Now Reading
「无人驾驶」vs 「太空狂热」- 由从容不迫到最后一搏! | Part 2

撰文:徐鸿鹄 | 排版:王晓峰 |编辑:芃娘娘

⚠ 全文总长约含11980字,预计您的阅读时间为30分钟。

公众号:几何四驱 (ID: GeometryAWD)



「这是一段儿你应该预先知道的故事」

智能革命的安全挑战 - 当黑天鹅坐上无人车 | Part 1

序言

「请再给我一支烟的时间」


前文Part 1的故事里,我们意识到钢铁侠的SpaceX耗费心血研发的BFR(Big Fucking Rocket)达成火星移民的路线图实在是太美好,在它被制造出来之前真正的无人车都不敢上路。


在马斯克的日常吹牛时刻里,他进一步透露了SpaceX这些“真家伙”的存在!而「移民火星」「无人驾驶」相比,它魅力在于,同样是“跑路”这件事,火箭不需要轮子。


2023年,第一批预备役火星人将从地球出发,利用“火星冲日”搭乘“五月花号”飞向它们的新母星 — 这将是从地球飞往火星的最好时机!因为这个发射窗口要每26个月才出现一次。



当然,由SpaceX送上太空的第一台“特斯拉跑车”上的那个略显孤独的“太空人”是不需要时间表的 — 他的旅程(理论上讲)将被时空禁锢在地球和火星之间的椭圆轨道上10亿年,它只能听由Autopilot摆布,每天盯着那块写着“Don’t Panic!”的中控大屏抚慰自己,憧憬永恒之人必享自由!



如果说“航天突破 移民火星”是噱头的话,那么航空领域的无人驾驶飞行汽车就是实打实的踢馆了。事实上,在美国,航空安全标准早已经走在了汽车行业的前面 - 飞行汽车的结构更简单,部份场景下运行成本更低,时效性更好,对运行环境也不会很挑剔,简直优秀到没朋友。不单硬件可靠性好,软件层面上也有着近40年的最佳安全实践历练,自由落体的血泪教训警钟长鸣啊 



「无人车」与这两个家伙比拼测试里程?无疑是螳臂当车!在这场关于时空的速度竞赛里,「无人车」几乎毫无胜算。


在地球上,空间已经不存在有形的边界了,你将能在24小时内达到任意地方。过不了几年,太空将会成为人类新的边界 - 星际通勤和货运,太空矿业,太空冶炼将成为大宇航时代资本的狂欢 - 美国科罗拉多矿业学院即将迎来第一批太空挖矿毕业生在彗星上完成毕业典礼。



这个世界上永远都有志存高远的人,一颗价值连城名为“Germania”的小行星已经成为地球资本家新的猎物,经济师们对其估价高达95.8万亿美元,它超过了全球GDP总和。这还不算太空里的“超级库里南”们 一 单颗直径30米由纯铂金打造的“宇宙钱眼”,估值高达500亿美元!


资本是现实主义者,无人车“狂热” 需要在夹缝当中挤出一条生路!“你咋不上天呢?” 始终是抵在无人车脊背上的达摩克利斯之剑。


「无人车」即将走进Hype Cycle下行周期的节骨眼上,我们需要认真审视无人车上路的可能性,而「无人车安全」就是那个绕不开伴随无尽纷争的话题!


「无人车安全」的攻坚战,是一场伟大的“乌拉”冲锋,就像在库尔斯克战场开着T34向德国人的虎式和费迪南冲锋时的俄国人一样,华丽决绝,悲壮浪漫。



时钟滴答,「无人车安全」这件事儿到底需要多靠谱,不能去问从业者,因为答案自在人心。


据悉,76%的人还不会让自己的孩子轻易尝试这项科技。

其中一半的人担心其安全,不会自己购买无人车上路,不接受无人车的科技溢价。

剩下还有三分之一的人则对此莫不关心。


         一眨眼的功夫,真理就可以从被激烈地围攻转变为妇孺皆知。

— 叔本华



技术都存在特质,它们都有自己的DNA,而基因是自私的,在进化的道路上,生存的游戏离不开残酷的厮杀,被围攻时的坚守往往决定了最终的命运,命运没有道理可讲,却要时刻准备好:命运把球抛给你时,务必要接的住。


天关尚有五行镇,河汉只待四於参。再不济,群星璀璨,地广人稀,没有马路和行人的火星广袤大地,也可以成为无人驾驶技术尽情撒欢的试验田和印钞机。


从“奥林匹斯”山巅到“水手谷”裂隙,在从东边日出到西边日落的辽阔大地上搞规划,想想都能笑成一头猪。

         我听见回声,来自山谷和心间,以寂寞的镰刀收割空旷的灵魂,不断地重复决绝,又重复幸福,终有绿洲摇曳在沙漠。我相信自己,生来如同摧残的夏日之花,不凋不败,妖冶如火,承受心跳的负荷和呼吸的累赘,乐此不疲。

— 泰戈尔《生如夏花》


算算,是不是正好一根烟的工夫?



