Domänenübergreifende Sicherheitsanalyse zur Unterstützung der ODD-Bereitstellung für autonome Systeme
9 mins read

Domänenübergreifende Sicherheitsanalyse zur Unterstützung der ODD-Bereitstellung für autonome Systeme


Die Gewährleistung der Sicherheit in autonomen Fahrsystemen (ADS) beim Übergang zwischen verschiedenen Operational Design Domains (ODDs) ist eine Herausforderung und von entscheidender Bedeutung. In unseren Forschungsprojekten haben wir festgestellt, dass es keine etablierten Methoden zur Modellierung, Analyse und ordnungsgemäßen Dokumentation von ODDs für sicherheitstechnische Prozesse gibt. Schlimmer noch: Es gibt keine Anleitung zur Auswahl des geeigneten Granularitäts- und Detaillierungsgrades bei der Erstellung eines ODD, was für Ingenieure als Input für bestimmte Analyse- oder Designaktivitäten hilfreich sein sollte. Unsere Studie stellt ein neues Konzept und Metamodell vor, das die domänenübergreifende Sicherheitsanalyse und das ODD-Änderungsmanagement unterstützen soll. Dieser Ansatz vereinfacht die Bereitstellung von ODDs und reduziert den Aufwand zur Gewährleistung der Systemsicherheit in neuen Umgebungen. Durch die Integration von Sicherheitstechnik und Umweltmodellen bietet unsere Methode einen strukturierten Rahmen, der die Sicherheit und Effizienz verbessert.

Warum benötigen Sie Hilfe beim ODD-Änderungsmanagement?

Der Bedarf an einem robusten ODD-Änderungsmanagement ergibt sich aus mehreren Anwendungsfällen:

1) Beginnen Sie mit einem kleinen ODD und erweitern Sie es mit der Zeit

Sie beginnen mit einem kleinen ODD, um das anfängliche Risiko zu begrenzen und Ihren Service so schnell wie möglich zu erweitern. Mit der Zeit möchten Sie Ihr ODD steigern und damit Zugang zu neuen Kunden gewinnen, Ihren Service erweitern und mehr Wert schaffen.

2) Stellen Sie Ihr System in einem anderen Bereich bereit

Sie sind ein globales Unternehmen und möchten Ihr System auf ein neues geografisches Gebiet erweitern. Beispielsweise ist Ihr System in Japan für ODD zertifiziert und Sie möchten es nun auf den europäischen Markt bringen, wo die Betriebsumgebung möglicherweise viele Aspekte gemeinsam hat, aber auch neue Aspekte zu berücksichtigen sind.

3) Übertragen Sie ein bestehendes System in eine andere Domäne

Sie können auch in verschiedenen Anwendungsdomänen arbeiten und über ein System verfügen, das nur für eine bestimmte Domäne zertifiziert ist. Sie verfügen beispielsweise über ein automatisiertes Leitsystem, das für den automatisierten Warentransport in Logistiklagern entwickelt wurde, bei dem der regulatorische und regulatorische Kontext im Maschinenbereich wichtig ist. Nehmen wir an, Sie möchten dasselbe System für den Einsatz auf öffentlichen Straßen erweitern, vielleicht weil das System Waren von einem Lager zu einem anderen nahegelegenen Standort transportieren muss. Plötzlich ist der regulatorische und behördliche Kontext zur Gewährleistung der Sicherheit auf öffentlichen Straßen wichtig und infolgedessen sind die Anforderungen an die ODD-Dokumentation und -Analyse unterschiedlich.

In all diesen Fällen verfügen Sie bereits über eine gewisse Grundlage und haben Ihr System durch einen teuren Sicherheitstechnikprozess gesichert. Anstatt von vorne zu beginnen, wäre eine ausgefeiltere Methode, die Auswirkungen dieser Szenarien zu erkennen, um die Nacharbeit bei Bedarf zu reduzieren. Dies ist das Ziel, an dem wir in der ODD-bezogenen Forschung am Fraunhofer IESE arbeiten: Darstellungen von Betriebsumgebungen zu erstellen, die…

  1. Sind nachvollziehbar zu sicherheitstechnischen Artefakten, von denen Umgebungsabhängigkeiten bestehen. Das grundlegende Ziel besteht darin, eine effiziente Verwaltung häufiger Änderungen oder ODD-Bereitstellungen durch formale Rückverfolgbarkeit zu unterstützen.
  2. Sind bedeutsam Beiträge zu verschiedenen sicherheitstechnischen Aktivitäten wie HARA, SOTIF-Startbedingungsanalyse, Validierungsszenarioentwurf oder Genehmigung. Diese Aktivitäten erfordern unterschiedliche Aspekte der Umgebung sowie unterschiedliche Detaillierungs- und Granularitätsebenen. Um dieses Ziel zu erreichen, arbeiten wir an Methoden zur Anpassung der Ontologie an die spezifische Aufgabenumgebung unter Verwendung grundlegender Taxonomien wie ISO 34503.

