Exploring Runtime Monitoring techniques in the automotive domain for Advanced Driver-Assistance Systems

Abstract

In the real world, a dynamic and unpredictable environment, an “Advanced Driver-Assistance System” (ADAS) should be safe for itself, pedestrians, and other obstacles. One possible approach to ensure the safety of ADAS is “Runtime Monitoring” (RM). In this context, additional formal safety mechanisms are added to the system. This thesis aims to explore RM for ADAS. Our main contributions consist of three parts. Firstly, we conducted a rapid review to find relevant RM techniques for ADAS. We provided detailed information on our search query and the filter criteria for the papers. We extracted the information from 16 remaining relevant papers and applied an existing taxonomy to classify the techniques. Secondly, we defined the hardware criteria given by the “Robot Operating System” (ROS)-based “Autonomous Research Vehicle” (ARV) called Mecabot TX, the use case for the prototype, and four safety requirements for our runtime monitor. In our use case, the system performed “Advanced Emergency Braking” (AEB) without the intervention of a driver. Based on that, we then chose one of the 16 techniques for our prototype. The technique we evaluated to be optimal was rtamt that relied on specifications written in “Signal Temporal Logic” (STL). Thirdly, we implemented one passive runtime monitor for each safety requirement using rtamt. We proposed an architecture consisting of an object tracker, the AEB logic, and the runtime monitors. We verified our monitors and conducted an experiment to test the implementation. We identified that the runtime monitors successfully detected multiple violations for each safety requirement during the test run. By analyzing the violations, we gained helpful insights for debugging the system and improvements for its safety. Therefore, our work paves the way for future research in the area of RM for ADAS.

In der realen Welt, einer dynamischen und unvorhersehbaren Umgebung, sollten fortschrittliche Fahrerassistenzsysteme (ADAS) die eigene Sicherheit sowie die Sicherheit für andere Verkehrsteilnehmer wie beispielsweise Fußgänger gewährleisten. Ein möglicher Ansatz, um die Sicherheit solcher Fahrerassistenzsysteme zu gewährleisten, ist “Runtime Monitoring” (RM). Dabei werden zusätzliche formale Sicherheitsmechanismen in das System integriert. Das Ziel dieser Arbeit ist die Erforschung des Einsatzes von RM im Kontext fortschrittlicher Fahrerassistenzsysteme. Unser Hauptbeitrag lässt sich in mehrere Teile gliedern. Zum einen führten wir eine “Rapid Review” durch, um relevante RM-Techniken im Kontext von Fahrerassistenzsystemen zu identifizieren. Dabei beschrieben wir detailliert unsere verwendete Suchanfrage und unsere Filterkriterien. Wir extrahierten Informationen aus den 16 verbliebenen relevanten wissenschaftlichen Arbeiten. Zudem wandten wir eine vorhandene Taxonomie zur Klassifizierung dieser identifizierten RM-Techniken an. Des Weiteren definierten wir die Hardwarekriterien des auf dem “Robot Operating System” (ROS) basierenden autonomen Fahrzeugroboters namens Mecabot TX, unseren Anwendungsfall für den Prototyp und vier Sicherheitsanforderungen für unseren Laufzeitmonitor. In unserem Beispiel führte ein Notbremsassistenzsystem (AEB) eine autonome Notbremsung ohne das Eingreifen des Fahrers durch, sobald ein relevantes Hindernis vor dem Fahrzeugroboter erkannt wurde. Daraufhin wählten wir eine der 16 Techniken für unseren Prototyp basierend auf unserer Klassifikation der RM-Techniken und den erhobenen Kriterien aus. Die von uns als optimal bewertete Technik lautete dabei rtamt, bei der die Spezifikationen in “Signal Temporal Logic” (STL) definiert werden. Unter Verwendung der rtamt Bibliothek implementierten wir für jede spezifizierte Sicherheitsanforderung einen passiven Laufzeitmonitor. Unsere finale Architektur bestand aus einer Objekterkennung, dem autonomen Notbremssystem und den Laufzeitmonitoren. Wir verifizierten die Implementierung unserer Monitore und führten ein Experiment mit dem Gesamtsystem in einer Laborumgebung durch. Dabei stellten wir fest, dass die implementierten Laufzeitmonitore während des Testlaufs erfolgreich mehrere Verstöße gegen jede unserer vier Sicherheitsanforderungen erkannten. Durch die manuelle Analyse dieser Verstöße erhielten wir hilfreiche Einblicke zur Fehlerbehebung des Systems und für mögliche Verbesserungen der Sicherheit unseres Fahrerassistenzsystems. Somit legt unsere Arbeit den Grundstein für zukünftige Forschungen im Bereich des RM für Fahrerassistenzsysteme, die an unsere Ergebnisse anknüpfen.