人车的安全性一直伴随着各种争议甚至非议。


无人车要想取得人类的信任,是否必须建立起普世的评价标准?就像现在大家都用是否持有驾照来判断一个人是否有资格开车一样,无人车是否也需要通过“驾照考试”来证明自己的能力?


「无人车」的“考试”显然要比人类更加苛刻。

毕竟这是一部对人的生命权而言至关重要的机器。 

在 续篇 Part2 里,我们的主角故事也将就此展开…




「全 文 提 纲」

01. 测试里程暗含猫腻,缺失为安全背书的统一标准


02. “感知”和“决策”过程的安全黑洞:机器学习技术缺乏可解释性


03. 执行器 — 科技公司的绝对弱项


04. 测试是蛮力思维,没有完美的尽头


05. L3技术路线复杂程度更高,反而比L4路线难度更大?


06. ”互动安全“崭新的课题,无人车要成为“社交动物”




「Enjoy」


01
测试里程暗含猫腻?
缺失为安全背书的统一标准!


这个问题的答案比我们所预想的要深刻得多。


开篇的例子里,我们假定每一起交通事故都是独立发生的。

然而在现实世界里,事故之间多是存在关联的。

比如局部恶劣天气,公共假期出行,通勤高峰时段都会集中发生事故。

可见,简易的概率模型都会存在缺陷和误差(开篇两个概率模型的预测结果居然相差两个数量级之多),它们不能用来精确评估无人车的安全水平。


回顾我们上一篇的专题文章,在丰田的意外加速案例当中,丰田汽车在开发阶段经历了3500万公里的整车路试,此外还有1100万小时的软件模块测试,却依然在电子节气门系统中暴露了严重的安全问题。


它问题就在于,系统软件上设置了太多的运行状态,太多时间序列的组合,测试的维度无法穷尽真实的物理世界维度。


这意味着,可以做你想做的所有测试,但你永远也找不出所有的错误。 


▼ CMU

相对于传统的“数据密集型”验证方式进行“蛮力测试”,有些专家认为脱离报告才是更好的量化风险的评价指标。


脱离(Disengagement)- 是指在测试过程中为避免事故,人类接管无人汽车控制的行为。


在美国加州这个自动驾驶技术风靡的圣地,云集了地球上几乎所有的无人汽车初创公司。加州机动车辆管理局(DMV)每年都会发布自动驾驶汽车脱离报告,统计它们每一家近一年来的战报。


前Google的Waymo和通用的Cruise一直长期占据着榜单的前两名。Waymo实现了每5000英里“脱离”一次的水平,但和距离人类每16.5万英里出现一次普通事故的几率比较,还处于小学生的水平。


当然,单看脱离里程,其意义不大!

因为,更加重要的是问题是 - 为什么选择脱离? 


DMV规定,每家公司的报告中都必须要提交脱离的六类原因」:天气情况路面情况道路施工紧急情况事故碰撞计划的技术测试


我们深入思考脱离这件事,做了个以下有限的猜想,它们可能都是对的:

  • 多个地点发生了同一个类型的脱离,是系统鲁棒性的问题。

  • 脱离随时间推移而呈现频率变化,多个脱离事件都与某些环境因素相关(如天气,车流高峰)。

  • 每次脱离遭遇的都是不同的问题(即便被分在同一个大类里面),是测试覆盖率的问题。

  • 脱离沿时间轴呈现柏松分布的规律,有运气的成分在里面,而不单是技术本身。


由此看来,脱离数据统计背后有着无数的影响因素,但是DMV的分类表却无法一一识别,如果有人做一些简单的手脚,他们就可以让数据变得更加好看!


不过Waymo是个勤奋的好学生,它给大家做出了好榜样:

它在DMV的基础上它又新增了六个公司内部使用的分类标签 - 道路使用者的行为硬件误差软件误差感知误差对其他交通参与者行为的错误预测 以及 非预想的车辆行为


博世(Bosch)仍然坚持自己的看法,它只提交了一页正文的脱离报告,它认为很多人工介入的情况还是难以被定性地分析,因此将所有的脱离都列为技术测试需要。


▼ Robert Bosch Disengagement Report 2017


在起步阶段,大家能够支持结论的测试样本数量往往都太少了。

现有的脱离报告只能了解到大家关注的不同技术侧重点,而不是技术的优劣。



全球各地目前都在开展无人车竞赛,但那些都是以速度为导向的“竞技运动”,他们目标更像是奥林匹克精神倡导的更高更快更强,赛事里很少有人真正去比较和判断无人车的安全性可靠性


看来,不管基于是路试里程,还是脱离报告的统计数据,亦或是竞技排名,目前业界都还没有一个成熟简易的指标可以定量化地概括一家无人车公司的技术安全水平,我们需要新的观点赋能。


02
“感知”和“决策”过程的安全黑洞:
机器学习技术缺乏可解释性


以人类驾驶员开车时会一直关注的四个基本问题为导向,在高级驾驶阶段,机器被要求能够独立回答这几个问题而不需要人为干预:


我现在是在哪?    — 定位问题

我周围有什么?    — 感知问题

将会发生什么?    — 预测问题

我该做些什么?    — 决策问题


这些问题可以被归纳成两个大的方向:感知决策

感知决策是无人车的核心能力之二!

