基于錯誤注入的決策規劃系統抗擾性測試與分析*

吳新政，邢星宇，劉力豪，沈 勇，陳君毅

（同濟大學汽車學院，上海 201804）

前言

自動駕駛技術被認為能夠給未來交通帶來巨大變革，但目前自動駕駛事故仍然頻發［1］，如何保障自動駕駛的安全性是一個關鍵問題。作為一個新興研究領域，與功能安全關注由電子或軟件故障導致的系統危險不同，預期功能安全（safety of the intended functionality，SOTIF）著重研究因為環境擾動、功能不足或人為誤操作導致的危險，對自動駕駛系統的整體安全性至關重要。ISO 21448［2］指出，自動駕駛功能、系統或算法缺乏抗擾性是引起預期功能安全問題的潛在危害行為之一。系統抵抗環境擾動，在錯誤下維持穩定運行的能力稱為抗擾性，通常也被稱為魯棒性或健壯性。對自動駕駛系統的抗擾性進行測試是保障自動駕駛安全性的必要措施，通過測試可以提前發現系統的安全薄弱點，指導開發過程；也可以對系統的抗擾性進行驗證，推進技術落地。

自動駕駛系統是一個典型的復雜系統，一般可分為環境感知、決策規劃、運動控制等子系統，如圖1 所示。由環境擾動等因素引起的錯誤可能會發生在子系統間信息傳遞的各個階段。其中，決策規劃系統的計算結果與感知系統的輸入數據直接相關，它對上游數據錯誤的抗擾能力、對整個自動駕駛系統的安全性有重要影響，有必要對其進行測試和驗證。因此，本文將主要聚焦感知信息錯誤，對決策規劃系統的抗擾性展開研究。

錯誤注入是一種經典的抗擾性測試方法，在芯片、軟件、航空航天等領域得到廣泛應用［3］。在錯誤注入測試中，測試人員通過設計受控實驗，人為地在被測系統上模擬錯誤，觀察被測系統在錯誤擾動下的表現，對被測系統的抗擾性進行評估。針對自動駕駛系統，近年來也有不少研究在仿真測試的基礎上引入了錯誤注入方法。針對環境感知系統，Elgharbawy 等［4］為ADAS 系統感知融合算法的抗擾性測試提供了一種通用的錯誤注入架構，可以向感知融合算法連續地添加錯誤感知的影響；Petit 等［5］通過創建一輛虛擬幽靈車，研究了針對自動駕駛汽車雷達模塊的錯誤注入方法。針對運動控制系統，Uriagereka 等［6］提出了一個基于仿真的錯誤注入框架，用于對自動駕駛控制系統的可控性進行評估，并在一個橫向控制系統上驗證了該工具的有效性。針對自動駕駛系統整體，Fu 等［7］基于錯誤注入技術開發了一個可重定向的自動駕駛系統安全性評估工具，該工具利用被測系統的調試接口注入錯誤，以較少的侵入性實現了全面的錯誤注入功能；Saraoglu等［8］將錯誤分為車輛級和環境級，并建立了MOBATSim 仿真框架，通過錯誤注入模塊進行了擴展；Maleki 等［9］提出了一種基于仿真的錯誤注入器SUFI，它能夠將錯誤注入到SUMO 模擬的ADAS 特征中，并分析注入錯誤對整個交通的影響。

以上研究表明，錯誤注入是對自動駕駛系統的抗擾性進行研究的一種有效方法，基于仿真實現錯誤模擬是對自動駕駛系統進行錯誤注入測試的主要途徑。然而，在研究層面，目前的研究主要關注功能安全范疇內的組件或系統的內源性錯誤，因此直接沿用了軟件錯誤注入的常用錯誤模型，例如位翻轉、資源競爭、線程中斷、內存溢出等。這些錯誤模型來源于計算機和軟件測試領域的實踐經驗，對于由外部擾動引起的決策規劃系統外源性接口數據錯誤適用性低。同時，針對外源性錯誤，現有研究缺少對錯誤模式系統性、全面性的歸納與分類，因此難以支持對自動駕駛決策規劃系統抗擾性的綜合測試與驗證。在應用層面，現有研究大多依賴于某個特定的仿真平臺，限制了所提出的工具或框架的通用性。綜上所述，有必要針對決策規劃系統接口數據抗擾性的測試需求構建專用的錯誤模型，并構建適用于不同仿真平臺及被測決策規劃系統的通用錯誤注入測試框架。

