DE202017102381U1 - Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples" - Google Patents

Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples" Download PDF

Info

Publication number
DE202017102381U1
DE202017102381U1 DE202017102381.8U DE202017102381U DE202017102381U1 DE 202017102381 U1 DE202017102381 U1 DE 202017102381U1 DE 202017102381 U DE202017102381 U DE 202017102381U DE 202017102381 U1 DE202017102381 U1 DE 202017102381U1
Authority
DE
Germany
Prior art keywords
computer
data signal
semantic segmentation
instructions
manipulated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE202017102381.8U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE202017102381.8U priority Critical patent/DE202017102381U1/de
Publication of DE202017102381U1 publication Critical patent/DE202017102381U1/de
Priority to US15/885,131 priority patent/US10331091B2/en
Priority to KR1020180024180A priority patent/KR102528796B1/ko
Priority to US16/385,478 priority patent/US10824122B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • G05B13/02Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
    • G05B13/0265Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric the criterion being a learning criterion
    • G05B13/027Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric the criterion being a learning criterion using neural networks only
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • G05B13/02Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
    • G05B13/04Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators
    • G05B13/042Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators in which a parameter or coefficient is automatically adjusted to optimise the performance
    • G05B13/044Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators in which a parameter or coefficient is automatically adjusted to optimise the performance not using a perturbation signal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/10Segmentation; Edge detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Medical Informatics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Operations Research (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Image Analysis (AREA)
  • Manipulator (AREA)

Abstract

Vorrichtung zum Generieren eines manipulierten Datensignals (xadv) zum Täuschen eines ersten maschinellen Lernsystems (60), welches eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln, wobei die Vorrichtung ein maschinenlesbares Speichermedium umfasst, auf dem Befehle gespeichert sind, die beim Ausführen durch einen Computer bewirken, dass der Computer ein Verfahren mit den folgenden Schritten ausführt: a) Ermitteln gewünschten semantischen Segmentierung (ytarget) des manipulierten Datensignals (xadv); und b) Generieren des manipulierten Datensignals (xadv), abhängig vom empfangenen Datensignal (x) und der ermittelten gewünschten semantischen Segmentierung (ytarget) sowie einer geschätzten semantischen Segmentierung (fθ) des manipulierten Datensignals (xadv).

