Ruim baan voor veilig autonoom rijden met SDV's (Software Defined Vehicles)
CCAM (Cooperative, Connected and Automated Mobility) heeft alleen een toekomst als er SDV’s (Software Defined Vehicles) worden ontwikkeld die zowel veilig als betrouwbaar zijn. TNO vervult hierbij een voortrekkersrol omdat zij een unieke combinatie van expertise in huis heeft die zowel de industrie als wegbeheerders vooruithelpt als het gaat om de veiligheid van autonoom rijdende SDV’s. In een interview zegt ‘pathfinder’ Michael Borth: “Veilig autonoom rijden is een weg van de lange adem, maar wel een belangrijke journey – door samen verantwoordelijkheid te nemen, gaat het lukken.”
In slechts enkele tientallen jaren heeft de auto een gedaanteverwisseling ondergaan van een hoofdzakelijk elektromechanisch voorwerp naar een intelligent, softwaregestuurde machine die voortdurend geüpgraded kan worden. Een beetje zoals de evolutie van de traditionele telefoon naar de smartphone. SDV’s vertegenwoordigen deze nieuwe generatie en kunnen dankzij hun software hun activiteiten beheren, functionaliteit toevoegen en nieuwe functies mogelijk maken.
Voor de geschiedenis van SDV’s moeten we terug naar de jaren negentig, toen autofabrikanten begonnen in te zien welke enorme mogelijkheden software had voor het verbeteren van de veiligheid, het comfort en de efficiëntie van auto’s. Dit markeerde het begin van een tijdperk waarin de auto een computerplatform werd voor voortdurende innovatie waardoor de weg werd vrijgemaakt voor de geavanceerde, coöperatieve en verbonden mobiliteitsoplossingen die ons nu voor ogen staan.
“Als een 'pathfinder' kijk ik waar oplossingen liggen en vertrouw ik op mijn uitgebreide ervaring om zo te laveren door alle complexe factoren en kansen die dit zich zo sterk in ontwikkeling zijnde gebied biedt.”
Integratie van informatica in auto's
Michael Borth, senior research fellow bij TNO, is een gerenommeerde SDV-expert van het eerste uur. Hij wil het liefst ‘pathfinder’ worden genoemd. Zijn avontuur begon bij Daimler, lang voordat machine learning en AI de allesoverheersende trends werden.
“Ik heb me altijd gefocust op de integratie van geavanceerde informatica in auto's. Mijn vroegere werk op het gebied van nieuwe architecturen en toepassingen, zoals boorddiagnostiek en preventief onderhoud, en mijn huidige werk op het gebied van autonoom rijden met AI zorgen ervoor dat ik het landschap en eventuele problemen op het gebied van SDV’s goed begrijp.”
Door zijn unieke combinatie van deskundigheid op het gebied van systeemdenken, systeemarchitectuur en AI weet Borth als geen ander hoe de uitdagingen bij SDV’s moeten worden aangepakt. “Als een 'pathfinder' kijk ik waar oplossingen liggen en vertrouw ik op mijn uitgebreide ervaring om zo te laveren door alle complexe factoren en kansen die dit zich zo sterk in ontwikkeling zijnde gebied biedt.”
Te complex om te begrijpen
Een van de eerste uitdagingen met autosoftware was de complexiteit van de softwaregedefinieerde functionaliteit en gegevensuitwisseling tussen onderdelen, iets waar zelfs de experts niet zo goed raad mee wisten. Michael Borth herinnert het zich levendig: “Toen we bij Daimler begonnen om gegevens te verzamelen, genereerde een Mercedes meer interne gegevens dan NASA verzamelde uit de systemen die Neil Armstrong op de maan hebben gebracht! Aanvankelijk gebruikten we deze gegevens vooral voor preventief onderhoud, het verbeteren van de autokwaliteit en om rijgedrag te begrijpen.” Maar toen werd deze overvloed aan gegevens nog niet gebruikt voor geautomatiseerd rijden (AD), één van de meest relevante toepassingen van SDV’s.
“Deze problemen ontstaan grotendeels omdat softwaregedefinieerde systemen en vooral AI-systemen fundamenteel anders werken dan systemen die uitsluitend berusten op fysieke componenten.”
