ChinaAutoRegs|GB/T 47351-2026英文版翻译 智能网联汽车 车控操作系统技术要求及试验方法
Intelligent and Connected Vehicles—Technical Requirements and Test Methods of Vehicle-Control Operating System
CONTENTS
Foreword
1 Scope
2 Normative References
3 Terms and Definitions
4 Abbreviations
5 General Requirements
6 General Technical Requirements
6.1 Intelligent Driving Operating System
6.2 Safety Vehicle-Control Operating System
7 Information Security Requirements
7.1 Intelligent Driving Operating System
7.2 Safety Vehicle-Control Operating System
8 Functional Safety Requirements
8.1 General Requirements
8.2 Intelligent Driving Operating System
8.3 Safety Vehicle-Control Operating System
9 Test Methods
9.1 Test Environment
9.2 General Technical Test Methods
9.3 Information Security Test Methods
9.4 Functional Safety Test Methods
Annex A (Informative) VCOS Architecture
A.1 Overall Architecture
A.2 System Software
A.3 Functional Software
Annex B (Informative) VCOS Test Environment Instances
B.1 Reference Parameters for Type I Intelligent Driving Operating System Hardware Test Platform
B.2 Instance Parameters of Safety VCOS Hardware Test Platform
Bibliography
1范围
本文件规定了智能网联汽车车控操作系统的一般要求、通用技术要求、信息安全要求、功能安全要求和试验方法。
本文件适用于具备车控操作系统的M类和N类车辆,其他车辆类型参照执行。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 17548-2008信息技术POSIX标准符合性的测试方法规范和测试方法实现的要求和指南
GB/T 34590.6道路车辆 功能安全 第6部分:产品开发:软件层面
GB/T 40429-2021汽车驾驶自动化分级
GB/T 44373-2024智能网联汽车 术语和定义
GB 44495-2024汽车整车信息安全技术要求
GB 44496-2024汽车软件升级通用技术要求
GB/T 46194-2025道路车辆 信息安全工程
GM/T 0005-2021随机性检测规范
3术语和定义
GB/T 40429-2021和GB/T 44373-2024界定的以及下列术语和定义适用于本文件。
3.1
车载智能计算基础平台onboard intelligent computing base platform
支撑智能网联汽车驾驶自动化等功能实现的软硬件一体化平台,包括芯片、模组、接口等硬件以及系统软件(3.5)和功能软件(3.6)。
3.2
车控操作系统vehicle-control operating system
运行于车载智能计算基础平台(3.1)硬件及汽车电子控制单元硬件之上,支撑智能网联汽车驾驶自动化功能实现和安全可靠运行的软件集合,用于管理计算资源、调度任务,由Ⅱ型车控操作系统(3.3)和Ⅰ型车控操作系统(3.4)组成。
3.3
Ⅱ型车控操作系统safety vehicle-control operating system
车控操作系统(3.2)中支撑智能网联汽车安全可靠运行的软件集合,包括系统软件(3.5)和功能软件(3.6)。
3.4
Ⅰ型车控操作系统intelligent driving operating system
车控操作系统(3.2)中支撑智能网联汽车驾驶自动化功能实现的软件集合,包括系统软件(3.5)和功能软件(3.6)。
3.5
系统软件system software
嵌入式系统运行环境的软件集合,车控操作系统(3.2)中主要支撑驾驶自动化及汽车安全可靠运行功能实现,包括内核、虚拟化管理和中间件等。
3.6
功能软件functional software
车控操作系统(3.2)中面向智能驾驶核心共性需求形成的智能驾驶共性服务软件集合,支撑驾驶自动化功能开发及支撑汽车安全可靠运行,包括数据抽象、功能软件通用框架、智能驾驶通用模型和应用软件接口等。
3.7
数据抽象data abstraction
对车端传感器、执行器、自车状态、地图以及云端数据进行规范化处理,实现驾驶自动化功能开发与传感器、底层硬件等设备的解耦。
3.8
硬件虚拟化hardware virtualization
通过硬件平台提供对特殊指令的截获和重定向的支持来实现虚拟化功能。
3.9
动态编排dynamic orchestration
通过自动化和智能化的方式,根据系统内部实时的场景和条件,动态地协调和管理任务的分配和调度过程。
3.10
安全审计security audit
对信息系统记录与活动的独立评审和考察,以测试系统控制的充分程度,确保对于既定安全策略和运行规程的符合性,发现安全违规,并在控制、安全策略和过程三方面提出改进建议。
[来源:GB/T 25069-2022,3.24]
3.11
密钥管理key management
在密钥全生存周期,根据安全策略,对密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等进行的管理。
[来源:GB/T 25069-2022,3.401]
3.12
硬实时hard real-time
严格遵循时间约束,超出时间限制会造成严重的系统失效。
4缩略语
下列缩略语适用于本文件。
API:应用程序编程接口(ApplicationProgrammingInterface)
ASIL:汽车安全完整性等级(AutomotiveSafetyIntegrityLevel)
CAN:控制器局域网络(ControllerAreaNetwork)
CAN-FD:可变速率控制器局域网络(ControllerAreaNetworkFlexibleData-Rate)
CPU:中央处理单元(CentralProcessingUnit)
CRC:循环冗余校验(CyclicRedundancyCheck)
C-V2X:无线通信技术(CellularVehicletoEverything)
DDS:数据分发服务(DataDistributionService)
DoS:拒绝服务(DenialofService)
ECU:电子控制单元(ElectronicControlUnit)
GIC:通用中断控制器(GenericInterruptController)
GNSS:全球导航卫星系统(GlobalNavigationSatelliteSystem)
GuestOS:客户操作系统(GuestOperatingSystem)
HMI:人机界面(HumanMachineInterface)
ID:身份标识号码(IdentityDocument)
IMU:惯性测量单元(InertialMeasurementUnit)
I/O:输入输出(InputOutput)
IOMMU:输入输出的内存管理单元(Input/OutputMemoryManagementUnit)
IP:互联网协议(InternetProtocol)
IPC:进程间通信(Inner-processCommunication)
LIN:局域通信网络(LocalInterconnectNetwork)
LPC:本地过程调用(LocalProcedureCall)
MCU:微控制单元(MicroControlUnit)
ODD:运行设计范围(OperationalDesignDomain)
OTA:空中下载(OvertheAir)
POSIX:可移植操作系统接口(PortableOperatingSystemInterfaceofUNIX)
SEooC:独立于环境的安全要素(SafetyElementoutofContext)
SMMU:系统内存管理单元(SystemMemoryManageUnit)
SOA:面向服务的架构(Service-OrientedArchitecture)
SOME/IP:基于IP的可扩展的面向服务的中间件(Scalableservice-OrientedMiddlewareoverIP)
SSH:安全外壳协议(SecureShell)
SYN:同步序列编号(SynchronizeSequenceNumbers)
TCP:传输控制协议(TransmissionControlProtocol)
UDP:用户数据报协议(UserDatagramProtocol)
VLAN:虚拟局域网(VirtualLocalAreaNetwork)
V2X:车联网通信(VehicletoEverything)
5一般要求
车控操作系统(详见附录A)满足以下要求:
a)应符合GB/T 46194-2025的要求;
b)应支持在不同硬件平台的移植与应用软件开发。
6通用技术要求
6.1Ⅰ型车控操作系统
6.1.1系统软件
6.1.1.1内核
Ⅰ型车控操作系统系统软件的内核满足以下要求:
a)应具备多核管理、运行和同步功能;
b)应支持绑核和不绑核两种方式,并根据上层应用需求进行选择与执行;
c)应支持进程或者任务调度功能;
示例:基于优先级的调度方式、基于优先级和公平调度结合的调度方式、进程CPU时间片预算的约束配置功能等;
d)应支持进程间通信功能;
e)应支持信号管理和通知功能;
f)应支持不同任务(进程)之间的资源隔离,各任务(进程)可独立运行,且不互相影响;
g)应支持多任务(进程)管理,包含多任务(进程)的创建、运行、暂停和销毁;
h)应支持抢占功能;
i)应支持外设中断、处理器内部异常和软件中断的注册与处理;
j)应支持时钟管理功能;
k)应支持锁与同步机制;
l)应支持内存管理功能和非易失性存储管理功能(如进程的内存预算约束配置功能);
m)应提供符合GB/T 17548-2008要求的接口;
n)应支持用户态与内核态模式;
o)宜支持异构核间通信;
p)可支持将特定类型的外部中断绑定到特定核上。
6.1.1.2虚拟化管理
Ⅰ型车控操作系统系统软件的虚拟化管理满足以下要求:
a)应支持同时加载运行多个GuestOS;
b)应实现系统资源的隔离保护;
c)应具备多核管理、运行和同步功能;
d)应提供虚拟机间通信的机制;
e)应支持虚拟机的生命周期管理;
f)应支持虚拟机事件记录功能;
g)应至少支持I/O、内存、CPU、中断;
h)应支持通用的指令集架构和对硬件的管理;
i)可提供资源共享机制,实现GuestOS资源共享。
6.1.1.3中间件
6.1.1.3.1系统中间件
Ⅰ型车控操作系统系统软件的系统中间件满足以下要求:
a)应支持系统时间同步;
b)应具备数据管理和存储功能,且支持易失性与非易失性存储介质;
c)应支持进程和功能组件的状态管理与生命周期管理;
d)应提供网络管理服务;
e)应提供诊断管理服务;
f)应提供日志管理服务;
g)应提供软件升级服务。
6.1.1.3.2分布式通信中间件
Ⅰ型车控操作系统系统软件的分布式通信中间件满足以下要求:
a)应支持发布与订阅、请求与响应通信模型;
b)应支持节点发现功能,且节点之间的发现应避免单点故障或瓶颈;
