Статьи
Модель Responsibility-Sensitive Safety: условия для более безопасного дорожного движения
Модель Responsibility-Sensitive Safety демонстрирует необходимость формирования стандартов для определения ответственности в случае аварии и для безопасности транспортных средств для развития индустрии беспилотных автомобилей.
Профессор Амнон Шашуа является старшим вице-президентом корпорации Intel, главным исполнительным директором и директором по технологиям в Mobileye, дочерней компании Intel.
Это вторая статья в серии публикаций профессора Амнона Шашуа, посвященных математической модели беспилотных автомобилей (AV), которая была предложена Mobileye, дочерней компанией Intel. По мнению профессора Шашуа, чтобы набрать критическую массу и перевести индустрию автономных автомобилей из плоскости научных экспериментов в массовый сегмент, необходимы доказуемые гарантии безопасности этой технологии. Предложенный Mobileye план демонстрирует, почему для дальнейшего развития этой отрасли необходимо сформировать новые стандарты определения ответственности в случае аварии, а также стандарты безопасности автомобилей.
При разработке модели Responsibility-Sensitive Safety (RSS) мы рассчитывали, что она послужит своеобразным катализатором для межотраслевой дискуссии, в которой примут участие различные индустриальные группы, автопроизводители и органы управления. С момента нашей публикации мои соавторы и я получили множество положительных откликов. В то же время, был поднят ряд очень важных вопросов, что и было нашей основной целью при задумки этого проекта.
Значительная часть вопросов была сосредоточена вокруг идеи о том, что человеческие суждения подразумевают как правовые и культурные основания, так соображения безопасности, в то время как модель RSS сосредоточена исключительно на юридических аспектах. Точка зрения, согласно которой модель RSS разрабатывалась с целью снятия ответственность с автопроизводителей, является спорной и требует дальнейшего пояснения.
Математика, а не мораль: как модель RSS формализует дилеммы при управлении автомобилем
Давайте начнем с того, что определимся, что именно представляет собой модель RSS. Модель RSS формализует здравый смысл человеческих суждений в самых различных дорожных ситуациях. Эта модель устанавливает четкие определения того, что означает безопасное вождение, а что наоборот, относится к опасному вождению. Когда автомобилем управляет человек, интерпретация ответственности в случае аварий или других инцидентов может варьироваться довольно широко. Не важно, случилась ли авария по ошибке водителя или нет, ответственность в любом случае устанавливается исходя из недостаточно полной информации и прочих факторов, которые интерпретируются постфактум. В случае автономного вождения, эти определения могут быть формализованы и представлены в математическом виде. Машины располагают чрезвычайно точной информацией об окружающих объектах, всегда регистрируют время своей реакции и тормозные усилия, они никогда не отвлекаются от дорожной ситуации и не знают усталости. Поэтому, когда автомобилем управляет компьютер, нам не нужно интерпретировать его действия постфактум. Вместо этого, мы можем запрограммировать его таким образом, чтобы он следовал определенному алгоритму или некой стандартной схеме (determined pattern). Все, что для этого нужно – иметь возможность формализовать эту схему.
По своей сути модель RSS создана для формализации тех дилемм, с которыми мы сталкиваемся при управлении автомобилем, а также для помещения их в конкретный контекст. В частности, модель позволяет формализовать понятия безопасной дистанции и безопасного расстояния при маневрах перестроения или вклинивании в поток, определять участников дорожного движения, осуществляющих перестроения, чтобы своевременно принимать необходимые меры и соблюдать безопасную дистанцию, позволяет формализовать право преимущественного проезда, дает определение безопасного вождения в случае ограниченного восприятия (например, когда участники дорожного движения могут быть скрыты за зданиями или припаркованными автомобилями и могут внезапно появиться на дороге), и многое другое. Разумеется, человеческие суждения подразумевают стремление избежать аварии, а не ответственности. Модель RSS пытается выстроить формальную основу, которая бы установила все аспекты человеческих суждений в контекст управления автомобилем, с целью создания своеобразной «печати безопасности» (‘seal of safety’), формальной гарантии безопасности беспилотных автомобилей.
Модель RSS = меньше аварий на дорогах
Теперь следует объяснить подробнее, чем модель RSS не является. RSS не позволяет беспилотным автомобилям принимать такие решения, которые – даже будь у этого беспилотного автомобиля право преимущественного проезда – привели бы к аварии. С другой стороны, модель RSS все же дает возможность беспилотным автомобилям выполнять манёвры в нарушение правил, например, пересекать сплошную линию разметки, чтобы уйти от столкновения, или объехать припаркованный вторым рядом автомобиль во избежание опасности. Что модель RSS не позволяет делать, так это выполнять беспилотному автомобилю какие-либо невынужденные маневры, которые сами по себе могут привести к отдельной аварии.
Модель RSS не позволяет беспилотному автомобилю минимизировать последствия аварии за счет совершения другой аварии, пусть и с меньшими последствиями. Другими словами, пытаясь избежать столкновения с автомобилем, управляемым водителем-человеком, модель RSS позволяет беспилотному автомобилю совершать любые манёвры (даже в нарушение правил дорожного движения), если эти маневры не приведут к другой аварии. Это ограничение вполне уместно, так как суждения о масштабах аварии являются субъективными и могут не учитывать какие-либо скрытые, критически значимые факторы, например, ребенка на заднем сидении автомобиля, авария с которым, казалось бы, позволила бы минимизировать последствия первой.
Тем не менее, если общественность считает нужным сохранить возможность минимизировать последствия одной аварии за счет другой, то при определенных условиях такой алгоритм можно добавить в формулу RSS, сохранив при этом принцип «преемственности вины ответственности», согласно которому ответственность за все инциденты будет возложена на того участника дорожного движения, по вине которого началась вся цепочка. Мы решили, что пока не использовать эту возможность в нашей модели, но это вполне реализуемо.
В модели RSS также формализуется руководствуемое здравым смыслом рассуждение, согласно которому правом преимущественного движения можно воспользоваться только тогда, когда его предоставляют. Приведем пример автомобиля, пересекающего перекресток: зеленый свет дает автомобилю право преимущественного движения по перекрестку, но что, если перекресток оказался занят другим транспортным средством (например, проехавшим на красный свет). В этом случае модель RSS не дает беспилотному автомобилю прав столкнуться с автомобилем, возникшем на дороге – иначе в этом случае беспилотный автомобиль, согласно модели RSS, будет виновен в аварии.
Программный образ мышления
Вполне логично, что для того, чтобы раскритиковать модель RSS, необходимо найти такой сценарий аварии, при котором определение виновника посредством модели RSS шло вразрез со «здравым смыслом» человеческих суждений. Нам не удалось найти подобного сценария, даже в исследовании типологий автомобильных аварий, составленных Национальным управлением США по безопасности движения на автомагистралях, в котором проанализировано 6 миллионов ДТП, разбитых на 37 различных типовых сценария, которые охватывают 99,4% всех представленных в исследовании аварий. Все эти аварии вполне вписываются в модель RSS, и мы намерены опубликовать наш анализ в рамках продолжающейся работы по переводу модели RSS в открытый формат.
Со временем, в ходе работы с другими участниками отрасли, органами стандартизации и регуляторами, мы, несомненно, будем сталкиваться с новыми сценариями, внедрять их в модель RSS и, при необходимости, обновлять модель – точно так же, как порой необходимо пересматривать человеческие суждения.
Подводя итог, нам необходимо убедить отрасль в том, что программное обеспечение способно всегда принимать самые безопасные решения. По сути, чтобы сделать модель полезной, мы должны показать, что можем заложить в программное обеспечение алгоритм, который никогда бы не провоцировал аварии, и в то же время обеспечивал нормальное движение транспорта.
Вряд ли можно назвать эту задачу тривиальной. В частности, необходимо убедиться, что модель будет устойчива к «эффекту бабочки», когда на первый взгляд безобидное действие в настоящем способно привести к цепочке действий с катастрофическими последствиями. Например, когда при агрессивном перестроении и вклинивании в соседний поток следующая в потоке машина вынуждена применить экстренное торможение и начать перестроение в соседний ряд, провоцируя аварию.
Дьявол в деталях
Мы опубликовали модель RSS с расчетом на то, что это вызовет дебаты, дискуссии и активизирует изучение этой проблемы – всё это играет важную роль в поиске правильного решения. Грустная реальность заключается в том, что на сегодняшний день альтернатив модели RSS не существует. И что остается предпринять отрасли в отсутствие четкой модели? Просто обратиться к «передовым практикам»? Тогда всё это сведётся к спорам о том, на чьих автомобилях установлено больше датчиков, и чьи платформы дольше тестировались. Подобные количественные заявления могут защитить производителей беспилотных автомобилей в мире, в котором отсутствует четкая модель для оценки безопасности, но они не будут гарантировать эту самую безопасность. Более того, это приведет к появлению беспилотных автомобилей, в которых будут использоваться излишне сложные системы и которые будут слишком дорогими, чтобы обеспечить гибкий, доступный, максимально безопасный транспорт для рядовых граждан и для тех категорий населения, которые в нем особенно нуждаются, например, пожилых людей или людей с ограниченными возможностями.
Мы не можем ограничиваться использованием модели RSS только в наших технологиях автономного вождения. Чтобы обеспечить полноценные гарантии безопасности, мы будем требовать общественного принятия и формирования прозрачных стандартов интегрирования человеческих суждений в принятие решений беспилотными автомобилями. Мы убеждены, что сможем сделать дорожное движение в тысячу раз безопаснее с точки зрения аварий, вызванных должным образом сконструированными беспилотными автомобилями, по сравнению с авариями, спровоцированными людьми.
Чтобы подготовить почву для успешного развития беспилотных автомобилей требуется прояснить множество вопросов. И эти вопросы отнюдь не ограничиваются технологическими инновациями или сравнениями продукции различных компаний. Мы делаем важный шаг для формирования в отрасли понимания необходимости в формализации правил и суждений, а также стандартов определения ответственности, чтобы добиться ощутимой пользы для общества. Таким образом, модель RSS вовсе не является системой, позволяющей избежать ответственности, но представляет собой инновационную модель, которая позволит добиться высоких стандартов безопасности эксплуатации беспилотных автомобилей.
Мы хотели бы продолжить диалог, поэтому, пожалуйста, присылайте свои вопросы и комментарии на адрес autonomousdriving@intel.com. Сложно добиться больших результатов, работая в одиночку. Чтобы полностью реализовать потенциал беспилотного вождения, требуется комплексная экосистема, которая позволит нам перейти от научных экспериментов к созданию полноценного массового рынка.