CN117749555A - 控制器区域网络系统和用于系统的方法 - Google Patents
控制器区域网络系统和用于系统的方法 Download PDFInfo
- Publication number
- CN117749555A CN117749555A CN202311021234.XA CN202311021234A CN117749555A CN 117749555 A CN117749555 A CN 117749555A CN 202311021234 A CN202311021234 A CN 202311021234A CN 117749555 A CN117749555 A CN 117749555A
- Authority
- CN
- China
- Prior art keywords
- bus
- message
- signal
- txd
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 17
- 230000004044 response Effects 0.000 claims abstract description 81
- 238000012360 testing method Methods 0.000 claims abstract description 61
- 238000012806 monitoring device Methods 0.000 claims abstract description 51
- 238000012545 processing Methods 0.000 claims description 68
- 230000005540 biological transmission Effects 0.000 claims description 11
- 239000007788 liquid Substances 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 230000009849 deactivation Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
Abstract
本发明涉及一种控制器区域网络CAN系统,其包括:第一CAN装置,以及监控装置;其中第一CAN装置被配置成在第一CAN总线接口处经由第一传输器基于第一TXD消息而产生第一CAN总线信号,以使得第一CAN总线信号表示第一TXD消息的至少第一部分;其中如果第一比较的结果指示第一识别符不对应于至少一个第一参考标签中的任一第一参考标签,那么第一控制单元被配置成使第一CAN总线信号对第一TXD消息的表示失效并且防止在预定第一中断时间内在第一CAN总线接口处由第一CAN装置产生CAN总线信号,并且其中监控装置被配置成经由CAN总线网络从第二CAN装置接收指令消息,并且响应于指令消息而测试耦合到CAN总线网络的任何CAN装置的可达性。
Description
技术领域
本公开涉及控制器区域网络CAN系统和用于CAN系统的方法。
背景技术
CAN总线可以用于车辆内通信,特别是用于汽车内通信。应了解,CAN总线还具有在汽车领域之外的应用。CAN总线网络可以包括多个总线装置、所谓的节点或电子控制单元(ECU),例如引擎控制模块(ECM)、传动系控制模块(PCM)、安全气囊、防抱死刹车、定速巡航、电动助力转向、音频系统、车窗、车门、后视镜调整、用于混合动力/电动汽车的电池和再充电系统等。CAN协议用于实现各种总线装置之间的通信。CAN协议的数据链路层被标准化为国际标准组织(ISO)11898-1:2003。作为标准化CAN数据链路层协议的扩展并同时集成到ISO11898-1:2015标准中的CAN灵活数据速率或“CAN FD”可提供更高的数据速率。标准化CAN数据链路层协议正被进一步扩展以提供甚至更高的数据速率。其中新级别方案允许甚至更高数据速率的称作CANXL的进一步扩展处于根据CiA610(自动化中的CAN)论述的定义阶段,并且正在以进一步更新的现有ISO11898标准或新标准的形式朝着标准化方向发展。
发明内容
提供本发明内容是为了以简化形式引入在下文的具体实施方式中进一步描述的概念的选择。此发明内容并非旨在标识所要求保护的主题的关键特征或基本特征,也并非旨在用于限制所要求保护的主题的范围。
在所附权利要求书中限定本公开的各方面。
根据本公开的第一方面,提供一种控制器区域网络CAN系统。所述CAN系统包括:第一CAN装置,以及监控装置,其中所述第一CAN装置包括第一传输数据TXD接口、第一传输器、第一CAN总线接口和第一控制单元;其中所述第一控制单元被配置成从第一TXD消息读出第一识别符,且将所述第一识别符与至少一个第一参考标签进行比较,作为第一比较;其中所述第一CAN装置被配置成在所述第一CAN总线接口处经由所述第一传输器基于所述第一TXD消息而产生第一CAN总线信号,以使得所述第一CAN总线信号表示所述第一TXD消息的至少第一部分;其中如果所述第一比较的结果指示所述第一识别符不对应于所述至少一个第一参考标签中的任一第一参考标签,那么所述第一控制单元被配置成使所述第一CAN总线信号对所述第一TXD消息的表示失效并且防止在预定第一中断时间内在所述第一CAN总线接口处由所述第一CAN装置产生(优选地另外的)CAN总线信号,并且其中所述监控装置被配置成经由CAN总线网络从第二CAN装置接收指令消息,并且响应于所述指令消息而测试耦合到所述CAN总线网络的任何CAN装置的可达性。
在一个或多个实施例中,所述CAN系统包括所述CAN总线网络。
在一个或多个实施例中,所述CAN系统包括所述第二CAN装置。
在一个或多个实施例中,所述第二CAN装置包括第二传输器、第二接收器、第二CAN总线接口和第二处理单元,其中所述第二接收器直接或间接耦合到所述第二CAN总线接口以接收所述第一CAN总线信号,其中所述第二接收器被配置成基于所述第一CAN总线信号而将第二RXD信号传输到所述第二处理单元,其中所述第二RXD信号表示第二RXD消息的至少第一部分,其中所述第二RXD消息的所述第一部分包括所述第一TXD消息的所述第一识别符,其中所述第二处理单元被配置成从所述第二RXD消息的所述第一部分读取所述第一识别符,且将所述第一识别符与第二参考标签进行比较,作为第二比较,
其中如果所述第二比较的结果指示所述第一识别符对应于所述第二参考标签,那么所述第二处理单元进一步被配置成控制所述第二传输器以通过所述第二传输器产生表示所述指令消息的第二CAN总线信号,所述指令消息指示所述第一识别符的未经准许使用。
在一个或多个实施例中,所述监控装置被配置成仅仅在所述指令消息直接或间接表示识别符和/或被入侵的网络装置和/或被入侵的网络节点的未经准许使用时才响应于所接收的指令消息而测试耦合到所述CAN总线网络的任何CAN装置的所述可达性。
在一个或多个实施例中,所述监控装置包括第三CAN总线接口、第三接收器、第三传输器和第三处理单元,其中所述第三接收器直接或间接耦合到所述第三CAN总线接口以接收所述第二CAN总线信号,其中所述第三接收器进一步被配置成基于所述第二CAN总线信号而将第三RXD信号传输到所述第三处理单元,所述第三RXD信号表示所述指令消息,其中所述第三处理单元被配置成通过响应于所述所接收的指令消息而控制所述第三传输器来起始对耦合到所述CAN总线网络的所述CAN装置的可达性测试,以使得针对每一CAN装置而在所述第三CAN总线接口处通过所述第三传输器产生CAN总线测试信号,其中每一CAN总线测试信号表示向所述监控装置发送响应消息的请求。
在一个或多个实施例中,所述第一CAN装置的所述第一控制单元被配置成防止在所述第一中断时间期间经由所述第一CAN总线接口接收CAN总线信号。
在一个或多个实施例中,所述第一CAN装置的所述第一控制单元被配置成在所述第一中断时间期间中断所述第一CAN总线接口与所述第一CAN装置的第一接收器之间的信号连接。
在一个或多个实施例中,所述第一CAN装置的所述第一控制单元被配置成在所述第一中断时间期间停用所述第一接收器。
在一个或多个实施例中,所述第一CAN装置的所述第一控制单元被配置成防止在所述第一中断时间期间经由所述第一CAN总线接口传输CAN总线信号。
在一个或多个实施例中,所述第一控制单元被配置成在所述第一中断时间期间中断所述第一传输器与所述第一CAN总线接口之间的信号连接。
在一个或多个实施例中,所述第一控制单元被配置成在所述第一中断时间期间停用所述第一传输器。
在一个或多个实施例中,所述第一中断时间被预定义为在所述第一中断时间期间发送所述CAN总线测试信号和/或响应消息。
在所述CAN系统的一个或多个实施例中,其中如果经由相关联的CAN总线接口和相关联的接收器接收到所述CAN总线测试信号,那么每一CAN装置被配置成基于所述相关联的接收器处的所述CAN总线测试信号而产生数字RXD测试信号;其中如果由所述相关联的接收器产生所述RXD测试信号,那么每一CAN装置被配置成读出响应请求;其中如果读出所述响应请求并且如果未停用相应CAN装置的传输器,那么每一CAN装置被配置成驱动所述传输器以用于产生表示响应消息的CAN总线响应信号,所述响应消息直接或间接指示所述相应CAN装置;其中如果相关联的传输器与所述相关联的CAN总线接口之间的所述信号连接不中断,那么每一CAN装置被配置成传输由所述相关联的传输器经由所述相关联的CAN总线接口产生的所述CAN总线响应信号;其中所述监控装置被配置成接收由所述指令消息引起的所述CAN总线响应信号,从而产生表示所述响应消息的数字RXD响应信号;并且其中所述第三处理单元被配置成基于所接收的响应消息而识别可能为恶意的CAN装置。
根据本公开的第二方面,提供一种用于控制器区域网络CAN系统的方法,其中所述CAN系统包括第一CAN装置和监控装置,其中所述第一CAN装置包括第一传输数据TXD接口、第一传输器、第一CAN总线接口和第一控制单元,并且其中所述方法包括以下步骤:a)所述第一控制单元从第一TXD消息读出第一识别符;b)将所述第一识别符与至少第一参考标签进行比较,作为第一比较;c)所述第一传输器基于所述第一TXD消息而经由所述第一CAN总线接口产生第一CAN总线信号,以使得所述第一CAN总线信号表示所述第一TXD消息的至少第一部分;d)如果步骤b)的所述第一比较的结果指示所述第一识别符不对应于所述至少一个第一参考标签中的一个第一参考标签,那么借助于所述第一控制单元使所述第一CAN总线信号对所述第一TXD消息的表示失效并且借助于所述第一控制单元防止在预定第一中断时间内在所述第一CAN总线接口处由所述第一CAN装置产生所述第一CAN总线信号;e)在所述监控装置处经由所述CAN总线网络从第二CAN装置接收指令消息;以及f)响应于所接收的指令信号而测试从所述监控装置到耦合到所述CAN总线网络的每一CAN装置的可达性。应注意,步骤a)可在步骤b)之前执行,或反之亦然。
根据本公开的第三方面,提供一种计算机程序,所述计算机程序包括可执行指令,所述可执行指令当由处理单元执行时使所述处理单元被配置成执行第二方面的方法和/或所述方法的一个或多个实施例。
附图说明
将参考附图更详细地描述本公开的实施例。然而,应注意,附图仅示出本发明的典型实施例,且因此不应被视为限制本发明的范围,这是因为本发明可准许其它同等有效的实施例。对于本领域的技术人员而言,在结合附图阅读本说明书后,所要求保护的主题的优点将变得显而易见,在附图中,相同的附图标记已用于标示相同的元件,并且在附图中:
图1示出CAN系统的简化框图。
图2示出CAN节点的简化框图。
图3示出根据本公开的CAN系统的简化框图。
图4和5示出CAN消息的简化图。
图6示出简化事件图。
图7示出简化流程图。
具体实施方式
图1示意性地描绘本领域中已知的CAN系统100的例子。CAN系统可包括多个CAN节点102,也称为“ECU”,每一CAN节点102连接到CAN总线网络104。在图1的实施例中,每一CAN节点102包括微控制器106,微控制器106具有嵌入式CAN协议控制器108和CAN收发器112。CAN协议控制器108可被称为CAN控制器。CAN收发器112可被称为收发器。
微控制器106通常连接到至少一个装置(未示出),例如传感器、致动器或某一其它控制装置,并且被编程为确定所接收的消息的含义并产生合适的传出消息。本领域中已知还可称为主机处理器、主机或数字信号处理器(DSP)的微控制器106。在实施例中,主机支持与CAN协议控制器108交互的应用程序软件。
CAN总线网络104承载模拟差分信号,并且包括第一CAN信号线114(也被称为CAN高电平(CANH)总线线路114)和第二CAN信号线116(也被称为CAN低电平(CANL)总线线路116)。CAN总线网络104在本领域中是已知的。
图2描绘来自图1的一个CAN节点102的放大视图。在图2的放大视图中,微控制器106包括主机110,主机110可为例如存储在微控制器106的存储器中并由微控制器106的处理电路执行的软件应用程序。CAN节点102的微控制器106和CAN收发器112连接在第一电源电压VCC与通常为接地的第二电源电压GND之间。如图2中所示出,从由微控制器106实施的CAN协议控制器108传达到CAN收发器112的数据被识别为传输数据(TXD),并且从CAN收发器112传达到由微控制器106实施的CAN协议控制器108的数据被称为接收数据(RXD)。在整个描述中,TXD承载在TXD路径上并且RXD承载在RXD路径上。消息可分别经由CANH总线线路114和CANL总线线路116传达到CAN总线网络104以及从CAN总线网络104传达。
CAN协议控制器108优选地嵌入微控制器106内,但也可在微控制器106(例如,单独的IC装置)的外部实施。本领域中已知CAN协议控制器108与CAN收发器112之间的数据链路层操作。
举例来说,在接收操作中,CAN协议控制器108经由RXD路径从收发器112接收数字RXD信号。RXD信号可表示RXD消息。CAN协议控制器108可存储所接收的RXD消息。RXD消息符合CAN协议的标准化帧格式。
在传输操作中,CAN协议控制器108从微控制器106接收TXD消息并经由TXD路径将表示TXD消息的TXD信号传输到CAN收发器112。TXD消息通常符合CAN协议的标准化帧格式。
CAN收发器112位于CAN控制器108与CAN总线网络104之间。CAN收发器112被配置成根据如本领域中已知的CAN协议来实施物理层操作。
举例来说,在接收操作中,CAN收发器112将来自CAN总线网络104的模拟差分信号转换成CAN协议控制器108可以解译的RXD信号。CAN收发器112还可保护CAN协议控制器108免受CAN总线网络104上的例如电涌等极端电气条件的影响。
在传输操作中,CAN收发器112可将经由TXD路径从CAN协议控制器108接收到的TXD信号转换成经由CAN总线网络104上的CAN总线接口124发送的模拟差分信号。CAN总线接口适用于连接到第一CAN总线信号线114和第二CAN总线信号线116。
如上所述,CAN协议控制器108可被配置成支持正常模式或灵活数据速率模式。如本文中所使用,“CAN正常模式”(也被称为“经典CAN模式”)以及“CAN FD模式”是指根据ISO11898-1标准而格式化的帧。
图3示意性地示出根据本公开的CAN系统200的实施例。CAN系统200包括第一CAN装置202和监控装置204。第一CAN装置202包括第一传输数据TXD接口206。第一CAN装置202还包括第一传输器208、第一CAN总线接口210和第一控制单元212。
第一CAN装置202的第一CAN总线接口210被配置成连接到CAN总线228。CAN总线228也被称为CAN总线网络228。在例子中,第一CAN总线接口210具有两个端口,两个端口中的每一个端口可连接到CAN总线网络228的不同CAN总线线路114、116。
第一CAN装置202的第一传输器208可经由信号连接268直接或间接耦合到第一CAN总线接口210。在例子中,第一控制单元212可耦合在第一传输器208与第一CAN总线接口210之间,以使得第一传输器208经由信号连接268和第一控制单元212连接到第一CAN总线接口210。原则上,第一传输器208可被配置成产生CAN总线信号,所述CAN总线信号可经由第一CAN总线接口210传输到CAN总线网络228。CAN总线信号可为差分电压信号。CAN总线信号优选地为根据CAN协议的总线信号。
第一CAN装置202可经由第一TXD接口206接收第一TXD消息216。优选地,第一TXD消息216是数字TXD消息。此外,可根据CAN协议来建构和/或构造第一TXD消息216。在例子中,第一CAN装置202包括从第一TXD接口206延伸到第一传输器208的信号连接276。如果经由第一TXD接口206接收到第一TXD消息216,那么信号连接276可用于将第一TXD消息216转发到第一传输器208。
