TU Darmstadt / ULB / TUbiblio

Simultaner Safety-Check von Trajektorien beim Automatisierten Fahren im Urbanen Verkehr

Popp, Christoph (2023)
Simultaner Safety-Check von Trajektorien beim Automatisierten Fahren im Urbanen Verkehr.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00023223
Dissertation, Erstveröffentlichung, Verlagsversion

Kurzbeschreibung (Abstract)

Beim automatisierten Fahren kommen zunehmend Ansätze der künstlichen Intelligenz (KI) und des maschinellen Lernens zum Einsatz. Das Ziel ist, mit dieser Technologie auch komplexe Sachverhalte, die vom Menschen mit seiner kognitiven Intelligenz und Erfahrung schnell und präzise erfassbar sind, mit maschinellen Systemen in ausreichender Qualität zu erfassen. Das bedeutet, dass durch das automatisierte Fahrzeug nicht mehr Unfälle passieren dürfen als durch menschliche Fahrer. Ein Nachteil von KI-Ansätzen ist die geringe Nachvollziehbarkeit der Funktionsweise und Entscheidungsfindung der entsprechenden Algorithmen. Damit ist auch nicht im Detail bekannt, welche Fehlfunktionen bei derartigen Ansätzen auftreten können. Der Stand der Technik enthält bereits verschiedene Konzepte zur Absicherung von automatisierten Fahrzeugen und auch wenige theoretische Konzepte zur direkten Absicherung von KI-Algorithmen. Meist werden dabei allerdings vereinfachende Annahmen wie bspw. fehlerfrei funktionierende Umfeldsensorik getroffen. Auch der Komplettausfall von funk-tionalen Modulen wie Perzeption oder Trajektorienplanung wird in der Literatur kaum adressiert. Zur Schließung dieser Lücke wird der Ansatz verfolgt, die Schwächen des Planers durch ein nachgeschaltetes Modul zu kompensieren, das nicht die KI-Funktionen selbst, sondern lediglich deren Ergebnis in Form der Solltrajektorie absichert. In der vorliegenden Dissertation entspricht das dem Konzept des „Safety Checks“ (SC), das für den Einsatz im urbanen Verkehr vorgestellt wird. Dieses Modul befindet sich in der Architektur des automatisierten Systems zwischen Trajektorienplaner und Trajektorienregler. Bevor eine vom KI-basierten Planer ausgegebene Trajektorie zum Regler weitergeleitet wird, prüft das SC-Modul deren Sicherheit durch erklärbare deterministische Diagnosen ohne Einsatz von KI. Die im Fahrzeug vorhandenen und auch vom abzusichernden System verwendeten Sensordaten werden dafür mit diversitären Ansätzen auf einer anderen Verarbeitungsebene zur Sicherheitsprüfung genutzt. Im Fall einer unsicheren Trajektorie des Planers greift das SC-Modul ein und überführt das automatisierte Fahrzeug in einen risikominimalen Zustand. Regelung und Aktoransteuerung werden vom SC nicht abgesichert, da sie sich mit bestehenden konventionellen Methoden bereits zuverlässig absichern lassen. Im Zuge der Anforderungsdefinition an das Absicherungskonzept wird mittels Fehlerbaumanalyse systematisch hergeleitet, welche Ursachen zu unsicheren geplanten Trajektorien führen können. Das sind einerseits funktionale Unzulänglichkeiten im Bereich der Trajektorienplanung oder in der Interpretation der Umwelt, andererseits ein Komplettausfall von Modulen oder Sensoren. Daraus leitet sich die Anforderung an das SC-Modul ab, dass neben der Sicherheitsprüfung der Trajektorie auch die Überwachung des Gesundheitszustands von Sensoren und anderen Modulen erforderlich ist. Weitere Anforderungen sind, angemessen und ausreichend schnell auf das Auftreten eines unsicheren Zustands zu reagieren und die Falsch-Positiv-Eingriffsrate des SC-Moduls zu minimieren. Zur Identifizierung situationsgemäßer Reaktionen bei einem unsicheren Zustand wird der Lösungsraum für mögliche Notmanöver aufgespannt und diskutiert, welche Voraussetzungen für die Anwendung der verschiedenen Optionen jeweils zu erfüllen sind. Darauf basierend wird für das SC-Modul die primäre Notstrategie gewählt, entlang des aktuell oder zuletzt geplanten sicheren Pfades in den Stillstand zu bremsen. Aus den verschiedenen Unsicherheitsarten und Anforderungen werden funktionale Submodule abgeleitet, die der Informationsprüfung bzw. -plausibilisierung, der Trajektorienprüfung oder der Nottrajektoriengenerierung dienen. Daraus wird eine beispielhafte Ge-samtarchitektur des SC-Moduls gebildet, im realen Testfahrzeug implementiert und sowohl auf dem Testgelände als auch im öffentlichen Verkehr in einem Wohngebiet getestet. Die Detektionsreichweite der logik-basierten Objektlistenplausibilisierung, die vom Perzeptionsmodul nicht erfasste und somit in der Objektliste fehlende Objekte detektiert, ist unter Verwendung von Radar- und Lidardaten ausreichend für den absicherungsrelevanten Bereich. Da im Testfahrzeug nur ein nach vorne gerichteter Radarsensor vorhanden ist, offenbaren sich in Kreuzungsszenarien jedoch Schwierigkeiten in der Schätzung der Dynamik von querenden Objekten. Davon abgesehen erfolgt die Detektion von potenziell kollisionskritischen Objekten zuverlässig. Die Evaluation der Objektkritikalitätsprüfung zeigt, dass eine der größten Herausforderungen die Bewegungsprädiktion von anderen Verkehrsteilnehmern ist. Während in Open-Loop-Testfahrten im Realverkehr beim Folgen gerader Straßen keine Falscheingriffe des SC-Moduls auftreten, erweisen sich auch hier Kreuzungsszenarien als herausfordernd. Aufgrund der konservativen Objektbewegungsprädiktion, die der Prädiktion des menschlichen Testfahrers unterlegen ist, kommt es in eigentlich unkritischen Situationen mehrfach zu Eingriffen des SC-Moduls.

Typ des Eintrags: Dissertation
Erschienen: 2023
Autor(en): Popp, Christoph
Art des Eintrags: Erstveröffentlichung
Titel: Simultaner Safety-Check von Trajektorien beim Automatisierten Fahren im Urbanen Verkehr
Sprache: Deutsch
Referenten: Winner, Prof. Dr. Hermann ; Adamy, Prof. Dr. Jürgen
Publikationsjahr: 2023
Ort: Darmstadt
Kollation: XVI, 167 Seiten
Datum der mündlichen Prüfung: 7 Februar 2023
DOI: 10.26083/tuprints-00023223
URL / URN: https://tuprints.ulb.tu-darmstadt.de/23223
Kurzbeschreibung (Abstract):

Beim automatisierten Fahren kommen zunehmend Ansätze der künstlichen Intelligenz (KI) und des maschinellen Lernens zum Einsatz. Das Ziel ist, mit dieser Technologie auch komplexe Sachverhalte, die vom Menschen mit seiner kognitiven Intelligenz und Erfahrung schnell und präzise erfassbar sind, mit maschinellen Systemen in ausreichender Qualität zu erfassen. Das bedeutet, dass durch das automatisierte Fahrzeug nicht mehr Unfälle passieren dürfen als durch menschliche Fahrer. Ein Nachteil von KI-Ansätzen ist die geringe Nachvollziehbarkeit der Funktionsweise und Entscheidungsfindung der entsprechenden Algorithmen. Damit ist auch nicht im Detail bekannt, welche Fehlfunktionen bei derartigen Ansätzen auftreten können. Der Stand der Technik enthält bereits verschiedene Konzepte zur Absicherung von automatisierten Fahrzeugen und auch wenige theoretische Konzepte zur direkten Absicherung von KI-Algorithmen. Meist werden dabei allerdings vereinfachende Annahmen wie bspw. fehlerfrei funktionierende Umfeldsensorik getroffen. Auch der Komplettausfall von funk-tionalen Modulen wie Perzeption oder Trajektorienplanung wird in der Literatur kaum adressiert. Zur Schließung dieser Lücke wird der Ansatz verfolgt, die Schwächen des Planers durch ein nachgeschaltetes Modul zu kompensieren, das nicht die KI-Funktionen selbst, sondern lediglich deren Ergebnis in Form der Solltrajektorie absichert. In der vorliegenden Dissertation entspricht das dem Konzept des „Safety Checks“ (SC), das für den Einsatz im urbanen Verkehr vorgestellt wird. Dieses Modul befindet sich in der Architektur des automatisierten Systems zwischen Trajektorienplaner und Trajektorienregler. Bevor eine vom KI-basierten Planer ausgegebene Trajektorie zum Regler weitergeleitet wird, prüft das SC-Modul deren Sicherheit durch erklärbare deterministische Diagnosen ohne Einsatz von KI. Die im Fahrzeug vorhandenen und auch vom abzusichernden System verwendeten Sensordaten werden dafür mit diversitären Ansätzen auf einer anderen Verarbeitungsebene zur Sicherheitsprüfung genutzt. Im Fall einer unsicheren Trajektorie des Planers greift das SC-Modul ein und überführt das automatisierte Fahrzeug in einen risikominimalen Zustand. Regelung und Aktoransteuerung werden vom SC nicht abgesichert, da