Die Sicherheit hochautomatisierter Fahrzeuge hängt nicht nur von der Präzision mechanischer Komponenten ab, sondern zunehmend auch von der Zuverlässigkeit komplexer Software-Systeme. Von Assistenzsystemen, die wichtige Fahrfunktionen per Kameras und Sensoren steuern, bis hin zu Künstlicher Intelligenz, die die Fahrumgebung auswertet – eine Vielzahl von Programmen arbeitet im Hintergrund, um die Sicherheit zu gewährleisten. Doch diese Systeme stellen Entwickler*innen vor einige Herausforderungen: Wie kann die Nutzungsdauer alternder physischer Komponenten wie Kameras verlängert werden, ohne dass sich die Sicherheit leidet? Wie lassen sich KI-basierte Bausteine zuverlässig in sicherheitskritische Systeme integrieren? Und wie kann hochautomatisiertes Fahren so abgesichert werden, dass es den hohen gesellschaftlichen Anforderungen entspricht? Mit diesen Fragestellungen beschäftigten sich die Wissenschaftler*innen des Zukunftslabors Mobilität.
Die Lebensdauer von Fahrzeugkomponenten verlängern
Für das selbstständige Operieren und Navigieren benötigt ein hochautomatisiertes Fahrzeug physische Komponenten, wie Kameras und Sensoren, die das Umfeld erfassen. Solche Komponenten verlieren mit der Zeit durch Abnutzung, Verschleiß oder Umwelteinflüsse an Leistung und Präzision. Diese Degradierung kann die Umwelt- und Eigenwahrnehmung der Komponenten verschlechtern, was insbesondere in sicherheitskritischen Systemen problematisch ist. Daher untersuchten die Wissenschaftler*innen, wie Software-Systeme dazu beitragen können, die Funktionsdauer dieser degradierenden Komponenten zu verlängern, ohne das Sicherheitsniveau des Gesamtsystems zu mindern.
Hierfür arbeiteten die Wissenschaftler*innen mit einem Praxispartner zusammen, der Technologien zur Erkennung von Sensordegradationen teil- und vollautonomer Fahrzeuge entwickelt. Der Ansatz bestand darin, die Leistungsfähigkeit der Komponenten „in-situ“ zu erkennen. Das bedeutet, dass die Komponenten während des laufenden Betriebs geprüft werden können, ohne dass das Fahrzeug anhalten muss. Wenn das System eine Degradierung erkannt hat, muss es abschätzen können, wie viel die betroffenen Komponenten noch zu leisten vermögen. Wenn z. B. eine Frontkamera auch nur leichte Mängel aufweist, kann in einem rein kamerabasierten System die Entfernung zum vorausfahrenden Fahrzeug nicht mehr in gleicher Weise zuverlässig geschätzt werden. Dann ist es naheliegend, mittels der Regelungssoftware den Sicherheitsabstand entsprechend zu erhöhen, sodass die Sicherheit des Fahrzeugs uneingeschränkt weiterhin gegeben ist – trotz der Einschränkungen der Kamera.
Um diesen Ansatz zu testen, erstellten die Wissenschaftler*innen Fehlermodelle mithilfe einer Simulation. Sie induzierten in Bilder echter Verkehrsszenen die typischen Fehler degradierter Kameras (z. B. Abbildungsfehler durch Trübung der Linse) aufgrund von Erfahrungswerten des Praxispartners. Auf Basis dieser Bilddatensätze konnten die Wissenschaftler*innen testen, ob das Fahrzeug die Degradierung richtig erkennt und ob es adäquat reagiert. Hierzu erstellten die Wissenschaftler*innen ein Testszenario mit realen Verkehrsdaten.
