智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全技術(shù)要求

1智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全技術(shù)要求本文件規(guī)定了智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全的總體要求。本標(biāo)準(zhǔn)適用于M和N類車輛的智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)，其他類型的車輛可參照使用。本文件不包含由信息安全因素間接關(guān)聯(lián)的功能安全技術(shù)要求。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T34590道路車輛功能安全I(xiàn)SO/IEC9945信息技術(shù).可移植操作系統(tǒng)接口(POSIX)（Informationtechnology—PortableOperatingSystemInterface（POSIX））ISO26262道路車輛功能安全（Roadvehicles-Functionalsafety）3術(shù)語和定義GB/T34590界定的以及下列術(shù)語和定義適用于本文件。3.13.2車載計(jì)算平臺on-boardcomputingplatform支撐智能網(wǎng)聯(lián)汽車駕駛自動化功能等實(shí)現(xiàn)的軟硬件一體化平臺，包括芯片、模組、接口等硬件以及系統(tǒng)軟件和功能軟件等軟件，以適應(yīng)傳統(tǒng)電子控制單元向異構(gòu)高性能處理器轉(zhuǎn)變的趨勢。3.33.4車控操作系統(tǒng)vehicle-controlledoperatingsystem運(yùn)行于車載智能計(jì)算基礎(chǔ)平臺硬件及汽車電子控制單元硬件之上，支撐智能網(wǎng)聯(lián)汽車駕駛自動化功能實(shí)現(xiàn)和安全可靠運(yùn)行的軟件集合。車控操作系統(tǒng)由智能駕駛操作系統(tǒng)和安全車控操作系統(tǒng)組成。3.5智能駕駛操作系統(tǒng)intelligentdrivingoperatingsystem車控操作系統(tǒng)（3.2）中支撐智能網(wǎng)聯(lián)汽車駕駛自動化功能實(shí)現(xiàn)的軟件集合，包括系統(tǒng)軟件和功能軟件。3.6安全實(shí)時操作系統(tǒng)safetyvehicle-controlledoperatingsystem車控操作系統(tǒng)（3.2）中支撐智能網(wǎng)聯(lián)汽車安全可靠運(yùn)行的軟件集合，包括系統(tǒng)軟件和功能軟件。3.73.8系統(tǒng)軟件systemsoftware車控操作系統(tǒng)中支撐駕駛自動化功能實(shí)現(xiàn)的復(fù)雜大規(guī)模嵌入式系統(tǒng)運(yùn)行環(huán)境，包括操作系統(tǒng)內(nèi)核、虛擬化管理、POSIX、系統(tǒng)中間件及服務(wù)和實(shí)時安全域。3.93.10功能軟件functionsoftware車控操作系統(tǒng)中面向智能駕駛核心共性需求形成的智能駕駛共性服務(wù)軟件集合，支撐駕駛自動化功能開發(fā)，包括數(shù)據(jù)抽象、功能軟件通用框架、智能駕駛通用模型和應(yīng)用軟件接口。3.113.12相關(guān)項(xiàng)item實(shí)現(xiàn)整車層面功能或部分功能的系統(tǒng)或系統(tǒng)組合。[GB/T34590.1—2017，定義2.69]23.133.14獨(dú)立于環(huán)境的安全要素safetyelementoutofcontext不是在特定的相關(guān)項(xiàng)定義下開發(fā)的安全相關(guān)要素。4縮略語下列縮略語適用于本文件。CPU中央處理單元CentralProcessingUnitCRC循環(huán)冗余碼校驗(yàn)CyclicalRedundancyCheckDDS數(shù)據(jù)分發(fā)服務(wù)DataDistributionServiceECC錯誤檢查和糾正ErrorCheckingandCorrectionE2E端到端EndtoEndFFI免于干擾FreedomFromInterferenceFIFO先入先出FirstInFirstOutHSM硬件安全模塊HardwareSecurityModuleIMU慣性測量單元InertialMeasurementUnitIPC進(jìn)程間通信Inter-ProcessCommunicationMMU內(nèi)存管理單元MemoryManagementUnitMPU內(nèi)存保護(hù)單元MemoryProtectionUnitODD運(yùn)行設(shè)計(jì)域OperationalDesignDomainOS操作系統(tǒng)OperatingSystemPOSIX可移植操作系統(tǒng)接口PortableOperatingSystemInterfaceQM質(zhì)量管理QualityManagementQoS服務(wù)質(zhì)量QualityofServiceRAM隨機(jī)存取存儲器RandomAccessMemorySEooC獨(dú)立于環(huán)境的安全要素SafetyElementoutofContextVM虛擬機(jī)VirtualMachine5車控操作系統(tǒng)安全要求5.1通用要求5.1.1車控操作系統(tǒng)應(yīng)滿足ISO26262以及GB/T34590的要求，并達(dá)到客戶定義的安全目標(biāo)，最高可支持ASIL-D。5.1.2車控操作系統(tǒng)的功能安全開發(fā)應(yīng)采用SEooC的方式，應(yīng)假定整體的適用范圍、需求場景和安全5.1.3本標(biāo)準(zhǔn)安全狀態(tài)只定義軟件的安全狀態(tài)，系統(tǒng)及整車安全狀態(tài)由用戶來定義。5.1.4異構(gòu)分布硬件應(yīng)支持內(nèi)存保護(hù)和分區(qū)，以實(shí)現(xiàn)不同安全功能的內(nèi)存分離。5.1.5車控操作系統(tǒng)在全新特定環(huán)境下進(jìn)行集成之前，應(yīng)確認(rèn)全部假設(shè)在新環(huán)境下的有效性。若假設(shè)與實(shí)際需求不一致，應(yīng)按照GB/T34590第八部分第八章進(jìn)行變更管理。5.2系統(tǒng)軟件安全要求5.2.1系統(tǒng)軟件通用要求車控操作系統(tǒng)系統(tǒng)軟件應(yīng)符合5.2.2~5.2.6所述的安全要求。5.2.2操作系統(tǒng)內(nèi)核5.2.2.1操作系統(tǒng)內(nèi)核通用要求操作系統(tǒng)內(nèi)核應(yīng)符合5.2.2.2~5.2.2.5所述的要求。