Sichere Maschinen mit - oder trotz - künstlicher Intelligenz

Die Seite wird erstellt Stefan-Santiago Schütze
 
WEITER LESEN
F A C H B E I T R Ä G E MATTIUZZO/VOCK/MÖSSNER/VOß | Sichere Maschinen

Sichere Maschinen mit – oder trotz –
künstlicher Intelligenz
Die Europäische Kommission hat im April nicht nur einen Vorschlag für eine Verordnung zur
künstlichen Intelligenz vorgelegt, sondern auch einen Vorschlag für eine Verordnung über
Maschinenprodukte mit rechtlich verbindlichen Rahmenbedingungen für die Verwendung
künstlicher Intelligenz, welche die Maschinen-Richtlinie 2006/42/EG ablösen soll. Ob diese
Rahmenbedingungen vollständige, klare und verifizierbare Anforderungen dafür enthalten, in
welchen Fällen und unter welchen Voraussetzungen sicherheitsrelevante Funktionen einer
Maschine von Methoden der künstlichen Intelligenz beeinflusst oder automatisiert ausgeführt
werden dürfen, muss nun geprüft werden. Dieser Artikel will hierzu einige Hinweise und
Anregungen liefern.

                                                                      gehen, als das vor dem Inverkehrbringen im Rahmen
CORRADO MATTIUZZO                                                     der Risikobeurteilung als akzeptabel ermittelte. Insofern
Kommission Arbeitsschutz und Normung (KAN), Sankt Augustin.           muss das Zusammenwirken der beiden neuen Rechts-
                                                                      akte sicherstellen, dass die darin enthaltenen Anforde-
SILVIA VOCK                                                           rungen an die Risikobeurteilung bzw. das Risikomana-
Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA), Dresden.
                                                                      gement diesem Anspruch angemessen Rechnung tra-
THOMAS MÖSSNER                                                        gen.
Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA), Dresden.

STEFAN VOß                                                            Unabdingbar ist also, dass Hersteller in der Lage sind,
Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA), Dresden.   die von ihren Produkten ausgehenden Risiken zu beur-
                                                                      teilen. Und genau dies wäre die Herausforderung, woll-
                                                                      te man sich etwa auf eine durch maschinelles Lernen
                                                                      unterstützte Steuerung verlassen, z. B. um zu verhin-
I. Rechtliche Rahmenbedingungen                                       dern, dass Personen von beweglichen Teilen einer Ma-
                                                                      schine gefährdet werden: Die Designer von Systemen,
In der Europäischen Union müssen die Hersteller einer                 die auf den komplexeren Methoden der künstlichen
Maschine die von ihr ausgehenden Risiken beurteilen und               Intelligenz basieren (wie etwa maschinelles Lernen mit
so weit wie möglich verringern. Dazu müssen sie:                      neuronalen Netzen), können bisher oftmals selbst im
                                                                      Nachhinein nicht zufriedenstellend erklären, warum sich
• die von ihnen vorgesehene Verwendung der Maschine                   ihr System auf eine bestimmte Weise verhalten hat.
  eindeutig bestimmen und die bei vernünftiger Betrach-               Darüber hinaus ist es schwierig, einen Nachweis über
  tung möglichen Fehlanwendungen vorhersehen,                         die Korrektheit des erlernten Modells zu erbringen. Dies
• die damit verbundenen Gefährdungen ausschalten                      ergibt sich unter anderem daraus, dass die Trainings-
  oder die mit diesen Gefährdungen verbundenen Risi-                  daten nur eine Teilmenge aller möglichen Eingabewerte
  ken nach einer festgelegten Rangfolge mindern,                      repräsentieren. Somit kann nicht sicher ausgeschlossen
                                                                      werden, dass bestimmte, während der Laufzeit des Sys-
• die Schwere möglicher Verletzungen oder Gesund-
                                                                      tems auftretende Eingaben, zu falschen Entscheidungen
  heitsschäden und die Wahrscheinlichkeit ihres Eintre-
                                                                      führen.
  tens berücksichtigen.