本文的主要貢獻可概括為：（1）對數據錯誤進行了形式化描述，并提出描述錯誤的五元組格式，實現了數據錯誤的標準化與統一化表達。（2）基于對傳感器局限性的研究，對外源性錯誤進行歸納分類，提出了存在不確定性、分類不確定性、狀態不確定性、時序不確定性共4 大類的目標級錯誤模式。（3）基于生成樹思想構建了錯誤模型，實現了數據錯誤的注入。（4）提出了面向仿真測試的錯誤注入框架SOFIF。該框架通過引入具有標準格式的數據模型提高了通用性，即適用于不同仿真軟件及被測決策規劃系統的能力。同時該框架可進行自動化測試。

1 錯誤注入核心模型構建

錯誤注入的本質是對自動駕駛決策規劃系統接口數據進行研究，構建統一的標準模型（數據模型）存儲決策規劃系統所需要的各個數據，并使用形式化后的錯誤信息（錯誤模型）對數據進行刻意修改，以達到注入錯誤的目的。因此，構建數據模型和錯誤模型是錯誤注入的核心工作。

1.1 數據模型構建

數據模型存儲某一時刻下仿真所需的所有數據的真值信息。為保證通用性，模型內部的數據結構應是一個統一的標準結構，而不依賴于任何一個特定的仿真軟件或被測對象。本研究基于自動駕駛6層場景本體模型，結合對決策規劃系統工作原理的分析，歸納構建自動駕駛決策規劃系統接口數據的數據模型。

自動駕駛6 層場景本體模型最初由歐盟PEGASUS 項目提出［10］，目前已被廣泛地用于自動駕駛場景本體建模的研究中［11-12］。其將自動駕駛運行環境元素劃分為道路層、交通設施層、臨時變動層、交通參與者層、自然環境層和信息層6 個層級，因此而得名。使用6 層場景本體可以系統性、結構化地描述一個自動駕駛場景。然而，自動駕駛決策規劃系統除需要來自環境感知的外部場景信息外，還需要來自內部的自車信息（如自車的運動學狀態、控制狀態以及車輛內部機械和電子部件的工作狀態等）。因此，本文所構建的數據模型具有和6 層場景本體類似的層級架構，并在此基礎上添加了表示自車內部信息的自車層。數據模型的具體結構如圖2所示。

1.2 錯誤模型構建

1.2.1 數據錯誤的形式化

錯誤模型是待注入錯誤的集合。為將自定的錯誤信息轉化為計算機所能識別和執行的統一格式并提高工具的通用性，需要對數據錯誤進行形式化處理。本文將一個數據錯誤定義為變量在真值的基礎上發生的變更，數據變更的過程可表示為

式中：v表示變量真值；δ表示錯誤值；f（·）表示注入算子。錯誤注入后的目標變量v′可由f（·）根據變量真值和錯誤值計算得到。出于對自動駕駛系統安全性的考慮，決策規劃系統通常被要求工作在較高的實時頻率，其接口數據也以較高頻率進行刷新，表現為由大量數據幀在時間上組成的連續序列，因此，可將式（1）拓展為以下形式：

式中v、v′、δ和F 表示式（1）中對應變量的時間序列。式（2）表示，在錯誤注入過程中的每一幀，真值數據都按照需求被注入算子刻意修改為錯誤數據。

在上述研究的基礎上，本文將一個錯誤e形式化為一個五元組，如式（3）所示：

式中：v、δ和F 與式（2）對應，分別表示真值序列、錯誤序列和注入算子序列；T為目標變量的數據類型，例如數值、類別、數組或更加復雜的結構化數據；g為觸發器，規定了觸發錯誤注入的時機。給定一個數據錯誤的五元組表示，就能唯一且完整地確定一個錯誤。五元組中最為關鍵的元素是注入算子F，它定義了錯誤注入的具體方式。本文將注入算子F歸納為值覆蓋和值偏移兩種形式。其中，值覆蓋為使用錯誤值覆蓋真值；值偏移為將真值和錯誤值求代數和。

