KI kann Safety- und Cybersecurity-Artefakte schnell erzeugen. Die schwierigere Frage ist, ob diese Artefakte geprüft, gesteuert, zurückverfolgt und fachlich verteidigt werden können.
Ein Sprachmodell kann innerhalb weniger Sekunden eine überzeugende HARA-Zeile, ein Bedrohungsszenario, eine Sicherheitsanforderung oder eine technische Begründung formulieren.
Aber überzeugend bedeutet nicht automatisch korrekt.
Eine vorgeschlagene Klassifizierung passt möglicherweise nicht zur tatsächlichen Betriebssituation. Eine Anforderung lässt sich vielleicht nicht auf eine freigegebene Entscheidung zurückführen. Eine Begründung kann plausibel klingen und trotzdem wichtigen Systemkontext übersehen.
Im regulierten Engineering sind das keine kleinen redaktionellen Fehler. Sie können nachgelagerte Anforderungen, den Verifikationsaufwand, die Risikobehandlung und die gesamte Safety- oder Cybersecurity-Argumentation beeinflussen.
Deshalb lautet eines der zentralen Prinzipien hinter Aegis SafeForge:
KI schlägt vor. Die Plattform steuert. Menschen entscheiden.
Das ist kein Slogan neben einem KI-Assistenten. Dieses Prinzip bestimmt, wie Arbeit innerhalb der Plattform erzeugt, geprüft, freigegeben, verknüpft, exportiert und gepflegt wird.
Ein Vorschlag muss ein Vorschlag bleiben
Betrachten wir eine KI-generierte TARA- oder HARA-Zeile.
Die KI kann ein Szenario, Klassifizierungswerte, eine Begründung und Verknüpfungen zu relevanten Systeminformationen vorschlagen. Diese Zeile wird dadurch jedoch nicht automatisch zu freigegebener Engineering-Evidenz.
Sie beginnt im Status KI-Vorschlag.
Bevor sie weiterverwendet werden kann, muss eine Fachkraft den Inhalt prüfen, die angegebenen Quellen kontrollieren, notwendige Korrekturen oder Ergänzungen vornehmen und die Zeile zur Prüfung einreichen.
Die Plattform wendet anschließend die erforderlichen Workflow-Status, Berechtigungen, Verknüpfungen und deterministischen Prüfungen an.
Erst nach der Freigabe durch die verantwortliche prüfende Person kann die Entscheidung als vertrauenswürdiger Kontext für nachgelagerte Arbeiten verwendet werden.
Diese Grenze ist wichtig, weil das größte Risiko nicht nur darin besteht, dass KI eine falsche Antwort erzeugt.
Das größere Risiko besteht darin, dass ein plausibler Vorschlag irgendwann nicht mehr als Vorschlag erkennbar ist.
Er könnte in eine Tabelle kopiert, in einen Bericht übernommen, in einer weiteren Analyse wiederverwendet oder an nachgelagerte Prozesse weitergegeben werden, ohne dass später noch nachvollziehbar ist, woher er stammt oder wer ihn akzeptiert hat.
Aegis SafeForge ist darauf ausgelegt, diesen Unterschied sichtbar zu halten.
Die KI arbeitet im Engineering-Kontext
Safety Engineering besteht nicht aus einer Reihe voneinander getrennter Prompts.
Anforderungen beeinflussen die Systemdefinition. Die Systemdefinition liefert den Kontext für Gefährdungs-, Fehler- und Bedrohungsanalysen. Freigegebene Analyseergebnisse führen zu Zielen, Anforderungen, Maßnahmen und Verifikationsaktivitäten.
Jeder Schritt hängt von zuvor getroffenen Entscheidungen ab.
In Aegis SafeForge beginnen Nutzerinnen und Nutzer damit, ein Projekt anzulegen und die relevante Branche auszuwählen. Die Plattform umfasst derzeit Kontexte für Automotive, Medizintechnik, Bahn und Prozessindustrie.
Innerhalb des Projekts wird das zu analysierende System erstellt und mit grundlegenden Informationen beschrieben. Wo sinnvoll, können bestehende Informationen aus Systemen anderer Projekte übernommen werden.
Anschließend werden die Standards ausgewählt, die für die Analyse gelten. Ein Automotive-System kann beispielsweise auf ISO 26262, ISO/SAE 21434 oder beiden Standards basieren.
Unterstützende Dokumente können bereits während der Einrichtung hochgeladen und im weiteren Verlauf des Engineering-Prozesses ergänzt werden.