Auch darf von der Maschine während ihrer gesamten                     Diese Herausforderung kann sogar im Einzelfall bei sehr
voraussichtlichen Lebensdauer kein höheres Risiko aus-                komplexen transparenten und nachvollziehbaren Model-

188    ARP 6/2021                                                                                             www.arp-beck.de
Sichere Maschinen | MATTIUZZO/VOCK/MÖSSNER/VOß F A C H B E I T R Ä G E

len, z. B. bei Entscheidungsbäumen, entstehen, so dass      • Fall 0: Kein Einfluss auf die Maschinen-Sicherheit
ihre Ergebnisse nicht mit traditionellen Verfahren vorab
                                                                Das Design des Steuerungssystems schließt mit der im
bewertet werden können.
                                                                Rahmen der Risikobeurteilung als erforderlich fest-
                                                                gelegten Zuverlässigkeit1 aus, dass die auf den Ver-
                                                                laufsstrategien beruhenden Entscheidungen direkt
II. Die Rolle von Maschinensteuerungen                          oder indirekt sicherheitsrelevante Auswirkungen haben
                                                                können.
Einen wesentlichen Anteil an der Sicherheit einer Maschi-
ne haben Steuerungen, wenn sie dazu eingesetzt werden,      • Fall 1: Im Rahmen der Maschinen-Richtlinie2 uneinge-
Sicherheitsfunktionen auszuführen. Moderne, automati-         schränkt lösbar
sierte Maschinen führen häufig ohne direktes mensch-            Die sicherheitsrelevanten Entscheidungen des Steue-
liches Zutun Anwendungen aus und sind über Sensoren             rungssystems hängen ausschließlich von Verlaufs-
und Aktoren mit der Umgebung und/oder mit anderen               strategien ab, welche mit Verfahren bewertbar sind,
Geräten verbunden. Für die dazu notwendigen Entschei-           die für solche Verlaufsstrategien bereits bewährt
dungen sind in ihre Steuerungssysteme Verlaufsstrategien        sind.
programmiert. Diese können einfach oder aber sehr kom-
plex sein, unabhängig davon, ob sie auf traditioneller      • Fall 2: Im Rahmen der Maschinen-Richtlinie nur einge-
Software oder auf Methoden der künstlichen Intelligenz        schränkt lösbar
beruhen.
                                                                Die sicherheitsrelevanten Entscheidungen des Steue-
                                                                rungssystems hängen auch von Verlaufsstrategien ab,
Die einprogrammierten Verlaufsstrategien und Funktio-           die nicht oder noch nicht mit bereits bewährten Ver-
nalitäten können abhängig von ihrer Komplexität über-           fahren bewertbar sind.
prüfbar und nach bereits bewährten Verfahren bewert-
bar sein – dies gilt auch für weniger komplexe Metho-                 • Fall 2a: Unter bestimmten Bedingungen mit
den der künstlichen Intelligenz. Die technischen Grund-                 den Anforderungen der Maschinenrichtlinie ver-
lagen und Annahmen, auf denen die traditionellen,                       einbar
bewährten Verfahren aufbauen, um die Sicherheitstech-                    Das Design der Maschine schließt mit der im
nik des Systems zu bewerten, sind jedoch nicht für                       Rahmen der Risikobeurteilung als erforderlich
komplexere Methoden der künstlichen Intelligenz geeig-                   festgelegten Zuverlässigkeit aus, dass die auf
net. Ein Beispiel dafür ist, dass man bisher das Auftre-                 den Verlaufsstrategien basierenden Entschei-
ten von zufälligen Fehlern nur bei Hardware-Kom-                         dungen zu Auswirkungen führen, die das im
ponenten von Steuerungen annahm und man den Aus-                         Rahmen der Risikobeurteilung als akzeptabel er-
fall von Software-Komponenten nur systematischen                         mittelte Risiko erhöhen oder neue Risiken ent-
Fehlern zuschrieb. Dieses Konzept ist für die meisten                    stehen.
Methoden des maschinellen Lernens (ML) nicht mehr
haltbar. Ein ML-Algorithmus kann beispielsweise im Be-                • Fall 2b: Mit den Anforderungen der Maschinen-
trieb anhand erfasster Daten weiterlernen und sich so                   richtlinie nicht vereinbar
an neue Gegebenheiten anpassen. Damit sind die zu-
grundeliegenden Programme bzw. Verlaufsstrategien in                     Das Design der Maschine kann nicht mit der
der Steuerung nicht mehr statisch und vollumfänglich                     im Rahmen der Risikobeurteilung als erforder-
festgeschrieben, Fehler können dann nicht mehr nur                       lich festgelegten Zuverlässigkeit ausschließen,
durch eine falsche Programmierung, sondern auch                          dass die auf den Verlaufsstrategien basieren-
durch eine fehlerhafte, das heißt nicht im Sinne des                     den sicherheitsrelevanten Entscheidungen zu
Entwicklungsziels, erlernte Strategie verursacht werden.                 Auswirkungen führen können, die das im Rah-
Auf der anderen Seite, können selbst statische und                       men der Risikobeurteilung als akzeptabel er-
damit festgelegte Verlaufsstrategien in der Steuerung,                   mittelte Risiko erhöhen, oder dass neue Risiken
wie sie z. B. im Falle von ML-Methoden auftreten, die                    entstehen.
nicht im Betrieb weiterlernen, ebenfalls zu Herausforde-
rungen an die Bewertbarkeit und Überprüfbarkeit füh-
ren.                                                        1   Wahrscheinlichkeit, unter gegebenen Bedingungen für ein gegebenes
                                                                Zeitintervall die Bedingung zu erfüllen.
                                                            2   Sofern im Text der Begriff der Maschinenrichtlinie verwendet wird, ist
Die Bedeutung der oben besprochenen Verlaufsstrate-             damit die gegenwärtige Richtlinie 2006/42/EG sowie der Anspruch der
gien und Funktionalitäten können somit im Verhältnis            Autoren an die – auf der Grundlage des am 21. April 2021 veröffent-
                                                                lichten Kommissionsvorschlags – nun vom Europäischen Parlament und
zur Maschinen-Sicherheit wie folgt eingeordnet wer-             Rat endgültig zu vereinbarende Verordnung zu Maschinenprodukten
den:                                                            gemeint.

