Kategoriarkiv: Funktionell säkerhet

Funktionell säkerhet, Informationssäkerhet, Konferenser

IT-säkerhet på FFI-konferensen

Tisdag 24 november hölls årets programkonferens för FFI, Fordonsstrategisk Forskning och Innovation, i Berns salonger i Stockholm. Temat i år var ”Digitalisering för trafiksäkerhet, miljö och svensk konkurrenskraft!” Automatiserade fordon nämndes förstås flera gånger i såväl föredrag om trender som i diskussioner och resultapresentationer, även om det inte var huvudfokus denna gång.

Det som jag tyckte var av störst intresse var Robert Malmgrens föredrag om IT-säkerhet. Robert är säkerhetskonsult i bolaget ROMAB och enligt tidningen Computer Sweden, Sveriges främste IT-säkerhetsexpert.

Moderna bilar är i princip datorer på hjul med över 100 miljoner rader kod. Men till skillnad från våra hemdatorer är konsekvenserna av ”oväntat besök” i form av virus, hackning etc. betydligt allvarligare. Tyvärr är fortfarande många bilar alltför åtkomliga för attacker och intrång på många sätt, inte bara i själva bilen utan också i hela det uppkopplade ekosystemet. Det går lätt att hitta dåliga exempel, bland annat i själva uppdateringsprocessen – Robert visade ett antal.

Men det går också att hitta goda exempel, inte minst från Tesla Motors, som förutom att de använder ”over the air”-uppdateringar också erbjuder tipspengar för tips om buggar och säkerhetsfel. Man belönar alltså istället för att jaga och bestraffa.

Robert rekommenderar branschen att konstruera systemen redan från början med tanke på säkerhet, med grundsäkerhet, underhållbarhet och hantering av 3e-partslösningar, samt att ha lösningar för snabba, säkra och fungerande uppdateringar.

Enligt Robert så kommer Volkswagengruppens mjukvarufifflande att öka kunders, intresseorganisationers och myndigheters krav på IT i bilar.

Roberts presentation hittar ni här.

Elektronik och processorer, Funktionell säkerhet, Funktioner, Kartor, Kommunikation, Konferenser, Positionering, Samhällspåverkan, Sensorer

Seminarium om teknologier för automatiserade fordon

Tisdag 3 november arrangerade SAFER, SVEA och Volvo Cars ett seminarium som fokuserade teknologierna bakom automatiserade fordon. Seminariet, som lockade ca 60 deltagare till Lindholmen Science Park, utgick till stor del från Volvo Cars Drive Me-satsning.

Inledningsvis berättade Dr Erik Coelingh från VCC om bakgrunden till fordonsautomation: med alltfler människor som flyttar till allt större städer så blir inte trafiksystemet hållbart, samtidigt som det ändå finns ett behov av individuell mobilitet som inte kollektivtrafiken kan tillfredsställa. Volvos tanke är att frigöra tid och låta föraren välja när man ska köra själv. Det finns enligt Erik två vägar till självkörande fordon: en inkrementell väg via alltmer automatiserade förarstödsfunktioner, och ett ”hopp” direkt till självkörande fordon. En risk med den inkrementella vägen är att förarna inte blir beredda att ta över från systemet trots att det kan krävas om än sällan, medan en stor risk med ”hoppet” är att det kräver stor investering i teknologi och produkt.

Joakim Lin-Sörstedt från VCC berättade om sensorer och sensor fusion i Drive Me-bilarna. De kommer att ha 7 radarer, 8 kameror, 1 lidar, ett antal ultraljudsensorer, HD-karta och moln-uppkoppling. Sensorfunktionen har 3 målsättningar: 360 graders objektidentifiering, att upptäcka hinder på vägen och positionering. Detta åstadkommer man genom olika kombinationer av lågnivåhantering i de enskilda sensorerna och central högnivå sensor fusion. För att klara detta blir mjukvaran alltmer specifik och hårdvaruberoende.

Lars Hammarstrand från Chalmers berättade om hur positionering och lokalisering sker, genom att kalibrera positionen från karta och GPS mot landmärken med känd position som identifieras via sensor fusion i bilarna. Det svåra är inte att som många demonstrationer runt om i världen köra ett par enstaka gånger autonomt, utan att kunna göra det varje dag i flera års tid. Ett problem är att kartor blir gamla och bilarna behöver kunna hantera det, antingen själva eller kooperativt gemensamt med andra fordon via molnet.

Jonas Arkensved från Delphi berättade om deras sensorutveckling, från tidiga radarer till den kombinerade radar/kameramodul som sitter i Volvos nya XC90. Man jobbar med att förbättra upplösning, synfält och bildkvalitet för att på det sättet ge mer tillförlitliga data, men också med att sänka priset.

