车辆网络中的安全过滤器的制造方法
【技术领域】
[0001]本发明涉及用于车辆的电气子系统的改进,并且涉及适配有改进的电气子系统的车辆。
【背景技术】
[0002]在诸如乘用车或卡车之类的现代车辆中,存在许多微控制器,每个微控制器可以控制诸如电机或栗之类的位于车辆周围的不同位置处的一个或多个电气致动器的操作。它们还可以或者可替代地从诸如转向角传感器、电机位置传感器、车轮速度传感器等之类的位于车辆周围的不同位置处的一个或多个传感器接收信号。它们还可以从诸如照相机或雷达系统之类的设备接收输入信号,并且为那些设备输出控制信号。若干电子控制单元(Electronic Control Unit,ECU)在它们之间共享信息以便提供车辆所需的功能是常见的。车辆速度可以被例如弓I擎ECU使用,并且还可以被转向ECU使用。
[0003]ECU通常与存储器以及用于从传感器接收信号并且将信号发送到致动器的输入端口以微控制器的形式组合在一起。微控制器然后与用于连接到致动器和传感器的物理连接器组合在一起,并且这些组件然后被封装在壳体内。壳体内的各种部件形成电子控制模块。这在附图的图5中示出。
[0004]为了允许各个模块向这些传感器、致动器和其它设备以及其它ECU发送信号以及从它们接收信号,已知将车辆与通信网络适配,通信网络中最常见的标准之一被称为通信总线。总线包括一束电线、或者有时是光纤,总线可以承载车辆周围的各种信息。总线是允许微控制器和传感器等彼此交流的本地通信网络。每个模块应该包括通常在壳体内的、允许模块跨总线传送和接收信号的至少一个总线控制器。
[0005]在书写本文时,在道路车辆中最常见的电气总线是控制器局域网(ControllerArea NetWOrk,CAN)总线,它是串行通信协议总线。在典型的总线中,在系统周围传送用标识符编码的消息,其中标识符被用来表示接收器应该如何将被传送的数据解码(解码为例如物理参数)。每个模块仅仅作用于具有针对它感兴趣的数据的标识符的消息。协议控制针对编码和时序两个方面如何传送信号,并且控制当多个模块试图在同一时间发送消息时如何处理可能的冲突。其它总线协议也是可用的-并且对于任何给定的总线协议,将存在一组定义总线控制器如何与总线对接的规则。
[0006]本发明不应该被解释为限制到CAN-总线协议。它可以被解释为涵盖利用任何已知的通信标准将车辆中的多个电子设备连接在一起的任何其它形式的通信网络,并且可以包括以太网网络标准或任何其它新兴的局域网技术。它甚至可以被扩展为涵盖在其中车辆上的设备之间的一些通信无线地发生的总线和网络。
[0007]术语“总线”在本申请中以广泛的意义被使用,以涵盖这样的各种不同的汽车局域通信网络。
[0008]可以使用总线来互连所有的模块和设备。在其它布置中,一些设备可以将信号直接输入到控制模块,而无需要总线。例如,在安全域中,从诸如照相机和雷达之类的多个源直接接收到的控制模块数据被直接融合。这就不需要让那些源具有它们自己的网络接口设备。
[0009]在本说明书中,使用术语“电气子系统”来指代使得模块能够向网络总线供应消息的至少一个微控制器和网络接口设备。
[0010]通用控制模块、总线和电气设备之间的关系在图1中示出。
[0011]在微控制器有故障的情况下,确保不正确的信号不能跨越网络总线被发送是重要的。如果允许这发生,那么车辆的安全性会受到危害。
[0012]在现有技术中,已知的是,当检测到故障时关闭控制模块的微控制器。故障的检测通常由故障检测单元来执行,故障检测单元可以是微控制器的一部分,或者可以处于微处理器外部,但是在ECU之内。当故障被故障检测模块检测到时,它指示微控制器或网络接口关闭,从而确保网络控制器不能跨网络总线发送有故障的信号。
【发明内容】
[0013]根据第一方面,本发明提供用于车辆的电气子系统,该电气子系统包括适配于生成适合通过例如CAN总线的通信网络传输的一个或多个输出消息的电子控制模块,该子系统还包括:
[0014]消息过滤器,被布置为在电子控制模块有故障的情况下过滤由电子控制模块生成的消息,使得只有满足预定义标准的消息通过通信总线被传送,并且阻止不满足那个标准的消息。
