Design and Safety Analysis ofEmergency Brake System forAutonomous Formula Car : In Reference to Functional Safety ISO 26262

Böhlander, Marcus

January 2018

The engineering competition Formula Student has introduced a Driverless Vehicle (DV)class, which requires the students to develop a car that can autonomously make its wayaround a cone track. To ensure the safety of such a vehicle, an Emergency Brake System(EBS) is required. The EBS shall ensure transition to safe state for detection of a singlefailure mode. This thesis work covers the design of the EBS for KTH Formula Student(KTH FS).Due to the safety critical character of this system, the software part of the EBS, calledEBS Supervisor, has been analyzed in accordance with the safety standard ISO 26262 tosee if an improved safety could be achieved. The analysis has been perform according toPart 3: Concept phase of ISO 26262 with an item definition, Hazard Analysis and RiskAssessment (HARA), Functional Safety Concept (FSC) and Technical Safety Concept(TSC).The result of the analysis showed that the EBS Supervisor requires extensive redundanciesin order to follow ISO 26262. This includes an additional CPU as well as signal checksof inputs and outputs. Due to limited resources in terms of money and time within theKTH FS team, these redundancies will not be implemented. The process of working withthe safety standard did however inspire an increased safety mindset. / Ingenjörstävlingen Formula Student har introducerat en förarlös tävlingsklass (eng:Driverless Vehicle) som innebär att studenterna ska utveckla en bil som autonomt kan tasig runt en konbana. För att försäkra sig om säkerheten för ett sådant fordon krävs ettnödbromssystem (eng: Emergency Brake System (EBS)). EBS:en skall försäkra att enövergång till ett säkert tillstånd sker då ett singulärt fel upptäcks. Det här examensarbetetbehandlar designen av EBS:en för KTH Formula Student.På grund av den säkerhetskritiska karaktären hos detta system har mjukvarudelen avEBS:en, kallad EBS Supervisor, blivit analyserad utifrån säkerhetsstandarden ISO 26262för att se om en förbättrad säkerhet kunde uppnås. Analysen har blivit genomfördenligt Del 3: Konceptfas av ISO 26262 med item definition, Hazard Analysis and RiskAssessment, Functional Safety Concept och Technical Safety Concept.Resultatet av analysen visade att EBS Supervisor kräver omfattande redundanser föratt uppfylla ISO 26262. Detta inkluderar en extra CPU såväl som kontroller av inochutsignaler. På grund av begränsade resurser i form av pengar och tid inom KTHFS, valdes dessa redundanser att inte implementeras. Processen av att arbeta medsäkerhetsstandarden har dock inspirerat ett ökat säkerhetstänk.

Emergency Brake System

Formula Student

Functional Safety

ISO 26262

Nödbromssystem

Formula Student

funktionell säkerhet

ISO 26262

Vehicle Engineering

Farkostteknik

Semi-Markov processes for calculating the safety of autonomous vehicles / Semi-Markov processer för beräkning av säkerheten hos autonoma fordon

