Popp, Christoph (2023)
Simultaner Safety-Check von Trajektorien beim Automatisierten Fahren im Urbanen Verkehr.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00023223
Dissertation, Erstveröffentlichung, Verlagsversion
Kurzbeschreibung (Abstract)
Beim automatisierten Fahren kommen zunehmend Ansätze der künstlichen Intelligenz (KI) und des maschinellen Lernens zum Einsatz. Das Ziel ist, mit dieser Technologie auch komplexe Sachverhalte, die vom Menschen mit seiner kognitiven Intelligenz und Erfahrung schnell und präzise erfassbar sind, mit maschinellen Systemen in ausreichender Qualität zu erfassen. Das bedeutet, dass durch das automatisierte Fahrzeug nicht mehr Unfälle passieren dürfen als durch menschliche Fahrer. Ein Nachteil von KI-Ansätzen ist die geringe Nachvollziehbarkeit der Funktionsweise und Entscheidungsfindung der entsprechenden Algorithmen. Damit ist auch nicht im Detail bekannt, welche Fehlfunktionen bei derartigen Ansätzen auftreten können. Der Stand der Technik enthält bereits verschiedene Konzepte zur Absicherung von automatisierten Fahrzeugen und auch wenige theoretische Konzepte zur direkten Absicherung von KI-Algorithmen. Meist werden dabei allerdings vereinfachende Annahmen wie bspw. fehlerfrei funktionierende Umfeldsensorik getroffen. Auch der Komplettausfall von funk-tionalen Modulen wie Perzeption oder Trajektorienplanung wird in der Literatur kaum adressiert. Zur Schließung dieser Lücke wird der Ansatz verfolgt, die Schwächen des Planers durch ein nachgeschaltetes Modul zu kompensieren, das nicht die KI-Funktionen selbst, sondern lediglich deren Ergebnis in Form der Solltrajektorie absichert. In der vorliegenden Dissertation entspricht das dem Konzept des „Safety Checks“ (SC), das für den Einsatz im urbanen Verkehr vorgestellt wird. Dieses Modul befindet sich in der Architektur des automatisierten Systems zwischen Trajektorienplaner und Trajektorienregler. Bevor eine vom KI-basierten Planer ausgegebene Trajektorie zum Regler weitergeleitet wird, prüft das SC-Modul deren Sicherheit durch erklärbare deterministische Diagnosen ohne Einsatz von KI. Die im Fahrzeug vorhandenen und auch vom abzusichernden System verwendeten Sensordaten werden dafür mit diversitären Ansätzen auf einer anderen Verarbeitungsebene zur Sicherheitsprüfung genutzt. Im Fall einer unsicheren Trajektorie des Planers greift das SC-Modul ein und überführt das automatisierte Fahrzeug in einen risikominimalen Zustand. Regelung und Aktoransteuerung werden vom SC nicht abgesichert, da sie sich mit bestehenden konventionellen Methoden bereits zuverlässig absichern lassen. Im Zuge der Anforderungsdefinition an das Absicherungskonzept wird mittels Fehlerbaumanalyse systematisch hergeleitet, welche Ursachen zu unsicheren geplanten Trajektorien führen können. Das sind einerseits funktionale Unzulänglichkeiten im Bereich der Trajektorienplanung oder in der Interpretation der Umwelt, andererseits ein Komplettausfall von Modulen oder Sensoren. Daraus leitet sich die Anforderung an das SC-Modul ab, dass neben der Sicherheitsprüfung der Trajektorie auch die Überwachung des Gesundheitszustands von Sensoren und anderen Modulen erforderlich ist. Weitere Anforderungen sind, angemessen und ausreichend schnell auf das Auftreten eines unsicheren Zustands zu reagieren und die Falsch-Positiv-Eingriffsrate des SC-Moduls zu minimieren. Zur Identifizierung situationsgemäßer Reaktionen bei einem unsicheren Zustand wird der Lösungsraum für mögliche Notmanöver aufgespannt und diskutiert, welche Voraussetzungen für die Anwendung der verschiedenen Optionen jeweils zu erfüllen sind. Darauf basierend wird für das SC-Modul die primäre Notstrategie gewählt, entlang des aktuell oder zuletzt geplanten sicheren Pfades in den Stillstand zu bremsen. Aus den verschiedenen Unsicherheitsarten und Anforderungen werden funktionale Submodule abgeleitet, die der Informationsprüfung bzw. -plausibilisierung, der Trajektorienprüfung oder der Nottrajektoriengenerierung dienen. Daraus wird eine beispielhafte Ge-samtarchitektur des SC-Moduls gebildet, im realen Testfahrzeug implementiert und sowohl auf dem Testgelände als auch im öffentlichen Verkehr in einem Wohngebiet getestet. Die Detektionsreichweite der logik-basierten Objektlistenplausibilisierung, die vom Perzeptionsmodul nicht erfasste und somit in der Objektliste fehlende Objekte detektiert, ist unter Verwendung von Radar- und Lidardaten ausreichend für den absicherungsrelevanten Bereich. Da im Testfahrzeug nur ein nach vorne gerichteter Radarsensor vorhanden ist, offenbaren sich in Kreuzungsszenarien jedoch Schwierigkeiten in der Schätzung der Dynamik von querenden Objekten. Davon abgesehen erfolgt die Detektion von potenziell kollisionskritischen Objekten zuverlässig. Die Evaluation der Objektkritikalitätsprüfung zeigt, dass eine der größten Herausforderungen die Bewegungsprädiktion von anderen Verkehrsteilnehmern ist. Während in Open-Loop-Testfahrten im Realverkehr beim Folgen gerader Straßen keine Falscheingriffe des SC-Moduls auftreten, erweisen sich auch hier Kreuzungsszenarien als herausfordernd. Aufgrund der konservativen Objektbewegungsprädiktion, die der Prädiktion des menschlichen Testfahrers unterlegen ist, kommt es in eigentlich unkritischen Situationen mehrfach zu Eingriffen des SC-Moduls.