机器学习算法将被大量用在无人车上!


强化学习,是通过类似于心理学上条件反射式的训练,让机器理解自己的行为所引发的结果。 这个算法的范式非常通用,理论上可以应用于任何模型未知环境里的“决策”任务,但这种普遍性带来的问题就是算法很难利用有限的信息来帮助学习,必须使用多到吓人的训练数据来得出规律。


▼  “虐狗狂魔”巴浦洛夫,发现了条件反射,启发了强化学习。


正规地解释强化学习,就必须使用很多的数学符号来表达。不过,我们可以更直观地理解这个概念:“代理”(小老鼠)从“环境”(迷宫)中得到“观察”(位置)和“奖励”(奶酪),并选择接下来的“动作”(移动),“环境”(迷宫)接收“动作”(移动)并发出新的“观察”(位置)和“奖励”(奶酪)给“代理”(小老鼠),目标是从长远来看最大限度地提高总回报(比如找到迷宫里更多的奶酪)。


▼  谁动了我的奶酪?


深度学习是另一种范式,部分受到了生物大脑神经元结构的启发。它很适合用来处理混乱而连续的数据,比如用在时间信息的“感知”(如无人车的目标行为预测)和空间信息的“感知”(如无人车摄像头目标识别)领域的话,能力非常强大,但需要大量的数据进行训练。


▼  “深度”学习,是数据科学家的最爱!


深度学习是多层的神经网络结构。

深度学习的网络结构越复杂,对于更大的数据,预测就会做得越好,而传统模型则很难通过增加更多的训练数据而提升性能。此外,深度学习能完成从原始数据到最终预测的“端到端”的训练,通过网络结构本身就可以自发地找到数据内在的特点。理论上,多层神经网络可以用来拟合世界上的任何规律(函数)。



特斯拉这样的技术企业,一直笃信只要能从雷达和摄像头采集足够的数据训练汽车,汽车就能学到高超的车技,让驾驶更安全。


▼ 特斯拉:大数据+机器学习+算力 = 自动驾驶


但是,机器学习是一种归纳式的算法,很容易受到“黑天鹅事件”的影响。 一旦算法在实际应用时遇到了没有遇见过的情况,原本不够全面的数据训练经验就会导致计算失败,甚至给出错误的判断。


▼  英国人漂洋过海来到了澳大利亚,才发现原来世界上存在黑色的天鹅。


▼   黑天鹅代表了极端的情况,小概率不可预测,又具有重要影响的事件


“黑天鹅理论”的创造者 Nassim Nicholas Taleb 认为:

自然界本来就是个复杂系统,它的本性其实是充满波动的,时不时就会整点事。可是现代的人类却总是谋求让一切能够稳定地运行来确保安全,这就带来了矛盾。


当「机器学习」遇到“黑天鹅”,无人车就“懵圈”了。

在机器学习的世界里,有一些模型天生就是“无法解释”的。


就以对人类最最不友好的深度学习为例,它决策所依据的数学公式是什么呢?


它有可能是这种形式:

这是一个真实的例子!


在深度学习的语境里,这还算是比较简单的模型,但已经完全超越了人类大脑的理解。

 

深度学习强大的地方就在于,机器可以凭空创造出一大坨这一类的复杂公式,并以极高的准确度来解释现实世界里的现象


然而,却没有人能够真正理解这些公式的意义,关于世界本质的解释被人类创造的机器隐藏在了一堆看似无意义的数学符号里。


“不可解释”就意味着“危险”,下面的这个经典的试验就说明了机器创建的公式有多么的不可靠。


左面的图片,算法以60%的置信度将其归类为汽车,但如果对图像施加微不足道的像素级干扰 — 添加了一些像素噪声进去,不易察觉地修改图像变成右图,同样的算法会以99%的置信度判断图中的物体是“非汽车”


这里例子里,我们对机器模型一无所知,对异常随机噪声对模型的影响也一无所知。 


人工智能三巨头之一的Yann LeCun认为:

人类大脑是非常有限的,我们没有那么多脑容量去研究所有东西的可解释性。确实,在大多数日常应用里,可解释性没有那么重要,比如手机里有那么多应用程序、还有搜索网站在为你服务的时候,你根本就不用关心底层机器学习算法背后的可解释性的问题。但在无人车的领域里,安全是第一天条,我们必须跟踪和定位会导致算法异常的原因,因此,“可解释性”就变得至关重要了。


机器学习技术是拒绝由“顶层算法设计者”(即人类)亲手设计模型的,机器通过“训练数据”来自动“归纳”模型。我们无法判断“训练数据”是否“充分”,也无法判定机器模型是否足够“稳健”。


因此,机器学习算法的安全性将完全依赖于训练数据的质量!