Mohammad Ali från Volvo Cars beskrev den funktionella arkitekturen i Drive Me-bilarna, och hur man arbetar med beslutsalgoritmer för till exempel filbyten. Grundprincipen är att baserat på ett antal givna önskemål ta fram en målfunktion och trigga filbytet när målfunktionen visar att en annan fil är bättre. Beslutsalgoritmerna måste kunna hantera alla situationer och för att hantera detta använder Volvo sig av försiktighetsåtgärder för att förutse hypotetiska händelser, dels som rekommendationer, dels om tvingande åtgärder. Exempelvis skapar man marginaler och sänker hastigheten när man närmar sig områden där sensorerna inte ser.

Robert Hult från Chalmers berättade om hur man kan koordinera automatiserade bilar i korsningar, för att bäst kunna utnyttja den gemensamma resursen = vägytan. Detta görs genom att ersätta dagens styrning via trafikregler, skyltar, trafikljus till optimala rörelser för varje enskild bil. Det innebär en systemoptimering utifrån prediktering av möjliga framtida tillstånd. Det finns förstås flera utmaningar, såväl avseende beräkning, kommunikation och hur hantera icke-automatiserade fordon.

Martin Hiller från Volvo Cars beskrev hur elarkitekturen i Drive Me-bilarna ser ut. Det tillkommer då många nya noder, sensorer och nätverk, bland annat Ethernet för att få högre bandbredd. Global tidssynkronisering är en nyckel för såväl sensor fusion och aktivering, så att data representerar samma tillstånd. För V2X-kommunikation behövs också en globalt synkroniserad klocka för att kunna synkronisera med andra fordon eller infrastrukturen.

Mathias Westlund berättade om hur Volvo Cars jobbar med tillförlitlighet och feltolerans. Det är många nya och höga krav (ASIL D) och till exempel måste även kraftförsörjningen vara redundant. Inga singelfel ska leda till ”failure”. Detta görs i Drive Me-bilarna genom en extra bromsenhet (hydraulik+elektronik) och genom att kunna backup-styra genom bromsning av enskilda hjul.

Autonoma bilar måste kunna identifiera alla relevanta objekt, hantera alla situationer och alla akuta fel, och vara fail tolerant, dvs. på ett säkert sätt kunna hantera fel genom reducerad funktionalitet om ett allvarligt fel uppstår, t.ex. genom att stanna bilen vid vägkanten. Detta eftersom man inte kan lita på att föraren kommer tillbaks i loopen i tid för att kunna reda ut situationen. Däremot behöver bilarna inte vara fail operational (ha kvar full funktionalitet trots fel) vilket krävs för flygplan.

Det finns många nya möjliga felmoder och det finns en stor utmaning i verifiering. Det går inte att göra bara genom att köra miljarder mil för att täcka alla situationer och alla väderförhållanden/väglag. Man får istället identifiera kritiska situationer och sedan återskapa dessa i data för prov, till exempel med hjälp av förstärkt verklighet. I Drive Me-projektet begränsas scenariorna till en vägslinga och ”normala” väderförhållanden.

Elektromagnetiska fält förväntas kunna ge kommunikationsstörningar vilket är en utmaning. BMW har samma EMC-krav som för helikoptrar.

Elad Schiller från Chalmers berättade om hur man kan balansera prestanda och systemsäkerhet i kooperativa system även vid kommunikationsfel. Även om de självkörande bilarna i sig är säkra så kan V2X-kommunikationen vara felaktig, så att olika bilar får olika information. I så fall kan man säkra situationen genom att bilarna kommunicerar när de inte får information från andra och samtidigt degraderar funktionen.

Aktuatorer, Elektronik och processorer, Funktionell säkerhet, Sensorer

Halvledarindustrins syn på autonoma fordon

Halvledartillverkaren Infineons VD Reinhard Ploss tror att framtidens automatiserade fordon kommer att skapa en stor efterfrågan på såväl halvledare som sensorer och aktuatorer, även om det kommer att ta lång tid att nå fullt självkörande bilar [1]. På vägen dit kommer det att finnas stor nytta även med uppkopplade fordon. Det finns också mycket att göra med elektronisk reglering av förbränningsmotorer för att minska koldioxidutsläppen.

Ploss tror att det kommer att räcka med dubbel redundans i autonoma vägfordon (flygplan har tredubbel).

Han ser en stor utmaning för halvledarindustrin, i att  innovera för ny och bättre funktionalitet och samtidigt sänka kostnaderna. Vad gäller högfrekvensradarsystem så kommer det att krävas nya teknologier. Ploss ser också stora fördelar med kiselkarbid jämfört med vanligt kisel, speciellt i elfordon som kan få förbättrad verkningsgrad.

Källor

[1] Pete Singer: Infineon CEO Says Robot Cars Will Drive Semiconductor Demand, Semiconductor Manufacturing & Design 2015-10-12 Länk

Funktionell säkerhet, Konferenser

Komplexiteten – en mardröm

Medan juristerna fortsätter diskutera vad som är ”tillräckligt säkert” för automatiserade fordon och huruvida dessa ska kräva särskilt körkort eller till och med utökad utbildning för sina ”piloter”, återkommer frågan om tillräcklig säkerhet, eller acceptabel risk om man så önskar, även på tekniksidan. Många sneglar på flygindustrin för vägledning men flera talare vid ITS World Congress 2015 pekar på att automatiserade fordon i större skala erbjuder betydligt större utmaningar än även de mest avancerade flygsystemen.

