基于错误注入的决策规划系统抗扰性测试与分析.pdf

《基于错误注入的决策规划系统抗扰性测试与分析.pdf》由会员分享，可在线阅读，更多相关《基于错误注入的决策规划系统抗扰性测试与分析.pdf（10页珍藏版）》请在咨信网上搜索。

1、2023 年（第 45 卷）第 8 期汽车工程Automotive Engineering2023（Vol.45 ）No.8基于错误注入的决策规划系统抗扰性测试与分析*吴新政，邢星宇，刘力豪，沈勇，陈君毅（同济大学汽车学院，上海 201804）摘要 自动驾驶系统的运行环境复杂多样。考虑到传感器本身的性能局限及感知算法在特定触发条件下的功能不足，自动驾驶系统上游感知结果不可避免地会出现错误。因此针对自动驾驶决策规划系统在上游数据错误情况下的抗扰性测试对保证自动驾驶安全性至关重要。为此，本文首先提出基于6层场景本体模型的数据模型和包含4类不确定性错误模式的错误模型，并进一步构建了一个通用的错误注入

2、框架SOFIF以实现对上游数据的修改。最后，本文基于硬件在环仿真测试并提出危害率作为量化评价指标，对比分析了两个被测决策规划系统在存在不确定性错误模式下的抗扰性表现。实验得到两个被测系统的危害率分别为0.89和0.64，表明两被测系统的抗扰性存在较大差距，并进一步证明了SOFIF的有效性。关键词：自动驾驶；预期功能安全；测试与评价；抗扰性测试；错误注入Testing and Analysis of the Robustness of Decision-Making and Planning Systems Based on Fault InjectionWu Xinzheng，Xing Xin

3、gyu，Liu Lihao，Shen Yong&Chen JunyiSchool of Automotive Studies，Tongji University，Shanghai 201804Abstract Automated driving systems operate in complex and diverse environments.Considering the performance limitations of the sensors and the functional insufficiency of the perception algorithms under ce

4、rtain trigger conditions，it is inevitable that the upstream perception results of the autonomous driving system will be incorrect.Therefore，it is essential to test the robustness of decision-making and planning systems under conditions of erroneous upstream data to ensure the safety of automated dri

5、ving.Firstly，in this paper，a data model based on a six-layer scenario ontology model and a fault model containing four types of uncertainty error patterns are proposed.Further，a generic fault injection framework named SOFIF is constructed to enable modification of upstream data.Finally，the robustnes

6、s of two decision-making and planning systems under the error patterns of uncertainty existence is compared and analyzed based on Hardware-in-the-Loop（HiL）simulation testing，with the hazard rate proposed as the quantitative evaluation index.The hazard rate of the two tested systems is 0.89 and 0.64，

7、respectively，indicating a large gap in the robustness of the two tested systems and further proving the effectiveness of SOFIF.Keywords：automated driving；safety of the intended functionality；testing and evaluation；robustness testing；fault injection doi：10.19562/j.chinasae.qcgc.2023.08.013*国家重点研发计划（2

8、022YFB2503001）、国家自然科学基金重点项目（52232015）和重庆市技术创新与应用发展专项重大主题专项项目（cstc2019iscx-zdztzxX0041）资助。原稿收到日期为 2023 年 02 月 01 日，修改稿收到日期为 2023 年 03 月 17 日。通信作者：陈君毅，讲师，工学博士，E-mail：。2023（Vol.45）No.8吴新政，等：基于错误注入的决策规划系统抗扰性测试与分析前言自动驾驶技术被认为能够给未来交通带来巨大变革，但目前自动驾驶事故仍然频发1，如何保障自动驾驶的安全性是一个关键问题。作为一个新兴研究领域，与功能安全关注由电子或软件故障导致的系统危

