Autonoom rijdende auto's: Safety first

Autonoom rijdende auto's: Safety first
Autonoom rijdende auto’s maken het verkeer veiliger, vlotter en zuiniger, zo is de verwachting. Maar wat moeten de regels zijn voor het ontwerp en gedrag van autonome auto’s?

Aan de ene kant wordt driftig geschermd met de zegeningen die autonome auto's al binnenkort gaan brengen. Maar aan de andere kant laat menig constructeur weten dat daarvoor nog veel getest en ontwikkeld moet worden. Ook is regelgeving nodig: wat moet of mag een autonome auto kunnen? Elf groten in autonome-autotechniek nemen het voortouw en stellen universele voorwaarden voor.

Zowel in als buiten Europa leven hoge verwachtingen van wat autonoom rijden gaat opleveren. Of het komt is al geen vraag meer, het lijkt een vaststaand feit dat wegvervoer in ontwikkelde landen minstens deels geautomatiseerd zal worden. Daar zal de verkeersveiligheid wel bij varen, ook gaat het verkeer efficiënter verlopen.

Dat laatste is dan weer goed voor het milieu. Bovendien is dat toch de trend, mensen gaan meer afzien van een eigen auto. Ze gaan autodelen en anders reizen, waar automatisch rijdende shuttles een flinke rol in zullen spelen.

Inherent veilig gebouwd

Een mooie toekomstdroom, maar hoe nabij is die eigenlijk? We hebben een standaard voor geautomatiseerd rijden, SAE J3016 met vijf ‘levels’, van helemaal niet tot volledig geautomatiseerd rijdende voertuigen. Maar verder nog geen overal gehanteerde regels waaraan die automatisering moet voldoen.

Een voorstel voor zulke regels is nu door elf bedrijven uitgewerkt. Ze zullen dat voorstel overal waar toepasselijk presenteren, en proberen er nog meer steun voor te vinden. Hun whitepaper SaFAD, Safety First for Automated Driving, is geen technische handleiding, maar een set regels om inherent veilige automatisering te ontwikkelen.

'Binnen twee jaar worden de eerste level 3 en 4 auto’s beloofd'

Niet de minsten als deelnemer

Simpel uitgedrukt: hoe moet automatisering van rijtaken zo ingericht worden dat een minimaal risico op ongelukken gegarandeerd is? En wie hebben ideeën daarvoor uitgewerkt? Onder de opstellers zien we Audi, BMW, Daimler, Fiat/Chrysler, Intel, HERE, Volkswagen, Infineon en Continental. Ook het Chinese Baidu, groot in internetdiensten en kunstmatige intelligentie, zit erbij.
Een Japanse deelnemer is er nog niet, Honda of Toyota erbij moeten. Er wordt verwezen naar een reeks bestaande ISO-normen voor veiligheid en kwaliteitsbewaking, regelgevers zouden zich ook achter de whitepaper-voorstellen kunnen scharen. En alles kan naar behoefte nog verder uitgewerkt, aangevuld en aangepast worden.

HERE, vroeger bekend als Navteq, is de kaartenmaker die Audi, BMW en Daimler overnamen van Nokia. Kleinere aandeelhouders zijn nu Bosch en Continental. BMW en Daimler sloten onlangs een overeenkomst om samen techniek voor autonoom rijden te ontwikkelen. Met verder chipmakers Intel en Infineon erbij is het al met al een behoorlijk indrukwekkend gezelschap.

Al sinds 2015 houdt Audi een wedstrijd voor studenten, om modelauto’s in schaal 1:8 autonoom te laten rijden. Zijn ze al klaar om het ook in schaal 1:1 te gaan ontwikkelen?
Al sinds 2015 houdt Audi een wedstrijd voor studenten, om modelauto’s in schaal 1:8 autonoom te laten rijden. Zijn ze al klaar om het ook in schaal 1:1 te gaan ontwikkelen?

Twaalf principes

Met name de EU besloot al enige tijd geleden dat autonoom rijden het doel van nul verkeersdoden in 2050 dichterbij brengt. Maar zegt daarbij dat echt ‘nul’ alleen de richting aangeeft, zonder dat het doel realistisch bereikbaar is. Zo rekent ook het SaFAD-voorstel niet naar géén slachtoffers in het verkeer, maar naar in elk geval minder slachtoffers, dankzij automatisering.

Daartoe moeten autonome auto’s zeker beter rijden dan de gemiddelde automobilist. Hiermee is het doel bepaald. Geautomatiseerd rijden moet in elk geval minder risico op ongevallen en slachtoffers opleveren dan het menselijk bediend verkeer. Twaalf principes voor automatisering moeten hiervoor zorgen. Dit werkt het whitepaper nog verder uit in een deel ‘ontwerpeigenschappen’ en een deel ‘testen en verifiëren’.

Uitwerking van level 3 en 4

Veiligheid moet ingebouwd worden in het ontwerp, zo luidt de aftrap. De verdere toekomst van volledig autonoom rijden, level 5 waarin geen mens meer kan ingrijpen, blijft buiten beschouwing. Er wordt gericht op de nu aanstaande level 3 en 4 automatisering: waaraan moeten die voldoen?

Hoe zat dat ook weer? Level 3 betekent gedeeltelijke automatisering, in een aantal omstandigheden. Onder andere omstandigheden moet een bestuurder het zelf doen. Denk aan een fileassistent, een snelwegassistent en een parkeerassistent, maar geen geautomatiseerd stadsverkeer. Er moet ook een bestuurder zijn die op elk moment kan ingrijpen als de automatisering het laat afweten.

Bij level 4 is dit ook nodig, maar is geautomatiseerd rijden overal mogelijk. Alleen voor de veiligheid moet er een toezichthoudend chauffeur zijn, voor het geval dat de automatisering het niet meer weet. Bijvoorbeeld in een voor het automaatprogramma onverwachte, onbekende situatie. Of het kan zijn dat de automatisering naar eigen oordeel niet meer feilloos werkt, maar nog wel gedeeltelijk. De chauffeur moet erop voorbereid zijn dat de automaat dan op enig moment kan besluiten zichzelf uit te schakelen.

Bij levels 3 en 4 autonomie moet iemand met een rijbewijs bij het stuur zitten, voor de zekerheid. Die moet blijven opletten, het opmerken als de rij-automaat het commando wil overdragen, en dan duidelijk maken dat hij het stuur echt overneemt.
Bij levels 3 en 4 autonomie moet iemand met een rijbewijs bij het stuur zitten, voor de zekerheid. Die moet blijven opletten, het opmerken als de rij-automaat het commando wil overdragen, en dan duidelijk maken dat hij het stuur echt overneemt.

Systeemeisen

Aan welke twaalf principes moet een veilige automatisering voldoen? Het geeft geen blauwdruk voor de constructeur, wel een aardig beeld van hoe moeilijk diens opdracht is. Zo moet het systeem ‘verslechtering’ van zijn werking kunnen compenseren, zodat het in elk geval veilig blijft werken, en zorgt dat de chauffeur genoeg tijd krijgt om het over te nemen. Verslechtering betekent dat in de automatisering iets ophoudt goed te werken, of bijvoorbeeld een sensor uitvalt.

Principe twee: het systeem moet herkennen waar de grenzen van zijn werkterrein liggen, en op tijd compenseren of de controle overdragen als die grenzen in zicht komen. Dus een snelwegassistent moet zelf merken dat de snelweg ophoudt, of dat je de snelweg verlaat. En dan aangeven dat hij niet langer kan regelen, dus de rijtaak wil overdragen.

Kans op een ongeluk

Zowel door experts als door ieder van ons wordt vaak gezegd dat ongelukken in de meeste gevallen te wijten zijn aan die idioot achter het stuur. Die zat niet op te letten, of heeft nooit behoorlijk leren rijden. Autonoom rijdend moet dat beter kunnen. De SaFAD whitepaper heeft cijfers.
Duitse statistieken zeggen dat bij 98 procent van de ongevallen een menselijke factor meespeelt. De Amerikaanse NHTSA houdt het voor de VS op 94 procent van de ongevallen. Helemaal aardige Duitse statistiek is dat je bij een gemiddeld kilometrage van 700.000 in je hele leven om de 300.000 km een ongeluk kunt verwachten. Om de 661 miljoen Autobahnkilometers (van alle weggebruikers samen) is er een dodelijk ongeval. Wees blij, in de VS is dat al om de 228 miljoen kilometers.In de EU vielen 25.300 verkeersdoden in het jaar 2017, waarvan bijna de helft automobilisten. Maar 92 procent van de doden verongelukte niet op snelwegen, het dodelijkst
(55 procent) zijn provinciale wegen.

Principe 10, de autonome auto moet er rekening mee houden dat inzittenden andere zitposities kunnen innemen tijdens geautomatiseerd rijden, en wat dat voor gevolgen heeft voor hun veiligheid.
Principe 10, de autonome auto moet er rekening mee houden dat inzittenden andere zitposities kunnen innemen tijdens geautomatiseerd rijden, en wat dat voor gevolgen heeft voor hun veiligheid.

De chauffeur altijd stand-by

Automatische systemen moeten een heel duidelijke actie van de chauffeur verlangen als die het roer overneemt. Er mag geen twijfel zijn of de chauffeur dit echt gaat doen. Ook moet de automatisering zelf zo beveiligd zijn dat niemand hem onbedoeld kan uitzetten.

Ga er maar aan staan. Het systeem moet kunnen controleren of de chauffeur oplet, en in staat is de controle veilig over te nemen. Kan de chauffeur dat niet, of doet ‘ie het niet als het systeem dat vraagt, dan moet het systeem zo risicoloos mogelijk reageren. Bijvoorbeeld door de auto ergens veilig stil te zetten.

Ook moet de automatisering altijd duidelijk tonen welk programma is ingeschakeld, en welke functies dan geautomatiseerd zijn. Verder moet geautomatiseerd rijgedrag voor ander verkeer voorspelbaar, herkenbaar en volgens de verkeersregels zijn.

'Het belang van deskundige, goede en tijdige service neemt alleen maar toe'

Controle en diagnose

Het zijn nogal wat eisen, om een fail-safe werking in te bouwen. In de whitepaper wordt verder gesteld dat grote aandacht besteed moet zijn aan een constant kwaliteitsniveau in de productie. Er moet strenge beveiliging ingebouwd worden tegen elke mogelijke hackeraanval. Elk onderdeel in het ontwerp moet getest en gevalideerd worden voordat het wordt toegepast.

Wat betekent dit in de werkplaats, waar we geen nieuwe auto’s bouwen?
Level 3 en 4 automatisering moet fail-safe zijn ontwikkeld, dus ook ingebouwde zelfdiagnose hebben. Leuke vraag: zal dit dan ook inhouden dat het systeem versleten remmen en banden herkent, speling in de besturing of wielophanging? Al die dingen waardoor de auto zich anders dan ‘normaal’ kan gedragen? Kan de automatisering daarvoor compenseren? Of gaat er een grote rode lamp aan die waarschuwt dat je snel naar de werkplaats moet voor onderhoud, en dat de autonome assistent tot dan niet werkt? Autonome assistenten zijn verder zeer afhankelijk van sensoren om de omgeving waar te nemen, en van informatie van buitenaf. Je zal dus in de werkplaats moeten controleren of dat alles onbeschadigd is, schoon is, en goed werkt.

Ofwel, het belang van deskundige, goede en tijdige service neemt alleen maar toe. Da’s mooi, meer en vaker klantjes. Maar ook meer en vaker bijleren voor het ‘deskundig’ zijn. Nog meer nadruk op diagnosetalent. Dat zien we dan weer niet zo terug als een eis in SaFAD.

Meer weten?

Download de Engelstalige whitepaper (PDF) door op de cover te klikken.