Identifikation und Quantifizierung von Gefährdungen für autonome Systeme
Die zunehmende Automatisierung technischer Systeme verspricht viele Vorteile, so wird beispielsweise im Automobilsektor automatisiertes Fahren als Schlüsselelement zum Erreichen der Vision Zero angesehen, indem menschliche Unfallursachen wie Alkoholeinfluss oder Ablenkung der Fahrenden vermieden werden. Dem stehen jedoch neue Fehler und Gefährdungen gegenüber, die sich aus der Einführung von Automatisierung in Systemen ergeben, bei denen bisher menschliche Operatoren für die Steuerung und Überwachung des korrekten und sicheren Betriebs verantwortlich waren.
Etablierte Sicherheitsprozesse befassen sich vorrangig mit der Bewertung der funktionalen Sicherheit und überlassen die Aufgabe der Auswahl sicherer Manöver menschlichen Operatoren und Operatorinnen. Mit Automatisierung im „Fahrersitz“ wird es erforderlich, eine solide SOTIF (Safety Of The Intended Functionality) Beurteilung vorzunehmen, um die sichere Planung und Ausführung von Manövern in allen möglichen Umgebungen sicherzustellen. Dabei sind insbesondere die folgenden Problemklassen zu berücksichtigen:
- Viele dieser Systeme agieren in einem offenen Kontext, der schwer vollständig zu charakterisieren und anfällig für disruptive Veränderungen im Lebenszyklus des Systems ist.
- Technische Perzeptionssysteme arbeiten anders als menschliche, sodass neue Gefahren in Si-tuationen auftreten können, die nie als besonders herausfordernd angesehen wurden.
- Entscheidungsfindung auf Grundlage von KI-Algorithmen weist noch nicht die für sicherheitskri-tische Anwendungen erforderliche Zuverlässigkeit auf, während unsicheres Verhalten aufgrund des inhärenten Problems der Erklärbarkeit verdeckt werden kann.
- Der Wegfall menschlicher Operatoren und Operatorinnen führt zum Verlust redundanter Überwachungsmög-lichkeiten.
- Es liegen nicht genügend Felddaten vor, um empirische Sicherheitsargumente zu stützen.
Um diese Probleme zu adressieren, bieten wir zwei Ansätze an, um 1) häufige Kritikalitätsursachen für spezifische Anwendungsklassen zu finden und 2) neu auftretende Gefährdungsquellen für ein spezifisches automatisiertes System zu identifizieren und quantitativ zu bewerten.
Kritikalitätsanalyse
Die Kritikalitätsanalyse zielt darauf ab, die Komplexität des Einsatzbereiches von automatisierten Systemen systematisch zu strukturieren. Dazu gehört nicht nur die Identifikation von Faktoren, Parametern und Szenarien, die einen wesentlichen Einfluss auf die Kritikalität haben, sondern auch die Abstraktion und Abbildung auf eine handhabbare Menge von Artefakten. Systemingenieure und Systemingenieurinnen können die Analyse vor dem eigentlichen Systementwurf einsetzen, da sie der klassischen Entwurfsphase vorausgeht. Diese Unabhängigkeit vom konkreten Systementwurf ermöglicht eine Wiederverwendung der Artefakte, zum Beispiel durch verschiedene Stakeholder. Während des Dev-Ops-Prozesses kann die Analyse zur Bewertung von Änderungen im operativen Bereich genutzt werden. Die Kritikalitätsanalyse kombiniert expertenbasierte und datengetriebene Methoden, um relevante Phänomene zu identifizieren und die zugrunde liegenden Kausalitäten zu erklären. Am Ende entsteht ein endlicher Katalog sicherheitsrelevanter abstrakter Szenarien, die im Entwicklungsprozess des Systems verwendet wer-den können.
Automationsrisiken
Die Automationsrisikenmethode beschreibt einen erweiterten Ansatz für die Sicherheitsanalyse spezifischer automatisierter Systeme, welcher auf der Identifikation und Quantifizierung von kritischen Szenarien basiert. Die Methode wurde so konzipiert, dass sie den gesamten Entwicklungsprozess eines Systems begleitet, indem sie iterative Rückkopplungsschleifen zwischen Konzept- und Entwurfsphase einführt. Um sowohl Aspekte der funktionalen Sicherheit als auch SOTIF abzudecken, kombiniert sie etablierte Methoden der Gefahren- und Risikoanalyse und fügt Anpassungen und Erweiterungen hinzu, welche die Anwendbarkeit für automatisierte Systeme ermöglichen. Der Ansatz zielt darauf ab, bestehende Sicherheitsprozesse im Automobilbereich entsprechend der ISO 26262 und ISO 21448 zu unterstützen und wo nötig zu ergänzen.