Vad gäller säkerhetstester för självkörande fordon används idag avgränsade testbanor och i begränsad omfattning utrullning av fordon i vanlig trafik. Men hur många kilometer måste dessa fordon rulla innan man kan påstå att de är tillräckligt säkra? Allt fler diskuterar bänktester och simulering för att hantera systemtester. Men hur vet man om dessa tester är tillförlitliga?

Dagens premiumbilar har komplexa säkerhetssystem för att hålla hastighet, avstånd och position på vägen. Kommande generationer av automatiserade fordon med högre grad av automatisering kräver givetvis ännu högre komplexitet. Följande jämförelse med flygsystem ger en fingervisning om den komplexitet vi står inför att testa fordonen – på vägen eller i testbänk (miljoner rader kod):

  • F22 Raptor (USAF Frontline Fighter) – 1,7
  • F25 Joint Strike Fighter (2010) – 5,7
  • Boeing 787 Dreamliner (2010) – 6,5
  • Premium-klassad personbil (2009) – 100

Vid ett seminarium diskuterades att i mycket högre grad använda den information som redan finns tillgänglig i befintliga system i stället för att bygga nya styrsystem baserat på ännu fler sensorer. Att dela information mellan fordon (V2V) kan också vara ett stöd för att bygga mer robusta system utan att göra det egna systemet än mer omfattande.

Egen kommentar

Även på tekniksidan har vi stora utmaningar kvar, inte minst inom test, verifiering och certifiering. Strategiska satsningar och samverkan krävs på alla nivåer mellan tillverkare och samhälle. Men vem driver den frågan?

Funktionell säkerhet, Informationssäkerhet, Samhällspåverkan

Barriärer och möjligheter med självkörande fordon

Investeraren Alex Rubalcava skriver i sin blogg [1] om barriärer och möjligheter med självkörande fordon. Inledningsvis sammanfattar han vad han ser att många analytiker kommit fram till:

  • Någon, t.ex. Uber kommer att erbjuda autonoma delade bilar. Sådana tjänster har potential att minska antalet bilar med 75-90% till en kostnad som är av 10-50% av dagens Uber-tjänster, eftersom man inte behöver betala några förare.
  • Den förbättrade trafiksäkerheten med autonoma fordon kommer att minska försäkringspremierna med 50-90%.
  • Mycket av markytorna i städer som idag används till parkering kommer att användas till annat.
  • Trafikmängden kommer att minska kraftigt trots att reslängden per person inte kommer att förändras mycket.
  • De första autonoma bilarna på marknaden kommer att lanseras mellan 2017 och 2020, varefter transportinfrastrukturen snabbt kommer att förändras.

De stora vinsterna i form av ökad funktionalitet kopplad till kraftigt minskade kostnader kommer att överväga de barriärer som finns eller kommer att uppstå. Några sådana barriärer som han nämnder är:

  • Tekniska hinder, att ta fram sensorer och system med tillräcklig kapabilitet.
  • Legala hinder, dvs. att fordonen blir tillåtna och att man kan hantera ansvarsfrågor.
  • Förr eller senare kommer någon att använda självkörande fordon för terrorandamål – att t.ex. fylla en bil med sprängämnen och köra den till något mål utan att själv behöva vara i närheten. När det händer kommer samhället att överreagera, anser Alex Rubalcava.
  • Bilarna kommer att hackade för att styra bilarna med sina passagerare någonstans.
  • Lång tid att skala upp och ersätta dagens fordonspark.

Egen kommentar

Inlägget är skrivet för amerikanska förhållanden och får ses som en personlig inlaga. Det är dock intressant att han dels samlar ihop vinsterna och också tar upp en barriär jag inte sett beskriven förut.

Källor

A Roadmap for a World Without Drivers, Alex Rubalcava 2015-08-26 Länk

Funktionell säkerhet, Kommunikation, Kooperativa system, Lagstiftning och regelverk, Samverkan människa - maskin

Från Automotive Tech AD i Berlin

Skrivet av Jonas Ekmark, Volvo Cars

Konferensen Automotive Tech AD hölls förra veckan i Berlin, med ungefär 200 deltagare och talare från Volvo Cars, Daimler AG, Audi AG, Ford Europa, Ibeo, Here, Scania, RDW, Bosch, Nvidia m.fl. inom områdena:

  • Autonomous driving scenarios
  • Legal & liability aspects
  • HMI challenges
  • Urban mobility trends towards 2020
  • V2X tech & smart communities
  • Safety vs. availability trade-off
  • V2V & V2I communications

Intresset för automatiserad körning är starkt. Deltagarna kommer inte bara från bilindustrin utan även tunga fordon, anläggningsmaskiner och jordbruksmaskiner. Dessutom kretstillverkare, certifieringsmyndigheter och jurister. Jag såg också en deltagare från Sony.