1.2.2 錯誤模式

錯誤的具體表現形式稱為錯誤模式。本文將錯誤模式分為基礎錯誤模式和目標級錯誤模式兩類。上述值覆蓋和值偏移兩個注入算子可以被看作為基礎錯誤模式。基礎錯誤模式可進行組合和擴展，構成更加復雜的錯誤模式。例如從一個噪聲分布中隨機采樣獲得錯誤值，再通過值偏移模式疊加到數據真值上，便可以得到隨機噪聲錯誤模式。從近年來發生的與自動駕駛相關的事故［13-14］中不難發現，真實世界中影響決策規劃系統并最終導致事故的錯誤往往不會以基礎錯誤模式的形式出現，而是以更高層級的、由基礎錯誤模式組合拓展得到的目標級錯誤模式出現（比如整個目標的長時間漏檢或間歇性無法確定被檢測目標類型）。基礎錯誤模式是錯誤的具體實現手段，目標級錯誤模式是錯誤的實際表現方式。因此在測試時，對所注入錯誤的定義應使用目標級錯誤模式。

為系統性歸納目標級錯誤模式的所有表現形式，結合本研究團隊已有工作［15-16］，從存在不確定性、類別不確定性、狀態不確定性和時序不確定性4個方面對目標級錯誤模式進行分類，如圖3 所示。其中，存在不確定性錯誤是指無法確定目標是否存在的錯誤，具體表現為對存在目標的漏檢及對不存在目標的誤檢。類別不確定性錯誤是指無法正確對目標進行歸類的錯誤，如將行人分類為自行車、將車輛分類為靜態障礙物等。時序不確定性錯誤是指數據真值在時間序列上發生錯序的錯誤，具體表現為實際值始終延后于真值的時延錯誤與實際值重復歷史值的重發錯誤。狀態不確定性錯誤是指對場景中各目標的狀態信息估計不準確的錯誤，其中參數偏移是指狀態值發生了有規律可循的偏移，如恒定的估計誤差，精度下降是指狀態值發生了隨機偏移，造成了對目標狀態估計的精度不足，如隨機噪聲。上述目標級錯誤模式均為基礎錯誤模式在時間序列上進行排列拓展而來。

圖3 錯誤模式分類

圖4 展示了6 種目標級錯誤模式在時間序列上的表現形式。其中，類別不確定性錯誤模式與存在不確定錯誤模式在時序上的表現形式類似，故不重復展示。需要注意的是，圖4 所展示的僅僅是相應錯誤模式的單一表現形式。在實際測試中，各錯誤參數如時延中的延遲時間、參數偏移中的偏移值等可能隨時間發生改變；錯誤的持續時間及發生次數也可能會發生改變，如后面第3 章就列舉了一個持續時間變化且間隔發生的漏檢錯誤；同一目標物上發生的錯誤模式類別也可能會發生改變或疊加，如一開始發生了時延錯誤，之后又發生了參數偏移錯誤。具體的錯誤形式需要根據測試目的及真實情況對各目標級錯誤模式及各錯誤參數組合設計得到。

圖4 目標級錯誤模式在時間序列上的表現形式

1.2.3 錯誤模型

上述方法對數據錯誤建立了通用的形式化方法，但這樣描述的錯誤僅能表示某個特定類型的數據相比其真值發生了錯誤的變更，無法明確這個數據具體的含義，也無法明確這個錯誤的含義。完整的錯誤模型還應該包含錯誤的語義，需要建立形式化的錯誤和發生錯誤的目標數據之間的聯系。Nurminen等［17］在對機器學習的訓練數據進行錯誤注入研究時，提出一種錯誤生成樹的方法。該方法首先根據訓練數據集的結構建立一棵樹，接著通過在樹的部分葉子節點上添加變換來模擬數據錯誤。本文借助這種錯誤生成樹的思想來建立錯誤和數據模型之間的聯系，以實現完整的錯誤模型。

本文中數據模型被建模為樹結構，稱為數據生成樹。數據生成樹的根節點代表整個數據模型，第一層的節點代表如圖2 所示的場景本體層次，往下的節點代表場景中各個元素的各種信息，復雜的信息由基本的信息構成，一直到底層的葉子節點，成為不可繼續分割的原子數據類型。數據生成樹中的每個節點都具有自己的數據類型，一個錯誤可以關聯到相同數據類型的樹節點上，表示這個錯誤的目標數據就是這個樹節點上的數據。通過這種方法，可以同步推導出一棵錯誤生成樹，它跟數據生成樹具有完全相同的結構，但每個節點上的數據不表示真值而表示錯誤值，合并數據生成樹和錯誤生成樹即可得到發生錯誤的場景。圖5展示了使用樹模型連接數據模型和錯誤模型的示例，圖示場景包含3 個錯誤：①交通參與者A 的類別分類錯誤。②交通參與者A 的位置y坐標存在高斯誤差。③交通參與者C出現漏檢錯誤。

