浅谈自动驾驶的安全性保障支柱

如果自动驾驶汽车大规模实施将有可能产生巨大的经济和社会效益，包括大大减少交通死亡、伤害和拥堵等，并使所有人都能获得更便宜、更灵活和更有生产力的交通工具。但自动驾驶运输不仅仅是一种产品，而是一个行业。为了真正提高流动性，汽车制造商、科技公司和政府监管机构必须联合起来，建立一个整体的模式来支持这个行业。英特尔公司Mobileye，已经为该模型开发了一个创新框架。它围绕两个基本支柱：1 )可证明的安全性保证，2 )经济可扩展性。本文向更多的读者介绍该模型的安全保障支柱。后台回复【RSS】可获取相关白皮书。

目前，科学知识和工具已经比较完善，可以开发和部署完全自动驾驶汽车(Autonomous Vehicles，简称AVs)，它们在所有情况下都不需要驾驶员(SAE L5)。这些交通工具如果大规模实施，有可能产生巨大的经济和社会效益，包括大大减少交通死亡、伤害和拥堵，并使所有人都能获得更便宜、更灵活和更有生产力的交通工具。

但自动驾驶运输不仅仅是一种产品，而是一个行业。为了真正提高流动性，汽车制造商、科技公司和政府监管机构必须联合起来，建立一个整体的模式来支持这个行业。

在英特尔公司Mobileye，我们相信我们已经为该模型开发了一个创新框架。它围绕两个基本支柱: 1 )可证明的安全性保证，2 )经济可扩展性。如果对这两个关键参数没有一个清晰的模型，所有对AVs的投资都有可能会以一个非常昂贵的科学实验而告终。

与Mobileye的协作哲学相一致，我们在发表的一篇学术论文中阐述并揭示了该模型的技术细节。今天，我们发表这篇文章是为了向更多的读者介绍该模型的安全保障支柱。我们将在以后的文章中阐述经济可扩展性支柱的概念。

计划概述

我们认为，汽车行业与全球标准机构和监管机构合作建立安全验证的方法和标准非常重要。当前，众多国家都在进行自动驾驶汽车立法和新的USDOT自动车辆指南，其中美国是领先的，现在是参与这些合作进行下一步讨论的绝佳时机。

我们提出的模型为设计和验证一个AV系统提供了一个详细、实用和有效的解决方案，从而大大提高了安全性。以下是我们认为下一步值得关注的领域的概要，以及我们提出的解决方案：

一套预先确定的规则，用于在AVs与人驾驶汽车发生碰撞时，快速、准确地评估和确定责任：

未来几十年，AVs将与人类驾驶的车辆共享道路。为了使AVs能够发挥上述的安全性、移动性和交通效率优势，它们需要以“正常”方式运行(即不限于非常低的速度或仅限于远离其他车辆)。

图1说明了这一点。如果外面有人驾驶的汽车出了问题，把AV撞上了，AV是没有办法避免碰撞的。但是这种情况一直在发生，所以即便我们禁止AV出现这种情况，那也是徒劳的。结论是，任何有用的AV都将涉及可能导致事故的情况，包括机械故障和外力。

图1所示.中央的汽车不能保证绝对的安全

碰撞是怎么发生的？调查可能需要几个月的时间。即使是由人驾驶的汽车造成的，也未必马上就能弄清楚。并且由于涉及AV，公众将会高度关注。

我们的解决方案是根据数学模型预先为故障设定明确的规则。如果规则是预先确定的，那么调查时间就会变得很短，而且是以事实为依据的，责任可以最终确定。当这些事件不可避免地发生时，这将增强公众对自动驾驶车辆识别系统的信心，并澄清消费者、汽车和保险业的责任风险。

以下是实现这一目标可能的方法：

我们的方法将事故责任人背后的“常识”形式化。它描述了我们如何将一组驾驶场景、优先权、争路/抢路的概念，速度，距离等方程形式化，并将它们组合成一个正式的数学模型来确定故障。

由于AV具有一组高度精确的传感器，所以会有数据来评估碰撞发生前后的精确环境。结合确定故障的正式规则，这些数据可以用于快速确定责任。

故障的形式化模型允许创建决策(驾驶策略)软件，以避免由AV系统引起的事故。它还能够以有效的方式进行验证。

AV具有360度的视野和快速的反应时间，可以分析路况和可用的制动功率，并且从不分心。鉴于此，加上形式化的模型来确定故障，AV开发人员可以设计一个系统，软件可以根据这个模型评估每个命令。

Mobileye设计了这样一个系统，它被称为责任敏感安全（RSS）。RSS确保从规划和决策的角度来看，AV系统不会发布可能导致AV造成事故的命令。

该系统避免了大多数AV开发人员似乎计划的数据密集型验证过程，我们认为这是不可行的（无论是在路上还是在模拟环境中执行）。通过证明系统根据预先确定的数学规则对所有命令进行计算，验证了该方法的有效性。

安全程度如何？我们的系统可以验证每十亿小时驾驶对一个交通事故有三个数量级的改善。人类驾驶车辆的死亡率为每100万小时驾驶出现一次交通死亡事故（即美国每年交通死亡人数约为40人，2016年为4万人）。

我们不相信社会会接受造成事故的机器，除非可以证明死亡率大幅降低。

虽然RSS决策软件的设计初衷是不允许AV系统做出导致事故的决定，但是仍然有可能由于传感器系统的错误而引起事故（即，关于用于作出决策的驾驶环境的信息）或出现机械故障。

我们提出了一种传感器融合系统，它包括三个独立设计的系统，每个系统依赖于不同的技术，分别为: 1 )摄像机，2 )高分辨率地图，3 )雷达和激光雷达。

该系统可以通过一组非常合理的实际行驶里程数据(特别是10万小时)来验证微小的错误率(支持标题中提到的比率)。

我们的安全方法细节

从本质上讲，RSS是一种实用的设计方法，然后有效地验证AV规划/决策（驾驶策略）软件的安全性。

只要AVs与人类司机共享道路，绝对安全是不可能的，但我们得首先将AV定义为不引起碰撞的安全。

为了证明AV不会引起碰撞，我们必须首先构建一个数学模型，确定碰撞发生时的责任，使用一套完整的驾驶场景。本质上，我们用数学方程来形式化“常识性的错误”。我们可以肯定地设置这些方程，因为AV将具有已知的反应时间和已知的通过转向和制动进行回避操纵的能力。

将这种责任模式形式化的强大结果是，它使我们能够构建车辆的决策软件，以遵循这些精确的参数，不断地评估这些规则，并且永远不会做出使车辆有引发碰撞风险的命令。

在实践中，AV需要了解两件事：

安全状态：这是一种即使其他车辆采取不可预测或鲁莽的行动，AV也不会造成事故的状态。

默认紧急策略：这是一个概念，它定义了AV可以用来维护或返回到安全状态的最激进的规避动作。

我们创造了“谨慎命令”一词来表示维持安全状态的整套命令。RSS设置了一个硬规则，即AV永远不会在谨慎的命令集之外发出命令。这确保了规划模块本身不会造成事故。

看一下以下的几种情况：

为了说明这一点，我们举一个常见的例子。考虑这种情况，两辆车在同一条车道上行驶，一辆车跟在另一辆车的后面。如果前车刹车，后车不能及时刹车，发生事故是后车的责任。如下图所示，我们可以计算出后车（蓝色）必须留给前车（红色）处于安全状态的精确通道距离。该计算依赖于某些变量的数据，例如两辆车之间的速度差，这将由AV中的各种高精度的传感器提供。

图2.上述公式计算了后车与前车之间的安全纵向距离。

切入演习

以上是一个相当简单的场景。它抓住了一个直观的原理，即如果一辆后车撞上了一辆前车，总是后车的错。

RSS具备使用相同原则处理这种情况的良好能力。基于一组变量，可计算出AV周围存在的安全通道。如果在碰撞发生前，人类驾驶的车辆（下图）违反了这条通道，那就是这辆车的责任。相反，AV可以不断地计算其他车辆周围的安全通道，并且永远不会发出违反该空间的命令。

