正如我们之前所解释的,对于感知系统而言,由于存在 "真值"的概念,这一点是显而易见的。对于驾驶策略,监管部门必须给出“合理风险”的正式概念,从而在安全和效率之间取得平衡。我们注意到,监管部门已经完成了部分工作。例如,在为道路设定限速值时,会暗示人类驾驶员:驾驶速度超过限速太危险,而驾驶速度低于限速则是一种合理风险。然而,现行法律并不完善,因为它并没有涵盖所有方面和所有情况,而且还包含“根据路况驾驶”等模糊概念。
Mobileye安全方法论
背景
在每辆自动驾驶汽车的工程化过程中,有两个至关重要的组成部分:
1
感知系统: 要想运行,自动驾驶汽车必须了解周围环境。检测所有相关物体和道路使用者,以及每个物体的位置和速度。感知系统发生重要故障会引起事故。
2
驾驶策略: 一旦自动驾驶汽车充分了解周围环境,它就应该决定下一步该怎么做。如果说“感知”是对当前环境的理解,“驾驶策略”则需要对“接下来会发生什么?”进行推理。此外,对未来的预测不是一成不变的,而是取决于自动驾驶系统将做出怎样的决定。
任何一个感知系统或驾驶策略中故障都可能导致事故的发生。
我们的第一个论点是,应区别对待感知故障和驾驶策略故障。
感知系统
因为有明确的真值信息,因此对“错误”的定义也十分清晰。例如,如果自动驾驶汽车前方有一辆汽车,而感知系统未能识别出这辆汽车,那么感知系统失灵就是一个明确的事实。当被问及自动驾驶汽车前方是否有车时,两个人会给出相同的答案。因此,我们可以很容易地通过计算感知系统出错的频率来判断其性能的优劣。
在感知方面,“更安全的自动驾驶”和“更好的自动驾驶”之间存在明确的单调关系。也就是说,系统犯的错误越少,自动驾驶就越“安全”、越“好”。
驾驶策略
驾驶策略取决于“下一步会发生什么”的推理,而这种推理并非事实性的。当被问及自动驾驶汽车在十字路口应该让行还是优先通行时,两个人可能会给出不同的答案。一个人会认为让行更安全,而另一个人会认为优先通行更安全,这样就不会阻塞交通。因此,对于 “错误”并没有明确的定义,而是取决于对情况的解释或判断。此外,这种判断往往是在事故发生后复盘做出的,且有了知晓未来的优势(即知道“接下来发生了什么”,而无需猜测 “接下来会发生什么”)。
对于驾驶策略来说,“更安全”并不总是意味着“更好”。以一条住宅道路为例,道路两边都停着车辆。由于行人有可能会冲向马路,因此“最安全”的自动驾驶汽车系统会非常非常缓慢地行驶。这样,即使一个骑着电动自行车的孩子以极快的速度突然冲向马路,自动驾驶汽车也能及时刹车。然而,这种极慢的驾驶速度会阻碍交通。事实上,没有人会在这种情况下如此缓慢地驾驶。原因在于,作为一个社会,我们通过确定我们愿意承担的“合理风险”来平衡安全和效率。
感知系统
驾驶策略
因为有明确的真值信息,因此对“错误”的定义也十分清晰。例如,如果自动驾驶汽车前方有一辆汽车,而感知系统未能识别出这辆汽车,那么感知系统失灵就是一个明确的事实。当被问及自动驾驶汽车前方是否有车时,两个人会给出相同的答案。因此,我们可以很容易地通过计算感知系统出错的频率来判断其性能的优劣。
驾驶策略取决于“下一步会发生什么”的推理,而这种推理并非事实性的。当被问及自动驾驶汽车在十字路口应该让行还是优先通行时,两个人可能会给出不同的答案。一个人会认为让行更安全,而另一个人会认为优先通行更安全,这样就不会阻塞交通。因此,对于 “错误”并没有明确的定义,而是取决于对情况的解释或判断。此外,这种判断往往是在事故发生后复盘做出的,且有了知晓未来的优势(即知道“接下来发生了什么”,而无需猜测 “接下来会发生什么”)。
