Sicherheit (beispielsweise BSI- mehreren Rechenkernen – ermöglichen durch die verfügbare
Handbuch, Common Criteria, Orange Book für Datensicher- Parallelität auf Hardwareebene das gleichzeitige Realisieren
heit; IEC 61508, DO 178B, ISO 26262 für Betriebssicher- von Sicherheitsmechanismen – etwa durch redundante Aus­
heit). Obwohl in der Vorgehensweise viele Gemeinsamkeiten legung von Sicherheitsfunktionen, parallele Überwachung
bestehen – etwa die Identifikation von Bedrohungen sowie des Betriebszustands oder die wechsel­ wirkungsfreie Tren-
das Festlegen von Schutzzielen und Schutzstufen samt der nung von unterschiedlich systemkritischen Funktionen – und
Auswahl entsprechender Techniken –, fehlt die Kombi­ von Mechanismen für den energie­effizienten Betrieb – etwa
nation zu einem integrierten Vorgehen. durch Ab- und Zuschalten von Rechenkernen, je nach Be-
triebszustand oder Leistungsbedarf.

5.2.2 Betriebssicherheit und funktionale Da Betriebssicherheit ohne hardwareseitige Redundanz


Sicherheit nicht sichergestellt werden kann, CPS-artige Systeme aber
gleichzeitig durch eine hohe Anzahl von Steuereinheiten
Die Betriebssicherheit (Safety) eines Systems ist zu verste- geprägt sind – die teilweise schwach vernetzt sind –, bedarf
hen als Abwesenheit unvertretbarer Risiken in Form von es kostengünstiger, leicht skalierbarer redundanter Hard-
Gefahren, die vom System ausgehen. Wesentliche Voraus- ware wie Multicore-Systeme.
setzungen der Betriebssicherheit sind, wie oben erläutert,
die funktionale Sicherheit und die Zuverlässigkeit eines Sys- Parallele Prozessoren sind nach dem Stand der Technik
tems [ISO11]. Als Zuverlässigkeit (Reliability) wird dabei im nicht geeignet, um etwa die notwendige Redundanz für
Allgemeinen – so auch in der Definition von John. D. Musa Ausfälle bereitzustellen. Insbesondere sind aktuelle Multi-
[Mus04] – die Wahrscheinlichkeit verstanden, mit der ein core-Architekturen durch die Beschränkung auf ein einzi-
System für eine bestimmte Zeitdauer in einer bestimmten ges Substrat (Single Substrate, also ein Stück Silizium, auf
Umgebung fehlerfrei arbeitet. das ein Schaltkreis aufbebracht wird) nicht in der Lage,
eine höhere Hardware-Fehlertoleranz als die grundlegende
Die DIN ISO 9126 fordert von Systemen neben Reife und Stufe 1 zu erzielen. Weiterhin sind in aktuellen Plattformen
Fehlertoleranz – also geringer Fehlerhäufigkeit beziehungs- zwar die Prozessorkerne redundant, nicht jedoch zentrale

144
Technologie und Engineering

Komponenten je Ein- und Ausgabeeinheit, Bus und Mechanismen als Systemfunktionen angewendet werden.
Speicher­verwaltung; es fehlt deshalb an den notwendigen Hierzu gehören Mechanismen zur Überwachung des Be-
Separationsmechanismen. triebszustands, etwa mittels Monitorfunktionen, die aus
Schutzzielen generiert werden und demzufolge diesen
5.2.2.2 Komponentenbeschreibung und -prüfung Zielen dienen, oder zur Absicherung des Betriebszustands,
zur Laufzeit etwa die automatische Replikation von Funktionen inklusi-
Techniken zur Beschreibung der Betriebssicherheit von Kom- ve Umschalten zwischen den Replikaten. Insbesondere sind
ponenten erlauben es, wesentliche gesicherte Eigenschaf- diese Plattformen geräteübergreifend, erlauben also einen
ten wie Reife – etwa in Form der Menge der noch im System topologieunabhängigen Betrieb der Sicherheitsfunktionen.
vorhandenen Fehler –, zulässige Anwendungskontexte oder
den Betriebszustand bei der Integration der Komponente Mit dem Anwachsen von Cyber-Physical Systems steigt auch
zur Laufzeit – also nach Auslieferung und Installation – und die Zahl der Soft- und Hardwarekomponenten auf einer
im tatsächlichen funktionalen Betrieb zu prüfen. Plattform, die Funktionen erbringen können. Gleichzeitig
werden jedoch auch mehr Sicherheitsfunktionen benö-
Diese Beschreibungstechniken machen es möglich, dass tigt. Das macht skalierende Mechanismen notwendig, um
das System, welches eine Komponente umgibt, deren zu- ­Sicherheitsanforderungen umzusetzen. Durch die Bereitstel-
verlässige Einbindung sicherstellen kann. Damit stellen die lung generischer und leicht zu nutzender Sicherheitsdienste
Komponentenbeschreibungen verbindliche Kontrakte von in Plattformen können skalierbare verlässliche Systeme rea-
Komponenten dar – sowohl hinsichtlich der Erwartungen lisiert werden.
als auch der Leistungen. Das ist besonders deshalb notwen-
dig, weil Teile von Cyber-Physical Systems in undefinierten Aktuelle Plattformen bieten im Regelfall nur wenige Sicher-
oder nur teilweise definierten Kontexten eingesetzt werden heitsmechanismen, die für die Realisierung von Sicherheits-
können, also in Kontexten, die zum Zeitpunkt des Entwurfs funktionen notwendig sind. Sie beschränken sich meist auf
nicht vollständig bekannt sind oder sich nach dem Entwurf hardwareorientierte Mechanismen wie Speicherintegrität
ändern. und Fehlereingrenzung (Fault Containment) oder hardware-
nahe Mechanismen wie Virtualisierung für die zeitliche und
Aktuelle Ansätze zur Beschreibung von Komponenteneigen- räumliche Trennung von Funktionen und Diensten. Höher-
schaften und deren Prüfung zur Laufzeit beschränken sich wertige Dienste werden meist nicht standardmäßig zur Ver-
meist auf syntaktische Eigenschaften der Komponenten fügung gestellt.
wie die Zahl und Art der Schnittstellenelemente sowie auf
einfache funktionale Aspekte. 5.2.2.4 Erweiterte Entwicklungsstandards und
Sicherheitsnormen
5.2.2.3 Übergreifende Plattformen mit hochwertigen Erweiterte Entwicklungsstandards und Sicherheitsnormen ge-
integrierten Sicherheitsmechanismen hen über Systembegriffe hinaus, wie sie durch die Konzepte
Plattformen mit hochwertigen integrierten Sicherheits­ des Produkthaftungsgesetzes geprägt sind. Dieses adressiert
mechanismen bieten für die Betriebssicherheit relevante Haftungsfragen für Systeme, die durch Hersteller für definier-
„safety@runtime“-Dienste an, die eine einfache Umsetzung te Zwecke in Umlauf gebracht werden, bis zur Außerbetrieb-
von anwendungsspezifischen Sicherheitsanforderungen er- nahme. Insbesondere unterstützen diese Standards und Tech-
möglichen. Das geschieht meist dadurch, dass generische niken die unterschiedlichen Lebenszyklen der System­teile,

145
agendaCPS

eine Verteilung von Verantwortlichkeiten, besonders recht­ Existierende Ansätze zur Bewertung der Sicherheit von Sys-
licher Art, und den Einsatz von Systemen und Komponenten temen gehen im Wesentlichen von geschlossenen Systemen
in ganz oder teilweise undefinierten Kontexten. aus. Die Tatsache, dass in Cyber-Physical Systems Teilsyste-
me interagieren, um ein gemeinsames Sicherheitsziel zu er-
Da Cyber-Physical Systems im Allgemeinen durch ein Zu- reichen, wird in bisherigen Ansätzen kaum berücksichtigt.
sammenspiel von Komponenten verschiedener Hersteller Das gilt auch für die Tatsache, dass Teilsysteme mit wider-
mit unterschiedlichen Lebenszyklen realisiert werden, müs- sprüchlichen Sicherheitszielen in Wechselwirkung gebracht
sen Normen und Standards dieser Tatsache Rechnung tra- werden.
gen, um die notwendigen und möglichen Techniken und
Verfahren für eine hinreichend verlässliche Nutzung von
CPS-artigen Systemen zu ermöglichen. 5.2.3 IT-Sicherheit: Systemeigenschaften und
Engineering-Fragen
Existierende Sicherheitsstandards gehen im Wesentlichen
von einem abgeschlossenen System mit beschränkten Wie in den Abschnitten 3.2 und 3.4 beschrieben, ist IT-
Nutzer­gruppen, klaren Verantwortlichkeiten und beschränk- Sicherheit eine elementare Anforderung an Cyber-Physical
ten Nutzungskontexten aus und ignorieren damit weit­ Systems. Die eingesetzten Technologien müssen Maßnah-
gehend die Tatsache, dass diese Einschränkungen für CPS- men zum Schutz gegen Angreifer bieten. So muss die Kom-
artige Systeme nicht realistisch sind. munikation, oft über drahtlose Kommunikationsschnitt-
stellen, abgesichert werden. Hierzu werden Technologien
5.2.2.5 Skalierbare Sicherheitskonzepte und -theorien benötigt, die sicherstellen, dass mit authentifizierten und
Skalierbare Sicherheitskonzepte und -theorien sind in der autorisierten Partnern kommuniziert wird. Weiterhin müs-
Lage, große, sehr heterogene und besonders hinsichtlich sen Inte­grität und Vertraulichkeit der übertragenen Daten
ihrer Sicherheitsziele sehr unterschiedliche Teilsysteme ein- gewährleistet sein, die Daten sind also gegen Manipulati-
heitlich zu betrachten. Sie erlauben es, eine Vielzahl inter- onen und Abhören zu schützen. Außerdem muss die Ver-
agierender Teilsysteme bei der Sicherheitsanalyse integriert fügbarkeit der Kommunikation gewährleistet sein. Das ist
zu betrachten. insbesondere dann wichtig, wenn Daten aktuell sein und
garantierte Echtzeitanforderungen eingehalten werden
Solche Konzepte und Theorien „skalieren“ also, indem sich müssen. Wenn auf Personen beziehbare Daten verarbeitet
Ausgaben einzelner Teilsysteme auf CPS-artige Systeme aus- werden, müssen Technologien zum Schutz der Privat­sphäre
weiten lassen. Besonders unterstützen diese Theorien und von CPS-Nutzern eingesetzt werden. Im Smart-Mobility-Sze-
Konzepte die modulare und hierarchische Komposition von nario etwa ist zu verhindern, dass Bewegungsprofile aufge-
Sicherheitszielen. zeichnet werden; besonders gilt es, unkontrollierte Informa-
tionsflüsse zu verhindern.
Da ein Cyber-Physical System im Allgemeinen als Kompo-
sition unterschiedlicher Teilsysteme mit zum Teil wenig Neben der Absicherung der Kommunikation müssen auch
koordinierten Sicherheitszielen realisiert wird, müssen die die beteiligten Systeme, Geräte und Komponenten abge­
Wechselwirkungen zwischen den Teilsystemen dargestellt, sichert werden, da sie oft in offen zugänglichen Bereichen
untersucht und prognostiziert werden können, um die Ver- eingesetzt werden und deshalb leicht durch physikalischen
lässlichkeit von CPS-artigen Systemen sicherzustellen. Zugriff angegriffen werden können. Darum müssen die

146
Technologie und Engineering

auf den Systemen gespeicherten Daten vor Manipulation, 5.2.3.1 Effiziente, leichtgewichtige kryptografische
Auslesen oder Zerstörung geschützt werden. Das betrifft so- Verfahren und Protokolle
wohl Systemdaten wie das Betriebssystem als auch gespei- Effiziente, leichtgewichtige kryptografische Verfahren und
cherte Daten wie Messwerte oder kryptografische Schlüssel, Protokolle, die an die Ressourcenbeschränkungen der ein-
die zur Absicherung der Kommunikation eingesetzt werden. gesetzten Systeme angepasst sind, dienen der Absicherung
Da in Cyber-Physical Systems oft unbekannte Kommunika- der Kommunikation, um Schutzziele wie Authentizität, Ver-
tionspartner interagieren oder solche, die möglicherweise traulichkeit und Integrität zu gewährleisten.
böse Absichten verfolgen (siehe Abschnitte 3.2 und 3.4),
sind Technologien zur Bewertung der Vertrauenswürdigkeit Die Verfahren und Protokolle sind an die Eigenschaften
der anderen Kommunikationspartner notwendig. und Anforderungen von CPS-Komponenten, zum Beispiel
an Ressourcenbeschränkungen, anzupassen. Eine weitere
IT-Sicherheit muss bereits bei der Entwicklung von Cyber- Herausforderung ist die lange Einsatzdauer der Komponen-
Physical Systems, aber auch später, während des Betriebs, ten: Entweder müssen Verfahren und Protokolle, aber auch
berücksichtigt werden; erforderlich sind also Engineering- kryptografische Schlüssel, ausgetauscht werden können
Fähig­keiten zur Umsetzung geeigneter IT-Sicherheits­ oder sie müssen über lange Einsatzdauer sicher sein.
konzepte, die dafür sorgen, dass die Systeme Secure by
Design und Secure during Operation sind. 5.2.3.2 Komponentenschutz durch dedizierte
Security-Hardware
Zur Umsetzung dieser Fähigkeiten werden IT-Sicherheits- CPS-Komponenten sind leicht durch physikalischen Zugriff
technologien benötigt, die unterschiedliche Ansätze ver- angreifbar. Um deren Systeme und die darauf gespeicher-
folgen. Ein Ansatz ist die Verhinderung (Prevention) von ten Daten vor Manipulationen und illegalem Auslesen zu
Angriffen. Durch Verschlüsselung wird zum Beispiel ein schützen, sind geeignete Schutzmaßnahmen nötig.
Abhören verhindert, solange Angreifer keinen Zugriff auf
die kryptografischen Schlüssel haben. Wenn Angriffe nicht Ein möglicher Ansatz, der sich insbesondere aus Kosten-
verhindert werden können oder, um die Wirksamkeit von gründen gut für Cyber-Physical System eignet, ist der
Technologien zur Verhinderung zu bewerten, bieten sich Einsatz spezieller „Hardware Security Modules“ (HSM).
Technologien zur Erkennung (Detection) von Angriffen Diese bieten sicheren Speicher und sichere Ausführungs­um­
an, die zudem geeignete Reaktionen auslösen. Hierunter gebungen für sicherheitskritische Operationen. Weiterhin
fallen Verfahren wie „Intrusion Detection Systeme“, die bieten sie oftmals zusätzliche Mechanismen, die es ermög-
Fehlverhalten von Kommunikationspartnern erkennen, oder lichen, Manipulationen an der Systemsoftware der eigent-
Attestations­verfahren, die direkt erkennen, dass Manipula- lichen Systeme zu erkennen. Diese Mechanismen können
tionen an einem System durchgeführt wurden. Der dritte auch als Basis dienen, die Vertrauenswürdigkeit von Syste-
Ansatz ist die Wiederherstellung (Recovery); dazu gehören men zu beurteilen (siehe unten). Für viele CPS-Kommuni-
Technologien wie Selbstheilung, aber auch das Tolerieren kationsszenarien bietet es sich beispielsweise an, spezielle
von Angriffen bis zu einem vertretbaren Grad. Welche Tech- Maschine-zu-Maschine-Module (Machine-to-Machine, M2M)
nologien benötigt werden, wird im Folgenden beschrieben. mit integriertem HSM zu entwickeln oder an die Kommu-
nikationsformen von Cyber-Physical Systems anzupassen.
Diese Module dienen dann als Grundlage der Absicherung
der Kommunikation zwischen einzelnen CPS-Komponenten.

147
agendaCPS

Der Großteil der derzeit eingesetzten HSM, zum Beispiel Zur Bestimmung der Vertrauenswürdigkeit werden ent­
das Trusted Platform Module (TPM), werden in klassischen weder an Cyber-Physical Systems angepasste verhaltens­
Systemen wie Desktop-PCs eingesetzt. Für den Einsatz in basierte Systeme benötigt, beispielsweise auf maschinel-
Cyber-Physical Systems dagegen müssen die HSM an deren lem Lernen basierte Anomalieerkennung, ergänzt durch ein
besondere Eigenschaften angepasst werden oder es müs- Reputationssystem. Dabei wird das Verhalten der Systeme
sen neue Module entwickelt werden. Beispielsweise gilt es, überwacht, um Änderungen oder potenziell bösartiges
die nachfolgend erwähnten Virtualisierungstechniken auf Verhalten zu erkennen und zu bewerten. Alternativ bedarf
besonders ressourceneffiziente und kostengünstige Weise es leichtgewichtiger Attestationsverfahren zur direkten
zu unterstützen. Erkennung von Manipulationen an Geräten. Diese Verfah-
ren haben den Vorteil, dass sie nicht auf unzuverlässiger
5.2.3.3 Sichere Ausführungsumgebungen Überwachung des Verhaltens von Systemen basieren, son-
Sichere Ausführungsumgebungen schotten Operationen dern die Überprüfung des Zustands der Systemsoftware
gegeneinander ab, sodass sie sich nicht gegenseitig be­ ermöglichen. Als Basis nutzen Attestationstechniken meist
einflussen können. Das ist erforderlich, weil auf CPS-Kompo- dedizierte HSM, die als Vertrauensanker dienen. Attestati-
nenten oftmals mehrere Operationen mit unterschiedlichen onsverfahren für Cyber-Physical Systems müssen wesentlich
Sicherheitsanforderungen ausgeführt werden. effizienter sein als solche für klassische Einsatzgebiete;
zudem müssen sie an die neuen HSM angepasst sein und
Sichere Ausführungsumgebungen müssen an die Cyber-Phy- gegebenenfalls Virtualisierung unterstützen.
sical Systems angepasst sein. So sind beispielsweise Virtuali-
sierungstechniken zu entwickeln, die auf den eingebetteten 5.2.3.5 IT-Sicherheits-Engineering für
Systemen einsatzfähig sind. Insbesondere müssen diese Tech- Cyber-Physical Systems
niken selbst vor Manipulationen geschützt werden. Dazu IT-Sicherheits-Engineering (Security Engineering) beschreibt
bedarf es sicherer Boot-Prozesse und Betriebssysteme unter Gestaltung und Entwicklung umfassender Sicherheitsarchi-
Nutzung geeigneter HSM. Auch eine Middleware kann den tekturen und -prozesse.
Anwendungen Sicherheitsdienste transparent zur Verfügung
zu stellen. IT-Sicherheits-Engineering muss von Beginn an Bestand-
teil der Entwicklung von Cyber-Physical Systems sein, um
5.2.3.4 Verfahren zur Bestimmung der Schutzmaßnahmen gegen Angriffe als grundlegende
Vertrauenswürdigkeit System­bestandteile zu verankern. Das ist notwendig, weil
Verfahren zur Bestimmung der Vertrauenswürdigkeit von es oft nicht möglich ist beziehungsweise nicht ausreicht,
CPS-Komponenten ermöglichen es, zu überprüfen, ob diese ­IT-Sicherheit nachträglich umzusetzen.
sich ihrer Spezifikation entsprechend verhalten.
Derzeitige Verfahren zum IT-Sicherheits-Engineering le-
Da Cyber-Physical Systems in unsicheren Umgebungen gen den Fokus auf klassische Computersysteme; an den
eingesetzt werden, können sie leicht durch Angreifer kom- Bedarf von Cyber-Physical Systems müssen sie noch
promittiert werden. Durch Verfahren zur Bestimmung der angepasst werden. So wird zur Entwicklung von CPS-
Vertrauenswürdigkeit können Kompromittierungen erkannt Technologien ein sicherer integrierter Entwurf von Hard-
werden. ware- und Software (Hardware-/Software-Co-Design) be-
nötigt, ebenso wie neue Best Practices und Standards zum

148
Technologie und Engineering

IT-Sicherheits-Engineering von Cyber-Physical Systems. vor bekannten und, in gewissen Grenzen, auch vor unbe-
Diese sollten an den Sicherheitsprozess des Bundesamts kannten Angriffen.
für Sicherheit in der Informationstechnik (BSI) [BSI10] an-
gelehnt sein, wie er in dessen IT-Grundschutz-Katalogen 5.2.3.8 Zusammenfassung
beschrieben ist. Bereits heute stellt etwa das Schutzprofil Informationssicherheit muss von Beginn an elementarer
(Protection Profile) des BSI für Smart Metering Gateways Bestandteil von Cyber-Physical Systems sein (Security by
einen ersten Schritt in diese Richtung dar, berücksichtigt Design), um sie gegen Angriffe zu schützen und somit über-
aber noch nicht alle Aspekte. haupt einsetzen zu können. Erst dadurch wird eine Akzep-
tanz bei den Nutzern erreicht. Diese Sicherheit muss auch
5.2.3.6 IT-Sicherheitsmanagement während der gesamten Laufzeit gewährleistet sein (Security
IT-Sicherheitsmanagement dient dazu, die Sicherheit wäh- during Operation). Viele Eigenschaften von Cyber-Physical
rend der gesamten Laufzeit von Cyber-Physical Systems Systems – etwa ihre unsichere Umgebung, der Einsatz res-
aufrechtzuerhalten und gegebenenfalls an neue Begeben- sourcenschwacher Systeme und lange Laufzeiten – machen
heiten anzupassen. die Entwicklung von Sicherheitstechnologien für Cyber-
Physical Systems zu einer großen Herausforderung. Hier
Zum sicheren Betrieb ist ein IT-Sicherheits-Management nö- besteht beträchtlicher Forschungsbedarf.
tig, das lange Einsatzdauern beziehungsweise den langen
Lebenszyklus von Cyber-Physical Systems berücksichtigt.
Dafür ist es erforderlich, die Sicherheitsarchitekturen so zu 5.2.4 Privatsphäre
entwickeln, dass Verfahren und Algorithmen ausgetauscht
werden können, wenn sie sich als unsicher erwiesen haben. Wie bereits in Abschnitt 4.2 erläutert, gehört der Schutz der
Genauso ist ein Austausch kryptografischer Schlüssel not- Privatsphäre (Privacy) zu den wesentlichen Akzeptanzfakto-
wendig, wenn sie kompromittiert oder wegen unzureichen- ren für Cyber-Physical Systems. Dafür ist es nicht nur nötig,
der Schlüssellängen ebenfalls unsicher wurden. Außerdem dass die technischen Systeme die Anforderungen hinsicht-
müssen Schlüssel als ungültig markiert werden, wenn Nut- lich Betriebssicherheit und IT-Sicherheit (siehe Abschnitte
zer oder Teilsysteme ein Cyber-Physical System verlassen. 5.2.2 und 5.2.3) erfüllen. Die Gestaltung von Cyber-Physical
Systems sollte vielmehr von Anfang an auch Privatsphären-
5.2.3.7 Test- und Analysemethoden Kriterien (Privacy by Design [Cav09]) berücksichtigen: Un-
Neue Test- und Analysemethoden sind zu entwickeln, die ter diesem in der Datenschutz-Community international
den besonderen Eigenschaften von Cyber-Physical Systems anerkannten Konzept versteht man das Einbeziehen von
Rechnung tragen. Test- und Analysemethoden für IT-Sicher- Privatsphäreanforderungen in allen Phasen des Lebens­
heit dienen dazu, zu überprüfen, welches Maß an Sicherheit zyklus der Systeme: bei der Konzeption, beim Entwurf, bei
erreicht wurde und ob die Anforderungen hinsichtlich der der Implementierung, Konfiguration und der Weiterentwick-
IT-Sicherheitseigenschaften erfüllt sind. lung. Ziel ist es, Risiken für die Privatsphäre möglichst zu
vermeiden oder auf ein minimales Maß zu verringern und
Durch die Komplexität von Cyber-Physical Systems sind IT- sich dabei gleichzeitig der verbleibenden Risiken bewusst
Sicherheitseigenschaften häufig schwierig, wenn nicht gar zu werden.
unmöglich formal zu beweisen. Handhabbar sind oft nur
Test- und Analysemethoden zur Überprüfung der Sicherheit

149
agendaCPS

Bei der Gestaltung von Systemen sind auf der Grundlage wie die Verantwortlichen zu erreichen sind und welches
ihres Einsatzbereichs die konkreten Anforderungen aus den Rechtssystem der Datenverarbeitung zugrunde liegt. Dabei
jeweils geltenden rechtlichen Normen zu identifizieren. Der ist zu prüfen, mit welchen Informationen die beteiligten
Einsatzbereich ist bei Cyber-Physical Systems aber nicht Sensoren, Aktoren und Systeme ausgestattet werden, was
mehr präzise eingrenzbar, denn die Systeme passen sich sie also über die jeweils verantwortliche Stelle und die gül-
an neue Anforderungen an und kooperieren mit anderen tige Rechtsprechung wissen und bei Anfragen kommunizie-
Systemen. Deshalb bietet es sich an, analog zu dem be- ren sollten.
währten Verfahren aus der Informationssicherheit und dem
IT-Grundschutz vorzugehen [BSI10]: Aufgrund des jeweils Um die Aktionen und Entscheidungen nachvollziehen und
festgestellten Schutzbedarfs für die verarbeiteten Informa- zurechnen zu können, ist für jeden Einsatzkontext fest­
tionen und technischen Systeme sind die geeigneten Maß- zulegen, welche Daten auf welche Weise mitprotokolliert
nahmen zur Umsetzung der Anforderungen auszuwählen. werden sollen und wie der Umgang mit den Protokollie-
Die drei klassischen Schutzziele der Informationssicherheit rungsdaten gestaltet wird. Das kann zum Beispiel durch
sind Vertraulichkeit, Integrität und Verfügbarkeit. Hinzu Definition der Zugriffsrechte für einzelne Personen oder Rol-
kommen drei zusätzliche Privatsphärenschutzziele Trans- len geschehen, durch das Implementieren automatischer
parenz, Intervenierbarkeit und Nichtverkettbarkeit [RP09b, Löschroutinen nach festgelegten Zeiten oder Anlässen oder
RB11]; siehe auch Abschnitt 4.2. indem Protokollierungsdaten gegen unberechtigte Zugriffe
gesichert werden.
Diese insgesamt sechs Schutzziele kann man als eine je-
weils eigene Sicht auf die Cyber-Physical Systems verstehen. Ein Ansatz, Funktion und Wirkung von Systemen wahr-
Sie stehen in einem Spannungsverhältnis zueinander, das nehmbar zu machen, besteht im Einsatz und Mitführen ei-
es auszubalancieren gilt, abhängig von der Art der Daten, nes gesonderten Geräts. Praktikabler scheint allerdings die
dem Zweck der Verarbeitung und der Risikoabschätzung. Integration der Privatsphärenmanagementfunktionen in
Im Folgenden werden für jedes Privatsphärenschutzziel bestehende intelligente Geräte. Diese Geräte werden unter
Techniken und Vorgehensweisen identifiziert, mithilfe derer dem Begriff nutzergesteuertes Identitätenmanagement für
es in Cyber-Physical Systems umgesetzt werden kann. einige Kontexte diskutiert und prototypisch realisiert.53

Transparenz Aufgrund der komplexen Wechselwirkungen und Datenflüs-


Das Schutzziel Transparenz bedeutet, dass Funktions­weise se ist anzunehmen, dass sich ein Großteil der Nutzer nicht
und Wirkung des Systems für Betroffene und Betreiber mit den Aspekten der Privatsphäre auseinandersetzen will.
jederzeit verständlich sein müssen. Bei Cyber-Physical Sys- Eine mögliche Lösung besteht darin, dass Nutzer selbst-
tems läuft ein Großteil der Datenverarbeitung ohne un­ bestimmt Personen, Organisationen oder Einrichtungen
mittelbare Interaktionen mit Nutzern ab. Damit die Betei- einbeziehen, die Unterstützungsleistungen bieten: Diese
ligten Funktions­weise und tatsächliche Datenverarbeitung können Datenschutzinteressen im Auftrag der Nutzer wahr-
– Datenflüsse und Entscheidungen – nachvollziehen kön- nehmen, für sie anschauliche Transparenz herstellen und
nen, müssen diese verständlich gemacht werden. beispielsweise abgestufte Standards von Datenschutzkonfi-
gurationen entwickeln und pflegen. Diese Unterstützungs-
Als Voraussetzung für Transparenz muss festgelegt werden, leistungen könnten sowohl von öffentlichen Einrichtungen
wer welche Teile von Cyber-Physical Systems verantwortet, als auch von privaten Anbietern erbracht werden.