www.arp-beck.de                                                                                                 ARP 6/2021     189
F A C H B E I T R Ä G E MATTIUZZO/VOCK/MÖSSNER/VOß | Sichere Maschinen

III. Fallbeispiele                                           schinelles Lernen optimierten Entnahmestrategien ver-
                                                             ursachen im Vergleich zur konventionellen Maschinen-
1. Beispiele für Fall 0 aus ISO/TR 22100-53                  funktion weder zusätzliche Gefährdungen noch erhö-
                                                             hen sie das Ausmaß bereits bestehender Gefährdungen.
a) Optimiertes Verpacken (ISO/TR 22100-5, 4.2.1.1)           Auch hier müssen allerdings Anforderungsraten für die-
                                                             se trennenden Schutzeinrichtungen (z. B. Zutritt durch
Ein Roboter belädt, optimiert durch maschinelles Lernen,     Personal, um Blockaden durch nicht entferne Teile zu
eine Palette mit regellos unterschiedlich großen Teilen.     beheben) in die Risikobeurteilung eingegangen sein,
Hier wird durch das im Design der Maschine vorbestimm-       welche durch die Entnahmestrategien nicht überschrit-
te Einhalten der Maß- oder Gewichtsgrenzen sicher aus-       ten werden können.
geschlossen, dass durch die über maschinelles Lernen
optimierte Beladestrategie zusätzliche Gefährdungen ent-
                                                             2. Beispiele für Fall 1
stehen oder sich das Ausmaß bereits bestehender Gefähr-
dungen erhöht. Dazu müssen allerdings z. B. Anforde-
rungsraten für die nachgelagerten Sicherheitsfunktionen      a) Komplexe „traditionelle“ Software in einem
(etwa für das Einhalten der Maß- und Gewichtsgrenzen)        Sicherheitsbauteil, bewertbar nach den Konzepten der
in die Risikobeurteilung eingegangen sein, die durch die     funktionalen Sicherheit
Beladestrategie nicht überschritten werden können.
                                                             Mittels optischer Sensoren wird ein räumlicher Gefahren-
                                                             bereich überwacht. Dabei werden durch eine Software
b) Optimiertes Versprühen von Pflanzenschutzmitteln          die aufgenommenen Bilddaten von drei räumlich ge-
(ISO/TR 22100-5, 4.2.1.2)                                    trennt angeordneten Sensoren zu einem dreidimensiona-
                                                             len Abbild des Gefahrenbereiches zusammengesetzt und
Eine Bildverarbeitung mit Verwendung von KI-Verfahren        auf das Eindringen von Objekten überwacht. Beim Ein-
des maschinellen Lernens ermöglicht es, Nutzpflanzen         dringen eines Objektes in den Gefahrenbereich wird ein
und Unkraut besser zu identifizieren und dadurch ge-         sicherheitsgerichteter Stopp ausgelöst. Die komplexe si-
nauer zu entscheiden, an welcher Stelle und wieviel          cherheitsgerichtete Software wurde mit bewährten Me-
Herbizid versprüht wird. Hierzu werden die Maschinen         thoden entwickelt und bewertet.
zum Ausbringen der Herbizide mit Kameras ausgestattet,
die mit den Sprühdüsen verbunden sind. Basierend auf
dem erkannten Bild wird die optimale Herbizidmenge           b) Weniger komplexe Methode künstlicher Intelligenz,
durch die einzelnen Sprühdüsen an den Stellen aus-           die nach bewährten Verfahren bewertbar ist
gebracht, an denen Unkraut erkannt wurde. Das arbeits-
                                                             Die sicherheitsrelevanten Parameter einer Aluminium-
sichere Sprühen von Herbiziden wird durch eine Kabine
                                                             Druckgussanlage werden mittels Sensoren erfasst und in
(mit Filter oder Überdrucksystem) an der Spritzmaschine
                                                             Echtzeit ausgewertet, um die Anlage abzuschalten, wenn
selbst oder dem die Spritzmaschine ziehenden Acker-
                                                             Druck oder Temperatur außerhalb des zugelassenen Si-
schlepper gewährleistet. Es ist sichergestellt, dass durch
                                                             cherheitsbereiches liegt. Ein übergeordneter Anomaliede-
das mit maschinellem Lernen optimierte Identifizieren
                                                             tektor auf Basis eines Entscheidungsbaum-Algorithmus
des Unkrauts im Vergleich zur konventionellen Maschi-
                                                             erkennt Sensor-, Netzwerk-, oder Hardwarefehler und
nenfunktion keine zusätzlichen Gefährdungen entstehen
                                                             löst einen sicherheitsgerichteten Stop aus. Durch die zu-
oder sich das Ausmaß bereits bestehender Gefährdun-
                                                             sätzliche Verwendung des Anomaliedetektors können Re-
gen erhöht.
                                                             dundanzen im Sicherheitssystem reduziert werden, ohne
                                                             dass die Sicherheitsintegrität des Gesamtsystems verrin-
c) Optimierte Entnahme von Teilen aus einer                  gert wird. Da bei der Anomaliedetektion ein erklär- und
Laserschneidmaschine (ISO/TR 22100-5, 4.2.1.3)               interpretierbares Modell verwendet wird und während
                                                             der Laufzeit des Systems der Algorithmus als austrainier-
Eine Anlage schneidet mit Laserstrahlen aus Blechen          tes Modell ohne ein Weiterlernen im Betrieb verwendet
vollautomatisch Teile in einer fast unendlichen Auswahl      wird, kann die Software des Anomaliedetektors mit an-
an Formen, Größen und Dicken und entnimmt sie mit-           erkannten Software-Qualitätsmanagment-Methoden ent-
hilfe von 2.500 Saugnäpfen und 180 Stiften. Gelingt          wickelt, verifiziert und validiert werden. Damit kann auch
die Entnahme nicht schon beim ersten Versuch, drückt         die Risikobeurteilung der Druckgussanlage mit bewährten
die Maschine das Teil so lange mit wechselnden und           Methoden erfolgen.
durch maschinelles Lernen optimierten Methoden aus
dem Schrottskelett, bis sie Erfolg hat. Trennende
                                                             3   ISO/TR 22100-5 (2021-01) „Safety of machinery — Relationship with
Schutzeinrichtungen verhindern den Zugang zum                    ISO 12100 — Part 5: Implications of embedded Artificial Intelligence-
Schneidetisch und der Teileentnahme. Die durch ma-               machine learning“

