Inhalte

Wie Künstliche Intelligenz digitale Realitäten erzeugt, um hochautomatisiertes Fahren sicher zu machen.

Alle
Aktuelles
Förderprogramme
Projekte
Interoperabilität
Strategie
Portraits
Veranstaltungen
Produkte
Roadmaps

Wie künstliche Intelligenz digitale Realitäten erzeugt, um hochautomatisiertes Fahren sicher zu machen.

Philipp Slusallek, Leiter des Forschungsbereichs Agenten und Simulierte Realität des DFKI, über digitale Realitäten, die mithilfe künstlicher Intelligenz erzeugt werden.

Inhaltsverzeichnis

Eine der größten ungelösten Herausforderungen bei der Erforschung von künstlicher Intelligenz und der damit limitierende Faktor ihrer intensiven Nutzung in sicherheitskritischen Anwendungen wie dem hochautomatisierten Fahren ist die Absicherung der KI-basierten Funktionen. Der verantwortungsvolle Umgang mit „künstlicher Intelligenz“ im Kontext von sicherheitsrelevanten Funktionen stellt eine besondere Herausforderung dar. Eine stringente Argumentationskette aufzubauen, die aus Expertensicht eine Absicherung von KI-Modulen hinreichend begründet, ist ebenso erforderlich wie die Entwicklung von Methoden und Maßnahmen, die dazu geeignet sind, die funktionale Sicherheit über direkte und indirekte Messmethoden zu bestimmen und zu bewerten. 

Zur Definition der unterschiedlichen Stufen der Automatisierung verwenden wir die Klassifikation nach dem Standard SAE J3016 Standard1 (siehe Abb. 1). Wir ergänzen diese Begriffe durch “KI-Anteile der Fahrautomatisierungsfunktion”. Damit bezeichnen wirKomponenten innerhalb derselben, für die wir, je nach Funktion und Ausprägung, unterschiedliche Eigenschaften beschreiben, die unserer Ansicht nach für den sicheren Betrieb der gesamten Fahrautomatisierungsfunktion notwendig sind. Die im SAE Standard erwähnten Minimalrisikozustände sind wesentliche Elemente desselben. Für jeden Zeitpunkt der automatisierten (Fahr-)Situation muss die auszuführende Aktion klar bestimmt sein. Diese Aktion wird dann als Minimalrisikomanöver (minimal risk maneuver, MRM) bezeichnet. Es gibt derzeit noch keinen MRM-Standard für hochautomatisierte Fahrzeuge.

Abb. 1: SAE Levels: Klassifizierung für Kraftfahrzeuge mit Systemen zum autonomen Fahren

Die Automobilbranche ist überzeugt davon, dass höhere Automatisierungsstufen nur dann erreicht werden können, wenn künstliche Intelligenz eingesetzt wird, eine Meinung, die von uns geteilt wird. Allerdings bezeichnet man mit dem Begriff „KI“ in diesem Zusammenhang vor allen Dingen das so genannte Tiefe Lernen (engl. Deep Learning), einen Teilbereich des Maschinellen Lernens, das vor einem Jahrzehnt seinen Siegeszug in faktisch allen KI-Herausforderungen begonnen hat, in denen lernende Systeme eine Rolle spielten. Seit ein bis zwei Jahren erleben wir eine Art Renaissance einer umfassenderen Betrachtung der künstlichen Intelligenz - für Autonome Systeme und andere “kritische” Anwendungsbereiche. Dazu bietet die KI einen umfangreichen Werkzeugkasten, der weit mehr Werkzeuge enthält als maschinelles Lernen. Betrachten wir beispielhaft das Problem der Beachtung von Verkehrsregeln. Die Herausforderung besteht nicht nur darin, die Regeln selbst zu formulieren oder zu beachten. In diesem Zusammenhang haben KI-Regelsysteme bereits vor Jahrzehnten ähnlich komplexe Aufgaben gemeistert, etwa in der Steuerung von Kraftwerken und großen Industrieanlagen. Was die Verkehrsregeln schwierig macht sind Ausnahmen (in welchen Fällen darf über eine durchgezogene Linie gefahren werden), welche häufig kultur- oder sogar ortsabhängig verschieden sind. Wir halten es für wahrscheinlich, dass hierfür lernende Systeme zum Einsatz kommen werden, so dass insgesamt lernende und nicht-lernende KI-Verfahren kombiniert werden, um die Verkehrsregeln meistern zu können. Die eigentlichen Regeln werden dabei symbolisch vorgegeben (Regelsystem, Ontology), während die genaue Auslegung und Ausnahmen (was beides häufig lokal sehr verschieden ist), aus Daten gelernt werden. Allgemein geht der Trend in Richtung solcher hybriden KI-Systeme, die weder reine subsymbolische lernende Systeme, noch reine symbolische Reasoner sind. Davon verspricht man sich leistungsfähige Klassifizierer, Regressionsalgorithmen oder Prädiktoren, die eine Ende-zu-Ende Optimierung von Daten zu den jeweiligen Antworten durchführen, so wie das heute bei Deep Learning gezeigt wird. Gleichzeitig soll jedoch eine gewisses „grounding“ durch Regelsysteme erfolgen, die in der Lage sind, explizit vorgegebenes Wissen bei der Entscheidung zu berücksichtigen.
KI Module als Bestandteile von (Fahr-)Automatisierungsfunktionen werden häufig als „Black Boxes“ betrachtet. Damit ist gemeint, dass man zwar beobachten kann, welche Ausgaben sie bei welchen Eingabesignalen erzeugen, aber nicht hineinsehen kann, um nachvollziehen zu können, wie das Ergebnis zustande gekommen ist. Dies hat mehrere Gründe: zunächst ist es aufgrund der Zulieferbeziehungen im Automobilbau sehr wahrscheinlich, dass die betreffende Funktion zugeliefert wird, also von einem anderen Unternehmen als dem Automobilhersteller entwickelt wurde. Dieser wird zum Schutz seines geistigen Eigentums (Intellectual Property, IP) die innere Funktion des Moduls nicht offenlegen wollen. Des Weiteren fehlt es dem Automobilbauer möglicherweise auch an der Kompetenz, das komplexe Modul zu analysieren, das nicht im eigenen Haus entwickelt wurde. Die Hersteller sind noch immer dabei, ihre KI-Schlagkraft aufzubauen und haben dabei längst nicht das Niveau erreicht, welches die großen Internetkonzerne aufweisen. Schließlich weisen die heutigen KI-Ansätze gerade im Bereich der Erklärbarkeit Schwächen auf.
Demgegenüber könnten wir uns dasselbe KI-Modul auch als „White Box“ vorstellen. Hier hätte der Automobilhersteller sowohl die Rechte als auch die Kompetenzen, die Entscheidungen des Moduls vollständig zu durchdringen und das Modul selbst würde die nötigen Informationen dazu vollständig bereitstellen können. Allerdings kann eine „White Box“ KI auf absehbare Zeit als eine wissenschaftliche Utopie betrachtet werden. Woran vielmehr geforscht und entwickelt wird, ist die „Grey Box“ KI, in der zwar mit einer wie auch immer gearteten Einschränkung der Einsicht in die Entscheidungsprozesse zu rechnen ist, jedoch genügend Informationen verfügbar sind, um eine Plausibilisierung der Entscheidungen durchführen zu können.
Für KI-Probleme, die entsprechende Aufmerksamkeit in der wissenschaftlichen Gemeinde genießen, gibt es häufig auch gängige Metriken, also Verfahren und Maße, welche die Leistungsfähigkeit eines Ansatzes zeigen sollen. Diese Metriken sind häufig eng an das jeweilige Problem gekoppelt und berücksichtigen selten die Gegebenheiten in der späteren Anwendung. So wird beispielsweise die Leistung eines Bildsegmentierers in der Regel mit der „Intersection over Union“ gemessen, also einem Verhältnis zwischen der Schnittmenge der Pixel von Ergebnis und Wahrheit und ihrer Vereinigungsmenge. Dieses Maß lässt sehr genaue Unterschiede in der Leistung zweier Segmentierer(-varianten) zu, hat aber sehr wenig damit zu tun, ob die gesamte Umgebungswahrnehmung hinreichend gut funktioniert oder nicht. Mit anderen Worten: ob einige Pixel am Rand eines Objektes der Kategorie „Vegetation“ fälschlicherweise mit „Gebäude“ verwechselt wurden, ist für die sichere Erkennung der Fußgänger auf der Fahrbahn von nebensächlicher Bedeutung.
Im Automobilbau wendet man in der Regel das V-Modell an. Das V-Modell ist ein Vorgehensmodell, welches ursprünglich für die Softwareentwicklung konzipiert wurde und den Softwareentwicklungsprozess in Phasen organisiert. Zusätzlich zu diesen Entwicklungsphasen definiert das V-Modell auch das Vorgehen zur Validierung, indem den einzelnen Entwicklungsphasen Validierungsphasen gegenübergestellt werden.
Für die KI-Anteile in den jeweiligen Fahrautomatisierungsfunktionen haben sich noch keine durchgängigen, dem V-Modell entsprechende Verfahren durchgesetzt, da zunächst eine „Übersetzung“ der komponentenspezifischen (engeren, aber feineren) auf systemspezifische (allgemeinere, aber anwendungsrelevante) Maße erfolgen muss. Der ISO-26262-Standard ist die Grundlage für ein sicheres System, sichere Hardware und sichere Software, die im Fehlerfall einen unabhängigen und sicheren Betrieb ermöglichen. Dennoch ist man in der Branche der einhelligen Meinung, dass die ISO 26262 zur Absicherung von (Fahr-)Automatisierungsfunktionen nicht ausreicht. Diese fehlende Funktionalität behandelt nun der neuere, auf den ISO 26262:2018 aufbauende Standard, ISO/PAS 21448, der allgemein als SOTIF (Safety of the Intended Functionality) bezeichnet wird.

Zu untersuchende Problemstellungen

1. Überwachung, Bewertung und Zulassung von künstlicher Intelligenz

Die Verifikation und Validierung von Fahrautomatisierungsfunktionen beinhaltet von der Simulation bis zum Gesamtfahrzeug eine große Anzahl von Tests. Dazu zählen Faktoren, die die gesamte 4D-Umgebung (Kartesischer Raum inklusive der Dimension der Zeit) umfassen, einschließlich Wetter, Straßenzustand, umgebende Landschaft, Objekttextur und mögliche missbräuchliche Anwendung durch den Fahrer. SOTIF bietet bereits Methoden und Richtlinien zur Einbeziehung von Umweltszenarien für die Vorabanalyse des Konzepts und die endgültige Validierung. Das Ziel des Standards besteht darin, eine Richtlinie für die Dokumentation der verschiedenen Szenarien, der Sicherheitsanalyse dieser Szenarien, der Überprüfung der Sicherheitssituationen und der auslösenden Ereignisse sowie der Validierung des Fahrzeugs für die Umwelt mit angewandten sicheren Systemen zu schaffen. Bei der Erweiterung des SOTIF-Standards in Richtung SAE Stufen 3-5 sind es vor allem die komplexer werdenden ODDs (Level 3,4) bzw. die Forderung der ODD-freien Anwendbarkeit (Level 5), die Validierungsspezifikationen erschweren. Die Anzahl der potenziellen kritischen Szenarien, die bei einer hinreichend breiten ODD und einem SAE Level > 2 in Betracht gezogen werden muss, ist äußerst groß. Die Frage, die man sich bei der Entwicklung entsprechender funktionaler Sicherheitsstandards stellen muss, ist die, wie man in dieser großen Menge diejenigen Fälle identifizieren kann, die eine maximale Aussagekraft bezüglich der Gesamtleistungsfähigkeit der (Fahr-)Automatisierungsfunktion enthalten. Dies sind häufig die sogenannten „Randfälle“ (Corner Cases). Die künstliche Intelligenz bietet Methoden an, um diese Aufgabe zu erleichtern und zu systematisieren.

INFO: ODD - Operational Domain Definition

Die Operational Domain Definition beschreibt Betriebsbedingungen, unter denen ein gegebenes System ausgelegt ist zu funktionieren, einschließlich, aber nicht beschränkt auf Umwelt, geografische Lage und Tageszeit, das Vorhandensein oder Fehlen bestimmter Verkehrs- oder Straßeneigenschaften. Zum Beispiel kann eine ODD so definiert sein, dass ein Fahrzeug nur auf vollständig zugangskontrollierten Autobahnen bei geringem Tempo unter Schönwetterbedingungen hochautomatisiert betrieben werden kann. Die SAE Stufen 1 bis 4 berücksichtigen ausdrücklich die ODD-Beschränkungen. Im Gegensatz dazu unterliegt Level 5 keinen ODD-Beschränkungen.
Dementsprechend muss zum genauen Beschreiben eines Merkmals (mit Ausnahme von Stufe 5) sowohl die Stufe der Fahrautomatisierung als auch die ODD identifiziert werden.

Bisher ist gängige Validierungspraxis, so viele Straßenkilometer wie möglich zu sammeln, um die Verlässlichkeit einer Fahrautomatisierungsfunktion (und damit auch deren KI-Anteile) nachzuweisen. Das Sammeln von Millionen von Straßenkilometern im Realtestbetrieb führt allerdings nicht zu einer ausreichenden Abdeckung kritischer Szenarien. Darüber hinaus stellt sich das Problem der Annotation. Um eine möglichst breite Verwendbarkeit der Realdaten für Training und Validierung gewährleisten zu können, müssen Kameradaten Frame für Frame pixelgenau annotiert werden, was trotz Fortschritten im Bereich der Annotationstools und Angeboten aus Ländern mit vergleichsweise geringen Lohnkosten erhebliche zeitliche und monetäre Ressourcen erfordert. Für multisensorielle Daten, die auch Lidar und Radarinformationen enthalten, ist das Problem noch gravierender.
Demgegenüber stehen Verfahren der synthetischen Datenerzeugung durch Simulation (digitale Realität), die eine Reihe von Vorteilen bieten: die Nutzungsrechte sind nicht grundsätzlich eingeschränkt und vor allem können Parameter wie z. B. Fahrzeuggeschwindigkeiten oder Komplexität der Szene beliebig variiert werden. Ferner können riskante Aktionen beliebig oft ohne Einschränkung nachgestellt werden. Darüber hinaus können die Verfahren der digitalen Realität auch sehr einfach die für Training und Validierung benötigten ”Ground-truth Daten” liefern, da diese direkt aus dem Modell stammen. Insbesondere die Möglichkeit, in der Simulation Fahrsituationen beliebig variieren zu können, macht die digitale Realität sehr geeignet, um systematische Trainings- und Validierungsdaten zu erzeugen. Nur mit Daten einer relevanten Abdeckung kann man die Absicherung der KI-Module gewährleisten.
Die digitale Realität ist mehr als eine Simulation, sondern vielmehr eine KI-gestützte Erzeugung von komplexen Inhalten für eine Simulation. Diese Inhalte können beispielsweise menschliches Verhalten sein, das auf verschiedenen Ebenen modelliert und gelernt wird. In Bezug auf Straßenverkehrsszenarien besteht die unterste Ebene aus Bewegungsabläufen. Eine Ebene darüber ist die Planung und Ausführung von Trajektorien angesiedelt und wiederum eine Ebene darüber werden menschliche Eigenschaften wie z.B. Interessen, Ziele, Einstellungen zu bestimmten relevanten Aspekten der Welt modelliert. Auf allen genannten Ebenen kommt künstliche Intelligenz zum Einsatz, was die digitale Realität von der Simulation unterscheidet. Letztere kann in diesem Sinne als das Resultat von ersterer beschrieben werden. Digitale Realität kann auch zur Erzeugung von statischen Inhalten einer Simulation herangezogen werden. Wir arbeiten beispielsweise an einem Verfahren zur Erzeugung von Gebäudemerkmalen aus Punktewolken, um realitätsgetreue Gebäude darstellen zu können. Dies ist ein häufig unterschätzter Faktor, denn die Architektur eines Gebäudes kann relevant für das Sichtfeld und die Zugänglichkeit zur Fahrbahn sein. So ist es beispielsweise wahrscheinlicher, dass ein Fußgänger aus einer Kolonnade heraus auf die Straße tritt als durch ein Mauerwerk hindurch.

Beispiel

Beachten wir zur Verdeutlichung folgendes Beispiel: Leonard steht am Straßenrand einer drei-spurigen innerstädtischen Straße. Leonard hat gelernt, eine entsprechende Lücke zwischen den Fahrzeugen abzupassen, um sicher die Straße überqueren zu können. Leonard wartet, doch der Verkehr ist zu stark. Zu einem gewissen Zeitpunkt entscheidet sich Leonard, eine andere Route einzuschlagen. Von Natur aus ist Leonhard auf Sicherheit bedacht und er interessiert sich für Yoga und Naturkost. Er geht den Bürgersteig entlang zu einem Fußgängerüberweg und überquert die Straße dort. Er hat diese Strecke ausgewählt, weil er weiß, dass sich auf der gegenüberliegenden Seite ein Zeitschriftenladen befindet und er nicht in Eile ist. Er bleibt dort stehen, um sich Yoga-Magazine in der Auslage anzusehen. Anschließend setzt er seinen Weg über den Bürgersteig fort bis zu seinem Ziel, sein am Straßenrand geparktes Fahrzeug.

Das Beispiel beschreibt einen Demonstrator des Forschungsprojektes REACT und Leonard ist kein Mensch, sondern ein KI-Agent. Alle Facetten des menschlichen Verhaltens vom Lernen des Überquerens der Straße bis hin zum interessensbasierten Neu-Routen der Strecke aufgrund der Bedingungen wurden in dem KI-Agenten abgebildet. Seine Welt ist eine Simulation, die Simulation, in der auch hochautomatisierte Fahrzeuge lernen. Die Ausführung der Trajektorie, die Leonard einschlägt orientiert sich an dem Verhalten von Menschen. Die Daten, die hierfür verwendet wurden, berücksichtigen auch Eigenschaften bzw. Aspekte der Aufmerksamkeit, die über Eye-Tracker aufgezeichnet worden sind. Mithilfe von Imitation Learning wird das menschliche Verhalten verallgemeinert und Eigenschaften wie sicheres Verhalten oder unsicheres Verhalten kann nun in einer großen Zahl von Variationen hervorgerufen werden. Auch das Überqueren der Straße ist ein Modul, das aus Daten gelernt wurde. Hier kommt in diesem speziellen Fall ein recht einfaches effizientes Q-Learning zum Einsatz. Leonards Eigenschaften und sein prinzipielles Verhalten wird in der Agenten Modellierungen Umgebung AJAN festgehalten. Die genaue Ausführung seiner Schrittfolge wurde ebenfalls gelernt. Sodass auch Leonards ganz persönlicher Laufstil mitberücksichtigt werden kann. All diese Komponenten zusammengenommen ermöglicht es der digitalen Realität, eine sehr große Vielfalt von Simulationen zu erzeugen, ohne dass diese von menschlichen Designern ausgestaltet werden müssen.
Auch die Sensor-Modellierung ist ein Aspekt der digitalen Realität. Die Radar-Simulation spielt dabei eine sehr wichtige Rolle. Zum einen, weil Radar für hoch automatisiertes Fahren sehr wichtig ist, zum anderen, weil es wenige Werkzeuge gibt, die Radar akkurat simulieren, da Radar eine sehr viel längere Welle als Licht erzeugt und dementsprechenden Beugungseffekten unterliegt. Ein vielversprechender Weg ist, Methoden aus der Computergrafik heranzuziehen, die ursprünglich für die Simulation von Lichttransport entwickelt wurden.
Aktuell gibt es in diesem Bereich bereits sehr gute erste Ergebnisse, sodass Radar neben dem menschlichen Verhalten ein zweiter Schwerpunkt bei unserer Forschung darstellt.

2. Erarbeitung der Verifikations- und Zertifizierungskriterien für die KI-Anteile von Automatisierungsfunktionen


Der „klassische Zertifizierungsansatz“ (z. B. für Reifen) definiert typischerweise eine begrenzte Anzahl von Leistungskriterien und physischen Zertifizierungsprüfungen, um das erforderliche Sicherheitsniveau als Voraussetzung für den Markteintritt festzulegen. Solche Tests werden auf Teststrecken oder auf einem Prüfstand durchgeführt, die Anforderungen wurden über Jahre hinweg verfeinert. Der Ansatz ist gut geeignet für Systeme mit begrenzter Komplexität, begrenzten Interaktionen mit anderen Systemen und klar definierten Systemgrenzen (typisch für mechanische Systeme/Komponenten).
Die Prüfung von (Fahr-)Automatisierungsfunktionen erfordert neue Elemente: Die Systemkomplexität und damit die Anzahl der softwarebasierten Funktionen wird hier weiter zunehmen. Bezüglich der komplexen elektronischen Steuerungssysteme nehmen die potenziell betroffenen Sicherheitsbereiche und Szenarienabweichungen weiter zu und können mit einer begrenzten Anzahl von Tests, die auf einer Teststrecke oder einem Prüfstand durchgeführt werden, nicht vollständig bewertet werden. Der bestehende Auditansatz für elektronische Steuerungssysteme sowohl in Sicherheitssystemen (z. B. ABS, ESP) als auch in Fahrerassistenzsystemen (SAE 1, SAE 2) muss weiter ausgebaut und aufgerüstet werden, um SAE 3 - 5 L3- L5-Systeme zu bewältigen.
Die Prüfung bestehender konventioneller Sicherheitsvorschriften sollte mit dem „klassischen Ansatz“ auch für Komplettsysteme (z. B. Fahrzeuge), die mit Automatisierungsfunktionen ausgestattet sind, fortgesetzt werden. Dies ist ein wesentlicher Bestandteil des Drei-Säulen-Ansatzes (siehe unten). Ergänzungen sind erforderlich, um die softwarebezogenen Aspekte angemessen abzudecken - sie werden den klassischen Zertifizierungsansatz ergänzen und nicht ersetzen.

Die drei Säulen sind: Realfahrten, Physische Tests, Audit und Assessment (z. B. mithilfe der digitalen Realität). Realfahrten ergeben

  • einen Gesamteindruck des Systemverhaltens auf öffentlichen Straßen
  • eine Bewertung der Fähigkeit des Systems mit realen Verkehrssituationen umzugehen. Dabei kommen standardisierte Checkliste („Führerscheinprüfung“) für Fahrautomatisierungsfunktionen zum Einsatz.

Physische Zertifizierungstests ergeben einen Abgleich der Audit-/Bewertungsergebnisse mit dem realen Verhalten in der Praxis. Es erfolgt eine Bewertung des Systemverhaltens in einer Reihe von kritischen Fällen, die entweder nicht auf öffentlichen Straßen prüfbar sind oder von denen nicht garantiert werden kann, dass sie während des realen Betriebs auftreten (weil sie ggf. zu selten sind). Zudem ist die Reproduzierbarkeit der Situationen gegeben.
Schließlich wird ein Audit des Entwicklungsprozesses (Methoden, Standards) durchgeführt, das Sicherheitskonzept (funktionale Sicherheit, Sicherheit der Nutzung) und die Maßnahmen zur Überprüfung der Integration von allgemeinen Sicherheitsanforderungen und Verkehrsregeln bewertet. In diesem Schritt kommt die digitale Realität zum Einsatz (hohe Laufleistung, Fähigkeit zur Bewältigung kritischer Situationen). Des Weiteren erfolgt eine Bewertung von Entwicklungsdaten/Feldtests und OEM-Selbsterklärungen.
Um den beschriebenen Drei-Säulen-Prozess durchführen zu können, müssen die KI-Anteile von Fahrautomatisierungsfunktionen die folgenden prinzipiellen Kriterien erfüllen: Es muss verlangt werden, dass die KI-Anteile der Fahrautomatisierungsfunktionen eine hinreichende Modularität aufweisen, da ansonsten eine Entwicklung eine Prüfkatalogs nicht möglich wäre. Das gilt vor allem für die Zertifizierungstests und das Audit. Des Weiteren ist die Erklärbarkeit der KI ein zentrales Kriterium, das auch in der rechtlichen Betrachtung an vielen Stellen eine Rolle spielt. Eine „Black Box“ lässt sich nicht im Sinne des oben skizzierten Verfahrens prüfen. Neben der Erklärbarkeit ist in erster Linie die korrekte Behandlung von Unsicherheit ein herausragendes Kriterium - eine Forderung, die an KI-Bestandteile von Fahrautomatisierungsfunktionen gestellt werden sollte. Diese wird dringend benötigt, da es unter anderem Grundlage für das Auslösen eines Minimalrisikomanövers ist: nur wenn das System erkennen kann, dass es die aktuelle Situation nicht beherrschen kann, ist eine solche Maßnahme denkbar.

Prof. Dr.-Ing. Philipp Slusallek,
Dr.-Ing. Christian Müller |
Deutsches Forschungszentrum für Künstliche
Intelligenz (DFKI)

 

_____

Siehe: https://www.sae.org/news/2019/01/sae-updates-j3016-automated-driving-graphic (Zugriffsdatum: 07.04.2021)