IICS35030DB11DB11/XXXXX—2025（征求意見稿）XXXX-XX-XX發(fā)布XXXX-XX-XX實施北京市市場監(jiān)督管理局發(fā)布IDB11/XXXXX—2025前言 II 12規(guī)范性引用文件 13術(shù)語和定義 14無人平臺智能感知系統(tǒng)構(gòu)成 15安全測試 26結(jié)果分析 3附錄A（資料性）無人平臺智能感知系統(tǒng)說明 4附錄B（資料性）無人平臺智能感知干擾方法及攻擊算法示例 7附錄C（資料性）無人平臺智能感知安全分析報告模板 DB11/XXXXX—2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由北京市公安局提出并歸口。本文件由北京市公安局組織實施。本文件起草單位：北京市公安局、北京市公安局人工智能安全研究中心、中國標(biāo)準(zhǔn)化協(xié)會、清華大學(xué)、北京理工大學(xué)、北京瑞萊智慧科技有限公司、北京百度網(wǎng)訊科技有限公司。本文件主要起草人：1DB11/XXXXX—2025信息安全無人平臺智能感知安全分析技術(shù)規(guī)范1范圍本文件規(guī)定了無人平臺智能感知系統(tǒng)的安全測試操作步驟、安全分析指標(biāo)和結(jié)果分析。本文件適用于無人平臺智能感知系統(tǒng)的基礎(chǔ)感知能力、非理想條件下感知能力、對抗性攻擊下感知能力安全分析等。本文件適用對象包括但不限于無人平臺智能感知系統(tǒng)研發(fā)單位、感知軟硬件供應(yīng)商、測試驗證機(jī)構(gòu)以及標(biāo)準(zhǔn)化與監(jiān)管部門。在系統(tǒng)設(shè)計驗證、安全性評估、測試驗證及標(biāo)準(zhǔn)符合性評定等工作中均可參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.31—2006信息技術(shù)詞匯第31部分：人工智能機(jī)器學(xué)習(xí)3術(shù)語和定義GB/T5271.31—2006界定的以及下列術(shù)語和定義適用于本文件。無人平臺unmannedplatforms搭載多路傳感器、控制器、執(zhí)行器等裝置，具備復(fù)雜環(huán)境感知、智能決策、協(xié)同控制等功能，可實現(xiàn)自主運作的系統(tǒng)設(shè)備。對抗樣本adversarialexamples4無人平臺智能感知系統(tǒng)構(gòu)成4.1無人平臺系統(tǒng)無人平臺的典型架構(gòu)通常由多個子系統(tǒng)組成，涵蓋感知、定位、規(guī)劃、決策和控制等關(guān)鍵模塊。這些模塊協(xié)同工作，通過感知周圍環(huán)境、識別障礙物、計算行動路徑并控制無人平臺實現(xiàn)整體功能。常見如自動駕駛汽車、無人機(jī)、機(jī)器人等。4.2智能感知系統(tǒng)無人平臺智能感知系統(tǒng)通常由傳感器和智能感知算法構(gòu)成，用于實時采集無人平臺周邊環(huán)境信息，包括行人、車輛、道路、建筑、交通標(biāo)志及障礙物等。傳感器負(fù)責(zé)多源異構(gòu)數(shù)據(jù)的實時采集，包括但不限于攝像頭、激光雷達(dá)、毫米波雷達(dá)等，詳見A.2。智能感知算法對傳感器獲取的數(shù)據(jù)進(jìn)行融合、處理與解釋。算法輸出結(jié)構(gòu)化的感知信息，如目標(biāo)類型、位置、速度、置信度等，支撐無人平臺后續(xù)的決策規(guī)劃與控制執(zhí)行。其核心功能包括但不限于目標(biāo)2DB11/XXXXX—2025檢測、語義分割、路徑規(guī)劃與避障、環(huán)境場景分類與事件檢測等，詳見A.3。系統(tǒng)通常還包括感知中間件與數(shù)據(jù)接口模塊，用于協(xié)調(diào)不同設(shè)備間的數(shù)據(jù)交互、時序同步與數(shù)據(jù)格式轉(zhuǎn)換，保障系統(tǒng)的實時性與穩(wěn)定性。5安全測試5.1設(shè)計測試方案根據(jù)無人平臺的具體類型及安全需求等設(shè)定需測試目標(biāo)及測試方式。測試可采用仿真測試、封閉場地實驗、實體平臺測試等方式開展。5.2準(zhǔn)備測試環(huán)境5.2.1搭建測試環(huán)境搭建與無人平臺實際操作環(huán)境相似的測試環(huán)境，應(yīng)包含必要的硬件及軟件。5.2.2選擇傳感器與智能感知算法應(yīng)準(zhǔn)備與實際應(yīng)用環(huán)境一致的傳感器和智能感知算法，確保其技術(shù)規(guī)格與實際運行條件相符。應(yīng)確保所選傳感器已完成標(biāo)定與驗證，所選算法已完成訓(xùn)練與驗證，傳感器參考A.2，智能感知算法參考A.3。5.3構(gòu)建測試數(shù)據(jù)集收集或使用傳感器構(gòu)建測試數(shù)據(jù)集，并對數(shù)據(jù)集進(jìn)行標(biāo)注，整理數(shù)據(jù)集格式，確保其能被系統(tǒng)正確讀取和處理。測試數(shù)據(jù)集可包含但不限于基準(zhǔn)數(shù)據(jù)集、特定場景數(shù)據(jù)集、對抗樣本數(shù)據(jù)集?；鶞?zhǔn)數(shù)據(jù)集用于測試系統(tǒng)完成在典型場景下的基礎(chǔ)感知任務(wù)能力。構(gòu)建基準(zhǔn)數(shù)據(jù)集應(yīng)基于無人平臺在典型運行場景，不應(yīng)添加擾動或補(bǔ)丁。數(shù)據(jù)集場景應(yīng)不少于10種，每個場景數(shù)據(jù)應(yīng)不少于100個。5.3.2特定場景數(shù)據(jù)集特定場景數(shù)據(jù)集用于測試系統(tǒng)在非理想條件下的感知識別安全性。構(gòu)建本數(shù)據(jù)集應(yīng)基于基準(zhǔn)數(shù)據(jù)集環(huán)境，添加包括但不限于邊界樣本、極端情況樣本、多源干擾、高噪聲、嚴(yán)重遮擋等情況。干擾方法參考但不限于B.2。每種傳感數(shù)據(jù)的采集的數(shù)據(jù)中干擾類型應(yīng)不少于2種，每類樣本數(shù)據(jù)應(yīng)不少于100個。5.3.3對抗樣本數(shù)據(jù)集對抗樣本數(shù)據(jù)集用于測試系統(tǒng)在遭受對抗攻擊時的安全性。構(gòu)建本數(shù)據(jù)集應(yīng)基于基準(zhǔn)數(shù)據(jù)集環(huán)境，使用攻擊算法生成可通過傳感器（物理空間）或識別算法接口（數(shù)字空間）輸入的對抗樣本數(shù)據(jù)。攻擊算法應(yīng)不少于5種，每類樣本數(shù)據(jù)應(yīng)不少于100個。通過傳感器采集的方式構(gòu)建本數(shù)據(jù)集時，每類對抗樣本數(shù)量應(yīng)不少于10個。攻擊算法參考但不限于B.3。存在特定安全需要時，可構(gòu)建其他數(shù)據(jù)集用于測試系統(tǒng)的其他安全性能。構(gòu)建本數(shù)據(jù)集應(yīng)基于基準(zhǔn)數(shù)據(jù)集環(huán)境，每類樣本數(shù)據(jù)應(yīng)不少于100個。3DB11/XXXXX—20255.4逐項測試將按照5.3構(gòu)建的數(shù)據(jù)集逐項輸入到智能感知系統(tǒng)中，執(zhí)行3輪或以上測試。5.5過程記錄記錄測試過程所使用的設(shè)備的型號、系統(tǒng)參數(shù)、數(shù)據(jù)集組成信息及示例，每次測試的測試輪次、輸入數(shù)據(jù)標(biāo)簽、輸出結(jié)果、處理時間及異常情況。6結(jié)果分析6.1確定分析指標(biāo)根據(jù)具體應(yīng)用需求，制定安全分析的指標(biāo)體系，涉及4大種5小類，分別為精確率、召回率/漏檢率、誤檢率、攻擊成功率，見表1。表1分析指標(biāo)表精確率衡量被系統(tǒng)判定為目標(biāo)的樣本中，真實為目標(biāo)的比例。計算公式見式（1）。PreCision=*100%………………（1）式中：Precision——檢測結(jié)果中正確目標(biāo)的數(shù)量占比；TP——目標(biāo)被正確判斷的數(shù)量，單位為個；FP——非目標(biāo)被錯誤判斷為目標(biāo)的數(shù)量，單位為個。召回率則是衡量所有真實目標(biāo)中，被系統(tǒng)正確檢測到的比例。計算公式見式（2）。ReCall=*100%………………（2）4DB11/XXXXX—2025式中：Recal——真實目標(biāo)中被正確檢測的數(shù)量占比；FN——目標(biāo)被錯誤判斷為非目標(biāo)的數(shù)量，單位為個。誤檢率表示在所有真實為非目標(biāo)的樣本中，被錯誤檢測為目標(biāo)的比例。計算公式見式（3）。FPR=*100%………………（3）式中：FPR——虛假目標(biāo)的誤判數(shù)量占比。漏檢率表示在所有真實為目標(biāo)的樣本中，被漏檢（未檢測到）的比例。計算公式見式（4）。FNR=*100%………………式中：FNR——真實目標(biāo)的漏檢數(shù)量占比。攻擊成功率表示數(shù)據(jù)成功干擾系統(tǒng)的比例。計算公式見式（5）。ASR=*100%………………（5）式中：ASR——樣本攻擊成功數(shù)量占比；Nattack_success——成功使系統(tǒng)出錯的樣本數(shù)量，單位為個；Nattack_total——測試時使用的樣本總數(shù)量，單位為個。被分析的智能感知算法執(zhí)行目標(biāo)檢測任務(wù)時，宜將每一個對象類別視為一個單獨的目標(biāo)進(jìn)行計算；執(zhí)行語義分割任務(wù)時，宜將對象區(qū)域每一個像素視為一個單獨目標(biāo)進(jìn)行計算；執(zhí)行路徑規(guī)劃與避障、環(huán)境場景分類、事件檢測等任務(wù)時，宜將每一個任務(wù)視為一個單獨的目標(biāo)進(jìn)行計算。6.2撰寫分析報告根據(jù)具體應(yīng)用需求，開展綜合分析并撰寫分析報告，報告模版參見附錄C。5DB11/XXXXX—2025附錄A無人平臺智能感知系統(tǒng)說明A.1概述本附錄列舉了無人平臺使用的常見傳感器和智能感知算法。A.2傳感器A.2.1攝像頭具有視頻攝像/傳播和靜態(tài)圖像捕捉等基本功能，借由鏡頭采集圖像后，由攝像頭內(nèi)的感光組件電路及控制組件對圖像進(jìn)行處理并轉(zhuǎn)換成電腦所能識別的數(shù)字信號，然后借由并行端口或USB連接輸入到電腦后由軟件再進(jìn)行圖像還原。攝像頭包含：a)前視/前遠(yuǎn)視相機(jī)：單目/雙目攝像頭，通常安裝在無人平臺前部，主要功能為前進(jìn)時的環(huán)境感知等；b)后視相機(jī)：采用廣角攝像頭，安裝在無人平臺尾部，主要功能為后退時的環(huán)境感知等；c)周視/環(huán)視：周視相機(jī)或環(huán)視魚眼相機(jī)采用多個魚眼鏡頭安裝于無人平臺左右側(cè)下方以及前后側(cè)下方四個位置，其視角較大，可以達(dá)到180°以上，圖像采集后，經(jīng)過圖像拼接，輸出無人平臺周圍的全景圖。由于其感知范圍不大，因此主要被用于無人平臺周圍5m~10m內(nèi)障礙物檢測等。A.2.2激光雷達(dá)激光雷達(dá)是激光探測及測距系統(tǒng)的簡稱，由發(fā)射系統(tǒng)、接收系統(tǒng)、信息處理等組成，利用可見光和近紅外光發(fā)射一個信號，經(jīng)目標(biāo)反射后被接收系統(tǒng)收集，通過測量反射光的運行時間而確定目標(biāo)的距離。通常被安裝在無人平臺頂部用于探測無人平臺在移動過程中的路況及障礙物。激光雷達(dá)的主要參數(shù)包括：探測距離、測距精度、線束、垂直/水平視場角（FOV）、角分辨率以及出點數(shù)等。A.3.3毫米波雷達(dá)毫米波雷達(dá)的工作頻段主要分布在30GHz-300GHz，實際應(yīng)用中會根據(jù)國家法規(guī)和用途選擇特定頻段。通過對目標(biāo)物體發(fā)送電磁波并接收回波來檢測目標(biāo)物體的距離、速度和角度。毫米波雷達(dá)通常被安裝于無人平臺最前端和最后端，被廣泛應(yīng)用于避障等。A.2.4麥克風(fēng)具有音頻采集和聲波信號轉(zhuǎn)換等基本功能，通過振膜或其它敏感元件接受聲波后，由麥克風(fēng)內(nèi)的換能組件電路及控制組件對聲波信號進(jìn)行處理并轉(zhuǎn)換成電子設(shè)備所能識別的模擬或數(shù)字信號，然后借由音頻接口（如3.5mm接口、USB或無線連接）輸入到電子設(shè)備后，由軟件進(jìn)行信號處理、分析和還原，實現(xiàn)聲音的錄制、傳輸或進(jìn)一步應(yīng)用。麥克風(fēng)主要包含：a)定向麥克風(fēng)：采用單指向性或超指向性設(shè)計，通常安裝在無人平臺前部，主要功能為采集特定方向的聲音信號，用于目標(biāo)聲源定位、語音識別、事件檢測等；b)全向麥克風(fēng)：采用全指向性設(shè)計，安裝在無人平臺頂部或中部，主要功能為均勻采集周圍環(huán)境中的聲音信號，適用于環(huán)境噪聲監(jiān)測或小型場景的環(huán)境聲采集；6DB11/XXXXX—2025c)麥克風(fēng)陣列：由多個麥克風(fēng)按特定幾何結(jié)構(gòu)排列組成，安裝于無人平臺的關(guān)鍵位置，通過多通道信號處理實現(xiàn)聲源定位、噪聲抑制和語音增強(qiáng)等功能。由于其高精度和抗干擾能力，主要被用于復(fù)雜環(huán)境下的目標(biāo)檢測、語音交互和場景分析等。A.3智能感知算法A.3.1目標(biāo)檢測目標(biāo)檢測任務(wù)通常運用圖像、點云等數(shù)據(jù)處理技術(shù)，并借助深度學(xué)習(xí)等人工智能技術(shù)在智能交通、自主飛行、自主行動等場景中檢測識別出行人、車輛、建筑、標(biāo)識、障礙物等環(huán)境信息。A.3.2語義分割語義分割任務(wù)旨在為圖像、點云等數(shù)據(jù)的每個像素或空間位置分配對應(yīng)的語義標(biāo)簽，其結(jié)果是將給定圖像、點云劃分為若干個有意義或感興趣的區(qū)域，便于無人平臺后續(xù)對環(huán)境進(jìn)行理解，例如可行駛區(qū)域檢測等。A.3.3路徑規(guī)劃與避障路徑規(guī)劃與避障任務(wù)是幫助無人平臺在復(fù)雜環(huán)境中找到從起點到目標(biāo)點的最優(yōu)或可行路徑，同時避開障礙物。A.3.4環(huán)境場景分類環(huán)境場景分類任務(wù)是通過分析傳感器采集的數(shù)據(jù)，識別和分類無人平臺當(dāng)前所處的環(huán)境類型，支持導(dǎo)航、決策和任務(wù)執(zhí)行。A.3.5事件檢測事件檢測任務(wù)是通過分析傳感器采集的數(shù)據(jù)，識別和分類特定的事件，支持無人平臺的決策、控制、預(yù)警等。7DB11/XXXXX—2025附錄B無人平臺智能感知干擾方法及攻擊算法示例B.1概述本附錄列舉了無人平臺進(jìn)行智能感知安全分析涉及的常見干擾方法和常見攻擊算法。B.2常見干擾方法簡介B.2.1對激光雷達(dá)的干擾方式常見干擾方式如下：a)將激光雷達(dá)暴露在具備相同波長的強(qiáng)光源下，造成雷達(dá)無法從光源方向感知物體；b)通過添加噪聲信號使激光雷達(dá)收集虛假數(shù)據(jù)來降低傳感器數(shù)據(jù)的質(zhì)量，從而影響無人平臺的行為決策；c)通過激光脈沖在不同位置創(chuàng)建一個點來干擾無人平臺系統(tǒng)。B.2.2對攝像頭的干擾方式常見干擾方式如下：a)通過向攝像頭發(fā)射強(qiáng)光而使的相機(jī)拍攝的圖像過度曝光而無法被感知系統(tǒng)失效；b)將干擾光束投射在物體上，使感知系統(tǒng)將物體識別錯誤。B.2.3對麥克風(fēng)的干擾方式常見干擾方式如下：a)通過向麥克風(fēng)發(fā)射高強(qiáng)度噪聲或干擾音源，使得麥克風(fēng)采集的音頻信號被干擾或淹沒，導(dǎo)致感知系統(tǒng)失效；b)使用定向聲源，將特定頻率或模式的聲音投射到麥克風(fēng)附近，使感知系統(tǒng)對聲源定位或音頻事件識別錯誤。B.3常見攻擊算法簡介B.3.1FGSM（FastGradientSignMethod）通過一階梯度信息，快速生成對抗樣本。擾動通過模型損失的梯度符號乘以微小常數(shù)得到。計算速度快，適用于初步測試模型的魯棒性。但是攻擊效果有限，尤其是對高防御性的模型。B.3.2BIM（BasicIterativeMethod）在FGSM的基礎(chǔ)上迭代多次，每步生成微小擾動，逐步累加。相比FGSM生成更有效的對抗樣本。但是計算成本較高。B.3.3PGD（ProjectedGradientDescent）在BIM的基礎(chǔ)上增加投影步驟，使生成的樣本始終在可控范圍內(nèi)。PGD被認(rèn)為是白盒攻擊中的“最強(qiáng)”基準(zhǔn)方法。能生成魯棒性較強(qiáng)的對抗樣本。對計算資源需求較大。B.3.4CWAttack（Carlini&WagnerAttack）8DB11/XXXXX—2025利用優(yōu)化算法生成對抗樣本，通過調(diào)整目標(biāo)函數(shù)的優(yōu)化來確保樣本能夠成功迷惑模型。攻擊效果強(qiáng)且控制擾動量。優(yōu)化過程復(fù)雜，計算開銷大。B.3.5DeepFool逐步尋找最小擾動，使樣本跨越分類決策邊界，達(dá)到干擾分類器的目的。生成的對抗樣本擾動小。計算復(fù)雜度較高，不適合實時應(yīng)用。B.3.6JSMA（Jacobian-basedSaliencyMapAttack）利用模型的Jacobian矩陣，通過對重要特征施加擾動來生成對抗樣本。可以更精準(zhǔn)地控制特定區(qū)域的擾動。僅適用于白盒場景，且計算開銷較高。B.3.7EAD（Elastic-NetAttackstoDeepNeuralNetworksviaAdversarialExamples）結(jié)合CW攻擊和ElasticNet正則化，使用優(yōu)化方法生成稀疏擾動的對抗樣本。攻擊效果強(qiáng)，且可控制擾動的稀疏性。計算資源需求大。B.3.8STA（SpatialTransformationAttack）通過對輸入樣本進(jìn)行空間變換（如旋轉(zhuǎn)、縮放）來生成對抗樣本。對抗樣本的變化具有物理可實現(xiàn)性。效果受限，尤其是對防御性強(qiáng)的模型。B.3.9UPGD（UnrestrictedProjectedGradientDescent）在PGD的基礎(chǔ)上允許不受限的輸入擾動，增強(qiáng)攻擊靈活性。適合生成廣義對抗樣本。不可控性增加，應(yīng)用場景受限。B.3.10NES（NaturalEvolutionStrategies）使用進(jìn)化算法來估計梯度，并使用這些估計值生成對抗樣本?？捎糜谀Ｐ筒豢稍L問的場景。攻擊效率相對較低。B.3.11SPSA（SimultaneousPerturbationStochasticApproximation）利用隨機(jī)采樣估計梯度，通過有限次數(shù)的查詢來實現(xiàn)黑盒攻擊。適用于查詢次數(shù)有限的場景。在復(fù)雜模型上攻擊效果不佳。B.3.12GenAttack基于遺傳算法，通過模擬自然選擇的方式生成對抗樣本。靈活性高，適合無梯