Was ist SOTIF?

Safety of the Intended Functionality (SOTIF) ist ein Sicherheitsansatz für Anwendungen in Fahrerassistenzsystemen (ADAS) und automatisierten Fahrsystemen (ADS) und befasst sich mit der Sicherheit von Sensoren und Algorithmen, wenn kein Systemausfall vorliegt. 

Mit dem Aufkommen fortschrittlicher Fahrerassistenzsysteme (ADAS) und automatisierter Fahrsysteme aller Stufen wurde 2022 die ISO 21448 entwickelt. Sie bietet Automobilherstellern und Zulieferern Leitlinien, wie das "Fehlen unangemessener Risiken" durch Gefährdungen – resultierend aus funktionalen Unzulänglichkeiten der vorgesehenen Funktionalität oder vernünftigerweise vorhersehbarem Fehlgebrauch durch Personen – sichergestellt werden kann. Zusammen bieten diese Sicherheitsstandards einen ganzheitlichen Ansatz für autonome Fahrsysteme und ADAS in allen Fahrzeugplattformen. Cybersicherheitsfragen werden in ISO 21434 behandelt, da die Normungsgremien vereinbart haben, einen einheitlichen Rahmen für das Management von Cybersicherheitsrisiken über den gesamten Fahrzeuglebenszyklus bereitzustellen.

Obwohl das in ISO 21448 beschriebene Konzept von SOTIF für den Automobilbereich entwickelt wurde, lässt es sich auf jedes autonome System übertragen. Unternehmen nutzen diesen Ansatz auch in Anwendungen der Luft- und Raumfahrt, mit schweren Maschinen, im Bauwesen und in der Fertigungsautomatisierung, wo er häufig mit bestehenden Strategien zur funktionalen Sicherheit kombiniert wird. SOTIF ist eine sich weiterentwickelnde Methodik. Normungsgremien weltweit verfeinern sie kontinuierlich, um neuen Technologien und Anwendungen gerecht zu werden. 

Die in ISO 21448 enthaltenen Leitlinien wurden entwickelt, um die Leitlinien zur funktionalen Sicherheit in ISO 26262 zu ergänzen. Während sich die funktionale Sicherheit (FuSa) mit Systemausfällen befasst, behandelt SOTIF die Sicherheit eines Systems in Abwesenheit eines Fehlers.

Die folgende Tabelle zeigt einige Unterschiede zwischen den beiden Sicherheitsstandards im Automobilbereich:

Kurz gesagt: FuSa hilft Ingenieurteams, Sicherheitsprobleme zu vermeiden, die mit Software- und Hardwarefehlern in elektrischen/elektronischen Systemen (E/E) zusammenhängen. SOTIF behandelt Sicherheitsprobleme im Automobilbereich, die entstehen, wenn autonome Systeme und Fahrerassistenzsysteme ungenaue Daten empfangen, diese falsch interpretieren oder vom menschlichen Bediener falsch verwendet oder missverstanden werden. 

Nach der Entwicklung von Normen für Straßenfahrzeuge im Zusammenhang mit fehlerhaften Komponenten erkannte die Automobiltechnikbranche die Notwendigkeit von Sicherheitsanforderungen zur Behandlung weiterer potenzieller Gefährdungen, die auftreten, wenn autonome Systeme nicht beeinträchtigt sind und keine Fehler vorliegen. ADAS und autonome Fahrsysteme nutzen Sensoren zur Erfassung der Umgebungssituation, maschinelles Lernen zur Verarbeitung von Sensordaten sowie komplexe Algorithmen, um den Fahrer zu informieren, zu unterstützen oder Aufgaben von ihm zu übernehmen.

Um die Ingenieurteams bei der Entwicklung eines Prozesses zur Identifizierung und Behandlung von Risiken zu unterstützen, definiert die Norm drei Arten von Gefährdungsereignissen:

Funktionale Unzulänglichkeiten

Eine funktionale Unzulänglichkeit ist die Unfähigkeit eines abgedeckten Systems, ein Ereignis in der realen Welt innerhalb seines Operational Design Domain (ODD) korrekt zu interpretieren, was zu einem Gefährdungsereignis führt. Funktionale Unzulänglichkeiten in einem System umfassen Lücken in den Systemspezifikationen. Ein Beispiel wäre eine Kollision mit einem überholenden Motorrad, weil das automatisierte Fahrzeug nicht erkannt hat, dass sich das Motorrad so schnell nähert und erst so spät identifiziert wird.

