智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全技術(shù)要求

ICS點擊此處添加ICS號

CCS點擊此處添加CCS號

CSAE

團體標準

T/CSAEXXXX—XXXX

智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全技術(shù)

要求

Functionalsafetytechnicalrequirementsfor

vehicle-controlledoperatingsystemofintelligentandconnectedvehicle

（征求意見稿）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

??發(fā)布

T/CSAEXXXX—XXXX

智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全技術(shù)要求

1范圍

本文件規(guī)定了智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全的總體要求。

本標準適用于M和N類車輛的智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)，其他類型的車輛可參照使用。

本文件不包含由信息安全因素間接關(guān)聯(lián)的功能安全技術(shù)要求。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590道路車輛功能安全

ISO/IEC9945信息技術(shù).可移植操作系統(tǒng)接口(POSIX)（Informationtechnology—PortableOperating

SystemInterface（POSIX））

ISO26262道路車輛功能安全（Roadvehicles-Functionalsafety）

3術(shù)語和定義

GB/T34590界定的以及下列術(shù)語和定義適用于本文件。

車載計算平臺on-boardcomputingplatform

支撐智能網(wǎng)聯(lián)汽車駕駛自動化功能等實現(xiàn)的軟硬件一體化平臺，包括芯片、模組、接口等硬件以及

系統(tǒng)軟件和功能軟件等軟件，以適應(yīng)傳統(tǒng)電子控制單元向異構(gòu)高性能處理器轉(zhuǎn)變的趨勢。

注：也被稱為車載智能計算基礎(chǔ)平臺。

車控操作系統(tǒng)vehicle-controlledoperatingsystem

運行于車載智能計算基礎(chǔ)平臺硬件及汽車電子控制單元硬件之上，支撐智能網(wǎng)聯(lián)汽車駕駛自動化功

能實現(xiàn)和安全可靠運行的軟件集合。車控操作系統(tǒng)由智能駕駛操作系統(tǒng)和安全車控操作系統(tǒng)組成。

智能駕駛操作系統(tǒng)intelligentdrivingoperatingsystem

車控操作系統(tǒng)（3.2）中支撐智能網(wǎng)聯(lián)汽車駕駛自動化功能實現(xiàn)的軟件集合，包括系統(tǒng)軟件和功能

軟件。

安全實時操作系統(tǒng)safetyvehicle-controlledoperatingsystem

車控操作系統(tǒng)（3.2）中支撐智能網(wǎng)聯(lián)汽車安全可靠運行的軟件集合，包括系統(tǒng)軟件和功能軟件。

系統(tǒng)軟件systemsoftware

車控操作系統(tǒng)中支撐駕駛自動化功能實現(xiàn)的復(fù)雜大規(guī)模嵌入式系統(tǒng)運行環(huán)境，包括操作系統(tǒng)內(nèi)核、

虛擬化管理、POSIX、系統(tǒng)中間件及服務(wù)和實時安全域。

功能軟件functionsoftware

車控操作系統(tǒng)中面向智能駕駛核心共性需求形成的智能駕駛共性服務(wù)軟件集合，支撐駕駛自動化功

能開發(fā)，包括數(shù)據(jù)抽象、功能軟件通用框架、智能駕駛通用模型和應(yīng)用軟件接口。

相關(guān)項item

實現(xiàn)整車層面功能或部分功能的系統(tǒng)或系統(tǒng)組合。

[GB/T34590.1—2017，定義2.69]

1

T/CSAEXXXX—XXXX

獨立于環(huán)境的安全要素safetyelementoutofcontext

不是在特定的相關(guān)項定義下開發(fā)的安全相關(guān)要素。

4縮略語

下列縮略語適用于本文件。

CPU中央處理單元CentralProcessingUnit

CRC循環(huán)冗余碼校驗CyclicalRedundancyCheck

DDS數(shù)據(jù)分發(fā)服務(wù)DataDistributionService

ECC錯誤檢查和糾正ErrorCheckingandCorrection

E2E端到端EndtoEnd

FFI免于干擾FreedomFromInterference

FIFO先入先出FirstInFirstOut

HSM硬件安全模塊HardwareSecurityModule

IMU慣性測量單元InertialMeasurementUnit

IPC進程間通信Inter-ProcessCommunication

MMU內(nèi)存管理單元MemoryManagementUnit

MPU內(nèi)存保護單元MemoryProtectionUnit

ODD運行設(shè)計域OperationalDesignDomain

OS操作系統(tǒng)OperatingSystem

POSIX可移植操作系統(tǒng)接口PortableOperatingSystemInterface

QM質(zhì)量管理QualityManagement

QoS服務(wù)質(zhì)量QualityofService

RAM隨機存取存儲器RandomAccessMemory

SEooC獨立于環(huán)境的安全要素SafetyElementoutofContext

VM虛擬機VirtualMachine

5車控操作系統(tǒng)安全要求

通用要求

5.1.1車控操作系統(tǒng)應(yīng)滿足ISO26262以及GB/T34590的要求，并達到客戶定義的安全目標，最高可支

持ASIL-D。

5.1.2車控操作系統(tǒng)的功能安全開發(fā)應(yīng)采用SEooC的方式，應(yīng)假定整體的適用范圍、需求場景和安全

目標。

5.1.3本標準安全狀態(tài)只定義軟件的安全狀態(tài)，系統(tǒng)及整車安全狀態(tài)由用戶來定義。

5.1.4異構(gòu)分布硬件應(yīng)支持內(nèi)存保護和分區(qū)，以實現(xiàn)不同安全功能的內(nèi)存分離。

5.1.5車控操作系統(tǒng)在全新特定環(huán)境下進行集成之前，應(yīng)確認全部假設(shè)在新環(huán)境下的有效性。若假設(shè)

與實際需求不一致，應(yīng)按照GB/T34590第八部分第八章進行變更管理。

系統(tǒng)軟件安全要求

5.2.1系統(tǒng)軟件通用要求

車控操作系統(tǒng)系統(tǒng)軟件應(yīng)符合5.2.2~5.2.6所述的安全要求。

5.2.2操作系統(tǒng)內(nèi)核

5.2.2.1操作系統(tǒng)內(nèi)核通用要求

操作系統(tǒng)內(nèi)核應(yīng)符合5.2.2.2~5.2.2.5所述的要求。

5.2.2.2安全目標

2

T/CSAEXXXX—XXXX

車控操作系統(tǒng)應(yīng)提供正確可靠的運行環(huán)境，安全等級最高可支持ASIL-D。

5.2.2.3安全假設(shè)

5.2.2.3.1對于使用操作系統(tǒng)進行軟件部署的相關(guān)項,操作系統(tǒng)應(yīng)該具有功能安全繼承或分解后的最

高功能安全等級。

5.2.2.3.2對于具體項目應(yīng)用，系統(tǒng)集成人員應(yīng)定義最差調(diào)度響應(yīng)時間，并基于目標環(huán)境開展測試，

驗證所配置的調(diào)度策略和線程優(yōu)先級是否滿足最后期限(deadline)需求。

5.2.2.3.3系統(tǒng)集成人員應(yīng)評審并確認所有的配置(Manifest)是否滿足項目安全要求。

5.2.2.3.4系統(tǒng)集成人員應(yīng)確保上層軟件模塊安全/正確地使用操作系統(tǒng)內(nèi)核提供的功能和機制。

5.2.2.3.5使用者需確認車控操作系統(tǒng)內(nèi)核在系統(tǒng)層級滿足所列外部假設(shè)條件，并且確保系統(tǒng)的運行

狀態(tài)在數(shù)據(jù)手冊所規(guī)定的范圍內(nèi)。

5.2.2.4安全要求

5.2.2.4.1操作系統(tǒng)內(nèi)核應(yīng)為用戶態(tài)應(yīng)用程序的存儲訪問提供隔離措施，以保證每個存儲訪問相互隔

離。

5.2.2.4.2操作系統(tǒng)內(nèi)核應(yīng)提供措施來約束每個進程在執(zhí)行過程中不會使用超過其預(yù)先分配的資源。

5.2.2.4.3操作系統(tǒng)內(nèi)核的地址空間應(yīng)被保護，并為應(yīng)用程序提供訪問內(nèi)核地址空間的安全接口，以

支持安全相關(guān)的進程間通訊比如管道、FIFO、共享存儲等。

注：管道指進程間單向的數(shù)據(jù)傳輸通路。

5.2.2.4.4如果硬件支持特權(quán)模式，操作系統(tǒng)內(nèi)核應(yīng)將不受信任的用戶態(tài)軟件置于非特權(quán)模式下，從

而阻止不受信任的用戶態(tài)軟件訪問安全相關(guān)的硬件。

5.2.2.4.5資源強制訪問控制機制，應(yīng)做到最小特權(quán)原則。

5.2.2.4.6在操作系統(tǒng)內(nèi)核空間出現(xiàn)異常時，如非法系統(tǒng)調(diào)用、堆棧溢出、指針異常訪問、內(nèi)存越界、

死循環(huán)、死鎖、超時等，操作系統(tǒng)內(nèi)核應(yīng)立即調(diào)用內(nèi)核異常處理程序，并上報對應(yīng)的故障代碼。如果內(nèi)

核異常處理程序為空，操作系統(tǒng)內(nèi)核應(yīng)立即調(diào)用操作系統(tǒng)關(guān)閉處理程序。（內(nèi)核異常處理程序不建議為

空）。

5.2.2.4.7操作系統(tǒng)內(nèi)核應(yīng)診斷IPC消息傳遞的故障，如IPC消息發(fā)送失敗，消息接收失敗等。

5.2.2.4.8當(dāng)一個安全相關(guān)線程出現(xiàn)異常時，如超時錯誤、內(nèi)存錯誤、指令錯誤等，操作系統(tǒng)內(nèi)核應(yīng)

立即調(diào)用該線程的異常處理機制。如果該線程的異常處理機制為空，則內(nèi)核應(yīng)立即停止運行該線程。（安

全相關(guān)線程的異常處理機制不建議為空）。

5.2.2.4.9操作系統(tǒng)內(nèi)核應(yīng)盡可能地監(jiān)控每個用戶態(tài)進程的資源消耗，如CPU、內(nèi)存等。

5.2.2.4.10在多核處理器上，當(dāng)操作系統(tǒng)內(nèi)核在一個處理器核心上檢測到異常并且需要關(guān)閉操作系統(tǒng)

時，應(yīng)同時在所有其他處理器核心上關(guān)閉該操作系統(tǒng)。

5.2.2.4.11操作系統(tǒng)內(nèi)核應(yīng)提供棧溢出診斷機制，以探測已經(jīng)發(fā)生的棧溢出錯誤并調(diào)用內(nèi)核異常處理

程序。

5.2.2.4.12對于內(nèi)核服務(wù)接口，操作系統(tǒng)內(nèi)核應(yīng)向用戶態(tài)軟件模塊提供安全的服務(wù)接口（如I/O操作、

信號處理等），不正確地調(diào)用這些服務(wù)接口不應(yīng)導(dǎo)致內(nèi)核崩潰。

5.2.2.4.13當(dāng)出現(xiàn)不正確的內(nèi)核服務(wù)接口調(diào)用（例如，傳遞非法地址、無效參數(shù)、非法的上下文等）

時，內(nèi)核服務(wù)接口不應(yīng)執(zhí)行對應(yīng)的服務(wù)，并且立即返回錯誤代碼。

5.2.2.5安全狀態(tài)

違背安全目標時，操作系統(tǒng)內(nèi)核進入的安全狀態(tài)為：操作系統(tǒng)內(nèi)核日志、報警、降級、重啟或關(guān)閉

等。

5.2.3虛擬化管理

5.2.3.1虛擬化管理通用要求

系統(tǒng)軟件虛擬化管理及板級支持包應(yīng)符合5.2.3.2~5.2.3.5所述的要求。

5.2.3.2安全目標

3

T/CSAEXXXX—XXXX

虛擬化管理應(yīng)為跨平臺操作系統(tǒng)提供安全的虛擬環(huán)境接口，提供滿足FFI要求的隔離機制。安全等

級最高支持ASIL-D。

5.2.3.3安全假設(shè)

5.2.3.3.1虛擬化管理應(yīng)用到的虛擬驅(qū)動安全等級最高為ASIL-D等級。

5.2.3.3.2硬件應(yīng)提供系統(tǒng)內(nèi)存管理單元。

5.2.3.3.3芯片的CPU、中斷控制器、I/O硬件應(yīng)支持硬件虛擬化的功能。

5.2.3.3.4當(dāng)虛擬化管理及板級支持包上報故障或進入安全狀態(tài)時，外部系統(tǒng)應(yīng)監(jiān)控虛擬化管理及板

級支持包上報故障，確保整個系統(tǒng)的安全性。

5.2.3.4安全要求

5.2.3.4.1虛擬化管理及板級支持包應(yīng)具備相關(guān)硬件及軟件故障的診斷機制、故障上報機制、可能的

故障處理機制以及故障恢復(fù)機制。

注：可能的故障處理機制例如對于需要立即處理的安全相關(guān)故障，虛擬化管理及板級支持包可以立即操作硬件使系統(tǒng)進

入安全狀態(tài)，不需要先將故障上報到安全監(jiān)控程序。

5.2.3.4.2虛擬化管理及板級支持包在初始化虛擬環(huán)境時，應(yīng)按照但不限于下列方法對硬件進行安全

診斷測試：

a)驗證各個硬件模塊功能的正確性；

示例1：回讀寄存器驗證寫入的參數(shù)是否成功；

示例2：進行通訊回環(huán)測試；

b)對硬件安全機制進行故障注入測試；

c)如果安全診斷測試不通過，應(yīng)根據(jù)故障類型停止加載上層軟件組件/進程對象/GuestOS，同

時應(yīng)上報故障給安全域；

d)虛擬化管理模塊在運行時對低安全等級的軟件組件（不具備足夠ASIL等級的存量軟件模塊或

第三方軟件模塊）進行功能安全監(jiān)控。如相關(guān)寄存器配置是否正確、運行時是否有意外修改

寄存器的行為、運行時關(guān)鍵運算結(jié)果的合理性校驗。

注：對于不同廠商提供的硬件IP，安全診斷測試需要根據(jù)硬件IP本身已有的硬件安全機制來設(shè)計。例如，硬件IP內(nèi)

部的所有寄存器都有奇偶校驗保護機制，則安全診斷測試需要對奇偶校驗保護機制進行故障注入測試；硬件IP內(nèi)部的寄

存器沒有硬件保護機制，則安全診斷測試需要對寫入寄存器的數(shù)值進行回讀校驗，并進行周期性的檢查。

5.2.3.4.3根據(jù)隔離和使用的需求，虛擬化管理應(yīng)支持對資源的靜態(tài)專用與動態(tài)共享的能力。

5.2.3.4.4虛擬化管理在任何情況下（例如意外事件，系統(tǒng)過載等），都應(yīng)為安全分區(qū)提供足夠的運

行資源。

5.2.3.4.5虛擬化管理應(yīng)管理所有VM分區(qū)之間的通訊訪問權(quán)限。

5.2.3.5安全狀態(tài)

當(dāng)違背安全目標時，虛擬化管理應(yīng)進入的安全狀態(tài)為：虛擬化管理日志、報警、重啟等。

5.2.4POSIX

5.2.4.1POSIX通用要求

系統(tǒng)軟件POSIX及其他接口應(yīng)符合5.2.4.2~5.2.4.5所述的要求。

5.2.4.2安全目標

POSIX接口或POSIX接口的子集（例如PSE51）應(yīng)滿足免于干擾（FFI）要求。POSIX接口的實現(xiàn)安

全等級最高支持ASIL-D。

5.2.4.3安全假設(shè)

5.2.4.3.1功能安全應(yīng)用應(yīng)充分考量POSIX接口的實時性要求；

5.2.4.3.2功能安全應(yīng)用或應(yīng)用庫應(yīng)使用符合功能安全要求的POSIX接口，當(dāng)POSIX接口上報故障

或進入安全狀態(tài)時，系統(tǒng)需確保安全性。

5.2.4.4安全要求

4

T/CSAEXXXX—XXXX

5.2.4.4.1POSIX接口的設(shè)計應(yīng)符合ISO/IEC9945的要求。

5.2.4.4.2POSIX接口應(yīng)進行免于干擾FFI的設(shè)計，例如：不正確的調(diào)用（傳遞非法地址、無效參數(shù)、

非法的上下文等）。這些安全的服務(wù)接口不應(yīng)導(dǎo)致內(nèi)核崩潰或安全隱患。

5.2.4.5安全狀態(tài)

當(dāng)違背安全目標時，POSIX接口應(yīng)進入的安全狀態(tài)為：POSIX接口不應(yīng)執(zhí)行對應(yīng)的服務(wù)，返回錯誤

代碼或執(zhí)行回滾等。

5.2.5系統(tǒng)中間件及服務(wù)

5.2.5.1系統(tǒng)中間件及服務(wù)通用要求

系統(tǒng)中間件及服務(wù)應(yīng)符合5.2.5.2~5.2.5.5所述的要求。

5.2.5.2安全目標

系統(tǒng)中間件及服務(wù)應(yīng)提供正確的基礎(chǔ)系統(tǒng)服務(wù)，安全等級最高支持ASIL-D。

5.2.5.3安全假設(shè)

5.2.5.3.1對于分布式通信中間件，硬件存儲單元中不帶有錯誤檢測功能的安全相關(guān)通訊都應(yīng)使用

E2E保護。

5.2.5.3.2對于應(yīng)用調(diào)度和生命周期管理，車控操作系統(tǒng)中不同ASIL等級的目標文件不能混合分配

給同一個進程。

5.2.5.3.3對于應(yīng)用調(diào)度和生命周期管理，操作系統(tǒng)內(nèi)核應(yīng)對進程提供時間隔離和空間隔離。

5.2.5.3.4需要調(diào)度的進程的優(yōu)先級應(yīng)根據(jù)相關(guān)項的安全要求來定義。

5.2.5.3.5應(yīng)在特定線程中進行中斷事件處理。

5.2.5.3.6對于安全框架和服務(wù)，ASIL-B及以上功能安全等級的安全相關(guān)應(yīng)用組件應(yīng)使用中間件提供

的調(diào)度錯誤(如超時、運行太過頻繁、亂序)的檢測機制。

5.2.5.3.7安全相關(guān)應(yīng)用組件應(yīng)使用中間件提供的綁定監(jiān)控結(jié)果的健康監(jiān)控通道來報告檢測到的錯誤

并觸發(fā)系統(tǒng)響應(yīng)。

5.2.5.4安全要求

5.2.5.4.1分布式通信中間件中，所有安全相關(guān)的以太網(wǎng)通訊都應(yīng)采用E2E保護。E2E應(yīng)包含如下信

息：數(shù)據(jù)識別碼(DataID)、校驗碼(CRC)和計數(shù)器(counter)等。

5.2.5.4.2安全框架和服務(wù)應(yīng)符合如下要求：

a)應(yīng)能正確初始化安全相關(guān)的硬件；

b)應(yīng)能檢測安全相關(guān)組件的潛在故障；

c)應(yīng)能驗證啟動映像文件(image)的完整性（例如版本回退，錯誤日志記錄）；

d)應(yīng)能驗證應(yīng)用映像文件(image)的完整性，并提供錯誤處理和記錄；

e)應(yīng)能在啟動時監(jiān)測可能禁止或影響安全機制產(chǎn)生作用的硬件潛在故障；

f)應(yīng)能在運行時監(jiān)測硬件錯誤，并在監(jiān)測到影響安全目標的硬件錯誤時切換到安全狀態(tài)；

g)應(yīng)能提供錯誤響應(yīng)處理機制；

h)應(yīng)能提供監(jiān)控服務(wù)監(jiān)控應(yīng)用軟件正確執(zhí)行；

i)應(yīng)能提供可以確保完整性的密鑰存儲機制，例如通過HSM硬件存儲或者軟件冗余存儲和回讀

來監(jiān)測數(shù)據(jù)損壞或丟失；

j)應(yīng)提供可以確保完整性的文件訪問，例如通過冗余存儲和回讀來監(jiān)測數(shù)據(jù)損壞或丟失。

5.2.5.4.3應(yīng)用更新管理應(yīng)符合如下要求：

a)每次應(yīng)用更新之前，應(yīng)該能對應(yīng)用來源的有效性和軟件包的完整性進行檢查，若檢查失敗，

應(yīng)停止升級并提示用戶；

b)每次應(yīng)用更新完畢后，都應(yīng)進行應(yīng)用軟件的完整性檢查，若檢查失敗，應(yīng)進行提示并按升級

失敗處置；

c)每次應(yīng)用更新都應(yīng)有確定的更新狀態(tài)（包括更新成功或是更新失敗后回滾到更新前的狀態(tài)）；

5

T/CSAEXXXX—XXXX

d)一個安全相關(guān)功能所關(guān)聯(lián)的所有組件（應(yīng)用組件之間應(yīng)有明確的依賴關(guān)系，以提供應(yīng)用組件

之間的關(guān)聯(lián)性操作，即使是分散在不同的應(yīng)用組件中）應(yīng)該在同一次更新中完成；

e)狀態(tài)管理模塊能夠根據(jù)當(dāng)前是否有安全相關(guān)應(yīng)用運行狀態(tài)以及車輛運行狀態(tài)來允許或者禁止

應(yīng)用更新。

5.2.5.4.4診斷日志應(yīng)保護安全相關(guān)故障數(shù)據(jù)錯誤計數(shù)，防止被篡改或數(shù)據(jù)丟失，同時需要根據(jù)安全

性不同定義不同級別的日志及保存時間。

5.2.5.4.5需要具備確定的中斷延時和調(diào)度延時，以便支持硬實時的業(yè)務(wù)可以得到及時響應(yīng)。建議定

義關(guān)中斷/關(guān)搶占、調(diào)度響應(yīng)時間方面的性能指標要求。

5.2.5.4.6應(yīng)根據(jù)相關(guān)安全要求來配置安全管理模塊中可能存在的出錯類型和出錯響應(yīng)類型。

5.2.5.5安全狀態(tài)

當(dāng)違背安全目標時，系統(tǒng)中間件及服務(wù)應(yīng)進入的安全狀態(tài)為：不啟動或故障狀態(tài)。

5.2.6實時安全域

5.2.6.1實時安全域通用要求

系統(tǒng)軟件實時安全域應(yīng)符合5.2.6.2~5.2.6.5所述的要求。

5.2.6.2安全目標

實時安全域應(yīng)提供可靠且安全的實時運行環(huán)境，安全等級最高支持ASIL-D。

5.2.6.3安全假設(shè)

硬件平臺應(yīng)支持安全車控操作系統(tǒng)內(nèi)存分區(qū)所需要的安全機制。

5.2.6.4安全要求

5.2.6.4.1實時安全域應(yīng)能實現(xiàn)核內(nèi)多任務(wù)間的互斥訪問操作且不能出現(xiàn)因優(yōu)先級翻轉(zhuǎn)而引起的“死

鎖問題”。

5.2.6.4.2實時安全域應(yīng)支持安全通信功能，以實現(xiàn)任務(wù)與任務(wù)、任務(wù)與中斷、多分區(qū)間通信（分區(qū)

能分布于多個核）。

5.2.6.4.3實時安全域應(yīng)支持多分區(qū)機制，以支持不同ASIL等級的軟件隔離。分區(qū)應(yīng)支持運行于CPU

的特權(quán)級模式以及非特權(quán)級模式。

5.2.6.4.4實時安全域應(yīng)支持內(nèi)存保護機制，以實現(xiàn)分區(qū)間的物理隔離。

5.2.6.4.5實時安全域應(yīng)支持多核互斥訪問機制，以實現(xiàn)對多核共享資源的互斥訪問，如自旋鎖機制。

5.2.6.4.6實時安全域應(yīng)支持時間保護功能，為避免引起時間故障，下列因素需受到監(jiān)控：

a)任務(wù)與中斷的執(zhí)行時間應(yīng)被監(jiān)控；

b)任務(wù)與中斷使用資源/關(guān)閉中斷的時間應(yīng)被監(jiān)控；

c)任務(wù)與中斷的到達率(頻率)應(yīng)被監(jiān)控。

5.2.6.4.7實時安全域建議支持以下鉤子函數(shù)功能：

a)錯誤鉤子函數(shù)：安全車控操作系統(tǒng)檢測到系統(tǒng)異常時，系統(tǒng)須將錯誤碼傳入錯誤鉤子函數(shù)；

b)關(guān)閉鉤子函數(shù)：安全車控操作系統(tǒng)被關(guān)閉時，安全車控操作系統(tǒng)將先進入關(guān)閉鉤子函數(shù)以使

用戶保存安全相關(guān)數(shù)據(jù)；

注：鉤子函數(shù)為操作系統(tǒng)內(nèi)核預(yù)留給用戶的功能接口函數(shù)。

5.2.6.4.8實時安全域應(yīng)支持堆棧檢測功能，應(yīng)能對堆棧溢出故障進行處理。

5.2.6.4.9實時安全域建議支持故障處理功能，為避免由時間與分區(qū)故障造成的危害，當(dāng)安全車控操

作系統(tǒng)檢測到時間與分區(qū)故障時，應(yīng)進入安全保護狀態(tài)，在安全保護狀態(tài)內(nèi)，用戶能根據(jù)故障的嚴重程

度進行故障處理。安全保護狀態(tài)內(nèi)可支持下列故障處理模式：

a)忽略模式：安全車控操作系統(tǒng)支持忽略該故障，安全車控操作系統(tǒng)將返回至故障位置處繼續(xù)

執(zhí)行；

b)關(guān)閉任務(wù)/中斷模式：安全車控操作系統(tǒng)支持關(guān)閉該故障任務(wù)/中斷；

c)分區(qū)關(guān)閉模式：安全車控操作系統(tǒng)支持將故障分區(qū)進行關(guān)閉；

d)分區(qū)關(guān)閉并重啟模式：安全車控操作系統(tǒng)支持將故障分區(qū)復(fù)位重啟。

6

T/CSAEXXXX—XXXX

5.2.6.4.10建議支持系統(tǒng)崩潰后的現(xiàn)場保存機制，當(dāng)安全車控操作系統(tǒng)內(nèi)核崩潰時，應(yīng)保存故障現(xiàn)場

信息。

5.2.6.5安全狀態(tài)

當(dāng)違背安全目標時，實時安全域應(yīng)進入以下安全狀態(tài)：

a)當(dāng)故障發(fā)生在安全車控操作系統(tǒng)的內(nèi)核內(nèi)時，安全車控操作系統(tǒng)應(yīng)能被立即復(fù)位重啟。

b)當(dāng)故障發(fā)生在安全車控操作系統(tǒng)的內(nèi)核外時，安全車控操作系統(tǒng)應(yīng)根據(jù)分區(qū)內(nèi)的故障嚴重程

度進入安全狀態(tài)：Hook狀態(tài)，返回故障碼或進入故障處理模式（忽略模式、關(guān)閉任務(wù)/中斷模

式、分區(qū)關(guān)閉模式、分區(qū)關(guān)閉并重啟模式）等，其它分區(qū)能正常運行。

功能軟件安全要求

5.3.1功能軟件通用要求

車控操作系統(tǒng)功能軟件應(yīng)符合5.3.2~5.3.5所述的安全要求。

5.3.2應(yīng)用軟件接口

5.3.2.1應(yīng)用軟件接口通用要求

應(yīng)用軟件接口通用要求應(yīng)滿足5.3.2.2~5.3.2.5的要求。

5.3.2.2安全目標

應(yīng)用軟件接口應(yīng)對軟件接口的數(shù)據(jù)以及相應(yīng)的通訊進行實時監(jiān)控，安全等級最高可支持ASIL-D。

5.3.2.3安全假設(shè)

5.3.2.3.1內(nèi)存保護單元應(yīng)對安全數(shù)據(jù)的內(nèi)存進行保護，防止非法讀寫訪問。

5.3.2.3.2應(yīng)有專門的監(jiān)控模塊對應(yīng)用軟件接口的程序流進行監(jiān)控，確保執(zhí)行時序的正確性。

5.3.2.4安全要求

5.3.2.4.1應(yīng)用軟件接口啟動時應(yīng)能進行初始化處理。

5.3.2.4.2應(yīng)用軟件接口面向功能模塊時，應(yīng)對輸入通訊接口（動態(tài)和靜態(tài)）的數(shù)據(jù)ID、攜帶數(shù)據(jù)的

類型和取值范圍進行校驗，當(dāng)檢測到數(shù)據(jù)ID錯誤、攜帶的數(shù)據(jù)的類型和取值范圍超出規(guī)定范圍時，需

要向相關(guān)的功能模塊發(fā)送錯誤通知或返回異常碼，以便明確具體的錯誤種類。

5.3.2.4.3應(yīng)用軟件接口面向應(yīng)用開發(fā)者時，應(yīng)對API接口的輸入?yún)?shù)的類型、取值范圍進行校驗，

當(dāng)檢測到參數(shù)異常時，需要返回異常值，并明確具體的錯誤種類。

5.3.2.4.4應(yīng)用軟件接口應(yīng)通過不同的模塊來進行數(shù)據(jù)校驗，并對安全相關(guān)的數(shù)據(jù)進行備份，來保證

功能數(shù)據(jù)的正確性。

5.3.2.4.5應(yīng)用軟件接口應(yīng)對收到的安全功能數(shù)據(jù)進行保存。當(dāng)收到新的功能數(shù)據(jù)時應(yīng)同之前保存的

數(shù)據(jù)進行比較，確認數(shù)據(jù)規(guī)范性，不符合時按照安全策略處理，例如：丟棄或者插值。

5.3.2.4.6當(dāng)不能收到功能模塊的通知或調(diào)用API返回異?；蛘{(diào)用API無法返回時，應(yīng)用軟件接口應(yīng)

進入相應(yīng)的安全狀態(tài)。

5.3.2.4.7對安全相關(guān)的數(shù)據(jù)應(yīng)增加獨立的冗余校驗?zāi)K，冗余校驗?zāi)K需要通過不同的模塊來進行

賦值。冗余校驗?zāi)K應(yīng)監(jiān)控數(shù)據(jù)的完整性和正確性，如果校驗不通過，應(yīng)進入對應(yīng)的安全狀態(tài)。

5.3.2.4.8應(yīng)用軟件接口應(yīng)按照安全需求制定相應(yīng)的安全機制。例如：

a)對相應(yīng)的通訊模塊進行監(jiān)控，當(dāng)既定的時間內(nèi)沒有接收到數(shù)據(jù)時，判斷為通信異常，進入相應(yīng)

的安全狀態(tài)；

b)針對RAM異常的情況，應(yīng)設(shè)置安全校驗機制（例如checksum校驗、ECC等方式）進行檢測，

實現(xiàn)周期的RAM檢測和關(guān)鍵數(shù)據(jù)的多重比較，當(dāng)檢測為異常時，進入相應(yīng)的安全狀態(tài)；

c)應(yīng)用軟件接口不應(yīng)使用動態(tài)內(nèi)存管理，啟動的時候應(yīng)該按照預(yù)先設(shè)計好的分配原則進行內(nèi)存分

配；

d)應(yīng)用接口在擴展或者增強的過程中，應(yīng)保證不會影響原有安全功能接口的使用；

e)應(yīng)用軟件接口應(yīng)明確哪些是與安全相關(guān)的參數(shù)以及參數(shù)的可配置范圍和權(quán)限。

7

T/CSAEXXXX—XXXX

5.3.2.4.9應(yīng)用軟件接口應(yīng)對有安全等級要求的API接口的輸出參數(shù)中添加E2E保護信息，對返回值

進行E2E校驗。

5.3.2.5安全狀態(tài)

當(dāng)違背安全目標時，可根據(jù)實際狀況進入以下安全狀態(tài)：讀取默認的配置數(shù)據(jù)、模塊重啟、記錄日

志或通知應(yīng)用模塊等。

5.3.3智能駕駛通用模型

5.3.3.1環(huán)境模型

5.3.3.1.1環(huán)境模型通用要求

環(huán)境模型應(yīng)符合5.3.3.1.2~5.3.3.1.5所述的要求。

5.3.3.1.2安全目標

環(huán)境模型應(yīng)能正確地感知目標信息、道路信息和定位信息，安全等級最高可支持ASIL-D。

5.3.3.1.3安全假設(shè)

5.3.3.1.3.1環(huán)境模型輸入的信號應(yīng)有通信保護或冗余通道，變量的正常范圍值應(yīng)定義清晰。

5.3.3.1.3.2環(huán)境模型中安全相關(guān)模塊的調(diào)度周期或運行時間應(yīng)該被監(jiān)控，來

5.3.3.1.3.3

5.3.3.1.3.4探測其運行太頻繁、運行過長等錯誤。

5.3.3.1.3.5存儲安全校驗?zāi)K的內(nèi)存應(yīng)該被保護，免于非法讀寫訪問。

5.3.3.1.4安全要求

5.3.3.1.4.1環(huán)境模型應(yīng)對目標檢測（動態(tài)和靜態(tài)目標）中目標元數(shù)據(jù)的目標ID、各組信號數(shù)據(jù)類型

和取值范圍進行校驗，當(dāng)檢測到目標ID與期望不符、各組信號數(shù)據(jù)類型錯誤或取值范圍超出目標范圍

時，發(fā)出無效標志位。

5.3.3.1.4.2環(huán)境模型對道路結(jié)構(gòu)信息（道路標線和停止線的識別信息）中車道線集合數(shù)組、車道線

元數(shù)據(jù)、停止線集合數(shù)組和停止線元數(shù)據(jù)的數(shù)據(jù)類型、取值范圍進行校驗，當(dāng)檢測到數(shù)據(jù)類型錯誤或取

值范圍超出目標范圍時，發(fā)出信號無效標志位；當(dāng)檢測到信息卡滯/丟失/延遲時，發(fā)出相應(yīng)故障標志位。

5.3.3.1.4.3環(huán)境模型對定位信息進行校驗，定位信息漂移/卡滯/丟失/延遲應(yīng)能被檢測，當(dāng)檢測到以

上失效應(yīng)發(fā)出相應(yīng)故障標志位。

5.3.3.1.4.4當(dāng)相應(yīng)信號無效標志位觸發(fā)時，融合模塊應(yīng)采取默認值或進入相應(yīng)安全狀態(tài)。

5.3.3.1.4.5對環(huán)境各類感知計算模塊應(yīng)增加獨立冗余校驗?zāi)K，以監(jiān)控計算是否正確，若計算出錯，

應(yīng)進入對應(yīng)安全狀態(tài)。

5.3.3.1.4.6對融合模塊應(yīng)增加合理性檢查，以校驗各路信號是否一致，若不一致，應(yīng)進入安全狀態(tài)。

5.3.3.1.4.7環(huán)境模型應(yīng)對計算處理后的輸出目標信號、道路信號、定位信號增加超時檢測（timeout）、

心跳計數(shù)器（alivecounter）、循環(huán)冗余校核（CRC）和有效位（valid）狀態(tài)等保護信息。

5.3.3.1.5安全狀態(tài)

當(dāng)違背安全目標時，可根據(jù)實際情況進入以下安全狀態(tài)：發(fā)布對應(yīng)故障信號的無效標志位或故障標

志位。

5.3.3.2規(guī)劃模型

5.3.3.2.1規(guī)劃模型通用要求

功能軟件環(huán)境模型應(yīng)符合5.3.3.2.2~5.3.3.2.5所述的要求。

5.3.3.2.2安全目標

規(guī)劃決策模型應(yīng)避免錯誤的橫/縱向軌跡輸出，安全等級最高可支持ASIL-D。

8

T/CSAEXXXX—XXXX

5.3.3.2.3安全假設(shè)

5.3.3.2.3.1功能軟件環(huán)境模型的輸入信號應(yīng)有通信保護或冗余通道，變量的正常范圍值應(yīng)定義清晰。

5.3.3.2.3.2環(huán)境模型中安全相應(yīng)模塊調(diào)度周期或運行時間應(yīng)該被監(jiān)控，來探測其運行太頻繁、運行

過長等錯誤。

5.3.3.2.3.3存儲安全校驗?zāi)K的內(nèi)存應(yīng)該被保護，免于非法讀寫訪問。

5.3.3.2.4安全要求

5.3.3.2.4.1規(guī)劃模塊應(yīng)對下面所述信息進行校驗，當(dāng)校驗失敗時，發(fā)出相應(yīng)信號無效標志位。

a)應(yīng)對個性化設(shè)置服務(wù)、定位服務(wù)輸入信息進行正確性和合理性校驗；

b)應(yīng)對自車狀態(tài)信息進行校驗，自車狀態(tài)包括但不限于轉(zhuǎn)向角、轉(zhuǎn)向速率、速度、加速度、當(dāng)前

控制模式、擋位、胎壓、車門狀態(tài)等；

c)應(yīng)對環(huán)境模型輸出信息（目標信號、道路信號、定位信號等）數(shù)據(jù)類型、取值范圍、正確性及

合理性進行校驗；

d)應(yīng)對環(huán)境感知融合服務(wù)、定位服務(wù)輸入信息的時間一致性進行檢查。

5.3.3.2.4.2當(dāng)信號無效標志位觸發(fā)時，規(guī)劃模塊應(yīng)采取最后有效值或默認安全值，并進入相應(yīng)安全

狀態(tài)。

5.3.3.2.4.3當(dāng)規(guī)劃模塊探測到自車狀態(tài)處于非正常狀態(tài)時，規(guī)劃模塊應(yīng)進入安全狀態(tài)或功能降級狀

態(tài)。

5.3.3.2.4.4當(dāng)規(guī)劃模塊探測到輸入模塊相應(yīng)信號超時、出錯或時序無法對齊等影響安全的失效時，

規(guī)劃模塊應(yīng)進入相應(yīng)安全狀態(tài)。

5.3.3.2.4.5規(guī)劃模塊應(yīng)對各類環(huán)境感知服務(wù)、定位服務(wù)、車輛狀態(tài)等輸入信息增加冗余校驗?zāi)K，

以監(jiān)控計算是否正確，若計算出錯，應(yīng)進入對應(yīng)安全狀態(tài)。同時應(yīng)對核心輸入信息的時間一致性增加獨

立的校驗?zāi)K，以監(jiān)控核心輸入信息是否在可允許的時間偏差范圍內(nèi)，如果輸入信息時間偏差過大，應(yīng)

進入對應(yīng)安全狀態(tài)。

5.3.3.2.4.6對規(guī)劃模塊本身應(yīng)增加檢查模塊，以監(jiān)控規(guī)劃模塊的健康狀態(tài)。當(dāng)規(guī)劃模塊在規(guī)定時間

內(nèi)無法正常工作并輸出有效軌跡時，規(guī)劃模塊應(yīng)妥善處理或進入相應(yīng)安全狀態(tài)。

5.3.3.2.4.7規(guī)劃模型應(yīng)對計算處理后輸出的未來軌跡規(guī)劃信息（縱向、橫向目標軌跡等）增加E2E

保護信息。

5.3.3.2.5安全狀態(tài)

當(dāng)違背安全目標時，可根據(jù)實際情況進入以下安全狀態(tài)：發(fā)布對應(yīng)故障信號的無效標志位或故障標

志位以及功能降級。

5.3.3.3控制模型

5.3.3.3.1控制模型通用要求

功能軟件控制模型應(yīng)符合5.3.3.3.2~5.3.3.3.5所述的要求。

5.3.3.3.2安全目標

控制模型應(yīng)避免輸出錯誤的橫/縱向控制指令，安全等級最高可支持ASIL-D。

5.3.3.3.3安全假設(shè)

5.3.3.3.3.1功能軟件環(huán)境模型輸入的信號應(yīng)有通信保護或冗余通道，變量的正常范圍值應(yīng)定義清晰。

5.3.3.3.3.2環(huán)境模型中安全相應(yīng)模塊調(diào)度周期或運行時間應(yīng)該被監(jiān)控，來探測其運行太頻繁、運行

過長等錯誤。

5.3.3.3.3.3存儲安全校驗?zāi)K的內(nèi)存應(yīng)該被保護，免于非法讀寫訪問。

5.3.3.3.4安全要求

5.3.3.3.4.1控制模塊應(yīng)對車輛底盤控制輸入信息進行狀態(tài)判斷及合理性校驗，包括對主要橫縱向控

制執(zhí)行器工作狀態(tài)進行判斷并對執(zhí)行器反饋信號進行閉環(huán)校驗。

9

T/CSAEXXXX—XXXX

5.3.3.3.4.2控制模塊應(yīng)對規(guī)劃模塊輸入信息進行檢查及合理性判斷，同時應(yīng)能檢測信號的卡滯/延遲，

當(dāng)檢測到相應(yīng)信號存在無效、超時、出錯等狀態(tài)時，規(guī)劃模塊應(yīng)采取默認值或進入相應(yīng)安全狀態(tài)。

5.3.3.3.4.3控制模塊應(yīng)對環(huán)境感知模型輸入信息進行檢查及合理性判斷。

5.3.3.3.4.4控制模型應(yīng)對輸入的待定軌跡的目標位置，參考速度數(shù)據(jù)類型和取值范圍進行校驗，當(dāng)

檢測到目標位置錯誤、各組信號數(shù)據(jù)類型錯誤或取值范圍超出目標范圍時，發(fā)出無效標志位。

5.3.3.3.4.5控制模型應(yīng)對輸入的待定軌跡的物理可達性進行校驗，當(dāng)檢測到待定軌跡模型超出車輛

物理或考慮舒適度的可達性范圍時，發(fā)出信號無效標志位。

5.3.3.3.4.6當(dāng)控制模塊根據(jù)車輛狀態(tài)反饋模塊探測到車輛處于非正常狀態(tài)時，控制模塊應(yīng)進入安全

狀態(tài)或功能降級狀態(tài)。

5.3.3.3.4.7當(dāng)控制模塊根據(jù)環(huán)境感知模塊輸入探測到車輛不處于指定ODD或者即將駛出指定ODD

時，控制模塊應(yīng)進入安全狀態(tài)或功能降級狀態(tài)。

5.3.3.3.4.8控制計算模塊應(yīng)根據(jù)安全目標的需要提供獨立冗余校驗?zāi)K，以監(jiān)控計算是否正確，若

計算出錯，應(yīng)進入對應(yīng)安全狀態(tài)。

5.3.3.3.4.9對控制計算模塊，在冗余校驗?zāi)K之外，根據(jù)安全目標需要增加使用不同方法保證快速

響應(yīng)備選控制器，若計算出錯或識別相應(yīng)信號無效標志位時，控制模塊應(yīng)該切換進入備份控制器或者進

入安全狀態(tài)。

5.3.3.3.4.10對輸出控制信號進行合理性檢查，以校驗輸出信號是否滿足取值范圍要求。若不滿足，

應(yīng)該進入對應(yīng)的安全狀態(tài)。

5.3.3.3.4.11在失效工況中，控制模型的輸出應(yīng)當(dāng)能夠根據(jù)決策的下一步操作（失效降級、失效可運

行等），確保輸出的實時和性能滿足要求。如果失效發(fā)生在控制模型端，需要確保相關(guān)的信息反饋能夠

實時準確的傳遞到其他模塊。

5.3.3.3.5安全狀態(tài)

當(dāng)違背安全目標時，可根據(jù)實際情況進入以下安全狀態(tài)：系統(tǒng)由備用控制器接管或退出，并發(fā)出警

告。

5.3.4功能軟件通用框架

5.3.4.1基礎(chǔ)服務(wù)

5.3.4.1.1基礎(chǔ)服務(wù)通用要求

功能軟件基礎(chǔ)服務(wù)應(yīng)符合5.3.4.1.2~5.3.4.1.5所述的要求。

5.3.4.1.2安全目標

軟件基礎(chǔ)服務(wù)須確保數(shù)據(jù)的準確性，通信實時性。安全等級最高可支持ASIL-D。

5.3.4.1.3安全假設(shè)

無。

5.3.4.1.4安全要求

5.3.4.1.4.1基礎(chǔ)服務(wù)應(yīng)增加輸入信號的啟動次數(shù)、CRC和有效位狀態(tài)等保護信息的校驗，基礎(chǔ)服務(wù)

應(yīng)根據(jù)不同信號的用途設(shè)定響應(yīng)的容錯時間。

5.3.4.1.4.2可靠性冗余模塊應(yīng)對冗余狀態(tài)信號進行監(jiān)控，若出現(xiàn)異常，應(yīng)進行冗余切換。

5.3.4.1.5安全狀態(tài)

當(dāng)違背安全目標時，可靠性冗余模塊可根據(jù)實際應(yīng)用進入如下安全狀態(tài)：降級處理或主備份控制切

換。

5.3.4.2數(shù)據(jù)流框架

5.3.4.2.1數(shù)據(jù)流框架通用要求

功能軟件數(shù)據(jù)流框架應(yīng)滿足5.3.4.2.2~5.3.4.2.5的要求。

10

T/CSAEXXXX—XXXX

5.3.4.2.2安全目標

數(shù)據(jù)流框架應(yīng)提供完整性和正確性的服務(wù)，安全等級最高可支持ASIL-D。

5.3.4.2.3安全假設(shè)

算法本身應(yīng)安全可靠，DDS應(yīng)支持所有QoS策略，數(shù)據(jù)流框架的配置信息應(yīng)保證其正確性。

5.3.4.2.4安全要求

5.3.4.2.4.1數(shù)據(jù)流框架應(yīng)能正確讀取、解析節(jié)點的配置文件，對配置文件進行校驗，若檢測到錯誤

應(yīng)不使用該配置文件，并進行故障上報和相應(yīng)的故障處理。

5.3.4.2.4.2數(shù)據(jù)流框架應(yīng)正確加載節(jié)點，若加載失敗，應(yīng)進行故障上報并進行相應(yīng)的故障處理。

5.3.4.2.4.3數(shù)據(jù)流框架應(yīng)正確運行節(jié)點，若運行失敗，應(yīng)進行故障上報并進行相應(yīng)的故障處理。

5.3.4.2.4.4數(shù)據(jù)流框架應(yīng)正確卸載節(jié)點，若卸載失敗，應(yīng)進行故障上報并進行相應(yīng)的故障處理。

5.3.4.2.4.5數(shù)據(jù)流框架應(yīng)為各節(jié)點之間的數(shù)據(jù)交互提供可靠的通訊通路，保證數(shù)據(jù)的正確性、時效

性。

5.3.4.2.4.6數(shù)據(jù)流框架在啟動前應(yīng)進行自檢，滿足啟動條件時才能啟動，否則停止啟動并上報故障。

5.3.4.2.5安全狀態(tài)

當(dāng)違背安全目標時，數(shù)據(jù)流框架應(yīng)進入以下安全狀態(tài)：發(fā)出故障報警，并限制數(shù)據(jù)訪問。

5.3.5數(shù)據(jù)抽象

5.3.5.1數(shù)據(jù)抽象通用要求

功能軟件數(shù)據(jù)抽象應(yīng)滿足5.3.5.2~5.3.5.5的要求。

5.3.5.2安全目標

數(shù)據(jù)抽象應(yīng)保證數(shù)據(jù)完整性不被破壞，安全等級最高可支持ASIL-D。

5.3.5.3安全假設(shè)

5.3.5.3.1數(shù)據(jù)源模塊需要具備數(shù)據(jù)完整性和一致性交互能力，能提供完整性和一致性信息，以及保

證完整性和一致性錯誤的恢復(fù)處理能力。

5.3.5.3.2上層的功能軟件通用框架和智能駕駛通用模型應(yīng)具備數(shù)據(jù)訪問功能，能提供訪問過程的完

整性和一致性交互能力，包括鑒權(quán)交互能力，數(shù)據(jù)傳輸安全機制，以及相應(yīng)錯誤的恢復(fù)處理能力。

5.3.5.3.3底層數(shù)據(jù)存儲管理需要支持數(shù)據(jù)存儲的完整性、一致性機制，包括加密、校驗、備份、分

區(qū)，以及自檢機制。

5.3.5.3.4假設(shè)各類數(shù)據(jù)的打點信息、數(shù)據(jù)結(jié)構(gòu)信息、數(shù)據(jù)抽象方式都是完整正確的，前端的需求明

確。數(shù)據(jù)抽象過程中要對相應(yīng)的傳感器、執(zhí)行器等承擔(dān)的功能進行安全分析，根據(jù)其安全屬性判斷哪些

數(shù)據(jù)是安全相關(guān)的，哪些是非安全相關(guān)的。

5.3.5.4安全要求

5.3.5.4.1數(shù)據(jù)抽象應(yīng)增加獨立冗余校驗?zāi)K，以監(jiān)控數(shù)據(jù)源的一致性和完整性。

5.3.5.4.2數(shù)據(jù)抽象應(yīng)對數(shù)據(jù)源中目標元數(shù)據(jù)ID、各組數(shù)據(jù)類型、取值范圍和數(shù)據(jù)完整性進行校驗，

當(dāng)檢測到相應(yīng)錯誤或數(shù)據(jù)不完整時，發(fā)出無效標志位。

5.3.5.4.3數(shù)據(jù)抽象應(yīng)對數(shù)據(jù)源中目標元數(shù)據(jù)的一致性信息進行校驗，當(dāng)檢測到一致性錯誤（校驗碼、

糾錯碼、數(shù)字簽名等），發(fā)出無效標志位。

5.3.5.4.4數(shù)據(jù)抽象應(yīng)增加獨立鑒權(quán)校驗?zāi)K，對數(shù)據(jù)訪問增加權(quán)限檢查。例如：對上層的功能軟件

通用框架和智能駕駛通用模型的數(shù)據(jù)訪問權(quán)限進行校驗，當(dāng)檢測權(quán)限非法時應(yīng)發(fā)出相應(yīng)無效標志位。

5.3.5.4.5數(shù)據(jù)抽象應(yīng)對數(shù)據(jù)管理增加診斷機制，對數(shù)據(jù)管理的完整性一致性進行監(jiān)控。若發(fā)生錯誤，

應(yīng)發(fā)出無效標志位。

5.3.5.4.6當(dāng)數(shù)據(jù)協(xié)議和標準結(jié)構(gòu)出現(xiàn)錯誤或無效時，需根據(jù)具體的安全需求，發(fā)出無效標志位。

5.3.5.4.7在數(shù)據(jù)抽象過程中，需具備相應(yīng)的安全機制以檢測出數(shù)據(jù)卡滯、丟失、翻轉(zhuǎn)等失效。

11

T/CSAEXXXX—XXXX

5.3.5.4.8當(dāng)相應(yīng)信號無效標志位觸發(fā)時，融合模塊應(yīng)采取默認值或進入相應(yīng)安全狀態(tài)。

5.3.5.4.9數(shù)據(jù)抽象應(yīng)對抽象后的數(shù)據(jù)增加E2E保護信息。

5.3.5.5安全狀態(tài)

當(dāng)違背安全目標時，數(shù)據(jù)抽象可根據(jù)實際應(yīng)用進入如下安全狀態(tài)：上報相關(guān)錯誤或錯誤恢復(fù)。

6車控操作系統(tǒng)驗證和確認

安全驗證要求

對本標準提及的安全要求和安全狀態(tài)的驗證按照國標GB/T34590.8第九章驗證進行。

安全確認要求

對本標準提及的安全目標和安全假設(shè)的確認按照國標GB/T34590.4第八章安全確認進行。

12

T/CSAEXXXX—XXXX

A

A

附錄A

附錄B（資料性）

附錄C車控操作系統(tǒng)架構(gòu)

C.1總體架構(gòu)

車控操作系統(tǒng)是自動駕駛相關(guān)功能開發(fā)的共性及核心軟件平臺。其中安全車控操作系統(tǒng)是指在經(jīng)典

車控ECU的主控MCU芯片上裝載運行的嵌入式實時操作系統(tǒng)，其架構(gòu)可參考、兼容或直接采納Classic

AUTOSAR軟件架構(gòu)，吸收其模塊化和分層的思想；智能駕駛操作系統(tǒng)架構(gòu)可參考或兼容Adaptive

AUTOSAR，并進行擴展。

車控操作系統(tǒng)采用縱向分層、橫向分區(qū)式架構(gòu)，并在邏輯層次上包含系統(tǒng)軟件和功能軟件框架，是

車載智能計算基礎(chǔ)平臺安全、實時、高效的核心和基礎(chǔ)。系統(tǒng)軟件創(chuàng)建復(fù)雜嵌入式系統(tǒng)運行環(huán)境，可以

實現(xiàn)與Classic和Adaptive兩個平臺的兼容和交互。功能軟件根據(jù)中國智能網(wǎng)聯(lián)汽車應(yīng)用特點，以及各類

輔助駕駛/自動駕駛功能的核心共性需求，明確定義和實現(xiàn)各共性子模塊，并進行通用模塊定義和實現(xiàn)。

在參考并吸收國內(nèi)外主流車控操作系統(tǒng)架構(gòu)的基礎(chǔ)上，提出基于“中國方案”的車控操作系統(tǒng)參考

架構(gòu)，如圖A.1所示，其中，紅色框線部分代表車控操作系統(tǒng)，藍色框線部分代表車載智能計算基礎(chǔ)平

臺，包含車控操作系統(tǒng)和分布式異構(gòu)硬件平臺。

圖A.1車控操作系統(tǒng)架構(gòu)

C.2系統(tǒng)軟件層

系統(tǒng)軟件是針對汽車場景定制的復(fù)雜大規(guī)模嵌入式系統(tǒng)運行環(huán)境。系統(tǒng)軟件一般包含操作系統(tǒng)內(nèi)核、

虛擬化管理（如Hypervisor）、POSIX、系統(tǒng)中間件及服務(wù)等。

13

T/CSAEXXXX—XXXX

圖A.2車控操作系統(tǒng)系統(tǒng)軟件架構(gòu)

C.2.1操作系統(tǒng)內(nèi)核

車控操作系統(tǒng)內(nèi)核（如Linux等）主要提供操作系統(tǒng)最基本的功能，主要包含線程調(diào)度、地址空間、

進程間通信、中斷管理等系統(tǒng)必須功能的最小實現(xiàn)，決定著系統(tǒng)的性能和穩(wěn)定性。內(nèi)核通過實時調(diào)度算

法來減少任務(wù)上下文的切換時間，從而滿足任務(wù)的時限要求。

C.2.2虛擬化管理

虛擬化管理技術(shù)是實現(xiàn)跨平臺應(yīng)用、提高硬件利用率的重要途徑，Hypervisor是一種硬件虛擬化技

術(shù)，負責(zé)管理并虛擬化異構(gòu)硬件資源（如CPU、內(nèi)存和外圍設(shè)備等），以提供給運行在Hypervisor之上

的多個操作系統(tǒng)內(nèi)核。Hypervisor支持異構(gòu)硬件單元（包括控制單元、計算單元、AI單元）的隔離，在

同一個異構(gòu)硬件平臺上支持不同的操作系統(tǒng)內(nèi)核，從而支持不同種類的應(yīng)用。Hypervisor是實現(xiàn)跨平臺

應(yīng)用、提高硬件利用率的重要途經(jīng)。

C.2.3POSIX

POSIX全稱為可移植性操作系統(tǒng)接口，是一種關(guān)于信息技術(shù)的IEEE標準，它包括系統(tǒng)應(yīng)用程序接

口（API），以及實時擴展C語言。POSIX定義了標準的基于UNIX操作系統(tǒng)的系統(tǒng)接口和環(huán)境來支持源

代碼級的可移植性。目前，POSIX主要提供了依賴C語言的一系列標準服務(wù)，在將來的版本中，標準將

致力于提供基于不同語言的規(guī)范。

C.2.4系統(tǒng)中間件及服務(wù)

系統(tǒng)中間件及服務(wù)主要用來為上層應(yīng)用提供基礎(chǔ)的系統(tǒng)服務(wù)，例如分布式通信中間件、應(yīng)用調(diào)度和

生命周期管理、安全框架和服務(wù)、責(zé)權(quán)管理、應(yīng)用更新管理、診斷日志等。

C.2.5實時安全域

實時安全域操作系統(tǒng)是系統(tǒng)軟件層上運行在MCU上的安全車控操作系統(tǒng)。主要包含硬件抽象層、

基礎(chǔ)軟件、實時操作系統(tǒng)內(nèi)核和運行時環(huán)境等模塊，最基本的要求是高實時性，系統(tǒng)具備硬實時特性，

需要在規(guī)定時間內(nèi)完成資源分配、任務(wù)并發(fā)、同步等指定動作，可參考ClassicAUTO