Grote veiligheidsuitdagingen
Op dit moment ontwikkelen geautomatiseerd rijden en ADAS (Advanced Driver-Assistance Systems) zich gestaag. Hoewel de wet- en regelgeving nu het gebruik van ALKS (Automated Lane Keeping Systems) en DCAS (Driver Controlled Assistance Systems) toestaat met beperkte ODD (Operational Design Domains), is er nog steeds sprake van grote veiligheidsuitdagingen wat betreft de ontwikkelings-, beoordelings- en vrijgaveprocessen ervan.
Michael Borth zegt: “Deze problemen ontstaan grotendeels omdat softwaregedefinieerde systemen en vooral AI-systemen fundamenteel anders werken dan systemen die uitsluitend berusten op fysieke componenten. Denk aan een lichtschakelaar: doordat deze onmiddellijk reageert, kunnen we eventuele problemen ook makkelijk oplossen.”
“Als het licht niet aangaat, komt dat omdat er geen stroom is, de lamp kapot is of er een probleem met de bedrading is. Softwaregedefinieerde systemen, en met name systemen verbonden met netwerkdiensten in cyberfysieke systemen, werken 99,9% van de tijd - maar kunnen het onder hele specifieke omstandigheden af laten weten.”
“Bijvoorbeeld als er een stukje informatie gecorrumpeerd raakt of er sprake is van een verstoorde timing tussen twee parallelle computerprocessen, waardoor er tegenstrijdige informatie wordt gegenereerd. Dit zijn problemen die je tijdens een ontwikkelings-, test- of beoordelingsproces heel lastig op het spoor komt. En als je ze vindt, moet je ze oplossen en de software updaten; net als bij je telefoon of computer. Dit is een van de belangrijkste voordelen van SDV’s: de mogelijkheid om het voertuig continu te verbeteren, ook als deze al aan de klant is geleverd.”
Problematische software-updates
Software-updates in SDV’s leiden echter vaak ook tot nieuwe uitdagingen. “Hoe kunnen we ervoor zorgen dat elke update in alle situaties nog altijd veilig is? Kan de auto ook zo de weg op?" Michael Borth vertelt over een recent geval dat dit probleem illustreert: een software-update (inclusief AI) werd zorgvuldig onder de loep genomen door de Duitse autoriteiten.
“AI compliceert deze updates nog eens extra omdat AI "softe" resultaten produceert die soms ronduit verkeerd kunnen zijn, net zoals bij de bekende taalmodellen die voor zoekopdrachten worden gebruikt. Zelfs bij lage foutpercentages kunnen de gevolgen van deze fouten heel ernstig zijn. Bovendien kan het wanneer een ongeval wordt veroorzaakt door een AI-fout soms vrijwel onmogelijk zijn de oorzaak op te sporen want de huidige AI is gebaseerd op correlaties en niet op causaliteit. Om te zorgen voor een veilige werking is validatie nodig. Maar dit is een omslachtig proces en daarom moeten we ervoor zorgen dat we dit niet bij elke nieuwe release helemaal opnieuw moeten doen.”
Dus hoewel periodieke updates van softwaregedefinieerde geautomatiseerde rijsystemen in principe dé oplossing vormen voor het goed beoordelen van de risico's, brengt dit twee nieuwe uitdagingen met zich mee: hoe vinden we de onvolkomenheden die aanleiding geven tot een software-update en hoe houden we de veiligheidsbeoordeling van software beheersbaar? Daarvoor moeten we de faalmechanismen van deze systemen veel beter begrijpen dan nu het geval is.
“Softwarebugs kunnen het systeem destabiliseren, in de loop van de tijd treedt degradatie op en externe veranderingen, zoals nieuwe vervoerswijzen en infrastructuur, blijven zich verder ontwikkelen.”
Updates zonder risico
De huidige afwegingskaders voor veiligheid sluiten niet aan bij de complexiteit van AI. Traditionele systeemengineering berust op stabiele, herhaalbare processen die gevalideerd kunnen worden en waarvoor prestatiegaranties kunnen worden gegeven – maar zo werkt dat bij AI niet. Daarom hebben zowel de industrie als de wegbeheerders behoefte aan nieuwe methoden die waarborgen dat SDV’s onder alle omstandigheden veilig blijven.
Volgens Michael Borth is de oplossing gelegen in methoden die software updaten zonder dat dit tot nieuwe risico's leidt. “Het analyseren van AI in auto's en het updaten van dergelijke systemen met aandacht voor mogelijke consequenties blijft een onderwerp van onderzoek. Daarnaast is het belangrijk beter inzicht te krijgen in de verschillende redenen voor updates.”
“Softwarebugs kunnen het systeem destabiliseren, in de loop van de tijd treedt degradatie op en externe veranderingen, zoals nieuwe vervoerswijzen en infrastructuur, blijven zich verder ontwikkelen. We moeten deze ontwikkelingen vroegtijdig op het spoor komen, kijken wat hun oorsprong is en effectief reageren zonder onnodige risico’s te introduceren.”
Functionaliteit en veiligheid gaan hand in hand
Bij de afdeling Integrated Vehicle Safety van TNO werkt het AI-team aan het verbeteren van zowel de functionaliteit als de veiligheid van SDV’s (Software-Defined Vehicles). Michael Borth vertelt: “Ons Safety4AI-initiatief werkt aan problemen zoals systeemvalidatie en -verificatie als er AI in het spel is. We doen ook onderzoek naar zogenaamde 'competence assessment' tijdens het rijden, wat betekent dat een auto kan beoordelen of het met een bepaalde komende situatie om kan gaan. Lifecycle Management zorgt er verder voor dat ADS of ADAS zich kunnen aanpassen aan een veranderende wereld, waarbij met name gekeken wordt naar nieuwe systeemanalyses en beoordelingsmethoden.”
Borth en zijn team houden bij de modellering van auto's en de hiervoor gebruikte AI rekening met interactie met de mens, de omgeving en uiteenlopende rijscenario's. “We gebruiken geavanceerde, op systeemniveau redenerende AI om risico’s in kaart te brengen en veiligheidsargumentatie te produceren, rekening houdend met de systeemstatus, de omgeving en uiteenlopende scenario’s.”
Deze redenerende AI maakt gebruik van probabilistisch en causaal redeneren, wat het begrijpelijk en uitlegbaar maakt. Deze aanpak is cruciaal om ervoor te zorgen dat de voor ADS en ADAS gebruikte AI betrouwbaar is”, zegt Borth.
“We mogen gerust stellen dat we een unieke combinatie van expertise in huis hebben, variërend van software- en systeemengineering tot AI-expertise, en van mens-machine-interacties tot morele evaluatie.”
Het gaat absoluut gebeuren
Gevraagd naar de toekomst van geautomatiseerd rijden, blijft Michael Borth realistisch. “Geautomatiseerd rijden gaat absoluut gebeuren, maar ik verwacht dat het zich anders zal ontwikkelen dan sommige huidige trends suggereren. Wil geautomatiseerd rijden echt slagen dan is er niet alleen een nauwere samenwerking tussen AI-experts, de auto-industrie en veiligheidsdomeinen nodig, maar ook een beter begrip van elkaars disciplines.
Om problemen op het gebied van veiligheid en vertrouwen op te lossen moeten er systemen met een ander soort AI worden ontwikkeld, gebouwd met nieuwe technieken. Bovendien moeten we gezamenlijk het ‘hoe’, ‘waar’ en ‘waarom’ van geautomatiseerd rijden bepalen, vooral als het gaat om de grote uitdaging van de overgang van de huidige situatie naar een potentieel betere toekomst.”
Een unieke combinatie van expertise
TNO beschikt over alle kennis en ervaring om industrie én overheid mee die toekomst in te nemen. Michael Borth: “We mogen gerust stellen dat we een unieke combinatie van expertise in huis hebben, variërend van software- en systeemengineering tot AI-expertise, en van mens-machine-interacties tot morele evaluatie.”
“Als een onafhankelijke, maatschappelijk gedreven onderzoeksorganisatie die zich inzet voor een veiligere mobiliteit, maakt dit ons een waardevolle partner voor zowel wegbeheerders als autofabrikanten en hun toeleveranciers. Het is een weg van de lange adem, maar een belangrijke journey - door samen verantwoordelijkheid te nemen, gaat het lukken.”