9、险不同，预期功能安全（safety of the intended functionality，SOTIF）着重研究因为环境扰动、功能不足或人为误操作导致的危险，对自动驾驶系统的整体安全性至关重要。ISO 214482指出，自动驾驶功能、系统或算法缺乏抗扰性是引起预期功能安全问题的潜在危害行为之一。系统抵抗环境扰动，在错误下维持稳定运行的能力称为抗扰性，通常也被称为鲁棒性或健壮性。对自动驾驶系统的抗扰性进行测试是保障自动驾驶安全性的必要措施，通过测试可以提前发现系统的安全薄弱点，指导开发过程；也可以对系统的抗扰性进行验证，推进技术落地。自动驾驶系统是一个典型的复杂系统，一般可分为环境感知、决策

10、规划、运动控制等子系统，如图 1所示。由环境扰动等因素引起的错误可能会发生在子系统间信息传递的各个阶段。其中，决策规划系统的计算结果与感知系统的输入数据直接相关，它对上游数据错误的抗扰能力、对整个自动驾驶系统的安全性有重要影响，有必要对其进行测试和验证。因此，本文将主要聚焦感知信息错误，对决策规划系统的抗扰性展开研究。错误注入是一种经典的抗扰性测试方法，在芯片、软件、航空航天等领域得到广泛应用3。在错误注入测试中，测试人员通过设计受控实验，人为地在被测系统上模拟错误，观察被测系统在错误扰动下的表现，对被测系统的抗扰性进行评估。针对自动驾驶系统，近年来也有不少研究在仿真测试的基础上引入了错误注入

11、方法。针对环境感知系统，Elgharbawy 等4为 ADAS 系统感知融合算法的抗扰性测试提供了一种通用的错误注入架构，可以向感知融合算法连续地添加错误感知的影响；Petit等5通过创建一辆虚拟幽灵车，研究了针对自动驾驶汽车雷达模块的错误注入方法。针对运动控制系统，Uriagereka等6提出了一个基于仿真的错误注入框架，用于对自动驾驶控制系统的可控性进行评估，并在一个横向控制系统上验证了该工具的有效性。针对自动驾驶系统整体，Fu等7基于错误注入技术开发了一个可重定向的自动驾驶系统安全性评估工具，该工具利用被测系统的调试接口注入错误，以较少的侵入性实现了全面的错误注入功能；Saraoglu等

12、8将 错 误 分 为 车 辆 级 和 环 境 级，并 建 立 了MOBATSim仿真框架，通过错误注入模块进行了扩展；Maleki等9提出了一种基于仿真的错误注入器SUFI，它能够将错误注入到 SUMO 模拟的 ADAS 特征中，并分析注入错误对整个交通的影响。以上研究表明，错误注入是对自动驾驶系统的抗扰性进行研究的一种有效方法，基于仿真实现错误模拟是对自动驾驶系统进行错误注入测试的主要途径。然而，在研究层面，目前的研究主要关注功能安全范畴内的组件或系统的内源性错误，因此直接沿用了软件错误注入的常用错误模型，例如位翻转、资源竞争、线程中断、内存溢出等。这些错误模型来源于计算机和软件测试领域的实

13、践经验，对于由外部扰动引起的决策规划系统外源性接口数据错误适用性低。同时，针对外源性错误，现有研究缺少对错误模式系统性、全面性的归纳与分类，因此难以支持对自动驾驶决策规划系统抗扰性的综合测试与验证。在应用层面，现有研究大多依赖于某个特定的仿真平台，限制了所提出的工具或框架的通用性。综上所述，有必要针对决策规划系统接口数据抗扰性的测试需求构建专用的错误模型，并构建适用于不同仿真平台及被测决策规划系统的通用错误注入测试框架。本文的主要贡献可概括为：（1）对数据错误进行了形式化描述，并提出描述错误的五元组格式，实现了数据错误的标准化与统一化表达。（2）基于对传感器局限性的研究，对外源性错误进行归纳分

14、类，提出了存在不确定性、分类不确定性、状态不确定性、时序不确定性共4大类的目标级错误模式。（3）基于生图 1自动驾驶系统架构及错误注入应用位置 1429汽车工程2023 年（第 45 卷）第 8 期成树思想构建了错误模型，实现了数据错误的注入。（4）提出了面向仿真测试的错误注入框架 SOFIF。该框架通过引入具有标准格式的数据模型提高了通用性，即适用于不同仿真软件及被测决策规划系统的能力。同时该框架可进行自动化测试。1错误注入核心模型构建错误注入的本质是对自动驾驶决策规划系统接口数据进行研究，构建统一的标准模型（数据模型）存储决策规划系统所需要的各个数据，并使用形式化后的错误信息（错误模型）对

