Robotauto nooit meer in de war dankzij Leuvense aanpak

In de discussies welk bedrijf er aan kop gaat in de ontwikkeling van zelfrijdende auto’s draait het steevast om de vraag: hoeveel kilometers hebben ze al met hun technologie gereden? Testkilometers staan in de ogen van velen gelijk aan de volwassenheid van de technologie. Immers, hoe meer ervaring, hoe zekerder je bent dat je alle situaties een keer hebt gezien.

De tests blijven zelfs niet beperkt tot de echte wereld. Simulatie is booming bij ontwikkelaars van autonome systemen, en er worden dan ook kilometers gevreten in virtuele omgevingen – al dan niet met daadwerkelijke hardware in de loop.

Die aanpak heeft zijn grenzen. Want je kunt testen tot je een ons weegt, maar uiteindelijk kun je nooit helemaal zeker weten dat je echt over alle mogelijke situaties hebt nagedacht. Hoe zorg je er dan voor dat de zelfrijdende auto, of de zelfnavigerende drone, de avg in de fabriek of de cobot op de werkvloer, nooit een onvoorziene beslissing neemt?

De kersverse Leuvense startup Ivex denkt de oplossing te hebben. Wiskundigen hebben in de jaren zeventig en tachtig methodes zoals communicating sequential processes (csp) ontwikkeld om formeel over complexe systemen te redeneren. De Leuvenaren gebruiken deze aanpakken om de beslissingslogica uit te dokteren, de honderdduizenden if-then-else-regeltjes die bepalen wat een auto, drone of robot in elke situatie doet. Met hun aanpak kan een specificatie worden gecontroleerd om te zien of er echt over elke situatie is nagedacht én of er geen conflicterende regels zijn. Daarvoor claimen ze waterdichte garanties te kunnen geven. Want wiskunde.

 advertorial 

Device lifecycle management for fleets of IoT devices

Microchip gives insight on device management, what exactly is it, how to implement it and how to roll over the device management during the roll out phase when the products are in the field. Read more. .

Autonome systemen zijn daarmee een stuk veiliger te krijgen, denkt Ivex-ceo Mario Torres. ‘Absolute veiligheid bestaat natuurlijk niet, want je hebt de wereld niet onder controle. Ik kan bijvoorbeeld wel specificeren dat ik nooit tegen andere auto’s mag aanrijden, maar als je wordt geplet tussen vier voertuigen om je heen, dan is dat simpelweg niet te voorkomen’, geeft hij als hypothetisch voorbeeld. ‘Maar we kunnen veilig gedrag garanderen bij een bepaalde set aannames – bijvoorbeeld dat je niet wordt geplet door vier andere auto’s.’

‘Onze tool valideert in feite je requirements’, vult coo Quentin De Clercq aan. ‘De tool dwingt je dus om na te denken over alle mogelijke toestanden. Als er een tegenstrijdigheid is, zal de tool zeggen: deze toestand wordt niet afgehandeld, of wat wil je doen met deze toestand?’

Universeel inzetbaar

De Clercq kwam zelf bij de formele aanpak uit doordat hij in een vorige baan werkte aan een drone om personen te vervoeren. ‘Dat was dus echt een grote drone, en daar hadden we veilige software voor nodig’, legt hij uit. Met zijn vraagstuk belandde hij bij de KU Leuven, waar Torres aan dat onderwerp werkte. Die had er wel oren naar om mee te helpen, want hij was al een tijdje op zoek naar manieren om zijn horizon te verbreden en misschien een bedrijf te beginnen.

‘Toen we hier een tijdje mee bezig waren, realiseerden we ons dat de software waar we aan werkten eigenlijk vrij universeel inzetbaar was voor autonome systemen’, vertelt De Clercq. ‘Dus we zagen de meerwaarde en toen zijn we in eerste instantie een consultancydienst gaan aanbieden. Nu zijn we bezig om onze oplossing uit te werken tot een tool.’

Niet dat klanten direct in de rij stonden, moet De Clercq toegeven. ‘We stuurden in het begin wel tien tot twintig koude mails per dag. Het is natuurlijk altijd lastig voor een beginnend bedrijf om aan safety te werken.’ Maar gelukkig zagen enkele bedrijven uiteindelijk wel de potentie. En niet de minste: onder meer VDL en een grote autofabrikant werken samen met Ivex. Ook loopt er een traject met een maker van landbouwapparatuur.

Omgaan met onzekerheid

De Ivex-aanpak begint ermee dat ontwikkelaars alle componenten, gebeurtenissen en acties opschrijven. ‘We hebben daarvoor een formele taal die dicht tegen gewoon Engels aan zit. Daarmee specificeer je de perceptielaag van je systeem als discrete gebeurtenissen, en vervolgens alle mogelijke acties die je hebt. Daarmee definieer je ook je aannames, regels en je safety constraints. Bijvoorbeeld dat je altijd vijf meter uit de buurt van alles om je heen moet blijven’, verklaart Torres.

Het gaat daarbij puur om beschrijvingen op hoog niveau. ‘Je kunt bijvoorbeeld beschrijven dat als je een ultrasoonsensor hebt in je auto, en als die iets binnen een meter waarneemt, dat je dan de hard brake-actie moet uitvoeren’, verduidelijkt De Clercq. Het vertalen van continue sensordata naar discrete inputtoestanden, en aan de andere kant van outputacties naar signalen voor de motoren, is aan de fabrikant van deze systemen.

Die omschrijvingen zitten daarmee eigenlijk erg dicht tegen requirements aan. ‘Sommige bedrijven schrijven uitgebreide documenten in Word waarin ze al hun requirements vastleggen. ‘Als ik op deze knop druk, moet er dit gebeuren met de deur’, enzovoorts. Dat laat zich eigenlijk vrij makkelijk omzetten naar onze specificatie. Als een bedrijf nog niet zo veel moeite heeft gestoken in die requirements, dwingt onze tool hen om daar nu hard over na te denken’, vertelt Torres.

Bijkomend voordeel is dat de aanpak kan omgaan met onzekerheid. Auto’s die de gewone weg op gaan of drones die rondvliegen bij regen en zonneschijn moeten overweg kunnen met waarnemingen die niet altijd even betrouwbaar zijn. ‘Voor het detecteren van obstakels worden tegenwoordig meestal convolutionele neurale netwerken gebruikt. Die geven als output een label, bijvoorbeeld ‘voetganger gedetecteerd’ of ‘onbekend obstakel gedetecteerd’, maar daarnaast ook een betrouwbaarheidsscore voor die detectie’, aldus Torres.

In de Ivex-specificatie is dat gewoon mee te nemen als een detectie met bijvoorbeeld hoge of lage betrouwbaarheid. ‘De aanpak dwingt ontwerpers dus om in alle gevallen een beslissing te nemen over wat ze ermee willen doen. We moeten nieuwe Uber-ongelukken voorkomen. Daar is iemand omgekomen omdat er niet goed genoeg was nagedacht over de beslissingslogica’, zegt Torres.

Twee toepassingen

Als alle regels compleet en conflictvrij zijn, kan het gereedschap er vervolgens twee dingen mee doen. Enerzijds kan het direct de beslissingslogica genereren, al de honderdduizenden regeltjes die bepalen wat de machine doet bij een gegeven set toestanden. Die regeltjes vormen het hart van het autonome brein, zogezegd. Dat wordt bijvoorbeeld gedaan met de automaker.

Anderzijds kunnen de specificaties worden gebruikt om testvectoren te genereren, waarmee al dan niet bestaande beslissingslogica het vuur aan de schenen kan worden gelegd. ‘Die testvectoren kunnen worden ingezet voor hardware- of software-in-the-loop-tests; we garanderen dat ze alle relevante scenario’s afdekken’, stelt Torres. ‘Daarmee kunnen bedrijven hun systeem certificeren.’

In het project met VDL gaat het juist om deze tweede toepassing. Combineren is natuurlijk ook mogelijk; dat doet de maker van landbouwapparatuur.

Op dit moment is Ivex nog hard bezig met de ontwikkeling van zijn tool. Over enkele maanden hoopt het een eerste versie af te hebben. ‘Over een jaar of zo hebben we dan echt het product dat we willen aanbieden’, zegt De Clercq. ‘We denken dat daar echt behoefte aan is; we beginnen momentum te zien in de industrie.’

De piepjonge startup durft zelfs al te dromen over de volgende stap. ‘Op de lange termijn willen we onze technologie inzetten om een soort van ‘veiligheidsbrein’ te ontwikkelen’, vertelt De Clercq. ‘Een hardwarecomponent die je inplugt in je autonome voertuig. Er zit geen intelligentie of routeplanning in of zo, maar als je in een veiligheidskritiek scenario terechtkomt, neemt die de besturing over en zorgt die ervoor dat je in een veilige toestand blijft. Dat is een gigantische marktkans, en wij hebben de technologie om het honderd procent veilig te krijgen.’