雷锋网按:Mobileye闯红灯之后,这些问题值得我们深思。
说到自动驾驶,我们不得不提到Mobileye的大名。毋庸置疑,这家视觉技术公司堪称行业翘楚。
前不久,Mobileye宣布将在耶路撒冷公路上开始测试多达 100 辆汽车,并邀请媒体试乘了Mobileye自动驾驶汽车,该车内部配备12台摄像头,但没有其他传感器。
毋庸置疑,这次媒体活动对Mobileye是一个绝佳机会——展示其团队在自动驾驶汽车开发方面的进展,并公开解释其称为RSS框架(Responsibility-Sensitive Safety:责任敏感型安全框架)的汽车安全概念。很明显,RSS框架的目标是让自动驾驶汽车在公共道路上安全驾驶。
但出乎意料的是,在这次测试中,Mobileye自动驾驶汽车居然在众目睽睽之下闯了红灯!
事情发生后,Mobileye CEO Shashua 也赶紧出面解释,他表示,电视台摄像机上的无线收发装置产生了电磁干扰,直接影响了交通信
虽然Shashua 表示,Mobileye 已经对这一问题进行了修复。但这件事情告诉我们:自动驾驶汽车行业仍然有很长一段路要走。
几个月来,科技公司、Tier 1和汽车厂商一直在谈论“传感器融合”问题,即结合不同的传感器技术,帮助自动驾驶汽车分辨出道路上突然出现的物体。 尽管在业内,“传感器融合”已经变成了一个共识的趋势,但业界并没有验证传感器是否能够准确地感知信息,更不用说多个传感器感知的信息是否能够在不出现任何软件故障的情况下,正确融合。
如今,大多数从事完全自动驾驶技术的公司都在大量应用激光雷达传感器技术, 但是 Mobileye 还依然坚持仅仅依靠摄像头进行导航。
不过,Mobileye公司的计划并非一定要坚持只依靠摄像头来实现他们的完全自动驾驶。恰恰相反, 他们测试一个只需摄像头的系统只是为了验证其技术栈(智能互联产品所需的整套全新的技术基础设施)的安全性,这一步也正是他们在完全自动驾驶领域的“非主流”开发方法的一部分。
英特尔公司高级副总裁、Mobileye首席执行官兼首席技术官Amnon Shashua在博客中写道:“仅用摄像头是我们实现我们称之为‘真正的冗余’感应的策略。”
他在博客中写道:真正的冗余提供了两大优势:
第一,验证感知系统所需的数据量会大大降低;
第二,在某个独立系统发生故障的情况下,车辆可以继续安全运行, 而融合系统的车辆需要立即停止驾驶。
但是,Mobileye的终极目标,并不是只有摄像头的系统。 Mobileye的高级副总裁兼首席联络官Dan Galv表示:Mobileye计划开发各种测试车辆,并在未来几周内添加不同类型的传感器,包括雷达和激光雷达。这是开发的第二阶段的计划。
虽然在Mobileye最初的传感器系统计划中,传感器相互独立,每个传感系统都可以支持完全自主驾驶。但是,Galves强调:“Mobileye‘不排除早期传感器融合的想法’”。
对于业界对自动驾驶早期与晚期传感器融合的争论,Galves早就意识到了。他说:“不管是早期和还是晚期的融合方法,我们都将进行实验。”
值得注意的是,最新的Mobileye自动驾驶测试车辆都配备了“安全信封”(a formal safety envelope)。
根据Galves的说法,Mobileye希望其完全自动驾驶汽车可以比人为驱动的车辆更快、更顺畅、更经济地从出发地 A 点到达目的地 B 点,而且它可以驾驭任何路况。
另一个目标是:无需在公共道路上进行上亿千米的验证测试,而是用一种理论验证的透明方法来实现比人为驱动的汽车的安全性系数高 1000 倍的完全无人驾驶汽车。
他承认这些条件中的一些相互冲突,他解释说,Mobileye正在安装两个独立的系统:基于强化学习的AI系统,该系统提出了自动驾驶汽车的接下来的计划;以及基于“安全层” 的正式确定性系统,其可以否定“不安全”的自动驾驶决策。
换句话说,Mobileye并不完全信任AI来真正学习“鲁莽”和“安全”之间的区别。
Galves表示:Mobileye并没有花费巨大精力来优化AI算法,而是引入决策系统来补偿“概率AI系统”。这个被Mobileye称为“安全信封”的安全层扮演着“监督”的角色,帮助自动驾驶汽车分辨出安全与危险之间的界限。
对于Shashua在博客中说“Mobileye将提出驾驶行为的系统与批准(或拒绝)驾驶行动的系统分离开来”的说法,卡内基梅隆大学的安全专家Koopman表示:“这两个系统一个像执行者(Doer),一个像检查者(Checker)。”
(来源: Edge Case Research)
根据Koopman的说法,执行者系统负责实现正常的功能,而检查系统负责安全。用Koopman的话来说,Mobileye的“安全信封”是“又一个众所周知的安全技术”。
Koopman指出,使用已被充分理解和证明的安全技术是个好主意。他补充说:“这比创造一个新概念要好得多,因为新概念中可能存在尚未发现的微妙缺陷。”
Koopman说,在创建模拟机器人系统时,他的研究团队采取了类似的方式。 在机器人系统的试验中,他发现了准确感知很难实现。
在一篇采访中, Koopman对 Mobileye 在自己的安全性计算所基于的假设采取公开透明的态度,表示了赞扬。不过,他也对于两套传感系统的故障率彼此相互独立的假设,表示怀疑。
Koopman表示:很难相信激光雷达和雷达的故障率之间互不依赖,并且会像他们所解释的那样最终可以被证实。在自动驾驶领域,仅仅依靠假设的系统是不够的,这些假设必须首先被证实。但是我们现在就几乎可以肯定的有些假设是错的, 作者可能甚至不知道他们当时为什么会那样假设。实际上,要实现真正的冗余是一个非常棘手的事情。在冗余的传感器之间,即使有一个非常小的故障,也可能导致分析失效。
他在博客中写道:根据Moibleye的逻辑,如果你用两个完全独立的传感系统来感知一个人,那么感知一定不会失败。如果任何一个传感器感知到了这个人,那么它就会采取行动进行操作。 同时,由于独立性,系统会认为:如果两个传感器都没感知到这个人,这种情况肯定是不成立的。 这是一个合理而常用的理论。
但问题是,如果两个传感系统由于某种原因而都没有感知到这个人,那该怎么办? 如果这两个传感系统是光学传感器,那么它们可能同时被路上的泥巴盖住了,或是同时在图书馆功能上存在软件缺陷,或是同时遇到电源故障,或是在训练时同时遭遇了未知的数据错误。在这些情况下,两个传感系统可能都没能感知到这个人。当然,你可以尝试减轻这些问题,但是要处理的东西太多了。
Koopman总结说:“简而言之,完美的冗余是一件非常难以实现的事情。 值得注意的是,Mobileye将冗余和传感器多样性区分开来。 对他们来说,这是一个合理的事情,也是重要的考虑因素。 但这个事情,远远没有这么简单。
换句话说,不管是对于Mobileye,还是对于其他自动驾驶行业玩家来说,要完美解决相关感知故障问题,仍然道阻且长。
去年秋天,Mobileye发表了一篇题为《安全和可升级的自动驾驶汽车模型(On a Formal Model of Safe and Scalable Self-Driving Cars)》的技术论文。
这篇论文引起了争议,因为它断言,这个行业需要一个数学模型,这样在事故发生时,可以免除自动驾驶汽车的责任。因此,自动驾驶需要遵循一套“预先确定的错误规则”。
目前,Mobileye正在开发一种数学公式模型,用于精确定义各种车辆在特定的碰撞事故中发生的故障。Mobileye在论文中有很大一部分都在阐述该公司制定的确切规则,这一规则被他们称为 RSS 框架。这一框架规定了自动驾驶环境和过程中各类事物的规则,比如跟随距离、行走优先权以及对被遮挡的物体怎样保持警惕。
Mobileye 公司说,一旦有了这个模型,它们就可以从数学的角度证明,根据Mobileye的自动驾驶导航算法所作出的对自动驾驶汽车的操作指示不会导致碰撞等事故的发生。
学术界的安全专家们为Mobileye进行了辩护,他们指出,自动驾驶行业需要对自动驾驶汽车的安全采取严格的措施,并赞扬了Mobileye敢于尝试解决棘手问题的态度。
Mobileye似乎以一种更温和、更平易近人的方式来构建RSS框架。Mobileye将RSS框架描述为“一种正式的、可验证的系统。RSS框架规范了在一系列复杂路况中的人类判断,明确界定了什么是安全驾驶、什么是鲁莽驾驶。
对于人类驾驶员来说,碰撞和其它事故责任的解释并不是一成不变的。驾驶员的失误,都是根据事件发生后不完整的信息和各类因素来判定的。
对于机器来说,这些定义可以是正式的、精准的。机器拥有周围环境的高度精确信息,机器知道其反应时间和制动力,并且永远不会分心、走神或是被干扰。通过机器,我们不需要在事后解释其行为。
但是,就算我们假设这个数学模型是无可挑剔的,也并不能证明使用该模型算法的自动驾驶汽车永远不会造成任何事故。因为该模型建立所基于的假设是一个永远无法证明是现实的“现实世界”。另外,工程师在将理论模型转化为工作代码时难免会犯错误。
Koopman表示自己非常赞同“执行者”和“检查者”的这种方式。但是,他解释说:你需要一种方法来定义“安全”,这样“检查者”才能顺利工作。要解决这个问题,就需要用到RSS框架。因此,RSS框架可以用来定义安全。
然而,Koopman并不清楚Mobileye对RSS框架的最新定义是否与去年秋天发表的技术论文中的RSS框架定义相同。
不过,Mobileye 对于 RSS 框架的定位不止于此,他们想要让 RSS 框架最终成为现实世界测试的替代方案,他们声称利用这种方法无需进行大量测试就可以证明一辆自动驾驶汽车比人类驾驶者安全 1000 倍。然而,有很多自动驾驶汽车可能会反映错误的情况,这都没有被 Mobileye 的理论模型考虑进去。
Mobileye提出了两个独立的系统(—个是基于AI的驾驶系统,另一个是基于RSS框架的驾驶系统),那么这两个系统分别在哪个硬件上运行?虽然这两个系统都可以在EyeQ系列芯片上运行,但是可以合理地假设有两个独立的芯片在起作用。
Galves说,基于增强学习的驾驶系统由感知系统生成,只能在Mobileye的EyeQ系列芯片上运行。但是,RSS框架可以在多种不同的硬件解决方案上实现。
他补充说:“这项功能非常重要,因为我们希望RSS系统能够成为自动驾驶行业主导的标准。同时,我们需要保证整个行业不需要使用专门的Mobileye硬件或Mobileye驾驶系统算法,也能从RSS框架中获益。”
Koopman同意Galves的观点。让“执行者”和“检查者”相互独立的一个关键优势是“执行者”算法在需要时可以继续改进,而不需要经过重新验证的过程。同时,“检查者”将在一个更高的安全集成水平(SIL)芯片上运行,其驾驶系统算法可以与行业标准持平。
参考资料:
Doer/Checker for Safety Envelopes:https://youtu.be/pp_Tuu4Qzgg
Safety Envelopes:https://youtu.be/oIQDtprFhYY
论文 On a Formal Model of Safe and Scalable Self-Driving Cars 地址:https://arxiv.org/pdf/1708.06374.pdf
雷锋网推荐阅读:
Mobileye CEO 定义了全新的安全标准,它真的靠谱吗?
Mobileye CEO Amnon Shashua撰文:数学模型如何规范自动驾驶困境?
想靠数学模型解决自动驾驶时代的事故问题,Mobileye 的工程师思维“很傻很天真”?
雷锋网注:6 项会员专享特权,全年 100 期精华内容,带你深入浅出看懂自动驾驶。如果想加入雷锋网「新智驾会员计划」,欢迎点击链接 :https://www.leiphone.com/aidrive/vip 或扫描海报下方二维码了解详情。