Modernes Lagerhaus mit Roboterarm, Drohnen und Roboterträgern.
chesky - stock.adobe.com
22.01.2019 Fachinformation 1463 0

Funktionale Sicherheit in autonomen Systemen

Am 26. und 27. März 2019 dreht sich in Erfurt alles um Funktionale Sicherheit. Michael Kieviet ist Experte bei diesem Thema und wird bei der Veranstaltung als Referent dabei sein. Darüber hinaus engagiert er sich seit Jahren aktiv in der Normung. Wir haben mit Michael Kieviet im Vorfeld über die Funktionale Sicherheit in autonomen Systemen gesprochen.

Kontakt

Holger Lange
Michael Kieviet

Michael Kieviet

Lange: Was ist ein autonomes System und wo werden autonome Systeme aktuell schon eingesetzt?

Kieviet: Die Frage klingt im ersten Moment einfach, ist aber nicht leicht zu beantworten. Der Begriff "autonome Systeme" lässt vermuten, dass es sich um ein Objekt handelt, welches ohne menschliche Kontrolle selbstständig agieren bzw. seine zugedachte Aufgabe erledigen kann. Aktuell wird diese Vorstellung in der Öffentlichkeit häufig im Zusammenhang mit dem autonomen Fahren diskutiert.

Die Idee ist seit Beginn der Automatisierung immer gleich: Die Maschine erledigt eine Aufgabe vollautomatisch – das Überwachen und Steuern durch eine menschliche Arbeitskraft ist nicht mehr erforderlich. Solche Maschinen hat es theoretisch schon immer gegeben. Der nächste Schritt ist die eigenständige Adaption der Maschine an Ihre auszuführenden Aufgaben und die freie Bewegung im Raum. Auch hier könnten wir von einem "alten Hut" sprechen: Es gibt schon sehr lange einen Autopiloten bei Flugzeugen, fahrerlose Züge oder selbständig fahrende Flurförderfahrzeuge.

Der Unterschied bei einem autonomen System ist allerdings, dass die Einsatzumgebung nicht mehr eindeutig und vorab definiert ist und sich die Systeme entsprechend der Umgebung, hinsichtlich des eigenen Verhaltens und der eigenen Reaktionen, anpassen müssen, um ihre Aufgaben zu erfüllen.

Lange: Welche Vorteile bieten autonome Systeme und was sind derzeit die größten Herausforderungen?

Kieviet: Der große Vorteil autonomer Systeme ist ihre Flexibilität – die gleichzeitig auch ihre größte Herausforderung darstellt.

Nehmen wir ein selbstfahrendes Transportsystem, das innerhalb einer Werkshalle Material von einem beliebigen Arbeitsplatz zu einem anderen beliebigen Arbeitsplatz transportieren soll. Bisher war eine solche Umsetzung beispielsweise mittels Induktionsschleifen im Boden möglich. Das war natürlich sehr aufwendig und die Wege waren fest definiert.

Heute gibt es in vielen Bereichen den Trend zur individuellen Fertigung, also Losgröße 1. Flurfördersysteme müssen sich deshalb den Umgebungsbedingungen anpassen können. Mehr noch: Die Erwartungshaltung geht heutzutage dahin, dass sich entsprechende Systeme zukünftig selbst optimieren, um letztendlich die gefahrenen Wege zu optimieren, Zeit einzusparen und auf diese Weise auch die Produktivität zu erhöhen.

Hier fangen die Probleme häufig schon an: Der Konstrukteur ist in der Pflicht, die Systemgrenzen und Einsatzszenarien, wie Abstände, Geschwindigkeiten, Ausweichmöglichkeiten sowie Quetsch- und Scherstellen, für eine Risikobeurteilung zu analysieren. Der Sinn bei autonomen Systemen ist hingegen, keine konkreten Bereiche zu definieren. Die Komplexität kann sich zudem noch erhöhen, wenn weitere Freiheitsgarde dazukommen. Es müssen also Lösungen gefunden werden, die das System auch für beliebige Individualität sicher macht. Stellen wir uns einen Verbund kollaborierender, mobiler Mehrfachroboter vor: Wenn diese ihr Verhalten durch KI lernen, haben Sie praktisch keine Chance mehr, alle Eventualitäten in einer Analyse vorherzubestimmen. Heute ist das mit den unterschiedlichsten Normen für die jeweiligen Produkte schon begrenzt realisierbar, indem die Sicherheitstechnik nach dem „Schutzzaunprinzip“, also durch virtuelle Systemgrenzen, realisiert wird – ein bewährtes Konzept der Funktionalen Sicherheit. Wenn wir aber weiterdenken, wird sehr schnell ersichtlich, dass sich die Sicherheitsgrenzen dynamisch anpassen müssen. Aus diesem Umstand heraus ergeben sich natürlich weitere und neue Herausforderungen, die sich mit einer klassischen Denkweise, und somit auch den klassischen Normen, nicht ohne Probleme vereinbaren lassen.

