用于汽车总线***的安全装置和方法
技术领域
本发明涉及汽车电路,具体提供一种用于汽车总线***的安全装置和方法。
背景技术
汽车总线***实质上是通过某种通讯协议(如CAN),将汽车内部的各个ECU节点联结起来,从而形成一个汽车内部的局域网络。节点根据自身的传感器信息以及总线上的信息,完成预定的控制功能和动作,如灯光开闭、电机启停等,节点之间的通讯通过总线来实现。每个节点一般由MCU(或DSP等)、接口电路、总线控制器、总线驱动器等构成。迄今为止,汽车上已经出现了多种总线标准,从总线所实现的功能角度分,可分为两类,一类是控制策略驱动的总线,如SAE的J1850、德国大众的ABUS、博世的CAN、ISO11898和ISO11519、美国IBM的AutoCAN、ISO的VAN、马自达的PALMNET、以及用于低速场合的LIN等。另一类是以大量数据传输为目的的多媒体总线,如IDB-C、IDB-1394、MOST、AMIC-C等。
现有技术中已存在多种CAN总线通讯***。这些CAN总线通讯***包括CAN总线和LIN总线以及多条网络通道,各个网络通道之间通过网关连接实现信息共享。然而,这种现有技术存在一些问题。具体而言,当一条总线上的单个模块需要与另一条总线上的模块通信时,都需要先经过自身所在总线传输到网关并经由网关传输给目标模块所在的总线,这样一来,一方面存在安全隐患,另一方面也占用了过多的通信线路。更具体地,当任何一条网线或网关出现故障或被恶意侵入时,两条总线上的不同模块之间的通信就有可能无法进行或者被窃取或篡改。因此,本领域需要一种新的装置来解决这些问题。
发明内容
本发明旨在解决现有技术中的上述问题,即,旨在解决现有汽车总线***在不同总线模块进行通信方面安全性差、效率低下的问题。为此目的,本发明提供一种用于汽车总线***的安全装置,该汽车总线***包括网关和并联到所述网关上的多条总线,每条所述总线上都并联有至少一个模块。所述安全装置设置在所述总线中的至少两条总线之间,用于将一条总线上的模块连接到另一条总线上的模块,并且被所述安全装置连接的每个模块的控制器上都设置有CAN收发器。
在上述安全装置的优选实施方式中,所述总线是CAN总线,并且所述安全装置是SCAN安全总线。
在上述安全装置的优选实施方式中,所述SCAN安全总线将动力总线、车身总线和ADAS总线中的至少两个上的模块互连起来。
在上述安全装置的优选实施方式中,所述动力总线上的被所述SCAN安全总线连接的模块是VCU模块、MCU模块和BMS模块中的至少一个。
在上述安全装置的优选实施方式中,所述车身总线上的被所述SCAN安全总线连接的模块是ESP模块。
在上述安全装置的优选实施方式中,所述ADAS总线上的被所述SCAN安全总线连接的模块是ADAS模块。
根据本发明的另一个方面,提供一种用于提高汽车总线***通信安全性的方法,该汽车总线***包括网关和并联到所述网关上的多条CAN总线,每条所述CAN总线上都并联有至少一个模块,其特征在于,所述方法包括通过SCAN安全总线将所述CAN总线中的一条总线上的模块连接到所述CAN总线中的另一条总线上的模块,并且被所述SCAN总线连接的每个模块的控制器上都设置有CAN收发器。
本领域技术人员容易理解的是,由于不同的CAN总线之间设置有SCAN安全总线,不同总线上的模块可以经由SCAN安全总线直接通信,无需通过自身所在总线和网关,不但避免了因部分CAN总线或者网关出现故障等造成的通信泄漏或通信无法进行的情形,大幅度提高了汽车内部通信的安全性,而且还大幅度节省了通信线路的占用,提高了通信效率。
附图说明
图1是现有技术的汽车总线***的拓扑图。
图2是本发明的汽车总线***的拓扑图。
图3是本发明的汽车总线***中的模块的结构示意图。
图4是本发明的汽车总线***的局部放大图。
具体实施方式
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅用于解释本发明的技术原理,并非旨在限制本发明的保护范围。举例来说,尽管本申请是结合汽车总线***来描述的,但是本领域技术人员容易理解的是,在不偏离本发明的基本原理的情况下,本发明显然可以应用于其他任何类型的车辆电气***。
首先参照图1,该图示出了现有技术的汽车总线***的拓扑图。如图1所示,该汽车总线***包括三条总线,即动力总线、车身总线和ADAS(即高级驾驶辅助***,AdvancedDriverAssistantSystem,简称ADAS)总线。三条总线之间通过网关连接来实现信息共享。如背景技术部分所述,该***存在一些问题。举例来说,当动力总线上的VCU(车辆控制单元)模块需要与车身总线上的ESP(电子稳定程序)模块通信时,必须先经过自身所在的动力总线将信息传输到网关,再经由网关传输给ESP模块所在的车身总线。这样一来,不仅占用了过多的通信线路,而且当动力总线和车身总线中任何一条总线或网关出现故障或被恶意侵入时,VCU模块与ESP模块之间的通信就有可能无法进行或者被窃取或篡改。
下面参阅图2,该图示出了本发明的汽车总线***的拓扑图。如图2所示,本发明的汽车总线***也包括网关和并联到所述网关上的动力总线、车身总线和ADAS总线,每条总线上都并联有至少一个模块。在图2所示的实施方式中,动力总线上连接有VCU模块、MCU(微控制单元)模块、BMS(电池管理***)模块、DCDC(直流变流器)模块以及充电器。VCU模块上还连接有DC充电站。车身总线上连接有ESP模块和EPB(电子驻车)模块。ADAS总线上连接有ADAS总线。应该指出的是,图2中示出的模块的具体内容和数量仅仅是示例性的,本领域技术人员可以根据需要提供不同的、更多的或更少的模块。
继续参阅图2,本发明的汽车总线***的特征在于还包括SCAN安全总线(SecurityCANBus)。作为示例,图2中的SCAN安全总线设置在动力总线、车身总线与ADAS总线之间,用于将一条总线上的模块连接到另一条总线上的模块。在图2的示例性实施方式中,所述动力总线上被所述SCAN安全总线连接的模块包括VCU模块、MCU模块和BMS模块,所述车身总线上被所述SCAN安全总线连接的模块是ESP模块,所述ADAS总线上被所述SCAN安全总线连接的模块是ADAS模块。关于SCAN安全总线,需要指出的是,之所以将该总线命名为“安全总线”,意思是该总线将其他总线上的模块直接相连,避免了因为网关故障而使这些模块之间的通信受到威胁。此外,图2中示出的被SCAN安全总线连接的模块的具体内容和数量仅仅是示例性的,本领域技术人员可以根据具体应用场合的需要来连接不同的、更多的或更少的模块。这并不偏离本发明的基本原理,因此也将落入本发明的保护范围之内。
在图2的基础上,本发明还提供一种汽车总线***,该汽车总线***包括网关和并联到网关上的动力总线、车身总线和ADAS总线,每条总线上都并联有至少一个模块。该总线***的特征在于还包括设置在所述总线中的至少两条总线之间的SCAN安全总线,用于将一条总线上的模块连接到另一条总线上的模块。优选的是,所述总线是CAN总线,所述SCAN安全总线将动力总线、车身总线和ADAS总线中的至少两个上的模块互连起来。此外,本发明还提供一种用于提高汽车总线***的通信安全的方法,该汽车总线***包括网关和并联到网关上的动力总线、车身总线和ADAS总线,每条所述总线上都并联有至少一个模块。该方法的特征在于包括下列步骤:通过SCAN安全总线将所述三条总线中的一条总线上的模块连接到另一条总线上的模块,并且被SCAN总线连接的每个模块的控制器上都设置有CAN收发器。
本领域技术人员能够理解的是,本发明的隔离***为汽车总线***加上了双重保护,如果网关被恶意入侵,总线(动力总线、车身总线或ADAS总线)的信息可能被修改,导致错误及非故意操作。当个别模块检测到错误信息时,会采取设定的安全行动。如果发生在前后电机控制***,控制器可能会停止电机输出,防止意外发生。这种非故意操作会导致驾驶员的安全危险,此时隔离***可保护重要信息传递时不被影响。将重要的模块连接到所述SCAN安全总线,重要信息不被影响并且防止非用户(黑客)控制模块,控制和操作个别模块必须有该CAN通信协议定位才能对各模块进行正确指令和控制。
此外,在CAN通信里设有信息发送优先级,已设的优先数值将不能改动,数值越小就享有越高的优先顺位,将重要的模块连接到所述SCAN安全总线,能够分担动力总线、车身总线或ADAS总线的负载率,同时降低信息需经由网关转发到指定模块的延迟率。再者,所述SCAN安全总线还能提高***的稳定性,可以指定个别模块工作,而其他模块则可进入省电模式,令整个***更节省能源。例如,DC充电站可以只唤醒VCU模块,其他模块保持睡眠状态。
图3是本发明的汽车总线***中的模块的结构示意图。如图3所示,本发明的每个模块的控制器都设置有CAN收发器。与设置独立的CAN控制器的模块相比,本发明的这种设置可以使不同总线上的模块通过所述SCAN安全总线进行通信,还可以节省输出输入口资源,简化电路结构。
最后参阅图4,该图是本发明的汽车总线***的局部放大图。如图4所示,根据本发明的技术方案,上下游信号都分别标定在CAN通信协议里,上游信息持有ID2而下游信息持有ID1,两条信息都在CAN总线上拥有最高优先值,所以不会因为CAN总线被更高优先值的信号占用而导致无法通信,两面可以同时发送重要信息,降低总线负载和减低延迟率。再者,延迟率可能因CAN通信里的错误帧导致,当信息发送错误时,***会进入错误计数过程,发送错误计数器会迭加,一直到该模块关闭(BusOff),直到BusOff前特定总线会一直被占用而导致其他模块无法使用。但是,根据本发明的技术方案,如果动力总线因错误计数而被占用,汽车控制单元(VCU)可经由所述SCAN安全总线传递紧急故障指令,保障驾驶者安全。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征作出等同的修改或替换,这些修改或替换之后的技术方案都将落入本发明的保护范围之内。