智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全技術(shù)要求

ICS點(diǎn)擊此處添加ICS號

CCS點(diǎn)擊此處添加CCS號

00CSA0E

團(tuán)體標(biāo)準(zhǔn)

T/CSAEXXXX—XXXX

000

000

智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全技術(shù)

要求

0Functionalsa0fetytechnicalrequirementsfor0

vehicle-controloperatingsystemofintelligentandconnectedvehicle

00（送審稿）0

（本草案完成時(shí)間：20220802）

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

000

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

000

??發(fā)布

000

T/CSAEXXXX—XXXX

000

目次

前言............................................................................II

1范圍.................................................................................1

000

2規(guī)范性引用文件.......................................................................1

3術(shù)語和定義...........................................................................1

4縮略語...............................................................................2

5車控操作系統(tǒng)安全要求.................................................................2

5.1通用要求.........................................................................2

5.2系統(tǒng)軟件安全要求.................................................................2

000

5.2.1操作系統(tǒng)內(nèi)核.................................................................2

5.2.2虛擬化管理...................................................................3

5.2.3POSIX........................................................................4

5.2.4系統(tǒng)中間件及服務(wù).............................................................5

5.2.5實(shí)時(shí)安全域...................................................................6

5.3功能軟件安全要求.................................................................7

5.3.1應(yīng)用軟件接口.................................................................7

05.3.2智能駕駛通用模型..........0......................................0.............8

5.3.3功能軟件通用框架............................................................10

5.3.4數(shù)據(jù)抽象....................................................................11

6車控操作系統(tǒng)驗(yàn)證和確認(rèn)..............................................................12

6.1安全驗(yàn)證要求....................................................................12

6.2安全確認(rèn)要求....................................................................12

附錄A（資料性）車控操作系統(tǒng)架構(gòu)...............................................13

0A.1總體架構(gòu)......................0......................................0............13

A.2系統(tǒng)軟件層......................................................................13

A.2.1操作系統(tǒng)內(nèi)核................................................................14

A.2.2虛擬化管理..................................................................14

A.2.3POSIX.......................................................................14

A.2.4系統(tǒng)中間件及服務(wù)............................................................14

A.2.5實(shí)時(shí)安全域..................................................................14

0A.3功能軟件層....................0......................................0............14

A.3.1應(yīng)用軟件接口................................................................15

A.3.2智能駕駛通用模型............................................................15

A.3.3功能軟件通用框架............................................................15

A.3.4數(shù)據(jù)抽象....................................................................15

參考文獻(xiàn)........................................................................17

000

I

000

T/CSAEXXXX—XXXX

000

前言

車控操作系統(tǒng)是智能網(wǎng)聯(lián)汽車的基礎(chǔ)軟件部分，運(yùn)行于智能網(wǎng)聯(lián)汽車車載智能計(jì)算基礎(chǔ)平臺，為智

能汽車自動駕駛功能提供運(yùn)行環(huán)境，其安全性是保證整個(gè)系統(tǒng)的基礎(chǔ)和核心。車控操作系統(tǒng)架構(gòu)總體描

述見附錄A.1，車控操作系統(tǒng)系統(tǒng)軟件及各模塊描述附錄A.2，車控操作系統(tǒng)功能軟件及各模塊描述附錄

A.3。

000

功能安全是車控操作系統(tǒng)產(chǎn)品可靠安全運(yùn)行的必要組成部分，是保證車輛安全運(yùn)行的前提。通過本

文件標(biāo)準(zhǔn)化，有助于面向車控操作系統(tǒng)的功能軟件和系統(tǒng)軟件進(jìn)行功能安全設(shè)計(jì)，降低應(yīng)用和開發(fā)者實(shí)

現(xiàn)功能安全的壓力。

車控操作系統(tǒng)的功能安全開發(fā)采用SEooC的方式，本文件中5.1定義了車控操作系統(tǒng)通用要求，5.2

和5.3分別定義了系統(tǒng)軟件和功能軟件中各模塊的頂層安全要求、安全假設(shè)、安全要求和安全狀態(tài)；6.1

定義了安全驗(yàn)證要求，6.2定義了按確認(rèn)要求。

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

0請注意本文件的某些內(nèi)容可能涉及專0利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任0。

本文件由中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟提出。

本文件由××××歸口。

本文件起草單位：

本文件主要起草人：

000

000

000

000

II

000

T/CSAEXXXX—XXXX

000

智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全技術(shù)要求

1范圍

本文件規(guī)定了智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)功能安全的總體要求。

本標(biāo)準(zhǔn)適用于和類車輛的智能網(wǎng)聯(lián)汽車車控操作系統(tǒng)，其他類型的車輛可參照使用。

0MN00

本標(biāo)準(zhǔn)不包含由信息安全因素間接關(guān)聯(lián)的功能安全技術(shù)要求。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590.1道路車輛功能安全第1部分：術(shù)語