在感知方面,“更安全的自动驾驶”和“更好的自动驾驶”之间存在明确的单调关系。也就是说,系统犯的错误越少,自动驾驶就越“安全”、越“好”。
对于驾驶策略来说,“更安全”并不总是意味着“更好”。以一条住宅道路为例,道路两边都停着车辆。由于行人有可能会冲向马路,因此“最安全”的自动驾驶汽车系统会非常非常缓慢地行驶。这样,即使一个骑着电动自行车的孩子以极快的速度突然冲向马路,自动驾驶汽车也能及时刹车。然而,这种极慢的驾驶速度会阻碍交通。事实上,没有人会在这种情况下如此缓慢地驾驶。原因在于,作为一个社会,我们通过确定我们愿意承担的“合理风险”来平衡安全和效率。
因此,Mobileye认为自动驾驶汽车监管应该解决两个问题
1
定义什么是故障
2
定义可接受的平均故障间隔时间(MTBF)
定义可接受的平均故障间隔时间(MTBF) 一旦定义了明确的故障概念,监管部门还应给出可接受的故障频率的规定。定义这一概念的简单方法是使用平均故障间隔时间(MTBF),即系统无故障运行的平均时间。最基本的要求应该是自动驾驶汽车具有与人类驾驶员大致相同的平均故障间隔时间。有证据表明,人类驾驶员的平均故障间隔时间约为50万英里。
Mobileye是如何解决这些问题的?
Mobileye将感知系统的平均故障间隔时间与驾驶策略系统的平均故障间隔时间区分开来。我们将“感知错误”定义为“不可避免导致碰撞的错误”。鉴于感知系统较高的平均故障间隔时间与自动驾驶汽车的高安全性之间的直接联系,我们的目标是达到尽可能高的平均故障间隔时间。我们采用如下四种方式来实现高平均故障间隔时间:
对感知部分(如车辆和行人检测)进行开环(离线)验证,使我们能够充分利用ADAS功能的数十亿英里数据。
2
真正冗余™传感系统(True Redundancy™)
了解更多
运用“冗余”原则,通过不同的独立渠道来开发和激活关键功能。在实际应用中,我们的感知系统按照传感器类别进行细分:只有摄像头的子系统以及激光雷达/雷达子系统。根据传感器类别的不同创建子系统,这种做法增加了“独立性”,即未检测到关键物体的概率是每个子系统中未检测到关键物体概率的乘积。此外,在每个子系统中,我们还开发了冗余算法,使用不同的算法原理开发关键功能。例如,通过模式识别(单目)和三角测量(多摄像头)进行目标车辆的检测。冗余子系统的建立主要服务于两个目标:(1)提高感知系统设计的鲁棒性,(2)以实现更低的平均故障间隔时间为目标分别对每个子系统的关键功能进行离线验证。
3
路网信息管理™(Road Experience Management™)
了解更多
4
责任敏感安全模型
了解更多
驾驶策略系统的平均故障间隔时间目标是零事件发生(对应的平均故障间隔时间为无穷大)。这首先要去掉对“下一步会发生什么”的推理需求,因为这种推理不可避免地需要预测人类行为——我们认为这是一个难以完成的任务。其次,创建一个正式的框架。通过该框架, “安全性”与“实用性”的范围可以被自动驾驶汽车运行地区的监管部门所定义和决策。Mobileye的责任敏感安全(RSS)模型实现了这两个目标。为了避免推理“下一步会发生什么”,RSS直接采纳了“最坏情况”发生的场景。然后,为了制定“有用的”驾驶策略(因为 "最坏情况"的设定可能导致系统谨慎过度),我们建立了一个以参数形式设定的假设框架,用于定义与其他道路使用者保持安全距离的界限。RSS不仅仅是一套假设框架,它能够完全保证,如果根据设定的安全距离和“及时的响应时间”,自动驾驶汽车永远不会主动引发事故(也就是驾驶策略系统的“零事件”)。
© 2025 Mobileye
沪ICP备19022353号-1
沪公网安备 31010102006380号
