CN115016426A - fail-safe失效安全系统,方法,储存器及汽车 - Google Patents
fail-safe失效安全系统,方法,储存器及汽车 Download PDFInfo
- Publication number
- CN115016426A CN115016426A CN202210534208.6A CN202210534208A CN115016426A CN 115016426 A CN115016426 A CN 115016426A CN 202210534208 A CN202210534208 A CN 202210534208A CN 115016426 A CN115016426 A CN 115016426A
- Authority
- CN
- China
- Prior art keywords
- processing module
- data
- fail
- safe
- buses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000001514 detection method Methods 0.000 claims abstract description 84
- 238000012545 processing Methods 0.000 claims abstract description 79
- 238000006243 chemical reaction Methods 0.000 claims abstract description 30
- 230000004913 activation Effects 0.000 claims description 29
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 9
- 239000004065 semiconductor Substances 0.000 claims description 7
- 238000004891 communication Methods 0.000 abstract description 13
- 230000005856 abnormality Effects 0.000 abstract description 8
- 230000007246 mechanism Effects 0.000 abstract description 4
- 230000030279 gene silencing Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种fail‑safe失效安全系统,方法,储存器及汽车,分别设置第一处理模块和第二处理模块,用于对车辆系统分别进行第一安全层级检测和第二安全层级检测,同时,进一步设置转换电路用于控制关断通道,当发生异常时通过关断通道切断车身CAN单元的通讯,并通过反馈通道,向所述第二处理模块反馈关断状态为已成功关断,从而确保每一个环节的故障和故障处理机制都能有效被监管,在发生异常时能及时让车身CAN通信实现Fail‑Safe的静默要求,最终保障系统信息的有效性和驾驶的安全性。
Description
技术领域
本发明涉及驾驶辅助或智能驾驶技术领域,尤其是涉及一种fail-safe失效安全系统,方法,储存器及汽车。
背景技术
伴随车联网技术和自动驾驶技术的发展,对汽车网络通信技术提出了新的要求。车载网络也由动力系统,逐渐发展到信息娱乐、汽车辅助驾驶和安全系统等多种系统。同时,车载网络和与之相连的设备都需要通过外部接口进行诊断和维护,而这需要基于共享的高带宽网络通信技术支持。由于以太网具有技术成熟、高带宽和高性价比等特点,其在汽车中的使用率正在不断攀升。随之而来的是网络通信协议和网关的安全问题,黑客可以针对协议和网关发起一系列攻击,并有可能将这样的攻击蔓延到汽车内部的 ECU(电控单元)。不法分子可以通过截获车联网通信中的加密数据,解密后获取车辆行驶状态数据,也可以入侵到汽车内部ECU,发送非法指令,远程操控汽车。例如,特斯拉汽车已经频频爆出漏洞,黑客可以远程操控汽车,进行解锁、开窗、打开后备箱,甚至在低速行驶状态下将汽车熄火。美国DARPA研究中心也发现美国通用公司安吉星 OnStart系统存在漏洞,导致黑客可以利用它来远程操控汽车。
在本领域中,Fail-safe失效安全和Fail-Operational失效可操作是针对系统故障提出的两种不同的概念,被广泛应用于指导系统架构的开发,也形成了一系列被广泛认可的安全领域架构设计参考。但是,作为汽车行业功能安全标准的ISO 26262(GB/T 34590)中都没有对Fail-safe有更多的阐述或指导。所以安全标准中并没有深入或关于如何满足相关功能安全活动要求的描述。在ASIL C或ASIL D安全要求的驾驶辅助或智能驾驶中就很难满足功能安全要求,设计缺乏有效监控处理器随机硬件失效的安全措施,当处理器监测到自身失效导致违反安全目标时,没有有效的故障处理通道,发送的安全状态报文仍然存在失效导致发送错误的报文信息,无法让Vehicle识别ECU处于安全状态。
发明内容
针对上述技术问题,本发明提出一种fail-safe失效安全系统,方法,储存器及汽车,主要应用于ASIL C或ASIL D以上功能安全要求的Fail-Safe架构,实现车载系统的安全检测。
为了实现上述目的,本发明公开的第一方面提供一种fail-safe失效安全系统,应用于车辆,所述车辆包括控制器局域网络用的一条或多条CAN总线,连接到所述一条或多条CAN总线上的多个电子控制单元,以及与所述一条或多条CAN总线连接的第一网关,具体的:
所述系统至少包括:设置在所述多个电子控制单元与所述一条或多条CAN总线间的第一处理模块,及分别与第一处理模块连接的第二处理模块和转换电路;其中:
所述第一处理模块,用于对所述多个电子控制单元的待发送数据报文进行第一安全层级检测后,将数据报文发送至所述一条或多条CAN总线,以通过所述第一网关发送至外部设备。
所述第二处理模块,用于对所述第一处理模块端的待发送数据报文进行第二安全层级检测。
所述转换电路根据所述第一安全层级检测和/或第二安全层级检测结果控制所述系统进入安全模式。
在一个实施例中,所述系统还包括一个或多个CAN总线接口,所述一个或多个CAN总线接口分别与所述一条或多条CAN总线连接。
在一个实施例中,所述系统还包括数据获取单元,用于获取所述多个电子控制单元的数据报文。
在一个实施例中,所述第一处理模块还用于,将所述待发送数据报文按照预设报文路由表转换将以太网报文转换为CAN报文后,通过车身CAN发送至外部设备。
本发明所述的第一处理模块,至少包括:第一错误检测单元,第一异常报警单元和外部看门狗单元。
第一错误检测单元,通过内置的硬件和软件诊断措施,对安全关键功能模块进行检测,将检测结果为安全的数据存储于第一数据集合,将检测结果为不安全的数据存储于第二数据集合,并触发第一异常报警单元向所述转换电路发送第一激活信号。
本发明所述的第二处理模块,具体包括:第二错误检测单元,第二异常报警单元和看门狗单元;
所述看门狗单元响应于所述外部看门狗单元,用于检测所述第一处理模块是否出现程序性异常,若异常,则向所述第一处理模块发送中断信号和复位指令;否则,持续与所述所述外部看门狗单元交互。
第二错误检测单元,对所述第二数据集合进行第二安全层级检测,当发现不安全的数据时,触发第二异常报警单元向所述转换电路发送第二激活信号。
其中,所述第二异常报警单元接收到来自第一异常报警单元的异常报警,向所述转换电路发送第二激活信号。
进一步的,本发明所述的转换电路,至少包括:当接收到第一激活信号和/或第二激活信号时,控制关断通道为关断状态,所述一条或多条CAN总线不再接收数据报文,并通过反馈通道,向所述第二处理模块反馈关断状态为已成功关断;否则,关断通道为常开通状态,所述一条或多条CAN总线持续接收数据报文。
本发明公开的第二方面提供一种fail-safe失效安全方法,包括以下步骤:
S1:获取多个电子控制单元当前待发送数据报文;
S2:通过第一处理模块对所述待发送数据报文进行第一安全层级检测,将数据报文发送至所述一条或多条CAN总线,以通过所述第一网关发送至外部设备;通过第二处理模块对所述第一处理模块端的待发送数据报文进行第二安全层级检测;
S3:通过转换电路根据所述第一安全层级检测和/或第二安全层级检测结果控制所述系统进入安全模式。
其中,所述S2还包括:
S21:所述第一处理模块将检测结果为安全的数据存储于第一数据集合,将检测结果为不安全的数据存储于第二数据集合,并触发第一异常报警单元向所述转换电路发送第一激活信号;
S22:所述第二处理模块对所述第二数据集合进行第二安全层级检测,当发现不安全的数据时,触发第二异常报警单元向所述转换电路发送第二激活信号。
进一步的,所述S3还包括:当接收到第一激活信号和/或第二激活信号时,控制关断通道为关断状态,所述一条或多条CAN总线不再接收数据报文,并通过反馈通道,向所述第二处理模块反馈关断状态为已成功关断,所述第二处理模块接收到反馈后,向所述第一处理模块发送中断信号和复位指令;否则,关断通道为常开通状态,所述一条或多条CAN总线持续接收数据报文。
本发明公开的第三方面提供一种储存器,其上存储有计算机程序,还包括:
非易失性的半导体存储元件,用于读取车辆系统多个电子控制单元当前待发送数据报文;
错误检测电路,通过处理电路调用所述计算机程序执行并实现如上所述方法的步骤;
数据分配电路,对从所述非易失性的半导体存储元件读取的数据按每一处理单位进行安全检测后,将数据报文发送至一条或多条CAN总线,以通过所述第一网关发送至外部设备。
本发明公开的第四方面提供一种汽车,所述汽车包括如上所述的一种实现功能安全fail-safe的系统,所述系统嵌入式安装于汽车系统终端;或所述汽车包括如上所述的储存器,所述储存器至少安装于任一汽车端,或ECU的MCU或SoC端。
通过上述技术方案,通过对所述当前待发送数据报文进行第一安全层级检测和第二安全层级检测,并设置转换电路根据所述第一安全层级检测和/或第二安全层级检测结果控制所述系统进入安全模式,从而实现将待发送数据报文发送给外部设备,不会加大B-CAN网络负载,保证车辆系统的稳定性和车辆安全性。
综上所述,本发明提供一种fail-safe失效安全系统,方法,储存器及汽车,分别设置第一处理模块和第二处理模块,用于对车辆系统分别进行第一安全层级检测和第二安全层级检测,同时,进一步设置转换电路用于控制关断通道,当发生异常时通过关断通道切断车身CAN单元的通讯,并通过反馈通道,向所述第二处理模块反馈关断状态为已成功关断,从而确保每一个环节的故障和故障处理机制都能有效被监管,在发生异常时能及时让车身CAN通信实现Fail-Safe的静默要求,最终保障系统信息的有效性和驾驶的安全性。
本发明公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为本发明所述现有的实现功能安全fail-safe方式。
图2为本发明所述的一种一种fail-safe失效安全系统示意图。
图3为本发明所述的一种fail-safe失效安全方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,是早期ECU检测到系统有违反安全目标让系统转移到安全状态的一种方式,通常由Processor通过Vehicle CAN发送当前系统处于安全状态的报文给Vehicle,然后ECU主动关闭通信实现Fail-Safe的静默要求。
本发明在图1在基础上,本发明进行了改进,在上述架构基础上,增加了外部监视装置和转换电路逻辑单元。在外部监视装置的内部集成硬件看门狗单元能够有效诊断处理时钟系统失效和程序序列的时间和逻辑失效。同时提供错误反馈处理单元,当处理模块发现自身故障时,能够通过转换电路实现系统Fail-Safe失效安全。
其中, 采用安全失败机制的集合容器,在遍历时不是直接在集合内容上访问的,而是先复制原有集合内容,在拷贝的集合上进行遍历。由于迭代时是对原集合的拷贝进行遍历,所以在遍历过程中对原集合所作的修改并不能被迭代器检测到,所以不会触发异常报警。
具体的,如图2所示,本发明采用的一种fail-safe失效安全系统,主要应用于车辆,所述车辆包括控制器局域网络用的一条或多条CAN总线,连接到所述一条或多条CAN总线上的多个电子控制单元,以及与所述一条或多条CAN总线连接的第一网关。
本发明所述的一种fail-safe失效安全系统,具体包括:
第一处理模块,用于对车辆系统进行第一安全层级检测,并实时向车身CAN发送CAN消息,通过车身CAN与外部车联网进行通讯连接;
第二处理模块,用于监测所述第一处理模块,进行第二安全层级检测;
转换电路,一端分别连接所述第一处理模块和第二处理模块,另一端通过关断通道与所述车身CAN连接。
优选的,车载系统端的多个电子控制单元通过低速CAN总线,例如,LIN(LocalInterconnect Network,串行通讯网络总线,数据传输速率为19.2Kbit/s,与雨量/光照传感器和防夹门窗电机连接,实现对雨量/光照传感器和防夹门窗电机的控制和数据获取,但不限于此。
优选的,上述车身CAN与外部车联网进行通讯连接用于实现车辆与车辆、车辆与基站、基站与基站之间的通信。
其中,所述第一处理模块,包括:第一错误检测单元,第一异常报警单元和外部看门狗单元。
所述第一错误检测单元,通过内置的硬件和软件诊断措施,对安全关键功能模块进行检测,将检测结果为安全的数据存储于第一数据集合,将检测结果为不安全的数据存储于第二数据集合,并触发第一异常报警单元向所述转换电路发送第一激活信号。
进一步的,所述第二处理模块,包括:第二错误检测单元,第二异常报警单元和看门狗单元。
所述看门狗单元响应于所述外部看门狗单元,用于检测所述第一处理模块是否出现程序性异常,若异常,则向所述第一处理模块发送中断信号和复位指令;否则,持续与所述所述外部看门狗单元交互。
优选的,看门狗单元对第一处理模块的时钟系统和程序序列的时间和逻辑进行失效诊断。
第二错误检测单元,对所述第二数据集合进行第二安全层级检测,当发现不安全的数据时,触发第二异常报警单元向所述转换电路发送第二激活信号。
进一步的,所述第二异常报警单元接收到来自第一异常报警单元的异常报警,向所述转换电路发送第二激活信号。
其中,所述转换电路,用于监控关断通道是否存在卡滞故障,确保转换电路在第一激活信号和/或第二激活信号时,能及时保证车身CAN端不再接收数据,车载系统进入静默状态,保证系统的安全性。
具体的,所述转换电路包括:当所述转换电路接收到第一激活信号和/或第二激活信号时,控制关断通道为关断状态,所述一条或多条CAN总线不再接收数据报文,并通过反馈通道,向所述第二处理模块反馈关断通道当前状态。
其中,所述第一安全层级检测采用预先设置和调试好的程序任务,每一程序任务对应有多条汇编指令,在程序任务执行时,可至少用于ROM和RAM校验,CPU和各外设关键寄存器配置校验,ADC PWM输入输出信号测试和校验,CPU指令集测试,和ASIC匹配的通信和应答机机制,但不限于此。进一步的,第二安全层级检测则用于对第一安全层级检测进行有效监控,其中,第一安全层级检测和第二安全层级检测均通过预先设置好的程序对特定的单元进行安全性检测。
本发明中所述的第一错误检测单元和第二错误检测单元对待发送数据报文进行解析,以及对数据报文进行判别和匹配,对数据报文的内容进行安全性检测和控制,抵御应用层的电子控制单元各种攻击威胁。参见表1为本公开一实施例,第一错误检测单元和第二错误检测单元检测到的威胁:
序号 | 车辆内外威胁 | 描述 |
1 | 错误帧干扰 | 待发送数据报文出现错误帧 |
2 | 信号总量异常 | 信息变化量超出阈值 |
3 | 异常事件 | 非法或坏损数据包/异常流量 |
4 | 数据篡改 | Can报文超出预期范围 |
5 | 关键位置数据篡改 | 敏感数据丢失或非法访问 |
6 | Can指令来源合法性 | 数据指令源ECU身份验证 |
7 | Can指令频率异常 | 监控can指令是否超出频率预期 |
作为另一优选的,本发明还提供了一种fail-safe失效安全方法,包括以下步骤:
S1:获取多个电子控制单元当前待发送数据报文。
S2:通过第一处理模块对所述待发送数据报文进行第一安全层级检测,将数据报文发送至所述一条或多条CAN总线,以通过所述第一网关发送至外部设备;通过第二处理模块对所述第一处理模块端的待发送数据报文进行第二安全层级检测。
S3:通过转换电路根据所述第一安全层级检测和/或第二安全层级检测结果控制所述系统进入安全模式。
其中,所述S2还包括:
S21:所述第一处理模块将检测结果为安全的数据存储于第一数据集合,将检测结果为不安全的数据存储于第二数据集合,并触发第一异常报警单元向所述转换电路发送第一激活信号;
S22:所述第二处理模块对所述第二数据集合进行第二安全层级检测,当发现不安全的数据时,触发第二异常报警单元向所述转换电路发送第二激活信号。
进一步的,所述S3还包括:当接收到第一激活信号和/或第二激活信号时,控制关断通道为关断状态,所述一条或多条CAN总线不再接收数据报文,并通过反馈通道,向所述第二处理模块反馈关断状态为已成功关断,所述第二处理模块接收到反馈后,向所述第一处理模块发送中断信号和复位指令;否则,关断通道为常开通状态,所述一条或多条CAN总线持续接收数据报文。
作为另一优选的,发明还提供了一种储存器,其上存储有计算机程序,还包括:
非易失性的半导体存储元件,用于读取车辆系统多个电子控制单元当前待发送数据报文;
错误检测电路,通过处理电路调用所述计算机程序执行并实现如上所述方法的步骤;
数据分配电路,对从所述非易失性的半导体存储元件读取的数据按每一处理单位进行安全检测后,将数据报文发送至一条或多条CAN总线,以通过所述第一网关发送至外部设备。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非易失性的半导体存储元件上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取多个电子控制单元当前待发送数据报文;通过第一处理模块对所述待发送数据报文进行第一安全层级检测,将数据报文发送至所述一条或多条CAN总线,以通过所述第一网关发送至外部设备;通过第二处理模块对所述第一处理模块端的待发送数据报文进行第二安全层级检测;通过转换电路根据所述第一安全层级检测和/或第二安全层级检测结果控制所述系统进入安全模式。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
作为另一优选的,发明还提供了一种汽车,所述汽车包括如上所述的一种实现功能安全fail-safe的系统,所述系统嵌入式安装于汽车系统终端;或所述汽车包括如上所述的储存器,所述储存器至少安装于任一汽车端,或ECU的MCU或SoC端。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种fail-safe失效安全系统,应用于车辆,所述车辆包括控制器局域网络用的一条或多条CAN总线,连接到所述一条或多条CAN总线上的多个电子控制单元,以及与所述一条或多条CAN总线连接的第一网关,其特征在于,所述系统至少包括:设置在所述多个电子控制单元与所述一条或多条CAN总线间的第一处理模块,及分别与第一处理模块连接的第二处理模块和转换电路;其中,
所述第一处理模块,用于对所述多个电子控制单元的待发送数据报文进行第一安全层级检测后,将数据报文发送至所述一条或多条CAN总线,以通过所述第一网关发送至外部设备;
所述第二处理模块,用于对所述第一处理模块端的待发送数据报文进行第二安全层级检测;
所述转换电路根据所述第一安全层级检测和/或第二安全层级检测结果控制所述系统进入安全模式。
2.根据权利要求1所述的一种fail-safe失效安全系统,其特征在于,所述第一处理模块,包括:第一错误检测单元,第一异常报警单元和外部看门狗单元;
所述第一错误检测单元,通过内置的硬件和软件诊断措施,对安全关键功能模块进行检测,将检测结果为安全的数据存储于第一数据集合,将检测结果为不安全的数据存储于第二数据集合,并触发第一异常报警单元向所述转换电路发送第一激活信号。
3.根据权利要求2所述的一种fail-safe失效安全系统,其特征在于,所述第二处理模块,包括:第二错误检测单元,第二异常报警单元和看门狗单元;
所述看门狗单元响应于所述外部看门狗单元,用于检测所述第一处理模块是否出现程序性异常,若异常,则向所述第一处理模块发送中断信号和复位指令;否则,持续与所述所述外部看门狗单元交互;
第二错误检测单元,对所述第二数据集合进行第二安全层级检测,当发现不安全的数据时,触发第二异常报警单元向所述转换电路发送第二激活信号。
4.根据权利要求3所述的一种fail-safe失效安全系统,其特征在于,还包括:所述第二异常报警单元接收到来自第一异常报警单元的异常报警,向所述转换电路发送第二激活信号。
5.根据权利要求4所述的一种fail-safe失效安全系统,其特征在于,所述转换电路,包括:当接收到第一激活信号和/或第二激活信号时,控制关断通道为关断状态,所述一条或多条CAN总线不再接收数据报文,并通过反馈通道,向所述第二处理模块反馈关断状态为已成功关断;否则,关断通道为常开通状态,所述一条或多条CAN总线持续接收数据报文。
6.一种fail-safe失效安全方法,其特征在于,包括步骤:
S1:获取多个电子控制单元当前待发送数据报文;
S2:通过第一处理模块对所述待发送数据报文进行第一安全层级检测,将数据报文发送至所述一条或多条CAN总线,以通过所述第一网关发送至外部设备;通过第二处理模块对所述第一处理模块端的待发送数据报文进行第二安全层级检测;
S3:通过转换电路根据所述第一安全层级检测和/或第二安全层级检测结果控制所述系统进入安全模式。
7.根据权利要求6所述的一种fail-safe失效安全方法,其特征在于,所述S2还包括:
S21:所述第一处理模块将检测结果为安全的数据存储于第一数据集合,将检测结果为不安全的数据存储于第二数据集合,并触发第一异常报警单元向所述转换电路发送第一激活信号;
S22:所述第二处理模块对所述第二数据集合进行第二安全层级检测,当发现不安全的数据时,触发第二异常报警单元向所述转换电路发送第二激活信号。
8.根据权利要求6所述的一种fail-safe失效安全方法,其特征在于,所述S3还包括:当接收到第一激活信号和/或第二激活信号时,控制关断通道为关断状态,所述一条或多条CAN总线不再接收数据报文,并通过反馈通道,向所述第二处理模块反馈关断状态为已成功关断,所述第二处理模块接收到反馈后,向所述第一处理模块发送中断信号和复位指令;否则,关断通道为常开通状态,所述一条或多条CAN总线持续接收数据报文。
9.一种储存器,其特征在于,其上存储有计算机程序,还包括:
非易失性的半导体存储元件,用于读取车辆系统多个电子控制单元当前待发送数据报文;
错误检测电路,通过处理电路调用所述计算机程序执行并实现权利要求6-8任一项所述方法的步骤;
数据分配电路,对从所述非易失性的半导体存储元件读取的数据按每一处理单位进行安全检测后,将数据报文发送至一条或多条CAN总线,以通过所述第一网关发送至外部设备。
10.一种汽车,其特征在于,所述汽车包括权利要求1-5任一所述的系统,所述系统嵌入式安装于汽车系统终端;或所述汽车包括权利要求9所述的储存器,所述储存器至少安装于任一汽车端,或ECU的MCU或SoC端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210534208.6A CN115016426A (zh) | 2022-05-17 | 2022-05-17 | fail-safe失效安全系统,方法,储存器及汽车 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210534208.6A CN115016426A (zh) | 2022-05-17 | 2022-05-17 | fail-safe失效安全系统,方法,储存器及汽车 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115016426A true CN115016426A (zh) | 2022-09-06 |
Family
ID=83068785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210534208.6A Pending CN115016426A (zh) | 2022-05-17 | 2022-05-17 | fail-safe失效安全系统,方法,储存器及汽车 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115016426A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118101537A (zh) * | 2024-04-25 | 2024-05-28 | 北京芯驰半导体科技股份有限公司 | 一种网关监测方法、装置、系统级芯片及电子设备 |
-
2022
- 2022-05-17 CN CN202210534208.6A patent/CN115016426A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118101537A (zh) * | 2024-04-25 | 2024-05-28 | 北京芯驰半导体科技股份有限公司 | 一种网关监测方法、装置、系统级芯片及电子设备 |
CN118101537B (zh) * | 2024-04-25 | 2024-08-27 | 北京芯驰半导体科技股份有限公司 | 一种网关监测方法、装置、系统级芯片及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Palanca et al. | A stealth, selective, link-layer denial-of-service attack against automotive networks | |
CN109495439B (zh) | 用于车内网络入侵检测的系统和方法 | |
US10440120B2 (en) | System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network | |
CN110324301B (zh) | 生成用于阻止对车辆的计算机攻击的规则的系统和方法 | |
JP6585019B2 (ja) | ネットワーク監視装置、ネットワークシステムおよびプログラム | |
JP6594732B2 (ja) | 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
CN110324219B (zh) | 阻断对运输工具的计算机攻击的系统和方法 | |
US10142358B1 (en) | System and method for identifying an invalid packet on a controller area network (CAN) bus | |
KR102642875B1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
US10404709B2 (en) | Security gateway module for on-board diagnostics port of a vehicle | |
US11522878B2 (en) | Can communication based hacking attack detection method and system | |
CN111448787B (zh) | 用于提供安全的车载网络的系统及方法 | |
US11190299B2 (en) | Ethernet communication apparatus, and method for recovering error of end node and switch in vehicle | |
CN109104352B (zh) | 车辆网络操作协议和方法 | |
US20220247772A1 (en) | Attack monitoring center apparatus and attack monitoring terminal apparatus | |
US20230087311A1 (en) | System and method for detection and prevention of cyber attacks at in-vehicle networks | |
Lee et al. | TTIDS: Transmission-resuming time-based intrusion detection system for controller area network (CAN) | |
CN115016426A (zh) | fail-safe失效安全系统,方法,储存器及汽车 | |
US11713058B2 (en) | Vehicle control system, attack judging method, and recording medium on which program is recorded | |
US11444922B2 (en) | System for detecting control device security malfunctions | |
Campo et al. | Real-Time Network Defense of SAE J1939 Address Claim Attacks | |
JP6913869B2 (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
CN113169966A (zh) | 用于监控数据传输系统的方法、数据传输系统和机动车 | |
CN114545888B (zh) | 一种端对端的故障诊断方法和装置 | |
KR20220023213A (ko) | 차량의 can 제어 장치 및 그 동작 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |