基于形式化方法与网络流优化的自主系统反应式测试合成
1. 项目概述:为自主系统构建“智能考官”
在自动驾驶、机器人等自主系统的开发中,如何设计出既有效又公平的测试,一直是个老大难问题。传统的测试方法,无论是基于场景枚举还是随机采样,都像是大海捞针,效率低下且难以保证覆盖到那些真正能暴露系统缺陷的“刁钻”场景。更棘手的是,一个理想的测试环境不应该是一个死板的“障碍赛道”,而应该像一个聪明的“考官”,能够根据被测系统的实时行为动态调整策略,引导或迫使系统展现出我们想要考察的行为,同时又不至于把路完全堵死,让一个设计正确的系统无法通过。
这正是“反应式测试合成”要解决的核心问题。想象一下,你要测试一个送货机器人能否在电量不足时做出合理的决策(比如先去充电站)。你当然可以直接把它的初始电量设得很低,但这可能过于简单,或者不符合某些测试前提。一个更巧妙的测试是:设计一个动态的障碍物(测试智能体),在机器人前往目的地的关键路径上适时出现,迫使它绕远路,从而消耗更多电量,最终“自然地”触发低电量状态,考验其应急决策逻辑。这个障碍物何时出现、出现在哪里,就是“反应式”的——它需要根据机器人的实时位置和状态来决定。
我最近深入研究了一篇来自加州理工学院等顶尖机构的论文,它提出了一种将形式化方法、时态逻辑与网络流优化相结合的创新框架,来系统化地解决这个问题。这个框架不是简单的启发式搜索,而是将测试合成转化为一个可证明的数学优化问题,能自动生成最优的测试策略。下面,我就结合自己多年在形式化验证和机器人测试领域的经验,为你彻底拆解这套方法的原理、实现细节以及实操中的门道。
2. 核心思路拆解:从需求到“流量管制”
这套方法的核心思想非常巧妙:将系统的所有可能行为轨迹视为网络中的“流量”,将测试目标转化为对“流量”的引导和约束,最终通过求解一个优化问题,找到对系统干预最少(即最不限制系统自由)却能保证测试目标达成的“管制方案”。
2.1 形式化基石:用数学语言描述一切
首先,我们需要用精确的数学语言来描述系统、需求和测试目标。这是所有形式化方法的起点。
系统建模为有限状态转移系统:我们把自主系统的高层决策逻辑抽象成一个图。图的节点代表系统可能处于的离散状态(如“在A区”、“电量高”、“已拾取物品”),边代表状态间的转移动作(如“从A区移动到B区”、“消耗电量”)。这构成了一个
Tsys = (S, A, δ, s0, AP, L),其中S是状态集合,A是动作集合,δ是转移关系,s0是初始状态,AP是原子命题集合,L是给状态贴标签的函数。用线性时态逻辑描述目标:我们使用LTL来描述系统必须满足的需求(系统目标)和我们希望测试考察的隐藏场景(测试目标)。
- 系统目标
ϕ_sys:这是系统已知并必须完成的任务。例如:□(电量 > 0)(永远不能没电),◇(到达目标点G)(最终要到达G),□(看到停车标志 → ◇(停车))(看到停车标志最终必须停车)。 - 测试目标
ϕ_test:这是系统不知道的、测试工程师想要考察的隐藏条件。例如:◇(访问充电站C)(迫使系统必须路过充电站),◇(电量 < 阈值)(让系统进入低电量状态)。
- 系统目标
构建“上帝视角”的乘积图:为了同时追踪系统状态和它对两个目标的完成进度,我们构造一个虚拟乘积图。这个图是系统状态转移图
Tsys与一个规约自动机的乘积。规约自动机由系统目标ϕ_sys和测试目标ϕ_test对应的Büchi自动机合并而成,它能记住哪些目标已经被满足了。乘积图中的每个节点是一个二元组(s, q),其中s是系统实际状态,q是记录目标完成进度的“历史变量”。这样,系统在乘积图上的一条路径,就完整记录了一次测试执行中,系统如何移动以及它逐步满足两个目标的过程。
2.2 关键洞察:测试即“流量切割”