15、数据进行刻意修改，以达到注入错误的目的。因此，构建数据模型和错误模型是错误注入的核心工作。1.1数据模型构建数据模型存储某一时刻下仿真所需的所有数据的真值信息。为保证通用性，模型内部的数据结构应是一个统一的标准结构，而不依赖于任何一个特定的仿真软件或被测对象。本研究基于自动驾驶6层场景本体模型，结合对决策规划系统工作原理的分析，归纳构建自动驾驶决策规划系统接口数据的数据模型。自 动 驾 驶 6 层 场 景 本 体 模 型 最 初 由 欧 盟PEGASUS项目提出10，目前已被广泛地用于自动驾驶场景本体建模的研究中11-12。其将自动驾驶运行环境元素划分为道路层、交通设施层、临时变动层、交通参与

16、者层、自然环境层和信息层6个层级，因此而得名。使用6层场景本体可以系统性、结构化地描述一个自动驾驶场景。然而，自动驾驶决策规划系统除需要来自环境感知的外部场景信息外，还需要来自内部的自车信息（如自车的运动学状态、控制状态以及车辆内部机械和电子部件的工作状态等）。因此，本文所构建的数据模型具有和6层场景本体类似的层级架构，并在此基础上添加了表示自车内部信息的自车层。数据模型的具体结构如图 2所示。1.2错误模型构建1.2.1数据错误的形式化错误模型是待注入错误的集合。为将自定的错误信息转化为计算机所能识别和执行的统一格式并提高工具的通用性，需要对数据错误进行形式化处理。本文将一个数据错误定义为变

17、量在真值的基础上发生的变更，数据变更的过程可表示为v=f(v，)（1）式中：v表示变量真值；表示错误值；f（）表示注入算子。错误注入后的目标变量v可由f（）根据变量真值和错误值计算得到。出于对自动驾驶系统安全性的考虑，决策规划系统通常被要求工作在较高的实时频率，其接口数据也以较高频率进行刷新，表现为由大量数据帧在时间上组成的连续序列，因此，可将式（1）拓展为以下形式：v=F()v，v=vt0，vt1，vt2，vtnv=vt0，vt1，vt2，vtn=t0，t1，t2，tnF=ft0，ft1，ft2，ftn（2）式中v、v、和F表示式（1）中对应变量的时间序列。式（2）表示，在错误注入过程中的每

18、一帧，真值数据都按照需求被注入算子刻意修改为错误数据。在上述研究的基础上，本文将一个错误e形式化为一个五元组，如式（3）所示：e=T，v，F，g（3）图 2自动驾驶决策规划系统接口数据模型 14302023（Vol.45）No.8吴新政，等：基于错误注入的决策规划系统抗扰性测试与分析式中：v、和F与式（2）对应，分别表示真值序列、错误序列和注入算子序列；T为目标变量的数据类型，例如数值、类别、数组或更加复杂的结构化数据；g为触发器，规定了触发错误注入的时机。给定一个数据错误的五元组表示，就能唯一且完整地确定一个错误。五元组中最为关键的元素是注入算子F，它定义了错误注入的具体方式。本文将注入算子

19、F归纳为值覆盖和值偏移两种形式。其中，值覆盖为使用错误值覆盖真值；值偏移为将真值和错误值求代数和。1.2.2错误模式错误的具体表现形式称为错误模式。本文将错误模式分为基础错误模式和目标级错误模式两类。上述值覆盖和值偏移两个注入算子可以被看作为基础错误模式。基础错误模式可进行组合和扩展，构成更加复杂的错误模式。例如从一个噪声分布中随机采样获得错误值，再通过值偏移模式叠加到数据真值上，便可以得到随机噪声错误模式。从近年来发生的与自动驾驶相关的事故13-14中不难发现，真实世界中影响决策规划系统并最终导致事故的错误往往不会以基础错误模式的形式出现，而是以更高层级的、由基础错误模式组合拓展得到的目标级