Auf Grundlage des verfügbaren Kontexts kann die KI ein Prozessmodell für das System vorschlagen. Die Plattform umfasst V-Modell- und Wasserfallstrukturen und kann den vorgeschlagenen Prozess anhand der Branche, der gewählten Standards, des Systemkontexts und der vorhandenen Dokumente anpassen.
Die Nutzerinnen und Nutzer behalten dabei die Kontrolle und können zwischen einer Standardvorlage und einem angepassten Modell wechseln.
Die KI wird also nicht aufgefordert, Engineering-Arbeit aus einem leeren Prompt heraus zu erzeugen. Sie arbeitet in einem Workspace, der bereits den Systemkontext, die relevanten Standards, unterstützende Dokumente, Anforderungen und freigegebene vorgelagerte Arbeit enthält.
Das garantiert nicht, dass jeder Vorschlag korrekt ist. Es schafft jedoch einen relevanteren und besser überprüfbaren Ausgangspunkt.
Nur freigegebener Kontext führt den Prozess weiter
Die menschliche Freigabe wird nicht erst am Ende des Workflows hinzugefügt.
Sie steuert, was die Plattform in den folgenden Schritten verwenden darf.
Nutzerinnen und Nutzer können High-Level Requirements manuell erstellen oder Anforderungskandidaten aus hochgeladenen Dokumenten extrahieren. KI kann bei der Vorbereitung helfen, aber nur freigegebene High-Level Requirements dürfen zur Erzeugung von Low-Level Requirements verwendet werden.
Dasselbe Prinzip gilt für die Item Definition.
Eine Item Definition kann manuell erstellt oder auf Basis freigegebener Anforderungen, unterstützender Dokumente und des Projektkontexts generiert werden. Aegis SafeForge stellt standardspezifische Vorlagen bereit, damit das Ergebnis der erwarteten Struktur folgt und nicht nur aus einem frei generierten Textblock besteht.
Erst eine freigegebene Item Definition kann als Grundlage für nachgelagerte Safety-Analysen verwendet werden.
Dieses Muster setzt sich über die gesamte Artefaktkette fort:
Anforderungen zu Item Definition zu HARA zu Safety Goals zu Functional Safety Requirements zu Technical Safety Requirements zu Verification Evidence.
Die Plattform bringt außerdem miteinander verknüpfte Workflows für FMEA, FMEDA, FTA, ETA, ISO/SAE-21434-TARA, HAZOP und LOPA in dieselbe Engineering-Umgebung.
Das Ziel besteht nicht nur darin, viele Artefakttypen in einer Oberfläche bereitzustellen.
Entscheidend ist, ihre Beziehungen zu erhalten und zu steuern, welche Entscheidungen vertrauenswürdig genug sind, um im Prozess weiterverwendet zu werden.
KI schlägt dort vor, wo Reasoning hilfreich ist
In einem Artefakt-Workspace können Fachkräfte Zeilen manuell hinzufügen oder die KI beauftragen, auf Basis des Systemkontexts, freigegebener vorgelagerter Artefakte und unterstützender Dokumente einen Entwurf zu erstellen.
Für eine HARA kann die KI beispielsweise Gefährdungen und Hazardous Events, Betriebssituationen, Werte für Severity, Exposure und Controllability, unterstützende Begründungen und Verknüpfungen zu relevanten vorgelagerten Informationen vorschlagen.
Jede Zeile kann geprüft, bearbeitet oder gezielt neu generiert werden. Dabei kann der KI konkret mitgeteilt werden, was geändert werden soll.
Derselbe Ansatz gilt für weitere Workflows. KI kann beim Entwurf von Anforderungen, Bedrohungsszenarien, Fehlermodi, Zielen, Maßnahmen und verwandten Engineering-Inhalten unterstützen.
Die KI liefert einen strukturierten Ausgangspunkt. Sie erteilt keine finale Freigabe.
Deterministische Logik übernimmt wiederholbare Regeln
Nicht jeder Teil des Safety Engineering sollte einem Sprachmodell überlassen werden.
Einige Aufgaben profitieren von kontextbezogener Interpretation. Andere müssen bei denselben Eingaben jedes Mal ein konsistentes und reproduzierbares Ergebnis liefern.
Aegis SafeForge trennt diese Verantwortlichkeiten.
In einer HARA kann die KI Werte für Severity, Exposure und Controllability zusammen mit einer Begründung vorschlagen. Der ASIL wird anschließend über eine definierte Lookup-Tabelle bestimmt und nicht frei vom Modell generiert.
Ebenso wird der ASIL eines Safety Goals aus den damit verknüpften und freigegebenen HARA-Zeilen abgeleitet.
Daraus ergibt sich eine klare Aufgabenteilung.
Die KI unterstützt bei Entwürfen und kontextbezogenen Vorschlägen.
Deterministische Logik übernimmt definierte und wiederholbare Regeln.
Ingenieurinnen und Ingenieure entscheiden, ob Eingaben, Begründungen und das resultierende Ergebnis für das tatsächliche System geeignet sind.
Die deterministische Ebene ersetzt kein Engineering-Urteil. Sie stellt sicher, dass regelbasierte Ergebnisse konsistent berechnet werden, nachdem verantwortliche Menschen die Eingaben bewertet haben.
Menschliche Prüfung ist ein echter Workflow
KI-generierte Zeilen beginnen im Status KI-Vorschlag.
Wenn eine Fachkraft einen Vorschlag bearbeitet, wechselt die Zeile in den Status Bearbeitet. Die Änderungen werden der Person zugeordnet, die sie vorgenommen hat.
Anschließend kann die Zeile zur Prüfung eingereicht werden und wechselt in den Status Prüfung erforderlich.
Im Standard-Berechtigungsmodell erzeugen und bearbeiten Ingenieurinnen und Ingenieure die Inhalte, während Team Leads sie prüfen und freigeben.
Die Person, die eine Zeile erstellt hat, kann die eigene Arbeit standardmäßig nicht selbst freigeben.
Die prüfende Person kann die Zeile freigeben, Änderungen anfordern oder sie an einen Manager eskalieren.
Werden Änderungen angefordert, wechselt die Zeile in den Status Änderungen angefordert.
Nachdem die verantwortliche Fachkraft darauf reagiert hat, erhält sie den Status Änderungen umgesetzt und geht zurück an die prüfende Person.
Diese kann die überarbeitete Version freigeben oder weitere Änderungen anfordern.
Die Berechtigungen können durch den Organisationsadministrator konfiguriert werden. Der Standard-Workflow erhält jedoch eine klare Trennung zwischen Erstellung und Freigabe.
Menschliche Aufsicht ist kein Kontrollkästchen neben generiertem Inhalt. Sie besitzt Status, Verantwortlichkeiten, Berechtigungen und konkrete Konsequenzen.
Quellen bleiben für die Prüfung verfügbar
Es reicht nicht aus zu behaupten, ein KI-System sei quellengestützt.
Prüferinnen und Prüfer müssen erkennen können, welche Informationen einen Vorschlag beeinflusst haben.
Aegis SafeForge strukturiert hochgeladene Dokumente anhand ihrer Inhalte, darunter Überschriften, Unterüberschriften, tiefere Gliederungsebenen, Tabellenzeilen, Abbildungen und Seitenpositionen.
Wenn eine abgerufene Passage zu einem generierten Vorschlag beiträgt, wird sie als Quellenlink angezeigt. Die relevante Stelle im ursprünglich hochgeladenen Dokument kann direkt geöffnet werden.
Dadurch können bei der Prüfung konkrete Fragen gestellt werden.
Welche Anforderung unterstützt diesen Vorschlag?
Welcher Teil der Item Definition wurde verwendet?
Begründet die angegebene Quelle die vorgeschlagene Klassifizierung?
Fehlen wichtige Informationen?
Basierte der Vorschlag auf freigegebenem Projektkontext?
Die Plattform verlangt nicht, dass Fachkräfte darauf vertrauen, dass die Quellennutzung irgendwo im Hintergrund stattgefunden hat.
Das unterstützende Material bleibt für die Prüfung sichtbar.
Jede Änderung hinterlässt eine Historie
Es wird nicht erwartet, dass KI-gestützte Arbeit beim ersten Versuch vollständig korrekt ist.
Jede Änderung in Aegis SafeForge erzeugt eine neue Version. Nutzerinnen und Nutzer können die Versionshistorie anzeigen, Unterschiede zwischen Versionen vergleichen und bei Bedarf zu einer früheren Version zurückkehren.
Dadurch bleibt der Weg vom ursprünglichen KI-Vorschlag bis zur freigegebenen Engineering-Entscheidung erhalten.
Prüfende Personen können nachvollziehen, was die KI ursprünglich vorgeschlagen hat, was durch die Fachkraft geändert wurde, welche Version zur Prüfung eingereicht wurde, welche Änderungen angefordert wurden und welche Version schließlich freigegeben wurde.
Prüfaktionen, Kommentare, Änderungen, Statuswechsel und Freigaben werden in der Audit-Historie zugeordnet.
Das freigegebene Ergebnis wird nicht so dargestellt, als wäre es ohne Entwicklung vollständig entstanden. Der Entscheidungsprozess bleibt sichtbar.
Traceability muss auch nach der Freigabe bestehen bleiben
Traceability ist nicht vollständig, nur weil zwei Artefakte einmal miteinander verknüpft wurden.
Diese Beziehungen müssen auch dann nützlich bleiben, wenn sich das Projekt verändert.
Angenommen, ein freigegebenes High-Level Requirement wird geändert.
Ist das verknüpfte Low-Level Requirement weiterhin gültig?
Muss die Item Definition erneut geprüft werden?
Welche HARA-Zeilen, Safety Goals, Anforderungen oder Verifikationsaktivitäten basieren auf der vorherigen Information?
Wer ist für die Prüfung der betroffenen Arbeit verantwortlich?
Aegis SafeForge überträgt die Auswirkungen vorgelagerter Änderungen auf miteinander verknüpfte Artefakte.
Betroffene nachgelagerte Arbeit wird invalidiert oder erneut zur Prüfung markiert, damit eine frühere Freigabe nicht als aktuell behandelt wird, obwohl sich der zugrunde liegende Kontext verändert hat.
Verantwortliche Personen können betroffene Arbeit über das Dashboard einsehen.
Die Produktentwicklung umfasst außerdem Benachrichtigungen, durch die wichtige Änderungen in aktiven Projekten schwerer zu übersehen sind.
Die Plattform entscheidet nicht selbst, wie die neue Engineering-Lösung aussehen muss.
Sie identifiziert bestehende Entscheidungen, die möglicherweise nicht mehr zuverlässig sind, und führt sie den verantwortlichen Personen zur erneuten Prüfung zu.
Entwürfe müssen als Entwürfe erkennbar bleiben
Teams müssen Arbeit gelegentlich exportieren, bevor der vollständige Freigabeprozess abgeschlossen ist.
Aegis SafeForge ist so konzipiert, dass Entwurfszeilen auch in Export-Workflows sichtbar als Entwurf gekennzeichnet bleiben.
Nicht freigegebene Arbeit sollte nicht allein deshalb als akzeptierte Engineering-Evidenz erscheinen, weil sie die Plattform verlassen hat.
Der Status einer Entscheidung muss sowohl innerhalb des Engineering-Workspace als auch in extern weitergegebenen Unterlagen sichtbar bleiben.
Diese Fragen muss die Plattform beantworten können
Für jede wichtige Engineering-Entscheidung sollten Teams beantworten können:
Was hat die KI ursprünglich vorgeschlagen?
Welche Ergebnisse stammen aus deterministischer Logik?
Was wurde durch die Fachkraft geändert?
Welche Bedenken wurden bei der Prüfung geäußert?
Welche Quellen stützten die Entscheidung?
Wer hat die finale Version freigegeben?
Was durfte in nachgelagerte Arbeit einfließen?
Wurde die Freigabe später durch eine Änderung beeinflusst?
Die Beantwortung dieser Fragen macht KI nicht unfehlbar.
Sie macht ihren Einsatz sichtbar, kontrollierbar und steuerbar.
Was das für Aegis SafeForge bedeutet
Wir entwickeln Aegis SafeForge nicht, um Safety Reviews durch generierte Inhalte zu ersetzen.
Wir entwickeln die Plattform, damit Teams schneller zu der richtigen Prüfung gelangen, mit besserem Kontext, klarerer Verantwortung, stärkerer Traceability und einer belastbaren Historie darüber, wie jede Entscheidung getroffen wurde.
KI kann den Aufwand reduzieren, der notwendig ist, um von einer leeren Tabelle zu einem strukturierten Vorschlag zu gelangen.
Die Plattform kann Kontext erhalten, Regeln anwenden, Berechtigungen verwalten, Beziehungen durchsetzen, Versionen dokumentieren und die Auswirkungen von Änderungen sichtbar machen.
Die finale fachliche Entscheidung bleibt jedoch bei den Ingenieurinnen, Ingenieuren und prüfenden Personen, die das System verstehen und dafür Verantwortung tragen.
Für Pilot-Teams bedeutet das, dass KI-gestützte Beschleunigung eingeführt werden kann, ohne die für reguliertes Engineering notwendige Prüfdisziplin aufzugeben.
Dieses Prinzip wollen wir auch während der weiteren Entwicklung von Aegis SafeForge beibehalten:
KI schlägt vor. Die Plattform steuert. Menschen entscheiden.
Design Partner
Wir nehmen derzeit ausgewählte Pilot- und Design-Partner-Anfragen an.