Kurz gesagt ist es wichtig, die Beziehungen zwischen Artefakten der Sicherheitstechnik und der Betriebsumgebung zu verstehen. Dieses Verständnis ist eine Voraussetzung für die Bereitstellung methodischer Anleitungen für die Verwaltung von Änderungen in Ihrem ODD, wie beispielsweise in den beschriebenen Szenarien.

Mehr über unsere Forschung zu ODD

Auf der letzten PEGASUS VVM-Veranstaltung haben wir ein Poster zur methodischen Unterstützung bei der Erstellung spezieller Betriebsumgebungsmodelle mit Leitfragen für Ingenieure veröffentlicht. Darüber hinaus haben wir herausgefunden, dass Large Language Models den Situationsexplosionsprozess beschleunigen können, insbesondere bei HARA-Analysen.

ODD Change Management: Was benötigen Sie zur Durchführung Ihrer Change-Impact-Analyse?

Zunächst müssen die operative Domäne, aber auch die sicherheitstechnischen Artefakte und deren Abhängigkeiten modelliert werden. Dies erfordert einen Umgebungsmodellierungsprozess und eine technische Darstellung. Außerdem benötigen wir ein Konzept zum semantischen Vergleich von Elementen. Schließlich benötigen wir die Integration dieser Prozesse in ein Automatisierungstool.

In diesem Blogbeitrag konzentrieren wir uns auf die Modellierungsaspekte. In einem zukünftigen Blog werden wir eine Methode zur systematischen Analyse der Umgebung vorstellen.

Überblick über die ODD-Change-Management-Forschung

Konzept und Metamodell

Unsere Forschung präsentiert eine umfassende modellbasierte Methode, die sicherheitstechnische Artefakte mit Umgebungsmodellen integriert. Diese Integration wird durch ein strukturiertes Metamodell erreicht, das Kontextelemente mit Sicherheitsanforderungen verknüpft und so eine systematische Sicherheitsanalyse ermöglicht.

Ein Beispiel dafür, wie Elemente aus zwei verschiedenen Domänen mit unseren Methoden verglichen werden können
Ein Beispiel dafür, wie Elemente aus zwei verschiedenen Domänen mit unseren Methoden verglichen werden können

Der Kern dieses Ansatzes liegt in der Verwendung von Domänenabstraktionsmodellen, inspiriert vom PEGASUS 6-Schichten-Modell, das den Vergleich verschiedener ODDs durch gemeinsame abstrakte Konzepte ermöglicht. Beispielsweise kann das abstrakte Konzept „Humans at Risk“ auf verschiedene Umgebungen angewendet werden und dabei helfen, Sicherheitsanforderungen konsequent zu identifizieren und sicherzustellen. Dieses konzeptionelle Framework identifiziert nicht nur wichtige Sicherheitsartefakte, sondern hilft auch bei der Verwaltung von Abhängigkeiten und Änderungen in komplexen ODDs und macht den Sicherheitsanalyseprozess effizienter und zuverlässiger.

Der von uns umgesetzte technische Prototyp

Basierend auf dem Safety-Engineering-Framework basierend auf vorhandenen technischen Modellen

Unsere Methode ist nahtlos in das Digital Dependability Identity (DDI)-Framework integriert, das das Open Dependability Exchange (ODE)-Metamodell umfasst. Diese Integration ermöglicht eine umfassende Darstellung und Analyse sicherheitstechnischer Artefakte während des gesamten ADS-Lebenszyklus. Unser Ziel ist die Kompatibilität zu technischen Standardisierungen wie OpenODD und DIN SPEC 99004, die wir auch persönlich mit unserer Erfahrung unterstützen.

Rückverfolgbarkeitsanalyse und Modelltransformation durch Automatisierung

Wir haben außerdem einen automatischen Algorithmus zur Analyse der Änderungsauswirkungen mithilfe des Eclipse-Epsilon-Frameworks implementiert. Dieser Algorithmus hilft dabei, relevante Kontextelemente und Sicherheitsanforderungen zu identifizieren, die bei der Bereitstellung oder Änderung eines ODD beachtet werden müssen. Durch die Automatisierung dieser Prüfungen reduzieren wir den Bedarf an manuellen Überprüfungen und stellen sicher, dass Sicherheitsbedenken systematisch abgedeckt werden, wodurch die Effizienz und Genauigkeit des Sicherheitsgewährleistungsprozesses erhöht wird.

