Detection and Analysis of Critical Interactions in Illegal U-turns at an Urban Intersection

Before Advanced Driver Assistance Systems (ADAS) can guide vehicles through real-world traffic, it has to be ensured that they will operate reliably in normal, but particularly in rare and critical situations such as traffic conflicts or near misses under all circumstances and conditions. To test the ADAS functions in rare critical situations, this study aims to gather knowledge about such situations i.e. detect them at an urban intersection, analyze the road user behavior and describe relevant kinematic patterns based on an aggregated long-term analysis. To limit the number of possible situations, we focus on interactions between illegally U-turning motorized road users (MRU) and vulnerable road users (VRU). Since trajectory and video data of traffic violations are rare, the relevant trajectories of MRUs and VRUs need to be identified first. Therefore, virtual loops are employed, which are placed at the expected starts and ends of the trajectories. All trajectories that intersect both, the start and end loop, are extracted from the dataset. Then, the resulting trajectories have to be evaluated regarding driving paths, interaction, and criticality. For this purpose, the surrogate measure of safety "post encroachment time" (PET) is applied. Afterward, available scene videos are used to evaluate the PET-triggered situations as critical or uncritical encounters. Finally, descriptive and inferential statistical methods are applied to kinematic data of those trajectory pairs to identify relevant behavioral patterns of the road users. The examined dataset was recorded at the Application Platform for Intelligent Mobility Research Intersection of the German Aerospace Center in Brunswick, Germany. Applying the beforementioned methodology to the dataset yielded the detection of relevant interactions. The kinematic patterns of the interactions that were assessed as critical close encounters were further analyzed to derive situational patterns. Based on this analysis it can be shown that the reason for critical situations was that the U-turning MRU had to leave the intersection. Thus, we can validate that the road safety for vehicles leaving the intersection in an unallowed direction can become critical. To understand these situations in detail they are described in the following. The U-turning MRUs use the lane of the left turning vehicle and have to let the oncoming traffic pass before they can execute their turning maneuver. While the median U-turn curve radius is 7.6 m other curve radii vary between 2.8 and 22.3 m. Some U-turning vehicles that enter the intersection during the red phase of the VRU are waiting so long for the oncoming vehicles to pass that the traffic light for the VRUs is already switching to green when the U-turning vehicle leaves the intersection. Based on the PET-triggered situations and their video scenes we could identify and evaluate critical U-turn situations. Our analysis showed, that these situations occur when the vehicles had to wait a long time at the intersection and had to leave it at a time when the traffic lights gave the right of way to the VRUs that were crossing the lane. In a conclusion, tailored preventive measures such as vehicle-to-infrastructure communication could reduce criticality in such U-turn situations because the vehicles would then be aware of the traffic light state. The research leading to these results is funded by the German Federal Ministry for Economic Affairs and Climate Action within the project Methoden und Maßnahmen zur Absicherung von KI basierten Wahrnehmungsfunktionen für das automatisierte Fahren (KI-Absicherung). The authors would like to thank the consortium for the successful cooperation

Evaluating Architectural Safeguards for Uncertain AI Black-Box Components

Künstliche Intelligenz (KI) hat in den vergangenen Jahren große Erfolge erzielt und ist immer stärker in den Fokus geraten. Insbesondere Methoden des Deep Learning (ein Teilgebiet der KI), in dem Tiefe Neuronale Netze (TNN) zum Einsatz kommen, haben beeindruckende Ergebnisse erzielt, z.B. im autonomen Fahren oder der Mensch-Roboter-Interaktion. Die immense Datenabhängigkeit und Komplexität von TNN haben jedoch gravierende Schwachstellen offenbart. So reagieren TNN sensitiv auf bestimmte Einflussfaktoren der Umwelt (z.B. Helligkeits- oder Kontraständerungen in Bildern) und führen zu falschen Vorhersagen. Da KI (und insbesondere TNN) in sicherheitskritischen Systemen eingesetzt werden, kann solch ein Verhalten zu lebensbedrohlichen Situationen führen. Folglich haben sich neue Forschungspotenziale entwickelt, die sich explizit der Absicherung von KI-Verfahren widmen. Ein wesentliches Problem bei vielen KI-Verfahren besteht darin, dass ihr Verhalten oder Vorhersagen auf Grund ihrer hohen Komplexität nicht erklärt bzw. nachvollzogen werden können. Solche KI-Modelle werden auch als Black-Box bezeichnet. Bestehende Arbeiten adressieren dieses Problem, in dem zur Laufzeit “bösartige” Eingabedaten identifiziert oder auf Basis von Ein- und Ausgaben potenziell falsche Vorhersagen erkannt werden. Arbeiten in diesem Bereich erlauben es zwar potenziell unsichere Zustände zu erkennen, machen allerdings keine Aussagen, inwiefern mit solchen Situationen umzugehen ist. Somit haben sich eine Reihe von Ansätzen auf Architektur- bzw. Systemebene etabliert, um mit KI-induzierten Unsicherheiten umzugehen (z.B. N-Version-Programming-Muster oder Simplex Architekturen). Darüber hinaus wächst die Anforderung an KI-basierte Systeme sich zur Laufzeit anzupassen, um mit sich verändernden Bedingungen der Umwelt umgehen zu können. Systeme mit solchen Fähigkeiten sind bekannt als Selbst-Adaptive Systeme. Software-Ingenieure stehen nun vor der Herausforderung, aus einer Menge von Architekturellen Sicherheitsmechanismen, den Ansatz zu identifizieren, der die nicht-funktionalen Anforderungen bestmöglich erfüllt. Jeder Ansatz hat jedoch unterschiedliche Auswirkungen auf die Qualitätsattribute des Systems. Architekturelle Entwurfsentscheidungen gilt es so früh wie möglich (d.h. zur Entwurfszeit) aufzulösen, um nach der Implementierung des Systems Änderungen zu vermeiden, die mit hohen Kosten verbunden sind. Darüber hinaus müssen insbesondere sicherheitskritische Systeme den strengen (Qualitäts-) Anforderungen gerecht werden, die bereits auf Architektur-Ebene des Software-Systems adressiert werden müssen. Diese Arbeit befasst sich mit einem modellbasierten Ansatz, der Software-Ingenieure bei der Entwicklung von KI-basierten System unterstützt, um architekturelle Entwurfsentscheidungen (bzw. architekturellen Sicherheitsmechanismen) zum Umgang mit KI-induzierten Unsicherheiten zu bewerten. Insbesondere wird eine Methode zur Zuverlässigkeitsvorhersage von KI-basierten Systemen auf Basis von etablierten modellbasierten Techniken erforscht. In einem weiteren Schritt wird die Erweiterbarkeit/Verallgemeinerbarkeit der Zuverlässigkeitsvorhersage für Selbst-Adaptive Systeme betrachtet. Der Kern beider Ansätze ist ein Umweltmodell zur Modellierung () von KI-spezifischen Unsicherheiten und () der operativen Umwelt des Selbst-Adaptiven Systems. Zuletzt wird eine Klassifikationsstruktur bzw. Taxonomie vorgestellt, welche, auf Basis von verschiedenen Dimensionen, KI-basierte Systeme in unterschiedliche Klassen einteilt. Jede Klasse ist mit einem bestimmten Grad an Verlässlichkeitszusicherungen assoziiert, die für das gegebene System gemacht werden können. Die Dissertation umfasst vier zentrale Beiträge. 1. Domänenunabhängige Modellierung von KI-spezifischen Umwelten: In diesem Beitrag wurde ein Metamodell zur Modellierung von KI-spezifischen Unsicherheiten und ihrer zeitlichen Ausdehnung entwickelt, welche die operative Umgebung eines selbstadaptiven Systems bilden. 2. Zuverlässigkeitsvorhersage von KI-basierten Systemen: Der vorgestellte Ansatz erweitert eine existierende Architekturbeschreibungssprache (genauer: Palladio Component Model) zur Modellierung von Komponenten-basierten Software-Architekturen sowie einem dazugehörigenWerkzeug zur Zuverlässigkeitsvorhersage (für klassische Software-Systeme). Das Problem der Black-Box-Eigenschaft einer KI-Komponente wird durch ein Sensitivitätsmodell adressiert, das, in Abhängigkeit zu verschiedenen Unsicherheitsfaktoren, die Prädektive Unsicherheit einer KI-Komponente modelliert. 3. Evaluation von Selbst-Adaptiven Systemen: Dieser Beitrag befasst sich mit einem Rahmenwerk für die Evaluation von Selbst-Adaptiven Systemen, welche für die Absicherung von KI-Komponenten vorgesehen sind. Die Arbeiten zu diesem Beitrag verallgemeinern/erweitern die Konzepte von Beitrag 2 für Selbst-Adaptive Systeme. 4. Klassen der Verlässlichkeitszusicherungen: Der Beitrag beschreibt eine Klassifikationsstruktur, die den Grad der Zusicherung (in Bezug auf bestimmte Systemeigenschaften) eines KI-basierten Systems bewertet. Der zweite Beitrag wurde im Rahmen einer Fallstudie aus dem Bereich des Autonomen Fahrens validiert. Es wurde geprüft, ob Plausibilitätseigenschaften bei der Zuverlässigkeitsvorhersage erhalten bleiben. Hierbei konnte nicht nur die Plausibilität des Ansatzes nachgewiesen werden, sondern auch die generelle Möglichkeit Entwurfsentscheidungen zur Entwurfszeit zu bewerten. Für die Validierung des dritten Beitrags wurden ebenfalls Plausibilitätseigenschaften geprüft (im Rahmen der eben genannten Fallstudie und einer Fallstudie aus dem Bereich der Mensch-Roboter-Interaktion). Darüber hinaus wurden zwei weitere Community-Fallstudien betrachtet, bei denen (auf Basis von Simulatoren) Selbst-Adaptive Systeme bewertet und mit den Ergebnissen unseres Ansatzes verglichen wurden. In beiden Fällen konnte gezeigt werden, dass zum einen alle Plausibilitätseigenschaft erhalten werden und zum anderen, der Ansatz dieselben Ergebnisse erzeugt, wie die Domänen-spezifischen Simulatoren. Darüber hinaus konnten wir zeigen, dass unser Ansatz Software-Ingenieure bzgl. der Bewertung von Entwurfsentscheidungen, die für die Entwicklung von Selbst-Adaptiven Systemen relevant sind, unterstützt. Der erste Beitrag wurde implizit mit Beitrag 2 und mit 3 validiert. Für den vierten Beitrag wurde die Klassifikationsstruktur auf bekannte und repräsentative KI-Systeme angewandt und diskutiert. Es konnte jedes KI-System in eine der Klassen eingeordnet werden, so dass die generelle Anwendbarkeit der Klassifikationsstruktur gezeigt wurde

Simultaner Safety-Check von Trajektorien beim Automatisierten Fahren im Urbanen Verkehr

Beim automatisierten Fahren kommen zunehmend Ansätze der künstlichen Intelligenz (KI) und des maschinellen Lernens zum Einsatz. Das Ziel ist, mit dieser Technologie auch komplexe Sachverhalte, die vom Menschen mit seiner kognitiven Intelligenz und Erfahrung schnell und präzise erfassbar sind, mit maschinellen Systemen in ausreichender Qualität zu erfassen. Das bedeutet, dass durch das automatisierte Fahrzeug nicht mehr Unfälle passieren dürfen als durch menschliche Fahrer. Ein Nachteil von KI-Ansätzen ist die geringe Nachvollziehbarkeit der Funktionsweise und Entscheidungsfindung der entsprechenden Algorithmen. Damit ist auch nicht im Detail bekannt, welche Fehlfunktionen bei derartigen Ansätzen auftreten können. Der Stand der Technik enthält bereits verschiedene Konzepte zur Absicherung von automatisierten Fahrzeugen und auch wenige theoretische Konzepte zur direkten Absicherung von KI-Algorithmen. Meist werden dabei allerdings vereinfachende Annahmen wie bspw. fehlerfrei funktionierende Umfeldsensorik getroffen. Auch der Komplettausfall von funk-tionalen Modulen wie Perzeption oder Trajektorienplanung wird in der Literatur kaum adressiert. Zur Schließung dieser Lücke wird der Ansatz verfolgt, die Schwächen des Planers durch ein nachgeschaltetes Modul zu kompensieren, das nicht die KI-Funktionen selbst, sondern lediglich deren Ergebnis in Form der Solltrajektorie absichert. In der vorliegenden Dissertation entspricht das dem Konzept des „Safety Checks“ (SC), das für den Einsatz im urbanen Verkehr vorgestellt wird. Dieses Modul befindet sich in der Architektur des automatisierten Systems zwischen Trajektorienplaner und Trajektorienregler. Bevor eine vom KI-basierten Planer ausgegebene Trajektorie zum Regler weitergeleitet wird, prüft das SC-Modul deren Sicherheit durch erklärbare deterministische Diagnosen ohne Einsatz von KI. Die im Fahrzeug vorhandenen und auch vom abzusichernden System verwendeten Sensordaten werden dafür mit diversitären Ansätzen auf einer anderen Verarbeitungsebene zur Sicherheitsprüfung genutzt. Im Fall einer unsicheren Trajektorie des Planers greift das SC-Modul ein und überführt das automatisierte Fahrzeug in einen risikominimalen Zustand. Regelung und Aktoransteuerung werden vom SC nicht abgesichert, da sie sich mit bestehenden konventionellen Methoden bereits zuverlässig absichern lassen. Im Zuge der Anforderungsdefinition an das Absicherungskonzept wird mittels Fehlerbaumanalyse systematisch hergeleitet, welche Ursachen zu unsicheren geplanten Trajektorien führen können. Das sind einerseits funktionale Unzulänglichkeiten im Bereich der Trajektorienplanung oder in der Interpretation der Umwelt, andererseits ein Komplettausfall von Modulen oder Sensoren. Daraus leitet sich die Anforderung an das SC-Modul ab, dass neben der Sicherheitsprüfung der Trajektorie auch die Überwachung des Gesundheitszustands von Sensoren und anderen Modulen erforderlich ist. Weitere Anforderungen sind, angemessen und ausreichend schnell auf das Auftreten eines unsicheren Zustands zu reagieren und die Falsch-Positiv-Eingriffsrate des SC-Moduls zu minimieren. Zur Identifizierung situationsgemäßer Reaktionen bei einem unsicheren Zustand wird der Lösungsraum für mögliche Notmanöver aufgespannt und diskutiert, welche Voraussetzungen für die Anwendung der verschiedenen Optionen jeweils zu erfüllen sind. Darauf basierend wird für das SC-Modul die primäre Notstrategie gewählt, entlang des aktuell oder zuletzt geplanten sicheren Pfades in den Stillstand zu bremsen. Aus den verschiedenen Unsicherheitsarten und Anforderungen werden funktionale Submodule abgeleitet, die der Informationsprüfung bzw. -plausibilisierung, der Trajektorienprüfung oder der Nottrajektoriengenerierung dienen. Daraus wird eine beispielhafte Ge-samtarchitektur des SC-Moduls gebildet, im realen Testfahrzeug implementiert und sowohl auf dem Testgelände als auch im öffentlichen Verkehr in einem Wohngebiet getestet. Die Detektionsreichweite der logik-basierten Objektlistenplausibilisierung, die vom Perzeptionsmodul nicht erfasste und somit in der Objektliste fehlende Objekte detektiert, ist unter Verwendung von Radar- und Lidardaten ausreichend für den absicherungsrelevanten Bereich. Da im Testfahrzeug nur ein nach vorne gerichteter Radarsensor vorhanden ist, offenbaren sich in Kreuzungsszenarien jedoch Schwierigkeiten in der Schätzung der Dynamik von querenden Objekten. Davon abgesehen erfolgt die Detektion von potenziell kollisionskritischen Objekten zuverlässig. Die Evaluation der Objektkritikalitätsprüfung zeigt, dass eine der größten Herausforderungen die Bewegungsprädiktion von anderen Verkehrsteilnehmern ist. Während in Open-Loop-Testfahrten im Realverkehr beim Folgen gerader Straßen keine Falscheingriffe des SC-Moduls auftreten, erweisen sich auch hier Kreuzungsszenarien als herausfordernd. Aufgrund der konservativen Objektbewegungsprädiktion, die der Prädiktion des menschlichen Testfahrers unterlegen ist, kommt es in eigentlich unkritischen Situationen mehrfach zu Eingriffen des SC-Moduls

KI-basierte Fahrwerksregelung KIFAHR

Für die Vertikaldynamikregelung von semi-aktiven Dämpfern werden neuartige Regelungsansätze benötigt, welche für den Zielkonflikt zwischen Komfort und Fahrsicherheit unter Berücksichtigung von verschiedenen Einflussfaktoren, wie veränderliche Beladungen, unterschiedlichste Fahrbahnoberflächen, Reifentypen, Reifendrücke und Wetterbedingungen einen besseren Kompromiss als Regler nach dem Stand der Technik realisieren. Die herkömmliche Umsetzung einer semi-aktiven Vertikaldynamikregelung beinhaltet in der Praxis sowie in den meisten wissenschaftlichen Veröffentlichungen das Zusammenführen folgender Komponenten: Ein parametrisiertes Synthesemodell (meist ein so genanntes Viertelfahrzeugmodell), ein Regelansatz, der darauf abzielt eine Zielgröße zu minimieren sowie eine Auswahl an Sensorsignalen als Eingänge des Reglers. Methoden des maschinellen Lernens bieten die Möglichkeit, das Regelgesetz aus gemessenen Daten und der Interaktion mit System oder Simulation automatisiert zu lernen. Für den Regler stellen Methoden des Reinforcement Learnings (RL) einen vielversprechenden Ansatz dar. In mehreren Veröffentlichungen wurde bereits die Leistungsfähigkeit von RL-basierten Methoden für die Anwendung auf regelungstechnische Probleme gezeigt. Entsprechende Ansätze wurden bisher nur vereinzelt an einer semi-aktiven Vertikaldynamikregelung erprobt. Ziel des Projekts war es, eine stärkere Automatisierung des Reglerauslegungsprozesses zu erreichen. Gleichzeitig soll das Potential von intelligenten Lernverfahren, insbesondere Reinforcement Learning, für die Regelung von semi-aktiven Dämpfern im Fahrwerksbereich bestimmt werden. Hierfür sollen auf der Basis von realen Messdaten und daraus abgeleiteten Systemmodellen intelligente Lernverfahren zur Auslegung des Reglers zum Einsatz kommen. Ziel ist es zudem, die Sicherheit des Systems im Betrieb mit einem Absicherungskonzept für die Umsetzung der gelernten Regler zu gewährleisten und damit die Praxistauglichkeit der entwickelten Konzepte am Versuchsträger in Prüfstandsversuchen und realen Versuchsfahrten zu demonstrieren. Das Versuchsfahrzeug AFM (AI for Mobility, einem straßenzugelassenen Versuchsfahrzeug mit Drive-By-Wire Kit) wurde mit den nötigen Sensoren und Aktuatoren sowie Rapid Control Prototyping (RCP) Systemen ausgerüstet. Durch umfangreiche Vermessung von sowohl Einzelkomponenten als auch dem gesamten Fahrzeug wurde eine umfassende Datenbasis für die Modellierung und das Lernen von Neuronalen Netzen geschaffen. Auf Basis dieser Messdaten wurden Komponentenmodelle und Modelle des gesamten Fahrzeugs erstellt. Bei der Modellierung des Dämpfers kamen sowohl datenbasierte Modellierungsmethoden basierend auf Neuronalen Netzen als auch physikalisch motivierte Methoden zum Einsatz. Darüber hinaus wurden Fahrzeugmodelle in unterschiedlicher Komplexität und Simulationsdauer je nach Einsatzzweck erstellt. Für das Training des Reglers, den Reglerexport und die Reglervalidierung wurden neue Software-Werkzeugketten entwickelt oder bestehende Werkzeugketten für den Anwendungszweck umfassend erweitert und angepasst. Zur Ausführung des gelernten Reglers wurde innerhalb des Projekts ein neues und leistungsstarkes Steuergerät für die Vertikaldynamikregelung entwickelt und eine vorkompilierte Reglerbibliothek bereitgestellt. Um die sichere Ausführung des Reglers gewährleisten zu können, wurde ein Absicherungskonzept entwickelt und im realen Fahrversuch erprobt. Die Performance des in Simulation gelernten Reglers wurden sowohl qualitativ im realen Fahrversuch als auch quantitativ durch Messungen an einem Vertikaldynamikprüfstand bestätigt. Insgesamt wurde mittels Methoden des Reinforcement Learnings ein Regelgesetz gelernt, welches qualitativ und quantitativ einen Regler auf dem Stand der Technik in den meisten Anregungsszenarien übertreffen kann. In dem Vorhaben wurden Methoden der künstlichen Intelligenz aus der Wissenschaft - insbesondere aus dem Bereich des Reinforcement Learnings (RL) - in die praktische Anwendung für die Regelung und Abstimmung von semi-aktiven Dämpfern straßengebundener Fahrzeuge transferiert. Die Automatisierung des Reglerauslegungsprozesses mittels RL und der Generierung von Systemmodellen aus Messdaten bietet den Projektpartner KW automotive hochmoderne Methoden, um aktuelle und künftige Anforderungen der Märkte effizient zu bedienen. Durch die Zusammenarbeit zwischen KW automotive und dem DLR-Institut für Systemdynamik und Regelungstechnik wurde darüber hinaus bei KW automotive Wissen im Bereich der KI eingeführt und in die Praxis umgesetzt. Die Firma KW wurde somit dazu befähigt, KI-Anwendungen nicht nur zu nutzen, sondern auch zu verstehen, in einem nächsten Schritt weiterzuentwickeln und in ihre Produkte zu integrieren. Durch die Erprobung des Reglers auf einem Prototypensystem wurde die Anwendbarkeit von RL-basierten Reglern in der Praxis gezeigt. Die KW automotive GmbH wird sich im Anschluss an das Kooperationsprojekt mit der Überführung des prototypischen Aufbaus in eine seriennahe Anwendung beschäftigen, um die beschriebenen Vorteile in Ihre Produkte einfließen zu lassen. Die Erfahrung aus vorangegangen Forschungsprojekten zeigt hier einen zeitlichen Horizont von 2-3 Jahren bis zur Einführung der neuen Technologien (Prototypen – Vorserie – Serie). Die entwickelten methodischen Ansätze werden im Anschluss an das Projekt innerhalb des beteiligten DLR-Instituts abstrahiert, optimiert und weiterentwickelt. Ziel des Instituts ist es weitere methodische Fortschritte im Bereich der KI-gestützten Regelungsmethoden in der Robotik, der Luft- und Raumfahrt sowie dem Automobil- und Schienenfahrzeugbereich zu erzielen

Evaluating Architectural Safeguards for Uncertain AI Black-Box Components

Although tremendous progress has been made in Artificial Intelligence (AI), it entails new challenges. The growing complexity of learning tasks requires more complex AI components, which increasingly exhibit unreliable behaviour. In this book, we present a model-driven approach to model architectural safeguards for AI components and analyse their effect on the overall system reliability

Simultaner Safety-Check von Trajektorien beim Automatisierten Fahren im Urbanen Verkehr

Beim automatisierten Fahren kommen zunehmend Ansätze der künstlichen Intelligenz (KI) und des maschinellen Lernens zum Einsatz. Das Ziel ist, mit dieser Technologie auch komplexe Sachverhalte, die vom Menschen mit seiner kognitiven Intelligenz und Erfahrung schnell und präzise erfassbar sind, mit maschinellen Systemen in ausreichender Qualität zu erfassen. Das bedeutet, dass durch das automatisierte Fahrzeug nicht mehr Unfälle passieren dürfen als durch menschliche Fahrer. Ein Nachteil von KI-Ansätzen ist die geringe Nachvollziehbarkeit der Funktionsweise und Entscheidungsfindung der entsprechenden Algorithmen. Damit ist auch nicht im Detail bekannt, welche Fehlfunktionen bei derartigen Ansätzen auftreten können. Der Stand der Technik enthält bereits verschiedene Konzepte zur Absicherung von automatisierten Fahrzeugen und auch wenige theoretische Konzepte zur direkten Absicherung von KI-Algorithmen. Meist werden dabei allerdings vereinfachende Annahmen wie bspw. fehlerfrei funktionierende Umfeldsensorik getroffen. Auch der Komplettausfall von funk-tionalen Modulen wie Perzeption oder Trajektorienplanung wird in der Literatur kaum adressiert. Zur Schließung dieser Lücke wird der Ansatz verfolgt, die Schwächen des Planers durch ein nachgeschaltetes Modul zu kompensieren, das nicht die KI-Funktionen selbst, sondern lediglich deren Ergebnis in Form der Solltrajektorie absichert. In der vorliegenden Dissertation entspricht das dem Konzept des „Safety Checks“ (SC), das für den Einsatz im urbanen Verkehr vorgestellt wird. Dieses Modul befindet sich in der Architektur des automatisierten Systems zwischen Trajektorienplaner und Trajektorienregler. Bevor eine vom KI-basierten Planer ausgegebene Trajektorie zum Regler weitergeleitet wird, prüft das SC-Modul deren Sicherheit durch erklärbare deterministische Diagnosen ohne Einsatz von KI. Die im Fahrzeug vorhandenen und auch vom abzusichernden System verwendeten Sensordaten werden dafür mit diversitären Ansätzen auf einer anderen Verarbeitungsebene zur Sicherheitsprüfung genutzt. Im Fall einer unsicheren Trajektorie des Planers greift das SC-Modul ein und überführt das automatisierte Fahrzeug in einen risikominimalen Zustand. Regelung und Aktoransteuerung werden vom SC nicht abgesichert, da sie sich mit bestehenden konventionellen Methoden bereits zuverlässig absichern lassen. Im Zuge der Anforderungsdefinition an das Absicherungskonzept wird mittels Fehlerbaumanalyse systematisch hergeleitet, welche Ursachen zu unsicheren geplanten Trajektorien führen können. Das sind einerseits funktionale Unzulänglichkeiten im Bereich der Trajektorienplanung oder in der Interpretation der Umwelt, andererseits ein Komplettausfall von Modulen oder Sensoren. Daraus leitet sich die Anforderung an das SC-Modul ab, dass neben der Sicherheitsprüfung der Trajektorie auch die Überwachung des Gesundheitszustands von Sensoren und anderen Modulen erforderlich ist. Weitere Anforderungen sind, angemessen und ausreichend schnell auf das Auftreten eines unsicheren Zustands zu reagieren und die Falsch-Positiv-Eingriffsrate des SC-Moduls zu minimieren. Zur Identifizierung situationsgemäßer Reaktionen bei einem unsicheren Zustand wird der Lösungsraum für mögliche Notmanöver aufgespannt und diskutiert, welche Voraussetzungen für die Anwendung der verschiedenen Optionen jeweils zu erfüllen sind. Darauf basierend wird für das SC-Modul die primäre Notstrategie gewählt, entlang des aktuell oder zuletzt geplanten sicheren Pfades in den Stillstand zu bremsen. Aus den verschiedenen Unsicherheitsarten und Anforderungen werden funktionale Submodule abgeleitet, die der Informationsprüfung bzw. -plausibilisierung, der Trajektorienprüfung oder der Nottrajektoriengenerierung dienen. Daraus wird eine beispielhafte Ge-samtarchitektur des SC-Moduls gebildet, im realen Testfahrzeug implementiert und sowohl auf dem Testgelände als auch im öffentlichen Verkehr in einem Wohngebiet getestet. Die Detektionsreichweite der logik-basierten Objektlistenplausibilisierung, die vom Perzeptionsmodul nicht erfasste und somit in der Objektliste fehlende Objekte detektiert, ist unter Verwendung von Radar- und Lidardaten ausreichend für den absicherungsrelevanten Bereich. Da im Testfahrzeug nur ein nach vorne gerichteter Radarsensor vorhanden ist, offenbaren sich in Kreuzungsszenarien jedoch Schwierigkeiten in der Schätzung der Dynamik von querenden Objekten. Davon abgesehen erfolgt die Detektion von potenziell kollisionskritischen Objekten zuverlässig. Die Evaluation der Objektkritikalitätsprüfung zeigt, dass eine der größten Herausforderungen die Bewegungsprädiktion von anderen Verkehrsteilnehmern ist. Während in Open-Loop-Testfahrten im Realverkehr beim Folgen gerader Straßen keine Falscheingriffe des SC-Moduls auftreten, erweisen sich auch hier Kreuzungsszenarien als herausfordernd. Aufgrund der konservativen Objektbewegungsprädiktion, die der Prädiktion des menschlichen Testfahrers unterlegen ist, kommt es in eigentlich unkritischen Situationen mehrfach zu Eingriffen des SC-Moduls