圖5 使用樹模型連接數據模型與錯誤模型示例

通過使用錯誤五元組形式化地定義單個錯誤，并使用樹模型將錯誤與數據模型中對應的目標數據進行關聯，可以完整定義任意測試場景下的錯誤組合，形成決策規劃系統接口數據的錯誤模型。

2 基于仿真測試的錯誤注入框架

本研究的目標是通過構建基于仿真測試的錯誤注入框架（SOFIF），對自動駕駛決策規劃系統的輸入數據進行故意修改，以此模擬上游感知系統的誤差或錯誤，從而實現對決策規劃系統在輸入數據存在擾動情況下的抗擾性測試。結合所構建的數據模型和錯誤模型，本文提出的基于仿真測試的錯誤注入框架如圖6 所示。其中，圖中彩色元素為錯誤注入框架基本組成部分，其余部分展示了錯誤注入框架與仿真環境和決策系統的交互關系。

圖6 面向仿真測試的錯誤注入框架（SOFIF）

2.1 SOFIF結構

如圖6所示，除所構建的數據模型與錯誤模型，SOFIF 還包含錯誤藍圖、藍圖解析器以及自動化測試控制器3 個模塊。其中，錯誤藍圖是一個基于領域特定語言（domain specific language，DSL）的文本文件，用于定義需要注入的錯誤信號的目標、時機和模式。藍圖解析器用于解析錯誤藍圖，將錯誤藍圖中定義的錯誤轉化為標準的五元組格式，并將錯誤存放于與數據模型同步生成的錯誤模型中。這樣，在仿真中就能于指定的時間在指定的數據通道上注入所定義的錯誤，保證實際注入的錯誤和錯誤藍圖的定義的一致性。自動化測試控制器用于自動化地收集實驗過程中的數據，計算場景風險指標值，并決定下一次實驗的錯誤參數。

2.2 錯誤注入流程

本文中所提出的SOFIF 的主要工作流程為：①在仿真初始時根據從仿真軟件中獲取的車輛、道路、環境等真值信息構建數據模型，并同步生成擁有相同樹結構的錯誤模型。②在每一個仿真幀中不斷獲取上述真值信息作為上游感知數據更新數據模型。③根據用戶輸入的錯誤藍圖對錯誤進行解析，存入錯誤模型中。④根據錯誤模型中存儲的錯誤類型、錯誤值及錯誤觸發時機等信息對數據模型中的感知真值信息進行刻意修改，并將修改后的錯誤數據發送給被測對象（決策系統）。⑤接受被測對象在收到感知信息后所輸出的決策信息，發送給仿真軟件，推進仿真向前進行一幀，并接受新一幀的感知真值信息。⑥自動化測試控制器收集實驗數據、計算風險指標、決定下一次實驗的錯誤參數并自動化修改錯誤藍圖。上述過程形成一個閉環，循環執行，由自動化測試控制器決定仿真的開始與結束。

2.3 SOFIF特點

2.3.1 黑盒測試

本文所提出的SOFIF 將被測決策系統看作黑盒，只關心被測決策系統的數據接口即輸入和輸出變量，而不關心被測決策系統的內部源碼，因此不需要對被測決策系統的內部結構進行研究，從而節約了測試成本。任何明確輸入輸出的被測決策系統均可以使用SOFIF進行抗擾性測試。

2.3.2 多平臺測試

通過構建統一標準格式的數據模型作為中間件，使SOFIF 可以在不改變內部結構及源碼的情況下，適用于不同的仿真環境及被測決策系統。仿真環境/被測決策系統只須針對數據模型進行一次適配，便可以與任何一個經過適配的被測決策系統/仿真環境實現聯合仿真。對于具體的仿真軟件，本文以VTD 為例進行實驗，由于數據模型本質上基于6層場景本體模型構建，因此其他任何擁有類似層級數據結構的仿真軟件如Carla、Prescan等均可以通過適配應用于SOFIF中。

2.3.3 自動化測試

自動化測試是仿真測試的一大優勢，通過自主控制仿真實驗的生命周期，從而可以節約大量用于實驗準備的人力和時間成本。同時，通過一定的采樣優化算法如TuRBO［18］、IPSO［19］、Lambda［20］等對關鍵錯誤參數組合進行搜索，從而能夠更快地得到實驗結果，實現加速測試。