53 Beispielsweise in den EU-Projekten PRIME (Privacy and Identity Management for Europe) [LSH08] und PrimeLife [FHDH+11].
150
Technologie und Engineering

Damit Wünsche und Vorgaben, die sich auf die Privat- das Recht, das System ohne besondere Gründe abzuschal-
sphäre beziehen, automatisch verarbeitet werden können, ten, etwa im privaten Lebensumfeld?
müssen sie in maschinenlesbarer Form vorliegen. Zu diesem
Zweck kann auf Richtlinienbeschreibungssprachen zurück- Daten werden in Cyber-Physical Systems normalerweise de-
gegriffen werden, die für den CPS-Kontext angepasst oder zentral verarbeitet und gespeichert. Damit Betroffene das
erweitert werden sollten. Hier besteht Forschungsbedarf, Recht auf Korrektur und Löschung beziehungsweise auf die
um Nutzern auf der Basis der in den einzelnen CPS-Kom- Sperrung ihrer personenbezogenen Daten ausüben können,
ponenten vorliegenden Privatsphärenrichtlinien (Privacy Po- ist eine zentrale Kontaktstelle (Single Point of Contact) er-
licies) jederzeit ein konsistentes und korrektes Gesamtbild forderlich, die alle beteiligten CPS-Teile über die Korrektu-
der Datenverarbeitung vermitteln zu können. Diese Richt- ren informiert.
linien könnten sowohl für CPS-Komponenten als auch für
übertragene Daten definiert werden. Hier ist zu prüfen, wo Dieselben Geräte, die zur Herstellung von Transparenz in
es sinnvoll ist, „Sticky Policies“ [CMPB03] einzusetzen, bei Cyber-Physical Systems dienen, können auch für Eingriffs-
denen die Richtlinien mit den Daten untrennbar verbunden und Konfigurationsmöglichkeiten genutzt werden. Wün-
sind, auch bei einer Datenübertragung. sche oder Vorgaben der Nutzer sollen in standardisierten,
maschinenlesbaren Sprachen hinterlegt werden können,
Intervenierbarkeit sodass nicht in jedem Einzelfall eine Aktion nötig ist. Auch
Das Schutzziel der Intervenierbarkeit fordert, dass die Betei- hier können Personen, Organisationen oder Einrichtungen
ligten den Cyber-Physical Systems nicht ausgeliefert sind, eingebunden werden, die die Nutzer unterstützen.
sondern aus eigener Souveränität eingreifen können, wenn
es ihnen erforderlich erscheint. Daraus folgt, dass auch ge- Nichtverkettbarkeit
teilte Kontrolle möglich sein (siehe Abschnitt 3.3) und dass Das Schutzziel der Nichtverkettbarkeit umfasst die Anforde-
ein weiteres Schutzziel beachtet werden muss, nämlich das rung, das Entstehen von Daten überhaupt so weit wie mög-
der Transparenz. Ohne diese beiden Voraussetzungen ist lich zu vermeiden (Datenvermeidung), in Verbindung mit
kein zielgerichteter Eingriff möglich. der Forderung, Daten und Prozesse aus unterschied­lichen
Kontexten voneinander zu trennen (Trennungsgebot). Das
Für alle Beteiligten und alle Komponenten von Cyber-Phy- Ziel ist es, Risiken durch Ansammlungen umfassend aus-
sical Systems ist Klarheit über ihre Eingriffsmöglichkeiten wertbarer Daten zu verhindern.
notwendig. Insbesondere muss deutlich werden, wo sie
Parameter verändern, die Systeme ganz oder teilweise ab- Schon beim Entwurf von Systemen und Diensten muss dar-
schalten oder die manuelle Steuerung übernehmen können. auf geachtet werden, nur so viele Daten zu erheben und zu
nutzen, wie für einen Dienst notwendig sind. Vorhandene
Häufig zieht ein Eingreifen auch eine veränderte Haftungs- Daten unterliegen der Zweckbindung: Sie dürfen also nur
situation nach sich. Deshalb müssen Eingriffe protokolliert für den Zweck – oder, weiter gefasst, für den Anwendungs-
werden. Der Umfang der Protokollierung hängt davon ab, bereich – verwendet werden, für den sie erhoben wurden.
was genau ausgewertet werden soll und wie gerichtsfest es Die Zweckbindung lässt sich technisch durch Verschlüsse-
sein muss: Waren die Beteiligten verpflichtet, das System zu lung und Zugriffsbeschränkungen unterstützen.
nutzen – wie Piloten verpflichtet sind, in bestimmten Situa-
tionen auf den Autopiloten umzuschalten – oder hatten sie

151
agendaCPS

Die Nichtverkettbarkeit kann durch eine Reihe von Maßnah- 5.2.4.1 Zusammenfassung
men realisiert werden. Dazu gehört es, Daten, die zu ver- Da die Gewährleistung von Privatsphäre zu den wichtigen
schiedenen Zwecken verarbeitet werden, physikalisch und Akzeptanzfaktoren für Cyber-Physical Systems gehören
logisch voneinander zu trennen, sie zu anonymisieren, zu wird, müssen die entsprechenden Kriterien bei der Gestal-
pseudonymisieren oder zu löschen. tung der technischen Systeme ausreichend berücksichtigt
werden. Das kann beispielsweise mithilfe der Privatsphären-
Zum Löschen nicht mehr erforderlicher Daten müssen Me- schutzziele Transparenz, Intervenierbarkeit und Nichtverkett-
thoden entwickelt werden, die auch die Protokollierungs­ barkeit geschehen, die ähnlich mit Maßnahmen zu unter-
daten mit erfassen, denn beispielsweise aus der Informa- füttern sind wie die IT-Sicherheitsschutzziele Vertraulichkeit,
tion, welche Sensoren welche Menschen wo erfasst haben, Integrität und Verfügbarkeit. Besonderes Augenmerk ver-
sind immer noch Rückschlüsse auf Personen möglich. dienen Technologien wie anonyme Berechtigungsausweise,
Identitätenmanagementsysteme und maschinenlesbare
Von besonderer Bedeutung für die Datenminimierung sind Privatsphärenrichtlinien. Es bedarf einer gemeinsamen
die kryptografischen Verfahren der „Private Credentials“ Entscheidung der Gesellschaft, des Gesetzgebers und der
[CL01] oder der „Minimal Disclosure Tokens“ [Bra00]: Da- CPS-Nutzer, welches Maß an Privatsphäre bei welchem
bei handelt es sich um anonyme Berechtigungsnachweise, Dienst gefordert ist.
deren Authentizität und berechtigte Verwendung durch
einen Nutzer gewährleistet werden und die für andere Par-
teien nachprüfbar ist, ohne dass die Nutzeridentität offen- 5.3 Engineering-Konzepte und Kompetenzen
gelegt werden muss. Da die Berechtigungsnachweise bei
verschiedenen Verwendungen unterschiedlich aussehen, ist Die in den vorangehenden Abschnitten 5.1 und 5.2 unter-
eine Verkettung durch Andere nicht möglich. Zum Beispiel suchten Techniken und Forschungsthemen bilden einen
könnten Nutzer digitale Führerscheine erhalten, die bei je- wesentlichen Teil der CPS-Kerntechnologien, die für die Re-
dem Vorzeigen unterschiedlich aussehen. alisierung der neuen Fähigkeiten erforderlich sind, wie sie
in den Szenarien – siehe Kapitel 2 – und im Abschnitt 3.5
Aufgrund der Massen von Daten, die in Cyber-Physical Sys- beschrieben werden.
tems anfallen, und der – oft gewollten – Eingriffsmöglichkei-
ten in das Leben von Menschen bergen Cyber-Physical Sys- Sowohl für die erfolgreiche Forschung auf diesen Gebieten,
tems, die nicht nach datenminimierenden Gesichtspunkten besonders jedoch für die wirtschaftlich erfolgreiche Umset-
gestaltet sind, ein erhebliches Risiko für die Privat­sphäre zung in zukünftigen CPS-Anwendungen sind umfassende
von Menschen. Selbst wenn Daten zunächst nicht perso- Anstrengungen hinsichtlich Modellbildung, Integration
nenbezogen sind, erlauben sie statistische Rückschlüsse.54 und interdisziplinäres Requirements Engineering sowie im
Das wirkt sich auch auf die Akzeptanz von Cyber-Physical Software und Systems Engineering erforderlich. Basierend
Systems aus. Es ist fraglich, ob sich bei einer derart un- auf den in Abschnitt 3.6 zusammengefassten Engineering-
kontrollierten Konzen­tration von Daten missbräuchliches Erfordernissen und einer ersten Einordnung des Standes der
Nutzen verhindern lässt und ob Begehrlichkeiten zur wei- Forschung und Praxis werden im Folgenden die notwendi-
tergehenden Verwendung effektiv zurückgewiesen werden gen Forschungsanstrengungen und Erweiterungen zusam-
können; siehe hierzu auch Abschnitt 4.2. mengefasst.

54 Selbst
anonymisierte Daten können bei hinreichender Datenmenge und entsprechendem Kontextwissen wieder deanonymisiert werden, der
Personenbezug wird zur probabilistischen Größe; siehe [WMKP10].

152
Technologie und Engineering

Auf folgenden Gebieten sind umfassende Initia­tiven erfor- Entsprechende Methoden und Verfahren finden sich in fol-
derlich: genden Quellen und Ansätzen:

—— nutzerzentrierte, partizipative und virtuelle Verfahren 1. Quality of Experience, Quality in Use [ISO10], Experi-
für Erhebung, Entwurf und Bewertung ence Labs und Usability Engineering55
—— Requirements Engineering – zentral für Gestaltung,
Entwurf sowie Validierung und Verifikation von Cyber- 2. User Centered Design [EBJ03, MOS08], Fahr- oder Flug-
Physical Systems simulation, Fahrerinformation und -assistenz [BK02,
—— grundlegende und umfassende Mensch- und System­ HAV, SANTOS, IMo, ISI, HUM]
modelle
—— integrierte und interoperable Systemarchitekturen und 3. Virtual Engineering (virtuelle Entwicklung technischer
Domänenmodelle Systeme) aus der Produktentwicklung und Industrial
—— Domänen-Engineering und Systemmanagement Engineering [ABB+09]56
—— Quality Engineering auf allen Ebenen der Entwicklung
—— Living Labs und kontrollierte Experimentierfelder Cyber-Physical Systems stellen neue Anforderungen hin-
sichtlich der Entwicklung offener Systeme, die sich an
Nutzer­bedürfnissen in global vernetzten Kontexten mit
5.3.1 Nutzerzentrierte, partizipative und großer Dynamik orientieren und sich daran anpassen.
virtuelle Verfahren für Erhebung, Dazu bedarf es eines erweiterten Untersuchungshorizonts
Entwurf und Bewertung und neuer Methoden der Problemanalyse. Außerdem gilt
es, zuvor insolierte Anforderungs- und Entwurfsmodelle
Aktuelle explorative und virtuelle Verfahren der Anforde- aufeinander abzustimmen und miteinander zu integrie-
rungserhebung, des iterativen Entwurfs und der Bewertung ren, sodass durchgängige Validierung und Verifikation
von Architektur- und Lösungskonzepten lassen sich im We- möglich werden.
sentlichen in zwei Schwerpunkte gliedern:
Im Einzelnen bedeutet das,
—— Erhebung, Entwurf und Validierung gebrauchstaug­
licher Mensch-Maschine-Interaktion und von Mensch- —— den Umfang und die Tiefe der Explorations- und Si-
Maschine-Schnittstellen mittels interaktiver Prototypen mulationsmodelle der Mensch-Maschine-Interaktion
und realitätsnaher virtueller Nutzungssimulationen zu erweitern und über bisher lokale und isolierte Nut-
—— Modellierung und Simulation von Entwürfen, Konzep- zungskontexte hinaus die Umgebung und betroffe-
ten und Lösungsmöglichkeiten (Entwurfsraumexplorati- nen Anwendungsprozesse einschließlich der Mensch-
on) von Systemen und Komponenten, auch unter Ein­ Maschine-Interaktion zu analysieren, abzustimmen und
beziehung von Modellen menschlichen Verhaltens für zusammenzuführen,
die Bewertung (Validierung und Verifikation), Entschei- —— mögliche Nutzer und Stakeholder sowie weitere Betroffe-
dung und Integration von Lösungen ne aus den Anwendungsdomänen, die die gesellschaft-
liche Vielfalt hinsichtlich Alter, Geschlecht, sozialer

55 Unter Usability Engineering versteht man den Prozess, der parallel zur klassischen Planungs- und Entwicklungsarbeit die spätere Gebrauchs-
tauglichkeit eines Systems sicherstellt. Dieser Prozess ist von iterativer Natur, denn Usability-Experten überprüfen in jedem Projektschritt die
Konformität des Systems zu den definierten Zielen und Bedürfnissen der späteren Nutzer. [Ram07]
56 Siehe auch [BUl02].

153
agendaCPS

und kultureller Herkunft und Fähigkeiten abbilden, von 5.3.2 Zentrale Bedeutung des Requirements
Beginn an in den Entwurfsprozess neuer Systeme und Engineering
Dienste zu integrieren. Sie werden dabei selbst aktive
Partner und Gestalter in der Entwicklung (siehe auch Bereits der vorhergehende Abschnitt macht die zentrale
kooperative und partizipative Gestaltung), Bedeutung des Requirements Engineering (RE) für alle
—— die Erfahrungen und Ergebnisse der Mensch-Maschine- Bereiche der Systemgestaltung – Anwendungsprozesse,
Interaktion und Forschung zu Situationserfassung und Dienste, Interaktion, Architekturen, Komponenten und
-modellierung aus der Luftfahrt auf CPS-Anwendungen Plattformen – als auch der Entwicklungsphasen der Inte-
in alltäglichen Umgebungen und Situationen mit nicht gration, Wartung und Evolution der Systeme deutlich. Zu
speziell ausgebildeten Nutzern zu übertragen und ent- den Kernaufgaben des Requirements Engineering zählt es,
sprechende Anforderungen an Systementwurf, Techno- die möglichen Problemstellungen zu erfassen, Geschäfts-,
logien und Rahmenbedingungen zu erforschen, Nutzer-, Kunden- und Prozessanforderungen herauszu-
—— den Wechsel der Perspektive von der bisher vorherr- arbeiten, Ziele und Prioritäten zu setzen, Konflikte und
schenden Anpassung des Nutzerverhaltens an Arbeits- Inkonsistenzen aufzulösen und entsprechende Anforde-
prozesse und technische Schnittstellen hin zu einer rungen an System, Komponenten, Architektur sowie hin-
Anpassung der Systeme und der Mensch-Maschine-­ sichtlich ihrer Kommunikation untereinander sowie nach
Interaktion an den jeweiligen Nutzungskontext sowie außen festzulegen.
an Bedürfnisse, Gewohnheiten und Fähigkeiten der
Nutzer, In diesem Sinn haben Anforderungs- und Systemspezifika­
—— das Vereinfachen der Konzepte für Interaktions- und tion entscheidende Funktionen:
Systemgestaltung sowie die Entwicklung erweiterter Si-
cherheitskonzepte und Architekturen in Verbindung mit —— Kommunikationsgrundlage für die Erhebung und Ab-
dem Ausloten akzeptabler Formen und Umfänge von stimmung von Anwendungswissen, Anforderungen
Entscheidungs- und Handlungsautonomie der Systeme, und Lösungskonzepten zwischen den Beteiligten an
—— den Aufbau von Kontext-, Interpretations- (X-Aware- der Systementwicklung und -nutzung,
ness) und Interaktionsmodellen sowie entsprechender —— Vereinbaren verbindlicher Aussagen und Vorgaben für
Verfahren für Virtualisierung und Simulation, die ein die Findung, Konstruktion und Abstimmung geeigne-
früh­zeitiges Erleben und Erfahren des Systemverhaltens ter Lösungskonzepte und Architekturen auf allen Ebe-
sowie Messen und Bewerten der Qualität (Quality in nen des Systementwurfs,
Use, erfolgskritische Akzeptanzkriterien57) ermöglichen. —— Grundlage für die Auswahl, Einführung und Etablie-
—— den experimentellen und sukzessiven Aufbau formaler rung geeigneter Softwareentwicklungsprozesse mit
Qualitätsmodelle und zugehöriger Architekturmuster für Freigabemechanismen („Quality Gates“),
die durchgängige Sicherstellung der Nutzungs­qualität —— Bestandteile von Verträgen, Aufträgen und Kooperati-
(Quality in Use und Quality of Service), sowohl auf al- onsvereinbarungen in Wertschöpfungsnetzen,
len Ebenen des Entwurfs und der Integration als auch —— Vorgaben von Kriterien und Messgrößen – zum Bei-
für Einsatz, Betrieb und Wartung der Cyber-Physical spiel hinsichtlich Verfügbarkeit und „Service Levels“ –
Systems und -Dienste. für den erfolgreichen Betrieb von CPS-basierten
Anwendungen,

57 Zum Beispiel hinsichtlich intuitiver und einfacher Nutzbarkeit, Verständlichkeit, Transparenz, Effektivität etc.
154
Technologie und Engineering

—— Grundlagen für Wartung, Wiederverwendung, Erweite- tung der Verfeinerungs- und Entwurfsabbildung auf allen
rung, Standardisierung und Evolution von Domänen­ Systemebenen (Traceability) unabdingbar.
wissen sowie von Anforderungs- und Systemmodellen,
—— im Falle formalisierter Anforderungsspezifikationen und Abbildung 5.1 zeigt ein Referenzmodell grundlegender An-
Systemmodelle Grundlage für die unmittelbare Um- forderungsklassen und ihrer Verfeinerungsbeziehungen. Es
setzung in ausführbare Simulationsmodelle und Proto­ ist strukturiert nach den drei Abstraktions- und Entwurfs­
typen für die erlebbare und interaktive Erprobung, Vali- ebenen der Kunden und Geschäftsanforderungen, der
dierung und Vervollständigung von Anforderungs- und Anforderungsspezifikation mit ihren Analyse- und Modellie-
Entwurfskonzepten (siehe auch Abschnitt 5.3.1). rungskonzepten sowie deren Abbildung auf grundlegende
Modelle der Anwendungs- und Systemspezifikation, die wie-
Um Anwendungsziele und Anforderungen im Systement- derum als verbindliche Entwurfsgrundlage für die System-
wurf verfolgen und ihre korrekte Umsetzung sicherstellen komponenten dienen.
zu können, sind ein Verständnis und die qualitative Bewer-

Abbildung 5.1: Überblick über zu bestimmende Inhalte der Anforderungsanalyse und Systemspezifikation (aus REM [BGK+07, GBB+06, GTKM11])

Projekt- Verfeinerungs- Funktionale ANWENDUNGS- & SYSTEMSPEZIFIKATION


bedingungen beziehung Modellbeziehung Systemmodell
Prozessmodell
Szenariomodell Verhaltensmodell
Interaktionsmodell (Modi & Zustände)
GESCHÄFTSANFORDERUNGEN ANFORDERUNGSSPEZIFIKATION

Geschäftsziele funktionale Umgebungsmodell Systemdienste


Kundenanforderungen Analysemodelle Logische Architektur &
Systemgrenzen Hierarchie
Systemvision Domänenmodell
Schnittstellen

Rahmenbedingungen
externe

Abgrenzung & Qualitätsanforderungen funktionales


Beschränkungen Annahmen & Systemkonzept
Abhängigkeiten
ROI Entwurfsvorgaben
Geschäftsrisiken
Entwurfsvorgaben
Systemerfolgsfaktoren Akzeptanzkriterien
Systemtestkriterien

Projektmanagement & -plan Prozessanforderungen & -vorgaben

155
agendaCPS

Dieses Referenzmodell eines modellbasierten Requirements staltung und Realisierung der CPS-Fähigkeiten benötigt
Engineering geht über aktuelle Ansätze des Requirements werden.
Engineering hinaus. Einschließlich der in Abschnitt 5.3.1
genannten Methoden konzentrieren sich diese nämlich Das führt zu Forschungsthemen
auf informelle Kommunikation von Nutzeranforderungen
und den Bereich der technischen Lösungen – im Einzelnen: —— in der adäquaten Erfassung, Analyse und präzisen Spe-
zifikation des offenen Anwendungskontexts, des Prob-
—— die iterative, simulationsbasierte und zunehmend auch lemraums, der Nutzerziele, der Mensch-Maschine-Inter-
die explorative Erhebung und Validierung von Anforde- aktion und gezielten Bestimmung der funktionalen und
rungen, nichtfunktionalen Anforderungen in Form formalisierter
—— Prozesse der Kommunikation und Verhandlung von An- Anforderungsmodelle. Besonders zu berücksichtigen ist
forderungen, ihre meist informelle Beschreibung und dabei die evolutionäre Entwicklung von Cyber-Physical
Spezifikation sowie ihre Zuordnung zu Entwurfselemen- Systems in Gestalt kontextadaptiver Erweiterungen zu
ten wie Schnittstellen und Systemfunktionen. neuen Funktionen und Fähigkeiten, die auf existieren-
—— Verwaltung und Zuordnungen der Anforderungen den Teilfunktionen, -diensten, Infrastrukturen oder Platt-
mithilfe allgemeiner Werkzeuge für das Anforderungs­ formen basieren.
management, —— beim Strukturieren der Systemkomplexität multifunk-
—— die Modellierung von Diensten, Interaktionen und Da- tionaler CPS-Systemverbünde (System of Systems) mit
ten im Bereich der technischen Systemspezifikation, global vernetzten Komponenten, Geräten und Diens-
also dem Lösungsbereich, ten, samt ihrer kontextabhängigen Verkettung und
—— auf die technische Kommunikation und Spezifikation Nutzung. Dazu gehören auch die Skalierung und der
von Schnittstellen und Verhaltensanforderungen sowie Entwurf von Konzepten zum Verfeinern der Nutzer­
ihrer Sicherheitsmerkmale, speziell im Bereich eingebet- anforderungen und zu ihrer Abbildung auf das System-,
teter Systeme, Komponenten- und Kommunikationsverhalten sowie
—— eine durchgängige Integration verschiedener Spezifika- auf entsprechende Architekturkonzepte mit ihren unter-
tionsbestandteile im Entwicklungsprozess in Werkzeug- schiedlichen Verfeinerungs- und Entwurfsbeziehungen,
ketten. Eine Herausforderung in diesem Zusammen- —— in der Spezifikation nichtfunktionaler Anforderungen
hang besteht darin, dass die Auffassungen von den und Qualitätsmodelle – die für die Gestaltung und Re-
Anforderungen unklar sind. Das hat zur Folge, dass die alisierung akzeptabler Cyber-Physical Systems von be-
Anforderungen nur unvollständig erfasst und nicht for- sonderer Bedeutung sind –, sowie in der Umsetzung der
malisiert dargestellt werden können; eine semantische Anforderungen in Architekturentwürfen und Modellen
Integration ist deshalb kaum machbar. auf den Ebenen der Systemintegration (Interoperabili-
tät und semantische Integration) sowie des Architektur-
Wegen der zunehmenden Offenheit, Komplexität und entwurfs; siehe hierzu auch den folgenden Abschnitt.
Neuheit zukünftiger CPS-Anwendungen und des für die
CPS-Gestaltung extrem weit gesteckten Entwurfsrahmens
liegen die Herausforderungen beim Requirements Engi-
neering vor allem in der Erhebung, Analyse und Spezifi-
kation der Anforderungen, die für die angemessene Ge-

156
Technologie und Engineering

5.3.3 Umfassende und integrierte Mensch-, Komplexitätsreduktion und damit einfachere Beherrschung
System- und Architekturmodelle von Cyber-Physical Systems, um weitere Qualitäts-, Produk-
tivitäts- und Effizienzgewinne zu erreichen, sowie mögliche
CPS-Szenarien, -Anwendungen und -Nutzenpotenziale Kosteneinsparungen werden aktuell im Engineering unter
durchdringen alle Lebensbereiche. Das macht tiefe Analy- den folgenden Stichpunkten erforscht:
sen erforderlich, um ein umfassendes Verständnis der Zu-
sammenhänge heutiger und künftiger Anwendungswelten —— modellbasierte beziehungsweise modellgetriebene Ent-
zu gewinnen. Es gilt, dabei auch alle Beteiligten und Syste- wicklung, desgleichen Architekturentwurf und -bewer-
me sowie die erforderliche Mensch-System-Kooperation zu tung, Test, Integration sowie Systemanalyse und Veri-
erfassen und abzustimmen. fikation,
—— Mensch-Maschine-Systeme und menschliche Faktoren,
Für eine angemessene Gestaltung, Konstruktion und Be- Letztere meist beschränkt auf die Nutzung und Bedie-
herrschung von Cyber-Physical Systems sind integrierte nung von Systemen in der Arbeitswelt,
Beschreibungs-, Konstruktions- und Systemmodelle sowie —— Virtual Engineering,
Architekturkonzepte aus folgenden Bereichen notwendig: —— evolutionäre Softwareentwicklung
—— Wiederverwendung (Re-use)) und Software-Produkt­
—— Ingenieurdisziplinen und Naturwissenschaften; im Ein- linien
zelnen: Maschinenbau, Elektrotechnik, Physik, Chemie —— im Bereich der reinen Softwareentwicklung generative
und Biologie Programmierung und Synthese.
—— Informations- und Kommunikationstechnik (IKT), ein-
gebettete Systeme, Internet, Sensorik, Netzwerke und 5.3.3.1 Zentrale Bedeutung integrierter
Systemmanagement Modelle und Architekturen
—— menschliches Denken, Verhalten und komplexes Pro- Eine besonders wichtige Anforderung beim Engineering
blemlösen, basierend auf Modellen und Ergebnissen von CPS-Anwendungen ist die Erarbeitung integrierter
von Kognitionspsychologie, Neurowissenschaften und Beschreibungs- und Konstruktionsmodelle sowie von Ver-
Gehirnforschung fahren, mit denen sich die CPS-Kernfähigkeiten, samt der
—— Sozialwissenschaften, soziale Netzwerke und die forma- erforderlichen Architekturen und Anwendungsplattformen
le Analyse von Organisations-, Akteurs- und weiteren realisieren lassen. Darüber hinaus gilt, es, die Einhaltung
Netzwerken nichtfunktionaler Anforderungen in offenen Systemen
—— Nutzung dieser Konzepte und ihre Integration mit Mo- nachzuweisen und die in den Abschnitten 3.5 und 3.6
dellen der Informatik angesprochenen Herausforderungen zu bewältigen. Zu
beantworten sind Fragen hinsichtlich der Integration auf
Beschreibungs-, Analyse- und Konstruktionsmodelle mit der technischen Ebene, der Mensch-Maschine-Interaktion
formalisierter Spezifikationssprache und Semantik erlauben sowie der Wirtschaftsbeziehungen, Geschäftsmodelle, Öko­
die gezielte Erhebung, aussagekräftige Spezifikation und systeme und ihrer Architekturen.
systematische Validierung, Verifikation und Qualitätssiche-
rung von Anforderungen und Systementwürfen; siehe auch Einerseits ist zu klären, wie die physikalischen Modelle aus
Abschnitt 5.3.2. dem Maschinenwesen und verwandten Ingenieurdisziplinen

157
agendaCPS

mit digitalen Modellen des Software und System Enginee- Erforderlich ist auch eine Integration mit Modellen der
ring besser integriert werden können. Gerade im Umfeld Wirtschaftswissenschaften und Ökonomie. Dabei geht es
von Regelungstechnik, Modellierungstechnik in Software- zum Beispiel um die Gestaltung von Geschäftsmodellen,
und System-Engineering und klassischen Modellen sowie Konzepte für den Kundennutzen, die Ermittlung von Ak-
der Konstruktionslehre im Maschinenwesen besteht hier zeptanzfaktoren und erweiterte Qualitätsmodelle sowie um
eine Fülle von Herausforderungen. So haben etwa zum Be- integriertes Engineering in Wertschöpfungsnetzen und Öko-
reich Smart Grid unterschiedliche Disziplinen ihre Beiträge systemen. Dieser Punkt wirkt sich auch auf die künftige Ge-
geleistet: Fachleute der Informatik, Informations- und Kom- staltung der Unternehmensgrenzen und -beziehungen und
munikationstechnik, aber auch für Energienetze und End­ in dem Zusammenhang auf die Frage aus, wie künftig In-
geräte, etwa für Smart Metering. vestitionen, Umsätze und Erträge sowie der mittelbare und
langfristige Return on Investment (RoI) aufgeteilt werden.
Andererseits gilt es zu untersuchen, welche Modelle, Ver-
fahren und interdisziplinären Forschungsanstrengungen 5.3.3.2 Anforderungsgerechte und
benötigt werden, um die tiefgreifenden Veränderungen der integrierte Architekturen
Mensch-Maschine-Interaktion zu erfassen und zu analysie- Für die Integration der Begriffswelten und Modellierungs-
ren, die durch Cyber-Physical Systems sowie durch Informa- konzepte sind im Engineering einheitliche Anforderungs-
tions- und Kommunikationstechnologien, speziell durch das modelle und Architekturkonzepte erforderlich, strukturiert
Internet, ausgelöst werden. Auch die umfassenden gesell- nach Abstraktions- und Systementwurfsebenen sowie funk-
schaftlichen und politischen Auswirkungen müssen unter- tionalen Modellierungssichten, wie sie beispielsweise in den
sucht sowie für Nutzer und Gesellschaft brauchbare und ak- Verfeinerungsebenen und Systemsichten des funktionalen
zeptable CPS-Anwendungen und Dienste gestaltet werden. Systemkonzepts in Abbildung 5.1 und in [GS07, Sch04]
für eingebettete Systeme zusammengefasst sind. Dies gilt
Bereits in der künstlichen Intelligenz, der Robotik sowie in sowohl für die Beschreibung und Modellierung von Pro-
den Assistenz- und Verkehrsmanagementsystemen haben blemstellungen und ihren Anforderungen sowie für den
Modelle der Kognitions- und Verhaltenspsychologie sowie Systementwurf als auch für ihre Integration, Validierung,
der Soziologie58 wesentliche Beiträge geleistet. Diese inter- Evolution und Abstimmung zwischen den Stakeholdern –
disziplinäre Forschung gilt es, im Kontext von Cyber-Physical Kunden, Nutzern und Ingenieuren verschiedener Diszipli-
Systems auszubauen und in alle Aufgaben des Engineerings nen. Folgende Referenzarchitekturen wurden entwickelt:
zu integrieren. In diesem Sinne muss die Zielsetzung der
Akzeptanzforschung erweitert werden. Sie muss künftig —— allgemeine Referenzarchitekturen der Systementwick-
über die individuelle unmittelbare Nutzerperspektive hin- lung, zum Beispiel das TOGAF-Framework [TOG09]
ausgehen59 und sich zusätzlich der tiefer gehenden Mensch- für die Entwicklung von Informationssystemen, das
System-Interaktion in Cyber-Physical Systems und ihren NATO-Architecture Framework [DoD09a, NAF07] für
Auswirkungen auf die Gesellschaft zuwenden. Diese neue die Entwicklung eingebetteter Systeme im militärischen
Akzeptanzforschung ist in das Engineering zu integrieren. Bereich und das allgemeine V-Modell-XT60

58 Siehe auch Projekte innerhalb des DFG-Schwerpunktprogramms Sozionik (= Soziologie + Informatik) [FFM05, Soc07].
59 Zielesozialwissenschaftlicher Akzeptanzforschung von Innovationen nach [Rei82, Man83, Sim01] sind es, die Gründe für eine Annahme oder
eine Ablehnung einer konkreten Innovation durch potenzielle Nutzer zu erforschen. Das geschieht unter zwei Perspektiven: die Erklärung von
Wechselwirkungen zwischen der Einführung von Innovationen und ihren Auswirkungen und (2) der gestalterischen Zielsetzung - Hinweise für
die weitere Ausgestaltung von Innovationen im Hinblick auf ihre Nutzung durch die Anwender zu geben. (zusammengefasst aus [Qui06]).
60 Siehe [FSHK09].