现在到了最精彩的部分。我们希望在乘积图上,所有从起点(初始状态)到终点(满足系统目标的状态)的路径,都必须经过某些特定的“检查点”(满足测试目标的状态)。这就像在公路网中,要求所有从城市A到城市B的车流,都必须经过检查站C。
定义源点、中间点和汇点:
- 源点:对应系统初始状态和规约自动机初始状态的节点集合。
- 中间点:对应系统状态满足测试目标但尚未满足系统目标的节点集合。这是我们希望所有成功路径都必须经过的“检查点”。
- 汇点:对应系统状态满足系统目标的节点集合。
将问题转化为网络流优化:我们把虚拟乘积图看作一个流网络。每条边的容量为1(单位流量)。我们的目标是:
- 最大化从源点到汇点的总流量:这代表了系统在测试中可能采取的不同成功路径的数量,流量越大,系统在测试中拥有的决策自由度就越高,测试越“公平”。
- 施加最少的“切割”:我们需要切断(禁止)一些边,使得切割后,所有从源点到汇点的流量都必须流经至少一个中间点。这些被切断的边,就对应了测试环境需要施加的限制(例如,在某个状态禁止系统向左转)。
- 保证可行性:切割之后,从系统的视角(另一个称为系统乘积图的简化视图)看,必须仍然存在至少一条从当前状态到目标的路径。否则测试就变成了“不可能完成的任务”,失去了意义。
混合整数线性规划建模:上述“最大化流量-最小化切割”的问题,可以被精确地建模为一个混合整数线性规划问题。
- 决策变量:二元变量
d_e表示边e是否被切割;连续变量f_e表示边e上的流量。 - 目标函数:
max (总流量 - (1/|E|) * 切割边总数)。第二项是一个很小的惩罚项,确保在流量相同的情况下,选择切割数最少的方案。 - 约束条件:
- 流守恒:流入每个非源/汇节点的流量等于流出量。
- 容量与切割:如果一条边被切割(
d_e=1),则其流量必须为0 (f_e <= 1 - d_e)。 - 分区约束:这是一组关键约束,它利用辅助变量
μ_v(节点势能)来确保所有从源点(势能高)到汇点(势能低)的路径,其势能必须下降。而势能下降跨越的边,就是需要被切割的边。这巧妙地强制了所有流量必须经过中间点。 - 可行性约束:为每一个历史变量
q和对应的系统状态s,在系统乘积图上检查,在施加了对应于q的所有切割后,是否仍然存在从s到系统目标汇点的路径。这通过引入一系列并行的子流网络和约束来实现。
- 决策变量:二元变量
实操心得:为什么是MILP?你可能会问,这看起来是个图论问题,为什么不用经典的Max-Flow Min-Cut定理?关键在于经典定理解决的是“切断所有源汇路径”的问题,而我们需要的是“强制所有路径经过特定点集”。这是一个更复杂的“多商品流”或“节点-边分离”问题,被证明是NP难的。MILP虽然是指数复杂度,但对于中等规模的���题(几千个整数变量),借助Gurobi、CPLEX等现代求解器,通常能在可接受时间内得到最优解。这是工程实践中在最优性和计算效率之间一个很好的折衷。
2.3 从切割到具体测试策略
求解MILP后,我们得到一组最优的边切割方案C。接下来就是将这些抽象的“切割”具体化为可执行的测试策略。
生成反应式测试映射:切割边
( (s,q), (s',q') )意味着:当系统处于历史变量q时,禁止它从状态s执行动作a转移到s'(其中δ(s,a)=s')。我们将所有切割按历史变量q分组,得到一个反应式映射C(q) -> { (s, s') }。这个映射就是测试策略的核心:它告诉测试环境,在系统决策历史的每个阶段,应该禁止哪些系统动作。实例化为测试环境对象:
- 静态障碍物:如果某个状态-动作对
(s,a)在所有历史变量下都被禁止,那么它可以被实现为一个始终存在的静态障碍物(比如一堵墙)。 - 反应式障碍物:如果
(s,a)只在特定的q下被禁止,那么它需要一个能动态激活/关闭的障碍物(比如一扇可遥控开关的门)。 - 动态测试智能体:一个更强大和灵活的实现方式是使用一个动态的测试智能体(另一个机器人)。它的任务是移动到特定的位置
s',从而物理上阻塞系统执行动作a进入s'。智能体的策略需要根据当前的历史变量q和系统状态s来实时规划其移动路径。
- 静态障碍物:如果某个状态-动作对
合成测试智能体策略:这是最具挑战性的一步。我们需要为测试智能体合成一个反应式控制器,使其行为满足:
- 动态性:根据系统状态和
q的变化,移动到指定位置进行阻塞。 - 安全性:不能与系统发生碰撞。
- 非破坏性:不能永久性地堵死系统所有通往目标的路径(避免活锁)。
- 精确性:只阻塞
C(q)中规定的边,不额外添加限制。
- 动态性:根据系统状态和
论文采用GR(1)反应式合成来解决这个问题。GR(1)是一种针对“广义反应性(1)”规约的自动策略合成方法,效率较高。我们将上述要求编码为一个GR(1)公式(包含环境假设和系统保证),然后使用工具(如TuLiP)自动合成测试智能体的有限状态控制器。如果合成失败(说明当前切割方案对智能体动力学来说不可实现),则采用反例引导的方法:将当前切割方案加入排除列表,重新求解MILP,直到找到一个可实现的切割方案。
3. 实现流程与核心环节解析
理解了核心思想后,我们来看具体的实现步骤。整个流程可以清晰地分为三个阶段,如下图所示(对应论文中的图1):
[图1示意:三个方框,箭头连接] 1. 图构建 (Graph Construction) 输入: Tsys, φ_sys, φ_test 输出: 虚拟乘积图 G,系统乘积图 G_sys 过程: 构建Büchi自动机,计算同步乘积。 2. 路由优化 (Routing Optimization) 输入: 图 G, G_sys 输出: 最优边切割集合 C 过程: 建立并求解MILP问题。 3. 测试环境合成 (Test Environment Synthesis) 输入: 切割集合 C, 测试智能体模型 T_tester 输出: 静态障碍物布局 / 测试智能体策略 π_tester 过程: 解析C,实例化为障碍物或进行GR(1)合成。3.1 第一阶段:图构建的工程细节
这一步是后续所有工作的基础,其正确性和效率至关重要。
从LTL到Büchi自动机:使用像Spot这样的高效库将LTL公式编译为Büchi自动机。对于论文中使用的模式(如
◇p,□p,p → ◇q),生成的自动机通常是确定性的且状态数较少,这能极大减轻后续计算负担。- 注意:复杂的嵌套时态逻辑公式可能导致自动机状态爆炸。在实践中,应尽量将系统目标和测试目标拆解为简单的、由
∧连接的子公式模式。
- 注意:复杂的嵌套时态逻辑公式可能导致自动机状态爆炸。在实践中,应尽量将系统目标和测试目标拆解为简单的、由
构建乘积图:计算
Tsys ⊗ A_π。直接计算笛卡尔积会导致图非常庞大。必须进行按需生成或剪枝:- 从源点开始搜索:只生成从源点
S可达的节点和边。 - 提前剔除死锁:如果一个节点在系统乘积图
Gsys上无法到达任何目标汇点,那么它在虚拟乘积图G上也不可能成为任何成功路径的一部分,可以安全剔除。
- 从源点开始搜索:只生成从源点
标识关键节点集:在构建好的乘积图
G上,根据定义扫描所有节点,标记出S(源点)、I(中间点)、T(汇点)三个集合。这是后续流网络构建的输入。
避坑指南:状态空间管理乘积图的大小是
|S| * |Q|,其中Q是规约自动机的状态数。对于复杂的任务,|Q|可能增长很快。一个实用的技巧是:优先对系统模型Tsys进行抽象。在保证关键行为属性的前提下,尽可能合并系统状态,减少|S|。例如,对于一个网格世界中的机器人,如果某些区域的属性完全相同,可以将其视为一个“超级状态”。这需要在建模精度和计算可行性之间做出权衡。