Typ des Eintrags: | Dissertation | ||||
---|---|---|---|---|---|
Erschienen: | 2023 | ||||
Autor(en): | Popp, Christoph | ||||
Art des Eintrags: | Erstveröffentlichung | ||||
Titel: | Simultaner Safety-Check von Trajektorien beim Automatisierten Fahren im Urbanen Verkehr | ||||
Sprache: | Deutsch | ||||
Referenten: | Winner, Prof. Dr. Hermann ; Adamy, Prof. Dr. Jürgen | ||||
Publikationsjahr: | 2023 | ||||
Ort: | Darmstadt | ||||
Kollation: | XVI, 167 Seiten | ||||
Datum der mündlichen Prüfung: | 7 Februar 2023 | ||||
DOI: | 10.26083/tuprints-00023223 | ||||
URL / URN: | https://tuprints.ulb.tu-darmstadt.de/23223 | ||||
Kurzbeschreibung (Abstract): | Beim automatisierten Fahren kommen zunehmend Ansätze der künstlichen Intelligenz (KI) und des maschinellen Lernens zum Einsatz. Das Ziel ist, mit dieser Technologie auch komplexe Sachverhalte, die vom Menschen mit seiner kognitiven Intelligenz und Erfahrung schnell und präzise erfassbar sind, mit maschinellen Systemen in ausreichender Qualität zu erfassen. Das bedeutet, dass durch das automatisierte Fahrzeug nicht mehr Unfälle passieren dürfen als durch menschliche Fahrer. Ein Nachteil von KI-Ansätzen ist die geringe Nachvollziehbarkeit der Funktionsweise und Entscheidungsfindung der entsprechenden Algorithmen. Damit ist auch nicht im Detail bekannt, welche Fehlfunktionen bei derartigen Ansätzen auftreten können. Der Stand der Technik enthält bereits verschiedene Konzepte zur Absicherung von automatisierten Fahrzeugen und auch wenige theoretische Konzepte zur direkten Absicherung von KI-Algorithmen. Meist werden dabei allerdings vereinfachende Annahmen wie bspw. fehlerfrei funktionierende Umfeldsensorik getroffen. Auch der Komplettausfall von funk-tionalen Modulen wie Perzeption oder Trajektorienplanung wird in der Literatur kaum adressiert. Zur Schließung dieser Lücke wird der Ansatz verfolgt, die Schwächen des Planers durch ein nachgeschaltetes Modul zu kompensieren, das nicht die KI-Funktionen selbst, sondern lediglich deren Ergebnis in Form der Solltrajektorie absichert. In der vorliegenden Dissertation entspricht das dem Konzept des „Safety Checks“ (SC), das für den Einsatz im urbanen Verkehr vorgestellt wird. Dieses Modul befindet sich in der Architektur des automatisierten Systems zwischen Trajektorienplaner und Trajektorienregler. Bevor eine vom KI-basierten Planer ausgegebene Trajektorie zum Regler weitergeleitet wird, prüft das SC-Modul deren Sicherheit durch erklärbare deterministische Diagnosen ohne Einsatz von KI. Die im Fahrzeug vorhandenen und auch vom abzusichernden System verwendeten Sensordaten werden dafür mit diversitären Ansätzen auf einer anderen Verarbeitungsebene zur Sicherheitsprüfung genutzt. Im Fall einer unsicheren Trajektorie des Planers greift das SC-Modul ein und überführt das automatisierte Fahrzeug in einen risikominimalen Zustand. Regelung und Aktoransteuerung werden vom SC nicht abgesichert, da sie sich mit bestehenden konventionellen Methoden bereits zuverlässig absichern lassen. Im Zuge der Anforderungsdefinition an das Absicherungskonzept wird mittels Fehlerbaumanalyse systematisch hergeleitet, welche Ursachen zu unsicheren geplanten Trajektorien führen können. Das sind einerseits funktionale Unzulänglichkeiten im Bereich der Trajektorienplanung oder in der Interpretation