sie sich mit bestehenden konventionellen Methoden bereits zuverlässig absichern lassen. Im Zuge der Anforderungsdefinition an das Absicherungskonzept wird mittels Fehlerbaumanalyse systematisch hergeleitet, welche Ursachen zu unsicheren geplanten Trajektorien führen können. Das sind einerseits funktionale Unzulänglichkeiten im Bereich der Trajektorienplanung oder in der Interpretation der Umwelt, andererseits ein Komplettausfall von Modulen oder Sensoren. Daraus leitet sich die Anforderung an das SC-Modul ab, dass neben der Sicherheitsprüfung der Trajektorie auch die Überwachung des Gesundheitszustands von Sensoren und anderen Modulen erforderlich ist. Weitere Anforderungen sind, angemessen und ausreichend schnell auf das Auftreten eines unsicheren Zustands zu reagieren und die Falsch-Positiv-Eingriffsrate des SC-Moduls zu minimieren. Zur Identifizierung situationsgemäßer Reaktionen bei einem unsicheren Zustand wird der Lösungsraum für mögliche Notmanöver aufgespannt und diskutiert, welche Voraussetzungen für die Anwendung der verschiedenen Optionen jeweils zu erfüllen sind. Darauf basierend wird für das SC-Modul die primäre Notstrategie gewählt, entlang des aktuell oder zuletzt geplanten sicheren Pfades in den Stillstand zu bremsen. Aus den verschiedenen Unsicherheitsarten und Anforderungen werden funktionale Submodule abgeleitet, die der Informationsprüfung bzw. -plausibilisierung, der Trajektorienprüfung oder der Nottrajektoriengenerierung dienen. Daraus wird eine beispielhafte Ge-samtarchitektur des SC-Moduls gebildet, im realen Testfahrzeug implementiert und sowohl auf dem Testgelände als auch im öffentlichen Verkehr in einem Wohngebiet getestet. Die Detektionsreichweite der logik-basierten Objektlistenplausibilisierung, die vom Perzeptionsmodul nicht erfasste und somit in der Objektliste fehlende Objekte detektiert, ist unter Verwendung von Radar- und Lidardaten ausreichend für den absicherungsrelevanten Bereich. Da im Testfahrzeug nur ein nach vorne gerichteter Radarsensor vorhanden ist, offenbaren sich in Kreuzungsszenarien jedoch Schwierigkeiten in der Schätzung der Dynamik von querenden Objekten. Davon abgesehen erfolgt die Detektion von potenziell kollisionskritischen Objekten zuverlässig. Die Evaluation der Objektkritikalitätsprüfung zeigt, dass eine der größten Herausforderungen die Bewegungsprädiktion von anderen Verkehrsteilnehmern ist. Während in Open-Loop-Testfahrten im Realverkehr beim Folgen gerader Straßen keine Falscheingriffe des SC-Moduls auftreten, erweisen sich auch hier Kreuzungsszenarien als herausfordernd. Aufgrund der konservativen Objektbewegungsprädiktion, die der Prädiktion des menschlichen Testfahrers unterlegen ist, kommt es in eigentlich unkritischen Situationen mehrfach zu Eingriffen des SC-Moduls.

Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Automated driving increasingly uses artificial intelligence (AI) and machine learning approaches. The goal is to use this technology with machine systems to sufficiently capture even complex situations that can be quickly and precisely understood by humans with their cognitive intelligence and experience. This means that the automated vehicle must not cause more accidents than human drivers. One disadvantage of AI approaches is the low traceability of the decision-making process of the algorithms. Thus, it is also not known in detail which malfunctions can occur with such approaches. The state of the art already contains concepts for the safeguarding of automated vehicles and also some theoretical concepts for the direct safeguarding of AI algorithms. Mostly, however, simplifying assumptions such as error-free operation of environmental sensors are made. Also, the complete failure of functional modules such as perception or trajectory planning is hardly addressed in literature. To close this gap, the approach is to compensate the weaknesses of the planner by a down-stream module, which does not safeguard the AI functions, but only their result in the form of the target trajectory. In this dissertation, this corresponds to the concept of the so-called "Safety Check" (SC), which is presented for use in urban traffic. In the architecture of the automated system, this module is located between the trajectory planner and the trajectory controller. Before a trajectory output by the AI-based planner is forwarded to the controller, the SC module checks the trajectory safety by performing explainable deterministic diagnostics without using AI. For this purpose, the sensor data available in the vehicle and also used by the system to be safeguarded are used with diversitary approaches on a different processing level for safety checking. In case of an unsafe trajectory of the planner, the SC module intervenes and transfers the automated vehicle into a minimum risk state. Actuator and trajectory control are not safeguarded by the SC, since they can already be reliably safe-guarded using existing conventional methods. In the course of defining the requirements for the safeguarding concept, fault tree analysis is used to systematically derive the causes that can lead to unsafe planned trajectories. These are, on the one hand, functional deficiencies in the field of trajectory planning or in the interpretation of the environment, and on the other hand, a complete failure of modules or sensors. This leads to the requirement for the SC module to monitor the health status of sensors and other modules in addition to the safety check of the trajectory. Other requirements are to react appropriately and quickly enough to the occurrence of an unsafe condition and to minimize the false positive intervention rate of the SC module. In order to identify situationally appropriate responses to an unsafe condition, the solution space for possible emergency maneuvers is drawn and the prerequisites for applying each of the various options are discussed. Based on this, the primary emergency strategy for the SC module is to brake to standstill along the currently or last planned safe path. Functional submodules are derived from the different uncertainty types and requirements, which are used for information plausibility, trajectory checking or emergency trajectory generation. From this, an exemplary overall architecture of the SC module is created, implemented in the real test vehicle and tested both on the test site and in public traffic in a residen-tial area. The detection range of the logic-based object list plausibility check, which uses radar and lidar data to detect objects that were not detected by the perception module and thus are missing in the object list, is sufficient for the safety-relevant area. However, since there is only one forward-facing radar sensor in the test vehicle, difficulties in estimating the dynamics of crossing objects arise in intersection scenarios. Apart from that, the detection of potentially collision-critical objects works reliably. The evaluation of the object criticality check reveals that one of the biggest challenges is the motion prediction of other road users. While in open-loop test drives in real traffic no erroneous interventions of the SC module occur when driving along straight roads, intersection scenarios are challenging again. Due to the conservative object motion prediction, which is inferior to the prediction of the human test driver, interventions of the SC module occur several times in actually uncritical situations.

Englisch
Freie Schlagworte: Automatisiertes Fahren, Absicherung, Sicherheit, Safety, Safety Check
Status: Verlagsversion
URN: urn:nbn:de:tuda-tuprints-232232
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 600 Technik, Medizin, angewandte Wissenschaften > 620 Ingenieurwissenschaften und Maschinenbau
Fachbereich(e)/-gebiet(e): 16 Fachbereich Maschinenbau
16 Fachbereich Maschinenbau > Fachgebiet Fahrzeugtechnik (FZD)
Hinterlegungsdatum: 16 Feb 2023 13:15
Letzte Änderung: 17 Feb 2023 08:59
PPN:
Referenten: Winner, Prof. Dr. Hermann ; Adamy, Prof. Dr. Jürgen
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 7 Februar 2023
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen