28. SafeTRANS Industrial Day

 

Das Fachsymposium des 28. SafeTRANS Industrial Days fand am 4. Juni 2021 virtuell statt als Kooperation von:

       

Thema

****
Vertrauenswürdigkeit in autonomen Systemen

****

 

Programm

09:00 – 09:15 Begrüßung
  Prof. Dr. Werner Damm, SafeTRANS/Prof. Dr. Axel Hahn, OFFIS/DLR SE
09:15 – 09:45 The Power of AI & CV for Automation in Rail and its Challenges
 

Dr. Claus Bahlmann, Siemens Mobility GmbH

  • Abstract

    The future demand for mobility solutions in the world's growing cities and societies requires an increasing degree of automation in the rail industry: Automation improves passenger throughput, it improves transport offerings by allowing for a more flexible, demand responsive rail operation, saves energy and operation cost, it enables just-in-time maintenance and allows for creation and exploitation of large scale digital twins, which in turn can optimize the whole lifecycle of rail systems. Solutions to those demands need to obey to high safety standards of our industry. While traditional automation in the rail domain has been proven in the past decades to work safely, recent advances in artificial intelligence (AI), especially machine learning (ML), open new opportunities to address the new challenges effectively, while also enabling new offerings and business models. However, the ML paradigm poses new challenges to ensure safety. This talk examines those challenges and discusses solution approaches.

Vortragsfolien (passwortgeschützt)

09:45 – 10:15 Vertrauen und Automation ohne Vertrauen
 

Prof. Dr. Klaus Bengler, TU München

    • Abstract

      Durch die Automatisierung der Fahraufgabe werden neue Rollenverteilungen zwischen Mensch und Fahrzeug möglich. Dabei zeigt sich, dass sowohl zuwenig als auch zuviel Vertrauen der Nutzer in die Automation zu Problemen führen kann. Die Messung des aktuellen Vertrauens der Nutzer stellt daher eine wichtige Grundlage dar. Die Gestaltung der Interaktion zwischen Automation und Nutzer beeinflusst maßgeblich die Entwicklung des individuellen Vertrauens. Der Beitrag geht auf grundlegende Modelle ein, die diese Zusammenhänge beschreiben und zeigt mögliche Mess- und Erhebungsverfahren.

Vortragsfolien (passwortgeschützt)

10:15 – 10:45 Pause
10:45 – 11:15 Vertrauenswürdigkeit in autonomen Systemen: Ethische Grundlagen und praktische Anwendungsperspektiven
 

Prof. Dr. Mark Schweda, Carl von Ossietzky Universität Oldenburg

  • Abstract

    Bei der Diskussion und Bewertung der Mensch-Technik-Interaktion im Kontext hochgradig automatisierter oder gar autonomer Systeme kommt der Kategorie der Vertrauenswürdigkeit eine zunehmend zentrale Bedeu­tung zu. In ihr bündeln sich unterschiedliche normative Erwartungen und praktische Anforderungen hinsichtlich der Zuverlässigkeit, Berechenbarkeit und Nachvollziehbarkeit der betreffenden mehr oder weniger selbst­ständig agierenden techni­schen Systeme. Der Vortrag nimmt das Konzept der Vertrauens­würdigkeit aus einer empirisch informierten ethischen Perspektive näher unter die Lupe. Dabei kommen sowohl die ihm zugrundeliegenden moralphilosophischen Erwägungen als auch die Bedingungen und Möglichkeiten der praktischen Verwirklichung vertrauenswürdiger Formen automati­sierter oder autonomer Technologien in den Blick. Anhand von ausgewählten Beispielen aus den Bereichen des Verkehrswesens, der Energieversorgung sowie der medizinischen und pflege­rischen Praxis wird insbesondere erörtert, inwiefern Vertrauenswürdigkeit eine techni­sche Implementierung bestimmter ethischer Grundsätze wie Non-Malefizienz bzw. Benefi­zienz oder moralischer Kompetenzen wie z.B. Empathie, Urteilskraft oder Verantwortlichkeit voraussetzt.

