Dimension Widerstandsfähigkeit

In der Taxonomie beschreibt die Dimension WIDERSTANDSFÄHIGKEIT das Vermögen von Systemen, trotz Störungen frei von sicherheitsrelevanten Fehlern zu agieren und etwaige sicherheitswirksame Fehlfunktionen abzuwenden oder zumindest deren Folgen abzuschwächen. Das Vermeiden von Fehlern ist unter dem Begriff Robustheit, das Vermeiden oder die Minderung von Fehlerfolgen hingegen unter dem Begriff Resilienz gefasst. Der Begriff der Robustheit spielt in der Diskussion von Systemen, die Komponenten basierend auf maschinellen Lernverfahren enthalten, eine starke Rolle. Häufig geht es dabei um die Aufgabe der Klassifikation auf der Grundlage von Bildsequenzen. Bei heutigen Verfahren können selbst geringfügige und für den Menschen unmerkliche oder vermeintlich irrelevante Änderungen im Datensatz zu Fehlklassifikationen führen. In der Forschung werden gegenwärtig Methoden entwickelt, um die Systeme gegenüber unterschiedlichen Bedingungen robuster, d.h.

fehlerärmer zu gestalten. Als Beispiel seien Methoden genannt, eine sichere Objekterkennung auch bei verrauschten Bildern oder schwachen Kontrasten zu leisten. Unter die Thematik der Robustheit fällt aber auch die Fähigkeit, mit Unbekanntem fertig zu werden. Auf die Anwendung fahrerloser Transportsysteme bezogen, zählen z.B. auch unbekannte Objekte dazu, die neu in der Fahrumgebung auftreten.

Der Begriff Robustheit wird auch in anderen Disziplinen mit der ähnlichen Konnotation der Fehlertoleranz angewandt. So werden unter „robusten Regelsystemen“

beispielsweise Regelsysteme verstanden ¹¹⁵, die auch dann in genügendem Maße operieren, wenn keine ausreichende Kenntnis zur Anpassung des Reglers an das zu regelnde System vorhanden ist. Auch in der Statistik gibt es sogenannte robuste Testverfahren, die robust (im Sinne von wenig anfällig) auf Ausreißer reagieren ¹¹⁶. Entsprechend dieses Robustheitsbegriffs beschreibt die Unterkategorie Robustheit die Widerstandsfähigkeit eines Systems gegenüber sowohl geringfügigen als auch größeren Änderungen im Einsatzumfeld. Es wird folglich die Fähigkeit des Systems adressiert, bei zumindest nicht im Detail vorhergesehenen inneren oder von außen kommenden Einflüssen dennoch ohne etwaige sicherheitswirksame Fehler zu agieren.

115 J. Ackermann: Robuste Regelung. Springer-Verlag, 1993., Abschnitt 11.4

116 Hampel, F. R., Ronchetti, E. M., Rousseeuw, P. J., & Stahel, W. A. (2011). Robust statistics: the approach based on influence functions (Vol. 196). John Wiley & Sons..

Dazu gehören nicht nur Schwankungen in den Sensordaten, sondern z. B. auch in menschlicher Bedienung.

Robustheit ist in diesem Sinne synonym zu „abfangbar“ zu verstehen. Binnen dieser Unterkategorie wird nach einem Abfangen äußerer Einflüsse (Security) und dem Abfangen innerer Abweichungen unterschieden. Bei dem Abfangen innerer Abweichungen wird wiederum zwischen der Art der abfangbaren Abweichungen von bekannten und schon bewältigten Situationen unterschieden. Werden kleine Änderungen im Input oder den Rahmenbedingungen bewältigt – wie beispielsweise eine korrekte Klassifikation von Bildern trotz Rauschen, geänderten Lichtverhältnissen, o.ä. – so wird dies in der Taxonomie als Stabilität bezeichnet. Ergänzend dazu bedarf ein robustes System der Fähigkeit, mit Unbekanntem fertig zu werden. Bei hochautomatisiertem Fahren sind dies beispielsweise ungelernte Objekte, die neu in der Welt erscheinen. Diese Fähigkeit zur Bewältigung unbekannter Situationen bzw. unvorhergesehener Ereignisse setzt voraus, die Situation als unbekannt zu erkennen und damit ein angemessenes und sicheres Systemverhalten in der gegebenen Situation zu ermöglichen; beispielsweise über ein eigeninitiiertes Abschalten, eine informierte Rückmeldung bzw. Rückübergabe an einen menschlichen Bediener oder ein konventionelles System (vgl. Beschränkungen im Rahmen der Dimension Kontrollierbarkeit, s. Abschnitt 4.2.3). Die Unterscheidung zwischen der Bewältigbarkeit von kleinen Änderungen vs. unbekannten Situationen spiegelt keinen quantitativen Unterschied wider, da kleine Änderungen nicht schlicht leichter bewältigbar sind als gänzlich unbekannte Situationen – wie es für einen Menschen wohl der Fall wäre –, sondern eine qualitativ anders beschaffene Anforderung an ein System darstellen. Folglich bedeutet eine Bewältigbarkeit unbekannter Situationen nicht zwangsläufig, dass das System hohe Stabilität im obigen Sinne zeigt.

Als dritter Aspekt ist unter der Robustheit noch die Security hinzugenommen, soweit dies Einfluss auf die Safety hat. Die Security umfasst in diesem Zusammenhang die Fähigkeit des Systems, Angriffen von außen zu widerstehen bzw. trotz Angriffen fehlerfrei (oder fehlerminimiert) zu agieren.

