Ing. Václav Jirovský, Ph.D. – Prague Advanced Technology and Research Innovation Center, a.s.

Odolnost (angl. resilience) je dnes poměrně moderní termín. V Evropských strategických dokumentech v tichosti nahradil známé „smart city“ a dříve také udržitelnost (angl. sustainability), i když ta opět po mnoha letech dostává své místo „v tisku i tlači“. Fakticky spolu udržitelnost a odolnost souvisejí a netýkají se pouze ekologických aspektů společnosti, nebo bezpečnosti – ta ostatně patří také k okřídleným termínům s trvalým místem snad ve všech oborech, ač pro většinu i odborné populace představuje pokaždé něco jiného. Pojďme se tedy podívat, jak lze se skutečným významem těchto termínů naložit v kontextu autonomní dopravy.

Nejprve ale k termínům samotným a začněme s udržitelností. Termín nachhaltigkeit poprvé použil už v roce 1713 Hans Carl von Carlowitz, úředník saské důlní společnosti, v souvislosti s nutností zajištění dostupnosti dřeva pro realizaci výdřev při důlní činnosti, a tedy i práce v době krize. Specifická potřeba udržitelnosti lesních porostů, resp. jejich využití pro důlní činnost, pak měla vliv na vysazování monokulturních rychle rostoucích smrkových lesů. To v důsledku vedlo k v současnosti nižší odolnosti krajiny a prostředí i třeba vůči klimatickým změnám. Tento příklad nám názorně ukazuje dlouhodobou souvislost udržitelnosti a odolnosti především v kontextu dlouhodobého vývoje společnosti i na relativně malém území – negativní projevy správného uvažování v kontextu doby se projevily až téměř po 300 letech. Současné znalosti by měly umožnit snížit podobné dopady lidského konání pomocí dlouhodobého strategického plánování, nicméně je otázkou, zda někdy podobně, jako na počátku 18. století, nepřeváží obchodní zájmy nad představou života budoucích generací. K paralele s autonomní dopravou, jejíž zavádění a zavedení nebude mít jen krátkodobý a lokální dopad, se dostaneme za chvíli.

Nyní je však třeba se podívat ještě na pojem bezpečnosti. V češtině narážíme na problém její nejednoznačnosti, kterým třeba angličtina úplně netrpí. Angličtina disponuje dvěma výrazy – security a safety. Oba se do češtiny často překládají jako bezpečnost, někdy i jako zabezpečení, safety spíše ve smyslu bezpečí, security pak poskytuje význam ochrany, či ostrahy. Technický význam však lze dobře generalizovat s využitím systémového inženýrství:

• safety popisuje schopnost systému zachovat své základní funkce i v případě poruchy nebo selhání některých jeho částí;
• security se týká souboru metrik, metod nebo funkcí chránících systém před vnějším napadením.

Oba termíny se tedy týkají okamžiků, kdy nastává nějaký problém nezávisle na tom, zda vznikl vnějším zásahem, nebo vnitřní poruchou. Představíme-li si tak existenci systému, výrobku, organizace, v čase, je nám zřejmé, že tyto stavy jsou něco, s čím se při běžném provozu systému nesetkáme. A do času běžného provozu spadá pojem spolehlivost. Spolehlivost tak lze definovat jako schopnost systému trvale plnit svou zamýšlenou nebo požadovanou funkci nebo úkol bez snížení kvality výstupu nebo selhání po stanovenou dobu, tedy např. u výrobků by to měla být záruční doba.

Zastřešíme-li uvedenou terminologii návrhem a provozem systému, pak zatímco návrh, resp. návrhové stavy musí pokrývat nejen fázi spolehlivosti, ale i fáze zabezpečení (security) a bezpečí (safety), provozní stav je spjatý pouze s obdobím spolehlivosti a v případě nějakého dílčího selhání mi návrh systému umožňuje dostat systém zpět do stavu provozního. Pokud v návrhových parametrech není uvažováno s nějakým typem poruchy, nebo napadení, či s typickým kaskádovým efektem, pak systém přestává být schopen plnit i svou základní funkci a přestává existovat, resp. se transformuje v nový systém a v praxi se mohou nejprve uplatnit metody krizového řízení, nebo systém zaniká rovnou.

