ICS點擊此處添加ICS號

CCS點擊此處添加CCS號

中國汽車工程學會2341中國汽車工程學會2341CSA中國汽車工程學會2341E

團體標準

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

智能網聯(lián)汽車車控操作系統(tǒng)功能安全技術

要求

中國汽車工程學會2341Functionalsa中國汽車工程學會2341fetytechnicalrequirementsfor中國汽車工程學會2341

vehicle-controloperatingsystemofintelligentandconnectedvehicle

中國汽車工程學會2341中國汽車工程學會2341（送審稿）中國汽車工程學會2341

（本草案完成時間：20220802）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

??發(fā)布

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

智能網聯(lián)汽車車控操作系統(tǒng)功能安全技術要求

1范圍

本文件規(guī)定了智能網聯(lián)汽車車控操作系統(tǒng)功能安全的總體要求。

本標準適用于和類車輛的智能網聯(lián)汽車車控操作系統(tǒng)，其他類型的車輛可參照使用。

中國汽車工程學會2341MN中國汽車工程學會2341中國汽車工程學會2341

本標準不包含由信息安全因素間接關聯(lián)的功能安全技術要求。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590.1道路車輛功能安全第1部分：術語

中國汽車工程學會2341GB/T34590.6道路車輛功能安中國汽車工程學會2341全第6部分：產品開發(fā)：軟件層面中國汽車工程學會2341

GB/T34590.8道路車輛功能安全第8部分：產品開發(fā)：支持過程

ISO/IEC9945信息技術.可移植操作系統(tǒng)接口（POSIX）

3術語和定義

GB/T34590界定的以及下列術語和定義適用于本文件。

3.1

中國汽車工程學會2341車載計算平臺on-boardcomputing中國汽車工程學會2341platform中國汽車工程學會2341

支撐智能網聯(lián)汽車駕駛自動化功能等實現(xiàn)的軟硬件一體化平臺，包括芯片、模組、接口等硬件以及

系統(tǒng)軟件和功能軟件等軟件，以適應傳統(tǒng)電子控制單元向異構高性能處理器轉變的趨勢。

注：也被稱為車載智能計算基礎平臺。

3.2

車控操作系統(tǒng)vehicle-controloperatingsystem

運行于車載智能計算基礎平臺硬件及汽車電子控制單元硬件之上，支撐智能網聯(lián)汽車駕駛自動化功

能實現(xiàn)和安全可靠運行的軟件集合。車控操作系統(tǒng)由智能駕駛操作系統(tǒng)和安全車控操作系統(tǒng)組成。

3.3

中國汽車工程學會2341智能駕駛操作系統(tǒng)intelligentdri中國汽車工程學會2341vingoperatingsystem中國汽車工程學會2341

車控操作系統(tǒng)（3.2）中支撐智能網聯(lián)汽車駕駛自動化功能實現(xiàn)的軟件集合，包括系統(tǒng)軟件和功能

軟件。

3.4

安全車控操作系統(tǒng)safetyvehicle-controloperatingsystem

車控操作系統(tǒng)（3.2）中支撐智能網聯(lián)汽車安全可靠運行的軟件集合，包括系統(tǒng)軟件和功能軟件。

3.5

系統(tǒng)軟件systemsoftware

中國汽車工程學會2341車控操作系統(tǒng)中支撐駕駛自動化功能中國汽車工程學會2341實現(xiàn)的復雜大規(guī)模嵌入式系統(tǒng)運行環(huán)境，包括中國汽車工程學會2341操作系統(tǒng)內核、