Audi
Dr. Björn Giers berättade om Audis satsning på självkörande fordon, alltifrån Bonneville Salt Flats, ”Pikes peak”, självparkerande A8 och resan med journalister till CES tidigare i år. Det är tydligt att han har erfarenhet från riktig utveckling i bil, en kontrast till Mercedes trucks och de andra föredragshållarna som presenterar skrivbordsprodukter eller studier gjorda i simulator. Han motiverade satsningen på självkörande med att 97 % av olyckorna beror på förarmisstag (source: GIDAS) och att friställd tid är attraktivt för föraren.

Dr. Giers har förstått fördelen med självkörande bilars förmåga att planera, ta det försiktigt och inte behöva agera så nära en kollision, jämfört med t ex Automatic Emergency Brake, AEB. ”Det blir mycket enklare med föraren ur loopen”.

Citat från hans föredrag:

  • Redundancy is required. None of these failures are possible to handle with a driver take-over.
  • If anyone has redundant solutions for this (steering), you can offer it to me during the lunch break.
  • I really like the Volvo talk. Especially the requirements on functional safety, I think we agree very closely.
  • There will be lawsuits, we need data recording to defend ourselves.
  • Just like Volvo, we vill add a second ECU for redundancy in parallell to the ZFAS (ZFAS betyder Zentrales Fahr-Assistenz Steuergerät).
  • What good is a level 3 system if the driver has to actually monitor it?
  • Humans are rubbish at supervising. Check for how long you can watch the second hand on a watch without losing attention.

Han visar att hand-over går snabbare om föraren är aktiv med bilens HMI. I både Tyskland och USA finns lag som förbjuder människan att t.ex. skriva mail eller SMS. Denna är oberoende av huruvida bilen är självkörande eller inte. Han var mycket kritisk till detta eftersom det utesluter den goda effekten (aktivitet => kortare reaktionstid) och det inte heller ger möjlighet att använda friställd tid till att skriva. Vi har en jättefördel i Sverige med en mindre specifik skrivning av detta.

Dr. Giers fick flera frågor och svarade som förväntat på alla utom en:

  • Volvos will be altruistic, will Audis will be more agressive and squeeze in?
    – No, Audis will be very careful when selfdriving.
  • What systems does Audi use for ground-truthing?
    – We use anything that’s available.
  • How much will you let suppliers control?
    – We would be happy if there was a supplier that we could buy the whole system from, because the differentiation is in the HMI, not in the self-driving system.

Svaret på sista frågan har jag svårt att förstå.

Volvo Cars ”Drive Me”

Vårt projekt drar till sig mycket intresse och uppskattning. Jag är förstås partisk men har inte känt mig så jagad på en konferens tidigare.

Synpunkter från deltagarna:

  • Drive Me är ett forskningsprojekt med vanliga kunder på vanliga vägar. Det är rätt väg för att få fram en kommersialiserbar lösning.
  • Någon frågade om jag känner till något liknande projekt någonstans. Det gjorde inte den personen (inte jag heller).
  • Vi är förmodligen inte de mest tekniskt/funktionellt avancerade men det är inte poängen. Helheten och ambitionen att förändra marknaden är unik.
  • En del anser att vi kommit långt tekniskt också. Att visa bilder på sensorerna i senaste pressreleasen hjälpte nog till.
  • Vissa gillar att vi är konkreta i rapporteringen. De hoppas att vi skall publicera fortsatta resultat efterhand.

Nomenklatur

Förvirringen är värre än tidigare. Åtminstone fem automatiseringsskalor används: NHTSA, BaSt, SAE, ISO och VDA. Alla har numrerade ”levels” men olika innebörd. Vår ”Drive Me”-ambition innebär nog Level 4 på SAE-skalan, och Level 3 på NHTSA-skalan. De flesta initierade höll med om att den stora skillnaden är huruvida föraren behöver övervaka eller inte. När man väl har etablerat detta kan man prata vidare. Annars är det lätt att missförstå varandra. Tänk er 200 personer från olika länder som pratar om automatisering i två dagar. Det hinner bli många missförstånd.

Lärotrappan för de nya på området följer ungefär samma mönster som vi observerat på hemmaplan. Vissa pratar om system som utför det mesta av körningen men lämnar kritiska situationer till föraren. Det finns konsensus bland dem som gjort egen utveckling att det upplägget är olämpligt av två skäl:

  1. Människor är dåliga på att övervaka monotona processer.
  2. Kritiska situationer kommer ibland att upptäckas av bilen precis innan det blir försent att undvika dem. Föraren har då ingen chans utan får ta över ansvaret för ett ofrånkomligt problem.

HMI och koncept

Flera talare visade mätningar på den tid det tar för föraren att återfå kontrollen när det självkörande systemet varnar (Audi, BMW m.fl.). Sammanfattningen är att det tar längre tid ju mindre aktiv föraren är innan varningen. Det är ganska OK med en förare som ägnar sig åt infotainment-systemet. En person som inte har haft någon uppgift alls tar flera gånger längre tid att få tillbaka i förarrollen.

