加入高工智能汽车行业群(自动驾驶行业5群,车联网智能座舱3群,智能商用车行业群),加微信:15818636852,并出示名片,仅限智能网联汽车零部件及OEM厂商。
波音737 Max的灾难应该为汽车行业敲响警钟
当我们把先进的驾驶安全技术应用到自动驾驶系统上时,有人将其与商业航空进行了令人不安的类比:复杂的软件、缺乏对最终用户的沟通和培训……
波音的新型MCAS一切正常,但这并没有阻止飞机坠毁。MCAS系统是波音公司开发的自动安全系统,初衷是阻止737MAX客机失速,但在某些异常情况下,该系统可能自动启动,使机头降低,从而导致机头俯冲坠机。
自定义软件工程公司Intellias的汽车实践主管维克多•海丁(Victor Haydin)表示:“导致这些不幸事件的原因,是空气动力学、软件、硬件、人为因素、波音的营销策略和飞行员培训过程的复杂因素导致。”
其中一个问题是,尽管波音为飞行员增加了一个警报,如果其中一个传感器不能正常工作,这个警报会被错误地链接到一个不同的可选功能上,而不是所有航空公司都有配置这个功能。
一些航空公司表示,他们没有被告知这一可选功能。这显示了两件事:将复杂的软件完全正确执行是多么困难,更重要的是,汽车制造商与客户就功能进行沟通是多么困难。
另一个问题是,飞行员在混乱的、可能致命的情况下,无法采取正确的步骤关闭MCAS。波音坠机事件表明,即便是训练有素、注意力高度集中的飞行员,也很难在瞬间对软件或传感器错误做出评估,并决定接管自动化系统。
越来越多的证据表明,指望司机在紧急情况下从自动驾驶切换到完全人工控制是一个坏主意。
尽管汽车制造商对半自动和自动系统进行了广泛的培训和测试,但在现实世界中,测试和编程每一种可能性可能都是不可能的。
这其中,可能有很多边缘(极端)案例。设计某些自动化特性的开发人员可能会假设驱动程序可能以某种方式工作,但是驱动程序的反应可能不同。
此外,机器学习设计者需要做更多的工作来预测潜在的异常值,并围绕算法创建参数来考虑边界情况。否则,即使人工智能技术让我们总体上更安全,也没有人会足够信任它,从而真正使用它。
另一个教训是关于冗余和冗余管理在反馈回路中的传感器是安全关键的。
波音公司最初向MCAS反馈的AoA传感器是有效的故障-不工作,也不安全。故障操作应该是必要的,但那将需要三个AoA传感器或一个复杂的虚拟AoA传感器。
而波音采取了更为激进的方式,在最初的版本依赖于至少两种传感器的数据,但最终的版本只使用了一种传感器,使得系统没有关键的安全保障。
波音和美国联邦航空管理局的现任和前任雇员在接受采访时表示,他们认为该系统依赖于更多的传感器,很少会启动。基于这些错误的假设,许多人做出了关键的决定,影响了设计、认证和培训……
这就是目前自动驾驶落地在成本与安全之间的博弈。一方面,汽车制造商和自动驾驶公司需要考虑商业化可行性,这必须要考虑成本因素;但同时,为了保障足够的安全,又必须要增加一定的冗余,这就无形中增加了额外的成本。
此外,一些航空公司和飞行员没有得到他们需要的关于软件更改的所有信息。而OTA更新似乎是汽车制造商修复bug和提高汽车系统性能的首选方法。对于如何将这些更改传达给驱动程序,现在没有任何标准。
特斯拉定期通过这种方式更新客户汽车上的软件,并在汽车屏幕上显示通知。今年4月,该公司推出了一项功能,可以让汽车在没有司机确认的情况下自动换车道。要实现这一点,驱动程序必须自定义导航设置,在三个选项中进行选择。
而更新安全功能时,它需要遵循同样的规则和警告,因为这仍是整个系统的一部分。汽车制造商需要解释新的驾驶功能是什么,以及它是如何工作的,以避免让司机感到意外,让他在不应该的时候接管,或者更糟糕的是,做出过度反应,转向另一条车道或迎面而来的车辆。
现在,波音公司现在已经修改了飞行员培训,以使飞行员“更好地了解737最大速度调整系统,包括MCAS功能、相关的现有机组程序和相关软件更改”。
但此前,波音从未向参与确定飞行员培训需求的美国联邦航空管理局官员透露MCAS的改造计划。当波音公司要求从飞行员手册中删除对该系统的描述时,美国联邦航空局表示同意。因此,大多数Max飞行员直到去年10月第一次坠机后才知道这个软件。
那汽车司机呢?当他们把车开出4S店时,他们几乎没有接受过关于汽车ADAS功能的培训,更不用说在他们习惯了汽车之后。
事实上,在全球范围内大多数司机除了获得驾照之外,没有接受过任何培训。我们看到特斯拉的司机一次又一次地高估AutoPilot。
当然,目前全球的L4自动驾驶测试需要对安全员进行培训,但这只是为专业驾驶员准备的。
汽车制造商当然可以要求新购车者参加培训课程,把这些高级安全功能变成一项司机承担的义务,但当一项新功能取而代之时,可能同样会令人担忧。
更何况,现在几乎没有一家汽车制造商为自己提供ADAS系统的新车做任何培训(反之,则是更为夸张的广告宣传),“当汽车突然发出嘟嘟声,我们无法确定司机是否能清楚地理解这种情况。”
另一个关键问题,是现在整个汽车行业都在提倡“软件定义汽车”的概念,这是趋势,但没有哪个软件或汽车系统是完美的。
比如,过去的汽车制造体系必须保障出厂新车是一次到位的,而随着OTA在汽车行业的导入,让汽车制造商可以为自己的系统留有随时更新Bug的权利,这和过去的召回“完全不一样”。
“只要是软件,就一定会有bug。”尽管理论上来说,大多数自动化系统会比人类司机更出色。但事故是不可避免的,正如波音飞机一样(而航空业是一个比汽车行业还要严格的安全标准)。
另一个例子是,过去10年,出于监管机构对安全的担忧,物流领域的无人机使用一直处于暂停状态。
大多数主要的新技术,无论是人工智能、区块链还是其他什么,都遵循一个炒作周期:人们高估了它们的短期潜力,但往往低估了它们的长期影响。
波音和特斯拉等引人注目的事故,消除了人们对自动驾驶技术的一些过分夸大的说法,但大多数人仍然看好自动驾驶的长期潜力。
但是,现在全球都还没有一个公认的判断自动驾驶系统成熟度的标准。
美国专利商标局上个月公布的一份专利申请提供了一种可能性。该应用程序详细描述了一种确定自动驾驶汽车安全相关能力的方法,然后将它们的性能与人类驾驶的汽车在同一路段上的性能进行比较。
这项专利的持有人表示:“自动驾驶汽车将以对操作设计领域(ODD)敏感的渐进方式缓慢部署,并将与人类驾驶员混合使用。”
这种方法的价值在于,它可以帮助你判断,在给定路线上,AV与人类司机相比表现如何。只要我们在这样一个系统中运行,这就是一种有价值的能力。
类似的,去年10月兰德公司的一篇论文《衡量自动车辆安全:构建一个框架》提出,自动驾驶需要领先的安全指标,而不是像撞车这样落后的指标。它还提出了“道路驾驶”的概念,这一概念的核心是衡量车辆在交通中是否“与他人配合良好”。
一个系统能否在没有剧烈刹车等突发变化的情况下为乘客提供平稳的乘坐体验?这样的系统可能被认为比它的同类系统更成熟。
最终,实现无人驾驶汽车的道路不会像一些人可能认为的那么容易。一个悬而未决的大问题是安全到底有多安全,即安全到什么程度?
例如,目前社会似乎对涉及自动驾驶汽车的任何类型的伤害或死亡都做出非常敏感的反应,然而无人驾驶汽车的支持者很快指出,传统的汽车驾驶事故和死亡每天都在发生,“事故发生的频率将大大低于人类传统驾驶”。
这背后的原因,仍然在于自动驾驶公司与公众之间的“信息不对称”。比如,你很少看到那些宣传所谓推出量产自动驾驶方案的初创公司,展现自己的安全冗余等保障措施。
他们通常展示的是自己的技术(算法)有多牛,传感器用的有多么高性价比(无论是数量还是组合的种类),甚至不需要激光雷达和高精地图的辅助。
然后,在如今过分追求软件能力的时候,有时就会出现我们意想不到的事情(企业总是有可能不诚实地使用软件,比如大众的排放丑闻、比如波音的MCAS系统)。
更为致命的事,一些企业往往希望用软件能力来弥补硬件设计上的不足。比如,在737 Max上,波音公司使用软件来补偿在物理设计上的妥协。
而在消费者更为普遍的智能手机行业,软件可以让制造商在相机等产品上偷工减料、降低成本,比如使用图像增强软件来补偿劣质镜头。
当我们考虑到我们未来的汽车由代码行决定的未来时,存在着巨大的不可预见的麻烦。如果没有严格的监管,那么我们可能遭遇“灾难”。

继续阅读
阅读原文