Leistungsbeschränkungen

Leistungsbeschränkungen treten auf, wenn sich ein System aufgrund von Defiziten eines Sensors oder Algorithmus unsicher verhält. Wenn eine oder mehrere inhärente Einschränkungen durch einen Sensor, einen Algorithmus oder eine Komponente verursacht werden, kann dies zu gefährlichem Verhalten führen. Ein typisches Beispiel hierfür ist ein Notbremssystem, das nicht ausgelöst wird, weil der Kamerasensor aufgrund von starkem Regen oder Nebel ein Objekt nicht erkennen kann.

Vorhersehbarer Fehlgebrauch

Ereignisse des vorhersehbaren Fehlgebrauchs sind Situationen, in denen ein*e Benutzer*in auf unbeabsichtigte Weise interagiert. Beispielsweise dreht ein*e Benutzer*in plötzlich das Lenkrad im automatisierten Fahrmodus oder ist während des Fahrens abgelenkt und nimmt eine Warnmeldung über eine mögliche Kollision weder wahr noch hört sie sie. 

Sobald ein Team ein Sicherheitsproblem identifiziert hat, entwickelt es Szenarien bzw. Beschreibungen von Situationen, denen ein Fahrzeug im Straßenverkehr begegnen kann. Die Norm ISO 21448 definiert vier Szenariobereiche, die den Sicherheits- und Wissensstand der jeweiligen Situation abbilden. Das Sicherheitsniveau kann sicher oder unsicher sein, und der Kenntnisstand über die Situation kann bekannt oder unbekannt sein.

SOTIF konzentriert sich darauf, die Anzahl unbekannter und unsicherer Situationen zu reduzieren, wobei es vorrangig darum geht, potenziell gefährliche Szenarien zu identifizieren und insbesondere von unbekannt in bekannt zu überführen. Der nächste Schritt besteht darin, gefährliche Szenarien in ungefährliche zu überführen. Dies erfolgt durch Verbesserung der Systemleistung oder durch Vermeidung der Exposition gegenüber solchen Szenarien durch Einschränkung des Operational Design Domain (ODD). Die Anordnung dieser Bezeichnungen in einem Quadrantendiagramm anhand der unten aufgeführten Kategorien hilft Sicherheitsteams zu bestimmen, welche Szenarien gefährlich sind und wie Prioritäten festgelegt werden sollten. 

Mit der zunehmenden Anzahl von Anwendungsfällen, in denen SOTIF zum Einsatz kommt, arbeiten Unternehmen intensiv daran, die sich kontinuierlich weiterentwickelnde Norm in das Sicherheitsregime über den gesamten Lebenszyklus ihrer Produkte einzubinden. Obwohl die Erfahrungen der Branche mit SOTIF noch neu sind, haben sich einige Best Practices herausgebildet, um die Integration zu beschleunigen, die Effizienz von SOTIF-Implementierungen zu steigern und letztlich die Sicherheit von Fahrzeugen mit Fahrerassistenzsystemen, autonomen Fahrfunktionen sowie anderen Maschinen zu verbessern, die Sensoren und KI für Automatisierung und Autonomie nutzen. Diese Best Practices sind unten aufgeführt.

