Waymo是世界上经验最丰富的自动驾驶系统("ADS")开发商,当安装在车辆上时,可以在没有人类干预的情况下完成整个动态驾驶任务("DDT")。Waymo的安全理念非常明确:Waymo将通过安全和负责任的驾驶来减少交通事故和死亡,并在扩大运营规模的同时认真管理风险。这一理念为我们的所有活动奠定了基础,与Waymo的企业文化以安全为中心是一致的,并为Waymo的未来设定了方向。为了让自动驾驶车辆("AV",这里指的是任何配备ADS的车辆)获得公众的认可,并实现其对安全和移动性的承诺,公众必须对其安全性有更好的理解。本文总结了Waymo如何在我们的AV中建立安全,并确定其部署的安全准备情况。Waymo的2017年安全报告是AV开发商提出的第一份公共安全报告,并对我们当时的技术和安全流程进行了描述。最近,我们已经该报告的更新版本。Waymo寻求在我们继续赚取利润的过程中不断改进这些方法和流程。Waymo生产SAE L4 ADS ,这使得Waymo的车辆配备这些ADS能够实现无人驾驶操作。Waymo始于2009年的谷歌自动驾驶汽车项目,我们早期对依靠人类干预来保证安全的自动驾驶系统进行的测试使我们确信,L4自动化--不因任何原因而依赖人类驾驶员--是通过自动化实现增强安全性的最佳选择。Waymo的安全方法借鉴了成熟的工程流程,并解决了AV技术特有的新安全挑战,为我们的L4 ADS(我们也称为Waymo驾驶员)的安全部署奠定了坚实的基础。Waymo决定是否准备好在不同环境下安全部署其AV,取决于该坚实的基础和对特定操作设计领域("ODD")特定风险的彻底分析。作为世界上经验最丰富的自动驾驶系统("ADS")开发商,Waymo在开发和应用最先进的安全方法论方面拥有丰富的经验。Waymo的方法论有助于实现Waymo的前瞻性安全理念。W aymo将通过安全和负责任的驾驶来减少交通事故和死亡,并将在扩大运营规模的同时谨慎管理风险。Waymo 的安全方法借鉴了成熟的工程流程,并解决了自动驾驶汽车("AV")技术特有的新安全挑战,为 L4 ADS(也称为 Waymo Driver)的安全部署提供了坚实的基础。Waymo 确定其在不同环境下安全部署 AV 的准备程度,取决于该坚实的基础和对特定操作设计领域("ODD")特定风险的全面分析。Waymo目前的运营情况。Waymo目前主要在加州和亚利桑那州运营我们的AVs,另外还在其他几个州进行测试,包括密歇根州、德克萨斯州、佛罗里达州和华盛顿州。在菲尼克斯大都会区,我们的克莱斯勒Pacifica AV车队自2017年以来一直在各种类型的自动驾驶(即ADS运营)服务中运送乘客,其中包括无人驾驶服务。到目前为止,Waymo已经在公共场合积累了超过2000万英里的自动驾驶里程。在超过25个城市的道路上运行,其中包括74,000英里的无人驾驶里程。评估自动车辆安全的方法。各种私人和政府各组织提出了广泛的方法来衡量或证明视听觉障碍。安全。这些不同的方法中出现了几个共同的主题,包括:以仿真为基础的测试是自动驾驶系统开发和安全验证的一个极其重要的部分;测试方案的选择应针对在特定的ODD中可能发生的风险;和所有交通工具一样,配备自动驾驶系统的车辆的运行也存在一定的风险,指导原则应是避免不合理的风险。Waymo的安全方法论。Waymo 的安全方法侧重于独特产品的开发、鉴定、部署和持续的现场操作:L4 ADS 可以在没有人类驾驶员在场的情况下,在正常的交通条件下和我们有理由相信在特定的 ODD 中可能出现的极具挑战性的情况下,执行整个动态驾驶任务("DDT")。虽然我们从某些被广泛接受的工程流程和原则中获益,但我们根据我们在第四级技术中的丰富经验,为此目的对它们进行了调整。我们不断完善这些方法论,随着我们的业务规模的扩大,我们会不断地增加。Waymo 的各种安全方法论由以下三个方面支持 系统级测试的基本类型(仿真、封闭式和公共道路),它们是 并辅以各种形式的组件和子系统测试。这些类型的测试是 在不断的相互作用中,每一个都是对其他的形成和补充。我们描述的本质是 我们的方法论在标题下指的是我们技术的三个方面:硬件,ADS行为,以及车辆运行。硬件方面,我们从有经验的公司开始购买安全的、经过全面认证的车辆。我们首先从有经验的公司购买安全的、经过全面认证的车辆。汽车制造商。作为我们基础车辆开发的一部分,我们指定了冗余制动和转向执行器,我们认为这是安全、无人驾驶车辆所必需的。这些运动控制执行器的性能和容错性是由一套完整的技术要求决定的,规定了名义和故障条件下的性能。这些要求得到了广泛的验证,包括硬件在环测试和闭合过程测试,以及在闭合过程和现场的验证。在基础车辆和运动控制系统的基础上,Waymo加入了我们自己的传感系统。包括多种激光雷达、雷达、摄像头、惯性和音频单元,可对驾驶环境进行全面了解。这些传感系统的设计符合严格定义的性能和安全要求。为了运行我们先进的行为软件,Waymo开发了一个最先进的计算平台,该平台结合了极高的性能和成熟的可靠性和容错性。我们设计的系统具有针对任何故障量身定制和匹配的故障响应组合。Waymo还开发了一个强大的流程来识别、优先处理和缓解网络安全威胁。ADS行为层。行为层描述了能够指导我们的AV在公共道路上进行安全无人驾驶运动的软件。我们评估ADS行为层性能的主要能力有三项:避免碰撞、完成无人驾驶模式下的行程和遵守适用的驾驶规则。我们的方法从危险分析开始,从一开始就将稳健性融入到我们的设计中。然后,我们大量使用基于场景的验证,以确保ADS行为符合我们的要求和期望。最后,我们将我们的系统进行大规模的仿真部署(无论是通过大规模的日志回放或公共道路操作与反事实的仿真后,车辆操作员脱离),这使我们能够经验地衡量总体业绩指标。操作层。Waymo的安全计划确保在AV的运营中应用行业领先的安全实践,例如针对我们训练有素的车辆操作员的疲劳管理计划、事故响应规划和准备,以及与执法部门和应急响应人员协调如何安全处理无人驾驶车辆。Waymo还认识到在任何车辆中使用安全带的重要性,我们采取了一系列措施来鼓励我们的AV乘客使用安全带。我们有一个车队响应团队,可以在需要时为ADS提供远程协助。Waymo 的风险管理计划在新的或更新的功能或软件在公共道路上使用或在我们的结构化测试设施中进行测试之前,确定、优先考虑并推动潜在安全问题的解决。我们的 "现场安全计划 "根据更新的功能或软件在公共道路上行驶后收集到的信息,确定潜在的安全问题,并进行适当的处理。与Waymo强大的安全文化相一致的是,现场安全流程包括收集并帮助解决来自许多其他来源的潜在安全问题,包括员工、乘客、公众或供应商。安全治理。Waymo 的治理流程包括一个分层系统,用于分析来自现场安全流程、风险管理、即将作出的部署决定或任何其他来源的安全问题。Waymo安全委员会汇集了来自安全、工程和产品团队的执行领导,以解决这些安全问题,批准新的安全活动,并确保我们的整个安全框架与时俱进。
Waymo的准备工作确定。在某些时间点上,Waymo需要根据其安全方法对ADS的特定配置的特定部署的准备情况做出独立的决定。判断的重点是ODD、特定的使用案例和特定的车辆平台。Waymo的所有操作--无论是封闭路线还是公共道路,无论是否有训练有素的车辆操作员--都需要高度的审查,而且每项评估都是针对与预期操作模式相关的风险。当然,当我们探索AV的能力时,其详细程度是最高的。由于没有训练有素的操作人员,将其撤走,作为一种风险缓解措施;
Waymo确定这些准备状态的过程需要对我们所有安全方法的相关输出进行有序的检查,并结合仔细的安全和工程判断,重点关注与特定决定相关的具体事实。当Waymo确定ADS已为新条件做好准备,且不会对安全造成任何不合理的风险时,Waymo将予以批准。Waymo将继续应用和调整这些方法,并学习AV行业其他公司的重要贡献,因为我们将继续建立一个更安全、更强大的ADS。
Waymo从硬件层面保证智能驾驶车辆安全:
Waymo 的安全方法侧重于独特产品的开发、验证、部署和持续的现场操作:L4 ADS 可以在正常交通条件下和有理由预计在特定 ODD 中可能出现的极具挑战性的情况下,在没有人类驾驶员在场的情况下执行整个 DDT。因此,在学习某些广为接受的工程流程和原则(包括上面讨论的那些)的同时,还根据在 L4 技术方面的丰富经验,为此目的对它们进行了调整。随着业务规模的扩大,不断以渐进的方式完善这些方法。
除了已经完成了超过2000万英里的公共道路测试,Waymo的AV经验还包括数十亿英里的详细仿真无人驾驶运行,十多年来在测试设施中进行的结构化测试,以及不断分析以识别和解决严重的安全隐患。这些经验告诉我们,任何单一的安全方法论都不够全面,相反,需要多种方法论协同工作。因此,我们的安全框架包括各种互补的方法论,Waymo力求不断改进,并反映了我们的安全理念,其重点是我们如何在扩大运营规模的同时减少交通伤亡和管理风险。Waymo的安全方法不仅关注ADS,还考虑到基础车辆的安全和我们AV业务的安全。Waymo的方法论涉及AV的整个生命周期,从设计和开发,到测试阶段,以及部署期间和之后。Waymo的各种安全方法由一系列测试类型组合支持。在系统层面,我们有三种基本的测试类型:仿真、封闭赛道和公共道路。在子系统和组件层面,我们进行软件单元测试、集成测试、工作台测试和其他硬件在环测试。这些类型的测试是不断互动的,每一种测试都是对其他测试的启发和补充。例如,封闭式测试使用来自多个来源的测试场景(例如,在公共道路上的真实世界测试驾驶、碰撞数据库和自然驾驶研究),并用于建立和验证我们的仿真模型的元素。我们在公共道路上行驶的里程数对我们的ADS的进步是非常宝贵的。从我们广泛的道路驾驶经验中获得的教训是至关重要的,并为我们所有方面的工作提供了参考。我们的安全计划。上路测试不仅为结构化、封闭式测试提供了新的场景,有助于验证我们的仿真模型,这些里程还可以测试基本的ADS 能力,对各种指标进行实证检验,揭示以前未知的风险。我们先进的仿真能力也是我们安全方法论中一个非常重要的因素。当然,仿真可以测试ADS的能力,涉及数千种场景和道路使用者的互动,而这些场景和互动在道路测试中需要更长的时间来体验,而且在结构化测试中很难复制,或许也不安全。我们测试项目的一个有价值的方面是,我们的真实世界里程和我们的规模化仿真如何相互合作,相互提高。我们为自己多年来积累的道路驾驶经验感到自豪,也为这些经验如何帮助我们了解驾驶的困难以及我们技术的前景感到自豪。但公路驾驶有其局限性,尤其是它的速度相对较慢,而且成本较高。因此,我们还开发了一个自动驾驶仿真器,可以加速我们的开发和测试,部分灵感来自于我们的道路经验,并扩展到比我们在现实生活中看到的更多情况。然而,任何仿真都需要验证,因此我们依靠道路驾驶来验证我们的仿真器,从而完成学习和完善的良性循环。Waymo的安全流程是一个持续的流程,在这个流程中,一个元素或阶段的经验教训和反馈被用来促进其他元素和阶段的改进(如校准或关联)。这包括审查任何安全方法或在任何测试模式中揭示的任何关注问题,对其重要性进行优先排序,并对最高优先级的项目进行处置。
无人驾驶车辆及其ADS是一项非常复杂的事业,融合了先进的硬件技术、尖端的人工智能和大型车队运营。开发这些元素中的每一个都需要利用和调整不同的工程实践和评估方法,以确保最佳结果。Waymo深思熟虑地将不同的方法应用于生命周期不同阶段的不同类型的技术,虽然没有硬性的界限,但我们试图在下面的标题下描述这些方法和技术的本质,这些标题指的是我们技术的这三个层次:硬件、ADS行为和车辆运营。我们的一些方法论(例如,危险分析)是在我们技术的不同层次中使用的。因此,我们不单独讨论这些方法,而是讨论每个方法如何在这些技术层中使用。图1直观地显示了我们的技术层、每一层的关键属性以及我们用来确保其安全的主要方法。
图1.Waymo的三个技术层示意图 Waymo的三个技术层和本文提出的方法论的示意图
硬件层
硬件层指的是自动驾驶车辆的四个主要子系统:基础车辆平台、运动控制执行器、附加的传感器套件以及用于运行我们先进软件的计算平台。这些子系统中的每一个子系统对AV和ADS的安全性和性能都很重要。与硬件层(事实上是整个系统)相关的还有我们为确保ADS免受系统或子系统故障和网络安全威胁而采取的措施。为了确保硬件层的安全稳健发展,我们主要采用系统工程的方法,定义了对上述子系统的性能和安全的要求,还包括对组件、子系统和全集成系统的彻底验证和确认。这种方法在汽车和航空工业中都被大量采用,在定义和测试硬件层常见的确定性行为和明确的性能特征方面特别有效。要执行好这种方法,就必须对需求的推导进行深思熟虑,并在测试中进行彻底的测试,以确保系统得到充分的规定、设计和测试,以满足预期的任务。为了彻底制定硬件层的需求,我们重点关注性能需求和安全需求两个方面。安全要求通常是通过各种安全流程来定义的,如设计故障模式和影响分析(DFMEA)、危险分析和。故障树分析。Waymo利用这些流程制定了一套需求,即使在出现故障或错误的情况下也能保证AV的安全运行。无论推导方法如何,为硬件层建立的需求都要在程序的多个阶段进行验证和确认。验证和确认("V&V")经常被作为一种单一的方法论来讨论,尽管这两个术语指的是工程过程中不同的部分。简而言之,验证指的是确定系统或组件符合特定要求或规范的过程,而验证指的是确定,通常通过某种形式的测试,确定经过验证的系统或组件达到了预期目的。验证硬件元件是否满足要求和验证它们是否服务于预期目的,对确保我们的ADS具有安全执行的基本行为能力起着至关重要的作用。我们使用各种评估方法,包括基于仿真和硬件在环测试和分析,完全集成的车辆的结构化测试,以及现场数据的分析。
基础车辆
基础车辆平台为乘客的人身安全奠定了基础。我们首先从经验丰富的汽车制造商那里购买了非常安全、经过全面认证的车辆,我们从FCA购买了数百辆克莱斯勒Pacifica混合动力小型货车。这些车辆几乎构成了Waymo目前所有的客运车队,获得了NHTSA的5星安全评级(最佳),以及美国公路安全保险协会的 "顶级安全 "评级,这些评级主要证明了这些车辆的优秀碰撞性能。我们目前正在将全电动捷豹I-PACE加入Waymo车队。虽然尚未在美国获得评级,但最近在欧洲获得评级的I-PACE车型获得了欧洲新车评估计划的5星评级。根据这些评级计划的衡量,我们的AV是道路上最安全的车辆之一,特别是在车辆保护乘客在碰撞中免受伤害的能力方面。此外,我们努力确保Waymo对基础车辆的改装不会降低这些车辆的防撞能力。我们还通过升级电源、网络和动力系统的冗余和容量,扩展了基础车辆在4级自动驾驶方面的能力和稳定性,帮助确保Waymo ADS和相关的基础车辆系统可用于安全驾驶,并可实现最小风险条件。
运动控制
作为我们与OEM合作伙伴和汽车供应商共同开发的基础车辆的一部分,我们指定了冗余制动和转向执行器,鉴于现有非冗余系统的故障率,我们认为这对于安全的无人驾驶车辆是必要的。在人类驱动的车辆中,即使系统或驾驶辅助功能出现故障,人类驾驶员也可以对车辆进行物理转向或制动。然而,在无人驾驶操作中,ADS必须能够检测到转向或制动系统的一部分故障,并且在该故障发生后仍能保持对车辆的足够控制,使车辆安全停车。这些运动控制执行器的性能和容错性由一套完整的技术要求决定,规定了在标称和故障条件下的性能,并以广泛的验证为后盾,包括硬件在环测试和闭合路线测试,以及在闭合路线和现场验证。
传感
从基础车辆和运动控制系统开始,Waymo添加了我们自己的传感系统,包括众多的激光雷达、毫米波雷达、摄像头、惯性导航单元,可以对驾驶环境和车辆在任何特定时间点的精确位置进行定位。与运动控制系统类似,这些传感系统的设计要满足严格定义的性能和安全要求。性能要求(例如,前向传感系统的范围)通常是通过对给定的ODD的预期用例或驾驶动作进行分解而制定的。例如,需要以高速行驶的 ODD 将分解为前向传感范围要求,该范围大于在最高速度为 25 m.p.h 的住宅道路上行驶所需的范围。这些性能要求是通过仿真和分析制定的,同时也利用了Waymo经历的10年和2000多万英里的公共道路驾驶经验。对传感系统的性能要求尤为重要,以确保软件的决策层有足够的、准确的信息来做出驾驶决策。通过适当的安全流程得出的安全要求,通过检测任何一个特定传感器的故障,并安全地结束任务或有足够的冗余度来维持足够的性能,从而确保整个系统的容错性。除了性能和安全要求外,我们还有可靠性和耐久性要求,以确保机队的长期稳定性和性能。这些要求中的每一套都在计划的适当阶段进行验证,使用多种方法,包括仿真、台架测试和现场测试。
计算平台
为了运行我们高级行为软件,Waymo开发了一个最先进的计算平台,该平台结合了极高的性能和成熟的可靠性和容错性。高级人工智能的计算需求是巨大的,我们设计我们的计算平台是为了满足执行世界上最有经验的驾驶员的需求,我们有时也会提到我们的ADS。除了先进的性能之外,我们开发的这个计算机系统还具有适当的冗余度。在主电脑发生故障时,还有一个额外的电脑系统,有能力将车辆安全地停下来。此外,我们还做了多种设计选择(如冗余电源系统)并进行了测试,以帮助确保计算机系统的可用性。
故障检测和响应
在上面对硬件层要素的讨论中,我们简单地提到了相关的容错要求和相关的验证。如下文所述,行为层还包括解决软件故障检测和响应的V&V策略。我们系统的这种故障检测和响应属性的重要性不言而喻。根据定义,第四级自动驾驶系统必须能够在自动驾驶系统或其他车辆系统发生故障,使自动驾驶系统无法执行动态驾驶任务时,或遇到批准的ODD限制之外的情况时,在没有人工干预的情况下达到最小风险条件。适当的应对措施将根据系统故障的类型和程度以及紧邻的交通状况而有所不同。相应地,对故障的反应包括一个灵活的策略,考虑到继续运行、驶离道路或原地停车的相对风险。例如,在系统严重完全故障的情况下,低级计算机将进行制动,达到风险最小的状态。然而在性能下降不太严重的情况下,系统可以自我检测到性能下降,行为层仍然会保持对车辆的控制,并主动开到合适的位置进行进一步的操作(比如停在路边的街道上进行道路救援)。整体的故障检测和故障响应系统是通过系统工程流程来指定和验证的,并进行持续的验证,以确保不遗漏任何需求。
网络安全
容错可以用来描述系统对内部故障的鲁棒性,而网络安全则涉及系统对外部攻击的避免、检测和响应的鲁棒性。现代世界已经向我们表明,有吸引力的目标经常受到攻击,需要合理的安全工程实践来创建一个稳健的系统,合理降低网络安全风险。Waymo已经开发了这样一个稳健的流程,以识别、优先考虑和减轻网络安全威胁。虽然这里在硬件部分有所涉及,但我们的流程也延伸到了软件和运营层。作为Alphabet公司,Waymo的安全实践建立在谷歌安全流程的基础上,并参考了NHTSA网络安全指南和汽车信息共享与分析中心(Auto-ISAC)的汽车网络安全最佳实践等出版物,以帮助开发未来的安全最佳实践,Waymo还加入了Auto-ISAC,这是一个由行业运营的倡议,旨在提高全球汽车行业的网络安全意识和合作。我们的安全审查流程会检查各种威胁,从整个车队的远程攻击到单车物理攻击,因为它们与无人驾驶运输服务有关。我们采用基于风险的方法来确定缓解措施的优先次序。我们目前的流程包括全面审查从物理车辆内部和外部进入我们ADS的潜在安全接入点,并采取措施限制这些接入点的数量和功能。首先,我们在一开始就与我们的OEM合作伙伴合作,以识别和缓解基础车辆的漏洞。此外,我们不断改进的软件和车辆设计流程包含了网络安全风险评估,使我们能够根据每个已知漏洞所带来的风险实施防御和保护。新发布的软件要经过广泛的审查和验证过程。我们的危害分析和风险评估流程旨在识别和减轻可能影响安全的风险,包括目前正在实施的修改,以确保覆盖与网络安全相关的风险。我们使用多层安全保护我们的ADS,特别是转向和制动等安全关键功能,防止未经授权的通信,包括车辆控制指令。我们还考虑了无线通信的安全性。我们的车辆并不依靠持续的通信连接来安全运行。在路上时,车辆和Waymo之间的所有通信(例如,冗余的蜂窝连接)都是加密的,包括Waymo的运营支持人员和我们的乘客之间的通信。我们的车辆可以与我们的运营团队进行沟通,收集更多的路况信息,而我们的ADS则始终保持对驾驶任务的负责。这些保护措施有助于防范来自乘客或恶意行为者的远程攻击和近距离的威胁。如果我们意识到,无论是通过我们的ADS还是其他方式,有迹象表明有人试图损害我们车辆的安全性,Waymo将启动其跨功能事件响应程序,其中包括影响评估、遏制、恢复和补救。