{{detailStore.author.is_follow?'已关注':'关注'}}
管理
通往自动驾驶的崎岖路
话题文章
未来自动驾驶需要做好的五件事。


上周,Cruise 发布了推迟原定今年底进行 robo-taxi 商业部署的计划,这也普遍被视为是自动驾驶行业受挫的一个信号,但其实很少有业内人士感到惊讶。人们越来越多认识到 AV 虽然不是火箭科学,但其实难度也与其相差无几。
一个挥之不去的谜团是 AV 公司是否有一种实用的方法来证明他们的车辆是安全的。Edge Case Research 的 CTO Phil Koopman 表示:“从历史上看,AV 行业一直都很神秘。”
赢得信任竞赛
但如果 AV 公司对赢得信任的竞赛是认真的,那么他们的 AV 必须更加诚实和透明。
上周,EE Times 采访了英特尔 AV 标准副总裁兼高级首席工程师 Jack Weast。他说:“我认为,无论是行业还是媒体都同意这点,行业目前对这项技术的现实情况并未采取足够诚实与开放的态度。”
实际上,媒体也应负一些责任,许多报道都倾向于将该主题定位成 AV 竞赛。Weast 说:“是的,竞赛鼓励人们宣布疯狂的日程表。AV 行业希望有一个零事故的未来,但只要在 AV 行驶的道路上仍有人类驾驶员,就会发生事故。我认为关键是弄清楚如何衡量安全,你如何接受这个问题?”
关键问题是:任何 AV 公司如何知道 AV 的安全性何时才足以满足可以商业落地的标准呢?谁来决定呢?
GM Cruise 的 CEO Dan Ammann 在解释 Cruise 推迟 robo-taxi 部署的决定时写道,“为了达到在旧金山部署完全无人驾驶服务所需的性能和安全验证水平,通用将大幅增加测试和验证里程。”
不幸的是,如果真有一定数量的“测试和验证里程”,Cruise 必须在 robo-taxi 推出之前就完成,Ammann 显然没有提到这个问题。他也没有提到他认为的 AV 必须明确的具体“门槛”或“要求”。到目前为止,很少有 AV 公司披露过他们的测试目标。他们没有说明在测试之前、期间或之后如何测量 AV 的安全性。
Edge Case Research 的 Koopman 希望看到 AV 公司在路测之前,至少要发布安全指标以证明他们正在安全运行。但是,如今地方政府对申请在公共道路测试许可的公司要求很少。在下一次事故发生之前,公众一直处于未知中,或者直到另一家 AV 公司再次发生严重的事故并承认他们的 robo-taxi 还不适合上路。
Koopman 在他的博客中写道:“公平地说,除了那些空洞的有关零事故的炒作外,如果没有关于路测风险的信息,公众应该怎么想?AV 并不完美,目标应是使它们比目前的情况更好。”
AV 开发必须的五件事
EE Times 为了解 AV 行业可能采取哪些途径来赢得公众信任,与几位安全专家和汽车分析师进行了交谈。结合他们从多个来源获得的信息,AV 行业在开发实践中仍然缺少以下五件事:
建立测试指标
安全设计( safety by design )的 AV 开发
在 AV 开发人员之间共享测试期间收集的数据
建立一个反馈循环
更成熟的系统级仿真

1. 路测前的安全案例
首先,我们来谈谈公共道路测试的安全性。
Koopman 坚持认为,AV 测试人员必须确保路测的安全。如果再有公司发生一次类似 Uber 的致命事故,可能会完全毁掉整个 AV 市场。他列举了三种关于 AV 路测的常见误解。
a)一个神奇的截止日期
这是相信 AV 公司将在某一天会完成路测,然后就会推出完美、无事故、高度自动化的车辆,然后就永远不必再进行测试了。
而 Koopman 说:“不是这样的。路测将会伴随我们很长一段时间。每次将新传感器添加到 AV 中、或者当 robo-taxi 开始在新的 ODD(Operational Design Domain)中驾驶时,进行一组新的路测是必须的。测试永远不会消失。”
b)安全驾驶员
即使在 Uber 的致命事故后,业内有关路测安全性标准应的对方式仍是“别担心,我们有安全驾驶员”。
Koopman 说:“安全驾驶员并非如此安全。实际上,随着自动驾驶脱离次数的降低,监控失败的可能性似乎会增加。但如果我们为此增加一个安全驾驶员并不是更好的方式,因为历史上就曾有过有两名飞行员同时在一架客机上睡着的案例。而搭载 DMS 也不是安全的保证,据报道,一些卡车司机已经学会了睁着眼睛睡觉。安全驾驶员、飞行员和卡车司机都是普通人类。他们会感到无聊、困倦。你无法与人性讨价还价。”
c)脱离
根据当地法律,在加州公路上主动测试 AV 的公司需要披露驾驶里程数及自动驾驶“脱离”的频率。
Koopman 不相信这是正确的指标。脱离倾向于激励测试操作员将干预次数最小化,这可能导致测试的不安全。建立更安全的 AV 的任何努力必须使用脱离数据来改进技术,而不是在安全竞赛中取得胜利。AV 的测试操作员应将每次事故和险情都视为测试程序安全过程中的失败案例。
Koopman 说:“让我感到害怕的是那些安全驾驶员没注意到的。我们不知道我们是否是幸运的,或者在事故发生之前应该做些什么。鉴于公众对 AV 技术的信任已经不如从前,每一次新的事故都有可能使这种情况变得更糟,无论其技术根源是什么。”
Koopman 希望 AV 测试操作员在上路前先制作安全案例。Koopman 引用他与 Beth Osyk 合著的论文“ Safety Argument Considerations for Public Road Testing of Autonomous Vehicles ”,说:“我们写了这篇论文,提供了一个公共起点。我确定其它方法也会起作用,但最终该论文中的所有内容都必须以这样或那样的方式得到解决。”


2. 安全设计
其次,让我们回到 AV 开发人员使用的基本设计方法。
英特尔的 Weast 观察到:“航空航天和铁路行业忠实地遵循着‘安全设计’的概念。我们相信 AV 在开始时也应该采用安全设计。”
等等!难道说 AV 行业并不是从设计的安全性开始的? “安全设计”究竟意味着什么?
Weast 对此解释说:“你首先要在纸上正式定义车辆结构和算法设计(在 AV 系统使用的),然后正式验证它们。要用数学、逻辑和其它形式证明和验证技术来证明它的正确性。例如,在飞机的设计中,它从物理学的角度出发是可以飞行的……因为你可以在纸上证明这一点。而 AV 公司,特别是那些在‘快速行动和颠覆式’的文化中成长的公司经常选择‘替代方法’。他们首先跳过构建严格数学模型的部分,并应用形式验证来验证设计是否匹配原始规格。他们的典型方法是反复的‘测试和迭代’,开发人员希望收集统计证据来说服自己,证明他们设计的 AV 是安全的。他们会说,'我们已经行驶了 1000 万英里......已经驾驶了一亿英里而没有发生意外,这意味着它是安全的。’可是这样吗?我不确定。因为你还没有真正证实你的设计是安全的。你所做的只是收集统计证据......并说这堆代码似乎是有效的。在英特尔/Mobileye,我们将这种方法称为是“不合理”的,我们相信正式验证的安全模型,如 RSS(自动驾驶汽车安全的数学模型)以及安全设计方法。正式验证不仅更安全,也是正确的做法。它还使测试和验证过程变得更加简单和容易,因为现在你只是检查它是否符合规范既可。”
Koopman 则认为:“如果 AV 开发人员无法解释为什么他们的测试车辆的安全性在严谨的方式下是可接受的,那么这些车辆就可能是不安全的。随着业务规模的扩大,这势必会影响到它们。”

3. AV 开发人员之间的数据共享
安全专家们希望看到更多 AV 测试人员之间“技术可靠性背书下的透明度”。他们希望看到 AV 测试人员在路测之前、期间和之后开始共享数据。但显然这违反了 AV 行业的普遍做法。
行业分析师 Joe Barkai 说:“分享数据很困难。特别是当很难区分那些能够共享又不侵犯专有和战略信息的部分,以及那些不应该共享的部分。这个行业竞争激烈的技术保护文化氛围阻碍了促进协作的开发平台与数据共享的发展。”
Koopman 说:“但几乎没有任何关于测试安全的问题是与自动驾驶的‘核心技术机密’有关的。”
一些非常有竞争力的主机厂和技术供应商开始软化他们的态度。英特尔/Mobileye 正走在这条路上,最近他们与十多家汽车和出行行业代表公司共同发布了一份白皮书“ Safety First for Automated Driving ”。Weast 说:“我们不要在安全上竞争。让我们就安全问题进行合作。让我们更加透明和公开地看待我们认为安全设计车辆的正确方法。让我们将它发布给世界观看和评论。”

这份被称为“ Framework for Automated Passenger Vehcles ”的白皮书不是标准。但 Weast 表示,它可能会引导行业标准的制定,或者至少部分可以直接用于未来的标准。


4. 为测试场景建立反馈循环
行业分析师还发现,为 AV 的测试建立反馈循环至关重要。
CIMdata 的可靠性工程实践主管 Venki Agaram向EE Times 提到:“虽然可能不是纯粹的数据共享,但 AV 测试人员应该联合设计认证测试。开发人员对获得 AV 所需的技术有很好的共识。他们都在各自搜集会使 AV 不安全、无效或恼人的极端案例。最终他们将不得不汇集这些数据来制定标准和规定。”Agaram 敦促 AV 测试人员开始进行“设计认证测试(验证),并相互解释他们所看到的数据,以支持这些测试场景的选择。”
Weast 承认采用类似德国事故数据库 GIDAS(German In-Depth Accident Study)的方法会很有用,并表示共享事故情景不仅应局限于 AV 公司之间,还应在政府对政府的层面上推广。
Koopman 说:“与数据共享一样重要的是,即使是推出了 AV 路测安全指标的建议也可能引起 AV 公司的争议。如果组织真的不想公开发布信息,另一个选择就是创建一个轻量级的标准做法,并让一些感兴趣的中立第三方根据 NDA 对其进行评估,然后发布摘要报告卡。这可能需要一些时间,但路测将在未来很长一段时间内与我们相伴……重要的是现在就整个行业的路测安全问题进行一些合作。”

5. 先进的仿真
虽然 AV 公司喜欢吹嘘他们的路测里程数,但他们却很少谈论仿真测试相关的数据。Waymo 是个例外,本月早些时候,他们宣布已经在其仿真系统中进行了 100 亿英里的测试。
但 AV 公司似乎并不那么热衷于仿真,部分原因是他们发现仿真工具市场分散,每个工具只负责模仿系统的某些元素并分散独立进行。西门子的自动驾驶与 ADAS 全球技术经理 David Fritz 说:“迄今为止,还没有可用的系统级单一 AV 仿真平台,直到几个月前西门子推出了 PAVE 360 Siemens。PAVE360 是一个有多家供应商开发的统一平台,插入模拟工具,提供整个‘虚拟’汽车的高保真模型。该平台可以对自动驾驶系统的传感/决策/执行进行完整的闭环验证。”

Fritz 解释说:“对于开发AV解决方案的主机厂和芯片设计人员来说,他们需要一种工具来确定他们的软件和硬件确实‘在整个车辆和环境中运行’。此外,仿真使他们能够根据经验数据探索不同的架构和配置,同时缩短产品上市时间。”
让我们不要自欺欺人。物理世界中的随机测试不能保证覆盖无穷的范围或极端场景,主机厂需要查看虚拟和物理模型之间的关联。
正如在题为“ Framework for Safe Automated Passenger Vehicles ”的白皮书中所表达的那样,AV 行业仍然对模拟的准确性持怀疑态度。
摘自
Fritz 声称 PAVE360 将消除对仿真的传统担忧。但当被问及 PAVE 360 时,英特尔/Mobileye 的 Weast 说他对此并不熟悉,说:“我同意仿真在 AV 的开发阶段是一个有价值的工具,但它不是安全保障的合适工具。”
鉴于 PAVE 360 推出仅有几个月,Agaram 说,“如果 Mobileye 的 Weast 没有听说过,我并不感到惊讶。”Barkai 认为 Weast 并不是在反对仿真,相反他认为不要完全放弃物理测试。他解释说:“仿真提供了额外的保证,应该减少但不能消除物理测试。”
西门子对此表示同意,说:“仅有仿真确实不是保证安全的合适工具。然而,与物理测试结合使用的仿真(例如实验室测试、轨道测试、现场测试)是安全保险的合适工具,只要它被使用在适当的方法框架内(例如相关/验证、情景数量、变化量等)。”
Fritz 指出:“ PAVE360 方法的强大之处在于它能够将仿真与物理平台相关联。PAVE360 支持 SOTIF,它可以用于测试不易被物理平台覆盖的边缘场景。”
如果像 PAVE360 那样的高级统一仿真平台确实可以让物理测试的范围缩小到仅需十亿英里的水平,仿真确实会成为强化 robo-taxi 安全性的很大帮助。

[参考文章]
<The Road to AV Safety Has Pathholes>, Junko Yoshida
写评论
积分赞赏
点赞
评论区
  • 编辑
  • {{is_favourite ? '已收藏' : '收藏'}}
  • 举报
  • 加入黑名单
  • 删除
  • 取消置顶
  • 置顶推荐
    • 6小时
    • 12小时
    • 24小时
    • 3天
    • 一周
    • 长期
  • {{digest?'撤销精华':'设为精华'}}
回到顶部
  • 全部评论{{detailStore.commentnum}} 条
  • 只看作者
  • 最热
  • 最新
  • 最早

「待审核」

{{ comment.relativeTime }} 已被赞赏 {{comment.integral}} 积分 回复

暂无相关评论

发表一下个人看法吧