Waymo是世界上经验最丰富的自动驾驶系统("ADS")开发商,当安装在车辆上时,可以在没有人类干预的情况下完成整个动态驾驶任务("DDT")。Waymo的安全理念非常明确:Waymo将通过安全和负责任的驾驶来减少交通事故和死亡,并在扩大运营规模的同时认真管理风险。这一理念为我们的所有活动奠定了基础,与Waymo的企业文化以安全为中心是一致的,并为Waymo的未来设定了方向。为了让自动驾驶车辆("AV",这里指的是任何配备ADS的车辆)获得公众的认可,并实现其对安全和移动性的承诺,公众必须对其安全性有更好的理解。本文总结了Waymo如何在我们的AV中建立安全,并确定其部署的安全准备情况。Waymo的2017年安全报告是AV开发商提出的第一份公共安全报告,并对我们当时的技术和安全流程进行了描述。最近,我们已经该报告的更新版本。Waymo寻求在我们继续赚取利润的过程中不断改进这些方法和流程。Waymo生产SAE L4 ADS ,这使得Waymo的车辆配备这些ADS能够实现无人驾驶操作。Waymo始于2009年的谷歌自动驾驶汽车项目,我们早期对依靠人类干预来保证安全的自动驾驶系统进行的测试使我们确信,L4自动化--不因任何原因而依赖人类驾驶员--是通过自动化实现增强安全性的最佳选择。Waymo的安全方法借鉴了成熟的工程流程,并解决了AV技术特有的新安全挑战,为我们的L4 ADS(我们也称为Waymo驾驶员)的安全部署奠定了坚实的基础。Waymo决定是否准备好在不同环境下安全部署其AV,取决于该坚实的基础和对特定操作设计领域("ODD")特定风险的彻底分析。作为世界上经验最丰富的自动驾驶系统("ADS")开发商,Waymo在开发和应用最先进的安全方法论方面拥有丰富的经验。Waymo的方法论有助于实现Waymo的前瞻性安全理念。W aymo将通过安全和负责任的驾驶来减少交通事故和死亡,并将在扩大运营规模的同时谨慎管理风险。Waymo 的安全方法借鉴了成熟的工程流程,并解决了自动驾驶汽车("AV")技术特有的新安全挑战,为 L4 ADS(也称为 Waymo Driver)的安全部署提供了坚实的基础。Waymo 确定其在不同环境下安全部署 AV 的准备程度,取决于该坚实的基础和对特定操作设计领域("ODD")特定风险的全面分析。Waymo目前的运营情况。Waymo目前主要在加州和亚利桑那州运营我们的AVs,另外还在其他几个州进行测试,包括密歇根州、德克萨斯州、佛罗里达州和华盛顿州。在菲尼克斯大都会区,我们的克莱斯勒Pacifica AV车队自2017年以来一直在各种类型的自动驾驶(即ADS运营)服务中运送乘客,其中包括无人驾驶服务。到目前为止,Waymo已经在公共场合积累了超过2000万英里的自动驾驶里程。在超过25个城市的道路上运行,其中包括74,000英里的无人驾驶里程。评估自动车辆安全的方法。各种私人和政府各组织提出了广泛的方法来衡量或证明视听觉障碍。安全。这些不同的方法中出现了几个共同的主题,包括:以仿真为基础的测试是自动驾驶系统开发和安全验证的一个极其重要的部分;测试方案的选择应针对在特定的ODD中可能发生的风险;和所有交通工具一样,配备自动驾驶系统的车辆的运行也存在一定的风险,指导原则应是避免不合理的风险。Waymo的安全方法论。Waymo 的安全方法侧重于独特产品的开发、鉴定、部署和持续的现场操作:L4 ADS 可以在没有人类驾驶员在场的情况下,在正常的交通条件下和我们有理由相信在特定的 ODD 中可能出现的极具挑战性的情况下,执行整个动态驾驶任务("DDT")。虽然我们从某些被广泛接受的工程流程和原则中获益,但我们根据我们在第四级技术中的丰富经验,为此目的对它们进行了调整。我们不断完善这些方法论,随着我们的业务规模的扩大,我们会不断地增加。Waymo 的各种安全方法论由以下三个方面支持 系统级测试的基本类型(仿真、封闭式和公共道路),它们是 并辅以各种形式的组件和子系统测试。这些类型的测试是 在不断的相互作用中,每一个都是对其他的形成和补充。我们描述的本质是 我们的方法论在标题下指的是我们技术的三个方面:硬件,ADS行为,以及车辆运行。硬件方面,我们从有经验的公司开始购买安全的、经过全面认证的车辆。我们首先从有经验的公司购买安全的、经过全面认证的车辆。汽车制造商。作为我们基础车辆开发的一部分,我们指定了冗余制动和转向执行器,我们认为这是安全、无人驾驶车辆所必需的。这些运动控制执行器的性能和容错性是由一套完整的技术要求决定的,规定了名义和故障条件下的性能。这些要求得到了广泛的验证,包括硬件在环测试和闭合过程测试,以及在闭合过程和现场的验证。在基础车辆和运动控制系统的基础上,Waymo加入了我们自己的传感系统。包括多种激光雷达、雷达、摄像头、惯性和音频单元,可对驾驶环境进行全面了解。这些传感系统的设计符合严格定义的性能和安全要求。为了运行我们先进的行为软件,Waymo开发了一个最先进的计算平台,该平台结合了极高的性能和成熟的可靠性和容错性。我们设计的系统具有针对任何故障量身定制和匹配的故障响应组合。Waymo还开发了一个强大的流程来识别、优先处理和缓解网络安全威胁。ADS行为层。行为层描述了能够指导我们的AV在公共道路上进行安全无人驾驶运动的软件。我们评估ADS行为层性能的主要能力有三项:避免碰撞、完成无人驾驶模式下的行程和遵守适用的驾驶规则。我们的方法从危险分析开始,从一开始就将稳健性融入到我们的设计中。然后,我们大量使用基于场景的验证,以确保ADS行为符合我们的要求和期望。最后,我们将我们的系统进行大规模的仿真部署(无论是通过大规模的日志回放或公共道路操作与反事实的仿真后,车辆操作员脱离),这使我们能够经验地衡量总体业绩指标。操作层。Waymo的安全计划确保在AV的运营中应用行业领先的安全实践,例如针对我们训练有素的车辆操作员的疲劳管理计划、事故响应规划和准备,以及与执法部门和应急响应人员协调如何安全处理无人驾驶车辆。Waymo还认识到在任何车辆中使用安全带的重要性,我们采取了一系列措施来鼓励我们的AV乘客使用安全带。我们有一个车队响应团队,可以在需要时为ADS提供远程协助。Waymo 的风险管理计划在新的或更新的功能或软件在公共道路上使用或在我们的结构化测试设施中进行测试之前,确定、优先考虑并推动潜在安全问题的解决。我们的 "现场安全计划 "根据更新的功能或软件在公共道路上行驶后收集到的信息,确定潜在的安全问题,并进行适当的处理。与Waymo强大的安全文化相一致的是,现场安全流程包括收集并帮助解决来自许多其他来源的潜在安全问题,包括员工、乘客、公众或供应商。安全管理。Waymo 的治理流程包括一个分层系统,用于分析来自现场安全流程、风险管理、即将作出的部署决定或任何其他来源的安全问题。Waymo安全委员会汇集了来自安全、工程和产品团队的执行领导,以解决这些安全问题,批准新的安全活动,并确保我们的整个安全框架与时俱进。
Waymo的准备工作确定。在某些时间点上,Waymo需要根据其安全方法对ADS的特定配置的特定部署的准备情况做出独立的决定。判断的重点是ODD、特定的使用案例和特定的车辆平台。Waymo的所有操作--无论是封闭路线还是公共道路,无论是否有训练有素的车辆操作员--都需要高度的审查,而且每项评估都是针对与预期操作模式相关的风险。当然,当我们探索AV的能力时,其详细程度是最高的。由于没有训练有素的操作人员,将其撤走,作为一种风险缓解措施;
Waymo确定这些准备状态的过程需要对我们所有安全方法的相关输出进行有序的检查,并结合仔细的安全和工程判断,重点关注与特定决定相关的具体事实。当Waymo确定ADS已为新条件做好准备,且不会对安全造成任何不合理的风险时,Waymo将予以批准。Waymo将继续应用和调整这些方法,并学习AV行业其他公司的重要贡献,因为我们将继续建立一个更安全、更强大的ADS。
Waymo从行为层面保证智能驾驶车辆安全:
行为层描述了能够指导我们的AVs在公共道路上安全的无人驾驶运动的软件。在谷歌自动驾驶汽车项目开始后,我们的软件开发在一定程度上依赖于谷歌世界级的软件开发实践,并在我们的案例中进行了调整,以应用于安全相关的技术。
与硬件层不同的是,硬件层中更多的传统的、确定性的安全方法可以很容易地用于测量安全,而行为层则需要解决一组无限可变的输入(例如,其他道路使用者的行为和道路状况)。这一挑战的复杂性要求使用复杂的算法和专门的评估方法来确定这些算法的性能如何。我们评估ADS行为层性能的主要能力有三个:避免碰撞、在无人驾驶模式下完成行程以及遵守适用的驾驶规则。在每一种情况下,我们都会使用下面描述的各种方法,在ADS设计运行的ODD背景下评估这些能力。为了充分开发和理解行为层的性能,我们采用了多方位的方法。我们的方法从危险分析开始,通过这种方法,我们的设计从一开始就建立了稳健性。然后,我们大量利用基于场景的验证,以确保ADS行为符合我们的要求和期望。最后,我们将我们的系统进行大规模的模拟部署,使我们能够以经验来衡量总体性能指标。
危害分析
Waymo利用危害分析技术,按照既定的行业最佳做法开发和测试安全关键型软件。危害分析是一种成熟的方法,用于识别安全风险的潜在原因,并在工程过程的早期消除或减轻这些危害。在过去的几十年里,可靠性和安全专业人员开发了许多危险分析技术。其中包括演绎法,如故障树分析(FTA)和系统理论过程分析(STPA),以及归纳法,如故障模式和影响分析(FMEA)。根据所分析的系统。如硬件、行为软件或嵌入式控制软件,以及这些系统所处的开发阶段,Waymo选择最有效、最高效的方法,对安全问题的潜在原因进行早期识别,确定缓解措施,确定缓解措施的优先级,制定缓解措施的安全要求,并验证缓解措施是否满足要求。例如,我们发现STPA对于分析复杂系统中的危险性非常重要。虽然STPA不是专门为汽车系统或ADS设计的,但它提供了一种方法来识别、分析和缓解可能由非明显的部件相互作用而导致事故的危害。基于系统理论的STPA可能比更传统的危险分析方法更能发现可能产生风险的危险交互作用,无论是由于功能故障还是预期功能的缺陷。有时候,现有的系统安全方法论是不够的,我们会开发定制化的方法来更好地满足自己的需求。例如,针对行为软件子系统,Waymo开发了一种定制化的软件子系统危险分析方法,该方法是无人驾驶软件设计和发布流程中不可或缺的一部分。
基于场景的验证流程
Waymo采用各种基于场景的测试方法,以确保ADS能够具备基本的行为能力以及某些高级功能。这些测试项目所要测试的能力和功能来自于系统化的ODD所需能力描述方法、自然主义驾驶研究数据以及公共道路测试(我们在现场观察到的真实事物)。虚拟测试场景有的是从公共道路驾驶记录中收获的,有的是从封闭式场景驾驶记录中获得的,有的是在仿真专用工作空间中从头开始创建的。此外,我们还选择性地对候选软件在封闭赛道上进行物理测试。这些基于场景的测试集用于评估ADS在ODD中可能遇到的各种条件下的性能。这种测试计划的一个例子是我们的防撞测试计划。除了证明AV在 "正常 "驾驶情况下和系统故障条件下的能力外,在合理的情况下,ADS还应该在与ODD相关的紧急情况下,具有一定程度的能力来避免或减轻由其他道路使用者行为引起的碰撞。例如,NHTSA就建议进行这样的测试。除了使用许多结构化的测试场景来检验ADS的避撞能力外,我们的避撞测试计划还使用仿真测试ADS在数千种需要立即制动和/或转向以避免碰撞的场景中的能力。这些场景包括许多涉及易受伤害的道路使用者(如行人和骑车人)以及其他道路使用者的场景。与ADS在日常驾驶情况下的行为能力不同,这些场景测试的能力可能很少需要行使,但对减少其他道路使用者行为引起的碰撞的可能性或严重性至关重要。其中一些情景可能很常见,足以被视为ADS核心能力的一部分,而其他情景则可能被视为边缘情况(即一个操作参数处于极端值),甚至是角落情况(即一个以上的参数超出正常条件)。它们的共同点是与预期的ODD相关,以及ADS对其他道路使用者的行为立即做出反应以避免或减轻碰撞的能力。Waymo根据模拟参考代理的性能评估ADS在这些场景中的性能,仿真参考预测性能(如响应时间和转向/制动能力)是基于对人类驾驶员在现实生活中的自然驾驶数据的分析。我们设计单个场景和类似场景群的严谨性,以及我们为估计参考代理的性能所做的大量努力,为评估我们的ADS在类似场景中的性能提供了一个良好的比较点。虽然具体的场景和指标是专有的,但我们相信,我们场景的代表性和我们的性能标准对我们系统的整体安全性有很大的贡献。碰撞避免测试只是基于场景的测试计划的一个例子,但它显示了我们如何利用现有的最佳研究、我们的道路经验和系统化的方法来制定测试计划,以评估我们的ADS安全相关行为的关键方面。与我们所有的方法一样,我们的每一个基于场景的测试项目都将随着现有技术和研究的进步而不断发展。
仿真部署
虽然上述结构化的开发和测试过程可以有效地建立一个性能良好的系统的证据,但重要的是要进行额外的步骤,既要验证到目前为止所使用的方法(例如,我们是否选择了正确的方案?),又要根据关键的性能指标客观地衡量ADS。为了实现这些目标,我们 始终如一地对我们的系统进行仿真部署,我们试图回答这样一个问题:如果这个系统在这个特定的ODD中以无人驾驶模式部署,它的表现会如何?这些仿真部署可以以两种主要的方法变体进行。第一种变体是通过对照历史日志重新模拟某个软件版本和系统配置来执行。这种方法的优点是具有高度的可扩展性,可以极度加速结果,并使各个开发人员有能力自己执行评估。为了确保模拟的可信度,我们有一个持续的模拟可信度过程。第二种变体涉及在公共道路上驾驶,增加了车辆操作员的监督,并且只仿真操作员控制车辆的时间点。这种变体我们称之为反事实仿真的公共道路驾驶。这种方法的优点是具有非常高的可信度,因为被评价的软件版本在绝大部分时间内都是实时控制车辆的。在Waymo题为《Waymo公共道路安全性能数据》的白皮书中,深入讨论了这种应用于预测潜在碰撞的变体。Waymo认为,完全基于仿真或完全基于实际驾驶(无论是通过结构化测试还是通过公共道路驾驶)的评估不能提供足够的信息来做出自信的准备状态判断。通过利用仿真和实际驾驶,我们可以达到仅在实际驾驶中无法实现的规模水平,以及仅在模拟中无法实现的可信度水平。在这两种方法中,我们仔细研究了三个关键参数:避免碰撞、完成无人驾驶行程和遵守道路规则。在安全方面,ADS最重要的属性是它能够最大限度地降低碰撞的频率和严重程度。通过我们的仿真部署,我们根据经验测量了AV在该仿真部署中可能发生的碰撞率,以便将这些碰撞率与人类驾驶员基准和其他性能标准进行比较。为了测量SDC性能并建立一个人类基准以实现这种比较,需要对人类行为进行两个主要领域的研究和应用。首先是正确理解人类在任何给定的模拟中会对我们的AV做出怎样的反应,这对于理解是否会或不会发生碰撞至关重要。这种人类参考模型可以有多种形式,可以是单点模型,也可以是涉及一系列人类行为反应的概率模型,Waymo采用了这两种形式。第二个研究领域是推导出人类驾驶的基准,以实现 绩效比较。在这两种人类属性方面都存在相当程度的不确定性。对于分析的第一个因素,虽然在特定情况下对名义上的人类驾驶员的预测行为进行建模是一个挑战,但自然主义的驾驶数据和某些重点研究(例如,关于典型的驾驶员制动反应和执行时间)提供了有益的来源。如果必须在某些场景下估计其他类型的道路使用者(如行人和骑车人)的行为,则会引入额外的不确定性。尽管如此,Waymo已经研究了有关该主题的现有文献,并进行了自己的研究,以开发一个名义人类行为的模型,我们使用该模型来推断道路上其他代理的行为。这是Waymo和行业内一个活跃的研究领域,我们预计我们对人类行为的细微差别的理解将继续发展。对于第二个因素(即确定人类驾驶基准),虽然许多人断言AV必须 "至少与人类驾驶员一样安全",但以任何程度的确定性确定该目标的确切含义以及如何衡量它可能非常困难。迄今为止,还没有人提出一套完全令人满意的指标,用于在ADS能力、用例和ODD的范围内与人类驾驶进行这样的比较。多年来,Waymo一直在努力解决所提出的几种方法的局限性(下文将对这些方法进行简要总结),并根据我们自己的经验制定了解决方案,以解决确定特定人类驾驶基准的问题,这些基准对评估特定ODD的风险非常有用。在确定用于比较的人类驾驶基准时,有几种选择。自动驾驶系统是否能够通过类似于新司机获得驾照所必须通过的基本驾驶测试,将具有指导意义,但这一门槛太低,无法确定自动驾驶系统的安全性。这种测试的道路部分只评估正常驾驶中的基本驾驶技能,而不是在碰撞迫在眉睫的情况下或涉及车辆系统故障的情况下,自动驾驶系统应该安全地发挥作用。当然,人类驾驶员在拿到第一张驾照后还会继续学习,遇到更困难的驾驶场景,速度很不均衡。同样,自动驾驶系统避免导致绝大多数致命事故的人为错误(如醉酒、超速、分心、嗜睡等)的固有能力是一个既定的条件,但单独来看,并不是自动驾驶系统安全性的充分衡量标准。广泛部署反车辆系统可能会防止成千上万的死亡,否则每年仅在美国就会发生成千上万的死亡,这是一个重要的因素,值得快速开发和部署反车辆系统。然而,衡量一个特定的ADS的安全性不能仅限于衡量ADS的行为,只衡量司机在最坏的情况下的行为。如果这样的先验测量是唯一的测试方法,ADS的安全性就不会有问题。因此,Waymo试图确定一个反映名义安全驾驶员在某些情况下行为的人类基准。确定人类基准并不是一件简单的事情,因为仅仅在美国境内,驾驶能力就有很大的范围,更不用说其他国家了。考虑到任何一个人的家人和朋友圈中的司机--很可能没有两个司机的驾驶技能、经验或事故记录是相同的。现有的驾驶数据提供了关于驾驶能力和模式的现成信息来源。虽然碰撞数据和自然驾驶数据非常丰富,但至少在美国,根据密切反映目标ODD的条件对数据进行细分并不简单。此外,由于只有考虑到碰撞结果的严重性,才能进行有意义的比较,因此不同碰撞数据集记录的严重性存在差异,这给分析带来了挑战,关于最严重事件的数据数量有限也是如此。尽管如此,Waymo还是利用各种来源的现有数据,建立了人类性能基准,我们可以为各种ODD量身定做。有了人类对我们AV的行为仿真或已知的ADS行为的可能反应模型,Waymo可以预测ADS在该ODD中各种严重程度的可能结果中参与碰撞的情况。为了实现这种预测,我们从最初的公共驾驶的日志开始,并仿真整个运行段或只仿真操作员控制车辆后的时间(如上所述)。无论哪种情况,我们都会仿真,如果当时仿真的Waymo ADS在仿真地点行驶,其他的会做什么。在仿真碰撞的情况下,我们评估碰撞的严重性和其他属性。通过这种方法,我们可以建立Waymo ADS在评估的ODD中的性能。
鉴于对ADS性能的评估和已建立的碰撞率人类基准,我们有能力在不同严重性级别和不同ODD上进行比较。我们的分析最大程度地考虑了严重性最高的事件,包括那些可能伤害道路使用者的伤害的事件,我们相应地设定了基准。尽管鉴于已经强调的因素,我们的分析涉及一定程度的不确定性,但我们认为这种方法可以提供对将ADS部署到目标ODD中的安全隐患的丰富理解。当然,这些与人为驾驶的比较只是Waymo众多安全方法中的一种,我们将继续努力改进和改进此类比较。这些标准以及为制定这些标准而进行的分析对于理解给定ODD中可能存在的安全风险非常重要,并且对照这些标准跟踪ADS的性能可提供一种衡量该性能安全性的宝贵方法。
除了深入研究任何特定部署中的预测碰撞率,Waymo还注意确保我们的ADS尊重道路规则。Waymo对ADS遵守道路规则的评估,类似于我们对ADS可能的避免碰撞能力的评估,依赖于通过大规模评估道路和仿真性能进行基于场景的验证和确认。这种方法的组合使我们能够确保测试覆盖范围广泛的与ODD相关的道路规则(包括现实世界驾驶中不常遇到的规则)。Waymo和我们的乘客深感兴趣的第三个行为是无延迟地到达乘客的目的地。延误可能是由ADS的内部故障造成的,也可能是由环境中不可预见的方面造成的。在内部故障的情况下,L4 ADS必须能够在自己的力量和控制下达到最小风险状态。这些能力在上面的故障保护部分已经介绍过。还有某些意想不到的情况下,ADS可能会因为出现其ODD运行限制之外的条件而没有能力继续到达目的地。例如,ADS可能会陷入一个它没有设计好的环境条件中,这时它就不应该继续前进。与系统故障一样,我们的ADS有能力感知这样的条件,并作出适当的反应,实现最小风险条件。无论原因是什么,追踪这些不完全行程的发生率,以及问题的原因和结果的细节是很重要的。与我们在ODD中对可能的碰撞率的分析类似,我们也利用不同的设计分析方法和情景测试在模拟部署之前。同样与该碰撞相关的分析类似,该属性在仿真以及道路上进行测量,每种方法都有助于互相两者对产品的验证。在这些仿真部署(以及场景测试程序)中,我们每天进行数百万英里的仿真无人驾驶操作,有时会提供与安全性潜在的新发现(但与仿真的初衷无关)。我们的团队会评估并处理所有已确定的问题,以了解潜在的严重性,并在发现潜在的严重性严重的问题时,根据需要进行进一步的分析和软件工作。Waymo在分析这些问题时使用了严重性的保守估计,以确保即使事件提示考虑因素本身不是很严重,我们也可以适当注意潜在严重性最高的风险。此方法提供了另一层发现和评估层,以降低在我们部署到无人驾驶设备之前的安全风险。
