Die ISO 21448 SOTIF (Safety of the Intended Functionality) definiert Vorgehensweisen für Fehler, welche sich aus der Limitierung einer Funktionalität ergeben. Die ISO 26262 behandelt komplementär dazu Konzepte, Verfahren und Maßnahmen für Fehler die sich aus zufälligen Hardware Fehlern oder systematischen HW/SW Fehler ergeben.

Viele Fachleute sehen im SOTIF Standard eine normative Unterstützung für die Verwirklichung des autonomen Fahrens. Diese Sichtweise wird unterstützt durch Aussagen im Kapitel 1 der Norm. Dort wird explizit erwähnt, dass die ISO 21448 nicht für gut bewährte Systeme wie den Airbag etc. angewendet werden soll, sondern für innovative, neue und komplexe Funktionen, wie z.B. ADAS.

Der nachfolgende Beitrag gibt einen Überblick über den Inhalt der Norm und diskutiert kritisch den Punkt ob die ISO 21448 und die ISO 26262 den Weg hin zum autonomen Fahren wirklich ebnen.

Definition Safety of the Intended Functionality (SOTIF) und Anwendungsbeispiele

Die ISO 21448 definiert SOTIF wie folgt:

The absence of unreasonable risk due to hazards resulting from functional insufficiencies of the intended functionality or by reasonably foreseeable misuse by persons is referred to as the Safety Of The Intended Functionality (SOTIF).

Nachfolgend ein paar Beispiele für Fehlerursachen, aus welchen sich eine nicht akzeptable funktionale Limitierung ergeben kann und für welche damit die ISO 21448 zur Anwendung kommt:

• Fehler die sich aus technologischen Grenzen eines verwendeten Sensors oder Aktors ergeben
• Fehler die sich aus der limitierten Performance eines Systems ergeben
• Fehler dies sich aus einem vorhersehbaren Missbrauch ergeben, z.B. die Aktivierung einer Funktionalität, die für die Autobahn in einer städtischen Umgebung bewirkt, dass das Fahrzeug in einem Szenario ist, in dem es keine rote Ampel erkennt

Inhalt der ISO 21448 (SOTIF)

Das nachfolgende Diagramm gibt einen Überblick über den Aufbau der Norm. Die angegebenen Nummern bezeichnen das entsprechende Kapitel in der Norm.

Im Vergleich zur ISO 26262 werden keine grundlegend neuen Methoden angewendet. Der grundlegende Unterschied besteht darin, dass die beabsichtigte Funktionalität im Mittelpunkt der Betrachtungen steht. Bei der ISO 26262 stehen die möglichen zufälligen und systematischen Fehler des Systems im Mittelpunkt.

Welchen Beitrag leistet SOTIF zur Verwirklichung des autonomen Fahrens?

Durch die ISO 21448 (SOTIF) lenkt man berechtigter Weise die Aufmerksamkeit auf die umfassende Validierung eines sicherheits-relevanten System. Im Laufe der letzten Jahre ist die Erkenntnis gereift, dass ein System, welches nur korrekt auf zufällige Fehler reagiert und welches ein Minimum an systematischen Fehler enthält unter Umständen für die beabsichtigte Funktionalität trotzdem nicht die ausreichende Sicherheit bieten kann.

Damit wird sicher eine gewisse Lücke im Sicherheitsprozess geschlossen. Gleichzeitig ist aber der Schritt hin zu autonomen Fahrzeugen immer noch ein großer.

Um die Sicherheit autonomer Fahrzeuge wirklich mit einer ausreichenden Wahrscheinlichkeit gewährleisten zu können, sehe ich zwei wesentliche Herausforderungen, die auch durch SOTIF nicht gelöst sind. Dies ist zum einen, die System und Software Architektur auf Fahrzeugebene und zum Anderen die Verifikation und Validierung der Systeme.

Zumindest die klassischen Autohersteller werden komplett neue Architekturen entwerfen müssen. Die jetzigen Architekturen sind viel zu heterogen, komplex und kompliziert geworden. Eine sinnvolle Weiterentwicklung für das autonome Fahren ist nicht mehr möglich.

Unabhängig davon, steuern wir bei der Verifikation und Validierung der Systeme auf eine Komplexität und einen Umfang hin, der nicht mehr zu bewältigen ist. Das heißt im Wesentlichen, dass wir von dem Paradigma einer 100% Verifikation/Validation Abschied werden müssen. Bisher gibt es aber keine industrietauglichen alternativen Methoden mit denen der notwendige Nachweis einer ausreichenden Fehlerfreiheit der Systeme erbracht werden könnte.

Systematisches, risikobasiertes Testen unter Berücksichtigung ausgewählter Software Parameter und anderer Daten über das System könnte aus meiner Sicht ein Ansatz sein. Es wird Zeit dass wir uns mit diesen Themen intensiv beschäftigen, sonst wird es vermutlich kein autonomes Fahren geben können.

Fazit

Positiv gesehen stellt die ISO 21448 (SOTIF)  eine sinnvolle Ergänzung zur ISO 26262 dar. Allerdings bleibt sie bezüglich der konkreten Umsetzung der vorgeschlagenen Maßnahmen recht unverbindlich. Die Norm schließt, so gesehen eine bisher vorhandene Lücke im Sicherheitsprozess. Dem autonomen Fahren kommen wir mit SOTIF aber nur einen sehr kleinen Schritt näher.

Kritisch betrachtet, muss man aber auch feststellen, dass diese eigenständige Norm nicht notwendig wäre. Wenige Klarstellungen in der ISO26262 hätten das gleiche Ziel auf eine bessere Art und Weise erreicht. Die Dinge die ISO 21448 addressiert, sollten eigentlich in der jeder G&R und sonstigen Safety Analyse selbstverständlich addressiert werden. Eine eigene Norm hätte man dafür nicht gebraucht.

Weitere HEICON Blog Beiträge zum Thema

• Funktionale Sicherheit – Was ist das?
• Guter Safety Software Entwicklungsprozess – Was ist das?
• ISO26262 Safety Case – Erfolgsfaktoren: Management und Traceability

Ihre individuellen Fragen zur praktischen Umsetzung der ISO 21448 beantworten wir gerne in einem ersten, kostenlosen 30min Beratungsgespräch!
Vereinbaren Sie gleich einen Termin: Eine kurze Mail an info[at]heicon-ulm.de genügt, oder greifen Sie gleich zum Telefonhörer: +49 (0) 7353 981 781 (Mo bis Fr 08:00 – 18:00Uhr).