5.2.2.2安全目標(biāo)3車控操作系統(tǒng)應(yīng)提供正確可靠的運(yùn)行環(huán)境，安全等級最高可支持ASIL-D。5.2.2.3安全假設(shè)5.2.2.3.1對于使用操作系統(tǒng)進(jìn)行軟件部署的相關(guān)項(xiàng),操作系統(tǒng)應(yīng)該具有功能安全繼承或分解后的最高功能安全等級。5.2.2.3.2對于具體項(xiàng)目應(yīng)用，系統(tǒng)集成人員應(yīng)定義最差調(diào)度響應(yīng)時間，并基于目標(biāo)環(huán)境開展測試，驗(yàn)證所配置的調(diào)度策略和線程優(yōu)先級是否滿足最后期限(deadline)需求。5.2.2.3.3系統(tǒng)集成人員應(yīng)評審并確認(rèn)所有的配置(Manifest)是否滿足項(xiàng)目安全要求。5.2.2.3.4系統(tǒng)集成人員應(yīng)確保上層軟件模塊安全/正確地使用操作系統(tǒng)內(nèi)核提供的功能和機(jī)制。5.2.2.3.5使用者需確認(rèn)車控操作系統(tǒng)內(nèi)核在系統(tǒng)層級滿足所列外部假設(shè)條件，并且確保系統(tǒng)的運(yùn)行狀態(tài)在數(shù)據(jù)手冊所規(guī)定的范圍內(nèi)。5.2.2.4安全要求5.2.2.4.1操作系統(tǒng)內(nèi)核應(yīng)為用戶態(tài)應(yīng)用程序的存儲訪問提供隔離措施，以保證每個存儲訪問相互隔5.2.2.4.2操作系統(tǒng)內(nèi)核應(yīng)提供措施來約束每個進(jìn)程在執(zhí)行過程中不會使用超過其預(yù)先分配的資源。5.2.2.4.3操作系統(tǒng)內(nèi)核的地址空間應(yīng)被保護(hù)，并為應(yīng)用程序提供訪問內(nèi)核地址空間的安全接口，以支持安全相關(guān)的進(jìn)程間通訊比如管道、FIFO、共享存儲等。5.2.2.4.4如果硬件支持特權(quán)模式，操作系統(tǒng)內(nèi)核應(yīng)將不受信任的用戶態(tài)軟件置于非特權(quán)模式下，從而阻止不受信任的用戶態(tài)軟件訪問安全相關(guān)的硬件。5.2.2.4.5資源強(qiáng)制訪問控制機(jī)制，應(yīng)做到最小特權(quán)原則。5.2.2.4.6在操作系統(tǒng)內(nèi)核空間出現(xiàn)異常時，如非法系統(tǒng)調(diào)用、堆棧溢出、指針異常訪問、內(nèi)存越界、死循環(huán)、死鎖、超時等，操作系統(tǒng)內(nèi)核應(yīng)立即調(diào)用內(nèi)核異常處理程序，并上報(bào)對應(yīng)的故障代碼。如果內(nèi)核異常處理程序?yàn)榭?，操作系統(tǒng)內(nèi)核應(yīng)立即調(diào)用操作系統(tǒng)關(guān)閉處理程序。（內(nèi)核異常處理程序不建議為空）。5.2.2.4.7操作系統(tǒng)內(nèi)核應(yīng)診斷IPC消息傳遞的故障，如IPC消息發(fā)送失敗，消息接收失敗等。5.2.2.4.8當(dāng)一個安全相關(guān)線程出現(xiàn)異常時，如超時錯誤、內(nèi)存錯誤、指令錯誤等，操作系統(tǒng)內(nèi)核應(yīng)立即調(diào)用該線程的異常處理機(jī)制。如果該線程的異常處理機(jī)制為空，則內(nèi)核應(yīng)立即停止運(yùn)行該線程。（安全相關(guān)線程的異常處理機(jī)制不建議為空）。5.2.2.4.9操作系統(tǒng)內(nèi)核應(yīng)盡可能地監(jiān)控每個用戶態(tài)進(jìn)程的資源消耗，如CPU、內(nèi)存等。5.2.2.4.10在多核處理器上，當(dāng)操作系統(tǒng)內(nèi)核在一個處理器核心上檢測到異常并且需要關(guān)閉操作系統(tǒng)時，應(yīng)同時在所有其他處理器核心上關(guān)閉該操作系統(tǒng)。5.2.2.4.11操作系統(tǒng)內(nèi)核應(yīng)提供棧溢出診斷機(jī)制，以探測已經(jīng)發(fā)生的棧溢出錯誤并調(diào)用內(nèi)核異常處理程序。5.2.2.4.12對于內(nèi)核服務(wù)接口，操作系統(tǒng)內(nèi)核應(yīng)向用戶態(tài)軟件模塊提供安全的服務(wù)接口（如I/O操作、信號處理等），不正確地調(diào)用這些服務(wù)接口不應(yīng)導(dǎo)致內(nèi)核崩潰。5.2.2.4.13當(dāng)出現(xiàn)不正確的內(nèi)核服務(wù)接口調(diào)用（例如，傳遞非法地址、無效參數(shù)、非法的上下文等）時，內(nèi)核服務(wù)接口不應(yīng)執(zhí)行對應(yīng)的服務(wù)，并且立即返回錯誤代碼。5.2.2.5安全狀態(tài)違背安全目標(biāo)時，操作系統(tǒng)內(nèi)核進(jìn)入的安全狀態(tài)為：操作系統(tǒng)內(nèi)核日志、報(bào)警、降級、重啟或關(guān)閉5.2.3虛擬化管理5.2.3.1虛擬化管理通用要求系統(tǒng)軟件虛擬化管理及板級支持包應(yīng)符合5.2.3.2~5.2.3.5所述的要求。5.2.3.2安全目標(biāo)4虛擬化管理應(yīng)為跨平臺操作系統(tǒng)提供安全的虛擬環(huán)境接口，提供滿足FFI要求的隔離機(jī)制。安全等級最高支持ASIL-D。5.2.3.3安全假設(shè)5.2.3.3.1虛擬化管理應(yīng)用到的虛擬驅(qū)動安全等級最高為ASIL-D等級。5.2.3.3.2硬件應(yīng)提供系統(tǒng)內(nèi)存管理單元。5.2.3.3.3芯片的CPU、中斷控制器、I/O硬件應(yīng)支持硬件虛擬化的功能。5.2.3.3.4當(dāng)虛擬化管理及板級支持包上報(bào)故障或進(jìn)入安全狀態(tài)時，外部系統(tǒng)應(yīng)監(jiān)控虛擬化管理及板級支持包上報(bào)故障，確保整個系統(tǒng)的安全性。5.2.3.4安全要求5.2.3.4.1虛擬化管理及板級支持包應(yīng)具備相關(guān)硬件及軟件故障的診斷機(jī)制、故障上報(bào)機(jī)制、可能的故障處理機(jī)制以及故障恢復(fù)機(jī)制。注：可能的故障處理機(jī)制例如對于需要立即處理的安全相關(guān)故障，虛擬化管理5.2.3.4.2虛擬化管理及板級支持包在初始化虛擬環(huán)境時，應(yīng)按照但不限于下列方法對硬件進(jìn)行安全診斷測試：a)驗(yàn)證各個硬件模塊功能的正確性；.示例1：回讀寄存器驗(yàn)證寫入的參數(shù)是否成功；.