3 仿真實驗與決策規劃系統抗擾性分析

基于SOFIF，以存在不確定性錯誤為例，對決策規劃系統的抗擾性進行測試與分析，以演示SOFIF的應用并驗證其有效性。在相同場景下，本文中應用存在不確定性錯誤下的漏檢錯誤模式對兩個不同的決策規劃系統展開測試，分析并比較它們的抗擾性；同時根據測試結果分別對它們所對應感知系統的開發提出設計需求。

3.1 被測對象與實驗環境

選擇智能駕駛員模型（intelligent driver model，IDM）［21］作為被測系統①，其為一個經典的跟馳模型，該模型被廣泛地應用于交通流的仿真中。同時，本文使用文獻［22］中所提出的決策規劃系統作為被測系統②，該系統基于分層MPC 進行開發，包含循跡、主動換道、路口通行、靜態避障、泊車以及結構化道路超車與避讓等功能。在測試時將上述兩被測系統視為黑盒，只須根據系統的輸入輸出變量與數據模型進行適配即可。

實驗在一個硬件在環仿真測試平臺上進行，如圖7 所示。本文使用仿真軟件VTD（virtual test drive）作為仿真平臺提供理想的感知真值。兩被測決策規劃系統部署在一臺AIR-300工控機上。錯誤注入相關程序部署在仿真服務器中，根據所定義的錯誤將感知真值進行修改后發送給決策規劃系統。決策規劃系統接受感知信息后輸出決策信息發送回仿真服務器中，仿真服務器接受決策信息，生成控制信號，作用于VTD中的受控車輛，完成仿真閉環。

圖7 硬件在環仿真測試平臺

3.2 決策規劃系統抗擾性研究——以漏檢錯誤模式為例

目標檢測是自動駕駛中一項重要的子任務，自動駕駛汽車的安全行駛依賴于對周圍環境其他物體的正確認知。因此，決策規劃系統對存在不確定性下目標漏檢錯誤的抗擾性，即指被測決策規劃系統可以容許多大程度的目標漏檢，對于自動駕駛系統整體的安全性具有重要意義。

3.2.1 測試場景設置

測試場景如圖8 所示。如前所述，自車EGO 由被測的決策系統控制，以初速度ve0=60 km/h 行駛；前車T 位于自車同車道前方距離S=33 m 處，初始速度為vt0=60 km/h，仿真開始后第1 s，前車T 以0.5g的減速度勻減速至靜止。正常情況下（無錯誤注入），兩被測系統均能控制自車采取合適的減速度制動至靜止，并與前車保持安全距離。

圖8 系統抗擾性測試場景

3.2.2 錯誤注入設置

在存在不確定性錯誤模式下，本實驗對漏檢錯誤模式在時序上進行組合，模擬自車間歇性未檢測到前車的錯誤。錯誤的時間軸如圖9 所示，漏檢與正常檢測交替出現，直至場景結束。其中，漏檢時長與正常檢測時長受兩個參數控制：單次漏檢時長Vanish Time與漏檢時長的占空比Duty Ratio，通過預實驗，選取兩個錯誤參數取值范圍分別為［0，6］s與［0，1］，保證在該范圍內兩個被測系統均會發生危險。錯誤的參數空間由這兩個參數張成。錯誤的觸發時間規定為仿真開始后的第1 s。

圖9 漏檢錯誤模式的時間軸

3.2.3 實驗結果分析

實驗中自車跟隨前車沿道路方向行駛，因此碰撞風險來源于自車縱向，故采用每次測試過程中自車與前車的最小碰撞時間（time to collision，TTC）作為安全性評價指標。規定最小TTC 小于0.5 s 的測試用例為關鍵測試用例，這些用例對應的錯誤導致了自動駕駛系統在該場景下產生碰撞風險。

兩個被測系統的實驗結果如圖10所示，它是通過對兩個錯誤參數張成的搜索空間進行網格遍歷測試得到的，網格分辨率為51×51，對于每個網格點都進行一次仿真測試，每次測試以整個場景過程中最小的TTC作為輸出結果來表征場景的危險程度。同時，為能更加直觀地觀測關鍵錯誤參數的分布情況以及得到被測決策規劃系統的抗擾性安全邊界，將所得結果進行了擬合插值，最終得到圖示結果。給定最小TTC 的閾值，即可在真值表中識別出系統在錯誤參數空間中的抗擾性邊界，例如圖中的紅色輪廓表示TTC 閾值為0.5 s時系統的抗擾性邊界，漏檢時間和占空比的參數組合不能落在邊界劃分出的危險區域內，否則將導致系統陷入危險。