第一CAN装置202的第一控制单元212被配置成从第一TXD消息216读取第一识别符。第一传输器208可被配置成基于第一TXD消息216而产生第一CAN总线信号220。在例子中,第一传输器208可产生第一CAN总线信号220,以使得第一TXD消息216由第一CAN总线信号220表示。作为另一例子,第一CAN装置202的第一控制单元212可被配置成从由第一CAN总线信号220表示的第一TXD消息216读取第一识别符。因此,第一控制单元212可被配置成接收第一CAN总线信号220并对第一CAN总线信号220进行解码,以使得第一控制单元212可从第一TXD消息216读取第一识别符,第一TXD消息216来源于经解码第一CAN总线信号220。由传输器208产生的第一CAN总线信号220可经由信号连接268和第一控制单元212而被引导到第一CAN总线接口210,以使得第一CAN总线信号220被注入到CAN总线网络228中。通过传输器208,可产生第一CAN总线信号220,以使得第一CAN总线信号220表示第一TXD消息216。在例子中,第一控制单元212可被配置成对第一CAN总线信号220进行解码并从经解码第一CAN总线信号220读取第一TXD消息216。第一TXD消息216包括可借助于第一控制单元212从第一TXD消息216读出为第一识别符的识别符。
至少一个第一参考标签可由第一CAN装置202存储。在例子中,至少一个第一参考标签由第一CAN装置202的第一控制单元212存储。每一第一参考标签可具有识别符的形式和/或结构。优选地,预定义每一第一参考标签。每一第一参考标签可表示可由第一CAN装置202、第一TXD消息126和/或第一CAN总线信号220以许可的方式使用的识别符。举例来说,每一第一参考标签可表示可以许可的方式包括于由第一CAN总线信号220表示的第一TXD消息216中的准许识别符。如果可经由第一TXD接口206从第一CAN装置202接收到第一TXD消息216,其中第一传输器208基于第一TXD消息216而产生第一CAN总线信号220,并且其中第一TXD消息216可来源于第一TXD信号或来源于第一CAN总线信号220,那么至少一个第一参考标签可在第一控制单元212处使用以验证包括于第一TXD消息216中的识别符是否匹配准许识别符(由第一参考标签表示)。如果针对包括于第一TXD消息216中的第一识别符找到匹配的准许识别符,那么准许第一CAN装置202发送完全表示第一TXD消息216的第一CAN总线信号220。然而,如果针对包括于第一TXD消息216中的第一识别符未找到合适的准许识别符,那么可推断出包括于第一TXD消息216中的第一识别符对于第一CAN装置202、第一TXD消息216和/或第一CAN总线信号220来说是不准许的。这可能意味着第一CAN装置202可基于完全表示第一TXD消息216的此第一TXD消息216而不产生第一CAN总线信号220。在针对包括于第一TXD消息216中的第一识别符未找到匹配的准许识别符的情况下,可假设第一TXD消息216是可能已经由可能恶意的和/或被入侵的装置发送到第一CAN装置202的无效消息。通过不具有包括完全由第一CAN总线信号220表示的非法识别符的第一TXD消息216,可防止CAN总线网络228中、监控装置204中和/或另外的CAN装置230中的潜在后续问题。这是因为如果第一TXD消息216包括不准许的第一识别符,那么这些另外的装置并不经由第一CAN总线信号220接收对应的第一TXD消息216。
至少一个第一参考标签可由第一CAN装置202并且优选地由相关联的第一控制单元212存储。在例子中,多个第一参考标签由第一CAN装置202并且优选地由相关联的第一控制单元212存储。每一第一参考标签可表示恰好一个准许识别符或多个准许识别符的群组。在例子中,第一参考标签可表示捕获多个准许识别符的识别符掩码。如果提供多个第一参考标签,那么每一参考标签可表示相关联的识别符掩码。多个识别符掩码可捕获不同的准许识别符。因此,可经由至少一个第一参考标签限定至少一个准许识别符或多个准许识别符。优选地,预定义每一第一参考标签。
第一装置202的第一控制单元212被配置成将来自第一TXD消息216的第一识别符与至少一个第一参考标签进行比较,作为第一比较。
第一CAN装置202被配置成在第一CAN总线接口210处经由第一传输器208基于第一TXD消息216而产生第一CAN总线信号220,以使得第一CAN总线信号220表示第一TXD消息216的至少第一部分222。优选地,第一TXD消息216是数字TXD消息,以使得第一TXD消息216的位依序到达传输器208。对应于传入位的序列,传输器208可产生第一CAN总线信号220,以使得在例子中,传输器208在传输器208已完全接收到第一TXD消息216之前开始产生第一CAN总线信号220。在例子中,第一TXD消息216可包括不准许的第一识别符。归因于第一TXD消息216的位到第一传输器208的依序传输,在此例子中,第一传输器208基于已被接收到的第一TXD消息216的位而可能已经开始产生第一CAN总线信号220。对应于第一TXD消息216的位到传输器208的依序传输,还可经由第一CAN总线信号220依序传输和/或表示第一TXD消息216。因此,在第一CAN总线接口210处,在第一控制单元212已从由CAN总线信号的第一部分223表示的第一TXD消息216的第一部分222读取第一识别符之前,第一TXD消息216的第一部分222可能已经由第一CAN总线信号220的第一部分223传输和/或表示。仅在第一控制单元212已将第一识别符与至少一个第一参考标签进行比较之后且在第一控制单元212已确定第一识别符是不准许的之后,第一控制单元212可采取动作以防止第一CAN总线信号220表示完整的第一TXD消息216。因此,如果第一比较的结果指示第一识别符不对应于至少一个第一参考标签中的任一第一参考标签,那么第一控制单元212被配置成使第一CAN总线信号220对第一TXD消息216的表示失效并且防止在预定第一中断时间224内在第一CAN总线接口210处由第一CAN装置202(优选地完全)产生(优选地另外的)CAN总线信号。
在例子中,如果第一识别符不对应于由至少一个参考标签表示和/或捕获的任何识别符,那么第一识别符可不对应于至少一个第一参考标签中的任一第一参考标签。举例来说,第一比较的结果可指示第一识别符不由第一参考标签中的任一第一参考标签表示和/或捕获。在此情况下,第一识别符是不准许的第一识别符。在另一例子中,第一比较的结果可指示第一识别符由至少一个第一参考标签表示和/或捕获。在此情况下,第一识别符是准许的第一识别符。
存在使第一CAN总线信号220对完整的第一TXD消息216的表示失效的各种可能性。图3示意性地示出第一CAN装置202的例子,在此例子中,第一控制单元212耦合在第一传输器208与第一CAN总线接口210之间。为了使第一CAN总线信号220对第一TXD消息216的表示失效,控制单元212可在第一TXD消息216由第一CAN总线信号220完全表示之前中断第一传输器208与第一CAN总线接口210之间的信号连接。此外,在中断之后,控制单元212可在第一CAN总线接口210处产生错误CAN总线信号,其中错误CAN总线信号优选地根据CAN协议来表示错误帧。在发送错误帧的情况下,连接到CAN总线网络28的任何其它装置将理解已通过第一CAN总线信号220的第一部分223表示的第一TXD消息216的第一部分222是无效的。然而,原则上,第一控制单元212有其它方式使第一CAN总线信号220对第一TXD消息216的表示失效。举例来说,第一控制单元212可将呈数字形式的错误帧馈送到第一传输器208,且在第一TXD消息216已完全传输到第一传输器208之前同时断开信号连接276。第一传输器208会将错误帧集成到第一CAN总线信号220中。错误帧还由连接到CAN总线网络228的所有装置辨识,并且被理解成使得已由第一CAN总线信号220的第一部分223表示的TXD消息216的第一部分222是无效的。
在例子中,如果CAN总线信号经由CAN总线网络228传输,其中CAN总线信号表示CAN消息,那么通常不可以根据CAN消息来确定哪个装置已发送CAN消息或相应CAN总线信号。如果CAN总线信号对CAN消息的表示由于正发送的错误帧而失效,那么也不可以根据CAN总线信号对CAN消息的失效表示来确定哪个装置已发送CAN总线信号。
在第一CAN总线信号220对第一TXD消息216的表示已经失效之后,第一控制单元212被配置成随后防止在预定第一中断时间224内在第一CAN总线接口210处由第一CAN装置202产生(另外的)CAN总线信号。第一中断时间224提供机会来测试耦合到CAN总线网络228的每一CAN装置202、230的可达性。CAN系统200的监控装置204可用于测试可达性。在中断时间224期间,第一CAN装置202可不经由具有对应CAN总线信号的CAN总线网络228对任何请求作出响应。由于遗漏响应,可检测到第一CAN装置202。