• Einbeziehung von Expert*innen: Dies ist ein neues Anwendungsfeld, und Expert*innen innerhalb oder außerhalb einer Organisation können die Implementierung beschleunigen, die Genauigkeit verbessern und die Wirkung erhöhen.
• Nutzung von Felddaten: ADAS und Sensoren im Zusammenhang mit autonomem Fahren erzeugen zusammen mit den Algorithmen, die Sensordaten verarbeiten, eine erhebliche Menge an Informationen, die für die Identifizierung funktionaler Auslassungen, von Leistungsdefiziten und von Fehlgebrauch unerlässlich sind.
• Integration von SOTIF-Prozessen mit FuSa- und Cybersicherheitsmethoden unter Anwendung eines MBSE-Ansatzes (modellbasierte Systemtechnik): Obwohl FuSa, SOTIF und Cybersicherheitsmethoden unterschiedliche Aspekte und Ursachen von Gefährdungen behandeln, betreffen sie häufig dieselben Gefährdungen. Zudem kommen ähnliche Daten sowie Werkzeuge zur Bewertung von Sicherheitsrisiken, wie Fehlerbäume, Ursachenbäume und Angriffsbäume, in allen drei Bereichen zum Einsatz. Versuchen Sie, Informationen und Schritte nach Möglichkeit wiederzuverwenden. Wenn eine gemeinsame Durchführung nicht möglich ist, führen Sie SOTIF-Analysen parallel zu anderen Sicherheitsaufgaben durch. Eine enge Integration mit modellbasierten Ansätzen beschleunigt die Sicherheitsanalyse, stellt sicher, dass die tatsächliche Systemkonfiguration in der Analyse berücksichtigt wird und dass Ergebnisse aus der FuSa-/SOTIF-/Cybersicherheitsanalyse in die Entwicklung zurückfließen, wodurch eine vollständige Rückverfolgbarkeit gewährleistet wird.
• Kombination analytischer Verfahren mit Validierung: Sicherheitsteams sollten analytische Verfahren wie Gefährdungsanalysen, eine Gefährdungs- und Betriebsanalyse (HAZOP), Ursachenbaumanalysen sowie Analysen von Unzulänglichkeiten und auslösenden Bedingungen einsetzen, um potenzielle Probleme zu identifizieren. Anschließend sollten sie diese Informationen nutzen, um Validierungsansätze zu gestalten, darunter Straßentests, Sensorprüfstände, Hardware-in-the-Loop, Sensorsimulation und Szenariosimulation.
• Anpassung von Verifizierungs- und Validierungsmethoden für SOTIF: SOTIF erfordert häufig neue Verifizierungsansätze aufgrund neuer Funktionalitäten oder aufgrund der großen Anzahl potenzieller Szenarien und auslösender Bedingungen. Die Teams sollten die gesamte Verifizierungs- und Validierungskette (V&V) bewerten und jeden Schritt bei Bedarf anpassen, um die für SOTIF erforderlichen Informationen zu integrieren.
• Implementierung von virtuellem Systemtraining und -tests: Die Anzahl der Testszenariovarianten zur Abdeckung des Operational Design Domain (ODD) ist enorm, und es gibt eine stetig wachsende Menge an Erfahrungsdaten aus dem Feld, die die bestehende Menge an Testfällen ergänzen muss. Es wird als unmöglich erachtet, dies durch Testfahrten mit realen Fahrzeugen auf realen Straßen zu verifizieren. Stattdessen gibt es eine deutliche Verlagerung hin zur Simulation, sowohl im Closed-Loop (zur Prüfung des gesamten Fahrzeugverhaltens und seiner Reaktionen auf andere Verkehrsteilnehmer in realistischen Szenarien) als auch im Open-Loop (zur Prüfung, was das Fahrzeug mithilfe physikalisch genauer Sensormodelle wahrnehmen kann oder wie es auf bestimmte Stimuli reagiert). Virtuelle Tests durch Simulation ermöglichen außerdem die Bewertung und Optimierung von Algorithmen und Sensorsystemen bereits früh im Designzyklus sowie die iterative Verbesserung des Systems in agilen Zyklen.
• Anwendung von SOTIF als iterativer Prozess: Die Norm bezeichnet Risiken, die nach einer Interaktion verbleiben, als Restrisiken. Diese verbleibenden Gefährdungen sollten erneut behandelt werden, bis nur noch Risiken bestehen, die kein unangemessenes Risiko darstellen.
• SOTIF als integraler Bestandteil der Sicherheitskultur: SOTIF bietet eine andere Perspektive darauf, wie Gefährdungen entstehen und wie sie verhindert werden können. Alle am Lebenszyklus eines Fahrzeugs Beteiligten sollten ein grundlegendes Verständnis der Norm haben. 

SOTIF und die zugehörige Norm ISO 21448 wurden entwickelt, um bestehende Branchen- und Unternehmensstandards sowie Normen für funktionale Sicherheit und Cybersicherheit zu ergänzen. Obwohl Qualitäts- und Sicherheitsteams intensiv daran arbeiten, Ereignisse vorherzusehen, können sie nicht alle potenziellen Probleme identifizieren, die unter SOTIF fallen, bevor ein Fahrzeug in Betrieb geht. Simulationstools können die Bewertung der unter SOTIF fallenden Systeme unterstützen und verwertbare Daten über Sensoren und Algorithmen während des gesamten Prozesses bereitstellen.

Unternehmen, die die Effizienz, Geschwindigkeit und Genauigkeit ihrer SOTIF-Prozesse maximieren möchten, sollten die folgenden Arten von Simulationsprodukten und Analysetools in Betracht ziehen.

Planung von Sicherheitsprozessen und Management von Sicherheitsfällen

Ein erster Einsatzbereich für Software ist ein Sicherheitsmanagement-Tool wie Ansys Digital Safety Manager für geführte Sicherheitsplanung, Management von Sicherheitsfällen, Durchführung und Überprüfung von Sicherheitsplänen, Simulation, SOTIF-Analysen sowie KPI-Monitoring und -Reporting. 

