[Paper] SafePlanner：测试自动驾驶系统计划模型的安全性

Source: arXiv - 2601.09171v1

概述

SafePlanner 是一个新的测试框架，能够自动发现自动驾驶系统（ADS）中 规划 组件的安全关键缺陷。通过分析规划器的源代码生成真实的驾驶场景，然后对规划器的决策进行模糊测试，作者在一个生产级别的 Level‑4 系统（百度 Apollo）中揭示了隐藏的危害，这些危害在传统仿真或道路测试中极难发现。

关键贡献

• 结构化场景生成 – 直接从规划器的控制流图中提取可行的场景转换对，确保每个生成的测试用例遵循规划器的内部逻辑。
• 规划器行为的引导模糊测试 – 将提取的转换与多样的 NPC（非玩家车辆）动作相结合，使用覆盖感知的模糊测试高效探索规划器的决策空间。
• 全面的覆盖度量 – 在 Plan 模型上实现 83.6 % 函数 覆盖率和 63.2 % 决策 覆盖率，远超基线随机或朴素场景生成器。
• 真实世界的缺陷发现 – 在百度 Apollo 中识别出 520 条危险行为，归纳为 15 类根本原因；其中四个补丁在消除缺陷的同时不产生副作用。
• 可扩展的测试套件 – 自动生成超过 20 k 条测试用例，展示系统化代码驱动的场景合成能够扩展到大规模、生产级规划器。

方法论

1. 静态结构分析 – 框架解析规划器的源代码，构建一个 场景‑转移图，捕获规划器在高层驾驶上下文之间的移动方式（例如 “follow lane”、 “merge”、 “stop”）。
2. 可行转移提取 – 从该图中，SafePlanner 提取实际可达的具体场景‑转移对，考虑规划器的层次控制流。
3. 场景组合 – 每个转移与一组 NPC 车辆行为（速度曲线、变道、切入等）配对，形成完整的驾驶场景。
4. 引导模糊测试 – 基于覆盖率的模糊测试器在变异 NPC 参数和时序的同时监控规划器的内部决策分支。模糊测试器优先选择能够提升 函数 或 决策 覆盖率的输入，将搜索导向未探索的规划逻辑。
5. 危害检测 – 每次运行后，系统使用轻量级运行时监视器检查安全违规（如碰撞、险些相撞、非法操作）。检测到的违规会被记录，以便人工根因分析。

整个流水线在仿真环境中运行，仅需规划器代码和标准车辆动力学仿真器。

结果与发现

• 这520个危险被聚类为15个不同的根本原因，范围包括车道变换逻辑中缺失的边缘情况检查以及对突发NPC减速的处理不当。
• 在修复了四个最关键的漏洞后，规划器在整个测试套件中表现出零回归，确认这些补丁没有引入新问题。
• SafePlanner 的引导模糊测试所需的CPU时间比全面随机测试少约**≈30 %**，即可达到相同的覆盖水平。

实际意义

• 加速安全验证 – 开发者可以在持续集成（CI）流水线的早期集成 SafePlanner，以在道路测试前捕获规划器错误，从而显著降低昂贵的现场试验成本。
• 合规性 – 系统化的覆盖率指标为安全审计提供了具体证据，帮助满足 ISO 26262 或 UNECE R157 等标准。
• 快速回归测试 – 当规划器更新（例如新的感知模块或地图数据）时，SafePlanner 能自动重新生成相关场景，确保先前的安全保障仍然有效。
• 跨平台适用性 – 由于该方法基于静态代码分析和通用仿真 API，可轻松移植到其他自动驾驶系统（如 Autoware、特斯拉 Autopilot）等堆栈，投入成本极低。
• 开发者生产力 – 通过展示具体的根因类别，框架引导工程师定位最关键的代码段，使调试工作集中在最重要的地方。

限制与未来工作

• 依赖源代码 – SafePlanner 需要访问规划器的实现；黑箱或专有的规划器无法直接分析。
• 仿真保真度 – 虽然生成的场景在结构上是有效的，但仍依赖底层车辆动力学仿真器；与真实物理不匹配可能会隐藏某些错误。
• 根因分析的可扩展性 – 将 520 个危害手动聚类为 15 类工作量大；未来工作可以引入自动化的故障定位技术。
• 扩展到感知‑规划交互 – 当前仅关注规划模块；加入感知不确定性将提供更整体的安全评估。

SafePlanner 表明，以代码为中心、基于覆盖率的测试策略可以显著提升现代自动驾驶规划器的安全保障，为旨在交付可靠的 Level‑4+ 系统的开发者提供实用的工具集。

作者

• Dohyun Kim
• Sanggu Han
• Sangmin Woo
• Joonha Jang
• Jaehoon Kim
• Changhun Song
• Yongdae Kim

论文信息

• arXiv ID: 2601.09171v1
• 分类: cs.SE
• 发布时间: 2026年1月14日
• PDF: 下载 PDF