智能网联汽车车控操作系统功能安全技术要求

ICS点击此处添加ICS号

CCS点击此处添加CCS号

00CSA0E

团体标准

T/CSAEXXXX—XXXX

000

000

智能网联汽车车控操作系统功能安全技术

要求

0Functionalsa0fetytechnicalrequirementsfor0

vehicle-controloperatingsystemofintelligentandconnectedvehicle

00（送审稿）0

（本草案完成时间：20220802）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

000

XXXX-XX-XX发布XXXX-XX-XX实施

000

  发布

000

T/CSAEXXXX—XXXX

000

目次

前言............................................................................II

1范围.................................................................................1

000

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4缩略语...............................................................................2

5车控操作系统安全要求.................................................................2

5.1通用要求.........................................................................2

5.2系统软件安全要求.................................................................2

000

5.2.1操作系统内核.................................................................2

5.2.2虚拟化管理...................................................................3

5.2.3POSIX........................................................................4

5.2.4系统中间件及服务.............................................................5

5.2.5实时安全域...................................................................6

5.3功能软件安全要求.................................................................7

5.3.1应用软件接口.................................................................7

05.3.2智能驾驶通用模型..........0......................................0.............8

5.3.3功能软件通用框架............................................................10

5.3.4数据抽象....................................................................11

6车控操作系统验证和确认..............................................................12

6.1安全验证要求....................................................................12

6.2安全确认要求....................................................................12

附录A（资料性）车控操作系统架构...............................................13

0A.1总体架构......................0......................................0............13

A.2系统软件层......................................................................13

A.2.1操作系统内核................................................................14

A.2.2虚拟化管理..................................................................14

A.2.3POSIX.......................................................................14

A.2.4系统中间件及服务............................................................14

A.2.5实时安全域..................................................................14

0A.3功能软件层....................0......................................0............14

A.3.1应用软件接口................................................................15

A.3.2智能驾驶通用模型............................................................15

A.3.3功能软件通用框架............................................................15

A.3.4数据抽象....................................................................15

参考文献........................................................................17

000

I

000

T/CSAEXXXX—XXXX

000

前言

车控操作系统是智能网联汽车的基础软件部分，运行于智能网联汽车车载智能计算基础平台，为智

能汽车自动驾驶功能提供运行环境，其安全性是保证整个系统的基础和核心。车控操作系统架构总体描

述见附录A.1，车控操作系统系统软件及各模块描述附录A.2，车控操作系统功能软件及各模块描述附录

A.3。

000

功能安全是车控操作系统产品可靠安全运行的必要组成部分，是保证车辆安全运行的前提。通过本

文件标准化，有助于面向车控操作系统的功能软件和系统软件进行功能安全设计，降低应用和开发者实

现功能安全的压力。

车控操作系统的功能安全开发采用SEooC的方式，本文件中5.1定义了车控操作系统通用要求，5.2

和5.3分别定义了系统软件和功能软件中各模块的顶层安全要求、安全假设、安全要求和安全状态；6.1

定义了安全验证要求，6.2定义了按确认要求。

本文件按照GB/T1.1—2020《标准化工作导则第部分：标准化文件的结构和起草规则》的规定

起草。

0请注意本文件的某些内容可能涉及专0利。本文件的发布机构不承担识别专利的责任0。

本文件由中国智能网联汽车产业创新联盟提出。

本文件由××××归口。

本文件起草单位：

本文件主要起草人：

000

000

000

000

II

000

T/CSAEXXXX—XXXX

000

智能网联汽车车控操作系统功能安全技术要求

1范围

本文件规定了智能网联汽车车控操作系统功能安全的总体要求。

本标准适用于和类车辆的智能网联汽车车控操作系统，其他类型的车辆可参照使用。

0MN00

本标准不包含由信息安全因素间接关联的功能安全技术要求。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T34590.1道路车辆功能安全第1部分：术语