20、错误模式出现（比如整个目标的长时间漏检或间歇性无法确定被检测目标类型）。基础错误模式是错误的具体实现手段，目标级错误模式是错误的实际表现方式。因此在测试时，对所注入错误的定义应使用目标级错误模式。为系统性归纳目标级错误模式的所有表现形式，结合本研究团队已有工作15-16，从存在不确定性、类别不确定性、状态不确定性和时序不确定性4个方面对目标级错误模式进行分类，如图 3 所示。其中，存在不确定性错误是指无法确定目标是否存在的错误，具体表现为对存在目标的漏检及对不存在目标的误检。类别不确定性错误是指无法正确对目标进行归类的错误，如将行人分类为自行车、将车辆分类为静态障碍物等。时序不确定性错误是指数

21、据真值在时间序列上发生错序的错误，具体表现为实际值始终延后于真值的时延错误与实际值重复历史值的重发错误。状态不确定性错误是指对场景中各目标的状态信息估计不准确的错误，其中参数偏移是指状态值发生了有规律可循的偏移，如恒定的估计误差，精度下降是指状态值发生了随机偏移，造成了对目标状态估计的精度不足，如随机噪声。上述目标级错误模式均为基础错误模式在时间序列上进行排列拓展而来。图 4展示了6种目标级错误模式在时间序列上的表现形式。其中，类别不确定性错误模式与存在不确定错误模式在时序上的表现形式类似，故不重复展示。需要注意的是，图 4所展示的仅仅是相应错误模式的单一表现形式。在实际测试中，各错误参数如时

22、延中的延迟时间、参数偏移中的偏移值等可能随时间发生改变；错误的持续时间及发生次数也可能会发生改变，如后面第3章就列举了一个持续时间变化且间隔发生的漏检错误；同一目标物上发生的错误模式类别也可能会发生改变或叠加，如一开始发生了时延错误，之后又发生了参数偏移错误。具体的错误形式需要根据测试目的及真实情况对各目标级错误模式及各错误参数组合设计得到。1.2.3错误模型上述方法对数据错误建立了通用的形式化方法，但这样描述的错误仅能表示某个特定类型的数据相比其真值发生了错误的变更，无法明确这个数据具体的含义，也无法明确这个错误的含义。完整图 3错误模式分类 1431汽车工程2023 年（第 45 卷）第

23、8 期的错误模型还应该包含错误的语义，需要建立形式化的错误和发生错误的目标数据之间的联系。Nurminen等17在对机器学习的训练数据进行错误注入研究时，提出一种错误生成树的方法。该方法首先根据训练数据集的结构建立一棵树，接着通过在树的部分叶子节点上添加变换来模拟数据错误。本文借助这种错误生成树的思想来建立错误和数据模型之间的联系，以实现完整的错误模型。本文中数据模型被建模为树结构，称为数据生成树。数据生成树的根节点代表整个数据模型，第一层的节点代表如图 2所示的场景本体层次，往下的节点代表场景中各个元素的各种信息，复杂的信息由基本的信息构成，一直到底层的叶子节点，成为不可继续分割的原子数据类

24、型。数据生成树中的每个节点都具有自己的数据类型，一个错误可以关联到相同数据类型的树节点上，表示这个错误的目标数据就是这个树节点上的数据。通过这种方法，可以同步推导出一棵错误生成树，它跟数据生成树具有完全相同的结构，但每个节点上的数据不表示真值而表示错误值，合并数据生成树和错误生成树即可得到发生错误的场景。图 5展示了使用树模型连接数据模型和错误模型的示例，图示场景包含3个错误：交通参与者A的类别分类错误。交通参与者A的位置y坐标存在高斯误差。交通参与者C出现漏检错误。通过使用错误五元组形式化地定义单个错误，并使用树模型将错误与数据模型中对应的目标数据进行关联，可以完整定义任意测试场景下的错误组

