JavaScript is currently disabled.Please enable it for a better experience of Jumi.
Guidelines for contributing Technical Papers: download PDF

Mohammad Reza Mousavi, professor på Högskolan i Halmstad, reder ut problemet med att säkerställa om självkörande fordon uppfyller personsäkerhetskraven. Klassiska testmetoder räcker inte till och han ger förslag till alternativa angreppssätt.

embex Ladda ner artikeln här (länk, pdf).
Fler tekniska rapporter finns på etn.se/expert

Bakgrund

Automatiserade funktioner och autonoma fordon förväntas göra förflyttning säkrare, effektivare och mer tillgängliga för olika kategorier i samhället (till exempel  äldre, handikappade och barn). Just detta argument har, i den första europeiska lagstiftningen på området (UN ECE Transport 2014), nämnts som det viktigaste skälet att tillåta automatiserade funktioner. De begränsade belägg som finns tillgängliga tycks bekräfta att autonoma fordon är säkrare än de som körs av människor när det gäller antalet olyckor per kilometer; emellertid är den nuvarande statistiken otillräcklig när det handlar om svåra skador och dödsfall (Kalra och Paddock 2016). 

Ett brett införande av autonoma fordon försvåras därför allvarligt – och med rätta – av bristen på tillräckliga bevis för deras säkerhet. Detta bekräftas av den stora uppmärksamhet som samhället och myndigheterna ger till nyheter om olyckor med automatiserade och autonoma fordon. Efter en dödsolycka i Florida hamnade Tesla i rampljuset och fick ta emot omfattande kritik. Det ledde också till att delstatsmyndigheter tog ett initiativ som kan leda till att förbjuda Tesla från att använda termer som autopilot och självkörande (Laris och Hasley III, 2016). På liknande sätt ledde (icke-dödliga) olyckor till att NuTonomy (Weilun 2016) och Uber (Bergen och Nykomling 2017) åtminstone tillfälligt avbröt sin verksamhet i Singapore respektive Arizona. (I fallet NuTonomy återupptogs verksamheten efter att de funnit och åtgärdat orsaken till problemen, ett programvarufel).

Utmaningar 

I sitt anförande vid den tionde internationella konferensen om programvarutestning konstaterade Kenji Nishikawa, General Manager på Toyota, att, för att testa ett autonomt fordon i alla vägförhållanden, måste man provköra det på 142 miljarder kilometer vägsträcka, något som skulle ta 2700 år vid en snitthastighet på 60 km/tim. Dessa typer av uppskattningar ges också av andra; till exempel att (genom att använda enkla statistiska mått) traditionella metoder kräver tiotals och kanske till och med hundratals år av provkörning med stora flottor (säg, hundra fordon) innan man kan hävda att fordonen är säkra mot allvarliga olyckor, som dödsolyckor (Kalra och Paddock 2016). 

Denna artikel har tidigare publicerats i magasinet Elektronik­tidningen. För dig som jobbar i den svenska elektronik­branschen är Elektronik­tidningen gratis att prenumerera på – våra annonsörer betalar kostnaden.
Här ansöker du om prenumeration (länk).

Autonoma fordon måste kunna hantera oändligt många situationer, var och en med enormt många parametrar, och det är omöjligt för en begränsad grupp av människor att uttömma eller täcka detta oändliga, flerdimensionella utrymme. Traditionell testning för säkerhetsanalys skulle ta orimligt lång tid för att verifiera säkerheten i autonoma fordon. Därför har vi ett överhängande behov av innovativa testmetoder som kan ta itu med följande utmaningar. 

