ISO/PAS 21448

ISO/PAS 21448
Titel	Road vehicles — Safety of the intended functionality Straßenfahrzeuge - Sicherheit der beabsichtigten Funktion
Teile	1
Erstveröffentlichung	10. Januar 2019
Letzte Ausgabe	10. Januar 2019
Klassifikation	43.040.10

ISO/PAS 21448 ist eine öffentlich verfügbare Spezifikation (Publicly Available Specification, PAS) der Internationalen Organisation für Normung (ISO), die nur in englischer Sprache veröffentlicht wurde.

Derzeit (Stand September 2020) wird daraus die Norm ISO 21448 Road vehicles — Safety of the intended functionality ("Sicherheit der Sollfunktion"), kurz SOTIF genannt, erarbeitet, die den PAS ersetzen soll^[1]. SOTIF betrachtet unakzeptable Risiken, die durch Unzulänglichkeiten der gewollten Funktionalität (Soll-Funktion, intended function) oder durch vorhersehbaren Gebrauch (Fehlgebrauch, der vernünftigerweise vorhersehbar ist) entstehen kann^[2].

Die Spezifikation soll zu einem geeigneten Design des Systems und der Verifikation/Validierung anleiten. Dazu gibt die Spezifikation Hinweise zu Eigenschaften des Produktes^[3] ("Was soll es können, wenn es fertig ist?"), zum Test und auch zum Produktentwicklungsprozess^[4] ("Was ist zu tun, um nichts zu übersehen?")

Wichtige Begriffe der Spezifikation

Die Spezifikation führt einige Begriffe ein, die speziell für SOTIF relevant sind^[5]:

• Intended Function (Sollfunktion) bezeichnet die gewollte Funktion. Das setzt voraus, dass ein System eine Funktion ausführt, die in einer Spezifikation genau beschrieben wurde. Durch die Beschreibung des gewollten Verhaltens kann auch eine Abweichung (Fehlfunktion) erkannt werden.
• Misuse oder foreseeable misuse betrachtet die Norm im Sinne von vorhersehbaren Gebrauch (früher auch vorhersehbarer Fehlgebrauch), der inhaltlich und begrifflich mit dem Produkthaftungsrecht korrespondiert. Der Fehlgebrauch kann beispielsweise aus Bequemlichkeit erfolgen (Benutzungsregeln werden ignoriert) oder weil die Bedienung für den Benutzer nicht klar genug ist. Das Produkthaftungsrecht verlangt, dass Fehlgebrauch vom Hersteller betrachtet werden muss und dies steht auch im Fokus der Norm. Jedes an Endverbraucher verkaufte Produkt ist daher gegen gefährliches Versagen (im Sinne von Personenschaden, Tod) abzusichern. Weder durch die Norm noch durch das Produkthaftungsrecht erhält der Benutzer Schutz vor abuse, also vor vorsätzlichem Missbrauch.
• Scene (Szene, Situation) ist ein Schnappschuss, der dynamische Elemente (beispielsweise Verkehrsteilnehmer) enthält, die Umgebung beschreibt (beispielsweise Straßenverlauf, feste Hindernisse, Umweltbedingungen) und das System welches sich in dieser Situation befindet
• Scenario ist eine Zusammenstellung von Szenen, die in zeitlicher Folge ablaufen. Die Reihenfolge kann unterschiedlich oder verzweigt sein. Wie im Szenario verzweigt wird, entscheiden actions (etwa: Handlungen) oder events (etwa: Ereignisse).

Abgrenzung zu anderen Dokumenten

Die Spezifikation gibt einige Hinweise zur Abgrenzung zu anderen Dokumenten^[6]

• Die Eigensicherheit der elektrischen/elektronischen Komponenten (E/E-System) bleibt Aufgabe der Funktionalen Sicherheit nach ISO 26262
• Die Risiken der Technologie werden spezifischen Standards zugeordnet, wobei die Norm als Beispiel einen Augenschaden durch einen Laser-Sensor benennt^[2]
• Fehlgebrauch sieht die Norm bei sich und dem European Statement of Principles on human-machine interface
• Cyber Security, also Angriffe von außen sollen durch die Normen ISO/SAE 21434 und SAE J3061 abgedeckt werden
• Kommunikation mit der Straßeninfrastruktur und anderen Fahrzeugen (Car2x) soll durch ISO 20077 Road Vehicles — Extended vehicle (ExVe) betrachtet werden

Inhalt

Die Spezifikation beinhaltet folgende Kapitel (im Original in englischer Sprache):

1. Scope
2. Normative references
3. Terms and definitions
4. Overview of this document’s activities in the development process
5. Functional and system specification (intended functionality content)
6. Identification and Evaluation of hazards caused by the intended functionality.
7. Identification and Evaluation of triggering events
8. Functional modifications to reduce SOTIF related risks
9. Definition of the verification and validation strategy
10. Verification of the SOTIF (Area 2)
11. Validation of the SOTIF (Area 3)
12. Methodology and criteria for SOTIF release

Die Anhänge (Annexes) sind informativ, nicht normativ:

A. Examples of the application of SOTIF activities

B. Example for definition and validation of an acceptable false alarm rate in AEB systems

C. Validation of SOTIF applicable systems

D. Automotive perception systems verification and validation

E. Method for deriving SOTIF misuse scenarios

F. Example construction of scenario for SOTIF safety analysis method

G. Implications for off-line training

H. Bibliography

Literatur

• Lars Schnieder, René S. Hosse: Leitfaden Safety of the Intended Functionality. 2. Auflage. Springer Fachmedien GmbH, Wiesbaden 2020, ISBN 978-3-658-30037-1. 

Weblinks

• ISO/PAS 21448:2019 Road vehicles — Safety of the intended functionality. International Organization for Standardization (ISO), abgerufen am 9. September 2020 (englisch). 
• ISO 21448 Road vehicles — Safety of the intended functionality. International Organization for Standardization (ISO), abgerufen am 9. September 2020 (englisch). , derzeit (09.2020) im Stand eines Committee Draft
• Webinar Functional Safety and SOTIF - Principles and Practice angeboten von Vector Informatik 2019 (englisch)
• Webinar SOTIF Training Preview (Dr. Arnulf Braatz) angeboten von Vector Informatik 2019 (englisch)

Einzelnachweise