Werte- und fähigkeitsbasierte Bewegungsplanung für autonome Straßenfahrzeuge - Ein systemischer Ansatz
Die breite Markteinführung automatisierter Straßenfahrzeuge gestaltet sich an vielen Stellen deutlich langsamer als ursprünglich angenommen. Einen nicht zu unterschätzenden Beitrag zu dieser Tatsache liefern die inhärenten Unsicherheiten des menschlichen Straßenverkehrs und die Komplexität der Systeme, die zur Erfüllung der menschlichen Fahraufgabe notwendig sind. Der Straßenverkehr ist ein nicht geschlossen beschreibbares System, das über die Zeit veränderlich ist und in dem nahezu jede Situation theoretisch möglich ist. Der menschliche Straßenverkehr ist somit zur Entwicklungszeit für Entwickler*innen niemals vollständig beschreibbar. Damit sind automatisierte Fahrzeuge vor dem Einsatz in umfangreichen Einsatzumgebungen in letzter Konsequenz niemals vollständig spezifizierbar oder validierbar, sondern es ist lediglich eine ausreichende Verifikation und Validierung in Bezug auf ein definiertes Kriterium möglich. Ausreichend insofern, als argumentiert werden können werden muss, dass das vom System für die Öffentlichkeit ausgehende Risiko tolerierbar ist. Unsicherheiten und unvermeidliches Unwissen sorgen dafür, dass während des Entwurfs, während der Entwicklung und für die Freigabe Annahmen getroffen werden müssen, die immer auch eine ethische Dimension in Form von Werteabwägungen besitzen.
Zum Umgang mit Unsicherheiten während Entwurf und Entwicklung wählt diese Arbeit einen Ansatz auf der Grundlage moderner Methoden des modellbasierten Systems Engineering (MBSE). Die Methoden werden zur Erstellung eines auf die Domäne des automatisierten Fahrens zugeschnittenen Architektur-Frameworks genutzt, das u. a. Metamodelle und Architekturgesichtspunkte zur Dokumentation von Wertekonflikten und ihrer Auflösung bietet. Die Metamodelle basieren auf umfangreichen Konzeptmodellen, die relevante Aspekte aus der Domäne des automatisierten Fahrens mit etablierten Begrifflichkeiten des modellbasierten Systems Engineering vereinen. Die Arbeit präsentiert Konzepte zur Nutzung von Methoden der Wissens- und Selbstrepräsentation zum Umgang mit Unsicherheiten im Rahmen der Entscheidungsfindung und Trajektoriengenerierung zur Systemlaufzeit. Ausgewählte Aspekte werden am Beispiel eines modellprädiktiven Ansatzes zur Trajektoriengenerierung demonstriert, der in der Laufzeitumgebung des Stadtpilotprojektes implementiert wird. Der Entwurf des Ansatzes erfolgt anhand explizit gemachter Wertekonflikte und Anforderungen an die Repräsentation von Einschränkungen der Aktuatorik. Die
Die Unsicherheiten der realen Betriebsumgebung, aus emergenten Systemeigenschaften und aus dem Entwurfs-, Entwicklungs- und Freigabeprozess in Kombination mit den nötigen Entwicklungsannahmen führen dazu, dass von automatisierten Fahrzeugen im gemischten Verkehr immer ein Restrisiko ausgehen wird. Dieses Restrisiko lässt sich durch eine gewissenhafte Entwicklung mindern, aber niemals vollständig eliminieren.
In diesem Kontext beschreibt die vorliegende Arbeit einen Ansatz zur werte- und fähigkeitsbasierten Bewegungsplanung für autonome Straßenfahrzeuge, der auf den Umgang mit den genannten Unsicherheiten abzielt. Die Arbeit analysiert relevante Sicherheits-Normen und in der Literatur beschriebene Ansätze zum Umgang mit Unsicherheiten, sowohl während des Entwurfs und der Systementwicklung als auch zur Systemlaufzeit.
Nachverfolgbarkeit von Entwurfsentscheidungen bis hin zu relevanten Laufzeitparametern wird im Beispiel anhand von generierten Trajektorien und generierten Geschwindigkeitsbeschränkungen diskutiert.
The broader market introduction of automated vehicles is progressing more slowly than it was often anticipated, e.g., by public media. This is partially due to the inherent uncertainty that is caused by complex technical systems (i.e., automated driving systems) operating in an environment that was originally designed for human drivers: For engineers, human traffic is an open system which changes over time. This implies that human traffic can never In this context, the mentioned uncertainty (and unavoidable ignorance) require that designers and developers make assumptions during system design, implementation and for the assurance argument. These assumptions always bear ethical responsibility for the people involved in the discussed processes. The uncertainty rooted in the operational domain, caused by emergent system properties, and stemming from the design, development and assurance processes, combined with the need to make assumptions lead to the fact that automated vehicles will always impose risk on the general public when they become part of public traffic. This risk may be reduced by diligent design, development, and assurance activities, but it can never be fully eliminated. In this context, this thesis defines a value- and capability-based motion planning approach. This approach aims at dealing with the discussed sources of uncertainty. To develop the required concepts, relevant safety standards are evaluated regarding their notion of risk and risk treatment. A thorough literature review of existing approaches for dealing with uncertainty is performed. Based on these analyses, this thesis presents an approach for dealing with uncertainty during design and development that is based on modern methods from the field of model-based systems engineering (MBSE). Based on such methods, an architecture framework is designed which is tailored for the application in the domain of automated driving (AD). This framework offers meta models for architecture viewpoints which also allow to document (ethical) value conflicts and their resolution. For the design of the required meta models, exhaustive concept models are developed which connect concepts of the AD-domain and established concepts from MBSE. For dealing with uncertainty at system runtime, the thesis presents concepts of knowledge- and self representation which can be applied to decision making and trajectory generation. Selected aspects of the developed methods are demonstrated by the example of a model predictive approach for trajectory generation implemented in the runtime environment of the Stadtpilot project. The approach is designed along explicitly documented value conflicts and along requirements regarding limited actuation capabilities of the vehicle. In the example, the traceability of development decisions and tradeoffs to actual parameters in the runtime system are discussed in the context of generated trajectories and speed constraints.
be exhaustively described when designing automated driving systems. In consequence, a „complete“ specification can never be achieved and „complete“ assurance can never be performed. Measures of „completeness“ will always be relative. To assess whether an automated vehicle imposes a justifiable risk on the general public, the questions to ask rather are: „Do we have enough evidence to prove that the specification is sufficiently complete?“, and „Are the verification and validation results that we have obtained sufficiently complete to argue sufficient assurance?“.
Preview
Cite
Access Statistic
Rights
Use and reproduction:
