研究自动驾驶安全问题,看Waymo第一份报告就够了

整理 | 高静宜

每年,世界上平均有 120 万人因交通事故丧命,这一数字随着时间的推移不断攀升。在美国,有 94% 的交通事故由人为因素导致,每年造成的经济损失高达 2770 亿美元。自动驾驶技术可以有效改善这一现状,提高行车安全性,挽救人类的生命。

Waymo 自动驾驶汽车解决的四个问题

通常情况下,人们对于自动驾驶汽车会产生四个疑问:我在哪?谁在我周围?下一步会发生什么?下一步怎么做?

•「我在哪」


这实际上是一个感知(perception)问题。Waymo 通过传感器自主构建三维地图,覆盖人行道、路牌、交通灯等细节信息。相较于 GPS 解决方案,Waymo 将传感器实时采集的道路信息数据与预先构建的地图交叉比对,实现精准定位。


•「谁在我周围」

这个问题考察的是自动驾驶系统处理数据信息的能力。Waymo 的传感器解决及软件方案连续不断扫描车辆周围的物体,包括行人、自行车、汽车、障碍物等,根据交通灯、路标等读取行车信息,最远可以在一个方向上看出去 300 米远的距离。


•「下一步会发生什么?」

这一问题涉及对周围其他物体行为的预测。对于路面上的所有物体,Waymo 系统都会根据其当前的速度及轨迹进行下一步预测。系统理解汽车、自行车、行人的移动遵循不同规律,也会考虑变化的路况可能对物体移动造成的影响。


•「下一步怎么做」

这意味着要根据所获得的信息进行决策。Waymo 的系统可以选择行车轨迹、速度、车道及行进方向。基于连续不断的环境监测及 360 度全方位物体行为的预测分析,系统可以保证车辆能够安全地在道路上行驶。


从设计中解决安全问题

为了减少危险事件的发生,Waymo 尝试在设计中解决内部风险,之后通过检验和验证,确保风险降低到一定水平。

首先,利用初步事故分析、故障树分析法、设计失效模式及后果分析等手段进行风险评估,识别出危险场景。该过程与工程测试、安全工程分析等环节紧密相关。风险评估有助于找到降低风险的潜在措施,掌握系统、子系统及组件的需求,也支持系统的检测和故障的处理。

为此,Waymo 构建了一个系统安全计划,覆盖五个安全领域,分别为行为安全、功能安全、碰撞安全、操作安全与非碰撞安全。每个领域结合不同的测试方法,用于完成自动驾驶汽车的安全性验证。

行为安全:指行车时汽车的行为和相关决策。同人类驾驶员一样,自动驾驶的车辆也需要遵守交通法规。

功能安全:在系统发生故障的情况下,车辆仍要保证安全运行。

碰撞安全:指汽车发生碰撞时保护车内乘客安全的能力,即耐撞性。包括车辆结构设计到座椅、气囊的设置等,力求减轻伤害、防止死亡的发生。

运营安全:指车辆和乘客之间的交互,确保乘客在自动驾驶车辆中拥有安全舒适的体验。

非碰撞安全性:从物理的角度强调乘客与车辆之间交互的安全性,包括电气系统和传感器可能对乘客、测试员等造成的危害。

Waymo 自动驾驶技术工作原理及策略

• 传感器解决方案

为了满足自动驾驶汽车的复杂需求,Waymo 采用多传感器融合方案,力求让车辆可以全方位地观察到周边环境,并在白天与夜晚都能正常工作。这套传感器解决方案不仅可以构建 3D 地图,还能实时掌握周围环境信息,具体部署如下:


激光雷达系统(LiDAR):激光雷达系统能够日夜工作,每秒可以 360°输出数百万个激光脉冲,通过测量触及物体表面后反射回来的时间,可以掌握与物体之间的实际距离。Waymo 系统包含三种类型的激光雷达:帮助车辆掌握周围信息的短距离激光雷达、高分辨率的中距离激光雷达以及可以探测三个足球场那么远距离的新一代长距离激光雷达。

