2017年10月Google Waymo向美國交通部提交了一份43頁的安全報告,報告中詳細說明了Waymo如何裝備和訓練自動駕駛車輛,從而避免駕駛中的一般和意外情況發生。這份報告對Waymo的自動駕駛技術進行了詳細的解讀,希望能夠對自動駕駛從業者帶來一些啟發。
自動駕駛技術的必要性
2013年在全球有120萬人死於交通事故;2016年美國有37461人死於道路交通事故;2015年美國有240萬人在交通事故中受傷;94%美國發生的交通事故中由於人為失誤引起;2/3的人在一生中至少遭遇一次酒駕事故;自動駕駛技術每年可以避免數千人死於交通事故。
1.How Our Self-Driving Vehicle Sees the World and How it Works
自動駕駛汽車要解決的四個問題:
1.Where am I;
2.What’s around me;
3.What will happen next;
4.What should I do;
1.1 Where am I
Waymo的自動駕駛汽車不依賴於GPS,它通過實時傳感器數據與預先製作的三維高精度地圖交叉對比驗證得到自動駕駛汽車在道路中的精確位置。
如下圖所示,三維高精度地圖中包含了道路屬性、道路路肩、人行橫道、車道線、紅綠燈、Stop Sign等。
A Waymo vehicle’s onboard map view
1.2 What’s Around Me
Waymo自動駕駛汽車的傳感器和軟件持續的掃描周圍300米範圍內的環境信息:行人、車輛、機動車輛、非機動車輛、道路施工、道路障礙物等;並不斷的從紅綠燈顏色和鐵路交叉道口的臨時Stop Sign不斷讀取交通控制信息;
1.3 What Will Happen Next
對於道路上的每一個動態物體,軟件系統會依據它們當前的速度和軌跡預測未來的運動;不同類型的道路交通類型參與者,他們的行為差異很大,所以軟件系統會根據不同的動態物體類型(行人或者自行車等)分別預測多條他們下一步的可能路徑作為自動駕駛車輛下一步行動的參考;Waymo的軟件系統也會考慮道路環境的變化(比如前方車道擁堵)對周圍車輛行為的影響。
1.4 What Should I Do
Waymo自動駕駛軟件系統會根據獲得的所有信息計算出可行駛的最優駕駛策略,比如準確軌跡、速度、車道、駕駛方向等。由於自動駕駛汽車可以360度持續觀察道路環境、預測其它道路使用者的未來行為,因而能夠快速安全的應對任何道路事件。
2. Our System Safety Program – safety by design
Waymo內部有一套複雜的系統安全流程:Safety by Design,Safety by Design的含義是從設計、研發、測試、驗證的每一個環節都要考慮安全因素。這套流程機制衍生了Waymo許多關鍵的安全功能的設計,比如使得無人駕駛汽車在出現技術故障的情況下依然能夠安全的停下來的關鍵冗餘安全系統;擁有重疊視野的傳感器系統;無處不在的測試系統等等。
Waymo的System Safety Program包含五種類型: behavioral safety, functional safety, crash safety, operational safety, and non-collision safety。
2.1 Behavioral Safety
Behavioral safety是指自動駕駛車輛在道路上的駕駛決策和駕駛行為。與人類駕駛員一樣,自動駕駛車輛也必須要遵守交通規則,處理各種各樣的預料之中和意料之外的各種場景。Waymo使用功能分析、仿真工具、實際上路驗證來理解在ODD(operational design domain)中面臨的挑戰,設計安全要求和進行多管齊下的測試和驗證流程。
2.2 Functional Safety
Functional safety保證在車輛系統失效或者異常的情況下仍然能夠安全駕駛。這意味需要一個備用冗餘系統用來處理意料之外的情況。例如,我們的自動駕駛系統安裝了冗餘計算系統,它能夠在主計算系統故障的情況下迅速接管,使得自動駕駛車輛能夠停靠到安全區域;每一輛自動駕駛車輛都有備用的方向盤和剎車,和很多層次的冗餘系統。
2.3 Crash Safety
Crash Safety是指車輛通過各種措施保護車內乘客的能力,比如保護車內人員的結構設計到減輕傷害或防止死亡的座椅約束和安全氣囊等功能。美國的碰撞安全(Crash Safety)由美國國家公路交通安全管理局(NHTSA)發佈的聯邦機動車安全標準(FMVSS)涵蓋,車輛製造商必須證明其基本車輛符合適用的FMVSS要求。
2.4 Operational Safety
Operational Safety是指車輛和乘客之間的交互能力。通過操作安全,我們可以確保用戶在車輛上擁有安全舒適的體驗。Waymo通過危險分析、已有的安全標準、廣泛的測試以及各種行業的最佳實踐來構建安全的產品能力。比如,Waymo通過早期的試乘機制,研發了一套能夠使得乘客能夠清楚指示目的地,指揮車輛靠邊停車,聯繫Waymo幫助支持的交互系統。
2.5 Non-Collision Safety
我們強調與車輛交互的人群的人身安全。例如,避免電氣系統或傳感器可能對乘客、車輛技術人員、測試駕駛員、旁觀者造成的潛在危險。
3. How Waymo’s Self-Driving Vehicles Work
我們的自動駕駛不像目前市面上的自適應巡航控制系統(adaptive cruise-control)和車道控制系統(lane-keeping systems),它集成的軟硬件可以在特定區域和特定限制條件下替代人類司機的所有駕駛功能,完全不需要人類司機。這種技術在國際汽車工程師學會(SAE)自動駕駛系統定義中被稱為Level 4級自動駕駛。我們的技術不同於較低層次的自動駕駛系統(Level 1,Level2,Level3),Level級自動駕駛系統能夠在任何系統故障時使車輛安全停車(即最小風險條件,minimal risk condition),而無需人類駕駛員接管。
3.1 Our Vehicle Sensors
為了滿足自動駕駛的複雜需求,Waymo開發了一系列傳感器,使我們的車輛在白天和晚上都能看到360度的視野,並且可以看到三個足球場以外的地方。Waymo多層次傳感器套件無縫銜接,繪製出一幅詳細的三維世界圖像,包含了所有動態和靜態物體(如行人、騎自行車的人、其他車輛、交通燈、建築錐體和其他道路特徵等)。
LiDAR (Laser) System
LiDAR (Light Detection and Ranging) System 360度日夜不停的工作,每秒發射數百萬個激光脈衝,並測量從障礙物表面反射回車輛所需的時間。Waymo自動駕駛系統包括三種內部開發的激光雷達:短程激光雷達、高分辨率中程激光雷達,以及可以看到三個足球場遠的新一代遠程激光雷達。
Vision (Camera) System
Vision System設計的目的是像人類一樣通過視覺系統感知周圍環境,它擁有360度的視野,遠超人類駕駛員120度的駕駛視野。由於我們的高分辨率視覺系統可以檢測顏色,因此它可以幫助我們識別交通燈、建築區、校車和應急車輛的閃光燈。Waymo的視覺系統由幾組高分辨率攝像機組成,長距離、日光和低光條件下都可以很好的工作。
Radar System
Radar利用波長感知物體和運動。它的波長可以穿透小的障礙物,這使得它可以在雨天、霧天、雪天或夜間都能發揮作用。Waymo的Radar系統擁有360度連續視角,因此它可以跟蹤車輛前方、後方和兩側的道路使用者的運動速度。
Supplemental Sensors
Waymo車輛還配備許多額外的傳感器,包括音頻檢測系統,它可以聽到數百英尺以外的警察和緊急車輛警報;GPS,它可以補充我們車輛對在全局空間位置的感知。
3.2 Our Self-Driving Software
自動駕駛軟件是我們汽車的“大腦”,它能夠理解來自傳感器的信息,並利用這些信息為各種場景下做出最佳駕駛決策。Waymo花了八年時間使用機器學習和其他先進的工程技術來構建和改進我們的軟件,並通過數十億英里的模擬駕駛和超過350萬英里的公路行駛來訓練和測試我們的軟件。
我們的自動駕駛軟件系統不僅僅可以檢測到障礙物的存在,事實上它可以判斷出障礙物的類型,障礙物可能如何運動,以及它的運動如何影響我們的車輛在道路上的行為。
雖然我們的自動駕駛軟件系統由許多不同的模塊組成,但這裡主要詳細介紹其中的三個主要模塊:perception, behavior prediction, and planner。
PERCEPTION
Perception可以檢測和分類道路上的物體,同時還可以估計它們的速度、航向和加速度。Perception模塊不僅可以幫助我們的自動駕駛車輛區分行人、騎自行車的人、騎摩托車的人、車輛等,同時它還可以區分靜態對象(如交通信號燈)的顏色。Perception使我們的系統能夠在語義層面上理解我們的車輛周圍的情況(比如紅綠燈是否為綠色並允許車輛是否繼續行駛,車道是否因為道路佈滿錐桶而堵塞)。
BEHAVIOR PREDICTION
通過Behavior Prediction,我們的軟件可以建模、預測和理解道路上每個對象的意圖。由於Waymo擁有數百萬英里的駕駛經驗,這使得我們的車輛模型非常精確,可以準確反應不同道路使用者的行為。例如,我們的軟件理解儘管行人、騎自行車的人和騎摩托車的人看起來很相似,但他們的行為可能會有很大的差異:行人比騎自行車或騎摩托車的人移動得慢,但他們可以突然地改變方向。
PLANNER
Planner利用從感知模塊和行為預測模塊中收集到的所有信息,為自動駕駛車輛規劃了一條可行駛的道路。根據我們的經驗,最好的駕駛員是防守型駕駛員,這就是我們採取防禦性的駕駛行為的原因,比如避開其他駕駛員的盲點,為騎自行車的人和行人留出額外的通行空間。Waymo的Planner模塊也會提前做一些駕駛預判,例如如果我們的軟件系統發現前面的車道因施工而關閉,並預測施工車道上的自行車手將借道機動車道,Planer模塊會提前減速或者提前為自行車手騰出空間。利用實際道路的駕駛經驗,我們也在不斷改進我們的駕駛行為,使得自動駕駛車輛在道路上的行駛平順舒適,讓車內的乘客感到舒適,讓其他道路使用者感到自然和可預測。
3.3 Operational Design Domain
Operational Design Domain(ODD)是指自動駕駛系統能夠安全運行的所需的條件。Waymo的ODD包括地理位置、道路類型、速度範圍、天氣、時間以及州和地方交通法規。
Operational Design Domain(ODD)可以非常侷限,例如在白天溫和的天氣條件下,在低速公共街道或私人場地上設置一條固定路線。然而,Waymo目前正在開發的自動駕駛技術可以在廣闊的地理區域內的各種條件下的城市街道駕駛,比如可以在惡劣天氣(如小雨至中雨)下行駛;可以在白天和夜間行駛等。
Waymo的系統被設計成不在其允許的Operational Design Domain(ODD)之外行駛。例如,乘客不能在我們允許的地理區域之外選擇目的地;我們的軟件不會創建一條在“地理圍欄”區域之外行駛的路線。另外,我們的自動駕駛系統可以自動檢測在其ODD內會影響安全駕駛的突然變化(如暴風雪),並在條件改善之前安全的停下來。
我們設計的自動駕駛系統能夠遵守運行區域所在的聯邦、州和地方的法律。法律的所有要求以及所有法律的變更都會作為安全需求納入我們的自動駕駛系統,包括限速、交通標誌和信號燈等等。我們的自動駕駛車輛每到一個新的測試場地,都會努力瞭解當地獨特的道路規則或駕駛習慣,然後將這些內容更新到我們的軟件系統,使我們的車輛能夠安全處理這些場景。
Waymo的Operational Design Domain(ODD)在持續演化,我們的最終目標是開發完全的自動駕駛技術,可以在任何時間、任何地點和任何條件下將乘客從A地送到B地。隨著我們自動系統能力的增長,我們將持續擴展我們的Operational Design Domain(ODD),將我們的自動駕駛能力帶給更多的人。
3.4 Minimal Risk Condition (Fallback): Ensuring the Vehicle Can Transition to a Safe Stop