Die Rolle von Kontrakten bei der Entwicklung hochautomatisierter Fahrzeugfunktionen
In hochautomatisierten Fahrzeugen sind zahlreiche Software- und Hardwarekomponenten integriert, die unterschiedliche Aufgaben erfüllen (z. B. Sensordaten verarbeiten, Routenplanung durchführen, Fahrmanöver umsetzen). Diese Komponenten werden von unterschiedlichen Herstellern produziert und müssen dennoch nahtlos aufeinander abgestimmt funktionieren und interagieren. Hierzu dienen sogenannte Kontrakte: Kontrakte definieren, was eine Komponente zu leisten verspricht (Zusicherung) und was sie hierfür von ihrer Umgebung, also insbesondere von anderen Komponenten, erwartet, um funktionsfähig zu sein (Voraussetzung). Ein Beispiel: Die Spurmitte wird gehalten (Zusicherung), wenn von vorgelagerten Komponenten die Fahrbahnmarkierung korrekt erkannt wird (Voraussetzung).
Diese kontraktbasierte Systementwicklung ist derzeit der wohl einzige tragfähige Ansatz zur herstellerübergreifend verteilten, sicherheitsorientierten Entwicklung von Systemen, die aus unzähligen Komponenten bestehen. Bisher war es schwierig, diese kontraktbasierte Entwicklung auf Systeme anzuwenden, die Komponenten des Maschinellen Lernens (ML) beinhalten, z. B. neuronale Netze für die Bilderkennung oder Large Language Models für Planungsaufgaben. Die Herausforderung dabei besteht in der Tatsache, dass die Trainings- und Testdatensätze für ML-Modelle endlich sind und lediglich statistische Aussagen erlauben, die das Verhalten der ML-Komponenten jenseits der bekannten Testpunkte nur mit Unsicherheiten charakterisieren. Während die Charakterisierung dieser Unsicherheiten in den ML-Komponenten auf bekannte Mechanismen der deskriptiven Statistik aufsetzen kann, gilt dies keineswegs für die Fortpflanzung dieser Unsicherheiten durch eine sicherheitskritische Fahrfunktion. Es ist aber gerade diese Fehlerfortpflanzung, die das gesellschaftsrelevante Restrisiko einer Fahrfunktion bestimmt. Denn Aussagen zur Sicherheit der gesamten Fahrzeugfunktion sind essentiell, um die gesellschaftliche Akzeptanz für das autonome Fahren zu gewinnen.
Die Wissenschaftler*innen des Zukunftslabors entwickelten deshalb eine Methode, um Unsicherheiten und deren Fortpflanzungen in Kontrakten beschreibbar zu machen. Dabei kombinierten sie Mechanismen aus dem Software Engineering (Kontrakte) mit formalen Methoden der Informatik (Verfeinerungs- und Implementierungsrelationen) und der Wahrscheinlichkeitstheorie (Wahrscheinlichkeitsverteilungen von unten abschätzender Sub-Distributionen). Verfeinerungsrelationen beschreiben die Beziehung zwischen zwei Spezifikationen oder Systemmodellen auf unterschiedlichen Abstraktionsebenen. Ziel der Verfeinerung ist es, schrittweise von einer abstrakten Beschreibung eines Systems zu einer detaillierteren Beschreibung zu gelangen und dabei die Erhaltung aller relevanten Sicherheitseigenschaften zu garantieren. Sub-Distributionen, die Wahrscheinlichkeitsverteilungen von unten abschätzen, erlauben es, diese etablierte Schlussweise des Systems Engineerings erstmals auf Systeme mit inhärenten Unsicherheiten in ihren Komponenten anzuwenden, also beispielsweise auf Systeme mit ML-Komponenten.