视觉系统:视觉系统包括可以 360°持续进行观测的摄像头。相比之下,人类司机的视野只有 120°。基于高分辨率的视觉检测技术,系统可以检测到交通灯、建筑区域、校车以及急救车等。Waymo 的视觉系统由许多组高分辨率的摄像头组成,能够有效完成远距离物体的检测,在白天和低光照条件下执行任务。

雷达系统:雷达系统通过波长感知物体及运动。激光雷达发出的波不仅能够在下雨时传播,在白天、黑夜、雨天、雾天和雪天中均有效。Waymo 的雷达系统拥有 360°连续视角,可以追踪前车、后车及两边车辆的的行车速度。

其他传感器:Waymo 也有一些其他种类的传感器,包括可以听到几百英尺开外的警车和急救车警报声的音频检测系统以及支持车辆掌握其在物理世界中定位的 GPS 系统等。

• 软件系统

软件系统是自动驾驶车辆的大脑,能够通过处理传感器采集的数据,在不同情境下做出最佳决策。Waymo 的系统采用了机器学习及其他先进的工程技术,Waymo 花费了八年的时间对其进行搭建及完善工作。为了训练这套系统,Waymo 每年都在不断进行实地测试,仿真测试里程累积超过 10 亿英里,上路测试里程超过 350 万英里。



以下是软件系统中的三个重要组成部分:

感知:系统通过感知环节检测路面上的物体并对其进行分类,也实现路面物体速度、行进方向、加速度的评估。Waymo 的感知部分把传感器获得的海量细节转化成现实世界中的视图,帮助汽车区分行人、车辆,以及不同静态物体的颜色,如交通灯。换句话说,感知环节可以让系统理解车辆周围的环境,比如交通灯是否是绿色,道路是否受阻等。

行为预测:系统构建模型并对其展开预测,用于掌握路面物体的下一步动向。由于 Waymo 积累了丰富的行车经验,其自动驾驶汽车的预测模型精准度较高。例如,系统可以知道,即便行人、自行车和电动自行车的长相相近但行进速度不同。行人的移动速度最慢,但是能够突然改变方向。

规划:系统的规划部分需要对从感知及行为预测环节中掌握的全部信息进行考量。基于经验,Waymo 认为最好的司机是防御型的司机。这也是 Waymo 的自动驾驶车辆会偏向表现防御型行为的原因,比如远离其他司机的盲点、给骑车人和行人留出额外的空间等。例如,如果软件认为前方的车道因施工而关闭,并预测到车道上的自行车会移动,那么系统的规划环节将做出放慢速度的决定,并为自行车让出空间,让车辆的行驶更为流畅。

• 运行设计区域

运行设计区域指的是自动驾驶系统可以安全运行的区域。Waymo 针对地理条件、路况环境、速度范围、天气状况、在一天中所处的时间、州立及当地的交通法律法规等指定这一区域。



事实上,现在这样的区域可能非常有限,例如,条限速街道的固定路段或是白天才允许进入的私人场地。Waymo 的目标是扩大自动驾驶汽车能够安全行驶的范围,最终覆盖所有区域。Waymo 也正在开发可以在广阔地理区域内实现自动驾驶的技术,并在雨天、黑夜等恶劣天气条件下完成行驶。

Waymo 设计的运行区域并不允许自动驾驶系统在范围外运行。例如,乘客不能选择认可范围外的目的地,软件不会创建相应的线路。车辆可以自动检测可能导致行车安全性降低的突如其来的变化,如暴风雪等,并及时停下,在环境安全性提升后再继续行驶。

• 最小化风险

如果道路情况过于复杂,自动驾驶技术无法胜任,或者技术失灵,那么人类驾驶员需要恢复对车辆的控制权。Waymo 自动驾驶技术的鲁棒性必须足以应对各种复杂局面。

在自动驾驶车辆无法继续规划旅程时,它必须能够安全地停止。可能是车辆发生撞击,也可能是车辆超出了上述提到的运行设计区域,这种情况下的停车就被称为最小化风险。为此,Waymo 系统每秒都在其系统上数以千次地进行检测,从而寻找故障,并构建了一个应急系统,包括传感器以及其他各模块(如计算模块、刹车模块等)的备份,以期应对各种可能发生的情况。