158
Technologie und Engineering

—— domänenspezifische Referenzarchitekturen und Stan- Kern aller Systemarchitekturkonzepte ist eine Strukturie-
dards, zum Beispiel IMA (Integrated Modular Avionics rung nach folgenden System- und Abstraktionsebenen
[IMA]) im Bereich der Avionik, der AUTOSAR-Standard (siehe Abbildung 5.2) sowie Systemsichten:
[AUT] im Bereich der Automatisierungssysteme in der
Fahrzeugentwicklung, [Gif07, MLD10, Dra10] und —— Funktionsebene: strukturierte Sicht von außen, also
die EPC-Global-Architektur [ABD+10] in Handel und aus Sicht der Nutzer oder anderer Systeme, auf die ver-
Logistik. Sie verfügen auf der technischen Architektur­ fügbaren Funktionen und Dienste eines Systems – Funk-
ebene, aber auch im Bereich der Kommunikationsnetze, tions- oder Dienstearchitektur
Energienetze und der Logistik, über formalisierte und —— Logische Architekturebene: Sicht auf die Struktur des
standardisierte Architektur- und Schnittstellenspezifika- Systems, also auf seine logische Gliederung in Kompo-
tionen für die modellgetriebene Entwicklung sowie für nenten, Schnittstellen und Interaktionsbeziehungen für
die herstellerübergreifende Integration und Interopera- die optimale Umsetzung der Dienste, die auf der Funk-
bilität von Komponenten und Funktionen. tionsebene angeboten werden. Damit verknüpft sind
Anforderungen und Fragen hinsichtlich der Aufteilung
der Architektur, beispielweise nach

Abbildung 5.2: Strukturierung nach System- und Abstraktionsebenen sowie ihren Verfeinerungsbeziehungen (vereinfachte Abbildung aus [TRS+10,
BFG+08]). Die Abstraktionsebene der Nutzer- und Anwendungsprozesse, die die Funtkionalität des Systems nutzen, ist in diesem Bild nicht berück-
sichtigt; siehe auch die Inhalte der Geschäfts- und Anforderungsspezifikation in Abbildung 5.1.

ABSTRAKTIONS-/SYSTEMEBENEN

Dienstarchitektur
(Funktionale Architektur)

Logische Teilsystemarchitektur
Verfeinerungs-
und Realisierungs-
beziehungen zwischen
Systemebenen

ECU ECU Abhängigkeit zwischen


Technische Architektur Funktionen
ECU ECU
ECU: Electrical Control Unit
ECU Steuergerät

159
agendaCPS

—— Steuerungs- und Koordinationsaufgaben, die zen­tral Abstimmung anhand von Einsatzszenarien aus den Be-
erledigt werden oder auf mehrere Komponenten reichen Medizin, Avionik, Automotive, Energienetze und
verteilt sein können, Automatisierung grundlegende formale und semantisch
—— der Konzentration zeitkritischer Bearbeitungs­ fundierte Architekturmodelle für eingebettete Systeme.
aufgaben in einer Komponente, Sie nutzen die oben zusammengefassten Potenziale der
—— der Auslegung redundanter Architekturen für sicher- modellbasierten Entwicklung und durchgängigen Validie-
heitskritische Anwendungen, rung und Verifikation.
—— geeigneten Architekturentwürfen für nichtfunktio-
nale Anforderungen; siehe auch die wesentlichen Für die strukturierte Beschreibung der Nutzungs-, Prozess-
Akzeptanzfaktoren für Cyber-Physical Systems in und Umgebungsanforderungen an die Systeme werden
Abschnitt 3.4 und die Technologiekonzepte für in den Referenzarchitekturen die folgenden Abstraktions­
ihre Umsetzung in den Abschnitten 5.2, Sicherheit ebenen zusammengefasst:
und Schutz der Privatsphäre, sowie 5.3.5, Qualitäts-
Engineering. —— Geschäftsarchitekturen samt ihrer Zielsysteme und der
—— Technische Architektur: bestimmt die technische Um- relevanten Begriffswelt
setzung und Architektur der Funktionalität sowie ihre —— Anwendungs-, Nutzungsprozess- und Organisations­
Abbildung auf modelle sowie Umgebungsarchitekturen
—— Software (Code-Architektur, Laufzeitsystem und —— umfassendere operationelle Umgebungsmodelle im
Laufzeitelemente etc.), Bereich der Luftfahrt, der Aufklärungseinsätze von
—— Hardware (Prozessoren, Steuergeräte, CPUs), Kom- Drohnen – zum Beispiel bei Naturkatastrophen – oder
munikationsverbindungen (Bussysteme), vernetzter Systeme im militärischen Bereich, etwa „Ope-
—— Sensorik, Aktorik, Mensch-Maschine-Interaktions- rational und Capability Views“ im Architektur-Frame-
Komponenten. work des US-Verteidigungsministeriums (Department of
Der Schwerpunkt liegt bei der Abbildung und Ver- Defense Architecture Framework, DoDAF).
teilung der logischen Funktionen auf konkrete Soft-
ware- und Hardware-Architekturen, etwa Sicherheits­ Für das Engineering von Cyber-Physical Systems liegen die
mechanismen in der technischen Kommunikation, oder wesentlichen Herausforderungen in der Erforschung und
Multicore-Architekturen. Konzeption adäquater Architekturmodelle und Entwurfs­
methoden, die die Charakteristika von Cyber-Physical Sys-
Entsprechende Architekturfragen gelten auch für den tems abbilden und ihre neuen Fähigkeiten realisieren kön-
Entwurf intelligenter Umgebungsstrukturen, Infrastruktu- nen. Im Einzelnen:
ren –, zum Beispiel nach der Anordnung und geeigneten
Kontrollstrukturen der verschiedenen Komponenten einer —— Im Architekturentwurf von CPS-Komponenten, bei-
intelligenten Kreuzung oder der Aufteilung medizinischer spielsweise von eingebetteten Systemen, ist der Blick-
Versorgungszentren für eine medizinische Fernbetreuung – winkel von einer geschlossenen Systembetrachtung
und CPS-Plattform (siehe Abschnitt 5.3.3.3 und Anhang B). mit festen Zielen und vorgegebenen Einsatzbedin-
gungen und Anforderungen zu erweitern. Im Archi-
Im Rahmen des Verbundprojekts SPES 2020 [SPE] ent- tektur- und Schnittstellenentwurf gilt es, sich auf den
wickeln hierzu Forschungs- und Industriepartner in enger offenen Nutzungskontext, die Vielfalt der Einsatz- und

160
Technologie und Engineering

Integrationsanforderungen sowie ihre ungewissen Ver- mit unbekannten Systemen und Funktionen zusammen-
netzungs- und Adaptionserfordernisse einzustellen. geführt werden können. Zudem ist es wichtig, dass die
—— Auf den oberen Abstraktionsebenen der Problem-, An- Mechanismen auf allen Systemebenen interoperabel
wendungs- und Anforderungswelten ist ein tieferes Ver- sind und sich hinsichtlich der Anforderungen der Nutzer
ständnis der Einsatzgebiete notwendig. Es sind Verhal- und der Anwendungsprozesse anpassen und integrie-
tensmuster, Domänen- und Umgebungsmodelle sowie ren lassen. Abbildung 5.3 zeigt die Integrationserforder-
Architekturen auf- und auszubauen, die geeignet sind, nisse und den Zusammenhang auf den verschiedenen
CPS-Dienste und Funktionen auf allen Systemarchitek- Systemebenen.
turebenen gestalten und integrieren zu können. —— Die komplexen nichtfunktionalen Anforderungen an
—— Insbesondere gilt es, neue Anforderungen und Me- Cyber-Physical Systems müssen verstanden werden.
chanismen für die lokale und globale Gestaltung der Gleiches gilt für die Erfordernisse hinsichtlich der Ge-
Dienste und Funktionsarchitekturen zu erforschen. Sie staltung, des verteilten Entwurfs und der offenen
müssen in verschiedenen Kontexten eingesetzt sowie Komposition von Diensten und Komponenten auf den

Abbildung 5.3: Abstraktions- und Entwurfs- sowie Integrations- und Interoperabilitätsebenen von Cyber-Physical Systems.

Integrierte Kunden-
und Nutzungsprozesse

Nutzersichtbare Interoperabilität

Dienstintegration
entsprechend Nutzungsbedarf

Semantische Interoperabilität

Domänenspezifische Architekturen
und Plattformen
Mobility E-Health Factory

Technische Interoperabilität

CPS Middleware, Plattform, Kommunikationsinfrastruktur mit grundlegenden Diensten

161
agendaCPS

einzelnen Entwurfs- und Integrationsebenen des Sys- 5.3.3.3 Offene CPS-Plattform mit grund­legenden Inter-
tems – Nutzungsprozessebenen, Funktions- und Dienste­ operabilitäts- und Quality-of-Service-Diensten
ebenen, logische und technische Architekturebenen – Wesentliche technische und strategische Basis für die Inno-
und der Umgebung.61 Konzepte für Schnittstellen und vationsvielfalt und evolutionäre Anwendungsentwicklung
Protokolle sowie für Interaktions- und Kooperations­ von Cyber-Physical Systems sind offene CPS-Plattformen mit
verhalten sind festzulegen. Hierzu sind auch Verfahren grundlegenden Interoperabilitäts- und Quality-of-Service-
der nutzer­zentrierten Architekturexploration und -bewer- Diensten. Sie bieten generische Basisfunktionalitäten für
tung nötig; siehe auch Abschnitt 5.3.1. sichere Vernetzung, Vermittlung und Integration von CPS-
—— Die Basisaufgabe und Herausforderung auf der techni- Anwendungen und deren evolutionäre Weiterentwicklung.
schen Architekturebene besteht darin, einheitliche Kom-
munikations- und Middleware-Plattformen für Cyber- In Anhang B sind wesentliche Funktionalitäten, die von
Physical Systems zu erforschen und aufzubauen. Das zukünftigen CPS-Plattformen erbracht werden sollten, am
vorrangige Ziel ist es, generische und domänenüber- Beispiel der Domäne Automobil zusammengefasst. Auf
greifende Netz- und Kommunikationsstrukturen, Proto- Basis von Experteninterviews sind dort folgende CPS-Platt-
kolle, Interoperabilitätsstandards sowie grundlegende formdienste beschrieben:
CPS-Dienste und Qualitätssicherungsmechanismen zu
schaffen (siehe auch nachfolgenden Abschnitt 5.3.3.3). —— Komponentenmanagement
—— Sensorik zur Erfassung der physikalischen Umwelt und
Alle potenziellen CPS-Anwendungsbereiche erfordern ein tie- von Kontexten, ferner zur Datenfusion und Zeitsynchro-
fes Verständnis der jeweiligen Systemcharakteristika der CPS- nisation
Anwendungen und ihrer Gestaltung. Zu untersuchen sind: —— dynamische Verwaltung von Daten und Diensten,
einschließlich Plug-and-Play-Mechanismen sowie Auf-
—— der Grad an Offenheit, Adaptivität und für die gezielte gaben der Lastverteilung und standortunabhängige
Nutzung erforderlichen Interoperabilität zwischen den Kommunikation
Systemen, auch hinsichtlich der Kooperation mit frem- —— Diensteinteraktion, Kontrakt- und Sitzungsmanagement
den Systemen und Diensten sowie der domänenüber- —— Überwachung, Adaption und Kommunikation der
greifenden Integrationsmechanismen Quality of Service
—— die erforderlichen Formen vollständiger oder teilweiser —— Selbstheilung und Rekonfiguration
Autonomie und Selbstorganisation mit entsprechen- —— Dienste und Hardware für IT-Sicherheit
den Architektur-, Kommunikations- und Kompositions­ —— Intermodalität und Übersetzung von Ontologien, Da-
prinzipien tenformaten und Protokollen

Vordringlich ist hierbei die Zusammenführung grund­ 5.3.3.4 Nutzerzentrierte und nutzersicht­bare Inter­
legender Systemmodellierungskonzepte der beteiligten operabilität – Kooperationsmodelle der
Disziplinen (siehe auch Abschnitt 5.3.3.1), eine offene CPS- Anwendungswelten
Plattform mit standardisierten Vermittlungs- und Quality-of- Zu den wesentlichen Fähigkeiten von Cyber-Physical Systems
Service-Diensten (siehe nachfolgender Abschnitt) und ein gehört ihre kontinuierliche Erfassung und die Integration
Systemmanagement autonomer und evolutionärer Systeme der jeweiligen lokalen, regionalen und globalen Kontexte;
(siehe Abschnitte in 5.3.3 und 5.3.4). siehe Abschnitt 3.4. Damit im Rahmen integrierter

61 Beispielsweise der intelligenten Infrastruktur im Verkehr (Mobilitätsszenarien) oder in Gebäuden (AAL-Szenarien).


162
Technologie und Engineering

CPS-Prozesse die verschiedenen Anwendungssysteme und tion, den Kontext und die aktuellen Ziele und Wün-
ihre Dienste genutzt werden können, sind neben der tech- sche des Nutzers wissen oder von anderen Systemen
nischen und semantischen Interoperabilität auf Funktions- in Erfahrung bringen, um situationsgerecht handeln
ebene adaptive Schnittstellen und Modelle des jeweiligen zu können? Wie viel Kontrolle über diese vernetzten
Nutzungskontexts der Anwendungswelten (Domänenmo- Aktivitäten des Systems haben Nutzer, wie viel Kon­
delle) erforderlich. Beginnend mit integrierten und forma- trolle sollen sie haben?
lisierten Begriffswelten (Ontologien) gilt es, aus Sicht der
Anwendungen und ihrer Nutzer Zielsysteme sowie Kon- Die offenen Fragen beziehen sich nicht nur auf die Inter­
text62 – und Architekturmodelle aufzubauen, zu erweitern operabilität der Anwendungssysteme und die dazu er-
und kontinuierlich zu validieren63, die miteinander kompa- forderlichen Domänenmodelle und Technologien. Sie
tibel sind. betreffen auch grundsätzlich die Gestaltung der Mensch-
Maschine-Interaktion in Cyber-Physical Systems, bis hin zu
Hierin liegt eine der größten Herausforderungen für die Ge- den damit verbundenen gesellschaftlichen Aspekten; siehe
staltung brauchbarer und akzeptabler Cyber-Physical Sys- hierzu auch Kapitel 4.
tems. Völlig unklar ist derzeit hierbei jedoch die Gestaltung
der Mensch-Maschine-Interaktion. Folgende Fragen gilt es 5.3.3.5 Anforderungsverfolgbarkeit –
in diesem Zusammenhang zu beantworten: Voraussetzung für die Bewertung von
Entwurfs- und Kooperations­entscheidungen
—— Wie einfach müssen Kooperation, Verkettung und Die genannten Referenzarchitekturen und ihre spezifischen
Dienste­integration zwischen CPS-Komponenten gestal- Ausprägungen in verschiedenen Anwendungsdomänen,
tet sein, damit die Nutzer Situationen und Systeme einschließlich ihrer Interoperabilitäts- beziehungsweise Ko-
einschätzen und beherrschen können? Wie viel Einsicht operationsmodelle, definieren je nach Formalisierungsgrad
in die Vernetzungsaktivitäten und -zustände des jeweili- und Vollständigkeit die Verfeinerungs- und Entwurfsbe-
gen Systems benötigen die Nutzer? ziehungen64. Damit legen sie Konstruktions- und Kompo-
—— Wer oder was – Menschen, Systeme, Teilsysteme – ent- sitionsregeln fest, die Entwicklung, Anpassung und – zur
scheidet über die Auswahl und Kooperation mit geeig- Laufzeit – Kooperation in CPS-Anwendungen und vernetz-
neten Diensten und auf welcher Entwicklungsebene ten Systemverbünden bestimmen. Diese Beziehungen zwi-
geschieht das? schen den Elementen der Anforderungsspezifikation und
—— Wie viel autonomes Handeln der Systeme ohne Mit- des System­entwurfs werden auch Traceability-Beziehungen
sprache der Benutzer im Bereich der Vernetzung, Quali- genannt.
tätsbewertung von Diensten und Kooperation ist für die
jeweilige Situation angemessen und für den einzelnen Voraussetzung für die in Abschnitt 5.3.3.3 diskutierte Kon-
Nutzer annehmbar? textintegration und für ein nutzerzentriertes Verhalten von
—— Was muss andererseits das Cyber-Physical Systems, Cyber-Physical Systems ist folglich auch eine Formalisierung
beispielsweise ein digitaler Assistent, über die Situa- der jeweiligen Nutzer- und Stakeholder-Anforderungen,

62 Komplexe Umgebungs-, Prozess-, Situations- und Regelmodelle.


63 Beispielsweise explorative Methoden und Erprobungen der Anwendungen in Living Labs.
64 Der Dienst Abstandhalten eines ACCs (Adaptive Cruise Control) im Fahrzeug aus den logischen Funktionen Abstand messen, erforderliche

Geschwindigkeit berechnen und Geschwindigkeit aussteuern und regeln (Motor); Die Funktionen Abstand messen und Geschwindigkeit berech-
nen werden wiederum durch entsprechende Sensoren, Kommunikation und Berechnungen auf der technischen Entwurfsebene realisiert. Diese
Beziehungen zwischen den Systemabstraktionsebenen werden daher auch als Verfeinerungs- und Entwurfsbeziehungen bezeichnet.

163
agendaCPS

Domänen- und Kontextmodelle sowie der möglichen Ab- Beteiligten werden meist unvollständig erhoben, analy-
bildungen dieser Anforderungen auf die Dienste, die sie siert und unzureichend spezifiziert. Ihre Sicherstellung, Va-
realisieren, sowie auf die Kooperationen der CPS-Archi- lidierung und Verifikation im Entwurf sind deshalb kaum
tekturen und Komponenten. Diese übergreifende und möglich [GTKM11].
durchgängige Verfolgung von Anforderungen, besonders
von solchen nichtfunktionaler Art, ermöglicht die durch- Die Anforderungen an Cyber-Physical Systems sowie ihre
gängige Validierung und Verifizierung von Entwurfs- und Entwurfs- und Vernetzungsbeziehungen unterliegen dyna-
Kooperationsmöglichkeiten hinsichtlich der Erfüllung der mischen evolutionären Veränderungen. Zusammen mit der
Nutzer- und Kundenanforderungen. Das gilt sowohl in der nutzer- und kontextabhängigen Auswahl und Gewichtung
Entwicklung als auch zur Laufzeit der Systeme. in den jeweiligen CPS-Anwendungen führt das zu einer
enormen Komplexität. Die größten Herausforderungen für
Bereits in der derzeitigen Entwicklung eingebetteter die Beherrschung der Systeme liegen in der Entwicklung
Systeme bestehen große Defizite hinsichtlich der durch- geeigneter Anforderungs- und Kontextmodelle, Abstrakti-
gängigen Erhebung, Spezifikation und Sicherstellung onsmechanismen und Skalierungskonzepte für das Anfor-
funktionaler und nichtfunktionaler Anforderungen. Nut- derungs- und Systemmanagement. Ohne diese Vorausset-
zungsanforderungen sowie Annahmen der Ingenieure zungen wäre eine zielorientierte und brauchbare Nutzung
über die Umgebung, ihre Prozesse und das Verhalten der der Modelle kaum möglich.

Abbildung 5.4: Für die agendaCPS modifizierter Referenzprozess des Produktlinien-Ansatzes PRAISE (wie in [Ber07] zitiert)

Rückmeldung/
DOMÄNEN-ENGINEERING Architekturanpassung
Domänen-
Domänenanalyse Domänenentwurf
implementierung
Altsystem & -Code
Domänenexpertise
Domänenterminologie Refererenzarchitektur Wiederverwendbare
Referenzanforderungen Komponenten
...

Bibliothek
Scoping von Domänen-
(Abgrenzung) Anforderungen Verfolgbarkeit Komponenten komponenten
ARCHITEKTUREN Verfolgbarkeit
(Plattform)

Neue
Anforderungen
Anwendungs- Anwendungs-
Anwendungsentwurf
anforderungen realisierung

ANWENDUNGS-ENGINEERING

164
Technologie und Engineering

5.3.4 Domänen-Engineering und System­ dungsarchitekturen, -plattformen und Architekturkonzepte


management samt Kompositions- und Integrationsmechanismen erarbei-
tet werden; das gilt auch für die Umsetzung nichtfunkti-
Domänen-Engineering umfasst die Erfassung domänen- onaler Anforderungen. Das geschieht zwar in erster Linie
spezifischen Wissens als Grundlage für Entwicklung und domänenspezifisch, die Kompositions- und Integrations­
Evolution von Systemen, Produkten und Dienstleistun- mechanismen müssen jedoch domänenübergreifend inter-
gen einer Domäne. Das schließt Methoden der Analyse operabel gestaltet werden; siehe die genannten Interopera-
und Modellierung von Anforderungen in der Domäne bilitäts- und Quality-of-Service-Dienste von CPS-Plattformen
ein, außerdem Entwurf und Modellierung generischer Lö- in Abschnitt 5.3.3.
sungsarchitekturen für Produktfamilien, die Konzeption
wiederverwendbarer Komponenten, Funktionen und Diens- Zu den Forschungsschwerpunkten gehört auch die Unter-
te der Architektur und die Evolution der Domänen-, Ar- suchung und Erarbeitung von Evolutionskonzepten für CPS-
chitektur- und Implementierungsmodelle. Teilthemen des Architekturen, besonders hinsichtlich der Wechselwirkung
Domänen-Engineerings sind Wissensmodellierung auf Basis zwischen domänenspezifischen, domänenübergreifenden
von Ontologien in der Domänenmodellierung und domä- und generischen Architekturen und Architekturmustern.
nenspezifischen Sprachen für die Programmentwicklung. In der Softwareentwicklung werden solche Fragen unter
den Begriffen evolutionäre Softwareentwicklung, Modell-
Abbildung 5.4 zeigt die Grundkomponenten eines Domä- entwicklung, evolutionäre Softwarearchitekturen und ihre
nen-Engineerings, wie es im Bereich der Produktlinienent- Wiederverwendung erforscht. Inwieweit sich Erkenntnisse
wicklung softwareintensiver Systeme seit Jahren erforscht aus diesem Bereich für die domänenübergreifende und
[KCH+90, Ber07] und zunehmend auch im Bereich kom- hochgradig interdisziplinäre CPS-Evolution nutzen lassen,
plexer eingebetteter Systeme eingesetzt wird. Stellvertre- ist noch ungewiss.
tend für die verschiedenen Ansätze gibt die Abbildung
einen Überblick über die systematische Entwicklung und 5.3.4.1 Domänen-Engineering offener
die Evolution domänenspezifischer Anwendungs- und Ent- CPS-Anwendungen und Plattformen
wicklungsplattformen sowie ihrer Engineering-Bausteine Von besonderer Bedeutung für das Domänen-Engineering
– siehe Bibliothek von Kernkomponenten der Domäne in von Cyber-Physical Systems sind
Abbildung 5.4. Es handelt sich dabei beispielsweise um
Domänen­modelle, Architekturmuster sowie um Entwurfs- —— die Bestimmung und Entwicklung geeigneter Domänen­
und Validierungsmethode. Die Bibliothek hat das Ziel, dass modelle65 einschließlich verschiedener Sichten und An-
die Elemente in spezifischen Anwendungsentwicklungen forderungen von Nutzern und Stakeholdern,
(siehe Anwendungs-Engineering) eingesetzt beziehungs- —— die Erarbeitung von Mechanismen zur Auswahl und Ab-
weise wiederverwendet, angepasst und weiterentwickelt grenzung (Scoping) von Umgebungsausschnitten sowie
werden können. von Problem- und Aufgabenstellungen, die in einer kon-
kreten Anwendung jeweils relevant sind,
Zur praktischen Bewältigung der genannten Herausforderun- —— die Konzeption interoperabler Architektur- und Kom-
gen müssen in den Anwendungsgebieten iterativ, in Entwick- positionsmuster für die Realisierung nichtfunktionaler
lungs- und Explorationszyklen, domänenspezifische Anwen- Anforderungen; siehe auch 5.3.5 Quality Engineering,

65 Kontextwissen,
Umgebungsmodelle, -Architekturen, Nutzer- und Beteiligtenmodelle, Ziele- und Anforderungsmodelle, Modellierungsprinzipien
und -methoden, Geschäfts- und technische Regeln, physikalische Beschränkungen.

165
agendaCPS

—— flexibles Tailoring von Entwicklungsprozessen sowie von —— nach Risikoabschätzung und Bewertung: Inwiefern
Lifecycle- und Integrationsmanagement unterschied­ haben autonome Teilsysteme oder Funktionen von
licher CPS-Komponenten und Subsysteme, sowohl über Cyber-Physical Systems Auswirkungen, die nicht mit
Domänen- als auch über Unternehmensgrenzen hinweg, den Zielen oder Bedürfnissen der Beteiligten überein-
etwa bei Fernwartung oder Update, Austausch und Evo- stimmen?
lution von Komponenten, auch im laufenden Betrieb, —— aber auch grundlegende Fragen nach operativer
—— Mechanismen zur Wiederverwendung und Anpassung System­abgrenzung, Autonomie und Selbstorganisation
sowie Variantenmanagement einschließlich einer entsprechenden CPS-Anwendungs-
—— und das komplexe Management der Anwendungs- und und Systemklassifikation und -charakterisierung
Domänenplattformen für das Engineering sowie für An-
wendungen und Werkzeuge; diese entwickeln sich teils Hierbei gilt es folgende Perspektiven zu unterscheiden
evolutionär – mit mitunter nicht eindeutig bestimmbaren
Effekten –, aber auch revolutionär, also mit disruptiven —— auf das Systemmanagement auf der Anwendungs­
Wirkungen auf die jeweiligen Domänen. ebene, also das Management soziotechnischer Systeme
mit Menschen und sozialen Gruppen als vernetzte Be-
5.3.4.2 Systemmanagement und Engineering von standteile und Akteure des Anwendungssystems (siehe
Autonomie und Evolution auch Abschnitt 4.1.4),
Neben dem Thema der Evolution von CPS-Anwendungs­ —— auf das Systemmanagement der darunterliegenden
architekturen und -plattformen gilt es, Modelle, Methoden technischen Systemebene, zum Beispiel von kritischen
und Verfahren des Engineerings autonomer, selbstorgani- Infrastrukturnetzen wie Smart Grids; siehe auch Inter­
sierender und lernender Systeme zu entwickeln. Folgende dependent Networks66 [Uli],
Fragen des Systemmanagements sind zu beantworten: —— auf das komplexe Zusammenwirken dieser beiden
System­ ebenen und damit auch auf die Steuerungs­
—— nach geeigneten Formen und Umfängen von Autono- mechanismen und Effekte auf der Ebene gesellschaft-
mie, beispielsweise für die Umsetzung der neuen CPS- licher Fragen der Mensch-Maschine-Interaktion, der
Fähigkeiten und ihrer Anforderungen Sicherheit, Fairness und Akzeptanz sowie möglicher
—— nach der Abwägung (Trade-off) und geeigneten Ent- Kontrollverluste (siehe Kapitel 4).
scheidung zwischen zentralem Systemmanagement,
dezentraler Selbstorganisation oder Kombinationen Vorrangige Aufgaben im Engineering sind hierbei die Be-
beider Formen stimmung der gesellschaftlichen und wirtschaftlichen Zie-
—— hinsichtlich kritischer Systemeigenschaften von Cyber- le, ihre nichtfunktionalen Anforderungen, Vorgaben und
Physical Systems im Allgemeinen und domänenspezifi- Regeln sowie ihre Umsetzung und Sicherstellung beim Ent-
scher Anwendungen im Besonderen wurf und Management der Systeme (Compliance).

66 „Esgibt drei Arten von voneinander abhängigen Netzwerken in der heutigen kritischen Infrastruktur: (1) Supply Networks: Transportnetz für
Strom, Öl und Gas; Wasserverteilungsnetze; Transport-/Straßentunnelsysteme; Produktionsfluss-Lieferketten; Gesundheitssysteme (2) Cyber-
Netzwerke: Fernsteuerung und SCADA-Netzwerke (SCADA: Supervisory Control and Data Acquisition), E-Banking- und Finanznetzwerke, etc. (3)
Management- und Organisationsnetzwerken, in denen Mitarbeiter die Dienste überwachen und/oder verwenden, die von den oben genannten
Systemen geliefert werden.“ [Uli, CNI06, BBB04].

166
Technologie und Engineering

5.3.5 Qualitäts-Engineering Akzeptanzfaktoren Individualisierbarkeit, Handlungs­


freiheit und Sicherstellung der Einhaltung von Garantien
Hinsichtlich des Engineerings der Qualität unterscheidet hinsichtlich des Schutzes der Privatsphäre diskutiert. Durch
Garvin fünf Aspekte [Gar84]: die Vernetzung der CPS-Komponenten und die zuneh-
mend offene Nutzung der CPS-Dienste in neuen und un-
—— transzendente Qualitätssicht – Qualität als immanente bestimmten Kontexten stellen die Qualitätsanforderungen
Güte hinsichtlich Betriebs- und IT-Sicherheit sowie Verlässlichkeit
—— produktbasierte Qualitätssicht – Qualität als die Sum- von Cyber-Physical Systems bereits eine große Herausfor-
me bestimmter Produkteigenschaften. Anhand dieser derung für das Engineering dar; siehe Abschnitte 3.2 und
Eigenschaften können Qualitätsmerkmale und -maße 5.2. Auch die Bestimmung von kontext- und nutzerindivi-
vereinbart werden und Produkte oder auch CPS-Dienste duellen Qualitätsanforderungen sowie ihre Kosten-Nutzen-
hinsichtlich ihrer Qualität miteinander verglichen wer- gerechte Umsetzung in CPS-Produkte und Dienstleistungen
den, zum Beispiel nach den nachfolgenden Aspekten. in vernetzten CPS-Anwendungen stellt alle Beteiligten vor
—— anwenderbasierte Qualitätssicht – individuelle enorme Herausforderungen. Hier sind ein Umdenken und
Qualitäts­anforderungen und die entsprechende Bewer- umfassend integrierte Anstrengungen in allen Bereichen
tung von Produkten und -eigenschaften der Wertschöpfungskette erforderlich.
—— herstellungsbasierte Qualitätssicht – Qualität als das
Ergebnis von Herstellungsprozessen. Sie wird bestimmt Immer wichtiger werden allgemeine Qualitätsmodelle
durch den Grad der Erfüllung vorgegebener Anforde- sowie Modelle und Standards für Quality-in-Use-Kriterien
rungen beziehungsweise der Spezifikation. – zusätzlich zu Quality of Service –, samt ihrer Bewertung
—— wertbasierte Qualitätssicht – Qualität als das Ergebnis sowie entsprechender Engineering-Verfahren und -prozesse
eines Kosten-Nutzen-Vergleichs, sowohl auf Kunden- (siehe etwa die in der ISO/IEC 25000 [ISO10] aufgegan-
und Nutzer- als auch auf Herstellerseite gene Norm ISO 9126). Für all das zeichnen sich jedoch erst
allmählich domänenspezifische Normen ab, zum Beispiel
In der Summe ist die Qualität eines Produkts oder Dienstes die Ergänzungsnormen zu ergonomischen Forderungen der
nicht einheitlich bestimmbar; sie ist sicherlich das Ergebnis Normenreihe EN/IEC 60601 [IEC10] aus dem medizintech-
vielfältiger Vergleiche und Kosten-Nutzen-Abwägungen, so- nischen Bereich.
wohl in der Wertschöpfungskette als auch bei den Nutzern.
Durch den unbestimmten und evolutionären Charakter von Auf die neuen Herausforderungen der vernetzten intel-
Cyber-Physical Systems mit umfassender Durch­ dringung ligenten Technik von Cyber-Physical Systems sind diese
gesellschaftlicher und wirtschaftlicher Prozesse sind die Modelle und Normen aber bei Weitem nicht ausgerichtet.
geeignete Qualitätsbestimmung samt der Ableitung von Weder die Anforderungen hinsichtlich Unternehmens- und
Qualitätsvorgaben sowie ihre Sicherstellung in Spezifika- stake­holderübergreifender Analyse und Abstimmung der
tion, Entwicklung und integriertem Betrieb wesentliche Qualitäts­anforderungen noch ihre Umsetzung in inter­
Erfolg­faktoren. operablen Architekturen, Schnittstellen und Kompositions-
protokollen oder vereinbarten Quality-of-Service-Garantien
In den vorigen Abschnitten wurden wesentliche Qualitäts- werden bislang erfüllt. Das gilt speziell für die Forderung
faktoren wie Sicherheit, Verlässlichkeit und Brauchbarkeit nach einer erweiterten Sicherheits- und Risikoanalyse für
(Usability) der CPS-Dienste, aber auch die grundlegenden Cyber-Physical Systems (siehe hierzu auch Abschnitt 5.2).

167
agendaCPS

5.3.5.1 Erweiterte Qualitätsmodelle und Betriebssicherheit und IT-Sicherheit sowie zum Schutz der
integrierte Methoden der Validierung und Privat­sphäre in Abschnitt 5.2.
Verifikation
Für Cyber-Physical Systems sind wesentliche nichtfunktiona- Interdisziplinäre und integrierte Forschungsanstrengun-
le Anforderungen an Brauchbarkeit und Beherrschbarkeit gen: Im Zusammenhang mit der Vernetzung und offen
der Systeme sowie die ungewisse Nutzung und Verkettung verketteten Nutzung von CPS-Diensten gilt es, Fragen der
von CPS-Diensten in offenen Anwendungskontexten in die Mensch-Maschine-Interaktion und -Kooperation auf allen
Sicherheitsanalysen von CPS-Anwendungen einzubeziehen. Ebenen in die Systemgestaltung und des Entwurfs zu adres-
Ferner gilt es, entsprechend erweiterte valide und verbind­ sieren und nicht nur im Hinblick auf die erweiterten Anfor-
liche Normen sowie Standards zu schaffen. Benötigt werden derungen hinsichtlich Risikoanalyse und Sicherheit. Bei der
umfassende Qualitätsmodelle, Methoden und durchgängi- CPS-Nutzung auftretende menschliche Fehler sind auch un-
ge Verfahren der Analyse, Spezifikation und Sicherstellung ter der Perspektive grundlegender Fehler in der Konzeption
nichtfunktionaler Anforderungen in Entwurf, Betrieb und der Mensch-Maschine-Interaktion zu betrachten (siehe auch
evolutionärer Nutzung von Cyber-Physical Systems, die den Abschnitt 4.1.1). Auch für die Akzeptanz der Systeme – eine
erweiterten Qualitätsanforderungen Rechnung tragen. Das unabdingbare Voraussetzung für wirtschaftlichen Erfolg
schließt interoperable Anwendungs- und CPS-Plattformen – gilt es, grundlegende Faktoren wie angemessene Funk-
mit integrierten Architekturkonzepten und Best Practices tionalität, Bedien- und Beherrschbarkeit der Systeme sowie
zur Gewährleistung der erforderlichen Qualität ein, außer- Verlässlichkeit und Vertrauen in Cyber-Physical Systems zu
dem durchgängige Methoden der Validierung und Verifika- berücksichtigen. Die bereits am Anfang des Abschnitts
tion; siehe auch Abschnitte 5.3.3 und 5.3.4. Zu erarbeiten aufgezeigte Komplexität der Qualitätsanforderungen zeigt,
sind geeignete und praktikable Methoden der interdiszipli- dass interdisziplinäre Anstrengungen im Engineering der
nären Analyse und Modellierung von Qualitätsanforderun- Systeme, der Domänen sowie ihrer technischen und wirt-
gen und ihre Umsetzung in interoperablen und verbindlich schaftlichen Plattformen vor dem Hintergrund der Wert-
festgelegten funktionalen Architekturkonzepten auf allen schöpfung in Ökosystemen erforderlich sind.
Ebenen des Systementwurfs (siehe Abbildung 5.3).
Abbildung 5.5 fasst Aufgaben und Bedeutung eines inter­
Benötigt werden formalisierte Qualitätsmodelle für die prä- disziplinären Engineerings mittels integrierter Modelle,
zise Spezifikation von Quality-in-Use-Anforderungen in offen Architekturen und Plattformkonzepte zusammen. Diese
vernetzten Nutzungskontexten, die über die aktuellen Stan- Konzepte werden bestimmt durch gesellschaftliche und
dards hinausgehen, wie sie etwa in den Ergänzungsnormen wirtschaftliche Anforderungen der jeweilen Anwendungs-
der Normenreihe EN 60601 der Medizintechnik [DKE10] domänen. Sie erfordern eine explorative und inkrementelle
oder auch in der ISO-Norm 26262 für sicherheitsrelevante Vorgehensweise in der Systementwicklung – interaktiv und
elektrische und elektronische Systeme in Kraftfahrzeugen partizipativ mit Nutzern und Betroffenen – sowie die früh-
[ISO11] festgelegt sind. Außerdem bedarf es verlässlicher zeitige Technikfolgenanalyse.
Qualitätsaussagen mit Verfahren der Validierung, Verifi-
kation und Zertifizierung für die erweiterte Gestaltung Gesellschaftlicher Diskurs und interaktive Evolution
und Qualitätssicherung von Cyber-Physical Systems. Dazu von Technik und Gesellschaft: Die Methoden des Engi-
sind umfangreiche und integrierte Forschungsanstrengun- neerings erfordern eine systematische Unterstützung von
gen erforderlich; siehe auch die Abschnitte zu erweiterter Innova­tionssystemen (siehe Abschnitt 7.1) etwa durch Living

168
Technologie und Engineering

Labs und Experimentierfelder. Dies schließt einen intensiven Die Politik ist gefordert, auf der Grundlage der genann-
Diskurs in Gesellschaft, Politik und Wissenschaft ein, um Ri- ten Anforderungen Compliance-Vorgaben, Rahmenbedin­
siken und mögliche negative Auswirkungen der CPS-Techno- gungen, Vorgaben und Regeln auszuarbeiten und die
logien zu erfassen. Ferner ist zu analysieren, wie Gefahren erweiterten Qualitätsanforderungen und Compliance-
und unerwünschten disruptiven Effekten in der Wirtschaft Vorgaben in Qualitätsmodellen für alle System-, Entwurfs-
systematisch entgegengewirkt werden kann. und Organisationsebenen in Entwicklung und Einsatz von
Cyber-Physical Systems abzubilden; siehe Abbildung 5.5.

Abbildung 5.5: Integrierte Engineering-Modelle und -Verfahren sowie ihr interaktiver Einsatz in der interdisziplinären und partizipativen Entwick-
lung und Evolution von Cyber-Physical Systems

INTERDISZIPLINÄRES ENGINEERING

Anforderungs-
Engineering
Engineering Domänen- Domänen- Engineering
Mensch-Maschinen-Interaktion
integrierte Modelle integrierte Modelle
& Architekturen
spezifisch spezifisch & Architekturen
Grundl. Modelle &
Architektur

INTEGRIERTE MODELLE UND ARCHITEKTUREN

169
agendaCPS

5.4 Zusammenfassung der technologischen Darüber hinaus werden Modelle, Methoden und Techni-
Herausforderungen ken des kooperativen und strategischen Handelns – mit
Mensch-Maschine-Interaktion oder autonom – benötigt; im
Im Folgenden werden die zuvor aufgezeigten Heraus­ Einzelnen sind dies
forderungen in Bezug auf Technologien und umfassende
Engineering-Konzepte für die erfolgreiche Gestaltung, Ent- —— Technologien der kontinuierlichen Kontext- und Prozess-
wicklung und Beherrschung von Cyber-Physical Systems integration; hierzu notwendig sind
zusammengefasst. Was Technologien für die Realisierung —— die Erstellung und Validierung komplexer Umge-
zentraler CPS-Fähigkeiten betrifft, liegen die vordringlichen bungs- und Domänenmodelle,
Forschungsthemen in der Entwicklung von Modellen, Me- —— eine Verbesserung der Verarbeitungs- und Kom-
thoden und Techniken munikationsgeschwindigkeit von Prozessoren und
Kommunikationsmedien sowie
—— der umfassenden Kontexterfassung und -verarbeitung so- —— die Erstellung und Validierung komplexer Anforde-
wie der Erhebung und Modellierung von Anforderungen, rungsmodelle – funktional- und nichtfunktional – samt
—— der Mensch-Maschine-Interaktion und -Kooperation sowie entsprechender Qualitätsmodelle,
—— geteilter Kontrolle und Koordination in komplexen —— die Entwicklung und Validierung von Interoperabilitäts-,
Handlungssituationen. Architektur- und Kompositionskonzepten auf verschie-
denen Ebenen: technisch, semantisch, nutzersichtbar,
Im Einzelnen erforderlich sind kontrollierbar und steuerbar; siehe nachfolgende The-
men des Engineerings.
—— die Erstellung und Validierung von Umgebungs- und —— die Entwicklung und Validierung von Risiko- und
Domänenmodellen, besonders von Nutzermodellen und Konflikt­modellen sowie von Verfahren zu ihrer Erken-
Modellen sozialen Verhaltens; hierzu notwendig sind nung und Verringerung oder Behandlung einschließlich
—— Modelle und Methoden der Absichtserkennung, —— erweiterter Methoden und Techniken der Risikoerken-
—— Handlungs- und Interaktionskonzepte für Mensch- nung und -bewertung
Maschine-Koordination und geteilte Kontrolle, —— sowie Entscheidungskonzepte und -mechanismen.
—— Verfahren der Konflikterkennung und -auflösung,
—— Modelle und Technologien der Selbstanalyse und -diag- Zum Kanon der Anforderungen zählen auch Modelle, Me-
nose in diesen komplexen Handlungssituationen, thoden und Techniken des Kontextlernens und der Verhal-
—— multimodale Schnittstellen, tensanpassung; hierzu gehören
—— verbesserte Sensortechnologien und -netze,
—— die Verarbeitung und semantische Aggregation gro- —— die Entwicklung und Validierung von Lern-, Organisa-
ßer Datenmengen in Echtzeit sowie tions-, Handlungs- und Kooperationsstrategien sowie
—— die semantische Hinzufügung (Annotation) gewon- von Planungskonzepten und -methoden samt entspre-
nener und zur Verfügung gestellter Daten. chender Technologien und
—— die Entwicklung von Strategien und Konzepten für den
Umgang mit unsicherem Wissen.

170
Technologie und Engineering

Benötigt werden integrierte Modelle aller Anwendungs- Technologiefragen der IT-Sicherheit; benötigt werden
und Wissenschaftsbereiche. Das umfasst Modelle für die —— Technologien und Verfahren effizienter und leicht-
vernetzte physikalische Echtzeitwahrnehmung und -steue- gewichtiger, ressourcensparender kryptografischer
rung, Modelle von Umgebungen, Situationen, Kontexten, Verfahren,
Menschen, Verhalten, Problemen und Zielen sowie Aufga- —— Technologien und Verfahren für IT-Sicherheitshard-
ben-, Handlungs- und interaktive Steuerungsmodelle. Zu- ware, besonders Virtualisierungstechniken mit dem
sätzlich gilt es, Systemmodelle der Informatik-, Natur- und Ziel der Ressourceneffizienz und Kostensenkung,
Ingenieurwissenschaften sowie der Kognitionspsychologie, —— Virtualisierungstechniken zur Abschottung und Be-
Sozial- und Wirtschaftswissenschaften interdisziplinär zu reitstellung sicherer Ausführungsumgebung, etwa
integrieren; siehe auch nachfolgend: hybride System- und auf CPS-Plattformen,
Architekturmodelle im Engineering. —— Verfahren zur Bestimmung der Vertrauenswürdig-
keit von CPS-Komponenten sowie
Bei den Technologien zur Erfassung und Umsetzung nicht- —— ein umfassendes IT-Sicherheits-Engineering und
funktionaler Anforderungen liegen die Forschungsfragen in -management mit Konzepten und Technologien
folgenden Bereichen für den sicheren integrierten Entwurf von Hard-
und Software, mit Best Practices und Standards
Verlässlichkeit und erweiterte Betriebssicherheit; im samt Lebenszyklusmanagement und konstruktiver
Vorder­grund stehen Sicherungs­prinzipien wie Security by Design und
—— Selbstreflexion, Selbstdokumentation und Selbst­ Security during Operation.
heilung
—— die integrierte Betrachtung von Betriebs- und IT- Technologiefragen hinsichtlich des Schutzes der Privat-
Sicherheit sphäre; benötigt werden
—— zuverlässige Multicore-Prozessoren und Sicherheits- —— Konzepte, Techniken, Mechanismen und Vorgehens-
architekturen weisen zur Erreichung der Schutzziele Transparenz,
—— Komponentenbeschreibung und -prüfung zur Lauf- Intervenierbarkeit und Nichtverkettbarkeit sowie der
zeit – für das Eingehen verbindlicher Kontrakte IT-Sicherheitsschutzziele Vertraulichkeit, Integrität
– einschließlich der Entwicklung und Verifikation und Verfügbarkeit,
von Modellen und Techniken zur Beschreibung von —— konstruktive Sicherungskonzepte in Architektur und
Eigen­schaften von Komponenten und deren Prü- Entwurf: Privacy by Design,
fung sowie Kontraktmechanismen, —— Verfahren und Techniken der Sicherung während
—— Entwicklung übergreifender Plattformen mit umfas- des Betriebs: „Privacy during Operation“,
send integrierten Sicherheitsmechanismen, —— sowie die Erforschung und Weiterentwicklung zu-
—— erweiterte Entwicklungs- und Sicherheitsnormen, kunftsweisender Technologien, beispielsweise ano-
—— skalierbare Sicherheitskonzepte und -theorien, nyme Berechtigungsausweise, Systeme für das Iden-
—— modulare und hierarchische Komposition von titätsmanagement und maschinenlesbare Policies.
­Sicherheitszielen – hinsichtlich gemeinsamer Ziele,
aber auch hinsichtlich der Wechselwirkungen und Gerade weil Cyber-Physical Systems offen vernetzt sind und
des Umgangs mit widersprüchlichen Zielen. integriert arbeiten, müssen diese Technologiethemen in um-
fassend interdisziplinäre Engineering-Fragen eingebunden

171
agendaCPS

werden. Die wichtigsten Herausforderungen und For- —— erweiterte Verfeinerungs- und Abbildungskonzepte zur
schungsthemen für das Engineering sind: Umsetzung und Einhaltung nichtfunktionaler Anforde-
rungen und Qualitätsvorgaben sowie
—— nutzerzentrierte, partizipative, explorative und virtuelle —— erweiterte Vertragsmechanismen, Lösungs- und Ent-
Erhebungs-, Entwurfs- und Bewertungsverfahren, wurfskonzepte zur Sicherstellung von Quality-in-Use-
—— die Entwicklung geeigneter Modelle, Methoden und Ver- und Quality-of-Service-Garantien.
fahren zur Erhebung, Gestaltung, Validierung und Verifi-
kation von Anforderungen sowie zu ihrer Verfolgung und Sowohl in stärker geschlossenen Anwendungsbereichen
Sicherstellung in Entwurf und Integration; besondere He- großtechnischer Infrastruktursysteme, zum Beispiel in
rausforderungen sind hierbei die Komplexität der Anfor- Energie­netzen oder verteilten Produktionsnetzen, als auch
derungen in einem offenen Kontext- und Problemraum in den darüber liegenden offenen sozialen Infrastruktur­
und die Anforderungsdynamik, die durch Kontextwech- netzen und Managementsystemen, beispielsweise der
sel und -adaptionen verursacht wird, Energie­versorgung oder des Verkehrsmanagements in Städ-
—— Erhebung, Skalierung, Strukturierung und Formalisie- ten und Gemeinden, stellen sich folgende CPS-spezifischen
rung integrierter Modelle von Domänen, Nutzern, Stake­ Forschungsaufgaben und -fragen:
holdern und Anforderungen
—— die Entwicklung und Validierung von Viewpoint- und —— Analyse und Erarbeitung von Modellierungs- und Steu-
Scoping-Konzepten und entsprechenden Mechanismen erungskonzepten komplexer teilautonom arbeitender
—— deren Skalierung einschließlich modularer und hierar- Systeme, einschließlich der Kontrolle ihrer möglicher-
chischer Verfeinerung und Abbildung auf interoperable weise spontan auftretenden (emergenten) Effekte,
Architekturen sowie auf Interaktions-, Kompositions- sowohl in der autonomen Technik als auch in den be-
und integrierte Verhaltensmodelle. troffenen soziotechnischen Systemen samt der sozialen
Umgebung
Die besonderen Herausforderungen liegen hier in der —— Sicherheit und Verlässlichkeit, aber auch Fairness und
Komposition lokal und global wirkender CPS-Dienste und Compliance der in sozialen und wirtschaftlichen Kon-
-Architekturen sowie in der Abbildung und Sicherstellung texten autonom handelnden Systeme
nichtfunktionaler Anforderungen. Das führt hin zu den For-
schungsthemen Für die genannten Engineering-Aufgaben werden integrier-
te hybride System- und Architekturmodelle benötigt; hybrid
—— Entwicklung und Validierung von Interoperabilitäts-, bezeichnet hier verteilte
Architektur- und Kompositionskonzepten auf den ver-
schiedenen Systemebenen (technisch, semantisch, nut- —— analog-digitale Kontroll- und Steuerungsmodelle,
zersichtbar, kontrollierbar und steuerbar), also die Ent- —— Mensch-Technik-Interaktions- und integrierte Handlungs­
wicklung von Konzepten zur semantischen Komposition modelle sowie
und Integration von Komponenten und Diensten auf —— sozio-technische Netzwerke und Interaktionsmodelle.
diesen Ebenen
—— erweiterte Konzepte für Interaktionen, Verhandlungen-, Bedeutende Aufgaben bei der Realisierung dieser Systeme
Kompositionen-, Kooperationen- und Handlungen, sind der Aufbau und das Management standardisierter

172
Technologie und Engineering

Domänen­modelle, interoperabler Anwendungsarchitektu- Physical Systems. Spezielle Herausforderungen liegen in der


ren und -plattformen sowie domänenübergreifender Kom- Modularisierung, Gewährleistung der Interoperabilität und
munikationsplattformen und Middleware-Dienste für Cyber- Sicherstellung der erforderlichen Quality of Service.

173
Geschäftsmodelle und Ökosysteme

6 Geschäftsmodelle und Ökosysteme

Die identifizierten Trends der Informations- und Kommuni- Die technologischen Trends und die Allgegenwart vernetz-
kationstechnik (IKT) – das Internet der Daten, Dinge und ter adaptiver Technik haben einen Wandel von Produkten
Dienste sowie die interaktiv mitbestimmten Anwendungen und Dienstleistungen hin zu offen kooperierenden Sys­
und weitreichenden Fähigkeiten von Cyber-Physical Sys- temen und Anwendungen ausgelöst, die durch interaktive
tems – schaffen eine hohe Veränderungsdynamik für Wirt- Mitgestaltung der Nutzer arbeiten. Das führt zu steigen-
schaftsprozesse und -beziehungen. Diese ist gekennzeichnet der Innovationsdynamik und Marktunsicherheit. Die weit­
durch vielfältige Änderungen der Kundenanforderungen, reichenden Fähigkeiten der IKT- und CPS-Technologien
zunehmende Globalisierung und Internationalisierung und die stimulierten Kundenanforderungen führen von
mit volatilen Märkten67 und Beziehungen mit erhöhtem der klassischen isolierten Produktentwicklung hin zur inte­
Flexibilisierungs-, Kosten- und Innovationsdruck. Diese Dy- grierten und interaktiven Erbringung umfassender Dienst-
namik löst einen Wandel bestehender Wirtschaftsformen leistungen, die an Nutzungsprozesse und -kontexte ange-
hin zur interaktiven Wertschöpfung, Kundenbeziehung passt sind. Softwarekompetenz und -technologie werden
und Problem­lösung68 aus, einen Übergang zu kooperativen zu entscheidenden Erfolgsfaktoren. Heute rein mechanik-
Unternehmensnetzwerken und Ökosystemen mit neuen For- und hardwareorientierte Unternehmen müssen sich zu
men integrierter Geschäftsmodelle.69 Unternehmen mit ausgeprägter Systementwicklungs- und
Softwarekompetenz wandeln – mit allen dazu benötigten
Dieses Kapitel identifiziert wesentliche Faktoren und Merkma- Technologie- und Engineering-Kompetenzen. Das fällt vie-
le dieses Wandels und fasst die Herausforderungen für Wirt- len der traditionell geprägten Unternehmen des Maschi-
schaft, Unternehmen und ihre Geschäftsmodelle in bestehen- nen- und Anlagenbaus schwer, weil ihre Kompetenzen in
den und zukünftigen CPS-Anwendungsdomänen zusammen. der Vergangenheit darin lagen, Mechanik, Elektrik und
Steuerung geschlossener Systeme zu beherrschen und ihre
Systemprodukte in domänenspezifisch gewachsenen fes-
6.1 Ausgangsbasis und Herausforderungen ten Wertschöpfungsketten beziehungsweise Verbünden zu
des Wandels entwickeln und zu vertreiben. Die Entwicklungsgeschwin-
digkeit von IKT und ihr Einsatz in traditionellen Produkten
Die intelligente Erfassung und interaktive Nutzung von Da- überfordern schon heute viele Unternehmen; nicht nur
ten der realen Welt durch Cyber-Physical Systems revolutio- KMU, auch viele Großunternehmen stehen weitgehend un-
niert Anwendungen, Nutzungs- und Geschäftsprozesse. Mit vorbereitet vor diesen Herausforderungen. Parallel zu den
der globalen Vernetzung und dem domänenübergreifenden Überlegungen zum zukünftigen Geschäftsmodell müssen
Zusammenwachsen verschiedener Branchen birgt dies für je- die Unternehmen darum vor allem Software- und Systems-
des Unternehmen, ob Großkonzern, Mittelständler oder Klein­ Engineering-Kompetenzen aufbauen und ihre Organisation
unternehmen (KMU), hohe Risiken, aber auch große Chancen auf die künftigen Anforderungen zuschneiden.
für die Weiterentwicklung seines Geschäftsmodells. Denn
dieses Internet der Daten, Dinge und Dienste und die neuen Technologie entscheidet dabei nicht allein über den
Möglichkeiten von Cyber-Physical Systems schaffen ein Um- wirtschaftlichen Erfolg und Marktanteile. Technologi-
feld für radikale und disruptive Geschäftsmodellinnovationen. en, besonders im IKT-Bereich, unterliegen einer zügigen

67 Ereignisse und Verhalten der Akteure am Markt; folgende Arten werden unterschieden: Ereignisunsicherheit (exogene Unsicherheit) und Markt­

unsicherheit (endogene Unsicherheit).


