a number of owls are sitting on a wire

Schaffen Normen falsches Vertrauen? Ein kritischer Blick auf Standardisierung

Die Automobilindustrie ist durchzogen von Normen und Vorschriften. Ob es sich um ISO 26262 für funktionale Sicherheit, ISO 21434 für Cybersecurity oder die UN ECE R155 und R156 für Cybersecurity und Software-Updates handelt – all diese Normen sollen Sicherheit und Standardisierung garantieren. Doch bringen diese Normen wirklich das gewünschte Ergebnis, oder erzeugen sie mehr Verwirrung, Bürokratie und falsches Vertrauen? Ich weiß, die Frage ist provokant, aber ich muss sie einfach noch mal auf der Zunge zergehen lassen: Schaffen Normen falsches Vertrauen?

Was erwarten wir eigentlich von Normen?

Bevor wir die Schwächen und Herausforderungen der Normung analysieren, sollten wir klären, was die eigentlichen Erwartungen an Normen sind. Normen sollen in erster Linie für Klarheit, Sicherheit und Effizienz sorgen. Sie bieten eine gemeinsame Basis, auf der verschiedene Unternehmen und Teams zusammenarbeiten können. Dies soll zu höherer Produktqualität, verbesserten Sicherheitsstandards und klaren, einheitlichen Entwicklungsprozessen führen.

In der Automobilindustrie, wo Sicherheit und Zuverlässigkeit oberste Priorität haben, sind Normen unverzichtbar, um Risiken zu minimieren. Ein Fahrzeug, das auf ISO 26262-konforme Weise entwickelt wurde, gibt den Verbrauchern und Herstellern das Vertrauen, dass Sicherheitsrisiken systematisch identifiziert, bewertet und beherrscht werden. In der Theorie sollten Normen also nicht nur die Grundlage für Sicherheit schaffen, sondern auch die Innovation in einem sicheren Rahmen fördern.

Aber ist ein im Normenkanon entwickeltes Auto tatsächlich sicherer? Bedeutet es nicht nur, dass Prozesse und Dokumentation erzeugt wurden und sich die Ausführenden möglicherweise teilweise dran halten? Lebt man denn die „Funktionale Sicherheit“, nur weil Plakate oder das Intranet es so vorgibt?

Juristische Sicherheit durch Normen

In rechtlicher Hinsicht bieten Normen Herstellern einen gewissen Schutz. Die Einhaltung von Normen kann als Nachweis dafür dienen, dass ein Unternehmen angemessene Sorgfalt walten ließ und alle notwendigen Maßnahmen zur Gewährleistung der Sicherheit ergriffen hat. Im Schadensfall kann dies in Gerichtsverfahren als rechtlicher Schutz dienen und die Haftung mindern.

Jedoch ist die rechtliche Sicherheit, die Normen bieten, nicht absolut. In der Praxis können die subjektiven Bewertungen von Gutachtern und Assessoren, die die Einhaltung von Normen überprüfen, zu unterschiedlichen Interpretationen und Urteilen führen. Dies kann dazu führen, dass trotz der Einhaltung der Normen rechtliche Unsicherheiten bestehen bleiben.

Mehr Aufwand durch Normenüberschneidungen?

Ein häufiges Problem in der Normenlandschaft ist die Überschneidung und manchmal sogar der Widerspruch von Normen. Unternehmen müssen beispielsweise sowohl die Anforderungen von ASPICE als auch die von ISO 26262 erfüllen – zwei Normen, die zwar ähnliche Ziele haben, aber in den Details unterschiedlich sein können. Dies führt zu erheblichem Mehraufwand in der Umsetzung und Konformitätsprüfung. Anstatt Klarheit zu schaffen, tragen diese Normen oft zur Verkomplizierung bei, vor allem in der Zusammenarbeit zwischen verschiedenen Teams, die sich dann weniger auf die eigentliche Innovation konzentrieren können.

Ich versuche durch eigene Analysen und Recherchen der Überschneidungen Herr zu werden, indem ich sie für mich als Beratungsdokumentation verknüpft habe.

Verwandelt Normung klare Kommunikation in „Normungsslang“?

Die Einführung und Einhaltung von Normen bringt eine eigene Sprache mit sich, die sich oft stark von der Alltagssprache unterscheidet. Begriffe wie ASIL1, TARA2 und HARA3 sind gängiger Teil des Vokabulars geworden. Vorteil dieser Begriffe, sie substituieren keine gängigen Fachbegriffe und stehen als Akronyme für (relativ) verständliche Inhalte.

In anderen Fällen ist das nicht so. Unter Abkürzungen wie SYS.1, MAN.5 etc. können sich wirklich nur „Eingeweihte“ (grob) etwas vorstellen. Für Details brauchen aber selbst sie die Fachliteratur zum Nachlesen.

Doch je weiter sich diese „Normensprache“ entwickelt, desto schwerer fällt es, diese Standards für alle verständlich zu kommunizieren. Es entsteht eine Art technokratischer Jargon, der nicht nur für Außenstehende, sondern auch innerhalb von Organisationen zu Missverständnissen führen kann.

Diese Sprachbarriere wirft die Frage auf: Muss es so kompliziert sein, oder hindert dies die effektive Zusammenarbeit?

Beeinflussen Normen die Organisationsstruktur?

Agile Methoden wie Scrum oder Kanban setzen auf Flexibilität, schnelle Reaktionsfähigkeit und die kontinuierliche Weiterentwicklung von Produkten durch enge Zusammenarbeit in interdisziplinären Teams. Der Fokus liegt hier auf kurzen Entwicklungszyklen, schnellem Feedback und der Anpassungsfähigkeit an Veränderungen – all das steht jedoch im Widerspruch zu den formalen Anforderungen von Normen.

Agiles Arbeiten und Normen: Ein Spannungsverhältnis

Normen verlangen eine detaillierte Planung, vordefinierte Meilensteine und umfassende Dokumentation. In einer normativen Umgebung müssen Unternehmen bereits zu Beginn eines Projekts genau festlegen, welche Sicherheits- oder Cybersecurity-Maßnahmen implementiert werden und wie sie nachweislich erfüllt werden sollen. Das widerspricht jedoch der agilen Idee, dass sich Anforderungen im Laufe eines Projekts verändern können und das Team flexibel darauf reagieren sollte.

Die starre Natur der Normen kann agile Teams in ihrer Kreativität und Innovationsfähigkeit bremsen. Statt schnelle Prototypen zu entwickeln und diese iterativ zu verbessern, verbringen Teams oft einen großen Teil ihrer Zeit damit, die Dokumentation und Prüfungsvorgaben der Normen zu erfüllen. Dies sorgt für Frustration und lenkt von der eigentlichen Produktentwicklung ab.

Silos durch normgetriebene Strukturen

Normen verlangen zudem hoch spezialisierte Teams, die für spezifische Themen wie funktionale Sicherheit, Cybersecurity oder Software-Updates verantwortlich sind. Diese Aufteilung in spezialisierte Einheiten führt in vielen Organisationen dazu, dass Silos entstehen. Statt bereichsübergreifend zu arbeiten und voneinander zu lernen, isolieren sich die Teams in ihren normativen Bereichen. Dies behindert die Zusammenarbeit und macht es schwieriger, innovative Lösungen zu entwickeln, die interdisziplinäres Wissen erfordern.

Ein weiterer Aspekt ist die zunehmende Komplexität der Normen. Während ISO 26262 etwa für funktionale Sicherheit sorgt, adressiert ASPICE die Reife der Entwicklungsprozesse. Unternehmen müssen sicherstellen, dass ihre Teams sowohl die Anforderungen der funktionalen Sicherheit als auch der Prozessreife verstehen und umsetzen. Dabei entsteht nicht selten ein Konflikt zwischen den unterschiedlichen Normenanforderungen, der das gemeinsame Arbeiten zusätzlich erschwert.

Sind Assessoren wirklich objektiv?

Ein weiteres Problem ist die Frage der Objektivität bei der Normenkonformität. Assessoren, die über die Einhaltung der Normen wachen, haben ihre eigenen Vorlieben und Interpretationen, die stark von ihrem individuellen Wissen und ihrer Erfahrung abhängen. Dies führt dazu, dass die Ergebnisse oft subjektiv geprägt sind. Besonders in Bereichen wie funktionaler Sicherheit oder Cybersecurity kann es schwer sein, konsistente Ergebnisse zu erzielen, weil die Bewertungskriterien je nach Assessor variieren.

Das erschwert nicht nur die Zertifizierung, sondern wirft auch im Schadensfall rechtliche Fragen auf. Wird die Judikative den komplexen Dokumentationsanforderungen und subjektiven Bewertungen der Assessoren folgen können? Wer trägt am Ende die Schuld im Falle von Technologieversagen?

Schuld im juristischen Kontext bei Technologieversagen

Im Falle eines Technologieversagens, wie es in der Automobilindustrie durch nicht normgerechte Entwicklungen oder Sicherheitsmängel auftreten kann, ist die rechtliche Aufarbeitung komplex. Die Frage nach der Schuld betrifft mehrere Akteure: Gutachter, Assessoren, Ingenieure und Geschädigte.

Gutachter sind oft externe Experten, die beauftragt werden, die Ursachen eines Technologieversagens zu analysieren und ihre Ergebnisse in Form von Gutachten zu dokumentieren. Ihre Einschätzungen können entscheidend sein, um festzustellen, ob die Normen eingehalten wurden und ob eine Pflichtverletzung vorliegt. Assessoren hingegen prüfen die Einhaltung von Normen und Vorschriften im Rahmen von Audits. Ihre Bewertungen können ebenfalls Einfluss auf die rechtlichen Konsequenzen haben, da sie belegen, ob ein Unternehmen den erforderlichen Standards entsprochen hat.

Ingenieure, die an der Entwicklung von Technologien beteiligt sind, tragen die Verantwortung für die Umsetzung der Normen in ihren Projekten. Ihre Fachkenntnisse und Entscheidungen sind entscheidend dafür, ob Sicherheitsstandards eingehalten werden. Kommt es zu einem Vorfall, kann die Frage nach der Haftung auf sie zurückfallen.

Auf der anderen Seite stehen die Geschädigten, die durch das Technologieversagen harmlose Auswirkungen erleben. Sie haben das Recht, Schadenersatz zu fordern und müssen nachweisen, dass das Versagen auf eine Pflichtverletzung seitens der Ingenieure oder des Unternehmens zurückzuführen ist. In solchen Fällen kann die Komplexität der Normen und deren Interpretation entscheidend dafür sein, wie die Schuld verteilt wird und welche rechtlichen Schritte eingeleitet werden können. Der juristische Kontext wird oft zu einem Spannungsfeld, in dem technische, rechtliche und ethische Aspekte miteinander verwoben sind.

Kann Künstliche Intelligenz helfen?

Inmitten dieses Normendschungels könnte Künstliche Intelligenz (KI) eine wichtige Rolle spielen. KI-Systeme sind in der Lage, große Mengen an Daten effizient zu analysieren und Normen automatisiert zu überwachen. Sie könnten helfen, Normenüberschneidungen zu erkennen und Entwicklungsprozesse effizienter zu gestalten, indem sie zeitaufwändige manuelle Prüfungen ersetzen.

Chatbots als interaktives Wissensmanagement könnte auch beim Hinterfragen von Fachtermini gute Dienste leisten, sofern ausreichend und differenzierbares Trainingsmaterial zur Verfügung steht.

Doch hier stellt sich die Frage: Wie viel Vertrauen können wir in die Ergebnisse von KI-Systemen legen? Auch KIs müssen entsprechend programmiert und trainiert werden, was wiederum von den vorhandenen Daten und den Einstellungen der Entwickler abhängt. Ist es also wirklich eine Lösung, oder schafft KI ein weiteres komplexes System, das die Transparenz und Objektivität weiter erschwert?

Fazit: Balance zwischen Vertrauen und Kontrolle

Normen sind in der Automobilindustrie unverzichtbar, um Sicherheit, Qualität und Konformität zu gewährleisten. Doch sie können leicht zu falschem Vertrauen führen, wenn die Einhaltung der Standards zur bloßen Formalität wird, ohne dass die tatsächliche Sicherheit im Fokus steht. Die Überschneidungen und der hohe Aufwand, den Normen verursachen, behindern oft innovative und agile Entwicklungen.

Die Objektivität der Assessoren und die Frage, inwieweit Künstliche Intelligenz diesen Prozess verbessern kann, bleiben offen. Es bedarf eines ausgewogenen Ansatzes, bei dem Normen und KI als Werkzeuge zur Unterstützung dienen, ohne Flexibilität und Kreativität zu opfern.


Weiterführende Links:

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.