• 数据记录及碰撞后行为

一直以来,Waymo 的自动驾驶技术在不断提升,系统可以采集并分析行车路面的海量信息,在检测到可能发生碰撞时启动应急方案并自动发出预警信号。在发生碰撞并启动程序后,Waymo 将派遣当地的工作人员去事故往现场,操作中心还会通过车载语音与乘客进行沟通联络。

在碰撞后,系统将分析视频、传感器数据等所有信息,评估可能造成事故的原因。之后会对软件进行适当的更改并对车队中车辆的系统进行及时的更新和升级。再次上路之前,所有车辆都将进行维修并需要通过安全监测。

• 汽车网络安全

Waymo 已经开发出了一个用于识别、排序、降低网络安全威胁的程序,这个程序建立在谷歌安全策略之上,遵循 NHTSA 及 Auto-ISAC 发布的指导策略。为了进一步提升网络安全性,Waymo 还加入了 Auto-ISAC。


Waymo 的车辆测试

Waymo 的车辆测试主要有四个部分,包括车辆本身的检测、传感器、计算模块等 Waymo 硬件部分的测试,完成自动驾驶决策的 Waymo 软件部分的测试,以及整合好的自动驾驶整车测试。

• 车辆本身

目前,Waymo 用于自动驾驶测试的车辆主要是改装版的 2017 款克莱斯勒混合动力车。

• 硬件测试

基于同克莱斯勒汽车公司的合作,Waymo 将传感器等硬件部署在其自动驾驶车辆上。为了保证系统安装的合理性,Waymo 进行了上千次的后续测试。Waymo 在自己的测试场、实验室及仿真环境中进行测试,评估汽车行驶的安全性、验证刹车制动、控制等功能。

• 软件测试

Waymo 的自动驾驶技术不断迭代优化,软件也在持续更新升级。软件的每一次更新都需要经过一系列测试流程,包括仿真环境模拟、封闭路段测试以及公共道路检测。

仿真模拟:在仿真环境中,在部署车队更新的软件之前,Waymo 会先在虚拟环境中测试运行,还会把现实环境中最具难度的场景放在虚拟环境下进行测验。


封闭路段测试:更新后的软件会首先部署在几辆车上,由经验丰富的驾驶员控制,在专用的测试场进行测试。Waymo 会在不同的车辆上测试不同版本的软件,这有助于让车辆在不同的运行设计区域中测试系统的某一新功能或特定的功能。

上路测试:一旦研发人员确认软件可以正常运行,Waymo 就会把新的软件安装在路测车上。开始,Waymo 只会把软件安装在一小部分车上,在确保这些车能够安全、可续航地行驶后,新软件才会被部署在整个车队的系统上。路测里程越长,系统就能更好地监测、评估软件的性能。与此同时,Waymo 还会进一步做出调整,这种持续的闭环反馈机制能够使软件持续升级完善,让车辆在 L4 级别下安全运行。

目前,Waymo 已在美国的四个州展开过测试,涵盖 20 个城市。


• 整车测试

完成对车辆本身、硬件及软件部分的测试后,Waymo 将测试整合好的自动驾驶车辆,包括封闭路段防撞击测试、硬件可靠性及耐久度测试以及受训练的驾驶员上路进行测试。

防撞击测试:Waymo 在自己的测试场中已经完成了上千次的防撞击测试。每次测试都会构建不同的撞击场景,帮助研发人员分析汽车的响应行为,有助于提升整个软件系统的可用性。事实上,除了防撞击测试,Waymo 也会针对其他特殊情况展开测试,如在极端温度下的响应等。




硬件可靠性及耐久度测试:我们用紫外线照射我们的部件,用强力的水喷射他们,把它们泡进几乎冰冻的大桶里,在充满盐雾的房间里腐蚀它们,用强大的震动震动和震动它们,然后加热并在温度和时间上冻结它们数周。

自动驾驶汽车必须具备一定的可靠性,这意味着汽车每一个部分的功能都能够经受住极端环境和成千上百次使用的考验。Waymo 的工程师设计了一种独一无二的压力测试方案,对汽车及其部件进行紫外线照射、强力水流的冲击,冰桶浸泡、化学物腐蚀、强力振动、加热,把现实世界中成年累月对汽车及组件造成的磨损压缩在几天或是几周内完成。

产业Waymo自动驾驶谷歌产业
1