Intel旗下的Mobileye最近發表了一篇論文,指出可利用數學公式來判斷自動駕駛車輛在碰撞事故中的責任歸屬,以確保自駕車的安全性;這觸動了不只一條自動駕駛車輛領域觀察者的神經,衍生的問題包括;「哪有一個產業可以球員兼裁判自己定義產品安全性?」、「安全性與責任歸屬能混為一談嗎?」

為此EE Times詢問了許多學者專家,他們的研究範圍從機器人學、嵌入式電腦系統到自動駕駛車輛安全性以及人類-機器人互動;我們請這些專家分析由Mobileye執行長/Intel資深副總裁Amnon Shashua,以及Mobileye技術副總裁Shai Shalev-Shwartz共同撰寫的論文,談他們是否同意其中觀點以及他們發現的問題所在,還有提供他們對產業界的建議。

事實證明,學者們幾乎一面倒地給予Mobileye研究結果正面看法,他們盛讚該公司堅持到底、迎戰在自駕車領域最棘手的問題。

美國卡內基美隆大學(Carnegie Mellon University)教授Phil Koopman對於Mobileye的論文看法是:「整體看來,我認為能看到一個初步嚴謹的方法探討自動駕駛車輛安全性,是很好的事;每一輛自駕車都必須要有一些方法,判斷什麼可以做、什麼不能做。因此,我很佩服論文作者開始往這個方向發展。」

擔任該校人類與自動化技術實驗室(Humans and Autonomy Lab)總監的杜克大學(Duke)教授Missy Cummings也同意以上看法:「我很欣賞Mobileye開始如此深入地思考那些問題。」

20171027_academics_NT02P1

不過Koopman與Cummings兩位教授都認為,Mobileye提出的方法只是「第一步」,該提案在現實世界的彈性(resilience)──特別是當自動駕駛車輛必須與人類駕駛的車輛共存而且互動──是更大的飛躍;對於什麼可能對自駕車是安全的,Mobileye的定義必須要能順應現實世界的嚴苛。

Koopman很看重Mobileye為自駕車安全性提出具體建議的價值,他表示:「沒有人能第一次就提出完美的建議,但這沒有關係,我們還會嘗試很多不同的方法來表達並公式化自駕車安全性,直到我們找到一個實際可行的方案。」

Mobileye的兩位作者在論文對「安全性」的討論,是解釋他們的策略具備「可證明安全性,就此意義而言不會導致歸咎於自動駕駛車輛的交通事故」;不過對此杜克大學的Cummings指出,「可證明安全性」(provably safe)並不是新概念,並舉出網路上就可以找到不少已經發表的相關學術論文(參考連結)。

她表示,可證明安全性最棘手的問題並沒有改變:「電腦科學家從數學的角度來考量何謂可證明安全性,並不意味著與測試工程師會同意那也是安全的。」

必須質疑的假設

Koopman與Cummings都對Mobileye所做的假設提出警告,表示那不能被視為理所當然,需要被質疑;如Koopman指出:「有一些假設如果在現實世界真的發生,我會非常驚訝。」

Cummings提出的例子是軟體錯誤;以下是Mobileye論文作者對於安全性議題的描述:

…我們現在討論的是導致非安全行為的感測錯誤;如前面所提,我們的策略是可證明安全,就此意義而言不會導致歸咎於自動駕駛車輛的交通事故。這種事故仍有可能因為硬體故障(例如所有的感測器都損壞,或是在高速功率上發生爆胎)、軟體故障(某些模型中有嚴重的錯誤),或是感測錯誤而發生。我們的終極目標是讓這類事件的可能性減至最小──到每個小時109次的概率。

針對Mobileye 聲稱軟體錯誤造成之潛在問題機率相當小,Cummings提出了質疑;她引述了一份報告,探討歷史上車輛因安全性疑慮召回的事件,往往是軟體問題所導致。。

Koopman的疑慮則是光達(lidar)與雷達的故障:「很難相信雷光達與雷達故障的獨立性能夠獲得解決,還有那些討論的假設;」他指出:「必須有人動手證明他們是對的,並不只是假設。而且幾乎可以肯定有一些假設是錯的,論文作者甚至沒有意識到他們犯了錯。」

就像是Koopman所憂慮的:「這就是安全性──意外是最難的部份,所以你需要為了那些意外做規劃,而且要謹慎小心,在它們發生時注意到它們;」不過他也表示:「我還是很高興看到那些作者們開始做假設,而且他們知道他們是在假設,因為如此一來,我們就有一個測試那些假設的起點。」

定義安全性

Koopman並不很擔心Mobileye定義安全性的方式:「論文所聲稱的是,如果他們對責任歸屬有嚴苛的定義,你就可以建立一個用某種永遠不會被歸咎責任的方式來行事的系統;」他進一步指出:「從系統的觀點來看,這能夠使其安全。如果每一輛路上的車子都有這樣的策略而且會遵循,他們認為一切將會相當安全。」

雖然也坦承對於這種概念實際執行的憂慮,Koopman再一次強調:「了解為何它可能無法運作是很重要的部份;而看到一個真正具體的建議,讓我們能從中思考並且學習,是很好的事。」

如果是這樣,Koopman認為Mobileye提出的方法有哪些潛在問題?他的疑慮是,自動駕駛車輛「可能會學習如何“騙”系統」;在現實世界,人類駕駛往往會發現道路規則的漏洞,然後在某種程度上利用這些漏洞,那為何一輛具備「人工智慧」的自駕車不可能玩出相同的把戲?

Koopman的想法是:

舉例來說,試想有一隊連續排列的自駕車在一個車道上,隊伍中有一個空隙,大約有半輛車子的額外空間;這時一個人類駕駛插隊進去,用力踩剎車讓他的車子與前車保持足夠距離。如果發生這樣的情況,跟在後面的一台或是很多台自動駕駛車可能會陷入不安全的境地,因為沒有足夠的空間留給所有車輛。基本上那輛人類駕駛的車是「偷」了車距。

Koopman表示:「這個確切的情境我認為陷入了論文作者提到的無贏面情境(no-win scenario),不過若要真正了解Mobileye提出的方案,這類一系列事件需要被考量;」他提出的問題是:「如果自駕車學會以類似的方式“騙”系統,因為有一個漏洞讓它能在不違反內建安全規則的情況下做出相同的行為呢?」

他進一步指出:「我不是要說剛剛舉的插隊例子,但如果因為量測的不確定性或是需要在實際行動中作出的悲觀假設而出現一個漏洞呢?機器學習系統有可能會發現任何一個這類漏洞並且利用它,而且我們應該都不會提前想到那些。」

「我們應該預期機器學習很可能擅長學習如何利用漏洞,因為關於什麼樣的行為是違反了立法精神而非法律條文,通常不會有共識;」在此時此刻,Koopman無法確切說出系統中可能會出現哪些漏洞,但他強調:「這是一件必須要思考的事情,而就算以任何一種方法以嚴謹的方式定義安全性,最終仍會在實際執行時成為意外。」

 
繼續閱讀:打造安全自駕車不只是數學公式那麼簡單

編譯:Judith Cheng