不同的企业选用的“训练数据”五花八门,没有统一的标准。

此外,在人类考虑用“黑天鹅”训练数据的时候,机器学习系统认为的“黑天鹅”可能并不是人类给定的样子,从而使得数据训练不够充分,这些都是安全风险的潜在来源。


我们如果拿机器学习技术套用ISO26262功能安全标准的话,就会发现,根本就没有现成的系统模型来提取功能安全的具体需求,因为系统模型被放进了机器学习的“黑箱”,“功能安全”被不可解释的“训练数据”替代了。


传统认为,模型代表了知识

但在机器学习的“黑箱子”里,更确切的说法是:训练数据才是知识


▼ 基于机器学习的系统里,需求“Requirement”哪去了?  

面对某一领域的某一特定问题,“黑天鹅”永远都存在。

我们不可能找到足够充分的训练数据,这一个普遍存在的事实。

此外,我们在选取训练数据时,必然要建立一系列的数据筛选标准,因此我们才能得到筛选之后的结果。但是,也许有些关键的信息会由于我们筛选的标准不够完美而被错误地过滤掉了,反而造成了训练数据的不完备,这被称作“幸存者偏差”


▼  Thyssenkrupp Presta AG


功能安全需求,测试用例,测试结果三者是联系在一起的,从而将功能安全需求转化为实际产品的安全特性。


但在机器学习方法里,晦涩的“训练数据“代替了明确的”功能安全需求“,破坏了原有的安全追溯性。一旦训练数据不够充分(这是必然发生的),就只能通过编写合理的测试用例来最大限度地补救,来保证安全性。于是编写充分而合理的测试用例,就成为了最大的安全挑战。


可见,机器学习技术在安全方面存在先天不足。

它无法将功能安全需求“可解释地”落实到最终产品当中。


为了解决这个问题,业界也探索性地提出了一些解决方案。


第一个想法,是引入更具“解释性”的非机器学习算法来“监督”机器学习算法,让两者协同工作。


▼  监视程序会监控机器学习过程,一旦计算结果出现了不可解释的错误,具有更高优先级的监视程序将强制机器学习算法“宕机“。


这个思路避开了“可解释性”的陷阱,把“黑箱”的能力限制在传统算法的监管范围之内,一旦“黑箱”的行为越界,就会被强制关闭。


第二个思路是在“黑箱”上打开一个缺口 - 在机器学习算法运行的中间过程中插入一个“可观察测试点“,在这个“可观察测试点”考察“黑箱”算法给出的中间计算结果是否“可解释”。以此来确保机器学习算法是按照符合“功能安全需求”的方式运行。



还是以深度学习为例,比如识别汽车,神经网络在中间层里,先学到了边角的概念,之后学到了局部特征(如车轮),最后学到了整个车的特征(如车身外形)。


如果我们能用一些方法在中间的“可观察测试点”理解算法从低级概念向高级概念生成的过程,就能对机器的决策多一分理解,让我们的模型更加“可解释”,更加安全。



对于集成了机器学习算法的无人车来说,安全的核心不在于“道路里程“测试,而是“功能安全需求”是否落到实处,安全体现在算法的“可解释性”上,体现在制定完备的“测试用例“的能力上。 



在“可解释性”的道路上,概率编程技术是一个前景光明的解决方案,它可以让研究者像程序员编程一样构建机器学习算法。它最大的优势就是能够处理不确定性的能力。Google的研发人员也在努力建造融合概率编程和机器学习的系统,让两者优势互补。


03
执行器 — 科技公司的绝对弱项


「感知」「决策」的战场,是基于传感器算法或软件系统的,统统都是科技厂商的强项。但控制的问题则不然,控制需要执行器的参与,这是传统汽车产业( 不一定是车厂)的绝对强项


汽车执行器的电控系统通常需要闭环控制,这就意味着执行器也会集成传感器,从而响应更多的输入输出信号,这就显著提升了系统的复杂程度。由于电控系统直接参与车辆行驶的管理,对于人类的生命安全来说至关重要,安全和可靠性的要求自然更高。


上层的算法再好,没有可靠安全的执行器,汽车也难以大规模复制行程规模。从上一篇文章丰田汽车电子节气门的故事里,我们就花了整个篇幅来讨论了执行器的安全。一个好的执行器需要全面的安全设计:通讯和网络,诊断功能,操作系统架构,软件开发最佳业务实践,代码测试规范,硬件冗余设计和防错,整车集成测试方法论等等,全部都是车规级的苛刻要求,门槛非常高。 这也是科技公司无法独立造车最重要的原因,科技公司和传统汽车产业强强联合整合优势才是无人车安全的最佳保证。


在执行器领域,线控驱动技术的广泛采用,正在加速汽车电子控制系统的升级,实现从提供单独功能控制到提供集成控制功能的持续转变。这种转变会提高汽车的安全性和驾驶性能。比如线控油门技术产生了定速巡航功能,线控刹车带来了更快的反应时间,实现了更短的制动距离,制动能量回收也成为了可能。


科技公司往往缺乏对于汽车本身操控性的理解,无缝整合“控制”这块拼图的难度非常大。相当多的Know How掌握在车厂和Tier1供应商手上。领先的执行器供应商往往体量很大而且非常强势,这就造成了很多科技公司只能停留在原型车的阶段,只能做Demoware,甚至为了快速验证算法, 不得不无视功能安全,把自己逼成了执行器改装大师。


▼  线控转向改装大师的鼻祖 


改装带来的问题就是执行效率和产品一致性非常差。

每个车的控制特性都不一样,给上层算法带来了很多问题。

技术公司不得不舍近求远,让算法自适应不同的硬件特性,牺牲了性能和安全,导致技术畸形发展,这是我们不愿看到的。


不过就在几周前,Waymo开始了大手笔的投资,一次性订购数万台无人测试汽车,通过OEM代工整合了高冗余高安全等级的执行器技术,解决了“控制“的短板,取得了高起点,这也给迷茫的业界指明了方向。


04
测试是蛮力思维,没有完美的尽头!

测试一个儿童穿越人行横道的场景,在10次试验过程中,汽车都没有撞到儿童。

于是我们得出结论说:汽车不会撞到人行道上的儿童,实验结束。



仔细想一想,我们就会发现这个结论简直就是漏洞百出!


即便10次测试都成功通过了, 以下枚举的无数种情况也都可能是成立的:


  • 无人车随机选择的路径10次都“幸运“地避开了儿童

  • 无人车在较低车速下才能识别到儿童,而这10个测试都“恰巧“选用了低车速

  • 如果儿童不在人行道上,无人车就不会躲避儿童

  • ……


推演下去,测试存在局限性的事实就会无所遁形。


伟大的统计学家George E.P. Box生前的名言:

所有模型都是“错的”,但有些是“有用”的。这个论断也同样适用于测试:所有的试验都是“错的”,但有些测试是“有用”的。


我们不妨看看哪些被普遍采用的无人车测试方法里的局限性:


  • 正式部署车辆上路: 无法模拟极端天气,特殊的交通法规,独特的交警手势等

  • 部署前的路试阶段试验:无法模拟意料之外的场景和驾驶环境,兼容第一条。

  • 封闭场地路试试验:无法模拟意料之外的驾驶行为,低等级的交通基础设施,道路危害;兼容前两条。

  • 完整的汽车和环境模拟试验:无法模拟真实的物理世界,如路面摩擦,传感器噪声,执行器噪声等;兼容前三条。

  • 简化的汽车和环境模拟试验:无法模拟真实的传感器感知信息:纹理,反射,阴影,无法模拟真实的执行器特性:如控制系统的响应速度特性;兼容前四条。

  • 汽车子系统模拟试验: 无法模拟子系统之间的交互作用;兼容前五条。


这就是关于测试的第一个重要的概念“结构化测试”,这个结构的特点如下:


  • 测试越接近底层,就越偏向于简单而普遍的测试情境,能够提供更高的测试覆盖率。

  • 结构化的测试策略能够降低整体测试的复杂程度,让测试“降维“。上一级测试只关注下一级测试的理论局限性。比如:正式部署的汽车路试只去关注意料之外的场景和驾驶环境,而不必更底层的模拟实验,其余以此类推。

  • 所有的“测试“环境皆是仿真的,测试局限性是永恒的话题。


“结构化测试“的探索之外,还有一些研究项目也在致力于完善和推进测试的有效性。


美国国家机器人工程中心(NREC)在美国国防部的资助下,开展了一项为期三年的项目ASTAA(Automated Stress Testing of Autonomy Architectures),项目研究的是一种“压力测试”方法,不需要系统模型,直接生成测试用例,深度挖掘出其它常规测试方法无法发现的软件安全缺陷。


按照Ron Patton在其《Software Testing》一书中的定义,压力测试是一种破坏式可靠性测试,故意让软件在异常环境下运行,比如通过人为地注入错误输入(Fault Injection),以此考验程序并发现软件缺陷。