der Umwelt, andererseits ein Komplettausfall von Modulen oder Sensoren. Daraus leitet sich die Anforderung an das SC-Modul ab, dass neben der Sicherheitsprüfung der Trajektorie auch die Überwachung des Gesundheitszustands von Sensoren und anderen Modulen erforderlich ist. Weitere Anforderungen sind, angemessen und ausreichend schnell auf das Auftreten eines unsicheren Zustands zu reagieren und die Falsch-Positiv-Eingriffsrate des SC-Moduls zu minimieren. Zur Identifizierung situationsgemäßer Reaktionen bei einem unsicheren Zustand wird der Lösungsraum für mögliche Notmanöver aufgespannt und diskutiert, welche Voraussetzungen für die Anwendung der verschiedenen Optionen jeweils zu erfüllen sind. Darauf basierend wird für das SC-Modul die primäre Notstrategie gewählt, entlang des aktuell oder zuletzt geplanten sicheren Pfades in den Stillstand zu bremsen. Aus den verschiedenen Unsicherheitsarten und Anforderungen werden funktionale Submodule abgeleitet, die der Informationsprüfung bzw. -plausibilisierung, der Trajektorienprüfung oder der Nottrajektoriengenerierung dienen. Daraus wird eine beispielhafte Ge-samtarchitektur des SC-Moduls gebildet, im realen Testfahrzeug implementiert und sowohl auf dem Testgelände als auch im öffentlichen Verkehr in einem Wohngebiet getestet. Die Detektionsreichweite der logik-basierten Objektlistenplausibilisierung, die vom Perzeptionsmodul nicht erfasste und somit in der Objektliste fehlende Objekte detektiert, ist unter Verwendung von Radar- und Lidardaten ausreichend für den absicherungsrelevanten Bereich. Da im Testfahrzeug nur ein nach vorne gerichteter Radarsensor vorhanden ist, offenbaren sich in Kreuzungsszenarien jedoch Schwierigkeiten in der Schätzung der Dynamik von querenden Objekten. Davon abgesehen erfolgt die Detektion von potenziell kollisionskritischen Objekten zuverlässig. Die Evaluation der Objektkritikalitätsprüfung zeigt, dass eine der größten Herausforderungen die Bewegungsprädiktion von anderen Verkehrsteilnehmern ist. Während in Open-Loop-Testfahrten im Realverkehr beim Folgen gerader Straßen keine Falscheingriffe des SC-Moduls auftreten, erweisen sich auch hier Kreuzungsszenarien als herausfordernd. Aufgrund der konservativen Objektbewegungsprädiktion, die der Prädiktion des menschlichen Testfahrers unterlegen ist, kommt es in eigentlich unkritischen Situationen mehrfach zu Eingriffen des SC-Moduls. |
||||
Alternatives oder übersetztes Abstract: |
|
||||
Freie Schlagworte: | Automatisiertes Fahren, Absicherung, Sicherheit, Safety, Safety Check | ||||
Status: | Verlagsversion | ||||
URN: | urn:nbn:de:tuda-tuprints-232232 | ||||
Sachgruppe der Dewey Dezimalklassifikatin (DDC): | 600 Technik, Medizin, angewandte Wissenschaften > 620 Ingenieurwissenschaften und Maschinenbau | ||||
Fachbereich(e)/-gebiet(e): | 16 Fachbereich Maschinenbau 16 Fachbereich Maschinenbau > Fachgebiet Fahrzeugtechnik (FZD) |
||||
Hinterlegungsdatum: | 16 Feb 2023 13:15 | ||||
Letzte Änderung: | 17 Feb 2023 08:59 | ||||
PPN: | |||||
Referenten: | Winner, Prof. Dr. Hermann ; Adamy, Prof. Dr. Jürgen | ||||
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: | 7 Februar 2023 | ||||
Export: | |||||
Suche nach Titel in: | TUfind oder in Google |
Frage zum Eintrag |
Optionen (nur für Redakteure)
Redaktionelle Details anzeigen |