Prof. Dr. rer. nat. Hermann Winner Dipl.-Ing. Walther ... · („maschinelle Ethik“) Entscheidet...
-
Upload
truongkhanh -
Category
Documents
-
view
216 -
download
0
Transcript of Prof. Dr. rer. nat. Hermann Winner Dipl.-Ing. Walther ... · („maschinelle Ethik“) Entscheidet...
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
Absicherung automatischen Fahrens
Prof. Dr. rer. nat. Hermann Winner Dipl.-Ing. Walther Wachenfeld
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
2
Definition: Automatisches Fahren
Die Ausführung der Fahraufgabe wird automatisiert.
Die Ausführung besteht aus: • Perzeption • Kognition • Verhaltenssteuerung • Aktion/Trajektorienregelung
Die Fahraufgabe nach Donges besteht aus:
• Navigation • Bahnführung • Stabilisierung
[Darstellung nach Flemisch 2007, Einteilung nach BASt 2012]
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
3
Vorläufer (I)
Teilautomatisiertes Fahren Paradigma: Fahrer hat ungewolltes oder unpassendes automatisches
Verhalten durch Übernahme oder Korrektur abzuwenden.
‚Design for Controllability‘
Absicherung der Kontrollierbarkeit für repräsentative Situationen, in denen ein falsches Verhalten stimuliert wird.
Problem: Zum Teil Absicherung der Kontrollierbarkeit gemäß ISO26262 auf höchster Stufe C0: Controllable in general
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
4
Vorläufer (II)
Automatisiertes Stau(folge)fahren Innerhalb Hands-off-Betrieb:
Strategie des immer möglichen Notstopps
Abzusichern:
Vermeidung von Kollision mit Objekten des Nahbereichs hauptsächlich durch unmittelbaren Stopp
Nichtübersehen von relevanten Objekten, die in den Anhaltebereich des Subjektfahrzeugs eindringen (Abtesten auf 0% falsch-negativ)
Falsch-positive Erkennung aus Sicherheitsgründen akzeptabel
Ansonsten:
‚Design for Controllability‘ über Hands-on-Überwachung
Aufweichung des Hands-on-Zwangs mit Fahrerüberwachung denkbar
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
5
Vorläufer (III)
Hochautomatisiertes Fahren Annahme: Fahrer wird bei Erreichen einer Funktionsgrenze des
automatisierten Fahrens rechtzeitig zur Übernahme aufgefordert.
Gegenüber Teilautomatisierung zusätzliche Absicherungsaufgaben:
Innerhalb der Funktionsgrenzen sichere automatische Fahrt
Zuverlässiges Erkennen von Funktionsgrenzen in hinreichendem Abstand von potentiell kritischen Situationen
Sicherstellung des sicheren Übergangs zur manuellen Fahrt, d.h. Übergabe muss so rechtzeitig angekündigt werden, dass der Fahrer zurück in die Regelschleife kommt und keine kritische Situation entstehen kann.
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
6
Vorläufer (III)
Absicherung des hochautomatisierten Fahrens Für Absicherung Vereinigung der Nachteile von Teil- und
Vollautomatisiert:
Schwieriger Nachweis der Übergabe-Kontrollierbarkeit
Nachweis der Sicherheit des automatisierten Fahrens bis zur Fahrerübergabe ohne wesentlichen Unterschied zum vollautomatisierten Fahren
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
7
Vollautomatisiertes Fahren/ Autonomes Fahren
Charakteristika: Fahrzeugführung ohne Notwendigkeit des Fahrereingriffs
Entscheidungsautonomie innerhalb eines Verhaltensrahmens („maschinelle Ethik“)
Entscheidet selbstständig über Übergang in einen risikominimalen Zustand und führt diesen durch, falls die Weiterfahrt nicht möglich erscheint
Variantenvielfalt (Beispiele): mit Fahrer (zur Erweiterung des Einsatzbereichs und/oder als
Verfügbarkeitsfahrer) oder ohne Fahrer
beschränkt auf bestimmte Wege oder Arbeitsbereiche oder unbeschränkt
unterschiedliche Beförderungsziele („normaler“ Individualverkehr, Valet Parking, Taxi, Warentransport, …)
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
8
Stand der Entwicklung
Fahrten mit Sicherheitsfahrer, z.B. Google 500.000 km (allerdings ohne Angabe der Zahl von Eingriffen des
Sicherheitsfahrers); Aussage Lewandowski ( 9.10.2013): Herausforderung für die Zukunft ist die Steigerung der Robustheit gegenüber neuen Situationen
Daimler: Autonome Bertha-Benz-Gedächtnisfahrt ohne Sicherheitseingriff durch Fahrer (nach wochenlanger „Übung“)
Heute reichen 100 „neue“ km für eine „Algorithmusverbesserung“ Perzeptionsalgorithmen lassen sich durch aufgezeichnete (und ggf. annotierte) Datensätze im Labor gut weiterentwickeln. Metriken für Perzeptions- und Kognitionsleistung sind nur sehr rudimentär vorhanden.
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
9
Mögliche Ansätze zur Absicherung des Vollautomatisierten Fahrens
V-Modell (UseCases→ TestCases)
Dauerlauf
X-in-the-Loop
Reifegrad-Modelle
„Trojanisches Pferd“
Open-Loop Offline Perzeptionstests
Gestufte Einführung Komplexe Tests
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
10
Ansatz: Vorgehen nach dem V-Modell
V-Modell-Paradigma Aus Anforderungsanalyse mit
UseCases werden repräsentative Validierungs-TestCases abgeleitet, oft als worst-case-Szenarien
Zugrunde liegt eine detaillierte Funktionsspezifikation, die das beabsichtigte Verhalten definiert, z.B. über Zustandswechsel, erlaubte Toleranzen.
Problem der Spezifizierungsphase Der offene Verkehrsraum ermöglicht keine geschlossene, vollständige
Funktionsspezifikation (Verkehrsumgebung: Witterung, Fahrbahnoberfläche, Fahrbahntopologie, Fahrbahnverlauf, Verkehrsregelung, fahrender und ruhende Verkehrsteilnehmer, räumlich-zeitliche Bedingungen,….)
[Bild: Weitzel 2013]
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
11
Ansatz: Dauerlauf
Heute Basis der Fahrzeugfreigabe Typische Umfänge: 100.000 bis 1. Mio km
Strecken werden auf Erfahrungswerten „beschleunigend“ ausgesucht und „beschleunigend“ durchfahren (=> worst case Strecken)
Gesamtsystem-Abnahme in mehreren Varianten (Abschlusstest für Vielzahl an Systemen und Komponenten)
Anforderungen an den Dauerlauf für autonomes Fahren Nachweis der Perzeptions- und Kognitionsqualität in der offenen
Umgebung (öffentlicher Straßenverkehr, ggf. eingegrenzt)
Nachweis: Risiko von autonomen Fahren liegt unterhalb Bezugsrisiko ? Was ist das Bezugsrisiko?
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
12
Ansatz: Dauerlauf - Zahlenbeispiele
Heute (Basis: ADAC Statistiken, 2010-2012): in 10 oder 20 Jahren: Mit zunehmender Durchdringung des Fahrzeugbestands mit
Fahrerassistenzsystemen kann mit Verdopplung der Strecke zwischen zwei Unfällen mit Personenschaden gerechnet werden.
Unfälle mit Personen-schaden
Fahrleistung Strecke zwischen zwei Unfällen mit Personenschaden
Deutschland alle Straßenfahrzeuge
300.000 7,1·1011 km 2,0 Mio. km
Deutschland Pkw
180.000 6,0·1011 km 3,3 Mio. km
Bundesautobahnen alle Straßenfahrzeuge
≈18.000 (Abschätzung aus
Verletztenanzahl)
2,2·1011 km 12,0 Mio. km
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
13
Ansatz: Dauerlauf – Statistiküberlegungen (I)
Definitionen: (Unfall-)Ereignisse k pro Strecke s: k/s Mittlere Strecke zwischen zwei Ereignissen s/k Streckenlänge des Tests s0 Im Test aufgetretene (Unfall-)Ereignisse k0 Referenzstrecke zwischen zwei Ereignissen sref (Zielgröße) Erwartungswert eines Tests (λ0 = <k0> = s0 /ssys) mit System Erwartungswert Referenz (λref = <kref> = s0 /sref ) Akzeptierte Irrtumswahrscheinlichkeit eaccepted für eine Falschaussage
„System besser Referenz“, obwohl λ0 > λref, (üblich sind 5%) Poisson-Verteilung (unabhängiger, „nicht erschöpfender“ Zufallsprozess)
für Wahrscheinlichkeit, dass k Ereignisse bei einem Erwartungswert λ auftreten:
( ) e
!
k
P kk
λλ
λ −=
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
14
Ansatz: Dauerlauf – Statistiküberlegungen (II)
Frage 1: Wie groß muss λref,acc, d.h. die Strecke s0 im Verhältnis zu sref sein, falls k0
Ereignisse auftreten, um mit der akzeptierten Irrtumswahrscheinlichkeit eaccepted statistisch ausschließen zu können, dass der Systemerwartungs-wert über dem Referenzwert liegt, also λ0 > λref ist:
( )
( )0
,
, 0
0
gesucht wird , für das gilt
ref acc
ref acc
k
acceptedk
k
P k eλ
λ
=
=∑0
,,
0
e!
ref acc
kkref acc
acceptedk
ek
λλ −
=
= =∑
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
15
Ansatz: Dauerlauf – Statistiküberlegungen (III)
Ergebnis 1: Ein Vielfaches der Referenzstrecke wird benötigt.
Aber: Mit λ0 = λref beträgt die Wahrscheinlichkeit des Bestehens auch nur 5%
0
2
4
6
8
10
12
0 1 2 3 4 5
Stre
cken
fakt
or λ
ref,a
cc fü
r e =
5%
Ereignisse k0
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
16
Ansatz: Dauerlauf – Statistiküberlegungen
Frage 2: Wie viel besser α = λ0 /λref,acc= sref,acc /ssys<1 muss das System im Vergleich
zur Referenz sein, damit der Nachweis mit einer Ereigniszahl von k0 zu 50% bei einer Strecke gelingt?
Ergebnis 2: System muss ungefähr 2- bis 4-mal besser
als die Referenz sein, damit der Test mit 50% Wahrscheinlichkeit gelingt.
0
0,1
0,2
0,3
0,4
0,5
0,6
0 1 2 3 4 5 α 5
0%
Ereignisse
( ) ( )0
50%50% 00
für gilt 50%k
kk P kλλ
=
=∑
( ) ( )( ) ( ),50% 0
50% 0 0, 0 ,50%
= ref acc
ref acc sys
skk k
k sλ
αλ
=
050%50%
0
e 0,5!
k k
k kλλ −
=
=∑
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
17
Frage 3: Wie groß muss die Strecke s50% im Verhältnis zur Referenzstrecke sref
gewählt werden, damit der Nachweis zu 50% gelingt?
Ergebnis 3: Das System muss doppelt so gut sein, damit in einer fast 10x größeren
Strecke als die Referenz zu 50% der Nachweis gelingt, gerade besser zu sein als der Referenzwert.
Ansatz: Dauerlauf – Statistiküberlegungen
( ) ( )50% 0
, 0, 50% 0
( 0,67)ref acc
ref acc
s kks k
λα+
= ≈
Grafik λref,acc vs αref für verschiedene k0
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
18
Konsequenz für die Testmethodik - Dauerlauf
Idealer Fall (nur statistisch unabhängige Unfallereignisse): Strecke > 100 Mio. km => Kosten mehrere 100 Mio. €
Bei jeder Veränderung erneute Dauerlaufprüfung notwendig
Realität ist aber noch schlimmer Testabdeckung immer noch gering (etwas mehr als 1 o/oo der jährlichen
Fahrleistungen in D), potentielle „pathologische“ Fälle bleiben verborgen
Große Länderunterschiede
USA ca. 127 Mio. km/fatal crash (nach Shladover 2009)
Komponentenkombinationen (Grenzmusterverhalten)
Referenz ISO 26262 Erlaubte Rate nicht entdeckter Ausfälle mit potentiellem Schaden für
Gesundheit und Leben: 10-8/h => ca. 50·108 km = 5 Mrd. km
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
19
Ansatz: Trojanisches Pferd
Test von Funktionsteilen in Serienfahrzeugen, aber ohne Gefahrenauswirkung Potenzial: Abdeckung von 108 bis 109 km in einem
Jahreszeitraum möglich
A posteriori Bewertung
Problem: Situationsverlauf entspricht nicht der
Zielfunktion, daher ist keine Aussage über Algorithmusverhalten in komplexeren Situationen möglich.
Bild: http://www.tienda-medieval.com/de
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
20
Ansatz: X-in-the-Loop
Einbindung von SW- und/oder HW-Komponenten bis hin zum Fahrzeug Testautomatisierung erreicht weit höhere Testvektor-
variation als unter Dauerlaufbedingungen möglich. Im Nfz-Bereich schon für Homologation von Varianten
eingesetzt.
Fehlende Voraussetzungen: Valides Umfeldmodell Straßennetz makro- und mikroskopisch Szenerie im Detail Valide und echtzeitfähige Sensormodelle (z.B. für Radar-Reflektion und
-Ausbreitung) Valides „Partner“-Verhaltensmodell anderer Verkehrsteilnehmer Gesamtvalidation der Methodik
Quelle: VKM TU Darmstadt
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
21
Ansatz: Open-Loop
Perzeption Sensordatenaufbereitung -> Rohdaten in Datenbank hinterlegen
Objektbildung
Situationsanalyse
Validierung anhand eines Szenarienkatalogs
Herausforderungen: Testabdeckung -> Szenarienkatalog
Auswahl von kritischen/relevanten Szenarien
Detailierungsproblematik
Offline-Test und -Optimierung
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
22
Ansatz: Gestufte Einführung
Voraussetzung: Die Funktionen und Fähigkeiten des Systems „mitwachsen“ lassen. Das System ist updatefähig.
Einsatz: Der Kunde kauft ein sicheres β-System mit dem Versprechen der
Funktionserweiterung (Beispiel: Google GLASS). Begrenzung auf sichere Funktionen oder überschaubare Einsatzbereiche.
Unnötige erscheinenden Abschaltungen der automatischen Funktion in sicherheitsunkritischen Situationen müssen zunächst akzeptiert werden.
Eigenschaften: Test durch den Kunden. Große Kilometerzahl möglich. Image Risiko, hohe Kosten für den Kunden Methodische Schwäche: Nutzer sind nicht repräsentativ (‚early adopter‘
Klientel)
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
23
Ansatz: Komplexe Tests
Wenige komplexe Tests ersetzen viele einfache Tests Testqualität gegenüber Testquantität
Herausforderung: Zusammenwirken von mehreren Systemen
Trennen von Effekten wird schwierig
Fehlende Voraussetzungen Bewertung einer Testqualität
Identifizierte Beschleunigungsfaktoren
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
24
Ansatz: Reifegrad-Modelle
Qualitätsmethodik wie im Bereich der SW-Entwicklung (CMMI, PSICE) Prozessorientierte Qualitätssicherung
Vorbeugung prozessbedingter Qualitätsmängel
Ergänzung zum RESPONSE Code-of-practise
Grenzen Ersetzt keine Funktions- und Freigabetests
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
25
Mögliche Ansätze
V-Modell (UseCases→ TestCases)
Dauerlauf
X-in-the-Loop
Reifegrad-Modelle
„Trojanisches Pferd“
Open-Loop Offline Perzeptionstests
Gestufte Einführung - Test durch Kunden
Komplexe Tests Beschleunigungsfaktor
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
26
Autonome Fahrzeuge mit Intelligenz
Intelligenz (in diesem Kontext): Fähigkeit, auch in nicht geübten Fällen Entscheidungen treffen zu können.
Aber auch durch Übung die Entscheidungsqualität zu verbessern, um die Fahr„perfomance“ zu erhöhen.
Konsequenzen: Maschinelles Lernen (allein, im Kollektiv, oder beides)
Implementation eines Risikobewusstseins („maschinelle Angst, maschineller Mut“)
Implementation von übergeordneten Regeln und/oder „Maschinenethik“
Entwicklung einer Verhandlungs- und Kooperationsfähigkeit
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
27
Absicherung von Fahrintelligenz (I)
Lernen Robustheit abtesten, insbesondere sicherstellen, dass die
Bewertungsmaßstäbe nicht zum Lernen in die falschen Richtung führen können.
Testen eines Systems mit „Gedächtnis“. Neue Dimension im Szenarienkatalog. Zeit- bzw. Situationsvariantes System
Kopplung zwischen zwei und mehr lernenden Bereichen in einem Automaten.
Geübtheit darf nicht zur Übertragung von Handlungsmustern auf nicht zutreffende Bereiche führen. (Übertragbarkeit / Allgemeingültigkeit des Gelernten)
…
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
28
Absicherung von Fahrintelligenz (II)
Risikobewusstsein Testbarkeit erscheint möglich (SiL, HiL, reale Testszenarien), über quasi-
zufällige kritische Situationen
Voraussetzung ist das Bewusstsein über eigenen Fähigkeiten: Perzeptionsqualität, Kognitionsqualität, Entscheidungsqualität und Aktionsqualität
Notwendig ist ein Situationsbewusstsein mit Risikomaß
…
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
29
Absicherung von Fahrintelligenz (III)
Maschinenethik Testbarkeit evtl. möglich über den Nachweis einer widerspruchsfreien
Ethik.
Voraussetzung ist die Implementation einer Ethik
Ethik als Rahmen für Überwachung und Adaption („ethische Metriken“)
Problematik Maschinenethik steht im Spannungsfeld zwischen Herstellern, Staaten,
Nutzern, Verkehrsteilnehmern. Gibt es eine allgemeine/absolute Ethik?
…
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
30
Absicherung von Fahrintelligenz (IV)
Verhandlungs- und Kooperationsfähigkeit Testbarkeit evtl. möglich (SiL, HiL, reale Testszenarien), über typische
Kooperationssituationen
Verhandlung und Kooperation mit menschlichen Fahrern UND autonomen Fahrzeugen
Nur welche Dialogmittel für die Verhandlung stehen autonomes Fahrzeugen zur Verfügung?
…
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
31
Autonomes Fahren
Freigabefalle
Mit heutigen Methoden und Ansätzen ist eine Freigabe von autonomen Fahrzeugen nicht vorstellbar!
?
Was nun?
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
32
Schlussfolgerung
Absicherungsstrategie Heutige Konzepte versagen (zu teuer und immer noch unzureichend)
Vorhersage: Einführung wird nicht „auf einen Schlag“ möglich sein (z.B. mit einem neuen Fahrzeugtyp)
Strenggenommen (nach V-Modell) dürfte nicht funktional an autonomen Fahren entwickelt werden, weil keine Validationsmethodik definiert ist. Funktionale Entwicklung und Absicherungsmethodik muss Hand in Hand erfolgen. Einführungsstrategie mit Risikobegrenzung durch funktionale Evolution und/oder volumenbegrenzte Einführung(en), damit auch die Absicherungsmethodik reifen kann.
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
33
Schlussaussage
Der kritische Pfad zur Einführung autonomer Fahrzeuge liegt nicht in der Technologie, sondern in der Entwicklung einer Metrik, die eine Freigabe ermöglicht!
Freigabe-falle
Freigabe
Bewertungsmetrik
Absicherung automatischen Fahrens | Prof. Dr. rer. nat. H. Winner | 6. FAS-Tagung München | 29. November 2013
35
Literatur
Flemisch 2007: Flemisch, Frank; Kelsch, Johann; Löper, Christian; Schieben, Anna; Schindler, Julian: Automation spectrum, inner / outer compatibility and other potentially. 2007
Shladover 2009: Steven E. Shladover: Cooperative (Rather Than Autonomous) Vehicle-Highway Automation. 2009
Weitzel 2013: Weitzel, Alexander et al.: Absicherungsstrategien für Fahrerassistenzsysteme mit Umfeldwahrnehmung. Forschungsbericht FE-Nr. 82.0546/2012. 2013