学者专家：打造安全自驾车不只是数学公式那么简单

已经隶属于Intel旗下的车用视觉技术开发商Mobileye发表的论文暴露了自动驾驶技术的一个谬误，是一个很少被讨论到的议题──论文作者对大多数技术厂商采取的“强力破解”(brute force)方法提出警告。

他们在论文中写道：

目前大多数解决方案的问题集中在三个方面的“强力破解”心态上：1. 对“运算密度”(computing density)的需求；2. 高解析度地图定义与建立的方式；以及3. 感测器需求的规格。强力破解方法与可扩展性(scalability)是背道而驰的，并且将重心转移至未来──在那个未来需要有无限制、无所不在的板载运算，以及在某种程度上打造并维护HD地图的成本变得可以忽略不计而且是可扩展的，还要有特异的超级先进感测器被开发出来，并能以车规等级生产，成本也要能忽略不计。

上面描述的未来看似有理，但要完全符合条件的可能性微乎其微；而安全性与可扩展性议题的结合隐含了“自驾车寒冬”的风险。本论文的目标是针对如何将安全性与可扩展性组合到自驾车开发专案中，提供一个社会可接受的公式化模型，而且是可扩展的，能支援在已开发国家四处奔驰的数百万辆汽车。

强力破解方法被视为理所当然，特别是当自动驾驶领域在谈论测试议题时；当Tesla或是Waymo等公司探讨车辆安全性时，第一件事就是提及在道路上执行的强力破解驾驶里程。Mobileye指出，看来大多数自驾车开发者正在规划的资料密集验证程序是“不可行的”(无论是在道路上执行或是在模拟环境中)；卡内基美隆(Carnegie Mellon University)大学教授Phil Koopman同意此看法：“强力破解测试不会让我们获得足以全面布署的自驾车安全性。”

在这样的情境下，Koopman赞同Mobileye的方案：“如果你不能很清楚明确地说出什么是“安全”，你就无法非常妥善地衡量一辆车是否够安全；所以我认为定义何谓安全是确实有用的；”不过他也指出：“将“安全”以及“不是我的错”画上等号是有一些问题，但这是个合理的起点，几乎确实需要从那里开始发展。”

打造安全的系统

Koopman指出，光定义什么是“安全”也不能解决问题：“你仍需要打造一套实际上安全的系统(根据Mobileye的方案，这意味着永远不犯错)，这代表你需要确定该系统实际上可以避免错误，任何漏洞都不会是问题。”

而他表示，公式方法与数学证明的优点在于它们在原则上是可以被证明是正确的，缺点则在于：“它们总是需要基础性的假设，而且那些假设可能在现实世界是不成立的；”因此产业界首先需要讨论的事情，不只是定义什么方案对系统来说是恰当的，还有那样的方案对现实世界来说是否合理。

Koopman表示：“除了不犯错，驾驶行为还有很多需要考量的部分；人类驾驶对于其他车辆可能做什么会有预期，不过如果其他人的行为不合理，可能会在技术上造成归咎于你的事故，你或许仍会对于事情感到沮丧。”

“举例来说，如果自驾车为了完成任务的较低力道煞车而突然停车，它们可能会引发责任不在于它们的事故；我并不是说自驾车设计者会故意这么做，简单来说，良好的自动驾驶远超过只是不会犯错。”他指出：“Mobileye的论文作者可能需要在他们的所谓“舒适”指标中解决这类问题，不过我预期这个领域需要更多的探索。”

自驾车能如何妥善运作以及与其他(人类驾驶的)车辆互动，会是判断自动驾驶技术成功与否的关键；虽然Mobileye提出的方案煞费苦心地说明一套公式，能计算自动驾驶车辆车辆之间的安全距离，但如Koopman所言，问题在于：“人类驾驶怎么会知道另一辆(自动驾驶)车划定的安全区域在哪里？”

他的理论是：

如果自动驾驶车辆在周遭留了很大的安全缓冲空间，但在交通繁忙的道路上，其他车辆可能会插进那个空隙；在这种情况下，人类驾驶怎么会知道“线”划在哪里？如果有人类驾驶超越了那条安全线1吋，是否意味着当碰撞发生时自动驾驶车辆是免责的？这在现实世界中要实际执行，会出现些许模糊地带。

责任归属的原则也需要用“以人为本”(human-accessible)的条款来订定，否则将会出现要求人类遵循标准并不合理的风险；任何一种像是这样的方法，很重要的是必须在对机器的期望以及对人类的期望之间达成合理的妥协。Koopman补充指出：“此外在实际执行时，我认为有很多驾驶行为是基于对其他驾驶人可能会做的事情之预期；遵循数学规则有可能让自驾车辆变得太过保守，使得它们在夹杂人类驾驶车辆的复杂道路上遭遇问题。”他强调，能与其他道路上的车子良好互动，对自驾车来说会是非常重要的特性。

杜克大学(Duke)教授Missy Cummings则认为，在自动驾驶车辆大量出现并行驶于道路上之前，产业界还有许多事情要做。

Cummings在即将出版的《安全、自动驾驶的智慧车辆》(Safe, Autonomous and Intelligent Vehicle)书中，探讨了围绕着自驾车的验证问题，并反驳了对于自动驾驶车辆发展情况良好、随时准备好上路的假设；她在书中写道：

…虽然自驾车不需要对于本身技术是否准备就绪进行评估，其视觉系统仍包含许多缺陷，而且在几乎每天进行的基础研究实证中发现更多；这类缺陷来自于感测器本身的局限以及软体导向的后期处理(postprocessing)，使得自驾车容易受到骇客攻击。

有鉴于那些感知系统是每一辆自驾车的心脏，让其系统缺陷是可以被得知而且缓解非常重要，而能测试那些系统特别重要。Cummings也认为，在判定自驾车扩展视距(extended beyond line of sight，EBLOS)时，人类驾驶接受测试的知识体系具备高度相关性；而她指出，更重要的或许是就像美国联邦航空总署(FAA)要求人类飞行员需要展示对不同领域操作的知识性，包括如何降低已知意外状况的风险，自驾车应该也得被要求展示它们在从一般到危及生命等各种不同驾驶情境下的能力极限。

她补充指出：“有鉴于感知系统的已知缺陷，清楚了解自驾车内建之概率性演算法是如何感知以及降低风险，对工程师与主管机关来说特别重要；”但问题是，对于“可解释人工智慧”(explainable AI)的研究才刚刚起步，这类方案的限制在哪里我们还不完全了解。

那么底线是什么？Cummings忧虑产业界在最低限度安全标准方面未能达成共识，目前并没有关于自驾车测试的相关计划，包括对于定义可能最糟情况的边角案例(corner case)之鉴别；她结论指出：“显然在订定原则性测试协议方面还有更多工作要做，也还有很多重要的课题需要学习，包括从人类如何在行车与航空领域取得驾驶资格的经验。”

编译：Judith Cheng

(参考原文： Experts Weigh in on Mobileye's AV Safety Model，by Junko Yoshida)