Gemischt-autonome Flotten in der urbanen Logistik

We consider a city logistics application in which a service provider seeks a repeatable plan to transport commodities from distribution centers to satellites. The service provider uses a mixed autonomous fleet that is composed of autonomous vehicles and manually operated vehicles. The autonomous vehicles are only able to travel independently on feasible streets of the heterogeneous infrastructure but elsewhere need to be pulled by manually operated vehicles in platoons. We introduce the service network design problem with mixed autonomous fleets to determine a tactical plan that minimizes the total costs over a medium-term time horizon. The tactical plan determines the size and mix of the fleet, schedules transportation services, and decides on the routing or outsourcing of commodities. We model this problem as an integer program on a time-expanded network and study the impact of different problem characteristics on the solutions. To precisely depict the synchronization requirements of the problem, the time-expanded networks need to consider narrow time intervals. Thus, we develop an exact solution approach based on the dynamic discretization discovery scheme that refines partially time-expanded networks containing only a fraction of the nodes and arcs of the fully time-expanded network. Further methodological contributions of this work include the introduction of valid inequalities, two enhancements that exploit linear relaxations, and a heuristic search space restriction. Computational experiments show that all evaluated variants of the solution approach outperform a commercial solver. For transferring a tactical plan to an operational solution that minimizes the transshipment effort on a given day, we present a post-processing technique that specifically assigns commodities to vehicles and vehicles to platoons. Finally, we solve a case study on a real-world based network resembling the city of Braunschweig, Germany. Analyzing the tactical and operational solutions, we assess the value of using a mixed autonomous fleet and derive practical implications.Wir betrachten eine Anwendung der urbanen Logistik, bei der ein Dienstleister einen wiederholbaren Plan für den Gütertransport von Distributionszentren zu Satelliten anstrebt. Dafür setzt der Dienstleister eine gemischt-autonome Flotte ein, die sich aus autonomen Fahrzeugen und manuell gesteuerten Fahrzeugen zusammensetzt. Die autonomen Fahrzeuge können nur auf bestimmten Straßen der heterogenen Infrastruktur selbstständig fahren, außerhalb dieser müssen sie von manuell gesteuerten Fahrzeugen mittels Platooning gezogen werden. Wir führen das „service network design problem with mixed autonomous fleets“ ein, um einen taktischen Plan zu ermitteln, der die Gesamtkosten über einen mittelfristigen Zeithorizont minimiert. Der taktische Plan bestimmt die Größe und Zusammensetzung der Flotte, legt die Transportdienste fest und entscheidet über das Routing oder das Outsourcing von Gütern. Wir modellieren dieses Problem als ganzzahliges Programm auf einem zeiterweiterten Netzwerk und untersuchen die Auswirkungen verschiedener Problemeigenschaften auf die Lösungen. Um die Synchronisationsanforderungen des Problems präzise darzustellen, müssen die zeiterweiterten Netzwerke kleine Zeitintervalle berücksichtigen. Daher entwickeln wir einen exakten Lösungsansatz, der auf dem Schema des „dynamic discretization discovery“ basiert und partiell zeiterweiterte Netzwerke entwickelt, die nur einen Teil der Knoten und Kanten des vollständig zeiterweiterten Netzwerks enthalten. Weitere methodische Beiträge dieser Dissertation umfassen die Einführung von Valid Inequalities, zweier Erweiterungen, die lineare Relaxationen verwenden, und einer heuristischen Suchraumbegrenzung. Experimente zeigen, dass alle evaluierten Varianten des Lösungsansatzes einen kommerziellen Solver übertreffen. Um einen taktischen Plan in eine operative Lösung zu überführen, die die Umladevorgänge an einem bestimmten Tag minimiert, stellen wir eine Post-Processing-Methode vor, mit der Güter zu Fahrzeugen und Fahrzeuge zu Platoons eindeutig zugeordnet werden. Schließlich lösen wir eine Fallstudie auf einem realitätsnahen Netzwerk, das der Stadt Braunschweig nachempfunden ist. Anhand der taktischen und operativen Lösungen bewerten wir den Nutzen einer gemischt-autonomen Flotte und leiten Implikationen für die Praxis ab

Runtime Restriction of the Operational Design Domain: A Safety Concept for Automated Vehicles

Automated vehicles need to operate safely in a wide range of environments and hazards. The complex systems that make up an automated vehicle must also ensure safety in the event of system failures. This thesis proposes an approach and architectural design for achieving maximum functionality in the case of system failures. The Operational Design Domain (ODD) defines the domain over which the automated vehicle can operate safely. We propose modifying a runtime representation of the ODD based on current system capabilities. This enables the system to react with context-appropriate responses depending on the remaining degraded functionality. In addition to proposing an architectural design, we have implemented the approach to prove its viability. An analysis of the approach also highlights the strengths and weaknesses of the approach and how best to apply it. The proof of concept has shown promising directions for future work and moved our automated vehicle research platform closer to achieving level 4 automation. A ROS-based architecture extraction tool is also presented. This tool helped guide the architectural development and integration of the automated vehicle research platform in use at the University of Waterloo, and improve the visibility of safety and testing procedures for the team

Validating Behavioral Requirements, Conditions, and Rules of Autonomous Systems with Scenario-Based Testing

Assuring the safety of autonomous vehicles is more and more approached by using scenario-based testing. Relevant driving situations are utilized here to fuel the argument that an autonomous vehicle behaves correctly. Many recent works focus on the specification, variation, generation, and execution of individual scenarios. However, it is still an open question if operational design domains, which describe the environmental conditions under which the system under test has to function, can be assessed with scenario-based testing. In this paper, we present open challenges and resulting research questions in the field of assuring the safety of autonomous vehicles. We have developed a toolchain that enables us to conduct scenario-based testing experiments based on scenario classification with temporal logic and driving data obtained from the CARLA simulator. We discuss the toolchain and present first results using analysis metrics like class coverage or distribution