测试用例的生成来自于不同类型数据对象的组合,而不是传统的随机数据流,从而提高效率。 


▼   正常数据和异常数据被组合后输出为测试用例


不管是“结构化”测试还是“压力”测试,都只能部分地解决安全问题, “脱离报告”所关注的只是“路试”一个维度,为了实现无人车安全,必须从多维度出发,建立全面的“测试观“。


它可以包括但不限于:

  • “刷”路试里程。重点跟踪“脱离”事件,并利用整车测试验证仿真结果。

  • 激进的“故障注入”策略(如压力测试)。通过人为导入故障的测试来寻找潜在失效模式。

  • 通过“结构化测试”进行“仿真”。层级化的测试提高测试覆盖率和测试有效性。

  • 确保以正当的理由通过测试。确保人类监控到无人车的“决策”过程,并认为决策是合理的。

  • 关注测试的意外情况。测试时应考虑“黑天鹅”,极端而罕见事件的影响。

  • 关注测试的假设前提。如果假定A不会发生,就设置一个“探测器”机制来证实A确实不会发生;如果认为B很罕见,那就通过测试计算出B的出现几率;如果认为C不会引发D,那就注入一个故障模拟C,看看是否会发生D。


 “我想到了所有的可能性”是一个天真的幻想。“测试”要涵盖我们认为不重要的东西,涵盖我们认为罕见的东西,涵盖我们不能完全确定的东西,甚至涵盖我们想象不到的东西。


▼  测试的终极局限性就在于,“离散”的测试点堆砌无法完全填补“连续”的真实世界


思考再进一步,我们还会发现,不管是模拟的环境还是现实的环境,任何测试都要由人类来搭建测试场景,但我们要验证的却是无人车的机器智能。我们越是测试,汽车的行为就越是依赖于人类的认知和经验,因为任何测试场景的搭建都包含了人类的意志。在依靠人类的直觉和本能搭建的场景下训练出来的安全行为是否等价于真实物理世界里的无人车最优安全原则,我们对此一无所知。


▼  阿尔法狗AI相继战胜顶级围棋棋手的时候,我们已经预见到了这种可能性:一些看似人类独有的智慧可以还原成算法和计算力,人类千年间总结的围棋范式在AI看来,与棋感,棋风,大局观云云没有任何区别——不过是人类在计算能力欠缺时诉诸的直觉和本能。

世界的真相就是:再严密的试验都存在缺陷。


05
L3技术路线复杂程度更高,
反而比L4路线难度更大?


在SAE汽车智能化路线图里,主流的路线分为两类,一类公司从3级渐进到4级,另一类则直接从4级开始应用。


L3过渡到L4,与直通L4这两种演进路线会带来不同的系统安全设计方向。

L4并不代表自动驾驶汽车不能有方向盘刹车油门,而是说汽车并不需要人类随时待命并接管车辆控制,如果要享受驾驶的乐趣和激情,无人车也会保留这些硬件让人类驾驶员操控。


▼  在L3向L4过渡的路线里,驾驶员与自动驾驶系统互为备份,汽车在一定条件下可以独立工作。


▼  L4直通的路线里,驾驶员能做的很有限,在无人车不能正常工作时才介入。


SAE L3人车协作有以下三个考量:


  1. 驾驶员要尽可能地集中注意力

  2. 人车交接时要留给驾驶员足够的反应时间

  3. 驾驶员给出操作指令时,汽车要及时响应


L3阶段要实现的是一个人机协作的双路系统。

人与机器控制车辆所采用的硬件设计,软件及算法设计存在很大的区别, 而且驾驶员往往需要在几秒内转换角色,从「乘客」变成「司机」,但随着驾驶辅助系统变得更加先进和复杂,交接的任务就越发繁重,交接过程反而成为了安全隐患的一个重要来源,这对行车安全是一个极大的挑战。


▼ “驾驶行为的人机交互“是L3级自动驾驶的一个重要课题。


Waymo早在2012就开始测试L3级别的自动驾驶方案,但发现人类司机倾向于过度相信自动驾驶系统,并且在汽车出现问题的时候,接管汽车的反映速度又太慢。于是Waymo决定放弃渐进路线,决定直接开发L4级的方案。这就对汽车安全的实现提出了更高的要求。


▼ 航空领域曾经经历了 4 代自动驾驶系统的发展,每代系统刚刚投入应用后,都带来了较高的事故发生率,大约94% 的事故是由于飞行人员误操作导致。通过培训飞行人员如何与自动驾驶系统相配合,飞行事故率得到显著降低。自动驾驶汽车面临比飞机更复杂的周边环境,车上人员的误操作势必带来更高的事故发生率。