c)应支持多种通信协议,以及自决策的传输策略;
d)应支持数据的序列化和反序列化功能;
e)应支持操作系统内进程间,以及操作系统间的实时通信;
f)宜支持服务质量设置和各进程网络资源占用监控。
6.1.1.4性能要求
Ⅰ型车控操作系统系统软件满足以下性能要求。
a)同步时间精度应优于1ms。
b)从内核开始被加载至第一个用户态进程开始执行的时间应不大于3s。
c)在CPU负载80%(±5%),内存占用80%(±5%),网络带宽60%(±5%)的情况下,应满足:
1)平均中断响应时延不大于20μs,最大中断响应延迟不大于200μs;
2)平均线程切换时延不大于50μs,实时线程的最大切换时延不大于1ms;
3)平均进程切换时延不大于50μs,最大进程切换时延不大于1ms;
4)平均系统抢占时延不大于50μs,最大系统抢占时延不大于1ms。
d)通信时延应满足:
1)多节点下的进程间平均通信时延不大于1ms;
2)单节点内的IPC信号量平均通信时延不大于50μs;
3)单节点内的IPC消息队列平均通信时延不大于50μs。
e)在通信能力达到网络物理接口的80%(±5%)的情况下,UDP丢包率应不大于1%。
f)在通信能力达到网络物理接口的80%(±5%)且丢包率不大于1%的情况下,UDP协议吞吐量应不小于800Mbit/s。
g)虚拟化层导致的CPU性能损失应不大于5%。
注:性能损失是指在开启分区隔离的情况下,中断调度时延、线程切换时延、进程切换时延、IPC通信时延平均值,和未开启分区隔离的相应指标相比的性能损耗。
6.1.2功能软件
6.1.2.1数据抽象
Ⅰ型车控操作系统功能软件的数据抽象满足以下要求:
a)应支持通信中间件抽象,并向数据流框架提供统一的SOA通信接口;
b)应支持传感器抽象和执行器抽象,并定义和使用统一的数据接口;
c)传感器抽象和执行器抽象的处理算法应独立于处理机制,可按需进行配置、插扩和复用;
d)宜支持通用计算平台抽象,可通过硬件虚拟化和软件虚拟化实现,对外提供计算平台资源的统一访问接口;
e)宜支持车载操作系统抽象,定义车载和车控操作系统所需交换的信息范围、数据格式和交换协议;
f)可支持地图抽象,提供统一的地图基础服务,并且支持不同的地图格式及引擎接口;
g)可支持AI抽象,通过AI框架建立对不同平台AI计算单元的适配通道,优化并调度硬件资源,屏蔽硬件技术细节。
6.1.2.2功能软件通用框架
6.1.2.2.1数据流框架
Ⅰ型车控操作系统功能软件的数据流框架满足以下要求:
a)应提供统一的算法和基础服务节点抽象,支持算法和服务节点以线程、进程的方式进行本地、跨域、跨板、跨机混合部署,支持多种方式进行数据路由和服务调用;
b)应支持算法和服务节点编排,可支持动态编排和节点内多算法的动态切换;
c)宜针对智能驾驶算法和基础服务定义统一的数据接口,且该接口支持主流编程语言数据定义生成和不同标准数据格式的转换;
d)可支持以进程、线程或协程的方式来实现算法节点和服务节点,以及根据任务优先级、所需计算资源、任务截止时间的调度方式。
6.1.2.2.2基础服务
Ⅰ型车控操作系统功能软件的基础服务满足以下要求:
a)应至少包含信息安全服务、网联云控服务、数据回传服务、OTA服务、HMI服务;
b)应根据服务分类提供服务接口。
6.1.2.3智能驾驶通用模型
6.1.2.3.1环境模型
Ⅰ型车控操作系统功能软件的环境模型满足以下要求:
a)应定义环境数据的抽象语义级别和表达;
b)宜对所运行算法的适用条件、感知能力和算力消耗进行跟踪和管理,并对外提供功能和场景驱动的感知能力订阅接口。
注:感知能力包括感知范围、对象类别、语义层次、感知精度和服务确定性。
6.1.2.3.2规划模型
Ⅰ型车控操作系统功能软件的规划模型应支持态势认知、场景认知和决策机制,并满足以下要求:
a)态势认知应包括车路关系、车车关系、自车与其他交通参与者的关系、其他交通参与者之间以及与道路之间的关系;
b)场景认知应支持与典型智能驾驶任务和道路环境相关联的场景识别;
c)决策机制应建立态势-场景-功能之间的关联,宜支持基于状态机、行为决策树的规则决策机制和AI决策机制;
d)决策过程宜留存关键决策逻辑和证据,具有可解释性。
6.1.2.3.3控制模型
Ⅰ型车控操作系统功能软件的控制模型满足以下要求:
a)应支持对实时计算环境中部署的控制算法的配置和更新;
b)应支持场景驱动的控制算法仲裁;
c)宜支持控制算法前后台切换;
d)可支持控制算法的在线参数标定。
6.1.2.4应用软件接口
6.1.2.4.1一般要求
Ⅰ型车控操作系统功能软件的应用软件接口应提供数据抽象接口、感知接口、融合接口、定位接口、预测接口、决策规划接口和控制接口,可提供配置接口和自定义接口,其中数据抽象接口应提供传感器抽象接口和执行器抽象接口,可提供地图接口。
6.1.2.4.2数据抽象接口
6.1.2.4.2.1传感器抽象接口
传感器抽象接口满足以下要求:
a)应接收包括原始数据或处理后的目标数据的传感器数据,宜提供数据校验和错误机制;
b)应输出传感器数据。
示例:图像数据、点云数据、目标数据等。
6.1.2.4.2.2执行器抽象接口
执行器抽象接口分为执行器反馈接口和执行器控制接口两类:
a)执行器反馈接口应接收车身数据(见示例1)和底盘数据(见示例2),底盘数据应包括车辆的运动状态信息;
b)执行器控制接口应输出车身控制数据和底盘控制数据。
示例1:灯光等。示例2:于汽车转向、驱动、刹车、挡位等。
6.1.2.4.2.3地图接口
地图接口应输出当前位置的道路数据。
注:道路数据包含人行道信息、路口信息、道路片段信息、车道片段信息、停止标准、信号灯、禁停区、减速带、停车位信息。
6.1.2.4.3感知接口
感知接口满足以下要求:
a)应接收传感器数据(如摄像头、毫米波雷达、激光雷达);
b)应输出目标物数据(如位置、类型、状态、置信度)。
6.1.2.4.4融合接口
融合接口满足以下要求:
a)应接收感知模块的数据,支持单传感器感知数据的跟踪以及多传感器数据的融合;
b)应输出目标数据(如位置、类型、状态、置信度、历史信息)。
6.1.2.4.5定位接口
定位接口满足以下要求:
a)应接收GNSS、IMU、摄像头和激光雷达的传感器数据,且支持基于地球全局坐标系的绝对定位或局部坐标系的相对定位;
b)应输出自车数据(如位置、角度、运动状态和置信度)。
6.1.2.4.6预测接口
预测接口满足以下要求:
a)应接收感知模块、融合模块、定位模块数据;
b)应输出目标车辆行驶的轨迹点序列,且包含位置和时间信息。
6.1.2.4.7决策规划接口
决策规划接口满足以下要求:
a)应接收自车的周边环境信息;
b)应输出自车行驶的轨迹点序列。
6.1.2.4.8控制接口
控制接口满足以下要求:
a)应接收决策规划、车身和定位数据;
b)应输出纵向控制(驱动或制动)、横向控制(转角)、挡位、灯光控制数据。
6.2Ⅱ型车控操作系统
6.2.1系统软件
6.2.1.1内核
Ⅱ型车控操作系统系统软件的内核满足以下要求:
a)应支持基于优先级的任务调度策略;
b)应支持不可抢占任务调度策略;
c)应支持多核管理功能,包括多核任务并行处理;
d)应支持中断管理功能;
e)应支持异核间的调度同步功能;
f)应支持资源管理功能;
g)宜支持基于时间的任务间同步功能,提供多核数据同步机制,并能预防死锁;
h)宜使用绑核方式;
i)可支持用户态和内核态;
j)可提供时间保护或者空间保护功能;
k)可支持跨应用、跨核的任务通信机制。
6.2.1.2中间件
Ⅱ型车控操作系统系统软件的中间件满足以下要求:
a)应支持应用程序运行的系统服务和功能(如通信管理、时间同步);
b)应支持非易失性数据的存储管理功能;
c) 应支持车内网络通信能力(如以太网、CAN、CAN-FD、LIN、FlexRay),可支持SOME/IP、DDS通信协议;
d)应支持日志管理功能;
e)应支持故障诊断功能;
f)应支持网络管理功能;
g)应支持多种硬件抽象(如通信、存储、I/O);
6.2.1.3性能要求
Ⅱ型车控操作系统系统软件满足以下性能要求。
a)同步时间精度应不大于1ms。
b)系统从上电开始到第一帧CAN报文发出时间应不大于200ms。
c)调度时延应满足:
1)任务切换时延不大于5μs;
2)任务抢占时延不大于5μs;
3)系统中断时延不大于5μs。
d)通信时延和抖动应满足:
1)CAN通信时延不大于10μs;
2)DDS和SOME/IP通信时延不大于10ms。
e)吞吐量应不小于100Mbit/s。
6.2.2功能软件
Ⅱ型车控操作系统功能软件应满足以下要求:
a)提供车辆动力系统、转向系统和制动系统的运行状态信息;
b)接收控制指令,并执行车辆控制。
7信息安全要求
7.1Ⅰ型车控操作系统
7.1.1系统软件
7.1.1.1内核
7.1.1.1.1安全启动
Ⅰ型车控操作系统的安全启动满足以下要求:
a)系统应支持基于硬件可信根的安全启动;
注:系统包括硬件和固件。
b)应默认开启;
c)应使用安全的完整性保护算法;
d)安全启动信任链应延伸至BootLoader;
e)安全启动信任链应延伸至内核;
f)安全启动信任链宜延伸至系统软件;
g)宜支持在应用程序启动时进行完整性保护的能力;
h)安全启动信任链宜延伸至应用软件。
7.1.1.1.2系统完整性保护和机密性保护
完整性保护和系统机密性保护满足以下要求:
a)内核加载时应进行完整性保护;
b)安全环境应对接口进行访问控制,基于威胁分析结果实现权限最小化;
注:安全环境包括硬件安全模块、可信执行环境、可信平台模块。
c)宜支持在应用程序安装时进行完整性保护的能力;
d)内核运行时宜进行完整性保护,对控制流、内核中关键数据(如进程数据、进程访问地址限制)进行完整性保护。
7.1.1.1.3访问控制
Ⅰ型车控操作系统的访问控制机制满足以下要求:
a)应限制进程可执行的系统调用范围;
b)应限制用户和进程的特权范围;
c)应支持强制访问控制。
7.1.1.1.4内核态-用户态安全隔离
Ⅰ型车控操作系统应隔离内核态和用户态的程序,限制用户程序对内核资源的访问。
7.1.1.1.5漏洞防护
Ⅰ型车控操作系统的漏洞防护满足以下要求:
a)应支持用户态和内核态地址随机化;
b)应禁止数据内存具备执行权限;
c)应禁止代码段、只读数据段的写权限;
d)应支持栈保护;
e)宜支持特权模式不可执行用户态程序;
f)宜支持特权模式不可访问用户态数据。
7.1.1.2虚拟化管理
Ⅰ型车控操作系统系统软件虚拟化管理满足以下要求:
a)应提供分域安全隔离的能力(如虚拟化分域隔离);
注:虚拟化分域隔离,即支持应用运行在不同域,不同信任域中的应用访问共享资源需受控,且具备防范不同域内系统发生无意或恶意的越界读写非法操作的能力。
b)应提供非可信执行环境与可信执行环境之间的资源访问控制能力。
7.1.1.3中间件
7.1.1.3.1系统中间件及服务资源隔离
Ⅰ型车控操作系统系统中间件及服务资源隔离满足以下要求:
a)不同功能的系统中间件及服务应以独立进程隔离;
b)内部处理和外部通信进程应进行隔离,并且权限应最小化。
7.1.1.3.2通信协议安全
Ⅰ型车控操作系统应支持安全的通信协议,保护系统和远程服务之间的通信,满足GB 44495-2024中的通信安全要求。
7.1.1.3.3协议栈安全
Ⅰ型车控操作系统系统软件的协议栈安全应具备TCP/IP会话流状态检查的功能,并中断状态异常的会话。
7.1.1.3.4升级安全
Ⅰ型车控操作系统系统软件应支持安全的升级,满足GB 44496-2024中的软件升级安全要求。
7.1.1.3.5密码服务
Ⅰ型车控操作系统系统软件的密码服务满足以下要求:
a)系统应提供密钥管理功能,对用户的密钥进行统一的管理和安全存储;
b)系统应支持密钥管理对调用者的身份认证与访问权限控制;
c)应基于安全环境保护密钥;
d)应基于安全环境对主关键过程(如密钥运算、密钥派生)进行保护;
e)应使用符合GM/T 0005-2021要求的安全随机数,保证随机数由已验证、安全的随机数生成器产生;
f)应具备对证书的可信根签名和发送方签名真实性验证的能力;
g)应对根证书进行完整性保护;
h)应提供设备证书有效期管理功能;
i)应提供证书状态维护功能;
j)应确保证书更新成功,在失败时使用现有有效证书;
k)应提供证书校验机制;
l)系统宜支持对数据或者数据分区的加密,对关键的数据进行完整性保护;
m)系统宜支持对只读分区的文件系统的只读挂载或者只读保护;
n)宜基于安全环境对其他密钥和密码算法的运算过程进行保护;
o)宜限制各调用者可执行的加解密算法范围,使用已验证、安全的算法;
p)宜限制各调用者加解密操作可使用的密钥范围;
q)可实现对调用者的身份认证与访问权限控制。
7.1.1.3.6系统接入认证
Ⅰ型车控操作系统系统软件的接入认证满足以下要求:
a)应支持关闭登录功能(如SSH);
b)应支持设备身份认证功能。
7.1.1.3.7网络访问控制列表
Ⅰ型车控操作系统系统软件应支持满足GB 44495-2024要求的网络访问控制列表功能。
7.1.2功能软件
7.1.2.1安全管理
7.1.2.1.1安装管理
Ⅰ型车控操作系统功能软件满足以下信息安全要求:
a)应遵循最小化原则,不包含不必要的服务程序、不需要的端口和服务,非必需账号,仅保留系统必要程序、服务、端口和账号;
b)不应包含开发、编译、调测类和网络嗅探类的服务和工具;
c)不应存在任何后门和隐藏接口;
d)不宜包含显示和调整系统安全策略的服务和工具。
7.1.2.1.2访问权限
Ⅰ型车控操作系统功能软件的访问权限应满足最小化授权原则,不应超出正常业务范围。最小化授权原则满足以下要求:
a)应对Root进程进行排查,将不需要全部Root权限的功能拆离到其他进程;
b)应对所有进程按需配置权限。
7.1.2.1.3安全审计
Ⅰ型车控操作系统功能软件应提供信息安全审计所需的数据和日志保护功能,记录通信行为和重要安全事件。
示例:事件的日期、类型、成功与否等审计相关信息。
7.1.2.2应用软件接口
7.1.2.2.1接口API安全
Ⅰ型车控操作系统功能软件所提供的API接口的信息安全满足以下要求:
a)应提供最小的应用程序访问接口;
b)宜具备消息校验功能,丢弃应用发送和声明不一致的消息;
c)宜具备身份认证功能,阻止非法应用的接入;
d)高资源开销类API运行时宜限制调用者身份以及调用频率,以防止系统资源被耗尽。
7.1.2.2.2传感器模块安全
Ⅰ型车控操作系统功能软件传感器模块的信息安全满足以下要求:
a)传感器模块宜对所接入的传感器进行身份认证;
b)传感器模块和传感器间数据通信宜通过加密通道进行传输,抵御报文构造、报文分析、报文重放攻击;
c)传感器模块和传感器间数据通信宜支持认证、校验、签名机制。
7.1.2.3功能软件通用框架
7.1.2.3.1功能软件通用框架安全
Ⅰ型车控操作系统功能软件通用框架的信息安全满足以下要求:
a)应对加载的算法子模块间的通信进行管控,对通信的发起方、接收方、通信模式以及通信主题进行控制,阻止不在预置通信矩阵中的访问会话;
b)应提供针对算法子模块的安全隔离能力,限制其对系统和其他模块的资源(如进程标识、用户、文件系统、网络协议栈)的访问;
c)在检测到严重的信息安全事件发生时(如功能算法的完整性遭到破坏),功能软件通用框架应支持降级运行,阻断恶意应用的消息,并通知应用进行降级;
d)宜对加载的算法子模块进行签名验证。
7.1.2.3.2网联/云控模块安全
Ⅰ型车控操作系统功能软件网联/云控模块的信息安全满足以下要求:
a)应提供留存网络日志和可审计能力;
b)宜采用数据加密、身份认证技术建立车与车、车与路、车与云、车与设备之间的安全通信。
7.1.2.3.3OTA服务安全
Ⅰ型车控操作系统OTA服务的信息安全满足以下要求:
a)应满足GB 44495-2024中的软件升级安全要求;
b)应满足GB 44496-2024中的软件升级安全要求。
7.1.2.4入侵检测
Ⅰ型车控操作系统入侵检测满足以下要求:
a)应具备主机异常检测能力,包括但不限于系统异常开放端口、系统运行异常、系统登录异常、系统启动异常、恶意/非授权软件的安装运行、应用非授权访问获取权限及访问/修改/删除隐私及重要数据、可疑文件及病毒、系统配置文件、系统日志的监控及异常发现和告警能力;
b)应具备将安全事件发送至云端服务器的能力;
c)宜支持基于IP和端口的黑白名单安全策略机制的以太网防火墙。
7.1.2.5异常行为监测
Ⅰ型车控操作系统异常行为监测满足以下要求:
a)应监测并记录Ⅰ型车控操作系统异常事件(如操作系统资源使用量过高),用于后续进行安全审计;
b)应监测并记录应用软件的异常事件(如异常退出、降级、资源使用量过高),用于后续进行安全审计。
7.1.2.6信息安全服务
Ⅰ型车控操作系统信息安全服务满足以下要求:
a)宜提供整车系统和应用信息安全监控服务,监控车辆系统、网络和服务的信息安全状态;
b)宜记录信息安全事件,当信息安全事件严重威胁功能安全时,进入安全状况,提请系统降级和驾驶员介入。
7.2Ⅱ型车控操作系统
7.2.1系统软件
7.2.1.1内核
7.2.1.1.1安全启动
Ⅱ型车控操作系统系统软件的安全启动满足以下要求:
a)系统应支持基于硬件可信根的安全启动;
b)应使用安全的完整性保护算法;
c)应默认开启。
7.2.1.1.2安全隔离
Ⅱ型车控操作系统系统软件安全隔离满足以下要求:
a)应提供分域隔离的能力,不同信任域中的应用访问共享资源需受控,且具备防止不同域内的系统发生无意或恶意越界读写非法操作的能力;
b)宜支持以太网络VLAN技术,对不同VLAN域进行隔离;
c)宜隔离用户态的程序,限制用户程序对内核资源的访问;
d)宜满足不同功能的系统服务,支持内存权限和CPU权限隔离。
7.2.1.1.3漏洞防护
Ⅱ型车控操作系统系统软件的漏洞防护满足以下要求:
a)应禁止数据内存具备执行权限;
b)应限制代码段、无需修改的关键数据段不可写;
c)应支持栈保护。
7.2.1.2中间件
7.2.1.2.1密码服务
Ⅱ型车控操作系统的系统机密性保护和完整性保护满足以下要求:
a)系统应提供密钥管理功能,对用户的密钥进行统一的管理和安全存储;
b)应基于安全环境保护密钥;
c)应基于安全环境对主密钥运算、密钥派生关键过程进行保护;
d)应使用符合GM/T 0005-2021要求的安全随机数,保证随机数由已验证、安全的随机数生成器产生;
e)宜基于安全环境对其他密钥和密码算法的运算过程进行保护;
f)系统宜支持关键文件或数据(如密码配置文件)进行加密存储和完整性保护;
g)系统宜支持对数据或者数据分区的加密,对关键的数据分区进行加密和完整性保护;
h)宜限制各调用者可执行的加解密算法范围,使用已验证、安全的算法;
i)宜限制各调用者加解密操作可使用的密钥范围;
j)宜在应用程序升级时进行完整性保护;
k)宜在驱动程序下载安装时进行完整性保护。
7.2.1.2.2身份和访问权限控制
Ⅱ型车控操作系统系统软件的身份和访问权限控制满足以下要求:
a)应具备对证书的可信根签名和发送方签名真实性验证的能力;
b)应对根证书进行完整性保护;
c)应提供设备证书有效期管理功能;
d)应提供证书查询、状态更新维护功能;
e)应确保证书更新成功,在失败时使用现有有效证书;
f)应提供证书校验机制;
g)接入认证应提供安全接入服务;
h)应提供接口访问控制功能(如黑/白名单机制);
i)可实现对调用者的身份认证与访问权限控制。
7.2.1.2.3协议栈安全
Ⅱ型车控操作系统系统软件的协议栈安全满足以下要求:
a)应具备TCP/IP协议的报文检查机制(如源IP、目的IP、端口);
b)应具备TCP/IP协议的防DoS攻击机制(见示例);
示例:于Socketbuffer限流、限定TCP/UDP的连接数量、限定ARP条目和IP分片存储数量等。
c)应具备TCP/IP协议的SYNCCookie机制,防止SYN攻击。
7.2.1.2.4网络访问控制列表
Ⅱ型车控操作系统的网络访问控制列表功能应满足7.1.1.3.7的要求。
7.2.1.2.5安全通信协议
Ⅱ型车控操作系统的安全通信协议应满足7.1.1.3.2的要求。
7.2.1.2.6升级安全
Ⅱ型车控操作系统的升级安全应满足7.1.1.3.4的要求。
7.2.2功能软件
7.2.2.1安全管理
安全车控操系统功能软件安全管理应满足7.1.2.1的要求。
7.2.2.2入侵检测
Ⅱ型车控操作系统的入侵检测应具备将安全事件发送至云端服务器的能力。
7.2.2.3异常行为监测
Ⅱ型车控操作系统的异常行为监测宜监测并通知功能软件和应用软件的异常事件,用于后续进行安全审计,包括但不限于异常退出、通信异常、诊断异常等。
8功能安全要求
8.1通用要求
车控操作系统ASIL等级应由整车层面的ASIL等级需求进行分解确定。如果没有上层需求作为输入,可采用SEooC方法进行安全假设,从而明确各个模块的ASIL等级。
8.2Ⅰ型车控操作系统
8.2.1系统软件
8.2.1.1安全要求
Ⅰ型车控操作系统系统软件的安全要求宜满足ASILB。
8.2.1.2安全机制
8.2.1.2.1内核
Ⅰ型车控操作系统系统软件内核的安全机制要求如下:
a)不应采用优先级反转,可采用优先级天花板协议、优先级继承协议;
b)应支持死锁检测;
c)应支持安全隔离机制(如内核态和用户态的安全隔离、进程隔离);
d)应支持内存保护机制(如运行时堆栈监测、内存访问检测、内存配额检测、ECC);
e)应支持错误检测机制和错误处理机制(见示例1、示例2);
示例1:Hook机制。
示例2:检测到POSIX标准中规定的不正确接口调用时,返回相应错误码并通知上层应用。
f)应支持内核资源配置功能;
g)应支持内核资源统计和监控功能;
h)应支持安全通信功能,包括任务间、多核间的安全通信;
i)应支持内核或关键系统进程异常复位机制(如看门狗功能);
j)宜支持任务调度的超时保护机制;
k)宜支持系统崩溃场景数据收集机制,且该数据可以用于后期现场恢复和问题定位。
8.2.1.2.2虚拟化管理
Ⅰ型车控操作系统系统软件虚拟化管理的安全机制要求如下:
a)应支持硬件辅助CPU虚拟化机制,防止虚拟机非法访问物理CPU干扰虚拟化软件的运行;
b)应支持基于内存虚拟化的分区机制,使虚拟机间内存访问隔离;
c)应支持中断虚拟化功能,使虚拟机间中断隔离;
d)应支持基于I/O虚拟化的设备隔离机制,防止虚拟机在访问共享设备时的相互干扰;
e)应支持基于虚拟CPU机制的虚拟机间运行隔离机制,防止虚拟机在执行上的无序干扰;
f)应支持基于I/O地址空间隔离的IOMMU机制,确保虚拟机在设备访问时的地址空间隔离;
g)应支持虚拟机的健康管理机制,对虚拟机的运行状态进行监控和恢复。
8.2.1.2.3中间件
Ⅰ型车控操作系统系统软件中间件的安全机制要求如下:
a)应支持安全执行机制(见示例);
示例:时间检测及处理机制、逻辑检测及处理机制、利用率检测及处理机制、存储空间检测及处理机制、进程状态检测及处理机制。
b)应支持安全存储机制,如A/B面备份机制、数据文件CRC校验;
c)应支持安全通信机制,如CRC校验、顺序计数器、特定ID、超时检测、握手机制;
d)应支持安全配置机制,如内存安全划分、磁盘安全分区、进程及线程调度配置。
8.2.2功能软件
8.2.2.1功能安全等级要求
Ⅰ型车控操作系统功能软件的安全要求宜满足ASILB。
8.2.2.2安全机制
8.2.2.2.1数据抽象
Ⅰ型车控操作系统功能软件数据抽象的安全机制要求如下:
a)应支持配置文件检测机制(如值域范围检查、CRC校验),对配置文件的加载结果、正确性、合法性进行检查,检测到失败时执行上报,并进行相应的异常处理;
b)应支持进程检测机制,对服务或应用的加载、运行、卸载的结果以及正确性、逻辑顺序、时效性进行检查,检测到异常时执行上报,并进行相应的异常处理;
c)应支持通信安全机制(如序列号、时间戳、CRC校验),对通信数据的正确性、顺序性、时效性进行检查,检测到异常时执行上报,并进行相应的异常处理;
d)应支持数据抽象检测机制,对数据抽象转换结果的正确性、时效性进行检查,检测到异常时执行上报,并进行相应的异常处理。
8.2.2.2.2功能软件通用框架
Ⅰ型车控操作系统功能软件通用框架的安全机制要求如下:
a)应满足8.2.2.2.1a)的要求;
b)应支持进程检测机制,对进程、算法或服务的加载、运行、卸载的结果以及正确性、逻辑顺序、时效性进行检查,检测到异常时执行上报,并进行相应的异常处理;
c)应满足8.2.2.2.1c)的要求;
d)应支持异常监测和处理机制(见示例1、示例2),对所有受控对象进行管理,并提供异常发布、订阅和处理策略。
示例1:心跳监测、资源监控、逻辑顺序监测、超时监测等异常监测机制。
示例2:故障报警、提示接管、安全停车异常处理机制。
8.3Ⅱ型车控操作系统
8.3.1系统软件
8.3.1.1功能安全等级要求
Ⅱ型车控操作系统系统软件的安全要求应满足ASILD。
8.3.1.2安全机制
8.3.1.2.1内核
Ⅱ型车控操作系统系统软件内核的安全机制要求如下:
a)应支持将特定类型的外部中断绑定到特定核上的能力,支持中断的确定性监控机制(如中断频率监控、中断超时监控);
b)应避免优先级反转,可采用优先级天花板协议、优先级继承协议;
c)应支持死锁检测机制;
d)应支持安全隔离机制,包括分区的故障隔离、检测和恢复,如安全应用与非安全应用、不同安全等级之间的应用隔离分区;
e)应支持内存保护(如运行时堆栈检测、内存访问检测、内存配额检测);
f)应支持错误检测和处理机制(如Hook机制),能够在运行时通知任何检测到的错误,返回对应错误码并通知上层应用;
g)应支持安全通信功能,包括任务间、多核间的安全通信;
h)应支持任务调度的超时保护机制;
i)宜支持确定性的调度机制。
8.3.1.2.2中间件
Ⅱ型车控操作系统系统软件中间件的安全机制要求如下:
a)应支持安全通信机制(如CRC校验、顺序计数器、特定ID、超时检测);
b)应支持安全存储机制(如CRC校验、写验证);
c)应支持安全看门狗复位机制(如保活监控、截止时间监控、程序流监控);
d)应支持驱动层的相关安全机制的实现(电源管理监控、时间监控、存储器监控、模拟及数字输入输出监控、处理器监控)。
8.3.2功能软件
Ⅱ型车控操作系统功能软件的安全要求如下:
a)横纵向控制应满足ASILD;
b)应用软件接口应至少满足ASILB,宜满足ASILD。
9试验方法
9.1试验环境
试验环境搭建包括被测系统、测试硬件平台(参考附录B)、测试工具及其他工具。被测车控操作系统应开放接口和权限,确保测试数据可记录、可导出。测试宜基于部件产品、OEM整车进行。
9.2通用技术试验方法
9.2.1Ⅰ型车控操作系统
9.2.1.1系统软件
9.2.1.1.1内核功能试验方法
Ⅰ型车控操作系统系统软件的内核功能试验方法应按照下列流程和要求依次进行:
a)系统启动,获取被测系统的接口,包含内存管理、中断管理、调度管理、时间管理、信号管理、文件系统;
b)通过启动多个进程或者任务,检查系统对多核资源管理和多个核上任务同时访问共享资源时的同步功能;
c)通过调用CPU亲和性绑定接口,并绑定不同任务到不同核上,检查被测系统的绑核功能是否正常;
d)通过调用进程或任务调度接口,检查被测系统是否支持进程或任务的调度功能;
e)通过调用进程间通信接口,检查被测系统是否支持进程间通信功能;
f)通过调用信号管理相关接口,检查被测系统的信号管理功能;
g)通过启动两个任务(进程),在一个任务(进程)中访问另一个任务(进程)中数据的内存地址,检查被测系统的任务(进程)间资源隔离功能;
h)通过调用进程管理相关接口,检查被测系统进程管理功能;
i)通过调用任务相关接口,设置不同的调度优先级,检查调度优先级是否符合预期;
j)通过调用中断相关接口,检查被测系统中断管理功能;
k)通过调用时钟管理相关接口,检查被测系统的时钟管理功能;
l)通过在线程或进程中调用系统提供的锁与同步接口,检查被测系统是否支持锁与同步机制;
m)通过分别调用内存访问接口和文件管理接口,检查被测系统内存管理功能和非易失性存储管
理功能;
n)通过调用系统接口,检查被测系统在对接口的基本定义及接口功能实现是否符合GB/T 17548-2008的要求;
o)通过检查操作系统支持对特定系统资源的受限访问,检查被测系统支持用户态、内核态模式,用户态检查系统调用、用户空间库兼容性、资源隔离与权限控制、异常处理与恢复,内核态检查内核模块稳定性、中断与并发安全、内核资源管理、安全边界与权限校验;
p)通过调用异构核间通信接口,检查被测系统是否支持异构核间通信;
q)通过在系统中设置特定类型的外部中断,将中断绑定到不同核上,检查被测系统是否支持将特定类型的外部中断绑定到特定核上的能力。
智能驾驶操作系统的内核功能试验预期结果如下:
a)系统启动,获取被测系统的接口;
b)具备多核管理、运行和同步功能;
c)支持绑定任务到不同核上;
d)支持进程或者任务调度功能,例如基于优先级的调度方式、基于优先级和公平调度结合的调度方式、进程CPU时间片预算的约束配置功能;
e)支持进程间通信功能;
f)系统可以正确响应和处理信号;
g)支持不同任务(进程)间的资源隔离功能;
h)支持进程的创建、取消、挂起、休眠和唤醒,并且可进行进程间同步和通信;
i)优先级高的任务抢占优先级低的任务,优先执行;
j)支持软硬中断的创建、删除、使能、去使能,支持断点保护,能在中断服务完成后返回原断点;
k)支持时钟设置,获取时间;支持定时器创建、定时器到期回调;
l)支持锁与同步机制;
m)支持内存分配、回收,支持访问权限控制,提供内存保护机制,支持内存地址映射机制,支持文件的创建,删除,编辑,支持目录的创建,删除,编辑,支持对于最大文件大小限制,支持文件完整性检查和修复;
n)接口符合GB/T 17548-2008的要求;o)支持符合检查准则的用户态与内核态;p)支持异构核间通信功能;
q)支持将特定类型的外部中断绑定到特定核上的能力。
9.2.1.1.2虚拟化管理功能试验方法
Ⅰ型车控操作系统系统软件的虚拟化管理功能试验方法应按照下列流程和要求依次进行:
a)获取验证单板和配置工具,对于虚拟机上操作系统进行资源配置,并通过内存加载方式加载多个GuestOS;
b)在GuestOS1上创建线程访问GuestOS2的资源(如CPU、内存、硬盘),检查被测系统是否能正常访问;
c)通过在GuestOS1上启动多个进程或者任务,检测系统对多核资源管理和多个核上任务同时访问共享资源时的同步功能;
d)在两个GuestOS操作系统上分别创建进程,通过调用操作系统通信接口提供通信,检查被测系统是否能够正常通信;
e)检测虚拟化管理层在分析与设计阶段对功能安全与信息安全实施的软件需求分析,是否完备实现;
f)对单个系统实例进行维护、销毁操作后,检查其他系统实例是否受影响;
g)通过调用虚拟化管理层提供的接口或工具,检测是否支持查看指定时间范围的虚拟机事件并可以进行性能优化分析;
h)检查是否支持I/O(如网络的虚拟化)、内存、CPU、中断;
i)通过将虚拟化管理层部署到通用指令集架构的硬件平台(如X86、IA64、ARM),并创建多个GuestOS,检测虚拟化管理层支持通用的指令集架构;
j)检查虚拟化管理层是否提供一套资源共享机制,实现GuestOS资源共享。
Ⅰ型车控操作系统系统软件的虚拟化管理功能试验预期结果如下:
a)被测系统可正常运行,资源配置正常;
b)被测系统不能正常访问;
c)被测系统中具备多核管理、运行和同步功能;
d)被测系统能够正常通信;
e)虚拟化管理模块能实现分析与设计阶段对功能安全与信息安全的软件需求;
f)检查其他GuestOS不受影响;
g)支持查看指定时间范围的虚拟机事件并可进行性能优化分析;
h)支持I/O的虚拟化(如网络的虚拟化)、内存虚拟化、CPU、中断;
i)支持通用的指令集架构,以及对硬件的管理;
j)提供一套资源共享机制,实现GuestOS资源共享。
9.2.1.1.3中间件
9.2.1.1.3.1系统中间件试验方法
Ⅰ型车控操作系统系统软件中间件试验方法应按照下列流程和要求依次进行:
a)在不同节点创建两个进程,分别设置主从,检查被测系统中间件能否进行时间同步;
b)在非易失性存储介质存储控制设备的测试驱动程序(如创建一个数据文件,调用文件读写接口),执行以检查被测系统的易失性与非易失性存储介质能否正常支撑程序运行;
c)通过进行应用的创建、启动、删除,检查被测系统的生命周期管理状态和响应;
d)调用网络管理服务进程,检查被测系统能否正常管理网络状态;
e)调用诊断服务进程,通过诊断工具软件检查被测系统能否正常响应诊断服务;
f)创建进程,检查被测系统的日志系统能否正常记录相关日志;
g)创建软件升级请求,检查被测系统能否正常升级。
Ⅰ型车控操作系统系统软件中间件试验预期结果如下:
a)可以进行时间同步;
b)被测系统的易失性与非易失性存储介质能正常支撑程序运行;
c)可以正常检测进程的状态并响应;
d)被测系统可以正常管理网络状态;
e)被测系统可以正常响应诊断服务;
f)被测系统的日志系统可以正常记录相关日志;
g)被测系统可以正常升级。
9.2.1.1.3.2分布式通信中间件试验方法
Ⅰ型车控操作系统系统软件通信中间件试验方法应按照下列流程和要求依次进行:
a)在多个节点上分别创建多个进程,选定一个进程进行服务发布,检查被测系统服务发布是否成功,其他进程是否可以进行正常服务发现-订阅及请求-响应通信;
b)在多个节点上分别创建多个进程,分配多个服务发布端,多个服务订阅端,设置单个节点故障或检测被测系统是否因为单点故障或瓶颈影响节点之间的发现;
c)在多个节点上分别创建多个进程,设置不同进程的通信协议,检测通信端点之间是否支持多种通信协议并可自决策传输策略;
d)检查通信端点中的通信数据是否支持序列化和反序列化功能;
e)创建多个进程,分别设置多个进程在一个操作系统上和多个进程在不同的操作系统上,检查是否正常通信;
f)在多个节点上分别创建多个进程进行通信,并设置不同服务质量需求,调节通信行为。
Ⅰ型车控操作系统系统软件的通信中间件试验预期结果如下:
a)被测系统服务发布成功,其他进程可以进行正常服务发现-订阅及请求-响应通信;
b)被测系统支持节点发现,且不会因为单点故障或瓶颈影响节点之间的发现;
c)被测系统通信中间件支持多种通信协议并可自决策传输策略;
d)支持数据的序列化和反序列化功能;
e)被测系统的通信正常,支持操作系统内进程间通信及操作系统间通信;
f)被测系统的通信正常,且支持通信服务质量的设置。
9.2.1.1.4系统软件性能试验方法
Ⅰ型车控操作系统系统软件性能试验方法应按照下列流程和要求依次进行。
a)在CPU负载80%(±5%),内存占用80%(±5%),网络带宽60%(±5%)的情况下,通过计算时间同步后,从节点和主节点的时间差值,连续测试次数不少于1000次,并得到时间差值的最大值,即是时间同步精度。
b)通过在内核代码开始执行处和内核开始拉起用户态进程处添加记录时间的日志,并在系统启动后查看系统启动日志获取被测系统从内核开始加载到操作系统启动完毕的时间。
c)调度时延试验方法如下:
1)在CPU负载80%(±5%),内存占用80%(±5%),网络带宽60%(±5%)情况下,构造中断,在发送中断前获取时间t1,中断函数入口获取时间t2,t2-t1为中断响应时延,连续测量次数不少于10万次,计算出时延的平均值和最大值;
2)在CPU负载80%(±5%)和内存占用80%(±5%),网络带宽60%(±5%)背景下,创建同一个进程里相同优先级的两个线程,连续触发线程切换次数不少于10万次,分别记录切换前的时间点和切换后的时间点,然后根据统计的数值计算出时延的平均值和最大值,如多核情况下,将两个线程绑定到同一个核上,优先级在当前核上设为最高,且正在执行的线程主动释放CPU资源;
3)在CPU负载80%(±5%)和内存占用80%(±5%),网络带宽60%(±5%)背景下,创建相同优先级的两个进程,连续触发进程切换次数不少于10万次,分别记录切换前的时间点和切换后的时间点,然后根据统计的数值计算出时延的平均值和最大值,如在多核情况下,将两个线程绑定到同一个核上进行测试;
4)在CPU负载80%(±5%)和内存占用80%(±5%),网络带宽60%(±5%)背景下,创建两个不同优先级线程,连续触发高优先级的线程抢占低优先级的线程次数不少于10万次,分别记录抢占前的时间点和抢占后的时间点,然后根据统计的数值计算出时延的平均值和最大值,如在多核情况下,将两个线程绑定到同一个核上,优先级在当前核上分别设为次高和最高,且在次高优先级进程中触发高优先级线程的执行。
d)通信时延试验方法如下。
1)CANFD:使用工具发送CANFD报文(payload64B)给测试系统,带宽5Mbit/s占用达到80%,测量从报文发出到接收到响应报文的时延的平均值、最大值;TCP/UDP:请求报文和响应报文payload长度为1000字节,发包频率30Hz,客户端发出请求报文到收到服务端响应的时间的平均值、最大值;SOME/IP、DDS:请求报文和响应报文payload长度为1000字节,发包频率30Hz,订阅节点1个,从订阅节点应用层发出到订阅阶段应用层收到响应的时间的平均值、最大值(跨SOC测试)。