示例2：進(jìn)行通訊回環(huán)測試；b)對硬件安全機(jī)制進(jìn)行故障注入測試；c)如果安全診斷測試不通過，應(yīng)根據(jù)故障類型停止加載上層軟件組件/進(jìn)程對象/GuestOS，同時應(yīng)上報(bào)故障給安全域；d)虛擬化管理模塊在運(yùn)行時對低安全等級的軟件組件（不具備足夠ASIL等級的存量軟件模塊或第三方軟件模塊）進(jìn)行功能安全監(jiān)控。如相關(guān)寄存器配置是否正確、運(yùn)行時是否有意外修改寄存器的行為、運(yùn)行時關(guān)鍵運(yùn)算結(jié)果的合理性校驗(yàn)。注：對于不同廠商提供的硬件IP，安全診斷測試需要根據(jù)硬件IP本身已有的硬件安全機(jī)制來設(shè)計(jì)。例如，硬件IP內(nèi)部的所有寄存器都有奇偶校驗(yàn)保護(hù)機(jī)制，則安全診斷測試需要對奇偶校驗(yàn)保護(hù)機(jī)制進(jìn)行故障注入測試；硬件IP內(nèi)部的寄存器沒有硬件保護(hù)機(jī)制，則安全診斷測試需要對寫入寄存器的數(shù)值進(jìn)行回讀校驗(yàn)，并進(jìn)5.2.3.4.3根據(jù)隔離和使用的需求，虛擬化管理應(yīng)支持對資源的靜態(tài)專用與動態(tài)共享的能力。5.2.3.4.4虛擬化管理在任何情況下（例如意外事件，系統(tǒng)過載等），都應(yīng)為安全分區(qū)提供足夠的運(yùn)行資源。5.2.3.4.5虛擬化管理應(yīng)管理所有VM分區(qū)之間的通訊訪問權(quán)限。5.2.3.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，虛擬化管理應(yīng)進(jìn)入的安全狀態(tài)為：虛擬化管理日志、報(bào)警、重啟等。5.2.4POSIX5.2.4.1POSIX通用要求系統(tǒng)軟件POSIX及其他接口應(yīng)符合5.2.4.2~5.2.4.5所述的要求。5.2.4.2安全目標(biāo)POSIX接口或POSIX接口的子集（例如PSE51）應(yīng)滿足免于干擾（FFI）要求。POSIX接口的實(shí)現(xiàn)安全等級最高支持ASIL-D。5.2.4.3安全假設(shè)5.2.4.3.1功能安全應(yīng)用應(yīng)充分考量POSIX接口的實(shí)時性要求；5.2.4.3.2功能安全應(yīng)用或應(yīng)用庫應(yīng)使用符合功能安全要求的POSIX接口，當(dāng)POSIX接口上報(bào)故障或進(jìn)入安全狀態(tài)時，系統(tǒng)需確保安全性。5.2.4.4安全要求55.2.4.4.1POSIX接口的設(shè)計(jì)應(yīng)符合ISO/IEC9945的要求。5.2.4.4.2POSIX接口應(yīng)進(jìn)行免于干擾FFI的設(shè)計(jì)，例如：不正確的調(diào)用（傳遞非法地址、無效參數(shù)、非法的上下文等）。這些安全的服務(wù)接口不應(yīng)導(dǎo)致內(nèi)核崩潰或安全隱患。5.2.4.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，POSIX接口應(yīng)進(jìn)入的安全狀態(tài)為：POSIX接口不應(yīng)執(zhí)行對應(yīng)的服務(wù)，返回錯誤代碼或執(zhí)行回滾等。5.2.5系統(tǒng)中間件及服務(wù)5.2.5.1系統(tǒng)中間件及服務(wù)通用要求系統(tǒng)中間件及服務(wù)應(yīng)符合5.2.5.2~5.2.5.5所述的要求。5.2.5.2安全目標(biāo)系統(tǒng)中間件及服務(wù)應(yīng)提供正確的基礎(chǔ)系統(tǒng)服務(wù)，安全等級最高支持ASIL-D。5.2.5.3安全假設(shè)5.2.5.3.1對于分布式通信中間件，硬件存儲單元中不帶有錯誤檢測功能的安全相關(guān)通訊都應(yīng)使用E2E保護(hù)。5.2.5.3.2對于應(yīng)用調(diào)度和生命周期管理，車控操作系統(tǒng)中不同ASIL等級的目標(biāo)文件不能混合分配給同一個進(jìn)程。5.2.5.3.3對于應(yīng)用調(diào)度和生命周期管理，操作系統(tǒng)內(nèi)核應(yīng)對進(jìn)程提供時間隔離和空間隔離。5.2.5.3.4需要調(diào)度的進(jìn)程的優(yōu)先級應(yīng)根據(jù)相關(guān)項(xiàng)的安全要求來定義。5.2.5.3.5應(yīng)在特定線程中進(jìn)行中斷事件處理。5.2.5.3.6對于安全框架和服務(wù)，ASIL-B及以上功能安全等級的安全相關(guān)應(yīng)用組件應(yīng)使用中間件提供的調(diào)度錯誤(如超時、運(yùn)行太過頻繁、亂序)的檢測機(jī)制。5.2.5.3.7安全相關(guān)應(yīng)用組件應(yīng)使用中間件提供的綁定監(jiān)控結(jié)果的健康監(jiān)控通道來報(bào)告檢測到的錯誤并觸發(fā)系統(tǒng)響應(yīng)。5.2.5.4安全要求5.2.5.4.1分布式通信中間件中，所有安全相關(guān)的以太網(wǎng)通訊都應(yīng)采用E2E保護(hù)。E2E應(yīng)包含如下信息：數(shù)據(jù)識別碼(DataID)、校驗(yàn)碼(CRC)和計(jì)數(shù)器(counter)等。5.2.5.4.2安全框架和服務(wù)應(yīng)符合如下要求：a)應(yīng)能正確初始化安全相關(guān)的硬件；b)應(yīng)能檢測安全相關(guān)組件的潛在故障；c)應(yīng)能驗(yàn)證啟動映像文件(image)的完整性（例如版本回退，錯誤日志記錄d)應(yīng)能驗(yàn)證應(yīng)用映像文件(image)的完整性，并提供錯誤處理和記錄；e)應(yīng)能在啟動時監(jiān)測可能禁止或影響安全機(jī)制產(chǎn)生作用的硬件潛在故障；f)應(yīng)能在運(yùn)行時監(jiān)測硬件錯誤，并在監(jiān)測到影響安全目標(biāo)的硬件錯誤時切換到安全狀態(tài)；g)應(yīng)能提供錯誤響應(yīng)處理機(jī)制；h)應(yīng)能提供監(jiān)控服務(wù)監(jiān)控應(yīng)用軟件正確執(zhí)行；i)應(yīng)能提供可以確保完整性的密鑰存儲機(jī)制，例如通過HSM硬件存儲或者軟件冗余存儲和回讀來監(jiān)測數(shù)據(jù)損壞或丟失；j)應(yīng)提供可以確保完整性的文件訪問，例如通過冗余存儲和回讀來監(jiān)測數(shù)據(jù)損壞或丟失。