Event-Driven Safe and Resilient Control of Automated and Human-Driven Vehicles under EU-FDI Attacks

Dit artikel presenteert een event-gedreven, veilig en veerkrachtig besturingskader dat Control Barrier Functions en Control Lyapunov Functions integreert met adaptieve aanvalsbestendigheid en datagedreven schattingen om Connected and Automated Vehicles veilig te laten opereren in gemengd verkeer onder blootstelling aan exponentieel onbegrensde valse-data-injectie-aanvallen.

De kern

Stel je voor dat je in een drukke, chaotische file rijdt met een mix van gewone auto's (bestuurd door mensen) en slimme, zelfrijdende auto's. Nu voeg je daar nog een heel vervelende factor aan toe: een onzichtbare hacker die de remmen en het gaspedaal van de slimme auto's probeert te saboteren. Hij stuurt valse signalen die steeds groter en wilder worden, alsof iemand de auto probeert te laten schudden tot hij uit elkaar valt.

Dit is precies het probleem dat deze wetenschappers oplossen. Hier is hun oplossing, vertaald naar begrijpelijke taal:

1. Het Probleem: De Hacker en de Onvoorspelbare Mens

In de huidige wereld van zelfrijdende auto's zijn er twee grote problemen:

• De Hacker (EU-FDI-aanval): Stel je voor dat een hacker een valse snelheidssensor in je auto hackt. Hij zegt: "Je rijdt 100 km/u, terwijl je stilstaat!" of "Je moet nu hard remmen!" De slimme auto's zijn hier erg kwetsbaar voor. Als de hacker de signalen laat groeien (exponentieel), raken de bestaande veiligheidsystemen in de war en kunnen ze niet meer berekenen of ze veilig zijn.
• De Menselijke Chauffeur: Mensen doen soms rare dingen. Ze remmen plotseling, veranderen van rijbaan zonder te knipperen of rijden te langzaam. Slimme auto's weten vaak niet hoe een mens gaat reageren, wat gevaarlijk maakt.

De meeste bestaande systemen doen één van twee dingen: of ze zijn superveilig maar gaan kapot als er gehackt wordt, of ze zijn bestand tegen hackers maar vergeten om een botsing te voorkomen als de situatie chaotisch wordt.

2. De Oplossing: Een Slimme "Event-Driven" Veiligheidscoördinator

De auteurs van dit paper hebben een nieuw systeem bedacht, genaamd EDSR. Je kunt dit zien als een super-slimme verkeersregelaar die twee dingen tegelijk doet:

• De "Onzichtbare Schild" (CBF): Dit is een wiskundige veiligheidsmuur. Zolang de auto binnen deze muur blijft, is er geen botsing. Maar als een hacker de muur probeert te slopen, breekt deze muur normaal gesproken.
• De "Hacker-Rem" (Resilient Control): Dit is het nieuwe, slimme deel. Het systeem heeft een speciaal mechanisme dat de aanval van de hacker "opvangt". Het is alsof je een auto hebt die niet alleen een rem heeft, maar ook een systeem dat de hacker zelf tegengas geeft. Als de hacker zegt "Rem!", zegt dit systeem: "Nee, ik zie dat je liegt, ik ga juist gas geven om dat tegen te werken."

3. De Creatieve Analogie: De Dansende Danser

Laten we het vergelijken met een danswedstrijd in een drukke zaal:

• De Zelfrijdende Auto (CAV) is een professionele danser die een perfecte route wil volgen.
• De Menselijke Auto (HDV) is een amateur-danser die willekeurig beweegt.
• De Hacker is een jaloerse danser die de muziek verstoort en de professionele danser probeert te struikelen door hem te duwen.

Hoe werkt het oude systeem?
Het oude systeem probeerde de danser te beschermen door een onbeweeglijke muur om hem heen te bouwen. Maar toen de hacker begon te duwen, werd de muur te zwaar en viel de danser om. Of, als de hacker de muziek verstoorde, raakte de danser de maat kwijt en botste hij tegen de amateur-danser.

Hoe werkt het nieuwe EDSR-systeem?
Het nieuwe systeem heeft twee trucs:

1. Het "Event-Driven" principe: In plaats van de danser elke seconde te controleren (wat veel energie kost), kijkt het systeem alleen als er iets echt verandert. Als de amateur-danser stilstaat, hoeft de professionele danser niet constant te corrigeren. Dit bespaart energie en maakt het systeem sneller.
2. De "Adaptieve Rem": Als de hacker de danser duwt, leert het systeem direct: "Oh, iemand duwt me!" Het past zijn eigen beweging direct aan om die duw te compenseren, zonder te panikeren. Het blijft rustig dansen, zelfs als de muziek (de hackersignalen) gekker wordt.