Im Gegensatz zur Robustheit, die auf das Vermeiden eines systemseitigen Fehlverhaltens oder von Angriffen von außen mit Auswirkungen auf die Safety zielt, beschreibt die Resilienz das Potential von Systemen, die Folgenschwere zu reduzieren – bis hin zur vollständigen Vermeidung von Folgen. Resilienz bezieht sich damit auf die Widerstandsfähigkeit gegenüber den Fehlerfolgen nach einem mehr oder weniger punktuellen Ereignis einer potentiell schädigenden Fehlfunktion (die oben beschriebene „Robustheit“ bezieht sich hingegen auf Systemeigenschaften vor dem Ereignis). Resilienz ist in diesem Sinne synonym zu „linderbar“ oder „heilbar“

aufzufassen.

Der Begriff Resilienz wird häufig auch in Zusammenhang mit der Sicherheitsforschung bei der Diskussion des Katastrophenschutzes verwendet ¹¹⁷. Allerdings ist die

117 Z. B. Fekete, A., Grinda, C., & Norf, C. (2016). Resilienz in der Risiko-und Katastrophenforschung:

Perspektiven für disziplinübergreifende Arbeitsfelder. In Multidisziplinäre Perspektiven der Resilienzforschung (S. 215-231). Springer, Wiesbaden.

Verwendung des Begriffs dort sehr uneinheitlich. Fekete et al. (ebd.) beklagen die insbesondere in Deutschland sehr uneinheitliche Verwendung des Begriffs in Zusammenhang mit Naturkatastrophen, Terrorismus, Cyber-Angriffen oder Unfällen.

Der hier vertretenen Auffassung, dass Resilienz sich auf die Folgen nach einem bedeutenden, widrigen Ereignis bezieht, kommt die Bemerkung von Scharte et al.

2016 ¹¹⁸ nahe, wenn die Autoren schreiben: „Resiliente Gesellschaften zeichnen sich dahingehend aus, dass sie die Schäden widriger Ereignisse soweit möglich minimieren“.

Maßnahmen zur Erhöhung der Resilienz wirken einerseits unmittelbar folgenmindernd beim Auftreten des Ereignisses oder bezogen auf einen Zeitraum zur Widerherstellung und Erholung oder Minimierung von negativen Langzeitfolgen. Häufig sind Maßnahmen zur Erhöhung der Resilienz passiver Natur. So sind beispielsweise in der Kraftfahrzeugtechnik bautechnische Maßnahmen wie „Knautschzone“, Air-Bag oder Sicherheitsgurt folgenmindernd und sind als „passive Sicherheit“ der Resilienz zuzuordnen. In der kollaborativen Robotik sind es Maßnahmen zur Erhöhung der Flexibilität in den Gelenken, weiche Hüllen oder dauerhaft wirksame Kraft- oder Leistungsbegrenzungen, die die Resilienz erhöhen. Auch der Einbau von Sicherheitsbauteilen ¹¹⁹ wie etwa Schutzzäunen oder NOT-HALT-Befehlsgeräten stellt eine Maßnahme zur Erhöhung der Resilienz dar.

In der Taxonomie werden bei der im Begriff „Resilienz“ abgebildeten Befähigung zur Abwendung der Folgen fehlerhaften Systemverhaltens zwei Aspekte unterschieden.

Dabei handelt es sich zum einen um die passive Wirkungsbegrenzung nach Fehlern zum Abfangen unerwünschter Folgen von Systemfehlern. Hierbei kann die Schadensbegrenzung bzw. -vermeidung in wirkungsbegrenzenden Maßnahmen wie in den obigen Beispielen am System oder in Schutzmöglichkeiten des Umfelds bestehen.

Demgegenüber steht die aktive Wirkungsminderung nach Fehlern, bei der sich die Schadensminderung oder -vermeidung aus dem Verhalten des betrachteten Systems ergibt. Als Beispiel sei der Ausfall eines von drei redundanten Steuerrechnern genannt.

Die internen Mechanismen wirken „heilend“ und verhindern sicherheitswirkende Fehler. Zu dieser Ausprägung der Unterkategorie Resilienz sind z.B. auch das aktive Überführen in einen sicheren Zustand bei einem selbstfahrenden Fahrzeug oder das aktive Ausweichen eines Roboterarms vor einem sich nähernden Menschen zu nennen, der z. B. stolpert (Fehler des Menschen).

Eine exakte Trennung beider Arten Wirkungsminderung verschwimmt in Fällen, in denen aktive Maßnahmen die passive Wirkungsbegrenzung erhöhen. Als Beispiel seien Sicherheitsassistenzfunktionen genannt, die die passive Sicherheitswirkung nach Fehler aktiv modifizieren. Ein System, dass die Steifheit einer pneumatischen elastischen Schutzhülle eines Roboterarms an den berechneten Impuls einer (nicht vermeidbaren) Kollision adaptiert, würde dazu zu zählen sein.

118 Scharte, B., & Thoma, K. (2016). Resilienz–Ingenieurwissenschaftliche Perspektive. In Multidisziplinäre Perspektiven der Resilienzforschung (pp. 123-150). Springer, Wiesbaden.

119 Maschinenrichtlinie 2006/42/EG, Artikel 2 c