68 Zur Entwicklungsgeschichte und Formen der interaktiven Wertschöpfung und Innovation (Open Innovation) siehe [RP09a].
69 Die in dieser Studie verwendeten Definitionen von Ökosystem, Geschäftsmodell und ihrer Komponenten werden in Abschnitt 6.1.1 ausführlich

beschrieben.

175
agendaCPS

Kommodifizierung.70 Sie werden in immer kürzer werden- für Endanwender anzubieten. Beispiele aus der Gesund-
den Zeitabständen weiterentwickelt, aber auch kopiert, und heitsbranche sind etwa telemedizinische Patientenüber­
dadurch schnell in der Breite für die Konkurrenz verfügbar. wachung, AAL und Internetgemeinschaften. Im Bereich
Um diesem Trend entgegenzuwirken, müssen sich Firmen Heim- und Gebäudeautomatisierung werden Lösungen
stärker differenzieren, unter anderem dadurch, dass sie den für das intelligente Management dezentraler Energie­
Kunden noch stärker maßgeschneiderte Lösungen anbieten erzeugungssysteme – Windenergie oder Photovoltaik – ent-
als bisher. wickelt. Diese Beispiele verdeutlichen, dass Firmen neue
Kompetenzen erschließen, neue Geschäftsmodelle aus­
Der mit Cyber-Physical Systems verbundene Wandel der probieren und neue Märkte agiler besetzen müssen.
Kunden­ anforderungen und die Möglichkeiten der um-
fassenden Kontexterfassung, Durchdringung und Unter­ Cyber-Physical Systems entstehen im Verbund von Unter-
stützung von Arbeits- und Alltagsprozessen erfordern nehmen aller Branchen und Größenordnungen. Die Funk-
den Aufbau von Wissen über Kundenprozesse und ver- tionsbeschreibung der Szenarien in Kapitel 2 verdeutlicht,
trauenswürdige Kundenbeziehungen – sei es im Bereich dass viele unterschiedliche Komponenten, Dienste und
der Produktion und Logistik, der Nutzung in der medizi- Wirtschaftsleistungen im Zusammenhang mit Cyber-Phy-
nischen Versorgung oder von Prozessen im privaten Be- sical Systems integriert werden müssen. Kommunikation,
reich. Kunden­orientierte Geschäfts­modelle, geprägt durch Vernetzung und Interoperabilität sind grundlegende Fähig­
interaktive Wertschöpfung mit Kunden und externen Pro­ keiten der Komponenten auf allen Systemebenen: Firmen
blem­lösern, sowie Innovationsprozesse, die sich in orga- aus verschiedenen Industriesegmenten müssen ihre Soft-
nisationsübergreifenden Netzwerken realisieren, werden ware- und CPS-Kompetenz ausbauen, sich öffnen, ihre Sys-
zum entscheidenden Wettbewerbsfaktor. In der Folge ver- teme untereinander vernetzen, verstärkt mit Software- und
schmelzen traditionell isolierte Geschäftsmodelle der pro- Telekommunikationsanbietern kooperieren und so Kompe-
duzierenden Industrie, wie der Verkauf von Produkten, mit tenzen zusammenführen, die für Entwicklung und Betrieb
software­getriebenen Geschäfts­modellen. Diese umfassen von Cyber-Physical Systems samt ihrer Dienste notwendig
den Verkauf von Lizenzen oder zeitlich beschränkten Nut- sind. In Interaktion mit Kunden werden Problemstellun-
zungsrechten mit Wartungs­verträgen und Serviceanteilen. gen und Anwendungsszenarien analysiert und integrierte
Unternehmen wandeln sich so von reinen Produkt- zu Lö- Lösungen entwickelt sowie erprobt. Die einzelnen Unter-
sungs- und Dienstanbietern. Erste Beispiele dafür sind die nehmen erweitern so ihr Leistungsportfolio im Verbund mit
neuen Angebote der Premiumfahrzeughersteller BMW anderen. Es entstehen neue Formen der Kooperation und
und Daimler, die den Verkauf von Fahrzeugen um hybride Konkurrenz in Ökosystemen. Im Gegensatz zu klassischen
Geschäfts­modelle erweitern: Unter neuen Marken wie BMW Wertschöpfungskonzepten – bei denen Unternehmen hie-
Drive Now oder Daimler car2go werden nun auch Mobili- rarchisch oder in Netzwerken organisiert sind und die auf
tätsdienste mithilfe von Lokalisierungs-, Reservierungs- und Produktivitätssteigerung oder Flexibilisierung abzielen –
Bezahldiensten auf Internetplattformen angeboten. geht es hierbei um interaktive Wertschöpfung und Kunden-
integration [RP09a] mit dem Ziel, innovativer zu sein.
Auch Internetbasierte Systeme in anderen Anwendungs­
feldern wie Gebäude- und Infrastrukturmanagement, Medi- Um das zu erreichen, müssen Unternehmen in der Entwick-
zin, Logistik und Transport sind derzeit in der Entwicklung lung und Produktion beweglicher agieren, darauf ausgerich-
mit dem Ziel, zeitnahe und umfassende Dienstleistungen tete interdisziplinäre Engineering-Methoden aufbauen und

70 Nicholas Carr beschreibt, wie IT somit zu einem Allgemeingut wird, ähnlich der Stromversorgung aus der Steckdose; siehe [Car08].
176
Geschäftsmodelle und Ökosysteme

diese erproben; siehe auch Abschnitt 5.3. Dabei geht es Es sind offene Plattformstrategien71 mit transparenten
vornehmlich um Konzepte für den Kundennutzen, die Er- Architekturen und offenen Schnittstellen erforderlich – ins-
mittlung von Akzeptanzfaktoren und erweiterte Qualitäts- besondere, um das erhöhte Innovationspotenzial durch
modelle und domänenübergreifende Architekturkonzepte interaktive und partizipative Einbindung von Kunden,
sowie um integriertes Engineering in Wertschöpfungs­netzen neuen externen technologiebasierten Unternehmen oder
und Ökosystemen. Das wirkt sich auch auf die künftige Ge- Entwickler­gemeinschaften zu nutzen, aber auch, um die
staltung der Unternehmensgrenzen und -beziehungen aus wesentlichen Qualitäts- und Akzeptanzanforderungen der
– und in dem Zusammenhang auf die Frage, wie künftig In- Kunden an individuelle Brauchbarkeit sowie an Schutz
vestitionen, Umsätze und Erträge sowie der mittelbare und und Sicherheit der Systeme mit transparenten, vertrauens­
langfristige Return on Investment (RoI) aufgeteilt werden. würdigen und verlässlichen Strukturen72 zu schaffen.
Es gilt auch, die langen Entwicklungs- und Lebenszyklen
des Maschinenbaus mit den kurzen Zyklen der Informa- Beispiele für neue Formen IKT-basierter Dienstleistung- und
tions- und Kommunikationstechnik zu verzahnen. Speziell Plattformstrategien sind Verbünde von Mobilgeräte­anbietern
in der Fertigungsindustrie müssen Mechanismen entwickelt zu gemeinsamen Appstores73 im Internet oder die in [Cus10]
werden, um Produktionstechnik und -steuerungen einfach genannte Plattformstrategie von Google mit dem Betriebs-
an veränderte Anforderungen von Kunden und der IT anzu- system Android. Auch [Fra03a] analysiert den durch die Rah-
passen, ohne den Betrieb zu beeinträchtigen. Vor allem im menbedingungen der Internetökonomie hervorgerufenen
Zusammenhang mit der Betriebssoftware (Firmware) von Wandel und die Dynamik von Unternehmens­management-
Altanlagen und ihrer Einbindung in veränderte System- und und -organisationsformen am Beispiel von Business Webs
IT-Infrastrukturen ergeben sich Herausforderungen. und Technologieplattformen für mobile Dienste.

Die Komplexität von Cyber-Physical Systems und der zu- Im Fokus der folgenden Abschnitte stehen Fragen nach der
nehmend kontextabhängigen Produktindividualisierung zukünftigen Ausrichtung der Geschäftsmodelle von CPS-
und -innovation erfordern einen steigenden Spezialisie- Unternehmen und der damit verbundenen Architektur der
rungsgrad von Unternehmen. Bei den entstehenden hoch Wertschöpfung in Ökosystemen.
spezialisierten CPS-Komponenten und -Dienstleistungen
muss die Anforderung berücksichtigt werden, dass ihre je-
weiligen Eigenschaften einander ergänzen müssen, sodass 6.1.1 Begriffsklärung
das jeweils erforderliche Anwendungsverhalten und damit
eine adäquate Lösung entstehen. Neben den interdiszipli- Ein Geschäftsmodell ist eine vereinfachte Darstellung ei-
nären Engineering-Herausforderungen bei Gestaltung und nes Unternehmens und eine Abstraktion davon, wie sein
Aufbau interoperabler, integrierter CPS-Lösungen und un- Geschäft und seine Wertschöpfung funktionieren. Es be-
ternehmensübergreifender Plattformen erfordert das neue schreibt auf kompakte Weise Organisation, Wertschöp-
Geschäftsmodelle, die in Ökosystemen mit vielfältigen Orga- fungskette und Produkte eines Unternehmens. Aus der
nisationsformen, komplementären Wertschöpfungsarchitek- Vielfalt an Definitionen wird hier die Definition von Stähler
turen und offenen Plattformstrategien funktionieren. verwendet, wie sie in [Kit09, S. 31] zusammengefasst ist.

71 Cusumano definiert Plattformstrategie im Unterschied zu einer Produktstrategie wie folgt: „[...] sie erfordert ein externes Ökosystem für die
Generierung komplementärer Produkte oder Dienstleistungsinnovationen und die Bildung von positiven Feedbacks zwischen dem Komplement
und der Plattform.“ [Cus10, S.22]
72 Siehe individuelle und gesellschaftlich Akzeptanz- und Erfolgsfaktoren für Cyber-Physical Systems in den Abschnitten 3.4 und 4.1.
73 Online-Shop für Anwendungen, die auf Mobilgeräten laufen.

177
agendaCPS

Nach Stähler besteht ein Geschäftsmodell aus drei Haupt- re Kernsubsysteme sowie zentrale Standards und Schnitt­
komponenten: stellen kontrollieren, und sogenannte Adapter, die komple-
mentäre Produkte oder Dienstleistungen nach Vorgabe der
—— Nutzenversprechen: Beschreibung, welchen Nutzen Kun- Shaper erstellen. Diese Aufteilung findet sich zum Beispiel
den oder Partner aus der Verbindung mit einem Unter­ häufig in der Softwarebranche wieder, in der ein Shaper,
nehmen ziehen können. Dieser Teil eines Geschäfts­ etwa ein Anbieter eines Betriebssystems, den Marktteilneh-
modells beantwortet die Frage: Welchen Nutzen stiftet mern Standards und Schnittstellen zur Verfügung stellt, die
das Unternehmen?74 ihrerseits, als Adapter, Programme für diese Plattform ent­
—— Architektur der Wertschöpfung: Beschreibung, wie der wickeln.
Nutzen für die Kunden generiert wird. Dazu gehört eine
Darstellung der Wertschöpfungsstufen, der wirtschaft- Der Begriff Ökosystem, aus der Biologie entlehnt, bezeich-
lichen Agenten und ihrer Rollen in der Wertschöpfung. net in der Wirtschaft eine Ansammlung von Marktteil­
Es beantwortet die Fragen: Wie wird die Leistung in wel- nehmern, die in Leistungsbeziehungen miteinander stehen
cher Konfiguration erstellt? Welche Leistungen werden und untereinander Güter, Informationen, Dienste und Geld
auf welchen Märkten angeboten? austauschen. Im Vergleich zum Wertschöpfungssystem ist
—— Ertragsmodell: Beschreibung der Erlösströme eines der Begriff des Ökosystems breiter und umfassender. Bei-
Unter­nehmens. Es beantwortet die Frage: Womit wird spielsweise sind gemeinnützige Akteure wie Bildungsträger
Geld verdient? und Forschungseinrichtungen sowie politische Einheiten
oder Verbände Bestandteile eines gesamtwirtschaftlichen
Diese Definition bildet den Rahmen für die weitere Analyse Ökosystems, während Wertschöpfungssysteme sich meist
in diesem Kapitel. Ein Geschäftsmodell kann ein einzelnes auf die Beziehungen zwischen Unternehmen und auf die
Unternehmen, aber auch eine ganze Industrie beschreiben. Erreichung von ökonomischem Mehrwert beziehen.

Erweitert man die Analyse der Wertschöpfung über die Innovation ist eine am Markt erfolgreiche Neuerung. In-
Grenzen eines Unternehmens hinaus, gelangt man zur Be- novationen durchlaufen häufig einen Prozess von der Pro-
trachtung von Wertschöpfungssystemen oder -netzwerken. blem- und Potenzialerkennung über die Ideenfindung bis
Da Wertschöpfungssysteme im Gegensatz zu -ketten nicht hin zur erfolgreichen Umsetzung und Vermarktung einer
zwangsweise linear verlaufen, können sie komplexere Struk- neuen Lösung. Innovationen können sich auf Produkte
turen und Wertschöpfungsarchitekturen besser abbilden. und Dienstleistungen, Prozesse und Verfahren, im weiteren
Sinn auch auf Geschäftsmodelle beziehen. Anders als bei
Besondere Ausprägungen von Wertschöpfungsnetzwer- Erfindungen (Invention) spricht man erst dann von einer
ken, nämlich solche, die durch die Rahmenbedingungen Innovation, wenn eine Idee umgesetzt und erfolgreich an-
der Internetökonomie hervorgerufen wurden, werden als gewendet wird, indem sie einen gewissen Durchdringungs-
Business Webs bezeichnet. In [Fra03] wird zwischen zwei grad am Markt gefunden hat (Diffusion). Geschäftsmodell­
Rollen unterschieden, die beteiligte Unternehmen in Busi- innovationen zeichnen sich durch eine Neuerung beim
ness Webs einnehmen können: sogenannte Shaper, die den Nutzenversprechen, der Wertschöpfungsarchitektur oder
Kern eines Business Webs darstellen und ein oder mehre- dem Ertragsmodell aus. Solche Innovationen können

74 Häufig wird auch der Begriff Value Proposition verwendet. Entscheidend ist dabei nicht nur, was der Anbieter verspricht, sondern, welchen Nut-

zen sich der Kunde davon verspricht. Kaplan und Norton [KN04] stellen die Value Proposition in das Zentrum der Unternehmensstrategie und
des Unternehmenserfolgs: „Strategie basiert auf einem ausdifferenzierten Nutzenversprechen für den Kunden. Die Kunden zufrieden zustellen
ist die Quelle nachhaltigen Werteschaffens.“
178
Geschäftsmodelle und Ökosysteme

bestehende Marktstrukturen oder Ökosysteme grundlegend spiele für absehbare konkrete Änderungen dargestellt wer-
verändern. Beispiele hierfür sind „Freemium“-Geschäfts­ den. Je nach Struktur und Reife der Industrie sowie nach
modelle im Internet – etwa der Musikdienst last.fm oder die bisheriger Ausrichtung, aktuellen Kernkompetenzen und
Kommunikationsplattform Skype – bei denen eine Internet- strategischen Zielen muss jedes Unternehmen auf diese
plattform sehr vielen Nutzern eine Dienstleistung kostenlos Möglichkeiten individuell reagieren. Daher können hier kei-
zur Verfügung stellt. Die Firma finanziert sich über einen ne allgemein­gültigen Aussagen über Erfolgschancen kon-
Bruchteil an Nutzern, die bereit sind, für Premiumleistun- kreter Geschäftsmodelle getroffen werden. Folgerungen aus
gen zu bezahlen. den Analysen sind in Kapitel 7 zusammengefasst.

Eine besondere Art von Innovationen, nämlich solche dis- Eine Erkenntnis zieht sich durch alle Analysen und Be­
ruptiver Art [Chr97], hat das Potenzial, einen Markt zu obachtungen: Zukunftsfähige Angebote und Geschäfts­
sprengen, indem sie ein Produkt oder eine Dienstleistung modelle werden einen höheren Anteil an Software und –
auf eine Art verändert, die der Markt nicht erwartet hat, auch von Menschen erbrachten – Dienstleistungen haben,
und damit die Existenz etablierter Marktteilnehmer be- weil die Differenzierung zu Konkurrenzprodukten und die
droht. Die Vergangenheit hat gezeigt, dass das Internet Verbesserung des Gesamtprodukts verstärkt auf Software,
mehrere solcher Disruptionen ausgelöst und dramatische Konfigurierbarkeit und Anpassbarkeit in Interaktion mit
Marktveränderungen bewirkt hat. Ein Beispiel findet sich Kunden basieren, auch während des Betriebs. Der An-
in der Musikindustrie, deren Umsätze im herkömmlichen teil von Mechanik und Hardware am Wert eines Gesamt­
Geschäft mit CDs zugunsten digitaler Vertriebskanäle seit produkts wird sinken und das Risiko steigen, dass diese
Jahren sinken. Solche Marktmechanismen sind auf den Komponenten zunehmend zu Commodities werden.
Kontext von Cyber-Physical Systems übertragbar und haben
daher eine hohe Relevanz, wie in Abschnitt 6.1 deutlich Dass Unternehmen sich mit Cyber-Physical Systems und ih-
gemacht wird. ren Anforderungen auseinandersetzen müssen, ist mittler­
weile anerkannt. In einer Umfrage (siehe Anhang C) wur-
den Unternehmen unter anderem nach ihrer Einschätzung
6.2 Auswirkungen und Chancen von gefragt, ob Cyber-Physical Systems Auswirkungen auf Ihr
Cyber-Physical Systems für Geschäftsmodell haben werden. Nur neun Prozent der Be-
Geschäftsmodelle und Ökosysteme fragten verneinten das. Dagegen rechnen etwa 38 Prozent
mit Anpassungsbedarf, können die Art der Auswirkung von
Eine holistische Betrachtung macht es möglich, die drei Cyber-Physical Systems auf ihr Geschäft aber noch nicht
Komponenten eines Geschäftsmodells nach Stähler (Nutzen­ einschätzen.
versprechen, Wertschöpfungsarchitektur und Ertrags­modell)
zu untersuchen und mögliche CPS-Geschäftsmodelle erst-
mals zu beschreiben. Entscheidend dabei ist, dass es im 6.2.1 Nutzenversprechen
Ergebnis nicht ein einziges passendes Geschäftsmodell
geben wird. Vielmehr bieten Cyber-Physical Systems viele Ein Geschäftsmodell basiert im Kern auf einem Nutzen-
Nischen, Ansatzpunkte und Potenziale, machen aber auch versprechen (Value Proposition), also auf einer Aussage
Anpassungen bei den Unternehmen notwendig. Hier kön- darüber, welchen Nutzen Kunden oder andere Partner aus
nen nur die Mechanismen und Treiber sowie einige Bei- der Verbindung mit dem Unternehmen ziehen können.

179
agendaCPS

Die Frage ist darum: Welchen Nutzen stiftet das Unter­ —— Zugriff auf ein breites Angebot an optionalen, kom-
nehmen beziehungsweise welchen Nutzen muss es stiften, binierbaren, personalisierten oder personalisierbaren
um am Markt bestehen zu können? Ergänzungs- und Dienstleistungen.

Operative Anforderungen und entsprechende Probleme der Allen genannten Aspekten gemein ist eine immer weiter
Nutzer bestimmen zum einen, welchen Mehrwert ein Unter- gehende Konfigurier- und Individualisierbarkeit der Dienste
nehmen generieren muss. Zum anderen bestimmen sie, für und Produkte. Diese ist technisch möglich, weil
welche Produkte und Dienstleistungen Kunden wie viel zu
zahlen bereit sind (siehe auch Abschnitt 6.3.3). Das Nutzen- —— ein immer größerer Teil der Funktionalität von Cyber-
versprechen und damit ein eindeutiger Mehrwert für den Physical Systems auf Software, Daten und ihre Auswer-
Kunden haben einen zentralen Stellenwert innerhalb eines tung basiert und zukünftig individuelle Produktausprä-
jeden Geschäftsmodells, unabhängig davon, ob sich das gungen kostengünstig durch Softwarekonfigurationen
Nutzenversprechen an Geschäftskunden oder Endkunden und -versionen ermöglicht werden,
richtet. Diesen Mehrwert zu erbringen, verlangt eine immer —— die Fertigung von Geräten und Komponenten immer
striktere Ausrichtung an den individuellen Kundenbedürf- stärker durch Software gesteuert und dadurch flexibler
nissen und die Bereitstellung konkreter, verständlicher und wird, individuelle Wünsche den Produktionsprozess also
unmittelbarer Lösungsvorschläge. Die Allgegenwart von unmittelbar beeinflussen können.
Cyber-Physical Systems, die rapide Verbreitung von Sen-
sorik, Aktorik und Mobilgeräten in allen Lebensbereichen, Für den erfolgreichen Vertrieb ist eine ausgeprägte Transpa-
eröffnet eine große Bandbreite an möglichen individuellen renz der angebotenen Leistungen und Dienste samt mögli-
Produkten und Dienstleistungen. cher Kombinationen und Erweiterungen notwendig. Da de-
ren Zahl stark steigt, müssen Unternehmen neue Konzepte
Kundennutzen lässt sich grundsätzlich nicht theoretisch für die Vermarktung entwickeln. Gleichzeitig ergeben sich
bestimmen. Daher ist ein exploratives Vorgehen im Markt technische Herausforderungen in Bezug auf das Varianten-
hilfreich, um ein Verständnis dafür zu entwickeln, was Kun- und Konfigurationsmanagement sowie die Systeminteropera-
den als nützlich empfinden (siehe hierzu auch Abschnitt bilität und -integration. Als Konsequenz wird somit Software
5.3, zentrale Bedeutung des Anforderungs-Engineering). zum künftig dominierenden Faktor des Nutzens von Cyber-
Konkreten Mehrwert erhalten Kunden beispielsweise durch Physical Systems, da sie nicht nur in den Produkten selbst,
sondern auch für Herstellung, Vertrieb und Inter­aktion mit
—— ein bedarfsgerechtes Angebot, also den Bezug der ge- Kunden die entscheidenden Innovationen liefert, die sich
wünschten Leistungen zu einem möglichst niedrigen insbesondere aus der Dateninterpretation sowie der Anwen-
Preis (ohne, wie oft in der Vergangenheit, ein Paket von dungskommunikation und -steuerung ergeben.
Leistungen zu erhalten, von denen einige nicht genutzt
werden), Um den Nutzenversprechen gerecht zu werden, ergeben sich
—— die Vereinfachung und Beschleunigung von Vorgängen, für die anbietenden Unternehmen im Hinblick auf Cyber-
—— Assistenz-, Komfort- und Mehrwertdienstleistungen – Physical Systems neue Aufgaben, die neue Fähigkeiten er-
etwa Mobilitäts- und Sicherheitsdienste –, wie sie bei- fordern. So wird es künftig darauf ankommen, Nutzern über-
spielsweise in den Szenarien in Kapitel 2 beschrieben all und jederzeit gewünschte Informationen und Dienste
werden zur Verfügung zu stellen. Damit ist die Aufgabe verbunden,

180
Geschäftsmodelle und Ökosysteme

Daten beziehungsweise ihre Übergabe zwischen den Betei- ten nicht nur als Nutzer von Cyber-Physical Systems auf,
ligten – beispielsweise Dienste- und Informationsan­bietern sondern erzeugen aktiv Informationen und wirken in der
sowie unter Umständen verschiedenen Systemen – zu kon- Gestaltung der CPS-Dienste mit. Das ist ein entscheiden-
trollieren. Der Nutzen, den ein Unternehmen in diesem Zu- der Aspekt bei Cyber-Physical Systems, da hier vielfältige
sammenhang stiftet, kann etwa im dynamischen Aushan- Netz­werkeffekte auftreten werden. So steigt etwa die Qua-
deln und automatischen Abschließen von Verträgen liegen. lität von Verkehrsinformationen, je mehr Fahrzeuge Daten
Dabei kommt es darauf an, dass das anbietende Unter­ liefern; ein Beispiel ist die Grüne-Welle-App Guru (siehe
nehmen in der Lage ist, Dienste und Kooperationen zu Abschnitt 4.1.4, [KPM11, Sch11]), die Autofahrer mithilfe
verhandeln, diese wechselnden Gegebenheiten anzupassen von deren eigenen Mobilgeräten vernetzt und über Ampel­
beziehungsweise bei Bedarf neue Dienste zu erbringen. Der phasen informiert. Gleichzeitig nimmt die Bereitschaft von
Anbieter muss zudem als Moderator beziehungsweise als Autofahrern und Speditionen, für Verkehrsdaten zu zahlen,
Berater fungieren, um Ziele, Anforderungen und Interessen mit deren Qualität und Menge zu. Beispiele für Netzwerk­
der Kunden auch mit weiteren Partnerunternehmen aus- effekte lassen sich auch in der IT- und Internetwelt finden,
handeln zu können. Eine weitere wichtige Fähigkeit wird etwa in Form der unaufhaltsam steigenden Nutzung von
es sein, Fehler in Systemen, Informationen und Diensten zu Auktionsplattformen wie Ebay; leider fallen deutsche An-
erkennen und zu korrigieren. bieter hier vor allem gegen­über Unternehmen aus den
USA zurück.
Unternehmen, die zum Beispiel aus der Welt der eingebet-
teten Systeme stammen, stehen vor neuen Herausforderun- Entsprechende Plattformen und Infrastrukturen (siehe Ab-
gen. Ihr bisheriges Geschäft, möglichst hohe Stückzahlen schnitte 5.3) eröffnen neue Wege in der unternehmens-
von Produkten und Geräten mit möglichst hohen Margen übergreifenden Zusammenarbeit zwischen Personen und
zu verkaufen, wird von Geschäftsmodellen ergänzt bezie- Prozessen; es werden kooperative, kundenzentrierte Wert-
hungsweise abgelöst, die auf das Internet als zusätzliches schöpfungsprozesse angestoßen. Befördert durch Cyber-
Medium des Werbens, Verkaufens und Betreibens sowie der Physical Systems, werden sich diese Prozesse künftig zu-
Kundeninteraktion und -bindung in Netzwerken setzen. nehmend in Richtung immaterieller Wertschöpfung sowie
hybrider Produkte und Geschäftsmodelle be­wegen und da-
mit den Dienstleistungssektor stärken.
6.2.2 Architektur der Wertschöpfung
6.2.2.1 Wertschöpfung im Unternehmen
Ein Geschäftskonzept umfasst auch die Architektur der Unternehmen müssen sich und ihre Wertschöpfung an
Wertschöpfung. Darunter versteht man die Betrachtung, Marktbedingungen anpassen, die sich durch Cyber-Physical
wie der Nutzen für die Kunden generiert wird. Zu dieser Systems verändern. Der Markt wird volatiler und komplexer,
Architektur gehört eine Beschreibung der Stufen der Wert- die Profitabilität eventuell reduziert. Cyber-Physical Systems
schöpfung, der wirtschaftlichen Agenten und ihrer Rollen verschieben Marktgrenzen und ermöglichen den Marktein-
in der Wertschöpfung. Das liefert die Antwort auf die Frage: tritt neuer Teilnehmer. Die Konvergenz von Märkten durch
Wie wird die Leistung in welcher Konfiguration erbracht? Cyber-Physical Systems senkt die Eintrittsbarrieren zu diesen
Märkten, insbesondere für Nischenanbieter. Beispielsweise
Kontextinformation führt dazu, dass Kunden stärker in werden im Bereich der Elektromobilität künftig neben den
die evolutionäre Wertschöpfung integriert werden; sie tre- traditionellen Automobilherstellern und Zulieferern auch

181
agendaCPS

Energieversorgungsunternehmen sowie IT-, Software- sowie —— der Vertrieb wird verstärkt über das Internet geschehen,
Elektronikfirmen tätig sein.75 Erfolg beziehungsweise Misserfolg also in kürzerer Zeit
sichtbar,
Weitere Verschiebungen der Branchenstruktur und Markt- —— Software wird ein immer größerer Bestandteil des
macht ergeben sich durch eine Welle von Integrationen, Gesamt­systems und die Innovations- beziehungsweise
also von horizontalen Zusammenschlüssen. Die neuen Sys- Releasezyklen von Software sind sehr kurz.
temlieferanten werden Unternehmen sein, die die technolo-
gische Basis besitzen, um hochintegrierte Systeme abbilden Diese kurzen Zyklen bergen weitere Herausforderungen:
zu können. Dies können KMU sein, etwa für hochintegrierte Unternehmen müssen ihre internen Entwicklungs- und War-
mechatronische Systeme. Infrage kommen aber etwa auch tungsprozesse sowie das Konfigurationsmanagement anpas-
Batteriehersteller, wenn sie hochintegrierte Energiesysteme sen, weil die Lebenszyklen einzelner Komponenten sehr un-
liefern. Zum anderen können aber auch große IT-Unternehmen terschiedlich sind. Das erfordert umfassende Informationen,
wie Apple, Google, SAP oder Microsoft zu System­lieferanten wie sie über Cyber-Physical Systems ermittelt werden können.
werden, wenn es ihnen gelingt, das erforderliche Know-how
zu erwerben, zum Beispiel für hochintegrierte Softwaresyste- Was in der Internetwelt seit Jahren zu beobachten ist, darf
me. Aufgrund der Netzwerkeffekte werden diese Unterneh- in ähnlicher Form auch für Cyber-Physical Systems erwartet
men – sofern sie außerdem über CPS-Kompetenz verfügen – werden: Plattformen werden sich als zentrale Bestandteile
den größten Teil der Wertschöpfung und damit des Ertrags von Cyber-Physical Systems etablieren; die Unternehmen
erzielen. Sie haben zudem die Chance, Cyber-Physical Systems beziehungsweise Marktteilnehmer, die Plattformen ent-
in bestehende betriebliche Anwendungen, etwa ERP-Systeme, wickeln oder betreiben, werden eine entsprechend starke
zu integrieren beziehungsweise sie daran anzubinden. Marktposition haben.76

Zunehmender Kostendruck und die Notwendigkeit höherer Wie sich die Wertschöpfung eines Unternehmens durch
Flexibilität zwingen Unternehmen, ihre Prozesse zu opti- Cyber-Physical Systems verändern kann, lässt sich vor dem
mieren. In fertigungsorientierten Unternehmen wird das Hintergrund des Szenarios Smart Grid (siehe Abschnitt
üblicherweise mittels eines höheren Grades an Automati- 2.4) verdeutlichen.77 Anstelle des traditionellen Strom­
sierung und durch den Einsatz von IT-Systemen erreicht. Der anbieters wird es künftig mehrere Marktteilnehmer geben,
Bedarf an integrierten und flexiblen Produktionsanlagen etwa Messdienstleister (Metering Operators), Betreiber von
eröffnet Marktchancen für Cyber-Physical Systems in den Energiehandelsplattformen beziehungsweise der zugrunde­
Bereichen Fabrikautomatisierung und Logistik. liegenden Infrastruktur, Betreiber virtueller Kraftwerke etc.