Vortragsfolien (passwortgeschützt)

11:15 – 11:45 Künstliche Moral im dynamischen Risikomanagement
 

Dr. Rasmus Adler, Fraunhofer IESE

  • Abstract

    Autonome Systeme können ohne menschliche Steuerung oder detaillierte Programmierung ein vorgegebenes Ziel selbstständig und an die Situation angepasst erreichen. Dabei ist es oft auch eine ethische Frage was der beste Weg ist um das vorgegebene Ziel zu erreichen. Es ist beispielsweise eine ethische Frage welches Verhalten in einer Situation noch sicher ist. Bei klassischen Systemen wird die Antwort auf diese Frage explizit einprogrammiert oder die Frage kommt gar nicht auf, weil das System nur den Anweisungen des Menschen folgt. Bei autonomen Systemen ist es aber oft nicht mehr möglich jede Situation einzeln zu betrachten und zu entscheiden was noch sicher genug ist. Mittels dynamischem Risikomanagement [1] können Systeme aber in die Lage versetzt werden Risiken zu erkennen, zu bewerten und zu kontrollieren. Beispielsweise können Einflussfaktoren auf das Risiko identifiziert und in einem regelbasierten Expertensystem oder einem Bayesschen Netz [2] so miteinander verknüpft werden, dass die Ausgabe möglichst gut das Risiko bezüglich eines Personenschadens, Sachschadens oder Umweltschadens quantifiziert. Unter Berücksichtigung des quantifizierten Risikos und den dafür ursächlichen Einflussfaktoren kann das autonome System dann Maßnahmen zur Risikoreduktion ergreifen. Die Art und Weise wie ein autonomes System Maßnahmen auswählt um Risiken zu reduzieren, um Risiken auszubalancieren und um ein akzeptables Verhältnis von Risiken und Nutzen zu erreichen ist Teil seiner künstlichen Moral [3]. Diese Art von künstlicher Moral ist essentiell für das Engineering autonomer Systeme und unterscheidet sich deutlich von dem Umgang mit Dilemma-Situationen [4]. Es müssen Methoden erforscht werden wie man diese künstliche Moral so engineered, dass Sie im Einklang mit individuellen und gesellschaftlichen Werten steht. Der Vortrag zeigt aktuelle Herausforderungen beim Engineering dieser Art der künstlichen Moral auf, diskutiert grundsätzliche Lösungsansätze und gibt einen Ausblick im Hinblick auf die Evolution von heutigen Systemen bis hin zu komplexen HCPS (Human-Cyber-Physical Systems, safetrans Roadmap).

    1. https://www.iese.fraunhofer.de/en/seminare_training/edcc-workshop.html#1207475977 2. J. Reich and M. Trapp, "SINADRA: Towards a Framework for Assurable Situation-Aware Dynamic Risk Assessment of Autonomous Vehicles," 2020 16th European Dependable Computing Conference (EDCC), 2020, pp. 47-50, doi: 10.1109/EDCC51268.2020.00017 3. Misselhorn, Catrin: Artificial Intelligence and Ethics, #INFORMATIK2018. https://doi.org/10.5446/40420 4. Autonomous Driving Ethics: from Trolley Problem to Ethics of Risk, M. Geisslinger, F. Poszler, J. Betz, C. Luetge and M. Lienkamp, Philosophy & Technology 2021 doi: 10.1007/s13347-021-00449-4

Vortragsfolien (passwortgeschützt)

11:45 – 12:15 Homologation / Type Approval of ADAS / AD vehicles: current legal developments in the EU
 