0GB/T34590.6道路車輛功能安0全第6部分：產(chǎn)品開發(fā)：軟件層面0

GB/T34590.8道路車輛功能安全第8部分：產(chǎn)品開發(fā)：支持過程

ISO/IEC9945信息技術(shù).可移植操作系統(tǒng)接口（POSIX）

3術(shù)語和定義

GB/T34590界定的以及下列術(shù)語和定義適用于本文件。

3.1

0車載計(jì)算平臺on-boardcomputing0platform0

支撐智能網(wǎng)聯(lián)汽車駕駛自動化功能等實(shí)現(xiàn)的軟硬件一體化平臺，包括芯片、模組、接口等硬件以及

系統(tǒng)軟件和功能軟件等軟件，以適應(yīng)傳統(tǒng)電子控制單元向異構(gòu)高性能處理器轉(zhuǎn)變的趨勢。

注：也被稱為車載智能計(jì)算基礎(chǔ)平臺。

3.2

車控操作系統(tǒng)vehicle-controloperatingsystem

運(yùn)行于車載智能計(jì)算基礎(chǔ)平臺硬件及汽車電子控制單元硬件之上，支撐智能網(wǎng)聯(lián)汽車駕駛自動化功

能實(shí)現(xiàn)和安全可靠運(yùn)行的軟件集合。車控操作系統(tǒng)由智能駕駛操作系統(tǒng)和安全車控操作系統(tǒng)組成。

3.3

0智能駕駛操作系統(tǒng)intelligentdri0vingoperatingsystem0

車控操作系統(tǒng)（3.2）中支撐智能網(wǎng)聯(lián)汽車駕駛自動化功能實(shí)現(xiàn)的軟件集合，包括系統(tǒng)軟件和功能

軟件。

3.4

安全車控操作系統(tǒng)safetyvehicle-controloperatingsystem

車控操作系統(tǒng)（3.2）中支撐智能網(wǎng)聯(lián)汽車安全可靠運(yùn)行的軟件集合，包括系統(tǒng)軟件和功能軟件。

3.5

系統(tǒng)軟件systemsoftware

0車控操作系統(tǒng)中支撐駕駛自動化功能0實(shí)現(xiàn)的復(fù)雜大規(guī)模嵌入式系統(tǒng)運(yùn)行環(huán)境，包括0操作系統(tǒng)內(nèi)核、

虛擬化管理、POSIX、系統(tǒng)中間件及服務(wù)和實(shí)時(shí)安全域。

3.6

功能軟件functionsoftware

車控操作系統(tǒng)中面向智能駕駛核心共性需求形成的智能駕駛共性服務(wù)軟件集合，支撐駕駛自動化功

能開發(fā)，包括數(shù)據(jù)抽象、功能軟件通用框架、智能駕駛通用模型和應(yīng)用軟件接口。

3.7

相關(guān)項(xiàng)item

0實(shí)現(xiàn)整車層面功能或部分功能的系統(tǒng)0或系統(tǒng)組合。0

1

000

T/CSAEXXXX—XXXX

000

3.8

獨(dú)立于環(huán)境的安全要素safetyelementoutofcontext

不是在特定的相關(guān)項(xiàng)定義下開發(fā)的安全相關(guān)要素。

4縮略語

下列縮略語適用于本文件。

0CPU中央處理單元0CentralProcessingUnit0

CRC循環(huán)冗余碼校驗(yàn)CyclicalRedundancyCheck

DDS數(shù)據(jù)分發(fā)服務(wù)DataDistributionService

ECC錯(cuò)誤檢查和糾正ErrorCheckingandCorrection

E2E端到端EndtoEnd

FFI免于干擾FreedomFromInterference

FIFO先入先出FirstInFirstOut

HSM硬件安全模塊HardwareSecurityModule

0IMU慣性測量單元0InertialMeasurementUnit0

IPC進(jìn)程間通信Inter-ProcessCommunication

MMU內(nèi)存管理單元MemoryManagementUnit

MPU內(nèi)存保護(hù)單元MemoryProtectionUnit

ODD運(yùn)行設(shè)計(jì)域OperationalDesignDomain

OS操作系統(tǒng)OperatingSystem

POSIX可移植操作系統(tǒng)接口PortableOperatingSystemInterface

QM質(zhì)量管理QualityManagement

QoS服務(wù)質(zhì)量QualityofService

000

RAM隨機(jī)存取存儲器RandomAccessMemory

SEooC獨(dú)立于環(huán)境的安全要素SafetyElementoutofContext

VM虛擬機(jī)VirtualMachine

FTTI故障容錯(cuò)時(shí)間間隔FaultTolerantTimeInterval

FHTI故障處理時(shí)間間隔FaultHandlingTimeInterval

5車控操作系統(tǒng)安全要求

05.1通用要求00

車控操作系統(tǒng)應(yīng)滿足以下通用安全要求：

a)車控操作系統(tǒng)應(yīng)滿足GB/T34590的要求，最高可支持ASIL-D；

b)本文件中定義的車控操作系統(tǒng)軟件頂層安全要求、安全要求和安全狀態(tài)由開發(fā)者來實(shí)現(xiàn)，系

統(tǒng)及整車安全狀態(tài)由用戶來定義和實(shí)現(xiàn)；

c)部署車控操作系統(tǒng)的相關(guān)硬件平臺應(yīng)滿足車控操作系統(tǒng)對應(yīng)的最高ASIL等級要求；

d)異構(gòu)分布硬件應(yīng)支持內(nèi)存保護(hù)和分區(qū)，以實(shí)現(xiàn)不同安全功能的內(nèi)存分離；

e)車控操作系統(tǒng)在全新特定環(huán)境下進(jìn)行集成之前，應(yīng)確認(rèn)全部假設(shè)在新環(huán)境下的有效性。若假

0設(shè)與實(shí)際需求不一致，應(yīng)按照G0B/T34590.8進(jìn)行變更管理；0

f)車控操作系統(tǒng)的用戶應(yīng)根據(jù)相關(guān)項(xiàng)安全目標(biāo)對應(yīng)的FTTI，進(jìn)行系統(tǒng)、硬件、軟件逐級分解，

從而導(dǎo)出車控操作系統(tǒng)各模塊的FHTI。

5.2系統(tǒng)軟件安全要求

5.2.1操作系統(tǒng)內(nèi)核

5.2.1.1頂層安全要求

000

2

000

T/CSAEXXXX—XXXX

000

車控操作系統(tǒng)應(yīng)在5.2.1.2安全假設(shè)前提下并滿足5.2.1.3安全要求和5.2.1.4安全狀態(tài)的情況下提供正

確可靠的運(yùn)行環(huán)境，安全等級最高可支持ASIL-D。

5.2.1.2安全假設(shè)

操作系統(tǒng)內(nèi)核安全假設(shè)應(yīng)滿足以下要求：

a)對于使用操作系統(tǒng)內(nèi)核進(jìn)行軟件部署的相關(guān)項(xiàng),操作系統(tǒng)內(nèi)核應(yīng)該具有繼承或分解后的最高

功能安全等級；

0b)對于具體項(xiàng)目應(yīng)用，系統(tǒng)集成人0員應(yīng)定義最差調(diào)度響應(yīng)時(shí)間，并基于目標(biāo)環(huán)0境開展測試，驗(yàn)

證所配置的調(diào)度策略和線程優(yōu)先級是否滿足最后期限需求；

c)系統(tǒng)集成人員應(yīng)評審并確認(rèn)所有的配置是否滿足項(xiàng)目安全要求；

d)系統(tǒng)集成人員應(yīng)確保上層軟件模塊安全/正確地使用操作系統(tǒng)內(nèi)核提供的功能和機(jī)制；

e)使用者需確認(rèn)車控操作系統(tǒng)內(nèi)核在系統(tǒng)層級滿足所列外部假設(shè)條件，并且確保系統(tǒng)的運(yùn)行狀

態(tài)在所規(guī)定的范圍內(nèi)。

5.2.1.3安全要求

0操作系統(tǒng)內(nèi)核應(yīng)滿足以下安全要求：00

a)操作系統(tǒng)內(nèi)核應(yīng)為用戶態(tài)應(yīng)用程序的存儲訪問提供隔離措施，以保證每個(gè)存儲訪問相互隔離；

b)操作系統(tǒng)內(nèi)核應(yīng)提供措施來約束每個(gè)進(jìn)程在執(zhí)行過程中不會使用超過其預(yù)先分配的資源；

c)操作系統(tǒng)內(nèi)核的地址空間應(yīng)被保護(hù)，并為應(yīng)用程序提供訪問內(nèi)核地址空間的安全接口，以支

持安全相關(guān)的進(jìn)程間通訊（例如無名管道、FIFO、共享存儲等）；

d)如果硬件支持特權(quán)模式，操作系統(tǒng)內(nèi)核應(yīng)將不受信任的用戶態(tài)軟件置于非特權(quán)模式下，從而

阻止不受信任的用戶態(tài)軟件訪問安全相關(guān)的硬件；

e)資源強(qiáng)制訪問控制機(jī)制，應(yīng)做到最小特權(quán)原則；

f)在操作系統(tǒng)內(nèi)核空間出現(xiàn)異常時(shí)（例如非法系統(tǒng)調(diào)用、堆棧溢出、指針異常訪問、內(nèi)存越界、

000

死循環(huán)、死鎖、超時(shí)等），操作系統(tǒng)內(nèi)核應(yīng)立即調(diào)用內(nèi)核異常處理程序，并進(jìn)入對應(yīng)安全狀

態(tài)。內(nèi)核異常處理程序不應(yīng)為空，一旦為空，操作系統(tǒng)內(nèi)核應(yīng)立即調(diào)用操作系統(tǒng)關(guān)閉處理程

序；

g)操作系統(tǒng)內(nèi)核應(yīng)診斷IPC消息傳遞的故障，如IPC消息發(fā)送失敗，消息接收失敗等；

h)當(dāng)一個(gè)安全相關(guān)線程出現(xiàn)異常時(shí)（例如超時(shí)錯(cuò)誤、內(nèi)存錯(cuò)誤、指令錯(cuò)誤等），操作系統(tǒng)內(nèi)核

應(yīng)立即調(diào)用該線程的異常處理機(jī)制。安全相關(guān)線程的異常處理機(jī)制不應(yīng)為空，一旦為空，則

內(nèi)核應(yīng)立即停止運(yùn)行該線程；

i)操作系統(tǒng)內(nèi)核應(yīng)盡可能地監(jiān)控每個(gè)用戶態(tài)進(jìn)程的資源消耗（例如CPU、內(nèi)存等）；

0j)在多核處理器上，當(dāng)操作系統(tǒng)內(nèi)0核在一個(gè)處理器核心上檢測到異常并且需要0關(guān)閉操作系統(tǒng)時(shí)，

應(yīng)同時(shí)在所有其他處理器核心上關(guān)閉該操作系統(tǒng)；

k)操作系統(tǒng)內(nèi)核應(yīng)提供棧溢出診斷機(jī)制，以探測已經(jīng)發(fā)生的棧溢出錯(cuò)誤并調(diào)用內(nèi)核異常處理程

序；

l)對于內(nèi)核服務(wù)接口，操作系統(tǒng)內(nèi)核應(yīng)向用戶態(tài)軟件模塊提供安全的服務(wù)接口（例如I/O操作、

信號處理等），不正確地調(diào)用這些服務(wù)接口不應(yīng)導(dǎo)致內(nèi)核崩潰；

m)當(dāng)出現(xiàn)不正確的內(nèi)核服務(wù)接口調(diào)用（例如傳遞非法地址、無效參數(shù)、非法的上下文等）時(shí)，

內(nèi)核服務(wù)接口不應(yīng)執(zhí)行對應(yīng)的服務(wù)，并且立即返回錯(cuò)誤代碼。

000

5.2.1.4安全狀態(tài)

當(dāng)違背上述5.2.1.3安全要求時(shí)，操作系統(tǒng)內(nèi)核進(jìn)入的安全狀態(tài)可以為：操作系統(tǒng)內(nèi)核日志、報(bào)警、

降級、重啟或關(guān)閉等。

5.2.2虛擬化管理

5.2.2.1頂層安全要求

虛擬化管理應(yīng)在5.2.2.2安全假設(shè)前提下并滿足5.2.2.3安全要求和5.2.2.4安全狀態(tài)的情況下，為跨平

0臺操作系統(tǒng)提供安全的虛擬環(huán)境接口，安0全等級最高支持ASIL-D。0

3

000

T/CSAEXXXX—XXXX

000

5.2.2.2安全假設(shè)

虛擬化管理安全假設(shè)應(yīng)滿足以下要求：

a)虛擬化管理應(yīng)用到的虛擬驅(qū)動安全等級最高為ASIL-D等級；

b)硬件應(yīng)提供系統(tǒng)內(nèi)存管理單元；

c)芯片的CPU、中斷控制器、I/O硬件應(yīng)支持硬件虛擬化的功能；

d)當(dāng)虛擬化管理及板級支持包上報(bào)故障或進(jìn)入安全狀態(tài)時(shí)，外部系統(tǒng)應(yīng)監(jiān)控虛擬化管理及板級

