25 Oktober 2015

Desaster Recover Routinen beim autonomen Fahren ... wer soll sterben wenn etwas schief geht?

Noch ist man als Nutzer des Autopiloten, beispielsweise bei Tesla Fahrzeugen, verantwortlicher Fahrzeugführer. Das ist auch gut so, weil es noch etliches schief gehen kann.



Oder noch dramatischer hier ...



Es können also Situationen auftauchen, in denen eine es nicht mehr möglich ist, einen Unfall zu vermeiden. Dabei kann es sein, das dieses durch einen Programmfehler verursacht worden ist wie in den obigen Videos, oder aber durch äußere Umstände, wie zum Beispiel eine Gruppe besoffener Personen, die von der Seite in die Todeszone rein laufen, dir vor jedem fahrenden Fahrzeug aus physikalischen Gründen existiert weil das Anhalten Zeit und Bremsweg erfordert.

Eine Direktive "suche dasjenige physikalisch möglich Szenario, in dem am wenigsten Menschen schwer zu schaden kommen", wäre hilfreiche Funktion, die Menschenleben retten könnte. Eine solche Abwägung können Computer vermutlich viel besser beurteilen als ein Mensch. Wir hatten in Asslar einen sehr schweren Unfall auf der B277, bei dem zwei Frauen unnötigerweise gestorben sind.

Der Fahrer eine dicken SUV kam, weil sternhagelvoll, in der langen Rechtskurve nach Asslar vor der Abfahrt nach Berghaussen auf die Gegenfahrbahn. Dort kamen ihm in einem Kleinwaagen zwei junge Mütter von vier Kindern von Wehrdorf aus entgegen. Da rechts eine Leitplanke wahr, bremsten die Frauen auf der Fahrbahn rechts ab - und wurden vom viel schwereren SUV frontal getroffen, zurückgeschleudert und bei dem Szenario wurden die zwei Frauen tödlich Verletzt.



Damit hat sich die Fahrerin in dem Kleinwagen in Hinblick auf die Straßenverkehrsordnung vollkommen korrekt verhalten. Ihren eigenen Tod und den Tod ihrer Beifahrerin hätte Sie aber aus physikalischer Sicht verhindern können, wenn Sie nach eintritt der physikalischen Unvermeidbarkeit des Anpralls nach Links in den Straßengraben gelenkt hätte. Dabei hätte die Fahrerin mit Sicherheit ihr Fahrzeug geschrottet. Aber der Platz hätte ausgereicht dem SUV auszuweichen und das Fahrzeug hinreichend langsam aber holprig abzubremsen, das ihr Überleben gesichert wäre.

Physikalische Betrachtungen sind nicht das Ding der allermeisten Menschen. Deshalb sind die physikalischen Notwendigkeiten in der Straßenverkehrsordnung auch sehr stark vereinfacht übernommen. Beispielsweise spielt bei der Bemessung des nötigen Sicherheitsabstands in der STVO nur die Geschwindigkeit des eigenen Fahrzeugs eine rolle, während korrekterweise die eigene Geschwindigkeit und die Differenzgeschwindigkeit zum Vorausfahrtenden betrachtet werden müsste. Wenn man beispielsweise von einem sehr viel schnelleren Fahrzeug auf der Autobahn überholt wird und man schert unmittelbar hinter diesem aus, so hat man - physikalisch gesehen - einen ausreichenden Sicherheitsabstand, weil der Waagen vor einem sich - auch wenn dieser sofort maximal bremsen würde - erst mal wegen des des Geschwindigkeitsüberschuss von einem entfernt und man so auch die nötige Zeit zum Reagieren hätte um selber zu Bremsen.

Das ist anderes bei Computern. Diese können solche Berechnungen gut vornehmen und das unvermeidliche Unfallszenario optimieren. Nur wie soll dieses Optimierung aussehen? Die obige Direktive, "suche dasjenige physikalisch möglich Szenario, in dem am wenigsten Menschen schwer zu schaden kommen" ist alleine nicht ausreichend. Stellen sie sich eine Gruppe besoffener Personen vor, die auf die Fahrbahn torkeln, und damit den Bordcomputer dazu bringen, das Fahrzeug zum Beispiel gegen eine Baum zu lenken, auch wenn das den Tod des oder der Insassen nach sich zieht. Das würde von den Kunden nicht akzeptiert werden. Und außerdem könnte es im schlimmsten Fall sogar missbraucht werden, um die Insassen eines Fahrzeugs vorsätzlich so zu töten das der Polizei kaum Ansatzpunkte für Ermittlungen bleiben die über die Tatsache hinausgehen, das es sich um eine vergleichsweisse große Verschwörung handeln müsse.

Eine weitere Schwäche dieser Direktive ist es, das vollkommen unbeteiligte die sich rechtmäßig verhalten zu Schaden kommen, nur weil sie alleine unterwegs sind. Man stelle sich einen Fußgänger vor, auf der gegenüberliegenden Seite laufen die Betrunkenen so auf die Fahrbahn das Bremsen nicht mehr möglich ist und in dem Automatisch gesteuerten Waagen sitzen mehr als eine Person. Dann würde die Regel "suche dasjenige physikalisch möglich Szenario, in dem am wenigsten Menschen schwer zu schaden kommen" in Situationen ohne Ausweg unseren einsamen Fußgänger treffen. Das kann so nicht akzeptiert werden.

So was ähnliches habe ich in den 1990gern selbst mal erlebt, in Form eines lebensmüden Fußgängers auf der Kraftfahrstraße der in Laufrichtung rechts in einer mondlosen Nacht dunkel gekleidet unterwegs war. Ich habe den erst im allerletzten Moment wegen seiner weißen Turnschuhe wahrnehmen und auf eine andere Fahrspur ausweichen. Bremsen wäre nicht mehr, trotz zulässiger Geschwindigkeit, möglich gewesen. Hätte er dunkle Schuhe gewählt oder wäre die andere Fahrbahn nicht benutzbar gewesen, wäre es vermutlich seine letzte Schuhwahl gewesen. Gerade Fußgänger sind Nachts nur schlecht zu erkennen. Obwohl ein Computer mit Infrarotkameras ist das eindeutig massiv im Vorteil.

Ein Ersteller eines Crash Optimierungsalgorithmus wird also nicht umhinkommen, neben der physikalischen auch eine rechtliche Bewertung vorzunehmen. Welche Verkehrsteilnehmer verhalten sich rechtskonform, welche nicht. Die welche sich Regel konform verhalten, dürfen kein Subjekt der Crash Optimierung sein. Die Erste Regel muss also lauten: "Wähle diejenigen physikalisch möglich Szenarien aus, bei denen am wenigsten Menschen schwer zu schaden kommen die Regel konform am Straßenverkehr teilnehmen". Das exkludiert dann auch immer schwere Verletzung oder Tot der Insassen eines Automatisch fahrenden Vehikels, weil diese ja bei einer Hersteller verantworteten fahrt nur passiv als Passagier am Straßenverkehr teilnehmen.

Das kann es aber auch nicht immer sein, weil diese Personen durch ihre Nachfrage nach Beförderung die mit der Fahrt verbundenen Risiken verursachen. Sollte also eine Fehlfunktion am Fahrzeug die ausweglose Situation erzeugen, so muss Leben und Unversehrtheit Unbeteiligter Priorität gegenüber dem der Insassen haben. Beispiele währen: Fahrwerksprobleme jeder Art insbesondere eine Reifenpatzer, plötzliches Glatteis das das Programm trotz Zugang zum Internet und vieler Sensoren nicht rechtzeitig erkannt hat, jedwede sonstige Fehlfunktion der Software. Gerade bei letzterem dürfte es sehr schwer sein, eine geeignete Routine zur Qualitätssicherung zu erstellen. Solange Fehler wie die die in den Videos zu sehen sind passieren, ist die Software schlicht noch nicht Reif einen Wagen allein verantwortlich zu steuern. So gesehen finde ich den Ansatz der deutschen Industrie, erst man dem "Stauführerschein" jetzt erst mal den "Autobahnführerschein" anzustreben. Damit entgeht man auch der Fußgänger und Radfahrer Problematik mit ihrer zum Teil extrem laxen Umgang mit den Regeln des Straßenverkehrs weitestgehend, weil diese auf Autobahnen an sich nichts verloren haben.

Wenn es dann mal so weit ist, müsste die Zweite Regel dafür Sorgen, das im Fall das ein Fehlfunktion des Wagens zur ausweglosen Situation geführt hat, die Insassen des Fahrzeug nicht als Regel konforme Teilnehmer am Straßenverkehr gewertet werden dürfen. Regel Nummer zwei lautet also: "Stelle fest ob ein Problem mit dem Fahrzeug die ausweglose Situation verursacht hat. Ist das der Fall, beziehe physikalisch möglicher Szenarios in die Suche nach Verhaltensoptionen mit ein, welche Tot oder Verletzung der Insassen zur Folge haben können"

Wenn die obigen Regeln mehrere Optionen offen lassen, dann können weitere Optimierungen folgen. Als nächstes kommt die Regel, mit der ich diesen Post begonnen habe: "Suche aus den gefundenen Optionen diejenigen Szenarios, in dem insgesamt am wenigsten Menschen schwer zu schaden kommen"

Sind dann immer noch mehrere Handlungsoptionen verfügbar, dann kann und wird man was für die Versicherungen tun. Suche aus den gefundenen und für ethisch vertretbaren Optionen dasjenige Szenario, in dem insgesamt mit dem geringsten Sachschaden zu Rechnen ist.

So oder so ähnlich müsste eine Unfallbehandlungsroutine in einem Autopiloten aussehen, um ethisch Akzeptanz zu finden. Es macht auch Sinn, dieses Gesetzlich zu regeln. Eine Straßenunfallordnung macht bei menschlichen Teilnehmern wenig Sinn, weil Panik und unterschiedliches Wissen es unmöglich machen, das andere erfolgreich eine Verhaltensprognose eines in einen Unfall verwickelten Fahrzeugs erstellen und daraus Nutzen ziehen. Keiner wird der Fahrerin im obigen Beispiel ihr physikalisch suboptimales Verhalten als schuld vorwerfen können. Man könnte allenfalls mit Fahrsimulatoren versuchen dafür zu sorgen das sich Fahrschüler Gedanken über ihr mögliches Verhalten in ausweglosen Situationen machen und generell etwas mehr an potentiell mögliche Unfälle denken. Das könnte vielleicht auch die hohe Zahl junger Menschen senken, die im Straßenverkehr zu Tode kommen. Zur Zeit ist ja nur der reguläre Fahrzustand Gegenstand der Ausbildung.

Bei Computer hingegen ist die Sachlage eine andere. Dort macht eine Unfallordnung durchaus Sinn. Der Computer ist in der Lage solche Betrachtungen in der in rede stehenden sehr kurzen Zeit anstellen zu können. Er kann auch davon Profitieren, wenn er das Verhalten anderer autonom fahrender Fahrzeuge abschätzen kann. Das ist zum Beispiel weitgehend Voraussetzung für die Minimierung des Schadens. Ich gehe davon aus, das langfristig fast alle Fahrzeuge autonom Fahren, auch weil ich denke, das autonom Fahren langfristig viel billiger zu versichern ist. Gerade für junge Fahrer Von Argumenten wie "Ich brauchen keinen teuren Führerschein", "Ich muss 18 sein" oder "Ich muss nüchtern Sein" gar nicht zu Reden.

Keine Kommentare:

Kommentar veröffentlichen