0GB/T34590.6道路车辆功能安0全第6部分：产品开发：软件层面0

GB/T34590.8道路车辆功能安全第8部分：产品开发：支持过程

ISO/IEC9945信息技术.可移植操作系统接口（POSIX）

3术语和定义

GB/T34590界定的以及下列术语和定义适用于本文件。

3.1

0车载计算平台on-boardcomputing0platform0

支撑智能网联汽车驾驶自动化功能等实现的软硬件一体化平台，包括芯片、模组、接口等硬件以及

系统软件和功能软件等软件，以适应传统电子控制单元向异构高性能处理器转变的趋势。

注：也被称为车载智能计算基础平台。

3.2

车控操作系统vehicle-controloperatingsystem

运行于车载智能计算基础平台硬件及汽车电子控制单元硬件之上，支撑智能网联汽车驾驶自动化功

能实现和安全可靠运行的软件集合。车控操作系统由智能驾驶操作系统和安全车控操作系统组成。

3.3

0智能驾驶操作系统intelligentdri0vingoperatingsystem0

车控操作系统（3.2）中支撑智能网联汽车驾驶自动化功能实现的软件集合，包括系统软件和功能

软件。

3.4

安全车控操作系统safetyvehicle-controloperatingsystem

车控操作系统（3.2）中支撑智能网联汽车安全可靠运行的软件集合，包括系统软件和功能软件。

3.5

系统软件systemsoftware

0车控操作系统中支撑驾驶自动化功能0实现的复杂大规模嵌入式系统运行环境，包括0操作系统内核、

虚拟化管理、POSIX、系统中间件及服务和实时安全域。

3.6

功能软件functionsoftware

车控操作系统中面向智能驾驶核心共性需求形成的智能驾驶共性服务软件集合，支撑驾驶自动化功

能开发，包括数据抽象、功能软件通用框架、智能驾驶通用模型和应用软件接口。

3.7

相关项item

0实现整车层面功能或部分功能的系统0或系统组合。0

1

000

T/CSAEXXXX—XXXX

000

3.8

独立于环境的安全要素safetyelementoutofcontext

不是在特定的相关项定义下开发的安全相关要素。

4缩略语

下列缩略语适用于本文件。

0CPU中央处理单元0CentralProcessingUnit0

CRC循环冗余码校验CyclicalRedundancyCheck

DDS数据分发服务DataDistributionService

ECC错误检查和纠正ErrorCheckingandCorrection

E2E端到端EndtoEnd

FFI免于干扰FreedomFromInterference

FIFO先入先出FirstInFirstOut

HSM硬件安全模块HardwareSecurityModule

0IMU惯性测量单元0InertialMeasurementUnit0

IPC进程间通信Inter-ProcessCommunication

MMU内存管理单元MemoryManagementUnit

MPU内存保护单元MemoryProtectionUnit

ODD运行设计域OperationalDesignDomain

OS操作系统OperatingSystem

POSIX可移植操作系统接口PortableOperatingSystemInterface

QM质量管理QualityManagement

QoS服务质量QualityofService

000

RAM随机存取存储器RandomAccessMemory

SEooC独立于环境的安全要素SafetyElementoutofContext

VM虚拟机VirtualMachine