Bastian Prugger, AVL List GmbH

  • Abstract

    The New General Safety Regulation (GSR - Regulation (EU) 2019/2144) was adopted on November 27th, 2019 and entered into force in January 2020. It is the EU’s most advanced legal instrument for the promotion and development of road safety policy and will affect all major vehicle categories as well as all manufacturers selling in the EU.
    General application starts in July of 2022 for new type approval, and in July of 2024 for all new registrations.
    The new GSR has a heavy focus on ADAS/AD features, paving the way for connected and automated vehicles in the future. These features will be mandatory for all vehicles in the EU market to ensure a safer road and a substantial reduction in both serious injuries and fatalities. The expected safety impact is enormous and should contribute significantly to “Vision Zero” (zero deaths on EU roads by 2050).
    The new General Safety Regulation is part of EU’s vehicle type approval landscape and describes a set of ADAS/AD features and their date of mandatory application. The main regulation document will be complemented by delegated acts that define technical details for each feature. This modular design makes the regulation flexible and capable to be quickly adapted to technological development in the future (details are shown on the next page).
    Both, technological progress and legal pioneering are drivers for change on the ADAS/AD market. Complex relations between international law, EU regulations and delegated acts are a key challenge in the coming years. Staying up-to-date to legal development will be essential to achieving GSR-compliance.
    The new GSR introduces new legal obligations for the development of ADAS/AD that affect all manufacturers. New concepts such as virtual and real-world testing will soon be implemented giving opportunities to the automotive industry and their suppliers.

Vortragsfolien (passwortgeschützt)

12:15 – 12:45 Diskussion und Ergebnissicherung
12:45 – 13:45 Mittagspause
13:45 – 14:15 Sicherheit, Komplexität, KI und autonomes Fahren, eine ganzheitliche Perspektive
 

Prof. Dr. Simon Burton, Fraunhofer-Institut für Kognitive Systeme IKS

  • Abstract

    Die Gewährleistung der Sicherheit des autonomen Fahrens ist ein komplexes Unterfangen. Es ist nicht nur eine technisch schwierige und ressourcenintensive Aufgabe, sondern autonome Fahrzeuge und ihr breiterer soziotechnischer Kontext zeigen Merkmale komplexer Systeme im engeren Sinne. Das heißt, sie zeigen emergentes Verhalten, Rückkopplungen, Nichtlinearität und semipermeable Systemgrenzen. Die Treiber der Komplexität werden durch die Einführung von KI-Techniken und maschinellen Lerntechniken weiter verschärft. All diese Faktoren schränken unsere Fähigkeit, traditionelle Sicherheitsmaßnahmen während des Systementwurfs sowohl auch während des Betriebs stark ein. In dieser Präsentation stelle ich vor, wie die Betrachtung von KI-basierten autonomen Fahrzeugen sowie deren Zusammenspiel mit der Umgebung als komplexes System zu besseren Argumenten für Ihre allgemeine Sicherheit führen kann. Dabei spreche ich das Thema aus zwei verschiedenen Perspektiven an. Erstens durch Berücksichtigung des Themas Sicherheit im weiteren Systemkontext, einschließlich technischer, betrieblicher und regulatorischer Überlegungen. Von mir zu erwähnen ist, wie die genannten Gesichtspunkte zu spezifischen Anforderungen an KI-Komponenten innerhalb des Systems führen. Verbleibende Unzulänglichkeiten von maschinellen Lerntechniken sind ein unvermeidlicher Nebeneffekt der Technologie. Ich erkläre, wie ein Verständnis der Ursachen solcher Unzulänglichkeiten sowie die Wirksamkeit von Maßnahmen während des Entwurfs und der Betriebsanwendung der Schlüssel zur Erstellung eines überzeugenden Sicherheitsarguments des Systems ist. Ich werde den Vortrag mit einer Zusammenfassung unserer aktuellen Forschung auf diesem Gebiet sowie einige Anweisungen für die zukünftige Arbeit beenden.

Vortragsfolien (passwortgeschützt)

14:15 – 14:45 Toward a Comprehensive Assurance Argument for the Release of Automated Vehicles – Challenges, Insights, and First Results from the Research Project “VVMethods”
 

Marcus Nolte, TU Braunschweig

  • Abstract

    Toward a Comprehensive Assurance Argument for the Release of Automated Vehicles – Challenges, Insights, and First Results from the Research Project “VVMethods”* Marcus Nolte1, Jan Reich2, Tino Brade3, Roland Galbas3, Thomas Goeppel3, Frank Junker3, Thomas Kirschbaum3, Thomas Corell4, Björn Filzek4 Automated driving is currently one of the hot topics in the automotive industry. The technology offers huge potential for new mobility solutions, customer benefits, and business cases. However, it also poses challenges for established assurance practices in the automotive industry. Eliminating the human driver from the control loop requires automated vehicles to operate in an environment which can neither be controlled nor completely described. New methods are required that support the decomposition of the resulting open context during system design, implementation, as well as verification and validation. Arguing why and how this decomposition results in sufficiently safe system behavior that conforms to societal expectations and legal constraints becomes a key challenge for the large-scale commercialization of automated vehicles. Especially, as uncertainty resulting from the operation in an open context prohibits giving absolute safety guarantees, e.g., due to inherently incomplete sets of requirements. Thus, an assurance argument must establish traceability between assumptions (or claims) made to structure the open context, the arguments explaining why these claims are valid, and finally the evidence that supports the respective arguments. Additionally, the assurance argument must hold, despite evidence of incomplete requirements may only be generated after release. To legitimate the release of and to create trust in the technology, the argument must also be understandable for a variety of stakeholders ranging from developers or managers to technical supervision organizations or legal and societal authorities. This talk will focus on challenges and first results identified in the research project VVMethods. We will present a high-level argumentation structure that is based on concepts from capability engineering and explicitly addresses the challenges of the open context. We will argue how the realization of enterprise, organizational, and system capabilities facilitates traceability between claims and evidence generated throughout the whole safety lifecycle of an automated vehicle. Finally, we will discuss how the VVM- Framework supports the integration of available standards, provides different levels of abstraction to efficiently communicate with a variety of stakeholders, and how the framework provides scalability to address constraints imposed by different (SAE) levels of automation. 1 TU Braunschweig, Institut f. Regelungstechnik, 2 Fraunhofer IESE, 3 Robert Bosch GmbH, 4 Continental Teves AG & Co. oHG * Das Projekt „VVM – Verification and validation methods for automated vehicles in urban environments“ wird gefördert durch das Deutsche Bundesministerium für Wirtschaft und Energie

Vortragsfolien (passwortgeschützt)

14:45 – 15:15 Pause
15:15 – 15:45 It's all about trust - Simulation Credibility
 

Birte Kramer, OFFIS/DLR SE

  • Abstract

    Guaranteeing safe operation of automated driving systems is a challenging task that will require a high effort. Purely physical test are not feasible as for a statistical validation (depending on assumptions) several hundreds of million of kilometers would be necessary (for perspective: all roads in the US amount to 6.59 million km). These tests would be needed to be repeated for every newly developed or modified automated driving system. Thus we will be forced to used simulation. But how can we be able to trust in results generated by simulation? The term most often used in literature and scientific communities for these activities is "credibility". In this talk an overview of simulation credibiliy will be given, as well as some possible solutions and future challenges for this topic.
    These are first results from the SET Level Project and is joint work from Rainer Aue (Continental), Dirk Frerichs (Opel), Anne Grätz (Bosch), Birte Kramer (OFFIS), Pierre Mai (PMSF), Markus Steimle (TU Braunschweig, IfR), Dirk Ulbricht (Continental) and Nico Weber (Opel)

Vortragsfolien (passwortgeschützt)

15:45 – 16:15 Security Monitoring für permanente Sicherheit, Vertrauen und Zuverlässigkeit vernetzter Anwendungen in der Mobilität
 

Prof. Dr. Falk Langer, Hochschule Mittweida (IAV in Kooperation mit der HS-Mittweida)

  • Abstract

    Prof. Dr. Falk Langer (Hochschule Mittweida), Lukas Stahlbock, Dr. Jan Gacnik (IAV GmbH)

    Zukünftige kooperative, verteilte, cloudbasierte Systeme sind auf Vertrauen der Nutzer angewiesen. Nur wenn alle Entitäten sich gegenseitig und dem ausführenden System vertrauen wird ein Nutzer eigene Daten dem Netzwerk zur Verarbeitung überlassen. Auch für die Nutzung von Informationen aus dem Netzwerk ist in erster Linie die Vertrauenswürdigkeit der empfangenen Daten wichtig, wenn darauf aufbauend kritische Aktionen ausgeführt werden sollen. Das Konzept einer gemeinsamen Cloud-Infrastruktur kann nur funktionieren, wenn alle Seiten Vertrauen in die Lösung bzw. die dahinterliegende Technik und entsprechenden Prozesse und Policies haben. Ein wichtiger Aspekt hierbei ist die Gewährleistung der Security und der Safety der Daten bzw. der Dienste. Es ist bekannt, dass vor allem in Bezug auf Cyber-Security derartige Systeme während ihres Betriebes dauerhaft beobachtet und „verteidigt“ werden müssen. Die Aktivitäten der UNECU in WP29 als auch die ISO21434 beschreiben diese Notwendigkeiten zwar zunächst auf Fahrzeugebene, die Tragweite für sicherheitskritische verteilte Cloud-Anwendungen lässt sich aber bereits erahnen. Eine derartige Aufgabe in einer heterogenen Mobilitäts-Infrastruktur mit vielen eigenständig handelnden Stakeholdern verlangt nach gemeinschaftlichen Lösungen. Mit dem europäischen Gemeinschaftsprojekt GAIA-X entsteht eine herstellerübergreifende Cloud-Infrastruktur mit den Daten in einem gemeinsamen Ökosystem verfügbar sind und verarbeitet werden können. Der Mehrwert eines Cloud-basierten Monitoring-as-a-Service (MOasS) besteht darin, in komplexen und vernetzten System mit mehreren Datenquellen unzugängliche Informationen zu erhalten und verarbeiten zu können. So wird es möglich, insbesondere in einem größeren vernetzten System, Security-relevante Ereignisse - z.B. netzwerkbasierte Cyberangriffe, zu erkennen. Dieser Vortrag beschäftigt sich daher vorwiegend mit dem Problem, welche Mittel und Methoden ergriffen werden sollten, um den Betrieb kooperativer, verteilter, cloud-basierter Systeme aus Cyber-Security Gesichtspunkten dauerhaft sicher zu stellen. Hierzu werden mögliche Ausprägungen eines SecurityMonitoring Dienstes und der Rückkopplung (also der Incidence Response zu den Teilnehmern bzw. Artefakten des Ökosystems GAIA-X) vorgestellt und diskutiert.

Vortragsfolien (passwortgeschützt)

16:15 – 16:45 Data-Driven Development for Trust-Worthy Systems – Enabling Self-Learning and Autonomous Vehiclest
 

Stefan Otten, FZI Forschungszentrum Informatik

  • Abstract

    Die Fahrzeuge der Zukunft sind selbstlernend und autonom. Die zugehörigen Funktionen stützen sich auf eine große Mengen von Daten. Durch die stetige Evolution der Funktionsumfänge im System sowie auch Änderungen der Umwelt müssen diese Daten im Rahmen eines Continuous Data-Driven Development Lifecycle stetig analysiert und integriert werden. Auffälligkeiten und relevante Situationen werden kontinuierlich aufgezeigt und analysiert, hierbei sind bspw. Qualität, Abdeckung und Relevanz der Daten zu berücksichtigen. Im Rahmen dieses Vortrags werden unterschiedliche Ansätze für Data Analytics mit Schwerpunkt auf AI-Methoden im Rahmen eines Data-Driven Development für Automotive aufgezeigt und mit dem Lebenszyklus harmonisiert. Anhand von Fallbeispielen im Bereich der FAS-Funktionsentwicklung sowie Bildverarbeitung werden Benefits und Herausforderungen dargestellt um abschließend aktuelle Handlungsfelder für die Umsetzung von Data-Driven Development in der Automobilindustrie aufzuzeigen.

Vortragsfolien (passwortgeschützt)

16:45 – 17:15 Diskussion und Ergebnissicherung
17:15 Ende der Veranstaltung

 

Anmeldung

REGISTRIERUNG 28. SafeTRANS INDUSTRIAL DAY