SOTIF
SOTIF (von englisch Safety Of The Intended Functionality; deutsch etwa Sicherheit der Sollfunktion) ist ein Teilgebiet der technischen Produktsicherheit, welches sich mit Gefahren technischer Systeme beschäftigt[1]. Derzeit wird speziell für den Automobil-Bereich die Norm ISO 21448 - Road vehicles — Safety of the intended functionality entwickelt, um die Anforderungen an ein Produkt und den Prozess der Produktentwicklung auf einen einheitlichen Standard zu heben. SOTIF ist damit ein Teil der Produktsicherheit, die in vielen Ländern gesetzlich (wenn auch sehr abstrakt) verankert ist.
In einem Mittelpunkt der SOTIF steht die unbestimmte Frage, wie eine Sollfunktion zu spezifizieren, zu entwickeln, zu verifizieren und zu validieren ist, sodass sie als ausreichend sicher angesehen werden kann.
Zusammenhang mit anderen Normen der Fahrzeugsicherheit
Wenn Systeme bereits die Anforderungen der …
- Funktionalen Sicherheit nach ISO 26262 erfüllen, bedeutet das, dass sie eine intrinsische Sicherheit gegen Fehlfunktionen bieten. Die Systeme werden so weitgehend gegen Fehlfunktionen abgesichert, die sie selbst verursachen, beispielsweise Software-Fehler, Defekte durch Alterung.
- Cyber Security nach ISO/SAE 21434 bzw. SAE J3061 erfüllen, bedeutet das, dass sie gegen Angriffe von außen gehärtet sind. Die Systeme werden so gegen Ausfälle und schädliche Manöver abgesichert, beispielsweise provozierte Lenkbewegung oder Blockierung der Servolenkung.
Nicht abgedeckt ist dabei der Fall, in dem ein System selbst Umweltdaten (z. B. Kamerabilder) verarbeitet und diese falsch interpretiert. Das kann beispielsweise zu einer Vollbremsung führen, weil eine Person auf einem Plakat neben dem Fahrweg als kreuzender Fußgänger interpretiert wird oder gar keine Bremsung, weil ein kreuzender Sattelzug nicht erkannt wurde (Beispiel Tesla-Unfall am 7. Mai 2016[2])
Fokus von SOTIF
Bei der Gestaltung eines Fahrerassistenzsystems sind hinsichtlich der SOTIF insbesondere folgende Fragen zu bewerten, die sich auf ein System beziehen:
- Welche Grenzen hat das eingesetzte System?
- Hier geht es beispielsweise um eine ausreichend schnelle Verarbeitung, Erkennungsfähigkeit (ausreichende Auflösung einer Kamera, Lichtempfindlichkeit) aber auch die Wirkung von Schmutz auf Sensoren.
- Wie wirkt es sich aus, wenn das System außerhalb der spezifizierten Grenzen der Sollfunktion arbeitet?
- Beispiel könnte ein Spurhalteassistent sein, der im Stadtverkehr genutzt wird, obwohl er für Autobahnverkehr entwickelt wurde[2]
- Wie kann der Fahrer ein Assistenzsystem fehlerhaft nutzen?
- Der Punkt bezieht sich auf den vorhersehbaren Fehlgebrauch, beispielsweise in Deutschland im Produktsicherheitsgesetz verankert.
- Welche Verifikations- und Validierungsmaßnahmen sind zu ergreifen, um die Sollfunktion zu prüfen?
- Hier geht es um die Akquisition von realen Fahrdaten für Tests, Simulationen und Prüfstandstests.
- Ist die Bedienung des Systems für den Fahrer klar und eindeutig?
- Hier geht es um die Gebrauchstauglichkeit/Usability, die keine Fehlbedienungen provozieren soll.
Systembegriff
Der Begriff System umfasst die Kombination aus
- Sensor(en) oder Signal-Eingängen, plus
- einer Logik zur Verarbeitung (Mikrocontroller mit Software, Digitaler Signalprozessor), plus
- Aktor(en) oder Signal-Ausgängen, die von der Logik angesteuert werden.
Signale können beispielsweise über den Fahrzeug-Bus (wie CAN, FlexRay und andere) ausgetauscht werden.
Risikobetrachtung
Bei der Klassifizierung der Risiken sind vier Felder zu betrachten:
- Bekannte sichere Szenarien: Deren Anzahl dieser Szenarien soll durch die Produktentwicklung maximiert werden, in dem die Fähigkeiten des Systems verbessert werden.
- Bekannte unsichere Szenarien: Diese Szenarien sollen durch das System beherrscht werden.
- Unbekannte sichere Szenarien bedürfen keiner weiteren Maßnahmen.
- Unbekannte unsichere Szenarien: Solche Szenarien sollen durch Analysen und Tests aufgedeckt, bewertet und durch zusätzliche Maßnahmen behandelt werden, so dass sie in eines der anderen Szenarien fallen.
Als Szenario versteht die SOTIF-Norm eine Kombination verschiedener Schnappschüsse einer Situation, die dann in verschiedenen Arten durchlaufen werden, beispielsweise "Kind am Straßenrand", dann entweder "bleibt stehen" oder "rennt über die Straße", mit und ohne dynamischen Elementen wie "mit Gegenverkehr", "ohne Gegenverkehr" usw.
Literatur
- Lars Schnieder, René S. Hosse: Leitfaden Safety of the Intended Functionality. 2. Auflage. Springer Fachmedien GmbH, Wiesbaden 2020, ISBN 978-3-658-30037-1.
- Wilhard Wendorff: Quantitative SOTIF Analysis for highly automated Driving Systems. Safetronic 2017, Stuttgart.
Einzelnachweise
- ISO/PAS 21448 - Road vehicles -- Safety of the intended functionality
- siehe Untersuchungsberichte NTSB-Ref. No. HWY16FH018 des National Transportation Safety Board