FTTI故障容错时间间隔FaultTolerantTimeInterval

FHTI故障处理时间间隔FaultHandlingTimeInterval

5车控操作系统安全要求

05.1通用要求00

车控操作系统应满足以下通用安全要求：

a)车控操作系统应满足GB/T34590的要求，最高可支持ASIL-D；

b)本文件中定义的车控操作系统软件顶层安全要求、安全要求和安全状态由开发者来实现，系

统及整车安全状态由用户来定义和实现；

c)部署车控操作系统的相关硬件平台应满足车控操作系统对应的最高ASIL等级要求；

d)异构分布硬件应支持内存保护和分区，以实现不同安全功能的内存分离；

e)车控操作系统在全新特定环境下进行集成之前，应确认全部假设在新环境下的有效性。若假

0设与实际需求不一致，应按照G0B/T34590.8进行变更管理；0

f)车控操作系统的用户应根据相关项安全目标对应的FTTI，进行系统、硬件、软件逐级分解，

从而导出车控操作系统各模块的FHTI。

5.2系统软件安全要求

5.2.1操作系统内核

5.2.1.1顶层安全要求

000

2

000

T/CSAEXXXX—XXXX

000

车控操作系统应在5.2.1.2安全假设前提下并满足5.2.1.3安全要求和5.2.1.4安全状态的情况下提供正

确可靠的运行环境，安全等级最高可支持ASIL-D。

5.2.1.2安全假设

操作系统内核安全假设应满足以下要求：

a)对于使用操作系统内核进行软件部署的相关项,操作系统内核应该具有继承或分解后的最高

功能安全等级；

0b)对于具体项目应用，系统集成人0员应定义最差调度响应时间，并基于目标环0境开展测试，验

证所配置的调度策略和线程优先级是否满足最后期限需求；

c)系统集成人员应评审并确认所有的配置是否满足项目安全要求；

d)系统集成人员应确保上层软件模块安全/正确地使用操作系统内核提供的功能和机制；

e)使用者需确认车控操作系统内核在系统层级满足所列外部假设条件，并且确保系统的运行状

态在所规定的范围内。

5.2.1.3安全要求

0操作系统内核应满足以下安全要求：00

a)操作系统内核应为用户态应用程序的存储访问提供隔离措施，以保证每个存储访问相互隔离；

b)操作系统内核应提供措施来约束每个进程在执行过程中不会使用超过其预先分配的资源；

c)操作系统内核的地址空间应被保护，并为应用程序提供访问内核地址空间的安全接口，以支

持安全相关的进程间通讯（例如无名管道、FIFO、共享存储等）；

d)如果硬件支持特权模式，操作系统内核应将不受信任的用户态软件置于非特权模式下，从而

阻止不受信任的用户态软件访问安全相关的硬件；

e)资源强制访问控制机制，应做到最小特权原则；

f)在操作系统内核空间出现异常时（例如非法系统调用、堆栈溢出、指针异常访问、内存越界、

000

死循环、死锁、超时等），操作系统内核应立即调用内核异常处理程序，并进入对应安全状

态。内核异常处理程序不应为空，一旦为空，操作系统内核应立即调用操作系统关闭处理程

序；

g)操作系统内核应诊断IPC消息传递的故障，如IPC消息发送失败，消息接收失败等；

h)当一个安全相关线程出现异常时（例如超时错误、内存错误、指令错误等），操作系统内核

应立即调用该线程的异常处理机制。安全相关线程的异常处理机制不应为空，一旦为空，则

内核应立即停止运行该线程；

i)操作系统内核应尽可能地监控每个用户态进程的资源消耗（例如CPU、内存等）；

0j)在多核处理器上，当操作系统内0核在一个处理器核心上检测到异常并且需要0关闭操作系统时，

应同时在所有其他处理器核心上关闭该操作系统；

k)操作系统内核应提供栈溢出诊断机制，以探测已经发生的栈溢出错误并调用内核异常处理程

序；

