正如我們之前所解釋的,對于感知系統而言,由于存在 "真值"的概念,這一點是顯而易見的。對于駕駛策略,監管部門必須給出“合理風險”的正式概念,從而在安全和效率之間取得平衡。我們注意到,監管部門已經完成了部分工作。例如,在為道路設定限速值時,會暗示人類駕駛員:駕駛速度超過限速太危險,而駕駛速度低于限速則是一種合理風險。然而,現行法律并不完善,因為它并沒有涵蓋所有方面和所有情況,而且還包含“根據路況駕駛”等模糊概念。
Mobileye安全方法論
背景
在每輛高等級駕駛自動化汽車的工程化過程中,有兩個至關重要的組成部分:
1
感知系統: 要想運行,高等級駕駛自動化汽車必須了解周圍環境。檢測所有相關物體和道路使用者,以及每個物體的位置和速度。感知系統發生重要故障會引起事故。
2
駕駛策略: 一旦高等級駕駛自動化汽車充分了解周圍環境,它就應該決定下一步該怎么做。如果說“感知”是對當前環境的理解,“駕駛策略”則需要對“接下來會發生什么?”進行推理。此外,對未來的預測不是一成不變的,而是取決于高等級駕駛自動化系統將做出怎樣的決定。
任何一個感知系統或駕駛策略中故障都可能導致事故的發生。
我們的第一個論點是,應區別對待感知故障和駕駛策略故障。
感知系統
因為有明確的真值信息,因此對“錯誤”的定義也十分清晰。例如,如果高等級駕駛自動化汽車前方有一輛汽車,而感知系統未能識別出這輛汽車,那么感知系統失靈就是一個明確的事實。當被問及高等級駕駛自動化汽車前方是否有車時,兩個人會給出相同的答案。因此,我們可以很容易地通過計算感知系統出錯的頻率來判斷其性能的優劣。
在感知方面,“更安全的高等級駕駛自動化”和“更好的高等級駕駛自動化”之間存在明確的單調關系。也就是說,系統犯的錯誤越少,高等級駕駛自動化就越“安全”、越“好”。
駕駛策略
駕駛策略取決于“下一步會發生什么”的推理,而這種推理并非事實性的。當被問及高等級駕駛自動化汽車在十字路口應該讓行還是優先通行時,兩個人可能會給出不同的答案。一個人會認為讓行更安全,而另一個人會認為優先通行更安全,這樣就不會阻塞交通。因此,對于 “錯誤”并沒有明確的定義,而是取決于對情況的解釋或判斷。此外,這種判斷往往是在事故發生后復盤做出的,且有了知曉未來的優勢(即知道“接下來發生了什么”,而無需猜測 “接下來會發生什么”)。
對于駕駛策略來說,“更安全”并不總是意味著“更好”。以一條住宅道路為例,道路兩邊都停著車輛。由于行人有可能會沖向馬路,因此“最安全”的高等級駕駛自動化汽車系統會非常非常緩慢地行駛。這樣,即使一個騎著電動自行車的孩子以極快的速度突然沖向馬路,高等級駕駛自動化汽車也能及時剎車。然而,這種極慢的駕駛速度會阻礙交通。事實上,沒有人會在這種情況下如此緩慢地駕駛。原因在于,作為一個社會,我們通過確定我們愿意承擔的“合理風險”來平衡安全和效率。
感知系統
駕駛策略
因為有明確的真值信息,因此對“錯誤”的定義也十分清晰。例如,如果高等級駕駛自動化汽車前方有一輛汽車,而感知系統未能識別出這輛汽車,那么感知系統失靈就是一個明確的事實。當被問及高等級駕駛自動化汽車前方是否有車時,兩個人會給出相同的答案。因此,我們可以很容易地通過計算感知系統出錯的頻率來判斷其性能的優劣。
駕駛策略取決于“下一步會發生什么”的推理,而這種推理并非事實性的。當被問及高等級駕駛自動化汽車在十字路口應該讓行還是優先通行時,兩個人可能會給出不同的答案。一個人會認為讓行更安全,而另一個人會認為優先通行更安全,這樣就不會阻塞交通。因此,對于 “錯誤”并沒有明確的定義,而是取決于對情況的解釋或判斷。此外,這種判斷往往是在事故發生后復盤做出的,且有了知曉未來的優勢(即知道“接下來發生了什么”,而無需猜測 “接下來會發生什么”)。
在感知方面,“更安全的高等級駕駛自動化”和“更好的高等級駕駛自動化”之間存在明確的單調關系。也就是說,系統犯的錯誤越少,高等級駕駛自動化就越“安全”、越“好”。
對于駕駛策略來說,“更安全”并不總是意味著“更好”。以一條住宅道路為例,道路兩邊都停著車輛。由于行人有可能會沖向馬路,因此“最安全”的高等級駕駛自動化汽車系統會非常非常緩慢地行駛。這樣,即使一個騎著電動自行車的孩子以極快的速度突然沖向馬路,高等級駕駛自動化汽車也能及時剎車。然而,這種極慢的駕駛速度會阻礙交通。事實上,沒有人會在這種情況下如此緩慢地駕駛。原因在于,作為一個社會,我們通過確定我們愿意承擔的“合理風險”來平衡安全和效率。
因此,Mobileye認為高等級駕駛自動化汽車監管應該解決兩個問題
1
定義什么是故障
2
定義可接受的平均故障間隔時間(MTBF)
定義可接受的平均故障間隔時間(MTBF) 一旦定義了明確的故障概念,監管部門還應給出可接受的故障頻率的規定。定義這一概念的簡單方法是使用平均故障間隔時間(MTBF),即系統無故障運行的平均時間。最基本的要求應該是高等級駕駛自動化汽車具有與人類駕駛員大致相同的平均故障間隔時間。有證據表明,人類駕駛員的平均故障間隔時間約為50萬英里。
Mobileye是如何解決這些問題的?
Mobileye將感知系統的平均故障間隔時間與駕駛策略系統的平均故障間隔時間區分開來。我們將“感知錯誤”定義為“不可避免導致碰撞的錯誤”。鑒于感知系統較高的平均故障間隔時間與高等級駕駛自動化汽車的高安全性之間的直接聯系,我們的目標是達到盡可能高的平均故障間隔時間。我們采用如下四種方式來實現高平均故障間隔時間:
對感知部分(如車輛和行人檢測)進行開環(離線)驗證,使我們能夠充分利用ADAS功能的數十億英里數據。
2
真正冗余?傳感系統(True Redundancy?)
了解更多
運用“冗余”原則,通過不同的獨立渠道來開發和激活關鍵功能。在實際應用中,我們的感知系統按照傳感器類別進行細分:只有攝像頭的子系統以及激光雷達/雷達子系統。根據傳感器類別的不同創建子系統,這種做法增加了“獨立性”,即未檢測到關鍵物體的概率是每個子系統中未檢測到關鍵物體概率的乘積。此外,在每個子系統中,我們還開發了冗余算法,使用不同的算法原理開發關鍵功能。例如,通過模式識別(單目)和三角測量(多攝像頭)進行目標車輛的檢測。冗余子系統的建立主要服務于兩個目標:(1)提高感知系統設計的魯棒性,(2)以實現更低的平均故障間隔時間為目標分別對每個子系統的關鍵功能進行離線驗證。
3
智能路網技術(Road Experience Management?)
了解更多
4
責任敏感安全模型
了解更多
駕駛策略系統的平均故障間隔時間目標是零事件發生(對應的平均故障間隔時間為無窮大)。這首先要去掉對“下一步會發生什么”的推理需求,因為這種推理不可避免地需要預測人類行為——我們認為這是一個難以完成的任務。其次,創建一個正式的框架。通過該框架, “安全性”與“實用性”的范圍可以被高等級駕駛自動化汽車運行地區的監管部門所定義和決策。Mobileye的責任敏感安全(RSS)模型實現了這兩個目標。為了避免推理“下一步會發生什么”,RSS直接采納了“最壞情況”發生的場景。然后,為了制定“有用的”駕駛策略(因為 "最壞情況"的設定可能導致系統謹慎過度),我們建立了一個以參數形式設定的假設框架,用于定義與其他道路使用者保持安全距離的界限。RSS不僅僅是一套假設框架,它能夠完全保證,如果根據設定的安全距離和“及時的響應時間”,高等級駕駛自動化汽車永遠不會主動引發事故(也就是駕駛策略系統的“零事件”)。
? 2026 Mobileye
滬ICP備19022353號-1
滬公網安備 31010102006380號
