Wenn ein neuronales Netz in einem Advanced Driver Assistance System (ADAS) Fußgänger erkennt: Was genau ist dann der Fehlermodus, den Ihre Failure Mode and Effects Analysis (FMEA) beschreiben soll? Und in welchem Formblatt taucht er auf? Diese Frage steht heute in vielen Entwicklungsprogrammen unbeantwortet im Raum.
Whitepaper: Wie FuSi, Cybersecurity und SOTIF KI im Fahrzeug nachweisbar machen [Download]
Machine Learning (ML) ist in der Serienproduktion angekommen. Gleichzeitig hat sich das regulatorische Umfeld verdichtet: UN R155 und R156 sind seit Juli 2024 für alle Neufahrzeuge typgenehmigungsrelevant, mit ISO/SAE 21434 als zentralem Standard zu deren Umsetzung. ASPICE 4.0 enthält eine eigene Prozessgruppe für ML-Engineering. Eine Branche, die deterministische Hardware über Jahrzehnte verlässlich abgesichert hat, soll nun probabilistische Komponenten beweisbar sicher machen.
Die klassische FMEA (Fehlermöglichkeits- und Einflussanalyse) betrachtet zufällige Hardwarefehler und systematische Softwarefehler. Für ML-Komponenten greift das zu kurz: Neuronale Netze versagen nicht wie ein Transistor. Sie liefern Ergebnisse mit einer Konfidenz, die von Trainingsverteilung, Eingabequalität und Betriebsbedingungen abhängt.
SOTIF (Safety of the Intended Functionality, ISO 21448) bringt eine zweite Argumentationsebene ins Spiel: funktionale Unzulänglichkeiten, also Risiken ohne klassischen Fehler.
Die TARA (Threat Analysis and Risk Assessment) aus der Cybersecurity-Welt ergänzt eine dritte Perspektive: gezielte Bedrohungen wie Adversarial Attacks oder Trainingsdatenmanipulation.
In vielen Entwicklungsprogrammen laufen diese drei Analysen parallel, mit unterschiedlichen Tools, separaten Reports und unverbundenen Vokabularen. Ein ML-Wahrnehmungsmodell taucht in der Safety-FMEA als Black Box auf, während die TARA für dasselbe Modell adversariale Robustheit verlangt. Beide Welten sprechen unterschiedliche Sprachen. Audit-Findings entstehen genau in diesen Brüchen.
Die Folgen der methodischen Fragmentierung zeigen sich in konkreten Projektrisiken.
Late Findings kurz vor Produktionsstart sind der teuerste Fall. Die Zehnerregel der Qualitätssicherung kennt jeder im Embedded-Umfeld: Fehler, die erst im Feld entdeckt werden, kosten ein Vielfaches im Vergleich zu solchen, die in der Designphase erkannt werden. Wenn Safety-, Security- und SOTIF-Risiken erst beim Audit zusammentreffen, wird Rework unvermeidbar.
Dazu kommt die doppelte Pflege von Risikoartefakten. Drei separate Analysen erzeugen Aufwand, ohne zusätzlichen Erkenntnisgewinn zu liefern. Was in der FMEA als „Fehlermodus“ beschrieben ist, existiert in der TARA als „Bedrohungsszenario“ und in der SOTIF-Analyse als „funktionale Unzulänglichkeit“. Die Inhalte überlappen sich, die Formate nicht.
Und der regulatorische Druck nimmt weiter zu. UN R155 und R156 sind seit Juli 2024 für alle Neufahrzeuge verpflichtend. Ab dem 2. August 2027 greifen die Hochrisiko-Anforderungen des EU AI Act für KI als Sicherheitskomponente, mit einem Strafrahmen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Wer sein Engineering-Fundament erst unter diesem Druck aufbaut, zahlt doppelt.
Sichere KI im Fahrzeug entsteht nicht durch das Ersetzen bewährter Methoden, sondern durch deren konsequente Erweiterung. Drei Bausteine bilden den Kern eines integrierten Engineering-Modells:
Entscheidend ist, diese Bausteine von Anfang an gemeinsam zu denken, nicht als nachträgliche Ergänzung kurz vor dem Assessment.
In diesem Artikel haben Sie gelesen, warum Safety-FMEA, Cybersecurity-TARA und SOTIF-Argumentation heute oft in parallelen Welten entstehen. Wie Sie diese drei Disziplinen in einem einzigen Engineering-Prozess zusammenführen und ML-Komponenten damit auditsicher machen, erfahren Sie in unserem Whitepaper „Bounded Intelligence“: mit konkreten Architekturmustern und Praxistipps.
Drei sauber gepflegte Einzelartefakte lösen das Grundproblem nicht: Die Fehlermodi überlappen sich, die Bewertungen sind nicht abgestimmt, und die Traceability endet an den Dokumentengrenzen. Eine harmonisierte FMEA schafft eine gemeinsame Bewertungsgrundlage und reduziert den Pflegeaufwand.
ISO/PAS 8800:2024 wurde im Dezember 2024 veröffentlicht und formuliert erstmals Safety-Anforderungen spezifisch für Machine Learning in Straßenfahrzeugen. Sie ergänzt ISO 26262, ersetzt sie aber nicht. ISO 26262 bleibt der übergeordnete Rahmen für funktionale Sicherheit.
UN R155 und R156 adressieren Cybersecurity und Software-Updates, decken aber die KI-spezifischen Anforderungen des EU AI Act nicht vollständig ab. Ab August 2027 kommen für Hochrisiko-KI zusätzliche Pflichten zu Risikomanagement, Datenqualität, technischer Dokumentation und Post-Market-Monitoring hinzu.
Ja. Die harmonisierte FMEA nutzt die bestehenden Prozesse und Werkzeuge, erweitert sie aber um KI-spezifische Fehlermodi, TARA-Ergebnisse und SOTIF-relevante Unzulänglichkeiten. Entscheidend ist nicht ein neues Tool, sondern ein interdisziplinärer Analyseprozess.
Vorname:
Nachname:
E-Mail-Adresse:
Telefonnummer:
Betreff:
Ihre Nachricht:
Ja, ich bin einverstanden, dass meine personenbezogenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden nur zum Zweck der Beantwortung meiner Anfragen verwendet. Die Datenschutzhinweise habe ich zur Kenntnis genommen.
Sie sehen gerade einen Platzhalterinhalt von OpenStreetMap. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.