Tímto jsme popsali všechny fáze existence systému. Kde je však místo pro odolnost a udržitelnost? Odolnost poprvé v systémovém pohledu popisuje ekolog Crawford Stanley Holling v článku z roku 1973 jako „schopnost systému udržet nebo obnovit funkčnost v případě narušení nebo poruchy“^[1]. V rámci svého textu hledá vhodný popis chování velkých ekosystémů, které nejsou přirozeně staticky stabilní. Jeho popis odolnosti tak více odpovídá dynamické stabilitě, nicméně tu nezmiňuje. Řada jeho nástupců se pak zabývá paralelami mezi odolností a udržitelností a mnozí je i zaměňují^[2]. Nicméně jeho definice uvedená výše nám dobře popisuje v první její části téma security a v druhé safety. Prokazuje to tedy, že odolnost systémů právě tyto dvě zastřešuje.

Obr. 1 Životní cyklus systému

Pojďme se nyní podívat na kontext, ve kterém funguje dopravní systém, jímž se v tomto článku chceme zabývat. Tento kontext definuje lidská společnost a technické a organizační systémy v ní se vyskytující a zprostředkovávající zajištění všech potřeb této společnosti. Potřeby člověka, které lze vztáhnout právě i na potřeby celé společnosti, definoval již v roce 1943 Abraham Maslow^[3]. Tyto potřeby uspořádává hierarchicky počínaje fyziologickými potřebami a konče potřebou seberealizace. Mezi nimi se pak nachází potřeby bezpečí^[4], sounáležitosti, nebo uznání. Hierarchické uspořádání, často zobrazované v pyramidě, předpokládá, že před naplněním vyšší potřeby musí být alespoň částečně uspokojena potřeba předcházející, a to alespoň z části. Tak tomu je až na výjimky u každého lidského jedince s tím, že nemožnost alespoň částečného uspokojení všech potřeb běžně vede k psychopatologickým jevům. Všechny tyto potřeby lze pak logicky vztáhnout i na potřeby společnosti a jejích dílčích skupin, a tudíž znemožnění jejich dosažení vede k patologickým jevům na úrovni společnosti.

Pro zajištění prakticky všech potřeb je nutná možnost přesunu člověka k požadovanému cíli, nebo naopak. Například pro zajištění základní fyziologické potřeby, jídla, můžeme buď přepravit člověka do obchodu pro jídlo, nebo naopak doručit mu jídlo domů. Z pohledu společnosti je ale stejná potřeba zajištěna třeba tím, že se dostane kombajn na pole, nebo se potraviny dovezou ze vzdálenějších oblastí. Stejně tak ale k těmto potřebám patří třeba zdraví – buď se může člověk k lékaři dopravit sám, nebo musí dopravní systém umožnit provoz rychlé záchranné služby a pak je mnohdy stejně potřeba člověka přepravit do zdravotnického zařízení.

Obr. 2 Hierarchie lidských potřeb dle A. Maslowa (1943)

Dopravní systém obecně umožňuje každou potřebu realizovat různými způsoby – prakticky lze vybírat ze služeb Mobility-as-a-Service a Transport-as-a-Service, případně jejich variant v oblasti logistiky. Neopomenutelnou je možnost individuálního pohybu. Nejde však jen o způsob jeho provedení, ale o možnost rozhodování, tj. kdy, kudy a jak se bude dotyčný jedinec nebo skupina přepravovat. Potřeba člověka tak přímo ovlivňuje, jakým způsobem má vypadat dopravní systém a jaké služby musí poskytovat. Ačkoliv pyramida potřeb nemusí být nutně plně hierarchická, jak ostatně zmínil i sám Maslow, a současně ne každý člověk má potřebu seberealizace vyžadující přepravu, je evidentní, že nelze dopravní systém omezit pouze na určité typy poskytovaných služeb. Zásadní potřebou definující technicko-organizační řešení dopravního systému je potřeba bezpečí^[5]. Tu lze realizovat primárně individuálním pohybem, ale do určité míry také systémy MaaS. Nicméně jak bylo řečeno výše, společnost musí mít každou z potřeb realizovanou alespoň částečně a pokud zcela abstrahujeme od konkrétní představy dopravního systému, lze říci, že každá potřeba vyžaduje buď přesun hmoty, nebo informace, případně obojího buď v jednom čase, nebo asynchronně.