Odefinierade krav

Att definiera vad det innebär att vara säker är en utmaning vad gäller ett autonomt fordon (Hsu 2017). Det är inte klart om att vara säker innebär att autonoma fordon i genomsnitt bör vara säkrare än mänskliga förare, alltid säkrare än mänskliga förare, eller inte orsaka några större risker alls. Det senare är omöjligt att uppnå, särskilt i närvaro av mindre förutsägbara trafikanter såsom fotgängare, människokörda fordon eller autonoma fordon med okända algoritmer. De förstnämnda alternativen är svåra att definiera exakt och certifiera och det är tveksamt om de kan vara en god grund för säkerhetsanalysen. Det har också ifrågasatts om autonoma fordon kommer att förbättra säkerheten jämfört med människokörda fordon i alla möjliga situationer (Gomes 2014). De anses kunna vara mer sårbara och mer mottagliga för it-säkerhetsattacker (Hanley 2016). Vidare kan ett fordon hamna i en situation där en allvarlig olycka för ett antal trafikanter, eventuellt inklusive föraren, inte kan undvikas, men att ett aktivt val kan minska konsekvenserna genom att rikta fordonet mot en specifik trafikant. Det är på intet sätt självklart hur bilen ska göra det val som bestämmer vilka trafikanter som kommer att påverkas av olyckan (Thomson 1985, Markoff 2016, Moral Machine 2016).  

Skalbarhet

Även om man lägger frågan om krav åt sidan och i stället inriktar sig på att visa att autonoma fordon i genomsnitt är säkrare än manuella, visar det sig att nuvarande testtekniker inte är tillräckligt skalbara för uppgiften. I den inledande lanseringen förväntas autonoma fordon göra misstag, och att visa att, trots dessa misstag, autonoma fordon i genomsnitt är säkrare kommer att ta enorm tid med befintliga tekniker (Kalra och Paddock 2016). 

Möjliga lösningar: Modellering och modellbaserad testning 

Att ha lämpliga modeller av systemkraven och av de olika komponenterna och funktionerna hos systemen är en bra utgångspunkt för olika typer av analys och utforskning av systemkomposition, till exempel  med användning av sökbaserade testtekniker (Ben Abdessalem et al. 2016) och modellbaserad testning (Aerts et al. 2016). Utan goda modeller blir testningen skott i mörkret; man prövar bara några av oändligt många möjligheter utan att veta riktningen och betydelsen av de testade situationerna. En utmaning här är att modellerna själva kan vara för komplicerade för att få dem rätt, men återigen kan högre validerings- och analysnivåer vara lösningen. Till exempel kan modellkontroll och verktyg för bevisstöd användas för detta ändamål; det finns några inledande rapporter om tillämpningen av sådana rigorösa verktyg inom autonoma-fordonsdomänen (Rizaldi et al. 2016, Mearian 2017, Wongpirosman et al. 2012).     

Möjliga lösningar: Testning möter lärande

När det gäller test av funktioner och fordon, kan man använda olika inlärda riskfyllda situationer och styra testprocessen mot scenarier som leder till (kombinationer av) sådana situationer. Läraktighet kommer att kunna komplettera modelleringen och den modellbaserade testningstekniken. Detta tillvägagångssätt har redan delvis prövats i praktiken: Tesla använder skuggläge för att jämföra de beslut som ett autonomt system respektive en mänsklig förare fattar, och använder denna information för att förbättra algoritmerna i de automatiserade och autonoma funktionerna (Hanley 2016).

Möjliga lösningar: Öppen programvara och öppna data

Att öppna upp ekosystemet av programvara och involvera en stor ”community” av utvecklare kan leda till att komponenter testas bättre, används mer och får högre kvalitet. Läraktighetsmodeller och modellbaserad testning kan leda till effektivare test om de bygger på stora datamängder från ett stort antal scenarier och situationer. Tesla använder inlärning i fordonsflottor för att förbättra sina objektigenkänningsalgoritmer genom att lära av både autonoma och manuellt körda bilar: Om ett antal människor bedömer ett okänt föremål som en aluminiumburk och föraren säkert kör över det, kan de andra, autonoma fordonen, lära av situation och anpassa sitt beteende därefter (Tesla Autopilot, 2016). Att öppna upp sådana datamängder skulle innebära ett stort steg mot utvecklingen av massiva och effektiva test.

KÄLLFÖRTECKNING

(Aerts et al. 2016) A. Aerts, M. Reniers, and M.R. Mousavi. Model-Based Testing of Cyber-Physical Systems. Chapter 19 of H. Song, D.B. Rawat, S. Jeschke, and Ch. Brecher, Cyber-Physical Systems Foundations, Principles and Applications. pp. 287--304, Elsevier, 2016.

