一场自动驾驶安全模型引发的「暗战」

作为目前自动驾驶领域炙手可热的两家公司，一直以来角力和竞争将因此变得更激烈。

英伟达和 Mobileye，因为一个「安全模型」的问题，可能无法避免地要站在各自的「对立」面了。

关于这起事件的起因，在极客公园昨天的推送《英伟达「防碰撞策略」被指抄袭，自动驾驶是否必然「殊途同归」？》中有详细介绍，不再赘述。今天主要希望通过多方的观点，让大家对该事件有更清晰、理智的认识和思考。

「对话」失败

2018 年，英伟达和 Mobileye 曾经就「自动驾驶安全」问题讨论过合作，但双方最终没有达成实质性成果。根据 Mobileye 方面提供的信息，英伟达对基于 RSS 责任敏感安全模型的合作表现出了兴趣，不过之后就无疾而终了。Shashua 则在博文中写道，「最终英伟达退出了合作关系，我们还蛮困惑的」。

Shashua 认为「英伟达拒绝合作但抄走了 RSS 安全模型的概念」。在他看来，英伟达上周发布的计算型防御驾驶策略 SFF，「是一个低配版的 RSS。如果说有什么创新的话，那么它可能只是在文字上花了些心思」。

对于这样的「笔伐」，英伟达方面表示并不赞同。

英伟达自动驾驶软件副总裁戴维・尼斯特（David Nister）在接受外媒电话采访时表示，「我们开发 SFF 已经有很多年了。SFF 遵循的是一个防碰撞的核心基本原则。这与 RSS 中为其定义了大量的规则和例外不同」。他同时指出，「支持 SFF 模型的算法和数学公式也是我们自主研发的，它们具有独特性」。

而在谈及为何最终没有与 Mobileye 建立合作时，英伟达汽车事业部高级总监丹尼・夏皮罗（Danny Shapiro）称，「主要原因是 Mobileye 在这件事情上非常固执。坚持要求合作方必须遵守 RSS 中定义的方程式」。但随着自动驾驶技术的发展，安全模型同样需要进一步优化，英伟达意识到与 Mobileye 的合作「很难使其在现有开发中发挥更大的作用」。

不过尼斯特也认为，「的确只有一个安全模型标准好一些。但在现实世界中，因为道路中有多种多样的群体参与，显然一种安全模型必须要学会与其他安全模型共存，这是无法避免的情况」。在英伟达看来，尽管 Mobileye 是首个提出 RSS 模型的厂商，但它也不应该强制其他合作伙伴必须「严格按照其中定义的方程式进行应用开发」。

是非博弈

在 Shashua 的博文中，他贴了一张长达 8 页的 PDF，详细对比了 SFF 中与 RSS 相似的内容。

当然这两个安全模型中肯定有不同的地方，不过 Shashua 并没有提及。他同时还指责英伟达的 SFF「不够透明」。

据英特尔方面的一位发言人称，根据Shashua 博文中列出的内容，双方对一些重要概念的描述区分度不高。她认为英伟达「失误」的地方在于「构成安全模型的重要指标，SFF 中称为『安全规程』（Safety  Procedure）的这个概念，即等同于 RSS 中的『正常响应』（Proper Response），没有被定义且在其官网公开下载的白皮书中也找不到确切的定义」。

而 Shashua 之所以在反复强调，是因为在 RSS 的整个架构中，「正常响应」属于核心式的存在。要让自动驾驶安全模型得到应用，需要非常详细定义的就是这个「正常响应」的概念。

咨询机构 Strategy Analytics 全球汽车业务执行总监 Ian Riches 在接受外媒采访时表示，「从目前我们获得的资料和信息来看，并没有发现 SFF 和 RSS 有显著的差异」。但他同时指出，「英伟达方面声称 SFF 和 RSS 的不同在于，它提供了一种逐帧的分析方式，同时将横向和纵向的事件以更优的方式同时处理。但我们仍在等待关于这些细节更详实的解释」。

而对于 SFF 和 RSS 的异同，VSI Labs 创始人兼首席咨询顾问 Phil Magney 是这样说的。他认为，「SFF 和 RSS 都提供了包括公式以及案例假设等对在算法应用中必要的细节。只不过 Mobileye 给出的论文，为解决方案的可使用性提供了更深层的环境分析」。

那既然如此，为何 SFF 的同时存在会让 Mobileye 的 CEO 如此懊恼呢？

Mobileye 的这位发言人解释道。「如果存在一个类似于 RSS 的安全模型，这只会引发行业内产生更多的困惑，进而导致一些潜在的合作伙伴在一个开放的安全模型面前退缩。我们认为这不利于整个行业的加速发展」。她还强调称，「Mobileye 的 RSS 责任敏感安全模型完全透明，任何公司都可以用来开发自己的自动驾驶决策算法。比如百度已经宣布计划在其 Apollo 开源项目及 Apollo Pilot 商用项目中部署 RSS 模型」。

而在 Strategy Analytics 的分析师看来，Mobileye 推出 RSS 责任敏感安全模型并将之完全公开，还承诺为第三方提供应用所需的资源，这么做是需要勇气的。而且自发布起，Mobileye 对 RSS 也进行过多次更新升级。他认为 Mobileye 的担忧在于，假设今后类似的具有竞争性的解决方案大量出现，那么大家有可能会急于保护自己的 IP 而不在意创新了。这样的话，之前苦心建立的免费模式随时可能夭折。

当然英伟达在发布 SFF 时就表示，SFF 会是一个「非专利、公开、透明的」防碰撞安全模型。它的开放性在于能够与任何驾驶软件结合使用。作为运动规划堆栈中的安全决策策略，SFF 可监控并预防不安全操作，让避障机制从复杂的道路规则机制明确独立出来。

不过 VSI Labs 的分析人士倒不认为 SFF 和 RSS 的存在会对车企或其他公司在开发自动驾驶汽车时因为无从选择而产生困扰。

他解释道，「这其实给了大家更多选择的机会。这些安全模型框架的内容很相似，彼此没有关键性的差异，它们的开放性意味着合作伙伴可以从不同的框架中汲取必要的元素结合使用」。他还指出，「目前不管是 SFF 还是 RSS，对任何公司而言，都并非成熟的产品或者具备实体价值的资产。相反，RSS 和 SFF 的领先性为整个行业以及各自的客户提供了优化决策算法的可能」。

加入与授权的问题

据极客公园了解，中国交通部下属的标准制定团体—中国综合智能交通产业与服务联盟已经提议将 RSS 模型作为即将出台的自动驾驶安全规范的框架。法雷奥也表示未来会将 RSS 加入其自动驾驶研发项目并联合其他工业标准一起使用。百度此前宣布计划在其 Apollo 开源项目及 Apollo Pilot 商用项目中部署 RSS 模型。而 Mobileye 方面也表示，联合大众集团、Champion Motors 在以色列布局的自动驾驶网约车服务，以及与北京公交集团达成的合作都将成为验证 RSS 模型的良机。

至于英伟达，发布会上并没有宣布有已经达成意向的合作伙伴。

还有一个问题是，使用 RSS 需要获得授权吗？如果没记错的话，Mobileye 两年前发布 RSS 模型时曾表示「授权 0 费用」。但现在 Mobileye 对这个说辞似乎有那么些不明确了。针对该问题的质询，官方发言人表示，「虽然供合作伙伴免费试用是初衷，但考虑到未来可能会出现类似英伟达这样的事情，我们现在也在考虑是否有必要继续保持公开透明」。

在 Mobileye 看来，他们投入了大量的精力来使 RSS 符合三个关键属性：

1. 声音：RSS 的正确响应符合人类判断的常识；

2. 有效性：RSS 支持敏捷驾驶策略；

3. 有效验证：有可能以计算有效的方式遵守 RSS 规则。

Shashua 也指出，「如果不能对『正确响应』这个概念做出明确定义，那么安全模型就无法在实际中得到应用」。

针对他反复提到的这一点，目前英伟达官网已经新增了一份名为「The Safety Force Field」的文件，其中对「安全规程」（Safety Procedure）进行了数学公式定义，但没有给出详细的案例。文件标注的时间是 2019 年 3 月，引用的参考文献均来自维基百科，这似乎并非 SFF 白皮书中指出的那份发表于 2017 年的参考文献。如果大家有兴趣研究，可以前往英伟达官方页面下载查阅。

作为目前自动驾驶领域炙手可热的两家公司，一直以来私下的角力和竞争可能会因这次事件变得更激烈。可以说是巧合，也可以说是必然。今年 CES 英伟达和 Mobileye 都不约而同地朝着小而美的方向看齐：Mobileye 开始思考自动驾驶研发如何反哺 ADAS，而英伟达盯上的则是能够迅速商业化落地的 L2+领域。先撇去「抄袭」的问题不谈，RSS 的发布具有独创和先驱性，SFF 化繁为简的思路同样值得肯定，但谁的方案更优可能还需要更长时间的验证。由于 RSS 和 SFF 的模型均是借助数学公式来定义的，除部分定量外，其他都是可以根据不同国家交通情况进行自定义的变量。而且因为存在局限性，这些安全模型势必无法覆盖所有的交通场景，所以目前需要车企、技术公司、监管部门及其他相关方一起对自动驾驶汽车的安全验证框架做出有意义的讨论。

基于这样的考虑，已经有合作伙伴基础的 Mobileye 略胜一筹，后来者居上的英伟达要加倍努力了。