Google Waymo 2017自動駕駛安全技術報告(一)

2017年10月Google Waymo向美國交通部提交了一份43頁的安全報告，報告中詳細說明了Waymo如何裝備和訓練自動駕駛車輛，從而避免駕駛中的通常和意外狀況發生。這份報告對Waymo的自動駕駛技術進行了詳細的解讀，但願可以對自動駕駛從業者帶來一些啓發。

自動駕駛技術的必要性

2013年在全球有120萬人死於交通事故；2016年美國有37461人死於道路交通事故；2015年美國有240萬人在交通事故中受傷；94%美國發生的交通事故中因爲人爲失誤引發;2/3的人在一輩子中至少遭遇一次酒駕事故；自動駕駛技術每一年能夠避免數千人死於交通事故。

1.How Our Self-Driving Vehicle Sees the World and How it Works

自動駕駛汽車要解決的四個問題:

1.Where am I；

2.What’s around me;

3.What will happen next;

4.What should I do;

1.1 Where am I

Waymo的自動駕駛汽車不依賴於GPS，它經過實時傳感器數據與預先製做的三維高精度地圖交叉對比驗證獲得自動駕駛汽車在道路中的精確位置。

以下圖所示，三維高精度地圖中包含了道路屬性、道路路肩、人行橫道、車道線、紅綠燈、Stop Sign等。

1.2 What’s Around Me

Waymo自動駕駛汽車的傳感器和軟件持續的掃描周圍300米範圍內的環境信息:行人、車輛、機動車輛、非機動車輛、道路施工、道路障礙物等；並不斷的從紅綠燈顏色和鐵路交叉道口的臨時Stop Sign不斷讀取交通控制信息；

1.3 What Will Happen Next

對於道路上的每個動態物體，軟件系統會依據它們當前的速度和軌跡預測將來的運動；不一樣類型的道路交通類型參與者，他們的行爲差別很大，因此軟件系統會根據不一樣的動態物體類型(行人或者自行車等)分別預測多條他們下一步的可能路徑做爲自動駕駛車輛下一步行動的參考；Waymo的軟件系統也會考慮道路環境的變化(好比前方車道擁堵)對周圍車輛行爲的影響。

1.4 What Should I Do

Waymo自動駕駛軟件系統會根據得到的全部信息計算出可行駛的最優駕駛策略，好比準確軌跡、速度、車道、駕駛方向等。因爲自動駕駛汽車能夠360度持續觀察道路環境、預測其它道路使用者的將來行爲，於是可以快速安全的應對任何道路事件。

2.Our System Safety Program – safety by design

Waymo內部有一套複雜的系統安全流程:Safety by Design，Safety by Design的含義是從設計、研發、測試、驗證的每個環節都要考慮安全因素。這套流程機制衍生了Waymo許多關鍵的安全功能的設計，好比使得無人駕駛汽車在出現技術故障的狀況下依然可以安全的停下來的關鍵冗餘安全系統；擁有重疊視野的傳感器系統；無處不在的測試系統等等。

Waymo的System Safety Program包含五種類型: behavioral safety, functional safety, crash safety, operational safety, and non-collision safety。

2.1 Behavioral Safety

Behavioral safety是指自動駕駛車輛在道路上的駕駛決策和駕駛行爲。與人類駕駛員同樣，自動駕駛車輛也必需要遵照交通規則，處理各類各樣的預料之中和意料以外的各類場景。Waymo使用功能分析、仿真工具、實際上路驗證來理解在ODD(operational design domain)中面臨的挑戰，設計安全要求和進行多管齊下的測試和驗證流程。

2.2 Functional Safety

Functional safety保證在車輛系統失效或者異常的狀況下仍然可以安全駕駛。這意味須要一個備用冗餘系統用來處理意料以外的狀況。例如，咱們的自動駕駛系統安裝了冗餘計算系統，它可以在主計算系統故障的狀況下迅速接管，使得自動駕駛車輛可以停靠到安全區域；每一輛自動駕駛車輛都有備用的方向盤和剎車，和不少層次的冗餘系統。

2.3 Crash Safety

Crash Safety是指車輛經過各類措施保護車內乘客的能力，好比保護車內人員的結構設計到減輕傷害或防止死亡的座椅約束和安全氣囊等功能。美國的碰撞安全(Crash Safety)由美國國家公路交通安全管理局（NHTSA）發佈的聯邦機動車安全標準（FMVSS）涵蓋，車輛製造商必須證實其基本車輛符合適用的FMVSS要求。

2.4 Operational Safety

Operational Safety是指車輛和乘客之間的交互能力。經過操做安全，咱們能夠確保用戶在車輛上擁有安全溫馨的體驗。Waymo經過危險分析、已有的安全標準、普遍的測試以及各類行業的最佳實踐來構建安全的產品能力。好比，Waymo經過早期的試伺機制，研發了一套可以使得乘客可以清楚指示目的地，指揮車輛靠邊停車，聯繫Waymo幫助支持的交互系統。

2.5 Non-Collision Safety

咱們強調與車輛交互的人羣的人身安全。例如，避免電氣系統或傳感器可能對乘客、車輛技術人員、測試駕駛員、旁觀者形成的潛在危險。

3. How Waymo’s Self-Driving Vehicles Work

咱們的自動駕駛不像目前市面上的自適應巡航控制系統(adaptive cruise-control)和車道控制系統(lane-keeping systems)，它集成的軟硬件能夠在特定區域和特定限制條件下替代人類司機的全部駕駛功能，徹底不須要人類司機。這種技術在國際汽車工程師學會(SAE)自動駕駛系統定義中被稱爲Level 4級自動駕駛。咱們的技術不一樣於較低層次的自動駕駛系統(Level 1，Level2，Level3)，Level級自動駕駛系統可以在任何系統故障時使車輛安全停車(即最小風險條件，minimal risk condition)，而無需人類駕駛員接管。

3.1 Our Vehicle Sensors

爲了知足自動駕駛的複雜需求，Waymo開發了一系列傳感器，使咱們的車輛在白天和晚上都能看到360度的視野，而且能夠看到三個足球場之外的地方。Waymo多層次傳感器套件無縫銜接，繪製出一幅詳細的三維世界圖像，包含了全部動態和靜態物體(如行人、騎自行車的人、其餘車輛、交通燈、建築錐體和其餘道路特徵等)。

LiDAR (Laser) System

LiDAR (Light Detection and Ranging) System 360度日夜不停的工做，每秒發射數百萬個激光脈衝，並測量從障礙物表面反射回車輛所需的時間。Waymo自動駕駛系統包括三種內部開發的激光雷達：短程激光雷達、高分辨率中程激光雷達，以及能夠看到三個足球場遠的新一代遠程激光雷達。

Vision (Camera) System

Vision System設計的目的是像人類同樣經過視覺系統感知周圍環境，它擁有360度的視野，遠超人類駕駛員120度的駕駛視野。因爲咱們的高分辨率視覺系統能夠檢測顏色，所以它能夠幫助咱們識別交通燈、建築區、校車和應急車輛的閃光燈。Waymo的視覺系統由幾組高分辨率攝像機組成，長距離、日光和低光條件下均可以很好的工做。

Radar System

Radar利用波長感知物體和運動。它的波長能夠穿透小的障礙物，這使得它能夠在雨天、霧天、雪天或夜間都能發揮做用。Waymo的Radar系統擁有360度連續視角，所以它能夠跟蹤車輛前方、後方和兩側的道路使用者的運動速度。

Supplemental Sensors

Waymo車輛還配備許多額外的傳感器，包括音頻檢測系統，它能夠聽到數百英尺之外的警察和緊急車輛警報；GPS，它能夠補充咱們車輛對在全局空間位置的感知。

3.2 Our Self-Driving Software

自動駕駛軟件是咱們汽車的「大腦」，它可以理解來自傳感器的信息，並利用這些信息爲各類場景下作出最佳駕駛決策。Waymo花了八年時間使用機器學習和其餘先進的工程技術來構建和改進咱們的軟件，並經過數十億英里的模擬駕駛和超過350萬英里的公路行駛來訓練和測試咱們的軟件。

咱們的自動駕駛軟件系統不只僅能夠檢測到障礙物的存在，事實上它能夠判斷出障礙物的類型，障礙物可能如何運動，以及它的運動如何影響咱們的車輛在道路上的行爲。

雖然咱們的自動駕駛軟件系統由許多不一樣的模塊組成，但這裏主要詳細介紹其中的三個主要模塊：perception, behavior prediction, and planner。