3.2 第二阶段:MILP建模与求解的实战技巧
这是算法的计算核心。我们需要将3.1节定义的图、节点集和约束,准确地转化为MILP求解器(如Gurobi)的输入。
构建流网络:将乘积图
G直接视为一个流网络N=(V,E, (S,T))。V是节点,E是边,S和T分别是定义的源点和汇点集合。注意,中间点I既不是源也不是汇,流量需要流过它们。变量定义:
# 假设使用Python的Gurobi接口 import gurobipy as gp model = gp.Model('Reactive_Test_Synthesis') # 边切割变量,二进制 d = model.addVars(G.edges, vtype=gp.GRB.BINARY, name="d") # 边流量变量,连续,范围[0,1] f = model.addVars(G.edges, lb=0, ub=1, name="f") # 节点势能变量,连续,范围[0,1] (用于分区约束) mu = model.addVars(G.nodes, lb=0, ub=1, name="mu")添加约束:
- 流守恒:对每个非源非汇节点
v,添加约束sum(f[u,v] for u in G.predecessors(v)) == sum(f[v,w] for w in G.successors(v))。 - 源汇无流入/流出:对源点
s in S,添加约束sum(f[u,s] for u in G.predecessors(s)) == 0;对汇点t in T,添加约束sum(f[t,w] for w in G.successors(t)) == 0。 - 容量与切割:对每条边
e,添加约束f[e] <= 1 - d[e]。 - 分区约束:这是实现“强制流经I”的关键。
# 1. 源点势能高,汇点势能低 for s in S: for t in T: model.addConstr(mu[s] - mu[t] >= 1, name=f"src_sink_{s}_{t}") # 2. 对于所有不在I中的边(u,v),如果mu[u] > mu[v],则必须切割 for u, v in G.edges: if u not in I and v not in I: model.addConstr(d[(u,v)] >= mu[u] - mu[v], name=f"partition_{u}_{v}") - 可行性约束:这是最复杂的部分。需要为每个历史变量
q和对应的源状态s,创建一个Gsys上的子流网络G_sys^(q,s),并添加约束,确保在映射了对应q的切割后,该子网络上从s到T_sys的最大流至少为1。这需要仔细处理映射关系Gr(q)。
- 流守恒:对每个非源非汇节点
设置目标与求解:
# 目标函数:最大化总流量,并轻微惩罚切割数 total_flow = gp.quicksum(f[(s, v)] for s in S for v in G.successors(s)) total_cuts = gp.quicksum(d[e] for e in G.edges) model.setObjective(total_flow - (1.0 / len(G.edges)) * total_cuts, gp.GRB.MAXIMIZE) # 设置求解参数(如时间限制、MIPGap) model.Params.TimeLimit = 300 # 5��钟 model.Params.MIPGap = 0.01 # 1% 最优间隙 model.optimize()解析结果:求解完成后,检查
model.status是否为gp.GRB.OPTIMAL或gp.GRB.TIME_LIMIT(且已有可行解)。然后提取d[e].X > 0.5的边,即为需要切割的边集合C。
