您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
智能驾驶 正文
发私信给大壮旅
发送

0

Mobileye 的安全模型理论到底行不行的通?看专家们如何解释

本文作者: 大壮旅 2017-11-01 19:50
导语:Mobileye 的自动驾驶安全模型专家们怎么看?

Mobileye 的安全模型理论到底行不行的通?看专家们如何解释

雷锋网按:Mobileye 最近发表的论文《On a Formal Model of Safe and Scalable Self-Driving Cars》(意为“论安全和可大规模部署自动驾驶汽车的形式化模型”)可谓一石激起千层浪,它触动了整个自动驾驶行业的敏感神经。

据雷锋网了解,这篇论文引起的争论核心问题是: Mobileye 断言自动驾驶行业需要一个数学模型,只要自动驾驶汽车能遵守事先定好的清晰规则,就能一劳永逸的解决与自动驾驶汽车相关的交通事故问题。但是,这个方法真的有效吗?

Mobileye 的论文一出,马上引发了业内大量的质疑,比如“对一个行业来说,自己给产品定义什么是安全真的是个好主意吗?”和“安全和所谓的责任划分是一回事吗?”

为了详细求证,EE Times 专门联系了多位学术专家,他们的研究领域横跨机器人、嵌入式计算系统、自动驾驶汽车安全和人机交互等。在下文中,笔者总结了这些专家对 Mobileye 论文的剖析和他们对其中观点的看法。此外,专家们还用自己独特的视角为自动驾驶行业的发展指了路。

从学术界的反应来看,他们最初对 Mobileye 论文的评价简直可以说是超乎寻常的积极。他们赞赏 Mobileye 的勇气,这家以色列公司敢于“自揭伤疤”,直陈自动驾驶行业的症结所在,确实令人佩服。

在 Mobileye 的论文问题上,卡耐基梅隆大学的 Phil Koopman 教授表示:“总得来说,我认为这可以算是业界首创,它用一种近似于严酷的方式谈论了大家一直遮遮掩掩的自动驾驶汽车安全问题。未来,每辆上路的自动驾驶汽车都应该清楚的知道到底什么可以做,什么不可以做。因此,我为这篇论文的作者鼓掌。”

杜克大学教授 Missy Cummings 同意这一观点,她表示:“我很欣赏这篇论文,Mobileye 确实很有思想深度。”

不过,以上两位教授还是觉得,Mobileye 的提议只是“第一步”。论文的内容在现实世界执行起来可能会有些困难,毕竟自动驾驶汽车在很长一段时间内还是要在道路上与非自动驾驶汽车和谐相处。Mobileye 的安全定义还是要根据现实情况做出调整。

对于这篇论文的价值,Koopman 表示:“第一次就能有如此水准确实不容易。不过,这并非最终定案。未来在找到最佳解决方案前,我们会继续尝试各种不同的方案。”

在解释文中提到的“安全”概念时,作者抛出了“可验证安全”的理念,如果按他们的方案走,至少自动驾驶汽车无需为事故负责。

杜克大学的 Cummings 教授指出,所谓的“可验证安全”并非时髦新词。多位学术专家已经在自己的论文中提到了这一概念。

Cummings 认为,“可验证安全”这一概念面临的最棘手问题一直没有改变,那就是“计算机科学家眼中的安全与测试工程师的可能对不上号。”

必须对各种假设产生质疑

无论是 Koopman 还是 Cummings 都表示,Mobileye 的假设我们不能理所当然的接受,它需要承受来自各方的质疑。Koopman 指出,如果把背景放在现实世界中,其中的一些假设会让人震惊。

在 Cummings 看来,Mobileye 的假设可操作性较差,首先软件错误就是我们无法承受的。而在论文中,有关安全问题作者这样写道:

“我们现在讨论的是如何感应出那些会导致不安全驾驶的错误。就像此前所说的,我们推崇的是可验证安全。在这种指导思想下,自动驾驶汽车肯定不会主动引发事故。不过,硬件和软件问题,如传感器失灵和软件错误可能还是会造成事故发生,而我们的终极目标就是让事故发生几率最小化。”

