„ISO 21448“ – Versionsunterschied

ISO 21448 ist eine Norm der Internationalen Organisation für Normung (ISO), der als Publicly Available Specification (PAS) erschienen ist und nur in englischer Sprache vorliegt.

Die ISO 21448 Road vehicles — Safety of the intended functionality ("Sicherheit der Sollfunktion"), kurz SOTIF, betrachtet unakzeptable Risiken, die durch Unzulänglichkeiten der gewollten Funktionalität (Soll-Funktion) oder durch vorhersehbaren Gebrauch (Fehlgebrauch, der vernünftigerweise vorhersehbar ist) entstehen kann^[1]. Die Norm soll zu einem geeigneten Design des Systems und der Verifikation/Validierung anleiten. dazu gibt die Norm gibt Hinweise zu Eigenschaften des Produktes^[2] ("Was soll es können, wenn es fertig ist?"), zum Test und auch zum Produktentwicklungsprozess^[3] ("Was ist zu tun, um nichts zu übersehen?")

Wichtige Begriffe der Norm

Die Norm führt einige Begriffe ein, die speziell für SOTIF relevant sind^[4]:

• Intended Function (Sollfunktion) bezeichnet die gewollte Funktion. Das setzt voraus, dass ein System eine Funktion ausführt, die in einer Spezifikation genau beschrieben wurde. Durch die Beschreibung des gewollten Verhaltens kann auch eine Abweichung (Fehlfunktion) erkannt werden.
• Misuse ist Missbrauch, also vorsätzliche Nutzung einer Funktion, obwohl die Folge ein Schaden oder eine Gefahr sein kann.

Missbrauch wird durch SOTIF nicht betrachtet, jedoch der vorhersehbare Gebrauch (früher auch vorhersehbarer Fehlgebrauch). Der Fehlgebrauch kann beispielsweise aus Bequemlichkeit erfolgen (Benutzungsregeln werden ignoriert) oder weil die Bedienung für den Benutzer nicht klar genug ist. Fehlgebrauch wird von vielen nationalen Gesetzgebern zugelassen, jedes an Endverbraucher verkaufte Produkt ist daher gegen gefährliches Versagen (im Sinne von Personenschaden, Tod) abzusichern.

• Scene (Szene, Situation) ist ein Schnappschuss, der dynamische Elemente (beispielsweise Verkehrsteilnehmer) enthält, die Umgebung beschreibt (beispielsweise Straßenverlauf, feste Hindernisse, Umweltbedingungen) und das System welches sich in dieser Situation befindet
• Scenario ist eine Zusammenstellung von Szenen, die in zeitlicher Folge ablaufen. Die Reihenfolge kann unterschiedlich oder verzweigt sein. Wie im Szenario verzweigt wird, entscheiden actions (etwa: Handlungen) oder events (etwa: Ereignisse).

Abgrenzung zu anderen Normen

Die Norm gibt einige Hinweise zur Abgrenzung zu anderen Normen^[5]

• Die Eigensicherheit der elektrischen/elektronischen Komponenten (E/E-System) bleibt Aufgabe der Funktionalen Sicherheit nach ISO 26262

Dies sind Fehlfunktionen, die ohnehin im Rahmen der Funktionalen Sicherheit behandelt werden oder die von der Technologie des Systems abhängen, wobei die Norm als Beispiel einen Augenschaden durch einen Laser-Sensor benennt^[1]

• Fehlgebrauch sieht die Norm nur in Teilbereichen bei sich, weitere Aufgaben ordnet sie der ISO 26262 und Europäischen Normen (European statement of principal on the design of humanmachine-interface) zu.
• Die Risiken der Technologie werden spezifische Standards zugeordnet (beispielsweise Gefahren durch Li-Ion Technologie)
• Cyber Security, also Angriffe von außen sollen durch die Normen ISO/SAE 21434 und SAE J3061 abgedeckt werden
• Kommunikation mit der Straßeninfrastruktur und anderen Fahrzeugen (Car2X) soll durch ISO 20077 Road Vehicles — Extended vehicle (ExVe) betrachtet werden.

Inhalt

Die Norm beinhaltet folgende Kapitel (im Original auf Englischer Sprache):

1. Scope
2. Normative references
3. Terms and definitions
4. Overview of this document’s activities in the development process
5. Functional and system specification (intended functionality content)
6. Identification and Evaluation of hazards caused by the intended functionality.
7. Identification and Evaluation of triggering events
8. Functional modifications to reduce SOTIF related risks
9. Definition of the verification and validation strategy
10. Verification of the SOTIF (Area 2)
11. Validation of the SOTIF (Area 3)
12. Methodology and criteria for SOTIF release

Die Anhänge (Annexes) sind informativ, nicht normativ:

A. Examples of the application of SOTIF activities

B. Example for definition and validation of an acceptable false alarm rate in AEB systems

C. Validation of SOTIF applicable systems

D. Automotive perception systems verification and validation

E. Method for deriving SOTIF misuse scenarios

F. Example construction of scenario for SOTIF safety analysis method

G. Implications for off-line training

Bibliography

Literatur

• Lars Schnieder, René S. Hosse: Leitfaden Safety of the Intended Functionality. 2. Auflage. Springer Fachmedien GmbH, Wiesbaden 2020, ISBN 978-3-658-30037-1. 

Weblinks

• ISO/PAS 21448:2019 Road vehicles — Safety of the intended functionality auf der Webseite der ISO
• Webinar Functional Safety and SOTIF - Principles and Practice angeboten von Vector Informatik 2019 (englisch)
• Webinar SOTIF Training Preview (Dr. Arnulf Braatz) angeboten von Vector Informatik 2019 (englisch)

Einzelnachweise

1. ↑ ^{a b} Siehe Kapitel 1 Scope der ISO/PAS 21448:2019
2. ↑ Siehe Kapitel 5 Functional and system specification (intended functionality content) der ISO/PAS 21448:2019
3. ↑ Siehe Kapitel 4 Overview of this document’s activities in the development process der ISO/PAS 21448:2019
4. ↑ Siehe Kapitel 3 Terms and definitions der ISO/PAS 21448:2019
5. ↑ Siehe Tabelle 1 in Abschnitt Introduction der ISO/PAS 21448:2019