Kaalen, Stefan

January 2019

Several manufacturers of road vehicles today are working on developing autonomous vehicles. One subject that is often up for discussion when it comes to integrating autonomous road vehicles into the infrastructure is the safety aspect. There is in the context no common view of how safety should be quantified. As a contribution to this discussion we propose describing each potential hazardous event of a vehicle as a Semi-Markov Process (SMP). A reliability-based method for using the semi-Markov representation to calculate the probability of a hazardous event to occur is presented. The method simplifies the expression for the reliability using the Laplace-Stieltjes transform and calculates the transform of the reliability exactly. Numerical inversion algorithms are then applied to approximate the reliability up to a desired error tolerance. The method is validated using alternative techniques and is thereafter applied to a system for automated steering based on a real example from the industry. A desired evolution of the method is to involve a framework for how to represent each hazardous event as a SMP. / Flertalet tillverkare av vägfordon jobbar idag på att utveckla autonoma fordon. Ett ämne ofta på agendan i diskussionen om att integrera autonoma fordon på vägarna är säkerhet. Det finns i sammanhanget ingen klar bild över hur säkerhet ska kvantifieras. Som ett bidrag till denna diskussion föreslås här att beskriva varje potentiellt farlig situation av ett fordon som en Semi-Markov process (SMP). En metod presenteras för att via beräkning av funktionssäkerheten nyttja semi-Markov representationen för att beräkna sannolikheten för att en farlig situation ska uppstå. Metoden nyttjar Laplace-Stieltjes transformen för att förenkla uttrycket för funktionssäkerheten och beräknar transformen av funktionssäkerheten exakt. Numeriska algoritmer för den inversa transformen appliceras sedan för att beräkna funktionssäkerheten upp till en viss feltolerans. Metoden valideras genom alternativa tekniker och appliceras sedan på ett system för autonom styrning baserat på ett riktigt exempel från industrin. En fördelaktig utveckling av metoden som presenteras här skulle vara att involvera ett ramverk för hur varje potentiellt farlig situation ska representeras som en SMP.

Semi-Markov process

functional safety

autonomous vehicle

hazardous event

Stieltjes convolution

reliability

Laplace-Stieltjes transform

Euler algorithm

Talbot algorithm

Semi-Markov process

funktionell säkerhet

autonoma fordon

farlig situation

Stieltjes faltning

funktionssäkerhet

Laplace-Stieltjes transform

Eulers algoritm

Talbots algoritm

Probability Theory and Statistics

Sannolikhetsteori och statistik

Design and evaluation of contingency plans for connectivity loss in cloud-controlled mobile robots / Utformning och utvärdering av beredskapsplaner för förlust av uppkoppling i molnbaserade mobila robotar

Lopez Iniesta Diaz Del Campo, Javier

January 2024

Recent advancements in telecommunications have brought new tools about in the field of robotics, with offloading emerging as one of the most significant developments. Hence, computationally expensive tasks are performed on a server in the cloud instead of on the mobile robot, reducing processing costs in robots and enhancing their efficiency. However, one of the major challenges of offloading robot control is to maintain functional safety even when the connection with the server is interrupted. To mitigate these connectivity losses, an optimization-based method has been developed to compute an environment-dependent contingency plan. This plan is sent from the cloud to the robot together with the corresponding control command. The planner takes into account the current map, based on all sensor data collected up to the time of optimization, and the nominal trajectory to provide a sequence of safe control commands. Assuming that in the absence of connectivity, all detected objects will move at a constant speed. Therefore, the contingency plan would be executed on the robot only when connectivity to the cloud is lost, without making use of subsequent sensor data in the robot’s on-board processor. Thus, through the proposed method, it is possible to maximize the movement time of the mobile robot in case of loss of connectivity with the cloud controller without compromising any safety constraints. In this context, two different approaches have been designed based on the possibility of deviating from the nominal trajectory. In the first, called “path following”, the mobile robot is constrained to stay on the reference path, but can vary its speed, performing a safety brake when there is a risk of collision. In contrast, in “trajectory following”, deviation is allowed by trying to prolong the point at which the velocity is reduced. The evaluation shows that the optimal approach depends on the application for which the mobile robot will be used. Furthermore, these approaches do not overload the network bandwidth, since contingency plans can be optimized by parameterizing the velocity sequences or by reducing the sending rate through event-triggered sending. / De senaste framstegen inom telekommunikation har introducerat nya verktyg inom robotikens område, där offloading är en av de mest relevanta. Således utförs beäkningsintensiva uppgifter på en server i molnet istället för på den mobila roboten, vilket minskar bearbetningskostnaderna för roboter och ökar deras effektivitet. En av de största utmaningarna med att offloada robotstyrning är dock att bibehålla funktionell säkerhet även när anslutningen till fjärrservern bryts. För att hantera sådana avbrott, har vi utvecklat en optimeringsbaserad metod för att beräkna en reservplan, anpassad till miljön runt roboten. Denna plan skickas från molnet till roboten tillsammans med varje styrkommando. Planeraren beaktar den aktuella kartan, baserad på all sensordata som samlats in fram till nu, och den nominella banan och beräknar en säker reservplan i form av en sekvens av styrkommandon. För säkerhets skull antar planeraren att i händelse av ett avbrott, kommer alla hinder i kartan att närma sig roboten med en konstant hastighet. Det gör det säkert att exekvera reservplanen om anslutningen till molnet går förlorad, utan att använda efterföljande sensordata för att uppdatera kartan. Den föreslagna metoden gör det alltså möjligt att maximera tiden som den mobila roboten kan fortsätta köra vid förlust av anslutning till molnservern, utan att göra avkall på säkerheten. I detta projekt har vi utformat två olika planeringsmetoder, som skiljer sig vad gäller möjligheten att avvika från den nominella banan. I den första, kallad “path following”, tillåts inte roboten att avvika från referensbanan och utför därför en säkerhetsbromsning när det finns risk för kollision. I den andra, kallad “trajectory following”, tillåts roboten avvika från referensbanan, genom att försöka fördröja det ögonblick då roboten behöver bromsa. Utvärderingen visar att vilken metod som är bäst, beror på tillämpningen som den mobila roboten används för. Dessutom överbelastar dessa tillvägagångssätt inte nätverksbandbredden, eftersom beredskapsplaner kan optimeras genom att parameterisera hastighetssekvenser eller genom att minska överföringshastigheten. / Los recientes avances en las telecomunicaciones han traído consigo nuevas herramientas en la robótica, siendo el offloading una de los desarrollos más significativos. Así, las tareas computacionalmente más costosas se realizan en un servidor en la nube en lugar de en el robot móvil, reduciendo los costos de procesamiento en el robot y mejorando su eficiencia. Sin embargo, uno de los mayores desafíos del offloading de control de robots es mantener la seguridad funcional incluso cuando la conexión con el servidor se interrumpe. Con el fin de mitigar las pérdidas de conectividad, se ha desarrollado un método basado en optimizacion que calcula un plan de contingencia dependiente del entorno. Este plan se envía desde la nube al robot junto con el comando de control correspondiente. El planificador tiene en cuenta el mapa del entorno actual, basado en todos los datos del sensor recopilados hasta el momento de la optimización, y la trayectoria nominal para proporcionar una secuencia de comandos de control seguros. En este sentido, el planificador asume que, en ausencia de conectividad, todos los objetos detectados se aproximarán al robot a una velocidad constante. Este plan de contingencia se ejecutaría en el robot solo cuando se pierde la conectividad con la nube, sin hacer uso de datos de sensor posteriores en el procesador a bordo del robot. Por lo tanto, mediante el método propuesto, se logra maximizar el tiempo de movimiento del robot móvil en caso de pérdida de conectividad con el controlador en la nube sin sacrificar las restricciones de seguridad. En este contexto, dos enfoques distintos según la posibilidad de desviarse o no de la trayectoria nominal han sido diseñados. En el primero, denominado “path following”, no se permite que se desvíe de la referencia, aplicando un frenado de seguridad cuando existe riesgo de colisión. En cambio, en “trajectory following”, se permite la desviación para tratar de prolongar el momento en el que se reduce la velocidad. La evaluación muestra que el enfoque óptimo depende de la aplicación para la cual se utilizará el robot móvil. Además, estos enfoques no sobrecargan el ancho de banda de la red, ya que los planes de contingencia pueden optimizarse parametrizando las secuencias de velocidad o reduciendo la velocidad de envío.

Contingency planning

connectivity loss mitigation

offloading

cloud-controlled mobile robots

functional safety.

Kontingensplanering

offloading

funktionell säkerhet

molnkontrollerade mobila robotar.

Plan de contingencia

mitigación de perdida de conectividad

offloading

robots móviles controlados por la nube

seguridad funcional.

Computer and Information Sciences

Data- och informationsvetenskap