专利名称:用于基于功能类型对将由通信网络的电子设备使用的帧进行检查并使用这些帧中包含的 ...的制作方法
技术领域:
本发明涉及能够经由通信网络相互间进行通信的电子设备,更确切地涉及对这样的电子设备所接收的帧进行检查。
背景技术:
某些通信网络包含通信电子设备所并行连接到的总线。然后经由该总线,通过复用帧在通信电子设备之间进行数据交换。术语“帧”在此表示比特组的单位,对于比特组中的至少一些,比特组表示由电子设备中的本地功能使用的参数采用的值。
在这些网络之中,可以特别列举CAN LS( “Controller Area Network Low Speed控制器局域网低速”)、或者 CAN HS ( “Controller Area Network High Speed 控制器局域网高速”)、或者VAN( “Vehicle Area Network车辆局域网络”)、或者LIN( “LocalInterconnect Network本地互连网络)或者FlexRay那些类型。在许多区域并且特别是在车辆(可能是汽车类型)的区域使用这样的网络。如本领域技术人员所知晓的,之前所列举的通信网络交换的电子设备发展的信息帧所处的环境可能被外部元素(例如,电磁干扰)或者连接到承担有信息数据传输的物理层的内部错误(例如时钟漂移或者封装问题)干扰。这些可能具有暂时性质的干扰导致了帧比特中的错误。这些错误构成了一般被称为电子缺陷的大约90%,剩余10%涉及永久性问题(例如,束切断(bundle cut)、断路或者接地)。为了容许电子设备检测它们接收的帧中的错误,在帧中加入安全信息,该安全信息例如是CRC (循环冗余检查)、校验和和/或过程计数。当电子设备接收到帧时,其从其所包含的比特开始,计算之前列举的安全信息,然后将该计算出的安全信息与所考虑的帧中的安全信息进行比较。在一致的情况下,帧被认为是有效,而在存在一个或多个差异的情况下,帧被认为是错误(或者无效)的。当接收的帧是错误的时,电子设备的面向应用层(例如英语中被称为“FaultHandling CAN”)承担有向这个电子设备供应替换帧(或者覆盖帧),该替换帧包括旨在作为缺省的一个或多个参数值,以使其包括的本地应用功能处于被称为退化(degraded)的模式中。换句话说,在帧中检测到一个或多个错误的情况下,强制需要该错误帧中所包含的信息的每个本地应用使用缺省值而非实际接收的真实值。不幸的是,可能发生的是,在某些使用期阶段,当某些应用被强制使用替换(或者叠加)帧中所包括的缺省参数值时,它们不再呈现最佳功能。这可能特别由于以下事实在某些情况下,替换帧的某些缺省参数值迫使某些应用以与其他动作不兼容或者几乎不兼容的方式来执行,该其他动作是该同一替换帧的其他参数的缺省值所容许的。这也可能是由于覆盖值没有反映真实状态,在该真实状态中发现了“发射器”功能,从而非代表性的缺省值的“消费者”(或者“用户”或者“接收器”)功能采用了不适应于车辆使用期的现实状况的行为。
为了改善该状况,当然可以以系统的方式并且实时地为每个错误帧计算它所包含的每一参数的相互兼容缺省值,但这将引起(在恒定的计算能力下)电子设备的运行速度的(十分)显著下降,与它们一些本地应用所需要的反应时间不兼容。因此本发明具有在不要求电子设备计算能力显著增加的情况下改善该状况的问题。
发明内容
首先为此目的提出一种设备,该设备用于检查由电子部件接收的比特组的帧,该电子部件适于连接到通信网络并使用至少一个称为非安全类型的本地功能,并且该设备包括检查装置,该检查装置被设计为在接收自网络的帧中的至少一个比特组中存在错误的情 况下,强制所述电子设备按原样使用该接收帧中表示所述电子设备使用的非安全类型的本地功能的参数的至少每个比特组(包括错误的那些)。根据本发明的设备可以包括其他可以分别或者组合采用的特性,并且特别地;-它可以包括分析装置,该分析装置被设计为对使用所检测的错误比特组的每个本地功能的类型进行确定,以这样方式以向所述检查装置指出所确定的类型。作为一种变型,存在可以被设计为对使用检测的错误比特组的每个本地功能的类型进行确定的检查装置;-作为变型,其检查装置可以被设计为,在由电子设备检测到接收的帧包含表示非安全本地功能的参数的至少一个组,然后由电子设备做出决定将所检测的错误帧替换为包括具有选择值的替换比特组的替换帧的情况下,强制电子设备按原样使用所检测的错误帧中表示至少一个非安全功能的参数的至少每个比特组而不是使用该替换帧中包含的替换比特组;-其检查装置还可以被设计为,在接收自网络的帧中表示被称为安全类型的本地功能的参数的至少一个比特组存在错误的情况下,强制所述电子设备使用具有选择值的替换比特组而不是该错误的安全比特组;-每个选择值可以是缺省的预定义值。本发明还提出一种旨在连接到通信网络的电子设备,并且本发明包括用于检查上述类型的帧的设备。本发明还提出一种方法,该方法用于检查由电子部件接收的比特组的帧,该电子部件适于连接到通信网络并使用至少一个称为非安全类型的本地功能,并且该方法包括在检测到接收自网络的帧中至少一组比特存在错误的情况下,强制所述电子设备按原样使用所接收帧中表示该电子设备所使用的非安全类型的本地功能的参数的至少每个比特组(包括错误的那些)。该方法还包括,在检测到接收自网络的帧中表示本地安全功能的参数的至少一个比特组存在错误的情况下,强制所述电子设备使用具有选择值的替换比特组而不是错误的安全比特组。本发明特别适合于(然而并非限制方式)与车辆(可能是汽车类型的车辆)结合的通信网络。
本发明的其他特性和优点将从下列详细说明的查阅和附图中显现,其中图1以功能方式示意性图解了通信网络的一部分,该网络包括三个电子设备并行连接到的总线,其中的一个设备中设置有用于根据本发明对帧进行检查的设备的示例性实施例。附图不仅可以用于使本发明完整,而且根据情况需要,有助于本发明的定义。
具体实施例方式本发明具有提供一种与互通的电子设备01相关联的对帧进行检查的设备D的特殊问题,该互通的电子设备01并行连接到通信网络RC的总线BU。在下文中通过非限制示例的方式,认为通信网络RC是CAN LS ( “控制器局域网低 速”)类型的网络。然而,本发明不局限于该类型的通信网络。事实上,它涉及设置有总线的每一类型的通信网络,并且特别地,涉及CAN HS( “控制器局域网高速”)、VAN( “车辆局域网”)、LIN( “本地互连网络”)和FlexRay类型的网络。此外,在下文中通过非限制示例的方式,认为RC网络是车辆的一部分,可以是汽车类型(例如轿车)的车辆的一部分。然而,本发明不局限于这一应用。事实上,它尤其是涉及包括至少一个RC通信网络的陆地车辆、船舶和飞机以及工业设施。图1示意性说明了 RC(通信)网络的一部分,该RC网络包括总线BU,一些互通的电子设备Oj并行连接到总线BU上并通过复用帧来交换信息。在非限制示例中,图示了三个电子设备01到03 (j = I到3)连接到总线BU,更确切地说,连接到其分别称作“CAN_L”和“CAN_H”的第一 CH电线和第二 CL电线,并且专用于数字数据(或者比特)的帧的传递。然而,RC网络的元件设备Oj的数量不限于三个。事实上,该数量必须至少等于两个,因此才能有帧的交换。本发明具有提供一种检查帧的设备D所产生的问题,该设备旨在耦合到电子设备Oj0在图1所说明的非限制示例中,只有第一电子设备01耦合到设备(用于检查帧)D。然而,一些甚至全部的电子设备可以耦合到RC网络中的设备(用于检查帧)D。在一般方式中,有利的是,使用由其所包含的非安全应用AP使用的至少一个被称为非安全类型的本地功能的每个电子设备都耦合到设备D。重要的是注意,短语(“电子设备Oj耦合到设备D”)在此表示以下事实电子设备Oj内部装配有设备D(如以非限制方式所说明的),并且电子设备Oj连接到设备D。从而,根据本发明的设备D可以以电子电路、软件(或者电子数据处理)模块或者电子电路和软件模块的组合的形式来实现。当电子设备内部装备有设备D时,后者⑶可以被例如嵌入(如所说明的)到包括在该电子设备上运行的每个应用AP的应用层CA,并且后者(D)连接到组合了物理层和协议层CPP的单元。同样重要的是注意,短语“非安全类型的功能”在此表示由AP应用使用的、在该功能在运作时不能够损害人员或者设备块的安全的功能。在车辆的情况下,其涉及例如专用于编码的防止启动的应用的功能或者专用于空气调节的应用的功能或者专用于(在排气管路上的)污染控制的应用的功能。此外,这里短语“安全类型的功能”表示由应用使用的、当该功能在运作时能够损害人员或者设备块的安全的功能。在车辆的情况下,其可以涉及例如专用于速度控制或者专用于制动(例如,紧急制动或者ABS)的应用的功能,或者专用于轨迹控制(例如,ESP)的应用的功能,或者专用于封闭式前灯的应用的功能,或者专用于动力转向的应用的功能,或者专用于“发动机罩下的热事件”(在无运行的情况下有破坏发动机的风险)的应用的功能,或者专用于速度限制或者坡起辅助的应用的功能。如图1示意性和功能性说明的,根据本发明的设备D至少包括检查装置MC,该检查装置MC用于每一次与之相关联的电子设备01从RC网络接收到帧时进行干预。更确切地说,每一次电子设备01从RC网络接收到帧,该帧包括至少一个比特组中的错误,该检查装置MC用来迫使电子设备01按原样使用接收帧中包含的并且表示电子设备01的应用AP所使用的非安全类型本地功能的参数的至少每个比特组。
换句话说,当帧是错误的时,检查装置MC命令其电子设备01,更确切地说,命令后者(01)的每个应用AP使用该错误帧中包含的所有非安全参数的值,即使它们中的一些是错误的。每个错误比特组一般由CPP单元(例如,承担有对CRC的计算的CPP单元或者承担有对校验和的计算的CPP单元)的协议层中的至少一个来检测,然后由这个协议层向设备D指出每个错误比特组。注意,用于管理故障(或者错误)或者fault handling CAN”)的功能也可以检测与发射参数的功能的应用层中与运作问题相关联的错误(在这种情况下,复用网络中循环的帧的一致性是正确的,因此协议层未检测到异常,但是例如,比特字段可能位于功能范围之外)。例如,并且如以非限制方式所示的,设备D可以包括分析装置MA,分析装置MA承担有对使用错误比特组的每个本地功能的类型进行确定,该错误比特组由协议层用信号通知和指出。所记得的是,本地功能类型不是安全就是非安全的。然后分析装置MA被承担向该检查装置MC指出每个错误比特组以及必须使用该比特组表示的参数值的本地功能的确定类型。注意,在一种变型中,检查装置MC可以被设计为本身对使用了由协议层检测和指出的错误比特组的每个本地功能的类型进行确定。在如上所述的示例性实施例中,设备D承担有对错误帧进行检查以做出强加的决定,该决定涉及使用或不使用该帧所包含的比特组。然而,在一种变型中,电子设备01,以及更确切地说,电子设备01的应用层中的一个(例如,用于管理故障(或者错误)的层(“或者fault handling CAN”)可以承担(通过构造)在检测出错误帧的情况下做出决定。例如,可以以这样的方式设计该应用层,以至决定由包括替换比特组的替换(或者覆盖)帧来替换检测到的错误帧,该替换比特组具有所选择的(缺省的或者通过计算出的)值。在这种情况下,检查装置MC监测由之前列举的应用层生成的替换帧,以此方式来强制电子设备01按原样使用所检测的错误帧中表示至少一个非安全功能的参数的至少每个比特组,包括错误的那些比特组,而不是使用由该应用层提供的替换帧中包含的每个相应替换比特组。换句话说,检查装置MC位于等级大于应用层的决策层。注意,检查装置MC可以在它们拒绝替换接收比特组的情况下来批准使用替换帧中表示安全功能的参数并且已经被替换比特组替换的比特组,或者防止使用替换帧中表示安全功能的参数并且已经被替换比特组替换的比特组(在该情况下,有关应用不具有安全功能的参数值)。注意在一种变型中或者也作为一种补充,检查装置MC还可以被设计成,当RC网络的接收帧在表示本地安全功能的参数的至少一个比特组上包含错误时,强制其电子设备01使用具有选择值的替换比特组,而不是使用错误的安全比特组。在该情况下,为比特组选择的每个值可以是缺省的预定义值(例如存储在参数/功能的相应值表中的)。还要注意的是,非安全接收功能不使用最近接收的有效值 ,而是使用在复用网络中循环的真实信息。如果当帧是错误的时该真实信息演变了,则非安全接收功能考虑该演变。 现在将要描述本发明实施方式的示例,其中第一电子设备01是计算机,该计算机控制混合动力类型车辆的发动机或者内燃机的发动机的停止和启动,并且包括编码的防止启动应用AP (或者ADC),第二电子设备02是称作BSI (built-1n systems interface内置系统接口)的计算机,并且第三电子设备03是称作HPCU的计算机。最末者(HPCU)是监管混合动力类型车辆的电气网络的设备。它检查电动机,还对来自连接到网络的不同计算机的请求和信息进行综合(例如,它考虑特别是通过CMM(齿轮箱和巡航控制的计算机)实现的不同处理,确定由驾驶员所请求的发动机耦合。所记得的是,当第一电子设备01 (CMM)和第二电子设备02 (BSI)之间的通信(帧的交换)不再被确保处于最佳方式时(这是(例如,在CMM的非授权改变期间)违规的特征),ADC应用经由阻止喷射来许可对车辆的启动的阻止。当决定阻止喷射时,称第一电子设备01 (CMM)被锁定。相反地,当没有决定阻止喷射时,称第一电子设备01 (CMM)被解锁。第一电子设备01 (CMM)为了确定其是否应当阻止其本身,它在RC网络上定期向第二电子设备02(BSI)发送解锁请求,并检查后者应该回送给它的响应。如果该响应与其期望的一致,则第一电子设备01 (CMM)保持解锁。在相反的情况下,它被锁定从而防止车辆的启动。由ADC应用强加的第一电子设备01 (CMM)和第二电子设备02 (BSI)之间的帧交换只应当发生在使用期中以下唯一情况下当内燃机处于切断或者停转(stalled)状态时。当发动机处于由停止和启动应用决定的(临时的)停止状态时,不会进行该帧交换,以当驾驶员要求再启动车辆时不冒阻止车辆的再启动的风险。为了确定内燃机所处的状态(并因而发起或不发起与第二电子设备02(BSI)的ADC通信),ADC应用需要两个部分的信息发动机工作过程期间的值(rpm/min)和由第三电子设备03 (HPCU)在RC网络中控制和发射的、称作“停止发动机请求”的参数的过程期间的状态。当第三电子设备03 (HPCU)请求内燃机停止时,参数“停止发动机请求”的状态是有效的,相反情况下则是非有效的。应当理解的是,当发动机工作是零而且第三电子设备03 (HP⑶)在RC网络中请求并发出内燃机的临时停止时,第一电子设备01 (CMM)认为热发动机处于停止状态。因此不发起ADC应用与第二电子设备02 (BSI)之间的通信,也没有锁定第一电子设备01 (CMM)的风险。另一方面,当发动机工作是零而且第三电子设备03 (HP⑶)在RC网络中没有请求和发送内燃机的临时停止时,第一电子设备01 (CMM)认为热发动机处于切断/停转状态。因此发起ADC应用和第二电子设备02 (BSI)之间的通信,并且在来自第二电子设备02 (BSI)的响应不符合或者缺失的情况下,可以锁定第一电子设备Ol (CMM)。如果由第三电子设备03(HP⑶)发送的、用于请求内燃机临时停止的帧在总线BU上由于物理上或者协议上的干扰而被破坏,则帧在第一电子设备01 (CMM)内变成错误的。例如,它可以包括发动机工作的禁用值(例如,接收值等于8100rpm/min,而授权值范围在O和8000rpm/min之间)。在这情况下并且在缺少本发明的实施方式的情况下,第一电子设备01 (CMM)销毁错误帧,并且将其替换为替换帧,该替换帧包含用于其包含的所有参数的缺省值。然后ADC应用将使用替换帧的内容。现在,后者包含缺省值,发信号通知参数“停止发动机请求”处于非有效状态,并且后者发起与第二电子设备02 (BSI)的通信,该通信的结果是第一电子设备01 (CMM)的非期望锁定。当实施了本发明时不会发生这种 情况,由于设备D强制第一电子设备01 (CMM)使用包含在接收的错误帧中的发动机工作(非安全参数)的错误的(或者破坏的)并因此真实的值,而非使用缺省替换值,因而容许第一电子设备01 (CMM)不被不必要地锁定。注意,在ADC应用情况下本发明的实施例只是许多其他示例之中的个示例。同样重要的是注意,本发明还可以从用于检查帧的方法的角度来考虑,该方法尤其是可以是借助于之前介绍的类型的用于检查帧的设备D来实现。因为根据本发明的该方法的实施方式提供的功能与之前介绍的设备D提供的功能一致,所以在下文中仅仅介绍该方法提供的主要功能的组合。这方法包括,在电子设备01从RC网络接收的帧中检测到在至少一个比特组上的错误的情况下,强制电子设备01按原样使用接收帧中表示该电子设备01所使用的非安全类型本地功能的参数的至少每个比特组。本发明不限于如上单纯通过示例的方式所述的用于检查帧的设备的实施例、电子设备的实施例和用于检查帧的方法的实施例,本发明包括本领域技术人员可以设想处于所附权利要求的范围内的全部变型。
权利要求
1.一种用于为电子设备(01)对接收的比特组的帧进行检查的设备(D),该电子设备 (01)旨在连接到通信网络(RC)并使用至少一个被称为非安全类型的本地功能,其特征在于,所述设备(D)包括检查装置(MC),所述检查装置(MC)被设计成在接收自所述网络(RC) 的帧中的至少一个比特组中存在错误的情况下,强制所述电子设备(01)按原样使用所接收的所述帧中表示所述电子设备(01)所使用的所述非安全类型的本地功能的参数的至少每个比特组。
2.根据权利要求1所述的设备,其特征在于,其包括分析装置(MA),所述分析装置(MA) 被设计为对使用所检测的错误比特组的每个本地功能的类型进行确定,并且向所述检查装置(MC)指出所确定的类型。
3.根据权利要求1所述的设备,其特征在于,所述检查装置(MC)被设计为对使用所检测的错误比特组的每个本地功能的类型进行确定。
4.根据权利要求1所述的所述设备,其特征在于,所述检查装置(MC)被设计为在所述电子设备(01)检测到包含表示本地的、非安全功能的参数的至少一个比特组的接收帧, 然后决定将所检测的错误帧替换为包括具有选择值的替换比特组的替换帧的情况下,强制所述电子设备(01)按原样使用所检测的错误帧中表示至少一个非安全功能的参数的至少每个比特组,而不是使用所述替换帧中包含的相应替换比特组。
5.根据权利要求1-4中的一项所述的设备,其特征在于,所述检查装置(MC)被设计为 在接收自所述网络(RC)的帧中的表示被称作安全类型的本地功能的参数的至少一个比特组中存在错误的情况下,强制所述电子设备(01)使用具有选择值的替换比特组,而不是使用错误的安全比特组。
6.根据权利要求5所述的设备,其特征在于,所述选择值是预定义的缺省值。
7.—种旨在连接到通信网络(RC)的电子设备(01),特征在于,所述电子设备(01)包括根据上述权利要求中的一项所述的用于对帧进行检查的设备(D)。
8.一种用于为电子设备(01)对接收的比特组的帧进行检查的方法,所述电子设备 (01)旨在连接到通信网络(RC)并且使用被称为非安全类型的至少一个本地功能,其特征在于,所述方法包括在接收自所述网络(RC)的帧中的至少一个比特组中检测到错误的情况下,强制所述电子设备(01)按原样使用所接收的帧中表示所述电子设备(01)所使用的所述非安全类型的本地功能的参数的至少每个比特组。
9.根据权利要求8所述的方法,其特征在于,还包含,在接收自所述网络(RC)的帧中表示被称为安全类型的本地功能的参数的至少一个比特组中检测到错误的情况下,强制所述电子设备(01)使用包括具有选择值的替换比特组的替换帧,而不是使用错误的安全比特组。
10.在车辆的通信网络(RC)中使用根据权利要求1-6中的一项所述的用于对帧进行检查的设备(D),使用根据权利要求7所述的电子设备(01),使用根据权利要求8和9中的一项所述的用于对帧进行检查的方法。
全文摘要
本发明涉及一种用于检查由电子设备(O1)接收的比特组的帧的设备(D),所述电子设备(O1)连接到通信网络(RC)并使用至少一个称为非安全类型的本地功能。所述设备(D)包括检查装置(MC),万一接收自所述网络(RC)的帧中的至少一个比特组出现错误,检查装置(MC)被配置成强制电子设备(O1)按原样使用所接收帧中表示所述电子设备(O1)使用的非安全类型本地功能的参数的至少每个比特组。
文档编号H04L12/40GK103004142SQ201180029646
公开日2013年3月27日 申请日期2011年5月27日 优先权日2010年6月16日
发明者L·安东纽奇, C·威尔沃特 申请人:标致·雪铁龙汽车公司