Description

  • Die Erfindung betrifft eine Vorrichtung zum Erzeugen eines manipulierten Datensignals, eine Vorrichtung zum Beurteilen einer Robustheit eines Aktorsteuerungssystems, ein Aktorsteuerungssystem, eine Vorrichtung zum Trainieren eines Aktorsteuerungssystems, und ein Aktorsteuerungssystem, das mit diesem Verfahren trainiert wurde.
  • Stand der Technik
  • Aus der DE 10 2005 050 577 A1 ist ein neuronales Netz für eine Steuerungsvorrichtung bekannt. Die Erfindung prüft ein neuronales Netz 1 für eine Steuerungsvorrichtung. Das neuronale Netz weist eine Mehrzahl erster Neuronen N1, N2, ..., Nn in einer ersten Schicht und einem zweiten Neuron M in einer auf die erste Schicht folgenden zweiten Schicht auf. Aus einer vorgegebenen Mehrzahl von Testsignal-Kombinationen wird jede Testsignal-Kombination ausgewählt. Jede Testsignal-Kombination ordnet jedem ersten Neuron N1, N2, ..., Nn einen Test-Eingangssignalvektor ut1, ut2, ..., utk zu, welcher entweder ein Nullsignal ist oder das zugehöri-ge erste Neuron N1, N2, ..., Nn derart sättigt, dass das erste Neuron N1, N2, ..., Nn einen unteren Sättigungswert φmin ausgibt, oder das zugehörige erste Neuron N1, N2, ..., Nn derart sättigt, dass das erste Neuron N1, N2, ..., Nn einen oberen Sättigungswert ausgibt. Die Testsignal-Kombination wird an die ersten Neuronen N1, N2, ..., Nn angelegt und das Ausgangssignal p des zweiten Neurons M wird erfasst. Ein Teil-Prüfungssignal wird gespeichert, wenn das Ausgangs-signal p größer als ein vorgegebener Schwellwert ist. Ein positives Gesamt-Prüfsignal wird ausgegeben, nachdem jede der Testsignal-Kombinationen angelegt wird und wenn kein Teil-Prüfsignal gespeichert ist für die vorgegebene Mehrzahl der Testsignal-Kombinationen gespeichert wird
  • Vorteil der Erfindung
  • Das Verfahren mit den Merkmalen des unabhängigen Anspruch 1 hat demgegenüber dem Vorteil, dass es ermöglicht, semantische Segmentierungen, die mittels maschineller Lernverfahren ermittelt werden, besonders robust gegenüber Irreführungsbeispielen (engl. „Adversarial Examples”) zu machen. Adversarial Examples sind geringfügig manipulierte Eingangsdaten (die bei Bilddaten den unmanipulierten Eingangsdaten so ähnlich sind, dass sie für menschliche Experten praktisch nicht zu unterscheiden sind), die zu einer erheblichen Änderung der ermittelten semantischen Segmentierung führen können. Beispielsweise wäre es denkbar, dass ein bösartiger Angreifer ein solches Irreführungsbeispiel einsetzt, um einen autonomen Roboter in die Irre zu leiten, indem er beispielsweise eine semantische Segmentierung, die einen tatsächlich vorhanden Fluss als „Fluss” markiert, unterdrückt, was zu einer Gefährdung des autonomen Roboters, der seine Routenplanung basierend auf dieser semantischen Segmentierung durchführt, führen könnte. Mit dem erfindungsgemäßen Verfahren kann die Wirksamkeit solcher Angriffe reduziert werden.
  • Vorteilhafte Weiterbildungen sind Gegenstand der unabhängigen Ansprüche.
  • Offenbarung der Erfindung
  • In einem ersten Aspekt betrifft die Erfindung eine Vorrichtung zum Generieren eines manipulierten Datensignals zum Täuschen eines ersten maschinellen Lernsystems, welches eingerichtet ist, eine semantische Segmentierung eines empfangenen ein- oder mehrdimensionalen Datensignals zu ermitteln, wobei die Vorrichtung ein maschinenlesbares Speichermedium umfasst, auf dem Befehle gespeichert sind, die beim Ausführen durch einen Computer bewirken, dass der Computer ein Verfahren mit den folgenden Schritten ausführt:
    • a) Ermitteln gewünschten semantischen Segmentierung des manipulierten Datensignals; und
    • b) Generieren des manipulierten Datensignals, abhängig vom empfangenen Datensignal und der ermittelten gewünschten semantischen Segmentierung sowie einer geschätzten semantischen Segmentierung des manipulierten Datensignals.
  • Eine semantische Segmentierung des Datensignals bedeutet hierbei wie üblich, dass Bereichen des Datensignals ein semantischer Wert aus einer vorgegebenen Auswahl möglicher semantischer Werte zugeordnet wird.
  • Wird die semantische Segmentierung dieser Irreführungsbeispiele mit dem ersten maschinellen Lernsystem ermittelt, so ergibt sich abhängig von der gewünschten semantischen Segmentierung ein deutlicher Unterschied gegenüber der entsprechenden semantischen Segmentierung des jeweiligen entsprechenden unbeaufschlagten Datensignals.
  • Die geschätzte semantische Segmentierung kann hierbei durch das erste maschinelle Lernsystem ermittelt werden, oder durch eine Nachbildung des ersten maschinellen Lernsystems.
  • Die semantische Segmentierung erfolgt hierbei vorzugsweise „pixelweise”, d. h. die semantische Segmentierung hat die gleiche Dimensionalität wie das ein- oder mehrdimensionale Datensignal und weist vorzugsweise jedem Datenpunkt in dem ein- oder mehrdimensionalen Datensignal einen semantischen Wert zu.
  • Durch das Generieren derartig manipulierter Datensignale ist es insbesondere möglich, die Robustheit des ersten maschinellen Lernsystems zum semantischen Segmentieren gegen etwaige Angreifer zu verbessern und zuverlässig zu beurteilen.
  • In einer vorteilhaften Weiterbildung kann vorgesehen sein, dass die gewünschte semantische Segmentierung abhängig von einer geschätzten semantischen Segmentierung des empfangenen Datensignals gewählt werden.
  • Auf diese Weise können die gewünschten semantischen Segmentierungen mit besonders wenig Aufwand generiert werden, da eine tatsächliche „wahre” semantische Segmentierung der Datensignale des Trainings-Datensatzes nicht benötigt wird.
  • Ferner kann vorgesehen sein, dass die gewünschten semantischen Werte der gewünschten semantischen Segmentierung abhängig davon gewählt werden, ob die geschätzten semantischen Werte der geschätzten semantischen Segmentierung einen vorgebbaren Wert annehmen.
  • Auf diese Weise lassen sich besonders gut Angriffe nachbilden, die darauf abzielen, Information von Datenpunkten, deren semantischer Wert einen vorgebbaren Wert hat, zu unterdrücken.
  • Hierbei kann vorgesehen sein, dass die gewünschten semantischen Werte an einer Stelle, an der die geschätzten semantischen Werte den vorgebbaren Wert annehmen, durch einen Ersatzwert ersetzt werden. Der Ersatzwert ist hierbei ein anderer Wert als der geschätzte semantische Wert.
  • Vorteilhafterweise ist der Ersatzwert derjenige geschätzte semantische Wert an einer Ersatzstelle, die in der Nähe der Stelle ist. Die Ersatzstelle kann hierbei beispielsweise die am nächsten liegende Stelle sein, deren geschätzter semantischer Wert sich von dem vorgebbaren Wert unterscheidet.
