Internationales Verkehrswesen (71) 1 | 2019 52 TECHNOLOGIE Automatisierung Integrierter Entwurf sicherer Fahrzeugsysteme Plädoyer für ein ganzheitliches Sicherheitsverständnis für-Fahrerassistenz und Fahrzeugautomation Funktionale Sicherheit, Cybersecurity, Gebrauchssicherheit, Sicherheit, Safety of the intended functionality (SOTIF), Fahrzeugautomation Fahrerassistenzsysteme unterstützen uns bereits heute bei der Wahrnehmung der Fahraufgabe. In den nächsten Jahren werden sicherheitsrelevante elektronische Steuerungssysteme den Fahrer noch weitergehend unterstützen bis hin zu einer teilweisen oder gar vollständigen Übernahme der Fahraufgabe. Die Komplexität der für die Lösung dieser Automatisierungsaufgabe erforderlichen Komponenten und Systeme steigt. Der Schlüssel zur Beherrschung der Komplexität ist ein ganzheitliches Systems Engineering, welches die Funktionale Sicherheit, die Angriffssicherheit und die Gebrauchssicherheit integriert. Lars Schnieder, René S. Hosse F ahrerassistenzsysteme haben sich in den letzten Jahren stetig fortentwickelt. Sie unterstützen die Fahrer bei der Fahraufgabe und übernehmen heute in ausgewählten Fahrszenarien die Querund/ oder Längsführung des Fahrzeugs. Die Automobilindustrie ergänzt sukzessive den Funktionsumfang der Fahrzeugautomation sowie weitere Szenarien. Die Einführung des hochautomatisierten Fahrens (HAF) für ausgewählte Infrastrukturumgebungen steht kurz bevor. Bei der Systemeinführung stellt sich die Frage, inwieweit die zahlreichen an ein Automationssystem gestellten Anforderungen nachweislich in Einklang gebracht werden können. Es stellt sich auch die Frage des Maßstabes für die Zulassung [1]. Für risikoorientierte Entscheidungen in Zulassungsprozessen bestehen zwei grundsätzliche im Recht etablierte Ansätze (vgl. Bild 1): • Zulassungsmaßstab mindestens gleicher Sicherheit: Die vom Bundesministerium für Verkehr und Digitale Infrastruktur eingesetzte Ethikkommission für das automatisierte und vernetzte Fahren stellt in ihrem Abschlussbericht fest, dass die „Zulassung von automatisierten Systemen [nur vertretbar ist], wenn sie im Vergleich zu menschlichen Fahrleistungen zumindest eine Verminderung von Schäden im Sinne einer positiven Risikobilanz verspricht“ (vgl. [2]). • Zulassungsmaßstab technischer Regelwerke: Der Gesetzgeber bezieht sich mit Generalklauseln auf technische Regeln privater Regelsetzer (u. a. Normungsorganisationen) (vgl. [3]). Die Rechtsprechung (vgl. [4]) bestimmt, dass zum Zeitpunkt des Inverkehrbringens des Produkts nach dem Stand der Wissenschaft und Technik mögliche Sicherungsmaßnahmen durchgeführt werden müssen. Der Stand von Wissenschaft und Technik ist „der Entwicklungsstand fortschrittlichster Verfahren […], die nach Auffassung führender Fachleute aus Wissenschaft und Technik auf der Grundlage neuester wissenschaftlich vertretbarer Erkenntnisse […] das Erreichen [des gesetzlich vorgegebenen Ziels als] gesichert erscheinen lassen“ (vgl. [3]). Dieser Beitrag zeigt anhand der in Bild 1 als Maßstab des rechtlich Gebotenen referenzierten Normen und Standards auf, wie verschiedene Aspekte für eine rechtssichere Zulassung hochautomatisierter Fahrzeugsysteme zukünftig integriert zu betrachten sind. Entwicklung funktional sicherer elektronischer Steuerungssysteme (ISO 26262) Ausgangspunkt der Gestaltung funktional sicherer Fahrzeugsysteme ist die Gefährdungsidentifikation und Risikobeurteilung (Hazard Analysis and Risk Assessment, HARA). Hierbei werden auf der Grundlage einer Systembeschreibung (Item Definition nach ISO 26262, vgl. [5]) die in verschiedenen Anwendungskontexten bestehenden Gefährdungen strukturiert abgeleitet (vgl. [6]) und hinsichtlich dreier Kriterien bewertet: Bild 1: Maßstäbe des rechtlich Gebotenen in Zulassungsentscheidungen Internationales Verkehrswesen (71) 1 | 2019 53 Automatisierung TECHNOLOGIE • Auftretenswahrscheinlichkeit der Situation/ Häufigkeit der Situation: Auf der Grundlage allgemein verfügbarer Statistiken erfolgt eine Einschätzung, wie oft eine Fehlfunktion im Betrieb auftreten können. So handelt es sich beispielsweise bei der Lenkung um eine kontinuierlich vom Fahrer zu erbringende Funktion mit einer entsprechend hohen Bewertung dieses Parameters. • Schweregrad eines möglichen Schadensereignisses: Dieser Parameter betrachtet den Schweregrad eines möglichen Schadens. Hierbei kann auf umfangreiche Statistiken (Statistisches Bundesamt bzw. Unfallstatistiken wie „German In-Depth Accident Study“, GIDAS) zurückgegriffen werden. So führt beispielsweise ein Versagen der Lenkfunktion auf Autobahnen zu potenziell tödlichen Unfällen (vgl. [7]). • Kontrollierbarkeit: Dieser Parameter bewertet die Möglichkeit des Fahrers, trotz Versagens einer technischen Schutzfunktion sicherheitsgerichtet zu reagieren und das Fahrzeug bei einer eintretenden Fehlfunktion zu beherrschen. So ist beispielsweise das Versagen der Lenkung auf der Autobahn bei hohen Geschwindigkeiten nicht mehr durch den Fahrer zu beherrschen und führt fast zwangsläufig zu schweren Unfällen. Auf der Grundlage der HARA wird ein Automotive Safety Integrity Level abgeleitet (ASIL, vgl. Darstellung in Bild 2). Der ASIL ist ein Maß für die erforderliche Risikoreduktion durch die Vermeidung systematischer Fehler und zufälliger Ausfälle. Es schließen sich eine strukturierte Gefährdungsbeherrschung durch ein Funktionales Sicherheitskonzept, ein hieraus abgeleitetes Technisches Sicherheitskonzept, eine nachfolgende Systemimplementierung in Hard- und Software, Integrations-, Test- und Nachweisaktivitäten auf Subsystem- und Systemebene sowie eine abschließende unabhängige gutachterliche Bewertung an. Humanzentrierte Automation komplexer Verkehrsszenarien (ISO-DPAS 21448) Der Gesetzgeber hat durch die Anpassung des Straßenverkehrsgesetzes den Rechtsrahmen für die zunehmende Fahrzeugautomation geschaffen (vgl. §1b StVG zu Rechten und Pflichten des Fahrzeugführers bei Nutzung hoch- oder vollautomatisierter Fahrfunktionen [1]). Der Fahrzeugführer darf sich während der Fahrzeugführung mittels hoch- oder vollautomatisierter Fahrfunktionen vom Verkehrsgeschehen und der Fahrzeugsteuerung abwenden. Allerdings muss er wahrnehmungsbereit bleiben. Dies verdeutlicht, dass Funktionale Sicherheit allein für komplexe Mensch-Maschine-Systeme zu kurz greift. Diese Lücke schließt das Konzept der Gebrauchssicherheit (Safety of the intended functionality, SOTIF, vgl. [8]). Auf Basis einer Gefährdungsidentifikation und Risikobewertung wird auch hier eine strukturierte Gefährdungsbeherrschung durchgeführt. Hierbei werden gezielt die folgenden Maßnahmen ergriffen: • Eingrenzung der bestimmungsgemäßen Verwendung: Automobilhersteller definieren die konkreten Anwendungsgebiete der entwickelten automatisierungstechnischen Komponente (vgl. Bild 3). Die bestimmungsgemäße Verwendung ist in der Betriebsanleitung dokumentiert. Hierbei wird die Zulässigkeit der Verwendung einer Fahrzeugautomatisierungsfunktion in bestimmten Anwendungsfeldern (vgl. hierzu [6]) erklärt. Wird ein Anwendungsfeld nicht beherrscht, wird dieses bewusst abgegrenzt und dem Nutzer über die Betriebsanleitung zur Kenntnis gebracht. • Strukturierte Betrachtung der vernünftigerweise vorhersehbaren Fehlanwendung: Die Verwendung eines Fahrzeugs in einer laut Betriebsanleitung nicht beabsichtigten Weise ist eine vorhersehbare Fehlanwendung. Die Fahrzeugautomation ist vom Hersteller nach Möglichkeit so zu entwerfen, dass eine nicht bestimmungsgemäße Verwendung verhindert wird. Hierfür werden Fehlgebrauchsszenarien durch leitwortbasierte Methoden (vgl. [8]) systematisch erfasst und einer Gefährdungsbeherrschung zugeführt. • Rückgabe der Verantwortung für die Fahraufgabe an den Fahrer: Die automatisierungstechnische Komponente muss so ausgestaltet werden, dass der Fahrer mit einer ausreichenden Zeitreserve auf die bevorstehende Übernahme der Verantwortung für die Fahraufgabe hingewiesen wird. Hierbei müssen in der Interaktionsgestaltung optische, akustische, taktile oder sonst wahrnehmbare Hinweisen geeignet kombiniert werden. • Systemgestaltung durch Verbesserung der Sensorik, Regelfunktionen und Aktorik: Die automatisierungstechnische Funktion ist ein Regelkreis. Ziel ist eine in allen Umweltbedingungen robuste Regelfunktion. Aus diesem Grund wird der Regelkreis selbst zum Gegenstand einer umfassenden Fehlerbetrachtung. Gleichzeitig werden die Einflüsse verschiedener Fehlermodi von Sensoren, Regelfunktion und Aktoren bewertet. Dieser regelwerksorientierten Vorgehensweise zur strukturierten Risikoreduktion steht eine auf Verkehrsunfallstatistiken beruhende Bestimmung des Validierungsziels gegenüber. Unter Berücksichtigung tatsächlich beobachteter Unfallzahlen und weiterer statistischer Werte wie bspw. die Jahresfahrleistung werden in einer risikoorientierten Betrachtung unter Berücksichtigung eines Sicherheitszuschlags Zielgrößen der für die Absicherung des zu entwickelnden Systems zu erbringenden Fahrleistung in Realtests abgeleitet. Hierbei ist es das Ziel, den quantitativen Nachweis „mindestens gleicher Sicherheit“ zu erbringen. Verhinderung der Kompromittierung der Schutzfunktionen (SAE-J-3061) Ein funktionierender Verkehr ist für unsere Gesellschaft essentiell. Verkehr ist eine „kritische Dienstleistung“. Zum Schutz der Verkehrsinfrastrukturen gegen unberechtigte Zugriffe Dritter bestehen umfassende Regelungen zum „Schutz Kritischer Infrastrukturen“ auf nationaler (vgl. [9]) und europäischer Ebene (vgl. [10]). Das vernetzte Fahrzeug ist in die verkehrstechnische „kritische“ Infrastruktur eingebettet. Dem Ansatz einer tiefgestaffelten Verteidigung (englisch: Defense in Depth) folgend, ist das Fahrzeug auf mehreren Verteidigungslinien gegen unberechtigte Angriffe von außen abzusichern. Dies ist Inhalt des Standards SAE J 3061 [11]. Es stellt sich auch hier analog zur Vorgehensweise der Funktionalen Sicherheit die Frage nach einem angemessenen Schutzniveau gegen unberechtigten Bild 2: Vorgehensmodell der Gefährdungsidentifikation und Risikobewertung in Anlehnung an [6] Internationales Verkehrswesen (71) 1 | 2019 54 TECHNOLOGIE Automatisierung Zugriff Dritter. Insofern steht in Analogie zur HARA der Funktionalen Sicherheit eine Bedrohungsidentifikation und Risikobewertung (Threat Analysis and Risk Assessment, TARA) am Anfang [12]. Die Ergebnisse der TARA bestimmen wesentlich die Entwurfsaktivitäten. Dies umfasst drei Schritte: • Bedrohungsidentifikation: Für den Anwendungsfall werden Bedrohungen identifiziert. Dies bezieht als kreativer Prozess mehrere Personen mit ein. Hierfür sind ebenfalls leitwortbasierte Methoden (vgl. [13]) sinnvoll. Beispielsweise bildet die Methode STRIDE Bedrohungen (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) auf Security-Attribute (Authenticity, Freshness, Integrity, Non- Repudiation, Confidentiality, Privacy, Availability, Authorization) ab. Jede Bedrohungskategorie ist einem Security- Attribut zugeordnet. Hierdurch wird jeder identifizierten Bedrohung eine Cybersecurity-Anforderung zugeordnet. • Risikobewertung: Die Risikobewertung verknüpft die Wahrscheinlichkeit eines Schadens durch unberechtigte Zugriffe Dritter mit dem Schweregrad des möglichen Schadens. Die Wahrscheinlichkeit wird durch das für einen erfolgreichen Angriff beim Angreifer vorhandene Fachwissen, das beim Angreifer vorhandene relevante Systemwissen, die für die Identifikation und das Ausnutzen einer Schwachstelle erforderliche Ausrüstung sowie die konkreten Zugriffsmöglichkeiten (engl. „Window of opportunity“ als zeitlich begrenzten oder unbegrenzten Zugriffsmöglichkeit) bestimmt. Der Schweregrad eines möglichen Schadens durch einen unberechtigten Zugriff berücksichtigt neben der Auswirkung auf die Funktionale Sicherheit (bewertet durch die drei Kriterien der HARA) möglicherweise auch finanzielle Auswirkungen (Verlust von Marktanteilen, Schadenersatzforderungen, Geldbußen), Komfort- und Verfügbarkeitseinschränkungen für den Nutzer und den Verlust der Vertraulichkeit (Verstoß gegen datenschutzrechtliche Bestimmungen). • Ableitung eines angemessenen Schutzniveaus: Der Schweregrad und die Wahrscheinlichkeit werden in einer Risikomatrix miteinander verknüpft. Aus dieser Verschränkung resultieren Schutzgrade zur Erreichung eines angemessenen Schutzniveaus (Begrenzung von Schwere und Häufigkeit eines aus einer Bedrohung resultierenden Schadens). Auf dieser Grundlage werden Maßnahmen zur Erreichung eines angemessenen Schutzniveaus ausgewählt. Diese Vorgehensweise erfolgt in Anlehnung an die bereits in anderen Industrien etablierte Praxis (vgl. [14]). Resultierende Herausforderungen in der Entwicklung sicherer elektronischer Steuerungssysteme für Kraftfahrzeuge Die verschiedenen zuvor dargestellten Herausforderungen müssen von den Automobilherstellern und -zulieferern zu einem aufeinander abgestimmt zusammenwirkenden Prozessgebäude zusammengefügt werden. Dies birgt im Detail die folgenden Herausforderungen: Co-Engineering der einzelnen Entwurfsaspekte Die drei Entwurfsaspekte sicherer elektronischer Steuerungssysteme für Kraftfahrzeuge weisen enge Anknüpfungspunkte zueinander auf. Hierbei bestehen sowohl Analogien als auch relevante Unterschiede. Es sind also in der Bearbeitung dieser Aspekte Synergien zu identifizieren. Hierbei müssen die Unternehmen jeweils auf ihre Bedürfnisse zugeschnittene Prozesse definieren, die sich zwischen den folgenden Extremen bewegen: • Definition separater Prozesse für die einzelnen Entwurfsaspekte mit hieraus erwachsenden Problemen in der Synchronisierung insbesondere der Anforderungen und Lösungskonzepte. • Definition eines integrierten Prozesses für die einzelnen Entwurfsaspekte mit hieraus erwachsenden Problemen der Verfügbarkeit von Ressourcen für die jeweils gleichzeitige Bearbeitung der speziellen Entwurfsaspekte. Lebenszyklusorientierung der Entwurfsaspekte Die Betrachtung aller drei Entwurfsaspekte endet nicht mit dem „Start of Production“ (SOP). Die Funktionale Sicherheit erfordert einen strukturierten Rückfluss von Erfahrungen aus Produktion und Betrieb in die