5.2.5.4.3應(yīng)用更新管理應(yīng)符合如下要求：a)每次應(yīng)用更新之前，應(yīng)該能對應(yīng)用來源的有效性和軟件包的完整性進(jìn)行檢查，若檢查失敗，應(yīng)停止升級并提示用戶；b)每次應(yīng)用更新完畢后，都應(yīng)進(jìn)行應(yīng)用軟件的完整性檢查，若檢查失敗，應(yīng)進(jìn)行提示并按升級失敗處置；c)每次應(yīng)用更新都應(yīng)有確定的更新狀態(tài)（包括更新成功或是更新失敗后回滾到更新前的狀態(tài)6d)一個安全相關(guān)功能所關(guān)聯(lián)的所有組件（應(yīng)用組件之間應(yīng)有明確的依賴關(guān)系，以提供應(yīng)用組件之間的關(guān)聯(lián)性操作，即使是分散在不同的應(yīng)用組件中）應(yīng)該在同一次更新中完成；e)狀態(tài)管理模塊能夠根據(jù)當(dāng)前是否有安全相關(guān)應(yīng)用運(yùn)行狀態(tài)以及車輛運(yùn)行狀態(tài)來允許或者禁止應(yīng)用更新。5.2.5.4.4診斷日志應(yīng)保護(hù)安全相關(guān)故障數(shù)據(jù)錯誤計(jì)數(shù)，防止被篡改或數(shù)據(jù)丟失，同時需要根據(jù)安全性不同定義不同級別的日志及保存時間。5.2.5.4.5需要具備確定的中斷延時和調(diào)度延時，以便支持硬實(shí)時的業(yè)務(wù)可以得到及時響應(yīng)。建議定義關(guān)中斷/關(guān)搶占、調(diào)度響應(yīng)時間方面的性能指標(biāo)要求。5.2.5.4.6應(yīng)根據(jù)相關(guān)安全要求來配置安全管理模塊中可能存在的出錯類型和出錯響應(yīng)類型。5.2.5.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，系統(tǒng)中間件及服務(wù)應(yīng)進(jìn)入的安全狀態(tài)為：不啟動或故障狀態(tài)。5.2.6實(shí)時安全域5.2.6.1實(shí)時安全域通用要求系統(tǒng)軟件實(shí)時安全域應(yīng)符合5.2.6.2~5.2.6.5所述的要求。5.2.6.2安全目標(biāo)實(shí)時安全域應(yīng)提供可靠且安全的實(shí)時運(yùn)行環(huán)境，安全等級最高支持ASIL-D。5.2.6.3安全假設(shè)硬件平臺應(yīng)支持安全車控操作系統(tǒng)內(nèi)存分區(qū)所需要的安全機(jī)制。5.2.6.4安全要求5.2.6.4.1實(shí)時安全域應(yīng)能實(shí)現(xiàn)核內(nèi)多任務(wù)間的互斥訪問操作且不能出現(xiàn)因優(yōu)先級翻轉(zhuǎn)而引起的“死鎖問題”。5.2.6.4.2實(shí)時安全域應(yīng)支持安全通信功能，以實(shí)現(xiàn)任務(wù)與任務(wù)、任務(wù)與中斷、多分區(qū)間通信（分區(qū)能分布于多個核）。5.2.6.4.3實(shí)時安全域應(yīng)支持多分區(qū)機(jī)制，以支持不同ASIL等級的軟件隔離。分區(qū)應(yīng)支持運(yùn)行于CPU的特權(quán)級模式以及非特權(quán)級模式。5.2.6.4.4實(shí)時安全域應(yīng)支持內(nèi)存保護(hù)機(jī)制，以實(shí)現(xiàn)分區(qū)間的物理隔離。5.2.6.4.5實(shí)時安全域應(yīng)支持多核互斥訪問機(jī)制，以實(shí)現(xiàn)對多核共享資源的互斥訪問，如自旋鎖機(jī)制。5.2.6.4.6實(shí)時安全域應(yīng)支持時間保護(hù)功能，為避免引起時間故障，下列因素需受到監(jiān)控：a)任務(wù)與中斷的執(zhí)行時間應(yīng)被監(jiān)控；b)任務(wù)與中斷使用資源/關(guān)閉中斷的時間應(yīng)被監(jiān)控；c)任務(wù)與中斷的到達(dá)率(頻率)應(yīng)被監(jiān)控。5.2.6.4.7實(shí)時安全域建議支持以下鉤子函數(shù)功能：a)錯誤鉤子函數(shù)：安全車控操作系統(tǒng)檢測到系統(tǒng)異常時，系統(tǒng)須將錯誤碼傳入錯誤鉤子函數(shù)；b)關(guān)閉鉤子函數(shù)：安全車控操作系統(tǒng)被關(guān)閉時，安全車控操作系統(tǒng)將先進(jìn)入關(guān)閉鉤子函數(shù)以使用戶保存安全相關(guān)數(shù)據(jù)；5.2.6.4.8實(shí)時安全域應(yīng)支持堆棧檢測功能，應(yīng)能對堆棧溢出故障進(jìn)行處理。5.2.6.4.9實(shí)時安全域建議支持故障處理功能，為避免由時間與分區(qū)故障造成的危害，當(dāng)安全車控操作系統(tǒng)檢測到時間與分區(qū)故障時，應(yīng)進(jìn)入安全保護(hù)狀態(tài)，在安全保護(hù)狀態(tài)內(nèi)，用戶能根據(jù)故障的嚴(yán)重程度進(jìn)行故障處理。安全保護(hù)狀態(tài)內(nèi)可支持下列故障處理模式：a)忽略模式：安全車控操作系統(tǒng)支持忽略該故障，安全車控操作系統(tǒng)將返回至故障位置處繼續(xù)執(zhí)行；b)關(guān)閉任務(wù)/中斷模式：安全車控操作系統(tǒng)支持關(guān)閉該故障任務(wù)/中斷；c)分區(qū)關(guān)閉模式：安全車控操作系統(tǒng)支持將故障分區(qū)進(jìn)行關(guān)閉；d)分區(qū)關(guān)閉并重啟模式：安全車控操作系統(tǒng)支持將故障分區(qū)復(fù)位重啟。75.2.6.4.10信息。建議支持系統(tǒng)崩潰后的現(xiàn)場保存機(jī)制，當(dāng)安全車控操作系統(tǒng)內(nèi)核崩潰時，應(yīng)保存故障現(xiàn)場5.2.6.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，實(shí)時安全域應(yīng)進(jìn)入以下安全狀態(tài)：a)當(dāng)故障發(fā)生在安全車控操作系統(tǒng)的內(nèi)核內(nèi)時，安全車控操作系統(tǒng)應(yīng)能被立即復(fù)位重啟。b)當(dāng)故障發(fā)生在安全車控操作系統(tǒng)的內(nèi)核外時，安全車控操作系統(tǒng)應(yīng)根據(jù)分區(qū)內(nèi)的故障嚴(yán)重程度進(jìn)入安全狀態(tài)：Hook狀態(tài)，返回故障碼或進(jìn)入故障處理模式（忽略模式、關(guān)閉任務(wù)/中斷模式、分區(qū)關(guān)閉模式、分區(qū)關(guān)閉并重啟模式）等，其它分區(qū)能正常運(yùn)行。5.3功能軟件安全要求5.3.1功能軟件通用要求車控操作系統(tǒng)功能軟件應(yīng)符合5.3.2~5.3.5所述的安全要求。5.3.2應(yīng)用軟件接口5.3.2.1應(yīng)用軟件接口通用要求應(yīng)用軟件接口通用要求應(yīng)滿足5.3.2.2~5.3.2.5的要求。5.3.2.2安全目標(biāo)應(yīng)用軟件接口應(yīng)對軟件接口的數(shù)據(jù)以及相應(yīng)的通訊進(jìn)行實(shí)時監(jiān)控，安全等級最高可支持ASIL-D。5.3.2.3安全假設(shè)5.3.2.3.1內(nèi)存保護(hù)單元應(yīng)對安全數(shù)據(jù)的內(nèi)存進(jìn)行保護(hù)，防止非法讀寫訪問。5.3.2.3.2應(yīng)有專門的監(jiān)控模塊對應(yīng)用軟件接口的程序流進(jìn)行監(jiān)控，確保執(zhí)行時序的正確性。5.3.2.4安全要求5.3.2.4.1應(yīng)用軟件接口啟動時應(yīng)能進(jìn)行初始化處理。5.3.2.4.2應(yīng)用軟件接口面向功能模塊時，應(yīng)對輸入通訊接口（動態(tài)和靜態(tài)）的數(shù)據(jù)ID、攜帶數(shù)據(jù)的類型和取值范圍進(jìn)行校驗(yàn)，當(dāng)檢測到數(shù)據(jù)ID錯誤、攜帶的數(shù)據(jù)的類型和取值范圍超出規(guī)定范圍時，需要向相關(guān)的功能模塊發(fā)送錯誤通知或返回異常碼，以便明確具體的錯誤種類。5.3.2.4.3應(yīng)用軟件接口面向應(yīng)用開發(fā)者時，應(yīng)對API接口的輸入?yún)?shù)的類型、取值范圍進(jìn)行校驗(yàn)，當(dāng)檢測到參數(shù)異常時，需要返回異常值，并明確具體的錯誤種類。5.3.2.4.4應(yīng)用軟件接口應(yīng)通過不同的模塊來進(jìn)行數(shù)據(jù)校驗(yàn)，并對安全相關(guān)的數(shù)據(jù)進(jìn)行備份，來保證功能數(shù)據(jù)的正確性。5.3.2.4.5應(yīng)用軟件接口應(yīng)對收到的安全功能數(shù)據(jù)進(jìn)行保存。當(dāng)收到新的功能數(shù)據(jù)時應(yīng)同之前保存的數(shù)據(jù)進(jìn)行比較，確認(rèn)數(shù)據(jù)規(guī)范性，不符合時按照安全策略處理，例如：丟棄或者插值。5.3.2.4.6當(dāng)不能收到功能模塊的通知或調(diào)用API返回異?；蛘{(diào)用API無法返回時，應(yīng)用軟件接口應(yīng)進(jìn)入相應(yīng)的安全狀態(tài)。5.3.2.4.7對安全相關(guān)的數(shù)據(jù)應(yīng)增加獨(dú)立的冗余校驗(yàn)?zāi)K，冗余校驗(yàn)?zāi)K需要通過不同的模塊來進(jìn)行賦值。冗余校驗(yàn)?zāi)K應(yīng)監(jiān)控?cái)?shù)據(jù)的完整性和正確性，如果校驗(yàn)不通過，應(yīng)進(jìn)入對應(yīng)的安全狀態(tài)。5.3.2.4.8應(yīng)用軟件接口應(yīng)按照安全需求制定相應(yīng)的安全機(jī)制。例如：a)對相應(yīng)的通訊模塊進(jìn)行監(jiān)控，當(dāng)既定的時間內(nèi)沒有接收到數(shù)據(jù)時，判斷為通信異常，進(jìn)入相應(yīng)的安全狀態(tài)；b)針對RAM異常的情況，應(yīng)設(shè)置安全校驗(yàn)機(jī)制（例如checksum校驗(yàn)、ECC等方式）進(jìn)行檢測，實(shí)現(xiàn)周期的RAM檢測和關(guān)鍵數(shù)據(jù)的多重比較，當(dāng)檢測為異常時，進(jìn)入相應(yīng)的安全狀態(tài)；c)應(yīng)用軟件接口不應(yīng)使用動態(tài)內(nèi)存管理，啟動的時候應(yīng)該按照預(yù)先設(shè)計(jì)好的分配原則進(jìn)行內(nèi)存分配；d)應(yīng)用接口在擴(kuò)展或者增強(qiáng)的過程中，應(yīng)保證不會影響原有安全功能接口的使用；e)應(yīng)用軟件接口應(yīng)明確哪些是與安全相關(guān)的參數(shù)以及參數(shù)的可配置范圍和權(quán)限。85.3.2.4.9應(yīng)用軟件接口應(yīng)對有安全等級要求的API接口的輸出參數(shù)中添加E2E保護(hù)信息，對返回值進(jìn)行E2E校驗(yàn)。5.3.2.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，可根據(jù)實(shí)際狀況進(jìn)入以下安全狀態(tài)：讀取默認(rèn)的配置數(shù)據(jù)、模塊重啟、記錄日志或通知應(yīng)用模塊等。5.3.3智能駕駛通用模型5.3.3.1環(huán)境模型5.3.3.1.1環(huán)境模型通用要求環(huán)境模型應(yīng)符合5.3.3.1.2~5.3.3.1.5所述的要求。5.3.3.1.2安全目標(biāo)環(huán)境模型應(yīng)能正確地感知目標(biāo)信息、道路信息和定位信息，安全等級最高可支持ASIL-D。5.3.3.1.3安全假設(shè)5.3.3.1.3.1環(huán)境模型輸入的信號應(yīng)有通信保護(hù)或冗余通道，變量的正常范圍值應(yīng)定義清晰。5.3.3.1.3.2環(huán)境模型中安全相關(guān)模塊的調(diào)度周期或運(yùn)行時間應(yīng)該被監(jiān)控，來5.3.3.1.3.35.3.3.1.3.4探測其運(yùn)行太頻繁、運(yùn)行過長等錯誤。5.3.3.1.3.5存儲安全校驗(yàn)?zāi)K的內(nèi)存應(yīng)該被保護(hù)，免于非法讀寫訪問。5.3.3.1.4安全要求5.3.3.1.4.1環(huán)境模型應(yīng)對目標(biāo)檢測（動態(tài)和靜態(tài)目標(biāo)）中目標(biāo)元數(shù)據(jù)的目標(biāo)ID、各組信號數(shù)據(jù)類型和取值范圍進(jìn)行校驗(yàn)，當(dāng)檢測到目標(biāo)ID與期望不符、各組信號數(shù)據(jù)類型錯誤或取值范圍超出目標(biāo)范圍時，發(fā)出無效標(biāo)志位。5.3.3.1.4.2環(huán)境模型對道路結(jié)構(gòu)信息（道路標(biāo)線和停止線的識別信息）中車道線集合數(shù)組、車道線元數(shù)據(jù)、停止線集合數(shù)組和停止線元數(shù)據(jù)的數(shù)據(jù)類型、取值范圍進(jìn)行校驗(yàn)，當(dāng)檢測到數(shù)據(jù)類型錯誤或取值范圍超出目標(biāo)范圍時，發(fā)出信號無效標(biāo)志位；當(dāng)檢測到信息卡滯/丟失/延遲時，發(fā)出相應(yīng)故障標(biāo)志位。5.3.3.1.4.3環(huán)境模型對定位信息進(jìn)行校驗(yàn)，定位信息漂移/卡滯/丟失/延遲應(yīng)能被檢測，當(dāng)檢測到以上失效應(yīng)發(fā)出相應(yīng)故障標(biāo)志位。5.3.3.1.4.4當(dāng)相應(yīng)信號無效標(biāo)志位觸發(fā)時，融合模塊應(yīng)采取默認(rèn)值或進(jìn)入相應(yīng)安全狀態(tài)。5.3.3.1.4.5對環(huán)境各類感知計(jì)算模塊應(yīng)增加獨(dú)立冗余校驗(yàn)?zāi)K，以監(jiān)控計(jì)算是否正確，若計(jì)算出錯，應(yīng)進(jìn)入對應(yīng)安全狀態(tài)。5.3.3.1.4.6對融合模塊應(yīng)增加合理性檢查，以校驗(yàn)各路信號是否一致，若不一致，應(yīng)進(jìn)入安全狀態(tài)。5.3.3.1.4.7環(huán)境模型應(yīng)對計(jì)算處理后的輸出目標(biāo)信號、道路信號、定位信號增加超時檢測（timeout）、心跳計(jì)數(shù)器（alivecounter）、循環(huán)冗余校核（CRC）和有效位（valid）狀態(tài)等保護(hù)信息。5.3.3.1.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，可根據(jù)實(shí)際情況進(jìn)入以下安全狀態(tài)：發(fā)布對應(yīng)故障信號的無效標(biāo)志位或故障標(biāo)志位。5.3.3.2規(guī)劃模型5.3.3.2.1規(guī)劃模型通用要求功能軟件環(huán)境模型應(yīng)符合5.3.3.2.2~5.3.3.2.5所述的要求。5.3.3.2.2安全目標(biāo)規(guī)劃決策模型應(yīng)避免錯誤的橫/縱向軌跡輸出，安全等級最高可支持ASIL-D。95.3.3.2.3安全假設(shè)5.3.3.2.3.1功能軟件環(huán)境模型的輸入信號應(yīng)有通信保護(hù)或冗余通道，變量的正常范圍值應(yīng)定義清晰。5.3.3.2.3.2環(huán)境模型中安全相應(yīng)模塊調(diào)度周期或運(yùn)行時間應(yīng)該被監(jiān)控，來探測其運(yùn)行太頻繁、運(yùn)行過長等錯誤。5.3.3.2.3.3存儲安全校驗(yàn)?zāi)K的內(nèi)存應(yīng)該被保護(hù)，免于非法讀寫訪問。5.3.3.2.4安全要求5.3.3.2.4.1規(guī)劃模塊應(yīng)對下面所述信息進(jìn)行校驗(yàn)，當(dāng)校驗(yàn)失敗時，發(fā)出相應(yīng)信號無效標(biāo)志位。a)應(yīng)對個性化設(shè)置服務(wù)、定位服務(wù)輸入信息進(jìn)行正確性和合理性校驗(yàn)；b)應(yīng)對自車狀態(tài)信息進(jìn)行校驗(yàn)，自車狀態(tài)包括但不限于轉(zhuǎn)向角、轉(zhuǎn)向速率、速度、加速度、當(dāng)前控制模式、擋位、胎壓、車門狀態(tài)等；c)應(yīng)對環(huán)境模型輸出信息（目標(biāo)信號、道路信號、定位信號等）數(shù)據(jù)類型、取值范圍、正確性及合理性進(jìn)行校驗(yàn)；d)應(yīng)對環(huán)境感知融合服務(wù)、定位服務(wù)輸入信息的時間一致性進(jìn)行檢查。5.3.3.2.4.2當(dāng)信號無效標(biāo)志位觸發(fā)時，規(guī)劃模塊應(yīng)采取最后有效值或默認(rèn)安全值，并進(jìn)入相應(yīng)安全狀態(tài)。5.3.3.2.4.3當(dāng)規(guī)劃模塊探測到自車狀態(tài)處于非正常狀態(tài)時，規(guī)劃模塊應(yīng)進(jìn)入安全狀態(tài)或功能降級狀態(tài)。5.3.3.2.4.4當(dāng)規(guī)劃模塊探測到輸入模塊相應(yīng)信號超時、出錯或時序無法對齊等影響安全的失效時，規(guī)劃模塊應(yīng)進(jìn)入相應(yīng)安全狀態(tài)。5.3.3.2.4.5規(guī)劃模塊應(yīng)對各類環(huán)境感知服務(wù)、定位服務(wù)、車輛狀態(tài)等輸入信息增加冗余校驗(yàn)?zāi)K，以監(jiān)控計(jì)算是否正確，若計(jì)算出錯，應(yīng)進(jìn)入對應(yīng)安全狀態(tài)。同時應(yīng)對核心輸入信息的時間一致性增加獨(dú)立的校驗(yàn)?zāi)K，以監(jiān)控核心輸入信息是否在可允許的時間偏差范圍內(nèi)，如果輸入信息時間偏差過大，應(yīng)進(jìn)入對應(yīng)安全狀態(tài)。5.3.3.2.4.6對規(guī)劃模塊本身應(yīng)增加檢查模塊，以監(jiān)控規(guī)劃模塊的健康狀態(tài)。當(dāng)規(guī)劃模塊在規(guī)定時間內(nèi)無法正常工作并輸出有效軌跡時，規(guī)劃模塊應(yīng)妥善處理或進(jìn)入相應(yīng)安全狀態(tài)。5.3.3.2.4.7規(guī)劃模型應(yīng)對計(jì)算處理后輸出的未來軌跡規(guī)劃信息（縱向、橫向目標(biāo)軌跡等）增加E2E保護(hù)信息。5.3.3.2.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，可根據(jù)實(shí)際情況進(jìn)入以下安全狀態(tài)：發(fā)布對應(yīng)故障信號的無效標(biāo)志位或故障標(biāo)志位以及功能降級。5.3.3.3控制模型5.3.3.3.1控制模型通用要求功能軟件控制模型應(yīng)符合5.3.3.3.2~5.3.3.3.5所述的要求。5.3.3.3.2安全目標(biāo)控制模型應(yīng)避免輸出錯誤的橫/縱向控制指令，安全等級最高可支持ASIL-D。5.3.3.3.3安全假設(shè)5.3.3.3.3.1功能軟件環(huán)境模型輸入的信號應(yīng)有通信保護(hù)或冗余通道，變量的正常范圍值應(yīng)定義清晰。5.3.3.3.3.2環(huán)境模型中安全相應(yīng)模塊調(diào)度周期或運(yùn)行時間應(yīng)該被監(jiān)控，來探測其運(yùn)行太頻繁、運(yùn)行過長等錯誤。5.3.3.3.3.3存儲安全校驗(yàn)?zāi)K的內(nèi)存應(yīng)該被保護(hù)，免于非法讀寫訪問。5.3.3.3.4安全要求5.3.3.3.4.1控制模塊應(yīng)對車輛底盤控制輸入信息進(jìn)行狀態(tài)判斷及合理性校驗(yàn)，包括對主要橫縱向控制執(zhí)行器工作狀態(tài)進(jìn)行判斷并對執(zhí)行器反饋信號進(jìn)行閉環(huán)校驗(yàn)。5.3.3.3.4.2控制模塊應(yīng)對規(guī)劃模塊輸入信息進(jìn)行檢查及合理性判斷，同時應(yīng)能檢測信號的卡滯/延遲，當(dāng)檢測到相應(yīng)信號存在無效、超時、出錯等狀態(tài)時，規(guī)劃模塊應(yīng)采取默認(rèn)值或進(jìn)入相應(yīng)安全狀態(tài)。5.3.3.3.4.3控制模塊應(yīng)對環(huán)境感知模型輸入信息進(jìn)行檢查及合理性判斷。5.3.3.3.4.4控制模型應(yīng)對輸入的待定軌跡的目標(biāo)位置，參考速度數(shù)據(jù)類型和取值范圍進(jìn)行校驗(yàn)，當(dāng)檢測到目標(biāo)位置錯誤、各組信號數(shù)據(jù)類型錯誤或取值范圍超出目標(biāo)范圍時，發(fā)出無效標(biāo)志位。5.3.3.3.4.5控制模型應(yīng)對輸入的待定軌跡的物理可達(dá)性進(jìn)行校驗(yàn)，當(dāng)檢測到待定軌跡模型超出車輛物理或考慮舒適度的可達(dá)性范圍時，發(fā)出信號無效標(biāo)志位。5.3.3.3.4.6當(dāng)控制模塊根據(jù)車輛狀態(tài)反饋模塊探測到車輛處于非正常狀態(tài)時，控制模塊應(yīng)進(jìn)入安全狀態(tài)或功能降級狀態(tài)。5.3.3.3.4.7當(dāng)控制模塊根據(jù)環(huán)境感知模塊輸入探測到車輛不處于指定ODD或者即將駛出指定ODD時，控制模塊應(yīng)進(jìn)入安全狀態(tài)或功能降級狀態(tài)。5.3.3.3.4.8控制計(jì)算模塊應(yīng)根據(jù)安全目標(biāo)的需要提供獨(dú)立冗余校驗(yàn)?zāi)K，以監(jiān)控計(jì)算是否正確，若計(jì)算出錯，應(yīng)進(jìn)入對應(yīng)安全狀態(tài)。5.3.3.3.4.9對控制計(jì)算模塊，在冗余校驗(yàn)?zāi)K之外，根據(jù)安全目標(biāo)需要增加使用不同方法保證快速響應(yīng)備選控制器，若計(jì)算出錯或識別相應(yīng)信號無效標(biāo)志位時，控制模塊應(yīng)該切換進(jìn)入備份控制器或者進(jìn)入安全狀態(tài)。5.3.3.3.4.10對輸出控制信號進(jìn)行合理性檢查，以校驗(yàn)輸出信號是否滿足取值范圍要求。若不滿足，應(yīng)該進(jìn)入對應(yīng)的安全狀態(tài)。5.3.3.3.4.11在失效工況中，控制模型的輸出應(yīng)當(dāng)能夠根據(jù)決策的下一步操作（失效降級、失效可運(yùn)行等確保輸出的實(shí)時和性能滿足要求。如果失效發(fā)生在控制模型端，需要確保相關(guān)的信息反饋能夠?qū)崟r準(zhǔn)確的傳遞到其他模塊。5.3.3.3.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，可根據(jù)實(shí)際情況進(jìn)入以下安全狀態(tài)：系統(tǒng)由備用控制器接管或退出，并發(fā)出警5.3.4功能軟件通用框架5.3.4.1基礎(chǔ)服務(wù)5.3.4.1.1基礎(chǔ)服務(wù)通用要求功能軟件基礎(chǔ)服務(wù)應(yīng)符合5.3.4.1.2~5.3.4.1.5所述的要求。5.3.4.1.2安全目標(biāo)軟件基礎(chǔ)服務(wù)須確保數(shù)據(jù)的準(zhǔn)確性，通信實(shí)時性。安全等級最高可支持ASIL-D。5.3.4.1.3安全假設(shè)5.3.4.1.4安全要求5.3.4.1.4.1基礎(chǔ)服務(wù)應(yīng)增加輸入信號的啟動次數(shù)、CRC和有效位狀態(tài)等保護(hù)信息的校驗(yàn)，基礎(chǔ)服務(wù)應(yīng)根據(jù)不同信號的用途設(shè)定響應(yīng)的容錯時間。5.3.4.1.4.2可靠性冗余模塊應(yīng)對冗余狀態(tài)信號進(jìn)行監(jiān)控，若出現(xiàn)異常，應(yīng)進(jìn)行冗余切換。5.3.4.1.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，可靠性冗余模塊可根據(jù)實(shí)際應(yīng)用進(jìn)入如下安全狀態(tài)：降級處理或主備份控制切5.3.4.2數(shù)據(jù)流框架5.3.4.2.1數(shù)據(jù)流框架通用要求功能軟件數(shù)據(jù)流框架應(yīng)滿足5.3.4.2.2~5.3.4.2.5的要求。5.3.4.2.2安全目標(biāo)數(shù)據(jù)流框架應(yīng)提供完整性和正確性的服務(wù)，安全等級最高可支持ASIL-D。5.3.4.2.3安全假設(shè)算法本身應(yīng)安全可靠，DDS應(yīng)支持所有QoS策略，數(shù)據(jù)流框架的配置信息應(yīng)保證其正確性。5.3.4.2.4安全要求5.3.4.2.4.1數(shù)據(jù)流框架應(yīng)能正確讀取、解析節(jié)點(diǎn)的配置文件，對配置文件進(jìn)行校驗(yàn)，若檢測到錯誤應(yīng)不使用該配置文件，并進(jìn)行故障上報(bào)和相應(yīng)的故障處理。5.3.4.2.4.2數(shù)據(jù)流框架應(yīng)正確加載節(jié)點(diǎn)，若加載失敗，應(yīng)進(jìn)行故障上報(bào)并進(jìn)行相應(yīng)的故障處理。5.3.4.2.4.3數(shù)據(jù)流框架應(yīng)正確運(yùn)行節(jié)點(diǎn)，若運(yùn)行失敗，應(yīng)進(jìn)行故障上報(bào)并進(jìn)行相應(yīng)的故障處理。5.3.4.2.4.4數(shù)據(jù)流框架應(yīng)正確卸載節(jié)點(diǎn)，若卸載失敗，應(yīng)進(jìn)行故障上報(bào)并進(jìn)行相應(yīng)的故障處理。5.3.4.2.4.5數(shù)據(jù)流框架應(yīng)為各節(jié)點(diǎn)之間的數(shù)據(jù)交互提供可靠的通訊通路，保證數(shù)據(jù)的正確性、時效5.3.4.2.4.6數(shù)據(jù)流框架在啟動前應(yīng)進(jìn)行自檢，滿足啟動條件時才能啟動，否則停止啟動并上報(bào)故障。5.3.4.2.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，數(shù)據(jù)流框架應(yīng)進(jìn)入以下安全狀態(tài)：發(fā)出故障報(bào)警，并限制數(shù)據(jù)訪問。5.3.5數(shù)據(jù)抽象5.3.5.1數(shù)據(jù)抽象通用要求功能軟件數(shù)據(jù)抽象應(yīng)滿足5.3.5.2~5.3.5.5的要求。5.3.5.2安全目標(biāo)數(shù)據(jù)抽象應(yīng)保證數(shù)據(jù)完整性不被破壞，安全等級最高可支持ASIL-D。5.3.5.3安全假設(shè)5.3.5.3.1數(shù)據(jù)源模塊需要具備數(shù)據(jù)完整性和一致性交互能力，能提供完整性和一致性信息，以及保證完整性和一致性錯誤的恢復(fù)處理能力。5.3.5.3.2上層的功能軟件通用框架和智能駕駛通用模型應(yīng)具備數(shù)據(jù)訪問功能，能提供訪問過程的完整性和一致性交互能力，包括鑒權(quán)交互能力，數(shù)據(jù)傳輸安全機(jī)制，以及相應(yīng)錯誤的恢復(fù)處理能力。5.3.5.3.3底層數(shù)據(jù)存儲管理需要支持?jǐn)?shù)據(jù)存儲的完整性、一致性機(jī)制，包括加密、校驗(yàn)、備份、分區(qū)，以及自檢機(jī)制。5.3.5.3.4假設(shè)各類數(shù)據(jù)的打點(diǎn)信息、數(shù)據(jù)結(jié)構(gòu)信息、數(shù)據(jù)抽象方式都是完整正確的，前端的需求明確。數(shù)據(jù)抽象過程中要對相應(yīng)的傳感器、執(zhí)行器等承擔(dān)的功能進(jìn)行安全分析，根據(jù)其安全屬性判斷哪些數(shù)據(jù)是安全相關(guān)的，哪些是非安全相關(guān)的。5.3.5.4安全要求5.3.5.4.1數(shù)據(jù)抽象應(yīng)增加獨(dú)立冗余校驗(yàn)?zāi)K，以監(jiān)控?cái)?shù)據(jù)源的一致性和完整性。5.3.5.4.2數(shù)據(jù)抽象應(yīng)對數(shù)據(jù)源中目標(biāo)元數(shù)據(jù)ID、各組數(shù)據(jù)類型、取值范圍和數(shù)據(jù)完整性進(jìn)行校驗(yàn)，當(dāng)檢測到相應(yīng)錯誤或數(shù)據(jù)不完整時，發(fā)出無效標(biāo)志位。5.3.5.4.3數(shù)據(jù)抽象應(yīng)對數(shù)據(jù)源中目標(biāo)元數(shù)據(jù)的一致性信息進(jìn)行校驗(yàn)，當(dāng)檢測到一致性錯誤（校驗(yàn)碼、糾錯碼、數(shù)字簽名等），發(fā)出無效標(biāo)志位。5.3.5.4.4數(shù)據(jù)抽象應(yīng)增加獨(dú)立鑒權(quán)校驗(yàn)?zāi)K，對數(shù)據(jù)訪問增加權(quán)限檢查。例如：對上層的功能軟件通用框架和智能駕駛通用模型的數(shù)據(jù)訪問權(quán)限進(jìn)行校驗(yàn)，當(dāng)檢測權(quán)限非法時應(yīng)發(fā)出相應(yīng)無效標(biāo)志位。5.3.5.4.5數(shù)據(jù)抽象應(yīng)對數(shù)據(jù)管理增加診斷機(jī)制，對數(shù)據(jù)管理的完整性一致性進(jìn)行監(jiān)控。若發(fā)生錯誤，應(yīng)發(fā)出無效標(biāo)志位。5.3.5.4.6當(dāng)數(shù)據(jù)協(xié)議和標(biāo)準(zhǔn)結(jié)構(gòu)出現(xiàn)錯誤或無效時，需根據(jù)具體的安全需求，發(fā)出無效標(biāo)志位。5.3.5.4.7在數(shù)據(jù)抽象過程中，需具備相應(yīng)的安全機(jī)制以檢測出數(shù)據(jù)卡滯、丟失、翻轉(zhuǎn)等失效。5.3.5.4.85.3.5.4.9當(dāng)相應(yīng)信號無效標(biāo)志位觸發(fā)時，融合模塊應(yīng)采取默認(rèn)值或進(jìn)入相應(yīng)安全狀態(tài)。數(shù)據(jù)抽象應(yīng)對抽象后的數(shù)據(jù)增加E2E保護(hù)信息。5.3.5.5安全狀態(tài)當(dāng)違背安全目標(biāo)時，數(shù)據(jù)抽象可根據(jù)實(shí)際應(yīng)用進(jìn)入如下安全狀態(tài)：上報(bào)相關(guān)錯誤或錯誤恢復(fù)。6車控操作系統(tǒng)驗(yàn)證和確認(rèn)6.1安全驗(yàn)證要求對本標(biāo)準(zhǔn)提及的安全要求和安全狀態(tài)的驗(yàn)證按照國標(biāo)GB/T34590.8第九章驗(yàn)證進(jìn)行。6.2安全確認(rèn)要求對本標(biāo)準(zhǔn)提及的安全目標(biāo)和安全假設(shè)的確認(rèn)按照國標(biāo)GB/T34590.4第八章安全確認(rèn)進(jìn)行。附錄B（資料性）附錄C車控操作系統(tǒng)架構(gòu)C.1總體架構(gòu)車控操作系統(tǒng)是自動駕駛相關(guān)功能開發(fā)的共性及核心軟件平臺。其中安全車控操作系統(tǒng)是指在經(jīng)典車控ECU的主控MCU芯片上裝載運(yùn)行的嵌入式實(shí)時操作系統(tǒng)，其架構(gòu)可參考、兼容或直接采納ClassicAUTOSAR軟件架構(gòu)，吸收其模塊化和分層的思想；智能駕駛操作系統(tǒng)架構(gòu)可參考或兼容AdaptiveAUTOSAR，并進(jìn)行擴(kuò)展。車控操作系統(tǒng)采用縱向分層、橫向分區(qū)式架構(gòu)，并在邏輯層次上包含系統(tǒng)軟件和功能軟件框架，是車載智能計(jì)算基礎(chǔ)平臺安全、實(shí)時、高效的核心和基礎(chǔ)。系統(tǒng)軟件創(chuàng)建復(fù)雜嵌入式系統(tǒng)運(yùn)行環(huán)境，可以實(shí)現(xiàn)與Classic和Adaptive兩個平臺的兼容和交互。功能軟件根據(jù)中國智能網(wǎng)聯(lián)汽車應(yīng)用特點(diǎn)，以及各類輔助駕駛/自動駕駛功能的核心共性需求，明確定義和實(shí)現(xiàn)各共性子模塊，并進(jìn)行通用模塊定義和實(shí)現(xiàn)。在參考并吸收國內(nèi)外主流車控操作系統(tǒng)架構(gòu)的基礎(chǔ)上，提出基于“中國方案”的車控操作系統(tǒng)參考架構(gòu)，如圖A.1所示，其中，紅色框線部分代表車控操作系統(tǒng)，藍(lán)色框線部分代表車載智能計(jì)算基礎(chǔ)平臺，包含車控操作系統(tǒng)和分布式異構(gòu)硬件平臺。圖A.1車控操作系統(tǒng)架構(gòu)C.2系統(tǒng)軟件層系統(tǒng)軟件是針對汽車場景定制的復(fù)雜大規(guī)模嵌入式系統(tǒng)運(yùn)行環(huán)境。系統(tǒng)軟件一般包含操作系統(tǒng)內(nèi)核、虛擬化管理（如Hypervisor）、POSIX、系統(tǒng)中間件及服務(wù)等。圖A.2車控操作系統(tǒng)系統(tǒng)軟件架構(gòu)C.2.1操作系統(tǒng)內(nèi)核車控操作系統(tǒng)內(nèi)核（如Linux等）主要提供操作系統(tǒng)最基本的功能，主要包含線程調(diào)度、地址空間、進(jìn)程間通信、中斷管理等系統(tǒng)必須功能的最小實(shí)現(xiàn)，決定著系統(tǒng)的性能和穩(wěn)定性。內(nèi)核通過實(shí)時調(diào)度算法來減少任務(wù)上下文的切換時間，從而滿足任務(wù)的時限要求。C.2.2虛擬化管理虛擬化管理技術(shù)是實(shí)現(xiàn)跨平臺應(yīng)用、提高硬件利用率的重要途徑，Hypervisor是一種硬件虛擬化技術(shù)，負(fù)責(zé)管理并虛擬化異構(gòu)硬件資源（如CPU、內(nèi)存和外圍設(shè)備等），以提供給運(yùn)行在Hypervisor之上的多個操作系統(tǒng)內(nèi)核。Hypervisor支持異構(gòu)