智能網(wǎng)聯(lián)汽車 車控操作系統(tǒng)技術要求及試驗方法 編制說明

智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明1《智智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法》（征求意見稿）編制說明根據(jù)國家標準化管理委員會關于下達2023年三批國家標準計劃的通知中項《智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法》規(guī)定了智能駕駛操作系統(tǒng)礎上明確了任務和分工，積極開展標準的預研、起智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明22023年4月組織召開項目組第五次研討會，針對功能安全及試驗方法更新2023年8月組織召開項目組第六次研討會，同步草案更新情況并處理意見2023年9月組織召開信息安全專題意見處理會，處理信息安全相關意見建2024年1月組織召開項目組第八次研討會，同步草案更新情況，處理意見2024年2月組織試驗驗證專題會議，討論確認試驗驗證具體方法及時間計2024年5月完成第一次試驗驗證并組織召開項目組第九次研討會，同步試2024年7月完成相關技術要求補充測試，完成草案更新形成工作組征求意智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明3國標的要求：形成專題討論小組，梳理信息安全工程要求與第7章的信息安全4）第七章信息安全梳理智能駕駛操作系統(tǒng)與安全車控操作系統(tǒng)信息安全息安全要求的系統(tǒng)軟件部分征集的第二輪意見和功能軟件部分征集的第一輪意智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明42）功能軟件部分新增抽象要求、AI單元的抽象、OTA后3）性能要求部分根據(jù)意見征集情況進行更b）智能駕駛操作系統(tǒng)應支持綁核和不綁核兩種方式，根據(jù)上層應用需求具2）虛擬化主要是隔離方面的需求，共享需求較小。經(jīng)討論a）虛擬化管理應支持io的虛擬化、內存虛擬化、CPU、中斷、網(wǎng)絡的虛b）虛擬化管理可提供一套資源共享機制，實現(xiàn)GuestOS資源共b）各性能要求的具體定義是否明確且形成一致意見；在虛擬化和內核要求中同時保留“支持通用的指令集架構，以及對硬件的管理”智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明52）7.1中補充關于安全啟動信任鏈應延伸至引導軟件和安全啟動信任鏈可延伸至應用軟件要求、對硬件可信根和安全引導軟件的相關要求、禁止root）；2）主要明確了ASIL等級如何確定的要求，以及新增資料性附錄B（含基于SEooC的車控操作系統(tǒng)功能安全相關開發(fā)過程以及一些安全狀態(tài)和最小風險智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明64）通過測試角度需要增加的技術要求的規(guī)劃接口部分要求描述，避免產(chǎn)生歧義；數(shù)據(jù)流框架部分刪除接口ID標準的相4）性能要求部分對已收集到的相關條款及意見進行控操作系統(tǒng)內核增加支持防止優(yōu)先級翻轉等策略，智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明71）通用技術要求部分，修改虛擬化管理部分要求，刪除數(shù)據(jù)抽象V2X部安全環(huán)境、訪問控制、安全管理權限、接口API安全、網(wǎng)聯(lián)云控模塊安全等技2）針對超時保護會后相關單位確認是否需要明確CPU負載；3）智能駕駛操作系統(tǒng)內核的通用技術要求以例如方式增加應支持進程內智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明8自提供的模板為準，測試報告至少輸出結論，具對此次試驗驗證未覆蓋內容的處理方式進行討論2）針對感知接口、控制接口等要求根據(jù)測試結論進2024年9月同步面向項目組成員單位和資源管理與信息服務工作組征求意智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明93）全文梳理，將“應xxx”和“宜xxx”梳理，將"應xxx"條款放到“宜xxx”的4）刪除子模塊的功能安全等級要求：通用要求中已明確車控操作系統(tǒng)ASIL等級應由整車層面的ASIL等級需求進行分解確定，只從系統(tǒng)軟件及功能本文件適用于M和N類車輛的智能網(wǎng)聯(lián)汽車智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明高資源的利用率和系統(tǒng)的靈活性；內核需要能夠識別和管理多個CPU核心，合2）虛擬化管理：應支持同時加載運行多個GuestOS，應具備多核管理、智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明(2)從內核開始被加載至第一個用戶態(tài)進程開(7)虛擬化層導致的CPU性能損失<5%。