Написание модели Coverity: указатель в структуре ВСЕГДА указывает на испорченные данные

Я регулярно проверяю lwIP, свободный стек TCP/IP с Coverity.

Как сетевой стек, у нас есть ненадежные данные, поступающие из сети, которые хранятся в struct pbuf (некоторые члены для ясности опущены):

struct pbuf {
  void *payload;
  u16_t len;
  u16_t ref;
};

Мои вопросы:

1) Я хочу смоделировать, что "void* payload" struct pbuf ВСЕГДА указывает на испорченные данные, каждый доступ к ним должен быть ненадежным. Как я могу это сделать?

2) Используем refcounting (u16_t ref). Есть ли способ пересчета модели в Coverity?