Prof. Dr. rer. nat. Hermann Winner Dipl.-Ing. Walther ... · („maschinelle Ethik“) Entscheidet...

Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013

Absicherung automatischen Fahrens

Prof. Dr. rer. nat. Hermann Winner Dipl.-Ing. Walther Wachenfeld


2

Definition: Automatisches Fahren

Die Ausführung der Fahraufgabe wird automatisiert.

Die Ausführung besteht aus: • Perzeption • Kognition • Verhaltenssteuerung • Aktion/Trajektorienregelung

Die Fahraufgabe nach Donges besteht aus:

• Navigation • Bahnführung • Stabilisierung

[Darstellung nach Flemisch 2007, Einteilung nach BASt 2012]


3

Vorläufer (I)

Teilautomatisiertes Fahren Paradigma: Fahrer hat ungewolltes oder unpassendes automatisches

Verhalten durch Übernahme oder Korrektur abzuwenden.

‚Design for Controllability‘

Absicherung der Kontrollierbarkeit für repräsentative Situationen, in denen ein falsches Verhalten stimuliert wird.

Problem: Zum Teil Absicherung der Kontrollierbarkeit gemäß ISO26262 auf höchster Stufe C0: Controllable in general


4

Vorläufer (II)

Automatisiertes Stau(folge)fahren Innerhalb Hands-off-Betrieb:

Strategie des immer möglichen Notstopps

Abzusichern:

Vermeidung von Kollision mit Objekten des Nahbereichs hauptsächlich durch unmittelbaren Stopp

Nichtübersehen von relevanten Objekten, die in den Anhaltebereich des Subjektfahrzeugs eindringen (Abtesten auf 0% falsch-negativ)

Falsch-positive Erkennung aus Sicherheitsgründen akzeptabel

Ansonsten:

‚Design for Controllability‘ über Hands-on-Überwachung

Aufweichung des Hands-on-Zwangs mit Fahrerüberwachung denkbar


5

Vorläufer (III)

Hochautomatisiertes Fahren Annahme: Fahrer wird bei Erreichen einer Funktionsgrenze des

automatisierten Fahrens rechtzeitig zur Übernahme aufgefordert.

Gegenüber Teilautomatisierung zusätzliche Absicherungsaufgaben:

Innerhalb der Funktionsgrenzen sichere automatische Fahrt

Zuverlässiges Erkennen von Funktionsgrenzen in hinreichendem Abstand von potentiell kritischen Situationen

Sicherstellung des sicheren Übergangs zur manuellen Fahrt, d.h. Übergabe muss so rechtzeitig angekündigt werden, dass der Fahrer zurück in die Regelschleife kommt und keine kritische Situation entstehen kann.


6

Vorläufer (III)

Absicherung des hochautomatisierten Fahrens Für Absicherung Vereinigung der Nachteile von Teil- und

Vollautomatisiert:

Schwieriger Nachweis der Übergabe-Kontrollierbarkeit

Nachweis der Sicherheit des automatisierten Fahrens bis zur Fahrerübergabe ohne wesentlichen Unterschied zum vollautomatisierten Fahren


7

Vollautomatisiertes Fahren/ Autonomes Fahren

Charakteristika: Fahrzeugführung ohne Notwendigkeit des Fahrereingriffs

Entscheidungsautonomie innerhalb eines Verhaltensrahmens („maschinelle Ethik“)

Entscheidet selbstständig über Übergang in einen risikominimalen Zustand und führt diesen durch, falls die Weiterfahrt nicht möglich erscheint

Variantenvielfalt (Beispiele): mit Fahrer (zur Erweiterung des Einsatzbereichs und/oder als

Verfügbarkeitsfahrer) oder ohne Fahrer

beschränkt auf bestimmte Wege oder Arbeitsbereiche oder unbeschränkt

unterschiedliche Beförderungsziele („normaler“ Individualverkehr, Valet Parking, Taxi, Warentransport, …)


8

Stand der Entwicklung

Fahrten mit Sicherheitsfahrer, z.B. Google 500.000 km (allerdings ohne Angabe der Zahl von Eingriffen des