Die Flexibilisierung betrieblicher Abläufe wird noch wichti- Das Szenario zeigt darüber hinaus, dass sich nicht nur die
ger für Unternehmen, denn Wertschöpfung innerhalb der Unternehmen ändert, son-
dern auch innerhalb des Ökosystems, in das die Unterneh-
—— die Individualisierung zwingt Unternehmen, in kürzeren men eingebettet sind. So werden in diesem Szenario Strom-
Zyklen neue Produktversionen ausliefern und eine hohe kunden, die gleichzeitig Energie erzeugen (Pro­sumer), zu
Variantenvielfalt bieten zu können, virtuellen Kraftwerken gebündelt. Auf diese Weise entsteht
ein Ökosystem aus Prosumern, Verbrauchern, Erzeugern und

75 Siehe hierzu beispielsweise [BBD+11].


76 Für eine Übersicht über Geschäftsmodelle zu mobilen Plattformen siehe [JCKC11].
77 Siehe hierzu auch [LMK09].

182
Geschäftsmodelle und Ökosysteme

Speichereinheiten. Die Transaktionen zwischen diesen Ak- Erlös­ströme in Ökosystemen, die allen Teilnehmern die Um-
teuren werden über eine Handelsplattform abgewickelt. Im setzung tragfähiger Geschäftsmodelle ermöglichen, stellen
Szenario Smart Grid – wie auch in den anderen Szenarien – einen langfristigen Nährboden für vielfältige Innovationen
wird deutlich, dass durch Cyber-Physical Systems gerade im Zukunftsmarkt Cyber-Physical Systems dar. Cyber-Physical
kleine und mittlere Unternehmen dauerhaft bestehen kön- Systems wiederum ermöglichen diese neue Art der unterneh-
nen, denn sie vereinen oft Agilität und Innovationskraft, mensübergreifenden Kooperation, indem bislang isolierte
zwei wichtige Wettbewerbsfaktoren im Markt für Cyber- ­Silos in der Wertschöpfungskette aufgelöst werden zuguns-
Physical Systems. ten eines offenen Wertschöpfungssystems, in dem sich einzel-
ne Ökosysteme als virtuelle Marktplätze herausbilden.
6.2.2.2 Wertschöpfung in Ökosystemen
Die immer komplexer werdenden Cyber-Physical Systems – Auf diesen neuen Marktplätzen wird das entscheidende
siehe etwa Systeme für die Mobilität in Städten, das Ge- Merkmal nicht mehr die bisher übliche Kunden-Lieferanten-
sundheitssystem und die Stromversorgung – fordern auch Beziehung, sondern es werden wirtschaftliche Plattformen
immer komplexere, umfassendere Lösungsangebote. Diese sein, auf denen Anbieter und Kunden einander auch ad hoc,
können in Zukunft nur noch über Branchengrenzen hinweg wechselseitig und kontextabhängig finden und austauschen
gewährleistet werden. können. Innovation ist in allen Bereichen der Wertschöpfung
möglich und notwendig, vom Zulieferer bis zum Endkunden:
Es entstehen artenreiche betriebswirtschaftliche Öko­­­­ bei Entwicklung, Produktion und Verwertung, in Betrieb und
systeme, sie entwickeln sich, stehen im Wettbewerb mit- Wartung, bei Dienstleistung, Beratung, Anpassung und Wei-
einander und ergänzen einander. Unter Ökosystem ist in terentwicklung, aber auch im Zusammenhang mit mittel- und
diesem Zusammenhang das vernetzte Zusammenwirken un- langfristigen Aufgaben der Strategieentwicklung und Evolu-
terschiedlicher Unternehmensrollen zu verstehen. Der Be- tion; siehe Abschnitt 3.6. So kann etwa ein mittelständisches
griff beschreibt strategische Allianzen oder die Zusammen­ Unternehmen, das sich früher in der Wertschöpfungskette als
arbeit zwischen Gruppen, die aus wesentlich mehr Akteuren bloßer Zulieferer positioniert hat, sich nun in Kooperation
bestehen als in traditionellen Unternehmenspartnerschaf- mit weiteren Unternehmen zu einem Anbieter integrierter
ten üblich. Beispiele für bereits bestehende derartige Öko- Lösungen entwickeln und entsprechend positionieren.
systeme sind das SAP Business Ecosystem oder der Android-
Appstore. Solche Ökosysteme bauen typischerweise auf Das CPS-inhärente Merkmal der Vernetzung und Digitali-
gemeinsamen Plattformen und Standards auf. sierung einzelner Teilsysteme und Partner wirkt als Trei-
ber für eine diensteorientierte und kollaborative Form der
Web-basierte Cyber-Physical Systems werden maßgeblich Wertschöpfung, die über die gesamte Wertschöpfungskette
von wirtschaftlichen Ökosystemen gestaltet. Einzelne Unter­ interaktiv zwischen Anbietern und Kunden betrieben wer-
nehmen ordnen sich in Ökosystemen ein. Das Zustande- den kann. Die Öffnung der Architektur der CPS-Marktplätze
kommen derart anspruchsvoller und in der Intention nach- führt zu einer Senkung der Eintrittsbarrieren für neue Unter-
haltiger Ökosysteme hängt davon ab, ob die involvierten nehmen und Nischenanbieter, weil diese nicht gezwungen
Unternehmen ein für alle Beteiligte vernünftiges Modell der sind, komplette Systeme zu entwickeln und zu produzieren,
Umsatzbeteiligung finden oder ob sie einander in bi- oder um am Markt teilnehmen zu können. Vor diesem Hinter-
multilateralen Verhandlungen blockieren. Anreizsysteme und grund stellt sich auch die Frage, ob vertikale oder horizontale
Bedingungen für den Erfolg derartigen Zusammen­wirkens Integrationsschritte innerhalb der Wertschöpfungs­kette
bedürfen daher der weiteren Untersuchung. Wert- und notwendig sind, um CPS-Angebote voranzubringen.

183
agendaCPS

Die Digitalisierung und Vernetzung ehemals analoger —— Betrieb von Cyber-Physical Systems
und kaum verbundener Abläufe bietet eine Basis für das —— Integration der Hardware
Hinzukommen neuer Teilnehmer im gesamten Wertschöp- —— Anbieten von Cyber-Physical-Systems-Basisdiensten
fungsprozess. Insbesondere ist damit zu rechnen, dass Soft- der Anwendungs- und CPS-Plattformen, siehe Ab-
wareunternehmen spezifische Module78 oder eigenständige schnitte 5.3 und Anhang B
Komponenten bereitstellen, die in Verbindung mit entspre- —— Sicherstellen von Garantien gegenüber Kunden,
chender Hardware und Infrastruktur oder als Ergänzungen also von nichtfunktionalen Anforderungen; siehe
bestehender Lösungen neue Dienste ermöglichen. Abschnitte 5.2, 5.3.5 und von Quality-of-Service-
Diensten der CPS-Plattform in Anhang B
In den Ökosystemen werden neuartige Vermittlungsinstan- —— Struktur und Angebote zum einfachen Aufsetzen
zen, sogenannte „Intermediaries“, Dienstleistungsfunkti- von Diensten
onen übernehmen, die auf den neuen Marktplätzen über- —— CPS-Unterstützungsdienste
haupt erst möglich werden. Vorstellbar sind Marktplätze —— Abrechnung
sowohl im Business-to-Business-79 als auch im Business-to- —— Authentifizierung
Consumer-Bereich80, auf denen sich neue Dienstleistungs- —— Überwachung von Nutzungs-, Dienste-, Kommunika-
rollen und -funktionen entwickeln. Insgesamt wird Raum für tions- und Datenqualität
neue Unternehmensrollen und Funktionen entstehen, be- —— Interoperabilitäts-Dienstleistungen, zum Beispiel
stehende Rollen werden sich ändern.81 Die neuen CPS-Öko- Konvertierung zwischen Datenformaten und Diens-
systeme werden geprägt sein durch folgende Aktivitäten: ten – siehe Anhang B, Abschnitt B.3.7 –, insbeson-
dere zwischen Ontologien verschiedener Anwen-
—— Bereitstellung von Komponenten und Vorprodukten zur dungen und Übersetzung zwischen Standards
Erstellung eines Cyber-Physical Systems —— CPS-Marktplatzbetrieb
—— Entwicklung und Produktion von Komponenten zum —— offene Marktplätze unter Kontrolle einer Community
Aufbau von CPS-Infrastrukturen —— geschlossene Marktplätze unter Kontrolle eines
—— Aktorik und Sensorik Unter­nehmens
—— Kommunikationstechnik —— Anbieten von Diensten und Dienstleistungen für End-
—— Rechenzentren kunden
—— Betrieb von CPS-Kommunikationsplattformen, siehe Ab- —— Integration und Anbieten von CPS-Diensten und
schnitt 5.3 und Anhang B Dienstleistungen
—— Kommunikationsnetze —— Reduktion von Komplexität für Kunden
—— Rechenzeit —— Schaffung benutzerfreundlicher Oberflächen und
Schnittstellen für die Mensch-Maschine-Interaktion

78 Hier wäre beispielsweise an Softwareagenten (im Sinne von Standard-Softwaremodulen) zu denken, die spezifische Funktionen bereitstellen
und von anderen Marktteilnehmern oder vom Endnutzer in bestehende Anwendungen integriert werden können.
79 Dienstleistungen rund um Kfz oder Schadensversicherung, Logistikdienstleistungen, Dienstleistungen für Kunden im Ausland Maschinenbau-

industrie etc.
80 Mitfahrzentralen der Zukunft, Energiemarktplätze, Logistikdienstleistungen für Bürger etc.
81 Im Anwendungsszenario TEXO im Rahmen des THESEUS-Projekts (Forschungsprogramm des BMWi wurden „ [...] mit dem Ziel, den Zugang

zu Informationen zu vereinfachen, Daten zu neuem Wissen zu vernetzen und die Grundlage für die Entwicklung neuer Dienstleistungen im
Internet zu schaffen“) zahlreiche neue Dienstleistungsrollen und die entsprechenden Funktionen beschrieben; siehe [BMW10b] .

184
Geschäftsmodelle und Ökosysteme

—— Anbieten von CPS-Unterstützungsdiensten für Endkunden von Online- beziehungsweise mobilen Zahlsystemen (Pay-
—— Diensteverzeichnis für Qualitätsbewertungen und ment) ermöglichen. Im Bereich E-Health können sich Betrei-
-auskünfte sowie für verbesserte Auffindbarkeit ber von Gesundheitsplattformen etablieren. In einem Sze-
—— Zertifizierung der Einhaltung von Qualitäts- und nario E-Government kommen nicht nur Unternehmen neue
Compliance-Vorgaben Rollen und Funktionen zu, sondern auch den Kunden. Diese
—— Anonymisierung der Dienstenutzung treten – nicht nur hier – nicht allein als CPS-Nutzer auf, son-
—— Anpassen externer Dienste an hinterlegte Präferen- dern generieren aktiv Informationen und wirken interaktiv
zen von Endkunden an dem Systemverhalten mit.
—— Neutraler Verhandler für automatisch entstehende
Vertragsbeziehungen Das Smart-Grid-Szenario (Abschnitt 2.4) öffnet den Markt
—— Anbieten von Unterstützungsleistungen für Dienste­ für Messdienstleister, Betreiber virtueller Kraftwerke oder
anbieter Betreiber von Handelsplattformen, und zwar sowohl für
—— Plattform für teil- und vollautomatische Dienste­ die IT-Infrastrukturbetreiber als auch die Anbieter von
vermittlung Handelsdiensten, Auktionsdienste und weiteren Dienstleis-
—— Weiterverkauf von gebündelten Nutzungsrechten tungen. Auch im Bereich des autonomen Fahrens werden
für Dienste und Plattformen neue Anbieter von Infrastrukturleistungen auf den Markt
—— Anbieten höherwertiger CPS-Dienste für Diensteanbieter drängen. So werden wichtige Verkehrswege, digitale Netze,
—— analog zu Diensten für Endkunden, aber für Ent- Park­häuser sowie Parkleitsysteme von privaten Anbietern
wickler höherwertiger Dienste betrieben werden. Hier werden Ökosysteme durch Vernet-
—— Dienstebündelung zung verschiedener Mitspieler entstehen: Dazu zählen etwa
—— Datenverdichtung, etwa zu Lagebildern oder statis- Hersteller von Mobilgeräten, Informationsdiensteanbieter
tischen Analysen – Wetter, Verkehr, Infrastruktur –, App-Entwickler, Kommuni-
kationsunternehmen zur Weiterleitung von Daten, Plattform-
Die Aufgaben von Diensteanbietern gliedern sich in mehre- betreiber82, Hersteller von Sensorsystemen und -infrastruktu-
re Rollen, die auch gemeinsam und von unterschied­lichen ren, Premium­spurbetreiber, Anbieter von Fahrzeugdiensten
Unternehmen wahrgenommen werden können: Dazu zählen wie Bereitstellung und Abrechnung, Mautabrechnungs-
Entwicklung, Produktion und Verwertung, Betrieb und War- dienstleister oder Betreiber von Verkehrsleitsystemen.
tung, integrierte Dienstleistungen, also Beratung, Anpassung
und Weiterentwicklung sowie Strategieentwicklung und Evo- In den zukünftigen Ökosystemen werden Logiken, die bereits
lution – siehe Abschnitt 3.6 –, insbesondere in Form eines Do- aus dem heutigen Web 2.0 über Netzwerke und Communi-
mänen-Engineerings und seiner sich evolutionär entwickeln- ties, hauptsächlich im Business-to-Consumer-Bereich, bekannt
den Anwendungen und Plattformen; siehe Abschnitt 5.3.4. und erprobt sind, auf den Geschäftsbereich übertragen, um
sogenannte Business Webs zu bilden. Diese Mehrwertnetze,
In den Szenarien in Kapitel 2 wurden ebenfalls neue Rol- in denen mehrere Diensteanbieter zusammen neue Dienste
len und Funktionen aufgezeigt. So wird es etwa im Bereich und Dienstleistungen generieren, bilden somit eine ent­
Smart Mobility Bedarf für Verkehrsmanagementsysteme ge- scheidende Voraussetzung, um im Wettbewerb zu bestehen.
ben sowie für integrierte Reisedienstleistungen und Wetter­
dienste. Zudem werden weitere Bezahlplattformen entste- Auf diese neue Form der evolutionären, anspruchsvollen
hen (etwa Google Wallet [WAL]), die die verstärkte Nutzung und auf mehrere Unternehmen verteilten Entwicklung von

82 Siehe beispielsweise [Oct].


185
agendaCPS

Systemen, Produkten und Diensten wie Wartung, Betrieb, in- Cyber-Physical Systems ermöglichen weitere Ertragsmodelle,
tegrierte Dienstleistungen, permanente Weiterentwicklung außerdem eine Veränderung bestehender Bezahlmodelle.
und Erweiterung – siehe Abschnitte 3.6 und 5.3 – sowie die Anbieter können in Zukunft als Lieferanten komplett inte­
damit verbundenen Herausforderungen müssen sich die be- grierter Systeme am Markt oder als spezialisierte Dienstleis-
teiligten Unternehmen erst einstellen. Zum einen ist die Ko­ ter für einzelne Komponenten auftreten. Daneben wird es
operation innerhalb eines solchen Systems komplex verteilt, Plattformanbieter geben, die sich über die Nutzung der Platt-
zum anderen ändern sich je nach Kontext die im System form finanzieren. Cyber-Physical Systems werden es ermög­
agierenden Unternehmen und damit der Partnerverbund lichen, dass beim Handel mit Daten und Informationen pro
des Ökosystems. Diese unterschiedlichen Verbünde haben Informationseinheit abgerechnet wird. Geschäfts­modelle mit
wiederum unterschiedliche Lebenszyklen der Komponenten Information als Kern der Wertschöpfung werden so für viele
und Dienste zur Folge. Anbieter ein Schlüssel zum Erfolg. Darüber hinaus werden
Preise immer variabler; abgerechnet wird künftig in Abhän-
Um diese Dienste erbringen zu können, ist es erforderlich, gigkeit von Zeit, Ort oder Nutzungsprofil. Das ist möglich,
dass die Verbünde innerhalb der Ökosysteme gemeinsame da es immer mehr nutzungsbasierte Abrechnungs­modelle
Investitionen tätigen, etwa in Infrastruktur, offene Platt­ geben und das Bezahlen noch einfacher werden wird.
formen, Standards oder Ausbildung. Auf diese Weise wer-
den jedoch auch die Kosten und RoI-Modelle für Kompo-
nenten und Dienste in den Geschäftsmodellen komplexer: 6.3 Disruptives Innovationspotenzial von
Es gilt, mehrere Beteiligte und Produkte mit unterschied- Cyber-Physical Systems
lichen Lebenszyklen zu berücksichtigen. Außerdem haben
Komponenten in der Wertschöpfungskette für die beteilig- Dieser Abschnitt beschreibt das Potenzial von Cyber-Physical
ten Unternehmen unterschiedliche Bedeutungen. Systems, Innovationen auszulösen, die einen disruptiven
Charakter haben. Eine disruptive Innovation durchschreitet
im Wesentlichen zwei Phasen. Zunächst besetzt ein neuer
6.2.3 Ertragsmodell Marktteilnehmer (Disruptor) eine neue Marktnische, indem
er Kunden bedient, die ein anderes Anforderungsprofil
Ein Geschäftsmodell beschreibt neben dem Nutzenverspre- aufweisen als Kunden der etablierten Player (Incumbents)
chen und der Architektur der Wertschöpfung, welche Ein- in dem bestehenden großen Markt. Zu dem Zeitpunkt ig-
nahmen das Unternehmen aus welchen Quellen generiert. norieren die Etablierten die Nische, etwa, weil es für sie
Die zukünftigen Einnahmen entscheiden über Ertrag und unrentabel ist, den kleinen Markt zu bedienen und sie sich
Wert des Geschäftsmodells und damit über dessen Nachhal- auf Projekte mit höherer Profitabilität konzentrieren. Der
tigkeit. Es beantwortet die Frage: Wodurch wird Geld ver- Disruptor hat dadurch Zeit, seine Technologie und Kunden-
dient? Dieser Teil des Geschäftsmodells heißt Ertragsmodell. basis weiterzuentwickeln.

Bereits heute bieten viele Software-Hersteller oder Dienste­ Ab einem bestimmten Zeitpunkt hat er durch Lerneffekte
anbieter im Rahmen von Freemium-Angeboten kosten­lose die Produktkosten reduziert und die Produktreife soweit
Grundfunktionalitäten an, damit sich Nutzer an das Pro- vorangetrieben, dass er aus dem Nischenmarkt den existie-
dukt gewöhnen können und später für Zusatzfunktionalität renden Markt der Incumbents mit niedrigeren Preisen und
beziehungsweise Premiumdienste bezahlen. den für den Markt angemessenen Eigenschaften betritt.

186
Geschäftsmodelle und Ökosysteme

Der Incumbent wird dadurch gezwungen, sein Produkt­ absehbar: Medizintechnik wird sich in großen Volumina
portfolio anzupassen oder ebenfalls Produkte mit der neu- aus den einschlägigen Einrichtungen heraus teilweise in
en Technologie zu entwickeln. Er hat aber aufgrund einer das heimische Umfeld verlagern. Bereits heute verfügbare
anderen technologischen Basis und anderer Kostenstruktu- Geräte sind etwa elektronische Waagen oder Blutdruck­
ren keine Möglichkeit mehr, den Disruptor einzuholen, der messgeräte. Durch zunehmenden Einsatz weiterer Sensorik
bereits mehrere Lernschleifen mit der neuen Technologie und intelligenter Systeme, die Vitalparameter messen, wird
durchlaufen hat. Folglich konzentriert sich der etablierte eine kontinuierliche Beobachtung von Patienten mit kriti-
Marktteilnehmer mehr und mehr auf den High-end-Markt schem Gesundheitszustand zu Hause möglich. Das bedeu-
und verliert Marktanteile an den Verfolger. tet, dass der geeignete Zeitpunkt, an dem Risikopatienten
in Krankenhäuser eingeliefert werden müssen, mit höherer
Disruptive Innovationen sind im Kern also nicht nur tech- Sicherheit bestimmt werden kann. Das kann zu einer bes-
nischer, sondern auch strategischer Natur. Eigentlich ist seren Auslastung der teureren, weil leistungsfähigeren Ge-
Disruptivität keine Eigenschaft einer Technologie, sondern räte in Krankenhäusern und einer effizienteren Versorgung
der Effekt, der dadurch in einem bestehenden Markt aus- führen, öffnet aber auch Marktlücken im Low-end-Bereich
gelöst wird. Eine Technologie wirkt erst dann disruptiv, medizinischer Geräte. Hier zeigt sich ein disruptives Muster.
wenn die bestehenden Marktteilnehmer deren Entstehung In dieser Branche lassen sich Geschäftsmodelle allerdings –
ignorieren. Ein Beispiel für eine disruptive Innovation war anders als in einem unregulierten Markt – nicht frei etablie-
das Automobil. Zunächst tangierte es den von Pferden und ren. Die sehr komplexe und durch viele Beteiligte geprägte
der Eisenbahn dominierten Transportmarkt nicht; es war Finanzierungsstruktur des Gesundheitswesens erschwert
aufgrund der Rahmenbedingungen – hohe Preise, unzu­ die Änderung von Prozessen und verhindert dadurch Ge-
reichende Infrastruktur – für den Massenmarkt zunächst un- schäfts- und Produktinnovationen.
attraktiv. Es wurde daher zunächst als Luxusgut für wenige
Nutzer verkauft. Erst mit der Entwicklung des Ford Model T, Smart Mobility
das durch Fließbandarbeit günstig und in hoher Stückzahl Dieses Szenario zeigt erhebliches Potenzial, etablierte Markt-
gebaut werden konnte, fand das Automobil breite Anwen- teilnehmer zu gefährden. Das Szenario analysiert intermo-
dung und löste eine Disruption im Transportmarkt aus. Ein dale Transportmöglichkeiten für den Privatverkehr, also die
weiteres Beispiel ist die Ablösung der Segelschiffe durch Nutzung verschiedener Vehikel wie Auto, Bahn, Flugzeug,
Dampfschiffe. Zunächst waren Dampfschiffe für längere die in ein Mobilitätsgesamtsystem integriert sind. Ein Fah-
Reisen aufgrund ihrer mangelnden Zuverlässigkeit unge- rer bekommt so die Möglichkeit, zeit- und kosten­optimal so-
eignet. Sie fanden daher zuerst Anwendung in der Binnen- wie umweltschonend zu reisen, wobei ihm ein intelligentes
schifffahrt. Durch kontinuierliche Verbesserung konnte das System nach seinen Vorgaben und Präferenzen die optimale
Dampfschiff jedoch letztendlich auch im Markt der Segel­ Route vorschlägt. In Ansätzen existieren bereits heute Inter-
schiffe bestehen und löste die Disruption aus. netplattformen, die ein derart komfortables Reisen ermög-
lichen: Die Bahn verknüpft ihre Zuginformationen mit de-
E-Health nen von Bus und Bahn auf ihrer Online-Reservierungsseite.
Im medizinischen Bereich sind häufig teure und daher Citroen geht einen Schritt weiter und bietet den Endkun-
kapitalintensive Geräte notwendig. Durch die Vernetzung den auf einer Internetplattform die Möglichkeit, zwischen
von einfacheren medizinischen Geräten sind jedoch revo- eigenem Auto, Bahn und Flugzeug zu wählen. Tamycar wie-
lutionäre, möglicherweise sogar disruptive Innovationen derum vermittelt Privatautos zur Miete und macht so den

187
agendaCPS

etablierten Autovermietungen und Car-Sharing--Anbietern ge Interoperabilität zwischen Software- beziehungsweise


Konkurrenz. Diese technologischen Lösungen gehen einher Internet­
technologie und der Hardware der Produktions­
mit dem Trend der Abkehr vom privaten Pkw-Besitz hin zur einheiten wird hier deutlich.
Nutzung und Miete. Weiteres disruptives Potenzial birgt der
Aufbau der Elektromobilität.83 Diese Technologie hat das Autonomes Fahren
Potenzial, den Verbrennungsmotor zu ersetzen und öffnet In diesem Szenario wird im Wesentlichen der Informations­
so neuen Marktteilnehmern Chancen im globalen Wert- austausch zwischen zwei Fahrzeugen untersucht, um auto­
schöpfungsnetzwerk der Automobilbranche.84 nomes Fahren zu ermöglichen. Unabhängig davon, ob
Information von Fahrzeug zu Fahrzeug oder indirekt über
Smart Factory eine Back-end-Infrastruktur ausgetauscht wird, besteht hier
Die in diesem Szenario aufgeführten Beispiele im Auftrags- großes Innovationspotenzial. Sofern die Systeme sicher ge-
abwicklungsprozess haben starke Ähnlichkeit mit der Vir- nug gestaltet werden können und hinreichende Infrastruk-
tualisierung der Vertriebskanäle im elektronischen Handel: tur – sowohl Funknetz als auch ortsfeste Infrastruktur – vor-
Logistikdienstleister oder Online-Marktplätze – zum Beispiel handen ist, können autonom fahrende Fahrzeugkolonnen
myhammer.de und Ebay – können Zusammenarbeit über eine Konkurrenz darstellen, sowohl zu bisherigen Autos also
Unternehmensgrenzen hinweg koordinieren und eine ge- auch zu anderen Verkehrsmitteln. Sie können insbesondere
meinsame Schnittstelle zum Kunden bilden. So können spe- Car-Sharing-Angebote revolutionieren.
zialisierte Unternehmen entstehen, die nicht mehr selbst
produzieren, sondern Informationstechnik zur Koordinati-
on produzierender Firmen sowie als Kundenschnittstelle 6.4 Zusammenfassung
nutzen. Diese zentralen Firmen beziehungsweise Firmen­
verbünde können so ein Netzwerk von Fertigungseinheiten Cyber-Physical Systems weisen erhebliches Innovations­
bilden und flexibler auf Anfragen reagieren. Damit könnten potenzial in allen untersuchten Bereichen auf, manchmal
sie zu einer Bedrohung für fertigungsorientierte Firmen wer- auch mit disruptiven Folgen für etablierte Marktteilnehmer.
den, die zwar hochvolumige Aufträge bearbeiten können, Allen Szenarien ist gemein, dass die neuen Konkurrenten
aber unflexibel auf neue Anforderungen reagieren. durchaus aus anderen Industrien kommen können, insbe-
sondere aus der IKT- und der Softwareindustrie. Marktein-
Im Produkt- und Produktionsentstehungsprozess können steiger mit Erfahrung in der Entwicklung von Software und
jene Maschinen- und Anlagenbauer sowie Komponenten- im Betrieb von Dienstportalen und Serverzentren verfügen
hersteller im Markt erfolgreich sein, die zuerst ihre Kom- über ausreichendes Wissen, um hochverfügbare Anwen-
ponenten mit offenen, standardisierten Schnittstellen dungen im Internet zu entwickeln und zu betreiben. Über
versehen, sodass verschiedene Geräte unterschiedlicher Auftragsprojekte und Kooperationen mit Unternehmen
Hersteller und unterschiedlicher Besitzer kombiniert wer- verschiedener Branchen können sie so Applikations- und
den können („Plug and Work“), ähnlich wie mittels der USB- Domänenwissen erlangen, um später eigene Dienste und
Schnittstelle am PC. Diese Komponenten können in jede Produkte in den jeweiligen Märkten anzubieten.
Anlage eingebaut werden, im Gegensatz zu proprietären
Komponenten, für die bei jedem Einbau die Schnittstelle Als Ergebnis der Analyse zukünftiger Geschäftsmodelle lässt
neu definiert und implementiert werden muss. Die nöti- sich festhalten, dass es nicht ein einziges Geschäftsmodell

83 2017 rechnet Pike Research mit 13,9 Millionen elektrifizierten Fahrzeugen. Nordamerika ist dann der größte Abnehmer, dort sollen 2017
immerhin 4,9 Prozent aller ‚Light-duty vehicles’ auf elektrifizierte Fahrzeuge entfallen [Pik11].
84 Siehe hierzu [BBD+11].

188
Geschäftsmodelle und Ökosysteme

geben wird, das für alle Märkte und Unternehmen passt. wender und offene Märkte zu entwickeln. Um dauerhaft
Vielmehr bieten Cyber-Physical Systems viele Nischen, An- Innovations­fähigkeit zu sichern, müssen zudem Unterneh-
satzpunkte und Potenziale; es sind aber auch Anpassungen men mit der Fähigkeit integriert werden, die heterogenen
aufseiten der Unternehmen erforderlich. Die vorstehend Netzwerke, den systematischen Aufbau integrierter CPS-
beschriebenen Szenarien mit den daraus abgeleiteten Technologien und komplexen Anwendungsplattformen so-
Änderungsmöglichkeiten verdeutlichen die großen Unter- wie deren Evolution zu managen.
schiede zwischen den Anwendungsbereichen hinsichtlich
Neuerungen und Änderungen bei Geschäftsmodellen. Aus Vor allem auf europäischer Ebene wird zur Entwicklung der
diesen Gründen lassen sich hier nur die Zusammenhänge, Innovationsfähigkeit einer Region oder von Industrien das
Mechanismen und Treiber sowie einige Beispiele für abseh- Instrument der Living Labs eingesetzt. Living Labs bauen In-
bare konkrete Änderungen beschreiben. Die größten Ver­ novations- und Entwicklungsnetzwerke auf, öffnen sie und
änderungen sind überall dort zu erwarten, wo Cyber-Physical die dazugehörigen Prozesse für Anwender und sorgen so
Systems disruptive Innovationen auslösen. Es gilt deshalb, für die Vernetzung von Wissenschaft, Praxis, Entwicklung
die weitreichenden Potenziale von Cyber-Physical Systems zu und Anwendung. In Living Labs entstehen auf diese Weise
erschließen und disruptive Effekte im Markt und in Anwen- Experimentierfelder für die interaktive Entwicklung und Er-
dungssystemen zu beherrschen. Deshalb ist es unverzichtbar, probung komplexer CPS-Innovationen. Diese Instrumente –
in regional und global vernetzten Ökosystemen systematisch die Labs wie auch die Experimentierfelder – müssen jedoch
nachhaltige Innovationen und damit die Fähigkeit aufzubau- für jeden Anwendungskontext maßgeschneidert werden.
en, integrierte und interaktive CPS-Lösungen zu entwickeln.
Eine wesentliche Voraussetzung für die Förderung und Rea-
Wesentliche Elemente solcher Ökosysteme sind heterogene lisierung von vernetzten CPS-Innovationen sind offene Platt-
Innovationsnetzwerke von Akteuren mit vielfältigen Kom- formen, Kommunikationsinfrastrukturen und Standards mit
petenzen, Rollen und Unternehmensgrößen. In Form von besonderem Gewicht auf Interoperabilität und Qualität von
Kooperationen und Wertschöpfungsverbünden integrieren CPS-Anwendungen und -Diensten (siehe Abschnitt 5.3).
sie unterschiedlich lange und dynamische Innovations­zyklen Diese Plattformen wirken als Hebel für Innovationen und
von CPS-Komponenten sowie verschiedene Innovations- nachhaltige Evolution von Cyber-Physical Systems sowie als
und Entwicklungskulturen. Aus deren Zusammenwirken Fundament wirtschaftlicher Ökosysteme. Von besonderer
können Innovationen, Strategien, Geschäftsmodelle und Wichtigkeit ist in diesem Zusammenhang, dass die inter­
Geschäftsmodellinnovationen entstehen, die einander er- aktive Wertschöpfung sowie die Entwicklungsprozesse und
gänzen; siehe auch [Che06]. Stähler [Stä02] unterscheidet Architekturen interdisziplinär und auf hohem Qualitäts­
Value Innovation, Architekturinnovationen sowie Ertrags- niveau zusammenwirken, und zwar einschließlich der ver-
modell- und Koordinationsmechanismus-Innovationen. wendeten Modelle, Methoden und Werkzeuge.

Erforderlich ist eine Mischung aus technologiebasierten Eine entscheidende Fähigkeit hierbei ist umfassende
Start-ups, KMU mit gelebter Tradition und Kundennähe so- Softwarekompetenz. Software ist für wesentliche System­
wie globalen Großunternehmen, die mit ihrem Durchhalte­ eigenschaften von zentraler Bedeutung: Sie sichert die
vermögen die Stabilität und das Vertrauen im Verbund Inter­operabilität von Daten und Diensten und prägt ent-
stärken. Zusammen besitzen Letztere die Fähigkeit, ge- scheidend deren Funktionalität, Anpassbarkeit an neue
zielt Produkte, Dienste und integrierte Lösungen für An- Anforderungen, Qualität und Langlebigkeit.

189
agendaCPS

Anstehende Herausforderungen für Wirtschaft und Wissen- Für Politik und Unternehmen ergibt sich daraus eine
schaft lassen sich unter den folgenden Stichpunkten zusam- Reihe gleich wichtiger Aufgaben: Es gilt, einen Rechts­
menfassen: rahmen und die Voraussetzungen für Standardisierung zu
schaffen, dazu wirtschaftliche und finanzielle Infrastruk-
—— geeignete Wertschöpfungsarchitekturen, Kollaborati- turen sowie Rahmen­bedingungen. All das muss zudem
onsplattformen, Organisationsformen und Rollen in an unterschied­liche Erfordernisse angepasst werden; sie-
Ökosystemen, he auch das Modell eines Forschungs- und Innovations­
—— einander ergänzende neue Geschäftsmodelle und ihre systems in Abbildung 7.1.
Integration, einschließlich der Harmonisierung unter-
schiedlicher Lebenszyklen von Produkten und Kompo-
nenten,
—— geeignete Formen von Kooperation und Konkurrenz so-
wie von Interaktions- und- Geschäftsbeziehungen, die
sich daraus ergeben, einschließlich
—— Modelle zur Verteilung von Erlösen (Revenue Sharing),
auch mittel- bis langfristig, und zur Berechnung des
Return on Investment (RoI) in verteilten Investitions-
und Ertragsmodellen.

190
Standortbestimmung

7 Standortbestimmung, Analyse und


Schlussfolgerungen
Die Analysen der vorliegenden Agenda zeigen deutlich die 5. Kommunikation, Vernetzung und Interoperabilität sind
Chancen und vielfältigen Nutzenpotenziale auf, die Cyber- Basisfähigkeiten aller Komponenten, Teilsysteme und
Physical Systems und ihre softwarebasierten Technologien Anwendungen von Cyber-Physical Systems. Offene
für Gesellschaft und Wirtschaft mit sich bringen. Sie zeigen Standards und CPS-Plattformen mit grundlegenden
vor allem den grundlegenden Wandel in Systemevolution, Interoperabilitäts-, Vermittlungs- und Quality-of-Service-
Mensch-Technik-Interaktion und in der Art und Weise ih- Diensten bilden einen entscheidenden Hebel für Viel-
rer Entwicklung und Gestaltung, der mit der offenen Ver­ falt und Dynamik in der CPS-Evolution.
netzung und Nutzung der neuen Fähigkeiten der Systeme
verbunden ist – und der zudem neue Risiken und Heraus­ 6. Cyber-Physical Systems erfordern Interdisziplinarität,
forderungen für Gesellschaft und Unternehmen mit sich Wertschöpfung und Geschäftsmodellinnovation in wirt-
bringt. schaftlichen Ökosystemen, die sich den genannten He­
rausforderungen stellen und damit eine global führende
Aus der Agenda ergeben sich folgende wesentliche Erkennt- Rolle übernehmen können. Denn für die Wirtschaft gilt:
nisse, deren Berücksichtigung entscheidend für die Entwick- „Der Kulturwandel muss vor allem auf der Anbieterseite
lung innovativer CPS-Dienste und -Anwendungen ist: erfolgen. Die Bereitschaft zu radikalen Veränderungen
von Geschäftsprozessen oder sogar Geschäftsmodellen
1. Es vollzieht sich ein Wandel von Produkten hin zu hy­ kann nur von hier ausgehen. Wenn der Markt sie er-
briden Systemen, zu interaktiven Diensten und integrier- zwingt, ist es meist zu spät.“ [HW11]
ten Lösungen.
Anhand dieser Erkenntnisse wird deutlich: Damit Deutsch-
2. Technologie und Interaktion sind Treiber der Inno­vation. land das Potenzial von Cyber-Physical Systems nutzen und
Die Qualität von Cyber-Physical Systems bemisst sich sich einen langfristigen Wettbewerbsvorteil sichern kann,
an dem Verständnis der Beziehungen zwischen Daten, ist ein integriertes Handeln von Politik, Wirtschaft und
Dingen und Diensten im Kontext von Menschen und Forschung und Wissenschaft erforderlich. Entsprechende
Anwendungsprozessen. Schlüsse werden systematisch in den folgenden Abschnit-
ten auf Basis der Ergebnisse der vorliegenden Agenda und
3. Hochwertige CPS-Dienste zeichnen sich durch drei Fak- einer ausführlichen SWOT-Analyse gezogen.
toren aus: intensive Interaktion, Schaffen von Sicherheit
und Vertrauen sowie Individualisierung. Erforderlich ist
die Ausrichtung am Bedürfnis der Nutzer, die immer an- 7.1 Erforderliche integrierte Innovations­
spruchsvoll und aufgeklärt sind. anstrengungen

4. Eine entscheidende Fähigkeit ist umfassende Soft- Abbildung 7.1 gibt einen Überblick über das vom Fraun-
warekompetenz, denn Software ist von zentraler Be- hofer ISI entwickelte Modell zu Forschungs- und Innova-
deutung für Funktionalität, Anpassbarkeit an neue tionssystemen [AKvdMo1]. Unter Berücksichtigung der
Anforderungen, Qualität und nachhaltig innovative wesentlichen Akteure und Rollen im Innovationsprozess
Systemlösungen. liefert dieses Modell ein Strukturierungskonzept für die
in Abschnitt 7.2.3 zusammengefassten Folgerungen und

191
agendaCPS

Abbildung 7.1: Modell eines Forschungs- und Innovationssystems; Quelle: [AKvdMo1], erweitert von Kuhlmann (Fraunhofer ISI)

MODELL EINES FORSCHUNGS- UND INNOVATIONSSYSTEMS

Bedarf Rahmenbedingungen
Finanzielles Umfeld, Besteuerung und
Kunden (finale Anforderungen) Anreize; Innovationsfreude und
Produzenten (Zwischenanforderungen) Unternehmertum; Mobilität

Industriesystem Ausbildungs- und


Politisches System
Forschungssystem

Großunternehmen Berufsausbildung Government


Transferorganisation und Training (Verwaltung)
Forschungsinstitute
Erfahrene KMUs Vermittler Hochschulausbildung Governance
und Forschung (Steuerung)

Forschungs- und
Neue technologiebasierte Die potentielle Reichweite Technologie-
Firmen Staatliche Forschung
öffentlicher Politik … entwicklungspolitik

Infrastruktur
Banking, Beteiligungs-/ Information und Innovations- und Standards und
Wagniskapital Schutz-/Urheberrechte Geschäftsuntestützung Normen

Handlungsempfehlungen der integrierten Forschungs­ Abbildung 7.2 setzt diese drei Felder zueinander in Be-
agenda Cyber-Physical Systems: ziehung und zeigt ein Gesamtbild der erforderlichen
Innovations­anstrengungen auf:
Für die Strukturierung von Handlungsempfehlungen
bietet sich folgende Unterteilung zukünftiger wirtschaft- —— CPS-Anwendungswelten (Abbildung 3.2 aus Kapitel 3
licher Ökosysteme, also von Wirtschafts- und Innovations- mit Szenarienskizzen der Domänen E-Health und Smart
partnern in Wertschöpfungsnetzen und -architekturen, an: Mobility) samt ihrer Anforderungen an die Technik und
Unternehmens­ systeme und -verbünde (Industrie­ system), deren nutzergerechte Gestaltung,
Forschungstransfer- und -verwertungsunternehmen (Trans­ —— CPS-Kerntechnologien und
fer­organisation, Forschungsinstitute) sowie innovative und —— Bausteine der Innovations- und Ökosysteme.
nachhaltige Forschungs- und Ausbildungssysteme samt
ihrer Substrukturen (Ausbildungs- und Forschungssystem).

192
Standortbestimmung

Abbildung 7.2: Überblick über erforderliche abgestimmte Innovationsanstrengungen auf dem Gebiet von Cyber-Physical Systems

(10) Technikfolgen – Analyse und Gestaltung Anwendungsdomäne X, z. B. E-Health


Modell eines Forschungs- und Innovationssystems Anwendungsdomäne Y, z. B. Smart Mobility
t1
Bedarf Rahmenbedingungen
t2 t3
(9) Modelle der Nutzer-,
Kunden Kunden- und
(finale Anforderungen)
Finanzielles Umfeld, Besteuerung und
Anreize; Innovationsfreude und
Unternehmensanforderungen
Produzenten (Zwischenanforderungen) Unternehmertum; Mobilität

Bereich 1
Industriesystem Ausbildungs- und
Politisches System
Forschungssystem
Bereich 2
Großunternehmen Berufsausbildung Government Bereich 3 Bereich 1
Transferorganisation und Training (Verwaltung)
Forschungsinstitute Bereich 2
Erfahrene KMUs Vermittler Hochschulausbildung Governance
sichere, kontrollierte Kommunikation
und Forschung (Steuerung)
unsichere, unbestimmte Kommunikation
Beteiligte, Nutzer, Stakeholder Bereich 3
Forschungs- und
geschlossene Systeminteraktion zur Umgebung
Neue technologiebasierte Die potentielle Reichweite Technologie-
Firmen Staatliche Forschung Szenarioausschnitt zum Zeitpunkt t1, t2, t3,...
öffentlicher Politik … entwicklungspolitik
CPS-Dienste, -Prozesse und -Verhalten
Komponenten, Systeme, Funktionen,
kontrollierte Dienste
in den Anwendungswelten E-Health und intelligenten Mobiltät
Dienste (ad hoc vernetzt, unsicher)
Infrastruktur
Banking, Beteiligungs-/ Information und Innovations- und Standards und
Wagniskapital Schutz-/Urheberrechte Geschäftsuntestützung Normen

(8) Ökosysteme – Wertschöpfungsnetze, Architektur integrierter Geschäftsmodelle Aufbau von


CPS-Anwendungsplattformen und -Diensten

(7) Forschung/Ausbildung (1) Anforderungs-, Domänen-, Qualitätsmodelle (Quality in Use)


(2) Modelle der Mensch-Maschine-Interaktion
(3) CPS-Technologien (Adaption, Integration, etc.)
CPS-Kerntechnologie und -Kompetenzen (4) CPS-Engineering Konzepte und Kompetenzen
(5) Sicherstellung von Garantien (Quality of Service)
CPS und Internet – Teil der Allgemeinbildung
(6) CPS-Kommunikationsinfrastruktur, -Plattform
-Basisdienste, technische Interoperabilität, etc.

Erforderlich sind aufeinander abgestimmte Handlungen in —— Interdisziplinäre Forschung und Ausbildung (7) und
folgenden Themenfeldern: der Aufbau von Kernkompetenzen bei allen Mitwirken-
den an Innovationen, darüber hinaus auch in der Allge-
—— CPS-Kerntechnologien (1 – 6): interdisziplinäre und inte­- meinbildung der Bevölkerung im Sinn einer Befähigung
grierte Forschungsarbeiten für die CPS-Kerntechnolo- zum mündigen und selbstbestimmten Umgang mit
gien – siehe die Zusammenfassung der Fähigkeiten, CPS-Technik sowie dem Internet; siehe auch Kapitel 4
Herausforderungen und Kerntechnologien in den Ab- —— Wirtschaftliche Ökosysteme (8) mit Konzentration
schnitten 3.5 und 5.5 – und Initiativen zum Aufbau und der Beteiligten an CPS-Wertschöpfungsnetzen auf ihre
zur Verwendung von Cyber-Physical Systems in Innova- jeweiligen Kernkompetenzen, entsprechend den Kon-
tions- und Öko­systemen zepten und Herausforderungen der Geschäftsmodell­
innovationen und Ökosysteme, die in Kapitel 6

193
agendaCPS

herausgearbeitet wurden; siehe auch die Plattformstra- Die Ergebnisse der Agenda im Überblick
tegien von Cusumano [Cus10]. Dabei handelt es sich Die einzelnen Themen der genannten Innovationsanstren-
um gungen sind in Abbildung 7.3 zusammengefasst. Dieser
—— Konzentration der Unternehmen und Verbünden Überblick über die Analyseergebnisse der Agenda enthält
auf ihre jeweiligen Kernkompetenzen und Fähig­
keiten im Bereich der CPS-Technologien, —— eine Darstellung des Wandels mit seinen treibenden
—— Denken und Handeln in modular strukturierten An- Faktoren und wesentlichen Eigenschaften von Cyber-
wendungsplattformen und flexibel integrierbaren, Physical Systems,
an die jeweilige Anwendung anpassbaren CPS- —— eine umfassende Charakterisierung der CPS hinsicht-
Diensten und Dienstleistungen, lich ihrer Anwendungsdomänen, der erforderlichen
—— Bildung von Unternehmensverbünden beziehungs- Fähigkeiten und Eigenschaften; siehe hierzu auch die
weise Ökosystemen. Dazu gehört das Herausarbeiten Zusammenfassung der CPS-Fähigkeiten und Heraus­
entsprechender Wertschöpfungsarchitekturen und forderungen in den Abschnitten 3.5 und 3.6,
-netze samt integrierter Geschäftsmodelle, um CPS- —— eine Zusammenfassung der mit dem Wandel einher­
Anwendungsarchitekturen und -plattformen sowie gehenden gesellschaftlichen Akzeptanzfragen und -fak-
integrierte Lösungen aufbauen zu können. toren sowie der daraus abgeleiteten Anforderungen an
—— Nutzer-, Kunden- und Unternehmensanforderungen die Technologie, und zwar hinsichtlich politischer, recht-
(9) sowie gesellschaftliche Vorgaben und Rahmen­ licher und organisatorischer Rahmenbedingungen; sie-
bedingungen he auch die Ergebnisse in den Abschnitten 3.4 und 4.1,
—— Partizipative Technikgestaltung und Technikfolgen- —— eine Zusammenfassung der damit verbundenen Tech-
analyse (10): Analyse und Bewertung von CPS-Szena- nologie- und Engineering-Fragen; siehe auch die
rien und gemeinsame Gestaltung kritischer CPS-Anwen- Zusammen­fassung in Abschnitt 5.5, und
dungen auf der Basis gesellschaftlicher Dialoge und —— eine Zusammenfassung der damit einhergehenden
Abstimmungsprozesse Heraus­forderungen an Wirtschaft und Geschäftsmodel-
le; siehe Abschnitt 6.5.

194
Standortbestimmung

7.2 SWOT-Analyse Die gesammelten Stärken und Schwächen sowie die iden-
tifizierten Chancen und Risiken in Abbildung 7.4 sind in
Die nachfolgende SWOT-Analyse greift wesentliche Ergeb- den folgenden Abschnitt 7.2.1 und 7.2.2 zusammengefasst.
nisse der Agenda auf, identifiziert ausgewählte Stärken Die Erläuterung der abgeleiteten strategischen Handlungs­
(Strengths) und Schwächen (Weaknesses) Deutschlands felder in den inneren Quadranten der SWOT-Abbildung er-
und der Europäischen Union und setzt sie in Zusammen- folgt im abschließenden Abschnitt 7.2.3.
hang mit Chancen (Opportunities) und Risiken (Threats) für
die Fortentwicklung und Stärkung der Innovationsfähigkeit
Deutschlands. 7.2.1 Stärken und Schwächen des
Innovationsstandorts Deutschlands im
Chancen und Risiken bilden hierbei die externen Einfluss- Bereich der Cyber-Physical Systems
faktoren der Analyse, die in den spezifischen CPS-Eigen-
schaften begründet liegen. Stärken und Schwächen fassen Die nachfolgende Zusammenfassung der Stärken und Schwä-
die internen Fähigkeiten der deutschen, aber auch der euro- chen des Technologie- und Wirtschaftsstandorts Deutsch-
päischen Forschungs- und Wirtschaftslandschaft zusammen lands und der Europäischen Union im Bereich Cyber-Physical
(siehe Abbildung 7.3 und nachfolgende Abschnitte). Systems beruht auf aktuellen Studien und Marktanalysen85,
auf Recherchen zum Stand der Forschung und zur Technik
Ableitung von strategischen Handlungsfeldern in Anhang A sowie auf den Analysen zu Technologie- und
Die grafische Darstellung der SWOT-Analyse in Abbildung 7.4 Engineering-Herausforderungen in Kapitel 5.
umfasst die vier inneren Quadranten:
Stärken (Strengths)
—— SO-Strategien (ausbauen): Stärken nutzen, um Chancen
zu verwerten Position und Rahmenbedingungen
—— WO-Strategien (aufholen): Schwächen abbauen, um —— starke Position bei eingebetteten Systemen:
Chancen zu verwerten —— sicherheitskritische Systeme, Echtzeitsysteme, IT-
—— ST-Strategien (absichern): Stärken nutzen, um Risiken Sicherheit, Systems Engineering, Systemintegration,
vorzubeugen Sensor­technologie, Mechatronik, Robotik
—— WT-Strategien (vermindern): Schwächen abbauen, um —— Architekturen, Protokolle
Risiken zu vermindern —— Entwicklungs- und Produktionsprozesse
—— Führung in entscheidenden Branchen, die eingebettete
Stärken und Schwächen werden den Chancen und Risiken Systeme nutzen:
gegenübergestellt, daraus werden Handlungsfelder für eine —— Automation, Produktion, Automotive, Energietech-
integrierte CPS-Handlungsstrategie abgeleitet. Der Schwer- nik, Logistik, Luftfahrt, Medizin
punkt der SWOT-Analyse liegt hierbei auf den neuen Heraus­ —— starke Abnehmerbranchen mit hohem Innovations-
forderungen im Zusammenhang mit der Vernetzung und bedarf in Deutschland
Öffnung der Systeme. Die Ergebnisse der Nationalen Road- —— umfassend abgedeckte Wertschöpfungsketten vor Ort
map Embedded Systems [ABB+09] werden in die Analyse —— leistungsstarke, innovative Firmennetzwerke, auch mit
einbezogen, da eingebettete Systeme und ihre Technologien KMU-Beteiligung, zu eingebetteten Systemen
wesentliche Bestandteile von Cyber-Physical Systems bilden. —— gute und flächendeckende Kommunikationsinfrastruktur

85 Beispielweise [BMW08, COS+09, BMW09a, BMW09b, ABB+09, AG09, BMW10a, BIT11a, BIT11b, IDC11, aca11b].

195
agendaCPS

Abbildung 7.3: Überblick über die Ergebnisse der agendaCPS – Charakterisierung des technologischen und gesellschaftichen Wandels durch
Cyber-Physical Systems und der damit verbundenen Herausforderungen in Technologie, Wirtschaft und Gesellschaft

IKT, (ECHTzEIT-)VERnETzUnG, PHySICal awaREnESS, wEB 2.0 (PUSH)


wanDEl : oFFEnE SySTEME, allGEGEnwaRT, InTERaKTIVE KonTExTanPaSSUnG

CPS-CHaRaKTERISIERUnG UnD ERFoRDERlICHE


FRaGEn UnD HERaUSFoRDERUnGEn DES wanDElS
FäHIGKEITEn

Klassifikation von CPS nach sozialen und räumlichen Individuelle und gesellschaftliche akzeptanz
netzwerkstrukturen (Topologien) • individuelle Brauchbarkeit, Kontrollierbarkeit und
a. großtechnische Infrastruktursysteme und -dienste Gestaltungsfähigkeit im jeweiligen Handlungskontext
(kontrollierter Bereich) • Transparenz und Verlässlichkeit
b. soziale Infrastruktursysteme und Dienste • Sicherheit und Schutz der Privatsphäre
(definierter Bereich) • Fairness
c. soziale Anwendungssysteme und Dienste – • Umweltverträglichkeit
auch Unternehmen; ausdifferenzierter Bereich, • Schutz geistigen Eigentums
domänenübergreifend, offen für
d. individuelle Anwendungssysteme und Nutzungsprozesse neue Herausforderungen an die Technologie
• erweiterte Mensch-Maschine-Interaktion und -Kooperation
aufeinander aufbauende Eigenschaften • für nutzersicht- und bestimmbare semantische Inter-
(1) Cyber-Physical, vernetzt (lokal-global), virtuelle aktive operabilität und Kooperation
Steuerung in Echtzeit • strategisches Handeln im sozialen Kontext
(2) System of Systems, kontrollierter Verbund mit dynamisch • Neubestimmung nichtfunktionaler Anforderungen
adaptiven Grenzen • erweiterte Risikoanalyse und Bewertung
(3) kontext-adaptive und ganz oder teilweise autonom • erweiterte Qualitätsanforderungen an
handelnde Systeme CPS-Komponenten und intelligente Infrastruktursysteme
(4) kooperative Systeme mit verteilter, wechselnder Kontrolle • Festlegung von Compliance-Vorgaben und Quality-of-Service-
(5) umfassende Mensch-System-Kooperation Garantien