Lange: Existieren bereits Sicherheitsregeln für autonome Systeme und wenn ja, wie sehen diese im Vergleich zu nicht-autonomen Systemen aus?

Kieviet: Mir sind derzeit noch keine fertigen und freigegebenen Normen bekannt, die gezielt für autonome Systeme gelten. Insbesondere unter den Aspekten der Funktionalen Sicherheit können wir dieses Thema sehr kontrovers diskutieren. Es gibt bereits erste Bestrebungen das Thema „künstliche Intelligenz“ im Allgemeinen normativ zu bearbeiten. Hierzu sei beispielsweise der DKE Arbeitskreis AK 801.0.8 mit dem Arbeitstitel “Spezifikation und Entwurf autonomer / kognitiver Systeme“ genannt, der in diesem Bereich schon sehr gute Arbeit leistet. Ich halte außerdem die Betrachtung unter den Aspekten der DIN EN 61508 und „Verwandten“ für sinnvoll.

Auch hier werden wir wieder auf Diskussion stoßen, die in anderen Zusammenhängen schon kontrovers geführt wurden. Beispielsweise stellt sich die Frage der Zuverlässigkeit von selbstlernenden Systemen: Wie können wir die Zuverlässigkeit messen und nachweisen? Kommen wir bei autonomen Systemen überhaupt auf so geringe Werte, wie wir sie an anderen Stellen für die Sicherheit fordern? Ist die Referenz für die Fehlerrate der Mensch oder doch die Technik? Wie viel Dynamik und Rekonfiguration ist unter sicherheitstechnischen Aspekten überhaupt machbar? Das sind alles Fragen, die aus wissenschaftlicher Sicht sauber geklärt sein müssen, um Sie letztendlich normativ zu fixieren. Fakt ist allerdings auch, dass, bei aller Skepsis, der Einsatz von selbstlernenden und autonomen Systemen weltweit forciert wird. Mit welcher Qualität und welcher Moral dies getan wird, kann durch Normen entscheidend beeinflusst werden.


Interessiert an Funktionaler Sicherheit?

Nahaufnahme einer Computer-Platine
photocrew / Fotolia

Funktionale Sicherheit ist ein sicherheitstechnisches Querschnittsthema mit hoher Bedeutung – ein Thema für den VDE. Die Grundsätze für die Auslegung sicherheitsgerichteter Steuerungen befinden sich in der IEC 61508 (in Deutschland VDE 0803). DKE-Komitees begleiten ihre Fortschreibung sowie Übernahme in die verschiedenen Fachgebiete.

Weitere Inhalte zu diesem Fachgebiet finden Sie auf unserer

DKE-Themenseite Funktionale Sicherheit

Lange: Gibt es Normen und Standards, die im Rahmen der Funktionalen Sicherheit bei autonomen Systemen eingesetzt werden?

Kieviet: Es ist auch hier wie bei jeder anderen neuen Technologie: Solange keine expliziten Normen vorhanden sind, verwendet man die bestehenden Normen so gut es eben möglich ist, also unter anderem DIN EN 61508, DIN EN 62061, DIN EN ISO 13849 etc. Als Beispiele sind hierbei die Objekterkennung in der Bildverarbeitung sowie Landmaschinen und Flurförderfahrzeuge zu nennen.

Lange: Sind die derzeitigen in der Industrie angewendeten Verifikationsmethoden (die sich aus den Normen ergeben) tauglich für autonome Systeme?

Kieviet: Theoretisch sind die Verifikationsmethoden geeignet, da ja normativ, insbesondere bei der DIN EN 61508, nichts ausgeschlossen ist und zum Beispiel der normative Hinweis „not recommended“ nur bedeuten soll: "Pass auf, was du tust und weise sauber nach, dass das geforderte Sicherheitsniveau garantiert ist". Praktisch gesehen geben solche Aussagen natürlich immer Interpretationsspielraum und Anlass zur Diskussion.

Lange: Wie kann die Sicherheit nachgewiesen werden?

Kieviet: Die Frage nach der Sicherheit ist meines Erachtens noch nicht wirklich geklärt. Aus meiner Beobachtung heraus ist das eher ein wissenschaftlicher Disput. In der Praxis gehen wir hier sehr konservativ vor und versuchen die autonomen Systeme mit konventioneller Sicherheitslogik in seinen Grenzen zu überprüfen. In der sicheren Bildverarbeitung und Objekterkennung gibt es allerdings auch schon die ersten Aufweichungen.