[0015]消息过滤器可以被布置为只传送满足对于车辆是非安全关键(non-safety-critical)的标准的消息。这些标准可以通过在与过滤器相关联的存储器中存储被认为是安全关键的消息类型的列表,或者被认为不是安全关键的消息类型的列表来预先确定。
[0016]例如,每个消息可以通过控制模块利用指示消息的类型的标签进行标记。过滤器可以在存储器中查找信息来确定消息的类型对于传送是安全的还是不安全的。例如,它可以参考被认为可以传送的消息标识符的查找表或列表,并且阻止任何其它的消息标识符。另一个选项可以是查看消息标识符的范围,其中消息标识符是数值的,这与消息标识符的完整列表相比,需要较少的存储器。
[0017]过滤器可以被布置为从诊断系统接收输入信号,该输入信号指示电子控制模块是有故障还是无故障。诊断系统可以包括电子控制模块的一部分。
[0018]过滤器可以截取由电子控制模块输出的消息,依赖于该模块在正确地工作还是有故障,或者阻止消息或者将消息传送到总线。
[0019]过滤器可以是微控制器的一部分,并且可以驻留在控制模块消息输出端和被布置为将消息传递到通信总线的网络接口设备之间。或者它可以驻留在网络接口和网络物理层之间。
[0020 ]可替代地,过滤器可以是网络接口设备的一部分。
[0021 ]可替代地,在电子控制模块和过滤器之间可以存在一对一的关系。例如,在以太网应用中,每个MAC地址可以被分配过滤器,其中MAC地址被分配给特定的电子控制模块。
[0022]电子控制模块可以被适配为从与车辆相关联的一个或多个设备接收输入信号,并且依赖于输入信号的值来产生消息。传感器可以包括视频照相机、雷达装置、超声传感器等。模块可以从多于一个的设备接收输入信号。当它从多于一个的设备接收信息时,电子控制模块可以形成安全域电子控制单元(Safety Domain electronic control unit,SDECU)o
[0023]根据第二方面,本发明提供用于在包括电子控制模块的种类的车辆电气子系统中使用的消息过滤器,该电子控制模块在使用中生成要跨越车辆的网络通信总线传送的多种不同类型的消息,其中消息过滤器包括:
[0024]用于在消息被馈送到总线之前从模块接收消息的输入端,和接收到的消息可以在其处被馈送到总线的输出端,过滤器被配置为使得在电子控制模块中出现故障的情况下,过滤器只将来自模块的全部类型的消息中满足预定义的标准的子集传递到总线,而当没有故障时,允许所有的消息传递到总线。
[0025]过滤器可以被布置为从故障检测单元接收指示模块是否有故障的信号。
[0026]过滤器可以包括存储器,该存储器存储指示在存在故障时哪些类型的消息对于传递是安全的以及哪些类型对于传递到总线是不安全的信息。这可以将该信息存储为在表中消息类型的列表,连同指示这些消息类型对于传递是安全的还是不安全的指示符。
[0027]根据第三方面,本发明提供操作车辆的电气子系统的方法,该车辆是包括用于承载车辆周围的消息的网络通信总线和至少一个生成通过总线传输的多种不同类型的消息的电子控制模块的种类的车辆,该方法包括:
[0028]在电子控制模块有故障的情况下,过滤消息,使得只有被认为是安全的消息的类型的子集通过总线被传送。
[0029]该方法可以利用存储在存储器中的信息来确定消息的类型是否是安全的。
[0030]该方法还可以包括询问有故障模块,以确定故障的性质并且监视过滤器允许传递的与询问有关的消息。
[0031]因此,该方法可以包括过滤有故障的模块,但是当存在故障时不关闭该模块。
[0032]不被认为安全的消息类型的例子包括对引擎、转向或刹车致动的请求。被认为安全的消息类型的例子包括诊断消息(例如被广泛使用的CAN校准协议(CCP))、状态消息。
【附图说明】
[0033]现在将参考附图仅以示例的方式描述本发明的的两个实施例,附图中:
[0034]图1是车辆电气网络的示意图;
[0035]图2是形成图1的车辆的电气网络的一部分的电气子系统的示意图;
[0036]图3是用于图1的网络的可替代电气子系统的不意图;
[0037]图4是用于图1的网络的另一个可替代电气子系统的另一个示意图;及
[0038]图5示出了典型的现有技术中的控制模块。
【具体实施方式】
[0039]如图1所示,用于诸如乘用车之类的车