Over toelating van autonome testvoertuigen op de weg en het onderzoek van ongevallen
Ir. A.C.E. Spek *
* Forensisch verkeersongevallenonderzoeker bij het team Digitale Technologie van het Nederlands Forensisch Instituut.
Onmiskenbaar stevenen we af op een toekomst waarin auto’s zonder bestuurder rondrijden. Om dat te realiseren hebben industrie, wetenschap en overheid elkaar gevonden, ook in Nederland. Het kabinet wil dat Nederland een voortrekkersrol krijgt bij de ontwikkeling van zelfrijdende voertuigen en wil (met name) proeven op de openbare weg toestaan en faciliteren.1) In dit artikel staat de vraag centraal of het forensisch onderzoek bij een ongeval met een experimenteel voertuig afdoende inzicht kan geven. Daartoe wordt eerst ingegaan op de gefaseerde ontwikkeling van de autonome auto langs een vijftal “automatiseringsniveaus”, en op de betekenis die experimenten op de weg bij die ontwikkeling hebben.
Inleiding
Een veelgehoord argument voor de ontwikkeling is de grotere veiligheid.2) De Amerikaanse National Highway Traffic Safety Administration (NHTSA) onderzocht onlangs 5.470 botsingen tussen auto’s en legde bij 94% daarvan de “kritische reden voor de kritische gebeurtenis voorafgaande aan het ongeval” bij een bestuurder.3) De autonome auto zou in die gevallen de kritische reden wegnemen. Maar zou het daarmee onder de streep ook veiliger worden? Autorijden is een complexe taak waarbij continu beslissingen genomen moeten worden en in acties omgezet, en toch worden 99.999 van de 100.000 ritten zonder botsing uitgereden.4) Zal de autonome auto het beter doen? Veel beter? Dat is nu nog moeilijk te zeggen. De automatiseringsindustrie is er in een halve eeuw nog niet in geslaagd om het euvel van de vastlopende computer uit te bannen en complexe automatiseringsprojecten worden nog niet zonder programmeerfouten afgeleverd. Bij autonome voertuigen wordt state-of-the-art automatiseringstechnologie ingezet voor taken die bij foute uitvoering levensgevaar kunnen veroorzaken. Uitgebreid testen is dus noodzakelijk, maar het toestaan van testauto’s op de openbare weg brengt vanzelf de kans met zich mee dat een testauto in een ongeval betrokken raakt.
Blueprint van een testprogramma: Google
Sinds 2009 test Google autonome voertuigen op de openbare weg, in Californië en Texas. De auto’s van Google hebben tot op heden ruim 2,1 miljoen kilometer autonoom gereden zonder een ongeval te veroorzaken, maar waren al wel betrokken bij 17 lichte ongevallen.5) Daarmee is Google geen onveilige rijder; een paar miljoen kilometer schadevrij rijden is zo bijzonder dat het beroepschauffeurs een oorkonde van de baas oplevert.6) De gemiddelde Nederlandse bestuurder van 18 jaar is bij dit kilometrage ongeveer toe aan zijn eerste letselongeval, maar de 30-jarige bestuurder heeft dan nog ruim 10 miljoen kilometer te gaan.7) De kilometers van Google zijn niet helemaal representatief. De auto’s zijn nu nog extreem beleefd8); een succesvolle integratie in het alledaags verkeer zal meer assertiviteit vergen.9) De Googlevloot rijdt op zorgvuldig geselecteerde trajecten en in bijzondere verkeerssituaties neemt de bestuurder het heft in handen.10) Google meldt in haar maandrapportages niet hoeveel ongevallen zijn voorkomen door het ingrijpen van de menselijke bestuurder. Het onderzoeksprogramma van Google is grootschalig, maar voor een degelijk inzicht in de veiligheid van autonome auto’s is nog een flinke opschaling nodig. Bij de ontwikkeling van autonome voertuigsystemen zal de testcapaciteit de bottleneck blijken te zijn, niet de technologie of de ontwerpcapaciteit.
Automatiseringsniveaus
De eerder genoemde NHTSA is de federale organisatie in de Verenigde Staten die eisen opstelt voor de toelating van auto’s op de weg. De organisatie heeft een document uitgebracht met aanbevelingen aan staten die testen met “geautomatiseerde” voertuigen willen toestaan.11)
De NHTSA onderscheidt in haar advies een vijftal automatiseringsniveaus, van niet geautomatiseerd (niveau 0) tot volledig autonoom (niveau 4).12) Interessant zijn de tussenliggende niveaus. Bij niveau 1 kan de auto in specifieke situaties ofwel de laterale controle (het sturen) ofwel de longitudinale controle (het versnellen en afremmen) voor zijn rekening nemen, gevraagd of ongevraagd. Dit niveau van automatisering verlost de bestuurder niet van de rijtaak, ook niet tijdelijk. Immers, ook al versnelt en vertraagt de auto zelf, dan nog moet de bestuurder op de weg letten om te sturen. Te denken is aan de adaptieve cruise-control, waarbij de auto de snelheid aan de voorganger aanpast zolang de omstandigheden dat toestaan en zolang de bestuurder niet zelf de rem of het gaspedaal bedient, of aan een automatisch noodremsysteem dat de snelheid zo ver mogelijk terugbrengt nadat een botsing onvermijdbaar is geworden. De NHTSA noemt als voorbeeld bij dit niveau ook de elektronische stabiliteitscontrole (ESC), die sinds november 2014 ook in de EU op nieuwe auto’s verplicht is.13) Een groot deel van ons huidige wagenpark is dus al uitgerust met niveau-1-systemen.
Van automatiseringsniveau 2 is sprake als de auto voor een bepaalde periode zowel het sturen als het versnellen en afremmen overneemt. Een goed voorbeeld is het treintje rijden (platooning), waarbij een of meer auto’s uit zichzelf een voorligger volgen. TNO en DAF beproeven dit systeem in Nederland op de openbare weg.14) Bij dit automatiseringsniveau hoeft de bestuurder niets te doen zolang alles goed gaat, maar hij wordt wel geacht om in te grijpen als het mis dreigt te gaan, met of zonder waarschuwing vanuit de auto.15) Dit gaat verder dan de noodrem waarover Vellinga spreekt.16) De bestuurder heeft hier niet de rol van de treinpassagier die bij een toevallig waargenomen gevaar de mogelijkheid heeft om de trein te laten stoppen, maar de rol van een “procesoperator” die tot taak heeft om zich continu te vergewissen van de status waarin het systeem zich bevindt om op elk moment de nodige acties voor een veilige afloop te kunnen realiseren. Ik merk op dat de autonome vloot van Google ook grotendeels opereert op niveau 2.17) Techniek van dit automatiseringsniveau is moeilijk te implementeren in productieauto’s vanwege de eisen die aan de bestuurder te stellen zijn. De rol van procesoperator vergt nu eenmaal een ander niveau van systeemkennis en een ander gedrag dan de conventionele rol van autobestuurder. Bij niveau-2-systemen die nu aan particulieren worden verkocht, wordt een zekere mate van alertheid afgedwongen – bij Tesla’s “autopilot” moeten de handen aan het stuur blijven en Volvo’s “queue assist” moet opnieuw worden ingeschakeld als de auto in de file meer dan een paar seconden lang stil heeft gestaan.
Automatiseringsniveau 3 staat een meer passieve rol van de bestuurder toe, zolang de omstandigheden daarvoor geschikt zijn. De bestuurder hoeft zich dan niet meer te richten op de weg, maar moet op afroep beschikbaar zijn om de besturing (deels) over te nemen. De auto navigeert bijvoorbeeld zelfstandig op de snelweg en waarschuwt de bestuurder als de afrit in zicht komt of als verderop het verkeer “opstroopt”. De waarschuwing moet tijdig zijn; de bestuurder moet de gelegenheid hebben om zijn krant opzij te leggen en de zithouding aan te nemen die bij het besturen hoort, en de auto moet een veilige noodmanoeuvre in zijn repertoire hebben voor het geval de bestuurder niet op tijd reageert. Een voorwaarde voor dit niveau is dat de techniek bewezen betrouwbaar is en dat het systeem plotseling opdoemende gevaren zelfstandig kan pareren. Het wezenlijke verschil tussen de automatiseringsniveaus 2 en 3 is niet gelegen in de techniek zelf, maar in het vertrouwen dat de autofabrikant in de techniek heeft.
In dit schema zou de volledig autonome auto – niveau 4 – te realiseren zijn door een gestage uitbreiding van de arealen waarin de auto op niveau 3 opereert. Bijvoorbeeld, een automodel dat eerst alleen op de snelweg autonoom rijdt kan na een software-update ook het afrittencomplex en de uitvalswegen behappen. De volgende generatie van dat automodel is door verbeterde sensoren ook in staat zelfstandig met lage snelheid door de stad te manoeuvreren om een parkeerplaats te vinden en de generatie daarna kan ook het stadsverkeer aan. De toevoeging van nieuwe niveau-3 arealen zal in principe pas plaatshebben als de fabrikant en de toelatende instantie voldoende vertrouwen hebben in de techniek. De enige goede grond voor zulk vertrouwen is een grootschalige succesvolle toepassing van de technologie onder toezicht van de autobestuurder, dus op niveaus 1 en 2. Ten dele zal dat kunnen door evaluatie van de systemen op het niveau 1 en 2 die nu al op de markt worden verkocht, voor het overige zullen uitgebreide testprogramma’s nodig zijn.18)
Forensisch onderzoek en dataregistratie
Alle moderne auto’s verzamelen gegevens. De autofabrikanten stellen middelen of informatie beschikbaar om een deel van die gegevens uit te lezen.19) Soms geeft die uitleesbare informatie een duidelijk beeld over hoe snel een auto reed, en of de bestuurder al dan niet remde of uitweek.20) Dat zijn echter uitzonderingen; vaak blijft uitlezing vruchteloos of moet worden volstaan met een enkele lastig te duiden snelheidswaarde bij een toevallige storingsregistratie.21) Vermoedelijk registreren auto’s echter (veel) meer gegevens dan de forensische wereld kan uitlezen, met het oog op productverbetering en “trouble shooting”. Het ligt voor de hand dat de niveau-1 en -2-systemen die nu op de markt zijn registrerende systemen zijn, waarvan de data worden gebruikt voor de ontwikkeling van niveau-3-systemen. Helaas publiceren autofabrikanten geen volledige overzichten van de gegevens die een auto registreert.
Neem de hypothetische casus dat een auto die uitgerust is met een volgsysteem (autonomieniveau 2) op de snelweg achterop een voorligger botst. Na het ongeval moet worden vastgesteld of het volgsysteem was ingeschakeld. Als dat zo was dan heeft het volgsysteem blijkbaar gefaald en wordt het relevant om te weten welke informatie de auto aan de bestuurder verstrekte, wanneer de bestuurder kon weten dat hij moest ingrijpen en wat (toen) zijn mogelijkheden waren. Zo’n analyse is onmogelijk zonder te beschikken over gedetailleerde registraties van het volgsysteem.22) De NHTSA adviseert de staten dan ook om bij toestemming voor testprogramma’s dataregistratie te vereisen:23)
“Self-driving test vehicles should record data from the vehicle’s sensors, including sensors monitoring and diagnosing the performance of the automated vehicle technologies, in the event of a crash, or other significant loss of vehicle control. In addition to recording all the information from the sensors for the vehicle’s automated technologies, the recording should note whether the automated technology system was in control of the vehicle at the time of the crash. Any regulation that allows for the operation of self-driving vehicles for testing purposes should also consider ensuring that the vehicle owner make available to the state all data recorded by the vehicle’s event data recorder in the event of a crash.”
Het is opvallend dat de NHTSA in de laatste volzin de term “event data recorder” (EDR) hanteert. De EDR is in de Verenigde Staten gereguleerd24) en is aanzienlijk minder informatief dan het systeem wat in de eerste twee volzinnen wordt beschreven. De exacte toestand van het semi-autonome systeem en de interactie met de bestuurder is uit de gegevens in die (gereguleerde) EDR niet herleidbaar. Die EDR toont onder andere de rijsnelheid en het al dan niet aanraken van de rem, maar niet de stuur- of remingrepen van het autonome systeem, de sensorsignalen die daaraan ten grondslag liggen en de alarmsignalen waar het systeem de bestuurder mee confronteert.
De forensisch onderzoeker die na het ongeval helderheid moet verschaffen heeft een flinke achterstand op de ingenieurs van de autofabrikant en/of het testprogramma. Die laatsten hebben de geregistreerde gegevens vermoedelijk al telematisch verkregen en kunnen die gegevens met hun specifieke kennis van het systeem en hun kant-en-klare analysetools direct analyseren. De forensisch onderzoeker moet zich eerst verdiepen in de specificaties van de autonome systemen in de auto en het dataregistratiesysteem, moet de data zien te verkrijgen en moet analysetools ontwikkelen of geschikt maken voor de casus. In veel gevallen zal de forensisch onderzoeker het niet kunnen stellen zonder hulp van de ingenieurs van de autofabrikant of het testprogramma, terwijl hij tevens moet waken niet door hen beïnvloed of misleid te worden.
Er is dan ook wat voor te zeggen om de autofabrikant of de uitvoerder van het testprogramma te verplichten om na (ernstige) ongevallen aan forensisch onderzoekers een genormeerde toegang te bieden tot alle gegevens, niet alleen gegevens uit de event data recorder, en inzicht te geven in de werking van het (experimentele) systeem. De forensische onderzoekswereld is geen reguliere gesprekspartner van de auto-industrie en kan dit niet afdwingen. In hoeverre de toelatende instantie dat wel zou kunnen vereisen, kan ik niet inschatten. In Europa wordt bij het toelaten van (experimentele) semi-autonome systemen geen dataregistratie en/of toegang tot geregistreerde data vereist.25)
Samenvatting
De ontwikkeling van de autonome auto loopt via de semi-autonome auto en zal enkele decennia duren. De geschiktheid en betrouwbaarheid van autonome deelsystemen moet in het verkeer worden aangetoond, en daarbij zijn grootschalige en kostbare testprogramma’s noodzakelijk. Semi-autonome auto’s, al dan niet in het kader van zulke testprogramma’s, zullen betrokken raken in letselongevallen. Een strafrechtelijke beoordeling van die ongevallen is onmogelijk zonder een goed beeld van de taken en gedragingen van enerzijds de bestuurder en anderzijds de auto. Dat is complex omdat die taken van moment tot moment kunnen verschuiven, zeker in een zich ontplooiend ongevalsscenario. Alleen een gedetailleerde en betrouwbare dataregistratie door de elektronische systemen in de auto zelf kan de nodige informatie bieden. Hier lopen de belangen van het strafrecht en de autofabrikant parallel; ook het testprogramma kan niet zonder die dataregistratie. De staat zal bij toestemming voor testprogramma’s moeten eisen dat na een ongeval de registratiedata voor het forensisch onderzoek beschikbaar komen, met de informatie die nodig is om de data te analyseren.
1. www.rijksoverheid.nl/actueel/nieuws/2015/01/23/nederland-wordt-testland…
2. N.E. Vellinga, De civielrechtelijke aansprakelijkheid voor schade veroorzaakt door een autonome auto, VR 2014/151, afl. 10 (hoofdstuk 1: Inleiding).
3. www-nrd.nhtsa.dot.gov/pubs/812115.pdf
4. OECD Internationaal Transportforum (www.internationaltransportforum.org/cpb/pdf/autonomous-driving.pdf).
5. 1.320.755 mijl volgens de rapportage van november 2015 (www.Google.com/selfdrivingcar/reports/).
6. “Superchauffeur” Jozef Vandiest uit Aarschot maakt na 7 miljoen kilometer zijn eerste ernstige ongeval mee; de vrachtauto kantelt door een klapband. (www.hln.be/regio/nieuws-uit-aarschot/-supertrucker-bekomt-na-eerste-cra…).
7. Per miljard door 18-jarigen gereden kilometers zijn er ongeveer 600 ongevallen met zwaar letsel of dodelijke afloop. Voor 30-jarigen daalt dat naar ongeveer 80. Tabel 2 in SWOV factsheet “Jonge automobilisten”.
8. http://www.wearobo.com/2015/05/californians-are-ok-with-Google-self.html
9. M. Sikkenk en J. Terken, Rules of conduct for autonomous vehicles, Proceedings of the 7th International conference on Automotive User Interfaces and Interactive Vehicular Applications, p. 19-22, 2015.
10. http://www.technologyreview.com/news/530276/hidden-obstacles-for-Google…
11. NHTSA Preliminary Statement of Policy Concerning Automated Vehicles (http://www.nhtsa.gov/staticfiles/rulemaking/pdf/Automated_Vehicles_Poli…).
12. NHTSA Preliminary Statement of Policy Concerning Automated Vehicles (voetnoot 11), hoofdstuk “Definitions – Levels of Vehicle Automation”. In het artikel 'Visies op de autonome auto' van Bart van den Acker (VR 2015/108, afl. 10) is de iets afwijkende schaalverdeling van de Society of Automotive Engineers opgenomen. De niveaus 3 en 4 uit de SAE-schaalverdeling zijn door de NHTSA in één niveau (3) vervat.
13. Verordening EG Nr. 661/2009.
14. https://www.tno.nl/nl/over-tno/nieuws/2015/3/geautomatiseerd-rijden-met…
15. Dit is geen denkbeeldig scenario; navraag bij de RDW (Ir. J. Boersma, manager product assessment) leert dat bij de toelating van niveau-2-systemen op de weg vanuit de regelgeving niet wordt vereist dat de fabrikant de betrouwbaarheid van het systeem aantoont.
16. N.E. Vellinga, De civielrechtelijke aansprakelijkheid voor schade veroorzaakt door een autonome auto, VR 2014/151, afl. 10 (hoofdstuk 8: Noodrem).
17. De rol van de bestuurder wordt toegelicht in http://www.Google.com/selfdrivingcar/faq/.
18. Het is goed voorstelbaar dat testauto’s met speciaal getrainde bestuurders zinvol ingezet gaan worden, bijvoorbeeld in het beroepsgoederenvervoer.
19. Dit zijn met name de diagnosedata die bedoeld zijn om de monteur te helpen met het traceren van storingen. Bij een klein deel van de auto’s kan ook de zogenaamde event data recorder worden uitgelezen; dit is een geheugen binnen de airbagregeleenheid dat primair bedoeld is om achteraf het functioneren van het airbagsysteem te kunnen beoordelen.
20. Bij een ongeval met een Dodge Ram (ECLI:NL:GHSGR:2011:BU4602) kon uit de event data recorder worden achterhaald dat de bestuurder vijf seconden voor de botsing 147 km/u reed, 1,5 seconde voor de botsing een noodremming inzette en 1,1 seconde voor de botsing door sturen probeerde uit te wijken.
21. Een (vaak voorkomend) duidingsprobleem is bijvoorbeeld dat niet bekend is of het om de snelheid gaat die de auto direct vóór de botsing had, of dat het de snelheid betreft die de auto had op enig moment in de uitloopbeweging na de botsing.
22. Dat wil zeggen, registraties van de sensorsignalen en regelcommando’s van alle elektronische regeleenheden die in het volgsysteem betrokken zijn. Daaruit zou bijvoorbeeld naar voren kunnen komen dat er wel een commando naar het remsysteem is verstuurd om te remmen, maar dat de regeleenheid van het remsysteem daaraan geen gevolg heeft gegeven.
23. NHTSA Preliminary Statement of Policy Concerning Automated Vehicles (zie voetnoot 11): “Recommendations for State Regulations Governing Testing of Self Driven Vehicles”.
24. Code of Federal Regulations, title 49 part 563: “Event Data Recorders”.
25. Navraag bij de RDW (Ir. J. Boersma, manager product assessment).