性能调优经验:
- 松弛与启发式:对于大规模问题,可以先求解线性规划松弛(将
d变量松弛为连续变量),获取一个下界,并将松弛解作为启发式输入给MIP求解器,能显著加速。- 对称性处理:如果系统模型具有对称性(如网格世界中的旋转对称),可能会产生大量等价的最优解,拖慢求解。可以添加对称性破缺约束来提升效率。
- 可行性约束的简化:在静态障碍物场景下,由于限制不随历史变化,可行性检查可以简化为只需检查主网络
G上的最大流F是否大于0,这能大幅减少变量和约束数量。
3.3 第三阶段:测试策略的具象化
得到切割集合C后,我们需要将其转化为具体的测试环境。
静态/反应式障碍物实现:
- 解析切割映射:遍历
C,对于每条被切割的边((s,q), (s',q')),记录下:当历史变量为q时,禁止系统从状态s执行动作a(其中Tsys.δ(s,a)=s')。 - 生成策略表:创建一个查找表或函数
get_restrictions(q, s),返回在当前(q,s)下被禁止的动作集合。 - 环境执行:在仿真或实物测试中,测试环境监控系统状态
s,并根据当前计算出的历史变量q(通过在线运行规约自动机跟踪),调用get_restrictions函数。对于返回的每个被禁动作a,通过API调用或物理干预(如点亮虚拟墙、关闭物理门)阻止系统执行它。
- 解析切割映射:遍历
动态测试智能体策略合成:
- 定义智能体模型:需要定义测试智能体自身的状态转移系统
T_tester和状态-占据映射M_tester(指明智能体在某个状态时会物理占据系统的哪些状态)。 - 提取反应式阻塞需求:从切割集合
C中,提取出需要由智能体(而非静态障碍物)实现的动态阻塞需求,形成映射R(q) -> { (s, s') }。其含义是:当历史为q且系统在状态s时,智能体必须去占据状态s',以阻止系统转移。 - 构建GR(1)规约:这是最需要技巧的一步。需要将以下内容编码为GR(1)公式:
- 环境假设(关于系统):系统初始状态、系统动力学(基于
Tsys)、系统目标ϕ_sys、系统会避免碰撞。 - 智能体保证:智能体初始状态、智能体动力学(基于
T_tester)、智能体必须实现阻塞需求R(q)、智能体不能阻塞未指定的边、智能体不能造成活锁(例如,不能永远堵在同一个关键位置)。
- 环境假设(关于系统):系统初始状态、系统动力学(基于
- 调用合成器并处理反例:使用TuLiP等工具进行GR(1)合成。如果合成成功,则得到一个有限状态机形式的智能体策略。如果失败(“不可实现”),合成器通常会提供一个反例——一种系统行为模式,使得智能体无法在满足所有保证的情况下完成任务。我们需要分析这个反例,它对应了一组特定的、智能体无法实现的切割要求。我们将这组切割
C_ex加入排除列表,作为新的约束sum(d[e] for e in C_ex) <= |C_ex| - 1添加到MILP中,然后重新求解。这个过程可能迭代多次。
- 定义智能体模型:需要定义测试智能体自身的状态转移系统
关键难点:GR(1)合成的可扩展性GR(1)合成的复杂度与游戏图的状态数呈多项式关系,但游戏图是系统状态、历史变量和智能体状态的乘积。当这些维度增长时,合成可能变得不可行。此时有几种应对策略:
- 抽象简化:对智能体模型
T_tester进行抽象,减少其状态数。- 分解问题:如果测试目标可以分解为多个相对独立的子目标,尝试分别合成策略,再组合。
- 回退到反应式障碍物:如果智能体合成始终失败,可以考虑用多个简单的、单功能的反应式障碍物来代替一个复杂的智能体。
4. 实验验证与问题排查实录
理论再完美,也需要实验的检验。论文在Unitree A1四足机器人上进行了实物实验,验证了框架的有效性。这里我结合自己的经验,聊聊在仿真和实机部署中可能遇到的问题及解决方法。
4.1 典型实验场景与结果分析
论文展示了三类实验,清晰地体现了方法的通用性:
| 实验场景 | 系统目标 (φ_sys) | 测试目标 (φ_test) | 测试环境类型 | 核心挑战与解决方案 |
|---|---|---|---|---|
| 火星探测 | 到达目标T,永远不耗尽燃料(□¬(f=0)),如果采集样本则必须送到投放点(□(ice∨rock → ◇drop-off)) | 采集岩石和冰样本(◇rock ∧ ◇ice),且路径规划导致必须中途加油(◇(d > f)) | 静态障碍物 | 系统状态包含燃料维度,违反双向转移假设。通过后处理检查活锁,如有则重新求解MILP。 |
| 海狸救援 | 找到海狸并带回实验室(◇(beaver ∧ ◇goal)) | 去程和回程必须使用不同的门(◇door1 ∧ ◇door2) | 反应式障碍物 | 测试策略需根据系统先通过哪扇门,动态关闭另一扇门。体现了“反应式”核心价值。 |
| 巡逻与加油 | 到达目标T且不耗尽燃料(□T ∧ □¬(f=0)) | 迫使系统在到达目标前因燃料不足而去加油(◇(d > f)) | 动态测试智能体 | 智能体需在关键位置阻塞系统,迫使其绕远路耗油。需综合静态障碍(起点附近)和动态智能体。 |
| 强制重规划 | 到达目标T (□T) | 按任意顺序访问两个中间点I1和I2 (◇I1 ∧ ◇I2) | 动态测试智能体 | 智能体需灵活应对系统访问I1/I2顺序的不同选择,动态调整阻塞位置,展示了策略的适应性。 |
结果解读:在“强制重规划”实验中,系统(灰色机器人)最初选择上方路径前往I2,被智能体(橙色机器人)阻挡;转而尝试中间路径,再次被阻;最终选择下方路径访问I1,然后成功抵达目标。整个过程,智能体完美执行了合成策略,成功迫使系统访问了所有测试点,同时系统始终有路可走(未被活锁)。MILP求解出的最大流F=2,表明在此测试策略下,系统仍有两条独特的安全路径可达目标,证明了测试的“最小限制性”。
4.2 常见问题、故障排查与解决策略
在实际操作中,你可能会遇到以下问题:
问题1:MILP求解时间过长或内存溢出。
- 可能原因:乘积图
G规模过大(状态爆炸)。 - 排查步骤:
- 检查系统模型
Tsys:是否过于精细?能否进行状态聚合(如将相邻的、属性相同的网格合并)? - 检查LTL公式:
ϕ_sys和ϕ_test是否过于复杂?能否拆解为多个更简单的测试用例分别合成? - 检查规约自动机:使用Spot输出自动机,查看其状态数
|Q|。复杂的时序逻辑(尤其是包含U直到运算符)会导致自动机状态数激增。
- 检查系统模型
- 解决策略:
- 分层抽象:先在一个高度抽象的状态空间上合成测试策略,再将其“细化”到具体模型。
- 公式简化:优先使用论文中提到的规范模式,如
◇p(最终访问),□p(永远保持),p → ◇q(反应),避免复杂的嵌套。 - 使用更强大的求解器或硬件:尝试商业求解器如Gurobi(性能通常优于开源求解器),并增加计算资源。
问题2:GR(1)合成失败,且反例引导迭代多次仍无解。
- 可能原因:
- 智能体能力不足:
T_tester的移动能力太弱,无法及时到达需要阻塞的位置。 - 约束冲突:智能体的保证(���避免碰撞、实现阻塞)之间存在根本性冲突,在任何情况下都无法同时满足。
- 活锁避免约束(g8)太强:可能过度限制了智能体的合法行为。
- 智能体能力不足:
- 排查步骤:
- 分析反例:仔细阅读合成器返回的反例轨迹。系统是如何行动的?智能体在哪一步无法满足哪条保证?