Att lämna tillbaka till föraren med kort varsel för att hantera kritiska situationer är inte bra, det håller de flesta med om. Flera pratade om att Googles approach (och Volvo Cars) är enklare när det gäller ansvar, HMI och förarens roll.

Mercedes Trucks

Mercedes Trucks pratade svulstigt om ledarskap och hade flera synpunkter på hur självkörande bilar behöver vara. Bland annat måste de kunna tala om för omgivningen att de är självkörande. Mercedes trucks anser att omgivningen kräver detta och har gjort en konceptbil med speciell exteriör belysning av det skälet. I slutet av föredraget kom frågan hur mycket Mercedes Trucks kört för att komma fram till slutsatserna. Svaret blev att de inte kört alls; de har inget tillstånd.

Legalitet och ansvar

Tyskland är kanske ett av världens sämsta land för att utveckla självkörande teknik. En juridikprofessor med specialområdet ”Robot Law” från Würzburg (Prof. Dr. Dr. Eric Hilgendorf) fördjupade sig i skälen till att självkörande fordon inte får köras i Tyskland. Han fortsatte med ”the trolley dilemma”, dvs. uppfattningen att en självkörande bil behöver programmeras för att välja kollisionsobjekt i situationer med flera samtidiga oundvikliga kollisioner, och att det utgör ett moraliskt/etiskt dilemma. Han skruvade detta ytterligare en varv med att det i tysk lag anses lika allvarligt att döda en människa som att döda många, vilket sades vara ett arv från processerna efter andra världskrigets krigsbrott. Det är därför möjligt att konstruera en bil som systematiskt väljer att döda flera människor istället för färre. Han kallade denna idé för ”The algorithm of death”. Ytterligare ett underligt exempel: ”Cyber-criminals” kan hacka sig in i den självkörande bilens datorsystem. De skulle då kunna visa ”pornographic propaganda” på bilens displayer. Jaha. Det är tydligt att vissa ger sig in på automationsområdet med ambitionen att hitta problem snarare än att hitta lösningar.

Kan en mänsklig förare ställas till svars för att ha agerat fel i en dilemmasituation? Nej, säger professorn. När människan hamnar i ett sådant läge anses det vara en olycka. Händelseförloppet är för snabbt för att människans handlande skall kunna klandras. Men maskinen kan anses vara förprogrammerad för att agera på ett visst sätt och därför kan dess konstruktör ställas till ansvar. Audis Björn Giers anmärkte på att resonemanget utgår från att bilens system antas vara allvetande och ha möjlighet att väga olika konsekvenser mot varandra, t.ex. att välja att systematiskt köra på icke-bayrare, men att verkligheten inte alls är sådan. Professorn verkade inte tycka det spelade någon roll för dilemmats existens.

Min inställning är att om den självkörande bilen konstrueras för att alltid kunna undvika förutsebara hinder så kommer den inte att hamna i någon situation där den behöver göra något etiskt eller moraliskt val. Om bilen konstrueras för en låg risknivå mot förutsebara risker, och att reagera på allt annat med bara bromsning så försvinner dilemmat.

Konsekvensen att låg risk innebär en potentiellt lägre medelhastighet diskuterades också i grupperna på konferensen. De flesta verkade tycka att det inte är något problem om resan tar lite längre tid, förutsatt att man inte behöver köra själv. Att inte orsaka olyckor är viktigare. En självkörande bil som konsekvent anpassar sin hastighet till omgivningen kan troligen köras med extremt låg risk att orsaka olyckor, utan att restiden ökar signifikant.

Nvidias nya självkörande-plattform
Nvidia gjorde reklam för vision-detektering genom deep learning neural networks och sin nya hårdvaruplattform Nvidia drive PX (med Tegra X1) som verkar vara skapad för självkörandeapplikationer. Den används enligt Nvidia hittills av Audi (ZFAS), Google och Zoox, men alla är välkomna att bli kunder. Det verkar också vara något på G med Nvidia och Tesla, eftersom Danny Shapiro sade att ”Elon Musk and Nvidias CEO will hold a press conference the 17 March, check that out”.

På frågan om vilken ASIL-nivå som produkten stöder sade han att NÄSTA Nvidia-processor kommer att vara ASIL C, och målet är att göra hela ”Nvidia drive PX” ASIL D-kompatibelt, eftersom det har två processorer. Men det är uppenbarligen inte så nu. Hursomhelst verkar Nvidia ha bestämt sig för att vara mitt i självköranderevolutionen med sina nya produkter.

Kommersiella fordon

Jag fick höra att förarkostnaden är 30 till 45 % av totalkostnaden för ett åkeri. Att marginalerna normalt är mycket små och att förarnas körtider är en besvärlig begränsning. Dessa faktorer pekar på ett fantastiskt business-case när man lyckas automatisera fullt ut. Kanske starkare än för personbilar?

