車輛網(wǎng)絡(luò)中的安全過(guò)濾器的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于車輛的電氣子系統(tǒng)的改進(jìn)��,并且涉及適配有改進(jìn)的電氣子系統(tǒng)的車輛�。
【背景技術(shù)】
[0002]在諸如乘用車或卡車之類的現(xiàn)代車輛中,存在許多微控制器�,每個(gè)微控制器可以控制諸如電機(jī)或栗之類的位于車輛周圍的不同位置處的一個(gè)或多個(gè)電氣致動(dòng)器的操作。它們還可以或者可替代地從諸如轉(zhuǎn)向角傳感器��、電機(jī)位置傳感器����、車輪速度傳感器等之類的位于車輛周圍的不同位置處的一個(gè)或多個(gè)傳感器接收信號(hào)。它們還可以從諸如照相機(jī)或雷達(dá)系統(tǒng)之類的設(shè)備接收輸入信號(hào)�,并且為那些設(shè)備輸出控制信號(hào)。若干電子控制單元(Electronic Control Unit���,ECU)在它們之間共享信息以便提供車輛所需的功能是常見(jiàn)的。車輛速度可以被例如弓I擎ECU使用��,并且還可以被轉(zhuǎn)向ECU使用�����。
[0003]ECU通常與存儲(chǔ)器以及用于從傳感器接收信號(hào)并且將信號(hào)發(fā)送到致動(dòng)器的輸入端口以微控制器的形式組合在一起���。微控制器然后與用于連接到致動(dòng)器和傳感器的物理連接器組合在一起��,并且這些組件然后被封裝在殼體內(nèi)�����。殼體內(nèi)的各種部件形成電子控制模塊��。這在附圖的圖5中示出�����。
[0004]為了允許各個(gè)模塊向這些傳感器�����、致動(dòng)器和其它設(shè)備以及其它ECU發(fā)送信號(hào)以及從它們接收信號(hào),已知將車輛與通信網(wǎng)絡(luò)適配,通信網(wǎng)絡(luò)中最常見(jiàn)的標(biāo)準(zhǔn)之一被稱為通信總線����。總線包括一束電線�、或者有時(shí)是光纖�,總線可以承載車輛周圍的各種信息。總線是允許微控制器和傳感器等彼此交流的本地通信網(wǎng)絡(luò)��。每個(gè)模塊應(yīng)該包括通常在殼體內(nèi)的�、允許模塊跨總線傳送和接收信號(hào)的至少一個(gè)總線控制器。
[0005]在書(shū)寫(xiě)本文時(shí)��,在道路車輛中最常見(jiàn)的電氣總線是控制器局域網(wǎng)(ControllerArea NetWOrk�����,CAN)總線�,它是串行通信協(xié)議總線。在典型的總線中�����,在系統(tǒng)周圍傳送用標(biāo)識(shí)符編碼的消息�,其中標(biāo)識(shí)符被用來(lái)表示接收器應(yīng)該如何將被傳送的數(shù)據(jù)解碼(解碼為例如物理參數(shù))。每個(gè)模塊僅僅作用于具有針對(duì)它感興趣的數(shù)據(jù)的標(biāo)識(shí)符的消息���。協(xié)議控制針對(duì)編碼和時(shí)序兩個(gè)方面如何傳送信號(hào)���,并且控制當(dāng)多個(gè)模塊試圖在同一時(shí)間發(fā)送消息時(shí)如何處理可能的沖突����。其它總線協(xié)議也是可用的-并且對(duì)于任何給定的總線協(xié)議�����,將存在一組定義總線控制器如何與總線對(duì)接的規(guī)則���。
[0006]本發(fā)明不應(yīng)該被解釋為限制到CAN-總線協(xié)議。它可以被解釋為涵蓋利用任何已知的通信標(biāo)準(zhǔn)將車輛中的多個(gè)電子設(shè)備連接在一起的任何其它形式的通信網(wǎng)絡(luò)���,并且可以包括以太網(wǎng)網(wǎng)絡(luò)標(biāo)準(zhǔn)或任何其它新興的局域網(wǎng)技術(shù)����。它甚至可以被擴(kuò)展為涵蓋在其中車輛上的設(shè)備之間的一些通信無(wú)線地發(fā)生的總線和網(wǎng)絡(luò)���。
[0007]術(shù)語(yǔ)“總線”在本申請(qǐng)中以廣泛的意義被使用�,以涵蓋這樣的各種不同的汽車局域通信網(wǎng)絡(luò)�。