虛擬化管理、POSIX、系統(tǒng)中間件及服務和實時安全域。

3.6

功能軟件functionsoftware

車控操作系統(tǒng)中面向智能駕駛核心共性需求形成的智能駕駛共性服務軟件集合，支撐駕駛自動化功

能開發(fā)，包括數(shù)據(jù)抽象、功能軟件通用框架、智能駕駛通用模型和應用軟件接口。

3.7

相關項item

中國汽車工程學會2341實現(xiàn)整車層面功能或部分功能的系統(tǒng)中國汽車工程學會2341或系統(tǒng)組合。中國汽車工程學會2341

1

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

3.8

獨立于環(huán)境的安全要素safetyelementoutofcontext

不是在特定的相關項定義下開發(fā)的安全相關要素。

4縮略語

下列縮略語適用于本文件。

中國汽車工程學會2341CPU中央處理單元中國汽車工程學會2341CentralProcessingUnit中國汽車工程學會2341

CRC循環(huán)冗余碼校驗CyclicalRedundancyCheck

DDS數(shù)據(jù)分發(fā)服務DataDistributionService

ECC錯誤檢查和糾正ErrorCheckingandCorrection

E2E端到端EndtoEnd

FFI免于干擾FreedomFromInterference

FIFO先入先出FirstInFirstOut

HSM硬件安全模塊HardwareSecurityModule

中國汽車工程學會2341IMU慣性測量單元中國汽車工程學會2341InertialMeasurementUnit中國汽車工程學會2341

IPC進程間通信Inter-ProcessCommunication

MMU內存管理單元MemoryManagementUnit

MPU內存保護單元MemoryProtectionUnit

ODD運行設計域OperationalDesignDomain

OS操作系統(tǒng)OperatingSystem

POSIX可移植操作系統(tǒng)接口PortableOperatingSystemInterface

QM質量管理QualityManagement

QoS服務質量QualityofService

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

RAM隨機存取存儲器RandomAccessMemory

SEooC獨立于環(huán)境的安全要素SafetyElementoutofContext

VM虛擬機VirtualMachine

FTTI故障容錯時間間隔FaultTolerantTimeInterval

FHTI故障處理時間間隔FaultHandlingTimeInterval

5車控操作系統(tǒng)安全要求

中國汽車工程學會23415.1通用要求中國汽車工程學會2341中國汽車工程學會2341

車控操作系統(tǒng)應滿足以下通用安全要求：

a)車控操作系統(tǒng)應滿足GB/T34590的要求，最高可支持ASIL-D；

b)本文件中定義的車控操作系統(tǒng)軟件頂層安全要求、安全要求和安全狀態(tài)由開發(fā)者來實現(xiàn)，系

統(tǒng)及整車安全狀態(tài)由用戶來定義和實現(xiàn)；

c)部署車控操作系統(tǒng)的相關硬件平臺應滿足車控操作系統(tǒng)對應的最高ASIL等級要求；

d)異構分布硬件應支持內存保護和分區(qū)，以實現(xiàn)不同安全功能的內存分離；

e)車控操作系統(tǒng)在全新特定環(huán)境下進行集成之前，應確認全部假設在新環(huán)境下的有效性。若假

中國汽車工程學會2341設與實際需求不一致，應按照G中國汽車工程學會2341B/T34590.8進行變更管理；中國汽車工程學會2341

f)車控操作系統(tǒng)的用戶應根據(jù)相關項安全目標對應的FTTI，進行系統(tǒng)、硬件、軟件逐級分解，

從而導出車控操作系統(tǒng)各模塊的FHTI。

5.2系統(tǒng)軟件安全要求

5.2.1操作系統(tǒng)內核

5.2.1.1頂層安全要求

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

2

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

車控操作系統(tǒng)應在5.2.1.2安全假設前提下并滿足5.2.1.3安全要求和5.2.1.4安全狀態(tài)的情況下提供正

確可靠的運行環(huán)境，安全等級最高可支持ASIL-D。

5.2.1.2安全假設

操作系統(tǒng)內核安全假設應滿足以下要求：

a)對于使用操作系統(tǒng)內核進行軟件部署的相關項,操作系統(tǒng)內核應該具有繼承或分解后的最高

功能安全等級；

中國汽車工程學會2341b)對于具體項目應用，系統(tǒng)集成人中國汽車工程學會2341員應定義最差調度響應時間，并基于目標環(huán)中國汽車工程學會2341境開展測試，驗

證所配置的調度策略和線程優(yōu)先級是否滿足最后期限需求；

c)系統(tǒng)集成人員應評審并確認所有的配置是否滿足項目安全要求；

d)系統(tǒng)集成人員應確保上層軟件模塊安全/正確地使用操作系統(tǒng)內核提供的功能和機制；

e)使用者需確認車控操作系統(tǒng)內核在系統(tǒng)層級滿足所列外部假設條件，并且確保系統(tǒng)的運行狀

態(tài)在所規(guī)定的范圍內。

5.2.1.3安全要求

中國汽車工程學會2341操作系統(tǒng)內核應滿足以下安全要求：中國汽車工程學會2341中國汽車工程學會2341

a)操作系統(tǒng)內核應為用戶態(tài)應用程序的存儲訪問提供隔離措施，以保證每個存儲訪問相互隔離；

b)操作系統(tǒng)內核應提供措施來約束每個進程在執(zhí)行過程中不會使用超過其預先分配的資源；

c)操作系統(tǒng)內核的地址空間應被保護，并為應用程序提供訪問內核地址空間的安全接口，以支

持安全相關的進程間通訊（例如無名管道、FIFO、共享存儲等）；

d)如果硬件支持特權模式，操作系統(tǒng)內核應將不受信任的用戶態(tài)軟件置于非特權模式下，從而

阻止不受信任的用戶態(tài)軟件訪問安全相關的硬件；

e)資源強制訪問控制機制，應做到最小特權原則；

f)在操作系統(tǒng)內核空間出現(xiàn)異常時（例如非法系統(tǒng)調用、堆棧溢出、指針異常訪問、內存越界、

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

死循環(huán)、死鎖、超時等），操作系統(tǒng)內核應立即調用內核異常處理程序，并進入對應安全狀

態(tài)。內核異常處理程序不應為空，一旦為空，操作系統(tǒng)內核應立即調用操作系統(tǒng)關閉處理程

序；

g)操作系統(tǒng)內核應診斷IPC消息傳遞的故障，如IPC消息發(fā)送失敗，消息接收失敗等；

h)當一個安全相關線程出現(xiàn)異常時（例如超時錯誤、內存錯誤、指令錯誤等），操作系統(tǒng)內核

應立即調用該線程的異常處理機制。安全相關線程的異常處理機制不應為空，一旦為空，則

內核應立即停止運行該線程；

i)操作系統(tǒng)內核應盡可能地監(jiān)控每個用戶態(tài)進程的資源消耗（例如CPU、內存等）；

中國汽車工程學會2341j)在多核處理器上，當操作系統(tǒng)內中國汽車工程學會2341核在一個處理器核心上檢測到異常并且需要中國汽車工程學會2341關閉操作系統(tǒng)時，

應同時在所有其他處理器核心上關閉該操作系統(tǒng)；

k)操作系統(tǒng)內核應提供棧溢出診斷機制，以探測已經發(fā)生的棧溢出錯誤并調用內核異常處理程

序；

l)對于內核服務接口，操作系統(tǒng)內核應向用戶態(tài)軟件模塊提供安全的服務接口（例如I/O操作、

信號處理等），不正確地調用這些服務接口不應導致內核崩潰；

m)當出現(xiàn)不正確的內核服務接口調用（例如傳遞非法地址、無效參數(shù)、非法的上下文等）時，

內核服務接口不應執(zhí)行對應的服務，并且立即返回錯誤代碼。

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

5.2.1.4安全狀態(tài)