(Ben Abdessalem et al. 2016) Raja Ben Abdessalem, Shiva Nejati, Lionel C. Briand, Thomas Stifter: Testing advanced driver assistance systems using multi-objective search and neural networks. Proc. of ASE 2016.

(Bergen and Newcomer 2017) Mark Bergen and Eric Newcomer. Uber to Suspend Autonomous Tests After Arizona Accident, Bloomberg Technology, March 2017.

(Gomes 2014) Lee Gomes. Hidden Obstacles for Google’s Self-Driving Cars: Impressive Progress Hides Major Limitations of Google’s Quest for Automated Driving. Massachusetts Institute of Technology, August 2014.

(Hanley 2016) Steve Hanley. Tesla pits human vs. computer while cars operate in ‘Shadow Mode. Teslarati, October 2016. Available online, last accessed: March 2017.  

(Hsu 2017) Jeremy Hsu, When It Comes to Safety, Autonomous Cars Are Still "Teen Drivers", Scientific American, January 18, 2017. 

(Kalra and Paddock 2016) Nidhi Kalra and Susan M. Paddock. Driving to Safety: How Many Miles of Driving Would It Take to Demonstrate Autonomous Vehicle Reliability? RAND Corporation, 2016. Available online, last accessed: March 2017

(Laris and Hassley III, 2016)  Michael Laris and Ashley Halsey III, California’s proposed rules for driverless vehicles take aim at Tesla, Washington Post, October 2016. 

(Markoff 2016) John Markoff. Should Your Driverless Car Hit a Pedestrian to Save Your Life? The New York Times, June 23, 2016. Available online, last accessed March 2017.

(Mearian 2017) Lucas Mearian. Here's why self-driving cars may never really be self-driving. ComputerWorld, February 2017.

(Moral Machine 2016) -, Moral Machine. MIT, 2016. Last accessed: March 2017

(Rizaldi et al. 2016) Albert Rizaldi, Fabian Immler, and Matthias Althoff. A Formally Verified Checker of the Safe Distance Traffic Rules for Autonomous Vehicles. In Proc. of NFM 2016.

(Thomson 1985) Judith Jarvis Thomson, The Trolley Problem. Yale Law Journal 94:1395–1415, 1985. Avilable online, last retrieved December 2016

(Tesla Autopilot 2016) Tesla Team, Upgrading Autopilot: Seeing the World in Radar. Available online.

(UN ECE Transport 2014) United Nations Economic and Social Council, Economic Commission for Europe, Inland Transport Committee Working Party on Road Traffic Safety Sixty-eighth session Geneva, Report of the sixty-eighth session of the Working Party on Road Traffic Safety, 2014

(Weilun 2016) Soon Weilun, nuTonomy driverless-car accident due to 'extremely rare' software glitches; one-north trial resumes, The Business Times, November 2016. 

(Wongpirosman et al. 2012) Tichakorn Wongpiromsarn, Sayan Mitra, Andrew G. Lamperski, Richard M. Murray: Verification of Periodically Controlled Hybrid Systems: Application to an Autonomous Vehicle. ACM Trans. Embedded Comput. Syst. 11(S2): 53:1-53:24 (2012)

Författaren vill tacka Bertil Svensson för att ha redigerat ett utkast till denna artikel.

MER LÄSNING:
 
magasinet

230 elektronik­konsulter

Registrera ditt företag nu!
 
SENASTE KOMMENTARER
Kommentarer via Disqus

Vi gör Elektroniktidningen

Anne-Charlotte Sparrvik
Anne-Charlotte
Sparrvik
+46(0)734-171099 ac@etn.se
(sälj och marknads­föring)
Per Henricsson

Per
Henricsson
+46(0)734-171303 per@etn.se
(redaktion)

Anna Wennberg

Anna
Wennberg
+46(0)734-171311 anna@etn.se
(redaktion)

Jan Tångring

Jan
Tångring
+46(0)734-171309 jan@etn.se
(redaktion)