0
雷鋒網按:Mobileye闖紅燈之后,這些問題值得我們深思。
說到自動駕駛,我們不得不提到Mobileye的大名。毋庸置疑,這家視覺技術公司堪稱行業翹楚。
前不久,Mobileye宣布將在耶路撒冷公路上開始測試多達 100 輛汽車,并邀請媒體試乘了Mobileye自動駕駛汽車,該車內部配備12臺攝像頭,但沒有其他傳感器。
毋庸置疑,這次媒體活動對Mobileye是一個絕佳機會——展示其團隊在自動駕駛汽車開發方面的進展,并公開解釋其稱為RSS框架(Responsibility-Sensitive Safety:責任敏感型安全框架)的汽車安全概念。很明顯,RSS框架的目標是讓自動駕駛汽車在公共道路上安全駕駛。
但出乎意料的是,在這次測試中,Mobileye自動駕駛汽車居然在眾目睽睽之下闖了紅燈!
事情發生后,Mobileye CEO Shashua 也趕緊出面解釋,他表示,電視臺攝像機上的無線收發裝置產生了電磁干擾,直接影響了交通信
雖然Shashua 表示,Mobileye 已經對這一問題進行了修復。但這件事情告訴我們:自動駕駛汽車行業仍然有很長一段路要走。
幾個月來,科技公司、Tier 1和汽車廠商一直在談論“傳感器融合”問題,即結合不同的傳感器技術,幫助自動駕駛汽車分辨出道路上突然出現的物體。 盡管在業內,“傳感器融合”已經變成了一個共識的趨勢,但業界并沒有驗證傳感器是否能夠準確地感知信息,更不用說多個傳感器感知的信息是否能夠在不出現任何軟件故障的情況下,正確融合。
如今,大多數從事完全自動駕駛技術的公司都在大量應用激光雷達傳感器技術, 但是 Mobileye 還依然堅持僅僅依靠攝像頭進行導航。
不過,Mobileye公司的計劃并非一定要堅持只依靠攝像頭來實現他們的完全自動駕駛。恰恰相反, 他們測試一個只需攝像頭的系統只是為了驗證其技術棧(智能互聯產品所需的整套全新的技術基礎設施)的安全性,這一步也正是他們在完全自動駕駛領域的“非主流”開發方法的一部分。
英特爾公司高級副總裁、Mobileye首席執行官兼首席技術官Amnon Shashua在博客中寫道:“僅用攝像頭是我們實現我們稱之為‘真正的冗余’感應的策略。”
他在博客中寫道:真正的冗余提供了兩大優勢:
第一,驗證感知系統所需的數據量會大大降低;
第二,在某個獨立系統發生故障的情況下,車輛可以繼續安全運行, 而融合系統的車輛需要立即停止駕駛。
但是,Mobileye的終極目標,并不是只有攝像頭的系統。 Mobileye的高級副總裁兼首席聯絡官Dan Galv表示:Mobileye計劃開發各種測試車輛,并在未來幾周內添加不同類型的傳感器,包括雷達和激光雷達。這是開發的第二階段的計劃。
雖然在Mobileye最初的傳感器系統計劃中,傳感器相互獨立,每個傳感系統都可以支持完全自主駕駛。但是,Galves強調:“Mobileye‘不排除早期傳感器融合的想法’”。
對于業界對自動駕駛早期與晚期傳感器融合的爭論,Galves早就意識到了。他說:“不管是早期和還是晚期的融合方法,我們都將進行實驗。”
值得注意的是,最新的Mobileye自動駕駛測試車輛都配備了“安全信封”(a formal safety envelope)。
根據Galves的說法,Mobileye希望其完全自動駕駛汽車可以比人為驅動的車輛更快、更順暢、更經濟地從出發地 A 點到達目的地 B 點,而且它可以駕馭任何路況。
另一個目標是:無需在公共道路上進行上億千米的驗證測試,而是用一種理論驗證的透明方法來實現比人為驅動的汽車的安全性系數高 1000 倍的完全無人駕駛汽車。
他承認這些條件中的一些相互沖突,他解釋說,Mobileye正在安裝兩個獨立的系統:基于強化學習的AI系統,該系統提出了自動駕駛汽車的接下來的計劃;以及基于“安全層” 的正式確定性系統,其可以否定“不安全”的自動駕駛決策。
換句話說,Mobileye并不完全信任AI來真正學習“魯莽”和“安全”之間的區別。
Galves表示:Mobileye并沒有花費巨大精力來優化AI算法,而是引入決策系統來補償“概率AI系統”。這個被Mobileye稱為“安全信封”的安全層扮演著“監督”的角色,幫助自動駕駛汽車分辨出安全與危險之間的界限。
對于Shashua在博客中說“Mobileye將提出駕駛行為的系統與批準(或拒絕)駕駛行動的系統分離開來”的說法,卡內基梅隆大學的安全專家Koopman表示:“這兩個系統一個像執行者(Doer),一個像檢查者(Checker)。”
(來源: Edge Case Research)
根據Koopman的說法,執行者系統負責實現正常的功能,而檢查系統負責安全。用Koopman的話來說,Mobileye的“安全信封”是“又一個眾所周知的安全技術”。
Koopman指出,使用已被充分理解和證明的安全技術是個好主意。他補充說:“這比創造一個新概念要好得多,因為新概念中可能存在尚未發現的微妙缺陷。”
Koopman說,在創建模擬機器人系統時,他的研究團隊采取了類似的方式。 在機器人系統的試驗中,他發現了準確感知很難實現。
在一篇采訪中, Koopman對 Mobileye 在自己的安全性計算所基于的假設采取公開透明的態度,表示了贊揚。不過,他也對于兩套傳感系統的故障率彼此相互獨立的假設,表示懷疑。
Koopman表示:很難相信激光雷達和雷達的故障率之間互不依賴,并且會像他們所解釋的那樣最終可以被證實。在自動駕駛領域,僅僅依靠假設的系統是不夠的,這些假設必須首先被證實。但是我們現在就幾乎可以肯定的有些假設是錯的, 作者可能甚至不知道他們當時為什么會那樣假設。實際上,要實現真正的冗余是一個非常棘手的事情。在冗余的傳感器之間,即使有一個非常小的故障,也可能導致分析失效。
他在博客中寫道:根據Moibleye的邏輯,如果你用兩個完全獨立的傳感系統來感知一個人,那么感知一定不會失敗。如果任何一個傳感器感知到了這個人,那么它就會采取行動進行操作。 同時,由于獨立性,系統會認為:如果兩個傳感器都沒感知到這個人,這種情況肯定是不成立的。 這是一個合理而常用的理論。
但問題是,如果兩個傳感系統由于某種原因而都沒有感知到這個人,那該怎么辦? 如果這兩個傳感系統是光學傳感器,那么它們可能同時被路上的泥巴蓋住了,或是同時在圖書館功能上存在軟件缺陷,或是同時遇到電源故障,或是在訓練時同時遭遇了未知的數據錯誤。在這些情況下,兩個傳感系統可能都沒能感知到這個人。當然,你可以嘗試減輕這些問題,但是要處理的東西太多了。
Koopman總結說:“簡而言之,完美的冗余是一件非常難以實現的事情。 值得注意的是,Mobileye將冗余和傳感器多樣性區分開來。 對他們來說,這是一個合理的事情,也是重要的考慮因素。 但這個事情,遠遠沒有這么簡單。
換句話說,不管是對于Mobileye,還是對于其他自動駕駛行業玩家來說,要完美解決相關感知故障問題,仍然道阻且長。
去年秋天,Mobileye發表了一篇題為《安全和可升級的自動駕駛汽車模型(On a Formal Model of Safe and Scalable Self-Driving Cars)》的技術論文。
這篇論文引起了爭議,因為它斷言,這個行業需要一個數學模型,這樣在事故發生時,可以免除自動駕駛汽車的責任。因此,自動駕駛需要遵循一套“預先確定的錯誤規則”。
目前,Mobileye正在開發一種數學公式模型,用于精確定義各種車輛在特定的碰撞事故中發生的故障。Mobileye在論文中有很大一部分都在闡述該公司制定的確切規則,這一規則被他們稱為 RSS 框架。這一框架規定了自動駕駛環境和過程中各類事物的規則,比如跟隨距離、行走優先權以及對被遮擋的物體怎樣保持警惕。
Mobileye 公司說,一旦有了這個模型,它們就可以從數學的角度證明,根據Mobileye的自動駕駛導航算法所作出的對自動駕駛汽車的操作指示不會導致碰撞等事故的發生。
學術界的安全專家們為Mobileye進行了辯護,他們指出,自動駕駛行業需要對自動駕駛汽車的安全采取嚴格的措施,并贊揚了Mobileye敢于嘗試解決棘手問題的態度。
Mobileye似乎以一種更溫和、更平易近人的方式來構建RSS框架。Mobileye將RSS框架描述為“一種正式的、可驗證的系統。RSS框架規范了在一系列復雜路況中的人類判斷,明確界定了什么是安全駕駛、什么是魯莽駕駛。
對于人類駕駛員來說,碰撞和其它事故責任的解釋并不是一成不變的。駕駛員的失誤,都是根據事件發生后不完整的信息和各類因素來判定的。
對于機器來說,這些定義可以是正式的、精準的。機器擁有周圍環境的高度精確信息,機器知道其反應時間和制動力,并且永遠不會分心、走神或是被干擾。通過機器,我們不需要在事后解釋其行為。
但是,就算我們假設這個數學模型是無可挑剔的,也并不能證明使用該模型算法的自動駕駛汽車永遠不會造成任何事故。因為該模型建立所基于的假設是一個永遠無法證明是現實的“現實世界”。另外,工程師在將理論模型轉化為工作代碼時難免會犯錯誤。
Koopman表示自己非常贊同“執行者”和“檢查者”的這種方式。但是,他解釋說:你需要一種方法來定義“安全”,這樣“檢查者”才能順利工作。要解決這個問題,就需要用到RSS框架。因此,RSS框架可以用來定義安全。
然而,Koopman并不清楚Mobileye對RSS框架的最新定義是否與去年秋天發表的技術論文中的RSS框架定義相同。
不過,Mobileye 對于 RSS 框架的定位不止于此,他們想要讓 RSS 框架最終成為現實世界測試的替代方案,他們聲稱利用這種方法無需進行大量測試就可以證明一輛自動駕駛汽車比人類駕駛者安全 1000 倍。然而,有很多自動駕駛汽車可能會反映錯誤的情況,這都沒有被 Mobileye 的理論模型考慮進去。
Mobileye提出了兩個獨立的系統(—個是基于AI的駕駛系統,另一個是基于RSS框架的駕駛系統),那么這兩個系統分別在哪個硬件上運行?雖然這兩個系統都可以在EyeQ系列芯片上運行,但是可以合理地假設有兩個獨立的芯片在起作用。
Galves說,基于增強學習的駕駛系統由感知系統生成,只能在Mobileye的EyeQ系列芯片上運行。但是,RSS框架可以在多種不同的硬件解決方案上實現。
他補充說:“這項功能非常重要,因為我們希望RSS系統能夠成為自動駕駛行業主導的標準。同時,我們需要保證整個行業不需要使用專門的Mobileye硬件或Mobileye駕駛系統算法,也能從RSS框架中獲益。”
Koopman同意Galves的觀點。讓“執行者”和“檢查者”相互獨立的一個關鍵優勢是“執行者”算法在需要時可以繼續改進,而不需要經過重新驗證的過程。同時,“檢查者”將在一個更高的安全集成水平(SIL)芯片上運行,其駕駛系統算法可以與行業標準持平。
參考資料:
Doer/Checker for Safety Envelopes:https://youtu.be/pp_Tuu4Qzgg
Safety Envelopes:https://youtu.be/oIQDtprFhYY
論文 On a Formal Model of Safe and Scalable Self-Driving Cars 地址:https://arxiv.org/pdf/1708.06374.pdf
雷鋒網推薦閱讀:
Mobileye CEO 定義了全新的安全標準,它真的靠譜嗎?
Mobileye CEO Amnon Shashua撰文:數學模型如何規范自動駕駛困境?
想靠數學模型解決自動駕駛時代的事故問題,Mobileye 的工程師思維“很傻很天真”?
雷鋒網注:6 項會員專享特權,全年 100 期精華內容,帶你深入淺出看懂自動駕駛。如果想加入雷鋒網「新智駕會員計劃」,歡迎點擊鏈接 :http://m.35crmo.cc/aidrive/vip 或掃描海報下方二維碼了解詳情。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