2)在CPU负载80%和内存占用80%背景下,创建两个进程及信号量。在多核情况下,将两个进程绑定到同一个核上。进程1等待信号量而进入休眠,进程2释放信号量,记录为时间点t1,然后进程1获取信号量后唤醒,记录为时间点t2,t2-t1为信号量通信时延,测量10万次,计算时延的平均值。
3)在CPU负载80%和内存占用80%背景下,创建两个进程及一个消息队列。进程1读取消息队列阻塞,进程2开始写入消息,记录为时间点t1;进程1被唤醒并完成读操作,记录为时间点t2,t2-t1为消息队列通信时延,测量10万次,计算时延的平均值。
e)在至少执行3次,每次至少60s时长的要求下,采用UDP方式发送数据,数据包大小为56KB,发包频率1800Hz,通过统计出发送的报文数与接收的报文数,计算出丢包率。
f)在至少执行3次,每次至少60s时长的要求下,采用UDP方式发送数据,数据包大小为56KB,发包频率1800Hz,通过计算单位时间内数据的发送和接收量,得到系统的发送和接收吞吐量。
g)通过测试虚拟层的中断响应时延、任务调度时延与非虚拟化环境相比,检测虚拟化层的性能损失。
Ⅰ型车控操作系统系统软件性能试验预期结果如下。a)同步时间精度应不大于1ms。
b)系统启动时间应不大于3s。c)调度时延试验预期结果:
1)平均中断响应时延应不大于20μs,最大中断响应延迟应不大于200μs;
2)平均线程切换时延应不大于50μs,实时线程的最大切换时延应不大于1ms;
3)平均进程切换时延应不大于50μs,最大进程切换时延应不大于1ms;
4)平均系统抢占时延应不大于50μs,最大系统抢占时延应不大于1ms。
d)通信时延试验预期结果:
1)多节点下进程间通信时延应不大于1ms;
2)信号量通信时延(平均值)应不大于50μs;
3)消息队列通信时延(平均值)应不大于50μs。
e)在通信能力达到网络物理接口的80%的情况下,UDP丢包率应不大于1%。
f)在通信能力达到网络物理接口的80%且丢包率不大于1%的情况下,UDP协议吞量应不小于800Mbit/s。
g)虚拟化层的性能损失应不大于5%。
9.2.1.2功能软件
9.2.1.2.1数据抽象试验方法
Ⅰ型车控操作系统功能软件的数据抽象试验方法应按照下列流程和要求依次进行:
a)通过不同进程发送数据,检查被测系统是否以统一接口提供数据通信;
b)测试不同种别的传感器和执行器,检查被测系统是否以统一的数据接口输出探测、特性、目标、态势四级感知语义和动作、指令两级执行语义;
c)通过动态配置,插扩不同的传感器和执行器,检查被测系统是否支持配置、插扩和复用;
d)通过查看通用计算平台是否运行在虚拟化管理平台上,检查通用计算平台抽象通过硬件虚拟化和软件虚拟化实现;
e)通过发送数据给被测系统,检查被测系统是否满足车载和车控系统所需交换的信息范围、数据格式和交换协议;
f)针对不同地图,调用统一的地图基础服务接口,检查被测系统是否能支持地图服务;
g)通过AI资源抽象接口,为不同平台AI计算单元优化并调度硬件资源。
Ⅰ型车控操作系统功能软件的数据抽象试验预期结果如下:
a)被测系统以统一接口提供数据通信;
b)被测系统以统一的数据接口输出探测、特性、目标、态势四级感知语义和动作、指令两级执行语义;
c)被测系统支持配置、插扩和复用;
d)被测系统的通用计算平台抽象可通过硬件虚拟化和软件虚拟化实现;
e)被测系统满足车载和车控系统所需交换的信息范围、数据格式和交换协议;
f)被测系统可支持地图服务;
g)被测系统支持为不同平台的AI计算单元优化并调度硬件资源,屏蔽硬件技术细节。
9.2.1.2.2功能软件通用框架试验方法
9.2.1.2.2.1数据流框架试验方法
Ⅰ型车控操作系统功能软件的数据流框架试验方法应按照下列流程和要求依次进行:
a)通过使用一套/一个组合的仿真框架,运行不同服务节点和算法节点,检查被测系统算法和服务节点是否支持本地、跨域、跨板、跨机混合部署,是否支持多种方式进行数据路由和服务调用;
b)通过使用一套/一个组合的仿真框架,运行测试用例要求的一组服务节点和算法节点,检查被测系统是否支持算法和服务节点编排,是否支持动态编排;
c)通过编写不同主流编程语言(如C++、Python)的接口调用代码,以及准备不同标准数据格式(如ASAMOpenDRIVE)的文件,检测是否使用统一的数据接口;
d)通过以进程、线程或协程方式运行算法节点和服务节点,并且设置算法节点和服务节点的调度优先级、所需计算资源及任务截止时间,检测被测系统算法和服务节点运行时序是否符合调度策略。
Ⅰ型车控操作系统功能软件的数据流框架试验预期结果如下:
a)被测系统提供统一的算法和基础服务节点抽象,算法和服务节点支持本地、跨域、跨板、跨机混合部署,支持多种方式进行数据路由和服务调用;
b)被测系统支持算法和服务节点编排,支持动态编排;
c)被测系统使用统一的数据接口,且支持主流编程语言数据定义生成和不同标准数据格式的转换;
d)被测系统算法和服务节点支持以进程、线程或协程方式部署,且支持根据任务优先级、所需计算资源和任务截止时间的调度方式。
9.2.1.2.2.2基础服务试验方法
Ⅰ型车控操作系统功能软件的基础服务试验方法应按照下列流程和要求依次进行:
a)通过设置不同的应用场景,检查被测系统是否包含信息安全服务、网联云控服务、数据回传服务、OTA服务和HMI服务;
b)通过对各类服务节点进行服务调用,检测各类服务接口是否他提供相应接口,以及接口定义是否合理。
Ⅰ型车控操作系统功能软件的基础服务试验预期结果如下:
a)被测系统包含信息安全服务、网联云控服务、数据回传服务、OTA服务和HMI服务;
b)各类服务有相应接口,且服务调用结果符合接口定义。
9.2.1.2.3智能驾驶通用模型试验方法
9.2.1.2.3.1环境模型试验方法
Ⅰ型车控操作系统功能软件的智能驾驶环境模型试验方法应按照下列流程和要求依次进行:
a)通过测试环境感知功能,检查被测系统是否实现环境数据的抽象语义级别和表达;
b)通过测试环境感知功能,检查被测系统是否实现了对所运行算法的适用条件、是否能对感知能力和算力消耗进行跟踪和管理、是否提供感知能力订阅接口。
Ⅰ型车控操作系统功能软件的智能驾驶环境模型试验预期结果如下:
a)被测系统实现环境数据的抽象语义级别和表达;
b)被测系统实现了对所运行算法的适用条件、能对感知能力和算力消耗进行跟踪和管理、提供感知能力订阅接口。
9.2.1.2.3.2规划模型试验方法
Ⅰ型车控操作系统功能软件的智能驾驶规划模型试验方法应按照下列流程和要求依次进行:
a)通过测试不同场景功能,检查态势认知是否支持车路关系、车车关系、自车与其他交通参与者的关系;
b)通过测试不同场景功能,检查场景认知是否支持与典型智能驾驶任务和道路环境相关联的场景识别;
c)通过测试不同场景功能,检查决策过程是否建立了态势-场景-功能之间的关联;
d)通过测试不同场景功能,检查决策过程中是否留存关键决策逻辑和证据,具有可解释性。
Ⅰ型车控操作系统功能软件的智能驾驶决策模型试验方法预期结果如下:
a)态势认知支持车路关系、车车关系、自车与其他交通参与者的关系;
b)场景认知支持与典型智能驾驶任务和道路环境相关联的场景识别;
c)决策机制建立了态势-场景-功能之间的关联;
d)决策过程中宜留存关键决策逻辑和证据,具有可解释性。
9.2.1.2.3.3控制模型试验方法
Ⅰ型车控操作系统功能软件的智能驾驶控制模型试验方法应按照下列流程和要求依次进行:
a)系统运行中,实时更新计算环境中部署的控制算法,检查被测系统是否正常工作;
b)通过测试不同场景功能,检查被测系统是否支持场景驱动的控制算法仲裁;
c)通过设置控制算法的前后台运行方式,检测被测系统是否支持控制算法的前后台切换;
d)针对被测系统,检查被测系统是否有控制算法的在线参数标定功能。
Ⅰ型车控操作系统功能软件的智能驾驶控制模型试验预期结果如下:
a)被测系统正常工作;
b)被测系统支持场景驱动的控制算法仲裁;
c)被测系统支持控制算法的前后台切换;
d)被测系统有控制算法的在线参数标定功能。
9.2.1.2.4应用软件接口试验方法
9.2.1.2.4.1数据抽象接口试验方法
Ⅰ型车控操作系统功能软件的数据抽象接口试验方法应按照下列流程和要求依次进行:
a)通过调用传感器抽象接口,检测被测系统:是否能读取到传感器数据,包括原始数据或处理后的目标数据,同时,通过输入故障数据,检测是否能输出关于数据校验和错误检测机制提供的报警信息,是否支持输出图像数据、点云数据、目标数据;
b)通过调用执行器抽象接口,检测被测系统:车辆反馈接口是否能输入灯光等车身数据和汽车转向、驱动、刹车、挡位等底盘数据,车辆控制接口是否能输出灯光等车身控制数据和汽车转向、驱动、刹车、挡位等底盘控制数据;
c)通过调用地图接口,检测被测系统是否可输出当前位置的人行道信息、路口信息、道路片段信息、车道片段信息、停止标志、信号灯、禁停区、减速带、停车位等道路数据。
Ⅰ型车控操作系统功能软件的数据抽象接口试验预期结果如下:
a)被测系统传感器抽象接口能读取到传感器数据,能输出关于数据校验和错误检测机制提供的报警信息,支持输出图像数据、点云数据、目标数据等;
b)被测系统执行器抽象接口能输入车身数据和底盘数据,车辆控制接口能输出车身控制数据和底盘控制数据;
c)被测系统地图接口能输出当前位置的道路数据。
9.2.1.2.4.2感知接口试验方法
Ⅰ型车控操作系统功能软件的感知接口试验方法应按照下列流程和要求依次进行:
a)通过调用感知接口,检测被测系统接口,是否能接收传感器数据(如摄像头、毫米波雷达、激光雷达);
b)通过调用感知接口,检测被测系统接口,是否能输出目标物数据(如位置、类型、状态、置信度)。
Ⅰ型车控操作系统功能软件的感知接口试验预期结果如下:
a)被测系统感知接口能接收传感器数据(如摄像头、毫米波雷达、激光雷达);
b)被测系统感知接口能输出目标物数据(如位置、类型、状态、置信度)。
9.2.1.2.4.3融合接口试验方法
Ⅰ型车控操作系统功能软件的融合接口试验方法应按照下列流程和要求依次进行:
a)通过调用单传感器(如摄像头、激光、毫米波)模块接口、多传感器融合模块接口,检查被测系统是否能接收单传感器的跟踪数据、多传感器的融合数据;
b)通过调用融合接口,检查被测系统接口:是否能输出目标的位置、状态、类型、置信度和历史信息。
Ⅰ型车控操作系统功能软件的融合接口试验预期结果如下:
a)被测系统融合接口能接收单传感器的跟踪数据、多传感器的融合数据;
b)被测系统融合接口能输出目标的位置、状态、类型、置信度和历史信息。
9.2.1.2.4.4定位接口试验方法
Ⅰ型车控操作系统功能软件的定位接口试验方法应按照下列流程和要求依次进行:
a)通过调用定位接口,检查被测系统接口是否能接收GNSS、IMU、摄像头和激光雷达的传感器数据,是否支持基于地球全局坐标系的绝对定位或局部坐标系的相对定位;
b)通过调用定位接口,检查被测系统接口是否能输出自车数据(位置、角度、运动状态和置信度)。
Ⅰ型车控操作系统功能软件的定位接口试验预期结果如下:
a)被测系统定位接口能接收GNSS、IMU、摄像头和激光雷达的传感器数据,支持基于地球全局坐标系的绝对定位或局部坐标系的相对定位;
b)被测系统定位接口能输出自车数据(如位置、角度、运动状态和置信度)。
9.2.1.2.4.5预测接口试验方法
Ⅰ型车控操作系统功能软件的预测接口试验方法应按照下列流程和要求依次进行:
a)通过调用目标预测接口,检查被测系统接口是否能接收感知模块、融合模块、定位模块数据;
b)是否能输出目标车辆行驶的轨迹点序列,且包括位置和时间信息。
Ⅰ型车控操作系统功能软件的预测接口试验预期结果如下:
a)被测系统预测接口能接收感知模块、融合模块、定位模块数据;
b)被测系统预测接口能输出目标车辆行驶的轨迹点序列,且包含位置和时间信息。
9.2.1.2.4.6决策规划接口试验方法
Ⅰ型车控操作系统功能软件的决策规划接口试验方法应按照下列流程和要求依次进行:
a)通过调用决策规划接口,检查被测系统接口:是否能接收自车的周边环境数据;
b)通过调用决策规划接口,检查被测系统接口:是否能输出自车行驶的轨迹点序列。
Ⅰ型车控操作系统功能软件的决策规划接口试验预期结果如下:
a)被测系统决策规划接口能接收自车的周边环境数据;
b)被测系统决策规划接口能输出自车行驶的轨迹点序列。
9.2.1.2.4.7控制接口试验方法
Ⅰ型车控操作系统功能软件的控制接口试验方法应按照下列流程和要求依次进行:
a)通过调用控制接口,检查被测系统接口是否能接收决策规划数据、车身数据和定位数据;
b)通过调用控制接口,检查被测系统接口是否能输出纵向控制(驱动或制动)、横向控制(转角)、挡位、灯光控制数据。
Ⅰ型车控操作系统功能软件的决策规划接口试验预期结果如下:
a)被测系统控制接口能接收决策规划数据、车身数据和定位数据;
b)被测系统控制接口能输出纵向控制(驱动或制动)、横向控制(转角)、挡位、灯光控制数据。
9.2.2Ⅱ型车控操作系统
9.2.2.1系统软件
9.2.2.1.1内核试验方法
Ⅱ型车控操作系统系统软件的内核功能试验方法应按照下列流程和要求依次进行。
a)任务中设置事件权限,通过在测试任务中等待事件和发送事件,检查被测系统高优先级事件的等待事件是否会触发优先级任务调度。
b)设置多个不同优先级任务和资源,在测试任务中获取和释放资源,检查被测系统低优先级任务获取资源后是否提升至天花板优先级。
c)设置不同的任务归属不同的核,创建两个任务运行在不同核,通过模拟通信,检查被测系统的多核间通信是否正常及多核管理是否正常。
d)通过管理多个不同优先级的中断,创建一个测试任务,模拟多个不同优先级的中断,检查被测系统对高优先级中断的响应是否先于低优先级中断;通过管理不同分区的中断,创建一个测试任务,模拟相同/不同分区的中断,检查被测系统是否正确响应相同/不同分区的中断。
e)通过设置异构核上任务的周期性触发机制和事件触发机制,检查被测系统是否支持异构核上任务间同步。
f)通过设置任务和资源,在任务中申请和释放资源,检查是否支持资源管理功能。
g)设置不同的任务归属不同的核,创建两个任务运行在不同核,通过测试不同核上不同任务对共享数据的加锁访问,检查被测系统的多核数据同步机制及防死锁功能是否正常。
h)通过设置任务在单个核上运行,检查任务是否正常运行。
i)通过创建用户态的任务,并且在用户态任务中调用需要在特权指令模式下执行的功能函数,检查被测系统是否能够支持用户态和内核态。
j)通过设置时间保护机制与空间保护机制,构造对应的触发场景,检查是否支持时间保护和空间保护功能。
k)通过设置跨核任务间的通信接口,并运行任务,检查任务间的通信正常。
Ⅱ型车控操作系统系统软件的内核功能试验预期结果如下:
a)被测系统高优先级事件的等待事件会触发优先级任务调度;
b)被测系统低优先级任务获取资源后提升至天花板优先级;
c)被测系统的多核间通信正常及多核管理正常;
d)被测系统高优先级中断响应的优先级高于被测系统的低优先级中断,被测系统正确响应相同/不同分区的中断;
e)被测系统支持异核间的任务间同步;
f)被测系统任务中可以正常申请和释放资源;
g)被测系统多核数据同步机制正常并能预防死锁;
h)被测系统可以支持任务绑核调度运行;
i)在用户态下无法调用需要在特权指令模式下执行的功能函数,被测系统支持用户态和内核态;
j)被测系统时间保护和空间保护功能正常;
k)跨任务间、跨核通信正常。
9.2.2.1.2中间件试验方法
Ⅱ型车控操作系统系统软件中间件试验方法应按照下列流程和要求依次进行:
a)设置被测系统时间管理模块、存储模块、网络管理模块、诊断模块、日志模块、通信管理模块预置条件,启动被测系统;
b)创建测试应用,调用非易失性存储器读写接口,检查被测系统的数据读写是否正常;
c)创建测试应用,通过模拟车内网络的通信数据收发,检查被测系统的车内网络通信(如以太网、CAN、CAN-FD、LIN、FlxRay、SOME/IP、DDS)功能;
d)调用日志管理模块,观测报文收发,检查被测系统是否能通过日志系统正常生成相关日志;
e)调用诊断管理模块,模拟诊断报文,观测报文收发,检查被测系统是否能正常响应诊断服务;
f)调用网络管理模块,观测报文收发,检查被测系统是否能正常管理网络状态;
g)通过调用通信,存储的硬件抽象接口,检查被测系统是否支持多种硬件抽象。
Ⅱ型车控操作系统系统软件中间件试验预期结果如下:
a)被测系统启动正常,通过外部报文收发工具观测报文收发正常;
b)被测系统的数据读写正常;
c)被测系统应支持车内网络通信能力,包括以太网、CAN、CAN-FD、LIN、FlxRay、SOME/IP、DDS通信协议;
d)被测系统能通过日志系统正常记录相关日志;
e)被测系统能正常响应诊断服务;
f)被测系统能正常管理网络状态;
g)被测系统支持多种硬件抽象(如通信、存储)。
9.2.2.1.3性能试验方法
Ⅱ型车控操作系统系统软件的性能试验方法应按照下列流程和要求依次进行。
a)在CPU负载80%(±5%),内存占用80%(±5%),网络带宽60%(±5%),通过计算时间同步后,从节点和主节点的时间差值,连续测试次数不少于1000次,并得到时间差值的最大值,即是同步时间精度。
b)通过测试从上电开始到第一帧报文发出时间,检查系统启动时间。
c)调度时延试验方法如下:
1)通过创建两个任务,在任务运行过程中切换至另外一个任务所需的时间,循环该任务切换不少于10万次,并计算平均值,检查系统任务切换时延;
2)创建两个不同优先级任务,在低优先级任务中激活高优先级任务开始,并等待高优先级任务进入运行状态的时间,循环该任务切换不少于10万次,并计算平均值,检查任务抢占时延;
3)通过模拟触发中断,在触发中断到中断子程序入口分别打点记录时间,使用外设时钟记录计数器时间,循环触发不少于10万次,并计算平均值,检查系统中断时延。
d)通信时延和时延抖动试验方法如下:
1)CAN:通过模拟空载情况下的节点间通信,CAN通信发送CAN报文(8字节)计算出测试数据从网络驱动层接收数据传递到应用层,再经由应用层到驱动层的时间间隔的平均值,检查系统CAN通信时延;
2)DDS和SOME/IP:SOA通信从订阅节点应用层发出到订阅阶段应用层收到响应的时间即通信时延,DDS和SOME/IP均采用请求报文和响应报文payload长度为1000字节,订阅节点1个。
e)采用UDP方式发送数据,数据包大小为10KB,通过计算单位时间内数据的发送量得到系统的吞吐量。
Ⅱ型车控操作系统系统软件的性能试验预期结果如下。
a)同步时间精度不大于1ms。
b)系统启动时间不大于200ms。
c)调度时延试验预期结果如下:
1)任务切换时延不大于5μs;
2)系统抢占时延不大于5μs;
3)系统二类中断时延不大于5μs。
d)通信时延和时延抖动试验预期结果;
1)CAN通信时延不大于10μs;
2)DDS和SOME/IP通信时延不大于10ms。
e)吞吐量不小于100Mbit/s。
9.2.2.2功能软件试验方法
Ⅱ型车控操作系统的功能软件试验方法应按照下列流程和要求进行:
a)通过调用运行状态信息接口,检查被测系统是否能输出动力系统、转向系统和制动系统的状态信息;
b)通过调用控制接口,模拟汽车转向、驱动、刹车指令,检查被测系统是否输出相应的动力系统、转向系统和制动系统的控制数据。
Ⅱ型车控操作系统的功能软件试验预期结果如下:
a)能够正确提供车辆动力系统、转向系统和制动系统的运行状态信息;
b)接收控制命令,并正确输出车辆控制指令。
9.3信息安全试验方法
9.3.1Ⅰ型车控操作系统
9.3.1.1系统软件
9.3.1.1.1内核
9.3.1.1.1.1安全启动试验方法
Ⅰ型车控操作系统软件的安全启动试验方法应按照下列流程和要求依次进行:
a)根据被测主机安全启动可信根存储区域访问方法和地址范围说明,使用软件或硬件调试工具写入数据,重复多次验证是否可将数据写入该存储区域;
b)通过查看被测主机设计文档,检查系统的安全启动状态确认是否为开启状态;
c)通过查看被测主机设计文档,检查是否使用了安全的完整性保护算法;
d)使用软件调试工具对BootLoader程序镜像(不含签名数据)进行篡改,将修改后的BootLoader写入到被测主机内的指定区域内,检查是否正常工作;
e)使用软件调试工具对内核进行篡改,检查被测主机是否正常工作;
f)使用软件调试工具破坏系统镜像的受保护的关键代码段,并将破坏后的系统镜像写入被测主机,检查加载破坏后的系统镜像的主机是否能正常工作;
g)使用软件调试工具破坏应用程序的受保护到代码段,并将破坏后的应用程序进行安装,如正常安装,则启动应用程序,检查应用程序是否能正常启动;
h)使用软件调试工具破坏应用软件的受保护的关键代码段,并将破坏后的应用软件写入被测主机,检查加载破坏后的应用软件的主机是否能正常工作。
Ⅰ型车控操作系统软件的安全启动试验预期结果如下:
a)无法将数据写入存储区域;
b)安全启动默认开启;
c)使用了安全的完整性保护算法;
d)主机无法正常工作;
e)系统无法正常工作;
f)主机无法正常工作;
g)应用程序无法正常启动;
h)主机无法正常工作。
9.3.1.1.1.2系统完整性保护和机密性保护试验方法
Ⅰ型车控操作系统系统软件的完整性保护试验方法应按照下列流程和要求依次进行:
a)损坏文件,验证内核是否可以正常加载;
b)验证安全环境接口访问控制机制是否有效,排查非必要权限是否均已关闭;
c)使用软件调试工具破坏应用程序的受保护到代码段,并将破坏后的应用程序进行安装,检查应用程序是否可以正常安装;
d)在内核运行时,损坏内核文件,执行恶意代码修改控制流地址,执行恶意代码修改内核中关键数据(如进程数据、进程访问和地址限制),检查是否阻止进一步运行。
Ⅰ型车控操作系统系统软件的完整性保护和机密性保护试验的预期结果:
a)内核无法正常加载;
b)接口访问控制机制有效,非必要权限均已关闭;
c)应用程序无法正常安装;
d)内核文件未损害,控制流进一步运行被阻止,运行时修改内核中关键数据(如进程数据、进程访问地址限制)被禁止。
9.3.1.1.1.3访问控制试验方法
Ⅰ型车控操作系统的访问控制机制试验方法应按照下列流程和要求依次进行:
a)启动进程调用非授权的文件和数据库,查看是否能成功调用;
b)启动进程特权调用非授权的文件和数据库,查看是否能调用,用户特权访问非授权的文件、数据库、服务,查看是否能成功访问;
c)验证内核是否支持强制访问控制。
Ⅰ型车控操作系统的访问控制机制试验预期结果如下:
a)进程无法成功调用非授权的文件、数据库;
b)进程和用户无法特权调用非授权的文件和数据库;
c)内核支持强制访问控制。
9.3.1.1.1.4内核态-用户态隔离试验方法
Ⅰ型车控操作系统系统软件的内核态-用户态隔离试验方法应按照下列流程和要求依次进行:
a)查看厂商提供文档,检查系统是否隔离内核态和用户态的程序;
b)用户态程序访问内核资源,验证其访问控制机制是否有效。
系统软件的内核态-用户态隔离试验预期结果如下:
a)系统隔离内核态和用户态的程序;
b)用户态程序无法访问内核资源。
9.3.1.1.1.5漏洞防护试验方法
Ⅰ型车控操作系统软件的漏洞防护试验方法应按照下列流程和要求依次进行。
a)在用户态中,多次启动同一个应用程序,查看分配的地址是否相同;在内核态,查看物理地址是否转化为虚拟地址。
b)执行数据内存,检查被测系统是否禁止。
c)在被测系统代码段、关键数据段写入数据,验证是否能将数据写入。
d)分配内存大于设置的栈保护区大小,验证是否成功。
e)在特权模式下,验证是否能执行用户态程序。
f)在特权模式下,验证是否能访问用户态数据。
Ⅰ型车控操作系统软件的漏洞防护试验预期结果如下:
a)被测系统支持用户态和内核态地址随机化;
b)被测系统禁止执行数据内存;
c)无法将数据写入被测系统代码段、关键数据段;
d)被测系统支持栈保护;
e)被测系统不可执行用户态程序;
f)被测系统不可访问用户态数据。
9.3.1.1.2虚拟化管理试验方法
Ⅰ型车控操作系统软件虚拟化管理分域隔离试验方法应按照下列流程和要求依次进行:
a)查看厂商提供文档,检查系统软件是否采用虚拟化分域隔离机制;
b)验证不同信任域中的应用访问共享资源是否受控,验证是否具备防止不同域内的系统发生无意或恶意越界读写非法操作的能力;
c)验证车控操作系统是否能支持可信执行环境,用以执行高安全要求的操作。
Ⅰ型车控操作系统软件虚拟化管理分域隔离试验预期结果如下:
a)系统软件采用虚拟化分域隔离机制;
b)不同信任域中的应用访问共享资源受控,具备防止不同域内的系统发生无意或恶意越界读写非法操作的能力;
c)支持可信执行环境。
9.3.1.1.3中间件
9.3.1.1.3.1系统中间件及服务资源隔离试验方法
Ⅰ型车控操作系统系统中间件及服务资源隔离试验方法应按照下列流程和要求依次进行:
a)查看厂商提供文档,检查不同功能的系统中间件及服务是否以独立进程隔离;
b)查看厂商提供文档,检查同一功能的内部处理和外部通信进程是否隔离,非必要通信权限是否禁用。
Ⅰ型车控操作系统系统中间件及服务资源隔离试验预期结果如下:
a)不同功能的系统中间件及服务全部以独立进程隔离;
b)同一功能的内部处理和外部通信进程隔离,非必要通信权限全部禁用。
9.3.1.1.3.2安全通信协议试验方法
Ⅰ型车控操作系统系统软件安全通信协议的试验方法为通过验证厂商提交与测试主机通信的车辆生产企业云平台及通信协议是否满足GB 44495-2024中对远程访问点的安全技术要求。
Ⅰ型车控操作系统系统软件安全通信协议试验预期结果:厂商所提交相关内容满足GB 44495-2024中对远程访问点的安全技术要求。
9.3.1.1.3.3协议栈安全试验方法
Ⅰ型车控操作系统系统软件协议栈安全试验方法应按照下列流程和要求依次进行:
a)采用网络数据抓包工具进行数据抓包,解析通信报文数据;
b)检查被测主机是否采用会话认证机制为进出数据流进行状态检查,并终断状态异常的会话。
Ⅰ型车控操作系统软件的协议栈安全试验预期结果:被测主机采用会话认证机制为进出数据流进
行状态检查,并终断状态异常的会话。
9.3.1.1.3.4升级安全试验方法
Ⅰ型车控操作系统系统软件升级安全试验方法为通过验证厂商提交与测试主机通信的车辆生产企业云平台、通信协议及软件升级的方式及工具是否满足GB 44496-2024中对软件升级安全的安全技术要求。
Ⅰ型车控操作系统系统软件升级安全试验预期结果:厂商所提交相关内容满足GB 44496-2024中对软件升级安全的安全技术要求。
9.3.1.1.3.5密码服务试验方法
Ⅰ型车控操作系统系统软件的密码服务试验方法应按照下列流程和要求依次进行:
a)验证系统是否提供密钥管理服务;
b)检查是否能以非授权身份对密钥进行修改;
c)检查是否通过安全环境进行密钥管理;
d)检查日志,验证是否基于安全环境对主密钥运算、密钥派生关键过程进行保护;
e)验证使用的随机数是否符合GM/T 0005-2021随机数相关标准,检查随机数生成器是否均安全、已验证;
f)验证系统使用伪造证书是否能正常启动及运行;
g)验证是否对根证书安全存储;
h)验证过期设备证书是否能通过验签;
i)检查是否有对证书状态运维管理功能,如日志;
j)验证当证书更新失败时,现有证书是否能正常使用;
k)检查是否提供证书校验机制;
l)对数据或数据分区进行加密,直接访问数据或数据分区,验证是否进行加密和完整性保护;
m)对只读分区的文件系统的只读挂载或者只读保护,验证是否可以对只读分区的文件系统进行
改写;
n)是否基于安全环境对其他密钥和密码算法的运算过程进行保护;
o)验证调用者的加解密算法范围的限制机制是否有效,检查系统是否使用了不安全的加解密算法;
p)验证调用者的加解密操作可使用的密钥范围的限制机制是否有效;
q)验证以非授权用户权限是否能访问、修改存储的设备证书和根证书。
Ⅰ型车控操作系统系统软件的密码服务试验预期结果如下:
a)系统提供密钥管理服务;
b)以非授权身份无法修改密钥;
c)密钥管理在安全环境中进行;
d)基于安全环境对主密钥运算、密钥派生关键过程进行保护;
e)随机数符合标准,随机数生成器均安全、已验证,且符合GM/T 0005-2021的要求或能够提供相关验证报告;
f)测试系统使用伪造证书不能正常启动;
g)设备证书、根证书采用安全存储;
h)当有效期逾期,设备证书失效;
i)有对证书状态运维管理功能;
j)当证书更新失败时,现有证书能正常使用;
k)提供证书校验机制;
l)加密数据分区显示密文或无法直接访问,全部关键数据分区进行了加密和完整性保护;
m)无法对只读分区的文件系统进行改写;
n)基于安全环境对其他密钥和密码算法的运算过程进行保护;
o)调用者的加解密算法范围的限制机制有效,使用的加解密算法均安全、已验证;
p)调用者的加解密操作可使用的密钥范围的限制机制有效;
q)非授权用户权限无法访问、修改存储的设备证书和根证书。
9.3.1.1.3.6系统接入认证试验方法
Ⅰ型车控操作系统系统软件的系统接入认证试验方法应按照下列流程和要求依次进行:
a)验证是否关闭登录功能;
b)验证非授权设备是否能接入。
Ⅰ型车控操作系统系统软件的系统接入认证试验预期结果如下:
a)登录功能关闭;
b)非授权设备无法接入。
9.3.1.1.3.7网络访问控制列表试验方法
Ⅰ型车控操作系统系统软件的网络访问控制列表试验方法为通过验厂商提交主机内部通信方案及通信矩阵样例,是否满足GB 44495-2024中对访问控制的功能要求。
Ⅰ型车控操作系统系统软件的网络访问控制列表试验预期结果:厂商所提交相关内容满足GB 44495-2024中对访问控制的功能要求。
9.3.1.2功能软件
9.3.1.2.1安全管理
9.3.1.2.1.1安装管理试验方法
Ⅰ型车控操作系统功能软件的安装试验方法应按照下列流程和要求依次进行:
a)检查系统中非必要的服务程序是否全部移除,非必要的端口和服务是否全部关闭,非必要账户是否全部删除;
b)检查系统是否保留开发、编译、调测类、网络嗅探类服务和工具;
c)根据被禁用功能列表,检查被禁用功能是否已关闭;
d)检查是否安装、显示和调整系统安全策略的服务和工具。
Ⅰ型车控操作系统功能软件的安装试验预期结果如下:
a)系统无非必要的服务程序,非必要的端口和服务全部关闭,无非必要账户;
b)系统无开发、编译、调测类、网络嗅探类服务和工具;
c)被禁用功能全部关闭;
d)未安装、显示和调整系统安全策略的服务和工具。
9.3.1.2.1.2访问权限试验方法
Ⅰ型车控操作系统功能软件的权限试验方法应按照下列流程和要求进行:
a)查看Root进程,检查是否拆离或按需配置不需要全部Root权限的功能;
b)排查进程,检查权限是否按需配置。
Ⅰ型车控操作系统功能软件的权限试验预期结果如下:
a)不需要全部Root权限的功能全部拆离或按需配置;
b)全部进程权限按需配置。
9.3.1.2.1.3安全审计试验方法
Ⅰ型车控操作系统功能软件的安全审计试验方法为通过检查安全审计日志,查看是否记录通信行为和重要安全事件,包括事件的日期、类型、成功与否及其他审计相关信息。
Ⅰ型车控操作系统功能软件的安全审计试验预期结果:安全审计日志记录通信行为和重要安全事件,包括事件的日期、类型、成功与否及其他审计相关信息。
9.3.1.2.2应用软件接口
9.3.1.2.2.1接口API安全试验方法
Ⅰ型车控操作系统功能软件的接口API信息安全试验方法应按照下列流程和要求依次进行:
a)审查应用程序访问接口列表,验证非必要的访问接口是否全部禁用或移除;
b)模拟应用发送的和声明不一致的消息,测试API接口是否进行校验并丢弃;
c)测试非授权设备是否可以成功调用被测API接口;
d)核验系统是否设置访问控制策略,如限制单位时间内调用次数,超过设置的调用次数,系统是否会拒绝服务并进行提示。
Ⅰ型车控操作系统功能软件的接口API安全试验预期结果如下:
a)非必要的访问接口全部禁用或移除;
b)API接口对消息进行校验并丢弃与声明不一致的消息;
c)非授权用户无法调用被测API接口;
d)系统设置访问控制策略,超过设置的调用次数,系统会拒绝服务并进行提示。
9.3.1.2.2.2传感器模块安全试验方法
Ⅰ型车控操作系统功能软件的传感器模块安全试验方法应按照下列流程和要求依次进行:
a)测试非授权传感器设备接入时系统是否拒绝;
b)核查在通信过程中是否采取保密措施,抓包通信的数据,验证数据是否加密;
c)篡改传感器数据向传感器模块传输,验证传感器模块和传感器间数据通信认证、校验、签名机制是否有效。
Ⅰ型车控操作系统功能软件的传感器模块安全试验预期结果如下:
a)系统拒绝非授权传感器设备接入;
b)通信数据加密;
c)传感器模块和传感器间数据通信认证、校验、签名机制有效。
9.3.1.2.3功能软件通用框架
9.3.1.2.3.1功能软件通用框架安全试验方法
Ⅰ型车控操作系统功能软件的功能软件通用框架安全试验方法应按照下列流程和要求依次进行:
a)发起算法子模块未预置在通信矩阵中的访问会话,查看是否会被阻止;
b)查看算法子模块间是否采用虚拟划分域隔离机制,通过上层应用调用或数据处理方式验证各算法是否隔离;
c)核查在检查到严重的信息安全事件发生时(如功能算法的完整性遭到破坏时)是否发起报警,并通知应用进行降级;
d)安装具有无效签名的算法子模块,查看是否会被阻止。
Ⅰ型车控操作系统功能软件的功能软件通用框架安全试验预期结果如下:
a)算法子模块未预置在通信矩阵中的访问会话被阻止;
b)算法子模块间采用虚拟划分域隔离机制;
c)严重的信息安全事件发生时(如功能算法的完整性遭到破坏时)发起报警,并通知应用进行降级;
d)无效签名的算法子模块被阻止安装。
9.3.1.2.3.2网联/云控模块安全试验方法
Ⅰ型车控操作系统功能软件的网联/云控模块安全试验方法应按照下列流程和要求依次进行:
a)检查网络日志是否集中管理;
b)采用抓包工具获取通信的数据,验证车与车、车与路、车与云、车与设备之间的通信是否进行加密。
Ⅰ型车控操作系统功能软件的网联/云控模块安全试验预期结果如下:
a)网络日志集中管理;
b)车与车、车与路、车与云、车与设备之间的通信为密文。
9.3.1.2.3.3OTA服务安全试验方法
Ⅰ型车控操作系统功能软件的OTA服务安全试验方法应按照下列流程和要求依次进行:
a)厂商提交与测试主机通信的车辆生产企业云平台、通信协议及软件升级的方式及工具,验证是否满足GB 44495-2024中对软件升级安全的安全技术要求;
b)厂商提交与测试主机通信的车辆生产企业云平台、通信协议及软件升级的方式及工具,验证是否满足GB 44496-2024中对软件升级安全的安全技术要求。
Ⅰ型车控操作系统功能软件的OTA服务安全试验预期结果如下:
a)满足GB 44495-2024中对软件升级安全的安全技术要求;
b)满足GB 44496-2024中对软件升级安全的安全技术要求。
9.3.1.2.4入侵检测试验方法
Ⅰ型车控操作系统功能软件的入侵检测试验方法应按照下列流程和要求依次进行:
a)被测系统引入异常状况,检查被测系统是否会对异常情况进行检测和告警;
b)审查文档,验证被测系统是否设定了将日志上传至服务器的策略;
c)调用以太网防火墙的非白名单指令,检查被测系统是否针对发送和接收到的指令进行白名单过滤。
Ⅰ型车控操作系统功能软件的入侵检测试验预期结果如下:
a)被测系统会对异常情况进行检测和告警;
b)被测系统设定了将日志上传至服务器的策略;
c)被测系统会对发送和接收到的非白名单指令进行白名单过滤,具备基于IP和端口的黑/白名单安全策略机制的以太网络防火墙。
9.3.1.2.5异常行为监测试验方法
Ⅰ型车控操作系统功能软件的异常行为监测试验方法应按照下列流程和要求依次进行:
a)构建系统资源使用量过高的异常事件,检查被测系统是否存在操作系统资源异常日志,应记录该异常事件;
b)构建应用异常退出、降级、资源使用量过高异常事件,检查操作系统是否存在应用异常日志,应记录该异常事件。
Ⅰ型车控操作系统功能软件的异常行为监测试验预期结果如下:
a)被测系统监测并记录系统资源使用量过高的异常事件;
b)被测系统监测并记录应用的异常日志并记录异常事件。
9.3.1.2.6信息安全服务试验方法
Ⅰ型车控操作系统功能软件的信息安全服务试验方法应按照下列流程和要求依次进行:
a)查看是否提供整车系统和应用信息安全监控功能;
b)测试验证当系统受到信息安全攻击时是否进行报警,并自动实施功能降级,提示驾驶员介入。
Ⅰ型车控操作系统功能软件的信息安全服务试验预期结果如下:
a)提供整车系统和应用信息安全监控设备;
b)当系统受到网络攻击时进行报警,并自动实施功能降级,提示驾驶员介入。
9.3.2Ⅱ型车控操作系统
9.3.2.1系统软件
9.3.2.1.1内核
9.3.2.1.1.1安全启动试验方法
Ⅱ型车控操作系统软件的安全启动试验方法应按照下列流程和要求依次进行:
a)根据被测主机安全启动可信根存储区域访问方法和地址范围说明,使用软件或硬件调试工具写入数据,重复多次验证是否可将数据写入该存储区域;
b)通过查看被测主机设计文档,检查是否使用了安全的完整性保护算法;
c)通过查看被测主机设计文档,并检查系统的安全启动状态确认是否为开启状态。
Ⅱ型车控操作系统软件的安全启动试验预期结果如下:
a)无法将数据写入存储区域;
b)使用了安全的数字签名算法;
c)安全启动默认开启。
9.3.2.1.1.2安全隔离试验方法
Ⅱ型车控操作系统系统软件的安全隔离试验方法应按照下列流程和要求依次进行:
a)查看厂商提供文档,检查系统软件是否采用虚拟化分域隔离机制;
b)运行应用并查看不同信任域中的应用访问共享资源是否受控,验证是否具备防止不同域内的系统发生无意或恶意越界读写非法操作的能力;
c)验证是否支持以太网络VLAN技术,非授权访问VLAN子网,验证是否成功;
d)查看厂商提供文档,验证系统是否隔离用户态的程序;
e)用户态程序访问内核资源,验证其访问控制机制是否有效;
f)调用系统服务的进程访问非授权的内存字段,查看是否能够成功访问。
Ⅱ型车控操作系统系统软件的分域隔离试验预期结果如下:
a)系统软件采用虚拟化分域隔离机制;
b)不同信任域中的应用访问共享资源受控,具备防止不同域内的系统发生无意或恶意越界读写非法操作的能力;
c)支持以太网络VLAN技术,无法非授权访问VLAN子网;
d)系统隔离用户态的程序;
e)用户态程序无法访问内核资源;
f)无法成功访问非授权的内存字段。
9.3.2.1.1.3漏洞防护试验方法
Ⅱ型车控操作系统软件的漏洞防护试验方法应按照下列流程和要求依次进行:
a)执行数据内存,验证是否禁止执行数据内存;
b)在被测系统代码段、关键数据段写入数据,验证是否可将数据写入;
c)分配内存大于设置的栈保护区大小,验证是否成功。
Ⅱ型车控操作系统软件的漏洞防护试验预期结果如下:
a)被测系统禁止执行数据内存;
b)无法将数据写入被测系统代码段、关键数据段;
c)被测系统支持栈保护。
9.3.2.1.2中间件
9.3.2.1.2.1密码服务试验方法
Ⅱ型车控操作系统的系统保密性和完整性保护试验方法应按照下列流程和要求依次进行。
a)检查系统是否提供密钥管理服务。
b)检查是否通过安全环境进行密钥管理。
c)检查日志,验证是否基于安全环境对主密钥运算、密钥派生关键过程进行保护。
d)验证使用的随机数是否符合GM/T 0005-2021随机数相关标准,检查随机数生成器是否均安全、已验证。
e)检查日志,验证是否基于安全环境对其他密钥和密码算法的运算过程进行保护。
f)直接访问关键的文件或数据(如密码配置文件),验证是否为加密存储。
g)对数据或数据分区进行加密,直接访问数据或数据分区;对关键的数据分区进行排查,验证是否进行加密和完整性保护。
h)验证调用者的加解密算法范围的限制机制是否有效,检查系统是否使用了不安全的加解密算法。
i)验证调用者的加解密操作可使用的密钥范围的限制机制是否有效。
j)检查应用程序升级时是否进行完整性校验。
k)检查驱动程序下载安装时是否进行完整性校验。
Ⅱ型车控操作系统的系统保密性和完整性保护试验预期结果如下:
a)系统提供统一的密钥管理服务;
b)密钥管理在安全环境中进行;
c)基于安全环境对主密钥运算、密钥派生关键过程进行保护;
d)随机数符合标准,随机数生成器均安全、已验证,且符合GM/T 0005-2021的要求;
e)基于安全环境对其他密钥和密码算法的运算过程进行保护;
f)关键的文件或数据(如密码配置文件)显示密文或无法直接访问;
g)加密数据分区显示密文或无法直接访问,全部关键数据分区进行了加密和完整性保护;
h)调用者的加解密算法范围的限制机制有效,使用的加解密算法均安全、已验证;
i)调用者的加解密操作可使用的密钥范围的限制机制有效;
j)检查应用程序升级时进行完整性校验;
k)驱动程序下载安装时进行完整性校验。
9.3.2.1.2.2身份和访问权限控制试验方法
Ⅱ型车控操作系统系统软件的身份和访问权限控制试验方法应按照下列流程和要求依次进行:
a)验证系统使用伪造证书是否可以正常启动及运行;
b)检查是否对设备证书、根证书的安全存储;
c)验证有效期逾期的设备证书是否成功验签;
d)检查是否有对证书状态运维管理功能(如证书状态查询、日志);
e)当证书更新失败时,现有有效证书是否能正常使用;
f)检查是否提供证书校验机制;
g)验证安全接入服务功能;
h)验证是否具有接口访问控制功能;
i)验证以非授权用户权限是否可以访问、修改存储的设备证书和根证书。
Ⅱ型车控操作系统系统软件的身份和访问权限控制试验预期结果如下:
a)测试系统使用伪造证书不可以正常启动;
b)设备证书、根证书采用安全存储;
c)当有效期逾期,设备证书失效;
d)有对证书状态运维管理功能;
e)当证书更新失败时,现有有效证书可以正常使用;
f)提供证书校验机制;
g)安全接入服务功能正确;
h)具有接口访问控制功能;
i)非授权用户权限无法访问、修改存储的设备证书和根证书。
9.3.2.1.2.3协议栈安全试验方法
Ⅱ型车控操作系统系统软件的协议栈安全试验方法应按照下列流程和要求进行:
a)核查被测系统的报文检查规则,验证被控操作系统是否对TCP/IP协议报文进行检查;
b)检查设备对被测系统发送Socket攻击报文、TCP/UDP泛洪攻击报文、ARP泛洪攻击报文、ip分片泛洪攻击报文,检查被测主机功能是否受到影响,是否对检测到的攻击数据包进行处理;
c)检查设备对被测系统发送SYN攻击报文,检查被测主机功能是否受到影响,是否对检测到的攻击数据包进行处理。
Ⅱ型车控操作系统系统软件的协议栈安全试验预期结果如下:
a)被测系统存在对TCP/IP协议报文检查的规则;
b)被测系统未受到Socket攻击报文、TCP/UDP泛洪攻击报文、ARP泛洪攻击报文、ip分片泛洪攻击报文的影响;
c)被测系统未受到SYN攻击报文的影响。
9.3.2.1.2.4网络访问控制列表试验方法
Ⅱ型车控操作系统系统软件的网络访问控制列表试验方法应按照9.3.1.1.3.7的试验方法进行。
9.3.2.1.2.5安全通信协议试验方法
Ⅱ型车控操作系统系统软件的安全通信协议试验方法应按照9.3.1.1.3.2的试验方法进行。
9.3.2.1.2.6升级安全试验方法
Ⅱ型车控操作系统系统软件的升级安全试验方法应按照9.3.1.1.3.4的试验方法进行。
9.3.2.2功能软件
9.3.2.2.1安全管理试验方法
Ⅱ型车控操作系统功能软件安全管理试验方法应按照9.3.1.2.1的试验方法进行。
9.3.2.2.2入侵检测试验方法
Ⅱ型车控操作系统功能软件的入侵检测试验方法为通过审查文档,验证被测系统是否设定了将日志上传至服务器的策略。
Ⅱ型车控操作系统功能软件的入侵检测试验预期结果:被测系统设定了将日志上传至服务器的策略。
9.3.2.2.3异常行为监测试验方法
Ⅱ型车控操作系统功能软件异常行为监测试验方法应按照下列流程和要求进行:
a)构造功能软件和应用异常退出、通信系统、诊断异常安全事件;
b)检查操作系统是否监测该事件并进行通知。
Ⅱ型车控操作系统功能软件异常行为检测试验预期结果:操作系统对功能软件和应用异常退出、通信系统、诊断异常安全事件进行监测并通知。
9.4功能安全试验方法
9.4.1功能安全试验流程
车控操作系统功能安全试验流程应根据GB/T 34590.6的相关要求完成各阶段试验验证工作,包含单元测试、集成测试及嵌入式软件测试。
9.4.2Ⅰ型车控操作系统
9.4.2.1系统软件
9.4.2.1.1内核的安全机制
9.4.2.1.1.1避免优先级反转试验方法
Ⅰ型车控操作系统系统软件的避免优先级反转试验方法应按照下列流程和要求进行:
a)设置三个不同优先级的任务A、B、C,其中优先级A高于B,B高于C;
b)模拟任务C向任务A发送同步数据,任务C发送同步数据时,任务A阻塞等待任务C发送完成,并在任务C发送数据时触发任务B运行;
c)检查任务B是否会抢占任务C运行。
Ⅰ型车控操作系统系统软件的避免优先级反转试验预期结果:任务B未抢占任务C运行。
9.4.2.1.1.2支持死锁检测试验方法
Ⅰ型车控操作系统系统软件的支持死锁检测试验应按照下列流程和要求依次进行:
a)在系统中同时启动两个进程,两个进程已各持有一种资源,使两个进程因为需要对方进程已持有的资源而陷入阻塞造成死锁;
b)检查系统是否能够发现死锁、拦截或解除死锁。
Ⅰ型车控操作系统系统软件的支持死锁检测试验预期结果:系统在故障容错时间内,系统检查到死锁后关闭其中的一个死锁状态的进程,来解除死锁状态,系统恢复正常状态。
9.4.2.1.1.3安全隔离机制试验方法
Ⅰ型车控操作系统系统软件的安全隔离机制试验方法应按照下列流程和要求依次进行:
a)地址空间隔离测试:判断用多个应用对相同地址的内存进行读写操作时,他们之间是否会相互影响;
b)用户和内核空间隔离测试:检查用户程序是否能直接访问操作系统内核数据结构和代码(如打印内核空间的某些数据结构的地址),检查用户程序是否能通过该地址访问该数据结构。
Ⅰ型车控操作系统系统软件的安全隔离机制试验预期结果如下:
a)不同的应用操作同一内存地址时,可正常工作,互不影响;
b)用户程序不能直接访问内核的数据结构和代码。
9.4.2.1.1.4内存保护试验方法
Ⅰ型车控操作系统系统软件的内存保护试验方法应按照下列流程和要求进行:
a)应用执行非代码段内存上的内容;
b)检查系统是否对特定的内存进行访问权限的划分,如应用程序的代码段,数据段,应当具有不同的访问权限。
Ⅰ型车控操作系统系统软件的内存保护试验预期结果:应用尝试执行非代码段内存上的内容,应用程序被终止。
9.4.2.1.1.5错误检测机制和错误处理机制试验方法
Ⅰ型车控操作系统系统软件的错误检测机制试验方法如下:
a)通过在程序中注入错误(如分区破坏、内存越界访问),检查内核在运行时是否能够检测到相关错误(如进入Hook状态);
b)通过在程序中注入错误(如错误调用POSIX接口),检查是否返回相应错误码并通知上层应用。
Ⅰ型车控操作系统系统软件的错误检测机制试验预期结果:
a)当发生错误时(如分区破坏、内存越界访问),能检测到错误;
b)当发生错误时(如错误调用POSIX接口),返回相应错误码并通知上层应用。
9.4.2.1.1.6内核资源配置检测试验方法
Ⅰ型车控操作系统系统软件的内核资源配置检测试验方法应按照下列流程和要求进行:
a)根据测试参数创建不同数量、类型的任务、信号量(见表1);
b)对比资源实际使用情况与创建的测试参数是否一致。
现成译文,到款即发(兼具高性价比与及时性)。
下单前可任取样页验证译文质量。
免费提供正规普通增值税电子发票。
请联系手机/微信: 13306496964/Email: standardtrans@foxmail.com 获取完整译文。
本英文译本为纯人工专业精翻版本,保证语法术语准确率和专业度!非AI译文可比!
专业源于专注|ChinaAutoRegs 始终专注于汽车标准翻译领域!「中国汽车标准译文库」已收录上千个现行汽车国家标准和行业标准的英文版译本,涵盖传统燃油车、新能源汽车和摩托车标准化体系!独家打造千万级汽车专业术语库和记忆库。
The English Translation of this document is readily available, and delivered immediately upon payment.
Sample pages may be requested to your preference before placing order.
Please contact standardtrans@foxmail.com for the complete PDF version in English.
Our well-established database has included almost all Chinese automotive standards in effect, providing one-stop, up-to-date, efficient and professional solution.