Sicherheitskritische Embedded-Systeme

Ist funktionale Sicherheit mit Edge AI noch gewährleistet?

15. Juli 2026, 15:00 Uhr | Eranyan Ravanan, Hitex / ak
Bild 1. Edge-KI unterstützt Milliarden von Devices an der Edge.
Bild 1. Edge-KI unterstützt Milliarden von Devices an der Edge.
© Hitex

Die Integration von Edge AI in Safety-kritische Embedded-Systeme verspricht intelligentere Entscheidungen in Echtzeit, weniger Latenz und weniger Abhängigkeit von Cloud-Infrastrukturen. Für das Spannungsfeld zwischen diesen Aspekten und den Safety-Anforderungen hat Hitex einen Lösungsweg entwickelt.

Diesen Artikel anhören

Klassische funktionale Sicherheit nach ISO 26262 und IEC 61508 beruht auf einem deterministischen Systemmodell: Eingaben erzeugen definierte, reproduzierbare Ausgaben. Safety Integrity Levels (ASIL bzw. SIL) werden auf Grundlage vollständiger Risikoanalysen vergeben. Fehlermodelle, Testabdeckung und Verifikationsmethoden setzen voraus, dass das System prinzipiell vollständig analysierbar ist. Neuronale Netze dagegen erzeugen Entscheidungen durch Gewichtungen, die im Training über Millionen von Datenpunkten optimiert wurden. Dieser Black-Box-Charakter kollidiert direkt mit dem Nachweisbarkeitsgebot der Sicherheitsstandards. Hinzu kommt das Out-of-Distribution-Problem: Ein Netz, das beispielsweise nie »mit Eis auf der Fahrbahn« trainiert wurde, kann mit hoher Wahrscheinlichkeit falsch liegen – ohne dass der Fehler sichtbar wird.

Bild 2. Benchmark-Vergleich mit und ohne Guardian-Bibliothek.

Bild 2. Benchmark-Vergleich mit und ohne Guardian-Bibliothek.

© Hitex

Hitex‘ strukturierter Ansatz: Drei technische Säulen

Hitex hat auf Basis der Aurix-TC3xx- und Aurix-TC4xx-Mikrocontroller von Infineon sowie Arm-basierter Plattformen (wie z.B. PSOC Edge E84) ein Architekturkonzept entwickelt, das auf drei komplementären Säulen beruht.

Im Folgenden wird das Konzept am Beispiel des Aurix TC4xx dargestellt.

1. Strikte Systempartitionierung

Die Aurix-TC4xx-Plattform bietet Hardware-Sicherheitsmodule (HSM) und unabhängige Lockstep-Kerne, die eine strikte räumliche und zeitliche Trennung des Sicherheitspfades vom KI-Inferenzpfad erzwingen – ohne unkontrollierten gemeinsamen Speicherzugriff, ohne zeitliche Interferenz. Dieser Ansatz ermöglicht es, für den deterministischen Sicherheitspfad ein vollständiges ASIL-Argument nach ISO 26262 zu führen, während die KI-Komponente als Quality-Management-Element (QM) ohne eigene ASIL-Einstufung geführt wird – weil die Sicherheitsfunktion vom Guardian gewährleistet wird.

Bild 3. Messbare Verbesserungen durch die Hitex-Guardian-Bibliothek gegenüber unüberwachter KI-Inferenz.

Bild 3. Messbare Verbesserungen durch die Hitex-Guardian-Bibliothek gegenüber unüberwachter KI-Inferenz.

© Hitex

2. Der deterministische Guardian

Der Guardian ist eine leichtgewichtige, vollständig deterministisch implementierte Software-Schicht, die jede Ausgabe des neuronalen Netzes in Echtzeit überwacht. Er führt vier definierte Prüfungen durch:

Bereichsvalidierung: Stellt sicher, dass alle Ausgabewerte innerhalb physikalisch und funktional plausibler Grenzen liegen.

Zuverlässigkeitsprüfung: Erkennt Fälle, in denen das Modell eine Entscheidung mit unzureichender Sicherheit trifft, und verhindert deren unkontrollierte Weitergabe.

Zeitliche Konsistenzprüfung: Überwacht, ob aufeinanderfolgende Ausgaben des Modells plausibel und widerspruchsfrei sind.

Fail-Safe-Ausgabebehandlung: Leitet im Fehlerfall automatisch einen definierten, sicheren Systemzustand ein. Bei Verletzung einer Bedingung aktiviert er einen validierten Rückfallzustand.

Bild 4. Reduzierte Abbildung des Referenz-Produktlebenszyklus für KI-basierte Straßenfahrzeuge nach ISO 26262 sowie mögliche Wechselwirkungen mit ISO 21448 und ISO/PAS 8800.

Bild 4. Reduzierte Abbildung des Referenz-Produktlebenszyklus für KI-basierte Straßenfahrzeuge nach ISO 26262 sowie mögliche Wechselwirkungen mit ISO 21448 und ISO/PAS 8800.