圖10 錯誤注入實驗結果

對測試結果進行分析，如圖10所示。從整體趨勢上看，隨著單次漏檢時長的增加及漏檢占空比的提升，兩個被測系統均無法抵抗錯誤感知數據造成的干擾，最終進入危險狀態。具體來看，對于被測系統①，當單次漏檢時間大于1.60 s 或漏檢占空比大于0.24 時，自車就會進入危險狀態；而對于被測系統②，當單次漏檢時間大于2.48 s 或漏檢占空比大于0.64時，自車就會進入危險狀態。

為明確被測決策規劃系統的抗擾性差距，本文提出危害率作為評價指標，作為量化被測系統的抗擾性的統一標準。危害率表征了由觸發條件引起的感知系統性能降低，進而導致決策規劃系統受到擾動的程度，其計算公式為

式中：H表示危害率；Sd表示導致系統進入危險狀態的錯誤參數組合數量；S表示總錯誤參數組合數量。由式（4）不難看出，危害率的取值范圍為[0，1]，該值越靠近1，則代表導致系統進入危險狀態的錯誤參數組合越多，則系統抗擾性越差；反之系統抗擾性越優。使用危害率作為評價指標可以不受系統抗擾性邊界形狀的影響，綜合地反映系統的抗擾性優劣。

將實驗結果代入式（4）得到兩被測系統的危害率計算結果分別為0.89和0.64。因此可得出結論：被測系統②在存在不確定性錯誤模式下的抗擾性要優于被測系統①，且兩系統抗擾性表現差距較大。分析這是由于被測系統①的決策行為完全由數學表達式決定，因此當感知系統漏檢前車時決策系統便馬上進行加速以達到期望速度，因此抗擾性差。而被測系統②通過使用分層MPC形成了相對復雜的決策邏輯，在前車漏檢的情況下表現出了更優的抗擾性。

同時，根據抗擾性測試的結果，可對兩個被測系統所對應的感知系統的開發提出設計需求。針對實驗場景，在不對被測決策規劃系統的結構或參數進行更改的情況下，對于被測系統①，上游感知系統對前車目標的單次漏檢時間不能超過1.60 s，且相對于正常檢測時間的占空比不能超過0.16，在此前提下可以較好地保證系統在案例場景下的安全；同樣對于被測系統②，兩個感知錯誤參數的閾值分別為2.16 s和0.5，上游感知系統錯誤參數組合在上述兩閾值內即可較好地保證系統在案例場景下的安全。當然，僅憑單一場景和錯誤模式很難對感知系統的開發提供全面且合理的指導，未來可選取一系列典型場景和錯誤模式形成標準測試流程，并根據測試結果生成綜合測試報告。

4 總結與展望

針對自動駕駛決策規劃系統抗擾性測試研究，本文首先基于6 層場景本體模型，提出了統一規范化的數據模型用于存儲場景中的對象信息并執行錯誤注入。之后，對數據錯誤進行形式化表達，并將所有目標級錯誤模式歸納為存在不確定性、分類不確定性、狀態不確定性及時序不確定性4 大類，從而可以系統性地注入錯誤，進而支持對被測系統的抗擾性安全邊界進行分析。基于此，本文提出了一個通用的錯誤注入框架SOFIF，該框架對不同的被測系統和仿真環境具有泛用性，且能自動化地進行測試。最后，基于硬件在環仿真測試，對兩個被測決策規劃系統在存在不確定性錯誤模式下的抗擾性表現進行對比分析，提出并使用危害率作為量化系統抗擾性優劣的指標；并根據抗擾性測試的結果，對感知系統的開發提出了設計需求。

針對錯誤注入后場景安全性評價指標的選取，使用經典的TTC 作為風險指標，其他風險指標如行車風險場［23］、離散歸一可行域（DNDA）［24］等也可以被用于本文提出的SOFIF 中，從而可以更加全面和合理地對場景的風險程度進行評估。同時，本文列舉了兩維存在不確定性錯誤參數下SOFIF 的使用，對于其他錯誤模式、錯誤參數及錯誤維數的選取，可以結合測試目的（如定量分析、事故復現、綜合評價等）并根據真實事故或實驗數據進行，從而使對被測決策規劃系統抗擾性安全邊界的研究及對感知系統設計開發的指導更具實際意義。最后，提出的危害率僅適用于相同場景和錯誤參數下的定量抗擾性比較，未來還須設計一系列典型場景和錯誤模式形成標準測試流程以支持針對被測系統的綜合抗擾性評價。