低級別自動駕駛的車輛,如果道路上的情況變得太複雜技術無法處理或者技術本身失敗的情況下,需要人工駕駛員來收回控制權。作為一個完全自動駕駛系統,Waymo的技術必須足夠強大到能夠獨立處理這些情況。
如果我們的自動駕駛車輛不能繼續按計劃行駛,它必須能夠執行安全停車,即“minimal risk condition”或fallback。這可能包括自動駕駛系統遇到問題、車輛發生碰撞或環境條件發生變化,從而影響我們ODD內的安全駕駛的情況。Waymo的自動駕駛系統會以每秒數千次的頻率自動檢測這些場景,查找系統故障,同時為關鍵系統(如傳感器、計算和制動等)配備了一系列冗餘備份。自動駕駛系統根據故障發生的道路類型、交通狀況和技術故障的程度等因素確定適當的響應(比如靠邊停車、安全停車等),以確保車輛及其乘客的安全。
3.5 How We Build a Map for a Self-Driving Vehicle
在自動駕駛車輛上路前,我們的地圖團隊會首先使用我們安裝在測試車輛上的傳感器創建高度詳細的三維地圖。不同於衛星圖像或在線地圖,Waymo的地圖為自動駕駛車輛提供了對物理環境的非常詳細的語義理解:道路類型、道路長度以及其他地形特徵等。
我們在上述數據基礎上增加交通控制信息如人行橫道、交通燈和相關標誌。
使用這些地圖數據,我們的自動駕駛系統可以重點關注它周圍動態變化的環境(如其他道路使用者)。我們的系統可以通過交叉引用實時傳感器數據和車載3D地圖來檢測道路的變化,如果檢測到道路發生變化(例如前方發生碰撞導致道路交叉口封閉),我們的車輛可以在系統的ODD內重新確定路線,並向我們的運營中心發出警報,以便車隊中的其他車輛可以避開該區域。
3.6 Data Recording and Post-Crash Behavior
Waymo有一個強大的系統可以收集和分析路上遇到的數據,從一輛車的經驗中學到的任何東西可以適用於整個車隊。當碰撞發生時Waymo的自動駕駛系統可以立即檢測到並自動通知Waymo操作中心,然後我們訓練有素的專家可以啟動碰撞後程序,其中包括與執法部門和第一響應者互動的程序,以及將我們團隊的成員派往現場的程序,同時我們的運營中心也有專家通過車內音頻系統直接與乘客溝通。
碰撞發生後,我們會分析所有可用數據(包括視頻和其他傳感器數據),以評估可能導致事故的因素,並且對軟件系統進行必要的修改和升級,並相應地更新車隊中的每輛車。在事故中遭受損壞的車輛在修復之後,經過安全系統的驗證測試,會重新迴歸車隊。
3.7 Self-Driving Vehicle Cybersecurity
Waymo開發了一個強大的流程來識別、優先處理和緩解網絡安全威脅,我們的安全實踐是建立在Google’s Security 基礎之上的。為了幫助開發未來的最佳安全實踐,Waymo還加入了Auto ISAC,這是一項旨在增強全球汽車行業網絡安全意識和協作的行業運營倡議。
我們從內部和外部對自駕系統的所有潛在安全接入點進行了全面審查,並採取措施限制這些接入點的數量和功能。
我們OEM合作伙伴在一起溝通確認車輛的潛在薄弱環節,並在軟件研發和車輛設計過程充分考慮已知威脅,以確保自動駕駛系統的安全。新的軟件發佈必須經歷廣泛的同行評審和充分的驗證過程,其中的危險分析和風險評估流程旨在識別和減輕可能影響安全的風險。在車輛設計中,Waymo車輛的安全關鍵部件(如轉向、制動、控制器等)與外部通信隔離;決定車輛移動的關鍵計算模塊和車載3D地圖都完全被屏蔽,無法從車輛的無線連接和系統進行訪問。
我們還考慮了無線通信的安全性。Waymo自動駕駛車輛不依賴於持續的網絡連接來保障安全運行,道路上輛和Waymo之間的所有通信(例如冗餘蜂窩連接)都是加密的,包括Waymo的運營支持人員和我們的乘客之間的通信。
這些保護措施有助於防止任何人(無論是乘客或附近的惡意行為人)接觸我們的自動駕駛車輛,損害或改變他們的安全行為。同時我們有不同的機制來發現異常行為和分析這些事件的內部過程,如果我們意識到有人試圖破壞我們車輛的安全,Waymo將啟動公司範圍內的事件響應程序,包括影響評估、遏制、恢復和補救等。
更多文章見微信公眾號: 「半杯茶的小酒杯」
閱讀更多 半杯茶的小酒杯 的文章