Lange: Wenn autonome Systeme entscheiden: Was sind die Grundlagen in kritischen Situationen?

Kieviet: An dieser Stelle berühren wir ein sehr emotionales Thema, das aufgrund der Bezeichnung „künstliche Intelligenz“ und „autonome Systeme“ immer auch impliziert, dass diese Systeme tatsächlich selbstbestimmt sind. Dabei gibt es sehr schnell eine Vermenschlichung dieser Systeme, bei der Philosophie sowie Religion, und somit Ethik, eine zunehmend größere Rolle spielen. Wenn wir uns nur auf das Verhalten in kritischen Situationen konzentrieren, ist klar, dass Entscheidungen getroffen werden müssen. Ethische Werte können von Mensch zu Mensch und von Gesellschaft zu Gesellschaft vollkommen unterschiedlich ausgelegt werden. Deshalb gibt es Projekte wie die internationale Initiative OCEANIS, die sich mit genau diesen Fragestellungen auseinandersetzt. Letztendlich wird es auch dann wieder darauf hinauslaufen, dass wir über die Zuverlässigkeit reden und nur das akzeptieren werden, was dem gesellschaftlich akzeptierten Restrisiko entspricht. Wir werden Unfälle niemals vermeiden können und jeder Unfall ist leider ein tragisches Ereignis. Trotzdem dürfen wir nicht vergessen, wie viele Unfälle vermieden werden können – weil technische Systeme nicht ermüden und deren Aufmerksamkeit immer gleichbleibend ist. An dieser Stelle kommt wieder die Funktionale Sicherheit ins Spiel, um das Restrisiko zu minimieren.

Lange: Wie ist Deutschland im weltweiten Vergleich bei Funktionaler Sicherheit im Kontext autonomer Systeme aktuell aufgestellt?

Kieviet:  International ist ein sehr großer und finanzstarker Wettbewerb zu spüren. Wir müssen unsere weltweit führende Rolle im Maschinenbau dafür nutzen, das Thema der Funktionalen Sicherheit zu erschließen und unsere Position zu stärken. Die Treiber kommen heute aus einer ganz anderen Richtung und heißen Amazon, Google, IBM, Microsoft etc. Wir müssen in Deutschland darauf achten, das klassische IT-Knowhow stärker in den klassischen Maschinen- und Anlagenbau einzubringen. Natürlich könnten wir auch damit punkten, Systeme zu bauen, die nicht nur autonom, sondern eben auch zuverlässig und sicher sind. Das spiegelt allerdings nur meinen persönlichen Blickwinkel wieder. Jeder sollte sich seine eigene Meinung bilden.

Einen Betrag werden hierzu die Erfurter Tage im März von VDE/DKE leisten, die unter dem Motto "Funktionale Sicherheit für die Zukunft" stehen. Dort kann sich jeder ein besseres Bild von der Situation hierzulande machen, wenn die entsprechenden Experten referieren und sich mit den Fachleuten aus dem Auditorium austauschen.

Redaktioneller Hinweis:

Die im Text aufgeführten Normen können Sie beim VDE VERLAG erwerben.

Zum VDE VERLAG

Wir bedanken uns für dieses Interview bei

Michael Kieviet

Michael Kieviet

Geschäftsführer, innotec GmbH

Michael Kieviet

Geschäftsführer, innotec GmbH

Normungsengagement:

  • DKE/AK 226.0.11 – Sichere Geber
  • DKE/AK 801.0.8 – Spezifikation und Entwurf autonomer / kognitiver Systeme
  • DKE/GK 914 – Funktionale Sicherheit elektrischer, elektronischer und programmierbarer elektronischer Systeme (E, E, PES) zum Schutz von Personen und Umwelt
  • DKE/AK 914.0.6 – Zusammenarbeit ITEI / Zuverlässigkeit
  • DKE/GAK 914.0.3 – Sichere Software
  • DKE/UK 914.1 – Profile für funktional sichere Kommunikationssysteme
  • IEC/SC 65A WG 18 – Functional safety of IACS in defence applications
Holger Lange

Holger Lange

Referent / Senior Specialist für Funktionale Sicherheit und Engineering in der Prozesstechnik, VDE|DKE

Holger Lange

Referent / Senior Specialist für Funktionale Sicherheit und Engineering in der Prozesstechnik, VDE|DKE

Relevante News und Hinweise zu Normen