Sujet de thèse : Mécanismes de sûreté de fonctionnement pour la programmation déclarative de fonctions d’un véhicule autonome


Type de financement : Thèse CIFRE PSA / Heudiasyc (UTC-CNRS)

Laboratoire d’accueil : Unité de recherche : UMR CNRS HEUDIASYC 7253 Equipe de recherche :ASER Site web : www.hds.utc.fr

Directeurs de thèse : Walter Schön et Benjamin Lussier

Date de démarrage souhaité : Janvier 2016

Description du sujet de thèse : DEVELOPPEMENT DU PROJET DE RECHERCHE Sous l’effet conjugué des évolutions des normes de sécurité (EuroNCAP notamment), de la recherche d’attractivités supplémentaires pour faire face à la concurrence, des demandes des consommateurs, les constructeurs proposent sur leurs véhicules de plus en plus de systèmes d’aide à la conduite ([ABA13] et [CHE13]) et travaillent sur le développement de véhicules à conduite automatisée (véhicules « autonome »). Les véhicules autonomes basés sur l’exploitation de différents capteurs de l’environnement du véhicule (caméras, radar, GPS, ultrasons,…) ont pour objectif de réduire les accidents et de donner du temps au conducteur pour réaliser d’autres activités. Cette thèse se situe dans le cadre de cette évolution vers un véhicule toujours plus autonome ([MAN12]), avec à la clef de multiples enjeux sociétaux ([KPM12]). Cette évolution a été marquée ces dernières années par différents évènements. Nous en rappelons ci-dessous quelques-uns : • Développement et expérimentation d’une flotte de véhicules autonomes (« Google cars ») par la société Google depuis 2012, avec autorisation de rouler dans différents états des USA à commencer par le Nevada. • Présentation lors du salon de Frankfurt 2013 par Mercedes de la Classe S proposant une multitude de fonctions ADAS dont la fonction Traffic Jam Assist (TJA) associant un automatisme longitudinal (ACC stop and go) à un automatisme transversal (suivi de ligne) afin de se substituer au conducteur dans les embouteillages et même sur autoroute. • Présentation également lors du salon de Frankfurt 2013 par Mercedes d’un projet de recherche de véhicule entièrement automatisé (S500 intelligent drive) utilisant des capteurs proches de ceux utilisés en série ([BEN13]). Ce véhicule a parcouru une centaine de kilomètres dans des environnements variés en mode complétement automatique notamment grâce à l’utilisation d’une cartographie détaillée de l’itinéraire. Ce véhicule est notamment capable de négocier les intersections, de respecter les feux, d’être vigilant face aux passages piétons, aux zones de centre-ville, d’éviter les obstacles sur les bas-côtés, …). • Présentation par PSA en novembre 2013, à la presse d’un véhicule de recherche muni d’une fonction Traffic Jam Assistéconomique par l’utilisation d’un nombre réduit de capteurs d’environnement (une caméra et un radar). • Présentation par différents constructeurs (Audi, BMW..) de véhicules capables de réaliser des milliers de kilomètres sans intervention du conducteur. • Plus récemment, PSA a présenté à la presse ses activités autour de l’automatisation des véhicules (Cf. revue de presse).

Dans cette quête du véhicule autonome, outre les verrous juridiques et économiques, les verrous scientifiques et techniques sont nombreux. Par exemple, on peut citer la capacité à reconstruire par fusion de données, l’environnement 3D autours du véhicule en y intégrant une identification des positions et des vitesses des objets mobiles (autres véhicules, piétons, usagers de la route, …) et immobiles (zones de roulages, zones à risques, signalisations diverses,…), savoir déterminer et réaliser une trajectoire à partir des informations d’environnement ainsi que des contraintes d’itinéraires demandées par le conducteur. Les travaux actuels sur les véhicules autonomes indiquent que les composants logiciels (comme les composants de fusion de données, de reconnaissance de situations, de planification de trajectoire, et plus généralement de prises de décision) intégreront de plus en plus d’éléments par programmation déclarative.

Les composants logiciels par programmation déclarative sont des composants dont le comportement est défini par la description du problème à résoudre, comprenant généralement l’état initial, l’objectif, et des modèles ou fonctions permettant de passer entre différents états. Des mécanismes de planification, de programmation par contraintes, de programmation logique, et plus généralement les mécanismes du domaine de l’Intelligence Artificielle (IA) font partie de ces types de composants. Ils se distinguent des composants logiciels par programmation impérative, qui décrivent des étapes successives permettant d’accomplir une tâche, et sont de loin les plus utilisés actuellement dans l’industrie (programmation fonctionnelle, programmation orientée objet, etc.).

L’avantage principal de la programmation déclarative par rapport à la programmation impérative est qu’elle ne demande pas d’inventorier et de décrire le comportement à suivre dans toutes les situations possibles. Elle est par définition robuste, c’est-à-dire que son fonctionnement reste généralement correct dans des situations proches de celles considérées lors de son développement. Il est cependant important de noter qu’aucune garantie de comportement ne peut être donnée face à des événements qui n’ont pas été considérés. Ses désavantages principaux sont la difficulté de développement de ses programmes par rapport à la programmation fonctionnelle, le manque de bonnes pratiques de développement, et la difficulté de validation inhérente au large ensemble de situations que ses programmes peuvent considérer.

Objectif Le but de cette thèse est de proposer des moyens d’assurer la sûreté de fonctionnement des composants déclaratifs (IA). Les mécanismes développés pourront être basés sur des méthodes de validation (tests, validation formelle…), de prévision de fautes (analyses de risques, arbres de défaillance) et de tolérance aux fautes (diversification et redondance d’information) pour proposer des moyens garantissant la sûreté de fonctionnement des composants déclaratifs et permettant ainsi leur utilisation dans des systèmes critiques, comme les véhicules autonomes. En effet, de par la difficulté de développement et de validation de ces composants, ils ne sont actuellement acceptés dans aucun domaine d’application critique : ferroviaire, aéronautique ou nucléaire. Pour qu’ils puissent être acceptés dans le développement industriel de véhicules routiers, il va falloir inévitablement apporter des preuves objectives de leur sûreté de fonctionnement, c’est-à-dire la confiance justifiée que l’on peut avoir dans leur bon fonctionnement, et en particulier leur sécurité-innocuité (safety) et leur fiabilité (reliability), c’est-à-dire respectivement la non-occurrence de conséquences critiques pour le système ou son environnement, et la capacité d’accomplir continûment leur mission sur une durée donnée. Bien que ce sujet soit particulièrement prospectif et novateur, une étude en cours au laboratoire Heudiasyc considère plusieurs pistes de recherche possibles.

• Une première piste serait de proposer des techniques de validation des modèles utilisés par les mécanismes déclaratifs. En effet, ces modèles conditionnent fortement le comportement du système, et étant dépendant de l’application et exprimés dans des formalismes complexes, il est difficile de garantir un développement sans faute. Sans cibler les modèles déclaratifs, [THA04] présentent des concepts pour la validation de modèles. Il serait également possible d’étudier l’usage d’analyses formelles pour vérifier la cohérence du modèle ou le respect de règles de sécurité. • Un second axe de recherche pourrait porter sur des composants de tolérance aux fautes visant les mécanismes déclaratifs. Inspiré des systèmes de maintien de vérité développés pour les systèmes experts, un tel composant pourrait contenir des règles liées à la sécurité du système, et vérifier que ces règles ne soient pas enfreintes par les décisions du mécanisme déclaratif.

• D’autres pistes de recherche peuvent être proposées, portant par exemple sur la validation du moteur d’inférence (propriétés de cohérence, exactitude, vivacité, etc.) ou sur la proposition de bonnes pratiques de développement, inexistantes pour la programmation déclarative.

Organisation des travaux de recherche : Le début de la première année sera consacrée à la réalisation d’un état de l’art portant d’une part sur les composants déclaratifs et les formalismes communément utilisés pour assurer les fonctionnalités de véhicules autonomes (fusion de données, reconnaissances de situation, planification de trajectoire, etc.) et d’autre part sur la sûreté de fonctionnement de tels composants. La première partie pourra être réalisée en étudiant des systèmes autonomes existants, tels que le véhicule autonome Boss, vainqueur du Darpa Urban Grand Challenge 2007 [URM08].

La fin de la première année et la deuxième année porteront sur la proposition de méthodes ou composants permettant d’assurer et valider la sûreté de fonctionnement de mécanismes déclaratifs. Ces méthodes peuvent avoir la forme de guides de bonnes pratiques de développement, de guides pour la validation en simulation ou tests réels, de techniques de tests statiques, ou de composants de détection de fautes par diversification des connaissances.

La troisième année sera consacrée à la validation des méthodes et outils proposés lors de la deuxième année sur différents mécanismes déclaratifs réels. En particulier, une application (fusion de données, navigation, etc.) sera testée sur une voiture autonome avec injections de fautes grâce à la plateforme de validation Vehicule-In-the-Loop (VIL) du laboratoire Heudiasyc, ou une plateforme équivalente de PSA. Le rapport de thèse sera également rédigé durant les six derniers mois de cette troisième année.

Le doctorant passera environ deux ans (66% de son temps) à PSA, et un an (33%) au laboratoire Heudiasyc. Cette alternance ne sera pas forcément deux longs séjours continus, mais pourra être répartie en plusieurs séjours plus courts sur les trois années.

Bibliographie [ABA13], V.Abadie, “les activités ADAS chez PSA”, Journée thématique ADAs, juin 2013 [BEN13], “Highly autonomous drive on the bertha benz route”, http://www.gmotors.co.uk/news/merce... [CHE13], V.Cherfoui, R.Chapuis, “Tour d’horizon scientifique et industriel des véhicules terrestres autonomes et leurs défis », Journées Nationales de la Recherche en Robotique (JNRR) 2013, Strasbourg, 16-18 octobre 2013, Annecy. [KPM12], « self drivingcars : the next revolution”, kpmg and CAR (center for automotive research), 2012 [MAN12], F.Mangonneaux, »CR interne de la réunion de Kick off meeting sur le thème de la délégation de conduite », 01633_12_00034, mars 2012 [THA04], B. H. Thacker, S. W. Doebling, F. M. Hemez, M. C. Anderson, J. E. Pepin, E. A. Rodriguez, “Concepts of Model Verification and Validation,” Los Alamos National Laboratory and Southwest Research Institute, LA-14167-MS, Decembre 2004. [URM08], C. Urmson, et al, "Autonomous driving in urban environments : Boss and the Urban Challenge," Journal of Field Robotics Special Issue on the 2007 DARPA Urban Challenge, Part I, Vol. 25, No. 8, June, 2008, pp. 425-466

Coordonnées des personnes à contacter


PDF - 639.7 ko