接續前文:數學公式確保自駕車安全? 學者們認為…  

已經隸屬於Intel旗下的車用視覺技術開發商Mobileye發表的論文暴露了自動駕駛技術的一個謬誤,是一個很少被討論到的議題──論文作者對大多數技術廠商採取的「強力破解」(brute force)方法提出警告。

他們在論文中寫道:

目前大多數解決方案的問題集中在三個方面的「強力破解」心態上:1. 對「運算密度」(computing density)的需求;2. 高解析度地圖定義與建立的方式;以及3. 感測器需求的規格。強力破解方法與可擴展性(scalability)是背道而馳的,並且將重心轉移至未來──在那個未來需要有無限制、無所不在的板載運算,以及在某種程度上打造並維護HD地圖的成本變得可以忽略不計而且是可擴展的,還要有特異的超級先進感測器被開發出來,並能以車規等級生產,成本也要能忽略不計。

上面描述的未來看似有理,但要完全符合條件的可能性微乎其微;而安全性與可擴展性議題的結合隱含了「自駕車寒冬」的風險。本論文的目標是針對如何將安全性與可擴展性組合到自駕車開發專案中,提供一個社會可接受的公式化模型,而且是可擴展的,能支援在已開發國家四處奔馳的數百萬輛汽車。

強力破解方法被視為理所當然,特別是當自動駕駛領域在談論測試議題時;當Tesla或是Waymo等公司探討車輛安全性時,第一件事就是提及在道路上執行的強力破解駕駛里程。

Mobileye指出,看來大多數自駕車開發者正在規劃的資料密集驗證程序是「不可行的」(無論是在道路上執行或是在模擬環境中);卡內基美隆(Carnegie Mellon University)大學教授Phil Koopman同意此看法:「強力破解測試不會讓我們獲得足以全面佈署的自駕車安全性。」

在這樣的情境下,Koopman贊同Mobileye的方案:「如果你不能很清楚明確地說出什麼是“安全”,你就無法非常妥善地衡量一輛車是否夠安全;所以我認為定義何謂安全是確實有用的;」不過他也指出:「將“安全”以及“不是我的錯”畫上等號是有一些問題,但這是個合理的起點,幾乎確實需要從那裡開始發展。」

打造安全的系統

Koopman指出,光定義什麼是「安全」也不能解決問題:「你仍需要打造一套實際上安全的系統(根據Mobileye的方案,這意味著永遠不犯錯),這代表你需要確定該系統實際上可以避免錯誤,任何漏洞都不會是問題。」

而他表示,公式方法與數學證明的優點在於它們在原則上是可以被證明是正確的,缺點則在於:「它們總是需要基礎性的假設,而且那些假設可能在現實世界是不成立的;」因此產業界首先需要討論的事情,不只是定義什麼方案對系統來說是恰當的,還有那樣的方案對現實世界來說是否合理。

Koopman表示:「除了不犯錯,駕駛行為還有很多需要考量的部分;人類駕駛對於其他車輛可能做什麼會有預期,不過如果其他人的行為不合理,可能會在技術上造成歸咎於你的事故,你或許仍會對於事情感到沮喪。」

「舉例來說,如果自駕車為了完成任務的較低力道煞車而突然停車,它們可能會引發責任不在於它們的事故;我並不是說自駕車設計者會故意這麼做,簡單來說,良好的自動駕駛遠超過只是不會犯錯。」他指出:「Mobileye的論文作者可能需要在他們的所謂“舒適”指標中解決這類問題,不過我預期這個領域需要更多的探索。」

自駕車能如何妥善運作以及與其他(人類駕駛的)車輛互動,會是判斷自動駕駛技術成功與否的關鍵;雖然Mobileye提出的方案煞費苦心地說明一套公式,能計算自動駕駛車輛車輛之間的安全距離,但如Koopman所言,問題在於:「人類駕駛怎麼會知道另一輛(自動駕駛)車劃定的安全區域在哪裡?」

他的理論是:

如果自動駕駛車輛在周遭留了很大的安全緩衝空間,但在交通繁忙的道路上,其他車輛可能會插進那個空隙;在這種情況下,人類駕駛怎麼會知道「線」劃在哪裡?如果有人類駕駛超越了那條安全線1吋,是否意味著當碰撞發生時自動駕駛車輛是免責的?這在現實世界中要實際執行,會出現些許模糊地帶。

責任歸屬的原則也需要用「以人為本」(human-accessible)的條款來訂定,否則將會出現要求人類遵循標準並不合理的風險;任何一種像是這樣的方法,很重要的是必須在對機器的期望以及對人類的期望之間達成合理的妥協。

Koopman補充指出:「此外在實際執行時,我認為有很多駕駛行為是基於對其他駕駛人可能會做的事情之預期;遵循數學規則有可能讓自駕車輛變得太過保守,使得它們在夾雜人類駕駛車輛的複雜道路上遭遇問題。」他強調,能與其他道路上的車子良好互動,對自駕車來說會是非常重要的特性。

杜克大學(Duke)教授Missy Cummings則認為,在自動駕駛車輛大量出現並行駛於道路上之前,產業界還有許多事情要做。

Cummings在即將出版的《安全、自動駕駛的智慧車輛》(Safe, Autonomous and Intelligent Vehicle)書中,探討了圍繞著自駕車的驗證問題,並反駁了對於自動駕駛車輛發展情況良好、隨時準備好上路的假設;她在書中寫道:

…雖然自駕車不需要對於本身技術是否準備就緒進行評估,其視覺系統仍包含許多缺陷,而且在幾乎每天進行的基礎研究實證中發現更多;這類缺陷來自於感測器本身的侷限以及軟體導向的後期處理(postprocessing),使得自駕車容易受到駭客攻擊。

有鑑於那些感知系統是每一輛自駕車的心臟,讓其系統缺陷是可以被得知而且緩解非常重要,而能測試那些系統特別重要。

Cummings也認為,在判定自駕車擴展視距(extended beyond line of sight,EBLOS)時,人類駕駛接受測試的知識體系具備高度相關性;而她指出,更重要的或許是就像美國聯邦航空總署(FAA)要求人類飛行員需要展示對不同領域操作的知識性,包括如何降低已知意外狀況的風險,自駕車應該也得被要求展示它們在從一般到危及生命等各種不同駕駛情境下的能力極限。

她補充指出:「有鑑於感知系統的已知缺陷,清楚了解自駕車內建之概率性演算法是如何感知以及降低風險,對工程師與主管機關來說特別重要;」但問題是,對於「可解釋人工智慧」(explainable AI)的研究才剛剛起步,這類方案的限制在哪裡我們還不完全了解。

那麼底線是什麼?Cummings憂慮產業界在最低限度安全標準方面未能達成共識,目前並沒有關於自駕車測試的相關計畫,包括對於定義可能最糟情況的邊角案例(corner case)之鑑別;她結論指出:「顯然在訂定原則性測試協議方面還有更多工作要做,也還有很多重要的課題需要學習,包括從人類如何在行車與航空領域取得駕駛資格的經驗。」

編譯:Judith Cheng

(參考原文: Experts Weigh in on Mobileye's AV Safety Model,by Junko Yoshida)