Zaměřme se nyní na pozemní dopravní systém. Člověk se vždy pohyboval po zemi a schopnosti jeho těla mu umožňují zdolávat mnohé překážky, a tedy se dostávat prakticky kamkoliv. Protože přemísťováním se mezi různými místy člověk plní a plnil své potřeby, znamenalo to pro společnost nutnost vytvořit prostředky, které efektivněji zajistí dostupnost těch základních. Proto byly vytvořeny cesty i kolo. V současné době je tak pozemní dopravní systém omezen silnicemi (nebo kolejemi) a vozidly, která se po nich dokážou pohybovat. Všechny potřeby člověka je tak schopen zajistit pouze ve fázi spolehlivosti. Nicméně návrhové parametry vozovek i vozidel dokáží do jisté míry zajistit provoz i v případě určitého poškození vozovek, stejně jako některé typy vozidel jsou schopny provozu i mimo vozovky. Většinová populace však musí spoléhat na kvalitu silniční sítě. Síťové uspořádání silnic také reflektuje síťové uspořádání lidské společnosti. Kromě konstrukčního řešení silnic a vozidel také právě síťové uspořádání zajišťuje efektivnější dostupnost potřeb, resp. cílů. Současně umožňuje distribuci prvků, vozidel, a tudíž i nižší opotřebení a prodloužení období spolehlivosti.

Jedním ze zásadních zdrojů zachovávajících a rozvíjejících lidskou společnost jsou znalosti. Jsou potřeba pro zajištění prvních dvou potřeb a převážně s posledníma dvěma se utvářejí. Podobně jako lidské společenství nabývá a ztrácí znalost s počtem lidí (prvků) tuto znalost sdílících, tak i počet zdrojů pro zajištění základních potřeb zefektivňuje jejich dostupnost pro každého. Nicméně stejně jako znalosti i zdroje musí být dostupné – máme-li pole za řekou a nemáme most, či loď, nelze získat sklizeň, a nebo jen velmi neúčinně.

Tímto se vracíme k počátečnímu vzniku definice udržitelnosti – jednalo se o udržitelnost zdrojů potřebných pro důlní činnost. Zdroje, dřevo, musely být dostupné v místě a potřebném čase. Zjednodušíme-li si příklad tak, že zdroj budeme považovat za trvale dostupný, pak z dopravního hlediska jde o existenci cesty do místa zdroje a prostředku pro jeho přepravu v požadovaném čase pro využití zdroje. Pokud není oboje dostupné, není možné dosáhnout zdroje. Znamená to, že dopravní systém se dostal za hranici spolehlivosti a je buď ve fázi safety, nebo se hroutí. Fáze safety pro systém s jednou cestou a jedním dopravním prostředkem neexistuje, jelikož porucha jednoho znamená nemožnost zajištění přepravy. Takový systém lze chránit pouze proti vnějším rizikům a tedy v něm existuje jen fáze security. Je tedy zřejmé, že počet cest a prostředků k dosažení zdroje musí být úměrný spolehlivosti jednotlivých cest a prostředků. Množení jejich počtu, větvení systému, vytvoří i fázi safety, která dohromady s fází security tvoří odolnost systému.

A jak je to tedy s autonomní dopravou? Na realizaci vize praktického zavedení automatizace silničních dopravních prostředků se v Evropě začalo pracovat na konci 80. a počátku 90. let minulého století velkým projektem EUREKA-ProMETHEUS (1987 – 1994), který byl zaměřen na koncepty a technologie autonomních systémů vozidel. Již tenkrát vozidla postavená Ernstem Dickmannsem na bázi automobilů Mercedes-Benz třídy S a využívající technologie zpracování obrazu jen ze dvou kamer ujela samostatně téměř 1600 kilometrů z Mnichova do Odense rychlostí až 180 km/h v běžném provozu. Celý projekt stál 749mil. € a určil především řadu technických a technologických překážek, které je třeba na cestě k plně automatizovaným vozidlům vyřešit. Strategický koncept faktického využití však vlastně nikdy stanoven nebyl – ten je bohužel řešen na úrovni obchodních aktivit a dostupnosti dotačních pobídek. Nejen v médiích pak již léta slýcháme zprávy o zářivé budoucnosti plně autonomní dopravy. Nicméně už i v rámci evropského CCAM Partnership^[6] jsou výrazněji slyšet hlasy volající po revizi potřeb automatizace v dopravě a smysluplném nasazení technologie tam, kde to má opravdu přínos.

