登陆

解读小马智行（Pony.ai）自动驾驶安全报告

来源：公众号“ 汽车电子与软件”

2021-01-11

3894

"我们相信保持谨慎、严谨的理念与做法是通往未来的唯一正途，没有捷径。这种信仰正是指引我们研发、测试与部署自动驾驶出行前路的灯塔。"

小马智行联合创始人

CEO彭军、CTO楼天城

12月25日，小马智行（Pony.ai）发布安全报告，强调安全至上是公司始终坚持的核心理念，并详解技术特征与发展，并阐述自动驾驶技术如何令出行更安全。

这份名为《我们如何实现安全（Our Approach to Safety）》的报告介绍了小马智行自主研发的系统的各个模块，例如传感器融合方案，感知、预测、规划与控制、地图与定位等各个主要模块的研发理念与原理；软硬件开发与测试、验证的流程，体现了公司对工程师文化的信奉与坚守。

报告强调，缜密的工程师思维和操作，严苛的验证和测试对于打造安全的自动驾驶汽车也是必要的。报告还介绍了公司在测试运行区域如何积极融入社区，努力普及自动驾驶技术。

以下为报告的主要内容节选：

第一部分

小马智行的自动驾驶系统

1. 传感器

为帮助无人车更加精准地感知和了解周边环境，小马智行采用多传感器融合方案，可以在两方面保证自动驾驶车辆的安全。

首先是多样化（diversity）

通过在传感器组件中融合高清摄像头、毫米波雷达和激光雷达等，我们充分利用每种传感器的优势并弥补各自缺陷，以实现车辆感知达到保证安全的范围。高清摄像头完成准确的物体和颜色识别，从而认出前方的障碍物。激光雷达和毫米波雷达则为无人车提供位置信息和障碍物的运动分析，解决例如障碍物距离、移动方向等问题。

第二是稳健（robustness）

传感器组件必须可靠才能保证工作效果。我们的传感器和零部件为真实路况而设计。而且我们为自动驾驶系统设计、装载了监控系统以保持实时关注每个零部件的状态。一旦一个传感器失灵，系统将在危险发生之前发现问题，防患于未然。

而在感知传感器之外，我们还在系统中应用高精度全球导航卫星系统（GNSS）和惯性测量单元（IMU），辅以我们在高精地图与定位方面的能力，以确保无人车精准定位。

2. 软件

感知：感知模块使我们能够看到并理解自动驾驶车辆周围的世界。我们通过融合和处理由传感器和高清地图收集的数据来实现这一目标。感知模块负责对象分割，检测，分类等工作，简而言之，感知模块告诉我们车辆周围正在发生什么。因此，感知模块的保真度和准确性对于自动驾驶汽车的安全运行至关重要。

为确保这一点，我们利用结合了深度学习（deep learning）和启发式方法（heuristics）的混合解决方案。此外，我们使用传感器融合来优化数据使用，从而提高整体感知模块的可靠性。

预测：基于感知模块感知结果、传感器原始数据和道路行为主体（road agents，包括机动车、行人和其他可动的物体）过往决策数据，来预测路上的行为主体将采取什么行为和行动轨迹。

与感知相似，小马智行的预测模块也使用了深度学习与启发式方法相融合的方案来促进机器的学习速度与应用，这对于自动驾驶系统来讲是格外重要的，特别是考虑到我们的车队每天在全球生成海量数据。我们能够充分运用在全球累积的大量丰富的交通场景，提升预测能力，而且是以比人类司机更快的速度。

地图与定位模块：自动驾驶车辆和周围的交通主体都需要厘米级的精准定位，以及精准的道路环境信息显示，以准确处理各类日常状况和长尾场景。在小马智行，我们运用工程实践所长，加之为我们带来海量数据的传感器融合方案，让我们具备了绘制高精地图能力与行业领先的定位水平。我们的定位模块目前可提供精确的位姿、速度、加速度和角速度等信息，及其精度等级、准确性等。

多传感器融合方案使我们的车辆一旦某类信息不可用时，仍可以使用其他信息来源可靠工作，从而不会迷失方向，让安全得以保证。

规划与控制：这个模块包括机器学习以在行进中实现对车辆的安全操作，以及对外部状况、行为做出准确反应。我们的控制模块实现了对车辆操作的精准度达到厘米级。

3. 硬件与车辆整合

计算单元：车载计算单元负责处理传感器收集的数据，以及在真实场景中运用我们专属的算法来实现车辆的自动驾驶。小马智行的计算单元运用了行业内先进的异构计算架构，包括中央处理单元（CPU）、图像处理单元（GPU），现场可编程门阵列（FPGA）和微控制器单元（MCU）。这使得它能以高带宽收集传感器数据的同时，为软件算法提供充足的计算能力。

计算单元的每个部分都代表了业内高可靠性的组件，并通过了严格的验证和测试。小马智行的硬件组件还通过冗余来确保安全、可靠。我们的运算系统由双输入冗余供电支持，如果主电源系统出现故障，备用电源系统可以无缝接替工作，确保为运算系统供电。

整车集成：实现小马智行自动驾驶系统的最后一步是将系统集成到车辆中。我们在自动驾驶软件堆栈和车辆平台之间建立了可靠的接口，以确保车辆平台可以准确地接收并执行控制命令。这套解决方案建立在汽车级硬件和软件工具链的基础之上，并包括成熟的诊断管理机制，以监控自动驾驶系统与车辆系统。

车载监控系统：车载系统为各个模块提供了统一的应用程序交互接口（API），以保证数据传输从前端的传感器到后面的规划与控制保持稳定。车载系统在兼顾安全与表现的方面发挥关键作用。它同时密切监控自动驾驶系统以及各个零部件可能出现的故障。

安全员交互界面（UI）：我们的UI提供3D图像，帮助安全员实现与车载系统之间的交互。它显示车辆周围的障碍物、车辆状态（包括自动或人工模式、车速、方向等信息），道路以及规划路径。安全员通过触屏发号施令。

UI同时也是可视化的预警装置。如果车载系统或任何组件出现问题，它将会弹出红色预警界面以提醒安全员及时接管。

UI同时以音频的方式同安全员交互，让每个组件及时通知其安全相关的决定，并在出现潜在危险时（例如后车突然加速接近并有造成碰撞的可能）及时提醒安全员接管。小马智行的安全员均接受过严格的培训，在此基础上UI为其提供了额外的帮助以保证他们准确地提前预判和化解道路上可能出现的各种危险。

第二部分

小马智行系统的开发、测试与验证

“安全至上”是我们始终践行的核心理念和开展一切工作的宗旨。

首先要了解开发自动驾驶系统所面临的挑战以及我们如何对系统进行测试。普通人在日常驾驶中所面对的场景大多相对简单，实现真正安全需解决“长尾”问题：异常的危险仅占车辆遇到情况的很小一部分，但这正代表自动驾驶系统所面临的最严峻安全风险，极具挑战。对于任何安全的自动驾驶系统来说，成功驾驭少数异常状况是必须做到的。

第二个挑战是验证：如何确认自动驾驶系统可以在充满挑战的道路环境中成功且安全地运行。小马智行将新技术和软件的创新与完善的安全和工程原理相结合来应对这一挑战。我们为技术所带来的变革潜力感到自豪，并将其与安全工程师实践所得出的最佳实现方案结合，以确保车内外人员安全。

1. 多市场/地点发展

从百年车企到小马智行这样的年轻科技公司都在积极研发自动驾驶汽车，但鲜有玩家在全球范围设计、研发和测试系统。

小马智行作为其中一员，就正在多种具有挑战的环境中开展测试，包括美国加州多地的城区道路与高速路，和中国多个城市，例如北京 - 全国政治文化中心，广州 - 南方的增长与创新极，以及上海 - 汽车之都和经济中心。

2. 严谨的工程文化

小马智行的安全概念首先建立在安全负责的开发实践基础上。我们的团队拥有世界一流的工程能力和专业知识。

我们采用系统工程方法以确保所有组件均被单独验证。我们参照行业现存的安全标准，例如ISO 26262，套用其框架来最好地测试、验证我们的自动驾驶系统。除此之外，我们还运用了多种已被证实和采用过的安全分析工具，例如失效模式与影响分析（FMEA）和故障树分析（FTA），来验证系统和确定需进一步进化的领域。

3. 软件开发

从仔细设置并遵守严格的研发流程开始，小马智行软件开发的整个环节都以安全至上为宗旨。如此高难度的自动驾驶软件开发需要在每一个步骤都进行多次安全检测。一旦我们在路测中发现需要改进的问题或是需要拓展车辆安全的边界，就会对软件系统进行修改。我们使用大量路测数据（包括安全员的反馈）来及时发现并处理可能影响到车辆行驶与操作安全的潜在危险。

设计文档是解决类似问题的第一步。每当我们的工程师在开发新特征或参数的时候，他们总是从建档开始，先阐述这项新工作将如何提升系统。这对于后续发现问题，并通过书写新代码去解决问题是重要的参考，也是后续每一步相关工作的参照。设计文档一旦建立后，将会由一群经验丰富的工程师从各个角度来进行验证，以保证它从工程角度来讲是靠谱的，并且与大方向保持一致。这是研发工作实际开始前的必经步骤。

代码一旦被书写，要通过多方面的验证后才能被车辆运用。首先，代码要经过多位有经验的工程师相互检查，确保它是长远的解决方案，而不是反而可能导致系统出现更多问题的权宜之计。

代码还将经过拥有不断增长数据集的两道仿真测试：回归测试和长尾场景。前者的作用是代码被使用后，不会降低整个系统处理任何可预见场景的能力以致降低整体表现。后者则确保系统能准确、快速地处理路上可能会出现的少数复杂场景，因为从安全的角度出发，任何延迟都可能会导致问题。

新代码都需通过这两项仿真测试才会被输入车辆，运用于真实世界。这是一个需要时间、仔细的过程。车辆首先要通过较简单场景的道路测试，才会行驶到复杂的交通状况中。我们及时、严格的检查在这一过程中收集到的数据，当一切就绪后，才会被推向真正的运用。

数据记录与储存：数据就像自动驾驶技术进步与算法发展的燃料。所有的进步都源于我们从真实路测收集而来的数据。小马智行通过自己的数据处理管理线（data pipeline）收集并处理所有的传感器和内部系统数据，并对数据进行甄别、分类，再决定如何储存与运用。

这种系统化的数据梳理过程十分重要，因它能帮我们辨别真正有价值的数据，以形成强大的数据集来训练我们的系统。如前文所述，储存后的数据也将会在仿真系统中经历各类回归测试，以更好地验证我们的系统。除此之外，储存的数据将会帮助我们重建、复盘各类事件，以找到我们在真实道路上遇到的各类问题的根本原因。

硬件研发：与软件开发一样，我们的硬件研发通用采用行业内最高标准与做法，并同时平衡快速迭代和解决自动驾驶技术发展独特需求的问题。我们的硬件研发基于SAE J1938行业标准并遵照V模型以保证输出的产品质量最佳。我们设置了灵活而严格的硬件设计与开发流程，包括：需求征集、设计、检查、验证、发布等主要步骤。

运行设计域（ODD）：这是保证自动驾驶车辆运营安全的又一个关键环节，它包括车身周边物体、道路类型、交通状况、天气、时间等等一系列可以反应车辆可实现自动驾驶的场景参数。要做到负责任的开展路测与最终部署自动驾驶车队，了解系统的能力与极限至关重要。

关键是我们如何选择ODD。小马智行只会将自动驾驶车辆部署在其行驶行为达到安全与表现标准的区域。在部署到每个区域前，车辆已经过了软硬件两个方面严格的测试与验证。同时，我们将对车辆在行进过程中的每一个决策都保持密切关注。

小马智行目前的ODD保证了我们的车辆可以从容应对各种挑战，包括：

复杂道路场景：从多车道的交通大动脉、到拥堵的城区、再到拥挤的停车场等等。从在通畅的大路行驶到面对大堵车。
各类天气，包括但不限于交加的风雨、24小时内不同的光照、极端温度。
应对各种可能出现的道路主体，包括各类车辆、行人与电单车、自行车等，以及其他意想不到的不速之客，例如大摇大摆走过乡间马路的火鸡和在商场停车场误入主路的购物车。

我们在测试环境中也包括了一些当地社区的特定地点。我们仔细谨慎地考虑测试区域的扩大，在保证安全的同时还必须要遵守当地法律和交规。在新区域的测试一旦开始，我们将对系统的表现密切监控以保证安全，将危险据之千里之外。

4. 后备方案和额外安全措施

独立监控系统与最低风险状态（MRC）：小马智行自动驾驶系统的一大特征是我们专属的独立、完整的监控系统。系统在车辆行驶过程中保持工作，时刻监控各个软硬件模块的状态，一旦发现非正常情况立刻向整个系统和安全员发送预警。而当发现可能导致系统无法正常工作的问题出现，车辆将自动切换至最低风险状态，暂停当前的行程规划并就近在路边停靠直至刹停，在需要的时候自动打开应急灯。

安全员和随车工程师的任务是观察车辆周围物体与监控整个系统，保证达到预期的安全水准。车上人员对我们的研发非常重要，特别是当我们测试新特征或者是系统需要重要升级的时候。我们的目标是打造比任何人开车都更加安全的自动驾驶。换句话说，要打造人类可以依赖的虚拟司机，我们必须把人本身放在整个研发过程中最重要的位置。

我们要求我们的安全员在路测中不走寻常路，而是去发现最具有挑战的场景以获得最有价值的反馈，让我们打造出安全可靠的系统。他们以工程师的眼光观察和评估车辆表现，他们了解软硬件的设计并能像有经验的工程师一样准确发现问题。他们又从普通司机视角观察自动驾驶车辆可能做出的非人性化和那些会让乘客体验降低的操作。

我们的安全员在胜任独立测试前都必须经历数周严格培训。

防撞与撞击后辅助驾驶：小马智行有幸与一些世界主要的整车厂达成了战略合作。我们依赖他们车辆平台的安全系统成为我们系统整合的基础。我们使用的车辆平台均符合美国联邦机动车辆安全标准（FMVSS），并得到我们合作伙伴、供应商的认可。我们在工程研发与系统整合的过程用测试与验证了每辆汽车的辅助驾驶功能。

我们自研自制的一个关键部件便是位于车顶安装传感器的车顶结构。我们对它的设计要求是扛撞与坚固。我们还根据现行的工业标准测试了它的极端载重能力。

另外，我们的安全员也经历过严格的专门训练，一旦发生事故，他们有明确的章程和操作流程，指导他们如何与事主和执法部门交流。

车辆网络安全：自动驾驶技术的演进很大程度上是在重塑未来，并书写从未有过的新篇章。车辆的网络安全作为新事物，对车辆安全非常重要。它包含了数据在数据中心以及车辆在真实世界中行进过程中的保护。

我们不断演进和迭代我们车辆的网络安全，使其对于每一个用户来讲都更安全。我们将ISO21432和SAE J3061作为我们实现网络安全的基础。我们还研发了强大的流程和自有系统来防御网络安全威胁。

我们意识到在车队规模扩大、技术提升的过程中，保证网络安全非常必要。我们不断优化设置，令我们的“铠甲”更强大可靠。

第三部分

融入社区

我们很骄傲地成为第一家在全球不止一个市场让公众体验自动驾驶的公司，同时我们也意识到先行者所负笈之让公众了解并接受这一技术的责任。通往普及自动驾驶是一条很长的道路，消费者的接受程度至关重要。

在我们示范运行的所有地方，我们都与当地政府、社区深度合作，让他们感受到我们的存在、了解我们的服务。

我们时常组织面对公众开放的“科技讲座”，来介绍我们的技术和让他们更能感受到自动驾驶能带来什么。一年多前我们在加州尔湾向公众开放自动驾驶出行服务前夕我们就与社区一起联合举办了多场类似活动。

当我们的服务面向公众开放后，我们与用户保持密切沟通，收集他们的反馈，成为我们不断优化提升产品与服务的重要依据。

—END—

上一篇：CAN总线的信号错误下一篇：谈谈智能电动汽车的安全隐患

用户评论
共0条评论

2000

同类文章推荐