自動駕駛的軟體設計分析與省思

城市規模基礎設施失效下自動駕駛系統的韌性研究：以2025年舊金山停電事件為核心之軟體工程分析

自動駕駛技術(Autonomous Driving Technology)在過去十年間取得了長足進步,然而,2025年12月20日於舊金山發生的廣泛停電事件,為當前處於領先地位的L4級自動駕駛系統提出了嚴峻的挑戰1。這次事件不僅暴露了自動駕駛車隊在面對城市規模基礎設施故障時的脆弱性,也引發了學術界與產業對自動駕駛軟體架構設計原則的深刻反思3。本報告旨在根據Waymo 官方說明與相關科技報導,摘要事件經過與原因,並站在軟體架構師的角度,深入解析在類似場景下的設計考量、技術方案及其優缺點。

2025年舊金山停電事件與自動駕駛停擺事件摘要

根據 Waymo 官方部落格與 TechCrunch 的詳細報導,2025年12月20日(週六),舊金山南馬基特(South of Market)地區的一座太平洋瓦電公司(PG&E)變電站發生火災,導致該市約三分之一的地區電力中斷,受影響用戶高達13萬戶1。此次停電引發了連鎖反應,導致全市約7,000個交通號誌燈熄滅(Dark Signals),範圍涵蓋從市中心到列治文區(Richmond)及要塞區(Presidio)的主要幹道。

事件過程與運作影響

在電力中斷期間,舊金山的交通狀況迅速惡化。雖然人類駕駛員通常能根據交通法規將失效的號誌燈視為四向停止(Four-Way Stop)路口進行交替通行,但 Waymo的自動駕駛車隊在應對如此大規模的號誌失效時,表現出了明顯的猶豫與遲滯8。社群媒體上的影片記錄了多輛捷豹I-Pace改裝的 Waymo 自動駕駛計程車成群結隊地卡在路口和行車線道上,並開啟危險閃光燈,實際上造成了「流動路障」現象,阻塞了公車、救護車及其他緊急應變車輛的通行路徑3。

儘管 Waymo 聲稱其系統在當天成功穿越了超過7,000次失效號誌,但那剩餘的少數「停擺」案例卻造成了全市規模的交通癱瘓6。面對日益嚴重的路面擁堵,舊金山市長丹尼爾·路里(Daniel Lurie)親自聯繫 Waymo 執行長,要求車隊立即停止運作12。Waymo 隨即宣布暫時關閉在舊金山灣區的叫車服務,並指示車隊安全靠邊停車,隨後分批次返回維護中心(Depots)2。

官方解釋與核心原因分析

Waymo 在事件後發布的調查結果顯示,此次集體停擺並非由軟體崩潰或硬體故障引起,而是出於對「極度謹慎」的安全協議設計之非預期副作用3。

類別	詳細數據/描述	來源引用
事件誘因	PG&E 變電站火災導致全市 約30% 地區停電	2
基礎設施影響	約7,000 個交通號誌燈熄滅 ,警方需手動指揮交通	7
車隊表現	成功穿越多數號誌燈,但在 高複雜度路口發生「確認請求」堆積	6
核心技術瓶頸	遠端協助(Remote Assistance)系統遭遇請求高峰,形成後端佇列	3
應變措施	暫停服務、車輛分批回站、軟體更新以增加停電情境感知	6

根據官方解釋,當 Waymo Driver 遇到失效號誌時,預設邏輯是將其視為四向停止路口。然而,在某些極度複雜、視線受阻或人類駕駛行為混亂的場景下,系統會觸發一項名為「確認檢查(Confirmation Check)」的安全程序,請求遠端人類操作員驗證行進路徑的安全性6。在平常情況下,這種零星的請求可以被即時處理;但在全市規模的停電中,數百輛車同時發出請求,遠端操作中心的頻寬與人力瞬間達到飽和(Saturation),形成了長達數分鐘甚至更久的處理後端,導致車輛在確認指令下達前,只能原地待命,進而癱瘓交通10。

從軟體設計角度解析

舊金山事件為軟體工程師提供了一個極佳的案例,說明了當前自動駕駛軟體在應對「關聯性異常(Correlated Anomalies)」時的局限性。在設計具備韌性的自動駕駛軟體架構時,必須考慮以下核心維度:

決策層級的去中心化與邊緣智慧

傳統的L4 級別自動駕駛架構通常依賴於一個高度中心化的監督體系,這在系統開發初期是保障安全的必要手段10。然而,正如舊金山停電事件所示,當外部環境發生系統性崩潰時,這種「母艦式(Mothership)」的依賴關係會變成單點失效(Single Point of Failure)4。

軟體設計的首要考量點應在於如何強化「邊緣端(Edge)」的獨立決策能力。在正常運作中,系統可以為了極大化安全性而進行遠端確認;但在檢測到大規模網路擁塞或基礎設施集體失效時,軟體必須能夠自動切換到一種「高權限局部自主模式」17。

環境情境感知(Contextual Awareness)的廣度

Waymo 在其改進計劃中明確提到,將為系統引入「電力中斷情境(Power Outage Context)」6。這在軟體邏輯上意味著從「局部特徵檢測」轉向「全局狀態推理」。目前的自動駕駛系統主要專注於語義分割,即識別目前畫面中的號誌燈狀態20。

• 公用事業數據介接 22。
• 車群數據融合(Fleet Data Fusion) 6。
• 網路遙測分析 19。

失敗模式的層次化降級(Graceful Degradation)

軟體設計中另一個關鍵考量是「最小風險狀態(Minimal Risk Condition, MRC)」的動態定義23。

• 標稱狀態(Nominal): 全速運作。
• 受限狀態(Degraded): 自動切換到強化版四向停止邏輯 23。
• 撤離狀態(Evacuation): 尋找最近的合法停車位,將道路騰出給緊急車輛3。

技術解決方案與優缺點權衡

方案一: 強化型邊緣 AI 與行為預測模型

• 優點: 低延遲決策、通訊免疫力。
• 缺點: 計算資源瓶頸15、難以形式化驗證28、極端罕見路況(Long-tail)的幻覺風險30。

方案二: 去中心化車聯網(V2X/V2V)

• 優點: 共享視覺數據34、路權預約制度32、自組織網路抗災性33。
• 缺點: 基礎設施滲透率要求37、攻擊面擴大38、標準化慢40。

方案三: 動態地圖與公用事業對接

• 優點: 主動預警繞路11、情境雙重檢驗提升置信度22。
• 缺點: 數據延遲40、跨組織責任歸屬難定45。

韌性架構的技術深度分析

學術界正推進「失效運作(Fail-Operational)」架構範式46。這種模式強調在部分失效下維持基本能力15。

Doer/Checker 架構模式

軟體分為標稱處理(Doer)與安全監測(Checker)兩路徑47。當 Doer 猶豫時,Checker 執行「蠕動前行」避免僵局。

感測器融合補償

當視覺系統標記號誌為「Dark」時,應調高 LiDAR 與 Radar 採樣頻率20,透過對位移的監測推斷路權節奏23。地圖數據此時可作為關鍵補償來源52。

軟體工程的首個工作:需求探尋與分析

往往在事件發生後才會令人訝異地發現,原來有些最基本的需求,在大型系統裡最容易被忽略!交通號誌的異常應該是一個智慧駕駛應用裡非常基本的使用情境,而在使用情境的分析中除了主要流程(Primary flow),各種替代流程(Alternative flow)也都應該納入分析並在後續設計要考量。當有異常狀況導致無法繼續服務時,安全地將車輛停至路邊,這樣的指示應該是很合乎交通規則且兼顧行車安全吧?直接將車輛停在原地或是逕自以為安全就繼續行駛都是很典型的不安全駕駛,不論Waymo或是Tesla顯然把人類駕駛有的壞習慣也編寫進程式邏輯了14?抑或是在智慧駕駛的研發上,並沒有一個系統性的專案管理,導致研發的重點都在是否能在各種假設正常的狀況下,讓無人駕駛媲美真人,將車輛從一地開往另一地?希望這次在地面上的事件,能讓目前及未來也即將開放的空中或是海路運輸,能真正把基本的情境先蒐集並分析完整才能提供服務(也就是監管必須更加嚴謹),某則類似的情況發生在所謂的空中計程車恐怕就是個悲劇了!

