STADA: Specification-based Testing for Autonomous Driving Agents

Dit paper introduceert STADA, een framework voor specificatiegebaseerde testgeneratie dat systematisch diverse verkeersscenario's op basis van formele LTLf-specificaties genereert om autonome rijagenten efficiënter en grondiger te valideren dan bestaande methoden.

De kern

Stel je voor dat je een nieuwe, zelfrijdende auto wilt testen voordat je hem op de openbare weg zet. Je wilt er zeker van zijn dat hij zich aan alle verkeersregels houdt, zoals stoppen bij een stopbord of veilig inhalen.

Het probleem is: je kunt niet simpelweg wachten tot er een ongeluk gebeurt om te zien of de auto het goed doet. Je moet het voorspellen in een virtuele wereld (een simulator). Maar hoe creëer je precies de juiste situaties om te testen?

Dit is waar het onderzoek STADA om de hoek komt kijken. Hier is een uitleg in simpele taal, met een paar creatieve vergelijkingen.

Het Probleem: Het "Zoek-toch-maar" Dilemma

Stel je voor dat je een detective bent die een verdachte (de zelfrijdende auto) wil testen. Je hebt een specifieke regel: "De verdachte moet stoppen als er een fiets voor hem komt."

Hoe test je dit?

1. De oude manier (Willekeurig): Je gooit duizenden fietsen en auto's willekeurig de weg op. Misschien komt er wel eens een fiets voorbij, maar waarschijnlijk niet op het juiste moment of op de juiste plek. Het is alsof je duizenden keren een dobbelsteen gooit in de hoop dat je precies de juiste reeks cijfers krijgt. Het kost enorm veel tijd en geld, en je mist misschien de belangrijkste situaties.
2. De menselijke manier (Handmatig): Een mens schrijft elke testscenario op. "Fiets komt van links, auto rijdt 50 km/u..." Dit is nauwkeurig, maar het kost jaren om alle mogelijke situaties te bedenken. Mensen vergeten vaak de rare, maar gevaarlijke situaties.

De Oplossing: STADA (De Slimme Architect)

STADA is een slimme computerprogramma dat werkt als een architect die bouwtekeningen maakt op basis van een specifieke opdracht.

In plaats van te gokken, kijkt STADA naar de wiskundige regels (de "specificaties") van wat de auto moet doen. Het vertaalt deze regels naar een soort bouwplan (in de paper een "Relationeel Grafiek" genoemd).

Hier is hoe het werkt, stap voor stap:

1. Het Bouwplan maken (De Relatie-Grafiek)

Stel je voor dat je een recept hebt voor een taart: "Er moet een laag aardbeien onder de slagroom zitten."
STADA kijkt naar dit recept en zegt: "Oké, om dit te testen, moet ik eerst zorgen dat er aardbeien zijn, en dan slagroom."
Het maakt een lijstje met alle mogelijke manieren waarop dit kan gebeuren:

• Aardbeien links, slagroom rechts.
• Aardbeien recht voor de auto, slagroom erachter.
• Aardbeien ver weg, slagroom dichtbij.

In plaats van willekeurig te gooien, bouwt STADA precies die situaties op die nodig zijn om de regel te testen. Het zorgt ervoor dat de "aardbeien" (de fiets) er precies zijn op het moment dat de "slagroom" (de auto) ze moet zien.

2. Het Spel spelen (De Simulatie)

Zodra het bouwplan klaar is, laat STADA de simulator de auto precies in die situatie plaatsen.

• De auto start op de juiste plek.
• De fiets (of andere auto) start op de juiste plek.
• Ze bewegen op een manier die logisch is voor de test.

Het is alsof je een toneelstuk opvoert. De regisseur (STADA) zorgt ervoor dat de acteurs (de auto's en fietsen) precies op het juiste moment op het juiste podium staan, zodat de scène (de test) kan plaatsvinden.

3. De Beoordeling (De Jury)

Na de simulatie kijkt STADA: "Heeft de auto zich aan de regel gehouden?"
Als de auto de fiets niet zag of niet stopte, dan is de test geslaagd in het vinden van een fout! Als hij wel stopte, weet je dat hij die specifieke regel kent.

