Die Sicherheit eines Produkts, d. h. die Tatsache, dass es keinen Schaden verursacht, ist eine entscheidende Eigenschaft für anhaltenden Erfolg auf dem Markt und die Vermeidung rechtlicher Risiken für den Hersteller. Da jedoch vollkommene Sicherheit in der Regel nicht erreichbar ist, stellt sich die Frage, was akzeptable Sicherheit und was akzeptable Risiken ausmacht, oder anders gesagt: Wie sehen doe Risikoakzeptanz-Kriterien (RAC) aus.
14. Oktober 2025
© Fraunhofer IKS
Quantitative Risikoakzeptanzkriterien sind Teil der Gesamtheit aller Akzeptanzkriterien. Sie sind in der Regel in einem bestimmten Kontext zu interpretieren und beziehen sich auf einige, aber nicht alle sicherheitsrelevanten Eigenschaften eines Systems.
In der Präsentation auf der Safetronic wird eine neue Risikorichtlinie vorgestellt, die effektiv keine Flottenvorfälle (ENFLI) zum Ziel hat. Dies ist motiviert durch eine Inkonsistenz aller bekannten Ansätze aus der Literatur (wie MEM, GAMAB, ALARP, PRB) im Vergleich zu den Feld-Unfallstatistiken ausgereifter, sicherheitskritischer Automobilsysteme. Diese in der Literatur etablierten Ansätze haben gemeinsam, dass eine bestimmte Rate kritischer Ereignisse (z. B. Todesfälle) als Risiko-Richtwert verwendet wird, beispielsweise 10-9 Todesfälle/h. Aus der Perspektive eines einzelnen Fahrzeugnutzers (oder Nichtnutzers) erscheint dies zwar sehr gering, doch hat es schwerwiegende Auswirkungen, wenn ein Advanced Driver Assistance System (ADAS), das gerade diese Zielrate erreicht, in einer Fahrzeugflotte mit der typischen Flottengröße für Privatfahrzeuge eingesetzt wird. Einfache Berechnungen mit der Anzahl der Fahrzeuge (z. B. >100.000) und der durchschnittlichen Nutzungsdauer des ADAS pro Fahrzeug über dessen Lebensdauer (z. B. >1.000 h) ergeben, dass die Wahrscheinlichkeit mindestens eines Unfalls durch das ADAS in der gesamten Flotte weit von Null entfernt ist.
Daher zielt das in der Präsentation skizzierte risikobasierte Prinzip ENFLI darauf ab, die Wahrscheinlichkeit eines kritischen Ereignisses so gering zu machen, dass in einer realistischen Serienanwendung ein solches Ereignis über die Lebensdauer des Produkts nicht zu erwarten ist. Die Methode leitet sich konzeptionell aus quantitativen Risikobewertungen ab, die zur Bewertung potenzieller Probleme im Feld durchgeführt werden.
Um dies zu erreichen, wird im Gegensatz zu den bekannten Ansätzen nicht auf Unfälle oder Schäden Bezug genommen. Es ist möglich, die Methode zu erweitern, um dies zu berücksichtigen. Aber der bevorzugte Ansatz besteht darin, die Begriffe der ISO 26262: 2018, den Begriff der Sicherheitsziele und den Automotive Safety Integrity Level (ASIL) anzuwenden und die Anwendung der ENFLI-Methode auf gefährliches Verhalten zu beschränken, das auch im Kontext der ISO 26262 beschrieben werden kann. Das zu zählende Ereignis bezieht sich auf die Verletzung von Sicherheitszielen. Da jedoch nicht alle Sicherheitsziele gleich kritisch sind – z. B. erlaubt die ASIL eine Unterscheidung der Kritikalität – wird eine Anpassung entsprechend der Kritikalität des Sicherheitsziels vorgenommen. Es ist gerechtfertigt, für ein Sicherheitsziel mit geringerer Kritikalität weniger strenge Zahlen zu verlangen. Dies geschieht durch eine Normalisierung in Bezug auf die Kritikalität. Die Methode zielt dann darauf ab, ein Kriterium aus der Betrachtung der »Criticality Normalized Safety Goal Violations (CNSGV)« abzuleiten.