相關文章：

• 無人駕駛在舊金山停電事件的反應

參考資料

1 Waymo Blog, "Autonomously navigating the real world: lessons from the PG&E outage" (Dec 2025)

2 TechCrunch, "Waymo explains why its robotaxis got stuck during the SF blackout" (Dec 2025)

3 Autoblog, "Waymo's Robotaxis Froze During San Francisco Blackout" (Dec 2025)

4 Reddit Discussion, "Waymo's PR response" (Dec 2025)

5 Taipei Times, "Waymo to update software after jam" (Dec 2025)

6 Gigazine, "Waymo explains why its robotaxis stopped working" (Dec 2025)

7 Livemint, "Waymo rushes software fix after SF power outage" (Dec 2025)

8 Common Dreams, "Stuck and Confused Waymo Robotaxis" (Dec 2025)

9 Reddit r/waymo, "blackout discussion" (Dec 2025)

10 Surfing Complexity, "Saturation: Waymo Edition" (Dec 2025)

11 Daily.dev, "Waymo robotaxis stuck during SF blackout" (Dec 2025)

12 eWeek, "Waymo to Update Robotaxi Software" (Dec 2025)

13 Itnews, "Waymo to update software" (Dec 2025)

14 Cryptorank, "Waymo to strengthen fleet software" (Dec 2025)

15 Messnarz et al., "Highly Autonomous Vehicle System Design Patterns" (2019)

16 IEEE Explore, "DAO-secured V2X coordination framework" (2023)

17 MDPI Mathematics, "AV path planning for dynamic environments" (2025)

18 Embedur Al, "V2X Technology: Edge Al Role" (2025)

19 GSA Global, "Edge Al Computing Advancements" (2025)

20 EDI.Iv, "Functional architecture for autonomous driving" (2020)

21 Mobileye Blog, "The Self-Driving Stack" (2025)

22 FindArticles, "Waymo Ships Update After SF Blackout" (Dec 2025)

23 NHTSA, "Automated Driving Systems 2.0: Safety Vision" (2018)

24 Reddit r/waymo, "Waymo explains clogging SF" (Dec 2025)

25 Arxiv, "Holistic safety concept for multi-point failures" (2020)

26 DigitalDefynd, "Pros and Cons of Edge Al" (2025)

27 Kanerika, "Edge Computing in Autonomous Vehicles" (2025)

28 Engineering.org.cn, "Safety analysis methods for AVs" (2023)

29 Stanford CS231n, "End-to-end trajectory prediction" (2025)

30 Motional News, "Behavior Prediction Importance" (2025)

31 MDPI Applied Sciences, "V2X Coordination in Power Outages" (2024)

32 FHWA, "Intersection Control for Autonomous Vehicles" (2008)

33 Opus4, "Survey on Decentralized Maneuver Coordination" (2025)

34 Arxiv, "V2X Cooperative Perception Survey" (2023)

35 UPC Personals, "Emerging technologies for autonomous driving" (2025)

36 IEEE Explore, "Resource allocation for V2X networks" (2021)

37 WEF, "White light on traffic signals" (Feb 2023)

38 Vicone Blog, "V2X Technology: Cyberattack Risks" (2025)

39 RF Wireless World, "V2X advantages and disadvantages" (2025)

40 Promwad, "V2X Road Safety" (2025)

41 Keysight, "V2X: Enhancing road safety" (Oct 2024)

42 Medium, "Designing autonomous vehicle software stacks" (2025)

43 ResearchGate, "Situational awareness in SOTIF" (2020)

44 Itnews, "Waymo software update patterns" (2025)

45 MDPI, "Resilient Smart City Ecosystem Pillars" (2023)

46 Elektrobit Blog, "Fail-operational safe state architectures" (2025)

47 Weiss et al., "Reliability Analysis of Degrading Automotive Systems" (2023)

48 Technology & Strategy, "Design Patterns in Safety-Critical Systems" (2025)

49 SAE International, "Software Architecture using MATLAB" (2025)

50 Applied Intuition, "Integrating HD and SD Maps" (2025)

51 Keysight Blogs, "Sensor fusion in AV safety" (2024)

52 Arxiv, "Review of map representations for autonomous driving" (2025)

53 ARL Devcom, "ARL Autonomy Stack perception" (2025)

54 HERE, "Resilient AD solutions with real-time maps" (2025)

55 Arxiv, "Ethically ambiguous situations in driving" (2025)

56 TechBuzz Al, "NHTSA expands Waymo probe" (Dec 2025)

57 Waymo Blog, "Emergency Preparedness Coordination" (Dec 2025)

58 IJCAI, "AV behavior in unpowered intersections" (2022)

59 PMC, "On-road behavior analysis" (2022)