这其实是一个老生常谈的问题,这似乎也是一个奇怪的现象。在近几年中,自动驾驶的热度一直居于高位,每每舆论提及自动驾驶便似一场狂欢,不仅能帮助减少交通事故,也能够构建未来高科技文明,似乎自动驾驶带来的就是“歌舞升平,祥和盛世”。然而,一旦自动驾驶引发事故时,质疑批评之声犹如排山倒海而来,似乎又从一个极端走向了另一个极端。
自动驾驶汽车究竟是更安全还是更危险?有观点认为不安全就是耍流氓,也有声音认为新技术带来新问题很正常,况且由人引发的交通事故更是高居不下。那么,当我们在谈自动驾驶汽车安全时究竟该如何看待呢?
● “安全”是复杂的系统工程
历经百年的发展,传统汽车工业其实已经非常成熟,形成了非常严格的开发体系。随着汽车的不断发展,“安全”的标准也日益严苛,这其中很大程度是由于汽车“智能化”所引起的。
对于传统汽车来说,一辆汽车在研发、制造、使用等各个环节都会经过了一系列的安全测试,其安全标准也是非常完善的。一辆不怎么“智能”的汽车要确保安全是相对比较容易的,只要保证机械层面的可靠性和稳定性就基本能保证安全。
但随着汽车电子/电气系统的数量不断增加,安全挑战就变得越来越大,因为“带电的多少都有点智能”。有的豪华轿车上一般都有几十个甚至上百个ECU(电子控制单元),其中制动系统、发动机控制系统、气囊系统等等都是与安全相关的系统。
那么对于汽车开发者来说,首先这些系统肯定是不能出现故障,但一旦系统出现故障时必须要让汽车能够保证安全驾驶,这便是汽车的“功能安全”。
目前,行业内普遍认可的就是道路车辆功能安全标准ISO 26262(ASIL有四个等级,分别为A、B、C、D,A是最低的等级,D是最高的等级)。这套标准体系于2011年推出,其目的就是为了满足汽车电子/电气系统的数量不断增加的情况下的功能安全设计。
与传统汽车相比,自动驾驶汽车系统更加复杂,无论在感知还是决策规划等层面都发生了质的改变,这也使自动驾驶汽车面临着新的安全挑战。因此,自动驾驶汽车已经超越了传统汽车所遵循的ISO 26262的功能安全标准的范畴,还包括了其他安全概念,比如信息安全等。
中国软件评测中心智能网联汽车测试实验室专家认为,自动驾驶汽车安全其实至少有三个层面:驾驶行为安全、功能安全和信息安全。这三个层面都有所重叠,但也各有所侧重。驾驶行为安全,主要是自动驾驶的能力能否满足驾驶任务的需求,尤其是在危险条件下;功能安全,侧重于系统随机故障下能不能保障应有的驾驶能力;信息安全,则是系统是否能够不受外界入侵的影响。
从企业的角度来看,也构建起了相对完善的安全标准体系。例如,Waymo的自动驾驶安全计划就覆盖了5个安全领域。行为安全,同人类驾驶员一样,要遵守交规;功能安全,系统故障时要确保安全运行;碰撞安全,发生碰撞时要保护乘客安全;运营安全,乘客与车辆交互时,要确保乘客安全舒适的体验;非碰撞安全,物理角度的人车交互,比如电气系统和传感器不能对人造成危害。
● 自动驾驶汽车的安全威胁
就自动驾驶来说,不同的对象对于安全也有着不同的理解。比如,在电气工程师眼里,自动驾驶汽车安全就是“功能安全”,出故障了怎么让车还能安全驾驶;在“程序猿”眼里,安全就是怎么让汽车跟黑客博弈;对于普通用户来说,安全就显得更加直白,就是什么事都不能有。
就当下而言,最受关注的其实还是自动驾驶汽车的“功能安全”。禾多科技创始人兼CEO倪凯认为,“对于自动驾驶而言,最重要的是‘功能安全’,信息安全虽然与自动驾驶相关,但不只针对自动驾驶。”
道路车辆功能安全标准ISO 26262主要是针对系统故障/失效所导致的问题,但对于自动驾驶来说即使系统不出现故障,也会因为环境因素(包括其他车辆出现意外)等不确定性而带来新的安全问题。这就涉及到新的安全标准的规范——预期功能安全(Safety of the intended function),主要针对非系统故障原因带来的安全问题,补足了ISO 26262所覆盖不到的部分。
那么从预期功能安全角度来看,自动驾驶系统的局限性主要来自三个方面:感知层,如对场景环境不能做出正确响应;决策层,如算法逻辑不合理,做出错误决策等;执行层,不能根据决策正确执行或有效执行。
执行层其实是主机厂和Tier1的专长,比如在底盘制动控制方面,博世就推出“iBooster+ESP”的冗余设计方案,以提升安全性。目前,自动驾驶系统的主要安全挑战在感知层和决策层。
『博世iBooster』
在感知层,目前被广泛关注的就是天气变化、光照因素给摄像头、雷达、激光雷达等传感器带来的挑战。这方面也需要通过技术升级不断弥补,例如大陆集团、博世等都在研发全新一代的激光雷达等产品。
中科慧眼创始人、副总经理崔峰也认为环境感知是影响当前自动驾驶汽车安全的主要因素之一,“环境感知方面,传感器性能受材质、结构、加工工艺等多方面影响。就国内发展情况来说,这又与中国的材料、光学能力等基础学科实力有关。同时也与工业水平有关,尤其是高精尖的传感器。”
但从另一个角度来说,自动驾驶成本又是企业所考量的重要因素,并不是所有的解决方案都会采取高精尖的设备,因此这也是带来安全隐患的因素。激光雷达公司禾赛科技CEO李一帆就曾提到,“一切试图走捷径的、‘人肉小白鼠众包’式的低成本传感器方案都是无稽之谈,是犯罪!”