Unsere Arbeit hat ein funktionierendes Verfahren hervorgebracht, das zufällig oder in kontrollierter Zahl systematisch auftretende Sicherheitsrisiken und deren Fortpflanzung durch Kontrakte darstellbar und analysierbar macht. Vorschläge hierzu hatte es in den vergangenen zwei Jahrzehnten mehrfach gegeben, aber keines der vorgeschlagenen Verfahren funktionierte so richtig: Die einen gestatteten nicht die unabhängige Komponentenentwicklung, da die Kontrakte zu exakte wahrscheinlichkeitstheoretische Beschreibungen des Verhaltens sämtlicher der – ja ebenfalls erst in Entwicklung befindlichen – umliegenden Komponenten und des Verkehrsgeschehens erforderten. Die anderen ließen faktisch nur eine einzige nicht 100-prozentig zuverlässige Komponente im Gesamtsystem zu. Diese Schwächen sind jetzt mit einem gänzlich neuen Verfahren, welches fundamental andere wahrscheinlichkeitstheoretische Mechanismen verwendet, überwunden.
Mehr Sicherheit durch Don’t-Care-Optimierung
Das dritte Thema, das die Wissenschaftler*innen untersuchten, betraf ebenfalls die Sicherheit hochautomatisierter Fahrzeuge bzw. Fahrzeugsysteme. Die gesellschaftlich geforderten Sicherheitsziele, d. h. die gesellschaftlich geforderte Obergrenze für die Zahl kritischer Fehlfunktionen automatisierter Fahrfunktionen, liegt deutlich über der Zuverlässigkeit ihrer ML-basierten Teilsysteme – insbesondere im Bereich der Objekterkennung und –klassifizierung. Daher lautete die Frage der Wissenschaftler*innen: Wie können sicherheitskritische Systeme nachweislich deutlich sicherer gemacht werden, als es die ML-basierte Wahrnehmung derzeit zulässt?
Um diese Frage zu beantworten, modifizierten die Wissenschaftler*innen die sogenannte Don’t-Care-Optimierung aus der digitalen Schaltkreissynthese. Die digitale Schaltkreissynthese ist ein Prozess, bei dem eine abstrakte Beschreibung eines digitalen Systems in eine konkrete Schaltung umgesetzt wird. Bei der Don’t-Care-Optimierung werden bestimmte Eingaben oder Ausgaben als irrelevant angesehen, weil sie für das korrekte Verhalten eines Systems keine Rolle spielen. Dies ermöglicht es, die Logikschaltung zu vereinfachen oder zu optimieren. Im Kontext der Optimierung von Fahrfunktionen, die ML-Komponenten enthalten, wurde sie nunmehr jedoch eingesetzt, um sicherheitskritische Fehlerfortpflanzungen zu minimieren.
Diese Übertragung auf die ML-basierte Umgebungswahrnehmung eines hochautomatisierten Fahrzeugs erfolgte anhand der vier grundlegenden Kategorien von Wahrnehmung: 1. wahr positiv: Das Fahrzeug erkennt ein Objekt in seiner Umgebung korrekt. 2. wahr negativ: Das Fahrzeug erkennt richtig, dass sich kein Objekt in seiner Umgebung befindet. 3. falsch positiv: Das Fahrzeug nimmt ein Objekt in seiner Umgebung wahr, das nicht existiert. 4. falsch negativ: Das Fahrzeug erkennt nicht, dass sich ein Objekt in seiner Umgebung befindet. Insbesondere die falsch negativen Wahrnehmungen müssen reduziert werden, da diese Anlass für eine kritische Fahrzeugreaktion sein können. ML-seitige Optimierungen können in der Regel die kritischen falsch negativen Wahrnehmungen nur gemeinsam mit den wünschenswerten wahr negativen Wahrnehmungen reduzieren, also zu deren Lasten. Die Don’t-Care-Optimierung vermag diese enge Kopplung aufzubrechen.
Die durchgeführten Untersuchungen zeigten, dass mithilfe der modifizierten Don’t-Care-Optimierung Systeme automatisch so modifiziert werden können, dass sie gegenüber der ihnen zugrunde liegenden ML-basierten Objekterfassung deutlich mehr als eine dezimale Größenordnung an Zuverlässigkeit gewinnen.