190   ARP 6/2021                                                                                                 www.arp-beck.de
Sichere Maschinen | MATTIUZZO/VOCK/MÖSSNER/VOß F A C H B E I T R Ä G E

3. Beispiele für Fall 2a                                    ein akzeptables Maß verringert werden. Diese Unmöglich-
                                                            keit, die Risiken zu bewerten, macht die beschriebene
a) Mit der Maschinen-Richtlinie vereinbares fahrerloses     Fallkonstellation unvereinbar mit den Anforderungen der
Transportsystem (inspiriert aber abweichend von ISO/        Maschinen-Richtlinie.
TR 22100-5, 4.2.2)

Ein fahrerloses Transportsystem arbeitet in einem nicht
zutrittsgesicherten, aber klar abgegrenzten Bereich und     IV. Folgerungen
optimiert seine Navigation über maschinelles Lernen         Einerseits gibt es auch für sehr komplexe, gegenwärtig
selbst. Kollisionen werden technisch durch sensitive        nicht bewertbare technische Konstellationen Ansätze, die
Schutzeinrichtungen und traditionell programmierte Ge-      Sicherheit vertrauenswürdig zu belegen, indem „Argu-
schwindigkeitsanpassung vermieden. Gegenüber fahrer-        mente“ definiert werden, die (induktiv hergeleitete) "star-
losen Transportsystemen, die nur in vorgegebenen Bah-       ke" Indizien (nicht den absoluten Beweis) liefern sollen.
nen oder gar nur in zutrittsgesicherten Bereichen arbei-    Solche Ansätze werden schon lange beispielsweise in der
ten, sind die Anforderungen an das Vermeiden von            Nukleartechnik oder der Luft- und Raumfahrt angewen-
Kollisionen erhöht. Es entstehen aber keine neuen Ge-       det, aber auch um zu prüfen, ob Software für den sicher-
fährdungen, und die Risiken können mit bewährten            heitsrelevanten Einsatz geeignet ist.
Methoden bewertet und auf ein akzeptables Maß ver-
ringert werden.
                                                            Gegenwärtig wird deswegen angestrebt, mit solchen
                                                            eher aus dem Risikomanagement kommenden Ansätzen
b) Ergänzende signalisierende Assistenzsysteme              auch für Methoden der künstlichen Intelligenz Kriterien-
                                                            kataloge für das Erreichen eines akzeptablen Risiko-
Eine große Werkzeugmaschine ist entsprechend dem            niveaus aufzustellen. Diese Kriterienkataloge können
Stand der Technik mit trennenden und sensitiven Schutz-     Festlegungen zu Spezifikation und Modellierung, Erklär-
ausrüstungen versehen, um Bedien- und dritte Personen       barkeit und Nachvollziehbarkeit von Entscheidungen,
zu schützen. Ergänzend zu diesen, nach geltendem Pro-       Übertragbarkeit auf unterschiedliche Situationen, Verifi-
duktsicherheitsrecht bereits ausreichenden Maßnahmen        zierung und Validierung des Systems, Überwachung wäh-
warnt ein Assistenzsystem akustisch, wenn sich eine Per-    rend der Laufzeit, Mensch-Maschine-Interaktion, Prozess-
son in den Gefahrenbereich begibt, ohne dabei selbst-       sicherung und Zertifizierung sowie sicherheitsbezogener
ständig in die Maschinensteuerung einzugreifen. Das As-     Ethik und Datensicherheit enthalten. In diese Richtung
sistenzsystem lernt maschinell während des laufenden        geht offenbar auch der Vorschlag der EU-Kommission zur
Betriebs weiter, um das Erkennen von Personen stetig zu     künstlichen Intelligenz. Ein solcher Ansatz bedeutet, dass
optimieren und um mit den so gewonnenen Daten Praxis-       Sicherheit nicht vorwiegend durch nachprüfbare Produkt-
erfahrungen für evtl. zukünftige Anwendungen zu sam-        eigenschaften definiert wird, sondern durch nachprüfbare
meln4.                                                      Prozesskriterien.

                                                            Andererseits muss, um sich einem hohen Sicherheits-
4. Beispiel für den Fall 2b                                 niveau im Sinne der europäischen Produktsicherheitsvor-
                                                            schriften und des Grundgedankens der Prävention am
Mit der Maschinen-Richtlinie (gegenwärtig) nicht verein-    Arbeitsplatz anzunähern, aber erst einmal nachgewiesen
bares fahrerloses Transportsystem (inspiriert aber abwei-   werden, dass die Kriterien für die oben genannten „Ar-
chend von ISO/TR 22100-5, 4.2.2)                            gumente“ vollständig und verlässlich sind. Konservativ
                                                            betrachtet, dürfen daher auch Vorschriften, die hierfür
Ein fahrerloses Transportsystem arbeitet in einem nicht     den Rahmen und grundlegende Anforderungen vor-
zutrittsgesicherten, aber klar abgegrenzten Bereich und     geben sollen, erst festgelegt werden, wenn sich die
optimiert seine Navigation über maschinelles Lernen         ihnen zu Grunde liegenden Annahmen verlässlich be-
selbst. Kollisionen werden technisch durch sensitive        währt haben. Dafür bestand aber aus Sicht der europä-
Schutzeinrichtungen und, abweichend vom 1. Beispiel         ischen Gesetzgeber kein zeitlicher Spielraum: die Kom-
unter Fall 2a, durch über maschinelles Lernen optimierte    missionsvorschläge zur Überarbeitung der Maschinen-
Geschwindigkeitsanpassung vermieden. Das verwendete         Richtlinie und zur künstlichen Intelligenz liegen jetzt zeit-
maschinelle Lernverfahren ist weder interpretier- noch      gleich vor.
erklärbar und lernt dynamisch während des Betriebes
weiter. Zwar entstehen auch hier nicht zwangsläufig neue
                                                            4   Das Beispiel adressiert nicht die Aspekte von möglichen Auswirkungen
Gefährdungen, jedoch können die Risiken nicht mehr mit          auf das Bedienverhalten, die im Rahmen dieses Artikels nicht themati-
bewährten Methoden bewertet und dadurch sicher auf              siert werden.

www.arp-beck.de                                                                                                 ARP 6/2021    191
F A C H B E I T R Ä G E MATTIUZZO/VOCK/MÖSSNER/VOß | Sichere Maschinen

Inwieweit die beiden Verordnungsvorschläge vollständi-      diese Normen für die Entwicklung von Software, die mit
ge, klare und verifizierbare Anforderungen dafür enthal-    künstlicher Intelligenz ausgestattet ist, ausreichend sind
ten, in welchen Fällen und unter welchen Voraussetzun-      und verwendet werden können.
gen sicherheitsrelevante Steuerungsfunktionen einer Ma-
schine von Methoden der künstlichen Intelligenz beein-      Da Sicherheitsfunktionen einen nicht unerheblichen Bei-
flusst oder automatisiert getroffen werden dürfen, bzw.     trag zur Risikominderung leisten, wird von ihnen auch ein
ob damit eine ausreichende rechtliche Grundlage für Ver-    hohes Maß an Zuverlässigkeit erwartet, der durch die
fahren und Bewertungsansätze für eine sachgerechte Ri-      erforderlichen Performance Level (PL) oder Sicherheits-
sikobetrachtung vorliegen, gilt es nun zu prüfen. Genü-     integritätslevel (SIL) ausgedrückt wird. Sollen Verfahren
gen die beiden Rechtsakte am Ende des Gesetzgebungs-        der Künstlichen Intelligenz in Software für Sicherheits-
verfahrens diesen Anforderungen nicht, würde ihre An-       funktionen eingesetzt werden, müssen diese natürlich die
wendung zu erheblichen Unsicherheiten für die               geforderten hohen Zuverlässigkeitswerte erreichen. Hier
beteiligten Akteure im Markt führen. Es lässt sich fest-    besteht zum einen noch ein Bedarf nach Steigerung der
stellen, dass noch Interpretations-, Forschungs- und Nor-   Zuverlässigkeit der KI-Verfahren. Zum anderen ist es not-
mungsbedarf vorliegt und die Bearbeitung durch den          wendig Methoden zur Überprüfung dieser Zuverlässigkeit
interdisziplinären Ansatz des Themas für die einzelnen      soweit zu entwickeln, dass sie allgemein anerkannt sind
Fachdisziplinen mit großen Herausforderungen verbun-        und für die Überprüfung der Zuverlässigkeit von Sicher-
den ist.                                                    heitsfunktionen mit KI-Komponente standardisiert wer-
                                                            den können.

V. Ausblick                                                 Bezogen auf das Beispiel 2b wären folgende Vorausset-
                                                            zungen notwendig, damit es als mit der Maschinenricht-
Sowohl die im Entwurf der neuen Maschinenprodukte-
                                                            linie vereinbar angesehen werden kann:
verordnung enthaltenen grundlegenden Sicherheits-
und Gesundheitsschutzanforderungen als auch die im
                                                            • Die Software für die Sicherheitsfunktion Geschwindig-
Entwurf zur Verordnung über Künstliche Intelligenz
                                                              keitsanpassung, die mit maschinellem Lernen optimiert
enthaltenen Anforderungen sind als technologieneutra-
                                                              wird, kann mit einem, z. B. in harmonisierten Normen,
le Schutzziele formuliert. Spezifische Festlegungen zur
                                                              anerkannten Verfahren entwickelt werden.
Erfüllung dieser Schutzziele erfolgen in den harmoni-
sierten Normen unter den beiden künftigen Verordnun-        • Die Zuverlässigkeit des KI-Algorithmus ist überprüfbar,
gen.                                                          z. B. mittels harmonisierter Normen.
                                                            • Die Sicherheitsfunktion erreicht die für sie erforderliche
Für die Anwendung von Verlaufsstrategien für sicher-          Zuverlässigkeit (PL, SIL) auch mit der enthaltenen KI-
heitsrelevante Steuerungsfunktionen sind folgende Prä-        Komponente.
missen von Bedeutung:
                                                            • Durch eine Überprüfung nach einem Optimierungs-
• Die auf den Verlaufsstrategien basierenden sicherheits-     schritt ist sichergestellt, dass die in der Risikobeurtei-
  relevante Steuerungsfunktionen dürfen nicht zu einem        lung festgelegten Grenzen nicht überschritten wer-
  Überschreiten der durch die Risikobeurteilung fest-         den.
  gelegten Grenzen führen.
                                                            Es muss weiterhin geklärt werden, inwieweit bestehende
• Die auf den Verlaufsstrategien beruhenden sicherheits-
                                                            Risikobewertungsverfahren dafür geeignet sind, Metho-
  relevante Steuerungsfunktionen müssen mit der in der
                                                            den der künstlichen Intelligenz in Verbindung mit entspre-
  Risikobeurteilung für die jeweilige Sicherheitsfunktion
                                                            chenden Anwendungsszenarien sachgerecht zu beurtei-
  festgelegten Zuverlässigkeit erfolgen.
                                                            len. Hierbei besteht der Bedarf Risikobewertungsverfah-
• Es müssen Methoden existieren, mit der im Rahmen          ren weiterzuentwickeln, um das bestehende hohe Schutz-
  der Risikobeurteilung die Zuverlässigkeit der auf den     niveau des europäischen Binnenmarktes auch für die
  Verlaufsstrategien beruhenden sicherheitsrelevanten       Zukunft sicherzustellen.                               &
  Steuerungsfunktionen bewertet werden kann.
                                                            5   Normenreihe DIN EN 61508 „Funktionale Sicherheit sicherheitsbezoge-
Anforderungen an Software für Sicherheitsfunktionen             ner elektrischer/elektronischer/programmierbarer elektronischer Syste-
                                                                me“.
sind in den Normen der Reihe DIN EN 615085 sowie in         6   DIN EN 62061 (2016-05) „Sicherheit von Maschinen – Funktionale
DIN EN 62061:2016-056 zu finden. Auch in den Entwurf            Sicherheit sicherheitsbezogener elektrischer, elektronischer und pro-
der DIN EN ISO 13849-1:20207 sind jetzt Anforderungen           grammierbarer elektronischer Steuerungssysteme“.
                                                            7   DIN EN ISO 13849-1 (2020) „Sicherheit von Maschinen – Sicherheits-
an Software zum Einsatz für Sicherheitsfunktionen in Ma-        bezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsät-
schinen aufgenommen worden. Es ist also zu prüfen, ob           ze“.

192   ARP 6/2021                                                                                                 www.arp-beck.de
Sie können auch lesen