CAN系统200的监控装置204被配置成经由CAN总线网络228从第二CAN装置230接收指令消息。监控204还被配置成响应于所接收的指令消息而测试耦合到CAN总线网络228的每一CAN装置202、230的可达性。
先前,解释了如果第一TXD消息216的第一识别符是不准许的,那么第一控制单元212可使第一CAN总线信号220对第一TXD消息216的表示失效。在第一控制单元212已检测到不准许的第一识别符之后,第一控制单元212可即刻以失效开始。同时或此后即刻,第一控制单元212可在第一中断时间224内确保第一CAN装置202在第一CAN总线接口210处没有产生CAN总线信号。在此中断时间224期间,第一CAN装置202无法经由CAN总线网络228将消息且特别是指令消息发送到监控装置204。然而,指令消息可经由表示指令消息的对应CAN总线信号248从第二CAN装置230发送到监控装置204。在例子中,第二装置230还可检测由第二CAN装置230接收的第一CAN总线信号220是否表示包括不准许的识别符的第一TXD消息216的第一部分222。在此情况下,第二CAN装置230可优选地经由第二CAN总线信号248触发将指令消息发送到监控装置204。
在监控装置204接收到指令消息之后,监控装置204可响应于所接收的指令消息而测试第一CAN装置202和第二CAN装置230(以及在适用时耦合到CAN总线网络228的任何其它CAN装置)的可达性。第一CAN装置202将不能够在中断时间224期间作出响应。缺乏来自第一CAN装置202的响应会允许监控装置204确定第一CAN装置202或耦合到第一CAN装置202的任何其它装置可能是恶意的。结果,因此可确定哪个CAN装置202可能是恶意的(直接或间接地)并且需要分析。
在图3的第一CAN装置202的例子中,第一传输器208和第一控制单元212示出为单独单元。然而,第一传输器208和第一控制单元212还可以完全或部分地被整体设计。以此方式,可实现用于第一CAN装置202的紧凑设计。
在例子中,第一CAN装置202可被配置为第一CAN收发器112。在另一例子中,第一CAN装置202可包括第一CAN收发器112和第一CAN控制器108。此外,在另一例子中,第一CAN装置202可被配置为第一CAN节点102。如果第一CAN装置202包括第一CAN控制器108或如果第一CAN装置202被配置为第一CAN节点102,那么第一控制单元212可安置在第一CAN收发器212或第一CAN控制器108中的任一者中。前述例子中的第一控制单元212还可以分布在第一CAN收发器112和第一CAN控制器108上。
控制器区域网络(CAN)总线是通常在汽车内使用的基于消息的通信总线协议。CAN总线协议用于实现各个电子控制单元(ECU)之间的通信,所述ECU例如为引擎控制模块(ECM)、传动系控制模块(PCM)、安全气囊、防抱死刹车、定速巡航、电动助力转向、音频系统、车窗、车门、后视镜调整、用于混合动力/电动汽车的电池和再充电系统等。CAN协议的数据链路层被标准化为国际标准组织(ISO)11898-1。标准化CAN数据链路层协议被扩展以提供较高数据速率。称为CAN灵活数据速率或“CAN FD”的扩展协议采用现有ISO 11898-1标准的更新的形式趋向于标准化。
图4示意性地示出呈ISO 11898-1帧(经典基础帧格式(CBFF))的格式的第一TXD消息的例子。字段限定如下:
SOF 帧开始(总是主要的)
识别符 限定消息内容的识别符位
RTR 远程传输请求
IDE ID扩展
r0 预留位0(由采用CAN FD格式的FDF代替)
DLC 数据长度代码
数据 数据字节
CRC 循环冗余校验
CRC Del CRC分隔符(总是隐性的)
ACK 确认
ACK Del 确认分隔符
EOF 帧结束
CAN消息是广播消息。接收CAN节点102的CAN协议控制器108通常具有识别符过滤器,所述识别符过滤器被“调谐”到某些识别符以确保主机接收相关消息且不受不相关消息的困扰。标准CAN帧具有11位识别符字段以携带11位识别符并且扩展CAN帧具有29位识别符字段以携带29位识别符。29位识别符字段优选地被划分成两个区段,11位基础识别符字段和18位扩展识别符字段。
如图4中示意性地示出,第一TXD消息216包括识别符字段214,其中可表示第一TXD消息216的第一识别符。优选地,第一TXD消息216的第一部分222从第一字段(SOF)扩展到至少包括识别符字段214。优选地,第一TXD消息216的第一部分222从第一字段(SOF)扩展到至少包括CRC分隔符字段286。
图6示意性地示出消息和CAN总线信号的事件图。时间从左到右水平地运行。发生的第一时间事件是第一TXD消息216。第一TXD消息216的位依序传输到第一CAN装置202的第一接收器208,并且基于第一TXD消息216的位,第一接收器208开始(通常稍微延迟)产生第一CAN总线信号220。在第一TXD消息216的开始与第一CAN总线信号220的开始之间可以存在时间间隔。
在图6的示意图中,第一CAN总线信号220包括与第一TXD消息216的第一部分222相对应的第一部分223。如果通过第一比较来确定第一TXD消息216的第一识别符是不准许的,那么第一控制单元212被配置成使第一CAN总线信号220对第一TXD消息216的表示失效。在此情况下,第一控制单元212可使错误帧288产生并由经由第一CAN总线接口210发送的对应CAN总线信号表示。根据CAN协议,错误帧288可包括至少六个连续的主要位和/或由至少六个连续的主要位形成。错误帧288的主要位覆写第一CAN总线信号220的第二部分。错误帧288的传输使第一TXD消息216的表示无效,因为错误帧288的传输发生在第一CAN总线信号220已完全表示第一TXD消息216之前。
在发射错误帧288的同时,第一中断时间224可开始。在第一中断时间224期间,第一控制单元212防止在第一CAN总线接口210处由第一CAN装置202产生(优选地另外的)CAN总线信号。
在例子中,CAN系统200包括CAN总线网络228,并且第一装置202的第一CAN总线接口210可连接到CAN总线网络228。此外,监控装置204的第三CAN总线接口252可连接到CAN总线网络228。
在例子中,CAN系统200包括第二CAN装置230,并且第二CAN装置230的第二CAN总线接口236可连接到CAN总线网络228。图3中示意性地示出第二CAN装置的例子。
第二CAN装置230可包括第二传输器232、第二接收器234、第二CAN总线接口236和第二处理单元238。此时,应注意,术语“第二”已经相对于第二处理单元238使用以明确地命名所述处理单元238。然而,术语“第二”并不要求存在第一处理单元。术语“第二”仅作为其它数字词语,仅用于区分目的。
为了接收第一CAN总线信号220,第二CAN装置230的第二接收器234优选地直接或间接耦合到第二CAN总线接口236。在例子中,第二接收器234可经由信号连接294直接或间接耦合到第二CAN总线接口236。然而,第二接收器234还可以经由信号连接294和第二控制单元290耦合到第二CAN总线接口236。假设第二CAN装置230经由相关联的第二CAN总线接口236连接到CAN总线网络228,那么第一CAN总线信号220可经由CAN总线网络228从第一CAN装置202传输到第二CAN装置230。从第二CAN总线接口236,第一CAN总线信号220可被转发到第二接收器234。
第二CAN装置230的第二接收器234被配置成基于第一CAN总线信号220而产生第二RXD信号。第一CAN总线信号220由第一CAN装置202产生。先前,解释了如果第一TXD消息216包括相关联的识别符字段214中的不准许的第一识别符,那么第一CAN总线信号220可仅表示第一TXD消息216的第一部分222。如果第一CAN总线信号220仅表示第一TXD消息216的第一部分222,那么结果是第二RXD信号从第一TXD消息216表示不超过第一TXD消息216的第一部分222。然而,应注意,第一TXD消息216的第一部分222包括第一TXD消息216的第一识别符。在例子中,第二接收器234被配置成根据CAN协议对第一CAN总线信号220进行解码以产生表示第二RXD消息242的第二RXD信号。图5示意性地示出第二RXD消息242的例子的结构。如果第一CAN总线信号220仅表示第一TXD消息216的第一部分222,那么第二接收器234将仅对第一CAN总线信号220的对应第一部分223进行解码,以使得第二RXD消息242的第一部分244对应于第一TXD消息216的第一部分222。在例子中,第二接收器234可被配置成基于第二RXD消息242的第一部分244而重构第二RXD消息242的第二部分296。第一部分244和第二部分296可一起形成完整的第二RXD消息242。
如先前所解释,第二CAN装置230的第二接收器234被配置成至少基于第一CAN总线信号220而产生第二RXD信号,以使得第二RXD信号表示第二RXD消息242的至少第一部分244。优选地,第二RXD信号是数字信号。第二RXD消息242的第一部分244包括第一TXD消息216的第一识别符。在例子中,第一TXD消息216的识别符字段214和第二RXD消息242的识别符字段298表示相同的第一识别符。
第二接收器234可被配置成将第二RXD信号传输到第二处理单元238。在例子中,信号连接278可形成于第二接收器234与第二处理单元238之间,可经由信号连接278将第二RXD信号从第二接收器234传输到第二处理单元238。第二处理单元238可被配置成从第二TXD消息242的第一部分244读取第一识别符。第二处理单元238可与第二控制单元290部分或完全地集成。然而,第二处理单元238还可与第二控制单元290分开设计。
至少一个第二参考标签可由第二CAN装置230存储。在例子中,至少一个第二参考标签由第二CAN装置230的第二处理单元238存储。每一第二参考标签可具有识别符的形式和/或结构。优选地,预定义每一第二参考标签。每一第二参考标签可表示除第二CAN装置230外不准许的识别符。换句话说,每一第二参考标签可表示不得包括于第二RXD消息242中的识别符。
在例子中,第二CAN装置230可包括第二TXD接口300以经由第二TXD接口300接收第二TXD消息。第二TXD消息可具有相关联的识别符。在例子中,每一第二参考标签可表示用于第二TXD消息的准许识别符。因此,单独第二TXD消息可以许可的方式使用由至少一个第二参考标签表示的识别符。
至少一个第二参考标签可由第二CAN装置230并且优选地由相关联的第二处理单元238存储。在例子中,多个第二参考标签由第二CAN装置230并且优选地由相关联的第二处理单元238存储。每一第二参考标签可表示恰好一个识别符或多个识别符的群组。在例子中,第二参考标签可表示捕获多个识别符的识别符掩码。如果提供多个第二参考标签,那么每一参考标签可表示相关联的识别符掩码。多个识别符掩码可捕获不同的准许识别符。因此,可经由至少一个第二参考标签限定至少一个识别符或多个识别符。优选地,预定义每一第二参考标签。
至少一个第二参考标签可由第二CAN装置230的第二处理单元238使用以检查包括于第二RXD消息242中的(第一)识别符是否匹配不准许的识别符(由第二参考标签表示)。如果针对包括于第二RXD消息242中的(第一)识别符找到匹配的不准许的识别符,那么第二RXD消息242、第一CAN总线信号220和/或第一TXD消息216可由第二处理单元238确定为不准许的。此外,在此情况下,第一CAN装置203和/或连接到第一CAN装置的装置可被视为恶意的和/或被入侵的。
然而,如果针对包括于第二RXD消息242中的第一识别符(基于至少一个第二参考标签)未找到匹配的不准许的识别符,那么可推断出包括于第二RXD消息242中的第一识别符是准许的且可在第二CAN装置内转发到第二RXD接口301。
第二处理单元238被配置成从第二RXD消息242的第一部分244读取第一识别符,且将第一识别符与至少一个第二参考标签进行比较,作为第二比较。如果第二比较的结果指示第一识别符(来自第二RXD消息242的第一部分244)匹配至少一个第二参考标签,那么第二处理单元238还被配置成控制第二CAN装置230的第二传输器232,以使得第二传输器232产生表示指令消息的第二CAN总线信号248。优选地,指令消息表示第一识别符的不当使用。在例子中,如果第一识别符匹配和/或对应于由第二参考标签表示的识别符,那么第一识别符(来自第二RXD消息242的第一部分244)匹配第二参考标签。第二处理单元238经由第二传输器232而使得在不当地使用第一识别符的情况下发送指令消息。在例子中,不防止第二CAN装置230在第一中断时间224期间(其优选地仅仅是用于第一CAN装置202的第一中断时间224)在第二CAN总线接口236处产生CAN总线信号。因此,可以经由第二CAN装置230将第一识别符的未经准许使用经由指令消息报告给监控装置204。
如先前所解释,监控装置204被配置成响应于所接收的指令消息而测试连接到CAN总线网络228的每一CAN装置202、230的可达性。在先前所解释的例子中,第二CAN装置230将能够对可达性测试作出响应。然而,防止第一CAN装置202在第一中断时间224期间在第一CAN总线接口210处产生CAN总线信号,以使得第一CAN装置202无法对监控装置204的可达性测试作出响应。监控装置204可被配置成从缺乏响应推断出对应CAN装置可能为恶意的和/或被入侵的。
在例子中,监控装置204可被配置成仅仅在指令消息直接或间接表示识别符和/或被入侵的装置202、230和/或被入侵的节点102的未经准许使用时才响应于所接收的指令消息而测试耦合到CAN总线网络228的每一CAN装置202、230的可达性。这可防止监控装置执行大量测试。
在例子中,监控装置204包括第三CAN总线接口252、第三接收器254、第三传输器256和第三处理单元258。第三接收器254优选地直接或间接耦合到第三CAN总线接口252。优选地,信号连接302从第三CAN总线接口252扩展到第三接收器254。第二CAN总线信号248可经由CAN总线网络228从第二CAN装置230传输到监控装置204的第三CAN总线接口252,其中第二CAN总线信号248可优选地经由信号连接302从第三CAN总线接口252转发到第三接收器254。在例子中,第三接收器254被配置成对CAN总线信号进行解码。优选地,第三接收器254被配置成基于所接收的第二CAN总线信号248而产生第三RXD信号。第三RXD信号可随后表示指令消息。此外,第三RXD信号是数字信号。
由第三接收器254产生的第三RXD信号可经由信号连接282传输到第三处理单元258。在例子中,第三处理单元258被配置成对指令消息进行解码,特别是检查指令消息是否指示第一识别符的未经准许使用或指令消息是否指示被入侵的装置或节点。
优选地如果接收到指令消息并且优选地如果指令消息还指示第一识别符(或被入侵的装置/节点)的未经准许使用,那么258中的第三处理单元被配置成起始对耦合到CAN总线网络228的CAN装置202、230的可达性测试。在例子中,第三处理单元258经由另一信号连接284耦合到第三传输器256。经由信号连接284,第三处理单元258可控制第三传输器256。
为了执行可达性测试,第三处理单元258可被配置成响应于所接收的指令消息而控制第三传输器256,以使得CAN总线测试信号262由第三传输器256在第三CAN总线接口252处产生。第三传输器256可经由信号连接耦合到第三CAN总线接口252,以使得由第三传输器256产生的CAN总线测试信号262经由第三CAN总线接口252和CAN总线网络228传输到连接到CAN总线网络228的每一CAN装置202、230。
在执行可达性测试的例子中,第三处理单元258被配置成经由信号连接284将数字控制信号传输到第三传输器256。数字控制信号可表示用于将响应消息发送到监控装置204的请求消息。第三传输器256可基于数字控制信号而产生CAN总线测试信号262。
总之,在指令消息经由第二CAN总线信号248从第二CAN装置230传输到监控装置204的情况下,监控装置204接收开始可达性测试的信息。对于可达性测试,监控装置204将CAN总线测试信号262发送到连接到CAN总线网络228的每一CAN装置202、230。
第二CAN装置230可用响应消息对CAN总线测试信号262作出响应。在例子中,第二CAN装置230可被配置成用直接或间接表示第二CAN装置230的可达性的CAN总线响应信号272对所接收的CAN总线测试信号262作出响应。
尽管第一CAN装置202可至少在第一CAN总线接口210处接收CAN总线测试信号262且可以经由第一控制单元212和/或信号连接266将CAN总线测试信号262转发到第一接收器264,但是第一中断时间224持续足够长以使得第一控制单元212被配置成防止在第一中断时间224期间在第一CAN总线接口210处由第一CAN装置202产生CAN总线信号。因此,第一CAN装置202无法响应于CAN总线测试信号262而将表示响应消息的CAN总线响应信号272发送到监控装置204。监控装置204可确定第一CAN装置202尚未对可达性测试作出响应并且因此最可能为恶意的和/或被入侵的。