Formally Bounding UAS Behavior to Concept of Operation with Operation-Specific Scenario Description Language

Previous work introduced an approach for formally describing the concept of operations for unmanned aircraft. For this purpose, an existing language for simulation scenario description was adapted. In the context of the specific operation category, an upcoming European regulation for the operation of unmanned aircraft, the description and acceptance of the concept of operations plays a major role for flight approval on a per mission basis. This paper extends the previous approach further with combining the formalized description of the concept of operations with our existing approach for runtime monitoring. Monitoring the behavior at runtime can be used to enforce certain limits on the behavior. Therefore, the concept of operations is an ideal input for the monitoring approach. As a basis for the information relevant for the concept of operations the official annex to the guidelines document for the specific operation risk assessment is used, as well as an internal concept of operations document for a DLR research unmanned aircraft system

Timing in Technischen Sicherheitsanforderungen für Systementwürfe mit heterogenen Kritikalitätsanforderungen

Traditionally, timing requirements as (technical) safety requirements have been avoided through clever functional designs. New vehicle automation concepts and other applications, however, make this harder or even impossible and challenge design automation for cyber-physical systems to provide a solution. This thesis takes upon this challenge by introducing cross-layer dependency analysis to relate timing dependencies in the bounded execution time (BET) model to the functional model of the artifact. In doing so, the analysis is able to reveal where timing dependencies may violate freedom from interference requirements on the functional layer and other intermediate model layers. For design automation this leaves the challenge how such dependencies are avoided or at least be bounded such that the design is feasible: The results are synthesis strategies for implementation requirements and a system-level placement strategy for run-time measures to avoid potentially catastrophic consequences of timing dependencies which are not eliminated from the design. Their applicability is shown in experiments and case studies. However, all the proposed run-time measures as well as very strict implementation requirements become ever more expensive in terms of design effort for contemporary embedded systems, due to the system's complexity. Hence, the second part of this thesis reflects on the design aspect rather than the analysis aspect of embedded systems and proposes a timing predictable design paradigm based on System-Level Logical Execution Time (SL-LET). Leveraging a timing-design model in SL-LET the proposed methods from the first part can now be applied to improve the quality of a design -- timing error handling can now be separated from the run-time methods and from the implementation requirements intended to guarantee them. The thesis therefore introduces timing diversity as a timing-predictable execution theme that handles timing errors without having to deal with them in the implemented application. An automotive 3D-perception case study demonstrates the applicability of timing diversity to ensure predictable end-to-end timing while masking certain types of timing errors.Traditionell wurden Timing-Anforderungen als (technische) Sicherheitsanforderungen durch geschickte funktionale Entwürfe vermieden. Neue Fahrzeugautomatisierungskonzepte und Anwendungen machen dies jedoch schwieriger oder gar unmöglich; Aufgrund der Problemkomplexität erfordert dies eine Entwurfsautomatisierung für cyber-physische Systeme heraus. Diese Arbeit nimmt sich dieser Herausforderung an, indem sie eine schichtenübergreifende Abhängigkeitsanalyse einführt, um zeitliche Abhängigkeiten im Modell der beschränkten Ausführungszeit (BET) mit dem funktionalen Modell des Artefakts in Beziehung zu setzen. Auf diese Weise ist die Analyse in der Lage, aufzuzeigen, wo Timing-Abhängigkeiten die Anforderungen an die Störungsfreiheit auf der funktionalen Schicht und anderen dazwischenliegenden Modellschichten verletzen können. Für die Entwurfsautomatisierung ergibt sich daraus die Herausforderung, wie solche Abhängigkeiten vermieden oder zumindest so eingegrenzt werden können, dass der Entwurf machbar ist: Das Ergebnis sind Synthesestrategien für Implementierungsanforderungen und eine Platzierungsstrategie auf Systemebene für Laufzeitmaßnahmen zur Vermeidung potentiell katastrophaler Folgen von Timing-Abhängigkeiten, die nicht aus dem Entwurf eliminiert werden. Ihre Anwendbarkeit wird in Experimenten und Fallstudien gezeigt. Allerdings werden alle vorgeschlagenen Laufzeitmaßnahmen sowie sehr strenge Implementierungsanforderungen für moderne eingebettete Systeme aufgrund der Komplexität des Systems immer teurer im Entwurfsaufwand. Daher befasst sich der zweite Teil dieser Arbeit eher mit dem Entwurfsaspekt als mit dem Analyseaspekt von eingebetteten Systemen und schlägt ein Entwurfsparadigma für vorhersagbares Timing vor, das auf der System-Level Logical Execution Time (SL-LET) basiert. Basierend auf einem Timing-Entwurfsmodell in SL-LET können die vorgeschlagenen Methoden aus dem ersten Teil nun angewandt werden, um die Qualität eines Entwurfs zu verbessern -- die Behandlung von Timing-Fehlern kann nun von den Laufzeitmethoden und von den Implementierungsanforderungen, die diese garantieren sollen, getrennt werden. In dieser Arbeit wird daher Timing Diversity als ein Thema der Timing-Vorhersage in der Ausführung eingeführt, das Timing-Fehler behandelt, ohne dass sie in der implementierten Anwendung behandelt werden müssen. Anhand einer Fallstudie aus dem Automobilbereich (3D-Umfeldwahrnehmung) wird die Anwendbarkeit von Timing-Diversität demonstriert, um ein vorhersagbares Ende-zu-Ende-Timing zu gewährleisten und gleichzeitig in der Lage zu sein, bestimmte Arten von Timing-Fehlern zu maskieren