Waarom is dit zo cool?

De onderzoekers hebben STADA getest tegen de beste andere methoden. Het resultaat was verbazingwekkend:

• Efficiëntie: STADA had 6 keer minder simulaties nodig om dezelfde hoeveelheid tests te doen als de beste concurrenten.
  • Vergelijking: Stel je voor dat je een naald in een hooiberg zoekt. De oude methoden gooien het hele hooi op de grond en hopen dat de naald eruit valt. STADA gebruikt een metaaldetector en vindt de naald direct.
• Dekking: STADA vond 2 keer meer verschillende soorten situaties dan de andere methoden.
  • Vergelijking: Als je een nieuwe auto wilt testen op regen, rijden de oude methoden misschien 100 keer in een lichte motregen. STADA zorgt ervoor dat je ook test in een zware storm, op een gladde weg, en met een auto die plotseling remt – allemaal in de juiste volgorde.

Conclusie

Kortom: STADA is een slimme tool die zelfrijdende auto's test door eerst precies te berekenen wat er moet gebeuren, en dan die specifieke situaties te creëren. Het is niet meer "hopelijk vinden we een fout", maar "wij weten precies waar we moeten zoeken en hoe we de fout kunnen provoceren".

Dit betekent dat we in de toekomst veiliger zelfrijdende auto's op de weg kunnen hebben, omdat we ze beter hebben getest op de situaties die echt belangrijk zijn, zonder duizenden jaren aan testtijd te hoeven besteden.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "STADA: Specification-based Testing for Autonomous Driving Agents" in het Nederlands.

Probleemstelling

De validatie van autonome voertuigen (AV's) vereist uitgebreide tests in diverse scenario's voordat ze in de echte wereld worden ingezet. Bestaande methoden voor simulatiegebaseerde testing vertrouwen vaak op:

1. Manueel ontworpen templates: Dit vereist aanzienlijke menselijke inspanning en is niet schaalbaar.
2. Willekeurige generatie (Fuzzing): Hoewel dit veel scenario's genereert, missen deze vaak de specifieke voorwaarden (precondities) die nodig zijn om een formele veiligheidsvereiste te valideren.
3. Crash-data reconstructie: Dit dekt alleen bekende incidenten en niet de volledige ruimte van mogelijke gedragingen.

Het kernprobleem is dat er geen geautomatiseerde methode bestaat om systematisch testscenario's te genereren die specifiek voldoen aan formele specificaties (uitgedrukt in tijdslogica), waardoor belangrijke gedragspatronen die relevant zijn voor veiligheidsvereisten over het hoofd kunnen worden gezien.

Methodologie: STADA

STADA (Specification-based Test generation for Autonomous Driving Agents) is een raamwerk dat automatisch testinput genereert op basis van formele specificaties. Het systeem werkt als volgt:

1. Specificatieformalisatie:

• Veiligheidsvereisten worden geformaliseerd met SCENEFLOW, een taal die LTLf (Linear Temporal Logic over Finite Traces) combineert met RFOL (Relational First-Order Logic) over scenes.
• Een specificatie $\phi$ wordt opgesplitst in een preconditie ($\phi_{pre}$) en een postconditie ($\phi_{post}$). De preconditie definieert de context (bijv. "een ander voertuig is links van de ego-voertuig"), en de postconditie definieert het vereiste gedrag (bijv. "houd een veilige afstand").
• De preconditie is vaak een complexe logische formule die veel mogelijke configuraties toelaat.