  • In einem weiteren Aspekt kann vorgesehen sein, dass die gewünschten semantischen Werte gleich den geschätzten semantischen Werten gewählt werden, wenn die geschätzten semantischen Werte den vorgebbaren Wert nicht annehmen. D. h. an den Stellen, insbesondere an genau den Stellen, an denen die geschätzten semantischen Werte den vorgebbaren Wert nicht annehmen, werden die gewünschten semantischen Werte gleich den geschätzten semantischen Werten gewählt.
  • Mit jeder der beiden vorgenannten Maßnahmen ist es möglich, einen Angreifer nachzubilden, der die unterdrückten Datenpunkte besonders harmonisch in die semantische Segmentierung des Hintergrunds übergehen lässt, und damit einen besonders gezielten Angriff durchführt.
  • Dies kann dadurch geschehen, dass das Generieren des manipulierten Datensignals von einem Funktionswert einer Kostenfunktion des ersten maschinellen Lernsystems geschieht, den diese Kostenfunktion unter den so manipulierten Datensignalen und für die gewünschten semantischen Segmentierungen annimmt. D. h. die Kostenfunktion hat in üblicher Weise als Argumente den Ausgangswert (die ermittelte semantische Segmentierung) des ersten maschinellen Lernsystems, den dieses in Abhängigkeit seines Eingangssignals (dem Datensignal) ermittelt hat. Die Kostenfunktion hat ferner wie üblich eine gewünschte semantische Segmentierung (also gewünschte semantische Werte) als weiteres Argument. Es ist hier nun vorgesehen, dass als Eingangssignal das Datensignal durch das manipulierte Datensignal ersetzt wird.
  • Konkret kann das manipulierte Datensignal aus einer Menge erlaubter Datensignale derart ausgewählt wird, dass es die Kostenfunktion unter den so manipulierten Datensignalen für die gewünschten semantischen Werte numerisch minimiert. Eine solche numerische Minimierung kann beispielsweise durch ein iteratives Verfahren erfolgen, wobei das iterative Verfahren beendet wird, wenn eine vorgebbares Abbruchkriterium (beispielsweise nach einer vorgebbaren Anzahl Iterationsschritte) erreicht ist. Es versteht sich für den Fachmann, dass hierbei das theoretisch erreichbare Minimum üblicherweise nicht genau sondern lediglich näherungsweise erreicht sein wird.
  • In einer flexiblen Weiterbildung kann vorgesehen sein, dass die Kostenfunktion zwei Anteile umfasst, von denen einer den Anteil derjenigen Stellen an der Kostenfunktion charakterisiert, deren geschätzte semantische Werte den vorgebbaren Wert annehmen und der andere den Anteil derjenigen Stellen an der Kostenfunktion charakterisiert, deren geschätzte semantische Werte den vorgebbaren Wert nicht annehmen, wobei diese beiden Anteile vorgebbar gegeneinander gewichtet werden.
  • Auf diese Weise ist es auf besonders einfache Weise möglich, flexibel sowohl solche Angriffe nachzubilden, deren Ziel es ist, möglichst effizient Informationen von Datenpunkten, deren semantische Segmentierung einen vorgebbaren Wert hat, zu unterdrücken (dies kann geschehen, indem der erste Anteil hoch gewichtet wird), als auch solche Angriffe nachzubilden, deren Ziel es ist, den semantischen Hintergrund möglichst intakt zu lassen, um damit besonders schwer identifizierbar zu sein (dies kann geschehen, indem der zweite Anteil hoch gewichtet wird).
  • In einem weiteren Aspekt richtet sich die Erfindung auf solche Datensignale, die eine Folge von Zeitscheiben umfassen, wie beispielsweise Videosignale. Nun kann vorgesehen sein, dass die gewünschte semantische Segmentierung des Datensignals einer vorgebbaren Zeitscheibe abhängig von einer geschätzten semantischen Segmentierung des Datensignals einer weiteren Zeitscheibe gewählt wird, wobei die weitere Zeitscheibe zeitlich vor der vorgebbaren Zeitscheibe liegt. Dies kann in vorteilhafter Weise dazu dienen, einen Angreifer nachzubilden, der eine verdächtige Aktivität beispielsweise vor einer Videoüberwachung mit einer statischen Kamera verbergen möchte.
  • Dies kann in besonders einfacher Weise dadurch geschehen, dass die weitere Zeitscheibe fest gewählt wird und die gewünschte semantische Segmentierung des Datensignals zu jeder vorgebbaren Zeitscheibe, die zeitlich nach der weiteren Zeitscheibe liegt, gleich der geschätzten semantischen Segmentierung des Datensignals der weiteren Zeitscheibe gewählt wird.
  • In einem weiteren weiterbildenden Aspekt ist vorgesehen, die Erfindung zum Beurteilen einer Robustheit eines Aktorsteuerungssystems zum Ansteuern eines Aktors anzuwenden, welches ein erstes maschinelles Lernsystem umfasst, das eingerichtet ist, eine semantische Segmentierung eines empfangenen ein- oder mehrdimensionalen Datensignals zu ermitteln, das einen Zustands eines Aktorsystem umfassend den Aktor und eine Umgebung des Aktors charakterisiert,
    wobei das Aktorsteuerungssystem eingerichtet ist, abhängig von der ermittelten semantischen Segmentierung ein Ansteuersignal zu ermitteln und den Aktor abhängig von dem ermittelten Ansteuersignal anzusteuern,
    wobei ein manipuliertes Datensignal abhängig vom Datensignal mit einem der vorgenannten Verfahren ermittelt wird und ein zweites Ansteuersignal abhängig von einer ermittelten zweiten semantischen Segmentierung ermittelt wird, welche mittels des ersten maschinellen Lernsystems durch Austausch des Datensignals durch das manipulierte Datensignal ermittelt wird (d. h. dem ersten maschinellen Lernsystem wird das manipulierte Datensignal anstelle des Datensignals zugeführt). Hierbei wird dann abhängig von Ansteuersignal und auch abhängig vom zweiten Ansteuersignal entschieden, ob das Aktorsteuerungssystem robust ist, oder nicht.
  • Ein solches Verfahren kann insbesondere auch während des Betriebs des Aktorsteuerungssystems ablaufen, um fortlaufend oder in regelmäßigen Zeitintervallen zu beurteilen, ob sich das Aktorsteuerungssystem gegen einen etwaigen Angriff robust verhalten würde.
  • Hierauf aufbauend kann ein Betreiben eines Aktorsteuerungssystems zum Ansteuern eines Aktors vorgesehen werden, wobei wie oben beschrieben beurteilt wird, ob das Aktorsteuerungssystem robust ist, oder nicht, und das Aktorsteuerungssystem abhängig von der Beurteilung den Aktor ansteuert, wobei das Aktorsteuerungssystem insbesondere in einen abgesicherten Modus überführt werden kann, wenn die Beurteilung ergibt, dass das Aktorsteuerungssystem nicht robust ist.
