Startseite > Automotive > Passt KI zum Thema »funktionale Sicherheit«?

Automotive-Markt

Passt KI zum Thema »funktionale Sicherheit«?

16. November 2022, 8:30 Uhr | Iris Stroh

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

NXP Semiconductors

Ob KI und funktionale Sicherheit zusammenpassen, beantwortet Franck Galtie, Functional Safety Director von NXP Semiconductors, zunächst ganz generell und erklärt, dass funktionale Sicherheit in jedem Bereich zum Tragen kommt, in dem die Gefahr besteht, dass Menschen oder ihre Umgebung zu Schaden kommen. Übernimmt die KI also Aufgaben wie zum Beispiel eine Entscheidung treffen oder auf Daten reagieren, die den Menschen betreffen können, dann muss natürlich auch die funktionale Sicherheit auf die KI angewandt werden. Galtie weiter: »Eine neue Norm ISO 8800 zu diesem Thema im Automobilbereich ist in Vorbereitung.«

Streng genommen könnten dieselben Techniken, die in klassischen Prozessoren verwendet werden, auch in KI-Beschleunigern eingesetzt werden. Aber auch er erteilt dem Lockstep-Ansatz eine Abfuhr; zu hohe Kosten und zu hohe Komplexität sind die Gründe. »Wir würden gerne die intrinsische Robustheit von KI-Lösungen untersuchen, um einfachere Ansätze zu rechtfertigen, aber das ist noch ein Forschungsthema«, so Galtie weiter.

Auf die Frage, ob Hardware-Hersteller irgendwelche Besonderheiten bei der ISO-26262-konformen Entwicklung von KI-Beschleunigern beachten müssen oder ob sich hier für die Hardware-Hersteller im Vergleich zu Standard-Prozessoren nichts ändert, beantwortet Galtie zweigeteilt. Seine formale Antwort lautet: »ISO 26262 hält in ihrer Einleitung fest, dass KI nicht in den Anwendungsbereich fällt.« Seine weniger formale Antwort wiederum lautet: »Ja, wir können die gleichen Maßnahmen ergreifen wie bisher, aber zusätzliche Elemente wie beispielsweise Plausibilitätsprüfungen könnten der Hardware hinzugefügt werden, um das richtige Verhalten sicherzustellen.« Wobei er noch hinzufügt, dass man sich auch überlegen muss, inwieweit beispielsweise nach der Umwandlung des Modells in Festkomma-Algebra sichergestellt werden kann, dass die Darstellung des Modells im Beschleuniger so weit wie möglich mit dem theoretischen Modell übereinstimmt, ohne dass ein Neutraining erforderlich ist.

Galtie weiter: »ISO 26262, 3. Ausgabe wird derzeit überarbeitet, wobei diese Fragen angesprochen werden. Ich bin mir nicht sicher, ob es bisher bereits einen Konsens gibt, aber immer wiederkehrende Themen sind Erklärbarkeit, Fehlerinjektion für Beschleuniger, Interpretierbarkeit und Trainingsmanagement.« Und abschließend: »Wir haben einen Doktoranden beschäftigt, der an der Fehlerinjektion von KI-Beschleunigern arbeitet. Das Ziel dieser Arbeit ist es, die Auswirkungen von Fehlern in KI-Systemen zu verstehen und robuste Architekturen vorzuschlagen, die nicht immer auf Lockstep basieren.«

Renesas Electronics

Auch Bartt Richards, Principal Engineer im Automotive Functional Safety Department von Renesas Electronics, erklärt ähnlich wie Overby: »Funktionale Sicherheit ist ein eindeutiges Anliegen, und es ist nicht nur die Einhaltung von ISO 26262 erforderlich, sondern auch die Einhaltung anderer Sicherheitsnormen wie ISO 21448 (SOTIF) notwendig. Darüber hinaus gibt es weitere neue Normen, die eingeführt werden, um die spezifischen Probleme im Zusammenhang mit KI zu verstehen und zu lösen.«
In Hinblick auf eine Lockstep-Implementierung widerspricht er seinen Kollegen; sie ist seiner Meinung nach für KI-Prozessoren durchaus machbar. Das Problem bei KI sei jedoch, dass Redundanz allein nicht ausreicht, um funktionale Sicherheit zu erreichen, insbesondere unter Berücksichtigung von SOTIF-Belangen (d. h. sicherer Betrieb, wenn kein Fehler vorhanden ist). Richards weiter: »Ein Hauptanliegen ist die Sicherheit der Anwendungssoftware und ob sie gemäß ASIL D entwickelt, trainiert, verifiziert und validiert werden kann.«

Auch ASIL D ist seiner Meinung nach zumindest für den KI-Beschleuniger kein Problem, denn die Entwicklung kann genauso gemäß dem von ISO 26262 geforderten Entwicklungsprozess folgen wie bei anderen Prozessoren auch. Auch klassische Maßnahmen zur Erkennung zufälliger Hardwarefehler (wie Tests, Informationsredundanz, Hardware-Redundanz) ließen sich problemlos nutzen. Richards: »Low-Level-SW-Treiber können ebenfalls gemäß ISO 26262 ASIL D entwickelt werden. Die Hauptschwierigkeit liegt in der Sicherheit der Anwendungs-Software und der vorgesehenen Funktionalität.« Für die Software auf höherer Ebene sei der in ISO 26262 definierte Lebenszyklus aufgrund des Ansatzes des »Lernens am Beispiel«, der zum Trainieren der KI verwendet wird, nicht mehr geeignet. Daher werden derzeit neue Normen geschaffen.

Die Idee von funktionaler Sicherheit muss neu überdacht werden

Prof. Hans Dermot Doran weist zum Schluss noch auf einen anderen Punkt hin: KI ist eine Technologie, mit der Leistungen erzielt werden können, die herkömmliche Automatisierungstechnologien nicht erreichen können, nämlich Autonomie. Doran abschließend: »Autonome, empfindungsfähige Wesen wie Menschen versagen häufig. In den höchsten Kreisen der Autonomieexperten wird seit Langem anerkannt und diskutiert, dass eine getreue technische Nachbildung der Autonomie auch die Nachbildung der Fehlbarkeit einschließt, was wiederum ein neues Verständnis unserer Interaktionen mit der Technologie erforderlich macht, einschließlich unseres Verständnisses von funktionaler Sicherheit. Wir sehen diesen Wandel bereits in den Ansätzen der Sicherheitsnormungsgruppen für die Robotik.«

Elma Electronic Halle B3, Stand 361

N&H Technology Halle A2, Stand 369

Rafi Halle A2, Stand 341

Georg Schlegel Halle A2, Stand 550

Schurter Halle B5, Stand 201