© Shanza Ali Zafar, Jessica Kelly, Nuria Mata, Fraunhofer IKS Munich, Germany; https://publica-rest.fraunhofer.de/server/api/core/bitstreams/885e75e6-822b-4337-a4b7-e233a5dcc421/content

3. Hardware-Diagnostik für PPU-Beschleuniger

Im Aurix TC4xx übernimmt die Parallel Processing Unit (PPU) die rechenintensive Ausführung neuronaler Netze. Als dedizierter KI-Hardwarebeschleuniger ist sie speziell für die Inferenz komplexer Modelle ausgelegt. Um auch die Ausführungsplattform selbst auf das angestrebte ASIL-Level zu heben, setzt Hitex auf systematische Selbsttests. Dazu zählen Speichertest-Routinen für RAM und Flash-Speicher mittels MBIST (Memory Built-In Self-Test), der Abgleich paralleler Berechnungsergebnisse zwischen redundanten Lockstep-Kernen sowie Plausibilitätstests mit vordefinierten Referenzeingaben, deren erwartete Ausgaben zur Laufzeit als Referenzkriterium dienen.

Bild 5. Praxisbeweis: Demonstratoren im PSOC Edge E84 - Hitex hat die beschriebene Architektur in drei konkreten Anwendungsdemos implementiert (mAP = Mean Average Precision).

Bild 5. Praxisbeweis: Demonstratoren im PSOC Edge E84 - Hitex hat die beschriebene Architektur in drei konkreten Anwendungsdemos implementiert (mAP = Mean Average Precision).

© Hitex

Messbarer Beweis: Guardian-Performance im Benchmark

Zur Validierung des Guardian-Konzepts wurden Benchmark-Tests auf dem Aurix TC4xx durchgeführt. Die Ergebnisse zeigen, dass der Guardian-Overhead die Erkennungsgenauigkeit des neuronalen Netzes nicht beeinflusst. Der Mean-Average-Precision-Wert (mAP), eine etablierte Kennzahl zur Bewertung der Modellgenauigkeit in der Objekterkennung, bleibt mit und ohne aktiven Guardian konstant bei 88 Prozent. Gleichzeitig werden kritische Fehlerarten gegenüber der unüberwachten Inferenz deutlich reduziert (Bild 3). Der Latenzmehraufwand des Guardian beträgt lediglich 1,8 ms.

Die entwickelte Guardian-Bibliothek ist plattformunabhängig konzipiert. Sie lässt sich in weitere Infineon-Mikrocontroller portieren, darunter die Mitglieder der Traveo-T2G- und der PSOC-Familie, und deckt damit ein breites Spektrum industrieller und automobiler Edge-AI-Anwendungen ab.

Bild 6. Bewährte Risk-Mitigation-Strategien.

Bild 6. Bewährte Risk-Mitigation-Strategien.

© Hitex

Normative Einbettung: Von ISO 26262 zu ISO PAS 8800

Die Guardian-Architektur von Hitex folgt der etablierten Normenhierarchie: ISO 26262 für den deterministischen Sicherheitspfad, ISO PAS 8800 und SOTIF (ISO 21448) für KI-spezifische Anforderungen auf Subsystem-Ebene. Für industrielle Anwendungen gilt das analoge Vorgehen nach IEC 61508.

Die ISO/PAS 8800 definiert einen iterativen KI-Sicherheitslebenszyklus, der konzeptuell auf ISO 26262 aufbaut. Die Gefährdungsanalyse und Risikobeurteilung (HARA, Hazard Analysis and Risk Assessment), das funktionale Sicherheitskonzept und das technische Sicherheitskonzept werden dabei mit KI-spezifischen Aktivitäten angereichert: Datenlebenszyklusmanagement, Learning Assurance, Verifikation und Validierung (V&V) für KI-Komponenten sowie kontinuierliche Sicherheitsbestätigung im Betrieb. Die Abbildung (Bild 4) zeigt, wie alle drei Standards in einem kohärenten Entwicklungsprozess zusammenwirken.

Eranyan Ravanan

Eranyan Ravanan ist Business Development Manager bei Hitex in Karlsruhe und hat langjährige Erfahrung in den Bereichen KI-gesteuerte Automatisierung, Firmware- und Treiberentwicklung für Mikrocontroller sowie funktionale Sicherheit und Cybersicherheit für Automobilanwendungen. Mit seinem Fokus auf eingebettete Systeme und Echtzeit-Kommunikation unterstützt er Kunden aus der Automobilbranche und der Industrie bei der Integration innovativer Lösungen in sicherheitskritische Systeme.

© Hitex

Ausblick: Zertifizierbare KI-basierte Autonomie

Die Guardian-Architektur von Hitex zeigt einen praktikablen Weg: nicht durch den Versuch, das neuronale Netz selbst zu formalisieren, sondern durch einen Architekturentwurf, der den Black-Box-Charakter der KI überwacht und in definierten Fehlerfällen sicher abfängt. Der Aurix TC4xx bietet eine Hardwareplattform, auf der hohe Rechenleistung und strenge funktionale Sicherheitsanforderungen kein Widerspruch sind. Lockstep-Kerne, Speicherschutz und Hardware-Sicherheitsmodule stellen dabei die notwendigen Sicherheitsmechanismen bereit.

Mit ISO/PAS 8800, SOTIF und ISO 26262 konsolidiert sich das normative Regelwerk für eine systematische Zertifizierbarkeit. Was gebraucht wird, sind skalierbare Implementierungsansätze und validierte Bibliotheken, die das Sicherheitsniveau halten, ohne die Innovationsgeschwindigkeit zu drosseln.

passend zum Thema


Lesen Sie mehr zum Thema