PERCEPTION

Perception能夠檢測和分類道路上的物體，同時還能夠估計它們的速度、航向和加速度。Perception模塊不只能夠幫助咱們的自動駕駛車輛區分行人、騎自行車的人、騎摩托車的人、車輛等，同時它還能夠區分靜態對象(如交通訊號燈)的顏色。Perception使咱們的系統可以在語義層面上理解咱們的車輛周圍的狀況(好比紅綠燈是否爲綠色並容許車輛是否繼續行駛，車道是否由於道路佈滿錐桶而堵塞)。

BEHAVIOR PREDICTION

經過Behavior Prediction，咱們的軟件能夠建模、預測和理解道路上每一個對象的意圖。因爲Waymo擁有數百萬英里的駕駛經驗，這使得咱們的車輛模型很是精確，能夠準確反應不一樣道路使用者的行爲。例如，咱們的軟件理解儘管行人、騎自行車的人和騎摩托車的人看起來很類似，但他們的行爲可能會有很大的差別：行人比騎自行車或騎摩托車的人移動得慢，但他們能夠忽然地改變方向。

PLANNER

Planner利用從感知模塊和行爲預測模塊中收集到的全部信息，爲自動駕駛車輛規劃了一條可行駛的道路。根據咱們的經驗，最好的駕駛員是防守型駕駛員，這就是咱們採起防護性的駕駛行爲的緣由，好比避開其餘駕駛員的盲點，爲騎自行車的人和行人留出額外的通行空間。Waymo的Planner模塊也會提早作一些駕駛預判，例如若是咱們的軟件系統發現前面的車道因施工而關閉，並預測施工車道上的自行車手將借道機動車道，Planer模塊會提早減速或者提早爲自行車手騰出空間。利用實際道路的駕駛經驗，咱們也在不斷改進咱們的駕駛行爲，使得自動駕駛車輛在道路上的行駛平順溫馨，讓車內的乘客感到溫馨，讓其餘道路使用者感到天然和可預測。

3.3 Operational Design Domain

Operational Design Domain(ODD)是指自動駕駛系統可以安全運行的所需的條件。Waymo的ODD包括地理位置、道路類型、速度範圍、天氣、時間以及州和地方交通法規。

Operational Design Domain(ODD)能夠很是侷限，例如在白天溫和的天氣條件下，在低速公共街道或私人場地上設置一條固定路線。然而，Waymo目前正在開發的自動駕駛技術能夠在廣闊的地理區域內的各類條件下的城市街道駕駛，好比能夠在惡劣天氣（如小雨至中雨）下行駛；能夠在白天和夜間行駛等。

Waymo的系統被設計成不在其容許的Operational Design Domain(ODD)以外行駛。例如，乘客不能在咱們容許的地理區域以外選擇目的地；咱們的軟件不會建立一條在「地理圍欄」區域以外行駛的路線。另外，咱們的自動駕駛系統能夠自動檢測在其ODD內會影響安全駕駛的忽然變化(如暴風雪)，並在條件改善以前安全的停下來。

咱們設計的自動駕駛系統可以遵照運行區域所在的聯邦、州和地方的法律。法律的全部要求以及全部法律的變動都會做爲安全需求歸入咱們的自動駕駛系統，包括限速、交通標誌和信號燈等等。咱們的自動駕駛車輛每到一個新的測試場地，都會努力瞭解當地獨特的道路規則或駕駛習慣，而後將這些內容更新到咱們的軟件系統，使咱們的車輛可以安全處理這些場景。

Waymo的Operational Design Domain(ODD)在持續演化，咱們的最終目標是開發徹底的自動駕駛技術，能夠在任什麼時候間、任何地點和任何條件下將乘客從A地送到B地。隨着咱們自動系統能力的增加，咱們將持續擴展咱們的Operational Design Domain(ODD)，將咱們的自動駕駛能力帶給更多的人。

3.4 Minimal Risk Condition (Fallback): Ensuring the Vehicle Can Transition to a Safe Stop

低級別自動駕駛的車輛，若是道路上的狀況變得太複雜技術沒法處理或者技術自己失敗的狀況下，須要人工駕駛員來收回控制權。做爲一個徹底自動駕駛系統，Waymo的技術必須足夠強大到可以獨立處理這些狀況。

若是咱們的自動駕駛車輛不能繼續按計劃行駛，它必須可以執行安全停車，即「minimal risk condition」或fallback。這可能包括自動駕駛系統遇到問題、車輛發生碰撞或環境條件發生變化，從而影響咱們ODD內的安全駕駛的狀況。Waymo的自動駕駛系統會以每秒數千次的頻率自動檢測這些場景，查找系統故障，同時爲關鍵系統(如傳感器、計算和制動等)配備了一系列冗餘備份。自動駕駛系統根據故障發生的道路類型、交通情況和技術故障的程度等因素肯定適當的響應(好比靠邊停車、安全停車等)，以確保車輛及其乘客的安全。

3.5 How We Build a Map for a Self-Driving Vehicle

在自動駕駛車輛上路前，咱們的地圖團隊會首先使用咱們安裝在測試車輛上的傳感器建立高度詳細的三維地圖。不一樣於衛星圖像或在線地圖，Waymo的地圖爲自動駕駛車輛提供了對物理環境的很是詳細的語義理解：道路類型、道路長度以及其餘地形特徵等。

咱們在上述數據基礎上增長交通控制信息如人行橫道、交通燈和相關標誌。

使用這些地圖數據，咱們的自動駕駛系統能夠重點關注它周圍動態變化的環境(如其餘道路使用者)。咱們的系統能夠經過交叉引用實時傳感器數據和車載3D地圖來檢測道路的變化，若是檢測到道路發生變化（例如前方發生碰撞致使道路交叉口封閉），咱們的車輛能夠在系統的ODD內從新肯定路線，並向咱們的運營中心發出警報，以便車隊中的其餘車輛能夠避開該區域。

3.6 Data Recording and Post-Crash Behavior

Waymo有一個強大的系統能夠收集和分析路上遇到的數據，從一輛車的經驗中學到的任何東西能夠適用於整個車隊。當碰撞發生時Waymo的自動駕駛系統能夠當即檢測到並自動通知Waymo操做中心，而後咱們訓練有素的專家能夠啓動碰撞後程序，其中包括與執法部門和第一響應者互動的程序，以及將咱們團隊的成員派往現場的程序，同時咱們的運營中心也有專家經過車內音頻系統直接與乘客溝通。

碰撞發生後，咱們會分析全部可用數據(包括視頻和其餘傳感器數據)，以評估可能致使事故的因素，而且對軟件系統進行必要的修改和升級，並相應地更新車隊中的每輛車。在事故中遭受損壞的車輛在修復以後，通過安全系統的驗證測試，會從新迴歸車隊。

3.7 Self-Driving Vehicle Cybersecurity

Waymo開發了一個強大的流程來識別、優先處理和緩解網絡安全威脅，咱們的安全實踐是創建在Google’s Security 基礎之上的。爲了幫助開發將來的最佳安全實踐，Waymo還加入了Auto ISAC，這是一項旨在加強全球汽車行業網絡安全意識和協做的行業運營倡議。

咱們從內部和外部對自駕系統的全部潛在安全接入點進行了全面審查，並採起措施限制這些接入點的數量和功能。

咱們OEM合做夥伴在一塊兒溝通確認車輛的潛在薄弱環節，並在軟件研發和車輛設計過程充分考慮已知威脅，以確保自動駕駛系統的安全。新的軟件發佈必須經歷普遍的同行評審和充分的驗證過程，其中的危險分析和風險評估流程旨在識別和減輕可能影響安全的風險。在車輛設計中，Waymo車輛的安全關鍵部件（如轉向、制動、控制器等）與外部通訊隔離；決定車輛移動的關鍵計算模塊和車載3D地圖都徹底被屏蔽，沒法從車輛的無線鏈接和系統進行訪問。

咱們還考慮了無線通訊的安全性。Waymo自動駕駛車輛不依賴於持續的網絡鏈接來保障安全運行，道路上輛和Waymo之間的全部通訊（例如冗餘蜂窩鏈接）都是加密的，包括Waymo的運營支持人員和咱們的乘客之間的通訊。

這些保護措施有助於防止任何人(不管是乘客或附近的惡意行爲人)接觸咱們的自動駕駛車輛，損害或改變他們的安全行爲。同時咱們有不一樣的機制來發現異常行爲和分析這些事件的內部過程，若是咱們意識到有人試圖破壞咱們車輛的安全，Waymo將啓動公司範圍內的事件響應程序，包括影響評估、遏制、恢復和補救等。

完整的waymo自動駕駛安全報告地址:

https://storage.googleapis.com/sdc-prod/v1/safety-report/waymo-safety-report-2017-10.pdf

---

我的網站地址: http://www.banbeichadexiaojiubei.com