SOTIF

SOTIF (von englisch Safety Of The Intended Functionality; deutsch Sicherheit der beabsichtigten Funktionalität^[1]) ist ein Teilgebiet der technischen Produktsicherheit, welches sich mit gefährlichen Verhalten von Straßenfahrzeugen beschäftigt^[2]. Als namensgebende Norm beschreibt die ISO 21448 einen systematischen Ansatz, mit dem die Sicherheit der beabsichtigten Funktion erreicht wird und setzt damit für technische Systeme branchenweit einen Standard innerhalb der Automobilindustrie. Im Mittelpunkt der SOTIF steht die unbestimmte Frage, wie eine Sollfunktion zu spezifizieren, zu entwickeln, zu verifizieren und zu validieren ist, sodass sie als ausreichend sicher angesehen werden kann.

Durch die breite Anwendung innerhalb der Branche setzt die Norm einen neuen Stand der Technik, der dadurch indirekt in vielen Ländern als bindend angesehen wird. So wird bei Nichtanwendnung der Norm in einem Schadensfall vor Gericht die Beweislast umgekehrt, und der Fahrzeughersteller muss nachweisen, dass das Fahrzeug sicher auf der Straße fährt, obwohl die ISO 21448 nicht angewendet wurde.

Zusammenhang mit anderen Normen der Fahrzeugsicherheit[Bearbeiten | Quelltext bearbeiten]

Wenn Systeme bereits die Anforderungen der …

• Funktionalen Sicherheit nach ISO 26262 erfüllen, bedeutet das, dass sie eine intrinsische Sicherheit gegen Fehlfunktionen bieten. Die Systeme werden so weitgehend gegen Fehlfunktionen abgesichert, die sie selbst verursachen, beispielsweise Software-Fehler, Defekte durch Alterung.
• Sicherheit für Künstliche Intelligenz nach ISO/PAS 8800 erfüllen, bedeutet das, dass eine ausreichende Sicherheit von KI-Systemen existiert. Die KI-Systeme werden so gegen sicherheitsrelevante Unzulänglichkeiten abgesichert, die beispielsweise durch ein fehlerhaftes Wahrnehmen eines Umgebungsobjektes ausgelöst werden.
• Cyber Security nach ISO/SAE 21434 bzw. SAE J3061 erfüllen, bedeutet das, dass sie gegen Angriffe von außen gehärtet sind. Die Systeme werden so gegen Ausfälle und schädliche Manöver abgesichert, beispielsweise provozierte Lenkbewegung oder Blockierung der Servolenkung.

Nicht abgedeckt ist dabei der Fall, in dem ein System selbst Umweltdaten (z. B. Kamerabilder) verarbeitet und diese falsch interpretiert. Das kann beispielsweise zu einer Vollbremsung führen, weil eine Person auf einem Plakat neben dem Fahrweg als kreuzender Fußgänger interpretiert wird oder gar keine Bremsung, weil ein kreuzender Sattelzug nicht erkannt wurde (Beispiel Tesla-Unfall am 7. Mai 2016^[3]).

Fokus von SOTIF[Bearbeiten | Quelltext bearbeiten]

Bei der Gestaltung eines Fahrerassistenzsystems sind hinsichtlich der SOTIF insbesondere folgende Fragen zu bewerten, die sich auf ein System beziehen:

• Welche Grenzen hat das eingesetzte System?

Hier geht es beispielsweise um eine ausreichend schnelle Verarbeitung, Erkennungsfähigkeit (ausreichende Auflösung einer Kamera, Lichtempfindlichkeit) aber auch die Wirkung von Schmutz auf Sensoren.

• Wie wirkt es sich aus, wenn das System außerhalb der spezifizierten Grenzen der Sollfunktion arbeitet?

Beispiel könnte ein Spurhalteassistent sein, der im Stadtverkehr genutzt wird, obwohl er für Autobahnverkehr entwickelt wurde^[3]

• Wie kann der Fahrer ein Assistenzsystem fehlerhaft nutzen?

Der Punkt bezieht sich auf den vorhersehbaren Fehlgebrauch, beispielsweise in Deutschland im Produktsicherheitsgesetz verankert.

• Welche Verifikations- und Validierungsmaßnahmen sind zu ergreifen, um die Sollfunktion zu prüfen?

Hier geht es um die Akquisition von realen Fahrdaten für Tests, Simulationen und Prüfstandstests.

• Ist die Bedienung des Systems für den Fahrer klar und eindeutig?

Hier geht es um die Gebrauchstauglichkeit/Usability, die keine Fehlbedienungen provozieren soll.

Systembegriff[Bearbeiten | Quelltext bearbeiten]

Der Begriff System umfasst die Kombination aus

• Sensor(en) oder Signal-Eingängen, plus
• einer Logik zur Verarbeitung (Mikrocontroller mit Software, Digitaler Signalprozessor), plus
• Aktor(en) oder Signal-Ausgängen, die von der Logik angesteuert werden.

Signale können beispielsweise über den Fahrzeug-Bus (wie CAN, FlexRay und andere) ausgetauscht werden.

Risikobetrachtung[Bearbeiten | Quelltext bearbeiten]

Bei der Klassifizierung der Risiken sind vier Felder zu betrachten:

1. Bekannte sichere Szenarien: Deren Anzahl dieser Szenarien soll durch die Produktentwicklung maximiert werden, in dem die Fähigkeiten des Systems verbessert werden.
2. Bekannte unsichere Szenarien: Diese Szenarien sollen durch das System beherrscht werden.
3. Unbekannte unsichere Szenarien: Solche Szenarien sollen durch Analysen und Tests aufgedeckt, bewertet und durch zusätzliche Maßnahmen behandelt werden, so dass sie in eines der anderen Szenarien fallen.
4. Unbekannte sichere Szenarien bedürfen keiner weiteren Maßnahmen.

Als Szenario versteht die SOTIF-Norm eine Kombination verschiedener Schnappschüsse einer Situation, die dann in verschiedenen Arten durchlaufen werden, beispielsweise „Kind am Straßenrand“, dann entweder „bleibt stehen“ oder „rennt über die Straße“, mit und ohne dynamischen Elementen wie „mit Gegenverkehr“, „ohne Gegenverkehr“ usw.

Literatur[Bearbeiten | Quelltext bearbeiten]

• Lars Schnieder, René S. Hosse: Leitfaden Safety of the Intended Functionality. 2. Auflage. Springer Fachmedien GmbH, Wiesbaden 2020, ISBN 978-3-658-30037-1. 
• Wilhard Wendorff: Quantitative SOTIF Analysis for highly automated Driving Systems. Safetronic 2017, Stuttgart.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ISO 21448:2022-06. In: Beuth.de. Beuth Verlag GmbH, 2022, abgerufen am 26. Januar 2023. 
2. ↑ ISO/PAS 21448 - Road vehicles -- Safety of the intended functionality
3. ↑ ^{a b} siehe Untersuchungsberichte NTSB-Ref. No. HWY16FH018 des National Transportation Safety Board