人类驾驶员操控汽车要通过方向盘,油门,刹车踏板等附件传递作用力,而汽车自主驾驶是不需要这些人机接口的,只需要基本的作动执行装置。 此外考虑人机交接的需求,还要增加一系列舱内警示和触感装置,依附于执行器的逻辑并与驾驶员互动,通过它们汽车可以高效提示和监控驾驶员正确接管汽车控制。人机双路系统既要协同工作又要互不干扰,这让L3系统的设计变得异常复杂。


▼ 以线控转向系统为例,L3人机双路系统里,汽车自身只需要执行机构即转向机,但对人类驾驶员则需要增加一个额外的反馈驱动器,接受人类操作指令并模拟操控手感。  如果直接考虑L4,则系统复杂程度可以大大降低,甚至方向盘也可以直接取消。


从简化系统设计复杂程度提升安全等级的角度来看,L4路线是更好的选择。


有些科技公司认为:机器学习算法与L3级自动驾驶技术的整合,比L4的路线更加合适。


在人类操控汽车的时候,无人汽车「感知”」「决策」模块仍然在工作,它们藏在后台里(所谓的“影子”模式)不断搜集人类的驾驶行为数据,这些数据可以用来训练出更好的机器学习模型。


L3的双路系统提供了一个机器学习算法天然的训练环境,并用来指导算法不断地改进,这在L4的路线里是无法实现的。


特斯拉就曾表示,2017年他们没有自动驾驶路测数据。但是,特斯拉已经把电动车卖到了全球各地,通过匿名的方式收集汽车数据。这些车辆并没有完全自动驾驶,但特斯拉声称这种方法可以帮助其实现“全自动驾驶”能力。


这个想法非常有意思,但却会触碰到一个经典的模型:探索与利用(Explore & Exploit)


▼ Harvard Business School:时间是有限的,一边要向外“探索”,一边要向内“利用”, 探讨两者的比例是一门高深的学问。


如果追求市场占有率抢占市场,大规模部署算法并实现技术“激进地”快速迭代,这就是“探索”,随后还要采用“渐进”的思路“利用”之前学到的技巧保证无人车的运行安全。这个想法的一个隐含信息是:路上跑的每一台车(甚至包含L3级别的量产车)其实都不是绝对安全的,因为我们把每一台车都变成了试验车,不断为提升安全性能贡献感知数据进行迭代训练。


本质上来说,以“训练数据”作为技术驱动力的想法与“蛮力测试”的思维是一丘之貉。安全能力的建立靠“蛮力”来解决存在先天不足:不断地获取训练数据是把自己变成了一个不可救药的“收藏癖”。为了拿到数据而不惜一切代价地散尽财力来创建高精度地图,升级高规格的传感器,部署更大规模的无人车队,恶性循环永无止境。


对于无人车这个几乎每天都在迭代更新的产品来说,很难说某个技术升级是让无人车“进步”了还是“退步”了,因此需要建立一套标准高效的评价方法来确保正确的优化方向,而不应该舍本逐末,将全部注意力都放在如何高效获取训练数据上。


06
”互动安全“崭新的课题,
无人车要成为“社交动物”


在讨论“影子模式”的必要性时,我们往往会无意识地忽视一个重要的概念:互动


▼ 通过喇叭,人类司机可以在马路上互动,表达出愤怒,警告,感谢等不同的情感。


其实,人类驾驶汽车时除了规则的约束,还存在着大量的互动行为, 司机与行人要互动,与其它驾驶员要互动,与横穿马路的动物要互动,与执勤的交警要互动,通过“影子模式”搜集的数据,只能是完整场景的一个“切片”。 


机器在采集信息的时候不会理解人类的互动行为,它们只会记录冷冰冰的数据。仅利用这些片面的知识来训练无人车能达到预期的效果么?


如果人和机器的决策给出了不同的答案,我们是更应该相信人的互动决策多一些,还是更应该相信机器的精确感知能力呢?这些数据也许有用,但似乎也不是那么的十分有用。


想象一下,当我们驾驶汽车或走在马路上碰到了真正的无人车(而不是L3级别的有人驾驶汽车),我们可以立即从与它们的互动里得到很多有趣的信息,无人车也可以慢慢掌握它与人类互动后所习得的经验。


我们也许会有意识地改变自己的驾驶策略来适应无人车的存在,同样的,无人车也会做类似的事情——这些独特的经验是无法在人机互为备份的L3驾驶阶段通过“影子模式”学到的。


▼ 无人车上路的时代,每天都有惊喜


从长远来看,将AI的决策直接和人类的决策直接比较是不现实的, 训练开始可能借鉴了人类司机应对的策略,但最终机器的智能可能会采取不同的策略,形成自己独特的风格。


无人系统面对另一个无人系统采取的做法,会与面对人类司机时不一样。


当无人车彻底统治城市的时候,群体模式行为下,可能会自发地形成全新的更优的交通规则,并超出人类的理解。


▼  有驾驶个性的无人车


▼  百度不单格外重视HMI,还提出了全新的概念EMI,以确保“互动安全”。EMI可以延伸到未来L4的场合:无人车不光可以与驾驶员和乘员互动,还可以与人类驾驶的周边车辆积极互动。