Die Normalisierung schätzt im Wesentlichen den Prozentsatz der Sicherheitsziel-Verletzungen in dem betrachteten System, die eine vergleichbar kritische Auswirkung haben wie eine Worst-Case-Fehlfunktion im Automobilbereich. Für die Normalisierung wird in der Regel ein Expertenurteil herangezogen, ähnlich wie bei den Parametern S, E und C bei der ASIL-Bestimmung. Eine Begründung für den konkreten Normalisierungsvorschlag ist Teil der Anwendung der Methode. Wenn in einem konkreten Beispiel kein vernünftiges Expertenurteil möglich ist, ist die ENFLI-Methode möglicherweise nicht anwendbar. Die folgende Grafik zeigt die Kette von Ursachen, die zu einer Criticality Normalized Safety Goal Violations führen.
© Dr. Susanne Ebel
Eine Verletzung des Sicherheitsziels kann durch einen systeminternen Zustand verursacht werden, beispielsweise durch eine Funktionsunzulänglichkeit, die durch eine auslösende Bedingung aktiviert wird (siehe ISO 21448:2022). In den meisten Fällen können jedoch auch externe Bedingungen (z. B. die Größe der eingesetzten Flotte) berücksichtigt werden, die das Risiko der Funktion im Einsatz verringern. Aus diesem Grund wird auf Criticality Normalized Safety Goal Violations Bezug genommen.
Der einfachste Weg, eine solche Normalisierung durchzuführen, ist die Verwendung des ASIL (siehe ISO 26262: 2018) des Sicherheitsziels. Dann kann eine ASIL-D-Fehlfunktion mit einem Normalisierungsfaktor von 1 verwendet werden, und jede ASIL-Reduzierung ergibt eine Größenordnung. Dies ist eine der möglichen Optionen. In begrenztem Umfang lässt sich dies mit der Reduzierung der PMHF-Zielwerte beim Übergang von ASIL D zu ASIL C vergleichen. Die ASIL-Bestimmung orientiert sich jedoch häufig an Worst-Case-Betrachtungen und folgt nicht dem hier verwendeten durchschnittlich orientierten Ansatz. Darüber hinaus können Fehlfunktionen mit derselben ASIL immer noch erhebliche Unterschiede in der Korrelation zur Verursachung von Personenschäden aufweisen, auch weil dieser Faktor andere Formen der Sicherheitsrelevanz wie die SOTIF nicht widerspiegelt. Daher kann in Anwendungsfällen ein feiner abgestimmtes Normungsverfahren gerechtfertigt sein. Die folgenden Beispiele geben Einblicke, wie dies geschehen und begründet werden kann.
Nehmen Sie teil an der internationalen Konferenz zum Thema ganzheitliche Sicherheit von Straßenfahrzeugen vom 12. bis 13. November in Stuttgart | Leinfelden-Echterdingen.
Buchen Sie jetzt Ihr Ticket. Das Programm finden Sie hier.
Die Präsentation enthält auch Beispielberechnungen von Risikoakzeptanz-Kriterien (RAC) auf der Grundlage des ENFLI-Ansatzes. Dieser Ansatz ist ein obligatorischer Bestandteil des SafeAI-Frameworks, das derzeit entwickelt wird. Das Framework besteht aus Aktivitäten, Leitprinzipien und sogar organisatorischen Elementen. Das Ergebnis dieser Aktivitäten kann zu Methoden, Werkzeugen, Best Practices, Analysetechnologien oder anderen Mitteln führen, die als Teil des Frameworks betrachtet, werden können. Die Bestimmung der Sicherheitsbelastung der KI mithilfe von ENFLI ist der Ausgangspunkt für die Ableitung, Konsolidierung und kontinuierliche Verbesserung relevanter Sicherheitsqualitäten einer KI, einschließlich der Definition von Akzeptanzkriterien.
