汽车的电器网络系统及电器网络系统的操作方法

专利名称：汽车的电器网络系统及电器网络系统的操作方法
技术领域：
本发明涉及根据权利要求1前序部分的一种具有经由至少一个数据总线相互通 信的控制装置的汽车的电器网络系统。
背景技术：
在已知的汽车中，所谓的汽车定制信息(Fahrzeugauftrag)在汽车生产时被中央 地存放在一控制装置中，并且作为备份被冗余地存储在另一控制装置中。汽车定制信息借 助于产品描述代码(如车型代码、漆和座垫代码、以及特别/套装配备代码)和附加信息 (如生产时间、工厂和维修代码)来描述汽车的配置，并且应当总是对应于汽车的当前装备 状态。汽车定制信息被汽车外部的诊断、编程和编码系统尤其是在车间中使用。因此，这些 信息以及描述汽车配置的所有其他信息被称为汽车的配置数据。
除了这些中央配置信息之外，特定于控制装置的信息，如硬件或硬件变体、软件、 其数据、其编码的标识，制造商说明和控制装置的序列号，控制装置的订购零件号以及汽车 的车架号也被存储在相应的控制装置中。因此，这些信息以及标识汽车各个控制装置的所 有其他信息被称为相关控制装置的供应数据。
具有不同供应数据的不同汽车可以具有相同的配置数据。发明内容
本发明的任务在于改善已知电器网络系统的可靠性。
这个任务通过根据本发明的电器网络系统以及根据本发明的用于操作根据本发 明的电器网络系统的方法来实现。本发明的有利实施方式是各个从属权利要求的主题。
对于根据本发明的具有经由至少一个数据总线相互通信的控制装置的汽车的电 器网络系统，设置额定状态存储装置。
在额定状态存储装置中存储关于设置在电器网络中的控制装置以及在这些控制 装置中分别存在的数据状态的说明。这优选以额定状态列表的形式实现。
查询装置经由该至少一个数据总线向位于电器网络中的控制装置进行请求，并查 询在相关控制装置中分别实际存在的数据状态。查询的结果优选被查询装置存储。查询优 选借助于诊断协议进行，并且查询结果尤其以实际状态列表的形式被存储。
比较装置将存储在额定状态存储装置中的数据状态与由查询装置所确定的数据 状态进行比较，并且措施装置在数据状态偏离的情况下发起至少一个措施，尤其是在需要 时发起保证汽车安全运行的措施。
通过根据本发明的措施，可以可靠地确定是否进行了对电器网络系统的改变。针 对其兼容和/或安全效应对这些改变进行分析，并且根据分析结果可以推导出用于避免损 坏的措施。
在根据本发明的一种实施方式中，额定状态存储装置设置在具有在数据技术上外 部的汽车访问(例如尤其是经由以太网或CAN的访问)的控制装置中。
在本发明的一种实施方式中，在额定状态存储装置中存储控制装置、优选是所有 控制装置的配置和/或供应数据。该存储尤其是在汽车生产商的工厂中汽车生产之后或在 专业车间中维修之后进行。
在本发明的一种扩展方案中，汽车定制信息属于配置数据，汽车定制信息尤其借 助于产品描述代码(如车型代码、漆和座垫代码、特别/套装配备代码、生产时间以及在可 能的情况下还有工厂和维修代码)来描述相关汽车的配置和当前装备状态。
在本发明的一种实施方式中，控制装置的供应数据包括其特定于控制装置的信 息，如硬件或硬件变体、软件、数据，编码的标识，制造商，序列号，订购零件号和/或相关汽 车的车架号。
在本发明的另一实施方式中，控制装置的配置和/或供应数据只有在授权检验之 后才能被存储在额定状态存储装置中。
在本发明的一种实施方式中，控制装置的改变的配置和/或供应数据的历史被存 储在额定状态存储装置中。由此例如可以有针对性地将电器网络系统退回到先前的一个软 件和/或硬件状态。
在本发明的一种扩展方案中，在汽车运行期间定期地将存储在额定状态存储装置 中的数据状态与由查询装置所确定的数据状态进行比较。
在本发明的一种实施方式中，涉及非电气/电子汽车装备的数据(如车顶行李架、 儿童座位、滑雪板袋或杯托)也属于配置数据和/或供应数据。
在本发明的一种实施方式中，存储在额定状态存储装置中的配置和/或供应数据 确定电子操作说明书的哪些相应部分被显示给驾驶员，尤其是在故障情况下。