图3 :计算出的车辆周围的安全通道将确定切入机动情况下的故障。

处理有限的感知和被遮挡的物体

当人们指责事故时，一个非常常见的人类反应是“但我看不到他/她”。一个常见的回答是“嗯，你应该更加小心。" RSS的一个重要组成部分是，它形式化地定义了在视觉受限的情况下小心谨慎的含义。

考虑一下，下图C0正试图从停车场出来到一条街上，在这条街上，一栋大楼挡住了车辆的视线。人类司机的行为是慢慢地融入道路，获得越来越多的视野，直到感知限制被消除。但是，司机做出了一些假设，比如交通的可能速度，以及交通流量将会在什么时候暴露出来。RSS计算最高合理速度的假设，称为Vlimit (基于道路速度限制的动态)。有了这些信息，如果C0是AV，它知道它可以窥视多少，并且仍然给C1一个刹车的机会。如果C1比Vlimit快，并且发生碰撞，那就是C1的错误。相反，如果C1是AV，则假定可能有一辆车看不到它并想要离开停车场的车，它将会更加谨慎和更远地驶向中央车道。在任何一种情况下，规则都是清晰的，并且AV不会采取可能导致碰撞的命令，即使对象看不到它也是如此。

图4. RSS包含对象（车辆，行人等）被其他对象遮挡（隐藏）的情况。

这种特殊的场景也与行人息息相关。行人意外事故的罪魁祸首几乎都是汽车，即使汽车很晚才能看到行人的情况下也是如此。但也有例外，例如，在RSS理论模型下，AV存在这种可能性，一个行人可能从两辆停着的车之间飞奔而出，速度达到一定的极限。RSS会管理AV的速度，这样它就可以随时刹车以避免与行人发生碰撞，除非行人的速度高于某极限速度（例如，行人能以超人的速度奔跑）。

将RSS扩展到所有道路结构

我们认为，我们构建的正式责任模型（以及相关的RSS软件）涵盖了一套全面的驾驶场景（白皮书附录中包含了一个广泛的范围）。我们还非常愿意与监管机构和标准机构接触，这可能导致评估更多的情况。以下是RSS考虑的其他场景的几个示例(并非详尽) :

路线优先——这一重要概念使RSS能够涵盖涉及多个道路几何图形在特定区域重叠的情况，例如高速公路合并道和环形路。在这些情况下，两辆车必须在另一辆车的前方通道进行切入才能合并。。在这种情况下，优先车道上的车辆可以在不违反RSS的情况下进行超车。哪条路线/车道具有优先权可以通过交通标志/法规来确定，这些标志/法规将被纳入我们称为RoadBook的高清地图中。

双向交通——在双向交通情况下，中心线提供了一个边界，但当一辆汽车越过中心线超车或倒车到停车位时，这自然会被违反。白皮书包含了一个关于RSS如何涵盖这些类型的情况的章节。

红绿灯——配有交通信号灯的交叉路口使用动态路线优先的概念进行建模。换句话说，根据交通信号灯，有些路线比其他路线优先。

非结构化道路——RSS还包括涉及停车场等非结构化区域的场景。这里的关键概念是可预测性。AV像人类一样可以根据当前的轨迹预测在没有车道标记的环境中的车辆路径。如果一辆车偏离了这个预测（通过改变航向），它必须有足够长的距离来让迎面而来的汽车进行调整。这个距离是可以计算出来的，如果改变航向的车辆违反了该距离，则是错误的。

结论

Mobileye始终通过创新工程应对挑战，同时也非常注重验证安全性并以使客户能承受的成本实现产品的能力。这是全球绝大多数汽车制造商选择我们提供当今尖端救生安全系统（如自动紧急制动）的关键原因。现在，我们与可扩展的专用计算平台、定制数据中心、云计算和下一代通信领域的领先企业英特尔携手合作，大幅拓宽ADAS功能并实现AV。

Intel和Mobileye已经开始与宝马公司合作，开发符合这些概念的AVs非排他性的平台。这是合作伙伴包容性关系的一个例子，每个合作伙伴都有共同的愿景，即将安全放在首位。我们也清楚地认识到，如果没有一个真正可扩展的经济模型，那么AVs的真正潜力将永远不会被大众所体验。