2. De drie modules van STADA:

• RG Generatie (Relational Graphs):
  • De LTLf-formule wordt geanalyseerd om alle mogelijke manieren te identificeren waarop de preconditie kan worden vervuld.
  • De formule wordt ontbonden in disjuncties (OR-operatoren) en omgezet naar conjuncties (AND-operatoren).
  • Voor elke unieke combinatie wordt een Relational Graph (RG) gegenereerd. Een RG is een graaf die de entiteiten (knooppunten) en hun ruimtelijke/tijdsgebonden relaties (randen) beschrijft die nodig zijn om de preconditie te voldoen.
• Initial Scene en Path Generatie:
  • Voor elke gegenereerde RG wordt een statische startscene gegenereerd (bijv. met SCENIC) die voldoet aan de ruimtelijke constraints.
  • Vervolgens worden paden gegenereerd voor de ego-voertuigen en NPC's (Non-Player Characters). Het systeem gebruikt een K-kortste pad-algoritme en een greedy selectie om een diverse set van paden te kiezen die de relaties in de RG bevorderen (bijv. zorgen dat voertuigen elkaar inhalen of op de juiste afstand blijven).
  • De snelheid van NPC's wordt dynamisch aangepast om de kans te vergroten dat de preconditie wordt bereikt (bijv. vertragen als ze voor de ego rijden, versnellen als ze erachter zitten).
• Simulatie en Evaluatie:
  • De gegenereerde scenes en paden worden vertaald naar uitvoerbare simulatiescripts in de CARLA-simulator.
  • Een Evaluator controleert de gegenereerde traces tegen de LTLf-specificatie om te bepalen of de preconditie is vervuld en of de postconditie wordt gehaald.

3. Dekkingscriteria:
STADA introduceert drie niveaus van dekking om de effectiviteit te meten:

• cov1: Aantal unieke configuraties (combinaties van disjunctieve keuzes) die zijn gedekt.
• cov2: Aantal "one-flip" configuraties gedekt (waarbij precies één atomische propositie verandert, vergelijkbaar met MC/DC in structurele testing).
• cov3: Binair criterium of ten minste één configuratie is gedekt.

Belangrijkste Bijdragen

1. Geautomatiseerde Specificatie-gebaseerde Generatie: STADA is de eerste methode die systematisch de ruimte van scenario's afdekt die voortvloeien uit formele LTLf-specificaties voor autonoom rijden.
2. Relational Graphs (RGs): Een innovatieve techniek om de enorme ruimte van mogelijke gedragingen in een preconditie te decomponeren in discrete, beheersbare configuraties.
3. Efficiëntie: Het framework genereert niet alleen meer gedekte scenario's, maar doet dit ook met aanzienlijk minder simulaties dan bestaande methoden.

Resultaten

De evaluatie werd uitgevoerd met twee state-of-the-art autonome agents (Interfuser en Transfuser++) in de CARLA-simulator, vergeleken met drie baselines:

• CARLAbase: Willekeurige plaatsing van voertuigen.
• CARLA10×: Willekeurige plaatsing met 10x meer voertuigen (brute-force).
• ScenicNL: Generatie van scenario's via Natural Language prompts (LLM-gebaseerd).

Kernbevindingen:

• Dekking (RQ1): STADA behaalde meer dan 2x hogere dekking (op het fijnste criterium, cov1) dan de beste baseline. In absolute cijfers behaalde STADA 80% dekking, terwijl de beste baseline slechts 33% haalde.
• Efficiëntie (RQ2): STADA bereikte dezelfde dekking als de beste baseline met 6 keer minder simulaties. Het systeem bereikte zijn piekdekking binnen de eerste 10-12 simulaties, terwijl andere methoden trager oplopen en vaak plateau's bereiken.
• Complexiteit: STADA slaagde erin scenario's te genereren voor complexe situaties (zoals het inhalen van een fiets of het benaderen van een stopbord) waar andere methoden faalden door gebrek aan controle over specifieke objectattributen of timing.

Betekenis en Conclusie

STADA bewijst dat specificatiegebaseerde testing een krachtige aanpak is voor de validatie van autonome systemen. Door de logische structuur van veiligheidsvereisten te gebruiken om de testruimte te sturen, kan STADA:

• Zorgen voor een systematische en complete dekking van mogelijke gedragingen.
• Kosten besparen door minder simulaties te vereisen voor dezelfde validatiedoelstelling.
• Edge cases vinden die door willekeurige of menselijke methoden worden gemist.

Hoewel het paper zich richt op autonoom rijden, is de benadering van het decomponeren van formele specificaties in relationele grafieken en het genereren van gedwongen paden ook toepasbaar op andere domeinen met rijke simulatieomgevingen. Dit werk legt een fundament voor robuustere en efficiëntere validatieprocessen in de ontwikkeling van veilige autonome systemen.