如果自動駕駛汽車大規模實施將有可能產生巨大的經濟和社會效益，包括大大減少交通死亡、傷害和擁堵等，并使所有人都能獲得更便宜、更靈活和更有生產力的交通工具。但自動駕駛運輸不僅僅是一種產品，而是一個行業。為了真正提高流動性，汽車制造商、科技公司和政府監管機構必須聯合起來，建立一個整體的模式來支持這個行業。英特爾公司Mobileye，已經為該模型開發了一個創新框架。它圍繞兩個基本支柱：1 )可證明的安全性保證，2 )經濟可擴展性。本文向更多的讀者介紹該模型的安全保障支柱。后臺回復【RSS】可獲取相關白皮書。

目前，科學知識和工具已經比較完善，可以開發和部署完全自動駕駛汽車(Autonomous Vehicles，簡稱AVs)，它們在所有情況下都不需要駕駛員(SAE L5)。這些交通工具如果大規模實施，有可能產生巨大的經濟和社會效益，包括大大減少交通死亡、傷害和擁堵，并使所有人都能獲得更便宜、更靈活和更有生產力的交通工具。

但自動駕駛運輸不僅僅是一種產品，而是一個行業。為了真正提高流動性，汽車制造商、科技公司和政府監管機構必須聯合起來，建立一個整體的模式來支持這個行業。

在英特爾公司Mobileye，我們相信我們已經為該模型開發了一個創新框架。它圍繞兩個基本支柱: 1 )可證明的安全性保證，2 )經濟可擴展性。如果對這兩個關鍵參數沒有一個清晰的模型，所有對AVs的投資都有可能會以一個非常昂貴的科學實驗而告終。

與Mobileye的協作哲學相一致，我們在發表的一篇學術論文中闡述并揭示了該模型的技術細節。今天，我們發表這篇文章是為了向更多的讀者介紹該模型的安全保障支柱。我們將在以后的文章中闡述經濟可擴展性支柱的概念。

計劃概述

我們認為，汽車行業與全球標準機構和監管機構合作建立安全驗證的方法和標準非常重要。當前，眾多國家都在進行自動駕駛汽車立法和新的USDOT自動車輛指南，其中美國是領先的，現在是參與這些合作進行下一步討論的絕佳時機。

我們提出的模型為設計和驗證一個AV系統提供了一個詳細、實用和有效的解決方案，從而大大提高了安全性。以下是我們認為下一步值得關注的領域的概要，以及我們提出的解決方案：

一套預先確定的規則，用于在AVs與人駕駛汽車發生碰撞時，快速、準確地評估和確定責任：

未來幾十年，AVs將與人類駕駛的車輛共享道路。為了使AVs能夠發揮上述的安全性、移動性和交通效率優勢，它們需要以“正?！狈绞竭\行(即不限于非常低的速度或僅限于遠離其他車輛)。

圖1說明了這一點。如果外面有人駕駛的汽車出了問題，把AV撞上了，AV是沒有辦法避免碰撞的。但是這種情況一直在發生，所以即便我們禁止AV出現這種情況，那也是徒勞的。結論是，任何有用的AV都將涉及可能導致事故的情況，包括機械故障和外力。

圖1所示.中央的汽車不能保證絕對的安全

碰撞是怎么發生的？調查可能需要幾個月的時間。即使是由人駕駛的汽車造成的，也未必馬上就能弄清楚。并且由于涉及AV，公眾將會高度關注。

我們的解決方案是根據數學模型預先為故障設定明確的規則。如果規則是預先確定的，那么調查時間就會變得很短，而且是以事實為依據的，責任可以最終確定。當這些事件不可避免地發生時，這將增強公眾對自動駕駛車輛識別系統的信心，并澄清消費者、汽車和保險業的責任風險。

以下是實現這一目標可能的方法：

我們的方法將事故責任人背后的“常識”形式化。它描述了我們如何將一組駕駛場景、優先權、爭路/搶路的概念，速度，距離等方程形式化，并將它們組合成一個正式的數學模型來確定故障。

由于AV具有一組高度精確的傳感器，所以會有數據來評估碰撞發生前后的精確環境。結合確定故障的正式規則，這些數據可以用于快速確定責任。

故障的形式化模型允許創建決策(駕駛策略)軟件，以避免由AV系統引起的事故。它還能夠以有效的方式進行驗證。

AV具有360度的視野和快速的反應時間，可以分析路況和可用的制動功率，并且從不分心。鑒于此，加上形式化的模型來確定故障，AV開發人員可以設計一個系統，軟件可以根據這個模型評估每個命令。

Mobileye設計了這樣一個系統，它被稱為責任敏感安全（RSS）。RSS確保從規劃和決策的角度來看，AV系統不會發布可能導致AV造成事故的命令。

該系統避免了大多數AV開發人員似乎計劃的數據密集型驗證過程，我們認為這是不可行的（無論是在路上還是在模擬環境中執行）。通過證明系統根據預先確定的數學規則對所有命令進行計算，驗證了該方法的有效性。

安全程度如何？我們的系統可以驗證每十億小時駕駛對一個交通事故有三個數量級的改善。人類駕駛車輛的死亡率為每100萬小時駕駛出現一次交通死亡事故（即美國每年交通死亡人數約為40人，2016年為4萬人）。

我們不相信社會會接受造成事故的機器，除非可以證明死亡率大幅降低。

雖然RSS決策軟件的設計初衷是不允許AV系統做出導致事故的決定，但是仍然有可能由于傳感器系統的錯誤而引起事故（即，關于用于作出決策的駕駛環境的信息）或出現機械故障。

我們提出了一種傳感器融合系統，它包括三個獨立設計的系統，每個系統依賴于不同的技術，分別為: 1 )攝像機，2 )高分辨率地圖，3 )雷達和激光雷達。

該系統可以通過一組非常合理的實際行駛里程數據(特別是10萬小時)來驗證微小的錯誤率(支持標題中提到的比率)。

我們的安全方法細節

從本質上講，RSS是一種實用的設計方法，然后有效地驗證AV規劃/決策（駕駛策略）軟件的安全性。

只要AVs與人類司機共享道路，絕對安全是不可能的，但我們得首先將AV定義為不引起碰撞的安全。

為了證明AV不會引起碰撞，我們必須首先構建一個數學模型，確定碰撞發生時的責任，使用一套完整的駕駛場景。本質上，我們用數學方程來形式化“常識性的錯誤”。我們可以肯定地設置這些方程，因為AV將具有已知的反應時間和已知的通過轉向和制動進行回避操縱的能力。

將這種責任模式形式化的強大結果是，它使我們能夠構建車輛的決策軟件，以遵循這些精確的參數，不斷地評估這些規則，并且永遠不會做出使車輛有引發碰撞風險的命令。

在實踐中，AV需要了解兩件事：

安全狀態：這是一種即使其他車輛采取不可預測或魯莽的行動，AV也不會造成事故的狀態。

默認緊急策略：這是一個概念，它定義了AV可以用來維護或返回到安全狀態的最激進的規避動作。

我們創造了“謹慎命令”一詞來表示維持安全狀態的整套命令。RSS設置了一個硬規則，即AV永遠不會在謹慎的命令集之外發出命令。這確保了規劃模塊本身不會造成事故。

看一下以下的幾種情況：

為了說明這一點，我們舉一個常見的例子?？紤]這種情況，兩輛車在同一條車道上行駛，一輛車跟在另一輛車的后面。如果前車剎車，后車不能及時剎車，發生事故是后車的責任。如下圖所示，我們可以計算出后車（藍色）必須留給前車（紅色）處于安全狀態的精確通道距離。該計算依賴于某些變量的數據，例如兩輛車之間的速度差，這將由AV中的各種高精度的傳感器提供。

圖2.上述公式計算了后車與前車之間的安全縱向距離。

切入演習

以上是一個相當簡單的場景。它抓住了一個直觀的原理，即如果一輛后車撞上了一輛前車，總是后車的錯。

RSS具備使用相同原則處理這種情況的良好能力。基于一組變量，可計算出AV周圍存在的安全通道。如果在碰撞發生前，人類駕駛的車輛（下圖）違反了這條通道，那就是這輛車的責任。相反，AV可以不斷地計算其他車輛周圍的安全通道，并且永遠不會發出違反該空間的命令。

圖3 :計算出的車輛周圍的安全通道將確定切入機動情況下的故障。

處理有限的感知和被遮擋的物體

當人們指責事故時，一個非常常見的人類反應是“但我看不到他/她”。一個常見的回答是“嗯，你應該更加小心。" RSS的一個重要組成部分是，它形式化地定義了在視覺受限的情況下小心謹慎的含義。

考慮一下，下圖C0正試圖從停車場出來到一條街上，在這條街上，一棟大樓擋住了車輛的視線。人類司機的行為是慢慢地融入道路，獲得越來越多的視野，直到感知限制被消除。但是，司機做出了一些假設，比如交通的可能速度，以及交通流量將會在什么時候暴露出來。RSS計算最高合理速度的假設，稱為Vlimit (基于道路速度限制的動態)。有了這些信息，如果C0是AV，它知道它可以窺視多少，并且仍然給C1一個剎車的機會。如果C1比Vlimit快，并且發生碰撞，那就是C1的錯誤。相反，如果C1是AV，則假定可能有一輛車看不到它并想要離開停車場的車，它將會更加謹慎和更遠地駛向中央車道。在任何一種情況下，規則都是清晰的，并且AV不會采取可能導致碰撞的命令，即使對象看不到它也是如此。

圖4. RSS包含對象（車輛，行人等）被其他對象遮擋（隱藏）的情況。

這種特殊的場景也與行人息息相關。行人意外事故的罪魁禍首幾乎都是汽車，即使汽車很晚才能看到行人的情況下也是如此。但也有例外，例如，在RSS理論模型下，AV存在這種可能性，一個行人可能從兩輛停著的車之間飛奔而出，速度達到一定的極限。RSS會管理AV的速度，這樣它就可以隨時剎車以避免與行人發生碰撞，除非行人的速度高于某極限速度（例如，行人能以超人的速度奔跑）。

將RSS擴展到所有道路結構

我們認為，我們構建的正式責任模型（以及相關的RSS軟件）涵蓋了一套全面的駕駛場景（白皮書附錄中包含了一個廣泛的范圍）。我們還非常愿意與監管機構和標準機構接觸，這可能導致評估更多的情況。以下是RSS考慮的其他場景的幾個示例(并非詳盡) :

路線優先——這一重要概念使RSS能夠涵蓋涉及多個道路幾何圖形在特定區域重疊的情況，例如高速公路合并道和環形路。在這些情況下，兩輛車必須在另一輛車的前方通道進行切入才能合并。。在這種情況下，優先車道上的車輛可以在不違反RSS的情況下進行超車。哪條路線/車道具有優先權可以通過交通標志/法規來確定，這些標志/法規將被納入我們稱為RoadBook的高清地圖中。

雙向交通——在雙向交通情況下，中心線提供了一個邊界，但當一輛汽車越過中心線超車或倒車到停車位時，這自然會被違反。白皮書包含了一個關于RSS如何涵蓋這些類型的情況的章節。

紅綠燈——配有交通信號燈的交叉路口使用動態路線優先的概念進行建模。換句話說，根據交通信號燈，有些路線比其他路線優先。

非結構化道路——RSS還包括涉及停車場等非結構化區域的場景。這里的關鍵概念是可預測性。AV像人類一樣可以根據當前的軌跡預測在沒有車道標記的環境中的車輛路徑。如果一輛車偏離了這個預測（通過改變航向），它必須有足夠長的距離來讓迎面而來的汽車進行調整。這個距離是可以計算出來的，如果改變航向的車輛違反了該距離，則是錯誤的。

結論

Mobileye始終通過創新工程應對挑戰，同時也非常注重驗證安全性并以使客戶能承受的成本實現產品的能力。這是全球絕大多數汽車制造商選擇我們提供當今尖端救生安全系統（如自動緊急制動）的關鍵原因。現在，我們與可擴展的專用計算平臺、定制數據中心、云計算和下一代通信領域的領先企業英特爾攜手合作，大幅拓寬ADAS功能并實現AV。

Intel和Mobileye已經開始與寶馬公司合作，開發符合這些概念的AVs非排他性的平臺。這是合作伙伴包容性關系的一個例子，每個合作伙伴都有共同的愿景，即將安全放在首位。我們也清楚地認識到，如果沒有一個真正可擴展的經濟模型，那么AVs的真正潛力將永遠不會被大眾所體驗。