  • In einem noch weiteren Aspekt betrifft die Erfindung das Trainieren eines Aktorsteuerungssystem welches insbesondere ein erstes maschinelle Lernsystems umfasst, das eingerichtet ist, eine semantische Segmentierung eines empfangenen ein- oder mehrdimensionalen Datensignals zu ermitteln das einen Zustands eines Agentensystems, insbesondere ein Aktorsystem umfassend einen Aktor und eine Umgebung des Aktors charakterisiert, wobei das Aktorsteuerungssystem ferner eingerichtet ist, einen Ausgabewerts eines zweiten maschinellen Lernsystems zu ermitteln, wobei der Ausgabewert eine Wahrscheinlichkeit charakterisiert, dass die semantische Segmentierung falsch ist, insbesondere, ob das Datensignal ein Irreführungsbeispiel ist, wobei ein Ansteuern des Aktors abhängig von der ermittelten semantischen Segmentierung erfolgen kann, und das Ansteuern des Aktors gemäß einer Fehlerabwehrreaktion erfolgen kann, wenn entschieden wurde, dass ein Fehler vorliegt.
  • Dieses Trainingsverfahren umfasst die folgenden Schritte:
    • a) Auswahl einer Untermenge von Datensignalen aus einer Trainings-Menge für das zweite maschinelle Lernsystem, die Datensignale umfasst,
    • b) Entscheiden, ob die Datensignale dieser Untermenge manipuliert werden sollen oder nicht,
    • c) Sofern entschieden wurde, dass die Datensignale manipuliert werden sollen, Ermitteln manipulierter Datensignale abhängig von den jeweiligen Datensignalen mit einem der vorgenannten Verfahren und Ersetzen der Datensignale durch die jeweiligen ermittelten manipulierten Datensignale,
    • d) Setzen eines gewünschten Ausgabewerts auf den Wert eines vorgebbaren ersten Zahlenwerts, wenn die Datensignale nicht manipuliert werden bzw. auf einen zweiten, vom ersten Zahlenwert verschiedenen vorgebbaren zweiten Zahlenwert, wenn die Datensignale manipuliert werden, und
    • e) Trainieren der Parameter des zweiten maschinellen Lernsystems mit der (ggf. manipulierten) Untermenge von Beobachtungswerten und zugehörigen gewünschten Ausgabewerten.
  • Durch die Anpassung der Manipulation der Datensignale an die jeweiligen Datensignale kann mit diesem Trainingsverfahren eine Überanpassung des zweiten maschinellen Lernsystems besonders gut vermieden werden.
  • In einem noch weiteren Aspekt betrifft die Erfindung ein Aktorsteuerungssystem welches ein erstes maschinelles Lernsystem umfasst, das eingerichtet ist, eine semantische Segmentierung eines empfangenen ein- oder mehrdimensionalen Datensignals zu ermitteln und ein zweites maschinelles Lernsystem umfasst, das mit diesem Trainingsverfahren trainiert wurde.
  • Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen näher erläutert. In den Zeichnungen zeigen:
  • 1 schematisch eine Interaktion zwischen Aktor und Aktorsteuerungssystem;
  • 2 schematisch eine Interaktion zwischen Trainingssystem und Aktorsteuerungssystem;
  • 3 eine Ausführungsform eines Trainingsverfahrens;
  • 4 Ausführungsformen des Verfahrens zum Ermitteln des manipulierten Datensignals;
  • 5 eine Ausführungsform des Verfahrens zum Beurteilen der Robustheit des Aktorsteuerungssystems;
  • 6 eine Ausführungsform des Verfahrens zum Betreiben des Aktorsteuerungssystems.
  • Beschreibung der Ausführungsbeispiele
  • 1 zeigt einen Aktor 10 in seiner Umgebung 20 in Interaktion mit einem Aktorsteuerungssystem 40. Aktor 10 und Umgebung 20 werden gemeinschaftlich nachfolgend auch als Aktorsystem bezeichnet. Ein Zustand des Aktorsystems wird mit einem Sensor 30 erfasst, der auch durch eine Mehrzahl von Sensoren gegeben sein kann. Ein Ausgangssignal S des Sensors 30 wird an das Aktorsteuerungssystem 40 übermittelt. Das Aktorsteuerungssystem 40 ermittelt hieraus ein Ansteuersignal A, welches der Aktor 10 empfängt.
  • Bei dem Aktor 10 kann es sich beispielsweise um einen (teil-)autonomen Roboter, beispielsweise ein (teil-)autonomes Kraftfahrzeug handeln. Bei dem Sensor 30 kann es sich beispielsweise um einen oder mehrere Videosensoren und/oder einen oder mehrere Radarsensoren und/oder einen oder mehrere Ultraschallsensoren und/oder einen oder mehrere Positionssensoren (beispielsweise GPS) handeln. Alternativ oder zusätzlich kann der Sensor 30 auch ein Informationssystem umfassen, das eine Information über einen Zustand des Aktorsystems ermittelt, wie beispielsweise ein Wetterinformationssystem, das einen aktuellen oder zukünftigen Zustand des Wetters in der Umgebung 20 ermittelt.
  • In einem anderen Ausführungsbeispiel kann es sich bei dem Aktor 10 um einen Fertigungsroboter handeln, und bei dem Sensor 30 dann beispielsweise um einen optischen Sensor handeln, der Eigenschaften von Fertigungserzeugnissen des Fertigungsroboters erfasst.
  • In einem weiteren Ausführungsbeispiel kann es sich bei dem Aktor 10 um ein Freigabesystem handeln, welches eingerichtet ist, die Aktivität eines Geräts freizugeben oder nicht. Bei dem Sensor 30 kann es sich beispielsweise um einen optischen Sensor (beispielsweise zur Erfassung von Bild- oder Videodaten) handeln, der eingerichtet ist, ein Gesicht zu erfassen. Der Aktor 10 ermittelt abhängig vom Ansteuersignal A ein Freigabesignal, das benutzt werden kann, um abhängig vom Wert des Freigabesignals das Gerät freizugeben. Bei dem Gerät kann es sich beispielsweise um eine physische oder logische Zugangskontrolle handeln. Abhängig vom Wert des Ansteuersignals A kann die Zugangskontrolle dann vorsehen, dass Zugang gewährt wird, oder nicht.
  • Das Aktorsteuerungssystem 40 empfängt das Ausgangssignal S des Sensors in einer optionalen Empfangseinheit 50, die das Ausgangssignal S in ein Datensignal x umwandelt (alternativ kann auch unmittelbar das Ausgangssignal S als Datensignal x übernommen werden). Das Datensignal x kann beispielsweise ein Ausschnitt oder eine Weiterverarbeitung des Ausgangssignals S sein. Das Ausgangssignal x wird einem ersten maschinellen Lernsystem 60, beispielsweise einem neuronalen Netzwerk, zugeführt.
  • In einem im Folgenden beschriebenen bevorzugten Ausführungsbeispiel ist das Datensignal x ein zweidimensionales Bildsignal, dessen Pixel durch einen oder drei Zahlenwerte charakterisiert sind. Das Datensignal x kann aber auch ein anderes ein- oder mehrdimensionales Datensignal sein.
  • Das erste maschinelle Lernsystem 60 ermittelt aus dem Bildsignal x eine zugehörige semantische Segmentierung y_cls. Hierbei wird jedem Bereich des Bildsignals x ein semantischer Wert zugeordnet. Im Ausführungsbeispiel wird eine pixelweise Segmentierung durchgeführt, d. h. die semantische Segmentierung y_cls hat die gleiche Dimension wie das Datensignal x.
  • Hierbei kann die semantische Segmentierung y_cls Wahrscheinlichkeiten charakterisieren, dass dieser Pixel als einer semantischen Klasse (aus einer Mehrzahl semantischer Klassen) zugehörig klassifiziert wird. Die semantische Segmentierung y_cls kann für jeden Pixel beispielsweise eine vektorwertige Größe sein, die für jede der semantischen Klassen mittels einer zugeordneten Zahl im Werteintervall [0; 1] angibt, wie hoch die Wahrscheinlichkeit ist, dass dieser Pixel der jeweiligen semantischen Klasse zuzuordnen ist. Die semantische Segmentierung y_cls kann für jeden Pixel auch eine skalare Größe sein, beispielsweise ein Bezeichner derjenigen semantischen Klasse, deren oben beschriebene Wahrscheinlichkeit den größten Wert annimmt.
  • Das Aktorsteuerungssystem 40 umfasst ferner ein zweites maschinelles Lernsystem 70, beispielsweise ein neuronales Netzwerk. Das zweite maschinelle Lernsystem 70 empfängt ebenfalls das Bildsignal x und ermittelt hieraus einen Ausgabewert y_det, der beispielsweise eine Zahl im Wertebereich [0; 1] sein kann und eine Wahrscheinlichkeit charakterisieren kann, dass der Beobachtungswert B derart manipuliert wurde, dass die semantische Segmentierung y_cls die Bilddaten x nicht korrekt charakterisiert.
  • Im Ausführungsbeispiel wird dies dadurch erreicht, dass das zweite maschinelle Lernsystem 70 derart eingerichtet ist, dass der Ausgabewert y_det eine Wahrscheinlichkeit charakterisiert, dass es sich bei dem Bildsignal x um ein Irreführungsbeispiel handelt.
  • Semantische Segmentierung y_cls und Ausgabewert y_det werden einer Ausgabeeinheit 80 übermittelt, die hieraus das Ansteuersignal A ermittelt. Beispielsweise ist es möglich, dass die Ausgabeeinheit zunächst überprüft, ob der Ausgabewert y_det kleiner ist als ein vorgebbarer Schwellenwert. Ist dies der Fall, wird abhängig von der semantischen Segmentierung y_cls das Ansteuersignal A ermittelt. Dies ist der Normalfall. Wird hingegen ermittelt, dass der Ausgabewert y_det nicht kleiner ist als der vorgebbare Schwellenwert, so kann vorgesehen sein, dass das Ansteuersignal A derart ausgebildet ist, dass es den Aktor A in einen abgesicherten Modus überführt.
  • Das Aktorsteuerungssystem 40 umfasst in einer Ausführungsform einen Computer und ein maschinenlesbares Speichermedium (nicht dargestellt), auf dem ein Computerprogramm gespeichert ist, dass, wenn es vom Computer ausgeführt wird, diesen veranlasst, die beschriebenen Funktionalitäten des Aktorsteuerungssystems 40 auszuführen. Erstes maschinelles Lernsystem 60 und zweites maschinelles Lernsystem 70 können hier insbesondere als separate oder gemeinsame Computerprogramme implementiert sein.
  • 2 illustriert die Interaktion zwischen einem Trainingssystem 90, dem ersten maschinellen Lernsystem 60 und dem zweiten maschinellen Lernsystem 70. Das Trainingssystem 90 hält einen Trainings-Datensatz vor, der Bildsignale x umfasst. Aus dem Trainings-Datensatz werden ein oder mehrere Bildsignale x ausgewählt und dem ersten maschinellen Lernsystem 60 zur Verfügung gestellt. Es kann sich hierbei um einzelne Bildsignale x handeln, also solche, die dem ersten maschinellen Lernsystem 60 auch bei Interaktion des Aktorsteuerungssystems 40 mit Aktor 10 und Sensor 30 zugeführt werden. Es kann sich aber auch um einen Stapel (engl. „batch”), also eine Mehrzahl von solchen Bilddaten x handeln.
  • Das erste maschinelle Lernsystem 60 ermittelt aus den ihm zugeführten Bilddaten x jeweils eine semantische Segmentierung y_cls. Ebenso ermittelt das zweite maschinelle Lernsystem 60 analog zu 1 einen Ausgabewert y_det. Semantische Segmentierung y_cls und Ausgabewert y_det werden wieder dem Trainingssystem 90 zugeführt. Das Trainingssystem 90 ermittelt hieraus ein Parameteranpassungssignal P, das kodiert, welche Parameter des zweiten maschinellen Lernsystems 70 wie ihren Wert ändern sollen. Diese gewünschte Anpassung erfolgt beispielsweise durch die Vorgabe gewünschter Werte für den Ausgabewert y_det und Backpropagation. Das Trainingssystem 90 führt zu diesem Zweck das Parameteranpassungssignal P einem Anpassungsblock 95 zu, der die Parameter im ersten maschinellen Lernsystem 60 und im zweiten maschinellen Lernsystem 70 entsprechend anpasst. Es ist hierbei möglich, dass nur die Parameter des ersten maschinellen Lernsystems 60 oder nur die Parameter des zweiten maschinellen Lernsystems 70 angepasst werden.
  • Trainingssystem 90 umfasst in einer Ausführungsform einen Computer und ein maschinenlesbares Speichermedium (nicht dargestellt), auf dem ein Computerprogramm gespeichert ist, das, wenn es vom Computer ausgeführt wird, diesen veranlasst, die beschriebenen Funktionalitäten des Lernsystems 90 auszuführen.
  • 3 zeigt in einem Flussdiagramm eine Ausführungsform eines Verfahrens zum Trainieren der Parameter des zweiten maschinellen Lernsystems 70 durch das Trainingssystem 90.
  • Hierbei werden die Parameter des ersten maschinellen Lernsystems 60 eingefroren und die Parameter des zweiten maschinellen Lernsystems 60 trainiert.
  • Zunächst (1110) wird für jedes Bildsignal x, das in der ersten Trainingsphase dem ersten maschinellen Lernsystem 60 zugeführt wurde, entschieden, ob es manipuliert wird oder nicht. Dies kann beispielsweise zufällig mit einer vorgebbaren Wahrscheinlichkeit, beispielsweise 50%, erfolgen.
  • Anschließend (1120) werden die gewünschten zweiten Ausgabewerte y_det von Bildsignalen x, die manipuliert werden sollen, auf den Wert „1” gesetzt, ansonsten auf den Wert „0”.
  • Im folgenden Schritt 1130 wird zu den Bildsignalen x, die manipuliert werden sollen, jeweils ihre manipulierte Form xadv ermittelt. Das Verfahren zum Generieren der manipulierten Bildsignale xadv ist in 4 illustriert.
  • Dann (1140) werden Bildsignale x, die manipuliert werden sollen, durch ihre ermittelte manipulierte Form xadv ersetzt.
  • Im nun folgenden Schritt 1150 werden die trainierten Parameter des ersten maschinellen Lernsystems 60 eingefroren und die Parameter des zweiten maschinellen Lernsystems 70 trainiert.
  • Das Trainieren der Parameter erfolgt mittels der beschriebenen Kostenfunktion Jdet des zweiten maschinellen Lernsystems 70 und Backpropagation.
  • Damit endet die zweite Phase 1100.
  • 4 zeigt in Flussdiagrammen Verfahren zum Generieren der manipulierten Bildsignale xadv 4a zeigt ein erstes solches Verfahren.
  • In einem ersten Schritt 2000 wird das Bildsignal x, zu dem das manipulierte Bildsignal xadv generiert werden soll, zur Verfügung gestellt.
  • Es folgt Schritt 2010, in dem mittels des ersten maschinellen Lernsystems 60 die zugehörige semantische Segmentierung y_cls ermittelt wird (anstelle des ersten maschinellen Lernsystems 60 kann ein gleichwertiges System angewendet werden). Diese semantische Segmentierung y_cls wird im Folgenden auch mit dem Symbol fθ(x) bezeichnet, wobei θ die Parameter des ersten maschinellen Lernsystems 60 bezeichnet und f die Abbildungsvorschrift bezeichnet, die das maschinelle Lernsystem 60 ausführt. Für jeden Punkt (i, j) wird also ein semantischer Wert ypredij = f(x) geschätzt. Die zugehörige geschätzte semantische Segmentierung wird auch mit dem Symbol ypred bezeichnet.
  • In Schritt 2020 wird eine vorgebbare Klasse o definiert, d. h. o ist ein vorgebbarer Wert, der einem der zulässigen semantischen Werte entspricht. Nun wir eine Vordergrund-Menge lo als die Menge all derjenigen Punkte (i, j) des Bildsignals x definiert, deren zugehörige geschätzte semantische Werte ypred ij diesen vorgebbaren Wert o annehmen. Es wird ferner eine Hintergrund-Menge lbg ermittelt, die all diejenigen Punkte umfasst, deren zugehörige geschätzte semantische Werte ypred ij diesen vorgebbaren Wert 0 nicht annehmen. Die Vereinigung aus Vordergrund-Menge lo und Hintergrund-Menge lbg wird auch als Gesamt-Menge l bezeichnet.
  • In Schritt 2030 wird für das Bildsignal x eine gewünschte semantische Segmentierung ytarget ermittelt, deren zugehörige semantische Werte ytarget ij für jeden Punkt (i, j), der in der Hintergrund-Menge lbg enthalten ist, gleich dem entsprechenden geschätzten semantischen Wert ypred ij gewählt wird. Ferner wird für jeden Punkt (i, j), der in der Vordergrund-Menge l0 enthalten ist, ein Ersatzwert ermittelt. Hierzu wird zunächst eine Ersatzstelle (i', j') im Bildsignal x ermittelt, und zwar mittels
    Figure DE202017102381U1_0002
  • Als Ersatzwert wird dann der semantische Wert an dieser Ersatzstelle (i', j') gewählt. Dieser wird in der gewünschten semantischen Segmentierung ytarget für den Punkt (i, j) gewählt, also ytarget ij = ypred i'j'.
  • In einer alternativen Ausführungsform durchläuft das Verfahren an Stelle der Schritte 2000, 2010, 2020 und 2030 die alternativen Schritte 2001, 2011, 2021 und 2031. Diese alternative Ausführungsform kann bei Bildsignalen x angewandt werden, die aus mehreren Zeitscheiben t bestehen, wie beispielsweise Videosignalen, d. h. zu jeder Zeitscheibe t enthält das Bildsignal x ein dieser Zeitscheibe zugeordnetes Bildsignal xt.
  • Die alternative Ausführungsform beginnt in Schritt 2001, in dem für eine eine konkrete Zeitscheibe t das zu manipulierende Bildsignal xt zur Verfügung gestellt wird.
  • Dann (2011) wird eine weitere Zeitscheibe t0 vorgegeben und das zu dieser Zeitscheibe t0 gehörige Bildsignal xt0 wird zur Verfügung gestellt. Die zu diesem Bildsignal xt0 gehörige semantische Segmentierung ypred t0 wird analog zu Schritt 2010 als ypred t0 = fθ(xt0) ermittelt.
  • In Schritt 2021 wird für den Fall, dass die Zeitscheibe t zu einem späteren Zeitpunkt als die weitere Zeitscheibe t0 gehört die gewünschte semantische Segmentierung ytarget t = ypred t0 gesetzt.
  • In Schritt 2031 wird für den Fall, dass die Zeitscheibe t nicht zu einem späteren Zeitpunkt als die weitere Zeitscheibe t0 gehört, die gewünschte semantische Segmentierung ytarget t analog zu den Schritten 2000 bis 2030 ermittelt, wobei in den Schritten an Stelle des Bildsignals x das zur betrachteten Zeitscheibe t gehörige Bildsignal xt herangezogen wird.
  • Nun (2040) wird eine Datensignalstörung ξ(0) mit der Dimension des Bildsignals x mit ξ(0) = 0 initialisiert. Ein Zähler n wird auf den Wert n = 0 gesetzt Dann (2050) wird die Größe gradx(n)) = ∇xJ ω / ss(fθ(x + ξ(n)), ytarget) berechnet.
  • Die Größe Jω ss bezeichnet eine gewichtete Kostenfunktion des ersten maschinellen Lernsystems (60) gemäß
    Figure DE202017102381U1_0003
  • Hierbei ist Jcls eine Kostenfunktion des ersten maschinellen Lernsystems 60, beispielsweise eine Kreuzentropie.
  • Die Größe ω ist eine vorgebbare Größe, die im Wertebereich [0; 1] vorgegeben werden kann, beispielsweise auf den Wert 0,5.
  • Anschließend (2060) wird eine nächste Iteration der Datensignalstörung ξ(n+1) gemäß der Formel ξ(n+1) = Clipε(n) – αsgn(gradx(n)))} berechnet. Hierbei normiert die Funktion Clipε(x) Werte einer Variablen x auf eine ε-Kugel um den Ursprung. Die Norm kann hierbei eine L2-Norm sein, oder auch eine L-Norm. α wird auf einen vorgebbaren Wert festgelegt, beispielsweise α = 0,25. Der Wert der Variable n wird um 1 inkrementiert.
  • Nun (2070) wird überprüft, ob ein Konvergenzkriterium erfüllt ist. Beispielsweise kann geprüft werden, ob n einen vorgebbaren Grenzwert nmax überschritten hat, beispiels nmax = 10. Wenn nein, wird zu Schritt 2050 zurückverzweigt. Andernfalls wird in Schritt 2080 das manipulierte Bildsignal xadv abhängig von der Datensignalstörung ξ(n) und dem Bildsignal x zu xadv = x + ξ(n) ermittelt. Damit endet dieses Verfahren.
  • 5 zeigt in einem Flussdiagramm ein Ausführungsbeispiel des Verfahrens zum Beurteilen der Robustheit des Aktorsteuerungssystems 40. In einem ersten Schritt 4000 wird ein Datensignal x empfangen. Anschließend (4010) ermittelt das Aktorsteuerungssystem 40 hieraus ein zugehöriges Ansteuersignal A, um den Aktor 10 anzusteuern. Dann (4020) wird mit einem der in 4 illustrierten Verfahren aus dem Datensignal x ein manipuliertes Datensignal xadv ermittelt. Dieses manipulierte Datensignal xadv wird ebenfalls dem ersten maschinellen Lernsystem 60 zugeführt und eine zweite semantische Segmentierung y_clsadv ermittelt. Analog zur Ermittlung des Ansteuersignals A wird aus der ermittelten zweiten semantischen Segmentierung y_clsadv ein zweites Ansteuersignal Aadv ermittelt. Nun (4030) wird die Differenz zwischen Ansteuersignal A und zweitem Ansteuersignal Aadv ermittelt und überprüft (4040), ob ein Betrag dieser Differenz einen vorgebbaren Grenzwert überschreitet. Ist dies der Fall (4050), wird entschieden, dass das Aktorsteuerungssystem 40 nicht robust ist, andernfalls (4060) wird entschieden, dass das Aktorsteuerungssystem 40 robust ist. Damit endet dieses Verfahren. Das Verfahren kann als Computerprogramm implementiert sein, auf dem Speichermedium des Aktorsteuerungssystems 40 gespeichert sein oder von diesem ausgeführt werden. Das Computerprogramm kann auch auf einem generischen Computer, der an das Aktorsteuerungssystem 40 ankoppelbar ist, gespeichert und von diesem ausführbar sein.
  • 6 zeigt in einem Flussdiagramm ein Ausführungsbeispiel des Verfahrens zum Betreiben des Aktorsteuerungssystems. In einem ersten Schritt 5000 wird mit dem in 5 illustrierten Verfahren ermittelt, ob das Aktorsteuerungssystem 40 robust ist, oder nicht. In Schritt 5010 wird dann überprüft, ob entschieden wurde, dass das Aktorsteuerungssystem 40 robust ist. Ist dies der Fall (5020), wird das Aktorsteuerungssystem 40 normal betrieben und der Aktor 10 normal angesteuert. Ist dies nicht der Fall (5030) wird überprüft, das Aktorsteuerungssystem 40 in einen abgesicherten Modus überführt, in dem beispielsweise vorgesehen sein kann, dass ein Absolutbetrag des Ansteuersignals A auf Werte kleiner als eine Kritikalitätsgrenze begrenzt wird. Damit endet das Verfahren. Das Verfahren kann als Computerprogramm implementiert sein, auf dem Speichermedium des Aktorsteuerungssystems 40 gespeichert sein oder von diesem ausgeführt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102005050577 A1 [0002]

Claims (15)

  1. Vorrichtung zum Generieren eines manipulierten Datensignals (xadv) zum Täuschen eines ersten maschinellen Lernsystems (60), welches eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln, wobei die Vorrichtung ein maschinenlesbares Speichermedium umfasst, auf dem Befehle gespeichert sind, die beim Ausführen durch einen Computer bewirken, dass der Computer ein Verfahren mit den folgenden Schritten ausführt: a) Ermitteln gewünschten semantischen Segmentierung (ytarget) des manipulierten Datensignals (xadv); und b) Generieren des manipulierten Datensignals (xadv), abhängig vom empfangenen Datensignal (x) und der ermittelten gewünschten semantischen Segmentierung (ytarget) sowie einer geschätzten semantischen Segmentierung (fθ) des manipulierten Datensignals (xadv).
  2. Vorrichtung nach Anspruch 1, wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass die gewünschte semantische Segmentierung (ytarget) abhängig von einer geschätzten semantischen Segmentierung (ypred) des empfangenen Datensignals (x) gewählt werden.
  3. Vorrichtung nach Anspruch 2, wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass die gewünschten semantischen Werte (ytarget, ij) der gewünschten semantischen Segmentierung (ytarget) abhängig davon gewählt werden, ob die geschätzten semantischen Werte (ypred ij) der geschätzten semantischen Segmentierung (ypred) einen vorgebbaren Wert (o) annehmen.
  4. Vorrichtung nach Anspruch 3, wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass die gewünschten semantischen Werte (ytarget ij) an einer Stelle (i, j), an der die geschätzten semantischen Werte (ypred ij) den vorgebbaren Wert (o) annehmen, durch einen Ersatzwert ersetzt werden.
  5. Vorrichtung nach Anspruch 4, wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass der Ersatzwert der geschätzte semantische Wert (ypred i'j') einer Ersatzstelle (i', j') ist, die in der Nähe der Stelle (i, j).
  6. Vorrichtung nach einem der Ansprüche 3 bis 5 wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass die gewünschten semantischen Werte (ytarget,k ij) gleich den geschätzten semantischen Werten (ypred ij) gewählt werden, wenn die geschätzten semantischen Werte (ypred ij) den vorgebbaren Wert (o) nicht annehmen.
  7. Vorrichtung nach einem der vorherigen Ansprüche, wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass das Generieren manipulierten Datensignals (xadv) abhängig von einem Funktionswert einer gewichteten Kostenfunktion (Jss ω) des ersten maschinellen Lernsystems (70) geschieht, den diese Kostenfunktion (Jss ω) für das manipulierte Datensignal (xadv) und für die gewünschte semantischen Segmentierung (ytarget) annimmt.
  8. Vorrichtung nach Anspruch 7, wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass das manipulierte Datensignal (xadv) aus einer Menge erlaubter Datensignale derart ausgewählt wird, dass es die Kostenfunktion (Jss ω) für die gewünschten semantischen Werte (ytarget) numerisch minimiert.
  9. Vorrichtung nach Anspruch 7 oder 8 und Anspruch 3, wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass die Kostenfunktion (Jss ω) zwei Anteile umfasst, von denen einer den Anteil der Stellen (i, j) an der Kostenfunktion (Jss ω) charakterisiert, deren geschätzte semantische Werte (ypred ij) den vorgebbaren Wert (o) annehmen und der andere den Anteil der Stellen (i, j) an der Kostenfunktion (Jss ω) charakterisiert, deren geschätzte semantische Werte (ypred ij) den vorgebbaren Wert (o) nicht annehmen, wobei diese beiden Anteile vorgebbar gegeneinander gewichtet werden.
  10. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei das Datensignal (x) eine Folge von Zeitscheiben (xt) umfasst, wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass die gewünschte semantische Segmentierung (ytarget t) des Datensignals (x) einer vorgebbaren Zeitscheibe (t) abhängig von einer geschätzten semantischen Segmentierung (ypred t0) des Datensignals (x) einer weiteren Zeitscheibe (t0) gewählt wird, wobei die weitere Zeitscheibe (t0) zeitlich vor der vorgebbaren Zeitscheibe (t) liegt.
  11. Vorrichtung nach Anspruch 10, wobei die gespeicherten Befehle derart ausgebildet sind, dass das Verfahren, das der Computer ausführt, wenn diese Befehle auf dem Computer ausgeführt werden, derart abläuft, dass die weitere Zeitscheibe (t0) fest gewählt wird und die gewünschte semantische Segmentierung (ytarget t) des Datensignals (x) zu jeder vorgebbaren Zeitscheibe (t), die zeitlich nach der weiteren Zeitscheibe (t0) liegt, gleich der geschätzten semantischen Segmentierung (ypred t0) des Datensignals (x) der weiteren Zeitscheibe (t0) gewählt wird.
  12. Vorrichtung zum Beurteilen einer Robustheit eines Aktorsteuerungssystems (40) zum Ansteuern eines Aktors (10), welches ein erstes maschinelles Lernsystems (60) umfasst, das eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln das einen Zustands eines Aktorsystem umfassend den Aktor (10) und eine Umgebung (20) des Aktors (10) charakterisiert, und wobei das Aktorsteuerungssystem (40) eingerichtet ist, abhängig von der ermittelten semantischen Segmentierung (y_cls) ein Ansteuersignal (A) zu ermitteln um den Aktor (10) abhängig von dem ermittelten Ansteuersignal (A) anzusteuern, wobei die Vorrichtung ein maschinenlesbares Speichermedium umfasst, auf dem Befehle gespeichert sind, die beim Ausführen durch einen Computer bewirken, dass der Computer ein Verfahren ausführt, bei dem dem Aktorsteuerungssystem (40) das Datensignal (x) übermittelt und vom Aktorsteuerungssystem (40) die aus dem Datensignal (x) ermittelte Ansteuersignal (A) empfangen wird, und bei dem ein manipuliertes Datensignal (xadv) abhängig vom Datensignal (x) mit dem Verfahren ermittelt wird, dass ein Computer bei Ausführen der auf dem maschinenlesbaren Speichermedium der Vorrichtung nach einem der Ansprüche 1 bis 11 gespeicherten Befehle durchführt, und bei dem dem Aktorsteuerungssystem (40) das manipulierte Datensignal (xadv) übermittelt und vom Aktorsteuerungssystem (40) das aus dem manipulierten Datensignal (xadv) ermittelte zweite Ansteuersignal (Aadv) empfangen wird, wobei abhängig vom empfangenen Ansteuersignal (A) und zweiten Ansteuersignal (Aadv) entschieden wird, ob das Aktorsteuerungssystem (40) robust ist, oder nicht.
  13. Vorrichtung zum Betreiben eines Aktorsteuerungssystems (40) zum Ansteuern eines Aktors (10), wobei die Vorrichtung ein maschinenlesbares Speichermedium umfasst, auf dem Befehle gespeichert sind, die beim Ausführen durch einen Computer bewirken, dass der Computer ein Verfahren mit den folgenden Schritten ausführt: – Beurteilen mittels des Verfahrens, das der Computer bei Ausführen der auf dem maschinenlesbaren Speichermedium der Vorrichtung nach Anspruch 12 gespeicherten Befehle durchführt, ob das Aktorsteuerungssystem (40) robust ist, oder nicht, – Ansteuern des Aktors (10) abhängig von der Beurteilung (also vom Ergebnis der Beurteilung) des Aktorsteuerungssystem (40).
  14. Vorrichtung zum Trainieren eines Aktorsteuerungssystem (40) welches insbesondere ein erstes maschinelle Lernsystems (60) umfasst, das eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln, wobei das Aktorsteuerungssystem (40) ferner eingerichtet ist, einen Ausgabewerts (y_det) eines zweiten maschinellen Lernsystems (70) zu ermitteln, wobei die Vorrichtung ein maschinenlesbares Speichermedium umfasst, auf dem Befehle gespeichert sind, die beim Ausführen durch einen Computer bewirken, dass der Computer ein Verfahren mit den folgenden Schritten ausführt: a) Auswahl einer Untermenge von Datensignalen (x) aus einer Trainings-Menge für das zweite maschinelle Lernsystem (70), die Datensignale (x) umfasst, b) Entscheiden, ob die Datensignale (x) dieser Untermenge manipuliert werden sollen oder nicht, c) Sofern entschieden wurde, dass die Datensignale (x) manipuliert werden sollen, Ermitteln manipulierter Datensignale (xadv) abhängig von den jeweiligen Datensignalen (x), mit dem Verfahren das der Computer bei Ausführen der auf dem maschinenlesbaren Speichermedium der Vorrichtung nach einem der Ansprüche 1 bis 11 gespeicherten Befehle durchführt, und Ersetzen der Datensignale (x) durch die jeweiligen ermittelten manipulierten Datensignale (xadv), d) Setzen eines gewünschten Ausgabewerts auf den Wert eines vorgebbaren ersten Zahlenwerts, wenn die Datensignale (x) nicht manipuliert werden bzw. auf einen zweiten, vom ersten Zahlenwert verschiedenen, vorgebbaren zweiten Zahlenwert, wenn die Datensignale (x) manipuliert werden, und e) Trainieren der Parameter des zweiten maschinellen Lernsystems (70) mit der (ggf. manipulierten) Untermenge von Beobachtungswerten (x, xadv) und zugehörigen gewünschten Ausgabewerten.
  15. Aktorsteuerungssystem (40) welches ein erstes maschinelles Lernsystem (60) umfasst, das eingerichtet ist, eine semantische Segmentierung (y_cls) eines empfangenen ein- oder mehrdimensionalen Datensignals (x) zu ermitteln und ein zweites maschinelles Lernsystem (70) umfasst, das mit der Vorrichtung nach Anspruch 14 trainiert wurde.
DE202017102381.8U 2017-04-21 2017-04-21 Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples" Active DE202017102381U1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE202017102381.8U DE202017102381U1 (de) 2017-04-21 2017-04-21 Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples"
US15/885,131 US10331091B2 (en) 2017-04-21 2018-01-31 Method and device for improving the robustness with respect to “adversarial examples”
KR1020180024180A KR102528796B1 (ko) 2017-04-21 2018-02-28 '적대적 사례'에 대한 견고성 향상 방법 및 그 장치
US16/385,478 US10824122B2 (en) 2017-04-21 2019-04-16 Method and device for improving the robustness with respect to “adversarial examples”

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE202017102381.8U DE202017102381U1 (de) 2017-04-21 2017-04-21 Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples"

Publications (1)

Publication Number Publication Date
DE202017102381U1 true DE202017102381U1 (de) 2017-05-11

Family

ID=58993754

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202017102381.8U Active DE202017102381U1 (de) 2017-04-21 2017-04-21 Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples"

Country Status (3)

Country Link
US (2) US10331091B2 (de)
KR (1) KR102528796B1 (de)
DE (1) DE202017102381U1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017219274A1 (de) 2017-10-26 2019-05-02 Robert Bosch Gmbh Verfahren und Vorrichtung zum Verbessern der Robustheit eines maschinellen Lernsystems
CN107368475B (zh) * 2017-07-18 2021-06-04 中译语通科技股份有限公司 一种基于生成对抗神经网络的机器翻译方法和***
US11966851B2 (en) 2019-04-02 2024-04-23 International Business Machines Corporation Construction of a machine learning model

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10678244B2 (en) 2017-03-23 2020-06-09 Tesla, Inc. Data synthesis for autonomous control systems
US11893393B2 (en) 2017-07-24 2024-02-06 Tesla, Inc. Computational array microprocessor system with hardware arbiter managing memory requests
US11157441B2 (en) 2017-07-24 2021-10-26 Tesla, Inc. Computational array microprocessor system using non-consecutive data formatting
US11409692B2 (en) 2017-07-24 2022-08-09 Tesla, Inc. Vector computational unit
US10671349B2 (en) 2017-07-24 2020-06-02 Tesla, Inc. Accelerated mathematical engine
US11561791B2 (en) 2018-02-01 2023-01-24 Tesla, Inc. Vector computational unit receiving data elements in parallel from a last row of a computational array
US11215999B2 (en) 2018-06-20 2022-01-04 Tesla, Inc. Data pipeline and deep learning system for autonomous driving
US11361457B2 (en) 2018-07-20 2022-06-14 Tesla, Inc. Annotation cross-labeling for autonomous control systems
US11636333B2 (en) 2018-07-26 2023-04-25 Tesla, Inc. Optimizing neural network structures for embedded systems
US11562231B2 (en) 2018-09-03 2023-01-24 Tesla, Inc. Neural networks for embedded devices
SG11202103493QA (en) 2018-10-11 2021-05-28 Tesla Inc Systems and methods for training machine models with augmented data
US11196678B2 (en) 2018-10-25 2021-12-07 Tesla, Inc. QOS manager for system on a chip communications
US11816585B2 (en) 2018-12-03 2023-11-14 Tesla, Inc. Machine learning models operating at different frequencies for autonomous vehicles
US11537811B2 (en) 2018-12-04 2022-12-27 Tesla, Inc. Enhanced object detection for autonomous vehicles based on field view
JP6632773B1 (ja) * 2018-12-14 2020-01-22 三菱電機株式会社 学習識別装置、学習識別方法、及び、学習識別プログラム
US11610117B2 (en) 2018-12-27 2023-03-21 Tesla, Inc. System and method for adapting a neural network model on a hardware platform
US11836256B2 (en) * 2019-01-24 2023-12-05 International Business Machines Corporation Testing adversarial robustness of systems with limited access
US10997461B2 (en) 2019-02-01 2021-05-04 Tesla, Inc. Generating ground truth for machine learning from time series elements
US11150664B2 (en) 2019-02-01 2021-10-19 Tesla, Inc. Predicting three-dimensional features for autonomous driving
US11567514B2 (en) 2019-02-11 2023-01-31 Tesla, Inc. Autonomous and user controlled vehicle summon to a target
US10956755B2 (en) 2019-02-19 2021-03-23 Tesla, Inc. Estimating object properties using visual image data
US11657162B2 (en) * 2019-03-22 2023-05-23 Intel Corporation Adversarial training of neural networks using information about activation path differentials
US11727265B2 (en) * 2019-06-27 2023-08-15 Intel Corporation Methods and apparatus to provide machine programmed creative support to a user
US11501206B2 (en) * 2019-09-20 2022-11-15 Nxp B.V. Method and machine learning system for detecting adversarial examples
DE102020208309A1 (de) * 2020-07-02 2022-01-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Erstellen eines maschinellen Lernsystems
US11611588B2 (en) * 2020-07-10 2023-03-21 Kyndryl, Inc. Deep learning network intrusion detection
KR20220058189A (ko) 2020-10-30 2022-05-09 삼성전자주식회사 뉴럴 네트워크를 이용한 분류 방법 및 장치
US20220191003A1 (en) * 2021-12-10 2022-06-16 Tamas Mihaly Varhegyi Complete Tree Structure Encryption Software

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005050577A1 (de) 2005-10-21 2007-05-03 Robert Bosch Gmbh Verfahren zum automatischen Überprüfen eines neuronalen Netzes für eine Steuerungsvorrichtung

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9917739B2 (en) * 2012-02-20 2018-03-13 Aptima, Inc. Systems and methods for network pattern matching
WO2015143173A2 (en) * 2014-03-19 2015-09-24 Neurala, Inc. Methods and apparatus for autonomous robotic control
US10019657B2 (en) * 2015-05-28 2018-07-10 Adobe Systems Incorporated Joint depth estimation and semantic segmentation from a single image
US10635704B2 (en) * 2016-07-15 2020-04-28 Cisco Technology, Inc. Automatic ontology generation for internet of things applications
US10594712B2 (en) * 2016-12-06 2020-03-17 General Electric Company Systems and methods for cyber-attack detection at sample speed

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005050577A1 (de) 2005-10-21 2007-05-03 Robert Bosch Gmbh Verfahren zum automatischen Überprüfen eines neuronalen Netzes für eine Steuerungsvorrichtung

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107368475B (zh) * 2017-07-18 2021-06-04 中译语通科技股份有限公司 一种基于生成对抗神经网络的机器翻译方法和***
DE102017219274A1 (de) 2017-10-26 2019-05-02 Robert Bosch Gmbh Verfahren und Vorrichtung zum Verbessern der Robustheit eines maschinellen Lernsystems
WO2019081243A1 (de) 2017-10-26 2019-05-02 Robert Bosch Gmbh Verfahren und vorrichtung zum verbessern der robustheit eines maschinellen lernsystems
US11599827B2 (en) 2017-10-26 2023-03-07 Robert Bosch Gmbh Method and apparatus for improving the robustness of a machine learning system
US11966851B2 (en) 2019-04-02 2024-04-23 International Business Machines Corporation Construction of a machine learning model

Also Published As

Publication number Publication date
KR20180118515A (ko) 2018-10-31
US20180307188A1 (en) 2018-10-25
US10331091B2 (en) 2019-06-25
KR102528796B1 (ko) 2023-05-08
US20190243317A1 (en) 2019-08-08
US10824122B2 (en) 2020-11-03

Similar Documents

Publication Publication Date Title
DE202017102381U1 (de) Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples"
DE102018200724A1 (de) Verfahren und Vorrichtung zum Verbessern der Robustheit gegen "Adversarial Examples"
DE112016007498B4 (de) Untersuchungseinrichtung und untersuchungsverfahren
DE202017102238U1 (de) Aktorsteuerungssystem
DE202017102235U1 (de) Trainingssystem
DE112019000744T5 (de) Nicht überwachte domänenübergreifende Abstandsmetrikanpassung mit Merkmalsübertragungsnetz
EP2034461A2 (de) Verfahren zur Detektion und/oder Verfolgung von bewegten Objekten in einer Überwachungsszene mit Störern, Vorrichtung sowie Computerprogramm
DE102017219282A1 (de) Verfahren und Vorrichtung zum automatischen Erzeugen eines künstlichen neuronalen Netzes
DE202020101012U1 (de) Vorrichtung zum Vorhersagen einer geeigneten Konfiguration eines maschinellen Lernsystems für einen Trainingsdatensatz
DE112020003343T5 (de) System und verfahren mit einem robusten tiefen generativen modell
DE102021201124A1 (de) Trainieren von bildklassifizierernetzen
DE102021207613A1 (de) Verfahren zur Qualitätssicherung eines Systems
EP3584748A1 (de) Verfahren zur erzeugung eines testdatensatzes, verfahren zum testen, verfahren zum betreiben eines systems, vorrichtung, steuerungssystem, computerprogrammprodukt, computerlesbares medium, erzeugung und verwendung
DE102022201679A1 (de) Verfahren und Vorrichtung zum Trainieren eines neuronalen Netzes
DE102019202523A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuerungssystems
DE102021204040A1 (de) Verfahren, Vorrichtung und Computerprogramm zur Erstellung von Trainingsdaten im Fahrzeug
DE102018218834A1 (de) Verfahren und Vorrichtung zum Ermitteln eines Ansteuersignals
DE102018216078A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuerungssystems
EP3701428B1 (de) Verfahren und vorrichtung zum verbessern der robustheit eines maschinellen lernsystems
DE102019217300A1 (de) Verfahren zum Trainieren eines künstlichen neuronalen Netzes, Computerprogramm, Speichermedium, Vorrichtung, künstliches neuronales Netz und Anwendung des künstlichen neuronalen Netzes
DE102019207911A1 (de) Verfahren, Vorrichtung und Computerprogramm zur Vorhersage einer Lernkurve
DE102019207575A1 (de) Verfahren zum Beurteilen einer funktionsspezifischen Robustheit eines Neuronalen Netzes
DE202019103046U1 (de) Vorrichtung zur Vorhersage einer Lernkurve
DE102018203137A1 (de) Verfahren, Vorrichtung und Computerprogramm zum Betreiben eines zumindest teilautonomen Fahrzeugs
DE102022204263A1 (de) Verfahren und Vorrichtung zum Trainieren eines neuronalen Netzes

Legal Events

Date Code Title Description
R207 Utility model specification
R150 Utility model maintained after payment of first maintenance fee after three years
R151 Utility model maintained after payment of second maintenance fee after six years