Podívejme se tedy konkrétně na téma odolnosti v idealizovaném světě, kde jsou všechny dopravní prostředky plně automatizované. Je třeba si uvědomit, že na rozdíl od autonomně zasahujících bezpečnostních systémů není plně automatizované vozidlo jen vylepšením stávajících systémů – bezpečnostní systémy, jako například AEBS, mají zasáhnout jen tehdy, kdy řidič udělá chybu. Stačí tedy vytvořit systém rozpoznávající relativně malé množství specifických situací. I tak je takový systém velmi složitý nejen tím, že se skládá z mnoha komponent. Plně automatizované vozidlo však musí být schopné řídit i jindy, než v krizi a do krizové situace se ideálně nedostat. Jak ukazuje Obr. 3, kritické situace a nehody vůbec jsou v počtu celkem ujetých kilometrů ojedinělé a naprostou většinu ujeté dráhy tvoří běžný provoz bez jakýchkoliv excesů. U plně autonomní dopravy bude rozdělení velmi pravděpodobně jiné – silniční doprava je nedeterministický systém. Objevuje se v ní tedy mnoho situací, které nelze předvídat, a jejichž řešení strojem může být velmi náročné, zatímco pro člověka jednoduché. Na druhou stranu například monotónní jízda po dálnici je typickým případem vhodným pro automatizované řízení. Zatímco tedy jízda po dálnici je ze systémového hlediska dobře zařaditelná do oblasti spolehlivosti, jízda v hustém městském provozu s množstvím interakcí s chodci, cyklisty a dalšími prvky v dopravním systému je spíše na pomezí odolnosti.

Obr. 3 Rozdělení situací při jízdě na počet celkově ujetých kilometrů v ČR

Ze systémového pohledu je autonomní doprava stejně jako doprava současná systémem, do kterého vstupují lidé, zboží, a další připravované subjekty, které očekávají spolehlivé dosažení cíle–uspokojení svých potřeb. V budoucnu pravděpodobně můžeme očekávat, že budeme schopni vytvořit robotického řidiče fungujícího na úrovni průměrného lidského řidiče. Tato technologie bude muset být velmi robustní tak, aby pokrývala 100% situací, ke kterým v silniční dopravě může dojít, protože i průměrný řidič chybuje na pouhých 0,00004% ujeté dráhy (viz Obr. 3). Avšak člověku se doposud nepodařilo vyvinout systém nebo výrobek, který by takové spolehlivosti v dlouhodobém výhledu dosahoval. Očekávaný systém automatizovaného řízení však bude muset zajistit jak spolehlivost svého chodu v běžném provozu, tak zabezpečení proti vnějším napadením, i bezpečí v případě, kdy dojde k selhání některého subsystému. Je vhodné podotknout, že čím je systém komplexnější, tím je větší pravděpodobnost selhání některé jeho části. Lze tedy předpokládat několik variant, jak může budoucí systém automatizovaného řízení vozidla vypadat:

1. systém s ohromným výpočetním výkonem ve vozidle a se senzory umístěné jak na vozidle, tak v infrastruktuře;
2. systém s distribuovaným výpočetním výkonem mezi vozidlem a infrastrukturou a se senzory umístěné jak na vozidle, tak v infrastruktuře;
3. systém s nižší robustností akceptující definovanou míru rizika.

První dva uvedené se prakticky liší jen dosažitelností potřebného výkonu ve vozidle nebo v infrastruktuře, a požadavky na kapacitu komunikačních technologií. Představíme-li si, že současné prototypy automatizovaných vozidel, které zdaleka nedosahují potřebné spolehlivosti a robustnosti, vygenerují třeba 4 TB dat z půlhodinové jízdy, je zřejmé, že výpočetní výkon i kapacita přenosové sítě by v případě plně autonomní dopravy byly enormní^[7]. Takové systémy by byly velmi pravděpodobně z dlouhodobého hlediska neudržitelné.

Poslední systém lze dále dělit na systém, kdy je spolehlivosti dosahováno samotným automatizovaným vozidlem, a na systém, kdy je spolehlivost provozu zajišťována celým systémem. V prvním případě bychom museli akceptovat, že takové vozidlo bude pravděpodobně méně spolehlivé, než současný průměrný řidič, což by zcela logicky nesnížilo současný počet dopravních nehod a ztráty v dopravě. Ve druhém případě je vozidlo navrženo tak, že velmi dobře zajišťuje provoz za určitých podmínek na určitých typech silniční komunikace. Tímto způsobem lze i přes využití jednodušší, levnější a obecně méně náročné technologie dosáhnout velmi vysoké spolehlivosti provozu takových vozidel. Je však zřejmé, že těchto vozidel bude v konečném důsledku méně než vozidel řízených manuálně. Přesto bude vedlejším efektem zvýšení spolehlivosti i celého dopravního systému, a to nejen proto, že taková vozidla by byla provozována v místech velmi připomínajícím deterministické, a tedy předvídatelné chování, a tudíž v místech, kde je vyšší pravděpodobnost chybování lidského řidiče. Důvodů je celá řada a vydaly by na samostatný článek. Zdá se však, že jsme se vzdálili tématu odolnosti takové autonomní dopravy.

Odolná autonomní doprava je taková, která poskytuje uspokojení všech potřeb společnosti i v případě, kdy není plně spolehlivá. Řekli jsme si, že aby byl systém odolný, musí být počet cest a prostředků k dosažení zdroje úměrný spolehlivosti jednotlivých cest a prostředků. V zobecnění je tedy odolnost systému úměrná počtu alternativ, kterými lze zajistit jeho funkce. Jaké alternativy nám tedy zajišťují výše uvedená možná řešení autonomní dopravy? První dvě jsou adekvátně schopna reagovat na rizika, která byla očekávána při návrhu dopravních prostředků, komunikační a energetické sítě apod. Člověk je ochoten u jednotlivého technického systému schopen přijmout riziko, které je minimálně 1000x nižší, než jaké míry rizika by dosáhl sám^[8]. V kontextu Obr. 3 je zřejmá potřeba dlouhodobého dosažení až absurdních hodnot v nedeterministickém systému, tedy v systému, který není možné plně popsat, a tudíž ani předem odhadnout spolehlivost technického systému v něm provozovaného.

Poslední řešení provedené na úrovni vozidla poskytuje a priori neakceptovatelné riziko. Varianta na systémové úrovni je v důsledku doplňkem současné dopravy. Její začlenění může mít značný vliv na změny v dopravním systému, podobně, jako může mít i správně implementovaný systém carsharingu, nebo tzv. physical internet v logistice. Pokud by takový systém pouze doplnil dopravu, pak přidá další alternativu k dosažení potřeb člověka, a tedy zvýší odolnost dopravního systému. V případě, kdy by plně nahradil variabilnější mód, jakým je individuální přeprava, pak by naopak počet alternativ snížil, i když by tomu nemuselo být v prostoru, ale jen v čase – takovým příkladem by bylo třeba robotaxi v určité omezené oblasti, které by nahradilo běžné osobní automobily.

Otázka odolnosti nejen autonomní dopravy je velmi komplexní a zasahuje do řadu témat i mimo dopravu. V článku jsme se tak tohoto tématu jen lehce dotkli. Nicméně z nastíněných témat vyplývá, že systémové strategické zavádění autonomní dopravy je jednoznačně potřebné – pokud bychom dnes rozhodli dobře jen z krátkodobého hlediska, může to znamenat velké problémy v budoucnosti třeba i v jiné oblasti, než je doprava. Lze proto jen doporučit revizi vize autonomní dopravy v Evropě, která má odlišné potřeby ve srovnání s USA nebo Čínou. Přeci jen od konce osmdesátých let minulého století se doprava velmi změnila, a tak nelze čekat, že výsledky třicet let starého projektu, z jehož závěrů stále řada současných výzkumných činností vyplývá, mohou poskytovat všechny odpovědi na zcela aktuální otázku, jak máme naložit s automatizací v dopravě.

1. Holling, Crawford S. Resilience and stability of ecological systems. Annual Review of Ecology and Systematics (1973)

2. Marchese, D. et al.: Resilience and sustainability: Similarities and differences in environmental management applications. Science of the total environment 613 (2018).

3. Maslow, A. H.: A theory of human motivation. Psychological Review (1943)

4. V originále uvedeno jako safety, ale z kontextu je zřejmé, že se jedná i o security.

5. Je vhodné poznamenat, že většina fyziologických potřeb zase definuje koncept města krátkých vzdáleností.

6. www.ccam.eu

7. Objem surových dat se vzhledem k fyzikálním možnostem a vlastnostem senzorů zmenšit nedá.

8. Takové požadavky kladou např. letecké předpisy RTCA DO-254 na hardware systému autopilota.