25、合，形成决策规划系统接口数据的错误模型。2基于仿真测试的错误注入框架本研究的目标是通过构建基于仿真测试的错误注入框架（SOFIF），对自动驾驶决策规划系统的输入数据进行故意修改，以此模拟上游感知系统的误差或错误，从而实现对决策规划系统在输入数据存在扰动情况下的抗扰性测试。结合所构建的数据模型和错误模型，本文提出的基于仿真测试的错误注入框架如图 6所示。其中，图中彩色元素为错误注入框架基本组成部分，其余部分展示了错误注入框架与仿真环境和决策系统的交互关系。2.1SOFIF结构如图 6所示，除所构建的数据模型与错误模型，SOFIF还包含错误蓝图、蓝图解析器以及自动化测试控制器3个模块。其中，错误蓝

26、图是一个基于领域特定语言（domain specific language，DSL）的文本文件，用于定义需要注入的错误信号的目标、时机和模式。蓝图解析器用于解析错误蓝图，将错误蓝图中定义的错误转化为标准的五元组格式，并将错误存放于与数据模型同步生成的错误模型中。这样，在仿真中就能于指定的时间在指定的数据通道上注入所定义的错误，保证实际注入的错误和错误蓝图的定义的一致性。自动化测试控制器用于自动化地收集实验过程中的数据，计算场景风险指标值，并决图 4目标级错误模式在时间序列上的表现形式 14322023（Vol.45）No.8吴新政，等：基于错误注入的决策规划系统抗扰性测试与分析定下一次实验的错

27、误参数。2.2错误注入流程本文中所提出的SOFIF的主要工作流程为：在仿真初始时根据从仿真软件中获取的车辆、道路、环境等真值信息构建数据模型，并同步生成拥有相同树结构的错误模型。在每一个仿真帧中不断获取上述真值信息作为上游感知数据更新数据模型。根据用户输入的错误蓝图对错误进行解析，存入错误模型中。根据错误模型中存储的错误类型、错误值及错误触发时机等信息对数据模型中的感知真值信息进行刻意修改，并将修改后的错误数据发送给被测对象（决策系统）。接受被测对象在收到感知信息后所输出的决策信息，发送给仿真软件，推进仿真向前进行一帧，并接受新一帧的感知真值信息。自动化测试控制器收集实验数据、计算风险指标、决

28、定下一次实验的错误参数并自动化修改错误蓝图。上述过程形成一个闭环，循环执行，由自动化测试控制器决定仿真的开始与结束。2.3SOFIF特点2.3.1黑盒测试本文所提出的 SOFIF 将被测决策系统看作黑盒，只关心被测决策系统的数据接口即输入和输出变量，而不关心被测决策系统的内部源码，因此不需要对被测决策系统的内部结构进行研究，从而节约了测试成本。任何明确输入输出的被测决策系统均可以使用SOFIF进行抗扰性测试。图 5使用树模型连接数据模型与错误模型示例图 6面向仿真测试的错误注入框架（SOFIF）1433汽车工程2023 年（第 45 卷）第 8 期2.3.2多平台测试通过构建统一标准格式的数据

29、模型作为中间件，使SOFIF可以在不改变内部结构及源码的情况下，适用于不同的仿真环境及被测决策系统。仿真环境/被测决策系统只须针对数据模型进行一次适配，便可以与任何一个经过适配的被测决策系统/仿真环境实现联合仿真。对于具体的仿真软件，本文以VTD为例进行实验，由于数据模型本质上基于6层场景本体模型构建，因此其他任何拥有类似层级数据结构的仿真软件如Carla、Prescan等均可以通过适配应用于SOFIF中。2.3.3自动化测试自动化测试是仿真测试的一大优势，通过自主控制仿真实验的生命周期，从而可以节约大量用于实验准备的人力和时间成本。同时，通过一定的采样优化算法如TuRBO18、IPSO19、

30、Lambda20 等对关键错误参数组合进行搜索，从而能够更快地得到实验结果，实现加速测试。3仿真实验与决策规划系统抗扰性分析基于SOFIF，以存在不确定性错误为例，对决策规划系统的抗扰性进行测试与分析，以演示SOFIF的应用并验证其有效性。在相同场景下，本文中应用存在不确定性错误下的漏检错误模式对两个不同的决策规划系统展开测试，分析并比较它们的抗扰性；同时根据测试结果分别对它们所对应感知系统的开发提出设计需求。3.1被测对象与实验环境选择智能驾驶员模型（intelligent driver model，IDM）21作为被测系统，其为一个经典的跟驰模型，该模型被广泛地应用于交通流的仿真中。同时，

31、本文使用文献 22 中所提出的决策规划系统作为被测系统，该系统基于分层MPC进行开发，包含循迹、主动换道、路口通行、静态避障、泊车以及结构化道路超车与避让等功能。在测试时将上述两被测系统视为黑盒，只须根据系统的输入输出变量与数据模型进行适配即可。实验在一个硬件在环仿真测试平台上进行，如图 7 所示。本文使用仿真软件 VTD（virtual test drive）作为仿真平台提供理想的感知真值。两被测决策规划系统部署在一台AIR-300工控机上。错误注入相关程序部署在仿真服务器中，根据所定义的错误将感知真值进行修改后发送给决策规划系统。决策规划系统接受感知信息后输出决策信息发送回仿真服务器中，仿

32、真服务器接受决策信息，生成控制信号，作用于VTD中的受控车辆，完成仿真闭环。3.2决策规划系统抗扰性研究以漏检错误模式为例目标检测是自动驾驶中一项重要的子任务，自动驾驶汽车的安全行驶依赖于对周围环境其他物体的正确认知。因此，决策规划系统对存在不确定性下目标漏检错误的抗扰性，即指被测决策规划系统可以容许多大程度的目标漏检，对于自动驾驶系统整体的安全性具有重要意义。3.2.1测试场景设置测试场景如图 8所示。如前所述，自车EGO由被测的决策系统控制，以初速度ve0=60 km/h行驶；前车T位于自车同车道前方距离S=33 m处，初始速度为vt0=60 km/h，仿真开始后第 1 s，前车T以0.5

33、g的减速度匀减速至静止。正常情况下（无错误注入），两被测系统均能控制自车采取合适的减速度制动至静止，并与前车保持安全距离。3.2.2错误注入设置在存在不确定性错误模式下，本实验对漏检错图 7硬件在环仿真测试平台图 8系统抗扰性测试场景 14342023（Vol.45）No.8吴新政，等：基于错误注入的决策规划系统抗扰性测试与分析误模式在时序上进行组合，模拟自车间歇性未检测到前车的错误。错误的时间轴如图 9所示，漏检与正常检测交替出现，直至场景结束。其中，漏检时长与正常检测时长受两个参数控制：单次漏检时长Vanish Time与漏检时长的占空比Duty Ratio，通过预实验，选取两个错误参数取

34、值范围分别为 0，6 s与0，1，保证在该范围内两个被测系统均会发生危险。错误的参数空间由这两个参数张成。错误的触发时间规定为仿真开始后的第1 s。3.2.3实验结果分析实验中自车跟随前车沿道路方向行驶，因此碰撞风险来源于自车纵向，故采用每次测试过程中自车与前车的最小碰撞时间（time to collision，TTC）作为安全性评价指标。规定最小TTC小于0.5 s的测试用例为关键测试用例，这些用例对应的错误导致了自动驾驶系统在该场景下产生碰撞风险。两个被测系统的实验结果如图 10所示，它是通过对两个错误参数张成的搜索空间进行网格遍历测试得到的，网格分辨率为5151，对于每个网格点都进行一次

35、仿真测试，每次测试以整个场景过程中最小的TTC作为输出结果来表征场景的危险程度。同时，为能更加直观地观测关键错误参数的分布情况以及得到被测决策规划系统的抗扰性安全边界，将所得结果进行了拟合插值，最终得到图示结果。给定最小TTC的阈值，即可在真值表中识别出系统在错误参数空间中的抗扰性边界，例如图中的红色轮廓表示TTC阈值为0.5 s时系统的抗扰性边界，漏检时间和占空比的参数组合不能落在边界划分出的危险区域内，否则将导致系统陷入危险。对测试结果进行分析，如图 10所示。从整体趋势上看，随着单次漏检时长的增加及漏检占空比的提升，两个被测系统均无法抵抗错误感知数据造成的干扰，最终进入危险状态。具体来看

36、，对于被测系统，当单次漏检时间大于1.60 s或漏检占空比大于0.24时，自车就会进入危险状态；而对于被测系统，当单次漏检时间大于2.48 s或漏检占空比大于0.64时，自车就会进入危险状态。为明确被测决策规划系统的抗扰性差距，本文提出危害率作为评价指标，作为量化被测系统的抗扰性的统一标准。危害率表征了由触发条件引起的感知系统性能降低，进而导致决策规划系统受到扰动的程度，其计算公式为H=SdS（4）式中：H表示危害率；Sd表示导致系统进入危险状态的错误参数组合数量；S表示总错误参数组合数量。由式（4）不难看出，危害率的取值范围为0，1，该值图 9漏检错误模式的时间轴图 10错误注入实验结果 1

37、435汽车工程2023 年（第 45 卷）第 8 期越靠近1，则代表导致系统进入危险状态的错误参数组合越多，则系统抗扰性越差；反之系统抗扰性越优。使用危害率作为评价指标可以不受系统抗扰性边界形状的影响，综合地反映系统的抗扰性优劣。将实验结果代入式（4）得到两被测系统的危害率计算结果分别为0.89和0.64。因此可得出结论：被测系统在存在不确定性错误模式下的抗扰性要优于被测系统，且两系统抗扰性表现差距较大。分析这是由于被测系统的决策行为完全由数学表达式决定，因此当感知系统漏检前车时决策系统便马上进行加速以达到期望速度，因此抗扰性差。而被测系统通过使用分层MPC形成了相对复杂的决策逻辑，在前车漏检

38、的情况下表现出了更优的抗扰性。同时，根据抗扰性测试的结果，可对两个被测系统所对应的感知系统的开发提出设计需求。针对实验场景，在不对被测决策规划系统的结构或参数进行更改的情况下，对于被测系统，上游感知系统对前车目标的单次漏检时间不能超过1.60 s，且相对于正常检测时间的占空比不能超过0.16，在此前提下可以较好地保证系统在案例场景下的安全；同样对于被测系统，两个感知错误参数的阈值分别为2.16 s和0.5，上游感知系统错误参数组合在上述两阈值内即可较好地保证系统在案例场景下的安全。当然，仅凭单一场景和错误模式很难对感知系统的开发提供全面且合理的指导，未来可选取一系列典型场景和错误模式形成标准测

39、试流程，并根据测试结果生成综合测试报告。4总结与展望针对自动驾驶决策规划系统抗扰性测试研究，本文首先基于6层场景本体模型，提出了统一规范化的数据模型用于存储场景中的对象信息并执行错误注入。之后，对数据错误进行形式化表达，并将所有目标级错误模式归纳为存在不确定性、分类不确定性、状态不确定性及时序不确定性4大类，从而可以系统性地注入错误，进而支持对被测系统的抗扰性安全边界进行分析。基于此，本文提出了一个通用的错误注入框架SOFIF，该框架对不同的被测系统和仿真环境具有泛用性，且能自动化地进行测试。最后，基于硬件在环仿真测试，对两个被测决策规划系统在存在不确定性错误模式下的抗扰性表现进行对比分析，提

40、出并使用危害率作为量化系统抗扰性优劣的指标；并根据抗扰性测试的结果，对感知系统的开发提出了设计需求。针对错误注入后场景安全性评价指标的选取，使用经典的TTC作为风险指标，其他风险指标如行车风险场23、离散归一可行域（DNDA）24等也可以被用于本文提出的SOFIF中，从而可以更加全面和合理地对场景的风险程度进行评估。同时，本文列举了两维存在不确定性错误参数下SOFIF的使用，对于其他错误模式、错误参数及错误维数的选取，可以结合测试目的（如定量分析、事故复现、综合评价等）并根据真实事故或实验数据进行，从而使对被测决策规划系统抗扰性安全边界的研究及对感知系统设计开发的指导更具实际意义。最后，提出的