Systementwicklung. Gleichfalls zeichnet sich auch für das Hochautomatisierte Fahren ab, dass auch nach Produktionsstart die zum Zeitpunkt der Zulassung gültigen Prämissen kontinuierlich hinterfragt werden müssen. Im Falle so genannter „Produktsicherheitsmängel“ müssen konsequent kor- Bild 3: Charakterisierung der bestimmungsgemäßen Verwendung durch die Bestimmung des Anwendungskontexts nach [6] Internationales Verkehrswesen (71) 1 | 2019 55 Automatisierung TECHNOLOGIE rektive Maßnahmen definiert und umgesetzt werden. Auch das IT-Sicherheitsgesetz legt den Herstellern im Falle erkannter Cybersecurity- Vorfälle eine Pflicht zur Mitwirkung an der Behebung der Ursachen auf. Insofern müssen alle drei Entwurfsaspekte die späteren Lebenszyklusphasen mit berücksichtigen. Es muss für alle drei Entwurfsaspekte einen klar definierten Prozess geben samt Kommunikationspfaden, über die ein auf die verschiedenen Entwurfsaspekte bezogenes sicherheitsrelevantes Vorkommnis gemeldet werden kann. Es sollte für die Beteiligten (Fahrer, Aufsichtsbehörde) klar und einfach beschrieben sein, wie man bei der Meldung eines Vorkommnisses an den Hersteller vorgeht. ■ LITERATUR  [1] Straßenverkehrsgesetz in der Fassung der Bekanntmachung vom 5. März 2003 (BGBl. I S. 310, 919), das zuletzt durch Artikel 6 des Gesetzes vom 17. August 2017 (BGBl. I S. 3202) geändert worden ist  [2] Abschlussbericht Ethikkommission Vernetztes und Automatisches Fahren  [3] Bundesministerium der Justiz: Bekanntmachung des Handbuchs der Rechtsförmlichkeit. 22. September 2008. Bundesanzeiger Jahrgang 60, Ausgabe 160a  [4] Zur Haftung eines Fahrzeugherstellers für die Fehlauslösung von Airbags. BGH, Urteil vom 16. Juni 2009 - VI ZR 107/ 0  [5] ISO 26262: 2011: Road vehicles - Functional safety  [6] SAE J 2980: 2018-04-28: Considerations for ISO 26262 ASIL Hazard Classification  [7] VDA 702: Situationskatalog E-Parameter nach ISO 26262-3. Verband der Automobilindustrie e.V., Berlin, Juni 2015  [8] ISO/ PAS 21448: Road vehicles - Safety of the intended functionality  [9] BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist [10] Richtlinie (EU) 2016/ 1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union [11] SAE J 3061: 2016-01-14: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems [12] Schmittner, Christoph; Zhendong Ma, Carolina Reyes, Oliver Dillinger und Peter Puschner (2016): Using SAE J 3061 for automotive security requirement engineering. In SAFECOMP 2016 Workshops. LNCS 9923, Hrsg. A. Skavhaug, 157-170. Berlin: Springer [13] Jelacic, Bojan; Daniela Rosic, Imre Lendak, Mrina Stanojevic und Sebastian Stoja (2018): STRIDE to a secure smart grid in a hybrid cloud. In: CyberI CPS 2017/ SECPRE 2017, LNCS 10683, Hrsg. S.K. Katsikas, 77-90. Berlin: Springer [14] DIN IEC 62443-3-3: 2015-06; VDE 0802-3-3: 2015-06 - Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme - Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level (IEC 62443-3-3: 2013 + Cor.: 2014) Lars Schnieder, Dr.-Ing. Leiter Assessment Service Center, ESE Engineering und Software Entwicklung GmbH, Braunschweig lars.schnieder@ese.de René S. Hosse, Dipl. Wirtsch.-Ing. Lead Assessor Automotive, ESE Engineering und Software Entwicklung GmbH, Braunschweig rene.hosse@ese.de Werden Sie Aussteller! parken-messe.de Präsentieren Sie Ihre Innovationen auf dem Branchentreffpunkt in Deutschland. Fachausstellung und Fachtagung für Planung, Bau und Betrieb von Einrichtungen des ruhenden Verkehrs Wiesbaden, 05.- 06.06.2019 #PARKENexpo @PARKENexpo