當違背上述5.2.1.3安全要求時，操作系統(tǒng)內核進入的安全狀態(tài)可以為：操作系統(tǒng)內核日志、報警、

降級、重啟或關閉等。

5.2.2虛擬化管理

5.2.2.1頂層安全要求

虛擬化管理應在5.2.2.2安全假設前提下并滿足5.2.2.3安全要求和5.2.2.4安全狀態(tài)的情況下，為跨平

中國汽車工程學會2341臺操作系統(tǒng)提供安全的虛擬環(huán)境接口，安中國汽車工程學會2341全等級最高支持ASIL-D。中國汽車工程學會2341

3

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

5.2.2.2安全假設

虛擬化管理安全假設應滿足以下要求：

a)虛擬化管理應用到的虛擬驅動安全等級最高為ASIL-D等級；

b)硬件應提供系統(tǒng)內存管理單元；

c)芯片的CPU、中斷控制器、I/O硬件應支持硬件虛擬化的功能；

d)當虛擬化管理及板級支持包上報故障或進入安全狀態(tài)時，外部系統(tǒng)應監(jiān)控虛擬化管理及板級

支持包上報故障，確保整個系統(tǒng)的安全性。

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

5.2.2.3安全要求

虛擬化管理及板級支持包應滿足以下要求：

a)虛擬化管理及板級支持包應具備相關硬件及軟件故障的診斷機制、故障上報機制、可能的故

障處理機制以及故障恢復機制；

注：可能的故障處理機制例如對于需要立即處理的安全相關故障，虛擬化管理及板級支持包可以立即操作硬件使系

統(tǒng)進入安全狀態(tài)，不需要先將故障上報到安全監(jiān)控程序。

b)虛擬化管理及板級支持包在初始化虛擬環(huán)境時，應按照包括但不限于下列方法對硬件進行安

中國汽車工程學會2341全診斷測試：中國汽車工程學會2341中國汽車工程學會2341

1)驗證各個硬件模塊功能的正確性；

示例1：回讀寄存器驗證寫入的參數(shù)是否成功。

示例2：進行通訊回環(huán)測試。

2)對硬件安全機制進行故障注入測試；

3)如果安全診斷測試不通過，應根據(jù)故障類型停止加載上層軟件組件/進程對象/GuestOS，

同時應上報故障給安全域；

4)虛擬化管理模塊在運行時對低安全等級的軟件組件（即不具備達到ASIL等級的存量軟件

模塊或第三方軟件模塊）進行功能安全監(jiān)控（例如相關寄存器配置是否正確、運行時是

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

否有意外修改寄存器的行為、運行時關鍵運算結果的合理性校驗)。

注：對于不同廠商提供的硬件IP，安全診斷測試需要根據(jù)硬件IP本身已有的硬件安全機制來設計。例如，硬

件IP內部的所有寄存器都有奇偶校驗保護機制，則安全診斷測試需要對奇偶校驗保護機制進行故障注入

測試；硬件IP內部的寄存器沒有硬件保護機制，則安全診斷測試需要對寫入寄存器的數(shù)值進行回讀校驗，

并進行周期性的檢查。

c)根據(jù)隔離和使用的需求，虛擬化管理應支持對資源的靜態(tài)專用與動態(tài)共享的能力；

d)虛擬化管理在任何情況下（例如意外事件，系統(tǒng)過載等），都應為安全分區(qū)提供足夠的運行

資源；

中國汽車工程學會2341e)虛擬化管理應管理所有VM分區(qū)中國汽車工程學會2341之間的通訊訪問權限。中國汽車工程學會2341

5.2.2.4安全狀態(tài)

當違背上述5.2.2.3安全要求時，虛擬化管理進入的安全狀態(tài)可以為：虛擬化管理日志、報警、重啟

等。

5.2.3POSIX

5.2.3.1頂層安全要求

中國汽車工程學會2341POSIX接口或POSIX接口的子集（例如中國汽車工程學會2341PSE51）應在5.2.3.2安全假設前提下并滿足5中國汽車工程學會2341.2.3.3安全要求和

5.2.3.4安全狀態(tài)的情況下提供安全的接口，安全等級最高支持ASIL-D。

5.2.3.2安全假設

POSIX安全假設應滿足以下要求：

a)功能安全應用應充分考量POSIX接口的實時性要求；

b)功能安全應用或應用庫應使用符合功能安全要求的POSIX接口，當POSIX接口上報故障或進

入安全狀態(tài)時，系統(tǒng)需確保安全性。

中國汽車工程學會23415.2.3.3安全要求中國汽車工程學會2341中國汽車工程學會2341

4

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

POSIX接口設計應滿足以下要求：

a)POSIX接口的設計應符合ISO/IEC9945的要求；

b)POSIX接口應進行FFI的設計，例如不正確的調用（傳遞非法地址、無效參數(shù)、非法的上下

文等）。這些安全的服務接口不應導致內核崩潰或安全隱患。

5.2.3.4安全狀態(tài)