4. Wat hebben ze bewezen?

In hun simulaties (een virtuele testbaan) zagen ze het volgende:

• Met hun nieuwe systeem: De zelfrijdende auto wisselde veilig van rijbaan, zelfs terwijl de hacker probeerde de auto te laten crashen. De auto bleef stabiel, remde niet onnodig en botste niet met de menselijke auto.
• Met oude systemen: De auto raakte in paniek. Hij remde te hard, versnelde te veel en botste uiteindelijk met de menselijke auto omdat het systeem niet wist hoe het met de hack om moest gaan.

Conclusie

Kortom, deze paper introduceert een manier om zelfrijdende auto's slimmer en veerkrachtiger te maken. Ze zijn niet alleen voorzichtig (veilig), maar ze zijn ook tough (bestand tegen aanvallen). Het is alsof je een auto bouwt die niet alleen een airbag heeft, maar ook een onzichtbaar schild dat elke klap van een hacker direct neutraliseert, zodat je veilig door het verkeer kunt blijven rijden.

Technische samenvatting

Titel: Gebeurtenisgestuurde Veilige en Weerbestendige Regeling van Geautomatiseerde en Menselijk Bestuurde Voertuigen onder EU-FDI-aanvallen

1. Probleemstelling

Het artikel adresseert de kritieke uitdaging van het veilig en weerbestendig besturen van Connected and Automated Vehicles (CAV's) in gemengd verkeer (waarbij CAV's samenwerken met Menselijk Bestuurde Voertuigen of HDV's). De specifieke context omvat twee grote onzekerheden:

• Onbekende HDV-dynamiek: Het gedrag van menselijke bestuurders is niet-lineair, onvoorspelbaar en vaak onbekend voor de CAV's.
• EU-FDI-aanvallen: Het systeem is blootgesteld aan Exponentially Unbounded False Data Injection (EU-FDI) aanvallen op de versnellingsinput. In tegenstelling tot traditionele aanvallen met een bekende bovengrens, groeien deze signalen exponentiële snelheid (bijv. $\eta e^{\kappa t}$).

De kernproblemen zijn:

1. Veiligheid vs. Weerbestendigheid: Bestaande veilige controlemethodes (zoals Control Barrier Functions - CBF's) gaan vaak uit van normale omstandigheden en falen wanneer de dynamische modellen door EU-FDI-aanvallen worden verstoord. Dit leidt tot het verlies van de "forward invariance" van de veilige set (d.w.z. botsingen worden niet langer gegarandeerd vermeden).
2. Berekeningslast: Continue controleupdates zijn computatie-intensief.
3. Feasibility-verlies: Onder EU-FDI-aanvallen worden de kwadratische programmeringsproblemen (QP's) die nodig zijn voor veilige controle vaak onoplosbaar (infeasible) omdat de aannames over de systeemfouten niet meer gelden.

2. Methodologie

De auteurs stellen een nieuw Event-Driven Safe and Resilient (EDSR) controlekader voor. Dit kader combineert drie pijlers:

• Aangepaste Event-Driven CBF's en CLF's:

  • CBF (Control Barrier Functions): Zorgen voor harde veiligheidsbeperkingen (botsingsvermijding). Het artikel redeneert dat standaard event-driven CBF's falen onder EU-FDI-aanvallen omdat de mismatch tussen het gemodelleerde en werkelijke systeem te groot wordt. Het kader wordt herontworpen om deze mismatch te compenseren.
  • CLF (Control Lyapunov Functions): Zorgen voor zachte prestatiedoelen, zoals het behalen van de gewenste snelheid en het voltooien van de rijstrookwissel.
  • Event-Driven Mechanisme: In plaats van continue updates, worden de QP's alleen opgelost wanneer specifieke triggercondities worden overschreden (bijv. wanneer de schattingsfout van de HDV of de afwijking van de staat een bepaalde drempel overschrijdt). Dit verlaagt de rekenlast aanzienlijk.

• Data-gedreven Schatting van HDV-gedrag:

  • Omdat het gedrag van HDV's onbekend is, wordt een adaptief niet-lineair systeem gebruikt om de dynamiek van de HDV in real-time te schatten.
  • De schattingsfout wordt continu gemonitord en gebruikt om de veiligheidsbeperkingen (CBF) aan te passen, zodat de CAV's veilig blijven ondanks de onzekerheid van de menselijke bestuurder.