CPS erfordern folgende Fähigkeiten: offene Fragen


• X-Awareness und Kontextintegration • gesellschaftlicher Kosten-Nutzen-Diskurs
• Lernen und Adaption ihres Verhaltens • Bedarfsbestimmung und politische Lenkung vor Ort
• Transparente und berechenbare Mensch-Maschine-Interaktion • Gestaltung der Umwelt- und anderer Rahmenbedingungen
• verlässliches und transparentes Handeln für den Einsatz
• Kooperation und strategisches Handeln • Festlegung des Rechtsrahmens für
• Risiko-, Ziel- und Qualitätsanalyse – Entwicklung, Einsatz, Betrieb
• Sicherstellung von Quality of Service (QoS) – wirtschaftliche Parameter
– Standardisierung und Qualitätsnormen

196
Standortbestimmung

(PUll) KonTExT-awaREnESS, MEnSCH-MaSCHInE-InTERaKTIon UnD KooRDInaTIon


UnD PRozESSInTEGRaTIon, MITGESTalTUnG DURCH nUTzER (HanDlUnG, üBERwaCHUnG, KooRDInaTIon)

HERaUSFoRDERUnGEn HInSICHTlICH DER TECHnoloGIEn HERaUSFoRDERUnGEn FüR wIRTSCHaFT UnD


UnD FüR DaS EnGInEERInG GESCHäFTSMoDEllE

anforderungs- und Domänenmodelle aufbau von wertschöpfungsnetzen und


• formalisierte und integrierbare Anforderungs-, Umgebungs- wirtschaftsplattformen (Ökosystemen)
und Domänenmodelle • strategische Ziele, Aufbau von langfristig stabilen Strukturen
• Modelle der Mensch-Maschine-Interaktion und geteilter • Vielfalt in Kompetenz, Größe und Rolle
Kontrolle, integrierte Interaktions- und Handlungskonzepte in • neue Formen und Führung im Aufbau von wirtschaftlichen
komplexen Anwendungssituationen CPS-Plattformen durch global vertretene
• hybride (System-)Modelle und integrierte Architektur- und Großunternehmen
Kompositionskonzepte • Fragen geeigneter Architekturen, Kernkompetenzen
• Modelle für kooperatives und strategisches Handeln und Rollen
• Formen der Kooperation und Konkurrenz
Erweiterte Qualitätsmodelle • KMUs als Innovatoren und Integratoren mit Nähe zu Nutzer
(nichtfunktionaler anforderungen – nFR) und Kundenproblem
• zielorientierte Strukturierung und Abbildung auf System- • Innovations- und Forschungsverbünde mit systematischem
ebenen (Quality in Use, Quality of Service) Architektur- und Aufbau von integrierter CPS-Technologien und -Kompetenzen
Kompositionskonzepte • integrierte Produkt- und Lebenszyklusmodelle der
• Konflikt- und Abstimmungsmodelle (Regeln) CPS-Komponenten mit unterschiedlicher Dynamik
• CPS-Fähigkeiten und erforderliche Technologien • Aufbau von Software-Kompetenz in traditionellen KMUs
• intuitive und verlässliche (transparente) Bedien-, Interaktions-
und Kontrollkonzepte Vielfältige integrierte Geschäftsmodelle
• Menschmodelle, Zustands- und Absichtserkennung • Nutzenversprechen – neue Ausrichtung an vielfältigen
• Lern- und Adaptionstechniken und -verfahren Werten für Kunden (vgl. erweiterte Qualitätsmodelle)
• Sensor- und Aktortechnologien und -netzwerke • integrierte Geschäftsmodelle, u.a. zu den offenen Fragen
• semantische Internettechnologie des Revenue Sharings und des Return on Investments (RoI) in
• effiziente Recheneinheiten und Kommunikation verteilten Investitions- und Ertragsmodellen
• Self-X- und Sicherheitstechnologien – erweiterte Methoden
der Betriebs- und IT-Sicherheit Rechtsrahmen
• CPS-Plattform/-Middleware einschl. Qualitätsgarantien • Haftung, IP-, Patent- und Eigentumsrechte
• national, international
Interdisziplinäres Engineering
• partizipative Anforderungsanlyse und Entwurf Forschungs- und Innovationssysteme
• modellbasierte Exploration, Simulation, Validierung und • Rahmenbedingungen
Verifikation • (faktische) Standardisierung
• erweitertes Qualitäts- und Risiko-Engineering
• Sicherstellung von NFR in Entwurf und Komposition
• Formen der Selbstorganisation und Kontrolle von Autonomie
• Privacy-Schutzziele und Privacy by Design
• Domänen-Engineering, Aufbau von Anwendungs-
architekturen und -plattformen

Standardisierung

197
agendaCPS

—— Stärke im Bereich der SCADA86-Systeme und der er­ —— einen starke Fokussierung auf Technologien ohne
forderlichen Netztechnik Berücksichtigung ihrer Effekte in der Anwendung
—— ausgeprägtes Bewusstsein in der Bevölkerung und —— die Fixierung der Industrie auf brancheninterne
Poli­tik für Umweltschutz und ökologische Themen, für Business-to-Business-Prozesse und ihre Optimierung
das Thema Nachhaltigkeit sowie für Datenschutz und —— fehlende Marktführer bei Internetfirmen und Software-
Schutz der Privatsphäre Plattformen, also kaum große Akteure, die De-facto-
Standards in der IT durchsetzen könnten
Engineering, Forschung und Ausbildung —— fehlende Kompetenzen und Infrastruktur zu Schlüssel­
—— starke Forschung und starkes Engineering zu eingebet- themen
teten Systemen —— unzureichende Kompetenzen zu Internet- und
—— enge Zusammenarbeit von Forschung und Industrie Cloud-Technologien
in einigen Disziplinen und Anwendungsfeldern, etwa —— unzureichende Softwarekenntnisse bei etablierten
Automotive, Medizintechnik, Automatisierungstechnik KMU und Lieferanten von CPS-Komponenten
—— Referenzarchitekturen —— unzureichende Technologie- und Softwarekenntnis-
—— modellbasierte Entwicklung, Qualitätssicherung, se im Handwerk und bei Dienstleistern, zum Bei-
Verifikation, spiel Gebäudetechnik und -architektur
—— Sicherheitstechnik (Betriebs- und IT-Sicherheit), Zer- —— teilweise wenig leistungsstarke Kommunikationsinfra-
tifizierung struktur, speziell fehlende Breitbandnetze im ländlichen
—— Modellierung, modellbasierte Entwicklung, Validie- Raum, deshalb dort keine Ansiedlung von Unternehmen
rung und Verifikation, —— Technikferne der Bevölkerung
—— führend in der Grundlagenforschung zu einzelnen CPS- —— Mangel und weitere Abwanderung von Fachkräften
Technologiethemen —— geringe Attraktivität für Menschen und Unternehmen,
—— gute Ausbildung zu eingebetteten Systemen und im vor allem kleine, auch aus dem Ausland
klassischen Engineering —— langwieriger Aufbau neuer Organisationen und
Firmen
Schwächen (Weaknesses) —— fehlende soziale Infrastruktur; so gibt es etwa nicht
genug Unterstützung bei der Eingliederung oder
Position und Rahmenbedingungen der Kinderbetreuung sowie in Form von Sprach­
—— fehlende Marktkompetenz im Bereich von Consumer- kursen oder von Hilfe bei Behördenkontakten.
produkten, die eingebettete Systeme und entsprechen- —— starre oder fehlende regulatorische Rahmenbedin-
de Software verwenden, sowie eine daraus resultieren- gungen
de schwache Position bei Endgeräten und innovativen —— mangelnde Experimentierfreude und Risikobereit-
Nutzerschnittstellen schaft
—— mangelnde Orientierung an Nutzern, Nutzerprozessen —— zu wenig Wagniskapital beziehungsweise zu wenig
und Anwendungsproblemen, zum Beispiel im Zusam- Investitionsbereitschaft
menhang mit menschlichen Faktoren und Lebens­
räumen. Die Situation ist gekennzeichnet durch
—— eine schwache Dienstleistungswirtschaft87

86 Supervisory Control and Data Acquisition; computergestütztes Überwachen und Steuern technischer Prozesse.
87 Siehe Endbericht des Innovationsrates Baden-Württemberg [AG09].
198
Standortbestimmung

Abbildung 7.4: Überblick über die SWOT-Analyse und daraus abgelei­tete strategische CPS-Handlungsfelder

InTERnE FäHIGKEITEn
Stärken (Strengths) Schwächen (weaknesses)
• eingebettete Systeme, Branchen und • mangelnde Nutzer- und Nutzerkontext-
gesamte Wertschöpfungskette Orientierung
• innovativer Mittelstand im Bereich • schwache Dienstleistungswirtschaft
SwoT- analySE eingebetteter Systeme • fehlendes Software-Know-how in
• Forschung im Bereich CPS-Technologien etablierten KMU
• Systems-Engineering und -Integration • stark fragmentierte Forschung
• … • fehlende CPS-Ausbildung und Technikbildung
• keine globalen Internet-Firmen
• …

Chancen (opportunities) So-Strategien (ausbauen) wo-Strategien (aufholen)


• Lebensräume • Vertikale und domänenübergreifende • Neuausrichtung der Entwicklungs- und
• Smart Cities Forschungscluster und Experimentierfelder Innovationsstrategien an Lebensräumen
• Versorgungssyteme, • schrittweiser Ausbau und Standardisierung und sozialen Anwendungsprozessen
Infrastrukturen interoperabler, sicherer und intelligenter • eingebettete Systeme: Umdenken auf allen
• Ausbau Versorgungssyteme für lebensraum- und Ebenen der Wertschöpfung
eingebetteter bedarfsgerechte Lösungen, einschließlich • Forschungsschwerpunkte:
Systeme durch integrierter Dienstleistungen Mensch-Maschine-Interaktion,
Vernetzung • Bildung von Innovations-Clustern, Aufbau Anforderungsanalyse, Ziel-, Domänen- und
• … und Erprobung von wirtschaftlichen Qualitätsmodelle
ExTERnE EInFlUSSFaKToREn

Ökosystemen • interdisziplinäre integrierte Forschungs-


• integrierte Forschung zu den Heraus- strukturen, -konzepte sowie Aus- und
forderungen für Wirtschaft mit den neu Weiterbildung
entstehenden Ökosystemen • CPS-Beratungs- und -Begleitzentren vor Ort
• Schaffen von Plattformen für Ökosysteme • Schaffen von international
• Stärken, Fördern, Einbinden und Stützen wettbewerbsfähigen Standortbedingungen
von KMU • Stärkung der Internet-Kompetenz

Risiken (Threats) ST-Strategien (absichern) wT-Strategien (vermindern)


• Emergenz (intern, • Modelle und Standards für gesellschaftlich • Finden von Strategien zur Abwehr vor
externe Einflüsse) erforderliche Systemqualität (Modelle für „Wirtschaftskriegen“ (IP-, Patent- und
• Manipulation, Qualität und Engineering) Rechtsstreiten)
Angriffe • führendes Kompetenzzentrum für den • gesellschaftliche Dialoge, Gestalten von
• offene Rechtslage Schutz der Privatsphäre Technik und Technikfolgenanalyse
• neue Wettbewerber • Forschungs- und Kompetenzzentrum für
• … Plattformen und Technologien im Internet-
und CPS-Umfeld
• Aufbau von Handlungskompetenz,
Verankerung von CPS-Technik in der
Allgemeinbildung

199
agendaCPS

Engineering, Forschung und Ausbildung Chancen (Opportunities)


—— stark fragmentierte Forschung in einzelne Disziplinen
und isolierte Forschungsfragen Potenzial (Gesellschaft und Wirtschaft sowie Markt)
—— kein nachhaltiger Aufbau interdisziplinärer Forschungs- —— Lebensräume und wachsende Bedürfnisse, Beitrag zu
felder gesellschaftlichen Herausforderungen
—— Schwächen in einzelnen zentralen Forschungsfeldern: —— Smart City, Verkehr, Mobilitätsdienste, privater All-
—— Beherrschung der Anforderungen; es fehlt an Me- tag, Smart Home, Smart Building, Green-IT, Assistenz
thoden der Anforderungsanalyse, etwa Erhebung, —— AAL, E-Health, integrierte Fernbetreuung, selbst­
Modellierung von Anwendungsdomänen, Priorisie- bestimmtes soziales Leben
rung und Verfolgung im Entwurf —— Infrastruktur- und Versorgungssysteme, integrierte Dienst-
—— Mensch-Technik-Interaktion, Usability leistung, Organisation, Versorgung und Überwachung
—— mangelnde Integration von Soziologie und Psycho- —— Energie, Wasser
logie mit Informatik und Technik —— Governance, also bedarfsgerechte integrierte Steue-
—— nichtfunktionale Anforderungen und Qualitäts­ rung von Energie- und Wasserversorgung sowie des
modelle Verkehrs in Städten und Gemeinden
—— Schwächen bei der konsequenten Umsetzung von For- —— Gesundheit, integrierte medizinische Versorgung
schungsergebnissen in Innovationen und Fernbetreuung
—— starre, hierarchische Entwicklungsstufen und Zuliefer­ —— integrierte Sicherheitsüberwachung und dafür erforder-
strukturen. So findet zu wenig Kommunikation mit mög- liche Konzepte, zum Beispiel zum Verhindern von Panik
lichen Nutzern und Kunden statt; deren Anforderungen oder Feuer, sowie für allgemeine technische Prozesse
werden zu wenig beim Entwurf von Systemen und Sub- auf Veranstaltungen in öffentlichen Gebäuden oder in
systemen berücksichtigt. Städten
—— fehlende interdisziplinäre Ausbildung —— integrierte Dienstleistungen zu diesen Themen, die mit-
hilfe von CPS-Technik erbracht werden

7.2.2 Chancen und Risiken des Technologie und Engineering


Innovationsstandorts Deutschlands im —— Anforderungs- und Domänenmodelle, erweiterte Quali-
Bereich der Cyber-Physical Systems tätsmodelle, Architektur- und Kompositionskonzepte
—— integrierbare Anforderungs-, Umgebungs- und
Die nachfolgend aufgeführten Chancen und Risiken im Domänen­modelle
Bereich der Cyber-Physical Systems für wirtschaftliche und —— Modelle der Mensch-Maschine-Interaktion und ge-
gesellschaftliche Innovationen und nachhaltigen Mehrwert teilten Kontrolle
in Gesellschaft und Umwelt sind das Ergebnis der Agenda- —— integrierte Interaktions- und Handlungskonzepte
analysen und -recherchen. Auch hier sind Ergebnisse der in —— hybride Modelle für Systeme und Netzwerke sowie
Abschnitt 7.2.1 genannten Studien eingeflossen.88 integrierte Architektur- und Kompositionskonzepte
—— Modelle für kooperatives und strategisches Handeln
—— integrierte Technologien und Methoden für erfor-
derliche CPS-Fähigkeiten

88 [BMW08, VI09, CvONS+09, BMW09a, BMW09b, ABB+09, AG09, BIT11a, BIT11b, KPCv11, aca11b].
200
Standortbestimmung

—— intuitive, verlässliche und transparente Konzepte —— nachhaltige Innovationsvielfalt durch Bildung von
für Bedienung, Interaktion und Kontrolle sowie für Netzwerken und Ökosystemen
Usability, multimodale Schnittstellen und Kommu- —— Möglichkeit, alle Aspekte der Forschung, Entwicklung,
nikation Produktion und Integration von Cyber-Physical Systems
—— Menschmodelle, Zustands- und Absichtserkennung in Deutschland zu erbringen und auf diese Weise Markt-
—— Techniken und Verfahren für Lernen und Adaption und Technologieführerschaft zu erreichen
—— Technologien und Netzwerke für Sensorik und Ak- —— Entwicklung relevanter branchenübergreifender Stan-
torik dards, sowie von Modellen, Architekturen und Model-
—— Internettechnologie, speziell semantische Technologie lierungssprachen, die neue Innovationen ermöglichen
—— effiziente Recheneinheiten und Kommunikation
—— Self-X- und Sicherheitstechnologien sowie erweiterte Risiken (Threats)
Methoden der Betriebs- und IT-Sicherheit
—— CPS-Plattformen und -Middleware einschließlich Mo- Technologie
delle für Qualitätsgarantien —— Komplexität und daraus resultierende interne und ex-
—— interdisziplinäres Engineering terne Emergenz (spontanes Entstehen neuen Verhal-
—— Requirements Engineering, partizipative Anforde- tens aus dem Zusammenwirken von Systemteilen mit
rungsanalyse und Entwurf anderen Systemteilen beziehungsweise mit der sozialen
—— modellbasierte Exploration, Simulation, Validierung Umgebung) von Cyber-Physical Systems samt ihrer An-
und Verifikation wendungen
—— erweitertes Qualitäts- und Risiko-Engineering —— unzureichende Vorhersagbarkeit und Kontrollier­
—— Sicherstellung der Erfüllung nichtfunktionaler An- barkeit
forderungen in Entwurf und Komposition —— erhöhte Risiken durch mangelnde Betriebs- und
—— Domänen-Engineering, Aufbau von CPS-Anwen- IT-Sicherheit
dungsarchitekturen und -Plattformen —— erhöhte Gefahr von Manipulationen und Angriffen
—— Selbstorganisation und Kontrolle von Autonomie durch die Offenheit und Allgegenwart der Systeme
—— Konzepte für Technologien, Engineering, Architektur —— fehlende IT-Sicherheit und fehlender Schutz im Bereich
und Garantien zum Schutz der Privatsphäre, für Priva- eingebetteter Systeme und kritischer CPS-Infrastrukturen
cy by Design, also die Berücksichtigung des Schutzes
persönlicher Daten von Beginn der Entwicklung eines Gesellschaft und Wirtschaft
Produkts beziehungsweise einer Dienstleistung an, und —— gläserner Mensch
für Privatsphärenschutzziele —— digitale Spaltung
—— Green-IT, Energie- und Ressourceneffizienz —— individuelle und gesellschaftliche Abhängigkeit vom
Funktionieren der Cyber-Physical Systems
Wirtschaft —— Einschränkung der individuellen Gestaltungs- und
—— Evolution und Aufbruch in eine neue Technologie- Handlungsfreiheit
Generation —— Disruption von Geschäftsmodellen in Schlüsselbranchen
—— Potenzial vielfältiger innovativer Produkte, Systeme —— undurchsichtige Internet- und Kommunikationskontrol-
und Dienste le durch staatliche und private Akteure, zum Beispiel
Google, Facebook oder Geheimdienste

201
agendaCPS

—— Gefährdung von Know-how-Vorsprüngen, auch durch der Chancen und Potenziale, speziell in den Bereichen
Spionage89 Smart City und E-Health, in Abschnitt 7.2.2
—— Bedrohung durch unzulänglichen rechtlichen Rah-
men, etwa uneinheitliche, starre oder fehlende IP- und Infrastruktur- und Versorgungssysteme, integrierte
Patent­regeln Dienstleistungen zur Versorgung, Organisation und
—— mangelhafte Vernetzung unter den Herstellern einzel- Überwachung in den Bereichen Energie und Wasser
ner Komponenten, dadurch ausgeprägte technische sowie zur Governance – also zur Energie- und Wasser-
Hetero­genität und Insellösungen versorgung sowie Verkehrsteuerung in Städten und
—— fragmentierte Technologie, fehlende Standardisierung Gemeinden – und zur Gesundheit sowie Medizin; siehe
für die Interoperabilität von Systemen Abschnitt 7.2.2

Eingebettete Systeme: Ein Umdenken auf allen Ebe-


7.2.3 Strategische Handlungsfelder nen der Wertschöpfung einschließlich Forschung und
Ausbildung in Richtung partizipativer, interdisziplinä-
Die wesentlichen strategischen Handlungsfelder für die rer und durchgängiger Konzepte und Prinzipien führt
Stärkung und den Ausbau des Innovations- und Wirtschafts- auch zu neuen Anforderungen, etwa hinsichtlich des
standorts Deutschland auf dem Gebiet der Cyber-Physical Schutzes von CPS-Infrastrukturen und -Komponenten
Systems, die aus den Analysen abgeleitet wurden, sind in vor Angriffen und Manipulation sowie neuer Konzepte,
den folgenden Empfehlungen zusammengefasst. Sie ent- Methoden und Analysen für die Betriebssicherheit.
sprechen den vier inneren Quadranten der SWOT-Analyse
(siehe Abbildung 7.4) und stellen eine Priorisierung von Forschungsschwerpunkt Mensch-Maschine-Inter-
Forschungsthemen und Handlungsfeldern dar. Ausgewählt aktion in sozial vernetzten CPS-Anwendungen und
sind die Themen, von denen die größte Wirkung im Hinblick Umgebungen; hier sind integrierte Systemmodelle er-
auf erforderlichen Wandel und nachhaltige Innovations­ forderlich.
fähigkeit zu erwarten ist. Auf Basis dieser Analyseergeb-
nisse der agendaCPS wurden im Positionsband zu dieser Forschungsschwerpunkt Anforderungserhebung und
Studie [aca11d] erste konkrete Handlungsempfehlungen -analyse, Aufbau von Domänen- und Qualitätsmodel-
formuliert, die auch Empfehlungen für horizontale sowie len, einschließlich erweiterter Methoden der zielorien-
vertikale Projekt- und Forschungskonsortien enthalten. tierten Bewertung und Priorisierung von Anforderungen
und Lösungskonzepten sowie des strategischen Marke-
(1) Strategiewechsel tings

Neuausrichtung der Innovations- und Entwicklungs- Forschungsschwerpunkt methodisch durchgängiges


strategien an offenen Märkten und Lebensräumen, interdisziplinäres Software und Systems Enginee-
offen integrierten Anwendungen und Prozessen, auch ring, einschließlich durchgängiger Architekturmodelle,
über das Internet, an deren Problemstellung, an den Verfeinerung und Verfolgung der Anforderungen und
Anforderungen privater und öffentlicher Stakeholder modellbasierter Qualitätssicherung (Validierung und
sowie der vernetzten Wirtschaft; – siehe Auflistung Verifikation)

89 SieheBeispielberichte über die Behinderung des Wettbewerb durch langwierige Patentklagen im Bereich komplexer Technologieprodukte
[Ber11], über Industriespionage in der Windindustrie [Wer11] und über das Rechtsrisiko in Cloud-Anwendungen [Gra11].

202
Standortbestimmung

(2) Interdisziplinäre Forschung (3) Cluster, wirtschaftliche Ökosysteme und


Wettbewerbsstrategien
Interdisziplinäre Forschung und Ausbildung in allen
Bereichen der Wertschöpfung einschließlich Handwerk Vertikale und domänenübergreifende Forschungs-
und Dienstleister cluster und Experimentierfelder, Living Labs zur Ent-
wicklung von domänenübergreifenden Lösungen, zum
Interdisziplinäre und ressortübergreifende Forschungs- Beispiel:
strategien, auch auf politischer Ebene
—— CPS-Anwendungssysteme sozialer und individu-
Interdisziplinäre Forschungsstrukturen und -konzep- eller Art – siehe c) und d) in Abbildung 7.3 -, bei-
te, die Wissenschaftsdisziplinen, Nutzer, Stakeholder spielsweise Smart City–Anwendungen oder andere
und Wertschöpfungspartner betreffen, etwa in Form Lebens­raumanwendungen aus der Liste der Chan-
von Forschungszentren und Experimentierfeldern cen in Abschnitt 7.2.2
—— Diese Anwendungssysteme bestimmen auch Anfor-
—— zur frühen Exploration von Anforderungen, Vo­ derungen und Struktur- sowie Architekturvorgaben
raussetzungen, Risiken und zum Beantworten von für CPS-Anwendungssysteme in der Art großtechni-
Fragen nach Akzeptanz, Technologiefolgen, recht- scher oder sozialer Infrastruktursysteme, beispiels-
lichen, wirtschaftlichen und politischen Rahmen­ weise im Bereich des Verkehrsmanagements oder
bedingungen sowie Grenzen der Technologie, der kommunalen Energieversorgung mithilfe von
—— zur Entwicklung integrierter Modelle der involvierten Smart Grid oder Micro Grid, samt integrierter Kon-
wissenschaftlichen Disziplinen unter Einbe­ziehung zepte für Dienstleistungen wie Fernwartung, Be-
der Mensch-Maschine-Interaktion, treuung und Diagnose.
—— zur Schärfung der Kerntechnologien und zum besse- Schrittweiser Ausbau und Standardisierung inter­
ren Verständnis des CPS-Engineering, operabler, hochwertiger und sicherer, intelligenter
—— zur gezielten interdisziplinären Forschung mit dem Infrastruktur- und Versorgungssysteme für lebensraum-
Ziel, Technologien zu entwickeln, zu erproben und und bedarfsgerechte Lösungen, Governance-Strukturen
zu beherrschen, und -Regelungen mit weitestgehender Kontroll- und De-
—— zum Aufbau und Erwerb von CPS-Engineering-Kom- finitionshoheit bei den Nutzern und Kunden
petenzen,
—— zur Bildung von Kompetenzzentren, auch zur Be­ Schaffen offener CPS-Plattform-, Interoperabilitäts-
ratung und Begleitung vor Ort. standards, einschließlich domänenübergreifender
Vermittlungs- und Quality-of-Service-Dienste, als Voraus-
Erforschung von Technikfolgen und Akzeptanz­ setzung für offene Innovationen und Innovationsführer-
fragen, also die Techniksoziologie mit dem Fokus auf schaft im Bereich der Cyber-Physical Systems
der Aus­einandersetzung mit Technologie, Analyse, Be-
schreibung und Mitgestaltung der Mensch-Maschine- Bildung von Innovationsclustern, Aufbau und Er-
Interaktion von Cyber-Physical Systems, auch durch das probung von wirtschaftlichen Ökosystemen und Wert­
Initiieren und Moderieren gesellschaftlicher Diskurse schöpfungsnetzen; dazu gehören

203
agendaCPS

—— der Aufbau von Anwendungsarchitekturen- und Entwicklung von neuen und erweiterten Qualitäts-
CPS-Plattformen, Definition von Standards für die standards für Cyber-Physical Systems; das umfasst Qua-
Interoperabilität; siehe Chancen unter 7.2.2, litätsmodelle, Erhebungs- und Sicherungsmethoden,
—— das Stärken, Einbinden und Fördern von KMU, außerdem Engineering-Normen für nichtfunktionale
—— die Förderung von CPS-Transfereinrichtungen durch Anforderungen einschließlich neuer Konzepte, Metho-
Private-Public-Partnerships, den und Analysen für Brauchbarkeit, insbesondere be-
—— das Schaffen von verbesserten Rahmenbedingun- herrschbare Mensch-Maschine-Interaktion, Betriebs- und
gen für die Gründung und den Aufbau von Unter- IT-Sicherheit sowie die Kontrolle und Begrenzung teil­
nehmen in CPS-Wertschöpfungsnetzen. autonomen Verhaltens.

Integrierte Forschung zu den Herausforderungen für (5) Kompetenzaufbau durch allseitige Unterstützung
Wirtschaft mit den neu entstehenden Ökosystemen und Beratung
und Geschäftsmodellen; siehe Abbildung 7.3.
Die Schaffung eines Forschungs- und Kompetenzzen-
Finden von Strategien zur Abwehr von „Wirtschafts- trums für Plattformen und Technologien im Internet-
kriegen”, etwa um geistiges Eigentum (Intellectual und CPS-Umfeld. Diese Einrichtung befasst sich neben
Property, IP) in Form von Patenten oder um strategisch kommerziellen Internetanwendungen (Business Web),
wichtige Unternehmens- und Systemdaten, auch zum Cloud-Technologien und semantischen Technologien
Schutz und zur Unterstützung von KMU. auch mit technischen Konzepten zur Schaffung von
IT-Sicherheit und Anwendervertrauen, dem Schutz geis­
Umfassende Förderung von regionalen und überregi­ tigen Eigentums und Standardisierung.
o­na­len Innovationssystemen, auch durch soziale Infra­
strukturmaßnahmen und das Verbessern der Standortat- Schaffung eines Kompetenzzentrums für den Schutz
traktivität und durch Stärken und Fördern von KMU, unter der Privatsphäre, das diesen als Chance begreift und
anderem mittels Forschungsförderung und Einbindung hierzu hochwertige Qualitätsstandards, Technologien,
in Innovationscluster und regionale Inno­vationssysteme. Beratungskonzepte und Audits beziehungsweise Siegel
entwickelt
(4) Modelle und Standards für gesellschaftlich
erforderliche Systemqualität Schaffung von forschungsgestützten Beratungs­
zentren, die Nutzer – Unternehmen, Gemeinden,
Gesellschaftliche Dialoge, Gestalten von Technik KMU, Handwerker, Dienstleister etc. – vor Ort beim
und Technikfolgenanalyse; dabei geht es um Kosten- Einführen und Nutzen von Cyber-Physical Systems be-
Nutzenverhältnisse, rechtliche Fragen, Vorg