當違背上述5.2.3.3安全要求時，POSIX接口進入的安全狀態(tài)可以為：POSIX接口不應執(zhí)行對應的服

中國汽車工程學會2341務，返回錯誤代碼或執(zhí)行回滾等。中國汽車工程學會2341中國汽車工程學會2341

5.2.4系統(tǒng)中間件及服務

5.2.4.1頂層安全要求

系統(tǒng)中間件及服務應在5.2.4.2安全假設前提下并滿足5.2.4.3安全要求和5.2.4.4安全狀態(tài)的情況下提

供正確的基礎系統(tǒng)服務，安全等級最高支持ASIL-D。

5.2.4.2安全假設

中國汽車工程學會2341系統(tǒng)中間件及服務安全假設應滿足以中國汽車工程學會2341下要求：中國汽車工程學會2341

a)對于分布式通信中間件，硬件存儲單元中不帶有錯誤檢測功能的安全相關通訊都應使用E2E

保護；

b)對于應用調度和生命周期管理，車控操作系統(tǒng)中不同ASIL等級的目標文件不能混合分配給同

一個進程；

c)對于應用調度和生命周期管理，操作系統(tǒng)內核應對進程提供時間隔離和空間隔離；

d)需要調度的進程的優(yōu)先級應根據(jù)相關項的安全要求來定義；

e)應在特定線程中進行中斷事件處理；

中國汽車工程學會2341f)對于安全框架和服務，ASIL-B及中國汽車工程學會2341以上功能安全等級的安全相關應用組件應使中國汽車工程學會2341用中間件提供調

度錯誤（例如超時、運行太過頻繁、亂序）的檢測機制；

g)安全相關應用組件應使用中間件提供的綁定監(jiān)控結果的健康監(jiān)控通道來報告檢測到的錯誤并

觸發(fā)系統(tǒng)響應。

5.2.4.3安全要求

系統(tǒng)中間件及服務應滿足以下安全要求：

a)分布式通信中間件中，所有安全相關的以太網通訊都應采用E2E保護。E2E應包含如下信息：

數(shù)據(jù)識別碼、校驗碼和計數(shù)器等；

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

b)安全框架和服務應符合如下要求：

1)應能正確初始化安全相關的硬件；

2)應能檢測安全相關組件的潛在故障；

3)應能驗證應用映像文件（image）的完整性，并提供錯誤處理和記錄；

4)應能在啟動時監(jiān)測可能禁止或影響安全機制產生作用的硬件潛在故障；

5)應能在運行時監(jiān)測硬件錯誤，并在監(jiān)測到影響頂層安全要求的硬件錯誤時切換到安全狀

態(tài)；

6)應能提供錯誤響應處理機制；

中國汽車工程學會23417)應能提供監(jiān)控服務監(jiān)控應用中國汽車工程學會2341軟件正確執(zhí)行；中國汽車工程學會2341

8)應能提供可以確保完整性的密鑰存儲機制，例如通過HSM硬件存儲或者軟件冗余存儲和

回讀來監(jiān)測數(shù)據(jù)損壞或丟失；

9)應提供可以確保完整性的文件訪問，例如通過冗余存儲和回讀來監(jiān)測數(shù)據(jù)損壞或丟失。

c)應用更新管理應符合如下要求：

1)每次應用更新之前，應該能對應用來源的有效性和軟件包的完整性進行檢查，若檢查失

敗，應停止升級并提示用戶；

2)每次應用更新完畢后，都應進行應用軟件的完整性檢查，若檢查失敗，應進行提示并按

中國汽車工程學會2341升級失敗處置；中國汽車工程學會2341中國汽車工程學會2341

5

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

3)每次應用更新都應有確定的更新狀態(tài)（例如更新成功或是更新失敗后回滾到更新前的狀

態(tài)）；

4)一個安全相關功能所關聯(lián)的所有組件應該在同一次更新中完成；

注：應用組件之間應有明確的依賴關系，以提供應用組件之間的關聯(lián)性操作，即使是分散在不同的應用組件

中。

5)狀態(tài)管理模塊能夠根據(jù)當前是否有安全相關應用運行狀態(tài)以及車輛運行狀態(tài)來允許或者

禁止應用更新。

中國汽車工程學會23416)在OTA升級或者回滾后，應中國汽車工程學會2341保證用戶私有數(shù)據(jù)不發(fā)生變化，保持一致。中國汽車工程學會2341

d)診斷日志應保護安全相關故障數(shù)據(jù)錯誤計數(shù)，防止被篡改或數(shù)據(jù)丟失，同時需要根據(jù)安全性

不同定義不同級別的日志及保存時間；

e)需要具備確定的中斷延時和調度延時，以便支持硬實時的業(yè)務可以得到及時響應。應定義關

中斷/關搶占、調度響應時間方面的性能指標要求；

f)應根據(jù)相關安全要求來配置安全管理模塊中可能存在的出錯類型和出錯響應類型。

5.2.4.4安全狀態(tài)