l)对于内核服务接口，操作系统内核应向用户态软件模块提供安全的服务接口（例如I/O操作、

信号处理等），不正确地调用这些服务接口不应导致内核崩溃；

m)当出现不正确的内核服务接口调用（例如传递非法地址、无效参数、非法的上下文等）时，

内核服务接口不应执行对应的服务，并且立即返回错误代码。

000

5.2.1.4安全状态

当违背上述5.2.1.3安全要求时，操作系统内核进入的安全状态可以为：操作系统内核日志、报警、

降级、重启或关闭等。

5.2.2虚拟化管理

5.2.2.1顶层安全要求

虚拟化管理应在5.2.2.2安全假设前提下并满足5.2.2.3安全要求和5.2.2.4安全状态的情况下，为跨平

0台操作系统提供安全的虚拟环境接口，安0全等级最高支持ASIL-D。0

3

000

T/CSAEXXXX—XXXX

000

5.2.2.2安全假设

虚拟化管理安全假设应满足以下要求：

a)虚拟化管理应用到的虚拟驱动安全等级最高为ASIL-D等级；

b)硬件应提供系统内存管理单元；

c)芯片的CPU、中断控制器、I/O硬件应支持硬件虚拟化的功能；

d)当虚拟化管理及板级支持包上报故障或进入安全状态时，外部系统应监控虚拟化管理及板级

支持包上报故障，确保整个系统的安全性。

000

5.2.2.3安全要求

虚拟化管理及板级支持包应满足以下要求：

a)虚拟化管理及板级支持包应具备相关硬件及软件故障的诊断机制、故障上报机制、可能的故

障处理机制以及故障恢复机制；

注：可能的故障处理机制例如对于需要立即处理的安全相关故障，虚拟化管理及板级支持包可以立即操作硬件使系

统进入安全状态，不需要先将故障上报到安全监控程序。

b)虚拟化管理及板级支持包在初始化虚拟环境时，应按照包括但不限于下列方法对硬件进行安

0全诊断测试：00

1)验证各个硬件模块功能的正确性；

示例1：回读寄存器验证写入的参数是否成功。

示例2：进行通讯回环测试。

2)对硬件安全机制进行故障注入测试；

3)如果安全诊断测试不通过，应根据故障类型停止加载上层软件组件/进程对象/GuestOS，

同时应上报故障给安全域；

4)虚拟化管理模块在运行时对低安全等级的软件组件（即不具备达到ASIL等级的存量软件

模块或第三方软件模块）进行功能安全监控（例如相关寄存器配置是否正确、运行时是

000

否有意外修改寄存器的行为、运行时关键运算结果的合理性校验)。

注：对于不同厂商提供的硬件IP，安全诊断测试需要根据硬件IP本身已有的硬件安全机制来设计。例如，硬

件IP内部的所有寄存器都有奇偶校验保护机制，则安全诊断测试需要对奇偶校验保护机制进行故障注入

测试；硬件IP内部的寄存器没有硬件保护机制，则安全诊断测试需要对写入寄存器的数值进行回读校验，

并进行周期性的检查。

c)根据隔离和使用的需求，虚拟化管理应支持对资源的静态专用与动态共享的能力；

d)虚拟化管理在任何情况下（例如意外事件，系统过载等），都应为安全分区提供足够的运行

资源；

e)虚拟化管理应管理所有分区之间的通讯访问权限。

0VM00

5.2.2.4安全状态

当违背上述5.2.2.3安全要求时，虚拟化管理进入的安全状态可以为：虚拟化管理日志、报警、重启

等。

5.2.3POSIX

5.2.3.1顶层安全要求

接口或接口的子集（例如）应在安全假设前提下并满足安全要求和

0POSIXPOSIX0PSE515.2.3.250.2.3.3

5.2.3.4安全状态的情况下提供安全的接口，安全等级最高支持ASIL-D。

5.2.3.2安全假设

POSIX安全假设应满足以下要求：

a)功能安全应用应充分考量POSIX接口的实时性要求；

b)功能安全应用或应用库应使用符合功能安全要求的POSIX接口，当POSIX接口上报故障或进

入安全状态时，系统需确保安全性。

05.2.3.3安全要求00

4

000

T/CSAEXXXX—XXXX

000

POSIX接口设计应满足以下要求：

a)POSIX接口的设计应符合ISO/IEC9945的要求；

b)POSIX接口应进行FFI的设计，例如不正确的调用（传递非法地址、无效参数、非法的上下

文等）。这些安全的服务接口不应导致内核崩溃或安全隐患。

5.2.3.4安全状态

当违背上述5.2.3.3安全要求时，POSIX接口进入的安全状态可以为：POSIX接口不应执行对应的服

0务，返回错误代码或执行回滚等。00

5.2.4系统中间件及服务

5.2.4.1顶层安全要求

系统中间件及服务应在5.2.4.2安全假设前提下并满足5.2.4.3安全要求和5.2.4.4安全状态的情况下提

供正确的基础系统服务，安全等级最高支持ASIL-D。

5.2.4.2安全假设

0系统中间件及服务安全假设应满足以0下要求：0

a)对于分布式通信中间件，硬件存储单元中不带有错误检测功能的安全相关通讯都应使用E2E

保护；

b)对于应用调度和生命周期管理，车控操作系统中不同ASIL等级的目标文件不能混合分配给同

一个进程；

c)对于应用调度和生命周期管理，操作系统内核应对进程提供时间隔离和空间隔离；

d)需要调度的进程的优先级应根据相关项的安全要求来定义；

e)应在特定线程中进行中断事件处理；

0f)对于安全框架和服务，ASIL-B及0以上功能安全等级的安全相关应用组件应使0用中间件提供调

度错误（例如超时、运行太过频繁、乱序）的检测机制；

g)安全相关应用组件应使用中间件提供的绑定监控结果的健康监控通道来报告检测到的错误并

触发系统响应。

5.2.4.3安全要求

系统中间件及服务应满足以下安全要求：

a)分布式通信中间件中，所有安全相关的以太网通讯都应采用E2E保护。E2E应包含如下信息：

数据识别码、校验码和计数器等；

000

b)安全框架和服务应符合如下要求：

1)应能正确初始化安全相关的硬件；

2)应能检测安全相关组件的潜在故障；

3)应能验证应用映像文件（image）的完整性，并提供错误处理和记录；

4)应能在启动时监测可能禁止或影响安全机制产生作用的硬件潜在故障；

5)应能在运行时监测硬件错误，并在监测到影响顶层安全要求的硬件错误时切换到安全状

态；

6)应能提供错误响应处理机制；

07)应能提供监控服务监控应用0软件正确执行；0

8)应能提供可以确保完整性的密钥存储机制，例如通过HSM硬件存储或者软件冗余存储和

回读来监测数据损坏或丢失；

9)应提供可以确保完整性的文件访问，例如通过冗余存储和回读来监测数据损坏或丢失。

c)应用更新管理应符合如下要求：

1)每次应用更新之前，应该能对应用来源的有效性和软件包的完整性进行检查，若检查失

败，应停止升级并提示用户；

2)每次应用更新完毕后，都应进行应用软件的完整性检查，若检查失败，应进行提示并按

0升级失败处置；00

5

000

T/CSAEXXXX—XXXX

000

3)每次应用更新都应有确定的更新状态（例如更新成功或是更新失败后回滚到更新前的状

态）；

4)一个安全相关功能所关联的所有组件应该在同一次更新中完成；

注：应用组件之间应有明确的依赖关系，以提供应用组件之间的关联性操作，即使是分散在不同的应用组件

中。

5)状态管理模块能够根据当前是否有安全相关应用运行状态以及车辆运行状态来允许或者

禁止应用更新。

06)在OTA升级或者回滚后，应0保证用户私有数据不发生变化，保持一致。0

d)诊断日志应保护安全相关故障数据错误计数，防止被篡改或数据丢失，同时需要根据安全性

不同定义不同级别的日志及保存时间；

e)需要具备确定的中断延时和调度延时，以便支持硬实时的业务可以得到及时响应。应定义关

中断/关抢占、调度响应时间方面的性能指标要求；

f)应根据相关安全要求来配置安全管理模块中可能存在的出错类型和出错响应类型。

5.2.4.4安全状态

当违背上述5.2.4.3安全要求时，系统中间件及服务进入的安全状态可以为：不启动或故障状态。

000

5.2.5实时安全域

5.2.5.1顶层安全要求

实时安全域应在5.2.3.2安全假设前提下并满足5.2.3.3安全要求和5.2.3.4安全状态的情况下提供可靠

且安全的实时运行环境，安全等级最高支持ASIL-D。

5.2.5.2安全假设

硬件平台应支持安全车控操作系统内存分区所需要的安全机制。

000

5.2.5.3安全要求

实时安全域应满足以下安全要求：

a)实时安全域应能实现核内多任务间的互斥访问操作且不能出现因优先级翻转而引起的“死锁

问题”；

b)实时安全域应支持安全通信功能，以实现任务与任务、任务与中断、多分区间通信（分区能

分布于多个核）；

c)实时安全域应支持多分区机制，以支持不同ASIL等级的软件隔离。分区应支持运行于CPU

0的特权级模式以及非特权级模式0；0

d)实时安全域应支持内存保护机制，以实现分区间的物理隔离；

e)实时安全域应支持多核互斥访问机制，以实现对多核共享资源的互斥访问，例如自旋锁机制；

f)实时安全域应支持时间保护功能，下列因素需受到监控：

1)任务与中断的执行时间应被监控；

2)任务与中断使用资源/关闭中断的时间应被监控；

3)任务与中断的到达率（频率）应被监控。

g)实时安全域应支持以下钩子函数功能：

01)错误钩子函数：安全车控操0作系统检测到系统异常时，系统须将错误码0传入错误钩子函

数；

2)关闭钩子函数：安全车控操作系统被关闭时，安全车控操作系统将先进入关闭钩子函数

以使用户保存安全相关数据。

注：钩子函数为操作系统内核预留给用户的功能接口函数。

h)实时安全域应支持堆栈检测功能，应能对堆栈溢出故障进行处理；

i)实时安全域应支持故障处理功能，为避免由时间与分区故障造成的危害，当安全车控操作系

统检测到时间与分区故障时，应进入安全保护状态，在安全保护状态内，用户能根据故障的

严重程度进行故障处理。安全保护状态内可支持下列故障处理模式：

000

6

000

T/CSAEXXXX—XXXX

000

1)忽略模式：安全车控操作系统支持忽略该故障，安全车控操作系统将返回至故障位置处

继续执行；

2)关闭任务/中断模式：安全车控操作系统支持关闭该故障任务/中断；

3)分区关闭模式：安全车控操作系统支持将故障分区进行关闭；

4)分区关闭并重启模式：安全车控操作系统支持将故障分区复位重启。

j)应支持系统崩溃后的现场保存机制，当安全车控操作系统内核崩溃时，应保存故障现场信息。

5.2.5.4安全状态

000

当违背上述5.2.5.3安全要求时，实时安全域进入的安全状态可以为：

a)当故障发生在安全车控操作系统的内核内时，安全车控操作系统应能被立即复位重启；

b)当故障发生在安全车控操作系统的内核外时，安全车控操作系统应根据分区内的故障严重程

度进入安全状态：返回故障码或进入故障处理模式（例如忽略模式、关闭任务/中断模式、分

区关闭模式、分区关闭并重启模式等），其它分区能正常运行。

5.3功能软件安全要求

05.3.1应用软件接口00

5.3.1.1顶层安全要求

应用软件接口应在5.3.1.2安全假设前提下并满足5.3.1.3安全要求和5.3.1.4安全状态的情况下对软件

接口的数据以及相应的通讯进行实时监控，安全等级最高可支持ASIL-D。

5.3.1.2安全假设

应用软件接口安全假设应满足以下要求：

a)内存保护单元应对安全数据的内存进行保护，防止非法读写访问；

0b)应有专门的监控模块对应用软件0接口的程序流进行监控，确保执行时序的正0确性。

5.3.1.3安全要求

应用软件接口应满足以下安全要求：

a)应用软件接口启动时应能进行初始化处理；

b)应用软件接口面向功能模块时，应对输入通讯接口（动态和静态）的数据ID、携带数据的类

型和取值范围进行校验，当检测到数据ID错误、携带的数据的类型和取值范围超出规定范围

时，需要向相关的功能模块发送错误通知或返回异常码，以便明确具体的错误种类；

0c)应用软件接口面向应用开发者时0，应对API接口的输入参数的类型、取值范0围进行校验，当

检测到参数异常时，需要返回异常值，并明确具体的错误种类；

d)应用软件接口应通过不同的模块来进行数据校验，并对安全相关的数据进行备份，来保证功

能数据的正确性；

e)应用软件接口应对收到的安全功能数据进行保存。当收到新的功能数据时应同之前保存的数

据进行比较，确认数据规范性，不符合时按照安全策略处理，例如丢弃或者插值；

f)当不能收到功能模块的通知或调用API返回异常或调用API无法返回时，应用软件接口应进

入相应的安全状态；

g)对安全相关的数据应增加独立的冗余校验模块，冗余校验模块需要通过不同的模块来进行赋

000

值。冗余校验模块应监控数据的完整性和正确性，如果校验不通过，应进入对应的安全状态；

h)应用软件接口应按照安全需求制定相应的安全机制；

示例1：对相应的通讯模块进行监控，当既定的时间内没有接收到数据时，判断为通信异常，进入相应的安全状态。

示例2：针对RAM异常的情况，应设置安全校验机制（例如checksum校验、ECC等方式）进行检测，实现周期

的RAM检测和关键数据的多重比较，当检测为异常时，进入相应的安全状态。

示例3：应用软件接口不应使用动态内存管理，启动的时候应该按照预先设计好的分配原则进行内存分配。

示例4：应用接口在扩展或者增强的过程中，应保证不会影响原有安全功能接口的使用。

示例5：应用软件接口应明确哪些是与安全相关的参数以及参数的可配置范围和权限。

i)应用软件接口应对有安全等级要求的接口的输出参数中添加保护信息，对返回值进

00APIE2E0

行E2E校验。

7

000

T/CSAEXXXX—XXXX

000

5.3.1.4安全状态

当违背上述5.3.1.3安全要求时应用软件接口进入的安全状态可以为：读取默认的配置数据、模块重

启、记录日志或通知应用模块等。

5.3.2智能驾驶通用模型

5.3.2.1环境模型

05.3.2.1.1顶层安全要求00

环境模型应在5.3.2.1.2安全假设前提下并满足5.3.2.1.3安全要求和5.3.2.1.4安全状态的情况下能正确

地感知目标信息、道路信息和定位信息，安全等级最高可支持ASIL-D。

5.3.2.1.2安全假设

智能驾驶环境模型安全假设应满足以下要求：

a)环境模型输入的信号应有通信保护或冗余通道，变量的正常范围值应定义清晰；

b)环境模型中安全相关模块的调度周期或运行时间应该被监控，来探测其运行太频繁、运行过

0长等错误；00

c)存储安全校验模块的内存应该被保护，免于非法读写访问。

5.3.2.1.3安全要求

智能驾驶环境模型应满足以下安全要求：

a)环境模型应对目标检测中目标元数据的目标ID、各组信号数据类型和取值范围进行校验，当

检测到目标ID与期望不符、各组信号数据类型错误或取值范围超出目标范围时，发出无效标

志位；

0b)环境模型对道路结构信息（例如0道路标线和停止线的识别信息）中车道线集0合数组、车道线

元数据、停止线集合数组和停止线元数据的数据类型、取值范围进行校验，当检测到数据类

型错误或取值范围超出目标范围时，发出信号无效标志位；当检测到信息卡滞/丢失/延迟时，

发出相应故障标志位；

c)环境模型对定位信息进行校验，定位信息漂移/卡滞/丢失/延迟应能被检测，当检测到以上失

效应发出相应故障标志位；

d)当相应信号无效标志位触发时，融合模块应采取默认值或进入相应安全状态；

e)对环境各类感知计算模块应增加独立冗余校验模块，以监控计算是否正确，若计算出错，应

进入对应安全状态；

000

f)对融合模块应增加合理性检查，以校验各路信号是否一致，若不一致，应进入安全状态；

g)环境模型应对计算处理后的输出目标信号、道路信号、定位信号增加超时检测、心跳计数器、

循环冗余校核和有效位状态等保护信息。

5.3.2.1.4安全状态

当违背上述5.3.2.1.3安全要求时，环境模型进入的安全状态可以为：发布对应故障信号的无效标志

位或故障标志位。

5.3.2.2规划模型

000

5.3.2.2.1顶层安全要求

规划决策模型应在5.3.2.2.2安全假设前提下并满足5.3.2.2.3安全要求和5.3.2.2.4安全状态的情况下避

免错误的横/纵向轨迹输出，安全等级最高可支持ASIL-D。

5.3.2.2.2安全假设

智能驾驶规划模型安全假设应满足以下要求：

a)功能软件环境模型的输入信号应有通信保护或冗余通道，变量的正常范围值应定义清晰；

000

8

000

T/CSAEXXXX—XXXX

000

b)环境模型中安全相应模块调度周期或运行时间应该被监控，来探测其运行太频繁、运行过长

等错误；

c)存储安全校验模块的内存应该被保护，免于非法读写访问。

5.3.2.2.3安全要求

智能驾驶规划模型应满足以下安全要求：

a)规划模块应对下面所述信息进行校验，当校验失败时，发出相应信号无效标志位：

01)应对个性化设置服务、定位0服务输入信息进行正确性和合理性校验；0

2)应对自车状态信息进行校验，自车状态包括但不限于转向角、转向速率、速度、加速度、

当前控制模式、挡位、胎压、车门状态等；

3)应对环境模型输出信息（例如目标信号、道路信号、定位信号等）数据类型、取值范围、

正确性及合理性进行校验；

4)应对环境感知融合服务、定位服务输入信息的时间一致性进行检查。

b)当信号无效标志位触发时，规划模块应采取最后有效值或默认安全值，并进入相应安全状态；

c)当规划模块探测到自车状态处于非正常状态时，规划模块应进入安全状态或功能降级状态；

0d)当规划模块探测到输入模块相应0信号超时、出错或时序无法对齐等影响安全0的失效时，规划

模块应进入相应安全状态；

e)规划模块应对各类环境感知服务、定位服务、车辆状态等输入信息增加冗余校验模块，以监

控计算是否正确，若计算出错，应进入对应安全状态。同时应对核心输入信息的时间一致性

增加独立的校验模块，以监控核心输入信息是否在可允许的时间偏差范围内，如果输入信息

时间偏差过大，应进入对应安全状态；

f)对规划模块本身应增加检查模块，以监控规划模块的健康状态。当规划模块在规定时间内无

法正常工作并输出有效轨迹时，规划模块应妥善处理或进入相应安全状态；

g)规划模型应对计算处理后输出的未来轨迹规划信息（纵向、横向目标轨迹等）增加保护

000E2E

信息。

5.3.2.2.4安全状态

当违背上述5.3.2.2.3安全要求时，规划模型进入的安全状态可以为：发布对应故障信号的无效标志

位或故障标志位以及功能降级。

5.3.2.3控制模型

5.3.2.3.1顶层安全要求

000

控制模型应在5.3.2.1.2安全假设前提下并满足5.3.2.1.3安全要求和5.3.2.1.4安全状态的情况下避免输

出错误的横/纵向控制指令，安全等级最高可支持ASIL-D。

5.3.2.3.2安全假设

智能驾驶控制模型安全假设应满足以下要求：

a)功能软件环境模型输入的信号应有通