Analysetools für modellbasierte Systemsicherheitsanalysen

Sobald ein Sicherheitsplan erstellt wurde, ermöglichen geeignete MBSE-Plattformen (modellbasierte Systemtechnik) Ingenieurteams die Durchführung von Sicherheitsanalysen am Systemdesign. Viele Ingenieurteams nutzen Tools wie die systemorientierte Sicherheitsanalysesoftware Ansys medini analyze, die mehrere ISO-Normen mit durchgängiger Rückverfolgbarkeit unterstützt und sich gut in führende Tools für Anforderungsmanagement und Systementwurf wie Ansys System Architecture Modeler (SAM) integrieren lässt. Ansys medini analyze ist ein gutes Beispiel für eine Plattform auf Systemebene, da sie Teams ermöglicht, Systemarchitekturmodelle zu erstellen und zu importieren und anschließend verschiedene Arten von Sicherheitsanalysen durchzuführen, darunter:

• Gefährdungsanalyse
• HAZOP
• Fehlerbaum-, Ursachenbaum- und Angriffsbaumanalyse
• Blockdiagramme für Zuverlässigkeit
• Analyse von Fehlerarten und Auswirkungen (FMEA), Analyse von Fehlerarten, Auswirkungen und Kritikalität (FMECA), Analyse von Fehlerarten, Auswirkungen und Diagnose (FMEDA) sowie Modelle der Analyse von Fehlerarten und Auswirkungen (FMES).
• Analyse von Schwachstellen und Unzulänglichkeiten
• Analyse auslösender Bedingungen

Nach Abschluss können die Ergebnisse der Analyse in alle gängigen Tools für das Anforderungsmanagement exportiert werden.

Plattformen für Szenario- und Sensorsimulation

Eine der wesentlichen Herausforderungen bei der Implementierung von SOTIF besteht darin, ausreichend Daten zu sammeln, um Gefährdungen zu identifizieren. Plattformen für digitale Missionssimulationen für den Bereich autonomer Fahrzeuge sind entscheidend, wenn Teams Gefährdungen erkennen möchten, bevor sie im Feld auftreten. Ein Tool wie die Sensorsimulationssoftware Ansys AVxcelerate Sensors für autonome Fahrzeuge kann verwendet werden, um die Fähigkeiten eines Sensors zu modellieren und so die Prüfung und Validierung seiner Wahrnehmung zu ermöglichen, ohne auf aufgezeichnete Daten aus realen Fahrten angewiesen zu sein. Tests von ADAS und autonomen Fahrsystemen können anschließend mithilfe einer umfassenden und MBSE-gestützten Simulationsplattform wie der Software Ansys AVxcelerate Autonomy virtualisiert werden, um virtuelle Tests in Form umfangreicher Szenariosimulationen mit zahlreichen Parametervarianten für jedes Basisszenario durchzuführen. Diese Daten können genutzt werden, um das Restrisiko im Rahmen von SOTIF zu quantifizieren. 

Mit dem zunehmenden Einsatz von E/E in Fahrzeugen wurde 2011 die Norm ISO 26262 für funktionale Sicherheit veröffentlicht (Gefährdungen, die durch Ausfälle und Fehlverhalten solcher Systeme verursacht werden). Mit dem Aufkommen von ADAS-Systemen und autonomen Fahrzeugen (AVs) aller Stufen war diese Norm allein nicht mehr ausreichend, um alle Sicherheitsaspekte abzudecken. Sie wurde daher 2022 durch die ISO 21448-Norm ergänzt, die gemäß ISO Automobilherstellern und Zulieferern Leitlinien bietet, wie das "Fehlen unangemessener Risiken durch Gefährdungen – resultierend aus funktionalen Unzulänglichkeiten der vorgesehenen Funktionalität oder vernünftigerweise vorhersehbarem Fehlgebrauch durch Personen" sichergestellt werden kann. Diese letztgenannte Norm bietet Erstausrüstern (OEMs) und ihren Zulieferern in der Automobilindustrie Leitlinien für das Design, die Verifizierung, Validierung und den Betrieb von E/E-Fahrzeugsystemen, die Sensoren zur Erfassung von Informationen über die Umgebungssituation nutzen, welche anschließend von Algorithmen verwendet werden, um den Fahrer zu unterstützen oder das Fahrzeug zu steuern. 

Zugehörige Ressourcen