Sicherheitsfahrers); Aussage Lewandowski ( 9.10.2013): Herausforderung für die Zukunft ist die Steigerung der Robustheit gegenüber neuen Situationen

Daimler: Autonome Bertha-Benz-Gedächtnisfahrt ohne Sicherheitseingriff durch Fahrer (nach wochenlanger „Übung“)

Heute reichen 100 „neue“ km für eine „Algorithmusverbesserung“ Perzeptionsalgorithmen lassen sich durch aufgezeichnete (und ggf. annotierte) Datensätze im Labor gut weiterentwickeln. Metriken für Perzeptions- und Kognitionsleistung sind nur sehr rudimentär vorhanden.


9

Mögliche Ansätze zur Absicherung des Vollautomatisierten Fahrens

V-Modell (UseCases→ TestCases)

Dauerlauf

X-in-the-Loop

Reifegrad-Modelle

„Trojanisches Pferd“

Open-Loop Offline Perzeptionstests

Gestufte Einführung Komplexe Tests


10

Ansatz: Vorgehen nach dem V-Modell

V-Modell-Paradigma Aus Anforderungsanalyse mit

UseCases werden repräsentative Validierungs-TestCases abgeleitet, oft als worst-case-Szenarien

Zugrunde liegt eine detaillierte Funktionsspezifikation, die das beabsichtigte Verhalten definiert, z.B. über Zustandswechsel, erlaubte Toleranzen.

Problem der Spezifizierungsphase Der offene Verkehrsraum ermöglicht keine geschlossene, vollständige

Funktionsspezifikation (Verkehrsumgebung: Witterung, Fahrbahnoberfläche, Fahrbahntopologie, Fahrbahnverlauf, Verkehrsregelung, fahrender und ruhende Verkehrsteilnehmer, räumlich-zeitliche Bedingungen,….)

[Bild: Weitzel 2013]


11

Ansatz: Dauerlauf

Heute Basis der Fahrzeugfreigabe Typische Umfänge: 100.000 bis 1. Mio km

Strecken werden auf Erfahrungswerten „beschleunigend“ ausgesucht und „beschleunigend“ durchfahren (=> worst case Strecken)

Gesamtsystem-Abnahme in mehreren Varianten (Abschlusstest für Vielzahl an Systemen und Komponenten)

Anforderungen an den Dauerlauf für autonomes Fahren Nachweis der Perzeptions- und Kognitionsqualität in der offenen

Umgebung (öffentlicher Straßenverkehr, ggf. eingegrenzt)

Nachweis: Risiko von autonomen Fahren liegt unterhalb Bezugsrisiko ? Was ist das Bezugsrisiko?


12

Ansatz: Dauerlauf - Zahlenbeispiele

Heute (Basis: ADAC Statistiken, 2010-2012): in 10 oder 20 Jahren: Mit zunehmender Durchdringung des Fahrzeugbestands mit

Fahrerassistenzsystemen kann mit Verdopplung der Strecke zwischen zwei Unfällen mit Personenschaden gerechnet werden.

Unfälle mit Personen-schaden

Fahrleistung Strecke zwischen zwei Unfällen mit Personenschaden

Deutschland alle Straßenfahrzeuge

300.000 7,1·1011 km 2,0 Mio. km

Deutschland Pkw

180.000 6,0·1011 km 3,3 Mio. km

Bundesautobahnen alle Straßenfahrzeuge

≈18.000 (Abschätzung aus

Verletztenanzahl)

2,2·1011 km 12,0 Mio. km


13

Ansatz: Dauerlauf – Statistiküberlegungen (I)

Definitionen: (Unfall-)Ereignisse k pro Strecke s: k/s Mittlere Strecke zwischen zwei Ereignissen s/k Streckenlänge des Tests s0 Im Test aufgetretene (Unfall-)Ereignisse k0 Referenzstrecke zwischen zwei Ereignissen sref (Zielgröße) Erwartungswert eines Tests (λ0 = <k0> = s0 /ssys) mit System Erwartungswert Referenz (λref = <kref> = s0 /sref ) Akzeptierte Irrtumswahrscheinlichkeit eaccepted für eine Falschaussage

„System besser Referenz“, obwohl λ0 > λref, (üblich sind 5%) Poisson-Verteilung (unabhängiger, „nicht erschöpfender“ Zufallsprozess)

für Wahrscheinlichkeit, dass k Ereignisse bei einem Erwartungswert λ auftreten:

( ) e

!

k

P kk

λλ

λ −=


14

Ansatz: Dauerlauf – Statistiküberlegungen (II)

Frage 1: Wie groß muss λref,acc, d.h. die Strecke s0 im Verhältnis zu sref sein, falls k0

Ereignisse auftreten, um mit der akzeptierten Irrtumswahrscheinlichkeit eaccepted statistisch ausschließen zu können, dass der Systemerwartungs-wert über dem Referenzwert liegt, also λ0 > λref ist:

( )

( )0

,

, 0

0

gesucht wird , für das gilt

ref acc

ref acc

k

acceptedk

k

P k eλ

λ

=

=∑0

,,

0

e!

ref acc

kkref acc

acceptedk

ek

λλ −

=

= =∑


15

Ansatz: Dauerlauf – Statistiküberlegungen (III)

Ergebnis 1: Ein Vielfaches der Referenzstrecke wird benötigt.

Aber: Mit λ0 = λref beträgt die Wahrscheinlichkeit des Bestehens auch nur 5%

0

2

4

6

8

10

12

0 1 2 3 4 5

Stre

cken

fakt

or λ

ref,a

cc fü

r e =

5%

Ereignisse k0


16

Ansatz: Dauerlauf – Statistiküberlegungen

Frage 2: Wie viel besser α = λ0 /λref,acc= sref,acc /ssys<1 muss das System im Vergleich

zur Referenz sein, damit der Nachweis mit einer Ereigniszahl von k0 zu 50% bei einer Strecke gelingt?

Ergebnis 2: System muss ungefähr 2- bis 4-mal besser

als die Referenz sein, damit der Test mit 50% Wahrscheinlichkeit gelingt.

0

0,1

0,2

0,3

0,4

0,5

0,6

0 1 2 3 4 5 α 5

0%

Ereignisse

( ) ( )0

50%50% 00

für gilt 50%k

kk P kλλ

=

=∑

( ) ( )( ) ( ),50% 0

50% 0 0, 0 ,50%

= ref acc

ref acc sys

skk k

k sλ

αλ

=

050%50%

0

e 0,5!

k k

k kλλ −

=

=∑


17

Frage 3: Wie groß muss die Strecke s50% im Verhältnis zur Referenzstrecke sref

gewählt werden, damit der Nachweis zu 50% gelingt?

Ergebnis 3: Das System muss doppelt so gut sein, damit in einer fast 10x größeren

Strecke als die Referenz zu 50% der Nachweis gelingt, gerade besser zu sein als der Referenzwert.

Ansatz: Dauerlauf – Statistiküberlegungen

( ) ( )50% 0

, 0, 50% 0

( 0,67)ref acc

ref acc

s kks k

λα+

= ≈

Grafik λref,acc vs αref für verschiedene k0


18

Konsequenz für die Testmethodik - Dauerlauf

Idealer Fall (nur statistisch unabhängige Unfallereignisse): Strecke > 100 Mio. km => Kosten mehrere 100 Mio. €

Bei jeder Veränderung erneute Dauerlaufprüfung notwendig

Realität ist aber noch schlimmer Testabdeckung immer noch gering (etwas mehr als 1 o/oo der jährlichen

Fahrleistungen in D), potentielle „pathologische“ Fälle bleiben verborgen

Große Länderunterschiede

USA ca. 127 Mio. km/fatal crash (nach Shladover 2009)

Komponentenkombinationen (Grenzmusterverhalten)

Referenz ISO 26262 Erlaubte Rate nicht entdeckter Ausfälle mit potentiellem Schaden für

Gesundheit und Leben: 10-8/h => ca. 50·108 km = 5 Mrd. km


19

Ansatz: Trojanisches Pferd

Test von Funktionsteilen in Serienfahrzeugen, aber ohne Gefahrenauswirkung Potenzial: Abdeckung von 108 bis 109 km in einem

Jahreszeitraum möglich

A posteriori Bewertung

Problem: Situationsverlauf entspricht nicht der

Zielfunktion, daher ist keine Aussage über Algorithmusverhalten in komplexeren Situationen möglich.

Bild: http://www.tienda-medieval.com/de


20

Ansatz: X-in-the-Loop

Einbindung von SW- und/oder HW-Komponenten bis hin zum Fahrzeug Testautomatisierung erreicht weit höhere Testvektor-

variation als unter Dauerlaufbedingungen möglich. Im Nfz-Bereich schon für Homologation von Varianten

eingesetzt.

Fehlende Voraussetzungen: Valides Umfeldmodell Straßennetz makro- und mikroskopisch Szenerie im Detail Valide und echtzeitfähige Sensormodelle (z.B. für Radar-Reflektion und

-Ausbreitung) Valides „Partner“-Verhaltensmodell anderer Verkehrsteilnehmer Gesamtvalidation der Methodik

Quelle: VKM TU Darmstadt


21

Ansatz: Open-Loop

Perzeption Sensordatenaufbereitung -> Rohdaten in Datenbank hinterlegen

Objektbildung

Situationsanalyse

Validierung anhand eines Szenarienkatalogs

Herausforderungen: Testabdeckung -> Szenarienkatalog

Auswahl von kritischen/relevanten Szenarien

Detailierungsproblematik

Offline-Test und -Optimierung


22

Ansatz: Gestufte Einführung

Voraussetzung: Die Funktionen und Fähigkeiten des Systems „mitwachsen“ lassen. Das System ist updatefähig.

Einsatz: Der Kunde kauft ein sicheres β-System mit dem Versprechen der

Funktionserweiterung (Beispiel: Google GLASS). Begrenzung auf sichere Funktionen oder überschaubare Einsatzbereiche.

Unnötige erscheinenden Abschaltungen der automatischen Funktion in sicherheitsunkritischen Situationen müssen zunächst akzeptiert werden.

Eigenschaften: Test durch den Kunden. Große Kilometerzahl möglich. Image Risiko, hohe Kosten für den Kunden Methodische Schwäche: Nutzer sind nicht repräsentativ (‚early adopter‘

Klientel)


23

Ansatz: Komplexe Tests

Wenige komplexe Tests ersetzen viele einfache Tests Testqualität gegenüber Testquantität

Herausforderung: Zusammenwirken von mehreren Systemen

Trennen von Effekten wird schwierig

Fehlende Voraussetzungen Bewertung einer Testqualität

Identifizierte Beschleunigungsfaktoren


24

Ansatz: Reifegrad-Modelle

Qualitätsmethodik wie im Bereich der SW-Entwicklung (CMMI, PSICE) Prozessorientierte Qualitätssicherung

Vorbeugung prozessbedingter Qualitätsmängel

Ergänzung zum RESPONSE Code-of-practise

Grenzen Ersetzt keine Funktions- und Freigabetests


25

Mögliche Ansätze

V-Modell (UseCases→ TestCases)

Dauerlauf

X-in-the-Loop

Reifegrad-Modelle

„Trojanisches Pferd“

Open-Loop Offline Perzeptionstests

Gestufte Einführung - Test durch Kunden

Komplexe Tests Beschleunigungsfaktor


26

Autonome Fahrzeuge mit Intelligenz

Intelligenz (in diesem Kontext): Fähigkeit, auch in nicht geübten Fällen Entscheidungen treffen zu können.

Aber auch durch Übung die Entscheidungsqualität zu verbessern, um die Fahr„perfomance“ zu erhöhen.

Konsequenzen: Maschinelles Lernen (allein, im Kollektiv, oder beides)

Implementation eines Risikobewusstseins („maschinelle Angst, maschineller Mut“)

Implementation von übergeordneten Regeln und/oder „Maschinenethik“

Entwicklung einer Verhandlungs- und Kooperationsfähigkeit


27

Absicherung von Fahrintelligenz (I)

Lernen Robustheit abtesten, insbesondere sicherstellen, dass die

Bewertungsmaßstäbe nicht zum Lernen in die falschen Richtung führen können.

Testen eines Systems mit „Gedächtnis“. Neue Dimension im Szenarienkatalog. Zeit- bzw. Situationsvariantes System

Kopplung zwischen zwei und mehr lernenden Bereichen in einem Automaten.

Geübtheit darf nicht zur Übertragung von Handlungsmustern auf nicht zutreffende Bereiche führen. (Übertragbarkeit / Allgemeingültigkeit des Gelernten)

…


28

Absicherung von Fahrintelligenz (II)

Risikobewusstsein Testbarkeit erscheint möglich (SiL, HiL, reale Testszenarien), über quasi-

zufällige kritische Situationen

Voraussetzung ist das Bewusstsein über eigenen Fähigkeiten: Perzeptionsqualität, Kognitionsqualität, Entscheidungsqualität und Aktionsqualität

Notwendig ist ein Situationsbewusstsein mit Risikomaß

…


29

Absicherung von Fahrintelligenz (III)

Maschinenethik Testbarkeit evtl. möglich über den Nachweis einer widerspruchsfreien

Ethik.

Voraussetzung ist die Implementation einer Ethik

Ethik als Rahmen für Überwachung und Adaption („ethische Metriken“)

Problematik Maschinenethik steht im Spannungsfeld zwischen Herstellern, Staaten,

Nutzern, Verkehrsteilnehmern. Gibt es eine allgemeine/absolute Ethik?

…


30

Absicherung von Fahrintelligenz (IV)

Verhandlungs- und Kooperationsfähigkeit Testbarkeit evtl. möglich (SiL, HiL, reale Testszenarien), über typische

Kooperationssituationen

Verhandlung und Kooperation mit menschlichen Fahrern UND autonomen Fahrzeugen

Nur welche Dialogmittel für die Verhandlung stehen autonomes Fahrzeugen zur Verfügung?

…


31

Autonomes Fahren

Freigabefalle

Mit heutigen Methoden und Ansätzen ist eine Freigabe von autonomen Fahrzeugen nicht vorstellbar!

?

Was nun?


32

Schlussfolgerung

Absicherungsstrategie Heutige Konzepte versagen (zu teuer und immer noch unzureichend)

Vorhersage: Einführung wird nicht „auf einen Schlag“ möglich sein (z.B. mit einem neuen Fahrzeugtyp)

Strenggenommen (nach V-Modell) dürfte nicht funktional an autonomen Fahren entwickelt werden, weil keine Validationsmethodik definiert ist. Funktionale Entwicklung und Absicherungsmethodik muss Hand in Hand erfolgen. Einführungsstrategie mit Risikobegrenzung durch funktionale Evolution und/oder volumenbegrenzte Einführung(en), damit auch die Absicherungsmethodik reifen kann.


33

Schlussaussage

Der kritische Pfad zur Einführung autonomer Fahrzeuge liegt nicht in der Technologie, sondern in der Entwicklung einer Metrik, die eine Freigabe ermöglicht!

Freigabe-falle

Freigabe

Bewertungsmetrik


35

Literatur

Flemisch 2007: Flemisch, Frank; Kelsch, Johann; Löper, Christian; Schieben, Anna; Schindler, Julian: Automation spectrum, inner / outer compatibility and other potentially. 2007

Shladover 2009: Steven E. Shladover: Cooperative (Rather Than Autonomous) Vehicle-Highway Automation. 2009

Weitzel 2013: Weitzel, Alexander et al.: Absicherungsstrategien für Fahrerassistenzsysteme mit Umfeldwahrnehmung. Forschungsbericht FE-Nr. 82.0546/2012. 2013

Prof. Dr. rer. nat. Hermann Winner Dipl.-Ing. Walther ... · („maschinelle Ethik“) Entscheidet...

Documents

Transcript of Prof. Dr. rer. nat. Hermann Winner Dipl.-Ing. Walther ... · („maschinelle Ethik“) Entscheidet...