在例子中,第一中断时间224被预定义以使得CAN总线测试信号262可在第一中断时间224期间传输。在另一例子中,第一中断时间224被进一步限定以使得可在第一中断时间224期间从并非恶意或被入侵的每一CAN装置230传输响应消息,特别是由CAN总线响应消息272表示的响应消息。举例来说,第一中断时间224可被预定义以使得第一中断时间224大于(优选地大至少20%、大至少50%,或大至少100%)用于产生和传输第二CAN总线信号248、用于产生和传输CAN总线测试信号262以及用于产生和传输CAN总线响应信号272的处理时间和传输时间的总和。在例子中,第一中断时间224可因此被预定义以确保连接到CAN总线网络228的所有CAN装置202、230可至少在理论上利用CAN总线响应信号272对CAN总线测试信号262作出响应。
在图3中,示意性地示出第二CAN装置230,其中第二CAN装置包括第二处理单元238。还可为第一CAN装置202提供此处理单元,即使第一CAN装置202的此处理单元未在图3中示出。然而,假设可为第一CAN装置202提供此处理单元,那么处理单元可能并不防止第一控制单元212阻止在第一中断时间224期间在第一CAN总线接口210处由第一CAN装置202产生CAN总线信号。
在例子中,如果经由相关联的CAN总线接口210、236和相关联的接收器264、234接收到CAN总线测试信号262,那么每一CAN装置202、230被配置成基于相关联的接收器264、234处的相应所接收的CAN总线测试信号262而产生数字RXD测试信号。在例子中,如果经由相关联的第二CAN总线接口236和相关联的第二接收器234由第二CAN装置230接收到CAN总线测试信号262,那么第二接收器234可基于所接收的CAN总线测试信号262而产生数字RXD测试信号。在图3的例子中,数字RXD测试信号可被转发到第二处理单元238。
在例子中,如果RXD测试信号由相关联的接收器264、234产生,那么每一CAN装置202、230被配置成读出由RXD测试信号262表示的请求消息,其中请求消息包括用于将响应消息发送到监控装置204的请求。相应CAN装置202、230的处理单元238可被配置成读出响应消息。在例子中,如果RXD测试信号由第二CAN装置230的第二处理单元238接收,那么第二处理单元238可被配置成对RXD测试信号进行解码并读出响应消息。
在例子中,如果每一CAN装置202、230已读出响应消息并且如果未停用相应CAN装置202、230的传输器208、232,那么每一CAN装置202、230可被配置成触发相应CAN装置202、230的传输器208、232以产生CAN总线响应信号272,其中CAN总线响应信号272表示直接或间接指示相应CAN装置202、230的响应消息。相应响应消息因此可指示相应响应信号来源于哪个CAN装置202、230。然而,应考虑到例如CAN装置202包括第一控制单元212,所述第一控制单元212防止在第一中断时间224期间在第一CAN总线接口210处由第一CAN装置202产生CAN总线信号。因此,第一CAN装置202的第一传输器208理论上可以产生CAN总线响应信号,但第一控制单元212防止CAN总线响应信号在第一中断时间224期间到达第一CAN总线接口210。相比之下,第二CAN装置230可包括相关联的传输器232,所述传输器232还产生CAN总线响应信号272,所述CAN总线响应信号272被转发到第二CAN装置230的第二CAN总线接口236,以使得CAN总线响应信号272将经由CAN总线网络228从第二CAN装置230发送到监控装置204。
在例子中,如果相关联的传输器208、232与相关联的CAN总线接口210、236之间的信号连接268、292不中断或停用,那么每一CAN装置202、230被配置成经由相关联的CAN总线接口210、236传输由相关联的传输器208、232产生的CAN总线响应信号272。
在例子中,监控装置204被配置成接收由指令消息引起的至少一个CAN总线响应信号。监控装置204可被配置成从由指令消息引起的不同CAN装置230接收多个CAN总线响应信号272。每一CAN总线响应信号272可通过第三CAN总线接口252和信号连接302路由到第三接收器254,所述第三接收器254针对每一所接收的CAN总线响应信号产生相关联数字(第三)RXD响应信号。每一(第三)RXD响应信号经由信号连接282从第三接收器254路由到第三处理单元258。第三处理单元258可被配置成对每一(第三)RXD响应信号进行解码并读出相关联的响应消息。每一响应消息指示CAN装置230。
在例子中,监控装置204的第三处理单元258可被配置成基于所读取的响应消息而确定哪个CAN装置230经由对应的CAN总线响应信号272作出响应。表示连接到CAN总线网络228的所有CAN装置202、230的列表可由监控装置204并且优选地由相关联的第三处理单元258存储。所述列表可由第三处理单元258预定义和/或连续地更新。在例子中,第三处理单元258可经由第三CAN总线接口252、信号连接302和第三接收器254且基于由CAN总线信号表示的CAN总线消息的识别符而监听CAN总线网络258上的CAN总线信号、创建和/或更新所述列表。
在第三处理单元258确定CAN装置230中的哪一者已经用响应消息作出响应之后,第三处理单元258可基于所述列表和响应消息而确定CAN装置202中的哪一者尚未用响应消息作出响应。未用响应消息作出响应的任何CAN装置202可由第三处理单元258识别为可能恶意的装置和/或被入侵的装置。
在例子中,第三处理单元258被配置成基于所接收的响应消息并且优选地还基于连接到CAN总线网络228的CAN装置的列表而识别可能恶意的CAN装置202、230。
在例子中,第一CAN装置202的第一控制单元212被配置成防止在第一中断时间224期间经由第一CAN总线接口210接收CAN总线信号。举例来说,第一控制单元212可耦合在第一CAN总线接口210与接收器264之间,以使得第一控制单元212可防止CAN总线信号在第一中断时间224期间从第一CAN总线接口210转发到第一接收器264。在此情况下,举例来说,CAN总线测试信号262无法被转发到第一接收器264。归因于CAN总线测试信号262的转发的中断,第一CAN装置202在第一中断时间224期间没有产生CAN总线响应信号272。
在例子中,第一装置202的第一控制单元212可被配置成在第一中断时间224期间中断第一CAN总线接口210与第一接收器264之间的至少一个信号连接266。先前,解释了第一控制单元212可耦合在第一CAN总线接口210与第一接收器264之间。然而,第一控制单元212的此布置并非强制的。举例来说,第一控制单元212可控制集成到至少一个信号连接266中的任选的开关单元(未示出)以用于在第一中断时间224期间中断。在此情况下,举例来说,CAN总线测试信号262无法被转发到第一接收器264。归因于CAN总线测试信号262的转发的中断,第一CAN装置202在第一中断时间224期间没有产生CAN总线响应信号272。
在例子中,第一CAN装置202的第一控制单元212被配置成在第一中断时间224期间停用第一接收器264。并且在此情况下,第一控制单元212并非必须耦合在第一CAN总线接口210与第一接收器264之间。实际上,可提供控制线(未示出),通过所述控制线,第一控制单元212可控制第一接收器264以启用或停用第一接收器264。在停用状态中,第一接收器264无法对CAN总线信号进行解码,且因此无法在第一接收器264的输出处产生数字信号。归因于在第一中断时间224期间第一接收器264的撤销激活,第一CAN装置202也不会产生CAN总线响应信号272。
在例子中,第一CAN装置202的第一控制单元212被配置成防止在第一中断时间224期间经由第一CAN总线接口210传输(特别是发送)CAN总线信号。举例来说,第一控制单元212可被配置成在第一中断时间224期间停用第一CAN总线接口210。这有效地防止第一CAN装置202在第一中断时间224期间经由CAN总线网络228发送CAN总线响应信号272。
在例子中,第一CAN装置202的第一控制单元212被配置成在第一中断时间224期间中断第一传输器208与第一CAN总线接口210之间的至少一个信号连接268。如果第一传输器208响应于CAN总线测试信号262而产生CAN总线响应信号,那么在第一中断时间224期间中断传输器208与第一CAN总线接口210之间的至少一个信号连接268会有效地防止CAN总线响应信号到达第一CAN总线接口210。在例子中,第一控制单元212可耦合在第一传输器208与第一CAN总线接口210之间以实现至少一个信号连接286的中断。在例子中,第一控制单元212可集成到第一传输器208与第一CAN总线接口210之间的至少一个信号连接286中。
在例子中,第一控制单元212被配置成在第一中断时间224期间停用第一传输器208。同样,第一控制单元212并非必须耦合在第一传输器208与第一CAN总线接口210之间。实际上,可提供控制线(未示出),通过所述控制线,第一控制单元212可控制第一传输器208以停用或启用第一传输器208。在撤销激活状态中,第一传输器208无法产生CAN总线信号,特别是CAN总线响应信号272。归因于在第一中断时间224期间第一传输器208的可能撤销激活,第一CAN装置202也不会产生CAN总线响应信号272。
图7示意性地示出根据本公开的方法的实施例。所述方法优选地涉及CAN系统200的使用。所述方法包括以下步骤:a)第一控制单元212从第一TXD消息216读出第一识别符;b)将第一识别符与至少第一参考标签进行比较,作为第一比较;c)第一传输器208基于第一TXD消息216而经由第一CAN总线接口210产生第一CAN总线信号220,以使得第一CAN总线信号220表示第一TXD消息216的至少第一部分222;d)如果步骤b)的第一比较的结果指示第一识别符不对应于至少一个第一参考标签中的一个第一参考标签,那么借助于第一控制单元212使第一CAN总线信号220对第一TXD消息216的表示失效并且借助于第一控制单元212防止在预定第一中断时间224内在第一CAN总线接口210处由第一CAN装置202产生第一CAN总线信号220;e)在监控装置204处经由CAN总线网络228从第二CAN装置230接收指令消息;以及f)响应于所接收的指令信号而测试从监控装置204到耦合到CAN总线网络228的每一CAN装置202、230的可达性。应注意,步骤a)可在步骤b)之前执行,或反之亦然。
对于所述方法,优选的解释、优选的特征、技术效应和益处以与先前针对CAN系统200所解释的类似的方式提及。
尽管本文中公开的所描述示例性实施例侧重于装置、系统及其使用方法,但本公开不一定限于本文中示出的示例实施例。例如,提供各种
实施例
本文中所描述的系统和方法可以至少部分地由一个计算机程序或多个计算机程序实施,所述计算机程序可以在单个计算机系统中或跨越多个计算机系统以激活和非激活两种状态呈多种形式存在。例如,这些计算机程序可以作为由程序指令构成的软件程序存在于源代码、目标代码、可执行代码或其它格式中以用于执行一些步骤。以上格式中的任一格式可以压缩或未压缩形式在计算机可读介质上体现,所述计算机可读介质可以包括存储装置和信号。
如本文中所使用,术语“计算机”是指包括例如通用中央处理单元(CPU)、专用处理器或微控制器等处理器的任何电子装置。计算机能够接收数据(输入),能够对数据执行一系列预定操作,并且能够由此产生呈信息或信号(输出)形式的结果。取决于上下文,术语“计算机”将意指(具体地说)处理器或(更一般地)与单个机箱或壳体内所容纳的相关元件的集合相关联的处理器。
术语“处理器”或“处理单元”是指数据处理电路,所述数据处理电路可为微处理器、协处理器、微控制器、微型计算机、中央处理单元、现场可编程门阵列(FPGA)、可编程逻辑电路和/或基于存储于存储器中的可操作指令而操控信号(模拟信号或数字信号)的任何电路。术语“存储器”是指一个存储电路或多个存储电路,例如只读存储器、随机存取存储器、易失性存储器、非易失性存储器、静态存储器、动态存储器、快闪存储器、高速缓冲存储器和/或存储数字信息的任何电路。
如本文中所使用,“计算机可读介质”或“存储介质”可为可包含、存储、传送、传播或传输计算机程序以供或结合指令执行系统、设备或装置使用的任何构件。计算机可读介质可为例如但不限于电子、磁性、光学、电磁、红外线或半导体系统、设备、装置或传播介质。计算机可读介质的更具体例子(非穷尽性列表)可以包括以下各项:具有一个或多个导线的电连接、便携式计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便携式压缩光盘只读存储器(CDROM)、数字多功能光盘(DVD)、蓝光光盘(BD)以及存储卡。
应注意,已参考不同的主题描述了以上实施例。具体地说,一些实施例可能是已参考方法类的权利要求来描述的,而其它实施例可能是已参考设备类的权利要求来描述的。然而,本领域的技术人员将从上述内容了解到,除非另有说明,否则除属于一种类型主题的特征的任意组合外,与不同主题相关的特征的任意组合,特别是方法类的权利要求的特征和设备类的权利要求的特征的组合,也视为与此文档一起公开。
另外,应注意,图式为示意性的。在不同图式中,用相同的附图标记表示类似或相同元件。此外,应注意,为了提供对说明性实施例的简洁描述,可能并未描述属于技术人员的习惯做法的实施细节。应了解,在任何此类实施方案的开发过程中,如在任何工程或设计项目中一样,必须制定许多实施方案特定的决策以实现开发者的特定目标,例如服从系统相关的和商业相关的约束,所述约束在不同的实施方案中可能有所不同。此外,应了解,此类发展工作可能是复杂且耗时的,但不过是本领域的技术人员进行设计、制造和生产的例行任务。
最后,应注意,本领域的技术人员应能够在不脱离所附权利要求书的范围的情况下设计许多替代性实施例。在权利要求书中,置于圆括号之间的任何附图标记不应解释为限制权利要求。词语“包括(comprise(s))”或“包括(comprising)”不排除除了权利要求中所列的那些元件或步骤之外的其它元件或步骤的存在。在元件之前的词语“一(a)”或“一(an)”不排除多个此类元件的存在。权利要求书中叙述的措施可借助于包括若干不同元件的硬件和/或借助于适当编程的处理器来实施。在列出若干构件的装置权利要求中,可通过同一个硬件项来体现这些构件中的若干构件。仅有的事实是在相互不同的从属权利要求中叙述的某些措施并不表明这些措施的组合不能用来产生优点。
除非另外说明,否则例如“第一”和“第二”之类的术语用以任意地区分此类术语所描述的元件。因此,这些术语未必意图指示此类元件的时间上的优先级或其它优先级。
Claims (10)
1.一种控制器区域网络CAN系统,其特征在于,包括:
第一CAN装置,以及
监控装置,
其中所述第一CAN装置包括第一传输数据TXD接口、第一传输器、第一CAN总线接口和第一控制单元;
其中所述第一控制单元被配置成从第一TXD消息读出第一识别符,且将所述第一识别符与至少一个第一参考标签进行比较,作为第一比较;
其中所述第一CAN装置被配置成在所述第一CAN总线接口处经由所述第一传输器基于所述第一TXD消息而产生第一CAN总线信号,以使得所述第一CAN总线信号表示所述第一TXD消息的至少第一部分;
其中如果所述第一比较的结果指示所述第一识别符不对应于所述至少一个第一参考标签中的任一第一参考标签,那么所述第一控制单元被配置成使所述第一CAN总线信号对所述第一TXD消息的表示失效并且防止在预定第一中断时间内在所述第一CAN总线接口处由所述第一CAN装置产生CAN总线信号,并且
其中所述监控装置被配置成经由CAN总线网络从第二CAN装置接收指令消息,并且响应于所述指令消息而测试耦合到所述CAN总线网络的任何CAN装置的可达性。
2.根据在前的任一项权利要求所述的CAN系统,其特征在于,所述CAN系统包括所述CAN总线网络。
3.根据在前的任一项权利要求所述的CAN系统,其特征在于,所述CAN系统包括所述第二CAN装置。
4.根据在前的任一项权利要求所述的CAN系统,其特征在于,
所述第二CAN装置包括第二传输器、第二接收器、第二CAN总线接口和第二处理单元,
其中所述第二接收器直接或间接耦合到所述第二CAN总线接口以接收所述第一CAN总线信号,
其中所述第二接收器被配置成基于所述第一CAN总线信号而将第二RXD信号传输到所述第二处理单元,其中所述第二RXD信号表示第二RXD消息的至少第一部分,其中所述第二RXD消息的所述第一部分包括所述第一TXD消息的所述第一识别符,
其中所述第二处理单元被配置成从所述第二RXD消息的所述第一部分读取所述第一识别符,且将所述第一识别符与第二参考标签进行比较,作为第二比较,
其中如果所述第二比较的结果指示所述第一识别符对应于所述第二参考标签,那么所述第二处理单元进一步被配置成控制所述第二传输器以通过所述第二传输器产生表示所述指令消息的第二CAN总线信号,所述指令消息指示所述第一识别符的未经准许使用。
5.根据在前的任一项权利要求所述的CAN系统,其特征在于,所述监控装置被配置成仅仅在所述指令消息直接或间接表示识别符和/或被入侵的网络装置和/或被入侵的网络节点的未经准许使用时才响应于所接收的指令消息而测试耦合到所述CAN总线网络的任何CAN装置的所述可达性。
6.根据在前的任一项权利要求所述的CAN系统,其特征在于,
其中所述监控装置包括第三CAN总线接口、第三接收器、第三传输器和第三处理单元,
其中所述第三接收器直接或间接耦合到所述第三CAN总线接口以接收所述第二CAN总线信号,
其中所述第三接收器进一步被配置成基于所述第二CAN总线信号而将第三RXD信号传输到所述第三处理单元,所述第三RXD信号表示所述指令消息,
其中所述第三处理单元被配置成通过响应于所述所接收的指令消息而控制所述第三传输器来起始对耦合到所述CAN总线网络的所述CAN装置的可达性测试,以使得针对每一CAN装置而在所述第三CAN总线接口处通过所述第三传输器产生CAN总线测试信号,其中每一CAN总线测试信号表示向所述监控装置发送响应消息的请求。
7.根据在前的任一项权利要求所述的CAN系统,其特征在于,所述第一CAN装置的所述第一控制单元被配置成防止在所述第一中断时间期间经由所述第一CAN总线接口接收CAN总线信号。
8.根据在前的任一项权利要求所述的CAN系统,其特征在于,所述第一CAN装置的所述第一控制单元被配置成在所述第一中断时间期间中断所述第一CAN总线接口与所述第一CAN装置的第一接收器之间的信号连接。
9.根据权利要求7所述的CAN系统,其特征在于,所述第一CAN装置的所述第一控制单元被配置成在所述第一中断时间期间停用所述第一接收器。
10.一种用于包括第一CAN装置和监控装置的控制器区域网络CAN系统的方法,其特征在于,所述第一CAN装置包括第一传输数据TXD接口、第一传输器、第一CAN总线接口和第一控制单元,并且其中所述方法包括以下步骤:
a)所述第一控制单元从第一TXD消息读出第一识别符;
b)将所述第一识别符与至少第一参考标签进行比较,作为第一比较;
c)所述第一传输器基于所述第一TXD消息而经由所述第一CAN总线接口产生第一CAN总线信号,以使得所述第一CAN总线信号表示所述第一TXD消息的至少第一部分;
d)如果步骤b)的所述第一比较的结果指示所述第一识别符不对应于所述至少一个第一参考标签中的一个第一参考标签,那么借助于所述第一控制单元使所述第一CAN总线信号对所述第一TXD消息的表示失效并且借助于所述第一控制单元防止在预定第一中断时间内在所述第一CAN总线接口处由所述第一CAN装置产生所述第一CAN总线信号;
e)在所述监控装置处经由所述CAN总线网络从第二CAN装置接收指令消息;以及
f)响应于所接收的指令信号而测试从所述监控装置到耦合到所述CAN总线网络的每一CAN装置的可达性。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP22196969.4A EP4344150A1 (en) | 2022-09-21 | 2022-09-21 | Controller area network system and a method for the system |
| EP22196969.4 | 2022-09-21 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117749555A true CN117749555A (zh) | 2024-03-22 |
Family
ID=83400718
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311021234.XA Pending CN117749555A (zh) | 2022-09-21 | 2023-08-14 | 控制器区域网络系统和用于系统的方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20240097935A1 (zh) |
| EP (1) | EP4344150A1 (zh) |
| CN (1) | CN117749555A (zh) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180227145A1 (en) * | 2017-02-07 | 2018-08-09 | Nxp Usa, Inc. | Systems and methods for transmitting messages in a controller area network |
| US11522872B2 (en) * | 2020-06-18 | 2022-12-06 | Nxp B.V. | CAN transceiver |
-
2022
- 2022-09-21 EP EP22196969.4A patent/EP4344150A1/en active Pending
-
2023
- 2023-08-14 CN CN202311021234.XA patent/CN117749555A/zh active Pending
- 2023-09-05 US US18/461,312 patent/US20240097935A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4344150A1 (en) | 2024-03-27 |
| US20240097935A1 (en) | 2024-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7008100B2 (ja) | 不正対処方法、不正検知電子制御ユニットおよびネットワーク通信システム | |
| US10902109B2 (en) | Misuse detection method, misuse detection electronic control unit, and misuse detection system | |
| US10277598B2 (en) | Method for detecting and dealing with unauthorized frames in vehicle network system | |
| CN111934966B (zh) | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 | |
| JP6836340B2 (ja) | 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法 | |
| EP3148154A1 (en) | Controller area network (can) device and method for controlling can traffic | |
| CN111066001B (zh) | 日志输出方法、日志输出装置以及存储介质 | |
| US11677779B2 (en) | Security module for a can node | |
| CN111147437B (zh) | 基于错误帧归因总线断开攻击 | |
| US11888866B2 (en) | Security module for a CAN node | |
| US11463198B2 (en) | Security module for a serial communications device | |
| CN117749555A (zh) | 控制器区域网络系统和用于系统的方法 | |
| US12028184B2 (en) | Controller area network module and method for the module | |
| EP4304135A1 (en) | Controller area network (can) transceiver, can node, can system and method for the can transceiver | |
| JP2020039177A (ja) | 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法 | |
| US20230353417A1 (en) | Can module, can transceiver, can system and method for can module | |
| CN112347023B (zh) | 用于can节点的安全模块 | |
| CN117640280A (zh) | 控制器局域网收发器和用于收发器的方法 | |
| CN117880187A (zh) | 网络装置、通信系统以及用于网络装置的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |