朱向雷  等:自动驾驶智能系统测试研究综述                                                           2059


                 的发展速度,深度卷积神经网络能够很好地辨识出自动驾驶汽车前方的环境,但与此同时,由感知模块带来的安
                 全性问题也引起了人们的注意,目前的感知模型在物体识别上仍具有不同程度的错误率,如何通过测试的方法
                 检验感知模块的正确性成为了相关研究的焦点.目前,许多学者已经对如何测试基于神经网络的感知模块进行
                 了深入研究.经过本文的整理,目前针对感知模块的测试主要分为以下几种方式:生成对抗样本、基于内省的自
                 我评估以及通过生成真实图像来测试感知模块.
                 1.1   相关研究现状
                    生成对抗样本是一种测试自动驾驶感知模块较为常见的方法,与传统软件工程方法中基于变异的模糊测
                 试(mutation-based fuzzing)相似,该方法通过对原测试用例(这里以图像为例)进行包括平移、交换和突变等在内
                 的不同程度上的修改,在保留原测试用例基本外表不变的基础上(人类可以正常识别),使得感知模块产生错误
                 的识别结果.对抗样本在性质上又可分为实体对抗样本和数字对抗样本.实体对抗样本以“贴纸”的形式可以通
                 过直接粘贴到实体上的方式对感知模块进行攻击.数字对抗样本则针对数字图像进行修改
                              [5]
                    Eykholt 等人 设计出一种产生实体对抗样本的算法以攻击目标识别系统.它可以成功地欺骗包括 YOLO、
                 Faster-RCNN 在内的目标检测器.该算法可以将对抗输入压缩为“对抗贴纸”,被对抗贴纸附着的目标物体(例如
                 停车指示牌)会被目标检测器错误地识别.该团队用附着对抗贴纸的停车指示牌录制了相关视频,并验证得出该
                 贴纸在大部分视频帧中都会导致 YOLOv2 检测器错误地识别物体.在此基础上,该团队又提出了一种普适的攻
                                                                                           [6]
                 击算法:RP2(robust physical perturbations),以在不同的物理条件下生成对抗扰动.Eykholt 等人 认为,物理对抗
                 样本必须能够经受住不断变化的物理条件,并能有效地欺骗分类器.物理对抗样本必须要与环境条件相适应,且
                                                                                          [8]
                                                                            [7]
                 不能攻击背景图像,要足够微小,并且有一定误差.在实验中,针对 LISA-CNN 和 GTSRB-CNN 模型(LISA 是一
                                                           [9]
                 个包含 47 种标志牌的美国交通标志牌数据集,GTSRB 是德国交通标志牌数据集.LISA-CNN 和 GTSRB-CNN
                 分别是在两种数据集上训练生成的卷积神经网络模型),该团队设置了多种攻击,包括限制物体的海报攻击(针
                 对广告牌的图片扰动,并打印成海报替换广告牌)和贴纸攻击(模拟广告牌被广告和涂鸦遮挡的情况),证明了攻
                 击的有效性.除此之外,Eykholt 等人还设置了静态实验(实验室测试)和动态实验(驾车测试)两种实验方法,以验
                 证 RP2 攻击在多种实验条件下都有较高的成功率.该实验结果表明,生成在变化距离和角度上鲁棒的对抗样本
                 是可行的.
                    深度网络模型与传统软件工程系统存在着非常大的差异,在自动驾驶中,感知模块的输入往往是一段连续
                 的视频,且视频中图像的角度和距离也时刻发生着变化,这导致了对抗性样本不能时刻保持高效的攻击性.Lu
                 等人 [10] 针对此现象提出了新的看法:生成对抗样本对于自动驾驶物体识别分类器或者探测器的影响并不大.Lu
                 等人使用了几种常见的对抗样本生成方式(FastSign Attack、Iterative Attack、LBFGS Attack),针对道路指示牌
                 进行扰动.为了模拟真实场景,该团队打印了扰动后的停车指示牌图片,并悬挂在不同距离和角度的地点处.在
                 实验中,文献[10]计算了在各种距离下的对抗样本失效比率,发现对抗样本失效比非常高,且随着悬挂距离的增
                 加而增加.这也证明,距离和角度很容易打破对抗扰动对分类器和探测器的影响,对抗样本图片在真实场景下很
                 难对分类器和探测器产生影响.从而使得在大部分真实场景下,使用电子手段生成的对抗样本对分类器和探测
                 器的影响甚微.
                    外部攻击的方法受到了角度和距离的制约,一些学者尝试着从感知模块本身入手,希望其能够自动发现自
                 身存在的错误.感知系统的性能下降会影响决策系统,使其无法做出可靠的决策.这就促使研究人员需要构建具
                 有情境感知能力的系统,以评估系统在本时刻做出的决策是否可靠.这种自我评估能力称为“内省”.Daftry 等
                 人 [11] 为感知系统中的内省行为提出了一个通用框架,使系统能够通过测量系统状态的合格程度来识别由于感
                 知系统性能下降而无法做出可靠决策的情况.该框架由 Spatio-temporal CNN 与线性 SVM 组成,根据最后输出的
                 故障预测得分来判断预测的可靠性,以便基于该输入来计划一个动作,或将其丢弃并采取替代行为.Daftry 等人
                 在自主导航任务中进行实验:通过观察无人驾驶的微型飞行器在高、低杂波密度区域内数次自主飞行(1.5m/s)
                 的平均距离来评估避障系统的性能.基于实验得到的故障率曲线等结果表明:内省模型使得无人机能够自主飞
                 行的平均无坠毁距离超过 1 000m,显著提高了风险规避性能.