支持包上報(bào)故障，確保整個(gè)系統(tǒng)的安全性。

000

5.2.2.3安全要求

虛擬化管理及板級支持包應(yīng)滿足以下要求：

a)虛擬化管理及板級支持包應(yīng)具備相關(guān)硬件及軟件故障的診斷機(jī)制、故障上報(bào)機(jī)制、可能的故

障處理機(jī)制以及故障恢復(fù)機(jī)制；

注：可能的故障處理機(jī)制例如對于需要立即處理的安全相關(guān)故障，虛擬化管理及板級支持包可以立即操作硬件使系

統(tǒng)進(jìn)入安全狀態(tài)，不需要先將故障上報(bào)到安全監(jiān)控程序。

b)虛擬化管理及板級支持包在初始化虛擬環(huán)境時(shí)，應(yīng)按照包括但不限于下列方法對硬件進(jìn)行安

0全診斷測試：00

1)驗(yàn)證各個(gè)硬件模塊功能的正確性；

示例1：回讀寄存器驗(yàn)證寫入的參數(shù)是否成功。

示例2：進(jìn)行通訊回環(huán)測試。

2)對硬件安全機(jī)制進(jìn)行故障注入測試；

3)如果安全診斷測試不通過，應(yīng)根據(jù)故障類型停止加載上層軟件組件/進(jìn)程對象/GuestOS，

同時(shí)應(yīng)上報(bào)故障給安全域；

4)虛擬化管理模塊在運(yùn)行時(shí)對低安全等級的軟件組件（即不具備達(dá)到ASIL等級的存量軟件

模塊或第三方軟件模塊）進(jìn)行功能安全監(jiān)控（例如相關(guān)寄存器配置是否正確、運(yùn)行時(shí)是

000

否有意外修改寄存器的行為、運(yùn)行時(shí)關(guān)鍵運(yùn)算結(jié)果的合理性校驗(yàn))。

注：對于不同廠商提供的硬件IP，安全診斷測試需要根據(jù)硬件IP本身已有的硬件安全機(jī)制來設(shè)計(jì)。例如，硬

件IP內(nèi)部的所有寄存器都有奇偶校驗(yàn)保護(hù)機(jī)制，則安全診斷測試需要對奇偶校驗(yàn)保護(hù)機(jī)制進(jìn)行故障注入

測試；硬件IP內(nèi)部的寄存器沒有硬件保護(hù)機(jī)制，則安全診斷測試需要對寫入寄存器的數(shù)值進(jìn)行回讀校驗(yàn)，

并進(jìn)行周期性的檢查。

c)根據(jù)隔離和使用的需求，虛擬化管理應(yīng)支持對資源的靜態(tài)專用與動態(tài)共享的能力；

d)虛擬化管理在任何情況下（例如意外事件，系統(tǒng)過載等），都應(yīng)為安全分區(qū)提供足夠的運(yùn)行

資源；

e)虛擬化管理應(yīng)管理所有分區(qū)之間的通訊訪問權(quán)限。

0VM00

5.2.2.4安全狀態(tài)

當(dāng)違背上述5.2.2.3安全要求時(shí)，虛擬化管理進(jìn)入的安全狀態(tài)可以為：虛擬化管理日志、報(bào)警、重啟

等。

5.2.3POSIX

5.2.3.1頂層安全要求

接口或接口的子集（例如）應(yīng)在安全假設(shè)前提下并滿足安全要求和

0POSIXPOSIX0PSE515.2.3.250.2.3.3

5.2.3.4安全狀態(tài)的情況下提供安全的接口，安全等級最高支持ASIL-D。

5.2.3.2安全假設(shè)

POSIX安全假設(shè)應(yīng)滿足以下要求：

a)功能安全應(yīng)用應(yīng)充分考量POSIX接口的實(shí)時(shí)性要求；

b)功能安全應(yīng)用或應(yīng)用庫應(yīng)使用符合功能安全要求的POSIX接口，當(dāng)POSIX接口上報(bào)故障或進(jìn)

入安全狀態(tài)時(shí)，系統(tǒng)需確保安全性。

05.2.3.3安全要求00

4

000

T/CSAEXXXX—XXXX

000

POSIX接口設(shè)計(jì)應(yīng)滿足以下要求：

a)POSIX接口的設(shè)計(jì)應(yīng)符合ISO/IEC9945的要求；

b)POSIX接口應(yīng)進(jìn)行FFI的設(shè)計(jì)，例如不正確的調(diào)用（傳遞非法地址、無效參數(shù)、非法的上下

文等）。這些安全的服務(wù)接口不應(yīng)導(dǎo)致內(nèi)核崩潰或安全隱患。

5.2.3.4安全狀態(tài)

當(dāng)違背上述5.2.3.3安全要求時(shí)，POSIX接口進(jìn)入的安全狀態(tài)可以為：POSIX接口不應(yīng)執(zhí)行對應(yīng)的服

0務(wù)，返回錯(cuò)誤代碼或執(zhí)行回滾等。00

5.2.4系統(tǒng)中間件及服務(wù)

5.2.4.1頂層安全要求

系統(tǒng)中間件及服務(wù)應(yīng)在5.2.4.2安全假設(shè)前提下并滿足5.2.4.3安全要求和5.2.4.4安全狀態(tài)的情況下提

供正確的基礎(chǔ)系統(tǒng)服務(wù)，安全等級最高支持ASIL-D。

5.2.4.2安全假設(shè)

0系統(tǒng)中間件及服務(wù)安全假設(shè)應(yīng)滿足以0下要求：0

a)對于分布式通信中間件，硬件存儲單元中不帶有錯(cuò)誤檢測功能的安全相關(guān)通訊都應(yīng)使用E2E

保護(hù)；

b)對于應(yīng)用調(diào)度和生命周期管理，車控操作系統(tǒng)中不同ASIL等級的目標(biāo)文件不能混合分配給同

一個(gè)進(jìn)程；

c)對于應(yīng)用調(diào)度和生命周期管理，操作系統(tǒng)內(nèi)核應(yīng)對進(jìn)程提供時(shí)間隔離和空間隔離；

d)需要調(diào)度的進(jìn)程的優(yōu)先級應(yīng)根據(jù)相關(guān)項(xiàng)的安全要求來定義；

e)應(yīng)在特定線程中進(jìn)行中斷事件處理；

0f)對于安全框架和服務(wù)，ASIL-B及0以上功能安全等級的安全相關(guān)應(yīng)用組件應(yīng)使0用中間件提供調(diào)

度錯(cuò)誤（例如超時(shí)、運(yùn)行太過頻繁、亂序）的檢測機(jī)制；

g)安全相關(guān)應(yīng)用組件應(yīng)使用中間件提供的綁定監(jiān)控結(jié)果的健康監(jiān)控通道來報(bào)告檢測到的錯(cuò)誤并

觸發(fā)系統(tǒng)響應(yīng)。

5.2.4.3安全要求

系統(tǒng)中間件及服務(wù)應(yīng)滿足以下安全要求：

a)分布式通信中間件中，所有安全相關(guān)的以太網(wǎng)通訊都應(yīng)采用E2E保護(hù)。E2E應(yīng)包含如下信息：

數(shù)據(jù)識別碼、校驗(yàn)碼和計(jì)數(shù)器等；

000

b)安全框架和服務(wù)應(yīng)符合如下要求：

1)應(yīng)能正確初始化安全相關(guān)的硬件；

2)應(yīng)能檢測安全相關(guān)組件的潛在故障；

3)應(yīng)能驗(yàn)證應(yīng)用映像文件（image）的完整性，并提供錯(cuò)誤處理和記錄；

4)應(yīng)能在啟動時(shí)監(jiān)測可能禁止或影響安全機(jī)制產(chǎn)生作用的硬件潛在故障；

5)應(yīng)能在運(yùn)行時(shí)監(jiān)測硬件錯(cuò)誤，并在監(jiān)測到影響頂層安全要求的硬件錯(cuò)誤時(shí)切換到安全狀

態(tài)；

6)應(yīng)能提供錯(cuò)誤響應(yīng)處理機(jī)制；

07)應(yīng)能提供監(jiān)控服務(wù)監(jiān)控應(yīng)用0軟件正確執(zhí)行；0

8)應(yīng)能提供可以確保完整性的密鑰存儲機(jī)制，例如通過HSM硬件存儲或者軟件冗余存儲和

回讀來監(jiān)測數(shù)據(jù)損壞或丟失；

9)應(yīng)提供可以確保完整性的文件訪問，例如通過冗余存儲和回讀來監(jiān)測數(shù)據(jù)損壞或丟失。

c)應(yīng)用更新管理應(yīng)符合如下要求：

1)每次應(yīng)用更新之前，應(yīng)該能對應(yīng)用來源的有效性和軟件包的完整性進(jìn)行檢查，若檢查失

敗，應(yīng)停止升級并提示用戶；

2)每次應(yīng)用更新完畢后，都應(yīng)進(jìn)行應(yīng)用軟件的完整性檢查，若檢查失敗，應(yīng)進(jìn)行提示并按

0升級失敗處置；00

5

000

T/CSAEXXXX—XXXX

000

3)每次應(yīng)用更新都應(yīng)有確定的更新狀態(tài)（例如更新成功或是更新失敗后回滾到更新前的狀

態(tài)）；

4)一個(gè)安全相關(guān)功能所關(guān)聯(lián)的所有組件應(yīng)該在同一次更新中完成；

注：應(yīng)用組件之間應(yīng)有明確的依賴關(guān)系，以提供應(yīng)用組件之間的關(guān)聯(lián)性操作，即使是分散在不同的應(yīng)用組件

中。

5)狀態(tài)管理模塊能夠根據(jù)當(dāng)前是否有安全相關(guān)應(yīng)用運(yùn)行狀態(tài)以及車輛運(yùn)行狀態(tài)來允許或者

禁止應(yīng)用更新。

06)在OTA升級或者回滾后，應(yīng)0保證用戶私有數(shù)據(jù)不發(fā)生變化，保持一致。0

d)診斷日志應(yīng)保護(hù)安全相關(guān)故障數(shù)據(jù)錯(cuò)誤計(jì)數(shù)，防止被篡改或數(shù)據(jù)丟失，同時(shí)需要根據(jù)安全性

不同定義不同級別的日志及保存時(shí)間；

e)需要具備確定的中斷延時(shí)和調(diào)度延時(shí)，以便支持硬實(shí)時(shí)的業(yè)務(wù)可以得到及時(shí)響應(yīng)。應(yīng)定義關(guān)

中斷/關(guān)搶占、調(diào)度響應(yīng)時(shí)間方面的性能指標(biāo)要求；

f)應(yīng)根據(jù)相關(guān)安全要求來配置安全管理模塊中可能存在的出錯(cuò)類型和出錯(cuò)響應(yīng)類型。

5.2.4.4安全狀態(tài)

當(dāng)違背上述5.2.4.3安全要求時(shí)，系統(tǒng)中間件及服務(wù)進(jìn)入的安全狀態(tài)可以為：不啟動或故障狀態(tài)。

000

5.2.5實(shí)時(shí)安全域

5.2.5.1頂層安全要求

實(shí)時(shí)安全域應(yīng)在5.2.3.2安全假設(shè)前提下并滿足5.2.3.3安全要求和5.2.3.4安全狀態(tài)的情況下提供可靠

且安全的實(shí)時(shí)運(yùn)行環(huán)境，安全等級最高支持ASIL-D。

5.2.5.2安全假設(shè)

硬件平臺應(yīng)支持安全車控操作系統(tǒng)內(nèi)存分區(qū)所需要的安全機(jī)制。

000

5.2.5.3安全要求

實(shí)時(shí)安全域應(yīng)滿足以下安全要求：

a)實(shí)時(shí)安全域應(yīng)能實(shí)現(xiàn)核內(nèi)多任務(wù)間的互斥訪問操作且不能出現(xiàn)因優(yōu)先級翻轉(zhuǎn)而引起的“死鎖

問題”；

b)實(shí)時(shí)安全域應(yīng)支持安全通信功能，以實(shí)現(xiàn)任務(wù)與任務(wù)、任務(wù)與中斷、多分區(qū)間通信（分區(qū)能

分布于多個(gè)核）；

c)實(shí)時(shí)安全域應(yīng)支持多分區(qū)機(jī)制，以支持不同ASIL等級的軟件隔離。分區(qū)應(yīng)支持運(yùn)行于CPU

0的特權(quán)級模式以及非特權(quán)級模式0；0

d)實(shí)時(shí)安全域應(yīng)支持內(nèi)存保護(hù)機(jī)制，以實(shí)現(xiàn)分區(qū)間的物理隔離；

e)實(shí)時(shí)安全域應(yīng)支持多核互斥訪問機(jī)制，以實(shí)現(xiàn)對多核共享資源的互斥訪問，例如自旋鎖機(jī)制；

f)實(shí)時(shí)安全域應(yīng)支持時(shí)間保護(hù)功能，下列因素需受到監(jiān)控：

1)任務(wù)與中斷的執(zhí)行時(shí)間應(yīng)被監(jiān)控；

2)任務(wù)與中斷使用資源/關(guān)閉中斷的時(shí)間應(yīng)被監(jiān)控；

3)任務(wù)與中斷的到達(dá)率（頻率）應(yīng)被監(jiān)控。

g)實(shí)時(shí)安全域應(yīng)支持以下鉤子函數(shù)功能：

01)錯(cuò)誤鉤子函數(shù)：安全車控操0作系統(tǒng)檢測到系統(tǒng)異常時(shí)，系統(tǒng)須將錯(cuò)誤碼0傳入錯(cuò)誤鉤子函

數(shù)；

2)關(guān)閉鉤子函數(shù)：安全車控操作系統(tǒng)被關(guān)閉時(shí)，安全車控操作系統(tǒng)將先進(jìn)入關(guān)閉鉤子函數(shù)

以使用戶保存安全相關(guān)數(shù)據(jù)。

注：鉤子函數(shù)為操作系統(tǒng)內(nèi)核預(yù)留給用戶的功能接口函數(shù)。

h)實(shí)時(shí)安全域應(yīng)支持堆棧檢測功能，應(yīng)能對堆棧溢出故障進(jìn)行處理；

i)實(shí)時(shí)安全域應(yīng)支持故障處理功能，為避免由時(shí)間與分區(qū)故障造成的危害，當(dāng)安全車控操作系

統(tǒng)檢測到時(shí)間與分區(qū)故障時(shí)，應(yīng)進(jìn)入安全保護(hù)狀態(tài)，在安全保護(hù)狀態(tài)內(nèi)，用戶能根據(jù)故障的

嚴(yán)重程度進(jìn)行故障處理。安全保護(hù)狀態(tài)內(nèi)可支持下列故障處理模式：

000

6

000

T/CSAEXXXX—XXXX

000

1)忽略模式：安全車控操作系統(tǒng)支持忽略該故障，安全車控操作系統(tǒng)將返回至故障位置處

繼續(xù)執(zhí)行；

2)關(guān)閉任務(wù)/中斷模式：安全車控操作系統(tǒng)支持關(guān)閉該故障任務(wù)/中斷；

3)分區(qū)關(guān)閉模式：安全車控操作系統(tǒng)支持將故障分區(qū)進(jìn)行關(guān)閉；

4)分區(qū)關(guān)閉并重啟模式：安全車控操作系統(tǒng)支持將故障分區(qū)復(fù)位重啟。

j)應(yīng)支持系統(tǒng)崩潰后的現(xiàn)場保存機(jī)制，當(dāng)安全車控操作系統(tǒng)內(nèi)核崩潰時(shí)，應(yīng)保存故障現(xiàn)場信息。

5.2.5.4安全狀態(tài)

000

當(dāng)違背上述5.2.5.3安全要求時(shí)，實(shí)時(shí)安全域進(jìn)入的安全狀態(tài)可以為：

a)當(dāng)故障發(fā)生在安全車控操作系統(tǒng)的內(nèi)核內(nèi)時(shí)，安全車控操作系統(tǒng)應(yīng)能被立即復(fù)位重啟；

b)當(dāng)故障發(fā)生在安全車控操作系統(tǒng)的內(nèi)核外時(shí)，安全車控操作系統(tǒng)應(yīng)根據(jù)分區(qū)內(nèi)的故障嚴(yán)重程

度進(jìn)入安全狀態(tài)：返回故障碼或進(jìn)入故障處理模式（例如忽略模式、關(guān)閉任務(wù)/中斷模式、分

區(qū)關(guān)閉模式、分區(qū)關(guān)閉并重啟模式等），其它分區(qū)能正常運(yùn)行。

5.3功能軟件安全要求

05.3.1應(yīng)用軟件接口00

5.3.1.1頂層安全要求

應(yīng)用軟件接口應(yīng)在5.3.1.2安全假設(shè)前提下并滿足5.3.1.3安全要求和5.3.1.4安全狀態(tài)的情況下對軟件

接口的數(shù)據(jù)以及相應(yīng)的通訊進(jìn)行實(shí)時(shí)監(jiān)控，安全等級最高可支持ASIL-D。

5.3.1.2安全假設(shè)

應(yīng)用軟件接口安全假設(shè)應(yīng)滿足以下要求：

a)內(nèi)存保護(hù)單元應(yīng)對安全數(shù)據(jù)的內(nèi)存進(jìn)行保護(hù)，防止非法讀寫訪問；

0b)應(yīng)有專門的監(jiān)控模塊對應(yīng)用軟件0接口的程序流進(jìn)行監(jiān)控，確保執(zhí)行時(shí)序的正0確性。

5.3.1.3安全要求

應(yīng)用軟件接口應(yīng)滿足以下安全要求：

a)應(yīng)用軟件接口啟動時(shí)應(yīng)能進(jìn)行初始化處理；

b)應(yīng)用軟件接口面向功能模塊時(shí)，應(yīng)對輸入通訊接口（動態(tài)和靜態(tài)）的數(shù)據(jù)ID、攜帶數(shù)據(jù)的類

型和取值范圍進(jìn)行校驗(yàn)，當(dāng)檢測到數(shù)據(jù)ID錯(cuò)誤、攜帶的數(shù)據(jù)的類型和取值范圍超出規(guī)定范圍

時(shí)，需要向相關(guān)的功能模塊發(fā)送錯(cuò)誤通知或返回異常碼，以便明確具體的錯(cuò)誤種類；

0c)應(yīng)用軟件接口面向應(yīng)用開發(fā)者時(shí)0，應(yīng)對API接口的輸入?yún)?shù)的類型、取值范0圍進(jìn)行校驗(yàn)，當(dāng)

檢測到參數(shù)異常時(shí)，需要返回異常值，并明確具體的錯(cuò)誤種類；

d)應(yīng)用軟件接口應(yīng)通過不同的模塊來進(jìn)行數(shù)據(jù)校驗(yàn)，并對安全相關(guān)的數(shù)據(jù)進(jìn)行備份，來保證功

能數(shù)據(jù)的正確性；

e)應(yīng)用軟件接口應(yīng)對收到的安全功能數(shù)據(jù)進(jìn)行保存。當(dāng)收到新的功能數(shù)據(jù)時(shí)應(yīng)同之前保存的數(shù)

據(jù)進(jìn)行比較，確認(rèn)數(shù)據(jù)規(guī)范性，不符合時(shí)按照安全策略處理，例如丟棄或者插值；

f)當(dāng)不能收到功能模塊的通知或調(diào)用API返回異?；蛘{(diào)用API無法返回時(shí)，應(yīng)用軟件接口應(yīng)進(jìn)

入相應(yīng)的安全狀態(tài)；

g)對安全相關(guān)的數(shù)據(jù)應(yīng)增加獨(dú)立的冗余校驗(yàn)?zāi)K，冗余校驗(yàn)?zāi)K需要通過不同的模塊來進(jìn)行賦

000

值。冗余校驗(yàn)?zāi)K應(yīng)監(jiān)控?cái)?shù)據(jù)的完整性和正確性，如果校驗(yàn)不通過，應(yīng)進(jìn)入對應(yīng)的安全狀態(tài)；

h)應(yīng)用軟件接口應(yīng)按照安全需求制定相應(yīng)的安全機(jī)制；

示例1：對相應(yīng)的通訊模塊進(jìn)行監(jiān)控，當(dāng)既定的時(shí)間內(nèi)沒有接收到數(shù)據(jù)時(shí)，判斷為通信異常，進(jìn)入相應(yīng)的安全狀態(tài)。

示例2：針對RAM異常的情況，應(yīng)設(shè)置安全校驗(yàn)機(jī)制（例如checksum校驗(yàn)、ECC等方式）進(jìn)行檢測，實(shí)現(xiàn)周期

的RAM檢測和關(guān)鍵數(shù)據(jù)的多重比較，當(dāng)檢測為異常時(shí)，進(jìn)入相應(yīng)的安全狀態(tài)。

示例3：應(yīng)用軟件接口不應(yīng)使用動態(tài)內(nèi)存管理，啟動的時(shí)候應(yīng)該按照預(yù)先設(shè)計(jì)好的分配原則進(jìn)行內(nèi)存分配。

示例4：應(yīng)用接口在擴(kuò)展或者增強(qiáng)的過程中，應(yīng)保證不會影響原有安全功能接口的使用。

示例5：應(yīng)用軟件接口應(yīng)明確哪些是與安全相關(guān)的參數(shù)以及參數(shù)的可配置范圍和權(quán)限。

i)應(yīng)用軟件接口應(yīng)對有安全等級要求的接口的輸出參數(shù)中添加保護(hù)信息，對返回值進(jìn)

00APIE2E0

行E2E校驗(yàn)。

7

000

T/CSAEXXXX—XXXX

000

5.3.1.4安全狀態(tài)

當(dāng)違背上述5.3.1.3安全要求時(shí)應(yīng)用軟件接口進(jìn)入的安全狀態(tài)可以為：讀取默認(rèn)的配置數(shù)據(jù)、模塊重

啟、記錄日志或通知應(yīng)用模塊等。

5.3.2智能駕駛通用模型

5.3.2.1環(huán)境模型

05.3.2.1.1頂層安全要求00

環(huán)境模型應(yīng)在5.3.2.1.2安全假設(shè)前提下并滿足5.3.2.1.3安全要求和5.3.2.1.4安全狀態(tài)的情況下能正確

地感知目標(biāo)信息、道路信息和定位信息，安全等級最高可支持ASIL-D。

5.3.2.1.2安全假設(shè)

智能駕駛環(huán)境模型安全假設(shè)應(yīng)滿足以下要求：

a)環(huán)境模型輸入的信號應(yīng)有通信保護(hù)或冗余通道，變量的正常范圍值應(yīng)定義清晰；

b)環(huán)境模型中安全相關(guān)模塊的調(diào)度周期或運(yùn)行時(shí)間應(yīng)該被監(jiān)控，來探測其運(yùn)行太頻繁、運(yùn)行過

0長等錯(cuò)誤；00

c)存儲安全校驗(yàn)?zāi)K的內(nèi)存應(yīng)該被保護(hù)，免于非法讀寫訪問。

5.3.2.1.3安全要求

智能駕駛環(huán)境模型應(yīng)滿足以下安全要求：

a)環(huán)境模型應(yīng)對目標(biāo)檢測中目標(biāo)元數(shù)據(jù)的目標(biāo)ID、各組信號數(shù)據(jù)類型和取值范圍進(jìn)行校驗(yàn)，當(dāng)

檢測到目標(biāo)ID與期望不符、各組信號數(shù)據(jù)類型錯(cuò)誤或取值范圍超出目標(biāo)范圍時(shí)，發(fā)出無效標(biāo)

志位；

0b)環(huán)境模型對道路結(jié)構(gòu)信息（例如0道路標(biāo)線和停止線的識別信息）中車道線集0合數(shù)組、車道線

元數(shù)據(jù)、停止線集合數(shù)組和停止線元數(shù)據(jù)的數(shù)據(jù)類型、取值范圍進(jìn)行校驗(yàn)，當(dāng)檢測到數(shù)據(jù)類

型錯(cuò)誤或取值范圍超出目標(biāo)范圍時(shí)，發(fā)出信號無效標(biāo)志位；當(dāng)檢測到信息卡滯/丟失/延遲時(shí)，

發(fā)出相應(yīng)故障標(biāo)志位；

c)環(huán)境模型對定位信息進(jìn)行校驗(yàn)，定位信息漂移/卡滯/丟失/延遲應(yīng)能被檢測，當(dāng)檢測到以上失

效應(yīng)發(fā)出相應(yīng)故障標(biāo)志位；

d)當(dāng)相應(yīng)信號無效標(biāo)志位觸發(fā)時(shí)，融合模塊應(yīng)采取默認(rèn)值或進(jìn)入相應(yīng)安全狀態(tài)；

e)對環(huán)境各類感知計(jì)算模塊應(yīng)增加獨(dú)立冗余校驗(yàn)?zāi)K，以監(jiān)控計(jì)算是否正確，若計(jì)算出錯(cuò)，應(yīng)

進(jìn)入對應(yīng)安全狀態(tài)；

000

f)對融合模塊應(yīng)增加合理性檢查，以校驗(yàn)各路信號是否一致，若不一致，應(yīng)進(jìn)入安全狀態(tài)；

g)環(huán)境模型應(yīng)對計(jì)算處理后的輸出目標(biāo)信號、道路信號、定位信號增加超時(shí)檢測、心跳計(jì)數(shù)器、

循環(huán)冗余校核和有效位狀態(tài)等保護(hù)信息。

5.3.2.1.4安全狀態(tài)

當(dāng)違背上述5.3.2.1.3安全要求時(shí)，環(huán)境模型進(jìn)入的安全狀態(tài)可以為：發(fā)布對應(yīng)故障信號的無效標(biāo)志

位或故障標(biāo)志位。

5.3.2.2規(guī)劃模型

000

5.3.2.2.1頂層安全要求

規(guī)劃決策模型應(yīng)在5.3.2.2.2安全假設(shè)前提下并滿足5.3.2.2.3安全要求和5.3.2.2.4安全狀態(tài)的情況下避

免錯(cuò)誤的橫/縱向軌跡輸出，安全等級最高可支持ASIL-D。

5.3.2.2.2安全假設(shè)

智能駕駛規(guī)劃模型安全假設(shè)應(yīng)滿足以下要求：

a)功能軟件環(huán)境模型的輸入信號應(yīng)有通信保護(hù)或冗余通道，變量的正常范圍值應(yīng)定義清晰；

000

8

000

T/CSAEXXXX—XXXX

000

b)環(huán)境模型中安全相應(yīng)模塊調(diào)度周期或運(yùn)行時(shí)間應(yīng)該被監(jiān)控，來探測其運(yùn)行太頻繁、運(yùn)行過長

等錯(cuò)誤；

c)存儲安全校驗(yàn)?zāi)K的內(nèi)存應(yīng)該被保護(hù)，免于非法讀寫訪問。

5.3.2.2.3安全要求

智能駕駛規(guī)劃模型應(yīng)滿足以下安全要求：

a)規(guī)劃模塊應(yīng)對下面所述信息進(jìn)行校驗(yàn)，當(dāng)校驗(yàn)失敗時(shí)，發(fā)出相應(yīng)信號無效標(biāo)志位：

01)應(yīng)對個(gè)性化設(shè)置服務(wù)、定位0服務(wù)輸入信息進(jìn)行正確性和合理性校驗(yàn)；0

2)應(yīng)對自車狀態(tài)信息進(jìn)行校驗(yàn)，自車狀態(tài)包括但不限于轉(zhuǎn)向角、轉(zhuǎn)向速率、速度、加速度、

當(dāng)前控制模式、擋位、胎壓、車門狀態(tài)等；

3)應(yīng)對環(huán)境模型輸出信息（例如目標(biāo)信號、道路信號、定位信號等）數(shù)據(jù)類型、取值范圍、

正確性及合理性進(jìn)行校驗(yàn)；

4)應(yīng)對環(huán)境感知融合服務(wù)、定位服務(wù)輸入信息的時(shí)間一致性進(jìn)行檢查。

b)當(dāng)信號無效標(biāo)志位觸發(fā)時(shí)，規(guī)劃模塊應(yīng)采取最后有效值或默認(rèn)安全值，并進(jìn)入相應(yīng)安全狀態(tài)；

c)當(dāng)規(guī)劃模塊探測到自車狀態(tài)處于非正常狀態(tài)時(shí)，規(guī)劃模塊應(yīng)進(jìn)入安全狀態(tài)或功能降級狀態(tài)；

0d)當(dāng)規(guī)劃模塊探測到輸入模塊相應(yīng)0信號超時(shí)、出錯(cuò)或時(shí)序無法對齊等影響安全0的失效時(shí)，規(guī)劃

模塊應(yīng)進(jìn)入相應(yīng)安全狀態(tài)；

e)規(guī)劃模塊應(yīng)對各類環(huán)境感知服務(wù)、定位服務(wù)、車輛狀態(tài)等輸入信息增加冗余校驗(yàn)?zāi)K，以監(jiān)

控計(jì)算是否正確，若計(jì)算出錯(cuò)，應(yīng)進(jìn)入對應(yīng)安全狀態(tài)。同時(shí)應(yīng)對核心輸入信息的時(shí)間一致性

增加獨(dú)立的校驗(yàn)?zāi)K，以監(jiān)控核心輸入信息是否在可允許的時(shí)間偏差范圍內(nèi)，如果輸入信息

時(shí)間偏差過大，應(yīng)進(jìn)入對應(yīng)安全狀態(tài)；

f)對規(guī)劃模塊本身應(yīng)增加檢查模塊，以監(jiān)控規(guī)劃模塊的健康狀態(tài)。當(dāng)規(guī)劃模塊在規(guī)定時(shí)間內(nèi)無

法正常工作并輸出有效軌跡時(shí)，規(guī)劃模塊應(yīng)妥善處理或進(jìn)入相應(yīng)安全狀態(tài)；

g)規(guī)劃模型應(yīng)對計(jì)算處理后輸出的未來軌跡規(guī)劃信息（縱向、橫向目標(biāo)軌跡等）增加保護(hù)

000E2E

信息。

5.3.2.2.4安全狀態(tài)

當(dāng)違背上述5.3.2.2.3安全要求時(shí)，規(guī)劃模型進(jìn)入的安全狀態(tài)可以為：發(fā)布對應(yīng)故障信號的無效標(biāo)志

位或故障標(biāo)志位以及功能降級。

5.3.2.3控制模型

5.3.2.3.1頂層安全要求

000

控制模型應(yīng)在5.3.2.1.2安全假設(shè)前提下并滿足5.3.2.1.3安全要求和5.3.2.1.4安全狀態(tài)的情況下避免輸

出錯(cuò)誤的橫/縱向控制指令，安全等級最高可支持ASIL-D。

5.3.2.3.2安全假設(shè)

智能駕駛控制模型安全假設(shè)應(yīng)滿足以下要求：

a)功能軟件環(huán)境模型輸入的信號應(yīng)有通