除了感知层以外,与安全有重大关系的就是决策层,目前的AI水平显然是有明显不足的,训练算法的程度不够,不能完全覆盖所有场景和突发意外。自动驾驶汽车需要海量的测试,2016年美国智库兰德公司曾给出一个数字:路测里程需达到110亿英里。大量的路测试验以及后期分类标定、数据处理等方面尚存许多不确定因素。
当前,人与AI的区别在于人有很强的迁移学习能力,对未遇到过的交通场景也能自如应对,这也是AI需要着重研究的方向。但AI还有个问题在于神经网络的“黑盒”,给其输入数据得出输出结果的过程并不能被解释,也就是说AI给出决策的过程并不透明,无法debug(排除故障)也导致了自动驾驶汽车的不可控性。不过,这一方面也有了一些突破,英伟达曾声称打开了“黑盒”。
当埃航的事故发生时,外界普遍关心的是自动驾驶空难是否会在自动驾驶汽车上重演。这其实涉及的是自动驾驶系统的仲裁逻辑问题,在传感器失效后出现了人和电脑争夺机器控制权的矛盾。
禾多科技创始人兼CEO倪凯认为这种安全事故并不会在自动驾驶汽车上发生,“在汽车行业,无论是辅助驾驶还是自动驾驶的普遍逻辑都是,一旦人工接管后,人类基本就拥有了对汽车的绝对控制权(车辆底盘的底层执行器仍然有部分ECU起作用,但不涉及到驾驶行为层面)。换句话说,汽车的自动驾驶领域中,人类司机的控制权是优先于系统的,因此不会出现埃航事故中人类驾驶员和电脑竞争控制权的情况。虽然说L4和L5具备不需要人干预的能力,但不是说人没有干预权。”
● 没有“绝对”的安全,只有“相对”的安全
“安全”始终是自动驾驶汽车走向商业化之前必须迈过的门槛,于用户而言最关心的问题可能是,当前自动驾驶汽车事故频频发生,安全究竟何时才能得到解决呢?
『麦肯锡2018年自动驾驶调研报告』
麦肯锡曾针对出行领域的专家进行过一项调研,在2018年所发布的一份自动驾驶调研报告中显示,安全性和可靠性是推广自动驾驶的另一大瓶颈。30%的调研对象认为2025年左右可能解决安全问题,而33%的人认为可能在2025-2029年之间,另外36%的调研对象认为可能要到2030年之后。可以看出,基于专家的观点,从大概率上来说自动驾驶安全问题基本上在2025-2030年这个节点上能够得到解决。
另外,自动驾驶并不会因为出现几次事故就停止前进的步伐,技术成熟本身就不是一蹴而就的。倪凯认为,“并不只是机器,人类的驾驶行为也面临着同样的问题。例如,在极端的情况下(汽车部件完全失效),不管是自动驾驶还是人类驾驶其实都处于不安全的境地。因此,要正视安全的相对性,在研发自动驾驶系统时,要确保即使面对汽车某些部分的失效,自动驾驶也能够稳定、可靠、安全地解决。”
但从另一个角度来说,用户所面临的安全威胁并不是完全指望通过技术去解决。当前主流车型搭载的依然是L2及以下的辅助驾驶系统,人依然具有绝对掌控权。而自奥迪A8率先搭载L3级自动驾驶技术以来,宝马、吉利、广汽等车企都计划于2020年前后实现L3量产。虽然L3相对L2是质的改变,但在L3级自动驾驶技术下,用户依然要保持对机器的监管,这个级别的自动驾驶安不安全的问题更大程度上是人的驾驶行为是否“安全”。与此同时,也许有用户疑惑,自动驾驶盛行是否会给普通路人带来安全隐患?就当前而言,高阶的自动驾驶测试基本在封闭测试场地进行,自然不存在对用户的安全威胁,而量产自动驾驶技术上路也依赖于道路安全规范的完善程度,基于严苛的制度要求而走上商业化。
其实,在许多领域,安全本身就是一个专门的专业,没有绝对的安全,只有相对的安全。在不同的发展阶段,对安全也有着不同的理解和要求,基于该阶段下的技术,在合理的范围内应最大化地做到一定场景内的安全。安全也是没有极限的,而不仅仅是依靠技术手段,是需要持续演进的一个过程。一味的鼓吹或泼冷水是不理性的,但将安全让位于利益的行为更不可取。
全文总结:
当初,泰坦尼克的悲剧让世人震惊,被称为“永不沉没”的巨轮在处女航中便“永不再来”。然而,事后有研究人员发现,泰坦尼克事件却是“瑞士奶酪”情景的一个经典案例(在几片瑞士奶酪中,每一块奶酪中的孔都代表着可能出错的东西,把它们堆积在一起,通过排列的孔就形成一条危险的道路)。对于汽车来说也是如此,安全是一个宽泛的概念,而不仅仅局限在技术或者人为的单方面因素。同时,安全永远是第一优先级,不管你在不在乎,“安全”就在那里。