• Adaptieve Aanval-Compensatie (Resilient Control):

  • Om de EU-FDI-aanval ($\gamma_i(t)$) te neutraliseren, wordt een compensatiesignaal ($\hat{\gamma}_i(t)$) ontworpen dat de versnellingsinput corrigeert.
  • Dit signaal wordt adaptief aangepast op basis van de snelheidsregelfout ($\varepsilon_i(t)$) en een parameter $\hat{\rho}_i(t)$ die de historische cumulatieve fout weerspiegelt.
  • De controlewet is: $u_i(t) = u^s_i(t) - \hat{\gamma}_i(t)$, waarbij $u^s_i$ de veilige input is en $\hat{\gamma}_i$ de aanval compenseert. Dit zorgt ervoor dat de snelheidsregelfout Uniforme Uiteindelijke Gebondenheid (UUB) behoudt, zelfs onder exponentieel groeiende aanvallen.

3. Belangrijkste Bijdragen

1. Eerste Oplossing voor EU-FDI in Event-Driven CBF: Het is de eerste studie die het specifieke probleem van het verlies van geldigheid (validity loss) van event-driven CBF's onder EU-FDI-aanvallen identificeert en oplost. Bestaande methoden focussen vaak op stabiliteit, maar dit werk focust op het behoud van de veiligheidsfeasibility zelf.
2. Geïntegreerd Kader: Het combineert voor het eerst event-driven CBF's, CLF's en adaptieve aanval-compensatie in één kader voor gemengd verkeer.
3. Wiskundige Garantie: Het bewijst dat het systeem botsingsvrij blijft (forward invariance van de veilige set) en dat de snelheidsregelfout UUB is, ondanks onbekende HDV-dynamiek en exponentieel onbegrensde aanvallen.
4. Efficiëntie: Door het gebruik van een event-driven aanpak wordt de rekenlast verminderd zonder in te leveren op de veiligheidsgaranties.

4. Resultaten (Simulatie)

De auteurs hebben hun methode getest in een worst-case scenario: een rijstrookwissel van CAV B om een langzaam voertuig (U) te passeren, terwijl een onvoorspelbare HDV (H) in de buurt rijdt en EU-FDI-aanvallen op de versnelling van de CAV's worden toegepast.

• Vergelijking met Bestaande Methoden:
  • Zonder weerbestendigheid (Conventionele Event-Driven CBF uit [20]): De methode faalde volledig. De HDV drong de veilige zone binnen, de CAV's vertoonden extreme versnelling of remming, en de veiligheidsbeperking ($b_{B,H}$) daalde onder nul (botsing), wat leidde tot het mislukken van de manoeuvre.
  • Met EDSR (Voorgestelde Methode): De CAV's slaagden erin de rijstrookwissel veilig en soepel uit te voeren binnen ongeveer 6,5 seconden.
• Kernresultaten:
  • Veiligheid: Alle veiligheidsbeperkingen ($b_{i,j} \geq 0$) bleven tijdens de hele manoeuvre positief, wat aantoont dat er geen botsing plaatsvond.
  • Stabiliteit: De snelheidsregelfouten bleven gebonden en stabiel, ondanks de exponentieel groeiende aanvalssignalen.
  • Robuustheid: Het systeem compenseerde effectief voor de aanval en de onzekerheid van de menselijke bestuurder.

5. Betekenis en Conclusie

Dit onderzoek is van groot belang voor de toekomst van autonoom rijden in realistische, onveilige omgevingen. Het toont aan dat traditionele veiligheidsalgoritmen kwetsbaar zijn voor geavanceerde cyberaanvallen en dat een nieuwe, geïntegreerde aanpak noodzakelijk is.

De EDSR-framework biedt een praktische oplossing die:

• Veiligheid garandeert zelfs als de aanvalssignalen onbegrensd groeien.
• Rekenkracht bespaart door alleen te reageren wanneer nodig (event-driven).
• Omgaat met onzekerheid door menselijk gedrag in real-time te leren en te schatten.

De studie concludeert dat voor de implementatie van CAV's in gemengd verkeer, weerbestendigheid tegen EU-FDI-aanvallen geen optionele toevoeging is, maar een fundamenteel vereiste voor het behoud van levensreddende veiligheidsfuncties.