41、危害率仅适用于相同场景和错误参数下的定量抗扰性比较，未来还须设计一系列典型场景和错误模式形成标准测试流程以支持针对被测系统的综合抗扰性评价。参考文献 1 PETROVI，MIJAILOVI R，PEI D.Traffic accidents with autonomous vehicles：type of collisions，manoeuvres and errors of conventional vehicles driversJ.Transportation Research Procedia，2020，45：161-168.2 International Organization f

42、or Standardization.Road vehiclessafety of the intended functionality：ISO/PAS 21448：2019S.Geneva：ISO，2019 3 孙峻朝，王建莹，杨孝宗.故障注入方法与工具的研究现状 J.宇航学报，2001，22（1）：99-104.SUN J，WANG J，YANG X.The present situation for research of fault injection methodology and tools J.Journal of Astronautics，2001，22（1）：99-104.4

43、 ELGHARBAWY M，SCHWARZHAUPT A，SCHEIKE G，et al.A generic architecture of ADAS sensor fault injection for virtual tests C.2016 IEEE/ACS 13th International Conference of Computer Systems and Applications（AICCSA）.IEEE，2016：1-7.5 PETIT J，SHLADOVER S E.Potential cyberattacks on automated vehicles J.IEEE Tr

44、ansactions on Intelligent Transportation Systems，2014，16（2）：546-556.6 URIAGEREKA G J，LATTARULO R，RASTELLI J P，et al.Fault injection method for safety and controllability evaluation of automated drivingC.2017 IEEE Intelligent Vehicles Symposium（IV）.IEEE，2017：1867-1872.7 FU Y，TERECHKO A，BIJLSMA T，et a

45、l.A retargetable fault injection framework for safety validation of autonomous vehiclesC.2019 IEEE International Conference on Software Architecture Companion（ICSA-C）.IEEE，2019：69-76.8 SARAOGLU M，MOROZOV A，JANSCHEK K.MOBATSim：MOdel-based autonomous traffic simulation framework for Fault-14362023（Vol

46、.45）No.8吴新政，等：基于错误注入的决策规划系统抗扰性测试与分析Error-Failure chain analysis J.IFAC-PapersOnLine，2019，52（8）：239-244.9 MALEKI M，SANGCHOOLIE B.SUFI：a simulation-based fault injection tool for safety evaluation of advanced driver assistance systems modelled in SUMO C.2021 17th European Dependable Computing Conferen

47、ce（EDCC）.IEEE，2021：45-52.10 PEGASUS.PEGASUS method-systematic identification of scenariosEB/OL.https：/www.pegasusprojekt.de/en/pegasus-method，2022-12-02.11 KRAJEWSKI R，BOCK J，KLOEKER L，et al.The highd dataset：a drone dataset of naturalistic vehicle trajectories on german highways for validation of h

48、ighly automated driving systemsC.2018 21st International Conference on Intelligent Transportation Systems（ITSC）.IEEE，2018：2118-2125.12 QUEIROZ R，BERGER T，CZARNECKI K.GeoScenario：an open DSL for autonomous driving scenario representation C.2019 IEEE Intelligent Vehicles Symposium（IV）.IEEE，2019：287-29

49、4.13 National Transportation Safety Board.Collision between a car operating with automated vehicle control systems and a tractor-semitrailor truck near Williston，Florida，7 May 2016EB/OL.https：/www.ntsb.gov/investigations/Pages/HWY16FH018.aspx，2022-12-02.14 National Transportation Safety Board.Collis

50、ion between vehicle controlled by developmental automated driving system and pedestrian EB/OL.https：/www.ntsb.gov/investigations/Pages/HWY18MH010.aspx，2022-12-02.15 JIANG W，XING X，HUANG A，et al.Research on performance limitations of visual-based perception system for autonomous vehicle under severe