GRENZEN „ERFAHREN“

Neue Sicherheitsnorm für Assistenzsysteme

Seit knapp 10 Jahren gibt es die ISO 26262, die vorgibt, wie man die funktionale Sicherheit von Steuergeräten im Automobil sicherstellt. Aber für viele neue Systeme, z.B. Assistenzsysteme, reicht dieses nicht aus. Daher wurde 2019 die ISO 21448 „Road Vehicles — Safety of the Intended Functionality“ (SOTIF) veröffentlicht. Wofür sie benötigt wird und welche Prozessänderungen bei der Entwicklung von Level 1 und Level 2 Systemen sie erfordert, weiß Dipl.-Ing. Josef Horstkötter, Gesellschafter und Geschäftsführer der F+S Fleckner und Simon Informationstechnik GmbH.

Josef HorstkötterHerr Horstkötter, wieso reicht die ISO 26262 für Assistenzsysteme nicht aus?

Dipl.-Ing. Josef Horstkötter: Die ISO 26262 geht davon aus, dass ein System sicher funktioniert, wenn es nicht defekt ist. Viele neue Systeme hingegen müssen eine Fahrsituation richtig bewerten, andernfalls sind sie potentiell unsicher. Hierzu benötigen sie komplexe Sensoren, z.B. Kameras oder Radarsensoren, und ggf. künstliche Intelligenz (KI). Alle Komponenten sind in ihrer Leistungsfähigkeit begrenzt, so dass nicht alle Fahrsituationen richtig bewertet werden können.

Man kann sich ja leicht vorstellen, dass eine Kamera im Nebel genauso wenig sieht wie der Mensch, oder dass ein mit Schneematsch bedeckter Radarsensor auch keine Auswertung mehr hinbekommt. Selbst mit korrekt arbeitenden Sensoren können KI Systeme nur die gelernten Fahrsituationen richtig interpretieren. D.h. auch Systeme ohne Defekt sind nicht zwangsweise sicher.

Und was kann man dann tun?

Horstkötter: Die Entwickler müssen die Szenarien und Situationen identifizieren, in denen das System die Fahrsituation nicht mehr korrekt erkennt und Maßnahmen ergreifen, um Unfälle zu verhindern. Z.B. muss ggf. vor Eintritt einer solchen Situation das System abgeschaltet und der Fahrer informiert werden.

Was ist denn daran so schwierig?

Horstkötter: Ein Auto zu bauen ist auch nicht sehr schwierig, das konnten eine Handvoll Mechaniker schon vor 100 Jahren. Ein modernes Auto fordert aber Tausende von Ingenieuren, denn der Teufel steckt im Detail.

Die Umwelt und Technik sind sehr komplex, da ist es nicht einfach, sich jede mögliche Fahrsituation und jeden möglichen Umwelteinfluss vorzustellen. Das ist aber nur die erste Voraussetzung. Danach muss man prüfen, bei welcher Kombination aller Parameter, bspw. unter Berücksichtigung der Streuung der Sensoren oder anderer am Straßenverkehr beteiligter Personen, die Grenzen des Systems liegen und ab welchem Grenzwert daher das System abschalten muss.

Ist es dann denn überhaupt möglich, so ein System wirklich sicher zu entwickeln?

Horstkötter: Ja und nein, das hängt davon ab, was Sie als sicher ansehen. So wie die ISO 26262 die Abwesenheit unangemessener Risiken fordert, tut dieses auch die ISO 21448, ein kleines Restrisiko wird akzeptiert.

Was müssen denn die Entwickler konkret zusätzlich tun?

Horstkötter: Sie müssen alle Situationen genau spezifizieren, daraus Szenarien ableiten und durch Verifikation und Validierung prüfen, bis zu welcher Parameterkombination das System die Fahrsituation richtig erkennt. Die Ergebnisse können zur Verbesserung der Sensoren und Algorithmen verwendet werden oder zur Identifikation der Systemgrenzen und Einnahme eines sicheren Zustandes, wenn sie überschritten werden. Das Ganze natürlich zyklisch, immer wieder, bis das Restrisiko vertretbar klein ist.

Denken Sie an die Mengenlehre in der Schule und stellen Sie sich zwei sich schneidende Mengen vor. Die erste beschreibt die Menge der Fahrsituationen, die bekannt sind (1), der Rest der Welt ist unbekannt. Die Zweite beschreibt die Situationen, in denen das System unsicher ist (2). Schnittmenge sind die Situationen, die den Entwicklern bekannt sind, und in denen das System unsicher ist (3). Der zweite Bereich und die Schnittmenge sollten möglichst klein sein. Der Vollständigkeit halber will ich noch den vierten Bereich, alles, was nicht zu diesen drei Mengen gehört, erwähnen (4). Alles hierin ist unbekannt, aber sicher, daher brauchen wir uns nicht darum zu kümmern.

SOTIF

Sie können sich bestimmt vorstellen, dass man durch entsprechende Tests den unbekannten Bereich verkleinern kann. Und für den bekannten, unsicheren Bereich kann man durch Designmaßnahmen sicherstellen, dass das System diesen nicht betritt (z.B. Abschalten und Fahrer informieren).

Benötigt man dann überhaupt noch die ISO 26262?

Horstkötter: Natürlich, die ISO 21448 setzt ja lediglich dort an, wo die ISO 26262 aufhört. „Klassische Safety“, also die Einhaltung der ISO 26262 ist genauso eine Voraussetzung wie die Einhaltung der in Entwicklung befindlichen ISO 21434 „Road Vehicles - Cybersecurity Engineering“.

Die Norm kann ja jeder kaufen, aber welchen Mehrwert bieten Sie denn ihren Kunden?

Horstkötter: Auch die ISO 26262 kann jeder kaufen. Automotive SPICE ist sogar frei verfügbar. Trotzdem bitten uns unsere Kunden um Hilfe. Die Normen richtig zu verstehen und in pragmatische, den Notwendigkeiten der jeweiligen Unternehmen entsprechende Prozesse umzusetzen, das ist die wahre Schwierigkeit, die ein sehr gutes Verständnis aller Prozesse und Normen erfordert. Mit unserer über 20 Jahre langen Expertise als Prozessberater im Automobilbereich unterstützen wir unsere Kunden auch bei der konkreten Umsetzung der ISO 21448.

Kann man dann mit ihren Prozessen sicher Systeme für autonomes Fahren entwickeln?

Horstkötter: Nein, die Norm gilt nur für die Assistenzsysteme auf Level 1 und Level 2, der Fahrer ist immer noch in der Verantwortung. Für höhere Level des autonomen Fahrens sind noch weitere Sicherheitsmaßnahmen notwendig. Auch hiermit beschäftigen wir uns, aber es gibt noch keine „state of the art“ Lösung. Hier wird noch geforscht, s. das Whitepaper SaFAD oder das Pegasus Projekt der Bundesregierung.

Funktional ist autonomes Fahren schon weit fortgeschritten (s. Presseberichte), aber in der Absicherung dieser Funktionen gibt es noch viele Lücken. Erst wenn auch diese abgestellt sind, sprich das Restrisiko auf ein gesellschaftlich akzeptiertes Niveau gesunken ist, kann man die Systeme einführen und den Menschen zumuten.

Dann wünsche ich Ihnen viel Erfolg, damit die Angst vieler Autofahrer vor den autonomen Systemen unbegründet bleiben möge!