和模塊化的關鍵，需要對車端傳感器、執(zhí)行2）基礎服務應至少包含信息安全服務、網(wǎng)聯(lián)云控服務、數(shù)據(jù)回傳服務、智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明制、內核態(tài)-用戶態(tài)安全隔離、漏洞防利用格的資源訪問控制，確保敏感操作和數(shù)據(jù)處理2）智能駕駛操作系統(tǒng)功能軟件所提供的API接口的信息安全應提供最小智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明4）異常行為監(jiān)測應監(jiān)測并記錄系統(tǒng)異常事件及功能軟件和應用軟件異常1）內核應提供分域隔離能力，支持以太網(wǎng)VLAN技術，對不同VLAN子持VLAN技術，允許在物理網(wǎng)絡上創(chuàng)建多個邏輯網(wǎng)絡，且不同VLAN子網(wǎng)應相智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明車控操作系統(tǒng)ASIL等級應由整車層面的ASIL3）虛擬化管理的安全機制：應支持硬件CPU虛擬化機制、基于內存虛擬物理硬件上安全、高效運行的關鍵技術，硬件CPU虛擬化機制支持操作系統(tǒng)創(chuàng)建多個虛擬CPU，且確保每個虛擬機（VM）只能訪問分配給它的CPU資源，防止它們訪問或干擾其他虛擬機或宿主機的CPU；基于內存虛擬化的分區(qū)機制能夠確保每個虛擬機的內存空間是隔離的，從而防止智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明對外通信交互以及內部通信交互等方面均明確了智能駕駛汽車提供堅實的安全基礎，確保車智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明安全車控操作系統(tǒng)功能軟件針對橫縱向控制及應用軟件接口提出相關安全要求：橫縱向控制應滿足ASILD；應用軟件接口應至少滿足ASILB，宜滿足智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明試，提交測試報告，并根據(jù)測試過程中實際存在圖1測試環(huán)境拓撲圖和HSM硬件、異構核間通信、SMMU硬件測試環(huán)境拓撲圖智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明圖2測試用例截圖過討論，增加相應前提條件，以完善測試方法3）測試性能要求“在通信能力（TCP和UDP）達到網(wǎng)絡物理接口的80%智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明“宜”；通用技術、信息安全、功能安全等方面進行了圖3網(wǎng)聯(lián)云控測試環(huán)境拓撲圖圖4數(shù)據(jù)回傳服務測試環(huán)境拓撲圖圖5數(shù)據(jù)流框架單板通信測試環(huán)境拓撲圖智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明圖6數(shù)據(jù)流框架跨板通信測試拓撲圖圖7傳感器和執(zhí)行器數(shù)據(jù)抽象測試拓撲圖圖8算法和基礎服務節(jié)點抽象部署試驗過程中，針對部分測試內容的測試結果“支持多種方式進行數(shù)據(jù)路由和服務調用”；智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明4）數(shù)據(jù)抽象配置文件檢測機制的測試過程中發(fā)現(xiàn)存在配置文件不涉及數(shù)錯誤、數(shù)值類型不正確、CRC校驗不通過等”，同時修改臨界情況和超臨界情圖9安全車控操作系統(tǒng)測試圖智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明圖10支持錯誤處理機制測試截圖圖11支持分域隔離機制測試截圖試驗過程中，針對部分測試內容的測試結果回對應錯誤碼并通知上層應用”與“應支持錯誤處理機制，例如Hook機制等”智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明圖12提供面向服務的接口用例截圖智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)技術要求及試驗方法編制說明圖13車輛控制接口