Cummings 质疑 Mobileye 的说辞,她认为软件出错误的几率可没有论文中说的那么低。报告显示,因为软件问题造成的自动驾驶安全召回可是经常发生。

Koopman 则更担心激光雷达和毫米波雷达出问题。“我不敢相信激光雷达和毫米波雷达有论文中说的那么靠谱。”他说道。“想让人相信,Mobileye 必须在测试中证明这一点,而不是凭空臆想。同时,作者在论文中的推测也有许多是错漏百出,而他们自己都没感觉到。”

在 Koopman 看来,这是安全的基础。此外,自动驾驶汽车厂商还要让车辆时刻保持警惕,因为路上的“惊喜”可太多了。

如何定义安全

对于 Mobileye 对安全的定义,Koopman 倒不怎么担心。“论文中给了前提,那就是我们对于责任划分有个严格的定义,这样才能最终让自动驾驶汽车免受事故困扰。”Koopman 解释道。

Koopman 还表示:“从系统的角度来看,这样的假设确实是安全的保证。如果路上的所有车都能遵守这样的规则,道路肯定会变的相当安全。”

由于担心 Mobileye 提议的可操作性差,Koopman 再次强调称:“认识到它为什么行不通才是最重要的。当然,从中我们还是能得出许多思考并学到很多经验。”

自动驾驶汽车学习与系统博弈?

Mobileye 的安全模型理论到底行不行的通?看专家们如何解释

对于 Mobileye 的提议,Koopman 还有一层担心,他怕自动驾驶汽车会学习与系统进行博弈。

在非自动驾驶时代,驾驶员成为老司机后总会找到交规的漏洞,偶尔占占漏洞的便宜也是人之常情。可以想象,那么聪明的自动驾驶汽车恐怕也会像人一样耍花招。

一般情况下,大家都会担心人类驾驶员“整”自动驾驶汽车,他们大可以找到自动驾驶汽车车流中的空位插进去,然后点几脚刹车给自己留个大的行驶位。这样一来,后面紧紧跟着的自动驾驶汽车可能就会出危险。不过,自动驾驶汽车可能也会以其人之道还治其人之身,毕竟机器学习系统“脑力”超强,找个漏洞可是易如反掌。如果我们不能提前预判,到时可就麻烦了。

当然,Koopman 也说不清漏洞到底在哪,但他强调,这一问题必须得多加考虑。

“蛮力”解决不了问题

在论文中,作者还大胆指出了自动驾驶的一些谬误。虽然这一主题业界很少讨论,但文章还是警告称,大部分自动驾驶玩家使出的“蛮力”无法解决问题。

在论文中,作者写道:

“眼下,大多数的方式都是在用‘蛮力’,它主要沿三个轴线发展:1.靠所谓‘计算密度’,也就是堆叠计算能力;2.靠高精地图;3.靠传感器规格的升级。这种方式看似可行,但在自动驾驶汽车的普及上却成了阻碍,毕竟计算能力、高精地图的绘制和维护、传感器都是真金白银才能换来的。”

这三种方案确实能帮我们接近自动驾驶,但想集齐这三颗“龙珠”几乎是不可能的。在论文作者看来,缺乏安全和扩展性标准会将现在一心扑在自动驾驶上的汽车产业推向小众,随之而来的就是“自动驾驶行业的寒冬。”

这篇论文的目的是提供一个形式化模型,帮助业界将安全和规模化两块拼图一起放进自动驾驶汽车的版图。当然,其终极目标还是让全社会接受,并支撑未来全球数百万辆自动驾驶汽车的安全运行。

靠“蛮力”的解决方案其实有些想当然,特别是在对待测试的问题上。像 Waymo 和特斯拉这样的公司,每次标榜自家自动驾驶汽车的安全性时,首先就会提到它们积累的自动驾驶测试里程。

Mobileye 注意到,现在大多数开发者依赖的数据密集型验证方式“并不可靠”。Koopman 同意这一点,他表示:“蛮力测试不会让我们获得充分的安全,自动驾驶汽车的普及也就成了空话。”

在“安全”的问题上,Koopman 和 Mobileye 站在了一起,他认为“如果你不能清楚准确的解释安全的意思,就不能断言自己的自动驾驶汽车是否足够安全。因此我认为安全的定义相当重要。”不过,Koopman 也批评了 Mobileye,他表示“安全与自动驾驶无责不能等同,但这是个合理的开头,我们要以此为基础不断进步。”

打造一个安全的系统

当然,即使搞清楚了到底什么是安全,自动驾驶汽车的症结也没有完全解开。Koopman 表示:“你还是得打造一个真正安全的系统(Mobileye 认为这意味着该系统永远不会犯错),它会努力避免犯错,漏洞也不再是问题。”

Koopman 指出,Mobileye 的“形式化方式和数学证明”有自己的优点,它大体上能被证明是对的。不过,其缺点也很明显,那就是其背后藏着各种潜在假设,这些假设在现实世界中可能就行不通。

自动驾驶行业的下一步

对自动驾驶行业来说,它首先需要讨论的不只是灌入系统的是非观,同时还得考虑解决方案在现实世界的可行性。

Koopman 表示:“驾驶中不犯错可没那么简单,而司机的错误可能会影响到身边的其他车辆。举例来说,如果 Mobileye 想要让自动驾驶汽车彻底免受事故困扰,它可能会故意修改程序,钻交规的空子。”

总得来说,自动驾驶汽车与有人驾驶汽车的互动相当关键,它也是这个行业成败与否的压仓石之一。

此外,Mobileye 在论文中给了一个方程式,它能算出两辆车之间的安全距离。对此,Koopman 有自己的疑问,人类怎么可能凭肉眼和感觉精确的计算出这个距离到底有多远呢?

对于该问题,Koopman 的解释如下:

“如果自动驾驶汽车需要有个安全距离,那么在高峰期时其他车辆肯定不会浪费它周边的宝贵地盘,在这样的情况下一旦发生事故,是不是就意味着该人类司机倒霉?如果这样的交规能出台,恐怕会被骂死吧?”

在处理类似问题时,我们不能“很傻很天真”,认清现实做出相应的妥协才能让人类与机器人和谐相处。

“在实际驾驶中,我认为驾驶员的很多动作都是建立在对其他驾驶员行为的假设之上的。如果严格按照规则来走,自动驾驶汽车在非自动驾驶汽车的‘包围’中可能会遇到麻烦。”Koopman 补充。“换句话来说,如果自动驾驶汽车经常发生事故,抱怨人是没用的,将‘黑锅’甩在规则头上显然更合适。”

Cummings 则相信,在自动驾驶汽车正式上路前,该行业还有许多遗留问题需要一一解决。

最近,她还围绕自动驾驶汽车的认证问题写了一本书,有趣的内容摘录如下:

“如果对自动驾驶汽车的‘身体’进行评估,就会发现它们的视觉系统还是有很多弱点,这一论断在日常的测试中也已经得到了证实。这样的问题不但是由于传感器的限制,还在于软件的后加工机制,它给黑客留了不少发挥空间。”

鉴于感知系统是自动驾驶汽车的心脏,一旦系统出了漏洞,会造成巨大的隐患,因此对系统进行详尽的测试相当重要。

除此之外,Cummings 还相信,人类驾驶员的知识体系也与安全驾驶息息相关,在自动驾驶汽车的感知系统无法判断时,它将起到保驾护航的作用。

不过,在 Cummings 看来,最重要的还是危机处理能力,自动驾驶汽车必须在各种千钧一发的危险情况下证明自己力挽狂澜的能力。

“由于其感知系统弱点颇多,因此工程师和监管者都必须熟知自动驾驶汽车上的概率算法到底如何感知并缓和危机。”Cummings 补充道。

不过,这些问题也只是提出来罢了,毕竟能解决它们的“可解释 AI”研究现在才刚刚起步。

Cummings 最担心的还是行业最低安全标准的缺位,厂商们暂时还没有着手进行极端情况的测试。

“在测试方案的制定上,我们还有许多工作要做。此外,人类在汽车和飞机上的驾驶经验也是自动驾驶汽车必须学习的。”Cummings 总结道。

雷锋网推荐阅读:

想靠数学模型解决自动驾驶时代的事故问题,Mobileye 的工程师思维“很傻很天真”?

Mobileye 论文下载地址:https://arxiv.org/pdf/1708.06374.pdf

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说