Gruppdiskussioner

Konferensen innehöll också 15-minuters gruppdiskussioner runt givna teman och sedan rotation mellan grupperna. Intressant även om spridningen i förkunskaper gjorde diskussionen lite spretig ibland. Hursomhelst, några spridda noteringar:

  • Att logga data med hög detaljnivå när fordonet kör själv gör det möjligt att analysera vad som orsakade ett problem. Det borde kunna bli ganska entydigt; ett omgivande fordon, den egna föraren, eller det självkörande systemet. Den senare kategorin kommer att minimeras om fordonstillverkaren är ansvarig för den. Vilket kan ge system som orsakar mycket få olyckor. Däremot kommer självkörande bilar att bli inblandade i olyckor som orsakas av andra. Det problemet minskar med ökande andel självkörande bilar.
  • Kooperativ körning (dvs med direktkommunikation V2V) förespråkas av vissa, t.ex. Baselabs VD Dr. Robin Schubert. Men han håller med om att den självkörande funktionen måste kunna fungera utan V2V eftersom 1) det dröjer lång tid innan tekniken finns i många fordon, 2) radiokommunikation är lätt att störa ut.
  • Vissa säger att ”V2V is a must for safety-critical applications”. Någon påpekar att andelen uppkopplade fordon i verkligheten kommer att börja från noll. Vad betyder säkerhetskritiskt då?
Funktionell säkerhet, Konferenser, Lagstiftning och regelverk, Samhällspåverkan

Automatiserad körning på Transportforum

Den 8-9 januari var det dags för VTIs årliga Transportforum i Linköping som drog flera hundra deltagare. Automatiserade fordon och transportsystem fick en hel del uppmärksamhet. Här är ett referat från de föredrag som jag deltog på.

  • Inledningstalet som hölls av infrastrukturminister Anna Johansson handlade om Framtidens transportsystem för en hållbar samhällsutveckling. Hon påpekade bl.a. att vi i Sverige har en lång tradition av att sätta trafiksäkerheten högt på agendan. Som ett exempel tog hon trepunktsbältet som är en svensk innovation som blivit känd i hela världen och som finns i alla bilar. I framtiden behöver vi identifiera hur vi kan koppla ihop våra nya innovationer med möjligheten till affärer i stora delar av världen med ökad trafiksäkerhet här hemma. Anna undrade också om automatisering är svaret på frågan om ökad trafiksäkerhet och på vilket sätt kan man minska möjligheten till beteenden som leder till dödsolyckor.
  • Anders Eugensson från Volvo Cars berättade om Volvos syn på automatisering. Uppkoppling är en stor drivkraft till den pågående utvecklingen. För nya generationer är det viktigare att vara uppkopplad än att köra. Många tycker dock att bilen bör skärmas av för att öka trafiksäkerheten. Volvo vill istället möjliggöra uppkoppling samtidigt som trafiksäkerheten förbättras. Automatiserad körning är ett sätt att uppnå detta. Inom DriveMe projektet som drar i gång 2017 kommer 100 vanliga förare få möjlighet att köra automatiserade Volvobilar i vanlig trafik (flerfiliga vägar utan mötande trafik och med låg risk för fotgängare). Utöver bättre trafiksäkerhet väntas automatiserad körning adressera andra samhällsutmaningar inklusive bättre infrastrukturanvändning och mindre trafikstockningar, samt möjliggöra ett mer flexibelt transportsystem. Anders tror att vi om 5-6 år kommer ha fordon som tar de första stegen mot automation, men att det kommer dröja längre innan vi har fordon som helt och hållet klarar sig utan någon förare.
  • Neville Stanton från University of Southampton i England pratade på temat The automated automobile: Distributed Cognition in Driving. Människor har en naturlig förmåga att anpassa uppmärksamhetsnivån efter uppgiften som de utför (Malleable Attentional Resources Theory, MART). Om uppgiften kräver mycket uppmärksamhet avsätter vi mycket uppmärksamhet åt denna, och vice versa. Problemet uppstår när en snabb anpassning behövs, dvs. när vi behöver växla från låg till hög uppmärksamhetsnivå. Risken är stor att det här problemet uppstår i automatiserade fordon. Så som utvecklingen ser ut idag kommer förarens roll övergå från att ha manövreringskontroll till att övervaka det automatiserade systemet. Detta leder till ”moment 22”: vi strävar efter att eliminera föraren från alla köruppgifter, men samtidigt kräver vi av föraren att han/hon ska vara uppmärksam och redo att snabbt ta över kontrollen för att det är han/hon som är ansvarig för framförandet av fordonet. För att komma runt problemet bör vi tänka på följande sätt:
    • Automatisera bara det som är nödvändigt att automatisera och när det är nödvändigt.
    • Sträva efter att stödja föraren och inte att ersätta denne.
    • Ett automatiserat system ska vara transparent.
    • En ”pratig” co-pilot är att föredra snarare än en tystlåten auto-pilot.
    • Om det uppstår tekniska problem ska systemet gradvis och smidigt degraderas.
  • En paneldebatt med Birgitta Hermansson (Transportstyrelsen), Suzanne Andersson (Göteborgs stad), Maria Krafft (Folksam), Bengt Svensson (Rikspolisstyrelsen), Magnus Hjälmdahl (VTI) handlade också om automatiserade fordon. Många viktiga frågor adresserades – hur mycket kommer automatiserade fordon att förändra/påverka vårt samhälle, försäkringar, integritet, polisens arbete, lagstiftningen, krav på fordon, förare, infrastrukturen, etc. Ni kan höra hela debatten här (börjar runt 57:00).
  • Niklas Strand från VTI talade på temat Semi-automated versus highly automated driving in critical situations caused by automation failures. Niklas berättade om en simulatorstudie som med 36 förare undersökt effekten av systemfel i två system med olika grad av automation: Adaptive Cruise Control (ACC, hjälper till att hålla en förvald hastighet och tidslucka till framförvarande fordon) och Traffic Jam Assist (TJA, samma funktionalitet som ACC plus styrning i sidled).
    Följande tre systemfel kunde uppstå under körningen: måttligt (60 % av bromskapaciteten), allvarligt (30 % av bromskapaciteten) och fullständigt (0 % av bromskapaciteten).
    Studien visade bl.a. att förarna hade en tendens att köra säkrare när felen uppstod i systemet med lägre grad av automation (ACC). Den visade också att återhämtningen blev svårare vid fel i systemet med högre grad av automation (TJA).
    En länk till Niklas presentation kommer att finnas tillgänglig på VTIs hemsida inom kort (Session 1).
  • Lars Englund från Transportstyrelsen talade på temat Är automatiserade förarstöd lösningen för de som på grund av sjukdom inte får inneha körkort?
    Det finns en rad olika sjukdomar som kan omöjliggöra körkort eller orsaka problem i trafiken:

    • Kroniska sjukdomar (t.ex. nedsatt syn, demens och andra kognitiva problem).
    • Sjukdomar som ger problem i vissa situationer (t.ex. dålig syn i mörker, aggressiva reaktioner, alkoholism, drogberoende).
    • Sjukdomar som ger plötslig inkapacitering (t.ex. plötsligt hjärtstopp, epileptiskt anfall, insomning, medvetslöshet på grund av lågt blodsocker).

    Idag saknas det statistik för hur många trafikolyckor som orsakas av sjukdomar, men tolkat från internationella studier kan det röra sig om 15-20 %. En vanlig ”åtgärd” är att man försöker identifiera dem som har trafikfarliga sjukdomar och återkalla deras körkort (ca 8 000 återkallas årligen).
    Lars påpekade dock att det är särskilt viktigt att de som är sjuka får köra bil, och att det inte handlar bara om de äldre även om de är en viktig grupp.
    Idag försöker man med hjälp av olika medel underlätta bilkörningen för de sjuka (t.ex. anpassa fordon för rörelsehinder, använda ortoser, proteser och prismalinser mot dubbelseende). Förhoppningen är att avancerade förarstödsystem ska underlätta körningen för ännu fler sjukdomsdrabbade. Det är framförallt plötsliga insjukningar som Lars hoppas att sådana system ska kunna adressera i en första omgång. Det är viktigt att studera sådana system och identifiera deras potential för den nämnda målgruppen.

  • Min kollega Maria Nilsson (och jag) talade på temat The human in the autonomous transport system baserat på resultat från två projekt.Det ena projektet heter AIMMIT och adresserar samverkan mellan människan och det automatiserade fordonet som hon transporteras i. Hur skulle det se ut om föraren/passageraren kunde påverka det automatiserade fordonets strategiska beslut, t.ex. tala om för fordonet att köra om framförvarande fordon när detta är möjligt? Interaktionsgränssnittet som togs upp för att exemplifiera detta har utvecklats inom ett studentprojekt på Högskolan i Halmstad.
    Det andra projektet handlar om samverkan mellan automatiserade fordon och fotgängare. Några olika multimodala gränssnitt som förmedlar fordonets intention till fotgängaren visades. Dessa har utvecklats i ett samarbete mellan Viktoria Swedish ICT och Interactive Institute Swedish ICT och kommer att vidareutvecklas inom ett examensarbete.
  • Magnus Hjälmdahl från VTI pratade på temat Truck drivers’ expectations and experience of automated truck platoons. Han presenterade resultat från två projekt, iQFleet och ADEMAS, som handlat om kolonnkörning (platooning) med lastbilar och som utförts i samarbete med Scania. Kolonnkörningen som testats går ut på att lastbilarna kör tätt efter varandra och att föraren i den första lastbilen ansvarar för alla lastbilar i kolonnen. Testerna har utförts både i en körsimulator och i verklig trafik där förarna fick testa kolonnkörning under några månader alterantivt ett år. Kortfattat kan man säga att många av dem var initialt negativa till sådan typ av körning. Många var rädda att förlora sin frihet och yrkesstolthet, var ovilliga att arbeta i grupp samt oroliga för sin säkerhet. Deras inställning blev mer positiv efter de genomförda långtidstesterna.Studien visade också att automatisering av vissa köruppgifter inte nödvändigtvis leder till reducerad kognitiv belastning. En annan indikation är att automatisering ökar tröttheten hos lastbilsförare. Magnus presentation kommer vara tillgänglig på VTIs hemsida inom kort.
  • Annika Larsson från ÅF pratade på temat What is the new normal? Evaluating the effects of (semi-) autonomous vehicles. Annika påpekade att medan vi är vana att utvärdera förarstödsystem i säkerhetskritiska situationer har vi väldigt begränsad kunskap om hur man utvärderar system som stödjer föraren under vanlig körning. Detta är speciellt viktigt om man pratar om system med högre grad av automation.
    Beteendeförändringar och anpassningar över tiden är en annan aspekt som hon lyfte fram. Det är viktigt att utvärdera system med avseende på hur de faktiskt används och inte på om de fungerar så som deras utvecklare tänkt sig.
    Utmaningen ligger i att sådan utvärdering är svår att genomföra innan systemet finns ute på marknaden. Ett sätt att komma runt detta är att utveckla utvärderingsmetoder som fokuserar på hur strategiska och taktiska delar av köruppgiften kan komma att förändras med tiden. Mer om det hela kan ni läsa i Annikas doktorsavhandling med titel Automation and the nature of driving – the effects of adaptive cruise control on drivers’ tactical driving decisions.
Funktionell säkerhet, Sensorer

Studenttävling i Sydkorea: Problem när det regnar

I början av oktober rapporterade vi om Future Automobile Technology Competition i Sydkorea. Nu har IEEE Spectrum publicerat lite mer information om tävlingen, baserat på några videofilmer som publicerats av en tävlingsdeltagare, KAIST Unmanned Systems Research Group [1].

Tävlingen pågick i två dagar och under dag 2 började det regna. Strax efter att det slutat regna började KAISTs team sin körning. Videofilmerna från dag 1 och dag 2 visar klart och tydligt att deras självkörande bil fick fler problem under dag 2 än under dag 1. Detta mest på grund av att reflektionerna från den våta vägytan gjorde det svårt för kamerasystemen att detektera och följa vägmarkeringar och andra objekt.

Teamet lyckades dock avsluta körningen utan att bilen kört ner i diket.

Källor

[1] Ackerman, E., IEEE Spectrum – Cars That Think. Korean Competition Shows Weather Still a Challenge for Autonomous Cars. 2014-11-11 Länk

Funktionell säkerhet, Sensorer

Lidar är ett måste

Jan Becker från Bosch Research and Technology Center i Palo Alto gjorde ett uttalande i samband med Automated Vehicles Symposium 2014 där han konstaterade att lidar är ett måste för automatiserad körning [1]. Han menar dock att lidar ska vara en kompletterande snarare än en ersättningssensor till radar och kameror. Detta mest för att öka redundansen. Ni kan läsa mer om lidar, vad de kostar och vad som händer inom området i en artikel som The Wall Street Journal publicerat i juli [2].

Källor

[1] Ross, E. P., IEEE Spectrum: Cars That Think. Bosch Believes Cars Should Have Lasers. 2014-07-17. Länk

[2] Shchetko, N. The Wall Street Journal. Laser Eyes Pose Price Hurdle for Driverless Cars. 2014-07-21. Länk (vid problem att öppna länken: gör en sökning på artikelns titel)

 

Funktionell säkerhet, Funktioner

Nya samarbeten i Kina och Japan

EE Times skriver att det kinesiska företaget Freescale Semiconductor har ingått ett samarbete med två andra kinesiska företag, Green Hills Software and Neusoft Corporation, för att utveckla ett förarstödsystem baserat på ISO 26262-standarden för funktionell säkerhet [1].

Enligt Freescales produktchef, kommer ISO-standarden att ha en avgörande roll för utformning av och kostnaden för automatiserade fordon. För många tillverkare är det inte trivialt hur standarden ska appliceras. Det är framförallt bilar i lågkostnadssegment som är en utmaning och som måste designas på ett sätt som garanterar funktionell säkerhet utan att priset ökar.

Tre japanska universitet: Kyushu Institute of Technology, University of Kitakyushu och Waseda University, har tillsammans startat ett nytt forskningscenter [2]. Målet är att utveckla ett självkörande fordon.

Alla dessa universitet har sedan förut forskning inom området. Det förstnämnda har utvecklat ett system som kan bedöma om det är bättre att köra om ett objekt än att stanna för att undvika kollision. University of Kitakyushu håller på utveckla ett system som kan detektera fordon och människor oavsett väderförhållanden, och Waseda University har erfarenheter av automatiserade elfordon.

Källor

[1] Yoshida, J., EE Times, Functional Safety Critical for Autonomous Cars. 2014.-05-20. Länk

[2] Kuratomi, K., The Asahi Shimbun, Asia & Japan Watch. Universities team up to develop fully autonomous car. 2014-05-02. Länk