- 可视化需求映射
R(q):检查是否存在这样的q,要求智能体在同一时间步阻塞两个物理上远离的位置,这是不可能完成的。 - 放松智能体模型:临时赋予智能体更强的移动能力(如更快的速度、穿越障碍的能力),看是否能合成。如果能,说明问题是智能体能力不足。
- 解决策略:
- 增强智能体:修改
T_tester,增加其移动自由度或速度。 - 调整MILP目标:在MILP-AGENT中,增加对“需要智能体阻塞的状态数”的惩罚项,引导求解器优先选择那些对智能体移动要求更低的切割方案。
- 修改活锁约束:将
□(xtester = t → ◇¬(xtester = t))(不能连续停留)改为更宽松的约束,例如允许短暂连续停留但最终必须离开□(xtester = t → ◇¬(xtester = t))(最终必须离开),或者指定一个最大连续停留步数。
- 增强智能体:修改
问题3:合成的测试策略在仿真中有效,但在实物系统上失败。
- 可能原因:建模误差。高层离散模型
Tsys未能完全捕捉实物系统的连续动力学或不确定性。- 例如,模型假设机器人能精确地从格子A移动到格子B,但实际中可能存在定位误差、控制误差,导致它可能“卡”在边界,或者意外进入一个被模型认为是“禁止”的状态。
- 排查步骤:
- 记录失败轨迹:详细记录实物测试中系统的实际状态序列。
- 与离散轨迹对比:将实际轨迹映射到离散模型
Tsys上,检查它是否严格遵循了模型定义的转移。 - 检查“意外”转移:重点分析测试失败的时刻,系统是否执行了一个被模型认为不可能、但实际中发生的转移?
- 解决策略:
- 模型校准与细化:根据实物数据修正
Tsys,增加可能的状态和转移,使其更贴近现实。 - 增加鲁棒性:在测试策略中引入“缓冲”。例如,如果策略要求阻塞动作
a,实物中可以提前一点时间激活阻塞,或者阻塞动作a相邻的一片区域。 - 采用混合测试:将本方法合成的离散事件测试作为“导引”,在其产生的关键场景下,再结合传统的连续空间 falsification 方法(如优化、随机采样)进行细粒度参数调整和压力测试。
- 模型校准与细化:根据实物数据修正
问题4:测试看起来“太简单”或“太苛刻”,无法有效暴露缺陷。
- 可能原因:测试目标
ϕ_test设计不合理,或者系统模型Tsys本身过于保守/乐观。 - 解决策略:
- 基于覆盖率的测试目标生成:不要手动设计
ϕ_test,可以结合代码覆盖度、需求覆盖度等指标,自动生成能覆盖未测试场景的ϕ_test。这是论文提到的未来方向之一。 - 引入不确定性或对手模型:在系统模型中增加非确定性转移或一个简化的“对手”模型,让MILP在更复杂、更对抗的环境下合成测试策略。
- 迭代深化:先用一个简单的
ϕ_test合成测试,运行后分析系统行为。如果系统轻松通过,则根据其行为模式,设计一个更具挑战性的ϕ_test(例如,在它习惯的路线上设置障碍)。
- 基于覆盖率的测试目标生成:不要手动设计
这套基于流网络和形式化方法的反应式测试合成框架,为自主系统的测试提供了一条兼具自动化、严谨性和灵活性的新路径。它将测试设计从一个依赖经验的“艺术”,部分转变为了一个可计算、可优化的“科学”问题。虽然其实施涉及形式化建模、优化求解和反应式合成等多个技术环节,门槛较高,但随着相关工具链的成熟(论文作者已开源代码),相信它会成为高端自主系统验证工具箱中的重要利器。在实际应用中,从简单的网格世界模型开始,逐步扩展到更复杂的领域,是掌握这项技术的最佳途径。