[0008]可以使用總線來(lái)互連所有的模塊和設(shè)備。在其它布置中�����,一些設(shè)備可以將信號(hào)直接輸入到控制模塊��,而無(wú)需要總線。例如��,在安全域中����,從諸如照相機(jī)和雷達(dá)之類的多個(gè)源直接接收到的控制模塊數(shù)據(jù)被直接融合。這就不需要讓那些源具有它們自己的網(wǎng)絡(luò)接口設(shè)備����。
[0009]在本說(shuō)明書(shū)中,使用術(shù)語(yǔ)“電氣子系統(tǒng)”來(lái)指代使得模塊能夠向網(wǎng)絡(luò)總線供應(yīng)消息的至少一個(gè)微控制器和網(wǎng)絡(luò)接口設(shè)備���。
[0010]通用控制模塊�����、總線和電氣設(shè)備之間的關(guān)系在圖1中示出��。
[0011]在微控制器有故障的情況下�,確保不正確的信號(hào)不能跨越網(wǎng)絡(luò)總線被發(fā)送是重要的�����。如果允許這發(fā)生����,那么車輛的安全性會(huì)受到危害。
[0012]在現(xiàn)有技術(shù)中�����,已知的是�����,當(dāng)檢測(cè)到故障時(shí)關(guān)閉控制模塊的微控制器��。故障的檢測(cè)通常由故障檢測(cè)單元來(lái)執(zhí)行��,故障檢測(cè)單元可以是微控制器的一部分�,或者可以處于微處理器外部,但是在ECU之內(nèi)�。當(dāng)故障被故障檢測(cè)模塊檢測(cè)到時(shí),它指示微控制器或網(wǎng)絡(luò)接口關(guān)閉�,從而確保網(wǎng)絡(luò)控制器不能跨網(wǎng)絡(luò)總線發(fā)送有故障的信號(hào)。
【發(fā)明內(nèi)容】
[0013]根據(jù)第一方面�,本發(fā)明提供用于車輛的電氣子系統(tǒng),該電氣子系統(tǒng)包括適配于生成適合通過(guò)例如CAN總線的通信網(wǎng)絡(luò)傳輸?shù)囊粋€(gè)或多個(gè)輸出消息的電子控制模塊��,該子系統(tǒng)還包括:
[0014]消息過(guò)濾器��,被布置為在電子控制模塊有故障的情況下過(guò)濾由電子控制模塊生成的消息���,使得只有滿足預(yù)定義標(biāo)準(zhǔn)的消息通過(guò)通信總線被傳送����,并且阻止不滿足那個(gè)標(biāo)準(zhǔn)的消息�。
[0015]消息過(guò)濾器可以被布置為只傳送滿足對(duì)于車輛是非安全關(guān)鍵(non-safety-critical)的標(biāo)準(zhǔn)的消息����。這些標(biāo)準(zhǔn)可以通過(guò)在與過(guò)濾器相關(guān)聯(lián)的存儲(chǔ)器中存儲(chǔ)被認(rèn)為是安全關(guān)鍵的消息類型的列表���,或者被認(rèn)為不是安全關(guān)鍵的消息類型的列表來(lái)預(yù)先確定���。
[0016]例如�,每個(gè)消息可以通過(guò)控制模塊利用指示消息的類型的標(biāo)簽進(jìn)行標(biāo)記�。過(guò)濾器可以在存儲(chǔ)器中查找信息來(lái)確定消息的類型對(duì)于傳送是安全的還是不安全的。例如,它可以參考被認(rèn)為可以傳送的消息標(biāo)識(shí)符的查找表或列表���,并且阻止任何其它的消息標(biāo)識(shí)符�����。另一個(gè)選項(xiàng)可以是查看消息標(biāo)識(shí)符的范圍,其中消息標(biāo)識(shí)符是數(shù)值的���,這與消息標(biāo)識(shí)符的完整列表相比����,需要較少的存儲(chǔ)器。
[0017]過(guò)濾器可以被布置為從診斷系統(tǒng)接收輸入信號(hào)����,該輸入信號(hào)指示電子控制模塊是有故障還是無(wú)故障����。診斷系統(tǒng)可以包括電子控制模塊的一部分。
[0018]過(guò)濾器可以截取由電子控制模塊輸出的消息��,依賴于該模塊在正確地工作還是有故障����,或者阻止消息或者將消息傳送到總線�。
[0019]過(guò)濾器可以是微控制器的一部分,并且可以駐留在控制模塊消息輸出端和被布置為將消息傳遞到通信總線的網(wǎng)絡(luò)接口設(shè)備之間。或者它可以駐留在網(wǎng)絡(luò)接口和網(wǎng)絡(luò)物理層之間。
[0020 ]可替代地����,過(guò)濾器可以是網(wǎng)絡(luò)接口設(shè)備的一部分。
[0021 ]可替代地,在電子控制模塊和過(guò)濾器之間可以存在一對(duì)一的關(guān)系。例如��,在以太網(wǎng)應(yīng)用中,每個(gè)MAC地址可以被分配過(guò)濾器,其中MAC地址被分配給特定的電子控制模塊。
[0022]電子控制模塊可以被適配為從與車輛相關(guān)聯(lián)的一個(gè)或多個(gè)設(shè)備接收輸入信號(hào)����,并且依賴于輸入信號(hào)的值來(lái)產(chǎn)生消息。傳感器可以包括視頻照相機(jī)、雷達(dá)裝置��、超聲傳感器等�����。模塊可以從多于一個(gè)的設(shè)備接收輸入信號(hào)��。當(dāng)它從多于一個(gè)的設(shè)備接收信息時(shí)����,電子控制模塊可以形成安全域電子控制單元(Safety Domain electronic control unit���,SDECU)o
[0023]根據(jù)第二方面,本發(fā)明提供用于在包括電子控制模塊的種類的車輛電氣子系統(tǒng)中使用的消息過(guò)濾器,該電子控制模塊在使用中生成要跨越車輛的網(wǎng)絡(luò)通信總線傳送的多種不同類型的消息,其中消息過(guò)濾器包括:
[0024]用于在消息被饋送到總線之前從模塊接收消息的輸入端,和接收到的消息可以在其處被饋送到總線的輸出端�����,過(guò)濾器被配置為使得在電子控制模塊中出現(xiàn)故障的情況下,過(guò)濾器只將來(lái)自模塊的全部類型的消息中滿足預(yù)定義的標(biāo)準(zhǔn)的子集傳遞到總線���,而當(dāng)沒(méi)有故障時(shí)�����,允許所有的消息傳遞到總線�����。
[0025]過(guò)濾器可以被布置為從故障檢測(cè)單元接收指示模塊是否有故障的信號(hào)�。
[0026]過(guò)濾器可以包括存儲(chǔ)器����,該存儲(chǔ)器存儲(chǔ)指示在存在故障時(shí)哪些類型的消息對(duì)于傳遞是安全的以及哪些類型對(duì)于傳遞到總線是不安全的信息。這可以將該信息存儲(chǔ)為在表中消息類型的列表��,連同指示這些消息類型對(duì)于傳遞是安全的還是不安全的指示符����。
[0027]根據(jù)第三方面��,本發(fā)明提供操作車輛的電氣子系統(tǒng)的方法�����,該車輛是包括用于承載車輛周圍的消息的網(wǎng)絡(luò)通信總線和至少一個(gè)生成通過(guò)總線傳輸?shù)亩喾N不同類型的消息的電子控制模塊的種類的車輛�,該方法包括:
[0028]在電子控制模塊有故障的情況下�,過(guò)濾消息��,使得只有被認(rèn)為是安全的消息的類型的子集通過(guò)總線被傳送�。
[0029]該方法可以利用存儲(chǔ)在存儲(chǔ)器中的信息來(lái)確定消息的類型是否是安全的����。
[0030]該方法還可以包括詢問(wèn)有故障模塊�����,以確定故障的性質(zhì)并且監(jiān)視過(guò)濾器允許傳遞的與詢問(wèn)有關(guān)的消息���。
[0031]因此,該方法可以包括過(guò)濾有故障的模塊��,但是當(dāng)存在故障時(shí)不關(guān)閉該模塊。
[0032]不被認(rèn)為安全的消息類型的例子包括對(duì)引擎�����、轉(zhuǎn)向或剎車致動(dòng)的請(qǐng)求�����。被認(rèn)為安全的消息類型的例子包括診斷消息(例如被廣泛使用的CAN校準(zhǔn)協(xié)議(CCP))��、狀態(tài)消息�����。
【附圖說(shuō)明】
[0033]現(xiàn)在將參考附圖僅以示例的方式描述本發(fā)明的的兩個(gè)實(shí)施例���,附圖中:
[0034]圖1是車輛電氣網(wǎng)絡(luò)的示意圖;
[0035]圖2是形成圖1的車輛的電氣網(wǎng)絡(luò)的一部分的電氣子系統(tǒng)的示意圖�����;
[0036]圖3是用于圖1的網(wǎng)絡(luò)的可替代電氣子系統(tǒng)的不意圖����;
[0037]圖4是用于圖1的網(wǎng)絡(luò)的另一個(gè)可替代電氣子系統(tǒng)的另一個(gè)示意圖���;及
[0038]圖5示出了典型的現(xiàn)有技術(shù)中的控制模塊。
【具體實(shí)施方式】
[0039]如圖1所示����,用于諸如乘用車之類的車