Forschungsfeld 1: Engineering und Absicherung heterogener MMTs

Promotionsprojekt 1.1: Sichere Ad-Hoc Kooperation zwischen Mensch und autonomer Maschine

Betreuer: Prof. A. Rausch und Prof. M. Prilla

State of the Art: Autonome Systeme müssen zur Bewältigung komplexer, ungeplanter Aufgaben mit anderen autonomen Systemen oder auch mit Menschen kooperieren und umgekehrt. Insbesondere bei Ad-hoc Kooperationen – Kooperationen die vorher nicht geplant waren, ist es notwendig, dass sich das Mensch-Maschine-Team (a) über ein gemeinsames Vorgehen, meist informell und intuitiv, verständigt, (b) die Kontrolle der auszuführenden Aktivitäten festlegt und entsprechend übergibt und (c) die ganze Ausführung permanent überwacht und hinterfragt, ob tatsächlich das intuitive gemeinsame Verständnis dem Handeln noch zu Grunde liegt. Dabei ist ein reibungsloser Kontrolltransfer und Ausführungsüberwachung nur möglich, wenn Interaktions¬plattformen realisiert werden, die explizit auch den attentionalen und kognitiven Zustand des Menschen berücksichtigt, der die Kontrolle übernehmen soll. Es muss eine sichere Kontrollübergabe vom System nach einem Vorfall zeitlich und inhaltlich geplant werden. Der Übergabeplan muss adaptiert werden an die Situation und eine Erklärung für den Grund der Übergabe enthalten. Unbegründete, vom Menschen nicht nachvollziehbare und extrem kurzfristige Aufforderungen zu Kontrollübernahmen erschüttern das Vertrauen des menschlichen Nutzers oder Betreibers in die Autonomiefähigkeiten des Systems und verhindern letztlich die breite Akzeptanz solcher Systeme. Ebenso müssen Menschen in die Lage versetzt werden, in einem durch komplexe Technik gesteuerten (teil-) autonomen System intervenieren zu können, wenn bspw. ihre Nutzungsintention von dem durch die Maschine verfolgten Plan abweicht. Es ist jedoch bspw. aus Studien mit Piloten bekannt, dass es für Menschen schwierig ist, autonome Systeme dauerhaft und intensiv zu überwachen.

Ein auf die wesentlichen Aussagen beschränkter und leicht verständlicher Überblick zur aktuellen Situation ist für einen reibungslosen Kontrolltransfer unerlässlich. Hierbei spielt die automatische Generierung multimodaler Präsentationen mit sprachlichen und visuellen Elementen eine herausragende Rolle. Wenn ein autonomer Roboter beispielsweise feststellt, dass zur Zielerreichung bestimmte Handlungen von einem Menschen in dem Mensch-Maschine-Team notwendig ist, so muss er dies dem Menschen verständlich machen und dann rechtzeitig den notwendigen Kontrolltransfer starten. Bei der Übergabe der Kontrolle zwischen (semi-) autonomer Maschine und Mensch muss sich die Maschine sicher sein, dass der Mensch die Aufgabe auch tatsächlich übernommen hat; bei der Zurückgabe der Aufgabe muss umgekehrt der Mensch sicher sein, dass die Maschine die Aufgabe auch tatsächlich übernommen hat. Verlassen sich Mensch und Maschine gegenseitig aufeinander in Mensch-Maschine-Teams, aber niemand übernimmt die Kontrolle, so kann es zu schwerwiegenden Problemen kommen. Hierzu ist es notwendig, dass die Maschine ein Modell des Menschen „lernt“ und daran erkennt, ob der Mensch tatsächlich die Kontrolle übernommen hat. Umgekehrt kann dieses Modell genutzt werden, um dem Menschen in der Art zu signalisieren, dass die Maschine die Kontrolle wieder übernommen hat, so dass es auch beim Menschen ankommt. Dies benötigt eine geeignete, gut und schnell rezipierbare Darstellung der oftmals komplexen Informationen von Steuerungssystemen und Awareness über den Zustand einer Maschine als Basis der Entscheidung, Kontrolle zu übernehmen. Hierzu sind zwei Kernaufgaben relevant: a) Es muss während der Betriebszeit ein Modell des Menschen gelernt oder ad-hoc interpretiert werden (insbesondere unter Berücksichtigung mangelnder Vorhersagbarkeit menschlicher Aktionen) werden und b) man muss ein Konzept für eine adaptive Mensch-Maschine-Schnittstelle erarbeiten, so dass sich die Schnittstelle an das gelernte Modell bzw. die Aktionserkennung zur Laufzeit anpassen kann, um möglichst effektiv mit dem Menschen kommunizieren zu können.

Weitere relevante Arbeiten sind aus dem Gebiet des dynamischen Risikomanagements zu nennen: Autonome Systeme agieren (idealerweise) selbständig („intelligent“) in Situationen, die bei der Entwicklung der Systeme nicht explizit berücksichtigt wurden. Ihre Verhaltensgrenzen sind nicht genau bekannt; somit fehlt die Grundlage, um über Fehlverhalten, beziehungsweise über Abweichungen von einem als sicher angenommenen spezifizierten Verhalten, nachzudenken und diesbezüglich konkrete Sicherheitsziele abzuleiten. Viele Arbeiten in der Safety Forschungsgemeinde beschäftigen sich mit dieser Problematik. Alle Lösungen haben gemeinsam, dass sie versuchen, das Risiko bezüglich allgemeinen Unfallarten zur Laufzeit zu bestimmen und zu kontrollieren. Dieses dynamische Risikomanagement wurde domänenübergreifend im Kontext von Avionik, Robotik und Automotive vorgeschlagen. Ein Ansatz für das dynamische Risikomanagement von autonomen Systemen geht wie die zuvor genannten Ansätze davon aus, dass das dynamische Risikomanagement nur mithilfe der Sensoren und der Aktuatoren des Systems umgesetzt wird. Es gibt zwar Arbeiten, die dynamisches Risikomanagement auch im „System of System“ vorschlagen; diese berücksichtigen jedoch nicht, dass die Aufgabe des Risikomanagements aufgrund ihrer inhärenten Sicherheitsrelevanz mit einer entsprechenden Integrität durchgeführt werden muss.

Forschungslücke: Damit eine sichere Ad-hoc Kooperation zwischen (semi-)autonomer Maschine und Mensch möglich wird, sind neue Übergabe- und Validierungskonzepte an der HMI Schnittstelle zu erforschen. Gleichzeitig müssen diese Übergabe- und Validierungskonzepte selbst bzgl. ihrer Korrektheit überprüft bzw. deren Korrektheit kontinuierlich überwacht und sichergestellt werden. Zudem müssen Möglichkeiten der Mensch-Maschine-Kommunikation entwickelt werden, die Kontrollübergabe und -übernahme transparent gestalten und Menschen dazu befähigen, über diese Prozesse (mit) zu entscheiden. Hierfür sind entsprechende Methoden und Technologien zu entwickeln.

Eigene Vorarbeiten: Prof. Rausch erforscht die Absicherung und Test von Software für autonome Fahrfunktionen und autonome Roboter sowie die dynamische Vernetzung von Komponenten im mobilen Umfeld. Er hat einen Ansatz für die Laufzeitüberwachung von sicherheitsrelevanten Eigenschaften entwickelt und in mehreren Forschungsprojekten erprobt, wie z.B. iserveU (BMBF, Robotik und Leitstände, Laufzeitüberwachung und intelligentes Transportsystem für Logistikaufgaben in Krankenhäusern) und DADAS (BMBF, Validierungs- und Zertifizierungsmethoden für Autonome Fahrfunktionen). Außerdem beschäftigt sich Prof. Rausch mit Verfahren des Maschinellen Lernens, z. B. Vorhersagemechanismen für das Fahrerverhalten.

Michael Prilla erforscht die Gestaltung von Mensch-Maschine-Schnittstellen in verschiedenen Bereichen wie bspw. Visualisierung von Informationen in Augmented Reality  oder Aktivierung von Nutzern durch Prompts.