根据本发明的用于操作这样的电器网络系统的方法的特征在于，在第一步骤中确 定在电器网络中存在哪些控制装置以及哪些供应和/或配置数据被存储在各自的控制装 置中。优选地，同样还确定经由至少一个数据总线中哪个数据总线能到达相应的控制装置， 其中所确定的控制装置、所确定的供应和/或配置数据以及在可能的情况下对于可达到性 的说明优选借助于路由信息被存储在参考列表中。
在第二步骤中，经由存在的所有数据总线对设置在电器网络中的每一个控制装置 进行请求，并且查询在各自控制装置中存储的供应和/或配置数据。该查询优选通过电器 网络诊断协议实现，并且查询结果以实际列表的形式被存储。
在第三步骤中检查在第一步骤中确定的控制装置中的每一个是否都可以在第二 步骤中被请求，和/或在第二步骤中是否可以请求在第一步骤中未被确定的一个或多个其 他控制装置，和/或在第一步骤中为相应控制装置确定的供应和/或配置数据是否对应于 在第二步骤中所确定的那些供应和/或配置数据。
在第四步骤中，如果在第二步骤和在第三步骤中所确定的控制装置之间以及/或 者在第二步骤和第三步骤中所确定的供应和/或配置数据之间存在偏差时，启动一个措 施，尤其地在需要的情况下启动确保汽车安全行驶运行的措施。
在根据本发明的方法的一种实施方式中，在汽车制造商的工厂中制造好汽车之后 或者在车间中修改汽车之后执行第一步骤，尤其是在授权检查之后执行。
在根据本发明的方法的一种实施方式中，第二、第三和第四步骤在汽车运行期间 执行，尤其是在启动汽车发动机时执行或者周期性地在特定时间间隔之后执行。
在根据本发明的方法的一种扩展方案中，在第二步骤中没有应答的那些控制装置 还借助于诊断协议直接被寻址。如果它们是能能请求的，则存储在相应控制装置中的供应 和/或配置数据被查询。
在本发明的一种实施方式中，在第二步骤和第三步骤中所确定的控制装置之间和 /或在第二步骤和第三步骤中所确定的供应和/或配置数据之间的偏差通过预定的过程控 制的兼容性和/或风险检查而被分析。根据该分析，导致一个措施，如尤其是无动作、记 录到故障存储器中、记录到相关控制装置的供应和/或配置数据中、通知驾驶者、通知从属 性的控制装置或功能、解除一个或多个功能、忽略一个或多个数据总线上的特定消息以及/ 或者阻止发动机启动。
在本发明的一个实施例中，一个或多个电器网络用户，如软件功能和/或控制装 置，向中央数据存储器或额定状态存储装置调用数据以使用。
软件功能和/或控制装置对存储在额定状态存储装置中的配置数据和关系的使 用的一些例子包括
-设置在电器网络系统中的Flexray模块(优选是在电器网络的中央网关(CGW) 中)借助于存储在额定状态存储装置中的拓扑信息检查ZGW上的哪些Flexray端子应当被 占用以及哪些实际上被占用。未被占用的Flexray端子被切断，以便防止电气干扰。
-设置在电器网络系统中的主安全模块(MSM)(优选在ZGW中)向额定状态存储装 置要求所有汽车安全相关的控制装置的列表。
-设置在电器网络系统中的诊断主机从额定状态存储装置调用所有能够活动地将 其故障存储器的内容传送到中央故障存储器的控制装置的列表。
-设置在电器网络系统中的电子操作说明在汽车的机头单元(Headimit)或组合 仪表中只插入对于相关汽车的具体配置数据而言确实重要的信息(不插入用于在该具体 汽车中未使用的特殊装备的令人不解的使用说明)。
-设置在电器网络系统中的诊断路由功能(优选在CGW中)基于存储在额定状态 存储装置中的拓扑信息构造相应的路由表。
-设置在电器网络系统中的用于汽车设置个性化(PIA)的功能(如座椅和反光镜 位置、个人电台、电话号码等)基于额定状态存储装置中的相应信息制定具有包含个性化 数据的那些控制装置的列表。
-设置在电器网络系统中的功能“能量控制”借助于额定状态存储装置中的相应配 置数据(如尤其是相关控制装置的能量消耗以及关系“功能依赖性”和“功能等级”)切断 不需要的功能/负载。
-设置在电器网络系统中的智能诊断功能借助于故障事件和存储在额定状态存储 装置中的关系“功能依赖性”和“功能等级”来分析特定故障对汽车功能的可用性的影响。
在本发明的另一实施例中，一个或多个电器网络用户(如软件功能和/或控制装 置)在中央数据存储器或额定状态存储装置中发生改变时被通知。
在上述电器网络用户的通知之后，它们以前面描述的方式使用存储在额定状态存 储装置中的改变后的配置数据和关系。电气落用户在该实施例中不必再周期性地查询配置 数据和关系以获取可能的改变，而是在数据改变时被通知并然后一次性地调配这些数据。
具体实施方式
以下将借助于实施例更详细地描述本发明。
在电器网络的中央位置处，优选是在具有(例如经由以太网或CAN的)外部的汽 车入口的控制装置中，关于整个电器网络的配置和供应数据被存储，如汽车定制信息、控制 装置的配置数据和关于所使用的传感器和执行器的信息。同样，在该中央位置处，识别信息 (如汽车车架号、维护数据、技术数据、关于数据总线的说明、关于各个控制装置的软件和硬 件使用状态的信息以及关于整个汽车的软件和硬件使用状态的综合信息)涉及各个控制 装置的序列号、关于动力管理的信息(例如是发生器还是消耗器)、电消耗、关于切断等的 优先顺序、关于控制装置和总线的技术可能性的信息(例如传输带宽、支持的音频/视频编 解码器等)或涉及关于功能和控制装置的兼容性的信息。此外，配置和供应数据可以针对 非电气/电子装备，例如车顶行李架、滑雪板袋、杯托。
根据本发明的电器网络系统通过提供汽车中的相应过程控制而使得能够管理汽 车中、尤其是在控制装置上可用的功能，以便支持功能的例如动态的登陆/退出以及电器 网络用户对功能的查询。
此外，优选地，不同实体(如尤其是控制装置)之间的关系(例如物理连接、功能 依赖性等)被中央地存储。这些关系使得能够进一步地分析电器网络系统，例如分析电器 网络拓扑或诊断路由表。
在该实施例中，所有数据可以在授权检验之后经由中央控制装置的数据技术上外 部的汽车入口而被馈入和读出。
通过外部实体(如授权的汽车车间、制造商工厂、汽车内的可信赖的控制装置)传 输到中央控制装置并且在行驶运行中不被改变的这个数据状态被称为额定状态。而实际状 态是在汽车运行期间在任意时刻通过查询电器网络用户(如尤其是控制装置或车载系统) 经由汽车总线产生的数据实况。除了控制装置的该查询、即向车载系统查询配置或供应数 据(取原理=Pull-Prinzip)之外，这些本身相应的数据可以被存储在中央的配置和供应数 据存储器中(推原理Push-Prinzip)并同样也被查询。
为了能够跟踪汽车中配置和供应改变，在中央的控制装置中存储变化，使得对于 每个任意时刻借助于这些历史数据状态能够重构在该时刻有效的电器网络配置。这些历史 数据状态也可以被用于来例如在编程情况下将汽车回退到限定的一个过去的状态(回退 恢复)。
取决于存储在中央控制装置中的配置或供应数据的电器网络用户/功能可以在 数据状态改变时被通知，并且可以因此专门读取所需要的信息。
该实施例的电器网络系统具有经由中央的控制装置相互连接的不同的光学和电 气的数据总线。这个中央控制装置还用作为用于服务、车间和其他通信/诊断系统的对汽 车的入口。数据总线可以涉及以太网数据总线或CAN数据总线。中央控制装置不必强制性 地直接连接到在汽车中使用的所有数据总线，但是以这种方式可以在总线负荷和查询持续 时间方面使来自控制装置的对配置和供应数据的并行查询优化。
在该实施例中，为了确保电器网络系统的兼容性和可靠性，借助于存储在中央控 制装置中的供应和配置信息确定额定状态和实际状态之间的差异。
这通过以下方法实现
在该例子中，电器网络系统中控制装置之间的通信基于用于汽车的诊断协议而实 现。但是也能想到使用另一协议，如以太网协议或CAN协议。
在该实施例中，该方法分别通过两个事件启动。在第一种情况下，外部的实体(如 授权的汽车工场、制造商工厂中的实体或汽车内可信赖的控制装置)通过经由中央控制装 置的数据技术上外部的汽车入口操控中央控制装置来发起该方法的执行。
在第二种情况下，该方法在汽车内部在发生特定事件时(例如在发动器启动之后 或者周期性地在预定时间间隔之后)由中央控制装置启动。
在根据该实施例启动该方法之后，在中央控制装置中运行以下步骤
生成根据额定状态可用的所有控制装置的列表(额定状态列表)，包括经由哪些 数据总线能到达各控制装置的路由信息，以便在查询时间和总线负荷方面对查询进行优 化。
通过在所有必需的数据总线上的广播，借助于诊断协议对电器网络用户、尤其是 控制装置的供应和配置数据进行查询。
如果参考列表中的各个控制装置对该广播不应答，则通过附加地直接寻址这些控 制装置，来借助于诊断协议对这些控制装置的数据进行查询。
然后，生成实际存在的所有控制装置的列表(实际状态列表)，包括来自对供应查 询的应答的供应和配置信息。这个列表可以被授权的外部实体或内部功能读出。
通过比较根据额定状态和根据实际状态可用的控制装置而得到以下结果
情形a)相关控制装置没有应答；但是其根据额定状态存在于电器网络系统中
相关控制装置在该情况下被视为失灵或未使用。
情形b)相关控制装置对广播进行了应答；但是它没有在额定状态列表中出现
相关控制装置被认为是附加地未授权装入的。
情形c)相关控制装置进行了应答，并且其出现在额定状态列表中；但是根据实 际状态列表的供应和配置数据不同于根据额定状态列表的供应和配置数据，例如不同的硬 件序列号、不同的软件版本、不同的配置参数、不同的编码等。
相关控制装置被认为是未经授权更换、编程或配置的。
上述结果被记录在相关控制装置的实际状态列表中；基于具体结果，推导确保汽 车即使在非兼容配置的情况下也安全地行驶运行的一个或多个合适措施。为此在中央控制 装置中设置用于兼容性或风险检查的相应过程控制。可能的措施例如可以是记录到相关 控制装置的后来可以通过工场中的服务部门被读取的故障存储器中、记录到供应或配置数 据中、通知驾驶员、通知从属性的控制装置/功能、清除特定的功能、忽略数据总线上的特 定消息和/或阻止发动机启动。在个别情况下，适当的也可以是不发起任何措施。
在该实施例的方法中，额定状态只能由可信赖的实体(服务部门、工厂等)存储在 中央控制装置中，并且被保护以防止操纵(例如通过签名、加密)。此外，适当的是，对电器 网络的经授权的更改(硬件和软件更改、配置更改)被记录在额定状态中。
权利要求
1.一种具有经由至少一个数据总线相互通信的控制装置的汽车的电器网络系统，其特 征在于-具有额定状态存储装置，在所述额定状态存储装置中优选以额定状态列表的形式存 储对于设置在电器网络中的控制装置以及在这些控制装置中分别存在的数据状态的说明，-具有查询装置，所述查询装置经由所述至少一个数据总线请求设置在所述电器网络 中的控制装置，并且查询在相关控制装置中实际存在的数据状态，并且所述查询的结果优 选被存储，其中所述查询优选借助于诊断协议实现，并且所述查询结果尤其以实际状态列 表的形式被存储，-具有比较装置，所述比较装置将存储在所述额定状态存储装置中的数据状态与由所 述查询装置确定的数据状态进行比较，以及-具有措施装置，所述措施装置在数据状态存在差异时发起至少一个措施，尤其在需要 的情况下发起确保所述汽车的安全行驶运行的措施。
2.根据权利要求1所述的电器网络系统，其特征在于，所述额定状态存储装置设置在 具有数据技术上外部的汽车入口的控制装置中，所述数据技术上外部的汽车入口如尤其是 经由以太网或CAN的入口。
3.根据权利要求1或2所述的电器网络系统，其特征在于，在所述额定状态存储装置中 存储所述控制装置、优选为所有控制装置的配置数据和/或供应数据，其中所述存储尤其 是在所述汽车在汽车制造商的工厂中制造之后或在专业车间中修理之后进行。
4.根据前述权利要求之一所述的电器网络系统，其特征在于，汽车定制信息属于所述 配置数据，所述汽车定制信息尤其借助于产品描述代码、生产时间以及在可能的情况下还 有其他工厂和维修代码来描述相关汽车的配置和当前的装备状态，所述产品描述代码例如 是车型代码、漆和座垫代码、特殊或套装配备代码。
5.根据前述权利要求之一所述的电器网络系统，其特征在于，所述电器网络系统的特 定于控制装置的信息属于所述控制装置的供应数据，所述特定于控制装置的信息例如是硬 件或硬件变体、软件、数据、编码的标识，制造商，序列号，订购零件号和/或相关汽车的车 架号。
6.根据前述权利要求之一所述的电器网络系统，其特征在于，所述控制装置的配置数 据和/或供应数据仅能在授权检验之后被存储在额定状态存储装置中。
7.根据前述权利要求之一所述的电器网络系统，其特征在于，所述控制装置的改变的 配置数据和/或供应数据的历史被存储在所述额定状态存储装置中。
8.根据前述权利要求之一所述的电器网络系统，其特征在于，在所述汽车的运行期间 定期地将存储在所述额定状态存储装置中的数据状态与由所述查询装置所确定的数据状 态进行比较。
9.根据前述权利要求之一所述的电器网络系统，其特征在于，涉及非电气/电子汽车 装备的数据也属于所述配置数据和/或供应数据，所述非电气/电子汽车装备例如是车顶 行李架、儿童座位、滑雪板袋或杯托。
10.根据前述权利要求之一所述的电器网络系统，其特征在于，存储在所述额定状态存 储装置中的配置数据和/或供应数据确定尤其是在故障情况下电子操作说明的哪些相应 部分被显示给驾驶员。
11.一种用于操作根据前述权利要求之一所述的电器网络系统的方法，其特征在于包 括以下步骤-在第一步骤中确定哪些控制装置存在于所述电器网络中以及哪些供应数据和/或配 置数据存储在各控制装置中，优选地，同样还确定各控制装置能经由哪些至少一个数据总 线达到，其中所确定的控制装置、所确定的供应数据和/或配置数据以及在可能的情况下 还有对可达性的说明优选借助于路由信息被存储在参考列表中，-在第二步骤中，经由存在的所有数据总线对所述电器网络中存在的控制装置中每一 个进行请求，并且查询存储在各控制装置中的供应数据和/或配置数据，其中所述查询优 选通过电器网络诊断协议实现，并且所述查询的结果以实际列表的形式被存储，-在第三步骤中检查在所述第一步骤中所确定的每个控制装置是否能够在第二步骤中 被请求，和/或在所述第二步骤中是否能够请求一个或多个没有在所述第一步骤中确定的 其他控制装置，和/或在所述第一步骤中为各控制装置确定的供应数据和/或配置数据是 否对应于在所述第二步骤中所确定的供应数据和/或配置数据，-在第四步骤中，在所述第二步骤和所述第三步骤中所确定的控制装置之间和/或在 所述第二步骤和第三步骤中所确定的供应数据和/或配置数据之间存在差异时，发起至少 一个措施，尤其是在需要的情况下发起确保所述车辆的安全行驶运行的措施。
12.根据权利要求11所述的方法，其特征在于，所述第一步骤在所述汽车在制造商的 工厂中制造之后或者在所述汽车在专业车间中修理之后执行，尤其是在授权检验之后执 行。
13.根据权利要求11或12所述的方法，其特征在于，所述第二步骤、第三步骤和第四步 骤在所述汽车的运行期间执行，尤其是在汽车发动机启动时或周期性地在特定时间间隔之 后执行。
14.根据权利要求11至13之一所述的方法，其特征在于，在所述第二步骤中没有应答 的那些控制装置附加地借助于诊断协议被直接寻址，并且在它们能被请求的情况下，查询 存储在各控制装置中的供应数据和/或配置数据。
15.根据权利要求11至14之一所述的方法，其特征在于，在所述第二步骤和第三步骤 中所确定的控制装置之间以及/或者在所述第二步骤和第三步骤中所确定的供应数据和 /或配置数据之间的差异通过预定的过程控制的兼容性和/或风险检验来分析，并且根据 所述分析发起一个措施，所述措施例如尤其是无动作、记录到故障存储器中、记录到相关 控制装置的供应数据和/或配置数据中、通知驾驶者、通知从属性的控制装置或功能、解除 一个或多个功能、忽略所述数据总线中一个或多个上的特定消息以及/或者阻止发动机启 动。
全文摘要
本发明尤其涉及具有经至少一个数据总线相互通信的控制装置的汽车的电器网络系统。为了提高已知电器网络系统的可靠性，建议额定状态存储装置，其中优选以额定状态列表的形式存储对设置在电器网络中的控制装置及在该控制装置中分别存在的数据状态的说明。查询装置经至少一个数据总线请求设置在电器网络中的控制装置，查询在相关控制装置中实际存在的数据状态，并优选存储查询结果。查询优选借助于诊断协议实现，且查询结果尤其以实际状态列表的形式被存储。比较装置比较存储在额定状态存储装置中的数据状态与查询装置确定的数据状态。措施装置在数据状态存在差异时发起至少一个措施，尤其在需要的情况下发起确述汽车安全行驶运行的措施。
文档编号G05B19/042GK102036856SQ200980118852
公开日2011年4月27日 申请日期2009年5月7日 优先权日2008年5月23日
发明者C·苏斯, S·克劳斯 申请人:宝马股份公司