Teil unseres Algorithmus zur Analyse der Auswirkungen von ODD-Änderungen
Teil unseres ODD-Änderungsauswirkungsanalysealgorithmus

Sind Sie bereit, die Auswirkungen der Betriebsumgebung auf Ihr System zu erstellen und zu analysieren?

Wir haben unsere Ansätze in öffentlich geförderten und bilateralen Projekten mit Industriekunden im Automobil- und Maschinenbaubereich getestet und verfeinert, insbesondere für automatisierte Fahrsysteme und autonome mobile Roboter. Zusätzlich zur methodischen Expertise haben wir mehrere technische Assets für den Transfer in die Industrie geschaffen. Erstens haben wir die technischen Darstellungen verschiedener Umweltontologien wie VDA 702 SitKat, ISO 34503 oder das PEGASUS 6-Schichtenmodell. Basierend auf diesen Ontologien können konkrete Umgebungsmodelle für ein bestimmtes System oder eine bestimmte Funktion abgeleitet werden. Unser hauseigenes modellbasiertes Safety-Engineering-Tool safeTbox ermöglicht die Abbildung von Safety-Engineering-Artefakten (grundlegende Ereignisse in Komponentenfehlerbäumen oder HARA-Zuständen auf Elemente in Umgebungsmodellen). So ist es beispielsweise möglich, die Abdeckung der Betriebsumgebung in HARA- oder SOTIF-Analysen dank eines auf das spezifische System und Sicherheitsprozess zugeschnittenen Umgebungsmodells zu ermitteln.

Basierend auf diesen Vermögenswerten können wir Ihrem Team mit den folgenden Wertversprechen helfen:

Wissenstransfer „Modellierung und Analyse komplexer Frontalumgebungen“: Wir übertragen modernstes Wissen zur Modellierung, Analyse und Dokumentation von Betriebsumgebungen / ODDs im Seminar-/Workshop-Format an Ihre Ingenieure und ermöglichen Sicherheitsanalysen mit hoher Abdeckung und Zuverlässigkeit trotz der Komplexität der Umgebung.

Übertragungsmethode „JEDE SCHÖPFUNG“: Wir ermöglichen Ihren Ingenieuren die Erstellung standardkonformer ODD-Darstellungen (SOTIF, ISO 34503), die nicht nur das „Abhaken des ODD-Kästchens“ ermöglichen, sondern auch sinnvolle Eingaben für Sicherheits- und SOTIF-Analysen sind, die die Umgebung als Eingabe benötigen. Eine übliche Form der Zusammenarbeit besteht darin, die Methode auf ein bestehendes Beispielsystem anzuwenden, das so gut verstanden ist, dass der Fokus auf neuen Aspekten der Methode liegt. Der Methodentransfer erfolgt hauptsächlich in Gesprächen zwischen den Experten Ihres Unternehmens und dem IESE, wenn Ihre Experten die Methode auf der Grundlage der Richtlinien und Vorlagen des IESE anwenden.

der Dienst „Batch-Erstellung/Revision“: Wir unterstützen Sie bei der operativen Generierung von ODD-Artefakten in Ihrem konkreten Projekt oder überarbeiten die bestehende ODD-Dokumentation entsprechend dem Stand der Technik und Praxis.

Service/Methodentransfer „Environment Ontology Adaptation“: Möchten Sie, dass Ihr System in einer einzigartigen/nicht standardmäßigen Betriebsumgebung funktioniert, die von vorhandenen Taxonomien/Ontologien nicht ausreichend abgedeckt wird? Wir unterstützen dies durch unseren systematischen Ansatz der Befragung von Fachexperten. Das Ergebnis ist eine maßgeschneiderte Umgebungsontologie, die als Grundlage für die Argumentation der Abdeckung in Ihren HARA- und Sicherheitsanalysen verwendet werden kann.

Kontaktieren Sie uns noch heute: Sind Sie neugierig, wie unsere Ansätze zu Ihrem spezifischen Kontext passen oder wie die Zusammenarbeit zwischen dem Fraunhofer IESE und Ihrem Unternehmen realisiert werden kann? Senden Sie uns bitte eine Nachricht und wir vereinbaren ein Kennenlerngespräch, bei dem wir Ihr Projekt und Ihre Wünsche besprechen können.



technische Probleme auf

Leave a Reply

Your email address will not be published. Required fields are marked *