1700044785
现实情况是,无人驾驶汽车肯定会出现软件故障,但还有待明确的问题是,故障率降低到多少是可以接受的。在服务器操作系统建设完善的情况下,系统管理员可以对系统的停机时间和每年因为系统故障导致服务器离线的小时数进行科学计算和记录。停机时间可以是计划内的,如有时需要升级,也可以是计划外的,比如发生灾难性的系统故障。不过值得一提的是,无论是计划内的还是计划外的停机,都会给企业增加成本。
1700044786
1700044787
成熟的计算机操作系统得益于系统管理员研发出的提高系统稳定性的一些技术。因此,在过去的几年里,每年服务器停机小时数急剧下降。如今,通常配置齐全的Windows或Linux服务器每年仅会出现几分钟的停机时间。如果对于高度依赖服务器集群的商业世界,一年几分钟的停机时间是可以接受的,那么对于无人驾驶汽车来说这个时长OK吗?
1700044788
1700044789
有些人已经厌倦了人类驾驶员由于分心、醉酒驾驶或情绪冲动而造成的大量车祸伤亡,他们可能会倾向于接受可靠性还未达到完美的无人驾驶汽车。只要操作系统可以比人类驾驶得好,这些实用主义者就可能会认可无人驾驶车的合法性。理性地说,这样的可靠性标准还算是合情合理的。然而,难点就在于让那些有话语权的反对者给无人驾驶汽车一个机会。
1700044790
1700044791
人们对机器设定的性能标准通常要比对完成同种工作的人员要求更高。我们担心如果只是将无人驾驶汽车的可靠性标准设定到人类水准,可能很快就会出问题。我们对人类驾驶员造成的悲剧已司空见惯。而由机器人司机引起的第一个悲剧事故将会引起公愤,进而让公众在很长一段时间里排斥无人驾驶汽车。让我们提出一个醒目且直接的基线标准:无人驾驶汽车的安全性必须达到人类司机平均水平的两倍。我们可以根据这个基线设定一些数字标准。根据汽车保险行业数据,平均来说,每个美国的驾驶员每17年会有一次事故;从另一种角度看,平均每个驾驶员每开车19万英里就将申请一次事故保险理赔。虽然事故很常见,但引起死亡的事故很少,只占到0.3%。换句话说,人类司机造成的事故种类既有轻微刮擦碰也有死亡碰撞,基本上每驾驶19万英里发生一次。我们就采用这个度量标准,再四舍五入之后——人类:大约行驶每20万英里;事故:1次。
1700044792
1700044793
机器人的可靠性可以进行量化,标准就是它在无人工干预的情况下可以单独运行的时间长度。这个度量标准被称为平均故障间隔时间(mean time between failures,MTBF)。像人类一样,所有的机器人有时也会需要帮助。例如,在家里,我们的Roomba(iRobot公司的智能扫地机器人)平均每10个小时会需要被“拯救”一次,通常情况是它把自己堵在椅子腿中间或者把轮子卡在缠绕的电线里。高端工业机器人的平均故障间隔时间会很长,特别是当它们在远程监控环境下操作时,人类的监督人员每隔一个多月才过来检查一次。
1700044794
1700044795
如果无人驾驶汽车的安全性需要达到人类驾驶员平均水平的两倍,那么意味着它是人类无事故安全驾驶的平均里程数的两倍,它们发生故障的可能性是每行驶40万英里出现一次意外。由于我们讨论的是里程数而不是驾驶时间与故障的关系,让我们将度量标准称为平均故障间隔距离(mean distance between failures,MDBF)。度量标准会以常见的道路条件、交通条件和天气条件为基础。让我们来计算一下无人驾驶汽车需要多长时间才能打破40万英里的平均故障间隔距离纪录。如果自动驾驶汽车每天可以行驶1000英里,那么只需400天就可以验证一次平均故障间隔距离是否达到,也就是一年多点。或者说,1000辆无人驾驶汽车可以在24小时内验证一次40万英里的平均故障间隔距离测试。为增加统计显著性,它们可能需要重复测试多次。
1700044796
1700044797
教导机器人如何思考的一大优势就在于它们有“蜂巢思维(Hive Mind)”。如果一个机器人学会了某件事,那个软件就可以复制到其他几十个机器人身上,那些机器人就可以用这些知识继续进一步的学习。当有很多不同的机器人系统在一起学习时,它们每个的学习成果可以集中到一个中央知识库,然后共享给每个独立机器人的思维数据库,使得每一个都能更快速地学习。有人称这种集体学习方式为组队学习。
1700044798
1700044799
无人驾驶汽车技术的一大优势是,汽车可以以幂次方效率快速学习。无人驾驶汽车车队可以通过吸收彼此过去的行驶数据库进行学习,这正是谷歌、沃尔沃和特斯拉目前使用的一种磨炼其无人驾驶汽车技术的方法。
1700044800
1700044801
组队学习需要重复,很多很多的重复。在2014年4月发布的一段视频中,谷歌自动驾驶汽车项目的测试驾驶员普里西拉·诺克斯(Priscilla Knox)说:“我们工作的很大一部分就是走到世界各地,发现汽车可能会遇到的所有各种场景,然后再协助工程师教导无人驾驶汽车如何应对各种情况。”视频文章发布后补充的文字说明是:“由于经历了成千上万种不同情况,所以我们建立了可能性软件模型,按照最可能的情况(汽车在红灯前停住)到最不可能的情况(闯红灯)进行标记。待解决的问题仍有很多,包括在拿下另一个城镇之前指导汽车可以在山景城(Mountain View)的街道上积累更多驾驶经验。”
1700044802
1700044804
比人类驾驶安全两倍
1700044805
1700044806
随着存储知识库中驾驶情况的持续成倍增长,无人驾驶汽车将变得越来越能干。然而,为了获得整个社会和法律的认可,无人驾驶汽车仍需要一套透明的可靠性标准,一个定义明确的公共标准——规定了安全的和可接受的平均故障间隔距离。理想情况下,无人驾驶汽车的法规需要由制造企业将与政府合作,共同定义出无人驾驶汽车的平均故障间隔距离应该达到多少才是可接受的。
1700044807
1700044808
在无人驾驶的新时代,平均故障间隔距离的水平将如同汽车的马力一样,成为一辆新车面向消费者宣传时必不可少的信息。当消费者决定买什么车时,无人驾驶汽车的平均故障间隔距离水平将成为汽车宣传报道的典型特色之一。然而,平均故障间隔距离这个术语有点烦琐,我们建议使用一个简单的术语去描述。
1700044809
1700044810
无人驾驶汽车的平均故障间隔距离应该用人类安全水平来测量。毕竟,早期汽车不是用瓦特来表示引擎功率,而是从大家都熟悉的马车能力来衡量——马力。无人驾驶汽车应该用同样的方法来展现它们的驾驶安全性,即我们已经很熟悉的人类在驾驶中的安全系数(humansafe rating)。下面来讲讲如何操作:一辆无人驾驶汽车如果无事故行驶的里程数两倍于人类的水平,则可以宣称“人类安全系数2.0”。一辆无人驾驶汽车的安全程度如果3.5倍于人类驾驶汽车,则可称为“人类安全系数3.5”;以此类推。无人驾驶汽车的人类安全系数水平,将取决于汽车的软件和计算能力,以及硬件传感器的数量和类型。
1700044811
1700044812
从政府层面对人类安全水平建立监管系统,对于无人驾驶汽车行业的每个参与者都是有益的。一辆无人驾驶汽车的人类安全水平将是其市场吸引力的核心部分,汽车公司可以生产专门具有超高人类安全级别的“超级安全”汽车,并从这额外的安全性能提升中收取费用。从立法上讲,也许会要求运送儿童的无人驾驶汽车需要具备10.0的安全系数,但货物车辆具有低点的安全系数也可以上路。对于各种款式的流线型跑车和装有特殊艺术类人工智能及传感器套装的无人驾驶汽车,消费者能津津乐道地向他人谈论其中的安全系数和马力的兼顾的话题。
1700044813
1700044814
实际上,一些安全性法规方面的工作已经完成了。有这样一个机器人操作系统已经成功地解决了大部分此类问题,那就是民航飞机上的操作系统。在所有运输系统中,具有最高级别平均故障间隔时间的运输系统之一就是民航飞机。平均而言,每200万次的飞行才会出现一次致命的系统故障(不考虑飞行员失误、恶意破坏、恐怖主义和其他外部因素,事实上80%以上的飞行事故是由那些因素导致的)。
1700044815
1700044816
相比过去飞机的安全水平而言,每200万次飞行出现一次故障可以说是极大地提升了安全性,比20世纪50年代的事故率改善了大约100倍。更何况,现在的飞机比那个时候的飞机的飞行时间更长、距离更远、速度更快,这样一个近乎完美的安全纪录更是令人赞叹不已。不管怎样,在过去50年里,航空电子系统的故障发生次数已经下降了两个量级。
1700044817
1700044818
无人驾驶汽车可以从民航飞机学到什么呢?首先是关键的政府监管。现在的飞机要接受更严密的审查,政府对飞机维护和飞行员训练都进行严格的监管。无人驾驶汽车也同样需要政府的监管,但首先应对机器人有充分了解并基于安全数据做出指导。对无人驾驶汽车进行管理时,应有一套合理而透明的机制来权衡并量化机器人驾驶员的能力,这一点是至关重要的。
1700044819
1700044820
然而监管只是难题的一部分,更好的操作系统设计同样必不可少。你应该还记得,电脑操作系统的一个致命弱点——目前软件架构的设计思路是所有的系统进程运行在一个单片工作区。将任何东西注入这个软件集群,都会破坏系统的可靠性和安全性,产生漏洞。正如一份评价操作系统安全性的报告所言:“目前的操作系统就像未发明分隔舱之前的船一样,每个漏洞都可能导致沉船。”
1700044821
1700044822
无人驾驶汽车需要高度模块化和冗余设计(Redundant)的操作系统。飞机以冗余架构设计而出名,而这种设计的大部分框架都是由美国联邦航空管理局(Federal Aviation Administration)严格管制的。在飞机上,关键的物理机械系统必须有双重或三重冗余设计。例如,民航飞机的燃油管需要双层护套,这样内层的油管发生泄露时,外层的油管就能承接泄漏并侦测汇报。飞机的关键软件子系统也是高度模块化和冗余设计的。航空电子操作系统是由几个相互关联但又各自独立的电子子系统组成。分离是关键,例如,控制引擎的软件与控制起落架的软件是分离的,而且它们都和乘客使用的资讯娱乐系统软件相分离。
1700044823
1700044824
故障防护也很重要。每个航空电子系统都是依此设计的,这样系统之间可以相互检测故障,而且一旦故障发生,也能适当接受。如果多个子系统“产生分歧”,会通过投票的方式来解决僵局。
1700044825
1700044826
像飞机一样,无人驾驶汽车应具备一套冗余设计的实时操作系统,这套系统还应内置独立的自我检测系统,而这些都应进行立法规定。例如,一辆无人驾驶汽车应该具备三套独立的视觉感知子系统,每一套系统都有着各自的视觉传感器和独特的技术来分析传感器收集到的数据;汽车的操作系统需要定期校正以确保它运行的是经过最新的数据库训练过的最新软件程序,而且与软件系统匹配的硬件(机械)系统也应该是准确无误的。
1700044827
1700044828
同飞机一样,无人驾驶汽车的线缆和车载电脑应该隔离人体,避免乘客无意间地触碰或恶意劫车者有意破坏;汽车的自动驾驶软件应包含强大的监督软件模块,要由该套软件制造商以外的第三方独立机构进行周期性强制检查。如果子系统之间有意见分歧,监管软件要么“调整”系统的性能,要么立即驱动车辆寻求维护。
1700044829
1700044830
几十年的人工智能与控制工程研究形成了现代无人驾驶汽车的操作系统和操纵装置。无人驾驶汽车的操作系统需要既可靠又聪明,操作系统必须实时“掌控环境”,并且绝不会发生碰撞。考虑到这些挑战,有些人会疑虑无人驾驶汽车是否真的能被推出。他们会问:“真的会有操作系统能像人一样掌控汽车吗?”更有甚者提出:“为什么直到现在,才开始发明出无人驾驶汽车?”
1700044831
1700044832
1700044833
1700044834
[
上一页 ]
[ :1.700044785e+09 ]
[
下一页 ]