无人车技术的探索不仅仅给人类提供一面审视自己的镜子,它还能给我们带来全新的技术,全新的挑战和进取精神,以及面对严峻现实问题时依然乐观自信的心态。


凯文凯利 在《科技想要什么》里写到:

无人汽车,克隆技术,物联网……无论人类是否喜欢,这些技术都会到来,那是迟早的事情。我们人类努力改变的只是技术的使用范围,方向和气质。


无人车安全的领域,我们要寻找新的思想,新的方法,开发出更好的工程系统,用更可靠的流程,让机器更安全,甚至需要探索全新的自然规律。


无人车安全体系怎样才能真正成熟?

无人知晓。

但一定需要很多深刻的观点来构建,为此我们需要了解很多交叉关联的学科,以多种奇特的视角来映射出哪些最深刻的洞察之间的联系。
 
无人车以后的故事也许远比我们的猜想的要大得多,获取对未来发展的正确预测很难,所以未来不值得那么严肃地对待,最好的策略是保持积极开放的心态,承认自己的无知,对行业风向的改变保持高度的警觉。
 
产品不是技术的堆砌,产品具有的特质,是人类的需求所致。思想先行,理论先行,之后才是技术路线的选择和产品的研发。热力学第二定律说,世间万物都需要额外的能量和秩序来维持自身进步,无一例外。新科技也需要无尽的维护,维护就是吸引注意力的黑洞。未来科技的生命将会是一系列无尽的升级:功能不再一成不变,默认设置荡然无存。
 
当我们展望美好未来时,也要承受改变带来的挑战。


Albert Schweitzer有句名言:

“我忧心忡忡地看待未来,但仍满怀美好的希望。”


正所谓不破不立,带着批判的眼光思考极具争议观点的同时,我们也更应该关注「无人车安全标准」的制定和最佳安全实践。

在 终篇 Part3 里,我们将为大家回顾美国国家科学院在「无人车安全标准」领域的既有研究成果。但这还不够,面对全新的安全挑战,需要高屋建瓴,引入新的方法论来强化既有安全体系,这包括了以下三个章节:


01. 美国国家科学院无人车安全标准研究


02. 功能安全:ISO 26262—随机硬件失效,系统性失效


03. 预期功能安全SOTIF 以及系统理论过程分析 STPA



最后作为全篇的结尾,我们将会为大家解读四份无人车公司官方发布的安全报告的核心要点,以此来展示各家对于无人车安全的深入思考和理解。


01. Waymo 的系统安全计划 SSP


02. Mobileye敏于责任的安全RSS


03. Voyage 的开放式自主安全OAS


04. 百度Apollo Pilot APC



以上这四家无人车公司均都是行业里的领头羊,在江湖里占有着举足轻重的地位。


它们的报告里即有令人拍案叫绝的原创想法,又有思路惊奇的刁钻视角,更有异想天开的有趣探索,如果你也感兴趣,让我们不妨来一探究竟吧!





特邀撰稿:徐鸿鹄
作者微信:honghu967935

现就职于 蒂森克虏伯 普利斯坦 集团 (Thyssenkrupp Presta AG) ,负责电动转向系统 (EPS) 应用项目的开发和管理。

航天科班,主业汽车电动转向开发,纯正懒散东北人,王小波脑残粉,个人主义走狗 ,AI威胁论煽动者,民科数学家,半吊子程序狗,沉迷理论,日渐消瘦,无一精通。


更多相关文章推荐


关注「几何四驱」

各种高能文章,随后速速就来



版权申明

本篇文章内容为作者本人原创,展示图片均来自网络,版权归图片作者本人所有!文章未经「几何四驱」作者本人授权不得进行商业性转载。个人性转载请务必注明文章出处。原创不易,感谢理解!


不跟风,拒绝平庸,只做最好的自己。

「几何四驱」 All made in Germany ,Since 2016!


What's your reaction?
Love It
0%
Like It
0%
Want It
0%
Had It
0%
Hated It
0%
About The Author
徐鸿鹄
机械工程自动化工学学士 现就职于某德国顶级汽车供应商,负责电动助力转向系统应用项目的开发与管理。三年产品设计,八年技术项目管理经验。机器人和无人车领域两年机器学习算法实战经验,重点研究领域:底盘和无人车控制技术,功能安全。喜爱推理和写作,关注物理学(量子引力),统计学和科学哲学,乐于使用物理学思维和工具解决工科的问题。
Comments
Leave a response

You must log in to post a comment