當違背上述安全要求時，系統(tǒng)中間件及服務進入的安全狀態(tài)可以為：不啟動或故障狀態(tài)。

中國汽車工程學會23415.2.4.3中國汽車工程學會2341中國汽車工程學會2341

5.2.5實時安全域

5.2.5.1頂層安全要求

實時安全域應在5.2.3.2安全假設前提下并滿足5.2.3.3安全要求和5.2.3.4安全狀態(tài)的情況下提供可靠

且安全的實時運行環(huán)境，安全等級最高支持ASIL-D。

5.2.5.2安全假設

硬件平臺應支持安全車控操作系統(tǒng)內存分區(qū)所需要的安全機制。

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

5.2.5.3安全要求

實時安全域應滿足以下安全要求：

a)實時安全域應能實現(xiàn)核內多任務間的互斥訪問操作且不能出現(xiàn)因優(yōu)先級翻轉而引起的“死鎖

問題”；

b)實時安全域應支持安全通信功能，以實現(xiàn)任務與任務、任務與中斷、多分區(qū)間通信（分區(qū)能

分布于多個核）；

c)實時安全域應支持多分區(qū)機制，以支持不同ASIL等級的軟件隔離。分區(qū)應支持運行于CPU

中國汽車工程學會2341的特權級模式以及非特權級模式中國汽車工程學會2341；中國汽車工程學會2341

d)實時安全域應支持內存保護機制，以實現(xiàn)分區(qū)間的物理隔離；

e)實時安全域應支持多核互斥訪問機制，以實現(xiàn)對多核共享資源的互斥訪問，例如自旋鎖機制；

f)實時安全域應支持時間保護功能，下列因素需受到監(jiān)控：

1)任務與中斷的執(zhí)行時間應被監(jiān)控；

2)任務與中斷使用資源/關閉中斷的時間應被監(jiān)控；

3)任務與中斷的到達率（頻率）應被監(jiān)控。

g)實時安全域應支持以下鉤子函數(shù)功能：

中國汽車工程學會23411)錯誤鉤子函數(shù)：安全車控操中國汽車工程學會2341作系統(tǒng)檢測到系統(tǒng)異常時，系統(tǒng)須將錯誤碼中國汽車工程學會2341傳入錯誤鉤子函

數(shù)；

2)關閉鉤子函數(shù)：安全車控操作系統(tǒng)被關閉時，安全車控操作系統(tǒng)將先進入關閉鉤子函數(shù)

以使用戶保存安全相關數(shù)據(jù)。

注：鉤子函數(shù)為操作系統(tǒng)內核預留給用戶的功能接口函數(shù)。

h)實時安全域應支持堆棧檢測功能，應能對堆棧溢出故障進行處理；

i)實時安全域應支持故障處理功能，為避免由時間與分區(qū)故障造成的危害，當安全車控操作系

統(tǒng)檢測到時間與分區(qū)故障時，應進入安全保護狀態(tài)，在安全保護狀態(tài)內，用戶能根據(jù)故障的

嚴重程度進行故障處理。安全保護狀態(tài)內可支持下列故障處理模式：

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

6

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

1)忽略模式：安全車控操作系統(tǒng)支持忽略該故障，安全車控操作系統(tǒng)將返回至故障位置處

繼續(xù)執(zhí)行；

2)關閉任務/中斷模式：安全車控操作系統(tǒng)支持關閉該故障任務/中斷；

3)分區(qū)關閉模式：安全車控操作系統(tǒng)支持將故障分區(qū)進行關閉；

4)分區(qū)關閉并重啟模式：安全車控操作系統(tǒng)支持將故障分區(qū)復位重啟。

j)應支持系統(tǒng)崩潰后的現(xiàn)場保存機制，當安全車控操作系統(tǒng)內核崩潰時，應保存故障現(xiàn)場信息。

中國汽車工程學會23415.2.5.4安全狀態(tài)中國汽車工程學會2341中國汽車工程學會2341

當違背上述5.2.5.3安全要求時，實時安全域進入的安全狀態(tài)可以為：

a)當故障發(fā)生在安全車控操作系統(tǒng)的內核內時，安全車控操作系統(tǒng)應能被立即復位重啟；

b)當故障發(fā)生在安全車控操作系統(tǒng)的內核外時，安全車控操作系統(tǒng)應根據(jù)分區(qū)內的故障嚴重程

度進入安全狀態(tài)：返回故障碼或進入故障處理模式（例如忽略模式、關閉任務/中斷模式、分

區(qū)關閉模式、分區(qū)關閉并重啟模式等），其它分區(qū)能正常運行。

5.3功能軟件安全要求

中國汽車工程學會23415.3.1應用軟件接口中國汽車工程學會2341中國汽車工程學會2341

5.3.1.1頂層安全要求

應用軟件接口應在5.3.1.2安全假設前提下并滿足5.3.1.3安全要求和5.3.1.4安全狀態(tài)的情況下對軟件

接口的數(shù)據(jù)以及相應的通訊進行實時監(jiān)控，安全等級最高可支持ASIL-D。

5.3.1.2安全假設

應用軟件接口安全假設應滿足以下要求：

a)內存保護單元應對安全數(shù)據(jù)的內存進行保護，防止非法讀寫訪問；

中國汽車工程學會2341b)應有專門的監(jiān)控模塊對應用軟件中國汽車工程學會2341接口的程序流進行監(jiān)控，確保執(zhí)行時序的正中國汽車工程學會2341確性。

5.3.1.3安全要求

應用軟件接口應滿足以下安全要求：

a)應用軟件接口啟動時應能進行初始化處理；

b)應用軟件接口面向功能模塊時，應對輸入通訊接口（動態(tài)和靜態(tài)）的數(shù)據(jù)ID、攜帶數(shù)據(jù)的類

型和取值范圍進行校驗，當檢測到數(shù)據(jù)ID錯誤、攜帶的數(shù)據(jù)的類型和取值范圍超出規(guī)定范圍

時，需要向相關的功能模塊發(fā)送錯誤通知或返回異常碼，以便明確具體的錯誤種類；

中國汽車工程學會2341c)應用軟件接口面向應用開發(fā)者時中國汽車工程學會2341，應對API接口的輸入?yún)?shù)的類型、取值范中國汽車工程學會2341圍進行校驗，當

檢測到參數(shù)異常時，需要返回異常值，并明確具體的錯誤種類；

d)應用軟件接口應通過不同的模塊來進行數(shù)據(jù)校驗，并對安全相關的數(shù)據(jù)進行備份，來保證功

能數(shù)據(jù)的正確性；

e)應用軟件接口應對收到的安全功能數(shù)據(jù)進行保存。當收到新的功能數(shù)據(jù)時應同之前保存的數(shù)

據(jù)進行比較，確認數(shù)據(jù)規(guī)范性，不符合時按照安全策略處理，例如丟棄或者插值；

f)當不能收到功能模塊的通知或調用API返回異常或調用API無法返回時，應用軟件接口應進

入相應的安全狀態(tài)；

中國汽車工程學會2341g)對安全相關的數(shù)據(jù)應增加獨立的中國汽車工程學會2341冗余校驗模塊，冗余校驗模塊需要通過不同中國汽車工程學會2341的模塊來進行賦

值。冗余校驗模塊應監(jiān)控數(shù)據(jù)的完整性和正確性，如果校驗不通過，應進入對應的安全狀態(tài)；

h)應用軟件接口應按照安全需求制定相應的安全機制；

示例1：對相應的通訊模塊進行監(jiān)控，當既定的時間內沒有接收到數(shù)據(jù)時，判斷為通信異常，進入相應的安全狀態(tài)。

示例2：針對RAM異常的情況，應設置安全校驗機制（例如checksum校驗、ECC等方式）進行檢測，實現(xiàn)周期

的RAM檢測和關鍵數(shù)據(jù)的多重比較，當檢測為異常時，進入相應的安全狀態(tài)。

示例3：應用軟件接口不應使用動態(tài)內存管理，啟動的時候應該按照預先設計好的分配原則進行內存分配。

示例4：應用接口在擴展或者增強的過程中，應保證不會影響原有安全功能接口的使用。

示例5：應用軟件接口應明確哪些是與安全相關的參數(shù)以及參數(shù)的可配置范圍和權限。

i)應用軟件接口應對有安全等級要求的接口的輸出參數(shù)中添加保護信息，對返回值進

中國汽車工程學會2341中國汽車工程學會2341APIE2E中國汽車工程學會2341

行E2E校驗。

7

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

5.3.1.4安全狀態(tài)

當違背上述5.3.1.3安全要求時應用軟件接口進入的安全狀態(tài)可以為：讀取默認的配置數(shù)據(jù)、模塊重

啟、記錄日志或通知應用模塊等。

5.3.2智能駕駛通用模型

5.3.2.1環(huán)境模型

中國汽車工程學會23415.3.2.1.1頂層安全要求中國汽車工程學會2341中國汽車工程學會2341

環(huán)境模型應在5.3.2.1.2安全假設前提下并滿足5.3.2.1.3安全要求和5.3.2.1.4安全狀態(tài)的情況下能正確

地感知目標信息、道路信息和定位信息，安全等級最高可支持ASIL-D。

5.3.2.1.2安全假設

智能駕駛環(huán)境模型安全假設應滿足以下要求：

a)環(huán)境模型輸入的信號應有通信保護或冗余通道，變量的正常范圍值應定義清晰；

b)環(huán)境模型中安全相關模塊的調度周期或運行時間應該被監(jiān)控，來探測其運行太頻繁、運行過

中國汽車工程學會2341長等錯誤；中國汽車工程學會2341中國汽車工程學會2341

c)存儲安全校驗模塊的內存應該被保護，免于非法讀寫訪問。

5.3.2.1.3安全要求

智能駕駛環(huán)境模型應滿足以下安全要求：

a)環(huán)境模型應對目標檢測中目標元數(shù)據(jù)的目標ID、各組信號數(shù)據(jù)類型和取值范圍進行校驗，當

檢測到目標ID與期望不符、各組信號數(shù)據(jù)類型錯誤或取值范圍超出目標范圍時，發(fā)出無效標

志位；

中國汽車工程學會2341b)環(huán)境模型對道路結構信息（例如中國汽車工程學會2341道路標線和停止線的識別信息）中車道線集中國汽車工程學會2341合數(shù)組、車道線

元數(shù)據(jù)、停止線集合數(shù)組和停止線元數(shù)據(jù)的數(shù)據(jù)類型、取值范圍進行校驗，當檢測到數(shù)據(jù)類

型錯誤或取值范圍超出目標范圍時，發(fā)出信號無效標志位；當檢測到信息卡滯/丟失/延遲時，

發(fā)出相應故障標志位；

c)環(huán)境模型對定位信息進行校驗，定位信息漂移/卡滯/丟失/延遲應能被檢測，當檢測到以上失

效應發(fā)出相應故障標志位；

d)當相應信號無效標志位觸發(fā)時，融合模塊應采取默認值或進入相應安全狀態(tài)；

e)對環(huán)境各類感知計算模塊應增加獨立冗余校驗模塊，以監(jiān)控計算是否正確，若計算出錯，應

進入對應安全狀態(tài)；

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

f)對融合模塊應增加合理性檢查，以校驗各路信號是否一致，若不一致，應進入安全狀態(tài)；

g)環(huán)境模型應對計算處理后的輸出目標信號、道路信號、定位信號增加超時檢測、心跳計數(shù)器、

循環(huán)冗余校核和有效位狀態(tài)等保護信息。

5.3.2.1.4安全狀態(tài)

當違背上述5.3.2.1.3安全要求時，環(huán)境模型進入的安全狀態(tài)可以為：發(fā)布對應故障信號的無效標志

位或故障標志位。

5.3.2.2規(guī)劃模型

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

5.3.2.2.1頂層安全要求

規(guī)劃決策模型應在5.3.2.2.2安全假設前提下并滿足5.3.2.2.3安全要求和5.3.2.2.4安全狀態(tài)的情況下避

免錯誤的橫/縱向軌跡輸出，安全等級最高可支持ASIL-D。

5.3.2.2.2安全假設

智能駕駛規(guī)劃模型安全假設應滿足以下要求：

a)功能軟件環(huán)境模型的輸入信號應有通信保護或冗余通道，變量的正常范圍值應定義清晰；

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

8

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

b)環(huán)境模型中安全相應模塊調度周期或運行時間應該被監(jiān)控，來探測其運行太頻繁、運行過長

等錯誤；

c)存儲安全校驗模塊的內存應該被保護，免于非法讀寫訪問。

5.3.2.2.3安全要求

智能駕駛規(guī)劃模型應滿足以下安全要求：

a)規(guī)劃模塊應對下面所述信息進行校驗，當校驗失敗時，發(fā)出相應信號無效標志位：

中國汽車工程學會23411)應對個性化設置服務、定位中國汽車工程學會2341服務輸入信息進行正確性和合理性校驗；中國汽車工程學會2341

2)應對自車狀態(tài)信息進行校驗，自車狀態(tài)包括但不限于轉向角、轉向速率、速度、加速度、

當前控制模式、擋位、胎壓、車門狀態(tài)等；

3)應對環(huán)境模型輸出信息（例如目標信號、道路信號、定位信號等）數(shù)據(jù)類型、取值范圍、

正確性及合理性進行校驗；

4)應對環(huán)境感知融合服務、定位服務輸入信息的時間一致性進行檢查。

b)當信號無效標志位觸發(fā)時，規(guī)劃模塊應采取最后有效值或默認安全值，并進入相應安全狀態(tài)；

c)當規(guī)劃模塊探測到自車狀態(tài)處于非正常狀態(tài)時，規(guī)劃模塊應進入安全狀態(tài)或功能降級狀態(tài)；

中國汽車工程學會2341d)當規(guī)劃模塊探測到輸入模塊相應中國汽車工程學會2341信號超時、出錯或時序無法對齊等影響安全中國汽車工程學會2341的失效時，規(guī)劃

模塊應進入相應安全狀態(tài)；

e)規(guī)劃模塊應對各類環(huán)境感知服務、定位服務、車輛狀態(tài)等輸入信息增加冗余校驗模塊，以監(jiān)

控計算是否正確，若計算出錯，應進入對應安全狀態(tài)。同時應對核心輸入信息的時間一致性

增加獨立的校驗模塊，以監(jiān)控核心輸入信息是否在可允許的時間偏差范圍內，如果輸入信息

時間偏差過大，應進入對應安全狀態(tài)；

f)對規(guī)劃模塊本身應增加檢查模塊，以監(jiān)控規(guī)劃模塊的健康狀態(tài)。當規(guī)劃模塊在規(guī)定時間內無

法正常工作并輸出有效軌跡時，規(guī)劃模塊應妥善處理或進入相應安全狀態(tài)；

g)規(guī)劃模型應對計算處理后輸出的未來軌跡規(guī)劃信息（縱向、橫向目標軌跡等）增加保護

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341E2E

信息。

5.3.2.2.4安全狀態(tài)

當違背上述5.3.2.2.3安全要求時，規(guī)劃模型進入的安全狀態(tài)可以為：發(fā)布對應故障信號的無效標志

位或故障標志位以及功能降級。

5.3.2.3控制模型

5.3.2.3.1頂層安全要求

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

控制模型應在5.3.2.1.2安全假設前提下并滿足5.3.2.1.3安全要求和5.3.2.1.4安全狀態(tài)的情況下避免輸

出錯誤的橫/縱向控制指令，安全等級最高可支持ASIL-D。

5.3.2.3.2安全假設

智能駕駛控制模型安全假設應滿足以下要求：

a)功能軟件環(huán)境模型輸入的信號應有通信保護或冗余通道，變量的正常范圍值應定義清晰；

b)環(huán)境模型中安全相應模塊調度周期或運行時間應該被監(jiān)控，來探測其運行太頻繁、運行過長

等錯誤；

中國汽車工程學會2341c)存儲安全校驗模塊的內存應該被中國汽車工程學會2341保護，免于非法讀寫訪問。中國汽車工程學會2341

5.3.2.3.3安全要求

智能駕駛控制模型應滿足以下安全要求：

a)控制模塊應對車輛底盤控制輸入信息進行狀態(tài)判斷及合理性校驗，包括對主要橫縱向控制執(zhí)

行器工作狀態(tài)進行判斷并對執(zhí)行器反饋信號進行閉環(huán)校驗；

b)控制模塊應對規(guī)劃模塊輸入信息進行檢查及合理性判斷，同時應能檢測信號的卡滯/延遲，當

檢測到相應信號存在無效、超時、出錯等狀態(tài)時，規(guī)劃模塊應采取默認值或進入相應安全狀

中國汽車工程學會2341態(tài)；中國汽車工程學會2341中國汽車工程學會2341

9

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

c)控制模塊應對環(huán)境感知模型輸入信息進行檢查及合理性判斷；

d)控制模型應對輸入的待定軌跡的目標位置，參考速度數(shù)據(jù)類型和取值范圍進行校驗，當檢測

到目標位置錯誤、各組信號數(shù)據(jù)類型錯誤或取值范圍超出目標范圍時，發(fā)出無效標志位；

e)控制模型應對輸入的待定軌跡的物理可達性進行校驗，當檢測到待定軌跡模型超出車輛物理

或考慮舒適度的可達性范圍時，發(fā)出信號無效標志位；

f)當控制模塊根據(jù)車輛狀態(tài)反饋模塊探測到車輛處于非正常狀態(tài)時，控制模塊應進入安全狀態(tài)

或功能降級狀態(tài)；

中國汽車工程學會2341g)當控制模塊根據(jù)環(huán)境感知模塊輸中國汽車工程學會2341入探測到車輛不處于指定ODD或者即將駛出中國汽車工程學會2341指定ODD時，

控制模塊應進入安全狀態(tài)或功能降級狀態(tài)；

h)控制計算模塊應根據(jù)頂層安全要求的需要提供獨立冗余校驗模塊，以監(jiān)控計算是否正確，若

計算出錯，應進入對應安全狀態(tài)；

i)對控制計算模塊，在冗余校驗模塊之外，根據(jù)頂層安全要求需要增加使用不同方法保證快速

響應備選控制器，若計算出錯或識別相應信號無效標志位時，控制模塊應該切換進入備份控

制器或者進入安全狀態(tài)；

j)對輸出控制信號進行合理性檢查，以校驗輸出信號是否滿足取值范圍要求。若不滿足，應該

中國汽車工程學會2341進入對應的安全狀態(tài)；中國汽車工程學會2341中國汽車工程學會2341

k)在失效工況中，控制模型的輸出應當能夠根據(jù)決策的下一步操作（例如失效降級、失效可運

行等），確保輸出的實時和性能滿足要求。如果失效發(fā)生在控制模型端，需要確保相關的信

息反饋能夠實時準確的傳遞到其他模塊。

5.3.2.3.4安全狀態(tài)

當違背上述5.3.2.3.3安全要求時，控制模型進入的安全狀態(tài)可以為：系統(tǒng)由備用控制器接管或退出，

并發(fā)出警告。

中國汽車工程學會23415.3.3功能軟件通用框架中國汽車工程學會2341中國汽車工程學會2341

5.3.3.1基礎服務

5.3.3.1.1頂層安全要求

軟件基礎服務應在滿足5.3.3.1.3安全要求和5.3.3.1.4安全狀態(tài)的情況下確保數(shù)據(jù)的準確性和通信實

時性。安全等級最高可支持ASIL-D。

5.3.3.1.2安全要求

中國汽車工程學會2341功能軟件通用框架基礎服務應滿足以中國汽車工程學會2341下安全要求：中國汽車工程學會2341

a)基礎服務應增加輸入信號的啟動次數(shù)、CRC和有效位狀態(tài)等保護信息的校驗，基礎服務應根

據(jù)不同信號的用途設定響應的容錯時間；

b)可靠性冗余模塊應對冗余狀態(tài)信號進行監(jiān)控，若出現(xiàn)異常，應進行冗余切換。

5.3.3.1.3安全狀態(tài)

當違背上述5.3.3.1.3安全要求時，集成服務進入的安全狀態(tài)可以為：降級處理或主備份控制切換。

5.3.3.2數(shù)據(jù)流框架

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

5.3.3.2.1頂層安全要求

數(shù)據(jù)流框架應在5.3.2.2安全假設前提下并滿足5.3.2.3安全要求和5.3.2.4安全狀態(tài)的情況下提供完整

性和正確性的服務，安全等級最高可支持ASIL-D。

5.3.3.2.2安全假設

算法本身應安全可靠，DDS應支持所有QoS策略，數(shù)據(jù)流框架的配置信息應保證其正確性。

5.3.3.2.3安全要求

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

數(shù)據(jù)流框架應滿足以下安全要求：

10

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

T/CSAEXXXX—XXXX

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

a)數(shù)據(jù)流框架應能正確讀取、解析節(jié)點的配置文件，對配置文件進行校驗，若檢測到錯誤應不

使用該配置文件，并進行故障上報和相應的故障處理；

b)數(shù)據(jù)流框架應正確加載節(jié)點，若加載失敗，應進行故障上報并進行相應的故障處理；

c)數(shù)據(jù)流框架應正確運行節(jié)點，若運行失敗，應進行故障上報并進行相應的故障處理；

d)數(shù)據(jù)流框架應正確卸載節(jié)點，若卸載失敗，應進行故障上報并進行相應的故障處理；

e)數(shù)據(jù)流框架應為各節(jié)點之間的數(shù)據(jù)交互提供可靠的通訊通路，保證數(shù)據(jù)的正確性、時效性；

f)數(shù)據(jù)流框架在啟動前應進行自檢，滿足啟動條件時才能啟動，否則停止啟動并上報故障。

中國汽車工程學會2341中國汽車工程學會2341中國汽車工程學會2341

5.3.3.2.4安全狀態(tài)

當違背上述5.3.2.1.3安全要求時，數(shù)據(jù)流框架進入的安全狀態(tài)可以為：發(fā)出故障報警，并限制數(shù)據(jù)

訪問。

5.3.4數(shù)據(jù)抽象

5.3.4.1頂層安全要求

數(shù)據(jù)抽象應在5.3.4.2安全假設前提下并滿足5.3.4.3安全要求和5.3.4.4安全狀態(tài)的情況下保證數(shù)據(jù)完

中國汽車工程學會2341整性不被破壞，安全等級最高可支持ASIL中國汽車工程學會2341-D。中國汽車工程學會2341

5.3.4.2安全假設

數(shù)據(jù)抽象安全假設應滿足以下要求：

a)數(shù)據(jù)源模塊需要具備數(shù)據(jù)完整性和一致性交互能力，能提供完整性和一致性信息，以及保證

完整性和一致性錯誤的恢復處理能力；

b)上層的功能軟件通用框架和智能駕